专利名称:同一租户内服务器间的通信控制方法及网络设备的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及同一租户内服务器间的通信控制方法及网络设备。
背景技术:
为了在一张物理网络内部署多个租户/用户的业务,标准组织开发了虚拟局域网(Virtual Local Area Network, VLAN)技术来实现网络虚拟化,把一张物理网络划分成4K个逻辑网络,逻辑网络之间彼此隔离。实际使用中,不同的逻辑网络被分配给不同的租户/用户使用,来实现同一张物理网络中部署多个租户/用户的需求。然而,随着网络规模的不断增大、业务需求的不断增多,4K的虚拟网络已经不足以满足大量的租户/用户的接入需要。尤其在数据中心领域,租户/用户数量的急剧增加导致了网络虚拟化能力成为组网瓶颈。基于此,业界推出了 NVGRE(Network Virtualizationusing Generic Routing Encapsulation,使用GRE (通用路由封装)技术实现二层网络虚拟化的协议)和VXLAN (Virtual extensible Local Area Network,虚拟可扩展局域网)技术,在优化网络转发和资源利用的同时,还极大的提升了网络承载多租户的能力。NVGRE和VXLAN都是MAC_in_IP技术,通过对用户的ETH报文执行封装和转发,实现大规模的二层组网。NVGRE和VXLAN分别定义了 VSID(Virtual Subnet Identifier)和VNI (VXLAN Network Identifier),来标识不同的虚拟网络,VXLAN 或 NVGRE 用 VNI 或 VSID来代替VLAN技术中的VLAN-1D控制广播域,因此报文不再需要封装VLAN-1D,而是直接在报文外面封装VNI或VSID和外层报文头。此时,从网络的角度看,VNI或VSID作为逻辑网络的标识控制着广播域的范围,相同VNI或VSID的报文属于同一个逻辑网络,允许互通;不同VNI或VSID的报文属于不同的逻辑网络,不允许互通。从应用的角度看,VNI或VSID代表了租户标识,同一个VNI或VSID下的服务器属于同一个租户,不同VNI或VSID下的服务器属于不同的租户。然而,现有技术中为每个租户分配一个VNI或VSID,而同一个VNI或VSID内的服务器可以完全互通,无法做到服务器间的互通或隔离控制。
发明内容
本发明提供了一种同一租户内服务器间的通信控制方法及网络设备,能够实现同一租户内服务器间的互通/隔离控制。本发明第一方面提供一种同一租户内服务器间的通信控制方法,所述方法包括:网关设备接收源服务器发送的第一报文;所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识;所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;所述网关设备发送所述第二报文。结合上述第一方面,在第一种可能的实现方式中,在所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,还包括:所述网关设备获取所述第一报文的目的服务器的服务器分组标识;所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得所述第二报文。结合上述第一方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:所述网关设备对本地同一租户内的服务器进行分组;所述网关设备为所述分组分配标识,生成所述分组标识配置表。结合上述第一方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,在第三种可能的实现方式中,所述网关设备对本地同一租户内的服务器进行分组包括:所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。结合上述第一方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,和/或第三种可能的实现方式,在第四种可能的实现方式中,所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文,包括:如果所述第一报文为虚拟可扩展局域网协议报文,所述网关设备在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文,所述网关设备在所述第一报文的ReservedO的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。本发明第二方面提供一种同一租户内服务器间的通信控制方法,所述方法包括:所述网关设备接收源服务器发送的报文;所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;所述网关设备在所述互通校验通过后发送所述报文。
结合上述第二方面,在第一种可能的实现方式中,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:所述网关设备对本地同一租户内的服务器进行分组;所述网关设备为所述分组分配标识,生成所述分组标识配置表。结合上述第二方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述网关设备对本地同一租户内的服务器进行分组包括:所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。本发明第三方面提供一种同一租户内服务器间的通信控制方法,所述方法包括:所述网关设备接收报文;所述网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标识;当所述报文中携带所述报文的源服务器的服务器分组标识时,所述网关设备获取所述报文中的所述源服务器的服务器分组标识,并根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;所述网关设备在所述互通校验通过后向所述目的服务器发送所述报文。结合上述第三方面,在第一种可能的实现方式中,在所述网关设备根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,所述方法还包括:所述网关设备对本地同一租户内的服务器进行分组;所述网关设备为所述分组分配标识,生成所述分组标识配置表。结合上述第三方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述网关设备对本地同一租户内的服务器进行分组包括:所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。本发明第四方面还提供一种网关设备,包括:接收单元,用于接收源服务器发送的第一报文;存储单元,用于存储分组标识配置表;第一获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;报文生成单元,用于在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;发送单元,用于发送所述第二报文。结合上述第四方面,在第一种可能的实现方式中,还包括:第二获取单元,用于在所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,获得所述目的服务器的服务器分组标识;校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后再由所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文。结合上述第四方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,还包括:分组单元,用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。结合上述第四方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,在第三种可能的实现方式中,所述分组单元,具体用于基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。结合上述第四方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,和/或第三种可能的实现方式,在第四种可能的实现方式中,所述报文生成单元,具体用于当所述第一报文为虚拟可扩展局域网协议报文时,在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,当所述第一报文为使用通用路由封装技术实现二层网络虚拟化的协议报文时,在所述第一报文的ReservedO的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。本发明第五方面还提供一种网关设备,包括:接收单元,用于接收源服务器发送的报文;存储单元,用于存储分组标识配置表;标识获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;发送单元,用于在互通校验通过后发送所述报文。结合上述第五方面,在第一种可能的实现方式中,还包括:分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。结合上述第五方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。本发明第六方面还提供一种网关设备,包括:存储单元,用于存储分组标识配置表;接收单元,用于接收报文;确定单元,用于确定所述报文中是否携带所述报文的源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;标识获取单元,用于当所述确定单元确定所述报文中携带所述报文的源服务器的服务器分组标识时,获取所述报文中的所述源服务器的服务器分组标识,并根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识;校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;发送单元,用于在所述互通校验通过后向所述目的服务器发送所述报文。结合上述第六方面,在第一种可能的实现方式中,还包括:分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。结合上述第六方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。本发明通过网关设备生成各服务器的SGID,然后在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例一种同一租户内服务器间的通信控制方法流程图;图2为本发明实施例另一种同一租户内服务器间的通信控制方法流程图;图3为本发明实施例中获得分组标识配置表的方法流程图;图4为本发明实施例中VXLAN/NVGRE的网络拓扑架构示意图;图5 8为本发明实施例的报文结构示意图9为本发明实施例另一种同一租户内服务器间的通信控制方法流程图;图10为本发明实施例另一种同一租户内服务器间的通信控制方法流程图;图11为本发明实施例一种网关设备的结构示意图;图12为本发明实施例另一种网关设备的结构示意图;图13为本发明实施例另一种网关设备的结构不意图;图14为本发明实施例另一种网关设备的结构示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。参见图1,为本发明实施例一种同一租户内服务器间的通信控制方法流程图。该方法可以包括:步骤101,网关设备接收源服务器发送的第一报文。本发明实施例中,该“第一”和“第二”仅为了区分不同的报文,并非特指或限定。在本步骤中,网关设备接收源服务器发送的第一报文,该第一报文中除了包含数据信息外,还可以包含源服务器及目的服务器的地址信息,如MAC地址。步骤102,网关设备根据本地存储的分组标识配置表获取源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。网关设备存储有分组标识配置表,该配置表中存储有该网关设备预先为本地的同一租户内服务器生成的服务器分组标识(Server Group Identif ier,SGID),该服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。其中,网关设备本地的服务器也即该网关设备下连接的服务器。不同租户通过VNI或VSID进行标识和隔离,每个租户只分配一个VNI或VSID,不同VNI或VSID的报文属于不同的逻辑网络,不允许互通,相同VNI或VSID的报文属于同一个逻辑网络,本实施例中,通过对同一租户下的各服务器设置SGID,来控制同一租户下各服务器之间的互通或隔离。网关设备在接收到第一报文后,可以根据该第一报文中源服务器的MAC地址或源服务器的接入端口等信息查找本地存储的分组标识配置表,获得该源服务器的SGID。步骤103,网关设备在第一报文中添加所述源服务器的服务器分组标识,获得第二报文。网关设备在获得源服务器的SGID后,在第一报文的预留字段或未定义明确用途的字段上,或者在第一报文的扩展字段或新增字段上添加该源服务器的SGID,获得第二报文。该获得第二报文的过程还可以包含其他现有技术的报文生成过程,例如在添加了源服务器的SGID的报文外面封装VXLAN或NVGRE报文头等。步骤104,网关设备发送所述第二报文。网关设备在获得第二报文后,在发送第二报文之前还可以包含其他现有技术步骤,例如查找该第一报文所属的VNI或VSID,然后基于VNI或VSID,以第一报文的目的MAC地址为索引查询转发表,获取该第一报文在VXLAN或NVGRE网络上的出口网关。然后,网关设备发送该第二报文。对端的网关设备在接收到第二报文后,根据本地存储的分组标识配置表获取该第二报文的目的服务器的SGID,然后对第二报文中包含的源服务器的SGID和获得的目的服务器的SGID进行互通校验,该校验过程具体依据预先设置的互通规则进行校验,在校验通过后,也即表明源服务器和目的服务器之间可以相互通信,然后再向目的服务器转发该第二报文,若校验不通过,则不向目的服务器转发该第二报文,可以丢弃该第二报文,以禁止源、目的服务器之间的互通。当然该转发过程中还可以包含其他现有技术的报文处理过程,例如剥离第二报文的VXLAN/NVGRE外层头,提取VNI或VSID信息,然后基于VNI或VSID,以报文目的MAC地址为索引查询转发表,获取该第二报文在本网关设备的用户侧的出口,然后按照该出口将报文发送至目的服务器。本发明实施例通过网关设备生成各服务器的SGID,然后在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通/隔离控制。在本发明的另一实施例中,如图2所示,在网关设备在第一报文中添加源服务器的SGID,获得第二报文之前,还可以包括:步骤201,网关设备获取第一报文的目的服务器的SGID。网关设备在接收到上述第一报文后,或在获取到源服务器的SGID之后,可以进一步执行本步骤,获得目的服务器的SGID。该网关设备获得目的服务器的SGID的方法,可以是在网关设备本地预先存储有其他网关设备发送的服务器的SGID ;也可以是网关设备在执行源MAC学习的时候,同时学习源服务器的SGID,从而获得其他网关设备下的服务器的SGID,具体的,网关设备本地生成的只是本地各个服务器的SGID,最初网关设备本地还没有上述第一报文的目的服务器的MAC表,也就没有目的服务器的SGID,后续通过数据报文学习MAC地址时同步学习并保存SGID,这样网关设备就可以学习获得其他网关设备下的服务器的SGID 了。这两种情况下,该网关设备可以根据第一报文中的目的服务器的相关标识信息如MAC地址等在本地查找获得目的服务器的SGID。该网关设备获得目的服务器的SGID的方法,也还可以是网关设备在接收到第一报文后,获取其中目的服务器的标识信息如MAC地址,并向该第一报文的出口网关也即对端的网关设备请求获得该目的服务器的SGID等等。步骤202,网关设备对源服务器的SGID和目的服务器的SGID进行互通校验。网关设备在获得源服务器的SGID和目的服务器的SGID后,根据互通规则进行互通校验。该校验过程与前述实施例中网关设备对源服务器的SGID和目的服务器的SGID进行互通校验的过程类似。在上述互通校验通过后,网关设备再执行上述步骤103,由网关设备在第一报文中添加源服务器的SGID,获得第二报文。若校验不通过,则网关设备可以不执行后续动作,而直接丢弃第一报文,终止源、目的服务器之间的通信。若互通校验通过,网关设备执行上述步骤103 104,网关设备接收第二报文后可以不再执行SGID校验,也可重复执行SGID校验,虽然因为在网关设备处理中已经执行了SGID的校验,但是考虑到校验的严格以及临时的生成变更,对端的网关设备可以重复执行一次SGID的校验动作。本发明实施例对网络设备的改动很小,易于实现。而且,在网关设备处增加校验过程,可以对禁止互通的服务器之间的报文直接进行处理,如丢弃,而无需传输至对端网关设备后再进行处理,因此,本实施例方法相比较前述实施例方法可以减少禁止互通的服务器间的报文对网络带宽的占用,减少了网络带宽的额外消耗。在本发明的另一实施例中,在网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,如图3所示,该方法还可以包括:步骤301,网关设备对本地同一租户内的服务器进行分组。步骤302,网关设备为所述分组分配标识,生成分组标识配置表。具体的,各网关设备可以约定把同一租户内的服务器分为三类:公共服务器、团体服务器、隔离服务器,并约定互通规则,该互通规则表明了哪些服务器之间可以通信,哪些服务器之间不能通信。如下面表格所示:
权利要求
1.一种同一租户内服务器间的通信控制方法,其特征在于,所述方法包括: 网关设备接收源服务器发送的第一报文; 所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识;所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通; 所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文; 所述网关设备发送所述第二报文。
2.根据权利要求1所述的方法,其特征在于,在所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,还包括: 所述网关设备获取所述第一报文的目的服务器的服务器分组标识; 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得所述第二报文。
3.根据权利要求1或2所述的方法,其特征在于,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括: 所述网关设备对本地同一租户内的服务器进行分组; 所述网关设备为所述分组分配标识,生成所述分组标识配置表。
4.根据权利要求3所述的方法,其特征在于,所述网关设备对本地同一租户内的服务器进行分组包括: 所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文,包括: 如果所述第一报文为虚拟可扩展局域网协议报文,所述网关设备在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或, 如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文,所述网关设备在所述第一报文的ReservedO的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。
6.一种同一租户内服务器间的通信控制方法,其特征在于,所述方法包括: 所述网关设备接收源服务器发送的报文; 所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通; 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验; 所述网关设备在所述互通校验通过后发送所述报文。
7.根据权利要求6所述的方法,其特征在于,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括: 所述网关设备对本地同一租户内的服务器进行分组; 所述网关设备为所述分组分配标识,生成所述分组标识配置表。
8.根据权利要求7所述的方法,其特征在于,所述网关设备对本地同一租户内的服务器进行分组包括: 所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。
9.一种同一租户内服务器间的通信控制方法,其特征在于,所述方法包括: 网关设备接收报文; 所述网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标识; 当所述报文中携带所述报文的源服务器的服务器分组标识时,所述网关设备获取所述报文中的所述源服务器的服务器分组标识,并根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通; 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验; 所述网关设备在所述互通校验通过后向所述目的服务器发送所述报文。
10.根据权利要求9所述的方法,其特征在于,在所述网关设备根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,所述方法还包括: 所述网关设备对本地同一租户内的服务器进行分组; 所述网关设备为所述分组分配标识,生成所述分组标识配置表。
11.根据权利要求10所述的方法,其特征在于,所述网关设备对本地同一租户内的服务器进行分组,包括: 所述网关设备基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者, 所述网关设备基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。
12.一种网关设备,其特征在于,包括: 接收单元,用于接收源服务器发送的第一报文; 存储单元,用于存储分组标识配置表; 第一获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通; 报文生成单元,用于在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;发送单元,用于发送所述第二报文。
13.根据权利要求12所述的网关设备,其特征在于,还包括: 第二获取单元,用于在所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,获得所述第一报文的目的服务器的服务器分组标识; 校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后再由所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文。
14.根据权利要求12或13所述的网关设备,其特征在于,还包括: 分组单元,用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组; 标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
15.根据权利要求14所述的网关设备,其特征在于, 所述分组单元,具体用于基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。
16.根据权利要求12至15中任意一项所述的网关设备,其特征在于, 所述报文生成单元,具体用于当所述第一报文为虚拟可扩展局域网协议报文时,在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,当所述第一报文为使用通用路由封装技术实现二层网络虚拟化的协议报文时,在所述第一报文的ReservedO的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。
17.—种网关设备,其特征在于,包括: 接收单元,用于接收源服务器发送的报文; 存储单元,用于存储分组标识配置表; 标识获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通; 校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验; 发送单元,用于在互通校验通过后发送所述报文。
18.根据权利要求17所述的网关设备,其特征在于,还包括: 分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组; 标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
19.根据权利要求18所述的网关设备,其特征在于, 所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。
20.一种网关设备,其特征在于,包括: 存储单元,用于存储分组标识配置表; 接收单元,用于接收报文; 确定单元,用于确定所述报文中是否携带所述报文的源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通; 标识获取单元,用于当所述确定单元确定所述报文中携带所述报文的源服务器的服务器分组标识时,获取所述报文中的所述源服务器的服务器分组标识,并根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识; 校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验; 发送单元,用于在所述互通校验通过后向所述目的服务器发送所述报文。
21.根据权利要求20所述的网关设备,其特征在于,还包括: 分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组; 标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
22.根据权利要求21所述的网关设备,其特征在于, 所述分组单元,具体 用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-1D对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-1D。
全文摘要
本发明实施例公开了同一租户内服务器间的通信控制方法及网络设备。网关设备接收源服务器发送的第一报文;所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;所述网关设备发送所述第二报文。该方法实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
文档编号H04L12/46GK103118149SQ20131006776
公开日2013年5月22日 申请日期2013年3月4日 优先权日2013年3月4日
发明者胡中锋 申请人:华为技术有限公司