卡”)被提供。一般地,它们控制通过网络的数据分组发送和接收,并且有时支持与路由器110—起使用的其他外围设备。在接口当中可以被提供的是以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口等。另外,可以提供各种超高速接口,例如,快速令牌环接口、无线接口、以太网接口、千兆比特以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口等。
[0027]虽然在图1中示出的系统是本发明的一个具体网络设备,但这并不是可以实现本主题技术的方面的唯一网络设备架构。例如,经常使用具有处理通信以及路由计算等的单个处理器的架构。另外,其他类型的接口和介质也可以被实现。
[0028]图2示出了网络结构212的示例架构200的示意性框图。网络结构212可以包括骨干(spine)交换机202A、202B、…、202N(统称为“202”),在网络结构212中被连接到叶(leaf)交换机204A、204B、204C、...、204N(统称为 “204” )。
[0029]骨干交换机202可以是结构212中的L2交换机;S卩,骨干交换机202可以被配置为执行L2功能。另外,骨干交换机202可以支持各种功能,例如,40Gbps或1Gbps以太网数据传输速度。在一些实现方式中,骨干交换机202的一个或多个骨干交换机可以被配置为托管代理功能,该代理功能以不具有以下映射的叶交换机204的名义在映射数据库中执行对端点地址标识符到定位器映射的查找。该代理功能可以通过从分组到经封装的租户分组进行解析以得到租户的目的地定位器地址来完成以上操作。骨干交换机202随后可以执行它们本地映射数据库的查找,以确定分组的正确定位器地址,并将分组转发至该定位器地址而无需改变分组的头部中的某些字段。
[0030]当在骨干交换机202i处接收到分组时,骨干交换机202i可以首先检查目的地定位器地址是否是代理地址。如果是代理地址,则骨干交换机202i可以执行如之前所述的代理功能。如果不是代理地址,则骨干交换机202i可以在其转发表中查找定位器,并相应地转发分组。
[0031]骨干交换机202在结构212中连接到叶交换机204。叶交换机204可以包括接入端口(或非结构端口)和结构端口。结构端口可以向骨干交换机202提供上行链路,而接入端口可以向结构212提供设备、主机、端点、VM或外部网络的连接。
[0032]叶交换机204可以驻留在结构212的边缘,并且可以因此表示物理网络边缘。在一些情况中,叶交换机204可以是根据架顶(ToR)架构配置的架顶交换机。在其他情况中,叶交换机204可以是任意特定拓扑(例如,行末(EoR)或行中(MoR)拓扑)中的聚合交换机。在一些方面,叶交换机204还可以表示例如聚合交换机。
[0033]叶交换机204可以负责路由和/或桥接租户分组和应用网络政策。在一些情况中,叶交换机可以执行一个或多个附加功能,例如,实现映射缓存、在该缓冲中存在未命中时向代理功能发送分组、封装分组、实施进口或出口政策等。
[0034]此外,叶交换机204可以包括虚拟交换功能,例如,如下文中在图3的VTEP308的讨论中所解释的虚拟隧道端点(VTEP)功能。为此,叶交换机204可以将结构212连接至重叠网络,例如图3中所示的重叠网络300。
[0035]结构212中的网络连接可以流经叶交换机204。在此,叶交换机204可以向结构212提供服务器、资源、端点、外部网络、或VM接入,并且可以将叶交换机204连接到彼此。在一些情况中,叶交换机204可以将EPG连接到结构212和/或任意外部网络。每个EPG可以经由例如叶交换机204中的一个叶交换机连接到结构212。
[0036]端点21OA-E (统称为“210”)可以经由叶交换机204连接到结构212。例如,端点21A和210B可以直接连接到叶交换机204A,该叶交换机204A可以将端点210A和210B连接到结构212和/或叶交换机204中的任意一个其他的叶交换机。类似地,端点21E可以直接连接到叶交换机204C,该叶交换机204C可以将端点210E连接到结构212和/或任意其他叶交换机204。另一方面,端点210C和210D可以经由L2网络206连接到叶交换机204B。类似地,广域网(WAN)可以经由L2网络208连接到叶交换机204C或204D。
[0037]图3示出了示例重叠网络300。重叠网络300使用重叠协议(例如,VXLAN、VGRE、V03、或STT),以在可以跨越网络中的重叠L3边界的L2和/SL3分组中封装流量。如图3所示,重叠网络300可以包括经由网络302互相连接的主机306A-D。
[0038]网络302可以包括例如任意分组网络(例如,IP网络)。此外,主机306A-D包括虚拟隧道端点(VTEP) 308A-D,针对各个虚拟网络标识符(VNID) 310A-1,该虚拟隧道端点可以是被配置为根据网络300的具体重叠协议来封装和去封装数据流量的虚拟节点或交换机。此夕卜,主机306A-D可以包括服务器,该服务器包含虚拟隧道端点功能和虚拟工作负载。然而,在一些情况中,一个或多个主机还可以是被配置具有虚拟隧道端点功能的物理交换机(例如,ToR交换机)。例如,主机306A和306B可以是被配置具有VTEP的物理交换机。在此,主机306A和306B可以被连接到服务器303A-D,这些服务器可以包括例如通过VM的虚拟工作负载。
[0039]在一些实施例中,网络300可以是VXLAN网络,并且VTEP 308A-D可以是VXLAN隧道端点。然而,一个本领域技术人员将很容易地认识到网络300可以表示任意类型的重叠网络或软件定义网络(例如,NVGRE、STT、或甚至是仍有待发明的重叠技术)。
[0040]VNID可以表示重叠网络300中的隔离虚拟网络。重叠隧道(VTEP308A-D)中的每一个重叠隧道可以包括一个或多个VNID。例如,VTEP308A可以包括VNID I和2,VTEP 308B可以包括VNID I和3,VTEP308C可以包括VNID I和2,以及VTEP 308D可以包括VNID 1_3。一个本领域技术人员将很容易地认识到在其他实施例中,任意特定的VTEP可以具有很多VNID,包括比图3中的3个VNID更多的VNID。
[0041]重叠网络300中的流量可以根据具体的VNID被逻辑上地隔离。以这种方式,打算用于VNID I的流量可以由驻留在VNID I中的设备访问,而驻留在其他VNID(例如,VNID 2和3)中的其他设备可以被阻止访问该流量。换言之,被连接到具体VNID的设备或端点可以与被连接到相同的具体VNID的其他设备或端点进行通信,而来自分开的VNID的流量可以被隔离,以阻止其他具体VNID中的设备或端点访问不同VNID中的流量。
[0042]端点和VM 303A-1可以连接到它们各自的VNID或虚拟段,并且与驻留在相同VNID或虚拟段中的其他端点或VM进行通信。例如,端点303A可以与端点303C和VM 303E和303G进行通信,因为它们都驻留在相同的VNID(S卩,VNID I)中。类似地,端点303B可以与VM 303F和303H进行通信,因为