一种流量转发方法及设备的制作方法
【专利摘要】本发明公开了一种流量转发方法,ED在接收到以远端MAC地址为目的MAC的数据报文后,基于该远端MAC地址所对应的扩展VLAN的认证状态判断是否转发报文,并在认证状态不通过的情况下进一步地就该扩展VLAN向认证服务器进行认证,从而在在占用较少网络管理资源的前提下,实现了EVI网络中所有流量的实时认证转发。
【专利说明】一种流量转发方法及设备
【技术领域】
[0001]本发明涉及通信【技术领域】,特别涉及一种流量转发方法,本发明同时还涉及一种 流量转发设备。
【背景技术】
[0002] 随着数据中心在现在企业的应用日渐频繁,数据中心的交互效率、安全性等问题 日渐成为网络数据通信领域的热门话题。新一代的数据中心以支持"云计算"服务为设计 初衷,具有高速网络交换能力、方便的网络配置方式、支持异地数据库分散建立等特点。其 中,EVI (Ethernet Virtualization Interconnection,以太网虚拟化互联)作为一种"基 于三层网络的二层转发"的方案,使得数据库中心网络的"物理分散部署、逻辑同一 VLAN (Virtual Local Area Network,,虚拟局域网)"的实施方案变成了可能。
[0003]如图1所述,为现有技术中跨三层的二层转发示意图,其中的细实线条表示三层 物理实际转发链路,粗线路表示隧道连接,虚线表示虚拟二层交换网络。各个站点的边缘 设备(Edge Device,简称设备)与相邻站点的边缘设备间建立EVI隧道连接,ED设备以 EVI隧道为基础,抽象出一个EVI Link (连接)作为二层接口提供给用户,其上可以通过配 置VLAN来进行二层转发的划分,并能够通过Network-Id (网络标识)区别不同的网络。 [0004] 在配置VLAN时,用户在Tunnel (隧道)口上配置扩展VLAN,在一定条件下(例如扩 展VLAN激活),设备本地这些VLAN下的二层报文数据就可以通过该Tunnel 口通过GRE封 装直接发送到Tunnel 口对端站点的的ED设备上,从而使得两台设备通过隧道实现了逻辑 上的二层转发。
[0005] 在图2所示的现有EVI网络结构示意图中,正常的EVI交互流程通过隧道两端ED 设备的静态配置,通过 EVI-ISIS (EVI-Intermediate System to Intermediate System, EVI-中间系统到中间系统路由)分享彼此的本地MAC (Media Access Control,介质访问控 制),从而达到二层虚拟化的目的。
[0006] 然而,针对现有技术中的EVI网络,需要手动进行扩展VLAN的权限配置,从而控制 EVI网络中的流量转发,这种人工配置方式不仅耗费人力资源,在流量转发的控制及管理上 也缺乏灵活性及实时性。
【发明内容】
[0007] 本发明提供了一种流量转发方法,用以解决现有技术中流量控制转发由于依赖于 人工配置而导致时效慢、灵活性较低的问题,包括:
[0008] 以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制MAC地址 为目的MAC的数据报文,该ED查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证 状态;
[0009] 若所述扩展VLAN为认证通过状态,该ED转发所述数据报文;
[0010] 若所述扩展VLAN为认证不通过状态,该ED向认证服务器发送针对所述扩展VLAN 的认证请求,并在所述认证请求通过后转发所述数据报文。
[0011] 具体地,该H)在所述认证请求通过后,还包括:
[0012] 该ED设置所述扩展VLAN为认证通过状态,并将所述扩展VLAN的认证状态通过链 路状态包LSP通告所述EVI网络中的其它ED,以使所述其它将所述扩展VLAN的认证状 态设置为认证通过状态。
[0013] 具体地,所述ED扩展VLAN设置有认证状态标志位,所述认证状态标志位在初始时 均为不允许报文转发的认证不通过状态。
[0014] 具体地,所述认证服务器位于该ED所在站点时,还包括:
[0015] 该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并将所述认 证服务器返回的认证结果返回至发送该认证请求报文的其它站点ED。
[0016] 另一方面,本发明还提出了一种边缘设备ED,包括:
[0017] 接口模块,用于接收以远端MAC地址为目的MAC的数据报文;
[0018] 查询模块,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证状态;
[0019] 若所述扩展VLAN为认证通过状态,所述查询模块通过所述接口模块转发所述数 据报文;
[0020] 若所述扩展VLAN为认证不通过状态,所述查询模块通过所述接口模块向认证服 务器发送针对所述扩展VLAN认证请求,并在所述认证请求通过后通过所述接口模块转发 所述数据报文。
[0021] 具体地,所述查询模块,还用于在所述认证请求通过后设置所述扩展VLAN为认证 通过状态,并通过所述接口模块将所述扩展VLAN的认证状态通过链路状态包LSP通告所述 EVI网络中的其它ED,以使所述其它ED将所述扩展VLAN的认证状态设置为认证通过状态。 [0022] 具体地,所述查询模块,具体用于针对所述EVI网络的各扩展VLAN设置有认证状 态标志位,所述认证状态标志位在初始时均为不允许报文转发的认证不通过状态。
[0023] 具体地,所述认证服务器位于该所在站点时,所述接口模块还用于该ED将来自 于其它站点ED的认证请求报文发送至所述认证服务器,并将所述认证服务器返回的认证 结果返回至发送该认证请求报文的其它站点ED。
[0024] 与现有技术相比,本发明的技术方案具有以下优点:
[0025] 通过应用以上技术方案,ED在接收到以远端MAC地址为目的MAC的数据报文后, 基于该远端MAC地址所对应的扩展VLAN的认证状态判断是否转发报文,并在认证状态不通 过的情况下进一步地就该扩展VLAN向认证服务器进行认证,从而在占用较少网络管理资 源的前提下,实现了 EVI网络中所有流量的实时认证转发。
【专利附图】
【附图说明】
[0026]图1为现有技术中跨三层的二层转发示意图;
[0027]图2为现有技术中EVI网络的结构示意图;
[0028]图3为本发明提出的一种流量转发方法的流程示意图;
[0029]图4为本发明具体实施例提出的一种流量转发方法的流程示意图;
[0030]图5为本发明具体实施例所提出的一种流量转发方法的流程示意图;
[0031]图6为本发明具体实施例所提出的一种流量转发方法的应用场景示意图;
[0032] 图7为本发明具体实施例中MAC-Authentication TLV的格式示意图;
[0033] 图8为本发明具体实施例提出的一种流量转发设备的结构示意图。
【具体实施方式】
[0034]为解决现有技术中的流量控制转发由于依赖于人工配置而导致时效慢、灵活性较 低的问题,如图3所示,本发明提出了一种流量转发方法,包括如下步骤:
[0035] S301,以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制MAC 地址为目的MAC的数据报文。
[0036] S302,该ED查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证状态,
[0037] 若所述扩展VLAN为认证通过状态,转至S303 ;
[0038] 若所述扩展VLAN为认证不通过状态,转至S304。
[0039] 在EVI网络中,由于发送至远端终端的报文均需要通过相应扩展VLAN转发至远端 终端,本实施例中,对于扩展VLAN初始均设置为不允许报文转发,只有当该VLAN认证通过 后,才允许通过该VLAN转发报文。
[0040] 具体的,在ED设备中,对于当前EVI网络的各扩展VLAN都设置有认证状态标志 位,认证状态标志位在初始时均为不允许报文转发的认证不通过状态,这样确保了对于每 一个扩展VLAN都会有与其相应的认证过程。
[0041] S303,该ED转发所述数据报文。
[0042] S304,该ED向认证服务器发送针对所述扩展VLAN的认证请求,并在所述认证请求 通过后转发所述数据报文。
[0043] 若当前的扩展VLAN认证状态不通过,则说明该VLAN在之前的认证过程中认证失 败,或者是该VLAN还尚未被认证过,无论是哪种情况,ED均会将该扩展VLAN的相关信息通 过认证请求向认证服务器请求认证。若该认证请求通过,该ED除了正常转发报文之外,还 会同时设置扩展VLAN为认证通过状态,并将扩展VLAN的认证状态通过链路状态包LSP通 告给EVI网络中的其它ED,这样其它ED也会将该扩展VLAN的认证状态设置为认证通过状 态。
[0044] 如果针对该扩展VLAN的认证失败,那么该ED将之前触发该扩展VLAN认证的报文 丢弃。
[0045] 此外,在EVI网络中的其中一些ED所在的站点内配置有认证服务器,此时其他没 有认证服务器的站点内的m)会将需要认证的扩展VLAN的认证请求报文发送至这些ED,该 ED将来自于其它站点ED的认证请求报文发送至认证服务器,并将认证服务器返回的认证 结果返回至发送该认证请求报文的其它站点H)。
[0046] 下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显 然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的 实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都 属于本申请保护的范围。
[0047] 如图4所示,为本申请实施例提供的一种流量转发方法,具体包括以下步骤:
[0048] S401,H) (Edge Device,边缘设备)接收报文。
[0049] S402,ED识别所接收的报文的类型:若报文类型为数据报文,转至S403 ;若报文类 型为认证协议报文,转至S409。
[0050] 在EVI网络系统中,数据报文携带了源MAC地址以及目的MAC地址,根据每个 数据报文中的目的MAC地址进行VLAN内转发或是选择不同的扩展VLAN跨EVI网络转发; 认证协议报文则被用以进行认证交互,其中携带需要认证的VLAN的相关信息或是相关 的认证结果。
[0051] 在此需要指出的是,在EVI网络中存在有些站点未配置认证服务器的情况,但是 在未配置认证服务器的中均预先存有配置认证服务器站点的的ED地址,当需要进行认 证时,未配置认证服务器的ED发送认证协议报文到配置了认证服务器站点的的m),该m)在 收到认证协议报文后进行透传处理给认证服务器,同时接收认证服务器的认证结果,通过 认证协议报文将认证结果返回给认证协议报文的发送m)。
[0052] S403, ED判断报文的目的MAC地址为近端MAC地址还是远端MAC地址:若目的MAC 为近端MAC地址,转至S404 ;若目的MAC为远端MAC地址,转至S405 ;
[0053] S404,K)对报文进行转发处理。
[0054] 若报文的目的MAC为近端MAC地址,说明该报文为当前所属站点内的终端设备 相互发送的报文,或是由其他发送至当前ED所属站点内终端设备的报文,对于这种类型 的报文,可依据现有技术中的流程对该报文进行转发,在此不再赘述。
[0055] S405, ED查询该远端MAC地址对应的VLAN是否已认证通过,若是,则转至S404 ;若 否,贝1J转至S406。
[0056] 具体地,在该步骤中,ED为当前EVI网络中的各扩展VLAN设置一个认证标志位, 在接收到远端MAC地址后,通过查询与该远端MAC地址相应的扩展VLAN的认证标志位,从 而确定扩展VLAN的认证状态。
[0057] 在查询到扩展VLAN的认证状态为通过后,ED转发所述数据报文。
[0058] S406, ED向认证服务器发送认证请求。
[0059] 若当前的远端MAC地址对应的扩展VLAN的认证状态为未通过,说明该扩展VLAN 当前尚处于不允许访问或是尚未验证的状态,因此ED将该扩展VLAN的相关信息携带在认 证协议报文内发送至认证服务器进行进一步的验证。
[0060] S407, ED根据接收的认证结果判断认证是否通过,若认证通过,转至S409 ;若认证 不通过,则转至S408。
[0061] S408,ED 丢弃报文。
[0062] S409, ED转发所述数据报文,同时,该ED设置所述扩展VLAN为认证通过状态,并 将所述扩展VLAN的认证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述 其它ED将所述扩展VLAN的认证状态设置为认证通过状态。
[0063] S410, ED将认证协议报文发送至认证服务器。
[0064] 由于未配置认证服务器的ED均通过其他ED的认证服务器对远端MAC地址所对应 的VLAN进行认证,因此若当前ED若收到来自于其他ED的认证协议报文,则直接将该认证 协议报文发送至认证服务器进行认证。
[0065] S411, ED接收认证服务器返回的认证结果。
[0066] S412, 将认证结果返回至认证协议报文的发送设备。
[0067] 为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方 案进行说明。
[0068]如图5所示,为本发明具体实施例所提出的一种流量转发方法的流程示意图,在 该具体实施例中,evi的网络架构示意图如图6所示,认证服务器被配置在mn,终端A向终 端C发送报文,具体步骤如下:
[0069] S501,终端A向EDI发送目的MAC地址为终端C的跨EVI网络报文;
[0070] S502, EDI向认证服务器发送认证请求,认证请求中携带与目的MAC地址相对应的 扩展VLAN2的信息;
[0071] 在Hello报文交互之后,EVI-ISIS邻居建立,而各个扩展VLAN被下发到驱动层 面,驱动为各扩展VLAN设置对应的认证标志位,并将其置〇,设为认证不通过状态,与该扩 展VLAN相关的数据报文无法被转发。
[0072] 当EVI网络中的ED通过EVI-ISIS学习远端MAC时,ED将这些MAC下发到驱动层 面;并为每个MAC所对应的扩展VLAN设置一个认证标志位,在尚未进行任何认证的情况下 ED中所有扩展VLAN对应的认证标志位均默认为不允许报文转发的认证不通过状态。
[0073] 在该步骤中,由于EDI保存有终端C的远端MAC表项,因此当接收到终端A发出的 目的MAC为终端C的报文时,EDI触发认证流程,以终端C目的MAC所对应的扩展VLAN2的 VLAN tag信息为验证信息,向认证服务器申请认证请求。
[0074] S503,认证服务器向H)1返回认证结果;
[0075] S504, EDI根据认证结果发送报文;
[0076] 在收到认证结果后,若认证结果为通过,转发所述数据报文,同时,EDI将与终端C 的远端MAC表项所对应的扩展VLAN2置于认证通过状态(即将认证标志位置1),并将所述扩 展VLAN的认证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它ED 将所述扩展VLAN的认证状态设置为认证通过状态,至此与扩展VLAN2所对应的MAC地址的 报文均可在EVI网络中被转发;若认证结果不通过,则EDI将该报文丢弃处理。
[0077] 将所述扩展VLAN的认证状态通过链路状态包LSP通告所述EVI网络中的其 它ED,以使所述其它ED将所述扩展VLAN的认证状态设置为认证通过状态具体可以包 括:为 EVI-ISIS LSP 的 MAC-Reachability TLV 设计 Authentication 字段,该字段会和 MAC-Reachability TLV-起封装在EVI-ISIS LSP中,在初始状态下,所有的认证标志位都 为0。
[0078] MAC-Authentication TLV的格式如图7所不,其中的部分如下:
[0079] Type :MAC_RI,147。
[0080] Length :5+7稍,N表不本地认证MAC的数量。
[0081] Topology-Id/Nickname :依赖于实际应用环境来标识发送者。EVI中该字段无效, 被设置为〇,表示后面的MAC地址可以通过源ED到达,不用区分拓扑和Nickname。
[0082] Confidence:可信度。用于对冲突MAC的优选。如果使用的话,需增加相关命令 行,暂时不支持配置,填0。
[0083] RESV :保留位,填 0。
[0084] VLAN-ID :允许后面的MAC地址通过的VLAN。如果是0,则表示没有限定VLAN。
[0085] MAC :本地MAC地址信息。
[0086] Auth :VLAN 的认证状态。
[0087]以上消息格式仅为本发明所提出的一种优选的实施方式,本领域技术人员可以在 其技术上进行改进以及修饰,这样的调整均在本发明的保护范围之内。
[0088] S5〇5,终端C向ED2发送目的MAC地址为终端A的响应报文;
[0089] S5〇6, ED2向认证服务器发送携带与目的MAC地址相对应的扩展VLAN1的信息的 认证请求;
[0090]当终端c收到该报文后,回应一个应答报文,报文目的MAC为终端A,此时0)2触发 扩展VLAN1的认证。由于ED2没有配置任何认证服务器,因此ED2将认证请求报文通过隧 道封装将该报文透传给EDI,EDI收到该封装报文后解封装并向服务器发送。
[0091]需要说明的是,当ED跨越EVI网络发送认证请求报文时,是通过GRE type=6558 的协议封装方式将报文在扩展VLAN在EVI隧道内进行转发。当该报文到达EVI隧道对端 时,对端设备解析GRE封装类型为协议封装,将该报文上送(PU进行解析,当解析出来报文 是认证协议报文时,根据自己的认证服务器配置,将该报文转发到对应的认证服务器上,并 记录报文的源ELink。
[0092] S507,认证服务器向ED2返回认证结果;
[0093] 收到认证服务器回应后,EDI通过隧道封装将该认证结果返回给ED2。具体地,ED 根据上一步骤中所记录的报文源ELink,将认证结果再次以GRE协议封装向该ELink发送。
[0094] S508,ED2根据认证结果发送报文。
[0095] 基于与上述方法同样的发明构思,,如图8所示,本申请还提供了 一种边缘设备 ED,包括:
[0096] 接口模块81,用于接收以远端MAC地址为目的MAC的数据报文;
[0097] 查询模块82,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证状 态;
[0098] 若所述扩展VLAN为认证通过状态,所述查询模块82通过所述接口模块81转发所 述数据报文;
[0099] 若所述扩展VLAN为认证不通过状态,所述查询模块82通过所述接口模块81向认 证服务器发送针对所述扩展VLAN认证请求,并在所述认证请求通过后通过所述接口模块 81转发所述数据报文。
[0100] 在具体的应用场景中,所述查询模块82,还用于在所述认证请求通过后设置所述 扩展VLAN为认证通过状态,并通过所述接口模块81将所述扩展VLAN的认证状态通过链路 状态包LSP通告所述EVI网络中的其它ED,以使所述其它ED将所述扩展VLAN的认证状态 设置为认证通过状态。
[0101] 本发明实施例中:
[0102] 所述查询模块82,具体用于针对所述EVI网络的各扩展VLAN设置有认证状态标志 位,所述认证状态标志位在初始时均为不允许报文转发的认证不通过状态。
[0103] 本发明实施例中,所述认证服务器位于该H)所在站点时,所述接口模块81还用于 该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并将所述认证服务器 返回的认证结果返回至发送该认证请求报文的其它站点ED。
[0104] 由此可见,通过应用以上技术方案,ED在接收到以远端MAC地址为目的MAC的数 据报文后,基于该远端MAC地址所对应的扩展VLAN的认证状态判断是否转发报文,并在认 证状态不通过的情况下进一步地就该扩展VLAN向认证服务器进行认证,从而在在占用较 少网络管理资源的前提下,实现了 EVI网络中所有流量的实时认证转发。
[0105] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通 过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发 明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储 介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以 是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
[0106] 本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或 流程并不一定是实施本发明所必须的。
[0107] 本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进 行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装 置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0108] 上述本发明序号仅仅为了描述,不代表实施场景的优劣。
[0109] 以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本 领域的技术人员能思之的变化都应落入本发明的保护范围。
【权利要求】
1. 一种流量转发方法,其特征在于,包括: 以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制MAC地址为目 的MAC的数据报文,该ED查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证状态; 若所述扩展VLAN为认证通过状态,该ED转发所述数据报文; 若所述扩展VLAN为认证不通过状态,该ED向认证服务器发送针对所述扩展VLAN的认 证请求,并在所述认证请求通过后转发所述数据报文。
2. 如权利要求1所述的方法,其特征在于,该ED在所述认证请求通过后,还包括: 该ED设置所述扩展VLAN为认证通过状态,并将所述扩展VLAN的认证状态通过链路状 态包LSP通告所述EVI网络中的其它ED,以使所述其它ED将所述扩展VLAN的认证状态设 置为认证通过状态。
3. 如权利要求1所述的方法,其特征在于,所述ED针对所述EVI网络的各扩展VLAN设 置有认证状态标志位,所述认证状态标志位在初始时均为不允许报文转发的认证不通过状 态。
4. 如权利要求1所述的方法,其特征在于,所述认证服务器位于该ED所在站点时,还包 括: 该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并将所述认证服 务器返回的认证结果返回至发送该认证请求报文的其它站点ED。
5. -种边缘设备ED,其特征在于,包括: 接口模块,用于接收以远端MAC地址为目的MAC的数据报文; 查询模块,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证状态; 若所述扩展VLAN为认证通过状态,所述查询模块通过所述接口模块转发所述数据报 文; 若所述扩展VLAN为认证不通过状态,所述查询模块通过所述接口模块向认证服务器 发送针对所述扩展VLAN认证请求,并在所述认证请求通过后通过所述接口模块转发所述 数据报文。
6. 如权利要求5所述的H),其特征在于, 所述查询模块,还用于在所述认证请求通过后设置所述扩展VLAN为认证通过状态,并 通过所述接口模块将所述扩展VLAN的认证状态通过链路状态包LSP通告所述EVI网络中 的其它ED,以使所述其它ED将所述扩展VLAN的认证状态设置为认证通过状态。
7. 如权利要求5所述的ED,其特征在于,还包括: 所述查询模块,具体用于针对所述EVI网络的各扩展VLAN设置有认证状态标志位,所 述认证状态标志位在初始时均为不允许报文转发的认证不通过状态。
8. 如权利要求5所述的ED,其特征在于,所述认证服务器位于该IBD所在站点时,所述 接口模块还用于该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并将 所述认证服务器返回的认证结果返回至发送该认证请求报文的其它站点H)。
【文档编号】H04L12/46GK104219124SQ201310211273
【公开日】2014年12月17日 申请日期:2013年5月30日 优先权日:2013年5月30日
【发明者】陆璐 申请人:杭州华三通信技术有限公司