一种应用于VXLAN的设备管理方法及装置与流程

本发明涉及通信领域，特别是涉及一种应用于VXLAN的设备管理方法及装置。
背景技术：
：虚拟扩展局域网(VXLAN：VirtualExtensibleLocalAreaNetwork)是一种大二层的虚拟网络技术，主要技术原理是引用一个用户数据协议(UDP：UserDataProtocol)格式的外层隧道，作为数据的链路层，而原有数据报文内容作为隧道净荷来传输，由于外层采用了UDP作为传输手段，就可以让净荷数据轻而易举的在二、三层网络中传送。VXLAN使用24位标识符，最多可支持24次方个VXLAN，解决了传统二层网络VLAN资源不足的问题。现有技术中，网络设备虚拟化的可划分资源为硬件资源，即将网络设备的硬件资源进行虚拟化，具体是：将板卡、端口等硬件资源划分到独立的虚拟网络设备，方便每个虚拟网络设备对分到的硬件资源进行配置。但是，在某些特定条件下，比如网络设备硬件资源有限或者特定的组网环境中流量的入接口或出接口共用时，硬件资源将不能划分给某一个单独的虚拟网络设备去管理，即无法使虚拟网络设备达到自我管理的目的。技术实现要素：本发明提供一种应用于VXLAN的设备管理方法及装置，以在某些特定条件下，比如网络设备硬件资源有限或者特定的组网环境中流量的入接口或出接口共用，导致硬件资源不能划分给某一个单独的虚拟网络设备去管理时，使得虚拟网络设备可以达到自我管理的目的。根据本发明的第一方面，提供一种应用于VXLAN的设备管理方法，该方法包括：接收VXLAN报文；根据VXLAN报文携带的VXLAN标识ID在本设备虚拟出的n台虚拟网络设备中找到满足条件的虚拟网络设备，所述条件为：分配到的VXLAN资源对应的ID为所述VXLANID；将所述VXLAN报文转发给满足条件的虚拟网络设备，以使所述虚拟网络设备基于本地策略对所述VXLAN报文进行管理。根据本发明的第二方面，提供一种应用于VXLAN的设备管理装置，该装置包括：接收单元，用于接收VXLAN报文；查找单元，用于根据VXLAN报文携带的VXLAN标识ID在本设备虚拟出的n台虚拟网络设备中找到满足条件的虚拟网络设备，所述条件为：分配到的VXLAN资源对应的ID为所述VXLANID；转发单元，用于将所述VXLAN报文转发给满足条件的虚拟网络设备，以使所述虚拟网络设备基于本地策略对所述VXLAN报文进行管理。为更好的地实现本发明的第一方面，本发明还提供了一种应用于管理设备的方法，该方法包括：在物理网络设备上虚拟出至少一台虚拟网络设备，不同虚拟网络设备具有不同的设备标识；为每台虚拟网络设备分配VXLAN资源，为不同虚拟网络设备分配的VXLAN资源不能重叠；根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应所述业务角色的报文策略，将所述报文策略记录至该虚拟网络设备，以使该虚拟网络设备利用所述报文策略对报文进行管理。为更好地实现本发明的第二方面，本发明还提供了一种应用于管理设备的装置，该装置包括：虚拟单元，用于在物理网络设备上虚拟出至少一台虚拟网络设备，不同虚拟网络设备具有不同的设备标识；资源分配单元，用于为每台虚拟网络设备分配VXLAN资源，为不同虚拟网络设备分配的VXLAN资源不能重叠；策略生成单元，用于根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应所述业务角色的报文策略，将所述报文策略记录至该虚拟网络设备，以使该虚拟网络设备利用所述报文策略对报文进行管理。由以上方法可以看出，本发明将VXLAN作为一种资源，在将物理网络设备虚拟为至少一台虚拟网络设备时，将VXLAN资源分配给不同的虚拟网络设备，并根据VXLAN资源中VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应所述业务角色的报文策略，记录至对应的虚拟网络设备中。则在此基础上，物理网络设备将根据接收到的VXLAN报文携带的ID为该报文找到满足条件的虚拟网络设备，并将VXLAN报文转发给该满足条件的虚拟网络设备，以使所述虚拟网络设备基于本地策略对所述VXLAN报文进行管理，即达到虚拟网络设备自我管理的目的。附图说明图1是本发明实施例中应用于VXLAN的设备虚拟化场景示意图。图2是本发明提供的一种应用于VXLAN的设备管理方法流程图。图3是本发明提供的一种应用于管理设备的方法流程图。图4是VXLAN报文的结构示意图。图5是本发明提供的一种应用于VXLAN的设备管理方法的一个实施例组网结构示意图。图6是本实施中不同虚拟透明传输设备下的策略配置图。图7是本发明提供的一种应用于VXLAN的设备管理装置结构图。图8是本发明提供的一种应用于管理设备的装置结构图。具体实施方式为了使本
技术领域：
的人员更好的理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中的技术方案作进一步详细的说明。本发明的核心构思是将VXLAN作为一种资源，在将物理网络设备虚拟为至少一台虚拟网络设备时，将VXLAN资源分配给不同的虚拟网络设备，并根据VXLAN资源中VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应所述业务角色的报文策略，记录至对应的虚拟网络设备中。则在此基础上，物理网络设备将把接收到的VXLAN报文转发给满足条件的虚拟网络设备，以使所述虚拟网络设备基于本地策略对所述VXLAN报文进行管理，即达到虚拟网络设备自我管理的目的。基于该发明构思，图1中给出了物理网络设备虚拟化以及VXLAN资源分配的一个示例，具体的虚拟化过程以及VXLAN资源分配过程将在后续实施例中详细描述，在此不再赘述。需要指出的是，根据国际互联网工程任务组(IETF：TheInternetEngineeringTaskForce)给出的VXLAN标准草案：VXLAN使用24位标识符，支持16777216个VXLAN，则在将物理网络设备虚拟为至少一台虚拟网络设备时，可将1-16777215中的一个或多个VXLAN资源分配给不同的虚拟网络设备，不同虚拟网络设备所包含的VXLAN资源不能重叠。参见图1，图1是本发明实施例中应用于VXLAN的设备虚拟化场景示意图。如图1所示的场景示意图包括了物理网络设备、虚拟机(VM：VirtualMachine)、VXLAN隧道端点(VTEP：VXLANTunnelEndPoint)以及路由器等。以下将对本场景示意图中的各个设备作简要介绍：物理网络设备：本实施例中，物理网络设备可以为透明传输设备，关于透透明传输设备，将在后续实施例中详细描述，在此不再赘述。路由器：网络之间互联的协议IP网络的核心设备，负责根据VXLAN报文中的目的IP地址对VXLAN报文进行三层转发。VM：可以是在服务器上虚拟出来的任意设备，比如虚拟用户设备、虚拟服务器等。不同的VM可分属于不同的VXLAN，如图1中，VM1和VM2属于VXLAN2，VM3属于VXLAN1。需要指出的是，VM可以承担不同的业务，且属于不同VXLAN的VM之间二层隔离，属于相同VXLAN的VM则属于同一个逻辑二层网络，彼此之间二层互通。VTEP：VXLAN的边缘设备，可以识别发送VXLAN报文的VM所属VXLAN的VXLAN标识，并负责完成VXLAN报文的封装和解封装、以及基于VXLAN数据帧的二层转发。VTEP与物理网络相连，分配有物理网络的IP地址，且该IP地址与虚拟网络无关。需要指出的是，VTEP可以是一台独立的物理网络设备，也可以是VM所在的服务器。至此完成对图1的说明。下面通过图2对本发明提供的方法进行描述：本发明提供的方法能够在某些特定条件下，比如网络设备硬件资源有限或者特定的组网环境中流量的入接口或出接口共用，导致硬件资源不能单纯地划分给某一个单独的虚拟网络设备去管理时，使得虚拟网络设备达到自我管理的目的。参见图2，图2为本发明提供的一种应用于VXLAN的设备管理方法流程图，该方法应用于物理网络设备上，其流程可以包括以下步骤：步骤201：物理网络设备接收VXLAN报文。本实施例中，物理网络设备可以为物理透明传输设备，透明传输设备包括但不限于：入侵防御系统IPS、上网行为管理及流控设备UAG。需要指出的是，物理网络设备将从相同的入接口接收VXLAN报文。步骤202：物理网络设备根据VXLAN报文携带的VXLAN标识ID在本设备虚拟出的n台虚拟网络设备中找到满足条件的虚拟网络设备，上述条件为：分配到的VXLAN资源对应的ID为上述VXLANID。本实施例中，当接收到VXLAN报文时，物理网络设备将在本地保存的VXLAN资源映射表中找到与上述VXLAN报文携带的ID匹配的映射表项，然后将找到的映射表项中虚拟网络设备标识对应的虚拟网络设备作为上述满足条件的虚拟网络设备。其中，VXLAN资源映射表中的每一映射表项包含虚拟网络设备的标识以及该虚拟网络设备被分配到的VXLAN资源ID，如表1所示：虚拟网络设备1VXLAN1虚拟网络设备2VXLAN2、VXLAN3表1本实施例中，将物理网络设备虚拟为n台虚拟网络设备的过程将在下面应用于管理设备的方法流程中详细描述，在此不再赘述。步骤203：物理网络设备将上述VXLAN报文转发给满足条件的虚拟网络设备，以使上述虚拟网络设备基于本地策略对上述VXLAN报文进行管理。至此，完成图2所示的流程。为更好的实现上述方法，本发明还提供了一种应用在管理设备上的方法，该方法可包含以下步骤：步骤301：管理设备在物理网络设备上虚拟出至少一台虚拟网络设备，不同虚拟网络设备具有不同的设备标识。步骤302：管理设备为每台虚拟网络设备分配VXLAN资源，为不同虚拟网络设备分配的VXLAN资源不能重叠。步骤303：管理设备根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应上述业务角色的报文策略，将上述报文策略记录至该虚拟网络设备，以使该虚拟网络设备利用上述报文策略对报文进行管理。本实施例中，管理设备根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应上述业务角色的报文策略的过程将在下述实施例中具体解释，在此不再赘述。通过图2、图3所示可以看出，本发明将VXLAN作为一种资源，在将物理网络设备虚拟为至少一台虚拟网络设备时，将VXLAN资源分配给不同的虚拟网络设备，并根据VXLAN资源中VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应上述业务角色的报文策略，记录至对应的虚拟网络设备中。则在此基础上，物理网络设备将根据接收到的VXLAN报文携带的ID为该报文找到满足条件的虚拟网络设备，并将VXLAN报文转发给该满足条件的虚拟网络设备，以使上述虚拟网络设备基于本地策略对上述VXLAN报文进行管理，即达到虚拟网络设备自我管理的目的。下面通过一个优选的实施例对图2的流程进行描述：本发明提供的方法能够在某些特定条件下，比如网络设备硬件资源有限或者特定的组网环境中流量的入接口或出接口共用，导致硬件资源不能单纯地划分给某一个单独的虚拟网络设备去管理时，使得虚拟网络设备可以达到自我管理的目的。为了更好的说明在上述特定条件下，本实施例一种应用于VXLAN的设备管理方法将如何使得虚拟网络设备达到自我管理的目的，下面通过图4示出了VXLAN报文的格式，明确VXLAN报文的格式将有助于我们更好地理解VXLANID在本发明构思中扮演的角色。参见图4，图4为VXLAN报文的格式示意图。从图中可以看出，VXLAN报文从整体上包括内层的原始净荷和外层的VXLAN隧道两个部分，在VXLAN隧道中使用VXLAN网络标识(VNI：VXLANNetworkIdentifier)这一字段来存储VXLANID。本应用场景中，当接收到VM发送的报文时，VTEP将把该报文作为原始净荷，在该原始净荷的外层封装VXLAN隧道，并将该VXLAN报文所属VXLAN的标识添加至VNI字段中。至此完成对VXLAN报文格式的描述。参见图5，图5是本发明提供的一种应用于VXLAN的设备管理方法的一个实施例组网结构示意图。与图1不同的是，本实施例组网结构示意图将图1中的物理网络设备具体为了透明传输设备，常见的透明传输设备可以是入侵防御系统(IPS：IntrusionPreventionSystem)、上网行为管理及流控设备(UAG：forefrontUnifiedAccessGateway)等。其中，IPS作为一部能够监视网络资料传输行为的计算机网络安全设备，是对防火墙和防病毒软件的补充，主要应用在四至五层。UAG是新一代网络应用层管理产品，不仅可帮助用户合理利用网络带宽、提升工作效率以及规避法律风险，还可以全面管控企业员工的上网行为、妥善记录及审计各类行为日志，以供企业管理人员按需查看。根据本发明的核心构思，在此将物理透明传输设备虚拟为n台虚拟透明传输设备，不同虚拟透明传输设备具有不同的设备标识，如图5所示出的：虚拟透明传输设备1、虚拟透明传输设备2……虚拟透明传输设备n。需要指出的是，根据本发明实施例中物理透明传输设备的规格，n的取值范围可以为1≤n≤1024。然后为每台虚拟透明传输设备分配VXLAN资源，为不同虚拟透明传输设备分配的VXLAN资源不能重叠。如图5所示出的：将VXLAN1分配给虚拟透明传输设备1、将VXLAN2、VXLAN3分配给虚拟透明传输设备2……其中，VXLANx，比如VXLAN1，为VXLAN的标识ID。在此之后，根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟透明传输设备生成对应业务角色的报文策略，将报文策略记录至该虚拟透明传输设备，以使该虚拟透明传输设备利用上述报文策略对报文进行管理。本实施例中，透明传输设备可配置的策略包括但不限于：入侵防御、限速、行为审计、访问控制、带宽保证等。设定如下关系：策略1—入侵防御、策略2—限速、策略3—行为审计、策略4—访问控制、策略5—带宽保证则图6示出了本实施例中管理设备为不同虚拟透明传输设备配置的策略。为了更好的说明管理设备将如何根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟透明传输设备生成对应业务角色的报文策略，可以设VM1所承担的业务角色为某公司的产品部门，VM2所承担的业务角色为某公司的广告部门，从图5中可以看出，VM1和VM2所在的VXLAN2资源被分配给了虚拟透明传输设备2，则由于产品部门和广告部门都需要收集大量的创意资源，所以需要为其配置较高的带宽以提高创意产量，又广告部门同时承担公司的公众形象设计及宣传工作，所以需要确保该部门工作人员对外发布的消息符合公司的理念及利益。基于此，为虚拟透明传输设备2配置的策略可以为：策略3_2：对转发至虚拟透明传输设备2的VXLAN报文执行以下动作：对该报文的内容进行关键字识别、记录及阻断等，确保外发言论的正当性。策略5_2：保证转发至虚拟透明传输设备2的VXLAN报文获得的带宽至少为3GB/s。同理，设VM3所承担的业务角色为某公司的研发部门，从图5中可以看出，VM3所在的VXLAN1资源被分配给了虚拟透明传输设备1，则由于研发部门的工作人员需要收集大量的科研资料但并不需要访问娱乐性网站，所以为虚拟透明传输设备1配置的策略可以为：策略4_1：限制转发至虚拟透明传输设备1的VXLAN报文访问购物网站。策略5_1：保证转发至虚拟透明传输设备1的VXLAN报文获得的带宽至少为5GB/s。以下开始具体描述本优选实施例：参见图6，本实施例将以VM3经由VTEP1向物理透明传输设备发送VXLAN报文为例，具体描述本优选实施例将如何使得虚拟透明传输设备达到自我管理的目的。VM3向VTEP1发送报文1，报文1的源MAC地址为VM3的MAC地址，目的MAC地址为目的VM的MAC地址。需要指出的是，如果VM3不知道目的VM的MAC地址，则可以预先通过在组网内进行ARP广播的方式获取目的VM的MAC地址，这里获取目的VM的MAC地址的过程不属于本发明范围，故不详细描述。VTEP1通过用户侧端口接收报文1，并确定报文1所属的VXLAN标识：VXLAN1。VTEP1为报文1封装VXLAN隧道(将封装了VXLAN隧道的报文1记为VXLAN报文1)。该封装的VXLAN隧道包含报文1所属的VXLAN标识：VXLAN1，报文1的原有数据将作为VXLAN报文1的原始净荷进行传输。VTEP1将VXLAN报文1发送给物理透明传输设备。物理透明传输设备接收VXLAN报文1。物理透明传输确定接收到的VXLAN报文1为VXLAN报文。具体的，物理透明传输设备将判断接收到的VXLAN报文1中是否封装有VXLAN隧道，该VXLAN隧道中包含VXLAN标识：VXLAN1，如果VXLAN报文1封装有VXLAN隧道，则确定VXLAN报文1是VXLAN报文。物理透明传输设备识别上述VXLAN隧道中包含的VXLAN标识：VXLAN1。物理透明传输设备根据识别出的VXLAN标识VXLAN1在本地保存的VXLAN资源映射表中找到与VXLAN1匹配的映射表项，并将该映射表项中虚拟透明传输设备标识对应的虚拟透明传输设备作为上述满足条件的虚拟透明传输设备，即虚拟透明传输设备1。该映射表项已经在上述步骤202中以表1的形式示出，在此不再赘述。具体的，从图5示出的VXLAN资源映射图中也可以看出，本实施例中满足条件的虚拟透明传输设备为虚拟透明传输设备1。物理透明传输设备将VXLAN报文1转发至虚拟透明传输设备1，以使虚拟透明传输设备1基于本地的策略4_1、策略5_1对VXLAN报文1进行管理。需要指出的是，从图6可以看出，虽然虚拟透明传输设备1和虚拟透明传输设备2下都配置有策略5，但是因为策略5被配置在不同的虚拟透明传输设备下，所以根据VXLAN资源中VM业务角色的不同，管理设备为虚拟透明传输设备1和虚拟透明传输设备2配置的策略5也不相同，可分别表示为策略5_1何策略5_2。至此，完成对本优选实施例的描述。以上通过一个优选的实施例对本发明的方法进行了说明，通过该说明可以看出，本发明将VXLAN作为一种资源，在将物理网络设备虚拟为至少一台虚拟网络设备时，将VXLAN资源分配给不同的虚拟网络设备，并根据VXLAN资源中VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应上述业务角色的报文策略，记录至对应的虚拟网络设备中。则在此基础上，物理网络设备将根据接收到的VXLAN报文携带的ID为该报文找到满足条件的虚拟网络设备，并将VXLAN报文转发给该满足条件的虚拟网络设备，以使上述虚拟网络设备基于本地策略对上述VXLAN报文进行管理，即达到虚拟网络设备自我管理的目的。以上对本发明提供的方法进行了描述，下面对本发明提供的装置进行描述：对于装置实施例而言，由于其基本对应方法实施例，所以相关之处参见方法实施例的部分说明即可。以下所描述的装置实施例仅仅是示意性的，其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方法的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。请参考图7，图7是本发明提供的一种应用于VXLAN的设备管理装置结构图，该装置包括：接收单元710、查找单元720、转发单元730。接收单元710，用于接收VXLAN报文。查找单元720，用于根据VXLAN报文携带的VXLAN标识ID在本设备虚拟出的n台虚拟网络设备中找到满足条件的虚拟网络设备，上述条件为：分配到的VXLAN资源对应的ID为上述VXLANID。转发单元730，用于将上述VXLAN报文转发给满足条件的虚拟网络设备，以使上述虚拟网络设备基于本地策略对上述VXLAN报文进行管理。作为一个优选的实施例，上述装置可以为透明传输装置，上述透明传输装置包括但不限于：入侵防御系统IPS、上网行为管理及流控设备UAG。作为另一个优选的实施例，上述查找单元720包括：查找子单元721、确定子单元722。查找子单元721，用于在本地保存的VXLAN资源映射表中找到与上述VXLAN报文携带的ID匹配的映射表项，VXLAN资源映射表中的每一映射表项包含虚拟网络设备的标识以及该虚拟网络设备被分配到的VXLAN资源ID。确定子单元722，用于将上述找到的映射表项中虚拟网络设备标识对应的虚拟网络设备作为上述满足条件的虚拟网络设备。至此，完成对图7所示装置结构的描述。请参考图8，图8是本发明提供的一种应用于管理设备的装置结构图，该装置包括：虚拟单元810、资源分配单元820、策略生成单元840。虚拟单元810，用于在物理网络设备上虚拟出至少一台虚拟网络设备，不同虚拟网络设备具有不同的设备标识。资源分配单元820，用于为每台虚拟网络设备分配VXLAN资源，为不同虚拟网络设备分配的VXLAN资源不能重叠。策略生成单元840，用于根据VXLAN资源中虚拟机VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应上述业务角色的报文策略，将上述报文策略记录至该虚拟网络设备，以使该虚拟网络设备利用上述报文策略对报文进行管理。作为另一个优选的实施例，该装置进一步包括：映射表记录单元830。映射表记录单元830，用于生成VXLAN资源映射表并记录至上述物理网络设备，以使物理网络设备基于上述VXLAN资源映射表并根据VXLAN报文携带的VXLANID转发报文至对应的虚拟网络设备，其中，VXLAN资源映射表中的每一映射表项包含虚拟网络设备的标识以及该虚拟网络设备被分配到的VXLAN资源ID。至此，完成对图8所示装置结构的描述。由以上装置实施例可以看出，本发明将VXLAN作为一种资源，在将物理网络设备虚拟为至少一台虚拟网络设备时，将VXLAN资源分配给不同的虚拟网络设备，并根据VXLAN资源中VM的业务角色为分配有该VXLAN资源的虚拟网络设备生成对应上述业务角色的报文策略，记录至对应的虚拟网络设备中。则在此基础上，物理网络设备将根据接收到的VXLAN报文携带的ID为该报文找到满足条件的虚拟网络设备，并将VXLAN报文转发给该满足条件的虚拟网络设备，以使上述虚拟网络设备基于本地策略对上述VXLAN报文进行管理，即达到虚拟网络设备自我管理的目的。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。当前第1页1 2 3