一种基于VXLAN隧道的网元管理方法及系统与流程

本发明涉及网络通信技术领域，具体涉及一种基于vxlan隧道的网元管理方法及系统。

背景技术

如图1所示，传统网元管理的方案如下：各网关网元有唯一的管理ip，网元之间通过管理信道形成独立的路由域，相互之间通过动态路由协议学习各自的路由；网管服务器部署在中心机房，与网关网元通过中间的ip承载网形成三层可达，所有的网管数据通过网关网元进行集中转发；ip承载网与传输网络是相互隔离的路由域。该网元管理方案存在的问题如下：

(1)ip承载网和传输网络没有做到严格的路由隔离

在上述方案中，网关网元的管理ip由ip承载网统一分配，ip承载网通常为运营商的办公网络，通过网关网元作为跳板，用户可以访问ip承载网中的任何公共路由器和服务器，从而形成比较明显的安全漏洞。

(2)网关网元管理效率低下

传统网元管理方案中，网管只与网关网元通信，所有非网关网元的管理信息需经过如下的传递路径：

网管—>网关网元接收—>网关网元处理—>网关网元转发—>非网关网元，反之亦然。由此可见，网关网元是整个传输网络的信息处理中心，当网络扩容到一定程度的时候，网关网元即成为性能瓶颈，工程中常见的网元脱管大多是由于网关网元的故障引起的。

(3)传统隧道技术无法适应云化网管多样的部署环境

为了避免网关网元成为网络的性能瓶颈，也可以使用传统隧道技术为网关网元建立虚拟专网(vpn)，通常使用gre隧道来实现。然而，在网管云化成为大趋势的情况下，gre隧道的安全性、与nat技术的不兼容等问题极大地限制了其实用的场景。

技术实现要素：

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于vxlan隧道的网元管理方法及系统，提高安全性和网元管理效率。

为达到以上目的，本发明采取的技术方案是：一种基于vxlan隧道的网元管理方法，包括以下步骤：

s1，为网管服务器和网关网元分配管理ip地址，管理ip地址与承载网ip地址相互独立；

s2，创建虚拟网关，根据管理ip地址建立网管服务器和虚拟网关之间的通信；

s3，配置虚拟网关和网关网元的承载网ip地址，在虚拟网关和网关网元之间建立三层vxlan隧道，并运行动态路由协议；

s4，根据管理ip地址，创建网关网元与各非网关网元之间的相互独立的网关网元路由域。

在上述技术方案的基础上，步骤s2中所述网管服务器和虚拟网关之间采用进程间通信方式或环回口通信方式。

在上述技术方案的基础上，步骤s3中所述三层vxlan隧道内vxlan数据包封装格式为外层以太头、外层ip头、外层udp头、vxlan头、内层ip头和净荷。

在上述技术方案的基础上，步骤s2中创建虚拟网关时，在网管服务器上创建虚拟网关，或将网管服务器和虚拟网关分别部署在不同的虚拟机上。

在上述技术方案的基础上，步骤s4中所述网关网元与各非网关网元之间通过带内通道传递管理信息。

本发明还提供一种基于vxlan隧道的网元管理系统，包括：

管理ip分配模块，其用于为网管服务器和网关网元分配管理ip地址，管理ip地址与承载网ip地址相互独立；

虚拟网关创建模块，其用于创建虚拟网关，根据管理ip地址建立网管服务器和虚拟网关之间的通信；

vxlan隧道创建模块，其用于配置虚拟网关和网关网元的承载网ip地址，在虚拟网关和网关网元之间建立三层vxlan隧道，并运行动态路由协议；

路由域创建模块，其用于根据管理ip地址，创建网关网元与各非网关网元之间的相互独立的网关网元路由域。

在上述技术方案的基础上，所述网管服务器和虚拟网关之间采用进程间通信方式或环回口通信方式。

在上述技术方案的基础上，所述三层vxlan隧道内vxlan报文封装格式为外层以太头、外层ip头、外层udp头、vxlan头、内层ip头和净荷。

在上述技术方案的基础上，所述虚拟网关创建模块创建虚拟网关时，在网管服务器上创建虚拟网关，或将网管服务器和虚拟网关分别部署在不同的虚拟机上。

在上述技术方案的基础上，所述网关网元与各非网关网元之间通过带内通道传递管理信息。

与现有技术相比，本发明的优点在于：

(1)本发明采用三层vxlan隧道，并为网管服务器和网关网元统一分配管理ip地址，管理ip地址分配与承载网ip地址分配相互独立，使得ip承载网与传输网络很好地进行隔离，很好地解决了传统方案ip承载网和传输网络没有做到严格的路由隔离，带来的安全性问题，同时简化了运维。

(2)本发明为网管服务器和网关网元统一分配管理ip地址，实现网管服务器可与所有的网关网元进行一对一通信以传递管理信息，根据管理ip地址，创建网关网元与各非网关网元之间的相互独立的网关网元路由域，并传递管理信息，提高网元管理效率，克服了传统方案以网关网元为信息处理中心，由网关网元的性能瓶颈限制网元管理效率的问题。

(3)由于vxlan隧道采用udp封装，udp封装技术与nat技术有很好的兼容性，进一步强化了网管的安全性以及部署的灵活性，克服了传统方案与基于ip层的gre隧道的安全性问题、与nat技术的不兼容等问题。

(4)引入了虚拟网关的组网方式，虚拟网关支持集中式部署和分布式部署，极大地提高了网管部署的灵活性，克服了传统方案部署的局限性。

(5)网管服务器显示网关网元脱管时，判断虚拟网关与该网关网元的承载网ip之间是否可以互通，若是，由传输网维护人员排障；若否，由承载网维护人员排障，故障排查职责分明，能很好地提高网络维护的效率。

附图说明

图1为背景技术中传统网元管理方案示意图；

图2为本发明实施例中基于vxlan隧道的网元管理方法的流程示意图；

图3为本发明实施例中基于vxlan隧道的网元管理方法的网元管理方案框架示意图；

图4为本发明实施例中基于vxlan隧道的网元管理方法的三层vxlan隧道示意图；

图5为本发明实施例中基于vxlan隧道的网元管理方法的三层vxlan隧道内vxlan报文与传统vxlan报文的差异；

图6为本发明实施例中基于vxlan隧道的网元管理系统的结构示意图。

具体实施方式

术语说明：

vxlan隧道：vxlan(virtualextensiblelan)，是一种网络虚似化技术，试图改进大型云计算的部署时的扩展问题。是对vlan的一种扩展，由于vlanheader头部限长是12bit,导致vlan的限制个数是2^12＝4096个，无法满足日益增长的需求。目前vxlan的报文header内有24bit，可以支持2^24次方的vni个数(vxlan中通过vni来识别，相当于vlanid)。vxlan隧道是一种将二层报文用三层协议进行封装的技术，可以对二层网络在三层范围进行扩展。

以下结合附图及实施例对本发明作进一步详细说明。

实施例1：

参见图2所示，本发明实施例提供一种基于vxlan隧道的网元管理方法，包括以下步骤：

s1，为网管服务器和网关网元分配管理ip地址，管理ip地址分配与承载网ip地址分配相互独立；

s2，创建虚拟网关，根据管理ip地址配置网管服务器和虚拟网关，建立网管服务器和虚拟网关之间的通信，并传递管理信息；该虚拟网关可以是网关程序的移植版本，也可以是第三方支持vxlan隧道的虚拟网关程序；

s3，配置虚拟网关和网关网元的承载网ip地址，在虚拟网关和网关网元之间建立三层vxlan隧道，并在三层vxlan隧道上运行动态路由协议；

s4，根据管理ip地址，创建网关网元与各非网关网元之间的相互独立的网关网元路由域，并传递管理信息。步骤s4中网关网元与各非网关网元之间通过带内通道传递管理信息。

本发明采用三层vxlan隧道，并为网管服务器和网关网元统一分配管理ip地址，管理ip地址分配与承载网ip地址分配相互独立，使得ip承载网与传输网络很好地进行隔离，解决了传统方案ip承载网和传输网络没有做到严格的路由隔离而带来的安全性问题，同时简化了运维。

本发明为网管服务器和网关网元统一分配管理ip地址，实现网管服务器可与所有的网关网元进行一对一通信以传递管理信息，根据管理ip地址，创建网关网元与各非网关网元之间的相互独立的网关网元路由域，并传递管理信息，提高网元管理效率，克服了传统方案以网关网元为信息处理中心，由网关网元的性能瓶颈限制网元管理效率的问题。

实施例2：

在实施例1的基础上，步骤s2中网管服务器和虚拟网关之间采用进程间通信方式或环回口通信方式。

参见图3和4所示，与传统的vxlan隧道不同的是，虚拟网关和网关网元之间的通信接口(图3中(b))采用的是三层vxlan隧道，其差别如图5所示，步骤s3中三层vxlan隧道内vxlan数据包封装格式为外层以太头、外层ip头、外层udp头、vxlan头、内层ip头和净荷。即三层vxlan隧道内vxlan报文不再包含内部以太头，以实现类似于gre隧道的三层vpn。

参见图3所示，网关网元接口(图3中(c))是传统的管理接口，该接口的ip地址不再由ip承载网分配，而是由传输网络统一规划的私有ip地址。

由于vxlan隧道采用udp封装，udp封装技术与nat技术有很好的兼容性，进一步强化了网管的安全性以及部署的灵活性，克服了传统方案与基于ip层的gre隧道的安全性问题、与nat技术的不兼容等问题。

实施例3：

在实施例1的基础上，步骤s2中创建虚拟网关时，在网管服务器上创建虚拟网关，支持集中式部署；或将网管服务器和虚拟网关分别部署在不同的虚拟机上，支持分布式部署，特别适合于云化网管的典型应用场景。本发明实施例引入了虚拟网关的组网方式，虚拟网关支持集中式部署和分布式部署，极大地提高了网管部署的灵活性，克服了传统方案部署的局限性。

步骤s4之后还包括以下步骤：网管服务器显示网关网元脱管时，判断虚拟网关与该网关网元的承载网ip之间是否可以互通，若是，由传输网维护人员排障；若否由承载网维护人员排障，实现故障排查职责分明，能很好地提高网络维护的效率。

实施例4：

参见图6所示，一种基于vxlan隧道的网元管理系统，包括：

管理ip分配模块，其用于为网管服务器和网关网元分配管理ip地址，管理ip地址分配与承载网ip地址分配相互独立；

虚拟网关创建模块，其用于创建虚拟网关，根据管理ip地址配置网管服务器和虚拟网关，建立网管服务器和虚拟网关之间的通信，并传递管理信息；该虚拟网关可以是网关程序的移植版本，也可以是第三方支持vxlan隧道的虚拟网关程序；

vxlan隧道创建模块，其用于配置虚拟网关和网关网元的承载网ip地址，在虚拟网关和网关网元之间建立三层vxlan隧道，并在三层vxlan隧道上运行动态路由协议；

路由域创建模块，其用于根据管理ip地址，创建网关网元与各非网关网元之间的相互独立的网关网元路由域，并传递管理信息。网关网元与各非网关网元之间通过带内通道传递管理信息。

实施例5：

在实施例4的基础上，网管服务器和虚拟网关之间采用进程间通信方式或环回口通信方式。

与传统的vxlan隧道不同的是，虚拟网关和网关网元之间的通信接口(图3中(b))采用的是三层vxlan隧道，其差别如图4所示，三层vxlan隧道内vxlan数据包封装格式为外层以太头、外层ip头、外层udp头、vxlan头、内层ip头和净荷。即三层vxlan隧道内vxlan报文不再包含内部以太头，以实现类似于gre隧道的三层vpn。

由于vxlan隧道采用udp封装，udp封装技术与nat技术有很好的兼容性，进一步强化了网管的安全性以及部署的灵活性，克服了传统方案与基于ip层的gre隧道的安全性问题、与nat技术的不兼容等问题。

实施例6：

在实施例4的基础上，虚拟网关创建模块创建虚拟网关时，在网管服务器上创建虚拟网关，支持集中式部署；或将网管服务器和虚拟网关分别部署在不同的虚拟机上，支持分布式部署，特别适合于云化网管的典型应用场景。本发明实施例引入了虚拟网关的组网方式，虚拟网关支持集中式部署和分布式部署，极大地提高了网管部署的灵活性，克服了传统方案部署的局限性。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。