设备硬件结构示意图;
[0061]图8为本发明实施例六提供的第二交换设备硬件结构示意图;
[0062]图9为本发明实施例七提供的数据帧的处理系统。
【具体实施方式】
[0063]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0064]为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
[0065]实施例一
[0066]下面以图1为例详细说明本发明实施例一提供的数据帧的处理方法,图1为本发明实施例一提供的数据帧的处理方法流程图,在本发明实施例中实施主体为第一交换设备,所述第一交换设备可具体为转发芯片。如图1所示,该实施例具体包括以下步骤:
[0067]步骤110、第一交换设备通过所述第一交换设备的第一端口接收网络设备发送的第一数据帧。
[0068]具体地,第一交换设备通过第一端口接收网络设备发送的第一数据帧,所述网络设备与第一交换设备直接连接。所述第一端口具体为所述第一交换设备与所述网络设备进行通信的端口。
[0069]其中,作为示例而非限定,所述第一数据帧可具体为LACP报文、标准以太网协议(Ethernet II)巾贞、虚拟化可扩展的局域网(Virtual extensible Local Area Network,简称:VXLAN)巾贞、使用通用路由封装实现的网络虚拟化(Network Virtualiza t 1n us ingGeneric Routing Encapsulat1n,简称:NVGRE)巾贞、L2TP-VP 巾贞等等。
[0070]可以理解的是,在第一数据帧中携带IP头部、MAC头部,在IP头部中存储着源IP地址,目的IP地址;在MAC头部中存储着源MAC地址,目的MAC地址。
[0071]在本发明实施中,所述第一交换设备与网络设备均可具体为为虚拟网络设备或者实体网络设备,例如,虚拟网络设备可具体为虚拟交换机vSwitch、虚拟防火墙、虚拟负载均衡器、虚拟网关等,实体网络设备可具体为交换机、服务器等等。
[0072]下面以第一交换设备为vSwitch、虚拟网络设备为虚拟防火墙、第一数据帧为LACP报文为例进行说明。
[0073]vSwitch通过自身的第一端口接收虚拟防火墙发送的第一 LACP报文,其中,虚拟防火墙与vSwitch直接连接,且虚拟防火墙与vSwitch运行在同一服务器内。
[0074]可以理解的是,当第一数据帧为LACP报文时,LACP报文的目的MAC地址为特定的目的MAC地址(例如,01-80-C2-00-00-02),并且,在该LACP报文中携带了虚拟防火墙的端口信息。
[0075]步骤120、根据所述第一端口,所述第一交换设备确定是否已存在与所述第一端口绑定的第二端口。
[0076]具体地,根据第一端口,第一交换设备从第一端口匹配表中查找是否已存储与第一端口绑定的第二端口 ;如果第一端口匹配表中已存储与第一端口绑定的第二端口,则第一交换设备确定已存在与第一端口绑定的第二端口。所述第二端口具体为第一交换设备与第二交换设备进行通信的端口。
[0077]所述第一端口匹配表中存储了与第一端口绑定的第二端口。
[0078]所述第二端口可具体是一个逻辑的端口,比如,一个对应隧道的端口,也可具体是一个真实的物理端口。
[0079]在本发明实施中,所述第二交换设备具体为以太网交换机。
[0080]根据前述的例子,根据第一端口,vSwitch从第一端口匹配表中查找是否已存储与第一端口绑定的第二端口,如果第一端口匹配表中已存储与第一端口绑定的第二端口,则vSwitch确定已存在与第一端口绑定的第二端口。
[0081 ] 在本发明实施例中,管理人员在先设置转发策略,S卩,管理人员在先设置从某个第一端口上接收到的所有或部分具有特定特征的帧被指定送到特定的第二端口进行转发,第一交换设备的处理器根据管理人员的设置将某个第一端口与特定的第二端口进行捆绑,生成第一端口匹配表,其中,具有特定特征具体是指帧具有相同的一元组(比如,源/目的IP地址)或者五元组(比如,源/目的IP地址、协议号、源/目的TCP/UDP端口)例如,第一端口 120接收到多个数据帧,第一端口 120将具有相同的源IP地址的数据帧均通过与第一端口 120绑定的第二端口 140进行转发。
[0082]第一交换设备可通过查找处理器生成的第一端口匹配表确定是否已存在与第一端口绑定的第二端口。
[0083]更进一步地,第一交换设备确定是否已存在与第一端口绑定的第二端口之前还包括第一交换设备在第一端口上学习源MAC地址的步骤。
[0084]第一交换设备接收到第一数据帧后,第一交换设备建立第一端口与源MAC地址的映射表,该表中存储了源MAC地址与第一端口的映射关系。
[0085]步骤130、如果所述第一交换设备确定已存在与所述第一端口绑定的所述第二端口,则所述第一交换设备获取所述第一交换设备的标识和所述第一端口的标识。
[0086]具体地,第一交换设备获取第一交换设备的标识和第一端口的标识。
[0087]在本发明实施例中,第一交换设备的标识具体是指具有唯一表征该第一交换设备的标识;第一端口的标识具体是指能直接或间接反映接收数据帧的端口信息的标识。
[0088]其中,作为示例而非限定,所述第一交换设备的标识具体为第一交换设备的IP地址或者MAC地址;所述第一端口的标识具体为第一端口在第一交换设备中的端口号。
[0089]根据前述的例子,vSwitch获取vSwitch的IP地址(例如,60.60.60.10),将IP地址作为vSwitch的标识;vSwitch获取第一端口的端口号(例如,120),将端口号作为第一端口的标识。
[0090]步骤140、所述第一交换设备通过所述第二端口向第二交换设备发送第二数据帧,所述第二数据帧携带所述第一交换设备的标识和所述第一端口的标识。
[0091]具体地,第一交换设备获取第一交换设备的标识和第一端口的标识后,生成第二数据帧,所述第二数据帧携带第一交换设备的标识和第一端口的标识。
[0092]根据步骤120中确定出的与第一端口绑定的第二端口,第一交换设备通过第二端口向第二交换设备发送第二数据帧,以使得第二交换设备从第二数据帧中获取第一交换设备的标识和第一端口的标识,并将第一交换设备的标识和第一端口的标识的组合作为网络设备接入到第二交换设备的虚拟端口标识。同时,以太网交换机还可从第二 LACP报文中获取虚拟防火墙的端口信息,进而对虚拟防火墙及其端口的可用性进行确定
[0093]所述虚拟端口标识用于,当第一交换设备接收到第二交换设备发送的数据帧时,第一交换设备根据数据帧中携带的虚拟端口标识,将数据帧转发至网络设备中,进而实现网络设备与第二交换设备之间的交互通信。
[0094]在本发明实施例中,第一交换设备将第一交换设备的标识携带在第二数据帧的IP头部或MAC头部中;将第一端口的标识携带在用于封装第二数据帧的隧道头部中。
[0095]例如,以第一交换设备将第一端口的标识携带在第二数据帧中的隧道头部为例说明。如图2-A、图2-B以及图2-C所示的VXLAN头部、NVGRE头部以及L2TP-VP头部,在VXLAN头部、NVGRE头部以及L2TP-VP头部中携带了第一端口的标识。
[0096]其中,作为示例而非限定,所述第二数据帧可具体为LACP报文、EthernetII帧、VXLAN 帧、NVGRE 帧、L2TP-VP 帧等等。
[0097]根据前述的例子,由于vSwitch在步骤110中接收到的第一数据帧为第一 LACP报文,则在本步骤中,vSwitch生成的第二数据帧为第二 LACP报文。
[0098]vSwitch获取vSwitch的IP地址和第一端口的端口号后,生成第二 LACP报文,所述第二 LACP报文携带第一交换设备的IP地址和第一端口的端口号。
[0099]根据步骤120中确定出的与第一端口绑定的第二端口,vSwitch通过第二端口向以太网交换机发送第二 LACP,以使得以太网交换机从第二 LACP报文中获取vSwitch的IP地址和第一端口的端口号,并将vSwitch的IP地址和第一端口的端口号的组合作为虚拟防火墙接入到以太网交换机的虚拟端口标识。同时,以太网交换机还可从第二 LACP报文中获取虚拟防火墙的端口信息,进而对虚拟防火墙及其端口的可用性进行确定。
[0100]当vSwitch接收到以太网交换机发送的数据巾贞时,vSwitch根据数据巾贞中携带的虚拟端口标识,将数据帧转发至虚拟防火墙中,进而实现虚拟防火墙与以太网交换机之间的交互通信。
[0101]如图3所示,图3为本发明实施例提供的数据帧的处理方法示例图;在图3中,网络设备为虚拟防火墙,第一交换设备为vSwitch,第二交换设备为以太网交换机,其中,虚拟防火墙与vSwitch运行在同一服务器中。
[0102]在图3中,vSwitch通过第一端口接收虚拟防火墙发送的第一 LACP报文。vSwitch根据第一端口,确定是否已存在与第一端口绑定的第二端口。如果已存在与第一端口绑定的第二端口,则vSwitch不再识别第一 LACP报文携带的目的MAC地址,而获取vSwitch的IP地址(例如,60.60.60.10)以及第一端口在vSwitch中的端口号(例如,120)。vSwitch获取vSwitch的IP地址和第一端口的端口号后,vSwitch生成第二 LACP报文,所述第二LACP报文携带IP地址和第一端口的端口号。
[0103]vSwitch通过第二端口向以太网交换机发送第二 LACP报文,以使得以太网交换机从第二 LACP报文中获取vSwitch的IP地址和第一端口的端口号,并将vSwitch的IP地址和第一端口的端口号的组合作为虚拟防火墙接入到以太网交换机的虚拟端口标识。同时,以太网交换机还可从第二 LACP报文中获取虚拟防火墙的端口信息,进而对虚拟防火墙及其端口的可用性进行确定,并与网络设备进行交互通信。
[0104]因此,通过应用本发明实施例提供的数据帧的处理方法,第一交换设备根据接收网络设备发送的第一数据帧的第一端口,确定绑定的第二端口,第一交换设备获取第一交换设备的标识和第一端口的标识,并将第一交换设备的标识和第一端口的标识携带在第二数据帧中,向第二交换设备发送第二数据帧,以使得第二交换设备接收第二数据帧,并将第一交换设备的标识和第一端口标识的组合作为网络设备接入到第二交换设备的虚拟端口标识。由于第一交换设备通过第一端口接收到第一数据帧后,根据第一端口确定与其绑定的第二端口,而不再对第一数据帧携带的目的MAC地址进行识别,使得第一交换设备可将网络设备发送的数据帧进行处理后传输至第二交换设备中。解决了现有技术中由于以太网交换机无法接收到LACP报文,导致以太网交换机无法获知LACP报文中虚拟防火墙的端口信息,使得以太网交换机无法确定虚拟防火墙及其端口是否可用的问题,实现了第二交换设备接收数据帧,并根据接收的数据帧,对网络设备及其端口的可用性进行确定,并且,还能实现网络设备与第二交换设备之间的交互通信。
[0105]可选地,在本发明实施例步骤130之前,还包括第一交换设备确定与第一端口绑定的第二端口的个数步骤,通过该步骤,第一交换设备将通过确定出的I个第二端口发送第二数据帧。具体步骤如下: