2024年5月8日发(作者:星妙芙)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.6
(22)申请日 2013.05.30
(71)申请人 杭州华三通信技术有限公司
地址 310053 浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭
州生产基地
(72)发明人 陆璐
(74)专利代理机构 北京鑫媛睿博知识产权代理有限公司
代理人 龚家骅
(51)
H04L12/46
H04L12/715
(10)申请公布号 CN 104219124 A
(43)申请公布日 2014.12.17
权利要求说明书 说明书 幅图
(54)发明名称
一种流量转发方法及设备
(57)摘要
本发明公开了一种流量转发方法,
ED在接收到以远端MAC地址为目的
MAC的数据报文后,基于该远端MAC地
址所对应的扩展VLAN的认证状态判断是
否转发报文,并在认证状态不通过的情况
下进一步地就该扩展VLAN向认证服务器
进行认证,从而在在占用较少网络管理资
源的前提下,实现了EVI网络中所有流量
的实时认证转发。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种流量转发方法,其特征在于,包括:
以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制
若所述扩展VLAN为认证通过状态,该ED转发所述数据报文;
若所述扩展VLAN为认证不通过状态,该ED向认证服务器发送针对所
2.如权利要求1所述的方法,其特征在于,该ED在所述认证请求通过
该ED设置所述扩展VLAN为认证通过状态,并将所述扩展VLAN的认
3.如权利要求1所述的方法,其特征在于,所述ED针对所述EVI网络
为
后,还包括:
MAC地址为目的MAC的数据报文,该ED查询所述远端MAC地址对应的
扩展虚拟局域网VLAN的认证状态;
述扩展VLAN的认证请求,并在所述认证请求通过后转发所述数据报文。
证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它
ED将所述扩展VLAN的认证状态设置为认证通过状态。
的各扩展VLAN设置有认证状态标志位,所述认证状态标志位在初始时均
不允许报文转发的认证不通过状态。
4.如权利要求1所述的方法,其特征在于,所述认证服务器位于该ED
该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并
5.一种边缘设备ED,其特征在于,包括:
接口模块,用于接收以远端MAC地址为目的MAC的数据报文;
查询模块,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN
若所述扩展VLAN为认证通过状态,所述查询模块通过所述接口模块转
若所述扩展VLAN为认证不通过状态,所述查询模块通过所述接口模块
发所述数据报文;
的认证状态;
所在站点时,还包括:
将所述认证服务器返回的认证结果返回至发送该认证请求报文的其它站点
ED。
向认证服务器发送针对所述扩展VLAN认证请
通过所述接口模块转发所述数据报求,并在所述认证请求通过后
文。
6.如权利要求5所述的ED,其特征在于,
所述查询模块,还用于在所述认证请求通过后设置所述扩展VLAN为认
状
证通过状态,并通过所述接口模块将所述扩展VLAN的认证状态通过链路
态包LSP通告所述EVI网络中的其它ED,以使所述其它ED
VLAN的认证状态设置为认证通过状态。 将所述扩展
7.如权利要求5所述的ED,其特征在于,还包括:
所述查询模块,具体用于针对所述EVI网络的各扩展VLAN设置有认证
8.如权利要求5所述的ED,其特征在于,所述认证服务器位于该ED
报
状态标志位,所述认证状态标志位在初始时均为不允许报文转发的认证不通
过状态。
所在站点时,所述接口模块还用于该ED将来自于其它站点ED的认证请求
文发送至所述认证服务器,并将所述认证服务器返回的认证结
该认证请求报文的其它站点ED。 果返回至发送
说 明 书
技术领域
本发明涉及通信技术领域,特别涉及一种流量转发方法,本发明同时还
背景技术
随着数据中心在现在企业的应用日渐频繁,数据中心的交互效率、安全
性等问题日渐成为网络数据通信领域的热门话题。新一代的数据中心以支持
“云计算”服务为设计初衷,具有高速网络交换能力、方便的网络配置
支持异地数据库分散建立等特点。其中,EVI
Interconnection,以太网虚拟化互联)作为一种
的方案,使得数据库中心网络的“物理分散部署、
Area Network,,虚拟局域网)”的实施方
涉及一种流量转发设备。
方式、
(Ethernet Virtualization
“基于三层网络的二层转发”
逻辑同一VLAN(Virtual Local
案变成了可能。
如图1所述,为现有技术中跨三层的二层转发示意图,其中的细实线条
表示三层物理实际转发链路,粗线路表示隧道连接,虚线表示虚拟二层交换
网络。各个站点的边缘设备(Edge Device,简称ED设备)与相邻站
缘设备间建立EVI隧道连接,ED设备以EVI隧道为基础,抽
(连接)作为二层接口提供给用户,其上可以通过配置
发的划分,并能够通过Network-Id(网络标识)区别不
点的边
象出一个EVI Link
VLAN来进行二层转
同的网络。
在配置VLAN时,用户在Tunnel(隧道)口上配置扩展VLAN,在一定
就
条件下(例如扩展VLAN激活),设备本地这些VLAN下的二层报文数据
可以通过该Tunnel口通过GRE封装直接发送到Tunnel口对端站点
的的ED
设备上,从而使得两台设备通过隧道实现了逻辑上的二层转发。
在图2所示的现有EVI网络结构示意图中,正常的EVI交互流程通过隧
道两端ED设备的静态配置,通过EVI-ISIS(EVI-Intermediate System to
Intermediate System,EVI-中间系统到中间系统路由)分享彼此的本地MAC
(Media Access Control,介质访问控制),从而
达到二层虚拟化的目的。
然而,针对现有技术中的EVI网络,需要手动进行扩展VLAN的权限配
置,从而控制EVI网络中的流量转发,这种人工配置方式不仅耗费人力资
在流量转发的控制及管理上也缺乏灵活性及实时性。 源,
发明内容
本发明提供了一种流量转发方法,用以解决现有技术中流量控制转发由
以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制
若所述扩展VLAN为认证通过状态,该ED转发所述数据报文;
若所述扩展VLAN为认证不通过状态,该ED向认证服务器发送针对所
具体地,该ED在所述认证请求通过后,还包括:
述扩展VLAN的认证请求,并在所述认证请求通过后转发所述数据报文。
MAC地址为目的MAC的数据报文,该ED查询所述远端MAC地址对应的
扩展虚拟局域网VLAN的认证状态;
于依赖于人工配置而导致时效慢、灵活性较低的问题,包括:
该ED设置所述扩展VLAN为认证通过状态,并将所述扩展VLAN的认
具体地,所述ED扩展VLAN设置有认证状态标志位,所述认证状态标
具体地,所述认证服务器位于该ED所在站点时,还包括:
该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并
另一方面,本发明还提出了一种边缘设备ED,包括:
接口模块,用于接收以远端MAC地址为目的MAC的数据报文;
查询模块,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN
若所述扩展VLAN为认证通过状态,所述查询模块通过所述接口模块转
若所述扩展VLAN为认证不通过状态,所述查询模块通过所述接口模块
后
具体地,所述查询模块,还用于在所述认证请求通过后设置所述扩展
向认证服务器发送针对所述扩展VLAN认证请求,并在所述认证请求通过
通过所述接口模块转发所述数据报文。
发所述数据报文;
的认证状态;
将所述认证服务器返回的认证结果返回至发送该认证请求报文的其它站点
ED。
志位在初始时均为不允许报文转发的认证不通过状态。
证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它
ED将所述扩展VLAN的认证状态设置为认证通过状态。
态
VLAN为认证通过状态,并通过所述接口模块将所述扩展VLAN的认证状
通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它
所述扩展VLAN的认证状态设置为认证通过状态。 ED将
具体地,所述查询模块,具体用于针对所述EVI网络的各扩展VLAN设
具体地,所述认证服务器位于该ED所在站点时,所述接口模块还用于该
述
ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并将所
认证服务器返回的认证结果返回至发送该认证请求报文的其它站点
置有认证状态标志位,所述认证状态标志位在初始时均为不允许报文转发的
认证不通过状态。
ED。
与现有技术相比,本发明的技术方案具有以下优点:
通过应用以上技术方案,ED在接收到以远端MAC地址为目的MAC的
证
数据报文后,基于该远端MAC地址所对应的扩展VLAN的认证状态判断是
否转发报文,并在认证状态不通过的情况下进一步地就该扩展VLAN向认
服务器进行认证,从而在占用较少网络管理资源的前提下,实现了
中所有流量的实时认证转发。 EVI网络
附图说明
图1为现有技术中跨三层的二层转发示意图;
图2为现有技术中EVI网络的结构示意图;
图3为本发明提出的一种流量转发方法的流程示意图;
图4为本发明具体实施例提出的一种流量转发方法的流程示意图;
图5为本发明具体实施例所提出的一种流量转发方法的流程示意图;
图6为本发明具体实施例所提出的一种流量转发方法的应用场景示意图;
图7为本发明具体实施例中MAC-Authentication TLV的格式示意图;
图8为本发明具体实施例提出的一种流量转发设备的结构示意图。
具体实施方式
为解决现有技术中的流量控制转发由于依赖于人工配置而导致时效慢、
下
S301,以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问
S302,该ED查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证
若所述扩展VLAN为认证通过状态,转至S303;
若所述扩展VLAN为认证不通过状态,转至S304。
在EVI网络中,由于发送至远端终端的报文均需要通过相应扩展VLAN转
发至远端终端,本实施例中,对于扩展VLAN初始均设置为不允许报文转
只有当该VLAN认证通过后,才允许通过该VLAN转发报文。
状态,
控制MAC地址为目的MAC的数据报文。
灵活性较低的问题,如图3所示,本发明提出了一种流量转发方法,包括如
步骤:
发,
具体的,在ED设备中,对于当前EVI网络的各扩展VLAN都设置有认证状
S303,该ED转发所述数据报文。
S304,该ED向认证服务器发送针对所述扩展VLAN的认证请求,并在所
若当前的扩展VLAN认证状态不通过,则说明该VLAN在之前的认证过程
将
中认证失败,或者是该VLAN还尚未被认证过,无论是哪种情况,ED均会
该扩展VLAN的相关信息通过认证请求向认证服务器请求认证。若
通过,该ED除了正常转发报文之
态,并将扩展VLAN的认
ED,这样其它ED
述认证请求通过后转发所述数据报文。
态标志位,认证状态标志位在初始时均为不允许报文转发的认证不通过状态,
这样确保了对于每一个扩展VLAN都会有与其相应的认证过程。
该认证请求
外,还会同时设置扩展VLAN为认证通过状
证状态通过链路状态包LSP通告给EVI网络中的其它
也会将该扩展VLAN的认证状态设置为认证通过状态。
如果针对该扩展VLAN的认证失败,那么该ED将之前触发该扩展VLAN
此外,在EVI网络中的其中一些ED所在的站点内配置有认证服务器,
证
此时其他没有认证服务器的站点内的ED会将需要认证的扩展VLAN的认
请求报文发送至这些ED,该ED将来自于其它站点ED的认证请求
至认证服务器,并将认证服务器返回的认证结果返回至发送该
的其它站点ED。
认证的报文丢弃。
报文发送
认证请求报文
下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地
描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的
实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创
动前提下所获得的所有其他实施例,都属于本申请保护的范围。造性劳
如图4所示,为本申请实施例提供的一种流量转发方法,具体包括以下步
S401,ED(Edge Device,边缘设备)接收报文。
S402,ED识别所接收的报文的类型:若报文类型为数据报文,转至S403;
在EVI网络系统中,数据报文携带了源MAC地址以及目的MAC地址,ED
展
根据每个数据报文中的目的MAC地址进行VLAN内转发或是选择不同的扩
VLAN跨EVI网络转发;认证协议报文则被ED用以进行认证交互,
要认证的VLAN的相关信息或是相关的认证结果。
若报文类型为认证协议报文,转至S409。
骤:
其中携带需
在此需要指出的是,在EVI网络中存在有些站点未配置认证服务器的情
ED
况,但是在未配置认证服务器的ED中均预先存有配置认证服务器站点的的
地址,当需要进行认证时,未配置认证服务器的ED发送认证协议报
了认证服务器站点的的ED,该
服务器,同时接收认证服务
回给认证协议报文的
文到配置
ED在收到认证协议报文后进行透传处理给认证
器的认证结果,通过认证协议报文将认证结果返
发送ED。
S403,ED判断报文的目的MAC地址为近端MAC地址还是远端MAC地址:
若目的MAC为近端MAC地址,转至S404;若目的MAC为远端MAC地
至S405; 址,转
S404,ED对报文进行转发处理。
若报文的目的MAC为近端MAC地址,说明该报文为当前ED所属站点内的
终端设备相互发送的报文,或是由其他ED发送至当前ED所属站点内终端
的报文,对于这种类型的报文,ED可依据现有技术中的流程对该报
发,在此不再赘述。
设备
文进行转
S405,ED查询该远端MAC地址对应的VLAN是否已认证通过,若是,则
具体地,在该步骤中,ED为当前EVI网络中的各扩展VLAN设置一个认证
标志位,在接收到远端MAC地址后,通过查询与该远端MAC地址相应的
VLAN的认证标志位,从而确定扩展VLAN的认证状态。
转至S404;若否,则转至S406。
扩展
在查询到扩展VLAN的认证状态为通过后,ED转发所述数据报文。
S406,ED向认证服务器发送认证请求。
若当前的远端MAC地址对应的扩展VLAN的认证状态为未通过,说明该
展
扩展VLAN当前尚处于不允许访问或是尚未验证的状态,因此ED将该扩
VLAN的相关信息携带在认证协议报文内发送至认证服务器进行进一
证。 步的验
S407,ED根据接收的认证结果判断认证是否通过,若认证通过,转至
S409;若认证不通过,则转至S408。
S408,ED丢弃报文。
S409,ED转发所述数据报文,同时,该ED设置所述扩展VLAN为认证通
EVI
过状态,并将所述扩展VLAN的认证状态通过链路状态包LSP通告所述
网络中的其它ED,以使所述其它ED将所述扩展VLAN的认证状态
通过状态。 设置为认证
S410,ED将认证协议报文发送至认证服务器。
由于未配置认证服务器的ED均通过其他ED的认证服务器对远端MAC地
址所对应的VLAN进行认证,因此若当前ED若收到来自于其他ED的认证
报文,则直接将该认证协议报文发送至认证服务器进行认证。 协议
S411,ED接收认证服务器返回的认证结果。
S412,ED将认证结果返回至认证协议报文的发送设备。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明
如图5所示,为本发明具体实施例所提出的一种流量转发方法的流程示意
配
S501,终端A向ED1发送目的MAC地址为终端C的跨EVI网络报文;
S502,ED1向认证服务器发送认证请求,认证请求中携带与目的MAC地
址相对应的扩展VLAN2的信息;
图,在该具体实施例中,EVI的网络架构示意图如图6所示,认证服务器被
置在ED1,终端A向终端C发送报文,具体步骤如下:
的技术方案进行说明。
在Hello报文交互之后,EVI-ISIS邻居建立,而各个扩展VLAN被下发到驱
证
当EVI网络中的ED通过EVI-ISIS学习远端MAC时,ED将这些MAC下发到
未
驱动层面;并为每个MAC所对应的扩展VLAN设置一个认证标志位,在尚
进行任何认证的情况下ED中所有扩展VLAN对应的认证标志位均
许报文转发的认证不通过状态。
动层面,驱动为各扩展VLAN设置对应的认证标志位,并将其置0,设为认
不通过状态,与该扩展VLAN相关的数据报文无法被转发。
默认为不允
在该步骤中,由于ED1保存有终端C的远端MAC表项,因此当接收到终端
A发出的目的MAC为终端C的报文时,ED1触发认证流程,以终端C目的
所对应的扩展VLAN2的VLAN tag信息为验证信息,向认证服务器
求。
MAC
申请认证请
S503,认证服务器向ED1返回认证结果;
S504,ED1根据认证结果发送报文;
在收到认证结果后,若认证结果为通过,转发所述数据报文,同时,ED1
将与终端C的远端MAC表项所对应的扩展VLAN2置于认证通过状态(即
证标志位置1),并将所述扩展VLAN的认证状态通过链路状态包
述EVI网络中的其它ED,以使所述其它ED将所述扩展
为认证通过状态,至此与扩展VLAN2所对应的
络中被转发;若认证结果不通过,则
将认
LSP通告所
VLAN的认证状态设置
MAC地址的报文均可在EVI网
ED1将该报文丢弃处理。
将所述扩展VLAN的认证状态通过链路状态包LSP通告所述EVI网络中
的其它ED,以使所述其它ED将所述扩展VLAN的认证状态设置为认证通
态具体可以包括:为EVI-ISIS LSP的MAC-Reachability TLV设计
字段,该字段会和MAC-Reachability TLV一起封装在
状态下,所有的认证标志位都为0。
过状
Authentication
EVI-ISIS LSP中,在初始
MAC-Authentication TLV的格式如图7所示,其中的部分如下:
Type:MAC-RI,147。
Length:5+7*N,N表示本地认证MAC的数量。
Topology-Id/Nickname:依赖于实际应用环境来标识发送者。EVI中该字
段无效,被设置为0,表示后面的MAC地址可以通过源ED到达,不用区
扑和Nickname。 分拓
Confidence:可信度。用于对冲突MAC的优选。如果使用的话,需增加相
RESV:保留位,填0。
VLAN-ID:允许后面的MAC地址通过的VLAN。如果是0,则表示没有限
MAC:本地MAC地址信息。
Auth:VLAN的认证状态。
以上消息格式仅为本发明所提出的一种优选的实施方式,本领域技术人
员可以在其技术上进行改进以及修饰,这样的调整均在本发明的保护范围之
定VLAN。
关命令行,暂时不支持配置,填0。
内。
S505,终端C向ED2发送目的MAC地址为终端A的响应报文;
S506,ED2向认证服务器发送携带与目的MAC地址相对应的扩展VLAN1
当终端C收到该报文后,回应一个应答报文,报文目的MAC为终端A,此
时ED2触发扩展VLAN1的认证。由于ED2没有配置任何认证服务器,因
将认证请求报文通过隧道封装将该报文透传给ED1,ED1收
封装并向服务器发送。
的信息的认证请求;
此ED2
到该封装报文后解
需要说明的是,当ED跨越EVI网络发送认证请求报文时,是通过GRE
type=6558的协议封装方式将报文在扩展VLAN在EVI隧道内进行转发。当
文到达EVI隧道对端时,对端设备解析GRE封装类型为协议封装,
送CPU进行解析,当解析出来报文是认证协议报文时,根据
器配置,将该报文转发到对应的认证服务器上,并记录
该报
将该报文上
自己的认证服务
报文的源ELink。
S507,认证服务器向ED2返回认证结果;
收到认证服务器回应后,ED1通过隧道封装将该认证结果返回给ED2。具
体地,ED根据上一步骤中所记录的报文源ELink,将认证结果再次以GRE
封装向该ELink发送。 协议
S508,ED2根据认证结果发送报文。
基于与上述方法同样的发明构思,,如图8所示,本申请还提供了一种边
缘设备ED,包括:
接口模块81,用于接收以远端MAC地址为目的MAC的数据报文;
查询模块82,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN
若所述扩展VLAN为认证通过状态,所述查询模块82通过所述接口模块
若所述扩展VLAN为认证不通过状态,所述查询模块82通过所述接口模
通
81转发所述数据报文;
的认证状态;
块81向认证服务器发送针对所述扩展VLAN认证请求,并在所述认证请求
过后通过所述接口模块81转发所述数据
报文。
在具体的应用场景中,所述查询模块82,还用于在所述认证请求通过后
本发明实施例中:
所述查询模块82,具体用于针对所述EVI网络的各扩展VLAN设置有认
本发明实施例中,所述认证服务器位于该ED所在站点时,所述接口模块
81还用于该ED将来自于其它站点ED的认证请求报文发送至所述认证服务
证状态标志位,所述认证状态标志位在初始时均为不允许报文转发的认证不
通过状态。
设置所述扩展VLAN为认证通过状态,并通过所述接口模块81将所述扩展
VLAN的认证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以
使所述其它ED将所述扩展VLAN的认证状态设置为认证通过状态。
器,并将所述认证服务器返回的认证结果返回至发送该认证请求报文的其它
站点ED。
由此可见,通过应用以上技术方案,ED在接收到以远端MAC地址为目
状
的MAC的数据报文后,基于该远端MAC地址所对应的扩展VLAN的认证
态判断是否转发报文,并在认证状态不通过的情况下进一步地就该扩
向认证服务器进行认证,从而在在占用较少网络管理资源的前
EVI网络中所有流量的实时认证转发。
展VLAN
提下,实现了
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发
明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。
基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,
件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,
盘等)中,包括若干指令用以使得一台计算机设备(可以是个
务器,或者网络设备等)执行本发明各个实施场景所述
该软
移动硬
人计算机,服
的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景
描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施
场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,
以进一步拆分成多个子模块。
的模块或流程并不一定是实施本发明所必须的。
也可
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于
此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
2024年5月8日发(作者:星妙芙)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.6
(22)申请日 2013.05.30
(71)申请人 杭州华三通信技术有限公司
地址 310053 浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭
州生产基地
(72)发明人 陆璐
(74)专利代理机构 北京鑫媛睿博知识产权代理有限公司
代理人 龚家骅
(51)
H04L12/46
H04L12/715
(10)申请公布号 CN 104219124 A
(43)申请公布日 2014.12.17
权利要求说明书 说明书 幅图
(54)发明名称
一种流量转发方法及设备
(57)摘要
本发明公开了一种流量转发方法,
ED在接收到以远端MAC地址为目的
MAC的数据报文后,基于该远端MAC地
址所对应的扩展VLAN的认证状态判断是
否转发报文,并在认证状态不通过的情况
下进一步地就该扩展VLAN向认证服务器
进行认证,从而在在占用较少网络管理资
源的前提下,实现了EVI网络中所有流量
的实时认证转发。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种流量转发方法,其特征在于,包括:
以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制
若所述扩展VLAN为认证通过状态,该ED转发所述数据报文;
若所述扩展VLAN为认证不通过状态,该ED向认证服务器发送针对所
2.如权利要求1所述的方法,其特征在于,该ED在所述认证请求通过
该ED设置所述扩展VLAN为认证通过状态,并将所述扩展VLAN的认
3.如权利要求1所述的方法,其特征在于,所述ED针对所述EVI网络
为
后,还包括:
MAC地址为目的MAC的数据报文,该ED查询所述远端MAC地址对应的
扩展虚拟局域网VLAN的认证状态;
述扩展VLAN的认证请求,并在所述认证请求通过后转发所述数据报文。
证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它
ED将所述扩展VLAN的认证状态设置为认证通过状态。
的各扩展VLAN设置有认证状态标志位,所述认证状态标志位在初始时均
不允许报文转发的认证不通过状态。
4.如权利要求1所述的方法,其特征在于,所述认证服务器位于该ED
该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并
5.一种边缘设备ED,其特征在于,包括:
接口模块,用于接收以远端MAC地址为目的MAC的数据报文;
查询模块,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN
若所述扩展VLAN为认证通过状态,所述查询模块通过所述接口模块转
若所述扩展VLAN为认证不通过状态,所述查询模块通过所述接口模块
发所述数据报文;
的认证状态;
所在站点时,还包括:
将所述认证服务器返回的认证结果返回至发送该认证请求报文的其它站点
ED。
向认证服务器发送针对所述扩展VLAN认证请
通过所述接口模块转发所述数据报求,并在所述认证请求通过后
文。
6.如权利要求5所述的ED,其特征在于,
所述查询模块,还用于在所述认证请求通过后设置所述扩展VLAN为认
状
证通过状态,并通过所述接口模块将所述扩展VLAN的认证状态通过链路
态包LSP通告所述EVI网络中的其它ED,以使所述其它ED
VLAN的认证状态设置为认证通过状态。 将所述扩展
7.如权利要求5所述的ED,其特征在于,还包括:
所述查询模块,具体用于针对所述EVI网络的各扩展VLAN设置有认证
8.如权利要求5所述的ED,其特征在于,所述认证服务器位于该ED
报
状态标志位,所述认证状态标志位在初始时均为不允许报文转发的认证不通
过状态。
所在站点时,所述接口模块还用于该ED将来自于其它站点ED的认证请求
文发送至所述认证服务器,并将所述认证服务器返回的认证结
该认证请求报文的其它站点ED。 果返回至发送
说 明 书
技术领域
本发明涉及通信技术领域,特别涉及一种流量转发方法,本发明同时还
背景技术
随着数据中心在现在企业的应用日渐频繁,数据中心的交互效率、安全
性等问题日渐成为网络数据通信领域的热门话题。新一代的数据中心以支持
“云计算”服务为设计初衷,具有高速网络交换能力、方便的网络配置
支持异地数据库分散建立等特点。其中,EVI
Interconnection,以太网虚拟化互联)作为一种
的方案,使得数据库中心网络的“物理分散部署、
Area Network,,虚拟局域网)”的实施方
涉及一种流量转发设备。
方式、
(Ethernet Virtualization
“基于三层网络的二层转发”
逻辑同一VLAN(Virtual Local
案变成了可能。
如图1所述,为现有技术中跨三层的二层转发示意图,其中的细实线条
表示三层物理实际转发链路,粗线路表示隧道连接,虚线表示虚拟二层交换
网络。各个站点的边缘设备(Edge Device,简称ED设备)与相邻站
缘设备间建立EVI隧道连接,ED设备以EVI隧道为基础,抽
(连接)作为二层接口提供给用户,其上可以通过配置
发的划分,并能够通过Network-Id(网络标识)区别不
点的边
象出一个EVI Link
VLAN来进行二层转
同的网络。
在配置VLAN时,用户在Tunnel(隧道)口上配置扩展VLAN,在一定
就
条件下(例如扩展VLAN激活),设备本地这些VLAN下的二层报文数据
可以通过该Tunnel口通过GRE封装直接发送到Tunnel口对端站点
的的ED
设备上,从而使得两台设备通过隧道实现了逻辑上的二层转发。
在图2所示的现有EVI网络结构示意图中,正常的EVI交互流程通过隧
道两端ED设备的静态配置,通过EVI-ISIS(EVI-Intermediate System to
Intermediate System,EVI-中间系统到中间系统路由)分享彼此的本地MAC
(Media Access Control,介质访问控制),从而
达到二层虚拟化的目的。
然而,针对现有技术中的EVI网络,需要手动进行扩展VLAN的权限配
置,从而控制EVI网络中的流量转发,这种人工配置方式不仅耗费人力资
在流量转发的控制及管理上也缺乏灵活性及实时性。 源,
发明内容
本发明提供了一种流量转发方法,用以解决现有技术中流量控制转发由
以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问控制
若所述扩展VLAN为认证通过状态,该ED转发所述数据报文;
若所述扩展VLAN为认证不通过状态,该ED向认证服务器发送针对所
具体地,该ED在所述认证请求通过后,还包括:
述扩展VLAN的认证请求,并在所述认证请求通过后转发所述数据报文。
MAC地址为目的MAC的数据报文,该ED查询所述远端MAC地址对应的
扩展虚拟局域网VLAN的认证状态;
于依赖于人工配置而导致时效慢、灵活性较低的问题,包括:
该ED设置所述扩展VLAN为认证通过状态,并将所述扩展VLAN的认
具体地,所述ED扩展VLAN设置有认证状态标志位,所述认证状态标
具体地,所述认证服务器位于该ED所在站点时,还包括:
该ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并
另一方面,本发明还提出了一种边缘设备ED,包括:
接口模块,用于接收以远端MAC地址为目的MAC的数据报文;
查询模块,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN
若所述扩展VLAN为认证通过状态,所述查询模块通过所述接口模块转
若所述扩展VLAN为认证不通过状态,所述查询模块通过所述接口模块
后
具体地,所述查询模块,还用于在所述认证请求通过后设置所述扩展
向认证服务器发送针对所述扩展VLAN认证请求,并在所述认证请求通过
通过所述接口模块转发所述数据报文。
发所述数据报文;
的认证状态;
将所述认证服务器返回的认证结果返回至发送该认证请求报文的其它站点
ED。
志位在初始时均为不允许报文转发的认证不通过状态。
证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它
ED将所述扩展VLAN的认证状态设置为认证通过状态。
态
VLAN为认证通过状态,并通过所述接口模块将所述扩展VLAN的认证状
通过链路状态包LSP通告所述EVI网络中的其它ED,以使所述其它
所述扩展VLAN的认证状态设置为认证通过状态。 ED将
具体地,所述查询模块,具体用于针对所述EVI网络的各扩展VLAN设
具体地,所述认证服务器位于该ED所在站点时,所述接口模块还用于该
述
ED将来自于其它站点ED的认证请求报文发送至所述认证服务器,并将所
认证服务器返回的认证结果返回至发送该认证请求报文的其它站点
置有认证状态标志位,所述认证状态标志位在初始时均为不允许报文转发的
认证不通过状态。
ED。
与现有技术相比,本发明的技术方案具有以下优点:
通过应用以上技术方案,ED在接收到以远端MAC地址为目的MAC的
证
数据报文后,基于该远端MAC地址所对应的扩展VLAN的认证状态判断是
否转发报文,并在认证状态不通过的情况下进一步地就该扩展VLAN向认
服务器进行认证,从而在占用较少网络管理资源的前提下,实现了
中所有流量的实时认证转发。 EVI网络
附图说明
图1为现有技术中跨三层的二层转发示意图;
图2为现有技术中EVI网络的结构示意图;
图3为本发明提出的一种流量转发方法的流程示意图;
图4为本发明具体实施例提出的一种流量转发方法的流程示意图;
图5为本发明具体实施例所提出的一种流量转发方法的流程示意图;
图6为本发明具体实施例所提出的一种流量转发方法的应用场景示意图;
图7为本发明具体实施例中MAC-Authentication TLV的格式示意图;
图8为本发明具体实施例提出的一种流量转发设备的结构示意图。
具体实施方式
为解决现有技术中的流量控制转发由于依赖于人工配置而导致时效慢、
下
S301,以太网虚拟化互联EVI网络的边缘设备ED接收到以远端介质访问
S302,该ED查询所述远端MAC地址对应的扩展虚拟局域网VLAN的认证
若所述扩展VLAN为认证通过状态,转至S303;
若所述扩展VLAN为认证不通过状态,转至S304。
在EVI网络中,由于发送至远端终端的报文均需要通过相应扩展VLAN转
发至远端终端,本实施例中,对于扩展VLAN初始均设置为不允许报文转
只有当该VLAN认证通过后,才允许通过该VLAN转发报文。
状态,
控制MAC地址为目的MAC的数据报文。
灵活性较低的问题,如图3所示,本发明提出了一种流量转发方法,包括如
步骤:
发,
具体的,在ED设备中,对于当前EVI网络的各扩展VLAN都设置有认证状
S303,该ED转发所述数据报文。
S304,该ED向认证服务器发送针对所述扩展VLAN的认证请求,并在所
若当前的扩展VLAN认证状态不通过,则说明该VLAN在之前的认证过程
将
中认证失败,或者是该VLAN还尚未被认证过,无论是哪种情况,ED均会
该扩展VLAN的相关信息通过认证请求向认证服务器请求认证。若
通过,该ED除了正常转发报文之
态,并将扩展VLAN的认
ED,这样其它ED
述认证请求通过后转发所述数据报文。
态标志位,认证状态标志位在初始时均为不允许报文转发的认证不通过状态,
这样确保了对于每一个扩展VLAN都会有与其相应的认证过程。
该认证请求
外,还会同时设置扩展VLAN为认证通过状
证状态通过链路状态包LSP通告给EVI网络中的其它
也会将该扩展VLAN的认证状态设置为认证通过状态。
如果针对该扩展VLAN的认证失败,那么该ED将之前触发该扩展VLAN
此外,在EVI网络中的其中一些ED所在的站点内配置有认证服务器,
证
此时其他没有认证服务器的站点内的ED会将需要认证的扩展VLAN的认
请求报文发送至这些ED,该ED将来自于其它站点ED的认证请求
至认证服务器,并将认证服务器返回的认证结果返回至发送该
的其它站点ED。
认证的报文丢弃。
报文发送
认证请求报文
下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地
描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的
实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创
动前提下所获得的所有其他实施例,都属于本申请保护的范围。造性劳
如图4所示,为本申请实施例提供的一种流量转发方法,具体包括以下步
S401,ED(Edge Device,边缘设备)接收报文。
S402,ED识别所接收的报文的类型:若报文类型为数据报文,转至S403;
在EVI网络系统中,数据报文携带了源MAC地址以及目的MAC地址,ED
展
根据每个数据报文中的目的MAC地址进行VLAN内转发或是选择不同的扩
VLAN跨EVI网络转发;认证协议报文则被ED用以进行认证交互,
要认证的VLAN的相关信息或是相关的认证结果。
若报文类型为认证协议报文,转至S409。
骤:
其中携带需
在此需要指出的是,在EVI网络中存在有些站点未配置认证服务器的情
ED
况,但是在未配置认证服务器的ED中均预先存有配置认证服务器站点的的
地址,当需要进行认证时,未配置认证服务器的ED发送认证协议报
了认证服务器站点的的ED,该
服务器,同时接收认证服务
回给认证协议报文的
文到配置
ED在收到认证协议报文后进行透传处理给认证
器的认证结果,通过认证协议报文将认证结果返
发送ED。
S403,ED判断报文的目的MAC地址为近端MAC地址还是远端MAC地址:
若目的MAC为近端MAC地址,转至S404;若目的MAC为远端MAC地
至S405; 址,转
S404,ED对报文进行转发处理。
若报文的目的MAC为近端MAC地址,说明该报文为当前ED所属站点内的
终端设备相互发送的报文,或是由其他ED发送至当前ED所属站点内终端
的报文,对于这种类型的报文,ED可依据现有技术中的流程对该报
发,在此不再赘述。
设备
文进行转
S405,ED查询该远端MAC地址对应的VLAN是否已认证通过,若是,则
具体地,在该步骤中,ED为当前EVI网络中的各扩展VLAN设置一个认证
标志位,在接收到远端MAC地址后,通过查询与该远端MAC地址相应的
VLAN的认证标志位,从而确定扩展VLAN的认证状态。
转至S404;若否,则转至S406。
扩展
在查询到扩展VLAN的认证状态为通过后,ED转发所述数据报文。
S406,ED向认证服务器发送认证请求。
若当前的远端MAC地址对应的扩展VLAN的认证状态为未通过,说明该
展
扩展VLAN当前尚处于不允许访问或是尚未验证的状态,因此ED将该扩
VLAN的相关信息携带在认证协议报文内发送至认证服务器进行进一
证。 步的验
S407,ED根据接收的认证结果判断认证是否通过,若认证通过,转至
S409;若认证不通过,则转至S408。
S408,ED丢弃报文。
S409,ED转发所述数据报文,同时,该ED设置所述扩展VLAN为认证通
EVI
过状态,并将所述扩展VLAN的认证状态通过链路状态包LSP通告所述
网络中的其它ED,以使所述其它ED将所述扩展VLAN的认证状态
通过状态。 设置为认证
S410,ED将认证协议报文发送至认证服务器。
由于未配置认证服务器的ED均通过其他ED的认证服务器对远端MAC地
址所对应的VLAN进行认证,因此若当前ED若收到来自于其他ED的认证
报文,则直接将该认证协议报文发送至认证服务器进行认证。 协议
S411,ED接收认证服务器返回的认证结果。
S412,ED将认证结果返回至认证协议报文的发送设备。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明
如图5所示,为本发明具体实施例所提出的一种流量转发方法的流程示意
配
S501,终端A向ED1发送目的MAC地址为终端C的跨EVI网络报文;
S502,ED1向认证服务器发送认证请求,认证请求中携带与目的MAC地
址相对应的扩展VLAN2的信息;
图,在该具体实施例中,EVI的网络架构示意图如图6所示,认证服务器被
置在ED1,终端A向终端C发送报文,具体步骤如下:
的技术方案进行说明。
在Hello报文交互之后,EVI-ISIS邻居建立,而各个扩展VLAN被下发到驱
证
当EVI网络中的ED通过EVI-ISIS学习远端MAC时,ED将这些MAC下发到
未
驱动层面;并为每个MAC所对应的扩展VLAN设置一个认证标志位,在尚
进行任何认证的情况下ED中所有扩展VLAN对应的认证标志位均
许报文转发的认证不通过状态。
动层面,驱动为各扩展VLAN设置对应的认证标志位,并将其置0,设为认
不通过状态,与该扩展VLAN相关的数据报文无法被转发。
默认为不允
在该步骤中,由于ED1保存有终端C的远端MAC表项,因此当接收到终端
A发出的目的MAC为终端C的报文时,ED1触发认证流程,以终端C目的
所对应的扩展VLAN2的VLAN tag信息为验证信息,向认证服务器
求。
MAC
申请认证请
S503,认证服务器向ED1返回认证结果;
S504,ED1根据认证结果发送报文;
在收到认证结果后,若认证结果为通过,转发所述数据报文,同时,ED1
将与终端C的远端MAC表项所对应的扩展VLAN2置于认证通过状态(即
证标志位置1),并将所述扩展VLAN的认证状态通过链路状态包
述EVI网络中的其它ED,以使所述其它ED将所述扩展
为认证通过状态,至此与扩展VLAN2所对应的
络中被转发;若认证结果不通过,则
将认
LSP通告所
VLAN的认证状态设置
MAC地址的报文均可在EVI网
ED1将该报文丢弃处理。
将所述扩展VLAN的认证状态通过链路状态包LSP通告所述EVI网络中
的其它ED,以使所述其它ED将所述扩展VLAN的认证状态设置为认证通
态具体可以包括:为EVI-ISIS LSP的MAC-Reachability TLV设计
字段,该字段会和MAC-Reachability TLV一起封装在
状态下,所有的认证标志位都为0。
过状
Authentication
EVI-ISIS LSP中,在初始
MAC-Authentication TLV的格式如图7所示,其中的部分如下:
Type:MAC-RI,147。
Length:5+7*N,N表示本地认证MAC的数量。
Topology-Id/Nickname:依赖于实际应用环境来标识发送者。EVI中该字
段无效,被设置为0,表示后面的MAC地址可以通过源ED到达,不用区
扑和Nickname。 分拓
Confidence:可信度。用于对冲突MAC的优选。如果使用的话,需增加相
RESV:保留位,填0。
VLAN-ID:允许后面的MAC地址通过的VLAN。如果是0,则表示没有限
MAC:本地MAC地址信息。
Auth:VLAN的认证状态。
以上消息格式仅为本发明所提出的一种优选的实施方式,本领域技术人
员可以在其技术上进行改进以及修饰,这样的调整均在本发明的保护范围之
定VLAN。
关命令行,暂时不支持配置,填0。
内。
S505,终端C向ED2发送目的MAC地址为终端A的响应报文;
S506,ED2向认证服务器发送携带与目的MAC地址相对应的扩展VLAN1
当终端C收到该报文后,回应一个应答报文,报文目的MAC为终端A,此
时ED2触发扩展VLAN1的认证。由于ED2没有配置任何认证服务器,因
将认证请求报文通过隧道封装将该报文透传给ED1,ED1收
封装并向服务器发送。
的信息的认证请求;
此ED2
到该封装报文后解
需要说明的是,当ED跨越EVI网络发送认证请求报文时,是通过GRE
type=6558的协议封装方式将报文在扩展VLAN在EVI隧道内进行转发。当
文到达EVI隧道对端时,对端设备解析GRE封装类型为协议封装,
送CPU进行解析,当解析出来报文是认证协议报文时,根据
器配置,将该报文转发到对应的认证服务器上,并记录
该报
将该报文上
自己的认证服务
报文的源ELink。
S507,认证服务器向ED2返回认证结果;
收到认证服务器回应后,ED1通过隧道封装将该认证结果返回给ED2。具
体地,ED根据上一步骤中所记录的报文源ELink,将认证结果再次以GRE
封装向该ELink发送。 协议
S508,ED2根据认证结果发送报文。
基于与上述方法同样的发明构思,,如图8所示,本申请还提供了一种边
缘设备ED,包括:
接口模块81,用于接收以远端MAC地址为目的MAC的数据报文;
查询模块82,用于查询所述远端MAC地址对应的扩展虚拟局域网VLAN
若所述扩展VLAN为认证通过状态,所述查询模块82通过所述接口模块
若所述扩展VLAN为认证不通过状态,所述查询模块82通过所述接口模
通
81转发所述数据报文;
的认证状态;
块81向认证服务器发送针对所述扩展VLAN认证请求,并在所述认证请求
过后通过所述接口模块81转发所述数据
报文。
在具体的应用场景中,所述查询模块82,还用于在所述认证请求通过后
本发明实施例中:
所述查询模块82,具体用于针对所述EVI网络的各扩展VLAN设置有认
本发明实施例中,所述认证服务器位于该ED所在站点时,所述接口模块
81还用于该ED将来自于其它站点ED的认证请求报文发送至所述认证服务
证状态标志位,所述认证状态标志位在初始时均为不允许报文转发的认证不
通过状态。
设置所述扩展VLAN为认证通过状态,并通过所述接口模块81将所述扩展
VLAN的认证状态通过链路状态包LSP通告所述EVI网络中的其它ED,以
使所述其它ED将所述扩展VLAN的认证状态设置为认证通过状态。
器,并将所述认证服务器返回的认证结果返回至发送该认证请求报文的其它
站点ED。
由此可见,通过应用以上技术方案,ED在接收到以远端MAC地址为目
状
的MAC的数据报文后,基于该远端MAC地址所对应的扩展VLAN的认证
态判断是否转发报文,并在认证状态不通过的情况下进一步地就该扩
向认证服务器进行认证,从而在在占用较少网络管理资源的前
EVI网络中所有流量的实时认证转发。
展VLAN
提下,实现了
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发
明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。
基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,
件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,
盘等)中,包括若干指令用以使得一台计算机设备(可以是个
务器,或者网络设备等)执行本发明各个实施场景所述
该软
移动硬
人计算机,服
的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景
描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施
场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,
以进一步拆分成多个子模块。
的模块或流程并不一定是实施本发明所必须的。
也可
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于
此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。