CN118555166A - 一种云网络中的跨资源池二层互通方法及装置 - Google Patents
一种云网络中的跨资源池二层互通方法及装置 Download PDFInfo
- Publication number
- CN118555166A CN118555166A CN202411025682.1A CN202411025682A CN118555166A CN 118555166 A CN118555166 A CN 118555166A CN 202411025682 A CN202411025682 A CN 202411025682A CN 118555166 A CN118555166 A CN 118555166A
- Authority
- CN
- China
- Prior art keywords
- layer
- network
- l2tgw
- resource pool
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/467—Arrangements for supporting untagged frames, e.g. port-based VLANs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种云网络中的跨资源池二层互通方法及装置,属于数据传输领域,方法包括:在各个资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网;连接两端隧道子网;设置各端隧道子网的L2TGW;在各端隧道子网分配IP地址,并配置到同端的L2TGW虚拟接口;为各端二层接入子网分配互联接入IP,并将互联接入IP配置在同端的L2TGW的剩余虚拟接口;创建VXLAN隧道;在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;创建二层连接实例,进行第一资源池和第二资源池的跨资源池数据传输。
Description
技术领域
本发明属于数据传输领域,尤其涉及一种云网络中的跨资源池二层互通方法及装置。
背景技术
云网络是以云为中心,通过使用虚拟化技术,基于云连接构建的一个面向租户和应用的虚拟化网络基础设施,具备共享、弹性、可计量、自助服务和连接无处不在的特征。在云计算场景下,利用虚拟网络和SDN技术,实现了控制平面和转发平面的分离。数据中心云网络架构从上到下依次为云管层、控制层和转发层,云管理平台负责对控制层提供的北向API进行业务编排,中间的SDN控制器基于OpenFlow和Netconf等协议,分别与转发平面的计算节点和网元节点进行通信,通过给计算节点OVS下发流表项,给网元节点下发相关配置指令,以控制数据包的转发。
专用网络VPC(Virtual Private Cloud,虚拟私有云)是为用户搭建的一个完全隔离、安全可定义的私有网络环境,不同VPC之间默认不能通信。在一个资源池(数据中心)内部,可以通过对等连接或者VPC终端节点实现两个VPC的互通。如果想要打通不同资源池、不同地域的两个VPC,就需要使用云间互联,跨地域的专线,跨地域的对等连接,或者云企业网之类的产品,但它们对两端网段会添加一些地址冲突校验,校验通过则可以进行数据传输,VPC的地址包括网络地址和主机地址,而网段地址冲突指的就是网络地址相同的情况。
现有的跨资源池互通的产品往往在网络规划阶段就将两端子网地址段做好隔离,以避免后续可能出现的网络地址冲突,对于云上已经搭建好的网络环境,且上线了具体业务的情况下,就很难实现跨资源池的二层互通,也就是说在不同资源池之间,只能在不存在(网段地址)冲突的情况下,实现跨资源池两个VPC内子网之间的互通,在两个VPC内存在不同网段子网的场景下,无法实现跨资源池的二层互通。
发明内容
鉴于以上现有技术的不足,发明的目的在于提供一种云网络中的跨资源池二层互通方法及装置,引入具有ARP(Address Resolution Protocol,地址解析协议)表的L2TGW(Layer2 Tunnel Gateway,二层隧道网关),并结合双层vxlan隧道进行数据封装,并基于该结构给出了处理报文数据的流程,在云上已经搭建好的网络环境,且上线了具体业务的情况下,即使出现网段冲突也能够完成跨资源池的数据传输。
本发明的第一方面,提出了一种云网络中的跨资源池二层互通方法,方法包括:
S1,在需要进行二层互通的第一资源池和第二资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网,其中,异端隧道子网的网段不同,异端二层接入子网的网段相同;
S2,连接两端隧道子网;
S3,设置各端隧道子网的L2TGW;
S4,在各端隧道子网分配IP地址,并将IP地址配置到同端的L2TGW虚拟接口;
S5,为各端二层接入子网分配互联接入IP,并将互联接入IP配置在同端的L2TGW的剩余虚拟接口;
S6,在异端的L2TGW之间、同端的L2TGW与计算节点之间、同端的L2TGW与VPC网关之间、以及VPC网关与企业网管之间创建VXLAN隧道,并将创建的VXLAN隧道加入二层BD;
S7,在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;
S8,创建各端二层接入子网的二层连接实例;
S9,根据二层连接实例进行第一资源池和第二资源池的跨资源池数据传输。
本发明的第二方面,提出了一种云网络中的跨资源池二层互通装置,用于实现第一方面任一项的云网络中的跨资源池二层互通方法,装置包括:
第一创建模块,用于在需要进行二层互通的第一资源池和第二资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网,其中,异端隧道子网的网段不同,异端二层接入子网的网段相同;
连接模块,用于连接两端隧道子网;
设置模块,用于设置各端隧道子网的L2TGW;
分配模块,用于在各端隧道子网分配IP地址,并将IP地址配置到同端的L2TGW虚拟接口;
第一配置模块,用于为各端二层接入子网分配互联接入IP,并将互联接入IP配置在同端的L2TGW的剩余虚拟接口;
第二创建模块,用于在异端的L2TGW之间、同端的L2TGW与计算节点之间、同端的L2TGW与VPC网关之间、以及VPC网关与企业网管之间创建VXLAN隧道,并将创建的VXLAN隧道加入二层BD;
第二配置模块,用于在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;
第三创建模块,用于创建各端二层接入子网的二层连接实例;
传输模块,用于根据二层连接实例进行第一资源池和第二资源池的跨资源池数据传输。
本发明的第三方面,提出了一种云网络中的跨资源池二层互通系统,包括:存储器和一个或多个处理器。
存储器中存储有一个或多个应用程序,一个或多个应用程序适于由一个或多个处理器执行以实现第一方面的云网络中的跨资源池二层互通方法。
本发明的第四方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序能够被处理器加载和执行以第一方面的云网络中的跨资源池二层互通方法。
本发明有益效果如下:
本发明的方法和装置,引入具有ARP表的L2TGW,并结合双层vxlan隧道进行数据封装,并基于构建的该结构给出了处理报文数据的流程,ARP流表将访问对端的虚拟机流量引入至L2TGW,在L2TGW上进行多层的VXLAN封装之后,将流量送至VPC网关,在VPC网关与企业网关之间创建一条VXLAN隧道,将流量导入企业网关,云间互联/跨地域网络内各个资源池的企业网关之间可以互通,解除了网段地址冲突校验的限制,在云上已经搭建好的网络环境,且上线了具体业务的情况下,即使出现网段冲突也能够完成跨资源池的数据传输。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种云网络中的跨资源池二层互通方法的流程示意图;
图2为本发明实施例提供的一种L2TGW网元配置模型图;
图3为本发明实施例提供的一种跨资源池数据传输流程图;
图4为本发明实施例提供的一种跨资源池二层互通的网络规划示意图;
图5为本发明实施例提供的一种资源池VPC组网架构图;
图6为本发明实施例提供的一种跨资源池二层互通资源池内组网架构图;
图7为本发明实施例提供的一种数据中心的云网络架构图;
图8为本发明实施例提供的一种云网络中的跨资源池二层互通装置的结构示意图;
图9为本发明实施例提供的一种云网络中的跨资源池二层互通系统的结构示意图。
具体实施方式
为了使本领域的人员更好地理解本发明实施例中的技术方案,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。应该理解,这些描述只是示例性的,并非用于限定本发明的范围。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明公开的概念。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的方法和系统的例子。
本发明提出了一种云网络中的跨资源池二层互通方法及装置,为解决现有的流量转发机制中,即使当服务提供商如移动、联通、电信的出口存在多条流量路径时,部分厂商策略路由即自定义转发策略只支持重定向到一个下一跳,造成出流量只能走在一条路径上,流量路径闲置较多,浪费出口带宽资源,转发效率和设备经济效益较低的问题。
方法实施例
参考说明书附图1,示出了本发明实施例提供的一种云网络中的跨资源池二层互通方法的流程示意图。
本发明实施例提供的一种云网络中的跨资源池二层互通方法,具体地,该方法包括步骤S1至步骤S9。
S1,在需要进行二层互通的第一资源池和第二资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网,其中,异端隧道子网的网段不同,异端二层接入子网的网段相同;
其中,异端是相对的一种表述,在跨资源池二层互通网络中,第一资源池和第二资源池互相为本端和对端,异端即相对端表示位于不同端的资源池,与同端相对,同端则表示均属于同一端的资源池。
其中,隧道子网即一个IP地址,包括网络部分和主机部分,网段不同的含义是网络部分不同,且互相之间不重叠。二层接入子网为需要进行二层互通的子网。
S2,连接两端隧道子网;
S3,设置各端隧道子网的L2TGW;
其中,L2TGW(Layer2 Tunnel Gateway,二层隧道网关)是一个使用双层VXLAN隧道实现跨资源池二层互通的网元,它允许数据在物理网络的二层(数据链路层)和虚拟Overlay网络之间转换和流动,网关处理进入和离开Overlay网络的数据流,确保数据正确封装和解封装。VXLAN(Virtual eXtensible LAN,虚拟可扩展局域网)是网络虚拟化技术Overlay技术的一种。
参照说明书附图2,示出了本发明实施例提供的一种L2TGW网元配置模型图。
需要说明的是,L2TGW主要有两个作用,一是将虚拟机流量执行双层VXLAN封装,二是对源于对端的ARP请求进行代答,网元配置模型如图2所示,每个L2TGW创建了两个BD,在每个BD内创建了一个loop接口。在BD1的loop1口上配置互联接入IP(一个二层接入子网对应一个接入IP),创建到二层接入子网内虚拟机所在计算节点(宿主机)的VXLAN隧道和到对端L2TGW隧道IP的内层VXLAN隧道,在BD2的loop2接口上配置隧道IP,创建到VGW的外层VXLAN隧道。同时,配置二层接入子网内所有虚拟机的ARP表项,以及到对端L2TGW隧道IP的明细路由,下一跳是位于VGW上的隧道子网网关IP,出接口是loop2。
在一种可能的实施方式中,L2TGW包括临时创建L2TGW和已经被纳管的预部署L2TGW。
可以理解的是,在创建二层隧道网关时,如果已经存在可用的已被纳管的L2TGW,则使用预部署的,如果没有则直接创建即可,这样可以增加二层隧道网关的复用率,避免重复创建浪费资源。
S4,在各端隧道子网分配IP地址,并将IP地址配置到同端的L2TGW虚拟接口;
其中,并将IP地址配置到同端的L2TGW的虚拟接口指的是如果是本端隧道子网创建的IP地址则接入到本端隧道子网的L2TGW的虚拟接口,如果是对端隧道子网创建的IP地址则接入到对端隧道子网的L2TGW的虚拟接口。
S5,为各端二层接入子网分配互联接入IP,并将互联接入IP配置在同端的L2TGW的剩余虚拟接口;
其中,互联接入IP又称二层接入IP,其数量与需要进行二层互通的子网数量相同,每个本端二层接入子网分配得到的二层接入IP网段相同,但是主机地址不同。
S6,在异端的L2TGW之间、同端的L2TGW与计算节点之间、同端的L2TGW与VPC网关之间、以及VPC网关与企业网管之间创建VXLAN隧道,并将创建的VXLAN隧道加入二层BD;
在一种可能的实施方式中,异端的L2TGW之间的VXLAN隧道为内层VXLAN隧道,同端的L2TGW与VPC网关之间的VXLAN隧道为外层VXLAN隧道,内层VXLAN隧道和外层VXLAN隧道具有不同的水平分割组,相同水平分割组内的报文不能相互泛洪
在一种可能的实施方式中,每端L2TGW的二层BD数量为两个。
其中,二层BD(Bridge Domain,网桥域)用于标识一个二层广播域。通过这个网桥域来管理和分发通过VXLAN隧道来的数据,这包括使用网桥域内的MAC地址学习、广播和多播流量控制等功能。
S7,在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;
其中,ARP表项是指在ARP(地址解析协议,Address Resolution Protocol)表中的一个记录,它关联了网络上每个设备的IP地址与其相应的MAC地址。在L2TGW上配置本端二层接入子网内虚拟机的ARP表项,执行下发ARP表项,是为了让L2TGW对源于对端的ARP请求执行代答,防止在两端二层接入子网网关IP相同但MAC不一致的情况下,对端ARP请求本端虚拟机MAC时,将虚拟机内网关的ARP表项刷错,导致出现断流。
在各端L2TGW上创建下一跳为对端隧道子网IP的路由,意味着在L2TGW上设置一条路由规则,指明当要发送数据到对端隧道IP时,数据应该如何从当前网络位置出发达到指定的隧道另一端。在路由表中,"下一跳"是路由决策过程中的一个重要概念,指出数据包应该被发送到的下一个设备或接口。在这种情况下,下一跳设为Overlay隧道子网的网关IP,即告诉L2TGW将要发送到对端隧道IP的数据包先发送到这个网关IP。
在一种可能的实施方式中,ARP表包括均具有table号、优先级、匹配项和动作项的第一流表和第二流表;
第一流表和第二流表的优先级相同;
第一流表的匹配项包括匹配ARP请求和应答报文,第一流表的匹配项中的metadate为子网标识,第一流表的动作项为执行VXLAN封装、设置隧道id、设置隧道目的IP地址和出端口;
第二流表的匹配项中的metadate为子网标识,第二流表的匹配项还包括匹配目的MAC,第二流表的动作项为执行VXLAN封装、设置隧道id、设置隧道目的IP地址和出端口,其中,匹配目的MAC具体为匹配所有单播以太网数据包或者匹配所有多播数据包,其中,多播数据包包括广播数据包。
参照表1,表1为计算节点上相关的流表项,主要涉及两条流表。
表1
每条流表由table号,优先级priority,匹配项matches和动作项actions组成。第一条流表匹配ARP请求及应答报文,metadata为子网标识,动作项是进行VXLAN封装,设置隧道id,隧道目的IP地址和出端口。第二条流表的匹配项中metadata为子网标识,dl_dst为目的MAC,这里使用的是掩码形式,值为00:00:00:00:00:00/01:00:00:00:00:00匹配所有单播以太网数据包,值为01:00:00:00:00:00/01:00:00:00:00:00匹配所有多播(包括广播)数据包,动作项与上面第一条流表相同,将数据包执行VXLAN封装之后,送给L2TGW。也就是说,第二条流表匹配项目的mac的第8位比特为0,将匹配所有未知单播报文。
S8,创建各端二层接入子网的二层连接实例;
需要说明的是,创建二层连接实例,是指在特定二层接入子网上创建网络连接配置,它涉及设置该二层网络内的参数,如端口配置、VLAN设置、MAC地址过滤等,以实现设备间的正确连接和通信。
参照说明书附图3,示出了本发明实施例提供的一种跨资源池数据传输流程图。
S9,根据二层连接实例进行第一资源池和第二资源池的跨资源池数据传输。
在一种可能的实施方式中,跨资源池数据传输的流程包括路径相反的去程跨资源池数据传输流程和回程跨资源池数据传输流程;
S9具体包括:
S901,接收第一资源池的原始数据包;
S902,通过计算节点对原始数据包进行VXLAN封装;
S903,将封装后的原始数据包发送至同端的L2TGW;
S904,解除接收到的原始数据包的VXLAN封装;
S905,对解除VXLAN封装后的原始数据包进行内层VXLAN封装和外层VXLAN封装;
S906,将封装后的原始数据包发送至同端的VPC网关;
S907,解除接收到的原始数据包的外层VXLAN封装,并对解除外层VXLAN封装后的原始数据包进行VXLAN封装;
S908,将封装后的原始数据包发送至同端的企业网关;
S909,通过云间互联网络将封装后的原始数据包发送至对端的企业网关,完成去程跨资源池数据传输流程;
S9010,执行回程跨资源池数据传输流程,将原始数据包传输至对端的第二资源池。
举例来说,在跨资源池同网段二层互访时,贵州省资源池VPC1子网C内的虚拟机172.16.20.11(记作VM1)访问内蒙古自治区资源池VPC2子网C内的虚拟机172.16.20.89(记作VM2),其网络行为可以总结为如下。首先,贵州省资源池VM1发送ARP请求,学习VM2的MAC地址,由于VPC2的L2TGW上有VM2的ARP表项,因此会进行代答。其次,在VM1学到VM2的MAC地址后,开始发送IP报文。VM1所在宿主机上的OVS对虚拟机原始包进行一次VXLAN封装。然后,L2TGW收到报文之后,先解除计算节点的VXLAN封装,依次执行内层和外层VXLAN封装,将封装后的报文送给VGW。接着,VGW先解除外层VXLAN封装,后执行自身的VXLAN封装,送给EGW。最后,由云间互联网络将报文送至内蒙古自治区资源池的EGW。值得注意的是,对端VPC2在收到报文之后进行相反的处理流程,其中VPC2的L2TGW需要执行两次解VXLAN封装,回程报文按相反路径回到VPC1。
在一种可能的实施方式中,在S9之后还包括:
添加或者删除各端的二层接入子网。
参照说明书附图4,示出了本发明实施例提供的跨资源池二层互通的网络规划示意图。
举例来说,VPC1和VPC2分别是贵州省资源池和内蒙古自治区资源池内的两个VPC,VPC1的子网A和VPC2的子网B具有不同的网段,且网段之间互不重叠,这两个子网被称之为Overlay隧道子网,而将需要进行二层互通的子网称之为二层接入子网,比如子网C和子网D,两个资源池内的二层接入子网具有相同的网段。借助L2TGW配置二层互通的流程如下:首先,在贵州省资源池创建本端VPC,隧道子网A,二层接入子网C和VPC网关VGW1。同理,在内蒙古自治区资源池创建对端VPC,隧道子网B,二层接入子网C和VPC网关VGW2。其次,在创建L2TGW之前,使用现有跨资源池互通的技术产品将两个资源池内的Overlay隧道子网A和B提前打通,本端和对端隧道子网的网段不能相同。接着,选择本端Overlay隧道子网,创建本端的二层隧道网关。创建时,如果已经存在可用的已被纳管的L2TGW,则使用预部署的,如果没有则直接创建即可。也就是说,L2TGW同时支持预部署和临时创建两种形态。L2TGW上线之后,在隧道子网内分配一个IP地址配置在L2TGW虚拟接口上,并在L2TGW和VGW之间创建一条VXLAN隧道。选择对端Overlay隧道子网,创建对端的二层隧道网关。然后,选择本端二层接入子网,创建本端二层连接实例。在每个二层接入子网内,分配一个互联接入ip配置在L2TGW另一虚拟接口上,在L2TGW与计算节点和对端L2TGW之间分别创建VXLAN隧道,并加入二层BD(Bridge Domain,网桥域)。同时,在L2TGW上配置本端二层接入子网内虚拟机的ARP表项,这里之所以下发ARP表项,是为了让L2TGW对源于对端的ARP请求执行代答,防止在两端二层接入子网网关IP相同但MAC不一致的情况下,对端ARP请求本端虚拟机MAC时,将虚拟机内网关的ARP表项刷错,导致出现断流。此外,还需要在L2TGW上配置一条到对端隧道ip的路由,下一跳是Overlay隧道子网的网关IP。选择对端二层接入子网,创建对端二层连接实例。最后,在本端和对端添加和删除二层接入子网。在具有多个二层接入子网的场景,比如VPC1的子网C和VPC2的子网D也能够正常通信。
参照说明书附图5,示出了本发明实施例提供的一种资源池VPC组网架构图。
资源池(数据中心)VPC组网架构及流量转发路径如图5所示,数据中心内部使用Spine-Leaf网络架构,虚拟网络基于分布式虚拟路由技术实现,VPC内的东西向三层流量由计算节点上的DVR(Distributed Virtual Routing,分布式虚拟路由)路由器转发,不需要绕行VGW(VPC Gateway,VPC网关)。图中线条1表示同一VPC内同子网或者跨子网两台虚拟机之间东西向流量互访,线条2表示绑了弹性IP的虚拟机访问公网的南北向流量转发路径。跨资源池二层互通在上述网络架构中新增一种VNF(Virtual Network Function,虚拟网络功能)网元,定义为L2TGW(Layer2 Tunnel Gateway,二层隧道网关),它的主要用途是对跨资源池访问的虚拟机流量执行双层VXLAN封装,以实现同网段二层互访。
参照说明书附图6,示出了本发明实施例提供的一种跨资源池二层互通资源池内组网架构图。
资源池内组网架构如图6所示,计算节点OVS上的流表将访问对端的虚拟机流量引入L2TGW,在L2TGW上进行VXLAN封装之后,将流量送至VGW,在VGW与EGW(EnterpriseGateway,企业网关)之间创建一条VXLAN隧道,将流量导入EGW,云间互联/跨地域网络内各个资源池的EGW之间可以互通。
在实际应用过程中,两种架构的设计说明并支持了云网络中的跨资源池二层互通方法的可行性。
参照说明书附图7,示出了本发明实施例提供的一种数据中心的云网络架构图。
需要说明的是,描述的方案为云网络中进行的,如图7所示,云网络是以云为中心,通过使用虚拟化技术,基于云连接构建的一个面向租户和应用的虚拟化网络基础设施,具备共享、弹性、可计量、自助服务和连接无处不在的特征。在云计算场景下,利用虚拟网络和SDN(Software Defined Network, 软件定义网络)技术,实现了控制平面和转发平面的分离。数据中心云网络架构从上到下依次为云管层、控制层和转发层,云管理平台负责对控制层提供的北向API进行业务编排,中间的SDN控制器基于OpenFlow和Netconf等协议,分别与转发平面的计算节点和网元节点进行通信,通过给计算节点OVS下发流表项,给网元节点下发相关配置指令,以控制数据包的转发。
本发明有益效果如下:
本发明的方法和装置,引入具有ARP表的L2TGW,并结合双层vxlan隧道进行数据封装,并基于构建的该结构给出了处理报文数据的流程,ARP流表将访问对端的虚拟机流量引入至L2TGW,在L2TGW上进行多层的VXLAN封装之后,将流量送至VPC网关,在VPC网关与企业网关之间创建一条VXLAN隧道,将流量导入企业网关,云间互联/跨地域网络内各个资源池的企业网关之间可以互通,解除了网段地址冲突校验的限制,在云上已经搭建好的网络环境,且上线了具体业务的情况下,即使出现网段冲突也能够完成跨资源池的数据传输。
装置实施例
参考说明书附图8,示出了本发明实施例提供的一种云网络中的跨资源池二层互通装置的结构示意图。
本发明的另一个具体实施例,公开了一种云网络中的跨资源池二层互通装置,用于实现方法实施例中任一项的云网络中的跨资源池二层互通方法,云网络中的跨资源池二层互通装置20包括:
第一创建模块201,用于在需要进行二层互通的第一资源池和第二资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网,其中,异端隧道子网的网段不同,异端二层接入子网的网段相同;
连接模块202,用于连接两端隧道子网;
设置模块203,用于设置各端隧道子网的L2TGW;
分配模块204,用于在各端隧道子网分配IP地址,并将IP地址配置到同端的L2TGW虚拟接口;
第一配置模块205,用于为各端二层接入子网分配互联接入IP,并将互联接入IP配置在同端的L2TGW的剩余虚拟接口;
第二创建模块206,用于在异端的L2TGW之间、同端的L2TGW与计算节点之间、同端的L2TGW与VPC网关之间、以及VPC网关与企业网管之间创建VXLAN隧道,并将创建的VXLAN隧道加入二层BD;
第二配置模块207,用于在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;
第三创建模块208,用于创建各端二层接入子网的二层连接实例;
传输模块209,用于根据二层连接实例进行第一资源池和第二资源池的跨资源池数据传输。
在一种可能的实施方式中,L2TGW包括临时创建L2TGW和已经被纳管的预部署L2TGW。
在一种可能的实施方式中,异端的L2TGW之间的VXLAN隧道为内层VXLAN隧道,同端的L2TGW与VPC网关之间的VXLAN隧道为外层VXLAN隧道,内层VXLAN隧道和外层VXLAN隧道具有不同的水平分割组,相同水平分割组内的报文不能相互泛洪。
在一种可能的实施方式中,每端L2TGW的二层BD数量为两个。
在一种可能的实施方式中,ARP表包括均具有table号、优先级、匹配项和动作项的第一流表和第二流表;
第一流表和第二流表的优先级相同;
第一流表的匹配项包括匹配ARP请求和应答报文,第一流表的匹配项中的metadate为子网标识,第一流表的动作项为执行VXLAN封装、设置隧道id、设置隧道目的IP地址和出端口;
第二流表的匹配项中的metadate为子网标识,第二流表的匹配项还包括匹配目的MAC,第二流表的动作项为执行VXLAN封装、设置隧道id、设置隧道目的IP地址和出端口,其中,匹配目的MAC具体为匹配所有单播以太网数据包或者匹配所有多播数据包,其中,多播数据包包括广播数据包。
在一种可能的实施方式中,跨资源池数据传输的流程包括路径相反的去程跨资源池数据传输流程和回程跨资源池数据传输流程;
传输模块209具体用于:
接收第一资源池的原始数据包;
通过计算节点对原始数据包进行VXLAN封装;
将封装后的原始数据包发送至同端的L2TGW;
解除接收到的原始数据包的VXLAN封装;
对解除VXLAN封装后的原始数据包进行内层VXLAN封装和外层VXLAN封装;
将封装后的原始数据包发送至同端的VPC网关;
解除接收到的原始数据包的外层VXLAN封装,并对解除外层VXLAN封装后的原始数据包进行VXLAN封装;
将封装后的原始数据包发送至同端的企业网关;
通过云间互联网络将封装后的原始数据包发送至对端的企业网关,完成去程跨资源池数据传输流程;
执行回程跨资源池数据传输流程,将原始数据包传输至对端的第二资源池。
在一种可能的实施方式中,装置还包括:
添加或者删除各端的二层接入子网。
本发明实施例提供的装置能够实现上述方法实施例中的各个流程及步骤,并且能够获得相同或相似的技术效果,为避免重复,本发明不再赘述。
本发明有益效果如下:
本发明的方法和装置,引入具有ARP表的L2TGW,并结合双层vxlan隧道进行数据封装,并基于构建的该结构给出了处理报文数据的流程,ARP流表将访问对端的虚拟机流量引入至L2TGW,在L2TGW上进行多层的VXLAN封装之后,将流量送至VPC网关,在VPC网关与企业网关之间创建一条VXLAN隧道,将流量导入企业网关,云间互联/跨地域网络内各个资源池的企业网关之间可以互通,解除了网段地址冲突校验的限制,在云上已经搭建好的网络环境,且上线了具体业务的情况下,即使出现网段冲突也能够完成跨资源池的数据传输。
系统实施例
参考说明书附图9,示出了本发明实施例提供的一种云网络中的跨资源池二层互通系统的结构示意图。
本发明提出一种云网络中的跨资源池二层互通系统30,包括:存储器303和一个或多个处理器301。
存储器303中存储有一个或多个应用程序,一个或多个应用程序适于由一个或多个处理器301执行以实现方法实施例的云网络中的跨资源池二层互通方法。
云网络中的跨资源池二层互通系统30包括:处理器301和存储器303。其中,处理器301和存储器303相连,如通过总线302相连。
该云网络中的跨资源池二层互通系统30的结构并不构成对本发明实施例的限定。
处理器301可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器301也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线302可包括一通路,在上述组件之间传送信息。总线302可以是PCI总线或EISA总线等。总线302可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器303可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
最后应说明的是,以上实施例仅用以说明本发明实施例的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种云网络中的跨资源池二层互通方法,其特征在于,所述方法包括:
S1,在需要进行二层互通的第一资源池和第二资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网,其中,异端隧道子网的网段不同,异端二层接入子网的网段相同;
S2,连接两端隧道子网;
S3,设置各端隧道子网的L2TGW;
S4,在各端隧道子网分配IP地址,并将所述IP地址配置到同端的L2TGW虚拟接口;
S5,为各端二层接入子网分配互联接入IP,并将所述互联接入IP配置在同端的L2TGW的剩余虚拟接口;
S6,在异端的L2TGW之间、同端的L2TGW与计算节点之间、同端的L2TGW与VPC网关之间、以及VPC网关与企业网管之间创建VXLAN隧道,并将创建的VXLAN隧道加入二层BD;
S7,在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;
S8,创建各端二层接入子网的二层连接实例;
S9,根据所述二层连接实例进行第一资源池和第二资源池的跨资源池数据传输。
2.根据权利要求1所述的一种云网络中的跨资源池二层互通方法,其特征在于,所述L2TGW包括临时创建L2TGW和已经被纳管的预部署L2TGW。
3.根据权利要求1所述的一种云网络中的跨资源池二层互通方法,其特征在于,异端的L2TGW之间的VXLAN隧道为内层VXLAN隧道,同端的L2TGW与VPC网关之间的VXLAN隧道为外层VXLAN隧道,所述内层VXLAN隧道和所述外层VXLAN隧道具有不同的水平分割组,相同水平分割组内的报文不能相互泛洪。
4.根据权利要求1所述的一种云网络中的跨资源池二层互通方法,其特征在于,每端L2TGW的二层BD数量为两个。
5.根据权利要求1所述的一种云网络中的跨资源池二层互通方法,其特征在于,所述ARP表包括均具有table号、优先级、匹配项和动作项的第一流表和第二流表;
所述第一流表和所述第二流表的优先级相同;
所述第一流表的匹配项包括匹配ARP请求和应答报文,所述第一流表的匹配项中的metadate为子网标识,所述第一流表的动作项为执行VXLAN封装、设置隧道id、设置隧道目的IP地址和出端口;
所述第二流表的匹配项中的metadate为子网标识,所述第二流表的匹配项还包括匹配目的MAC,所述第二流表的动作项为执行VXLAN封装、设置隧道id、设置隧道目的IP地址和出端口,其中,所述匹配目的MAC具体为匹配所有单播以太网数据包或者匹配所有多播数据包,其中,所述多播数据包包括广播数据包。
6.根据权利要求1所述的一种云网络中的跨资源池二层互通方法,其特征在于,跨资源池数据传输的流程包括路径相反的去程跨资源池数据传输流程和回程跨资源池数据传输流程;
所述S9具体包括:
S901,接收第一资源池的原始数据包;
S902,通过计算节点对所述原始数据包进行VXLAN封装;
S903,将封装后的原始数据包发送至同端的L2TGW;
S904,解除接收到的原始数据包的VXLAN封装;
S905,对解除VXLAN封装后的原始数据包进行内层VXLAN封装和外层VXLAN封装;
S906,将封装后的原始数据包发送至同端的VPC网关;
S907,解除接收到的原始数据包的外层VXLAN封装,并对解除外层VXLAN封装后的原始数据包进行VXLAN封装;
S908,将封装后的原始数据包发送至同端的企业网关;
S909,通过云间互联网络将封装后的原始数据包发送至对端的企业网关,完成所述去程跨资源池数据传输流程;
S9010,执行所述回程跨资源池数据传输流程,将所述原始数据包传输至对端的第二资源池。
7.根据权利要求1所述的一种云网络中的跨资源池二层互通方法,其特征在于,在所述S9之后还包括:
添加或者删除各端的二层接入子网。
8.一种云网络中的跨资源池二层互通装置,其特征在于,用于实现权利要求1至7中任一项所述的云网络中的跨资源池二层互通方法,所述装置包括:
第一创建模块,用于在需要进行二层互通的第一资源池和第二资源池中分别创建VPC、VPC网关、隧道子网和二层接入子网,其中,异端隧道子网的网段不同,异端二层接入子网的网段相同;
连接模块,用于连接两端隧道子网;
设置模块,用于设置各端隧道子网的L2TGW;
分配模块,用于在各端隧道子网分配IP地址,并将所述IP地址配置到同端的L2TGW虚拟接口;
第一配置模块,用于为各端二层接入子网分配互联接入IP,并将所述互联接入IP配置在同端的L2TGW的剩余虚拟接口;
第二创建模块,用于在异端的L2TGW之间、同端的L2TGW与计算节点之间、同端的L2TGW与VPC网关之间、以及VPC网关与企业网管之间创建VXLAN隧道,并将创建的VXLAN隧道加入二层BD;
第二配置模块,用于在各端L2TGW上配置与同端二层接入子网中虚拟机的ARP表,并在各端L2TGW上创建下一跳为对端隧道子网的IP地址的路由;
第三创建模块,用于创建各端二层接入子网的二层连接实例;
传输模块,用于根据所述二层连接实例进行第一资源池和第二资源池的跨资源池数据传输。
9.根据权利要求8所述的一种云网络中的跨资源池二层互通装置,其特征在于,所述L2TGW包括临时创建L2TGW和已经被纳管的预部署L2TGW。
10.根据权利要求8所述的一种云网络中的跨资源池二层互通装置,其特征在于,异端的L2TGW之间的VXLAN隧道为内层VXLAN隧道,同端的L2TGW与VPC网关之间的VXLAN隧道为外层VXLAN隧道,所述内层VXLAN隧道和所述外层VXLAN隧道具有不同的水平分割组,相同水平分割组内的报文不能相互泛洪。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411025682.1A CN118555166B (zh) | 2024-07-30 | 2024-07-30 | 一种云网络中的跨资源池二层互通方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411025682.1A CN118555166B (zh) | 2024-07-30 | 2024-07-30 | 一种云网络中的跨资源池二层互通方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN118555166A true CN118555166A (zh) | 2024-08-27 |
| CN118555166B CN118555166B (zh) | 2024-09-27 |
Family
ID=92446658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411025682.1A Active CN118555166B (zh) | 2024-07-30 | 2024-07-30 | 一种云网络中的跨资源池二层互通方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118555166B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119814375A (zh) * | 2024-12-06 | 2025-04-11 | 天翼云科技有限公司 | 一种跨云访问方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120281706A1 (en) * | 2011-05-06 | 2012-11-08 | Puneet Agarwal | Systems and methods for cloud bridging between intranet resources and cloud resources |
| US20140269709A1 (en) * | 2013-03-12 | 2014-09-18 | International Business Machines Corporation | Virtual gateways and implicit routing in distributed overlay virtual environments |
| CN116996343A (zh) * | 2023-07-05 | 2023-11-03 | 中国电信股份有限公司 | 云网络系统和云网络系统的交互方法 |
| US20240129185A1 (en) * | 2021-10-29 | 2024-04-18 | Oracle International Corporation | Secure bi-directional network connectivity system between private networks |
-
2024
- 2024-07-30 CN CN202411025682.1A patent/CN118555166B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120281706A1 (en) * | 2011-05-06 | 2012-11-08 | Puneet Agarwal | Systems and methods for cloud bridging between intranet resources and cloud resources |
| US20140269709A1 (en) * | 2013-03-12 | 2014-09-18 | International Business Machines Corporation | Virtual gateways and implicit routing in distributed overlay virtual environments |
| US20240129185A1 (en) * | 2021-10-29 | 2024-04-18 | Oracle International Corporation | Secure bi-directional network connectivity system between private networks |
| CN116996343A (zh) * | 2023-07-05 | 2023-11-03 | 中国电信股份有限公司 | 云网络系统和云网络系统的交互方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119814375A (zh) * | 2024-12-06 | 2025-04-11 | 天翼云科技有限公司 | 一种跨云访问方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118555166B (zh) | 2024-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11470001B2 (en) | Multi-account gateway | |
| US10708125B1 (en) | Gateway configuration using a network manager | |
| CN111742525B (zh) | 多云vpc路由和注册 | |
| CN109120494B (zh) | 在云计算系统中接入物理机的方法 | |
| US9979605B2 (en) | Virtualization mapping | |
| CN106936777B (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
| WO2021136311A1 (zh) | 一种vpc之间的通信方法及装置 | |
| WO2016066072A1 (zh) | 实现nvo3网络与mpls网络之间通信的方法和装置 | |
| WO2022001669A1 (zh) | 建立vxlan隧道的方法及相关设备 | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| CN111314196A (zh) | 一种数据中心网络混合overlay通信的方法 | |
| CN113726915B (zh) | 网络系统及其中的报文传输方法和相关装置 | |
| CN107204907A (zh) | 云数据中心互联方法及装置 | |
| CN112769584B (zh) | 网络切片共享上联口的方法、装置及存储介质 | |
| CN108259466B (zh) | DDoS流量回注方法、SDN控制器及网络系统 | |
| CN108965134B (zh) | 报文转发方法及装置 | |
| JP7486597B2 (ja) | ダイアルアップ・パケット処理方法、ネットワーク要素、システム、ネットワーク装置 | |
| CN118555166B (zh) | 一种云网络中的跨资源池二层互通方法及装置 | |
| WO2022142905A1 (zh) | 报文转发的方法、装置和网络系统 | |
| WO2022053007A1 (zh) | 网络可达性验证方法及装置、计算机存储介质 | |
| CN113285877B (zh) | 一种报文转发的控制方法及相关装置 | |
| CN116800560A (zh) | 一种基于vyos网络系统实现云桌面支持高可用云端口的方法 | |
| CN113037883B (zh) | 一种mac地址表项的更新方法及装置 | |
| CN115955456A (zh) | 基于IPv6的企业园区网及组网方法 | |
| CN108512737B (zh) | 一种数据中心ip层互联的方法和sdn控制器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |