WO2016062140A1

WO2016062140A1 - 一种实现虚拟私有云网络与外部网络互通的方法和装置

Info

Publication number: WO2016062140A1
Application number: PCT/CN2015/084963
Authority: WO
Inventors: 王静
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2014-10-20
Filing date: 2015-07-23
Publication date: 2016-04-28
Anticipated expiration: 2017-04-20
Also published as: CN105591863A; CN105591863B

Abstract

一种实现虚拟私有云网络与外部网络互通的方法和装置，包括：虚拟可扩展局域网Vxlan网关接收到来自路由器的数据，在第一流表中查找到数据对应的第三流表表项和第四流表表项，根据第三流表表项在网络地址转换NAT表中查找数据对应的NAT表项；根据查找到的NAT表项将数据发送到外部网络；所述Vxlan网关根据所述第四流表表项对所述数据进行镜像；所述Vxlan网关在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找所述镜像的数据对应的NAT表项，将查找到的NAT表项下发到所述NAT表中。

Description

一种实现虚拟私有云网络与外部网络互通的方法和装置

技术领域

本文涉及虚拟私有云网络技术，尤指一种实现虚拟私有云(VPC，Virtual Private Cloud)网络与外部网络互通的方法和装置。

背景技术

VPC是存在于共享或公共云中的私有云。云运营商可以在公共云上划分出一部分资源给用户使用，使得用户可以像私有云一样拥有和管理云。私有云可以以虚拟机(VM，Virtual Machine)的方式安装不同规格的服务器；可以安装或者部署不同规格的共享存储；可以自行划分子网、自定义网络编址空间、自定义路由规则；可以配置和外部网络互通的方式以及规则；可以安装网络地址转换(NAT，Network Address Translation)、防火墙、负载均衡器、虚拟专用网络(VPN，Virtual Private Network)网关等设备并配置相应的规则；可以维护、监控资源及网络。图1为虚拟私有云网络总体方案，如图1所示，云平台统一管理计算、网络、存储资源，每个租户可以申请一个或多个虚拟私有云服务。用户可以申请签约所规定的虚拟机、网络、存储资源，并具有完全的配置权限。

一个用户采用一个账户登录，也即所谓的一个租户。理论也可以一个账户对应多个租户，视平台实现而定。一个租户可以创建多个网络，对应一个底层虚拟网络封装标签(例如虚拟局域网(vlan，Virtual Local Area Network)封装标识或虚拟可扩展局域网(vxlan，Virtual eXtensible Local Area Network)封装标识vni)，每个虚拟网络有多个子网。默认多个子网之间是隔离的，如果租户希望子网之间互通，则需要创建虚拟路由器挂接多个子网。如果需要和外部网络互通，则需要创建静态路由或外部网关。一个租户可以同时申请多个虚拟机资源，每个虚拟机有一个到多个端口，每个端口配置一个媒体访问控制(MAC，Media Access Control)地址和一个私网互联网协议(IP，Internet Protocol)地址。如果虚拟机是用于对外服务，则可选配置一个动态IP(Floating IP)，对应网络的一条静态NAT规则。如果子网内主机需要访问外网，除了配置虚拟路由器外，还需要对应的NAT设备。

虚拟私有云网络的管理可以通过Openstack(美国国家航空航天局和Rackspace合作研发的云端运算软件)的Neutron网络组件完成，Neutron网络组件按照租户对网络的需求生成相应的虚拟私有云网络资源。底层的物理资源在虚拟化后通过软件定义网络(SDN，Software Defined Network)技术进行调配，SDN控制器按照Neutron网络组件的要求构建网络。图2为虚拟私有云网络虚拟化方案，如图2所示，虚拟私有云网络的L2和L3功能以及网络模型可以通过SDN控制器实现，L4-L7网络设备由Neutron Plug-In接口直接控制OF(OpenFlow)交换机以及L4-L7网络设备。L4-L7的业务编排也可以通过SDN实现。这种虚拟私有云网络的资源管理方案具有完全的网络控制能力，利于精细化的网络管理和控制。通过可编程网络，使得业务定制化能力变强。标准的openflow接口有利于多厂家混合组网。

虚拟私有云网络可以通过vxlan进行隔离，在每个虚拟私有云网络中可以规划自有的网段和地址池，虚拟私有云内部的虚拟机(VM，Virtual Machine)可以分配私有地址，在虚拟私有云之间可以存在地址重叠现象。图3为相关技术中的实现虚拟私有网络与外部网络互通的方法的示意图，如图3所示，当虚拟私有云网络中的VM需要向外部网络发送数据时，SDN控制器控制OF交换机对数据进行Vxlan封装后，控制OF交换机将数据通过路由器发送给Vxlan网关，Vxlan网关根据SDN控制器下发的第一流表表项(包括匹配信息域和对应的动作，其中，匹配信息域为Vxlan封装标识)对数据进行Vxlan解封装，并根据SDN控制器下发的第二流表表项(包括匹配信息域和对应的动作，其中，匹配信息域为Vlan封装标识)对数据进行Vlan封装，然后将封装后的数据转发给NAT网元，NAT网元采用遍历的方式在NAT规则表中查找数据对应的NAT规则，根据查找到的NAT规则将数据发送到外部网络。其中，NAT规则表包括Vlan封装标识和对应的NAT规则。

其中，Vxlan网关和NAT网元可以分设，也可以合设。

相关技术中的实现虚拟私有网络与外部网络互通的方法中，Vxlan网关在对数据进行Vxlan解封装和Vlan封装过程中，需要将Vxlan封装标识映射到Vlan标识，Vxlan封装标识为24比特，而Vlan封装标识为12比特，因此，在映射过程中会存在多个Vxlan封装标识对应一个Vlan标识的情况，从而降低了Vxlan网关实际所支持的虚拟私有网络的数量。

发明内容

本发明实施例提出了一种实现虚拟私有云网络与外部网络互通的方法和装置，能够避免Vxlan和Vlan之间的映射。

本发明实施例提出了一种实现虚拟私有云网络与外部网络互通的方法，包括：

虚拟可扩展局域网Vxlan网关接收到来自路由器的数据，在第一流表中查找到所述数据对应的第三流表表项和第四流表表项；

所述Vxlan网关根据所述第三流表表项在网络地址转换NAT表中查找所述数据对应的NAT表项，根据查找到的NAT表项将所述数据发送到外部网络；

所述Vxlan网关根据所述第四流表表项对所述数据进行镜像；

所述Vxlan网关在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找所述镜像的数据对应的NAT表项，将查找到的NAT表项下发到NAT表中。

可选地，当在所述NAT表中查找不到所述数据对应的NAT表项时，该方法还包括：丢弃所述数据。

可选地，当在所述第一流表中查找不到所述数据对应的第三流表表项和第四流表表项时，所述方法还包括：

所述Vxlan网关将所述数据上送到所述SDN控制器；

所述Vxlan网关接收来自所述SDN控制器的第三流表表项和第四流表表项。

可选地，当在所述第二流表中查找不到所述镜像的数据对应的第五流表表项时，该方法还包括：丢弃所述镜像的数据。

可选地，该方法还包括：所述Vxlan网关在查找到所述镜像的数据对应的NAT表项后删除所述第四流表表项。

可选地，所述Vxlan网关在查找到镜像的数据对应的NAT表项后删除第四流表表项包括：

所述Vxlan网关在查找到所述镜像的数据对应的NAT表项后构建特殊的指示，在所述第二流表中查找所述构建的特殊的指示对应的第六流表表项，根据查找到的第六流表表项删除所述第四流表表项。

可选地，该方法还包括：

所述Vxlan网关将查找到的NAT表项中的匹配域信息发送给SDN控制器，接收到来自所述SDN控制器的第七流表表项后，根据所述第七流表表项删除所述第四流表表项。

可选地，所述第一流表包括匹配域信息，所述第一流表的匹配域信息为网络地址；

所述在第一流表中查找所述数据对应的第三流表表项包括：

将所述数据的目的地址和所述第一流表的匹配域信息进行匹配查找所述第三流表表项。

本发明实施例还提出了一种虚拟可扩展局域网网关，包括：

第一查找模块，设置为接收到来自路由器的数据，在第一流表中查找到所述数据对应的第三流表表项和第四流表表项；根据第三流表表项在网络地址转换NAT表中查找数据对应的NAT表项；

发送模块，设置为根据查找到的NAT表项将所述数据发送到外部网络；

镜像模块，设置为根据所述第四流表表项对所述数据进行镜像；

第二查找模块，设置为在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找所述镜像的数据对应的NAT表项；以及

下发模块，设置为将查找到的NAT表项下发到所述NAT表中。

可选地，所述网关还包括：丢弃模块，设置为在所述第一查找模块查找不到所述数据对应的NAT表项时，丢弃所述数据。

可选地，所述第一查找模块还设置为：在所述第一流表中查找不到所述数据对应的第三流表表项和第四流表表项时，将所述数据上送到SDN控制器；接收来自所述SDN控制器的第三流表表项和第四流表表项。

可选地，所述第二查找模块还设置为：在所述第二流表中查找不到所述镜像的数据对应的第五流表表项时，丢弃所述镜像的数据。

可选地，所述网关还包括：删除模块，其设置为在查找到所述镜像的数据对应的NAT表项后删除所述第四流表表项。

可选地，所述删除模块是设置为：在查找到所述镜像的数据对应的NAT表项后构建特殊的指示，在所述第二流表中查找所述构建的特殊的指示对应的第六流表表项，根据查找到的第六流表表项删除所述第四流表表项。

可选地，所述发送模块还设置为：将查找到的NAT表项中的匹配域信息发送给SDN控制器，接收到来自所述SDN控制器的第七流表表项后，根据所述第七流表表项删除所述第四流表表项。

本发明实施例还提供一种计算机可读存储介质，存储有程序指令，当该程序指令被执行时可实现上述方法。

与相关技术相比，本发明实施例方案包括：Vxlan网关接收到来自路由器的数据，在第一流表中查找到数据对应的第三流表表项和第四流表表项，Vxlan网关根据第三流表表项在NAT表中查找数据对应的NAT表项；根据查找到的NAT表项将数据发送到外部网络；Vxlan网关根据所述第四流表表项对所述数据进行镜像；所述Vxlan网关在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找所述镜像的数据对应的NAT表项，将查找到的NAT表项下发到所述NAT表中。通过本发明实施例的方案，在第一流表中查找到数据对应的第三流表表项后，直接在NAT表中查找对应的NAT表项，而不需要对数据进行Vxlan解封装和Vlan封装后再执行NAT转换，从而避免了Vxlan和Vlan之间的映射。

另外，只需要将数据在NAT表中进行查找，而不需要在包含所有NAT规则的NAT规则表中进行查找，从而加快了数据的传输。

附图概述

图1为虚拟私有云网络总体方案；

图2为虚拟私有云网络虚拟化方案；

图3为相关技术的实现虚拟私有网络与外部网络互通的方法的示意图；

图4为本发明实施例1的实现虚拟私有网络与外部网络互通的方法的流程图；

图5为本发明实施例2的实现虚拟私有网络与外部网络互通的方法的流程图；

图6为本发明实施例3的Vxlan网关的结构组成示意图。

本发明的实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的多种方式可以相互任意组合。

实施例1

参见图4，本发明实施例提出了一种实现虚拟私有云网络与外部网络互通的方法，包括：

步骤100、Vxlan网关接收到来自路由器的数据，在第一流表中查找到所述数据对应的第三流表表项和第四流表表项；根据第三流表表项在NAT表中查找数据对应的NAT表项，根据查找到的NAT表项将数据发送到外部网络；Vxlan网关根据第四流表表项对数据进行镜像；Vxlan网关在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找镜像的数据对应的NAT表项，将查找到的NAT表项下发到NAT表中。

本步骤中，当在NAT表中查找不到数据对应的NAT表项时，丢弃数据。

本步骤中，第一流表包括匹配域信息和对应的动作，NAT规则表包括匹配域信息和对应的NAT规则。

其中，第一流表的匹配域信息为网络地址。可以将数据的目的地址和第一流表的匹配域信息进行匹配查找第三流表表项。

其中，NAT规则表的匹配域信息可以是vni(Vxlan Network identifier，Vxlan网络标识符)信息、子网信息、源地址信息、目的地址信息、源端口信息、目的端口信息、协议转换信息等中的一个或多个。可以将数据中的vni信息、子网信息、源地址信息、目的地址信息、源端口信息、目的端口信息、协议转换信息等中的一个或多个与NAT规则表的匹配域信息进行匹配。

本步骤中，当在第二流表中查找不到镜像的数据对应的第五流表表项，或在NAT规则表中查找不到镜像的数据对应的NAT表项时，丢弃镜像的数据。

本步骤中，第二流表和NAT规则表是SDN控制器预先下发到Vxlan网关中的。

本步骤中，第二流表包括匹配域信息和对应的动作。

其中，第二流表的匹配域信息可以是vni信息、子网信息、源地址信息、目的地址信息、源端口信息、目的端口信息、协议转换信息等中的一个或多个。可以将数据中的vni信息、子网信息、源地址信息、目的地址信息、源端口信息、目的端口信息、协议转换信息等中的一个或多个与第二流表的匹配域信息进行匹配查找第五流表表项。

本步骤中，NAT规则表中包括了所有的NAT规则对应的NAT表项。

本步骤中，Vxlan网关还可以在查找到镜像的数据对应的NAT表项后删除第四流表表项。例如，可以在查找到镜像的数据对应的NAT表项后构建特殊的指示，在第二流表中查找构建的特殊的指示对应的第六流表表项，根据查找到的第六流表表项删除第四流表表项。其中，特殊的指示可以是包含特定匹配域(即预设匹配域)的数据包，第六流表表项可以是预先配置在第二流表中的流表表项。或者，Vxlan网关将查找到的NAT表项中的匹配域信息发送给SDN控制器，接收到来自SDN控制器的第七流表表项后，根据第七流表表项删除第四流表表项。

当在第一流表中查找不到数据对应的第三流表表项和第四流表表项时，还可包括以下步骤：

步骤101、Vxlan网关将数据上送到SDN控制器；Vxlan网关接收来自SDN控制器的第四流表表项和第三流表表项。

其中，Vxlan网关可以通过Packet in命令将数据上送到SDN控制器。

Vxlan网关接收到来自SDN控制器的第四流表表项和第三流表表项后，根据从该SDN控制器接收的第三流表表项在网络地址转换NAT表中查找数据对应的NAT表项。

实施例2

下面通过一实施例详细说明上述方法，参见图5，该方法包括：

步骤500、Vxlan网关接收来自路由器的数据；

步骤501、Vxlan网关在第一流表中查找数据对应的第三流表表项和第四流表表项，如果查找到第三流表表项，则执行步骤502；如果查找到第四流表表项，则执行步骤505；如果查找不到第三流表表项和第四流表表项，则执行步骤510；

步骤502、Vxlan网关根据第三流表表项在NAT表中查找数据对应的NAT表项，如果查找到，则执行步骤503；如果查找不到，则执行步骤504；

步骤503、Vxlan网关根据查找到的NAT表项将数据发送到外部网络；

步骤504、Vxlan网关丢弃数据；

步骤505、Vxlan网关根据第四流表表项对数据进行镜像；

步骤506、Vxlan网关在第二流表中查找镜像的数据对应的第五流表表项，如果查找到，则执行步骤507；如果查找不到，则执行步骤509；

步骤507、Vxlan网关根据查找到的第五流表表项在NAT规则表中查找镜像的数据对应的NAT表项，如果查找到，则执行步骤508；如果查找不到，则执行步骤509；

步骤508、Vxlan网关将查找到的NAT表项下发到NAT表中，并删除第四流表表项；

步骤509、Vxlan网关丢弃镜像的数据；

步骤510、Vxlan网关将数据上送到SDN控制器；Vxlan网关接收来自SDN控制器的第四流表表项和第三流表表项，并执行步骤501。

实施例3

参见图6，本发明实施例还提出了一种虚拟可扩展局域网网关，至少包括：

第一查找模块601，设置为接收到来自路由器的数据，在第一流表中查找到所述数据对应的第三流表表项和第四流表表项；根据第三流表表项在网络地址转换NAT表中查找数据对应的NAT表项；

发送模块602，设置为根据查找到的NAT表项将所述数据发送到外部网络；

镜像模块603，设置为根据所述第四流表表项对数据进行镜像；

第二查找模块604，设置为在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找镜像的数据对应的NAT表项；以及

下发模块605，设置为将查找到的NAT表项下发到所述NAT表中。

可选地，该虚拟可扩展局域网网关还可包括：

丢弃模块606，设置为在第一查找模块查找不到数据对应的NAT表项时，丢弃数据。

可选地，该第一查找模块601还可设置为：

在第一流表中查找不到所述数据对应的第三流表表项和第四流表表项时，将所述数据上送到SDN控制器；接收来自SDN控制器的第三流表表项和第四流表表项。

可选地，该第二查找模块604还可设置为：

在第二流表中查找不到镜像的数据对应的第五流表表项时，丢弃镜像的数据。

可选地，该网关还可包括：

删除模块607，其设置为在查找到镜像的数据对应的NAT表项后删除第四流表表项。

其中，该删除模块607是设置为：

在查找到镜像的数据对应的NAT表项后构建特殊的指示，在第二流表中查找构建的特殊的指示对应的第六流表表项，根据查找到的第六流表表项删除第四流表表项。

可选地，该发送模块602还可设置为：

将查找到的NAT表项中的匹配域信息发送给SDN控制器，接收到来自SDN控制器的第七流表表项后，根据第七流表表项删除第四流表表项。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明实施例不限制于任何特定形式的硬件和软件的结合。

工业实用性

通过本发明实施例的方案，在第一流表中查找到数据对应的第三流表表项后，直接在NAT表中查找对应的NAT表项，而不需要对数据进行Vxlan解封装和Vlan封装后再执行NAT转换，从而避免了Vxlan和Vlan之间的映射。

Claims

一种实现虚拟私有云网络与外部网络互通的方法，包括：

虚拟可扩展局域网Vxlan网关接收到来自路由器的数据，在第一流表中查找到所述数据对应的第三流表表项和第四流表表项；

所述Vxlan网关根据所述第三流表表项在网络地址转换NAT表中查找所述数据对应的NAT表项，根据查找到的NAT表项将所述数据发送到外部网络；

所述Vxlan网关根据所述第四流表表项对所述数据进行镜像；

所述Vxlan网关在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找所述镜像的数据对应的NAT表项，将查找到的NAT表项下发到NAT表中。
根据权利要求1所述的方法，当在所述NAT表中查找不到所述数据对应的NAT表项时，该方法还包括：丢弃所述数据。
根据权利要求1或2所述的方法，当在所述第一流表中查找不到所述数据对应的第三流表表项和第四流表表项时，所述方法还包括：

所述Vxlan网关将所述数据上送到软件定义网络SDN控制器；

所述Vxlan网关接收来自所述SDN控制器的第三流表表项和第四流表表项。
根据权利要求1或2所述的方法，当在所述第二流表中查找不到所述镜像的数据对应的第五流表表项时，该方法还包括：

丢弃所述镜像的数据。
根据权利要求1或2所述的方法，该方法还包括：

所述Vxlan网关在查找到所述镜像的数据对应的NAT表项后删除所述第四流表表项。
根据权利要求5所述的方法，其中，所述Vxlan网关在查找到镜像的数据对应的NAT表项后删除第四流表表项包括：

所述Vxlan网关在查找到所述镜像的数据对应的NAT表项后构建特殊的指示，在所述第二流表中查找所述构建的特殊的指示对应的第六流表表项，根据查找到的第六流表表项删除所述第四流表表项。
根据权利要求1或2所述的方法，该方法还包括：

所述Vxlan网关将查找到的NAT表项中的匹配域信息发送给SDN控制器，接收到来自所述SDN控制器的第七流表表项后，根据所述第七流表表项删除所述第四流表表项。
根据权利要求1或2所述的方法，其中，所述第一流表包括匹配域信息，所述第一流表的匹配域信息为网络地址；

所述在第一流表中查找所述数据对应的第三流表表项包括：

将所述数据的目的地址和所述第一流表的匹配域信息进行匹配查找所述第三流表表项。
一种虚拟可扩展局域网网关，包括：

第一查找模块，设置为接收到来自路由器的数据，在第一流表中查找到所述数据对应的第三流表表项和第四流表表项；根据第三流表表项在网络地址转换NAT表中查找数据对应的NAT表项；

发送模块，设置为根据查找到的NAT表项将所述数据发送到外部网络；

镜像模块，设置为根据所述第四流表表项对所述数据进行镜像；

第二查找模块，设置为在第二流表中查找镜像的数据对应的第五流表表项，根据查找到的第五流表表项在NAT规则表中查找所述镜像的数据对应的NAT表项；以及

下发模块，设置为将查找到的NAT表项下发到所述NAT表中。
根据权利要求9所述的虚拟可扩展局域网网关，所述网关还包括：

丢弃模块，设置为在所述第一查找模块查找不到所述数据对应的NAT表项时，丢弃所述数据。
根据权利要求9或10所述的虚拟可扩展局域网网关，所述第一查找模块还设置为：

在所述第一流表中查找不到所述数据对应的第三流表表项和第四流表表项时，将所述数据上送到软件定义网络SDN控制器；接收来自所述SDN控制器的第三流表表项和第四流表表项。
根据权利要求9或10所述的虚拟可扩展局域网网关，所述第二查找模块还设置为：

在所述第二流表中查找不到所述镜像的数据对应的第五流表表项时，丢弃所述镜像的数据。
根据权利要求9或10所述的虚拟可扩展局域网网关，所述网关还包括：

删除模块，设置为在查找到所述镜像的数据对应的NAT表项后删除所述第四流表表项。
根据权利要求13所述的虚拟可扩展局域网网关，所述删除模块是设置为：

在查找到所述镜像的数据对应的NAT表项后构建特殊的指示，在所述第二流表中查找所述构建的特殊的指示对应的第六流表表项，根据查找到的第六流表表项删除所述第四流表表项。
根据权利要求9或10所述的虚拟可扩展局域网网关，所述发送模块还设置为：

将查找到的NAT表项中的匹配域信息发送给SDN控制器，接收到来自所述SDN控制器的第七流表表项后，根据所述第七流表表项删除所述第四流表表项。
一种计算机可读存储介质，存储有程序指令，当该程序指令被执行时可实现权利要求1-8任一项所述的方法。