CN104184686B - 控制边缘虚拟桥接链路上广播流量的方法和装置 - Google Patents
控制边缘虚拟桥接链路上广播流量的方法和装置 Download PDFInfo
- Publication number
- CN104184686B CN104184686B CN201410411861.9A CN201410411861A CN104184686B CN 104184686 B CN104184686 B CN 104184686B CN 201410411861 A CN201410411861 A CN 201410411861A CN 104184686 B CN104184686 B CN 104184686B
- Authority
- CN
- China
- Prior art keywords
- vlan
- channel
- virtual switch
- service provider
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种控制边缘虚拟桥接链路上广播流量的方法和装置,应用于EVB架构的服务器中的Hypervisor,该方法包括:生成对应于服务器内虚拟交换机的服务商通道状态维护报文,该报文中包含VLAN ID和状态配置标识;通过对应于虚拟交换机的S‑channel,向连接至服务器的交换机发送服务商通道状态维护报文,以使交换机根据状态配置标识生成对应于S‑channel的ACL表项,该ACL表项用于限制S‑channel向虚拟交换机传输对应于VLAN ID的广播报文。通过本发明的技术方案,可以由服务器对来自交换机的广播报文流量进行控制,有助于提升安全性,避免带宽浪费。
Description
技术领域
本发明涉及通信技术领域,尤其涉及控制边缘虚拟桥接链路上广播流量的方法和装置。
背景技术
EVB(Edge Virtual Bridging,边缘虚拟桥接)技术是为解决服务器虚拟化而出现的,其核心思想是将VM(虚拟机,Virtual Machine)的流量(包括同一服务器上的各VM之间的流量)全部交给与服务器直连的交换机进行交换和处理,从而使流量监管和网络控制策略的实施成为可能,也使服务器内部网络与外部交换网络能够统一进行部署和管理。
发明内容
有鉴于此,本发明提供一种新的技术方案,可以解决EVB链路上存在的带宽浪费和具有安全隐患的技术问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种控制边缘虚拟桥接链路上广播流量的方法,应用于边缘虚拟桥接EVB架构的服务器中的虚拟机管理程序Hypervisor,包括:
生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
通过对应于所述虚拟交换机的服务商通道S-channel,向连接至所述服务器的交换机发送所述服务商通道状态维护报文,以使所述交换机根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
根据本发明的第二方面,提出了一种控制边缘虚拟桥接链路上广播流量的方法,应用于与边缘虚拟桥接EVB架构的服务器相连的交换机,包括:
接收所述服务器通过S-channel发送的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述服务器中对应的虚拟交换机传输对应于所述VLAN ID的广播报文。
根据本发明的第三方面,提出了一种控制边缘虚拟桥接链路上广播流量的装置,应用于边缘虚拟桥接EVB架构的服务器中的虚拟机管理程序Hypervisor,包括:
报文生成单元,用于生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
报文发送单元,用于通过对应于所述服务器内虚拟交换机的服务商通道S-channel,向连接至所述服务器的交换机发送所述服务商通道状态维护报文,以使所述交换机根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
根据本发明的第四方面,提出了一种控制边缘虚拟桥接链路上广播流量的装置,应用于与边缘虚拟桥接EVB架构的服务器相连的交换机,包括:
报文接收单元,用于接收所述服务器通过S-channel发送的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
表项生成单元,用于根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述服务器中对应的虚拟交换机传输对应于所述VLAN ID的广播报文。
由以上技术方案可见,本发明通过由服务器向交换机发送服务商通道状态维护报文,可以实现对EVB链路上的广播流量的控制,避免不必要的广播流量造成带宽浪费和安全性隐患,从而有助于提升流量传输效率和链路安全性。
附图说明
图1示出了根据本发明的一示例性实施例的应用于服务器的控制EVB链路上广播流量的方法的示意流程图;
图2示出了根据本发明的一示例性实施例的应用于交换机的控制EVB链路上广播流量的方法的示意流程图;
图3示出了一典型EVB架构的示意图;
图4示出了对VSI接口进行发现与配置的示意流程图;
图5示出了根据本发明的一示例性实施例的服务商通道状态维护报文的结构示意图;
图6示出了根据本发明的一示例性实施例的S-channel的状态变化示意图;
图7示出了根据本发明的一示例性实施例的VM迁移的示意图;
图8示出了根据本发明的另一示例性实施例的VM迁移的示意图;
图9示出了根据本发明的一示例性实施例的应用于服务器的控制EVB链路上广播流量的装置的示意框图;
图10示出了根据本发明的一示例性实施例的应用于交换机的控制EVB链路上广播流量的装置的示意框图。
具体实施方式
本发明通过由服务器向交换机发送服务商通道状态维护报文,可以实现对EVB链路上的广播流量的控制,避免不必要的广播流量造成带宽浪费和安全性隐患,从而有助于提升流量传输效率和链路安全性。
为对本发明进行进一步说明,提供下列实施例:
请参考图1,图1示出了根据本发明的一示例性实施例的控制EVB链路上广播流量的方法,应用于EVB架构的服务器中的虚拟机管理程序Hypervisor,包括:
步骤102,生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
步骤104,通过对应于所述虚拟交换机的S-channel(服务商通道),向连接至所述服务器的交换机发送所述服务商通道状态维护报文,以使所述交换机根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
在本实施例中,对传输广播报文的“限制”应该理解为:根据不同场景,控制S-channel对广播报文的传输,比如避免传输所有类型的广播报文,或避免传输部分类型的广播传输,从而根据实际需求实现对广播流量的有效控制。
相应地,图2示出了根据本发明的一示例性实施例的应用于交换机的控制EVB链路上广播流量的方法,包括:
步骤202,接收所述服务器通过S-channel发送的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
步骤204,根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述服务器中对应的虚拟交换机传输对应于所述VLAN ID的广播报文。
由上述实施例可知,本发明通过由服务器生成对应于虚拟交换机的服务商通道状态维护报文,实现了对该虚拟交换机对应的S-channel的状态维护。其中,交换机根据该服务商通道状态维护报文下发ACL表项,从而实现了对上述S-channel上的广播流量的有效控制。
下面通过一典型的EVB结构,对本发明的技术方案进行详细描述。请参考图3,假定在物理服务器内创建了VM1~VM6共六个虚拟机,每个虚拟机通过对应的VSI(VirtualStation Interface,虚拟服务器接口)连接至虚拟交换机,比如VM1通过VSI接口a连接至VEB(Virtual Edge Bridge,虚拟边缘桥)1、通过VSI接口b连接至VEB2,VM5通过VSI接口i连接至VEPA(Virtual Edge Port Aggregator,虚拟边缘端口聚合器)等;而每个接口都分配至相应的VLAN,比如VSI接口a属于VLAN1(图1标示为①)、VSI接口b属于VLAN2(图1标示为②)、VSI接口c属于VLAN3(图1标示为③)、VSI接口d属于VLAN4(图1标示为④)等。
虚拟交换机和与物理服务器相连的物理的交换机通过服务商VLAN组件1和服务商VLAN组件2之间形成的物理链路进行流量传输。在服务商VLAN组件1上配置有端口A、端口B……端口F等CAP(S-channel Access Port,服务商通道传输端口)端口,分别连接至虚拟交换机VEB1~VEB5和VEPA,而服务商VLAN组件2上也配置有对应的端口A’、端口B’……端口F’等,则各虚拟交换机通过在服务商VLAN组件1和服务商VLAN组件2之间对应的服务商通道(即S-channel)实现物理服务器与交换机之间的流量传输,比如VEB1上的流量通过端口A与端口A’之间的S-channel传输、VEPA上的流量通过端口F和端口F’之间的S-channel传输等。
基于上述EVB架构,则物理服务器(具体为物理服务器内运行的Hypervisor)可以生成对应于VEB1~VEB5或VEPA等虚拟交换机的服务商通道状态维护报文,并通过将其发送至相连接的交换机,从而控制相应S-channel上对广播流量的传输。其中,图1和图2中描述了在服务商通道状态维护报文中具体通过VLAN ID和状态配置标识来实现广播流量的传输控制,下面结合一具体应用场景,描述对服务商通道状态维护报文中的VLANID和状态配置标识的配置方式。
作为一示例性实施例,以图3中的VEB5为例。与VEB5相连的VSI接口包括VM3的接口e和接口f、VM4的接口g和VM5的接口h,其中接口e、接口g和接口h均属于VLAN2,且接口f属于VLAN4。那么,物理服务器中的Hypervisor需要确定在与VEB5相连的VSI接口所属的VLAN(即VLAN2和VLAN4)中,是否存在满足下述第一条件的VLAN:与虚拟交换机VEB5相连且属于该VLAN的VSI接口均通过MAC地址在物理交换机处进行了关联处理。此处的“关联处理”涉及Hypervisor与交换机之间通过VDP(VSI discovery and configuration protocol,VSI发现与配置协议),实现对VSI接口的发现与配置过程,下面通过图4示出了具体实现流程,包括:
步骤402,Hypervisor向相连的交换机发送对应于某个VSI接口的预关联请求报文,申请关联某个属性为X1的VSI接口;
在本实施例中,属性X1中具体可以包括VLAN ID、MAC地址、VTID(VSI Type ID,VSI类型标识)等信息,VTID具体包括如:端口许可的VLAN列表、端口速率限制等内容。其中,属性X1中并不一定包括上述全部类型的属性信息,比如可能并不包括MAC地址。
步骤404,交换机查找本地预配置的VSI类型数据库,并通过预关联应答报文,告知属性X1可用。
需要说明的是,步骤402和步骤404的“预关联”并不激活相应的VSI接口,而只是触发交换机获取相应VSI接口的属性。
步骤406,Hypervisor向交换机发送关联请求报文,以激活通过步骤402和步骤404完成预关联处理的VSI接口;
步骤408,交换机向Hypervisor返回关联应答报文,从而正式将相应的VSI接口关联属性X1,完成对该VSI接口的关联处理。
| VSI接口 | 关联属性信息 | VLAN ID |
| e | VLAN+MAC | 2 |
| f | VLAN | 4 |
| g | VLAN+MAC | 2 |
| h | VLAN+MAC | 2 |
表1
假定VEB5对应的各VSI接口在交换机处的关联情况如表1所示,即VLAN2下的VSI接口e、g和h均通过MAC地址在交换机处进行了关联处理,因而当对应于VEB5的S-channel E-E’接收到未知单播报文时,即该报文的目的地址与E-E’记录的VSI接口e、f、g和h的地址均不相同,那么由于接口e、g和h均通过MAC地址进行了关联处理,则该未知单播报文的目的地址显然与接口e、g和h均不相同,从而不需要发送至VLAN2下的接口e、g和h,即不需要在VLAN2下对该未知单播报文进行广播;相对应的,由于VLAN4下的VSI接口f则仅通过VLAN在交换机处进行了关联处理,因而无法确定S-channel E-E’接收到的未知单播报文是否对应于接口f,仍然需要在VLAN4下进行广播。
可见,在VEB5对应地VSI接口所属的VLAN中,由于VLAN2下的VSI接口均通过MAC地址在交换机处进行了关联处理,即满足上述的第一条件,因而Hypervisor将生成对应于VEB5的服务商通道状态维护报文,该服务商通道状态维护报文包含VLAN2的VLAN ID以及该VLAN ID对应的状态配置标识。
比如图5示出了一示例性实施例的服务商通道状态维护报文的结构,该报文可以通过LLDP(Link Layer Discovery Protocol,链路层发现协议)报文进行发送,包括TLVtype(TLV类型)、TLV information string length(TLV信息字符串长度)、OUI(Organizationally unique identifier,组织唯一标识符)、Subtype(子类型)和VLAN ID/Status(VLAN标识/状态配置标识)等信息段。其中,TLV type可以取值127、TLVinformation string length可以取值为9,OUI可以取值00-80-C2,Subtype可以取值0x0F。
在上述实施例中,由于VEB5对应的VLAN2下的所有VSI接口均通过MAC地址在交换机处完成了关联处理,因而需要S-channel E-E’不将接收到的未知单播报文在VLAN2下广播,则通过“VLAN ID/Status”信息段来实现相应的S-channel状态配置。
| 状态 | 取值 |
| Forwarding | 0 |
| Broadcast forbidden | 1 |
| Unkown-unicast forbidden | 2 |
| Idle | 3 |
表2
图6示出了一示例性实施例的S-channel的状态变化,包括“Forwarding(传输)”、“Broadcast forbidden(禁止广播)”、“Unkown-unicast forbidden(禁止广播未知单播)”和“Idle(空闲)”共四种状态。每种状态对应于“Status”的不同取值,具体如表2所示,当Status取值为0时,对应于“Forwarding”状态,表明允许传输所有报文;当Status取值为1时,对应于“Broadcast forbidden”状态,表明禁止传输所有的广播报文;当Status取值为2时,对应于“Unkown-unicast forbidden”状态,表明禁止传输未知单播报文;当Status取值为3时,对应于“Idle”状态,表明处于空闲状态,不执行传输操作。
因此,针对上述VEB5对应的VLAN2下的所有VSI接口均通过MAC地址在交换机处完成了关联处理的情况,需要将连接至VEB5的S-channel E-E’的状态配置为“Unkown-unicast forbidden”,使得S-channel E-E’接收到未知单播报文时,不在VLAN2下进行广播。具体地,在服务商通道状态配置报文中,需要将“VLAN ID/Status”设置为“2/2”,则交换机在接收到该服务商通道状态配置报文时,根据VLAN ID/Status=2/2向S-channel E-E’下发对应的ACL(Access Control List,访问控制列表)表项,该ACL表项用于限制S-channel E-E’根据接收到的未知单播报文向VEB5中的VLAN2传输对应的广播报文,从而避免带宽浪费,并且有助于避免未知报文导致的安全性隐患。
同时,由表1可知:VEB5下属于VLAN4的VSI接口f仅通过VLAN ID在交换机处进行了关联处理,而未通过MAC地址进行关联处理,则Hypervisor在相应的服务商通道状态配置报文中设置对应的“VLAN ID/Status”信息段为“4/0”,即允许S-channel E-E’向VEB5下的VLAN4发送所有的广播报文。
其中,当Hypervisor向交换机发送对应于VEB5的服务商通道状态配置报文时,可以分别生成对应于VLAN2和VLAN4的服务商通道状态配置报文,以分别放置对应于VLAN2和VLAN4的“VLAN ID/Status”信息段;或者,也可以仅生成一条服务商通道状态配置报文,并将分别对应于VLAN2和VLAN4的“VLAN ID/Status”信息段依次设置于该报文中。
本发明的技术方案还可以应用于更多的场景下,下面通过另一示例性实施例对本发明的技术方案进行详细描述。请参考图7和图8,假定服务器1和服务器2均连接至交换机,其中服务器1包括虚拟交换机VEPA1,该VEPA1连接至虚拟机VM1上的VSI接口1和VSI接口2,而服务器2包括虚拟交换机VEPA2,该VEPA2连接至VM2上的VSI接口3和VSI接口4、VM3上的VSI接口5和VSI接口6。
假定需要将服务器1上的VM1迁移至服务器2,作为服务器2中的VM1’,则服务器2需要将VM1’上的VSI接口1’和VSI接口2’向交换机处进行关联处理。具体地,通过如图4所示的流程,首先通过步骤402和步骤404,向交换机进行预关联处理,则服务器2和交换机为该VM1’上的VSI接口1’和VSI接口2’预留相应的资源,但由于VSI接口1’和VSI接口2’并未被激活(尚未在交换机处执行关联处理),显然并不需要接收任何广播报文。因此,基于本发明的技术方案,服务器2的Hypervisor获取与VEPA2相连的所有VSI接口在交换机处的关联状态,并在这些VSI接口所属的VLAN中,判断是否存在满足下述第二条件的VLAN:与VEPA2相连且属于该VLAN的VSI接口均在交换机处执行了预关联处理且未执行关联处理。
作为一示例性实施方式,请参考图7,假定服务器1上的VSI接口1和VSI接口2均属于VLAN3,则迁移至服务器2时的VM1’中的VSI接口1’和VSI接口2’也属于VLAN3。因此,此时VEPA2相连的所有VSI接口所属VLAN和关联处理状态如表3所示。
| VSI接口 | VLAN ID | 关联处理状态 |
| 3 | 1 | 关联处理 |
| 4 | 2 | 关联处理 |
| 5 | 2 | 关联处理 |
| 6 | 1 | 关联处理 |
| 1’ | 3 | 预关联处理 |
| 2’ | 3 | 预关联处理 |
表3
由表3可知,VSI接口1’和VSI接口2’的添加并未导致VEPA2上原本的VLAN1和VLAN2发生变化,且此处假定VSI接口3~6均完成了关联处理,则VLAN3满足上述的第二条件,即VLAN3下的所有VSI接口均满足在交换机处执行了预关联处理且未执行关联处理。此时,服务器2的Hypervisor需要向交换机发送对应于VEPA2的服务商通道状态配置报文,且该报文中的“VLAN ID/Status”取值为“3/1”,以使交换机生成对应的ACL表项,该ACL表项用于限制连接至VEPA2的S-channel向VEPA2中的VLAN3传输广播报文,从而有助于避免带宽浪费。
作为另一示例性实施方式,请参考图8,假定服务器1上的VSI接口1和VSI接口2均属于VLAN2,则迁移至服务器2时的VM1’中的VSI接口1’和VSI接口2’也属于VLAN2。因此,此时VEPA2相连的所有VSI接口所属VLAN和关联处理状态如表4所示。
| VSI接口 | VLAN ID | 关联处理状态 |
| 3 | 1 | 关联处理 |
| 4 | 2 | 关联处理 |
| 5 | 2 | 关联处理 |
| 6 | 1 | 关联处理 |
| 1’ | 2 | 预关联处理 |
| 2’ | 2 | 预关联处理 |
表4
由表4可知,VSI接口1’和VSI接口2’的添加导致VEPA2上原本的VLAN2发生变化,即VLAN2下的VSI接口增加了VSI接口1’和VSI接口2’。因此,此处VEPA2下的VLAN1和VLAN2均不满足上述的第二条件。
同时,此处可以结合上述实施例中的第一条件,即判断发生变化的VLAN2下的各个VSI接口是否均通过MAC地址在交换机处进行了关联处理。比如表5示出了一示例性实施方式:VSI接口4和VSI接口5均通过MAC地址在交换机处进行了关联处理,而VSI接口1’和VSI接口2’也通过MAC地址在交换机处进行了关联处理,则VLAN2满足上述的第一条件,可以在对应于VEPA2的服务商通道状态配置报文中,为对应于VLAN2的“VLAN ID/Status”信息段取值“2/2”,使得交换机通过下发对应的ACL表项,限制相应的S-channel根据接收到的未知单播报文而向VEPA2的VLAN2发送广播报文。比如表6示出了另一示例性实施方式:VSI接口4和VSI接口5均通过MAC地址在交换机处进行了关联处理,即VLAN2在原本仅包含VSI接口4和VSI接口5时满足第一条件,对应的“VLAN ID/Status”信息段取值为“2/2”;而VSI接口1’和VSI接口2’未通过MAC地址在交换机处进行关联处理,使得VLAN2变化为不满足上述的第一条件,则对应的“VLAN ID/Status”信息段取值为“2/0”,允许传输所有类型的报文。
| VSI接口 | 关联属性信息 | VLAN ID |
| 4 | VLAN+MAC | 2 |
| 5 | VLAN+MAC | 2 |
| 1’ | VLAN+MAC | 2 |
| 2’ | VLAN+MAC | 2 |
表5
| VSI接口 | 关联属性信息 | VLAN ID |
| 4 | VLAN+MAC | 2 |
| 5 | VLAN+MAC | 2 |
| 1’ | VLAN | 2 |
| 2’ | VLAN | 2 |
表6
在上述任一实施例中,服务器上的Hypervisor可以在任意时刻向交换机发送对应于虚拟交换机的服务商通道状态配置报文。下面列举两种可行的报文发送时机:
作为一示例性实施例,Hypervisor通过CDCP(S-Channel Discovery andConfiguration Protocol,S通道发现和配置协议)报文与交换机协商S-channel的配置信息,则当根据协商结果而完成相应S-channel的创建时,即可生成与已创建的S-channel连接的虚拟交换机相对应的服务商通道状态维护报文,并通过所述已创建的S-channel向所述交换机发送该服务商通道状态维护报文。
作为另一示例性实施例,当虚拟交换机对应的虚拟机VM发生上下线状态变化时,则该虚拟交换机下的VLAN对应的VSI接口会发生相应的变化,比如可能导致在某个VLAN下,由于某个仅通过VLAN进行关联处理的VSI接口的释放,使得该VLAN下剩余的VSI接口均通过MAC地址在交换机处执行了关联处理,因而对应的“VLAN ID/Status”信息段将发生相应的变化;或者比如在某个VLAN下,原本所有的VSI接口均通过MAC地址在交换机处执行了关联处理,但由于某个仅通过VLAN进行关联处理的VSI接口的加入,使得该VLAN不满足所有VSI接口均通过MAC地址在交换机处执行了关联处理,因而对应的“VLAN ID/Status”信息段将发生相应的变化。因此,当检测到相连VM的上下线状态变化时,即可生成对应于所述虚拟交换机的服务商通道状态维护报文,并向所述交换机发送对应于所述虚拟交换机的服务商通道状态维护报文。
对应于上述控制EVB链路上广播流量的方法,本发明还提出了一种控制EVB链路上广播流量的装置。
请参考图9,示出了根据本发明的一示例性实施例的控制EVB链路上广播流量的装置,应用于EVB架构的服务器中的虚拟机管理程序Hypervisor,包括:
报文生成单元,用于生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
报文发送单元,用于通过对应于所述服务器内虚拟交换机的服务商通道S-channel,向连接至所述服务器的交换机发送所述服务商通道状态维护报文,以使所述交换机根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
可选的,所述报文生成单元具体用于:
在与所述虚拟交换机相连的VSI接口所属的VLAN中,若存在满足下述第一条件的VLAN:与所述虚拟交换机相连且属于该VLAN的VSI接口均通过MAC地址在所述交换机处进行了关联处理,则生成对应于所述虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文包含满足所述第一条件VLAN的VLAN ID以及该VLAN ID对应的状态配置标识;
其中,所述状态配置标识为第一值,以使所述交换机生成对应的ACL表项,该ACL表项用于限制所述S-channel根据接收到的未知单播报文向所述虚拟交换机中满足所述第一条件的VLAN传输对应的广播报文。
可选的,还包括:
状态获取单元,用于获取与所述虚拟交换机相连的VSI接口在所述交换机处的关联状态;
其中,所述报文生成单元具体用于:在与所述虚拟交换机相连的VSI接口所属的VLAN中,若存在满足下述第二条件的VLAN:与所述虚拟交换机相连且属于该VLAN的VSI接口均在所述交换机处执行了预关联处理且未执行关联处理,则生成并发送对应于所述虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文包含满足所述第二条件VLAN的VLAN ID以及该VLAN ID对应的状态配置标识;
其中,所述状态配置标识为第二值,以使所述交换机生成对应的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机中满足所述第二条件的VLAN传输广播报文。
可选的,还包括:
信息协商单元,用于通过S通道发现和配置协议CDCP报文与所述交换机协商S-channel的配置信息;
其中,当S-channel创建完成时,所述报文生成单元生成与已创建的S-channel连接的虚拟交换机相对应的服务商通道状态维护报文,并由所述报文发送单元通过所述已创建的S-channel向所述交换机发送该服务商通道状态维护报文。
可选的,还包括:
变化检测单元,用于检测所述虚拟交换机对应的虚拟机VM是否发生上下线状态变化;
其中,当所述虚拟交换机对应的虚拟机VM发生上下线状态变化时,所述报文生成单元生成对应于所述虚拟交换机的服务商通道状态维护报文,并由所述报文发送单元向所述交换机发送对应于所述虚拟交换机的服务商通道状态维护报文。
请参考图10,示出了根据本发明的一示例性实施例的控制EVB链路上广播流量的装置,应用于与EVB架构的服务器相连的交换机,包括:
报文接收单元,用于接收所述服务器通过S-channel发送的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
表项生成单元,用于根据所述状态配置标识生成对应于所述S-channel的ACL表项,该ACL表项用于限制所述S-channel向所述服务器中对应的虚拟交换机传输对应于所述VLAN ID的广播报文。
可选的,所述表项生成单元具体用于:
获取所述状态配置标识的值;
当所述状态配置标识为第一值时,生成第一ACL表项,该第一ACL表项用于限制所述S-channel根据接收到的未知单播报文向所述虚拟交换机传输对应于所述VLAN ID的广播报文;
当所述状态配置标识为第二值时,生成第二ACL表项,该第二ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
因此,本发明通过由服务器向交换机发送服务商通道状态维护报文,可以实现对EVB链路上的广播流量的控制,避免不必要的广播流量造成带宽浪费和安全性隐患,从而有助于提升流量传输效率和链路安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种控制边缘虚拟桥接链路上广播流量的方法,其特征在于,应用于边缘虚拟桥接EVB架构的服务器中的虚拟机管理程序Hypervisor,包括:
生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
通过对应于所述虚拟交换机的服务商通道S-channel,向连接至所述服务器的交换机发送所述服务商通道状态维护报文,以使所述交换机根据所述状态配置标识生成对应于所述S-channel的访问控制列表ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
2.根据权利要求1所述的方法,其特征在于,生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,具体包括:
在与所述虚拟交换机相连的虚拟服务器接口VSI接口所属的VLAN中,若存在满足下述第一条件的VLAN:与所述虚拟交换机相连且属于该VLAN的VSI接口均通过MAC地址在所述交换机处进行了关联处理,则生成对应于所述虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文包含满足所述第一条件VLAN的VLAN ID以及该VLAN ID对应的状态配置标识;
其中,所述状态配置标识为第一值,以使所述交换机生成对应的ACL表项,该ACL表项用于限制所述S-channel根据接收到的未知单播报文向所述虚拟交换机中满足所述第一条件的VLAN传输对应的广播报文。
3.根据权利要求1所述的方法,其特征在于,生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,具体包括:
获取与所述虚拟交换机相连的虚拟服务器接口VSI接口在所述交换机处的关联状态;
在与所述虚拟交换机相连的VSI接口所属的VLAN中,若存在满足下述第二条件的VLAN:与所述虚拟交换机相连且属于该VLAN的VSI接口均在所述交换机处执行了预关联处理且未执行关联处理,则生成对应于所述虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文包含满足所述第二条件VLAN的VLAN ID以及该VLAN ID对应的状态配置标识;
其中,所述状态配置标识为第二值,以使所述交换机生成对应的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机中满足所述第二条件的VLAN传输广播报文。
4.根据权利要求1所述的方法,其特征在于,还包括:
通过S通道发现和配置协议CDCP报文与所述交换机协商S-channel的配置信息;
当S-channel创建完成时,生成与已创建的S-channel连接的虚拟交换机相对应的服务商通道状态维护报文,并通过所述已创建的S-channel向所述交换机发送该服务商通道状态维护报文。
5.根据权利要求1所述的方法,其特征在于,还包括:
当所述虚拟交换机对应的虚拟机VM发生上下线状态变化时,生成对应于所述虚拟交换机的服务商通道状态维护报文,并向所述交换机发送对应于所述虚拟交换机的服务商通道状态维护报文。
6.一种控制边缘虚拟桥接链路上广播流量的方法,其特征在于,应用于与边缘虚拟桥接EVB架构的服务器相连的交换机,包括:
接收所述服务器通过S-channel发送的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
根据所述状态配置标识生成对应于所述S-channel的访问控制列表ACL表项,该ACL表项用于限制所述S-channel向所述服务器中对应的虚拟交换机传输对应于所述VLAN ID的广播报文。
7.根据权利要求6所述的方法,其特征在于,根据所述状态配置标识生成对应于所述S-channel的ACL表项,具体包括:
获取所述状态配置标识的值;
当所述状态配置标识为第一值时,生成第一ACL表项,该第一ACL表项用于限制所述S-channel根据接收到的未知单播报文向所述虚拟交换机传输对应于所述VLAN ID的广播报文;
当所述状态配置标识为第二值时,生成第二ACL表项,该第二ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
8.一种控制边缘虚拟桥接链路上广播流量的装置,其特征在于,应用于边缘虚拟桥接EVB架构的服务器中的虚拟机管理程序Hypervisor,包括:
报文生成单元,用于生成对应于所述服务器内虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
报文发送单元,用于通过对应于所述服务器内虚拟交换机的服务商通道S-channel,向连接至所述服务器的交换机发送所述服务商通道状态维护报文,以使所述交换机根据所述状态配置标识生成对应于所述S-channel的访问控制列表ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
9.根据权利要求8所述的装置,其特征在于,所述报文生成单元具体用于:
在与所述虚拟交换机相连的虚拟服务器接口VSI接口所属的VLAN中,若存在满足下述第一条件的VLAN:与所述虚拟交换机相连且属于该VLAN的VSI接口均通过MAC地址在所述交换机处进行了关联处理,则生成对应于所述虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文包含满足所述第一条件VLAN的VLAN ID以及该VLAN ID对应的状态配置标识;
其中,所述状态配置标识为第一值,以使所述交换机生成对应的ACL表项,该ACL表项用于限制所述S-channel根据接收到的未知单播报文向所述虚拟交换机中满足所述第一条件的VLAN传输对应的广播报文。
10.根据权利要求8所述的装置,其特征在于,还包括:
状态获取单元,用于获取与所述虚拟交换机相连的VSI接口在所述交换机处的关联状态;
其中,所述报文生成单元具体用于:在与所述虚拟交换机相连的虚拟服务器接口VSI接口所属的VLAN中,若存在满足下述第二条件的VLAN:与所述虚拟交换机相连且属于该VLAN的VSI接口均在所述交换机处执行了预关联处理且未执行关联处理,则生成并发送对应于所述虚拟交换机的服务商通道状态维护报文,所述服务商通道状态维护报文包含满足所述第二条件VLAN的VLAN ID以及该VLAN ID对应的状态配置标识;
其中,所述状态配置标识为第二值,以使所述交换机生成对应的ACL表项,该ACL表项用于限制所述S-channel向所述虚拟交换机中满足所述第二条件的VLAN传输广播报文。
11.根据权利要求8所述的装置,其特征在于,还包括:
信息协商单元,用于通过S通道发现和配置协议CDCP报文与所述交换机协商S-channel的配置信息;
其中,当S-channel创建完成时,所述报文生成单元生成与已创建的S-channel连接的虚拟交换机相对应的服务商通道状态维护报文,并由所述报文发送单元通过所述已创建的S-channel向所述交换机发送该服务商通道状态维护报文。
12.根据权利要求8所述的装置,其特征在于,还包括:
变化检测单元,用于检测所述虚拟交换机对应的虚拟机VM是否发生上下线状态变化;
其中,当所述虚拟交换机对应的虚拟机VM发生上下线状态变化时,所述报文生成单元生成对应于所述虚拟交换机的服务商通道状态维护报文,并由所述报文发送单元向所述交换机发送对应于所述虚拟交换机的服务商通道状态维护报文。
13.一种控制边缘虚拟桥接链路上广播流量的装置,其特征在于,应用于与边缘虚拟桥接EVB架构的服务器相连的交换机,包括:
报文接收单元,用于接收所述服务器通过S-channel发送的服务商通道状态维护报文,所述服务商通道状态维护报文中包含VLAN ID和状态配置标识;
表项生成单元,用于根据所述状态配置标识生成对应于所述S-channel的访问控制列表ACL表项,该ACL表项用于限制所述S-channel向所述服务器中对应的虚拟交换机传输对应于所述VLAN ID的广播报文。
14.根据权利要求13所述的装置,其特征在于,所述表项生成单元具体用于:
获取所述状态配置标识的值;
当所述状态配置标识为第一值时,生成第一ACL表项,该第一ACL表项用于限制所述S-channel根据接收到的未知单播报文向所述虚拟交换机传输对应于所述VLAN ID的广播报文;
当所述状态配置标识为第二值时,生成第二ACL表项,该第二ACL表项用于限制所述S-channel向所述虚拟交换机传输对应于所述VLAN ID的广播报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410411861.9A CN104184686B (zh) | 2014-08-20 | 2014-08-20 | 控制边缘虚拟桥接链路上广播流量的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410411861.9A CN104184686B (zh) | 2014-08-20 | 2014-08-20 | 控制边缘虚拟桥接链路上广播流量的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104184686A CN104184686A (zh) | 2014-12-03 |
| CN104184686B true CN104184686B (zh) | 2017-10-17 |
Family
ID=51965442
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410411861.9A Active CN104184686B (zh) | 2014-08-20 | 2014-08-20 | 控制边缘虚拟桥接链路上广播流量的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184686B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330585A (zh) * | 2015-06-29 | 2017-01-11 | 中兴通讯股份有限公司 | 流量监控方法、装置及*** |
| CN105915565B (zh) * | 2016-06-30 | 2020-11-17 | 浙江宇视科技有限公司 | 一种认证方法、装置和*** |
| CN107659899B (zh) * | 2016-07-26 | 2020-12-08 | 华为技术有限公司 | 一种组播业务处理方法与接入点 |
| CN109743267B (zh) * | 2019-02-28 | 2021-10-15 | 苏州浪潮智能科技有限公司 | 一种服务器外部通讯方法、装置及相关设备 |
| CN110830371B (zh) * | 2019-11-13 | 2022-04-05 | 迈普通信技术股份有限公司 | 报文重定向方法、装置、电子设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN101106516A (zh) * | 2006-07-14 | 2008-01-16 | 华为技术有限公司 | 一种避免弹性分组相交环广播风暴的相交节点及方法 |
| CN101600157A (zh) * | 2009-05-22 | 2009-12-09 | 深圳华为通信技术有限公司 | 小区的接入方法及装置、终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7983257B2 (en) * | 2008-07-18 | 2011-07-19 | Emulex Design & Manufacturing Corporation | Hardware switch for hypervisors and blade servers |
-
2014
- 2014-08-20 CN CN201410411861.9A patent/CN104184686B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN101106516A (zh) * | 2006-07-14 | 2008-01-16 | 华为技术有限公司 | 一种避免弹性分组相交环广播风暴的相交节点及方法 |
| CN101600157A (zh) * | 2009-05-22 | 2009-12-09 | 深圳华为通信技术有限公司 | 小区的接入方法及装置、终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104184686A (zh) | 2014-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10742557B1 (en) | Extending scalable policy management to supporting network devices | |
| CN104184686B (zh) | 控制边缘虚拟桥接链路上广播流量的方法和装置 | |
| CN109660443B (zh) | 基于sdn的物理设备与虚拟网络通信方法和*** | |
| CN104022960B (zh) | 基于OpenFlow协议实现PVLAN的方法和装置 | |
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN102801729B (zh) | 虚拟机报文转发方法、网络交换设备及通信*** | |
| CN105634770B (zh) | 部署虚拟扩展局域网的方法和装置 | |
| CN102739495B (zh) | 网络***以及计算机分配装置、计算机分配方法 | |
| CN104144082B (zh) | 二层网络中检测环路的方法及控制器 | |
| WO2015149253A1 (zh) | 数据中心的虚拟网络管理方法及数据中心*** | |
| CN106034052B (zh) | 一种对虚拟机间二层流量进行监控的***及方法 | |
| CN105530259A (zh) | 报文过滤方法及设备 | |
| CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
| TWI663854B (zh) | 控制裝置、控制方法及程式 | |
| WO2016159113A1 (ja) | 制御装置、制御方法及びプログラム | |
| CN107018058A (zh) | 一种云环境下共用vlan和vxlan通信的方法及*** | |
| WO2021037133A1 (zh) | 一种网络管理的方法及设备 | |
| CN105376131B (zh) | 一种组播迁移方法和网络设备 | |
| CN102739505A (zh) | 数据中心网络中对虚拟通道的流量控制方法及*** | |
| CN105591873A (zh) | 一种虚拟机隔离方法和装置 | |
| CN109756419B (zh) | 路由信息分发方法、装置以及rr | |
| WO2021147358A1 (zh) | 一种网络接口的建立方法、装置及*** | |
| CN102984043A (zh) | 组播数据流的转发方法及装置 | |
| CN105264837B (zh) | 一种数据报文的传输***、传输方法和设备 | |
| CN107623636B (zh) | 一种用户隔离方法和交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |