CN109076006A - 基于覆盖网络的多租户虚拟专用网络 - Google Patents
基于覆盖网络的多租户虚拟专用网络 Download PDFInfo
- Publication number
- CN109076006A CN109076006A CN201680084585.7A CN201680084585A CN109076006A CN 109076006 A CN109076006 A CN 109076006A CN 201680084585 A CN201680084585 A CN 201680084585A CN 109076006 A CN109076006 A CN 109076006A
- Authority
- CN
- China
- Prior art keywords
- tenant
- vlan
- overlay network
- vpn
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L2012/4629—LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
根据示例实施例,提供了一种用于在多租户数据中心中操作虚拟专用网络(VPN)服务的技术,该技术包括在数据中心中操作多租户VPN服务器以在将多租户VPN服务器连接到租户的远程网络的VPN隧道与在数据中心内为所述租户实现VPN的覆盖网络服务之间中继数据分组,其中多租户VPN服务器与覆盖网络服务之间的数据分组在为上述租户指派的虚拟局域网VLAN中被承载,并且其中多租户VPN服务器存储多租户转发表,该多租户转发表针对多个租户存储租户与为该租户指派的VLAN之间的映射。
Description
技术领域
本发明的非限制性示例实施例涉及使用覆盖网络技术提供多租户虚拟专用网络(VPN)。特别地,本发明的一些示例实施例涉及在数据中心中提供这样的VPN网络。
背景技术
能够在物理网络与在物理网络之上配置的虚拟网络之间实现解耦的覆盖网络技术被广泛地用在例如为多个用户和/或组织(本文中也称为租户)提供网络服务的数据中心中。在这个上下文中,合适的覆盖网络技术允许以期望的方式为多个租户共享可用的物理网络资源,同时在租户之间提供适当的隔离以确保隐私。租户能够经由被称为虚拟专用网络(VPN)服务器的实体(其也可以被称为VPN网关(VPN GW))来访问其在数据中心中的专用虚拟网络。
作为这方面的示例,图1示出了用于在数据中心200中为多个租户提供虚拟网络201-1、202-1的示例布置的一些逻辑组件的框图。在图1中,第一站点中的第一本地网络102-1经由通过网络150的第一安全连接耦合到专用于第一本地网络102-1的租户的虚拟网络202-1,并且第二站点中的第二本地网络102-2经由通过网络150的第二安全连接耦合到专用于第二本地网络102-2的租户的虚拟网络202-2。第一本地网络102-1与数据中心200之间的(第一)安全连接涉及服务于第一本地网络102-1的第一VPN服务器104-1与数据中心200的第一VPN服务器204-1之间的第一站点到站点(S2S)VPN隧道106-1,而第二本地网络102-2与数据中心200之间的(第二)安全连接涉及服务于第二本地网络102-2的第二VPN服务器104-2与数据中心200的VPN服务器204-2之间的第二S2S VPN隧道106-2。通过其提供S2S VPN隧道106-1、106-2的网络150可以表示例如因特网。
仍然继续描述图1中描绘的示例,数据中心中的VPN服务器204-1、204-2中的每个被提供作为专用于服务于单个租户的单独的VPN服务器设备。VPN服务器204-1、204-2耦合到网络虚拟化边缘(NVE)实体208,NVE实体208布置数据中心的物理网络资源到相应的虚拟网络202-1、202-2的映射并且管理数据在VPN服务器204-1、204-2与数据中心200内的相应虚拟网络202-1、202-2之间的路由。这样的依赖于数据中心中的专用物理VPN服务器的直接方法通常提供高性能,而另一方面,当服务于相对大量的租户时,由于每个租户需要单独的VPN服务器,实现成本可能很高。
作为另一示例,图2示出了上面在图1的上下文中概述的解决方案的变型的一些逻辑组件的框图。其中单个服务器设备210包括被布置为为其中的每个租户提供相应的专用虚拟网络接口(例如,相应的虚拟网络接口卡(vNIC))的VPN隧道端点(TEP)模块214。在这方面,TEP模块214可以包括策略引擎,策略引擎采用存储在服务器设备204中的路由表中的预定义的租户特定的策略信息,从而至少在概念上提供VPN服务器功能204-1'和204-2'用于处理和路由各个租户的数据业务。单个服务器设备210还托管NVE模块208',NVE模块208'对应于图1的NVE实体208并且因此布置数据中心200的物理网络资源到每个租户的相应的虚拟网络202-1、202-2的映射。TEP模块214中的VPN服务器功能204-1'、204-2'中的每个经由相应的虚拟路由和转发(VRF)功能212-1、212-2耦合到NVE模块208'。VRF功能212-1、212-2布置数据在VPN服务器功能204-1'、204-2'与数据中心200内的各个虚拟网络202-1、202-2之间的路由。
因此,每个租户可以通过经由VPN TEP模块214的相应虚拟网络接口连接到其专用VPN服务器功能204-1'、204-2'来访问他/她在数据中心200中可用的网络资源。该方法通过还虚拟化朝向远程本地网络102-1、102-2的接口来实现硬件的有效重用,并且因此能够节省实现成本,同时还允许经由单个服务器设备210的重新配置来相当直接地重新配置以添加/去除租户。另一方面,该方法涉及通过VRF实体212-1、212-2的分组处理中的一些计算复杂性和等待时间,并且它还将VPN服务器功能204-1'、204-2'的实现耦合到在NVE模块208'中提供的覆盖网络技术中,从而导致有限的设计和重新配置选项。
发明内容
根据示例实施例,提供了一种用于在多租户数据中心中操作虚拟专用网络(VPN)服务的方法,该方法包括在数据中心中操作多租户VPN服务器以在将多租户VPN服务器连接到租户的远程网络的VPN隧道与在数据中心内实现用于所述租户的VPN的覆盖网络服务之间中继数据分组,其中多租户VPN服务器与覆盖网络服务之间的数据分组在为上述租户指派的虚拟局域网VLAN中被承载,并且其中多租户VPN服务器存储多租户转发表,该多租户转发表针对多个租户存储租户与为租户指派的VLAN之间的映射。
根据另一示例实施例,提供了一种用于在多租户数据中心中操作VPN服务的装置,该装置被配置为在将该装置连接到租户的远程网络的VPN隧道与在数据中心内实现用于上述租户的VPN的覆盖网络服务之间中继数据分组,其中该装置与覆盖网络服务之间的数据分组被承载在为上述租户指派的虚拟局域网VLAN中,并且其中该装置存储多租户转发表,该多租户转发表针对多个租户存储租户与为租户指派的VLAN之间的映射。
根据另一示例实施例,提供了一种用于在多租户数据中心中操作VPN服务的装置,该装置包括用于在将该装置连接到租户的远程网络的VPN隧道与在数据中心内实现用于上述租户的VPN的覆盖网络服务之间中继数据分组的装置,其中该装置与覆盖网络服务之间的数据分组在为上述租户指派的虚拟局域网VLAN中被承载,并且其中该装置存储多租户转发表,该多租户转发表针对多个租户存储租户与为租户指派的VLAN之间的映射。
根据另一示例实施例,提供了一种计算机程序,该计算机程序包括计算机可读程序代码,该计算机可读程序代码被配置为当上述程序代码在计算装置上执行时引起至少执行根据前述示例实施例的方法。
根据示例实施例的计算机程序可以实施在易失性或非易失性计算机可读记录介质上,例如作为包括其上存储有程序代码的至少一个计算机可读非暂态介质的计算机程序产品,该程序在由装置执行时引起该装置至少执行上文中针对根据本发明的示例实施例的计算机程序描述的操作。
在本专利申请中呈现的本发明的示例性实施例不应当被解释为对所附权利要求的适用性构成限制。动词“包括”及其衍生词在本专利申请中用作开放式限制,其不排除也存在未记载的特征。除非另有明确说明,否则下文中描述的特征可以相互自由组合。
在所附权利要求中阐述了本发明的一些特征。然而,当结合附图阅读时,从对一些示例实施例的以下描述,将能够最好地理解本发明的关于其构造和操作方法的各方面以及其附加的目的和优点。
附图说明
在附图的图中,通过示例而非限制的方式示出了本发明的实施例,在附图中
图1示出了根据示例的用于在数据中心中为多个租户提供相应虚拟网络的布置的一些组件的框图;
图2示出了根据示例的用于在数据中心中为多个租户提供相应虚拟网络的另一布置的一些组件的框图;
图3示出了根据示例实施例的用于在数据中心中为多个租户提供相应虚拟网络的另一布置的一些组件的框图;
图4描绘了根据示例实施例的流程图;
图5描绘了根据示例实施例的流程图;
图6描绘了根据示例实施例的流程图;以及
图7示出了根据示例实施例的装置的一些组件的框图。
具体实施方式
图3示出了通信布置100的一些逻辑组件的框图,通信布置100用作用于描述各种示例实施例的框架。根据图1和2,通信装置100被描绘为第一站点中具有第一本地网络102-1并且第二站点中具有第二本地网络102-2,两者通过网络150通信地连接到由数据中心300中的相应虚拟网络202-1、202-2提供的网络资源,其中通过网络150的连接由相应的安全连接提供,安全连接在这个示例中描绘为S2S VPN隧道106-1、106-2,S2S VPN隧道106-1、106-2将分别服务于第一本地网络102-1和第二本地网络102-2的VPN服务器104-1、104-2连接到数据中心300的VPN服务器304。如前所述,网络150例如可以表示因特网。
虽然在图3的示例中使用两个实体示出,但是通信布置100可以涉及在相应站点处的多个本地网络102-k,多个本地网络102-k经由通过网络150的相应的S2S VPN隧道106-k(或其他类型的安全连接)使用相应的VPN服务器104-k连接(或可连接)到数据中心300的VPN服务器304。图3中描绘的虚拟网络302-1、302-2同样表示可以用于在数据中心300中提供另外的网络资源以补充相应的本地网络102-k的网络资源的多个虚拟网络302-k。用于在VPN服务器104-k与VPN服务器304之间建立、管理和采用诸如S2S VPN隧道106-k等安全连接的技术和过程在本领域中是公知的,并且本文中的描述不详细描述这样的技术和/或过程。
从数据中心300的角度来看,各个站点处的多个本地网络102-k表现为经由网络150上的相应安全连接访问数据中心300的远程网络(或远程设备)。因此,下面,替代地,将本地网络102-k称为相应的远程网络102-k。类似地,被布置为服务于相应的本地(或远程)网络102-k的VPN服务器104-k被称为相应的远程VPN服务器104-k。
VPN服务器304可以在高级别上以类似于前面针对VPN TPE实体214所描述的方式进行操作。因此,VPN服务器304可以为多个租户中的每个租户操作相应的专用VPN服务器实例,并且远程VPN服务器104-k可以经由VPN服务器304的相应虚拟网络接口创建到其专用VPN服务器实例的安全连接(例如,相应的S2S VPN隧道106-k),其中VPN服务器实例可以通过使用采用存储在VPN服务器304中的路由表中的预定义的租户特定的策略信息的策略引擎来在VPN服务器304中提供,从而至少在概念上提供用于处理和路由由VPN服务器304服务的每个租户的数据业务的相应的VPN服务器功能或实例。因此,VPN服务器304中的VPN服务器实例为相应的S2S VPN隧道106-k提供隧道端点。VPN服务器304中的每个VPN服务器实例被指派虚拟网络标识符(VNID),VNID唯一地标识相应VPN服务器实例和由相应VPN服务器实例终止的S2S VPN隧道106-k。
VPN服务器304的每个VPN服务器实例(以及因此相应的S2S VPN隧道106-2端点)还与某个租户相关联,而(在给定时间点)某个租户可以与一个或多个VPN服务器实例相关联(即,在远程VPN服务器104-k与数据中心300的VPN服务器304之间可以存在一个或多个安全连接)。在这方面,可以为VPN服务器304中考虑的每个租户指派租户标识(租户ID或TID),租户标识唯一地标识VPN服务器304内的租户。因此,VPN服务器实例(或S2S VPN隧道106)之间的关联可以通过VNID与TID之间的映射来定义,使得每个VNID映射到单个TID,而TID可以映射到一个或多个VNID。
图3还示出了虚拟局域网网关(VLAN GW或VGW)316和VPN/VLAN控制实体318。在下文中,后者被简称为控制实体318,用于在这点上改进编辑清晰度。尽管在图3的示例中示出为单独的(逻辑)实体,但是控制实体318或其一部分可以实现为VPN服务器304的一部分(例如,控制实体318或其一部分的功能可以使用与应用于实现VPN服务器304的相同设备来实现)。下面描述关于VPN服务器304、VGW 316和控制实体318的操作以及它们在提供虚拟网络302-k中的作用的示例。
在继续描述数据中心300的元件的操作之前,进一步提供关于使用数据中心300中可用的物理网络来提供虚拟网络302-k的简要概述。然而,由于用于建立、管理和采用覆盖网络的技术和过程在本领域中是公知的,这方面的描述并未详细说明这样的技术和/或过程。
根据一个示例,覆盖网络可以配置在网络层上,网络层通常也称为层3或L3。数据帧在网络层中到寻址和传输依赖于指派给物理网络的主机的逻辑地址。两个逻辑网络层地址之间的传输可以涉及在各个物理主机之间的一个或多个物理链路上的传输,这可以被称为网络层数据帧通过中间主机的路由。数据帧在网络层中的传输根据网络层协议来执行,诸如因特网协议(IP)(例如,在RFC 791(IP版本4)或RFC 1883以及很多附带的RFC(IP版本6)中指定的)。适用的覆盖网络技术的示例包括例如在RFC 3748中指定的虚拟可扩展局域网(VXLAN)、例如在RFC 7637中指定的使用通用路由封装的网络虚拟化(NVGRE)和例如在互联网草案“draft-davie-stt-07”(在撰写本专利申请时正在进行中)中指定的用于网络虚拟化的无状态传输隧道协议(STT)。本文中,缩写RFC代表对评论的请求,该评论是由因特网工程任务组(IETF)发布的技术规范并且在撰写本专利申请时例如经由https:// www.ietf.org/rfc.html可访问。此外,互联网草案(诸如前面提到的“draft-davie-stt-07”)是在撰写本专利申请时例如经由http://www.ietf.org/id-info/可访问的由IETF发布的初步技术规范。
VGW 316是覆盖网络实现的组件。VGW 316将VPN服务器304互连到数据中心的主机,这些主机用于提供实现相应虚拟网络304-k的覆盖网络。VGW 316通过控制器实体318提供有用于由数据中心300服务的每个租户的预定义的覆盖网络配置,并且VGW 316存储(例如,在存储器和/或大容量存储设备中)包括多个表条目的覆盖映射表,其中每个表条目定义覆盖网络标识符(OID)与覆盖网络OID为其提供相应虚拟网络302-k的租户的身份之间的映射。
在一个示例中,VGW 316与VPN服务器304之间的数据业务被承载在VLAN中,其中所采用的VLAN用于标识租户。在这方面,VLAN是允许将构成物理网络的一个或多个主机布置到数据链路层(通常也称为层2或L2)的虚拟网络中的技术,因此虚拟网络构成VLAN。VLAN可以通过指派给它的VLAN标识符(VLAN ID)来标识,该VLAN ID通常与(其他报头信息和)传输数据一起被承载在网络层帧中。数据帧在数据链路层中的寻址和传输依赖于唯一的硬件地址,这表示数据链路层因此通过主机之间的物理链路来提供数据传输。数据链路层通常被认为包括两个子层:逻辑链路控制(LLC)子层和介质访问控制(MAC)子层,并且与特定主机的数据链路层相关联的硬件地址因此可以包括为这个主机指派的MAC地址。数据帧在数据链路层中的传输根据诸如以太网(在IEEE 802.3系列标准中规定的)等数据链路协议来执行。用于配置一个或多个主机以作为VLAN进行操作的很多标准化和供应商特定的技术或协议在本领域中是已知的。作为这方面的非限制性示例,可以采用IEEE 802.1Q协议来实现VLAN功能。
因此,在这样的布置中,VLAN ID用作用于VGW 316的租户标识符,并且覆盖映射表的表条目包括VLAN ID与OID之间的相应映射。因此,在从VPN服务器304接收到由特定VLANID值标识的分组时,VGW 316访问覆盖映射表以识别包括特定VLAN ID值的表条目,从所识别的表条目中读取相应的OID值,并且将分组转发到覆盖网络,该覆盖网络实现由从映射表读取的OID值标识的虚拟网络302-k。类似地,在从覆盖网络接收到由特定OID值标识的分组时,VGW 316访问覆盖映射表以识别包括特定OID值的表条目,从所识别的表条目中读取相应的VLAN ID值,并且使用由从映射表读取的VLAN ID值标识的VLAN将分组转发到VPN服务器304。
如前面已经指出的,VPN服务器304能够通过为每个租户实现终止VPN服务器304与服务于租户的远程网络102-k的远程VPN服务器104-k之间的S2S VPN隧道106-k的相应VPN服务器实例来服务于多个租户,一次一个租户或同时两个或更多个租户。此外,每个VPN服务器实例(以及因此S2S VPN隧道106-k)由指派给它的VNID标识。由VPN服务器304应用以提供安全S2S VPN隧道106-k的安全方案可以包括本领域已知的任何适用的安全方案,例如,因特网协议安全(IPSec)VPN、传输层安全/安全套接字层(TLS/SSL)或层2隧道协议(L2TP)。
VPN服务器304分别为每个租户配置S2S VPN隧道106-k,并且VPN服务器304针对多个租户(即,针对VPN服务器304被配置用于的每个租户)存储包括相应的一个或多个VPN条目的VPN配置信息。VPN条目可以被布置成可以存储在VPN服务器304中的存储器或大容量存储设备中的一个或多个数据库、一个或多个表或其他合适类型的数据结构。每个租户被指派唯一地标识VPN服务器304内的租户的TID。VPN服务器304经由指派给租户k的VLAN向VGW316传输数据以及从VGW 316接收数据,该VLAN由指派给其的VLAN ID可标识。在下文中,可以将指派给租户k的租户ID表示为TID(k),并且将指派给租户k的VLAN ID表示为VLAN-ID(k)。
VPN配置信息至少包括多租户转发表,多租户转发表包括用于多个租户的相应转发表条目(FTE)。在一个示例中,多租户转发表的用于租户k的FTE至少包括在数据中心300的框架中特定于租户k的以下信息:
-租户k的租户标识TID(k),
-标识为租户k指派的VLAN的VLAN标识VLAN-ID(k),
-指派给覆盖网络的下一跳L3地址,被表示为IX(k),其实现用于租户k的虚拟网络302-k,以使得能够将从远程网络102-k接收的数据转发到虚拟网络302-k,
-指派给朝向覆盖网络的接口的下一跳L2地址,被表示为MX(k),其实现用于租户k的虚拟网络302-k,以使得能够将从远程网络102-k接收的数据转发到虚拟网络302-K,
-指派给VPN服务器304的本地L3地址,被表示为IVX(k),供VGW 316用作下一跳地址,其用作从虚拟网络302-k朝向远程网络102-k的L3接口,
-指派给VPN服务器304的本地L2地址,被表示为MVX(k),供VGW 316用作下一跳地址,其用作从虚拟网络302-k朝向远程网络102-k的L2接口。
在一个示例中,下一跳L2地址MX(k)和/或下一跳L2地址MVX(k)没有被包括在FTE中,但是可以采用地址解析协议(ARP)来解析与给定的L3下一跳地址IX(k)或IVX(k)(例如,IP地址)相对应的相应的下一跳L2地址MX(k)或MVX(k)(例如,MAC地址),如本领域中已知的。
VPN配置信息还包括VPN隧道信息,VPN隧道信息至少定义租户与VPN服务器304中的VPN服务器实例之间的映射,例如,作为多个VPN服务器实例(即,多个VNID)的相应的一对VNID和TID之间的映射。作为示例,该信息可以由VPN隧道信息表提供,VPN隧道信息表包括多个VPN服务器实例的相应表条目,并且其中每个表条目至少包括以下信息:
-租户k的租户标识TID(k),
-标识与租户k相关联的VPN服务器实例和S2S VPN隧道106-k的VNID,被表示为VNID(k),
VPN配置信息还可以包括安全策略表,安全策略表存储为多个租户定义用于经由相应的S2S VPN隧道106-k从虚拟网络302-k向远程网络102-k引导出站分组的相应过程的信息。在一个示例中,存储在特定租户的安全策略表中的过程定义可以被提供作为包括匹配规则和相应动作的表条目。基本上,符合给定表条目的匹配规则的出站分组根据在给定表条目中定义的动作来处理。匹配规则包括与相应表条目相关联的TID(即,为其提供表条目的租户ID)。匹配规则通常还指定本地L3子网和远程L3子网、可能还有一个或多个另外的匹配标准,而相应的动作可以指定要使用的S2S VPN隧道106-k和/或要应用于符合匹配规则的出站数据分组的一个或多个安全集。作为匹配规则的一部分的租户ID的使用允许针对多个租户使用交叠和/或部分交叠的L3地址空间。
以下参考图4描述VPN服务器304、VGW 316和控制实体318的联合操作的一方面。在这方面,图4描绘了方法400的概要,其用作用于配置数据中心300的这些元件以提供用作特定租户的虚拟网络302-k的覆盖网络的示例性方法。
方法400从为租户k建立S2S VPN隧道106-k继续进行。根据隧道建立过程,控制实体318获取标识已经为其建立S2S VPN隧道106-k的租户k的租户ID,即TID(k),如框402所示。在获取TID(k)之后,控制实体318发起将用作租户k的虚拟网络302-k的覆盖网络的配置。该虚拟网络由指派给其的覆盖网络标识符(覆盖网络ID或OID)标识,如框404所示。本文中,用OID(k)来表示指派给被创建用于为租户k提供虚拟网络302-k的覆盖网络的OID。
覆盖网络OID(k)的配置涉及控制实体318通过指派用作到覆盖网络OID(k)的接口的L3地址和L2地址来创建到覆盖网络OID(k)的逻辑接口,如框406所示。这些地址特定于租户k,并且本文中,将到覆盖网络OID(k)的逻辑接口的L3地址表示为IX(k)并且将到覆盖网络OID(k)的逻辑接口的L2地址表示为MX(k)。作为示例,L3地址IX(k)可以包括IP地址,并且L2地址MX(k)可以包括MAC地址。L3地址IX(k)和L2地址MX(k)可以由VPN服务器304在从远程网络102-k向用于提供虚拟网络302-k的覆盖网络OID(k)路由经由S2S VPN隧道106-k接收的数据时用作相应的下一跳地址。
覆盖网络OID(k)的配置还涉及控制实体318在覆盖网络OID(k)中指派L3地址作为VPN服务器304的L3地址,如框408所示。VPN服务器304的L3地址表示为IVX(k),并且该地址特定于租户k。根据上面提供的示例,L3地址IVX(k)可以包括IP地址。L3地址IVX(k)可以由覆盖网络OID(k)的主机用作要传输到远程网络102-k的分组的VPN服务器304的L3地址。因此,L3地址IVX(k)用作在经由VPN服务器304的相应VPN服务器实例从覆盖网络OID(k)向远程网络102-k路由数据业务时的下一跳地址。
控制实体318还向覆盖网络OID(k)分配VLAN,并且配置VGW316以将所分配的VLAN与覆盖网络OID(k)相关联,如框410所示。本文中,用VLAN-ID(k)来表示为租户k分配的所分配的VLAN的VLAN ID。该个分配可以涉及控制实体318向VGW 316提供VLAN-ID(k)并且配置WGW 316以针对去往/来自VPN服务器304的数据业务应用OID(k)与VLAN-ID(k)之间的这种映射。VGW 316可以将OID(k)与VLAN-ID(k)之间的映射存储为存储在其中的覆盖映射表中的相应条目,以供后续使用。如前所述,覆盖映射表可以包括相应的条目,以便为多个租户提供OID与VLAN ID之间的映射。利用覆盖映射表中包括的信息,VPN服务器304与VGW 316之间的数据业务被承载在由VLAN-ID(k)标识的VLAN中,而VGW 316与覆盖网络(在L3处)之间的数据业务被承载在由OID(k)标识的覆盖信道中。VLAN-ID(k)与OID(k)之间的这种映射有效地引起VPN服务器304和L3处的覆盖网络OID(k)彼此通信,就好像它们是同一L2网络的实体。
一旦完成了从框402到410的配置操作,控制实体318就向VPN服务器304传递VPN配置信息以及包括至少以下信息的覆盖配置信息(框412):
-租户标识TID(k),
-VLAN标识符VLAN-ID(k),
-为去往覆盖网络OID(k)的L3接口指派的L3地址IX(k),
-为去往覆盖网络OID(k)的L2接口指派的L2地址MX(k),以及
-为VPN服务器304指派以供覆盖网络OID(k)使用的L3地址IVX(k),
在从控制实体318接收到VPN配置信息和覆盖配置信息之后,VPN服务器304建立S2S VPN隧道106-k,如框414所示,设置本地L3地址IVX(k)和本地L2地址MVX(k)以用作VGW316的接口,用于为租户k的数据业务寻址VPN服务器304,并且还将L3地址IVX(k)和L2地址MVX(k)与VLAN-ID(k)相关联,如框416所示,从而将VLAN-ID(k)指派为用于在VPN服务器304与租户k的VGW 316之间传输数据的VLAN的标识。此外,VPN服务器304通过使用从控制实体318接收的上述多条覆盖配置信息来创建(或更新)与租户k相关联的FTE(由租户标识符值TID(k)标识),如框418所示。
如前所述,根据方法400的概要将VPN服务器304和VGW 316操作配置为提供覆盖网络以作为租户k的虚拟网络304-k可以响应于S2S VPN隧道106-k的建立而被发起。在一个示例中,仅在数据中心300中当前没有租户k的覆盖网络可用的情况下才建立覆盖网络。这种情况可能发生在例如在建立S2S VPN隧道106-k时在远程VPN服务器104-k与VPN服务器304之间已经存在现有的S2S VPN隧道的情况下。在这种情况下,将应用现有的覆盖网络来为两个S2S VPN隧道提供虚拟网络304-k。
下面参考图5中描绘的示例性方法来描述用于朝向远程网络102-k转发实现虚拟网络302-k的覆盖网络的数据分组的VGW 316操作和VPN服务器304操作的示例。在下文中,提及单个数据分组,而描述直接概括为针对数据分组序列重复这个过程。
覆盖网络服务通过使用L3地址IVX(k)作为下一跳地址来朝向VPN服务器304路由以远程网络102-k为目标的覆盖网络OID(k)中的覆盖隧道中的数据分组,如框502所示。
VGW 316终止朝向远程网络102-k承载数据分组的覆盖网络OID(k)中的覆盖隧道,并且使用由VLAN-ID(k)标识的VLAN向VPN服务器304转发经由覆盖隧道接收的数据分组,如框504所示。这可以通过前面在图4的框410的上下文中描述的覆盖映射表来实现,例如,使得VGW 316标识存储OID(k)的表条目,并且使用所标识的表条目的VLAN ID作为VLAN-ID(k)。作为使用VLAN转发数据分组的示例,从覆盖隧道接收的数据分组可以与VLAN-ID(k)一起转发到VPN服务器304以指示所采用的VLAN。这可以通过以VLAN-ID(k)扩充从覆盖隧道接收的数据分组来实现,例如,通过向所采用的L2协议的适当元素***或写入VLAN-ID(k)。作为这方面的非限制性示例,数据分组可以被提供作为以太网帧(IEEE 802.3),而IEEE802.1Q标准可以用于实现VLAN功能:因此,VLAN-ID(k)可以被承载在802.1Q报头中在源MAC地址与以太网帧的以太类型/长度字段之间。
VPN服务器304基于从VGW 316接收的VLAN-ID(k)来标识与用于将数据分组从VGW316传送到VLAN服务器304的VLAN相关联的租户k,如框506所示。在这方面,VPN服务器304可以访问多租户转发表以标识其中包括从VGW 316接收的VLAN-ID(k)的FTE并且从所标识的FTE读取租户标识TID(k)。
VPN服务器304基于租户标识TID(k)来标识与租户k相关联的S2S VPN隧道106-k,如框508所示,终止VLAN(例如,通过剥离承载在经由VLAN接收的数据分组中的VLAN-ID(k)),并且经由S2S VPN隧道106-k向远程网络102-k转发从VGW 316接收的数据分组,如框510所示。在这方面,VPN服务器304可以应用从多租户转发表中读取的TID(k)来标识安全策略表的表条目(其中匹配规则包括从多租户转发表的所标识的FTE找到的TID(k))并且采用在所标识的安全策略表的表条目中定义的动作以使用相关联的S2S VPN隧道106-k正确地向远程网络102-k转发从VGW 316接收的数据分组。
下面参考图6中描绘的示例性方法600描述用于从远程网络102-k向实现虚拟网络302-k的覆盖网络转发数据分组的VPN服务器304操作和VGW 316操作的示例。在下文中,提及单个数据分组,而描述直接概括为针对数据分组序列重复这个过程。
VPN服务器304经由S2S VPN隧道106-k从远程网络102-k接收数据分组,并且获取与S2S VPN隧道106-k相关联的租户标识TID(k),如框602所示。在这方面,VPN服务器304终止S2S VPN隧道106-k并且提取从其接收的数据分组以经由VGW 316朝向虚拟网络304-k转发。VPN服务器304可以通过标识包括从其接收数据分组的S2S VPN隧道106-k的VNID的VPN隧道信息表的表条目并且从所标识的表条目读取TID(k)来获取与S2S VPN隧道106-k相关联的租户标识TID(k)。
VPN服务器304确定与TID(k)相关联的VLAN标识符VLAN-ID(k),并且使用如此确定的VLAN用于向VGW 316转发从S2S VPN隧道106-k接收的数据分组,如在框604中所示。在这方面,VPN服务器304可以搜索多租户转发表以标识其中包括与S2S VPN隧道106-k相关联的TID(k)的FTE并且从所标识的FTE中读取VLAN标识VLAN-ID(k)。
VPN服务器304使用由从多租户转发表读取的VLAN-ID(k)定义的VLAN向VGW 316转发从S2S VPN隧道106-k接收的数据分组,如框606所示。作为这方面的示例,VPN服务器304可以将数据分组与VLAN-ID(k)一起转发到VGW 316,以指示所采用的VLAN。这可以通过以VLAN-ID(k)扩充从S2S VPN隧道106-k接收的数据分组来实现,例如,通过将VLAN-ID(k)***或写入到所采用的L2协议的适当元素。如上文中在使用VLAN向VPN服务器304传输数据分组的VGW的上下文中描述的,作为这方面的非限制性示例,数据分组可以被提供作为以太网帧(IEEE 802.3),而IEEE 802.1Q标准可以用于通过在源MAC地址与以太网帧的以太类型/长度字段之间的802.1Q报头中承载VLAN-ID(k)来实现VLAN功能。
在经由VLAN从VPN服务器304接收到数据分组后,VGW 316识别与所采用的VLAN相关联的覆盖网络,如框608所示。在这方面,VGW 316可以通过识别存储标识所采用的VLAN的VLAN-ID(k)的表条目并且使用所识别的表条目的OID作为OID(k),来访问覆盖映射表。因此,VGW经由覆盖隧道将从VPN服务器304接收的数据分组转发到覆盖网络OID(k),以便朝向其在L3覆盖网络中的目的地传输并且最终传输到其在虚拟网络302-k中的目的地,如框610所示。
根据前面概述的方法500和/或600的布置的优点在于,它允许VPN服务器304和VGW316的直接实现,从而使得能够提供被配置为根据方法600和/或600进行操作的VPN服务器304和VGW 316的硬件实现,从而为多租户数据中心提供高性能覆盖网络解决方案。
根据前面概述的方法500和/或600的布置的另一优点在于,通过VGW 316的覆盖网络实现与VPN服务器304提供的VPN功能的解耦。因此,数据中心的设计者被提供选项以选择他/她的选择的覆盖网络实现或者用另一覆盖网络实现替换所采用的覆盖网络实现而不影响VPN服务器304的操作。
图7示出了示例性装置400的一些组件的框图。装置400可以包括图4中未示出的其他组件、元件或部分。装置400可以用于实现例如VPN服务器304、VGW 316或控制实体318。
装置400包括用于与其他设备通信的通信部分412。作为一些示例,通信部分412可以实现VPN服务器304与远程VPN服务器104-k之间的通信和/或VPN服务器304与VGW 316之间的通信。在这方面,通信部分412包括实现与其他装置的有线通信的至少一个通信装置,并且通信部分412可以包括一个或多个另外的(无线或有线)通信装置。通信部分412的通信装置也可以称为相应的通信装置。
装置400还包括处理器416和用于存储数据和计算机程序代码417的存储器415。存储器415和存储在其中的计算机程序代码417的一部分还可以被布置为与处理器416一起提供用于控制装置400的操作的控制功能并且特别地引起装置400作为如上所述的VPN服务器304、VGW 316或控制实体318进行操作。存储器415和存储在其中的计算机程序代码417的一部分还可以被布置为与处理器416一起提供用于控制通信部分412的通信装置的操作的控制功能,可能与可以在通信部分412的相应通信装置中提供的控制部分或控制功能一起。这些控制功能可以单独地或联合地称为(装置400的)控制装置。
装置400还可以包括用户I/O(输入/输出)组件418,其可以与处理器416和计算机程序代码417的一部分一起被布置为提供用于从装置400的用户接收输入和/或向装置400的用户提供输出的用户界面。用户I/O组件418可以包括硬件组件,诸如显示器、触摸屏、触摸板、鼠标、键盘和/或一个或多个键或按钮的布置等。用户I/O组件418也可以称为***设备。处理器416可以被布置为控制装置400的操作,例如根据计算机程序代码417的一部分并且可能还根据经由用户I/O组件418接收的用户输入和/或根据经由通信部分412接收的信息。尽管处理器416被描绘为单个组件,但是它可以被实现为一个或多个单独的处理组件。类似地,尽管存储器415被描绘为单个组件,但是它可以被实现为一个或多个单独的组件,其中的一些或全部组件可以是集成的/可去除的和/或可以提供永久/半永久/动态/高速缓存的存储。
存储在存储器415中的计算机程序代码417可以包括在被加载到处理器416中时控制装置400的操作的一个或多个方面的计算机可执行指令。作为示例,计算机可执行指令可以被提供作为一个或多个指令的一个或多个序列。处理器416能够通过从存储器415读取其中包括的一个或多个指令的一个或多个序列来加载和执行计算机程序代码417。一个或多个指令的一个或多个序列可以被配置为在由处理器416执行时引起装置400执行前面在VPN服务器304、VGW 316或控制实体318的上下文中描述的操作、过程和/或功能。因此,装置400可以包括至少一个处理器416和包括用于一个或多个程序的计算机程序代码417的至少一个存储器415,至少一个存储器415和计算机程序代码417被配置为与至少一个处理器416一起引起装置400执行前面在VPN服务器304、VGW 316或控制实体318的上下文中描述的操作、过程和/或功能。
存储在存储器415中的计算机程序可以例如被提供作为包括其上存储有计算机程序代码417的至少一个计算机可读非暂态介质的相应计算机程序产品,该计算机程序代码在由装置400执行时引起装置400至少执行前面在VPN服务器304、VGW 316或控制实体318的上下文中描述的操作、程序和/或功能。计算机可读的非暂态介质可以包括有形地实施计算机程序的存储器设备或记录介质,诸如CD-ROM、DVD、蓝光光盘或其他制品。作为另一示例,计算机程序可以被提供作为被配置为可靠地传输计算机程序的信号。
对处理器的提及不应当被理解为仅包括可编程处理器,还应当包括诸如现场可编程门阵列(FPGA)、专用电路(ASIC)、信号处理器等专用电路。在前面的描述中描述的特征可以以除了明确地描述的组合以外的组合来使用。
尽管已经参考某些特征描述了功能,但是这些功能可以由其他特征(无论是否描述)来执行。尽管已经参考某些实施例描述了特征,但是这些特征也可以存在于其他实施例(无论是否描述)中。
Claims (29)
1.一种用于在多租户数据中心中操作虚拟专用网络VPN服务的方法,所述方法包括:
在所述数据中心中操作多租户VPN服务器,以在VPN隧道与覆盖网络服务之间中继数据分组,所述VPN隧道将所述多租户VPN服务器连接到租户的远程网络,所述覆盖网络服务在所述数据中心内实现用于所述租户的所述VPN,
其中所述多租户VPN服务器与所述覆盖网络服务之间的所述数据分组在为所述租户指派的虚拟局域网VLAN中被承载,并且
其中所述多租户VPN服务器存储多租户转发表,所述多租户转发表针对多个租户存储租户与为所述租户指派的VLAN之间的映射。
2.根据权利要求1所述的方法,其中所述多租户转发表存储用于所述多个租户中的每个租户的相应表条目,每个表条目定义租户标识符与为相应租户指派的VLAN标识符之间的映射。
3.根据权利要求1或2所述的方法,还包括:
响应于建立所述VPN隧道而为所述租户指派VLAN,以及
在所述多租户转发表中存储所述租户与所述VLAN之间的所述映射。
4.根据权利要求1至3中任一项所述的方法,其中操作所述多租户VPN服务器以中继数据分组包括向所述覆盖网络服务转发从所述VPN隧道接收的数据分组,所述转发包括:
获取与所述VPN隧道相关联的租户标识符,
获取与所获取的租户标识符相关联的VLAN标识符,以及
使用由所获取的VLAN标识符标识的所述VLAN,来向所述覆盖网络服务转发从所述VPN隧道接收的所述数据分组。
5.根据权利要求4所述的方法,其中所述转发包括:
扩充从所述VPN隧道接收的所述数据分组以包括所获取的VLAN标识符,以及
向所述覆盖网络服务发送经扩充的数据分组。
6.根据权利要求1至3中任一项所述的方法,其中操作所述多租户VPN服务器以中继数据分组包括向所述VPN隧道转发从所述覆盖网络服务接收的数据分组,所述转发包括:
经由VLAN从所述覆盖网络服务接收数据分组,其中所述VLAN与VLAN标识符相关联,
获取与所述VLAN标识符相关联的租户标识符,以及
向与所获取的租户标识符相关联的所述VPN隧道转发从所述覆盖网络服务接收的所述数据分组。
7.根据权利要求6所述的方法,其中所述转发包括:
在从所述覆盖网络服务接收的所述数据分组的数据字段中接收所述VLAN标识符,
通过去除包括所述VLAN标识符的所述数据字段来处理所接收的数据分组,以及
经由所述VPN隧道发送处理后的数据分组。
8.根据权利要求1至7中任一项所述的方法,还包括:
在所述数据中心中操作VLAN网关,所述VLAN网关用于根据在数据分组在所述多租户VPN服务器与所述覆盖网络服务之间的传输中所采用的所述VLAN,而在所述数据中心内接口连接所述覆盖网络服务,
其中所述VLAN网关存储覆盖网络映射表,所述覆盖网络映射表针对多个VLAN存储VLAN与覆盖网络之间的映射。
9.根据权利要求8所述的方法,其中所述覆盖网络映射表存储用于所述多个VLAN中的每个VLAN的相应表条目,每个表条目定义VLAN标识符与用于相应VLAN的覆盖网络标识符之间的映射。
10.根据权利要求8或9所述的方法,其中操作所述VLAN网关包括向所述覆盖网络服务转发从所述多租户VPN服务器接收的数据分组,所述转发包括:
获取与所采用的VLAN相关联的VLAN标识符,
获取与所获取的VLAN标识符相关联的覆盖网络标识符,以及
向由所获取的覆盖网络标识符标识的覆盖网络转发从所述多租户VPN服务器接收的所述数据分组。
11.根据权利要求10所述的方法,其中获取所述VLAN标识符包括在从所述多租户VPN服务器接收的所述数据分组的数据字段中接收所述VLAN标识符,并且其中转发所述数据分组包括:
通过去除包括所述VLAN标识符的所述数据字段来处理所接收的数据分组,以及
向所述覆盖网络发送处理后的数据分组。
12.根据权利要求8或9所述的方法,其中操作所述VLAN网关包括向所述多租户VPN服务器转发从所述覆盖网络服务接收的数据分组,所述转发包括:
从由覆盖网络标识符标识的覆盖网络接收数据分组,
获取与所述覆盖网络标识符相关联的VLAN标识符,以及
经由由所获取的VLAN标识符标识的VLAN,向所述多租户VPN服务器转发从所述覆盖网络接收的所述数据分组。
13.根据权利要求12所述的方法,其中所述转发包括:
扩充从所述覆盖网络接收的所述数据分组以包括所获取的VLAN标识符,以及
向所述多租户VPN服务器发送经扩充的数据分组。
14.一种计算机程序,包括计算机可读程序代码,所述计算机可读程序代码被配置为:当所述程序代码在一个或多个计算装置上运行时,引起根据权利要求1至13中任一项所述的方法的执行。
15.一种计算机程序产品,包括有形地体现在非暂态计算机可读介质上的计算机可读程序代码,所述程序代码被配置为当在一个或多个计算装置上运行时,引起执行根据权利要求1至13中任一项所述的方法。
16.一种用于在多租户数据中心中操作虚拟专用网络VPN服务的装置,所述装置被配置为在VPN隧道与覆盖网络服务之间中继数据分组,所述VPN隧道将所述装置连接到租户的远程网络,所述覆盖网络服务在所述数据中心内实现用于所述租户的所述VPN,
其中所述装置与所述覆盖网络服务之间的所述数据分组在为所述租户指派的虚拟局域网VLAN中被承载,并且
其中所述装置存储多租户转发表,所述多租户转发表针对多个租户存储租户与为所述租户指派的VLAN之间的映射。
17.根据权利要求16所述的装置,其中所述多租户转发表存储用于所述多个租户中的每个租户的相应表条目,每个表条目定义租户标识符与为相应租户指派的VLAN标识符之间的映射。
18.根据权利要求16或17所述的装置,还被配置为:
响应于建立所述VPN隧道而为所述租户指派VLAN,以及
在所述多租户转发表中存储所述租户与所述VLAN之间的所述映射。
19.根据权利要求16至18中任一项所述的装置,其中中继数据分组包括向所述覆盖网络服务转发从所述VPN隧道接收的数据分组,所述转发包括:
获取与所述VPN隧道相关联的租户标识符,
获取与所获取的租户标识符相关联的VLAN标识符,以及
使用由所获取的VLAN标识符标识的所述VLAN,来向所述覆盖网络服务转发从所述VPN隧道接收的所述数据分组。
20.根据权利要求19所述的装置,其中所述转发包括:
扩充从所述VPN隧道接收的所述数据分组以包括所获取的VLAN标识符,以及
向所述覆盖网络服务发送经扩充的数据分组。
21.根据权利要求16至18中任一项所述的装置,其中中继数据分组包括向所述VPN隧道转发从所述覆盖网络服务接收的数据分组,所述转发包括:
经由VLAN从所述覆盖网络服务接收数据分组,其中所述VLAN与VLAN标识符相关联,
获取与所述VLAN标识符相关联的租户标识符,以及
向与所获取的租户标识符相关联的所述VPN隧道,转发从所述覆盖网络服务接收的所述数据分组。
22.根据权利要求21所述的装置,其中所述转发包括:
在从所述覆盖网络服务接收的所述数据分组的数据字段中接收所述VLAN标识符,
通过去除包括所述VLAN标识符的所述数据字段来处理所接收的数据分组,以及
经由所述VPN隧道发送处理后的数据分组。
23.一种***,包括根据权利要求16至22中任一项所述的装置和VLAN网关,所述VLAN网关用于根据数据分组在所述装置与覆盖网络服务之间的传输中所采用的所述VLAN,而在所述数据中心内接口连接所述覆盖网络服务,
其中所述VLAN网关被配置为存储覆盖网络映射表,所述覆盖网络映射表针对多个VLAN存储VLAN与覆盖网络之间的映射。
24.根据权利要求23所述的***,其中所述覆盖网络映射表存储用于所述多个VLAN中的每个VLAN的相应表条目,每个表条目定义VLAN标识符与用于相应VLAN的覆盖网络标识符之间的映射。
25.根据权利要求23或24所述的***,其中所述VLAN网关被配置为向所述覆盖网络服务转发从所述装置接收的数据分组,所述转发包括:
获取与所采用的VLAN相关联的VLAN标识符,
获取与所获取的VLAN标识符相关联的覆盖网络标识符,以及
向由所获取的覆盖网络标识符标识的覆盖网络,转发从所述装置接收的所述数据分组。
26.根据权利要求25所述的***,其中获取所述VLAN标识符包括在从所述装置接收的所述数据分组的数据字段中接收所述VLAN标识符,并且其中转发所述数据分组包括:
通过去除包括所述VLAN标识符的所述数据字段来处理所接收的数据分组,以及
向所述覆盖网络发送处理后的数据分组。
27.根据权利要求23或24所述的***,其中所述VLAN网关被配置为向所述装置转发从所述覆盖网络服务接收的数据分组,所述转发包括:
从由覆盖网络标识符标识的覆盖网络接收数据分组,
获取与所述覆盖网络标识符相关联的VLAN标识符,以及
经由由所获取的VLAN标识符标识的VLAN,向所述装置转发从所述覆盖网络接收的所述数据分组。
28.根据权利要求27所述的***,其中所述转发包括:
扩充从所述覆盖网络接收的所述数据分组以包括所获取的VLAN标识符,以及
向所述装置发送经扩充的数据分组。
29.一种用于在多租户数据中心中操作虚拟专用网络VPN服务的装置,所述装置包括:
用于在VPN隧道与覆盖网络服务之间中继数据分组的部件,所述VPN隧道将所述装置连接到租户的远程网络,所述覆盖网络服务在所述数据中心内实现用于所述租户的所述VPN,
其中所述装置与所述覆盖网络服务之间的所述数据分组在为所述租户指派的虚拟局域网VLAN中被承载,并且
其中所述装置存储多租户转发表,所述多租户转发表针对多个租户存储租户与为所述租户指派的VLAN之间的映射。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/079180 WO2017177401A1 (en) | 2016-04-13 | 2016-04-13 | A multi-tenant virtual private network based on an overlay network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109076006A true CN109076006A (zh) | 2018-12-21 |
| CN109076006B CN109076006B (zh) | 2021-10-15 |
Family
ID=60041352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680084585.7A Active CN109076006B (zh) | 2016-04-13 | 2016-04-13 | 基于覆盖网络的多租户虚拟专用网络 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10931575B2 (zh) |
| EP (1) | EP3433982B1 (zh) |
| CN (1) | CN109076006B (zh) |
| WO (1) | WO2017177401A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491689A (zh) * | 2020-12-07 | 2021-03-12 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种vpn环境下的多级资源动态分配方法 |
| WO2023185804A1 (zh) * | 2022-03-29 | 2023-10-05 | 阿里云计算有限公司 | 用于vpn的多流负载均衡方法、装置、***及存储介质 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9590901B2 (en) | 2014-03-14 | 2017-03-07 | Nicira, Inc. | Route advertisement by managed gateways |
| US10038628B2 (en) | 2015-04-04 | 2018-07-31 | Nicira, Inc. | Route server mode for dynamic routing between logical and physical networks |
| US9825851B2 (en) | 2015-06-27 | 2017-11-21 | Nicira, Inc. | Distributing routing information in a multi-datacenter environment |
| US10333849B2 (en) * | 2016-04-28 | 2019-06-25 | Nicira, Inc. | Automatic configuration of logical routers on edge nodes |
| US10931629B2 (en) * | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10237123B2 (en) | 2016-12-21 | 2019-03-19 | Nicira, Inc. | Dynamic recovery from a split-brain failure in edge nodes |
| US10616045B2 (en) | 2016-12-22 | 2020-04-07 | Nicira, Inc. | Migration of centralized routing components of logical router |
| US10979397B2 (en) * | 2018-05-25 | 2021-04-13 | Red Hat, Inc. | Dynamic cluster host interconnectivity based on reachability characteristics |
| US10868887B2 (en) | 2019-02-08 | 2020-12-15 | Palantir Technologies Inc. | Systems and methods for isolating applications associated with multiple tenants within a computing platform |
| CN111193653B (zh) * | 2019-12-31 | 2021-08-06 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、设备及存储介质 |
| WO2021201914A1 (en) * | 2020-03-31 | 2021-10-07 | Arris Enterprises Llc | Cloud-based computer with runtime-mapped software versions |
| US11316773B2 (en) | 2020-04-06 | 2022-04-26 | Vmware, Inc. | Configuring edge device with multiple routing tables |
| US11070594B1 (en) | 2020-10-16 | 2021-07-20 | Tempered Networks, Inc. | Applying overlay network policy based on users |
| US10999154B1 (en) * | 2020-10-23 | 2021-05-04 | Tempered Networks, Inc. | Relay node management for overlay networks |
| CN112311606B (zh) * | 2020-11-12 | 2022-02-15 | 中国科学院计算技术研究所 | 一种用于构建虚实解耦仿真网络的方法 |
| US11689454B2 (en) | 2021-04-06 | 2023-06-27 | Cisco Technology, Inc. | Distributed tenant overlay network with centralized routing control plane |
| US11297038B1 (en) * | 2021-07-03 | 2022-04-05 | Oversec, Uab | Rotating internet protocol addresses in a virtual private network |
| US11909637B2 (en) * | 2021-07-14 | 2024-02-20 | VMware LLC | Orchestration of tenant overlay network constructs |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060104252A1 (en) * | 2004-11-12 | 2006-05-18 | Samsung Electronics Co., Ltd. | Communication method and apparatus using IP address of VPN gateway for mobile node in a VPN |
| CN101079775A (zh) * | 2007-06-11 | 2007-11-28 | 华为技术有限公司 | 划分虚拟局域网,传送数据的方法和无线分组网关 |
| CN101547100A (zh) * | 2009-05-07 | 2009-09-30 | 杭州华三通信技术有限公司 | 组播接收控制方法及*** |
| CN102934400A (zh) * | 2010-06-09 | 2013-02-13 | 日本电气株式会社 | 通信***、逻辑信道控制设备、控制设备、通信方法以及程序 |
| US20130064075A1 (en) * | 2010-05-13 | 2013-03-14 | Huawei Technologies Co., Ltd. | Method, system, and device for managing addresses on ethernet ring network |
| WO2013154813A1 (en) * | 2012-04-13 | 2013-10-17 | Nicira, Inc. | Extension of logical networks across layer 3 virtual private networks |
| US20140201733A1 (en) * | 2013-01-15 | 2014-07-17 | International Business Machines Corporation | Scalable network overlay virtualization using conventional virtual switches |
| CN104025508A (zh) * | 2011-12-30 | 2014-09-03 | 思科技术公司 | 用于在网络环境中发现多点端点的***和方法 |
| CN104106242A (zh) * | 2012-02-24 | 2014-10-15 | 华为技术有限公司 | 分片网络中委托转发和地址解析 |
| CN104145458A (zh) * | 2012-12-09 | 2014-11-12 | 华为技术有限公司 | 一种转发报文的方法、装置和数据中心网络 |
| CN104601427A (zh) * | 2013-10-31 | 2015-05-06 | 杭州华三通信技术有限公司 | 数据中心网络中的报文转发方法及装置 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7099912B2 (en) | 2001-04-24 | 2006-08-29 | Hitachi, Ltd. | Integrated service management system |
| US8713185B2 (en) | 2001-12-07 | 2014-04-29 | Rockstar Bidco, LP | Methods of establishing virtual circuits and of providing a virtual private network service through a shared network, and provider edge device for such network |
| US8098656B2 (en) | 2009-06-26 | 2012-01-17 | Avaya, Inc. | Method and apparatus for implementing L2 VPNs on an IP network |
| CN102185781B (zh) | 2011-05-12 | 2015-06-03 | 中兴通讯股份有限公司 | 多端口以太网接口装置及其vpn业务接入的方法 |
| US20130142201A1 (en) | 2011-12-02 | 2013-06-06 | Microsoft Corporation | Connecting on-premise networks with public clouds |
| US9203784B2 (en) | 2012-04-24 | 2015-12-01 | Cisco Technology, Inc. | Distributed virtual switch architecture for a hybrid cloud |
| US9008085B2 (en) | 2012-08-15 | 2015-04-14 | International Business Machines Corporation | Network interface card having overlay gateway functionality |
| US8978031B2 (en) | 2012-08-21 | 2015-03-10 | International Business Machines Corporation | Processing of overlay networks using an accelerated network interface card |
| CN103795631B (zh) | 2012-10-30 | 2017-03-15 | 杭州华三通信技术有限公司 | 部署了以太网虚拟连接的网络中的流量转发方法及设备 |
| CN104009919B (zh) | 2013-02-25 | 2017-06-09 | 新华三技术有限公司 | 报文转发方法及装置 |
| US9660905B2 (en) | 2013-04-12 | 2017-05-23 | Futurewei Technologies, Inc. | Service chain policy for distributed gateways in virtual overlay networks |
| US9699001B2 (en) | 2013-06-10 | 2017-07-04 | Brocade Communications Systems, Inc. | Scalable and segregated network virtualization |
| US9124536B2 (en) | 2013-12-12 | 2015-09-01 | International Business Machines Corporation | Managing data flows in overlay networks |
| WO2016003489A1 (en) * | 2014-06-30 | 2016-01-07 | Nicira, Inc. | Methods and systems to offload overlay network packet encapsulation to hardware |
| CN104168311A (zh) | 2014-07-31 | 2014-11-26 | 华为技术有限公司 | 一种业务处理方法、装置和*** |
| US9509662B2 (en) * | 2014-09-24 | 2016-11-29 | Microsoft Technology Licensing, Llc | Techniques for providing services to multiple tenants via a shared end-point |
| US20160226753A1 (en) * | 2015-02-04 | 2016-08-04 | Mediatek Inc. | Scheme for performing one-pass tunnel forwarding function on two-layer network structure |
| WO2017080590A1 (en) * | 2015-11-10 | 2017-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for exchanging datagrams between application modules |
| US10117285B2 (en) * | 2015-12-16 | 2018-10-30 | Verizon Patent And Licensing Inc. | Cloud WAN overlay network |
-
2016
- 2016-04-13 US US16/091,369 patent/US10931575B2/en active Active
- 2016-04-13 EP EP16898220.5A patent/EP3433982B1/en active Active
- 2016-04-13 CN CN201680084585.7A patent/CN109076006B/zh active Active
- 2016-04-13 WO PCT/CN2016/079180 patent/WO2017177401A1/en active Application Filing
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060104252A1 (en) * | 2004-11-12 | 2006-05-18 | Samsung Electronics Co., Ltd. | Communication method and apparatus using IP address of VPN gateway for mobile node in a VPN |
| CN101079775A (zh) * | 2007-06-11 | 2007-11-28 | 华为技术有限公司 | 划分虚拟局域网,传送数据的方法和无线分组网关 |
| CN101547100A (zh) * | 2009-05-07 | 2009-09-30 | 杭州华三通信技术有限公司 | 组播接收控制方法及*** |
| US20130064075A1 (en) * | 2010-05-13 | 2013-03-14 | Huawei Technologies Co., Ltd. | Method, system, and device for managing addresses on ethernet ring network |
| CN102934400A (zh) * | 2010-06-09 | 2013-02-13 | 日本电气株式会社 | 通信***、逻辑信道控制设备、控制设备、通信方法以及程序 |
| CN104025508A (zh) * | 2011-12-30 | 2014-09-03 | 思科技术公司 | 用于在网络环境中发现多点端点的***和方法 |
| CN104106242A (zh) * | 2012-02-24 | 2014-10-15 | 华为技术有限公司 | 分片网络中委托转发和地址解析 |
| WO2013154813A1 (en) * | 2012-04-13 | 2013-10-17 | Nicira, Inc. | Extension of logical networks across layer 3 virtual private networks |
| CN104145458A (zh) * | 2012-12-09 | 2014-11-12 | 华为技术有限公司 | 一种转发报文的方法、装置和数据中心网络 |
| US20140201733A1 (en) * | 2013-01-15 | 2014-07-17 | International Business Machines Corporation | Scalable network overlay virtualization using conventional virtual switches |
| CN104601427A (zh) * | 2013-10-31 | 2015-05-06 | 杭州华三通信技术有限公司 | 数据中心网络中的报文转发方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| DAVIE & GROSS: "A Stateless Transport Tunneling Protocol for Network Virtualization (STT) draft-davie-stt-07", 《HTTPS://DATATRACKER.IETF.ORG/DRAFTS》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491689A (zh) * | 2020-12-07 | 2021-03-12 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种vpn环境下的多级资源动态分配方法 |
| WO2023185804A1 (zh) * | 2022-03-29 | 2023-10-05 | 阿里云计算有限公司 | 用于vpn的多流负载均衡方法、装置、***及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3433982A4 (en) | 2019-09-18 |
| EP3433982A1 (en) | 2019-01-30 |
| CN109076006B (zh) | 2021-10-15 |
| EP3433982B1 (en) | 2021-07-07 |
| US10931575B2 (en) | 2021-02-23 |
| US20190158397A1 (en) | 2019-05-23 |
| WO2017177401A1 (en) | 2017-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076006A (zh) | 基于覆盖网络的多租户虚拟专用网络 | |
| CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及*** | |
| JP5991424B2 (ja) | パケット書換装置、制御装置、通信システム、パケット送信方法及びプログラム | |
| US9900181B2 (en) | Method and system for virtual and physical network integration | |
| CN105763512B (zh) | Sdn虚拟化网络的通信方法和装置 | |
| US20170295033A1 (en) | Methods and systems to offload overlay network packet encapsulation to hardware | |
| US8830834B2 (en) | Overlay-based packet steering | |
| US9559896B2 (en) | Network-assisted configuration and programming of gateways in a network environment | |
| WO2016062140A1 (zh) | 一种实现虚拟私有云网络与外部网络互通的方法和装置 | |
| US20150381386A1 (en) | Method and system for vxlan encapsulation offload | |
| US10298717B2 (en) | Context export from an access point to a fabric infrastructure | |
| CN110427334A (zh) | 一种实现虚拟机通信的方法和装置 | |
| WO2013182924A1 (en) | Routing vlan tagged packets to far end addresses of virtual forwarding instances using separate administrations | |
| CN109937400A (zh) | 用于虚拟机的实时迁移的流状态传送 | |
| CN105635190B (zh) | 数据中心网络中的服务执行方法及装置 | |
| JP7113006B2 (ja) | 分散顧客構内機器 | |
| JP5860423B2 (ja) | キャリア網仮想化システム及び方法 | |
| US11012412B2 (en) | Method and system for network traffic steering towards a service device | |
| US10574573B2 (en) | Connecting a PVLAN switch to a non-PVLAN device | |
| US10721235B2 (en) | Communication system, communication control apparatus, and recording medium | |
| US20210051076A1 (en) | A node, control system, communication control method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |