CN111464511A - 一种用于实现云计算网络中支持多vpc隔离的方法 - Google Patents
一种用于实现云计算网络中支持多vpc隔离的方法 Download PDFInfo
- Publication number
- CN111464511A CN111464511A CN202010192875.1A CN202010192875A CN111464511A CN 111464511 A CN111464511 A CN 111464511A CN 202010192875 A CN202010192875 A CN 202010192875A CN 111464511 A CN111464511 A CN 111464511A
- Authority
- CN
- China
- Prior art keywords
- message
- tag
- virtual machine
- eaf
- vpc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/4666—Operational details on the addition or the stripping of a tag in a frame, e.g. at a provider edge node
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明创造提供了一种用于实现云计算网络中支持多VPC隔离的方法,包括虚机出外网方法以及虚机之间互访方法。本发明创造所述的一种用于实现云计算网络中支持多VPC隔离的方法根据实际数据中心租户VPC的数量,通过动态扩充Border和FW组,实现支持多VPC的租户隔离技术,并极大的增加了支持的VPC的数量。同时,东西向流量在Leaf上不需要固定VLAN Tag,只需要在本Leaf下通过不同的VLAN隔离VPC并记录VLAN和VXLAN之间的对应关系即可,同一个VPC关联同一个三层VNI ID。
Description
技术领域
本发明创造属于云计算网络领域,尤其是涉及一种用于实现云计算网络中支持多VPC隔离的方法。
背景技术
目前通用组网中数据中心仅存在一组防火墙设备,因此在FW上根据报文的VLANTag区分报文所在的VPN实例,受限于防火墙上支持的VPN实例数量,只能区分4K VLAN个VPN实例,并且在Leaf设备上是VLAN和VXLAN的一一映射关系,导致在当前的组网下整个数据中心只支持4K个VPN实例,即支持4K个VPC,此数量远远不能满足大规模云计算数据中心的需求。
所有租户的所有出外网流量及SNAT、EIP和网络ACL等功能均在一个防火墙上实现,导致设备配置过多,设备故障概率增加,一旦数据中心防火墙异常,会导致整个数据中心内的虚机不能访问外网。其中一个租户主动出访不同目的地址的流量足够大时,在防火墙上形成大量的会话,也会导致其他租户的流量不正常。
发明创造内容
有鉴于此,本发明创造旨在提出一种用于实现云计算网络中支持多VPC隔离的方法,提出一种数据中心新的组网和实现方法,使数据中心能够支持的租户VPC隔离的数量增加,能够支持VXLAN数量(4K*4K)的VPC,而不是VLAN数量(4K)的VPC。减少每台防火墙设备的配置,降低防火墙故障概率,提高数据中心可维护性。
为达到上述目的,本发明创造的技术方案是这样实现的:
一种用于实现云计算网络中支持多VPC隔离的方法,包括虚机出外网方法以及虚机之间互访方法,所述虚机出外网方法包括以下步骤:
A1、虚机发出的报文在服务器上加VLAN Tag;
A2、报文到达Leaf之后,在Leaf上查找VLAN和VXLAN的映射关系,摘掉报文VLANTag,增加VXLAN Tag;
A3、报文通过Spine,到达指定的Border之后,去掉VXLAN Tag,并增加VLAN Tag到FW;
A4、FW收到报文之后,根据报文的VLAN Tag区分是哪个VPN的报文,然后根据NAT转换规则做NAT转换,最终回到Border通过汇聚交换机将报文发送到外网;
所述虚机之间互访方法包括以下步骤:
B1、将虚机B的IP的报文在服务器上加VLAN Tag;
B2、报文到达Leaf A之后,在Leaf A上查找VLAN和VXLAN的映射关系,摘掉报文VLAN Tag,增加VXLAN Tag;
B3、报文通过Spine,到达目的虚机B所在的Leaf B之后,去掉VXLAN Tag,并增加VLAN Tag(此时的VLAN Tag和LeafA上相同VXLAN对应的VLAN Tag可以相同也可以不同)到服务器;
B4、服务器收到报文之后,根据报文的VLAN Tag区分是哪个VPC的报文,然后根据目的IP将报文送到指定的虚机。
进一步的,在步骤B1中,虚机B的IP的报文在服务器上加VLAN Tag即为虚机A发出目的IP。
进一步的,在步骤B3中,VLAN Tag和Leaf A上相同VXLAN对应的VLAN Tag可以相同也可以不同。
相对于现有技术,本发明创造所述的一种用于实现云计算网络中支持多VPC隔离的方法具有以下优势:
本发明创造所述的一种用于实现云计算网络中支持多VPC隔离的方法根据实际数据中心租户VPC的数量,通过动态扩充Border和FW组,实现支持多VPC的租户隔离技术,并极大的增加了支持的VPC的数量。同时,东西向流量在Leaf上不需要固定VLAN Tag,只需要在本Leaf下通过不同的VLAN隔离VPC并记录VLAN和VXLAN之间的对应关系即可,同一个VPC关联同一个三层VNI ID。
附图说明
构成本发明创造的一部分的附图用来提供对本发明创造的进一步理解,本发明创造的示意性实施例及其说明用于解释本发明创造,并不构成对本发明创造的不当限定。在附图中:
图1为本发明创造实施例所述的数据中心新架构组网及南北向流量图示意图;
图2为本发明创造实施例所述的东西向流量走向图示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明创造中的实施例及实施例中的特征可以相互组合。
在本发明创造的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明创造和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明创造的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明创造的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明创造的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明创造中的具体含义。
下面将参考附图并结合实施例来详细说明本发明创造。
如图1和图2所示,一种用于实现云计算网络中支持多VPC隔离的方法,包括虚机出外网方法以及虚机之间互访方法,所述虚机出外网方法包括以下步骤:
A1、虚机发出的报文在服务器上加VLAN Tag;
A2、报文到达Leaf之后,在Leaf上查找VLAN和VXLAN的映射关系,摘掉报文VLANTag,增加VXLAN Tag;
A3、报文通过Spine,到达指定的Border之后,去掉VXLAN Tag,并增加VLAN Tag到FW;
A4、FW收到报文之后,根据报文的VLAN Tag区分是哪个VPN的报文,然后根据NAT转换规则做NAT转换,最终回到Border通过汇聚交换机将报文发送到外网;
所述虚机之间互访方法包括以下步骤:
B1、将虚机B的IP的报文在服务器上加VLAN Tag;
B2、报文到达Leaf A之后,在Leaf A上查找VLAN和VXLAN的映射关系,摘掉报文VLAN Tag,增加VXLAN Tag;
B3、报文通过Spine,到达目的虚机B所在的Leaf B之后,去掉VXLAN Tag,并增加VLAN Tag(此时的VLAN Tag和LeafA上相同VXLAN对应的VLAN Tag可以相同也可以不同)到服务器;
B4、服务器收到报文之后,根据报文的VLAN Tag区分是哪个VPC的报文,然后根据目的IP将报文送到指定的虚机。
在步骤B1中,虚机B的IP的报文在服务器上加VLAN Tag即为虚机A发出目的IP。
在步骤B3中,VLAN Tag和Leaf A上相同VXLAN对应的VLAN Tag可以相同也可以不同。
其中,Leaf为接入交换机,Spine即为核心交换机,Border为边界交换机,FW为防火墙。
在具体实施过程中包括以下方法:
***组网方法:
由于每一组Border和防火墙设备支持4K个VLAN,当需要支持的VPC数据需要扩展时,在原有组网的基础上,增加多组Border设备和防火墙设备连接到Spine设备上,然后通过汇聚交换机,连接到出口路由设备上。
数据中心管理层方法:
每一个Leaf下支持4K VLAN,隔离4K VPC,在Leaf上记录VLAN到VXLAN的映射关系,不同Leaf下的相同VPC可以使用相同或者不同的VLAN,只需要在Leaf上记录VLAN和VXLAN的对应关系。相同VPC在不同的Leaf上需要对应同一个VXLAN。
同一个VPC最终只能通过一组Border和FW设备出访外网,不同Border上记录不同的三层VNI信息,对应不同的VPC。
虚机出外网的流量(南北向流量)路径如图1中箭头所示,具体步骤为:
1.虚机发出的报文在服务器上加VLAN Tag;
2.报文到达Leaf之后,在Leaf上查找VLAN和VXLAN的映射关系,摘掉报文VLANTag,增加VXLAN Tag;
3.报文通过Spine,到达指定的Border之后,去掉VXLAN Tag,并增加VLAN Tag到FW;
4.FW收到报文之后,根据报文的VLAN Tag区分是哪个VPN的报文,然后根据NAT转换规则做NAT转换,最终回到Border通过汇聚交换机将报文发送到外网。
虚机之间互访的流量(东西向流量)路径如图2中箭头所示,具体步骤为:
1.虚机A发出目的IP是虚机B的IP的报文在服务器上加VLAN Tag;
2.报文到达Leaf A之后,在Leaf A上查找VLAN和VXLAN的映射关系,摘掉报文VLANTag,增加VXLAN Tag;
3.报文通过Spine,到达目的虚机B所在的Leaf B之后,去掉VXLAN Tag,并增加VLAN Tag(此时的VLAN Tag和LeafA上相同VXLAN对应的VLAN Tag可以相同也可以不同)到服务器;
4.服务器收到报文之后,根据报文的VLAN Tag区分是哪个VPC的报文,然后根据目的IP将报文送到指定的虚机。
以上所述仅为本发明创造的较佳实施例而已,并不用以限制本发明创造,凡在本发明创造的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明创造的保护范围之内。
Claims (3)
1.一种用于实现云计算网络中支持多VPC隔离的方法,其特征在于:包括虚机出外网方法以及虚机之间互访方法,所述虚机出外网方法包括以下步骤:
A1、虚机发出的报文在服务器上加VLAN Tag;
A2、报文到达Leaf之后,在Leaf上查找VLAN和VXLAN的映射关系,摘掉报文VLAN Tag,增加VXLAN Tag;
A3、报文通过Spine,到达指定的Border之后,去掉VXLAN Tag,并增加VLAN Tag到FW;
A4、FW收到报文之后,根据报文的VLAN Tag区分是哪个VPN的报文,然后根据NAT转换规则做NAT转换,最终回到Border通过汇聚交换机将报文发送到外网;
所述虚机之间互访方法包括以下步骤:
B1、将虚机B的IP的报文在服务器上加VLAN Tag;
B2、报文到达Leaf A之后,在Leaf A上查找VLAN和VXLAN的映射关系,摘掉报文VLANTag,增加VXLAN Tag;
B3、报文通过Spine,到达目的虚机B所在的Leaf B之后,去掉VXLAN Tag,并增加VLANTag到服务器;
B4、服务器收到报文之后,根据报文的VLAN Tag区分是哪个VPC的报文,然后根据目的IP将报文送到指定的虚机。
2.根据权利要求1所述的一种用于实现云计算网络中支持多VPC隔离的方法,其特征在于:在步骤B1中,虚机B的IP的报文在服务器上加VLAN Tag即为虚机A发出目的IP。
3.根据权利要求1所述的一种用于实现云计算网络中支持多VPC隔离的方法,其特征在于:在步骤B3中,VLAN Tag和Leaf A上相同VXLAN对应的VLAN Tag可以相同也可以不同。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010192875.1A CN111464511A (zh) | 2020-03-18 | 2020-03-18 | 一种用于实现云计算网络中支持多vpc隔离的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010192875.1A CN111464511A (zh) | 2020-03-18 | 2020-03-18 | 一种用于实现云计算网络中支持多vpc隔离的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111464511A true CN111464511A (zh) | 2020-07-28 |
Family
ID=71680838
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010192875.1A Pending CN111464511A (zh) | 2020-03-18 | 2020-03-18 | 一种用于实现云计算网络中支持多vpc隔离的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111464511A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104492A (zh) * | 2020-09-07 | 2020-12-18 | 紫光云(南京)数字技术有限公司 | 一种云计算数据中心的组网结构 |
CN112671629A (zh) * | 2020-09-24 | 2021-04-16 | 紫光云技术有限公司 | 一种云网络下专线接入的实现方法 |
CN112671826A (zh) * | 2020-11-25 | 2021-04-16 | 紫光云技术有限公司 | 一种虚拟专有云互通配置下发的实现方法 |
CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、***、设备及可读存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理***和方法 |
CN105939352A (zh) * | 2016-06-03 | 2016-09-14 | 汉柏科技有限公司 | 基于快转表的租户隔离方法和装置 |
CN107395508A (zh) * | 2016-05-17 | 2017-11-24 | 华为技术有限公司 | 转发报文的方法和装置 |
CN107579900A (zh) * | 2017-10-13 | 2018-01-12 | 锐捷网络股份有限公司 | 从vlan网络接入vxlan网络的方法、装置及*** |
CN107623636A (zh) * | 2016-07-13 | 2018-01-23 | 华为技术有限公司 | 一种用户隔离方法和交换机 |
WO2018028676A1 (zh) * | 2016-08-12 | 2018-02-15 | 新华三技术有限公司 | 以太网虚拟私有网络evpn与公网互通 |
CN108833250A (zh) * | 2018-06-22 | 2018-11-16 | 山东超越数控电子股份有限公司 | 一种VxLAN与VLAN之间的转发方法 |
CN109218158A (zh) * | 2017-07-05 | 2019-01-15 | 中国电信股份有限公司 | 基于VxLAN的数据传输方法、控制方法及控制器、网关、中间网元和*** |
CN109729019A (zh) * | 2018-12-28 | 2019-05-07 | 新华三技术有限公司 | 一种evpn组网中专线业务的限速方法及装置 |
EP3611619A1 (en) * | 2018-08-14 | 2020-02-19 | Juniper Networks, Inc. | Multi-cloud virtual computing environment provisioning using a high-level topology description |
-
2020
- 2020-03-18 CN CN202010192875.1A patent/CN111464511A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理***和方法 |
CN107395508A (zh) * | 2016-05-17 | 2017-11-24 | 华为技术有限公司 | 转发报文的方法和装置 |
CN105939352A (zh) * | 2016-06-03 | 2016-09-14 | 汉柏科技有限公司 | 基于快转表的租户隔离方法和装置 |
CN107623636A (zh) * | 2016-07-13 | 2018-01-23 | 华为技术有限公司 | 一种用户隔离方法和交换机 |
WO2018028676A1 (zh) * | 2016-08-12 | 2018-02-15 | 新华三技术有限公司 | 以太网虚拟私有网络evpn与公网互通 |
CN109218158A (zh) * | 2017-07-05 | 2019-01-15 | 中国电信股份有限公司 | 基于VxLAN的数据传输方法、控制方法及控制器、网关、中间网元和*** |
CN107579900A (zh) * | 2017-10-13 | 2018-01-12 | 锐捷网络股份有限公司 | 从vlan网络接入vxlan网络的方法、装置及*** |
CN108833250A (zh) * | 2018-06-22 | 2018-11-16 | 山东超越数控电子股份有限公司 | 一种VxLAN与VLAN之间的转发方法 |
EP3611619A1 (en) * | 2018-08-14 | 2020-02-19 | Juniper Networks, Inc. | Multi-cloud virtual computing environment provisioning using a high-level topology description |
CN109729019A (zh) * | 2018-12-28 | 2019-05-07 | 新华三技术有限公司 | 一种evpn组网中专线业务的限速方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104492A (zh) * | 2020-09-07 | 2020-12-18 | 紫光云(南京)数字技术有限公司 | 一种云计算数据中心的组网结构 |
CN112671629A (zh) * | 2020-09-24 | 2021-04-16 | 紫光云技术有限公司 | 一种云网络下专线接入的实现方法 |
CN112671629B (zh) * | 2020-09-24 | 2023-01-03 | 紫光云技术有限公司 | 一种云网络下专线接入的实现方法 |
CN112671826A (zh) * | 2020-11-25 | 2021-04-16 | 紫光云技术有限公司 | 一种虚拟专有云互通配置下发的实现方法 |
CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、***、设备及可读存储介质 |
CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、***、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111464511A (zh) | 一种用于实现云计算网络中支持多vpc隔离的方法 | |
CN103227757B (zh) | 一种报文转发方法及设备 | |
JP4008432B2 (ja) | ネットワーク機器のトポロジを探索する装置および方法 | |
US9160701B2 (en) | Addressing method, addressing apparatus, fabric manager, switch, and data routing method | |
US8787374B2 (en) | Network system including lower and upper switches and link group interconnecting lower switches to upper switches, and method of operating the same | |
US8989188B2 (en) | Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode | |
US8214528B2 (en) | Address identifier scaling in converged networks | |
CN104718733B (zh) | 基于分组的标识符定位符网络协议(ilnp)负载平衡和路由选择的方法和*** | |
CN105871718B (zh) | 一种sdn域间路由实现方法 | |
US20160191462A1 (en) | Message forwarding in a virtual local area network | |
US20130232492A1 (en) | Method and system for realizing virtual machine mobility | |
EP3197107A1 (en) | Message transmission method and apparatus | |
CN103139037A (zh) | 用于实现灵活的虚拟局域网的方法和装置 | |
CN110505152A (zh) | 路由过滤方法、装置及电子设备 | |
JP6795043B2 (ja) | ゲートウェイ装置、ネットワークアドレス変換装置、通信システム、通信方法、および、プログラム | |
US11356357B2 (en) | Proactive prefix disaggregation for traffic assurance in data center routing | |
CN103095508A (zh) | 业务访问方法和边缘设备 | |
CN104734930B (zh) | Vlan接入vf网络的实现方法及装置、fcf | |
CN113381936A (zh) | 网络信息处理方法、装置及网络设备 | |
CN102780701B (zh) | 访问控制方法和设备 | |
US10735276B2 (en) | Server, communication method, and recording medium | |
CN107995124A (zh) | 流量调度方法及装置 | |
CN105591871B (zh) | 一种配置自动发现虚拟专用网络分支节点的方法和装置 | |
JPH1127326A (ja) | 階層lanスイッチネットワーク | |
CN102857435A (zh) | 转发数据中心站点内的三层数据流的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200728 |