51专利 一种以太网虚拟化互联网络访问控制技术-黄山.docVIP

为了实现高可靠性和冗余部署，大多数企业网络及其数据中心跨越了部署有类似业务但位于不同地理位置的多个物理站点。这些物理站点之间通过二层互联，使虚拟机能够无缝迁移，以确保站点间的资源动态调配和管理。本专利申请的目的在于，根据数据中心的应用需求，灵活控制数据中心各站点之间的互通访问。 一种以太网虚拟化互联网络的访问控制技术 文/黄山 图1 EVI典型组网模型图 图1所示为典型的EVI（Ethernet Virtualization Interconnection，以太网虚拟化互联）组网模型，各站点的边缘设备上配置有本站点的访问控制策略，其中，ED1的访问控制策略为：与所有站点网络互访；ED2访问控制策略为：与站点网络3之外的所有站点网络互访；ED3的访问控制策略为：仅与站点网络1互访。 部署为ENDS的ED1设备维护同一个EVI网络实例内的客户端信息，部署为ENDC的ED2和ED3向ED1发送注册报文。ED1根据ED2和ED3的注册报文学习EVI实例内ENDC的信息，分别发送注册应答报文至ED2和ED3，发布EVI网络实例中所有ENDC信息，其中ENDS本身也作为EVI网络实例内的ENDC设备。 ED1根据本设备配置的访问控制策略确定允许向ED2以及ED3发送Hello协议报文，ED1对该Hello报文进行封装，并从数据平面单播发送至ED2和ED3。ED2和ED3对接收的Hello协议报文进行解封装，上送控制平面的ISIS进程。ED2和ED3各自根据本设备的访问控制策略，接受该Hello协议报文，并分别向ED1发送携带ED1信息的Hello报文。ED1收到ED2和ED3的Hello报文时，激活邻居，并分别发送携带ED2信息的Hello报文至ED2，携带ED3信息的Hello报文至ED3， ED2和ED3收到Hello报文后也激活邻居。至此，ED1与ED2之间以及ED1与ED3之间的邻居关系建立。 图2 ED邻居间的虚拟转发通道 如图2所示，互为邻居的ED1与ED2之间建立虚拟转发通道，ED1与ED3之间建立转发通道。 ED1学习到EVI实例的本地主机1的MAC地址，将其携带在ISIS协议的LSP报文并进行封装，再单播发送给ED2和ED3。ED2和ED3对接收的LSP报文进行解封装，各自将本设备与ED1之间的虚拟转发通道接口作为出接口，记录写入本地EVI实例转发表中主机1的MAC地址表项。 当ED2收到来自主机2发往主机1的数据帧后，ED1进行源MAC地址学习，将主机2的MAC地址携带在ISIS协议的LSP报文，进行封装，再单播发送给ED1。ED1对接收的LSP报文进行解封装，将本设备与ED2之间的虚拟转发通道接口作为出接口，记录写入本地EVI实例转发表中主机2的MAC地址表项。 ED2根据数据帧的目的MAC地址，在EVI实例的转发表项查找到出接口是连接ED1上的虚拟转发通道接口，则为数据帧封装以太网头和外层IP GRE隧道头，将数据帧封装为EVI报文。其中，IP GRE隧道的外层IP头中的源IP地址，为本设备上虚拟转发通道接口承载的IP地址，目的IP地址是对端虚拟转发通道接口承载的IP地址。外层以太网头的目的MAC地址为到达ED1的下一跳的MAC地址，源MAC地址ED2的MAC地址，VLAN ID 为公网的VLAN ID。 ED2将封装后的EVI报文从对应的发送端口发送到核心网，最终到达ED1。ED1对接收的报文进行解封装，在EVI实例转发表根据解封装后的数据帧目的MAC地址，查找到出接口为本地接口。ED1从本地接口发送该以太帧，最终数据帧被送达主机1。 相应地，ED3收到主机3发往主机1的数据帧，执行类似地处理，将主机3的MAC地址发布到ED1，将数据帧封装为EVI报文后发往ED1。ED1也执行类似地处理，在EVI实例转发表中建立主机3的MAC地址表项，收到EVI报文后，将EVI报文解封装为数据帧后发往主机1。 由于ED2和ED3各自的访问控制策略禁止两个站点之间的互通访问。ED2与ED3之间不仅未建立虚拟转发通道，并且ED2与ED3之间不会发布学习到的本地站点的主机MAC地址，从而切断了EVI网络内站点网络2与站点网络3之间的互通访问。 由以上技术方案可以看出，本专利申请可根据组网需求灵活地建立EVI网络的各站点网络之间的连接，既可以实现各站点网络之间的全连接，也可以实现部分站点之间互通访问，使得EVI组网方式更贴近用户的组网需求。 专利点评 EVI技术是H3C基于标准协议所研发的二层互联技术，该技术具有精简配置、自动隧道生成、自动负载均衡以及链路无关性等特点。截至目前，H3C在EVI领域内已提交中国专利申请三十多件，并将继续创新出更多优秀的相关专利技术。