一种用户隔离方法和交换机技术

本发明专利技术实施例提供一种用户隔离方法和交换机，涉及通信领域，能够解决BUM流量无法在租户间隔离的问题。其方法为：交换机侦听第一用户上线时发送的第一报文中携带的信息，交换机根据第一报文中携带的信息与EPG的标识的对应关系确定第一用户属于第一EPG，并根据第一EPG的标识以及EPG的标识与IP组播地址的对应关系确定第一用户对应第一IP组播地址，并确定第一用户属于第一IP组播地址所对应的组播组，而后，交换机将第一用户加入组播组，当交换机接收到第一用户发送的第一BUM流量时，交换机将第一BUM流量封装为组播组的第一组播流量，第一组播流量包括第一IP组播地址，以使得第一组播流量转发至组播组的其它用。本发明专利技术实施例用于VXLAN中的用户隔离。

A user isolation method and switch

An embodiment of the invention provides a user isolation method and a switch, which involves the communication field, and can solve the problem that the BUM traffic can not be isolated between the tenants. The method is as follows: first to carry the message sent by a switch in the listener on the line when the first user information, the switch determines the first user belonging to the first EPG according to the corresponding relation between the information and the EPG carrying the first message identifier, and determines whether the first user corresponding to the first IP multicast address according to the identification of the first EPG and the relationship between the EPG logo and IP multicast the address, and determines whether the first user belongs to the multicast group corresponding to the first IP multicast address and then switch to the first user to join the multicast group, when the switch receives the first flow of the first BUM user sends, the switch will first BUM traffic package for the first multicast multicast group, multicast traffic first includes a first IP multicast address. In order to make the first multicast traffic is forwarded to the multicast group with the other. An embodiment of the invention is used for user isolation in VXLAN.

【技术实现步骤摘要】
一种用户隔离方法和交换机
本专利技术涉及通信领域，尤其涉及一种用户隔离方法和交换机。
技术介绍
虚拟局域网(VirtualLocalAreaNetwork，VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就类似于在同一个网段中一样，由此得名虚拟局域网。VLAN工作在开放系统互联(OpenSystemInterconnection，OSI)参考模型的第2层和第3层。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应一个特定的租户，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器或交换机转发通信，这样的一个广播域就为一个VLAN，一个VLAN下的用户可以为一个租户，即一个租户中可以包括多个用户。租户可以理解为终端策略组(End-PointPolicyGroup，EPG)，即一个租户中的所有用户为一个EPG。不同VLAN或不同的租户之间的通信是通过第3层的路由器或交换机来完成的。这样，采用不同的VLAN对用户进行隔离后，不同的EPG可以分配不同的VLAN，当一个VLAN中的一个设备发出广播或未知单播或组播(Broadcast、Unicastunknown、Multicast，BUM)流量时，会在该VLAN中泛洪，该VLAN中的整网设备都会接收到该BUM流量。但是，VLAN的资源有限，导致支持的租户(隔离组)数量有限，如果不同的租户共享同一个VLAN，将会导致BUM流量无法在租户间隔离。
技术实现思路
本专利技术实施例提供一种用户隔离方法和交换机，能够解决BUM流量无法在租户间隔离的问题。一方面，提供一种用户隔离方法，包括：交换机侦听第一用户上线时发送的第一报文中携带的信息；交换机根据第一报文中携带的信息与终端策略组EPG的标识的对应关系确定第一用户属于第一EPG，并根据第一EPG的标识以及EPG的标识与网际协议IP组播地址的对应关系确定第一用户对应第一IP组播地址，并确定第一用户属于第一IP组播地址所对应的组播组；其中EPG包括虚拟局域网VLAN，虚拟扩展局域网VXLAN，或同一个网段或子网中的用户中的部分用户，第一EPG为多个EPG中的一个；交换机将第一用户加入组播组；当交换机接收到第一用户发送的第一广播和未知单播组播BUM流量时，交换机将第一BUM流量封装为组播组的第一组播流量，第一组播流量包括第一IP组播地址，以使第一组播流量转发至属于组播组对应的其它用户。由此，如果同一VLAN下存在不同的EPG，不同的EPG下的BUM流量需要隔离，一个EPG为一个租户群，当在交换机中为EPG配置了IP组播地址时，如果第一用户上线，交换机根据第一用户上线时侦听到的信息确定第一用户所属的组播组的第一IP组播地址，并将第一用户加入到该组播组中，如果交换机接收到第一用户发送的BUM流量，交换机便可根据第一IP组播地址将BUM流量封装为组播流量后转发至属于组播组的其余用户，使得同一VLAN下的不同的EPG间的BUM流量隔离。在一种可能的设计中，方法进一步包括：交换机建立VLAN标识以及入接口标识共同与EPG的标识的对应关系；以及交换机建立EPG的标识与IP组播地址的对应关系。其中，对应关系可以是接入控制器(AccessController，AC)向交换机下发配置的，也可以是人工配置在交换机中的。由此，当任一用户从交换机的接口上线时，可以根据对应关系确定用户所属的EPG及其IP组播地址，以便根据IP组播地址发送组播流量。在一种可能的设计中，交换机根据第一报文中携带的信息与终端策略组EPG的标识的对应关系确定第一用户属于第一EPG包括：交换机根据第一报文中携带的第一VLAN标识、交换机接收第一报文的第一入接口，以及VLAN标识以及入接口标识共同与EPG的标识的对应关系确定第一用户属于第一EPG。在一种可能的设计中，交换机将第一用户加入组播组包括：交换机确定是否存在与第一用户共同属于第一IP组播地址所对应的组播组的第二用户；确定是，则将第一用户加入到与第二用户共同所属的组播组，并建立第一入接口标识和第一IP组播地址的对应关系；若确定否，则交换机建立第一入接口标识和第一IP组播地址的对应关系，通过与交换机连接的上游设备向汇聚点RP发送组播加入消息，组播加入消息包括第一IP组播地址，以及建立交换机发送组播加入消息的第一出接口的标识与第一IP组播地址的对应关系，以使上游设备和RP建立接收组播加入消息的入接口标识和第一IP组播地址的对应关系，和发送组播加入消息的出接口标识与第一IP组播地址的对应关系。由此，将用户的IP组播地址与交换机的入接口和出接口建立对应关系后，当用户发送组播流量时，交换机可以根据IP组播地址与交换机的入接口和出接口将组播流量进行转发至组播组的其余用户，即基于接口粒度将用户加入到组播组中。在一种可能的设计中，交换机将第一用户加入组播组包括：交换机确定是否存在与第一用户属于同一组播组的第二用户；若确定是，则将第一用户加入到与第二用户共同所属的组播组，并建立第一入接口标识和第一IP地址共同与第一IP组播地址的对应关系，或建立第一入接口标识、第一IP地址和第一VLAN标识共同与第一IP组播地址的对应关系；若确定否，则交换机建立第一入接口标识和第一IP地址共同与第一IP组播地址的对应关系，或建立第一入接口标识、第一IP地址和第一VLAN标识共同与第一IP组播地址的标识的对应关系，通过与交换机连接的上游设备向汇聚点RP发送组播加入消息，组播加入消息包括第一IP组播地址，以及建立交换机发送组播加入消息的第一出接口标识与第一IP组播地址的对应关系，以使上游设备和RP建立接收组播加入消息的入接口标识和第一IP组播地址的对应关系，和发送组播加入消息的出接口标识与第一IP组播地址的对应关系。由此，可基于用户粒度将用户加入到组播组中。这样，在同一接口下对应有多个用户例如对应多个VM时，如果多个VM属于不同的EPG，可以根据用户的IP地址和接口标识共同与EPG的对应关系确定属于同一EPG的VM，避免不必要的流量泛洪。在一种可能的设计中，方法还包括：当交换机接收到第三用户对应的第二组播流量时，第二组播流量包括第三用户所属的组播组对应的第二IP组播地址，交换机根据第二IP组播地址与出接口的对应关系，向与第二IP组播地址对应的出接口下的用户复制并发送第二组播流量。在一种可能的设计中，方法还包括：当交换机接收到第三用户对应的第二组播流量时，第二组播流量包括第三用户所属的组播组对应的第二IP组播地址，交换机根据至少一个用户对应的第二入接口标识和第二IP地址共同与第二IP组播地址的对应关系，将第二IP组播地址替换为与第二IP组播地址对应的第二IP地址；交换机将与第二入接口标识对应的接口作为出接口，在出接口处复制第二组播流量，并根据替换后的第二IP地址将复制的第二组播流量发送给至少一个用户。举例来说，当交换机同一接口下连接有多个虚拟机(VirtualMachine，VM)时，如果多个虚拟机属于不同的EPG，可以根据接口标识和IP地址共同与IP组播地址的对应关系将IP组播地址替换为VM的IP地址，由组播改为单播本文档来自技高网...

【技术保护点】
一种用户隔离方法，其特征在于，包括：交换机侦听第一用户上线时发送的第一报文中携带的信息；所述交换机根据所述第一报文中携带的信息与终端策略组EPG的标识的对应关系确定所述第一用户属于第一EPG，并根据所述第一EPG的标识以及所述EPG的标识与网际协议IP组播地址的对应关系确定所述第一用户对应第一IP组播地址，并确定所述第一用户属于所述第一IP组播地址所对应的组播组；其中所述EPG包括虚拟局域网VLAN，虚拟扩展局域网VXLAN，或同一个网段或子网中的用户中的部分用户，所述第一EPG为多个所述EPG中的一个；所述交换机将所述第一用户加入所述组播组；当所述交换机接收到所述第一用户发送的第一广播和未知单播组播BUM流量时，所述交换机将所述第一BUM流量封装为所述组播组的第一组播流量，所述第一组播流量包括所述第一IP组播地址，以使所述第一组播流量转发至属于所述组播组对应的其它用户。

【技术特征摘要】
1.一种用户隔离方法，其特征在于，包括：交换机侦听第一用户上线时发送的第一报文中携带的信息；所述交换机根据所述第一报文中携带的信息与终端策略组EPG的标识的对应关系确定所述第一用户属于第一EPG，并根据所述第一EPG的标识以及所述EPG的标识与网际协议IP组播地址的对应关系确定所述第一用户对应第一IP组播地址，并确定所述第一用户属于所述第一IP组播地址所对应的组播组；其中所述EPG包括虚拟局域网VLAN，虚拟扩展局域网VXLAN，或同一个网段或子网中的用户中的部分用户，所述第一EPG为多个所述EPG中的一个；所述交换机将所述第一用户加入所述组播组；当所述交换机接收到所述第一用户发送的第一广播和未知单播组播BUM流量时，所述交换机将所述第一BUM流量封装为所述组播组的第一组播流量，所述第一组播流量包括所述第一IP组播地址，以使所述第一组播流量转发至属于所述组播组对应的其它用户。2.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：所述交换机建立VLAN标识以及入接口标识共同与所述EPG的标识的对应关系；以及所述交换机建立所述EPG的标识与IP组播地址的对应关系。3.根据权利要求1或2所述的方法，其特征在于，所述交换机根据所述第一报文中携带的信息与所述终端策略组EPG的标识的对应关系确定所述第一用户属于第一EPG包括：所述交换机根据所述第一报文中携带的第一VLAN标识、所述交换机接收所述第一报文的第一入接口，以及所述VLAN标识以及入接口标识共同与所述EPG的标识的对应关系确定所述第一用户属于第一EPG。4.根据权利要求3所述的方法，其特征在于，所述交换机将所述第一用户加入所述组播组包括：所述交换机确定是否存在与所述第一用户共同属于第一IP组播地址所对应的组播组的第二用户；若确定是，则将所述第一用户加入到与所述第二用户共同所属的组播组，并建立所述第一入接口标识和所述第一IP组播地址的对应关系；若确定否，则所述交换机建立所述第一入接口标识和所述第一IP组播地址的对应关系，通过与所述交换机连接的上游设备向汇聚点RP发送组播加入消息，所述组播加入消息包括所述第一IP组播地址，以及建立所述交换机发送所述组播加入消息的第一出接口的标识与所述第一IP组播地址的对应关系，以使所述上游设备和所述RP建立接收所述组播加入消息的入接口标识和所述第一IP组播地址的对应关系，和发送所述组播加入消息的出接口标识与所述第一IP组播地址的对应关系。5.根据权利要求3所述的方法，其特征在于，所述交换机将所述第一用户加入所述组播组包括：所述交换机确定是否存在与所述第一用户属于同一组播组的第二用户；若确定是，则将所述第一用户加入到与所述第二用户共同所属的组播组，并建立所述第一入接口标识和所述第一IP地址共同与所述第一IP组播地址的对应关系，或建立所述第一入接口标识、所述第一IP地址和所述第一VLAN标识共同与所述第一IP组播地址的对应关系；若确定否，则所述交换机建立所述第一入接口标识和所述第一IP地址共同与所述第一IP组播地址的对应关系，或建立所述第一入接口标识、所述第一IP地址和所述第一VLAN标识共同与所述第一IP组播地址的标识的对应关系，通过与所述交换机连接的上游设备向汇聚点RP发送组播加入消息，所述组播加入消息包括所述第一IP组播地址，以及建立所述交换机发送所述组播加入消息的第一出接口标识与所述第一IP组播地址的对应关系，以使所述上游设备和所述RP建立接收所述组播加入消息的入接口标识和所述第一IP组播地址的对应关系，和发送所述组播加入消息的出接口标识与所述第一IP组播地址的对应关系。6.根据权利要求4所述的方法，其特征在于，所述方法还包括：当所述交换机接收到第三用户对应的第二组播流量时，所述第二组播流量包括所述第三用户所属的组播组对应的第二IP组播地址，所述交换机根据所述第二IP组播地址与出接口的对应关系，向与所述第二IP组播地址对应的出接口下的用户复制并发送所述第二组播流量。7.根据权利要求5所述的方法，其特征在于，所述方法还包括：当所述交换机接收到第三用户对应的第二组播流量时，所述第二组播流量包括所述第三用户所属的组播组对应的第二IP组播地址，所述交换机根据至少一个用户对应的第二入接口标识和第二IP地址共同与所述第二IP组播地址的对应关系，将所述第二IP组播地址替换为与所述第二IP组播地址对应的第二IP地址；所述交换机将与所述第二入接口标识对应的接口作为出接口，在所述出接口处复制所述第二组播流量，并根据替换后的所述第二IP地址将复制的所述第二组播流量发送给所述至少一个用户。8.根据权利要求4-7任一项所述的方法，其特征在于，在所述第一用户上线后，所述方法还包括：所述交换机为所述第一用户建立成员表，所述成员表包括所述第一用户的MAC地址、所述第一入接口标识、第一VLAN标识和所述第一IP地址的对应关系，所述第一成员表用于检验发送组播流量的用户是否合法。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：当所述交换机侦听到所述第一用户下线时，删除所述成员表，并向所述RP发送第二报文，所述第二报文包括所述第一IP组播地址，以便所述RP删除所述接收所述组播加入消息的入接口标识和所述第一IP组播地址的对应关系，和出接口标识与...

【专利技术属性】
技术研发人员：顾勤丰，程璞，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44