An embodiment of the invention provides a user isolation method and a switch, which involves the communication field, and can solve the problem that the BUM traffic can not be isolated between the tenants. The method is as follows: first to carry the message sent by a switch in the listener on the line when the first user information, the switch determines the first user belonging to the first EPG according to the corresponding relation between the information and the EPG carrying the first message identifier, and determines whether the first user corresponding to the first IP multicast address according to the identification of the first EPG and the relationship between the EPG logo and IP multicast the address, and determines whether the first user belongs to the multicast group corresponding to the first IP multicast address and then switch to the first user to join the multicast group, when the switch receives the first flow of the first BUM user sends, the switch will first BUM traffic package for the first multicast multicast group, multicast traffic first includes a first IP multicast address. In order to make the first multicast traffic is forwarded to the multicast group with the other. An embodiment of the invention is used for user isolation in VXLAN.
【技术实现步骤摘要】
一种用户隔离方法和交换机
本专利技术涉及通信领域,尤其涉及一种用户隔离方法和交换机。
技术介绍
虚拟局域网(VirtualLocalAreaNetwork,VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就类似于在同一个网段中一样,由此得名虚拟局域网。VLAN工作在开放系统互联(OpenSystemInterconnection,OSI)参考模型的第2层和第3层。在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应一个特定的租户,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器或交换机转发通信,这样的一个广播域就为一个VLAN,一个VLAN下的用户可以为一个租户,即一个租户中可以包括多个用户。租户可以理解为终端策略组(End-PointPolicyGroup,EPG),即一个租户中的所有用户为一个EPG。不同VLAN或不同的租户之间的通信是通过第3层的路由器或交换机来完成的。这样,采用不同的VLAN对用户进行隔离后,不同的EPG可以分配不同的VLAN,当一个VLAN中的一个设备发出广播或未知单播或组播(Broadcast、Unicastunknown、Multicast,BUM)流量时,会在该VLAN中泛洪,该VLAN中的整网设备都会接收到该BUM流量。但是,VLAN的资源有限,导致支持的租户(隔离组)数量有限,如果不同的租户共享同一个VLAN,将会导致BUM流量无法在租户间隔离。
技术实现思路
本专利技术实施例提供 ...
【技术保护点】
一种用户隔离方法,其特征在于,包括:交换机侦听第一用户上线时发送的第一报文中携带的信息;所述交换机根据所述第一报文中携带的信息与终端策略组EPG的标识的对应关系确定所述第一用户属于第一EPG,并根据所述第一EPG的标识以及所述EPG的标识与网际协议IP组播地址的对应关系确定所述第一用户对应第一IP组播地址,并确定所述第一用户属于所述第一IP组播地址所对应的组播组;其中所述EPG包括虚拟局域网VLAN,虚拟扩展局域网VXLAN,或同一个网段或子网中的用户中的部分用户,所述第一EPG为多个所述EPG中的一个;所述交换机将所述第一用户加入所述组播组;当所述交换机接收到所述第一用户发送的第一广播和未知单播组播BUM流量时,所述交换机将所述第一BUM流量封装为所述组播组的第一组播流量,所述第一组播流量包括所述第一IP组播地址,以使所述第一组播流量转发至属于所述组播组对应的其它用户。
【技术特征摘要】
1.一种用户隔离方法,其特征在于,包括:交换机侦听第一用户上线时发送的第一报文中携带的信息;所述交换机根据所述第一报文中携带的信息与终端策略组EPG的标识的对应关系确定所述第一用户属于第一EPG,并根据所述第一EPG的标识以及所述EPG的标识与网际协议IP组播地址的对应关系确定所述第一用户对应第一IP组播地址,并确定所述第一用户属于所述第一IP组播地址所对应的组播组;其中所述EPG包括虚拟局域网VLAN,虚拟扩展局域网VXLAN,或同一个网段或子网中的用户中的部分用户,所述第一EPG为多个所述EPG中的一个;所述交换机将所述第一用户加入所述组播组;当所述交换机接收到所述第一用户发送的第一广播和未知单播组播BUM流量时,所述交换机将所述第一BUM流量封装为所述组播组的第一组播流量,所述第一组播流量包括所述第一IP组播地址,以使所述第一组播流量转发至属于所述组播组对应的其它用户。2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:所述交换机建立VLAN标识以及入接口标识共同与所述EPG的标识的对应关系;以及所述交换机建立所述EPG的标识与IP组播地址的对应关系。3.根据权利要求1或2所述的方法,其特征在于,所述交换机根据所述第一报文中携带的信息与所述终端策略组EPG的标识的对应关系确定所述第一用户属于第一EPG包括:所述交换机根据所述第一报文中携带的第一VLAN标识、所述交换机接收所述第一报文的第一入接口,以及所述VLAN标识以及入接口标识共同与所述EPG的标识的对应关系确定所述第一用户属于第一EPG。4.根据权利要求3所述的方法,其特征在于,所述交换机将所述第一用户加入所述组播组包括:所述交换机确定是否存在与所述第一用户共同属于第一IP组播地址所对应的组播组的第二用户;若确定是,则将所述第一用户加入到与所述第二用户共同所属的组播组,并建立所述第一入接口标识和所述第一IP组播地址的对应关系;若确定否,则所述交换机建立所述第一入接口标识和所述第一IP组播地址的对应关系,通过与所述交换机连接的上游设备向汇聚点RP发送组播加入消息,所述组播加入消息包括所述第一IP组播地址,以及建立所述交换机发送所述组播加入消息的第一出接口的标识与所述第一IP组播地址的对应关系,以使所述上游设备和所述RP建立接收所述组播加入消息的入接口标识和所述第一IP组播地址的对应关系,和发送所述组播加入消息的出接口标识与所述第一IP组播地址的对应关系。5.根据权利要求3所述的方法,其特征在于,所述交换机将所述第一用户加入所述组播组包括:所述交换机确定是否存在与所述第一用户属于同一组播组的第二用户;若确定是,则将所述第一用户加入到与所述第二用户共同所属的组播组,并建立所述第一入接口标识和所述第一IP地址共同与所述第一IP组播地址的对应关系,或建立所述第一入接口标识、所述第一IP地址和所述第一VLAN标识共同与所述第一IP组播地址的对应关系;若确定否,则所述交换机建立所述第一入接口标识和所述第一IP地址共同与所述第一IP组播地址的对应关系,或建立所述第一入接口标识、所述第一IP地址和所述第一VLAN标识共同与所述第一IP组播地址的标识的对应关系,通过与所述交换机连接的上游设备向汇聚点RP发送组播加入消息,所述组播加入消息包括所述第一IP组播地址,以及建立所述交换机发送所述组播加入消息的第一出接口标识与所述第一IP组播地址的对应关系,以使所述上游设备和所述RP建立接收所述组播加入消息的入接口标识和所述第一IP组播地址的对应关系,和发送所述组播加入消息的出接口标识与所述第一IP组播地址的对应关系。6.根据权利要求4所述的方法,其特征在于,所述方法还包括:当所述交换机接收到第三用户对应的第二组播流量时,所述第二组播流量包括所述第三用户所属的组播组对应的第二IP组播地址,所述交换机根据所述第二IP组播地址与出接口的对应关系,向与所述第二IP组播地址对应的出接口下的用户复制并发送所述第二组播流量。7.根据权利要求5所述的方法,其特征在于,所述方法还包括:当所述交换机接收到第三用户对应的第二组播流量时,所述第二组播流量包括所述第三用户所属的组播组对应的第二IP组播地址,所述交换机根据至少一个用户对应的第二入接口标识和第二IP地址共同与所述第二IP组播地址的对应关系,将所述第二IP组播地址替换为与所述第二IP组播地址对应的第二IP地址;所述交换机将与所述第二入接口标识对应的接口作为出接口,在所述出接口处复制所述第二组播流量,并根据替换后的所述第二IP地址将复制的所述第二组播流量发送给所述至少一个用户。8.根据权利要求4-7任一项所述的方法,其特征在于,在所述第一用户上线后,所述方法还包括:所述交换机为所述第一用户建立成员表,所述成员表包括所述第一用户的MAC地址、所述第一入接口标识、第一VLAN标识和所述第一IP地址的对应关系,所述第一成员表用于检验发送组播流量的用户是否合法。9.根据权利要求8所述的方法,其特征在于,所述方法还包括:当所述交换机侦听到所述第一用户下线时,删除所述成员表,并向所述RP发送第二报文,所述第二报文包括所述第一IP组播地址,以便所述RP删除所述接收所述组播加入消息的入接口标识和所述第一IP组播地址的对应关系,和出接口标识与...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。