报文转发方法和装置制造方法及图纸

本申请提供了报文转发方法和装置。本申请中，第一VTEP设备不管是收到来自本地VM发送的数据报文，还是来自其他VTEP设备本地的VM的数据报文都会将收到的数据报文转发至二层防火墙设备以进行二层防火墙处理，实现了在不额外增加设备的前提下在EVPN中实现二层防火墙的应用。

【技术实现步骤摘要】
报文转发方法和装置
本申请涉及网络通信技术，特别涉及报文转发方法和装置。
技术介绍
以太网虚拟专用网络(EVPN：EthernetVirtualPrivateNetwork)，是一种二层虚拟专用网络(VPN：VirtualPrivateNetwork)技术。目前，当EVPN接入二层防火墙设备时，因为二层防火墙设备没有IP地址，即使EVPN接入二层防火墙设备，也无法按照EVPN协议在EVPN中实现二层防火墙的应用。为了在EVPN中实现二层防火墙的应用，目前常用的方法是：在二层防火墙设备与二层防火墙设备接入的VTEP设备之间增加一台设备(称为中转设备)，由中转设备通告本设备的IP地址，并在EVPN中的所有VTEP上配置策略路由(PBR：PolicyBasedRouting)以指示将收到的未经二层防火墙设备处理的任一报文发送至中转设备，以由中转设备转发至二层防火墙设备进行处理。最终在EVPN中实现二层防火墙的应用。但是，为在EVPN中实现二层防火墙的应用，就要额外在二层防火墙设备与二层防火墙设备接入的VTEP设备之间增加一台中转设备，浪费资源。
技术实现思路
本申请提供了报文转发方法和装置，以在不额外增加中转设备的前提下在EVPN中实现二层防火墙的应用。本申请提供的技术方案包括：在第一方面，本申请提供了一种报文转发方法，该方法应用于EVPN中的第一VTEP设备，第一VTEP设备与二层防火墙设备相连，该方法包括：将指定IP地址携带在路由通告报文中发送至第二VTEP设备，所述路由通告报文还携带指定标记，以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；接收第一数据报文，所述第一数据报文为接入所述第一VTEP设备的VM发送的数据报文，或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文；将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。在一个例子中，所述指定IP地址为指定网关的IP地址，所述指定网关为第一接口所属虚拟交换实例VSI对应的网关，所述第一接口为所述第一VTEP设备上连接二层防火墙设备的接口。在一个例子中，该方法进一步包括：接收第二数据报文，所述第二数据报文为所述二层防火墙设备对所述第一数据报文进行处理后发送的数据报文；当在本地查找到与所述第二数据报文的目的IP地址匹配的转发表项时，依据查找到的转发表项转发第二数据报文。在一个例子中，所述路由通告报文为EVPNType5路由报文，所述路由通告报文携带扩展的团体属性，所述团体属性中指定字段取值为设定值，用于表示所述指定标记。在第二方面，本申请提供了一种报文转发方法，该方法应用于EVPN中的第二VTEP设备，第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备，第一VTEP设备与二层防火墙设备相连，该方法包括：接收第一VTEP设备发送的路由通告报文，所述路由通告报文用于通告指定IP地址，且携带指定标记；依据所述指定标记生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；在接收到接入的VM发送的数据报文时，依据所述PBR转发所述数据报文。在一个例子中，所述路由通告报文为EVPNType5路由报文，所述路由通告报文携带扩展的团体属性，所述团体属性中指定字段取值为设定值，用于表示所述指定标记。在第三方面，本申请提供了一种报文转发装置，该装置应用于EVPN中的第一VTEP设备，第一VTEP设备通过第一接口与二层防火墙设备相连，该装置包括：通告单元，用于将指定IP地址携带在路由通告报文中发送至第二VTEP设备，所述路由通告报文还携带指定标记，以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；接收单元，用于通过第二接口接收第一数据报文，所述第一数据报文为第一VTEP设备本地的VM发送的数据报文，或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文；发送单元，用于通过所述第一接口将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。在一个例子中，所述指定IP地址为指定网关的IP地址，所述指定网关为与所述第一接口所属虚拟交换实例VSI对应的网关。在第四方面，本申请提供了一种报文转发装置，该装置应用于EVPN中的第二VTEP设备，第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备，第一VTEP设备与二层防火墙设备相连，该装置包括：通告报文单元，用于接收第一VTEP设备发送的路由通告报文，所述路由通告报文用于通告指定IP地址，且携带指定标记；表项单元，用于依据所述指定标记生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；转发单元，用于在接收到来自本地VM的数据报文时，依据所述PBR将所述数据报文转发至所述第一VTEP设备。在一个例子中，所述路由通告报文为EVPNType5路由报文，所述路由通告报文携带扩展的团体属性，所述团体属性中指定字段取值为设定值，用于表示所述指定标记。由以上技术方案可以看出，本申请中，通过由第一VTEP设备将指定IP地址携带在路由通告报文中发送至第二VTEP设备，所述路由通告报文携带指定标记，以指示收到路由通告报文的第二VTEP设备生成至所述指定IP地址的策略路由PBR(所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文)，则实现了第二VTEP设备在收到来自本设备接入的VM的数据报文时会基于PBR将数据报文发送给第一VTEP设备，最终第一VTEP设备不管是收到来自本设备接入的VM发送的数据报文，还是来自第二VTEP设备接入的VM的数据报文，都会将收到的数据报文转发至二层防火墙设备以进行处理，最终实现了在不额外增加设备的前提下在EVPN中实现二层防火墙的应用。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。图1为本申请提供的方法流程图；图2为本申请提供的扩展团体属性示意图；图3为本申请提供的另一方法流程图；图4为本申请提供的实施例应用组网图；图5为本申请提供的装置结构图；图6为本申请提供的另一装置结构图；图7为本申请提供的装置的硬件结构示意图。具体实本文档来自技高网...

【技术保护点】
1.一种报文转发方法，其特征在于，该方法应用于以太网虚拟专用网络EVPN中的第一VTEP设备，第一VTEP设备与二层防火墙设备相连，该方法包括：将指定IP地址携带在路由通告报文中发送至第二VTEP设备，所述路由通告报文还携带指定标记，以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；接收第一数据报文，所述第一数据报文为接入所述第一VTEP设备的VM发送的数据报文，或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文；将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。

【技术特征摘要】
1.一种报文转发方法，其特征在于，该方法应用于以太网虚拟专用网络EVPN中的第一VTEP设备，第一VTEP设备与二层防火墙设备相连，该方法包括：将指定IP地址携带在路由通告报文中发送至第二VTEP设备，所述路由通告报文还携带指定标记，以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；接收第一数据报文，所述第一数据报文为接入所述第一VTEP设备的VM发送的数据报文，或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文；将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。2.根据权利要求1所述的方法，其特征在于，所述指定IP地址为指定网关的IP地址，所述指定网关为第一接口所属虚拟交换实例VSI对应的网关，所述第一接口为所述第一VTEP设备上连接二层防火墙设备的接口。3.根据权利要求1所述的方法，其特征在于，该方法进一步包括：接收第二数据报文，所述第二数据报文为所述二层防火墙设备对所述第一数据报文进行处理后发送的数据报文；当在本地查找到与所述第二数据报文的目的IP地址匹配的转发表项时，依据查找到的转发表项转发第二数据报文。4.根据权利要求1所述的方法，其特征在于，所述路由通告报文为EVPNType5路由报文，所述路由通告报文携带扩展的团体属性，所述团体属性中指定字段取值为设定值，用于表示所述指定标记。5.一种报文转发方法，其特征在于，该方法应用于EVPN中的第二VTEP设备，第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备，第一VTEP设备与二层防火墙设备相连，该方法包括：接收第一VTEP设备发送的路由通告报文，所述路由通告报文用于通告指定IP地址，且携带指定标记；依据所述指定标记生成至所述指定IP地址的策略路由PBR，所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址，所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文；在接收到接入的VM发送的数据报文时，依据所述PBR转发所述数据报文。...

【专利技术属性】
技术研发人员：唐成，黄李伟，
申请(专利权)人：北京华三通信技术有限公司，
类型：发明
国别省市：北京,11