一种流量控制方法及装置制造方法及图纸

本申请提供一种流量控制方法及装置，所述方法应用于网络准入设备，所述方法包括：接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；如果存在，则根据第一EPG标识以及第二EPG标识，从微分段流量控制表中，获取与第一EPG标识以及第二EPG标识匹配的基于组的流量控制策略GBP；根据GBP，对业务报文进行流量控制处理。

【技术实现步骤摘要】
一种流量控制方法及装置
本申请涉及通信
，尤其涉及一种流量控制方法及装置。
技术介绍
当前，若要实现比子网粒度更细的业务隔离，比如同一子网内不同用户之间的隔离，可通过配置具体的ACL规则来实现，但在园区网络中，由于用户数量庞大，则要部署海量的ACL规则，这对设备资源和运维能力都提出巨大挑战。为了解决上述困境，通常在园区网络中引入微分段技术。微分段技术是指：入口(Ingress)网络设备将接收到的业务报文按源地址(MAC地址、IP地址等)进行分组，得到“源组”，然后，Ingress网络设备将源组ID携带在业务报文中转发至出口(Egress)网络设备。Egress网络设备按目的地址(MAC地址、IP地址等)再次进行分组，得到“目的组”，然后，Egress网络设备利用{源组，目的组}对业务报文决定转发处理还是丢弃处理，从而实现业务互通隔离。当然，若各网络设备处于VXLAN网络中，微分段技术也可应用在VXLAN网络中，具体过程如图1所示：Leaf(叶节点)1接收到Host(主机)1向Host3发送的业务报文后，从业务报文中获取源IP地址(192.168.10.1)和目的IP地址(192.168.30.3)。Leaf1根据源IP地址(192.168.10.1)，得到Host1所属的端点组(英文：EndPointGroup，简称：EPG)标识(identity)(EPG1)。Leaf1根据目的IP地址(192.168.30.3)查找路由表信息，确定Host3接入Leaf2，业务报文需进行VXLAN封装后，经由VXLAN隧道进行跨设备转发。在进行VXLAN封装时，Leaf1将VXLAN报文头部中的G标志位置1，并将Host1所属的EPGID(EPG1)封装在VXLAN报文头的组策略标识(GroupPolicyID)字段中，然后，Leaf1将经VXLAN封装后的业务报文发送至Leaf2。Leaf2接收到Leaf1发送的VXLAN报文后，对VXLAN报文进行解封装，确定G标志位置1，则Leaf2从GroupPolicyID字段中获取Host1的EGPID(EPG1)。Leaf2根据VXLAN报文的内层目的IP地址(192.168.30.3)，得到Host3所属的EPGID(EPG3)。Leaf2根据Host1所属的EPGID(EPG1)和Host3所属的EGPID(EPG3)，获取源组与目的组之间的基于组的流量控制策略(GroupBasedPolicy，简称：GBP)，并按照GBP策略对业务报文进行流量控制。在前述过程中，1)业务报文在VXLAN网络中进行跨设备转发时，由Leaf2对业务报文进行流量控制，但在丢弃业务报文的情况下，已经造成了带宽的浪费；2)对于通过认证服务器认证，并通过DHCP服务器自动分配IP地址的网络设备，易出现不同用户群组(学生、老师、各种服务器等)的IP地址均归属同一子网，此时，由于根据IP地址进行分组时，同一子网的IP均被划分为同一组，无法通过利用源IP地址和目的IP地址进而获取源组与目的组之间的GBP对业务报文进行流量控制。
技术实现思路
有鉴于此，本申请提供了一种流量控制方法及装置，用以解决现有技术中，造成的带宽浪费、无法利用GBP对业务报文进行流量控制的问题。第一方面，本申请提供了一种流量控制方法，该方法应用于网络准入设备，该方法包括：接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；如果存在，则根据第一EPG标识以及第二EPG标识，从微分段流量控制表中，获取与第一EPG标识以及第二EPG标识匹配的基于组的流量控制策略GBP；根据GBP，对业务报文进行流量控制处理。结合第一方面，在第一种可能的实现方式中，在接收第一主机发送的业务报文之前，该方法还包括：接收用户输入的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表；或者；接收控制器下发的配置指令，该配置指令包括与多个主机匹配的EPG标识以及多个主机之间的GBP；根据与多个主机匹配的EPG标识以及多个主机之间的GBP，建立微分段流量控制表。结合第一方面，在第二种可能的实现方式中，在建立所述微分段流量控制表之后，该方法还包括：接收授权服务器发送的接受访问报文，该接受访问报文包括接入网络准入设备的主机的MAC地址以及授权服务器为主机分配的EPG标识；根据MAC地址以及EPG标识，建立MAC微分段组表；当获取到主机的ARP表项或IPv6ND表项时，从MAC微分段组表中，查找是否存在与ARP表项或IPv6ND表项包括的MAC地址相同的MAC地址；如果存在，则获取MAC地址对应的MAC微分段组表项；根据获取到的MAC微分段组表项包括的MAC地址、EPG标识以及ARP表项或IPv6ND表项包括的主机的IP地址，建立IP微分段组表。结合第一方面，在第三种可能的实现方式中，该方法还包括：向第一网络设备发送第一主机路由通告报文，该第一主机路由通告报文包括接入网络准入设备的主机的路由信息以及主机的EPG标识，以使得第一网络设备根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项，并将IP微分段组表项存储至本地IP微分段组表中。结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，该方法还包括：接收第一网络设备发送的第二主机路由通告报文，该第二主机路由通告报文包括接入第一网络设备的主机的路由信息以及所主机的EPG标识；根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项；将IP微分段组表项存储至IP微分段组表中。结合第一方面的第三种、第四种可能的实现方式，在第五种可能的实现方式中，根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项，具体包括：当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从多个主机路由通告报文包括的主机的路由信息中，确定优选路由；根据确定出的优选路由对应的主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项。第二方面，本申请提供了一种流量控制装置，该装置包括：接收单元，用于接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；查找单元，用于根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；所述查找单元还用于，如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；...

【技术保护点】
1.一种流量控制方法，其特征在于，所述方法应用于网络准入设备，所述方法包括：/n接收第一主机发送的业务报文，所述业务报文包括源IP地址以及目的IP地址；/n根据所述源IP地址，从IP微分段组表中，查找是否存在与所述第一主机匹配的第一EPG标识；/n如果存在，则根据所述目的IP地址，从所述IP微分段组表中，查找是否存在与所述目的IP地址对应的第二主机匹配的第二EPG标识；/n如果存在，则根据所述第一EPG标识以及所述第二EPG标识，从微分段流量控制表中，获取与所述第一EPG标识以及所述第二EPG标识匹配的基于组的流量控制策略GBP；/n根据所述GBP，对所述业务报文进行流量控制处理。/n

【技术特征摘要】
1.一种流量控制方法，其特征在于，所述方法应用于网络准入设备，所述方法包括：
接收第一主机发送的业务报文，所述业务报文包括源IP地址以及目的IP地址；
根据所述源IP地址，从IP微分段组表中，查找是否存在与所述第一主机匹配的第一EPG标识；
如果存在，则根据所述目的IP地址，从所述IP微分段组表中，查找是否存在与所述目的IP地址对应的第二主机匹配的第二EPG标识；
如果存在，则根据所述第一EPG标识以及所述第二EPG标识，从微分段流量控制表中，获取与所述第一EPG标识以及所述第二EPG标识匹配的基于组的流量控制策略GBP；
根据所述GBP，对所述业务报文进行流量控制处理。


2.根据权利要求1所述的方法，其特征在于，所述接收第一主机发送的业务报文之前，所述方法还包括：
接收用户输入的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；
根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表；
或者；
接收控制器下发的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；
根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表。


3.根据权利要求2所述的方法，其特征在于，所述建立所述微分段流量控制表之后，所述方法还包括：
接收授权服务器发送的接受访问报文，所述接受访问报文包括接入所述网络准入设备的主机的MAC地址以及所述授权服务器为所述主机分配的EPG标识；
根据所述MAC地址以及所述EPG标识，建立MAC微分段组表；
当学习到所述主机的ARP表项或IPv6ND表项时，从所述MAC微分段组表中，查找是否存在与所述ARP表项或IPv6ND表项包括的MAC地址相同的MAC地址；
如果存在，则获取所述MAC地址对应的MAC微分段组表项；
根据获取到的所述MAC微分段组表项包括的MAC地址、EPG标识以及所述ARP表项或IPv6ND表项包括的所述主机的IP地址，建立所述IP微分段组表。


4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
向第一网络设备发送第一主机路由通告报文，所述第一主机路由通告报文包括接入所述网络准入设备的主机的路由信息以及所述主机的EPG标识，以使得所述第一网络设备根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项，并将所述IP微分段组表项存储至本地IP微分段组表中。


5.根据权利要求4所述的方法，其特征在于，所述方法还包括：
接收所述第一网络设备发送的第二主机路由通告报文，所述第二主机路由通告报文包括接入所述第一网络设备的主机的路由信息以及所述主机的EPG标识；
根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项；
将所述IP微分段组表项存储至所述IP微分段组表中。


6.根据权利要求4或5任一项所述的方法，其特征在于，所述根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项，具体包括：
当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从所述多个主机路由通告报文包括的主机的路由信息中，确定优选路由；
根据确定出的优选路由对应的主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项。


7.一种流量控制装置，其特征在于，所述装置包括：
接收单元，...

【专利技术属性】
技术研发人员：叶金荣，钟海娜，余华，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江;33