本申请提供了一种流量转发方法,该方法应用于一种流量转发系统,该流量转发系统包括至少两个虚拟路由转发VRF系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络;该方法包括:当目标虚拟系统接收到待转发的目标流量后,在目标虚拟系统中查找目标流量的路由,根据查找到的路由转发目标流量。可见,由于各个VRF系统是相互隔离的,从而各个安全域的流量从逻辑上就隔离开了,即,实现了路由层面的隔离,这样,可以有效简化路由及策略路由的配置复杂度,便于被云平台及控制器纳管。
【技术实现步骤摘要】
流量转发方法、装置、设备及计算机可读存储介质
本申请涉及通信
,特别涉及一种流量转发方法、装置、设备及计算机可读存储介质。
技术介绍
随着网络虚拟化的发展,云中租户的南北向防护是虚拟私有云(VirtualPrivateCloud,简称VPC)网络中的重要安全保证。云中租户都处于overlay层面,各当租户访问公网时,一般情况下,需要多个租户共用一个或者多个外部网络。如图1所示的多域策略路由的转发示意图,存在多个虚拟路由转发(VirtualRoutingForwarding,简称VRF)网络,如VRF1、VRF2、VRF3…,分别代表一个租户的虚拟防火墙,即VRF1、VRF2、VRF3可以实现虚拟防火墙的功能,这些虚拟防火墙分别从A、B、C三个出口上网,由于A、B、C可能是三个不同的域的网络,域之间存在逻辑隔离的需求,因此,存在A域的租户只能访问A域、B域的租户只能访问B域、C域的租户只能访问C域的需求。在图1中,所有租户的流量都在VRF0中汇集,租户之间的流量很难通过路由隔离开,配置路由及策略路由等其它方式都比较复杂,影响了控制器及云平台的自动纳管。
技术实现思路
有鉴于此,本申请提供了一种流量转发方法、装置、设备及计算机可读存储介质,可以有效简化路由及策略路由的配置复杂度。具体地,本申请是通过如下技术方案实现的:一种流量转发方法,所述方法应用于一种流量转发系统,所述流量转发系统包括至少两个虚拟路由转发VRF系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络;所述方法的执行主体是目标虚拟系统,所述目标虚拟系统是所述至少两个VRF系统中的任一虚拟系统,所述方法包括:当所述目标虚拟系统接收到待转发的目标流量后,在所述目标虚拟系统中查找所述目标流量的路由;根据查找到的路由转发所述目标流量。一种流量转发装置,所述装置属于目标虚拟系统,所述目标虚拟系统是流量转发系统中的至少两个虚拟路由转发VRF系统中的任一虚拟系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络,所述装置包括:路由查找单元,用于当所述目标虚拟系统接收到待转发的目标流量后,在所述目标虚拟系统中查找所述目标流量的路由;流量转发单元,用于根据查找到的路由转发所述目标流量。一种电子设备,包括:处理器、存储器;所述存储器,用于存储计算机程序;所述处理器,用于通过调用所述计算机程序,执行上述流量转发方法。一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述流量转发方法。在以上本申请提供的技术方案中,该流量转发系统包括至少两个虚拟路由转发VRF系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络,基于此,当目标虚拟系统接收到待转发的目标流量后,可以在目标虚拟系统中查找目标流量的路由,并根据查找到的路由转发目标流量。可见,由于各个VRF系统是相互隔离的,从而各个安全域的流量从逻辑上就隔离开了,即,实现了路由层面的隔离,这样,可以有效简化路由及策略路由的配置复杂度,便于被云平台及控制器纳管。附图说明图1为本申请示出的一种多域策略路由的转发示意图;图2为本申请示出的一种多域划分VRF的流量转发示意图;图3为本申请示出的一种流量转发方法的流程示意图;图4为本申请示出的一种流量转发装置的组成示意图;图5为本申请示出的一种电子设备的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请实施例提供了一种流量转发方法,具体是一种基于多域划分VRF的流量转发方法,该方法应用于一种流量转发系统,该流量转发系统包括至少两个VRF系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络。具有来讲,在本申请实施例提供的流量转发系统中,可以包括两个或两个以上的VRF系统,并且,每一个VRF系统各自对应一个安全域,不同的安全域是支持不同业务类型的网络,各个安全域之间相互隔离,即,通过多个VRF系统将多个安全域进行逻辑隔离。也就是说,在VPC网络中,不同安全域的后面可以挂不同租户(即云中租户)的VRF系统,这样,可以在租户的VRF系统与多个安全域之间进行流量转发。例如,参见图2所示的多域划分VRF的流量转发示意图,在图2中,示出了是三个VRF系统,分别是VRF0、VRF1、VRF2这三个VRF系统,其中,VRF0对应的安全域是A域、VRF1对应的安全域是B域、VRF2对应的安全域是C域。每个安全域后面可以挂不同租户的虚拟系统,也就是VRF0、VRF1、VRF2,A域对应的VRF0、B域对应的VRF1和C域对应的VRF2,都是相互独立的,流量可以在租户的虚拟系统与多个安全域之间转发。需要说明的是,上述图2仅是示例性的示出了三个VRF系统以及各自对应的三个安全域,实际上,本申请实施例可以包括M个VRF系统以及各自对应的M个安全域,M≥2。下面将结合图2对本申请实施例提供的流量转发方法进行具体介绍。参见图3,为本申请实施例提供的一种流量转发方法的流程示意图,该方法的执行主体是目标虚拟系统,其中,该目标虚拟系统是上述流量转发系统所包括的至少两个VRF系统中的任一虚拟系统,比如,该目标虚拟系统可以是图2中的VRF0、或VRF1、或VRF2。该方法可以包括以下步骤:S301:当目标虚拟系统接收到待转发的目标流量后,在目标虚拟系统中查找目标流量的路由。在本申请实施例中,将进入目标虚拟系统的流量定义为目标流量。例如,在图2中,当目标虚拟系统是VRF0,进入VRF0的流量即为目标流量;当目标虚拟系统是VRF1,进入VRF1的流量即为目标流量。其中,目标流量可以是租户侧流量、也可以是公网侧流量。也就是说,来自云中租户的流量即为用户侧流量,来自公网(比如图2中的A域、或B域、或C域)的流本文档来自技高网...
【技术保护点】
1.一种流量转发方法,其特征在于,所述方法应用于一种流量转发系统,所述流量转发系统包括至少两个虚拟路由转发VRF系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络;所述方法的执行主体是目标虚拟系统,所述目标虚拟系统是所述至少两个VRF系统中的任一虚拟系统,所述方法包括:/n当所述目标虚拟系统接收到待转发的目标流量后,在所述目标虚拟系统中查找所述目标流量的路由;/n根据查找到的路由转发所述目标流量。/n
【技术特征摘要】
1.一种流量转发方法,其特征在于,所述方法应用于一种流量转发系统,所述流量转发系统包括至少两个虚拟路由转发VRF系统,不同VRF系统对应不同的安全域,不同的安全域是支持不同业务类型的网络;所述方法的执行主体是目标虚拟系统,所述目标虚拟系统是所述至少两个VRF系统中的任一虚拟系统,所述方法包括:
当所述目标虚拟系统接收到待转发的目标流量后,在所述目标虚拟系统中查找所述目标流量的路由;
根据查找到的路由转发所述目标流量。
2.根据权利要求1所述的方法,其特征在于,所述目标流量为租户侧流量或公网侧流量。
3.根据权利要求2所述的方法,其特征在于,所述根据查找到的路由转发所述目标流量,包括:
若所述目标流量是租户侧流量,则根据查找到的路由,将所述目标流量进行转发后送入所述目标虚拟系统对应的安全域中;
其中,所述租户侧流量是来自所述目标虚拟系统对应的安全域租户的流量。
4.根据权利要求3所述的方法,其特征在于,所述目标虚拟系统对应至少一个虚拟防火墙,所述租户侧流量是通过租户申请的目标防火墙进入所述目标虚拟系统的流量。
5.根据权利要求4所述的方法,其特征在于,所述根据查找到的路由转...
【专利技术属性】
技术研发人员:孔伟政,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。