一种虚拟网络实现方法及系统技术方案

本发明专利技术提供了一种虚拟网络(VN)实现方法及系统，该方法包括：在数据中心网络或/和宽带网络中设置虚拟网络接入边界节点(VN-AP)，通过业务开展和管理功能实体接收用户的VN业务请求，生成所述VN的特性信息；PC/VM进行VN-AP的自动发现，当所述PC/VM在通过VN的身份认证后，自动发现的VN-AP生成所述PC/VM的VN转发表表项并根据所述VN转发表表项，通过隧道封装，转发来自所述PC/VM的报文。本发明专利技术通过自动发现用于处理所述VN的VN-AP，实现了VN的自动、快速建立。

【技术实现步骤摘要】
一种虚拟网络实现方法及系统
本专利技术涉及宽带通信领域，尤其涉及一种虚拟网络实现方法及系统。
技术介绍
近年来，云计算成为信息产业的一个热点。在云计算的大背景下，软件作为(即)业务/服务(SaaS)、基础架构作为(即)业务/服务(IaaS)、平台作为(即)业务/服务(PaaS)成为热点业务，并且有一切皆可作为业务(XaaS)的趋势。在XaaS的思路的影响下，比照电力系统发展的思路(用户只使用电力，而不需要自己建设发电厂来进行电力供应)，可以针对中小型企业甚至大型企业网络提供网络即服务业务，即各种企业用户的网络，也由服务提供商来提供，而不仅仅是网络运营商提供网络连接，由企业用户自己来组织自己的内部网络和IT系统以及各有关的业务系统等。这样，一方面，可以为运营商提供新的业务增长点，而对企业用户而言，特别是中小型用户而言，可以节省成本、获得标准的网络安全性等等优势。另外，随着IaaS的开展，在数据中心网络中需要给大量的用户提供网络服务，也就是需要在数据中心网络给多个用户提供隔离的网络。目前的技术条件下，这些网络可以通过虚拟局域网(VirtualLocalAreaNetwork，VLAN)、或者三层/二层虚拟专用网络(Layer3/Layer2VirtualPrivateNetwork，L3/L2VPN)来进行隔离。然而，目前的数据中心网络一般拥有大的L2接入网络和相关的L3网络，因此L3/L2VPN一般并不太适用，主要因为：需要重新部署新的网络功能实体(PE)等；而对VLAN而言，由于受到4096个VLAN数量的限制，通常VLAN也不能满足大型数据中心业务提供的需求。因此，现有技术通过发展重叠网络来实现数据中心的虚拟网络，基本的思路是在现有网络的基础之上，通过针对不同的隧道来实现虚拟网络的连接和隔离，同时解决了扩展性问题。具体如图1所示。在数据中心网络中，通过引入隧道端点，来实现重叠隧道的封装，从而实现多用户的(即多租户)虚拟网络实现。其中，典型的技术有扩展VLAN(VXLAN)和使用GRE的网络虚拟化(NVGRE)等。考虑到提供网络即业务的实现，我们需要关注L2和L3网络连接的情况，这里基于VXLAN的
技术介绍
，来进行描述。即在L3网络中引入隧道技术，将L2网络通过L3网络来进行封装、传输和连接，其中隧道端点称为VTEP(EndPointofVirtualTunnel)，具体的VTEP可以是Hypervisor、接入交换机或路由器等等，其中，Hypervisor具体可以为支持实现虚拟机的运行于物理计算机的软件系统等。具体的虚拟网络实现流程，如图2所示：虚拟机(VirtualMachine，VM)通过Hypervisor中的vSwitch，接入到接入交换机，即VM通过vNIC，以及vSwitch，接入到接入交换机。为实现同一个物理机器上的不同VM之间的流量的隔离，如果这些VM不属于同一个用户网络，则不同的VM之间的流量，需要通过VLAN等技术实现隔离。步骤201、VM连接到VTEP，并被分配给不同的虚拟网络(VN)；其中，本步骤中，不同的VN通过网络名进行标识，所述网络名是便于被使用和识别的一种表示；进一步地，网络名可以对应到网络传输用的网络标识符，这个标识符一般使用24位的字段，即可以最大实现一千六百万个VN的标识。应当理解，也可以使用其他位数的字段，例如32位等，以提供更多的虚拟网络范围。步骤202、VTEP针对具体的VM配置形成对应的VN转发表表项；具体地，VTEP根据预先配置的信息获知VM的MAC地址和/或VM的IP地址和VTEP自身的IP地址之间的对应关系，形成VN转发表；步骤203、VTEP可以通过MP-BGP或者MP-BGP的扩展协议，将有关VMMAC和自身的IP地址的对应关系，发送到该虚拟网络中所有相关的VTEP；此处也可以不使用MP-BGP协议，而是通过传统的类似以太网交换的数据平面的学习机制来进行VN转发表同步。步骤204、所有有关的VTEP，针对具体的VM配置形成对应的VN转发表表项；步骤205、当存在报文转发时，VTEP通过查找VM的对应VN转发表表项，获得报文的目的地址等信息，并进行隧道封装；具体地，VTEP根据报文的目的地址，查找VM的对应VN转发表项，获取所述对端VTEP的目的IP地址，以及MAC地址，并进行隧道封装，即在L2报文/帧进行IP封装，并通过L3网络进行转发。需要进一步说明的是，由于VTEP可能存在于L2网络中，因此，对封装后的IP报文，可能需要做进一步的L2封装。步骤206、VTEP发送报文给对端VTEP；步骤207、对端VTEP在收到有关的虚拟网络封装报文后，进行解封装，获得L2报文，并转发给对端的PC/VM；应当理解，所述对端PC/VM报文的返回过程，和上述流程类似，不再赘述。上述流程类似于传统的MPLSVPN网络业务部署。从协议上看是能够实现的，可以通过手工配置VTEP，并结合VTEP之间的协议，或者利用数据平面的学习机制，从而可以实现业务的开展。但是，当存在大量PC服务器设备时，例如对拥有数十万台计算机，而每一台计算机又可能虚拟出数十台虚拟机的的数据中心而言，若仍通过手工去配置VN，则配置工作量是巨大的，并且进一步由于VM加入和离开VN的动态性的存在，使得VN业务开展变得复杂。
技术实现思路
有鉴于此，本专利技术的主要目的在于提供一种虚拟网络实现方法及系统，能够自动快速地实现虚拟网络的建立。为达到上述目的，本专利技术的技术方案是这样实现的：一种虚拟网络(VN)实现方法，在数据中心网络或/和宽带网络中设置VN-AP，所述方法包括：通过业务开展和管理功能实体接收用户的VN业务请求，生成所述VN的特性信息；PC/VM进行VN-AP的自动发现，当所述PC/VM在通过VN的身份认证后，自动发现的VN-AP生成所述PC/VM的VN转发表表项并根据所述VN转发表表项，通过隧道封装，转发来自所述PC/VM的报文。其中，所述PC/VM进行VN-AP的自动发现为：PC/VM通过专门类型的以太网报文，发送VN-AP发现消息；所述PC/VM所在广播域内的所有VN-AP向所述PC/VM返回VN-AP提供消息；所述PC/VM从返回的VN-AP提供消息的所有VN-AP中选择一个VN-AP发送VN-AP请求消息；所述VN-AP向所述PC/VM返回确认/应答消息。其中，所述确认/应答消息包括用于标识所述VN-AP和所述PC/VM同其他PC/VM之间隔离的会话标识信息或VLAN标识信息。其中，所述VN的特性信息包括所述VN的VN名称、VN-ID、VN中可接入的PC/VM的MAC地址、PC/VM身份认证的用户名和密码对中的一种或多种；相应地，所述方法还包括：保存所述VN的特性信息至所述业务开展和管理功能实体或/和验证、授权和记账AAA服务器。其中，所述PC/VM通过VN的身份认证为：所述PC/VM通过身份认证PPPoE或802.1x协议进行身份认证，当认证通过后，AAA服务器或所述业务开展和管理功能实体返回VN-ID给所述VN-AP。进一步地，所述方法还包括：所述业务开展和管理功能实体或AAA服务器收集所述VN相关信息，其中，所述VN相关信息包括所述VN中实际接入的PC/VM的数量、所述PC/V本文档来自技高网...

【技术保护点】
一种虚拟网络VN实现方法，其特征在于，在数据中心网络或/和宽带网络中设置虚拟网络接入边界节点VN?AP，所述方法包括：通过业务开展和管理功能实体接收用户的VN业务请求，生成所述VN的特性信息；计算机PC/虚拟机VM进行VN?AP的自动发现，当所述PC/VM在通过VN的身份认证后，自动发现的VN?AP生成所述PC/VM的VN转发表表项并根据所述VN转发表表项，通过隧道封装，转发来自所述PC/VM的报文。

【技术特征摘要】
1.一种虚拟网络VN实现方法，其特征在于，在数据中心网络或/和宽带网络中设置虚拟网络接入边界节点VN-AP，所述方法包括：通过业务开展和管理功能实体接收用户的VN业务请求，生成所述VN的特性信息；计算机PC/虚拟机VM进行VN-AP的自动发现，当所述PC/VM在通过VN的身份认证后，自动发现的VN-AP生成所述PC/VM的VN转发表表项并根据所述VN转发表表项，通过隧道封装，转发来自所述PC/VM的报文；其中，所述PC/VM进行VN-AP的自动发现为：PC/VM通过专门类型的以太网报文，发送VN-AP发现消息；所述PC/VM所在广播域内的所有VN-AP向所述PC/VM返回VN-AP提供消息；所述PC/VM从返回的VN-AP提供消息的所有VN-AP中选择一个VN-AP发送VN-AP请求消息；所述PC/VM接收所述VN-AP返回的确认/应答消息。2.根据权利要求1所述的方法，其特征在于，所述确认/应答消息包括用于标识所述VN-AP和所述PC/VM同其他PC/VM之间隔离的会话标识信息或VLAN标识信息。3.根据权利要求1所述的方法，其特征在于，所述VN的特性信息包括所述VN的VN名称、VN-ID、VN中可接入的PC/VM的MAC地址、PC/VM身份认证的用户名和密码对中的一种或多种；相应地，所述方法还包括：保存所述VN的特性信息至所述业务开展和管理功能实体或/和验证、授权和记账AAA服务器。4.根据权利要求1所述的方法，其特征在于，所述PC/VM通过VN的身份认证为：所述PC/VM通过身份认证PPPoE或802.1x协议进行身份认证，当认证通过后，AAA服务器或所述业务开展和管理功能实体返回VN-ID给所述VN-AP。5.根据权利要求3或4所述的方法，其特征在于，所述方法还包括：所述业务开展和管理功能实体或AAA服务器收集所述VN相关信息，其中，所述VN相关信息包括所述VN中实际接入的PC/VM的数量、所述PC/VM接入开始时间和结束时间，或接入的持续时间的一种或多种。6.根据权利要求1所述的方法，其特征在于，所述自动发现的VN-AP生成所述PC/VM的VN转发表表项为：当所述PC/VM是广播域中第一个VN接入点或所述VN-AP中不存在所述VN的信息时，生成所述VN转发表以及所述VN转发表表项，否则生成所述VN转发表的所述PC/VM的VN转发表表项。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：所述VN-AP与数据中心网络或/和宽带网络中的所述VN的所有其他VN-AP进行信息交互，进行所述VN转发表同步。8.根据权利要求7所述的方法，其特征在于，所述进行所述VN转发表同步为：通过MP-BGP或者MP-BGP的扩展，或数据平面的学习机制实现所述VN的所有VN-AP的VN转发表同步。9.根据权利要求1所述的方法，其特征在于，所述隧道封装为：使用包括VN-ID头的一个或者多个报文头进行隧道封装。10.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述VN的资源占用信息对申请使用所述V...

【专利技术属性】
技术研发人员：顾忠禹，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：