一種OpenFlow協(xié)議支持VPN的方法及設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種OpenFlow協(xié)議支持虛擬私有網(wǎng)VPN的方法,應(yīng)用于OpenFlow網(wǎng)絡(luò)的VPN交換設(shè)備中,同一VPN內(nèi)其他交換設(shè)備通過所述VPN交換設(shè)備實(shí)現(xiàn)互訪,且VPN之間轉(zhuǎn)發(fā)隔離,該方法包括:VPN交換設(shè)備上創(chuàng)建有VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中,每一個(gè)VPN實(shí)例對(duì)應(yīng)一個(gè)VPN邏輯端口;將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè)備,用于控制設(shè)備下發(fā)相應(yīng)VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。本發(fā)明還公開了一種VPN交換設(shè)備和控制設(shè)備。采用本發(fā)明能夠?qū)崿F(xiàn)同一VPN內(nèi)設(shè)備互訪共用相同轉(zhuǎn)發(fā)表項(xiàng),減少硬件資源浪費(fèi)。
【專利說明】-種OpenFlow協(xié)議支持VPN的方法及設(shè)備
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】,特別涉及一種OpenFlow協(xié)議支持VPN的方法及設(shè) 備。
【背景技術(shù)】
[0002] OpenFlow 是 SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))架構(gòu)中定義的一個(gè) 控制器與轉(zhuǎn)發(fā)層之間的通信接口標(biāo)準(zhǔn)。OpenFlow允許直接訪問和操作網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)平 面,這些網(wǎng)絡(luò)設(shè)備可能是物理上的,也可能是虛擬的。OpenFlow的思想是分離控制平面和 數(shù)據(jù)平面,二者之間使用標(biāo)準(zhǔn)的協(xié)議通信;數(shù)據(jù)平面采用基于流的方式進(jìn)行轉(zhuǎn)發(fā)。OpenFlow 網(wǎng)絡(luò)由交換設(shè)備和控制設(shè)備通過OpenFlow通道(OpenFlow Channel)組成。控制設(shè)備是控 制中心,根據(jù)用戶的配置或者動(dòng)態(tài)運(yùn)行的協(xié)議生成流表發(fā)送到交換設(shè)備??刂圃O(shè)備上可能 運(yùn)行實(shí)驗(yàn)程序,或者第三方開發(fā)的軟件等等。交換設(shè)備接收控制設(shè)備設(shè)置的流表,并根據(jù)流 表進(jìn)行報(bào)文處理,向控制設(shè)備上報(bào)設(shè)備的狀態(tài)和事件如接口 UP/D0WN。在交換設(shè)備和控制設(shè) 備之間通過OpenFlow通道(基于TCP或者SSL)進(jìn)行通信。
[0003] 在現(xiàn)有的虛擬私有網(wǎng)絡(luò)(VPN)技術(shù)中,主要有兩種實(shí)現(xiàn)方法,分別為基于二層交 換的二層VPN和基于三層交換的三層VPN。二層VPN提供了各個(gè)站點(diǎn)的二層連接,VPN提供 了基于MAC地址轉(zhuǎn)發(fā)的二層交換。三層VPN提供了各個(gè)站點(diǎn)的三層連接,VPN提供了基于 IP地址轉(zhuǎn)發(fā)的三層交換。
[0004] 傳統(tǒng)網(wǎng)絡(luò)通過二、三層VPN實(shí)現(xiàn)網(wǎng)絡(luò)隔離及互訪控制,OpenFlow協(xié)議未定義對(duì)應(yīng) 實(shí)現(xiàn)機(jī)制。
[0005] 在交換機(jī)上為支持VPN轉(zhuǎn)發(fā)隔離,同時(shí)實(shí)現(xiàn)VPN內(nèi)轉(zhuǎn)發(fā)表項(xiàng)共用。通常做法是引 入VPN實(shí)例概念,報(bào)文進(jìn)入交換機(jī),基于入端口或報(bào)文VLAN設(shè)定VPN實(shí)例,然后在轉(zhuǎn)發(fā)表項(xiàng) 查找增加 VPN實(shí)例的匹配,以此實(shí)現(xiàn)各VPN轉(zhuǎn)發(fā)隔離,及同VPN內(nèi)轉(zhuǎn)發(fā)表項(xiàng)共享。圖1為現(xiàn) 有技術(shù)三層VPN典型組網(wǎng)示意圖。如圖1所示,交換機(jī)A、B、C屬于VPN1,交換機(jī)D、E、F屬 于VPN2, VPN1和VPN2內(nèi)交換機(jī)下掛主機(jī)需通過VPN交換機(jī)三層互訪,同時(shí)VPN1和VPN2轉(zhuǎn) 發(fā)隔離。
[0006] 報(bào)文進(jìn)入VPN交換機(jī),VPN交換機(jī)按VLAN設(shè)置報(bào)文VPN索引。報(bào)文三層轉(zhuǎn)發(fā),基 于此VPN索引+目的IP (DIP)匹配交換機(jī)路由表項(xiàng),以進(jìn)行轉(zhuǎn)發(fā)。VPN交換機(jī)上各VPN路由 相關(guān)獨(dú)立,從而實(shí)現(xiàn)各VPN轉(zhuǎn)發(fā)隔離。
[0007] 由于OpenFlow未定義VPN相關(guān)的實(shí)現(xiàn),針對(duì)以上訪問需求,若按照標(biāo)準(zhǔn)OpenFlow 協(xié)議實(shí)現(xiàn),為保證訪問隔離,流表中需要增加報(bào)文入VLAN的匹配,若A和B均需要訪問C,此 時(shí)需要下發(fā)兩份流表項(xiàng),例如,流表項(xiàng)1為:匹配項(xiàng):源VLAN10+DIP30. 0. 0. 1/8動(dòng)作項(xiàng):出 端口 +目的VLAN30 ;流表項(xiàng)2為:匹配項(xiàng):源VLAN20+DIP30. 0. 0. 1/8動(dòng)作項(xiàng):出端口 +目的 VLAN30,這樣就造成交換機(jī)上硬件資源的浪費(fèi)。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明的目的在于提供一種OpenFlow協(xié)議支持VPN的方法及設(shè)備,能夠?qū)崿F(xiàn)同一 VPN內(nèi)設(shè)備互訪共用相同轉(zhuǎn)發(fā)表項(xiàng),減少硬件資源浪費(fèi)。
[0009] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種OpenFlow協(xié)議支持VPN的方法,應(yīng)用于 OpenFlow網(wǎng)絡(luò)的VPN交換設(shè)備中,同一 VPN內(nèi)其他交換設(shè)備通過所述VPN交換設(shè)備實(shí)現(xiàn)互 訪,且VPN之間轉(zhuǎn)發(fā)隔離,該方法包括:
[0010] VPN交換設(shè)備上創(chuàng)建有VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中,每一個(gè) VPN實(shí)例對(duì)應(yīng)一個(gè)VPN邏輯端口;
[0011] 將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè)備,用于控制設(shè)備下發(fā)相應(yīng) VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。
[0012] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種VPN交換設(shè)備,應(yīng)用于OpenFlow網(wǎng)絡(luò) 中,所述VPN交換設(shè)備包括 :
[0013] VPN實(shí)例創(chuàng)建單元,用于創(chuàng)建VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中,每一 個(gè)VPN實(shí)例對(duì)應(yīng)一個(gè)VPN邏輯端口;
[0014] 端口消息上報(bào)單元,用于將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè) 備,用于控制設(shè)備下發(fā)相應(yīng)VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。
[0015] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種控制設(shè)備,應(yīng)用于OpenFlow網(wǎng)絡(luò)中, 所述控制設(shè)備包括:
[0016] 接收單元,用于接收VPN交換設(shè)備發(fā)送的攜帶有VPN邏輯端口信息的端口消息;
[0017] 下發(fā)單元,用于根據(jù)所述攜帶有VPN邏輯端口信息的端口消息,下發(fā)相應(yīng)VPN邏輯 端口的流表匹配項(xiàng)給VPN交換設(shè)備,進(jìn)行報(bào)文匹配。
[0018] 綜上所述,本發(fā)明實(shí)施例對(duì)現(xiàn)有OpenFlow協(xié)議進(jìn)行擴(kuò)展,實(shí)現(xiàn)對(duì)二三層VPN的支 持。VPN交換設(shè)備上創(chuàng)建有VPN實(shí)例,將對(duì)應(yīng)物理端口加入到VPN實(shí)例中,每一個(gè)VPN實(shí)例 對(duì)應(yīng)一個(gè)VPN邏輯端口;將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè)備,用于控制 設(shè)備下發(fā)相應(yīng)VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。這樣,同一 VPN內(nèi)多個(gè)源設(shè)備訪 問相同的目的設(shè)備,其流表項(xiàng)相同,即轉(zhuǎn)發(fā)時(shí)共用相同的流表項(xiàng),與現(xiàn)有技術(shù)多個(gè)流表項(xiàng)相 t匕,減少了硬件資源浪費(fèi)。
【專利附圖】
【附圖說明】
[0019] 圖1為現(xiàn)有技術(shù)三層VPN典型組網(wǎng)示意圖。
[0020] 圖2為本發(fā)明實(shí)施例提供的OpenFlow協(xié)議支持VPN的方法的流程示意圖。
[0021] 圖3為本發(fā)明實(shí)施例提供的VPN交換設(shè)備的結(jié)構(gòu)示意圖。
[0022] 圖4為本發(fā)明實(shí)施例提供的控制設(shè)備的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0023] 為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例,對(duì) 本發(fā)明方案作進(jìn)一步地詳細(xì)說明。
[0024] 如圖2所示,本發(fā)明實(shí)施例提供的OpenFlow協(xié)議支持VPN的方法的流程示意圖包 括以下步驟:
[0025] 步驟201,VPN交換設(shè)備上創(chuàng)建有VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中, 每一個(gè)VPN實(shí)例對(duì)應(yīng)一個(gè)VPN邏輯端口;
[0026] 步驟202、將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè)備,用于控制設(shè)備 下發(fā)相應(yīng)VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。
[0027] 其中,VPN交換設(shè)備指的是OpenFlow網(wǎng)絡(luò)中,支持VPN的交換設(shè)備,VPN內(nèi)交換機(jī) 下掛主機(jī)需要通過VPN交換設(shè)備三層或者二層互訪,同時(shí)VPN之間轉(zhuǎn)發(fā)隔離,如圖1中VPN 交換設(shè)備所示。通過圖2所示的方法,在OpenFlow協(xié)議中引入VPN邏輯口的概念,VPN交 換機(jī)支持VPN邏輯口,通過端口消息將VPN邏輯口上報(bào)給控制設(shè)備,一個(gè)VPN邏輯口與一個(gè) VPN實(shí)例綁定,也就是說,同一 VPN實(shí)例內(nèi)的入端口都屬于同一 VPN邏輯口,這樣,同一 VPN 實(shí)例內(nèi),目的地址相同的報(bào)文可以匹配同一 VPN邏輯口的流表項(xiàng),達(dá)到減少硬件資源浪費(fèi) 的目的。
[0028] 在步驟202中,所述VPN邏輯端口信息為二層VPN或者三層VPN實(shí)例的名稱。本 發(fā)明端口消息,可以是標(biāo)準(zhǔn)的Port Status消息,通過OpenFlow通道發(fā)送給控制設(shè)備,其包 括以下內(nèi)容:
[0029] struct ofp_port {
[0030] uint32_t port_no ;/* 端口號(hào) */
[0031] uint8_t pad[4] ;/* 字節(jié)對(duì)齊 */
[0032] uint8_t hw_addr [0FP_ETH_ALEN] ;/* 端口 MAC 地址 */
[0033] uint8_t pad2 [2] ;/* 字節(jié)對(duì)齊 */
[0034] char name [0FP_MAX_P0RT_NAME_LEN] ;/* 二層 VPN 或者三層 VPN 實(shí)例的名稱 */
[0035] uint32_t config ;/* 端 口配置 */
[0036] uint32_t state ;/* 端 口狀態(tài) */
[0037] 這里的端口指的是VPN邏輯端口,所以上報(bào)給控制設(shè)備的端口消息是VPN邏輯端 口的消息,區(qū)別于物理端口消息。如果在VPN交換設(shè)備上創(chuàng)建有兩個(gè)VPN實(shí)例,則對(duì)應(yīng)有兩 個(gè)VPN邏輯端口,則上報(bào)兩個(gè)上述端口消息。其中端口消息中二層VPN實(shí)例的名稱可以為: 虛擬交換實(shí)例(VSI)-XXX ;三層VPN實(shí)例的名稱可以為:VPN-XXX。
[0038] 為清楚說明本發(fā)明,下面列舉具體場景進(jìn)行說明。
[0039] 實(shí)施例一:
[0040] 仍然參考圖1,只是沒有示出控制VPN交換設(shè)備的控制設(shè)備,在OpenFlow網(wǎng)絡(luò)中, VPN1和VPN2內(nèi)交換機(jī)下掛主機(jī)需通過VPN交換機(jī)三層互訪,同時(shí)VPN1和VPN2轉(zhuǎn)發(fā)隔離。 本實(shí)施例中交換設(shè)備A和B均需要訪問C,則,
[0041] VPN實(shí)例可由用戶在VPN交換設(shè)備上手動(dòng)創(chuàng)建或由控制設(shè)備通過NETC0NF、SNMP等 協(xié)議在VPN交換設(shè)備上創(chuàng)建。VPN交換設(shè)備響應(yīng)VPN創(chuàng)建請(qǐng)求,在VPN交換設(shè)備上創(chuàng)建VPN 實(shí)例。
[0042] 本實(shí)施例創(chuàng)建兩個(gè)VPN實(shí)例,分別為VPN1和VPN2。在VPN1和VPN2創(chuàng)建后,將VPN 交換設(shè)備上VLAN10、VLAN20和VLAN30的端口加入到VPN1中,然后創(chuàng)建與VPN1對(duì)應(yīng)的VPN 邏輯端口 1 ;將VPN交換設(shè)備上VLAN1UVLAN21和VLAN31的端口加入到VPN2中,然后創(chuàng)建 與VPN2對(duì)應(yīng)的VPN邏輯端口 2。
[0043] 如果VPN交換設(shè)備已連接到控制設(shè)備,通過OpenFlow的2個(gè)Port Status消息, 分別將VPN邏輯端口 1和2上報(bào)給控制設(shè)備。VPN邏輯口 1和2都是基于OpenFlow端口消 息格式進(jìn)行描述,為保證控制器能夠識(shí)別此端口,需在端口消息正確描述端口 VPN信息。
[0044] 控制設(shè)備支持VPN邏輯端口 Port Status消息解析,識(shí)別邏輯口對(duì)應(yīng)的VPN,分別 為 VPN1 和 VPN2 ;
[0045] 因此,控制設(shè)備下發(fā)的流表項(xiàng)的匹配項(xiàng)為:VPN+DIP動(dòng)作項(xiàng):出端口 +目的VLAN
[0046] 本實(shí)施例中,交換設(shè)備A和B均需要訪問C,A、B和C都在VPN1中,所以流表項(xiàng)的 匹配項(xiàng)為:VPN1+DIP30. 0. 0. 1/8動(dòng)作項(xiàng):出端口 +目的VLAN30。
[0047] DIP為30. 0. 0. 1/8的報(bào)文從A進(jìn)入VPN交換設(shè)備后,根據(jù)報(bào)文所帶VLAN10映射到 所屬VPN1,使得報(bào)文帶有VPN1描述信息,然后匹配上述流表項(xiàng),在出端口轉(zhuǎn)發(fā)給設(shè)備C ;
[0048] 同理,DIP為30. 0. 0. 1/8的報(bào)文從B進(jìn)入VPN交換設(shè)備后,根據(jù)報(bào)文所帶VLAN20 映射到所屬VPN1,使得報(bào)文帶有VPN1描述信息,然后也匹配上述流表項(xiàng),在出端口轉(zhuǎn)發(fā)給 設(shè)備C。
[0049] 從上面可以看出,在同一 VPN1中訪問同一設(shè)備,在VPN交換設(shè)備上的流表項(xiàng)設(shè)置 是相同的,因此達(dá)到了減少流表項(xiàng)設(shè)置的目的。
[0050] 實(shí)施例二:
[0051] 仍然參考圖1,只是沒有示出控制VPN交換設(shè)備的控制設(shè)備,在OpenFlow網(wǎng)絡(luò)中, VSI1和VSI2內(nèi)交換機(jī)下掛主機(jī)需通過VPN交換機(jī)二層互訪,同時(shí)VSI1和VSI2轉(zhuǎn)發(fā)隔離。 本實(shí)施例中交換設(shè)備A和B均需要訪問C,則,
[0052] 性能交換實(shí)例(Virtual Swith Instance, VSI)是區(qū)別于三層VPN的二層VPN實(shí) 例,可由用戶在VPN交換設(shè)備上手動(dòng)創(chuàng)建或由控制設(shè)備通過NETC0NF、SNMP等協(xié)議在VPN交 換設(shè)備上創(chuàng)建。VPN交換設(shè)備響應(yīng)VPN創(chuàng)建請(qǐng)求,在VPN交換設(shè)備上創(chuàng)建VSI。
[0053] 本實(shí)施例創(chuàng)建兩個(gè)VSI,分別為VSI1和VSI2。在VSI1和VSI2創(chuàng)建后,將VPN交 換設(shè)備上VLAN10、VLAN20和VLAN30的端口加入到VPN1中,然后創(chuàng)建與VSI 1對(duì)應(yīng)的VPN邏 輯端口 1 ;將VPN交換設(shè)備上VLAN1UVLAN21和VLAN31的端口加入到VSI2中,然后創(chuàng)建與 VSI2對(duì)應(yīng)的VPN邏輯端口 2。
[0054] 如果VPN交換設(shè)備已連接到控制設(shè)備,通過OpenFlow的2個(gè)Port Status消息, 分別將VPN邏輯端口 1和2上報(bào)給控制設(shè)備。VPN邏輯口 1和2都是基于OpenFlow端口消 息格式進(jìn)行描述,為保證控制器能夠識(shí)別此端口,需在端口消息正確描述端口 VPN信息。
[0055] 控制設(shè)備支持VPN邏輯端口 Port Status消息解析,識(shí)別邏輯口對(duì)應(yīng)的VPN,分別 為 VSI1 和 VSI2 ;
[0056] 因此,控制設(shè)備下發(fā)的流表項(xiàng)的匹配項(xiàng)為:VSI+DMAC動(dòng)作項(xiàng):出端口 +目的VLAN
[0057] 本實(shí)施例中,交換設(shè)備A和B均需要訪問C,A、B和C都在VSI 1中,所以流表項(xiàng)的 匹配項(xiàng)為:VSI1+DMAC動(dòng)作項(xiàng):出端口 +目的VLAN30。
[0058] 具有DMAC1的報(bào)文從A進(jìn)入VPN交換設(shè)備后,根據(jù)報(bào)文所帶VLAN10映射到所屬 VSI1,使得報(bào)文帶有VSI1描述信息,然后匹配上述流表項(xiàng),在出端口轉(zhuǎn)發(fā)給設(shè)備C ;
[0059] 同理,具有DMAC1的報(bào)文從B進(jìn)入VPN交換設(shè)備后,根據(jù)報(bào)文所帶VLAN20映射到 所屬VSI1,使得報(bào)文帶有VSI1描述信息,然后也匹配上述流表項(xiàng),在出端口轉(zhuǎn)發(fā)給設(shè)備C。
[0060] 從上面可以看出,在同一 VSI1中訪問同一設(shè)備,在VPN交換設(shè)備上的流表項(xiàng)設(shè)置 是相同的,因此達(dá)到了減少流表項(xiàng)設(shè)置的目的。
[0061] 另外,與在VPN交換設(shè)備上創(chuàng)建VPN實(shí)例相對(duì)應(yīng),也可以在VPN交換設(shè)備上刪除 VPN實(shí)例,即刪除對(duì)應(yīng)的邏輯端口。如果VPN交換設(shè)備已連接控制設(shè)備,則可以通知控制設(shè) 備刪除對(duì)應(yīng)邏輯端口。
[0062] 綜上所述,現(xiàn)有技術(shù)OpenFlow不支持VPN時(shí),為保證節(jié)點(diǎn)訪問安全隔離,流表下發(fā) 需要匹配報(bào)文入VLAN及入端口信息,造成很多流表項(xiàng)重復(fù)下發(fā),浪費(fèi)交換機(jī)上硬件資源。 OpenFlow引入VPN后,同VPN內(nèi)設(shè)備在交換機(jī)上基于VPN邏輯口控制其間的互訪,共用相同 轉(zhuǎn)發(fā)表項(xiàng),減少硬件資源消耗。
[0063] 基于同樣的發(fā)明構(gòu)思,本發(fā)明還提出一種VPN交換設(shè)備。如圖3所示,本發(fā)明實(shí)施 例提供的VPN交換設(shè)備包括 :
[0064] VPN實(shí)例創(chuàng)建單元301,用于創(chuàng)建VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中, 每一個(gè)VPN實(shí)例對(duì)應(yīng)一個(gè)VPN邏輯端口;
[0065] 端口消息上報(bào)單元302,用于將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制 設(shè)備,用于控制設(shè)備下發(fā)相應(yīng)VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。
[0066] 優(yōu)選地,該設(shè)備進(jìn)一步包括:
[0067] 報(bào)文轉(zhuǎn)發(fā)單元303,用于接收到報(bào)文后,根據(jù)接收?qǐng)?bào)文的物理端口確定所對(duì)應(yīng)的 VPN邏輯端口,根據(jù)所確定的VPN邏輯端口和目的地址匹配流表項(xiàng),進(jìn)行報(bào)文轉(zhuǎn)發(fā)。
[0068] 本發(fā)明還提出一種控制設(shè)備。如圖4所示,本發(fā)明實(shí)施例提供的控制設(shè)備包括:
[0069] 接收單元401,用于接收VPN交換設(shè)備發(fā)送的攜帶有VPN邏輯端口信息的端口消 息;
[0070] 下發(fā)單元402,用于根據(jù)所述攜帶有VPN邏輯端口信息的端口消息,下發(fā)相應(yīng)VPN 邏輯端口的流表匹配項(xiàng)給VPN交換設(shè)備,進(jìn)行報(bào)文匹配。
[0071] 以上,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā) 明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍 之內(nèi)。
【權(quán)利要求】
1. 一種OpenFlow協(xié)議支持VPN的方法,應(yīng)用于OpenFlow網(wǎng)絡(luò)的虛擬私有網(wǎng)VPN交換 設(shè)備中,同一 VPN內(nèi)其他交換設(shè)備通過所述VPN交換設(shè)備實(shí)現(xiàn)互訪,且VPN之間轉(zhuǎn)發(fā)隔離, 該方法包括: VPN交換設(shè)備上創(chuàng)建有VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中,每一個(gè)VPN實(shí) 例對(duì)應(yīng)一個(gè)VPN邏輯端口; 將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè)備,用于控制設(shè)備下發(fā)相應(yīng)VPN 邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。
2. 如權(quán)利要求1所述的方法,其特征在于,所述VPN邏輯端口信息為二層VPN或者三層 VPN實(shí)例的名稱。
3. 如權(quán)利要求2所述的方法,其特征在于,所述VPN為三層VPN時(shí),流表匹配項(xiàng)還包括 目的IP ;所述VPN為二層VPN時(shí),流表匹配項(xiàng)還包括目的MAC。
4. 如權(quán)利要求3所述的方法,其特征在于,該方法進(jìn)一步包括:VPN交換設(shè)備接收到報(bào) 文后,根據(jù)接收?qǐng)?bào)文的物理端口確定所對(duì)應(yīng)的VPN邏輯端口,根據(jù)所確定的VPN邏輯端口和 目的地址匹配流表項(xiàng),進(jìn)行報(bào)文轉(zhuǎn)發(fā)。
5. -種VPN交換設(shè)備,應(yīng)用于OpenFlow網(wǎng)絡(luò)中,其特征在于,所述VPN交換設(shè)備包括: VPN實(shí)例創(chuàng)建單元,用于創(chuàng)建VPN實(shí)例,將對(duì)應(yīng)物理端口加入到該VPN實(shí)例中,每一個(gè) VPN實(shí)例對(duì)應(yīng)一個(gè)VPN邏輯端口; 端口消息上報(bào)單元,用于將攜帶有VPN邏輯端口信息的端口消息發(fā)送給控制設(shè)備,用 于控制設(shè)備下發(fā)相應(yīng)VPN邏輯端口的流表匹配項(xiàng),進(jìn)行報(bào)文匹配。
6. 如權(quán)利要求5所述的交換設(shè)備,其特征在于,該設(shè)備進(jìn)一步包括: 報(bào)文轉(zhuǎn)發(fā)單元,用于接收到報(bào)文后,根據(jù)接收?qǐng)?bào)文的物理端口確定所對(duì)應(yīng)的VPN邏輯 端口,根據(jù)所確定的VPN邏輯端口和目的地址匹配流表項(xiàng),進(jìn)行報(bào)文轉(zhuǎn)發(fā)。
7. -種控制設(shè)備,應(yīng)用于OpenFlow網(wǎng)絡(luò)中,其特征在于,所述控制設(shè)備包括: 接收單元,用于接收VPN交換設(shè)備發(fā)送的攜帶有VPN邏輯端口信息的端口消息; 下發(fā)單元,用于根據(jù)所述攜帶有VPN邏輯端口信息的端口消息,下發(fā)相應(yīng)VPN邏輯端口 的流表匹配項(xiàng)給VPN交換設(shè)備,進(jìn)行報(bào)文匹配。
【文檔編號(hào)】H04L29/06GK104092684SQ201410319647
【公開日】2014年10月8日 申請(qǐng)日期:2014年7月7日 優(yōu)先權(quán)日:2014年7月7日
【發(fā)明者】趙海峰, 游君平 申請(qǐng)人:杭州華三通信技術(shù)有限公司