一種為交換機部署邊緣虛擬橋接功能的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種為交換機部署邊緣虛擬橋接功能的方法及裝置���,本發(fā)明由虛擬交換機主動上報VSI管理服務(wù)器地址及虛擬交換機轉(zhuǎn)發(fā)模式給邊緣交換機��,邊緣交換機使用接收到配置信息填充配置腳本文件模板中對應(yīng)的配置參數(shù)�,然后執(zhí)行配置腳本文件將配置參數(shù)自動下發(fā)到對應(yīng)的物理端口上��。通過本發(fā)明能夠免網(wǎng)絡(luò)管理人員的手工配置操作�,提高了配置效率,減小配置錯誤風(fēng)險����,實現(xiàn)對交換設(shè)備的集中管理��,降低網(wǎng)絡(luò)管理的維護成本���。
【專利說明】一種為交換機部署邊緣虛擬橋接功能的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】��,尤其涉及一種為交換機部署邊緣虛擬橋接功能的方法及裝置���。
【背景技術(shù)】
[0002]隨著數(shù)據(jù)中心業(yè)務(wù)日益增加�����,用戶需求不斷提高���,數(shù)據(jù)中心的規(guī)模和功能日趨復(fù)雜,管理難度也越來越高�����。在這一背景下���,整合數(shù)據(jù)中心��、降低數(shù)據(jù)中心的管理成本�����,充分挖掘現(xiàn)有資源能力以適應(yīng)更高的業(yè)務(wù)需求�����,成為企業(yè)數(shù)據(jù)中心的重要任務(wù)���。對數(shù)據(jù)中心資源進行虛擬化����,成為目前數(shù)據(jù)中心整合的重要趨勢��。
[0003]虛擬化技術(shù)通過對物理資源和提供的服務(wù)進行抽象化����,讓資源使用者和系統(tǒng)管理者不關(guān)心對象的物理特征和服務(wù)邊界的細(xì)節(jié),從而降低資源使用和管理的復(fù)雜度�,提高使用效率。因而����,對數(shù)據(jù)中心的虛擬化能夠提高數(shù)據(jù)中心的資源利用率(如CPU利用率���、存儲容量等),降低系統(tǒng)的能耗�����,并減少系統(tǒng)的設(shè)計���、運行、管理�����、維護成本��,從而實現(xiàn)整合的目標(biāo)����。
[0004]數(shù)據(jù)中心的虛擬化技術(shù)主要包括3方面內(nèi)容:網(wǎng)絡(luò)虛擬化、存儲虛擬化和服務(wù)器虛擬化����,其中,最主要的是服務(wù)器虛擬化��。通過專用的虛擬化軟件(如VMware)管理,一臺物理服務(wù)器能虛擬出多臺虛擬機(Virtual Machine, VM),每個VM獨立運行,互不影響,都有自己的操作系統(tǒng)和應(yīng)用程序和虛擬的硬件環(huán)境��,包括虛擬CPU�、內(nèi)存、存儲設(shè)備���、1設(shè)備�����、虛擬交換機等�。
[0005]邊緣虛擬橋接(EdgeVirtual Bridging, EVB)技術(shù),對應(yīng) 802.1Qbg 標(biāo)準(zhǔn)�����,EVB 的組成部分主要有三個方面:服務(wù)器(包括虛擬服務(wù)器VM和VM管理中心)�����、VSI (VirtualStat1n interface,虛擬站點接口)管理服務(wù)器����、EVB交換機。服務(wù)器EVB技術(shù)應(yīng)用于數(shù)據(jù)中心服務(wù)器�,在其上的虛擬交換機中實現(xiàn)����,用于簡化虛擬服務(wù)器的流量轉(zhuǎn)發(fā)實現(xiàn)�����,對虛擬服務(wù)器的網(wǎng)絡(luò)交換����、流量管理和策略下發(fā)進行集中控制,并能在虛擬遷移時實現(xiàn)網(wǎng)絡(luò)管理和策略的自動遷移����。
[0006]VSI管理服務(wù)器用于對VSI進行管理����,虛擬機通過VSI與邊緣交換機實現(xiàn)交互,VSI管理服務(wù)器通過VSI接口管理VSI的流量���、設(shè)置流量策略等���。
[0007]支持EVB的虛擬交換機vSwitch主要包括VEB (Virtual Edge Bridge,虛擬邊緣橋)模式、VEPA(Virtual Edge Port Aggregator,虛擬邊緣端口匯聚)模式及多通道(MultiChannel)模式�。
[0008]VEPA模式下��,vSwitch將虛擬機產(chǎn)生的網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理邊緣交換機進行處理����,即使同一臺服務(wù)器上的虛擬機間流量���,也將在物理交換機上查表處理后�����,再回到目的虛擬機上�。VEPA方式不僅借助物理交換機解決了虛擬機間流量轉(zhuǎn)發(fā)���,同時還實現(xiàn)了對虛擬機流量的監(jiān)管��,并且將虛擬機接入層網(wǎng)絡(luò)納入到傳統(tǒng)服務(wù)器接入網(wǎng)絡(luò)管理體系中�。
[0009]根據(jù)需求���,物理服務(wù)器內(nèi)部可能需要不同類型的邊緣轉(zhuǎn)發(fā)(Edge Relay����,ER)���。為了在同一物理接口上隔離各個ER的上行通道�,EVB采用了端口映射的S-VLAN組件技術(shù)(Port-mapping S-VLAN Component),該技術(shù)在 EVB 中稱為 S 通道技術(shù)���。
[0010]借助于S-VLAN的劃分�,物理接口分成若干個虛擬通道��,稱為S通道(S-Channel)�。S通道之間以S通道虛擬標(biāo)識S-VID隔離,每一通道與服務(wù)器內(nèi)的ER上行口一一對應(yīng)����。
[0011]鏈路層發(fā)現(xiàn)協(xié)議(Link layer Discovery Protocol, LLDP)是為了使不同廠商的設(shè)備能夠在網(wǎng)絡(luò)中相互發(fā)現(xiàn)并交互各自的系統(tǒng)及配置信息的信息交流平臺,它提供了一種標(biāo)準(zhǔn)的鏈路層發(fā)現(xiàn)方式�,可以將本端設(shè)備的主要能力、管理地址��、設(shè)備標(biāo)識����、接口標(biāo)識等信息組織成不同的TLVCType/Length/Value�,類型/長度/值),并封裝在LLDTOU(鏈路層發(fā)現(xiàn)協(xié)議數(shù)據(jù)單元)中發(fā)布給與自己直連的鄰居�,鄰居收到這些信息后將其以標(biāo)準(zhǔn)MIB (Management Informat1n Base,管理信息庫)的形式保存起來����,以供網(wǎng)絡(luò)管理系統(tǒng)查詢及判斷鏈路的通信狀況�����。
[0012]由于LLDP協(xié)議的可擴展性較強��,EVB的S通道發(fā)現(xiàn)和配置協(xié)議(S-channe IDiscovery and Configurat1n Protocol,CDCP)報文及EVB TLV(Type Length Value,類型長度值��,指報文中的一種常用信元結(jié)構(gòu))的信息均封裝在LLDP報文中�����,周期性的向?qū)Χ硕丝诎l(fā)送���。
[0013]圖2為Ethernet II格式封裝的LLDP報文格式���,藍色的Chassis ID (機框標(biāo)識)、Port ID (端口標(biāo)識)�、Time To Live (生命期)和End of LLDTOU (鏈路層發(fā)現(xiàn)協(xié)議數(shù)據(jù)單元結(jié)束標(biāo)識,簡稱結(jié)束標(biāo)識)這四種TLV是每個LUFDU(LLDP Data Unit)都必須攜帶的���,其余的TLV則為可選攜帶(Opt1nal TLV)���。每個LLDPDU最多可攜帶32種TLV��。
[0014]目前EVB功能的部署需要網(wǎng)絡(luò)管理人員在物理交換機即圖1中的邊緣交換機上通過命令行手動配置����。當(dāng)網(wǎng)絡(luò)規(guī)模較大時��,網(wǎng)絡(luò)管理員在每一臺設(shè)備上進行手工配置的工作量很大,而且要求網(wǎng)絡(luò)管理員在部署前期必須非常了解組網(wǎng)環(huán)境,記錄相關(guān)配置的接口信息�����,以及該接口部署哪些屬性等,一旦接口部署錯誤還會導(dǎo)致普通的數(shù)據(jù)轉(zhuǎn)發(fā)流量不通��,問題的排查和定位耗時耗力�,易造成已有環(huán)境的長時間業(yè)務(wù)中斷。
【發(fā)明內(nèi)容】
[0015]有鑒于此����,本發(fā)明提供了一種為交換機部署邊緣虛擬橋接功能的方法及裝置�,用于實現(xiàn)EVB自動部署。
[0016]基于本發(fā)明實施例,本發(fā)明提供了一種為交換機部署邊緣虛擬橋接功能的方法���,該方法應(yīng)用在邊緣交換機上����,所述方法包括:
[0017]接收虛擬交換機發(fā)送的配置上報消息�,從配置上報消息中獲取對端虛擬交換機的MAC地址、虛擬站點接口 VSI管理服務(wù)器地址��、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號����,并記錄在本地的虛擬交換機EVB配置列表中;
[0018]向?qū)Χ颂摂M交換機發(fā)送配置上報響應(yīng)消息��,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識��;
[0019]當(dāng)邊緣交換機支持EVB功能�,且接收到對端虛擬交換機發(fā)送的配置請求消息時,向虛擬交換機發(fā)送配置請求響應(yīng)消息��,指示EVB功能協(xié)商是否成功��;
[0020]當(dāng)EVB功能協(xié)商成功時�,所述邊緣交換機從本地虛擬交換機EVB配置列表中獲取對端虛擬交換機的配置信息,并用獲取的配置信息替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件,執(zhí)行該配置腳本文件���,將配置下發(fā)到與對端虛擬交換機對應(yīng)本地端口���,所述配置信息至少包括虛擬交換機的VSI。
[0021]進一步地����,所述配置上報消息中還攜帶與對端虛擬交換機一一對應(yīng)的序列號,所述邊緣交換機還在虛擬交換機EVB配置列表中記錄所述序列號���;所述邊緣交換機向虛擬交換機發(fā)送配置請求響應(yīng)消息之前���,還包括如下認(rèn)證步驟:
[0022]從配置請求消息中提取認(rèn)證字段作為第一認(rèn)證字段,所述認(rèn)證字段由對端虛擬交換機對與該對該虛擬交換機的MAC地址及序列號進行加密后生成�����;
[0023]所述邊緣交換機根據(jù)配置請求消息的源MAC地址��,從本地虛擬交換機EVB配置列表中獲取與該對端虛擬交換機對應(yīng)的序列號���,并使用與對端虛擬交換機端相同的加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段�,判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同,若相同則表示認(rèn)證成功���,否則表示認(rèn)證失敗,在認(rèn)證成功時執(zhí)行后續(xù)的配置下發(fā)操作��。
[0024]進一步地���,所述的配置腳本文件模板預(yù)先存儲在所述邊緣交換機上���,或預(yù)先存儲在邊緣交換機的腳本執(zhí)行程序可達的文件服務(wù)器上。
[0025]基于上述方法��,本發(fā)明還提供了一種為交換機部署邊緣虛擬橋接功能的裝置�����,該裝置應(yīng)用在邊緣交換機上�����,所述裝置包括:
[0026]接收記錄模塊�,用于接收虛擬交換機發(fā)送的配置上報消息,從配置上報消息中獲取對端虛擬交換機的MAC地址�、虛擬站點接口 VSI管理服務(wù)器地址�����、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號���,并記錄在本地的虛擬交換機EVB配置列表中;
[0027]能力響應(yīng)模塊��,用于向?qū)Χ颂摂M交換機發(fā)送配置上報響應(yīng)消息��,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識��;當(dāng)邊緣交換機支持EVB功能,且接收到對端虛擬交換機發(fā)送的配置請求消息時��,還用于向虛擬交換機發(fā)送配置請求響應(yīng)消息�,指/In EVB功能協(xié)商是否成功;
[0028]配置下發(fā)模塊���,用于當(dāng)EVB功能協(xié)商成功時��,從本地虛擬交換機EVB配置列表中獲取對端虛擬交換機的配置信息���,并用獲取的配置信息替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件,執(zhí)行該配置腳本文件�����,將配置下發(fā)到與對端虛擬交換機對應(yīng)本地端口,所述配置信息至少包括虛擬交換機的VSI���。
[0029]進一步地,所述接收記錄模塊��,還用于在所述配置上報消息中還攜帶與對端虛擬交換機對應(yīng)的序列號時�����,在虛擬交換機EVB配置列表中記錄所述序列號�;
[0030]所述能力響應(yīng)模塊,還用于在向虛擬交換機發(fā)送配置請求響應(yīng)消息之前���,從配置請求消息中提取認(rèn)證字段作為第一認(rèn)證字段�,所述認(rèn)證字段由對端虛擬交換機對與該對端虛擬交換機的MAC地址及序列號進行加密后生成����;以及根據(jù)配置請求消息的源MAC地址,從本地虛擬交換機EVB配置列表中獲取與該對端虛擬交換機對應(yīng)的序列號����,并使用與對端虛擬交換機端相同的加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段����,判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同�����,若相同則表示認(rèn)證成功���,否則表示認(rèn)證失敗����,在認(rèn)證成功時執(zhí)行后續(xù)的配置下發(fā)操作�����。
[0031]進一步地����,所述的配置腳本文件模板預(yù)先存儲在所述邊緣交換機上,或預(yù)先存儲在邊緣交換機的腳本執(zhí)行程序可達的文件服務(wù)器上��。
[0032]基于本發(fā)明實施例�����,本發(fā)明還提供了一種為交換機部署邊緣虛擬橋接功能的方法,該方法應(yīng)用在虛擬交換機上����,所述方法包括:
[0033]在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后,向邊緣交換機發(fā)送配置上報消息���,其中至少攜帶虛擬交換機轉(zhuǎn)發(fā)模式��、VSI管理服務(wù)器地址;
[0034]在接收到對端邊緣交換機發(fā)送的配置上報響應(yīng)消息后�����,根據(jù)消息中的EVB支持標(biāo)識判定邊緣交換機支持EVB功能時�,向邊緣交換機發(fā)送配置請求消息。
[0035]進一步地�����,所述配置上報消息中還攜帶與所述虛擬交換機對應(yīng)的序列號�;
[0036]在所述配置請求消息中攜帶所述虛擬交換機對該虛擬交換機的MAC地址及序列號加密生成的認(rèn)證字段。
[0037]基于上述方法�����,本發(fā)明還提供了一種為交換機部署邊緣虛擬橋接功能的裝置,該裝置應(yīng)用在虛擬交換機上��,所述裝置包括:
[0038]配置上報模塊���,用于在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后�����,向邊緣交換機發(fā)送配置上報消息����,其中至少攜帶虛擬交換機轉(zhuǎn)發(fā)模式�、VSI管理服務(wù)器地址;
[0039]配置請求模塊����,用于在接收到對端邊緣交換機發(fā)送的配置上報響應(yīng)消息后,根據(jù)消息中的EVB支持標(biāo)識判定邊緣交換機支持EVB功能時��,向邊緣交換機發(fā)送配置請求消息����。
[0040]進一步地,所述配置上報消息中還攜帶與所述虛擬交換機對應(yīng)的序列號;
[0041]在所述配置請求消息中攜帶所述虛擬交換機對該虛擬交換機的MAC地址及序列號加密生成的認(rèn)證字段�����。
[0042]本發(fā)明由虛擬交換機主動上報VSI管理服務(wù)器地址及虛擬交換機轉(zhuǎn)發(fā)模式給邊緣交換機���,邊緣交換機使用接收到配置信息填充配置腳本文件模板中對應(yīng)的配置參數(shù)��,然后執(zhí)行配置腳本文件將配置參數(shù)自動下發(fā)到對應(yīng)的物理端口上�����。通過本發(fā)明能夠免網(wǎng)絡(luò)管理人員的手工配置操作�����,提高了配置效率,減小配置錯誤風(fēng)險���,實現(xiàn)對交換設(shè)備的集中管理����,降低網(wǎng)絡(luò)管理的維護成本����。
【專利附圖】
【附圖說明】
[0043]圖1為EVB模式示意圖���;
[0044]圖2為Ethernet II格式封裝的LLDP報文格式;
[0045]圖3為本發(fā)明實施例提供的一種為交換機部署邊緣虛擬橋接功能的方法的流程圖��;
[0046]圖4為本發(fā)明實施例提供的擴展LLDP協(xié)議報文格式示意圖���;
[0047]圖5為本發(fā)明實施例提供的為交換機部署邊緣虛擬橋接功能的裝置所在設(shè)備的一種硬件結(jié)構(gòu)示意圖��;
[0048]圖6為本發(fā)明實施例提供的為交換機部署邊緣虛擬橋接功能的裝置結(jié)構(gòu)示意圖��;
[0049]圖7為本發(fā)明另一實施例提供的為交換機部署邊緣虛擬橋接功能的裝置結(jié)構(gòu)示意圖�。
【具體實施方式】
[0050]下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例?���;诒景l(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍��。
[0051]需要說明的是��,在不沖突的情況下�,本發(fā)明實施例及實施例中的特征可以相互組口 ο
[0052]在邊緣交換機及虛擬交換機之間執(zhí)行標(biāo)準(zhǔn)規(guī)定的EVB協(xié)商之前,需要首先執(zhí)行本發(fā)明提供的為交換機部署邊緣虛擬橋接功能的方法步驟����,通過自動化的部署過程,避免人為配置的錯誤��,提高EVB功能部署的準(zhǔn)確性和效率�。
[0053]圖3為本發(fā)明實施例提供的一種為交換機部署邊緣虛擬橋接功能的方法的流程圖,該方法包括:
[0054]步驟300����、虛擬交換機在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后�����,向邊緣交換機發(fā)送配置上報消息,其中至少攜帶虛擬交換機轉(zhuǎn)發(fā)模式����、VSI管理服務(wù)器地址;
[0055]在通過虛擬機管理平臺在服務(wù)器上實例化一個虛擬交換機后��,虛擬機管理平臺會將VSI管理服務(wù)器地址和虛擬機轉(zhuǎn)發(fā)模式等信息下發(fā)給虛擬交換機���,虛擬交換機在獲得VSI管理服務(wù)器地址和虛擬機轉(zhuǎn)發(fā)模式后向其接入的邊緣交換機發(fā)送配置上報消息。本發(fā)明中所述的虛擬交換機是指支持EVB能力的交換機�,是否支持EVB功能由虛擬交換機的轉(zhuǎn)發(fā)模式?jīng)Q定。
[0056]在本發(fā)明一具體實施例中����,在所述配置上報消息中至少攜帶:用于指示虛擬交換機的轉(zhuǎn)發(fā)模式的信息、VSI管理服務(wù)器地址����。由于虛擬交換機轉(zhuǎn)發(fā)模式只有在VEPA模式或多通道模式下才能支持EVB功能,因此��,配置上報消息中虛擬交換機轉(zhuǎn)發(fā)模式只包括VEPA模式和多通道模式兩種模式��。
[0057]在本發(fā)明一具體實施例中�����,虛擬交換機與邊緣交換機通過LLDP協(xié)議進行配置協(xié)商,虛擬交換機通過擴展的LLDP報文發(fā)送所述配置上報消息����。
[0058]步驟302、邊緣交換機接收配置上報消息���,通過配置上報消息獲取虛擬交換機的MAC地址�、VSI管理服務(wù)器地址����、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號,并記錄在本地的虛擬交換機EVB配置列表中���。
[0059]邊緣交換機在本地建立和維護虛擬交換機EVB配置列表(以下簡稱配置列表)��,該配置列表用于記錄所有與該邊緣交換機連接的虛擬交換機的配置信息�,包括但不限于:虛擬交換機的MAC地址��、VSI管理服務(wù)器地址����、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號。
[0060]步驟304��、邊緣交換機向?qū)Χ说奶摂M交換機發(fā)送配置上報響應(yīng)消息����,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識。
[0061]步驟306��、虛擬交換機在接收到配置上報響應(yīng)消息后����,根據(jù)EVB支持標(biāo)識判定邊緣交換機支持EVB功能時,向邊緣交換機發(fā)送配置請求消息�。
[0062]步驟308、邊緣交換機接收到配置請求消息后��,邊緣交換機向虛擬交換機發(fā)送配置請求響應(yīng)消息��,通知對端接收到配置請求�����,并在配置請求響應(yīng)消息中攜帶指示EVB功能協(xié)商是否成功的指不/[目息�。
[0063]在不需要對虛擬交換機進行認(rèn)證的場景下,配置請求響應(yīng)消息中可直接攜帶指示EVB功能協(xié)商成功信息����,在需要對虛擬交換機進行認(rèn)證的場景下�����,當(dāng)認(rèn)證通過時�����,可在配置請求響應(yīng)消息中攜帶指示EVB功能協(xié)商成功信息����,在認(rèn)證失敗的情況下�,可在配置請求響應(yīng)消息中攜帶指示EVB功能協(xié)商失敗的信息。
[0064]步驟310����、邊緣交換機根據(jù)配置請求消息中的源MAC在本地虛擬交換機EVB配置列表中獲取對端虛擬交換機的配置信息,所述配置信息至少包括虛擬交換機的VSI�����,用獲取的VSI管理服務(wù)器地址等配置信息替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件�,然后執(zhí)行該配置腳本文件,將配置下發(fā)給與對端虛擬交換機對應(yīng)的接收配置上報消息的端口。
[0065]在本發(fā)明一實施例中��,在物理邊緣交換機上為支持EVB功能的端口預(yù)先存儲配置腳本文件模板��,該配置腳本文件模板中提供了命令行形式的配置語句���,配置語句攜帶有配置參數(shù),用于為支持EVB功能的端口下發(fā)有關(guān)EVB功能的配置參數(shù)����。其中,配置參數(shù)可通過腳本執(zhí)行程序替換為所需的內(nèi)容�,從而生成與指定虛擬交換機和本地端口對應(yīng)的配置腳本文件。
[0066]在本發(fā)明一實施例中����,將配置腳本文件模板可以集中存放在一個文件服務(wù)器上,邊緣交換機可通過腳本執(zhí)行程序獲取所需的配置腳本文件模板�����,然后再執(zhí)行后續(xù)的替換和下發(fā)操作���。
[0067]在本發(fā)明一實施例中�,為提高安全性��,步驟300中,在所述配置上報消息中還包括序列號字段���,該序列號字段為全局唯一的隨機值���,用于后續(xù)步驟中邊緣交換機對虛擬交換機進行認(rèn)證。所述序列號與虛擬交換機一一對應(yīng)����,且需要虛擬交換機和邊緣交換機分別在本地保存。相應(yīng)地����,在步驟302中,邊緣交換機還需要在虛擬交換機EVB配置列表中記錄該序列號�。
[0068]基于上述兩端保存的序列號,邊緣交換機對虛擬交換機的認(rèn)證方法具體為:
[0069]在步驟306中����,虛擬交換機在發(fā)送的配置請求消息中攜帶一認(rèn)證字段,該認(rèn)證字段通過兩端協(xié)商一致的加密算法對序列號及虛擬交換機的MAC地址進行加密后生成��;
[0070]在步驟308中����,邊緣交換機在接收到配置請求消息后���,取出消息中攜帶的認(rèn)證字段作為第一認(rèn)證字段,然后根據(jù)配置請求消息的源MAC地址在虛擬交換機EVB配置列表中獲取對應(yīng)的序列號�����,使用與虛擬交換機端相同的加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段����,判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同�����,若相同則確定對端虛擬交換機是合法的����,執(zhí)行后續(xù)的配置下發(fā)操作,否則確定對端虛擬交換機不合法�,丟棄接收到的配置請求消息或在向?qū)Χ颂摂M交換機發(fā)送的配置請求響應(yīng)消息中只攜帶認(rèn)證失敗的息。
[0071]為使本發(fā)明的技術(shù)方案更加清楚��,以下舉一具體實例來說明本發(fā)明提供的為交換機部署邊緣虛擬橋接功能的方法��。
[0072]在執(zhí)行自動部署步驟之前,首先在邊緣交換機上保存好EVB的配置腳本文件模板���,配置腳本文件模板包含的內(nèi)容包括但不限于:
[0073]1.VSI管理服務(wù)器地址����,配置示例如:vsi manager ip XXXX��,其中XXXX表示IP地址及端口號�,
[0074]2.1nterface X接口下使能EVB的必要配置
[0075]3.全局使能EVB的必要配置
[0076]…
[0077]步驟400、通過虛擬機管理平臺實例化一個虛擬交換機vSwitch時,為vSwitch配置VSI管理服務(wù)器地址�����、虛擬交換機轉(zhuǎn)發(fā)模式等���,當(dāng)虛擬交換機在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后����,向邊緣交換機發(fā)送配置上報消息�,其中攜帶虛擬交換機轉(zhuǎn)發(fā)模式、VSI管理服務(wù)器地址����、序列號�����。
[0078]vSwitch與邊緣交換機之間采用LLDP協(xié)議進行報文交互�,可通過擴展LLDP協(xié)議報文來實現(xiàn)配置上報消息�、配置上報響應(yīng)消息、配置請求消息��。該實施例采用如圖4所述的報文結(jié)構(gòu)來實現(xiàn)上述消息功能��,各字段的定義如下:
[0079]類型Type字段:為指定的一個唯一的消息類型標(biāo)識�。
[0080]長度Length字段:為消息長度��;
[0081]序列號Seqnum字段:由vSwitch側(cè)隨機分配一個數(shù)值,該數(shù)值在一定數(shù)值空間范圍內(nèi)變化�����,并且在盡可能長的時間周期內(nèi)不出現(xiàn)重復(fù)����。
[0082]角色Role字段:用于標(biāo)識設(shè)備角色,例如I表示本設(shè)備為vSwitch端��,等于O表示本設(shè)備為邊緣交換機端��。
[0083]EVB支持標(biāo)識Support:用于標(biāo)識本設(shè)備是否支持EVB功能,例如等于I表示支持,等于O表示不支持��。
[0084]轉(zhuǎn)發(fā)模式Mode字段:用于標(biāo)識vSwitch的轉(zhuǎn)發(fā)模式���,例如等于I表示多通道模式����,等于O表示VEPA模式���。
[0085]VSI管理服務(wù)器地址Manager ID字段:為虛擬站點接口 VSI管理服務(wù)器的地址��。
[0086]協(xié)商狀態(tài)Status字段����,用于指示EVB功能的協(xié)商狀態(tài)���,例如等于I表示協(xié)商成功���,等于O表示協(xié)商失敗。
[0087]原因Reason字段:用于指不協(xié)商結(jié)果的原因�,例如0x00表不操作成功,0x01表不TLV非法,其他為保留值����。
[0088]認(rèn)證Auth字段:用于存放認(rèn)證信息�。
[0089]當(dāng)然�,圖4只給出了攜帶信息的信元字段結(jié)構(gòu),在該結(jié)構(gòu)的外層再進行LLDP封裝后形成了擴展的LLDP報文���,該擴展LLDP報文本身會攜帶源MAC地址和目的MAC地址����。
[0090]例如�����,若配置上報消息采用圖4的消息結(jié)構(gòu)�,則vSwitch向邊緣交換機發(fā)送的配置上報消息中的字段取值可以為:Role = I表示vSwitch端,Support = I表示支持EVB能力��,Mode轉(zhuǎn)發(fā)模式為多通道模式(或者VEPA模式)����,Seqnum為一個隨機值�,Manager ID =VSI管理服務(wù)器的地址,Status = O表示還沒有協(xié)商成功�,Reson和Auth可以置空��。
[0091]步驟402�����、邊緣交換機接收配置上報消息���,根據(jù)配置上報消息中的Support字段獲知對端支持EVB功能時,獲取消息中的源MAC地址(即虛擬交換機的MAC地址)���、VSI管理服務(wù)器地址����、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號�����,并記錄在本地的虛擬交換機EVB配置列表���,如下表I所示:
[0092]表I
[0093]
ID I序列號 I虛擬機MAC地址 I轉(zhuǎn)發(fā)模式 Ivsi服務(wù)器地址~I本地端口
40032B53C267F 0c:da:00:ef:08:01 schannel iplportl
400332D8A293E 62:9c:02:ad:41:b0 schannel ip2port2
4003483D423A4 ef:31:5b:00:62:fl vepaip3port3 40035 53EF082D a4:31:b5:62:00:b7 schannel ip4port4
[0094]步驟404����、邊緣交換機向?qū)Χ说奶摂M交換機發(fā)送配置上報響應(yīng)消息���,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識���;
[0095]若配置上報響應(yīng)消息使用圖4的消息結(jié)構(gòu)�����,則取值可以是=Role = O表示交換機端����,Support = I表示支持EVB能力�,Status = O表示還沒有協(xié)商成功,Mode�����、Seqnum�����、Manager ID�����、Auth字段可置為空��。
[0096]步驟406����、虛擬交換機在接收到配置上報響應(yīng)消息后,根據(jù)消息中的Support字段判斷對端是否支持EVB功能���,當(dāng)判定對端支持EVB功能后����,向邊緣交換機發(fā)送配置請求消息��,并在配置請求消息中攜帶攜帶認(rèn)證字段����。
[0097]若配置請求消息采用圖4的消息結(jié)構(gòu),則虛擬交換機在Auth字段填充MD5 (Seqnum,虛擬交換機MAC地址)的結(jié)果值���,即使用MD5加密算法對該虛擬交換機對應(yīng)的序列號和虛擬交換機的MAC地址進行加密運算���,將加密后的結(jié)果值填充到Auth字段,其他字段可參考配置上報消息填充����。
[0098]步驟408��、邊緣交換機在接收到配置請求消息后���,取出消息中攜帶的認(rèn)證字段作為第一認(rèn)證字段,然后根據(jù)配置請求消息的源MAC地址在虛擬交換機EVB配置列表中獲取對應(yīng)的序列號�����,使用與虛擬交換機端相同的MD5加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段�����,然后判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同�,若相同則認(rèn)證成功,否則認(rèn)證失敗����。
[0099]當(dāng)認(rèn)證成功后,邊緣交換機向虛擬交換機發(fā)送配置請求響應(yīng)消息�����,并在配置請求響應(yīng)消息中攜帶EVB協(xié)商成功的信息���。若認(rèn)證失敗則說明該配置請求消息來自第三方欺騙攻擊報文����,丟棄該報文���。
[0100]若配置請求響應(yīng)消息采用圖4的消息結(jié)構(gòu)�����,在認(rèn)證通過的情況下���,可將Status置為I表示EVB功能協(xié)商成功。在認(rèn)證失敗的情況下�,可將Status置為O表示EVB功能協(xié)商失敗,Reason字段置為0x01表示TLV非法�����,其他字段可根據(jù)需要設(shè)置��。
[0101 ] 步驟410��、邊緣交換機根據(jù)配置請求消息中的源MAC在本地虛擬交換機EVB配置列表中獲取對應(yīng)的虛擬交換機的VSI管理服務(wù)器地址和本地端口信息�,并替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件,然后執(zhí)行該配置腳本文件,自動將配置下發(fā)給對應(yīng)的本地端口���。
[0102]假設(shè),邊緣交換機從本地端口 I接收到vSwitchl的配置請求消息,對應(yīng)Managerid = I,在本地端口 2接收到vSwitch2的配置請求消息,Manager id = 2,則邊緣交換機在本地端口 I下發(fā)對應(yīng)vSwitch I, Manager id = I的配置,在本地端口 2下發(fā)對應(yīng)vSwitch2,Manager id = 2 的配置�����。
[0103]與前述為交換機部署邊緣虛擬橋接功能的方法實施例相對應(yīng)����,本發(fā)明還提供了為交換機部署邊緣虛擬橋接功能的裝置實施例���。
[0104]本發(fā)明報文傳輸裝置的實施例可以分別應(yīng)用在虛擬交換機和邊緣交換機上���。裝置實施例可以通過軟件實現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)����。以軟件實現(xiàn)為例,作為一個邏輯意義上的裝置���,是通過其所在設(shè)備的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的�。從硬件層面而言�����,如圖5所示,為本發(fā)明提供的裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖�,除了圖5所示的處理器、網(wǎng)絡(luò)接口���、內(nèi)存以及非易失性存儲器之外,實施例中裝置所在的設(shè)備通常還可以包括其他硬件�,如負(fù)責(zé)處理報文的轉(zhuǎn)發(fā)芯片等等;從硬件結(jié)構(gòu)上來講該設(shè)備還可能是分布式的設(shè)備��,可能包括多個接口卡����,以便在硬件層面進行報文處理的擴展。
[0105]圖6為本發(fā)明一實施例提供的為交換機部署邊緣虛擬橋接功能的裝置結(jié)構(gòu)示意圖����,該裝置應(yīng)用在邊緣交換機上,所述裝置600包括:
[0106]接收記錄模塊601�����,用于接收虛擬交換機發(fā)送的配置上報消息����,從配置上報消息中獲取對端虛擬交換機的MAC地址���、虛擬站點接口 VSI管理服務(wù)器地址、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號��,并記錄在本地的虛擬交換機EVB配置列表中����;
[0107]能力響應(yīng)模塊602,用于向?qū)Χ颂摂M交換機發(fā)送配置上報響應(yīng)消息��,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識��;當(dāng)邊緣交換機支持EVB功能,且接收到對端虛擬交換機發(fā)送的配置請求消息時����,還用于向虛擬交換機發(fā)送配置請求響應(yīng)消息,指EVB功能協(xié)商是否成功�;
[0108]配置下發(fā)模塊603,用于當(dāng)EVB功能協(xié)商成功時����,從本地虛擬交換機EVB配置列表中獲取對端虛擬交換機的配置信息,并用獲取的配置信息替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件����,執(zhí)行該配置腳本文件��,將配置下發(fā)到與對端虛擬交換機對應(yīng)本地端口����,所述配置信息至少包括虛擬交換機的VSI��。
[0109]配置腳本文件模板預(yù)先存儲在所述邊緣交換機上��,或預(yù)先存儲在邊緣交換機的腳本執(zhí)行程序可達的文件服務(wù)器上�����。
[0110]在本發(fā)明一實施例中���,接收記錄模塊601還用于在所述配置上報消息中還攜帶與對端虛擬交換機一一對應(yīng)的序列號時,在虛擬交換機EVB配置列表中記錄所述序列號�����;
[0111]所述能力響應(yīng)模塊602還用于在向虛擬交換機發(fā)送配置請求響應(yīng)消息之前�����,從配置請求消息中提取認(rèn)證字段作為第一認(rèn)證字段,所述認(rèn)證字段由對端虛擬交換機對與該對端虛擬交換機的MAC地址及序列號進行加密后生成�����;以及根據(jù)配置請求消息的源MAC地址����,從本地虛擬交換機EVB配置列表中獲取與該對端虛擬交換機對應(yīng)的序列號,并使用與對端虛擬交換機端相同的加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段���,判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同����,若相同則表示認(rèn)證成功�,否則表示認(rèn)證失敗,在認(rèn)證成功時執(zhí)行后續(xù)的配置下發(fā)操作���。
[0112]圖7為本發(fā)明一實施例提供的為交換機部署邊緣虛擬橋接功能的裝置結(jié)構(gòu)示意圖����,該裝置應(yīng)用在虛擬交換機上���,所述裝置700包括:
[0113]配置上報模塊701�����,用于在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后�����,向邊緣交換機發(fā)送配置上報消息���,其中至少攜帶虛擬交換機轉(zhuǎn)發(fā)模式�、VSI管理服務(wù)器地址��;
[0114]配置請求模塊702���,用于在接收到對端邊緣交換機發(fā)送的配置上報響應(yīng)消息后,根據(jù)消息中的EVB支持標(biāo)識判定邊緣交換機支持EVB功能時�����,向邊緣交換機發(fā)送配置請求消肩��、O
[0115]本發(fā)明一實施例中�,配置上報消息中還攜帶與所述虛擬交換機對應(yīng)的序列號;且在配置請求消息中攜帶虛擬交換機對該虛擬交換機的MAC地址及序列號加密生成的認(rèn)證字段��。
[0116]顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白��,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)�,它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上�,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)�,從而,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行�����,或者將它們分別制作成各個集成電路模塊�����,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)���。這樣�,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�。所述存儲裝置為非易失性存儲器,如:ROM/RAM���、閃存���、磁碟�、光盤等���。
[0117]以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�、等同替換���、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�����。
【權(quán)利要求】
1.一種為交換機部署邊緣虛擬橋接功能的方法,該方法應(yīng)用在邊緣交換機上���,其特征在于�����,所述方法包括: 接收虛擬交換機發(fā)送的配置上報消息����,從配置上報消息中獲取對端虛擬交換機的MAC地址����、虛擬站點接口 VSI管理服務(wù)器地址、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號����,并記錄在本地的虛擬交換機EVB配置列表中; 向?qū)Χ颂摂M交換機發(fā)送配置上報響應(yīng)消息����,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識; 當(dāng)邊緣交換機支持EVB功能�����,且接收到對端虛擬交換機發(fā)送的配置請求消息時,向虛擬交換機發(fā)送配置請求響應(yīng)消息�����,指示EVB功能協(xié)商是否成功����; 當(dāng)EVB功能協(xié)商成功時,所述邊緣交換機從本地虛擬交換機EVB配置列表中獲取對端虛擬交換機的配置信息���,并用獲取的配置信息替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件�����,執(zhí)行該配置腳本文件����,將配置下發(fā)到與對端虛擬交換機對應(yīng)本地端口���,所述配置信息至少包括虛擬交換機的VSI���。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于��, 所述配置上報消息中還攜帶與對端虛擬交換機一一對應(yīng)的序列號�,所述邊緣交換機還在虛擬交換機EVB配置列表中記錄所述序列號; 所述邊緣交換機向虛擬交換機發(fā)送配置請求響應(yīng)消息之前�,還包括如下認(rèn)證步驟: 從配置請求消息中提取認(rèn)證字段作為第一認(rèn)證字段,所述認(rèn)證字段由對端虛擬交換機對與該對該虛擬交換機的MAC地址及序列號進行加密后生成�����; 所述邊緣交換機根據(jù)配置請求消息的源MAC地址�����,從本地虛擬交換機EVB配置列表中獲取與該對端虛擬交換機對應(yīng)的序列號����,并使用與對端虛擬交換機端相同的加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段,判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同���,若相同則表示認(rèn)證成功����,否則表示認(rèn)證失敗���,在認(rèn)證成功時執(zhí)行后續(xù)的配置下發(fā)操作����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述的配置腳本文件模板預(yù)先存儲在所述邊緣交換機上����,或預(yù)先存儲在邊緣交換機的腳本執(zhí)行程序可達的文件服務(wù)器上。
4.一種為交換機部署邊緣虛擬橋接功能的方法���,該方法應(yīng)用在虛擬交換機上���,其特征在于,所述方法包括: 在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后�,向邊緣交換機發(fā)送配置上報消息,其中至少攜帶虛擬交換機轉(zhuǎn)發(fā)模式�、VSI管理服務(wù)器地址; 在接收到對端邊緣交換機發(fā)送的配置上報響應(yīng)消息后�,根據(jù)消息中的EVB支持標(biāo)識判定邊緣交換機支持EVB功能時,向邊緣交換機發(fā)送配置請求消息�����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�, 所述配置上報消息中還攜帶與所述虛擬交換機對應(yīng)的序列號�����; 在所述配置請求消息中攜帶所述虛擬交換機對該虛擬交換機的MAC地址及序列號加密生成的認(rèn)證字段�。
6.一種為交換機部署邊緣虛擬橋接功能的裝置,該裝置應(yīng)用在邊緣交換機上���,其特征在于��,所述裝置包括: 接收記錄模塊���,用于接收虛擬交換機發(fā)送的配置上報消息,從配置上報消息中獲取對端虛擬交換機的MAC地址����、虛擬站點接口 VSI管理服務(wù)器地址、轉(zhuǎn)發(fā)模式及接收配置上報消息的端口號�,并記錄在本地的虛擬交換機EVB配置列表中; 能力響應(yīng)模塊�,用于向?qū)Χ颂摂M交換機發(fā)送配置上報響應(yīng)消息,其中攜帶用于指示該邊緣交換機是否支持EVB功能的EVB支持標(biāo)識��;當(dāng)邊緣交換機支持EVB功能,且接收到對端虛擬交換機發(fā)送的配置請求消息時,還用于向虛擬交換機發(fā)送配置請求響應(yīng)消息�����,指示EVB功能協(xié)商是否成功�; 配置下發(fā)模塊,用于當(dāng)EVB功能協(xié)商成功時�����,從本地虛擬交換機EVB配置列表中獲取對端虛擬交換機的配置信息�����,并用獲取的配置信息替換配置腳本文件模板中對應(yīng)的配置參數(shù)生成與對端虛擬交換機對應(yīng)的配置腳本文件��,執(zhí)行該配置腳本文件����,將配置下發(fā)到與對端虛擬交換機對應(yīng)本地端口,所述配置信息至少包括虛擬交換機的VSI����。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于, 所述接收記錄模塊��,還用于在所述配置上報消息中還攜帶與對端虛擬交換機一一對應(yīng)的序列號時�,在虛擬交換機EVB配置列表中記錄所述序列號; 所述能力響應(yīng)模塊��,還用于在向虛擬交換機發(fā)送配置請求響應(yīng)消息之前���,從配置請求消息中提取認(rèn)證字段作為第一認(rèn)證字段,所述認(rèn)證字段由對端虛擬交換機對與該對端虛擬交換機的MAC地址及序列號進行加密后生成�;以及根據(jù)配置請求消息的源MAC地址,從本地虛擬交換機EVB配置列表中獲取與該對端虛擬交換機對應(yīng)的序列號��,并使用與對端虛擬交換機端相同的加密算法對該源MAC地址及對應(yīng)的序列號進行加密獲得第二認(rèn)證字段�,判斷第一認(rèn)證字段與第二認(rèn)證字段是否相同,若相同則表示認(rèn)證成功�����,否則表示認(rèn)證失敗���,在認(rèn)證成功時執(zhí)行后續(xù)的配置下發(fā)操作����。
8.根據(jù)權(quán)利要求6所述的裝置���,其特征在于��,所述的配置腳本文件模板預(yù)先存儲在所述邊緣交換機上�����,或預(yù)先存儲在邊緣交換機的腳本執(zhí)行程序可達的文件服務(wù)器上��。
9.一種為交換機部署邊緣虛擬橋接功能的裝置����,該裝置應(yīng)用在虛擬交換機上,其特征在于���,所述裝置包括: 配置上報模塊�����,用于在獲得VSI管理服務(wù)器地址及轉(zhuǎn)發(fā)模式的配置信息后�,向邊緣交換機發(fā)送配置上報消息�,其中至少攜帶虛擬交換機轉(zhuǎn)發(fā)模式、VSI管理服務(wù)器地址�����; 配置請求模塊,用于在接收到對端邊緣交換機發(fā)送的配置上報響應(yīng)消息后����,根據(jù)消息中的EVB支持標(biāo)識判定邊緣交換機支持EVB功能時,向邊緣交換機發(fā)送配置請求消息����。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于�����, 所述配置上報消息中還攜帶與所述虛擬交換機對應(yīng)的序列號; 在所述配置請求消息中攜帶所述虛擬交換機對該虛擬交換機的MAC地址及序列號加密生成的認(rèn)證字段����。
【文檔編號】H04L12/46GK104202187SQ201410433318
【公開日】2014年12月10日 申請日期:2014年8月28日 優(yōu)先權(quán)日:2014年8月28日
【發(fā)明者】伊莉娜 申請人:杭州華三通信技術(shù)有限公司