WO2018028606A1

WO2018028606A1 - 转发策略配置

Info

Publication number: WO2018028606A1
Application number: PCT/CN2017/096648
Authority: WO
Inventors: 金小艇; 王伟
Original assignee: New H3C Technologies Co Ltd
Current assignee: New H3C Technologies Co Ltd
Priority date: 2016-08-11
Filing date: 2017-08-09
Publication date: 2018-02-15
Anticipated expiration: 2019-02-11
Also published as: EP3499799A4; US11086653B2; EP3499799B1; US20190235909A1; JP6789376B2; CN107733670A; CN107733670B; EP3499799A1; JP2019525631A

Abstract

在本发明实施例中，云管理平台得到虚拟机与网络设备之间的第一映射关系；向所述网络设备对应的智能网络管理中心发送第一通知消息，所述第一通知消息中携带有所述虚拟机的虚拟机信息和所述网络设备的网络设备信息，以使所述智能网络管理中心根据所述第一通知消息为所述网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述网络设备对所述虚拟机的报文进行处理。

Description

转发策略配置

相关申请的交叉引用

本专利申请要求于2016年8月11日提交的、申请号为201610661890.X、发明名称为“一种转发策略配置方法和装置”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

背景技术

目前，数据中心可以包括SDN(Software Defined Network，软件定义网络)和VXLAN(Virtual eXtensible Local Area Network，可扩展虚拟局域网络)构建的网络。其中，SDN是基于一种新型的网络架构。在SDN中，分离网络设备的控制层面与转发层面，并通过控制器(如SDN控制器)对网络流量进行集中和灵活控制，从而为核心网络以及应用提供良好的平台。

附图说明

图1是本发明一种实施方式中的应用场景示意图；

图2是本发明一种实施方式中的转发策略配置方法的流程图；

图3是本发明一种实施方式中的维护第一映射关系的流程图；

图4是本发明一种实施方式中的转发策略配置方法的流程图；

图5是本发明一种实施方式中的云管理平台的硬件结构图；

图6是本发明一种实施方式中的转发策略配置装置的结构图；

图7是本发明一种实施方式中的智能网络管理中心的硬件结构图；

图8是本发明一种实施方式中的转发策略配置装置的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在本发明使用的术语仅仅是出于描述特定实施例的目的，而非限制本发明。本发明和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在虚拟局域网(Virtual Local Area Network，VLAN中，不同租户之间需要在二层域进行逻辑隔离。然而，VLAN在二层域最大支持4096个逻辑隔离区域。因此，VLAN无法满足快速增加的租户规模。基于此，VXLAN技术应运而生。VXLAN具有更大的标识空间，用于标识逻辑隔离区域。并且，VXLAN在三层网络上运行，更加容易部署和维护。

本发明实施例中提出了一种转发策略配置方法，该方法可以应用于一数据中心。在一个例子中，该数据中心可以基于SDN+VXLAN的网络构架。该数据中心可以包括，但不限于，物理服务器、控制器(如SDN控制器等)、云管理平台、网络设备、智能网络管理中心的网络。以图1为本发明实施例的应用场景示意图，如图1所示，在物理服务器370上配置了虚拟机371、虚拟机372、虚拟机373和虚拟交换机374，在物理服务器380上配置了虚拟机381、虚拟机382、虚拟机383和虚拟交换机384，在物理服务器390上配置了虚拟机391、虚拟机392、虚拟机393和虚拟交换机394。与物理服务器370连接的网络设备为网络设备340，与物理服务器380连接的网络设备为网络设备350，与物理服务器390连接的网络设备为网络设备360。

在一个例子中，可以在网络中部署云管理平台。该云管理平台管理大量的计算资源、存储资源以及网络资源，并为租户分配相应的虚拟机。例如，如图1所示，云管理平台310可以在物理服务器370上为租户1分配虚拟机371、虚拟机372、虚拟机373，并在物理服务器380上为租户2分配虚拟机381、虚拟机382、虚拟机383，并在物理服务器390上为租户3分配虚拟机391、虚拟机392、虚拟机393。

在一个例子中，可以在网络中部署智能网络管理中心。该智能网络管理中心可以管理网络设备。在一个例子中，网络设备可以为路由器或者交换机。例如，如图1所示，该智能网络管理设备330可以管理与物理服务器370连接的网络设备340、与物理服务器380连接的网络设备350、与物理服务器390连接的网络设备360、VXLAN网络200中的网络设备210和网络设备220等。

在图1中，由各物理服务器上的虚拟机、虚拟交换机等组建的网络为业务层(overlay)网络，可以由云管理平台对overlay网络中的虚拟机、虚拟交换机进行管理。由与物理服务器连接的网络设备、VXLAN网络中的各网络设备等组建的网络为承载层(underlay)网络，可以由智能网络管理中心对underlay网络中的各设备进行管理。

在上述应用场景下，在overlay网络中，当虚拟机371待发送给虚拟机381的报文到达虚拟交换机374后，虚拟交换机374可以根据overlay网络规划，为该报文设置对应的overlay网络的转发策略，对报文进行VXLAN封装，并将VXLAN封装后的报文发送给网络设备340，以使报文将在underlay网络进行传输。在underlay网络中，在收到报文后，由于网络设备340并不支持在overlay网络中转发策略，该网络设备340只能根据该报文的目的IP地址传输该报文。因此，无法让overlay网络的转发策略体现在underlay网络，造成了overlay网络和underlay网络的脱节。

针对上述问题，在一个例子中，可以使overlay网络的规划应用于underlay网络，使得overlay网络的转发策略，能够体现在underlay网络中。具体地，在underlay网络中的网络设备可以基于overlay网络的转发策略对来自overlay网络的报文进行报文传输，实现overlay网络的不同报文在underlay网络的区别处理。具体地，当不同报文对应不同转发策略时，可以基于报文对应的转发策略对该报文进行转发。例如，当报文1对应转发策略1，报文2对应转发策略2时，在underlay网络中，依据转发策略1对报文1进行传输，依据转发策略2对报文2进行传输。进一步地，通过为攻击者发送的报文设置用于过滤报文的转发策略，使得攻击者发送的报文无法在underlay网络中进行传输，保证underlay网络的安全性。由于合法用户发送的报文不会匹配到用于过滤报文的转发策略，因此合法用户发送的报文可以在underlay网络中正常传输。

在上述应用场景下，参见图2所示，本发明实施例中提出的转发策略配置方法，可以应用在云管理平台上，且该转发策略配置方法可以包括以下步骤：

步骤201，得到虚拟机与网络设备之间的第一映射关系。

在一个例子中，可以维护虚拟机与网络设备的位置关系。

在一个例子中，该维护虚拟机与网络设备的位置关系的过程，可以包括但不限于如下方式：维护虚拟机信息、与虚拟机所在物理服务器连接的网络设备的设备标识、该网络设备上与物理服务器连接的端口的端口标识的第一映射关系。

在一个例子中，针对步骤201，如图3所示，维护所述第一映射关系的过程，具体可以包括但不限于如下方式：

步骤2011，获得物理服务器的MAC(Media Access Control，介质访问控制)地址。其中，在物理服务器启动之后，由于物理服务器是由云管理平台进行管理的，因此，云管理平台可以收集各个物理服务器的MAC地址，并维护如表1所示的物理服务器的标识与物理服务器的MAC地址的映射关系。

表1

物理服务器的标识	物理服务器的MAC地址
物理服务器1	MAC1
物理服务器2	MAC2
物理服务器3	MAC3
…	…
物理服务器N	MACN

步骤2012，向智能网络管理中心发送携带MAC地址的查询消息。

在一个例子中，云管理平台需要查询一个或者多个MAC地址(如MAC1、MAC2、MAC3等)对应的网络设备时，向智能网络管理中心发送携带该一个或者多个MAC地址的查询消息。为了方便说明，以携带MAC1为例进行说明。对于携带多个MAC地址的处理方式，与此类似，不再赘述。其中，该查询消息用于查询与物理服务器370(即MAC1对应的物理服务器)连接的网络设备的设备标识、以及该网络设备上与物理服务器370连接的端口的端口标识。

在一个例子中，查询消息可以是基于REST(Representational State Transfer，表征状态传输，也可以称为具象状态传输或者表述性状态转移)API(Application Programming Interface，应用程序编程接口)格式的消息。当然，在实际应用中，查询消息也可以是其它格式的消息，其处理过程与REST API格式的处理类似，在此不再赘述，本发明实施例中对此消息格式不做限制。

在一个例子中，REST API格式的查询消息可以包括如下字段：接口类型字段，用于表示当前消息用于根据MAC地址查询网络设备的设备标识以及端口的端口标识；接口URL(Uniform Resource Locator，统一资源定位符)字段：智能网络管理中心的URL，通过该接口URL字段，可以将查询消息发送到智能网络管理中心；参数字段：用于携带待查询的MAC 地址，如上述的MAC1。

步骤2013，接收来自智能网络管理中心的响应消息，该响应消息中携带该MAC地址(即查询消息中携带的MAC地址)对应的网络设备的设备标识和端口标识。

在一个例子中，智能网络管理中心可以从自身管理的网络设备上获取到物理服务器的MAC表项，其中，该MAC表项中可以记录该网络设备学习到的物理服务器的MAC地址、以及该MAC地址对应的端口标识。并且，智能网络管理中心在本地维护该MAC地址、该端口标识、该网络设备的设备标识的映射关系。

智能网络管理中心在接收到来自云管理平台的携带MAC地址的查询消息之后，可通过该MAC地址查询映射关系，得到对应的端口标识和设备标识，并将携带该端口标识和该设备标识的响应消息发送给云管理平台。之后，云管理平台可以接收携带该设备标识和该端口标识的响应消息。

在智能网络管理中心从自身管理的网络设备上获取MAC表项”的过程中，由于各网络设备(如网络设备340、网络设备350、网络设备360、网络设备210和网络设备220等)由智能网络管理中心进行管理，因此智能网络管理中心可以直接向自身管理的各网络设备发送MAC表项查询命令，如基于MIB(Management Information Base，管理信息库)类型的MAC表项查询命令，或者，基于SNMP(Simple Network Management Protocol，简单网络管理协议)类型的MAC表项查询命令，该查询命令用于请求获取网络设备学习到的物理服务器的MAC表项。

在物理服务器启动之后，与物理服务器连接的网络设备在接收到来自物理服务器的报文时，可以学习到该物理服务器对应的MAC表项。该MAC表项记录了该物理服务器的MAC地址以及网络设备上与该物理服务器连接的端口的端口标识。网络设备在接收到来自智能网络管理中心的MAC表项查询命令后，可以将本地学习到的MAC表项发送给智能网络管理中心。例如，如表2所示，为网络设备340学习到的MAC表项的一个示例。此外，网络设备350、网络设备360学习到的MAC表项与表2所示的MAC表项类似，在此不再赘述。

表2

MAC地址	端口标识
MAC1	端口341

在各网络设备将本地学习到的MAC表项发送给智能网络管理中心之后，智能网络管理中心就可以从自身管理的网络设备上获取到MAC表项。

在智能网络管理中心在本地维护该MAC地址、该端口标识、该网络设备的设备标识的映射关系的过程中，智能网络管理中心可以维护表3所示的MAC地址、端口标识、设备标识的映射关系。例如，智能网络管理中心在接收到来自网络设备340的MAC表项(如表2所示)后，可以将MAC表项中的MAC1和端口1记录到表3中，并将网络设备340的设备标识记录到表3中。再如，智能网络管理中心在接收到来自网络设备350的MAC表项以及网络设备360的MAC表项后，也可以将相关信息记录到表3中，最终可以维护表3所示的映射关系。

表3

MAC地址	设备标识	端口标识
MAC1	网络设备340	端口341
MAC2	网络设备350	端口351
MAC3	网络设备360	端口361

在一个例子中，网络设备学习到的MAC表项中还可以包含VLAN(Virtual Local Area Network，虚拟局域网)信息，例如，表4中可以包含VLAN信息。相应地，智能网络管理中心在维护表3所示的映射关系时，还可以在该映射关系中记录该VLAN信息，如表4所示。在实际应用中，该映射关系中还可以包含其它信息，本发明实施例中对此不做限制，以表3或者表4为例。

表4

MAC地址	设备标识	端口标识	VLAN信息
MAC1	网络设备340	端口341	100
MAC2	网络设备350	端口351	200
MAC3	网络设备360	端口361	300

在智能网络管理中心通过该MAC地址查询映射关系，得到对应的端口标识和设备标识的过程中，智能网络管理中心在接收到来自云管理平台的携带MAC1的查询消息之后，通过该MAC1查询表3或者表4，可以得到端口标识为端口341，并进一步得到设备标识为网络设备340。此外，还可以得到VLAN信息为100。

在智能网络管理中心将携带该端口标识和该设备标识的响应消息发送给云管理平台的过程中，该响应消息可以是基于REST API格式的消息。在实际应用中，该响应消息也可以是基于其它格式的消息。对该响应消息的处理过程与对REST API格式消息的处理过程类似，在此不再赘述。本发明实施例中对响应消息格式不做限制。在一个例子中，REST API格式的响应消息可以至少包括如下字段：接口类型字段，用于表示当前消息是响应消息；参数字段，用于携带MAC1、网络设备340、端口341。在一个例子中，参数字段还可以携带VLAN信息为100。

在一个例子中，在智能网络管理中心在接收到来自云管理平台的携带物理服务器的MAC 地址的查询消息后，从自身管理的网络设备上获取该MAC地址对应的端口标识，并将携带该端口标识和该网络设备的设备标识的响应消息发送给云管理平台。云管理平台接收携带该设备标识和该端口标识的响应消息。

在智能网络管理中心从自身管理的网络设备上获取该MAC地址对应的端口标识的过程中，智能网络管理中心在接收到来自云管理平台的查询消息之后，可以从该查询消息中解析出MAC地址，如MAC1。各网络设备由智能网络管理中心进行管理，因此，智能网络管理中心可以直接向自身管理的各网络设备发送携带MAC1的MAC表项查询命令，如基于MIB类型的MAC表项查询命令，或者，基于SNMP类型的MAC表项查询命令。该MAC表项查询命令用于请求学习到MAC1的网络设备返回与MAC1相关的MAC表项。

在物理服务器启动之后，与物理服务器连接的网络设备在接收到来自物理服务器的报文时，可以学习到该物理服务器对应的MAC表项。该MAC表项中记录了该物理服务器的MAC地址以及网络设备上与该物理服务器连接的端口的端口标识。基于此，网络设备在接收到来自智能网络管理中心的携带MAC1的MAC表项查询命令后，先判断本地是否有与MAC1相关的MAC表项。如果是，将与MAC1相关的MAC表项发送给智能网络管理中心。如果否，不向智能网络管理中心发送MAC表项。在本例子中，网络设备340将上述表2所示的MAC表项发送给智能网络管理中心，而网络设备350/网络设备360不再发送MAC表项。

在智能网络管理中心将携带该端口标识和该网络设备的设备标识的响应消息发送给云管理平台的过程中，智能网络管理中心在接收到来自网络设备340的MAC表项后，可以获取该网络设备340的设备标识，并通过响应消息将端口标识341和设备标识340发送给云管理平台。其中，该响应消息可以是基于REST API格式的消息，且可以携带MAC1、网络设备1、端口1。

在一个例子中，网络设备学习到的MAC表项中还可以包含VLAN信息，且智能网络管理中心发送的响应消息中还可以携带该VLAN信息，如100。

在此步骤中，如果智能网络管理中心未获得MAC1对应的端口标识和设备标识，则可以向云管理平台发送失败消息，对此过程不再详加说明。

步骤2014，在接收到响应消息后，维护MAC地址(即物理服务器的MAC地址)、物理服务器的标识、设备标识、端口标识的第二映射关系。

云管理平台在接收到响应消息之后，可以从该响应消息中解析出设备标识和端口标识，例如，网络设备340和端口341。在一个例子中，该响应消息中可以不携带MAC地址。由于该响应消息是针对携带MAC1的查询消息的响应消息，可以确定MAC1与网络设备340、端口341相对应。在另一个例子中，该响应消息中可以携带MAC1，则可以直接确定MAC1与网络设备340、端口341相对应。

云管理平台可以获知MAC地址、设备标识、端口标识的映射关系。之后，云管理平台可以通过该MAC地址查询表1所示的映射关系，以得到物理服务器的标识，继而维护MAC地址、物理服务器的标识、设备标识、端口标识的第二映射关系，如表5所示，为第二映射关系的一个示例。此外，云管理平台还可以从响应消息中进一步解析出VLAN信息，并获知MAC地址、设备标识、端口标识、VLAN信息的映射关系。相应地，第二映射关系中还可以包含VLAN信息，如表6所示，为包含VLAN信息的第二映射关系的另一个示例。

表5

物理服务器的标识	MAC地址	设备标识	端口标识
物理服务器370	MAC1	网络设备340	端口341
物理服务器380	MAC2	网络设备350	端口351
物理服务器390	MAC3	网络设备360	端口361

表6

物理服务器的标识	MAC地址	设备标识	端口标识	VLAN信息
物理服务器370	MAC1	网络设备340	端口341	100
物理服务器380	MAC2	网络设备350	端口351	200
物理服务器390	MAC3	网络设备360	端口361	300

步骤2015，在虚拟机使能时，确定该虚拟机所在的物理服务器，并根据该物理服务器的标识查询第二映射关系，得到对应的设备标识和端口标识。

在一个例子中，由于虚拟机由云管理平台进行管理，且云管理平台在物理服务器上为租户分配虚拟机，因此，云管理平台可以获知该虚拟机所在的物理服务器，例如，虚拟机371、虚拟机372和虚拟机373均位于物理服务器370上。在虚拟机(如虚拟机371)使能(如虚拟机启动)时，云管理平台可以直接确定虚拟机371对应物理服务器370，并根据该物理服务器370的标识(如物理服务器1)查询表5或者表6的第二映射关系，得到对应的网络设备340和端口341。

步骤2016，维护虚拟机信息、设备标识、端口标识的第一映射关系。

在一个例子中，第一映射关系可以如表7、或者表8、或者表9所示，上述各表只是该第一映射关系的几个示例，本发明实施例中对此不做限制。

表7

虚拟机信息	设备标识	端口标识
虚拟机371	网络设备340	端口341

虚拟机372	网络设备340	端口341
虚拟机373	网络设备340	端口341
虚拟机381	网络设备350	端口351
虚拟机382	网络设备350	端口351
虚拟机383	网络设备350	端口351
虚拟机391	网络设备360	端口361
虚拟机392	网络设备360	端口361
虚拟机393	网络设备360	端口361

表8

虚拟机信息	物理服务器的标识	MAC地址	设备标识	端口标识
虚拟机371	物理服务器370	MAC1	网络设备340	端口341
虚拟机372	物理服务器370	MAC1	网络设备340	端口341
虚拟机373	物理服务器370	MAC1	网络设备340	端口341
虚拟机381	物理服务器380	MAC2	网络设备350	端口351
虚拟机382	物理服务器380	MAC2	网络设备350	端口351
虚拟机383	物理服务器380	MAC2	网络设备350	端口351
虚拟机391	物理服务器390	MAC3	网络设备360	端口361
虚拟机392	物理服务器390	MAC3	网络设备360	端口361
虚拟机393	物理服务器390	MAC3	网络设备360	端口361

表9

步骤202，向所述网络设备对应的智能网络管理中心发送通知消息。

其中，所述通知消息中携带有所述虚拟机的虚拟机信息和所述网络设备的网络设备信息，以使所述智能网络管理中心根据所述通知消息为所述网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述网络设备对所述虚拟机的报文进行处理。

在一个例子中，利用虚拟机与网络设备的位置关系向智能网络管理中心发送通知消息。

其中，该通知消息中携带有该虚拟机的信息和该网络设备的信息，以使智能网络管理中心根据该通知消息为该网络设备配置针对该虚拟机的转发策略，该转发策略用于使该网络设备对该虚拟机的报文进行处理。

在一个例子中，基于虚拟机信息、网络设备的设备标识、端口的端口标识的第一映射关系，该虚拟机的信息可以为虚拟机的报文特征信息，该网络设备的信息可以为设备标识(与该虚拟机所在物理服务器连接的网络设备的设备标识)、端口标识(该网络设备上与该物理服务器连接的端口的端口标识)。

在一个例子中，该转发策略用于使该网络设备信任通过该端口(端口标识对应的端口)接收到的携带该报文特征信息的报文中的策略。

在一个例子中，该报文可以包括但不限于VXLAN报文。该报文特征信息可以包括但不限于VXLAN标识。虚拟机是由云管理平台进行管理，因此，每个虚拟机对应的VXLAN标识由云管理平台进行分配，云管理平台可以获知每个虚拟机对应的VXLAN标识，如虚拟机371对应VXLAN标识100。其中，云管理平台还可以在上述第一映射关系中记录各虚拟机对应的VXLAN标识，这样就可以基于第一映射关系直接查询到虚拟机对应的VXLAN标识。

在一个例子中，通知消息可以是基于REST API格式的消息。当然，在实际应用中，通知消息也可以是其它格式的消息，其处理过程与REST API格式的处理过程类似，在此不再赘述。另外，本发明实施例对通知消息格式不做限制。

在一个例子中，以发送针对虚拟机371的通知消息为例，REST API格式的通知消息可以至少包括如下字段：接口类型字段，用于表示当前消息用于给网络设备的端口设置信任特定VXLAN标识的VXLAN报文的策略；接口URL字段，为智能网络管理中心的URL，通过该接口URL字段，可以将通知消息发送到智能网络管理中心；参数字段，用于携带虚拟机371的VXLAN标识、虚拟机371对应的网络设备的设备标识340、虚拟机371对应的端口的端口标识341。

在一个例子中，智能网络管理中心在接收到通知消息后，解析出报文特征信息、设备标识、端口标识，并为该设备标识对应的网络设备配置转发策略，并将转发策略下发给该网络设备。其中，该转发策略用于使网络设备信任通过端口(该端口标识对应的端口)接收到的携带该报文特征信息的报文中的策略。例如，为网络设备340配置转发策略，该转发策略用于使网络设备340信任通过端口341接收到的携带VXLAN标识100的VXLAN报文中的策略。

在一个例子中，上述报文中的策略可以包括但不限于转发优先级，后续以报文中的策略为转发优先级为例，对于其它策略，其处理方式与此类似。

基于上述过程，以虚拟机371向虚拟机381发送报文为例进行说明。当虚拟机371向虚拟机381发送报文时，该报文在到达虚拟交换机371后，查询到该报文匹配的控制流表(由控制器下发给虚拟交换机371)。基于该控制流表，虚拟交换机371对报文进行VXLAN封装。在对报文进行VXLAN封装时，对于VXLAN封装后的报文(即VXLAN报文)的外层IP头，源IP地址为虚拟交换机371的IP地址，目的IP地址为虚拟交换机384的IP地址，VXLAN标识为虚拟机371对应的VXLAN标识100，DSCP(Differentiated Services Code Point，差分服务代码点)字段为转发优先级(该转发优先级可以根据实际需要进行配置，本发明实施例中不限制其数值)。虚拟交换机371将VXLAN封装后的报文发送给网络设备340。

由于网络设备340上配置了转发策略，该转发策略用于使网络设备340信任通过端口341接收到的携带VXLAN标识100的VXLAN报文中的转发优先级，网络设备340在通过端口341接收到VXLAN报文后，可以信任VXLAN报文中的转发优先级(其携带于DSCP字段)。基于目的IP地址(虚拟交换机384的IP地址)，网络设备340可以根据DSCP字段的转发优先级转发该报文。而且，VXLAN网络中的各网络设备也都信任网络设备340的处理结果，因此，各网络设备也会根据DSCP字段的转发优先级转发报文。最终，该报文被按照转发优先级传输到虚拟交换机384。虚拟交换机384可以去除VXLAN封装的IP头，得到原始报文，该原始报文的源IP地址为虚拟机371的IP地址，目的IP地址为虚拟机381的IP地址，因此可以将报文发送给虚拟机381，至此完成报文的传输。

基于上述方式，各网络设备可以按照DSCP字段的转发优先级转发虚拟机371向虚拟机381发送的报文。这样，在SDN+VXLAN构建的网络中，可以使overlay网络的规划与underlay网络相衔接，使得overlay网络规划的转发优先级，能够体现到underlay网络。具体地，underlay网络可以基于转发优先级进行报文传输，实现不同overlay网络的报文在underlay网络的区别处理。具体地，可以针对不同报文进行区别处理，当不同报文对应不同转发策略时，可以基于报文对应的转发策略对该报文进行转发。例如，当报文1对应转发策略1，报文2对应转发策略2时，在underlay网络中，依据转发策略1对报文1进行传输，依据转发策略2对报文2进行传输。而且，通过为攻击者发送的报文设置用于过滤报文的转发策略，使得攻击者发送的报文无法在underlay网络中进行传输，保证underlay网络的安全性，且由于合法用户发送的报文不会匹配到用于过滤报文的转发策略，因此合法用户发送的报文可以在underlay网络中正常传输。

在一个例子中，当虚拟机、设备标识、端口标识的第一映射关系发生变化时，则云管理平台还可以使用变化后的第一映射关系更新本地维护的第一映射关系，并向智能网络管理中心发送删除消息，其中，该删除消息用于使智能网络管理中心删除之前为网络设备配置的转发策略。进一步的，云管理平台可以利用变化后的第一映射关系向智能网络管理中心发送通知消息。

在一种情况下、云管理平台可以周期性获取虚拟机、设备标识、端口标识的第一映射关系，如每24小时获取一次第一映射关系，具体获取方式参见步骤201。如果当前获取的第一映射关系与本地维护的第一映射关系相同，则说明与物理服务器连接的网络设备没有发生变化，结束流程。如果当前获取的第一映射关系与本地维护的第一映射关系不同，则说明与物理服务器连接的网络设备发生变化，云管理平台可以更新本地维护的第一映射关系(即使用变化后的第一映射关系更新本地维护的第一映射关系)，并向智能网络管理中心发送删除消息，该删除消息用于使智能网络管理中心删除之前为网络设备配置的转发策略，并利用变化后的第一映射关系向智能网络管理中心发送通知消息。

其中，对于发送通知消息的过程，与步骤202类似，在此不再赘述。以下对发送删除消息的过程进行说明。删除消息可以是基于REST API格式的消息，在实际应用中，删除消息也可以是其它格式的消息，处理过程与REST API格式的处理类似，在此不再赘述，本发明实施例对此消息格式不做限制。

在一个例子中，假设虚拟机371对应的第一映射关系发生变化，REST API格式的删除消息可以包括如下字段：接口类型字段，用于表示当前消息用于删除为网络设备配置的转发策略；接口URL字段：智能网络管理中心的URL，通过该接口URL字段，可以将删除消息发送到智能网络管理中心；参数字段：用于携带虚拟机371的VXLAN标识、网络设备340(设备标识)、端口341(端口标识)。

智能网络管理中心在接收到该删除消息后，可以删除之前为该设备标识对应的网络设备配置的针对该端口标识对应的端口的转发策略。

在另一情况下、当虚拟机从一个物理服务器迁移到另一个物理服务器时，云管理平台可以获取虚拟机信息、设备标识、端口标识的第一映射关系，并使用当前获取的第一映射关系更新本地维护的第一映射关系(即使用变化后的第一映射关系更新本地维护的第一映射关系)，向智能网络管理中心发送删除消息，该删除消息用于使智能网络管理中心删除之前为网络设备配置的转发策略，并利用变化后的第一映射关系向该智能网络管理中心发送通知消息。

其中，对于获取第一映射关系的过程、发送通知消息的过程、发送删除消息的过程，均可以参考上述的处理流程，在此均不再重复赘述。

在一个例子中，当虚拟机关闭时，则云管理平台可以向智能网络管理中心发送删除消息 (其中携带虚拟机的VXLAN标识、设备标识、端口标识)，该删除消息用于使智能网络管理中心删除之前为网络设备配置的转发策略。其中，对于发送删除消息的过程，可以参考上述处理流程，在此不再赘述。

参见图4所示，本发明实施例中提出的转发策略配置方法，可以应用在智能网络管理中心上，且该转发策略配置方法可以包括以下步骤：

步骤401，智能网络管理接收来自云管理平台的通知消息，

在一个例子中，所述通知消息中携带有虚拟机的虚拟机信息、与所述虚拟机具有第一映射关系的网络设备的网络设备信息。

在一个例子中，该通知消息中携带有虚拟机的信息、与该虚拟机具有位置关系的网络设备的信息。

步骤402，智能网络管理中心根据通知消息为该网络设备配置针对该虚拟机的转发策略，该转发策略用于使该网络设备对该虚拟机的报文进行处理。

其中，智能网络管理中心的处理过程与图2所示流程中介绍的智能网络管理中心的处理过程相同，本发明实施例中对此不再重复赘述。

以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述：

参见图5，图5为本申请一些实施例提供的云管理平台的硬件结构图。该云管理平台50可包括处理器51以及机器可读存储介质52。其中，处理器51和机器可读存储介质52可经由系统总线53通信。并且，通过读取并执行机器可读存储介质52中存储的与转发策略配置逻辑60对应的机器可执行指令，处理器51可执行上文所述的转发策略配置的方法。

本文提到的机器可读存储介质52可以是任何电子、磁性、光学或其他物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，所述机器可读存储介质72可以是RAM(Random Access Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等)，或者类似的存储介质，或者它们的组合。

如图6所示，从功能上划分，所述转发策略配置逻辑60可包括：

维护模块11，用于得到虚拟机与网络设备之间的第一映射关系；

发送模块12，用于向所述网络设备对应的智能网络管理中心发送第一通知消息，所述第一通知消息中携带有所述虚拟机的虚拟机信息和所述网络设备的网络设备信息，以使所述智能网络管理中心根据所述第一通知消息为所述网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述网络设备对所述虚拟机的报文进行处理。

其中，所述第一映射关系包括虚拟机信息、与所述虚拟机所在的物理服务器连接的网络设备的设备标识、所述网络设备连接所述虚拟机所在物理服务器的端口的端口标识之间的映射关系。

在一个例子中，所述维护模块11用于在所述虚拟机使能时，确定所述虚拟机所在的所述物理服务器，并根据所述物理服务器的MAC地址查询到对应的第二映射关系，得到对应的所述设备标识和所述端口标识，所述第二映射关系为所述MAC地址、所述物理服务器的标识、所述设备标识、所述端口标识之间的映射关系；

得到所述虚拟机的虚拟机信息、所述设备标识、所述端口标识之间的第一映射关系。

在一个例子中，所述维护模块11进一步用于向所述智能网络管理中心发送查询消息，所述查询消息包括物理服务器的介质访问控制MAC地址；

接收来自所述智能网络管理中心的响应消息，所述响应消息中携带所述MAC地址分别对应的所述设备标识和所述端口标识；得到所述MAC地址、所述物理服务器的标识、所述设备标识、所述端口标识的第二映射关系。

所述维护模块11，还用于当所述第一映射关系发生变化时，更新本地的第一映射关系；

所述发送模块12，还用于向所述智能网络管理中心发送删除消息，所述删除消息用于使所述智能网络管理中心删除为所述网络设备配置的转发策略；向所述智能网络管理中心发送所述通知消息，所述第二通知消息中携带更新的第一映射关系对应的虚拟机信息和所述网络设备信息。

其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。

参见图7，图7为本申请一些实施例提供的智能网络管理中心的硬件结构图。该智能网络管理中心70可包括处理器71以及机器可读存储介质72。其中，处理器71和机器可读存储介质72可经由系统总线73通信。并且，通过读取并执行机器可读存储介质72中存储的与转发策略配置逻辑80对应的机器可执行指令，处理器71可执行上文所述的转发策略配置的方法。

本文提到的机器可读存储介质72可以是任何电子、磁性、光学或其他物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，所述机器可读存储介质72可以是RAM(Random Access Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等)，或者类似的存储介质，或者它们的组合。

如图8所示，从功能上划分，所述转发策略配置逻辑80可包括：

接收模块21，用于接收来自云管理平台的通知消息，所述通知消息中携带有虚拟机的虚拟机信息、与所述虚拟机具有第一映射关系的第一网络设备的网络设备信息；

配置模块22，用于根据所述通知消息，为所述第一网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述第一网络设备对所述虚拟机的报文进行处理。

在一个例子中，所述转发策略配置逻辑还包括(在图中未体现)：

获取模块，用于针对智能网络管理中心所管理的每个第二网络设备，从所述第二网络设备上获取物理服务器的介质访问控制MAC表项，其中，每个所述MAC表项中记录了与所述第二网络设备相连的物理服务器的MAC地址、所述第二网络设备上与所述物理服务器连接的端口对应的端口标识；根据所述MAC表项，得到所述MAC地址、所述端口标识、所述网络设备的设备标识之间的映射关系；

发送模块，用于在接收到来自所述云管理平台的携带物理服务器的MAC地址的查询消息后，通过该MAC地址，查询所述映射关系，得到对应的端口标识和设备标识；将携带所述端口标识和所述设备标识的响应消息发送给所述云管理平台。

在一个例子中，所述获取模块，还用于在接收到来自所述云管理平台的携带物理服务器的MAC地址的查询消息后，从所述智能网络管理中心所管理的第三网络设备上获取该MAC地址对应的端口标识所述发送模块，还用于并将携带所述端口标识和所述第三网络设备的设备标识的响应消息发送给所述云管理平台。

删除模块，用于在接收到来自所述云管理平台的携带所述网络设备信息的删除消息后，指示所述第一网络设备删除所配置的转发策略。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明实施例所提供的方法和装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种转发策略配置方法，包括：

云管理平台得到虚拟机与网络设备之间的第一映射关系；

所述云管理平台向所述网络设备对应的智能网络管理中心发送第一通知消息，所述第一通知消息中携带有所述虚拟机的虚拟机信息和所述网络设备的网络设备信息，以使所述智能网络管理中心根据所述第一通知消息为所述网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述网络设备对所述虚拟机的报文进行处理。
根据权利要求1所述的方法，其中，所述第一映射关系包括虚拟机信息、与所述虚拟机所在的物理服务器连接的网络设备的设备标识、所述网络设备连接所述虚拟机所在物理服务器的端口的端口标识之间的映射关系。
根据权利要求2所述的方法，其特征在于，得到所述第一映射关系，包括：

在所述虚拟机使能时，所述云管理平台确定所述虚拟机所在的所述物理服务器，并根据所述物理服务器的MAC地址查询到对应的第二映射关系，得到对应的所述设备标识和所述端口标识，所述第二映射关系为所述MAC地址、所述物理服务器的标识、所述设备标识、所述端口标识之间的映射关系；

得到所述虚拟机的虚拟机信息、所述设备标识、所述端口标识之间的第一映射关系。
根据权利要求3所述的方法，进一步包括：

所述云管理平台向所述智能网络管理中心发送查询消息，所述查询消息包括物理服务器的介质访问控制MAC地址；

接收来自所述智能网络管理中心的响应消息，所述响应消息中携带所述MAC地址分别对应的所述设备标识和所述端口标识；得到所述MAC地址、所述物理服务器的标识、所述设备标识、所述端口标识的第二映射关系。
根据权利要求1所述的方法，其特征在于，所述方法进一步包括：

当所述第一映射关系发生变化时，更新本地的第一映射关系；

向所述智能网络管理中心发送删除消息，所述删除消息用于使所述智能网络管理中心删除为所述网络设备配置的转发策略；

向所述智能网络管理中心发送第二通知消息，所述第二通知消息中携带更新的第一映射关系对应的虚拟机信息和所述网络设备信息。
一种转发策略配置方法，包括：

智能网络管理中心接收来自云管理平台的通知消息，所述通知消息中携带有虚拟机的虚拟机信息、与所述虚拟机具有第一映射关系的第一网络设备的网络设备信息；

根据所述通知消息，所述智能管理中心为所述第一网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述第一网络设备对所述虚拟机的报文进行处理。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

针对智能网络管理中心所管理的每个第二网络设备，所述智能网络管理中心从所述第二网络设备上获取与所述第二网络设备相连的物理服务器的介质访问控制MAC表项，其中，每个所述MAC表项中记录了与所述物理服务器的MAC地址、所述第二网络设备上与所述物理服务器连接的端口对应的端口标识；

根据所述MAC表项，所述智能网络管理中心得到所述MAC地址、所述端口标识、所述第二网络设备的设备标识之间的映射关系；

在接收到来自所述云管理平台的携带物理服务器的MAC地址的查询消息后，通过该MAC地址，所述智能网络管理中心查询所述映射关系，得到对应的端口标识和设备标识；

所述智能网络管理中心将携带所述端口标识和所述设备标识的响应消息发送给所述云管理平台。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

在接收到来自所述云管理平台的携带物理服务器的MAC地址的查询消息后，从所述智能网络管理中心所管理的第三网络设备上获取该MAC地址对应的端口标识；

并将携带所述端口标识和所述第三网络设备的设备标识的响应消息发送给所述云管理平台。
根据权利要求6所述的方法，其特征在于，所述方法进一步包括：

在接收到来自所述云管理平台的携带所述网络设备信息的删除消息后，指示所述第一网络设备删除所配置的转发策略。
一种云管理平台，其特征在于，包括：

处理器和机器可读存储介质，

所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：

得到虚拟机与网络设备之间的第一映射关系；

向所述网络设备对应的智能网络管理中心发送第一通知消息，所述第一通知消息中携带有所述虚拟机的虚拟机信息和所述网络设备的网络设备信息，以使所述智能网络管理中心根据所述第一通知消息为所述网络设备配置针对所述虚拟机的转发策略，所述转发策略用于使所述网络设备对所述虚拟机的报文进行处理。
根据权利要求10所述的云管理平台，其特征在于，

所述第一映射关系包括虚拟机信息、与所述虚拟机所在的物理服务器连接的网络设备的设备标识、所述网络设备连接所述虚拟机所在物理服务器的端口的端口标识之间的映射关系。
根据权利要求10所述的装置，其特征在于，所述处理器被所述机器可执行指令促使：

在所述虚拟机使能时，所述云管理平台确定所述虚拟机所在的所述物理服务器，并根据所述物理服务器的MAC地址查询到对应的第二映射关系，得到对应的所述设备标识和所述端口标识，所述第二映射关系为所述MAC地址、所述物理服务器的标识、所述设备标识、所述端口标识之间的映射关系；

得到所述虚拟机的虚拟机信息、所述设备标识、所述端口标识之间的第一映射关系。
一种智能网络管理中心，包括：

处理器和机器可读存储介质，

所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使以执行如权利要求6所述的转发策略配置方法。
一种机器可读存储介质，存储有机器可读指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行如权利要求1所述的转发策略配置方法。
一种机器可读存储介质，存储有机器可读指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行如权利要求5所述的转发策略配置方法。