[go: up one dir, main page]

CN115499392B - 租户隔离服务方法、装置,以及,电子设备 - Google Patents

租户隔离服务方法、装置,以及,电子设备 Download PDF

Info

Publication number
CN115499392B
CN115499392B CN202211009618.5A CN202211009618A CN115499392B CN 115499392 B CN115499392 B CN 115499392B CN 202211009618 A CN202211009618 A CN 202211009618A CN 115499392 B CN115499392 B CN 115499392B
Authority
CN
China
Prior art keywords
tenant
network element
identification information
message
sid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211009618.5A
Other languages
English (en)
Other versions
CN115499392A (zh
Inventor
李明
郭民
盖鹏鹏
施志龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211009618.5A priority Critical patent/CN115499392B/zh
Publication of CN115499392A publication Critical patent/CN115499392A/zh
Application granted granted Critical
Publication of CN115499392B publication Critical patent/CN115499392B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种租户隔离服务方法及装置,属于通信技术领域。所述方法包括:由接入网元解析接收到的SRv6协议报文,获取报文头中携带SID和报文中的Qinq信息,作为租户识别信息;以租户识别信息作为索引键,查询预先配置的报文转发表,确定与租户识别信息匹配的虚拟化终端设备网元,并将解析得到的报文体和租户识别信息,传输至该虚拟化终端设备网元,以根据租户识别信息查找租户识别信息匹配的租户配置信息,之后,根据查找到的租户配置信息,执行针对相应租户的与报文体匹配的网络服务。本方法通过以SID和Qinq信息作为租户识别信息,对报文转发表以及租户配置信息进行隔离存储和检索,实现了租户数据和服务的有效隔离。

Description

租户隔离服务方法、装置,以及,电子设备
技术领域
本申请涉及通信技术领域,特别是涉及租户隔离服务方法、装置,以及,电子设备,计算机可读存储介质。
背景技术
网络虚拟交换系统方案是把用户室内的局域网通过云网关通道延伸到云端,将所有上网流量汇聚至云网关实现流量转发和控制,根据用户相关需求实现定点引流,如云安全、云娱乐、云存储、云物联等智慧家庭业务。网络虚拟交换系统通过把云网络接入能力转变为一种软件服务能力,把原有光猫的路由和交换能力上移到网络虚拟交换系统,通过计算处理设备的虚拟化能力为每个宽带用户提供路由网络接入方式,具备超越物理网关的灵活性。通过虚拟化实现的网络虚拟交换系统需要具备光猫部分网络服务功能,例如,网络虚拟交换系统需要处理来自不同用户的数据流量。而网络虚拟交换系统如何实现多租户隔离,是虚拟化的技术难点。并且,针对不同的接入协议,需要提供不同的租户隔离服务方法。
现有技术中,没有发现接入SRv6协议场景下对WAN(Wide Area Network,广域网)侧和LAN(Local Area Network,局域网)侧同时实现租户隔离的方法。
发明内容
本申请实施例提供一种租户隔离服务方法及装置,能够针对接入SRv6协议的场景,对WAN侧和LAN侧同时实现多租户隔离服务。
第一方面,本申请实施例提供了一种租户隔离服务方法,应用于网络虚拟交换系统,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元,所述方法包括:
所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,其中,所述租户识别信息包括预先为租户规划的:SID和Qinq信息,所述SID包括:LAN侧SID或WAN侧SID;
所述接入网元以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元;
所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元;
所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息;
所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务。
可选的,所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,包括:
所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,以及,解析所述SRv6协议报文的原始报文,得到租户私有网络VLAN标识和运营商网络VLAN标识;
将所述SID,所述租户私有网络VLAN标识,以及,所述运营商网络VLAN标识,共同作为所述SRv6协议报文中携带的租户识别信息。
可选的,所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,包括以下任意一种方法:
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头中携带的最后一跳IP地址,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头中携带的最后一跳IP地址的Function字段,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头中携带的最后一跳IP地址中Function字段内由租户的预设网络标识编址得到的地址位,作为SID。
可选的,所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元,包括:
所述接入网元通过报文扩展空间携带所述租户识别信息,封装包括所述SRv6协议报文对应的报文体的报文,并将封装得到的所述报文传输至确定的所述虚拟化终端设备网元。
可选的,所述接入网元解析接收到的SRv6协议报文,得到租户识别信息之前,还包括:
在所述接入网元中存储报文转发表,其中,所述报文转发表的索引键为:相应租户的LAN侧SID或WAN侧SID,以及,Qinq信息,值为:携带虚拟化终端设备网元标识的报文转发机制;
在所述虚拟化终端设备网元中存储租户配置信息表,其中,所述租户配置信息表的索引键为:相应租户的LAN侧SID、WAN侧SID,以及,Qinq信息,值为:所述相应租户的租户配置信息。
可选的,所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息,包括:
所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息。
可选的,所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息,包括:
响应于所述SRv6协议报文为控制报文,所述虚拟化终端设备网元以所述租户识别信息作为索引键,查询预先配置的租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为LAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为WAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为WAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为LAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息。
可选的,所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务,包括:
响应于解析获得的所述SID为LAN侧SID,所述虚拟化终端设备网元基于所述LAN侧SID进行上行流量统计;
响应于解析获得的所述SID为WAN侧SID,所述虚拟化终端设备网元基于所述WAN侧SID进行下行流量统计。
第二方面,本申请实施例提供了一种租户隔离服务装置,应用于网络虚拟交换系统,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元,所述装置包括:
租户识别信息获取模块,用于通过所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,其中,所述租户识别信息包括预先为租户规划的:SID和Qinq信息,所述SID包括:LAN侧SID或WAN侧SID;
虚拟化终端设备网元确定模块,用于通过所述接入网元以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元;
信息传输模块,用于通过所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元;
租户配置信息查找模块,用于通过所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息;
租户隔离服务模块,用于通过所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务。
可选的,所述租户识别信息获取模块,进一步用于:
所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,以及,解析所述SRv6协议报文的原始报文,得到租户私有网络VLAN标识和运营商网络VLAN标识;
将所述SID,所述租户私有网络VLAN标识,以及,所述运营商网络VLAN标识,共同作为所述SRv6协议报文中携带的租户识别信息。
可选的,所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,包括以下任意一种方法:
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址的Function字段,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址中Function字段内由租户的预设网络标识编址得到的地址位,作为SID。
可选的,所述信息传输模块,进一步用于:
所述接入网元通过报文扩展空间携带所述租户识别信息,封装包括所述SRv6协议报文对应的报文体的报文,并将封装得到的所述报文传输至确定的所述虚拟化终端设备网元。
可选的,所述装置还包括:配置模块,
所述配置模块用于,在所述接入网元中存储报文转发表,其中,所述报文转发表的索引键为:相应租户的LAN侧SID或WAN侧SID,以及,Qinq信息,值为:携带虚拟化终端设备网元标识的报文转发机制;
所述配置模块还用于,在所述虚拟化终端设备网元中存储租户配置信息表,其中,所述租户配置信息表的索引键为:相应租户的LAN侧SID、WAN侧SID,以及,Qinq信息,值为:所述相应租户的租户配置信息。
可选的,所述租户配置信息查找模块,进一步用于:
所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息。
可选的,所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息,包括:
响应于所述SRv6协议报文为控制报文,所述虚拟化终端设备网元以所述租户识别信息作为索引键,查询预先配置的租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为LAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为WAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为WAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为LAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息。
可选的,所述租户隔离服务模块,进一步用于:
响应于解析获得的所述SID为LAN侧SID,所述虚拟化终端设备网元基于所述LAN侧SID进行上行流量统计;
响应于解析获得的所述SID为WAN侧SID,所述虚拟化终端设备网元基于所述WAN侧SID进行下行流量统计。
第三方面,本申请实施例还公开了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本申请实施例所述的租户隔离服务方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时本申请实施例公开的租户隔离服务方法的步骤。
本申请实施例公开的租户隔离服务方法,应用于网络虚拟交换系统,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元,所述方法通过将SID和Qinq信息作为租户识别信息,在SRv6协议报文的报文头中编址SID,这样,所述接入网元解析接收到的SRv6协议报文,获取所述SRV6协议报文头中携带SID和报文中的Qinq信息,得到租户识别信息;之后,进一步以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元,并将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元,由所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息,之后,根据查找到的所述租户配置信息,执行针对相应租户的与所述报文体匹配的网络服务,有效实现了接入SRv6协议场景下的租户隔离服务。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请实施例中的租户隔离服务方法流程图之一;
图2是本申请实施例中的租户隔离服务方法应用系统架构示意图;
图3是本申请实施例中的租户隔离服务方法流程图之二;
图4是本申请实施例中的租户隔离服务装置结构示意图之一;
图5是本申请实施例中的租户隔离服务装置结构示意图之二;
图6示意性地示出了用于执行根据本申请的方法的电子设备的框图;以及
图7示意性地示出了用于保持或者携带实现根据本申请的方法的程序代码的存储单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,本申请实施例公开的一种租户隔离服务方法,应用于网络虚拟交换系统,所述方法包括:步骤110至步骤150。
参见图2,所述网络虚拟交换系统包括:接入网元(即vSwitch)210和至少一个虚拟化终端设备网元220(virtual Customer Premise Equipment,下文中称为“vCPE”)。其中,每个虚拟化终端设备网元220可以为若干租户处理网络服务相关的网络功能。在网络虚拟交换系统工作过程中,接入网元210用于接收和发送SRv6报文,并进行报文转发。
下面结合图2所示的网络虚拟交换系统,对本申请实施例中公开的租户隔离服务方法的具体实施方案进行举例说明。
步骤110,所述接入网元解析接收到的SRv6协议报文,得到租户识别信息。
其中,所述租户识别信息包括预先为租户规划的:SID和Qinq信息,所述SID包括:LAN侧SID或WAN侧SID。
在租户宽带开通前,网管人员根据租户小区网络环境进行规划,规划出该租户可用的LAN侧SID和WAN侧SID,以及,租户私有网络VLAN标识和运营商网络VLAN标识等,并为该租户配置用于保障用户接入网络服务的租户配置信息。
网络虚拟交换系统是租户(即网络服务用户)和云端服务器进行网络通信的通道,当租户通过终端设备访问互联网服务时,终端设备会生成相应的请求发送至网络虚拟交换系统,网络虚拟交换系统将请求按照预设协议和链路层次生成报文,之后,由网络虚拟交换系统将生成的报文发送至指定服务器,并在云端传输。同时,网络虚拟交换系统还处理接收到的报文,通过对接收到的报文进行解析和分发,使得租户的终端设备能够接收到云端服务反馈的或推送的报文。在这个过程中,网络虚拟交换系统可以接入不同的协议,本申请针对网络虚拟交换系统接入SRv6协议的场景,说明网络虚拟交换系统执行的租户隔离服务方法。
本申请的一些实施例中,所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,包括:所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,以及,解析所述SRv6协议报文的原始报文,得到租户私有网络VLAN标识和运营商网络VLAN标识;将所述SID,所述租户私有网络VLAN标识,以及,所述运营商网络VLAN标识,共同作为所述SRv6协议报文中携带的租户识别信息。
为了标识网络会话,租户的终端设备和网络服务端交互的报文中需要携带用于区别不同租户的租户识别信息。本申请实施例中,通过在SRv6的报文头中携带租户的SID,在原始报文中携带租户的Qinq信息,实现在报文中携带租户识别信息。
SRv6技术就是采用现有的IPv6转发技术,通过扩展IPv6报文的头域,实现类似标签转发的处理。SRv6中通过SID(Segment ID)标识每个Segment,SID是一种特殊的IPv6地址,既有普通IPv6地址的路由能力,又有SRv6特有的行为能力。每个SRv6节点都会维护一张SID表(实际上是路由表的一部分),由许多128bit的SID组成,SID标准格式为:Locator+Function(Args)。本申请的一些实施例中,在生成报文时,通过将租户的SID编制到SRv6协议报文的报文头的最后一跳目的地址中,实现在网络中传输租户的SID。
由现有技术可知,带有SRH(Segment Routing Header),即SR报文头的IPv6中,SRH中封装了每一跳的IPv6地址,用于控制报文转发路径。本申请的实施例中,可以将租户的IP地址,即报文的目的地址,整体作为租户的SID,封装在SRH的最后一跳IP地址中。本申请的另一些实施例中,还可以将租户的预设网络标识(租户在WAN网中的唯一身份标识,如VxLAND ID)编址为SRH的最后一跳IP地址中Function字段的指定地址位(如前28位),从而实现在报文中传输租户识别信息。本申请的有一些实施例中,还可以将租户的其他唯一标识编址在整个Function字段中。
相应的,在接收到一条报文之后,需要按照与SID编制方法对应的解析方式,对SRv6协议报文进行解析,以获取报文头的最后一跳目的地址,从而得到租户的SID。
本申请的一些实施例中,所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,包括以下任意一种方法:所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址,作为SID;所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址的Function字段,作为SID;所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址中Function字段内由租户的预设网络标识编址得到的地址位(如前述Function字段的前28位),作为SID。对SRv6协议报文的报文头进行解析,得到SID的方法,与报文头中最后一跳的SID编址方法对应,对报文头的解析方法参见前文编址方法,此处不再赘述。
按照前述方法,可以获取到报文头中携带的SID。如果该报文为来自WAN侧的报文,则报文头中携带的SID为相应租户的WAN侧SID,如果报文为来自LAN侧的报文,则报文头中携带的SID为相应租户的LAN侧SID。
进一步的,通过对报文进行进一步解封装,可以解析得到原始报文中携带的Qinq信息,即租户私有网络VLAN标识PVLAN_ID,以及,运营商网络VLAN标识CVLAN_ID。
本申请的实施例中,将从报文中解析得到的SID和Qinq信息,作为用于区分租户的租户识别信息。
步骤120,所述接入网元以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元。
如前所述,在租户宽带开通前,运营商的网管人员根据租户小区网络环境进行规划,规划出该租户可用的LAN侧SID和WAN侧SID,以及,Qinq信息(例如,租户私有网络VLAN标识,即PVLAN_ID,以及,运营商网络VLAN标识,即CVLAN_ID)等,并为该租户配置用于保障用户接入网络服务的租户配置信息。用于后续在报文转发和网络服务处理阶段查询使用。
如图3所示,接入网元解析接收到的SRv6协议报文,得到租户识别信息之前,所述方法还包括:步骤100。
步骤100,在所述接入网元中存储报文转发表,其中,所述报文转发表的索引键为:相应租户的LAN侧SID或WAN侧SID,以及,Qinq信息,值为:携带虚拟化终端设备网元标识的报文转发机制。
例如,租户宽带开通前,网管人员根据租户小区网络环境进行规划,规划出可用的LAN侧SID、WAN侧SID,以及,Qinq信息。其中,Qinq信息包括:运营商网络VLAN标识,即CVLAN_ID,以及,租户私有网络VLAN标识,即PVLAN_ID。
QinQ技术通过在用户报文进入运营商网络之前封装上一个运营商网络的VLANTag,而把用户报文中的原有的VLAN Tag当做数据,使报文带着两层VLAN Tag穿越运营商网络。本申请的实施例中,以SID+Qinq信息作为租户识别信息。
网管人员可以通过下发配置信令或以命令行的形式,对接入网元进行配置,以触发接入网元在本地数据存储单元存储包括若干表项的报文转发表。
其中,所述报文转发表以SID+Qinq信息(即包括SID、运营商网络VLAN标识CVLAN_ID,以及,租户私有网络VLAN标识PVLAN_ID)作为索引键,以报文转发机制为值。其中,所述报文转发机制中至少包括需要将报文转发到vCPE网元处理的网元标识。
本申请的实施例中,所述报文转发表包括上行报文转发表和下行报文转发表。在上行报文转发表中,SID为租户的WAN侧SID,在下行报文转发表中,SID为租户的LAN侧SID。
本申请的一些实施例中,网络虚拟交换系统提供报文转发表的快速查询接口。快速查询接口是一种KEY:VALUE快速查找算法,KEY就是由租户识别信息SID+Qinq信息构成,VALUE是转发表的索引。报文转发表的作用是通过租户识别信息查询到该报文的转发表,从而根据该转发表指导报文转发。
在报文交互过程中,对于接收自WAN侧的报文,接入网元310解析出报文中携带的租户识别信息,之后,根据预先配置的报文转发表对流量进行调度,例如,将报文进行重新封装后转发至指定的虚拟化终端设备网元320。之后,虚拟化终端设备网元320则根据接入网元310发送的报文完成租户流量的网络功能处理。再例如,对于接收自LAN侧的报文,接入网元310对报文进行封装后,按照报文中指定的链接地址,执行报文发送。
在通过对报文进行解析,获取到租户识别信息之后,接入网元进一步基于所述租户识别信息,查询预先配置的报文转发表,以确定与所述租户识别信息匹配的虚拟化终端设备网元。例如,可以通过网络虚拟交换系统提供报文转发表的快速查询接口,以获取的所述租户识别信息作为KEY,查询对应的VALUE,即转发表的索引。进一步的,通过所述转发表的索引,获取到相应的租户的报文转发机制。本申请的一些实施例中,所述报文转发机制中至少包括vCPE的标识,用于引导接入网元将该报文信息发送至相应vCPE网元(即虚拟化终端设备网元)进行处理。
步骤130,所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元。
在确定了报文转发的目的虚拟化终端设备网元之后,接入网元进一步将对SRv6协议报文进行解封装得到的报文体,连同租户识别信息,发送至确定的虚拟化终端设备网元,由该虚拟化终端设备网元执行后续的网络服务功能处理。
本申请的一些实施例中,所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元,包括:所述接入网元通过报文扩展空间携带所述租户识别信息,封装包括所述SRv6协议报文对应的报文体的报文,并将封装得到的所述报文传输至确定的所述虚拟化终端设备网元。
本申请的实施例中,接入网元与vCPE网元之间可以使用共享内存实现的高速虚拟接口连接,vCPE网元接收到的报文已经不再携带SRv6头,vCPE需要获取租户SID,同时,接入网元也需要获取vCPE进行LAN侧和WAN侧转换后的SID。为了在网元之间传输SID,本申请的一些实施例中,采用报文扩展手段传输SID等租户识别信息。例如,可以将租户识别信息扩展到报文的payload尾部,实现两个网元之间的信息传递。
这样,通过高速虚拟接口连接(如共享内存,或者称为“报文缓存“),可以将根据所述SRv6协议报文解析得到的报文体,以及,租户识别信息,传输至指定的vCPE网元。
本申请的一些实施例中,还可以采用其他方式实现网络虚拟交换系统中网元之间(如接入网元和vCPE网元)的信息传输,本实施例中不再一一例举。
步骤140,所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息。
vCPE网元可以通过前述高速虚拟接口连接(如共享内存,即报文缓存)获取报文,并通过报文中的报文扩展空间获取租户识别信息。之后,进一步以所述租户识别信息作为KEY,查询租户配置信息表项,获取到该KEY(即租户识别信息)匹配的表项,并获取表项中的租户配置信息。
其中,租户配置信息表项是有运营商的网管人员预先配置,并存储在虚拟化终端设备网元中的。
本申请的一些实施例中,如图3所示,接入网元解析接收到的SRv6协议报文,得到租户识别信息之前,所述方法还包括:步骤102。
步骤102,在所述虚拟化终端设备网元中存储租户配置信息表,其中,所述租户配置信息表的索引键为:相应租户的LAN侧SID、WAN侧SID,以及,Qinq信息,值为:所述相应租户的租户配置信息。
本申请的一些实施例中,网管人员可以通过下发配置信令或以命令行的形式,对虚拟化终端设备网元进行配置,以触发虚拟化终端设备网元在本地数据存储单元存储包括若干表项的租户配置信息表。其中,每个表项对应一个租户的网络服务相关的租户配置信息,所述租户配置信息包括但不限于:各个网络服务功能模块的运行参数、运行环境等。
例如,租户宽带开通前,网管人员还将在网络通信系统中为租户创建租户账户。租户账户是指租户的拨号账户。之后,网管人员进一步为租户账户配置一系列能够保证租户正常上网的配置信息,如PPPOE、DHCP、NAT、报文转发表、SRv6策略等,之后,通过信令将租户账户和租户配置信息存储至所述网络虚拟交换系统。
本申请的一些实施例中,在网络虚拟交换系统中,根据网管人员配置的租户配置信息生成相应租户对应的租户配置信息表项,并存储在虚拟化终端设备网元的数据存储单元中。租户配置信息表项中相应记载了租户的LAN侧SID和WAN侧SID与该租户的租户账户之间的关联。例如,其中一种表项为以:租户账号为KEY的hash表项,另一种表项为:以SID和Qinq(即PVLAN_ID和CVLAN_ID)为KEY的bihash表项。表项的值(VALUE)对应各网络服务节点的租户配置信息。租户配置信息根据账户唯一性和租户识别信息(即SID、PVLAN_ID(PVLAN即私有VLAN(Private VLAN))和CVLAN_ID唯一性,被保存在两种hash表项中,从而实现租户配置信息的隔离存储。通过保存租户配置信息的两种表项,方便不同场景下使用。
本申请的一些实施例中,所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息,包括:所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息。
如前所述,所述租户识别信息是通过报文扩展域携带的,相应的,所述虚拟化终端设备网元需要从报文缓存的私有字段获取所述租户识别信息。其中,所述报文缓存可以为网络虚拟交换系统中各网元传输报文的共享缓存,或其他高速虚拟接口连接。例如,虚拟化终端设备网元可以通过报文的payload尾部获取所述租户识别信息。
在获取到租户识别信息之后,虚拟化终端设备网元vCPE便可以基于该租户识别信息,进一步获取相应租户的租户配置信息,从而执行后续网络服务功能处理。
本申请的一些实施例中,所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息,包括:响应于所述SRv6协议报文为控制报文,所述虚拟化终端设备网元以所述租户识别信息作为索引键,查询预先配置的租户配置信息表,确定租户配置信息;响应于所述SRv6协议报文为LAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为WAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息;响应于所述SRv6协议报文为WAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为LAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息。
具体实施时,接入网元传输给虚拟化终端设备网元的报文,可能是来自广域网(即WAN网)的报文,也可能是来自局域网(即LAN网)的报文。如前所述,来自不同网络环境的报文中携带的SID是不同的,即,来自WAN网的报文,携带的是租户的WAN侧SID,来自LAN网的报文,携带的是租户的LAN侧SID,所述虚拟化终端设备网元需要根据报文来源以及报文类型,对报文中携带的SID进行转换,将报文中的SID转换为下一个节点能够识别的SID,之后,发送至下一个节点进行进一步处理。
例如,当所述报文为来自WAN侧的数据报文时,所述虚拟化终端设备网元根据预先存储的租户配置信息表项将所述租户识别信息中的所述SID转换为LAN侧SID;之后,将转换后的LAN侧SID和租户识别信息中的Qinq信息,作为转换后的租户识别信息;然后,以转换后的租户识别信息作为KEY,查找预先设置的租户配置信息表项,获取租户配置信息。
再例如,当所述报文为来自LAN侧的数据报文时,所述虚拟化终端设备网元根据预先存储的租户配置信息表项将所述租户识别信息中的所述SID转换为WAN侧SID;之后,将转换后的WAN侧SID和中的Qinq信息,作为转换后的租户识别信息;然后,以转换后的租户识别信息作为KEY,查找预先设置的租户配置信息表项,获取租户配置信息。
当所述报文为控制报文时,则不需要进行SID转换。
步骤150,所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务。
接下来,虚拟化终端设备网元根据报文体匹配的报文类型,调用相应的网络服务功能模块,由该网络服务功能模块按照查找到的租户配置信息,执行相应租户的与所述报文体匹配的网络服务。
本申请的一些实施例中,当接收到控制报文时,虚拟化终端设备网元根据查找到的所述租户配置信息,以及报文类型,将控制报文转发到相应节点进行处理,同时,将租户识别信息传输至相应节点。相应节点执行针对所述租户识别信息的,且与所述报文体匹配的网络服务。
本申请的一些实施例中,所述网络服务包括以下一项或多项:PPPOE拨号服务,DHCP服务,ARP表项管理服务。
本申请的一些实施例中,虚拟化终端设备网元进一步可以包括:数据I/O单元、数据转发单元、业务处理单元、数据存储单元以及信令单元。其中,所述数据I/O单元负责接收和发送数据;所述数据转发单元与数据I/O单元连接;所述业务处理单元与数据转发单元连接;所述数据存储单元与信令单元连接;所述业务处理单元可访问或写入数据存储单元。
进一步的,所述数据存储单元,用于隔离保存所述多租户账户表项的数据集,并提供所述业务处理单元区分多租户时的快速查询接口。租户宽带装机时,该租户的网络环境是已经规划好的,此时已经确定;而租户的SID和Qinq信息,即租户识别信息,且在租户使用网络过程中,租户识别信息不会改变。在数据存储单元中,可以通过存储KEY:VALUE对的方式,将租户账号或租户识别信息,与租户配置信息绑定,这样对每个开通宽带的租户都维护一个KEY:VALUE对,从而实现不同租户账户的租户配置信息表项的隔离保存。并且,数据存储单元可以基于KEY(即租户识别信息)对租户配置信息表项进行隔离维护。
所述数据转发单元,用于多租户数据流的调度处理,根据不同报文协议类型将报文调度到相应业务处理单元。其中,业务处理单元包括DHCPv4服务端、DHCPv6服务端等DHCP服务端、PPPOE拨号服务端、ARP表项管理服务等LAN侧功能模块。
所述业务处理单元,查询所述多租户账户表项中的终端状态,指导后续业务处理。租户的终端设备需要响应处理时,申请响应报文并通过数据转发单元进行转发,之后,业务处理单元从报文中获取租户识别信息,作为key,查询租户配置信息表项找到VALUE值,然后,根据表项中的租户配置信息进行差异化报文处理,这样就实现了不同租户报文的隔离处理。
例如,所述DHCPv4服务端对租户的终端设备进行IP4地址分配,租户终端设备状态识别和变更等信息维护;所述DHCPv6服务端对租户的终端设别进行IP6地址分配,租户终端状态识别和变更等信息维护;所述ARP业务模块通过PPPOE接口进行租户终端设备ARP学习,并使用LAN侧网关mac地址向用户发送ARP响应报文等。
本申请的一些实施例中,虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务,包括:响应于解析获得的所述SID为LAN侧SID,所述虚拟化终端设备网元基于所述LAN侧SID进行上行流量统计;响应于解析获得的所述SID为WAN侧SID,所述虚拟化终端设备网元基于所述WAN侧SID进行下行流量统计。例如,虚拟化终端设备网元对于接收到的来自WAN侧的报文,可以根据报文中解析得到的WAN侧SID和Qinq识别租户,并对租户的下行流量进行统计。再例如,虚拟化终端设备网元对于发送至WAN侧的报文,可以根据报文中解析得到的LAN侧SID和Qinq识别租户,并对租户的上行流量进行统计。
本申请的一些实施例中,流量统计在操作可以由虚拟化终端设备网元中的数据转发单元执行。
本申请实施例公开的租户隔离服务方法,应用于网络虚拟交换系统,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元,所述方法通过将SID和Qinq信息作为租户识别信息,在SRv6协议报文的报文头中编址SID,这样,所述接入网元解析接收到的SRv6协议报文,获取所述SRv6协议报文头中携带SID和报文中的Qinq信息,得到租户识别信息;之后,进一步以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元,并将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元,由所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息,之后,根据查找到的所述租户配置信息,执行针对相应租户的与所述报文体匹配的网络服务,有效实现了接入SRv6协议场景下的租户隔离服务。
本申请实施例公开的租户隔离服务方法,虚拟化终端设备网元内部的各个网络服务功能模块基于由SID和Qinq信息构成的租户识别信息区分不同租户,并且,以租户识别信息作为索引,存储租户配置信息、进行租户流量分发和统计、维护租户状态,以及搜索数据存储单元等,实现了多租户的数据存储隔离、数据处理隔离、流量统计隔离。
通过为租户规划WAN侧SID和LAN侧SID,并结合Qinq作为租户识别信息,可以进一步对租户的上行流量和下行流量进行单独统计。
本申请实施例公开的租户隔离服务装置,应用于如图2所示的网络虚拟交换系统,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元。如图4所示,所述装置包括:
租户识别信息获取模块410,用于通过所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,其中,所述租户识别信息包括预先为租户规划的:SID和Qinq信息,所述SID包括:LAN侧SID或WAN侧SID;
虚拟化终端设备网元确定模块420,用于通过所述接入网元以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元;
信息传输模块430,用于通过所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元;
租户配置信息查找模块440,用于通过所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息;
租户隔离服务模块450,用于通过所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务。
本申请的一些实施例中,所述租户识别信息获取模块410,进一步用于:
所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,以及,解析所述SRv6协议报文的原始报文,得到租户私有网络VLAN标识和运营商网络VLAN标识;
将所述SID,所述租户私有网络VLAN标识,以及,所述运营商网络VLAN标识,共同作为所述SRv6协议报文中携带的租户识别信息。
本申请的一些实施例中,所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,包括以下任意一种方法:
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址的Function字段,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头携带的最后一跳IP地址中Function字段内由租户的预设网络标识编址得到的地址位,作为SID。
本申请的一些实施例中,所述信息传输模块430,进一步用于:
所述接入网元通过报文扩展空间携带所述租户识别信息,封装包括所述SRv6协议报文对应的报文体的报文,并将封装得到的所述报文传输至确定的所述虚拟化终端设备网元。
本申请的一些实施例中,如图5所示,所述装置还包括:配置模块400,
所述配置模块400用于,在所述接入网元中存储报文转发表,其中,所述报文转发表的索引键为:相应租户的LAN侧SID或WAN侧SID,以及,Qinq信息,值为:携带虚拟化终端设备网元标识的报文转发机制;
所述配置模块400还用于,在所述虚拟化终端设备网元中存储租户配置信息表,其中,所述租户配置信息表的索引键为:相应租户的LAN侧SID、WAN侧SID,以及,Qinq信息,值为:所述相应租户的租户配置信息。
本申请的一些实施例中,所述租户配置信息查找模块440,进一步用于:
所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息。
本申请的一些实施例中,所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息,包括:
响应于所述SRv6协议报文为控制报文,所述虚拟化终端设备网元以所述租户识别信息作为索引键,查询预先配置的租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为LAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为WAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为WAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为LAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息。
本申请的一些实施例中,所述租户隔离服务模块450,进一步用于:
响应于解析获得的所述SID为LAN侧SID,所述虚拟化终端设备网元基于所述LAN侧SID进行上行流量统计;
响应于解析获得的所述SID为WAN侧SID,所述虚拟化终端设备网元基于所述WAN侧SID进行下行流量统计。
本申请实施例公开的租户隔离服务装置,用于实现本申请实施例中所述的租户隔离服务方法,装置的各模块的具体实施方式不再赘述,可参见方法实施例相应步骤的具体实施方式。
本申请实施例公开的一种租户隔离服务装置,应用于网络虚拟交换系统,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元,所述装置通过将SID和Qinq信息作为租户识别信息,在SRv6协议报文的报文头中编址SID,这样,所述接入网元解析接收到的SRv6协议报文,获取所述SRv6协议报文头中携带SID和报文中的Qinq信息,得到租户识别信息;之后,进一步以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元,并将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元,由所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息,之后,根据查找到的所述租户配置信息,执行针对相应租户的与所述报文体匹配的网络服务,有效实现了接入SRv6协议场景下的租户隔离服务。
本申请实施例公开的租户隔离服务装置,虚拟化终端设备网元内部的各个网络服务功能模块基于由SID和Qinq信息构成的租户识别信息区分不同租户,并且,以租户识别信息作为索引,存储租户配置信息、进行租户流量分发和统计、维护租户状态,以及搜索数据存储单元等,实现了多租户的数据存储隔离、数据处理隔离、流量统计隔离。
通过为租户规划WAN侧SID和LAN侧SID,并结合Qinq作为租户识别信息,可以进一步对租户的上行流量和下行流量进行单独统计。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上对本申请提供的一种租户隔离服务方法及装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其一种核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的电子设备中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
例如,图6示出了可以实现根据本申请的方法的电子设备。所述电子设备可以为PC机、移动终端、个人数字助理、平板电脑等。该电子设备传统上包括处理器610和存储器620及存储在所述存储器620上并可在处理器610上运行的程序代码630,所述处理器610执行所述程序代码630时实现上述实施例中所述的方法。所述存储器620可以为计算机程序产品或者计算机可读介质。存储器620可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器620具有用于执行上述方法中的任何方法步骤的计算机程序的程序代码630的存储空间6201。例如,用于程序代码630的存储空间6201可以包括分别用于实现上面的方法中的各种步骤的各个计算机程序。所述程序代码630为计算机可读代码。这些计算机程序可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘,紧致盘(CD)、存储卡或者软盘之类的程序代码载体。所述计算机程序包括计算机可读代码,当所述计算机可读代码在电子设备上运行时,导致所述电子设备执行根据上述实施例的方法。
本申请实施例还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例一所述的租户隔离服务方法的步骤。
这样的计算机程序产品可以为计算机可读存储介质,该计算机可读存储介质可以具有与图6所示的电子设备中的存储器620类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩存储在所述计算机可读存储介质中。所述计算机可读存储介质通常为如参考图7所述的便携式或者固定存储单元。通常,存储单元包括计算机可读代码630’,所述计算机可读代码630’为由处理器读取的代码,这些代码被处理器执行时,实现上面所描述的方法中的各个步骤。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本申请的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (11)

1.一种租户隔离服务方法,应用于网络虚拟交换系统,其特征在于,所述网络虚拟交换系统包括:接入网元和虚拟化终端设备网元,所述方法包括:
所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,其中,所述租户识别信息包括预先为租户规划的:SID和Qinq信息,所述SID包括:LAN侧SID或WAN侧SID;
所述接入网元以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元;
所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元;
所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息;
所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务。
2.根据权利要求1所述的方法,其特征在于,所述接入网元解析接收到的SRv6协议报文,得到租户识别信息,包括:
所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,以及,解析所述SRv6协议报文的原始报文,得到租户私有网络VLAN标识和运营商网络VLAN标识;
将所述SID,所述租户私有网络VLAN标识,以及,所述运营商网络VLAN标识,共同作为所述SRv6协议报文中携带的租户识别信息。
3.根据权利要求2所述的方法,其特征在于,所述接入网元解析接收到的SRv6协议报文的报文头的最后一跳IP地址,得到SID,包括以下任意一种方法:
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头中携带的最后一跳IP地址,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头中携带的最后一跳IP地址的Function字段,作为SID;
所述接入网元解析接收到的SRv6协议报文的报文头,将所述报文头中携带的最后一跳IP地址中Function字段内由租户的预设网络标识编址得到的地址位,作为SID。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元,包括:
所述接入网元通过报文扩展空间携带所述租户识别信息,封装包括所述SRv6协议报文对应的报文体的报文,并将封装得到的所述报文传输至确定的所述虚拟化终端设备网元。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述接入网元解析接收到的SRv6协议报文,得到租户识别信息之前,还包括:
在所述接入网元中存储报文转发表,其中,所述报文转发表的索引键为:相应租户的LAN侧SID或WAN侧SID,以及,Qinq信息,值为:携带虚拟化终端设备网元标识的报文转发机制;
在所述虚拟化终端设备网元中存储租户配置信息表,其中,所述租户配置信息表的索引键为:相应租户的LAN侧SID、WAN侧SID,以及,Qinq信息,值为:所述相应租户的租户配置信息。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息,包括:
所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息。
7.根据权利要求6所述的方法,其特征在于,所述虚拟化终端设备网元根据所述租户识别信息确定索引键,查询预先配置的租户配置信息表,确定与所述租户识别信息匹配的租户配置信息,包括:
响应于所述SRv6协议报文为控制报文,所述虚拟化终端设备网元以所述租户识别信息作为索引键,查询预先配置的租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为LAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为WAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息;
响应于所述SRv6协议报文为WAN侧发送的数据报文,所述虚拟化终端设备网元根据预先存储的租户配置信息表将所述租户识别信息中的SID转换为LAN侧SID,并以转换后得到的租户识别信息作为索引键,查询所述租户配置信息表,确定租户配置信息。
8.根据权利要求1至3任一项所述的方法,其特征在于,所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务,包括:
响应于解析获得的所述SID为LAN侧SID,所述虚拟化终端设备网元基于所述LAN侧SID进行上行流量统计;
响应于解析获得的所述SID为WAN侧SID,所述虚拟化终端设备网元基于所述WAN侧SID进行下行流量统计。
9.一种租户隔离服务装置,其特征在于,所述装置包括:
租户识别信息获取模块,用于通过接入网元解析接收到的SRv6协议报文,得到租户识别信息,其中,所述租户识别信息包括预先为租户规划的:SID和Qinq信息,所述SID包括:LAN侧SID或WAN侧SID;
虚拟化终端设备网元确定模块,用于通过所述接入网元以所述租户识别信息作为索引键,查询预先配置的报文转发表,确定与所述租户识别信息匹配的虚拟化终端设备网元;
信息传输模块,用于通过所述接入网元将所述SRv6协议报文对应的报文体和所述租户识别信息,传输至确定的所述虚拟化终端设备网元;
租户配置信息查找模块,用于通过所述虚拟化终端设备网元根据所述租户识别信息查找所述租户识别信息匹配的租户配置信息;
租户隔离服务模块,用于通过所述虚拟化终端设备网元根据查找到的所述租户配置信息,执行针对相应租户识别信息的与所述报文体匹配的网络服务。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的程序代码,其特征在于,所述处理器执行所述程序代码时实现权利要求1至8任意一项所述的租户隔离服务方法。
11.一种计算机可读存储介质,其上存储有程序代码,其特征在于,该程序代码被处理器执行时实现权利要求1至8任意一项所述的租户隔离服务方法的步骤。
CN202211009618.5A 2022-08-22 2022-08-22 租户隔离服务方法、装置,以及,电子设备 Active CN115499392B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211009618.5A CN115499392B (zh) 2022-08-22 2022-08-22 租户隔离服务方法、装置,以及,电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211009618.5A CN115499392B (zh) 2022-08-22 2022-08-22 租户隔离服务方法、装置,以及,电子设备

Publications (2)

Publication Number Publication Date
CN115499392A CN115499392A (zh) 2022-12-20
CN115499392B true CN115499392B (zh) 2024-12-24

Family

ID=84466087

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211009618.5A Active CN115499392B (zh) 2022-08-22 2022-08-22 租户隔离服务方法、装置,以及,电子设备

Country Status (1)

Country Link
CN (1) CN115499392B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116016242B (zh) * 2023-01-11 2023-06-06 南京易科腾信息技术有限公司 基于ovs架构的nat日志采集方法、系统及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103444135A (zh) * 2011-06-02 2013-12-11 惠普发展公司,有限责任合伙企业 网络虚拟化
CN113691448A (zh) * 2020-05-18 2021-11-23 华为技术有限公司 SRv6业务链中转发报文的方法、SFF及SF设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG10201505168TA (en) * 2010-06-29 2015-09-29 Huawei Tech Co Ltd Asymmetric network address encapsulation
JP6034979B2 (ja) * 2012-12-09 2016-11-30 華為技術有限公司Huawei Technologies Co.,Ltd. パケット転送方法と装置及びデータセンターネットワーク
US10523466B1 (en) * 2017-10-19 2019-12-31 Juniper Networks, Inc. Aliasing in an active-active multi-homed PBB-EVPN network
US20220210064A1 (en) * 2020-12-28 2022-06-30 Nokia Solutions And Networks Oy Address registration
CN114520751B (zh) * 2021-12-29 2024-12-27 中国电信股份有限公司 一种基于软件定义广域网的隧道传输方法及装置
CN114422283B (zh) * 2021-12-31 2024-11-12 中国电信股份有限公司 一种租户隔离方法、网络虚拟交换系统及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103444135A (zh) * 2011-06-02 2013-12-11 惠普发展公司,有限责任合伙企业 网络虚拟化
CN113691448A (zh) * 2020-05-18 2021-11-23 华为技术有限公司 SRv6业务链中转发报文的方法、SFF及SF设备

Also Published As

Publication number Publication date
CN115499392A (zh) 2022-12-20

Similar Documents

Publication Publication Date Title
CN107733799B (zh) 一种报文传输方法和装置
KR101624474B1 (ko) 네트워크 시스템 및 경로 제어 방법
JP4142014B2 (ja) ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム
CN102090025B (zh) 具有发起方子网络通信的网络系统及通信方法
CN104639363B (zh) 用于在虚拟区域网络中管理云端装置的管理伺服器及其管理方法
CN104010049B (zh) 基于sdn的以太网ip报文封装方法及网络隔离和dhcp实现方法
US20070097972A1 (en) Automatic VLAN ID discovery for ethernet ports
CN111726305B (zh) 一种面向虚拟机的多级流表管控方法及系统
KR101657026B1 (ko) 가상 사설 lan 서비스 기반 종단 라우터
CN107094110B (zh) 一种dhcp报文转发方法及装置
CN107046506B (zh) 一种报文处理方法、流分类器和业务功能实例
CN107968749B (zh) 实现QinQ路由终结的方法、交换芯片及交换机
CN102857428A (zh) 一种基于访问控制列表的报文转发方法和设备
KR101358775B1 (ko) 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치
WO2012088901A1 (zh) 一种虚拟局域网的分配方法以及相关装置
CN107547346B (zh) 一种报文传输方法和装置
CN106533943A (zh) 基于网络交换芯片的微码和流表的实现方法
CN111711555A (zh) 一种报文处理方法及装置
CN113556413A (zh) 一种报文处理方法及装置
CN115499392B (zh) 租户隔离服务方法、装置,以及,电子设备
CN114422218A (zh) 一种租户隔离方法、装置及存储介质
US8547998B2 (en) Tunneling IPv6 packet through IPv4 network using a tunnel entry based on IPv6 prefix and tunneling IPv4 packet using a tunnel entry based on IPv4 prefix
CN109246016B (zh) 跨vxlan的报文处理方法和装置
CN111404797A (zh) 控制方法、sdn控制器、sdn接入点、sdn网关及ce
WO2016101515A1 (zh) 信息技术it设备端口的确定方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant