WO2015014187A1 - 一种支持多租户的数据转发方法和装置 - Google Patents

Abstract

本发明实施例公开了一种支持多租户的数据转发方法和装置，本发明实施例方法包括：接收数据包，对接收到的数据包进行租户网络识别；根据租户网络识别结果，将数据包转发至对应租户专属的流表组中进行查询；其中，所述对应租户专属的流表组中包括：一个或者一个以上流表；对查询命中的数据包，根据对应的流表项操作进行处理。本发明实施例提供的技术方案，根据租户网络识别结果，将数据包转发至对应租户专属的一个或者一个以上流表中进行转发查询，将查询命中的数据包按照流表项操作进行处理，由于租户间转发规则通过不同的流表进行完全隔离，租户间的转发不受到不同策略冲突的影响，相互之间没有干扰。

Description

一种支持多租户的数据转发方法和装置

技术领域

本发明涉及通信技术领域， 具体涉及一种支持多租户的数据转发方法 和装置。

背景技术 多租户是云网络的一个典型应用场景， 也是网络虚拟化技术在数据 中心环境下的重要表现形式。 目前的多租户虚拟化技术中， 网络虚拟化 主要依靠虚拟局域网 （ VLAN, Virtual Local Area Network )等方法来实 现。 通过设置不同的 VLAN , 对租户的网络进行隔离。 VLAN是对连接 到第二层交换机端口的网络用户的逻辑分段， 不受网络用户的物理位置 限制， 可以根据用户需求进行网络分段。

但是， VLAN技术也有明显的缺点。 例如： 当某一物理服务器或者 虚拟服务器的网卡、 媒体访问控制 （MAC , Media Access Control)地址、 互联网协议 （IP , Internet Protocol ) 地址， 或是物理位置发生变化时， 需要对整个网络系统中多个相关的网络设备进行重新配置。 在中等规模 以上的网络环境中， 虚拟机迁移技术的应用愈加普遍， VLAN技术在该 环境下的配置和维护开销巨大， 无法满足技术发展的需求。

软件定义的网络 （ SDN, Software Defined Network ) 技术的出现， 提供了一种灵活应用的网络虚拟化技术。 SDN 技术的一个实例， 即 OpenFlow技术， 在 OpenFlow技术中， 多流表技术被引入， 多流表技术 是指在 OpenFlow交换机中存在多张流表， 针对交换机的不用的匹配域 进行设计， 存储不同内容的流规则。 对于接收到的数据报文， 从流表的 入口处 （可以是 TableO ) 开始进行流规则的匹配， 根据表项中的指令集 度后续流表进行查询。 表间查找顺序只能是跳转至下一张流表或者下一 个表序号大于当前表序号的流表中。 在查找到匹配的流表后， 根据流表 进行数据转换或者丟弃等操作。

从上述对现有 OpenFlow技术的说明可以看出， 现有的 OpenFlow 交换机中多流表转发方案中， 不能根据不同租户的需求为各租户网络提 供转发服务， 造成多租户环境下的租户共享流表空间造成冲突， 并且转 发性能降低， 各租户无法根据自身业务进行灵活的流表方案定制。 发明内容 本发明实施例提供了一种支持多租户的数据转发方法和装置， 能够 根据不同租户的需求为各租户网络提供转发服务。

本发明实施例第一方面， 一种支持多租户的数据转发方法， 包括： 接收数据包， 对接收到的数据包进行租户网络识别；

根据租户网络识别结果， 将数据包转发至对应租户专属的流表组中 进行查询； 其中， 所述对应租户专属的流表组中包括： 一个或者一个以 上流表；

对查询命中的数据包， 根据对应的流表项操作进行处理。

在第一种可能的实现方式中， 根据第一方面， 所述对接收到的数据 包进行租户网络识别， 具体包括：

根据交换机中存储的第一张流表中的匹配域与数据包进行匹配， 其 中， 根据所述第一张流表中的匹配域用于确定租户网络；

或者， 根据数据包中包含的租户标识确定所述数据包所属的租户网 络。

在第二种可能的实现方式中， 根据第二种可能的实现方式， 所述第 一张流表中的匹配域包括： 源媒体接入控制地址和虚拟局域网标识， 或者， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和隧 道标识。

在第三种可能的实现方式中， 根据第一方面， 所述方法还包括： 将查询未命中的数据包信息转发至控制器；

接收控制器发送的所述数据包所属的租户对应的转发策略， 并将所述转发策略存储在所述租户专属的流表组中。

在第四种可能的实现方式中， 根据第一方面， 所述将数据包转发至 对应租户专属的流表组中进行查询， 其中， 所述对应租户专属的流表组 中包括： 一个以上流表， 具体包括： 对于租户专属的流表组中包括一个以上流表时， 将所述数据包依照 流表在所述流表组中的排列顺序， 依次进行查询。

在第五种可能的实现方式中， 根据第一方面， 所述方法还包括： 接收控制器发送的删除租户与所述租户专属流表组的对应关系的 命令；

根据所述删除租户与所述租户专属流表组的对应关系的命令， 清空 所述租户专属流表组中每个流表中的流表项。

第二方面， 提供了一种支持多租户的数据转发方法， 包括： 通过用户接口， 获取租户定制的业务相关的流表方案；

将所述流表方案下发给交换机， 使得交换机根据所述流表方案建立 所述租户专属的流表组， 其中， 所述专属于租户的流表组包括： 一个或 者一个以上流表。

在第一种可能的实现方式中， 根据第二方面， 所述将流表方案下发 给交换机之后， 所述方法还包括：

接收交换机发送的数据包信息，

根据物理网络拓朴和租户的虚拟网络拓朴， 计算所述数据包所属的 数据流的转发路径信息； 并根据所述数据包所属租户的流表规则定义， 将所述转发路径信息转换为符合租户流表方案的转发策略；

将所述转发策略发送给所述交换机， 使得所述转发策略存储于所述 租户在交换机中对应的流表中。

在第二种可能的实现方式中， 根据第二方面或者第一种可能的实现 方式， 所述方法还包括：

当租户离开， 发送删除所述租户与所述租户专属流表组的对应关系 的命令到交换机， 使得所述交换机清空所述租户专属流表组中每个流表 中的流表项。

第三方面， 提一种通信设备， 包括： 第一接收单元， 识别单元， 查 询单元， 和处理单元，

所述第一接收单元， 用于接收数据包，

所述识别单元， 用于对接收到的数据包进行租户网络识别； 所述查询单元， 用于根据租户网络识别结果， 将数据包转发至对应 租户专属的流表组中进行查询； 其中， 所述对应租户专属的流表组中包 括： 一个或者一个以上流表；

所述处理单元， 用于对查询命中的数据包， 根据对应的流表项操作 进行处理。

在第一种可能的实现方式中， 根据第三方面， 所述识别单元， 具体 用于根据交换机中存储的第一张流表中的匹配域与数据包进行匹配， 其 中， 根据所述第一张流表中的匹配域确定租户网络；

或者， 所述识别单元， 具体用于根据数据包中包含的租户标识确定 所述数据包所属的租户网络。

在第二种可能的实现方式中， 根据第一种可能的实现方式， 所述第 一张流表中的匹配域包括： 源媒体接入控制地址和虚拟局域网标识， 或者， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和隧 道标识。

在第三种可能的实现方式中， 根据第三方面， 所述装置还包括： 第一发送单元， 第二接收单元， 和存储单元，

所述第一发送单元， 用于将查询未命中的数据包信息转发至控制 器；

所述第二接收单元， 用于接收控制器发送的所述数据包所属的租户 对应的转发策略；

中。 i ' 、 ^Ϊ 、 、 在第四种可能的实现方式中， 根据第三方面， 所述查询单元， 具体 用于对于租户专属的流表组中包括一个以上流表时， 将所述数据包依照 流表在所述流表组中的排列顺序， 依次进行查询。

在第五种可能的实现方式中， 根据第三方面， 所述装置还包括： 第三接收单元， 和删除单元，

所述第三接收单元， 用于接收控制器发送的删除租户流表命令； 所述删除单元， 用于根据所述删除租户与所述租户专属流表组的对 应关系的命令， 清空所述租户专属流表组中每个流表中的流表项。

第四方面， 提供了一种通信装置， 所述装置包括： 获取单元， 和第 一发送单元，

所述获取单元， 用于通过用户接口， 获取租户定制的业务相关的流 表方案；

所述第二发送单元， 用于将所述流表方案下发给交换机， 使得交换 机根据所述流表方案建立所述租户专属的流表组， 其中， 所述专属于租 户的流表组包括： 一个或者一个以上流表。

在第一种可能的实现方式中， 根据第四方面， 所述装置还包括： 第四接收单元， 获取策略单元， 和第三发送单元，

所述第四接收单元， 用于接收交换机发送的数据包信息，

所述获取策略单元， 用于根据物理网络拓朴和租户的虚拟网络拓 朴， 计算所述数据包所属的数据流的转发路径信息； 并根据所述数据包 所属租户的流表规则定义， 将所述转发路径信息转换为符合租户流表方 案的转发策略；

所述第三发送单元， 用于将所述转发策略发送给所述交换机， 使得 所述转发策略存储于所述租户在交换机中对应的流表中。

在第二种可能的实现方式中， 根据第一种可能的实现方式， 所述获 取策略单元， 具体包括：

路由模块， 用于承载路由算法， 根据拓朴模块中包含的物理网络拓 朴信息和租户虚拟网络拓朴信息对该数据包所属的流进行路径计算， 并 将计算结果发送至策略转换模块；

拓朴模块， 用于存储物理网络拓朴和租户的虚拟网络拓朴， 为路由 模块提供路径计算的拓朴支持；

策略转换模块， 用于接收来自路由模块的路径信息， 并根据所属租 户的流表规则定义， 将其转换为符合租户流表方案的转发策略。

在第三种可能的实现方式中， 根据第四方面， 或者第一种可能的实 现方式， 或者第二种可能的实现方式任一项所述的方法， 所述装置还包 括： 第四发送单元；

第四发送单元， 用于当租户离开， 发送删除所述租户与所述租户专 属流表组的对应关系的命令到交换机， 使得所述交换机清空所述租户专 属流表组中流表项。 本发明实施例提供的技术方案， 根据租户网络识别结果， 将数据包 转发至对应租户专属流表组中流表进行转发查询， 将查询命中的数据包 按照流表中流表项操作进行处理， 由于租户间转发规则通过不同的流表 进行完全隔离， 租户间的转发不受不同策略冲突的影响， 相互之间没有 干扰。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将 对实施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见 地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技 术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获 得其他的附图。

图 1是本发明实施例一提供种支持多租户的数据转发方法流程简图； 图 2是本发明实施例二提供一种支持多租户的数据转发方法流程简 图；

图 3是不同租户在交换机中具有专属的流表组， 交换机将来自控制 器的转发策略存储到租户专属的流表组中处理示意简图，

图 4是控制器与交换机中处理示意简图；

图 5是控制器中对接收到交换机发送的数据包信息的处理示意简图； 图 6是本发明实施例三提供一种通信设备示意简图；

图 7是本发明实施例四提供一种通信装置示意简图；

图 8是本发明实施例五提供一种通信装置示意简图；

图 9是本发明实施例六提供一种通信装置示意简图。 具体实施方式 本发明实施例提供了一种支持多租户的数据转发方法、 装置及系 统。 该方案可以是建立在 SDN 环境下的控制器和交换机之上， 利用 OpenFlow 交换机的多流表技术， 动态实现针对不同租户的定制转发策 略， 可以解决不同租户的业务分流及网络精细化调度， 并将不同租户网 络分配给相对于的租户网络控制设置进行处理。 另外， 利用多流表技术 为每个租户网络定制转发规则， 随着租户网络内的虚拟服务器因需要而 进行迁移时， 其业务部署和配置在交换机层面上的变化， 相对于现有

VLAN技术中虚拟机迁移技术中的变化非常少。

本方案基于 SDN环境下的多流表技术的特点和多租户网络的需求， 根据租户自定义其流表规则， 或者釆用网络默认多流表规则， 对交换机 的多个流表进行按租户的划分， 将多张流表分别划分为不同的租户组。 依据流表入口的 TableO或者其他相关的租户网络检测单元进行流划分， 将不同租户的流转至对应的租户流表组中， 并根据租户定义的流规则进 行转发。

实施例一

本发明实施例提供一种支持多租户的数据转发方法， 如图 1所示， 该方法包括：

步骤 101 , 接收数据包， 并对接收到的数据包进行租户网络识别。 其中， 对租户网络的识别可以是根据交换机中， 多流表中的第一张 流表（可以是 TableO ) 进行租户网络区分， 也可以根据预定义的租户标 识（ Tenant— ID )进行租户网络区分， 其中此处所说的预定义是租户网络 中预定义， 在租户网络中拥有统一的租户标识。

其中， 第一种流表 TableO中包含的匹配域可以是源 MAC地址（即 Src MAC ) 和虚拟局域网标识 （ VLAN_ID ) , 或者匹配域可以是隧道标 识 （Tunnel— ID ) 。 其中， 隧道标识包括但不仅限于多协议标签交换标 签（ MPLS , Multi-Protocol Label Switching Lable ) , 可扩展 VLAN标识 ( VXLAN, Virtual Extensible VLAN, ID ) , 通用路由封装隧道（GRE, Generic Routing Encapsulation, Tunnel), 以及其他现有或自定义的隧道 技术标签。

步骤 102 , 根据租户网络识别结果， 将数据包转发至对应租户专属 的流表组中进行查询； 其中， 所述对应租户专属的流表组中包括： 一个 或者一个以上流表；

其中， 步骤 102中所说的对应租户专属的流表组， 包括一个或者一 个以上流表， 可以理解为交换机在配置时， 流表被根据不同的租户划分 为独立的流表， 属于不同租户网络的流表可以是一张流表， 也可以是一 组流表 （即一个以上流表 ) 。 因此， 各租户可以根据自身的业务需求向控制器定制所需要的流表 (或者多流表） ， 控制器可以根据租户所属的虚拟网络进行路由决策， 制定适合于租户网络的转发规则的流表， 控制器将制定的流表发送给交 换机中， 在交换机存储属于不同租户的一个或者一组流表（所述说的一 组流表可以理解为一个以上的流表） 。

步骤 103 , 对查询命中的数据包， 根据对应的流表项操作进行处理。 具体的处理可以是丟弃数据包， 或者直接转发至交换机的物理端口。

通过上述本发明实施例一提供的一种支持多租户的数据转发方法， 该方法根据租户网络识别结果， 将数据包转发至对应租户专属的一个或 者一个以上流表中进行转发查询， 将查询命中的数据包发送至对应物理 端口或者丟弃该数据包， 由于租户间转发规则通过不同的流表进行完全 隔离， 租户间的转发不受到不同策略冲突的影响， 相互之间没有干扰。

进一步， 由于租户网络相对单一， 对于每一个租户网络中流表中转 发表项数量较少， 当交换机完成了对租户网络识别后， 就可以快速定位 到租户网络的流表中的流转发规则， 因此大大提高了数据转发的效率。

优选的， 该方法还可以包括：

步骤 104 , 将查询未命中的数据包信息转发至控制器。

其中查询未命中的数据包， 可以理解为该数据包所属的租户网络在 交换机中并未存储流表， 或者该数据包所属的流在专属于租户网络的流 表中未记载。 因此， 交换机将该类数据包发送给控制器， 由控制器进行 处理， 为该类数据包所属的租户或者流制定转发策略， 并将转发策略下 发给交换机。

因此， 优选的， 该方法在不在 104之后， 还可以包括：

步骤 105 , 接收控制器发送的租户对应的转发策略， 并将该转发策 略存储在该租户对应的流表组中， 该流表组可以是一个流表或者一以上 流表。

还需要理解的是， 步骤 105也可以是在步骤 101之前， 可以理解为 每个租户的流表中的转发策略都是由控制器生成的， 因此， 交换机在执 行数据转发业务之前， 可以接收控制器发送的租户对应的转发策略， 并 将该流表存储在该租户对应的流表中。 其中， 租户对应的转发策略是由 租户通过用户接口在控制器中定制的， 由控制器下发给交换机。 通过上述增加的步骤 104和 105 , 可以使得交换机中动态增加租户 对应的流表， 交换机将接收到控制器发送的转发策略存储到该租户对应 额一个或者一组流表中。

实施例二

本发明实施例提供一种支持多租户的数据转发方法， 该方法与上述 实施例一提供的方法属于相同的发明构思， 不同之处在于， 本实施例中 将会说明更多控制器与交换机协同工作为租户转发数据包。如图 2所示， 该方法包括：

步骤 201 , 租户加入网络， 控制器为新租户分配租户标识 （ID ) , 控制器通过用户接口， 获取租户定制的业务相关的流表方案， 或者获取 到租户釆用默认的流表方案。 其中， 租户定制的业务相关的流表方案可 以是由釆用单流表方案， 或是多流表方案在交换机中体现。

步骤 202 , 控制器将租户的定制的业务相关的流表方案， 或者获取 到租户釆用默认的流表方案， 下发给交换机； 其中， 流表方案中还可以 包括租户 ID。

步骤 203 , 交换机接收到控制器下发的流表方案， 将隶属于该租户 的流表方案存储到该租户专属的流表组中， 其中， 租户专属的流表组中 包括一个或者一个意思流表。

如图 3中， 若租户 ID为 001 , 则将隶属于租户 0001的转发策略发 送租户 0001专属的一个或一组流表 Set 1 中。 租户 ID为 n, 则将租户 n 的转发策略发送至其专属的一个或一组流表 Set n中。

为了更清楚的理解各控制器中租户定制的转发策略， 与交换机中隶 属于租户的一个或者一组流表的对应关系， 如图 4所示， 在控制器中租 户定制的转发策略被下发到交换机， 在交换机中专属于不同租户的流表 被独立划分为一张流表或者一组流表。 数据包命中对应的流表后， 按照 流表项操作进行处理。 若租户选定默认转发策略作为转发策略， 则控制 器将默认策略下发到交换机中的共享流表中， 作为该租户网络中数据转 发的依据。

其中， 还需要理解的是， 若在交换机中存储有拥有租户识别的第一 张流表 (即 TableO ) 的情况下， 在步骤 203中交换机接收到控制器下发 的转发策略时， 不经将转发策略存储在对应租户专属的流表中， 还可以 在 TableO中， 存储用于识别该租户的匹配域， 使得当交换机中接收到数 据包后，根据该 TableO中的匹配域，跳转到对应的租户流表中进行匹配。

步骤 204 , 交换机接收到数据包， 对接收到的数据包进行租户网络 识别。

其中， 步骤 204中对接收到的数据包进行租户网络识别可以通过数 据包中包含的租户 ID ( Tenant— ID ) 确认数据包所属的租户网络。 该 Tenant— ID可以是数据包在其服务器出处增加的新标签。 在某些网络中， 对租户网络初始化之后， 可在虚拟主机或物理主机之上增加为数据包封 装租户 ID 的功能， 用以区分不同数据流所属的租户网络。 该封装的租 户 ID , 即 Tenant— ID , 可用于区分不同租户间的数据流。

或者， 步骤 204中对接收到的数据包进行租户网络识别可以通过设 置多流表中的 TableO (即交换机入口处的第一张流表） ， 根据数据包的 匹配域确认数据包所属的租户网络。

在釆用 VLAN技术的情况下， TableO所包含的匹配域可以是源 Mac 地址与 VLAN— ID的组合。 以 VLAN为例， 在物理网络中， 各租户通过 VLAN做第一步的隔离， 各租户组成分属其自己的虚拟网络。 属于租户 网络的各虚拟主机或物理主机可能存在 MAC 地址重叠的情况， 但源 MAC地址和 VLAN ID的组合为全网唯一标识 , 可以定位一台主机或一 个数据流所属的租户网络。

在釆用隧道技术的情况下， TableO 的匹配域可以是源 Mac 地址与

Tunnel— ID 的组合。 在釆用其他技术时， 可以根据需求和技术特征进行 自定义， 此处不应该理解为对本发明实施例的限制。

步骤 205 , 若交换机若未能识别出该数据包所属的租户网络， 将该 数据包信息转发至控制器请求转发策略。 其中， 数据包信息具体可以是 数据包的包头， 也可以是数据包本身， 但本申请不限定其他数据包信息 的形式。

其中，步骤 205中若交换机若未能识别出该数据包所属的租户网络， 具体体现可以是交换机通过 TableO进行转发策略匹配， 如果没有命中， 则表明交换机首次接收到该流所属的数据包， 交换机将其该数据包信息 转发至控制器请求策略。

或者，步骤 205中若交换机若未能识别出该数据包所属的租户网络， 具体体现可以是交换机识别出数据包封装的租户 ID ,并未在交换机中存 储有对应的流表， 则表明交换机首次接收到该流所属的数据包。

步骤 206 , 控制器接收到交换机发送的数据包信息， 根据物理网络 拓朴和租户的虚拟网络拓朴， 获取该数据包的路径信息， 并根据所属租 户的流表规则定义， 将该路径信息转换为符合租户流表方案的转发策 略；

其中， 如图 5所示， 步骤 206中的详细操作过程可以包括： 控制器中核心决策模块， 接收交换机端发送的数据包信息并将转发 策略下发至交换机端；

控制器中路由模块用于承载路由算法， 根据拓朴模块中包含的物理 网络拓朴信息和租户虚拟网络拓朴信息对该数据包所属的流进行路径 计算， 并将计算结果发送至策略转换模块；

控制器中拓朴模块中包含物理网络拓朴和租户的虚拟网络拓朴， 为 路由模块提供路径计算的拓朴支持；

控制器中策略转换模块， 接收来自路由模块的路径信息， 并根据所 属租户的流表规则定义， 将其转换为符合租户流表方案的转发策略； 控制器中规则存储模块， 用于存储各个租户的自定义流表方案以及 默认的流表方案。

步骤 207 , 控制器将转换获得的转发策略下发给交换机，

步骤 208 , 交换机接收控制器下发的转发策略， 将该转发策略存储 在该租户对应的流表中。 若该租户是新租户在交换机中没有存储有流 表，则分配流表资源给该新租户，该新租户的转发策略以流表项的形式， 存储在该租户对应的流表中。 若该转发策略是属于租户的新流， 则在租 户隶属的源流表中增加该流的流表项。

步骤 209 , 若在步骤 204中交换机识别出该租户网络， 将数据包转 发至对应租户专属流表组中进行转发查询。

其中， 交换机识别该租户网络的具体操作可以是在 TableO匹配后， 确认该数据包所属的租户网络， 根据匹配结果跳转到该租户专属的一个 或者一组流表中， 若该租户有一组流表， 则跳转到该租户专属的流表组 中的第一张流表， 进行转发策略匹配。 步骤 210 , 对查询命中的数据包， 根据对应的流表项操作进行处理。 具体的处理可以是丟弃数据包， 或者直接转发至交换机的物理端口。

步骤 211 , 当控制器获知租户离开网络时， 发送删除所述租户与所 述租户专属流表组的对应关系的命令到交换机；

步骤 212 , 交换机接收控制器发送的删除租户与所述租户专属流表 组的对应关系的命令； 根据所述删除租户与所述租户专属流表组的对应 关系的命令， 清空所述租户专属流表组中每个流表中的流表项。

其中， 当租户离开网络时， 属于该租户的规则将被删除， 且属于该 租户的交换机端流表组中内容被清空， 该组流表资源将被交换机收回， 属于空闲流表资源， 用于后续另有新租户加入网络后进行重新分配。

通过上述本发明实施例二提供的一种支持多租户的数据转发方法， 该方法根据租户网络识别结果， 将数据包转发至对应租户专属的一个或 者一个以上流表中进行转发查询， 将查询命中的数据包按照流表项操作 进行处理， 由于租户间转发规则通过不同的流表进行完全隔离， 租户间 的转发不受到不同策略冲突的影响， 相互之间没有干扰。

进一步， 由于租户网络相对单一， 对于每一个租户网络中流表中转 发表项数量较少， 当交换机完成了对租户网络识别后， 就可以快速定位 到租户网络的流表中的流转发规则， 因此大大提高了数据转发的效率。

进一步， 本方案的优点包括： 在交换机中资源一定的情况下， 可以 存储的流表数量固定， 由于租户网络所需的流表数量可以根据租户业务 动态调整， 因此， 交换机支持的租户数量可以动态调节。

进一步， 本方案中每个租户可以通过控制器中用户接口，根据各租 户业务在该租户专属的流表集合中自定义流表规则， 对租户的关键业务 可以进行优先级较高的流表设置。

实施例三

本发明实施例提供一种通信设备， 如图 6所示， 该通信设备可以是 Openflow交换机， 但不限于此交换机。 该通信设备包括： 第一接收单元 601 , 识别单元 602 , 查询单元 603 , 和处理单元 604 ,

第一接收单元 601 , 用于接收数据包，

识别单元 602 , 用于对接收到的数据包进行租户网络识别； 其中， 对租户网络的识别可以是根据交换机中， 多流表中的第一张 流表（可以是 TableO ) 进行租户网络区分， 也可以根据预定义的租户标 识（ Tenant— ID )进行租户网络区分， 其中此处所说的预定义是租户网络 中预定义， 在租户网络中拥有统一的租户标识。

其中， 第一种流表 TableO中包含的匹配域可以是源 MAC地址（即

Src MAC ) 和虚拟局域网标识 （ VLAN_ID ) , 或者匹配域可以是隧道标 识 ( Tunnel— ID ) 。

查询单元 603 , 用于根据租户网络识别结果， 将数据包转发至对应 租户专属的流表组中进行查询； 其中， 所述对应租户专属的流表组中包 括： 一个或者一个以上流表；

其中， 查询单元 603中所说的对应租户专属的流表组， 包括一个或 者一个以上流表， 可以理解为交换机在配置时， 流表被根据不同的租户 划分为独立的流表， 属于不同租户网络的流表可以是一张流表， 也可以 是一组流表 （即一个以上流表） 。

因此， 各租户可以根据自身的业务需求向控制器定制所需要的流表

(或者多流表） ， 控制器可以根据租户所属的虚拟网络进行路由决策， 制定适合于租户网络的转发规则的流表， 控制器将制定的流表发送给交 换机中， 在交换机存储属于不同租户的一个或者一组流表（所述说的一 组流表可以理解为一个以上的流表） 。

处理单元 604 , 用于对查询命中的数据包， 居对应的流表项操作 进行处理。

通过上述本发明实施例三提供的一种通信设备的说明， 该通信设备 中识别单元 602根据租户网络识别结果， 将数据包转发至对应租户专属 的一个或者一个以上流表中， 由查询单元 603进行转发查询， 将查询命 中的数据包发送至对应物理端口或者丟弃该数据包， 由于租户间转发规 则通过不同的流表进行完全隔离， 租户间的转发不受到不同策略冲突的 影响， 相互之间没有干扰。

优选的， 所述识别单元 602 , 具体用于根据交换机中存储的第一张 流表中的匹配域与数据包进行匹配， 其中， 根据所述第一张流表中的匹 配 i或确定租户网络；

或者， 所述识别单元， 具体用于根据数据包中包含的租户标识确定 所述数据包所属的租户网络。

优选的， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和 虚拟局域网标识，

或者， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和隧 道标识。

优选的， 所述设备还包括：

第一发送单元 605 , 第二接收单元 606 , 和存储单元 607 ,

所述第一发送单元 605 , 用于将查询未命中的数据包信息转发至控 制器；

所述第二接收单元 606 , 用于接收控制器发送的所述数据包所属的 租户对应的转发策略；

表中。 ' 、 ^Ϊ 、 、 优选的， 所述查询单元 602 , 具体用于对于租户专属的流表组中包 括一个以上流表时， 将所述数据包依照流表在所述流表组中的排列顺 序， 依次进行查询。

优选的， 所述设备还包括：

第三接收单元 608 , 和删除单元 609 ,

所述第三接收单元 608 ,用于接收控制器发送的删除租户流表命令； 所述删除单元 609 , 用于根据所述删除租户与所述租户专属流表组 的对应关系的命令， 清空所述租户专属流表组中每个流表中的流表项。

实施例四

本发明实施例提供一种通信装置， 该通信装置可以 SDN 网络中的 控制器，如图 7所示，该装置包括： 获取单元 701 ,和第一发送单元 702 , 获取单元 701 , 用于通过用户接口， 获取租户定制的业务相关的流 表方案；

第二发送单元 702 , 用于将所述流表方案下发给交换机， 使得交换 机根据所述流表方案建立所述租户专属的流表组， 其中， 所述专属于租 户的流表组包括： 一个或者一个以上流表。

通过上述本发明实施例提供的一种通信装置， 该装置通过用户接 口， 获取租户定制的业务相关的流表方案， 将所述流表方案下发给交换 机， 使得交换机根据所述流表方案建立所述租户专属的流表组， 其中， 所述专属于租户的流表组包括： 一个或者一个以上流表， 由于租户间转 发规则通过不同的流表进行完全隔离， 租户间的转发不受到不同策略冲 突的影响， 相互之间没有干扰。

优选的， 所述装置还包括：

第四接收单元 703 , 获取策略单元 704 , 和第三发送单元 705 , 所述第四接收单元 703 , 用于接收交换机发送的数据包信息， 所述获取策略单元 704 , 用于根据物理网络拓朴和租户的虚拟网络 拓朴， 计算所述数据包所属的数据流的转发路径信息； 并根据所述数据 包所属租户的流表规则定义， 将所述转发路径信息转换为符合租户流表 方案的转发策略；

所述第三发送单元 705 , 用于将所述转发策略发送给所述交换机， 使得所述转发策略存储于所述租户在交换机中对应的流表中。

优选的， 所述获取策略单元 704 , 具体包括：

路由模块， 用于承载路由算法， 根据拓朴模块中包含的物理网络拓 朴信息和租户虚拟网络拓朴信息对该数据包所属的流进行路径计算， 并 将计算结果发送至策略转换模块；

拓朴模块， 用于存储物理网络拓朴和租户的虚拟网络拓朴， 为路由 模块提供路径计算的拓朴支持；

策略转换模块， 用于接收来自路由模块的路径信息， 并根据所属租 户的流表规则定义， 将其转换为符合租户流表方案的转发策略。

优选的， 所述装置还包括： 第四发送单元 705 ;

第四发送单元 705 , 用于当租户离开， 发送删除所述租户与所述租 户专属流表组的对应关系的命令到交换机， 使得所述交换机清空所述租 户专属流表组中流表项。

实施例五

本发明实施例还提供另一种通信设备， 结构示意图如图 8所示， 包 括分别连接到总线上的存储器 40、 处理器 41、 输入装置 43和输出装置 44 , 其中： 存储器 40中用来储存从输入装置 43输入的数据， 且还可以储存处 理器 41处理数据的必要文件等信息；

输入装置 43和输出装置 44是通信设备与其他设备通信的端口， 还 可以包括数据分析设备外接的输出设备比如显示器、 键盘、 鼠标和打印 机等， 在本实施例中输入装置 43 可以包括鼠标和键盘等， 而输出装置 44包括显示器等；

输入装置 43 , 用于接收数据包，

处理器 41 , 用于对接收到的数据包进行租户网络识别； 根据租户网 络识别结果，将数据包转发至对应租户专属的流表组中进行查询； 其中， 所述对应租户专属的流表组中包括： 一个或者一个以上流表； 对查询命 中的数据包， 根据对应的流表项操作进行处理。

通过上述本发明实提供的装置， 根据租户网络识别结果， 将数据包 转发至对应租户专属的一个或者一个以上流表中进行转发查询， 将查询 命中的数据包发送至对应物理端口或者丟弃该数据包， 由于租户间转发 规则通过不同的流表进行完全隔离， 租户间的转发不受到不同策略冲突 的影响， 相互之间没有干扰。

进一步， 由于租户网络相对单一， 对于每一个租户网络中流表中转 发表项数量较少， 当交换机完成了对租户网络识别后， 就可以快速定位 到租户网络的流表中的流转发规则， 因此大大提高了数据转发的效率。

优选的， 处理器中对接收到的数据包进行租户网络识别， 具体用于 根据交换机中存储的第一张流表中的匹配域与数据包进行匹配， 其中， 根据所述第一张流表中的匹配域确定租户网络；

或者， 所述识别单元， 具体用于根据数据包中包含的租户标识确定 所述数据包所属的租户网络。

优选的， 处理器中所述第一张流表中的匹配域包括： 源媒体接入控 制地址和虚拟局域网标识，

或者， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和隧 道标识。

优选的， 所述装置中：

输出装置， 还用于将查询未命中的数据包信息转发至控制器； 输入装置， 还用于接收控制器发送的所述数据包所属的租户对应的 转发策略； 中。 i ' 、 ^Ϊ

优选的， 所述处理器中根据租户网络识别结果， 将数据包转发至对 应租户专属的流表组中进行查询； 其中， 所述对应租户专属的流表组中 包括： 一个或者一个以上流表， 具体用于对于租户专属的流表组中包括 一个以上流表时， 将所述数据包依照流表在所述流表组中的排列顺序， 依次进行查询。

优选的， 所述装置中，

所述输入装置， 还用于接收控制器发送的删除租户流表命令； 所述处理器， 还用于根据所述删除租户与所述租户专属流表组的对 应关系的命令， 清空所述租户专属流表组中每个流表中的流表项。

实施例六

本发明实施例还提供另一种通信设备， 结构示意图如图 9所示， 包 括分别连接到总线上的存储器 50、 处理器 51、 输入装置 53和输出装置 54 , 其中：

存储器 50中用来储存从输入装置 53输入的数据， 且还可以储存处 理器 51处理数据的必要文件等信息；

输入装置 53和输出装置 54是通信设备与其他设备通信的端口， 还 可以包括数据分析设备外接的输出设备比如显示器、 键盘、 鼠标和打印 机等， 在本实施例中输入装置 53 可以包括鼠标和键盘等， 而输出装置 54包括显示器等；

所述输入装置， 用于通过用户接口， 获取租户定制的业务相关的流 表方案；

所述输出装置， 用于将所述流表方案下发给交换机， 使得交换机根 据所述流表方案建立所述租户专属的流表组， 其中， 所述专属于租户的 流表组包括： 一个或者一个以上流表。

通过上述本发明实施例提供的一种通信装置， 该装置通过用户接 口， 获取租户定制的业务相关的流表方案， 将所述流表方案下发给交换 机， 使得交换机根据所述流表方案建立所述租户专属的流表组， 其中， 所述专属于租户的流表组包括： 一个或者一个以上流表， 由于租户间转 发规则通过不同的流表进行完全隔离， 租户间的转发不受到不同策略冲 突的影响， 相互之间没有干扰。

优选的， 所述输入装置， 还用于接收交换机发送的数据包信息， 所述处理器， 用于根据物理网络拓朴和租户的虚拟网络拓朴， 计算 所述数据包所属的数据流的转发路径信息； 并根据所述数据包所属租户 的流表规则定义， 将所述转发路径信息转换为符合租户流表方案的转发 策略；

所述输出装置， 还用于将所述转发策略发送给所述交换机， 使得所 述转发策略存储于所述租户在交换机中对应的流表中。

优选的， 所述处理器， 具体包括：

路由模块， 用于承载路由算法， 根据拓朴模块中包含的物理网络拓 朴信息和租户虚拟网络拓朴信息对该数据包所属的流进行路径计算， 并 将计算结果发送至策略转换模块；

拓朴模块， 用于存储物理网络拓朴和租户的虚拟网络拓朴， 为路由 模块提供路径计算的拓朴支持；

策略转换模块， 用于接收来自路由模块的路径信息， 并根据所属租 户的流表规则定义， 将其转换为符合租户流表方案的转发策略。

优选的， 所述输出装置， 还用于当租户离开， 发送删除所述租户与 所述租户专属流表组的对应关系的命令到交换机， 使得所述交换机清空 所述租户专属流表组中流表项。

领域普通技术人员可以理解实现上述实施例方法中的全部或部分 步骤是可以通过程序来指令相关的硬件完成， 所述的程序可以存储于一 种计算机可读存储介质中， 上述提到的存储介质可以是只读存储器， 磁 盘或光盘等。

以上对本发明所提供的一种支持多租户的数据转发方法和装置进 行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想， 在具体实施方式及应用范围上均会有改变之处， 综上所述， 本说明书内 容不应理解为对本发明的限制。

Claims

权 利 要 求

1、 一种支持多租户的数据转发方法， 其特征在于， 包括： 接收数据包， 对接收到的数据包进行租户网络识别；

根据租户网络识别结果， 将数据包转发至对应租户专属的流表组中 进行查询； 其中， 所述对应租户专属的流表组中包括： 一个或者一个以 上流表；

对查询命中的数据包， 根据对应的流表项操作进行处理。

2、 根据权利要求 1 所述的方法， 其特征在于， 所述对接收到的数 据包进行租户网络识别， 具体包括：

根据交换机中存储的第一张流表中的匹配域与数据包进行匹配， 其 中， 根据所述第一张流表中的匹配域用于确定租户网络；

或者， 根据数据包中包含的租户标识确定所述数据包所属的租户网 络。

3、 根据权利要求 2所述的方法， 其特征在于，

所述第一张流表中的匹配域包括： 源媒体接入控制地址和虚拟局域 网标识，

或者， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和隧 道标识。

4、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 将查询未命中的数据包信息转发至控制器；

接收控制器发送的所述数据包所属的租户对应的转发策略， 并将所述转发策略存储在所述租户专属的流表组中。

5、 根据权利要求 1 所述的方法， 其特征在于， 所述将数据包转发 至对应租户专属的流表组中进行查询 , 其中， 所述对应租户专属的流表 组中包括： 一个以上流表， 具体包括：

对于租户专属的流表组中包括一个以上流表时， 将所述数据包依照 流表在所述流表组中的排列顺序， 依次进行查询。

6、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 接收控制器发送的删除租户与所述租户专属流表组的对应关系的 命令；

根据所述删除租户与所述租户专属流表组的对应关系的命令， 清空 所述租户专属流表组中每个流表中的流表项。

7、 一种支持多租户的数据转发方法， 其特征在于， 包括：

通过用户接口， 获取租户定制的业务相关的流表方案；

将所述流表方案下发给交换机， 使得交换机根据所述流表方案建立 所述租户专属的流表组， 其中， 所述专属于租户的流表组包括： 一个或 者一个以上流表。

8、 根据权利要求 7 所述的方法， 其特征在于， 所述将流表方案下 发给交换机之后， 所述方法还包括：

接收交换机发送的数据包信息，

根据物理网络拓朴和租户的虚拟网络拓朴， 计算所述数据包所属的 数据流的转发路径信息； 并根据所述数据包所属租户的流表规则定义， 将所述转发路径信息转换为符合租户流表方案的转发策略；

将所述转发策略发送给所述交换机， 使得所述转发策略存储于所述 租户在交换机中对应的流表中。

9、 根据权利要求 7或者 8任一项所述的方法， 其特征在于， 所述 方法还包括：

当租户离开， 发送删除所述租户与所述租户专属流表组的对应关系 的命令到交换机， 使得所述交换机清空所述租户专属流表组中每个流表 中的流表项。

1 0、 一种通信设备， 其特征在于， 包括： 第一接收单元， 识别单元， 查询单元， 和处理单元，

所述第一接收单元， 用于接收数据包，

所述识别单元， 用于对接收到的数据包进行租户网络识别； 所述查询单元， 用于根据租户网络识别结果， 将数据包转发至对应 租户专属的流表组中进行查询； 其中， 所述对应租户专属的流表组中包 括： 一个或者一个以上流表；

所述处理单元， 用于对查询命中的数据包， 根据对应的流表项操作 进行处理。

1 1、 根据权利要求 1 0 所述的装置， 其特征在于， 所述识别单元， 具体用于根据交换机中存储的第一张流表中的匹配域与数据包进行匹 配， 其中， 根据所述第一张流表中的匹配域确定租户网络；

或者， 所述识别单元， 具体用于根据数据包中包含的租户标识确定 所述数据包所属的租户网络。

1 2、 根据权利要求 1 1 所述的装置， 其特征在于， 所述第一张流表 中的匹配域包括： 源媒体接入控制地址和虚拟局域网标识，

或者， 所述第一张流表中的匹配域包括： 源媒体接入控制地址和隧 道标识。

1 3、 根据权利要求 1 0所述的装置， 其特征在于， 所述装置还包括： 第一发送单元， 第二接收单元， 和存储单元，

所述第一发送单元， 用于将查询未命中的数据包信息转发至控制 器；

所述第二接收单元， 用于接收控制器发送的所述数据包所属的租户 对应的转发策略； 中。 i ' 、 ^Ϊ

14、 根据权利要求 1 0 所述的装置， 其特征在于， 所述查询单元， 具体用于对于租户专属的流表组中包括一个以上流表时， 将所述数据包 依照流表在所述流表组中的排列顺序， 依次进行查询。

1 5、 根据权利要求 1 0所述的装置， 其特征在于， 所述装置还包括： 第三接收单元， 和删除单元，

所述第三接收单元， 用于接收控制器发送的删除租户流表命令； 所述删除单元， 用于根据所述删除租户与所述租户专属流表组的对 应关系的命令， 清空所述租户专属流表组中每个流表中的流表项。

1 6、 一种通信装置， 其特征在于， 所述装置包括： 获取单元， 和第 一发送单元，

所述获取单元， 用于通过用户接口， 获取租户定制的业务相关的流 表方案；

所述第二发送单元， 用于将所述流表方案下发给交换机， 使得交换 机根据所述流表方案建立所述租户专属的流表组， 其中， 所述专属于租 户的流表组包括： 一个或者一个以上流表。

1 7、 根据权利要求 1 6所述的装置， 其特征在于， 所述装置还包括： 第四接收单元， 获取策略单元， 和第三发送单元，

所述第四接收单元， 用于接收交换机发送的数据包信息，

所述获取策略单元， 用于根据物理网络拓朴和租户的虚拟网络拓 朴， 计算所述数据包所属的数据流的转发路径信息； 并根据所述数据包 所属租户的流表规则定义， 将所述转发路径信息转换为符合租户流表方 案的转发策略；

所述第三发送单元， 用于将所述转发策略发送给所述交换机， 使得 所述转发策略存储于所述租户在交换机中对应的流表中。

1 8、 根据权利要求 1 7 所述的装置， 其特征在于， 所述获取策略单 元， 具体包括：

路由模块， 用于承载路由算法， 根据拓朴模块中包含的物理网络拓 朴信息和租户虚拟网络拓朴信息对该数据包所属的流进行路径计算， 并 将计算结果发送至策略转换模块；

拓朴模块， 用于存储物理网络拓朴和租户的虚拟网络拓朴， 为路由 模块提供路径计算的拓朴支持；

策略转换模块， 用于接收来自路由模块的路径信息， 并根据所属租 户的流表规则定义， 将其转换为符合租户流表方案的转发策略。

1 9、 根据权利要求 1 6至 1 8任一项所述的方法， 其特征在于， 所述 装置还包括： 第四发送单元；

第四发送单元， 用于当租户离开， 发送删除所述租户与所述租户专 属流表组的对应关系的命令到交换机， 使得所述交换机清空所述租户专 属流表组中流表项。