[发明专利]同一租户内服务器间的通信控制方法及网络设备

说明书

技术领域

本发明涉及通信技术领域，特别是涉及同一租户内服务器间的通信控制方法及网络设备。

背景技术

为了在一张物理网络内部署多个租户/用户的业务，标准组织开发了虚拟局域网（Virtual Local Area Network,VLAN）技术来实现网络虚拟化，把一张物理网络划分成4K个逻辑网络，逻辑网络之间彼此隔离。实际使用中，不同的逻辑网络被分配给不同的租户/用户使用，来实现同一张物理网络中部署多个租户/用户的需求。

然而，随着网络规模的不断增大、业务需求的不断增多，4K的虚拟网络已经不足以满足大量的租户/用户的接入需要。尤其在数据中心领域，租户/用户数量的急剧增加导致了网络虚拟化能力成为组网瓶颈。基于此，业界推出了NVGRE（Network Virtualization using Generic Routing Encapsulation，使用GRE（通用路由封装）技术实现二层网络虚拟化的协议）和VXLAN（Virtual eXtensible Local Area Network，虚拟可扩展局域网）技术，在优化网络转发和资源利用的同时，还极大的提升了网络承载多租户的能力。

NVGRE和VXLAN都是MAC-in-IP技术，通过对用户的ETH报文执行封装和转发，实现大规模的二层组网。NVGRE和VXLAN分别定义了VSID(Virtual Subnet Identifier)和VNI(VXLAN Network Identifier)，来标识不同的虚拟网络，VXLAN或NVGRE用VNI或VSID来代替VLAN技术中的VLAN-ID控制广播域，因此报文不再需要封装VLAN-ID，而是直接在报文外面封装VNI或VSID和外层报文头。此时，从网络的角度看，VNI或VSID作为逻辑网络的标识控制着广播域的范围，相同VNI或VSID的报文属于同一个逻辑网络，允许互通；不同VNI或VSID的报文属于不同的逻辑网络，不允许互通。从应用的角度看，VNI或VSID代表了租户标识，同一个VNI或VSID下的服务器属于同一个租户，不同VNI或VSID下的服务器属于不同的租户。

然而，现有技术中为每个租户分配一个VNI或VSID，而同一个VNI或VSID内的服务器可以完全互通，无法做到服务器间的互通或隔离控制。

发明内容

本发明提供了一种同一租户内服务器间的通信控制方法及网络设备，能够实现同一租户内服务器间的互通/隔离控制。

本发明第一方面提供一种同一租户内服务器间的通信控制方法，所述方法包括：

网关设备接收源服务器发送的第一报文；

所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识；所述服务器分组标识用于表明服务器所属的分组，属于不同分组的服务器不能互通；

所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识，获得第二报文；

所述网关设备发送所述第二报文。

结合上述第一方面，在第一种可能的实现方式中，在所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识，获得第二报文之前，还包括：

所述网关设备获取所述第一报文的目的服务器的服务器分组标识；

所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验，在校验通过后所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识，获得所述第二报文。

结合上述第一方面，和/或第一种可能的实现方式，在第二种可能的实现方式中，在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前，所述方法还包括：

所述网关设备对本地同一租户内的服务器进行分组；

所述网关设备为所述分组分配标识，生成所述分组标识配置表。

结合上述第一方面，和/或第一种可能的实现方式，和/或第二种可能的实现方式，在第三种可能的实现方式中，所述网关设备对本地同一租户内的服务器进行分组包括：

所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组；或者，

所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组；或者，

所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID为对本地同一租户内的服务器进行分组，其中，不同的服务器分组具有不同的CVLAN-ID。