[发明专利]基于OpenFlow协议实现PVLAN的方法和装置

说明书

技术领域

本申请涉及通信技术领域，特别涉及一种基于开放流(OpenFlow)协议实现PVLAN的方法和装置。

背景技术

随着数据中心业务日益增加，用户需求不断提高，数据中心的规模和功能日趋复杂，管理难度也越来越高。在这一背景下，整合数据中心、降低数据中心的管理成本，充分挖掘现有资源能力以适应更高的业务需求，成为企业数据中心的重要任务。对数据中心资源进行虚拟化，成为目前数据中心整合的重要趋势。

虚拟化技术通过对物理资源和提供的服务进行抽象化，让资源使用者和系统管理者不关心对象的物理特征和服务边界的细节，从而降低资源使用和管理的复杂度，提高使用效率。因而，对数据中心的虚拟化能够提高数据中心的资源利用率，如中央处理器(CPU)利用率、存储容量等，降低系统的能耗，并减少系统的设计、运行、管理、维护成本，从而实现整合的目标。

数据中心的虚拟化技术主要包括3方面内容：网络虚拟化、存储虚拟化和服务器虚拟化，最主要的是服务器虚拟化。通过专用的虚拟化软件，如VMware管理，一台物理服务器能虚拟出多台虚拟机(VM)，每个VM独立运行，互不影响，都有自己的操作系统和应用程序和虚拟的硬件环境，包括虚拟CPU、内存、存储设备、IO设备、虚拟边缘端口汇聚(VEPA：Virtual Edge Port Aggregator)交换机等。

边缘虚拟桥接技术(Edge Virtual Bridging，EVB)技术分为交换机EVB技术和服务器EVB技术。服务器EVB技术应用于数据中心服务器，在其上的VEPA交换机中实现，用于简化虚拟服务器的流量转发实现，对虚拟服务器的网络交换、流量管理和策略下发进行集中控制，并能在虚拟迁移时实现网络管理和策略的自动迁移。

支持EVB的VEPA交换机分为虚拟边缘交换机(Virtual Ethernet Bridge，VEB)和虚拟边缘端口汇聚(Virtual Edge Port Aggregator，VEPA)。在服务器上采用纯软件方式实现的VEB实现方式简单，且技术兼容性好，但也面临着诸如占用CPU资源导致虚拟机性能下降，存在虚拟机流量监管、虚拟机的网络策略实施以及管理可扩展性等问题。

VEPA将虚拟机产生的网络流量全部交由与服务器相连的物理交换机进行处理，即使同一台服务器上的虚拟机间流量，也将在物理交换机上查表处理后，再回到目的虚拟机上。VEPA方式不仅借助物理交换机解决了虚拟机间流量转发，同时还实现了对虚拟机流量的监管，并且将虚拟机接入层网络纳入到传统服务器接入网络管理体系中。

新型网络交换模型(OpenFlow)是斯坦福大学发起的一种网络技术，它使传统的二层和三层交换机具备了细粒度流转发能力，即传统的基于MAC的网包转发，基于IP的路由转发，被拓展到了基于多域网包包头描述的流转发。同时，传统的控制层面从转发设备中剥离出来，所有转发行为的决策从交换机自身迁移到了某个集中控制器上。

每个OpenFlow交换机都有一张流表，进行包查找和转发。交换机可以通过OpenFlow协议经一个安全通道连接到外部OpenFlow控制器，对流表进行查询和管理。

流表包括包头域(header fileds)，匹配包头多个域；活动计数器(counters)域、0个或多个执行行动(actions)域。对每一个包进行查找，如果匹配则执行相关策略，否则通过安全通道将包转发到OpenFlow控制器，OpenFlow控制器来决策相关行为。流表项可以将包转发到一个或者多个接口。

私有虚拟局域网(private VLAN，PVLAN)使用二层VLAN结构，它在同一台设备上设置主(Primary)VLAN和子(Secondary)VLAN，Secondary VLAN又分为公共(Community)VLAN和隔离(isolated)VLAN。同一个Community VLAN中的端口可以相互通信，但是不能与其它Community VLAN二层互通。同一个Isolated VLAN中的端口在二层不能互通。Community VLAN和isolated VLAN都可以与Primary VLAN通信。

传统的基于媒体访问控制(MAC)转发的实现，通过将子VLAN内的MAC表拷贝到主VLAN中，实现报文转发，VLAN内的端口屏蔽通过端口隔离来实现由于将子VLAN中的MAC表都拷贝到主VLAN中，这样会造成主VLAN的MAC表会很大，如果软件实现，将导致转发速率下降。基于MAC转发，缺少对应用层连接流的监控。

发明内容