[发明专利]一种基于openvswitch流表的IP报文转发控制方法及装置

说明书

本发明公开一种基于openvswitch流表的IP报文转发控制方法及装置，其中，该方法包括：根据openvswitch流表策略，匹配来自租户实例的报文或者发往租户实例的报文，修改该报文的目的mac地址并添加该报文当前所在虚拟网口的vxlan tag；将来自租户实例的报文或者发往租户实例的报文发送到下一个计算节点，并根据openvswitch流表策略，匹配该报文并修改其vxlan tag为该报文当前所在虚拟网口的vxlan tag，然后进行报文处理，实现不同租户子网间转发。该方法及装置使用openvswitch流表通过调整目的mac地址和vni信息控制IP报文在不同租户子网间直接传输。

技术领域

本发明涉及openstack的neutron实现领域，尤其是一种基于openvswitch流表的IP报文转发控制方法及装置。

背景技术

在openstack的neutron(虚拟网络服务)实现方案中，nfv网元的一个重要业务是sfc(服务链)，通过sfc实现广泛的负载均衡、防火墙、入侵检测和深度报文分析等租户网络增值功能。但是基于openvswitch流表实现的sfc功能的一个严重约束是第一个端口对应的入端口必须和租户vpc是同一子网，如图1所示，租户实例的网络流量由虚拟网口A发出，经过openvswitch流表策略处理直接发送到服务链第一跳SF实例1的虚拟网口B，再进行sfc服务链处理后由虚拟网口C直接发送到服务链第二跳SF实例3的虚拟网口D，然后进行sfc服务链处理后由虚拟网口E出服务链，经正常路由转发到达部署在网络的业务端。其中的限制是租户实例的虚拟网口A和服务链SF实例1的虚拟网口B必须是同一子网，这导致sfc需要部署到每个租户网络中，增加了部署管理难度。

发明内容

为解决现有技术存在的上述问题，本发明提供一种基于openvswitch流表的IP报文转发控制方法及装置，租户实例的虚拟网口A和服务链第一跳实例的虚拟网口B分布在不同的租户网络中，云服务商可构建集中共享的服务链专用vpc，不同租户流量在openvswitch流表策略控制下都可送入服务链，实现集中化共享化的运维管理。

为实现上述目的，本发明采用下述技术方案：

在本发明一实施例中，提出了一种基于openvswitch流表的IP报文转发控制方法，该方法包括：

根据openvswitch流表策略，匹配来自租户实例的报文或者发往租户实例的报文，修改该报文的目的mac地址并添加该报文当前所在虚拟网口的vxlan tag；

将来自租户实例的报文或者发往租户实例的报文发送到下一个计算节点，并根据openvswitch流表策略，匹配该报文并修改其vxlan tag为该报文当前所在虚拟网口的vxlan tag，然后进行报文处理，实现不同租户子网间转发。

进一步地，根据openvswitch流表策略，匹配来自租户实例的报文，修改该报文的目的mac地址并添加该报文当前所在虚拟网口的vxlan tag，包括：

在租户实例所在计算节点的openvswitch集成网桥上配置流表策略；

根据openvswitch流表策略的匹配字段，匹配来自租户实例的报文，得到目的mac地址；

修改目的mac地址为服务链第一跳SF实例1的虚拟网口B的mac地址，并添加租户实例的虚拟网口A的vxlan tag。

进一步地，根据openvswitch流表策略，匹配发往租户实例的报文，修改该报文的目的mac地址并添加该报文当前所在虚拟网口的vxlan tag，包括：

服务链第一跳SF实例1所在计算节点收到发往租户实例的网络业务端的响应报文；

在服务链第一跳SF实例1所在计算节点上下发openvswitch流表策略；