一种基于互联网出口的管理系统

技术领域

本发明属于虚拟网络领域，尤其涉及一种基于互联网出口的管理系统。

背景技术

目前，Neutron(虚拟网络服务端，OpenStack项目中负责管理虚拟化网络的组件，基于SDN思想)公网实现方案包括：在云平台的Neutron组件中，首先创建一个外网Network，用于连接到公网。然后为该外网Network创建一个子网(Subnet)，该子网使用公网可用的IP地址范围。这样就为VPC提供了一个连接到公网的网段。用户创建VPC时，云平台会为其在Neutron中创建一个对应的Network(网络)和Router(路由器)。这个Network用于定义VPC内资源的通信方式和规则，而Router则用于实现VPC内部网络与外部网络(外网)之间的通信。在创建VPC对应的Router后，云平台会将该Router的外部接口连接到之前创建的外网Network，以实现与公网的连接。这样，VPC内的资源就可以通过该Router与公网进行通信。用户在创建VPC时，可以为其创建一个或多个子网。云平台会为用户创建这些子网，并将其附加(attach)到VPC对应的Router。这样，子网内的云主机可以通过该Router与其他子网和外部网络进行通信。用户创建一个Eip时，云平台会为其申请一个Floating IP(浮动IP)。Floating IP是一个公网IP地址，可以动态地绑定到云主机或其他资源上，实现与公网的通信。用户将之前创建的Eip绑定(associate)到云主机上。这样，云主机就拥有了一个公网IP地址，可以直接与公网进行通信。通过这个公网IP地址，云主机可以被访问和访问互联网上的其他资源。但是，用户创建的VPC对应Router只能绑定一个外网Network，云主机绑定Eip时需要Eip属于云主机所属VPC对应Router绑定的外网Network，这种情况同一个VPC下的云主机只能绑定一种类型的公网出口。

发明内容

鉴于以上现有技术的不足，发明的目的在于提供一种基于互联网出口的管理系统，提高了云主机的通信效率。该系统在，从而同一VPC下的云主机可以绑定不同类型的互联网出口。

本发明的第一方面，提出了一种基于互联网出口的管理系统，包括：

虚拟网络服务端，所述虚拟网络服务端用于创建互联网段绑定表和互联网出口表，其中，所述互联网段绑定表用于将当前公网子网、当前公网类型以及所述当前公网子网对应的当前公网出口进行绑定，所述互联网出口表用于将所述当前公网子网对应的当前公网出口与当前Vlan标识进行绑定；

虚拟网络控制器，所述虚拟网络控制器与所述虚拟网络服务端通信连接，当接收到所述公网类型变更为目标公网类型并且接收到目标公网子网时，所述虚拟网络控制器用于将所述互联网绑定表中的当前公网类型更改为所述目标公网类型，将所述互联网绑定表中的当前公网子网更改为所述目标公网子网，将所述互联网绑定表中的当前公网出口更改为所述目标公网子网对应的目标公网出口，并将所述互联网出口表中的当前VLAN标识更改为所述目标公网出口对应的目标Vlan标识；

互联网接入单元，所述互联网接入单元分别与所述虚拟网络控制器、云主机通信连接，所述互联网单元用于撤销所述虚拟网络服务端与所述云主机通信的路由器，并构建所述目标公网子网地址对应的目标路由器；其中，通过所述目标路由器将所述虚拟网络服务端与所述云主机构建通信通道。

进一步地，当所述目标公网类型为Ipv4且所述目标公网子网为目标Ipv4子网时，所述虚拟网络控制器用于将所述当前公网子网更改为所述目标Ipv4子网，并将所述当前公网子网对应的Vlan标识更改为所述目标Ipv4子网地址对应的Vlan标识。

进一步地，所述虚拟网络控制器用于将所述当前公网子网对应的Eip的Vlan标识更改为所述目标Ipv4子网的Eip的VLAN标识。

进一步地，当所述目标公网类型为Ipv6且所述目标公网子网为目标Ipv6子网时，所述虚拟网络控制器用于通过所述目标Ipv6子网查询Ipv6子网池，并根据所述Ipv6子网池查询到所述Ipv6子网池中的多个Ipv6子网，将所述多个Ipv6子网对应的VLAN标识更改为所述目标Ipv6子网的VLAN标识。

进一步地，所述虚拟网络控制器用于将VLAN所述当前公网子网中的网络配置信息的VLAN标识修改为所述目标Ipv6子网中的网络配置信息的VLAN标识。

进一步地，基于互联网出口的管理系统还包括互联网限速网元，所述互联网限速网元分别与所述虚拟网络控制器、所述云主机通信连接，所述互联网限速网元用于接收将所述当前公网子网对应的Eip的VLAN标识更改为所述目标Ipv4子网的Eip的VLAN标识的第一修改消息，或者接收将所述多个Ipv6子网对应的VLAN标识更改为所述目标Ipv6子网的VLAN标识VLANVLAN的第二修改消息。

进一步地，所述互联网限速网元将与所述云主机通信的地址包括所述目标路由器的网关地址、数据帧类型、数据帧的优先级、CFI以及VID。

进一步地，将所述VID更改为所述目标Ipv4子网的Eip的VLAN标识或者所述目标Ipv6子网的VLAN标识。

进一步地，所述互联网单元用于通过BGP协议撤销所述虚拟网络服务端与所述云主机通信的历史Ipv4路由器，并构建所述目标Ipv子网地址对应的目标Ipv4路由器并通过所述BGP协议发送至所述云主机。

进一步地，所述云主机通过所述目标Ipv4子网的Eip的VLAN标识与所述互联网接入单元通信。

本发明有益效果如下：

本发明所述的基于互联网出口的管理系统，虚拟网络服务端用于创建互联网段绑定表和互联网出口表，其中，互联网段绑定表用于将当前公网子网、当前公网类型以及当前公网子网对应的当前公网出口进行绑定，互联网出口表用于将当前公网子网对应的当前公网出口与当前VLAN标识进行绑定，虚拟网络控制器与虚拟网络服务端通信连接，当接收到公网类型变更为目标公网类型并且接收到目标公网子网时，虚拟网络控制器用于将互联网绑定表中的当前公网类型更改为目标公网类型，将互联网绑定表中的当前公网子网更改为目标公网子网，将互联网绑定表中的当前公网出口更改为目标公网子网对应的目标公网出口，并将互联网出口表中的当前VLAN标识更改为目标公网出口对应的目标VLAN标识，互联网接入单元分别与虚拟网络控制器、云主机通信连接，互联网单元用于撤销虚拟网络服务端与云主机通信的路由器，并构建目标公网子网地址对应的目标路由器，其中，通过目标路由器将虚拟网络服务端与云主机构建通信通道，通过添加绑定关系表，可以在NeutronRouter逻辑组网模型下，同一VPC下的云主机绑定不同互联网出口。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。显而易见地，下面描述中的附图仅仅是本发明实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例一种基于互联网出口的管理系统的示意图；

图2为本发明另一实施例的一种基于互联网出口的管理系统的示意图。

具体实施方式

为了使本领域的人员更好地理解本发明实施例中的技术方案，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。应该理解，这些描述只是示例性的，并非用于限定本发明的范围。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明公开的概念。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的方法和系统的例子。

本发明提出了一种基于互联网出口的管理系统，为解决了现有技术用户创建的VPC对应Router只能绑定一个外网Network，云主机绑定Eip时需要Eip属于云主机所属VPC对应Router绑定的外网Network，即同一个VPC下的云主机只能绑定一种类型的公网出口等问题。

装置实施例

本发明首先介绍下面术语的含义：

SDN：Software Defined Network，软件定义网络,主要包括:网络应用,虚拟网络控制器，数据平面；

Neutorn(虚拟网络服务端):OpenStack项目中负责管理虚拟化网络的组件，基于SDN思想；

互联网多出口：互联联网出口接入多个运营商；

虚拟网络：通过网络虚拟化技术为用户实现虚拟的隔离网络；

物理网络：传统网络设备，如交换机、路由器、防火墙；

互联网Segment/Subnet:一个互联网地址段；

Vlan：虚拟局域网，Vlan头(802.1Q)包含2个字节标签协议标识(TPID)和2个字节标签控制信息(TCI)

Eip/Floatingip：弹性公网ip；

VPC：Virtual Private Cloud，虚拟私有云，类似数据中心中的传统2层网络；

互联网接入网元：负责按照云网络控制面下发的网段配置，通过BGP协议或ARP协议将入云流量引流到云内；

互联网限速网元：负责按照云网络控制面下发的限速配置，对出入云的互联网流量进行限速；

虚拟网络控制器：在云网络控制面中，负责对下层转发面Agent，或转发面local控制器进行管理和控制，向上层提供云网络资源调用。

本发明的另一个具体实施例，公开了一种基于互联网出口的管理系统，包括：虚拟网络服务端10、虚拟网络控制器20以及互联网接入单元30，虚拟网络服务端10用于创建互联网段绑定表和互联网出口表，其中，互联网段绑定表用于将当前公网子网、当前公网类型以及当前公网子网对应的当前公网出口进行绑定，互联网出口表用于将当前公网子网对应的当前公网出口与当前VLAN标识进行绑定，虚拟网络控制器与虚拟网络服务端通信连接，当接收到公网类型变更为目标公网类型并且接收到目标公网子网时，虚拟网络控制器20用于将互联网绑定表中的当前公网类型更改为目标公网类型，将互联网绑定表中的当前公网子网更改为目标公网子网，将互联网绑定表中的当前公网出口更改为目标公网子网对应的目标公网出口，并将互联网出口表中的当前VLAN标识更改为目标公网出口对应的目标VLAN标识，互联网接入单元30分别与虚拟网络控制器20、云主机通信连接，互联网单元用于撤销虚拟网络服务端与云主机通信的路由器，并构建目标公网子网地址对应的目标路由器，其中，通过目标路由器将虚拟网络服务端与云主机构建通信通道。

在本发明实施例中，为了可以使同一VPC下的云主机绑定不同互联网出口，因此通过设置互联网段绑定表和互联网出口表以实现绑定不同互联网出口。

其中，在互联网出口表包括互联网出口ID、互联网出口名以及互联网出口VLAN。互联网出口ID可以设定为不同互联网出口不能使用相同的VLAN，并设定存在互联网网段与互联网出口绑定关系时不能删除，支持更新互联网出口名，VLAN不支持修改。

表1为互联网出口表结构

其中，互联网绑定表包括id(绑定关系Id)，segment_id(互联网网段id，ipv4：对应Neutron中外网Subnet Id，ipv6：对应Neutron中Ipv6对应的SubnetPool Id)，ip_version(对应Ip协议版本,ipv4,ipv6)，provider_id(对应互联网出口Id)，segment_id也表示为公网子网，ip_version为上述的公网类型，provider_id为公网子网的公网出口。

Neutron服务添加2个接口：添加Segment与互联网出口绑定关系接口(segment支持Neutron公网Subnet及Ipv6类型subnet pool)，一个segment仅支持绑定一个互联网出口，数据更新后通知虚拟网络控制器20；删除Segment与互联网出口绑定关系接口(ipv4segment下存在Floating Ip，或ipv6 subnetpool下存在subnet，不支持删除绑定关系)，数据删除后通知虚拟网络控制器20。

表2为互联网网段绑定表

虚拟网络控制器20的目的是缓存公网子网信息，为数据面转发配置提供信息。虚拟网络控制器20缓存有ipv4_segment(Segment/Subnet:一个互联网地址段)，ipv6_segment，eip(对应Neutron Floatingip)。

当接收到公网类型变更为目标公网类型并且接收到目标公网子网时，对互联网绑定表以及互联网出口表进行更新，从而可以支持互联网多出口需求。并且在neutron下加入虚拟网络控制器，用于维护互联网出口数据缓存，将网元与Neutron解耦，解决南北向数据转换，以及南向网元同时重启高并发访问问题。

其中，互联网接入单元30预先使用互联网出口对应Vlan做Vlan子接口，在子接口上配置互联地址，使用互联地址与上联交换机建立Bgp邻居(物理网络需要为不同互联网出口配置Vrf，启用BGP协议)。

在一实施例中，当目标公网类型为Ipv4且目标公网子网为目标Ipv4子网时，虚拟网络控制器用于将当前公网子网更改为目标Ipv4子网，并将当前公网子网对应的Vlan标识更改为目标Ipv4子网地址对应的VLAN标识。

在本发明实施例中，例如ip_version为ipv4时，修改segment id对应ipv4_segment(ipv4_segment id为segment id)数据的Vlan字段，以及ipv4_segment下eip数据的Vlan字段。通过VLAN可以实现逻辑上的隔离和分割网络流量。在这种情况下，数据的Vlan字段用于指定该数据对象所属的VLAN标识。

在一实施例中，虚拟网络控制器用于将当前公网子网对应的Eip的Vlan标识更改为目标Ipv4子网的Eip的VLAN标识。

在云平台中，IPv4段用于管理和分配IPv4地址，而Eip是一种可以动态绑定到云主机的公网IP地址。在这种情况下，ipv4_segment下eip数据的Vlan字段用于指定该Eip所属的VLAN标识。通过设置Vlan字段，将特定的Eip划分到相应的VLAN中。这样可以实现对该Eip的逻辑隔离和分割，从而提供更细粒度的网络控制和管理。

在一实施例中，当目标公网类型为Ipv6且目标公网子网为目标Ipv6子网时，虚拟网络控制器用于通过目标Ipv6子网查询Ipv6子网池，并根据Ipv6子网池查询到Ipv6子网池中的多个Ipv6子网，将多个Ipv6子网对应的VLAN标识更改为目标Ipv6子网的VLAN标识。

在本发明实施例中，通过segment id查询对应的IPv6子网池，segment id是一个标识特定网络段或子网的唯一标识符。在IPv6环境中，可以使用该segment id来查询与之相关联的IPv6子网池。IPv6子网池是一组可用于分配IPv6地址的子网范围。一旦找到了与segment id相关联的IPv6子网池，可以使用该子网池来查询其中的所有子网。子网是IPv6网络中的一个子网络，它是由一组连续的IPv6地址组成的。在查询到的所有子网中，可以修改它们对应的IPv6段数据的Vlan字段。这个字段可能用于指定该IPv6段所属的VLAN标识。通过设置Vlan字段，将特定的IPv6段划分到相应的VLAN中。这样可以实现对该IPv6段的逻辑隔离和分割，从而提供更细粒度的网络控制和管理。

在一实施例中，虚拟网络控制器用于将当前公网子网中的网络配置信息的VLAN标识修改为目标Ipv6子网中的网络配置信息的VLAN标识。

在本发明实施例中，在ipv6_segment下的IPv6数据对象中，同样涉及到Vlan字段。这个字段可能是用于指定该IPv6数据所属的VLAN标识。通过设置Vlan字段，将特定的IPv6数据划分到相应的VLAN中。这样可以实现对该IPv6数据的逻辑隔离和分割，从而提供更细粒度的网络控制和管理。

在一实施例中，基于互联网出口的管理系统还可以包括互联网限速网元40，互联网限速网元40分别与虚拟网络控制器20、云主机通信连接，互联网限速网元40用于接收将当前公网子网对应的Eip的VLAN标识更改为目标Ipv4子网的Eip的VLAN标识的第一修改消息，或者接收将多个Ipv6子网对应的VLAN标识更改为目标Ipv6子网的VLAN标识的第二修改消息。

在本发明实施例中，互联网接入网元收到ipv4_segment变更消息，将ipv4_segment对应互联网地址段，从原ipv4_segment对应的Vrf(Vrf name对用ipv4_segment中的Vlan id)中通过BGP协议撤销路由，在新ipv4_segment对应的Vrf中通过BGP协议发布路由。

互联网接入网元收到ipv6_segment变更消息，将ipv6_segment对应互联网地址段，从原ipv6_segment对应的Vrf(Vrf name对用ipv6_segment中的Vlan id)中通过BGP协议撤销路由，在新ipv6_segment对应的Vrf中通过BGP协议发布路由。

互联网接入网元在对应互联网出口的Vrf发布互联网段后，则会将该互联网出口的入云流量转发给接入网元。

在一实施例中，互联网限速网元40将与云主机通信的地址包括云主机的网关地址、数据帧类型、数据帧的优先级、CFI以及VID。

在本发明实施例中，数据帧类型为Tag Protocol Identifier(标签协议标识符)，表示数据帧类型，其字节数为2Byte，0x8100表示IEEE 802.1Q的VLAN数据帧。

数据帧的优先级为Priority，数据帧的802.1p优先级，其字节数为3bit，优先级的范围为0～7，值越大优先级越高。

CIF为Canonical Format Indicator是一种用于指示以太网帧中VLAN标签格式的字段。它是IEEE 802.1Q标准中定义的一个3位字段，用于标识VLAN标签的格式类型。

VID为VLAN ID，数据帧所属VLAN号，其字节数为12bit，取值范围是1～4094。互联网限速网元40，收到虚拟网络控制器通知的Eip、Ipv6更新消息，修改Eip、Ipv6对应Vlan。

云主机的网关地址包括目的Mac和源Mac，目的Mac为预先学习到的网关MAC。目的MAC地址是指以太网帧中的目标(或目的)MAC地址，用于指示帧的接收方。在网络通信中，每个以太网设备都有一个唯一的MAC地址，用于在局域网中进行唯一标识。预先学习到的网关MAC地址指的是网络设备(如交换机)在进行转发决策时，已经学习到的用作网关的设备的MAC地址。当一个以太网帧到达交换机时，交换机会查看帧中的目的MAC地址，并与其已学习到的MAC地址表进行匹配。如果交换机已经学习到了该目的MAC地址，并且该MAC地址对应于被配置为网关的设备，交换机会将帧转发给该设备。在一个局域网中，通常会有一个网关设备(如路由器)，用于将本地网络与其他网络连接起来。当局域网中的设备需要与其他网络通信时，它们会将数据发送到网关设备的MAC地址。因此，预先学习到的网关MAC地址就是指交换机已经学习到并记录下来的用作网关的设备的MAC地址。通过预先学习到网关的MAC地址，交换机可以更快速地将帧转发给网关，实现不同网络之间的通信。这样可以提高网络的性能和效率。

Ipv4互联网多出口实施例：创建外网Subnet(cidr为互联网出口网段)；创建互联网出口(name为出口名如：电信，Vlan由物理网络规划)；创建外网Subnet与互联网绑定关系；在该外网Subnet中创建Eip；将Eip绑定云主机。云主机绑定Eip成功后，即可以使用该Eip访问互联网

Ipv6互联网多出口实施例：创建ipv6 subnet pool(subnet pool cidr为互联网出口网段)创建互联网出口(name为出口名如：电信，Vlan由物理网络规划)；创建ipv6subnet pool与互联网绑定关系；在ipv6 subnet pool下创建subnet；云主机制定该subnet启用ipv6；为云主机启用ipv6生成的ipv6地址设置带宽。带宽设置成功后，云主机即可通过该ipv6地址访问互联网。

Ipv4出、入云流量路径：入口交换机根据接入网元发布的路由，将不同出口互联网地址段的流量送接入网元，接入网元送限速网元，限速网元限速后给到Nat网元，Nat网元做Nat后送云主机所在计算节点，计算节点VSwitch通过流表送云主机；云主机出云流量经计算节点VSwitch送Nat网元，Nat网元改源IP后送限速网元，限速网元限速后加Vlan头送上联交换机

Ipv6入云流量路径：入口交换机根据接入网元发布的路由，将不同出口互联网地址段的流量送接入网元，接入网元送限速网元，限速网元限速后给到V6网元，V6网元送云主机所在计算节点，计算节点VSwitch通过流表送云主机；云主机出云流量经计算节点VSwitch送V6网元，V6送限速网元，限速网元限速后加Vlan头送上联交换机。

其中，互联网接入网元、互联网限速网元使用Vlan与互联网出口做管理关系，可以做到一组集群支持多种互联网出口。

在一实施例中，将VID更改为目标Ipv4子网的Eip的VLAN标识或者目标Ipv6子网的VLAN标识。

在一实施例中，互联网单元用于通过BGP协议撤销虚拟网络服务端与云主机通信的历史Ipv4路由器，并构建目标Ipv子网地址对应的目标Ipv4路由器并通过BGP协议发送至云主机。

在一实施例中，云主机通过目标Ipv4子网的Eip的VLAN标识与互联网接入单元通信。

最后应说明的是，以上实施例仅用以说明本发明实施例的技术方案，而非对其限制。尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，任何熟悉本技术领域的技术人员在本发明公开的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。