CN113472650B 报文处理方法、设备、系统及存储介质 （华为技术有限公司）

WO2020041150A1,2020.02接收端根据IPv6扩展头中的EPG信息执行组策2一EPG信息和第二EPG信息中的至少一项，所述第一EPG信息用于标识第一计算设备所属的信息用于标识第二计算设备所属的EPG，所述原始报文的目的IP地址包括所述第二计算设所述第一EPG信息和所述第二EPG信息位于所述IPv6扩展头的同一第一EPG信息和所述第二EPG信息分别位于所述IPv6扩展段用于指示所述IPv6报文是否已被按照所述EPG信息对应的组策所述IPv6网络中的第二网络设备接收IPv6报文，所述IPv6报文包括IPv联网协议IP地址包括所述第一计算设备的IP地址，所述第二EPG信息用于标识第二计算设所述第一EPG信息和所述第二EPG信息位于所述IPv6扩展头的同一第一EPG信息和所述第二EPG信息分别位于所述IPv6扩展3段用于指示所述IPv6报文是否已被按照所述EPG信息对应的组策略处理，所述第二网络设所述第二网络设备根据所述标识字段的值，确定所述IPv6报EPG信息和第二EPG信息中的至少一项，所述第一EPG信息用于标识第一计算设备所属的信息用于标识第二计算设备所属的EPG，所述原始报文的目的IP地址包括所述第二计算设所述第一EPG信息和所述第二EPG信息位于所述IPv6扩展头的同一第一EPG信息和所述第二EPG信息分别位于所述IPv6扩展字段用于指示所述IPv6报文是否已被按照所述EPG和目的选项头中的至少一项，所述逐跳选项头和所述目的选项头中的至少一项包括所述4所述第一EPG信息和所述第二EPG信息位于所述IPv6扩展头的同一第一EPG信息和所述第二EPG信息分别位于所述IPv6扩展字段用于指示所述IPv6报文是否已被按照所述EPG信息对应的组策略处理，所述设备还包述指令由处理器读取以使网络设备执行如权利要求1至权利要求12中任一5Endpoint设备发来的原始报文到达源虚拟隧道端点(VirtualTunnelEndpoint，VTEP)设目的VTEP发送VXLAN报文。目的VTEP设备接收到VXLAN报文后，会解封装VXLAN头，得到源Endpoint设备的EPG信息。目的VTEP会根据源Endpoint设备的EPG信息与目的端的EPG信息[0009]通过在IPv6报文的IPv6扩展头携带源Endpoint设备的EPG信息，使得源Endpoint设备的EPG信息随着IPv6报文在IPv6网络中转发。组策略的执行节点在转发IPv6报文的过6点上配置源Endpoint设备的EPG信息带来的工作量，从而降低了组策略的执行节点的配置[0011]通过在IPv6网络中使用IPv6扩展头来传递目的Endpoint设备的EPG信息，使得组策略的执行节点在转发IPv6报文的过程中，能从IPv6扩展头获得目的Endpoint设备的EPG信息，因此免去了预先在组策略的执行节点上配置目的Endpoint设备的EPG信息带来的工[0013]通过在IPv6网络中使用IPv6扩展头来传递源Endpoint设备的EPG信息和目的略的执行节点上配置源Endpoint设备和目的Endpoint设备的EPG信息带来的工作量，从而[0018]由于逐跳选项头是可供中间节点解析的IPv6扩展头，通过使用逐跳选项头携带EPG信息，使得IPv6报文在转发过程中途径中间节点时，中间节点能从逐跳选项头得到源源Endpoint设备的EPG信息和/或目的Endpoint设备的EPG信息执行组策略，从而让中间节再一方面，由于免去在中间节点上预先配置源Endpoint设备和目的Endpoint设备的EPG信7[0023]由于目的选项头是供目的节点解析的IPv6扩展头，通过使用目的选项头携带EPG支持SRv6-TE，因此这种方式的普适性。再一方面，由于免去在目的节点上预先配置源源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息，因此中间节点能根据源过目的选项头得到源Endpoint设备的EPG信息，因此目的VTEP也能根据源Endpoint设备的[0027]通过在IPv6扩展头中扩展一个新的TLV携带EPG信息，使得网络设备从新的TLV中[0029]通过在IPv6扩展头中扩展新的选项携带EPG信息，使得网络设备从新的选项中即[0035]通过这种方式，IPv6报文的接收设备无需支持特殊的路由功能(如SR)，即可从8[0038]可选地，所述EPG信息包括第一EPG信息和第二EPG信息中的至少一项，所述第一选项头和所述目的选项头中的至少一项包括所述[0043]所述第一EPG信息和所述第二EPG信息位于所述IPv6扩展所述第一EPG信息和所述第二EPG信息分别位于所述IPv6扩展头的不同9该指令由处理器读取以使第一网络设备执行上述第一方面或第一方面任一种可选方式所该指令由处理器读取以使第二网络设备执行上述第二方面或第二方面任一种可选方式所设备执行上述第一方面或第一方面任一种可选方式所提供的设备执行上述第二方面或第二方面任一种可选方式所提供的第二网络设备用于执行上述第二方面或第二方面任一种可选方式[0062]在一种可能的实现方式中，主控板和接口板之间建立进程间通信协议(inter-[0065]在一种可能的实现方式中，主控板和接口板之间建立进程间通信协议(inter-[0082]图17是本申请实施例提供的一种携带EPG信息和VPNSID的IPv6报文的格式示意似地，第二EPG信息可以被称为第一EPG信息。第一EPG信息和第二EPG信息都可以是EPG信AreaNetwork，VLAN)或VXLAN标识(VirtualNetworkID，VNI)实现子网划分，属于不同[0104]端点组(EndpointGroup，EPG)也称微分段，EPG是指基于(InterneIP)地址、IP网段、媒体访问控制(MediaAccessControl，MAC)地址、虚拟机(virtual[0106]Endpoint设备可通过任意计算机一类的具有计算处理能力的设备实现。同一EPG内的不同Endpoint设备可称为EPG的组内成员。属于不同EPG的Endpoint设备可称为EPG的[0112]在情况二下，同一EPG中的每个Endpoint设备的IP地址前缀相同，EPG信息包括包括而不限于虚拟接口或物理接口。例如，将同一个虚接口连接的VM7和VM8划分至同一对EPG的组内成员或组间成员之间传输的报文执行的处理动作，通过执行组策略，能够对EPG的组内成员和EPG的组间成员进行访[0117]组策略对应的处理动作包括多种类型。例如，组策略包括允许(也称permit或标记报文，再转发已标记的报文。标记包括而不限于重新标记该报文的区分服务编码点备会执行EPG信息对应的组策略。匹配条件中的EPG信息是源Endpoint设备的EPG信息还是[0123]例如，请参考上表1所示的第一条匹配条件，第一条匹配条件包括EPG1和EPG2，[0124]情况2、匹配条件包括源Endpoint设备的EPG信息且不包括目的Endpoint设备的匹配，网络设备会按照Allow这条组策略，转发报文。在这种方式下，不限定报文的目的[0126]情况3、匹配条件包括目的Endpoint设备的EPG信息且不包括源Endpoint设备的的Endpoint设备的EPG信息的举例说明，该匹配条件表示凡是发往EPG6的报文都应该被允[0131]在数据中心和园区场景中，会将Endpoint设备接入至VTEP设备(如接入交换机)中Endpoint设备的数量往往众多，通常不会将网络中所有的Endpoint设备的EPG信息均配置在每个VTEP设备上，而是将Endpoint设备的EPG信息配置在Endpoint设备接入的VTEP设源Endpoint设备，也连接了目的Endpoint设备，因此源Endpoint设备的EPG信息和了目的Endpoint设备的EPG信息均保存在该VTEP设备上，该VTEP设备能够利用源Endpoint设备的EPG信息和目的Endpoint设备的EP[0136]场景二也称跨EPG的转发场景，原始报文的源Endpoint设备和目的Endpoint设备[0137]以源Endpoint设备接入的VTEP设备称为源VTEP设备，目的Endpoint设备接入的源Endpoint设备的EPG信息通过某种方式传输至目的VTEP设备，以便目的VTEP设备利用源[0139]在一种可能的实现中，通过虚拟扩展局域网(VirtualExtensibleLocalArea中使用VXLAN报文中的第3和第4字节携带组策略ID，同时将第一个比特(bit)设为标志G(G报文的目的地址确定目的Endpoint设备所属的EPG。目的VTEP设备根据源Endpoint设备所EPG信息携带在叠加层头(Overlayheader)中被传递到目的VTEP设备，因为中间节点不解[0143]在另一种可能的实现中，基于VXLAN通用协议(VXLANGenericProtocolEncapsulation，VXLAN-GPE)、通用网络虚拟化封装(GenericNetworkVirtualizationGPE或GENEVE基本报头中的下一协议(Nextprotocol，对应于VXLAN-GPE)或协议类型EPG信息，此时源VTEP设备需要对报文进行Overlay封装(VXLAN-GPE或者GENEVE封装)并发报文的目的地址确定目的Endpoint设备所属的EPG。目的VTEP设备根据源Endpoint设备所属的EPG和目的Endpoint设备所属的EPG确定要和目的Endpoint设备的EPG信息。GENEVE中使用两个类型长度值(typelengthvalue，文源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息，集中式网关/防火墙负责根目的Endpoint设备的EPG信息都携带在Overlayheader后被传递到目的VTEP，中间节点必设备和第二计算设备对应于微分段技术中的EVTEP设备。其中，源VTEP设备也称入口VTEP设备或IngressVTEP，源VTEP设备是指与源[0176]本实施例以第一计算设备访问第二计算设备的场景为例说明，EPG信息包括第一[0180]情况三、第一网络设备在IPv6报文中携带源Endpoint设备的EPG信息和目的[0181]具体地，第一网络设备在IPv6报文中携带的EPG信息包括第一EPG信息和第二EPG[0191]第一网络设备生成的IPv6报文包括IPv6头(IPv6Header)、IPv6扩展头(IPv6最外层的头。IPv6头的结构可以参考图8。IPv6头包括版本号(Version)字段、流类型跳选项头中HdrExtLen字段的值用于指示逐跳选项头的长度。逐跳选项头中的选项也称段的值为60。请参考图9，目的选项头和逐跳选项头的格式类似，目的选项头包括next网络中转发。组策略的执行节点在转发IPv6报文的过程中，能从IPv6扩展头获得源Endpoint设备的EPG信息，因此免去了预先在组策略的执行节点上配置源Endpoint设备的IPv6扩展头来传递目的Endpoint设备的EPG信息，使得组策略的执行节点在转发IPv6报文执行节点上配置目的Endpoint设备的EPG信息带来的工作量，从而降低了组策略的执行节[0206]情况c、通过IPv6扩展头携带源Endpoint设备的EPG信息和目的Endpoint设备的[0207]例如，IPv6扩展头包括第一EPG信息和第二EPG信息。情况c的效果包括：通过在IPv6网络中使用IPv6扩展头来传递源Endpoint设备的EPG信息和目的Endpoint设备的EPG置源Endpoint设备和目的Endpoint设备的EPG信息带来的工作量，从而降低了组策略的执息包括而不限于源Endpoint设备的EPG信息或目的Endpoint设备的EPG信息中的至少一项，了包括第一EPG信息和第二EPG信息的逐跳选项头，逐跳选项头包括源EPG(SourceEPG)字[0217]实现方式一达到的效果包括：由于逐跳选项头是可供中间节点解析的IPv6扩展节点能从逐跳选项头得到源Endpoint设备的EPG信息和/或目的Endpoint设备的EPG信息，换句话说，源Endpoint设备的EPG信息和/或目的Endpoint设备的EPG信息是对中间节点可息包括而不限于源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息中的至少一项，[0226]实现方式二达到的效果包括：由于目的选项头是供目的节点等Ovaly报头的封装格式而言，目的选项头的封装格式更简洁，目的选项头占用的字节更在目的节点上预先配置源Endpoint设备的EPG信息的工作量，因此降低了目的节点的配置[0229]在实现方式三下，第一网络设备生成的IPv6报文包括逐逐跳选项头和目的选项头均包括EPG信息。例如请参考图11所示的具有逐跳选项头和目的[0230]方式3A、使用逐跳选项头携带源Endpoint设备的EPG信息和目的Endpoint设备的文沿途转发的过程中，中间节点能通过逐跳选项头得到源Endpoint设备的EPG信息和目的[0236]方式3D、使用逐跳选项头携带源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息，并使用目的选项头携带源Endpoint设备的EPG信息和目的Endpoint设备的EPG信[0240]以上通过实现方式一至实现方式三，列举了一些利用IPv6扩展头携带EPG信息可[0241]可选地，通过在IPv6报文中携带标识字段以指明组策略IPv6报文包括标识字段，标识字段用于指示IPv6报文是否已被按照EPG信息对应的组策略[0245]以携带EPG信息的TLV称为组策略TLV为例，组策略TLV是指携带了EPG信息的TL的类型。可选地，该组策略TLV是topTLV的新的子子TLV(sub-sub-TLV)，该组策略TLV的[0246]如何利用TLV携带EPG信息包括多种实现方式，以下通过实现方式I和实现方式II[0247]实现方式I、使用一个TLV携带源Endpoint设备的EPG信息或目的Endpoint设备的信息和目的Endpoint设备的EPG信息时，可选地，源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息占据不同的比特位，根据EPG信息所在的比特位区分EPG信息是源Endpoint设备的EPG信息还是目的Endpoint设备的EPG字段包括第二EPG信息。其中，图15所示的源EPG(SourceEPG)和源EPG持续(Source[0253]通过在IPv6扩展头中扩展一个新的TLV携带EPG信息，使得网络设备从新的TLV中策略TLV包括源Endpoint设备的EPG信息(第一EPG信息)、目的Endpoint设备的EPG信息(第策略TLV。逐跳选项头和目的选项头均包括组策略TLV的情况可以参考上述方式3A至方式息的flag字段位于某个预留字段中，或者，携带EPG信息的flag字段位于某个TLV的V字段图15所示的组策略TLV的长度(Length)字段替换为选项数据长度(OptDataLen)字段，即[0262]使用组策略选项携带EPG信息包括多种情况。以下通过实现方式一至实现方式二使得源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息位于同一个选项中。例如，组策略选项携带源Endpoint设备的EPG信息，使用目的组策略选项携带目的Endpoint设备项具有不同的Optiontype，或者，源组策略选项和目的组策略选项具有相同的Option[0270]通过在IPv6扩展头中扩展新的选项携带EPG信息，使得网络设备从新的选项中即[0271]可选地，不仅利用IPv6传输EPG信息，还利用尽力而为的段路由(Segment[0272]本段对VPNSID进行介绍。VPNSID是一种互联网协议第6版段路由(英文：internetprotocolversion6forSegmentRouting，SID的位置信息(Locator)用于定位至目的VTEP设备，VPNSID的功能信息(Function)用于携带EPG信息的IPv6扩展头和原始报文。VPNSID的类型包括而不限于End.DX和End.DT。应的操作包括解封装外层的IPv6报文头、根据剩余报文包括的目的地址查找VPN实例路由Endpoint设备的EPG信息(第二EPG信息)的情况下，通过使用SRv6-BE和逐跳选项头携带第IP报文的情况下，采用方式a生成的IPv6报文为移动IP数据封装和隧道(IPinIP)报文的原始报文的IP头。例如，如果原始报文为IPv6报文，采用方式a生成的IPv6报文包括两个避免同一个组策略被不同节点多次执行带来的转发时延和处理开设备预先获得并保存组策略，第二网络设备接收到IPv6报文后，从IPv6报文中获取EPG信[0304]匹配的方式包括严格匹配的方式和最长匹配的方式。严格匹配的方式是指，当[0305]IPv6报文携带源Endpoint设备的EPG信息且不携带目的Endpoint设备的EPG信息情况、IPv6报文携带源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息的情况下，IPv6报文携带源Endpoint设备的EPG信息与目的Endpoint设备的EPG信息中的一者的情况[0307]具体地，第二网络设备预先保存了Endpoint设备的IP地址与EPG信息之间的对应[0309]例如，组策略的匹配条件包括源Endpoint设备的EPG信息且不包括目的Endpoint设备的EPG信息，比如说组策略的匹配条件为EPG1to*，当第二网络设备接收到IPv6报文用这种方式时，IPv6报文可以仅携带源Endpoint设备的EPG信息而不携带目的Endpoint设[0310]又如，第二网络设备是防火墙一类的设备，组策略对应的匹配条件包括目的Endpoint设备的EPG信息且不包括源Endpoint设备的EPG信息，比如说组策略的匹配条件息，使用第二EPG信息与EPG1进行匹配即可。采用这种方式时，IPv6报文可以仅携带目的Endpoint设备的EPG信息而不携带源Endpoin[0312]例如，在判断IPv6报文中的EPG信息与组策略的匹配条件的并不要求组策略中的源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息均被匹配，当组策略中的源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息中的一者被匹配备的EPG信息和目的Endpoint设备的EPG信息中的一者时，与源Endpoint设备的EPG信息和计算设备或与第二计算设备相连的CE设备)发送原始报文，使得原始报文最终转发至第二[0331]方式2、第二网络设备根据外层的IPv6头中的目的IP地址，查询IPv6的路由转发[0334]本实施例提供了一种在IPv6网络中实现微分段的方法通过使用IPv6报文的IPv6[0335]以上方法200介绍了一种基于IPv6实现微分段的方法，以下通过方法300和方法[0337]图20示出了通过服务器实现VTEP设备的场景，VTEP设备是服务器中的虚拟交换[0338]图21示出了通过网络设备实现VTEP设备的场景，VTEP设备是网络设备(比如数据始报文到达源VTEP设备。源VTEP设备根据原始报文的IP地址，识别VM1所属的EPG为Group[0344]VM1的EPG信息是对方法200中的第一EPG信息(源Endpoint设备的EPG信息)的举例[0350]VM4的EPG信息是对方法200中的第二EPG信息(目的Endpoint设备的EPG信息)的举于VM1访问VM4的过程中间节点如何基于IPv6执行组策略。方法400与方法200或方法300同[0358]VM1的EPG信息是对方法200中的第一EPG信息(源Endpoint设备的EPG信息)的举例说明。VM4的EPG信息是对方法200中的第二EPG信息(目的Endpoint设备的EPG信息)的举例[0363]由于逐跳选项头携带了源Endpoint设备的EPG信息和目的Endpoint设备的EPG信息，转发路径上的任一跳中间节点都可以根据源Endpoint设备的EPG信息和目的Endpoint和上述其他操作和/或功能分别为了实现方法实施例中的第一网络设备所实施的各种步骤络设备500与上述方法200、方法300或方法400属于同一构思，其具体实现过程详见方法和上述其他操作和/或功能分别为了实现方法实施例中的第二网络设备所实施的各种步骤络设备600与上述方法200、方法300或方法400属于同一构思，其具体实现过程详见方法[0375]下面描述的网络设备700或网络设备800对应于上述方法实施例中的第一网络设过网络设备700或网络设备800处理器中的硬件的集成逻辑电路或者软件形式的指令完成。[0376]网络设备700或网络设备800对应于上述虚拟装置实施例中的网络设备500或网络设备600，网络设备500或网络设备600中的每个功能模块采用网络设备700或网络设备800设备800的处理器读取存储器中存储的程序代[0377]参见图27，图27示出了本申请一个示例性实施例提供的网络设备700的结构示意可编程逻辑器件(complexprogrammablelogicdevice，CPLD)，现场可编程逻辑门阵列可存储信息和指令的其它类型的动态存储设备，也可以是电可擦可编程只读存储器示的处理器701和处理器705。这些处理器中的每一个可以是一个单核处理器(single-以是液晶显示器(liquidcrystaldisplay，LCD)、发光二级管(lightem[0387]本申请实施例的网络设备700可对应于上述各个方法实施例中的第一网络设备或法实施例中的第一网络设备或第二网络设备所具有的功能和/或所实施的各种步骤和方[0388]网络设备500中的接收模块501、发送模块503相当于网络设备700中的通信接口[0389]网络设备600中的接收模块601相当于网络设备700中的通信接口704；网络设备600中的获得模块602和处理模块603可以相当于网[0390]参见图28，图28示出了本申请一个示例性实施例提供的网络设备800的结构示意processorcard)，主控板810用于对网络设备800中各个组件的控制和管理，包括路由计[0392]接口板830也称为线路接口单元卡(lineprocessingunit，LPU)、线卡(line业务接口(FlexibleEthernetClients，FlexECli[0393]接口板830上的中央处理器831用于对接口板830进行控制管理并与主控板810上[0394]网络处理器832用于实现报文的转发处理。网络处理器832的形态可以是转发芯成各接口板之间的数据交换。例如，接口板830和接口板840之间可以