申请/专利权人：华为技术有限公司

申请日：2016-01-12

公开（公告）日：2020-01-10

公开（公告）号：CN107113208B

主分类号：H04L12/28(20060101)

分类号：H04L12/28(20060101)

优先权：["20150127 US 14/606,329"]

专利状态码：有效-授权

法律状态：2020.01.10#授权;2017.09.22#实质审查的生效;2017.08.29#公开

摘要：一种可以用在网络虚拟化中以便指定应用的需求的业务描述。为了提供包括传统网络组件在内的通用网络组件的网络虚拟化，将所述业务描述映射到逻辑网络实现，随后映射到物理实现。

主权项：1.一种由处理器执行的用于多租户网络环境中的网络配置的方法，其特征在于，所述方法包括：接收业务档案，所述业务档案为所述网络环境的租户定义网络应用需求；所述业务档案包括至少两个端点组EPG和定义所述至少两个EPG之间的业务流约束的至少一个策略合约；将所述接收到的业务档案映射到关联多个逻辑路由器、逻辑交换机和逻辑装置的逻辑网络实现；将所述逻辑网络实现映射到所述网络环境中的可用网络硬件上的物理网络实现；生成组件配置信息以配置所述可用网络硬件来提供所述定义所述网络应用需求的所述业务档案的所述物理网络实现；向所述可用网络硬件发送所述生成的组件配置信息以实施所述物理网络实现；将所述接收到的业务档案映射到所述逻辑网络实现包括：将每个EPG映射到与逻辑交换机关联的至少一个逻辑子网；将每个策略合约映射到与逻辑路由器连接的一个或多个虚拟装置。

全文数据：网络基础设施的网络虚拟化[0001]本申请要求2015年1月27日递交的发明名称为“网络基础设施的网络虚拟化”的第14606，329号美国非临时专利申请案的在先申请优先权，该在先申请的内容以引用的方式并入本文本中。技术领域[0002]本申请涉及网络管理技术，尤其涉及逻辑网络的配置。背景技术[0003]数据中心提供物理网络基础设施给多个客户或租户。由于在多个租户之间共享数据中心的物理基础设施，所以租户之间的资源以及业务隔离是对数据中心的要求。所要求的隔离可以通过网络虚拟化来实现，网络虚拟化配置物理基础设施来提供单独的隔离的虚拟网络。[0004]网络虚拟化可以通过各种方法和技术来实现，例如Openflow、Overlay，或者如CISCOACI等其它专有技术。然而，这些方法极大地依赖于底层技术支持，而且可能依赖于使用专用硬件。因此，为了支持网络虚拟化，可能需要升级网络装备，这会增加运营成本和资本支出。发明内容[0005]根据本发明，提供了一种用于多租户网络环境中的网络配置的方法，所述方法包括:接收业务档案，其为所述网络环境中的租户定义网络应用需求，将所述接收到的业务档案映射到关联多个逻辑路由器、逻辑交换机和逻辑装置的逻辑网络实现，将所述逻辑网络实现映射到所述网络环境中的可用网络硬件上的物理网络实现，生成组件配置信息以配置所述可用网络硬件来提供定义所述网络应用需求的所述业务档案的所述物理网络实现，以及向所述可用网络硬件发送所述生成的组件配置信息以实施所述物理网络实现。[0006]根据本发明，还提供了一种提供多租户网络环境中的网络配置的计算设备，所述计算设备包括：网络接口，用于与所述多租户网络环境中的计算设备通信;存储器，用于存储指令；以及处理器，用于执行所述指令。所述指令在由所述处理器执行时使所述处理器配置所述计算设备执行以下操作:接收业务档案，其为所述网络环境中的租户定义网络应用需求;将所述接收到的业务档案映射到关联多个逻辑路由器、逻辑交换机和逻辑装置的逻辑网络实现，将所述逻辑网络实现映射到所述网络环境中的可用网络硬件上的物理网络实现，生成组件配置信息以配置所述可用网络硬件来提供定义所述网络应用需求的所述业务档案的所述物理网络实现，以及向所述可用网络硬件发送所述生成的组件配置信息以实施所述物理网络实现。附图说明[0007]本文参照附图描述各实施例，在附图中：[0008]图1描绘了网络环境中的物理网络组件；[0009]图2描绘了可以通过物理网络组件实施的多个虚拟网络的视图；[0010]图3描绘了物理网络组件的抽象视图，可以用于管理图1的物理网络组件以实施图2描绘的虚拟网络；[0011]图4描绘了网络应用的业务档案的表示；[0012]图5描绘了用于管理多租户网络环境中的网络配置的计算设备；[0013]图6描绘了用于将业务档案映射到逻辑网络定义的方法；[0014]图7至图10描绘了图6的步骤的示意表示；[0015]图11描绘了用于配置物理网络内的逻辑网络的方法。具体实施方式[0016]越来越多的计算机业务或产品被虚拟化。通过虚拟化，单个物理计算设备，例如单个物理服务器，可以用来提供共享物理资源的多个虚拟服务器。通过虚拟化，可以更有效地使用硬件资源。除了如服务器等计算设备的虚拟化，虚拟化还可应用于网络组件，例如通过虚拟局域网（virtuallocalareanetwork，VLAN或虚拟扩展局域网（virtualextensiblelocalareanetwork，VXLAN应用于交换机以及通过虚拟路由转发virtualroutingandforwarding，VRF应用于路由器。从最大限度使用现有硬件的角度来看，支持网络组件的虚拟化可能是有利的；然而，这可能引入另一层配置和管理需求，目的是配置可用硬件来提供需要的虚拟网络组件。[0017]如下文进一步描述，网络虚拟化可以受益于以下能力：将租户的网络需求的基于组的策略groupbasedpolicy，GBP模型描述映射到中介逻辑网络层。该逻辑网络层提供逻辑网络的网络表示并且可以直接映射到可用的物理网络基础设施，即使在可用网络基础设施不支持虚拟化技术的情况下，虚拟化技术包括0penflow、0verlay，或者如CISCOACI等其它专有技术。网络虚拟化技术支持GBP模型描述通过逻辑网络层映射到物理实现，提供这种技术的能力可以简化虚拟网络的管理，而可能不需要对支持诸如Openflow、Overlay或ACI等特定网络虚拟化技术的新网络硬件进行大量投资。[0018]图1描绘了网络环境中的物理网络组件。网络环境100可以包括多租户网络设施102,其包括多个互连的物理网络组件。网络设施102可以连接到一个或多个网络104。网络设施102可以包括数据中心、互联网服务提供商（internetserviceprovider，ISP网络、合作网络或在其中统一管理多个物理网络组件以便向称为租户的多个实体提供分离网络功能的任意其它网络设施。术语“租户”并不意味着各个租户是不相关的或者不同的实体，而是指各个租户的网络需求与其它租户的网络需求独立。不考虑租户，多租户网络设施提供租户之间的资源以及业务隔离，这可以通过网络虚拟化来实现。如下文进一步描述，在业务描述与抽象物理硬件层之间插入逻辑网络层，以在即使使用了传统网络组件的情况下，尽可能地简化网络虚拟化的管理，其中，业务描述包括例如租户的简单资源规格。[0019]网络设施102包括多个网络组件，可以虚拟化多个网络组件的功能以便服务多个租户的网络需求而无需公开租户的虚拟网络之间的资源、数据、业务等。多个网络组件可以包括，例如多个物理路由器l〇6a、106b、106c统称为物理路由器106。物理路由器106包括虚拟路由转发virtualroutingforwarding，VRF功能，VRF功能支持单个物理路由器同时利用多个路由表，这使得单个物理路由器能够通过配置VRF路由器具有合适的配置信息来充当多个单独、独立的路由器。[0020]网络设施102还可包括多个物理网络交换机108a、108b、108c统称为物理网络交换机108。物理网络交换机108提供物理连接的设备之间的切换。可以配置物理网络交换机108提供的连接。此外，交换机可以用于提供虚拟局域网（virtuallocalareanetwork，VLAN或虚拟扩展LANvirtualextensibleLAN，VXLANs，这些VLAN或VXLAN支持物理网络交换机108提供多个不同的、隔离的广播域。VLAN和VXLAN支持单个虚拟网络跨越多个不同的物理网络交换机108,同时保持与其它VLANVXLAN业务分离。[0021]网络设施102还可包括连接到一个或多个物理网络交换机108的多个物理网络装置110a、IlOb统称为物理网络装置110和端点112a、112b、112c统称为端点112。每个物理网络装置110和端点112可以通过专用计算设备或通过物理服务器来提供。一般而言，网络装置110可以包括专用计算设备和物理服务器以提供常用的网络功能，例如防火墙功能、负载均衡功能、网络地址转换（networkaddresstranslation，NAT功能、入侵检测系统intrusiondetectionsystem，IDS功能以及入侵防御系统（intrusionpreventionsystem，IPS功能。端点112通常认为是用来提供租户的应用所需要的功能。例如，端点可以包括多个物理服务器，这些服务器可以用于提供多个虚拟服务器，例如提供web服务器、应用服务器、数据库服务器等，每个虚拟服务器可以由一个客户端基于特定需求来配置。网络装置以及端点的功能可以通过虚拟机监视器或虚拟机监控器来虚拟化。[0022]图2描绘了可以通过物理网络组件实施的多个虚拟网络的视图。各个租户的两个虚拟网络202、204在图2中描绘。两个虚拟网络202、204可以在上文参照图1描述的网络设施102的物理硬件组件上实施。虽然两个虚拟网络202、204在同一网络硬件上实施，但是网络虚拟化技术使每个虚拟网络202、204看起来像是各个租户，就好像它们是通过独立的物理网络组件实施的独立物理网络。[0023]租户1的虚拟网络202可以包括多个网络装置和端点，它们组合在一起，提供租户需要的或想要的功能。如图所描绘，虚拟网络202可以包括防火墙装置206,其提供外网104与虚拟网络202的内网之间的防火墙。虚拟装置还可以包括位于防火墙装置206之后的负载均衡器208。负载均衡器208可以接收请求并且选择两个web服务器210、212之一以服务所接收到的请求。负载均衡器208支持在提供相同功能的多个web服务器210、212之间透明地拆分处理负载。web服务器210、212可以提供如web接口等给使用一个或多个应用的用户。这些应用可以由应用服务器216提供，应用服务器216与web服务器210、212之间的通信可以经过第二防火墙装置214。应用服务器216可以将应用和或业务提供给web服务器210、212。应用服务器216可以利用数据库服务器218来提供应用和或业务。应用服务器216和数据库服务器218可以在图1描绘的一个或多个物理端点112上实施。[0024]如上所述，虚拟网络202将端点的通用功能组合成组，每组端点共享公共业务流策略。如图描绘，可以认为有3个不同层或组，S卩web服务器210、212提供的web层、应用服务器216提供的应用层和数据库服务器218提供的数据库层。每个层可以通过一个或多个网络装置，例如防火墙、负载均衡器和IPSIDS，可通信地相互耦合。尽管拟网络中的每个组件被描绘为直接连接到另一组件，但是将了解到，直接连接是虚拟的，而且负责实施虚拟组件的物理组件之间的实际物理连接可能不是直接的。因此，虽然可以将从应用服务器216到数据库服务器的流量作为直接虚拟连接来提供，但是物理连接可能需要相关数据在一个或多个物理交换机和路由器上传输。[0025]虚拟网络202描绘了web应用的通用3层架构。然而，可以预期到，基于租户的需求或期望，虚拟网络的其它配置也是可能的。例如，虚拟网络204被描述为包括数据库服务器222与外网104之间的单个防火墙装置220。将了解到，虚拟网络的许多其它配置可以通过连接经过一个或多个网络装置的端点组来提供。[0026]图3描绘了物理网络组件的抽象视图，可以用于管理图1的物理网络组件以实施图2描绘的虚拟网络。如图3所描绘，物理网络组件可以抽象为类似组件的集合。具体而言，物理路由器106可以抽象为集体路由池302,其可以用于提供用于实施物理网络中的虚拟网络的所需路由功能。物理交换机108可以抽象为交换网304。可以配置交换网304来提供用于实施物理网络内的虚拟网络的所需切换功能。多个物理网络装置110可以抽象为一个应用池，可以配置该应用池来提供虚拟网络所需的网络装置。类似地，物理端点112可以抽象为端点池308,可以配置该端点池来提供虚拟网络所需的端点。虽然将虚拟网络的虚拟网络装置和虚拟端点描绘成被抽象为单独的装置池306和端点池308,但是这些虚拟网络装置和虚拟端点可以在类型相似的物理装置上实施，因此装置池306和端点池308可以通过单个装置池来提供，该单个装置池能够配置来提供虚拟网络的虚拟装置和虚拟端点。[0027]如上所述，网络设施102的物理网络资源可以抽象化在各种池中。可以配置每个池来通过每个池中的物理网络资源提供需要的处理和网络功能。如图所描绘，可以使用管理和或配置计算设备310来配置抽象的网络资源池，从而配置物理资源来提供一个或多个虚拟网络。虽然配置可以手动进行，但这样做可能要求应用开发人员了解真实的物理网络实现详情，另外或者可选地，可能要求基础设施操作员了解应用详情。网络虚拟化技术能够基于以网络为中心的应用来配置物理网络资源，其中以网络为中心的应用通过基本自动执行的业务档案来描述。业务档案允许应用能够根据应用的以网络为中心的视角来定义，无需具体了解物理网络资源和它们的配置能力。业务描述到逻辑网络实现的映射允许在配置物理网络组件时使用业务描述。[0028]图4描绘了网络应用的业务档案的表示。业务档案400可以以应用的基于群组的策略groupbasedpolicy，GBP模型为基础。基于群组的策略模型支持应用的网络资源需求与物理网络的实现详情独立定义。租户的网络需求可以定义为一个或多个业务档案400。如下文进一步描述，业务档案400可以转换为逻辑网络基础设施，该逻辑网络基础设施又可以转换为物理网络中的一个实现方式。[0029]每个业务档案400定义了一个租户的网络需求，或者该租户的一部分独立网络需求。业务档案400可以包括多个端点组endpointgroup，EPG和EPG之间的合约。如图所描绘，应用网络描述402可以认为是用来指定多个EPG:EPG404a、404b、404c、404d统称为EPG404和每个EPG分别提供和使用的合约。如图4所描绘，第一EPG，标识为“EPGΓ提供标识为“合约Γ的合约并使用标识为“合约2”的合约。类似地，“EPG2”提供“合约2”并使用“合约3”和“合约4”。“EPG3”提供“合约3”，“EPG4”提供“合约4”。[0030]业务档案400还可以包括EPG定义406,其定义包含在应用网络描述402内的每个EGP408。每个定义的EPG408定义EPG内的端点410、41013、410〇、4101统称为端点410。可以认为每个端点是层2或层3可寻址实体。例如，每个端点410可以指定为一个网卡networkinterfacecard，NIC标识符、虚拟网卡（virtualnetworkinterfacecard，vNIC标识符、IP地址或域名系统domainnamesystem，DNS名称标识符。[0031]除了应用网络描述402和EPG406,业务档案400还可以包括描述业务描述400中指定的各个合约414、41413、414〇、4141统称为合约414的合约定义412。业务描述400还可以包括在一个或多个合约414中描述的一个或多个业务链定义416。如下文进一步描述，每个业务链可以指定一个或多个装置处理业务流的顺序。业务链装置418的描述可以包含在业务描述400内。[0032]图4中描绘的业务档案400旨在说明各个组件，包括业务档案中的EPG和相关合约。将了解到，业务档案可以通过各种方式提供。例如，各个组件可以通过标准化格式或者协定格式表示。此外，业务档案的各个组件可以使用现有组件。例如，合约可以在多个业务档案中重用。此外，尽管业务档案示意性地描绘为单个实体，但是每个组件可以单独提供。[0033]合约可以包括定义两个EPG之间的业务约束的策略规则列表，例如访问控制列表accesscontrollist，ACL和服务质量qualityofservice，QoS，可能还有其它约束，例如一个或多个网络装置需要的处理。每个策略规则包括一个或多个分类器和相关动作。分类器包括根据策略规则分类业务时使用的协议、端口和方向。协议可以包括TCP、UDP和HTTP等。端口可以逐个定义，或者多个一起定义，或者定义一个端口范围。inbound方向可以是入方向、出方向或双向。一种动作可以包括一个类型和一个值，其中动作类型可以是允许、丢弃、重定向、镜像和记录。相关值根据相关动作类型可以是可选的。如果动作类型是重定向，那么该值可以包括参照业务链定义的业务链ID。[0034]以下伪码列表提供了一种说明性合约，该合约定义了名称为“XXX”的将在9000至90002范围中的一个端口处接收到的任意入口TCP流量进行重定向以及将入口业务重定向到ID为“99”的业务链的单个策略规则。[0036]以下伪码列表提供了一种说明性的业务链定义，该定义提供了在上文说明的合约中标识的业务链。如上描述，ID为“99”的业务链定义了两个装置，即装置“aaa”和装置“bbb”处理的的有序链。[0038]业务链中指定的每个装置还可进一步定义。以下伪码列表定义了两个装置，即上文业务链中的分别作为防火墙和负载均衡器的“aaa”和“bbb”。[0040]装置类型可以根据在网络设施处可用的预定义选择而定义。例如，装置类型可以是防火墙、负载均衡器、IPS和IDS及NAT装置之一。如上文的伪码所述，装置可以表示为共享装置。共享装置可以在共享设备上创建，而非共享装置应在专用设备上创建。表示装置是否共享的能力使租户更好地控制网络的实现。对于某些装置，租户可能需要硬件的物理隔离，而不仅是虚拟隔离，以便解决特定的安全问题。[0041]上文说明性合约以及相关业务链和装置描述了端口9000至9002上的入口TCP流量首先由名为FWl的防火墙处理，然后由名为LBl的负载均衡器处理。[0042]上文描述的可以通过各种格式提供的业务档案400可以转换为包括逻辑交换机、逻辑路由器、装置以及逻辑业务链表和服务质量qualityofSerViCe，Q〇S策略的逻辑网络实现。逻辑网络实现所需的逻辑交换机、逻辑路由器、装置以及逻辑业务链表和服务质量qualityofservice，QoS策略可以从业务档案400中得到。一旦生成逻辑网络实现，其就可以通过由路由池、交换网、装置池和端点池抽象的可用物理资源来映射到物理实现。另夕卜，或者可选地，租户可以使用逻辑网络实现来促进虚拟网络的运行、管理和维护。例如，可以向租户呈现逻辑网络实现的视觉表示。[0043]图5描绘了用于管理多租户网络设施中的网络虚拟化的计算设备。下文参照图5描述的计算设备500可以用作上文参照图3描述的管理和配置计算设备310。如上所述，管理和配置计算设备310可以负责配置物理网络组件，例如由路由池、交换网、装置池和端点池抽象的那些组件。计算设备500可以类似地用于配置可用物理网络资源。然而，计算设备500被配置来接收业务档案524,物理资源被配置来提供业务档案524中定义的网络资源。[0044]计算设备500描绘为包括中央处理单元502、存储器单元504和输入输出（inputoutput，IO单元506的单个物理服务器。IO单元506可以使一个或多个网络接口连接到计算设备500。应了解，描绘的单个物理服务器500事实上可以作为虚拟服务器提供。不管是在虚拟服务器中还是在物理服务器中实施，计算设备500，或者准确地说处理单元502，执行存储在存储器504中的指令和数据，以便提供管理多租户网络环境中的网络配置的功能508。[0045]功能508描绘为包括用于抽象物理网络组件510的功能。抽象可以将可用物理资源组合到多个池中，计算设备500可以从这些池中获得物理资源以便提供从业务档案524转换而来的逻辑网络需求。抽象只需要最初针对网络环境完成，以便将所有路由设备组合到路由池中，将所有交换机组合到交换网中，以及将所有装置和端点组合到装置池和端点池中。初始抽象之后，物理计算资源可以添加到各个池中，也可能从各个池中移除，从而便于更新可用计算和网络资源以将虚拟网络提供给租户。抽象信息526可以认为是可用物理路由、切换和处理能力列表，该列表可以使用可用网络硬件来配置。[0046]计算设备500用于接收业务档案（512。接收到的业务档案524可以通过各种方式来接收。例如，租户可以将业务档案提交给计算设备以供后续网络资源配置。此外，计算设备500或未示出的其它计算设备可以提供用户界面功能以允许租户指定业务档案。用户界面可以包括图形组件，例如特定放置的拖放组件，以及文本组件，例如命名或重命名组件。不管业务档案524如何接收，计算设备500都用于将业务档案转换为与业务档案524提供的网络需求对应的逻辑网络实现514。转换后的逻辑网络基础设施可以包括一个或多个逻辑交换机、一个或多个逻辑路由器、一个或多个逻辑装置以及定义装置与其它端点之间的业务流的逻辑业务链表。[0047]一旦计算设备500生成逻辑网络实现，计算设备500就可以用于将逻辑网络实现映射到物理网络实现516。逻辑到物理网络实现的映射可以利用抽象的网络信息526,以便确定用于来实施从业务描述转换而来的逻辑网络实现的可用物理网络资源。一旦逻辑网络实现映射到物理网络实现，就可以配置计算设备500来配置物理网络资源以提供物理网络实现518。配置物理网络资源可以包括生成组件配置信息（518a和向各个网络组件发送所生成的组件配置信息518b，以便配置这些组件来提供需要的或预期的功能。[0048]如上文所描述，定义一个应用的业务档案可以转换为逻辑网络实现。然后，逻辑网络实现可映射到可用物理网络资源，以便在物理网络资源中实施逻辑网络。逻辑网络实现除了或者替代地映射到物理网络实现，还可用于其它目的。例如，计算设备500可以用于生成逻辑网络实现的视觉表示520并向与租户有关联的网络或应用管理员等用户显示该视觉表示522。[0049]图6描绘了用于将业务档案转换为逻辑网络定义的方法。如图描绘，该方法可用于将业务档案转换为计算设备500提供的逻辑网络实现514。接收业务档案512并将其转换为逻辑网络实现514。该转换可以通过以下方式来执行:将接收到的业务档案中的每个EPG和合约映射到对应的逻辑网络组件并且基于策略描述将逻辑网络组件连接在一起。业务档案中定义的合约的策略规则可以映射到逻辑业务链表，该表包括对在源、目的地以及可能一个或多个中介检查点之间流动的业务的多个流约束。在逻辑网络实现中，可以通过网关和逻辑路由器上的基于策略的路由来引导业务流，QoS策略可以在转发设备以及检查点上实施。逻辑网络实现中的转发设备可以包括逻辑路由器，逻辑路由器可以包括逻辑网关以及逻辑交换机。检查点可以认为是能够检查业务和调整流的逻辑网络组件并且可以包括，例如路由器、网关、防火墙、NAT、IPSID和负载均衡器。[0050]将业务策略转换为逻辑网络视角包括将业务策略的每个EPG映射到具有共享网关的一个或多个子网（602。各个EPG可以映射到的子网的数量可以基于与组中的各个端点相关联的不同子网。从各个EPG映射来的一个或多个子网连接到通用共享网关以将一个或多个子网连接在一起。每个子网还可以与一个逻辑交换机相关联。[0051]业务档案到逻辑网络视角的转换还包括将合约映射到与0个或多个虚拟装置连接的路由器604。要与路由器连接的虚拟装置可以从合约中定义的任意业务链中指定的装置中确定。从合约映射来的路由器基于业务策略连接于从EPG映射来的网关之间（606。通常至少一个路由器将连接于单个EPG网关与外网连接之间，这是显而易见的。逻辑业务链表可以根据合约策略规则生成608。逻辑业务链表提供逻辑网络组件之间的流约束。[0052]上文描述的方法可用于将提供应用的网络资源视角的业务策略转换为逻辑网络实现。逻辑网络实现包括多个连接在一起的逻辑交换机、路由器、装置和端点。逻辑网络实现还可包括逻辑业务链表，该逻辑业务链表提供相连的逻辑组件之间的业务流的业务约束和QoS需求。[0053]图7至图10描绘了图6中的步骤的示意表示。图7描绘了接收到的业务档案的示意表示700。如图所描绘，接收到的业务档案包括第一合约702，其定义了对在外网104与第一EPG704之间流动的业务实施的策略。第二合约706定义了对在第一EPG704与第二EPG708之间流动的业务实施的策略。第三合约710定义了对在第二EPG708与第三EPG712之间流动的业务实施的策略。最后，第四合约714定义了对在第二EPG708与第四EPG716之间流动的业务实施的策略。[0054]图8描绘了将EPG映射到与网关连接的对应子网的结果的示意表示，每个子网与一个逻辑交换机相关联。如图所描绘，第一EPG704映射到与两个逻辑交换机804b、804c连接的第一网关804a，这两个交换机与从第一EPG704映射而来的两个子网相关联。逻辑交换机804b、804c均连接到相应子网中的端点。具体而言，逻辑交换机804b连接到端点804b、804e，逻辑交换机804c连接到端点804f。第二EPG708映射到单个子网，逻辑交换机808b连接到网关808a。逻辑交换机808d连接到EPG708的端点，即端点808c、808d。第三EPG712映射到单个子网，逻辑交换机812b连接到网关812a。单个端点812c被描绘为连接到逻辑交换机812b。最后，第四EPG映射到单个子网，逻辑交换机816b连接到网关816a。三个端点816c、816d、816e被描绘为连接到逻辑交换机816b。[0055]图9描绘了将合约映射到路由器和虚拟设备并且将路由器连接于网关之间的结果的示意表示。在图9中，为了使图清晰，来自EPG的逻辑网络组件不再进行编号。如图所描绘，第一合约702映射到一个路由器，该路由器连接到在合约的业务链内指定的多个逻辑装置。具体而言，合约702映射到逻辑路由器902a，逻辑路由器902a连接到逻辑装置902b、902c、902d。如图所描绘，逻辑装置902b是第一防火墙装置，逻辑装置902c是一个网络地址转换networkaddresstranslation，NAT装置，逻辑装置902d是一个入侵防御系统intrusionpreventionsystem，IPS装置。第二合约706映射到与逻辑装置906b连接的逻辑路由器906a。逻辑装置906b被描绘为第二防火墙。第三合约710和第四合约714均映射到相应的路由器910a、914a，但是第三和第四合约没有指定重定向业务链中的任何装置，因此不与任何虚拟装置连接。然而，合约可以指定对在相连的EPG网关之间流动的业务实施的策略，这些策略可以作为由逻辑路由器实施的ACL和或QoS来提供。因此，如图所描绘，从第三合约710映射而来的逻辑路由器910a可以与第一ACL910b相关联，从第三合约714映射来的逻辑路由器914a可以与第二ACL914b相关联。[0056]此外，如图所描绘，逻辑路由器902a、906a、910a、914a均连接于合适的EPG网关之间。具体而言，逻辑路由器902a连接于外网104与第一EPG网关804a之间。逻辑路由器906a连接于第一EPG网关804a与第二EPG网关808a之间。逻辑路由器910a连接于第二EPG网关808a与第三EPG网关812a之间。逻辑路由器914a连接于第二EPG网关808a与第四EPG网关816a之间。[0057]图10描绘了生成逻辑业务链表的结果的示意表示。在图10中，为了使图清晰，先前从EPG和合约映射而来的逻辑组件不再进行标号。此外，与每个EPG映射相关联的逻辑交换机和端点统一表示为虚线长方形内的层。如图10所描绘，逻辑业务链表定义了组件之间的业务流并且可以以各个合约内指定的策略规则为基础。逻辑业务链表1010可以用来指定虚拟装置之间的处理顺序并且可以与ACL和QoS信息相关联，但是ACL信息以图形方式描绘为与相应的逻辑路由器910a、914a相关联。[0058]合约可以指定提供虚拟装置处理的有序链的业务链。虽然逻辑连接可以通过图9描绘的先前映射来提供，但是没有提供所需的有序处理。逻辑业务链表1010可以用于指定合约所需要进行处理的顺序。例如，表1010中的示意性地对应于线条1001的链1指定来自互联网的业务首先经过第一防火线装置，然后经过NAT装置。表1010中的示意性地表示为线条1002的链2指定业务应该从NAT装置流到IPS装置，然后流到层1上，或者，更确切地说从子网流到从EPG1匹配到的逻辑交换机。链3表示为线条1003,指定业务应该从层1流到第二防火墙装置，然后流到层2,或者，更确切地说从子网流到从EPG2匹配到的逻辑交换机。链4表示为线条1004,指定业务应该从层2流到层3,或者，更确切地说从子网流到从EPG3匹配到的逻辑交换机。虽然通过图像表示来描绘，但是与逻辑路由器910a相关联的ACL信息可以包含在与链4相关联的逻辑业务链表中。链5表示为线条1005,指定业务应该从层2流向层5,或者，更确切地说从子网流到从EPG5匹配到的逻辑交换机。虽然通过图像表示来描绘，但是与逻辑路由器914a相关联的ACL信息可以包含在与链5相关联的逻辑业务链表中。[0059]虽然上文提到映射到网关或共享网关，但是可以预期，网关或共享网关可以通过逻辑路由器提供。因此，上文描述的尤其是参照图7至图10的网关或共享网关可以用逻辑路由器替换。[0060]图11描绘了配置物理网络内的逻辑网络实现的方法。方法1100由计算设备执行，该计算设备可以提供配置功能，允许多租户网络设施中的租户通过GBP模型配置网络，该模型可以通过业务描述等来提供。一旦逻辑网络实现从业务档案转换而来，其就可以通过自动将逻辑网络实现映射到物理实现来在物理网络内配置。配置逻辑网络实现的方法1100使用抽象的网络资源，以便拥有能够实施逻辑网络的资源池。实施逻辑网络组件的真实物理组件可以通过各种技术从相应池中选择以优化选择。例如，虽然逻辑网络中的直接连接可以通过跨多个物理路由器和交换机的虚拟连接来实施，但是期望选择组件使得实施物理世界中的逻辑网络时所需的物理组件的数量最小。其它优化或至少考虑因素可以应用于从可用池中选择物理组件。[0061]方法1100包括配置交换网内的逻辑交换机1102。通过使用VLAN和或VXLAN配置交换网内的所选物理交换机来提供逻辑交换机可以实现这一点。方法1100将每个路由器和或网关如果存在）映射到VRF并且配置路由池内的VRF1104。配置装置池中的网络装置节点，确定基于策略的路由用于将配置的装置节点插入合适的流路径内（1106。将基于策略的路由配置给路由池内的VRF转发单元1108。然后可将ACL策略则配置给应用节点和转发节点（1110。[0062]如上所述，有可能使用网络虚拟化技术，以便基于业务档案配置物理网络组件。业务档案可以是基于GBP的业务描述。该技术不需要任何专用硬件或网络组件，因此使用传统网络设备提供网络虚拟化，这降低了与数据中心或多租户网络设施相关的运营开支和资本支出。逻辑网络基础设施层插入在业务描述与网络抽象物理层之间。逻辑网络层支持将业务描述映射到逻辑层，然后映射到物理层。[0063]虽然已经描述了一定组件和步骤，但是可以预期，单独描述的组件以及步骤可以组合到少量组件或步骤中，或者这些步骤可以按序、无序或并行执行。类似地，各个组件或步骤可以由多个组件或步骤提供。注意到当前教示的本领域普通技术人员将了解网络虚拟化可以通过软件、固件和或硬件的各种组合来提供，除了本文中作为说明性示例描述的具体实施方式。[0064]上文描述的网络虚拟化技术可以通过使用合适的软件、硬件、固件和或其组合来实施。上文描述的网络虚拟化技术可以提供为计算机可读介质中或上存储的指令以供处理器执行。所执行的指令可以配置计算设备来提供上文描述的网络虚拟化技术。指令可以存储在非易失性或非瞬时性介质中，该介质可以是只读光盘（compactdiskread-onlymemory，⑶-ROM、USB闪盘或可移除硬盘或其它类型的非易失性存储器。[0065]尽管已经详细描述了各种具体实施例，但是在不脱离说明的教示的情况下可以对本文描述的具体实施例进行各种改变、替换和更改，这对于本领域普通技术人员来说是显而易见的。说明书和附图仅被视为所附权利要求书所定义的主题的说明并且考虑落于本说明书描述的范围和附图内的任何和所有修改、变体、组合或均等物。

权利要求：1.一种由处理器执行的用于多租户网络环境中的网络配置的方法，其特征在于，所述方法包括：接收业务档案，所述业务档案为所述网络环境的租户定义网络应用需求；将所述接收到的业务档案映射到关联多个逻辑路由器、逻辑交换机和逻辑装置的逻辑网络实现；将所述逻辑网络实现映射到所述网络环境中的可用网络硬件上的物理网络实现；生成组件配置信息以配置所述可用网络硬件来提供所述定义所述网络应用需求的所述业务档案的所述物理网络实现；向所述可用网络硬件发送所述生成的组件配置信息以实施所述物理网络实现。2.根据权利要求1所述的方法，其特征在于，还包括：根据所述生成的组件配置信息配置所述可用网络硬件。3.根据权利要求1所述的方法，其特征在于，所述业务档案包括至少两个端点组EPG和定义所述至少两个EPG之间的业务流约束的至少一个策略合约。4.根据权利要求3所述的方法，其特征在于，将所述接收到的业务架构定义映射到所述逻辑网络实现包括：将每个EPG映射到与逻辑EPG路由器关联的至少一个逻辑子网；将每个策略合约映射到与逻辑合约路由器连接的一个或多个虚拟装置。5.根据权利要求4所述的方法，其特征在于，将所述接收到的业务架构定义映射到所述逻辑网络实现还包括：基于所述至少一个策略合约将逻辑EPG路由器与逻辑合约路由器连接；生成包括多个链条目的逻辑业务链表，每个链条目定义逻辑网络组件之间的相应链的业务流约束。6.根据权利要求5所述的方法，其特征在于，每个所述逻辑合约路由器耦合到所述至少一个逻辑EPG路由器中的至少一个，所述至少一个逻辑子网中的每一个都与一个逻辑交换机关联。7.根据权利要求3所述的方法，其特征在于，所述至少一个EPG中的每一个定义至少一个共享公共业务流策略需求的端点。8.根据权利要求3所述的方法，其特征在于，所述至少一个策略合约中的每一个包括定义一个或多个EPG之间的业务流约束的一个或多个策略规则。9.根据权利要求8所述的方法，其特征在于，所述一个或多个策略规则中的至少一个指定用于处理业务流的业务链，所述业务链定义一个或多个网络装置的有序处理。10.根据权利要求9所述的方法，其特征在于，所述一个或多个网络装置从以下项中选择：防火墙，负载均衡器，网络地址转换NAT设备，入侵检测系统IDS，入侵防御系统IPS。11.根据权利要求1所述的方法，其特征在于，将所述逻辑网络实现映射到所述物理网络实现使用网络抽象信息，所述网络抽象信息指定交换网、路由池和装置池中的物理网络组件。12.根据权利要求1所述的方法，其特征在于，还包括：为所述租户生成所述逻辑网络实现的视觉表示。13.—种提供多租户网络环境中的网络配置的计算设备，其特征在于，包括：网络接口，用于与所述多租户网络环境中的计算设备通信；存储器，用于存储指令；处理器，用于执行所述指令，所述指令在执行时使所述处理器配置所述计算设备执行以下操作：接收业务档案，所述业务档案为所述网络环境中的租户定义网络应用需求；将所述接收到的业务档案映射到关联多个逻辑路由器、逻辑交换机和逻辑装置的逻辑网络实现；将所述逻辑网络实现映射到所述网络环境中的可用网络硬件上的物理网络实现；生成组件配置信息以配置所述可用网络硬件来提供定义所述网络应用需求的所述业务档案的所述物理网络实现；向所述可用网络硬件发送所述生成的组件配置信息以实施所述物理网络实现。14.根据权利要求13所述的计算设备，其特征在于，所述执行的指令使所述处理器配置所述计算设备进一步执行以下操作：根据所述生成的组件配置信息配置所述可用网络硬件。15.根据权利要求13所述的计算设备，其特征在于，所述业务档案包括至少两个端点组EPG和定义所述至少两个EPG之间的业务流约束的至少一个策略合约。16.根据权利要求15所述的计算设备，其特征在于，将所述接收到的业务架构定义映射到所述逻辑网络实现包括：将每个EPG映射到与逻辑EPG路由器关联的至少一个逻辑子网；将每个策略合约映射到与逻辑合约路由器连接的一个或多个虚拟装置。17.根据权利要求16所述的计算设备，其特征在于，将所述接收到的业务架构定义映射到所述逻辑网络实现还包括：基于所述至少一个策略合约将逻辑EPG路由器与逻辑合约路由器连接；生成包括多个链条目的逻辑业务链表，每个链条目定义逻辑网络组件之间的相应链的业务流约束。18.根据权利要求17所述的计算设备，其特征在于，每个所述逻辑合约路由器耦合到所述至少一个逻辑EPG路由器中的至少一个，所述至少一个逻辑子网中的每一个都与一个逻辑交换机关联。19.根据权利要求15所述的计算设备，其特征在于，所述至少一个EPG中的每一个定义至少一个共享公共业务流策略需求的端点。20.根据权利要求15所述的计算设备，其特征在于，所述至少一个策略合约中的每一个包括定义一个或多个EPG之间的业务流约束的一个或多个策略规则。21.根据权利要求20所述的计算设备，其特征在于，所述一个或多个策略规则中的至少一个指定用于处理业务流的业务链，所述业务链定义一个或多个网络装置的有序处理。22.根据权利要求21所述的计算设备，其特征在于，所述一个或多个网络装置从以下项中选择：防火墙，负载均衡器，网络地址转换NAT设备，入侵检测系统IDS，入侵防御系统IPS。23.根据权利要求13所述的计算设备，其特征在于，将所述逻辑网络实现映射到所述物理网络实现使用网络抽象信息，所述网络抽象信息指定交换网、路由池和装置池中的物理网络组件。24.根据权利要求13所述的计算设备，其特征在于，所述执行的指令使所述处理器配置所述计算设备进一步执行以下操作：为所述租户生成所述逻辑网络实现的视觉表示。

百度查询： 华为技术有限公司 网络基础设施的网络虚拟化

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD