[发明专利]VXLAN报文封装及策略执行方法、设备、系统

说明书

公开了虚拟可扩展局域网(VXLAN)报文封装及策略执行方法、设备、系统。该方法中，通信设备确定标识以太网帧参与的应用类型的应用标识，并将该应用标识放在VXLAN头中。其他设备无需自行分析报文，而可以直接依据VXLAN头中的应用标识执行相应的策略。

技术领域

本申请涉及通信领域，尤其涉及一种以虚拟可扩展局域网(英文：VirtualExtensible Local Area Network，VXLAN)报文封装及策略执行方法、设备、系统。

背景技术

网络设备分析接收到的报文以对该报文执行相应的策略。上述场景中，报文转发路径上的多台网络设备都要分析报文以确定策略。因此，网络设备要分析的报文多，负担大。

发明内容

本申请提供一种VXLAN报文封装及策略执行方法、设备、系统，以减轻网络负担。

第一方面，提供了一种VXLAN报文封装方法，包括：通信设备获取以太网帧。所述通信设备在所述以太网帧上封装包括应用标识的VXLAN头以得到VXLAN报文。其中，所述应用标识用于标识所述以太网帧参与的应用类型。所述应用标识基于所述以太网帧的净荷和应用识别规则被识别。

由于通信设备确定了应用标识并将应用标识放在VXLAN头中，其他设备无需自行分析报文，而可以直接依据VXLAN头中的应用标识执行相应的策略。因此，该方案减轻了网络负担。

结合第一方面，在第一方面的第一种实现中，所述应用识别规则包括识别所述以太网帧的净荷的协议类型，访问目标或使用目的中的一个或多个。

结合第一方面的第一种实现，在第一方面的第二种实现中，所述应用识别规则包括以下一个或多个：根据所述以太网帧的净荷中的传输层协议端口号确定协议类型；根据所述以太网帧的净荷中的特定字符串确定协议类型；根据所述以太网帧的净荷中的目的网际协议(IP)地址字段确定所述以太网帧的访问目标；根据所述以太网帧的内容确定所述以太网帧的使用目的。

结合第一方面，第一方面的第一种实现或第一方面的第二种实现，在第一方面的第三种实现中，所述方法还包括所述通信设备根据策略配置执行基于元组的策略，所述元组包括所述应用标识。封装VXLAN报文的通信设备可以自行执行策略，以使策略的执行点更靠近终端。

结合第一方面，第一方面的第一种实现或第一方面的第二种实现，在第一方面的第四种实现中，述VXLAN头还包括组标识，所述组标识基于所述以太网帧的来源和组映射被确定，所述组映射为至少一个地址到至少一个组标识的映射。组标识可以区分以太网帧的来源。可选地，所述以太网帧的来源包括以下一个或多个：发送所述以太网帧的设备的地址，所述以太网帧的虚拟局域网标识，所述通信设备接收所述以太网帧的端口的端口号。由于VXLAN报文的外层IP头没有原始以太网帧的来源信息，策略执行点如果要执行基于报文来源的策略就要解封装VXLAN报文。将反映报文来源的组标识放在VXLAN头中可以减轻网络负担。

结合第一方面的第四种实现，在第一方面的第五种实现中，所述方法还包括：所述通信设备根据策略配置执行基于元组的策略，所述元组包括所述组标识和所述应用标识。

结合第一方面的第三种实现或第五种实现，在第一方面的第六种实现中，所述元组还包括所述以太网帧的目的地。

结合第一方面的第四种实现至第六种实现中的任意一个，在第一方面的第七种实现中，所述方法还包括：所述通信设备接收控制器、认证服务器或认证点设备发送的所述组映射。

结合第一方面或第一方面的第一种实现至第七种实现中的任意一个，在第一方面的第八种实现中，所述方法还包括：所述通信设备丢弃或发送所述VXLAN报文。