云计算中企业的第2层无缝站点扩展

摘要

各种实施例涉及云数据中心、包括云数据中心的系统以及相关的方法。云数据中心可包括逻辑用户边缘路由器，其使用第2层协议和MAC寻址在专用企业网络中的地址与云网络内逻辑网络中的地址之间发送数据包。逻辑网络可具有分配给专用企业网络的资源，称为虚拟机，并可与专用企业网络共享公共IP地址空间。在云数据中心处的目录可将虚拟机的企业IP地址与逻辑网络内的MAC地址、云IP地址和位置IP地址相关。云数据中心可在将数据包发送到逻辑网络中的目的地时，用MAC、cloudIP和locIP报头对数据包进行双重封装。

说明书

技术领域

在此公开的实施例一般涉及网络基础设施和互联网通信。

背景技术

云计算网络是高度可伸缩的动态服务，其允许云计算提供商通过互联 网向用户提供资源。云基础设施提供抽象层，以致用户不需要知道提供所 请求的资源的云内部的具体基础设施。这样的服务帮助用户避免用于峰值 使用的在额外硬件上的资金支出，因为用户可使用云中的额外资源用于重 负荷，而使用专用企业网络中已有的基础设施用于日常使用。

例如，诸如基础设施即服务(IaaS)的系统允许用户租用在其上运行 他们自己的计算机应用的计算机。这样的系统允许可伸缩的资源部署，其 中用户创建虚拟机(即服务器实例)以运行他们选择的软件。用户可根据 需要创建、使用和关闭这些虚拟机，而提供商通常对所使用的活动服务器 收费。

然而，现有的服务并不像专用企业网络内部的资源那样对待所分配的 资源。这可能引起问题，例如，当应用向网络中的特定位置发送数据时， 或当内部网络和云网络使用不同的地址空间或寻址方案时。也存在与将云 资源与恶意攻击相隔离并确保到云网络资源的连接不损害内部网络基础设 施相关联的问题。此外，用户在处理截然不同的内部资源集合和云资源集 合而不是将来自两个位置的资源当作相等物时，可能面临更多的复杂性。

因此，在IaaS之外还需要将云网络中分配给用户的资源无缝地并入该 用户的现有专用企业网络中。这样的扩展可使所有被分配的云资源看起来 并且用起来与位于专用企业网络内的资源相似。这种实现将允许企业的工 作负荷无缝地分布到动态混合的专门的专用企业网络的资源和云拓扑中所 分配的资源上。

鉴于以上描述，期望无缝地扩展专用企业网络以包括云网络中的资源。 更具体地，期望使专用企业网络中的资源与云网络中所分配的资源之间能 够通信，因此，用户可以与专用网络上的资源相同的方式对待云资源。在 阅读并理解本说明书的基础上，其它期望的方面对于本领域的技术人员来 说将是显而易见的。

发明内容

根据当前对专用企业网络到云网络的无缝扩展的需求，提出了各种示 例性实施例的简要概括。在下面的概要中进行了某些简化和省略，其意在 强调和引入各种示例性实施例的某些方面，但并不限制本发明的范围。以 下在后面的部分给出优选示例性实施例的详细描述，其足以允许本领域的 普通技术人员获得并使用发明构思。

各种实施例涉及一种将从专用企业网络中的源接收的数据包发送到云 网络中被分配给专用企业网络的目的地的方法。该方法可包括：在云网络 中云数据中心中的逻辑用户边缘路由器中从专用企业网络中的源接收第2 层数据包，其中云数据中心是云网络中包括被分配给专用企业网络的资源 的逻辑网络。该方法可进一步包括：由云数据中心中的逻辑用户边缘路由 器向目录服务器查询目的地的MAC地址和位置IP地址；当云数据中心中的 逻辑用户边缘路由器确定目的地在逻辑网络内时，封装所接收的第2层数据 包，其中所接收的第2层数据包用目的地的对应MAC地址报头来封装；进 一步用目的地的对应位置IP报头来封装所接收的第2层数据包；以及由逻辑 用户边缘路由器将所接收的第2层数据包转发到目的地，其中逻辑用户边缘 路由器将所接收的第2层数据包通过目的地位置IP地址转发到目的地MAC 地址。

各种实施例还可涉及一种转发源自云网络中被分配给专用企业网络的 源的数据包的方法。该方法可包括：托管虚拟机的服务器中的管理程序接 收第2层数据包，其中该虚拟机位于云网络中包括被分配给专用企业网络的 资源的逻辑网络内；当第2层数据包的目的地地址不在服务器处的虚拟路由 和转发表中时，向逻辑网络中的目录服务器查询目的地地址；用MAC报头 封装第2层数据包，其中MAC报头对应于从目录服务器接收的MAC地址条 目；进一步用位置IP报头封装第2层数据包，其中位置IP报头对应于从目录 服务器接收的目的地的云IP地址；以及将第2层数据包通过目的地位置IP 地址转发到目的地MAC地址。

各种实施例还可涉及一种连接到专用企业网络中的至少一个用户边缘 路由器的逻辑用户边缘路由器、以及托管被分配给专用企业网络的虚拟机 并在专用企业网络中的位置与云网络中的位置之间发送第2层数据包的服 务器，其中，逻辑用户边缘路由器、虚拟机和专用企业网络中的用户边缘 路由器共享分配给专用企业网络的公共IP地址空间和VLAN。

根据上述描述，各种示例性实施例将云资源置于企业的专用地址空间 内，从而将云资源无缝地集成到企业的现有拓扑中。各种实施例还通过将 云资源置于企业网络的安全边界内以与网络外部的任何资源隔离来确保安 全。因而，用户可以与他或她配置和管理企业网络的内部资源相同的方式 配置云资源。除了这些优点，各种实施例还保持了云计算模式的优势，即 云资源的高度动态可伸缩性。

附图说明

现在参考附图描述仅作为示例的根据实施例的装置和/或方法的一些 实施例，其中：

图1是用于将专用企业网络扩展到云网络的示例性网络的示意图；

图2是使用第2层协议的双重封装数据包传输的示意图；

图3是使用以太IP和VLAN转换的数据包传输的示意图；

图4是在扩展企业网络内查找的网络设备的示例性虚拟路由和转发表 的示意图；

图5是在云网络中查找的网络设备的示例性位置条目目录表的示意 图；

图6是图示了通过扩展企业网络传输的示例性数据报的内容的示意 图；

图7是从专用企业网络中的位置向云网络中的目的地发送数据包的方 法的示例性实施例的流程图；

图8是发送来自云网络内部的位置的数据包的方法的示例性实施例的 流程图。

具体实施方式

现在参考附图，其中相同的附图标记指代相同的部件或步骤，附图中 公开了各种示例性实施例的主要方面。

图1是用于将专用企业网络扩展到云拓扑的示例性网络100的示意图。 在各种示例性实施例中，网络100包括专用企业网络101、服务提供商网 络102、云网络103、用户边缘(CE)设备110a-h、提供商边缘设备111a-h、 云数据中心CE 112、数据中心互连113和服务器114a-d，其中每个服务器 具有管理程序115a-d和虚拟机116a-d。

专用企业网络101、服务提供商网络102和云网络103每一个可以是 分组交换网络。这种分组交换网络可以是根据基于分组的协议运行的任何 网络。因此，网络101、102、103每一个可以例如根据传输控制协议/网际 协议(TCP/IP)、多协议标签交换(MPLS)、异步传输模式(ATM)、 帧中继、以太网、运营商骨干网传输(PBT)或任何其它对于本领域的普 通技术人员显而易见的合适的基于分组的协议运行。更具体地，分组交换 网络101、102、103可作为使用诸如MPLS的第3层协议的虚拟专用网络 (VPN)进行通信。

专用企业网络101可以是并入了专用于用户实体的硬件的网络，并可 被配置以致企业中的设备占用相同的地址空间。专用企业网络101中的设 备可共享公共虚拟局域网(VLAN)。在示例性实施例中，专用企业网络 101包括一系列用户边缘(CE)设备110a-e。

在图1中示出的实施例中，专用企业网络A(EntA)包含位于两个不 同站点处的用户边缘设备110a-e，其通过服务提供商网络102彼此进行通 信。在某些实施例中，专用企业网络101可包括在同一个物理站点处彼此 直接连接的设备。

专用企业网络101中的设备可共享同一个地址空间，例如，共享 VLAN。专用企业网络101内的所有设备可位于同一个安全边界的后面， 以致网络安全可将安全边界内的设备与边界外的设备隔离，并在安全边界 控制少数允许的通信。这允许像用户边缘设备110a-f的设备自由地传递业 务，而不必实施与穿过安全边界相关联的预防措施。

服务提供商网络102可用作专用企业网络101的主机。服务提供商网 络102可包括一系列提供商边缘(PE)设备111a-h。服务提供商网络102 可将专用企业网络101与诸如云网络103、其它专用企业网络或互联网等 的其它网络连接。在某些实施例中，服务提供商网络102可连接专用企业 网络101的不同部分，虽然这些不同部分可共享同一个地址空间。

云网络103可包括一个或多个服务器114a-d，其可由云服务提供商所 有，并连接在遍及互联网的网络中。在基础设施服务模型中，例如，云服 务提供商可将位于云网络103中的特定资源分配给该云网络103的用户。 这种特定资源可被分组成虚拟机116a-d。

虚拟机116a可以是云网络103中服务器114a上的服务器实例，其由 位于专用企业网络101中的用户控制。用户可具有任意创建、使用和关闭 任何数量的虚拟机116a-d的能力。该能力可基于用户定义的标准，诸如带 宽、存储容量和处理需求。

分配给用户的虚拟机116a-d可在云内部彼此逻辑地互连。在各种实施 例中，分配给用户的所有虚拟机116a-d出现在同一个VLAN内。虚拟机 116a-d可以在物理上位于同一个服务器114a上或不同的服务器114a-d上， 但保持在VLAN中彼此的逻辑连接。在某些实施例中，虚拟机116a可迁 移到不同的物理位置，诸如云网络内的另一个服务器114a，但仍与同一个 VLAN相关联。

虚拟存根(stub)(vstub)104可以是包括云网络103中分配给特定 用户的所有资源的逻辑网络。因此，虚拟存根104可包括云网络103中分 配给用户的所有活动虚拟机116a-d、可托管并控制所分配的虚拟机116a-d 的一系列管理程序115a-d、可物理地连接到包含所分配的虚拟机116a-d 的每个服务器114a-d的数据中心互连113、以及可用作用于云网络103中 所有所分配的虚拟机116a-d的集线器的云数据中心CE 112。如图1所示， 虚拟存根104可被包括在专用企业网络101中的设备所使用的VLAN中， 并且不需要它的逻辑网络在物理上连续，可包括连接不同的物理服务器 114a-d的联网部件，诸如数据中心互连113。虚拟存根可将分配给专用企 业网络101的服务器114a-d与在云网络103内但未分配给专用企业网络的 一系列服务器119a、119b分离。因此，这一系列服务器119a、119b可不 与专用企业网络101连接或者共享同一个地址空间或VLAN。

用户边缘(CE)设备110a可以是专用企业网络101中的节点。CE 设备110a可以是诸如路由器或交换机的网络节点，其被配置为将数据包传 输到其它节点，诸如专用企业网络101中的其它用户边缘路由器、服务提 供商网络102中的提供商边缘设备111a-h、或云网络103中的云数据中心 CE 112。CE设备110a能够使用OSI参考模型的多个层(诸如使用MPLS 的第3层通信(L3 MPLS)、使用以太网和虚拟专用局域网业务(VPLS) 的第2层通信)与专用企业网络101内部和外部的其它设备进行通信。在 某些实施例中，CE设备110a可以是存在于物理设备中的虚拟路由器。

每个提供商边缘(PE)设备111a-h可以是服务提供商网络102中的 节点，并且可以是路由器、交换机或类似的硬件设备。PE设备111a-h可 被配置为从CE设备110a接收数据包，并通过服务提供商网络102传输这 种数据包。这些数据包可被传输到专用企业网络101中的其它目的地、云 网络103中的目的地、或图1中未示出的其它网络中的目的地。

云数据中心CE 112可以是用户边缘路由器，并可由云服务提供商的 用户所操作的设备实现。显然，尽管被称为“用户”边缘设备，但云数据 中心CE 112可由云服务提供商或某一其它实体所有和/或操作。在某些实 施例中，云数据中心CE 112代表云网络103内部的虚拟存根104的集线 器。在某些实施例中，云数据中心CE 112可由多个企业网络共享。

在某些实施例中，云网络103还可包含与云数据中心CE 112相关联 的目录服务器。目录服务器可维持映射条目的目录。如将在下面进一步详 细讨论的，这些映射条目可使企业网络内的位置企业IP与企业扩展网络 100内的目的地的地址相关。这可以包括用于位置的MAC地址、云IP地 址(cloudIP)和位置IP地址(locIP)的条目。

MAC地址可以是分配给网络中的设备(诸如，网络适配器或网络接 口卡(NIC))的唯一标识符。MAC地址可由设备的制造商提供。MAC 地址可使用网际协议版本4(IPv4)的地址解析协议(ARP)或网际协议 版本6(IPv6)的邻居发现协议(NDP)并基于带有IP地址的查询来确定。 MAC报头还可包括源和目的地VLAN的VLAN标签。在某些实施例中， 如果VLAN标签与目的地的VLAN不对应，则目的地丢弃该数据包。位 置IP地址(locIP)可识别虚拟存根104内特定交换机(例如，交换机117a) 的位置。虚拟机116a可具有指代其驻留的IP交换机117a的locIP地址。 此外，云IP地址(cloudIP)可清楚地指代虚拟存根104中的每个虚拟机 116a-d。

因此，虚拟机116a可具有与其位置逻辑分离的不同地址，因为设备可 查询目录服务器以通过locIP和cloudIP地址而非所分配的IP地址来定位 虚拟机。在一个实施例中，专用企业网络101中的源可使用企业网络内所 分配的IP地址以数据包的形式将信息发送到云网络103内的虚拟机116a。 在这种情况下，云数据中心CE 112可接收这种使用嵌有IP报头的以太网 帧寻址的数据包，并可用与云网络103内的目的地虚拟机116a对应的 cloudIP地址报头和locIP地址报头封装所接收的发送到目的地虚拟机 116a的数据包。云数据中心CE 112可通过位于目录服务器上的目录将企 业ID与虚拟机116a的locIP和cloudIP地址相关。

如下面将进一步详细讨论的，目录服务器中的目录可包含专用企业网 络101和云网络103中的活动服务器和虚拟机的地址条目。从一个网络发 送到另一个网络的数据包可通过云数据中心CE 112，云数据中心CE 112 可使用目录来将所接收的数据包的报头与另一个网络中的必要报头相关。 例如，云数据中心CE 112可使用目录来查找MAC、cloudIP和locIP地 址报头，以在云网络内正确地发送数据包。云数据中心CE 112也可使用 目录来解封装在云网络103中产生的cloudIP和locIP地址报头，并用第 二MAC地址报头代替MAC地址报头，以在服务提供商网络102和专用 企业网络101内发送数据包。

虽然只示出了一个逻辑CE 112，但可选实施例可包括云网络或云数据 中心内的多个逻辑CE。在这样的实施例中，企业地址空间中的虚拟机 116a-d可被分配给云数据中心内的不同逻辑CE，每个逻辑CE充当单独 的VLAN的独立集线器。如下面讨论的，这种实施例也可允许目录查找由 每个逻辑CE 112执行，而不是管理程序115a-d。多个逻辑CE设备112 还可消除对到虚拟存根104中云目的地的locIP和cloudIP报头的需求， 因为数据包可替代地被隧道传输到合适的集线器逻辑CE 112。

数据中心互连113可以是连接到一系列服务器114a-d的交换机或一系 列交换机。数据中心互连113可将云数据中心CE 112直接连接到所分配 的一系列服务器114a-d。可选地，数据中心互连113可通过一系列中间交 换机117a-c连接到一系列服务器114a-d。在这种情况下，每个中间交换机 117a-c可同时地连接到多个服务器114a-d。中间交换机117a可具有在虚 拟存根104内的唯一位置IP(locIP)地址。当接收被寻址到其连接的一个 服务器114a上的虚拟机116a的数据包时，中间交换机117a可从数据包中 解封装locIP报头，然后将该数据包转发到具有对应cloudIP地址的服务 器114a。

服务器114a可以是向客户机提供计算服务的设备。更具体地，服务器 可以是托管计算资源(诸如存储和处理能力)的联网设备，其中客户机使 用该计算资源来例如执行应用或存储文件到存储器中。因此，服务器 114a-d可以是例如包括多个插槽的机架式服务器(即刀片式服务器)，每 个插槽能够容纳一个物理的服务器刀片。每个物理服务器114a-d可包括管 理程序115a-d和至少一个虚拟机116a-d。

一个或多个管理程序115a-d可位于每个物理服务器114a-d上。在一 个实施例中，管理程序115a-d托管在物理上位于其所在的物理服务器上的 每个所分配的虚拟机116a-d。从而每个管理程序115a-d可同时地控制一 个或多个虚拟机116a-d。

管理程序115a-d可获知企业信息，该企业信息可包括例如管理程序 115a-d托管的每个虚拟机的cloudIP地址和托管管理程序115a-d的中间交 换机117a-c的locIP地址。因此，管理程序115a-d可识别其托管的虚拟机 116a-d的企业成员身份(即企业ID)。管理程序115a-d还可截取与其托 管的虚拟机116a-d相关的业务。当虚拟机116a-d向虚拟存根104外部的 目的地发送数据包时，管理程序115a-d可用与云数据中心CE 112相关联 的MAC地址报头、cloudIP报头和locIP报头来封装从其托管的虚拟计算 机116a-d之一发送的数据包。管理程序115a-d还可对被发送到由管理程 序115a-d托管的虚拟机116a-d的数据包的cloudIP报头进行解封装。

在某些实施例中，管理程序115a-d识别其托管的每个虚拟机116a-d 的安全参数。这些安全参数可包括例如内嵌的用户ID以在虚拟存根104 改变大小时防止任何意外的信息泄露。管理程序115a-d可识别其它的安全 特征，诸如将在下面讨论的安全令牌(或成对安全令牌)，其可防止诸如 恶意管理程序这样的实体的蓄意攻击以及其它远程攻击。管理程序115a-d 还可检查MAC地址报头中的VLAN标签以确保数据包来自同一个 VLAN。

图2是使用第2层协议的双重封装数据包传输的示意图。如图2所示， 在每个端点处的设备可使用IP地址来寻址目的地，其中每个IP地址在企 业的IP地址空间内部。云网络103中的虚拟存根104可与专用企业网络 101共享公共VLAN。因此，虚拟存根104内部的每个虚拟机116a-d也被 分配有IP子网络内的对应地址。

显然，云网络103的特性可排除使用云网络103内部的特定的静态IP 地址来确定虚拟机116a-d的位置。例如，虚拟机116a可动态地迁移到不 同的物理服务器114d，使得在任一给定时间寻址特定的虚拟机116a时难 以确定要使用的合适的IP地址。因此，在云网络103内，虚拟机116a停 留在同一个VLAN内并通过其企业ID、位置IP地址和云IP地址识别。 该寻址信息可存储在目录服务器中的目录内。

相应地，向云网络103内的目的地传输数据包可包含对数据包进行双 重封装，其中，除了添加MAC地址报头之外，还包含用内部云IP报头和 外部位置IP报头封装每个数据包。如果数据包将从例如云网络103中的虚 拟机116a发送到专用企业网络101中的目的地，则封装数据包的第一MAC 地址报头、cloudIP和locIP报头对应于云数据中心CE 112的地址。云数 据中心CE 112用作虚拟存根104的集线器，并包含不同的MAC地址和云 IP地址。云数据中心CE 112使用例如与专用企业网络101内的目的地对 应的第二MAC地址，将数据包转发到专用企业网络101内部的正确的IP 地址。

在图2所示的示例中，专用企业网络101中IP地址为10.1.2.2的源201 (位置“A”)将数据包203发送到云网络103中IP地址为10.1.8.8的目 的地虚拟机116a(位置“B”)。该IP地址和有效载荷的组合可被认为是 说明性实施例中的IP数据包。

在说明性实施例中，源“A”201可首先尝试通过第2层网络获取目的 地“B”116a的MAC地址。因此，源“A”201可生成可到达用户边缘路 由器CE_A 110a的ARP请求。如果CE_A 110a通过其VRF表不知道目的地 “B”116a的IP到MAC地址映射，则CE_A 110a可向所连接的提供商边 缘路由器PE 111a广播ARP请求，其中提供商边缘路由器PE 111a可位 于服务提供商网络102中。PE 111a然后向专用网络102中的所有其它提 供商边缘路由器111a-f广播该ARP请求。这可使得云网络103中的云数 据中心CE 112接收该ARP请求。当云数据中心CE 112接收到该ARP请 求时，查询目录服务器以获得目的地“B”116a的MAC地址。一旦获得， 则该MAC地址通过反向路径发送回源“A”201。

源“A”201将使用所获取的MAC地址通过其第2层网络发送数据包 205。数据包205包含具有修改的MAC地址的IP数据包203。该MAC 地址还可包括指示该源的VLAN的VLAN标签。在说明性实施例中，目 的地“B”116a在云网络103中，因此，数据包可被隧道传输到云数据中 心CE 112。云数据中心CE 112向目录服务器查询目的地“B”116a的云 IP地址和位置IP地址。云数据中心CE 112随后先用云IP地址报头、再 用locIP地址报头来封装数据包205。然后，云数据中心CE 112可通过数 据中心互连113和云网络103中的其它设备将双重封装的数据包206发送 到具有对应的目的地locIP地址的中间交换机117a。

然后，中间交换机117a可从数据包206中解封装locIP报头，并将修 改后的数据包209传输到对应的目的地cloudIP地址。在与目的地cloudIP 地址对应的服务器114a处，服务器114a上的管理程序115a从修改后的数 据包209中解封装MAC地址报头和cloudIP报头，并将IP数据包210传 输到服务器114a上的目的地虚拟机“B”116a。在某些实施例中，管理程 序115a还可验证数据包210中的安全令牌，以验证该数据包来自同一个企 业网络。在某些实施例中，管理程序115a可检查MAC地址报头中的VLAN 标签，以验证目的地“B”116a是否属于该VLAN。当目的地“B”116a 不属于该VLAN时，管理程序115a可丢弃修改后的数据包209。

图3是使用以太IP和VLAN转换的数据包传输的示意图。图示的实 施例可共享与图2中的说明性实施例相同的系统部件。如图2中一样，专 用企业网络101中IP地址为10.1.2.2的源“A”201将数据包203发送到 云网络103中地址为10.1.8.8的目的地虚拟机“B”116a。源“A”201查 询目的地的合适的MAC地址，并将修改后的数据包205发送到云数据中 心CE 112。

在某些实施例中，云数据中心CE 112可将VLAN转换为本地唯一的 VLAN。在说明性实施例中，云数据中心CE 112将源VLAN 6转换为本 地唯一的VLAN 10。在该实施例中，每个设备被分配有对交换机是本地的 MAC地址，导致一旦到达云网络103中的中间交换机117a，则每个MAC 地址都是唯一的。相应地，云数据中心CE 112在接收了修改后的数据包 205后仅用一个IP报头来封装数据包。云数据中心用目的地交换机117a 的locIP报头来封装数据包205。云数据中心CE 112将单次封装的数据包 306通过数据中心互连113转发到交换机117a。交换机117a对单次封装的 数据包306进行解封装。交换机能够将修改后的数据包309转发到目的地 “B”116a，因为在该实施例中，MAC地址是本地唯一的，因此，用于每 个VM 116a-d的唯一的cloudIP地址是不必要的。

图4是逻辑CE路由器112的示例性虚拟路由和转发(VRF)表400。 其它设备，诸如专用企业网络101中的用户边缘设备110a-e和服务提供商 网络102中的提供商边缘设备111a-h，也可维持类似的VRF表400。

entIP字段401可对应于位置的企业ID。在示例性实施例中，虚拟存 根104内的资源共享同一个VLAN，并因此可共享同一个地址空间。在示 出的实施例中，每个entIP是本地唯一的IP地址。MAC字段402可对应 于位置的MAC地址。MAC字段可由第2层协议使用以识别专用企业网 络101中设备的位置，并且可与locIP字段403和cloudIP字段404一起 用于识别云网络103中的设备。

locIP字段403对应于云网络103中设备的位置IP地址。locIP可对应 于云网络103中托管条目的虚拟机116a的中间交换机117a的地址。在图 4的说明性实施例中，虚拟机条目411具有位置IP地址20.2.2.8，其与托 管对应的虚拟机116a的中间交换机117a对应。

cloudIP字段404可对应于云网络103中虚拟机116a的cloudIP地址。 在locIP地址403处的中间交换机117a对于其托管的每个虚拟机116a具 有不同的、不重叠的cloudIP地址404。云数据中心可在云网络103中的 虚拟机116a-d中分配cloudIP地址。在说明性实施例中，虚拟机条目411 具有cloudIP 20.2.2.1，因此，当中间交换机117a接收用于虚拟机116a的 数据包时，交换机可通过管理程序115a将该数据包转发到特定的虚拟机 20.2.2.1。

下一跳(nextHop)字段405是指企业网络100中设备应将数据包发 送到的下一个位置。在说明性实施例中，条目413具有entIP地址401和 MAC地址49-BD-D2-C7-56-2A，对应于专用企业网络101中的位置。因 此，该位置不具有可用的locIP 403或cloudIP 404地址，因为这些地址仅 可由云网络103内的地址使用。因此，来自云数据中心CE 112的对应 nextHop 405条目是去往所连接的提供商边缘设备111a，其在接收到用于 具有MAC地址49-BD-D2-C7-56-2A的目的地的数据包后将查询自己的 VRF表，并将数据包转发到条目的对应的nextHop 405地址。该过程将依 次在每个设备上继续，直到数据包最终到达专用企业网络101中MAC地 址为49-BD-D2-C7-56-2A的目的地。

图5是目录服务器中的示例性目录表。除了目录表500不维持nextHop 字段405之外，目录表500与云数据中心VRF表400类似，维持entIP字 段、MAC字段、locIP字段和cloudIP字段。这是因为目录表500不维持 转发信息；相反，目录表500仅维持专用企业网络101和云网络103中的 位置的MAC 402、locIP 403和cloudIP 404地址的综合列表。

在说明性实施例中，“缺省”条目511具有MAC地址 5C-66-AB-90-75-B1，只有IP_CA作为它的locIP 403地址，并且没有可用的 cloudIP 404地址。缺省条目511指代专用企业网络101内没有明确的locIP 403或cloudIP 404地址的设备。IP_CA条目意味着具有没有具体被列为条目 412的具有目录500中的有效locIP 403和cloudIP 404地址的目的地的数 据包应被发往云数据中心CE 112，然后云数据中心CE 112使用其VRF 表400以将数据包转发到专用企业网络101内正确的目的地。

在示例性实施例中，虚拟机116可关闭。当虚拟机关闭时，目录500 中在该目录处的VM的条目可被删除。在另一个示例性实施例中，VM可 迁移到不同的服务器，例如，从114a到114c。当VM迁移到另一个服务 器114c时，其locIP地址将在目录500中被更新以反映VM 116a当前所 在的新的服务器114c。虚拟机116a也可迁移到新的VLAN或云数据中心 CE 112。在旧条目的情况下(具有过时VRF表的设备)，在前一个locIP 地址处的交换机117a将错误寻址的数据包转发到在新的云数据中心CE处 的目录服务器。然后，在旧的云数据中心CE 112处的目录服务器将通过 单播更正旧交换机的VRF表。

图6是在系统中使用的以太网帧的示例性图示。以太网帧600携带可 在长度上变化的IP数据报。图6图示了包含数据报610的双重封装的数据 包的示例性以太网帧。数据报610包含内部cloudIP报头和外部locIP报 头、目的地cloudIP地址603以及有效载荷601等。源地址和目的地地址 605、606也包含在帧600内。

数据报610还可包括安全令牌602。安全令牌可包括例如企业专用密 钥、企业ID和目的地IP地址的组合。管理程序115a可尝试验证安全令 牌602，如果数据包包含错误的安全令牌602，则丢弃该数据包。在一个实 施例中，数据包可由成对安全令牌602编码。成对安全令牌可从成对密钥 中导出，该成对密钥是仅用于一个用户的单独密钥。这可通过将攻击局限 在具有与恶意管理程序115a的安全关联的虚拟机116a-d来有助于防止恶 意管理程序115a的攻击。

此外，数据报610可包括用户ID 604用于安全原因，因为用户ID 604 避免将数据包发送到不在虚拟存根104内的虚拟机116a-d。这种情况可能 例如在虚拟机116a-d迁移或被关闭而设备继续发送业务到该虚拟机116时 发生。在一个实施例中，有效载荷601可用共享组密钥进行加密。共享组 密钥可在给定用户组的成员中共享。

图7是使用双重封装和第2层协议将数据包203从专用企业网络101 中的源“A”201发送到云网络103中的目的地“B”116a的方法700的示 例性实施例的流程图。在步骤701处，源“A”201向专用企业网络101 中的用户边缘路由器110a查询目的地“B”116a的MAC地址。在步骤 702中，用户边缘路由器110a向其VRF表查询目的地“B”116a的IP到 MAC映射。在步骤703中，如果在VRF表中没有用于用户边缘路由器110a 的映射，则用户边缘路由器110a在系统中以ARP请求的形式广播该查询。 在步骤704中，当IP到MAC地址映射在设备的VRF表中时，用户边缘 路由器110a返回目的地“B”116a的MAC地址。

对于每个转发设备重复步骤702-704的循环，直到每个设备返回MAC 地址。这可通过多个设备进行，直到它到达云数据中心CE 112。在步骤 702处，云数据中心可选地查询其目录以获得目的地“B”116a的IP到 MAC地址映射。在步骤704中，云数据中心CE 112将MAC地址返回到 源“A”201。

在步骤705处，来自专用企业网络101中的源“A”201的数据包205 可被传输到专用企业网络101中的逻辑CE设备110a，其可将数据包205 至少通过服务提供商网络102中的PE设备111a转发到云网络103中的云 数据中心CE 112。在步骤706中，云数据中心CE 112可再次查询目录服 务器。第二次查询可引起对目录500中目的地“B”的位置IP(locIP)和 云IP(cloudIP)的查找，如果该位置在云网络103内部的话。如果目的 地“B”在云网络103中，则在步骤707中，云数据中心CE 112可获取对 应的目的地cloudIP地址和位置IP地址。

在步骤708中，云数据中心CE 112可用MAC报头和对应于所获取的 cloudIP地址的报头来封装数据包。在步骤709中，云数据中心CE 112可 用对应于所获取的locIP地址的报头来封装修改后的数据包。在步骤710 中，云数据中心CE 112可将双重封装的数据包206通过云网络103传输 到对应的locIP地址。

在步骤711中，在locIP地址处的中间交换机117a可从双重封装的数 据包206中解封装locIP报头，并将修改后的数据包209传输到对应的 cloudIP地址。在步骤712中，在对应cloudIP地址处的服务器114a处的 管理程序115a可通过除去cloudIP报头和MAC地址报头来对修改后的数 据包209进行解封装，并将数据包210传输到在目的地“B”处的对应虚 拟机116a。在可选实施例中，管理程序115a可在将数据包210传输到虚 拟机116a之前首先通过验证所包括的安全令牌502来证实所接收的数据包 210。在某些实施例中，管理程序115a可首先通过验证数据包来自同一个 VLAN来证实VLAN标签。

在可选实施例中，在步骤710中，云数据中心CE 112将单次封装的 数据包306通过虚拟存根104发送到目的地“B”116a。在该可选实施例 中，每个VLAN ID是唯一的。这样，在步骤708中，云数据中心CE 112 可将VLAN ID转换为本地唯一的VLAN ID，使得MAC地址对于给定的 交换机是本地唯一的。相应地，在步骤711处，中间交换机117a可仅仅使 用MAC地址将修改后的数据包309发送到管理程序115a。在步骤712中， 管理程序115a对MAC地址报头进行解封装，然后将IP数据包210发送 到目的地“B”116a。

图8图示了从云网络103中的源发送数据包的示例性方法800。在步 骤801中，源“B”的服务器114a上的管理程序115a从源“B”虚拟机 116a接收数据包210。在步骤802中，管理程序115a检查目的地地址是否 在其VRF表中。如果存在目的地“A”201的转发条目，则转到步骤804， 但是，如果目的地地址“A”201没有被列出，则转到步骤803。

在步骤804中，管理程序115a用对应的cloudIP报头来封装数据包 210。在步骤805中，管理程序115a用对应的locIP和MAC地址报头对 修改后的数据包209进行封装。MAC地址报头还可包括VLAN标签。在 步骤806中，管理程序115a将双重封装的数据包206发送到对应的locIP 地址。

在步骤807，如果目的地“A”在云网络103内，则在对应的locIP地 址处的中间交换机117b从双重封装的数据包206中解封装locIP报头，并 将修改后的数据包209发送到对应的cloudIP地址。在步骤808中，在对 应的cloudIP地址处的管理程序115c解封装修改后的数据包209的cloudIP 和MAC地址报头。在步骤809中，管理程序115c将数据包210传输到目 的地“A”VM 116c。在某些实施例中，管理程序115c在将数据包203发 送到目的地“A”VM之前首先检查修改后的数据包的安全令牌602，以用 于验证。在某些实施例中，管理程序115a可检查VLAN标签以验证数据 包209来自同一个VLAN。

可选地，当在步骤802中确定目的地在专用企业网络101中时，方法 800进行到步骤803。在步骤803中，管理程序115a向目录服务器查询目 的地“A”的MAC地址、cloudIP地址和locIP地址。当目的地在专用企 业网络101中时，对应的目的地locIP是连接到云数据中心CE 112的中间 交换机IP 117a的IP地址，并且对应的MAC和cloudIP地址对应于云数 据中心CE 112。

方法800进行到步骤810，其与上面详细描述的步骤804相对应。然 后，方法800进行到步骤811和812，其与上面详细描述的步骤805和806 相对应。这导致双重封装的数据包209的cloudIP和MAC地址与云数据 中心CE 112对应。

相应地，在步骤812a中，云数据中心CE 112确定数据包是否在与云 数据中心CE 112相同的IP地址空间中。如果不在，则方法800进入步骤 807。如果数据包在相同的IP地址空间中，则方法800进入步骤813，在 步骤813中，云数据中心CE 112解封装双重封装的数据包206的locIP、 MAC和cloudIP报头。在步骤814中，云数据中心CE 112使用目录400 以查找专用企业网络101中目的地地址“A”的对应条目。

在步骤815中，云数据中心CE 112用与专用企业网络101内的目的 地“A”地址对应的MAC地址来替换MAC地址。在步骤816中，云数据 中心CE 112将数据包206通过专用企业网络101传输到目的地“A”201。 在某些实施例中，当目录中没有条目时，云数据中心CE 112可使用诸如 FF-FF-FF-FF-FF-FF的MAC广播地址向专用企业网络101中的每个设备 广播数据包206。在步骤817中，专用企业网络101中在目的地“A”地址 处的用户边缘设备111a解封装数据包205的MAC报头，并在步骤818中， 用户边缘设备111a将数据包203传输到对应的目的地地址“A”201。在 可选实施例中，用户边缘路由器110a可检查VLAN标签以验证数据包205 来自同一个VLAN。

在某些实施例中，每个VLAN都是唯一的，使得cloudIP地址不是必 需的。因此，管理程序115a不用cloudIP报头来封装IP数据包210。相 反，管理程序115a将单次封装的数据包309发送到目的地“A”201。

根据前述的描述，显然地，本发明的各种示例性实施例可在硬件和/ 或固件中实施。此外，各种示例性实施例可被实现为存储在机器可读存储 介质上的指令，其可由至少一个处理器读取并执行以执行在此详细描述的 操作。机器可读存储介质可包括用于以可由机器读取的形式存储信息的任 何机制，诸如网络节点(例如，路由器或交换机)。因此，机器可读存储 介质可包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储 介质、光存储介质、闪存设备和类似的存储介质。

尽管已特别参考某些示例性方面详细描述了各种示例性实施例，但应 当理解，本发明能够具有其它实施例，并且其细节能够在各个显而易见的 方面做出修改。如对本领域的普通技术人员容易显而易见的，在本发明的 精神和范围内可实施各种变化和修改。因此，前述的公开、描述和图仅用 于说明的目的，而不应以任何方式限制本发明，本发明的范围仅由权利要 求限定。