通信系统、虚拟网络管理装置、虚拟网络管理方法和程序

摘要

一种通信系统，包括：网络配置存储器，存储第一层的网络配置信息，其中，通过预设符号表示其低级配置期望被隐藏的第一层的区域，还存储示出预设符号表示的区域的第二层的网络配置信息。所述系统还包括网络配置管理部，允许第一用户使用第一层的网络配置信息管理第一层的网络，并且允许第二用户至少使用第二层的网络配置信息管理第二层的网络。这样有助于更加容易构建和管理虚拟网络。

说明书

技术领域

(相关申请的说明)

本申请主张基于在2012年10月5日在日本提交的日本专利申请 2012-223123的优先权，其内容被引入本申请作为参考。

本发明涉及通信系统，管理虚拟网络的装置和方法以及程序。具 体地，本发明涉及提供具有多层的虚拟网络的通信系统，用于管理虚 拟网络系统的装置和方法以及程序。

背景技术

近来，已提出了被称为OpenFlow(开放流)的技术，参见非专利 文献1、2。OpenFlow将通信理解为端到端流，并且管理路径控制，从 故障中恢复，负载平衡和从一个流到另一个流的优化。在非专利文献2 中指出的OpenFlow交换机包括通过其与OpenFlow控制器通信的安全 信道，并且根据流表操作按照OpenFlow控制器的需要指出的添加到 OpenFlow控制器或重写。在流表中，从一个流到下一个流定义对分组 报头匹配的一组匹配条件(匹配字段)、流统计信息(计数器)和定 义处理内容的指令(指令)。见非专利文献2的“4.1 Flow Table”。

对分组的接收，OpenFlow交换机从流表搜索具有符合接收分组的 报头信息的匹配条件的条目。见非专利文献2的“4.3 Match Fields”。 如果作为搜索结果，找到与接收分组匹配的条目，那么OpenFlow交换 机更新流统计信息(计数器)，同时它执行匹配条目的指令字段中阐 述的处理内容，诸如在识别的端口发送、溢出或丢弃。相反，如果没 有找到与接收分组匹配的条目，那么OpenFlow交换机通过安全信道向 OpenFlow控制器发送条目设置请求，即，请求获得控制信息以处理接 收分组(分组中消息)。OpenFlow交换机接收阐明了处理内容的流条 目，并且更新流表。以这种方式，OpenFlow交换机使用存储在流表中 作为控制信息的条目转发分组。

在非专利文献1的第5页的示例2中阐明，可以使用上述OpenFlow 的方案提供诸如VLAN(虚拟局域网)的虚拟网络。还阐明了通过 OpenFlow交换机的端口或者MAC(媒体访问控制)地址指定每个用 户的流量，以及通过OpenFlow交换机使用适当的VLAN ID标记该流 量。还阐明了通过控制器管理用户认证，以及在使用VLAN标签标记 流量时也将考虑用户位置。

在专利文献1中，公开了网络管理系统，其中，防止特定用户看 到另一用户设置的内容或者该另一用户执行的处理的操作数据。根据 该专利文献的网络管理系统包括资源信息库，以共享的网络设备或共 享网络设备的用户为单位准备和存储虚拟网络设备信息对象。网络管 理系统还包括：虚拟资源信息接入装置，接受和检索从终端到虚拟网 络设备的多种请求；共享资源信息接入装置，检索与检索的对象相应 的共享网络设备信息对象。还阐明了，通过这种配置，为每个用户虚 拟地构建成为共享网络设备子集的虚拟网络设备，以及特定用户可能 看不见另一用户设置的内容以及该另一用户执行的处理的操作数据。

引文列表

专利文献

专利文献1:

日本专利公开号JP2005-203984A

非专利文献

非专利文献1:

Nick McKeown and seven others:"OpenFlow:Enabling Innovation  in Campus Networks",[在线],[平成24年(2014)8月16日检索],因特 网<URL:http://www.openflow.org/documents/openflow-wp-latest.pdf>

非专利文献2:

"OpenFlow Switch Specification",Version 1.1.0 Implemented(Wire  Protocol OxO2),[在线],[平成24年(2014)8月16日检索],因特网 <URL:https://www.openflow.org/documents/openflow-spec-v1.1.0.pdf>

发明内容

技术问题

通过本发明进行一下分析。上述OpenFlow代表的流控制技术使用 基于流的控制允许多个用户中的每个用户以共享形式使用虚拟专用网 络。每个用户没有必要管理实际物理配置。而是，每个用户管理包括 物理交换机的行为实现的虚拟节点的虚拟网络更简单且更适合事情的 真实状态。

然而，如果网络是大型网络，那么等同于上述OpenFlow控制器的 单控制设备将不足够，并且不得不运行多个控制设备一起操作以构建 虚拟网络。虚拟节点的数量将增加网络配置的复杂度。

虚拟网络管理器之中，存在对低级网络配置或流量感兴趣的那些 管理器(非租户管理器)以及对个人主机之中的接入控制但是不处于 低级网络配置或流量感兴趣的那些管理器(租户管理器)。尽管可以 将网络抽象程度从一个管理器改变到另一个管理器，但是存在一个问 题，简单地改变抽象程度不一定带来更易于每个独立管理器的管理的 情况。

本发明的目的在于提供一种通信系统，管理虚拟网络系统的装置 和方法以及程序，将有助于更加容易构建或管理虚拟网络。

解决方案

根据本发明的第一方面，提供一种通信系统。所述通信系统包括 网络配置存储器，存储第一层的网络配置信息，其中，通过预设符号 表示其低级配置期望被隐藏的第一层的区域，还存储示出预设符号表 示的区域的第二层的网络配置信息。此外，所述通信系统还包括网络 配置管理部，允许第一用户使用第一层的网络配置信息管理第一层的 网络，并且允许第二用户至少使用第二层的网络配置信息管理第二层 的网络。

根据本发明的第二方面，提供一种虚拟网络管理装置。所述虚拟 网络管理装置包括网络配置存储器，存储第一层的网络配置信息，其 中，通过预设符号表示其低级配置期望被隐藏的第一层的区域，还存 储示出预设符号表示的区域的第二层的网络配置信息。此外，所述虚 拟网络管理装置包括网络配置管理部，允许第一用户使用第一层的网 络配置信息管理第一层的网络，并且允许第二用户至少使用第二层的 网络配置信息管理第二层的网络。

根据本发明的第三方面，提供一种管理虚拟网络的方法，所述虚 拟网络包括网络配置存储器，存储第一层的网络配置信息，其中，通 过预设符号表示其低级配置期望被隐藏的第一层的区域，还存储示出 预设符号表示的区域的第二层的网络配置信息。所述方法包括：接受 第一用户使用第一层的网络配置信息对第一层的网络作出的操作。此 外，所述方法还包括接受第一用户至少使用第二层的网络配置信息对 第二层的网络作出的操作。本方法与特定机器绑定，该特定机器是管 理虚拟网络的虚拟网络管理设备。

根据本发明的第四方面，提供一种用于虚拟网络中布置的计算机 的程序，所述虚拟网络包括网络配置存储器，存储第一层的网络配置 信息，其中，通过预设符号表示其低级配置期望被隐藏的第一层的区 域，还存储示出预设符号表示的区域的第二层的网络配置信息。所述 程序使计算机执行接受第一用户使用第一层的网络配置信息对第一层 的网络作出的操作。此外，所述程序使计算机执行接受第一用户至少 使用第二层的网络配置信息对第二层的网络作出的操作。本程序可以 被记录在计算机可读，即，非瞬时，记录介质上。也就是说，本发明 可以被实现为计算机程序产品。

有益效果

根据本发明，可以有助于更加容易构建或管理虚拟网络。

附图说明

图1是示出本发明的示例性实施例的配置的示意图。

图2是示出本发明的示例性实施例的网络管理设备的配置的框 图。

图3是理解本发明的第一示例性实施例用作参考的示意图。

图4是示出构建本发明的第一示例性实施例的虚拟网络的示意 图。

图5是示出根据本发明的第一示例性实施例的网络管理设备的配 置的框图。

图6是示出第一层的标识符和第二层的标识符的示例存储位置的 示意图。

图7是示出第一层的标识符和第二层的标识符的修改示例存储位 置的示意图。

图8是示出根据本发明的第二示例性实施例的虚拟网络的物理配 置的示意图。

图9是示出图8的网络配置中域和边界的配置信息的表格示图。

图10是在示出虚拟网络的示意图的情况下示出图8的交换机#1 和#2组成的第二层虚拟网络的配置信息的表格示图。

图11是在示出虚拟网络作为第一层中的虚拟隧道的示意图的情 况下示出图10的第二层的虚拟网络被布置为虚拟隧道的第一层的配置 信息的表格示图。

图12是在示出虚拟网络作为第一层中的虚拟隧道的示意图的情 况下示出图10的第二层的虚拟网络被布置为虚拟隧道的第一层的修改 配置信息的表格示图。

图13是从图8的网络配置构建的虚拟网络的示意扩展图。

图14是根据本发明的第三示例性实施例的虚拟网络的扩展示意 图。

图15是根据本发明的第四示例性实施例的虚拟网络的扩展示意 图。

具体实施方式

最初，将参照附图来描述本发明的优选方式的概述。应该注意的 是，在下面的概述中输入的符号仅仅作为例子，以帮助理解示出的模 式而不是旨在限制本发明。

在优选的模式中，可以通过包括由网络配置存储器(图2的21) 和网络配置管理部(图2的22)构成的网络管理设备20的通信系统。 网络配置存储器存储第一层的网络配置信息，其中，通过预设符号表 示其低级配置期望被隐藏的第一层的区域，网络配置存储器还存储示 出预设符号表示的区域的第二层的网络配置信息。网络配置管理部允 许第一用户使用第一层的网络配置信息管理第一层的网络，还允许第 二用户至少使用第二层的网络配置信息管理第二层的网络(见图1)。 注意到，网络配置管理部(图2的22)从用户接受的处理内容转发到 用于控制各个交换机的控制设备(未示出)。

在图1的示例中，被分配网络标识符：1的用户和被分配网络标 识符：2的另一用户共享由一个且相同的物理网络构建的虚拟网络。网 络管理设备20使用多个物理交换机配置虚拟节点11，并且这种配置的 虚拟节点置于第二层的网络。在第一层中，通过符号表示第二层的网 络。因此，被分配网络标识符：1和网络标识符：2的用户能够管理和 使用他们各自的专用网络，而不用关心第二层的配置。

另一方面，管理第二层的网络的第三用户管理第二层。

以这种方式，可以虚拟网络的构建更加容易且可以增强虚拟网络 的管理。原因是虚拟网络被分为多个层且在通过符号表示上层中低级 配置期望被隐藏的区域。

(第一示例性实施例)

现将参照附图详细描述本发明的第一示例性实施例。图3是理解 第一示例性实施例可以参照的示意图。参照图3，示出由4个物理交换 机构成的物理网络以及包括虚拟节点10、11的单层虚拟网络。在此情 况下，网络管理设备X20能够进行基于流控制允许多个用户，即，VN1 ＝1的用户和VN1＝2的另一用户使用虚拟网络。顺便提一下，VN1是 VXLAN网络标识符的缩写，VXLAN是虚拟可扩展局域网的缩写。

然而，图3的单层虚拟网络遇到这样的问题：如果虚拟节点11被 呈现给特定用户，例如，VNI＝1的用户，并且允许该用户改变其设置， 则这种改变影响VN1＝2的用户的网络。因此，在主题示例性实施例 中，图3的虚拟网络的虚拟节点11被置于具有虚拟端点的第二层，如 图4所示，通过第一层的VXLAN进行网络切割。此外，在第一层， 通过符号“虚拟隧道”表示第二层的网络的上述虚拟节点，“虚拟隧 道”具有映射到第二层的虚拟端点的接口。

另外，在主题示例性实施例中，也可以在第二层进行考虑VNI的 流控制。

可以通过将第二层的标识符告知给例如用户分组的报头来识别第 二层的用户或用户组。图5示出本发明的第一示例性实施例的网络管 理设备20A的配置。主题示例性实施例的网络管理设备与图2所示的 网络管理设备在以下几点中不同：提供了映射信息存储器23，存储于 第一层和第二层的用户标识符之间的对应关系；以及交换机控制器24， 使交换机在物理网络上基于对应关系执行在分组报头中写入用户标识 符的处理。

图6示出第二层的标识符的示例存储位置。在图6的示例中，第 二层的标识符存储在VXLAN等的附加报头的预设位置。这使流标识 也能够利用第二层的标识符。

图7示出第二层的标识符的存储位置的另一示例。图7的示例是 第二层的标识符存储在VXLAN等的附加报头的内侧上的上层协议的 报头的预设位置。这样，即使在网关剥去附加报头且结果分组转发到 外部地址的情况下，如图7的下部分所示，外部网络节点也可以进行 考虑VNI的流控制。

(第二示例性实施例)

现将参照附图详细解释本发明的第二示例性实施例。图8四处本 发明的第二示例性实施例的虚拟网络的物理配置。由于可以通过与第 一示例性实施例的配置类似的配置实现主题示例性实施例，因此以与 上述第一示例性实施例的不同点为中心进行下面的描述。

图8示出这样的配置：被控制为根据NVGRE(使用通用路由封装 的网络虚拟化)通过VSID(虚拟子集标识符)执行切割的交换机#1、 #2经由网关GW连接到NVGRE外部的交换机#3、#4。对于交换机#1， 存在连接的通过管理程序类型服务器虚拟化应用实现的管理程序主机 #1、#2。在附图中，b1至b4表示控制器配置的域的边界。

图9示出图8的网络配置的域和边界的配置信息的示例。在图9 的示例中，通过交换机和端口的组合定义5个域和位于边界线的边界 b1至b4，如从图8可以看出。

图10示出由图8的交换机#1、#2组成的第二层的虚拟网络的配 置信息的示例。参照图10，定义交换机#1、#2构成的虚拟网桥、虚拟 网桥的接口和隧道端点(vteps)定义的虚拟连接。虚拟连接映射到图8的 边界b1至b3，并且“10”是给予每个连接的vlan-id。

图11示出图10的第二层的虚拟网络作为虚拟隧道的情况下第一 层的配置信息的示例。在图11中，通过具有VSID:10的虚拟隧道 vtunnel1表示图10示出的虚拟网络，并且连接到第一层的虚拟网桥 vbr1、vbr2。虚拟隧道vtunnel1其接口映射到图10的虚拟通信端点 vtep1、vtep3。同样地，连接到第一层的网络的虚拟网桥vbr1、vbr3的 接口的端点1、4映射到管理程序主机#1的端口和交换机#4的端口。

图12示出图10的第二层的虚拟网络作为虚拟隧道的情况下第一 层的配置信息的另一示例。在图12中，通过具有VSID:20的虚拟隧道 vtunnel1表示图10示出的虚拟网络，并且连接到第一层的虚拟网桥 vbr1、vbr2。虚拟隧道vtunnel1其接口映射到图10的虚拟通信端点 vtep2、vtep3。同样地，连接到第一层的网络的虚拟网桥vbr1、vbr3的 接口的端点2、3映射到管理程序主机#2的端口和交换机#3的端口。

上述情况的结果是，物理网络最终被扩展为具有其相应元素被映 射的二层的虚拟网络，如图13所示。具有VSID:1的用户能够基于通 过虚拟隧道简化的虚拟网络vtn1-A设置和管理网络。同样地，具有 VSID:2的用户能够基于通过虚拟隧道简化的虚拟网络vtn1-B设置和 管理网络。此外，在设置或管理第二层时，可以基于第二层的虚拟网 络vtn1进行通过VLAN ID的流控制等。

(第三示例性实施例)

现将参照附图详细解释本发明的第三示例性实施例。图14示出本 发明的第三示例性实施例的虚拟网络的配置。由于可以通过与第二示 例性实施例的配置类似的配置和配置方式实现主题示例性实施例，因 此以与上述第二示例性实施例的不同点为中心进行下面的描述。

在图14的示例中，物理网络经由EoMPLS(通过MPLS的以太网 Ethernet(注册商标))将两个数据中心互连。在虚拟网络中，通过包括通 过MPLS标签进行控制的虚拟交换机的第三层网络表示EoMPLS(通 过MPLS的以太网Ethernet(注册商标))部分。在第二层的配置中，比 第三层等级高，通过虚拟隧道表示第三层的网络，虚拟网桥或虚拟路 由器从一个域布置到另一个域。在第一层的配置中，比第二层等级高， 通过虚拟隧道表示第二层的网络，虚拟路由器从一个域布置到另一个 域。

根据本发明，如上所述，可以简化虚拟网络配置，即使在包括多 个数据中心互连的复杂配置中，也可以由端用户操作运行。原因是： 即使存在大量域并且有必要提供相应数量的虚拟节点，这些也可以被 布置为不必用端用户管理的虚拟隧道。

(第四示例性实施例)

现将参照附图详细解释本发明的第四示例性实施例。图15示出本 发明的第四示例性实施例的虚拟网络的配置。由于可以通过与第二和 第三示例性实施例的配置类似的配置和配置方式实现主题示例性实施 例，因此以与上述这些示例性实施例的不同点为中心进行下面的描述。

在图15的示例中，使用包括EoMPLS网络和传统交换机的物理网 络在第一层到第三层执行切割。将较低层中切割的虚拟网络被表示为 较高层的虚拟隧道，相关虚拟隧道端点和接口相互映射。

如上所述，本发明可以应用到这种情况：在例如MPLS、VLAN 或NVGRE的多个层中进行切割，从而，在上述示例性实施例中，可以 简化端用户操作的虚拟网络的配置。

应该注意到，尽管上面描述了本发明的优选示例性实施例，本发 明不限于这些具体模式，从而在不脱离本发明的基本技术概念的情况 下可以进行进一步的改变、替换或调整。例如，网络和元件的配置仅 是示例性的，且示出这种配置已协助理解本发明，但是不意在将本发 明限制在示出的模式。

另外，在上述示例性实施例中，假设在较上层使用VXLAN或 NVGRE执行切割。然而，给出这些仅作为示例，并且可以使用任何其 他适当的系统。此外，也假设在较下层使用VLAN或MPLS。类似地， 给出这些也仅作为示例，并且可以使用任何其他适当的系统。

在上述示例性实施例中，还假设网络管理设备包括网络配置存储 器和网络配置管理部。然而，这些可以被布置为单独的设备，或者可 以被实现为控制物理交换机的控制设备的各个功能。

最后，将总结本发明的特定优选模式。

(模式1)

参照根据第一方面的通信节点。

(模式2)

根据模式1的通信系统，还包括

映射信息存储器，存储识别第一层中的用户的标识符与识别第二 层中的用户的另一标识符之间的对应关系，其中

使用两个标识符来执行管理，从而可以在第一层和第二层进行流 控制。

(模式3)

根据模式2的通信系统，还包括

交换机控制器，在路径上切换，以基于识别第一层中的用户且包 含在用户分组中的标识符执行在报头中写入识别第二层中的用户的标 识符的处理。

(模式4)

根据模式3的通信系统，还包括

用于识别第二层中的用户的标识符被存储在存储第一层的标识符 的报头的预设区域。

(模式5)

根据模式3或4的通信系统，其中，

用于识别第二层中的用户的标识符被存储在位于存储第一层的标 识符的报头的内侧的第二报头的预设区域。

(模式6)

根据模式1至5中的任何一个的通信系统，其中，

示出通过符号表示的区域的第二层的网络以一种至多种关系与第 一层的网络相关联。

(模式7)

参照根据第二方面的虚拟网络管理装置。

(模式8)

根据模式7的虚拟网络管理装置，还包括：

映射信息存储器，存储识别第一层中的用户的标识符与识别第二 层中的用户的另一标识符之间的对应关系；以及

网络管理部，执行管理，以使用两个标识符在第一层和第二层进 行流控制。

(模式9)

根据模式8的虚拟网络管理装置，还包括：

交换机控制器，在路径上切换，以基于识别第一层中的用户且包 含在用户分组中的标识符执行在报头中写入识别第二层中的用户的标 识符的处理。

(模式10)

参照根据第三方面的管理虚拟网络的方法。

(模式11)

参照根据第四方面的程序。

注意到，如上述模式1，模式7可以扩展到模式4-6，如上述模式 1，模式10、11可以扩展到模式2-6。

上述专利文件以及非专利文献的公开将合并于此用于参考。基于 本发明的基本技术概念，可以在本发明的总公开的概念，包括权利要 求的范围内修改或调整示例性实施例或示例。在本发明的权利要求的 内容的范围内可以进行在此公开的元素(权利要求、示例和附图中的 元素)的各种组合或选择。也就是说，基于包括权利要求和附图以及 本发明的技术内容的总公开，本发明可以包括本领域技术人员可以想 到多种改变或修改。具体地，应该理解，即使没有明确阐述，任何可 选的数值或包含于本文所载数值的范围的子范围也应该被解释为特别 指出。

附图标记列表

10,11  虚拟节点

20,20A,X20  网络管理设备

21  网络配置存储器

22  网络配置管理部

23  映射信息存储器

24  交换机控制器

b1至b4  边界

vtep1至vtep3  虚拟隧道端点

vbr1至vbr3  虚拟网桥

vtunnel1  虚拟隧道