本发明涉及计算机网络,尤其涉及一种数据报文转发方法、设备及电子设备。
背景技术:
::1、软件定义网络(sdn)正在将传统网络转变为在简化、低成本硬件上运行的软件可编程域,以推动云计算服务、it和电信市场的融合。基于sdn组建的云平台、云计算系统及大数据平台场景中,虚拟网络通常使用内部网络(private network)的地址(即,虚拟机所在的虚拟内网地址)相互通信,并采用网络地址转换(nat)修改数据报文的源地址(sa)和目的地址(da),从而实现数据报文在各个计算节点之间执行转发,计算节点中部署虚拟机或者容器,以通过虚拟机或者容器部署响应用户在客户端发起访问请求的各种应用或者服务。例如,需要访问本计算节点之外的其他计算节点或者外网或者客户端需要访问该计算节点时,通常需要基于nat或者隧道(tunnel)方式将彼此ip地址(即,源地址与目的地址)进行网络地址转换。以nat举例,客户端访问计算节点所在的虚拟内网的过程是将内部网络的目的地址由公网地址基于nat方式转换为私网地址,反之在虚拟机访问客户端所在外网(即,公网)的过程则是将私网源地址通过nat方式转换为公网(public network)的目的地址。由此实现数据报文在虚拟机所在的虚拟内网与客户端所在的公网之间执行转发。2、在现有技术中,通常在网络节点中执行网络地址转换。若基于网络节点执行网络地址转换,则需要使用虚拟交换机(例如,ovs)根据流表所制定的转发规则或者iptable对ip地址进行转换,但该技术方案需要依赖网络节点的物理硬件(例如,网络节点配置的处理器及内存等)进行数据报文处理后进行转发,从而导致网络节点的资源开销过大,且转发性能受限于网络节点的处理器性能较大。若基于网络设备执行网络地址转换,则通常是依赖交换机或者路由器配置nat规则,以对数据报文所携带的ip地址进行转换,但该现有技术通常在虚拟内网与外网之间分别配置两个配置nat规则的逻辑端口,以通过两个逻辑端口之间建立数据链路,但该现有技术由于在虚拟内网与外网之间设置了两个甚至更多的逻辑端口,因此会形成mesh连接。当虚拟内网中的计算节点数量庞大时,必然导致mesh连接所形成的连接数及拓扑结构变得非常复杂且难以维护,并对数据报文在虚拟内网与外网之间执行转发的延时性(delay)造成不利影响,且存在计算节点向多个用户转发数据报文所形成的外网流量之间无法予以隔离。因此,前述两种现有技术在多用户访问外网场景中的技术方案均存在前述诸多技术问题。3、有鉴于此,有必要对现有技术中的多用户访问外网场景中的技术方案予以改进,以解决上述问题。技术实现思路1、本发明的目的在于揭示一种数据报文转发方法、设备及电子设备,用以解决前述现有技术中所存在的缺陷,并尤其旨在解决网络地址转换且具有多个外网出口的场景中虚拟内网访问外网时避免建立mesh连接,实现多用户访问外网时实现数据报文的隔离,并简化云平台转发层的拓扑结构。2、为实现上述目的之一,本发明提供了一种数据报文转发方法,包括:3、与虚拟内网连接的私网vrf以bgp evpn方式将私网vrf配置的默认路由发布至sdn控制器,由所述sdn控制器将虚拟内网所部署的虚拟机ip地址发布至私网vrf;4、建立至少两对相互隔离并与外网连接并成对互联的外网vrf及虚拟路由隔离装置,所述私网vrf与虚拟路由隔离装置之间基于定向流量规则转发数据报文,所述虚拟路由隔离装置与外网vrf之间基于成对配置的第一逻辑端口与第二逻辑端口基于nat规则转发数据报文。5、作为本发明的进一步改进,还包括:6、通过所述虚拟路由隔离装置所配置的具第一网络地址转换规则的第一逻辑端口与所述外网vrf所配置的具第二网络地址转换规则并与所述第一逻辑端口成对互联的第二逻辑端口通过所述定向流量规则与nat规则在虚拟内网与外网之间执行数据报文的转发,其中,所述nat规则由所述第一网络地址转换规则与所述第二网络地址转换规则共同定义。7、作为本发明的进一步改进,所述第一网络地址转换规则为:配置数据报文的源地址,根据所述第一网络地址转换规则查找与所述源地址对应的外网中所述数据报文转发后的目标地址;所述第二网络转换规则为:配置数据报文的目的地址,根据所述第二网络地址转换规则查找与所述目的地址对应的虚拟内网中所述数据报文转发前的源地址。8、作为本发明的进一步改进,所述私网vrf配置至少两条相互隔离且由第一逻辑端口与第二逻辑端口成对连接的内网转发链路,所述私网vrf配置至少两条独立的定向流量规则,并将所述定向流量规则分别重定向至所述虚拟路由隔离装置,且不同内网转发链路中的nat规则相互隔离并独立配置。9、作为本发明的进一步改进,所述定向流量规则与所述nat规则由sdn控制器通过控制面协议予以下发或者修改。10、作为本发明的进一步改进,所述数据报文转发方法应用于形成至少两个访问外网的出口端并连接计算节点与网络交换设备的转发设备中;所述私网vrf,虚拟路由隔离装置及外网vrf均部署于所述转发设备。11、基于相同发明事项,本技术还揭示了一种转发设备,部署于计算节点与用于连接外网的网络交换设备之间,所述转发设备包括:12、私网vrf,至少两对相互隔离并与外网连接并成对互联的外网vrf及虚拟路由隔离装置,所述私网vrf与虚拟路由隔离装置之间基于定向流量规则转发数据报文,所述虚拟路由隔离装置与外网vrf之间基于成对配置的第一逻辑端口与第二逻辑端口基于nat规则转发数据报文。13、作为本发明的进一步改进,所述虚拟路由隔离装置具配置第一网络地址转换规则的第一逻辑端口,所述外网vrf具配置第二网络地址转换规则并与所述第一逻辑端口成对互联的第二逻辑端口,所述第一网络地址转换规则与所述第二网络地址转换规则共同定义所述nat规则,以将通过所述定向流量规则与nat规则在虚拟内网与外网之间执行数据报文的转发。14、作为本发明的进一步改进,所述私网vrf配置至少两条相互隔离且由第一逻辑端口与第二逻辑端口成对连接的内网转发链路,所述私网vrf配置至少两条独立的定向流量规则,并将所述定向流量规则分别重定向至所述虚拟路由隔离装置,以形成至少两条相互隔离的内网转发链路,且不同内网转发链路中的nat规则相互隔离并独立配置。15、作为本发明的进一步改进,所述转发设备受控于sdn控制器,所述定向流量规则与所述nat规则由所述sdn控制器通过控制面协议予以下发或者修改。16、最后,本技术还揭示了一种电子设备,包括:17、处理器,由至少一个存储单元组成的存储装置,18、以及在处理器与存储装置之间建立通信连接的通信总线;19、所述处理器用于执行存储装置中存储的一个或者多个程序,以实现如前述任一项发明创造所揭示的数据报文转发方法。20、与现有技术相比,本发明的有益效果是:21、在本技术中,通过在转发设备中建立与虚拟内网会话的私网vrf、虚拟路由隔离装置及外网vrf,以建立至少两对相互隔离并在虚拟内网与外网之间执行数据报文转发且相互隔离的内网转发链路,从而使得基于不同虚拟ip地址的虚拟内网与外网之间执行网络地址转换过程中私网vrf与虚拟路由隔离装置之间实现流量重定向,并避免了不同虚拟ip地址的虚拟内网与外网之间形成mesh连接,从而解决了现有技术中基于mesh连接所形成的连接数巨大及拓扑结构过于复杂的技术问题,并实现了多用户访问外网时实现数据报文的隔离性,并简化了云平台转发层的拓扑结构。当前第1页12当前第1页12