一种报文传输方法及装置与流程

1.本技术实施例涉及但不限于网络技术领域，尤其涉及一种报文传输方法及装置。


背景技术：

2.在多租户场景下，为了保证租户数据的安全性，需要对租户进行隔离，使租户内部的虚拟机可以相互通信，而租户之间的虚拟机相互隔离，即租户隔离。在相关技术中，仅将虚拟扩展局域网(virtual extensible local area network，vxlan)到虚拟局域网(virtual local area network，vlan)的映射技术应用于多租户场景下的租户隔离，而并没有对虚拟网络与底层物理承载网之间的流量转发进行租户隔离。


技术实现要素：

3.有鉴于此，本技术提供一种报文传输方法及装置，可以实现云侧网络到用户侧网络的流量基于承载网转发场景下的租户之间路由与数据的隔离，保障租户业务的机密性。
4.本技术的技术方案是这样实现的：
5.一方面，本技术提供一种报文传输方法，应用于云侧的运营商边缘路由器，所述方法包括：
6.通过与虚拟网关之间的第一隧道接收第一转发报文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
7.根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
8.通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备，其中，所述第二隧道的标识用于确定目标用户侧设备的租户标识。
9.又一方面，本技术实施例提供一种报文传输方法，应用于虚拟网关，所述方法包括：
10.通过与云内虚拟转发设备之间的第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和原始报文；其中，所述第三隧道的标识由云内虚拟转发设备根据所述云内虚拟转发设备的租户标识确定；
11.根据所述第三隧道的标识确定与云侧的运营商边缘路由器之间的第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到第一转发报文；
12.通过所述第一隧道将所述第一转发报文转发至所述云侧的运营商边缘路由器，以通过所述云侧的运营商边缘路由器根据所述第一隧道的标识将所述原始报文发送给用户侧的运营商边缘路由器；其中，所述第一隧道的标识用于确定所述云侧的运营商边缘路由器与用户侧的运营商边缘路由器之间的第二隧道的标识。
13.再一方面，本技术实施例提供一种报文传输方法，应用于云内虚拟转发设备，所述方法包括：
14.接收虚拟机通过虚拟私有云内的交换机转发的原始报文；
15.根据所述虚拟机的租户标识确定与虚拟网关之间的第三隧道的标识，并根据所述第三隧道的预设协议对所述原始报文和所述第三隧道的标识进行封装，得到第三转发报文；
16.通过所述第三隧道将所述第三转发报文转发至所述虚拟网关，以通过所述虚拟网关根据所述第三隧道的标识将所述原始报文发送给云侧的运营商边缘路由器；其中，所述第三隧道的标识用于确定所述虚拟网关与云侧的运营商边缘路由器之间的第一隧道的标识。
17.再一方面，本技术实施例提供一种报文传输方法，应用于用户侧的运营商边缘路由器，所述方法包括：
18.通过与云侧的运营商边缘路由器之间的第二隧道接收第二转发报文，并对所述第二转发报文进行解析，得到原始报文和所述第二隧道的标识；其中，第二隧道的标识由云侧的运营商边缘路由器根据所述云侧的运营商边缘路由器与虚拟网关之间的第一隧道的标识确定；
19.根据所述第二隧道的标识确定目标用户边缘路由器的租户标识，并根据所述租户标识将所述原始报文转发至所述目标用户边缘路由器，以通过所述目标用户边缘路由器将所述原始报文转发至目标用户侧设备。
20.再一方面，本技术实施例提供一种报文传输装置，所述装置包括：
21.第一接收模块，用于：通过与虚拟网关之间的第一隧道接收第一转发报文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
22.第一确定模块，用于：根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
23.第一转发模块，用于：通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备，其中，所述第二隧道的标识用于确定目标用户侧设备的租户标识。
24.在一些实施例中，所述第一隧道为vlan隧道；所述第二隧道为mpls-l3vpn隧道；所述第一隧道的标识为vlan id；所述第二隧道的标识为rt:rd。
25.在一些实施例中，所述虚拟网关和所述第一运营商边缘路由器之间接有防火墙；对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第一运营商边缘路由器，还用于通过所述vxlan隧道，接收所述虚拟网关经由所述防火墙发送的所述第一转发报文。
26.再一方面，本技术实施例提供一种报文传输装置，所述装置包括：
27.第二接收模块，用于：通过与云内虚拟转发设备之间的第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和原始报文；其中，所述第三隧道的标识由云内虚拟转发设备根据所述云内虚拟转发设备的租户标识确定；
28.第二确定模块，用于：根据所述第三隧道的标识确定与云侧的运营商边缘路由器之间的第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到第一转发报文；
29.第二转发模块，用于：通过所述第一隧道将所述第一转发报文转发至所述云侧的运营商边缘路由器，以通过所述云侧的运营商边缘路由器根据所述第一隧道的标识将所述原始报文发送给用户侧的运营商边缘路由器；其中，所述第一隧道的标识用于确定所述云侧的运营商边缘路由器与用户侧的运营商边缘路由器之间的第二隧道的标识。
30.在一些实施例中，所述第一隧道为vlan隧道，所述第一隧道的标识为vlan id；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为用于标识所述vxlan隧道的vni。
31.在一些实施例中，所述虚拟网关和所述第一运营商边缘路由器之间接有防火墙；对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为对应的vxlan隧道的vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为对应的vxlan隧道的vni；所述第一运营商边缘路由器，还用于通过所述vxlan隧道，接收所述虚拟网关经由所述防火墙发送的所述第一转发报文；所述虚拟网关，还用于通过所述第一隧道，将所述第一转发报文经由所述防火墙转发至所述第一运营商边缘路由器。
32.再一方面，本技术实施例提供一种报文传输装置，所述装置包括：
33.第三接收模块，用于接收虚拟机通过虚拟私有云内的交换机转发的原始报文；
34.第三确定模块，用于：根据所述虚拟机的租户标识确定与虚拟网关之间的第三隧道的标识，并根据所述第三隧道的预设协议对所述原始报文和所述第三隧道的标识进行封装，得到第三转发报文；
35.第三转发模块，用于：通过所述第三隧道将所述第三转发报文转发至所述虚拟网关，以通过所述虚拟网关根据所述第三隧道的标识将所述原始报文发送给云侧的运营商边缘路由器；其中，所述第三隧道的标识用于确定所述虚拟网关与云侧的运营商边缘路由器之间的第一隧道的标识。
36.再一方面，本技术实施例提供一种报文传输装置，所述装置包括：
37.第四接收模块，用于：通过与云侧的运营商边缘路由器之间的第二隧道接收第二转发报文，并对所述第二转发报文进行解析，得到原始报文和所述第二隧道的标识；其中，第二隧道的标识由云侧的运营商边缘路由器根据所述云侧的运营商边缘路由器与虚拟网关之间的第一隧道的标识确定；
38.第四确定模块，用于根据所述第二隧道的标识确定目标用户边缘路由器的租户标识；
39.第四转发模块，用于根据所述租户标识将所述原始报文转发至所述目标用户边缘路由器，以通过所述目标用户边缘路由器将所述原始报文转发至目标用户侧设备。
40.本技术中，通过将虚拟网关到云侧的运营商边缘路由器的转发隧道的标识，与云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识关联起来，并根据云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识识别租户，如此，可以实现云侧网络到用户侧网络的流量基于承载网转发场景下的租户之间路由与数据
的隔离，保障租户业务的机密性。
41.进一步地，还可以将虚拟网关到云侧的运营商边缘路由器的转发隧道的标识，与云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识之间的映射关系，以及云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识与租户标识之间的映射关系储存在编排器中，方便统一编排管理。
42.此外，第一隧道可以为vlan隧道，第二隧道可以为mpls-l3vpn隧道，第一隧道的标识可以为vlan id，第二隧道的标识可以为rt:rd，由于rt:rd可以区分不同租户下的重叠地址，这样，可以在实现租户隔离的同时解决城域网vlan资源不够的问题及交换机mac资源不足的问题。进而，第一隧道还可以采用vxlan隧道，第一隧道的标识还可以采用vni，从而可以在虚拟网关和云侧的运营商边缘路由器之间接有防火墙时，实现租户隔离的同时解决城域网vlan资源不够的问题及交换机mac资源不足的问题。
附图说明
43.图1为本技术实施例提供的一种报文传输方法的实现流程示意图；
44.图2为本技术实施例提供的一种报文传输方法的实现流程示意图；
45.图3为本技术实施例提供的一种报文传输方法的实现流程示意图；
46.图4为本技术实施例提供的一种报文传输方法的实现流程示意图；
47.图5为本技术实施例提供的一种报文传输方法的实现流程示意图；
48.图6为本技术实施例提供的一种报文传输方法的实现流程示意图；
49.图7a为本技术实施例提供的一种网络系统的组成结构示意图；
50.图7b为本技术实施例提供的一种网络系统的组成结构示意图；
51.图8a为本技术实施例提供的一种网络系统的组成结构示意图；
52.图8b为本技术实施例提供的一种网络系统的组成结构示意图；
53.图9a为本技术实施例提供的一种网络系统的组成结构示意图；
54.图9b为本技术实施例提供的一种网络系统的组成结构示意图；
55.图9c为本技术实施例提供的一种网络系统的组成结构示意图；
56.图10为本技术实施例提供的一种报文传输装置的组成结构示意图；
57.图11为本技术实施例提供的一种报文传输装置的组成结构示意图；
58.图12为本技术实施例提供的一种报文传输装置的组成结构示意图；
59.图13为本技术实施例提供的一种报文传输装置的组成结构示意图。
具体实施方式
60.为了使本技术的目的、技术方案和优点更加清楚，下面结合附图和实施例对本技术的技术方案进一步详细阐述，所描述的实施例不应视为对本技术的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
61.在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。
62.如果申请文件中出现“第一/第二”的类似描述则增加以下的说明，在以下的描述中，所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本技术实施例能够以除了在这里图示或描述的以外的顺序实施。
63.除非另有定义，本文所使用的所有的技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本技术的目的，不是旨在限制本技术。
64.为了更好地理解本技术提供的报文传输方法，首先对相关技术中通信网络映射的技术方案进行说明。
65.相关技术中，通信网络映射技术主要着眼于：1)在sdn网络技术中，将不同服务器之间或不同数据中心之间的东西向流量映射技术应用于划分不同的业务域，实现不同业务的隔离，以解决多租户场景下城域网vlan资源不够的问题以及在城域网虚拟化场景下大量终端导致的交换机媒体访问控制(media access control，mac)地址资源不足的问题；2)将vxlan到vlan的映射技术应用于虚拟网络中多租户场景下的租户隔离；3)通过将虚拟网络标识符与隧道标识符储存在交换机中，以实现虚拟网络的流量映射。
66.对于上述相关技术中的技术方案，主要存在以下缺点：1)仅将通信网络映射技术用于隔离不同业务，解决城域网vlan资源不够的问题及交换机mac资源不足的问题，没有将通信网络流量映射技术应用于租户隔离；2)仅将vxlan到vlan的映射技术应用于虚拟网络中多租户场景下的租户隔离，没有对虚拟网络到基于多协议标签交换(multi-protocol label switching，mpls)的底层物理承载网之间的流量转发进行租户隔离；3)仅将虚拟网络标识符与隧道标识符储存在交换机中，不方便统一管理。
67.在上述相关技术中映射方法的基础之上，本技术实施例提供一种报文传输方法，应用于云侧的运营商边缘路由器，图1为本技术实施例提供的一种报文传输方法的实现流程图，如图1所示，所述方法包括：
68.步骤s101，云侧的运营商边缘路由器通过与虚拟网关之间的第一隧道接收第一转发报文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
69.这里，虚拟网关和云侧的运营商边缘路由器均为不同租户公用的网络设备。云侧的运营商边缘路由器可以用于连接云侧网络与承载网。在实施时，云侧的运营商边缘路由器可以为底层承载网中连接云侧网络的运营商边缘路由器。
70.第一隧道为所述云侧的运营商边缘路由器与所述虚拟网关之间建立的网络隧道。在实施时，第一隧道可以利用任意合适的网络隧道协议来实现，本领域技术人员可以根据实际情况自行选择，本技术实施例对此并不限定。
71.步骤s102，所述云侧的运营商边缘路由器根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
72.这里，用户侧的运营商边缘路由器也为不同租户公用的网络设备。第二隧道为所述云侧的运营商边缘路由器与所述用户侧的运营商边缘路由器之间建立的网络隧道。第二隧道的预设协议可以为任意合适的网络隧道协议。在实施时，预设协议可以在隧道建立时由通信双方预先协商确定。
73.第一隧道的标识和第二隧道的标识之间存在特定的对应关系，在实施时，可以利用该对应关系，根据第一隧道的标识确定第二隧道的标识。
74.在一些实施例中，所述云侧的运营商边缘路由器根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，可以包括：所述云侧的运营商边缘路由器通过查询特定的第一映射关系，得到所述第一隧道的标识对应的所述第二隧道的标识；其中，所述第一映射关系用于表征第一隧道的标识与第二隧道的标识之间的对应关系。
75.这里，第一映射关系可以存储在云侧的运营商边缘路由器本地，在需要的时候云侧的运营商边缘路由器从本地读取该第一映射关系；第一映射关系也可以存储在特定的云端或管理服务器中，云侧的运营商边缘路由器可以在需要的时候向云端或管理服务器请求第一映射关系，或者云端或管理服务器可以向云侧的运营商边缘路由器下发第一映射关系。
76.在一些实施例中，第一映射关系可以存储在编排器中，在所述云侧的运营商边缘路由器查询特定的第一映射关系之前，所述云侧的运营商边缘路由器从所述编排器获取所述第一映射关系，或者所述编排器将所述第一映射关系下发至所述云侧的运营商边缘路由器。
77.步骤s103，所述云侧的运营商边缘路由器通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备，其中，所述第二隧道的标识用于确定目标用户侧设备的租户标识。
78.这里，第二隧道的标识可以用来识别原始报文所属的租户，从而确定目标侧设备的租户标识。在一些实施例中，第二隧道的标识和租户标识之间存在特定的对应关系，在实施时，可以利用该对应关系，根据第二隧道的标识确定租户标识。
79.用户侧的运营商边缘路由器可以用于连接用户侧网络与承载网。在实施时，用户侧的运营商边缘路由器可以为底层承载网中连接用户侧网络的运营商边缘路由器。
80.在一些实施例中，所述第一隧道可以为vlan隧道，所述第二隧道可以为基于多协议标签交换的三层虚拟专用网络(multi-protocol label switching virtual private network，mpls-l3vpn)隧道；对应地，所述第一隧道的标识可以为虚拟局域网标识(virtual local area network identity，vlan id)，所述第二隧道的标识可以为路由标记：路由区分器(route-target:route distinguishers，rt:rd)。
81.这里，路由标记(route-target，rt)可以用于在云侧的运营商边缘路由器侧区分不同租户，为每个租户建一个vpn实例，转发到用户侧的运营商边缘路由器后通过路由区分器(route distinguishers，rd)选择下一步要流向的用户边缘路由器，以解决不同租户的地址重叠问题。
82.在一些实施例中，所述虚拟网关和所述云侧的运营商边缘路由器之间接有防火墙，对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；上述步骤s101中，所述通过与虚拟网关之间的第一隧道接收第一转发报文，包括：通过所述vxlan隧道，接收所述虚拟网关经由所述防火墙发送的所述第一转发报文。
83.本技术实施例提供的报文传输方法，通过将虚拟网关到云侧的运营商边缘路由器
的转发隧道的标识，与云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识关联起来，并根据云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识识别租户，从而实现云侧网络到用户侧网络的流量基于承载网转发场景下的租户之间路由与数据的隔离，保障租户业务的机密性。此外，还可以将虚拟网关到云侧的运营商边缘路由器的转发隧道的标识，与云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识之间的映射关系储存在编排器中，方便统一编排管理。
84.进一步地，第一隧道可以为vlan隧道，第二隧道可以为mpls-l3vpn隧道，第一隧道的标识可以为vlan id，第二隧道的标识可以为rt:rd，由于rt:rd可以区分不同租户下的重叠地址，这样，可以在实现租户隔离的同时解决城域网vlan资源不够的问题及交换机mac资源不足的问题。此外，第一隧道还可以采用vxlan隧道，第一隧道的标识还可以采用vni，从而可以在虚拟网关和云侧的运营商边缘路由器之间接有防火墙时，实现租户隔离的同时解决城域网vlan资源不够的问题及交换机mac资源不足的问题。
85.本技术实施例提供一种报文传输方法，应用于虚拟网关，如图2所示，所述方法包括：
86.步骤s201，虚拟网关通过与云内虚拟转发设备之间的第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和原始报文；其中，所述第三隧道的标识由云内虚拟转发设备根据所述云内虚拟转发设备的租户标识确定；
87.这里，所述云内虚拟转发设备为租户隔离的。在实施时，云内虚拟转发设备可以是云内虚拟路由器，也可以是云内虚拟交换机。每个租户可以在云内订购一个或多个云内虚拟转发设备，不同租户的云内虚拟转发设备之间是租户隔离的，用户可以将虚拟机接入云内虚拟转发设备，实现虚拟机的租户隔离。虚拟网关为云内公用的网关，是云内所有租户公用的，一个云内通常配置一台虚拟网关，云内虚拟转发设备可以接入到虚拟网关上。
88.第三隧道为所述虚拟网关与所述云内虚拟转发设备之间建立的网络隧道。在实施时，第三隧道可以利用任意合适的网络隧道协议来实现，本领域技术人员可以根据实际情况自行选择，本技术实施例对此并不限定。
89.步骤s202，所述虚拟网关根据所述第三隧道的标识确定与云侧的运营商边缘路由器之间的第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到第一转发报文；
90.这里，第一隧道的标识和第三隧道的标识之间存在特定的对应关系，在实施时，可以利用该对应关系，根据第三隧道的标识确定第一隧道的标识。
91.在一些实施例中，所述虚拟网关根据所述第三隧道的标识确定与云侧的运营商边缘路由器之间的第一隧道的标识，可以包括：所述虚拟网关通过查询特定的第三映射关系，得到所述第三隧道的标识对应的所述第一隧道的标识；其中，所述第三映射关系用于表征第三隧道的标识与第一隧道的标识之间的对应关系。
92.这里，第三映射关系可以存储在虚拟网关本地，在需要的时候虚拟网关从本地读取该第三映射关系；第三映射关系也可以存储在特定的云端或管理服务器中，虚拟网关可以在需要的时候向云端或管理服务器请求第三映射关系，或者云端或管理服务器向虚拟网关下发第三映射关系。
93.在一些实施例中，第三映射关系可以存储在编排器中，在所述虚拟网关查询特定
的第三映射关系之前，所述虚拟网关从所述编排器获取所述第三映射关系，或者所述编排器将所述第三映射关系下发至所述虚拟网关。
94.步骤s203，所述虚拟网关通过所述第一隧道将所述第一转发报文转发至所述云侧的运营商边缘路由器，以通过所述云侧的运营商边缘路由器根据所述第一隧道的标识将所述原始报文发送给用户侧的运营商边缘路由器；其中，所述第一隧道的标识用于确定所述云侧的运营商边缘路由器与用户侧的运营商边缘路由器之间的第二隧道的标识。
95.这里，第一隧道的标识和第二隧道的标识之间存在特定的对应关系，在实施时，可以利用该对应关系，根据第一隧道的标识确定第二隧道的标识。
96.在一些实施例中，该方法还可以包括：
97.步骤s204，云侧的运营商边缘路由器通过与虚拟网关之间的第一隧道接收第一转发报文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
98.步骤s205，所述云侧的运营商边缘路由器根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
99.步骤s206，所述云侧的运营商边缘路由器通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给所述租户的用户侧设备。
100.这里，步骤s204至s206对应于前述步骤s101至s103，在实施时可以参照步骤s101至s103的具体实施方式，在此不再赘述。
101.在一些实施例中，所述第一隧道可以为vlan隧道，所述第一隧道的标识可以为vlan id；所述第二隧道可以为mpls-l3vpn隧道，所述第二隧道的标识可以为rt:rd；所述第三隧道可以为vxlan隧道，所述第三隧道的标识可以为用于标识所述vxlan隧道的vxlan标识(vxlan network identifier，vni)。对应地，在一些实施例中，上述步骤s202可以包括：所述虚拟网关将所述vlan隧道的标识vlan id封装在所述第一转发报文的以太网包头中，用于识别不同租户。
102.在一些实施例中，所述虚拟网关和所述云侧的运营商边缘路由器之间接有防火墙；对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为对应的vxlan隧道的vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为对应的vxlan隧道的vni；所述虚拟网关通过所述第一隧道将所述第一转发报文转发至所述云侧的运营商边缘路由器，包括：所述虚拟网关通过所述第一隧道，将所述第一转发报文经由所述防火墙转发至所述云侧的运营商边缘路由器。对应地，在一些实施例中，上述步骤s202可以包括：所述虚拟网关将作为第一隧道的vxlan隧道的vni封装在vxlan报文头部，用于识别不同租户。
103.本技术实施例提供的报文传输方法，通过将云内虚拟转发设备到虚拟网关的转发隧道的标识，与虚拟网关到云侧的运营商边缘路由器的转发隧道的标识关联起来。这样，虚拟网关可以根据云内虚拟转发设备到虚拟网关的转发隧道的标识确定虚拟网关到云侧的运营商边缘路由器的转发隧道的标识，从而实现云内虚拟转发设备通过虚拟网关到云侧的运营商边缘路由器之间的流量的租户隔离，进而实现云侧网络到用户侧网络的流量基于承载网转发场景下的租户之间路由与数据的隔离，保障租户业务的机密性。此外，还可以将云
内虚拟转发设备到虚拟网关的转发隧道的标识，与虚拟网关到云侧的运营商边缘路由器的转发隧道的标识之间的映射关系储存在编排器中，方便统一编排管理。
104.进一步地，第一隧道可以为vlan隧道，第二隧道可以为mpls-l3vpn隧道，第一隧道的标识可以为vlan id，第二隧道的标识可以为rt:rd，第三隧道可以为vxlan隧道，第三隧道的标识可以为标识该vxlan隧道的vni，由于rt:rd可以区分不同租户下的重叠地址，这样，可以在实现租户隔离的同时解决城域网vlan资源不够的问题及交换机mac资源不足的问题。此外，第一隧道还可以采用vxlan隧道，第一隧道的标识可以采用标识该vxlan隧道的vni，从而可以在虚拟网关和云侧的运营商边缘路由器之间接有防火墙时，实现租户隔离的同时解决城域网vlan资源不够的问题及交换机mac资源不足的问题。
105.本技术实施例提供一种报文传输方法，应用于云内虚拟转发设备如图3所示，所述方法包括：
106.步骤s301，云内虚拟转发设备接收虚拟机通过虚拟私有云内的交换机转发的原始报文；其中，所述虚拟机和所述云内虚拟转发设备具有相同的租户标识；
107.这里，所述原始报文从虚拟机发出，所述原始报文的源ip地址为所述虚拟机的ip地址，所述原始报文的目的ip地址为用户侧设备的ip地址。所述原始报文可以经由虚拟私有云内的交换机转发至云内虚拟转发设备。在实施时，进行通信的所述虚拟机和所述云内虚拟转发设备是归属于同一租户的，具有相同的租户标识。
108.步骤s302，所述云内虚拟转发设备根据所述租户标识确定与虚拟网关之间的第三隧道的标识，并根据所述第三隧道的预设协议对所述原始报文和所述第三隧道的标识进行封装，得到第三转发报文；
109.这里，租户标识和第三隧道的标识之间存在特定的对应关系，在实施时，可以利用该对应关系，根据租户的标识确定对应的第三隧道的标识。
110.在一些实施例中，所述云内虚拟转发设备根据所述租户标识确定所述第三隧道的标识，包括：所述云内虚拟转发设备通过查询特定的第二映射关系，得到所述租户标识对应的所述第三隧道的标识；其中，所述第二映射关系用于表征租户标识与第三隧道的标识之间的对应关系。
111.这里，第二映射关系可以存储在云内虚拟转发设备本地，在需要的时候云内虚拟转发设备从本地读取该第二映射关系；第二映射关系也可以存储在特定的云端或管理服务器中，云内虚拟转发设备可以在需要的时候向云端或管理服务器请求第二映射关系，或者云端或管理服务器向云内虚拟转发设备下发第二映射关系。
112.在一些实施例中，第二映射关系可以存储在编排器中，在所述云内虚拟转发设备查询特定的第三映射关系之前，所述云内虚拟转发设备从所述编排器获取所述第二映射关系，或者所述编排器将所述第二映射关系下发至所述云内虚拟转发设备。
113.步骤s303，所述云内虚拟转发设备通过所述第三隧道将所述第三转发报文转发至所述虚拟网关，以通过所述虚拟网关根据所述第三隧道的标识将所述原始报文发送给云侧的运营商边缘路由器；其中，所述第三隧道的标识用于确定所述虚拟网关与云侧的运营商边缘路由器之间的第一隧道的标识。
114.这里，第一隧道的标识和第三隧道的标识之间存在特定的对应关系，在实施时，可以利用该对应关系，根据第三隧道的标识确定第一隧道的标识。
115.在一些实施例中，该方法还可以包括：
116.步骤s304，虚拟网关通过与云内虚拟转发设备之间的第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和原始报文；
117.步骤s305，所述虚拟网关根据所述第三隧道的标识确定第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到所述第一转发报文；
118.步骤s306，所述虚拟网关通过所述第一隧道将所述第一转发报文转发至所述云侧的运营商边缘路由器，以通过所述云侧的运营商边缘路由器根据所述第一隧道的标识将所述原始报文发送给用户侧的运营商边缘路由器；其中，所述第一隧道的标识用于确定所述云侧的运营商边缘路由器与用户侧的运营商边缘路由器之间的第二隧道的标识；
119.步骤s307，云侧的运营商边缘路由器通过与虚拟网关之间的第一隧道接收第一转发报文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
120.步骤s308，所述第一运营商边缘路由器根据所述第一隧道的标识确定与第二运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
121.步骤s309，所述云侧的运营商边缘路由器通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给所述租户的用户侧设备。
122.这里，步骤s304至s309对应于前述步骤s201至s206，在实施时可以参照步骤s201至s206的具体实施方式，在此不再赘述。
123.在一些实施例中，可以利用编排器存储所述第一映射关系、所述第二映射关系和所述第三映射关系。对应地，在所述云侧的运营商边缘路由器查询特定的第一映射关系之前，所述云侧的运营商边缘路由器从所述编排器获取所述第一映射关系；在所述云内虚拟转发设备通过查询特定的第二映射关系之前，所述云内虚拟转发设备从所述编排器获取所述第二映射关系；在所述虚拟网关通过查询特定的第三映射关系之前，所述虚拟网关从所述编排器获取所述第三映射关系。
124.在一些实施例中，所述第一映射关系、所述第二映射关系和所述第三映射关系可以通过一张映射关系表来表征。在实施时，可以利用所述映射关系表来表征第一隧道的标识、第二隧道的标识、第三隧道的标识与租户的标识之间的关联关系。在一些实施例中，所述映射关系表中还可以包括其他可以识别租户的信息。
125.在一些实施例中，所述第一隧道可以为vlan隧道，所述第一隧道的标识可以为vlan id；所述第二隧道可以为mpls-l3vpn隧道，所述第二隧道的标识可以为rt:rd；所述第三隧道可以为vxlan隧道，所述第三隧道的标识可以为用于标识所述vxlan隧道的vxlan标识(vxlan network identifier，vni)。对应地，在一些实施例中，上述步骤s202可以包括：云内虚拟转发设备可以在原报文前添加vxlan头部，用vxlan头部中的vni来区分不同租户，云内虚拟转发设备在vxlan头部前添加外层ip封装、外层以太封装，并根据外层封装的地址信息继续转发，其中，所述外层ip封装的源ip地址为进行vxlan封装的云内虚拟转发设备的地址，所述外层ip封装的目的ip地址为虚拟网关的地址。
126.本技术实施例提供的报文传输方法中，云内虚拟转发设备通过虚拟机通过虚拟私
有云内的交换机将租户的原始报文转发至与虚拟机归属于同一租户的云内虚拟转发设备，由于租户标识与云内虚拟转发设备到虚拟网关的转发隧道的标识之间存在关联关系，云内虚拟转发设备可以根据租户的标识确定到虚拟网关的转发隧道的标识，从而实现虚拟机到虚拟网关之间的流量的租户隔离，进而实现云侧网络到用户侧网络的流量基于承载网转发场景下的租户之间路由与数据的隔离，保障租户业务的机密性。此外，还可以将租户的标识和云内虚拟转发设备到虚拟网关的转发隧道的标识之间的映射关系储存在编排器中，方便统一编排管理。
127.本技术实施例提供一种报文传输方法，应用于用户侧的运营商边缘路由器，如图4所示，所述方法包括：
128.步骤s401，用户侧的运营商边缘路由器通过与云侧的运营商边缘路由器之间的第二隧道接收第二转发报文，并对所述第二转发报文进行解析，得到原始报文和所述第二隧道的标识；其中，第二隧道的标识由云侧的运营商边缘路由器根据所述云侧的运营商边缘路由器与虚拟网关之间的第一隧道的标识确定；
129.这里，所述第二隧道的标识可以用来识别原始报文所属的租户。在一些实施例中，所述第二隧道的标识可以包括用于表征所述原始报文所属租户的第一标识符和用于表征所述原始报文的目标用户边缘设备的第二标识符，这样，所述第二隧道的标识可以区分不同租户，并能解决不同租户的地址重叠问题。
130.步骤s402，所述用户侧的运营商边缘路由器根据所述第二隧道的标识确定目标用户边缘路由器的租户标识，并根据所述租户标识将所述原始报文转发至所述目标用户边缘路由器，以通过所述目标用户边缘路由器将所述原始报文转发至目标用户侧设备。
131.这里，目标用户边缘路由器可以根据所述原始报文的目的ip地址，将所述原始报文转发至目标用户侧设备。
132.在一些实施例中，在上述步骤s401之前，该方法还包括：
133.步骤s403，位于虚拟机与目标用户侧设备之间的云侧的运营商边缘路由器，通过与虚拟网关之间的第一隧道接收第一转发报文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
134.步骤s404，所述云侧的运营商边缘路由器根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
135.步骤s405，所述云侧的运营商边缘路由器通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备，其中，所述第二隧道的标识用于确定目标用户侧设备的租户标识。
136.这里，步骤s403至s405对应于前述步骤s101至s103，在实施时可以参照步骤s101至s103的具体实施方式，在此不再赘述。
137.本技术实施例提供的报文传输方法，云侧的运营商边缘路由器可以通过云侧的运营商边缘路由器到用户侧的运营商边缘路由器的转发隧道的标识，识别原始报文所属的租户，确定目标用户边缘路由器的租户标识。这样，可以实现云侧的运营商边缘路由器到用户侧的边缘路由器及用户侧设备之间的流量的租户隔离，进而实现云侧网络到用户侧网络的
流量基于承载网转发场景下的租户之间路由与数据的隔离，保障租户业务的机密性。
138.本技术实施例提供一种报文传输方法，如图5所示，所述方法应用于虚拟网关与云侧的运营商边缘路由器直连的场景，包括：
139.步骤s501，原始报文从虚拟机发出，源ip地址为虚拟机的ip地址，目的ip为用户侧设备的ip地址，经由虚拟私有云内的交换机转发至云内开源虚拟交换机或云内虚拟路由器；
140.步骤s502，云内开源虚拟交换机或云内虚拟路由器在原始报文前添加vxlan头部，用vxlan头部中的vni来区分不同租户，云内开源虚拟交换机或云内虚拟路由器在vxlan头部前添加外层ip封装(源ip地址为进行vxlan封装的云内开源虚拟交换机或云内虚拟路由器的地址，目的ip地址为虚拟网关的地址)、外层以太封装，并根据外层封装的地址信息继续转发封装后的报文；
141.步骤s503，封装后的报文转发至虚拟网关后，虚拟网关解除外层封装，并将内层ip报文通过vlan转发至云侧的运营商边缘路由器，虚拟网关与云侧运营商边缘路由器间通过以太网帧中的vlan id来识别不同租户；
142.步骤s504，云侧的运营商边缘路由器和物理网内的运营商边缘路由器之间为mpls-l3vpn网络；其中，云侧的运营商边缘路由器在报文中添加rt:rd以区分不同租户，解决不同租户的地址重叠问题；这里，物理网内的运营商边缘路由器为用户侧的运营商边缘路由器。
143.步骤s505，物理网内的运营商边缘路由器收到报文后根据rt值识别不同租户，并将报文转发给用户边缘设备，用户边缘设备根据报文的目的ip地址将报文转发至用户侧设备；
144.在一些实施例中，可以利用编排器储存云内开源虚拟交换机或云内虚拟路由器到虚拟网关的vxlan信息与虚拟网关到云侧的运营商边缘路由器的vlan信息。在实施时，可以包括：将云内开源虚拟交换机或云内虚拟路由器到虚拟网关的vxlan报文头部中的vni、虚拟网关到云侧的运营商边缘路由器之间报文的vlan id、云侧的运营商边缘路由器和物理网内的运营商边缘路由器之间的rt:rd与租户id关联起来，以识别租户信息。
145.本技术实施例提供的报文传输方法，在多租户场景下，将服务端报文中的标识符映射至转发端和客户端的转发隧道上，以实现不同租户之间路由与数据的隔离，从而解决数据中心内的流量转发至数据中心外的租户一致性及隔离问题，保障租户业务的机密性。此外，通过将vxlan报文中的vni、vlan报文中的vlan id、mpls报文中的rt:rd储存在编排器，可以方便统一编排管理。
146.本技术实施例提供一种报文传输方法，如图6所示，所述方法应用于虚拟网关与云侧的运营商边缘路由器直连的场景，包括：
147.步骤s601，原始报文从虚拟机发出，源ip地址为虚拟机的ip地址，目的ip为用户侧设备的ip地址，经由虚拟私有云内的交换机转发至云内开源虚拟交换机或云内虚拟路由器；
148.步骤s602，云内开源虚拟交换机或云内虚拟路由器在原始报文前添加vxlan头部，用vxlan头部中的vni来区分不同租户，云内开源虚拟交换机或云内虚拟路由器在vxlan头部前添加外层ip封装(源ip地址为进行vxlan封装的云内开源虚拟交换机或云内虚拟路由
器的地址，目的ip地址为虚拟网关的地址)、外层以太封装，并根据外层封装的地址信息继续转发封装后的报文；
149.步骤s603，封装后的报文转发至虚拟网关后，虚拟网对原有的vxlan报文解封装后，将内层ip报文重新进行vxlan封装，并在vxlan头部中使用新的vni来区分不同租户；
150.步骤s604，重新封装的vxlan报文经过防火墙，最终到达云侧的运营商边缘路由器；云侧的运营商边缘路由器将重新封装的vxlan报文解封装，并将内层ip报文通过mpls-l3vpn转发给物理网内的运营商边缘路由器，云侧的运营商边缘路由器在报文中添加rt:rd以区分不同租户；
151.步骤s605，物理网内的运营商边缘路由器收到报文后根据rt值识别不同租户，并将报文转发给用户边缘设备，用户边缘设备根据报文的目的ip地址将报文转发至用户侧设备；
152.在一些实施例中，可以利用编排器储存云内开源虚拟交换机或云内虚拟路由器到虚拟网关的vxlan信息与虚拟网关到云侧的运营商边缘路由器的vxlan信息。在实施时，可以包括：将云内开源虚拟交换机或云内虚拟路由器到虚拟网关的vxlan报文头部中的vni、虚拟网关到云侧的运营商边缘路由器之间报文的vni、云侧的运营商边缘路由器和物理网内的运营商边缘路由器之间的rt:rd与租户id关联起来，以识别租户信息。
153.本技术实施例提供的报文传输方法，针对当前方案未涉及的应用场景，将东西向流量映射技术应用于多租户场景，通过将服务端报文中的标识符映射至转发端和客户端的转发隧道上，主要解决多租户场景下，数据中心内的流量转发至数据中心外的租户一致性及隔离问题。此外，通过将vxlan报文中的vni、vlan报文中的vlan id、mpls报文中的rt:rd储存在编排器，可以方便统一编排管理。
154.本技术实施例提供一种网络系统，如图7a所示，所述系统包括：位于虚拟机与目标用户侧设备之间的虚拟网关710、云侧的运营商边缘路由器720和用户侧的运营商边缘路由器730；其中，
155.所述虚拟网关710，用于通过与所述云侧的运营商边缘路由器720之间的第一隧道向所述云侧的运营商边缘路由器720发送第一转发报文；
156.所述云侧的运营商边缘路由器720，用于：通过所述第一隧道接收第一转发报文，并对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器；
157.所述用户侧的运营商边缘路由器730，用于通过所述第二隧道接收第二转发报文，并根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备。
158.在一些实施例中，所述第一隧道为vlan隧道，所述第二隧道为mpls-l3vpn隧道；对应地，所述第一隧道的标识为vlan id，所述第二隧道的标识为rt:rd。
159.在一些实施例中，如图7b所示，所述虚拟网关710和所述云侧的运营商边缘路由器720之间接有防火墙740。对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述云侧的运营商边缘路由器720，还用于通过所述vxlan隧道，接收所述虚拟网关710经由所述防火墙740发送的所
述第一转发报文。
160.在一些实施例中，所述网络系统还包括：目标用户边缘路由器；
161.对应地，所述用户侧的运营商边缘路由器，还用于通过所述第二隧道接收所述第二转发报文，并对所述第二转发报文进行解析，得到所述原始报文和所述第二隧道的标识；根据所述第二隧道的标识确定目标用户边缘路由器，并将所述原始报文转发至所述目标用户边缘路由器；
162.所述目标用户边缘路由器，用于将所述原始报文转发至目标用户侧设备。
163.本技术实施例提供一种网络系统，如图8a所示，所述系统包括：位于虚拟机与目标用户侧设备之间的虚拟网关710、云侧的运营商边缘路由器720和用户侧的运营商边缘路由器730、云内虚拟转发设备750；其中，
164.所述云内虚拟转发设备750，用于通过与所述虚拟网关710之间的第三隧道向所述虚拟网关710发送第三转发报文；
165.所述虚拟网关710，用于通过所述第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和所述原始报文；根据所述第三隧道的标识确定所述第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到所述第一转发报文；通过与所述云侧的运营商边缘路由器720之间的第一隧道向所述云侧的运营商边缘路由器720发送第一转发报文；
166.所述云侧的运营商边缘路由器720，用于：通过所述第一隧道接收第一转发报文，并对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器；
167.所述用户侧的运营商边缘路由器730，用于通过所述第二隧道接收第二转发报文，并根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备。
168.在一些实施例中，所述第一隧道为vlan隧道，所述第一隧道的标识为vlan id；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为用于标识所述vxlan隧道的vni。
169.在一些实施例中，如图8b所示，所述虚拟网关710和所述云侧的运营商边缘路由器720之间接有防火墙740。对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为对应的vxlan隧道的vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为对应的vxlan隧道的vni；所述云侧的运营商边缘路由器720，还用于通过所述vxlan隧道，接收所述虚拟网关经由所述防火墙发送的所述第一转发报文；所述虚拟网关710，还用于通过所述第一隧道，将所述第一转发报文经由所述防火墙转发至所述云侧的运营商边缘路由器。
170.在一些实施例中，所述网络系统还包括：目标用户边缘路由器；
171.对应地，所述用户侧的运营商边缘路由器，还用于通过所述第二隧道接收所述第二转发报文，并对所述第二转发报文进行解析，得到所述原始报文和所述第二隧道的标识；根据所述第二隧道的标识确定目标用户边缘路由器，并将所述原始报文转发至所述目标用户边缘路由器；
172.所述目标用户边缘路由器，用于将所述原始报文转发至目标用户侧设备。
173.本技术实施例提供一种网络系统，如图9a所示，所述系统包括：位于虚拟机与目标用户侧设备之间的虚拟网关710、云侧的运营商边缘路由器720和用户侧的运营商边缘路由器730、云内虚拟转发设备750、虚拟机760；其中，
174.所述虚拟机760，用于通过虚拟私有云内的交换机将所述租户的原始报文转发至所述云内虚拟转发设备750；其中，所述虚拟机760和所述云内虚拟转发设备750具有相同的租户标识；
175.所述云内虚拟转发设备750，用于根据所述租户的标识确定所述第三隧道的标识，并根据所述第三隧道的预设协议对所述原始报文和所述第三隧道的标识进行封装，得到所述第三转发报文；通过与所述虚拟网关710之间的第三隧道向所述虚拟网关710发送第三转发报文；
176.所述虚拟网关710，用于通过所述第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和所述原始报文；根据所述第三隧道的标识确定所述第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到所述第一转发报文；通过与所述云侧的运营商边缘路由器720之间的第一隧道向所述云侧的运营商边缘路由器720发送第一转发报文；
177.所述云侧的运营商边缘路由器720，用于：通过所述第一隧道接收第一转发报文，并对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器；
178.所述用户侧的运营商边缘路由器730，用于通过所述第二隧道接收第二转发报文，并根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备。
179.在一些实施例中，如图9b所示，所述网络系统还包括：目标用户边缘路由器770；
180.对应地，所述用户侧的运营商边缘路由器730，还用于通过所述第二隧道接收所述第二转发报文，并对所述第二转发报文进行解析，得到所述原始报文和所述第二隧道的标识；根据所述第二隧道的标识确定目标用户边缘路由器770，并将所述原始报文转发至所述目标用户边缘路由器770；
181.所述目标用户边缘路由器770，用于将所述原始报文转发至目标用户侧设备770。
182.在一些实施例中，所述第一隧道为vlan隧道，所述第一隧道的标识为vlan id；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为用于标识所述vxlan隧道的vni。
183.在一些实施例中，如图9c所示，所述虚拟网关710和所述云侧的运营商边缘路由器720之间接有防火墙740。对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为对应的vxlan隧道的vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为对应的vxlan隧道的vni。
184.本技术实施例提供一种报文传输装置，如图10所示，所述报文传输装置800包括第一接收模块810、第一确定模块820和第一转发模块830，其中：
185.所述第一接收模块810，用于：通过与虚拟网关之间的第一隧道接收第一转发报
文，对所述第一转发报文进行解析，得到所述第一隧道的标识和原始报文；
186.所述第一确定模块820，用于：根据所述第一隧道的标识确定与用户侧的运营商边缘路由器之间的第二隧道的标识，根据所述第二隧道的预设协议对所述原始报文和所述第二隧道的标识进行封装，得到第二转发报文；
187.所述第一转发模块830，用于：通过所述第二隧道将所述第二转发报文转发给所述用户侧的运营商边缘路由器，以通过所述用户侧的运营商边缘路由器根据所述第二隧道的标识将所述原始报文发送给目标用户侧设备，其中，所述第二隧道的标识用于确定目标用户侧设备的租户标识。
188.在一些实施例中，所述第一隧道为vlan隧道；所述第二隧道为mpls-l3vpn隧道；对应地，所述第一隧道的标识为vlan id；所述第二隧道的标识为rt:rd。
189.在一些实施例中，所述虚拟网关和所述云侧的运营商边缘路由器之间接有防火墙；对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd。对应地，所述通过与虚拟网关之间的第一隧道接收第一转发报文，包括：通过所述vxlan隧道，接收所述虚拟网关经由所述防火墙发送的所述第一转发报文。
190.本技术实施例提供一种报文传输装置，如图11所示，所述报文传输装置900包括第二接收模块910、第二确定模块920和第二转发模块930，其中：
191.所述第二接收模块910，用于：通过与云内虚拟转发设备之间的第三隧道接收第三转发报文，并对所述第三转发报文进行解析，得到所述第三隧道的标识和原始报文；其中，所述第三隧道的标识由云内虚拟转发设备根据所述云内虚拟转发设备的租户标识确定；
192.所述第二确定模块920，用于：根据所述第三隧道的标识确定与云侧的运营商边缘路由器之间的第一隧道的标识，并根据所述第一隧道的预设协议对所述原始报文和所述第一隧道的标识进行封装，得到第一转发报文；
193.所述第二转发模块930，用于：通过所述第一隧道将所述第一转发报文转发至所述云侧的运营商边缘路由器，以通过所述云侧的运营商边缘路由器根据所述第一隧道的标识将所述原始报文发送给用户侧的运营商边缘路由器；其中，所述第一隧道的标识用于确定所述云侧的运营商边缘路由器与用户侧的运营商边缘路由器之间的第二隧道的标识。
194.在一些实施例中，所述第一隧道为vlan隧道，所述第一隧道的标识为vlan id；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为用于标识所述vxlan隧道的vni。
195.在一些实施例中，所述虚拟网关和所述第一运营商边缘路由器之间接有防火墙；对应地，所述第一隧道为vxlan隧道，所述第一隧道的标识为对应的vxlan隧道的vni；所述第二隧道为mpls-l3vpn隧道，所述第二隧道的标识为rt:rd；所述第三隧道为vxlan隧道，所述第三隧道的标识为对应的vxlan隧道的vni；所述第一运营商边缘路由器，还用于通过所述vxlan隧道，接收所述虚拟网关经由所述防火墙发送的所述第一转发报文；所述虚拟网关，还用于通过所述第一隧道，将所述第一转发报文经由所述防火墙转发至所述第一运营商边缘路由器。
196.本技术实施例提供一种报文传输装置，如图12所示，所述报文传输装置1000包括第三接收模块1010、第三确定模块1020和第三转发模块1030，其中：
197.所述第三接收模块1010，用于接收虚拟机通过虚拟私有云内的交换机转发的原始报文；
198.所述第三确定模块1020，用于：根据所述虚拟机的租户标识确定与虚拟网关之间的第三隧道的标识，并根据所述第三隧道的预设协议对所述原始报文和所述第三隧道的标识进行封装，得到第三转发报文；
199.所述第三转发模块1030，用于：通过所述第三隧道将所述第三转发报文转发至所述虚拟网关，以通过所述虚拟网关根据所述第三隧道的标识将所述原始报文发送给云侧的运营商边缘路由器；其中，所述第三隧道的标识用于确定所述虚拟网关与云侧的运营商边缘路由器之间的第一隧道的标识。
200.本技术实施例提供一种报文传输装置，如图13所示，所述报文传输装置1100包括第四接收模块1110、第四确定模块1120和第四转发模块1130，其中：
201.所述第四接收模块1110，用于：通过与云侧的运营商边缘路由器之间的第二隧道接收第二转发报文，并对所述第二转发报文进行解析，得到原始报文和所述第二隧道的标识；其中，第二隧道的标识由云侧的运营商边缘路由器根据所述云侧的运营商边缘路由器与虚拟网关之间的第一隧道的标识确定；
202.所述第四确定模块1120，用于根据所述第二隧道的标识确定目标用户边缘路由器的租户标识；
203.所述第四转发模块1130，用于根据所述租户标识将所述原始报文转发至所述目标用户边缘路由器，以通过所述目标用户边缘路由器将所述原始报文转发至目标用户侧设备。
204.以上网络系统及装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本技术网络系统及装置实施例中未披露的技术细节，请参照本技术方法实施例的描述而理解。
205.需要说明的是，本技术实施例中，如果以软件功能模块的形式实现上述的通信网络映射方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台网络设备执行本技术各个实施例所述方法的全部或部分。这里，网络设备可以包括但不限于路由设备、交换机设备、网关设备、虚拟路由器、虚拟交换机、虚拟网关设备等中的一种或多种。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本技术实施例不限制于任何特定的硬件和软件结合。
206.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本技术的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
207.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
208.在本技术所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
209.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
210.另外，在本技术各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
211.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。
212.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台网络设备执行本技术各个实施例所述方法的全部或部分。这里，网络设备可以包括但不限于路由设备、交换机设备、网关设备、虚拟路由器、虚拟交换机、虚拟网关设备等中的一种或多种。而前述的存储介质包括：移动存储设备、rom、磁碟或者光盘等各种可以存储程序代码的介质。
213.以上所述，仅为本技术的实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。