本發(fā)明涉及sdn(softwaredefinednetwork，軟件定義網(wǎng)絡(luò))網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入方法和系統(tǒng)。

背景技術(shù)：

目前sdn技術(shù)大多只支持虛擬機，或是部署了虛擬化操作系統(tǒng)的宿主機。但是很多應(yīng)用或平臺需要直接部署在物理服務(wù)器上，如高性能的計算集群、計算任務(wù)需要訪問無法虛擬化的硬件設(shè)備、數(shù)據(jù)庫主機(有些數(shù)據(jù)庫在hypervisor中運行效率很差，hypervisor是一種運行在物理服務(wù)器和操作系統(tǒng)之間的中間軟件層,可允許多個操作系統(tǒng)和應(yīng)用共享一套基礎(chǔ)物理硬件，因此也可以看作是虛擬環(huán)境中的“元”操作系統(tǒng)，它可以協(xié)調(diào)訪問服務(wù)器上的所有物理設(shè)備和虛擬機，也叫虛擬機監(jiān)視器)、單租戶、專用硬件、安全性、可靠性和其他控制要求、快速部署云基礎(chǔ)設(shè)施。如果物理服務(wù)器需要通過sdn接入vpc(私有網(wǎng)絡(luò))，一般通用的解決方案是在物理服務(wù)器集群的前段部署可編程的物理交換機。這種方式存在以下幾點不足：

1、硬件相關(guān)，每個廠家生產(chǎn)的交換機實現(xiàn)方法，通信指令不完全相同，且不同廠家使用各自的控制器進行管理，兼容性較差；

2、部署不夠靈活，物理服務(wù)器集群作為資源池中提供計算能力的部分，需要在云平臺統(tǒng)一管理下，自動的在物理機和虛擬方式間做轉(zhuǎn)換，而目前通用的解決方案需要人工干預(yù)。

技術(shù)實現(xiàn)要素：

為了克服現(xiàn)有技術(shù)的不足，本發(fā)明的目的之一在于提供基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入方法，其能使物理裸金屬服務(wù)器在虛擬網(wǎng)絡(luò)空間變得靈活，使不同租戶租用不同物理服務(wù)器時很方便實現(xiàn)網(wǎng)絡(luò)隔離，降低對物理硬件設(shè)備的依賴。

本發(fā)明的目的之二在于提供基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入系統(tǒng)，其能使物理裸金屬服務(wù)器在虛擬網(wǎng)絡(luò)空間變得靈活，使不同租戶租用不同物理服務(wù)器時很方便實現(xiàn)網(wǎng)絡(luò)隔離，降低對物理硬件設(shè)備的依賴。

本發(fā)明的目的之一采用以下技術(shù)方案實現(xiàn)：

一種基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入方法，應(yīng)用于云平臺，包括如下步驟：

s1：將物理服務(wù)器分為網(wǎng)絡(luò)節(jié)點和計算節(jié)點，在網(wǎng)絡(luò)節(jié)點上創(chuàng)建第一虛擬交換機、第二虛擬交換機和第三虛擬交換機，使第一虛擬交換機與第二虛擬交換機相互通信以及，第一虛擬交換機與第三虛擬交換機相互通信；

s2：接收租戶的選取信息，根據(jù)選取信息在相應(yīng)的計算節(jié)點中創(chuàng)建私用網(wǎng)絡(luò)并分配一虛擬局域網(wǎng)，使二層交換機與該計算節(jié)點連接的端口綁定所述虛擬局域網(wǎng)；

s3：給第二虛擬交換機設(shè)置所述虛擬局域網(wǎng)，將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)，并分配第三虛擬交換機一個虛擬可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)，使所述計算節(jié)點與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

優(yōu)選的，s1具體包括如下子步驟：

s11：選取物理服務(wù)器集群中任意至少一臺物理服務(wù)器為網(wǎng)絡(luò)節(jié)點，該物理服務(wù)集群中其他的物理服務(wù)器記為計算節(jié)點；

s12：在網(wǎng)絡(luò)節(jié)點上安裝操作系統(tǒng)以及部署虛擬交換機，使該網(wǎng)絡(luò)節(jié)點上形成第一虛擬交換機、第二虛擬交換機和第三虛擬交換機；

s13：創(chuàng)建虛擬網(wǎng)卡，使第一虛擬交換機與第二虛擬交換機通過虛擬網(wǎng)卡相互通信以及，第一虛擬交換機與第三虛擬交換機通過虛擬網(wǎng)卡相互通信。

優(yōu)選的，s12中在網(wǎng)絡(luò)節(jié)點上安裝的操作系統(tǒng)為linux操作系統(tǒng)。

優(yōu)選的，s2中，二層交換機與該計算節(jié)點連接的端口的工作模式為access模式。

優(yōu)選的，s3中，具體包括：

s31：給第二虛擬交換機添加一端口并將該端口綁定所述虛擬局域網(wǎng)；

s32：將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)；

s33：給第三虛擬交換機虛擬添加一端口并分配可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符至該端口，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)；

s34：建立一連接到虛擬可擴展局域網(wǎng)隧道端點的虛擬可擴展局域網(wǎng)隧道，并建立該虛擬可擴展局域網(wǎng)隧道的ip地址和虛擬可擴展局域網(wǎng)組播組，使所述計算節(jié)點通過虛擬可擴展局域網(wǎng)隧道與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

本發(fā)明的目的之二采用以下技術(shù)方案實現(xiàn)：

一種基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入系統(tǒng)，包括云平臺、控制器、二層交換機和物理服務(wù)器集群，所述物理服務(wù)器集群包括若干個物理服務(wù)器，云平臺通過控制器連接二層交換機，物理服務(wù)器連接二層交換機；所述云平臺用于依次通過控制器、二層交換機將物理服務(wù)器分為網(wǎng)絡(luò)節(jié)點和計算節(jié)點，在網(wǎng)絡(luò)節(jié)點上創(chuàng)建第一虛擬交換機、第二虛擬交換機和第三虛擬交換機，使第一虛擬交換機與第二虛擬交換機相互通信以及，第一虛擬交換機與第三虛擬交換機相互通信，并根據(jù)來自租戶的選取信息在相應(yīng)的計算節(jié)點中創(chuàng)建私用網(wǎng)絡(luò)并分配一虛擬局域網(wǎng)，使二層交換機與該計算節(jié)點連接的端口綁定所述虛擬局域網(wǎng)，之后給第二虛擬交換機設(shè)置所述虛擬局域網(wǎng)，將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)，并分配第三虛擬交換機一個虛擬可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)，使所述計算節(jié)點與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

優(yōu)選的，云平臺“將物理服務(wù)器分為網(wǎng)絡(luò)節(jié)點和計算節(jié)點，在網(wǎng)絡(luò)節(jié)點上創(chuàng)建第一虛擬交換機、第二虛擬交換機和第三虛擬交換機，使第一虛擬交換機與第二虛擬交換機相互通信以及，第一虛擬交換機與第三虛擬交換機相互通信”的具體步驟為：

sa：選取物理服務(wù)器集群中任意至少一臺物理服務(wù)器為網(wǎng)絡(luò)節(jié)點，該物理服務(wù)集群中其他的物理服務(wù)器記為計算節(jié)點；

sb：在網(wǎng)絡(luò)節(jié)點上安裝操作系統(tǒng)以及部署虛擬交換機，使該網(wǎng)絡(luò)節(jié)點上形成第一虛擬交換機、第二虛擬交換機和第三虛擬交換機；

sc：創(chuàng)建虛擬網(wǎng)卡，使第一虛擬交換機與第二虛擬交換機通過虛擬網(wǎng)卡相互通信以及，第一虛擬交換機與第三虛擬交換機通過虛擬網(wǎng)卡相互通信。

優(yōu)選的，sb中在網(wǎng)絡(luò)節(jié)點上安裝的操作系統(tǒng)為linux操作系統(tǒng)。

優(yōu)選的，二層交換機與該計算節(jié)點連接的端口的工作模式為access模式。

優(yōu)選的，云平臺“給第二虛擬交換機設(shè)置所述虛擬局域網(wǎng)，將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)，并分配第三虛擬交換機一個虛擬可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)，使所述計算節(jié)點與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信”的具體步驟包括：

sd：給第二虛擬交換機添加一端口并將該端口綁定所述虛擬局域網(wǎng)；

se：將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)；

sf：給第三虛擬交換機虛擬添加一端口并分配可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符至該端口，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)；

sg：建立一連接到虛擬可擴展局域網(wǎng)隧道端點的虛擬可擴展局域網(wǎng)隧道，并建立該虛擬可擴展局域網(wǎng)隧道的ip地址和虛擬可擴展局域網(wǎng)組播組，使所述計算節(jié)點通過虛擬可擴展局域網(wǎng)隧道與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

相比現(xiàn)有技術(shù)，本發(fā)明的有益效果在于：

本發(fā)明實現(xiàn)了使不同租戶租用的不同物理服務(wù)器方便的隔離，降低了裸金屬物理服務(wù)器加入軟件定義網(wǎng)絡(luò)對物理硬件設(shè)備的依賴，無需使用可編程的交換機。

附圖說明

圖1為物理資源分配圖；

圖2為本發(fā)明的系統(tǒng)架構(gòu)圖；

圖3為本發(fā)明的基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入方法的流程圖。

具體實施方式

下面，結(jié)合附圖以及具體實施方式，對本發(fā)明做進一步描述：

本發(fā)明提供一種基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入方法，私用網(wǎng)絡(luò)也稱為私有網(wǎng)絡(luò)，由云平臺進行控制管理，如圖1所示，物理資源可以是硬件的物理服務(wù)器，或者是虛擬機對應(yīng)的宿主機，物理服務(wù)器和宿主機都通過二層交換機與sdn控制器連接，sdn控制器傳達云平臺的管控命令。本發(fā)明提供的私用網(wǎng)絡(luò)接入方法以物理服務(wù)為物理資源進行介紹，eth是以太網(wǎng)接口，圖2中的eht1的1表示序號，如果同一個設(shè)備上有多個以太網(wǎng)接口則用eth1、eth2……這種表示方式。eth連接物理服務(wù)器表示物理接口，連接虛擬機則表示虛擬接口，結(jié)合圖2和圖3，包括如下步驟：

s1：將物理服務(wù)器分為網(wǎng)絡(luò)節(jié)點和計算節(jié)點，在網(wǎng)絡(luò)節(jié)點上創(chuàng)建第一虛擬交換機、第二虛擬交換機和第三虛擬交換機，使第一虛擬交換機與第二虛擬交換機相互通信以及，第一虛擬交換機與第三虛擬交換機相互通信；

本步驟屬于網(wǎng)絡(luò)節(jié)點的初始化過程，具體為：

s11：選取物理服務(wù)器集群中任意至少一臺物理服務(wù)器為網(wǎng)絡(luò)節(jié)點，該物理服務(wù)集群中其他的物理服務(wù)器記為計算節(jié)點；如圖2中物理服務(wù)器1作為網(wǎng)絡(luò)節(jié)點；

本發(fā)明的網(wǎng)絡(luò)節(jié)點為分布式，也就是物理服務(wù)器集群中可能不止一個網(wǎng)絡(luò)節(jié)點，避免了單點故障問題，實現(xiàn)網(wǎng)絡(luò)的高可靠性。計算節(jié)點提供裸金屬計算能力。

s12：在網(wǎng)絡(luò)節(jié)點上安裝操作系統(tǒng)以及部署虛擬交換機，使該網(wǎng)絡(luò)節(jié)點上形成第一虛擬交換機、第二虛擬交換機和第三虛擬交換機；第一虛擬交換機、第二虛擬交換機、第三虛擬交換機分別對應(yīng)為圖2中的br-int、br-eth1、br-tun三個虛擬交換機；

s13：創(chuàng)建虛擬網(wǎng)卡，使第一虛擬交換機與第二虛擬交換機通過虛擬網(wǎng)卡相互通信以及，第一虛擬交換機與第三虛擬交換機通過虛擬網(wǎng)卡相互通信。

s2：接收租戶的選取信息，根據(jù)選取信息在相應(yīng)的計算節(jié)點中創(chuàng)建私用網(wǎng)絡(luò)并分配一虛擬局域網(wǎng)，使二層交換機與該計算節(jié)點連接的端口綁定所述虛擬局域網(wǎng)；在圖2中，物理服務(wù)器2是租戶選中作為提供裸金屬計算功能的計算節(jié)點；

s3：給第二虛擬交換機設(shè)置所述虛擬局域網(wǎng)，將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)，并分配第三虛擬交換機虛擬可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)，使所述計算節(jié)點與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

s2和s3屬于租戶創(chuàng)建私有網(wǎng)絡(luò)并管理所屬的裸金屬服務(wù)器(計算節(jié)點)的過程。租戶可自由租用，在圖2中，物理服務(wù)器2為租戶租用的作為裸金屬服務(wù)器提供計算資源的計算節(jié)點，創(chuàng)建了一個私用網(wǎng)絡(luò)，云平臺分配給該計算節(jié)點一虛擬局域網(wǎng)vlan-n。將二層交換機與計算節(jié)點的端口綁定該vlan-n。

s3中，具體包括：

s31：給第二虛擬交換機添加一端口并將該端口綁定所述虛擬局域網(wǎng)；

s32：將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)；

s33：給第三虛擬交換機虛擬添加一端口并分配可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符至該端口，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)；

s34：建立一連接到虛擬可擴展局域網(wǎng)隧道端點的虛擬可擴展局域網(wǎng)隧道，并建立該虛擬可擴展局域網(wǎng)隧道的ip地址和虛擬可擴展局域網(wǎng)組播組，使所述計算節(jié)點通過虛擬可擴展局域網(wǎng)隧道與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

在網(wǎng)絡(luò)節(jié)點的第二虛擬交換機br-eth1上添加一個內(nèi)網(wǎng)端口并設(shè)置內(nèi)網(wǎng)vlan-n，租戶的網(wǎng)絡(luò)模式設(shè)置為vxlan模式，在網(wǎng)絡(luò)節(jié)點的第三虛擬交換機br-tun上添加一個端口，分配一個可以的網(wǎng)絡(luò)標識符vni-n，建立vxlan隧道使用的ip地址和vxlan組播組，通過vxlan隧道連接到遠端vtep(vxlan隧道的端點)。物理服務(wù)器2接入到租戶私用網(wǎng)絡(luò)和相應(yīng)的虛擬機中。不同的租戶通過不同的vlan，vxlan，實現(xiàn)裸金屬服務(wù)器之間網(wǎng)絡(luò)的二層隔離，實現(xiàn)網(wǎng)絡(luò)的訪問的安全隔離。

二層交換機為普通的邏輯鏈路層的交換機，只需具備以太網(wǎng)幀交換能力以及802.1q協(xié)議vlantag的封裝，不需要具備支持vxlan或openflow等可編程能力。網(wǎng)絡(luò)節(jié)點和計算節(jié)點可以根據(jù)云平臺的管理選擇任意的物理服務(wù)器進行部署。網(wǎng)絡(luò)節(jié)點上可以部署運行虛擬機，同時提供網(wǎng)絡(luò)和計算能力。

本發(fā)明云平臺通過bmcipmi等接口管理物理服務(wù)器集群，物理服務(wù)器使用pxe的方式自動安裝系統(tǒng)；云平臺推舉該物理服務(wù)器集群中的一臺服務(wù)器作為集群的虛擬網(wǎng)關(guān)；通過pxe安裝操作系統(tǒng)和部署虛擬交換機如openvswtich；控制器下發(fā)管理配置到接入交換機，將分配給租戶物理服務(wù)器對接的交換機端口劃分到一個單獨的vlan，并且透傳到選舉出來的網(wǎng)關(guān)；準許該vlan的分組，將流量引到虛擬網(wǎng)關(guān)上；虛擬網(wǎng)關(guān)上的虛擬交換機，通過自動化的配置可以將租戶的vlan和vxlanvni關(guān)聯(lián)?？刂破飨掳l(fā)流表到虛擬交換機，分配給租戶的物理服務(wù)器就能夠與該vxlanvni的主機或虛擬機通信，實現(xiàn)物理服務(wù)器接入到無狀態(tài)網(wǎng)絡(luò)的vpc環(huán)境和虛擬化網(wǎng)絡(luò)；分配給不同的租戶的物理服務(wù)器，歸屬不同的vxlan，ip地址空間可復(fù)用，實現(xiàn)租戶間的網(wǎng)絡(luò)安全隔離；整個過程由云平臺進行自動化部署控制。

對應(yīng)基于虛擬交換機和sdn技術(shù)的私用網(wǎng)絡(luò)接入方法，本發(fā)明還提供私用網(wǎng)絡(luò)接入系統(tǒng)，包括云平臺、控制器、二層交換機和物理服務(wù)器集群，所述物理服務(wù)器集群包括若干個物理服務(wù)器，云平臺通過控制器連接二層交換機，物理服務(wù)器連接二層交換機；所述云平臺用于依次通過控制器、二層交換機將物理服務(wù)器分為網(wǎng)絡(luò)節(jié)點和計算節(jié)點，在網(wǎng)絡(luò)節(jié)點上創(chuàng)建第一虛擬交換機、第二虛擬交換機和第三虛擬交換機，使第一虛擬交換機與第二虛擬交換機相互通信以及，第一虛擬交換機與第三虛擬交換機相互通信，并根據(jù)來自租戶的選取信息在相應(yīng)的計算節(jié)點中創(chuàng)建私用網(wǎng)絡(luò)并分配一虛擬局域網(wǎng)，使二層交換機與該計算節(jié)點連接的端口綁定所述虛擬局域網(wǎng)，之后給第二虛擬交換機設(shè)置所述虛擬局域網(wǎng)，將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)，并分配第三虛擬交換機虛擬可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)，使所述計算節(jié)點與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。二層交換機與該計算節(jié)點連接的端口的工作模式為access模式。

相應(yīng)的，云平臺“將物理服務(wù)器分為網(wǎng)絡(luò)節(jié)點和計算節(jié)點，在網(wǎng)絡(luò)節(jié)點上創(chuàng)建第一虛擬交換機、第二虛擬交換機和第三虛擬交換機，使第一虛擬交換機與第二虛擬交換機相互通信以及，第一虛擬交換機與第三虛擬交換機相互通信”的具體步驟為：

sa：選取物理服務(wù)器集群中任意至少一臺物理服務(wù)器為網(wǎng)絡(luò)節(jié)點，該物理服務(wù)集群中其他的物理服務(wù)器記為計算節(jié)點；

sb：在網(wǎng)絡(luò)節(jié)點上安裝操作系統(tǒng)以及部署虛擬交換機，使該網(wǎng)絡(luò)節(jié)點上形成第一虛擬交換機、第二虛擬交換機和第三虛擬交換機；操作系統(tǒng)為linux操作系統(tǒng)。

sc：創(chuàng)建虛擬網(wǎng)卡，使第一虛擬交換機與第二虛擬交換機通過虛擬網(wǎng)卡相互通信以及，第一虛擬交換機與第三虛擬交換機通過虛擬網(wǎng)卡相互通信。

云平臺“給第二虛擬交換機設(shè)置所述虛擬局域網(wǎng)，將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)，并分配第三虛擬交換機虛擬可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)，使所述計算節(jié)點與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信”的具體步驟包括：

sd：給第二虛擬交換機添加一端口并將該端口綁定所述虛擬局域網(wǎng)；

se：將所述租戶的網(wǎng)絡(luò)模式設(shè)置為虛擬可擴展局域網(wǎng)；

sf：給第三虛擬交換機虛擬添加一端口并分配可擴展局域網(wǎng)的網(wǎng)絡(luò)標識符至該端口，該網(wǎng)絡(luò)標識符與所述虛擬局域網(wǎng)關(guān)聯(lián)；

sg：建立一連接到虛擬可擴展局域網(wǎng)隧道端點的虛擬可擴展局域網(wǎng)隧道，并建立該虛擬可擴展局域網(wǎng)隧道的ip地址和虛擬可擴展局域網(wǎng)組播組，使所述計算節(jié)點通過虛擬可擴展局域網(wǎng)隧道與該網(wǎng)絡(luò)標識符對應(yīng)主機或虛擬機通信。

本發(fā)明通過上述部署，使得在云計算的環(huán)境中，物理裸金屬服務(wù)器的虛擬網(wǎng)絡(luò)空間變得靈活，可根據(jù)租戶的需求隨時創(chuàng)建與刪除，可以靈活地關(guān)聯(lián)裸金屬服務(wù)器和虛擬網(wǎng)絡(luò)空間；可以使不同租戶租用的不同物理服務(wù)器很方便的實現(xiàn)網(wǎng)絡(luò)的隔離，降低了裸金屬物理服務(wù)器加入軟件定義網(wǎng)絡(luò)對物理硬件設(shè)備的依賴，無需使用可編程的交換機。

對本領(lǐng)域的技術(shù)人員來說，可根據(jù)以上描述的技術(shù)方案以及構(gòu)思，做出其它各種相應(yīng)的改變以及形變，而所有的這些改變以及形變都應(yīng)該屬于本發(fā)明權(quán)利要求的保護范圍之內(nèi)。