CN104935594A - 基于虚拟可扩展局域网隧道的报文处理方法及装置 - Google Patents
基于虚拟可扩展局域网隧道的报文处理方法及装置 Download PDFInfo
- Publication number
- CN104935594A CN104935594A CN201510333893.6A CN201510333893A CN104935594A CN 104935594 A CN104935594 A CN 104935594A CN 201510333893 A CN201510333893 A CN 201510333893A CN 104935594 A CN104935594 A CN 104935594A
- Authority
- CN
- China
- Prior art keywords
- message
- tunnel
- port
- vxlan
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于虚拟可扩展局域网VXLAN隧道的报文处理方法及装置。该报文处理方法应用于创建VXLAN隧道的两个交换机上,包括:创建VXLAN隧道后,向控制器上报各自的端口状态消息,端口状态消息中携带有隧道信息,隧道信息中包含加密能力信息,以使控制器在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向两个交换机返回携带有加密信息的端口修改消息;以及接收端口修改消息,从端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理。本申请实施例,可避免用户在VTEP上的静态配置工作,实现了控制器对隧道上用户报文的灵活加密控制。
Description
技术领域
本申请涉及通信技术,尤其涉及一种基于虚拟可扩展局域网VXLAN隧道的报文处理方法及装置。
背景技术
随着网络技术的快速发展,一种新型的网络架构软件定义网络(SoftwareDefined Network,SDN)应运而生,其核心思想是将网络设备的控制层面与转发层面分离,从而实现对网络流量的灵活控制。
在SDN网络中,开放流(Openflow)交换机之间采用虚拟隧道互联,虚拟隧道由虚拟可扩展局域网(Virtual eXtensible Local Area Network,VXLAN)维护,控制器不需要对网络拓扑进行计算,也无需关注设备之间隧道的转发路径和状态。当主机之间需要通过VXLAN网络时,控制器指定转发流表中的动作项,报文将通过封装隧道进入VXLAN网络中,之后根据隧道头在VXLAN网络中转发,到达目的Openflow交换机后弹掉VXLAN隧道头,并根据用户报文的目的介质访问控制(MAC)地址转发到用户侧。
目前,VXLAN隧道终端(VXLAN Tunneling End Point,VTEP)可以根据静态配置的加密算法对进入公网的用户报文进行加密,也可以在接收到公网侧的VXLAN数据帧后,根据静态配置的加密算法对数据帧进行解密恢复。
但是,目前对报文的加解密只能由用户在VTEP上静态配置,当VXLAN隧道比较多时,每个VTEP设备需要对多个VXLAN隧道进行加密配置,例如,有3个VTEP设备,每个VTEP设备上有1000个VXLAN隧道,那么在每个VTEP设备上都要配置1000次,配置复杂,不利于SDN的整网部署及对隧道上用户报文的加密控制。
发明内容
有鉴于此,本申请提供一种基于VXLAN隧道的报文处理方法及装置。
具体地,本申请是通过如下技术方案实现的:
根据本发明实施例的第一方面,提供一种基于虚拟可扩展局域网VXLAN隧道的报文处理方法,所述方法应用于创建所述VXLAN隧道的两个交换机上,所述方法包括:
创建所述VXLAN隧道后,向控制器上报各自的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息,以使所述控制器在确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向所述两个交换机返回携带有加密信息的端口修改消息;以及
接收所述端口修改消息,从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
根据本发明实施例的第二方面,提供一种基于虚拟可扩展局域网VXLAN隧道的报文处理方法,所述方法应用于软件定义网络SDN中的控制器上,所述方法包括:
接收创建所述VXLAN隧道的两个交换机上报的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息;
若确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同,则向所述两个交换机返回携带有加密信息的端口修改消息,以使所述两个交换机从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
根据本发明实施例的第三方面,提供一种基于虚拟可扩展局域网VXLAN隧道的报文处理装置,所述装置应用于创建所述VXLAN隧道的两个交换机上,所述装置包括:
上报模块,用于在创建所述VXLAN隧道后,向控制器上报各自的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息,以使所述控制器在确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,返回携带有加密信息的端口修改消息;以及
处理模块,用于接收所述端口修改消息,从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
根据本发明实施例的第四方面,提供一种基于虚拟可扩展局域网VXLAN隧道的报文处理装置,所述装置应用于SDN中的控制器上,所述装置包括:
接收模块,用于接收创建所述VXLAN隧道的两个交换机上报的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息;
返回模块,用于若确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同,则向所述两个交换机返回携带有加密信息的端口修改消息,以使所述两个交换机从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
在本申请实施例中,创建VXLAN隧道的两个交换机通过向控制器上报各自的端口状态消息,使得控制器在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向这两个交换机返回携带有加密信息的端口修改消息;通过从接收的端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理,避免了用户在VTEP上的静态配置工作,实现了控制器对隧道上用户报文的灵活加密控制,有利于SDN的整网部署。
附图说明
图1是本申请一示例性实施例示出的一种基于VXLAN隧道的报文处理方法的流程图;
图2是本申请一示例性实施例示出的另一种基于VXLAN隧道的报文处理方法的流程图;
图3是本申请一示例性实施例示出的一种基于VXLAN隧道的报文处理方法的信令流程图;
图4是本申请一示例性实施例示出的一种SDN网络的架构示意图;
图5是本申请基于VXLAN隧道的报文处理装置所在交换机的一种硬件结构图;
图6是本申请一示例性实施例示出的一种基于VXLAN隧道的报文处理装置的框图;
图7是本申请基于VXLAN隧道的报文处理装置所在控制器的一种硬件结构图;
图8是本申请一示例性实施例示出的另一种基于VXLAN隧道的报文处理装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在本申请实施例中,SDN网络中的交换机例如Openflow交换机可以将隧道信息及时上报至控制器,并由控制器根据隧道信息对隧道上传输的报文进行加密控制,避免了用户的静态配置工作,实现了控制器对隧道承载业务加密的完全控制。下面结合具体实施例对本申请的实现过程进行详细描述。
图1是本申请一示例性实施例示出的一种基于VXLAN隧道的报文处理方法的流程图,该实施例从创建VXLAN隧道的两个交换机侧进行描述。如图1所示,该基于VXLAN隧道的报文处理方法包括:
步骤S101,创建VXLAN隧道后,向控制器上报各自的端口状态消息,其中,端口状态消息中携带有隧道信息,隧道信息中包含是否支持加密的信息,以使控制器在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向两个交换机返回携带有加密信息的端口修改消息。
在该实施例中,假定交换机1和交换机2通过VXLAN网络创建VXLAN隧道,假定创建的VXLAN隧道为VXLAN隧道1,则交换机1和交换机2在创建VXLAN隧道1后,向控制器上报各自的包含隧道信息的端口状态消息,其中,隧道信息中包含隧道源地址、隧道目的地址和加密能力信息等,其中,加密能力信息可以用于表示交换机是否支持加密,以及支持加密时的加密算法等。
另外,若交换机1和交换机2还创建了其他隧道例如VXLAN隧道2,则交换机1和交换机2在创建VXLAN隧道2后,也向控制器上报各自的包含隧道信息的端口状态消息。
需要说明的是,此处的VXLAN隧道1和VXLAN隧道2仅为示例,本实施例并不对隧道的名称和数量进行限制。
在该实施例中,交换机可以将隧道信息以逻辑端口的形式上报至控制器,为了实现这一功能,需要对现有的端口状态消息(Port Status Message)进行扩展,即在端口状态消息中携带有用于表示该消息的端口是VXLAN隧道逻辑端口的端口类型,同时在该端口状态消息中携带隧道源地址、隧道目的地址和加密能力信息。
在该实施例中,控制器在接收到两个交换机上报的端口状态消息后,判断两个交换机上报的端口状态消息中携带的隧道信息是否一致,若二者一致,例如,交换机1上报的隧道信息中隧道源地址为交换机2的隧道目的地址,交换机1的隧道目的地址为交换机2的隧道源地址,且两个交换机的隧道支持的加密算法至少部分相同,则控制器可以从交换机1和交换机2的加密能力信息的交集中选择加密信息,该加密信息可以包括二者都支持的一个加密算法和对应的密钥、密匙,并通过端口修改消息(Port Modification Message)将加密信息送给隧道两端的交换机。
由于控制器是通过端口修改消息将隧道逻辑端口的加密信息下发到交换机,所以需要对该端口修改消息进行扩展,以表示对应消息的端口(即当前端口)为隧道逻辑端口,同时,该端口修改消息中可携带隧道逻辑端口的加密信息。
需要说明的是,控制器在部署隧道上的加密操作时,是按照隧道逻辑端口来进行的,相同的两个交换机之间存在多个不同的隧道时,这些隧道可以按照需要进行部署,包括是否支持隧道加密、加密算法可以相同,也可以不同。但为了对不同隧道进行灵活的控制,可以采用不同的加密算法。
例如,以交换机1和交换机2创建了VXLAN隧道1和VXLAN隧道2为例进行说明,假设这两个隧道都有加密需求,控制器在接收交换机1和交换机2上报的端口状态消息后,可以从端口状态消息中解析出交换机1和交换机2的加密能力信息,并从交换机1和交换机2的加密能力信息的交集中获得二者都支持的加密算法,假设二者支持的加密算法至少部分相同算法1和加密算法2,然后可以随机地或顺序地为VXLAN隧道1分配加密算法1,为VXLAN隧道2分配加密算法2,并在对应的端口状态消息中携带有加密算法名称,以使交换机1和交换机2可以采用不同的加密算法对不同的VXLAN隧道进行加密。
步骤S102,接收端口修改消息,从端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理。
在该实施例中,交换机在接收到端口修改消息后,从端口修改消息中解析出加密信息,并保存该加密信息,然后设置隧道的转发表,使得所有进入该隧道的报文按照对应的加密算法和密钥进行加密,同时出隧道的报文也会按照对应的加密算法和密匙进行解密,以恢复用户报文,之后再转发该用户报文。
上述基于VXLAN隧道的报文处理方法,创建VXLAN隧道的两个交换机通过向控制器上报各自的端口状态消息,使得控制器在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向这两个交换机返回携带有加密信息的端口修改消息;通过从接收的端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理,避免了用户在VTEP上的静态配置工作,实现了控制器对隧道上用户报文的灵活加密控制,有利于SDN的整网部署。
图2是本申请一示例性实施例示出的另一种基于VXLAN隧道的报文处理方法的流程图,该实施例从控制器侧进行描述,如图2所示,基于VXLAN隧道的报文处理方法包括:
步骤S201,接收创建VXLAN隧道的两个交换机上报的端口状态消息,其中,端口状态消息中携带有隧道信息,隧道信息中包含加密能力信息。
在该实施例中,两个交换机在创建好VXLAN隧道后,均会向控制器上报自己的端口状态消息,其中,端口状态消息中携带有隧道信息,隧道信息中包含隧道源地址、隧道目的地址和加密能力信息等,其中,加密能力信息可以用于表示交换机是否支持加密,以及支持加密时的加密算法等。
在该实施例中,交换机可以将隧道信息以逻辑端口的形式上报至控制器,为了实现这一功能,需要对现有的端口状态消息进行扩展,具体的实现细节参见图1所示实施例的相关部分,此处不赘述。
步骤S202,若确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同,则向两个交换机返回携带有加密信息的端口修改消息,以使两个交换机从端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理。
控制器在接收到两个交换机上报的端口状态消息后,判断两个交换机上报的端口状态消息中携带的隧道信息是否一致,若二者一致(例如,假定创建VXLAN隧道的两个交换机分别为交换机1和交换机2,若交换机1上报的隧道信息中隧道源地址为交换机2的隧道目的地址,交换机1的隧道目的地址为交换机2的隧道源地址,且两个交换机的隧道支持的加密算法至少部分相同,则二者携带的隧道信息一致),则控制器可以对交换机的隧道逻辑端口进行加密控制,即分别为两个端口分配加密信息,该加密信息包括加密算法和对应的密钥、密匙,并通过端口修改消息(Port Modification Message)将加密信息送给两个交换机。
为了使控制器可以通过端口修改消息将加密信息下发到交换机,需要对该端口修改消息进行扩展以携带加密信息,具体的实现细节参见图1所示实施例的相关部分,此处不赘述。
需要说明的是,控制器在部署隧道上的加密操作时,是按照隧道逻辑端口来进行的,相同的两个交换机之间存在多个不同的隧道时,这些隧道可以按照需要进行部署,包括是否支持隧道加密、加密算法可以相同,也可以不同。但为了对不同隧道进行灵活的控制,可以采用不同的加密算法。
例如,以交换机1和交换机2创建了VXLAN隧道1和VXLAN隧道2为例进行说明,假设这两个隧道都有加密需求,则控制器在确认两个交换机上报的隧道信息一致的情况下,可以为两个隧道分配不同的加密算法,从而更好地保证报文的安全性。
具体地,控制器在接收交换机1和交换机2上报的端口状态消息后,从端口状态消息中解析出交换机1和交换机2的加密能力信息,并从交换机1和交换机2的加密能力信息的交集中获得二者都支持的加密算法,假设二者支持的加密算法至少部分相同算法1和加密算法2,然后可以随机地或顺序地为VXLAN隧道1分配加密算法1,为VXLAN隧道2分配加密算法2,并在对应的端口状态消息中携带有加密算法名称,以使交换机1和交换机2可以采用不同的加密算法对不同的VXLAN隧道进行加密。
上述基于VXLAN隧道的报文处理方法,通过接收创建VXLAN隧道的两个交换机上报的各自的端口状态消息,并在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向这两个交换机返回携带有加密信息的端口修改消息,以使两个交换机从接收的端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理,避免了用户在VTEP上的静态配置工作,实现了控制器对隧道上用户报文的灵活加密控制,有利于SDN的整网部署。
图3是本申请一示例性实施例示出的一种基于VXLAN隧道的报文处理方法的信令流程图,图4是本申请一示例性实施例示出的一种SDN网络的架构示意图,图3所示实施例以图4所示网络架构为例进行描述。
在如图4所示的SDN网络中,SW1、SW2和SW3都是Openflow交换机,三者通过VXLAN网络互联,SW设备也是VXLAN网络中的VTEP设备。假设,SW1和SW2之间存在两个VXLAN隧道,其中一个隧道上承载的是用户私密数据,即有加密发送的需求,则基于VXLAN隧道的报文处理过程如图3所示,该实施例从SW1、SW2和控制器交互的角度进行描述的,该过程包括:
步骤S301,SW1和SW2在VXLAN网络中创建VXLAN隧道。
假设,SW1和SW2所创建的隧道包括:VXLAN隧道1和VXLAN隧道2,其中,VXLAN隧道1存在加密发送的需求。
步骤S302,SW1向控制器上报端口状态消息,以通告控制器存在加密发送需求的VXLAN隧道的逻辑端口。
在该实施例中,SW1通告控制器VXLAN隧道1的逻辑端口,其中,VXLAN隧道1的逻辑端口包括隧道逻辑端口、源地址、目的地址和支持加密的属性信息。
步骤S303,SW2向控制器上报端口状态消息,以通告控制器存在加密发送需求的VXLAN隧道的逻辑端口。
同样地,SW2也会通告控制器VXLAN隧道1的逻辑端口,其中,VXLAN隧道1的逻辑端口包括隧道逻辑端口、源地址、目的地址和支持加密的属性信息。需要指出的是,二者的隧道地址是对应的,即SW1上VXLAN隧道1的源地址等于SW2上VXLAN隧道1的目的地址,SW1上VXLAN隧道1的目的地址等于SW2上VXLAN隧道1的源地址,二者支持相同的加密算法。
步骤S304,控制器接收到两个端口状态消息后,检查两个逻辑端口信息是否一致,若一致,则向SW1和SW2发送端口修改消息(Port ModificationMessage),该端口修改消息中携带有加密信息。
当然,若两个隧道的逻辑端口信息不一致,则不会发送包含加密信息的端口修改信息,从而无法对对应隧道上的数据进行加密。
其中,加密信息可包括加密算法、密钥和密匙。
步骤S305,SW1和SW2接收并解析该端口修改消息,从中提取出加密信息,更新本地的隧道转发表,增加隧道的加密功能。
步骤S306,SW1和SW2使用VXLAN隧道1转发用户报文时,对该用户报文进行加密,并发送加密后的报文。
步骤S307,从VXLAN隧道1接收用户报文时,对用户报文进行解密。
具体地,转发用户报文时,可以采用上述加密算法和密钥对用户报文进行加密,接收用户报文时,可以用上述加密算法和密匙对用户报文进行解密。
与此同时,由于SW1和SW2之间的另外一个隧道即VXLAN隧道2不存在加密传输需求,故SW1和SW2可以选择不上报该隧道的逻辑端口,控制器也不会感知该隧道逻辑端口的存在,当然,也就不会在这个隧道上部署加密操作。
通过上述步骤S301-S306,实现了控制器对Openflow交换机之间VXLAN隧道上的数据的加密操作,从而达到了对VXLAN隧道传输的安全控制。
另外,需要说明的是,若SW1和SW2之间还存在另外一个隧道假设为VXLAN隧道3,且VXLAN隧道3也存在加密传输需求,则控制器在接收到SW1和SW2上报的端口状态消息,且根据上述端口状态消息确认二者的逻辑端口信息一致后,同样会向SW1和SW2返回加密信息,但是,这次返回的加密信息可以和上次返回的加密信息相同,也可以不同,即两个隧道可以采用相同的加密策略,也可以采用不同的加密策略,从而达到对隧道传输的灵活控制。
与前述基于VXLAN隧道的报文处理方法的实施例相对应,本申请还提供了基于VXLAN隧道的报文处理装置的实施例。
本申请基于VXLAN隧道的报文处理装置的实施例可以应用在交换机上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在交换机的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,是本申请基于VXLAN隧道的报文处理装置所在交换机的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的交换机通常根据其实际功能,还可以包括其他硬件,对此不再赘述。
图6是本申请一示例性实施例示出的一种基于VXLAN隧道的报文处理装置的框图,该装置可应用于创建VXLAN隧道的两个交换机上,如图6所示,该基于VXLAN隧道的报文处理装置包括上报模块61和处理模块62,其中:
上报模块61用于在创建VXLAN隧道后,向控制器上报各自的端口状态消息,其中,端口状态消息中携带有隧道信息,隧道信息中包含加密能力信息,以使控制器在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,返回携带有加密信息的端口修改消息;处理模块62用于接收端口修改消息,从端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理。
在该实施例中,上报模块可以将隧道信息以逻辑端口的形式上报至控制器,为了实现这一功能,需要对现有的端口状态消息(Port Status Message)进行扩展,即在端口状态消息中携带有用于表示该消息的端口是VXLAN隧道逻辑端口的端口类型,同时在该端口状态消息中携带隧道源地址、隧道目的地址和加密能力信息,其中,加密能力信息可以用于表示交换机是否支持加密,以及支持加密时的加密算法等。
在该实施例中,控制器是通过端口修改消息将隧道逻辑端口的加密信息下发到交换机,所以需要对该端口修改消息进行扩展,以表示对应消息的端口(即当前端口)为隧道逻辑端口,同时,该端口修改消息中可携带隧道逻辑端口的加密信息,其中,加密信息包括加密算法、密钥和密匙,修改后的端口修改消息结构体定义可参见方法实施例的相关部分,此处不赘述。
需要说明的是,控制器在部署隧道上的加密操作时,是按照隧道逻辑端口来进行的,相同的两个交换机之间存在多个不同的隧道时,这些隧道可以按照需要进行部署,包括是否支持隧道加密、加密算法可以相同,也可以不同。但为了对不同隧道进行灵活的控制,可以采用不同的加密算法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述基于VXLAN隧道的报文处理装置,通过上报模块向控制器上报各自的端口状态消息,使得控制器在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,返回携带有加密信息的端口修改消息;通过处理模块从接收的端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理,避免了用户在VTEP上的静态配置工作,实现了控制器对隧道上用户报文的灵活加密控制,有利于SDN的整网部署。
与前述基于VXLAN隧道的报文处理方法的实施例相对应,本申请还提供了基于VXLAN隧道的报文处理装置的实施例。
本申请基于VXLAN隧道的报文处理装置的实施例可以应用在控制器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在控制器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图7所示,是本申请基于VXLAN隧道的报文处理装置所在控制器的一种硬件结构图,除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的控制器通常根据其实际功能,还可以包括其他硬件,对此不再赘述。
图8是本申请一示例性实施例示出的另一种基于VXLAN隧道的报文处理装置的框图,该装置可应用于控制器上,如图8所示,该基于VXLAN隧道的报文处理装置包括接收模块81和返回模块82,其中:
接收模块81用于接收创建VXLAN隧道的两个交换机上报的端口状态消息,其中,端口状态消息中携带有隧道信息,隧道信息中包含加密能力信息;返回模块82用于若确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同,则向两个交换机返回携带有加密信息的端口修改消息,以使两个交换机从端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理。
在该实施例中,交换机可以将隧道信息以逻辑端口的形式上报至控制器,为了实现这一功能,需要对现有的端口状态消息(Port Status Message)进行扩展,即在端口状态消息中携带有用于表示该消息的端口是VXLAN隧道逻辑端口的端口类型,同时在该端口状态消息中携带隧道源地址、隧道目的地址和加密能力信息等隧道信息。其中,加密能力信息可以用于表示交换机是否支持加密,以及支持加密时的加密算法等。
在该实施例中,返回模块是通过端口修改消息将隧道逻辑端口的加密信息下发到交换机,所以需要对该端口修改消息进行扩展,以表示对应消息的端口(即当前端口)为隧道逻辑端口,同时,该端口修改消息携带隧道逻辑端口的加密信息,其中,加密信息包括加密算法、密钥和密匙,修改后的端口修改消息结构体定义可参见方法实施例的相关部分,此处不赘述。
需要说明的是,控制器在部署隧道上的加密操作时,是按照隧道逻辑端口来进行的,相同的两个交换机之间存在多个不同的隧道时,这些隧道可以按照需要进行部署,包括是否支持隧道加密、加密算法可以相同,也可以不同。但为了对不同隧道进行灵活的控制,可以采用不同的加密算法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述基于VXLAN隧道的报文处理装置,通过接收模块接收创建VXLAN隧道的两个交换机上报的各自的端口状态消息,并在确认两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,通过返回模块向这两个交换机返回携带有加密信息的端口修改消息,以使两个交换机从接收的端口修改消息中解析出加密信息,并根据加密信息对进入VXLAN隧道的报文进行加密处理或者对VXLAN隧道输出的报文进行解密处理,避免了用户在VTEP上的静态配置工作,实现了控制器对隧道上用户报文的灵活加密控制,有利于SDN的整网部署。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种基于虚拟可扩展局域网VXLAN隧道的报文处理方法,其特征在于,所述方法应用于创建所述VXLAN隧道的两个交换机上,所述方法包括:
创建所述VXLAN隧道后,向控制器上报各自的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息,以使所述控制器在确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,向所述两个交换机返回携带有加密信息的端口修改消息;以及
接收所述端口修改消息,从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
2.根据权利要求1所述的方法,其特征在于,当所述VXLAN隧道的数量大于一时,针对不同VXLAN隧道解析出的加密信息相同或不同。
3.根据权利要求1所述的方法,其特征在于,所述端口状态消息表示当前端口是VXLAN隧道逻辑端口;和/或
所述端口修改消息表示当前端口是VXLAN隧道逻辑端口。
4.根据权利要求1或3所述的方法,其特征在于,所述隧道信息中还包含隧道标识、隧道源地址和隧道目的地址;所述加密信息包括加密算法、密钥和密匙。
5.一种基于虚拟可扩展局域网VXLAN隧道的报文处理方法,其特征在于,所述方法应用于软件定义网络SDN中的控制器上,所述方法包括:
接收创建所述VXLAN隧道的两个交换机上报的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息;
若确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同,则向所述两个交换机返回携带有加密信息的端口修改消息,以使所述两个交换机从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
6.根据权利要求5所述的方法,其特征在于,当所述VXLAN隧道的数量大于一时,针对不同VXLAN隧道返回的端口修改消息中携带的加密信息相同或不同。
7.根据权利要求5所述的方法,其特征在于,所述端口状态消息表示当前端口是VXLAN隧道逻辑端口;和/或
所述端口修改消息表示当前端口是VXLAN隧道逻辑端口。
8.根据权利要求5或7所述的方法,其特征在于,所述隧道信息中还包含隧道标识、隧道源地址和隧道目的地址;所述加密信息包括加密算法、密钥和密匙。
9.一种基于虚拟可扩展局域网VXLAN隧道的报文处理装置,其特征在于,所述装置应用于创建所述VXLAN隧道的两个交换机上,所述装置包括:
上报模块,用于在创建所述VXLAN隧道后,向控制器上报各自的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息,以使所述控制器在确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同时,返回携带有加密信息的端口修改消息;以及
处理模块,用于接收所述端口修改消息,从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
10.根据权利要求9所述的装置,其特征在于,当所述VXLAN隧道的数量大于一时,针对不同VXLAN隧道解析出的加密信息相同或不同。
11.根据权利要求9所述的装置,其特征在于,所述端口状态消息表示当前端口是VXLAN隧道逻辑端口;和/或
所述端口修改消息表示当前端口是VXLAN隧道逻辑端口。
12.根据权利要求9或11所述的装置,其特征在于,所述隧道信息中还包含隧道标识、隧道源地址和隧道目的地址;所述加密信息包括加密算法、密钥和密匙。
13.一种基于虚拟可扩展局域网VXLAN隧道的报文处理装置,其特征在于,所述装置应用于SDN中的控制器上,所述装置包括:
接收模块,用于接收创建所述VXLAN隧道的两个交换机上报的端口状态消息,其中,所述端口状态消息中携带有隧道信息,所述隧道信息中包含加密能力信息;
返回模块,用于若确认所述两个交换机上报的隧道信息一致且支持的加密算法至少部分相同,则向所述两个交换机返回携带有加密信息的端口修改消息,以使所述两个交换机从所述端口修改消息中解析出加密信息,并根据所述加密信息对进入所述VXLAN隧道的报文进行加密处理或者对所述VXLAN隧道输出的报文进行解密处理。
14.根据权利要求13所述的装置,其特征在于,当所述VXLAN隧道的数量大于一时,针对不同VXLAN隧道返回的端口修改消息中携带的加密信息相同或不同。
15.根据权利要求13所述的装置,其特征在于,所述端口状态消息表示当前端口是VXLAN隧道逻辑端口;和/或
所述端口修改消息表示当前端口是VXLAN隧道逻辑端口。
16.根据权利要求13或15所述的装置,其特征在于,所述隧道信息中还包含隧道标识、隧道源地址和隧道目的地址;所述加密信息包括加密算法、密钥和密匙。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510333893.6A CN104935594B (zh) | 2015-06-16 | 2015-06-16 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510333893.6A CN104935594B (zh) | 2015-06-16 | 2015-06-16 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104935594A true CN104935594A (zh) | 2015-09-23 |
| CN104935594B CN104935594B (zh) | 2018-05-08 |
Family
ID=54122566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510333893.6A Active CN104935594B (zh) | 2015-06-16 | 2015-06-16 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104935594B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591754A (zh) * | 2016-02-26 | 2016-05-18 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的验证头验证方法和系统 |
| CN105827665A (zh) * | 2016-06-06 | 2016-08-03 | 南开大学 | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 |
| CN106685903A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 基于sdn的数据传输方法、sdn控制器和sdn系统 |
| CN106878278A (zh) * | 2017-01-09 | 2017-06-20 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| WO2017143611A1 (zh) * | 2016-02-27 | 2017-08-31 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
| WO2017181807A1 (zh) * | 2016-04-18 | 2017-10-26 | 中兴通讯股份有限公司 | 基于sdn网络的交换机端口信息感知方法、装置和终端设备 |
| CN107306215A (zh) * | 2016-04-18 | 2017-10-31 | 中国移动通信集团江西有限公司 | 一种数据处理方法、系统及节点 |
| CN108123864A (zh) * | 2016-11-30 | 2018-06-05 | 新华三技术有限公司 | Evpn隧道监控方法和装置 |
| CN108600070A (zh) * | 2018-03-30 | 2018-09-28 | 新华三技术有限公司 | 指定转发者df选举方法及装置 |
| CN109547392A (zh) * | 2017-09-21 | 2019-03-29 | 杭州达乎科技有限公司 | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 |
| CN111193671A (zh) * | 2019-12-20 | 2020-05-22 | 视联动力信息技术股份有限公司 | 报文处理方法、装置及可读存储介质 |
| CN111526080A (zh) * | 2020-05-07 | 2020-08-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
| CN111917624A (zh) * | 2020-07-13 | 2020-11-10 | 烽火通信科技股份有限公司 | 一种在vxlan传输中控制信息的传送方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209319A (zh) * | 2010-03-30 | 2011-10-05 | 杭州华三通信技术有限公司 | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 |
| CN102752171A (zh) * | 2012-07-04 | 2012-10-24 | 汉柏科技有限公司 | Ipsec协商测试方法 |
| US20130061034A1 (en) * | 2011-09-07 | 2013-03-07 | L-3 Communications Corporation | Transparent Mode Encapsulation |
| CN103684958A (zh) * | 2012-09-14 | 2014-03-26 | 中国电信股份有限公司 | 提供弹性vpn服务的方法、系统和vpn服务中心 |
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
| CN104618211A (zh) * | 2014-12-31 | 2015-05-13 | 杭州华三通信技术有限公司 | 一种基于隧道的报文处理方法和总部网关设备 |
-
2015
- 2015-06-16 CN CN201510333893.6A patent/CN104935594B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209319A (zh) * | 2010-03-30 | 2011-10-05 | 杭州华三通信技术有限公司 | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 |
| US20130061034A1 (en) * | 2011-09-07 | 2013-03-07 | L-3 Communications Corporation | Transparent Mode Encapsulation |
| CN102752171A (zh) * | 2012-07-04 | 2012-10-24 | 汉柏科技有限公司 | Ipsec协商测试方法 |
| CN103684958A (zh) * | 2012-09-14 | 2014-03-26 | 中国电信股份有限公司 | 提供弹性vpn服务的方法、系统和vpn服务中心 |
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
| CN104618211A (zh) * | 2014-12-31 | 2015-05-13 | 杭州华三通信技术有限公司 | 一种基于隧道的报文处理方法和总部网关设备 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685903B (zh) * | 2015-11-10 | 2021-04-09 | 中国电信股份有限公司 | 基于sdn的数据传输方法、sdn控制器和sdn系统 |
| CN106685903A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 基于sdn的数据传输方法、sdn控制器和sdn系统 |
| CN105591754A (zh) * | 2016-02-26 | 2016-05-18 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的验证头验证方法和系统 |
| CN105591754B (zh) * | 2016-02-26 | 2018-09-28 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的验证头验证方法和系统 |
| WO2017143611A1 (zh) * | 2016-02-27 | 2017-08-31 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
| WO2017181807A1 (zh) * | 2016-04-18 | 2017-10-26 | 中兴通讯股份有限公司 | 基于sdn网络的交换机端口信息感知方法、装置和终端设备 |
| CN107306193A (zh) * | 2016-04-18 | 2017-10-31 | 中兴通讯股份有限公司 | 基于sdn网络的交换机端口信息感知方法、装置和终端设备 |
| CN107306215A (zh) * | 2016-04-18 | 2017-10-31 | 中国移动通信集团江西有限公司 | 一种数据处理方法、系统及节点 |
| CN107306193B (zh) * | 2016-04-18 | 2020-11-27 | 中兴通讯股份有限公司 | 基于sdn网络的交换机端口信息感知方法、装置和终端设备 |
| CN105827665A (zh) * | 2016-06-06 | 2016-08-03 | 南开大学 | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 |
| CN108123864B (zh) * | 2016-11-30 | 2020-09-25 | 新华三技术有限公司 | Evpn隧道监控方法和装置 |
| CN108123864A (zh) * | 2016-11-30 | 2018-06-05 | 新华三技术有限公司 | Evpn隧道监控方法和装置 |
| CN106878278A (zh) * | 2017-01-09 | 2017-06-20 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN109547392A (zh) * | 2017-09-21 | 2019-03-29 | 杭州达乎科技有限公司 | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 |
| CN109547392B (zh) * | 2017-09-21 | 2021-06-01 | 上海层峰网络科技有限公司 | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 |
| CN108600070A (zh) * | 2018-03-30 | 2018-09-28 | 新华三技术有限公司 | 指定转发者df选举方法及装置 |
| CN108600070B (zh) * | 2018-03-30 | 2020-12-01 | 新华三技术有限公司 | 指定转发者df选举方法及装置 |
| CN111193671A (zh) * | 2019-12-20 | 2020-05-22 | 视联动力信息技术股份有限公司 | 报文处理方法、装置及可读存储介质 |
| CN111193671B (zh) * | 2019-12-20 | 2022-09-13 | 视联动力信息技术股份有限公司 | 报文处理方法、装置及可读存储介质 |
| CN111526080A (zh) * | 2020-05-07 | 2020-08-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
| CN111526080B (zh) * | 2020-05-07 | 2022-03-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
| CN111917624A (zh) * | 2020-07-13 | 2020-11-10 | 烽火通信科技股份有限公司 | 一种在vxlan传输中控制信息的传送方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104935594B (zh) | 2018-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104935594A (zh) | 基于虚拟可扩展局域网隧道的报文处理方法及装置 | |
| CN104935593A (zh) | 数据报文的传输方法及装置 | |
| KR100388606B1 (ko) | 컴퓨터네트워크간데이터패킷의무서명송수신을위한시스템 | |
| JP6737948B2 (ja) | サイバーセキュリティ管理システム、方法、および装置 | |
| US6704866B1 (en) | Compression and encryption protocol for controlling data flow in a network | |
| CN110335043B (zh) | 一种基于区块链系统的交易隐私保护方法、设备以及系统 | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| JP5090408B2 (ja) | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 | |
| CN1985251B (zh) | 用于地理分布式虚拟路由的系统 | |
| CN105049410A (zh) | 一种账号登录方法、装置及系统 | |
| CN103326850A (zh) | 密钥产生装置和密钥产生方法 | |
| CN104378299B (zh) | 流表项处理方法以及装置 | |
| CN101379755A (zh) | 数字对象标题鉴权 | |
| CN103684953A (zh) | 避免多连接到vpls传输网的以太网环路中流量损失方法、装置 | |
| CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| CN109831328A (zh) | 智能选路的切换方法、装置、电子设备 | |
| CN105873051A (zh) | 路由器密码的显示方法及装置 | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| US9794172B2 (en) | Edge network virtualization | |
| CN100446509C (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
| JP2001103045A (ja) | 暗号鍵バックアップ記憶装置 | |
| CN102970277B (zh) | 一种多源安全关联建立方法及系统 | |
| CN105812221A (zh) | 虚拟可扩展本地区域网络中数据传输的设备和方法 | |
| CN101692654A (zh) | 一种HUB-Spoken组网的方法、系统及设备 | |
| CN103650457B (zh) | 一种共享接入的检测方法、设备和终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |