CN106878133A - 报文转发方法及装置 - Google Patents
报文转发方法及装置 Download PDFInfo
- Publication number
- CN106878133A CN106878133A CN201611161203.4A CN201611161203A CN106878133A CN 106878133 A CN106878133 A CN 106878133A CN 201611161203 A CN201611161203 A CN 201611161203A CN 106878133 A CN106878133 A CN 106878133A
- Authority
- CN
- China
- Prior art keywords
- vpn
- message
- ssl vpn
- equipment
- ssl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文转发方法及装置,其中,该方法包括:接收本地VM发来的第一用户报文;确定第一用户报文所属的第一VPN实例,根据第一用户报文的目的地址,在第一VPN实例对应的转发表中查找SSL VPN隧道;该SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;在第一用户报文中封装第一VPN实例对应的VPN标签后进行隧道封装得到第一隧道封装报文,通过该SSL VPN隧道转发第一隧道封装报文,以使接收到第一隧道封装报文的远端网关设备,对第一隧道封装报文进行隧道解封装后得到第一用户报文,根据第一用户报文携带的VPN标签,将第一用户报文在第一VPN实例内进行本地转发。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种报文转发方法及装置。
背景技术
为了实现高可靠性和冗余部署,提供更好的服务,大多数企业网络及其数据中心或服务提供商通常在异地部署多个数据中心,实现负载分担和高可靠性,并实现虚拟机(Virtual Machine,虚拟机)在数据中心之间的自由迁移。
如图1所示,数据中心1、数据中心2和数据中心3处于不同地域,GW1、GW2和GW3分别是数据中心1、数据中心2和数据中心3的网关设备,GW1、GW2和GW3都接入互联网,通过互联网实现数据中心之间的数据通信。
SSL(Secure Sockets Layer,安全套接层)VPN(Virtual Private Network,虚拟专用网络)是以SSL为基础的VPN技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。
目前,SSL VPN技术主要应用于远程用户主机接入企业网络。当SSL VPN技术应用于如图1所示的多数据中心网络时,由于数据中心内部存在多个VPN,因此,需要在两个数据中心的网关设备之间为每个VPN均建立对应的SSL VPN隧道,从而,占用了较多的隧道资源和公网IP地址资源。
发明内容
有鉴于此,本申请提供一种报文转发方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种报文转发方法,该方法应用于数据中心的网关设备,该方法包括:
接收本数据中心内的本地VM发来的第一用户报文;
确定第一用户报文所属的第一VPN实例,根据第一用户报文的目的地址,在第一VPN实例对应的转发表中查找用于转发第一用户报文的SSL VPN隧道;用于转发第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;
在第一用户报文中封装第一VPN实例对应的VPN标签后进行SSL VPN隧道封装得到第一隧道封装报文,通过用于转发第一用户报文的SSL VPN隧道转发第一隧道封装报文,以使接收到第一隧道封装报文的远端网关设备,对第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文,根据第一用户报文携带的VPN标签,将第一用户报文在第一VPN实例内进行本地转发。
另一方面,还提供了一种报文转发装置,该装置应用于数据中心的网关设备中,该装置包括:
接收单元,用于接收本数据中心内的本地VM发来的第一用户报文;
查找单元,用于确定第一用户报文所属的第一VPN实例,根据第一用户报文的目的地址,在第一VPN实例对应的转发表中查找用于转发第一用户报文的SSL VPN隧道;用于转发第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;
发送单元,用于在第一用户报文中封装第一VPN实例对应的VPN标签后进行SSLVPN隧道封装得到第一隧道封装报文,通过查找单元查找到的用于转发第一用户报文的SSLVPN隧道转发第一隧道封装报文,以使接收到第一隧道封装报文的远端网关设备,对第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文,根据第一用户报文携带的VPN标签,将第一用户报文在第一VPN实例内进行本地转发。
通过本申请的以上技术方案,不同数据中心的网关设备之间建立SSL VPN隧道,网关设备接收到某一VPN实例内的本地VM发来的用户报文后,会将该VPN实例对应的VPN标签携带在该用户报文中,然后通过该SSL VPN隧道发送给远端网关设备,远端网关设备通过该报文中携带的VPN标签即可确定出对应的VPN实例,从而将该用户报文在该VPN实例内进行本地转发,这样,数据中心内的多个VPN实例可以共享同一SSL VPN隧道,无需在网关设备之间为每个VPN均建立对应的SSL VPN隧道,从而节约了隧道资源和公网IP地址资源。而且,由于通过SSL VPN隧道进行数据中心之间的数据通信,从而确保了数据中心之间数据通信的可靠性。
附图说明
图1是包含有多个数据中心的网络架构示意图;
图2是本申请一示例性实施例示出的报文转发方法的流程图;
图3是本申请一示例性实施例示出的建立SSL VPN隧道的流程图;
图4是本申请一示例性实施例示出的建立了SSL VPN隧道的网络架构示意图;
图5是本申请实施例一示出的用户报文与隧道封装报文的格式对比示意图;
图6是本申请一示例性实施例示出的报文转发装置所在网关设备的硬件结构示意图;
图7是本申请一示例性实施例示出的报文转发装置的一种结构示意图;
图8是本申请一示例性实施例示出的报文转发装置的另一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请以下实施例中提供了一种报文转发方法,以及一种可以实现该方法的报文转发装置,可以基于SSL VPN隧道实现跨数据中心的数据通信。
本申请实施例的报文转发方法可以由如图1所示的任一数据中心的网关设备来执行,如图2所示,该方法中包括以下步骤:
步骤S101,接收本数据中心内的本地VM发来的第一用户报文;
步骤S102,确定第一用户报文所属的第一VPN实例,根据第一用户报文的目的地址,在第一VPN实例对应的转发表中查找用于转发第一用户报文的SSL VPN隧道;用于转发第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;
步骤S103,在第一用户报文中封装第一VPN实例对应的VPN标签后进行SSL VPN隧道封装得到第一隧道封装报文,通过用于转发第一用户报文的SSL VPN隧道转发第一隧道封装报文,以使接收到第一隧道封装报文的远端网关设备,对第一隧道封装报文进行SSLVPN隧道解封装后得到第一用户报文,根据第一用户报文携带的VPN标签,将第一用户报文在第一VPN实例内进行本地转发。
另外,本端网关设备也会接收远端网关设备通过SSL VPN隧道发来的第二隧道封装报文,对接收到的第二隧道封装报文进行SSL VPN隧道解封装后得到第二用户报文,然后,确定与该第二用户报文携带的VPN标签对应的第二VPN实例,将该第二用户报文在该第二VPN实例内进行本地转发,最终发送给本地VM。
在本端网关设备与远端网关设备进行数据通信之前,需要建立本端网关设备与远端网关设备之间的SSL VPN隧道,隧道建立过程如下:当本设备作为SSL VPN客户端时,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以使该远端网关设备对本设备进行身份认证,在认证通过后,将该远端网关设备所属的远端数据中心内的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给本端网关设备;接收该作为SSL VPN服务器的远端网关设备发来的资源授权报文。至此,本端网关设备作为SSL VPN客户端、远端网关设备作为SSL VPN服务器的SSL VPN隧道建立完成。
本端网关设备确认本设备与该作为SSL VPN服务器的远端网关设备之间的SSLVPN隧道建立成功后,根据该远端网关设备发来的资源授权报文中携带的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签,针对该多个远端VM中的每个远端VM,将建立成功的SSL VPN隧道与该远端VM的地址的对应关系配置到该远端VM所属VPN实例对应的转发表中。从而,在多个VPN实例对应的转发表中,同一远端数据中心内的所有远端VM的地址对应于同一SSL VPN隧道。
另外,当本设备作为SSL VPN服务器时,本端网关设备接收作为SSL VPN客户端的远端网关设备发来的SSL VPN连接请求消息;对该作为SSL VPN客户端的远端网关设备进行身份认证,在认证通过后,将多个本地VM的地址和多个本地VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给该作为SSL VPN客户端的远端网关设备。从而,实现了不同数据中心之间的VM地址以及该VM所属VPN实例对应的VPN标签的同步。
在实际实施过程中,每一个网关设备上均保存有VPN实例与VPN标签的对应关系,并且,还保存有需要建立SSL VPN隧道的网关设备的地址列表,上述对应关系和地址列表可以通过手动静态配置的方式配置每一个网关设备上,或者,也可以由控制器将VPN实例与VPN标签的对应关系、以及需要建立SSL VPN隧道的网关设备的地址列表发送给每一个网关设备。
其中,当由控制器发送时,网关设备在接收到控制器发来的需要建立SSL VPN隧道的网关设备的地址列表,以及VPN实例与VPN标签的对应关系后,保存该地址列表和对应关系;判断该地址列表中是否存在本设备的地址,若存在,则针对该地址列表中除本设备的地址以外的其它地址,将本设备作为SSL VPN客户端,将地址为该其它地址的远端网关设备作为SSL VPN服务器,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以建立本设备与作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道。
本申请上述实施例的方法中,不同数据中心的网关设备之间建立SSL VPN隧道,网关设备接收到某一VPN实例内的本地VM发来的用户报文后,会将该VPN实例对应的VPN标签携带在该用户报文中,然后通过该SSL VPN隧道发送给远端网关设备,远端网关设备通过该报文中携带的VPN标签即可确定出对应的VPN实例,从而将该用户报文在该VPN实例内进行本地转发,这样,数据中心内的多个VPN实例可以共享同一SSL VPN隧道,无需在网关设备之间为每个VPN均建立对应的SSL VPN隧道,从而节约了隧道资源和公网IP地址资源。而且,由于通过SSL VPN隧道进行数据中心之间的数据通信,从而确保了数据中心之间数据通信的可靠性。
下面以如图1所示的网络为例,对本申请上述实施例的方法进行详细说明。
在如图1所示的网络中,数据中心1、数据中心2和数据中心3处于不同地域,GW1、GW2和GW3分别是数据中心1、数据中心2和数据中心3的网关设备,GW1、GW2和GW3都接入互联网,通过互联网实现数据中心之间的数据通信。其中,各个GW的IP地址记为GW-IP,各个VM的IP地址记为VM-IP。
每一个数据中心内划分多个VPN。假设,VM11、VM12和VM13属于VPN实例1,VM21和VM22属于VPN实例2。VPN实例1与VPN标签LABEL1对应,VPN实例2与VPN标签LABEL2对应。
GW1、GW2和GW3中保存有需要建立SSL VPN隧道的网关设备的地址列表,以及,VPN实例与VPN标签的对应关系。
当如图1所示的网络为SDN(Soft Define Network,软件定义网络)时,可以由SDN控制器对这些数据中心进行统一管理,SDN控制器确定整个SDN网络中需要建立SSL VPN隧道的网关设备,以及对整个SDN网络中的VPN实例进行维护,为每个VPN实例分配唯一的VPN标签,由SDN控制器将VPN实例与VPN标签的对应关系、以及需要建立SSL VPN隧道的网关设备的地址列表发送给所有数据中心的网关设备。GW1、GW2和GW3接收到控制器发来的上述对应关系以及地址列表后进行保存。
显然,VPN实例与VPN标签的对应关系、以及需要建立SSL VPN隧道的网关设备的地址列表,也可以通过手动静态配置的方式配置在所有数据中心的网关设备上,本申请实施例对此不做限定。
GW1接收并保存SDN控制器发来的需要建立SSL VPN隧道的网关设备的地址列表,假设,此处的地址为IP地址,该地址列表中包括:GW1-IP、GW2-IP、GW3-IP。GW1判断该地址列表中是否存在本设备的IP地址GW1-IP,判断结果为存在,则针对该地址列表中除本设备的IP地址GW1-IP以外的其它IP地址GW2-IP,将本设备作为SSL VPN客户端,建立本设备与作为SSL VPN服务器的IP地址为GW2-IP的远端网关设备GW2之间的SSL VPN隧道,并且,针对该地址列表中除本设备的IP地址GW1-IP以外的其它IP地址GW3-IP,将本设备作为SSL VPN客户端,建立本设备与作为SSL VPN服务器的IP地址为GW3-IP的远端网关设备GW3之间的SSLVPN隧道。地址列表的作用除了可以判断本设备是否需要建立SSL VPN隧道以外,还可以在本设备作为SSL VPN服务器时,判断SSL VPN客户端是远端网关设备还是普通的远程接入用户主机。
以GW1建立本设备与GW2之间的SSL VPN隧道为例,具体的隧道建立过程如图3所示:
步骤S301,当本设备作为SSL VPN客户端时,GW1向作为SSL VPN服务器的GW2发送SSL VPN连接请求消息;
其中,该SSL VPN连接请求消息中携带有GW1的身份认证信息,例如,用户名和密码等。
步骤S302,GW2接收该SSL VPN连接请求消息,对GW1进行身份认证;
GW2将该SSL VPN连接请求消息中携带的身份认证信息与本地保存的GW1的身份认证信息进行匹配,若匹配,则认证通过。
步骤S303,在认证通过后,GW2将本设备所属的数据中心2内的本地VM:VM12的地址以及VM12所属VPN实例1对应的VPN标签LABEL1携带在资源授权报文中发送给GW1。
在认证通过后,GW2会将本地VM的地址、本地VM所属VPN实例对应的VPN标签授权给GW1。GW1可以接收到GW2发来的资源授权报文,从而确认本设备与作为SSL VPN服务器的GW2之间的SSL VPN隧道建立成功,后续可以访问这些VM。
另外,在资源授权报文中还可以携带VM12所属的VPN实例1的名称。
通过上述步骤S301至步骤S303,GW1作为SSL VPN客户端、GW2作为SSL VPN服务器的SSL VPN隧道建立完成。该SSL VPN隧道的源IP地址为GW1-IP,目的IP地址为GW2-IP。
同样,GW2和GW3也会执行与GW1相同的操作。如图4所示,GW1、GW2和GW3中的任意两个GW之间均建立了SSL VPN隧道。
在实际实施过程中,为了实现上述如图3所示的SSL VPN隧道建立过程,GW1、GW2和GW3可以在判断出上述地址列表中存在本设备的地址时,启动一个SSL VPN服务器进程,等待作为SSL VPN客户端的远端网关设备接入,而且,还会针对该地址列表中除本设备的地址以外的每一个其它地址,启动一个SSL VPN客户端进程,即,每一个SSL VPN客户端进程对应于一个作为SSL VPN服务器的远端网关设备。这样,由任一SSL VPN客户端进程来执行如图3所示的步骤S301,而该SSL VPN服务器进程执行如图3所示的步骤S302和步骤S303。显然还可以采用其它方式来实施,本申请实施例对此不做限定。
GW1、GW2和GW3在接收到远端网关设备发来的资源授权报文后,从该报文中获取VM地址和VPN标签,确定与该VPN标签对应的VPN实例,将该VM地址、本设备与该远端网关设备的SSL VPN隧道的对应关系配置到该VPN实例对应的转发表中。假设,VM的地址为IP地址,则GW1中VPN实例1对应的转发表如表1-1所示,VPN实例2对应的转发表如表1-2所示;GW2中VPN实例1对应的转发表如表2-1所示,VPN实例2对应的转发表如表2-2所示;GW3中VPN实例1对应的转发表如表3-1所示,VPN实例2对应的转发表如表3-2所示。
表1-1
| VM地址 | 出接口 |
| VM12-IP | GW1—GW2的SSL VPN隧道 |
| VM13-IP | GW1—GW3的SSL VPN隧道 |
表1-2
| VM地址 | 出接口 |
| VM22-IP | GW1—GW3的SSL VPN隧道 |
表2-1
| VM地址 | 出接口 |
| VM11-IP | GW2—GW1的SSL VPN隧道 |
| VM13-IP | GW2—GW3的SSL VPN隧道 |
表2-2
| VM地址 | 出接口 |
| VM21-IP | GW2—GW1的SSL VPN隧道 |
| VM22-IP | GW2—GW3的SSL VPN隧道 |
表3-1
| VM地址 | 出接口 |
| VM11-IP | GW3—GW1的SSL VPN隧道 |
| VM12-IP | GW3—GW2的SSL VPN隧道 |
表3-2
| VM地址 | 出接口 |
| VM21-IP | GW3—GW1的SSL VPN隧道 |
在实际实施过程中,VPN实例对应的转发表中还可以包含与该VPN实例对应的VPN标签。
当数据中心1内的VM11要访问数据中心3内的VM13时,VM11发出源IP地址为VM11-IP、目的IP地址为VM13-IP的用户报文,该用户报文的格式可以如图5所示;GW1接收到该用户报文后,确定该用户报文属于VPN实例1,根据该用户报文的目的IP地址VM13-IP,在VPN实例1对应的转发表(如表1-1所示)中查找对应的出接口为GW1—GW3的SSL VPN隧道,会先在该用户报文中封装VPN实例1对应的LABEL1,如图5所示,然后,对封装了LABEL1的用户报文进行SSL VPN隧道封装得到隧道封装报文,将该隧道封装报文通过GW1—GW3的SSL VPN隧道转发给GW3。隧道封装报文的格式如图5所示,可见,封装了LABEL1的用户报文作为隧道封装报文的载荷进行加密传输。
GW3接收到该隧道封装报文后,对该隧道封装报文进行SSL VPN隧道解封装后再弹出其中的LABEL1得到用户报文,确定与LABEL1对应的VPN实例为VPN实例1,则将该用户报文在VPN实例1内进行本地转发给VM13。
与前述报文转发方法的实施例相对应,本申请还提供了报文转发装置的实施例。
本申请报文转发装置60的实施例可以应用在网关设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网关设备的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图6所示,为本申请报文转发装置60所在网关设备的一种硬件结构图,除了图6所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的网关设备通常根据该网关设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图7,本申请实施例的报文转发装置60中包括:建立单元601、接收单元602和发送单元603,其中:
接收单元601,用于接收本数据中心内的本地VM发来的第一用户报文;
查找单元602,用于确定第一用户报文所属的第一VPN实例,根据第一用户报文的目的地址,在第一VPN实例对应的转发表中查找用于转发第一用户报文的SSL VPN隧道;用于转发第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;
发送单元603,用于在第一用户报文中封装第一VPN实例对应的VPN标签后进行SSLVPN隧道封装得到第一隧道封装报文,通过查找单元602查找到的用于转发第一用户报文的SSL VPN隧道转发第一隧道封装报文,以使接收到第一隧道封装报文的远端网关设备,对第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文,根据第一用户报文携带的VPN标签,将第一用户报文在第一VPN实例内进行本地转发。
其中,接收单元601,还用于接收远端网关设备通过SSL VPN隧道发来的第二隧道封装报文;
发送单元603,还用于对第二隧道封装报文进行SSL VPN隧道解封装后得到第二用户报文,确定与第二用户报文携带的VPN标签对应的第二VPN实例,将第二用户报文在第二VPN实例内进行本地转发。
如图8所示,上述报文转发装置60中包括:配置单元604,其中:
发送单元603,还用于当本设备作为SSL VPN客户端时,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以使该作为SSL VPN服务器的远端网关设备对本设备进行身份认证,在认证通过后,将该作为SSL VPN服务器的远端网关设备所属的远端数据中心内的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签,携带在资源授权报文中发送给本设备;
接收单元601,还用于接收作为SSL VPN服务器的远端网关设备发来的资源授权报文;
配置单元604,用于确认本设备与作为SSL VPN服务器的远端网关设备之间的SSLVPN隧道建立成功;根据多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签,针对多个远端VM中的每个远端VM,将建立成功的SSL VPN隧道与该远端VM的地址的对应关系配置到该远端VM所属VPN实例对应的转发表中。
其中,接收单元601,还用于当本设备作为SSL VPN服务器时,接收作为SSL VPN客户端的远端网关设备发来的SSL VPN连接请求消息;
发送单元603,还用于对作为SSL VPN客户端的远端网关设备进行身份认证,在认证通过后,将多个本地VM的地址和多个本地VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给该作为SSL VPN客户端的远端网关设备。
其中,接收单元601,还用于接收控制器发来的需要建立SSL VPN隧道的网关设备的地址列表,以及VPN实例与VPN标签的对应关系;
发送单元603用于在判断出该地址列表中存在本设备的地址时,针对该地址列表中除本设备的地址以外的其它地址,将本设备作为SSL VPN客户端,将地址为该其它地址的远端网关设备作为SSL VPN服务器,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以建立本设备与该作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种报文转发方法,其特征在于,所述方法应用于数据中心的网关设备,所述方法包括:
接收本数据中心内的本地虚拟机VM发来的第一用户报文;
确定所述第一用户报文所属的第一VPN实例,根据所述第一用户报文的目的地址,在所述第一VPN实例对应的转发表中查找用于转发所述第一用户报文的SSL VPN隧道;所述用于转发所述第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;
在所述第一用户报文中封装所述第一VPN实例对应的VPN标签后进行SSL VPN隧道封装得到第一隧道封装报文,通过所述用于转发所述第一用户报文的SSL VPN隧道转发所述第一隧道封装报文,以使接收到所述第一隧道封装报文的远端网关设备,对所述第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文,根据所述第一用户报文携带的VPN标签,将所述第一用户报文在所述第一VPN实例内进行本地转发。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收远端网关设备通过SSL VPN隧道发来的第二隧道封装报文,对所述第二隧道封装报文进行SSL VPN隧道解封装后得到第二用户报文,确定与所述第二用户报文携带的VPN标签对应的第二VPN实例,将所述第二用户报文在所述第二VPN实例内进行本地转发。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当本设备作为SSL VPN客户端时,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以使所述作为SSL VPN服务器的远端网关设备对本设备进行身份认证,在认证通过后,将所述作为SSL VPN服务器的远端网关设备所属的远端数据中心内的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给本设备;
接收所述作为SSL VPN服务器的远端网关设备发来的所述资源授权报文;
确认本设备与所述作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道建立成功;
根据所述多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签,针对所述多个远端VM中的每个远端VM,将建立成功的SSL VPN隧道与该远端VM的地址的对应关系配置到该远端VM所属VPN实例对应的转发表中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当本设备作为SSL VPN服务器时,接收作为SSL VPN客户端的远端网关设备发来的SSLVPN连接请求消息;
对所述作为SSL VPN客户端的远端网关设备进行身份认证,在认证通过后,将多个本地VM的地址和多个本地VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给所述作为SSL VPN客户端的远端网关设备。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
接收控制器发来的需要建立SSL VPN隧道的网关设备的地址列表,以及VPN实例与VPN标签的对应关系;
在判断出所述地址列表中存在本设备的地址时,针对所述地址列表中除本设备的地址以外的其它地址,将本设备作为SSL VPN客户端,将地址为所述其它地址的远端网关设备作为SSL VPN服务器,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以建立本设备与作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道。
6.一种报文转发装置,其特征在于,所述装置应用于数据中心的网关设备中,所述装置包括:
接收单元,用于接收本数据中心内的本地虚拟机VM发来的第一用户报文;
查找单元,用于确定所述第一用户报文所属的第一VPN实例,根据所述第一用户报文的目的地址,在所述第一VPN实例对应的转发表中查找用于转发所述第一用户报文的SSL VPN隧道;所述用于转发所述第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;
发送单元,用于在所述第一用户报文中封装所述第一VPN实例对应的VPN标签后进行SSL VPN隧道封装得到第一隧道封装报文,通过所述查找单元查找到的用于转发所述第一用户报文的SSL VPN隧道转发所述第一隧道封装报文,以使接收到所述第一隧道封装报文的远端网关设备,对所述第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文,根据所述第一用户报文携带的VPN标签,将所述第一用户报文在所述第一VPN实例内进行本地转发。
7.根据权利要求6所述的装置,其特征在于,
所述接收单元,还用于接收远端网关设备通过SSL VPN隧道发来的第二隧道封装报文;
所述发送单元,还用于对所述第二隧道封装报文进行SSL VPN隧道解封装后得到第二用户报文,确定与所述第二用户报文携带的VPN标签对应的第二VPN实例,将所述第二用户报文在所述第二VPN实例内进行本地转发。
8.根据权利要求6所述的装置,其特征在于,所述装置包括:配置单元,其中:
所述发送单元,还用于当本设备作为SSL VPN客户端时,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以使所述作为SSL VPN服务器的远端网关设备对本设备进行身份认证,在认证通过后,将所述作为SSL VPN服务器的远端网关设备所属的远端数据中心内的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给本设备;
所述接收单元,还用于接收所述作为SSL VPN服务器的远端网关设备发来的所述资源授权报文;
所述配置单元,用于确认本设备与所述作为SSL VPN服务器的远端网关设备之间的SSLVPN隧道建立成功;根据所述多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签,针对所述多个远端VM中的每个远端VM,将建立成功的SSL VPN隧道与该远端VM的地址的对应关系配置到该远端VM所属VPN实例对应的转发表中。
9.根据权利要求6所述的装置,其特征在于,
所述接收单元,还用于当本设备作为SSL VPN服务器时,接收作为SSL VPN客户端的远端网关设备发来的SSL VPN连接请求消息;
所述发送单元,还用于对所述作为SSL VPN客户端的远端网关设备进行身份认证,在认证通过后,将多个本地VM的地址和多个本地VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给所述作为SSL VPN客户端的远端网关设备。
10.根据权利要求6至9中任一项所述的装置,其特征在于,
所述接收单元,还用于接收控制器发来的需要建立SSL VPN隧道的网关设备的地址列表,以及VPN实例与VPN标签的对应关系;
所述发送单元用于在判断出所述地址列表中存在本设备的地址时,针对所述地址列表中除本设备的地址以外的其它地址,将本设备作为SSL VPN客户端,将地址为所述其它地址的远端网关设备作为SSL VPN服务器,向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息,以建立本设备与作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611161203.4A CN106878133B (zh) | 2016-12-15 | 2016-12-15 | 报文转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611161203.4A CN106878133B (zh) | 2016-12-15 | 2016-12-15 | 报文转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106878133A true CN106878133A (zh) | 2017-06-20 |
| CN106878133B CN106878133B (zh) | 2019-11-08 |
Family
ID=59164745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611161203.4A Active CN106878133B (zh) | 2016-12-15 | 2016-12-15 | 报文转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106878133B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645433A (zh) * | 2017-08-31 | 2018-01-30 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN108259350A (zh) * | 2017-10-24 | 2018-07-06 | 新华三技术有限公司 | 一种报文传输方法、装置及机器可读存储介质 |
| CN110290044A (zh) * | 2019-06-26 | 2019-09-27 | 普联技术有限公司 | 一种vpn网络和主干网络的分流方法、装置及存储介质 |
| CN113259435A (zh) * | 2021-05-13 | 2021-08-13 | 上海巨印科技有限公司 | 辐射测量仪数据传输方法及系统 |
| CN113364691A (zh) * | 2021-05-31 | 2021-09-07 | 广州趣丸网络科技有限公司 | 一种数据交互系统、方法、设备和存储介质 |
| WO2022237563A1 (zh) * | 2021-05-10 | 2022-11-17 | 中兴通讯股份有限公司 | 数据转发方法、装置、存储介质和电子装置 |
| WO2024021764A1 (zh) * | 2022-07-25 | 2024-02-01 | 中兴通讯股份有限公司 | 一种路由转发方法、电子设备和存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852273A (zh) * | 2006-04-10 | 2006-10-25 | 杭州华为三康技术有限公司 | 一种从网关设备之间进行通信的方法和系统 |
| TW200901679A (en) * | 2007-06-23 | 2009-01-01 | Digital United Inc | Network redundancy system and processing method therefor |
| CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN102143088A (zh) * | 2011-04-29 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
| CN102739494A (zh) * | 2011-03-31 | 2012-10-17 | 鸿富锦精密工业(深圳)有限公司 | Ssl vpn网关及其自动控制ssl vpn通道的方法 |
| US20140189132A1 (en) * | 2008-11-25 | 2014-07-03 | Citrix Systems, Inc. | Systems and methods for gslb based on ssl vpn users |
| CN105939308A (zh) * | 2015-07-27 | 2016-09-14 | 杭州迪普科技有限公司 | 报文的处理方法和装置 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
-
2016
- 2016-12-15 CN CN201611161203.4A patent/CN106878133B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852273A (zh) * | 2006-04-10 | 2006-10-25 | 杭州华为三康技术有限公司 | 一种从网关设备之间进行通信的方法和系统 |
| TW200901679A (en) * | 2007-06-23 | 2009-01-01 | Digital United Inc | Network redundancy system and processing method therefor |
| US20140189132A1 (en) * | 2008-11-25 | 2014-07-03 | Citrix Systems, Inc. | Systems and methods for gslb based on ssl vpn users |
| CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN102739494A (zh) * | 2011-03-31 | 2012-10-17 | 鸿富锦精密工业(深圳)有限公司 | Ssl vpn网关及其自动控制ssl vpn通道的方法 |
| CN102143088A (zh) * | 2011-04-29 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
| CN105939308A (zh) * | 2015-07-27 | 2016-09-14 | 杭州迪普科技有限公司 | 报文的处理方法和装置 |
| CN106209838A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | Ssl vpn的ip接入方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 余胜生等: ""基于安全隧道多路复用的"", 《小型微型计算机系统》 * |
| 王谦,周健: ""基于SSL的VPN隧道技术及实现"", 《网络安全技术与应用》 * |
| 韩卫等: ""一种基于安全隧道技术的SSL VPN及其性能分析"", 《科学技术与工程》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645433A (zh) * | 2017-08-31 | 2018-01-30 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN107645433B (zh) * | 2017-08-31 | 2021-03-30 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN108259350A (zh) * | 2017-10-24 | 2018-07-06 | 新华三技术有限公司 | 一种报文传输方法、装置及机器可读存储介质 |
| CN108259350B (zh) * | 2017-10-24 | 2021-02-26 | 新华三技术有限公司 | 一种报文传输方法、装置及机器可读存储介质 |
| CN110290044A (zh) * | 2019-06-26 | 2019-09-27 | 普联技术有限公司 | 一种vpn网络和主干网络的分流方法、装置及存储介质 |
| WO2022237563A1 (zh) * | 2021-05-10 | 2022-11-17 | 中兴通讯股份有限公司 | 数据转发方法、装置、存储介质和电子装置 |
| CN113259435A (zh) * | 2021-05-13 | 2021-08-13 | 上海巨印科技有限公司 | 辐射测量仪数据传输方法及系统 |
| CN113259435B (zh) * | 2021-05-13 | 2022-07-12 | 上海巨印科技有限公司 | 辐射测量仪数据传输方法及系统 |
| CN113364691A (zh) * | 2021-05-31 | 2021-09-07 | 广州趣丸网络科技有限公司 | 一种数据交互系统、方法、设备和存储介质 |
| WO2024021764A1 (zh) * | 2022-07-25 | 2024-02-01 | 中兴通讯股份有限公司 | 一种路由转发方法、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106878133B (zh) | 2019-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106878133B (zh) | 报文转发方法及装置 | |
| CN110191031B (zh) | 网络资源访问方法、装置、电子设备 | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN106209838B (zh) | Ssl vpn的ip接入方法及装置 | |
| CN107534643B (zh) | 在ip vpn与传输层vpn之间转换移动业务的方法和系统 | |
| CN103067158B (zh) | 加密解密方法、加密解密装置及密钥管理系统 | |
| US9100370B2 (en) | Strong SSL proxy authentication with forced SSL renegotiation against a target server | |
| CN104506670B (zh) | 建立网游连接的方法、设备及系统 | |
| WO2016119747A1 (en) | System and method for communicating in an ssl vpn | |
| US9258305B2 (en) | Authentication method, transfer apparatus, and authentication server | |
| CN105939239B (zh) | 虚拟网卡的数据传输方法及装置 | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
| JP2019515608A (ja) | アクセス制御 | |
| US11659058B2 (en) | Provider network connectivity management for provider network substrate extensions | |
| US20140150083A1 (en) | Virtual private network socket | |
| CN107046495A (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| US11411771B1 (en) | Networking in provider network substrate extensions | |
| CN110401641A (zh) | 用户认证方法、装置、电子设备 | |
| CN108964880A (zh) | 一种数据传输方法及装置 | |
| CN114500351A (zh) | 网络性能测试方法、装置、设备及存储介质 | |
| KR20030013496A (ko) | 다중 터널 브이피엔 게이트웨이를 이용한 데이터 전송 장치 | |
| US11374789B2 (en) | Provider network connectivity to provider network substrate extensions | |
| EP3987397A1 (en) | Provider network connectivity management for provider network substrate extensions | |
| CN103067282B (zh) | 数据备份方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |