CN106878278B - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN106878278B CN106878278B CN201710013047.5A CN201710013047A CN106878278B CN 106878278 B CN106878278 B CN 106878278B CN 201710013047 A CN201710013047 A CN 201710013047A CN 106878278 B CN106878278 B CN 106878278B
- Authority
- CN
- China
- Prior art keywords
- message
- data center
- boundary
- vtep
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种报文处理方法及装置,应用于第一数据中心的边界VTEP,该方法包括:接收所述第一数据中心的主机发送的第一报文;在转发表中查找第一报文的目的地址,确定第一报文对应的出接口,转发表中包括:地址和出接口的对应关系;若第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预设密钥对第一报文进行加密,预设密钥为第一数据中心的边界VTEP与第二数据中心的边界VTEP预先协商的;对加密后的第一报文进行EVPN隧道封装;将EVPN隧道封装后的第一报文发送至第二数据中心的边界VTEP。应用本发明实施例,有效地避免了数据中心间的数据外泄。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
如图1所示,在分布式数据中心网络中,包括多个数据中心,每个数据中心包括内部VTEP(Virtual eXtensible Local Area Network Tunnel End Point,可扩展虚拟局域网络隧道端点),如数据中心1中的VTEP100、VTEP110、数据中心2中的VTEP200和VTEP210,每个数据中心还包括边界VTEP,如数据中心1中的VTEP120、数据中心2中的VTEP220,每个数据中心还包括路由反射器和主机,如数据中心1中的设备路由反射器300、主机400、主机410,如数据中心2中的路由反射器310、主机500、主机510。
这些数据中心可以分布在不同的地点,为便于数据中心间通信,这些数据中心间可以采用DCI(Data Center Interconnection,数据中心二层互联)的方式连接,也就是,不同数据中心间的边界VTEP间运行MP-EBGP(Multiple Protocol-External Border GatewayProtocol)建立EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)隧道,不同数据中心间通过边界VTEP间建立的EVPN隧道进行通信。
目前,不同数据中心间的通信时,边界VTEP将接收到的报文进行EVPN隧道封装后,通过EVPN隧道发送至公网,EVPN隧道封装后的报文在公网的设备上进行传输,此时,EVPN隧道封装后的报文很容易被公网的设备截取,而一旦被截取,该EVPN隧道封装后的报文很容易被恢复出报文的原始信息,从而导致数据中心间数据的外泄。
发明内容
本发明实施例的目的在于提供一种报文处理方法及装置,以避免数据中心间的数据外泄。具体技术方案如下:
一方面,本发明实施例公开了一种报文处理方法,应用于第一数据中心的边界VTEP,所述方法包括:
接收所述第一数据中心的主机发送的第一报文;
在转发表中查找所述第一报文的目的地址,确定所述第一报文对应的出接口,其中,所述转发表中包括:地址和出接口的对应关系;
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预设密钥对所述第一报文进行加密,其中,所述预设密钥为第一数据中心的边界VTEP与所述第二数据中心的边界VTEP预先协商的;
对加密后的所述第一报文进行EVPN隧道封装;
通过EVPN隧道,将EVPN隧道封装后的所述第一报文发送至所述第二数据中心的边界VTEP。
另一方面,本发明实施例公开了一种报文处理装置,应用于第一数据中心的边界VTEP,所述装置包括:
第一接收单元,用于接收所述第一数据中心的主机发送的第一报文;
确定单元,用于在转发表中查找所述第一报文的目的地址,确定所述第一报文对应的出接口,其中,所述转发表中包括:地址和出接口的对应关系;
加密单元,用于若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预设密钥对所述第一报文进行加密,其中,所述预设密钥为第一数据中心的边界VTEP与所述第二数据中心的边界VTEP预先协商的;
封装单元,用于对加密后的所述第一报文进行EVPN隧道封装;
第一发送单元,用于通过EVPN隧道,将EVPN隧道封装后的所述第一报文发送至所述第二数据中心的边界VTEP。
本发明实施例提供了一种报文处理方法及装置,在第一数据中心边界VTEP接收到第一报文后,若确定该第一报文的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,也就是,确定第一报文需要在公网设备上传输,则根据预设密钥对该第一报文进行加密,再对加密后的第一报文进行EVPN隧道封装,将EVPN隧道封装后的第一报文发送至第二数据中心的边界VTEP。可见,本发明实施例中,边界VTEP发送至公网的报文为加密处理后的报文,即使报文被公网的设备截取,也很难被恢复出报文的原始信息,有效地避免了数据中心间的数据外泄。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为分布式数据中心网络的结构示意图;
图2为本发明实施例提供的一种报文处理方法的一种流程示意图;
图3为本发明实施例中使用的一种EVPN隧道封装后的报文的结构示意图;
图4为本发明实施例提供的一种报文处理方法的另一种流程示意图;
图5为本发明实施例提供的一种报文处理装置的一种结构示意图;
图6为本发明实施例提供的一种报文处理装置的另一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面通过具体实施例,对本发明进行详细说明。
参考图2,图2为本发明实施例提供的一种报文处理方法的一种流程示意图,该方法可以应用于分布式数据中心网络中的任一数据中心的边界VTEP,为便于描述,以下以分布式数据中心网络中第一数据中心的边界VTEP为例进行说明。具体地,该方法包括:
S201:接收第一数据中心的主机发送的第一报文;
这里,第一数据中心的主机可以为与边界VTEP直接连接的设备,也可以为通过第一数据中心的内部VTEP与边界VTEP直接连接的设备。
S202:在转发表中查找第一报文的目的地址,确定第一报文对应的出接口;
其中,地址包括:IP(Internet Protocol,网络协议)地址和MAC(Media AccessControl,媒体访问控制)地址,VTEP的转发表中包括的地址和出接口的对应关系可以分为:IP地址与出接口的对应关系和MAC地址与出接口的对应关系。
第一数据中心的边界VTEP在接收到第一报文后,可以根据第一报文的目的IP地址在转发表中查找对应的出接口,也可以根据第一报文的目的MAC地址在转发表中查找对应的出接口,本发明实施例对此不进行限定。当查找到第一报文的目的IP地址和/或目的MAC地址对应的出接口时,将这个查找到的出接口确定为第一报文对应的出接口。
S203:若第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预设密钥对第一报文进行加密;
其中,第二数据中心与第一数据中心位于同一分布式数据中心网络中;上述预设密钥为第一数据中心的边界VTEP与第二数据中心的边界VTEP预先协商的,以便于第一数据中心和第二数据中心的边界VTEP能够对来自对端的边界VTEP的报文进行解密。一般的,密钥可以预先通过IKE(Internet Key Exchange,互联网密钥交换)协商获得。
若确定第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,也就是确定第一报文需要在公网的设备上进行传输,则根据预设密钥对第一报文进行加密。
在本发明的一个实施例中,为了提高报文加密的灵活性,减轻边界VTEP加密或解密的负担,边界VTEP可以仅对携带重要数据的报文进行加密处理,而对携带普通数据的报文则不进行加密处理。实际应用中,重要数据的报文一般为特定的主机接收的,因此可以通过接收报文的主机来区分重要数据的报文和普通数据的报文。
这种情况下,边界VTEP中可以预先存储地址和安全标记的对应关系,将接收重要数据的报文的主机的地址对应的安全标记设置为预设标记;该预设标记用于表示目的地址为这个主机的地址的报文携带有重要数据,需要对报文进行加密。此时,若第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定第一报文的目的地址对应的安全标记;若第一报文的目的地址对应的安全标记为上述预设标记,则根据预设密钥对对第一报文进行加密。
在本发明的其他实施例中,一个主机发送的报文也可以为重要数据的报文,此时,可以将发送重要数据的报文的主机的地址对应的安全标记设置为预设标记,上述预设标记还可以用于表示源地址为这个主机的地址的报文携带有重要数据,需要对报文进行加密。这种情况下,若第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定第一报文的源地址对应的安全标记;若第一报文的源地址对应的安全标记为上述预设标记,则根据预设密钥对第一报文进行加密。
需要说明的是,上述对报文进行加密的条件可以结合使用,也就是,若第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,且第一报文的目的地址、源地址中任一一个地址对应的安全标记为上述预设标记,则根据预设密钥对该第一报文进行加密;否则,不对第一报文进行加密。
在本发明的一个实施例中,各个数据中心的边界VTEP中的转发表和地址和安全标记的对应关系,在各个数据中心的边界VTEP间学习路由信息时生成。具体地,以第一数据中心的边界VTEP为例,该过程可以包括:
S01、在接收第一数据中心的主机发送的第一报文之前,通过第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,接收第二数据中心的边界VTEP发送的第一路由通告消息;
其中,第一路由通告消息中包括第二数据中心中的主机的地址和安全标记的对应关系。
S02、根据第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道和第一路由通告消息中包括的地址,生成转发表;
S03、存储第一路由通告消息中包括的地址和安全标记的对应关系。
这种情况下,第一数据中心的边界VTEP就可以根据存储的这个对应关系,确定向第二数据中心的边界VTEP发送的报文的目的地址对应的安全标记,进而确定报文是否需要加密。
另外,第一数据中心的边界VTEP也会向第二数据中心的边界VTEP发送路由通告消息,具体地:
S11、在接收第一数据中心的主机发送的第一报文之前,获取第一数据中心中的主机的地址对应的安全标记,并存储;
一般的,在边界VTEP中预先配置有需要进行加密的报文对应的主机信息,如MAC地址、主机标识等,根据这些主机信息,可以确定需要加密的主机的地址,进而获取到第一数据中心中的主机的地址对应的安全标记。
第一数据中心的边界VTEP在存储了第一数据中心中的主机的地址与安全标记的对应关系后,就可以根据存储的这个对应关系,确定向第二数据中心的边界VTEP发送的报文的源地址对应的安全标记,进而确定报文是否需要加密。
S12、根据第一数据中心中的主机的地址和安全标记的对应关系,生成第二路由通告消息,并通过EVPN隧道发送给第二数据中心的边界VTEP。
这样,第二数据中心的边界VTEP就可以根据第二路由通告消息生成转发表,并存储第二路由通告消息中包括的地址和安全标记的对应关系。此时,第二数据中心的边界VTEP就可以根据存储的这个对应关系,确定向第一数据中心的边界VTEP发送的报文的目的地址对应的安全标记,进而确定报文是否需要加密。
S204:对加密后的第一报文进行EVPN隧道封装;
在本发明的一个实施例中,第一数据中心的边界VTEP并不是对所有接收到的报文都进行加密,如S203中所述,第一数据中心的边界VTEP在第一报文对应的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,且第一报文的目的地址、源地址中任一一个地址对应的安全标记为预设标记时,才对该第一报文进行加密。这种情况下,为了便于接收报文侧的边界VTEP区分出EVPN隧道封装后的第一报文是否为加密处理后的报文,可以在EVPN隧道封装头中添加安全标识,该安全标识用于标识EVPN隧道封装后的报文中的原始报文已被加密处理。这种情况下,接收报文侧的边界VTEP接收到EVPN隧道封装后的第一报文后,若检测到EVPN隧道封装头中添加安全标识,则可以确定EVPN隧道封装后的第一报文中的第一报文为加密处理后的报文,在解封装EVPN隧道封装后的第一报文,获得第一报文后,需要对该第一报文进行解密。
需要说明的是,如图3所示,EVPN隧道封装头中包括VXLAN(Virtual eXtensibleLocal Area Network,可扩展虚拟局域网络)头,安全标识可以位于该VXLAN头的“R”、Reserved1和Reserved2中的任一保留字段中。如图3所示,安全标识“S”位于“R”字段。
S205:通过EVPN隧道,将EVPN隧道封装后的第一报文发送至第二数据中心的边界VTEP。
在本发明的一个实施例中,第一数据中心的边界VTEP还可以接收第二数据中心的边界VTEP通过公网发送来的EVPN隧道封装后的报文,具体地,参考图4,在图2的基础上,报文处理方法还可以包括:
S401:接收EVPN隧道封装后的第二报文;
其中,EVPN隧道封装后的第二报文为第二数据中心的主机通过第二数据中心的边界VTEP发送的。
S402:解封装EVPN隧道封装后的第二报文,获得第二报文;
S403:根据预设密钥对第二报文解密,并将解密后的第二报文发送给第二报文对应的目的主机。
在本发明的一个实施例中,并不是所有的EVPN隧道封装后的报文都进行加密处理的,边界VTEP可以通过EVPN隧道封装头中是否添加有安全标识,确定EVPN隧道封装后的报文是否为加密处理后的报文。
这种情况下,第一数据中心的边界VTEP若确定EVPN隧道封装后的第二报文的EVPN隧道封装头中包括安全标识,则确定第二报文为加密处理后的报文,根据预设密钥对第二报文解密,并将解密后的第二报文发送给第二报文对应的目的主机。
下面结合图1所示分布式数据中心网络,详细说明边界VTEP对报文的处理过程,具体地:
1、边界VTEP120将主机400和主机410的路由信息和地址和安全标记的对应关系通过路由通告信息1告知边界VTEP220;另外,边界VTEP220将主机500和主机510的路由信息和地址和安全标记的对应关系通过路由通告信息2告知边界VTEP120,边界VTEP120和边界VTEP220中生成对应的转发表,并存储主机400、主机410、主机500和主机510的地址和安全标记的对应关系;其中,对应主机400或主机500的报文需要被加密,也就是,主机400的地址对应的安全标记为预设标记,如:“1”,主机500的地址的安全标记为“1”;
2、边界VTEP120接收到主机400发送给主机500的报文1,根据报文1的目的地址(主机500的地址)查找转发表,确定该报文1的出接口为边界VTEP120和边界VTEP220间的EVPN隧道,并且根据预先存储的地址和安全标记的对应关系,确定报文1的目的地址的安全标记为“1”,则根据边界VTEP220和边界VTEP120间协商好的密钥Y,对报文1进行加密得到加密报文1后,再进行EVPN隧道封装,将EVPN隧道封装后的加密报文1发送至公网,该EVPN隧道封装后的加密报文1的EVPN隧道封装头中包括安全标识“S”;
公网中的设备根据EVPN隧道封装后的加密报文1的外层IP头,将EVPN隧道封装后的加密报文1转发给边界VTEP220;
边界VTEP220接收到EVPN隧道封装后的加密报文1后,解封装该EVPN隧道封装后的加密报文1,获得加密报文1;根据EVPN隧道封装头中的安全标识“S”,确定加密报文1为加密处理后的报文;根据边界VTEP220和边界VTEP120间协商好的密钥Y,对加密报文1解密,恢复出原始的报文1,将该恢复出的报文1转发给主机500;
3、边界VTEP120接收到主机400发送给主机510的报文2,根据报文2的目的地址(主机510的地址)查找转发表,确定该报文2的出接口为边界VTEP120和边界VTEP220间的EVPN隧道,根据预先存储的地址和安全标记的对应关系,确定报文2的源地址(主机400的地址)的安全标记为“1”;这种情况下,根据边界VTEP220和边界VTEP120间协商好的密钥Y,对报文2进行加密得到加密报文2后,再进行EVPN隧道封装,将EVPN隧道封装后的加密报文2发送至公网,该EVPN隧道封装后的加密报文2的EVPN隧道封装头中包括安全标识“S”;
公网中的设备根据EVPN隧道封装后的加密报文2的外层IP头,将EVPN隧道封装后的加密报文2转发给边界VTEP220;
边界VTEP220接收到EVPN隧道封装后的加密报文2后,解封装该EVPN隧道封装后的加密报文2,获得加密报文2;根据EVPN隧道封装头中的安全标识“S”,确定加密报文2为加密处理后的报文;根据边界VTEP220和边界VTEP120间协商好的密钥Y,对加密报文2解密,恢复出原始的报文2,将该恢复出的报文2转发给主机510。
4、边界VTEP120接收到主机410发送给主机510的报文3,根据报文3的目的地址(主机510的地址)查找转发表,确定该报文3的出接口为边界VTEP120和边界VTEP220间EVPN隧道,但根据预先存储的地址和安全标记的对应关系,确定报文3的目的地址的安全标记不为“1”,报文3的源地址(主机410的地址)的安全标记也不为“1”;这种情况下,不对报文3进行加密,直接进行EVPN隧道封装,将EVPN隧道封装后的报文3发送至公网,该EVPN隧道封装后的报文3的EVPN隧道封装头中不包括安全标识“S”;
公网中的设备根据EVPN隧道封装后的报文3的外层IP头,将EVPN隧道封装后的报文3转发给边界VTEP220;
边界VTEP220接收到EVPN隧道封装后的报文3后,解封装该EVPN隧道封装后的报文3,获得报文3;根据EVPN隧道封装头中不包括的安全标识“S”,确定报文3为未加密处理后的报文,直接将该报文3转发给主机510。
应用上述实施例,在第一数据中心边界VTEP接收到第一报文后,若确定该第一报文的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,也就是,确定第一报文需要在公网设备上传输,则根据预设密钥对该第一报文进行加密,再对加密后的第一报文进行EVPN隧道封装,将EVPN隧道封装后的第一报文发送至第二数据中心的边界VTEP。可见,本发明实施例中,边界VTEP发送至公网的报文为加密处理后的报文,即使报文被公网的设备截取,也很难被恢复出报文的原始信息,有效地避免了数据中心间的数据外泄。
参考图5,图5为本发明实施例提供的一种报文处理装置的一种结构示意图,应用于第一数据中心的边界VTEP,该装置包括:
第一接收单元501,用于接收所述第一数据中心的主机发送的第一报文;
确定单元502,用于在转发表中查找所述第一报文的目的地址,确定所述第一报文对应的出接口,其中,所述转发表中包括:地址和出接口的对应关系;
加密单元503,用于若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预设密钥对所述第一报文进行加密,其中,所述预设密钥为第一数据中心的边界VTEP与所述第二数据中心的边界VTEP预先协商的;
封装单元504,用于对加密后的所述第一报文进行EVPN隧道封装;
第一发送单元505,用于通过EVPN隧道,将EVPN隧道封装后的所述第一报文发送至所述第二数据中心的边界VTEP。
在本发明的一个实施例中,所述加密单元503,具体可以用于:
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定所述第一报文的目的地址对应的安全标记;
若所述第一报文的目的地址对应的安全标记为预设标记,则根据预设密钥对所述第一报文进行加密。
在本发明的一个实施例中,所述报文处理装置还可以包括:
第二接收单元(图5中未示出),用于在接收所述第一数据中心的主机发送的第一报文之前,通过所述第一数据中心的边界VTEP与所述第二数据中心的边界VTEP间的EVPN隧道,接收所述第二数据中心的边界VTEP发送的第一路由通告消息,所述第一路由通告消息中包括所述第二数据中心中的主机的地址和安全标记的对应关系;
生成单元(图5中未示出),用于根据所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道和所述第一路由通告消息中包括的地址,生成转发表;
存储单元(图5中未示出),用于存储所述第一路由通告消息中包括的地址和安全标记的对应关系。
在本发明的一个实施例中,所述加密单元503,具体可以用于:
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定所述第一报文的源地址对应的安全标记;
若所述第一报文的源地址对应的安全标记为预设标记,则根据预设密钥对所述第一报文进行加密。
在本发明的一个实施例中,所述报文处理装置还可以包括:
获取单元(图5中未示出),用于在接收所述第一数据中心的主机发送的第一报文之前,获取所述第一数据中心中的主机的地址对应的安全标记,并存储;
第二发送单元(图5中未示出),用于根据所述第一数据中心中的主机的地址和安全标记的对应关系,生成第二路由通告消息,并通过所述EVPN隧道发送给所述第二数据中心的边界VTEP,以使所述第二数据中心的边界VTEP根据所述第二路由通告消息生成转发表,并存储所述第二路由通告消息中包括的地址和安全标记的对应关系。
在本发明的一个实施例中,参考图6,在图5的基础上,所述报文处理装置还可以包括:
第三接收单元601,用于接收EVPN隧道封装后的第二报文,其中,所述EVPN隧道封装后的第二报文为所述第二数据中心的主机通过所述第二数据中心的边界VTEP发送的;
解封装单元602,用于解封装所述EVPN隧道封装后的第二报文,获得所述第二报文;
解密单元603,用于根据所述预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机。
在本发明的一个实施例中,所述封装单元504,具体可以用于:
对加密后的所述第一报文进行EVPN隧道封装,并在EVPN隧道封装头中添加安全标识,其中,所述安全标识用于标识EVPN隧道封装后的报文中的原始报文已被加密处理。
在本发明的一个实施例中,所述解密单元603,具体可以用于:
若所述EVPN隧道封装后的第二报文的EVPN隧道封装头中包括所述安全标识,则根据所述预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机。
应用上述实施例,在第一数据中心边界VTEP接收到第一报文后,若确定该第一报文的出接口为第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,也就是,确定第一报文需要在公网设备上传输,则根据预设密钥对该第一报文进行加密,再对加密后的第一报文进行EVPN隧道封装,将EVPN隧道封装后的第一报文发送至第二数据中心的边界VTEP。可见,本发明实施例中,边界VTEP发送至公网的报文为加密处理后的报文,即使报文被公网的设备截取,也很难被恢复出报文的原始信息,有效地避免了数据中心间的数据外泄。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种报文处理方法,其特征在于,应用于第一数据中心的边界可扩展虚拟局域网络隧道端点VTEP,所述方法包括:
接收所述第一数据中心的主机发送的第一报文;
在转发表中查找所述第一报文的目的地址,确定所述第一报文对应的出接口,其中,所述转发表中包括:地址和出接口的对应关系;
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的以太网虚拟专用网络EVPN隧道,则根据预设密钥对所述第一报文进行加密,其中,所述预设密钥为第一数据中心的边界VTEP与所述第二数据中心的边界VTEP预先协商的;
对加密后的所述第一报文进行EVPN隧道封装;
通过EVPN隧道,将EVPN隧道封装后的所述第一报文发送至所述第二数据中心的边界VTEP。
2.根据权利要求1所述的方法,其特征在于,所述若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的以太网虚拟专用网络EVPN隧道,则根据预设密钥对所述第一报文进行加密的步骤,包括:
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定所述第一报文的目的地址对应的安全标记;
若所述第一报文的目的地址对应的安全标记为预设标记,则根据预设密钥对所述第一报文进行加密。
3.根据权利要求2所述的方法,其特征在于,在所述接收所述第一数据中心的主机发送的第一报文的步骤之前,所述方法还包括:
通过所述第一数据中心的边界VTEP与所述第二数据中心的边界VTEP间的EVPN隧道,接收所述第二数据中心的边界VTEP发送的第一路由通告消息,所述第一路由通告消息中包括所述第二数据中心中的主机的地址和安全标记的对应关系;
根据所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道和所述第一路由通告消息中包括的地址,生成转发表;
存储所述第一路由通告消息中包括的地址和安全标记的对应关系。
4.根据权利要求1所述的方法,其特征在于,所述若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的以太网虚拟专用网络EVPN隧道,则根据预设密钥对所述第一报文进行加密的步骤,包括:
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定所述第一报文的源地址对应的安全标记;
若所述第一报文的源地址对应的安全标记为预设标记,则根据预设密钥对所述第一报文进行加密。
5.根据权利要求4所述的方法,其特征在于,在所述接收所述第一数据中心的主机发送的第一报文的步骤之前,所述方法还包括:
获取所述第一数据中心中的主机的地址对应的安全标记,并存储;
根据所述第一数据中心中的主机的地址和安全标记的对应关系,生成第二路由通告消息,并通过所述EVPN隧道发送给所述第二数据中心的边界VTEP,以使所述第二数据中心的边界VTEP根据所述第二路由通告消息生成转发表,并存储所述第二路由通告消息中包括的地址和安全标记的对应关系。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
接收EVPN隧道封装后的第二报文,其中,所述EVPN隧道封装后的第二报文为所述第二数据中心的主机通过所述第二数据中心的边界VTEP发送的;
解封装所述EVPN隧道封装后的第二报文,获得所述第二报文;
根据所述预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机。
7.根据权利要求6所述的方法,其特征在于,所述对加密后的所述第一报文进行EVPN隧道封装的步骤,包括:
对加密后的所述第一报文进行EVPN隧道封装,并在EVPN隧道封装头中添加安全标识,其中,所述安全标识用于标识EVPN隧道封装后的报文中的原始报文已被加密处理。
8.根据权利要求7所述的方法,其特征在于,所述根据预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机的步骤,包括:
若所述EVPN隧道封装后的第二报文的EVPN隧道封装头中包括所述安全标识,则根据所述预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机。
9.一种报文处理装置,其特征在于,应用于第一数据中心的边界可扩展虚拟局域网络隧道端点VTEP,所述装置包括:
第一接收单元,用于接收所述第一数据中心的主机发送的第一报文;
确定单元,用于在转发表中查找所述第一报文的目的地址,确定所述第一报文对应的出接口,其中,所述转发表中包括:地址和出接口的对应关系;
加密单元,用于若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的以太网虚拟专用网络EVPN隧道,则根据预设密钥对所述第一报文进行加密,其中,所述预设密钥为第一数据中心的边界VTEP与所述第二数据中心的边界VTEP预先协商的;
封装单元,用于对加密后的所述第一报文进行EVPN隧道封装;
第一发送单元,用于通过EVPN隧道,将EVPN隧道封装后的所述第一报文发送至所述第二数据中心的边界VTEP。
10.根据权利要求9所述的装置,其特征在于,所述加密单元,具体用于:
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定所述第一报文的目的地址对应的安全标记;
若所述第一报文的目的地址对应的安全标记为预设标记,则根据预设密钥对所述第一报文进行加密。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第二接收单元,用于在接收所述第一数据中心的主机发送的第一报文之前,通过所述第一数据中心的边界VTEP与所述第二数据中心的边界VTEP间的EVPN隧道,接收所述第二数据中心的边界VTEP发送的第一路由通告消息,所述第一路由通告消息中包括所述第二数据中心中的主机的地址和安全标记的对应关系;
生成单元,用于根据所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道和所述第一路由通告消息中包括的地址,生成转发表;
存储单元,用于存储所述第一路由通告消息中包括的地址和安全标记的对应关系。
12.根据权利要求9所述的装置,其特征在于,所述加密单元,具体用于:
若所述第一报文对应的出接口为所述第一数据中心的边界VTEP与第二数据中心的边界VTEP间的EVPN隧道,则根据预先存储的地址和安全标记的对应关系,确定所述第一报文的源地址对应的安全标记;
若所述第一报文的源地址对应的安全标记为预设标记,则根据预设密钥对所述第一报文进行加密。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
获取单元,用于在接收所述第一数据中心的主机发送的第一报文之前,获取所述第一数据中心中的主机的地址对应的安全标记,并存储;
第二发送单元,用于根据所述第一数据中心中的主机的地址和安全标记的对应关系,生成第二路由通告消息,并通过所述EVPN隧道发送给所述第二数据中心的边界VTEP,以使所述第二数据中心的边界VTEP根据所述第二路由通告消息生成转发表,并存储所述第二路由通告消息中包括的地址和安全标记的对应关系。
14.根据权利要求9-13任一项所述的装置,其特征在于,所述装置还包括:
第三接收单元,用于接收EVPN隧道封装后的第二报文,其中,所述EVPN隧道封装后的第二报文为所述第二数据中心的主机通过所述第二数据中心的边界VTEP发送的;
解封装单元,用于解封装所述EVPN隧道封装后的第二报文,获得所述第二报文;
解密单元,用于根据所述预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机。
15.根据权利要求14所述的装置,其特征在于,所述封装单元,具体用于:
对加密后的所述第一报文进行EVPN隧道封装,并在EVPN隧道封装头中添加安全标识,其中,所述安全标识用于标识EVPN隧道封装后的报文中的原始报文已被加密处理。
16.根据权利要求15所述的装置,其特征在于,所述解密单元,具体用于:
若所述EVPN隧道封装后的第二报文的EVPN隧道封装头中包括所述安全标识,则根据所述预设密钥对所述第二报文解密,并将解密后的所述第二报文发送给所述第二报文对应的目的主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710013047.5A CN106878278B (zh) | 2017-01-09 | 2017-01-09 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710013047.5A CN106878278B (zh) | 2017-01-09 | 2017-01-09 | 一种报文处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106878278A CN106878278A (zh) | 2017-06-20 |
CN106878278B true CN106878278B (zh) | 2021-06-22 |
Family
ID=59164486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710013047.5A Active CN106878278B (zh) | 2017-01-09 | 2017-01-09 | 一种报文处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106878278B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109361684B (zh) * | 2018-11-14 | 2021-05-25 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
CN112751759B (zh) * | 2019-10-30 | 2024-06-07 | 华为技术有限公司 | 路由信息传输方法及装置、数据中心互联网络 |
CN111526080B (zh) * | 2020-05-07 | 2022-03-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
CN114285675B (zh) * | 2022-03-07 | 2022-07-12 | 杭州优云科技有限公司 | 一种报文转发方法及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161225A (zh) * | 2015-03-23 | 2016-11-23 | 华为技术有限公司 | 用于处理vxlan报文的方法、装置及系统 |
CN106453025A (zh) * | 2016-11-04 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种隧道创建方法及装置 |
CN106878138A (zh) * | 2017-01-18 | 2017-06-20 | 新华三技术有限公司 | 一种报文传输方法和装置 |
CN106992917A (zh) * | 2017-03-03 | 2017-07-28 | 新华三技术有限公司 | 报文转发方法和装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6778651B1 (en) * | 1997-04-03 | 2004-08-17 | Southwestern Bell Telephone Company | Apparatus and method for facilitating service management of communications services in a communications network |
US9106508B2 (en) * | 2012-04-30 | 2015-08-11 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
CN103618596B (zh) * | 2013-05-15 | 2017-06-20 | 盛科网络(苏州)有限公司 | Vxlan隧道中内层信息的加密方法 |
CN104954218B (zh) * | 2014-03-24 | 2018-02-09 | 新华三技术有限公司 | 分布式虚拟交换装置及转发方法 |
CN106209401B (zh) * | 2015-04-30 | 2019-08-06 | 新华三技术有限公司 | 一种传输方法及装置 |
CN104935594B (zh) * | 2015-06-16 | 2018-05-08 | 新华三技术有限公司 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
CN105099922B (zh) * | 2015-06-18 | 2018-10-09 | 新华三技术有限公司 | 一种跨虚拟可扩展局域网的数据报文转发方法和装置 |
-
2017
- 2017-01-09 CN CN201710013047.5A patent/CN106878278B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161225A (zh) * | 2015-03-23 | 2016-11-23 | 华为技术有限公司 | 用于处理vxlan报文的方法、装置及系统 |
CN106453025A (zh) * | 2016-11-04 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种隧道创建方法及装置 |
CN106878138A (zh) * | 2017-01-18 | 2017-06-20 | 新华三技术有限公司 | 一种报文传输方法和装置 |
CN106992917A (zh) * | 2017-03-03 | 2017-07-28 | 新华三技术有限公司 | 报文转发方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106878278A (zh) | 2017-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878278B (zh) | 一种报文处理方法及装置 | |
US10904217B2 (en) | Encryption for gateway tunnel-based VPNs independent of wan transport addresses | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
JP3263878B2 (ja) | 暗号通信システム | |
US7869446B2 (en) | Optimized dynamic multipoint virtual private network over IPv6 network | |
US20070177550A1 (en) | Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same | |
CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
CN109981820B (zh) | 一种报文转发方法及装置 | |
CN107306198B (zh) | 报文转发方法、设备和系统 | |
US9473466B2 (en) | System and method for internet protocol security processing | |
CN106878259B (zh) | 一种报文转发方法及装置 | |
CN102088438A (zh) | 一种解决IPSec Client地址冲突的方法及IPSec Client | |
US7254835B2 (en) | Method and apparatus for conveying a security context in addressing information | |
CN101741552A (zh) | 报文转发方法、设备及系统 | |
WO2022166979A1 (zh) | 报文处理方法、客户端设备、服务器端设备和计算机可读介质 | |
JPH06318939A (ja) | 暗号通信システム | |
CN112600802B (zh) | 一种SRv6加密报文、SRv6报文的加解密方法及装置 | |
TW201431336A (zh) | 虛擬私有網路通信系統、路由裝置及其方法 | |
CN101145904A (zh) | 一种传输数据报文的方法、设备和系统 | |
US7864770B1 (en) | Routing messages in a zero-information nested virtual private network | |
JP2005051458A (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 | |
JP2008182649A (ja) | 暗号化パケット通信システム | |
KR101837064B1 (ko) | 보안 통신 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |