CN107204942A - 一种基于五元组实现服务链透明传输的实现方法 - Google Patents

一种基于五元组实现服务链透明传输的实现方法 Download PDF

Info

Publication number
CN107204942A
CN107204942A CN201610154644.5A CN201610154644A CN107204942A CN 107204942 A CN107204942 A CN 107204942A CN 201610154644 A CN201610154644 A CN 201610154644A CN 107204942 A CN107204942 A CN 107204942A
Authority
CN
China
Prior art keywords
message
service chaining
tuple
mac
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610154644.5A
Other languages
English (en)
Inventor
江均勇
岳海涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Cloud Information Technology Co Ltd
Original Assignee
Shanghai Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Cloud Information Technology Co Ltd filed Critical Shanghai Cloud Information Technology Co Ltd
Priority to CN201610154644.5A priority Critical patent/CN107204942A/zh
Publication of CN107204942A publication Critical patent/CN107204942A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于五元组实现服务链透明传输的实现方法,通过以下步骤:对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;根据提取的信息从缓存的五元组信息查找保存的该报文对应的源MAC;根据查询到的真实源MAC对MAC进行替换处理,在服务链的基础上,简化了VM对业务处理的逻辑,报文在出VM进入Switch的时候根据匹配进入时刻的报文的五元组信息来还原源MAC,消除了同一个IP对应不同的MAC导致的数据交换紊乱。

Description

一种基于五元组实现服务链透明传输的实现方法
技术领域
本发明涉及互联网应用技术领域,尤其涉及一种基于五元组实现服务链透明传输的实现方法。
背景技术
在传统模式下,数据报文在网络中传输时,需要经过各种各样的物理网络设备(如FW(Firewall,防火墙)、IPS(Intrusion PreventionSystem,入侵防护)/IDS(Intrusion Detection System,入侵检测系统)、LB(Load Balance,负载均衡))和业务节点(如业务Cache、服务节点),这些网络设备和业务节点通过物理的网络连线和交换路由配置来保证业务依次串行经过预先规划的网络设备和业务节点,从而为客户提供安全、快速、稳定、可靠的服务。
当网络流量按照业务逻辑所要求的既定的顺序,经过这些物理网络设备和业务节点时,经过的这些节点就是一个服务链。用户的访问流程也就是一个执行服务链的流程,服务链可以理解为业务被处理的流程。
在NFV(Network Functions Virtual ization,网络功能虚拟化)以及云计算的发展趋势下,对传统网络设备的功能进行虚拟化并制成VM(Virtual Machine)所需的镜像的格式,然后通过Service Chain(服务链)技术达到对VM的编排,引导客户业务流量依次经过所定义的业务VM,从而实现从传统硬件模式服务链到云计算平台上虚拟化服务链的转变,实现了服务链的灵活定义以及高可靠。
在网络传输过程中,数据二层交换的原理采用了基于MAC地址的链路层数据转发。对于每个进入VM的报文在经过VM处理后源MAC都会被标记成该VM对应的MAC,这会导致在传输过程中五元组信息不透明。当业务报文在传输过程中五元组信息不透明时会导致一个IP对应多个MAC,从而导致数据报文转发错乱,甚至错误判断为系统中存在了ARP欺骗行为。而在云化的环境下,不同的VM即使属于不同的服务链,但是只要它们属于同一个业务网络,那它们之间便可以互通,这更扩大了该问题的影响范围。
发明内容
鉴于目前互联网应用技术领域存在的上述不足,本发明提供一种基于五元组实现服务链透明传输的实现方法,能够对下行报文所携带的源MAC进行还原。
为达到上述目的,本发明的实施例采用如下技术方案:
一种基于五元组实现服务链透明传输的实现方法,所述基于五元组实现服务链透明传输的实现方法包括以下步骤:
对从Switch(硬件交换机或者软件实现的交换机)端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;
对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;
根据提取的报文中的源IP,目的IP,目的MAC和协议Protocol信息从缓存的五元组信息查找保存的该报文对应的源MAC;
根据查询到的真实源MAC对MAC进行替换处理。
依照本发明的一个方面,所述五元组信息包括:源IP、源MAC、目的IP、目的MAC和协议Protocol。
依照本发明的一个方面,所述基于五元组实现服务链透明传输的实现方法包括:结合上行端口对应的VLAN ID以及VXLAN ID对需要进行透明处理的报文做进一步的限制和约束。
依照本发明的一个方面,所述服务链全部为VM或者为VM和物理主机混合。
本发明实施的优点:本发明所述的基于五元组实现服务链透明传输的实现方法通过以下步骤:对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;根据提取的报文中的源IP,目的IP,目的MAC和协议Protocol信息从缓存的五元组信息查找保存的该报文对应的源MAC;根据查询到的真实源MAC对MAC进行替换处理,在服务链的基础上提出了一种透明的业务传输方式,简化了VM对业务处理的逻辑,在VM内部无需进行任何透明处理,报文在出VM进入Switch的时候根据匹配进入时刻的报文的五元组信息来还原源MAC,消除了同一个IP对应不同的MAC导致的数据交换紊乱;既通过对下行报文所携带的源MAC进行还原,解决了Switch以及物理交换机在转发的过程中一个源IP对应多个MAC的问题带来的紊乱问题,同时通过对透明进行限制处理,让透明只限制在特定业务范围内而不影响VM自身与外部的通信,可以进一步做到只针对某些一些进行透明处理,增加了透明处理的灵活性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所述的一种基于五元组实现服务链透明传输的实现方法示意图;
图2为本发明实施例二所述的一种基于五元组实现服务链透明传输的实现方法示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,一种基于五元组实现服务链透明传输的实现方法,所述基于五元组实现服务链透明传输的实现方法包括以下步骤:
步骤S1:对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;
所述步骤S1对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存的具体实施方式可为:识别每个从Switch端口进入到服务链VM的上行报文,提取该报文对应的五元组信息(源IP,源MAC,目的IP,目的MAC,协议Protocol)并进行缓存处理。
其中,所述五元组信息包括:源IP、源MAC、目的IP、目的MAC和协议Protocol。
步骤S2:对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;
步骤S3:根据提取的报文中的源IP,目的IP,目的MAC和协议Protocol信息从缓存的五元组信息查找保存的该报文对应的源MAC;
步骤S4:根据查询到的真实源MAC对MAC进行替换处理。
在实际应用中,所述基于五元组实现服务链透明传输的实现方法适合服务链全部为VM的场景;
在实际应用中,所述基于五元组实现服务链透明传输的实现方法适合服务链为VM和物理主机混合的场景。
本实施例所述的基于五元组实现服务链透明传输的实现方法,通过对下行报文所携带的源MAC进行还原,解决了Switch以及物理交换机在转发的过程中一个源IP对应多个MAC的问题带来的紊乱问题。在服务链的基础上提出了一种透明的业务传输方式,简化了VM对业务处理的逻辑,在VM内部无需进行任何透明处理,报文在出VM进入Switch的时候根据匹配进入时刻的报文的五元组信息来还原源MAC,消除了同一个IP对应不同的MAC导致的数据交换紊乱。由于业务报文携带的VLAN信息在传输过程中实现了透明处理,因此基于该处理该实现了在同一条服务链上承载多租户业务的功能。
实施例二
如图2所示,一种基于五元组实现服务链透明传输的实现方法,所述基于五元组实现服务链透明传输的实现方法包括以下步骤:
步骤S1:对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;
所述步骤S1对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存的具体实施方式可为:识别每个从Switch端口进入到服务链VM的上行报文,提取该报文对应的五元组信息(源IP,源MAC,目的IP,目的MAC,协议Protocol)并进行缓存处理。
其中,所述五元组信息包括:源IP、源MAC、目的IP、目的MAC和协议Protocol。
步骤S2:对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;
步骤S3:根据提取的报文中的源IP,目的IP,目的MAC和协议Protocol信息从缓存的五元组信息查找保存的该报文对应的源MAC;
步骤S4:根据查询到的真实源MAC对MAC进行替换处理;
步骤S5:结合上行端口对应的VLAN ID以及VXLAN ID对需要进行透明处理的报文做进一步的限制和约束。
通过五元组的方式来进行源MAC的恢复提供了一种恢复的方式,可以结合上行端口对应的VLAN ID以及VXLAN(Virtual eXtensibleLocal Area Network)ID对需要进行透明处理的报文做进一步的现在和约束,从而达到只针对某些租户或者某些业务进行透明处理的目的。
在实际应用中,所述基于五元组实现服务链透明传输的实现方法适合服务链全部为VM的场景;
在实际应用中,所述基于五元组实现服务链透明传输的实现方法适合服务链为VM和物理主机混合的场景。
本实施例所述的基于五元组实现服务链透明传输的实现方法,通过对下行报文所携带的源MAC进行还原,解决了Switch以及物理交换机在转发的过程中一个源IP对应多个MAC的问题带来的紊乱问题。在服务链的基础上提出了一种透明的业务传输方式,简化了VM对业务处理的逻辑,在VM内部无需进行任何透明处理,报文在出VM进入Switch的时候根据匹配进入时刻的报文的五元组信息来还原源MAC,消除了同一个IP对应不同的MAC导致的数据交换紊乱。由于业务报文携带的VLAN信息在传输过程中实现了透明处理,因此基于该处理该实现了在同一条服务链上承载多租户业务的功能。可以将透明只限制在某些特定的业务范围内,这样不会影响VM自身与外部进行通信。基于透明进一步提出业务透明的概念,可以进一步做到只针对某些一些进行透明处理,增加了透明处理的灵活性。
本发明实施的优点:本发明所述的基于五元组实现服务链透明传输的实现方法通过以下步骤:对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;根据提取的报文中的源IP,目的IP,目的MAC和协议Protocol信息从缓存的五元组信息查找保存的该报文对应的源MAC;根据查询到的真实源MAC对MAC进行替换处理,在服务链的基础上提出了一种透明的业务传输方式,简化了VM对业务处理的逻辑,在VM内部无需进行任何透明处理,报文在出VM进入Switch的时候根据匹配进入时刻的报文的五元组信息来还原源MAC,消除了同一个IP对应不同的MAC导致的数据交换紊乱;既通过对下行报文所携带的源MAC进行还原,解决了Switch以及物理交换机在转发的过程中一个源IP对应多个MAC的问题带来的紊乱问题,同时通过对透明进行限制处理,让透明只限制在特定业务范围内而不影响VM自身与外部的通信,可以进一步做到只针对某些一些进行透明处理,增加了透明处理的灵活性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域技术的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (4)

1.一种基于五元组实现服务链透明传输的实现方法,其特征在于,所述基于五元组实现服务链透明传输的实现方法包括以下步骤:
对从Switch端口进入到服务链VM的上行报文进行识别并进行对应的五元组信息提取和缓存;
对从服务链VM进入Switch端口的下行报文进行识别,并提取该报文中的源IP,目的IP,目的MAC和协议Protocol信息;
根据提取的报文中的源IP,目的IP,目的MAC和协议Protocol信息从缓存的五元组信息查找保存的该报文对应的源MAC;
根据查询到的真实源MAC对MAC进行替换处理。
2.根据权利要求1所述的基于五元组实现服务链透明传输的实现方法,其特征在于,所述五元组信息包括:源IP、源MAC、目的IP、目的MAC和协议Protocol。
3.根据权利要求1至2之一所述的基于五元组实现服务链透明传输的实现方法,其特征在于,所述基于五元组实现服务链透明传输的实现方法包括:结合上行端口对应的VLAN ID以及VXLAN ID对需要进行透明处理的报文做进一步的限制和约束。
4.根据权利要求3所述基于VXLAN技术解决多租户服务链传输的实现方法,其特征在于,所述服务链全部为VM或者为VM和物理主机混合。
CN201610154644.5A 2016-03-18 2016-03-18 一种基于五元组实现服务链透明传输的实现方法 Pending CN107204942A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610154644.5A CN107204942A (zh) 2016-03-18 2016-03-18 一种基于五元组实现服务链透明传输的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610154644.5A CN107204942A (zh) 2016-03-18 2016-03-18 一种基于五元组实现服务链透明传输的实现方法

Publications (1)

Publication Number Publication Date
CN107204942A true CN107204942A (zh) 2017-09-26

Family

ID=59903933

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610154644.5A Pending CN107204942A (zh) 2016-03-18 2016-03-18 一种基于五元组实现服务链透明传输的实现方法

Country Status (1)

Country Link
CN (1) CN107204942A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107645458A (zh) * 2017-10-20 2018-01-30 锐捷网络股份有限公司 三层报文引流方法及控制器
CN109309663A (zh) * 2018-08-13 2019-02-05 厦门集微科技有限公司 云计算环境下实现docker网络穿透两层协议栈的方法及装置
CN109995637A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 S-vxlan构建方法、数据转发方法及系统
CN110311838A (zh) * 2019-07-24 2019-10-08 北京神州绿盟信息安全科技股份有限公司 一种安全服务流量统计的方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099960A (zh) * 2014-04-30 2015-11-25 国际商业机器公司 用于实现服务链的方法和装置
US9258237B1 (en) * 2013-06-17 2016-02-09 Juniper Networks, Inc. Enhancing DOCSIS services through network functions virtualization

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258237B1 (en) * 2013-06-17 2016-02-09 Juniper Networks, Inc. Enhancing DOCSIS services through network functions virtualization
CN105099960A (zh) * 2014-04-30 2015-11-25 国际商业机器公司 用于实现服务链的方法和装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107645458A (zh) * 2017-10-20 2018-01-30 锐捷网络股份有限公司 三层报文引流方法及控制器
CN107645458B (zh) * 2017-10-20 2020-04-24 锐捷网络股份有限公司 三层报文引流方法及控制器
CN109995637A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 S-vxlan构建方法、数据转发方法及系统
CN109309663A (zh) * 2018-08-13 2019-02-05 厦门集微科技有限公司 云计算环境下实现docker网络穿透两层协议栈的方法及装置
CN109309663B (zh) * 2018-08-13 2021-03-19 厦门集微科技有限公司 云计算环境下实现docker网络穿透两层协议栈的方法及装置
CN110311838A (zh) * 2019-07-24 2019-10-08 北京神州绿盟信息安全科技股份有限公司 一种安全服务流量统计的方法及装置
CN110311838B (zh) * 2019-07-24 2021-05-04 绿盟科技集团股份有限公司 一种安全服务流量统计的方法及装置

Similar Documents

Publication Publication Date Title
US11689455B2 (en) Loop prevention in virtual layer 2 networks
US10237230B2 (en) Method and system for inspecting network traffic between end points of a zone
CN106789542B (zh) 一种云数据中心安全服务链的实现方法
US10542577B2 (en) Connectivity checks in virtualized computing environments
US11757773B2 (en) Layer-2 networking storm control in a virtualized cloud environment
CN105207873B (zh) 一种报文处理方法和装置
US9178828B2 (en) Architecture for agentless service insertion
CN109716717A (zh) 从软件定义的网络控制器管理虚拟端口信道交换机对等体
CN107018058B (zh) 一种云环境下共用vlan和vxlan通信的方法及系统
CN105049360A (zh) 用于促进互连交换机的网络中的交换机虚拟化的方法和系统
EP3821589B1 (en) Session management in a forwarding plane
CN108702326A (zh) 检测软件定义网络(sdn)中的控制平面循环的机制
US20180109429A1 (en) Intuitive approach to visualize health of microservice policies
EP3544237B1 (en) Sdn-based remote stream mirroring control method, implementation method, and related device
CN105933248B (zh) 基本虚拟网络环境内的服务插入
CN107204942A (zh) 一种基于五元组实现服务链透明传输的实现方法
CN105681198B (zh) 一种业务链处理方法、设备及系统
US8856947B1 (en) Intrusion detection and prevention processing within network interface circuitry
US11888876B2 (en) Intelligent quarantine on switch fabric for physical and virtualized infrastructure
CN103973673B (zh) 划分虚拟防火墙的方法和设备
CN107566237A (zh) 一种数据报文处理方法及装置
CN105245504A (zh) 一种云计算网络中南北向流量安全防护系统
CN103973578A (zh) 一种虚拟机流量重定向的方法及装置
CN103346950B (zh) 一种机架式无线控制器用户业务板间负载均摊方法及装置
CN106209554B (zh) 跨虚拟可扩展局域网的报文转发方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
AD01 Patent right deemed abandoned
AD01 Patent right deemed abandoned

Effective date of abandoning: 20210223