CN107809365B - 一种基于OpenStack架构提供VPN服务的实现方法 - Google Patents
一种基于OpenStack架构提供VPN服务的实现方法 Download PDFInfo
- Publication number
- CN107809365B CN107809365B CN201710848186.XA CN201710848186A CN107809365B CN 107809365 B CN107809365 B CN 107809365B CN 201710848186 A CN201710848186 A CN 201710848186A CN 107809365 B CN107809365 B CN 107809365B
- Authority
- CN
- China
- Prior art keywords
- data
- vpn
- user
- virtual
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000001914 filtration Methods 0.000 claims abstract description 4
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L2012/4629—LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于OpenStack架构提供VPN服务的实现方法,用户通过VPN访问网络时,数据从Internet进入物理交换机;通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,通过虚拟交换机把数据转发给连接实例的虚拟网桥;虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;在路由器实例内进行封装数据;通过VPN网关把数据一直返回到实体交换机;通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据。本发明有益效果:本发明可支持通过构建虚拟云主机路由实例,为租户和公有云租户建立一条安全的虚拟专有网络连接,租户可以通过VPN网关使用自己公有云租借网络的闲带宽。
Description
技术领域
本发明涉及网络数据传输技术领域,尤其是一种基于OpenStack架构提供VPN服务的实现方法。
背景技术
公有云角逐日益激烈化,竞相提供租户访问公有云内部VLan下云主机的途径,为了便于租户可以通过有网环境在任何地方办公的要求,各大云提供商都提供了虚拟专用网络的解决方案,以供租户能够直接和租户内部实例交互。
通常情况下,构建一条虚拟的专有网络很难确保租户和公有云内租户数据传输的安全性,需要额外的加密传输。当VPN建立以后,也会暴露路由器的地址,对路由器实例造成一定的安全隐患。但是,这种需求是必须的,因为租户的数据通常在租户本地,无法把本地数据传输到公有云租户网络内部进行处理,需要租户自搭服务供公有云租户实例访问获取,这增加了租户数据传输的难度,但是这种方法相对来说比较安全,只是增加了用户实现的难度,但是无法把处理结果传送出去。从用户的视角来说是极不合理的,用户更希望能够简单、安全的访问自己私有的资源,并能把处理数据上传和处理结果回传。同时,用户还希望使用它们自己租用的闲余带宽资源,辅助缓解公司外部带宽压力。
通常情况下,为了能让用户自定义自己的私有网络,一般都采用VLan或VXLan重叠网络技术,可以让每个租户都拥有自己的网络。采用LinuxBridge+VLan技术不仅能够满足租户自定义网络的需求,还可以让用户可以通过租用一个外网地址,供内部实例共享带宽,节约用户成本。使用VLan网络的缺点是,租户的云主机实例只能够通过路由器对外网进行访问,获取外部数据,不能让外部主机主动获取内部云主机的数据,租户私有网络对外是不可见的。也就是说,用户只能通过具有路由功能的设备访问外部的内容和获取外部内容,如果用户想把自己云平台上运行结果传输到本地进行保存,是比较困难的一件事。
因此,对于上述问题有必要提出一种基于OpenStack架构提供VPN服务的实现方法。
发明内容
本发明目的是克服了现有技术中的不足,提供了一种基于OpenStack架构提供VPN服务的实现方法,为了确保租户可以在任何外网的环境下可以与公有云内自己的实例进行数据交互。
为了解决上述技术问题,本发明是通过以下技术方案实现:
一种基于OpenStack架构提供VPN服务的实现方法,其方法步骤为:步骤一:用户通过VPN访问网络时,数据从Internet进入物理交换机;步骤二:通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,通过虚拟交换机把数据转发给连接实例的虚拟网桥;步骤三:虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;步骤四:在路由器实例内进行封装数据,以便在用户和路由器实例之间构建的VPN内进行数据传输;步骤五:通过VPN网关把数据一直返回到实体交换机;步骤六:通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据。
进一步的用户传递文件给公有云内租户的实例时,首先在本地进行封装,然后通过Internet传递到带有VPN功能的路由器,接着解封装通过VPN传递过来的数据,传送到目标主机,公有云内租户实例传递给用户时,走相反的过程。
优选地,还包括OpenStack架构,所述OpenStack架构包括自动化远程监控平台、控制节点、计算节点、储存节点、多个交换机和两个核心交换机。
优选地,两个核心交换机均分别与多个交换机连接,多个所述交换机分别与自动化远程监控平台、控制节点、计算节点、储存节点相连接。
本发明有益效果:本发明可支持通过构建虚拟云主机路由实例,为租户和公有云租户建立一条安全的虚拟专有网络连接,租户可以通过VPN网关使用自己公有云租借网络的闲余带宽。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的物理拓扑结构图;
图2是本发明的通过VPN连接的数据流图。
具体实施方式
以下结合附图对本发明的实施例进行详细说明,但是本发明可以由权利要求限定和覆盖的多种不同方式实施。
如图1并结合图2所示,一种基于OpenStack架构提供VPN服务的实现方法,其方法步骤为:
步骤一:用户通过VPN访问网络时,数据从Internet进入物理交换机;步骤二:通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,通过虚拟交换机把数据转发给连接实例的虚拟网桥;步骤三:虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;步骤四:在路由器实例内进行封装数据,以便在用户和路由器实例之间构建的VPN内进行传输;步骤五:通过VPN网关把数据一直返回到实体交换机;步骤六:通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据。
进一步的,用户传递文件给公有云内租户的实例时,首先在本地进行封装,然后通过Internet传递到带有VPN功能的路由器,接着解封装通过VPN传递过来的数据,传送到目标主机,公有云内租户实例传递给用户时,走相反的过程。
进一步的,还包括OpenStack架构,所述OpenStack架构包括自动化远程监控平台、控制节点、计算节点、储存节点、多个交换机和两个核心交换机。
进一步的,两个核心交换机均分别与多个交换机连接,多个所述交换机均分别与自动化远程监控平台、控制节点、计算节点、储存节点相连接。
本发明可支持通过构建虚拟云主机路由实例,为租户和公有云租户建立一条安全的虚拟专有网络连接,租户可以通过VPN网关使用自己公有云租借网络的闲余带宽。
基于路由器实例的VPN技术,不仅能够让内部实例共享带宽,还可让租户在租用带宽空余时,提供给公司个人使用。而这一过程中用户数据传输安全是必须考虑的,应采用满足用户需求最低的安全策略来保障数据传输的安全性。
整个过程基于OpenStack架构(如图1),在路由器实例内,通过使用VPN技术构建一条用户和公有云租户实例的一条隧道,外部两个核心交换机和多个交换机实现冗余布线,保证网络的高可用,然后连接到机架交换机,实现机柜内部布网。整个数据流的流程如图2所示。
用户可以在公司环境(能够连接互联网即可)或着直接连接到互联网两种方式,通过虚拟专有网络与公有云上的租户私有网络进行数据交互。它们之间的数据通过隧道进行传输,用户访问网络需要通过VPN网关。访问外网时,外部数据流需要从Internet传递到实体交换机,然后通过交换机进入计算节点,最后在路由器实例对数据包进行封装,通过与用户建立的虚拟专有网络,把数据传递给用户;用户上传数据到Internet需要走相反路径;用户如果需要和公有云租户内的实例进行数据交换,需要在建立VPN的路由器实例上,对数据进行封装,通过隧道传输给外部用户;同样用户如果需要传输数据到公有云租户的内部实例内,需要在建立的VPN上走相反的路径,在VPN连接的另一端把数据解封,传输给内部实例。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (1)
1.一种基于openstack架构提供VPN服务的实现方法,其特征在于:其方法步骤为:
步骤一:用户通过VPN访问网络时,数据从Internet进入物理交换机;
步骤二:通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,通过虚拟交换机把数据转发给连接实例的虚拟网桥;
步骤三:虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;
步骤四:在路由器实例内进行封装数据,以便在用户和路由器实例之间构建的VPN内进行传输;
步骤五:通过VPN网关把数据一直返回到实体交换机;
步骤六:通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据;
进一步的用户传递文件给公有云内租户的实例时,首先在本地进行封装,然后通过Internet传递到带有VPN功能的路由器,接着解封装通过VPN传递过来的数据,传送到目标主机,公有云内租户实例数据传送给用户时,走相反的过程;
还包括openstack架构,所述openstack架构包括自动化远程监控平台、控制节点、计算节点、储存节点、多个交换机和两个核心交换机;
两个核心交换机均分别与多个交换机连接,多个所述交换机均分别与自动化远程监控平台、控制节点、计算节点、储存节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710848186.XA CN107809365B (zh) | 2017-09-19 | 2017-09-19 | 一种基于OpenStack架构提供VPN服务的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710848186.XA CN107809365B (zh) | 2017-09-19 | 2017-09-19 | 一种基于OpenStack架构提供VPN服务的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107809365A CN107809365A (zh) | 2018-03-16 |
| CN107809365B true CN107809365B (zh) | 2021-01-05 |
Family
ID=61592432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710848186.XA Active CN107809365B (zh) | 2017-09-19 | 2017-09-19 | 一种基于OpenStack架构提供VPN服务的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107809365B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989388B (zh) * | 2018-06-08 | 2021-03-05 | 河海大学常州校区 | 一种基于OneNet平台的远程阀门控制系统及方法 |
| CN111698338B (zh) | 2019-03-15 | 2021-10-01 | 华为技术有限公司 | 一种数据传输的方法和计算机系统 |
| CN110572439B (zh) * | 2019-08-14 | 2020-07-10 | 中电莱斯信息系统有限公司 | 一种基于元数据服务和虚拟转发网桥的云监控方法 |
| CN112134778B (zh) * | 2020-09-25 | 2022-10-28 | 优刻得科技股份有限公司 | 混合云场景中的动态路由方法、系统、设备和介质 |
| CN113259219B (zh) * | 2021-07-05 | 2021-11-02 | 云宏信息科技股份有限公司 | 基于ovn环境的vpn构建方法、可读存储介质及云平台 |
| CN115297113B (zh) * | 2022-07-31 | 2024-03-19 | 招商局金融科技有限公司 | 私有云专有网络及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013098429A1 (es) * | 2011-12-30 | 2013-07-04 | Juniper Networks, Inc. | Equipo en las instalaciones del cliente basado en nube |
| CN106685787A (zh) * | 2017-01-03 | 2017-05-17 | 华胜信泰信息产业发展有限公司 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
-
2017
- 2017-09-19 CN CN201710848186.XA patent/CN107809365B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013098429A1 (es) * | 2011-12-30 | 2013-07-04 | Juniper Networks, Inc. | Equipo en las instalaciones del cliente basado en nube |
| US9374267B2 (en) * | 2011-12-30 | 2016-06-21 | Juniper Networks, Inc. | Cloud based customer premises equipment |
| CN106685787A (zh) * | 2017-01-03 | 2017-05-17 | 华胜信泰信息产业发展有限公司 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
Non-Patent Citations (8)
| Title |
|---|
| Anjing Wang等.Network Virtualization: Technologies Perspectives, and Frontiers.《IEEE Journal of Lightwave Technology》.2012, * |
| Automating Ethernet VPN Deployment in SDN-based Data Centers;Kyoomars Alizadeh Noghani等;《IEEE 2017 Fourth International Conference on Software Defined》;20170511;全文 * |
| Central Office Re-Architected as a Data Center;Larry Peterson等;《IEEE Communications Magazine》;20161031;全文 * |
| Cross-Site Virtual Network in Cloud and Fog Computing;Rafael Moreno-Vozmediano等;《IEEE Cloud Computing》;20170426;全文 * |
| Network Virtualization and Software Defined Networking for Cloud Computing: A Survey;Raj Jain,Subharthi Paul;《IEEE Communications Magazine》;20131130;全文 * |
| Network Virtualization: Technologies Perspectives, and Frontiers;Anjing Wang等;《IEEE Journal of Lightwave Technology》;20120817;参见第253-257页 * |
| OpenStack as the API framework for NFV: the benefits and the extensions needed;ALAN KAVANAGH;《Ericssion Review》;20150402;全文 * |
| Towards Automated Provisioning of Secure Virtualized Networks;Serdar Cabuk等;《hp invent》;20070903;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107809365A (zh) | 2018-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107809365B (zh) | 一种基于OpenStack架构提供VPN服务的实现方法 | |
| US10645201B2 (en) | Packet handling during service virtualized computing instance migration | |
| US10554446B2 (en) | System and method for a multi-tenant datacenter with layer 2 cloud interconnection | |
| CN104685500B (zh) | 在覆盖网络中应用安全性策略的方法和系统 | |
| CN107276783B (zh) | 一种实现虚拟机统一管理及互通的方法、装置和系统 | |
| US9736163B2 (en) | Scalable virtual appliance cloud (SVAC) and methods usable in an SVAC | |
| CN117614890A (zh) | 虚拟l2网络中的环路防止 | |
| EP2449465B1 (en) | Network traffic processing pipeline for virtual machines in a network device | |
| US10560283B2 (en) | System and method for a multi-tenant datacenter with layer 2 interconnection and cloud storage | |
| CN102884761A (zh) | 用于云计算的虚拟交换覆盖 | |
| JP2024502770A (ja) | ネットワーク仮想化デバイスにおいて顧客管理キーを使用して顧客vcnネットワーク暗号化を提供するメカニズム | |
| US11064017B2 (en) | Peripheral device enabling virtualized computing service extensions | |
| US20100322253A1 (en) | Method and Apparatus for Simulating IP Multinetting | |
| US11520530B2 (en) | Peripheral device for configuring compute instances at client-selected servers | |
| CN110636036A (zh) | 一种基于SDN的OpenStack云主机网络访问控制的方法 | |
| CN103067270A (zh) | 一种虚拟机互访安全控制方法及装置 | |
| CN116248437A (zh) | 一种基于OpenStack架构提供VPN服务的实现方法 | |
| US20240061796A1 (en) | Multi-tenant aware data processing units | |
| US20210185006A1 (en) | Partitioned intrusion detection | |
| KR20240105422A (ko) | 컴퓨팅 서비스 확장 위치에서 관리되는 계층-2 연결을 위한 가상 네트워크 인터페이스 | |
| EP4371286A1 (en) | Service chaining in fabric networks | |
| EP4385188A1 (en) | Application awareness in a data network | |
| WO2023018552A1 (en) | Application awareness in a data network | |
| CN117749737A (zh) | 服务器网络管理系统、方法、装置、设备及存储介质 | |
| CN118266195A (zh) | 用于计算服务扩展位置处的受管第2层连接的虚拟网络接口 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 301, C A, urban construction building, 18 Beitaipingzhuang Road, Haidian District, Beijing Patentee after: Guoxing Network Co.,Ltd. Address before: 100088 301, C A, urban construction building, 18 Beitaipingzhuang Road, Haidian District, Beijing Patentee before: DATANG NETWORK CO.,LTD. |