CN107968849B - 一种网络专线接驳的方法及装置 - Google Patents
一种网络专线接驳的方法及装置 Download PDFInfo
- Publication number
- CN107968849B CN107968849B CN201711214142.8A CN201711214142A CN107968849B CN 107968849 B CN107968849 B CN 107968849B CN 201711214142 A CN201711214142 A CN 201711214142A CN 107968849 B CN107968849 B CN 107968849B
- Authority
- CN
- China
- Prior art keywords
- network
- virtual
- virtual network
- private line
- bridge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络专线接驳的方法及装置,该方法包括:将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中。通过本发明,不但避免了网络地址冲突的情况发生,而且还避免了接驳专用硬件的使用。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种网络专线接驳的方法及装置。
背景技术
随着网络技术的发展,人们对网络接入服务的要求也越来越多样化。例如,由于业务需要,经常会架设从一方机房,如M方机房,到另一方合作机房,如N方机房,的专线网络,并且通过此网络进行通信。这类专线的特点是,相对流量小、业务复杂、接驳方多,所以IP地址可能经常冲突,而且为了保障安全需要互相隔离。现有技术中,通常采用下列的几种方法进行接驳,以避免IP地址发生冲突的情况发生:
A.重新协商或规划IP地址,使得IP地址不再冲突;
B.在尽量避免IP冲突、牺牲部分网络可到达性的前提下,使用一台设备同时加入接驳双方的网络,即是,在尽量避免IP地址冲突的情况下,同时配置接驳双方网络的IP地址和路由表,并将业务配置在该设备上。
C.采用一台或一组专用的路由器或其他硬件加入N方网络,并且通过一段不冲突的IP连接到M方网络,随后使用另一台或一组专用的路由器或服务器,加入M方网络,并且也配置上述不冲突的IP段,通过两台或两组设备进行转发。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
1.上述方法A存在的缺点是显而易见的,对于一个长期使用的、规模较大的网络,修改IP和/或路由配置代价极其巨大;
2.上述方法B的代价是,M方内部网络的可到达性被部分破坏,使得接收程序功能受限,如N方业务IP是10.1.0.0/16,M方业务是10.0.0.0/8,如果M方也有IP是10.1.1.1的设备需要与转发设备通信,则该程序无法访问自己的10.1.1.1的IP;
3.上述方法C存在的问题是需要的硬件成本较高,如果采购专用的路由器硬件还可能受限于专用设备的软件或许可证;
4.上述方法C还存在一个问题,即是管理加入N方网络的设备时存在一定的困难;
5.上述方法B和C都存在管理上的巨大问题,整体网络结构复杂,存在陷阱,维护困难。
发明内容
本发明实施例提供一种网络专线接驳的方法及装置,实现了避免网络地址发生冲突,灵活地同时接驳多条网络专线。
一方面,本发明实施例提供了一种网络专线接驳的方法,包括:
将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;
创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;
创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;
基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中。
另一方面,本发明实施例提供了一种网络专线接驳的装置,包括:
接驳及创建单元,用于将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;
创建及添加单元,用于创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;
创建及确定单元,用于创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;
加入单元,用于基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中。
上述技术方案具有如下有益效果:通过本发明实现了仅需要一台设备即可灵活地同时接驳多条网络专线,同时,实现了通过现有的各种接驳方式均能够在最大程度上兼容现有的网络,不但避免了网络地址冲突的情况发生,而且还避免了接驳专用硬件的使用,进一步地,节约了网络专线接驳的成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例中一种网络专线接驳的方法流程图;
图2为本发明另一实施例中一种网络专线接驳的装置结构示意图;
图3为本发明一优选实施例中网络专线接驳双方数据传输过程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明一实施例中一种网络专线接驳的方法流程图,包括:
101、将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;
102、创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;
103、创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;
104、基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中。
可选地,还包括:
创建另一对虚拟网卡,包括第三虚拟网卡和第四虚拟网卡,以用于将所述网络命名空间从所述接出方网络专线映射至所述接入方网络专线;
将所述第三虚拟网卡添加至所述网络命名空间的虚拟网络。
优选地,所述确定所述服务器的第二虚拟网桥,包括:
判断是否存在所述服务器的第二虚拟网桥;
若不存在,创建所述服务器的第二虚拟网桥;
其中,所述确定所述服务器的第二虚拟网桥之后,还包括:
在所述第二虚拟网桥中配置所述服务器与每一个网络命名空间通信的IP地址段;
将所述第四虚拟网卡加入所述第二虚拟网桥中。
优选地,所述通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中,包括:
在所述第一虚拟网卡上配置所述接入方网络专线分配的IP地址;
将默认路由指向所述接入方网络专线;
基于所述第一虚拟网桥和所述第二虚拟网桥,根据在所述第一虚拟网卡上已配置的IP地址以及所述默认路由指向的所述接入方网络专线,将所述网络命名空间加入所述接入方网络专线中。
可选地,还包括:
配置所述第三虚拟网卡的IP地址,其中,所述第三虚拟网卡的IP地址与在所述第二虚拟网桥中已配置的所述IP地址段处于同一网段。
可选地,还包括:
在所述服务器与所述网络命名空间中,分别配置预定的网络地址转换NAT规则;
通过预定的管理方式对每一条网络专线以及每一条网络专线的服务和相关状态进行管理;
其中,预定的管理方式包括脚本管理方式和配置文件管理方式;
其中,所述每一条网络专线的服务,包括NAT、组播和边界网关协议BGP;
其中,所述每一条网络专线的相关状态包括网络专线流量和网络专线是否状态正常。
可选地,还包括:
通过人机交互机界面,提供人机交互接口;
其中,所述人机交互接口包括配置接口、测试接口和管理接口;
其中,还包括:
通过所述配置接口配置组播和/或BGP。
如图2所示,为本发明另一实施例中一种网络专线接驳的装置结构示意图,包括:
接驳及创建单元21,用于将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;
创建及添加单元22,用于创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;
创建及确定单元23,用于创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;
加入单元24,用于基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中。
可选地,还包括:
创建单元,用于创建另一对的虚拟网卡,包括第三虚拟网卡和第四虚拟网卡,以用于将所述网络命名空间从所述接出方网络专线映射至所述接入方网络专线;
添加单元,用于将所述第三虚拟网卡添加至所述网络命名空间的虚拟网络。
优选地,所述创建及确定单元,包括:
判断模块,用于判断是否存在所述服务器的第二虚拟网桥;
创建模块,用于若不存在,创建所述服务器的第二虚拟网桥;
其中,所述创建及确定单元,还包括:
第一配置模块,用于在所述第二虚拟网桥中配置所述服务器与每一个网络命名空间通信的IP地址段;
加入模块,用于将所述第四虚拟网卡加入所述第二虚拟网桥中。
优选地,所述加入单元,包括:
第二配置模块,用于在所述第一虚拟网卡上配置所述接入方网络专线分配的IP地址;
指向模块,用于将默认路由指向所述接入方网络专线;
加入模块,用于基于所述第一虚拟网桥和所述第二虚拟网桥,根据在所述第一虚拟网卡上已配置的IP地址以及所述默认路由指向的所述接入方网络专线,将所述网络命名空间加入所述接入方网络专线中。
可选地,还包括:
第一配置单元,用于配置所述第三虚拟网卡的IP地址,其中,所述第三虚拟网卡的IP地址与在所述第二虚拟网桥中已配置的所述IP地址段处于同一网段。
可选地,还包括:
第二配置单元,用于在所述服务器与所述网络命名空间中,分别配置预定的网络地址转换NAT规则;
管理单元,用于通过预定的管理方式对每一条网络专线以及每一条网络专线的服务和相关状态进行管理;
其中,预定的管理方式包括脚本管理方式和配置文件管理方式;
其中,所述每一条网络专线的服务,包括NAT、组播和BGP;
其中,所述网络专线的相关状态包括网络专线流量和网络专线是否状态正常。
可选地,还包括:
提供单元,用于通过人机交互机界面,提供人机交互接口;
其中,所述人机交互接口包括配置接口、测试接口和管理接口;
其中,还包括:
第三配置单元,用于通过所述配置接口配置BGP和/或组播。
本发明实施例上述技术方案具有如下有益效果:通过本发明实现了仅需要一台设备即可灵活地同时接驳多条网络专线,同时,实现了通过现有的各种接驳方式均能够在最大程度上兼容现有的网络,不但避免了网络地址冲突的情况发生,而且还避免了接驳专用硬件的使用,进一步地,节约了网络专线接驳的成本。
以下结合应用实例对本发明实施例上述技术方案进行详细说明:
本发明应用实例旨在避免网络地址发生冲突,灵活地同时接驳多条网络专线。
如图1所示,其中,所述第二虚拟网桥不属于任一独立的网络命名空间或所述第二虚拟网桥属于不同于所述网络命名空间的另一独立的网络命名空间;例如,在网络专线接驳的过程中,首先,将接出方网络专线,如网络专线A,接驳至服务器,如服务器service1,的接驳口,并使用Linux(Linux操作系统)的网络虚拟化技术,创建接出方网络专线A专用的网络命名空间,如netns1;创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,如vethla和vethlb,以用于将网络命名空间netns1从接入方网络专线,如网络专线B,映射至接出方网络专线A,将第一虚拟网卡vethla,添加至网络命名空间netns1的虚拟网络;创建用于该接驳口与第二虚拟网卡,如虚拟网卡vethlb,进行桥接的第一虚拟网桥,如br1,以及确定服务器service1的第二虚拟网桥,如br0,其中,第二虚拟网桥br0不属于任一独立的网络命名空间;通过第一虚拟网卡vethla将网络命名空间netns1加入接入方网络专线B中。其中,接驳方式可以通过插入网线或光纤的方式直接接驳,也可以通过一台交换机做trunk(中继线)后统一接入多个VLAN(虚拟局域网),甚至还可以是VPN(虚拟专用网络)等;其中接入方网络专线可以预定一条网络专线,也可以预定多条网络专线。
在一优选实施例中,该方法还包括:创建另一对的虚拟网卡,包括第三虚拟网卡和第四虚拟网卡,以用于将所述网络命名空间从所述接出方网络专线映射至所述接入方网络专线;将所述第三虚拟网卡添加至所述网络命名空间的虚拟网络。
例如,在网络专线接驳的过程中,将接出方网络专线A接驳至服务器service1的接驳口,并创建接出方网络专线A专用的网络命名空间netns1,随后,创建另一对虚拟网卡,包括第三虚拟网卡和第四虚拟网卡,如vethlc和vethld,以用于将网络命名空间netns1从接出方网络专线A映射至接入方网络专线B;将第三虚拟网卡vethlc添加至网络命名空间netns1的虚拟网络。
在一优选实施例中,步骤103中确定所述服务器的第二虚拟网桥,包括:判断是否存在所述服务器的第二虚拟网桥;若不存在,创建所述服务器的第二虚拟网桥。
其中,步骤103中确定所述服务器的第二虚拟网桥之后,还包括:判断是否存在所述服务器的第二虚拟网桥;若不存在,创建所述服务器的第二虚拟网桥。
其中,所述确定所述服务器的第二虚拟网桥之后,还包括:在所述第二虚拟网桥中配置所述服务器与每一个网络命名空间通信的IP地址段;将所述第四虚拟网卡加入所述第二虚拟网桥中。
例如,接上例,判断是否存在服务器service1的第二虚拟网桥,若不存在,创建服务器service1的第二虚拟网桥,如br0,其中,第二虚拟网桥br0不属于任一独立的网络命名空间,随后,在第二虚拟网桥br0中配置服务器service1与每一个网络命名空间,如网络命名空间netns1,通信的IP地址段,并将第四虚拟网卡vethlb加入第二虚拟网桥br0中。
在一优选实施例中,步骤104通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中,包括:在所述第一虚拟网卡上配置所述接入方网络专线分配的IP地址;将默认路由指向所述接入方网络专线;基于所述第一虚拟网桥和所述第二虚拟网桥,根据在所述第一虚拟网卡上已配置的IP地址以及所述默认路由指向的所述接入方网络专线,将所述网络命名空间加入所述接入方网络专线中。
例如,接上例,随后,在第一虚拟网卡vethla上配置接入方网络专线,如网络专线B,分配的IP地址,并将默认路由指向接入方网络专线B,基于第一虚拟网桥br1和第二虚拟网桥br0,根据在第一虚拟网卡vethla上已配置的IP地址以及该默认路由指向的接入方网络专线B,将网络命名空间netns1加入接入方网络专线B中。
需要说明的是,本领域技术人员可以了解到,默认路由(Default route)是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择;默认路由是对IP数据包中的目的地址找不到存在的其他路由时,路由器所选择的路由;目的地不在路由器的路由表里的所有数据包都会使用默认路由。当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能。
在一优选实施例中,该方法还包括:配置所述第三虚拟网卡的IP地址,其中,所述第三虚拟网卡的IP地址与在所述第二虚拟网桥中已配置的所述IP地址段处于同一网段。
例如,在网络专线接驳的过程中,配置第三虚拟网卡vethlc的IP地址,其中,第三虚拟网卡vethlc的IP地址与在第二虚拟网桥br0中已配置的所述IP地址段处于同一网段。
在一优选实施例中,该方法还包括:在所述服务器与所述网络命名空间中,分别配置预定的网络地址转换NAT规则;通过预定的管理方式对每一条网络专线以及每一条网络专线的服务和和相关状态进行管理。
其中,预定的管理方式包括脚本管理方式和配置文件管理方式。
其中,所述每一条网络专线的服务,包括NAT、组播和BGP。
其中,所述每一条网络专线的相关状态包括网络专线流量和网络专线是否状态正常。
其中,通过预定的管理方式对每一条网络专线以及每一条网络专线的专线流量进行管理,包括通过预定的管理方式对每一条网络专线以及每一条网络专线的专线流量进行监控,也可以在流量异常、状态异常时做出报警或自动切换等行为。
例如,在网络专线接驳的过程中,在服务器service1与网络命名空间netns1中,分别配置预定的网络地址转换NAT规则;通过预定的管理方式,如脚本管理方式,对每一条网络专线,如接出方网络专线A和接入方网络专线B,以及每一条网络专线,如接出方网络专线A和接入方网络专线B,的NAT进行管理。
需要说明的是,本领域技术人员可以了解到,NAT(Network AddressTranslation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址,即仅在本专用网内使用的专用地址,但现在又需要和因特网上的主机通信,并不需要加密时,可使用NAT方法。NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
在一优选实施例中,该方法还包括:通过人机交互机界面,提供人机交互接口。
其中,所述人机交互接口包括配置接口、测试接口和管理接口。
其中,还包括:通过所述配置接口配置组播和/或BGP。
例如,在网络专线接驳的过程中,通过人机交互机界面,提供人机交互接口,如配置接口、测试接口和管理接口,其中,还可以通过配置接口配置组播和/或BGP。
在一具体应用场景中,将U2方的网络专线D加入U1方的网络专线C,U1和U2方都使用了10.0.0.0/8的地址段进行内部分配,存在潜在冲突的问题,其中,通过网络专线E连接U1方和U2方;
服务器,如service2,在U1方网络上分配的IP地址为10.0.0.2/24,网关为10.0.0.1,将网卡,如网卡eth0,插在服务器service2上,其中eth0为物理网卡;
网络专线C上的IP地址由U2方分配,给出的IP是10.0.1.0/30,U1方.1,U2方.2;
U2方在10.0.2.1:4000上提供TCP(Transmission Control Protocol,传输控制协议)服务,和10.0.2.2:8000上提供UDP(User Datagram Protocol,用户数据报协议)服务;
U1方有业务机器10.0.3.5需要访问上述业务,通过如下步骤实现:
(1)把网络专线E的物理线路插入网卡eth1,如果是VLAN等情况类似处理。服务器service2位于U1方机房,其中eth1为物理网卡;
(2)通过命令“ip net add ns1”添加网络命名空间ns1;
(3)通过命令“ip l add veth1a type veth peer name vethlb”添加一对虚拟网卡veth1a和veth1b;
通过命令“ip l s veth1a netns ns1”将虚拟网卡veth1a加入网络命名空间ns1的虚拟网络;
(4)通过命令“brctl addbr br1”添加第一虚拟网桥br1;
通过命令“brctl addif br1veth1b”把虚拟网卡veth1b加入第一虚拟网桥br1;
通过命令“brctl addif br1eth1”把网卡eth1加入第一虚拟网桥br1,以实现将网络专线C加入第一虚拟网桥br1;
(5)通过命令“ip l add veth1c type veth peer name veth1d”添加一对虚拟网卡veth1c和veth1d;
(6)通过命令“brctl addbr br0”添加第二虚拟网桥br0,第二虚拟网桥br0不属于任何独立的网络命名空间,即根命名空间,进程pid=1(init)所属的命名空间;
通过命令“ip a a 192.0.2.254/24dev br0”设置不冲突的IP地址,这里用192.0.2.0/24做举例,所谓不冲突,指的是此段IP在专线两侧的网络上都不会作为源地址或目的地址;
(7)通过命令“ip l s veth1c netns ns1”将虚拟网卡veth1c加入网络命名空间ns1;
通过命令“brctl addif br0veth1d”虚拟网卡veth1d加入第二虚拟网桥br0;
(8)将网络命名空间ns1加入U2方网络:
通过命令“ip net exec ns1ip a a 10.0.1.1/30dev veth1a”配置U2方的IP;
通过命令“ip net exec ns1ip r a 0.0.0.0/0via 10.0.1.2”配置指向U2方的路由;
(9)通过命令“ip net exec ns1ip a a 192.0.2.1/24dev veth1c”配置IP;
(10)配置NAT规则,选择10.0.0.2上的4000和8000端口分别提供相应服务
规则一:
通过命令“iptables-t nat-A PREROUTING-d 10.0.0.2-p tcp--dport 4000-jDNAT--to192.0.2.1”先将U1方网络地址映射到第二虚拟网桥br0的地址,
通过命令“ip net exec ns1iptables-t nat-I PREROUTING-d 192.0.2.1-ptcp--dport 4000-j DNAT--to-destination 10.0.2.1:4000”在网络命名空间ns1内部映射到U2方网络;
规则二:
通过命令“iptables-t nat-A PREROUTING-d 10.0.0.2-p udp--dport 8000-jDNAT--to192.0.2.1”同样操作UDP;
通过命令“ip net exec ns1iptables-t nat-I PREROUTING-d 192.0.2.1-pudp--dport8000-j DNAT--to-destination 10.0.2.1:8000
ip net exec ns1iptables-t nat-I POSTROUTING-o veth1a-j SNAT--to10.0.1.1”对路由到专线上的数据包做SNAT(源地址转换)操作;
(11)统一配置脚本指的是完成上述全部动作的脚本,在管理方面,可以直接修改配置文件、执行相关脚本,使得参数变更,在监控方面,可以在网络命名空间ns1中ping(Packet Internet Groper,因特网包探索器)U2方检测链路状态等。
其中,U1方和U2方数据传输过程参考图3,数据流传输流程如下:
IP为10.0.3.5选择了本地端口,此处选择本地端口即系统自动完成的端口,为了方便举例列出,如端口32999,连接10.0.0.2:4000;
[TCP]10.0.3.5:32999<->10.0.0.2:4000
数据包被传递到服务器service2,匹配(10)中的NAT规则一,目的地址被转换为(6)中配置的IP,数据包到达(6)的第二虚拟网桥br0上;
[TCP]10.0.3.5:32999<->192.0.2.1:4000
数据包被传递到网络命名空间ns1,匹配网络命名空间na1中(10)中的NAT规则二,目的地址被转换为对端提供的服务IP;
[TCP]10.0.3.5:32999<->10.0.1.1:4000
数据包仍然在网络命名空间ns1中,匹配路由,决定走专线,即从网络命名空间ns1中的虚拟网卡veth1a传出;
匹配网络命名空间ns1中的(10)中的NAT规则二,源地址也被转换为对方网络的IP,源端口可能会变化也可能不变;
[TCP]10.0.0.1:32999<->10.0.1.1:4000
数据包通过虚拟网卡veth1a到虚拟网卡veth1b通过第一虚拟网桥br1最终从网卡eth1传输出去,到达U2方网络;
回包处理类似,在此不再赘述。
本发明实施例提供了一种网络专线接驳的装置,可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。
应该明白,本实例仅仅演示了一种最典型的使用方法,其直接通过根命名空间(即pid=1进程所在的命名空间)对外提供服务,并且仅提供了简单的NAT服务。本领域技术人员也可以轻易地将其推广到其他类似情况,如在其他网络命名空间上提供服务,或者一并提供组播、BGP服务。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种网络专线接驳的方法,其特征在于,包括:
将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;
创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;
创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;
基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中;
创建另一对虚拟网卡,包括第三虚拟网卡和第四虚拟网卡,以用于将所述网络命名空间从所述接出方网络专线映射至所述接入方网络专线;
将所述第三虚拟网卡添加至所述网络命名空间的虚拟网络。
2.根据权利要求1所述的方法,其特征在于,所述确定所述服务器的第二虚拟网桥,包括:
判断是否存在所述服务器的第二虚拟网桥;
若不存在,创建所述服务器的第二虚拟网桥;
其中,所述确定所述服务器的第二虚拟网桥之后,还包括:
在所述第二虚拟网桥中配置所述服务器与每一个网络命名空间通信的IP地址段;
将所述第四虚拟网卡加入所述第二虚拟网桥中。
3.根据权利要求2所述的方法,其特征在于,还包括:
配置所述第三虚拟网卡的IP地址,其中,所述第三虚拟网卡的IP地址与在所述第二虚拟网桥中已配置的所述IP地址段处于同一网段。
4.根据权利要求1所述的方法,其特征在于,所述基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中,包括:
在所述第一虚拟网卡上配置所述接入方网络专线分配的IP地址;
将默认路由指向所述接入方网络专线;
基于所述第一虚拟网桥和所述第二虚拟网桥,根据在所述第一虚拟网卡上已配置的IP地址以及所述默认路由指向的所述接入方网络专线,将所述网络命名空间加入所述接入方网络专线中。
5.根据权利要求1所述的方法,其特征在于,还包括:
在所述服务器与所述网络命名空间中,分别配置预定的网络地址转换NAT规则;
通过预定的管理方式对每一条网络专线以及每一条网络专线的服务和相关状态进行管理;
其中,预定的管理方式包括脚本管理方式和配置文件管理方式;
其中,所述每一条网络专线的服务,包括NAT、组播和边界网关协议BGP;
其中,所述每一条网络专线的相关状态包括网络专线流量和网络专线是否状态正常。
6.根据权利要求5所述的方法,其特征在于,还包括:
通过人机交互机界面,提供人机交互接口;
其中,所述人机交互接口包括配置接口、测试接口和管理接口;
其中,还包括:
通过所述配置接口配置组播和/或BGP。
7.一种网络专线接驳的装置,其特征在于,包括:
接驳及创建单元,用于将接出方网络专线接驳至服务器的接驳口,并创建所述接出方网络专线专用的网络命名空间;
创建及添加单元,用于创建一对虚拟网卡,包括第一虚拟网卡和第二虚拟网卡,以用于将所述网络命名空间从接入方网络专线映射至所述接出方网络专线,将第一虚拟网卡添加至所述网络命名空间的虚拟网络;
创建及确定单元,用于创建用于所述接驳口与第二虚拟网卡进行桥接的第一虚拟网桥,以及确定所述服务器的第二虚拟网桥;
加入单元,用于基于所述第一虚拟网桥和所述第二虚拟网桥,通过所述第一虚拟网卡将所述网络命名空间加入所述接入方网络专线中;
所述创建及添加单元,还用于创建另一对虚拟网卡,包括第三虚拟网卡和第四虚拟网卡,以用于将所述网络命名空间从所述接出方网络专线映射至所述接入方网络专线;将所述第三虚拟网卡添加至所述网络命名空间的虚拟网络。
8.根据权利要求7所述的装置,其特征在于,所述创建及确定单元,包括:
判断模块,用于判断是否存在所述服务器的第二虚拟网桥;
创建模块,用于若不存在,创建所述服务器的第二虚拟网桥;
其中,所述创建及确定单元,还包括:
第一配置模块,用于在所述第二虚拟网桥中配置所述服务器与每一个网络命名空间通信的IP地址段;
加入模块,用于将所述第四虚拟网卡加入所述第二虚拟网桥中。
9.根据权利要求8所述的装置,其特征在于,还包括:
第一配置单元,用于配置所述第三虚拟网卡的IP地址,其中,所述第三虚拟网卡的IP地址与在所述第二虚拟网桥中已配置的所述IP地址段处于同一网段。
10.根据权利要求7所述的装置,其特征在于,所述加入单元,包括:
第二配置模块,用于在所述第一虚拟网卡上配置所述接入方网络专线分配的IP地址;
指向模块,用于将默认路由指向所述接入方网络专线;
加入模块,用于基于所述第一虚拟网桥和所述第二虚拟网桥,根据在所述第一虚拟网卡上已配置的IP地址以及所述默认路由指向的所述接入方网络专线,将所述网络命名空间加入所述接入方网络专线中。
11.根据权利要求7所述的装置,其特征在于,还包括:
第二配置单元,用于在所述服务器与所述网络命名空间中,分别配置预定的网络地址转换NAT规则;
管理单元,用于通过预定的管理方式对每一条网络专线以及每一条网络专线的服务和相关状态进行管理;
其中,预定的管理方式包括脚本管理方式和配置文件管理方式;
其中,所述每一条网络专线的服务,包括NAT、组播和BGP;
其中,所述网络专线的相关状态包括网络专线流量和网络专线是否状态正常。
12.根据权利要求11所述的装置,其特征在于,还包括:
提供单元,用于通过人机交互机界面,提供人机交互接口;
其中,所述人机交互接口包括配置接口、测试接口和管理接口;
其中,还包括:
第三配置单元,用于通过所述配置接口配置BGP和/或组播。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711214142.8A CN107968849B (zh) | 2017-11-28 | 2017-11-28 | 一种网络专线接驳的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711214142.8A CN107968849B (zh) | 2017-11-28 | 2017-11-28 | 一种网络专线接驳的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107968849A CN107968849A (zh) | 2018-04-27 |
| CN107968849B true CN107968849B (zh) | 2020-12-25 |
Family
ID=61997936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711214142.8A Active CN107968849B (zh) | 2017-11-28 | 2017-11-28 | 一种网络专线接驳的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107968849B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111030980A (zh) * | 2019-08-09 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种Linux透明网络设备平台实现方法、装置及存储介质 |
| CN111130838B (zh) * | 2019-10-17 | 2023-06-16 | 国电南瑞科技股份有限公司 | 一种进程级服务实例动态扩展及网络带宽限制方法及装置 |
| CN111683308B (zh) * | 2020-05-29 | 2022-04-29 | 烽火通信科技股份有限公司 | 一种在家庭网关上实现灵活桥接业务的方法及装置 |
| CN114244804B (zh) * | 2020-09-08 | 2023-03-21 | 成都鼎桥通信技术有限公司 | 基于双系统的网络器件启动方法、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN203135921U (zh) * | 2011-06-06 | 2013-08-14 | 美国博通公司 | 用于转发数据包的系统 |
| CN105721630A (zh) * | 2016-03-24 | 2016-06-29 | 国云科技股份有限公司 | 一种虚拟机共用宿主机ip提供外网服务的方法 |
| CN105978781A (zh) * | 2016-06-28 | 2016-09-28 | 浪潮电子信息产业股份有限公司 | 建立Docker容器的网络连接的方法、系统以及客户端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9626171B2 (en) * | 2015-07-24 | 2017-04-18 | Oracle International Corporation | Composing a module system and a non-module system |
-
2017
- 2017-11-28 CN CN201711214142.8A patent/CN107968849B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN203135921U (zh) * | 2011-06-06 | 2013-08-14 | 美国博通公司 | 用于转发数据包的系统 |
| CN105721630A (zh) * | 2016-03-24 | 2016-06-29 | 国云科技股份有限公司 | 一种虚拟机共用宿主机ip提供外网服务的方法 |
| CN105978781A (zh) * | 2016-06-28 | 2016-09-28 | 浪潮电子信息产业股份有限公司 | 建立Docker容器的网络连接的方法、系统以及客户端 |
Non-Patent Citations (1)
| Title |
|---|
| Security considerations in Docker Swarm networking;MARCEL BROUWERS;《UNIVERSITY OF AMSTERDAM MASTER THESIS PROJECT, SYSTEM AND NETWORK ENGINEERING》;20170728;正文第3.2节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107968849A (zh) | 2018-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11563681B2 (en) | Managing communications using alternative packet addressing | |
| US10547463B2 (en) | Multicast helper to link virtual extensible LANs | |
| JP6317851B1 (ja) | 論理ルータ | |
| CN107968849B (zh) | 一种网络专线接驳的方法及装置 | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| TWI389525B (zh) | 具有多網段存取性的資料傳輸系統及其方法 | |
| US8683023B1 (en) | Managing communications involving external nodes of provided computer networks | |
| EP3493508A1 (en) | Separation of control plane function and forwarding plane function of broadband remote access server | |
| WO2015175434A1 (en) | Bridging clouds | |
| US10178068B2 (en) | Translating network attributes of packets in a multi-tenant environment | |
| US9426069B2 (en) | System and method of cross-connection traffic routing | |
| JP4873960B2 (ja) | アプリケーションサーバ機能を促進するための方法およびアプリケーションサーバ機能を含むアクセスノード | |
| CN106027396B (zh) | 一种路由控制方法、装置和系统 | |
| US8675669B2 (en) | Policy homomorphic network extension | |
| CN103036757B (zh) | 一种网络架构及其配置方法 | |
| Pawar et al. | Segmented proactive flow rule injection for service chaining using SDN | |
| US10693673B2 (en) | Method and apparatus for routing data to cellular network | |
| KR102246290B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램 | |
| CN109787877B (zh) | 箱型交换机、网络接口卡、及封包转送的管理方法 | |
| CN117499090A (zh) | 一种远端网络准入方法、装置、电子设备及存储介质 | |
| CN116346536A (zh) | 虚拟机访问云平台管理网的方法、装置、设备及介质 | |
| CN116633755A (zh) | 网络验证方法及装置 | |
| Huang | Extension of campus network based on flat network architecture | |
| JP2016149717A (ja) | 仮想ホームゲートウェイシステム及び通信制御方法 | |
| WO2014161315A1 (zh) | 基于公共信息模型的网络管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210511 Address after: Room 517, 5 / F, scientific research building, Sina headquarters, plot n-1 and n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing 100193 Patentee after: XINGCHAO SHANYAO MOBILE NETWORK TECHNOLOGY (CHINA) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: SINA.COM TECHNOLOGY (CHINA) Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 517, 5 / F, building 8, West District, yard 10, Xibeiwang East Road, Haidian District, Beijing 100085 Patentee after: Sina Finance mobile network technology (Beijing) Co.,Ltd. Address before: Room 517, 5 / F, scientific research building, Sina headquarters, plot n-1 and n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing 100193 Patentee before: XINGCHAO SHANYAO MOBILE NETWORK TECHNOLOGY (CHINA) CO.,LTD. |