CN110224844B - 虚拟专网的调度方法及系统 - Google Patents

虚拟专网的调度方法及系统 Download PDF

Info

Publication number
CN110224844B
CN110224844B CN201910683782.6A CN201910683782A CN110224844B CN 110224844 B CN110224844 B CN 110224844B CN 201910683782 A CN201910683782 A CN 201910683782A CN 110224844 B CN110224844 B CN 110224844B
Authority
CN
China
Prior art keywords
edge node
node
target
mac address
private network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910683782.6A
Other languages
English (en)
Other versions
CN110224844A (zh
Inventor
郭强
熊卿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hebei Huawo Communication Technology Co ltd
Ze'an Technology Beijing Co ltd
Original Assignee
Hebei Huawo Communication Technology Co ltd
Zhouan Technology Hebei Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hebei Huawo Communication Technology Co ltd, Zhouan Technology Hebei Co ltd filed Critical Hebei Huawo Communication Technology Co ltd
Priority to CN201910683782.6A priority Critical patent/CN110224844B/zh
Publication of CN110224844A publication Critical patent/CN110224844A/zh
Application granted granted Critical
Publication of CN110224844B publication Critical patent/CN110224844B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于网络通信技术领域,提供了一种虚拟专网的调度方法及系统,该方法包括:边缘节点接收核心节点广播的边缘节点信息表并更新,获取待通信的目标边缘节点的物理地址MAC地址和用户组名;以及将预设数据、目标边缘节点的用户组名和MAC地址依次封装,进行全网广播;目标边缘节点接收到广播后,解析获得目标边缘节点的MAC地址和用户组名,确定目标边缘节点的MAC地址和用户组名与自身的MAC地址和用户组名一致时继续处理。边缘节点之间可以直接通信,并且通过一次寻址到达目标地址,可以提高虚拟专网中边缘节点之间的通信速度以及网络寻址速度,降低虚拟专网中寻址所需的计算和存储资源,并且降低网络延迟。

Description

虚拟专网的调度方法及系统
技术领域
本发明属于网络通信技术领域,尤其涉及一种虚拟专网的调度方法及系统。
背景技术
目前,终端设备之间可以通过Internet建立通信连接,但是终端设备通信时必须通过服务提供商,由服务提供商将通信信息在终端设备之间进行传递。并且现阶段互联网通信主要依靠TCP/IP协议进行,TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心,TCP/IP通信协议采用了四层的层级结构,每一层都呼叫它的下一层提供的网络来完成自己的需求,这四层分别为:网络访问层、网际互连层、传输层和应用层。随着Internet的迅猛发展,越来越多的终端设备需要服务,服务提供商需要运行的数据越来越多,导致通信速度越来越低。TCP/IP通信协议在大规模组网时寻址以及进行封包和解包的过程所需的存储资源和计算资源更多,增加了网络延迟,提高了网络故障的风险。
发明内容
有鉴于此,本发明实施例提供了一种虚拟专网的调度方法及系统,以解决现有技术中越来越多的终端设备需要服务,服务提供商需要运行的数据越来越多,导致通信速度越来越低。TCP/IP通信协议在大规模组网时寻址以及进行封包和解包的过程所需的存储资源和计算资源更多,增加了网络延迟,提高了网络故障的风险的问题。
本发明实施例的第一方面提供了一种虚拟专网的调度方法,包括:
边缘节点接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;
所述边缘节点根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的物理地址MAC地址和目标边缘节点的用户组名;
所述边缘节点将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;
所述目标边缘节点接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与保存的MAC地址和用户组名一致时,对所述预设数据进行处理。
在一实施例中,所述边缘节点接收虚拟专网中核心节点广播的边缘节点信息表之前,还包括:
所述边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道。
在一实施例中,所述边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道,包括:
边缘节点根据存储的核心节点的地址将注册信息发送给核心节点进行注册,所述注册信息包括所述边缘节点的身份信息,所述核心节点为虚拟专网中的任一核心节点;
所述核心节点接收所述注册信息,并根据所述边缘节点以及对应的所述注册信息,更新存储的第二边缘节点信息表;
所述核心节点将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便注册到所述核心节点上的所有边缘节点更新存储的边缘节点信息表。
在一实施例中,所述边缘节点的身份信息包括边缘节点的预设标识,所述预设标识与对应的边缘节点一一对应;
所述预设标识包括所述边缘节点的MAC地址和用户组名。
在一实施例中,预设标识中的MAC地址为对应的边缘节点的唯一固定私网地址,作为边缘节点之间通信的目的地址和源地址。
在一实施例中,虚拟专网中核心节点以及边缘节点各自保存的边缘节点信息表根据预设周期更新。
在一实施例中,边缘节点之间传输的所有数据均进行对称性加密,边缘节点之间进行首次通信时,源边缘节点将加密密钥、加密方式发送给目标边缘节点。
在一实施例中,源边缘节点或者目标边缘节点对数据进行加密包括:
A.将待加密数据划分为多个数据块;
B.对第一数据块的数据与预设初始向量进行运算,获得第一运算结果;
C.采用用户自定义加密密钥对所述第一运算结果进行加密,获得加密密文;
D.根据预设规则确定所述加密密文中的一段密文作为第二数据块的加密向量,或者根据预设规则确定所述加密密文中多个不连续数据作为第二数据块的加密向量;
E.对第二数据块的数据与所述加密向量进行运算,获得第二运算结果;
F.采用所述用户自定义加密密钥对所述第二运算结果进行加密,获得第二密文;
G.根据步骤D确定下一加密向量的方式确定下一数据块的加密向量,并根据步骤E、步骤F以及步骤G的方式对下一数据块进行加密,直到将所有数据加密完成,获得加密后数据。
本发明实施例的第二方面提供了一种虚拟专网的调度系统,包括:边缘节点和目标边缘节点;
所述边缘节点,用于接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;以及根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的物理地址MAC地址和目标边缘节点的用户组名;以及将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;
所述目标边缘节点,用于接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与保存的MAC地址和用户组名一致时,对所述预设数据进行处理。
在一实施例中,所述虚拟专网的调度系统,还包括核心节点;
所述核心节点,用于接收所述边缘节点发送的注册信息,并根据所述边缘节点以及对应的所述注册信息,更新存储的第二边缘节点信息表;所述注册信息包括所述边缘节点的身份信息;以及将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便所有边缘节点更新存储的边缘节点信息表。
本发明实施例,通过边缘节点接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;然后根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的物理地址MAC地址和目标边缘节点的用户组名;以及将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;所述目标边缘节点接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与自身保存的MAC地址和用户组名一致时,对所述预设数据进行处理。边缘节点之间可以直接通信,并且通过一次寻址到达目标地址,从而可以提高虚拟专网中边缘节点之间的通信速度以及网络寻址速度,降低虚拟专网中寻址所需的计算和存储资源,并且降低网络延迟。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的虚拟专网的调度方法的实现流程示意图;
图2是本发明实施例提供的边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道方法的实现流程示意图;
图3是本发明实施例提供的源边缘节点或者目标边缘节点对数据进行加密过程的示意图;
图4是本发明实施例提供的虚拟专网的调度系统的示例图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1为本发明实施例提供的一种虚拟专网的调度方法的实现流程示意图,详述如下。
步骤101,边缘节点接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表。
可选的,第一边缘节点信息表为边缘节点自身保存的边缘节点信息表,这里“第一”并不是为了排序,而是为了跟其他节点中保存的边缘节点信息表进行区分。
可选的,本步骤中在边缘节点接收虚拟专网中核心节点广播的边缘节点信息表之前,还包括所述边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道,以便虚拟专网中的所有边缘节点之间可以直接通信。
可选的,虚拟专网中可以包括多个核心节点,核心节点之间可以互相通信,核心节点可以接收其他核心节点保存的边缘节点信息表,使得各个核心节点保存的边缘节点信息表为全网下注册的边缘节点的身份信息。这样注册到同一核心节点上的边缘节点之间可以通信,并且注册到不同核心节点上的边缘节点也可以进行通信。
虚拟专网的建立可以降低目前Internet网络体系结构中服务提供商即服务器的处理量,提高服务器的性能。而由边缘节点之间直接进行通信,还可以降低终端设备之间的通信延迟,提高终端设备之间的通信效率。
可选的,如图2所示,所述边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道,可以包括以下步骤。
步骤201,边缘节点根据存储的核心节点的地址将注册信息发送给核心节点进行注册。
其中,所述注册信息包括所述边缘节点的身份信息以及地址信息,所述核心节点为虚拟专网中的任一核心节点。
可选的,各个边缘节点上都保存有核心节点的通信地址,边缘节点可以选择任一个核心节点进行注册。核心节点的通信地址是一个固定公网IP地址。
可选的,所述边缘节点的身份信息包括边缘节点的预设标识,所述预设标识包括所述边缘节点的物理地址(Media Access Control,MAC)地址和用户组名。边缘节点拥有一个全网唯一的预设标识,预设标识与对应的边缘节点一一对应。MAC地址可以用六个字节进行表示,用户组名可以用十六个字节进行表示。
边缘节点将虚拟设备充当在内核中实现虚拟网卡,每个虚拟网络拥有一个全网统一网段的唯一固定私网地址,即边缘节点的MAC地址为对应的边缘节点的唯一固定私网地址,可以作为边缘节点之间通信的目的地址和源地址。内核将发送虚拟网卡作为发送以太网帧的出入口和路由。
可选的,在虚拟专网中,边缘节点仅可以属于一个用户组,这样虚拟专网中的各个边缘节点可以通过用户组进行网络隔离。
步骤202,所述核心节点接收所述注册信息,并根据所述边缘节点以及对应的所述注册信息,更新存储的第二边缘节点信息表。
可选的,第二边缘节点信息表为核心节点自身保存的边缘节点信息表,这里“第二”并不是为了排序,而是为了跟其他节点中保存的边缘节点信息表进行区分。
可选的,在虚拟专网中,核心节点负责对边缘节点的身份进行验证,并对边缘节点信息进行收集和广播。核心节点接收到边缘节点发送的注册信息后,对边缘节点进行身份验证,当确定其为合法终端后,自动与其建立虚拟专网通信隧道。当确定边缘节点为非法终端后,中心节点将通报全网,断开和非法边缘节点的连接。这个机制让虚拟网络具有自动化的主动防御能力。
可选的,在虚拟专网中,边缘节点作为通信网关,在核心节点的指挥调度下完成与其他边缘节点的通信任务。
步骤203,所述核心节点将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便注册到所述核心节点上的所有边缘节点更新存储的边缘节点信息表。
核心节点在确认边缘节点为合法节点后,将边缘节点的地址信息更新到核心节点预先存储的第二边缘节点信息表中,并将更新后的第二边缘节点信息表在虚拟专网中进行全网广播。
接收到全网广播的边缘节点(例如边缘节点B)获得更新后的第二边缘节点信息表后,由于更新后的第二边缘节点地址信息表记录了边缘节点A的网络地址信息,则边缘节点B可以通过所述边缘节点的地址信息实现与所述边缘节点的直接通信而无需跨越核心节点。
可选的,在边缘节点注册成功后,边缘节点拥有核心节点下注册的所有边缘节点的身份信息,这样边缘节点之间可以直接根据边缘节点信息表中的地址信息进行通信,而不需核心节点介入,因此核心节点只需要较低的性能,即可满足大规模组网的需要,核心节点也不再成为网络性能的瓶颈,能承受很高的突发性通信业务冲击,系统稳定性很高,并且虚拟专网可以接入大量的终端设备。
步骤102,所述边缘节点根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的物理地址MAC地址和目标边缘节点的用户组名。
可选的,边缘节点根据接收到的核心节点广播的边缘节点信息表,更新自己的第一边缘节点信息表,这样可以获得在核心节点处注册的所有边缘节点的MAC地址和用户组名。当此边缘节点需要跟其他边缘节点通信时,则可以直接在自己保存的第一边缘节点信息表中查找目标边缘节点的MAC地址和用户组名,与对应目标边缘节点的建立直接通信链路。
步骤103,所述边缘节点将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址。
可选的,边缘节点将以太帧和加密数据封装在用户数据报协议(User DatagramProtocol,UDP)包中,然后再封装目标边缘节点的身份信息,这样可以将数据包封装为一个两层的数据包,与目前的TCP/IP通信协议采用了四层的层级结构相比,仅需要一次寻址即可完成从源地址到目的地址,无需启动复杂的路由协议辅助寻址,从而可以提高虚拟专网中的网络寻址速度,并且降低虚拟专网中寻址所需的计算、存储资源和通信延迟。
步骤104,所述目标边缘节点接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与保存的MAC地址和用户组名一致时,对所述预设数据进行处理。
可选的,当目标边缘节点接收到广播后,确定广播的MAC地址与自己的固定私网地址一致,则解析数据包,获取目标边缘节点的MAC地址和目标边缘节点的用户组名,并且验证目标边缘节点的MAC地址和目标边缘节点的用户组名是否与自己的MAC地址和用户组名一致。当目标边缘节点的MAC地址和目标边缘节点的用户组名与自己的MAC地址和用户组名一致时,则确认自己为通信对象,对数据包进行处理。
可选的,虚拟专网中核心节点以及边缘节点各自保存的边缘节点信息表可以根据预设周期更新。当虚拟专网中核心节点发生故障时,边缘节点之间位置未发生变化时,边缘节点之间的通信不受影响。
可选的,边缘节点之间通信时传输的所有数据均进行对称性加密,即源边缘节点给目标边缘节点发送数据包时进行加密,目标边缘节点给源边缘节点反馈数据包时也进行加密,且采用的加密方式相同。边缘节点之间进行首次通信时,源边缘节点将加密密钥、加密方式发送给目标边缘节点。
可选的,加密密钥为用户自定义的加密密钥。
可选的,源边缘节点或者目标边缘节点对数据进行加密可以采用链式加密方式,如图3所示可以包括以下步骤。
步骤301,将待加密数据划分为多个数据块。
可选的,依次对每一数据块进行加密,并且后一数据块加密时采用前一数据块加密后的密文,使得加密后的密文安全性更高。
步骤302,对第一数据块的数据与预设初始向量进行运算,获得第一运算结果。
可选的,初始向量可以根据需求进行设定。
可选的,对第一数据块的数据与预设初始向量进行的运算,可以包括任何一种或多种运算,例如异或运算、加减运算、平方运算等等。
步骤303,采用用户自定义加密密钥对所述第一运算结果进行加密,获得加密密文。
步骤304,根据预设规则确定所述加密密文中的一段密文作为第二数据块的加密向量,或者根据预设规则确定所述加密密文中多个不连续数据作为第二数据块的加密向量。
可选的,预设规则即确定作为第二数据块的加密向量的密文的规则,例如,在密文中的开始选择一段连续密文,或者结尾选择一段连续密文,或者在密文中间选择一段连续密文。
可选的,确定第二数据块的加密向量时可以根据与目标边缘节点协议的方式选择。
下一数据块的加密向量根据上一数据块的加密后的密文设定,可以降低密文被破解的风险。
步骤305,对第二数据块的数据与所述加密向量进行运算,获得第二运算结果。
可选的,对第二数据块的数据与所述加密向量进行运算的方式与对第一数据块的数据与预设初始向量进行运算的方式相同,只是采用的加密向量不同。
步骤306,采用所述用户自定义加密密钥对所述第二运算结果进行加密,获得第二密文。
步骤307,根据步骤304确定下一加密向量的方式确定下一数据块的加密向量,并根据步骤305、步骤306以及步骤307的方式对下一数据块进行加密,直到将所有数据加密完成,获得加密后数据。
目标边缘节点接收到数据包后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与所述目标边缘节点的MAC地址和用户组名一致时,继续对加密数据进行解密,解密的方法与加密方法相反。
上述虚拟专网的调度方法,通过边缘节点接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;然后根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的物理地址MAC地址和目标边缘节点的用户组名;以及将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;所述目标边缘节点接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与自身保存的MAC地址和用户组名一致时,对所述预设数据进行处理。上述实施例中,边缘节点之间可以直接通信,并且通过一次寻址到达目标地址,从而可以提高虚拟专网中边缘节点之间的通信速度以及网络寻址速度,降低虚拟专网中寻址所需的计算和存储资源,并且降低网络延迟。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
对应于上文实施例所述的虚拟专网的调度方法,图4示出了本发明实施例提供的虚拟专网的调度系统的示例图。如图4所示,该系统可以包括:边缘节点401和目标边缘节点402。
所述边缘节点401,用于接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;以及根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点402的物理地址MAC地址和目标边缘节点402的用户组名;以及将预设数据、目标边缘节点402的用户组名和目标边缘节点402的MAC地址依次封装为数据包,进行全网广播目标边缘节点402的MAC地址;
所述目标边缘节点402,用于接收到广播后,解析所述数据包中的目标边缘节点402的MAC地址和目标边缘节点402的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与保存的MAC地址和用户组名一致时,对所述预设数据进行处理。
可选的,所述虚拟专网的调度系统,还包括核心节点403。
所述核心节点403,用于接收所述边缘节点401发送的注册信息,并根据所述边缘节点401以及对应的所述注册信息,更新存储的第二边缘节点信息表;所述注册信息包括所述边缘节点的身份信息;以及将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便所有边缘节点更新存储的边缘节点信息表。
可选的,虚拟专网的调度系统可以包括多个核心节点和多个边缘节点。
可选的,所述边缘节点401接收虚拟专网中核心节点403广播的边缘节点信息表之前,还包括:
所述边缘节点401向核心节点403的注册,建立所述边缘节点401与所述核心节点403之间的通信隧道,以便虚拟专网中的所有边缘节点之间可以直接通信。
可选的,虚拟专网中可以包括多个核心节点,核心节点之间可以互相通信,核心节点可以接收其他核心节点保存的边缘节点信息表,使得各个核心节点保存的边缘节点信息表为全网下注册的边缘节点的身份信息。这样注册到同一核心节点上的边缘节点之间可以通信,并且注册到不同核心节点上的边缘节点也可以进行通信。
可选的,边缘节点401根据存储的核心节点的地址将注册信息发送给核心节点403进行注册,所述注册信息包括所述边缘节点401的身份信息,所述核心节点403为虚拟专网中的任一核心节点;
所述核心节点403接收所述注册信息,并根据所述边缘节点401以及对应的所述注册信息,更新存储的第二边缘节点信息表;
所述核心节点403将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便注册到所述核心节点上的所有边缘节点更新存储的边缘节点信息表。
可选的,所述边缘节点401的身份信息包括边缘节点401的预设标识,所述预设标识与对应的边缘节点一一对应;
所述预设标识包括所述边缘节点的MAC地址和用户组名。
可选的,预设标识中的MAC地址为对应的边缘节点的唯一固定私网地址,作为边缘节点之间通信的目的地址和源地址。
可选的,虚拟专网中核心节点以及边缘节点各自保存的边缘节点信息表根据预设周期更新。
可选的,边缘节点之间传输的所有数据均进行对称性加密,边缘节点之间进行首次通信时,源边缘节点将加密密钥、加密方式发送给目标边缘节点。
可选的,源边缘节点或者目标边缘节点对数据进行加密包括:
A.将待加密数据划分为多个数据块;
B.对第一数据块的数据与预设初始向量进行运算,获得第一运算结果;
C.采用用户自定义加密密钥对所述第一运算结果进行加密,获得加密密文;
D.随机选择所述加密密文中任意一段密文作为第二数据块的加密向量,或者随机选择所述加密密文中多个不连续数据作为第二数据块的加密向量;
E.对第二数据块的数据与所述加密向量进行运算,获得第二运算结果;
F.采用所述用户自定义加密密钥对所述第二运算结果进行加密,获得第二密文;
G.根据步骤D确定下一加密向量的方式确定下一数据块的加密向量,并根据步骤E、步骤F以及步骤G的方式对下一数据块进行加密,直到将所有数据加密完成,获得加密后数据。
上述虚拟专网的调度系统,通过边缘节点接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;然后根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的物理地址MAC地址和目标边缘节点的用户组名;以及将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;所述目标边缘节点接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与自身保存的MAC地址和用户组名一致时,对所述预设数据进行处理。上述实施例中,边缘节点之间可以直接通信,并且通过一次寻址到达目标地址,从而可以提高虚拟专网中边缘节点之间的通信速度以及网络寻址速度,降低虚拟专网中寻址所需的计算和存储资源,并且降低网络延迟。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。

Claims (10)

1.一种虚拟专网的调度方法,其特征在于,包括:
边缘节点接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;
所述边缘节点根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的MAC地址和目标边缘节点的用户组名;
所述边缘节点将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;
所述目标边缘节点接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与保存的MAC地址和用户组名一致时,对所述预设数据进行处理。
2.如权利要求1所述的虚拟专网的调度方法,其特征在于,所述边缘节点接收虚拟专网中核心节点广播的边缘节点信息表之前,还包括:
所述边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道。
3.如权利要求2所述的虚拟专网的调度方法,其特征在于,所述边缘节点向核心节点的注册,建立所述边缘节点与所述核心节点之间的通信隧道,包括:
边缘节点根据存储的核心节点的地址将注册信息发送给核心节点进行注册,所述注册信息包括所述边缘节点的身份信息,所述核心节点为虚拟专网中的任一核心节点;
所述核心节点接收所述注册信息,并根据所述边缘节点以及对应的所述注册信息,更新存储的第二边缘节点信息表;
所述核心节点将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便注册到所述核心节点上的所有边缘节点更新存储的边缘节点信息表。
4.如权利要求3中所述的虚拟专网的调度方法,其特征在于,
所述边缘节点的身份信息包括边缘节点的预设标识,所述预设标识与对应的边缘节点一一对应;
所述预设标识包括所述边缘节点的MAC地址和用户组名。
5.如权利要求4所述的虚拟专网的调度方法,其特征在于,
预设标识中的MAC地址为对应的边缘节点的唯一固定私网地址,作为边缘节点之间通信的目的地址和源地址。
6.如权利要求1所述的虚拟专网的调度方法,其特征在于,
虚拟专网中核心节点以及边缘节点各自保存的边缘节点信息表根据预设周期更新。
7.如权利要求1所述的虚拟专网的调度方法,其特征在于,
边缘节点之间传输的所有数据均进行对称性加密,边缘节点之间进行首次通信时,源边缘节点将加密密钥、加密方式发送给目标边缘节点。
8.如权利要求7所述的虚拟专网的调度方法,其特征在于,源边缘节点或者目标边缘节点对数据进行加密包括:
A.将待加密数据划分为多个数据块;
B.对第一数据块的数据与预设初始向量进行运算,获得第一运算结果;
C.采用用户自定义加密密钥对所述第一运算结果进行加密,获得加密密文;
D.根据预设规则确定所述加密密文中的一段密文作为第二数据块的加密向量,或者根据预设规则确定所述加密密文中多个不连续数据作为第二数据块的加密向量;
E.对第二数据块的数据与所述加密向量进行运算,获得第二运算结果;
F.采用所述用户自定义加密密钥对所述第二运算结果进行加密,获得第二密文;
G.根据步骤D确定下一加密向量的方式确定下一数据块的加密向量,并根据步骤E、步骤F以及步骤G的方式对下一数据块进行加密,直到将所有数据加密完成,获得加密后数据。
9.一种虚拟专网的调度系统,其特征在于,包括:边缘节点和目标边缘节点;
所述边缘节点,用于接收虚拟专网中核心节点广播的边缘节点信息表,并更新存储的第一边缘节点信息表;以及根据更新后的第一边缘节点信息表,获取待通信的目标边缘节点的MAC地址和目标边缘节点的用户组名;以及将预设数据、目标边缘节点的用户组名和目标边缘节点的MAC地址依次封装为数据包,进行全网广播目标边缘节点的MAC地址;
所述目标边缘节点,用于接收到广播后,解析所述数据包中的目标边缘节点的MAC地址和目标边缘节点的用户组名,确定目标边缘节点的MAC地址和目标边缘节点的用户组名与保存的MAC地址和用户组名一致时,对所述预设数据进行处理。
10.如权利要求9所述的虚拟专网的调度系统,其特征在于,还包括核心节点;
所述核心节点,用于接收所述边缘节点发送的注册信息,并根据所述边缘节点以及对应的所述注册信息,更新存储的第二边缘节点信息表;所述注册信息包括所述边缘节点的身份信息;以及将更新后的第二边缘节点信息表广播给网络中所有边缘节点,以便所有边缘节点更新存储的边缘节点信息表。
CN201910683782.6A 2019-07-26 2019-07-26 虚拟专网的调度方法及系统 Active CN110224844B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910683782.6A CN110224844B (zh) 2019-07-26 2019-07-26 虚拟专网的调度方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910683782.6A CN110224844B (zh) 2019-07-26 2019-07-26 虚拟专网的调度方法及系统

Publications (2)

Publication Number Publication Date
CN110224844A CN110224844A (zh) 2019-09-10
CN110224844B true CN110224844B (zh) 2021-01-15

Family

ID=67813825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910683782.6A Active CN110224844B (zh) 2019-07-26 2019-07-26 虚拟专网的调度方法及系统

Country Status (1)

Country Link
CN (1) CN110224844B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848206A (zh) * 2010-04-02 2010-09-29 北京邮电大学 一种在边缘路由器中支持802.1x扩展认证协议的方法
CN102263704A (zh) * 2011-09-01 2011-11-30 杭州华三通信技术有限公司 一种支持数据中心二层互联的拓扑构建方法和装置
CN102577331A (zh) * 2010-05-28 2012-07-11 华为技术有限公司 虚拟第2层及使其可扩展的机制
CN102946353A (zh) * 2012-11-08 2013-02-27 中兴通讯股份有限公司 虚拟专用局域网服务网络报文转发方法和边缘设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137001B (zh) * 2010-11-29 2014-12-10 华为技术有限公司 交换路由信息的方法、设备和系统
CN102137173B (zh) * 2010-12-27 2014-09-03 华为技术有限公司 路由信息发布方法、设备及虚拟专用网系统
CN103731349B (zh) * 2012-10-16 2017-10-03 新华三技术有限公司 一种以太网虚拟化互联邻居间报文转发方法和边缘设备
CN104468233B (zh) * 2014-12-23 2018-01-12 新华三技术有限公司 以太网虚拟化互联双归属站点故障切换方法及装置
US9716688B1 (en) * 2015-05-13 2017-07-25 Parallels International Gmbh VPN for containers and virtual machines in local area networks
US10237230B2 (en) * 2017-07-19 2019-03-19 Arista Networks, Inc. Method and system for inspecting network traffic between end points of a zone

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848206A (zh) * 2010-04-02 2010-09-29 北京邮电大学 一种在边缘路由器中支持802.1x扩展认证协议的方法
CN102577331A (zh) * 2010-05-28 2012-07-11 华为技术有限公司 虚拟第2层及使其可扩展的机制
CN102263704A (zh) * 2011-09-01 2011-11-30 杭州华三通信技术有限公司 一种支持数据中心二层互联的拓扑构建方法和装置
CN102946353A (zh) * 2012-11-08 2013-02-27 中兴通讯股份有限公司 虚拟专用局域网服务网络报文转发方法和边缘设备

Also Published As

Publication number Publication date
CN110224844A (zh) 2019-09-10

Similar Documents

Publication Publication Date Title
US10158568B2 (en) Method and apparatus for service function forwarding in a service domain
WO2019210769A1 (en) Explicit routing with network function encoding
EP3958521A1 (en) Method and apparatus for providing service for service flow
US7643488B2 (en) Method and apparatus for supporting multiple customer provisioned IPSec VPNs
EP2100406B1 (en) Method and apparatus for implementing multicast routing
US11115391B2 (en) Securing end-to-end virtual machine traffic
CN109361606B (zh) 一种报文处理系统及网络设备
CN107682370B (zh) 创建用于嵌入的第二层数据包协议标头的方法和系统
CN107483345B (zh) 业务处理方法、设备及系统
CN103747499A (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
US20070204158A1 (en) Methods and apparatus for encryption key management
CN102792651B (zh) 在mac层应用服务路径路由选择的装置
CN111786867B (zh) 一种数据传输方法及服务器
CN107005430A (zh) 一种基于数据链路层的通信方法、设备和系统
CN108390812B (zh) 报文转发方法及装置
CN101764825A (zh) 虚拟专用网的数据传输方法、系统及终端、网关设备
CN111786869B (zh) 一种服务器之间的数据传输方法及服务器
CN107979619A (zh) 一种twamp会话协商方法、客户端及服务端
CN108064441B (zh) 一种加速网络传输优化方法以及系统
CN110224844B (zh) 虚拟专网的调度方法及系统
CN100592265C (zh) 路由分组通信量来确保通信安全的方法、系统和计算机系统
Lee et al. Network flow data re-collecting approach using 5G testbed for labeled dataset
US11095610B2 (en) Methods and apparatus for autonomous network segmentation
CN116132555A (zh) 一种报文处理方法和系统
CN112367237A (zh) 一种报文转发方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230726

Address after: No. 5014-706, 5th floor, No. A36 Haidian Street, Haidian District, Beijing, 100000

Patentee after: Ze'an Technology (Beijing) Co.,Ltd.

Patentee after: HEBEI HUAWO COMMUNICATION TECHNOLOGY Co.,Ltd.

Address before: 050031 room 1609, building 2, No. 136, Huanghe Avenue, high tech Zone, Shijiazhuang City, Hebei Province

Patentee before: ZHOUAN TECHNOLOGY HEBEI Co.,Ltd.

Patentee before: HEBEI HUAWO COMMUNICATION TECHNOLOGY Co.,Ltd.