CN111010340A - 数据报文转发控制方法、装置及计算装置 - Google Patents
数据报文转发控制方法、装置及计算装置 Download PDFInfo
- Publication number
- CN111010340A CN111010340A CN201911314008.4A CN201911314008A CN111010340A CN 111010340 A CN111010340 A CN 111010340A CN 201911314008 A CN201911314008 A CN 201911314008A CN 111010340 A CN111010340 A CN 111010340A
- Authority
- CN
- China
- Prior art keywords
- data message
- isp
- filtering system
- computing device
- packet filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/14—Routing performance; Theoretical aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种数据报文转发控制方法、装置及计算装置,该方法应用于多ISP接入计算装置的场景中,包括:计算装置配置响应于用户请求的服务端,对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签,使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中;IP信息包过滤系统创建并关联不同ISP与服务端所建立的策略路由。通过本申请所揭示的数据报文转发控制方法、装置及计算装置,实现了对分配给用户的服务端的无感知,有效地适应了多ISP接入计算装置的场景需求,避免了跨ISP网络通信,显著地提高了用户体验。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种数据报文转发控制方法、数据报文转发控制装置,以及一种计算装置。
背景技术
云计算平台是一种基于互联网的计算方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。典型的云计算提供商往往提供通用的网络业务应用,可以通过浏览器等软件或者其他Web服务来访问,而软件和数据都存储在服务器上。云计算服务通常提供通用的通过浏览器访问的在线商业应用,软件和数据可存储在数据中心(IDC)。
数据中心具有明显的跨ISP(互联网服务供应商)与跨区域的技术限制,从而导致由于用户使用的ISP存在区别(例如中国电信或者中国联通),从而导致跨ISP通信会出现响应延迟、丢包等现象,严重影响了用户访问虚拟机的用户体验。为解决上述问题,数据中心通常接入多个不同的ISP线路,以满足用户对数据中心所组建的云平台中的一个或者多个虚拟机的访问。由此对虚拟机提出了需要支持不同ISP线路的技术要求。
同时参图1与图2所示,采用两种不同类型的ISP接入数据中心的场景中,用户(参图1中的User1或者User2)访问基于数据中心的物理资源所组建的云平台中所创建的虚拟机21时,通常采用直连的网卡访问位于内网的虚拟机21,虚拟机21通过中心交换机10与ISP101及ISP102连接。为保证东西向通信安全,必须设置第一安全组25与第二安全组24,第一安全组25连接第一外网网卡22,第二安全组24连接第二外网网卡23,以通过分别通过第一外网网卡22与第二外网网卡23分别连接ISP101与ISP102。为保证虚拟机21具有访问ISP101与ISP102,通常在虚拟机21中添加相互隔离的路由规则,以使得虚拟机21的内网地址172.16.1.5与内网地址172.16.2.5通过独立的路由规则能够分别通过第一安全组25与第二外网网卡23访问ISP101,或者通过第二安全组24与第二外网网卡23访问ISP102。申请人指出在虚拟机21配置路由规则仅能确保东西向通信安全,而无法保障南北向通信安全;同时,对于南北向通信而言,由于仅配置第一安全组25或者第二安全组24,从而降低了虚拟机21的安全性;此外,由于路由策略保存在虚拟机21上,一旦用户对虚拟机21执行了误操作(例如意外删除等),会破坏对路由规则进行,导致用户访问虚拟机21时的用户体验不佳;最后,由于数据中心在多ISP接入场景中,会出现响应延迟、丢包等现象,严重影响了用户访问虚拟机的用户体验。
有鉴于此,有必要对现有技术中的诸如数据中心等类型的计算装置中接入多个不同类型的ISP线路时的数据报文转发技术予以改进,以解决上述问题。
发明内容
本发明的目的在于揭示一种应用于多ISP接入计算装置的场景中的一种数据报文转发控制方法、数据报文转发控制装置,以及一种计算装置,用以解决现有技术中基于多ISP接入计算装置的场景中,提高服务端的安全性,并将服务端向用户转发的数据报文沿进入路径原路返回并向用户予以响应,同时避免将路由规则直接添加在服务端中,避免用户对服务端的误操作对路由规则的破坏,消除接入计算装置不同ISP的限制,降低部署成本。
为实现上述第一个目的,本申请首先提供了一种数据报文转发控制方法,应用于多ISP接入计算装置的场景中,
所述计算装置配置响应于用户请求的服务端,对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签,使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中;
其中,所述IP信息包过滤系统创建并关联不同ISP与服务端所建立的策略路由。
作为本发明的进一步改进,所述标记标签由自指定ISP转发至服务端的数据报文所形成的上行链路中,由IP信息包过滤系统通过set-mark予以执行。
作为本发明的进一步改进,还包括:
在IP信息包过滤系统中创建默认路由与策略路由;
其中,对已经执行标记标签的数据报文通过所述默认路由确定与服务端的转发路径,对下行链路中的数据报文根据所述策略路由确定数据报文与指定ISP之间的转发路径。
作为本发明的进一步改进,使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中具体为:
IP信息包过滤系统通过save-mark区分路由至指定ISP所形成的下行链路中的数据报文,并仅在与上行链路中为自指定ISP转发的数据报文中所携带的标签相匹配时,将自服务端转发的数据报文路由至指定ISP。
作为本发明的进一步改进,所述服务端被配置为虚拟机、两个或者两个以上的虚拟机所组成的虚拟机集群、容器或者Namespace;
所述服务端被配置出至少一种响应用户自ISP发起的访问请求的资源。
作为本发明的进一步改进,创建策略路由通过部署于网络节点中IP信息包过滤系统执行,所述策略路由的数量由接入计算装置的ISP数量所确定。
作为本发明的进一步改进,所述数据报文转发控制方法还包括:
将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号,并将所述索引编号保存至IP信息包过滤系统中的策略路由中。
同时,基于上述相同发明思想,本申请还揭示了一种数据报文转发控制装置,应用于多ISP接入计算装置的场景中,包括:
配置模块,在所述计算装置中配置响应于用户请求的服务端;
标记模块,对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签;
IP信息包过滤系统,使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中,所述IP信息包过滤系统创建并关联不同ISP与服务端所建立的策略路由。
作为本发明的进一步改进,所述IP信息包过滤系统通过set-mark对自指定ISP转发至服务端的数据报文标记标签。
作为本发明的进一步改进,所述IP信息包过滤系统中创建默认路由与策略路由;
所述IP信息包过滤系统对已经执行标记标签的数据报文通过所述默认路由确定与服务端的转发路径,对下行链路中的数据报文根据所述策略路由确定数据报文与指定ISP之间的转发路径。
作为本发明的进一步改进,所述服务端被配置为虚拟机、两个或者两个以上的虚拟机所组成的虚拟机集群、容器或者Namespace;
所述服务端被配置出至少一种响应用户自ISP发起的访问请求的资源;
计算装置被配置为云平台、数据中心或者集群服务器。
作为本发明的进一步改进,所述IP信息包过滤系统署于网络节点中并创建策略路由,所述策略路由的数量由接入计算装置的ISP数量所确定。
作为本发明的进一步改进,所述IP信息包过滤系统将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号,并将所述索引编号保存至IP信息包过滤系统中的策略路由中。
最后,基于上述相同发明思想,本申请还揭示了一种计算装置,包括:
计算节点、网络节点及网络服务控制器;
所述计算中配置至少一个服务端、安全组及第二内网网卡;
所述网络节点中配置虚拟机路由器、与第一内网网卡连接的第二内网网卡,根据接入该计算装置的ISP数量所确定并在网络节点中所配置的独立的防火墙与外网网卡;
其中,所述计算装置运行如上述任一项发明创造所揭示的数据报文转发控制方法。
与现有技术相比,本发明的有益效果是:
通过本申请所揭示的数据报文转发控制方法、装置及计算装置,实现了对分配给用户的服务端的无感知,有效地适应了多ISP接入计算装置的场景需求,避免了多ISP接入场景中由于跨ISP网络通信所存在的响应延迟、丢包等现象,显著地提高了用户体验。
附图说明
图1为现有技术中基于多线接入场景且包含虚拟机的数据中心实例;
图2为现有技术中基于多线接入场景且包含虚拟机的计算节点实例;
图3为应用本发明一种数据报文转发控制方法的一种云平台实例,该云平台运行于数据中心中;
图4为对多线接入场景中虚拟机路由器基于iptables_mangle对数据报文修改数据报文标志位以实现对数据报文下发转发策略的示意图;
图5为本发明一种数据报文转发控制方法的流程图;
图6为IP信息包过滤系统将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号的实例;
其中,索引编号为4时IP信息包过滤系统将包含Table200的策略路由配置至下行链路中,索引编号为5时IP信息包过滤系统将包含Table200的策略路由配置至下行链路中,并且当数据报文与策略路由未执行关联操作时,将默认路由配置至下行链路中;
图7为包含本发明一种数据报文转发控制装置的云平台的拓扑图;
图8为本发明一种计算装置的拓扑图。
具体实施方式
下面结合附图所示的各实施方式对本发明进行详细说明,但应当说明的是,这些实施方式并非对本发明的限制,本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代,均属于本发明的保护范围之内。
在详细阐述本发明各个实例之前,对本申请各个实施例中所涉及的技术术语及本申请整体发明思想予以简述。
本申请所揭示的数据报文转发控制方法、装置及基于前述方法和/或装置200所涵盖发明思想的一种计算装置300,均基于接入计算装置的多个ISP的场景。在本申请各个实施例中,“多线接入”及“多ISP接入”与“接入计算装置的多个ISP的场景/实例”具等同技术含义。
同时,本申请所揭示的多个实施例中,对数据报文的转发规则并不依赖虚拟网卡发出的对某个指定虚拟机(本申请中服务端的下位概念)的映射关系,以确定虚拟网卡的域名所对应的外网IP地址,并由此通过以配置的路由策略找到虚拟网卡的IP地址至服务端的路由转发规则。
简要而言,本申请各个实施例所揭示的发明创造可针对多ISP接入计算装置(例如云平台、数据中心)的场景中,在不向服务端中添加特定的路由规则,而转由通过在上行链路中数据报文通过set-mark的方式标记标签,并通过默认路由规则转发至服务端;同时,在服务端向用户予以响应并形成下行链路的过程中,通过save-mark区分路由至指定ISP所形成的下行链路中的数据报文,并仅在与上行链路中为自指定ISP转发的数据报文中所携带的标签相匹配时,将自服务端转发的数据报文路由至指定ISP。从而实现了真正意义上的源进源出的数据报文转发机制,实现了对分配给用户的服务端的无感知,不仅实现了对多ISP接入计算装置场景中数据报文高效的执行源进源出的需求,还有效地避免了跨ISP网络通信所存在的响应延迟、丢包等现象,从而显著地提高了用户体验。下文通过若干实施例对本发明予以详细阐述。
实施例一:
参图3至图6所揭示的一种数据报文转发控制方法的一种具体实施方式。
参图5所示,在本实施例中,数据报文转发控制方法,应用于多ISP接入计算装置的场景中,并包括步骤S1与步骤S2。
步骤S1、计算装置配置响应于用户(User)请求的服务端,对自指定ISP转发至服务端的数据报文基于数据报文转发地址的哈希值标记标签;
步骤S2、使用IP信息包过滤系统32将所述标签保存至路由所述数据报文至指定ISP的下行链路中;其中,所述IP信息包过滤系统32创建并关联不同ISP与服务端所建立的策略路由。
具体而言,在本实施例中,多ISP接入计算装置的场景可例如在同一个计算装置的物理网卡接入中国电信、中国移动或者中国联通三个ISP,用户(User)在本地或者异地通过上网设备(例如笔记本电脑),通过ISP访问计算装置中的服务端。其中,服务端被配置为虚拟机(VM)、两个或者两个以上的虚拟机所组成的虚拟机集群(例如Zookeeper集群、Redis集群或者大数据集群等)、容器(Docker)或者Namespace(命名空间)。服务端被配置出至少一种响应用户自ISP发起的访问请求的资源。
“资源”在本申请的各个实施例中,不仅可以被理解为虚拟资源(例如vCPU、虚拟存储资源等),还可被理解为实体数据,甚至可以被理解为一种应用或者模型。因此,本申请中的“资源”泛指能够对用户发起的访问请求予以响应,或者至少能够完成用户所需的并能够通过可执行的计算机程序运行,以完成特定功能的服务能力。在本实施例中,申请人以服务端为虚拟机的场景予以示范性说明,本领域技术人员能够合理预测到,本实施例所揭示的技术方案还能够对其他种类的服务端执行相同的数据报文转发控制方法,并起到相同的技术效果。
结合图3所示,为简化阐述,在本实施例中,服务端选用虚拟机VM21为例予以叙述。VM21可采用软件定义方式被创建。VM21部署于计算节点20中。VM21连接安全组26,并通过第一内网网卡27与网络节点30的第二内网网卡31连接,以通过第一内网网卡27与第二内网网卡31形成数据报文的转发链路。网络节点30中配置IP信息包过滤系统32(即虚拟路由器vRouter)。IP信息包过滤系统32根据接入不同种类的ISP的数量确定防火墙及外网网卡的数量。在本实施例中,由于默认路由与策略路由被创建并运行在网络节点30的IP信息包过滤系统32中,当网络节点30增加不同的ISP时,可直接在形成网络节点30的物理态的服务器和/或计算机上配置与增加的ISP所适配的外网网卡,即可实现自适应扩展的源进源出的转发目的,因此非常适用于接入ISP数量及种类非常多的数据中心的场景中使用,并有利于降低部署成本与部署难度。
创建策略路由通过部署于网络节点中IP信息包过滤系统32执行,所述策略路由的数量由接入计算装置的ISP数量所确定。参图3所示,在本实施例中,策略路由的数量为两个,并与ISP101及ISP102的数量相等。
IP信息包过滤系统32由netfilter组件和iptables组件组成,且在本实施例中,该IP信息包过滤系统32与虚拟路由器(vRouter)具等同含义。netfilter组件也称为内核空间(Kernel Space),netfilter组件是Linux内核的一部分,由一些信息包过滤表组成,这些信息包过滤表包含Linux内核用来控制信息包过滤处理的规则集。iptables组件是一种工具,即用户空间(userspace),以通过iptables组件使插入、修改和除去信息包过滤表中的规则变得容易。iptables组件内置有标记模块202,标记模块202与netfilter组件标记字段匹配。需要说明的是,在本实施例中,下文所涉及的“标记标签”与此处的“标记字段”并非为相同技术特征,而下文所涉及的“标记标签”的含义是为VM21通过IP信息包过滤系统32所配置并保存在IP信息包过滤系统32中的策略路由的索引编号。
例如,当该计算装置接入分别代表中国电信的ISP101与中国移动的ISP102时。可在网络节点30中分别设置两条东西向隔离的第一防火墙33、第一外网网卡22,以及第二防火墙34、第二外网网卡23;第一防火墙22依次连接第一外网网卡22,并通过呈物理态的第一网关(Gateway)接入ISP101。同理所述,第二防火墙34依次连接第二外网网卡23,并通过呈物理态的第二网关(Gateway)接入ISP102。当用户通过ISP101访问VM21时,数据报文自ISP101转发并达到VM21,从而形成上行链路,VM21向用户予以响应后并将数据报文转发并达到ISP101,从而形成下行链路。
同时,为了便于理解,将ISP101定义为源端(Source),将VM21定义为目标端(Target),数据报文根据非配置于VM21中的策略路由及默认路由,在目标端与源端之间形成互为相反关系,并实现南北向通信的上行链路与下行链路;同时,一旦在IP信息包过滤系统32中为VM21配置了策略路由,则上行链路与下行链路均仅在VM21与ISP101之间执行单播,以实现南北向通信,从而避免了跨ISP通信所导致的通信质量较低,且响应延迟,甚至由于请求超时(Timeout)无法连接的情况。
用户通过ISP101向VM21发起访问请求所对应的数据报文转发地址会由网络服务控制器40(Neutron)向IP信息包过滤系统32下发与对上行链路中数据报文对应的哈希值。同时,在本实施例中,VM21可绑定多个ISP,且具体通过将VM21的内网网卡(即图3所示出的第一内网网卡27与第二内网网卡31)和多个ISP通过IP信息包过滤系统32的Floating IP(浮动IP)绑定予以实现,其中浮动IP机制在IP信息包过滤系统32中执行。
该数据报文转发控制方法还包括:在IP信息包过滤系统32中创建默认路由与策略路由;其中,对已经执行标记标签的数据报文通过所述默认路由(Default Route)确定与服务端(即VM21)的转发路径,对下行链路中的数据报文根据所述策略路由确定数据报文与指定ISP之间的转发路径。在本实施例场景中,下行链路中的数据报文根据前述策略路由确定数据报文在VM21与ISP101之间建立转发路径,以隔离跨ISP通信,避免由VM21发出的数据报文发送至ISP102。于此场景中的下行链路中所向指定ISP(例如ISP101)执行发送的规则,在数据报文在上行链路中经过虚拟路由器32时所标记的标签予以确定,并保存有针对特定的数据报文的策略路由。
上行链路中对自ISP101转发至服务端的数据报文标记标签的操作是针对ISP101通过第一网关103与第一外网网卡22所形成的入口流量来设置标签。标记标签由自指定ISP转发至VM21的数据报文所形成的上行链路中,由IP信息包过滤系统32通过set-mark予以执行。上述过程如下代码所示。
#为从ISP101进入上行链路中的数据报文设置标签,代码如下所示:
-t mangle-A fip-mark-i isp_nic1-j MARK--set-xmark 0x4/0xffffffff
-t mangle-A fip-mark-i isp_nic2-j MARK--set-xmark 0x5/0xffffffff
#将数据报文所对应的标签保存到上行链路中,代码如下所示:
-t mangle-A fip-mark-i isp_nic1-j CONNMARK--save-mark--nfmask0xffffffff--ctmask 0xffffffff
-t mangle-A fip-mark-i isp_nic2-j CONNMARK--save-mark--nfmask0xffffffff--ctmask 0xffffffff
#从内网(即计算节点20)返回的数据报文重新打上标签,代码如下所示:
-t mangle-A fip-mark-iinternal_net1-j CONNMARK--restore-mark --nfmask0xffffffff--ctmask 0xffffffff
结合图4所示,在上述代码中,IP信息包过滤系统32对数据报文标记标签使用虚拟机路由器32的iptables_mangle321(虚拟路由器32的内核模块),以通过该iptables_mangle321修改数据报文的标志位信息。由此,ISP101通过eth1(即第一外网网卡22)、虚拟路由器32及eth0(即第二内网网卡31)与VM21之间建立上行链路与下行链路。而在此过程中,另一个VM22基于虚拟路由器32配置的策略路由,因此VM22无法与ISP101建立会话,因此无法在VM21与ISP101之间建立用于传输数据报文的上行链路与下行链路,,以实现南北向通信,实现了数据报文的源进源出。
配合参照图6所示,在本实施例中,使用IP信息包过滤系统32将所述标签保存至路由数据报文至指定ISP的下行链路中具体为:
结合图6所示,该IP信息包过滤系统32通过save-mark区分路由至指定ISP所形成的下行链路中的数据报文,并仅在与上行链路中为自指定ISP转发的数据报文中所携带的标签相匹配时,将自服务端转发的数据报文路由至指定ISP。优选的,在本实施例中,数据报文转发控制方法还包括:将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号,并将所述索引编号保存至IP信息包过滤系统32中的策略路由中。
例如,分别对来自ISP101的数据报文设置的索引编号为4,从ISP102进来的数据报文设置的索引编号是5,同时保证从内网进来的返回包(即下行链路中的数据包)根据虚拟路由器32的内部模块中连接信息重新设置上和从ISP101进来时相同的标签。
#在虚拟路由器32添加路由表200(策略路由)和路由表300(策略路由),并分别和标签4和标签5执行关联操作,代码如下所示:
ip rule add fwmark 4 table 200
ip rule add fwmark 5 table 300
#向table200添加包含策略路由的数据报文转发规则,代码如下所示:
ip rule add default via 172.16.1.1 dev isp_nic1
192.168.1.0/24 dev internal_net1 scope link
172.16.1.0/24 dev isp_nic1 scope link
#向table300添加包含策略路由的数据报文转发规则,代码如下所示:
ip rule add default via 172.16.2.1 dev isp_nic2
192.168.1.0/24 dev internal_net1 scope link
172.16.2.0/24 dev isp_nic2 scope link
如图6所示,菱形框中代表对数据报文在下行链路中进入vRouter并对标签的序列编号进行判断的逻辑,若序列编号未被保存至vRouter,则沿箭头331的方向,以基于默认路由对数据报文进行转发;若序列编号为4,则沿箭头332的方向,以基于路由表200(策略路由)对数据报文进行转发;若序列编号为5,则沿箭头333的方向,以基于路由表300(策略路由)对数据报文进行转发。
具体而言,在Default table(默认路由)的转发规则中,172.16.1.1为与ISP101连接的第一网关103的网关IP,172.16.2.1为与ISP102连接的第二网关104的IP地址,正常配置在物理设备上。在默认路由的转发规则中,将请求192.168.1.0/24网段的连接通过私网网卡转发到私网网络中,其他请求转发到与ISP101连接的第一网关103上,并最终转发到ISP101。172.16.1.1为与ISP101所连接的第一网关103的网关IP,172.16.2.1为与ISP102所连接的第二网关104的网关IP,正常配置在物理设备(例如物理态的服务器)上。
在默认路由的转发规则中,将请求192.168.1.0/24网段的连接通过私网网卡转发到私网网络中,其他请求转发到ISP101的第一网关103上,最终转发到ISP101。
在路由表200的转发规则中,将请求192.168.1.0/24网段的连接通过私网网卡转发到私网网络中,其他请求转发到ISP101所连接的第一网关103上,最终转发到ISP101。
在路由表300的转发规则中,将请求192.168.1.0/24网段的连接通过私网网卡转发到私网网络中,其他请求转发到ISP102所连接的第二网关104,最终转发到ISP102。
其中,上文所提及的私网网卡是指:配置于虚拟路由器vRouter32中与第二内网网卡31逻辑上位于同一网络的一张虚拟网卡(图3中未示出)。上述私网网络包含计算节点20中虚机的网络及第二内网网卡31所属网络。
虚拟路由器32根据返回包中不同的标签将数据报文发送到不同的包含策略路由的路由表(即上述路由表200或者路由表300)中。这里假设返回的数据报文原先是从isp_net1(即ISP101)沿上行链路发送至VM21,则返回数据报文会发送到包含对应的策略路由的路由表200中,根据路由表200中的默认路由(例如:default via 172.16.2.1 dev isp_net2),将数据报文送到ISP101的第一网关103中,第一网关103的外网IP地址为172.16.1.1,最终由物理设备来转发到指定的ISP101中。
通过本实施例所揭示的一种数据报文转发控制方法,实现了对分配给用户的服务端的无感知,有效地适应了多ISP接入计算装置的场景需求,避免了基于多ISP接入场景中跨ISP网络通信所存在的响应延迟、丢包等现象,从而显著地提高了用户体验。
关于计算装置的定义及其具体技术含义,可结合实施例二中所披露的一种数据报文转发控制装置200予以理解。
实施例二:
结合图7所示,基于实施例一所揭示的一种数据报文转发控制方法,本实施例还揭示了一种数据报文转发控制装置200。
该数据报文转发控制装置200,应用于多ISP接入计算装置的场景中,其包括:配置模块201,在所述计算装置中配置响应于用户User1请求的服务端。标记模块202,对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签。IP信息包过滤系统203,将标签保存至路由所述数据报文至指定ISP的下行链路中,IP信息包过滤系统203创建并关联不同ISP与服务端所建立的策略路由。
需要说明的是,本实施例中的标记模块202与IP信息包过滤系统203虽然在图7中予以分离,但这种分离仅仅是功能或者逻辑上的分离,在实际应用中可将该标记模块202作为IP信息包过滤系统203的组成部分之一。
参图7所示,可将本实施例中的计算装置理解为云平台、数据中心或者集群服务器,进一步的,云平台优选为私有云或者混合云。
IP信息包过滤系统203署于网络节点中并创建策略路由,所述策略路由的数量由接入计算装置的ISP数量所确定。IP信息包过滤系统203将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号,并将所述索引编号保存至IP信息包过滤系统203中的策略路由中。该策略路由即实施例一中的Table200与Table300。
IP信息包过滤系统203通过set-mark对自指定ISP转发至服务端的数据报文标记标签。IP信息包过滤系统203中创建默认路由(Default Route)与策略路由;IP信息包过滤系统203对已经执行标记标签的数据报文通过所述默认路由确定与服务端的转发路径,对下行链路中的数据报文根据所述策略路由确定数据报文与指定ISP之间的转发路径。
具体的,该服务端被配置为虚拟机(VM301)、两个或者两个以上的虚拟机所组成的虚拟机集群、容器(Docker302)或者Namespace。服务端被配置出至少一种响应用户自ISP发起的访问请求的资源。
本实施例中所涉及的“服务端”、“资源”的技术含义参实施例一所述。
同时,本实施例所揭示的数据报文转发控制装置200与实施例一中相同部分的技术方案,请参实施例一所述,在此不再赘述。
实施例三:
如图8所示,本实施例揭示了一种计算装置300,包括:
计算节点20、网络节点30及网络服务控制器40。
计算20中配置至少一个服务端、安全组26及第二内网网卡27。
网络节点30中配置虚拟机路由器32、与第一内网网卡27连接的第二内网网卡31,由接入该计算装置300的ISP数量所确定的独立的防火墙与外网网卡;
其中,
计算装置300运行如实施例一所揭示的一种数据报文转发控制方法。
在本实施例中,基于南北向通信的上下行链路中,由于VM21与指定ISP(例如ISP101)之间,在计算节点20中配置安全组26,同时在网络节点30中配置多个并行且隔离的防火墙(即第一防火墙33与第二防火墙34),不仅确保了多个策略路由相互隔离,可通过安全组26与防火墙进一步提高了作为服务端(例如VM21)的安全性。
本实施例所揭示的一种计算装置300中与实施例一和/或实施例二中相同部分的技术方案,请参照实施例一和/或实施例二所述,在此不再赘述。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (14)
1.一种数据报文转发控制方法,应用于多ISP接入计算装置的场景中,其特征在于,
所述计算装置配置响应于用户请求的服务端,对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签,使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中;
其中,所述IP信息包过滤系统创建并关联不同ISP与服务端所建立的策略路由。
2.根据权利要求1所述的数据报文转发控制方法,其特征在于,所述标记标签由自指定ISP转发至服务端的数据报文所形成的上行链路中,由IP信息包过滤系统通过set-mark予以执行。
3.根据权利要求2所述的数据报文转发控制方法,其特征在于,还包括:
在IP信息包过滤系统中创建默认路由与策略路由;
其中,对已经执行标记标签的数据报文通过所述默认路由确定与服务端的转发路径,对下行链路中的数据报文根据所述策略路由确定数据报文与指定ISP之间的转发路径。
4.根据权利要求3所述的数据报文转发控制方法,其特征在于,使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中具体为:
IP信息包过滤系统通过save-mark区分路由至指定ISP所形成的下行链路中的数据报文,并仅在与上行链路中为自指定ISP转发的数据报文中所携带的标签相匹配时,将自服务端转发的数据报文路由至指定ISP。
5.根据权利要求1至4中任一项所述的数据报文转发控制方法,其特征在于,所述服务端被配置为虚拟机、两个或者两个以上的虚拟机所组成的虚拟机集群、容器或者Namespace;
所述服务端被配置出至少一种响应用户自ISP发起的访问请求的资源。
6.根据权利要求5所述的数据报文转发控制方法,其特征在于,创建策略路由通过部署于网络节点中IP信息包过滤系统执行,所述策略路由的数量由接入计算装置的ISP数量所确定。
7.根据权利要求5所述的数据报文转发控制方法,其特征在于,所述数据报文转发控制方法还包括:
将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号,并将所述索引编号保存至IP信息包过滤系统中的策略路由中。
8.一种数据报文转发控制装置,应用于多ISP接入计算装置的场景中,其特征在于,包括:
配置模块,在所述计算装置中配置响应于用户请求的服务端;
标记模块,对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签;
IP信息包过滤系统,将所述标签保存至路由所述数据报文至指定ISP的下行链路中,所述IP信息包过滤系统创建并关联不同ISP与服务端所建立的策略路由。
9.根据权利要求8所述的数据报文转发控制装置,其特征在于,所述IP信息包过滤系统通过set-mark对自指定ISP转发至服务端的数据报文标记标签。
10.根据权利要求9所述的数据报文转发控制装置,其特征在于,所述IP信息包过滤系统中创建默认路由与策略路由;
所述IP信息包过滤系统对已经执行标记标签的数据报文通过所述默认路由确定与服务端的转发路径,对下行链路中的数据报文根据所述策略路由确定数据报文与指定ISP之间的转发路径。
11.根据权利要求8至10中任一项所述的数据报文转发控制装置,其特征在于,所述服务端被配置为虚拟机、两个或者两个以上的虚拟机所组成的虚拟机集群、容器或者Namespace;
所述服务端被配置出至少一种响应用户自ISP发起的访问请求的资源;
计算装置被配置为云平台、数据中心或者集群服务器。
12.根据权利要求11所述的数据报文转发控制装置,其特征在于,所述IP信息包过滤系统署于网络节点中并创建策略路由,所述策略路由的数量由接入计算装置的ISP数量所确定。
13.根据权利要求11所述的数据报文转发控制装置,其特征在于,
所述IP信息包过滤系统将数据报文与策略路由基于关联操作所形成的关联规则建立唯一的索引编号,并将所述索引编号保存至IP信息包过滤系统中的策略路由中。
14.一种计算装置,其特征在于,包括:
计算节点、网络节点及网络服务控制器;
所述计算中配置至少一个服务端、安全组及第二内网网卡;
所述网络节点中配置虚拟机路由器、与第一内网网卡连接的第二内网网卡,根据接入该计算装置的ISP数量所确定并在网络节点中所配置的独立的防火墙与外网网卡;
其中,所述计算装置运行如权利要求1至7中任一项所述的数据报文转发控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911314008.4A CN111010340B (zh) | 2019-12-19 | 2019-12-19 | 数据报文转发控制方法、装置及计算装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911314008.4A CN111010340B (zh) | 2019-12-19 | 2019-12-19 | 数据报文转发控制方法、装置及计算装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111010340A true CN111010340A (zh) | 2020-04-14 |
| CN111010340B CN111010340B (zh) | 2022-04-29 |
Family
ID=70116755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911314008.4A Active CN111010340B (zh) | 2019-12-19 | 2019-12-19 | 数据报文转发控制方法、装置及计算装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111010340B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448854A (zh) * | 2020-12-09 | 2021-03-05 | 中国—东盟信息港股份有限公司 | 一种kubernetes复杂网络策略系统及其实现方法 |
| CN113630275A (zh) * | 2021-08-13 | 2021-11-09 | 华云数据控股集团有限公司 | 虚拟机管理器集群的网络互通方法、计算设备和存储介质 |
| WO2022194262A1 (zh) * | 2021-03-19 | 2022-09-22 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN115134291A (zh) * | 2022-06-28 | 2022-09-30 | 联想(北京)有限公司 | 数据的传输控制方法、装置、传输设备及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7620037B1 (en) * | 2004-12-14 | 2009-11-17 | Aspen Networks, Inc. | Reliable ISP access cloud state detection method and apparatus |
| CN101582904A (zh) * | 2009-06-17 | 2009-11-18 | 杭州华三通信技术有限公司 | 一种数据中心多线接入流量对称的实现方法、装置及系统 |
| CN102325079A (zh) * | 2011-06-27 | 2012-01-18 | 杭州华三通信技术有限公司 | 报文传输方法和出口路由器 |
| US20120099447A1 (en) * | 2004-12-14 | 2012-04-26 | Aspen Networks, Inc. | Reliable ISP Access Cloud State Detection Method and Apparatus |
| WO2014086023A1 (zh) * | 2012-12-06 | 2014-06-12 | 华为技术有限公司 | 跨服务区通信的方法、装置和数据中心网络 |
-
2019
- 2019-12-19 CN CN201911314008.4A patent/CN111010340B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7620037B1 (en) * | 2004-12-14 | 2009-11-17 | Aspen Networks, Inc. | Reliable ISP access cloud state detection method and apparatus |
| US20120099447A1 (en) * | 2004-12-14 | 2012-04-26 | Aspen Networks, Inc. | Reliable ISP Access Cloud State Detection Method and Apparatus |
| CN101582904A (zh) * | 2009-06-17 | 2009-11-18 | 杭州华三通信技术有限公司 | 一种数据中心多线接入流量对称的实现方法、装置及系统 |
| CN102325079A (zh) * | 2011-06-27 | 2012-01-18 | 杭州华三通信技术有限公司 | 报文传输方法和出口路由器 |
| WO2014086023A1 (zh) * | 2012-12-06 | 2014-06-12 | 华为技术有限公司 | 跨服务区通信的方法、装置和数据中心网络 |
Non-Patent Citations (1)
| Title |
|---|
| 郭玉勇等: "政府信息中心多线ISP接入优化改造方案", 《电信技术》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448854A (zh) * | 2020-12-09 | 2021-03-05 | 中国—东盟信息港股份有限公司 | 一种kubernetes复杂网络策略系统及其实现方法 |
| CN112448854B (zh) * | 2020-12-09 | 2023-04-18 | 中国—东盟信息港股份有限公司 | 一种kubernetes复杂网络策略系统及其实现方法 |
| WO2022194262A1 (zh) * | 2021-03-19 | 2022-09-22 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN113630275A (zh) * | 2021-08-13 | 2021-11-09 | 华云数据控股集团有限公司 | 虚拟机管理器集群的网络互通方法、计算设备和存储介质 |
| CN113630275B (zh) * | 2021-08-13 | 2024-03-19 | 华云数据控股集团有限公司 | 虚拟机管理器集群的网络互通方法、计算设备和存储介质 |
| CN115134291A (zh) * | 2022-06-28 | 2022-09-30 | 联想(北京)有限公司 | 数据的传输控制方法、装置、传输设备及系统 |
| CN115134291B (zh) * | 2022-06-28 | 2024-05-28 | 联想(北京)有限公司 | 数据的传输控制方法、装置、传输设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111010340B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| CN111010340B (zh) | 数据报文转发控制方法、装置及计算装置 | |
| US20210036951A1 (en) | Segment routing with fast reroute for container networking | |
| US11070447B2 (en) | System and method for implementing and managing virtual networks | |
| CN109802985B (zh) | 数据传输方法、装置、设备及可读取存储介质 | |
| EP3207667B1 (en) | System and method for distributed flow state p2p setup in virtual networks | |
| CN106850324B (zh) | 虚拟网络接口对象 | |
| US9342412B2 (en) | Managing replication of computing nodes for provided computer networks | |
| WO2020150527A1 (en) | Tunnel-based service insertion in public cloud environments | |
| CA2968964C (en) | Source ip address transparency systems and methods | |
| US20060235995A1 (en) | Method and system for implementing a high availability VLAN | |
| CN113302884B (zh) | 公共云环境中的服务插入 | |
| US20150304450A1 (en) | Method and apparatus for network function chaining | |
| US20160261505A1 (en) | Localized service chaining in nfv clouds | |
| EP3588875B1 (en) | Web services across virtual routing and forwarding | |
| US10178068B2 (en) | Translating network attributes of packets in a multi-tenant environment | |
| US11595303B2 (en) | Packet handling in software-defined net working (SDN) environments | |
| CN113839862B (zh) | Mclag邻居之间同步arp信息的方法、系统、终端及存储介质 | |
| EP4141666A1 (en) | Dual user space-kernel space datapaths for packet processing operations | |
| CN113783781A (zh) | 使虚拟私有云之间网络互通的方法和装置 | |
| CN115136561A (zh) | 多架构云网络中用于共享服务的vrf隔离 | |
| US11362863B2 (en) | Handling packets travelling from logical service routers (SRs) for active-active stateful service insertion | |
| CN112968879B (zh) | 一种实现防火墙管理的方法及设备 | |
| CN111130978A (zh) | 网络流量转发方法、装置、电子设备及机器可读存储介质 | |
| US20220141080A1 (en) | Availability-enhancing gateways for network traffic in virtualized computing environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |