CN111628934A - 一种sd-wan网络中实现域名访问加速的方法及装置 - Google Patents
一种sd-wan网络中实现域名访问加速的方法及装置 Download PDFInfo
- Publication number
- CN111628934A CN111628934A CN202010359771.5A CN202010359771A CN111628934A CN 111628934 A CN111628934 A CN 111628934A CN 202010359771 A CN202010359771 A CN 202010359771A CN 111628934 A CN111628934 A CN 111628934A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- overlay
- domain name
- pop point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种SD‑WAN网络中实现域名访问加速的方法及装置,其方法包括:截取DNS服务器发送给客户端的DNS响应报文;封装访问服务器的用户报文;转发封装好的报文到SD‑WAN骨干网。封装访问服务器的用户报文的步骤包括:根据DNS响应报文中的域名对应的服务器IP地址,查找IP文件库,获得骨干网的出口PoP点的IP地址;CPE基于出口PoP点的IP地址,实现对用户报文的封装,实现域名访问加速。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种SD-WAN网络中实现域名访问加速的方法及装置。
背景技术
随着云计算、大数据和虚拟化技术的快速发展,企业的办公模式发生了巨大的改变,对网络提出了新的需求,体现在以下几个方面:
(1)带宽需求大幅增加:企业对带宽的需求体现在两个方面,一是随着4K和各种高清视频技术的发展,企业分支之间的视频会议越来越频繁,视频会议要求网络支持更大的带宽,更高的网络传输质量,另外,越来越多的企业业务数据存储在云端,企业员工需要快速频繁的访问云上的业务,比如office365,AWS等,对企业和云之间的网络质量提出了更高的要求;
(2)新业务快速开通:互联网创新时代,新业务不断出现,传统企业专线和应用模式下,业务开通慢,从申请到业务开通需要30天甚至更久,无法满足企业业务快速发展需求;
(3)简化网络部署和运维:业务部署和运维困难,中大型企业业务复杂,本地应用需部署数十种以上独立设备,包括安全防火墙、上网行为管理、无线AP管理、广域网加速等,硬件投资大,而且长期依赖专业运维团队;
(4)降低成本:专线费用高,企业专线费用占企业ICT的OPEX的50%-70%,并且企业还需要花费大笔投资一次性购买带宽和业务设备,维护费高,总成本居高不下;
(5)安全加密:越来越多的企业业务数据存储在云端,对分支访问总部,以及云服务的数据要求端到端加密。
传统的WAN基于互联网的局部可靠可信自愈的思想构建,WAN连接的网络大多采用BGP协议分发路由协议,网络只通告自己可信的路由给对端网络,WAN网络之间无法做到端到端的业务和路径质量控制,在转发层面,企业的分支和总部之间通常采用IPSec(Internet Protocol Security)隧道,但是IPSec只能支持点到点的隧道,如果需要支持分支和总部之间的多点隧道连接,需要启用DMVPN(Dynamic Multipoint VPN),DSVPN(Dynamic Smart VPN Virtual Private Network)等点到多点VPN(Virtual PrivateNetwork)技术,部署和维护比较复杂。
随着网络虚拟化和SDN(Software Defined Network,软件定义网络)的发展,基于overlay的网络虚拟化转发被大规模采用,同时SDN的控制转发分离理念,使用专用的控制器集中计算overlay路径,分发overlay和underlay之间的网络转发标识,使得WAN连接网络之间业务路径的实时监控和端到端的路径计算和控制成为可能,是SD-WAN技术产生的技术背景。
SDWAN相比传统WAN网络,新增了以下的技术特征满足企业客户的需求:
(1)SDWAN可以同时利用多个WAN线路,业务数据不仅仅可以使用MPLS专线传输,还可以使用互联网线路和4G线路传输,降低网络成本;
(2)SDWAN网络提供网络部署的简化流程和便捷的网络配置管理系统,只需要几个小时甚至几分钟即可完成业务部署,大大缩减网络扩容和新业务上线的时间,分支设备支持ZTP(Zero Touch Provision,零接触部署)上线。
(3)SDWAN支持集中式的Portal网络管理监控界面,配置和管理由总部IT人员在portal上完成,分支不需要本地配置。
SD-WAN(Software Defined-Wide Area Network,软件定义广域网)架构如图1所示,SD-WAN遵循SDN架构,控制和转发平面分离,控制器不仅仅负责拓扑收集,路径计算,隧道下发等传统控制器的功能,还包括对CPE(CustomerPremise Equipment,用户端设备)认证和自动发现,密钥分发,数据采集和分析处理等功能,控制器和转发设备之间支持南向协议,比如OpenFlow(开放流协议),Netconf(网络配置协议)等。
控制器的部署位置可以为On-Premise(用户驻地),放在客户企业的数据中心或者总部机房,也可以部署在云上的物理服务器或者虚拟机上,只需要CPE网络可达即可。
转发设备包括CPE和PoP(point-of-presence,网络服务提供点)设备,CPE部署在客户分支机构、总部或者数据中心,PoP点构建骨干网,使用高质量的互联网和MPLS专线线路混合构建,对客户业务流量快速转发。
管理平面支持多租户Portal界面,每个租户管理配置自己所有的CPE设备,监控网络的运行,可视化的管理图表实时反映网络的运行状况,如节点间的实时流量、带宽、网络质量、设备健康状态等,也可以查看历史数据,便于网络诊断和数据分析。
SD-WAN既可以用于分支和总部之间互联,满足客户分支访问总部内部服务器的需求,也可以用于分支或总部访问公有云/私有云的SaaS(Software-as-a-Service,软件即服务)服务,图1中所示分支1通过骨干网访问云,现有的实现一般是在公有云/私有云上部署vCPE,vCPE和分支CPE之间构建基于骨干网的overlay隧道,满足对SaaS服务的网络加速,对于某些SaaS服务,比如域名访问业务,有时候域名的业务服务器并不在公有云/私有云上,而且需要访问的域名服务也会比较多,这个时候无法通过部署vCPE的方式构建overlay(叠加)隧道,一方面对于大量的域名访问部署vCPE的话,部署成本会非常高,另外一方面,有些域名的业务服务器所在网络环境并不支持部署vCPE。对于无法部署vCPE的场景,如何实现域名访问的网络加速功能,业界没有相关的解决方案,为此,本发明提出了一种SD-WAN网络下实现域名访问加速的方法。
发明内容
本发明提供一种SD-WAN网络中实现域名访问加速的方法及装置,用以解决上述提出的技术问题。
本发明提供一种SD-WAN网络中实现域名访问加速的方法,包括:
截取DNS服务器发送给客户端的DNS响应报文;
封装访问服务器的用户报文;
转发封装好的报文到SD-WAN骨干网。
优选地,所述封装访问服务器的用户报文的步骤包括:
根据DNS响应报文中的域名对应的服务器IP地址,查找IP文件库,获得所述骨干网的出口PoP点的IP地址;
所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装。
优选地,所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装的过程中,还包括:
所述CPE根据出口PoP点的IP地址,查找流表库,得到对应的Overlay封装的目的地址标识。
优选地,所述流表库包括:
基于控制器下发到所述骨干网中的所有出口PoP点的流表;
所述流表包括出口PoP点的IP地址和出口PoP点的Overlay封装标识。
优选地,所述IP文件库包括:
所述出口PoP点的IP地址以及所述DNS服务器所属的IP网段。
优选地,所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装的过程中,还包括:
所述CPE以Overlay方式封装所述DNS响应报文,并在IP报文的外层再封装一层Overlay报文头;
所述Overlay报文头用于报文在SD-WAN骨干网转发。
优选地,所述Overlay报文头还包括:目的地址和源地址;
所述目的地址为出口PoP点Overlay标识,所述源地址为入口PoP点Overlay标识;
所述用户报文在SD-WAN骨干网传输过程中,根据出口PoP点Overlay标识进行转发,并在出口PoP点解封装,中间PoP点收到Overlay封装报文后,不改变Overlay封装的目的地址,只将源地址修改为该PoP点的标识。
优选地,还包括:撤销所述域名加速;
其中,当撤销所述域名加速时,包括:
在加速域名缓存中删除对应的域名条目;
并在转发表中删除所述域名对应的服务器IP地址和出口PoP点的对应关系的转发条目。
优选地,还包括:
当收到已经撤销的加速域名的数据访问报文时,所述CPE不对所述数据访问报文进行Overlay封装,并直接转发该IP报文到互联网。
本发明提供一种实现SD-WAN网络中域名访问加速的装置,包括:
截取模块,用于截取DNS服务器发送给客户端的DNS响应报文;
封装模块,用于封装访问服务器的用户报文;
转发模块,用于转发封装好的报文到SD-WAN骨干网。
优选地,所述封装模块包括:
根据所述DNS响应报文中的域名对应的服务器IP地址,查找IP文件库,获得所述骨干网的出口PoP点的IP地址;
所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装。
优选地,还包括:
所述CPE根据出口PoP点的IP地址,查找流表库,得到对应的Overlay封装的目的地址标识。
优选地,所述流表库包括:
基于控制器下发到所有出口PoP点的流表;
所述流表包括出口PoP点的IP地址和出口PoP点的Overlay封装标识。
优选地,所述IP文件库包括:
所述出口PoP点的IP地址以及所述DNS服务器所属的IP网段。
优选地,所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装的过程中,还包括:
所述CPE以Overlay方式封装所述DNS响应报文,并在IP报文的外层再封装一层Overlay报文头;
所述Overlay报文头用于报文在SD-WAN骨干网转发。
优选地,所述Overlay报文头还包括:目的地址和源地址;
所述目的地址为出口PoP点Overlay标识,所述源地址为入口PoP点Overlay标识;
所述用户报文在SD-WAN骨干网传输过程中,根据出口PoP点Overlay标识进行转发,并在出口PoP点解封装,中间PoP点收到Overlay封装报文后,不改变Overlay封装的目的地址,只将源地址修改为该PoP点的标识。
优选地,还包括:撤销所述域名加速;
其中,当撤销所述域名加速时,包括:
在加速域名缓存中删除对应的域名条目;
并在转发表中删除所述域名对应的服务器IP地址和出口PoP点的对应关系的转发条目。
优选地,还包括:
当收到已经撤销的加速域名的数据访问报文时,所述CPE不对所述数据访问报文进行Overlay封装,并直接转发该IP报文到互联网。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明提供的SD-WAN架构图;
图2为本发明提供的SD-WAN格式图;
图3为本发明提供的撤销域名访问加速功能流程;
图4为本发明提供的DNS处理流程;
图5为本发明提供的报文转发流程图;
图6为本发明提供的骨干网故障切换流程图;
图7为本发明提供的撤销域名访问加速后数据报文转发流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明提出的一种SD-WAN中实现域名访问加速的装置,可以是由CPE构成的,其中,CPE包括:截取模块,封装模块,转发模块等,其中,CPE是指客户前置设备;
其中,截取模块包括:CPE截取DNS服务器发送给客户端的DNS响应报文,当客户端的客户需要访问DNS域名服务时,首先向DNS服务器发送DNS请求报文,DNS服务器收到客户的DNS请求报文后,发送对应的DNS响应报文,该响应报文经过CPE时,CPE截取该DNS响应报文,提取出DNS响应报文中的服务器IP地址。
其中,封装模块包括:CPE在截取到DNS响应报文并且提取出DNS响应报文中的服务器IP地址后,根据该IP地址查找IP文件库,得到出口PoP点的IP地址,CPE再根据出口PoP点的IP地址,查找流表库,得到对应的Overlay封装的目的地址标识,CPE根据Overlay封装标识进行SD-WAN格式报文封装,在用户报文的外层再封装Overlay报文头,Overlay报文头包括目的地址和源地址,目的地址为出口PoP点标识,源地址为入口PoP点标识。
其中,转发模块包括:将封装好的报文转发到PoP点组成的骨干网,由高速骨干网对DNS访问业务数据进行网络加速,数据报文在SD-WAN骨干网传输过程中,根据出口PoP点标识进行转发,并在出口PoP点解封装,中间PoP点收到Overlay封装后,不改变目的地址,只将源地址修改为该PoP点的标识。
本发明所涉及到的IP文件库包括:出口PoP点的IP地址和DNS服务器所属的IP地址网段;
如服务器所属IP地址网段为001.006.100.000~001.006.105.255,根据IP地址规划,该网段在美国,则在IP文件库中规划该网段地址对应的出口PoP点也在美国,以便取得好的域名访问加速效果。
本发明提出的IP文件库的条目的聚合度可以根据网络PoP点的部署情况进行改变,比如在美国新增了一个PoP点后,服务器的所属IP地址网段可以再进行细分,如001.006.100.000~001.006.102.255对应美国出口PoP点PoP1,而001.006.103.000~001.006.105.255对应美国出口PoP点PoP2。
本发明中SD-WAN报文封装格式如图2所示,SD-WAN报文包括外层头部、内层头部和Payload(净荷)组成,外层头部包括Overlay封装的目的标识,Overlay封装的源标识,内层头部为用户IP报文头,主要包括目的IP地址和源IP地址。在CPE上进行SD-WAN报文封装时,Overlay封装的目的标识为出口PoP点的标识,源ID标识为接入PoP点的标识,数据报文在骨干网中传输时,目的标识保持不变,源ID标识为接收SD-WAN报文的每一跳PoP点的标识。内层头部的目的IP地址为服务器IP地址,源IP地址为主机IP地址,在报文传输过程中,内层报文头在PoP点上不作改变。
本发明的SD-WAN报文Overlay封装格式包括但不局限于VxLAN封装格式,IP overIP封装格式,IPSec封装格式,GRE封装格式,或者其他Overlay思想的封装格式等,在此不一一详述。
本发明中涉及到的控制器,还用于维护骨干网中所有PoP点和CPE的状态信息和网络状态;
当有PoP点作为域名访问业务的出口PoP点时,控制器下发给CPE到该出口PoP点的流表信息,包括出口PoP点的IP地址,出口PoP点的Overlay封装标识。对于站点的CPE来说,CPE会收到控制器下发的到所有域名访问加速出口PoP点的流表,并保存在本地的流表库,减少CPE向控制器查询流表的时间,大大提高转发效率;当网络拓扑出现改变,包括骨干网中增加或者减少PoP点,出口PoP点不再作为域名访问加速访问的出口PoP点时,控制器更新CPE的流表库。
当客户端的客户希望某些域名不再需要进行域名访问加速时,撤销相关域名访问的网络加速功能,具体的实现流程如图3所示,IT管理人员从Portal/管理中心配置某域名不再需要加速,CPE收到该配置消息后,从加速域名缓存中删除对应的域名条目,并本地转发表中删除该域名对应的服务器IP地址和出口PoP点的对应关系的转发条目,后续匹配该IP地址的用户报文不会转发到出口PoP点。
本发明中,域名系统(服务)协议(DNS)是一种分布式网络目录服务;SD-WAN,即软件定义广域网;IP地址(Internet Protocol Address)是指互联网协议地址;pop表示入网点(pop),pop位于网络企业的边缘外侧;CPE客户前置设备;Overlay是一种封装在IP报文之上的新的数据格式。
其中,对于上述内容,还依赖于下述实施例进行实现:
实施例一:DNS处理流程
本实施例结合说明书附图4详细阐述本发明的DNS处理流程,通过对现有DNS处理流程的更改,CPE截取DNS响应报文中的服务器IP地址,查找得到离服务器IP地址最近的出口PoP点的IP地址,对数据报文加速提供转发缓存,是实现数据转发加速的前提。
本发明对于DNS的处理流程如下:
(101)用户主机需要访问某域名网站,由于本地没有该域名对应的服务器IP地址,主机向DNS服务器发送DNS请求报文,DNS请求中携带需要访问的网站的域名,请求报文发送经过CPE,此时CPE对DNS请求报文不做处理,直接转发到互联网;
(102)DNS服务器收到了主机发出的DNS请求消息后,发送DNS响应报文,响应报文中携带域名和域名对应的服务器的IP地址;
(103)DNS响应报文转发经过CPE,CPE收到该响应报文后,在转发到主机前,截取该DNS响应报文,提取出DNS响应报文中的域名和IP地址;
(104)CPE根据响应报文中的IP地址在本地IP文件库中查找该IP地址所属的归属地,根据归属地查找到对应的出口PoP点的IP地址,并保存该服务器IP地址和出口PoP点的对应关系条目,后续主机访问该服务器的报文,在CPE上都会查找到该报文的出口PoP点,在封装后经过骨干网转发到出口PoP点。
上述技术方案的有益效果是:通过对现有DNS处理流程的更改,CPE截取DNS响应报文中的服务器IP地址,查找得到离服务器IP地址最近的出口PoP点的IP地址,对数据报文加速提供转发缓存,为实现数据转发加速提供基础。
实施例二:报文转发流程
本实施例结合图5详细阐述本发明的数据转发流程,通过对具体的数据转发流程的说明,便于理解本发明的技术原理和方案。
本发明的用户数据报文转发流程如下:
(201)用户在请求到了DNS域名后,向网站服务器发送数据访问报文,该报文中包含服务器的IP地址;
(202)用户发送的请求报文发送到CPE,CPE事先根据实施例一的方法得到了用户访问的服务器的IP地址对应的出口PoP点,CPE根据目的PoP点的Overlay标识进行Overlay报文封装,在用户报文的IP报文外面再封装Overlay头部,并转发到接入PoP点(PoP1);
(203)PoP3接收到PoP1的报文后,根据外层的Overlay标识在骨干网中转发到出口PoP点(PoP2),报文转发时内层的用户IP报文头不会改变;
(204)出口PoP点(PoP2)接收到报文后,解封装Overlay报文,还原出用户的IP报文,并转发到服务器。
对于服务器发送到用户主机的响应报文,其转发过程类似,在此不作进一步的阐述。
上述技术方案的有益效果是:便于将用户数据报文进行转发。
实施例三:域名本地过滤
在一些场景中,用户希望对域名进行本地过滤,这些域名不需要发送到骨干网,以节省成本,减少骨干网的带宽,本实施例详细说明利用本发明专利的相关技术解决该需求的方法。
本实施例的DNS处理流程跟实施例一类似,CPE也截取DNS服务器的DNS响应报文,并根据提取的DNS响应报文中的服务器IP地址查找IPLib表,查找到服务器IP地址归属地所属的PoP点为本地PoP点时,CPE不按照Overlay格式封装访问该域名的业务数据,而直接转发该业务数据到互联网。
上述技术方案的有益效果是:通过对域名进行本地过滤,可以节省成本,减少骨干网的带宽。
实施例四:骨干网故障切换流程
本实施例结合图6阐述本发明的骨干网故障时数据报文的切换方法和流程,根据本实施例阐述的流程方法,本发明专利所述技术方案在骨干网出现故障时,支持报文进行数据切换,提高网络的可靠性和健壮性。
如图6所示,PoP1为接入PoP点,PoP2为出口PoP点,PoP3和PoP4为中间PoP点,当PoP3出现故障时,PoP1和PoP2之间的SD-WAN路径检测协议可以快速检测出PoP1-PoP3-PoP2路径出现故障,PoP1将业务报文快速切换到备份路径PoP1-PoP4-PoP2。
需要说明的是,当接入PoP点(PoP1)出现故障,如果分支站点CPE1有备份接入PoP点时,则CPE1封装报文后,会将流量切换到备份接入PoP点,由备份接入PoP点将数据报文经过骨干网转发到出口PoP点。如果分支站点CPE1没有备份接入PoP点,则CPE不进行SD-WANoverlay封装,报文直接转发经过互联网转发到服务器,此时,该域名的访问没有SD-WAN加速效果。
另外,如果出口PoP点出现故障时,CPE根据IPLib查找该出口PoP点的备份出口PoP点,CPE根据备份出口PoP点的Overlay格式进行封装,并将报文经过骨干网转发到备份出口PoP点,由备份出口PoP点转发到服务器。如果IP文件库中没有指定该出口PoP点的备份出口PoP点,则CPE选取默认出口PoP点进行报文封装和转发。
上述技术方案的有益效果是:当骨干网出现故障时,支持报文进行数据切换,提高网络的可靠性和健壮性。
实施例五:撤销域名访问加速后报文转发流程
在本实施例中,当某些域名访问加速撤销后,CPE从加速域名缓存中删除对应的域名条目,之后,CPE收到的该域名的响应报文,由于域名加速缓存中没有该域名的条目,CPE不会截取该域名响应报文,直接转发到用户主机。
本实施例进一步通过对撤销域名访问加速后的数据报文处理的流程和步骤,对比本实施例二中的数据转发流程,进一步阐述当开启本发明提出的域名访问加速功能和不开启域名访问加速功能时的数据报文转发流程的差异,验证本发明提出的域名访问加速技术和方案可以实现对客户数据转发报文进行加速。
对于用户访问该撤销域名加速访问所对应服务器的数据报文,转发流程如图7所示,具体步骤如下:
(301)用户主机向服务器发送数据访问报文,数据访问报文中包含服务器的IP地址;
(302)当CPE收到了用户的数据访问报文后,根据本专利发明内容,在管理人员撤销了域名的访问加速功能后,CPE在本地转发表中会删除该域名对应的服务器IP地址和出口PoP点的对应关系的转发条目,CPE收到的用户的数据访问报文中的IP地址在转发条目中不会匹配到原有的出口PoP点,该报文走本地透传转发,CPE不再对该访问请求报文进行Overlay封装,而直接转发该IP报文到WAN口,并发送到互联网;
服务器收到数据访问报文并进行处理,如果需要回复报文到主机时,则发送报文经过互联网到主机。
上述技术方案的有益效果是:当某些域名访问加速撤销后,CPE从加速域名缓存中删除对应的域名条目,之后,CPE收到的该域名的响应报文,由于域名加速缓存中没有该域名的条目,CPE不会截取该域名响应报文,直接转发到用户主机,可进一步验证提出的域名访问加速技术和方案可以实现对客户数据转发报文进行加速。
在一实施例中,一种SD-WAN中实现域名访问加速的方法,在截取DNS服务器发送给客户端的DNS响应报文之前,还包括:验证与所述DNS响应报文对应的DNS请求报文的安全性,所述验证步骤包括:
步骤1:获取所述客户端发起的第一请求报文,再获取所述客户端发送给所述DNS服务器,且所述DNS服务器接收到的第二请求报文;
基于报文数据库,确定所述第一请求报文与第二请求报文之间的差异值X;
Ejai=βjiBji;
其中,a1表示请求报文A中的请求行指标,a2表示请求报文A中的请求头指标,a3表示请求报文A中的请求体指标;E1a1表示第一请求报文的请求行指标的行指标值,E1a2表示第一请求报文的请求头指标的头指标值,E1a3表示第一请求报文的请求体指标的体指标值,E2a1表示第二请求报文的请求行指标的行指标值,E2a2表示第二请求报文的请求头指标的头指标值,E2a3表示第二请求报文的请求体指标的体指标值;Ejai表示第j个请求报文的第i个指标的指标值,其中i=1,2,3;j=1,2;βji表示第j个请求报文的第i个指标的指标权重值;Bji表示第j个请求报文的第i个指标的指标差异因子;
步骤2:当所述差异值大于或等于预设值时,表明验证的所述第二请求报文不合格,此时,截取两者之间差异性大的所述第二报文请求的差异区域,并基于所述报文数据库,对比分析所述差异区域的差异数据;
步骤3:确定基于客户端发送给DNS服务器过程中对应的所述差异数据的修改指标,同时,根据所述修改指标Sl,获取最优禁止修改协议;
f(Sl)=max{rand(Δl,l=1,2,3,...,k)};
其中,f(Sl)表示获取最优禁止修改协议的获取函数;Δl表示基于修改指标Sl选择的禁止修改协议;k表示禁止修改协议的总数;
并将所述最优禁止修改协议传输到所述客户端,对发起的第一请求报文中的对应区域添加禁止修改协议,并在此基础上,重新客户端发起新的第二请求报文,并按照上述步骤1-3继续对接收到的第二请求报文进行验证,直到所述第二请求报文合格后,执行步骤4;
步骤4:当所述差异值小于预设值时,表明验证的所述第二请求报文合格,并继续执行后续操作;
其中,所述第二请求报文为所述DNS请求报文。
上述技术方案的有益效果是:由于客户端发起一个请求的时候,这个请求可能会穿过防火墙,网关,代理等,每一个中间节点都可能会修改原始的请求,因此,通过对第一请求报文和第二请求报文进行差异值得获取,并获取第二请求报文的差异区域对应的禁止修改协议,来添加到第一请求报文上,进而可以有效的避免对该请求的修改,提高其的安全性,可有效的保证截取的DNS响应报文的可靠性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (18)
1.一种SD-WAN网络中实现域名访问加速的方法,其特征在于,包括:
截取DNS服务器发送给客户端的DNS响应报文;
封装访问服务器的用户报文;
转发封装好的报文到SD-WAN骨干网。
2.如权利要求1所述的方法,其特征在于,所述封装访问服务器的用户报文的步骤包括:
根据DNS响应报文中的域名对应的服务器IP地址,查找IP文件库,获得所述骨干网的出口PoP点的IP地址;
所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装。
3.如权利要求2所述的方法,其特征在于,所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装的过程中,还包括:
所述CPE根据出口PoP点的IP地址,查找流表库,得到对应的Overlay封装的目的地址标识。
4.如权利要求3所述的方法,其特征在于,所述流表库包括:
基于控制器下发到所述骨干网中的所有出口PoP点的流表;
所述流表包括出口PoP点的IP地址和出口PoP点的Overlay封装标识。
5.如权利要求2所述的方法,其特征在于,所述IP文件库包括:
所述出口PoP点的IP地址以及所述DNS服务器所属的IP网段。
6.如权利要求3所述的方法,其特征在于,所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装的过程中,还包括:
所述CPE以Overlay方式封装所述用户报文,并在用户IP报文的外层再封装一层Overlay报文头;
所述Overlay报文头用于报文在SD-WAN骨干网转发。
7.如权利要求6所述的方法,其特征在于,所述Overlay报文头还包括:目的地址和源地址;
所述目的地址为出口PoP点Overlay标识,所述源地址为入口PoP点Overlay标识;
所述用户报文在SD-WAN骨干网传输过程中,根据出口PoP点Overlay标识进行转发,并在出口PoP点解封装,中间PoP点收到Overlay封装报文后,不改变Overlay封装的目的地址,只将源地址修改为该PoP点的标识。
8.如权利要求2所述的方法,其特征在于,还包括:撤销所述域名加速;
其中,当撤销所述域名加速时,包括:
在加速域名缓存中删除对应的域名条目;
并在转发表中删除所述域名对应的服务器IP地址和出口PoP点的对应关系的转发条目。
9.如权利要求8所述的方法,其特征在于,还包括:
当收到已经撤销的加速域名的数据访问报文时,所述CPE不对所述数据访问报文进行Overlay封装,并直接转发该IP报文到互联网。
10.一种实现SD-WAN网络中域名访问加速的装置,其特征在于,包括:
截取模块,用于截取DNS服务器发送给客户端的DNS响应报文;
封装模块,用于封装访问服务器的用户报文;
转发模块,用于转发封装好的报文到SD-WAN骨干网。
11.如权利要求10所述的装置,其特征在于,所述封装模块包括:
根据所述DNS响应报文中的域名对应的服务器IP地址,查找IP文件库,获得所述骨干网的出口PoP点的IP地址;
所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装。
12.如权利要求11所述的装置,其特征在于,还包括:
所述CPE根据出口PoP点的IP地址,查找流表库,得到对应的Overlay封装的目的地址标识。
13.如权利要求12所述的装置,其特征在于,所述流表库包括:
基于控制器下发到所有出口PoP点的流表;
所述流表包括出口PoP点的IP地址和出口PoP点的Overlay封装标识。
14.如权利要求11所述的装置,其特征在于,所述IP文件库包括:
所述出口PoP点的IP地址以及所述DNS服务器所属的IP网段。
15.如权利要求11所述的装置,其特征在于,所述CPE基于所述出口PoP点的IP地址,实现对用户报文的封装的过程中,还包括:
所述CPE以Overlay方式封装所述DNS响应报文,并在IP报文的外层再封装一层Overlay报文头;
所述Overlay报文头用于报文在SD-WAN骨干网转发。
16.如权利要求15所述的装置,其特征在于,所述Overlay报文头还包括:目的地址和源地址;
所述目的地址为出口PoP点Overlay标识,所述源地址为入口PoP点Overlay标识;
所述用户报文在SD-WAN骨干网传输过程中,根据出口PoP点Overlay标识进行转发,并在出口PoP点解封装,中间PoP点收到Overlay封装报文后,不改变Overlay封装的目的地址,只将源地址修改为该PoP点的标识。
17.如权利要求11所述的装置,其特征在于,还包括:撤销所述域名加速;
其中,当撤销所述域名加速时,包括:
在加速域名缓存中删除对应的域名条目;
并在转发表中删除所述域名对应的服务器IP地址和出口PoP点的对应关系的转发条目。
18.如权利要求17所述的装置,其特征在于,还包括:
当收到已经撤销的加速域名的数据访问报文时,所述CPE不对所述数据访问报文进行Overlay封装,并直接转发该IP报文到互联网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010359771.5A CN111628934B (zh) | 2020-04-29 | 2020-04-29 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010359771.5A CN111628934B (zh) | 2020-04-29 | 2020-04-29 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111628934A true CN111628934A (zh) | 2020-09-04 |
| CN111628934B CN111628934B (zh) | 2022-02-18 |
Family
ID=72272999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010359771.5A Active CN111628934B (zh) | 2020-04-29 | 2020-04-29 | 一种sd-wan网络中实现域名访问加速的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111628934B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256308A (zh) * | 2020-11-12 | 2021-01-22 | 腾讯科技(深圳)有限公司 | 一种目标应用更新方法及装置 |
| CN112532505A (zh) * | 2020-12-01 | 2021-03-19 | 长沙市同迅计算机科技有限公司 | 基于sd-wan的局域网间通信方法、装置、可读存储介质及控制设备 |
| CN113285941A (zh) * | 2021-05-18 | 2021-08-20 | 中国联合网络通信集团有限公司 | 企业外网系统及网络请求处理方法 |
| CN114338422A (zh) * | 2021-12-29 | 2022-04-12 | 盐城工学院 | 一种基于mpls的中大型企业网及其实现方法 |
| CN114338116A (zh) * | 2021-12-21 | 2022-04-12 | 迈普通信技术股份有限公司 | 加密传输方法、装置及sd-wan网络系统 |
| CN114448885A (zh) * | 2020-11-04 | 2022-05-06 | 中国移动通信有限公司研究院 | 选路方法、装置及网络设备 |
| CN115776518A (zh) * | 2022-11-15 | 2023-03-10 | 西北农林科技大学 | 一种国外电子文献资源加速访问系统 |
| WO2023116912A1 (zh) * | 2021-12-24 | 2023-06-29 | 贵州白山云科技股份有限公司 | 设备组网方法、装置、介质及设备 |
| CN116489128A (zh) * | 2023-06-02 | 2023-07-25 | 北京云宽志业网络技术有限公司 | 域名解析方法和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120127995A1 (en) * | 2010-11-18 | 2012-05-24 | Microsoft Corporation | Backbone network with policy driven routing |
| CN107612759A (zh) * | 2017-11-03 | 2018-01-19 | 北京星河星云信息技术有限公司 | 网络访问加速方法、装置和系统 |
| CN109379244A (zh) * | 2018-12-28 | 2019-02-22 | 北京云中融信网络科技有限公司 | 网络加速通讯方法、装置以及电子设备 |
| CN109547270A (zh) * | 2019-01-04 | 2019-03-29 | 烽火通信科技股份有限公司 | 一种基于vCPE的网络访问控制方法及系统 |
| CN110971714A (zh) * | 2018-09-28 | 2020-04-07 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及系统 |
-
2020
- 2020-04-29 CN CN202010359771.5A patent/CN111628934B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120127995A1 (en) * | 2010-11-18 | 2012-05-24 | Microsoft Corporation | Backbone network with policy driven routing |
| CN107612759A (zh) * | 2017-11-03 | 2018-01-19 | 北京星河星云信息技术有限公司 | 网络访问加速方法、装置和系统 |
| CN110971714A (zh) * | 2018-09-28 | 2020-04-07 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及系统 |
| CN109379244A (zh) * | 2018-12-28 | 2019-02-22 | 北京云中融信网络科技有限公司 | 网络加速通讯方法、装置以及电子设备 |
| CN109547270A (zh) * | 2019-01-04 | 2019-03-29 | 烽火通信科技股份有限公司 | 一种基于vCPE的网络访问控制方法及系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448885A (zh) * | 2020-11-04 | 2022-05-06 | 中国移动通信有限公司研究院 | 选路方法、装置及网络设备 |
| CN112256308A (zh) * | 2020-11-12 | 2021-01-22 | 腾讯科技(深圳)有限公司 | 一种目标应用更新方法及装置 |
| CN112532505A (zh) * | 2020-12-01 | 2021-03-19 | 长沙市同迅计算机科技有限公司 | 基于sd-wan的局域网间通信方法、装置、可读存储介质及控制设备 |
| CN113285941A (zh) * | 2021-05-18 | 2021-08-20 | 中国联合网络通信集团有限公司 | 企业外网系统及网络请求处理方法 |
| CN113285941B (zh) * | 2021-05-18 | 2023-09-08 | 中国联合网络通信集团有限公司 | 企业外网系统及网络请求处理方法 |
| CN114338116B (zh) * | 2021-12-21 | 2023-12-19 | 迈普通信技术股份有限公司 | 加密传输方法、装置及sd-wan网络系统 |
| CN114338116A (zh) * | 2021-12-21 | 2022-04-12 | 迈普通信技术股份有限公司 | 加密传输方法、装置及sd-wan网络系统 |
| WO2023116912A1 (zh) * | 2021-12-24 | 2023-06-29 | 贵州白山云科技股份有限公司 | 设备组网方法、装置、介质及设备 |
| CN114338422B (zh) * | 2021-12-29 | 2023-08-25 | 盐城工学院 | 一种基于mpls的中大型企业网及其实现方法 |
| CN114338422A (zh) * | 2021-12-29 | 2022-04-12 | 盐城工学院 | 一种基于mpls的中大型企业网及其实现方法 |
| CN115776518A (zh) * | 2022-11-15 | 2023-03-10 | 西北农林科技大学 | 一种国外电子文献资源加速访问系统 |
| CN115776518B (zh) * | 2022-11-15 | 2024-05-03 | 西北农林科技大学 | 一种国外电子文献资源加速访问系统 |
| CN116489128A (zh) * | 2023-06-02 | 2023-07-25 | 北京云宽志业网络技术有限公司 | 域名解析方法和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111628934B (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111628934B (zh) | 一种sd-wan网络中实现域名访问加速的方法及装置 | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US10547463B2 (en) | Multicast helper to link virtual extensible LANs | |
| CN107409089B (zh) | 一种在网络引擎中实施的方法及虚拟网络功能控制器 | |
| US9710762B2 (en) | Dynamic logging | |
| CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
| US10142183B2 (en) | Snapshotting and instantiating a virtual topology | |
| CN106452857B (zh) | 生成配置信息的方法和网络控制单元 | |
| US10848457B2 (en) | Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains | |
| US11082300B2 (en) | Transforming data based on a virtual topology | |
| US10103980B1 (en) | Methods and apparatus for maintaining an integrated routing and bridging interface | |
| CN112039682A (zh) | 软件定义数据中心在运营商网络中的运用及实践的方法 | |
| US10855733B2 (en) | Method and system for inspecting unicast network traffic between end points residing within a same zone | |
| US11012412B2 (en) | Method and system for network traffic steering towards a service device | |
| US11805011B2 (en) | Bulk discovery of devices behind a network address translation device | |
| US7848258B2 (en) | Dynamically transitioning static network addresses | |
| EP3952212B1 (en) | Using a programmable resource dependency mathematical model to perform root cause analysis | |
| CN113518045B (zh) | 一种流量采集配置方法、流量采集方法及设备 | |
| WO2022078338A1 (zh) | 路径确定方法及装置、计算机存储介质 | |
| US10749789B2 (en) | Method and system for inspecting broadcast network traffic between end points residing within a same zone | |
| US20240007364A1 (en) | Method, Apparatus, and System for Deploying Service | |
| CN116633755A (zh) | 网络验证方法及装置 | |
| CN116366455A (zh) | 网络系统、网络报文处理方法、装置及存储介质 | |
| TW201448537A (zh) | 在鏈路聚合中更新對話配置之方法及系統 | |
| US20190250907A1 (en) | Techniques for simplified service modification utilizing a split design-assign framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |