CN111884902A - 一种vpn场景网络分流方法及装置 - Google Patents
一种vpn场景网络分流方法及装置 Download PDFInfo
- Publication number
- CN111884902A CN111884902A CN202010550480.4A CN202010550480A CN111884902A CN 111884902 A CN111884902 A CN 111884902A CN 202010550480 A CN202010550480 A CN 202010550480A CN 111884902 A CN111884902 A CN 111884902A
- Authority
- CN
- China
- Prior art keywords
- address
- target
- network
- mapping
- cpe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Abstract
本发明提供了一种VPN场景网络分流的方法及装置。包括接收请求端的DNS请求报文;响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文替换所述数据报文中的映射IP地址为目标IP地址,并将所述数据报文转发至目标服务器。本发明的有益效果在于:采用本发明所述的技术后,大量无关的域名和IP地址将被整合到一个或有限的数个地址段,极大地降低了配置复杂度和维护工作量,而且当目标域名对应的IP地址发生变化时,VPN的分流的配置也不需要调整,可自适应,便于同其它域名对应的IP地址和网段分开,实现流量分流。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种VPN场景网络分流方法及装置。
背景技术
VPN(Virtual Private Network,虚拟专用网络)广泛用于企业的分支、分公司和总部/数据中心之间的网络连接,VPN可以对数据加密,提供较安全的数据传输,VPN也支持对隧道的连通性的判断和检测,提供可靠的隧道连接。
分支一般配置总部/数据中心的网关路由器作为DNS(Domain Name System,域名系统)代理,较大的公司,可能在总部/数据中心配置DNS代理服务器,接管分支所有的DNS请求,转发DNS服务器的响应报文。
分支的网络数据分为两部分,内网数据和直接访问互联网的数据,其中内网数据包括分支和数据中心/总部之间的交互数据,以及分支访问数据中心/总部内部服务器的数据,如图3所示的指向数据中心的虚线表示的数据流,这部分数据需要通过VPN隧道发送到总部/数据中心,在分支的网关路由器上配置内网网段的路由的下一跳到数据中心/总部的网关路由器。一般在分支网关路由器上配置默认路由,除内网数据访问外,其它数据都走默认路由直接访问互联网,如图3所示的指向目标服务器的虚线表示的数据流。
当公司的分支希望某些域名的访问需要经过总部/数据中心或者只有经过总部/数据中心才能访问时,必须手动添加明细路由到总部/数据中心,配置非常繁杂,容易出错,而且对于部分域名,比如Office365对应的IP地址不仅多而且非常分散,随着访问目标域名的增加,导致路由需要经常更新甚至无法配置,VPN场景下的流量分流配置变得极其困难,这些域名与IP地址的还会经常发生变化,这对维护工作带来更大的困难。
发明内容
本发明提供一种VPN场景网络分流的方法及装置,用以解决分支向总部,远程接入网络,SD-WAN网络中域名加速的处理中分流困难和维护困难的情况。
一种VPN场景网络分流的方法,其特征在于,包括:
接收请求端的DNS请求报文;
响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;
在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文;
替换所述数据报文中的映射IP地址为目标IP地址,并将所述数据报文转发至目标服务器。
作为本发明的一种实施例,所述替换所述DNS响应报文的IP地址,包括:
构建CPE地址池;其中,
所述CPE为请求前置设备;
所述CPE地址池中包含映射表;
所述映射表包括映射IP地址IPB和目标IP地址IPA;
在所述CPE接收所述DNS响应报文后,根据所述映射表将所述DNS响应报文中的目标服务器的IP地址IPA替换为所述CPE地址池中的IP地址IPB,根据所述替换IP地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。
作为本发明的一种实施例,所述通过预设的CPE构建CPE地址池,包括:
通过所述CPE获取目标服务器的IP地址IPA;
根据所述目标服务器IP地址IPA,确定所述目标服务器IP地址IPA的映射地址IPB;
通过所述映射地址IPB构建CPE地址池,并生成目标服务器IP地址IPA和CPE地址池IP地址IPB的映射表。
作为本发明的一种实施例,所述将替换IP地址后的DNS响应报文返回至请求端,包括:
通过CPE接收到请求端发送的数据报文,根据映射表中的映射关系,将数据报文中的地址池中的IP地址IPB修改为目标服务器IP地址IPA,发送到目标服务器;
通过CPE接收到目标服务器发往请求端的返回报文,根据映射表中的映射关系,将所述返回报文中的目标IP地址IPA修改为地址池IP地址IPB,发送到请求端。
作为本发明的一种实施例,所述替换所述DNS响应报文的目标IP地址,还包括:
步骤1:获取DNS响应报文中目标IP地址的网络地址参数Ai、主机地址参数Bi和类型参数s,确定DNS响应报文的目标IP地址参数集合Q:
其中,所述Qi表示第i个请求端的DNS响应报文的目标IP地址参数;所述Ai表示第i个请求端的DNS响应报文的网络地址参数,所述Bi表示第i个请求端的DNS响应报文的主机地址参数;i=1,2,3,……n;
步骤2:基于网格网络,确定网格网络上的映射IP地址集合W:
其中,所述Wj为第j个网格上的映射IP地址;所述AWj为第j个网格上的网络地址参数;所述w(L)为地址深度函数;所述β为网络网格上的网络地址的入网顺序参数;所述j=1,2,3,……m;sl表示第l个类型参数;
步骤3:基于所述DNS响应报文的目标IP地址参数集合Q和网格网络上的映射IP地址集合W,构建映射替换模型H:
其中,H1表示网络地址的替换参数;所述H2表示主机地址的替换参数;
步骤4:当H1=H2时,表示能够替换,根据所述网络地址的替换参数和主机地址的替换参数,确定替换后映射IP地址,并将所述DNS响应报文中的目标IP地址进行替换。
一种VPN场景网络分流装置,其特征在于,包括:
请求模块:用于接收请求端的DNS请求报文;
替换模块:用于响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;
接收模块:用于在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文;
转发模块:用于替换所述数据报文中的映射IP地址为目标IP地址,并将所述数据报文转发至目标服务器。
作为本发明的一种实施例,所述装置还包括第一处理模块:
所述第一处理模块包括:
构建单元:用于构建CPE地址池;其中,
所述CPE为请求前置设备;
所述CPE地址池中包含映射表;
所述映射表包括映射IP地址IPB和目标IP地址IPA;
替换单元:用于在所述CPE接收所述DNS响应报文后,根据所述映射表将所述DNS响应报文中的目标服务器的IP地址IPA替换为所述CPE地址池中的IP地址IPB,根据所述替换IP地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。作为本发明的一种实施例,所述装置还包括第二处理模块:
获取单元:用于通过所述CPE获取目标服务器的IP地址IPA;
确定单元:用于根据所述目标服务器IP地址IPA,确定所述目标服务器IP地址IPA的映射地址IPB;
处理单元:通过所述映射地址IPB构建CPE地址池,并生成目标服务器IP地址IPA和CPE地址池IP地址IPB的映射表。
作为本发明的一种实施例,所述转发模块还包括:
第一转送单元:用于通过CPE接收到请求端发送的数据报文,根据映射表中的映射关系,将数据报文中的地址池中的IP地址IPB修改为目标服务器IP地址IPA,发送到目标服务器;
第二处理单元:用于通过CPE接收到目标服务器发往请求端的返回报文,根据映射表中的映射关系,将所述返回报文中的目标IP地址IPA修改为地址池IP地址IPB,发送到请求端。
作为本发明的一种实施例,所述替换模块通过以下步骤替换目标IP地址:
步骤1:获取DNS响应报文中目标IP地址的网络地址参数Ai、主机地址参数Bi和类型参数s,确定DNS响应报文的目标IP地址参数集合Q:
其中,所述Qi表示第i个请求端的DNS响应报文的目标IP地址参数;所述Ai表示第i个请求端的DNS响应报文的网络地址参数,所述Bi表示第i个请求端的DNS响应报文的主机地址参数;i=1,2,3,……n;
步骤2:基于网格网络,确定网格网络上的映射IP地址集合W:
其中,所述Wj为第j个网格上的映射IP地址;所述AWj为第j个网格上的网络地址参数;所述w(L)为地址深度函数;所述β为网络网格上的网络地址的入网顺序参数;所述j=1,2,3,……m;sl表示第l个类型参数;
步骤3:基于所述DNS响应报文目标IP地址参数集合Q和网格网络上的映射IP地址集合W,构建映射替换模型H:
其中,H1表示网络地址的替换参数;所述H2表示主机地址的替换参数;
步骤4:当H1=H2时,表示能够替换,根据所述网络地址的替换参数和主机地址的替换参数,确定替换后映射IP地址,并将所述DNS响应报文中的目标IP地址进行替换。
本发明的有益效果在于:请端设备发送DNS请求得到的域名对应的IP地址,不再为目标服务器IP地址,而为CPE替换后的CPE分配的IP地址,该IP地址为CPE地址池中的地址,便于同其它域名对应的IP地址和网段分开,实现流量分流。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其它优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
在附图中:
图1为本发明实施例中一种VPN场景网络分流的方法的方法流程图;
图2为本发明实施例中一种VPN场景网络分流的方法的装置组成图;
图3为现有技术中一种VPN组网图;
图4为本发明中实施例中的DNS处理流程图;
图5为本发明中实施例中分支和总部间VPN远程连接的网络分流图;
图6为本发明中实施例中远程VPN接入的网络分流图;
图7为本发明中实施例中SD-WAN网络中域名加速网络图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
实施例1:
如附图1所示,本发明的一种VPN场景网络分流方法的方法流程图,包括:
步骤100:接收请求端的DNS请求报文;所述请求端为客户端、分支、远程办公设备、SD-WAN网络的客户设备。
步骤101:响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;DNS响应报文由DNS域名服务器发出,DNS响应报文为原始的DNS响应报文,内部包含目标IP地址,然后将目标IP地址进行替换。
步骤102:在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文;
步骤103:换所述数据报文中的映射IP地址为目标IP地址,并将所述数据报文转发至目标服务器。
在目标IP地址被替换后,数据传输通信时,通过替换后的IP地址进行传输,因此,进行数据传输的IP地址同其它域名对应的IP地址和网段分开,实现流量分流。
本发明的有益效果在于:请求端设备发送DNS请求得到的域名对应的IP地址,不再为目标服务器IP地址,而为CPE替换后的CPE分配的IP地址,该IP地址为CPE地址池中的地址,便于同其它域名对应的IP地址和网段分开,实现流量分流。而与此同时,大量无关的域名和IP地址将被整合到一个或有限的数个地址段,极大地降低了配置复杂度和维护工作量,而且当目标域名对应的IP地址发生变化时,VPN的分流的配置也不需要调整,可自适应。
实施例2:
作为本发明的一种实施例,所述方法还包括:
构建CPE地址池;其中,
所述CPE为请求前置设备;
所述CPE地址池中包含映射表;
所述映射表包括映射IP地址IPB和目标IP地址IPA;
所述CPE地址池中包含替换的IP地址IPB;在本发明的实施例中CPE是指客户前置设备,CPE穿插于VPN网络分流的每个过程中。本发明专利中的CPE地址池为一段连续的IP地址,可以为私网IP地址也可以是公网IP地址。
在所述CPE接收所述DNS响应报文后,根据所述映射表将所述DNS响应报文中的目标服务器的IP地址IPA替换为所述CPE地址池中的IP地址IPB,根据所述替换I P地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。
本发明的有益效果在于:本发明通过DNS服务器发送DNS响应报文,通过CPE构建CPE地址池,在进行地址池替换时,直接通过将DNS响应报文中IP地址更换为预设地址池中的IP地址,使得网络分流得以实现,相对于现有技术,配置简单,不易出错。
实施例3:
作为本发明的一种实施例,所述方法还包括:
通过所述CPE获取目标服务器的IP地址IPA;
根据所述目标服务器IP地址IPA,确定所述目标服务器IP地址IPA的映射地址IPB;
通过所述映射地址IPB构建CPE地址池,并生成目标服务器IP地址IPA和CPE地址池IP地址IPB的映射表。
本发明的原理和有益效果在于:映射表中包括目标服务器IP地址IPA和CPE地址池中IP地址IPB。CPE收到DNS服务器发送的DNS响应报文时,如果DNS响应报文中的域名是待分流的域名时,CPE记录该域名对应的目标服务器IP地址,并为该目标服务器IP地址从CPE地址池中分配一个IP地址,在映射表中生成一个条目,该条目为目标服务器IP地址和CPE分配的IP地址的对应关系。
实施例4:
作为本发明的一种实施例,所述将替换IP地址后的DNS响应报文返回至目标服务器,包括:
通过CPE接收到请求端发送的数据报文,根据映射表中的映射关系,将数据报文中的地址池中的IP地址IPB修改为目标服务器IP地址IPA,发送到目标服务器;
通过CPE接收到目标服务器发往请求端的返回报文,根据映射表中的映射关系,将所述返回报文中的目标IP地址IPA修改为地址池IP地址IPB,发送到请求端。
本发明在接收向客户发送的报文和发往客户的报文都会根据映射表中的映射关系进行IP地址替换,通过两种方式的分流,使得分支和总部间VPN远程连接的网络分流、远程VPN接入的网络分流和SD-WAN网络中域名加速得以实现。
实施例5:
作为本发明的一种实施例,所述替换所述DNS响应报文的目标IP地址,还包括:
步骤1:获取DNS响应报文中目标IP地址的网络地址参数Ai、主机地址参数Bi和类型参数s,确定DNS响应报文的目标IP地址参数集合Q:
其中,所述Qi表示第i个请求端的DNS响应报文的目标IP地址参数;所述Ai表示第i个请求端的DNS响应报文的网络地址参数,所述Bi表示第i个请求端的DNS响应报文的主机地址参数;i=1,2,3,……n;
步骤2:基于网格网络,确定网格网络上的映射IP地址集合W:
其中,所述Wj为第j个网格上的映射IP地址;所述AWj为第j个网格上的网络地址参数;所述w(L)为地址深度函数;所述β为网络网格上的网络地址的入网顺序参数;所述j=1,2,3,……m;sl表示第l个类型参数;
步骤3:基于所述DNS响应报文的目标IP地址参数集合Q和网格网络上的映射IP地址集合W,构建映射替换模型H:
其中,H1表示网络地址的替换参数;所述H2表示主机地址的替换参数;
步骤4:当H1=H2时,表示能够替换,根据所述网络地址的替换参数和主机地址的替换参数,确定替换后映射IP地址,并将所述DNS响应报文中的目标IP地址进行替换。
本发明的原理和有益效果在于:根据请求端的IP地址集合,可以确定映射表中原始IP地址的集合,根据网格网络上的IP地址集合,可以确定映射表中替换的IP地址的集合。进而通过构建映射替换模型,确定网络地址参数的替换参数和主机地址的替换参数,进而确定最终的替换后的CPE地址池中替换的IP地址。
实施例6:
如附图2所示,一种VPN场景网络分流装置,包括:
请求模块:用于接收请求端的DNS请求报文;请求端包括客户主机,客户主机的DNS代理配置为CPE设备,客户的DNS请求发送到CPE,由CPE转发到DNS服务器。CPE对DNS服务器返回的DNS响应报文,修改DNS响应报文中的IP地址。
替换模块:用于响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;
接收模块:用于在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文;
转发模块:用于根据所述替换I P地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。
转发模块包括两种方式转发方式,CPE转发DNS请求到DNS服务器,转发DNS响应报文到客户端;转发模块还包括CPE将修改后的客户端发送的报文转发到目标服务器。
本发明的有益效果在于:请求端设备发送DNS请求得到的域名对应的IP地址,不再为目标服务器IP地址,而为CPE替换后的CPE分配的IP地址,该IP地址为CPE地址池中的地址,便于同其它域名对应的IP地址和网段分开,实现流量分流。而与此同时,大量无关的域名和IP地址将被整合到一个或有限的数个地址段,极大地降低了配置复杂度和维护工作量,而且当目标域名对应的IP地址发生变化时,VPN的分流的配置也不需要调整,可自适应。
实施例7:
作为本发明的一种实施例,所述装置还包括第一处理模块:
所述第一处理模块包括:
构建单元:用于构建CPE地址池;其中,
所述CPE为请求前置设备;
所述CPE地址池中包含映射表;
所述映射表包括映射IP地址IPB和目标IP地址IPA;
替换单元:用于在所述CPE接收所述DNS响应报文后,根据所述映射表将所述DNS响应报文中的目标服务器的IP地址IPA替换为所述CPE地址池中的IP地址IPB,根据所述替换IP地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。
本发明的原理和有益效果在于:替换单元在CPE收到DNS响应报文时,修改DNS响应报文中的目标服务器IP地址为CPE本地地址池中的IP地址,并记录目标服务器IP地址和本地地址池中IP地址的映射关系。
替换单元还包括用于在CPE收到客户端发送的待加速的数据报文时,修改数据报文中的目的IP地址为目标服务器IP地址IPA,CPE收到服务器端发送的回复报文时,修改数据报文中的源IP地址为CPE地址池中的IP地址IPB。
实施例8:
作为本发明的一种实施例,所述装置还包括第二处理模块:
所述第二处理模块包括:
获取单元:用于通过所述CPE获取目标服务器的IP地址IPA;
确定单元:用于根据所述目标服务器IP地址IPA,确定所述目标服务器IP地址IPA的映射地址IPB;
处理单元:通过所述映射地址IPB构建CPE地址池,并生成目标服务器IP地址IPA和CPE地址池IP地址IPB的映射表。
本发明所涉及到的映射表包括目标服务器IP地址IPA和CPE地址池中IP地址IPB。根据本专利的发明内容,客户配置加速域名,CPE收到DNS服务器发送的DNS响应报文时,如果DNS响应报文中的域名是待分流的域名时,CPE记录该域名对应的目标服务器IP地址,并为该目标服务器IP地址从CPE地址池中分配一个IP地址,在映射表中生成一个条目,该条目为目标服务器IP地址和CPE分配的IP地址的对应关系。为了简化配置和运维。
本发明专利中的映射表支持更新和老化机制,当CPE收到了DNS服务器的DNS响应报文时,如果DNS域名为待加速的域名时,CPE查找映射表,发现该目标服务器IP地址对应的条目存在,则更新该条目的老化时间。
在老化时间内,CPE没有收到条目的目标服务器IP地址对应的DNS响应报文时,则该映射表条目老化,从条目从映射表中删除,并回收CPE分配的IP地址,回收的IP地址可以分配给其它的目标服务器使用。
采用本发明所述的技术后,大量无关的域名和IP地址将被整合到一个或有限的数个地址段,极大地降低了配置复杂度和维护工作量,而且当目标域名对应的IP地址发生变化时,VPN的分流的配置也不需要调整,可自适应。
实施例9:
作为本发明的一种实施例,所述转发模块还包括:
第一转送单元:用于通过CPE接收到请求端发送的数据报文,根据映射表中的映射关系,将数据报文中的地址池中的IP地址IPB修改为目标服务器IP地址IPA,发送到目标服务器;
第二转送单元:用于通过CPE接收到目标服务器发往请求端的返回报文,根据映射表中的映射关系,将所述返回报文中的目标IP地址IPA修改为地址池IP地址IPB,发送到请求端。
本发明在接收向客户发送的报文和发往客户的报文都会根据映射表中的映射关系进行IP地址替换,通过两种方式的分流,使得分支和总部间VPN远程连接的网络分流、远程VPN接入的网络分流和SD-WAN网络中域名加速得以实现。
实施例10:
作为本发明的一种实施例,所述替换模块通过以下步骤替换目标IP地址:
步骤1:获取DNS响应报文中目标IP地址的网络地址参数Ai、主机地址参数Bi和类型参数s,确定DNS响应报文的目标IP地址参数集合Q:
其中,所述Qi表示第i个请求端的DNS响应报文的目标IP地址参数;所述Ai表示第i个请求端的DNS响应报文的网络地址参数,所述Bi表示第i个请求端的DNS响应报文的主机地址参数;i=1,2,3,……n;
步骤2:基于网格网络,确定网格网络上的映射IP地址集合W:
其中,所述Wj为第j个网格上的映射IP地址;所述AWj为第j个网格上的网络地址参数;所述w(L)为地址深度函数;所述β为网络网格上的网络地址的入网顺序参数;所述j=1,2,3,……m;sl表示第l个类型参数;
步骤3:基于所述DNS响应报文目标IP地址参数集合Q和网格网络上的映射IP地址集合W,构建映射替换模型H:
其中,H1表示网络地址的替换参数;所述H2表示主机地址的替换参数;
步骤4:当H1=H2时,表示能够替换,根据所述网络地址的替换参数和主机地址的替换参数,确定替换后映射IP地址,并将所述DNS响应报文中的目标IP地址进行替换。
本发明的原理和有益效果在于:根据请求端的IP地址集合,可以确定映射表中原始IP地址的集合,根据网格网络上的IP地址集合,可以确定映射表中替换的IP地址的集合。进而通过构建映射替换模型,确定网络地址参数的替换参数和主机地址的替换参数,进而确定最终的替换后的CPE地址池中替换的IP地址,便于同其它域名对应的IP地址和网段分开,实现流量分流,对业务进行分流,可以大大提高客户的网络访问体验,减少网络的配置和维护成本。
实施例11:
作为本发明的一种实施例:本发明在DNS处理流程中:
如附图4所示,详细阐述本发明的DNS处理流程,通过对现有DNS处理流程的更改,解决了VPN业务中域名分流的问题。
本发明对于DNS的处理流程如下:
(101)客户端需要访问网站,发送DNS请求报文,如访问www.baidu.com网站;
(102)CPE收到DNS请求报文,转发DNS请求报文到目标DNS域名服务器;
(103)DNS域名服务器响应该DNS请求,携带域名www.baidu.com以及目标服务器的IP地址IPA;
(104)CPE替换DNS响应报文中的IP地址,将目标IP地址替换为CPE地址池中的IP地址IPB;
(105)CPE发送替换后的DNS响应报文到客户端设备。
本实施例中,客户端设备发送DNS请求得到的域名对应的IP地址,不再为目标服务器IP地址,而为CPE替换后的CPE分配的IP地址,该IP地址为CPE地址池中的地址,便于同其它域名对应的IP地址和网段分开,实现流量分流。
实施例12:
作为本发明的一种实施例:分支和总部间VPN远程连接的网络分流例;
分支和总部间使用VPN连接是一种常见的网络组网,比如使用IPSec网络连接,构建分支和总部之间的隧道管道,分支访问总部的数据都通过VPN隧道发送,即保证了数据的传输安全,也保证网络的可靠连接,但是,对于分支访问互联网的数据,VPN很难进行分流,分支如果配置默认路由到总部,那么大部分网络访问数据会发送到总部,总部的网络设备带来较大流量负荷,无法通过本地网关路由器直接访问互联网。
本实施例采用本发明专利所述的分流的方法可以很好的解决分支访问总部数据的网络数据分流的问题。如图5所示,分支主机的DNS配置为总部的CPE设备,主机的DNS请求通过VPN发送到总部的CPE,CPE将DNS请求发送到DNS服务器,DNS服务器的DNS响应报文在达到CPE后,利用本发明专利的方法,将DNS响应报文的目标服务器IP地址(IPA)修改为CPE的本地地址池中的地址IPB,并且CPE在本地缓存IPA和IPB的映射关系,分支主机获取到的DNS域名对应的IP地址为IPB。
IPB的地址网段为客户分支为CPE分配的一个或者多个网段,该网段跟其它网段进行区分,只需要在分支路由器上配置这些网段的明细路由,路由下一跳指向总部网关路由器,即可将需要通过总部访问的域名访问数据和分支本地直接访问域名的数据进行分流。
分支通过总部的域名访问数据的过程:分支主机向域名发送访问数据,目标IP地址为IPB,数据报文在达到CPE时,CPE对数据报文进行地址替换,将目标IP地址修改为IPA,并发送到网络中达到目标服务器。目标服务器的返回报文在达到CPE时,CPE也将返回报文中的IPA地址替换为IPB,发送到分支的主机。
实施例13:
作为本发明的一种实施例:远程VPN接入的网络分流实施例;
在远程VPN办公的场景,客户的电脑通过VPN的拨入公司办公网络,客户的默认路由指向VPN隧道,所有的流量都经过VPN隧道发送到公司办公网络,无法对流量进行区分,有些非办公流量没有必要发送到办公网络,这种网络部署增加了办公网络的负担,很多时候,客户个人网络的网络质量比较差,拨入VPN后网络使用效果更差,使用本专利的发明内容,对客户业务进行分流,可以大大提高客户的网络访问体验。
如图6所示,远程办公的电脑使用VPN技术(如L2TP,IPSec)拨入公司办公室网络,修改远程接入电脑的默认路由为本地直出,并配置到公司的网段和CPE分配的IPB所在网段的明细路由的下一跳为公司办公室网络的网关路由器,这种网络设计保证了关键业务的流量走公司VPN隧道,其它普通业务的数据转发本地直出,不需要通过VPN隧道,大大减少办公网络的网络负荷。
根据本专利的发明内容,远程办公的电脑的DNS请求得到的待加速的域名的对应的IP地址,该IP地址为CPE地址池中分配的IP地址。客户电脑发送到这些域名的报文通过VPN隧道发送到办公网络的CPE,由CPE替换目的IP地址(IPB)为IPA后转发报文到目标服务器,目标服务器的回复报文在CPE上再替换为IPB转发到客户电脑。
实施例14:SD-WAN网络中域名加速的处理流程
SD-WAN(软件定义广域网)是一种新型的解决企业分支和总部/数据中心互联的技术,SD-WAN提供企业分支和总部之间,企业分支云访问等场景,实现对网络加速。本实施例利用本发明提出的分流的方法,实现对客户业务分流,将需要加速的业务流量导入到SD-WAN骨干网,减少网络的配置和维护成本。
如图7所示,CPE为SD-WAN网络的客户导流设备,客户的业务数据在CPE封装后发送到SD-WAN骨干网,优质的SD-WAN骨干网保证了客户数据的可靠稳定传输。利用本发明的实现方法,客户主机的DNS服务器配置为CPE设备,CPE收到DNS服务器发送给客户主机的DNS响应报文后,修改DNS响应报文中的目标服务器IP地址为CPE的IP地址IPB,发送到客户主机。
网关路由器上新增含CPE地址池IPB的路由网段的路由,下一跳为CPE,客户主机根据DNS域名解析得到的SaaS业务服务器IP地址和路由表发送报文到CPE,CPE修改报文的目的IP地址为SaaS业务服务器地址IPA,根据SD-WAN技术原理,查找得到SaaS业务服务器的出口PoP点,并进行SD-WAN Overlay封装,转发封装后的数据到SaaS业务服务器,CPE收到SaaS业务服务器的回复报文后,解封装SD-WAN Overlay封装,并修改内层报文的源IP地址为IPB,转发到客户主机。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种VPN场景网络分流方法,其特征在于,包括:
接收请求端的DNS请求报文;
响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;
在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文;
替换所述数据报文中的映射IP地址为目标IP地址,并将所述数据报文转发至目标服务器。
2.根据权利要求1所述的一种VPN场景网络分流方法,其特征在于,所述方法还包括:
构建CPE地址池;其中,
所述CPE为请求前置设备;
所述CPE地址池中包含映射表;
所述映射表包括映射IP地址IPB和目标IP地址IPA;
在所述CPE接收所述DNS响应报文后,根据所述映射表将所述DNS响应报文中的目标服务器的IP地址IPA替换为所述CPE地址池中的IP地址IPB,根据所述替换IP地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。
3.根据权利要求2所述的一种VPN场景网络分流方法,其特征在于,所述方法还包括:
通过所述CPE获取目标服务器的IP地址IPA;
根据所述目标服务器IP地址IPA,确定所述目标服务器IP地址IPA的映射地址IPB;
通过所述映射地址IPB构建CPE地址池,并生成目标服务器IP地址IPA和CPE地址池IP地址IPB的映射表。
4.根据权利要求1所述的一种VPN场景网络分流方法,其特征在于,所述方法还包括:
通过CPE接收到请求端发送的数据报文,根据映射表中的映射关系,将数据报文中的地址池中的IP地址IPB修改为目标服务器IP地址IPA,发送到目标服务器;
通过CPE接收到目标服务器发往请求端的返回报文,根据映射表中的映射关系,将所述返回报文中的目标IP地址IPA修改为地址池IP地址IPB,发送到请求端。
5.根据权利要求1所述的一种VPN场景网络分流方法,其特征在于,所述替换所述DNS响应报文的目标IP地址,还包括:
步骤1:获取DNS响应报文中目标IP地址的网络地址参数Ai、主机地址参数Bi和类型参数s,确定DNS响应报文的目标IP地址参数集合Q:
其中,所述Qi表示第i个请求端的DNS响应报文的目标IP地址参数;所述Ai表示第i个请求端的DNS响应报文的网络地址参数,所述Bi表示第i个请求端的DNS响应报文的主机地址参数;i=1,2,3,……n;
步骤2:基于网格网络,确定网格网络上的映射IP地址集合W:
其中,所述Wj为第j个网格上的映射IP地址;所述AWj为第j个网格上的网络地址参数;所述w(L)为地址深度函数;所述β为网络网格上的网络地址的入网顺序参数;所述j=1,2,3,……m;sl表示第l个类型参数;
步骤3:基于所述DNS响应报文的目标IP地址参数集合Q和网格网络上的映射IP地址集合W,构建映射替换模型H:
其中,H1表示网络地址的替换参数;所述H2表示主机地址的替换参数;
步骤4:当H1=H2时,表示能够替换,根据所述网络地址的替换参数和主机地址的替换参数,确定替换后映射IP地址,并将所述DNS响应报文中的目标IP地址进行替换。
6.一种VPN场景网络分流装置,其特征在于,包括:
请求模块:用于接收请求端的DNS请求报文;
替换模块:用于响应所述DNS请求,生成DNS响应报文,并将所述DNS响应报文中的目标IP地址替换为映射IP地址;
接收模块:用于在所述DNS响应报文中的目标IP地址被替换后,接收所述请求端的数据报文
转发模块:用于替换所述数据报文中的映射IP地址为目标IP地址,并将所述数据报文转发至目标服务器。
7.根据权利要求6所述的一种VPN场景网络分流装置,其特征在于,所述装置还包括第一处理模块:
所述第一处理模块包括:
构建单元:用于构建CPE地址池;其中,
所述CPE为请求前置设备;
所述CPE地址池中包含映射表;
所述映射表包括映射IP地址IPB和目标IP地址IPA;
替换单元:用于在所述CPE接收所述DNS响应报文后,根据所述映射表将所述DNS响应报文中的目标服务器的IP地址IPA替换为所述CPE地址池中的IP地址IPB,根据所述替换IP地址后的DNS响应报文,将请求端的数据报文转发至目标服务器。
8.根据权利要求7所述的一种VPN场景网络分流装置,其特征在于,所述装置还包括第二处理模块:
所述第二处理模块包括:
获取单元:用于通过所述CPE获取目标服务器的IP地址IPA;
确定单元:用于根据所述目标服务器IP地址IPA,确定所述目标服务器IP地址IPA的映射地址IPB;
处理单元:通过所述映射地址IPB构建CPE地址池,并生成目标服务器IP地址IPA和CPE地址池IP地址IPB的映射表。
9.根据权利要求6所述的一种VPN场景网络分流装置,其特征在于,所述转发模块还包括:
第一转送单元:用于通过CPE接收到请求端发送的数据报文,根据映射表中的映射关系,将数据报文中的地址池中的IP地址IPB修改为目标服务器IP地址IPA,发送到目标服务器;
第二转送单元:用于通过CPE接收到目标服务器发往请求端的返回报文,根据映射表中的映射关系,将所述返回报文中的目标IP地址IPA修改为地址池IP地址IPB,发送到请求端。
10.根据权利要求6所述的一种VPN场景网络分流的方法,其特征在于,所述替换模块通过以下步骤替换目标IP地址:
步骤1:获取DNS响应报文中目标IP地址的网络地址参数Ai、主机地址参数Bi和类型参数s,确定DNS响应报文的目标IP地址参数集合Q:
其中,所述Qi表示第i个请求端的DNS响应报文的目标IP地址参数;所述Ai表示第i个请求端的DNS响应报文的网络地址参数,所述Bi表示第i个请求端的DNS响应报文的主机地址参数;i=1,2,3,……n;
步骤2:基于网格网络,确定网格网络上的映射IP地址集合W:
其中,所述Wj为第j个网格上的映射IP地址;所述AWj为第j个网格上的网络地址参数;所述w(L)为地址深度函数;所述β为网络网格上的网络地址的入网顺序参数;所述j=1,2,3,……m;sl表示第l个类型参数;
步骤3:基于所述DNS响应报文目标IP地址参数集合Q和网格网络上的映射IP地址集合W,构建映射替换模型H:
其中,H1表示网络地址的替换参数;所述H2表示主机地址的替换参数;
步骤4:当H1=H2时,表示能够替换,根据所述网络地址的替换参数和主机地址的替换参数,确定替换后映射IP地址,并将所述DNS响应报文中的目标IP地址进行替换。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010550480.4A CN111884902B (zh) | 2020-06-16 | 2020-06-16 | 一种vpn场景网络分流方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010550480.4A CN111884902B (zh) | 2020-06-16 | 2020-06-16 | 一种vpn场景网络分流方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111884902A true CN111884902A (zh) | 2020-11-03 |
CN111884902B CN111884902B (zh) | 2022-04-29 |
Family
ID=73157931
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010550480.4A Active CN111884902B (zh) | 2020-06-16 | 2020-06-16 | 一种vpn场景网络分流方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111884902B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338595A (zh) * | 2021-12-31 | 2022-04-12 | 山石网科通信技术股份有限公司 | 报文的分布式处理方法、装置、存储介质及处理器 |
CN114448674A (zh) * | 2021-12-27 | 2022-05-06 | 天翼云科技有限公司 | 一种分布式流量清洗方法及系统 |
CN114553821A (zh) * | 2022-02-24 | 2022-05-27 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及装置 |
CN115334171A (zh) * | 2022-06-24 | 2022-11-11 | 华能国际电力江苏能源开发有限公司 | 一种将不同网段ip地址兼容互通成单一数据链的方法 |
CN115514662A (zh) * | 2021-06-22 | 2022-12-23 | 中国移动通信集团河南有限公司 | 服务等级协议sla测量系统及测量方法 |
WO2023072065A1 (zh) * | 2021-10-25 | 2023-05-04 | 展讯通信(上海)有限公司 | 数据处理方法、装置、电子设备和存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070094411A1 (en) * | 2005-08-04 | 2007-04-26 | Mark Mullane | Network communications system and method |
CN102045260A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 移动IPv6中报文传输方法及UTM设备 |
US20140344917A1 (en) * | 2013-05-16 | 2014-11-20 | Cisco Technology, Inc. | Application services based on dynamic split tunneling |
CN104767690A (zh) * | 2014-01-08 | 2015-07-08 | 杭州迪普科技有限公司 | 一种流量调度装置及方法 |
US20160218977A1 (en) * | 2015-01-27 | 2016-07-28 | Anchorfree Inc. | System and method for suppressing dns requests |
CN109561010A (zh) * | 2017-09-26 | 2019-04-02 | 北京金山安全软件有限公司 | 一种报文处理方法、电子设备及可读存储介质 |
CN109951880A (zh) * | 2019-03-15 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 通信处理方法、装置、计算机可读介质及电子设备 |
-
2020
- 2020-06-16 CN CN202010550480.4A patent/CN111884902B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070094411A1 (en) * | 2005-08-04 | 2007-04-26 | Mark Mullane | Network communications system and method |
CN102045260A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 移动IPv6中报文传输方法及UTM设备 |
US20140344917A1 (en) * | 2013-05-16 | 2014-11-20 | Cisco Technology, Inc. | Application services based on dynamic split tunneling |
CN104767690A (zh) * | 2014-01-08 | 2015-07-08 | 杭州迪普科技有限公司 | 一种流量调度装置及方法 |
US20160218977A1 (en) * | 2015-01-27 | 2016-07-28 | Anchorfree Inc. | System and method for suppressing dns requests |
CN109561010A (zh) * | 2017-09-26 | 2019-04-02 | 北京金山安全软件有限公司 | 一种报文处理方法、电子设备及可读存储介质 |
CN109951880A (zh) * | 2019-03-15 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 通信处理方法、装置、计算机可读介质及电子设备 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115514662A (zh) * | 2021-06-22 | 2022-12-23 | 中国移动通信集团河南有限公司 | 服务等级协议sla测量系统及测量方法 |
WO2023072065A1 (zh) * | 2021-10-25 | 2023-05-04 | 展讯通信(上海)有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN114448674A (zh) * | 2021-12-27 | 2022-05-06 | 天翼云科技有限公司 | 一种分布式流量清洗方法及系统 |
CN114338595A (zh) * | 2021-12-31 | 2022-04-12 | 山石网科通信技术股份有限公司 | 报文的分布式处理方法、装置、存储介质及处理器 |
CN114338595B (zh) * | 2021-12-31 | 2024-02-02 | 山石网科通信技术股份有限公司 | 报文的分布式处理方法、装置、存储介质及处理器 |
CN114553821A (zh) * | 2022-02-24 | 2022-05-27 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及装置 |
CN114553821B (zh) * | 2022-02-24 | 2023-06-27 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及装置 |
CN115334171A (zh) * | 2022-06-24 | 2022-11-11 | 华能国际电力江苏能源开发有限公司 | 一种将不同网段ip地址兼容互通成单一数据链的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111884902B (zh) | 2022-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111884902B (zh) | 一种vpn场景网络分流方法及装置 | |
US10516590B2 (en) | External health checking of virtual private cloud network environments | |
US10469442B2 (en) | Adaptive resolution of domain name requests in virtual private cloud network environments | |
US9712422B2 (en) | Selection of service nodes for provision of services | |
US20160226815A1 (en) | System and method for communicating in an ssl vpn | |
CN101873358B (zh) | 一种基于域名解析的链路负载均衡方法和设备 | |
US7366794B2 (en) | Method and apparatus for resolving a web site address when connected with a virtual private network (VPN) | |
CN107528862B (zh) | 域名解析的方法及装置 | |
US20140351413A1 (en) | Selecting between domain name system servers of a plurality of networks | |
US20130179551A1 (en) | Split-Domain Name Service | |
WO2019165468A4 (en) | Apparatus and methods for packetized content routing and delivery | |
US11625280B2 (en) | Cloud-native proxy gateway to cloud resources | |
US11252126B1 (en) | Domain name resolution in environment with interconnected virtual private clouds | |
CN104160680A (zh) | 用于透明代理缓存的欺骗技术 | |
US9319235B2 (en) | Authentication, authorization, and accounting based on an automatically generated username | |
CN109547452A (zh) | Linux网桥设备上实现TCP透明代理的方法及系统 | |
CN107347100B (zh) | 一种内容分发网络的透明代理转发方法 | |
CN106713528A (zh) | 一种家庭网关及IPv6主机访问网络服务器的方法 | |
EP2019535A1 (en) | Requester-aware domain name system | |
CN110324435B (zh) | 一种网络请求处理方法及系统 | |
US20060198374A1 (en) | Special format computer network address for use with a computer network | |
US20230336793A1 (en) | Streaming proxy service | |
US11962502B2 (en) | Control apparatus, communication system, control method and program | |
US20230412567A1 (en) | Globally available vpn as a service | |
CN111147345B (zh) | 云环境网络隔离装置、方法及云系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |