CN111885430B - 一种基于以太帧的带内遥测方法及带内遥测系统 - Google Patents

Abstract

本发明公开一种基于以太帧的带内遥测方法及带内遥测系统，所述带内遥测方法包括以下步骤：步骤一，在网络节点间建立IPsec隧道；步骤二，在所述IPsec隧道内部各节点之间使用叠加MACsec协议的MACINT对报文数据进行封装，将封装的报文数据在IPsec隧道内的节点中进行转发；步骤三，通过SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥。

Description

一种基于以太帧的带内遥测方法及带内遥测系统

技术领域

本发明属于IP网络技术领域，尤其涉及一种基于以太帧的带内遥测方法。

背景技术

当前网络中，为了对报文进行观测，通常使用INT（In-band Network Telemetry）技术。目前，业界常用的是P4+INT。为了实现INT，通常定义一组INT元数据，该数据在交换机/路由器/NFV网元上被加入到报文中。该元数据主要包括以下内容：

交换机信息：交换机ID；报文进入信息：入口端口号、进入时的时间戳；报文发出信息：出口端口号、在设备中停留的时间、出口端口的链路利用率；缓冲区信息。

INT Header的位置没有特意指定，但目前的实现中多有以下几种：

INT over VXLAN（作为VXLAN option，每个GPE extension）； INT over Geneve（作为Geneve option）；INT over NSH（作为NSH option）；INT over TCP（作为TCP option或payload）；INT over UDP（作为UDP payload）。

上述的INT封装，在实际使用中存在以下两个问题：

1、INT报文信息作为明文直接加入到报文中，暴露了中间设备的关键信息（比如缓冲区等），容易被非法用户利用并攻击，如图1所示：非法用户在获取到报文信息后，就知道了对应路径上交换机的流量信息，可以对设备做针对性攻击。

2、若报文是IPsec加密报文，INT如果封装在内部，则由于加密的缘故，无法针对路径内的交换机做INT功能，如果封装在外部，则同样存在1中的问题，如图2所示：图中，C、D两点由于被IPsec隧道覆盖，因此无法添加INT头。

发明内容

针对上述技术问题，本发明通过定义一种新的以太类型，结合 MACsec协议，解决INT报文的安全问题，以及IPsec封装下导致中间节点无法封装INT头的问题。

为了实现以上目的，本发明采用以下技术方案：

本发明一种基于以太帧的带内遥测方法，所述带内遥测方法包括以下步骤：

步骤一，在网络节点间建立IPsec隧道；

步骤二，在所述IPsec隧道内部各节点之间使用叠加MACsec协议的MACINT技术对报文数据进行封装，将封装的报文数据在IPsec隧道内的节点中进行转发；

步骤三，通过SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥。

进一步的，所述步骤二具体包括以下步骤：

步骤2.1，通过IPsec隧道封装报文将数据进行封装，隧道外层源IP为IPsec隧道起始端节点的IP地址，记为IP-A，目的IP为目的端节点的IP地址，记为IP-B；

步骤2.2，在IPsec隧道起始端节点加上MACINT头，填写本设备相关的INT信息；

步骤2.3，在IPsec隧道起始端节点添加MACsec协议，并对报文加密后发送给IPsec隧道路径的第二节点；

步骤2.4，所述第二节点接收报文后，先对MACsec协议进行解密，识别MACINT后，保留MACINT头并做后续处理，在转发给第三节点时，在原始的MACINT上添加第二节点的本机INT信息，并添加在IP头之前，继续做MACsec封装；

步骤2.5，所述IPsec隧道路径中其余各节点根据所述步骤2.4中过程对数据进行处理，直到IPsec隧道的目的端节点B ，B收到报文后先对MACsec协议解密，识别MACINT后，获取前一个网络节点的INT信息，同时对IPsec隧道报文进行解密，确定自身为目的端节点后结合隧道内之前全部的INT信息，再添加自身的INT信息，上报给SDN控制器做分析处理。

进一步的，步骤三具体包括以下步骤： SDN控制器与网络节点之间通过NetConf协议下发密钥。

本发明还提供基于以太帧的带内遥测系统，所述遥测系统包括：

网络节点，所述网络节点为IPsec隧道路径中的各设备，所述设备支持INT功能，所述网络节点之间使用叠加MACsec协议的MACINT对转发的报文数据进行封装；

SDN控制器，所述SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥给各网络节点。

本发明基于以太帧的带内遥测系统中，所述叠加MACsec协议的MACINT对转发的报文数据进行封装，形成的报文数据具体为：

在源数据之前，封装MACINT报文头，所述MACINT报文头包括：

MACINT EtherType：两字节，指明是MACINT类型的以太头；

Len：INT Header长度；

INT Header：变长，用户自定义的INT头信息，包含了用户需要感知的设备的各种遥测元数据；

再在MACINT报文头之前封装MACsec协议。

进一步的，所述网络节点为交换机、路由器、或者NFV网元设备。

本发明实施的技术方案带来的有益效果至少包括：

本发明的优势在于通过自定义的MACINT报文头，结合使用MACsec协议，解决了当前INT的安全问题，以及IPsec封装下导致中间节点无法封装INT头的问题。

附图说明

为了更清楚地说明本发明中的技术方案，下面将对本发明中所需要使用的附图进行简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，可以根据这些附图获得其它附图。

图1为现有技术中INT网络环境下非法用户窥探示意图；

图2为现有技术中IPsec隧道内实施INT的网络环境示意图；

图3为MACsec协议格式与封装方式示意图；

图4为本发明自定义以太类型的MACINT报文头定义格式示意图；

图5为叠加MACsec协议的MACINT报文的封装示意图；

图6为实施例中的网络场景示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合说明书附图对本发明的实施方式做进一步地详细叙述。

实施例1

本实施例提供一种基于以太帧的带内遥测系统，如图6所示，所述遥测系统包括：

网络节点，所述网络节点为IPsec隧道路径中的各设备，所述设备支持INT功能，所述网络节点之间使用叠加MACsec协议的MACINT对转发的报文数据进行封装；

SDN控制器，所述SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥给各网络节点。

本实施例中所指网络节点为交换机、路由器、或者NFV网元设备。

本发明基于以太帧的带内遥测系统中，所述叠加MACsec协议的MACINT对转发的报文数据进行封装，形成的报文数据如图4、图6所示，具体为：

在源数据之前，封装MACINT报文头，所述MACINT报文头包括：

MACINT EtherType：两字节，指明是MACINT类型的以太头；

Len：INT Header长度；

INT Header：变长，用户自定义的INT头信息，包含了用户需要感知的设备的各种遥测元数据；

再在MACINT报文头之前封装MACsec协议。

通过叠加MACsec，对二层报文加以保护，使得恶意用户无法窥探INT信息，同时由于通过使用MACINT来添加INT信息，因此可以灵活地在网络任意节点使用INT功能，而不会被IPsec隧道限制。

本发明基于以太帧的带内遥测系统，在IPsec隧道的各节点上，对转发的报文通过自定义的MACINT报文头，结合使用MACsec，解决了当前INT的安全问题，以及IPsec封装下导致中间节点无法封装INT头的问题。

本发明利用MACsec协议，再定义一种新的以太类型用来做MACINT，两者结合，提供以太帧的带内遥测。由于遥测数据在MAC层，因此不受IP层或Overlay的IP层的加密影响以及隧道点对点的影响（即INT如果加在IP内部的话，可能会因为加密无法被中间转发节点识别或中间转发节点直接转发，并且不处理）。同时，由于结合使用了MACsec，也能保证INT数据的安全性。

实施例2

本发明一种基于以太帧的带内遥测方法，所述带内遥测方法包括以下步骤：

步骤一，在网络节点间建立IPsec隧道；

步骤二，在所述IPsec隧道内部各节点之间使用叠加MACsec协议的MACINT对报文数据进行封装，将封装的报文数据在IPsec隧道内的节点中进行转发；

步骤三，通过SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥。

进一步的，所述步骤二具体包括以下步骤：

步骤2.1，通过IPsec隧道封装报文将数据进行封装，隧道外层源IP为IPsec隧道起始端节点的IP地址，记为IP-A，目的IP为目的端节点的IP地址，记为IP-B；

步骤2.2，在IPsec隧道起始端节点加上MACINT头，填写本设备相关的INT信息；

步骤2.3，在IPsec隧道起始端节点添加MACsec协议，并对报文加密后发送给IPsec隧道路径的第二节点；

步骤2.4，所述第二节点接收报文后，先对MACsec协议进行解密，识别MACINT后，保留MACINT头并做后续处理，在转发给第三节点时，在原始的MACINT上添加第二节点的本机INT信息，并添加在IP头之前，继续做MACsec封装；

如图5所示，IPsec隧道为A->B，其经过节点分别为A->C->D->B。A首先封装IPsec报文，生成一个IP报文（IP源A，IP目的B），如果没有MACSec+MACINT，它将会直接封装MAC头（MAC源A，目的C）发给C，C解封装MAC头再封装MAC头（MAC源C，目的D）发给D，D同样解封装MAC，再封装MAC头（MAC源D，目的B）发给B，B收到后解封装MAC，然后看到IP目的为自己就本地处理。

增加MACSec+MACINT后，A封装完IP报文后，在封装MAC头和IP头之间添加MACSec和MACINT头和INT-A，报文为：MAC+MACSec+MACINT+INT-A+IP，然后发给C，MAC头和上面讲的流程一样。C收到后，解封装MAC并解封装MACsec后，根据定义的MACINT类型知道内部是个MACINT头，那么就再添加自己的INT-C，此时报文数据为MACINT头+INT-A+INT-C+IP报文，在发给D时，再做一次MACsec和MAC封装，报文为：MAC+MACSec+MACINT+INT-A+INT-C+IP，D节点操作类似。最后B收到时，报文为：MAC+MACSec+MACINT+INT-A+INT-C+INT-D-IP。在这里原有的INT信息是指INT-A+INT-C+INT-D，自身的INT是指INT-B。由于B是终点，可以INT-A+INT-C+INT-D-INT-B上送给控制器处理。

步骤2.5，所述IPsec隧道路径中其余各节点根据所述步骤2.4中过程对数据进行处理，直到IPsec隧道的目的端节点B ，B收到报文后先对MACsec协议解密，识别MACINT后，获取前一个网络节点的INT信息，同时对IPsec隧道报文进行解密，确定自身为目的端节点后结合隧道内之前全部网络节点的INT信息，再添加自身的INT信息，上报给SDN控制器做分析处理。

本发明利用MACsec协议，再定义一种新的以太类型用来做MACINT，两者结合，提供以太帧的带内遥测。由于遥测数据在MAC层，因此不受IP层或Overlay的IP层的加密影响以及隧道点对点的影响（即INT如果加在IP内部的话，可能会因为加密无法被中间转发节点识别或中间转发节点直接转发，并且不处理）。同时，由于结合使用了MACsec，也能保证INT数据的安全性。

进一步的，步骤三具体包括以下步骤： SDN控制器与网络节点之间通过NetConf协议下发密钥。NetConf协议是现有的一种常用配置协议，自带信道安全性，可以保证密钥不被窥探。

如图6所示，在节点A-B之间建立IPsec隧道，A-C、C-D、D-B之间使用自定义的MACINT报文头，结合使用MACsec，通过控制器下发IPsec和MACsec相关的密钥。报文流量信息以及设备处理如下：

1、A通过IPsec隧道封装报文，隧道外层源IP为IP-A，目的IP为IP-B。

2、A加上MACINT头，填写本设备相关的INT信息。

3、A添加MACsec，并对报文加密后发送给C。

4、C接收报文后，做MACsec解密，识别MACINT后，保留MACINT并做后续处理，在转发给D时，在原始的MACINT上添加本机的INT信息，并添加在IP头前，继续做MACsec的封装。

5、D动作与C相同。

6、B收到报文后做MACsec解密，识别MACINT后，获取INT信息，同时对IPsec隧道报文进行解密，知道自己是终点后，结合原有的INT信息，再添加自己的INT信息，上报给控制器做分析处理。

上述带内遥测方法，在报文中定义了MACINT类型，通过MACINT提供二层报文的INT功能。结合MACsec，对添加MACINT后的报文进行加密，保证了INT信息的安全。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

上述仅为本申请的较佳实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (5)

1.一种基于以太帧的带内遥测方法，其特征在于，所述带内遥测方法包括以下步骤：

步骤一，在网络节点间建立IPsec隧道；

步骤二，在所述IPsec隧道内部各节点之间使用叠加MACsec协议的MACINT对报文数据进行封装，将封装的报文数据在IPsec隧道内的节点中进行转发；具体为：

步骤2.1，通过IPsec隧道封装报文将数据进行封装，隧道外层源IP为IPsec隧道起始端节点的IP地址，记为IP-A，目的IP为目的端节点的IP地址，记为IP-B；

步骤2.2，在IPsec隧道起始端节点加上MACINT头，填写本设备相关的INT信息；

步骤2.3，在IPsec隧道起始端节点添加MACsec协议，并对报文加密后发送给IPsec隧道路径的第二节点；

步骤2.4，所述第二节点接收报文后，先对MACsec协议进行解密，识别MACINT后，保留MACINT头并做后续处理，在转发给第三节点时，在原始的MACINT上添加第二节点的本机INT信息，并添加在IP头之前，继续做MACsec封装；

步骤2.5，所述IPsec隧道路径中其余各节点根据所述步骤2.4中过程对数据进行处理，直到IPsec隧道的目的端节点B ，B收到报文后先对MACsec协议解密，识别MACINT后，获取前一个网络节点的INT信息，同时对IPsec隧道报文进行解密，确定自身为目的端节点后结合之前隧道内全部的INT信息，再添加自身的INT信息，上报给SDN控制器做分析处理；

步骤三，通过SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥。

2.根据权利要求1所述的一种基于以太帧的带内遥测方法，其特征在于，步骤三具体包括以下步骤： SDN控制器与网络节点之间通过NetConf协议下发密钥。

3.一种基于以太帧的带内遥测系统，其特征在于，所述遥测系统包括：

网络节点，所述网络节点为IPsec隧道路径中的各设备，所述设备支持INT功能，所述网络节点之间使用叠加MACsec协议的MACINT对转发的报文数据进行封装；所述网络节点之间按照以下过程对报文数据进行封装：

通过IPsec隧道封装报文将数据进行封装，隧道外层源IP为IPsec隧道起始端节点的IP地址，记为IP-A，目的IP为目的端节点的IP地址，记为IP-B；

在IPsec隧道起始端节点加上MACINT头，填写本设备相关的INT信息；

在IPsec隧道起始端节点添加MACsec协议，并对报文加密后发送给IPsec隧道路径的第二节点；

所述第二节点接收报文后，先对MACsec协议进行解密，识别MACINT后，保留MACINT头并做后续处理，在转发给第三节点时，在原始的MACINT上添加第二节点的本机INT信息，并添加在IP头之前，继续做MACsec封装；

所述IPsec隧道路径中其余各节点按照所述第二节点中的处理过程对数据进行处理，直到IPsec隧道的目的端节点B，B收到报文后先对MACsec协议解密，识别MACINT后，获取前一个网络节点的INT信息，同时对IPsec隧道报文进行解密，确定自身为目的端节点后结合之前隧道内全部的INT信息，再添加自身的INT信息，上报给SDN控制器做分析处理；

所述遥测系统还包括SDN控制器，所述SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥给各网络节点。

4.根据权利要求3所述的一种基于以太帧的带内遥测系统，其特征在于，所述叠加MACsec协议的MACINT对转发的报文数据进行封装，形成的报文数据具体为：

在源数据之前，封装MACINT报文头，所述MACINT报文头包括：

MACINT EtherType：两字节，指明是MACINT类型的以太头；

Len：INT Header长度；

INT Header：变长，用户自定义的INT头信息，包含了用户需要感知的设备的各种遥测元数据；

再在MACINT报文头之前封装MACsec协议。

5.根据权利要求3或4所述的一种基于以太帧的带内遥测系统，其特征在于，所述网络节点为交换机、路由器、或者NFV网元设备。

Images