CN113904866B - Sd-wan业务流量安全处置引流方法、设备、系统以及介质 - Google Patents
Sd-wan业务流量安全处置引流方法、设备、系统以及介质 Download PDFInfo
- Publication number
- CN113904866B CN113904866B CN202111271633.2A CN202111271633A CN113904866B CN 113904866 B CN113904866 B CN 113904866B CN 202111271633 A CN202111271633 A CN 202111271633A CN 113904866 B CN113904866 B CN 113904866B
- Authority
- CN
- China
- Prior art keywords
- data packet
- equipment
- user
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000005538 encapsulation Methods 0.000 claims abstract description 57
- 238000004806 packaging method and process Methods 0.000 claims abstract description 22
- 238000013507 mapping Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 10
- 238000004140 cleaning Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003116 impacting effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种SD‑WAN业务流量安全处置引流方法、设备、系统以及介质,所述方法包括:用户网关设备接收用户设备发送的多个数据包;用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于封装标识进行封装,得到封装包;本地局端设备对封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器;服务器对第一数据包进行安全处置;本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备;本申请由运营商广域网络侧实现SD‑WAN私网地址用户本地局域网流量的安全处置引流。
Description
技术领域
本发明涉及云网融合技术领域,具体地说,涉及一种SD-WAN业务流量安全处置引流方法、设备、系统以及介质。
背景技术
软件定义网络(Software Defined Network,SDN)是一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
SD-WAN(Software Defined Wide Area Network,软件定义广域网),是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。SD-WAN旨在帮助用户降低广域网(WAN)的开支和提高网络连接灵活性。
目前SD-WAN业务一般采用私网IP地址,依次经由用户网关设备(CPE)的局域网(LAN)侧VRF封装、广域网(WAN)侧IPSec隧道封装后出本地局域网,在underlay网络(底层网络)上通过IPSec隧道承载,以隔离不同的业务/用户并保证传输过程中的业务安全。
然而,IPSec隧道只能保证流量出用户网关设备后,广域网上数据传输的安全。当用户希望SD-WAN运营商提供广域网侧对本地局域网流量进行安全处置服务(如DDOS流量清洗),以防止攻击等非法流量冲击隧道质量或远端用户局域网内业务(如总部网络)时,由于安全处置系统只能对裸IP进行处理,但需要安全处置的2个不同SD-WAN用户可能采用相同的私网IP地址,此时经安全处置系统处理后,这2个用户的流量将无法区分。
发明内容
针对现有技术中的问题,本发明的目的在于提供一种SD-WAN业务流量安全处置引流方法、设备、系统以及介质,解决现有的SD-WAN服务在广域网侧,对本地局域网流量进行安全处置时,无法区分具有相同私网ip地址的用户的问题。
为实现上述目的,本发明提供了一种SD-WAN业务流量安全处置引流方法,所述方法包括以下步骤:
用户网关设备接收用户设备发送的多个数据包;所述数据包中包含有与各个用户设备关联的IP地址;
用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包;
本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器;
服务器对所述第一数据包进行安全处置;
本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备。
可选地,所述方法还包括步骤:
本地局端设备将解封装后得到的数据包中IP地址预设字段不是预设标识位的第二数据包,进行封装并根据目的IP地址发送至目标局端设备。
可选地,所述对所有数据包基于各自的封装标识分别进行封装,包括:
用户网关设备的进向局域网接口对所有数据包基于虚拟路由转发VRF和各自的封装标识进行封装,得到第一封装包;
用户网关设备的出向广域网接口对所述第一封装包基于IPSec协议再次封装,得到第二封装包。
可选地,在所述用户网关设备基于接收到的第一触发信号之前,所述方法还包括:
SD-WAN控制器接收服务器发送的第一触发信号,并将所述第一触发信号发送至用户网关设备;所述第一触发信号用于触发用户网关设备将用户设备IP地址的预设字段基于预设标识位进行处理;
所述用户网关设备接收SD-WAN控制器发送的第一触发信号。
可选地,所述用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,包括:
所述用户网关设备基于接收到的第一触发信号,将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换,以及将所述可选字段的其余位基于第二预设标识位进行替换。
可选地,所述将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换,以及将所述可选字段的其余位基于第二预设标识位进行替换,包括:
将关联的数据包对应的IP地址包头的可选字段首位设置为1,将所述可选字段的第二位至最后一位设置为所述用户网关设备的串号。
可选地,所述本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器,包括:
所述本地局端设备记录解封装得到的数据包中IP地址预设字段为预设标识位的第一数据包和封装标识的映射关系,并将所述第一数据包发送至服务器;
所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备,包括:
本地局端设备依据所述映射关系,确定与安全处置后的第一数据包匹配的目标封装标识,并依据所述目标封装标识对第一数据包封装后发送至目标局端设备。
可选地,所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备,包括:
所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识,以及虚拟路由转发VRF进行封装后,基于IPSec协议再次封装,根据目的IP地址通过IPsec VPN隧道发送至目标局端设备。
本发明还提供了一种SD-WAN业务流量安全处置引流设备,所述安全处置设备设置为,接收对封装包解封装后得到的数据包中IP地址预设字段为预设标识位的第一数据包,并对所述第一数据包进行安全处置,将安全处置后的第一数据包返回。
本发明还提供了一种SD-WAN业务流量安全处置引流系统,包括用户设备、用户网关设备、本地局端设备、SD-WAN控制器和上述安全处置设备;
所述用户网关设备设置为,接收用户设备发送的多个数据包,基于接收到的SD-WAN控制器发送的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包;所述数据包中包含有与各个用户设备关联的IP地址;
所述本地局端设备设置为,对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至安全处置设备,并接收安全处置设备返回的安全处置后的第一数据包,然后基于与所述第一数据包匹配的封装标识,将安全处置后的第一数据包封装后发送至目标局端设备。
本发明还提供了一种SD-WAN业务流量安全处置引流设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行上述任意一项SD-WAN业务流量安全处置引流方法的步骤。
本发明还提供了一种SD-WAN业务流量安全处置引流系统,用于实现上述SD-WAN业务流量安全处置引流方法,所述系统包括:
数据包接收模块,用户网关设备接收用户设备发送的多个数据包;所述数据包中包含有与各个用户设备关联的IP地址;
数据包处理与封装模块,用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包;
第一数据包发送模块,本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器;
第一数据包安全处置模块,服务器对所述第一数据包进行安全处置;
第一数据包封装发送模块,本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备。
本发明还提供了一种计算机可读存储介质,用于存储程序,所述程序被处理器执行时实现上述任意一项SD-WAN业务流量安全处置引流方法的步骤。
本发明与现有技术相比,具有以下优点及突出性效果:
本发明提供的SD-WAN业务流量安全处置引流方法、设备、系统以及介质实现SD-WAN用户本地局域网流量的安全处置,也即由运营商侧提供针对相同私网IP但归属于不同用户的流量安全处置服务,用户无需在局域网内部署流量清洗等安全处置系统,保证正常业务的高质量传输以及客户远端局域网内业务安全运行,同时,降低客户自组网实施安全处置的成本。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1为本发明一实施例公开的一种SD-WAN业务流量安全处置引流方法的示意图;
图2为本发明另一实施例公开的一种SD-WAN业务流量安全处置引流方法的示意图;
图3为本发明另一实施例公开的一种SD-WAN业务流量安全处置引流方法的时序图;
图4为本发明一实施例公开的一种SD-WAN业务流量安全处置引流系统的结构示意图;
图5为本发明一实施例公开的一种SD-WAN业务流量安全处置引流系统的结构示意图;
图6为本发明另一实施例公开的一种SD-WAN业务流量安全处置引流系统的结构示意图;
图7为本发明一实施例公开的一种SD-WAN业务流量安全处置引流设备的结构示意图;
图8为本发明一实施例公开的一种计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
如图1所示,本发明一实施例公开了一种SD-WAN业务流量安全处置引流方法,该方法包括以下步骤:
S110,用户网关设备接收用户设备发送的多个数据包。上述数据包中包含有与各个用户设备关联的IP地址。
具体来说,CPE(Customer Premise Equipment,客户前置设备)设备即用户网关设备在首次入网时,向SD-WAN控制器发出注册申请。SD-WAN控制器根据服务器中的工单系统提供的用户网关设备SN串号,来确认该用户网关设备是否为合法用户。只有当用户网关设备为合法用户时,才能继续执行S110的步骤,否则就结束流程。
服务器的工单系统会向SD-WAN控制器发送第一通知消息,该第一通知消息用于告知SD-WAN控制器需要进行安全处置的用户网关设备流量,也即哪些用户设备发来的流量需要进行安全处置。然后SD-WAN控制器根据第一通知消息,生成第一触发信号并发送给用户网关设备,以告知用户网关设备对于需要进行安全处置的用户设备的流量具体标记方式,以告知后续的本地局端设备哪些用户设备发送的数据包需要进行安全处置。
上述数据包包括第二数据包和与第一触发信号相关联的第一数据包,第一数据包是需要进行安全处置的数据包,第二数据包是不需要进行安全处置的数据包。对于未接收到第一触发信号的用户网关设备,就表示不需要进行安全处置,对应的数据包就归类为第二数据包。
其中,示例性地,上述用户设备可以为笔记本电脑,用户网关设备为CPE设备,本申请对此不作限制。
S120,用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包。具体来说,也即用户网关设备对与第一触发信号相关联的数据包,而非所有数据包,进行上述处理。也即,上述用户网关设备基于接收到的第一触发信号,将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换,以及将上述可选字段的其余位基于第二预设标识位进行替换。
具体来说,比如,将关联的数据包对应的IP地址包头的可选字段首位设置为1,将上述可选字段的第二位至最后一位设置为上述用户网关设备的串号。示例性地,将可选字段的第2位至第24位设为用户网关设备的SN串号。
本实施例中,用户网关设备的进向局域网接口,也即LAN口对所有数据包,包括第二数据包和更新后的第一数据包基于虚拟路由转发VRF和各自的封装标识进行封装,得到第一封装包。用户网关设备的出向广域网接口,也即WAN口对上述第一封装包基于IPSec协议再次封装,得到第二封装包。
需要说明的是,用户网关设备对所有数据包基于各自的封装标识分别进行封装的操作,和接收到的第一触发信号之间,是不存在关联性的。也即即使未接收到第一触发信号,也需要将对应的数据包进行封装。
在本实施例中,用户设备和用户网关设备是一一对应的,多个用户网关设备对应一个本地局端设备,用户网关设备只需要封装对应的用户设备发来的数据包。本申请不以此为限。用户设备、数据包和IP地址是一一对应的。在其他实施例中,也可以为一个用户设备对应多个数据包。
S130,本地局端设备对上述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器。本实施例中,本地局端设备先依据IPSec协议对上述第二封装包解封装,得到第一封装包。然后对第一封装包基于虚拟路由转发VRF解封装,得到原始的数据包。
然后本地局端设备判断原始数据包中IP地址预设字段是否为预设标识位,比如IP地址包头的可选字段第1位是否为1,若为1,则记录对应的第一数据包和封装标识的映射关系,并将该第一数据包发送至服务器。
本实施例中,上述映射关系可以为IP地址和VRF封装标识之间的匹配关系。上述本地局端设备可以为POP组网路由器。本申请不以此为限。
S140,服务器对上述第一数据包进行安全处置。本实施例中,可以利用服务器内置的安全处置系统对第一数据包进行流量清洗等安全处置,服务器将安全处置完成的第一数据包返回给本地局端设备。上述安全处置的具体内容可根据本领域技术人员的具体需求进行设置,比如可以为DDOS流量清洗等。本申请对此不作限制。并且,安全处置的具体实现方式可参考现有技术实现,本申请不再赘述。
需要说明的是,上述安全处置系统和上述工单系统可以位于同一服务器中,也可以位于不同的服务器中,本申请对此不作限制。
S150,本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备。具体来说,本地局端设备依据上述映射关系,确定与安全处置后的第一数据包匹配的目标封装标识,并依据上述目标封装标识对第一数据包封装后发送至目标局端设备。也即,上述本地局端设备基于与安全处置后的第一数据包匹配的VRF封装标识,基于虚拟路由转发VRF进行第一次封装后,基于IPSec协议再次封装,根据目的IP地址通过IPsec VPN隧道发送至目标局端设备。
在本申请的另一实施例中,公开了另一种SD-WAN业务流量安全处置引流方法。该方法在上述实施例的基础上,还包括步骤:
S160,本地局端设备将解封装后得到的数据包中IP地址预设字段不是预设标识位的第二数据包,进行封装并根据目的IP地址发送至目标局端设备。
也即,对于步骤S130中解封装得到的数据包中IP地址包头的可选字段第1位不为1的第二数据包,本地局端设备将该第二数据包依次基于虚拟路由转发VRF进行第一次封装,以及基于IPSec协议再次封装后根据目的IP地址发送至目标局端设备。
在本申请的另一实施例中,如图2所示,公开了另一种SD-WAN业务流量安全处置引流方法。该方法在上述实施例的基础上,在步骤S110之前还包括步骤:
S101,服务器向SD-WAN控制器发送第一通知消息。所述第一通知消息用于告知SD-WAN控制器需要进行安全处置的用户设备。
S102,SD-WAN控制器根据第一通知消息,生成第一触发信号并发送给用户网关设备。
在本申请的另一实施例中,公开了另一种SD-WAN业务流量安全处置引流方法。该方法在上述实施例的基础上,S110和S120之间还包括步骤:
S170,SD-WAN控制器接收服务器发送的第一触发信号,并将上述第一触发信号发送至用户网关设备。上述第一触发信号用于触发用户网关设备将用户设备IP地址的预设字段基于预设标识位进行处理。
该实施例中,步骤S120包括:
上述用户网关设备接收SD-WAN控制器发送的第一触发信号。
需要说明的是,本申请中公开的上述所有实施例可以进行自由组合,组合后得到的技术方案也在本申请的保护范围之内。
图3为本发明另一实施例公开的一种SD-WAN业务流量安全处置引流方法的时序图。如图3所示,该实施例中,上述方法包括:
S201,服务器的工单系统向SD-WAN控制器发送第一通知消息。该第一通知消息用于告知SD-WAN控制器需要进行安全处置的用户设备,比如用户Ua-1的流量需要进行流量清洗等安全处置。
S202,SD-WAN控制器根据第一通知消息,生成第一触发信号并发送给用户网关设备。
S203,用户网关设备接收用户设备发送的多个数据包。
S204,用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,对所有数据包分别进行封装。
S205,本地局端设备对上述封装包进行解封装。
S206,本地局端设备将数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器的安全处置系统。
S207,安全处置系统对第一数据包进行安全处置。
S208,安全处置系统将安全处置后的第一数据包返回给本地局端设备。
S209,本地局端设备对所有的数据包进行封装。
S210,本地局端设备将封装后的数据包发送至目标局端设备。
本发明一实施例还公开了一种SD-WAN业务流量安全处置引流设备,上述安全处置设备设置为,接收对封装包解封装后得到的数据包中IP地址预设字段为预设标识位的第一数据包,并对上述第一数据包进行安全处置,将安全处置后的第一数据包返回。
如图4所示,本发明一实施例还公开了一种SD-WAN业务流量安全处置引流系统,上述系统包括用户设备、用户网关设备405、本地局端设备406、SD-WAN控制器408和上述实施例公开的安全处置设备409。每一个用户设备对应一个用户网关设备405。
SD-WAN控制器408设置为,接收服务器的工单系统发送的第一通知消息。该第一通知消息用于告知SD-WAN控制器需要进行安全处置的用户设备,比如用户设备401的流量需要进行流量清洗等安全处置。并根据第一通知消息,生成第一触发信号并发送给用户网关设备。该第一触发信号用于触发用户网关设备对特定的用户设备(比如用户设备401)IP地址的预设字段基于预设标识位进行处理。
上述用户网关设备405设置为,接收用户设备发送的多个数据包,基于接收到的SD-WAN控制器408发送的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包。上述数据包中包含有与各个用户设备关联的IP地址。
上述本地局端设备406设置为,对上述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至安全处置设备,并接收安全处置设备409返回的安全处置后的第一数据包,然后基于与上述第一数据包匹配的封装标识,将安全处置后的第一数据包封装后发送至目标局端设备407。
参考图4,用户设备401的流量是需要进行安全处置的,所以用户网关设备405接收到用户设备401发送的数据包之后,封装发送至本地局端设备406。本地局端设备406解封装之后发送至安全处置设备409进行安全处置,并将安全处置后的第一数据包返回至本地局端设备406。本地局端设备406将数据包封装后根据目的IP地址发送至目标局端设备407。然后目标局端设备407经用户网关设备405发送至用户设备402,实现用户设备401和用户设备402之间的流量往来。
用户设备403的流量是不需要进行安全处置的,用户网关设备405接收到用户设备403发送的数据包之后,封装发送至本地局端设备406。本地局端设备406将封装包直接根据目的IP地址发送至目标局端设备407。目标局端设备407经用户网关设备405发送至用户设备404,实现用户设备403和用户设备404之间的流量往来。
如图5所示,本发明一实施例还公开了一种SD-WAN业务流量安全处置引流系统5,该系统包括:
数据包接收模块52,用户网关设备接收用户设备发送的多个数据包。所述数据包中包含有与各个用户设备关联的IP地址。
数据包处理与封装模块53,用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包。
第一数据包发送模块54,本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器。
第一数据包安全处置模块55,服务器对所述第一数据包进行安全处置。
第一数据包封装发送模块56,本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备。
可以理解的是,本发明的SD-WAN业务流量安全处置引流系统还包括其他支持SD-WAN业务流量安全处置引流系统运行的现有功能模块。图5显示的SD-WAN业务流量安全处置引流系统仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本实施例中的SD-WAN业务流量安全处置引流系统用于实现上述的SD-WAN业务流量安全处置的方法,因此对于SD-WAN业务流量安全处置引流系统的具体实施步骤可以参照上述对SD-WAN业务流量安全处置的方法的描述,此处不再赘述。
如图6所示,本发明另一实施例公开了一种SD-WAN业务流量安全处置引流系统6,该系统在上述实施例的基础上,还包括:
第一通知消息发送模块50,服务器向SD-WAN控制器发送第一通知消息。所述第一通知消息用于告知SD-WAN控制器需要进行安全处置的用户设备。
第一触发信号生成模块51,SD-WAN控制器根据第一通知消息,生成第一触发信号并发送给用户网关设备。以及
第二数据包封装模块57,本地局端设备将解封装后得到的数据包中IP地址预设字段不是预设标识位的第二数据包,进行封装并根据目的IP地址发送至目标局端设备。
本发明一实施例还公开了一种SD-WAN业务流量安全处置引流设备,包括处理器和存储器,其中存储器存储有所述处理器的可执行程序;处理器配置为经由执行可执行程序来执行上述SD-WAN业务流量安全处置引流方法中的步骤。图7是本发明公开的SD-WAN业务流量安全处置引流设备的结构示意图。下面参照图7来描述根据本发明的这种实施方式的电子设备600。图7显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述SD-WAN业务流量安全处置引流方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明还公开了一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述SD-WAN业务流量安全处置引流方法中的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述SD-WAN业务流量安全处置引流方法中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,实现SD-WAN用户本地局域网流量的安全处置,也即由运营商侧提供针对相同私网IP但归属于不同用户的流量安全处置服务,用户无需在局域网内部署流量清洗等安全处置系统,保证正常业务的高质量传输以及客户远端局域网内业务安全运行,同时,降低客户自组网实施安全处置的成本。
图8是本发明的计算机可读存储介质的结构示意图。参考图8所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例提供的SD-WAN业务流量安全处置引流方法、设备、系统以及介质实现SD-WAN用户本地局域网流量的安全处置,也即由运营商侧提供针对相同私网IP但归属于不同用户的流量安全处置服务,用户无需在局域网内部署流量清洗等安全处置系统,保证正常业务的高质量传输以及客户远端局域网内业务安全运行,同时,降低客户自组网实施安全处置的成本。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种SD-WAN业务流量安全处置引流方法,其特征在于,包括步骤:
用户网关设备接收用户设备发送的多个数据包,所述多个数据包中待安全处置的第一数据包包含有与各个用户设备关联的IP地址;
用户网关设备基于接收到的第一触发信号,对关联所述第一触发信号的第一数据包中对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包;
本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器;
服务器对所述第一数据包进行安全处置;
本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备。
2.如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述方法还包括步骤:
本地局端设备将解封装后得到的数据包中IP地址预设字段不是预设标识位的第二数据包,进行封装并根据目的IP地址发送至目标局端设备。
3.如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述对所有数据包基于各自的封装标识分别进行封装,包括:
用户网关设备的进向局域网接口对所有数据包基于虚拟路由转发VRF和各自的封装标识进行封装,得到第一封装包;
用户网关设备的出向广域网接口对所述第一封装包基于IPSec协议再次封装,得到第二封装包。
4.如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,在所述用户网关设备基于接收到的第一触发信号之前,所述方法还包括:
SD-WAN控制器接收服务器发送的第一触发信号,并将所述第一触发信号发送至用户网关设备;所述第一触发信号用于触发用户网关设备将用户设备IP地址的预设字段基于预设标识位进行处理;
所述用户网关设备接收SD-WAN控制器发送的第一触发信号。
5.如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述用户网关设备基于接收到的第一触发信号,对关联的数据包对应的IP地址预设字段基于预设标识位进行处理,包括:
所述用户网关设备基于接收到的第一触发信号,将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换,以及将所述可选字段的其余位基于第二预设标识位进行替换。
6.如权利要求5所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换,以及将所述可选字段的其余位基于第二预设标识位进行替换,包括:
将关联的数据包对应的IP地址包头的可选字段首位设置为1,将所述可选字段的第二位至最后一位设置为所述用户网关设备的串号。
7.如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器,包括:
所述本地局端设备记录解封装得到的数据包中IP地址预设字段为预设标识位的第一数据包和封装标识的映射关系,并将所述第一数据包发送至服务器;
所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备,包括:
本地局端设备依据所述映射关系,确定与安全处置后的第一数据包匹配的目标封装标识,并依据所述目标封装标识对第一数据包封装后发送至目标局端设备。
8.如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备,包括:
所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识,以及虚拟路由转发VRF进行封装后,基于IPSec协议再次封装,根据目的IP地址通过IPsec VPN隧道发送至目标局端设备。
9.一种SD-WAN业务流量安全处置引流系统,其特征在于,包括用户设备、用户网关设备、本地局端设备、SD-WAN控制器和安全处置设备;
所述用户网关设备设置为,接收用户设备发送的多个数据包,所述多个数据包中待安全处置的第一数据包包含有与各个用户设备关联的IP地址;基于接收到的SD-WAN控制器发送的第一触发信号,对关联所述第一触发信号的第一数据包中对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包;所述数据包中包含有与各个用户设备关联的IP地址;
所述本地局端设备设置为,对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至安全处置设备,并接收安全处置设备返回的安全处置后的第一数据包,然后基于与所述第一数据包匹配的封装标识,将安全处置后的第一数据包封装后发送至目标局端设备;
所述安全处置设备设置为,接收对封装包解封装后得到的数据包中IP地址预设字段为预设标识位的第一数据包,并对所述第一数据包进行安全处置,将安全处置后的第一数据包返回。
10.一种SD-WAN业务流量安全处置引流设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行权利要求1至8中任意一项所述SD-WAN业务流量安全处置引流方法的步骤。
11.一种SD-WAN业务流量安全处置引流系统,用于实现如权利要求1所述的SD-WAN业务流量安全处置引流方法,其特征在于,所述系统包括:
数据包接收模块,用户网关设备接收用户设备发送的多个数据包,所述多个数据包中待安全处置的第一数据包包含有与各个用户设备关联的IP地址;数据包处理与封装模块,用户网关设备基于接收到的第一触发信号,对关联所述第一触发信号的第一数据包中对应的IP地址预设字段基于预设标识位进行处理,得到更新后的第一数据包;并对所有数据包基于各自的封装标识分别进行封装,得到各自对应的封装包;
第一数据包发送模块,本地局端设备对所述封装包进行解封装,将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器;
第一数据包安全处置模块,服务器对所述第一数据包进行安全处置;
第一数据包封装发送模块,本地局端设备基于与安全处置后的第一数据包匹配的封装标识,将第一数据包封装后发送至目标局端设备。
12.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至8中任意一项所述SD-WAN业务流量安全处置引流方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111271633.2A CN113904866B (zh) | 2021-10-29 | 2021-10-29 | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111271633.2A CN113904866B (zh) | 2021-10-29 | 2021-10-29 | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113904866A CN113904866A (zh) | 2022-01-07 |
| CN113904866B true CN113904866B (zh) | 2024-02-09 |
Family
ID=79026915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111271633.2A Active CN113904866B (zh) | 2021-10-29 | 2021-10-29 | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904866B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124836B (zh) * | 2022-01-25 | 2022-11-25 | 北京天维信通科技有限公司 | 基于uCPE内置清洗软件的流量清洗系统和清洗方法 |
| CN116318839A (zh) * | 2023-02-07 | 2023-06-23 | 东莞市鸣鹿信息科技有限公司 | 基于dpi技术的sd-wan流量识别方法、系统、设备 |
| CN116055217A (zh) * | 2023-03-06 | 2023-05-02 | 广州启宁信息科技有限公司 | 基于sd-wan组网安全管理方法、系统、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868346A (zh) * | 2018-08-27 | 2020-03-06 | 中国电信股份有限公司 | 增值服务提供方法和系统、用户终端和用户侧网关 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
| CN112217771A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 基于租户信息的数据转发方法及数据转发装置 |
| WO2021077811A1 (zh) * | 2019-10-24 | 2021-04-29 | 华为技术有限公司 | 分布式拒绝服务ddos攻击的防护方法、装置及系统 |
| CN112787959A (zh) * | 2020-12-03 | 2021-05-11 | 观脉科技(北京)有限公司 | 一种流量调度方法和系统 |
| CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
| CN113472817A (zh) * | 2021-09-03 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种大规模IPSec的网关接入方法、装置及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282340B (zh) * | 2008-05-09 | 2010-09-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法及处理装置 |
-
2021
- 2021-10-29 CN CN202111271633.2A patent/CN113904866B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868346A (zh) * | 2018-08-27 | 2020-03-06 | 中国电信股份有限公司 | 增值服务提供方法和系统、用户终端和用户侧网关 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
| CN112217771A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 基于租户信息的数据转发方法及数据转发装置 |
| WO2021077811A1 (zh) * | 2019-10-24 | 2021-04-29 | 华为技术有限公司 | 分布式拒绝服务ddos攻击的防护方法、装置及系统 |
| CN112787959A (zh) * | 2020-12-03 | 2021-05-11 | 观脉科技(北京)有限公司 | 一种流量调度方法和系统 |
| CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
| CN113472817A (zh) * | 2021-09-03 | 2021-10-01 | 杭州网银互联科技股份有限公司 | 一种大规模IPSec的网关接入方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113904866A (zh) | 2022-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113904866B (zh) | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 | |
| US9602307B2 (en) | Tagging virtual overlay packets in a virtual networking system | |
| EP2385660B1 (en) | Method and system for offloading tunnel packet processing in cloud computing | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| US8856518B2 (en) | Secure and efficient offloading of network policies to network interface cards | |
| EP1771979B1 (en) | A method and systems for securing remote access to private networks | |
| US6920503B1 (en) | Tunnel interworking | |
| EP2760174A1 (en) | Virtual private cloud access authentication method and related apparatus | |
| CN105430059A (zh) | 智能客户端路由 | |
| CN102739534A (zh) | 使用移动路由器来保持抗移动性ip隧道的方法、装置和系统 | |
| EP4033702A1 (en) | Service providing method and system, and remote acceleration gateway | |
| US10516652B1 (en) | Security association management | |
| US11411771B1 (en) | Networking in provider network substrate extensions | |
| CN114095587A (zh) | 一种客户端、报文发送、接收方法、设备及存储介质 | |
| JP3491828B2 (ja) | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム | |
| CN102447626A (zh) | 具有策略驱动路由的主干网 | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| JP5345651B2 (ja) | セキュアトンネリングプラットフォームシステム及び方法 | |
| JP6718739B2 (ja) | 通信装置および通信方法 | |
| CN113890824A (zh) | 网络加速方法、装置、网关设备及计算机可读存储介质 | |
| US20080115202A1 (en) | Method for bidirectional communication in a firewalled environment | |
| CN117040946B (zh) | 一种安全防护策略的确定方法及装置 | |
| RU2797264C1 (ru) | Способ и система туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения | |
| CN113904867B (zh) | 用于vxlan二层组网的流量处理方法及系统 | |
| US20230388275A1 (en) | Method and a system of tunneling traffic in a distributed network for detecting malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |