CN114374582B - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN114374582B CN114374582B CN202111582677.7A CN202111582677A CN114374582B CN 114374582 B CN114374582 B CN 114374582B CN 202111582677 A CN202111582677 A CN 202111582677A CN 114374582 B CN114374582 B CN 114374582B
- Authority
- CN
- China
- Prior art keywords
- interface
- virtual interface
- tunnel virtual
- address
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004891 communication Methods 0.000 title claims abstract description 35
- 230000005540 biological transmission Effects 0.000 claims description 15
- 101100042631 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SIN3 gene Proteins 0.000 description 18
- 230000006855 networking Effects 0.000 description 16
- 238000005538 encapsulation Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种通信方法及装置,该方法包括:在本地创建至少一个第一隧道虚接口;通过SSL连接,接收第二网络设备发送的第一注册报文;根据第二系统IP地址以及至少一个第二隧道虚接口的TTE标识,生成到达第二系统IP地址的多条等价路由;基于等价路由,与第二网络设备建立BGP连接,该BGP连接的源端为第一loopback接口,所述目的端为第二loopback接口,出接口为至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
软件定义广域网(英文:Software Defined Wide Area Network,简称:SDWAN),是将SDN技术应用至广域网场景中,进而形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。
随着企业环境的不断演化,移动和物联网通信、SaaS应用和云应用越来越多。一方面,安全性需求日益增加,高可用性和可扩展性变得更加重要;另一方面,随着前述变化的发展、网络部署复杂、运营成本高也成为了很多企业用户亟待解决的问题。在最近几年,SDWAN组网方案逐渐演进,正致力于应对上述挑战。
SDWAN高度集成了路由、安全、集中式策略以及适应大规模的网络架构,具有多租户承载、云交付、高自动化、安全、丰富的分析感知能力等特征。
如图1所示,图1为现有技术提供的SDWAN组网示意图。在SDWAN组网中,RR(英文:Route Reflector)为路由反射器,CPE(英文:Customer Provided Edge)为用户网络的边缘设备。RR与CPE之间建立边界网关协议(英文:Border Gateway Protocol,简称:BGP)邻居,并通过BGP协议建立控制通道,该控制通道用于传递控制数据。
为了提供安全服务,RR与CPE建立的BGP连接需进行安全保护,即BGP over UDPover IPsec。具体过程为:在RR与CPE上分别创建隧道虚接口。RR与CPE协商创建互联网安全协议(英文:Internet Protocol Security,简称:IPsec)保护的用户数据包协议(英文:User Datagram Protocol,简称:UDP)隧道,UDP隧道的端点IP地址为RR、CPE各自隧道虚接口所映射的物理接口的IP地址。通常,RR、CPE各自隧道虚接口的IP地址处于同一个子网,双方通过网际互连协议(英文:Internet Protocol,简称:IP)地址通信,一跳可达。RR、CPE基于隧道虚接口的IP地址建立BGP连接,由于双方的IP地址均属于同一个子网,BGP连接使用直连路由即可完成通信。
在图1中,标识为1的通道是安全套接字层(英文:Secure Sockets Layer,简称:SSL)连接,标识为2的通道是由IPsec保护的UPD隧道,标识为3的通道是建立的BGP连接,标识为4的通道为数据通道。标识的顺序即为各通道建立的顺序
在SDWAN组网中,若RR与CPE同时处于多个物理网络的场景,则RR、CPE将会创建多个隧道虚接口,以使得每个隧道虚接口与一个物理网络匹配。由于BGP连接使用隧道虚接口的IP地址进行通信,如此,为了适应多个物理网络,RR与CPE上每个隧道虚接口分别建立BGP连接,这将导致RR与CPE之间BGP连接的数量随着接入网络的数量和隧道虚接口的数量而增多,增加设备资源的消耗。
发明内容
有鉴于此,本申请提供了一种通信方法及装置,用以解决现有RR与CPE之间BGP连接的数量随着接入网络的数量和隧道虚接口的数量而增多,增加设备资源的消耗的问题。
第一方面,本申请提供了一种通信方法,所述方法应用于第一网络设备,所述第一网络设备已与第二网络设备建立SSL连接,所述第一网络设备已创建第一loopback接口,并在所述第一loopback接口处配置第一系统IP地址,所述方法包括:
在本地创建至少一个第一隧道虚接口;
通过所述SSL连接,接收所述第二网络设备发送的第一注册报文,所述第一注册报文包括所述第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识;
根据所述第二系统IP地址以及所述至少一个第二隧道虚接口的TTE标识,生成到达所述第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,所述出接口为一个第一隧道虚接口的标识,所述下一跳为与所述第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识;
基于等价路由,与所述第二网络设备建立BGP连接,所述BGP连接的源端为所述第一loopback接口,目的端为所述第二loopback接口,出接口为所述至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
第二方面,本申请提供了一种通信装置,所述装置应用于第一网络设备,所述第一网络设备已与第二网络设备建立SSL连接,所述第一网络设备已创建第一loopback接口,并在所述第一loopback接口处配置第一系统IP地址,所述装置包括:
创建单元,在本地创建至少一个第一隧道虚接口;
接收单元,用于通过所述SSL连接,接收所述第二网络设备发送的第一注册报文,所述第一注册报文包括所述第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识;
生成单元,用于根据所述第二系统IP地址以及所述至少一个第二隧道虚接口的TTE标识,生成到达所述第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,所述出接口为一个第一隧道虚接口的标识,所述下一跳为与所述第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识;
建立单元,用于基于等价路由,与所述第二网络设备建立BGP连接,所述BGP连接的源端为所述第一loopback接口,目的端为所述第二loopback接口,出接口为所述至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的通信方法及装置,第一网络设备在本地创建至少一个第一隧道虚接口。通过SSL连接,第一网络设备接收第二网络设备发送的第一注册报文,该第一注册报文包括第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识。根据第二系统IP地址以及至少一个第二隧道虚接口的TTE标识,第一网络设备生成到达第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,该出接口为一个第一隧道虚接口的标识,该下一跳为与第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识。基于等价路由,第一网络设备与第二网络设备建立BGP连接,该BGP连接的源端为第一loopback接口,目的端为第二loopback接口,出接口为至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
如此,在SDWAN组网中,RR与CPE通过各自的系统IP地址建立BGP连接。无论RR与CPE当前连接了多少个传输网,其仅需建立一条BGP连接作为控制通道,减少了组网内BGP连接数量,同时也减少了对网络设备资源的消耗。
附图说明
图1为现有技术提供的SDWAN组网示意图;
图2为本申请实施例提供的通信方法的流程图;
图3为本申请实施例提供的应用通信方法的组网示意图;
图4为本申请实施例提供的通信装置结构图;
图5为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的通信方法进行详细地说明。参见图2,图2为本申请实施例提供的通信方法的流程图。该方法应用于第一网络设备。本申请实施例提供的通信方法可包括如下所示步骤。
步骤210、在本地创建至少一个第一隧道虚接口。
具体地,在SDWAN组网中,包括第一网络设备以及第二网络设备。其中,第一网络设备可具体为CPE,其数量可为多个;第二网络设备可具体为RR,其数量可为一个。
第一网络设备与第二网络设备分别在本地创建一个回环(loopback)接口,并在loopback接口处配置系统(systerm)IP地址。在本申请实施例中,每个网络设备仅有一个系统IP地址。第一网络设备在本地创建第一loopback接口,并在第一loopback接口接口处配置第一系统IP地址。第二网络设备在本地创建第二loopback接口,并在第二loopback接口接口处配置第二系统IP地址。
第一网络设备在本地创建至少一个第一隧道虚接口,每个第一隧道虚接口与一个物理接口绑定,且该第一隧道虚接口对应一个传输网,该隧道虚接口的IP地址为与隧道虚接口绑定的物理接口的IP地址。
同理,第二网络设备在本地创建至少一个第二隧道虚接口,每个第二隧道虚接口与一个物理接口绑定,且该第二隧道虚接口对应一个传输网,该隧道虚接口的IP地址为与隧道虚接口绑定的物理接口的IP地址。
步骤220、通过所述SSL连接,接收所述第二网络设备发送的第一注册报文,所述第一注册报文包括所述第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识。
具体地,根据步骤210的描述,第一网络设备在本地创建第一隧道虚接口之后,第一网络设备进行上线操作。
第一网络设备上线后,第一网络设备与第二网络设备之间建立SSL连接,该SSL连接用于第一网络设备、第二网络设备后续相互交互系统IP地址以及隧道虚接口的传输隧道端点(英文:Transport Tunnel Endpoint,简称:TTE)TTE标识。该SSL连接由安全传输层协议(英文:Transport Layer Security,简称:TLS)协议提供安全保护。
可以理解的是,网络设备用于建立SSL连接的接口为本地除loopback接口之外的其他普通物理接口。
进一步地,第二网络设备生成第一注册报文,该第一注册报文包括第二网络设备内第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识。
第二网络设备通过SSL连接,向第一网络设备发送第一注册报文。第一网络设备接收第一注册报文。
同理,第一网络设备也生成第二注册报文,该第二注册报文包括第一系统IP地址以及至少一个第一隧道虚接口的TTE标识。
第一网络设备通过SSL连接,向第二网络设备发送第二注册报文。第二网络设备接收第二注册报文。
需要说明的是,注册报文还包括TTE属性,该TTE属性可具体包括站点名称或标识(英文:Identity,简称:ID)、传输网名称或ID、IPsec算法、IPsec秘钥、IPsecSPI、私有IP地址、共有IP地址等等。
步骤230、根据所述第二系统IP地址以及所述至少一个第二隧道虚接口的TTE标识,生成到达所述第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,所述出接口为一个第一隧道虚接口的标识,所述下一跳为与所述第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识。
具体地,根据步骤220的描述,第一网络设备接收到第一注册报文后,从中获取第二系统IP地址以及至少一个第二隧道虚接口的TTE标识。
根据第二系统IP地址以及至少一个第二隧道虚接口的TTE标识,第一网络设备生成本地第一系统IP地址到达第二系统IP地址的多条等价路由。
其中,每条等价路由包括目的地址、出接口以及下一跳,目的地址为第二系统IP地址、出接口为本地一个第一隧道虚接口的标识,下一跳为与第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识。
进一步地,第一网络设备根据TTE属性可确定每个第二隧道虚接口所在的站点、对应绑定的传输网以及在传输协议报文过程所采用的加密方式、进行NAT转换的方式等内容。同时,根据TTE属性也可确定与对应传输网绑定的本地第一隧道虚接口。
同理,第二网络设备接收到第二注册报文后,从中获取第一系统IP地址以及至少一个第一隧道虚接口的TTE标识。
根据第一系统IP地址以及至少一个第一隧道虚接口的TTE标识,第二网络设备生成本地第二系统IP地址到达第一系统IP地址的多条等价路由。
其中,每条等价路由包括目的地址、出接口以及下一跳,目的地址为第一系统IP地址、出接口为本地一个第二隧道虚接口的标识,下一跳为与第二隧道虚接口建立隧道的一个第一隧道虚接口的TTE标识。
步骤240、基于所述第一路由,与所述第二网络设备建立BGP连接,所述BGP连接的源端为所述第一loopback接口,所述目的端为所述第二loopback接口,出接口为所述至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
具体地,根据步骤230的描述,第一网络设备基于生成的等价路由,与第二网络设备建立TCP连接,并在该TCP连接的基础上建立设备之间的BGP连接。该BGP连接的源端为第一loopback接口,即源地址为第一系统IP地址;目的端为第二loopback接口,即目的地址为第二系统IP地址;出接口为至少一个隧道虚接口中的一个第一隧道虚接口的标识。
在通过BGP连接相互传递协议报文时,在隧道虚接口上进行封装处理:在原始数据部分外进行SDWAN封装、UPD封装以及IP封装。如需对报文进行安全保护,则在隧道虚接口上进行IPsec封装。
因此,通过应用本申请提供的通信方法及装置,第一网络设备在本地创建至少一个第一隧道虚接口。通过SSL连接,第一网络设备接收第二网络设备发送的第一注册报文,该第一注册报文包括第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识。根据第二系统IP地址以及至少一个第二隧道虚接口的TTE标识,第一网络设备生成到达第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,该出接口为一个第一隧道虚接口的标识,该下一跳为与第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识。基于等价路由,第一网络设备与第二网络设备建立BGP连接,该BGP连接的源端为第一loopback接口,目的端为第二loopback接口,出接口为至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
如此,在SDWAN组网中,RR与CPE通过各自的系统IP地址建立BGP连接。无论RR与CPE当前连接了多少个传输网,其仅需建立一条BGP连接作为控制通道,减少了组网内BGP连接数量,同时也减少了对网络设备资源的消耗。
可选地,在本申请实施例中,第一网络设备内创建的每个第一隧道虚接口对应一个传输网,当传输网故障且BGP连接的出接口为故障传输网对应的第一隧道虚接口的标识时,第一网络设备从至少一个第一隧道虚接口中,选择非故障传输网对应的第一隧道接口作为BGP连接的出接口,以保证通信可靠。
下面通过一个具体示例详细说明本申请实施例提供的通信方法。以图3所示的组网为例进行说明。图3为本申请实施例提供的应用通信方法的SDWAN组网示意图。
在SDWAN组网中,以三台网络设备为例进行说明,分别为RR、CPE1以及CPE2。
CPE与RR分别在本地创建一个loopback接口,并在loopback接口出配置系统IP地址。在本申请实施例中,CPE1创建第一loopback接口,并在第一loopback接口处配置系统IP地址(Sys-ip-1);CPE2创建第二loopback接口,并在第二loopback接口处配置系统IP地址(Sys-ip-2);RR创建第三loopback接口,并在第三loopback接口处配置系统IP地址(Sys-ip-RR)。
CPE与RR分别在本地创建至少一个隧道虚接口,每个隧道虚接口对应一个传输网,且每个隧道虚拟口与一个物理接口绑定,该隧道虚接口的IP地址为与隧道虚接口绑定的物理接口的IP地址。在本申请实施例中,CPE1创建第一隧道虚接口(TUN-1-1)以及第二隧道虚接口(TUN-1-2);CPE2创建第三隧道虚接口(TUN-2-1)以及第四隧道虚接口(TUN-2-2);RR创建第五隧道虚接口(TUN-rr-1)以及第六隧道虚接口(TUN-rr-2)。
其中,TUN-1-1、TUN-2-1以及TUN-rr-1对应TN-1传输网;TUN-1-2、TUN-2-2以及TUN-rr-2对应TN-2传输网。属于同一传输网的隧道虚接口可相互建立隧道。例如,TUN-rr-1可分别与TUN-1-1、TUN-2-1建立两条隧道;TUN-rr-2可分别与TUN-1-2、TUN-2-2建立两条隧道。
CPE上线后,以CPE1为例进行说明。CPE1上线后,CPE1与RR建立SSL连接,如图中虚线所示。该SSL连接用于CPE1、RR后续相互交互系统IP地址以及隧道虚接口的TTE标识。该SSL连接由TLS协议提供安全保护。
可以理解的是,CPE1、RR用于建立SSL连接的接口为本地除loopback接口之外的其他普通物理接口。
CPE1向RR发起注册过程,在注册过程中,CPE1、RR交互系统IP地址以及隧道虚接口的TTE标识。
RR生成第一注册报文,该第一注册报文包括RR内第三loopback接口配置的系统IP地址(Sys-ip-RR)以及创建的多个隧道虚接口的TTE标识。
RR通过SSL连接,向CPE1发送第一注册报文。CPE1接收第一注册报文。
同理,CPE1也生成第二注册报文,该第二注册报文包括CP1内第一loopback接口配置的系统IP地址(Sys-ip-1)以及创建的多个隧道虚接口的TTE标识。
CPE1通过SSL连接,向RR发送第二注册报文。RR接收第二注册报文。
CP1接收到第一注册报文后,在本地注入到达RR系统IP地址的路由,并形成多条等价路由。如下表1所示。
表1CP1内路由表
| 目的地址 | 出接口 | 下一跳TTE标识 |
| Sys-ip-RR | TUN-1-1 | TTE-rr-1 |
| Sys-ip-RR | TUN-1-2 | TTE-rr-2 |
同理,RR接收到第二注册报文后,在本地注入到达CPE1系统IP地址的路由,并形成多条等价。如下表2所示。
| 目的地址 | 出接口 | 下一跳TTE标识 |
| Sys-ip-1 | TUN-rr-1 | TTE-1-1 |
| Sys-ip-1 | TUN-rr-2 | TTE-1-2 |
CPE1与RR通过相互注入路由,打通系统IP地址间的通路,CPE1与RR通过系统IP地址相互通信。
CPE1基于生成的等价路由,与RR建立TCP连接,并在该TCP连接的基础上建立设备之间的BGP连接。该BGP连接的源端为第一loopback接口,即源地址为Sys-ip-1;目的端为第二loopback接口,即目的地址为Sys-ip-RR;出接口为至一个隧道虚接口的标识。
在通过BGP连接相互传递协议报文时,在隧道虚接口上进行封装处理:在原始数据部分外进行SDWAN封装、UPD封装以及IP封装。如需对报文进行安全保护,则在隧道虚接口上进行IPsec封装。
基于同一发明构思,本申请实施例还提供了与通信方法对应的通信装置。参见图4,图4为本申请实施例提供的通信装置结构图。所述装置应用于第一网络设备,所述第一网络设备已与第二网络设备建立SSL连接,所述第一网络设备已创建第一loopback接口,并在所述第一loopback接口处配置第一系统IP地址,所述装置包括:
创建单元410,在本地创建至少一个第一隧道虚接口;
接收单元420,用于通过所述SSL连接,接收所述第二网络设备发送的第一注册报文,所述第一注册报文包括所述第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识;
生成单元430,用于根据所述第二系统IP地址以及所述至少一个第二隧道虚接口的TTE标识,生成到达所述第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,所述出接口为一个第一隧道虚接口的标识,所述下一跳为与所述第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识;
建立单元440,用于基于等价路由,与所述第二网络设备建立BGP连接,所述BGP连接的源端为所述第一loopback接口,目的端为所述第二loopback接口,出接口为所述至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
可选地,所述装置还包括:
发送单元(图中未示出),用于通过所述SSL连接,向所述第二网络设备发送第二注册报文,所述第二注册报文包括所述第一系统IP地址以及所述至少一个第一隧道虚接口的TTE标识,以使得所述第二网络设备根据第一系统IP地址以及所述第一隧道虚接口的TTE标识,生成到达所述第一系统IP地址的多条等价路由。
可选地,每个第一隧道虚接口对应一个传输网,所述装置还包括:
选择单元(图中未示出),用于当所述传输网故障且所述BGP连接的出接口为故障传输网对应的第一隧道虚接口的标识时,从所述至少一个第一隧道虚接口中,选择非故障传输网对应的第一隧道接口作为所述BGP连接的出接口。
可选地,每个隧道虚接口与一个物理接口绑定,所述隧道虚接口的IP地址为与所述隧道虚接口绑定的物理接口的IP地址。
可选地,所述SSL连接由TLS协议提供安全保护,所述BGP连接由IPsec提供安全保护。
因此,通过应用本申请提供的通信装置,第一网络设备在本地创建至少一个第一隧道虚接口。通过SSL连接,第一网络设备接收第二网络设备发送的第一注册报文,该第一注册报文包括第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识。根据第二系统IP地址以及至少一个第二隧道虚接口的TTE标识,第一网络设备生成到达第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,该出接口为一个第一隧道虚接口的标识,该下一跳为与第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识。基于等价路由,第一网络设备与第二网络设备建立BGP连接,该BGP连接的源端为第一loopback接口,目的端为第二loopback接口,出接口为至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
如此,在SDWAN组网中,RR与CPE通过各自的系统IP地址建立BGP连接。无论RR与CPE当前连接了多少个传输网,其仅需建立一条BGP连接作为控制通道,减少了组网内BGP连接数量,同时也减少了对网络设备资源的消耗。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图5所示,包括处理器510、收发器520和机器可读存储介质530,机器可读存储介质530存储有能够被处理器510执行的机器可执行指令,处理器510被机器可执行指令促使执行本申请实施例所提供的通信方法。前述图4所示的通信装置,可采用如图5所示的网络设备硬件结构实现。
上述计算机可读存储介质530可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质530还可以是至少一个位于远离前述处理器510的存储装置。
上述处理器510可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器510通过读取机器可读存储介质530中存储的机器可执行指令,被机器可执行指令促使能够实现处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
另外,本申请实施例提供了一种机器可读存储介质530,机器可读存储介质530存储有机器可执行指令,在被处理器510调用和执行时,机器可执行指令促使处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于通信装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述第一网络设备已与第二网络设备建立SSL连接,所述第一网络设备已创建第一loopback接口,并在所述第一loopback接口处配置第一系统IP地址,所述方法包括:
在本地创建至少一个第一隧道虚接口;
通过所述SSL连接,接收所述第二网络设备发送的第一注册报文,所述第一注册报文包括所述第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识;
根据所述第二系统IP地址以及所述至少一个第二隧道虚接口的TTE标识,生成到达所述第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,所述出接口为一个第一隧道虚接口的标识,所述下一跳为与所述第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识;
基于等价路由,与所述第二网络设备建立BGP连接,所述BGP连接的源端为所述第一loopback接口,目的端为所述第二loopback接口,出接口为所述至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述SSL连接,向所述第二网络设备发送第二注册报文,所述第二注册报文包括所述第一系统IP地址以及所述至少一个第一隧道虚接口的TTE标识,以使得所述第二网络设备根据第一系统IP地址以及所述第一隧道虚接口的TTE标识,生成到达所述第一系统IP地址的多条等价路由。
3.根据权利要求1所述的方法,其特征在于,每个第一隧道虚接口对应一个传输网,所述方法还包括:
当所述传输网故障且所述BGP连接的出接口为故障传输网对应的第一隧道虚接口的标识时,从所述至少一个第一隧道虚接口中,选择非故障传输网对应的第一隧道接口作为所述BGP连接的出接口。
4.根据权利要求1所述的方法,其特征在于,每个隧道虚接口与一个物理接口绑定,所述隧道虚接口的IP地址为与所述隧道虚接口绑定的物理接口的IP地址。
5.根据权利要求1所述的方法,其特征在于,所述SSL连接由TLS协议提供安全保护,所述BGP连接由IPsec提供安全保护。
6.一种通信装置,其特征在于,所述装置应用于第一网络设备,所述第一网络设备已与第二网络设备建立SSL连接,所述第一网络设备已创建第一loopback接口,并在所述第一loopback接口处配置第一系统IP地址,所述装置包括:
创建单元,在本地创建至少一个第一隧道虚接口;
接收单元,用于通过所述SSL连接,接收所述第二网络设备发送的第一注册报文,所述第一注册报文包括所述第二网络设备为第二loopback接口配置的第二系统IP地址以及至少一个第二隧道虚接口的TTE标识;
生成单元,用于根据所述第二系统IP地址以及所述至少一个第二隧道虚接口的TTE标识,生成到达所述第二系统IP地址的多条等价路由,每条等价路由包括出接口以及下一跳,所述出接口为一个第一隧道虚接口的标识,所述下一跳为与所述第一隧道虚接口建立隧道的一个第二隧道虚接口的TTE标识;
建立单元,用于基于等价路由,与所述第二网络设备建立BGP连接,所述BGP连接的源端为所述第一loopback接口,目的端为所述第二loopback接口,出接口为所述至少一个第一隧道虚接口中的一个第一隧道虚接口的标识。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
发送单元,用于通过所述SSL连接,向所述第二网络设备发送第二注册报文,所述第二注册报文包括所述第一系统IP地址以及所述至少一个第一隧道虚接口的TTE标识,以使得所述第二网络设备根据第一系统IP地址以及所述第一隧道虚接口的TTE标识,生成到达所述第一系统IP地址的多条等价路由。
8.根据权利要求6所述的装置,其特征在于,每个第一隧道虚接口对应一个传输网,所述装置还包括:
选择单元,用于当所述传输网故障且所述BGP连接的出接口为故障传输网对应的第一隧道虚接口的标识时,从所述至少一个第一隧道虚接口中,选择非故障传输网对应的第一隧道接口作为所述BGP连接的出接口。
9.根据权利要求6所述的装置,其特征在于,每个隧道虚接口与一个物理接口绑定,所述隧道虚接口的IP地址为与所述隧道虚接口绑定的物理接口的IP地址。
10.根据权利要求6所述的装置,其特征在于,所述SSL连接由TLS协议提供安全保护,所述BGP连接由IPsec提供安全保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111582677.7A CN114374582B (zh) | 2021-12-22 | 2021-12-22 | 通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111582677.7A CN114374582B (zh) | 2021-12-22 | 2021-12-22 | 通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114374582A CN114374582A (zh) | 2022-04-19 |
| CN114374582B true CN114374582B (zh) | 2024-04-12 |
Family
ID=81140597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111582677.7A Active CN114374582B (zh) | 2021-12-22 | 2021-12-22 | 通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114374582B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791457A (zh) * | 2016-02-26 | 2016-07-20 | 杭州华三通信技术有限公司 | 一种数据处理方法及装置 |
| WO2019105462A1 (zh) * | 2017-11-30 | 2019-06-06 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
| CN109861926A (zh) * | 2017-11-30 | 2019-06-07 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置、pe节点、节点 |
| CN113472913A (zh) * | 2021-06-25 | 2021-10-01 | 新华三信息安全技术有限公司 | 通信方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9825777B2 (en) * | 2015-06-23 | 2017-11-21 | Cisco Technology, Inc. | Virtual private network forwarding and nexthop to transport mapping scheme |
| US11128557B2 (en) * | 2019-11-13 | 2021-09-21 | Vmware, Inc. | Tunnel-based routing calculation in software- defined networking (SDN) environments |
-
2021
- 2021-12-22 CN CN202111582677.7A patent/CN114374582B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791457A (zh) * | 2016-02-26 | 2016-07-20 | 杭州华三通信技术有限公司 | 一种数据处理方法及装置 |
| WO2019105462A1 (zh) * | 2017-11-30 | 2019-06-06 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
| CN109861926A (zh) * | 2017-11-30 | 2019-06-07 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置、pe节点、节点 |
| CN113472913A (zh) * | 2021-06-25 | 2021-10-01 | 新华三信息安全技术有限公司 | 通信方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| Achieving sub-50 milliseconds recovery upon BGP peering;Oliver Bonaventure等;proceedings of 2005 ACM conference on emerging network and technology;20051024;全文 * |
| 基于安全GRE隧道的Site-to-Site VPN构建方案研究与实现;刘景林;;长春大学学报;20120830(08);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114374582A (zh) | 2022-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114402574A (zh) | 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 | |
| CN107800602B (zh) | 一种报文处理方法、设备及系统 | |
| CN111682996B (zh) | 网络中报文转发的方法、网络节点、网络系统 | |
| US9258272B1 (en) | Stateless deterministic network address translation | |
| CN103036784A (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| JP2021530912A (ja) | ネットワークスライス制御方法及び装置、コンピュータ読み取り可能な記憶媒体 | |
| CN103747499A (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| CN110290093A (zh) | Sd-wan网络架构及组网方法、报文转发方法 | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US20130163470A1 (en) | Traffic optimization over network link | |
| CN103685467A (zh) | 一种物联网互联互通平台及其通信方法 | |
| WO2021009554A1 (en) | Method and system for secured information exchange between intermediate and endpoint nodes in a communications network | |
| CN104135446A (zh) | 基于SDN实现IPv4向IPv6过渡的系统及方法 | |
| CN108141743B (zh) | 处置通信交换的方法、网络、装备、系统、介质和装置 | |
| CN102546407A (zh) | 报文发送方法及装置 | |
| CN102201996B (zh) | 网络地址转换环境中报文转发的方法及设备 | |
| JP2016531464A (ja) | 通信ネットワークにおけるセキュアサービス管理 | |
| CN113472913B (zh) | 通信方法及装置 | |
| CN113364660B (zh) | Lvs负载均衡中的数据包处理方法及装置 | |
| US10931624B2 (en) | Service dependent IP addresses | |
| CN113328937B (zh) | 分布式聚合的实现方法及装置 | |
| WO2019157476A1 (en) | Binding osi layer 3 ip connections to osi layer 2 for mesh networks | |
| CN101796769B (zh) | 用于改善控制服务器性能的因特网协议版本4上的因特网协议版本6转变方法和设备 | |
| CN114374582B (zh) | 通信方法及装置 | |
| EP3364624A1 (en) | A method of distributing a sub-flow associated with a session and a network apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |