CN114448667B - 一种数据传输方法、装置及设备 - Google Patents
一种数据传输方法、装置及设备 Download PDFInfo
- Publication number
- CN114448667B CN114448667B CN202111590503.5A CN202111590503A CN114448667B CN 114448667 B CN114448667 B CN 114448667B CN 202111590503 A CN202111590503 A CN 202111590503A CN 114448667 B CN114448667 B CN 114448667B
- Authority
- CN
- China
- Prior art keywords
- address
- router
- virtual machine
- data packet
- cloud resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据传输方法、装置及设备,用于实现相同网段的私网之间的加密互通。该方法为:第一装置在接收来自第一虚拟机的第一数据包之后,对第一数据包进行源地址转换和目的地址转换。然后,第一装置可根据转换后的源地址和目的地址,向第二虚拟机发送第一数据包。其中,第一虚拟机和第二虚拟机位于不同的云资源池中,第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信,且第一虚拟机的网段和第二虚拟机的网段相同。通过该方法,可实现相同网段的私网之间的加密互通。
Description
技术领域
本申请涉及信息技术领域,尤其涉及一种数据传输方法、装置及设备。
背景技术
目前,企业入云、云上办公已是一种流行趋势。企业可以租借云上的虚拟机(virtual machine,VM),从而实现云上办公。
位于不同云资源池(也可称为云网络或资源池)中的虚拟机可能需要进行加密通信。例如,企业1租借了位于云资源池A中的虚拟机VM1。随着业务的发展,企业1需要租借新的虚拟机,因此租借了位于云资源池B中的虚拟机VM2。此时,企业1很可能需要在VM1和VM2之间进行通信。
不同云资源池之间的连接可采用以下两种方式之一:
方式一:不同云资源池之间通过运营商专线连接。但是,专线连接的费用很昂贵,不适用于中小客户。
方式二:不同云资源池之间通过互联网安全协议(internet protocol security,IPsec)虚拟专用网络(virtual private network,VPN)连接。与方式一相比,方式二的费用较为低廉;因此,中小客户一般采用方式二来打通不同云资源池之间的连接。
采用方式二时,IPSec VPN可跨公网(可以是任意公共网络)打通VM1所在的私网和VM2所在的私网之间的连接。此时,要求要打通的私网网段不能重叠(即VM1所在的私网和VM所在的私网的网段不能重叠);这就需要对要打通的私网网段进行统一规划。但是,不同云资源池使用相同的私网网段是非常普遍的事情,已规划好的网络进行改造的代价太大。因此,需要提供一种方法,实现相同网段的私网之间的加密互通。
发明内容
本申请提供一种数据传输方法和装置及设备,用于实现相同网段的私网之间的加密互通。
第一方面,本申请实施例提供了一种数据传输方法。该方法可以适用于下文图1或图3所示的系统中。该方法可应用于以下场景:第一虚拟机和第二虚拟机位于不同的云资源池中,第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信,且第一虚拟机的网段和第二虚拟机的网段相同。该方法包括:
第一装置在接收到来自第一虚拟机的第一数据包之后,对第一数据包进行源地址转换和目的地址转换;然后,第一装置可根据转换后的源地址和目的地址,向第二虚拟机发送第一数据包。
在该方法中,当第一虚拟机和第二虚拟机位于不同的云资源池中,第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信,且第一虚拟机的网段和第二虚拟机的网段相同时,第一装置可以对来自第一虚拟机的第一数据包进行源地址转换和目的地址转换,使得第一数据包的源地址和目的地址的网段不同。这样,第一装置就可以将来自第一虚拟机的第一数据包成功发送给第二虚拟机,从而实现相同网段的私网之间的加密互通。
可选的,第一装置可以通过以下方式之一对第一数据包进行源地址转换和目的地址转换。
方式1:当第一装置与第一虚拟机位于同一个云资源池中时,第一装置中的第一路由器将第一数据包的源地址从第一虚拟机的地址转换为第一路由器的地址,并向第一装置中的第二路由器发送第一数据包。然后,第二路由器将第一数据包的源地址从第一路由器的地址转换为第二路由器的地址,将第一数据包的目的地址从与第二虚拟机对应的第一逻辑地址转换为第二虚拟机的地址。
通过该方式,当第一装置与第一虚拟机位于同一个云资源池中时,即当第一装置位于数据包发送方所在的云资源池中时,第一装置可以对来自第一虚拟机的第一数据包进行源地址转换和目的地址转换,使得第一数据包的源地址和目的地址的网段不同,从而实现相同网段的私网之间的加密互通。
方式2:当第一装置与第二虚拟机位于同一个云资源池中时,第一装置中的第二路由器将第一数据包的源地址从第一虚拟机的地址转换为与第一虚拟机对应的第二逻辑地址,将第一数据包的目的地址从第二路由器的地址转换为第一装置中的第一路由器的地址;然后,第二路由器向第一路由器发送第一数据包;第一路由器将第一数据包的源地址从第二逻辑地址转换为第一路由器的地址,将第一数据包的目的地址从第一路由器的地址转换为第二虚拟机的地址。
通过该方式,当第一装置与第二虚拟机位于同一个云资源池中时,即当第一装置位于数据包接收方所在的云资源池中时,第一装置可以对来自第一虚拟机的第一数据包进行源地址转换和目的地址转换,使得第一数据包的源地址和目的地址的网段不同,从而实现相同网段的私网之间的加密互通。
可选的,上述第二路由器的地址为第一装置的私网地址,即IPSec本端私网地址。
可选的,上述任一路由器为南北(north&south,NS)路由器。
第二方面,本申请实施例提供了一种数据传输装置,包括用于执行以上任一方面中各个步骤的单元。
第三方面,本申请实施例提供了一种数据传输设备,包括至少一个处理元件和至少一个存储元件,其中该至少一个存储元件用于存储程序和数据,该至少一个处理元件用于读取并执行存储元件存储的程序和数据,以使得本申请以上任一方面提供的方法被实现。
上述第二方面至第三方面中任一方面可以达到的技术效果可以参照上述第一方面中任一种可能设计可以达到的技术效果说明,重复之处不予论述。
附图说明
图1为本申请实施例提供的一种系统的架构图;
图2为本申请实施例提供的一种数据传输方法的流程图;
图3为本申请实施例提供的另一种系统的架构图;
图4为本申请实施例提供的一种数据传输装置的结构图;
图5为本申请实施例提供的一种数据传输设备的结构图。
具体实施方式
本申请提供一种数据传输方法、装置及设备,用以实现相同网段的私网之间的加密互通。其中,方法、装置和设备是基于同一技术构思的,由于解决问题的原理相似,因此装置、设备与方法的实施可以相互参见,重复之处不再赘述。
通过本申请实施例提供的方案,第一装置在接收来自第一虚拟机的第一数据包之后,对第一数据包进行源地址转换和目的地址转换。然后,第一装置可根据转换后的源地址和目的地址,向第二虚拟机发送第一数据包。其中,第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信,且第一虚拟机的网段和第二虚拟机的网段相同。通过该方法,可实现相同网段的私网之间的加密互通。
下面结合附图,对本申请的实现过程进行说明。
图1是本申请实施例适用的系统的示意图。如图1所示,云资源池A可通过网络(也称为公网;例如,互联网(internet))与云资源池B连接。
云资源池A中包含至少一个虚拟机(例如,VM1,也可以称为租客VM1(tenant VM1))和VPN网关1。云资源池A中的虚拟机可通过VPN网关1与网络或其他云资源池通信。VM1的地址为私网地址;例如,VM1的IP地址可以为33.0.0.1。
云资源池B中包含至少一个虚拟机(例如,VM2,也可以称为租客VM2(tenant VM2))和VPN网关2。云资源池B中的虚拟机可通过VPN网关2与网络或其他云资源池通信。VM2的地址为私网地址;例如,VM2的IP地址可以为33.0.0.6。
下面结合附图对本申请提供的方案进行说明。
本申请实施例提供了一种通信方法,该方法可应用于图1所示的通信系统中。该方法可应用于以下场景:VM1和VM2位于不同的云资源池中,VM1与VM2之间通过IPsec VPN加密通道通信,且VM1的网段和VM2的网段相同。下面参阅图2所示的流程图,对该方法的流程进行具体说明。
S201:VM1向第一装置发送第一数据包。
当VM1需要向VM2发送第一数据包时,VM1将VM1的地址作为第一数据包的源地址,将与VM2对应的第一虚拟地址作为第一数据包的目的地址,并将该第一数据包发送给第一装置。
例如,VM1的地址为33.0.0.1,第一逻辑地址(例如,1.1.1.1)与VM2的地址33.0.0.6存在一一对应关系,这样,访问第一逻辑地址就相当于访问VM2的地址33.0.0.6。VM1将33.0.0.1作为第一数据包的源地址,将第一虚拟地址(例如,1.1.1.1)作为第一数据包的目的地址。VM1可以将源地址33.0.0.1和目的地址1.1.1.1包含在第一数据包之后,向第一装置发送第一数据包。
其中,VM2与第一虚拟地址的对应关系可以是预先存储在VM1中的,也可以是VM1从其他设备获取的,例如,从网络管理设备获取。
第一装置可位于云资源池A中,也可以位于云资源池B中。
S202:第一装置对第一数据包进行源地址转换(source network addresstranslation,SNAT)和目的地址转换(destination network address translation,DNAT)。
可选的,第一装置可以通过以下方式之一对第一数据包进行源地址转换和目的地址转换。
方式1:当第一装置与VM1位于同一个云资源池中时,S202可包括:
步骤A1:第一装置中的第一路由器将第一数据包的源地址从VM1的地址转换为第一路由器的地址。
例如,第一路由器的地址为172.168.4.1。第一路由器可将源地址33.0.0.1转换为172.168.4.1。
可选的,第一路由器为NS路由器。
步骤A2:第一路由器向第一装置中的第二路由器发送第一数据包。
例如,第一路由器可将源地址172.168.4.1和目的地址1.1.1.1包含在第一数据包之后,向第二路由器发送第一数据包。
可选的,第二路由器为NS路由器。
步骤A3:第二路由器将第一数据包的源地址从第一路由器的地址转换为第二路由器的地址,将第一数据包的目的地址从与VM2对应的第一逻辑地址转换为第二虚拟机的地址。
可选的,第二路由器的地址为第一装置的私网地址,即IPSec本端私网地址。
例如,IPSec本端私网地址为172.168.3.1。第二路由器可将源地址172.168.4.1转换为172.168.3.1;将目的地址从第一逻辑地址1.1.1.1转换为VM2的地址33.0.0.6。
其中,第二路由器中可预先存储有第一逻辑地址和VM2的地址之间的对应关系,也可以从其他设备获取该对应关系。
可选的,第一装置可根据第一数据包的目的地址确定是否通过方式1执行S202。例如,若第一数据包的目的地址为预定的逻辑地址(例如,第一逻辑地址),则第一装置可通过方式1执行S202。
方式2:当第一装置与VM2位于同一个云资源池中时,S202可包括:
步骤B1:第一装置中的第二路由器将第一数据包的源地址从VM1的地址转换为与VM1对应的第二逻辑地址,将第一数据包的目的地址从第二路由器的地址转换为第一装置中的第一路由器的地址。
可选的,第二路由器的地址为第一装置的私网地址,即IPSec本端私网地址。
例如,VM1的地址为33.0.0.1,第二逻辑地址(例如,2.2.2.2)与VM1的地址存在一一对应的关系,第二路由器接收的第一数据包的源地址为VM1的地址33.0.0.1。第二路由器将第一数据包的源地址从33.0.0.1转换为第二逻辑地址(例如,2.2.2.2)。其中,第二路由器中可预先存储有第二逻辑地址和VM1的地址之间的对应关系,也可以从其他设备获取该对应关系。
又例如,IPSec本端私网地址为172.168.3.1,第一路由器的地址为172.168.4.1,第二路由器接收的第一数据包的目的地址为172.168.3.1。第二路由器将第一数据包的目的地址从172.168.3.1转换为172.168.4.1。
可选的,第一路由器和/或第二路由器为NS路由器。
步骤B2:第二路由器向第一路由器发送第一数据包。
例如,第二路由器可将源地址2.2.2.2和目的地址172.168.4.1包含在第一数据包之后,向第二路由器发送第一数据包。
步骤B3:第一路由器将第一数据包的源地址从第二逻辑地址转换为第一路由器的地址,将第一数据包的目的地址从第一路由器的地址转换为VM2的地址。
例如,第一路由器将第一数据包的源地址从2.2.2.2转换为172.168.4.1,将第一数据包的目的地址从172.168.4.1转换为VM2的地址(例如,33.0.0.6)。
可选的,第一装置可根据第一数据包的来源确定是否通过方式2执行S202。例如,当第一装置从与所述第一装置连接的VPN接收第一数据包时,第一装置可确定通过方式2执行S202。
S203:第一装置根据转换后的源地址和目的地址,向VM2发送第一数据包。
对于上述方式1,第二路由器可根据转换后的源地址和目的地址,向VM2发送第一数据包。
对于上述方式2,第一路由器可根据转换后的源地址和目的地址,向VM2发送第一数据包。
通过该方法,当VM1和VM2位于不同的云资源池中,VM1与VM2之间通过IPsec VPN加密通道通信,且VM1的网段和VM2的网段相同时,第一装置可以对来自第一虚拟机的第一数据包进行源地址转换和目的地址转换,使得第一数据包的源地址和目的地址的网段不同。这样,第一装置就可以将来自VM1的第一数据包成功发送给VM2,从而可实现私网重叠网络利用IPSec VPN安全通信,即实现相同网段的私网之间的加密互通,并且,该方法具有简单易行的优点。
下面以第一装置与VM1位于同一个云资源池为例,对图2所示的方法进行具体说明。在本实施例中,第一装置为包含两个路由器的网络地址转换模块。下面参阅图3,对本实施例进行具体说明。
图3示出了本实施例适用的系统。如图3所示,该系统包括:云资源池A、网络和云资源池B。云资源池A可通过网络与云资源池B进行通信。
云资源池A包含:VM1、网络地址转换模块和VPN网关1。其中,网络地址转换模块可包含:NS1和NS2。其中,NS1可与VM1连接,NS2可与VPN网关1连接。
可选的,云资源池A中的私网网段为33.0.0.0/24,VM1的地址可以为33.0.0.1。网络地址转换模块内部的网段为172.168.4.0/24,NS1的地址可以为172.168.4.1,NS2的地址可以为172.168.4.2。网络地址转换模块的IPSec本端私网的网段为172.168.3.0/24,网络地址转换模块的IPSec本端私网地址为172.168.3.1。
云资源池B包含:VM2和VPN网关2。可选的,云资源池B中的私网网段为33.0.0.0/24,VM2的地址可以为33.0.0.6。
在图3所示的系统中,VM1可通过网络地址转换模块、VPN网关1、网络和VPN网关2与VM2进行通信。
另外,该系统还可包含业务快速下发模块。业务快速下发模块用于借鉴软件定义广域网(software defined wide area network,SD-WAN)的思想,实现业务规则的快速下发与管理。该业务快速下发模块可与网络地址转换模块连接,用于向网络地址转换模块发送业务规则或管理网络地址转换模块中的业务规则。例如,业务快速下发模块可向网络地址转换模块发送以下信息至少一项:图2所示方法中VM2的地址与第一虚拟地址之间的对应关系、VM1的地址与第一虚拟地址之间的对应关系、转换规则(下面将对转换规则进行描述)。
本实施例适用的场景为:同一租户在云资源池A和云资源池B都有计算资源。具体的,同一租户租用了云资源池A中的VM1和云资源池中属于同网段的VM2。此时,如果要在VM1和VM2之间建立IP sec VPN加密通道通信,网络地址转换模块根据如下转换规则至少一项执行相应的操作。
转换规则1:
当VM1向VM2发送数据包时(即当流量方向为从VM1到VM2时),转换规则包括:
C1:规划第一逻辑地址(例如,1.1.1.1)与VM2的地址33.0.0.6之间的一一对应关系。这样,访问该逻辑地址1.1.1.1就相当于访问VM2的地址33.0.0.6。
其中,该对应关系可以是网络地址转换模块自己规定的,也可以是从其他设备(例如,业务快速下发模块)获取的。
C2:在NS1上进行源地址转换。例如,在NS1上将数据包的源地址从VM1源地址33.0.0.1转换为NS1的地址172.168.4.1。
C3:在NS2上进行目的地址转换。例如,在NS2上将数据包的目的地址从1.1.1.1修改为VM2的地址33.0.0.6。
C4:在NS2上进行SNAT。例如,在NS2上将数据包的源地址从172.168.4.1修改为IPSec本端私网地址172.168.3.1。
转换规则2:
当VM2向VM1发送数据包时(即当流量方向为从VM2到VM1时),转换规则包括:
D1:正常情况下,来自VM2的数据包只能到达NS2的地址172.168.3.1。因此,需要规划另一个逻辑地址(例如,2.2.2.2)与VM2的地址33.0.0.6之间的一一对应关系,以便实现数据包到达VM1地址的转换。
D2:在NS2上进行DNAT。例如,在NS2上将数据包的目的地址从172.168.3.1修改为172.168.4.1。
D3:在NS2上进行SNAT。例如,在NS2上将数据包的源地址从VM2的地址33.0.0.6修改为逻辑地址2.2.2.2。
D4:在NS1上进行DNAT。例如,在NS1上将D2中转换的目的地址172.168.4.1修改为VM1的地址33.0.0.1。
D5:在NS1上进行SNAT。例如,在NS1上将D3中转换的源地址2.2.2.2修改为172.168.4.1。
本实施例对现有IPSec VPN规则进行了拓展,通过网络地址转换实现了当云租户网络重叠网段时利用IPSec VPN加密隧道实现跨公网安全通信。并且,本实施例为云租户网络跨资源池互通以及客户网络与云网络互通提供了一种新的思路,当遇到重叠网络时,不必对现有网络进行复杂的改造,具有实现简单的优点。通过本实施例,可实现云租户重叠网络跨资源池IPSec互通、客户本地网络与云网络重叠网段IPSec互通以及其他重叠网络跨公网IPSec互通,也就是说,可以实现重叠网络利用IPSec隧道跨公网互通。
上述主要从装置交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,为了实现上述功能,网元可以包括执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请的实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对数据传输装置进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
在采用集成的单元的情况下,图4示出了本申请实施例中所涉及的装置的可能的示例性框图。如图4所示,装置400可以包括:处理单元402和通信单元401。处理单元402用于对装置400的动作进行控制管理。通信单元401用于支持装置400与其他设备的通信。可选地,通信单元401也称为收发单元,可以包括接收单元和/或发送单元,分别用于执行接收和发送操作。装置400还可以包括存储单元401,用于存储装置400的程序代码和/或数据。
该装置400可以为上述实施例中的第一装置。处理单元402可以支持装置400执行上文中各方法示例(比如图2)中服务器的动作,或者,处理单元402可以支持装置400执行上文中各方法示例(比如图3)中网络地址转换模块的动作,通信单元401可以支持装置400与其它设备之间的通信。
比如,在一个实施例中,处理单元402用于:通过通信单元401接收来自第一虚拟机的第一数据包;对第一数据包进行源地址转换和目的地址转换;根据转换后的源地址和目的地址,通过通信单元401向第二虚拟机发送第一数据包。其中,第一虚拟机和第二虚拟机位于不同的云资源池中,第一虚拟机与第二虚拟机之间通过互联网安全协议IPsec虚拟专用网络VPN加密通道通信,且第一虚拟机的网段和第二虚拟机的网段相同。
可选的,当所述装置与所述第一虚拟机位于同一个云资源池中时,所述处理单元402用于:
通过所述装置中的第一路由器将所述第一数据包的源地址从所述第一虚拟机的地址转换为所述第一路由器的地址;
通过所述第一路由器向所述装置中的第二路由器发送所述第一数据包;
通过所述第二路由器将所述第一数据包的源地址从所述第一路由器的地址转换为所述第二路由器的地址,将所述第一数据包的目的地址从与所述第二虚拟机对应的第一逻辑地址转换为所述第二虚拟机的地址。
可选的,当所述装置与所述第二虚拟机位于同一个云资源池中时,所述处理单元402用于:
通过所述装置中的第二路由器将所述第一数据包的源地址从所述第一虚拟机的地址转换为与所述第一虚拟机对应的第二逻辑地址,将所述第一数据包的目的地址从所述第二路由器的地址转换为所述装置中的第一路由器的地址;
通过所述第二路由器向所述第一路由器发送所述第一数据包;
通过所述第一路由器将所述第一数据包的源地址从所述第二逻辑地址转换为所述第一路由器的地址,将所述第一数据包的目的地址从所述第一路由器的地址转换为所述第二虚拟机的地址。
可选的,所述第二路由器的地址为所述装置的私网地址。
可选的,任一路由器为南北NS路由器。
应理解以上装置中单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且装置中的单元可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分单元以软件通过处理元件调用的形式实现,部分单元以硬件的形式实现。例如,各个单元可以为单独设立的处理元件,也可以集成在装置的某一个芯片中实现,此外,也可以以程序的形式存储于存储器中,由装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件又可以成为处理器,可以是一种具有信号的处理能力的集成电路。在实现过程中,上述方法的各操作或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。
在一个例子中,以上任一装置中的单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specific integratedcircuit,ASIC),或,一个或多个微处理器(digital singnal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA),或这些集成电路形式中至少两种的组合。再如,当装置中的单元可以通过处理元件调度程序的形式实现时,该处理元件可以是处理器,比如通用中央处理器(central processing unit,CPU),或其它可以调用程序的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
以上用于接收的单元是一种该装置的接口电路,用于从其它装置接收信号。例如,当该装置以芯片的方式实现时,该接收单元是该芯片用于从其它芯片或装置接收信号的接口电路。以上用于发送的单元是一种该装置的接口电路,用于向其它装置发送信号。例如,当该装置以芯片的方式实现时,该发送单元是该芯片用于向其它芯片或装置发送信号的接口电路。
参考图5,为本申请实施例提供的一种数据传输设备的结构示意图。数据传输设备500可以为以上实施例中的第一装置,用于实现以上实施例中第一装置的功能。
如图5所示,设备500可包括通信模块501、处理器502以及存储器503。其中,所述通信模块501、所述处理器502以及所述存储器503之间相互连接可选的,所述通信模块501、所述处理器502以及所述存储器503之间通过总线504相互连接。所述总线504可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述通信模块501,用于接收和发送数据,实现与其他设备之间的通信交互。例如,所述通信模块501可以通过物理接口、通信模块、通信接口、输入输出接口实现。
所述处理器502可用于支持所述通信设备500执行上述方法实施例中的处理动作。当所述通信设备500用于实现上述方法实施例时,处理器502还可用于实现上述处理单元402的功能。
图5所示的设备500能够实现上述方法实施例中涉及设备500的各个过程。图5所示的装置500中的各个模块的操作和/或功能,分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详述描述。
本申请实施例中的术语“系统”和“网络”可被互换使用。“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A、同时存在A和B、单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如“A,B和C中的至少一个”包括A,B,C,AB,AC,BC或ABC。以及,除非有特别说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (6)
1.一种数据传输方法,其特征在于,所述方法包括:
第一装置接收来自第一虚拟机的第一数据包;
所述第一装置对所述第一数据包进行源地址转换和目的地址转换;
所述第一装置根据转换后的源地址和目的地址,向第二虚拟机发送所述第一数据包;
其中,所述第一虚拟机和所述第二虚拟机位于不同的云资源池中,所述第一虚拟机与所述第二虚拟机之间通过互联网安全协议IPsec虚拟专用网络VPN加密通道通信,且所述第一虚拟机的网段和所述第二虚拟机的网段相同;
其中,当所述第一装置与所述第一虚拟机位于同一个云资源池中时,所述第一装置对所述第一数据包进行源地址转换和目的地址转换,包括:所述第一装置中的第一路由器将所述第一数据包的源地址从所述第一虚拟机的地址转换为所述第一路由器的地址;所述第一路由器向所述第一装置中的第二路由器发送所述第一数据包;所述第二路由器将所述第一数据包的源地址从所述第一路由器的地址转换为所述第二路由器的地址,将所述第一数据包的目的地址从与所述第二虚拟机对应的第一逻辑地址转换为所述第二虚拟机的地址;和/或,
当所述第一装置与所述第二虚拟机位于同一个云资源池中时,所述第一装置对所述第一数据包进行源地址转换和目的地址转换,包括:所述第一装置中的第二路由器将所述第一数据包的源地址从所述第一虚拟机的地址转换为与所述第一虚拟机对应的第二逻辑地址,将所述第一数据包的目的地址从所述第二路由器的地址转换为所述第一装置中的第一路由器的地址;所述第二路由器向所述第一路由器发送所述第一数据包;所述第一路由器将所述第一数据包的源地址从所述第二逻辑地址转换为所述第一路由器的地址,将所述第一数据包的目的地址从所述第一路由器的地址转换为所述第二虚拟机的地址。
2.如权利要求1所述的方法,其特征在于,所述第二路由器的地址为所述第一装置的私网地址。
3.如权利要求1或2所述的方法,其特征在于,任一路由器为南北NS路由器。
4.一种数据传输装置,其特征在于,所述装置包括:
通信单元,用于接收和/或发送信息;
处理单元,用于:
通过所述通信单元接收来自第一虚拟机的第一数据包;
对所述第一数据包进行源地址转换和目的地址转换;
根据转换后的源地址和目的地址,通过所述通信单元向第二虚拟机发送所述第一数据包;
其中,所述第一虚拟机和所述第二虚拟机位于不同的云资源池中,所述第一虚拟机与所述第二虚拟机之间通过互联网安全协议IPsec虚拟专用网络VPN加密通道通信,且所述第一虚拟机的网段和所述第二虚拟机的网段相同;
其中,当所述装置与所述第一虚拟机位于同一个云资源池中时,所述处理单元用于:通过所述装置中的第一路由器将所述第一数据包的源地址从所述第一虚拟机的地址转换为所述第一路由器的地址;通过所述第一路由器向所述装置中的第二路由器发送所述第一数据包;通过所述第二路由器将所述第一数据包的源地址从所述第一路由器的地址转换为所述第二路由器的地址,将所述第一数据包的目的地址从与所述第二虚拟机对应的第一逻辑地址转换为所述第二虚拟机的地址;和/或,
当所述装置与所述第二虚拟机位于同一个云资源池中时,所述处理单元用于:通过所述装置中的第二路由器将所述第一数据包的源地址从所述第一虚拟机的地址转换为与所述第一虚拟机对应的第二逻辑地址,将所述第一数据包的目的地址从所述第二路由器的地址转换为所述装置中的第一路由器的地址;通过所述第二路由器向所述第一路由器发送所述第一数据包;通过所述第一路由器将所述第一数据包的源地址从所述第二逻辑地址转换为所述第一路由器的地址,将所述第一数据包的目的地址从所述第一路由器的地址转换为所述第二虚拟机的地址。
5.如权利要求4所述的装置,其特征在于,所述第二路由器的地址为所述装置的私网地址。
6.如权利要求4或5所述的装置,其特征在于,任一路由器为南北NS路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590503.5A CN114448667B (zh) | 2021-12-23 | 2021-12-23 | 一种数据传输方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590503.5A CN114448667B (zh) | 2021-12-23 | 2021-12-23 | 一种数据传输方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448667A CN114448667A (zh) | 2022-05-06 |
| CN114448667B true CN114448667B (zh) | 2023-08-08 |
Family
ID=81363432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111590503.5A Active CN114448667B (zh) | 2021-12-23 | 2021-12-23 | 一种数据传输方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448667B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286919A (zh) * | 2007-04-11 | 2008-10-15 | 杭州华三通信技术有限公司 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
| CN105391771A (zh) * | 2015-10-16 | 2016-03-09 | 张陵 | 一种面向多租户的云网络架构 |
| WO2017113231A1 (zh) * | 2015-12-30 | 2017-07-06 | 华为技术有限公司 | 一种报文传输的方法、装置和系统 |
| CN107809386A (zh) * | 2017-11-15 | 2018-03-16 | 锐捷网络股份有限公司 | Ip地址转换方法、路由设备和通信系统 |
| CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
| WO2019071464A1 (zh) * | 2017-10-11 | 2019-04-18 | 华为技术有限公司 | 数据中心系统中域名解析的方法、装置和系统 |
| CN111917893A (zh) * | 2019-05-10 | 2020-11-10 | 华为技术有限公司 | 虚拟私有云与云下数据中心通信、配置方法及相关装置 |
| CN112769794A (zh) * | 2020-12-30 | 2021-05-07 | 神州绿盟成都科技有限公司 | 一种数据转换方法及装置 |
| CN113132201A (zh) * | 2019-12-30 | 2021-07-16 | 华为技术有限公司 | 一种vpc之间的通信方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872542B (zh) * | 2016-09-27 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 一种数据传输的方法及网络设备 |
| US11277282B2 (en) * | 2020-01-19 | 2022-03-15 | Cisco Technology, Inc. | Micro and macro segmentation in enterprise networks without a per segment layer-3 domain |
-
2021
- 2021-12-23 CN CN202111590503.5A patent/CN114448667B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286919A (zh) * | 2007-04-11 | 2008-10-15 | 杭州华三通信技术有限公司 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
| CN105391771A (zh) * | 2015-10-16 | 2016-03-09 | 张陵 | 一种面向多租户的云网络架构 |
| WO2017113231A1 (zh) * | 2015-12-30 | 2017-07-06 | 华为技术有限公司 | 一种报文传输的方法、装置和系统 |
| CN108293022A (zh) * | 2015-12-30 | 2018-07-17 | 华为技术有限公司 | 一种报文传输的方法、装置和系统 |
| WO2019071464A1 (zh) * | 2017-10-11 | 2019-04-18 | 华为技术有限公司 | 数据中心系统中域名解析的方法、装置和系统 |
| CN107809386A (zh) * | 2017-11-15 | 2018-03-16 | 锐捷网络股份有限公司 | Ip地址转换方法、路由设备和通信系统 |
| CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
| CN111917893A (zh) * | 2019-05-10 | 2020-11-10 | 华为技术有限公司 | 虚拟私有云与云下数据中心通信、配置方法及相关装置 |
| CN113132201A (zh) * | 2019-12-30 | 2021-07-16 | 华为技术有限公司 | 一种vpc之间的通信方法及装置 |
| CN112769794A (zh) * | 2020-12-30 | 2021-05-07 | 神州绿盟成都科技有限公司 | 一种数据转换方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 综合组网实验的设计与实现;边胜琴; 王建萍; 张力军; 王洪泊; 崔晓龙;《实验科学与技术》;第第18卷卷(第第3期期);11-17页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448667A (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| WO2021135345A1 (zh) | 虚拟私有云通信及配置方法以及相关装置 | |
| US9584546B2 (en) | Providing services to virtual overlay network traffic | |
| US10164866B2 (en) | Virtual extensible LAN intercommunication mechanism for multicast in networking | |
| WO2021136311A1 (zh) | 一种vpc之间的通信方法及装置 | |
| US9276843B2 (en) | Virtual link aggregation extension (vLAG+) enabled in a trill-based fabric network | |
| US10038665B2 (en) | Reducing broadcast flooding in a software defined network of a cloud | |
| US9860214B2 (en) | Interconnecting external networks with overlay networks in a shared computing environment | |
| WO2017173952A1 (zh) | 一种实现虚拟机统一管理及互通的方法、装置和系统 | |
| EP3096490B1 (en) | Method for realizing network virtualization and related device and communication system | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| CN103379010A (zh) | 一种虚拟网络实现方法及系统 | |
| WO2019040720A1 (en) | ACCESS TO END POINTS IN LOGIC NETWORKS AND NATIVE NETWORKS OF PUBLIC CLOUD SERVICE PROVIDERS USING ONLY ONE NETWORK INTERFACE AND ONE ROUTING TABLE | |
| US10419365B2 (en) | Service insertion in basic virtual network environment | |
| US9590855B2 (en) | Configuration of transparent interconnection of lots of links (TRILL) protocol enabled device ports in edge virtual bridging (EVB) networks | |
| US11962495B2 (en) | Data transmission method and system | |
| WO2014079335A1 (zh) | Ip报文处理方法、装置及网络系统 | |
| US9794172B2 (en) | Edge network virtualization | |
| CN114301868A (zh) | 快速生成虚拟容器浮动ip的方法及网络直通的方法和装置 | |
| CN114448667B (zh) | 一种数据传输方法、装置及设备 | |
| US10122626B2 (en) | Self-managed overlay networks | |
| Zhang et al. | A Novel Software Defined Networking Framework for Cloud Environments | |
| US20230013269A1 (en) | Orchestration of tenant overlay network constructs | |
| CN117527556A (zh) | 多云平台间数据互通的方法、装置、电子设备及介质 | |
| WO2023015311A1 (en) | Multiplexing tenant tunnels in software-as-a-service deployments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |