CN115412400A - 用于在网络系统中传输数据的方法及网络系统 - Google Patents
用于在网络系统中传输数据的方法及网络系统 Download PDFInfo
- Publication number
- CN115412400A CN115412400A CN202210516188.XA CN202210516188A CN115412400A CN 115412400 A CN115412400 A CN 115412400A CN 202210516188 A CN202210516188 A CN 202210516188A CN 115412400 A CN115412400 A CN 115412400A
- Authority
- CN
- China
- Prior art keywords
- network
- network element
- message
- node
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于在网络系统(1)中传输数据的方法,包括以混杂模式(P)运行(S3)第四网络元件(20)的网络控制器(20a)并且在第一网络(10)和第二网络(14)之间创建(S4)IP隧道(22),第三网络元件(18)和第四网络元件(20)是通过接入元件(24)引导的IP隧道(22)的相应端点。此外,本发明还涉及一种网络系统。
Description
技术领域
本发明涉及一种用于在网络系统中传输数据的方法。此外,本发明涉及一种相应的网络系统。
背景技术
在不存在集群的情况下,传统的第一种用户网络节点-目标网络节点场景例如包括一个单一的用户网络节点、如台式电脑上的浏览器,其请求服务、如下载HTML页面,以及一个目标网络节点、如提供所请求的服务的Web服务器。
用户网络节点和目标网络节点运行或者说托管(hosten)相应的应用程序并通过以太网接口、如“eth0”与同一个网络连接。为了能够使用服务,用户网络节点必须知道服务地址,该服务地址包括目标网络节点的IP地址、如192.168.0.1和服务端口、如HTTP的80或HTTPS连接的443。
需要所述端口来识别在目标网络节点上运行的服务应用程序。为了能够接收来自目标网络节点的响应,用户网络节点具有自己的用户IP地址并在用户端口上监听。
服务提供者为此通常使用一个预定义的静态端口,因为这个端口必须为每个用户所知,以便启动连接。相反,用户端口可动态地创建,因为用户端口可以在用户第一次请求连接时被告知提供者。
云计算的基本思想是按需实例化成百上千个服务应用程序,这些应用程序分别封装在一个运行时环境、如容器或虚拟机中地运行。这种服务应用程序的一种常见示例是在预定义的端口上监听HTTP或HTTPS请求的Web服务器应用程序。
作为替代方案,例如目标网络节点可在第二种用户网络节点-目标网络节点场景的框架中在另一个(子)网络中运行。两个节点不再具有直接连接,即用户网络节点不能直接到达目标网络节点,反之亦然。这种结构的一种简单示例是集群,在集群的情况下,目标网络节点在集群内实例化,而用户网络节点在集群之外运行。
两个节点连接在不同的网络上,它们在下文中被称为内部和外部网络。存在一个接入节点,其可接入两个网络,即集群内和集群外网络。代替向目标IP和服务端口发送服务请求,初始连接请求由用户网络节点发送到接入节点的IP和接入端口并从那里再发送到集群节点或者说目标网络节点的IP和接入端口。
这样配置目标网络节点,使得目标网络节点在接入端口处向外部网络提供服务,即从外部网络的用户网络节点到接入端口的每个请求在内部网络的服务端口上被转发到内部网络中的目标网络节点。
在上述两种应用场景中,第一连接请求被定向到静态(已知)端口。在第一种应用场景中,可在后续的通信中使用其它动态分配的端口。为此,可由目标网络节点上的应用程序动态分配新端口,现有的初始通信路径可用于向用户网络节点表明新端口和相关服务的可用性。
但这在第二种应用场景中是不可能的。尽管可在目标网络节点中动态分配新端口,但无法从外部网络访问它们。端口启用,即端口转发通常需要静态配置。
该问题对于那些设计用于在集群中运行的服务应用程序而言并不相关。但如果现有应用程序使用动态端口,则在需要将该应用程序从第一种应用场景移植到第二种应用场景的情况下可能会导致巨大的成本。
如果必须从集群之外访问动态端口,则目前无法使用常用的容器编排软件、如Kubernetes来运行需要动态端口分配的应用程序。
发明内容
因此,本发明的任务是提供一种用于在网络系统中传输数据的方法以及相应的网络系统,它们使得在用户权限受限的集群环境中运行需要动态端口分配的应用程序成为可能。
根据本发明,所述任务通过具有权利要求1的特征的用于在网络系统中传输数据的方法来解决。根据本发明,所述任务还通过具有权利要求14的特征的用于在网络系统中传输数据的另一种方法来解决。
此外,所述任务根据本发明通过具有权利要求15的特征的网络系统来解决。根据本发明,所述任务还通过具有权利要求16的特征的另一网络系统来解决。
本发明涉及一种用于在网络系统中传输数据的方法。该方法包括提供与第一网络连接的第一网络元件、尤其是用户网络节点,和与第二网络、尤其是集群网络连接的第二网络元件、尤其是目标网络节点,所述第二网络元件不具有创建虚拟网络接口的用户权限。
该方法还包括提供与第一网络连接的实体或虚拟的第三网络元件和与第二网络连接的实体或虚拟的第四网络元件。
该方法还包括以混杂模式运行第四网络元件的网络控制器,并且在第一网络和第二网络之间创建IP隧道,第三网络元件和第四网络元件是通过接入元件引导的IP隧道的相应端点。
本发明还涉及另一种用于在网络系统中传输数据的方法,所述方法包括提供与第一网络连接的第一网络元件、尤其是用户网络节点,和与第二网络、尤其是集群网络连接的第二网络元件、尤其是目标网络节点,所述第二网络元件不具有创建虚拟网络接口的用户权限。
该方法还包括提供与第二网络连接的实体或虚拟的第三网络元件以及以混杂模式运行第三网络元件的网络控制器。
该方法还包括在第一网络和第二网络之间创建IP隧道,第一网络元件和第三网络元件是通过接入元件引导的IP隧道的相应端点。
本发明还涉及一种用于在第一网络元件和第二网络元件之间传输数据的网络系统,所述网络系统包括与第一网络连接的第一网络元件、尤其是用户网络节点。
该网络系统还包括与第二网络、尤其是集群网络连接的第二网络元件、尤其是目标网络节点,所述第二网络元件不具有创建虚拟网络接口的用户权限。
该网络系统还包括与第一网络连接的实体或虚拟的第三网络元件和与第二网络连接的实体或虚拟的第四网络元件,所述第四网络元件的网络控制器可以混杂模式运行,并且第三网络元件和第四网络元件是通过接入元件引导的IP隧道的相应端点。
本发明还涉及一种用于在第一网络元件和第二网络元件之间传输数据的网络系统,所述网络系统包括与第一网络连接的第一网络元件、尤其是用户网络节点。
该网络系统还包括与第二网络、尤其是集群网络连接的第二网络元件、尤其是目标网络节点,所述第二网络元件不具有创建虚拟网络接口的用户权限。
该网络系统还包括与第二网络连接的实体或虚拟的第三网络元件,所述第三网络元件的网络控制器可以混杂模式运行,并且在第一网络和第二网络之间创建IP隧道,第一网络元件和第三网络元件是通过接入元件引导的IP隧道的相应端点。
因此,本发明的思想是当用户节点和/或目标节点在不允许构建传统IP隧道的受限环境中运行时,创建用于以太网帧(Ethernet-Frames)的IP隧道。
由用户网络节点发送的并且确定用于目标网络节点的以太网帧必须在外部网络中被获取并注入内部网络,反之亦然。
因此,在本发明范围中,虚拟的以太网设备或网络元件被插入到内部和外部网络中,它们负责获取(Erfassen)、转发和插入相应的以太网数据包。
但这必须以受限的能力来进行,例如可供用于在集群中运行的节点。
本发明在上述第二种应用场景中增加了两个隧道端点,一个是隧道客户端节点,即第三网络元件,一个是隧道服务器节点,即第四网络元件。作为替代方案,隧道服务器节点和隧道客户端节点例如也可与本示例中所述相反地设置。
服务器节点放置在具有静态端口的内部网络中,该静态端口通过接入节点已知。在上行链路中,隧道客户端节点通过如下方式拦截外部网络的所有流量,即,隧道客户端节点使得其以太网设备或其虚拟网络接口/网络元件置于混杂模式中并嗅探传入的数据包。术语“嗅探(sniffen)”在此是指有针对性地过滤所有数据包,以获取具有希望地址的数据包。嗅探功能只有在以太网设备处于混杂模式时才能实现。
作为替代方案,外部网络的相应网络节点的以太网设备例如可以非混杂模式运行。在这种情况下,用户网络节点配备有另一网络设备、尤其是虚拟TAP网络接口。在外部网络中,用户网络节点具有创建虚拟网络接口的用户权限。
用户网络节点的确定用于目标网络节点的数据包被转发(通过接入节点)到隧道服务器节点。服务器节点也使用混杂模式以便将穿过隧道的以太网帧传输到内部网络,以使目标网络节点接收所述以太网帧。
隧道客户端节点不一定被限制在相同的受限权限内。如果客户端节点具有所需的能力,则它例如可使用现有的IP隧道实现。但出于兼容性原因,可能有意义的是,在两个隧道端点中使用相同的隧道(和IP堆栈)实现。
本发明的核心思想因此在于在受限环境中增加一个服务器节点并在该服务器节点的以太网控制器中使用混杂模式,以建立通往外部网络的IP隧道。
这在受限环境如集群中也是可能的,因为需要与创建传统IP隧道—其通常被提供用户空间应用程序—不同的能力来发送/接收没有IP协议的以太网帧、如ICMP帧、例如“ping”。
在基于Linux的系统中,这例如需要服务器节点中的NET_RAW能力。符合标准地,可在集群中使用此能力,因为所基于的Linux网络实用程序、如“ping”也需要此能力来生成ICMP帧。
在本发明中,利用这种能力来为集群中的内部网络创建一个用户空间隧道端点或IP隧道端点,在内部网络中拦截(从目标网络节点到用户网络节点的)以太网帧,将这些数据包转发到外部网络中的另一个隧道端点并且由所述另一个IP隧道端点接收(从用户网络节点到目标网络节点的)以太网帧并将这些帧馈入到内部网络/外部网络中。
隧道客户端节点可等效地实现。但如果隧道客户端节点不受相同的受限权限的约束,则它例如可使用现有的IP隧道实现。
本发明的实现需要在基于Linux的系统上服务器节点中的暂时NET_ADMIN能力,以便将其以太网设备置于混杂模式。
在集群中该能力必须在创建服务器节点时被添加到该服务器节点。由于仅在开始时需要该能力,相应的进程可在开始后再次删除该能力。
为了使IP通信正常工作,所有通信伙伴(节点)都必须知道另一个节点的IP和MAC(/硬件)地址。由于MAC地址最初是未知的,因此作为每次IP通信的第一步发送ARP广播请求。
为了使IP数据包在外部网络中通过网络交换机从用户网络节点路由到客户端节点,客户端节点必须应答用户网络节点的确定用于目标网络节点的ARP请求。等效地,服务器节点必须应答来自目标网络节点的确定用于用户网络节点的ARP请求。
根据内部网络中的路由策略,可能不允许服务器节点发送或转发来自用户网络节点的数据包,因为它们与分配给服务器节点的IP和MAC地址不匹配(IP欺骗)。
在这种情况下,服务器节点必须通过用其自己的地址替换原始以太网帧中的地址和校验和来隐藏用户网络节点的IP和MAC地址。
如果用户节点的IP被掩盖,即用户节点的数据包以服务器节点的IP和MAC地址被转发,则必须停用服务器节点的Linux内核中的IP堆栈(IP-Stack),因为它将应答每个接收到的IP数据包,即使该数据包确定用于用户节点。
这例如可通过开始后删除服务器节点中的IP地址来实现。如果服务器节点的以太网接口处于混杂模式,则隧道服务器应用程序可继续获取和发送原始以太网帧。
基于Linux的系统上的实现需要暂时NET_ADMIN能力来删除服务器节点IP地址。此能力仅在开始时被需要并且可在开始后被删除。
如果服务器节点的IP地址被删除,则这导致一个新的问题。由于本地内核IP堆栈不再处理接收到的数据包,因此在隧道应用程序中需要用户空间IP堆栈实现来生成和解析进出客户端节点的隧道数据包。
此外,隧道应用程序必须能够区分由客户端节点获取的帧(“隧道帧”)和由提供者节点/服务器节点获取的帧(“待穿过隧道的帧”)。这可简单地通过评估以太网报头中的源MAC地址来实现。
本发明因此提供了多个优点、如透明度,即该解决方案既不改变目标网络节点和/或用户网络节点的配置也不改变它们的实现,即不产生用于将服务应用程序移植到具有受制用户权限的集群设置中的花费。
此外,可选择标准集群配置,即无需例如通过为Kubernetes添加网络插件如multus-cni来改变集群配置或集群实现。
如果集群不是运行在自己的服务器上,而是使用第三方集群服务,则用户可能没有足够的权限来改变集群配置。
因此,根据本发明的解决方案可以用通常提供给集群中的节点的受限权限来实现。
在此,网络节点是与至少一个以太网(子)网络连接的实体。这例如可以是Docker容器、Kubernetes pod、虚拟机、实体PC或多个节点的组合。网络节点在连接的以太网(子)网络中具有一个唯一的IP。术语“网络节点”在此不与集群术语master节点/worker节点同义使用。
计算机集群或集群网络是一组松散或紧密相互连接的计算机,它们一起工作,使得它们在许多方面可被视为一个单一的系统。
集群由容器编排软件如Kubernetes管理,它负责容器提供、扩缩、动态资源分配(如计算能力、网络、存储器)、可靠性、负载平衡、数据流量导向和数据安全。
第二网络元件、尤其是集群网络通常没有创建虚拟网络接口的用户权限。原因在于,集群网络的服务提供者出于安全技术考虑通常只授予用户有限的用户权限,因为当这种集群网络被运行在例如云环境中时,大量用户共享存在的资源。
混杂模式是网络接口控制器的一种模式,该模式使控制器将其接收到的所有数据流量转发到中央处理单元(CPU),而不是仅转发控制器被专门编程用以接收的帧。
消息是一种通信包,即第一或内部比特流。网络元件在其中打包消息的信封是UDP包或外部比特流。第一或内部比特流于是被打包到信封中,即UDP数据包或外部比特流中。
IP隧道是两个网络之间的互联网协议的网络通信通道。IP隧道用于通过封装其数据包来传输另一网络协议。在IP隧道中,每个IP数据包(包括其源IP网络和目标IP网络的寻址信息)都被封装在另一对于过渡网络本地(nativ)的数据包格式中。
本发明的其它实施方式是其它从属权利要求和下述参照附图的说明的技术方案。
根据本发明的一种优选扩展方案规定,第一消息由第一网络元件发送到第一网络,所述第一消息被寻址到第二网络元件的IP地址和端口或另一个网络元件的IP地址和端口,其被另一个网络元件、尤其是第三网络元件和/或第四网络元件转换成第二网络元件的IP地址和端口。
根据本发明的另一种优选扩展方案规定,所述第三网络元件接收传入第一网络的第一消息的数据包,第三网络元件将第一消息打包到第一信封中,第三网络元件的网络控制器以混杂模式或以非混杂模式运行。
第三网络元件的网络控制器因此接收由用户网络节点创建的第一消息并将其打包到第一信封中。
根据本发明的另一种优选扩展方案规定,打包到第一信封中的第一消息被寻址到接入元件的第一隧道端口并且由第三网络元件发送到接入元件的第一隧道端口。接入元件以有利的方式使第一消息从第一网络传输到第二网络。
这样预配置所述接入元件的第一隧道端口,使得第一隧道端口将传入的消息自动地发送到实体或虚拟的第四网络元件、尤其是服务器网络节点。因此可以有利的方式实现与第四网络元件的有效通信。
根据本发明的另一种优选扩展方案规定,所述实体或虚拟的第四网络元件、尤其是服务器网络节点解包从接入元件接收并打包到第一信封中的第一消息,并且解包后的第一消息由第四网络元件使用混杂模式经由第二网络发送到第二网络元件、尤其是目标网络节点。因此,可使用IP隧道从用户网络节点经由第三网络元件和第四网络元件将第一消息发送到目标网络节点。
根据本发明的另一种优选扩展方案规定,由所述第二网络元件使用第二网络元件的动态分配的端口将第二消息发送到第二网络,所述第二消息在此被寻址到第一网络元件的IP地址和端口。
根据本发明的另一种优选扩展方案规定,所述第四网络元件使用第四网络元件的网络控制器的混杂模式接收、尤其是嗅探传入第二网络的第二消息的数据包,并且所述第四网络元件将第二消息打包到第二信封中。第四网络元件的网络控制器因此接收由目标网络节点创建的第二消息并将其打包到第二信封中。
根据本发明的另一种优选扩展方案规定,所述打包到第二信封中的第二消息被寻址到接入元件的第二隧道端口并且由第四网络元件发送到接入元件的第二隧道端口。
接入元件可以有利的方式使第二消息从第二网络传输到第一网络。
根据本发明的另一种优选扩展方案规定,所述接入元件的第二隧道端口被动态配置、尤其是在运行时在使用来自第一消息的信息的情况下被配置,使得第二隧道端口将传入的消息自动地发送到实体或虚拟的第三网络元件、尤其是客户端网络节点。因此可以有利的方式实现与第三网络元件的有效通信。
根据本发明的另一种优选扩展方案规定,所述实体或虚拟的第三网络元件、尤其是客户端网络节点解包从接入元件接收并打包到第二信封中的第二消息,并且解包后的第二消息由第三网络元件经由第一网络发送到第一网络元件、尤其是用户网络节点。
因此,可使用IP隧道从目标网络节点经由第四网络元件和第三网络元件将第二消息发送到用户网络节点。
根据本发明的另一种优选扩展方案规定,所述第一消息具有第一网络元件的发送方IP和MAC地址,第三网络元件或第四网络元件通过第四网络元件的IP和MAC地址替换第一网络元件的发送方IP和MAC地址。因此,第一消息可以有利的方式通过绕路第三或第四网络元件被寻址到目标网络节点。
根据本发明的另一种优选扩展方案规定,所述第二消息具有接收方IP和MAC地址、尤其是第四网络元件的IP和MAC地址,所述IP隧道的端点之一、尤其是第一网络元件、第三网络元件或第四网络元件通过第一网络元件的IP和MAC地址替换第二消息的接收方IP和MAC地址。因此,第二消息可以有利的方式通过绕路第三或第四网络元件被寻址到用户网络节点。
本文描述的用于在网络系统中传输数据的方法也可在根据本发明的网络系统上使用,反之亦然。
附图说明
为了更好地理解本发明及其优点,现结合附图参考以下说明。
在下文中,参照附图中的示意图所示的示例性实施方式详细阐述本发明。
附图如下:
图1示出根据本发明一种优选实施方式的用于在网络系统中传输数据的方法的流程图以及所基于的网络系统;
图2示出根据本发明另一种优选实施方式的用于在网络系统中传输数据的方法的流程图以及所基于的网络系统。
具体实施方式
图1所示的用于在网络系统1中传输数据的方法包括提供S1与第一网络10连接的第一网络元件12、尤其是用户网络节点,和与第二网络14、尤其是集群网络连接的第二网络元件16、尤其是目标网络节点。在此第二网络元件16不具有创建虚拟网络接口的用户权限。
该方法还包括提供S2与第一网络10连接的虚拟的第三网络元件18和与第二网络14连接的虚拟的第四网络元件20。作为替代方案,第三网络元件18和第四网络元件20例如可以实体地形成。
第一网络元件12通过第一网络控制器与第一网络10连接。第二网络元件16通过第二网络控制器与第二网络14连接。
此外,该方法包括以混杂模式P运行S3第四网络元件20的网络控制器20a以及在第一网络10和第二网络14之间创建S4 IP隧道22,第三网络元件18和第四网络元件20是通过接入元件24引导的IP隧道22的相应端点。
第一消息26首先由第一网络元件12发送到第一网络10。第一消息26被寻址到第二网络元件16的IP地址和端口。
作为替代方案,第一消息26例如可被寻址到另一个网络元件的IP地址和端口,其被另一个网络元件、尤其是第三网络元件18和/或第四网络元件20转换成第二网络元件16的IP地址和端口。
第三网络元件18接收传入第一网络10的第一消息26的数据包。此外,第三网络元件18将第一消息26打包到第一信封(Hülle)28中。第三网络元件18的网络控制器18a根据本实施方式以混杂模式P运行。作为替代方案,网络控制器例如可以非混杂模式运行。
打包到第一信封28中的第一消息26在此被寻址到接入元件24的第一隧道端口24a并且由第三网络元件18发送到接入元件24的第一隧道端口24a。
这样预配置接入元件24的第一隧道端口24a,使得第一隧道端口24a将传入的消息自动地发送到虚拟的第四网络元件20、尤其是服务器网络节点。
虚拟的第四网络元件20、尤其是服务器网络节点解包从接入元件24接收并打包到第一信封28中的第一消息26。解包后的第一消息26还由第四网络元件20使用混杂模式P经由第二网络14发送到第二网络元件16、尤其是目标网络节点。
由第二网络元件16使用第二网络元件16的动态分配的端口将第二消息30发送到第二网络14。所述第二消息30在此被寻址到第一网络元件12的IP地址和端口。
第四网络元件20使用第四网络元件20的网络控制器20a的混杂模式P接收、尤其是嗅探传入第二网络14的第二消息30的数据包。第四网络元件20还将第二消息30打包到第二信封32中。
打包到第二信封32中的第二消息30被寻址到接入元件24的第二隧道端口24b并且由第四网络元件20发送到接入元件24的第二隧道端口24b。
接入元件24的第二隧道端口24b被动态地配置、尤其是在运行时在使用来自第一消息26的信息的情况下被配置,使得第二隧道端口24b将传入的消息自动地发送到实体或虚拟的第三网络元件18、尤其是客户端网络节点。
虚拟的第三网络元件18、尤其是客户端网络节点解包从接入元件24接收并打包到第二信封32中的第二消息30。解包后的第二消息30在此由第三网络元件18经由第一网络10发送到第一网络元件12、尤其是用户网络节点。
第一消息26具有第一网络元件12的IP和MAC地址,第三网络元件18或第四网络元件20通过第四网络元件20的IP和MAC地址替换第一网络元件12的IP和MAC地址。第一网络元件的IP和MAC地址在此是发送方IP和MAC地址。
此外,第二消息30具有接收方IP和MAC地址、尤其是第四网络元件20。IP隧道22的端点之一、尤其是第一网络元件12、第三网络元件18或第四网络元件20在此通过第一网络元件12的IP和MAC地址替换第二消息30的接收方IP和MAC地址。
图1所示的用于在第一网络元件12和第二网络元件16之间传输数据的网络系统1包括与第一网络10连接的第一网络元件12、尤其是用户网络节点和与第二网络14、尤其是集群网络连接的第二网络元件、尤其是目标网络节点。
第二网络元件16在此不具有创建虚拟网络接口的用户权限。此外,网络系统1包括与第一网络10连接的虚拟的第三网络元件和与第二网络14连接的虚拟的第四网络元件。
作为替代方案,第三网络元件18和第四网络元件20例如可实体(physisch)地形成。第四网络元件20的网络控制器20a可以混杂P模式运行。此外,第三网络元件18和第四网络元件20是通过接入元件24引导的IP隧道22的相应端点。
图2示出根据本发明另一种优选实施方式的用于在网络系统中传输数据的方法的流程图以及所基于的网络系统。
该方法包括提供S1'与第一网络110连接的第一网络元件112、尤其是用户网络节点,和与第二网络114、尤其是集群网络连接的第二网络元件116、尤其是目标网络节点,所述第二网络元件116不具有创建虚拟网络接口的用户权限。
该方法还包括提供S2'与第二网络114连接的实体或虚拟的第三网络元件120以及以混杂模式P'运行S3'第三网络元件120的网络控制器120a。
该方法还包括在第一网络110和第二网络114之间创建S4'IP隧道122,第一网络元件112和第三网络元件120是通过接入元件124引导的IP隧道122的相应端点。
除了本实施方式的改变的网络架构之外,网络通信类似于图1所示的方法进行。因此,不再重复这些步骤。
图2所示的用于在第一网络元件112和第二网络元件116之间传输数据的网络系统100包括与第一网络110连接的第一网络元件、尤其是用户网络节点和与第二网络114、尤其是集群网络连接的第二网络元件、尤其是目标网络节点。
第二网络元件116不具有创建虚拟网络接口的用户权限。
此外,网络系统100包括与第二网络114连接的虚拟的第三网络元件,第三网络元件120的网络控制器120a可以混杂模式P'运行。
在第一网络110和第二网络114之间创建IP隧道122,第一网络元件112和第三网络元件120是通过接入元件124引导的IP隧道122的相应端点。
附图标记列表
1、100 网络系统
10、110 第一网络
12、112 第一网络元件
14、114 第二网络
16、116 第二网络元件
18 第三网络元件
18a 网络控制器
20 第四网络元件
20a 网络控制器
22、122 IP-隧道
24、124 接入元件
24a 第一隧道端口
24b 第二隧道端口
26 第一消息
28 第一信封
30 第二消息
32 第二信封
120 第三网络元件
120a 网络控制器
P 混杂模式
S1-S4 方法步骤
S1'-S4' 方法步骤
Claims (16)
1.用于在网络系统(1)中传输数据的方法,所述方法包括下述步骤:
提供(S1)与第一网络(10)连接的第一网络元件(12)、尤其是用户网络节点,和与第二网络(14)、尤其是集群网络连接的第二网络元件(16)、尤其是目标网络节点,所述第二网络元件(16)不具有创建虚拟网络接口的用户权限;
提供(S2)与第一网络(10)连接的实体或虚拟的第三网络元件(18)和与第二网络(14)连接的实体或虚拟的第四网络元件(20);
以混杂模式(P)运行(S3)第四网络元件(20)的网络控制器(20a);并且
在第一网络(10)和第二网络(14)之间创建(S4)IP隧道(22),第三网络元件(18)和第四网络元件(20)是通过接入元件(24)引导的IP隧道(22)的相应端点。
2.根据权利要求1所述的方法,其中,由第一网络元件(12)将第一消息(26)发送到第一网络(10)中,所述第一消息(26)被寻址到第二网络元件(16)的IP地址和端口或被寻址到另一个网络元件的IP地址和端口,所述另一个网络元件的IP地址和端口被另一个网络元件、尤其是第三网络元件(18)和/或第四网络元件(20)转换成第二网络元件(16)的IP地址和端口。
3.根据权利要求1或2所述的方法,其中,所述第三网络元件(18)接收传入第一网络(10)的第一消息(26)的数据包,第三网络元件(18)将第一消息(26)打包到第一信封(28)中,并且第三网络元件(18)的网络控制器(18a)以混杂模式(P)或以非混杂模式运行。
4.根据权利要求3所述的方法,其中,打包到第一信封(28)中的第一消息(26)被寻址到接入元件(24)的第一隧道端口(24a)并且由第三网络元件(18)发送到接入元件(24)的第一隧道端口(24a)。
5.根据权利要求4所述的方法,其中,预配置所述接入元件(24)的第一隧道端口(24a),使得第一隧道端口(24a)将传入的消息自动地发送到实体或虚拟的第四网络元件(20)、尤其是服务器网络节点。
6.根据权利要求3至5中任一项所述的方法,其中,所述实体或虚拟的第四网络元件(20)、尤其是服务器网络节点解包从接入元件(24)接收并打包到第一信封(28)中的第一消息(26),解包后的第一消息(26)由第四网络元件(20)使用混杂模式(P)经由第二网络(14)发送到第二网络元件(16)、尤其是目标网络节点。
7.根据前述权利要求中任一项所述的方法,其中,由所述第二网络元件(16)使用第二网络元件(16)的动态分配的端口将第二消息(30)发送到第二网络(14)中,所述第二消息(30)被寻址到第一网络元件(12)的IP地址和端口。
8.根据前述权利要求中任一项所述的方法,其中,所述第四网络元件(20)使用第四网络元件(20)的网络控制器(20a)的混杂模式(P)接收、尤其是嗅探传入第二网络(14)的第二消息(30)的数据包,并且所述第四网络元件(20)将第二消息(30)打包到第二信封(32)中。
9.根据权利要求8所述的方法,其中,打包到第二信封(32)中的第二消息(30)被寻址到接入元件(24)的第二隧道端口(24b)并且由第四网络元件(20)发送到接入元件(24)的第二隧道端口(24b)。
10.根据权利要求9所述的方法,其中,所述接入元件(24)的第二隧道端口(24b)被动态地、尤其是在运行时在使用来自第一消息(26)的信息的情况下配置,使得第二隧道端口(24b)将传入的消息自动地发送到实体或虚拟的第三网络元件(18)、尤其是客户端网络节点。
11.根据权利要求7至10中任一项所述的方法,其中,所述实体或虚拟的第三网络元件(18)、尤其是客户端网络节点解包从接入元件(24)接收并打包到第二信封(32)中的第二消息(30),并且解包后的第二消息(30)由第三网络元件(18)经由第一网络(10)发送到第一网络元件(12)、尤其是用户网络节点。
12.根据前述权利要求中任一项所述的方法,其中,所述第一消息(26)具有第一网络元件(12)的发送方IP和MAC地址,第三网络元件(18)或第四网络元件(20)通过第四网络元件(20)的IP和MAC地址替换第一网络元件(12)的发送方IP和MAC地址。
13.根据前述权利要求中任一项所述的方法,其中,所述第二消息(30)具有接收方IP和MAC地址、尤其是第四网络元件(20),所述IP隧道(22)的端点之一、尤其是第一网络元件(12)、第三网络元件(18)或第四网络元件(20)通过第一网络元件(12)的IP和MAC地址替换第二消息(30)的接收方IP和MAC地址。
14.一种用于在网络系统(100)中传输数据的方法,所述方法包括下述步骤:
提供(S1')与第一网络(110)连接的第一网络元件(112)、尤其是用户网络节点,和与第二网络(114)、尤其是集群网络连接的第二网络元件(116)、尤其是目标网络节点,所述第二网络元件(116)不具有创建虚拟网络接口的用户权限;
提供(S2')与第二网络(114)连接的实体或虚拟的第三网络元件(120);
以混杂模式(P')运行(S3')第三网络元件(120)的网络控制器(120a);并且
在第一网络(110)和第二网络(114)之间创建(S4')IP隧道(122),第一网络元件(112)和第三网络元件(120)是通过接入元件(124)引导的IP隧道(122)的相应端点。
15.一种用于在第一网络元件(12)和第二网络元件(16)之间传输数据的网络系统(1),包括:
与第一网络(10)连接的第一网络元件、尤其是用户网络节点;
与第二网络(14)、尤其是集群网络连接的第二网络元件、尤其是目标网络节点,所述第二网络元件(16)不具有创建虚拟网络接口的用户权限;
与第一网络(10)连接的实体或虚拟的第三网络元件;和
与第二网络(14)连接的实体或虚拟的第四网络元件,所述第四网络元件(20)的网络控制器(20a)能以混杂模式(P)运行,并且第三网络元件(18)和第四网络元件(20)是通过接入元件(24)引导的IP隧道(22)的相应端点。
16.一种用于在第一网络元件(112)和第二网络元件(116)之间传输数据的网络系统(100),包括:
与第一网络(110)连接的第一网络元件、尤其是用户网络节点;
与第二网络(114)、尤其是集群网络连接的第二网络元件、尤其是目标网络节点,所述第二网络元件(116)不具有创建虚拟网络接口的用户权限;
与第二网络(114)连接的实体或虚拟的第三网络元件(120),所述第三网络元件(120)的网络控制器(120a)能以混杂模式(P')运行,并且在第一网络(110)和第二网络(114)之间创建IP隧道(122),第一网络元件(112)和第三网络元件(120)是通过接入元件(124)引导的IP隧道(122)的相应端点。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021113670.9 | 2021-05-27 | ||
| DE102021113670.9A DE102021113670A1 (de) | 2021-05-27 | 2021-05-27 | Verfahren zur Datenübertragung in einem Netzwerksystem sowie Netzwerksystem |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115412400A true CN115412400A (zh) | 2022-11-29 |
Family
ID=81654806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210516188.XA Pending CN115412400A (zh) | 2021-05-27 | 2022-05-11 | 用于在网络系统中传输数据的方法及网络系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220385625A1 (zh) |
| EP (1) | EP4096170A1 (zh) |
| CN (1) | CN115412400A (zh) |
| DE (1) | DE102021113670A1 (zh) |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7190668B1 (en) | 2001-11-27 | 2007-03-13 | Nokia Corporation | Method of anchoring flows |
| US9497039B2 (en) * | 2009-05-28 | 2016-11-15 | Microsoft Technology Licensing, Llc | Agile data center network architecture |
| US10341263B2 (en) * | 2012-12-10 | 2019-07-02 | University Of Central Florida Research Foundation, Inc. | System and method for routing network frames between virtual machines |
| WO2014136864A1 (ja) | 2013-03-07 | 2014-09-12 | 日本電気株式会社 | パケット書換装置、制御装置、通信システム、パケット送信方法及びプログラム |
| US9473940B2 (en) * | 2015-02-20 | 2016-10-18 | Roku, Inc. | Authenticating a browser-less data streaming device to a network with an external browser |
| US10044612B2 (en) * | 2013-11-06 | 2018-08-07 | Citrix Systems, Inc. | Systems and methods for port allocation |
| CN104639470B (zh) * | 2013-11-14 | 2019-05-31 | 中兴通讯股份有限公司 | 流标识封装方法及系统 |
| US10044581B1 (en) * | 2015-09-29 | 2018-08-07 | Amazon Technologies, Inc. | Network traffic tracking using encapsulation protocol |
| SG11201800020UA (en) * | 2016-11-09 | 2018-06-28 | Huawei Tech Co Ltd | Packet processing method in cloud computing system, host, and system |
| SG11201800101YA (en) * | 2016-11-09 | 2018-06-28 | Huawei Tech Co Ltd | Packet processing method in cloud computing system, host, and system |
| US10212089B1 (en) | 2017-09-21 | 2019-02-19 | Citrix Systems, Inc. | Encapsulating traffic entropy into virtual WAN overlay for better load balancing |
-
2021
- 2021-05-27 DE DE102021113670.9A patent/DE102021113670A1/de active Pending
-
2022
- 2022-04-25 EP EP22169648.7A patent/EP4096170A1/de active Pending
- 2022-05-11 CN CN202210516188.XA patent/CN115412400A/zh active Pending
- 2022-05-27 US US17/826,982 patent/US20220385625A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20220385625A1 (en) | 2022-12-01 |
| EP4096170A1 (de) | 2022-11-30 |
| DE102021113670A1 (de) | 2022-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885075B (zh) | 容器通信方法、装置、网络设备及存储介质 | |
| US10541836B2 (en) | Virtual gateways and implicit routing in distributed overlay virtual environments | |
| US8526467B2 (en) | Facilitating transition of network operations from IP version 4 to IP version 6 | |
| EP2253123B1 (en) | Method and apparatus for communication of data packets between local networks | |
| US11153262B1 (en) | System and method for enabling communication between networks with overlapping IP address ranges | |
| US8458303B2 (en) | Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset | |
| WO2021073565A1 (zh) | 业务服务提供方法及系统 | |
| US20140226664A1 (en) | Method, apparatus, and system for implementing private network traversal | |
| CN110505244B (zh) | 远程隧道访问技术网关以及服务器 | |
| TW201815131A (zh) | 一種資料傳輸的方法及網路設備 | |
| WO2011059770A2 (en) | Smart client routing | |
| JP2007531166A (ja) | ピアツーピアネットワークにおいてファイアウォールを介してwebブラウジングを提供するための方法及びシステム | |
| US20220239629A1 (en) | Business service providing method and system, and remote acceleration gateway | |
| JP2008306736A (ja) | 通信モジュール及びこの通信モジュールを備えたアプリケーションプログラム | |
| CN113364660B (zh) | Lvs负载均衡中的数据包处理方法及装置 | |
| US20050232273A1 (en) | Communications system and a gateway device | |
| CN107733930B (zh) | 用于在多个wan网络网关处转发互联网协议(ip)数据包的方法和系统 | |
| JP2023510707A (ja) | 返信パケットを送信するための方法、経路広告メッセージを送信するための方法、ネットワークデバイス、および、コンピュータプログラム | |
| CN115412400A (zh) | 用于在网络系统中传输数据的方法及网络系统 | |
| CN108353017B (zh) | 计算系统和用于操作多网关虚拟机上的多个网关的方法 | |
| CN115150312B (zh) | 一种路由方法及设备 | |
| JP5198916B2 (ja) | インターネット接続システム | |
| CN114900458B (zh) | 报文转发方法、设备、介质及产品 | |
| CN115834291B (zh) | 分布式内网服务数据获取方法、装置、设备及存储介质 | |
| US20240163184A1 (en) | Lightweight container networking solution for resource constrained devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |