CN115442121A - 一种流量传输方法、系统、装置及存储介质 - Google Patents
一种流量传输方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN115442121A CN115442121A CN202211061749.8A CN202211061749A CN115442121A CN 115442121 A CN115442121 A CN 115442121A CN 202211061749 A CN202211061749 A CN 202211061749A CN 115442121 A CN115442121 A CN 115442121A
- Authority
- CN
- China
- Prior art keywords
- flow
- ovn
- namespace
- target
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
- H04L49/9057—Arrangements for supporting packet reassembly or resequencing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量传输方法、系统、装置及存储介质,涉及信息技术领域,源OVN路由器在接收到源虚拟机发送的流量后,先判断流量是否为待封装加密流量,若为待封装加密流量,则直接将流量发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。本申请中利用OVN路由器实现流量的传输,且通过namespace而不是OVN路由器进行流量的封装加密和解封解密处理,保证了流量的安全传输的同时,对源OVN路由器的侵入性较小,且利用了OVN的保活特性,减小了保活机制的开销。
Description
技术领域
本发明涉及信息技术领域,特别是涉及一种流量传输方法、系统、装置及存储介质。
背景技术
现有技术中不同内网中的虚拟机之间进行流量传输时,是由发送流量的虚拟机将流量发送至自身对应的路由器,由路由器将流量进行封装加密后通过需要接收流量的虚拟机对应的路由器传输至需要接收流量的虚拟机。
OpenStack是一个开源的云计算管理平台项目,是一系列软件开源项目的组合。
随着技术的发展,OpenStack下的OVN(Open Virtual Network,打开虚拟网络)架构也得到逐步发展,而OVN架构也可以实现路由器功能,因此,如何利用OVN实现上述流量传输是本领域技术人员亟待解决的问题。
发明内容
本发明的目的是提供一种流量传输方法、系统、装置及存储介质,利用OVN路由器实现流量的传输,且通过namespace而不是OVN路由器进行流量的封装加密和解封解密处理,保证了流量的安全传输的同时,对源OVN路由器的侵入性较小,且利用了OVN的保活特性,减小了保活机制的开销。
为解决上述技术问题,本发明提供了一种流量传输方法,应用于源OVN路由器,OVN路由器管理多个虚拟机,所述OVN路由器与namespace对应连接,所述方法包括:
在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量;
若是,则将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
优选地,在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量之后,还包括:
若否,则将所述流量通过所述目标OVN路由器发送至所述目标虚拟机。
优选地,在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量之后,还包括:
在接收到所述源虚拟机发送的流量后,确定所述流量对应的所述目标虚拟机;
基于所述目标虚拟机的IP确定管理所述目标虚拟机的目标OVN路由器连接的目标namespace。
优选地,所述源OVN路由器与所述源namespace之间通过中转OVN交换机连接;
将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
将所述流量通过所述中转OVN交换机发送至所述源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
优选地,各个所述源虚拟机与所述源OVN路由器之间通过内网OVN交换机连接;
在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量,包括:
在通过所述内网OVN交换机接收到所述源虚拟机发送的流量后,判断所述流量是否为待封装加密流量。
优选地,所述源namespace与所述目标namespace之间通过外网OVN交换机连接;
将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
将所述流量发送至所述源namespace,以使所述源namespace对所述流量进行封装加密处理后通过所述外网OVN路由器发送至所述目标namespace,使所述目标namespace将所述流量进行解封解密处理后通过所述目标OVN路由器发送至所述目标虚拟机。
优选地,所述namespace中包括strongSwan单元;
所述源namespace对所述流量进行封装加密处理后发送至所述目标namespace,包括:
所述源namespace中的strongSwan单元利用IPsec协议对所述流量进行封装加密处理后发送至所述目标namespace;
所述目标namespace对所述流量进行解封解密处理后通过所述目标OVN路由器发送至所述目标虚拟机,包括:
所述目标namespace中的strongSwan单元利用IPsec协议对所述流量进行解封解密处理后通过所述目标OVN路由器发送至所述目标虚拟机。
为解决上述技术问题,本发明提供了一种流量传输系统,应用于源OVN路由器,OVN路由器管理多个虚拟机,所述OVN路由器与namespace对应连接,所述方法包括:
判断单元,用于在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量;
发送单元,用于在所述流量为所述待封装加密流量时,将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
为解决上述技术问题,本发明提供了一种流量传输装置,包括:
存储器,用于存储计算机程序;
源OVN路由器,用于执行所述计算机程序时实现如上述所述流量传输方法的步骤。
为解决上述技术问题,本发明提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被源OVN路由器执行时实现如上述所述的流量传输方法的步骤。
本申请提供了一种流量传输方法、系统、装置及存储介质,涉及信息技术领域,源OVN路由器在接收到源虚拟机发送的流量后,先判断流量是否为待封装加密流量,若为待封装加密流量,则直接将流量发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。本申请中利用OVN路由器实现流量的传输,且通过namespace而不是OVN路由器进行流量的封装加密和解封解密处理,保证了流量的安全传输的同时,对源OVN路由器的侵入性较小,且利用了OVN的保活特性,减小了保活机制的开销。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种流量传输方法的流程示意图;
图2为现有技术中的一种流量传输网络拓扑示意图;
图3为本发明提供的一种流量传输网络拓扑示意图;
图4为本发明提供的一种流量传输系统的结构示意图;
图5为本发明提供的一种流量传输装置的结构示意图。
具体实施方式
本发明的核心是提供一种流量传输方法、系统、装置及存储介质,利用OVN路由器实现流量的传输,且通过namespace而不是OVN路由器进行流量的封装加密和解封解密处理,保证了流量的安全传输的同时,对源OVN路由器的侵入性较小,且利用了OVN的保活特性,减小了保活机制的开销。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,图1为本发明提供的一种流量传输方法的流程示意图,应用于源OVN路由器,OVN路由器管理多个虚拟机,OVN路由器与namespace(命名空间)对应连接,方法包括:
S11:在接收到源虚拟机发送的流量后,判断流量是否为待封装加密流量;
首先,在现有技术中,VPN(Virtual Private Network,虚拟专用网络)是一种远程访问技术,通过在公用网络上建立专用网络,进行不同设备之间的加密通讯。
VPN可以通过在L2层(数据链路层)或L3层(IP(Internet Protocol,网际互连协议)层)建立一条逻辑链路让广域网上多个内网能够相互访问。VPN的实现方式很多:其中一种是基于租用专用物理线路实现,如帧中继和ATM(异步转移模式),因为是专用线路,价格较高,但QoS(Quality of Service,服务质量)较好,这对语音等延迟敏感的数据流至关重要,因此可运行上层的IP、IPX(Internetwork Packet Exchange protocol,互联网分组交换协议)、AppleTalk(苹果交流协议)以及IP多播等多种协议;还有一种是基于以太网的虚连接的实现方式,非专用线路,灵活,数据通道不安全,需要结合如IPSec(InternetProtocol Security,互联网安全协议)来保证数据传输的安全性。
其中,基于以太网的虚连接的实现方式的分类如下:
GRE(Generic Routing Encapsulation,通用路由封装协议)、L2TP(Layer2Tunneling Protocol,第二层隧道协议)、MPLS(Multi-Protocol Label Switching,多协议标签交换)和IPSec,均属于L3层VPN技术;
GRE VPN,建立VPN的过程方便,但没有安全机制,需结合IPSec来支持流量传输时的身份验证、数据完整性、访问控制和机密性;
SSL VPN,仅需要一个单独的TCP(Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据报协议)端口便可以轻易穿越大多数防火墙进行流量传输;
MPLS VPN,当使用GRE这种遂道技术来实现VPN时,因为是GRE点至点的传输流量,当新添一个站点时,需修改每个站点的VPN配置。而MPLS是在传输流量之前就先用L3层的路由机制将L2层的标签在途径的每个路由器上都事先计算完成,并且这种标签是自动配置的,所以MPLS的实现方式中添加一个新站点更为方便;
IPSec VPN,是目前VPN技术中点击率非常高的一种技术,可同时提供VPN和信息加密两项技术。
其中IPSec VPN的应用场景分为3种:
Site-to-Site(站点到站点或者网关到网关):如企业的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN通道,企业内网(若干PC)之间的数据流量通过这些网关建立的IPSec VPN通道实现安全互联;
End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关;
End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
但是,VPN只是IPSec的一种应用方式,IPSec是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。
IPSec为一种框架性架构,具体由两类协议组成:
AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;其中AH常用摘要算法(单向Hash函数)MD5和SHA1实现该安全特性;
ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
在Openstack的Havana版本中,neutron增加的一个功能是VPNaaS(VPN as aservice),从而将VPN功能引入到了neutron中,实现IPSecVPN。
neutron的VPNaaS为基于开源的StrongSwan实现,通过在网络节点中运行VPNaaSagent,在虚拟路由器的network namespace中配置StrongSwan服务,从而在OpenStack内实现IPSecVPN的site to site功能。其主要的代码实现框架如下:
RestAPI层定义IPSecVPN的API扩展,向外提供API接口;
在neutron server中添加IPSec VPN service plugin,以接收处理API接口发送的VPNaaS资源相关的请求,操作DB,DB为数据库,存储了路由信息、网络信息和VPN加密信息,并且IPSec VPN service plugin根据需求向运行在网络节点的VPNaaS agent进程发送RPC消息。同时,IPSec VPN service plugin会利用neutron的回调机制注册几个回调,比如,VPN功能实现在路由器上,那么通过neutron命令删除路由器之前需经过VPNaaS确认才可删除,否则一旦误删,会影响VPN的正常使用,也即影响流量的安全传输。
VPNaaS agent初始化strongSwan时,会创建consumer监听RPC的调用,从而保证strongSwan为可调用的状态,也即保证流量可被封装加密。再执行一系列的命令来创建IPSec进程,同时更新VPN连接的状态。VPNaaS agent初始化时也会针对路由器的操作注册几个回调,在路由器状态发生变更时执行相应操作,如当路由器发生主备倒换时,需要将从属路由器所在的VPNaaS agent上的IPsec进程删除,避免加密流量的泄露。
基于上述逻辑框架,现有技术中在neutron中就基于开源的strongswan方案实现了一种IPSecVPN的site to site方案,其最终实现的网络拓扑如图2所示,图2为现有技术中的一种流量传输网络拓扑示意图。其中,现有技术中的strongSwan进程运行在路由器中的namespace,为路由器下的内部子网,也即路由器管理的各个虚拟机提供VPN服务。
具体地,现有技术中在传输流量时,通过路由器中的strongSwan进程进行封装加密,例如,当子网(10.10.10.0/24)虚拟机想要访问其他外网中的某个子网(20.20.20.0/24)虚拟机时,流量首先发送到子网(10.10.10.0/24)对应的路由器。路由器上有VPNaaSagent预先配置的规则,当发现目的子网(20.20.20.0/24)虚拟机是受VPN控制的子网时,也即流量为待封装加密流量时,路由器中的strongSwan进程会接管此流量,并通过IPSec通道加密流量以发送到目的路由器。目的路由器连接子网(20.20.20.0/24)虚拟机,其具有类似的StrongSwan进程,基于IPSec协议对流量解密后发送到目的子网(20.20.20.0/24)虚拟机。至此,完成了IPSecVPN流量的通信。
请参照图3,图3为本发明提供的一种流量传输网络拓扑示意图。
而本申请中利用OVN架构实现VPN通道的建立,具体地,源虚拟机均由源OVN路由器管理,也即源虚拟机在和外网的虚拟机之间进行流量传输时需通过源OVN路由器。
而源虚拟机在通过源OVN路由器和外网的目标虚拟机传输流量时,需判断流量是否为待封装加密流量,若为待封装加密流量,还需对流量进行封装加密后才可传输,以避免流量被恶意拦截,导致数据泄露。
neutron在采用OVN实现底层虚拟网络,也即实现利用OVN构建OVN路由器后,考虑到OVN本身并不提供VPN功能,所以,本发明基于neutronVPNaaS的实现,通过引入独立的VPNaaS agent,添加特定OVN的服务插件以及设备驱动程序来支持最新的VPNaaS agent。对于原有的VPNaaS没有影响。新的VPNaaS agent将在对应的节点创建namespace,并连接到OVN路由器。
本发明基于VPNaaS既有的网络架构以及代码设计,结合OVN路由器,创新的设计了在OVN路由器所在主机新建VPN专用的namespace,将源虚拟机发送到源OVN路由器中的流量引流到源namespace中,并在源namespace中分配新的外部网络IP,以封装加密IPSecVPN流量数据包。逻辑代码设计上,新增OVN VPN服务插件以及新的VPNaaS agent,实现了VPN服务根据路由器属性在不同agent的调度,同时实现了一种新的agent报活机制。
S12:若流量为待封装加密流量,则将流量发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,使目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
本实施例中,若流量为待封装加密流量,则源OVN路由器无需对流量进行封装加密,只需引流至源namespace中,使源namespace对流量进行封装加密处理之后发送至目标namespace进行解封解密处理再通过目标OVN路由器发送至目标虚拟机即可。
本申请中在OVN路由器下VPN实现的网络拓扑,不同于VPNaaS基于虚拟路由器内设置namesapce的实现,OVN路由器是通过流表实现,OVN路由器内没有namesapce且OVN路由器的网关IP在OVN流表中,无法被strongswan使用,因此VPN在OVN路由器下的具体实现流程如下;
1)OVN路由器节点上的VPNaaS agent新建namespace,namespace同时插入两个port,一个是VPN外部网关端口,用于和外部网络通信,一个是连接OVN路由器,与OVN路由器联通;
2)在OVN路由器上添加一个端口连接namespace,可以将本地虚拟机访问对端网络的流量路由到namespace,从而使namespace封装IPSecVPN流量,创建IPsecVPN连接时,相应的引流路由会添加到OVN路由器;
3)同样地,创建IPsecVPN连接时,相应的引流路由添加到namespace,将对端网络访问本地网络的流量进行解封,并引流到本地网络的OVN路由器;
4)OVN路由器在第一个VPN服务创建时会自动被创建,在最后一个VPN删除时自动删除,也即在第一个流量传输时被创建,在最后一个流量传输后被自动删除。
可见,本申请中的VPN结构仿照现有技术中的VPNaaS结构进行了创造性的变更,以适应OVN路由器的本身特性,本发明的代码逻辑实现中,定义IPSecVPN的API扩展的过程和现有技术相同,主要的改进集中在插件及下层。
1)不同于VPNaaS的服务插件,OVN路由器不在依赖于传统的neutronL3层路由器和L3层agent,新的服务插件实现了新的调度,新的VPNaaS agent调度器将基于OVN路由器运行,以使同一agent的OVN路由器的所有IPSec站点连接。从而确保每个OVN路由器只有一个VPN名称空间,并且只调度有一个VPNaaS agent。同时完成VPN网关端口和中转OVN交换机等的创建删除工作。
2)OVN VPNaaS agent使用新的OVN设备驱动程序,完成创建namespace和端口的插入等工作。namespace由VPNaaS agent在第一个OVN路由器的IPSec站点连接创建时创建,如果所有IPSec站点已删除,OVN路由器的IPSec站点连接随着删除。
3)OVN的保活机制,利用了OVN南北向数据库的同步机制,插件在NB_Global的external_id设置新值,agent监控SB_Global同时设置chassis列external_id。
综上,本申请中利用OVN路由器实现流量的传输,且通过namespace而不是OVN路由器进行流量的封装加密和解封解密处理,保证了流量的安全传输的同时,对源OVN路由器的侵入性较小,且利用了OVN的保活特性,减小了保活机制的开销。
在上述实施例的基础上:
作为一种优选的实施例,在接收到源虚拟机发送的流量后,判断流量是否为待封装加密流量之后,还包括:
若否,则将流量通过目标OVN路由器发送至目标虚拟机。
本实施例中,若源OVN路由器接收到源虚拟机发送的流量并非待封装加密流量,也即该流量的安全性不需要考虑,无需将流量发送至源namespace中进行封装加密,可直接将流量发通过目标OVN路由器发送至目标虚拟机,从而提高流量传输效率。
可见,省略了源namespace对流量进行封装加密处理,以及目标namespace对流量进行解封解密处理的过程,提高流量传输的效率。
作为一种优选的实施例,在接收到源虚拟机发送的流量后,判断流量是否为待封装加密流量之后,还包括:
在接收到源虚拟机发送的流量后,确定流量对应的目标虚拟机;
基于目标虚拟机的IP确定管理目标虚拟机的目标OVN路由器连接的目标namespace。
本实施例中,在接收到源虚拟机发送的流量后,可以通过该流量确定需要接收该流量的目标虚拟机,再根据目标虚拟机的IP可以确定管理目标虚拟机的目标OVN路由器,从而将流量进行封装加密后,发送至目标OVN路由器所连接的目标namespace进行解封解密处理实现流量在网关和网关之间的传输。
作为一种优选的实施例,源OVN路由器与源namespace之间通过中转OVN交换机连接;
将流量发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,使目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
将流量通过中转OVN交换机发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,使目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
本实施例中,考虑到同一个源OVN路由器通常会连接多个源namespace,每个源namespace对应多个不同目标虚拟机的IP,以实现源OVN路由器管理下的各个源虚拟机和更多的目标虚拟机之间的流量传输,然而源OVN路由器通常不具备足够多的接口以和多个源namespace同时连接,从而在源OVN路由器和源namespace之间设置中转OVN交换机,源OVN路由器通过中转OVN交换机将流量传输至源namespace进行流量的封装加密处理。
需要说明的是,在通过中转OVN路由器将流量传输至源namespace进行封装加密时,可以先预先确定对应了目标虚拟机IP的源namespace,再将流量传输至源namespace之后,源namespace便将流量封装加密为和目标虚拟机对应的IP,从而保证只有目标虚拟机可接收到源虚拟机发送的流量,避免流量被拦截泄露。
作为一种优选的实施例,各个源虚拟机与源OVN路由器之间通过内网OVN交换机连接;
在接收到源虚拟机发送的流量后,判断流量是否为待封装加密流量,包括:
在通过内网OVN交换机接收到源虚拟机发送的流量后,判断流量是否为待封装加密流量。
本实施例中,由于每个OVN路由器管理多个虚拟机,OVN路由器也不具备足够多的接口与各个虚拟机连接,因此,为了能够对每个虚拟机进行管理,本实施例中在源OVN路由器和各个源虚拟机之间还设置了内网OVN交换机,每个源虚拟机可通过内网OVN交换机与源OVN路由器连接,以将流量通过内网OVN交换机传输至源OVN路由器。
当然,目标虚拟机和目标OVN路由器之间也可通过内网OVN交换机连接,目标虚拟机和目标OVN路由器之间的内网OVN交换机与源虚拟机和源OVN路由器之间的内网OVN交换机并非同一交换机,也即每个OVN路由器和自身管理的各个虚拟机之间均可通过内网OVN交换机连接,以实现OVN路由器对各个虚拟机的流量的传输以及将流量发送至各个虚拟机。
作为一种优选的实施例,源namespace与目标namespace之间通过外网OVN交换机连接;
将流量发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,使目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
将流量发送至源namespace,以使源namespace对流量进行封装加密处理后通过外网OVN路由器发送至目标namespace,使namespace将流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
考虑到源OVN路由器会连接多个源namespace,目标OVN路由器也会连接多个目标namespace,且实际会有多个OVN路由器之间需要进行流量传输,基于此,本实施例中,进行流量传输的namespace之间也设置了外网OVN交换机,不同namespace分别通过外网OVN交换机连接,实现不同网关之间的流量传输。
作为一种优选的实施例,namespace中包括strongSwan单元;
源namespace对流量进行封装加密处理后发送至目标namespace,包括:
源namespace中的strongSwan单元利用IPsec协议对流量进行封装加密处理后发送至目标namespace;
目标namespace对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
目标namespace中的strongSwan单元利用IPsec协议对流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
本实施例中,namespace中包括strongSwan单元,源namespace在接收到源OVN路由器传输的流量后,其中的strongSwan单元利用IPsec协议对流量进行封装加密处理,以将流量封装加密为目标虚拟机的IP,从而发送至目标namespace,目标namespace中同样包括strongSwan单元,对接收到的源namespace发送的流量进行解封解密处理,并将解封解密处理后的流量通过目标OVN路由器传输至目标虚拟机,实现源虚拟机和目标虚拟机之间的VPN通道的构建,也即实现源虚拟机和目标虚拟机之间通过VPN通道进行安全地流量传输。
请参照图4,图4为本发明提供的一种流量传输系统的结构示意图,该系统应用于源OVN路由器,OVN路由器管理多个虚拟机,OVN路由器与namespace对应连接,方法包括:
判断单元41,用于在接收到源虚拟机发送的流量后,判断流量是否为待封装加密流量;
发送单元42,用于在流量为待封装加密流量时,将流量发送至源namespace,以使源namespace对流量进行封装加密处理后发送至目标namespace,使目标namespace对流量进行封装加密处理后通过目标OVN路由器发送至目标虚拟机。
对于本发明提供的一种流量传输系统的介绍请参照上述方法实施例,本发明在此不再赘述。
请参照图5,图5为本发明提供的一种流量传输装置的结构示意图,该装置包括:
存储器51,用于存储计算机程序;
源OVN路由器52,用于执行计算机程序时实现如上述流量传输方法的步骤。
对于本发明提供的一种流量传输装置的介绍请参照上述方法实施例,本发明在此不再赘述。
本发明中的计算机可读存储介质上存储有计算机程序,计算机程序被源OVN路由器52执行时实现如上述的流量传输方法的步骤。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不再赘述。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种流量传输方法,其特征在于,应用于源OVN路由器,OVN路由器管理多个虚拟机,所述OVN路由器与namespace对应连接,所述方法包括:
在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量;
若是,则将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
2.如权利要求1所述的流量传输方法,其特征在于,在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量之后,还包括:
若否,则将所述流量通过所述目标OVN路由器发送至所述目标虚拟机。
3.如权利要求1所述的流量传输方法,其特征在于,在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量之后,还包括:
在接收到所述源虚拟机发送的流量后,确定所述流量对应的所述目标虚拟机;
基于所述目标虚拟机的IP确定管理所述目标虚拟机的目标OVN路由器连接的目标namespace。
4.如权利要求1所述的流量传输方法,其特征在于,所述源OVN路由器与所述源namespace之间通过中转OVN交换机连接;
将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
将所述流量通过所述中转OVN交换机发送至所述源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
5.如权利要求1所述的流量传输方法,其特征在于,各个所述源虚拟机与所述源OVN路由器之间通过内网OVN交换机连接;
在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量,包括:
在通过所述内网OVN交换机接收到所述源虚拟机发送的流量后,判断所述流量是否为待封装加密流量。
6.如权利要求1所述的流量传输方法,其特征在于,所述源namespace与所述目标namespace之间通过外网OVN交换机连接;
将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机,包括:
将所述流量发送至所述源namespace,以使所述源namespace对所述流量进行封装加密处理后通过所述外网OVN路由器发送至所述目标namespace,使所述目标namespace将所述流量进行解封解密处理后通过所述目标OVN路由器发送至所述目标虚拟机。
7.如权利要求1-6任一项所述的流量传输方法,其特征在于,所述namespace中包括strongSwan单元;
所述源namespace对所述流量进行封装加密处理后发送至所述目标namespace,包括:
所述源namespace中的strongSwan单元利用IPsec协议对所述流量进行封装加密处理后发送至所述目标namespace;
所述目标namespace对所述流量进行解封解密处理后通过所述目标OVN路由器发送至所述目标虚拟机,包括:
所述目标namespace中的strongSwan单元利用IPsec协议对所述流量进行解封解密处理后通过所述目标OVN路由器发送至所述目标虚拟机。
8.一种流量传输系统,其特征在于,应用于源OVN路由器,OVN路由器管理多个虚拟机,所述OVN路由器与namespace对应连接,所述方法包括:
判断单元,用于在接收到源虚拟机发送的流量后,判断所述流量是否为待封装加密流量;
发送单元,用于在所述流量为所述待封装加密流量时,将所述流量发送至源namespace,以使所述源namespace对所述流量进行封装加密处理后发送至目标namespace,使所述目标namespace对所述流量进行解封解密处理后通过目标OVN路由器发送至目标虚拟机。
9.一种流量传输装置,其特征在于,包括:
存储器,用于存储计算机程序;
源OVN路由器,用于执行所述计算机程序时实现如权利要求1至7任一项所述流量传输方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被源OVN路由器执行时实现如权利要求1至7任一项所述的流量传输方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211061749.8A CN115442121A (zh) | 2022-08-31 | 2022-08-31 | 一种流量传输方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211061749.8A CN115442121A (zh) | 2022-08-31 | 2022-08-31 | 一种流量传输方法、系统、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115442121A true CN115442121A (zh) | 2022-12-06 |
Family
ID=84244642
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211061749.8A Pending CN115442121A (zh) | 2022-08-31 | 2022-08-31 | 一种流量传输方法、系统、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115442121A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116647425A (zh) * | 2023-07-26 | 2023-08-25 | 苏州浪潮智能科技有限公司 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
-
2022
- 2022-08-31 CN CN202211061749.8A patent/CN115442121A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116647425A (zh) * | 2023-07-26 | 2023-08-25 | 苏州浪潮智能科技有限公司 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
CN116647425B (zh) * | 2023-07-26 | 2023-11-03 | 苏州浪潮智能科技有限公司 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3018861B1 (en) | Configuration information sending method, system and apparatus | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
Lasserre et al. | Framework for data center (DC) network virtualization | |
US20180139191A1 (en) | Method, Device, and System for Processing VXLAN Packet | |
EP2777217B1 (en) | Protocol for layer two multiple network links tunnelling | |
US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
WO2015014269A1 (zh) | 一种控制器、转发器及通道建立方法和系统 | |
JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
JPWO2021061581A5 (zh) | ||
CN110830351B (zh) | 基于SaaS服务模式的租户管理及服务提供方法、装置 | |
KR20140122335A (ko) | 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치 | |
CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
US11424958B2 (en) | Managing transmission control protocol (TCP) maximum segment size (MSS) values for multiple tunnels supported by a computing site gateway | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
CN115442121A (zh) | 一种流量传输方法、系统、装置及存储介质 | |
CN111614538A (zh) | 一种基于IPsec封装协议的报文转发方法 | |
CN111885430B (zh) | 一种基于以太帧的带内遥测方法及带内遥测系统 | |
CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
WO2020228130A1 (zh) | 通信设备的网管服务器与网元的通信方法及系统 | |
CN115473729B (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
CN112636913A (zh) | 一种密钥共享的组网方法 | |
CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
US20220150058A1 (en) | Forwarding device, key management server device, communication system, forwarding method, and computer program product | |
JP4356262B2 (ja) | パケット通信システム | |
CN115473641B (zh) | 可自动组网的量子加密通信方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |