CN116248437A - 一种基于OpenStack架构提供VPN服务的实现方法 - Google Patents

一种基于OpenStack架构提供VPN服务的实现方法 Download PDF

Info

Publication number
CN116248437A
CN116248437A CN202211649747.0A CN202211649747A CN116248437A CN 116248437 A CN116248437 A CN 116248437A CN 202211649747 A CN202211649747 A CN 202211649747A CN 116248437 A CN116248437 A CN 116248437A
Authority
CN
China
Prior art keywords
data
vpn
instance
user
public cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211649747.0A
Other languages
English (en)
Inventor
张幼谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Robot Industrial Technology Research Institute Co Ltd
Original Assignee
Shanghai Robot Industrial Technology Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Robot Industrial Technology Research Institute Co Ltd filed Critical Shanghai Robot Industrial Technology Research Institute Co Ltd
Priority to CN202211649747.0A priority Critical patent/CN116248437A/zh
Publication of CN116248437A publication Critical patent/CN116248437A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于OpenStack架构提供VPN服务的实现方法,在带有VPN功能的路由器实例内,通过使用VPN技术构建一条用户和公有云租户实例的一条隧道,其特征在于,所述实现方法包括用户传递文件给公有云内租户的实例以及公有云内租户实例数据传送给用户两个过程。本发明可支持通过构建虚拟云主机路由实例,为租户和公有云租户建立一条安全的虚拟专有网络连接,租户可以通过VPN网关使用自己公有云租借网络的闲时带宽,采用安全传输协议。

Description

一种基于OpenStack架构提供VPN服务的实现方法
技术领域
本发明涉及一种基于OpenStack架构提供VPN服务的实现方法,属于网络数据传输技术领域。
背景技术
公有云角逐日益激烈化,竞相提供租户访问公有云内部VLan下云主机的途径,为了便于租户可以通过有网环境在任何地方办公的要求,各大云提供商都提供了虚拟专用网络的解决方案,以供租户能够直接和租户内部实例交互。
通常情况下,构建一条虚拟的专有网络很难确保租户和公有云内租户数据传输的安全性,需要额外的加密传输。当VPN建立以后,也会暴露路由器的地址,对路由器实例造成一定的安全隐患。但是,这种需求是必须的,因为租户的数据通常在租户本地,无法把本地数据传输到公有云租户网络内部进行处理,需要租户自搭服务供公有云租户实例访问获取,这增加了租户数据传输的难度,但是这种方法相对来说比较安全,只是增加了用户实现的难度,但是无法把处理结果传送出去。从用户的视角来说是极不合理的,用户更希望能够简单、安全的访问自己私有的资源,并能把处理数据上传和处理结果回传。同时,用户还希望使用它们自己租用的闲余带宽资源,辅助缓解公司外部带宽压力。
通常情况下,为了能让用户自定义自己的私有网络,一般都采用VLan或VXLan重叠网络技术,可以让每个租户都拥有自己的网络。采用LinuxBridge+VLan技术不仅能够满足租户自定义网络的需求,还可以让用户可以通过租用一个外网地址,供内部实例共享带宽,节约用户成本。使用VLan网络的缺点是,租户的云主机实例只能够通过路由器对外网进行访问,获取外部数据,不能让外部主机主动获取内部云主机的数据,租户私有网络对外是不可见的。也就是说,用户只能通过路由设备访问外部的内容和获取外部内容,如果用户想把自己云平台上运行结果传输到本地进行保存,是比较困难的一件事。
因此,对于上述问题有必要提出一种基于OpenStack架构提供VPN服务的实现方法。
发明内容
本发明的目的是:确保租户可以在任何外网的环境下可以与公有云内自己的实例进行数据交互。
为了达到上述目的,本发明的技术方案是提供了一种基于OpenStack架构提供VPN服务的实现方法,在带有VPN功能的路由器实例内,通过使用VPN技术构建一条用户和公有云租户实例的一条隧道,其特征在于,所述实现方法包括用户传递文件给公有云内租户的实例以及公有云内租户实例数据传送给用户两个过程:
当用户传递文件给公有云内租户的实例时,包括以下步骤:
步骤一:用户通过VPN访问网络时,数据从Internet进入物理交换机;
步骤二:通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,通过虚拟交换机把数据转发给连接实例的虚拟网桥;
步骤三:虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;
步骤四:在路由器实例内进行封装数据,以便在用户和路由器实例之间构建的VPN内进行传输;
步骤五:通过VPN网关把数据一直返回到实体交换机;
步骤六:通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据;
当公有云内租户实例数据传送给用户时,在VPN用户终端进行封装数据且在路由器实例内进行数据解封,走上述步骤一至步骤六所记载的相反的过程。
优选地,所述OpenStack架构包括自动化远程监控平台、控制节点、计算节点、储存节点、多个交换机和两个核心交换机,其中,两个核心交换机分别与多个交换机连接,多个交换机分别与自动化远程监控平台、控制节点、计算节点、储存节点相连。
优选地,所述外部两个核心交换机和多个交换机实现冗余布线,保证网络的高可用,然后连接到机架交换机,实现机柜内部布网。
与现有技术相比,本发明具有如下有益效果:
本发明可支持通过构建虚拟云主机路由实例,为租户和公有云租户建立一条安全的虚拟专有网络连接,租户可以通过VPN网关使用自己公有云租借网络的闲时带宽,采用安全传输协议。
附图说明
图1是本发明的物理拓扑结构图;
图2是本发明的通过VPN连接的数据流图。
具体实施方式
下面结合具体实施例,进一步阐述本发明。应理解,这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解,在阅读了本发明讲授的内容之后,本领域技术人员可以对本发明作各种改动或修改,这些等价形式同样落于本申请所附权利要求书所限定的范围。
如图1并结合图2所示,本实施例公开的一种基于OpenStack架构提供VPN服务的实现方法,OpenStack架构包括自动化远程监控平台、控制节点、计算节点、储存节点、多个交换机和两个核心交换机。两个核心交换机分别与多个交换机连接,多个交换机分别与自动化远程监控平台、控制节点、计算节点、储存节点相连,所述实现方法的步骤为:
步骤一:用户通过VPN访问网络时,数据从Internet进入物理交换机;
步骤二:通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,再通过虚拟交换机把数据转发给连接实例的虚拟网桥;
步骤三:虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;
步骤四:在路由器实例内进行封装数据,以便在用户和路由器实例之间构建的VPN内进行传输;
步骤五:通过VPN网关把数据一直返回到实体交换机;
步骤六:通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据。
本发明可支持通过构建虚拟云主机路由实例,为租户和公有云租户建立一条安全的虚拟专有网络连接,租户可以通过VPN网关使用自己公有云租借网络的闲时带宽,采用安全传输协议。当用户传递文件给公有云内租户的实例时,首先在本地进行封装,然后通过Internet传递到带有VPN功能的路由器,在路由器实例内,通过使用VPN技术构建一条用户和公有云租户实例的一条隧道,外部两个核心交换机和多个交换机实现冗余布线,保证网络的高可用,然后连接到机架交换机,实现机柜内部布网,整个数据流的流程如图2所示,采用上述步骤一至步骤六所记载的方法将文件传递给公有云内租户,接着解封装通过VPN传递过来的数据,传送到目标主机。当公有云内租户实例传递给用户时,走相反的过程。
基于路由器实例的VPN技术,不仅能够让内部实例共享带宽,还可让租户在租用带宽空闲时,提供给公司个人使用。而这一过程中用户数据传输安全是必须考虑的,应采用满足用户需求最低的安全策略来保障数据传输的安全性。
用户可以在公司环境(能够连接互联网即可)或着直接连接到互联网两种方式,通过虚拟专有网络与公有云上的租户私有网络进行数据交互。它们之间的数据通过隧道进行传输,用户访问网络需要通过VPN网关。访问外网时,外部数据流需要从Internet传递到实体交换机,然后通过交换机进入计算节点,最后在路由器实例对数据包进行封装,通过与用户建立的虚拟专有网络,把数据传递给用户。用户上传数据到Internet需要走相反路径。用户如果需要和公有云租户内的实例进行数据交换,需要在建立VPN的路由器实例上,对数据进行封装,通过隧道传输给外部用户。同样用户如果需要传输数据到公有云租户的内部实例内,需要在建立的VPN上走相反的路径,在VPN终端把数据解封,传输给内部实例。

Claims (3)

1.一种基于OpenStack架构提供VPN服务的实现方法,在带有VPN功能的路由器实例内,通过使用VPN技术构建一条用户和公有云租户实例的一条隧道,其特征在于,所述实现方法包括用户传递文件给公有云内租户的实例以及公有云内租户实例数据传送给用户两个过程:
当用户传递文件给公有云内租户的实例时,包括以下步骤:
步骤一:用户通过VPN访问网络时,数据从Internet进入物理交换机;
步骤二:通过实体网卡,把数据转发到实体网卡构建的虚拟交换机上,通过虚拟交换机把数据转发给连接实例的虚拟网桥;
步骤三:虚拟网桥通过端口过滤把通过的数据传递给与它相连的路由器实例;
步骤四:在路由器实例内进行封装数据,以便在用户和路由器实例之间构建的VPN内进行传输;
步骤五:通过VPN网关把数据一直返回到实体交换机;
步骤六:通过Internet把数据直接传递给与Internet相连的用户或公司内部可以联网的用户,在VPN用户终端解封隧道传过来的数据;
当公有云内租户实例数据传送给用户时,在VPN用户终端进行封装数据且在路由器实例内进行数据解封,走上述步骤一至步骤六所记载的相反的过程。
2.如权利要求1所述的一种基于OpenStack架构提供VPN服务的实现方法,其特征在于,所述OpenStack架构包括自动化远程监控平台、控制节点、计算节点、储存节点、多个交换机和两个核心交换机,其中,两个核心交换机分别与多个交换机连接,多个交换机分别与自动化远程监控平台、控制节点、计算节点、储存节点相连。
3.如权利要求2所述的一种基于OpenStack架构提供VPN服务的实现方法,其特征在于,所述外部两个核心交换机和多个交换机实现冗余布线,保证网络的高可用,然后连接到机架交换机,实现机柜内部布网。
CN202211649747.0A 2022-12-21 2022-12-21 一种基于OpenStack架构提供VPN服务的实现方法 Pending CN116248437A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211649747.0A CN116248437A (zh) 2022-12-21 2022-12-21 一种基于OpenStack架构提供VPN服务的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211649747.0A CN116248437A (zh) 2022-12-21 2022-12-21 一种基于OpenStack架构提供VPN服务的实现方法

Publications (1)

Publication Number Publication Date
CN116248437A true CN116248437A (zh) 2023-06-09

Family

ID=86625111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211649747.0A Pending CN116248437A (zh) 2022-12-21 2022-12-21 一种基于OpenStack架构提供VPN服务的实现方法

Country Status (1)

Country Link
CN (1) CN116248437A (zh)

Similar Documents

Publication Publication Date Title
US10554446B2 (en) System and method for a multi-tenant datacenter with layer 2 cloud interconnection
CN107809365B (zh) 一种基于OpenStack架构提供VPN服务的实现方法
RU2544766C2 (ru) Способ, устройство и система маршрутизации данных между сегментами сетей
US6799220B1 (en) Tunneling management messages over a channel architecture network
CN102124449B (zh) 用于低开销数据传输的方法和系统
US7965714B2 (en) Method and system for offloading network processing
US6883094B2 (en) Communication device for monitoring datalink layer information and outputting data based on communication request information type
US10560283B2 (en) System and method for a multi-tenant datacenter with layer 2 interconnection and cloud storage
CN109412922A (zh) 一种传输报文的方法、转发设备、控制器及系统
CN100490393C (zh) 一种访问客户网络管理平台的方法
US20230018346A1 (en) Dial-up packet processing method, network element, system, and network device
WO2019134637A1 (zh) 多类型的层叠虚拟网络互连的方法、装置及系统
CN116248437A (zh) 一种基于OpenStack架构提供VPN服务的实现方法
CN113596192B (zh) 一种基于网闸组网的通信方法、装置、设备及介质
CN112039854A (zh) 一种数据传输方法、装置和存储介质
CN112769670B (zh) 一种vpn数据安全访问控制方法及系统
JP5088492B2 (ja) 中継装置
Hata A MAC Address Routing VPN Architecture for Connecting Non-IP Wireless Sensor Networks to Data Centers
Huawei Technologies Co., Ltd. Basic Knowledge of Network Systems
US10574596B2 (en) Software defined networking FCoE initialization protocol snooping bridge system
Ray SERVICE ACCESS PROCEDURE (SAP) FOR
JPH07235949A (ja) ブリッジ装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination