CN116647425B - 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 - Google Patents
一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116647425B CN116647425B CN202310928539.2A CN202310928539A CN116647425B CN 116647425 B CN116647425 B CN 116647425B CN 202310928539 A CN202310928539 A CN 202310928539A CN 116647425 B CN116647425 B CN 116647425B
- Authority
- CN
- China
- Prior art keywords
- interface
- vpp
- vpn
- ovs
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000032683 aging Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 15
- 238000011282 treatment Methods 0.000 abstract description 11
- 101100152304 Caenorhabditis elegans tap-1 gene Proteins 0.000 description 27
- 238000010586 diagram Methods 0.000 description 18
- 238000005538 encapsulation Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本申请公开了一种OVN架构的IPSec‑VPN实现方法、装置、电子设备和存储介质,属于通信领域,包括:获取预设的第一数据库保存的VPN配置信息;根据所述VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口;根据所述vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。本申请实施例相对于现有技术而言,通过在OVN架构中集成vpp中的IPSec‑VPN功能,在vpp中创建IPSec隧道连接,vpp就可以对流量报文进行加密、认证等安全处理,为OVN架构下跨OpenStack集群的云主机提供了安全通信的能力。
Description
技术领域
本申请属于通信领域,具体涉及一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质。
背景技术
OpenStack是一个云平台管理的项目,可以管理数据中心的资源,简化资源分配,其中,资源包括计算资源、存储资源、网络资源。不同OpenStack集群的网络之间不能直接通信,需要将不同OpenStack集群的网络分别通过路由器与其外部网络相连,再通过外部网络进行通信。但在这种通信方式中,数据报文直接通过外部网络,存在一定的安全问题。
目前,在OpenStack中提供网络服务的neutron模块中,在采用多代理(agent)架构时,其中的neutron-l3-agent集成了libreswan,可以用于实现互联网安全协议(InternetProtocol Security,IPSec)-虚拟专用网络(virtual private network,VPN),从而建立IPSec隧道进行安全通信。
然而,在使用开放虚拟网络(Open Virtual Network,OVN)架构时,OVN架构不包括neutron-l3-agent,因此不能使用IPSec-VPN建立IPSec隧道进行安全通信。
发明内容
本申请实施例的目的是提供一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质,能够解决在使用OVN架构时,OVN架构不包括neutron-l3-agent,因此不能使用IPSec-VPN建立IPSec隧道进行安全通信的问题。
为了解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供了一种OVN架构的IPSec-VPN实现方法,该方法包括:
获取预设的第一数据库保存的VPN配置信息;
根据所述VPN配置信息,创建开放虚拟交换机(Open vSwitch,ovs)接口和对应的矢量报文处理(Vector Packet Processing,vpp)接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口;
根据所述vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。
第二方面,本申请实施例提供了一种OVN架构的IPSec-VPN实现装置,该装置包括:
获取模块,用于获取预设的第一数据库保存的VPN配置信息;
创建模块,用于根据所述VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口;
建立模块,用于根据所述vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。
第三方面,本申请实施例提供了一种电子设备,该电子设备包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
第四方面,本申请实施例提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。
第五方面,本申请实施例提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现如第一方面所述的方法。
第六方面,本申请实施例提供一种计算机程序产品,该程序产品被存储在存储介质中,该程序产品被至少一个处理器执行以实现如第一方面所述的方法。
本申请实施例相对于现有技术而言,通过在OVN架构中集成vpp中的IPSec-VPN功能,在vpp中创建IPSec隧道连接,vpp就可以对流量报文进行加密、认证等安全处理,进行隧道封装处理,通过IPSec隧道将VPN流量报文发送出去,同时vpp收到对端的VPN流量报文时,会解隧道封装和进行认证、解密等安全处理,得到原始的流量报文,填补OVN架构不支持IPSec-VPN的空白,为OVN架构下跨OpenStack集群的云主机提供了安全通信的能力。
附图说明
图1是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的流程图;
图2是本申请实施例提供的另一种OVN架构的IPSec-VPN实现方法的流程图;
图3是本申请实施例提供的再一种OVN架构的IPSec-VPN实现方法的流程图;
图4是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的步骤102对应的流程图;
图5是本申请实施例提供的一种OVN架构的IPSec-VPN实现装置的结构框图;
图6是本申请实施例提供的另一种OVN架构的IPSec-VPN实现装置的结构框图;
图7是本申请实施例提供的再一种OVN架构的IPSec-VPN实现装置的结构框图;
图8是本申请实施例提供的一种OVN架构的IPSec-VPN实现装置的创建模块502对应的结构框图;
图9是本申请实施例提供的一种设备的结构框图;
图10是本申请实施例提供的一种设备的硬件结构示意图;
图11是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的控制面示意图;
图12是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的数据面示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质进行详细地说明。
图1是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的流程图,该OVN架构的IPSec-VPN实现方法包括:
步骤101,获取预设的第一数据库保存的VPN配置信息。
具体的,在本申请实施例中,VPN配置信息可以包括name、ike_version、shared_key、local_id、remote_id、ike_crypto_alg、ike_auth_alg、esp_crypto_alg、esp_auth_alg、local_ip、remote_ip、local_ip_cidr、remote_ip_cidr、sa_lifetime,即IPSec连接的名字、因特网密钥交换(Internet Key Exchange ,IKE或IKEv2)版本、共享秘钥、本地ID、对端ID、IKE协商报文使用的加密算法、IKE协商报文使用的认证算法、ESP报文使用的加密算法、ESP报文使用的认证算法、本地IP地址、对端IP地址、本地IP地址段、对端IP地址段、安全联盟(Security Association,sa)的老化时间。当然,以上仅为具体的举例说明,在实际的使用过程中VPN配置信息还可以包括其他项,此处不做一一赘述。
具体的,在本申请实施例中,第一数据库可以为开放虚拟网络北向数据库(ovn-nb-db)。如图11所示,虚拟专用网络控制器(vpn-controller)订阅ovn-nb-db数据库,获取ovn-nb-db数据库中保存的VPN配置信息。当然,以上仅为具体的举例说明,在实际的使用过程中第一数据库还可以包括其他数据库,此处不做一一赘述。
步骤102,根据VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口。
具体的,在本申请实施例中,图4是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的步骤102对应的流程图,包括:
步骤1021,将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
在本申请实施例中,如图11所示,vpn-controller订阅ovn-nb-db数据库,获取VPN配置信息后,将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
步骤1022,根据ovs配置命令创建tap1接口和tap2接口,其中,tap1接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,tap2接口用于将流量发送到外部,或者接收外部流量。
在本申请实施例中,如图11所示,根据ovs配置命令创建tap1接口和tap2接口,其中,如图11的虚线所示,tap1接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,其中,ovs之间可以通过隧道接口如geneve进行传输,tap2接口用于将流量通过以太接口(eth)发送到外部网络,或者接收网络外部流量,配置命令如下:
ovs-vsctl add-port br-int tap1 -- set interface tap1 type=internal
ovs-vsctl add-port br-int tap2 -- set interface tap2 type=internal
其中,br-int是网桥名,tap1、tap2是接口名,都可以根据实际情况修改。
步骤1023,根据vpp配置命令创建与tap1接口相连的host-tap1接口和与tap2接口相连的host-tap2接口,并给host-tap1接口和host-tap2接口分别配置ip地址。
在本申请实施例中,如图11所示,根据vpp配置命令创建与tap1接口相连的host-tap1接口和与tap2接口相连的host-tap2接口,配置命令如下:
vppctl -s /run/vpp/cli.sock create host-interface name tap1
vppctl -s /run/vpp/cli.sock create host-interface name tap2
给host-tap1接口和host-tap2接口分别配置ip地址,其中两个IP地址可以根据实际情况修改,配置命令如下:
vppctl -s /run/vpp/cli.sock set interface ip address host-tap1100.1.1.1/24
vppctl -s /run/vpp/cli.sock set interface ip address host-tap210.1.2.11/24
步骤1024,创建一个附着在host-tap2接口上的IPSec隧道接口,IPSec隧道接口接管host-tap2接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理。
在本申请实施例中,如图11所示,创建一个附着在host-tap2接口上的IPSec隧道接口,即ipip1接口,配置命令如下:
vppctl -s /run/vpp/cli.sock create ipip tunnel src 10.1.2.11 dst10.1.2.12 instance 1
vppctl -s /run/vpp/cli.sock set interface unnumbered ipip1 use host-tap2
IPSec隧道接口接管host-tap2接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理,配置命令如下:
vppctl -s /run/vpp/cli.sock set interface unnumbered ipip1 use host-tap2
步骤1025,给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口。
在本申请实施例中,如图11所示,给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口,配置命令如下:
ip route add 100.1.2.0/24 via ipip1
步骤103,根据vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。
本申请实施例相对于现有技术而言,通过在OVN架构中集成vpp中的IPSec-VPN功能,在vpp中创建IPSec隧道连接,vpp就可以对流量报文进行加密、认证等安全处理,进行隧道封装处理,通过IPSec隧道将VPN流量报文发送出去,同时vpp收到对端的VPN流量报文时,会解隧道封装和进行认证、解密等安全处理,得到原始的流量报文,填补OVN架构不支持IPSec-VPN的空白,为OVN架构下跨OpenStack集群的云主机提供了安全通信的能力。
图2是本申请实施例提供的另一种OVN架构的IPSec-VPN实现方法的流程图,该OVN架构的IPSec-VPN实现方法包括:
步骤104,接收创建VPN指令。
在本申请实施例中,如图11所示,中子服务器(neutron-server)接收到创建VPN指令。
步骤105,根据创建VPN指令将策略路由数据保存到预设的第一数据库中,其中,策略路由数据包括VPN配置信息。
在本申请实施例中,如图11所示,neutron-server接收到创建VPN指令后,根据创建VPN指令将策略路由数据保存到预设的第一数据库中,其中,策略路由数据包括VPN配置信息。
具体的,在本申请实施例中,如图11所示,策略路由数据还包括引流信息,开发虚拟网络北向守护进程(ovn-northd)订阅了ovn-nb-db,接收到策略路由数据后,将引流信息翻译为逻辑流表存入到第二数据库,即开放虚拟网络北向数据库(ovn-sb-db)中;开放虚拟网络控制器(ovn-controller)订阅了ovn-sb-db数据库,接收逻辑流表并下发逻辑流表到ovs;ovs收到逻辑流表后,就会根据逻辑流表将云主机发出流量报文引流到vpp中进行加密、认证等安全处理和隧道封装或将vpp已经解隧道封装和进行认证、解密等安全处理的VPN流量转发给相应的云主机。其中,引流信息可以包括:action、match、nexthop、priority、options、external_ids,即该策略路由的行为如“allow”、“drop”和“reroute”、匹配字段,表明该策略路由作用到哪些流量上、下一跳的地址、优先级、策略路由的选项、策略路由的相关的其他数据的IDs。当然,以上仅为具体的举例说明,在实际的使用过程中引流信息还可以包括其他项,此处不做一一赘述。
步骤101,获取预设的第一数据库保存的VPN配置信息。
具体的,在本申请实施例中,VPN配置信息可以包括name、ike_version、shared_key、local_id、remote_id、ike_crypto_alg、ike_auth_alg、esp_crypto_alg、esp_auth_alg、local_ip、remote_ip、local_ip_cidr、remote_ip_cidr、sa_lifetime,即IPSec连接的名字、因特网密钥交换(Internet Key Exchange ,IKE或IKEv2)版本、共享秘钥、本地ID、对端ID、IKE协商报文使用的加密算法、IKE协商报文使用的认证算法、ESP报文使用的加密算法、ESP报文使用的认证算法、本地IP地址、对端IP地址、本地IP地址段、对端IP地址段、安全联盟(Security Association,sa)的老化时间。当然,以上仅为具体的举例说明,在实际的使用过程中VPN配置信息还可以包括其他项,此处不做一一赘述。
具体的,在本申请实施例中,第一数据库可以为ovn-nb-db数据库。如图11所示,vpn-controller订阅ovn-nb-db数据库,获取ovn-nb-db数据库中保存的VPN配置信息。当然,以上仅为具体的举例说明,在实际的使用过程中第一数据库还可以包括其他数据库,此处不做一一赘述。
步骤102,根据VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口。
具体的,在本申请实施例中,图4是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的步骤102对应的流程图,包括:
步骤1021,将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
在本申请实施例中,如图11所示,vpn-controller订阅ovn-nb-db数据库,获取VPN配置信息后,将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
步骤1022,根据ovs配置命令创建tap1接口和tap2接口,其中,tap1接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,tap2接口用于将流量发送到外部,或者接收外部流量。
在本申请实施例中,如图11所示,根据ovs配置命令创建tap1接口和tap2接口,其中,tap1接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,tap2接口用于将流量发送到外部,或者接收外部流量,配置命令如下:
ovs-vsctl add-port br-int tap1 -- set interface tap1 type=internal
ovs-vsctl add-port br-int tap2 -- set interface tap2 type=internal
其中,br-int是网桥名,tap1、tap2是接口名,都可以根据实际情况修改。
步骤1023,根据vpp配置命令创建与tap1接口相连的host-tap1接口和与tap2接口相连的host-tap2接口,并给host-tap1接口和host-tap2接口分别配置ip地址。
在本申请实施例中,如图11所示,根据vpp配置命令创建与tap1接口相连的host-tap1接口和与tap2接口相连的host-tap2接口,配置命令如下:
vppctl -s /run/vpp/cli.sock create host-interface name tap1
vppctl -s /run/vpp/cli.sock create host-interface name tap2
给host-tap1接口和host-tap2接口分别配置ip地址,其中两个IP地址可以根据实际情况修改,配置命令如下:
vppctl -s /run/vpp/cli.sock set interface ip address host-tap1100.1.1.1/24
vppctl -s /run/vpp/cli.sock set interface ip address host-tap210.1.2.11/24
步骤1024,创建一个附着在host-tap2接口上的IPSec隧道接口,IPSec隧道接口接管host-tap2接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理。
在本申请实施例中,如图11所示,创建一个附着在host-tap2接口上的IPSec隧道接口,即ipip1接口,配置命令如下:
vppctl -s /run/vpp/cli.sock create ipip tunnel src 10.1.2.11 dst10.1.2.12 instance 1
vppctl -s /run/vpp/cli.sock set interface unnumbered ipip1 use host-tap2
IPSec隧道接口接管host-tap2接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理,配置命令如下:
vppctl -s /run/vpp/cli.sock set interface unnumbered ipip1 use host-tap2
步骤1025,给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口。
在本申请实施例中,如图11所示,给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口,配置命令如下:
ip route add 100.1.2.0/24 via ipip1
步骤103,根据vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。
本申请实施例相对于现有技术而言,在图1方法具有的有益效果基础上,neutron-server根据接收到的创建VPN指令,创建策略路由数据并将其保存到ovn-nb-db数据库中,从而可以据此完成之后的ovn和vpp配置等步骤,同时策略路由数据也包括引流信息,将引流信息翻译为逻辑流表后,ovs收到逻辑流表后,就会根据逻辑流表将云主机发出流量报文引流到vpp中进行加密、认证等安全处理和隧道封装或将vpp已经解隧道封装和进行认证、解密等安全处理的VPN流量转发给相应的云主机。
图3是本申请实施例提供的再一种OVN架构的IPSec-VPN实现方法的流程图,该OVN架构的IPSec-VPN实现方法包括:
步骤101,获取预设的第一数据库保存的VPN配置信息。
具体的,在本申请实施例中,VPN配置信息可以包括name、ike_version、shared_key、local_id、remote_id、ike_crypto_alg、ike_auth_alg、esp_crypto_alg、esp_auth_alg、local_ip、remote_ip、local_ip_cidr、remote_ip_cidr、sa_lifetime,即IPSec连接的名字、因特网密钥交换(Internet Key Exchange ,IKE或IKEv2)版本、共享秘钥、本地ID、对端ID、IKE协商报文使用的加密算法、IKE协商报文使用的认证算法、ESP报文使用的加密算法、ESP报文使用的认证算法、本地IP地址、对端IP地址、本地IP地址段、对端IP地址段、安全联盟(Security Association,sa)的老化时间。当然,以上仅为具体的举例说明,在实际的使用过程中VPN配置信息还可以包括其他项,此处不做一一赘述。
具体的,在本申请实施例中,第一数据库可以为ovn-nb-db数据库。如图11所示,vpn-controller订阅ovn-nb-db数据库,获取ovn-nb-db数据库中保存的VPN配置信息。当然,以上仅为具体的举例说明,在实际的使用过程中第一数据库还可以包括其他数据库,此处不做一一赘述。
步骤102,根据VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口。
具体的,在本申请实施例中,图4是本申请实施例提供的一种OVN架构的IPSec-VPN实现方法的步骤102对应的流程图,包括:
步骤1021,将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
在本申请实施例中,如图11所示,vpn-controller订阅ovn-nb-db数据库,获取VPN配置信息后,将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,Open vSwitch(ovs)配置命令和vpp配置命令分别用于ovs配置和vpp配置。
步骤1022,根据ovs配置命令创建第一接口和第二接口,其中,第一接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,第二接口用于将流量发送到外部,或者接收外部流量。
在本申请实施例中,如图11所示,根据ovs配置命令创建第一接口和第二接口,即tap1接口和tap2接口,其中,tap1接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,tap2接口用于将流量发送到外部,或者接收外部流量,配置命令如下:
ovs-vsctl add-port br-int tap1 -- set interface tap1 type=internal
ovs-vsctl add-port br-int tap2 -- set interface tap2 type=internal
其中,br-int是网桥名,tap1、tap2是接口名,都可以根据实际情况修改。
步骤1023,根据vpp配置命令创建与第一接口相连的第一主机接口和与第二接口相连的第二主机接口,并给第一主机接口和第二主机接口分别配置ip地址。
在本申请实施例中,如图11所示,根据vpp配置命令创建与tap1接口相连的host-tap1接口和与tap2接口相连的host-tap2接口,配置命令如下:
vppctl -s /run/vpp/cli.sock create host-interface name tap1
vppctl -s /run/vpp/cli.sock create host-interface name tap2
给host-tap1接口和host-tap2接口分别配置ip地址,其中两个IP地址可以根据实际情况修改,配置命令如下:
vppctl -s /run/vpp/cli.sock set interface ip address host-tap1100.1.1.1/24
vppctl -s /run/vpp/cli.sock set interface ip address host-tap210.1.2.11/24
步骤1024,创建一个附着在第二主机接口上的IPSec隧道接口,IPSec隧道接口接管第二主机接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理。
在本申请实施例中,如图11所示,创建一个附着在host-tap2接口上的IPSec隧道接口,即ipip1接口,配置命令如下:
vppctl -s /run/vpp/cli.sock create ipip tunnel src 10.1.2.11 dst10.1.2.12 instance 1
vppctl -s /run/vpp/cli.sock set interface unnumbered ipip1 use host-tap2
IPSec隧道接口接管host-tap2接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理,配置命令如下:
vppctl -s /run/vpp/cli.sock set interface unnumbered ipip1 use host-tap2
步骤1025,给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口。
在本申请实施例中,如图11所示,给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口,配置命令如下:
ip route add 100.1.2.0/24 via ipip1
步骤1031,根据vpp接口和IPSec隧道接口,完成ike配置。
在本申请实施例中,如图11所示,根据vpp接口和IPSec隧道接口,完成ike配置,配置命令如下:
vppctl -s /run/vpp/cli.sock ikev2 profile add pr1
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 auth shared-key-micstring vpp123
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 id local ip4-addr10.1.2.11
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 id remote ip4-addr10.1.2.12
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 traffic-selectorlocal ip-range 100.1.1.0 - 100.1.1.255 port-range 0 - 65535 protocol 0
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 traffic-selectorremote ip-range 100.1.2.0 - 100.1.2.255 port-range 0 - 65535 protocol 0
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 tunnel ipip1
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 sa-lifetime 3600 105 0
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 ike-crypto-alg aes-cbc 256 ike-integ-alg hmac-sha2-256-128 ike-dh modp-2048
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 esp-crypto-alg aes-cbc 256 esp-integ-alg hmac-sha2-256-128
vppctl -s /run/vpp/cli.sock ikev2 profile set pr1 responder host-tap210.1.2.12
步骤1032,根据ike配置,协商ike-sa和IPSec-sa,完成IPSec隧道建立。
在本申请实施例中,如图11所示,完成两端ovs和vpp配置,根据ike配置,启动协商ike-sa和IPSec-sa,配置命令如下:
vppctl -s /run/vpp/cli.sock ikev2 initiate sa-init pr1
协商出ike-sa和ipsec-sa,就正常建立好IPSec隧道了。
本申请实施例相对于现有技术而言,在图1方法具有的有益效果基础上,在ovs和opp配置后,通过ike配置和协商,协商出ike-sa和ipsec-sa,就正常建立好IPSec隧道了。vpp就可以对流量报文进行加密、认证等安全处理,进行隧道封装处理,通过IPSec隧道将流量报文发送出去,同时vpp收到对端的VPN流量报文时,会解隧道封装和进行认证、解密等安全处理就得到原始的流量报文。
图5是本申请实施例提供的一种OVN架构的IPSec-VPN实现装置的结构框图,该OVN架构的IPSec-VPN实现装置包括:
获取模块501,用于获取预设的第一数据库保存的VPN配置信息;
创建模块502,用于根据所述VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口;
图8是本申请实施例提供的一种OVN架构的IPSec-VPN实现装置的创建模块502对应的结构框图,包括:
转换子模块5021,用于将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
第一创建子模块5022,用于根据ovs配置命令创建第一接口和第二接口,其中,第一接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,第二接口用于将流量发送到外部,或者接收外部流量。
第二创建子模块5023,用于根据vpp配置命令创建与第一接口相连的第一主机接口和与第二接口相连的第二主机接口,并给第一主机接口和第二主机接口分别配置ip地址。
第三创建子模块5024,用于创建一个附着在第二主机接口上的IPSec隧道接口,IPSec隧道接口接管第二主机接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理。
路由子模块5025,用于给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口。
建立模块503,用于根据所述vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。
本申请实施例相对于现有技术而言,通过在OVN架构中集成vpp中的IPSec-VPN功能,在vpp中创建IPSec隧道连接,vpp就可以对流量报文进行加密、认证等安全处理,进行隧道封装处理,通过IPSec隧道将VPN流量报文发送出去,同时vpp收到对端的VPN流量报文时,会解隧道封装和进行认证、解密等安全处理,得到原始的流量报文,填补OVN架构不支持IPSec-VPN的空白,为OVN架构下跨OpenStack集群的云主机提供了安全通信的能力。
图6是本申请实施例提供的另一种OVN架构的IPSec-VPN实现装置的结构框图,该OVN架构的IPSec-VPN实现装置包括:
接收模块504,用于接收创建VPN指令。
保存模块505,用于根据创建VPN指令将策略路由数据保存到预设的第一数据库中,其中,策略路由数据包括VPN配置信息。
获取模块501,用于获取预设的第一数据库保存的VPN配置信息;
创建模块502,用于根据所述VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口;
图8是本申请实施例提供的一种OVN架构的IPSec-VPN实现装置的创建模块502对应的结构框图,包括:
转换子模块5021,用于将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
第一创建子模块5022,用于根据ovs配置命令创建第一接口和第二接口,其中,第一接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,第二接口用于将流量发送到外部,或者接收外部流量。
第二创建子模块5023,用于根据vpp配置命令创建与第一接口相连的第一主机接口和与第二接口相连的第二主机接口,并给第一主机接口和第二主机接口分别配置ip地址。
第三创建子模块5024,用于创建一个附着在第二主机接口上的IPSec隧道接口,IPSec隧道接口接管第二主机接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理。
路由子模块5025,用于给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口。
建立模块503,用于根据所述vpp接口和所述IPSec隧道接口,完成IPSec隧道建立。
本申请实施例相对于现有技术而言,在图5装置具有的有益效果基础上,neutron-server根据接收到的创建VPN指令,创建策略路由数据并将其保存到ovn-nb-db数据库中,从而可以据此完成之后的ovn和vpp配置等步骤,同时策略路由数据也包括引流信息,将引流信息翻译为逻辑流表后,ovs收到逻辑流表后,就会根据逻辑流表将云主机发出流量报文引流到vpp中进行加密、认证等安全处理和隧道封装或将vpp已经解隧道封装和进行认证、解密等安全处理的VPN流量转发给相应的云主机。
图7是本申请实施例提供的再一种OVN架构的IPSec-VPN实现装置的结构框图,该OVN架构的IPSec-VPN实现装置包括:
获取模块501,用于获取预设的第一数据库保存的VPN配置信息。
创建模块502,用于根据所述VPN配置信息,创建ovs接口和对应的vpp接口,并创建一个附着在一个所述vpp接口上的IPSec隧道接口。
图8是本申请实施例提供的一种OVN架构的IPSec-VPN实现装置的创建模块502对应的结构框图,包括:
转换子模块5021,用于将VPN配置信息转换为ovs配置命令和vpp配置命令,其中,ovs配置命令和vpp配置命令分别用于ovs配置和vpp配置。
第一创建子模块5022,用于根据ovs配置命令创建第一接口和第二接口,其中,第一接口用于将虚拟机发出的流量经过ovs传输到vpp,或者将vpp接收的外部流量经过ovs传输到虚拟机,第二接口用于将流量发送到外部,或者接收外部流量。
第二创建子模块5023,用于根据vpp配置命令创建与第一接口相连的第一主机接口和与第二接口相连的第二主机接口,并给第一主机接口和第二主机接口分别配置ip地址。
第三创建子模块5024,用于创建一个附着在第二主机接口上的IPSec隧道接口,IPSec隧道接口接管第二主机接口上的IPSec隧道流量,用于对经过的IPSec隧道流量进行相应处理。
路由子模块5025,用于给IPSec隧道接口增加路由,用于让流量经过IPSec隧道接口。
配置子模块5031,用于根据vpp接口和IPSec隧道接口,完成ike配置。
协商子模块5032,用于根据ike配置,协商ike-sa和IPSec-sa,完成IPSec隧道建立。
本申请实施例相对于现有技术而言,在图5装置具有的有益效果基础上,在ovs和opp配置后,通过ike配置和协商,协商出ike-sa和ipsec-sa,就正常建立好IPSec隧道了。vpp就可以对流量报文进行加密、认证等安全处理,进行隧道封装处理,通过IPSec隧道将流量报文发送出去,同时vpp收到对端的VPN流量报文时,会解隧道封装和进行认证、解密等安全处理就得到原始的流量报文。
本申请实施例中的OVN架构的IPSec-VPN实现装置可以是设备,也可以是设备中的部件,例如集成电路或芯片。该设备可以是终端,也可以为除终端之外的其他设备。示例性的,设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载设备、移动上网装置(MobileInternet Device,MID)、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、机器人、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本或者个人数字助理(personal digital assistant,PDA)等,还可以为网络附属存储器(Network Attached Storage,NAS)、个人计算机(personal computer,PC)、电视机(television,TV)、柜员机或者自助机等,本申请实施例不作具体限定。
本申请实施例中的OVN架构的IPSec-VPN实现装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统,可以为ios操作系统,还可以为其他可能的操作系统,本申请实施例不作具体限定。
可选地,如图9所示,本申请实施例还提供一种设备,包括处理器901和存储器902,存储器902上存储有可在所述处理器901上运行的程序或指令,该程序或指令被处理器901执行时实现上述OVN架构的IPSec-VPN实现方法实施例的各个步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
需要说明的是,本申请实施例中的设备包括上述所述的移动设备和非移动设备。
图10为实现本申请实施例的一种设备的硬件结构示意图。
该设备1000包括但不限于:射频单元1001、网络模块1002、音频输出单元1003 、输入单元1004、传感器1005、显示单元1006、用户输入单元1007 、接口单元1008、存储器1009、以及处理器1010等部件。
本领域技术人员可以理解,设备1000还可以包括给各个部件供电的电源(比如电池),电源可以通过电源管理系统与处理器1010逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图10中示出的设备结构并不构成对设备的限定,设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,在此不再赘述。
应理解的是,本申请实施例中,输入单元1004可以包括图形处理器(GraphicsProcessing Unit,GPU)10041和麦克风10042,图形处理器10041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元1006可包括显示面板10061,可以采用液晶显示器、有机发光二极管等形式来配置显示面板10061。用户输入单元1007包括触控面板10071以及其他输入设备10072中的至少一种。触控面板10071,也称为触摸屏。触控面板10071可包括触摸检测装置和触摸控制器两个部分。其他输入设备10072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
存储器1009可用于存储软件程序以及各种数据。存储器1009可主要包括存储程序或指令的第一存储区和存储数据的第二存储区,其中,第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外,存储器1009可以包括易失性存储器或非易失性存储器,或者,存储器1009可以包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本申请实施例中的存储器1009包括但不限于这些和任意其它适合类型的存储器。
处理器1010可包括一个或多个处理单元;可选的,处理器1010集成应用处理器和调制解调处理器,其中,应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作,调制解调处理器主要处理无线通信信号,如基带处理器。可以理解的是,上述调制解调处理器也可以不集成到处理器1010中。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述OVN架构的IPSec-VPN实现方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的设备中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等。
本申请实施例另提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现上述OVN架构的IPSec-VPN实现方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。
本申请实施例提供一种计算机程序产品,该程序产品被存储在存储介质中,该程序产品被至少一个处理器执行以实现如上述OVN架构的IPSec-VPN实现方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (18)
1.一种 OVN 架构的 IPSec-VPN 实现方法,其特征在于,包括:
获取预设的第一数据库保存的 VPN 配置信息;
将所述 VPN 配置信息转换为 ovs 配置命令和 vpp 配置命令,其中,所述 ovs 配置命令和所述vpp 配置命令分别用于 ovs 配置和 vpp 配置;
根据所述 ovs 配置命令创建 ovs 接口;
根据所述 vpp 配置命令创建与所述 ovs 接口对应的 vpp 接口;
根据所述 vpp 接口,创建一个附着在一个所述 vpp 接口上的 IPSec 隧道接口;
根据所述 vpp 接口和所述 IPSec 隧道接口,完成 ike 配置;
根据所述 ike 配置,协商 ike-sa 和 IPSec-sa,完成 IPSec 隧道建立。
2.根据权利要求 1 所述的方法,其特征在于,所述获取预设的第一数据库保存的 VPN配置信息之前,还包括:
将策略路由数据保存到预设的第一数据库中,其中,所述策略路由数据包括 VPN 配置信息。
3.根据权利要求 2 所述的方法,其特征在于,所述将策略路由数据保存到预设的第一数据库中,其中,所述策略路由数据包括 VPN 配置信息,包括:
接收创建 VPN 指令;
根据所述创建 VPN 指令将策略路由数据保存到预设的第一数据库中,其中,所述策略路由数据包括 VPN 配置信息。
4.根据权利要求3所述的方法,其特征在于,所述根据所述创建VPN指令将策略路由数据保存到预设的第一数据库中,其中,所述策略路由数据包括VPN配置信息之后,还包括:
所述策略路由数据包括引流信息;
将所述引流信息翻译为逻辑流表,保存在预设的第二数据库;
接收所述第二数据库保存的所述逻辑流表,其中,所述逻辑流表用于控制虚拟机和VPN之间的流量传输。
5.根据权利要求4所述的方法,其特征在于,所述接收所述第二数据库保存的所述逻辑流表,其中,所述逻辑流表用于控制虚拟机和 VPN 之间的流量传输,包括:
接收所述第二数据库保存的所述逻辑流表,其中,所述逻辑流表用于控制流量从虚拟机经过ovs 传输到 vpp 和流量从 vpp 经过 ovs 传输到虚拟机。
6.根据权利要求 4 所述的方法,其特征在于,所述第二数据库为 ovn-sb-db 数据库。
7.根据权利要求 1所述的方法,其特征在于,所述根据所述 ovs 配置命令创建 ovs接口,包括:
根据所述 ovs 配置命令创建第一接口和第二接口,其中,所述第一接口用于将虚拟机发出的流量经过 ovs 传输到 vpp,或者将 vpp 接收的外部流量经过所述 ovs 传输到所述虚拟机,所述第二接口用于将流量发送到外部,或者接收外部流量。
8.根据权利要求 7 所述的方法,其特征在于,所述根据所述 vpp 配置命令创建与所述 ovs 接口对应的 vpp 接口,包括:
根据所述 vpp 配置命令创建与所述第一接口相连的第一主机接口和与所述第二接口相连的第二主机接口,并给所述第一主机接口和所述第二主机接口分别配置 ip 地址。
9.根据权利要求8所述的方法,其特征在于,所述根据所述 vpp 接口,创建一个附着在一个所述 vpp 接口上的 IPSec 隧道接口,包括:
创建一个附着在第二主机接口上的 IPSec 隧道接口,所述 IPSec 隧道接口接管第二主机接口上的 IPSec 隧道流量,用于对经过的 IPSec 隧道流量进行相应处理。
10.根据权利要求9所述的方法,其特征在于,所述创建一个附着在第二主机接口上的IPSec隧道接口,所述 IPSec 隧道接口接管第二主机接口上的 IPSec 隧道流量,用于对经过的 IPSec隧道流量进行相应处理之后,还包括:
给所述 IPSec 隧道接口增加路由,用于让流量经过所述 IPSec 隧道接口。
11.根据权利要求 1 所述的方法,其特征在于,所述 VPN 配置信息,包括:
IPSec 连接的名字、因特网密钥交换版本、共享秘钥、本地 ID、对端 ID、ike 协商报文使用的加密算法、ike 协商报文使用的认证算法、ESP 报文使用的加密算法、ESP 报文使用的认证算法、本地 IP 地址、对端 IP 地址、本地 IP 地址段、对端 IP 地址段、安全联盟老化时间。
12.根据权利要求 1 所述的方法,其特征在于,所述第一数据库为 ovn-nb-db 数据库。
13.根据权利要求 1 所述的方法,其特征在于,所述方法应用于 x86 架构,和/或,arm架构。
14.根据权利要求 12 所述的方法,其特征在于,所述方法应用于 OpenStack 集群。
15.一种 OVN 架构的 IPSec-VPN 实现装置,其特征在于,包括:
获取模块,用于获取预设的第一数据库保存的 VPN 配置信息;
转换模块,用于将所述 VPN 配置信息转换为 ovs 配置命令和 vpp 配置命令,其中,所述 ovs 配置命令和所述vpp 配置命令分别用于 ovs 配置和 vpp 配置;
ovs 接口创建模块,用于根据所述 ovs 配置命令创建 ovs 接口;
vpp 接口创建模块,用于根据所述 vpp 配置命令创建与所述 ovs 接口对应的 vpp接口;
隧道接口创建模块,用于根据所述 vpp 接口,创建一个附着在一个所述 vpp 接口上的 IPSec 隧道接口;
ike 配置模块,用于根据所述 vpp 接口和所述 IPSec 隧道接口,完成 ike 配置;
IPSec 隧道建立模块,用于根据所述 ike 配置,协商 ike-sa 和 IPSec-sa,完成IPSec 隧道建立。
16.一种OVN架构的IPSec-VPN实现系统,其特征在于,包括:至少两个如权利要求15所述的装置。
17.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-14任一项所述的OVN架构的IPSec-VPN实现方法的步骤。
18.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-14任一项所述的OVN架构的IPSec-VPN实现方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310928539.2A CN116647425B (zh) | 2023-07-26 | 2023-07-26 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310928539.2A CN116647425B (zh) | 2023-07-26 | 2023-07-26 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116647425A CN116647425A (zh) | 2023-08-25 |
| CN116647425B true CN116647425B (zh) | 2023-11-03 |
Family
ID=87625173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310928539.2A Active CN116647425B (zh) | 2023-07-26 | 2023-07-26 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116647425B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117254976B (zh) * | 2023-11-15 | 2024-03-19 | 杭州海康威视数字技术股份有限公司 | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259219A (zh) * | 2021-07-05 | 2021-08-13 | 云宏信息科技股份有限公司 | 基于ovn环境的vpn构建方法、可读存储介质及云平台 |
| CN115442121A (zh) * | 2022-08-31 | 2022-12-06 | 济南浪潮数据技术有限公司 | 一种流量传输方法、系统、装置及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10530867B2 (en) * | 2017-02-20 | 2020-01-07 | International Business Machines Corporation | Software-defined networking proxy gateway |
-
2023
- 2023-07-26 CN CN202310928539.2A patent/CN116647425B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259219A (zh) * | 2021-07-05 | 2021-08-13 | 云宏信息科技股份有限公司 | 基于ovn环境的vpn构建方法、可读存储介质及云平台 |
| CN115442121A (zh) * | 2022-08-31 | 2022-12-06 | 济南浪潮数据技术有限公司 | 一种流量传输方法、系统、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116647425A (zh) | 2023-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3632057B1 (en) | Distributed ipsec gateway | |
| US11129023B2 (en) | Systems and methods for distributing SD-WAN policies | |
| US9094400B2 (en) | Authentication in virtual private networks | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| US9021251B2 (en) | Methods, systems, and computer program products for providing a virtual private gateway between user devices and various networks | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
| CN106712932A (zh) | 密钥管理方法、装置及系统 | |
| US20140282843A1 (en) | Creating and managing a network security tag | |
| US20120278878A1 (en) | Systems and methods for establishing secure virtual private network communications using non-privileged vpn client | |
| EP3308521A1 (en) | System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers | |
| US9912663B2 (en) | Enabling secure network mobile device communications | |
| AU2018233003A1 (en) | Ipsec connection to private networks | |
| CN116647425B (zh) | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 | |
| US20140189357A1 (en) | Encryption and authentication based network management method and apparatus | |
| WO2023179715A1 (zh) | 数据通道构建方法及装置 | |
| EP4205354A1 (en) | Partial packet encryption for encrypted tunnels | |
| CN115022178A (zh) | 网卡切换方法、装置、电子设备及可读存储介质 | |
| CN111800340B (zh) | 数据包转发方法和装置 | |
| CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 | |
| JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| KR20130077202A (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| WO2016082363A1 (zh) | 用户数据管理方法及装置 | |
| US11936635B2 (en) | Method, electronic device, and program product implemented at an edge switch for data encryption | |
| CN114553633B (zh) | 隧道协商方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |