CN116800486B - 云网络通信方法及系统 - Google Patents

云网络通信方法及系统 Download PDF

Info

Publication number
CN116800486B
CN116800486B CN202310698077.XA CN202310698077A CN116800486B CN 116800486 B CN116800486 B CN 116800486B CN 202310698077 A CN202310698077 A CN 202310698077A CN 116800486 B CN116800486 B CN 116800486B
Authority
CN
China
Prior art keywords
communication message
protocol header
cloud network
tunnel
double
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310698077.XA
Other languages
English (en)
Other versions
CN116800486A (zh
Inventor
杨磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yusur Technology Co ltd
Original Assignee
Yusur Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yusur Technology Co ltd filed Critical Yusur Technology Co ltd
Priority to CN202310698077.XA priority Critical patent/CN116800486B/zh
Publication of CN116800486A publication Critical patent/CN116800486A/zh
Application granted granted Critical
Publication of CN116800486B publication Critical patent/CN116800486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种云网络通信方法及系统,所述方法包括:在云网络中采用OVS接收自身对应的第一虚拟机发出的通信报文;其中,通信报文包括内层隧道协议头和外层安全隧道协议头;应用预设的虚拟接口对通信报文进行封装,得到双重封装通信报文;采用OVS将双重封装通信报文发送至目的端设备,以使目的端设备自双重封装通信报文依次解封外层安全隧道协议头和内层隧道协议头,得到解封通信报文并采用OVS将解封通信报文发送至第二虚拟机。本申请能够有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销。

Description

云网络通信方法及系统
技术领域
本申请涉及云网络通信领域,尤其涉及一种云网络通信方法及系统。
背景技术
传统网络安全架构理念是基于边界的安全架构,企业构建网络安全体系时,首先寻找安全边界,把网络划分为外网、内网、隔离区等不同的区域,然后在边界上部署防火墙、入侵检测等安全产品。这种网络安全架构假设或默认了内网比外网更安全,因此一旦攻击者潜入内网,或者攻击者本身被内网信任,那么安全边界就形同虚设。有学者在2010年首次提出的零信任概念包含三个核心观点:一是不再以一个清晰的边界来划分信任或不信任的设备;二是不再有信任或不信任的网络;三是不再有信任或不信任的用户。同时在云计算技术背景下,因为云内环境的资源共享特性及相关技术服务模式的开放性、复杂性和可伸缩性等特点,如果云内网络已经不再安全被信任,又因为上述特点就会导致云内资源收到的损失会更加巨大。所以基于零信任网络的概念,云内的东西向流量也需要进行身份认证,访问控制,持续认证,数据加密等安全保护。云内东西向流量进行安全隧道加密可以完成东西向流量的身份认证、访问控制、数据加密等安全保护。如何对云内网络流量进行安全加密是一个亟待解决的问题。
现有的第一种技术方案是在主机上行网络节点增加IPsecVPN设备,这种方式会额外增加网络设备,提高网络复杂度;现有的第二种技术方案则是在主机侧的OVS处理流程之外进行IPSec处理流程,这种方式会增加额外处理流程,增加技术复杂度和功能模块之间的通信开销。
发明内容
鉴于此,本申请实施例提供了一种云网络通信方法及系统,以消除或改善现有技术中存在的一个或更多个缺陷。
本申请的第一个方面提供了一种由发起端设备执行的云网络通信方法,该方法包括:
在云网络中采用OVS接收自身对应的第一虚拟机发出的通信报文;其中,所述通信报文包括内层隧道协议头和外层安全隧道协议头;
应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文;
采用所述OVS将所述双重封装通信报文发送至目的端设备,以使该目的端设备自所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文并采用所述OVS将该解封通信报文发送至所述目的端设备对应的第二虚拟机。
在本申请的一些实施例中,所述应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文,包括:
根据所述OVS对所述通信报文对应进行流表匹配以得到第一数据流表;
根据所述虚拟接口和所述第一数据流表依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文。
在本申请的一些实施例中,所述虚拟接口包括:双重隧道封装虚接口;
相对应的,在所述应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文之前,还包括:
创建所述双重隧道封装虚接口;
配置所述双重隧道封装虚接口的接口参数;其中,所述接口参数包括:内层隧道参数和外层安全隧道参数。
在本申请的一些实施例中,所述配置所述双重隧道封装虚接口的接口参数包括:
根据Overlay隧道协议对所述内层隧道参数进行配置;
根据IPsec安全协议对所述外层安全隧道参数进行配置。
在本申请的一些实施例中,所述Overlay隧道协议包括Vxlan和GRE;所述IPsec安全协议包括ESP4和ESP6。
本申请的第二个方面提供了一种由目的端设备执行的云网络通信方法,该方法包括:
在云网络中接收由发起端设备发送的双重封装通信报文;其中,所述双重封装通信报文为所述发起端设备在云网络中采用OVS接收其对应的第一虚拟机发出的通信报文,应用预设的虚拟接口依次封装该通信报文中的内层隧道协议头和外层安全隧道协议头得到;
根据所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文,并采用所述OVS将该解封通信报文发送至自身对应的第二虚拟机。
在本申请的一些实施例中,所述根据所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文,包括:
根据所述OVS对所述双重封装通信报文进行流表匹配以得到第二数据流表;
根据所述第二数据流表和所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到所述解封通信报文。
本申请的第三个方面提供了一种云网络通信双层系统,该系统包括:
基于有线网络通信连接的发起端设备和目的端设备;
所述发起端设备,用于执行前述第一方面所述的云网络通信方法;
所述目的端设备,用于执行权前述第二方面所述的云网络通信方法。
本申请的第三个方面提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述的第一方面所述的云网络通信方法,或者,实现前述的第二方面所述的云网络通信方法。
本申请的第四个方面提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现前述的第一方面所述的云网络通信方法,或者,实现前述的第二方面所述的云网络通信方法。
本申请提供一种云网络通信方法及系统,所述方法包括:在云网络中采用OVS接收自身对应的第一虚拟机发出的通信报文;其中,通信报文包括内层隧道协议头和外层安全隧道协议头;应用预设的虚拟接口对通信报文进行封装,得到双重封装通信报文;采用OVS将双重封装通信报文发送至目的端设备,以使目的端设备自双重封装通信报文依次解封外层安全隧道协议头和内层隧道协议头,得到解封通信报文并采用OVS将解封通信报文发送至目的端设备对应的第二虚拟机。本申请能够有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销。
本申请的附加优点、目的,以及特征将在下面的描述中将部分地加以阐述,且将对于本领域普通技术人员在研究下文后部分地变得明显,或者可以根据本申请的实践而获知。本申请的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。
本领域技术人员将会理解的是,能够用本申请实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本申请能够实现的上述和其他目的。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,并不构成对本申请的限定。附图中的部件不是成比例绘制的,而只是为了示出本申请的原理。为了便于示出和描述本申请的一些部分,附图中对应部分可能被放大,即,相对于依据本申请实际制造的示例性装置中的其它部件可能变得更大。在附图中:
图1为本申请一实施例中的由发起端设备执行的云网络通信方法的流程示意图。
图2为本申请另一实施例中的由目的端设备执行的云网络通信方法的流程示意图。
图3为本申请另一实施例中的云网络通信方法的总体架构图。
图4为本申请另一实施例中的由发起端设备执行的云网络通信方法的流程步骤示意图。
图5为本申请另一实施例中的由目的端设备执行的云网络通信方法的流程步骤示意图。
图6为本申请另一实施例中的配置双重隧道封装虚接口的接口参数的示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本申请做进一步详细说明。在此,本申请的示意性实施方式及其说明用于解释本申请,但并不作为对本申请的限定。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本申请,在附图中仅仅示出了与根据本申请的方案密切相关的结构和/或处理步骤,而省略了与本申请关系不大的其他细节。
应该强调,术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在,但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
在此,还需要说明的是,如果没有特殊说明,术语“连接”在本文不仅可以指直接连接,也可以表示存在中间物的间接连接。
在下文中,将参考附图描述本申请的实施例。在附图中,相同的附图标记代表相同或类似的部件,或者相同或类似的步骤。
具体通过下述实施例进行详细说明。
本申请实施例提供一种可以由发起端设备执行的第一云网络通信方法,参见图1,所述的第一云网络通信方法具体包含有如下内容:
步骤110:在云网络中采用OVS接收自身对应的第一虚拟机发出的通信报文;其中,所述通信报文包括内层隧道协议头和外层安全隧道协议头。
步骤120:应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文。
步骤130:采用所述OVS将所述双重封装通信报文发送至目的端设备,以使该目的端设备自所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文并采用所述OVS将该解封通信报文发送至所述目的端设备对应的第二虚拟机。
具体来说,参见图3,发起端设备(如图3中的服务器一)在云网络中首先采用OVS(OpenvSwitch,虚拟交换机)接收自身对应的第一虚拟机(如图3中的VM1-1)发出的通信报文;其中,所述通信报文包括内层隧道协议头和外层安全隧道协议头。然后应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文。最后,采用图3服务器一中的物理网口将所述双重封装通信报文发送至目的端设备(如图3中的服务器二),以使该目的端设备自所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文并采用图3服务器二中的网口驱动将该解封通信报文发送至所述目的端设备对应的第二虚拟机(如图3中的VM2-1)完成与第一虚拟机之间的通信,从而能够有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销。
为了有效提升对通信数据进行双重加密的精确性,步骤120中的所述虚拟接口包括:双重隧道封装虚接口;相对应的,在步骤120之前,还包括:
步骤121:创建所述双重隧道封装虚接口。
步骤122:配置所述双重隧道封装虚接口的接口参数;其中,所述接口参数包括:内层隧道参数和外层安全隧道参数。
其中,步骤122包括:
根据Overlay隧道协议对所述内层隧道参数进行配置;其中,所述Overlay隧道协议包括Vxlan和GRE。
根据IPsec安全协议对所述外层安全隧道参数进行配置;其中,所述IPsec安全协议包括ESP4和ESP6。
具体来说,参见图6,发起端设备首先创建双重隧道封装虚接口,然后配置所述双重隧道封装虚接口的接口参数;其中,所述接口参数包括:内层隧道参数和外层安全隧道参数;具体通过Overlay隧道协议对内层隧道参数进行配置,通过IPsec安全协议对所述外层安全隧道参数进行配置,从而能够有效提升对通信数据进行双重加密的精确性。
其中,双重隧道封装虚接口可采用X-VPort虚接口,Overlay隧道协议可选取Vxlan或GRE,IPsec安全协议包括AH和ESP,在本申请中可优选选取ESP4或ESP6。
参数配置步骤为:创建xvport的实例,接着xvport复用ovstunnelvport的数据结构,内层隧道参数复用协议本身(如Vxlan或GRE协议)的存储方式。由于ipsec相关配置信息ovs中不存在,因此在ovstunnelvport数据结构中增加存放外层安全隧道参数的结构体,并且在vswitch.xml的Interfacetable中groupSystem-SpecificDetails增加相应的xvport类型端口,进而配置xvport的安全隧道参数,加解密算法和密钥等。总而言之,内层隧道参数和外层安全隧道参数的配置顺序不固定,且二者的参数存放在同一个vport实例中。
具体的参数配置实施例如下:
首先,配置xvport实例xvport0到br-int网桥:
ovs-vsctladd-portbr-intxvport0\
--setinterfacexvport0type=xvport\
options:inner_tunnel_proto=vxlan\
options:outer_security_proto=esp
其次,配置内层vxlan隧道underlay目的ip:
ovs-vsctlsetInterfacexvport0\
options:remote_ip=172.0.0.2\
最后,配置外层ipsec隧道安全联盟参数:
ovs-vsctlsetInterfacexvport0options:sa_idx=1\
options:sa_dir=outbound\
options:sa_spi=abcd1234\
options:ipsec_encap=transport\
options:crypto_alg=aes_cbc\
options:crypto_key=7fad897cef0810735d1eaa9843710ce1\
options:crypto_iv=564551657426594d6537684a506a794f\
options:auth_alg=hmac_sha2_256_128\
options:auth_key=67d93141155239475efd6d3547666b40c64e6568\
ovs-vsctlsetInterfacexvport0options:sa_idx=2\
options:sa_dir=inbound\
options:sa_spi=1234abcd\
options:encap_mode=transport\
options:crypto_alg=aes_cbc\
options:crypto_key=7fad897cef0810735d1eaa9843710ce1\
options:crypto_iv=564551657426594d6537684a506a794f\
options:auth_alg=hmac_sha2_256_128\
options:auth_key=67d93141155239475efd6d3547666b40c64e6568\
为了进一步有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销,步骤120包括:
根据所述OVS对所述通信报文对应进行流表匹配以得到第一数据流表。
根据所述虚拟接口和所述第一数据流表依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文。
具体来说,参见图4,发起端设备根据OVS对所述通信报文对应进行流表匹配以得到第一数据流表(即图4中的OVS收包和报文匹配到OVS流表),然后根据虚拟接口和第一数据流表依次封装内层隧道协议头和外层安全隧道协议头(即图4中的执行双重隧道封装动作、封装内内层隧道协议头和封装外层安全隧道协议头),得到双重封装通信报文,从而能够有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销。
其中,流表匹配操作具体为:根据ovs-vsctl命令下发一条流表,如入端口match,然后根据actions中的output指定xvport的portno即可。
具体的封装流程为:首先获取xvporttunnelconfig复用原有流程封装内层隧道头,根据xvport的tunnelconfig具体配置选择gre、vxlan或其他隧道类型构造协议头。接着在buildtunnelheader阶段根据命令行配置示例的内外侧隧道配置构造ETH+IP+ESP+UDP+VXLANheader并填入协议字段内容。如vxlan的vnid、udp端口号、ESPspi和seqno等。然后根据ETH+IP+ESP+UDP+VXLAN+PAYLOAD和与xvport关联的outbound的安全联盟对第一数据刘表进行数据padding和加密操作。最后通过clone将封装好的报文通过物理口发送出去。
本申请的实施例还提供一种可以由目的端设备执行的第二云网络通信方法,参见图2,所述的第二云网络通信方法具体包含有如下内容:
步骤210:在云网络中接收由发起端设备发送的双重封装通信报文;其中,所述双重封装通信报文为所述发起端设备在云网络中采用OVS接收其对应的第一虚拟机发出的通信报文,应用预设的虚拟接口依次封装该通信报文中的内层隧道协议头和外层安全隧道协议头得到。
步骤220:根据所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文,并采用所述OVS将该解封通信报文发送至自身对应的第二虚拟机。
具体来说,目的端设备首先在云网络中接收由发起端设备发送的双重封装通信报文;其中,双重封装通信报文为发起端设备在云网络中采用OVS接收其对应的第一虚拟机发出的通信报文,应用预设的虚拟接口依次封装该通信报文中的内层隧道协议头和外层安全隧道协议头得到。然后根据双重封装通信报文依次解封外层安全隧道协议头和内层隧道协议头,得到解封通信报文。最后,采用OVS将该解封通信报文发送至自身对应的第二虚拟机,从而能够有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销。
为了进一步在云网络通信过程中有效地提升对通信数据进行双重解密的简便性,步骤220包括:
根据所述OVS对所述双重封装通信报文进行流表匹配以得到第二数据流表。
根据所述第二数据流表和所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到所述解封通信报文。
具体来说,参见图5,目的端设备根据OVS对双重封装通信报文进行流表匹配以得到第二数据流表(即图5中OVS收包和报文匹配到OVS流表);然后根据第二数据流表和双重封装通信报文依次解封外层安全隧道协议头和内层隧道协议头(即图5中的执行双重隧道解封装动作、解封装外层安全隧道协议头和解封装内内层隧道头),得到解封通信报文,从而能够进一步在云网络通信过程中有效地提升对通信数据进行双重解密的简便性。
其中,具体的解封过程为:解封装通过自动生成的收方向流表指向xvport0去进行解封装动作。具体为:首先根据ESP中SPI字段索引到那个xvport(索引对应的映射关系在前述封装流程中的配置xvport安全联盟信息时已保存),然后根据xvport关联的inbound安全联盟对第二数据流表进行解密操作并去掉padding。最后根据xvport的内层tunnel配置信息进行相应外层隧道协议头如gre、vxlan的解封装动作(复用协议本身的原有解封流程)。
基于上述的发起端设备和目的端设备的实施例,本申请还提供一种云网络通信双层系统,所述的云网络通信双层系统具体包含有如下内容:
基于有线网络通信连接的发起端设备和目的端设备。
所述发起端设备,用于执行前述实施例提及的第一云网络通信方法。
所述目的端设备,用于执行前述实施例提及的第二云网络通信方法。
本申请提供的云网络通信双层系统的实施例具体包括基于有线网络通信连接的发起端设备和目的端设备;可以用于执行前述第一方面提及的云网络通信方法,或者,实现前述第二方面所述的云网络通信方法的实施例的处理流程,其功能在此不再赘述,可以参照上述的前述第一方面提及的云网络通信方法,或者,实现前述第二方面所述的云网络通信方法实施例的详细描述。
本申请提供一种云网络通信双层系统,包括基于有线网络通信连接的发起端设备和目的端设备,可以用于执行的方法包括:在云网络中采用OVS接收自身对应的第一虚拟机发出的通信报文;其中,通信报文包括内层隧道协议头和外层安全隧道协议头;应用预设的虚拟接口对通信报文进行封装,得到双重封装通信报文;采用OVS将双重封装通信报文发送至目的端设备,以使目的端设备自双重封装通信报文依次解封外层安全隧道协议头和内层隧道协议头,得到解封通信报文并采用OVS将解封通信报文发送至目的端设备对应的第二虚拟机。本申请能够有效降低对通信数据进行双重加密的网络和技术复杂度,以及减少功能模块之间的通信开销。
本申请实施例还提供了一种电子设备,例如中心服务器,该电子设备可以包括处理器、存储器、接收器及发送器,处理器用于执行前述第一云网络通信方法,或者,实现前述第二云网络通信方法,其中处理器和存储器可以通过总线或者其他方式连接,以通过总线连接为例。该接收器可通过有线或无线方式与处理器、存储器连接。
处理器可以为中央处理器(CentralProcessingUnit,CPU)。处理器还可以为其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(Application SpecificIntegratedCircuit,ASIC)、现场可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施例中的前述第一云网络通信方法,或者,实现前述第二云网络通信方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现前述第一云网络通信方法,或者,实现前述第二云网络通信方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器中,当被所述处理器执行时,执行实施例中的前述第一云网络通信方法,或者,实现前述第二云网络通信方法。
在本申请的一些实施例中,用户设备可以包括处理器、存储器和收发单元,该收发单元可包括接收器和发送器,处理器、存储器、接收器和发送器可通过总线系统连接,存储器用于存储计算机指令,处理器用于执行存储器中存储的计算机指令,以控制收发单元收发信号。
作为一种实现方式,本申请中接收器和发送器的功能可以考虑通过收发电路或者收发的专用芯片来实现,处理器可以考虑通过专用处理芯片、处理电路或通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的服务器。即将实现处理器,接收器和发送器功能的程序代码存储在存储器中,通用处理器通过执行存储器中的代码来实现处理器,接收器和发送器的功能。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时以实现前述第一云网络通信方法,或者,实现前述第二云网络通信方法的步骤。该计算机可读存储介质可以是有形存储介质,诸如随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、软盘、硬盘、可移动存储盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本领域普通技术人员应该可以明白,结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法,能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
本申请中,针对一个实施方式描述和/或例示的特征,可以在一个或更多个其它实施方式中以相同方式或以类似方式使用,和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
以上所述仅为本申请的优选实施例,并不用于限制本申请,对于本领域的技术人员来说,本申请实施例可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种云网络通信方法,其特征在于,包括:
在云网络中采用OVS接收自身对应的第一虚拟机发出的通信报文;其中,所述通信报文包括内层隧道协议头和外层安全隧道协议头;
应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文;所述虚拟接口包括:双重隧道封装虚接口;
采用所述OVS将所述双重封装通信报文发送至目的端设备,以使该目的端设备自所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文并采用所述OVS将该解封通信报文发送至所述目的端设备对应的第二虚拟机。
2.根据权利要求1所述的云网络通信方法,其特征在于,所述应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文,包括:
根据所述OVS对所述通信报文对应进行流表匹配以得到第一数据流表;
根据所述虚拟接口和所述第一数据流表依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文。
3.根据权利要求1所述的云网络通信方法,其特征在于,
在所述应用预设的虚拟接口依次封装所述内层隧道协议头和所述外层安全隧道协议头,得到双重封装通信报文之前,还包括:
创建所述双重隧道封装虚接口;
配置所述双重隧道封装虚接口的接口参数;其中,所述接口参数包括:内层隧道参数和外层安全隧道参数。
4.根据权利要求3所述的云网络通信方法,其特征在于,所述配置所述双重隧道封装虚接口的接口参数包括:
根据Overlay隧道协议对所述内层隧道参数进行配置;
根据IPsec安全协议对所述外层安全隧道参数进行配置。
5.根据权利要求4所述的云网络通信方法,其特征在于,所述Overlay隧道协议包括Vxlan和GRE;所述IPsec安全协议包括ESP4和ESP6。
6.一种云网络通信方法,其特征在于,包括:
在云网络中接收由发起端设备发送的双重封装通信报文;其中,所述双重封装通信报文为所述发起端设备在云网络中采用OVS接收其对应的第一虚拟机发出的通信报文,应用预设的虚拟接口依次封装该通信报文中的内层隧道协议头和外层安全隧道协议头得到;所述虚拟接口包括:双重隧道封装虚接口;
根据所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文,并采用所述OVS将该解封通信报文发送至自身对应的第二虚拟机。
7.根据权利要求6所述的云网络通信方法,其特征在于,所述根据所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到解封通信报文,包括:
根据所述OVS对所述双重封装通信报文进行流表匹配以得到第二数据流表;
根据所述第二数据流表和所述双重封装通信报文依次解封所述外层安全隧道协议头和所述内层隧道协议头,得到所述解封通信报文。
8.一种云网络通信双层系统,其特征在于,包括:基于有线网络通信连接的发起端设备和目的端设备;
所述发起端设备,用于执行权利要求1-5任一项所述的云网络通信方法;
所述目的端设备,用于执行权利要求6或7所述的云网络通信方法。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的云网络通信方法,或者,执行权利要求6或7所述的云网络通信方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述的云网络通信方法,或者,执行权利要求6或7所述的云网络通信方法。
CN202310698077.XA 2023-06-13 2023-06-13 云网络通信方法及系统 Active CN116800486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310698077.XA CN116800486B (zh) 2023-06-13 2023-06-13 云网络通信方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310698077.XA CN116800486B (zh) 2023-06-13 2023-06-13 云网络通信方法及系统

Publications (2)

Publication Number Publication Date
CN116800486A CN116800486A (zh) 2023-09-22
CN116800486B true CN116800486B (zh) 2024-06-07

Family

ID=88034054

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310698077.XA Active CN116800486B (zh) 2023-06-13 2023-06-13 云网络通信方法及系统

Country Status (1)

Country Link
CN (1) CN116800486B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873374A (zh) * 2014-03-27 2014-06-18 杭州华三通信技术有限公司 虚拟化系统中的报文处理方法及装置
CN106161225A (zh) * 2015-03-23 2016-11-23 华为技术有限公司 用于处理vxlan报文的方法、装置及系统
WO2018032910A1 (zh) * 2016-08-19 2018-02-22 华为技术有限公司 一种跨网络通信的方法、设备
CN107948086A (zh) * 2016-10-12 2018-04-20 北京金山云网络技术有限公司 一种数据包发送方法、装置及混合云网络系统
CN108989248A (zh) * 2018-06-11 2018-12-11 华为技术有限公司 传输报文的方法、网络边缘设备与报文传输系统
CN109218161A (zh) * 2018-10-24 2019-01-15 郑州云海信息技术有限公司 一种虚拟交换机转发数据的方法及装置
CN109525477A (zh) * 2018-09-30 2019-03-26 华为技术有限公司 数据中心中虚拟机之间的通信方法、装置和系统
CN110768884A (zh) * 2018-07-25 2020-02-07 华为技术有限公司 Vxlan报文封装及策略执行方法、设备、系统
CN114553770A (zh) * 2022-02-25 2022-05-27 网络通信与安全紫金山实验室 云数据转发装置、系统及方法
CN114980359A (zh) * 2022-07-28 2022-08-30 阿里巴巴(中国)有限公司 数据转发方法、装置、设备、系统及存储介质
CN115766620A (zh) * 2022-09-26 2023-03-07 阿里巴巴(中国)有限公司 报文处理方法、可编程网卡设备、物理服务器及存储介质
CN115941389A (zh) * 2022-11-15 2023-04-07 中电信量子科技有限公司 一种实现IPSec VPN二层组网的方法及IPSec VPN网关

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104272668B (zh) * 2012-05-23 2018-05-22 博科通讯系统有限公司 层3覆盖网关
US10476841B2 (en) * 2018-03-23 2019-11-12 Microsoft Technology Licensing, Llc Stateless tunnels

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873374A (zh) * 2014-03-27 2014-06-18 杭州华三通信技术有限公司 虚拟化系统中的报文处理方法及装置
CN106161225A (zh) * 2015-03-23 2016-11-23 华为技术有限公司 用于处理vxlan报文的方法、装置及系统
WO2018032910A1 (zh) * 2016-08-19 2018-02-22 华为技术有限公司 一种跨网络通信的方法、设备
CN107948086A (zh) * 2016-10-12 2018-04-20 北京金山云网络技术有限公司 一种数据包发送方法、装置及混合云网络系统
CN108989248A (zh) * 2018-06-11 2018-12-11 华为技术有限公司 传输报文的方法、网络边缘设备与报文传输系统
CN110768884A (zh) * 2018-07-25 2020-02-07 华为技术有限公司 Vxlan报文封装及策略执行方法、设备、系统
CN109525477A (zh) * 2018-09-30 2019-03-26 华为技术有限公司 数据中心中虚拟机之间的通信方法、装置和系统
CN109218161A (zh) * 2018-10-24 2019-01-15 郑州云海信息技术有限公司 一种虚拟交换机转发数据的方法及装置
CN114553770A (zh) * 2022-02-25 2022-05-27 网络通信与安全紫金山实验室 云数据转发装置、系统及方法
CN114980359A (zh) * 2022-07-28 2022-08-30 阿里巴巴(中国)有限公司 数据转发方法、装置、设备、系统及存储介质
CN115766620A (zh) * 2022-09-26 2023-03-07 阿里巴巴(中国)有限公司 报文处理方法、可编程网卡设备、物理服务器及存储介质
CN115941389A (zh) * 2022-11-15 2023-04-07 中电信量子科技有限公司 一种实现IPSec VPN二层组网的方法及IPSec VPN网关

Also Published As

Publication number Publication date
CN116800486A (zh) 2023-09-22

Similar Documents

Publication Publication Date Title
KR102246671B1 (ko) 제5세대 코어 네트워크에 대한 비-3gpp 액세스를 위한 사용자 평면 모델
EP3096497B1 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in ims core network
CN107995052B (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
EP3001635B1 (en) Method, device and system for controlling access of user terminal
CN110677345B (zh) 一种用户报文传输方法及通信设备
JP2018537912A5 (zh)
CN105100095A (zh) 移动终端应用程序安全交互方法及装置
CN108769292A (zh) 报文数据处理方法及装置
EP3288335B1 (en) Data packet processing method and equipment
KR20190050997A (ko) 무선 로컬 영역 네트워크를 통한 보안 링크 계층 연결을 위한 방법
US20190124055A1 (en) Ethernet security system and method
CN114844730A (zh) 一种基于可信隧道技术构建的网络系统
US9755953B1 (en) Multi-path routing control for an encrypted tunnel
CN108966217B (zh) 一种保密通信方法、移动终端及保密网关
CN110235417B (zh) 一种sdn及其报文转发的方法和装置
WO2021208088A1 (en) Method and apparatus for security communication
CN116800486B (zh) 云网络通信方法及系统
CN117254976A (zh) 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备
US11431730B2 (en) Systems and methods for extending authentication in IP packets
US12028747B2 (en) Methods and apparatus for reducing communications delay
CN114338116B (zh) 加密传输方法、装置及sd-wan网络系统
CN104509046B (zh) 一种数据通信方法、设备和系统
WO2014067065A1 (zh) 实现隧道处理的方法、装置和系统
CN115298662A (zh) 5g虚拟ran中的选择性用户平面保护

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant