CN117041156A - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN117041156A CN117041156A CN202310951167.5A CN202310951167A CN117041156A CN 117041156 A CN117041156 A CN 117041156A CN 202310951167 A CN202310951167 A CN 202310951167A CN 117041156 A CN117041156 A CN 117041156A
- Authority
- CN
- China
- Prior art keywords
- spi
- packet
- hash value
- message
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004891 communication Methods 0.000 title claims abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 90
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 239000002699 waste material Substances 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种通信方法及装置,所述方法应用于第一网络设备,所述方法包括:接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;对所述SPI值进行哈希处理,得到SPI哈希值;向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
IP安全(英文:IP Security,简称:IPsec)是由IETF制定的三层隧道加密协议。其为互联网上传输的数据提供了高质量、基于密码学的安全保证,是一种传统的实现三层虚拟专用网络(英文:Virtual Private Network,简称:VPN)的安全技术。
安全联盟(英文:Security Association,简称:SA)是IPsec的基础,也是IPsec的本质。SA由一个三元组来唯一标识,这个三元组包括安全参数索引(英文:SecurityParameter Index,简称:SPI)、目的IP地址和安全协议号。其中,SPI是用于标识SA的一个32比特的数值。
IPsec包括两种安全协议:认证头(英文:Authentication Header,简称:AH)和封装安全载荷(英文:Encapsulating Security Payload,简称:ESP)。ESP协议一般用于保护两个安全网关之间传输的数据。两个安全网关之间使用ESP协议建立IPsec隧道后,两个网关的内侧私网一般有大量主机进行访问交互,会产生大量不同五元组的会话,所有这些私网流量都会经过IPsec封装变成密文,从IPsec隧道转发。
目前,为了节省网络设备资源,通常使用“主机方式”的保护模式。即一条IPsec隧道保护一条主机到主机的数据流。假如,某网络设备中配置了一条IPsec策略应用于某一个接口,并配置了主机方式。当组网中存在10万条主机到主机的数据流时,即10万条私网流量,那么,网络设备将创建10万条IPsec隧道来分别保护上述私网流量。但是,这10万条私网流量最终会被IPsec加解封装为相同地址在公网中传输,下面以其中两条流量说明:
主机1与主机2之间私网(14.1.1.5与21.1.1.5之间互访)流量触发主机接入的两个安全网关之间建立IPsec隧道,被IPsec隧道密文保护后,变成了12.1.1.1与12.1.1.2之间互访;主机3与主机4之间私网(14.1.1.3与21.1.1.3之间互访)流量触发主机接入的两个安全网关之间建立IPsec隧道,被IPsec隧道密文保护后,依然变成了12.1.1.1与12.1.1.2之间互访。
安全网关在转发密文时,通常包括两种处理方式:逐流转发和逐包转发。逐流转发指根据报文的五元组进行HASH处理。安全网关作为中间设备,接收到报文后,虽然内层私网报文存在大量不同的五元组,但由于是加密报文,安全网关无法解析到内层报文,也就无法根据内层报文的五元组进行哈希(HASH),只能根据IPsec隧道的五元组进行HASH。而这10万个IPsec隧道的公网地址均是相同的,仅存在一个五元组信息。最终,都由安全网关的同一个CPU处理,极大限制了IPsec隧道转发密文的能力。
逐包转发指将密文随机分配至安全网关不同的CPU进行处理。这种方式在实际处理时,极易乱序,而密文的乱序将会导致明文的乱序。对于时序要求比较高的业务(例如,视频业务),会导致大量的重传,增加网络的负载。
发明内容
有鉴于此,本申请提供了一种通信方法及装置,用以解决现有逐包转发方式带来的乱序问题以及逐流转发方式中密文均上送同一个CPU,其他CPU空闲浪费,带来的转发性能下降的问题。
第一方面,本申请提供了一种通信方法,所述方法应用于第一网络设备,所述方法包括:
接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;
对所述SPI值进行哈希处理,得到SPI哈希值;
向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
第二方面,本申请提供了一种通信装置,所述装置应用于第一网络设备,所述装置包括:
接收单元,用于接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;
处理单元,用于对所述SPI值进行哈希处理,得到SPI哈希值;
发送单元,用于向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,应用本申请提供的通信方法及装置,第一网络设备接收第二网络设备发送的第一IPsec报文,该第一IPsec报文包括SPI值;第一网络设备对SPI值进行哈希处理,得到SPI哈希值;第一网络设备向第三网络设备发送第一IP报文,该第一IP报文包括SPI哈希值,以使得根据SPI哈希值,该第三网络设备从包括的多核中选择出第一处理核,第一处理核用于对第一IP报文执行转发操作。
如此,利用对SPI值进行哈希处理,将哈希结果携带在IP报文中。后续接收到该IP报文的网络设备可依据哈希结果进行分核处理,将属于不同业务流的IP报文平均分担至不同处理核,提高了网络设备的转发性能;同时,也保证了明文的时序。解决了现有逐包转发方式带来的乱序问题以及逐流转发方式中密文均上送同一个CPU,其他CPU空闲浪费,带来的转发性能下降的问题。
附图说明
图1为本申请实施例提供的通信方法的流程图;
图2为本申请实施例提供的第一IPsec报文示意图;
图3为本申请实施例提供的第一IP报文示意图;
图4为本申请实施例提供的通信装置结构图;
图5为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的通信方法进行详细地说明。参见图1,图1为本申请实施例提供的通信方法的流程图。该方法应用于第一网络设备,本申请实施例提供的通信方法可包括如下所示步骤。
步骤110、接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;
具体地,第一主机与第二主机欲进行访问交互。第一主机向第二网络设备发送原始业务报文。第二网络设备接收到原始业务报文后,通过查找转发表确定需通过IPsec隧道转发原始业务报文。按照现有的ESP协议,第二网络设备对原始业务报文进行封装处理,生成第一IPsec报文。
可以理解的是,按照现有的ESP协议规定,第一IPsec报文包括外层IP头部以及ESP头部,ESP头部承载SPI值。如图2所示,图2为本申请实施例提供的第一IPsec报文示意图。在图2中,第一IPsec报文还包括原始业务报文,该原始业务报文包括内层IP头部以及数据。其中,该外层IP头部也即是IPsec隧道头部。
第二网络设备通过IPsec隧道转发第一IPsec报文,并向下一跳网络设备,即第一网络设备发送第一IPsec报文。
第一网络设备接收到第一IPsec报文后,从ESP头部内获取SPI值。
需要说明的是,第二网络设备可具体为第一主机接入的安全网关,第一网络设备可具体为第二主机接入的安全网关。第二网络设备可与第一网络设备之间建立IPsec隧道,同时,协商使用ESP协议对原始业务报文进行加密处理,保证数据的机密性。
可以理解的是,第一网络设备接收到第一IPsec报文后,识别外层IP头部包括的目的地址为自身的地址后,将外层IP头部从第一IPsec报文中剥离。第一网络设备从ESP头部中获取SPI值,并将ESP头部从第一IPsec报文中剥离。
步骤120、对所述SPI值进行哈希处理,得到SPI哈希值;
具体地,根据步骤110的描述,第一网络设备获取到SPI值后,对SPI值进行哈希处理,得到SPI哈希值。
可以理解的是,上述哈希处理可参照现有哈希计算的过程,在此不再复述。
步骤130、向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
具体地,根据步骤120的描述,第一网络设备得到SPI哈希值后,生成第一IP报文,该第一IP报文包括SPI哈希值。
可选地,第一IP报文包括SPI-哈希字段以及原始业务报文。SPI-哈希字段承载SPI哈希值,SPI-哈希字段处于原始业务报文外层。
可选地,SPI-哈希字段为TLV格式,该SPI-哈希字段包括标志子字段(占位8bit)、类型子字段(占位8bit)、长度子字段(占位16bit)以及值子字段(占位32bit)。
其中,标志子字段的值为0或1;为1,表示值子字段不为空;为0,表示值子字段为空;类型子字段用于表示该TLV的承载类型;长度字段用于表示该TLV的总长度;值子字段用于承载SPI哈希值(例如,2124gf26d5r8s61g5r5636dssdf8952g)。
如图3所示,图3为本申请实施例提供的第一IP报文示意图。在图3中,SPI-哈希字段处于原始业务报文外层。由于第一网络设备为IPsec隧道的目的端点,也即是出隧道报文,因此,第一IP报文不包括外层IP头部以及ESP头部,原始业务报文包括内层IP头部以及数据。
第一网络设备剥离外层IP头部以及ESP步骤后,获取到原始业务报文,并从原始业务报文包括的内层IP头部中获取目的地址。根据目的地址,第一网络设备查找转发表项。第一网络设备从转发表项中获取下一跳信息,并通过下一跳信息确定下一跳网络设备为第三网络设备。
第一网络设备生成第一IP报文后,向第三网络设备发送第一IP报文。在本申请实施例中,第三网络设备自身开启逐流转发模式,关闭逐包转发模式。
第三网络设备接收到第一IP报文后,先识别SPI-哈希字段中标志子字段的值。若标志子字段的值为1,则第三网络设备确定SPI-哈希字段中值子字段不为空,并根据值字段内存储的SPI哈希值进行选核处理。若标志子字段的值为0,则第三网络设备确定SPI-哈希字段中值子字段为空,后续按照自身原始处理报文的流程(根据内层IP头部的五元组进行哈希计算后选核)进行处理。
第三网络设备从值子字段内获取SPI哈希值。根据SPI哈希值,第三网络设备从本地多核中选择一个与SPI哈希值匹配的核,该核可作为第一处理核,用于对第一IP报文执行转发操作。
如此,第一网络设备后面的网络设备接收到IP报文后,无需再根据五元组进行哈希后选核,可通过IP报文中SPI-哈希字段内存储的SPI哈希值进行选核。网络设备能够将业务流量平均分配至自身包括的全部核中,节省了自身执行哈希处理的过程,也提高自身每个核的处理能力。
在本申请实施例中,在对SPI值进行哈希处理过程中,得到的每个SPI哈希值是完全不同的。网络设备在接收到大量的报文后,由于每个SPI哈希值完全不同,网络设备在将不同业务流的业务流量进行平均分配时,能够均匀地将业务流量分担至所有核进行处理。如此,通过SPI-哈希字段,第一网络设备指导了后续网络设备该如何转发业务报文。
因此,应用本申请提供的通信方法,第一网络设备接收第二网络设备发送的第一IPsec报文,该第一IPsec报文包括SPI值;第一网络设备对SPI值进行哈希处理,得到SPI哈希值;第一网络设备向第三网络设备发送第一IP报文,该第一IP报文包括SPI哈希值,以使得根据SPI哈希值,该第三网络设备从包括的多核中选择出第一处理核,第一处理核用于对第一IP报文执行转发操作。
如此,利用对SPI值进行哈希处理,将哈希结果携带在IP报文中。后续接收到该IP报文的网络设备可依据哈希结果进行分核处理,将属于不同业务流的IP报文平均分担至不同处理核,提高了网络设备的转发性能;同时,也保证了明文的时序。解决了现有逐包转发方式带来的乱序问题以及逐流转发方式中密文均上送同一个CPU,其他CPU空闲浪费,带来的转发性能下降的问题。
可选地,在本申请实施例中,还包括第一网络设备从本地多核中选择出用于对第一IP报文执行转发操作的第二处理核的过程。
具体地,第一网络设备自身开启逐流转发模式,关闭逐包转发模式。第一网络设备得到SPI哈希值后,第一网络设备可先根据SPI哈希值,判断第一IPsec报文是否为所属业务流中的首个报文。若所述第一IPsec报文为所属业务流中的首个报文,则第一网络设备根据SPI哈希值,从第一网络设备包括的多核中选择出第二处理核,该第二处理核用于对第一IP报文执行转发操作。
第一网络设备记录SPI哈希值与第二处理核的核标识之间的对应关系。
需要说明的是,第一网络设备内部建立一个SPI哈希值与核标识之间的对应关系表。第一网络设备每接收到业务流中的首个报文时,将通过首个报文计算出的SPI哈希值,以及为处理该首个报文选择出的处理核的核标识一同存储至对应关系表中。
在本申请实施例中,第一网络设备在为首个报文选择处理核时,可根据业务流的个数与核的个数之比进行选择。例如,业务流的个数为10条,核的个数为10个,则比值为1,也就是每个核处理一条业务流的业务流量。例如,业务流的个数为100条,核的个数为10个,则比值为10,也就是每个核处理10条业务流的业务流量。
如此,第一网络设备可将业务流量均匀地传输至各个核处理,各个核将均衡分担处理业务流量。
上述第一网络设备判断第一IPsec报文是否为所属业务流中的首个报文的过程具体为:第一网络设备判断对应关系表中是否存在与SPI哈希值匹配的对应关系表项。若对应关系表中存在与SPI哈希值匹配的对应关系表项,则第一网络设备确定第一IPsec报文不是首个报文;若对应关系表中未存在与SPI哈希值匹配的对应关系表项,则第一网络设备确定第一IPsec报文是首个报文。
可选地,在本申请实施例中,还包括第一网络设备再次接收到第二IPsec报文后,对第二IPsec报文进行处理的过程。
具体地,当第一网络设备再次接收到第二IPsec报文(报文结构与第一IPsec报文结构相同),且,第一网络设备对第二IPsec报文包括的SPI值进行哈希处理后再次得到SPI哈希值(该SPI哈希值与步骤120中的SPI哈希值相同)时,根据SPI哈希值,第一网络设备从对应关系中获取与SPI哈希值对应的核标识,该核标识指示第二处理核,第二处理核用于对后续接收到的第二IP报文执行转发操作。
第一网络设备生成并向第三网络设备发送第二IP报文(报文结构与第一IP报文结构相同),该第二IP报文包括上述SPI哈希值,以使得根据SPI哈希值,第三网络设备再次根据SPI哈希值选择第一处理核,该第一处理核用于对第二IP报文执行转发操作。
如此,计算出每个SPI哈希值后,均可根据对应关系,查找到对应的处理核,实现各个核均衡分担业务流量。
基于同一发明构思,本申请实施例还提供了通信方法对应的通信装置。参见图4,图4为本申请实施例提供的通信装置,所述装置应用于第一网络设备,所述装置包括:
接收单元410,用于接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;
处理单元420,用于对所述SPI值进行哈希处理,得到SPI哈希值;
发送单元430,用于向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
可选地,所述装置还包括:
选择单元(图中未示出),用于若所述第一IP报文为所属业务流中的首个IP报文,则根据所述SPI哈希值,从所述第一网络设备包括的多核中选择出第二处理核,所述第二处理核用于对所述第一IP报文执行转发操作;
记录单元(图中未示出),用于记录所述SPI哈希值与所述第二处理核的核标识之间的对应关系。
可选地,所述第一IPsec报文包括外层IP头部、ESP头部以及原始业务报文,所述ESP头部承载所述SPI值;
所述第一IP报文包括SPI-哈希字段以及所述原始业务报文,所述SPI-哈希字段承载所述SPI哈希值,所述SPI-哈希字段处于所述原始业务报文外层。
可选地,所述SPI-哈希字段包括标志子字段、类型子字段、长度子字段以及值子字段,所述值子字段承载所述SPI哈希值。
可选地,所述装置还包括:
获取单元(图中未示出),用于当再次接收到第二IPsec报文且对所述第二IPsec报文包括的SPI值进行哈希处理后再次得到所述SPI哈希值时,根据所述SPI哈希值,从所述对应关系中获取与所述SPI哈希值对应的核标识,所述核标识指示所述第二处理核,所述第二处理核用于对后续接收到的第二IP报文执行转发操作;
所述发送单元430还用于,向所述第三网络设备发送所述第二IP报文,所述第二IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备再次根据所述SPI哈希值选择所述第一处理核,所述第一处理核用于对所述第二IP报文执行转发操作。
因此,应用本申请提供的通信装置,第一网络设备接收第二网络设备发送的第一IPsec报文,该第一IPsec报文包括SPI值;第一网络设备对SPI值进行哈希处理,得到SPI哈希值;第一网络设备向第三网络设备发送第一IP报文,该第一IP报文包括SPI哈希值,以使得根据SPI哈希值,该第三网络设备从包括的多核中选择出第一处理核,第一处理核用于对第一IP报文执行转发操作。
如此,利用对SPI值进行哈希处理,将哈希结果携带在IP报文中。后续接收到该IP报文的网络设备可依据哈希结果进行分核处理,将属于不同业务流的IP报文平均分担至不同处理核,提高了网络设备的转发性能;同时,也保证了明文的时序。解决了现有逐包转发方式带来的乱序问题以及逐流转发方式中密文均上送同一个CPU,其他CPU空闲浪费,带来的转发性能下降的问题。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图5所示,包括处理器510、收发器520和机器可读存储介质530,机器可读存储介质530存储有能够被处理器510执行的机器可执行指令,处理器510被机器可执行指令促使执行本申请实施例所提供的通信方法。前述图4所示的通信装置,可采用如图5所示的网络设备硬件结构实现。
上述计算机可读存储介质530可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质530还可以是至少一个位于远离前述处理器510的存储装置。
上述处理器510可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器510通过读取机器可读存储介质530中存储的机器可执行指令,被机器可执行指令促使能够实现处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
另外,本申请实施例提供了一种机器可读存储介质530,机器可读存储介质530存储有机器可执行指令,在被处理器510调用和执行时,机器可执行指令促使处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于通信装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述方法包括:
接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;
对所述SPI值进行哈希处理,得到SPI哈希值;
向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
2.根据权利要求1所述的方法,其特征在于,所述向第三网络设备发送第一IP报文之前,所述方法还包括:
若所述第一IPsec报文为所属业务流中的首个报文,则根据所述SPI哈希值,从所述第一网络设备包括的多核中选择出第二处理核,所述第二处理核用于对所述第一IP报文执行转发操作;
记录所述SPI哈希值与所述第二处理核的核标识之间的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述第一IPsec报文包括外层IP头部、ESP头部以及原始业务报文,所述ESP头部承载所述SPI值;
所述第一IP报文包括SPI-哈希字段以及所述原始业务报文,所述SPI-哈希字段承载所述SPI哈希值,所述SPI-哈希字段处于所述原始业务报文外层。
4.根据权利要求3所述的方法,其特征在于,所述SPI-哈希字段包括标志子字段、类型子字段、长度子字段以及值子字段,所述值子字段承载所述SPI哈希值。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当再次接收到第二IPsec报文且对所述第二IPsec报文包括的SPI值进行哈希处理后再次得到所述SPI哈希值时,根据所述SPI哈希值,从所述对应关系中获取与所述SPI哈希值对应的核标识,所述核标识指示所述第二处理核,所述第二处理核用于对后续接收到的第二IP报文执行转发操作;
向所述第三网络设备发送所述第二IP报文,所述第二IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备再次根据所述SPI哈希值选择所述第一处理核,所述第一处理核用于对所述第二IP报文执行转发操作。
6.一种通信装置,其特征在于,所述装置应用于第一网络设备,所述装置包括:
接收单元,用于接收第二网络设备发送的第一IPsec报文,所述第一IPsec报文包括SPI值;
处理单元,用于对所述SPI值进行哈希处理,得到SPI哈希值;
发送单元,用于向第三网络设备发送第一IP报文,所述第一IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备从包括的多核中选择出第一处理核,所述第一处理核用于对所述第一IP报文执行转发操作。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
选择单元,用于若所述第一IP报文为所属业务流中的首个IP报文,则根据所述SPI哈希值,从所述第一网络设备包括的多核中选择出第二处理核,所述第二处理核用于对所述第一IP报文执行转发操作;
记录单元,用于记录所述SPI哈希值与所述第二处理核的核标识之间的对应关系。
8.根据权利要求6所述的装置,其特征在于,所述第一IPsec报文包括外层IP头部、ESP头部以及原始业务报文,所述ESP头部承载所述SPI值;
所述第一IP报文包括SPI-哈希字段以及所述原始业务报文,所述SPI-哈希字段承载所述SPI哈希值,所述SPI-哈希字段处于所述原始业务报文外层。
9.根据权利要求8所述的装置,其特征在于,所述SPI-哈希字段包括标志子字段、类型子字段、长度子字段以及值子字段,所述值子字段承载所述SPI哈希值。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
获取单元,用于当再次接收到第二IPsec报文且对所述第二IPsec报文包括的SPI值进行哈希处理后再次得到所述SPI哈希值时,根据所述SPI哈希值,从所述对应关系中获取与所述SPI哈希值对应的核标识,所述核标识指示所述第二处理核,所述第二处理核用于对后续接收到的第二IP报文执行转发操作;
所述发送单元还用于,向所述第三网络设备发送所述第二IP报文,所述第二IP报文包括所述SPI哈希值,以使得根据所述SPI哈希值,所述第三网络设备再次根据所述SPI哈希值选择所述第一处理核,所述第一处理核用于对所述第二IP报文执行转发操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310951167.5A CN117041156A (zh) | 2023-07-28 | 2023-07-28 | 通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310951167.5A CN117041156A (zh) | 2023-07-28 | 2023-07-28 | 通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117041156A true CN117041156A (zh) | 2023-11-10 |
Family
ID=88632821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310951167.5A Pending CN117041156A (zh) | 2023-07-28 | 2023-07-28 | 通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117041156A (zh) |
-
2023
- 2023-07-28 CN CN202310951167.5A patent/CN117041156A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2853070B1 (en) | Multi-tunnel virtual private network | |
| EP3020171B1 (en) | Method for enabling control of data packet flows belonging to different access technologies | |
| US9369550B2 (en) | Protocol for layer two multiple network links tunnelling | |
| US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
| US10601610B2 (en) | Tunnel-level fragmentation and reassembly based on tunnel context | |
| US9769116B2 (en) | Encapsulating traffic while preserving packet characteristics | |
| US10827041B2 (en) | Packet fragmentation control | |
| US20190372948A1 (en) | Scalable flow based ipsec processing | |
| US11362933B2 (en) | Methods and systems for sending packets through a plurality of tunnels | |
| KR100748698B1 (ko) | 보안 통신 시스템의 패킷 처리 방법 및 그 장치 | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| US9137216B2 (en) | Session layer data security | |
| US20230336378A1 (en) | Establishing a network micro-tunnel within a network tunnel | |
| JP2016508682A (ja) | ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成 | |
| US11134060B2 (en) | Mobile virtual private network configuration | |
| CN113965518A (zh) | 一种报文处理的方法及设备 | |
| US20230239279A1 (en) | Method and apparatus for security communication | |
| CN117041156A (zh) | 通信方法及装置 | |
| KR102654182B1 (ko) | 네트워크 트래픽 관리의 개선을 위한 패킷 확인 응답 기술 | |
| WO2024041064A1 (zh) | Quic报文的传输方法及相关设备 | |
| CN116260567A (zh) | 一种报文转发方法及装置 | |
| WO2023208313A1 (en) | Cpu and method associated with a security association | |
| CN117201639A (zh) | 一种报文传输方法、网络虚拟化边缘设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |