基于虛擬可擴(kuò)展局域網(wǎng)隧道的報(bào)文處理方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請涉及通信技術(shù)���,尤其涉及一種基于虛擬可擴(kuò)展局域網(wǎng)VXLAN隧道的報(bào)文處理方法及裝置����。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,一種新型的網(wǎng)絡(luò)架構(gòu)軟件定義網(wǎng)絡(luò)(SoftwareDefined Network, SDN)應(yīng)運(yùn)而生�,其核心思想是將網(wǎng)絡(luò)設(shè)備的控制層面與轉(zhuǎn)發(fā)層面分離,從而實(shí)現(xiàn)對網(wǎng)絡(luò)流量的靈活控制����。
[0003]在SDN網(wǎng)絡(luò)中,開放流(Openflow)交換機(jī)之間采用虛擬隧道互聯(lián)�����,虛擬隧道由虛擬可擴(kuò)展局域網(wǎng)(Virtual extensible Local Area Network, VXLAN)維護(hù)�����,控制器不需要對網(wǎng)絡(luò)拓?fù)溥M(jìn)行計(jì)算�,也無需關(guān)注設(shè)備之間隧道的轉(zhuǎn)發(fā)路徑和狀態(tài)。當(dāng)主機(jī)之間需要通過VXLAN網(wǎng)絡(luò)時�,控制器指定轉(zhuǎn)發(fā)流表中的動作項(xiàng),報(bào)文將通過封裝隧道進(jìn)入VXLAN網(wǎng)絡(luò)中���,之后根據(jù)隧道頭在VXLAN網(wǎng)絡(luò)中轉(zhuǎn)發(fā)��,到達(dá)目的Openflow交換機(jī)后彈掉VXLAN隧道頭����,并根據(jù)用戶報(bào)文的目的介質(zhì)訪問控制(MAC)地址轉(zhuǎn)發(fā)到用戶側(cè)。
[0004]目前��,VXLAN隧道終端(VXLAN Tunneling End Point��,VTEP)可以根據(jù)靜態(tài)配置的加密算法對進(jìn)入公網(wǎng)的用戶報(bào)文進(jìn)行加密�,也可以在接收到公網(wǎng)側(cè)的VXLAN數(shù)據(jù)幀后,根據(jù)靜態(tài)配置的加密算法對數(shù)據(jù)幀進(jìn)行解密恢復(fù)�����。
[0005]但是�����,目前對報(bào)文的加解密只能由用戶在VTEP上靜態(tài)配置��,當(dāng)VXLAN隧道比較多時��,每個VTEP設(shè)備需要對多個VXLAN隧道進(jìn)行加密配置�����,例如����,有3個VTEP設(shè)備,每個VTEP設(shè)備上有1000個VXLAN隧道����,那么在每個VTEP設(shè)備上都要配置1000次,配置復(fù)雜���,不利于SDN的整網(wǎng)部署及對隧道上用戶報(bào)文的加密控制�。
【發(fā)明內(nèi)容】
[0006]有鑒于此�����,本申請?zhí)峁┮环N基于VXLAN隧道的報(bào)文處理方法及裝置��。
[0007]具體地�����,本申請是通過如下技術(shù)方案實(shí)現(xiàn)的:
[0008]根據(jù)本發(fā)明實(shí)施例的第一方面����,提供一種基于虛擬可擴(kuò)展局域網(wǎng)VXLAN隧道的報(bào)文處理方法,所述方法應(yīng)用于創(chuàng)建所述VXLAN隧道的兩個交換機(jī)上,所述方法包括:
[0009]創(chuàng)建所述VXLAN隧道后��,向控制器上報(bào)各自的端口狀態(tài)消息���,其中����,所述端口狀態(tài)消息中攜帶有隧道信息�����,所述隧道信息中包含加密能力信息�,以使所述控制器在確認(rèn)所述兩個交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同時,向所述兩個交換機(jī)返回?cái)y帶有加密信息的端口修改消息���;以及
[0010]接收所述端口修改消息,從所述端口修改消息中解析出加密信息�����,并根據(jù)所述加密信息對進(jìn)入所述VXLAN隧道的報(bào)文進(jìn)行加密處理或者對所述VXLAN隧道輸出的報(bào)文進(jìn)行解密處理���。
[0011]根據(jù)本發(fā)明實(shí)施例的第二方面�����,提供一種基于虛擬可擴(kuò)展局域網(wǎng)VXLAN隧道的報(bào)文處理方法���,所述方法應(yīng)用于軟件定義網(wǎng)絡(luò)SDN中的控制器上���,所述方法包括:
[0012]接收創(chuàng)建所述VXLAN隧道的兩個交換機(jī)上報(bào)的端口狀態(tài)消息,其中����,所述端口狀態(tài)消息中攜帶有隧道信息,所述隧道信息中包含加密能力信息��;
[0013]若確認(rèn)所述兩個交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同����,則向所述兩個交換機(jī)返回?cái)y帶有加密信息的端口修改消息,以使所述兩個交換機(jī)從所述端口修改消息中解析出加密信息����,并根據(jù)所述加密信息對進(jìn)入所述VXLAN隧道的報(bào)文進(jìn)行加密處理或者對所述VXLAN隧道輸出的報(bào)文進(jìn)行解密處理。
[0014]根據(jù)本發(fā)明實(shí)施例的第三方面��,提供一種基于虛擬可擴(kuò)展局域網(wǎng)VXLAN隧道的報(bào)文處理裝置���,所述裝置應(yīng)用于創(chuàng)建所述VXLAN隧道的兩個交換機(jī)上����,所述裝置包括:
[0015]上報(bào)模塊,用于在創(chuàng)建所述VXLAN隧道后�,向控制器上報(bào)各自的端口狀態(tài)消息,其中��,所述端口狀態(tài)消息中攜帶有隧道信息��,所述隧道信息中包含加密能力信息����,以使所述控制器在確認(rèn)所述兩個交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同時,返回?cái)y帶有加密信息的端口修改消息�;以及
[0016]處理模塊,用于接收所述端口修改消息�����,從所述端口修改消息中解析出加密信息�,并根據(jù)所述加密信息對進(jìn)入所述VXLAN隧道的報(bào)文進(jìn)行加密處理或者對所述VXLAN隧道輸出的報(bào)文進(jìn)行解密處理�。
[0017]根據(jù)本發(fā)明實(shí)施例的第四方面,提供一種基于虛擬可擴(kuò)展局域網(wǎng)VXLAN隧道的報(bào)文處理裝置����,所述裝置應(yīng)用于SDN中的控制器上��,所述裝置包括:
[0018]接收模塊��,用于接收創(chuàng)建所述VXLAN隧道的兩個交換機(jī)上報(bào)的端口狀態(tài)消息���,其中,所述端口狀態(tài)消息中攜帶有隧道信息����,所述隧道信息中包含加密能力信息;
[0019]返回模塊��,用于若確認(rèn)所述兩個交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同����,則向所述兩個交換機(jī)返回?cái)y帶有加密信息的端口修改消息,以使所述兩個交換機(jī)從所述端口修改消息中解析出加密信息�����,并根據(jù)所述加密信息對進(jìn)入所述VXLAN隧道的報(bào)文進(jìn)行加密處理或者對所述VXLAN隧道輸出的報(bào)文進(jìn)行解密處理�����。
[0020]在本申請實(shí)施例中,創(chuàng)建VXLAN隧道的兩個交換機(jī)通過向控制器上報(bào)各自的端口狀態(tài)消息��,使得控制器在確認(rèn)兩個交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同時�,向這兩個交換機(jī)返回?cái)y帶有加密信息的端口修改消息;通過從接收的端口修改消息中解析出加密信息���,并根據(jù)加密信息對進(jìn)入VXLAN隧道的報(bào)文進(jìn)行加密處理或者對VXLAN隧道輸出的報(bào)文進(jìn)行解密處理���,避免了用戶在VTEP上的靜態(tài)配置工作,實(shí)現(xiàn)了控制器對隧道上用戶報(bào)文的靈活加密控制�,有利于SDN的整網(wǎng)部署。
【附圖說明】
[0021]圖1是本申請一示例性實(shí)施例示出的一種基于VXLAN隧道的報(bào)文處理方法的流程圖����;
[0022]圖2是本申請一示例性實(shí)施例示出的另一種基于VXLAN隧道的報(bào)文處理方法的流程圖;
[0023]圖3是本申請一示例性實(shí)施例示出的一種基于VXLAN隧道的報(bào)文處理方法的信令流程圖����;
[0024]圖4是本申請一示例性實(shí)施例示出的一種SDN網(wǎng)絡(luò)的架構(gòu)示意圖;
[0025]圖5是本申請基于VXLAN隧道的報(bào)文處理裝置所在交換機(jī)的一種硬件結(jié)構(gòu)圖���;
[0026]圖6是本申請一示例性實(shí)施例示出的一種基于VXLAN隧道的報(bào)文處理裝置的框圖��;
[0027]圖7是本申請基于VXLAN隧道的報(bào)文處理裝置所在控制器的一種硬件結(jié)構(gòu)圖�����;
[0028]圖8是本申請一示例性實(shí)施例示出的另一種基于VXLAN隧道的報(bào)文處理裝置的框圖���。
【具體實(shí)施方式】
[0029]這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明,其示例表示在附圖中���。下面的描述涉及附圖時�����,除非另有表示�,不同附圖中的相同數(shù)字表示相同或相似的要素��。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請相一致的所有實(shí)施方式��。相反��,它們僅是與如所附權(quán)利要求書中所詳述的���、本申請的一些方面相一致的裝置和方法的例子��。
[0030]在本申請使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的��,而非旨在限制本申請����。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式�,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解�����,本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合�。
[0031]應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一����、第二、第三等來描述各種信息��,但這些信息不應(yīng)限于這些術(shù)語�����。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開�。例如,在不脫離本申請范圍的情況下��,第一信息也可以被稱為第二信息,類似地���,第二信息也可以被稱為第一信息。取決于語境�����,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”���。
[0032]在本申請實(shí)施例中�����,SDN網(wǎng)絡(luò)中的交換機(jī)例如Openflow交換機(jī)可以將隧道信息及時上報(bào)至控制器��,并由控制器根據(jù)隧道信息對隧道上傳輸?shù)膱?bào)文進(jìn)行加密控制����,避免了用戶的靜態(tài)配置工作���,實(shí)現(xiàn)了控制器對隧道承載業(yè)務(wù)加密的完全控制�。下面結(jié)合具體實(shí)施例對本申請的實(shí)現(xiàn)過程進(jìn)行詳細(xì)描述��。
[0033]圖1是本申請一示例性實(shí)施例示出的一種基于VXLAN隧道的報(bào)文處理方法的流程圖,該實(shí)施例從創(chuàng)建VXLAN隧道的兩個交換機(jī)側(cè)進(jìn)行描述���。如圖1所示�,該基于VXLAN隧道的報(bào)文處理方法包括:
[0034]步驟SlOI�����,創(chuàng)建VXLAN隧道后����,向控制器上報(bào)各自的端口狀態(tài)消息,其中���,端口狀態(tài)消息中攜帶有隧道信息�,隧道信息中包含是否支持加密的信息�����,以使控制器在確認(rèn)兩個交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同時�,向兩個交換機(jī)返回?cái)y帶有加密信息的端口修改消息。
[0035]在該實(shí)施例