處理過(guò)程如圖3所示�,該實(shí)施例從SW1、SW2和控制器交互的角度進(jìn)行描述的���,該過(guò)程包括:
[0059]步驟S301����,Sffl和SW2在VXLAN網(wǎng)絡(luò)中創(chuàng)建VXLAN隧道。
[0060]假設(shè)��,SWl和SW2所創(chuàng)建的隧道包括:VXLAN隧道I和VXLAN隧道2���,其中���,VXLAN隧道I存在加密發(fā)送的需求。
[0061]步驟S302��,Sffl向控制器上報(bào)端口狀態(tài)消息��,以通告控制器存在加密發(fā)送需求的VXLAN隧道的邏輯端口���。
[0062]在該實(shí)施例中,SWl通告控制器VXLAN隧道I的邏輯端口��,其中���,VXLAN隧道I的邏輯端口包括隧道邏輯端口���、源地址�、目的地址和支持加密的屬性信息���。
[0063]步驟S303����,SW2向控制器上報(bào)端口狀態(tài)消息���,以通告控制器存在加密發(fā)送需求的VXLAN隧道的邏輯端口�����。
[0064]同樣地���,SW2也會(huì)通告控制器VXLAN隧道I的邏輯端口,其中��,VXLAN隧道I的邏輯端口包括隧道邏輯端口�、源地址、目的地址和支持加密的屬性信息�����。需要指出的是�����,二者的隧道地址是對(duì)應(yīng)的,即SWl上VXLAN隧道I的源地址等于SW2上VXLAN隧道I的目的地址��,Sffl上VXLAN隧道I的目的地址等于SW2上VXLAN隧道I的源地址�����,二者支持相同的加密算法���。
[0065]步驟S304��,控制器接收到兩個(gè)端口狀態(tài)消息后�����,檢查兩個(gè)邏輯端口信息是否一致,若一致��,則向SWl和SW2發(fā)送端口修改消息(Port Modificat1n Message)����,該端口修改消息中攜帶有加密信息。
[0066]當(dāng)然����,若兩個(gè)隧道的邏輯端口信息不一致����,則不會(huì)發(fā)送包含加密信息的端口修改信息�����,從而無(wú)法對(duì)對(duì)應(yīng)隧道上的數(shù)據(jù)進(jìn)行加密�。
[0067]其中,加密信息可包括加密算法�����、密鑰和密匙���。
[0068]步驟S305��,Sffl和SW2接收并解析該端口修改消息��,從中提取出加密信息�����,更新本地的隧道轉(zhuǎn)發(fā)表�����,增加隧道的加密功能�����。
[0069]步驟S306���,Sffl和SW2使用VXLAN隧道I轉(zhuǎn)發(fā)用戶報(bào)文時(shí)����,對(duì)該用戶報(bào)文進(jìn)行加密�����,并發(fā)送加密后的報(bào)文�����。
[0070]步驟S307�����,從VXLAN隧道I接收用戶報(bào)文時(shí)���,對(duì)用戶報(bào)文進(jìn)行解密���。
[0071]具體地,轉(zhuǎn)發(fā)用戶報(bào)文時(shí)���,可以采用上述加密算法和密鑰對(duì)用戶報(bào)文進(jìn)行加密���,接收用戶報(bào)文時(shí),可以用上述加密算法和密匙對(duì)用戶報(bào)文進(jìn)行解密�。
[0072]與此同時(shí),由于SWl和SW2之間的另外一個(gè)隧道即VXLAN隧道2不存在加密傳輸需求��,故SWl和SW2可以選擇不上報(bào)該隧道的邏輯端口����,控制器也不會(huì)感知該隧道邏輯端口的存在,當(dāng)然�����,也就不會(huì)在這個(gè)隧道上部署加密操作����。
[0073]通過(guò)上述步驟S301-S306��,實(shí)現(xiàn)了控制器對(duì)Openflow交換機(jī)之間VXLAN隧道上的數(shù)據(jù)的加密操作��,從而達(dá)到了對(duì)VXLAN隧道傳輸?shù)陌踩刂啤?br>[0074]另外����,需要說(shuō)明的是����,若SWl和SW2之間還存在另外一個(gè)隧道假設(shè)為VXLAN隧道3,且VXLAN隧道3也存在加密傳輸需求���,則控制器在接收到SWl和SW2上報(bào)的端口狀態(tài)消息����,且根據(jù)上述端口狀態(tài)消息確認(rèn)二者的邏輯端口信息一致后����,同樣會(huì)向SWl和SW2返回加密信息,但是�����,這次返回的加密信息可以和上次返回的加密信息相同,也可以不同�,即兩個(gè)隧道可以采用相同的加密策略��,也可以采用不同的加密策略�,從而達(dá)到對(duì)隧道傳輸?shù)撵`活控制。
[0075]與前述基于VXLAN隧道的報(bào)文處理方法的實(shí)施例相對(duì)應(yīng)��,本申請(qǐng)還提供了基于VXLAN隧道的報(bào)文處理裝置的實(shí)施例��。
[0076]本申請(qǐng)基于VXLAN隧道的報(bào)文處理裝置的實(shí)施例可以應(yīng)用在交換機(jī)上�。裝置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn),也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)�����。以軟件實(shí)現(xiàn)為例��,作為一個(gè)邏輯意義上的裝置���,是通過(guò)其所在交換機(jī)的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的���。從硬件層面而言,如圖5所示�,是本申請(qǐng)基于VXLAN隧道的報(bào)文處理裝置所在交換機(jī)的一種硬件結(jié)構(gòu)圖��,除了圖5所示的處理器����、內(nèi)存����、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外�����,實(shí)施例中裝置所在的交換機(jī)通常根據(jù)其實(shí)際功能�,還可以包括其他硬件,對(duì)此不再贅述�����。
[0077]圖6是本申請(qǐng)一示例性實(shí)施例示出的一種基于VXLAN隧道的報(bào)文處理裝置的框圖�,該裝置可應(yīng)用于創(chuàng)建VXLAN隧道的兩個(gè)交換機(jī)上,如圖6所示���,該基于VXLAN隧道的報(bào)文處理裝置包括上報(bào)模塊61和處理模塊62��,其中:
[0078]上報(bào)模塊61用于在創(chuàng)建VXLAN隧道后���,向控制器上報(bào)各自的端口狀態(tài)消息��,其中����,端口狀態(tài)消息中攜帶有隧道信息���,隧道信息中包含加密能力信息,以使控制器在確認(rèn)兩個(gè)交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同時(shí)�����,返回?cái)y帶有加密信息的端口修改消息�����;處理模塊62用于接收端口修改消息����,從端口修改消息中解析出加密信息,并根據(jù)加密信息對(duì)進(jìn)入VXLAN隧道的報(bào)文進(jìn)行加密處理或者對(duì)VXLAN隧道輸出的報(bào)文進(jìn)行解密處理���。
[0079]在該實(shí)施例中�,上報(bào)模塊可以將隧道信息以邏輯端口的形式上報(bào)至控制器,為了實(shí)現(xiàn)這一功能���,需要對(duì)現(xiàn)有的端口狀態(tài)消息(Port Status Message)進(jìn)行擴(kuò)展��,即在端口狀態(tài)消息中攜帶有用于表示該消息的端口是VXLAN隧道邏輯端口的端口類型���,同時(shí)在該端口狀態(tài)消息中攜帶隧道源地址、隧道目的地址和加密能力信息����,其中,加密能力信息可以用于表示交換機(jī)是否支持加密�,以及支持加密時(shí)的加密算法等。
[0080]在該實(shí)施例中���,控制器是通過(guò)端口修改消息將隧道邏輯端口的加密信息下發(fā)到交換機(jī)�����,所以需要對(duì)該端口修改消息進(jìn)行擴(kuò)展�����,以表示對(duì)應(yīng)消息的端口(即當(dāng)前端口)為隧道邏輯端口�,同時(shí),該端口修改消息中可攜帶隧道邏輯端口的加密信息�����,其中��,加密信息包括加密算法���、密鑰和密匙,修改后的端口修改消息結(jié)構(gòu)體定義可參見(jiàn)方法實(shí)施例的相關(guān)部分��,此處不贅述���。
[0081]需要說(shuō)明的是�����,控制器在部署隧道上的加密操作時(shí)���,是按照隧道邏輯端口來(lái)進(jìn)行的,相同的兩個(gè)交換機(jī)之間存在多個(gè)不同的隧道時(shí)�����,這些隧道可以按照需要進(jìn)行部署,包括是否支持隧道加密�����、加密算法可以相同���,也可以不同�。但為了對(duì)不同隧道進(jìn)行靈活的控制�����,可以采用不同的加密算法�。
[0082]上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見(jiàn)上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過(guò)程,在此不再贅述���。
[0083]對(duì)于裝置實(shí)施例而言���,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可��。以上所描述的裝置實(shí)施例僅僅是示意性的�����,其中作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元�����,即可以位于一個(gè)地方����,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?����?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本申請(qǐng)方案的目的���。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施���。
[0084]上述基于VXLAN隧道的報(bào)文處理裝置�����,通過(guò)上報(bào)模塊向控制器上報(bào)各自的端口狀態(tài)消息����,使得控制器在確認(rèn)兩個(gè)交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同時(shí),返回?cái)y帶有加密信息的端口修改消息�����;通過(guò)處理模塊從接收的端口修改消息中解析出加密信息����,并根據(jù)加密信息對(duì)進(jìn)入VXLAN隧道的報(bào)文進(jìn)行加密處理或者對(duì)VXLAN隧道輸出的報(bào)文進(jìn)行解密處理,避免了用戶在VTEP上的靜態(tài)配置工作�����,實(shí)現(xiàn)了控制器對(duì)隧道上用戶報(bào)文的靈活加密控制����,有利于SDN的整網(wǎng)部署。
[0085]與前述基于VXLAN隧道的報(bào)文處理方法的實(shí)施例相對(duì)應(yīng)��,本申請(qǐng)還提供了基于VXLAN隧道的報(bào)文處理裝置的實(shí)施例��。
[0086]本申請(qǐng)基于VXLAN隧道的報(bào)文處理裝置的實(shí)施例可以應(yīng)用在控制器上����。裝置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn)�����,也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)����。以軟件實(shí)現(xiàn)為例�,作為一個(gè)邏輯意義上的裝置,是通過(guò)其所在控制器的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的��。從硬件層面而言�����,如圖7所示�,是本申請(qǐng)基于VXLAN隧道的報(bào)文處理裝置所在控制器的一種硬件結(jié)構(gòu)圖,除了圖7所示的處理器����、內(nèi)存�����、網(wǎng)絡(luò)接口�����、以及非易失性存儲(chǔ)器之外,實(shí)施例中裝置所在的控制器通常根據(jù)其實(shí)際功能��,還可以包括其他硬件�����,對(duì)此不再贅述�����。
[0087]圖8是本申請(qǐng)一示例性實(shí)施例示出的另一種基于VXLAN隧道的報(bào)文處理裝置的框圖����,該裝置可應(yīng)用于控制器上,如圖8所示���,該基于VXLAN隧道的報(bào)文處理裝置包括接收模塊81和返回模塊82���,其中:
[0088]接收模塊81用于接收創(chuàng)建VXLAN隧道的兩個(gè)交換機(jī)上報(bào)的端口狀態(tài)消息,其中����,端口狀態(tài)消息中攜帶有隧道信息���,隧道信息中包含加密能力信息;返回模塊82用于若確認(rèn)兩個(gè)交換機(jī)上報(bào)的隧道信息一致且支持的加密算法至少部分相同���,則向兩個(gè)交換機(jī)返回?cái)y帶有加密信息的端口修改消息����,以使兩個(gè)交換機(jī)從端口修改消息中解