CN115766063B

CN115766063B - 数据传输方法、装置、设备及介质

Info

Publication number: CN115766063B
Application number: CN202211172634.6A
Authority: CN
Inventors: 田波; 郭栋; 陈浩; 何远杭; 倪思源; 陈雷; 梁嬿良
Original assignee: CETC 30 Research Institute
Current assignee: CETC 30 Research Institute
Priority date: 2022-09-26
Filing date: 2022-09-26
Publication date: 2024-09-27
Anticipated expiration: 2042-09-26
Also published as: CN115766063A

Abstract

本发明公开了数据传输方法、装置、设备及介质，该方法应用于VXLAN网络主机的叠加网络环境，所述方法包括：发出IP数据包，IP数据包进行VXLAN封装后再对IP数据包的内层IP包加密，并将加密后的IP数据包发送至VXLAN网关，其中，所述内层IP包的内层IP头不加密；VXLAN网关对IP数据包进行VXLAN解封装，确定所述IP数据包的发送地址后再次进行VXLAN封装，根据IP地址转发所述IP数据包；对所述IP数据包解密后再进行VXLAN解封装，将解封装后的IP数据包传输至接收方。本发明可解决VXLAN封装与IPsec冲突问题。

Description

数据传输方法、装置、设备及介质

技术领域

本发明属于网络安全技术领域，尤其涉及数据传输方法、装置、设备及介质。

背景技术

VXLAN(虚拟扩展局域网)作为一种常用的封装协议被广泛的应用于云数据中心中，以实现大二层网络的扩展互连。VXLAN存在两种应用部署方式，分别为集中式网关和分布式网关。

网络互联互通后需考虑数据传输的安全性。IPsec(互联网安全协议)是为IP网络提供安全性的协议和服务的集合，通过对IP协议数据进行加密和认证来保护IP协议的网络传输协议簇。

在VXLAN网络主机overlay(叠加网络/覆盖网络)环境中，采用标准IPsec机制对经过VXLAN封装的IP包提供加密保护后，内层IP头及VXLAN头均被加密，密文包经过VTEP(VXLAN隧道端点)网关时，既无法进行正常的VXLAN解封装，也不能获取到内层IP地址信息进行路由匹配，导致业务转发失败。

发明内容

本发明的目的在于，为克服现有技术缺陷，提供了数据传输方法、装置、设备及介质,相比标准IPsec支持的传输和隧道封装模式，本发明提出了一种新的封装模式，实现对VXLAN封装后的内层IP包进行传输模式加密，对外层IP头、UDP头、VXLAN头和内层IP头均不加密，解决了IPsec加密后VXLAN解封装及路由匹配失败的问题，保障了VXLAN网络中各子网之间互联互通。

本发明目的通过下述技术方案来实现：

一种数据传输方法，所述方法应用于VXLAN网络主机的叠加网络环境，所述方法包括：

发出IP数据包，IP数据包进行VXLAN封装后再对IP数据包的内层IP包加密，并将加密后的IP数据包发送至VXLAN网关，其中，所述内层IP包的内层IP头不加密；

VXLAN网关进行VXLAN解封装确定所述IP数据包的发送地址后，再次对IP数据包进行VXLAN封装并转发所述IP数据包；

对所述IP数据包解密后再进行VXLAN解封装，将解封装后的IP数据包传输至接收方。

进一步的，所述IP数据包包括外层IP头、UDP头、VXLAN头和内层IP包，加密后的IP数据包包括外层IP头、UDP头、VXLAN头、内层IP头、ESP头、密文载荷和ESP尾。

进一步的，发送方发出的IP数据包通过第一VTEP网关进行VXLAN封装，接收方接收的IP数据包通过第二VTEP网关进行VXLAN解封装。

进一步的，所述VXLAN网关确定所述IP数据包的发送地址后将所述IP数据包转发具体包括：

对加密后的IP数据包进行VXLAN解封装得到内层IP包，对所述IP数据包进行路由匹配；

根据路由匹配结果再次对内层IP包进行VXLAN封装后，将IP数据包发往第二安全网关对IP数据包解密。

进一步的，所述对所述IP数据包进行路由匹配包括：

通过内层IP头中包含的内层IP地址进行路由匹配。

进一步的，对IP数据包加密通过第一安全网关实现，对IP数据包解密通过第二安全网关实现。

另一方面，本发明还提供了一种数据传输装置，所述装置用于实现前述的数据传输方法，所述装置包括：

数据包发出模块，发出IP数据包，IP数据包进行VXLAN封装后再对IP数据包的内层IP包加密，并将加密后的IP数据包发送至VXLAN网关，其中，所述内层IP包的内层IP头不加密；

数据包转发模块，对IP数据包进行VXLAN解封装并确定IP地址后再次进行VXLAN封装，用于确定所述IP数据包的发送地址后转发所述IP数据包；

数据包送达模块，用于对所述IP数据包解密后再进行VXLAN解封装，将解封装后的IP数据包传输至接收方。

另一方面，本发明还提供了一种计算机设备，计算机设备包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序由所述处理器加载并执行以实现上述的任意一种数据传输方法。

另一方面，本发明还提供了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序由处理器加载并执行以实现上述的任意一种数据传输方法。

本发明的有益效果在于：

本发明对IPsec的加密模式进行了改进，将直接对IP数据包加密的方式，修改为对内层IP包进行传输模式加密，外层IP头、UDP头、VXLAN头及内层IP头不加密，以达到在保障IP数据安全性的前提下，不影响子网之间互联互通的目的。可解决VXLAN封装与IPsec冲突问题。位于IPsec网关之间的VTEP节点可正常对加密后的包进行VXLAN解封装、路由匹配并重新封装。

附图说明

图1是本发明实施例提供的数据传输方法流程示意图；

图2是本发明实施例集中式网关典型部署示意图；

图3是标准IPsec的传输模式加密前后IP数据包结构示意图；

图4是本发明实施例IP数据包加密前后结构示意图；

图5是本发明实施例提供的数据传输装置结构框图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决上述技术问题，提出了本发明数据传输方法、装置、设备及介质的下述各个实施例。

实施例1

本实施例针对IPsec影响VXLAN封装及路由匹配的问题，提出一种VXLAN网络主机overlay环境中IPsec封装方法，相比标准IPsec支持的传输和隧道封装模式，本发明提出了一种新的封装模式，实现对VXLAN封装后的内层IP包进行传输模式加密，对外层IP头、UDP头、VXLAN头和内层IP头均不加密，解决了IPsec加密后VXLAN解封装及路由匹配失败的问题，保障了VXLAN网络中各子网之间互联互通。

参照图2，如图2所示是本实施例集中式网关典型部署示意图，在图中的VXLAN环境中部署了IPsec网关后，在不同子网之间进行互通时，若采用标准IPsec定义的封装模式直接对外层IP进行加密封装，当子网1向子网2发送数据包时，首先，子网1出口的IPsec网关捕获该数据包并加密为密文；然后，加密后的数据包经过VXLAN网关后，VXLAN网关需先进行VXLAN解封装，然后根据内层IP地址进行路由查找，由于VXLAN报头及内层IP头均被加密，VTEP3无法对密文包进行VXLAN解封装，将导致业务失败。参照图3，如图3所示是标准IPsec的传输模式加密前后IP数据包结构示意图，加密后，UDP头、VXLAN头及整个内层IP包均变为密文，VTEP3无法提取VXLAN头及内层IP头中的字段进行VXLAN解封装和路由查找。

本实施例通过对IP数据包分析，提出了一种改进的IPsec封装方式。本实施例将外层IP头、UDP头、VXLAN头及内层IP头以明文的方式发送。VXLAN网关可直接对密文包进行VXLAN解封装及路由查找转发。

参照图1，如图1所示是本实施例提供的数据传输方法流程示意图，该方法具体包括：

发出IP数据包，IP数据包进行VXLAN封装后再对IP数据包的内层IP包加密，并将加密后的IP数据包发送至VXLAN网关，其中，内层IP包的内层IP头不加密。

本实施例中子网1的IP数据首先会经过VTEP1进行VXLAN封装，然后经过IPsec网关1，IPsec网关1对该数据包进行加密。针对内层IP包进行传输模式加密，外层IP头、UDP头、VXLAN头及内层IP头不加密。

确定IP数据包的发送地址后转发IP数据包。

密文包到达VXLAN网关后，首先进行VXLAN解封装。由于外层IP头、UDP头及VXLAN头均未加密，VXLAN网关可正常对密文包进行VXLAN解封装，得到内层IP包。然后根据内层IP地址进行路由匹配，由于内层IP头也未加密，路由匹配可正常完成。最后，根据路由匹配结果，再次对内层IP包进行VXLAN封装后，发往VTEP2。

对IP数据包解密后再进行VXLAN解封装，将解封装后的IP数据包传输至接收方。

IPsec网关2接收到来自VXLAN网关转发的加密数据包后，可对该数据包进行解密。IPsec网关2将解密的数据包发送给VTEP2，VTEP2进行VXLAN解封装后，发送到子网2上的主机。至此，数据传输结束。参照图4，如图4所示是本实施例IP数据包加密前后结构示意图。

本实施例提供的数据传输方法对IPsec的加密模式进行了改进，将直接对IP数据包加密的方式，修改为对内层IP包进行传输模式加密，外层IP头、UDP头、VXLAN头及内层IP头不加密，以达到在保障IP数据安全性的前提下，不影响子网之间互联互通的目的。可解决VXLAN封装与IPsec冲突问题。位于IPsec网关之间的VTEP节点可正常对加密后的包进行VXLAN解封装、路由匹配并重新封装。

实施例2

参照图5，如图5所示是本实施例提供的一种数据传输装置，装置用于实现前述的数据传输方法，该装置包括：

数据包发出模块，发出IP数据包，IP数据包进行VXLAN封装后再对IP数据包的内层IP包加密，并将加密后的IP数据包发送至VXLAN网关，其中，内层IP包的内层IP头不加密；

数据包转发模块，对IP数据包进行VXLAN解封装并确定IP地址后再次进行VXLAN封装，用于确定IP数据包的发送地址后转发IP数据包；

数据包送达模块，用于对IP数据包解密后再进行VXLAN解封装，将解封装后的IP数据包传输至接收方。

本实施例提供的数据传输装置的有益效果，详见前面的实施例，在此不再赘述。

实施例3

本优选实施例提供了一种计算机设备，该计算机设备可以实现本申请实施例所提供的数据传输方法任一实施例中的步骤，因此，可以实现本申请实施例所提供的数据传输方法的有益效果，详见前面的实施例，在此不再赘述。

实施例4

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的数据传输方法中任一实施例的步骤。

其中，该存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

由于该存储介质中所存储的指令，可以执行本发明实施例所提供的任一数据传输方法实施例中的步骤，因此，可以实现本发明实施例所提供的任一数据传输方法所能实现的有益效果，详见前面的实施例，在此不再赘述。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种数据传输方法，所述方法应用于VXLAN网络主机的叠加网络环境，其特征在于，所述方法包括：

VXLAN网关对IP数据包进行VXLAN解封装，确定所述IP数据包的发送地址后再次进行VXLAN封装，根据IP地址转发所述IP数据包，具体包括：

对加密后的IP数据包进行VXLAN解封装得到内层IP包，对所述IP数据包通过内层IP头中包含的内层IP地址进行路由匹配；

根据路由匹配结果再次对内层IP包进行VXLAN封装后，将IP数据包发往第二安全网关对IP数据包解密；

2.如权利要求1所述的数据传输方法，其特征在于，所述IP数据包包括外层IP头、UDP头、VXLAN头和内层IP包，加密后的IP数据包包括外层IP头、UDP头、VXLAN头、内层IP头、ESP头、密文载荷和ESP尾。

3.如权利要求1所述的数据传输方法，其特征在于，发送方发出的IP数据包通过第一VTEP网关进行VXLAN封装，接收方接收的IP数据包通过第二VTEP网关进行VXLAN解封装。

4.如权利要求1所述的数据传输方法，其特征在于，对IP数据包加密通过第一安全网关实现，对IP数据包解密通过第二安全网关实现。

5.一种数据传输装置，其特征在于，所述装置用于实现权利要求1所述的数据传输方法，所述装置包括：

数据包转发模块，对IP数据包进行VXLAN解封装并确定IP地址后再次进行VXLAN封装，用于确定所述IP数据包的发送地址后转发所述IP数据包，具体包括：

6.一种计算机设备，其特征在于，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序由所述处理器加载并执行以实现如权利要求1-4任一项所述的数据传输方法。

7.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序，所述计算机程序由处理器加载并执行以实现如权利要求1-4任一项所述的数据传输方法。