處理過程如圖3所示,該實施例從SW1��、SW2和控制器交互的角度進行描述的����,該過程包括:
[0059]步驟S301,Sffl和SW2在VXLAN網(wǎng)絡(luò)中創(chuàng)建VXLAN隧道。
[0060]假設(shè)���,SWl和SW2所創(chuàng)建的隧道包括:VXLAN隧道I和VXLAN隧道2�����,其中��,VXLAN隧道I存在加密發(fā)送的需求���。
[0061]步驟S302,Sffl向控制器上報端口狀態(tài)消息��,以通告控制器存在加密發(fā)送需求的VXLAN隧道的邏輯端口�。
[0062]在該實施例中�����,SWl通告控制器VXLAN隧道I的邏輯端口��,其中���,VXLAN隧道I的邏輯端口包括隧道邏輯端口���、源地址���、目的地址和支持加密的屬性信息。
[0063]步驟S303���,SW2向控制器上報端口狀態(tài)消息�����,以通告控制器存在加密發(fā)送需求的VXLAN隧道的邏輯端口�����。
[0064]同樣地�����,SW2也會通告控制器VXLAN隧道I的邏輯端口�,其中���,VXLAN隧道I的邏輯端口包括隧道邏輯端口��、源地址�、目的地址和支持加密的屬性信息。需要指出的是�,二者的隧道地址是對應(yīng)的,即SWl上VXLAN隧道I的源地址等于SW2上VXLAN隧道I的目的地址��,Sffl上VXLAN隧道I的目的地址等于SW2上VXLAN隧道I的源地址��,二者支持相同的加密算法�。
[0065]步驟S304,控制器接收到兩個端口狀態(tài)消息后�����,檢查兩個邏輯端口信息是否一致�����,若一致���,則向SWl和SW2發(fā)送端口修改消息(Port Modificat1n Message),該端口修改消息中攜帶有加密信息����。
[0066]當然,若兩個隧道的邏輯端口信息不一致����,則不會發(fā)送包含加密信息的端口修改信息��,從而無法對對應(yīng)隧道上的數(shù)據(jù)進行加密�����。
[0067]其中����,加密信息可包括加密算法�、密鑰和密匙。
[0068]步驟S305��,Sffl和SW2接收并解析該端口修改消息���,從中提取出加密信息����,更新本地的隧道轉(zhuǎn)發(fā)表�����,增加隧道的加密功能���。
[0069]步驟S306��,Sffl和SW2使用VXLAN隧道I轉(zhuǎn)發(fā)用戶報文時�,對該用戶報文進行加密,并發(fā)送加密后的報文����。
[0070]步驟S307,從VXLAN隧道I接收用戶報文時��,對用戶報文進行解密����。
[0071]具體地,轉(zhuǎn)發(fā)用戶報文時���,可以采用上述加密算法和密鑰對用戶報文進行加密���,接收用戶報文時,可以用上述加密算法和密匙對用戶報文進行解密���。
[0072]與此同時,由于SWl和SW2之間的另外一個隧道即VXLAN隧道2不存在加密傳輸需求�,故SWl和SW2可以選擇不上報該隧道的邏輯端口��,控制器也不會感知該隧道邏輯端口的存在�����,當然��,也就不會在這個隧道上部署加密操作�。
[0073]通過上述步驟S301-S306����,實現(xiàn)了控制器對Openflow交換機之間VXLAN隧道上的數(shù)據(jù)的加密操作,從而達到了對VXLAN隧道傳輸?shù)陌踩刂啤?br>[0074]另外����,需要說明的是,若SWl和SW2之間還存在另外一個隧道假設(shè)為VXLAN隧道3����,且VXLAN隧道3也存在加密傳輸需求,則控制器在接收到SWl和SW2上報的端口狀態(tài)消息�����,且根據(jù)上述端口狀態(tài)消息確認二者的邏輯端口信息一致后��,同樣會向SWl和SW2返回加密信息,但是�,這次返回的加密信息可以和上次返回的加密信息相同,也可以不同���,即兩個隧道可以采用相同的加密策略�����,也可以采用不同的加密策略����,從而達到對隧道傳輸?shù)撵`活控制����。
[0075]與前述基于VXLAN隧道的報文處理方法的實施例相對應(yīng),本申請還提供了基于VXLAN隧道的報文處理裝置的實施例���。
[0076]本申請基于VXLAN隧道的報文處理裝置的實施例可以應(yīng)用在交換機上����。裝置實施例可以通過軟件實現(xiàn)����,也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)����。以軟件實現(xiàn)為例���,作為一個邏輯意義上的裝置,是通過其所在交換機的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的����。從硬件層面而言,如圖5所示��,是本申請基于VXLAN隧道的報文處理裝置所在交換機的一種硬件結(jié)構(gòu)圖���,除了圖5所示的處理器�、內(nèi)存��、網(wǎng)絡(luò)接口��、以及非易失性存儲器之外�����,實施例中裝置所在的交換機通常根據(jù)其實際功能,還可以包括其他硬件����,對此不再贅述。
[0077]圖6是本申請一示例性實施例示出的一種基于VXLAN隧道的報文處理裝置的框圖��,該裝置可應(yīng)用于創(chuàng)建VXLAN隧道的兩個交換機上�����,如圖6所示��,該基于VXLAN隧道的報文處理裝置包括上報模塊61和處理模塊62���,其中:
[0078]上報模塊61用于在創(chuàng)建VXLAN隧道后��,向控制器上報各自的端口狀態(tài)消息�,其中��,端口狀態(tài)消息中攜帶有隧道信息�����,隧道信息中包含加密能力信息����,以使控制器在確認兩個交換機上報的隧道信息一致且支持的加密算法至少部分相同時���,返回攜帶有加密信息的端口修改消息;處理模塊62用于接收端口修改消息��,從端口修改消息中解析出加密信息�����,并根據(jù)加密信息對進入VXLAN隧道的報文進行加密處理或者對VXLAN隧道輸出的報文進行解密處理��。
[0079]在該實施例中�����,上報模塊可以將隧道信息以邏輯端口的形式上報至控制器���,為了實現(xiàn)這一功能,需要對現(xiàn)有的端口狀態(tài)消息(Port Status Message)進行擴展�����,即在端口狀態(tài)消息中攜帶有用于表示該消息的端口是VXLAN隧道邏輯端口的端口類型�����,同時在該端口狀態(tài)消息中攜帶隧道源地址、隧道目的地址和加密能力信息����,其中,加密能力信息可以用于表示交換機是否支持加密���,以及支持加密時的加密算法等��。
[0080]在該實施例中�,控制器是通過端口修改消息將隧道邏輯端口的加密信息下發(fā)到交換機�,所以需要對該端口修改消息進行擴展,以表示對應(yīng)消息的端口(即當前端口)為隧道邏輯端口�,同時,該端口修改消息中可攜帶隧道邏輯端口的加密信息�����,其中�����,加密信息包括加密算法�����、密鑰和密匙,修改后的端口修改消息結(jié)構(gòu)體定義可參見方法實施例的相關(guān)部分���,此處不贅述���。
[0081]需要說明的是,控制器在部署隧道上的加密操作時����,是按照隧道邏輯端口來進行的����,相同的兩個交換機之間存在多個不同的隧道時,這些隧道可以按照需要進行部署��,包括是否支持隧道加密����、加密算法可以相同,也可以不同�。但為了對不同隧道進行靈活的控制,可以采用不同的加密算法�。
[0082]上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程�����,在此不再贅述��。
[0083]對于裝置實施例而言���,由于其基本對應(yīng)于方法實施例,所以相關(guān)之處參見方法實施例的部分說明即可�����。以上所描述的裝置實施例僅僅是示意性的�,其中作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元��,即可以位于一個地方���,或者也可以分布到多個網(wǎng)絡(luò)單元上����?����?梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下��,即可以理解并實施���。
[0084]上述基于VXLAN隧道的報文處理裝置��,通過上報模塊向控制器上報各自的端口狀態(tài)消息���,使得控制器在確認兩個交換機上報的隧道信息一致且支持的加密算法至少部分相同時,返回攜帶有加密信息的端口修改消息��;通過處理模塊從接收的端口修改消息中解析出加密信息����,并根據(jù)加密信息對進入VXLAN隧道的報文進行加密處理或者對VXLAN隧道輸出的報文進行解密處理�����,避免了用戶在VTEP上的靜態(tài)配置工作���,實現(xiàn)了控制器對隧道上用戶報文的靈活加密控制��,有利于SDN的整網(wǎng)部署�����。
[0085]與前述基于VXLAN隧道的報文處理方法的實施例相對應(yīng)���,本申請還提供了基于VXLAN隧道的報文處理裝置的實施例�����。
[0086]本申請基于VXLAN隧道的報文處理裝置的實施例可以應(yīng)用在控制器上�。裝置實施例可以通過軟件實現(xiàn)�����,也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)����。以軟件實現(xiàn)為例,作為一個邏輯意義上的裝置����,是通過其所在控制器的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的。從硬件層面而言��,如圖7所示�����,是本申請基于VXLAN隧道的報文處理裝置所在控制器的一種硬件結(jié)構(gòu)圖,除了圖7所示的處理器���、內(nèi)存����、網(wǎng)絡(luò)接口���、以及非易失性存儲器之外�����,實施例中裝置所在的控制器通常根據(jù)其實際功能�����,還可以包括其他硬件,對此不再贅述��。
[0087]圖8是本申請一示例性實施例示出的另一種基于VXLAN隧道的報文處理裝置的框圖���,該裝置可應(yīng)用于控制器上���,如圖8所示�����,該基于VXLAN隧道的報文處理裝置包括接收模塊81和返回模塊82�����,其中:
[0088]接收模塊81用于接收創(chuàng)建VXLAN隧道的兩個交換機上報的端口狀態(tài)消息��,其中�����,端口狀態(tài)消息中攜帶有隧道信息�����,隧道信息中包含加密能力信息���;返回模塊82用于若確認兩個交換機上報的隧道信息一致且支持的加密算法至少部分相同,則向兩個交換機返回攜帶有加密信息的端口修改消息�����,以使兩個交換機從端口修改消息中解