一种基于VPP的用户侧接入云间互联的系统和方法
| 专利类型 | 发明公开 | 法律事件 | 公开; 实质审查; |
| 专利有效性 | 实质审查 | 当前状态 | 实质审查 |
| 申请号 | CN202311702855.4 | 申请日 | 2023-12-12 |
| 公开(公告)号 | CN117880000A | 公开(公告)日 | 2024-04-12 |
| 申请人 | 天翼云科技有限公司; | 申请人类型 | 企业 |
| 发明人 | 张阳; 曾浩; 钟柱梁; 何志强; | 第一发明人 | 张阳 |
| 权利人 | 天翼云科技有限公司 | 权利人类型 | 企业 |
| 当前权利人 | 天翼云科技有限公司 | 当前权利人类型 | 企业 |
| 省份 | 当前专利权人所在省份:北京市 | 城市 | 当前专利权人所在城市:北京市东城区 |
| 具体地址 | 当前专利权人所在详细地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室 | 邮编 | 当前专利权人邮编:100007 |
| 主IPC国际分类 | H04L12/46 | 所有IPC国际分类 | H04L12/46 ; H04L41/40 ; H04L67/02 ; H04L67/141 |
| 专利引用数量 | 0 | 专利被引用数量 | 0 |
| 专利权利要求数量 | 10 | 专利文献类型 | A |
| 专利代理机构 | 专利代理人 | ||
| 摘要 | 本 发明 涉及网络技术与安全技术领域,是一种基于VPP的用户侧接入 云 间互联的系统和方法,具体方法包括:构建云间互联标准条件,搭建云网关互联中多租户VPC跨资源池的 访问 路径;通过业务管理平台提供一个web页面,根据用户创建的一个云间互联实例,选择所属各个资源池的vpc之后,对VPC所属的资源池云网关下发配置并打通overlay通道,进行租户的vpc跨资源池互通;根据用户订购的vCPE虚拟设备,通过agent在业务管理平台进行注册绑定处理;将客户侧网络接入云间互联。本发明解决了 现有技术 中,只是给用户接入单个资源池,或者要接入多个资源池也需要建立多条ipsec vpn隧道,导致用户上云配置变的复杂,不好管理,也会导致隧道数据太多,增加云网关的压 力 。 | ||
| 权利要求 | 1.一种基于VPP的用户侧接入云间互联的方法,其特征在于:所述方法包括如下具体步骤: |
||
| 说明书全文 | 一种基于VPP的用户侧接入云间互联的系统和方法技术领域[0001] 本发明涉及网络技术与安全技术领域,是一种基于VPP的用户侧接入云间互联的系统和方法。 背景技术[0002] 随着云计算的快速发展,云厂商在全国各地也建设了大量的资源池,资源池之间跨公网互联的场景成为了WAN网络上的一类重要应用场景,也被称为云间互联,主要服务于租户的VPC跨资源访问,如果客户在多个资源池内都有VPC资源,当他开了云间互联业务之后,这些VPC就可以轻松地进行网络全互联.但是对于用户侧,如公司内网等,用户也想接入到他的云间互联实例中,使用户云上资源和云下资源池网络融合一体,这个时候就需要一种用户侧接入云间互联的方案.而传统的上云方案中,只是给用户接入单个资源池,或者要接入多个资源池也需要建立多条ipsec vpn隧道,这样导致用户上云配置变的复杂,不好管理,也会导致隧道数据太多,增加云网关的压力. [0003] 在现有已公开的发明技术中,如申请公开号为CN115633014A的专利公开了一种基于vCPE的组网方法及相关组件,该方法应用于包括用户侧和边缘云侧的基于vCPE的二层网络组网系统,包括:获取用户侧的用户相关信息以确定用户侧对应的vCPE资源,并通过预设网络地址分配原则为用户侧分配目标网络地址,基于对应的vCPE资源和目标网络地址组建目标局域网网络,以便在接收到DHCP请求后基于目标局域网网络接入互联网。 [0004] 又如申请公开号为CN109743370A的专利公开了基于SD‑WAN的混合云连接方法及系统,中央控制模块监测网络状态,根据网络状态对网络资源进行调度;公有云对接模块能够与公有云的接入设备对接,创建专用数据传送通道,将数据访问请求送达至公有云;接入网关模块与SDN骨干网和互联网互联;客户侧接入模块与客户终端和接入网关互联,将客户终端发出的数据访问请求通过SDN交换机传送至公有云;SDN骨干网模块与公有云对接模块和接入网关互联;公有云接入模块与公有云互联。 [0005] 上述专利中由于整个系统依赖于用户侧的vCPE资源和目标网络地址,如果其中一个组件发生故障,可能会导致整个用户侧的网络服务中断。特别是在没有冗余和备份机制的情况下,系统的可靠性和稳定性可能会受到影响。 发明内容[0006] 本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。 [0007] 本发明所要解决的技术问题是针对现有技术中,只是给用户接入单个资源池,或者要接入多个资源池也需要建立多条ipsec vpn隧道,导致用户上云配置变的复杂,不好管理,也会导致隧道数据太多,增加云网关的压力,提出了一种基于VPP的用户侧接入云间互联的系统和方法。 [0008] 为了达到上述目的,本发明一种基于VPP的用户侧接入云间互联的方法的技术方案包括如下步骤: [0009] S1:构建云间互联标准条件,搭建云网关互联中多租户VPC跨资源池的访问路径; [0010] S2:通过业务管理平台提供一个web页面,根据用户创建的一个云间互联实例,选择所属各个资源池的vpc之后,对VPC所属的资源池云网关下发配置并打通overlay通道,进行租户的vpc跨资源池互通; [0011] S3:根据用户订购的vCPE虚拟设备,通过agent在业务管理平台进行注册绑定处理; [0012] S4:将客户侧网络接入云间互联。 [0013] 具体地,S1中,所述云间互联标准条件包括:各个资源池云网关已经部署完毕,物理网络已经打通,业务管理台可访问各个云网关进行控制。 [0014] 具体地,S1,包括如下具体步骤: [0015] S101:建立ipsec vpn链路并将所有链路打通; [0016] S102:在S101的基础上为各个租户都创建一个vxlan隧道,其中,vxlan的vni唯一标识一个租户,并在云网关内部通过VRF进行租户路由隔离; [0017] S103:进行多租户VPC跨资源池的访问。 [0018] 具体地,S2中,所述用户创建的一个云间互联实例的过程包括如下具体步骤: [0019] S201:通过业务管理平台,从全局vxlan的vni中获取一个可用的ID唯一标识该实例; [0020] S202:遍历实例下所有的资源池云网关和VPC信息; [0022] S204:通过资源池云网关打通本侧云网关到云侧VPC路径、打通到所有对云网关ipsec VPN以及vxlan隧道、打通到所有对端VPC路由,并返回执行步骤S202。 [0023] 具体地, [0024] 另外,本发明一种基于VPP的用户侧接入云间互联的系统包括如下模块: [0025] S3包括如下具体步骤: [0026] S301:用户在业务管理平台页面上订购vCPE设备,如果付款成功,业务管理平台会发送安装部署邮件给到客户,客户即可按照部署文档完成vCPE部署到内网环境; [0027] S302:进行vCPE的设计,采用与云网关相同的底层软件vpp作为转发框架,通过vpp IKEv2的方式与云网关建立ipsec vpn隧道;其中,vCPE业务层用python编写一个agent用来和业务管理平台建立通信,接收用户下发的配置,以及配置vpp; [0028] S303:通过agent检查配置文件中预留的业务管理平台公网ip+端口,访问业务管理平台公网ip+端口的注册服务,自动上线注册到业务管理平台,注册时,业务管理平台会校验vCPE的SN码以及设备信息,确认是用户订购的vCPE后,允许该vCPE上线,vCPE上线之后才能进行绑定云间互联的后续操作。 [0029] 具体地,S4包括:把vCPE绑定到所开通的云间互联实例中,并选择一个主资源池进行接入,这个主资源池的作用就是vCPE的接入网关,跟vCPE建立IPSEC vpn隧道,剩下的非主资源池,不需要跟vCPE建立隧道,配置客户侧网段的路由到主资源池。这样减少了vCPE上云的隧道数量,也打通了云间互联实例下所有的vpc和客户侧网络互通。 [0030] 另外本发明的一种基于VPP的用户侧接入云间互联的系统包括如下具体模块: [0031] 客户侧网络模块、CPE虚拟设备模块、业务管理台模块、云网关模块; [0032] 所述客户侧网络模块和CPE虚拟设备模块需要在客户侧环境安装一个vCPE虚拟设备,建立和云侧云网关ipsec vpn隧道,并打通用户侧到云侧路径; [0033] 所述业务管理台模块用于提供一个面向用户的页面,供用户在该页面开通云间互联业务,订购vCPE设备,并控制vCPE和云网关组件,进行业务编排,配置下发,流量监控; [0034] 所述云网关模块用于和用户侧vCPE建立ipsec vpn隧道,把用户侧流量引入到云间互联中。 [0035] 具体地,所述vCPE虚拟设备由开源软件VPP设计完成,包括:SD‑WAN网络中的虚拟化客户端设备,位于客户端网络的边缘,充当客户侧的VPN网关角色。 [0036] 具体地,所述开源软件VPP是一个可扩展的框架,可提供开箱即用的生产质量交换机、路由器功能,它是思科矢量数据包处理(Vector Packet Processing,VPP)技术的开源版本,持本系统组网所需要的所有功能:包含:ipsec vpn、mgre、teib、vxlan、vrf和路由功能。本次系统采用的是vpp官方版本2206。 [0038] 与现有技术相比,本发明的技术效果如下: [0039] 1、本发明的用户侧打通到云侧更加灵活,可以同时接入多个物理资源池,并且只需要vCPE和云网关建一条隧道即可,大大减少了用户操作复杂度。 [0041] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。 [0042] 其中: [0043] 图1为本发明的一种基于VPP的用户侧接入云间互联的方法的流程示意图; [0044] 图2为本发明的一种基于VPP的用户侧接入云间互联的系统的结构示意图; [0045] 图3为本发明的一种用户创建的一个云间互联实例的流程示意图。 具体实施方式[0046] 为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明。 [0047] 在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。 [0048] 其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。 [0049] 实施例一: [0050] 如图1、3所示,本发明实施例的一种基于VPP的用户侧接入云间互联的方法,如图1所示,包括如下具体步骤: [0051] S1:构建云间互联标准条件,搭建云网关互联中多租户VPC跨资源池的访问路径; [0052] S1中,所述云间互联标准条件包括:各个资源池云网关已经部署完毕,物理网络已经打通,业务管理台可访问各个云网关进行控制。 [0053] S1,包括如下具体步骤: [0054] S101:建立ipsec vpn链路并将所有链路打通; [0055] S102:在S101的基础上为各个租户都创建一个vxlan隧道,其中,vxlan的vni唯一标识一个租户,并在云网关内部通过VRF进行租户路由隔离; [0056] S103:进行多租户VPC跨资源池的访问。 [0057] S2:通过业务管理平台提供一个web页面,根据用户创建的一个云间互联实例,选择所属各个资源池的vpc之后,对VPC所属的资源池云网关下发配置并打通overlay通道,进行租户的vpc跨资源池互通; [0058] S2中,所述用户创建的一个云间互联实例的过程包括如下具体步骤: [0059] S201:通过业务管理平台,从全局vxlan的vni中获取一个可用的ID唯一标识该实例; [0060] S202:遍历实例下所有的资源池云网关和VPC信息; [0061] S203:进行遍历进程判断,当遍历完成时,结束云间互联实例的创建,反之,执行S204; [0062] S204:通过资源池云网关打通本侧云网关到云侧VPC路径、打通到所有对云网关ipsec VPN以及vxlan隧道、打通到所有对端VPC路由,并返回执行步骤S202。 [0063] S3:根据用户订购的vCPE虚拟设备,通过agent在业务管理平台进行注册绑定处理; [0064] S3包括如下具体步骤: [0065] S301:用户在业务管理平台页面上订购vCPE设备,如果付款成功,业务管理平台会发送安装部署邮件给到客户,客户即可按照部署文档完成vCPE部署到内网环境; [0066] S302:进行vCPE的设计,采用与云网关相同的底层软件vpp作为转发框架,通过vpp IKEv2的方式与云网关建立ipsec vpn隧道;其中,vCPE业务层用python编写一个agent用来和业务管理平台建立通信,接收用户下发的配置,以及配置vpp; [0067] S303:通过agent检查配置文件中预留的业务管理平台公网ip+端口,访问业务管理平台公网ip+端口的注册服务,自动上线注册到业务管理平台,注册时,业务管理平台会校验vCPE的SN码以及设备信息,确认是用户订购的vCPE后,允许该vCPE上线,vCPE上线之后才能进行绑定云间互联的后续操作。 [0068] S4:将客户侧网络接入云间互联。 [0069] S4包括:把vCPE绑定到所开通的云间互联实例中,并选择一个主资源池进行接入,这个主资源池的作用就是vCPE的接入网关,跟vCPE建立IPSEC vpn隧道,剩下的非主资源池,不需要跟vCPE建立隧道,配置客户侧网段的路由到主资源池。这样减少了vCPE上云的隧道数量,也打通了云间互联实例下所有的vpc和客户侧网络互通。 [0070] 实施例二: [0071] 如图2所示,本发明实施例的一种基于VPP的用户侧接入云间互联的系统,如图2所示,包括如下模块: [0072] 客户侧网络模块、CPE虚拟设备模块、业务管理台模块、云网关模块; [0073] 所述客户侧网络模块和CPE虚拟设备模块需要在客户侧环境安装一个vCPE虚拟设备,建立和云侧云网关ipsec vpn隧道,并打通用户侧到云侧路径; [0074] 所述业务管理台模块用于提供一个面向用户的页面,供用户在该页面开通云间互联业务,订购vCPE设备,并控制vCPE和云网关组件,进行业务编排,配置下发,流量监控; [0075] 所述云网关模块用于和用户侧vCPE建立ipsec vpn隧道,把用户侧流量引入到云间互联中。 [0076] 所述vCPE虚拟设备由开源软件VPP设计完成,包括:SD‑WAN网络中的虚拟化客户端设备,位于客户端网络的边缘,充当客户侧的VPN网关角色。 [0077] 所述开源软件VPP是一个可扩展的框架,可提供开箱即用的生产质量交换机、路由器功能,它是思科矢量数据包处理(Vector Packet Processing,VPP)技术的开源版本,持本系统组网所需要的所有功能:包含:ipsec vpn、mgre、teib、vxlan、vrf和路由功能。本次系统采用的是vpp官方版本2206。 [0078] 所述云网关模块包括云侧VPN网关,软件由开源软件VPP设计完成,硬件采用intel x86服务器。 [0079] 应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。 [0080] 应理解,根据A确定B并不意味着仅仅根据A确定B,还能够根据A和/或其它信息确定B。 [0081] 上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行计算机指令或计算机程序时,全部或部分地产生按照本发明实施例的流程或功能。计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线网络或/和无线网络方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。 [0082] 本领域普通技术人员可以意识到,结合本发明中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。 [0083] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。 [0084] 在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。 [0085] 作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。 [0086] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。 [0087] 在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。 [0088] 综上实施例,与现有技术相比,本发明的技术效果如下: [0089] 1、本发明的用户侧打通到云侧更加灵活,可以同时接入多个物理资源池,并且只需要vCPE和云网关建一条隧道即可,大大减少了用户操作复杂度。 [0090] 2、本发明客户侧和云侧均采用高性能的vpp+dpdk,比传统的内核态的ipsec vpn性能要优化很多。 [0091] 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。 |
||
QQ群二维码
意见反馈
意见反馈