VXLAN报文处理方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种VXLAN报文处理方法、装置、电子设备及存储介质，在对基于VXLAN协议的业务报文进行处理时，可以采用基于内生安全VXLAN协议的封装方法对业务报文进行封装，采用基于内生安全VXLAN协议的解封装方法对业务报文进行解封装，从而可以保障VXLAN载荷以密文方式传输，同时可保障实施VXLAN协议的网络安全设备免受重放攻击，从而不仅解决了传统VXLAN协议不具备安全能力的问题，同时可以解决VXLAN over IPSec层次过多且VXLAN协议头与UDP头对链路中间设备不可见的问题，还可以解决网络安全设备不能快速识别报文所属租户的问题，适用于许多VXLAN应用场景。适用于许多VXLAN应用场景。适用于许多VXLAN应用场景。

【技术实现步骤摘要】
VXLAN报文处理方法、装置、电子设备及存储介质


[0001]本专利技术涉及数据通信
，特别是涉及一种VXLAN报文处理方法、一种VXLAN报文处理装置、一种电子设备以及一种计算机可读存储介质。

技术介绍

[0002]随着互联网技术的飞速发展，人们对于网络的需求也越来越高，为解决现阶段大规模云计算数据中心虚拟网络不足的问题，VXLAN(Virtual eXtensible Local Area Network，虚拟扩展局域网)应运而生。VXLAN是一种网络虚拟化技术，可以改进大型云计算在部署时的扩展问题，是对VLAN(Virtual Local Area Network，虚拟局域网)的一种扩展。相较于VLAN，VXLAN功能更为强大，其可以穿透三层网络对二层进行扩展，可通过封装流量并将其扩展到第三层网关，从而解决VMS(Virtual Memory System，虚拟内存系统)的可移植性限制，使其可以访问在外部IP(Internet Protocol，互联网协议)子网上的服务器。
[0003]同时，通过VXLAN也能够很好地转发组播报文以及广播报文，从而VXLAN被广泛地应用于数据中心内部的通信、数据中心之间的通信、异构云之间的通信以及SD
‑
WAN POP(Software Defined
‑
Wide Area Network Pop
‑
Point
‑
Of
‑
Presence，软件定义广域网入网点)点之间的通信。进一步地，VXLAN是一种NVO3(Network Virtualization Over Layer 3，跨三层网络虚拟化)隧道技术，采用将二层报文用UDP(User Datagram Protocol，用户数据报协议)进行封装的报文封装模式，因此，使用VXLAN协议，可以将两个分布在不同地理位置的局域网连通成一个虚拟的大二层局域网。
[0004]目前而言，VXLAN隧道的封装或解封装由VTEP(VXLAN Tunnel Endpoint,VXLAN网络的边缘设备)完成，传统的VXLAN协议在原始二层帧外封装一个VXLAN协议头、一个外层UDP层、一个外层IP层、一个外层以太头，由于VXLAN协议自身不具备安全能力，特别是当VXLAN应用于数据中心之间通信/或异构云之间通信/SD
‑
WAN POP之间通信时，报文的业务数据直接以明文形式暴露在外，针对该问题，当前主流的解决方式是在VXLAN隧道外加一层IPSec ESP(Internet Protocol Security Encapsulating Security Payload，互联网安全协议的封装安全负载)隧道封装，即在VXLAN封装后的外层IP头之外再封装一个ESP(Encapsulating Security Payload，封装安全负载)头、一个IP头，再封装一个ESP尾，采用该封装方式，虽然能将VXLAN载荷进行加密封装，但在处理报文封装与解封装过程中报文封装层次多，处理流程长，导致处理效率低下，大大拉长了报文识别时延。

技术实现思路

[0005]本专利技术实施例是提供一种VXLAN报文处理方法、装置、电子设备以及计算机可读存储介质，以解决或部分解决现有VXLAN协议封装报文处理流程长、处理效率低下的问题。
[0006]本专利技术实施例公开了一种VXLAN报文处理方法，应用于网络安全设备，所述方法包括：
[0007]获取第一网络端发送的第一VXLAN报文，所述第一VXLAN报文包括安全验证字段，
所述安全验证字段至少包括内生安全标志位、密钥版本信息以及重放攻击检测字段；
[0008]若所述内生安全标志位的值为1，则确定所述第一VXLAN报文为基于内生安全机制进行封装的第一内生安全封装报文，并根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息；
[0009]根据所述重放攻击检测字段对所述网络安全设备进行重放攻击检测，若重放攻击检测结果为通过，则采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文；
[0010]将所述目标业务报文发送至第二网络端。
[0011]可选地，所述密钥版本信息至少包括第一VXLAN标识字段、密钥有效判断标志位、密钥版本字段，所述根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息，包括：
[0012]通过集中分发方式获取至少一个密钥信息，所述密钥信息用于对报文进行加解密处理；
[0013]若所述密钥有效判断标志位的值为1，则联合所述第一VXLAN标识字段以及所述密钥版本字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。
[0014]可选地，所述方法还包括：
[0015]若所述密钥有效判断标志位的值为0，则采用所述第一VXLAN标识字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。
[0016]可选地，所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文，包括：
[0017]根据所述目标密钥信息的加解密算法与加解密模式，计算所述第一内生安全封装报文的VXLAN协议头长度，并基于所述VXLAN协议头长度确定所述第一内生安全封装报文对应的解密起始位置；
[0018]采用所述目标密钥信息的加解密算法与加解密模式以及所述解密起始位置对所述第一内生安全封装报文中的加密内容进行解密处理，获得所述第一内生安全封装报文对应的目标业务报文。
[0019]可选地，所述第一内生安全封装报文中至少包括第一VXLAN协议头、外层IP头以及外层UDP头，所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文，包括：
[0020]若所述第一内生安全封装报文中包含第一VXLAN协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一VXLAN协议尾进行解封装处理；
[0021]去除所述外层IP头以及所述外层UDP头，并采用所述目标密钥信息的加解密算法与加解密模式去除所述第一VXLAN协议头，获得所述第一内生安全封装报文对应的目标业务报文。
[0022]可选地，所述若所述第一内生安全封装报文中包含第一VXLAN协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一VXLAN协议尾进行解封装处理，包括：
[0023]若所述第一内生安全封装报文中包含第一VXLAN协议尾，且根据所述目标密钥信息的加解密算法与加解密模式确定所述第一VXLAN协议尾包括填充数据字段以及填充长度
字段，则去除所述填充数据字段以及所述填充长度字段；
[0024]若根据所述目标密钥信息的加解密算法与加解密模式确定所述第一VXLAN协议尾不包括填充数据字段以及填充长度字段，且所述第一VXLAN协议尾包括MAC字段，则对所述M本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种VXLAN报文处理方法，其特征在于，应用于网络安全设备，所述方法包括：获取第一网络端发送的第一VXLAN报文，所述第一VXLAN报文包括安全验证字段，所述安全验证字段至少包括内生安全标志位、密钥版本信息以及重放攻击检测字段；若所述内生安全标志位的值为1，则确定所述第一VXLAN报文为基于内生安全机制进行封装的第一内生安全封装报文，并根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息；根据所述重放攻击检测字段对所述网络安全设备进行重放攻击检测，若重放攻击检测结果为通过，则采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文；将所述目标业务报文发送至第二网络端。2.根据权利要求1所述的方法，其特征在于，所述密钥版本信息至少包括第一VXLAN标识字段、密钥有效判断标志位、密钥版本字段，所述根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息，包括：通过集中分发方式获取至少一个密钥信息，所述密钥信息用于对报文进行加解密处理；若所述密钥有效判断标志位的值为1，则联合所述第一VXLAN标识字段以及所述密钥版本字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。3.根据权利要求2所述的方法，其特征在于，还包括：若所述密钥有效判断标志位的值为0，则采用所述第一VXLAN标识字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。4.根据权利要求1所述的方法，其特征在于，所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文，包括：根据所述目标密钥信息的加解密算法与加解密模式，计算所述第一内生安全封装报文的VXLAN协议头长度，并基于所述VXLAN协议头长度确定所述第一内生安全封装报文对应的解密起始位置；采用所述目标密钥信息的加解密算法与加解密模式以及所述解密起始位置对所述第一内生安全封装报文中的加密内容进行解密处理，获得所述第一内生安全封装报文对应的目标业务报文。5.根据权利要求1或4所述的方法，其特征在于，所述第一内生安全封装报文中至少包括第一VXLAN协议头、外层IP头以及外层UDP头，所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理，获得对应的目标业务报文，包括：若所述第一内生安全封装报文中包含第一VXLAN协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一VXLAN协议尾进行解封装处理；去除所述外层IP头以及所述外层UDP头，并采用所述目标密钥信息的加解密算法与加解密模式去除所述第一VXLAN协议头，获得所述第一内生安全封装报文对应的目标业务报文。6.根据权利要求5所述的方法，其特征在于，所述若所述第一内生安全封装报文中包含第一VXLAN协议尾，则根据所述目标密钥信息的加解密算法与加解密模式对所述第一VXLAN协议尾进行解封装处理，包括：
若所述第一内生安全封装报文中包含第一VXLAN协议尾，且根据所述目标密钥信息的加解密算法与加解密模式确定所述第一VXLAN协议尾包括填充数据字段以及填充长度字段，则去除所述填充数据字段以及所述填充长度字段；若根据所述目标密钥信息的加解密算法与加解密模式确定所述第一VXLAN协议尾不包括填充数据字段以及填充长度字段，且所述第一VXLAN协议尾包括MAC字段，则对所述MAC字段进行校验；若校验结果表征校验通过，则去除所述MAC字段。7.根据权利要求1所述的方法，其特征在于，还包括：若所述内生安全标志位的值为0，则确定所述第一VXLAN报文为基于常规VXLAN封装方式进行封装的常规封装报文，对所述常规封装报文进行解封装处理，获得对应的常规业务报文；将所述常规业务报文发送至所述第二网络端。8.根据权利要求1所述的方法，其特征在于，所述获取第一网络端发送的第一VXLAN报文，包括：接收第一网络端发送的待处理业务报文，若所述待处理业务报文的目的地址与所述网络安全设备的本机地址一致，所述待处理业务报文的报文类型为UDP，所述待处理业务报文的目的端口为VXLAN业务端口，则确定所述待处理业务报文为第一VXLAN报文。9.一种VXLAN报文处理方法，其特征在于，应用于网络安全设备，所述方法包括：获取第三网络端发送的待封装业务报文，并确定所述待封装业务报文对应的VXLAN隧道，所述VXLAN隧道对应第...

【专利技术属性】
技术研发人员：梁霞，但波，袁辉，蒋文武，贺欢，
申请(专利权)人：天翼云科技有限公司，
类型：发明
国别省市：