【技术实现步骤摘要】
VXLAN报文处理方法、装置、电子设备及存储介质
[0001]本专利技术涉及数据通信
,特别是涉及一种VXLAN报文处理方法、一种VXLAN报文处理装置、一种电子设备以及一种计算机可读存储介质。
技术介绍
[0002]随着互联网技术的飞速发展,人们对于网络的需求也越来越高,为解决现阶段大规模云计算数据中心虚拟网络不足的问题,VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)应运而生。VXLAN是一种网络虚拟化技术,可以改进大型云计算在部署时的扩展问题,是对VLAN(Virtual Local Area Network,虚拟局域网)的一种扩展。相较于VLAN,VXLAN功能更为强大,其可以穿透三层网络对二层进行扩展,可通过封装流量并将其扩展到第三层网关,从而解决VMS(Virtual Memory System,虚拟内存系统)的可移植性限制,使其可以访问在外部IP(Internet Protocol,互联网协议)子网上的服务器。
[0003]同时,通过VXLAN也能够很好地转发组播报文以及广播报文,从而VXLAN被广泛地应用于数据中心内部的通信、数据中心之间的通信、异构云之间的通信以及SD
‑
WAN POP(Software Defined
‑
Wide Area Network Pop
‑
Point
‑
Of
‑
Presence,软件定义广域网入网点)点之间的通信。 ...
【技术保护点】
【技术特征摘要】
1.一种VXLAN报文处理方法,其特征在于,应用于网络安全设备,所述方法包括:获取第一网络端发送的第一VXLAN报文,所述第一VXLAN报文包括安全验证字段,所述安全验证字段至少包括内生安全标志位、密钥版本信息以及重放攻击检测字段;若所述内生安全标志位的值为1,则确定所述第一VXLAN报文为基于内生安全机制进行封装的第一内生安全封装报文,并根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息;根据所述重放攻击检测字段对所述网络安全设备进行重放攻击检测,若重放攻击检测结果为通过,则采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理,获得对应的目标业务报文;将所述目标业务报文发送至第二网络端。2.根据权利要求1所述的方法,其特征在于,所述密钥版本信息至少包括第一VXLAN标识字段、密钥有效判断标志位、密钥版本字段,所述根据所述密钥版本信息获取所述第一内生安全封装报文对应的目标密钥信息,包括:通过集中分发方式获取至少一个密钥信息,所述密钥信息用于对报文进行加解密处理;若所述密钥有效判断标志位的值为1,则联合所述第一VXLAN标识字段以及所述密钥版本字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。3.根据权利要求2所述的方法,其特征在于,还包括:若所述密钥有效判断标志位的值为0,则采用所述第一VXLAN标识字段从至少一个所述密钥信息中检索所述第一内生安全封装报文对应的目标密钥信息。4.根据权利要求1所述的方法,其特征在于,所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理,获得对应的目标业务报文,包括:根据所述目标密钥信息的加解密算法与加解密模式,计算所述第一内生安全封装报文的VXLAN协议头长度,并基于所述VXLAN协议头长度确定所述第一内生安全封装报文对应的解密起始位置;采用所述目标密钥信息的加解密算法与加解密模式以及所述解密起始位置对所述第一内生安全封装报文中的加密内容进行解密处理,获得所述第一内生安全封装报文对应的目标业务报文。5.根据权利要求1或4所述的方法,其特征在于,所述第一内生安全封装报文中至少包括第一VXLAN协议头、外层IP头以及外层UDP头,所述采用所述目标密钥信息对所述第一内生安全封装报文进行解封装处理,获得对应的目标业务报文,包括:若所述第一内生安全封装报文中包含第一VXLAN协议尾,则根据所述目标密钥信息的加解密算法与加解密模式对所述第一VXLAN协议尾进行解封装处理;去除所述外层IP头以及所述外层UDP头,并采用所述目标密钥信息的加解密算法与加解密模式去除所述第一VXLAN协议头,获得所述第一内生安全封装报文对应的目标业务报文。6.根据权利要求5所述的方法,其特征在于,所述若所述第一内生安全封装报文中包含第一VXLAN协议尾,则根据所述目标密钥信息的加解密算法与加解密模式对所述第一VXLAN协议尾进行解封装处理,包括:
若所述第一内生安全封装报文中包含第一VXLAN协议尾,且根据所述目标密钥信息的加解密算法与加解密模式确定所述第一VXLAN协议尾包括填充数据字段以及填充长度字段,则去除所述填充数据字段以及所述填充长度字段;若根据所述目标密钥信息的加解密算法与加解密模式确定所述第一VXLAN协议尾不包括填充数据字段以及填充长度字段,且所述第一VXLAN协议尾包括MAC字段,则对所述MAC字段进行校验;若校验结果表征校验通过,则去除所述MAC字段。7.根据权利要求1所述的方法,其特征在于,还包括:若所述内生安全标志位的值为0,则确定所述第一VXLAN报文为基于常规VXLAN封装方式进行封装的常规封装报文,对所述常规封装报文进行解封装处理,获得对应的常规业务报文;将所述常规业务报文发送至所述第二网络端。8.根据权利要求1所述的方法,其特征在于,所述获取第一网络端发送的第一VXLAN报文,包括:接收第一网络端发送的待处理业务报文,若所述待处理业务报文的目的地址与所述网络安全设备的本机地址一致,所述待处理业务报文的报文类型为UDP,所述待处理业务报文的目的端口为VXLAN业务端口,则确定所述待处理业务报文为第一VXLAN报文。9.一种VXLAN报文处理方法,其特征在于,应用于网络安全设备,所述方法包括:获取第三网络端发送的待封装业务报文,并确定所述待封装业务报文对应的VXLAN隧道,所述VXLAN隧道对应第...
【专利技术属性】
技术研发人员:梁霞,但波,袁辉,蒋文武,贺欢,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。