【技术实现步骤摘要】
本申请涉及计算机网络,特别是涉及一种网络隔离方法、系统及相关设备。
技术介绍
1、网络隔离是指把两个或两个以上的网络断开的基础上,实现数据交换的技术。主要是将有害的网络安全威胁隔离开,保障数据信息在安全的环境下进行资源共享。网络隔离技术通常分为物理隔离和逻辑隔离两类。物理隔离是在物理设备和物理连线上完全隔离的网络,需要至少建立多套硬件网络系统,实现成本高,配置不灵活。逻辑隔离是在同一张物理网络上,静态或动态的配置隔离规则,使不同的组织/用户之间无法互访,成本更低,配置更加灵活。逻辑隔离由于其低成本、可灵活配置等特点,目前广泛应用于数据中心、企业和园区等场景中。
2、虚拟扩展局域网(virtual extensible lan,vxlan)是目前广泛使用的逻辑隔离技术。vxlan是指在源端与目的端之间建立一条逻辑vxlan隧道,vxlan隧道端点(vxlantunnel end point,vtep)将源端发出的原始以太报文完整地封装在udp报文中,然后在外层使用物理网络的ip报文头和以太报文头封装。在报文进入vxlan隧道时,使用原始以太报文的特征匹配找到外层隧道信息,达到隔离控制的目的。
3、然而,vxlan中vtep需要将报文封装为具有两层网络头的报文,或者将具有两层网络头的报文解封装,实现复杂,处理时延大,从而导致报文转发性能差。
技术实现思路
1、本申请提供了一种网络隔离方法、系统及相关设备。以在保证网络隔离安全可靠的前提下,降低大规模ip网络隔离的
2、第一方面提供一种网络隔离系统。该系统包括与源端设备连接的源网卡、与目的端设备连接的目的网卡和网络设备,源网卡和目的网卡通过ip网络连接,网络设备为ip网络中的设备。源网卡,用于对待发送数据进行处理,得到目标报文,目标报文包括单层报文头,该报文头中包括源网卡添加的第一网络分区标识,第一网络分区标识为源网卡所配置网络分区标识。源网卡,还用于通过网络设备向目的网卡发送目标报文。网络设备,用于向根据报文头中的地址信息目的网卡转发目标报文。目的网卡,用于接收目标报文后获取目标报文的报文头中的第一网络分区标识,并在第一网络分区标识与第二网络分区标识不同时,丢弃目标报文,第二网络分区标识为目的网卡所配置网络分区标识。
3、源网卡在目标报文的报文头中添加第一网络分区标识的报文,网络设备在转发目标报文时保留第一网络分区标识,使第一网络分区标识端到端携带,使得目的网卡接收到目标报文后,能够根据目标报文中的第一网络分区标识与自身配置的第二网络分区标识是否一致确定是否丢弃该目标报文,实现端到端的网络隔离。目标报文仅包括单层报文头,报文格式简单,网卡在报文头中添加第一网络分区标识的操作简单,效率高,由于无需网络设备为目标报文添加用于网络隔离的隔离字段或隧道封装头,网络设备可以将携带第一网络分区标识的目标报文当做正常的ip报文进行转发,从而能够提升网络设备的转发性能、降低目标报文的处理时延以及降低网络隔离的复杂度。此外,网卡工作在物理层和数据链路层,为网卡配置的网络分区标识对租户不可见,租户不能篡改网络分区标识,保证网络分区标识安全可信。从而基于网络分区标识实现网络隔离能够保障网络隔离的安全性。
4、在一种可能实现的方式中,待发送数据为未进行封装处理的应用数据。源网卡,用于为待发送数据封装包括所述第一网络分区标识的报文头,得到目标报文。当待发送数据仅为应用数据而未被封装报文头时,源网卡为待发送数据封装报文头,报文头中包括第一网络分区标识,也即网卡在为待发送数据封装报文头时同步完成了第一网络分区标识的添加,操作简单,不需要因需要实现网络隔离而进行复杂的隧道匹配和封装,从而降低报文的处理时延。
5、在一种可能实现的方式中,待发送数据包括原始报文头,原始报文头中不包括第一网络分区标识。源网卡,用于将第一网络分区标识插入原始报文头中,得到目标报文。当待发送数据已包括原始报文头时,网卡将第一网络分区标识添加到原始报文头中,得到包括第一网络分区标识的报文头,从而得到了目标报文。网卡不需要因需要实现网络隔离而进行复杂的隧道匹配和封装,处理时延低。
6、在一种可能实现的方式中报文头包括链路层头和ip网络头,第一网络分区标识位于链路层头或ip网络头中。从而,目的网卡可以在不解封装目标报文的前提下,获得第一网络分区标识,能够提高目的网卡识别目标报文是否未允许通过的报文的速度。
7、在一种可能实现的方式中,第一网络分区标识不用于目标报文的转发。也就是说,网络设备根据目标报文的报文头中的地址信息转发即可,网络设备无需建立有关第一网络分区标识相关的转发路有表项,也无需根据第一网络分区标识查表转发,网络设备只需将报文头中携带第一网络分区标识的目标报文当做正常的ip报文转发即可,从而能够提高网络设备的转发性能。
8、在一种可能实现的方式中,第一网络分区标识和第二网络分区标识对源端设备和目的端设备均不可见。从而,远端设备和目的端设备中的租户无法获得第一网络分区标识和第二网络分区标识,保证网络分区标识的保密性和安全性,能够保障基于网络分区标识的网络隔离安全可靠。
9、在一种可能实现的方式中,系统还包括网络管理设备,网络设备包括与源网卡连接的第一边缘网络设备,以及与目的网卡连接的第二边缘网络设备。网络管理设备具体用于向第一边缘网络设备发送第一网络分区标识,以及向第二边缘网络设备发送第二网络分区标识。第一边缘网络设备,还用于向源网卡发送第一控制消息,第一控制消息包括第一网络分区标识。第二边缘网络设备,还用于向目的网卡发送第二控制消息,第二控制消息包括第二网络分区标识。源网卡还用于根据第一控制消息配置第一网络分区标识。目的网卡还用于根据第二控制消息配置第二网络分区标识。通过网络侧对源网卡和目的网卡的网络分区标识进行可信配置,不会被租户感知,能够保证网络分区标识的保密性和安全性,保障基于网络分区标识的网络隔离安全可靠。
10、在一种可能实现的方式中,第一控制消息和第二控制消息中不包括ip地址。从而,网卡能够识别出控制消息,并基于控制消息完成自身的网络分区标识的配置,而不会将控制消息当做正常的ip报文发送至端侧设备,导致网络分区标识暴露及网卡无法完成网络分区标识的配置。
11、在一种可能实现的方式中,目的网卡还用于在第一网络分区标识与第二网络分区标识相同时,剥除目标报文中的第一网络分区标识。目的网卡还用于向与目的端设备发送剥除第一网络分区标识后的目标报文。第一网络分区标识与第二网络分区标识相同说明目的网卡和源网卡属于同一个网络分区,源端设备和目的端设备之间允许通信。目的网卡向目的端设备发送目标报文前,需要现将目标报文的报文头中的第一网络分区标识剥除,避免携带第一网络分区标识的报文发送到目的端设备,导致目的端设备无法识别该报文,以及导致第一网络分区标识暴露,从而保证网络分区标识的保密性和安全性,保障基于网络分区标识的网络隔离安全可靠。
【技术保护点】
1.一种网络隔离系统,其特征在于,所述系统包括与源端设备连接的源网卡、与目的端设备连接的目的网卡和网络设备,所述源网卡和所述目的网卡通过互联网协议IP网络连接,所述网络设备为所述IP网络中的设备;
2.根据权利要求1所述的系统,其特征在于,所述待发送数据为未进行封装处理的应用数据;
3.根据权利要求1所述的系统,其特征在于,所述待发送数据包括原始报文头,所述原始报文头中不包括所述第一网络分区标识;
4.根据权利要求1至3中任一项所述的系统,其特征在于,所述报文头包括链路层头和IP网络头,所述第一网络分区标识位于所述链路层头或所述IP网络头中。
5.根据权利要求1至4中任一项所述的系统,其特征在于,所述第一网络分区标识不用于所述目标报文的转发。
6.根据权利要求1至5中任一项所述的系统,其特征在于,所述第一网络分区标识和所述第二网络分区标识对所述源端设备和所述目的端设备均不可见。
7.根据权利要求1至6中任一项所述的系统,其特征在于,所述系统还包括网络管理设备,所述网络设备包括与所述源网卡连接的第一边缘网络设备
8.根据权利要求7所述的系统,其特征在于,所述第一控制消息和所述第二控制消息中不包括IP地址。
9.根据权利要求1至7中任一项所述的系统,其特征在于,
10.根据权利要求1至8中任一项所述的系统,其特征在于,所述网络设备包括第二边缘网络设备,所述第二边缘网络设备的第一端口连接所述目的网卡;
11.根据权利要求1至9中任一项所述的系统,其特征在于,所述网络设备包括第一边缘网络设备,所述第一边缘网络设备的第二端口连接所述源网卡;
12.根据权利要求1至10中任一项所述的系统,其特征在于,所述源端设备为物理机,所述源网卡为物理网卡;或所述源端设备为虚拟设备,所述源网卡为所述虚拟设备直通的虚拟功能VF网卡或物理功能PF网卡,所述虚拟设备为虚拟机或容器;
13.一种网卡,其特征在于,所述网卡包括:
14.根据权利要求13所述的网卡,其特征在于,所述第一网络分区标识和所述第二网络分区标识对与所述收发模块连接的端侧设备不可见。
15.根据权利要求13或14所述的网卡,其特征在于,
16.根据权利要求13至15中任一项所述的网卡,其特征在于,
17.根据权利要求13至16中任一项所述的网卡,其特征在于,
18.根据权利要求13至17中任一项所述的网卡,其特征在于,所述目标报文的报文头包括链路层头和IP网络头,所述第一网络分区标识位于所述链路层头或所述IP网络头中。
19.一种网卡,其特征在于,所述网卡包括:
20.根据权利要求19所述的网卡,其特征在于,待发送数据为未进行封装处理的应用数据;
21.根据权利要求19所述的网卡,其特征在于,所述待发送数据包括原始报文头,所述原始报文头中不包括所述第一网络分区标识;
22.根据权利要求19至21中任一项所述的网卡,其特征在于,所述目标报文的报文头包括链路层头和IP网络头,所述第一网络分区标识位于所述链路层头或所述IP网络头中。
23.根据权利要求19至22中任一项所述的网卡,其特征在于,
24.一种网络隔离方法,其特征在于,所述方法包括:
25.根据权利要求24所述的方法,其特征在于,所述报文头包括链路层头和IP网络头,所述第一网络分区标识位于所述链路层头或所述IP网络头中。
26.根据权利要求24或25所述的方法,其特征在于,所述第一网络分区标识和所述第二网络分区标识对与源端设备和目的端设备均不可见,所述源端设备为与所述源网卡连接的端侧设备,所述目的端设备为与所述目的网卡连接的端侧设备。
27.根据权利要求24至26中任一项所述的方法,其特征在于,
28.根据权利要求27所述的方法,其特征在于,所述控制消息不包括IP地址。
29.根据权利要求24至28中任一项所述的方法,其特征在于,
30.根据权利要求24至29中任一项所述的方法,其特征在于,所述目的网卡为物理网卡,与所述目的网卡连接的目的端设备为物理机;或
31.一种网络隔离方法,其特征在于,所述方法包括:
32.根据权利要求31所述的方法,其特征在于,所述待发送数据为未进行封装处理的应用数据;
33.根据权利要求31所述的方法,其特征在于,所述待发送数据包括原始报文头,所述原始报文头中不包括所述第一网络分区标...
【技术特征摘要】
1.一种网络隔离系统,其特征在于,所述系统包括与源端设备连接的源网卡、与目的端设备连接的目的网卡和网络设备,所述源网卡和所述目的网卡通过互联网协议ip网络连接,所述网络设备为所述ip网络中的设备;
2.根据权利要求1所述的系统,其特征在于,所述待发送数据为未进行封装处理的应用数据;
3.根据权利要求1所述的系统,其特征在于,所述待发送数据包括原始报文头,所述原始报文头中不包括所述第一网络分区标识;
4.根据权利要求1至3中任一项所述的系统,其特征在于,所述报文头包括链路层头和ip网络头,所述第一网络分区标识位于所述链路层头或所述ip网络头中。
5.根据权利要求1至4中任一项所述的系统,其特征在于,所述第一网络分区标识不用于所述目标报文的转发。
6.根据权利要求1至5中任一项所述的系统,其特征在于,所述第一网络分区标识和所述第二网络分区标识对所述源端设备和所述目的端设备均不可见。
7.根据权利要求1至6中任一项所述的系统,其特征在于,所述系统还包括网络管理设备,所述网络设备包括与所述源网卡连接的第一边缘网络设备,以及与所述目的网卡连接的第二边缘网络设备;
8.根据权利要求7所述的系统,其特征在于,所述第一控制消息和所述第二控制消息中不包括ip地址。
9.根据权利要求1至7中任一项所述的系统,其特征在于,
10.根据权利要求1至8中任一项所述的系统,其特征在于,所述网络设备包括第二边缘网络设备,所述第二边缘网络设备的第一端口连接所述目的网卡;
11.根据权利要求1至9中任一项所述的系统,其特征在于,所述网络设备包括第一边缘网络设备,所述第一边缘网络设备的第二端口连接所述源网卡;
12.根据权利要求1至10中任一项所述的系统,其特征在于,所述源端设备为物理机,所述源网卡为物理网卡;或所述源端设备为虚拟设备,所述源网卡为所述虚拟设备直通的虚拟功能vf网卡或物理功能pf网卡,所述虚拟设备为虚拟机或容器;
13.一种网卡,其特征在于,所述网卡包括:
14.根据权利要求13所述的网卡,其特征在于,所述第一网络分区标识和所述第二网络分区标识对与所述收发模块连接的端侧设备不可见。
15.根据权利要求13或14所述的网卡,其特征在于,
16.根据权利要求13至15中任一项所述的网卡,其特征在于,
17.根据权利要求13至16中任一项所述的网卡,其特征在于,
18.根据权利要求13至17中任一项所述的网卡,其特征在于,所述目标报文的报文头包括链路层头和ip网络头,所述第一网络分区标识位于所述链路层头或所述ip网络头中。
19.一种网卡,其特征在于,所述网卡包括:
20.根据权利要求19所述的网卡,其特征在于,待发送数据为未进行封装处理的应用数据;
21.根据权利要求19所述的网卡,其特征在于,所述待发送数据包括原始报文头,所述原始报文头中不包括所述第一网络分区标识;
22.根据权利要求19至21中任一项所述的网卡,其特征在于,所述目标报文的报文头包括链路层头和ip网络头,所述第一网络分区标识位于所述链路层头或所述ip网络头中。
23.根据权利要求19至22中任一项所述的网卡,其特征在于,
24.一种网络隔离方法,其特征在于,所述方法包括:
25.根据权利要求24所述的方法,其特征在于,所述报文头包括链路层头和ip网络头,所述第一网络分区标识位于所述链路层头或所述ip网络头中。
26.根据权利要求24或25所述的方法,其特征在于,所述第一网络分区标识和所述第二网络分区标识对与源端设备和目的端设备均不可见,所述源端设备为与所述源网卡连接的端侧设备,所述目的端设备为与所述目的网卡连接的端侧设备。
27.根据权利要求24至26中任一项所述的方法,其特征在于,
28.根据权利要求27所述的方法,其特征在于,所述控制消息不包括ip地址。
29.根据权利要求24至28中任一项所述的方法,其特征在于,
30.根据权利要求24至29中任一项所述的方法,其特征在于,所述目的网卡为物理网卡,与所述目的网卡连接的目的端设备为物理机;或
31.一种网络隔离方法,其特征在于,所述方法包括:
32.根据权利要求31所述的方法,其特征在于,所述待发送数据为未进行封装处理的应用数据;
33.根据权利要求31所述的方法,其特征在于,所述待发送数据包括原始报文头,所述原始报文头中不包括所述第一网络分区标识;
34.根据权利要求31至33中任一项所述的方法,其特征在于,所述报文头包括链路层头和ip网络头,所述第一网络分区标识位于所述链路层头或所述ip网络头中。
35.根据权利要求31至34中任一项所述的方法,其特征在于...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。