【技术实现步骤摘要】
本专利技术属于ipsec vpn,特别涉及一种穿越nat场景下拆解ipsec大象流的方法。
技术介绍
1、大象流是通过网络链路进行大量的,持续的传递数据的过程。在网络传输中,通常使用ip报文五元组(协议号,源ip,源端口,目的ip,目的端口)来标识一条数据流。网络设备也一般是根据ip报文五元组进行rss分流,所以一条大象流会被分流到网络设备一个cpu核进行处理,可能会耗尽该cpu核的性能,影响其他分流到该cpu核的数据流。很多专利从中间传输设备的角度提出了识别和调度大象流的方法,但是由于中间传输设备是从全局角度对通过的所有流量进行识别,粒度较粗,很难保证精准的识别每条业务流量。
2、ipsec vpn技术通常将网段到网段之间的数据流量进行封装,并贴上统一的外层ip报文头和udp报文头,因此ipsec vpn可以将多条数据流聚合成一条数据流。如果ipsecvpn保护的是视频等大流量业务,经过聚合后很容易产生大象流。因此根据ipsec协议特性,通过ipsec保护的客户业务类型就可以比较准确的判断出是否会产生大象流。
3、ipsec隧道的underlay网络一般是互联网,经常会面临穿越nat的问题。目前的nat网关一般默认提供的是对称nat服务,nat网关会把内部“地址端口对”和外部“地址端口对”完全相同的报文看作一个连接,在网关上创建一个“地址端口对”映射进行转换,nat外部收到报文的设备从对应的端口对发送的回应报文,才能被转换进入nat内部网络。
4、ike协议为ipsec提供了自动协商密钥、建
5、例如现有的申请公开号为cn110932989b的专利本专利技术公开了一种基于sdn数据中心网络的大象流路径监控调度方法,具体过程为:交换机接收到数据流时,若为大象流则封装成packet_in消息上报给控制器;控制器采用路径评估方法为大象流选取一条路径进行传输,并且将大象流所经路径上的链路添加到链路监控表中;控制器定期检查链路监控表中每条链路的负载情况,当某条链路的负载超过一定阈值时,选取一条大象流调度到其它路径上,并且更新链路监控表;同时,控制器根据链路监控表中各路径的负载情况,对链路检测周期进行动态调整。本专利技术能够在信令开销和控制器收集的链路状态信息的有效性之间做一个权衡,减小因链路状态信息更新不及时造成的链路拥塞问题,同时节约控制器的计算资源,减小信令开销。
6、但是上述专利中存在:都是在中间设备上如何识别和调度大象流,粒度不足,精确度远远不够,只是在有效性之间做权衡,并无考虑实际大象流拆解优化效果问题,这就导致应用场景被大大限制。
7、本专利技术在ipsec vpn场景下,依据隧道的特性,通过在nat内侧ipsec网关上进行大象流的拆解达到优化效果,比起在中间传输设备上识别调度大象流的思路,本方法能够让用户根据业务特性从源头上拆分大象流,粒度更细,精准度更高,非常适用于ipsec保护的视频类业务,同时本专利技术的思路也同样适用于openvpn,wireguard等udp封装三层加密vpn协议。
技术实现思路
1、本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊,而这种简化或省略不能用于限制本专利技术的范围。
2、为解决上述技术问题,一种穿越nat场景下拆解ipsec大象流的方法,包括:
3、s1、在ipsec网关gw1和gw2上定义相同的端口集合φ{p1,p2,p3…pn};
4、s2、ike的协商流程不做改动,经过报文交换后建立ipsec sa,gw1使用源ip192.168.1.2、源端口4500发送ipsec流量报文,nat设备上产生会话s;
5、s3、nat内侧的gw1构造新的ike通知载荷定时进行源端口通告,gw1发送通知报文packet1;
6、s4、packet1经过nat后进行ip和端口转换,报文的源ip和源端口变化,并产生的新的会话s1;
7、s5、gw2收到报文后,从udp头得到端口x1,解密报文内容得到原始源端口p1,验证得知p1在定义的端口集合φ内,记录p1和x1的对应关系;
8、s6、packet 2匹配nat会话s1,转换源ip和源端口;
9、s7、gw1收到回应报文后,同样建立p1与x1的对应关系;
10、s8、nat会话s1稳定,gw1使用p1作为源端口发送ipsec数据报文,gw2主动使用x1作为目的端口发送ipsec数据报文,到此原本的一条ipsec数据流被拆分成两条;
11、s9、ipsec数据流被拆分成n+1条,nat设备上对应n+1条会话。
12、作为本专利技术一种穿越nat场景下拆解ipsec大象流的方法的一种优选方案,其中:
13、所述ipsec网关gw1和gw2上定义相同的端口集合φ{p1,p2,p3…pn},ipsec除了使用4500源端口外,以集合中定义的端口号作为源端口。
14、作为本专利技术一种穿越nat场景下拆解ipsec大象流的方法的一种优选方案,其中:
15、所述会话s为sesssion{192.168.1.2:4500<=>20.0.0.1:x};
16、所述会话s作为这条ipsec连接的主会话。
17、作为本专利技术一种穿越nat场景下拆解ipsec大象流的方法的一种优选方案,其中:
18、所述产生新的会话后packet1经过nat转换后得到新的packet1;
19、所述packet1为pkt{udp,20.0.0.1,x1,20.0.0.2,4500}{p1}。
20、作为本专利技术一种穿越nat场景下拆解ipsec大象流的方法的一种优选方案,其中:
21、nat内侧的gw1构造新的ike通知载荷定时进行源端口通告,比如针对源端口p1,gw1发送通知报文packet1;
22、所述packet1为pkt{udp,192.168.1.2,p1,20.0.0.2,4500}{p1}
23、所述p1为端口号报文载荷内容,通过ike密钥进行加密保护。
24、作为本专利技术一种穿越nat场景下拆解ipsec大象流的方法的一种优选方案,其中:
25、所述新的会话s1为session{192.168.1.2:p1<=>20.0.0.1:x1};
26、所述packet1为pkt{udp,20.0.0.1,x1,20.0.0.2,4500本文档来自技高网...
【技术保护点】
1.一种穿越NAT场景下拆解IPsec大象流的方法,包括:
2.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
3.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
4.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
5.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
6.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
7.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
8.根据权利要求1所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
9.根据权利要求7所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
10.根据权利要求8所述的一种穿越NAT场景下拆解IPsec大象流的方法,其特征在于:
【技术特征摘要】
1.一种穿越nat场景下拆解ipsec大象流的方法,包括:
2.根据权利要求1所述的一种穿越nat场景下拆解ipsec大象流的方法,其特征在于:
3.根据权利要求1所述的一种穿越nat场景下拆解ipsec大象流的方法,其特征在于:
4.根据权利要求1所述的一种穿越nat场景下拆解ipsec大象流的方法,其特征在于:
5.根据权利要求1所述的一种穿越nat场景下拆解ipsec大象流的方法,其特征在于:
6.根据...
【专利技术属性】
技术研发人员:白雪,傅旭明,张义飞,庞海烨,刘邦运,张洪钏,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。