本申请涉及通信技术领域,尤其涉及一种报文传输方法和系统。
背景技术:
软件定义广域网(wideareanetworkdefinedsoftware,sd-wan)是将软件定义网络(networkdefinedsoftware,sdn)技术应用到广域网场景中所形成的一种服务。
其中,sd-wan的设备厂商通过私有协议实现对sd-wan网络的管理,因此,每个sd-wan控制器只能管理属于本域内与该sd-wan控制器属于同一设备厂商的网络设备。然而,电信运营商却不满足于仅使用同一个厂商的sd-wan设备来组网,因此,如何实现不同厂商的sd-wan设备之间的数据通信是本领域技术人员迫切需要解决的技术问题。
技术实现要素:
有鉴于此,本申请提供了一种报文传输方法和系统,以实现不同厂商的sd-wan设备之间的数据通信。
为实现上述目的,本申请提供了一种报文传输方法,包括:
第一网络接入装置通过部署的第一虚拟路由器获得第一厂商的第一软件定义广域网sd-wan设备发送的第一报文,所述第一报文为采用所述第一厂商设定的第一私有协议封装,且所述第一报文的目的地址为第二厂商的第二sd-wan设备,所述第一虚拟路由器为基于所述第一私有协议的虚拟路由器;
所述第一网络接入装置通过所述第一虚拟路由器解析所述第一报文,得到符合通用网络协议的第二报文;
所述第一网络接入装置基于配置的隧道链路,向所述隧道链路末端的第二网络接入装置传输所述第二报文,所述第二网络接入装置内部署有基于第二厂商设定的第二私有协议的第二虚拟路由器,所述隧道链路用于连通所述第一厂商的第一sd-wan与第二厂商的第二sd-wan;
所述第二网络接入装置通过所述第二虚拟路由器将接收到的第二报文封装为符合所述第二私有协议的第三报文,并向所述第二sd-wan设备传输所述第三报文。
又一方面,本申请还提供了一种报文传输系统,包括:
协同编排装置、与所述协同编排装置相连多个网络接入装置,所述网络接入装置中部署有至少一个sd-wan厂商对应的虚拟路由器,每个sd-wan厂商对应的虚拟路由器支持所述sd-wan厂商设定的私有协议;
其中,协同编排装置,用于确定待配置的至少一条隧道链路,并向所述网络接入装置下发隧道配置通知,所述隧道配置通知指示有所述至少一条待构建的隧道链路;
所述网络接入装置用于基于所述隧道配置通知,通过部署的虚拟路由器搭建隧道;
所述网络接入装置还用于执行所述报文传输方法中所述第一网络接入装置、第二网络接入装置或者第三网络接入装置所执行的操作。
由以上可知,本申请可以在第一网络接入装置中部署与第一sd-wan厂商设定的第一私有协议匹配的第一虚拟路由器,因此,通过该第一虚拟路由器可以接收并解析该第一sd-wan厂商的sd-wan设备传输的第一报文。在该基础上,该第一虚拟路由器可以基于配置的隧道链路向隧道链路末端的第二网络接入装置传输该第二报文,由于该第二网络接入装置中部署有与第二sd-wan厂商设定的第二私有协议匹配的第二虚拟路由器,因此,第二网络接入装置可以通过第二虚拟路由器将第二报文封装为符合第二私有协议的第三报文,使得第二sd-wan厂商的sd-wan设备可以识别该第三报文,从而通过本申请的方案可以实现不同sd-wan厂商的sd-wan设备之间的报文通信,解决了由于不同sd-wan厂商的sd-wan设备之间的私有协议不透明而导致不同sd-wan厂商的sd-wan设备之间无法通信的问题。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1a、1b和1c分别示出了本申请实施例提供的网络接入装置的不同组成架构示意图;
图1d示出了本申请实施例提供的一种报文传输系统组成架构示意图;
图2示出了本申请实施例提供的一种报文传输方法的一种流程示意图;
图3示出了本申请实施例提供的一种报文传输方法的又一种流程示意图;
图4示出了本申请实施例中报文传输方法所适用的一种隧道链路组成示意图;
图5示出了本申请实施例提供的一种报文传输方法的又一种流程示意图;
图6示出了本申请实施例中报文传输方法所适用的又一种隧道链路组成示意图;
图7示出了本申请实施例中报文传输方法所适用的又一种隧道链路组成示意图。
具体实施方式
本申请的方案可以实现不同软件定义广域网(wideareanetworkdefinedsoftware,sd-wan)厂商的sd-wan设备之间的数据通信。为了实现该目的,本申请在不同sd-wan厂商的sd-wan网络之间构建有报文传输系统。
其中,该报文传输系统至少包括协同编排装置以及该协同编排装置控制的多个网络接入装置。
其中,网络接入装置中部署有至少一种虚拟路由器,每种虚拟路由器为基于一个sd-wan厂商设定的私有协议的虚拟路由器,因此,每种虚拟路由器对应sd-wan厂商提供的虚拟路由器。其中,网络接入装置中不同虚拟路由器对应不同sd-wan厂商的私有协议。
在一种可能的情况中,该网络接入装置可以为一台服务器,即网络接入服务器。在该种情况下,网络接入服务器中配置有虚拟交换机以及至少一个厂商提供的虚拟路由器,厂商提供的虚拟路由器支持该厂商设定的私有协议。其中,网络接入服务器中虚拟路由器与虚拟交换机相连,以通过虚拟交换机实现信息接收与传输。
如,每个sd-wan厂商可以提供支持该sd-wan厂商的私有协议的虚拟路由器的软件包,在该种基础上,可以根据实际需要在不同网络接入装置中加载一个或者多个sd-wan厂商提供的虚拟路由器的软件包,以使得每个网络接入装置中可以配置有一个或者多个sd-wan厂商的虚拟路由器。
该种网络接入服务器的组成结构示意可以参见图1a所示,在图1a中,以网络接入服务器中配置有厂商a的虚拟路由器和厂商b的虚拟路由器,这两个虚拟路由器与虚拟的汇聚交换机相连。当然,图1a仅仅是个示意图,在实际应用中网络接入服务器中虚拟交换机的数量可以有多台,而网络接入服务器中可以根据需要配置一个厂商或者多个厂商的虚拟路由器。
在又一种可能的情况中,该网络接入装置可以由分布式部署的交换机模块和至少一个厂商的厂商服务模块组成。其中,厂商服务模块配置有该厂商的虚拟路由器,厂商服务模块可以为配置有该厂商的虚拟路由器的服务器等设备。该交换机模块可以为物理交换机或者是配置有虚拟交换机的设备。
其中,交换机模块和厂商服务模块部署于云网络中,并通过云内网络实现相连,使得厂商服务模块中的虚拟路由器与交换机模块对应的物理交换机或者虚拟交换机相连。其中,厂商的虚拟交换可以通过云内的物理交换机或者虚拟交换机采用透传方式传输数据。
在该种情况中,该协同编排装置下发的隧道配置通知以及后续报文传输所需的控制指令可以经过厂商的sd-wan控制器向厂商的虚拟路由器下发相应的通知或者控制命令。同时,厂商的虚拟路由器需要向外传输报文时,也可以根据配置的隧道向下一跳节点,而物理交换机和虚拟交换机仅仅是透传报文的作用。
如,参见图1b,其示出了网络接入装置由分布式部署的多个模块组成的一种示意图。在图1b中以交换机模块为物理交换机,厂商服务模块为厂商提供的服务器为例。由图1可见,该网络接入装置由部署在云网络内的物理交换机和至少一个厂商的服务器组成,该厂商的服务器内配置有该厂商的虚拟交换,厂商的服务器与物理交换机在云内连接,以使得厂商的虚拟交换机接入物理交换机相连。在图1b中以网络接入装置内部署有两个厂商的服务器为例。
在又一种可能的情况下,网络接入装置也可以是结合前面提到的两种情况的混合部署形式。在该种情况中,网络接入装置可以包括:分布式部署于云网络内的第一类设备和第二类设备。其中,第一类设备中配置有虚拟交换机和至少一个厂商的虚拟路由器,第二类设备为厂商提供的具有该厂商的虚拟交换机的服务器等设备。其中,第二类设备中的虚拟交换机通过云网络接入该第一类设备中的虚拟交换机。如图1c所示,该网络接入装置包括分布式部署的网络设备和厂商a的服务器,该网络设备中部署有虚拟交换机和厂商b的虚拟路由器,而该厂商a的服务器中部署有厂商a的虚拟路由器。
可以理解的是,在实际应用中,可以根据通信需求,通过本申请的方案构建用于连通不同sd-wan厂商的sd-wan网络的隧道链路。为了能够整体分配所需开通的隧道链路以及控制调整隧道链路,该协同编排装置可以用于确定待配置的至少一条隧道链路,并向所述网络接入装置下发隧道配置通知,该隧道配置通知指示有所述至少一条待构建的隧道链路。
相应的,网络接入装置用于基于所述隧道配置通知,通过部署的虚拟路由器搭建隧道。
具体的,网络接入装置可以通过部署的虚拟路由器响应隧道配置通知,并完成相应隧道的搭建。其中,该协同编排装置可以经过虚拟路由器所属厂商的sd-wan控制器向该虚拟路由器下发隧道配置通知。
为了便于理解,可以参见图1d,在图1d中示出了本申请的方案所适用的一种报文传输系统的组成架构示意图。
由图1d可以看出,该组成架构从上到下依次为:应用层、协同编排层、管理控制层和网络设备层。
其中,应用层可以涉及业务支撑系统(businesssupportsystem,bss)和运营支撑系统(operationsupportsystem,oss)和合作伙伴管理模块,还可以有一些其他应用。其中,app和bss负责受理用户订单(虚拟专用网络vpn开通、修改、删除、查询和计费等),合作伙伴管理模块负责与合作伙伴的结算,oss负责资源管理和监控。
协同编排层相当于协同编排装置,该协同编排层可以为一台硬件设备,也可以由分布式的多个模块构成。如在图1d中该协同编排层可以包括:用于对管理控制层中的设备进行控制。具体的,该层包含工单管理、资源管理、策略和服务协同、选路服务、链路质量测量等模块。该层负责跨sd-wan域链路的选路,链路质量监控,主备倒换和相应策略管理。
首先,协同编排层负责把一个vpn开通、变更、拆除或者查询的工单,通过预先配置的策略分解为若干子任务。然后,通过nfvo向网络接入装置中的虚拟路由器发布和配置任务;同时,通过选路服务模块确定端到端路由,通过sd-wan控制器完成sd-wan域内ipsec隧道的配置任务,通过骨干网控制器完成骨干网隧道的配置任务,如骨干网控制器可以为多协议标签交换(multi-protocollabelswitching,mpls)控制器。其次,协同编排层负责监控链路和网元性能,并能在被监控对象的性能劣化之后,按照预定义的策略做链路主备切换、负载均衡和障碍恢复。最后,协同编排层还能洞察互联网中网络接入装置之间的链路资源情况,如时延、抖动、吞吐能力(丢包率、重传率)等。
管理控制层,该层包含多个厂商的sd-wan控制器、至少一个骨干网控制器(如,mpls骨干网控制器)和至少一个nfvo。
其中,nfvo主要用于对虚拟化网元环境的管理。首先,部署和监控虚拟网络环境,如,拉起虚拟机,部署在sd-wan网络功能虚拟(networkfunctionsvirtualization,nfv)(如,网络接入装置中的虚拟路由器(virtualrouter,vr),并向协同层上报vnf的ip地址;其次,监控虚机和vr性能,在vr和虚机性能下降时,向协同层报告,申请负载均衡策略。一些厂商的sd-wan设备不支持虚拟化,要通过网管接口采集设备性能状态数据到nfvo汇总。设备性能劣化时,向协同层告警,由协同层匹配处理策略。
网络层包括sd-wan客户场所设备(customerpremiseequipment,cpe)、网络接入装置(point-of-presence,pop)、骨干网边缘路由(pe)等。其中,pop可以看成是由多个功能模块组成的服务系统,如,网络接入装置中配置有虚拟的sd-wanvr以及虚拟汇集交换机。该接入网服务器在此处起到接入网到骨干网流量中继和不同协议的隧道对接作用。网络层的设备在管理控制层的控制器的管理下逐段构建隧道(隧道在此指l2vpn或l3vpn,如ipsec隧道),在协同层的管理下,各隧道在域间逐段对接,实现vpn通道端到端贯通。
在图1d所示的架构中,协同编排层与管理控制层中至少一个sd-wan控制器,而sd-wan控制器与多个网络接入装置中的虚拟路由器相连。
在本实施例中,协同编排层可以确定待配置的至少一条隧道链路,并向sd-wan控制器下发隧道配置通知,该隧道配置通知指示有待配置或者构建的至少一条隧道链路。
相应的sd-wan控制器可以响应于隧道配置通知,向至少两个网络接入装置下发隧道构建指示,该隧道构建指示用于指示网络接入装置所需构建的隧道。
而网络接入装置可以基于隧道配置通知,通过配置的虚拟路由器搭建隧道。在构建了隧道的基础上,网络接入装置可以执行后续报文传输方法中第一网络接入装置、第二网络接入装置或者第三网络接入装置等网络接入装置所执行的操作。
当然,在该报文传输系统中,每个sd-wan厂商各自对应至少一台sd-wan控制器和至少一台sd-wan设备,其中,每个sd-wan厂商的sd-wan设备与该sd-wan厂商的sd-wan控制器相连。
其中,sd-wan控制器还用于在协同编排层的控制下,控制与sd-wan控制器同一厂商的sd-wan设备与至少一台属于同一厂商的虚拟路由器建立私有协议隧道。
可以理解的是,根据实际应用,通过本申请的以上系统可以预先搭建出用于实现不同sd-wan厂商的sd-wan域之间互通的隧道,隧道可以基于网络接入装置在骨干网或者互联网上搭建。
在以上基础上,下面对本申请的报文传输方法进行介绍。如,参见图3,其示出了本申请一种报文传输方法一个实施例的流程示意图,本实施例的方法可以包括:
s201,第一网络接入装置通过部署的第一虚拟路由器获得第一厂商的第一sd-wan设备发送的第一报文。
其中,该第一报文为采用第一厂商设定的第一私有协议封装,且该第一报文的目的地址为第二厂商的第二sd-wan设备。
其中,为了便于区分,将发起报文的源sd-wan设备所属的sd-wan厂商称为第一厂商。基于该第一厂商的sd-wan设备搭建出的sd-wan网络所采用的通信协议为第一私有协议。
其中,该第一虚拟路由器为基于该第一私有协议的虚拟路由器,即,采用第一私有协议的sd-wan虚拟路由器。该第一虚拟路由器是预先加载在该第一网络接入装置中。
可以理解的是,该第一网络接入装置中还可以部署有虚拟汇聚交换机,以通过汇聚交换机接收向该第一网络接入装置发送的报文以及输出该第一网络接入装置需要发送的报文。
当然,该第一网络接入装置中还可以有与其他sd-wan厂商的私有协议匹配的虚拟路由器,在此不加限制。
可以理解的是,sd-wan厂商的sd-wan设备传输报文可以基于其私有隧道实现,因此,本申请在第一厂商的第一sd-wan设备与该第一网络接入装置的第一虚拟路由器之间可以预先基于第一私有协议构建有第一私有协议隧道,该第一私有协议隧道可以为虚拟专网网络vpn隧道。可选的,该第一私有协议隧道可以为互联网安全协议(internetprotocolsecurity,ipsec)隧道。
相应的,该第一网络接入装置通过该第一虚拟路由器获得该第一厂商的第一sd-wan设备经该第一私有协议隧道传输的第一报文。其中,该第一报文的源地址为该第一sd-wan设备。其中,为了便于区分将第一厂商对应的sd-wan设备称为第一sd-wan设备。
s202,第一网络接入装置通过第一虚拟路由器解析第一报文,得到符合通用网络协议的第二报文。
由于第一虚拟路由器为基于第一私有协议的虚拟路由器,因此,该第一虚拟路由器能够解析采用第一私有协议封装的第一报文,从而将该第一报文解析为通用网络协议的第二报文。其中,为了便于区分,将第二网络接入装置通过第二虚拟路由器从第一报文解析出的报文称为第二报文。
其中,该通用网络协议可以为网际互连协议(internetprotocol,ip)。相应的,通过该第一虚拟路由器将第一报文解析为采用ip协议的第二报文。
s203,第一网络接入装置基于配置的隧道链路,向隧道链路末端的第二网络接入装置传输第二报文。
其中,第二网络接入装置不同于第一网络接入装置,该第二网络接入装置中至少部署有基于第二厂商设定的第二私有协议的第二虚拟路由器。此处的第二厂商是指不同于第一厂商的sd-wan设备厂商。
相应的,该第二私有协议为第二厂商设定的sd-wan网络所采用的私有协议,即,基于该第二厂商的第二sd-wan设备构建的sd-wan中的私有协议。
其中,该隧道链路为基于搭建在骨干网或者互联网上隧道链路。隧道链路用于连通第一厂商的第一sd-wan与第二厂商的第二sd-wan;可以理解的是,该隧道链路可以包括一段或者多段搭建在骨干网或者互联网上的vpn隧道,且该隧道链路的两端分别为第一网络接入装置和第二网络接入装置。在此基础上,通过该第一网络接入装置中的第一虚拟路由器实现该隧道链路与第一厂商的第一sd-wan的私有隧道的连接,如,第一网络接入装置处于隧道链路中,且第一网络接入装置的第一虚拟路由器与第一厂商的第一sd-wan设备之间建立有第一私有协议隧道,从而实现基于第一网络接入设备实现第一私有协议隧道与该隧道链路的连通。相应的,可以通过第二网络接入装置中的第二虚拟路由器实现该隧道链路与第二厂商的第二sd-wan的私有隧道的连接。
可以理解的是,由于该隧道链路可以包括一段或者多段搭建于骨干网或者互联网上的隧道,因此,该隧道链路上所涉及到的设备除了该第一网络接入装置和第二网络接入装置,还可能会涉及到作为中继节点的其他网络接入装置或者是接入骨干网的边缘路由器等。
相应的,在配置了隧道链路之后,该第一网络接入装置基于该隧道链路向第二网络接入装置传输该第二报文可以是经过第一网络接入装置与第二网络接入装置之间的隧道直接向第二网络接入装置传输该第二报文;也可以是将该第二报文转发给隧道链路中与该第一网络接入装置对应的下一跳设备,然后再经下一跳设备经过该隧道链路中的其他隧道的转发传输给该第二网络接入装置。
可以理解的是,在第一网络接入装置基于配置的隧道链路向第二网络接入装置传输第二报文实际上是通过第一虚拟路由器向第二网络接入装置传输该第二报文。
s204,第二网络接入装置通过第二虚拟路由器将接收到的第二报文封装为符合第二私有协议的第三报文,并向第二sd-wan设备传输第三报文。
可以理解的是,在第二网络接入装置获取到经隧道链路传输的第二报文之后,为了能够将该第二报文传输给采用第二私有协议通信的第二厂商的第二sd-wan设备,需要将该第二报文转换为符合该第一私有协议的报文,以使得第二sd-wan设备可以识别该报文。
与第一虚拟路由器类似,该第二虚拟路由器为采用第二厂商设定的第二私有协议的虚拟路由器。
在此基础上,由于第二虚拟路由器可以与第二厂商的第二sd-wan设备进行通信,且该第二虚拟路由器可以将该第二报文转换为符合该第二私有协议的报文,为了便于区分,将符合第二私有协议的报文称为第三报文。
需要说明的是,在以上将第一报文解析转换为第二报文的情况下,第二报文的目的地址仍为该第二sd-wan设备,相应的,第三报文的目的地址也同样为sd-wan设备。
可以理解的是,本申请的第二sd-wan厂商的第二sd-wan设备传输报文同样为基于其私有隧道实现,因此,本申请在第二厂商的第二sd-wan设备与该第二网络接入装置的第二虚拟路由器之间可以预先基于第二私有协议构建有第二私有协议隧道,该第一私有协议隧道可以为vpn隧道。可选的,该第二私有协议隧道可以为ipsec隧道。
相应的,该第二网络接入装置通过第二虚拟路由器经第二私有协议隧道向第二sd-wan设备传输该第三报文。
可以理解的是,为了实现本实施例的方案,网络接入装置都预先配置有相应的隧道链路。相应的,在报文传输之前,该第一网络接入装置第一虚拟路由器基于获得的第一隧道配置通知,构建第一隧道配置通知所指示的隧道链路中的隧道。第二网络接入装置的第二虚拟路由器基于获得的第二隧道配置通知,构建该第二隧道配置通知所指示的隧道链路中的隧道。
可见,本申请可以在第一网络接入装置中配置与第一sd-wan厂商设定的第一私有协议匹配的第一虚拟路由器,因此,通过该第一虚拟路由器可以接收并解析该第一sd-wan厂商的sd-wan设备传输的第一报文。在该基础上,该第一虚拟路由器可以基于配置的隧道链路向隧道链路末端的第二网络接入装置传输该第二报文,由于该第二网络接入装置中部署有与第二sd-wan厂商设定的第二私有协议匹配的第二虚拟路由器,因此,第二网络接入装置可以通过第二虚拟路由器将第二报文封装为符合第二私有协议的第三报文,使得第二sd-wan厂商的sd-wan设备可以识别该第三报文,从而通过本申请的方案可以实现不同sd-wan厂商的sd-wan设备之间的报文通信,解决了由于不同sd-wan厂商的sd-wan设备之间的私有协议不透明而导致不同sd-wan厂商的sd-wan设备之间无法通信的问题。
可以理解的是,通过本申请的方案可以实现多个sd-wan厂商的sd-wan网络的互通。其中,为了实现任意两个sd-wan厂商之间的sd-wan网络的互通,需要针对这两个sd-wan网络,基于至少两个网络接入装置,在骨干网或者互联网上搭建vpn隧道。
下面分别针对在骨干网和互联网上搭建vpn隧道的情况进行介绍。
首先对在骨干网上搭建vpn隧道的情况进行说明,如图3所示,其示出了本申请一种报文传输方法又一个实施例的流程示意图,本实施例的方法可以包括:
s301,第一网络接入装置通过部署的第一虚拟路由器获得第一厂商的第一sd-wan设备经第一私有协议隧道传输的第一报文。
其中,该第一私有协议隧道为该第一sd-wan设备与该第一虚拟路由器之间基于第一厂商设定的第一私有协议构建的vpn隧道。
该步骤s301可以参见前面实施例的相关介绍,对于前面提到的其他使得第一接入服务器获取该第一报文的情况也同样适用于本实施例。
s302,第一网络接入装置通过第一虚拟路由器解析第一报文,得到符合ip协议的第二报文。
为了便于理解,本实施例以符合通用网络协议的第二报文为符合ip协议的第二报文为例说明。
s303,第一网络接入装置基于配置的隧道链路中的骨干网隧道,将第二报文传输给用于接入该骨干网隧道对应的骨干网的第一边缘路由器。
在该第一网络接入装置中配置的隧道链路为骨干网隧道,如,可以为mpls骨干网隧道。为了能够通过骨干网隧道实现传输第二报文,本申请需要第一网络接入装置通过虚拟局域网将该第二报文传输给骨干网的第一边缘路由器pe。一般情况下,该第一边缘路由器为距离第一网络接入装置距离相对最近且通信链路不存在异常的边缘路由器。
在第一网络接入装置中配置了所需接入的骨干网隧道的情况下,该第一网络接入装置中也就配置了接入该骨干网隧道所需的该第一边缘路由器。
其中,该骨干网可以为mpls骨干网,相应的,骨干网隧道为基于mpls骨干网的vpn隧道。
s304,第一边缘路由器将第二报文封装为符合骨干网协议的第二报文,并经骨干网隧道将符合骨干网协议的第二报文传输给接入骨干网的第二边缘路由器。
其中,该骨干网隧道为构建在骨干网上,且连通该第一边缘路由器和第二边缘路由器的vpn隧道。
可以理解的是,骨干网采用的是骨干网协议,为了实现将第二报文经骨干网隧道传输,需要通过该第一边缘路由器将第二报文封装为符合该骨干网协议的第二报文。
如,mpls骨干网采用的是mpls协议,则该第一边缘路由器可以将第二报文封装为符合mpls协议的第二报文,并经过mpls骨干网隧道传输给第二边缘路由器。
s305,第二边缘路由器将符合骨干网协议的第二报文解析为符合通用网络协议的第二报文。
由于第二边缘路由器与第一边缘路由器一样都可以对骨干网协议进行解析和采用骨干网协议封装报文,因此,第二边缘路由器在通过骨干网隧道获得需要采用骨干网协议封装的第二报文之后,可以解析该第二报文,得到符合通用网络协议如ip协议的第二报文。
s306,第二边缘路由器基于配置的隧道链路所指向的第二网络接入装置,将解析出的第二报文传输给第二网络接入装置。
在第二边缘路由器中配置的隧道链路指向的是第二网络接入装置,也就是说需要将解析出的第二报文传输给第二网络接入装置的某个虚拟路由器。其中,第二网络接入装置部署有基于第二厂商设定的第二私有协议的第二虚拟路由器,通过第二网络接入装置中的第二虚拟路由器可以实现将第二报文经该第二sd-wan设备对应的域内私有隧道传输到该第二sd-wan设备。
第二边缘路由器与该第二网络接入装置同样处于同一个虚拟局域网内,因此,通过该第二边缘路由器可以直接将解析出的该第二报文传输给该第二网络接入装置。
s307,第二网络接入装置通过第二虚拟路由器经第二私有协议隧道向第二sd-wan设备传输第三报文。
其中,第二私有协议隧道为第二虚拟路由器与第二sd-wan设备之间基于第二私有协议构建的虚拟专用网络隧道。
该步骤s301可以参见前面实施例的相关介绍,对于前面提到的其他使得第一接入服务器获取该第一报文的情况也同样适用于本实施例。
图3实施例中第二报文经第一厂商的sd-wan域内私有隧道传输到搭建于骨干网上的隧道,再最终通过第二厂商的sd-wan域内的私有隧道传输到第二sd-wan设备,这一过程就是经过图1示出的网络层中上面一条路径实现厂商1的sd-wan设备向厂商2的sd-wan设备传输的报文的过程。
为了能够更便于和清楚的理解图3实施例中报文传输所经过的各段隧道,可以参见图4所示的一种传输报文的路径示意图。在图4中以网络接入装置为网络接入服务器为例说明,但是对网络接入装置为其他的情况其原理也相似,可相互参考。
在图4中从左到右为报文依次需要经过的设备和隧道。
由图4可以看出,实现厂商1与厂商2的sd-wan网络互通所涉及各段路径依次包括:
厂商1的软件定义广域网sd-wan设备1与网络接入服务器1的适配厂商1的虚拟路由器1之间的私有协议隧道,如ipsec隧道,即图4中域内隧道1;
网络接入服务器1到边缘路由器1之间的虚拟局域网1内的路段;
边缘路由器1与边缘路由器2之间构建于多协议标签交换mpls骨干网上的mpls骨干网隧道;
边缘路由器2到网络接入服务器2之间的虚拟局域网2内的路段;
网络接入服务器内配置的厂商2的虚拟路由器2;
虚拟路由器2与厂商2的sd-wan设备2之间的私有协议路径私有协议建立的第二私有隧道,即ipsec2隧道。
其中,虚拟局域网1、mpls骨干网隧道和虚拟局域网2实际上构成了独立于厂商1和厂商2,且能够实现与厂商1和厂商2的sd-wan网络互通的隧道链路。
相应的,在图4以从厂商1的sd-wan设备1向厂商2的sd-wan设备2传输报文为例说明,则报文传输过程为:
首先,1厂商1的sd-wan设备1的第一报文经过第一私有隧道传输到网络接入服务器1中适配厂商1的虚拟路由器1,虚拟路由器1将第一报文中第一私有协议的报头剥掉,变成普通的ip协议的第二报文,使得该ip协议的第二报文进入虚拟局域网1。
其次,通过网络接入服务器1将ip协议的第二报文经虚拟局域网1传输到边缘路由器1。
再次,边缘路由器1将ip协议的第二报文封装为mpls协议的第二报文,并将mpls协议的第二报文经过mpls骨干网隧道传输到边缘路由器2;
然后,边缘路由器将mpls协议的第二报文解析为ip协议的第二报文,并将ip协议的第二报文传输给网络接入服务器2。
最后,网络接入服务器2通过虚拟路由器2将接收到的ip协议的第二报文封装为厂商2的第二私有协议的第三报文,并将第三报文经过第二私有隧道传输给厂商2的sd-wan设备2。
当然,网络接入服务器1和网络接入服务器2中均配置有虚拟的汇聚交换机,因此,进出网络接入服务器1和网络接入服务器2的报文均需要经过各自的相应的汇聚交换机的端口,如图4中所示,在此不再赘述。
下面结合基于互联网构建的隧道链路对本申请的报文传输方法进行介绍。
如图5所示,其示出了本申请一种报文传输方法又一个实施例的流程示意图,本实施例的方法可以包括:
s501,第一网络接入装置通过第一虚拟路由器获得第一厂商的第一sd-wan设备经第一私有协议隧道传输的第一报文。
其中,该第一私有协议隧道为该第一sd-wan设备与该第一虚拟路由器之间基于第一厂商设定的第一私有协议构建的vpn隧道。
s502,第一网络接入装置通过第一虚拟路由器解析第一报文,得到符合ip协议的第二报文。
以上步骤s501和s502可以参见前面实施例的相关介绍,在此不再赘述。
s503,第一网络接入装置基于配置的隧道链路中的互联网隧道,利用第一网络接入装置中部署的第一中转虚拟路由器将第二报文封装为符合中转私有协议的第二报文。
其中,中转私有协议为中转厂商设定的私有协议。中转厂商为第一厂商,第二厂商,或者第一厂商和第二厂商之外的第三厂商。其中,该第三厂商可以指该第一厂商和第二厂商之外的任意一个厂商。
第一中转虚拟路由器为基于中转私有协议的虚拟路由器,互联网隧道为在互联网中搭建的符合中转私有协议的隧道。
也就是说,在该第一网络接入装置中除了通过第一虚拟路由器接收并解析第一报文之后,该第一网络接入装置中还会存在能够通过互联网与其他网络接入装置中的虚拟路由器建立互联网隧道的中转虚拟路由器。为了便于区分,在报文传输过程中,将第一网络接入装置中用于向外发出报文的虚拟路由器称为第一中转虚拟路由器。
可以理解的是,根据需要应用场景以及实际配置的不同,该中转虚拟路由器可以是该第一虚拟路由器,也可以是第一虚拟路由器之外的且与该第一厂商之外的其他厂商的私有协议匹配的虚拟路由器。
可以理解的是,基于互联网构建出的互联网隧道可以为搭建在互联网上的互联网安全协议ipsec隧道。由于该中转虚拟路由器所支持的私有协议是固定的,因此,该互联网隧道所能传输的报文的协议与该中转虚拟路由器所匹配的私有协议一致,相应的,与该第一中转虚拟路由器构建互联网隧道的其他网络接入装置中的中转虚拟路由器是与该第一中转虚拟路由器支持同一厂商的私有协议。
如,第一网络接入装置中配置的互联网隧道可以为基于该第一网络接入装置中第一厂商对应的第一虚拟路由器与第二网络接入装置中第一厂商对应的中转虚拟路由器在互联网中建立的隧道,那么第一网络接入装置中的第一中转虚拟路由器为该第一厂商对应的第一虚拟路由器,而该第一中转虚拟路由器与该第二网络接入装置中第一厂商对应的中转虚拟路由器所支持的私有协议相同。相应的,通过该第一中转虚拟路由器可以将第二报文封装为符合第一私有协议的第二报文。
又如,第一网络接入装置中配置的互联网隧道可以基于该第一网络接入装置中第三厂商对应的第三虚拟路由器与第三网络接入装置中第三厂商对应的虚拟路由器在互联网中建立的隧道,则第一网络接入装置中该第一中转虚拟路由器可以为第三厂商的私有协议匹配的虚拟路由器。相应的,通过该第一中转虚拟路由器可以将第二报文封装为符合第三厂商的第三私有协议的第二报文。
s504,第一网络接入装置通过第一中转虚拟路由器经互联网隧道,向隧道链路末端的第二网络接入装置传输符合中转私有协议的第二报文。
其中,第二网络接入装置部署有符合中转私有协议的第二中转虚拟路由器。为了便于区分,将在报文传输过程中,该第二网络接入装置中部署的用于实现报文接收的虚拟路由器称为第二中转虚拟路由器,相应的,该第二中转虚拟路由器所支持的私有协议就是中转私有协议。
需要说明的是,第一网络接入装置向第二网络接入装置传输第二报文可以是仅仅经过该第一网络接入装置中配置的互联网隧道,也可能是除了经过该互联网隧道之外,还会经过其他网络接入装置之间的互联网隧道,而不同互联网隧道所传输的报文的协议可能会有所不同,但是在本实施例中将互联网隧道对应的私有协议均称为中转私有协议。
如,在一种情况中,如果该第一网络接入装置中配置的互联网隧道是实现连接第一网络接入装置和第二网络接入装置的隧道,那么第一网络接入装置的第一中转虚拟路由器可以与第二网络接入装置的第二中转虚拟路由器之间建立有该互联网隧道。相应的,该第一中转虚拟路由器和第二中转虚拟路由器为支持同一厂商的私有协议的虚拟路由器。相应的,可以通过第一网络接入装置中的第一中转虚拟路由器将符合该中转私有协议的第二报文传输给第二网络接入装置中的第二中转虚拟路由器。
在以上该种情况中,根据第一中转虚拟路由器与第一网络接入装置中的第一虚拟路由器是否为同一个虚拟路由器也会分为两种情况。如,参见图6,其示出了基于在互联网上构建的隧道链路的一种示意图。在图6中以网络接入装置为网络接入服务器为例说明,但是对网络接入装置为其他的情况其原理也相似,可相互参考。
在图6以从厂商1的sd-wan设备1向厂商2的sd-wan设备2传输报文为例说明。相应的,从左到右的方向为报文的传输方向。
由图6可以看出,第一网络接入服务器中配置有厂商1的虚拟路由器10,而第二网络接入服务器中配置有厂商1的虚拟路由器11和厂商2的虚拟路由器20。
同时,在图6中,第一网络接入服务器中的虚拟路由器10与厂商1的sd-wan设备1之间构建有第一私有协议隧道,如ipsec隧道,即图6中域内隧道1。
同时,该虚拟路由器10还与第二网络接入服务器中的虚拟路由器11之间搭建有基于互联网的ipsec隧道,如图6中互联网隧道。
而该第二网络接入服务器中另一个虚拟路由器20与厂商2的sd-wan设备2之间建立有第二私有协议隧道,如ipsec隧道,即图6中的域内隧道2。
在以上基础上,第一网络接入服务器的虚拟路由器10通过第一私有协议隧道获得该厂商1的sd-wan设备1传输的第一报文之后,可以将第一报文解析为符合ip协议的第二报文。然后,第一网络接入服务器的虚拟路由器11需要通过互联网构建的ipsec隧道传输给第二网络接入服务器中第一厂商的虚拟路由器11,在该种情况下,基于互联网构建的ipsec隧道对应的中转私有协议就是第一厂商的第一私有协议,因此,可以通过该第一网络接入服务器中的虚拟路由器10将该第二报文采用第一私有协议封装后经过该构建于互联网的互联网隧道2传输,从而使得第二网络接入服务器可以直接接收到采用第一私有协议封装的第二报文。
可以理解的是,图6是以互联网隧道为在互联网中构建出的该第一网络接入服务器中的第一虚拟路由器与第二网络接入服务器中配置的与第一厂商的第一私有协议匹配的第二中转虚拟路由器之间的隧道。
图6仅仅是以上情况的一种示例,在实际应用中,该第一网络接入服务器中还可以支持第二厂商的第二私有协议的虚拟路由器,相应的,该互联网隧道还可以是第一网络接入服务器中与第一厂商对应的中转虚拟路由器与该第二网络接入服务器的第二虚拟路由器之间构建出的隧道,即第二网络接入服务器中的第二中转虚拟路由器为第二虚拟路由器。对于该种情况,只需要通过第一网络接入服务器中的该第一厂商对应的虚拟路由器采用第二厂商的第二私有协议封装该第二报文,再将封装后的第二报文经该互联网隧道传输给第二网络接入服务器的第二虚拟路由器。
当然,该第一网络接入装置和第二网络接入装置还可以均配置有第三厂商的虚拟路由器,则第一网络接入装置与第三厂商对应的虚拟路由器就是第一中转虚拟路由器,而第二网络接入装置中第三厂商对应的虚拟路由器就是第二虚拟路由器。相应的,第一中转虚拟路由器会将第二报文采用第三厂商对应的第三私有协议封装,而后续第二网络接入装置中的第二中转虚拟路由器会采用第三私有协议对该第二报文进行解析。
又如,在又一种可能的情况中,该第一网络接入装置配置的互联网隧道为第一互联网隧道,而该第一互联网隧道的末端并不是第二网络接入装置中的中转虚拟路由器。在该种情况下,第一网络接入装置基于配置的隧道链路中的第一互联网隧道,利用第一网络接入装置中部署的第一中转虚拟路由器将该第二报文封装为符合第一中转私有协议的第二报文。该第一互联网隧道为在互联网中搭建的符合所述第一中转私有协议的隧道。该第一中转私有协议为第一中转厂商设定的私有协议,该第一中转厂商为第一厂商、第二厂商或者第三厂商,相应的,该第一中转虚拟路由器为基于该第一中转私有协议的虚拟路由器。
相应的,该第一网络接入装置通过该第一中转虚拟路由器经该第一互联网隧道向第三网络接入装置内部署的第三中转虚拟路由器发送符合该第一中转私有协议的第二报文。其中。该第三中转虚拟路由器与该第一中转虚拟路由器之间构建有该第一互联网隧道,该第三中转虚拟路由器为基于该第一中转私有协议的虚拟路由器。也就是说该第三网络接入装置为第一网络接入装置和第二网络接入装置之间的中继节点。
而第三网络接入装置为了能够实现继续向第二网络接入装置传输第二报文,该第三网络接入装置会利用该第三中转虚拟路由器将符合第二中转私有协议的第二报文解析为符合通用网络协议的第二报文。
然后,该第三网络接入装置基于配置的隧道链路中的第二互联网隧道,利用部署的第四中转虚拟路由器将该第三中转虚拟路由器解析出的第二报文封装为符合第二中转私有协议的第二报文。其中,该第二互联网隧道为在互联网中搭建的符合第二中转私有协议的隧道,该第四中转虚拟路由器为基于该第二中转私有协议的虚拟路由器。其中,该第二中转私有协议为第二中转厂商设定的私有协议,第二中转厂商为所述第一厂商,第二厂商,或者所述第一厂商和第二厂商之外的第四厂商,该第四厂商可以与前面提到的第三厂商相同,也可能不同。
最后,该第三网络接入装置通过该第四中转虚拟路由器经该第二互联网隧道,向该隧道链路末端的第二网络接入装置传输该符合第二中转私有协议的第二报文,该第二网络接入装置部署有符合该隧道链路的最后一个互联网隧道对应的私有协议的第二中转虚拟路由器。
其中,如果该第三网络接入装置的第四中转虚拟路由器与第二网络接入装置的第二中转虚拟路由器之间直接建立有该第二互联网隧道,则该第二互联网隧道就是隧道链路中的最后一个互联网隧道。相应的,该第二网络接入装置中第二中转虚拟路由器为支持第四厂商的第四私有协议的虚拟路由器。
为了便于理解,可以参见图7,其示出了本申请实施例中实现第一厂商和第二厂商的sd-wan网络互连的一种隧道链路的示意图。在图7中同样是以网络接入装置为网络接入服务器为例说明,但是对网络接入装置为其他的情况其原理也相似,可相互参考。
在图7中以从厂商1的sd-wan设备1向厂商2的sd-wan设备2传输报文为例说明。相应的,报文传输方向为从左到右的方向。
在图7中,第一网络接入服务器中的虚拟路由器10与第一厂商的sd-wan设备1搭建有第一私有协议隧道,即域内隧道1。同时,第二网络接入服务器中厂商2的虚拟路由器20与第二厂商的sd-wan设备2之间搭建有第二私有协议隧道,即域内隧道2,该域内隧道1和域内隧道2分别与图6中域内隧道1和域内隧道2相似,在此不再赘述。
在该第一网络接入服务器中厂商1的虚拟路由器10作为第一虚拟中转路由器,与该第三网络接入服务器中厂商1的虚拟路由器13之间构建有隧道,由于该隧道搭建于互联网上,称为互联网隧道,即图7中互联网隧道1。
相应的,第三网络接入服务器中的厂商3的虚拟路由器30与第二网络接入服务器中厂商3的虚拟路由器31之间具有互联网隧道2。
因此,从第一网络接入服务器到第二网络接入服务器的隧道链路包括互联网隧道1和互联网隧道2,当然,还包括第三网络接入服务器中虚拟路由器13到虚拟路由器31之间的虚拟局域网1,以及第二网络接入服务器中虚拟路由器31到虚拟路由器20之间的虚拟局域网2。
相应的,报文传输过程为:
首先,第一网络接入服务器的虚拟路由器10从域内隧道1获得采用第一私有协议封装的第一报文之后,该虚拟路由器10将第一报文解析为ip协议的第二报文。
其次,第一网络接入服务器的虚拟路由器10为了能够通过互联网隧道1传输报文,该虚拟路由器10采用第一私有协议封装第二报文,将封装的第二报文通过互联网隧道传输给第三网络接入服务器中厂商1的虚拟路由器13。
再次,该第三网络接入服务器中的虚拟路由器13将采用第一私有协议封装的第二报文解析为ip协议的第二报文,并通过虚拟局域网传输给第三网络接入服务器中厂商3的虚拟路由器30。
最后,第三网络接入服务器中厂商3的虚拟路由器30将ip协议的第二报文采用第三厂商设定的第三私有协议封装,并将采用第三私有协议封装的第二报文通过互联网隧道2传输给第二网络接入服务器中厂商3的虚拟路由器31。
当然,后续该第二网络接入服务器中厂商3的虚拟路由器31会将采用第三私有协议封装的第二报文解析为ip协议的报文,并通过虚拟局域网2传输给第二网络接入服务器中厂商2的虚拟路由器20,以便虚拟路由器20通过域内隧道2传输给第二厂商的sd-wan设备2。
可以理解的是,图7也仅仅是一种示例,如果第三网络接入服务器并不能够直接与第二网络接入服务器通过隧道直接连通,那么第三网络接入服务器的虚拟路由器30还可以与其他网络接入服务器中的虚拟路由器之间构建互联网隧道,在该种情况下,仍可以参见从第一网络接入服务器向第三网络接入服务传输报文的过程,在此不再赘述。
s505,第二网络接入装置通过第二中转虚拟路由器将符合中转私有协议的第二报文解析为符合通用网络协议的第二报文,并利用第二虚拟路由器将解析出的第二报文封装为符合第二私有协议的第三报文。
其中,第二中转虚拟路由器支持的私有协议就是该封装该第二报文所采用的中转私有协议,因此,该第二中转虚拟路由器可以将第二报文解析为ip协议的报文。
如,图6所示,该第二网络接入装置中的第二中转虚拟路由器为第二网络接入装置中厂商1的虚拟路由器11,因此,通过虚拟路由器11接收到的第二报文为采用厂商1的第一私有协议封装的第二报文,则需要通过虚拟路由器11将该第二报文转换为符合ip协议的第二报文。相应的,虚拟路由器11需要将解析出的ip协议的第二报文传输给该第二网络接入装置中的第二虚拟路由器,并由该第二虚拟路由器采用第二通信协议封装该第二报文,得到第三报文。
又如,图7所示的例子中,第二中转虚拟路由器为厂商3的虚拟路由器31,因此,需要虚拟路由器31接收到为采用厂商3的第三私有协议封装的第二报文,这样,需要通过虚拟路由器解析出采用ip协议的第二报文,并传输给第二虚拟路由器。
s506,第二网络接入装置通过第二虚拟路由器经第二私有协议隧道向第二sd-wan设备传输第三报文,第二私有协议隧道为第二虚拟路由器与第二sd-wan设备之间基于第二私有协议构建的虚拟专用网络隧道。
该步骤可以参见前面实施例的相关描述,在此不再赘述。
可以理解的是,基于网络接入装置中的虚拟路由器搭建于互联网或者骨干网上的隧道可能出现异常状况,为了避免由于隧道链路上的各段隧道出现异常,而影响到不同sd-wan厂商的sd-wan设备之间的通信,本申请的网络接入装置还可以检测到配置的隧道链路中的隧道出现异常状况时,向协同编排装置(即协同编排层)上报异常状况。具体的,可以向协同编排层的策略和服务协同模块上报该异常状况。
如,第一网络接入装置在检测到配置的隧道链路存在异常状况时,向协同编排装置(如,协同编排层的策略和服务协同模块)上报检测到的异常状况,以便协同编排装置重新配置第一网络接入装置的隧道链路。相应的,第二网络接入装置在检测到隧道链路存在异常状况时,向协同编排层的策略和服务协同模块上报检测到的异常状况,以便该协同编排层可以通过策略协同层调用选路和配置模板重新配置第二网络接入装置的隧道链路。
其中,为了检测隧道链路的质量,在每个网络接入装置中还可以配置有虚拟的双向主动测量协议(twamp)代理agent,twampagent要在报文中描述应用类型的字段填入该vpn对应的应用类型id。当twampagent会发现vpn服务质量下降后,协同编排层找到该vpn通道包含的子隧道列表,通过“隧道id”向相应域控制器询问子隧道链路状态,最终确认vpn质量劣化与哪个子隧道状态直接相关。
通过配置在各个网络接入装置上该twamp代理可以获取整个系统不同种类的隧道的传输质量,传输质量包括:延时、丢包率、误码率、重传率等,twamp代理可以定期向协同编排层汇报检测到的各种隧道的传输质量。协同编排层以此未依据判断wan中各pop点间通道对各种应用的传输质量和变现价值。
在本申请实施例中,在vpn隧道质量劣化后,本申请还可以通过协同编排层控制实现域内、跨域、跨厂商私有协议的链路自动切换。
通过协同编排层使能不同厂家的sd-wan网络设备协同工作,跨厂商实现了sd-wan隧道对接和vpn端到端贯通,赋能跨sd-wan厂商vpn的互联互通,有利于扩大sd-wan运营规模。具体方法有两种:
(1)sd-wan网络域内通信服务质量的保障:当sd-wan控制器洞察到域内网络的质量情况,当某域内链路劣化时,sd-wan控制器可启用本域内的备份链路,并向策略和协同服务模块上报变更。
(2)域间通信服务质量的保障:当“域内通信服务质量的保障”机制不能取得满意效果时,“策略和协同”服务可能会选择跨网域切换链路。所述跨域路由切换,是用多厂商sd-wan链路替换了一个厂商的sd-wan链路。
由于协同编排层通过twamp报告掌握有pop点特定类型应用在所有隧道的传输质量(包括延时、丢包率、误码率、重传率等),选路模块据此选择其他的pop做路由中继点,通过(一个或多个)路由中继popx,实现跨厂商隧道的路由迂回,以回避低效wan链路。
其中,通过协同编排层协调自动化开通隧道链路,可以避免人工环节,缩短了开通周期。具体的,协同编排层可以实现以下几种操作:
(1)订单处理:进行业务开通时,用户在应用层中的bss或app中,录入用户订单。
(2)工单处理:应用层通过restconf接口把sd-wan安装订单数据发送给网络协同编排层,策略和协同模块生成开通工单,并做工单的任务拆分。工单拆分的方法是:先根据订单要求执行vpn跨域端到端算路服务;然后对各域控制器下发隧道服务开通子工单,分段构建隧道;最后做完工前端到端测试。工单的执行过程由策略与协同模块负责。
(3)选路:策略和协同模块首先调用选路服务。选路服务需要找到满足以下条件的设备:
选择距离sd-wan设备指定安装位置最近的mpls骨干网边缘路由器;
选择距离sd-wan设备指定安装位置最近的互联网边缘的网络接入装置;
网络接入装置之间的路由:根据已知网络接入装置点间链路质量的信息,找到源地址和目标地址之间(一个或多个)作为路由中继的网络接入装置和流量转发节点;
网络接入装置之内路由:根据sd-wan设备厂商的型号信息,确定在网络接入装置内是否需要完成厂商间私有隧道的切换。
(4)隧道开通:完成隧道选路以后,协同编排层依次调用各域控制器,逐段开通各域内ipsec、mpls等隧道,以及域间vlan通道。为实现端到端开通,协同编排层需要管理设备物力资源和vlanid,端口id等逻辑资源。
(5)完工测试:vpn逐段开通后,需要先做vpn端到端测试,如果测试结果满足用户原需求,则由协同编排层向bss报完工。否则,触发给施工人员的排障工单。
其中,以上提到的订单是应用层录入的订单,记录的订单数据包括:用户信息、申请安装sd-wan设备(vpn端点)的行政地址信息、sd-wan设备厂家及型号信息、通信质量要求(带宽或吞吐量、延时、丢包率、是否选用mpls、加密等)。
其中,选路过程中,选路服务的输入是sd-wan设备安装位置、sd-wan设备厂家型号、通信质量要求(带宽或吞吐量、延时、可靠性-是否选用mpls、加密等);选路服务输出是vpn链路端到端依次到达sd-wan网络层设备的ip地址、端口号、对应的控制器id。
其中,在选路环节,为寻找与sd-wan设备地址最近的网络接入装置环节,本系统采用了地址字段逐级匹配法。按照行政地址颗粒度从小到大的顺序去匹配两个网元的地址交集,以此来寻找与指定cpe最近的网络接入装置。比如,sd-wan设备的安装地址是(燕园,北京大学,海淀区,北京,中国),而如果有个网络接入装置1的地址是(某数据中心机房、黄庄,海淀区,北京,中国),此网络接入装置与sd-wan设备在第3级行政地址(”海淀区”)重合,如果其他网络接入装置与该sd-wan设备行政地址最小粒度的重合大于3级,那么网络接入装置1就距离指定sd-wan设备最近。
可以理解的是,由于单一sd-wan控制器不了解域外网络情况,不了解wan内所有网络接入装置节点之间fullmesh所有链路的当前质量情况(时延、抖动、吞吐率),无法做跨域选路。本系统在所有网络接入装置点中部署了twampagent,用于任意两个网络接入装置点之间的网络延时、抖动、吞吐率数据。这使得“策略和协同服务”打破了sd-wan控制器仅能对域内网络服务质量洞察的局限性,全面掌握网络接入装置点间fullmesh的链路传输质量。延时小、误码率的通道适合游戏等时延敏感类应用类型;时延不低,但误码率、丢包率和重传概率低的通道适合需要高吞吐率、高带宽的应用。
其中,在开通环节,为了实现端到端开通,协同编排层需要管理sd-wancpe、sd-wan边缘路由器pe(或虚拟路由器vr)、汇聚交换机、mpls边缘pe等网络设备的生产厂家、型号等静态信息,还要管理以上网络设备已经占用的ip地址、vlanid和端口号,空闲可用的ip地址、vlanid和端口号。在服务开通时,策略和协同服务调用资源管理服务查询该vpn用户可以占用vlanid、设备端口id等资源信息,生成下发给各个控制器的vpn隧道开通指令,其参数包括:限制带宽、加密、隧道协议、域内隧道起止点ip 端口等。
其中,在开通环节,开通完工测试的方法为:测试的方法如下:把twampagent通过nfvo发布到vcpe或者客户侧办公室的服务器中,让程序完成vpn通道端到端的自动化测试。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
1.一种报文传输方法,其特征在于,包括:
第一网络接入装置通过部署的第一虚拟路由器获得第一厂商的第一软件定义广域网sd-wan设备发送的第一报文,所述第一报文为采用所述第一厂商设定的第一私有协议封装,且所述第一报文的目的地址为第二厂商的第二sd-wan设备,所述第一虚拟路由器为基于所述第一私有协议的虚拟路由器;
所述第一网络接入装置通过所述第一虚拟路由器解析所述第一报文,得到符合通用网络协议的第二报文;
所述第一网络接入装置基于配置的隧道链路,向所述隧道链路末端的第二网络接入装置传输所述第二报文,所述第二网络接入装置内部署有基于第二厂商设定的第二私有协议的第二虚拟路由器,所述隧道链路用于连通所述第一厂商的第一sd-wan与第二厂商的第二sd-wan;
所述第二网络接入装置通过所述第二虚拟路由器将接收到的第二报文封装为符合所述第二私有协议的第三报文,并向所述第二sd-wan设备传输所述第三报文。
2.根据权利要求1所述的报文传输方法,其特征在于,所述第一网络接入装置通过部署的第一虚拟路由器获得第一厂商的第一软件定义广域网sd-wan设备发送的第一报文,包括:
所述第一网络接入装置通过部署的第一虚拟路由器获得所述第一厂商的第一软件定义广域网sd-wan设备经第一私有协议隧道传输的第一报文,所述第一私有协议隧道为所述第一sd-wan设备与所述第一虚拟路由器之间基于所述第一私有协议构建的虚拟专用网络隧道;
所述向所述第二sd-wan设备传输所述第三报文,包括:
所述第二网络接入装置通过所述第二虚拟路由器经第二私有协议隧道向所述第二sd-wan设备传输所述第三报文,所述第二私有协议隧道为所述第二虚拟路由器与所述第二sd-wan设备之间基于所述第二私有协议构建的虚拟专用网络隧道。
3.根据权利要求1所述的报文传输方法,其特征在于,所述第一网络接入装置基于配置的隧道链路,向所述隧道链路末端的第二网络接入装置传输所述第二报文,包括:
所述第一网络接入装置基于配置的隧道链路中的骨干网隧道,将所述第二报文传输给用于接入所述骨干网隧道对应的骨干网的第一边缘路由器;
所述第一边缘路由器将所述第二报文封装为符合骨干网协议的第二报文,并经所述骨干网隧道将所述符合骨干网协议的第二报文传输给接入所述骨干网的第二边缘路由器;
所述第二边缘路由器将所述符合骨干网协议的第二报文解析为符合通用网络协议的第二报文;
所述第二边缘路由器基于配置的隧道链路所指向的第二网络接入装置,将解析出的第二报文传输给所述第二网络接入装置。
4.根据权利要求3所述的报文传输方法,其特征在于,所述骨干网隧道为基于多协议标签交换mpls的骨干网隧道。
5.根据权利要求1所述的报文传输方法,其特征在于,所述第一网络接入装置基于配置的隧道链路,向所述隧道链路末端的第二网络接入装置传输所述第二报文,包括:
所述第一网络接入装置基于配置的隧道链路中的互联网隧道,通过所述第一网络接入装置中部署的第一中转虚拟路由器将所述第二报文封装为符合中转私有协议的第二报文,所述中转私有协议为中转厂商设定的私有协议,所述中转厂商为所述第一厂商,第二厂商,或者所述第一厂商和第二厂商之外的厂商;所述第一中转虚拟路由器为基于所述中转私有协议的虚拟路由器,所述互联网隧道为在互联网中搭建的符合所述中转私有协议的隧道;
所述第一网络接入装置通过所述第一中转虚拟路由器经所述互联网隧道,向所述隧道链路末端的第二网络接入装置传输所述符合中转私有协议的第二报文,所述第二网络接入装置内部署有符合所述中转私有协议的第二中转虚拟路由器;
所述第二网络接入装置通过所述第二虚拟路由器将接收到的第二报文封装为符合所述第二私有协议的第三报文,包括:
所述第二网络接入装置通过所述第二中转虚拟路由器将符合所述中转私有协议的第二报文解析为符合通用网络协议的第二报文,并利用所述第二虚拟路由器将解析出的第二报文封装为符合第二私有协议的第三报文。
6.根据权利要求5所述的方法,其特征在于,所述第一网络接入装置基于配置的隧道链路中的互联网隧道,通过所述第一网络接入装置中部署的第一中转虚拟路由器将所述第二报文封装为符合中转私有协议的第二报文,包括:
所述第一网络接入装置基于配置的隧道链路中的第一互联网隧道,利用所述第一网络接入装置中部署的第一中转虚拟路由器将所述第二报文封装为符合第一中转私有协议的第二报文,所述第一中转私有协议为第一中转厂商设定的私有协议,所述第一中转厂商为所述第一厂商,第二厂商,或者所述第一厂商和第二厂商之外的厂商;所述第一中转虚拟路由器为基于所述第一中转私有协议的虚拟路由器,所述第一互联网隧道为在互联网中搭建的符合所述第一中转私有协议的隧道;
所述第一网络接入装置通过所述第一中转虚拟路由器经所述互联网隧道,向所述隧道链路末端的第二网络接入装置传输所述符合中转私有协议的第二报文,包括:
所述第一网络接入装置通过所述第一中转虚拟路由器经所述第一互联网隧道向第三网络接入装置内部署的第三中转虚拟路由器发送符合所述第一中转私有协议的第二报文,所述第三中转虚拟路由器与所述第一中转虚拟路由器之间构建有所述第一互联网隧道,所述第三中转虚拟路由器为基于所述第一中转私有协议的虚拟路由器;
所述第三网络接入装置通过所述第三中转虚拟路由器将符合所述第一中转私有协议的第二报文解析为符合通用网络协议的第二报文;
所述第三网络接入装置基于配置的隧道链路中的第二互联网隧道,通过部署的第四中转虚拟路由器将所述第三中转虚拟路由器解析出的第二报文封装为符合第二中转私有协议的第二报文,所述第二互联网隧道为在互联网中搭建的符合第二中转私有协议的隧道,所述第四中转虚拟路由器为基于所述第二中转私有协议的虚拟路由器,所述第二中转私有协议为第二中转厂商设定的私有协议,所述第二中转厂商为所述第一厂商,第二厂商,或者所述第一厂商和第二厂商之外的厂商;
所述第三网络接入装置通过所述第四中转虚拟路由器经所述第二互联网隧道,向所述隧道链路末端的第二网络接入装置传输所述符合第二中转私有协议的第二报文,所述第二网络接入装置内部署有符合所述隧道链路的最后一个互联网隧道对应的私有协议的第二中转虚拟路由器。
7.根据权利要求5所述的方法,其特征在于,所述互联网隧道为搭建在互联网上的互联网安全协议ipsec隧道。
8.根据权利要求1所述的方法,其特征在于,还包括:
所述第一网络接入装置基于协同编排装置下发的第一隧道配置通知,构建所述第一隧道配置通知所指示的隧道链路中的隧道;
所述第二网络接入装置基于所述协同编排装置第二隧道配置通知,构建所述第二隧道配置通知所指示的隧道链路中的隧道。
9.根据权利要求8所述的方法,其特征在于,还包括:
所述第一网络接入装置在检测到配置的隧道链路存在异常状况时,向所述协同编排装置上报检测到的异常状况,以便所述协同编排装置调整为所述第一网络接入装置配置的隧道链路;
所述第二网络接入装置在检测到隧道链路存在异常状况时,向所述协同编排装置上报检测到的异常状况,以便所述协同编排装置调整为所述第二网络接入装置配置的隧道链路。
10.一种报文传输系统,其特征在于,包括:
协同编排装置、与所述协同编排装置相连多个网络接入装置,所述网络接入装置中部署有至少一个sd-wan厂商对应的虚拟路由器,每个sd-wan厂商对应的虚拟路由器支持所述sd-wan厂商设定的私有协议;
其中,协同编排装置,用于确定待配置的至少一条隧道链路,并向所述网络接入装置下发隧道配置通知,所述隧道配置通知指示有所述至少一条待构建的隧道链路;
所述网络接入装置用于基于所述隧道配置通知,通过部署的虚拟路由器搭建隧道;
所述网络接入装置还用于执行所述报文传输方法中所述第一网络接入装置、第二网络接入装置或者第三网络接入装置所执行的操作。
技术总结