一种SD-WAN网络中实现域名访问加速的方法及装置与流程

本发明涉及网络通信技术领域，特别涉及一种sd-wan网络中实现域名访问加速的方法及装置。

背景技术：

随着云计算、大数据和虚拟化技术的快速发展，企业的办公模式发生了巨大的改变，对网络提出了新的需求，体现在以下几个方面：

(1)带宽需求大幅增加：企业对带宽的需求体现在两个方面，一是随着4k和各种高清视频技术的发展，企业分支之间的视频会议越来越频繁，视频会议要求网络支持更大的带宽，更高的网络传输质量，另外，越来越多的企业业务数据存储在云端，企业员工需要快速频繁的访问云上的业务，比如office365，aws等，对企业和云之间的网络质量提出了更高的要求；

(2)新业务快速开通：互联网创新时代，新业务不断出现，传统企业专线和应用模式下，业务开通慢，从申请到业务开通需要30天甚至更久，无法满足企业业务快速发展需求；

(3)简化网络部署和运维：业务部署和运维困难，中大型企业业务复杂，本地应用需部署数十种以上独立设备，包括安全防火墙、上网行为管理、无线ap管理、广域网加速等，硬件投资大，而且长期依赖专业运维团队；

(4)降低成本：专线费用高，企业专线费用占企业ict的opex的50％-70％，并且企业还需要花费大笔投资一次性购买带宽和业务设备，维护费高，总成本居高不下；

(5)安全加密：越来越多的企业业务数据存储在云端，对分支访问总部，以及云服务的数据要求端到端加密。

传统的wan基于互联网的局部可靠可信自愈的思想构建，wan连接的网络大多采用bgp协议分发路由协议，网络只通告自己可信的路由给对端网络，wan网络之间无法做到端到端的业务和路径质量控制，在转发层面，企业的分支和总部之间通常采用ipsec(internetprotocolsecurity)隧道，但是ipsec只能支持点到点的隧道，如果需要支持分支和总部之间的多点隧道连接，需要启用dmvpn(dynamicmultipointvpn)，dsvpn(dynamicsmartvpnvirtualprivatenetwork)等点到多点vpn(virtualprivatenetwork)技术，部署和维护比较复杂。

随着网络虚拟化和sdn(softwaredefinednetwork，软件定义网络)的发展，基于overlay的网络虚拟化转发被大规模采用，同时sdn的控制转发分离理念，使用专用的控制器集中计算overlay路径，分发overlay和underlay之间的网络转发标识，使得wan连接网络之间业务路径的实时监控和端到端的路径计算和控制成为可能，是sd-wan技术产生的技术背景。

sdwan相比传统wan网络，新增了以下的技术特征满足企业客户的需求：

(1)sdwan可以同时利用多个wan线路，业务数据不仅仅可以使用mpls专线传输，还可以使用互联网线路和4g线路传输，降低网络成本；

(2)sdwan网络提供网络部署的简化流程和便捷的网络配置管理系统，只需要几个小时甚至几分钟即可完成业务部署，大大缩减网络扩容和新业务上线的时间，分支设备支持ztp(zerotouchprovision，零接触部署)上线。

(3)sdwan支持集中式的portal网络管理监控界面，配置和管理由总部it人员在portal上完成，分支不需要本地配置。

sd-wan(softwaredefined-wideareanetwork，软件定义广域网)架构如图1所示，sd-wan遵循sdn架构，控制和转发平面分离，控制器不仅仅负责拓扑收集，路径计算，隧道下发等传统控制器的功能，还包括对cpe(customerpremiseequipment，用户端设备)认证和自动发现，密钥分发，数据采集和分析处理等功能，控制器和转发设备之间支持南向协议，比如openflow(开放流协议)，netconf(网络配置协议)等。

控制器的部署位置可以为on-premise(用户驻地)，放在客户企业的数据中心或者总部机房，也可以部署在云上的物理服务器或者虚拟机上，只需要cpe网络可达即可。

转发设备包括cpe和pop(point-of-presence，网络服务提供点)设备，cpe部署在客户分支机构、总部或者数据中心，pop点构建骨干网，使用高质量的互联网和mpls专线线路混合构建，对客户业务流量快速转发。

管理平面支持多租户portal界面，每个租户管理配置自己所有的cpe设备，监控网络的运行，可视化的管理图表实时反映网络的运行状况，如节点间的实时流量、带宽、网络质量、设备健康状态等，也可以查看历史数据，便于网络诊断和数据分析。

sd-wan既可以用于分支和总部之间互联，满足客户分支访问总部内部服务器的需求，也可以用于分支或总部访问公有云/私有云的saas(software-as-a-service，软件即服务)服务，图1中所示分支1通过骨干网访问云，现有的实现一般是在公有云/私有云上部署vcpe，vcpe和分支cpe之间构建基于骨干网的overlay隧道，满足对saas服务的网络加速，对于某些saas服务，比如域名访问业务，有时候域名的业务服务器并不在公有云/私有云上，而且需要访问的域名服务也会比较多，这个时候无法通过部署vcpe的方式构建overlay(叠加)隧道，一方面对于大量的域名访问部署vcpe的话，部署成本会非常高，另外一方面，有些域名的业务服务器所在网络环境并不支持部署vcpe。对于无法部署vcpe的场景，如何实现域名访问的网络加速功能，业界没有相关的解决方案，为此，本发明提出了一种sd-wan网络下实现域名访问加速的方法。

技术实现要素：

本发明提供一种sd-wan网络中实现域名访问加速的方法及装置，用以解决上述提出的技术问题。

本发明提供一种sd-wan网络中实现域名访问加速的方法，包括：

截取dns服务器发送给客户端的dns响应报文；

封装访问服务器的用户报文；

转发封装好的报文到sd-wan骨干网。

优选地，所述封装访问服务器的用户报文的步骤包括：

根据dns响应报文中的域名对应的服务器ip地址，查找ip文件库，获得所述骨干网的出口pop点的ip地址；

所述cpe基于所述出口pop点的ip地址，实现对用户报文的封装。

优选地，所述cpe基于所述出口pop点的ip地址，实现对用户报文的封装的过程中，还包括：

所述cpe根据出口pop点的ip地址，查找流表库，得到对应的overlay封装的目的地址标识。

优选地，所述流表库包括：

基于控制器下发到所述骨干网中的所有出口pop点的流表；

所述流表包括出口pop点的ip地址和出口pop点的overlay封装标识。

优选地，所述ip文件库包括：

所述出口pop点的ip地址以及所述dns服务器所属的ip网段。

优选地，所述cpe基于所述出口pop点的ip地址，实现对用户报文的封装的过程中，还包括：

所述cpe以overlay方式封装所述dns响应报文，并在ip报文的外层再封装一层overlay报文头；

所述overlay报文头用于报文在sd-wan骨干网转发。

优选地，所述overlay报文头还包括：目的地址和源地址；

所述目的地址为出口pop点overlay标识，所述源地址为入口pop点overlay标识；

所述用户报文在sd-wan骨干网传输过程中，根据出口pop点overlay标识进行转发，并在出口pop点解封装，中间pop点收到overlay封装报文后，不改变overlay封装的目的地址，只将源地址修改为该pop点的标识。

优选地，还包括：撤销所述域名加速；

其中，当撤销所述域名加速时，包括：

在加速域名缓存中删除对应的域名条目；

并在转发表中删除所述域名对应的服务器ip地址和出口pop点的对应关系的转发条目。

优选地，还包括：

当收到已经撤销的加速域名的数据访问报文时，所述cpe不对所述数据访问报文进行overlay封装，并直接转发该ip报文到互联网。

本发明提供一种实现sd-wan网络中域名访问加速的装置，包括：

截取模块，用于截取dns服务器发送给客户端的dns响应报文；

封装模块，用于封装访问服务器的用户报文；

转发模块，用于转发封装好的报文到sd-wan骨干网。

优选地，所述封装模块包括：

根据所述dns响应报文中的域名对应的服务器ip地址，查找ip文件库，获得所述骨干网的出口pop点的ip地址；

所述cpe基于所述出口pop点的ip地址，实现对用户报文的封装。

优选地，还包括：

所述cpe根据出口pop点的ip地址，查找流表库，得到对应的overlay封装的目的地址标识。

优选地，所述流表库包括：

基于控制器下发到所有出口pop点的流表；

所述流表包括出口pop点的ip地址和出口pop点的overlay封装标识。

优选地，所述ip文件库包括：

所述出口pop点的ip地址以及所述dns服务器所属的ip网段。

优选地，所述cpe基于所述出口pop点的ip地址，实现对用户报文的封装的过程中，还包括：

所述cpe以overlay方式封装所述dns响应报文，并在ip报文的外层再封装一层overlay报文头；

所述overlay报文头用于报文在sd-wan骨干网转发。

优选地，所述overlay报文头还包括：目的地址和源地址；

所述目的地址为出口pop点overlay标识，所述源地址为入口pop点overlay标识；

所述用户报文在sd-wan骨干网传输过程中，根据出口pop点overlay标识进行转发，并在出口pop点解封装，中间pop点收到overlay封装报文后，不改变overlay封装的目的地址，只将源地址修改为该pop点的标识。

优选地，还包括：撤销所述域名加速；

其中，当撤销所述域名加速时，包括：

在加速域名缓存中删除对应的域名条目；

并在转发表中删除所述域名对应的服务器ip地址和出口pop点的对应关系的转发条目。

优选地，还包括：

当收到已经撤销的加速域名的数据访问报文时，所述cpe不对所述数据访问报文进行overlay封装，并直接转发该ip报文到互联网。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明提供的sd-wan架构图；

图2为本发明提供的sd-wan格式图；

图3为本发明提供的撤销域名访问加速功能流程；

图4为本发明提供的dns处理流程；

图5为本发明提供的报文转发流程图；

图6为本发明提供的骨干网故障切换流程图；

图7为本发明提供的撤销域名访问加速后数据报文转发流程图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明提出的一种sd-wan中实现域名访问加速的装置，可以是由cpe构成的，其中，cpe包括：截取模块，封装模块，转发模块等，其中，cpe是指客户前置设备；

其中，截取模块包括：cpe截取dns服务器发送给客户端的dns响应报文，当客户端的客户需要访问dns域名服务时，首先向dns服务器发送dns请求报文，dns服务器收到客户的dns请求报文后，发送对应的dns响应报文，该响应报文经过cpe时，cpe截取该dns响应报文，提取出dns响应报文中的服务器ip地址。

其中，封装模块包括：cpe在截取到dns响应报文并且提取出dns响应报文中的服务器ip地址后，根据该ip地址查找ip文件库，得到出口pop点的ip地址，cpe再根据出口pop点的ip地址，查找流表库，得到对应的overlay封装的目的地址标识，cpe根据overlay封装标识进行sd-wan格式报文封装，在用户报文的外层再封装overlay报文头，overlay报文头包括目的地址和源地址，目的地址为出口pop点标识，源地址为入口pop点标识。

其中，转发模块包括：将封装好的报文转发到pop点组成的骨干网，由高速骨干网对dns访问业务数据进行网络加速，数据报文在sd-wan骨干网传输过程中，根据出口pop点标识进行转发，并在出口pop点解封装，中间pop点收到overlay封装后，不改变目的地址，只将源地址修改为该pop点的标识。

本发明所涉及到的ip文件库包括：出口pop点的ip地址和dns服务器所属的ip地址网段；

如服务器所属ip地址网段为001.006.100.000～001.006.105.255，根据ip地址规划，该网段在美国，则在ip文件库中规划该网段地址对应的出口pop点也在美国，以便取得好的域名访问加速效果。

本发明提出的ip文件库的条目的聚合度可以根据网络pop点的部署情况进行改变，比如在美国新增了一个pop点后，服务器的所属ip地址网段可以再进行细分，如001.006.100.000～001.006.102.255对应美国出口pop点pop1，而001.006.103.000～001.006.105.255对应美国出口pop点pop2。

本发明中sd-wan报文封装格式如图2所示，sd-wan报文包括外层头部、内层头部和payload(净荷)组成，外层头部包括overlay封装的目的标识，overlay封装的源标识，内层头部为用户ip报文头，主要包括目的ip地址和源ip地址。在cpe上进行sd-wan报文封装时，overlay封装的目的标识为出口pop点的标识，源id标识为接入pop点的标识，数据报文在骨干网中传输时，目的标识保持不变，源id标识为接收sd-wan报文的每一跳pop点的标识。内层头部的目的ip地址为服务器ip地址，源ip地址为主机ip地址，在报文传输过程中，内层报文头在pop点上不作改变。

本发明的sd-wan报文overlay封装格式包括但不局限于vxlan封装格式，ipoverip封装格式，ipsec封装格式，gre封装格式，或者其他overlay思想的封装格式等，在此不一一详述。

本发明中涉及到的控制器，还用于维护骨干网中所有pop点和cpe的状态信息和网络状态；

当有pop点作为域名访问业务的出口pop点时，控制器下发给cpe到该出口pop点的流表信息，包括出口pop点的ip地址，出口pop点的overlay封装标识。对于站点的cpe来说，cpe会收到控制器下发的到所有域名访问加速出口pop点的流表，并保存在本地的流表库，减少cpe向控制器查询流表的时间，大大提高转发效率；当网络拓扑出现改变，包括骨干网中增加或者减少pop点，出口pop点不再作为域名访问加速访问的出口pop点时，控制器更新cpe的流表库。

当客户端的客户希望某些域名不再需要进行域名访问加速时，撤销相关域名访问的网络加速功能，具体的实现流程如图3所示，it管理人员从portal/管理中心配置某域名不再需要加速，cpe收到该配置消息后，从加速域名缓存中删除对应的域名条目，并本地转发表中删除该域名对应的服务器ip地址和出口pop点的对应关系的转发条目，后续匹配该ip地址的用户报文不会转发到出口pop点。

本发明中，域名系统(服务)协议(dns)是一种分布式网络目录服务；sd-wan，即软件定义广域网；ip地址(internetprotocoladdress)是指互联网协议地址；pop表示入网点(pop),pop位于网络企业的边缘外侧；cpe客户前置设备；overlay是一种封装在ip报文之上的新的数据格式。

其中，对于上述内容，还依赖于下述实施例进行实现：

实施例一：dns处理流程

本实施例结合说明书附图4详细阐述本发明的dns处理流程，通过对现有dns处理流程的更改，cpe截取dns响应报文中的服务器ip地址，查找得到离服务器ip地址最近的出口pop点的ip地址，对数据报文加速提供转发缓存，是实现数据转发加速的前提。

本发明对于dns的处理流程如下：

(101)用户主机需要访问某域名网站，由于本地没有该域名对应的服务器ip地址，主机向dns服务器发送dns请求报文，dns请求中携带需要访问的网站的域名，请求报文发送经过cpe，此时cpe对dns请求报文不做处理，直接转发到互联网；

(102)dns服务器收到了主机发出的dns请求消息后，发送dns响应报文，响应报文中携带域名和域名对应的服务器的ip地址；

(103)dns响应报文转发经过cpe，cpe收到该响应报文后，在转发到主机前，截取该dns响应报文，提取出dns响应报文中的域名和ip地址；

(104)cpe根据响应报文中的ip地址在本地ip文件库中查找该ip地址所属的归属地，根据归属地查找到对应的出口pop点的ip地址，并保存该服务器ip地址和出口pop点的对应关系条目，后续主机访问该服务器的报文，在cpe上都会查找到该报文的出口pop点，在封装后经过骨干网转发到出口pop点。

上述技术方案的有益效果是：通过对现有dns处理流程的更改，cpe截取dns响应报文中的服务器ip地址，查找得到离服务器ip地址最近的出口pop点的ip地址，对数据报文加速提供转发缓存，为实现数据转发加速提供基础。

实施例二：报文转发流程

本实施例结合图5详细阐述本发明的数据转发流程，通过对具体的数据转发流程的说明，便于理解本发明的技术原理和方案。

本发明的用户数据报文转发流程如下：

(201)用户在请求到了dns域名后，向网站服务器发送数据访问报文，该报文中包含服务器的ip地址；

(202)用户发送的请求报文发送到cpe，cpe事先根据实施例一的方法得到了用户访问的服务器的ip地址对应的出口pop点，cpe根据目的pop点的overlay标识进行overlay报文封装，在用户报文的ip报文外面再封装overlay头部，并转发到接入pop点(pop1)；

(203)pop3接收到pop1的报文后，根据外层的overlay标识在骨干网中转发到出口pop点(pop2)，报文转发时内层的用户ip报文头不会改变；

(204)出口pop点(pop2)接收到报文后，解封装overlay报文，还原出用户的ip报文，并转发到服务器。

对于服务器发送到用户主机的响应报文，其转发过程类似，在此不作进一步的阐述。

上述技术方案的有益效果是：便于将用户数据报文进行转发。

实施例三：域名本地过滤

在一些场景中，用户希望对域名进行本地过滤，这些域名不需要发送到骨干网，以节省成本，减少骨干网的带宽，本实施例详细说明利用本发明专利的相关技术解决该需求的方法。

本实施例的dns处理流程跟实施例一类似，cpe也截取dns服务器的dns响应报文，并根据提取的dns响应报文中的服务器ip地址查找iplib表，查找到服务器ip地址归属地所属的pop点为本地pop点时，cpe不按照overlay格式封装访问该域名的业务数据，而直接转发该业务数据到互联网。

上述技术方案的有益效果是：通过对域名进行本地过滤，可以节省成本，减少骨干网的带宽。

实施例四：骨干网故障切换流程

本实施例结合图6阐述本发明的骨干网故障时数据报文的切换方法和流程，根据本实施例阐述的流程方法，本发明专利所述技术方案在骨干网出现故障时，支持报文进行数据切换，提高网络的可靠性和健壮性。

如图6所示，pop1为接入pop点，pop2为出口pop点，pop3和pop4为中间pop点，当pop3出现故障时，pop1和pop2之间的sd-wan路径检测协议可以快速检测出pop1-pop3-pop2路径出现故障，pop1将业务报文快速切换到备份路径pop1-pop4-pop2。

需要说明的是，当接入pop点(pop1)出现故障，如果分支站点cpe1有备份接入pop点时，则cpe1封装报文后，会将流量切换到备份接入pop点，由备份接入pop点将数据报文经过骨干网转发到出口pop点。如果分支站点cpe1没有备份接入pop点，则cpe不进行sd-wanoverlay封装，报文直接转发经过互联网转发到服务器，此时，该域名的访问没有sd-wan加速效果。

另外，如果出口pop点出现故障时，cpe根据iplib查找该出口pop点的备份出口pop点，cpe根据备份出口pop点的overlay格式进行封装，并将报文经过骨干网转发到备份出口pop点，由备份出口pop点转发到服务器。如果ip文件库中没有指定该出口pop点的备份出口pop点，则cpe选取默认出口pop点进行报文封装和转发。

上述技术方案的有益效果是：当骨干网出现故障时，支持报文进行数据切换，提高网络的可靠性和健壮性。

实施例五：撤销域名访问加速后报文转发流程

在本实施例中，当某些域名访问加速撤销后，cpe从加速域名缓存中删除对应的域名条目，之后，cpe收到的该域名的响应报文，由于域名加速缓存中没有该域名的条目，cpe不会截取该域名响应报文，直接转发到用户主机。

本实施例进一步通过对撤销域名访问加速后的数据报文处理的流程和步骤，对比本实施例二中的数据转发流程，进一步阐述当开启本发明提出的域名访问加速功能和不开启域名访问加速功能时的数据报文转发流程的差异，验证本发明提出的域名访问加速技术和方案可以实现对客户数据转发报文进行加速。

对于用户访问该撤销域名加速访问所对应服务器的数据报文，转发流程如图7所示，具体步骤如下：

(301)用户主机向服务器发送数据访问报文，数据访问报文中包含服务器的ip地址；

(302)当cpe收到了用户的数据访问报文后，根据本专利发明内容，在管理人员撤销了域名的访问加速功能后，cpe在本地转发表中会删除该域名对应的服务器ip地址和出口pop点的对应关系的转发条目，cpe收到的用户的数据访问报文中的ip地址在转发条目中不会匹配到原有的出口pop点，该报文走本地透传转发，cpe不再对该访问请求报文进行overlay封装，而直接转发该ip报文到wan口，并发送到互联网；

服务器收到数据访问报文并进行处理，如果需要回复报文到主机时，则发送报文经过互联网到主机。

上述技术方案的有益效果是：当某些域名访问加速撤销后，cpe从加速域名缓存中删除对应的域名条目，之后，cpe收到的该域名的响应报文，由于域名加速缓存中没有该域名的条目，cpe不会截取该域名响应报文，直接转发到用户主机，可进一步验证提出的域名访问加速技术和方案可以实现对客户数据转发报文进行加速。

在一实施例中，一种sd-wan中实现域名访问加速的方法，在截取dns服务器发送给客户端的dns响应报文之前，还包括：验证与所述dns响应报文对应的dns请求报文的安全性，所述验证步骤包括：

步骤1：获取所述客户端发起的第一请求报文，再获取所述客户端发送给所述dns服务器，且所述dns服务器接收到的第二请求报文；

基于报文数据库，确定所述第一请求报文与第二请求报文之间的差异值x；

ejai＝βjibji；

其中，a1表示请求报文a中的请求行指标，a2表示请求报文a中的请求头指标，a3表示请求报文a中的请求体指标；e1a1表示第一请求报文的请求行指标的行指标值，e1a2表示第一请求报文的请求头指标的头指标值，e1a3表示第一请求报文的请求体指标的体指标值，e2a1表示第二请求报文的请求行指标的行指标值，e2a2表示第二请求报文的请求头指标的头指标值，e2a3表示第二请求报文的请求体指标的体指标值；ejai表示第j个请求报文的第i个指标的指标值，其中i＝1,2,3；j＝1,2；βji表示第j个请求报文的第i个指标的指标权重值；bji表示第j个请求报文的第i个指标的指标差异因子；

步骤2：当所述差异值大于或等于预设值时，表明验证的所述第二请求报文不合格，此时，截取两者之间差异性大的所述第二报文请求的差异区域，并基于所述报文数据库，对比分析所述差异区域的差异数据；

步骤3：确定基于客户端发送给dns服务器过程中对应的所述差异数据的修改指标，同时，根据所述修改指标sl，获取最优禁止修改协议；

f(sl)＝max{rand(δl,l＝1,2,3,...,k)}；

其中，f(sl)表示获取最优禁止修改协议的获取函数；δl表示基于修改指标sl选择的禁止修改协议；k表示禁止修改协议的总数；

并将所述最优禁止修改协议传输到所述客户端，对发起的第一请求报文中的对应区域添加禁止修改协议，并在此基础上，重新客户端发起新的第二请求报文，并按照上述步骤1-3继续对接收到的第二请求报文进行验证，直到所述第二请求报文合格后，执行步骤4；

步骤4：当所述差异值小于预设值时，表明验证的所述第二请求报文合格，并继续执行后续操作；

其中，所述第二请求报文为所述dns请求报文。

上述技术方案的有益效果是：由于客户端发起一个请求的时候，这个请求可能会穿过防火墙，网关，代理等，每一个中间节点都可能会修改原始的请求，因此，通过对第一请求报文和第二请求报文进行差异值得获取，并获取第二请求报文的差异区域对应的禁止修改协议，来添加到第一请求报文上，进而可以有效的避免对该请求的修改，提高其的安全性，可有效的保证截取的dns响应报文的可靠性。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。