一种云网络中IPv6流量的安全传输方法和装置与流程

本技术涉及资源调度，具体涉及一种云网络中ipv6流量的安全传输方法和装置。

背景技术：

1、ipv6作为下一代网络的基础技术协议，ipv6具有更大的地址空间，ipv6使用更小的路由表，具有更快路由器转发数据包的速度。而云数据中心ipv6出公网的方式有路由出局和ndrpoxy出局，由于ipv6网段太多，需要在出口网关设备上配置的回程路由太多，大部分云运营商选择ipv6 ndproxy的方式进行出局。如果邻居请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机，那么连接它们的具有代理功能的设备就可以代答该请求，回应邻居公告报文，这个过程称作nd代理(nd proxy)。nd proxy功能屏蔽了分离的物理网络这一事实，使用户使用起来，好像在同一个物理网络上。

2、现有技术中，采用ipv6 ndproxy进行通信过程中，数据中心内部的务器更容易被攻击，数据中心内部的ipv6地址暴露更容易被定位，并且ipv6出局流量无法做到基于流量类型进行安全定义。

技术实现思路

1、本技术针对现有的问题，提出了一种云网络中ipv6流量的安全传输方法和装置，具体技术方案如下：

2、在本技术的第一方面，提供一种云网络中ipv6流量的安全传输方法，方法包括：

3、虚拟交换机获取虚拟机发送的第一业务流量报文；

4、所述虚拟交换机对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文，并将所述第二业务流量报文发送至租户网关；

5、所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；

6、所述租户网关根据所述回复报文，与外网网关进行业务流量数据交互。

7、可选地，所述对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文的步骤，包括：

8、对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；

9、利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。

10、可选地，所述利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签的步骤包括：

11、利用预设进程定位所述报文头的流量数据片段；

12、在所述流量数据片段的保留字段添加安全转移标签。

13、可选地，所述将所述第二业务流量报文发送至租户网关的步骤，包括：

14、所述虚拟交换机与所述租户网关之间建立可扩展虚拟局域网络隧道，并通过所述可扩展虚拟局域网络隧道将所述第二业务流量报文发送至所述租户网关。

15、可选地，所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文的步骤，包括：

16、对所述第二业务流量报文进行解析，获得所述第二业务流量报文的源ip地址和安全转移标签；

17、根据所述源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；

18、在所述源ip地址与筛选策略的匹配情况的情况下，根据所述安全转移标签将所述源ip地址转换为安全地址池中的安全地址；

19、根据所述安全地址进行安全流量路径配置，并生成所述回复报文。

20、可选地，所述安全地址池是通过以下步骤获得的：

21、在外网网关地址的规划阶段，预留一个子网段作为安全地址池，其中所述安全地址池利用随机加密算法将所述源ip地址转换为所述安全地址。

22、可选地，根据所述安全地址进行安全流量路径配置的步骤，包括：

23、将所述安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，所述配置参数包括：转换类型、协议号、目的地址以及老化时间。

24、可选地，所述根据所述回复报文，与外网网关进行业务流量数据交互的步骤，包括：

25、将所述回复报文发送至所述外网网关；

26、所述外网网关对所述邻居请求进行解析，并生成反馈报文；

27、请求所述租户网关的硬件地址，并根据所述硬件地址将所述反馈报文发送至所述租户网关；

28、所述租户网关将所述反馈报文转发至所述虚拟机。

29、在本技术的第二方面，提供一种云网络中ipv6流量的安全传输装置，装置包括：

30、第一发送模块，用于虚拟交换机获取虚拟机发送的第一业务流量报文；

31、第二发送模块，用于所述虚拟交换机对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文，并将所述第二业务流量报文发送至租户网关；

32、请求报文生成模块，用于所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；

33、交互模块，用于所述租户网关根据所述回复报文，与外网网关进行业务流量数据交互。

34、可选地，所述第二发送模块，包括：

35、解析子模块，用于对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；

36、标识子模块，用于利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。

37、可选地，所述第二发送模块，还包括：

38、报文头确定子模块，用于对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；

39、标识标签添加子模块，用于利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。

40、可选地，标识标签添加子模块包括：

41、定位单元，用于利用预设进程定位所述报文头的流量数据片段；

42、标签添加单元，用于在所述流量数据片段的保留字段添加安全转移标签。

43、可选地，所述第二发送模块，还包括：

44、报文发送模块，用于所述虚拟交换机与所述租户网关之间建立可扩展虚拟局域网络隧道，并通过所述可扩展虚拟局域网络隧道将所述第二业务流量报文发送至所述租户网关。

45、可选地，请求报文生成模块包括：

46、第二业务流量报文解析子模块，用于对所述第二业务流量报文进行解析，获得所述第二业务流量报文的源ip地址和安全转移标签；

47、执行子模块，用于根据所述源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；

48、安全地址生成子模块，用于在所述源ip地址与筛选策略的匹配情况的情况下，根据所述安全转移标签将所述源ip地址转换为安全地址池中的安全地址；

49、配置子模块，用于根据所述安全地址进行安全流量路径配置，并生成所述回复报文。

50、可选地，配置子模块，包括：

51、将所述安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，所述配置参数包括：转换类型、协议号、目的地址以及老化时间。

52、可选地，交互模块包括：

53、回复报文发送子模块，用于将所述回复报文发送至所述外网网关；

54、反馈报文生成子模块，用于所述外网网关对所述邻居请求进行解析，并生成反馈报文；

55、反馈报文发送子模块，用于请求所述租户网关的硬件地址，并根据所述硬件地址将所述反馈报文发送至所述租户网关；

56、反馈报文转发子模块，用于所述租户网关将所述反馈报文转发至所述虚拟机。

57、在本技术的第三方面，提供一种电子设备，该设备包括存储器和处理器，存储器中存储有计算机程序，处理器执行计算机程序，实现如上述第一方面的方法。

58、在本技术的第四方面，提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，处理器执行计算机程序，实现上述第一方面的方法。

59、本技术具有以下有益效果：本技术的实施例中，首先，虚拟交换机获取虚拟机发送的第一业务流量报文，然后，虚拟交换机对第一业务流量报文进行改造，为第一业务流量报文添加标识标签，生成第二业务流量报文，并将第二业务流量报文发送至租户网关。最后，租户网关根据标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文，并根据回复报文，与外网网关进行业务流量数据交互。在本技术中，改进和利用了ipv6报文的流量类型字段的保留字段的处理流程，定义了ipv6流量打标签过程、定义了安全转换地址、安全转换表项及通过租户网关安全转换的处理过程，实现了云网络数据中心ipv6流量安全出局，保证了数据的安全性。