CN111726292A - 一种基于nhrp架构的nhrp协议隔离方法 - Google Patents

一种基于nhrp架构的nhrp协议隔离方法 Download PDF

Info

Publication number
CN111726292A
CN111726292A CN201911224330.8A CN201911224330A CN111726292A CN 111726292 A CN111726292 A CN 111726292A CN 201911224330 A CN201911224330 A CN 201911224330A CN 111726292 A CN111726292 A CN 111726292A
Authority
CN
China
Prior art keywords
nhrp
tenant
protocol
address
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911224330.8A
Other languages
English (en)
Inventor
祁宝刚
王磊
卓才华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tianyu Yunan Technology Co ltd
Original Assignee
Beijing Tianyu Yunan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tianyu Yunan Technology Co ltd filed Critical Beijing Tianyu Yunan Technology Co ltd
Priority to CN201911224330.8A priority Critical patent/CN111726292A/zh
Publication of CN111726292A publication Critical patent/CN111726292A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/14Routing performance; Theoretical aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于NHRP架构的NHRP协议隔离方法,所述方法针对NHRP协议注册、动态地址获取方式和地址解析的特点,基于NHRP协议(RFC2332),增加扩展字段用于注册、标识spoke节点的租户信息。基于限制租户作用域的原则,依据网络报文中的租户信息,执行基于租户的spoke节点注册、地址解析等操作,从而控制协议注册、地址解析的响应范围,避免了租户网络信息暴露给其他租户的缺陷,进而达到基于租户的NHRP协议隔离,最终解决了现有NHRP协议中租户网络信息泄露的安全问题。

Description

一种基于NHRP架构的NHRP协议隔离方法
技术领域
本发明涉及网络安全和数据通信技术领域,特别涉及一种基于NHRP架构的NHRP协议隔离方法。
背景技术
一种基于NHRP架构的NHRP协议隔离方法。其技术组成:
NBMA网络(Non-Broadcast Multiple Access):用来描述如X.25和帧中继这类本身并不具有支持广播和多播能力的多路访问网络;
NHRP协议(Next Hop Resolution Protocol):提供NBMA网络上源站点获取目标站点“下一跳”IP地址的方法,解决多点网络的通信技术;
NHRP地址获取方式:NHRP协议采用注册、请求、解析的方式使得Spoke自动获取其它Spoke的路由信息。Spoke节点采用注册的方式,向Hub中心发送NHRP协议的注册请求,Hub中心获取维护Spoke节点的地址和路由信息。Spoke节点通过发送地址解析请求的方式,从Hub中心自动学习其它Spoke的路由信息;
NHRP地址泄漏问题:当租户A的Spoke_A通过Hub中心学习租户B的SpokeB的地址信息时,Hub中心发送Spoke B的网络信息到Spoke_A。也意味着租户B的网络信息,暴露给其他租户,以此类推任一租户的网络信息,都存在暴露给其他租户的风险,由此产生网络信息泄露的安全问题。
发明内容
本发明提供了一种基于NHRP架构的NHRP协议隔离方法,基于NHRP协议的租户标识扩展字段,通过改进节点注册请求响应和地址解析报文请求响应的处理方式,达到基于NHRP架构的NHRP协议隔离,解决同一HUB中心下不同租户的地址信息泄露问题。
具体步骤如下:
(1)在基于NHRP架构的NHRP协议隔离方法中SPOKE节点配置为网关模式;
a) 基于多租户的spoke和Hub中心的网络拓扑如图1所示;
b) Spoke节点配置为NAT网关模式,spoke节点互相不知道对端spoke节点的公网地址;
(2)Spoke节点通过基于租户的注册报文,完成spoke节点向HUB中心登记注册。在标准NHRP(RFC2332)协议注册报文的基础之上,增加扩展字段,包括租户信息;
a) NHRP协议由三部分组成,固定部分,强制部分和扩展部分。固定部分是所有NHRP数据包类型共有的。强制部分必须存在,其内容由包的类型决定。扩展部分根据数据包类型而有所不同,并且不是必需出现;
b)基于租户标识的扩展字段位于NHRP协议的扩展部分,NHRP协议的租户扩展字段如图2所示;
(3)HUB中心接收到登记注册请求后,依据租户和spoke节点信息,建立基于租户的spoke节点、地址信息、路由信息表;以租户为索引的地址信息表结构图如图3所示;
(4)SpokeA节点通过HUB中心获取SpokeB节点的地址和路由信息时, spoke节点基于RFC2332协议的地址获取类型报文,增加扩展字段,包括租户信息;
(5)HUB中心接收到SpokeA节点请求SpokeB的地址信息后,执行以下操作,其流程图如图4所示:
a)分析请求报文,提取SpokeA节点的租户信息;
b)基于SpokeA网络报文的租户信息,查找基于租户的地址信息表,获取SpokeB的地址信息;如果spokeA所属的租户地址表中没有spokeB的地址信息,那么设置协议标志“协议地址不可达”;
c)基于RFC2332协议,增加包含租户信息的扩展字段,构造发送地址解析响应包,响应SpokeA的请求;
d) SpokeA获取到SpokeB的地址信息,后续节点间流量将在spokeA与spokeB的地址对间传输;
e)本***能始终保证spokeA只能获取同租户的spoke节点信息,从而实现基于租户的NHRP协议隔离。
上述发明中的有益效果为:
(1)扩展NHRP协议,可使多个租户安全地复用一个HUB中心,节约HUB中心的设备资源;
(2)简化HUB中心的节点配置,无须为每个租户创建配置,NHRP协议模块实现自动化路由配置,大大减少维护量。
附图说明
图1为本发明的一种基于NHRP架构的NHRP协议隔离方法的网络拓扑图。
图2为本发明的一种基于NHRP架构的NHRP协议隔离方法的NHRP协议的租户扩展字段图。
图3为本发明的一种基于NHRP架构的NHRP协议隔离方法的以租户为索引的地址信息表结构图。
图4为本发明的一种基于NHRP架构的NHRP协议隔离方法的NHRP协议地址请求响应流程图。
具体实施方式
针对本发明实现的技术创新特征和目的功效便于理解,结合图示和列举实例,进行阐述本发明。
如图2所示,为本发明实例网络拓扑。实际设置过程如下:
(1)Hub节点配置如下:
a)设置Hub节点的两个IP地址:公网IP地址、隧道mpgre0的IP地址
b)设置接口interface mpgre0,接口具有如下参数
c)holding-time 3600
d)multicast dynamic
e)cisco-authentication secret
f)shortcut
g)redirect
h)non-caching
(2)Spoke节点配置如下:
a)设置Spoke节点的IP地址:能够上公网的IP地址、隧道mpgre0的IP地址和spoke连接私网的IP地址;
b)隧道接口配置如下:interface mpgre0
c)holding-time 3600
d)multicast dynamic
e)cisco-authentication secret
f)shortcut
g)redirect
h)non-caching
i)map Hub“节点的mpgre0的IP地址”/24 “Hub节点的公网IP地址”register
j)shortcut-target “spoke节点私网的IP地址”/24 holding-time 1800
k)interface br-lan
l)shortcut-destination
(3)用支持NHRP租户扩展功能的NHRP模块替换原有开源NHRP模块;
(4)启动NHRP模块;
(5)从发起方租户A的SPOKEA局域网终端PCA,ping对端租户B的SPOKEB局域网终端PCB操作(同一HUB下SPOKE);可以验证PCA是否ping通PCB,如果无法获取租户B的SPOKEB地址,那么本方法已经生效,达到NHRP协议隔离的效果。
上面所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神前提下,本领域普通工程技术人员对本发明技术方案做出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。

Claims (4)

1.一种基于NHRP架构的NHRP协议隔离方法,其特征在于,包括以下具体步骤:
(1)在基于NHRP架构的NHRP协议隔离方法中SPOKE节点配置为网关模式;
(2)Spoke节点通过基于租户的注册报文,完成spoke节点向HUB中心登记注册,在标准NHRP(RFC2332)协议注册报文的基础之上,增加扩展字段,包括租户信息;
(3)HUB中心接收到登记注册请求后,依据租户和spoke节点信息,建立基于租户的地址信息和路由信息表;
(4)SpokeA节点通过HUB中心获取SpokeB节点的地址和路由信息时, spoke节点基于RFC2332协议的地址获取类型报文,增加扩展字段,包括租户信息;
(5)HUB中心接收到SpokeA节点请求SpokeB的地址信息后,执行以下操作:
a)分析请求报文,提取SpokeA节点的租户信息;
b)基于SpokeA网络报文的租户信息,查找基于租户的地址信息表,获取SpokeB的地址信息;如果spokeA所属的租户地址表中没有spokeB的地址信息,那么设置协议标志“协议地址不可达”;
c)基于RFC2332协议,增加包含租户信息的扩展字段,构造发送地址解析响应包,响应SpokeA的请求;
d)SpokeA获取到SpokeB的地址信息,后续节点间流量将在spokeA与spokeB的地址对间传输;
e)本***能始终保证spokeA只能获取同租户的spoke节点信息,从而实现基于租户的NHRP协议隔离。
2.根据权利要求1所述的基于NHRP架构的NHRP协议隔离方法,其特征在于:spoke节点通过携带租户标识扩展字段的NHRP协议注册报文,完成spoke节点向Hub中心的注册。
3.根据权利要求1所述的基于NHRP架构的NHRP协议隔离方法,其特征在于:Hub节点通过基于租户标识扩展字段的地址注册报文,建立基于租户的spoke节点地址信息表。
4.根据权利要求1所述的基于NHRP架构的NHRP协议隔离方法,其特征在于:Hub节点通过基于租户标识扩展字段的地址请求报文,执行基于同租户的spoke节点地址查询和响应。
CN201911224330.8A 2019-12-04 2019-12-04 一种基于nhrp架构的nhrp协议隔离方法 Pending CN111726292A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911224330.8A CN111726292A (zh) 2019-12-04 2019-12-04 一种基于nhrp架构的nhrp协议隔离方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911224330.8A CN111726292A (zh) 2019-12-04 2019-12-04 一种基于nhrp架构的nhrp协议隔离方法

Publications (1)

Publication Number Publication Date
CN111726292A true CN111726292A (zh) 2020-09-29

Family

ID=72563988

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911224330.8A Pending CN111726292A (zh) 2019-12-04 2019-12-04 一种基于nhrp架构的nhrp协议隔离方法

Country Status (1)

Country Link
CN (1) CN111726292A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100142410A1 (en) * 2008-12-09 2010-06-10 Olivier Huynh Van System and method for providing virtual private networks
US20140115584A1 (en) * 2011-06-07 2014-04-24 Hewlett-Packard Development Company L.P. Scalable multi-tenant network architecture for virtualized datacenters
CN104486225A (zh) * 2014-12-19 2015-04-01 杭州华三通信技术有限公司 应用于trill网络中的报文转发方法和设备
CN108512755A (zh) * 2017-02-24 2018-09-07 华为技术有限公司 一种路由信息的学习方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100142410A1 (en) * 2008-12-09 2010-06-10 Olivier Huynh Van System and method for providing virtual private networks
US20140115584A1 (en) * 2011-06-07 2014-04-24 Hewlett-Packard Development Company L.P. Scalable multi-tenant network architecture for virtualized datacenters
CN104486225A (zh) * 2014-12-19 2015-04-01 杭州华三通信技术有限公司 应用于trill网络中的报文转发方法和设备
CN108512755A (zh) * 2017-02-24 2018-09-07 华为技术有限公司 一种路由信息的学习方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张晶: "基于NHRP协议的下一跳解析客户端设计与实现", 硕士论文电子期刊, pages 3 - 14 *

Similar Documents

Publication Publication Date Title
ES2774668T3 (es) Método de migración de máquina virtual, conmutador y sistema de máquina virtual
US7606227B2 (en) Method, apparatus and system for distributing multicast data
WO2016101646A1 (zh) 以太虚拟网络的接入方法及装置
US6628623B1 (en) Methods and systems for determining switch connection topology on ethernet LANs
CN105812259B (zh) 一种报文转发方法和设备
CN102271050B (zh) 一种IPv6网络中网络设备自动配置的方法、网络设备和***
WO2014118622A1 (en) Method of managing zigbee network in the internet of things
CN101076972A (zh) 获得与基于虚拟专用lan服务(vpls)的网络相关的路径信息
US9866522B2 (en) Method to control dynamic host configuration protocol pool exhaustion in dynamic network environments
WO2011060571A1 (zh) 一种地址重复检测代理方法、装置及***
EP3289728B1 (en) Distribution of internal routes for virtual networking
CN105187311A (zh) 一种报文转发方法及装置
CN110493366A (zh) 一种接入点加入网络管理的方法及装置
US8531974B2 (en) Technique for testing peers in multicast network domain
CN103685007B (zh) 一种边缘设备报文转发时的mac学习方法及边缘设备
CN105635335B (zh) 社会资源接入方法、装置及***
JP2002077213A (ja) 加入者無線アクセスシステム
CN105493454A (zh) 双活接入多链接透明互联(trill)边缘
WO2023284467A1 (zh) 一种三四地址路由器及其下挂设备管理方法及装置
CN110753135A (zh) 一种ip地址配置方法、配置设备及存储介质
CN112995038A (zh) Profinet协议在工业sdn中的接入方法
CN111726292A (zh) 一种基于nhrp架构的nhrp协议隔离方法
EP2908476A1 (en) Method and apparatus for sending multi-link transparent interconnected data frame
CN111355599B (zh) 混合网络拓扑发现方法及装置
CN111404816A (zh) 一种跨网络发送组播报文的方法、装置、***及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination