CN101102253A - 在IPsec隧道中传输组播的方法、分支节点和中心节点 - Google Patents
在IPsec隧道中传输组播的方法、分支节点和中心节点 Download PDFInfo
- Publication number
- CN101102253A CN101102253A CNA2007101202250A CN200710120225A CN101102253A CN 101102253 A CN101102253 A CN 101102253A CN A2007101202250 A CNA2007101202250 A CN A2007101202250A CN 200710120225 A CN200710120225 A CN 200710120225A CN 101102253 A CN101102253 A CN 101102253A
- Authority
- CN
- China
- Prior art keywords
- message
- pim
- multicast
- multicast group
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种在IPsec VPN中传输组播的方法、分支节点和中心节点。通过在节点设备上配置组播数据流的加密ACL规则,实现了只需一次封装即可传输加密的组播数据。按照本发明所述方法及节点设备,可减小节点设备对组播数据的处理时间。
Description
技术领域
本发明涉及数据通信技术领域,具体涉及一种在因特网协议安全(IPsec,IP Security)隧道中传输组播的方法、分支节点和中心节点。
背景技术
随着高速因特网(Internet)接入的推广,以及员工从集中办公地点不断向外扩散,虚拟专用网络(VPN,Virtual Private Network)已经变成了公司网络架构的一个关键部分。VPN利用公用网络来连接企业私有网络,通过安全机制实现严格的访问控制,建立起逻辑上虚拟的私有网络。VPN提供了一种经济有效的手段,实现通过公用网络安全地交换私有信息。
VPN具体实现是采用隧道技术。隧道是指在公用网建立一条数据通道(隧道),将企业网的数据封装在隧道中进行传输。隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。隧道协议可分为二层隧道协议和三层隧道协议,其中,三层隧道协议包括通用路由封装(GRE,Generic Routing Encapsulation)和IPsec协议等。
IPsec VPN利用高级的加密和隧道技术,来允许企业网络通过第三方的网络,如Internet,来建立安全的、端到端的专用网络连接。IPsec是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络安全协议(AH,Authentication Header)和封装安全载荷协议(ESP,Encapsulating Security Payload)、密钥管理协议(IKE,Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec利用访问控制列表(ACL,Access Control List)来决定哪些数据是需要加密的,当有数据报文匹配所定义的ACL时,即建立IPSec加密隧道传输该数据报文。
IPsec通过共享密钥在通讯的两端实现数据加密,即任意两端之间都要共享不同的密钥,所以IPsec隧道实际上是点到点的加密隧道,IPsec网络就是点到点加密隧道的集合,IPsec隧道不支持对组播包进行加密。目前,为解决这一问题,通常采用通用GRE隧道与IPsec加密相结合的方法,也即GRE OverIPsec。GRE是一种在任意一种网络层协议上封装任意一个其它网络层协议的协议,将有效载荷封装在一个GRE报文中,然后将此GRE包封装在其它协议中进行转发。GRE隧道支持运载组播数据到对端,而GRE隧道的数据报文是单播的,因此GRE隧道的报文可被IPsec加密。在GRE Over IPsec中,GRE协议用于建立隧道,IPsec协议完成VPN网络的加密。如图1所示,现有技术在实现组播在IPsec VPN传输时,都需要先进行一次GRE封装,再将整个GRE报文封装到IPsec VPN中进行加密传输,这样能够保证组播报文在两个节点间正常传输。
显然,上述处理方案中,组播数据流需要经过GER和IPsec两次封装与解封装后才能得到最终处理,这对于传输时延比较敏感的业务,如语音业务影响很大,对视频业务也会产生较大延时。并且,该方案要求中心节点和分支节点同时支持IPsec和GRE两套VPN技术,这增加了该方案的运营和维护成本。
发明内容
本发明所要解决的技术问题是提供一种IPsec隧道中的组播传输方法、分支节点和中心节点,只需对数据包进行一次封装就可以实现组播数据的加密传输。
为解决上述技术问题,本发明提供方案如下:
一种在IPsec隧道中传输组播的方法,包括步骤:
A,分别在中心节点与分支节点上配置相互对应的特定组播组加入报文的加密ACL规则,以及在分支节点上配置特定组播组的下行组播流的加密ACL规则;
B,分支节点将特定组播组加入报文通过特定组播组加入报文的IPsecVPN发送至中心节点,所述特定组播组加入报文的IPsec VPN是根据中心节点与分支节点上配置的特定组播组加入报文的加密ACL规则,通过IKE协商建立;
C,中心节点根据接收到的特定组播组加入报文中的组地址信息,配置特定组播组的下行组播流的加密ACL规则,与分支节点上配置的所述特定组播组的下行组播流的ACL规则相对应;
D,根据分支节点和中心节点上的配置的所述特定组播组的下行组播流的加密ACL规则,通过IKE协商建立所述特定组播组的下行组播流的IPsecVPN,将所述下行组播流发送至分支节点。
本发明所述的组播方法,其中,所述特定组播组加入报文是IGMP加入报文。
本发明所述的组播方法,其中,所述步骤B具体包括:
设置分支节点的上行接口为IGMP代理接口,代理分支节点的私网接口;
分支节点将其私网接口上接收到的IGMP加入报文发送到上行接口,在上行接口处,将所述IGMP加入报文的源地址替换为上行接口地址;
根据中心节点与分支节点上配置的IGMP加入报文的加密ACL规则,通过IKE协商建立IGMP加入报文的IPsec VPN,将所述IGMP加入报文从所述上行接口发送至中心节点。
本发明所述的组播方法,其中,
分别在中心节点与分支节点上配置相互对应的IGMP常规查询报文的加密ACL规则,根据所述IGMP常规查询报文的加密ACL规则,通过IKE协商建立IGMP常规查询报文的IPsec VPN,中心节点通过该IPsec VPN,将IGMP常规查询报文发送至分支节点;
分支节点进一步将应答IGMP常规查询报文的IGMP报告报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
本发明所述的组播方法,其中,中心节点进一步通过所述特定组播组的下行组播流的IPsec VPN,向分支节点发送特定组查询报文;
分支节点将应答特定组查询报文的IGMP报告报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
本发明所述的组播方法,其中,中心节点进一步接收到的IGMP报告报文维护所述IGMP组播表项,并在删除所述IGMP组播表项时,相应地在各节点上删除为该组播表项中的特定组播组配置的加密ACL规则。
本发明所述的组播方法,其中,所述步骤C中,中心节点进一步根据接收到的所述IGMP加入报文中的特定组播组地址信息维护IGMP组播表项,并将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述步骤D中,中心节点进一步将所述特定组播组的下行组播流发送到所述特定组播组的出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
本发明所述的组播方法,其中,所述步骤D中,所述分支节点进一步通过其私网接口,将接收到的特定组播组的下行组播流发送到本地网中。
本发明所述的组播方法,其中,所述特定组播组加入报文是PIM加入报文。
本发明所述的组播方法,其中,所述步骤B具体包括:
分支节点根据接收到的特定组播组的IGMP加入报文,维护其PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
分支节点根据所述PIM组播表项中的特定组播组信息生成PIM加入报文,并根据中心节点与分支节点上配置的PIM加入报文的加密ACL规则,通过IKE协商建立PIM加入报文的IPsec VPN,通过该IPsec VPN,将所述PIM加入报文发送至中心节点。
本发明所述的组播方法,其中,所述步骤C中,中心节点进一步根据接收到的PIM加入报文中的组地址信息和接收到所述PIM加入报文的接口,维护其PIM组播表项,并将接收到所述PIM加入报文的接口作为所述特定组播组的出接口;
所述步骤D中,中心节点进一步根据将所述特定组播组的下行组播流发送到所述出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
本发明所述的组播方法,其中,所述步骤A中之前进一步包括:在中心节点和分支节点上分别配置PIM协议报文的加密ACL规则,通过IKE协商建立起PIM协议报文的IPsec VPN,在分支节点和中心节点之间传输PIM协议报文,根据所述PIM协议报文,维护节点上的PIM组播表项,并在删除所述PIM组播表项时,相应地在各节点上删除为该组播表项中的特定组播组配置的加密ACL规则。
本发明所述的组播方法,其中,
中心节点接收到剪枝报文后,将所述剪枝报文通过PIM协议报文的IPsecVPN转发到邻居节点上;
收到所述剪枝报文的邻居节点如果还有对应的组播成员,则向中心节点发送PIM加入报文;
中心节点如果在预定时间内接收到PIM加入报文,则继续维护相应的组播表项,否则,删除相应的组播表项。
一种分支节点,包括:
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则;
组加入报文发送单元,用于根据所述组加入报文配置单元和中心节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,将特定组播组加入报文发送至中心节点;
下行组播流配置单元,用于配置并保存特定组播组的下行组播流的加密ACL规则;
下行组播流接收单元,用于根据所述下行组播流配置单元和中心节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,接收中心节点发送的下行组播流。
本发明所述的分支节点,其中,所述特定组播组加入报文是IGMP加入报文,所述分支节点还包括:
IGMP代理单元,用于为该分支节点的私网接口配置代理接口,并将所述私网接口接收到的IGMP加入报文发送到代理接口,以及将代理接口接收到的下行组播流发送至私网接口;
所述组加入报文发送单元,进一步用于将所述代理接口接收到的IGMP加入报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
本发明所述的分支节点,其中,所述特定组播组加入报文是PIM加入报文,所述分支节点还包括:
PIM协议报文配置单元,用于配置并保存PIM协议报文的加密ACL规则;
PIM协议报文交互单元,用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的PIM协议报文的加密ACL规则,通过IKE协商,建立PIM协议报文的IPsec VPN,交互PIM协议报文;
PIM组播表项维护单元,用于根据所述PIM协议报文交互单元接收到的PIM协议报文,维护PIM组播表项。
本发明所述的分支节点,其中,所述PIM组播表项维护单元,进一步用于根据接收到的特定组播组的IGMP加入报文,维护PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述组加入报文发送单元,进一步根据所述PIM组播表项中的特定组播组信息生成PIM加入报文,并通过所述特定组播组加入报文的IPsec VPN发送至中心节点;
所述下行组播流接收单元,进一步根据所述PIM组播表项中特定组播组的出接口信息,将接收到的特定组播组的下行组播流发送到所述出接口上。
本发明所述的分支节点,其中,还包括:
剪枝报文处理单元,用于接收中心节点发送的剪枝报文,并判断本身是否还有对应的组播成员,如果有,则向中心节点发送PIM加入报文。
一种中心节点,包括:
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则;
组加入报文接收单元,用于根据所述组加入报文配置单元和分支节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,接收来自分支节点的特定组播组加入报文;
下行组播流配置单元,用于根据所述组加入报文接收单元接收到的特定组加入报文,配置特定组播组的下行组播流的加密ACL规则;
下行组播流发送单元,用于根据所述下行组播流配置单元和分支节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,向分支节点发送所述下行组播流。
本发明所述的中心节点,其中,所述特定组播组加入报文是IGMP加入报文,所述中心节点还包括:
IGMP组播表项维护单元,用于根据所述组加入报文接收单元接收到的IGMP加入报文,维护IGMP组播表项,并将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述下行组播流发送单元,进一步用于将所述特定组播组的下行组播流发送到所述特定组播组的出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
本发明所述的中心节点,其中,所述特定组播组加入报文是PIM加入报文,所述中心节点还包括:
PIM协议报文配置单元,用于配置并保存PIM协议报文的加密ACL规则;
PIM协议报文交互单元,用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的相互对应的PIM协议报文的加密ACL规则,通过IKE协商,建立PIM协议报文的IPsec VPN,交互PIM协议报文;
PIM组播表项维护单元,用于根据所述PIM协议报文交互单元接收到的PIM协议报文,维护PIM组播表项。
本发明所述的中心节点,其中,
剪枝报文处理单元,用于接收分支节点发送的剪枝报文,并将所述剪枝报文通过PIM协议报文的IPsec VPN转发到邻居节点上。
本发明所述的中心节点,其中,
所述PIM组播表项维护单元,进一步用于根据接收到的特定组播组的PIM加入报文,维护PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述下行组播流发送单元,进一步根据所述PIM组播表项中特定组播组的出接口信息,将所述特定组播组的下行组播流发送到所述出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
从以上所述可以看出,本发明提供的IPsec隧道中的组播传输方法、分支节点和中心节点,通过在节点设备上配置加密ACL规则,对匹配加密ACL规则的组播数据流进行加密传输,从而只需一次封装即可实现组播数据的加密传输,无需节点设备支持GRE等其它封装协议,并且减小了节点设备对组播数据的处理时间,降低了数据流的时延。同时,本发明中,中心节点根据特定组播组加入报文,自动配置下行组播流的加密ACL规则,节约了人工维护成本。
附图说明
图1为现有技术在IPsec VPN传输组播数据的示意图;
图2为本发明实施例所述方法的应用环境示意图;
图3为本发明实施例所述方法的流程图;
图4为本发明实施例所述分支节点和中心节点的结构示意图;
图5为本发明另一实施例所述方法的流程图;
图6为本发明另一实施例所述分支节点和中心节点的结构示意图。
具体实施方式
IPsec利用ACL来决定哪些数据是需要加密的,在本发明中,将用于IPsec的ACL规则称为加密ACL规则。加密ACL规则匹配(permit)的报文将被加密,加密ACL规则拒绝(deny)的报文将不被加密。并且,为了在某一端加密的数据能在对端上被解密,要求在本地和远端路由器上配置的加密ACL规则是相互对应的(即互为镜像)。由于IPsec不能直接对组播进行加密,因此,本发明在中心节点和分支节点处分别为组播数据流配置相互对应的加密ACL规则,对于匹配加密ACL规则的组播数据,通过IKE协商建立IPsec VPN,从而实现通过IPsec VPN对组播数据进行加密传输。以下结合附图通过具体实施例对本发明做详细的说明。
实施例1
为了更好的理解本发明实施例所述在IPsec隧道中传输组播的方法,首先介绍一种常见的广域网组播点播方案:在该方案中,中心节点启用IGMP功能作为查询器,分支节点启用IGMP代理为分支网络代理点播请求。按照正常的组播点播流程,首先,客户端生成点播请求,即IGMP加入报文,申请加入某个组播组G,再由路由交换节点根据上述加入报文生成IGMP组播表项,即(*,G)表项,同时将收到IGMP加入报文的接口作为该组播组的出接口,如果存在一个该组播组的源S的话,路由交换节点会生成(S,G)组播表项,并把组播流向加入该组播组的所有出接口发送出去,从而客户端能够收到下行的组播流。中心节点周期性地,如每3分钟,向分支节点发送常规的IGMP查询报文,由客户端主机应答,如果没有主机产生应答的话,组播表项将会自动老化。在IGMPv2版本中,客户端主机也会主动产生IGMP离开消息,申请离开某个组,路由交换设备收到离开消息后会产生特定组查询消息,如果无主机应答的话就将该特定组对应的组播表项删除。
针对上述流程,本实施例在进行组播数据加密保护时需要实现:分支节点能够正常的向中心节点发送加密后的IGMP加入报文和离开报文;中心节点能够正常的向分支节点发送常规查询报文;中心节点能够把加密后组播流和特定组查询消息发送到分支节点。
参照图2,图2所示为本实施例所述在IPsec隧道中传输组播的方法的应用环境示意图,在图2中,分支节点RT2和RT3通过私网接口连接各自的本地网络,通过上行接口上联到中心节点RT1的下行接口。在中心节点RT1的下行接口上运行IGMP,在分支节点RT2和RT3的上行接口上运行IGMP代理(proxy),并设置所述上行接口为IGMP代理接口,代理分支节点的私网接口。再请参照图3,本实施例所述在IPsec隧道中传输组播的方法,包括以下步骤:
步骤31,分别在中心节点与分支节点上配置相互对应的IGMP常规查询报文的加密ACL规则。
这里,在IGMP协议中,中心节点需要周期性向分支节点发送IGMP常规查询报文,该报文的目的地址为所有主机组地址224.0.0.1,用于标识同一子网内的所有主机。因此,为实现中心节点RT1能够正常发送加密后的常规查询报文,需要在中心节点配置常规查询报文的加密ACL规则(如图2中,在中心节点RT1上配置Rule 0 permit IP source any destination host 224.0.0.1),同时在分支节点上配置与上述加密ACL规则相对应的加密ACL规则(如图2中,在分支节点RT2上配置Rule 0 permit IP source host 224.0.0.1 destination any)。RT1上rule 0表示源地址任意(any)、目的地址为所有主机组地址224.0.0.1报文将被加密,RT2上rule 0表示源地址224.0.0.1、目的地址任意的报文将被加密,可以看出,RT1上rule 0中的目的地址对应于RT2上rule 0中的源地址,RT1上rule 0中的源地址对应于RT2上rule 0中的目的地址,从而这两条rule0相互对应,互为镜像。
步骤32,分别在中心节点与分支节点上配置相互对应的特定组播组的IGMP加入报文的加密ACL规则,以及在分支节点上配置特定组播组的下行组播流的加密ACL规则。
这里,假设RT2所连接的本地网络中有主机需要点播特定组播组224.1.1.1的组播节目,这时,需要在RT1和RT2上分别配置相互对应的该组播组的IGMP加入报文的加密ACL规则,如图2中,在RT2上配置rule 1 permit IP source anydestination host 224.1.1.1,在RT1上配置相对应的rule 1 permit IP source host224.1.1.1 destination any。同时,为了建立该组播组的下行组播流的IPsec VPN,还需要在RT2上配置加密ACL规则:rule 2 permit IP source host 224.1.1.1destination any。
步骤33,配置IPsec VPN的IKE规则和加密策略,这样,对于匹配加密ACL规则的数据流,就可以通过IKE协商在节点设备之间建立IPsec VPN,从而对匹配加密ACL规则的数据流进行加密传输。例如,根据RT1和RT2上的Rule 0,对于匹配该rule0的数据流,就可以通过IKE协商建立起IGMP常规查询报文的IPsec VPN,RT1可以通过该VPN向RT2发送IGMP常规查询报文。
步骤34,分支节点RT2连接的本地网络中的主机在需要加入特定组播组,如组播组224.1.1.1时,就会向分支节点RT2发送IGMP加入报文;由于预先配置了RT2和RT1上的rule 1,因此,RT1和RT2之间通过IKE协商,就可以建立IGMP加入报文的IPsec VPN,通过该IGMP加入报文的IPsec VPN,将所述IGMP加入报文发送至RT1。
这里,具体的,RT2的上行接口是RT2私网接口的代理接口,RT2在其私网接口(被代理接口)接收到所述IGMP加入报文后,会将该报文发送到RT2的上行接口(代理接口)进行处理,在上行接口处,由IGMP代理功能将该报文的源地址改为上行接口地址,再通过所述IGMP加入报文的IPsec VPN,将该加入报文发送至RT1。
这里,对于应答IGMP常规查询报文的IGMP报告报文,RT2也可以通过所述IGMP加入报文的IPsec VPN,将该报告报文发送至RT1。
步骤35,中心节点在其下行接口上收到所述IGMP加入报文后,根据所述报文中的特定组播组地址信息和接收到所述IGMP加入报文的接口,维护IGMP组播表项,在所述IGMP组播表项中,将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口,同时,自动配置所述特定组播组的下行组播流的加密ACL规则,与分支节点上配置的所述特定组播组的下行组播流的ACL规则相对应。
仍然延续上面的例子,RT1在其下行接口上接收到加入组播组地址为224.1.1.1的IGMP加入报文后,根据该报文中的组播组地址224.1.1.1和下行接口,建立IGMP组播表项,该IGMP组播表项中包括组播组地址(如224.1.1.1)和出接口(如接收到所述IGMP加入报文的下行接口)等信息。同时,RT1自动配置该组播组的下行组播流的加密ACL规则:rule 2 permit IP source anydestination 224.1.1.1,与RT2上的rule 2相互对应。
步骤36,根据分支节点和中心节点上的配置的特定组播组的下行组播流的加密ACL规则,通过IKE协商建立所述特定组播组下行组播流的IPsecVPN,通过该下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
继续延续上面的例子,RT1接收到组播组224.1.1.1的下行组播流时,RT1根据所述IGMP组播表项,将该下行组播流发送到RT1的下行接口上,再根据RT1上的rule2和RT2上的rule2,通过IKE协商,在RT1的下行接口和RT2的上行接口之间建立组播组224.1.1.1的下行组播流的IPsec VPN,通过该IPsecVPN将下行组播流加密后发送至RT2的上行接口上。RT2对其上行接口上接收到的下行组播流解密后,通过私网接口(被代理接口)发送到RT2连接的本地网络中。
这里,中心节点通过发送IGMP常规查询报文和特定组查询报文,根据分支节点应答的IGMP报告报文维护所述IGMP组播表项。在组播表项因老化或组播组成员离开而被删除之后,相应地在各节点上删除为该组播表项中的特定组播组配置的加密ACL规则。其中,RT1产生的IGMP特定组查询报文可以通过该下行组播流的IPsec VPN发送到分支节点,分支节点可以通过所述IGMP加入报文的IPsec VPN对所述特定组查询报文进行应答。
在上述组播方法中,当其它分支节点,如图3中RT3,也想要加入一个已经存在的组播组,如组播组224.1.1.1,此时只需在RT3上配置IGMP常规查询报文、加入报文和组播组的下行组播流的加密ACL规则(如,在RT3上配置Rule 0 permit IP source any destination host 224.0.0.1,rule 1 permit IP sourceany destination host 224.1.1.1和Rule 2 permit IP source host 224.1.1.1 destinationany),而中心节点RT1无需再增加任何加密ACL规则,中心节点就可以通过IKE协商分别建立与RT2、RT3的下行组播流的IPsec VPN通道,从而将下行组播流分别通过两个IPsec VPN通道发送到RT2和RT3。
需要指出的是,上述特定组播组的加密ACL规则并不是唯一的,本实施例中还可以通过将其中的诸如224.1.1.1的组播组地址设置为一个包含多个组播组地址的网段,以减少在各节点上配置的加密ACL规则的数目。
基于上述在IPsec隧道中传输组播的方法,本实施例相应的还提供了一种中心节点和分支节点,如图4所示,其中,分支节点42包括:
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则;
IGMP代理单元,用于为该分支节点的私网接口配置代理接口,并将所述私网接口接收到的IGMP加入报文发送到代理接口,以及将代理接口接收到的下行组播流发送至私网接口。
组加入报文发送单元,用于根据所述组加入报文配置单元和中心节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,将特定组播组加入报文发送至中心节点。这里,所述组加入报文发送单元,进一步用于将所述代理接口接收到的IGMP加入报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。这里,所述特定组播组加入报文是指IGMP加入报文。
下行组播流配置单元,用于配置并保存特定组播组的下行组播流的加密ACL规则;
下行组播流接收单元,用于根据所述下行组播流配置单元配置和中心节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,接收中心节点发送的下行组播流;
中心节点41包括:
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则。
组加入报文接收单元,用于根据所述组加入报文配置单元和分支节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,接收来自分支节点的特定组播组加入报文。这里,所述特定组播组加入报文是指IGMP加入报文。
下行组播流配置单元,用于根据所述组加入报文接收单元接收到的特定组加入报文,配置特定组播组的下行组播流的加密ACL规则。
下行组播流发送单元,用于根据所述下行组播流配置单元和分支节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,向分支节点发送所述下行组播流。
IGMP组播表项维护单元,用于根据所述组加入报文接收单元接收到的IGMP加入报文,维护IGMP组播表项,并将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口。
这里,所述下行组播流发送单元,进一步用于将所述特定组播组的下行组播流发送到所述特定组播组的出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
综上所述,上述实施例在中心节点和分支节点上为特定组播组预先配置加密ACL规则,建立IGMP加入报文的上行IPsec VPN,中心节点根据接收到的IGMP加入报文,配置下行组播流的加密ACL规则,从而协商建立起下行组播流的IPsec VPN,实现组播在IPsec VPN中的传输。
实施例2
参照图5,为本发明另一实施例所述在IPsec隧道中传输组播的方法的流程图。本实施例与图4实施例所述方法的区别在于,中心节点和分支节点运行PIM协议维护组播路由,而不是采用IGMP代理来实现组播转发,运行PIM协议的节点通过发送问候(hello)报文、剪枝报文等PIM协议报文,维护PIM组播表项,所述PIM组播表项中包括组播源地址、组播组地址、入接口、出接口列表、定时器和标志等信息。例如,在中心节点的下行接口运行PIM协议,在分支节点的上行接口运行PIM协议,从而在中心节点和分支节点之间通过收发PIM协议报文,建立邻居关系,维护PIM组播路由表项。在PIM协议中,组地址224.0.0.13用于表示标识运行PIM协议的节点,因此,本实施例中需要配置PIM协议报文的加密ACL规则,为该PIM协议报文的传输建立相应的IPsec VPN。本实施例所述组播方法,如图4所示,具体流程如下:
步骤51,在中心节点和分支节点上分别配置PIM协议报文的加密ACL规则,用于根据该PIM协议报文的加密ACL规则,通过IKE协商建立起PIM协议报文的IPsec VPN,从而在分支节点和中心节点之间传输PIM协议报文。这里,由于PIM协议报文是双向的,因此,需要在各节点上分别配置两条加密ACL规则,建立两条IPsec VPN,并且,中心节点和分支节点上所配置的加密ACL规则是相互对应的,仍然以图3中所示应用环境进行说明,在图3中,在中心节点RT1上配置:rule 0 permit IP source any destination 224.0.0.13和rule 1 permit IP source 224.0.0.13 destination any,在分支节点RT1上配置:rule 0 permit IP source 224.0.0.1 3 destination any和rule 1 permit IP source anydestination 224.0.0.13。其中,中心节点的rule 0和分支节点的rule 0相互对应,中心节点的rule 1和分支节点的rule 1也相互对应。通过这两条规则可以在RT1和RT2之间建立起PIM协议报文交互的VPN隧道,比如默认30秒一次的Hello报文,用来保持PIM邻居的关系。
步骤52,分别在中心节点与分支节点上配置相互对应的特定组播组的PIM加入报文的加密ACL规则,以及在分支节点上配置特定组播组的下行组播流的加密ACL规则。
这里,假设RT2所连接的本地网络中有主机需要点播特定组播组224.1.1.1的组播节目,这时,需要在RT1和RT2上分别配置相互对应的该组播组的PIM加入报文的加密ACL规则,如图3中,在RT2上配置rule 2 permit IP source anydestination host 224.1.1.1,在RT1上配置相对应的rule 2 permit IP source host224.1.1.1 destination any。同时,为了建立该组播组的下行组播流的IPsec VPN,还需要在RT2上配置加密ACL规则rule 3 permit IP source host 224.1.1.1destination any。
步骤53,配置IPsec VPN的IKE规则和加密策略,这样,对于匹配加密ACL规则的数据流,就可以根据该加密ACL规则,通过IKE协商在节点设备之间建立IPsec VPN,从而对匹配加密ACL规则的数据流进行加密传输。例如,根据RT1和RT2上的rule 0和rule 1,通过IKE协商可以建立起PIM协议报文(如问候(hello)报文)的IPsec VPN,RT1可以通过该VPN与RT2交互PIM协议报文。
步骤54,分支节点RT2连接的本地网络中的主机在需要加入特定组播组,如组播组224.1.1.1时,就会向分支节点RT2发送IGMP加入报文;分支节点RT2在其私网接口上接收到所述IGMP加入报文后,会根据该IGMP加入报文在其PIM组播表项中生成(*,G)表项,这里的组G为组播组224.1.1.1,并在该表项中,将收到所述IGMP加入报文的私网接口作为所述特定组播组的出接口;RT2再根据PIM组播表项中的特定组播组信息生成PIM加入报文,通过该PIM加入报文将所述特定组播组告诉中心节点RT1。此时,即可根据RT2和RT1上的rule2,通过IKE协商,建立PIM加入报文的IPsec VPN,通过该IPsec VPN,将PIM加入报文发送至RT1。
步骤55,中心节点在其下行接口上收到所述PIM加入报文后,根据所述PIM加入报文中的组地址信息和接收到所述PIM加入报文的接口,维护其PIM组播表项,在所述PIM组播表项中,将接收到所述PIM加入报文的接口作为所述特定组播组的出接口,同时,自动配置所述特定组播组的下行组播流的加密ACL规则,与分支节点上配置的所述特定组播组的下行组播流的ACL规则相对应。
仍然延续上面的例子,RT1在其下行接口上接收到加入所述PIM加入报文后,根据其中的组播组地址224.1.1.1等信息,建立PIM组播表项,该PIM组播表项中包括组播组地址(如224.1.1.1)和出接口(如接收到所述PIM加入报文的接口)等信息。同时,RT1根据所述PIM加入报文中的组地址224.1.1.1信息,自动配置该组播组的下行组播流的加密ACL规则:Rule 3 permit IPsource any destination 224.1.1.1,与RT2上的rule 3相互对应。
这里,RT1还可以根据所述rule 0和rule 1建立起的PIM协议报文的VPN,交互PIM协议报文,如Hello报文和剪枝报文,从而维护所述PIM组播表项,在PIM组播表项因邻居丢失或下游组播剪枝而被删除之后,需要相应地删除为该组播表项中的组播组所配置的加密ACL规则。
步骤56,根据分支节点和中心节点上的配置的特定组播组的下行组播流的加密ACL规则,通过IKE协商建立所述特定组播组下行组播流的IPsecVPN,通过该下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
继续延续上面的例子,当接收到组播组224.1.1.1的下行组播流时,RT1根据所述PIM组播表项,将该下行组播流发送到RT1的下行接口(出接口)上,再根据RT1上的rule3和RT2上的rule3,通过IKE协商,在RT1的下行接口和RT2的上行接口之间建立组播组224.1.1.1的下行组播流的IPsec VPN,通过该IPsec VPN将下行组播流加密后发送至RT2的上行接口上。RT2对其上行接口上接收到的下行组播流解密后,通过RT2的PIM组播表项中该组播组所对应的出接口(私网接口),发送到RT2连接的私网中。
在上述组播方法中,当其它分支节点,如图3中RT3,也想要加入一个已经存在的组播组,如组播组224.1.1.1,此时只需在RT3上配置PIM加入报文和组播组的下行组播流的加密ACL规则(如,rule 2 permit IP source anydestination host 224.1.1.1和rule 3 permit IP source host 224.1.1.1 destinationany),而中心节点RT1无需再配置任何加密ACL规则。中心节点可以根据RT1和RT3上的该组播组的下行组播流的加密ACL规则,通过IKE协商分别建立与RT2、RT3的下行组播流的IPsec VPN通道,从而将下行组播流分别通过两个IPsec VPN通道发送到RT2和RT3。
另外,在本实施例中,为了保证正常的剪枝否决机制,中心节点还需要对组播剪枝报文作相应的处理。所述剪枝否决机制是指在PIM协议中,如果分支节点RT3处没有组播成员了,它将向中心节点RT1发送剪枝报文,如果RT2和RT3在一个共享网段且都连接到RT1,此时,RT2将会接收到RT3发送的剪枝消息;如果此时RT2处还有组播成员,那么RT2将立即发送一个PIM加入报文告诉RT1还有成员需要接收组播,以否决剪枝。由于采用IPsec VPN对数据流进行加密,将会导致RT2就无法正常接收到RT3发送的剪枝报文,所以RT2无法进行剪枝否决,因此,本实施例中,当中心节点RT1在其下行接口上收到剪枝报文后,将所述剪枝报文通过PIM协议报文的IPsec VPN转发到所有建立邻居关系的邻居节点上,收到剪枝报文的邻居节点如果还有组播成员,则将向中心节点发送PIM加入报文,从而否决剪枝。例如,RT3向RT1发送了剪枝报文后,RT2无法接收到该剪枝报文,但是RT1将该剪枝报文通过PIM协议报文的IPsec VPN转发到RT2上;RT2收到该剪枝消息后,发现这个剪枝消息并不是自己发送的,但自己还有组播成员需要接收组播,于是就通过收到剪枝消息的接口再发送一次PIM加入报文;RT1收到PIM加入报文后,继续维护相应的组播表项。这里,还可以设置一个超时时间,例如3倍Hello报文时长,在此超时时间内如果没有收到PIM加入报文,则将组播表项老化,并删除为该组播表项中的组播组所配置的加密ACL规则。
同样的,本实施例中,所利用的加密ACL规则并不是唯一的,本发明中还可以通过将其中的诸如224.1.1.1的组地址设置为一个包含多个组地址的网段,以减少所配置的加密ACL规则的数目。
基于上述在IPsec隧道中传输组播的方法,本实施例相应的还提供了一种中心节点和分支节点,如图6所示,其中,分支节点62包括:
PIM协议报文配置单元,用于配置并保存PIM协议报文的加密ACL规则。
PIM协议报文交互单元,用于根据所述PIM协议报文配置单元和其它节点配置的相互对应的PIM协议报文的加密ACL规则,通过IKE协商,建立PIM协议报文的IPsec VPN,交互PIM协议报文。
PIM组播表项维护单元,用于根据所述PIM协议报文交互单元接收到的PIM协议报文,维护PIM组播表项。
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则。
组加入报文发送单元,用于根据所述组加入报文配置单元和中心节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,将特定组播组加入报文发送至中心节点。这里,所述特定组播组加入报文是指PIM加入报文。
下行组播流配置单元,用于配置并保存特定组播组的下行组播流的加密ACL规则。
下行组播流接收单元,用于根据所述下行组播流配置单元和中心节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,接收中心节点发送的下行组播流。
剪枝报文处理单元,用于接收中心节点发送的剪枝报文,并判断本身是否还有对应的组播成员,如果有,则向中心节点发送PIM加入报文。
这里,所述PIM组播表项维护单元,进一步用于根据接收到的特定组播组的IGMP加入报文,维护PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口。
这里,所述组加入报文发送单元,进一步根据所述PIM组播表项中的特定组播组信息生成PIM加入报文,并通过所述特定组播组加入报文的IPsecVPN发送至中心节点。
这里,所述下行组播流接收单元,进一步根据所述PIM组播表项中特定组播组的出接口信息,将接收到的特定组播组的下行组播流发送到所述出接口上。
中心节点61包括:
PIM协议报文配置单元,用于配置并保存PIM协议报文的加密ACL规则。
PIM协议报文交互单元,用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的PIM协议报文的加密ACL规则,通过IKE协商,建立PIM协议报文的IPsec VPN,交互PIM协议报文。
PIM组播表项维护单元,用于根据所述PIM协议报文交互单元接收到的PIM协议报文,维护PIM组播表项。
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则。
组加入报文接收单元,用于根据所述组加入报文配置单元和分支节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,接收来自分支节点的特定组播组加入报文。这里,所述特定组播组加入报文是指PIM加入报文。
下行组播流配置单元,用于根据所述组加入报文接收单元接收到的特定组加入报文,配置特定组播组的下行组播流的加密ACL规则。
下行组播流发送单元,用于根据所述下行组播流配置单元和分支节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,向分支节点发送所述下行组播流。
剪枝报文处理单元,用于接收分支节点发送的剪枝报文,并将所述剪枝报文通过PIM协议报文的IPsec VPN转发到邻居节点上。
这里,所述PIM组播表项维护单元,进一步用于根据接收到的特定组播组的PIM加入报文,维护PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口。所述下行组播流发送单元,进一步根据所述PIM组播表项中特定组播组的出接口信息,将所述特定组播组的下行组播流发送到所述出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
从以上所述可以看出,本发明通过在中心节点和分支节点上为组播数据流配置加密ACL规则,从而建立组播数据流的IPsec VPN,实现了组播数据的加密传输。本发明只需经过一次封装解封装即可传输加密的组播数据,因此相对于现有技术,本发明中能够减小组播数据的处理时延。
本发明所述在IPsec VPN中传输组播的方法、分支节点和中心节点,并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明之领域,对于熟悉本领域的人员而言可容易地实现另外的优点和进行修改,因此在不背离权利要求及等同范围所限定的一般概念的精神和范围的情况下,本发明并不限于特定的细节、代表性的设备和这里示出与描述的图示示例。
Claims (23)
1.一种在IPsec隧道中传输组播的方法,其特征在于,包括步骤:
A,分别在中心节点与分支节点上配置相互对应的特定组播组加入报文的加密ACL规则,以及在分支节点上配置特定组播组的下行组播流的加密ACL规则;
B,分支节点将特定组播组加入报文通过特定组播组加入报文的IPsecVPN发送至中心节点,所述特定组播组加入报文的IPsec VPN是根据中心节点与分支节点上配置的特定组播组加入报文的加密ACL规则,通过IKE协商建立;
C,中心节点根据接收到的特定组播组加入报文中的组地址信息,配置特定组播组的下行组播流的加密ACL规则,与分支节点上配置的所述特定组播组的下行组播流的ACL规则相对应;
D,根据分支节点和中心节点上的配置的所述特定组播组的下行组播流的加密ACL规则,通过IKE协商建立所述特定组播组的下行组播流的IPsecVPN,将所述下行组播流发送至分支节点。
2.如权利要求1所述的组播方法,其特征在于,所述特定组播组加入报文是IGMP加入报文。
3.如权利要求2所述的组播方法,其特征在于,所述步骤B具体包括:
设置分支节点的上行接口为IGMP代理接口,代理分支节点的私网接口;
分支节点将其私网接口上接收到的IGMP加入报文发送到上行接口,在上行接口处,将所述IGMP加入报文的源地址替换为上行接口地址;
根据中心节点与分支节点上配置的IGMP加入报文的加密ACL规则,通过IKE协商建立IGMP加入报文的IPsec VPN,将所述IGMP加入报文从所述上行接口发送至中心节点。
4.如权利要求3所述的组播方法,其特征在于,
分别在中心节点与分支节点上配置相互对应的IGMP常规查询报文的加密ACL规则,根据所述IGMP常规查询报文的加密ACL规则,通过IKE协商建立IGMP常规查询报文的IPsec VPN,中心节点通过该IPsec VPN,将IGMP常规查询报文发送至分支节点;
分支节点进一步将应答IGMP常规查询报文的IGMP报告报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
5.如权利要求4所述的组播方法,其特征在于,中心节点进一步通过所述特定组播组的下行组播流的IPsec VPN,向分支节点发送特定组查询报文;
分支节点将应答特定组查询报文的IGMP报告报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
6.如权利要求5所述的组播方法,其特征在于,中心节点进一步接收到的IGMP报告报文维护所述IGMP组播表项,并在删除所述IGMP组播表项时,相应地在各节点上删除为该组播表项中的特定组播组配置的加密ACL规则。
7.如权利要求3所述的组播方法,其特征在于,所述步骤C中,中心节点进一步根据接收到的所述IGMP加入报文中的特定组播组地址信息维护IGMP组播表项,并将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述步骤D中,中心节点进一步将所述特定组播组的下行组播流发送到所述特定组播组的出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
8.如权利要求7所述的组播方法,其特征在于,所述步骤D中,所述分支节点进一步通过其私网接口,将接收到的特定组播组的下行组播流发送到本地网中。
9.如权利要求1所述的组播方法,其特征在于,所述特定组播组加入报文是PIM加入报文。
10.如权利要求9所述的组播方法,其特征在于,所述步骤B具体包括:
分支节点根据接收到的特定组播组的IGMP加入报文,维护其PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
分支节点根据所述PIM组播表项中的特定组播组信息生成PIM加入报文,并根据中心节点与分支节点上配置的PIM加入报文的加密ACL规则,通过IKE协商建立PIM加入报文的IPsec VPN,通过该IPsec VPN,将所述PIM加入报文发送至中心节点。
11.如权利要求9所述的组播方法,其特征在于,所述步骤C中,中心节点进一步根据接收到的PIM加入报文中的组地址信息和接收到所述PIM加入报文的接口,维护其PIM组播表项,并将接收到所述PIM加入报文的接口作为所述特定组播组的出接口;
所述步骤D中,中心节点进一步根据将所述特定组播组的下行组播流发送到所述出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
12.如权利要求9所述的组播方法,其特征在于,所述步骤A中之前进一步包括:在中心节点和分支节点上分别配置PIM协议报文的加密ACL规则,通过IKE协商建立起PIM协议报文的IPsec VPN,在分支节点和中心节点之间传输PIM协议报文,根据所述PIM协议报文,维护节点上的PIM组播表项,并在删除所述PIM组播表项时,相应地在各节点上删除为该组播表项中的特定组播组配置的加密ACL规则。
13.如权利要求12所述的组播方法,其特征在于,
中心节点接收到剪枝报文后,将所述剪枝报文通过PIM协议报文的IPsecVPN转发到邻居节点上;
收到所述剪枝报文的邻居节点如果还有对应的组播成员,则向中心节点发送PIM加入报文;
中心节点如果在预定时间内接收到PIM加入报文,则继续维护相应的组播表项,否则,删除相应的组播表项。
14.一种分支节点,其特征在于,包括:
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则;
组加入报文发送单元,用于根据所述组加入报文配置单元和中心节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,将特定组播组加入报文发送至中心节点;
下行组播流配置单元,用于配置并保存特定组播组的下行组播流的加密ACL规则;
下行组播流接收单元,用于根据所述下行组播流配置单元和中心节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,接收中心节点发送的下行组播流。
15.如权利要求14所述的分支节点,其特征在于,所述特定组播组加入报文是IGMP加入报文,所述分支节点还包括:
IGMP代理单元,用于为该分支节点的私网接口配置代理接口,并将所述私网接口接收到的IGMP加入报文发送到代理接口,以及将代理接口接收到的下行组播流发送至私网接口;
所述组加入报文发送单元,进一步用于将所述代理接口接收到的IGMP加入报文,通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
16.如权利要求14所述的分支节点,其特征在于,所述特定组播组加入报文是PIM加入报文,所述分支节点还包括:
PIM协议报文配置单元,用于配置并保存PIM协议报文的加密ACL规则;
PIM协议报文交互单元,用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的PIM协议报文的加密ACL规则,通过IKE协商,建立PIM协议报文的IPsec VPN,交互PIM协议报文;
PIM组播表项维护单元,用于根据所述PIM协议报文交互单元接收到的PIM协议报文,维护PIM组播表项。
17.如权利要求16所述的分支节点,其特征在于,所述PIM组播表项维护单元,进一步用于根据接收到的特定组播组的IGMP加入报文,维护PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述组加入报文发送单元,进一步根据所述PIM组播表项中的特定组播组信息生成PIM加入报文,并通过所述特定组播组加入报文的IPsec VPN发送至中心节点;
所述下行组播流接收单元,进一步根据所述PIM组播表项中特定组播组的出接口信息,将接收到的特定组播组的下行组播流发送到所述出接口上。
18.如权利要求16所述的分支节点,其特征在于,还包括:
剪枝报文处理单元,用于接收中心节点发送的剪枝报文,并判断本身是否还有对应的组播成员,如果有,则向中心节点发送PIM加入报文。
19.一种中心节点,其特征在于,包括:
组加入报文配置单元,用于配置并保存特定组播组加入报文的加密ACL规则;
组加入报文接收单元,用于根据所述组加入报文配置单元和分支节点配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组加入报文的IPsec VPN,接收来自分支节点的特定组播组加入报文;
下行组播流配置单元,用于根据所述组加入报文接收单元接收到的特定组加入报文,配置特定组播组的下行组播流的加密ACL规则;
下行组播流发送单元,用于根据所述下行组播流配置单元和分支节点设备配置的相互对应的特定组播组加入报文的加密ACL规则,通过IKE协商,建立特定组播组的下行组播流的IPsec VPN,向分支节点发送所述下行组播流。
20.如权利要求19所述的中心节点,其特征在于,所述特定组播组加入报文是IGMP加入报文,所述中心节点还包括:
IGMP组播表项维护单元,用于根据所述组加入报文接收单元接收到的IGMP加入报文,维护IGMP组播表项,并将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述下行组播流发送单元,进一步用于将所述特定组播组的下行组播流发送到所述特定组播组的出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
21.如权利要求19所述的中心节点,其特征在于,所述特定组播组加入报文是PIM加入报文,所述中心节点还包括:
PIM协议报文配置单元,用于配置并保存PIM协议报文的加密ACL规则;
PIM协议报文交互单元,用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的相互对应的PIM协议报文的加密ACL规则,通过IKE协商,建立PIM协议报文的IPsec VPN,交互PIM协议报文;
PIM组播表项维护单元,用于根据所述PIM协议报文交互单元接收到的PIM协议报文,维护PIM组播表项。
22.如权利要求21所述的中心节点,其特征在于,
剪枝报文处理单元,用于接收分支节点发送的剪枝报文,并将所述剪枝报文通过PIM协议报文的IPsec VPN转发到邻居节点上。
23.如权利要求21所述的中心节点,其特征在于,
所述PIM组播表项维护单元,进一步用于根据接收到的特定组播组的PIM加入报文,维护PIM组播表项,并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口;
所述下行组播流发送单元,进一步根据所述PIM组播表项中特定组播组的出接口信息,将所述特定组播组的下行组播流发送到所述出接口上,通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101202250A CN100502345C (zh) | 2007-08-13 | 2007-08-13 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101202250A CN100502345C (zh) | 2007-08-13 | 2007-08-13 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101102253A true CN101102253A (zh) | 2008-01-09 |
| CN100502345C CN100502345C (zh) | 2009-06-17 |
Family
ID=39036355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007101202250A Expired - Fee Related CN100502345C (zh) | 2007-08-13 | 2007-08-13 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100502345C (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101515859B (zh) * | 2009-04-02 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种因特网协议安全隧道传输组播的方法及设备 |
| CN101299665B (zh) * | 2008-05-19 | 2011-10-05 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统及装置 |
| CN102299815A (zh) * | 2010-06-22 | 2011-12-28 | 华为技术有限公司 | 运营管理和维护的配置方法和节点 |
| CN102833230A (zh) * | 2012-07-31 | 2012-12-19 | 杭州华三通信技术有限公司 | 一种加密组播数据的方法和系统 |
| CN103200194A (zh) * | 2013-03-28 | 2013-07-10 | 汉柏科技有限公司 | 一种ipsec隧道加密报文的流程优化装置及方法 |
| CN103227742A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种IPSec隧道快速处理报文的方法 |
| CN104253733A (zh) * | 2013-06-26 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN多方连接方法 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105591957A (zh) * | 2015-11-18 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种基于点到多点隧道的组播流控方法和装置 |
| CN107579932A (zh) * | 2017-10-25 | 2018-01-12 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
-
2007
- 2007-08-13 CN CNB2007101202250A patent/CN100502345C/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299665B (zh) * | 2008-05-19 | 2011-10-05 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统及装置 |
| CN101515859B (zh) * | 2009-04-02 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种因特网协议安全隧道传输组播的方法及设备 |
| CN102299815A (zh) * | 2010-06-22 | 2011-12-28 | 华为技术有限公司 | 运营管理和维护的配置方法和节点 |
| WO2011160498A1 (zh) * | 2010-06-22 | 2011-12-29 | 华为技术有限公司 | 运营管理和维护的配置方法和节点 |
| CN102299815B (zh) * | 2010-06-22 | 2014-04-30 | 华为技术有限公司 | 运营管理和维护的配置方法和节点 |
| CN102833230A (zh) * | 2012-07-31 | 2012-12-19 | 杭州华三通信技术有限公司 | 一种加密组播数据的方法和系统 |
| CN103227742A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种IPSec隧道快速处理报文的方法 |
| CN103200194A (zh) * | 2013-03-28 | 2013-07-10 | 汉柏科技有限公司 | 一种ipsec隧道加密报文的流程优化装置及方法 |
| CN104253733A (zh) * | 2013-06-26 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN多方连接方法 |
| CN104253733B (zh) * | 2013-06-26 | 2017-12-19 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN多方连接方法 |
| CN105591957A (zh) * | 2015-11-18 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种基于点到多点隧道的组播流控方法和装置 |
| CN105591957B (zh) * | 2015-11-18 | 2019-04-19 | 新华三技术有限公司 | 一种基于点到多点隧道的组播流控方法和装置 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
| CN107579932A (zh) * | 2017-10-25 | 2018-01-12 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100502345C (zh) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100502345C (zh) | 在IPsec隧道中传输组播的方法、分支节点和中心节点 | |
| US7231664B2 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
| US6701437B1 (en) | Method and apparatus for processing communications in a virtual private network | |
| AU2004310308B2 (en) | System and method for grouping multiple VLANS into a single 802.11 IP multicast domain | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| US7310730B1 (en) | Method and apparatus for communicating an encrypted broadcast to virtual private network receivers | |
| JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| US8582468B2 (en) | System and method for providing packet proxy services across virtual private networks | |
| CN101499972B (zh) | Ip安全报文转发方法及装置 | |
| US20090292917A1 (en) | Secure transport of multicast traffic | |
| US20090034738A1 (en) | Method and apparatus for securing layer 2 networks | |
| US9369490B2 (en) | Method for the secure exchange of data over an ad-hoc network implementing an Xcast broadcasting service and associated node | |
| JP2004524768A (ja) | ネットワークアプリケーション用に保護処理機能を分配するシステム及び方法 | |
| CN101163088B (zh) | 组播数据的传输方法和设备 | |
| CN101227376A (zh) | 一种虚拟专用网多实例安全接入的方法及设备 | |
| JP2001292174A (ja) | インターネットのメールドメイン間の保安されたeメール交信を構成するための方法及び通信装置 | |
| CN112887278B (zh) | 一种私有云和公有云的互联系统及方法 | |
| Dayananda et al. | Architecture for inter-cloud services using IPsec VPN | |
| CN100583891C (zh) | 一种通讯加密的方法与系统 | |
| US9025600B1 (en) | Multicast proxy for partitioned networks | |
| JP4356262B2 (ja) | パケット通信システム | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| JP4556386B2 (ja) | データ配信システム及びそれに用いるデータ配信方法 | |
| CN115037685A (zh) | 隧道通信方法、中继节点、分支节点及隧道通信系统 | |
| CN115037717A (zh) | 通信方法、中继节点、分支节点及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090617 Termination date: 20200813 |