CN101163088B - 组播数据的传输方法和设备 - Google Patents
组播数据的传输方法和设备 Download PDFInfo
- Publication number
- CN101163088B CN101163088B CN2007101428331A CN200710142833A CN101163088B CN 101163088 B CN101163088 B CN 101163088B CN 2007101428331 A CN2007101428331 A CN 2007101428331A CN 200710142833 A CN200710142833 A CN 200710142833A CN 101163088 B CN101163088 B CN 101163088B
- Authority
- CN
- China
- Prior art keywords
- router
- multicast group
- ipsec tunnel
- multicast
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种组播数据的传输方法,包括如下步骤:边缘路由器通过与中心路由器预先建立的IPSec隧道,将用户终端的组播组消息封装后向中心路由器发送;边缘路由器接收中心路由器通过IPSec隧道传输的组播组的组播数据;边缘路由器解封装组播数据并向用户终端发送。通过使用本发明提供的方法,在中心路由器和边缘路由器建立SA和IPSec隧道,实现了IP组播数据在IPSec隧道上的直接传输,减少了现有技术中封装GRE隧道的开销,提高了数据转发的效率;另外,在SA的组播组表项中对组播数据的接收者进行选择判断,提高了网络中组播数据传输的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种组播数据的传输方法和设备。
背景技术
IP组播技术有效地解决了单点发送多点接收的问题,实现了IP网络中点到多点的高效数据传送,能够大量节约网络带宽、降低网络负载。利用组播技术,一些新的增值业务,包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等互联网的信息服务得到了快速的发展。
但是,在现实网络中某些情况下在网络中传输的组播数据不希望被其他未申请加入该组播组的用户知晓,因此如何将组播数据通过这些设备进行安全完整地传输,是目前面临的一个重要问题。
在现有技术中,IPSec协议作为IP层的标准安全协议,通过提供IPSec隧道保证数据的私密性和安全性。IPSec(IPSecurity,IP安全)是保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务,提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。IPSec包括AH(Authentication Header,报文验证头协议)和ESP(Encapsulating Security Payload,封装安全载荷协议)两个部分。IPSec有隧道(tunnel)和传送(transport)两种工作方式:在隧道方式中,用户的整个IP数据包被用来计算ESP头且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。由于IPSec协议实现的是一种端到端的单播传输,因此如何利用IPSec隧道传输组播数据是需要解决的一个重要问题。
目前为了解决在IPSec中传输组播的问题,主要采用GRE(Generic RoutingEncapsulation,通用路由封装)配合IPSec隧道一起对组播数据进行封装的方案。GRE提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。如下图1所示,首先使组播数据进入GRE隧道进行封装,然后再进入IPSec隧道对GRE数据进行封装。用IPSec隧道方式封装GRE数据封装后的报文格式如图2所示。通过这种方式,解决了IPSec无法传输组播数据的问题。
在使用该方法时,需要将IPSec和GRE隧道组合使用,因此需要对数据包进行多次封装,增加了数据包的长度以及封装开销,影响了路由器的性能,降低了组播数据的转发速度和效率;另外,需要边缘路由器和中心路由器必须同时支持IPSec和GRE,因此对设备的要求比较严格。
发明内容
本发明的实施例要解决的问题是提供一种组播数据的传输方法和设备,以提高在网络中传输组播数据的安全性。
为达到上述目的,本发明的实施例提供一种组播数据的传输方法,
边缘路由器与中心路由器建立具有IPSec隧道的安全同盟SA,设置相应的安全策略和参数,在所述边缘路由器和所述中心路由器互连的接口建立IPSec隧道,并配置ACL规则与相应的IPSec隧道进行绑定;
所述边缘路由器通过与中心路由器预先建立的IPSec隧道,将用户终端的组播组消息封装后向所述中心路由器发送;
所述边缘路由器接收所述中心路由器通过所述IPSec隧道传输的所述组播组的组播数据;
所述边缘路由器解封装所述组播数据并向所述用户终端发送。
其中,所述边缘路由器与所述中心路由器建立具有IPSec隧道的安全同盟SA的步骤具体包括:
在所述边缘路由器和所述中心路由器互连的接口配置组播路由协议;
将所述边缘路由器和所述中心路由器互连接的接口分别配置为各自路由器上IPSec隧道的本地和远端地址。
本发明的实施例还提供一种组播数据的传输方法,包括如下步骤:
中心路由器解封装边缘路由器通过预先建立的IPSec隧道发送的组播组消息;
所述中心路由器根据所述组播组消息维护组播组表项,并向上游网络发送所述组播组消息;
所述中心路由器接收到上游网络发送的所述组播组的组播数据时,根据所述组播组表项,将所述组播数据封装后通过所述IPSec隧道向所述边缘路由器发送。
其中,所述解封装边缘路由器通过预先建立的IPSec隧道发送的组播组消息前,还包括步骤:
与边缘路由器建立具有IPSec隧道的安全同盟SA,设置相应的安全策略和参数。
其中,所述中心路由器根据所述组播组消息维护组播组表项的步骤具体为:
将接收到所述组播组消息的接口添加到组播组表项的出接口列表;
将所述组播组消息发送地址所属的SA和请求加入的组播组地址添加到组播组表项。
其中,所述根据组播组表项,将组播数据封装后通过IPSec隧道向边缘路由器发送的步骤具体为:
获取组播组表项的出接口列表,将所述组播数据发送到对应的出接口;
在所述出接口中获取所述组播数据匹配的安全策略,利用与所述匹配的安全策略对应的访问控制列表转发所述组播数据;
转发所述组播数据时,根据所述组播组表项获取转发所述组播数据的目标SA;
将组播数据封装后通过IPSec隧道向所述目标SA对应的边缘路由器发送所述组播数据。
本发明的实施例还提供一种边缘路由器,包括:
SA信息单元,用于与中心路由器建立具有IPSec隧道的安全同盟SA,设置相应的安全策略和参数,在边缘路由器和所述中心路由器互连的接口建立IPSec隧道,并配置ACL规则与相应的IPSec隧道进行绑定,以及存储与中心路由器建立的SA、IPSec隧道的接口、ACL规则、相应的安全策略和参数中的一种或多种;
边缘封装单元,用于根据与中心路由器预先建立的IPSec隧道,把用户终端的组播组消息进行封装后向所述中心路由器发送;
边缘解封装单元,用于解封装所述中心路由器通过所述IPSec隧道传输的组播数据并向用户终端发送。
其中,还包括:
边缘上游接口,用于通过预先建立的IPSec隧道向中心路由器发送所述边缘封装单元封装后的组播组消息,并用于在接收到中心路由器通过所述IPSec隧道发送的组播数据时,向所述边缘解封装单元发送;
边缘下游接口,用于在接收到下游网络中用户终端发送的组播组消息时,向所述边缘封装单元发送;并在接收到所述边缘解封装单元发送的组播数据时,向对应的用户终端发送。
本发明的实施例还包括一种中心路由器,包括:
解封装单元,用于对边缘路由器通过IPSec隧道发送的消息进行解封装,获取其中包括的组播组消息;
组播组表项维护单元,用于根据所述解封装单元获取的组播组信息,维护本地的组播组表项;
封装单元,用于接收到上游网络的组播数据时,根据所述组播组表项维护单元中的组播组表项,通过IPSec隧道将组播数据封装后向所述边缘路由器发送。
其中,还包括:
SA信息单元,用于配置和存储与中心路由器建立的SA、IPSec隧道的接口、ACL规则、相应的安全策略和参数中的一种或多种。
其中,还包括:
边缘上游接口,用于通过预先建立的IPSec隧道向中心路由器发送所述边缘封装单元封装后的组播组消息,并用于在接收到中心路由器通过所述IPSec隧道发送的组播数据时,向所述边缘解封装单元发送;
边缘下游接口,用于在接收到下游网络中用户终端发送的组播组消息时,向所述边缘封装单元发送;并在接收到所述边缘解封装单元发送的组播数据时,向对应的用户终端发送。
本发明的实施例还包括一种中心路由器,包括:
解封装单元,用于对边缘路由器通过IPSec隧道发送的消息进行解封装,获取其中包括的组播组消息;
组播组表项维护单元,用于根据所述解封装单元获取的组播组信息,维护本地的组播组表项;
封装单元,用于接收到上游网络的组播数据时,根据所述组播组表项维护单元中的组播组表项,通过IPSec隧道将组播数据封装后向所述边缘路由器发送。
其中,还包括:
SA信息设置单元,用于配置与边缘路由器建立的SA、IPSec隧道的接口、ACL规则、相应的安全策略和参数中的一种或多种。
其中,还包括:
下游接口,用于将各边缘路由器通过预先建立的IPSec隧道发送的组播组消息向所述解封装单元发送,并在接收到所述封装单元发送的组播数据时,通过预先建立的IPSec隧道向对应的边缘路由器发送;
上游接口,用于向上游网络发送所述解封装单元得到的组播组消息,并在接收到上游网络的组播数据时,向所述封装单元发送。
与现有技术相比,本发明的实施例具有以下优点:
在中心路由器和边缘路由器建立SA和IPSec隧道,实现了IP组播数据在IPSec隧道上的直接传输,减少了现有技术中封装GRE隧道的开销,提高了数据转发的效率;另外,在SA的组播组表项中对组播数据的接收者进行选择判断,提高了网络中组播数据传输的安全性。
附图说明
图1是现有技术中通过GRE和IPSec进行组播数据传输的示意图;
图2是现有技术中通过GRE和IPSec进行数据传输的报文结构示意图;
图3是本发明的实施例一中组播数据的传输方法的流程图;
图4是本发明的实施例二中组播数据的传输的组网场景示意图;
图5是本发明的实施例二中通过IKE方式进行安全策略配置的示意图;
图6是本发明的实施例二中对IGMP消息进行封装的示意图;
图7是本发明的实施例二中对组播数据进行封装的示意图;
图8是本发明的实施例四中一种中心路由器的结构示意图;
图9是本发明的实施例五中一种边缘路由器的结构示意图。
具体实施方式
本发明的核心思想在于:由边缘路由器与中心路由器建立IPSec SA(Security Association,安全联盟)。当有用户终端经由边缘路由器点播组播数据时,边缘路由器向中心路由器发起组播组加入,中心路由器维护基于SA的组播组表项;当中心路由器接收到组播数据时,查询这些SA下的组播组表项,通过IPSec隧道将组播数据发送给相应的边缘路由器,边缘路由器将数据解封装后转发给接收者。
本发明的实施例一中,一种组播数据的传输方法的流程图如图3所示,包括如下步骤:
步骤s301、边缘路由器与中心路由器建立IPSec SA。
IPSec SA的概念如下:IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体,SA是通信对等体间对某些要素的约定。SA是单向的,在两个对等体之间的双向通信,最少需要两个SA来分别对两个方向的数据流进行安全保护。SA由一个三元组来唯一标识,这个三元组包括SPI(Security ParameterIndex,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。
该建立过程包括:在边缘路由器与中心路由器互连接的接口上建立IPSec隧道,分别配置ACL规则与隧道进行绑定,并将边缘路由器与中心路由器互连接的接口设置为互为隧道的本地和远端地址。
步骤s302、边缘路由器接收到用户终端的加入组播组IGMP(Internet GroupManagement Protocol,因特网组管理协议)的加入消息时,向中心路由器转发该组播组加入消息。
为了实现与缘路由器连接的用户终端能通过边缘路由器和中心路由器点播组播数据,需要对边缘路由器进行配置。例如使边缘路由器具有IGMP代理功能,或支持组播路由协议,如具有PIM(Protocol Independent Multicast,独立组播协议)功能,并通过IPSec隧道向中心路由器发送组播组加入消息。
步骤s303、中心路由器在收到来自SA的IGMP加入消息后,在该SA表中维护一个组播组表项。
当中心路由器收到来自边缘路由器通过SA隧道发送的组播组加入消息后,会在组播组表项中将接收到加入消息的边缘路由器接口添加到出接口列表中。
步骤s304、中心路由器CR在收到上游接口来的组播数据后,遍历所有的SA安全策略,针对每个SA查询该SA表项下的组播组信息,对匹配的组播组数据在该IPSec SA中转发。
具体的,当中心路由器CR在与上游网络连接的接口收到组播数据时,首先查询组播组表项中的出接口列表,当查询到某接口为该组播组的一个出接口时,会将该组播的数据向该接口转发。
当中心路由器CR的接口进行组播数据转发时,顺序地查找安全策略组中的每一条安全策略。如果组播数据匹配了一条安全策略引用的ACL规则,则使用这条安全策略引用的ACL规则对组播数据进行匹配转发;然后继续查找下一条安全策略,直到遍历所有的SA安全策略。
在对组播数据进行匹配转发时,对SA下的组播组信息进行查询,当组播数据所属的组播组与该SA下的组播组匹配时,在该SA内转发该组播组的数据,否则不在该SA内转发。
通过遍历所有的SA安全策略,保证了所有的SA都会查询到,从而保证每个有组播组加入的SA下都会转发组播数据;而通过查询每个SA下的组播组表项,保证了只有该SA下加入了的组播数据才会在该IPSec SA上转发。
步骤s305、中心路由器根据匹配规则,将组播数据进行IPSec封装,以IPSec隧道方式发送给相应的接收者。
步骤s306、边缘路由器在收到数据后进行解密,并根据相应的IGMP加入端口进行组播数据的转发。
以下结合具体的应用场景对本发明的实施方式作详细的说明。
本发明的实施例二中的组网场景如图4所示:边缘路由器ER_A通过接口A与中心路由器CR的接口CR连接,其中接口A的IP为10.1.1.1;边缘路由器ER_B通过接口B与中心路由器CR的接口CR连接,其中接口B的IP为10.2.2.1;中心路由器CR通过接口C与边缘路由器ER_A和边缘路由器ER_B连接,接口C的IP为10.3.3.1,通过接口D与上游网络连接,接口D的IP为1.1.1.1。其中,各边缘路由器具备IGMP代理功能。该场景下,组播数据的传输方法包括以下步骤:
(1)边缘路由器与中心路由器建立IPSec SA。
在边缘路由器ER_A与中心路由器CR之间建立IPSec隧道,配置相应的ACL(Access Control List,访问控制列表)规则如下:
在边缘路由器ER_A上配置ACL,指定边缘路由器ER_A接收到的所有IGMP加入报文匹配该ACL规则,通过隧道送到中心路由器CR。具体的,配置的ACL规则可以为:
『ACL 3000:
rule 1 permit ip source 10.1.1.10.0.0.0 destination 224.0.0.015.255.255.255
rule 2 permit ip source 224.0.0.015.255.255.255 destination any
rule 3 deny ip any』
该ACL规则的含义为:允许来自IP地址10.1.1.1(即接口A)的数据向组播地址(224.0.0.0到239.255.255.255,协议规定的组播地址范围)发送;允许所有来自组播组(224.0.0.0到239.255.255.255)的数据经过;拒绝其他数据经过。其中,ACL规则中的地址范围通过反掩码进行表示。
在中心路由器CR上配置ACL,指定所有中心路由器CR的上游接口D收到的组播数据报文匹配该ACL规则,通过隧道下发给相应的边缘路由器。
『ACL 3000:
rule 1 permit ip source 224.0.0.015.255.255.255 destination 10.1.1.10.0.0.0
rule 2 permit ip source any destination 224.0.0.015.255.255.255
rule 3 deny ip any』
从上述ACL配置可以看出,在边缘路由器和中心路由器上配置的ACL规则是相对应的。配置ACL规则完毕后,配置端口地址A、C互为本路由器上的隧道本地和远端地址,设置相应的安全策略和参数,每一条安全策略中可以引用不同的ACL列表。安全策略的配置可以采用手动方式,也可以采用IKE(Internet Key Exchange,因特网密钥交换协议)协商方式。图5所示为典型的通过IKE方式进行安全策略和参数配置的过程示意图。在IKE方式中,路由器通过数据交换来计算密钥;主要包括SA交换、密钥交换以及ID交换和验证的步骤。
完成上述设置后,则在ER_A与CR之间建立起一个IPSec SA,可以记作SA_A。同样的,也可以为ER_B与CR之间建立一个IPSec SA,记作SA_B。
(2)边缘路由器接收到用户终端的加入组播组IGMP的加入消息时,向中心路由器转发该播组加入消息。
此实施例中,假设具有IGMP代理功能的边缘路由器ER_A接收到下游的用户终端发起的IGMP组播组加入消息,则ER_A将该指定接口A地址作为IGMP代理的地址,通过IPSec SA以隧道方式向中心路由器发送IGMP加入消息,这里假设要加入的组播组地址是224.1.1.1。
(3)中心路由器在收到来自某SA的IGMP加入消息后,在该SA表中维护一个组播组表项。
当中心路由器收到来自ER-A通过SA隧道发送的组播组加入消息后,会在组播组表项中将接收到加入报文的接口C添加到出接口列表中,如下所示:
『(*,G)
List of 1 downstream interface
Interface C(host IP),
Protocol:IGMP』
同时,在该SA表中维护一个组播组表项如下表1所示,为中心路由器CR维护的与边缘路器之间的SA信息:
表1:
| SA Serial Number (SA序号) | Dst Address (目的地址) | SPI (安全参数索引) | Protocol (协议) | multicast group (组播组) |
| 1 | 10.1.1.1 | 300 | ESP | 224.1.1.1 |
| 2 | 10.2.2.1 | 301 | ESP | 225.2.2.2 |
从该表中可以看出,目的地址为10.1.1.1(接口A)的接口期望接收组播组224.1.1.1的数据,其SA序号为1;目的地址为10.2.2.1(接口B)的接口期望接收组播组225.2.2.2的数据,其SA序号为2。
(4)中心路由器CR在收到上游接口来的组播数据后,遍历所有的SA安全策略,针对每个SA查询该SA表项下的组播组信息,将匹配的组播组数据在该IPSec SA中转发。
在前面的配置中,中心路由器上SA_A和SA_B的本地端口都是C,且已经配置的安全策略引用的ACL规则允许所有的组播组通过。当中心路由器的上游接口D接收到组播组(224.1.1.1)的数据时,查询组播组表项的出接口列表,发现C为出接口,则将组播数据在C接口上转发。此时由于SA_A和SA_B的本地端口都是C且都匹配ACL规则,因此如果组播组(224.1.1.1)的数据直接向两个SA同时发送,造成B接收到不该接收到的组播数据,产生安全隐患。因此,还需要通过查询SA_A和SA_B下维护的组播组信息,发现只有SA_A下才有该组播组(224.1.1.1)的接收者,因此,该组播数据只通过SA_A向边缘路由器ER_A转发,而不会向ER_B转发。
(5)中心路由器根据匹配规则,将组播数据进行IPSec封装,以隧道方式发送给相应的接收者。
中心路由器将接收到的组播组(224.1.1.1)的数据根据相应的SA信息,以边缘路由器ER_A的接口A的地址10.1.1.1为目的IP地址进行隧道方式封装转发。
(6)边缘路由器在收到数据后进行解密,并根据相应的IGMP加入端口进行组播数据的转发。
本发明的实施例三中还提供一种通过组播路由协议实现组播数据传输的方法,基于SA来维护组播组表项,通过查询组播组出接口,来实现组播数据通过SA来转发。其组网场景与实施例二中图4所示的场景相同。
以采用PIM协议为例,PIM协议是目前应用较为广泛的组播路由协议,支持PIM协议的路由设备通过发送Hello报文(PIM协议中的一种基本协议报文,用于建立和维护PIM路由设备之间的邻居关系)来将自己的基本情况告知其他路由设备,同时也通过接收其他路由设备的Hello报文来了解邻居的情况,每个PIM设备都通过这种方式维护自己的邻居关系表。Hello报文的发送是周期性的,例如协议缺省是30秒。如果路由设备多次无法收到来自邻居的Hello报文,就会将该邻居从自己的邻居关系表中删除,并更新相关的组播路由表项。为了实现对邻居信息的管理,路由设备一般会把邻居与接口的对应关系进行保存,在接收到组播数据时,根据该接口与邻居的关系信息进行组播数据的转发。
该场景下,组播数据的传输方法包括以下步骤:
(1)边缘路由器与中心路由器建立IPSec SA。
首先需要使得ER_A的接口A、ER_B接口B和CR的接口C上支持PIM协议;然后配置ER_A与CR,ER_B与CR之间的ACL规则,建立IPSec隧道。
例如,ER_A与CR之间的ACL规则可以如下配置:ER_A上配置ACL,指定PIM的hello报文匹配该ACL规则,通过隧道送到中心路由器CR
『ACL 3001:
rule 1 permit ip source 10.1.1.10.0.0.0 destination 224.0.0.130.0.0.0
rule 2 permit ip source 224.0.0.130.0.0.0 destination 10.3.3.10.0.0.0
rule 3 permit ip source 224.0.0.015.255.255.255 destination any
rule 4 deny ip any』
该ACL规则的含义为:允许来自IP地址10.1.1.1(即接口A)的数据向PIM路由器地址(224.0.0.13)发送;允许来自PIM路由器地址(224.0.0.13,协议规定的PIM路由器地址)的数据向IP地址10.1.1.1(即接口A)发送;允许所有来自组播组(224.0.0.0到239.255.255.255)的数据经过;拒绝其他数据经过。其中,ACL规则中的地址范围通过反掩码进行表示。
CR上配置ACL,指定所有上游接口收到的组播数据报文匹配该ACL规则,通过隧道下发给相应的边缘路由器。
『ACL 3001:
rule 1 permit ip source 224.0.0.130.0.0.0 destination 10.1.1.10.0.0.0
rule 2 permit ip source 10.3.3.10.0.0.0 destination 224.0.0.130.0.0.0
rule 3 permit ip source any destination 224.0.0.015.255.255.255
rule 4 deny ip any』
从上述ACL配置可以看出,在边缘路由器和中心路由器上配置的ACL规则是相对应的。配置ACL规则完毕后,配置端口地址A、C互为本路由器上的隧道本地和远端地址,设置相应的安全策略和参数。安全策略的配置可以采用手动方式,也可以采用IKE协商方式。
通过上述配置,完成了ER_A的接口A与CR的接口C上的PIM协议配置。至此PIM的Hello报文就可以通过IPSec隧道进行传输,在A与C之间建立起了PIM邻居。
另外,可以通过手动配置RPF(Reverse Path Forwarding,逆向路径转发)路由来保证组播数据的转发路径。保证(S,G)或(*,G)的报文通过IPSec隧道由A接口传输到C接口,即保证组播数据通过Ipsec隧道进行正确转发。RPF的原理在于,检查接收到组播数据的接口是否为指向组播源的接口(即逆向转发接口),如果组播数据是从该接口接收到的,则向下游接口转发该组播数据,否则丢弃。通过该机制,避免了组播数据流的转发形成环流。该RPF路由的配置可以通过设置ACL列表实现,利用ACL列表可以设定特定接口上所允许的源地址,对于符合该ACL列表允许通过条件的数据进行转发,否则直接丢弃。
后面的处理过程与采用IGMP协议类似。当中心路由器收到来自ER-A通过SA隧道发送的组播组加入消息后,会在组播组表项中将接收到加入报文的接口C添加到出接口列表中,并在SA中维护一个组播组表项。中心路由器根据该SA的信息以及组播组表项向对应的边缘路由器通过IPSec通道发送组播。
通过使用上述实施例所提供的组播数据传输方法,在中心路由器和边缘路由器建立SA和IPSec隧道,实现了IP组播数据在IPSec隧道上的直接传输,减少了现有技术中封装GRE隧道的开销,提高了数据转发的效率;另外,在SA的组播组表项中对组播数据的接收者进行选择判断,提高了网络中组播数据传输的安全性。
本发明的实施例四提供了一种用于组播数据转发的中心路由器,如图8所示,包括:
下游接口11,与各边缘路由器和解封装单元12、封装单元15连接,用于在接收各边缘路由器通过预先建立的IPSec隧道发送的组播组消息时,向解封装单元12发送;并用于在接收到封装单元15发送的组播数据时,通过预先建立的IPSec隧道向边缘路由器发送。
解封装单元12,与下游接口11和上游接口16连接连接,用于对边缘路由器通过IPSec隧道发送的组播组消息进行解封装,获取其中包括的组播组消息并通过上游接口16向上游网络中对应的组播组地址转发。
SA信息设置单元13,与组播组表项维护单元14连接,用于存储配置与边缘路由器建立的SA和IPSec隧道的接口、ACL规则、相应的安全策略和参数。
组播组表项维护单元14,与解封装单元12和封装单元15连接连接,用于根据解封装单元12获取的组播组信息,以及SA信息设置单元13中的配置信息,获得接收到该组播组消息的接口、发送该组播组消息的接口、该发送接口所属的SA以及组播组消息,并根据这些消息维护本地的组播组表项。在接收到上游网络发送的组播数据时,提供封装单元15进行组播数据转发封装所需的组播组表项信息。
封装单元15,与组播组表项维护单元14、下游接口11和上游接口16连接,用于对从上游接口16接收到的组播数据按照目的SA的参数进行封装,并根据组播组表项维护单元14维护的组播组表项和安全策略,获取组播数据转发的目的SA,将封装后的组播数据通过下游接口11向目的SA发送。
上游接口16,与上游网络和解封装单元12、封装单元15连接,用于向上游网络发送解封装单元12得到的组播组消息,并在接收到封装单元15发送的组播数据时,根据封装单元15提供的信息,将封装后的组播数据向目的SA发送。
本发明的实施例五提供了一种用于组播数据转发的边缘路由器,包括:
边缘下游接口21,与下游网络连接,下游网络中包括用户终端;用于在接收到用户终端发送的组播组消息时,向边缘封装单元23发送。并在接收到边缘解封装单元25发送的组播数据时,向对应的用户终端发送。
SA信息单元22,用于配置和存储与中心路由器建立的SA和IPSec隧道的接口、ACL规则、相应的安全策略和参数。
边缘封装单元23,与SA信息单元22连接,用于根据SA信息单元22设置的安全策略和参数,对边缘下游接口21接收到的组播组消息进行封装后向边缘上游接口24发送。
边缘上游接口24,与中心路由器连接,用于通过预先建立的IPSec隧道向中心路由器发送边缘封装单元23封装后的组播组消息,并用于在接收到中心路由器通过预先建立的IPSec隧道发送的组播数据时,向边缘解封装单元25发送。
边缘解封装单元25,与SA信息单元22连接,用于根据SA信息单元22设置的安全策略和参数,对边缘上游接口24发送的组播数据进行解封装,然后通过边缘下游接口21向用户终端发送。
通过使用上述实施例所提供的设备,在中心路由器和边缘路由器建立SA和IPSec隧道,实现了IP组播数据在IPSec隧道上的直接传输,减少了现有技术中封装GRE隧道的开销,提高了数据转发的效率;另外,在SA的组播组表项中对组播数据的接收者进行选择判断,提高了网络中组播数据传输的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台路由器设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (11)
1.一种组播数据的传输方法,其特征在于,包括如下步骤:
边缘路由器与中心路由器建立具有IPSec隧道的安全同盟SA,设置相应的安全策略和参数,在所述边缘路由器和所述中心路由器互连的接口建立IPSec隧道,并配置ACL规则与相应的IPSec隧道进行绑定;
所述边缘路由器通过与中心路由器预先建立的IPSec隧道,将用户终端的组播组消息封装后向所述中心路由器发送;
所述边缘路由器接收所述中心路由器通过所述IPSec隧道传输的所述组播组的组播数据;
所述边缘路由器解封装所述组播数据并向所述用户终端发送。
2.如权利要求1所述组播数据的传输方法,其特征在于,所述边缘路由
器与所述中心路由器建立具有IPSec隧道的安全同盟SA的步骤具体包括:
在所述边缘路由器和所述中心路由器互连的接口配置组播路由协议;
将所述边缘路由器和所述中心路由器互连接的接口分别配置为各自路由器上IPSec隧道的本地和远端地址。
3.一种组播数据的传输方法,其特征在于,包括如下步骤:
中心路由器解封装边缘路由器通过预先建立的IPSec隧道发送的组播组消息;
所述中心路由器根据所述组播组消息维护组播组表项,并向上游网络发送所述组播组消息;
所述中心路由器接收到上游网络发送的所述组播组的组播数据时,根据所述组播组表项,将所述组播数据封装后通过所述IPSec隧道向所述边缘路由器发送。
4.如权利要求3所述组播数据的传输方法,其特征在于,所述解封装边缘路由器通过预先建立的IPSec隧道发送的组播组消息前,还包括步骤:
与边缘路由器建立具有IPSec隧道的安全同盟SA,设置相应的安全策略和参数。
5.如权利要求4所述组播数据的传输方法,其特征在于,所述中心路由器根据所述组播组消息维护组播组表项的步骤具体为:
将接收到所述组播组消息的接口添加到组播组表项的出接口列表;
将所述组播组消息发送地址所属的SA和请求加入的组播组地址添加到组播组表项。
6.如权利要求5所述组播数据的传输方法,其特征在于,所述根据组播组表项,将组播数据封装后通过IPSec隧道向边缘路由器发送的步骤具体为:
获取组播组表项的出接口列表,将所述组播数据发送到对应的出接口;
在所述出接口中获取所述组播数据匹配的安全策略,利用与所述匹配的安全策略对应的访问控制列表转发所述组播数据;
转发所述组播数据时,根据所述组播组表项获取转发所述组播数据的目标SA;
将组播数据封装后通过IPSec隧道向所述目标SA对应的边缘路由器发送所述组播数据。
7.一种边缘路由器,其特征在于,包括:
SA信息单元,用于与中心路由器建立具有IPSec隧道的安全同盟SA,设置相应的安全策略和参数,在边缘路由器和所述中心路由器互连的接口建立IPSec隧道,并配置ACL规则与相应的IPSec隧道进行绑定,以及存储与中心路由器建立的SA、IPSec隧道的接口、ACL规则、相应的安全策略和参数中的一种或多种;
边缘封装单元,用于根据与中心路由器预先建立的IPSec隧道,把用户终端的组播组消息进行封装后向所述中心路由器发送;
边缘解封装单元,用于解封装所述中心路由器通过所述IPSec隧道传输的组播数据并向用户终端发送。
8.如权利要求7所述边缘路由器,其特征在于,还包括:
边缘上游接口,用于通过预先建立的IPSec隧道向中心路由器发送所述边缘封装单元封装后的组播组消息,并用于在接收到中心路由器通过所述IPSec隧道发送的组播数据时,向所述边缘解封装单元发送;
边缘下游接口,用于在接收到下游网络中用户终端发送的组播组消息时,向所述边缘封装单元发送;并在接收到所述边缘解封装单元发送的组播数据时,向对应的用户终端发送。
9.一种中心路由器,其特征在于,包括:
解封装单元,用于对边缘路由器通过IPSec隧道发送的消息进行解封装,获取其中包括的组播组消息;
组播组表项维护单元,用于根据所述解封装单元获取的组播组信息,维护本地的组播组表项;
封装单元,用于接收到上游网络的组播数据时,根据所述组播组表项维护单元中的组播组表项,通过IPSec隧道将组播数据封装后向所述边缘路由器发送。
10.如权利要求9所述的中心路由器,其特征在于,还包括:
SA信息设置单元,用于配置与边缘路由器建立的SA、IPSec隧道的接口、ACL规则、相应的安全策略和参数中的一种或多种。
11.如权利要求9所述的中心路由器,其特征在于,还包括:
下游接口,用于将各边缘路由器通过预先建立的IPSec隧道发送的组播组消息向所述解封装单元发送,并在接收到所述封装单元发送的组播数据时,通过预先建立的IPSec隧道向对应的边缘路由器发送;
上游接口,用于向上游网络发送所述解封装单元得到的组播组消息,并在接收到上游网络的组播数据时,向所述封装单元发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101428331A CN101163088B (zh) | 2007-07-31 | 2007-07-31 | 组播数据的传输方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101428331A CN101163088B (zh) | 2007-07-31 | 2007-07-31 | 组播数据的传输方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101163088A CN101163088A (zh) | 2008-04-16 |
| CN101163088B true CN101163088B (zh) | 2010-09-15 |
Family
ID=39297922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101428331A Expired - Fee Related CN101163088B (zh) | 2007-07-31 | 2007-07-31 | 组播数据的传输方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101163088B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499972B (zh) * | 2009-03-16 | 2012-01-11 | 杭州华三通信技术有限公司 | Ip安全报文转发方法及装置 |
| CN102164090B (zh) | 2011-05-13 | 2013-12-25 | 杭州华三通信技术有限公司 | 基于通用路由封装隧道的报文转发的方法、系统及设备 |
| CN102957596A (zh) * | 2011-08-16 | 2013-03-06 | 海尔集团公司 | 子网关装置、系统及处理终端设备数据的方法 |
| CN102739521B (zh) * | 2012-06-04 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种组播业务实现方法及其设备 |
| CN102833230B (zh) * | 2012-07-31 | 2016-04-20 | 杭州华三通信技术有限公司 | 一种加密组播数据的方法和系统 |
| CN106302424B (zh) * | 2016-08-08 | 2020-10-13 | 新华三技术有限公司 | 一种安全隧道的建立方法及装置 |
| CN108134794A (zh) * | 2017-12-26 | 2018-06-08 | 南京航空航天大学 | 一种基于gre和ipsec的智能制造物联中业务数据加密传输的方法 |
| CN110365570B (zh) * | 2019-07-19 | 2021-05-28 | 杭州迪普科技股份有限公司 | IPSec流量转发方法、装置、电子设备 |
| CN112367237B (zh) * | 2020-09-29 | 2022-10-21 | 新华三技术有限公司 | 一种报文转发方法及系统 |
| CN112714069A (zh) * | 2021-01-06 | 2021-04-27 | 上海交通大学 | 一种IPSec安全网关环境中将分流模块下放至网卡硬件的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585339A (zh) * | 2003-08-20 | 2005-02-23 | 华为技术有限公司 | 一种实现组安全联盟共享的方法 |
| CN1595884A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种多点可达隧道通信的方法 |
| US7233569B1 (en) * | 1999-05-19 | 2007-06-19 | Cisco Technology, Inc. | Tunnel reroute |
-
2007
- 2007-07-31 CN CN2007101428331A patent/CN101163088B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7233569B1 (en) * | 1999-05-19 | 2007-06-19 | Cisco Technology, Inc. | Tunnel reroute |
| CN1585339A (zh) * | 2003-08-20 | 2005-02-23 | 华为技术有限公司 | 一种实现组安全联盟共享的方法 |
| CN1595884A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种多点可达隧道通信的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101163088A (zh) | 2008-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101163088B (zh) | 组播数据的传输方法和设备 | |
| JP4682250B2 (ja) | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) | |
| CN102263648B (zh) | 用于将多个vlan组合到单个802.11ip多播域中的系统和方法 | |
| US7310730B1 (en) | Method and apparatus for communicating an encrypted broadcast to virtual private network receivers | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| US20180288013A1 (en) | End-to-end secured communication for mobile sensor in an iot network | |
| US20060218262A1 (en) | Multicast communication method, home agent, and mobile node | |
| CN109152065B (zh) | 一种基于IPv6的工业无线网络多节点安全入网方法 | |
| WO2013185653A1 (zh) | 一种进行多网络联合传输的系统、用户设备及方法 | |
| CN100502345C (zh) | 在IPsec隧道中传输组播的方法、分支节点和中心节点 | |
| JP2004336776A5 (zh) | ||
| CN102687537A (zh) | 媒体无关切换协议的安全 | |
| US20100303072A1 (en) | Multicast Source Mobility | |
| CN109195116A (zh) | 一种lpwan物联网的应用层组播方法 | |
| KR101518438B1 (ko) | 보안 네트워크 아키텍쳐를 확립하기 위한 방법, 보안 통신을 위한 방법 및 시스템 | |
| WO2009092318A1 (zh) | 一种宽带无线多媒体网络广播通信的安全传输方法 | |
| US10313877B2 (en) | Method and system for facilitating participation of an intermediary network device in a security gateway communication between at least one base station and a core network portion in a cellular communication network | |
| CN102905199B (zh) | 一种组播业务实现方法及其设备 | |
| CN101784010A (zh) | 为移动组播业务辅助建立固网组播回传通道的方法及装置 | |
| CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
| CN101795223B (zh) | 组播安全控制方法、系统及传输节点 | |
| CN101568069B (zh) | 为外来移动终端提供组播业务的方法及装置 | |
| US8190887B2 (en) | Cable network system and method for controlling security in cable network encrypted dynamic multicast session | |
| CN102868615B (zh) | 一种局域网间传输报文的方法和系统 | |
| CN101562613B (zh) | 一种控制组播源的方法和一种网络接入服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100915 Termination date: 20200731 |