CN101499972A - Ip安全报文转发方法及装置 - Google Patents
Ip安全报文转发方法及装置 Download PDFInfo
- Publication number
- CN101499972A CN101499972A CNA2009100802302A CN200910080230A CN101499972A CN 101499972 A CN101499972 A CN 101499972A CN A2009100802302 A CNA2009100802302 A CN A2009100802302A CN 200910080230 A CN200910080230 A CN 200910080230A CN 101499972 A CN101499972 A CN 101499972A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- message
- equipment
- interface
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为IP安全报文转发方法及装置。应用在至少包含两个设备的组网,第一设备具有固定公网IP地址,在每个设备上增加IPSec SA接口,为每个IPSec SA接口分配同一网段的私网IP地址;将每个IPSec SA接口与公网接口绑定,在非第一设备上配置的IPSec对等体信息为第一设备的公网IP地址,在每个IPSec SA接口上启用动态路由协议;非第一设备的IPSec SA接口上始发报文,与第一设备进行IPSec SA协商,双方建立包括IPSec连接标识、对端设备的IPSec SA接口的IP地址的IPSec报文转发表项;设备根据所述转发表项对报文进行加密封装。本发明扩大了IPSec隧道的应用范围。
Description
技术领域
本发明涉及IP安全技术领域,具体涉及IP安全报文转发方法及装置。
背景技术
IP安全(IPSec,IP Security)是国际互联网工程工作组(IETF,InternetEngineering Task Force)制定的三层隧道加密协议,它为因特网上传输的数据提供了高质量、可互操作、基于密码学的安全保证。IPSec策略启用在实际接口上,对该接口上转发的特定报文进行加密和封装,并发送到IPSec对等体(IKE-Peer),IPSec对等体对该报文进行解封装和解密,再将该报文按照目的IP进行转发。
IPSec基本配置的实现如下:通过IPSec,对等体之间即:设备及其对端能够对不同的数据流实施不同的安全保护如:认证、加密或两者同时使用,数据流的区分通过配置访问控制列表(ACL,Access Control List)来进行;安全保护所用到的安全协议、认证算法和加密算法、封装模式等通过配置IPSec提议来进行;数据流和IPSec提议的关联即:定义对何种数据流实施何种保护、安全联盟(SA,Security Association)的协商方式、对等体IP地址的设置即:保护路径的起/终点、所需要的密钥和SA的生存周期等通过配置安全策略来进行;最后在设备接口上实施安全策略即完成了IPSec的配置,若通过软件实现,则在接口上应用安全策略即可;若通过加密卡实现,则除了在接口上应用安全策略,还需将安全策略绑定到加密卡上。
图1给出了基于ACL的IPSec组网图,如图1所示,在两端设备:设备A、B的公网接口上配置IPSec策略,IPSec策略包含3个要素,IPSec对等体、加密算法、加密ACL。对于设备A的公网接口上转发或者始发的报文,首先将该报文与已有的IPSEC SA匹配,若匹配到,则使用该IPSec SA对报文进行加密封装发送到设备B;若未匹配到,则将该报文与加密ACL匹配,若匹配上,则设备A向设备B发起IPSec SA协商,IPSec SA协商成功,IPSsec SA建立,使用新建立的IPSec SA对该报文进行加密封装后送到对端设备A。
为保证SA的成功建立,需要将IPSec对等体上的ACL镜像配置,即保证两端要保护的数据流范围是镜像的。图2给出了一个镜像配置ACL的示例图。在建立IPSec SA时,对于要加密的流两端最后要协商成镜像方式,这样,对于组播和广播报文都不可能建立IPSec SA。因为:对于组播或广播报文,其目的地址为组播或广播地址,若要ACL镜像配置,则对端设备的ACL配置的源地址需要为组播或广播地址,这种报文实际上是不存在的;另外,对于组播或广播报文,即使两端设备完成了ACL镜像配置,组播或广播报文被送到了对端设备,但是由于两端设备的公网接口不在同一网段,无法建立邻居关系,因此无法实现路由,也就导致IPSec隧道两端不能启用动态路由和组播协议。
思科(CISCO)公司提出的静态虚拟隧道接口(VTI,Virtual TunnelInterface)使用隧道接口,VTI上配置了本端和对端的公网IP地址、加密算法,并指定接口的封装方式为IPSec封装,设备使用隧道接口上配置的对端的公网IP地址作为IPSec对等体的地址发起IPSec连接。图3为静态VTI组网图,如图3所示,设备A的隧道接口上配置的对端公网IP地址为1.2.1.1,则设备A的VTI上有报文始发或者转发时,检查是否有与VTI上配置的对端公网IP地址对应的IPSec SA,若有,则使用该IPSec SA对该报文进行加密封装;若没有,则向设备B发起IPSec SA协商,协商成功IPSec SA建立,设备A使用建立的IPSEC SA对报文进行加密封装后发送到设备B。
设备A、B上建立的IPSec SA如下:
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key Cisco12345 address 0.0.0.00.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!
interface Tunnel0
ip address 192.168.0.1255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 1.1.1.1
tunnel destination 1.2.1.1
tunnel mode IPsec ipv4
tunnel protection IPsec profile P1
由于CISCO的静态VTI为隧道接口,两端设备的VTI的IP地址可以配置在同一个网段中,一个设备的VTI上的任何报文都会通过IPSec隧道送到对端设备的VTI上,这样,一个VTI上发出的组播或广播报文也会送到对端设备的VTI,因此,两端设备能建立起动态路由邻居关系,实现路由。
由于CISCO的静态VTI方式继承了GRE的思想,隧道接口上配置的对端地址只能是对端设备的公网IP地址,就导致了如下缺点:
一、如果一端的公网IP地址是动态获取的,则该方法不能使用;同时,如果运营商网络中有网络地址转换(NAT,Network Address Transfering)设备存在时,该方法也不能使用。
二、隧道接口上只能配置一个公网IP地址,因此该方法不支持一对多的组网,如果企业有多个分支需要通过虚拟专网(VPN,Virtual PrivateNetwork)接入到总部,则总部需要建立多个隧道接口进行一一对应。
发明内容
本发明提供IPSec报文转发方法及装置,以扩大IPSec隧道的应用范围。
本发明的技术方案是这样实现的:
一种IP安全报文转发方法,应用在至少包含两个设备的组网中,其中,第一设备具有固定公网IP地址,在每个设备上增加一个IP安全联盟IPSec SA接口,为每个IPSec SA接口分配处于同一网段的IP地址;将每个设备的IPSec SA接口与公网接口绑定,在非第一设备上配置的IPSec对等体信息为第一设备的公网IP地址,在每个设备的IPSec SA接口上启用动态路由协议;该方法包括:
非第一设备的IPSec SA接口上始发报文,与第一设备进行IPSec SA协商,协商成功,双方设备建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;
设备根据所述IPSec报文转发表项对报文进行加密封装并转发出去。
所述非第一设备的IPSec SA接口上始发报文之后、与第一设备进行IPSec协商之前进一步包括:
非第一设备判断自身是否已建立IPSec SA,若是,直接采用该IPSec SA对报文加密封装后发送出去;否则,执行所述与第一设备进行IPSec SA协商的动作。
所述设备根据所述IPSec报文转发表项对报文进行加密封装并转发出去包括:
设备要转发一个单播报文,根据报文的目的IP地址查找单播路由表项,将单播路由表项中的下一跳与IPSec报文转发表项中的对端设备的IPSec SA接口的IP地址匹配,若匹配上,则根据IPSec报文转发表项中的IPSec连接标识查找到IPSec SA,使用该IPSec SA对该报文进行加密封装后转发出去;
或者,设备要转发一个组播报文或广播报文,则根据各IPSec报文转发表项中的IPSec连接标识查找到IPSec SA,分别使用各IPSec SA对该报文进行加密封装,将各封装后的报文通过各自的IPSec隧道转发出去。
所述非第一设备不具有固定公网IP地址,且所有非第一设备具有一个通用IKE本地名,
所述方法进一步包括:在第一设备上配置IPSec对等体信息为所有非第一设备的通用IKE本地名。
所述组网为一对多的组网,所述第一设备为中心设备。
所述方法进一步包括:中心设备的IPSec SA接口上始发报文,在自身查找已建立的IPSec SA,判断是否查找到,若是,分别采用各IPSec SA对报文加密封装,将封装后的各报文通过各自的IPSec隧道发送出去;否则,丢弃该报文。
所述IPSec报文转发表项进一步包括:IPSec本端地址、IPSec对端地址、本端IPSec SA地址,其中,IPSec本端地址为本设备的公网IP地址,IPSec对端地址为对端设备的公网IP地址,本端IPSec SA地址为本设备的IPSec SA接口的IP地址。
一种IPSec报文转发装置,应用在IPSec对等体具有固定公网IP地址的设备上,该装置包括:
IPSec接口配置模块,在本设备上增加一个IPSec SA接口,将该IPSec SA接口与公网接口绑定,该IPSec SA接口的IP地址与IPSec对等体的IPSec SA接口的IP地址处于同一网段内,在本设备上配置的IPSec对等体信息为对端设备的固定公网IP地址,在本设备的IPSec SA接口上启用动态路由协议;
IPSec协商模块,发现IPSec SA接口上始发报文,与对端设备进行IPSec SA协商,协商成功,建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;
报文转发模块,将要发送一个报文,根据IPSec协商模块建立的所述IPSec报文对报文进行加密封装并转发出去。
所述报文转发模块包括:
表项查找模块,将要发送一个报文,若为单播报文,则根据报文的目的IP地址查找单播路由表项,将单播路由表项中的下一跳与IPSec报文转发表项中的对端设备的IPSec SA接口的IP地址匹配,若匹配上,将IPSec报文转发表项中的IPSec连接标识发送给封装模块;若为组播或广播报文,则将所有IPSec报文转发表项中的IPSec连接标识发送给封装模块;
封装模块,根据IPSec连接标识找到IPSec SA,使用找到的IPSec SA对报文进行加密封装,将封装后的报文通过对应的IPSec隧道发送出去。
一种IPSec报文转发装置,应用在具有固定公网IP地址的设备上,该装置包括:
IPSec接口配置模块,在本设备上增加一个IPSec SA接口,将该IPSec SA接口与公网接口绑定,该IPSec SA接口的IP地址与IPSec对等体的IPSec SA接口的IP地址处于同一网段内,在本设备上配置的IPSec对等体信息为对端设备的IKE本地名,在本设备的IPSec SA接口上启用动态路由协议;
IPSec协商模块,接收对端设备发来的IPSec协议报文,与对端设备进行IPSec SA协商,协商成功,建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;
报文转发模块,将要发送一个报文,根据IPSec协商模块建立的所述IPSec报文转发表项对报文进行加密封装并转发出去。
所述报文转发模块进一步用于,从IPSec SA接口上始发报文,查找本设备已建立的IPSec SA,判断是否查找到,若是,分别采用各IPSec SA对报文加密封装,将封装后的各报文通过各自的IPSec隧道发送出去;否则,丢弃该报文。
与现有技术相比,本发明对于至少包含两个设备且第一设备具有固定公网IP地址的组网,在每个设备上增加一个IPSec SA接口,将每个设备的IPSec SA接口与公网接口绑定,为每个IPSec SA接口分配处于同一网段的私网IP地址;在非第一设备上配置的IPSec对等体信息为第一设备的公网IP地址,在每个设备的IPSec SA接口上启用动态路由协议;当非第一设备的IPSec SA接口上始发报文时,与第一设备进行IPSec SA协商,协商成功,双方设备建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;设备根据所述IPSec报文转发表项转发报文。本发明适用于动态路由协议和组播协议,且对于一端设备的公网IP地址是动态获取的或者网络中包含NAT设备的情况,都可以建立IPSec连接,扩大了IPSec隧道的应用范围;
另外,本发明中,将具有公网IP地址的设备上的IPSec对等体信息配置为对端设备的通用IKE本地名,这样,对于一对多的组网,只需在中心设备上配置一个IPSec SA接口即可。
附图说明
图1为现有的基于ACL的IPSec组网图;
图2为现有的镜像配置ACL的示例图;
图3为现有的静态VTI的组网图;
图4为本发明实施例一提供的IPSec报文转发流程图;
图5为本发明实施例一的应用示例图;
图6为本发明实施例二提供的IPSec报文转发流程图;
图7为本发明实施例二的应用示例图;
图8为本发明实施例提供的IPSec报文转发装置的组成图;
图9为本发明实施例提供的报文转发模块的组成图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图4为本发明实施例一提供的IPSec报文转发流程图,本实施例针对的是一对一的组网情形,即:对于一个设备A来说,其只有一个IPSec对等体:设备B,且,设定设备B具有固定公网IP地址,如图4所示,其具体步骤如下:
步骤401:分别在设备A、B上新增加一个IPSec SA接口,分别为设备A、B的IPSec SA接口分配处于同一网段的私网IP地址,将设备A、B的IPSec SA接口与公网接口绑定,在设备A、B的IPSec SA接口上启用动态路由协议,在设备A上配置IPSec对等体信息为设备B的公网IP地址,在设备B上配置IPSec对等体信息为设备A的IKE本地名(IKE Local Name),在设备A、B的IPSec SA接口上配置IPSec提议。
IPSec SA接口实际上为一个虚拟接口,将其与公网接口绑定后,公网接口接收到的或者要发送的报文都会转到该IPSec SA接口上来处理。
图5为本发明实施例一的一个应用示例,如图5所示,设定设备B的公网IP地址为1.2.1.1,设定设备A的IPSec SA接口的IP地址为192.168.0.1,设定设备B的IPSec SA接口的IP地址为192.168.0.2。
步骤402:设备A的IPSec SA接口始发一个报文。
由于设备A的IPSec SA接口启用了动态路由协议,因此,设备A的IPSecSA接口上始发的报文或者为组播报文或者为广播报文。
步骤403:设备A判断自身是否建立了IPSec SA信息,若是,执行步骤407;否则,执行步骤404。
步骤404:设备A查找自身配置的IPSec对等体信息,发起一个IPSec协商报文,该报文的目的IP地址为IPSec对等体信息即:设备B的公网IP地址。
步骤405:设备B接收该报文,发现该报文为IPSec协商报文,与设备A进行IPSec SA协商过程。
步骤406:IPSec SA协商成功,设备A和设备B建立IPSec SA信息和IPSec报文转发表项。
IPSec SA信息主要包括:接口标识;路径MTU;IPSec策略名称;IPSec连接ID;封装模式;隧道信息包括:本端地址、对端地址;流信息包括:源地址、源端口号、源协议类型、目的地址、目的端口号、目的协议类型;等等。
设定本实施例中,设备A和设备B协商的IPSec连接ID为50,设定设备A、B的组网如图5所示,则本实施例中,设备A上建立的IPSec SA信息如下:
接口标识:IPSec SA;路径MTU:1500;IPSec策略名称:“IPSec SA1”;IPSec连接ID:50;封装模式:隧道;隧道信息:本端地址:1.1.1.1,对端地址:1.2.1.1;流信息:源地址:0.0.0.0/255.255.255.255,源端口号:0,协议类型:IP,目的地址:0.0.0.0/255.255.255.255,目的端口号:0,协议类型:IP。
其中,源地址:0.0.0.0/255.255.255.255,源端口号:0,目的地址:0.0.0.0/255.255.255.255,目的端口号:0,用于表示对所有流都加密。
设备B上建立的IPSec SA信息与设备A的不同之处如下:
本端地址:1.2.1.1,对端地址:1.1.1.1。
IPSec报文转发表项包括:IPSec连接ID,IPSec本端地址,IPSec对端地址,本端IPSec SA地址,对端IPSec SA地址。
则设备A上建立的IPSec报文转发表项如下:
IPSec连接ID:50,IPSec本端地址:1.1.1.1,IPSec对端地址:1.2.1.1,本端IPSec SA地址:192.168.0.1,对端IPSec SA地址:192.168.0.2。
设备B上建立的IPSec报文转发表项如下:
连接标识:50,IPSec本端地址:1.2.1.1,IPSec对端地址:1.1.1.1,本端IPSec SA地址:192.168.0.2,对端IPSec SA地址:192.168.0.1。
步骤407:设备A根据自身建立的IPSec SA信息,对IPSec SA接口上始发的报文进行加密封装后发送给设备B。
步骤408:设备B接收报文,对该报文进行隧道解封装、解密处理。
步骤409:设备A和设备B通过已建立的IPSec隧道交互动态路由协议报文,建立单播路由表项。
IPSec SA协商成功,设备A、B之间的IPSec隧道建立。
单播路由表项包括:目的地址/掩码,协议类型,优先级、路径消耗、下一跳、接口标识。
设定设备A、B的组网如图5所示,设备A上建立的单播路由表项为:目的地址/掩码:10.2.1.1/24,协议类型:开放最短路径优先(OSPF,OpenShortest Path First),优先级:10,路径消耗:11,下一跳:192.168.0.2,接口标识:IPSec SA。
设备B上建立的单播路由表项为:目的地址/掩码:10.1.1.1/24,协议类型:OSPF,优先级:10,路径消耗:11,下一跳:192.168.0.1,接口标识:IPSec SA。
步骤410:设备A要转发单播数据报文,或者要从自身的非IPSec SA接口始发单播数据报文,在自身查找与报文的目的IP地址对应的单播路由表项。
步骤411:设备A判断是否查找到,若是,执行步骤413;否则,执行步骤412。
步骤412:设备A将报文丢弃,本流程结束。
步骤413:设备A发现单播路由表项中的接口为IPSec SA,则根据单播路由表项中的下一跳查找IPSec报文转发表项。
步骤414:设备A根据IPSec报文转发表项中的IPSec连接ID,查找到IPSec SA,采用该IPSec SA对报文进行加密封装后发送给设备B。
步骤415:设备B接收报文,对该报文进行隧道解封装、解密处理。
同样,设备B要转发单播数据报文,或者要从自身的非IPSec SA接口始发单播数据报文时,也要在自身查找与报文的目的IP地址对应的单播路由表项,若未查找到,则丢弃;若查找到,且发现单播路由表项中的接口为IPSec SA,则根据单播路由表项中的下一跳查找IPSec报文转发表项,然后根据IPSec报文转发表项中的IPSec连接ID,查找到IPSec SA,采用该IPSecSA对报文进行加密封装后发送给设备A。
若设备A、B要转发组播报文或广播报文,则直接查找自身建立的IPSec报文转发表项,根据每一个IPSec报文转发表项中的IPSec连接ID,分别找到对应的IPSec SA,分别使用每一个IPSec SA对报文进行加密封装,将得到的每个报文分别通过各自的IPSec隧道转发出去。即:对于设备A,若设备A建立了m(m为整数且m≥1)条IPSec报文转发表项,则设备A会分别使用m个IPSec SA对报文进行加密封装,得到m个加密后的隧道报文,将每个隧道报文通过各自的IPSec隧道发送出去。
另外,对于设备B来说,当设备B的IPSec SA接口上始发第一个报文时,若此时设备B还未与任何设备IPSec协商成功,即,设备B上还未保存任何IPSec SA信息,则由于设备B配置的IPSec对等体信息为设备A的IKE本地名而非一个固定的公网IP地址,设备B无法触发IPSec SA协商,因此,此时设备B会将该报文丢弃。
从图4所示实施例可以看出,对于设备A、B,只要有一方具有固定公网IP地址,就可建立IPSec连接。例如:设备B具有固定公网IP地址,设备A只具有私网IP地址或者其公网IP地址是动态获取的,则在设备A上配置的IPSec对等体信息为:设备B的公网IP地址,而在设备B上配置的IPSec对等体信息为设备A的IKE本地名即可,由于设备A的IPSec SA接口上启动了动态路由协议,这样,设备A的IPSec SA接口上始发的报文就会触发IPSec协商过程,促使设备A、B之间建立IPSec隧道。可见,本发明实施例一在一端设备的公网地址是动态获取的、或者网络中存在NAT设备的情况下,都可以建立IPSec隧道。
图6为本发明实施例二提供的IPSec报文转发流程图,本实施例针对的是一对多的组网情形,即:对于一个设备B来说,其具有多个IPSec对等体,将设备B称为中心设备,将设备B的各IPSec对等体称为分设备,且,中心设备具有固定公网IP地址,所有分设备具有一个通用IKE本地名,如图6所示,其具体步骤如下:
步骤601:在中心设备B和每个分设备上分别新增加一个IPSec SA接口,分别为每个IPSec SA接口分配处于同一网段的私网IP地址,将每个设备的IPSec SA接口与公网接口绑定,在每个设备的IPSec SA接口上启用动态路由协议,在每个分设备上配置的IPSec对等体信息为中心设备的公网IP地址,在中心设备B上配置的IPSec对等体信息为分设备的通用IKE本地名,在每个设备的IPSec SA接口上配置IPSec提议。
所有分设备具有一个通用IKE本地名,该通用IKE本地名可以预先设定。
步骤602:一个分设备(设为设备A)的IPSec SA接口始发一个报文。
由于分设备的IPSec SA接口上启用了动态路由协议,因此,分设备的IPSec SA接口上发出的报文或者为组播报文或者为广播报文。
步骤603:分设备A判断自身是否建立了IPSec SA信息,若是,执行步骤607;否则,执行步骤604。
步骤604:分设备A查找自身配置的IPSec对等体信息,发起一个IPSec协商报文,报文的目的IP地址为IPSec对等体信息即:中心设备B的公网IP地址,协议类型为:IPSec。
步骤605:中心设备B接收该报文,发现该报文为IPSec协商报文,与分设备A进行IPSec SA协商过程。
步骤606:IPSec SA协商成功,分设备A和中心设备B建立IPSec SA信息和IPSec报文转发表项。
设定设备A、B的组网如图7所示,则设备A、B上建立的IPSec SA信息、IPSec报文转发表项与步骤406相同。
步骤607:分设备A根据自身建立的IPSec SA信息,对IPSec SA接口上始发的报文进行加密封装后发送给中心设备B。
步骤608:中心设备B接收报文,对该报文进行隧道解封装、解密处理。
步骤609:分设备A和中心设备B通过已建立的IPSec隧道交互动态路由协议报文,建立单播路由表项。
设定设备A、B的组网如图7所示,则设备A、B上建立的单播路由表项与步骤409相同。
步骤610:一个分设备C要转发单播数据报文,或者要从非IPSec SA接口始发单播数据报文,在自身查找与报文的目的IP地址对应的单播路由表项。
步骤611:分设备C判断是否查找到,若是,执行步骤613;否则,执行步骤612。
步骤612:分设备C将报文丢弃,本流程结束。
步骤613:分设备C发现单播路由表项中的接口为IPSec SA,则根据表项中的下一跳查找IPSec报文转发表项。
步骤614:分设备C根据IPSec报文转发表项中的IPSec连接ID,查找到IPSec SA,采用该IPSec SA对报文进行加密封装后发送给中心设备B。
步骤615:中心设备B接收报文,对该报文进行隧道解封装、解密处理。
可见,对于每个分设备来说,该分设备上只会建立一条IPSec报文转发表项和一条IPSec SA信息,而对于中心设备来说,针对每台分设备,该中心设备会建立一条IPSec报文转发表项和一条IPSec SA信息。
当中心设备要转发单播数据报文,或者从自身的非IPSec SA接口上始发单播数据报文时,查找与该报文的目的IP地址对应的单播路由表项,若发现单播路由表项中的接口为IPSec SA,则根据单播路由表项中的下一跳查找IPSec报文转发表项,根据IPSec报文转发表项中的IPSec连接ID,查找到对应的IPSec SA信息,根据该IPSec SA信息对报文进行加密封装后发送出去。
若中心设备和任意一个分设备要转发组播报文或广播报文,则直接查找自身建立的IPSec报文转发表项,根据每一个IPSec报文转发表项中的IPSec连接ID,分别找到对应的IPSec SA,分别使用每一个IPSec SA对报文进行加密封装,将得到的每个报文分别通过各自的IPSec隧道转发出去。即:对于设备B,若设备B建立了m(m为整数且m≥1)条IPSec报文转发表项,则设备B会分别使用m个IPSec SA对报文进行加密封装,得到m个加密后的隧道报文,将每个隧道报文通过各自的IPSec隧道发送出去。
另外,对于中心设备B来说,当设备B的IPSec SA接口上始发第一个报文时,若此时设备B还未与任何分设备IPSec协商成功,即,设备B上还未保存任何IPSec SA信息,则由于设备B配置的IPSec对等体信息为设备A的IKE本地名,设备B无法触发IPSec SA协商,因此,此时设备B会将该报文丢弃。
从图6所示实施例可以看出:对于一对多的组网,由于中心设备上配置的IPSec对等体信息为:所有分设备的通用IKE本地名,因此,中心设备上只需建立一个IPSec SA接口即可。
从图4、6所示实施例可以看出:本发明同样适用于两端设备都具有固定的公网IP地址的情形,此时,任意一端设备都可以发起IPSec协商过程。
图7为本发明具体实施例二的一个应用示例,如图7所示,设备B为中心设备,其固定公网IP地址为:1.2.1.1,设备A、C为分设备,在设备A、B、C上分别增加一个IPSec SA接口,将设备A、B、C的IPSec SA接口分别与公网接口绑定,设定设备A、B、C的IPSec SA接口的IP地址为:192.168.0.1、192.168.0.2、192.168.0.3,在设备A、C上配置的IPSec对等体信息为:设备B的公网IP地址,在设备B上配置的IPSec对等体信息为:设备A、C的通用IKE本地名,
在设备A、B、C上的IPSec SA接口上启动动态路由协议,则设备A的IPSec SA接口上始发第一个组播报文或广播报文时,设备A、B开始IPSec SA协商过程,协商成功,设备A、B上建立IPSec SA信息和IPSec报文转发表项,此后,设备A、B交互动态路由协议报文,建立单播路由表项;同样,当设备C的IPSec SA接口上始发第一个组播报文或广播报文时,设备C与设备B开始IPSec SA协商过程,协商成功,设备C、B上建立IPSec SA信息和IPSec报文转发表项,此后,设备C、B交互动态路由协议报文,建立单播路由表项。
设备A上建立的IPSec SA信息如下:
接口标识:IPSec SA,路径MTU:1500,IPSec策略名称:“IPSec SA1”,IPSec连接ID:50,封装模式:隧道,隧道本端地址:1.1.1.1,对端地址:1.2.1.1,流:源地址:0.0.0.0/255.255.255.255,源端口号:0,协议类型:IP,目的地址:0.0.0.0/255.255.255.255,目的端口号:0,协议类型:IP。
设备A上建立的IPSec报文转发表项如下:
IPSec连接ID:50,IPSec本端地址:1.1.1.1,IPSec对端地址:1.2.1.1,本端IPSec SA地址:192.168.0.1,对端IPSec SA地址:192.168.0.2。
设备A上建立的单播路由表项如下:
目的地址/掩码:10.1.1.1/24,协议号:OSPF,优先级:10,路径消耗:11,下一跳:192.168.0.2,接口标识:IPSec SA。
设备C上建立的IPSec SA信息如下:
接口标识:IPSec SA,路径MTU:1500,IPSec策略名称:“IPSec SA1”,IPSec连接ID:51,封装模式:隧道,隧道本端地址:1.3.1.1,隧道对端地址:1.2.1.1,流:源地址:0.0.0.0/255.255.255.255,源端口号:0,协议类型:IP,目的地址:0.0.0.0/255.255.255.255,目的端口号:0,协议类型:IP。
设备C上建立的IPSec报文转发表项如下:
IPSec连接ID:51,IPSec本端地址:1.3.1.1,IPSec对端地址:1.2.1.1,本端IPSec SA地址:192.168.0.3,对端IPSec SA地址:192.168.0.2。
设备C上建立的单播路由表项如下:
目的地址/掩码:10.3.1.1/24,协议号:OSPF,优先级:10,路径消耗:11,下一跳:192.168.0.2,接口标识:IPSec SA。
设备B上建立了两条IPSec SA信息,分别为:
接口标识:IPSec SA,路径MTU:1500,IPSec策略名称:“IPSec SA1”,IPSec连接ID:50,封装模式:隧道,隧道本端地址:1.2.1.1,对端地址:1.1.1.1,流:源地址:0.0.0.0/255.255.255.255,源端口号:0,协议类型:IP,目的地址:0.0.0.0/255.255.255.255,目的端口号:0,协议类型:IP。
接口标识:IPSec SA,路径MTU:1500,IPSec策略名称:“IPSec SA1”,IPSec连接ID:51,封装模式:隧道,隧道本端地址:1.2.1.1,对端地址:1.3.1.1,流:源地址:0.0.0.0/255.255.255.255,源端口号:0,协议类型:IP,目的地址:0.0.0.0/255.255.255.255,目的端口号:0,协议类型:IP。
设备B上建立两条IPSec报文转发表项,分别如下:
IPSec连接ID:50,IPSec本端地址:1.2.1.1,IPSec对端地址:1.1.1.1,本端IPSec SA地址:192.168.0.2,对端IPSec SA地址:192.168.0.1。
IPSec连接ID:51,IPSec本端地址:1.2.1.1,IPSec对端地址:1.3.1.1,本端IPSec SA地址:192.168.0.2,对端IPSec SA地址:192.168.0.3。
设备B上建立两条单播路由表项,分别如下:
目的地址/掩码:10.1.1.1/24,协议号:OSPF,优先级:10,路径消耗:11,下一跳:192.168.0.1,接口标识:IPSec SA。
目的地址/掩码:10.3.1.1/24,协议号:OSPF,优先级:10,路径消耗:11,下一跳:192.168.0.3,接口标识:IPSec SA。
当设备A要转发一个单播数据报文时,先查单播路由表项,发现接口标识为IPSec SA,则根据单播路由表项中的下一跳:192.168.0.2,在IPSec报文转发表项中查找到IPSec连接ID:50,然后使用50对应的IPSec SA对报文进行加密封装后发送出去。
当设备B的IPSec SA接口上始发一个报文时,设备B先看自身是否保存了IPSec SA信息,若保存了,则分别采用每个IPSec SA对该报文进行加密封装,然后通过各自的IPSec隧道发送出去。即:若设备B上针对设备A、C分别建立了IPSec SA,则设备B先采用设备A对应的IPSec SA对报文进行加密封装后通过设备B、A之间的IPSec隧道发送出去,然后采用设备C对应的IPSec SA对报文进行加密封装后通过设备B、C之间的IPSec隧道发送出去。
当设备B要转发一个单播数据报文或者从非IPSec SA接口上始发一个单播数据报文时,设备B先根据目的IP地址查找单播路由表项,若发现单播路由表项中的接口为IPSec SA,则根据单播路由表项中的下一跳查找IPSec报文转发表项,然后根据IPSec报文转发表项中的IPSec连接ID,使用该IPSec连接ID对应的IPSec SA对报文进行加密封装后发送出去。
图8为本发明实施例提供的IPSec报文转发装置的组成图,该装置应用在IPSec对等体具有固定公网IP地址的设备上,如图8所示,其主要包括:IPSec接口配置模块81、IPSec协商模块82和报文转发模块83,其中:
IPSec接口配置模块81:在本设备上增加一个IPSec SA接口,将该IPSec SA接口与公网接口绑定,为该IPSec-SA接口分配私网IP地址,该私网IP地址与IPSec对等体的IPSec SA接口的私网IP地址处于同一网段内,在本设备上配置的IPSec对等体信息为对端设备的固定公网IP地址,在本设备的IPSec SA接口上启用动态路由协议,在该IPSec SA接口上配置IPSec提议,将IPSec SA接口的配置信息发送给IPSec协商模块82。
IPSec协商模块82:当发现IPSec SA接口上始发一个报文时,判断自身是否建立了IPSec SA信息,若是,分别使用各IPSec SA信息对报文进行加密封装,将封装后的各报文通过各自的IPSec隧道转发给对端设备;否则,与对端设备进行IPSec SA协商,协商成功,建立IPSec SA信息和IPSec报文转发表项,所述IPSec报文转发表项包括:IPSec连接ID,IPSec本端地址,IPSec对端地址,本端IPSec SA地址,对端IPSec SA地址,使用建立的IPSec SA信息对IPSecSA接口上始发的报文进行加密封装后发送给对端设备。
报文转发模块83:将要发送一个报文,根据IPSec协商模块82建立的所述IPSec报文转发表项转发该报文。
如图9所示,报文转发模块83可包括:表项查找模块831和封装模块832,其中:
表项查找模块831:将要发送一个报文,若为单播报文,则根据报文的目的IP地址查找单播路由表项,根据单播路由表项中的下一跳查找IPSec报文转发表项,将IPSec报文转发表项中的IPSec连接ID发送给封装模块832;若为组播或广播报文,则将所有IPSec报文转发表项中的IPSec连接ID发送给封装模块832。
封装模块832:根据表项查找模块831发来的IPSec连接ID找到IPSec SA,使用找到的IPSec SA对报文进行加密封装,将封装后的报文通过对应的IPSec隧道发送出去。
以下为本发明实施例提供的另一IPSec报文转发装置,该装置应用在具有固定公网IP地址的设备上,其主要包括:
IPSec接口配置模块:在本设备上增加一个IPSec SA接口,将该IPSec SA接口与公网接口绑定,为该IPSec SA接口分配私网IP地址,该私网IP地址与IPSec对等体的IPSec SA接口的私网IP地址处于同一网段内,在本设备上配置的IPSec对等体信息为对端设备的IKE本地名,在本设备的IPSec SA接口上启用动态路由协议,在IPSec SA接口上配置IPSec提议,将IPSec SA接口的配置信息发送给IPSec协商模块。
IPSec协商模块:接收对端设备发来的IPSec协议报文,与对端设备进行IPSec SA协商,协商成功,建立IPSec SA信息和IPSec报文转发表项,所述IPSec报文转发表项包括:IPSec连接ID,IPSec本端地址,IPSec对端地址,本端IPSecSA地址,对端IPSec SA地址。
报文转发模块:从IPSec SA接口上始发报文,查找本设备已建立的IPSecSA,判断是否查找到,若是,分别采用各IPSec SA对报文加密封装,将封装后的各报文通过各自的IPSec隧道发送出去;否则,丢弃该报文;将要转发一个单播报文或者从自身的非IPSec SA接口上始发单播数据报文时,查找与该报文的目的IP地址对应的单播路由表项,若发现单播路由表项中的接口为IPSec SA,则根据单播路由表项中的下一跳查找IPSec协商模块建立的IPSec报文转发表项,根据IPSec报文转发表项中的IPSec连接ID,查找到对应的IPSec SA信息,根据该IPSec SA信息对报文进行加密封装后发送出去;要转发组播报文或广播报文,则直接查找IPSec协商模块建立的IPSec报文转发表项,根据每一个IPSec报文转发表项中的IPSec连接ID,分别找到对应的IPSec SA,分别使用每一个IPSec SA对报文进行加密封装,将得到的每个报文分别通过各自的IPSec隧道转发出去。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1、一种IP安全报文转发方法,应用在至少包含两个设备的组网中,其中,第一设备具有固定公网IP地址,其特征在于,在每个设备上增加一个IP安全联盟IPSec SA接口,为每个IPSec SA接口分配处于同一网段的IP地址;将每个设备的IPSec SA接口与公网接口绑定,在非第一设备上配置的IPSec对等体信息为第一设备的公网IP地址,在每个设备的IPSec SA接口上启用动态路由协议;该方法包括:
非第一设备的IPSec SA接口上始发报文,与第一设备进行IPSec SA协商,协商成功,双方设备建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;
设备根据所述IPSec报文转发表项对报文进行加密封装并转发出去。
2、如权利要求1所述的方法,其特征在于,所述非第一设备的IPSec SA接口上始发报文之后、与第一设备进行IPSec协商之前进一步包括:
非第一设备判断自身是否已建立IPSec SA,若是,直接采用该IPSec SA对报文加密封装后发送出去;否则,执行所述与第一设备进行IPSec SA协商的动作。
3、如权利要求1或2所述的方法,其特征在于,所述设备根据所述IPSec报文转发表项对报文进行加密封装并转发出去包括:
设备要转发一个单播报文,根据报文的目的IP地址查找单播路由表项,将单播路由表项中的下一跳与IPSec报文转发表项中的对端设备的IPSec SA接口的IP地址匹配,若匹配上,则根据IPSec报文转发表项中的IPSec连接标识查找到IPSec SA,使用该IPSec SA对该报文进行加密封装后转发出去;
或者,设备要转发一个组播报文或广播报文,则根据各IPSec报文转发表项中的IPSec连接标识查找到IPSec SA,分别使用各IPSec SA对该报文进行加密封装,将各封装后的报文通过各自的IPSec隧道转发出去。
4、如权利要求1或2所述的方法,其特征在于,所述非第一设备不具有固定公网IP地址,且所有非第一设备具有一个通用IKE本地名,
所述方法进一步包括:在第一设备上配置IPSec对等体信息为所有非第一设备的通用IKE本地名。
5、如权利要求1或2所述的方法,其特征在于,所述组网为一对多的组网,所述第一设备为中心设备。
6、如权利要求5所述的方法,其特征在于,所述方法进一步包括:中心设备的IPSec SA接口上始发报文,在自身查找已建立的IPSec SA,判断是否查找到,若是,分别采用各IPSec SA对报文加密封装,将封装后的各报文通过各自的IPSec隧道发送出去;否则,丢弃该报文。
7、如权利要求1或2所述的方法,其特征在于,所述IPSec报文转发表项进一步包括:IPSec本端地址、IPSec对端地址、本端IPSec SA地址,其中,IPSec本端地址为本设备的公网IP地址,IPSec对端地址为对端设备的公网IP地址,本端IPSec SA地址为本设备的IPSec SA接口的IP地址。
8、一种IPSec报文转发装置,应用在IPSec对等体具有固定公网IP地址的设备上,其特征在于,该装置包括:
IPSec接口配置模块,在本设备上增加一个IPSec SA接口,将该IPSec SA接口与公网接口绑定,该IPSec SA接口的IP地址与IPSec对等体的IPSec SA接口的IP地址处于同一网段内,在本设备上配置的IPSec对等体信息为对端设备的固定公网IP地址,在本设备的IPSec SA接口上启用动态路由协议;
IPSec协商模块,发现IPSec SA接口上始发报文,与对端设备进行IPSec SA协商,协商成功,建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;
报文转发模块,将要发送一个报文,根据IPSec协商模块建立的所述IPSec报文对报文进行加密封装并转发出去。
9、如权利要求8所述的装置,其特征在于,所述报文转发模块包括:
表项查找模块,将要发送一个报文,若为单播报文,则根据报文的目的IP地址查找单播路由表项,将单播路由表项中的下一跳与IPSec报文转发表项中的对端设备的IPSec SA接口的IP地址匹配,若匹配上,将IPSec报文转发表项中的IPSec连接标识发送给封装模块;若为组播或广播报文,则将所有IPSec报文转发表项中的IPSec连接标识发送给封装模块;
封装模块,根据IPSec连接标识找到IPSec SA,使用找到的IPSec SA对报文进行加密封装,将封装后的报文通过对应的IPSec隧道发送出去。
10、一种IPSec报文转发装置,应用在具有固定公网IP地址的设备上,其特征在于,该装置包括:
IPSec接口配置模块,在本设备上增加一个IPSec SA接口,将该IPSec SA接口与公网接口绑定,该IPSec SA接口的IP地址与IPSec对等体的IPSec SA接口的IP地址处于同一网段内,在本设备上配置的IPSec对等体信息为对端设备的IKE本地名,在本设备的IPSec SA接口上启用动态路由协议;
IPSec协商模块,接收对端设备发来的IPSec协议报文,与对端设备进行IPSec SA协商,协商成功,建立IPSec报文转发表项,所述IPSec报文转发表项至少包括:IPSec连接标识、对端设备的IPSec SA接口的IP地址;
报文转发模块,将要发送一个报文,根据IPSec协商模块建立的所述IPSec报文转发表项对报文进行加密封装并转发出去。
11、如权利要求10所述的装置,其特征在于,所述报文转发模块进一步用于,从IPSec SA接口上始发报文,查找本设备已建立的IPSec SA,判断是否查找到,若是,分别采用各IPSec SA对报文加密封装,将封装后的各报文通过各自的IPSec隧道发送出去;否则,丢弃该报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100802302A CN101499972B (zh) | 2009-03-16 | 2009-03-16 | Ip安全报文转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100802302A CN101499972B (zh) | 2009-03-16 | 2009-03-16 | Ip安全报文转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101499972A true CN101499972A (zh) | 2009-08-05 |
| CN101499972B CN101499972B (zh) | 2012-01-11 |
Family
ID=40946858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100802302A Expired - Fee Related CN101499972B (zh) | 2009-03-16 | 2009-03-16 | Ip安全报文转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101499972B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102164090A (zh) * | 2011-05-13 | 2011-08-24 | 杭州华三通信技术有限公司 | 基于通用路由封装隧道的报文转发的方法、系统及设备 |
| CN102447674A (zh) * | 2010-10-08 | 2012-05-09 | 中兴通讯股份有限公司 | 一种安全协商的方法及装置 |
| WO2012097523A1 (zh) * | 2011-01-21 | 2012-07-26 | 华为技术有限公司 | 数据流控制处理方法、装置及系统 |
| CN102694738A (zh) * | 2012-06-15 | 2012-09-26 | 北京傲天动联技术有限公司 | 在虚拟专用网网关转发报文的方法以及虚拟专用网网关 |
| CN103516574A (zh) * | 2013-09-26 | 2014-01-15 | 汉柏科技有限公司 | 通过虚接口对报文加密的方法 |
| CN104168106A (zh) * | 2013-05-20 | 2014-11-26 | 鸿富锦精密工业(深圳)有限公司 | 数据传输系统、数据发送终端及数据接收终端 |
| WO2015027910A1 (en) * | 2013-08-30 | 2015-03-05 | Hangzhou H3C Technologies Co., Ltd. | Implementing network communication |
| WO2016202006A1 (zh) * | 2015-06-17 | 2016-12-22 | 中兴通讯股份有限公司 | Ike协商控制方法、装置和系统 |
| CN106992917A (zh) * | 2017-03-03 | 2017-07-28 | 新华三技术有限公司 | 报文转发方法和装置 |
| CN109428868A (zh) * | 2017-08-31 | 2019-03-05 | 中兴通讯股份有限公司 | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 |
| CN110113202A (zh) * | 2019-04-30 | 2019-08-09 | 新华三信息安全技术有限公司 | 一种IPsec诊断方法、装置及本端设备 |
| CN111869168A (zh) * | 2017-11-20 | 2020-10-30 | 马科网络(新西兰)有限公司 | 用于传送数据的方法和系统 |
| CN113438178A (zh) * | 2021-06-22 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、计算机设备和存储介质 |
| CN114124511A (zh) * | 2021-11-17 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 一种ipsec协商方法、网络设备及可读存储介质 |
| CN114553633A (zh) * | 2020-11-10 | 2022-05-27 | 华为技术有限公司 | 隧道协商方法及装置 |
| CN115242552A (zh) * | 2022-09-21 | 2022-10-25 | 北京中科网威信息技术有限公司 | 基于ipsec的报文转发方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1150718C (zh) * | 2001-06-29 | 2004-05-19 | 华为技术有限公司 | 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法 |
| US7602919B2 (en) * | 2005-03-16 | 2009-10-13 | Magiq Technologies, Inc | Method of integrating QKD with IPSec |
| CN101163088B (zh) * | 2007-07-31 | 2010-09-15 | 杭州华三通信技术有限公司 | 组播数据的传输方法和设备 |
| CN101309273B (zh) * | 2008-07-16 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
-
2009
- 2009-03-16 CN CN2009100802302A patent/CN101499972B/zh not_active Expired - Fee Related
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447674A (zh) * | 2010-10-08 | 2012-05-09 | 中兴通讯股份有限公司 | 一种安全协商的方法及装置 |
| CN102447674B (zh) * | 2010-10-08 | 2016-06-29 | 中兴通讯股份有限公司 | 一种安全协商的方法及装置 |
| WO2012097523A1 (zh) * | 2011-01-21 | 2012-07-26 | 华为技术有限公司 | 数据流控制处理方法、装置及系统 |
| CN102907056A (zh) * | 2011-01-21 | 2013-01-30 | 华为技术有限公司 | 数据流控制处理方法、装置及系统 |
| CN102907056B (zh) * | 2011-01-21 | 2015-03-11 | 华为技术有限公司 | 数据流控制处理方法、装置及系统 |
| CN102164090B (zh) * | 2011-05-13 | 2013-12-25 | 杭州华三通信技术有限公司 | 基于通用路由封装隧道的报文转发的方法、系统及设备 |
| CN102164090A (zh) * | 2011-05-13 | 2011-08-24 | 杭州华三通信技术有限公司 | 基于通用路由封装隧道的报文转发的方法、系统及设备 |
| US8767712B2 (en) | 2011-05-13 | 2014-07-01 | Hangzhou H3C Technologies Co., Ltd. | Message forwarding using GRE tunneling protocol |
| CN102694738B (zh) * | 2012-06-15 | 2015-05-13 | 北京傲天动联技术股份有限公司 | 在虚拟专用网网关转发报文的方法以及虚拟专用网网关 |
| CN102694738A (zh) * | 2012-06-15 | 2012-09-26 | 北京傲天动联技术有限公司 | 在虚拟专用网网关转发报文的方法以及虚拟专用网网关 |
| CN104168106A (zh) * | 2013-05-20 | 2014-11-26 | 鸿富锦精密工业(深圳)有限公司 | 数据传输系统、数据发送终端及数据接收终端 |
| WO2015027910A1 (en) * | 2013-08-30 | 2015-03-05 | Hangzhou H3C Technologies Co., Ltd. | Implementing network communication |
| CN104426737A (zh) * | 2013-08-30 | 2015-03-18 | 杭州华三通信技术有限公司 | 一种实现动态虚拟专用网络链路层通信的方法和装置 |
| CN104426737B (zh) * | 2013-08-30 | 2018-01-12 | 新华三技术有限公司 | 一种实现动态虚拟专用网络链路层通信的方法和装置 |
| CN103516574A (zh) * | 2013-09-26 | 2014-01-15 | 汉柏科技有限公司 | 通过虚接口对报文加密的方法 |
| WO2016202006A1 (zh) * | 2015-06-17 | 2016-12-22 | 中兴通讯股份有限公司 | Ike协商控制方法、装置和系统 |
| CN106992917B (zh) * | 2017-03-03 | 2020-01-03 | 新华三技术有限公司 | 报文转发方法和装置 |
| CN106992917A (zh) * | 2017-03-03 | 2017-07-28 | 新华三技术有限公司 | 报文转发方法和装置 |
| CN109428868B (zh) * | 2017-08-31 | 2021-10-12 | 中兴通讯股份有限公司 | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 |
| CN109428868A (zh) * | 2017-08-31 | 2019-03-05 | 中兴通讯股份有限公司 | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 |
| CN111869168A (zh) * | 2017-11-20 | 2020-10-30 | 马科网络(新西兰)有限公司 | 用于传送数据的方法和系统 |
| CN110113202A (zh) * | 2019-04-30 | 2019-08-09 | 新华三信息安全技术有限公司 | 一种IPsec诊断方法、装置及本端设备 |
| CN110113202B (zh) * | 2019-04-30 | 2022-02-25 | 新华三信息安全技术有限公司 | 一种IPsec诊断方法、装置及本端设备 |
| CN114553633A (zh) * | 2020-11-10 | 2022-05-27 | 华为技术有限公司 | 隧道协商方法及装置 |
| CN114553633B (zh) * | 2020-11-10 | 2023-06-02 | 华为技术有限公司 | 隧道协商方法及装置 |
| CN113438178A (zh) * | 2021-06-22 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、计算机设备和存储介质 |
| CN113438178B (zh) * | 2021-06-22 | 2023-04-18 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、计算机设备和存储介质 |
| CN114124511A (zh) * | 2021-11-17 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 一种ipsec协商方法、网络设备及可读存储介质 |
| CN115242552A (zh) * | 2022-09-21 | 2022-10-25 | 北京中科网威信息技术有限公司 | 基于ipsec的报文转发方法及装置 |
| CN115242552B (zh) * | 2022-09-21 | 2022-12-13 | 北京中科网威信息技术有限公司 | 基于ipsec的报文转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101499972B (zh) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101499972B (zh) | Ip安全报文转发方法及装置 | |
| US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| WO2017181894A1 (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| US20050223111A1 (en) | Secure, standards-based communications across a wide-area network | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| CN101510889A (zh) | 一种获取动态路由的方法和设备 | |
| CN100502345C (zh) | 在IPsec隧道中传输组播的方法、分支节点和中心节点 | |
| CN113747434B (zh) | 一种基于IPSec的移动通信安全通信方法及装置 | |
| CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
| Liyanage et al. | Securing virtual private LAN service by efficient key management | |
| Liyanage et al. | A scalable and secure VPLS architecture for provider provisioned networks | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| CN101834722B (zh) | 一种加密设备和非加密设备混合组网的通信方法 | |
| Dubroca | MACsec: Encryption for the wired LAN | |
| US11095619B2 (en) | Information exchange for secure communication | |
| Lee et al. | Design of secure arp on MACsec (802.1 Ae) | |
| Salam et al. | DVB-RCS security framework for ULE-based encapsulation | |
| Shaheen et al. | Source specific centralized secure multicast scheme based on IPSec | |
| Baltatu et al. | IP security | |
| Jabalameli et al. | An add-on for security on concurrent multipath communication SCTP | |
| KIPRUTO | TERM PAPER: VPLS SECURITY |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120111 Termination date: 20200316 |