CN103152343B - 建立互联网安全协议虚拟专用网隧道的方法和网络设备 - Google Patents
建立互联网安全协议虚拟专用网隧道的方法和网络设备 Download PDFInfo
- Publication number
- CN103152343B CN103152343B CN201310068073.XA CN201310068073A CN103152343B CN 103152343 B CN103152343 B CN 103152343B CN 201310068073 A CN201310068073 A CN 201310068073A CN 103152343 B CN103152343 B CN 103152343B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- mark
- tunnel
- request message
- subnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种建立IPsec VPN隧道的方法和网络设备。该方法包括:第一网络设备向第二网络设备发送携带协商标识的协商请求消息,并接收返回的携带验证结果的协商响应消息,若验证结果表示验证通过,则向第二网络设备发送携带第一网络设备和第二网络设备所在的多个子网信息的标识的建立隧道请求消息,并接收返回的携带验证结果的响应消息,若验证结果表示协商成功,则将第一网络设备所在的多个子网信息与所请求建立的隧道的标识进行映射。本发明提供的建立IPsec VPN隧道的方法和网络设备,通过在建立隧道请求消息中携带第一和第二网络设备的标识,使得建立单条隧道就可以对应多对子网,减少了网络管理员的工作量以及网络流量。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种建立互联网安全协议虚拟专用网隧道的方法和网络设备。
背景技术
虚拟专用网(Virtual Private Network,简称VPN)技术通过在公共物理网络(通常为互联网Inetenet)上建立私有逻辑网络,使得位于不同局域网内的网络节点之间能够自由、安全地相互访问,如同位于同一个局域网中一样。
互联网安全协议(Internet Protocol Security,简称IPsec)是一个范围广泛、开放的VPN安全协议体系,包括网络认证(Authentication Header,简称AH)协议、封装安全载荷(Encapsulating Security Payload,简称ESP)协议、互联网密钥管理(Internet Key Exchange,简称IKE)协议等,IPsec协议可以在隧道模式或传输模式下运行。
互联网安全协议虚拟专用网IPsec VPN隧道的建立可以应用在网关和网关之间或者网关和移动客户端之间等,以网关和网关之间为例,即在两个网关之间通过IKE协议建立隧道,使得两个网关连接的两个不同的局域网内的网络节点之间可以通过该隧道自由、安全地相互访问。
现有技术中,在采用标准IKE协商建立IPsec VPN隧道的过程中,建立隧道的两个网元彼此交换各自的身份标识码(Identity,简称ID),ID可以使用标准IKE协商中规定格式的IP子网、IP地址或IP地址段等。
但现有技术至少存在如下缺陷:一条隧道只能保护一对IP子网、IP地址或IP地址段等,当建立隧道的两个网元之间有多对IP子网、IP地址或IP地址段等需要保护时,需建立多条隧道,增加了网络管理员的工作量,并且如果隧道启用了失效对等体检测(Dead Peer Detection,简称DPD)功能,即定时向建立隧道的两个网元发送数据包,探测其是否存活,则建立多条隧道增加了网络流量。
发明内容
本发明提供一种建立互联网安全协议虚拟专用网隧道的方法和网络设备,用以解决现有技术中存在的当建立隧道的两个网元之间有多对IP子网、IP地址或IP地址段等需要保护时,需建立多条隧道,增加了网络管理员的工作量以及网络流量的问题。
一方面,本发明提供了一种建立互联网安全协议虚拟专用网隧道的方法,包括:
第一网络设备向第二网络设备发送协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示建立隧道请求消息所请求建立的隧道对应所述第一网络设备所在的多个子网且对应所述第二网络设备所在的多个子网;
所述第一网络设备接收所述第二网络设备发送的对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第二网络设备根据所述协商标识进行验证的第一验证结果;
若所述第一验证结果表示验证通过,则所述第一网络设备向所述第二网络设备发送所述建立隧道请求消息,所述建立隧道请求消息中携带所述第一网络设备的标识和所述第二网络设备的标识,所述第一网络设备的标识用于标识所述第一网络设备所在的多个子网信息,所述第二网络设备的标识用于标识所述第二网络设备所在的多个子网信息;
所述第一网络设备接收所述第二网络设备发送的对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二网络设备根据所述第一网络设备的标识和所述第二网络设备的标识进行验证的第二验证结果;
若所述第二验证结果表示协商成功,则所述第一网络设备将所述第一网络设备和所述第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
另一方面,本发明还提供了一种建立互联网安全协议虚拟专用网隧道的方法,包括:
第二网络设备接收第一网络设备发送的协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示建立隧道请求消息所请求建立的隧道对应所述第一网络设备所在的多个子网且对应所述第二网络设备所在的多个子网;
所述第二网络设备根据所述协商标识进行验证,得到第一验证结果;
所述第二网络设备向所述第一网络设备发送对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第一验证结果;
若所述第一验证结果表示验证通过,则所述第二网络设备接收所述第一网络设备发送的所述建立隧道请求消息,所述建立隧道请求消息中携带所述第一网络设备的标识和所述第二网络设备的标识,所述第一网络设备的标识用于标识所述第一网络设备所在的多个子网信息,所述第二网络设备的标识用于标识所述第二网络设备所在的多个子网信息;
所述第二网络设备根据所述第一网络设备的标识和所述第二网络设备的标识进行验证,得到第二验证结果;所述第二网络设备向所述第一网络设备发送对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二验证结果;
若所述第二验证结果表示协商成功,则所述第二网络设备将所述第一网络设备和所述第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
另一方面,本发明还提供了一种网络设备,包括:
第一发送模块,用于向第二网络设备发送协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示建立隧道请求消息所请求建立的隧道对应所述网络设备所在的多个子网且对应所述第二网络设备所在的多个子网;
第一接收模块,用于接收所述第二网络设备发送的对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第二网络设备根据所述协商标识进行验证的第一验证结果;
第二发送模块,用于若所述第一验证结果表示验证通过,则向所述第二网络设备发送所述建立隧道请求消息,所述建立隧道请求消息中携带所述网络设备的标识和所述第二网络设备的标识,所述网络设备的标识用于标识所述网络设备所在的多个子网信息,所述第二网络设备的标识用于标识所述第二网络设备所在的多个子网信息;
第二接收模块,用于接收所述第二网络设备发送的对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二网络设备根据所述网络设备的标识和所述第二网络设备的标识进行验证的第二验证结果;
第一映射模块,用于若所述第二验证结果表示协商成功,则将所述网络设备和所述第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
另一方面,本发明还提供了一种网络设备,包括:
第三接收模块,用于接收第一网络设备发送的协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示建立隧道请求消息所请求建立的隧道对应所述第一网络设备所在的多个子网且对应所述网络设备所在的多个子网;
第一验证模块,用于根据所述协商标识进行验证,得到第一验证结果;
第三发送模块,用于向所述第一网络设备发送对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第一验证结果;
第四接收模块,用于若所述第一验证结果表示验证通过,则接收所述第一网络设备发送的所述建立隧道请求消息,所述建立隧道请求消息中携带所述第一网络设备的标识和所述网络设备的标识,所述第一网络设备的标识用于标识所述第一网络设备所在的多个子网信息,所述网络设备的标识用于标识所述网络设备所在的多个子网信息;
第二验证模块,用于根据所述第一网络设备的标识和所述网络设备的标识进行验证,得到第二验证结果;
第四发送模块,用于向所述第一网络设备发送对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二验证结果;
第二映射模块,用于若所述第二验证结果表示协商成功,则将所述第一网络设备和所述网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
本发明提供的建立互联网安全协议虚拟专用网隧道的方法和网络设备,通过在第一网络设备发送的建立隧道请求消息中,携带第一网络设备所在的多个子网信息的标识和第二网络设备所在的多个子网信息的标识,并将第一网络设备和第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射,使得在两个网络设备之间建立单条隧道就可以对应多对子网,减少了网络管理员的工作量以及网络流量。
附图说明
图1为本发明建立互联网安全协议虚拟专用网隧道的方法一个实施例的流程示意图;
图2为图1所示实施例的一种典型应用场景的示意图;
图3为本发明建立互联网安全协议虚拟专用网隧道的方法又一个实施例的流程示意图;
图4为本发明建立互联网安全协议虚拟专用网隧道的方法又一个实施例的流程示意图;
图5为采用现有的标准IKE协商建立多条隧道的示意图;
图6为采用图4所示实施例的方法建立单条隧道的示意图;
图7为本发明网络设备一个实施例的结构示意图;
图8为本发明网络设备又一个实施例的结构示意图。
具体实施方式
下面通过具体的实施例及附图,对本发明的技术方案做进一步的详细描述。
图1为本发明建立互联网安全协议虚拟专用网隧道的方法一个实施例的流程示意图。如图1所示,本实施例是在建立互联网安全协议虚拟专用网IPsecVPN隧道的发起方即第一网络设备一侧详细描述本发明的技术方案,也就是说本实施例提供的建立IPsec VPN隧道的方法的执行主体为第一网络设备。该方法具体可以包括:
S101,第一网络设备向第二网络设备发送协商请求消息,协商请求消息中携带协商标识,协商标识用于指示建立隧道请求消息所请求建立的隧道对应第一网络设备所在的多个子网且对应第二网络设备所在的多个子网;
具体的,第一网络设备和第二网络设备分别为建立IPsec VPN隧道的发起方和响应方,二者可以均为网关,或者,二者中的一个为网关,另一个为移动客户端等,具体的实施场景和设备类型在此不做出限制。图2为图1所示实施例的一种典型应用场景的示意图,如图2所示,以第一网络设备和第二网络设备均为网关为例,本实施例中分别用网关1和网关2加以区分,网关1和网关2分别位于不同的局域网(例如:网关1位于局域网1,网关2位于局域网2),通过在网关1和网关2之间建立互联网安全协议虚拟专用网IPsec VPN隧道,使得原本属于不同局域网(局域网1和局域网2)的主机之间可以自由、安全的相互访问,看起来就像位于同一个局域网中一样。其中,协商标识具体可以为第一网络设备的厂商标识。
S102,第一网络设备接收第二网络设备发送的对协商请求消息的协商响应消息,协商响应消息中携带第二网络设备根据协商标识进行验证的第一验证结果;
具体的,以协商标识为第一网络设备的厂商标识为例,当第一网络设备发送的协商请求消息中携带的自身的厂商标识和第二网络设备的厂商标识一致时,第一网络设备接收到的第二网络设备发送的协商响应消息中携带的第一验证结果,用于表示验证通过,则继续执行步骤S103。
S103,若第一验证结果表示验证通过,则第一网络设备向第二网络设备发送建立隧道请求消息,建立隧道请求消息中携带第一网络设备的标识和第二网络设备的标识,第一网络设备的标识用于标识第一网络设备所在的多个子网信息,第二网络设备的标识用于标识第二网络设备所在的多个子网信息;
具体的,第一网络设备向第二网络设备发送的建立隧道请求消息中携带自身的标识和预先配置的第二网络设备的标识,一方面可以用于第二网络设备验证自己的身份,另一方面可以用于标识需通过隧道进行通信的各子网对。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网信息、第一网络设备所在的多个IP地址信息或第一网络设备所在的多个IP地址段信息,本实施例以第一网络设备的标识中包括第一网络设备所在的多个子网信息为例进行说明。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网的个数信息、第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
相应的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网信息、第二网络设备所在的多个IP地址信息或第二网络设备所在的多个IP地址段信息,本实施例以第二网络设备的标识中包括第二网络设备所在的多个子网信息为例进行说明。具体的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网的个数信息、第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。可选的,可以通过第二网络设备的标识中第二网络设备所在的每个子网的信息的顺序与第一网络设备的标识中第一网络设备所在的每个子网的信息的对应顺序,确定第一网络设备的任意一个子网与第二网络设备的一个子网的对应关系。例如:需要通信的一对子网在第二网络设备的标识以及第一网络设备的标识中的次序可以一致。
S104,第一网络设备接收第二网络设备发送的对建立隧道请求消息的响应消息,响应消息中携带第二网络设备根据第一网络设备的标识和第二网络设备的标识进行验证的第二验证结果;
具体的,当第一网络设备发送的建立隧道请求消息中携带的自身的标识和预先配置的第二网络设备的标识,和第二网络设备中预先配置的第一网络设备的标识以及自身的标识一致时,第一网络设备接收到的第二网络设备发送的响应消息中携带的第二验证结果,用于表示对第一网络设备的验证通过,协商成功,则继续执行步骤105。相应的,当第一网络设备发送的建立隧道请求消息中携带的自身的标识和预先配置的第二网络设备的标识,和第二网络设备中预先配置的第一网络设备的标识以及自身的标识不一致时,第一网络设备接收到的第二网络设备发送的响应消息中携带的第二验证结果,用于表示对第一网络设备的验证不通过,协商不成功,则结束建立隧道过程。
S105,若第二验证结果表示协商成功,则第一网络设备将第一网络设备和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射。
具体的,第一网络设备将自身和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,并将映射关系记录于本地,实现单条隧道对应第一网络设备和第二网络设备所在的多对子网。
本实施例提供的建立互联网安全协议虚拟专用网隧道的方法,通过在第一网络设备发送的建立隧道请求消息中,携带第一网络设备所在的多个子网信息的标识和第二网络设备所在的多个子网信息的标识,并将第一网络设备和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,使得在两个网络设备之间建立单条隧道就可以对应第一网络设备和第二网络设备所在的多对子网,减少了网络管理员的工作量以及网络流量。
图3为本发明建立互联网安全协议虚拟专用网隧道的方法又一个实施例的流程示意图。如图3所示,本实施例是在建立互联网安全协议虚拟专用网IPsec VPN隧道的响应方即第二网络设备一侧详细描述本发明的技术方案,也就是说本实施例提供的建立IPsec VPN隧道的方法的执行主体为第二网络设备。该方法具体可以包括:
S301,第二网络设备接收第一网络设备发送的协商请求消息,协商请求消息中携带协商标识,协商标识用于指示建立隧道请求消息所请求建立的隧道对应第一网络设备所在的多个子网且对应第二网络设备所在的多个子网;
具体的,第一网络设备和第二网络设备分别为建立IPsec VPN隧道的发起方和响应方,二者可以均为网关,或者,二者中的一个为网关,另一个为移动客户端等,具体的实施场景和设备类型在此不做出限制。其中,协商标识具体可以为第一网络设备的厂商标识。
S302,第二网络设备根据协商标识进行验证,得到第一验证结果;
具体的,第二网络设备对接收到的协商请求消息进行解析,得到协商标识,以协商标识为第一网络设备的厂商标识为例,第二网络设备将解析得到的第一网络设备的厂商标识与自身的厂商标识进行比较,当二者一致时,得到的第一验证结果用于表示验证通过,当二者不一致时,得到的第一验证结果用于表示验证不通过。
S303,第二网络设备向第一网络设备发送对协商请求消息的协商响应消息,协商响应消息中携带第一验证结果;
具体的,第二网络设备根据上述步骤S302得到的不同的第一验证结果,向第一网络设备发送携带不同第一验证结果的协商响应消息,即当第一网络设备发送的协商请求消息中携带的自身的厂商标识和第二网络设备的厂商标识一致时,第二网络设备向第一网络设备发送用于表示验证通过的协商响应消息,并继续执行步骤S304。
S304,若第一验证结果表示验证通过,则第二网络设备接收第一网络设备发送的建立隧道请求消息,建立隧道请求消息中携带第一网络设备的标识和第二网络设备的标识,第一网络设备的标识用于标识第一网络设备所在的多个子网信息,第二网络设备的标识用于标识第二网络设备所在的多个子网信息;
具体的,第二网络设备接收到的第一网络设备发送的建立隧道请求消息中携带第一网络设备的标识和预先配置的第二网络设备的标识,一方面可以用于对第一网络设备的身份进行验证,另一方面可以用于标识需通过隧道进行通信的各子网对。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网信息、第一网络设备所在的多个IP地址信息或第一网络设备所在的多个IP地址段信息,本实施例以第一网络设备的标识中包括第一网络设备所在的多个子网信息为例进行说明。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网的个数信息、第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
相应的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网信息、第二网络设备所在的多个IP地址信息或第二网络设备所在的多个IP地址段信息,本实施例以第二网络设备的标识中包括第二网络设备所在的多个子网信息为例进行说明。具体的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网的个数信息、第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。可选的,可以通过第二网络设备的标识中第二网络设备所在的每个子网的信息的顺序与第一网络设备的标识中第一网络设备所在的每个子网的信息的对应顺序,确定第一网络设备的任意一个子网与第二网络设备的一个子网的对应关系。例如:需要通信的一对子网在第二网络设备的标识以及第一网络设备的标识中的次序可以一致。
S305,第二网络设备根据第一网络设备的标识和第二网络设备的标识进行验证,得到第二验证结果;
具体的,第二网络设备对接收到的建立隧道请求消息进行解析,得到第一网络设备的标识和预先配置的第二网络设备的标识,第二网络设备将解析得到的第一网络设备的标识和预先配置的第二网络设备的标识,分别与自身预先配置的第一网络设备的标识和自身的标识进行比较,当两对标识均一致时,得到的第二验证结果用于表示对第一网络设备的验证通过,协商成功,当有一对标识不一致或两对标识都不一致时,得到的第二验证结果用于表示对第一网络设备的验证不通过,协商不成功。
S306,第二网络设备向第一网络设备发送对建立隧道请求消息的响应消息,响应消息中携带第二验证结果;
具体的,第二网络设备根据上述步骤S305得到的不同的第二验证结果,向第一网络设备发送携带不同第二验证结果的响应消息,即当第二网络设备接收到的建立隧道请求消息中携带的第一网络设备的标识和预先配置的第二网络设备的标识,与自身预先配置的第一网络设备的标识和自身的标识两两均一致时,第二网络设备向第一网络设备发送用于表示协商成功的响应消息;当有一对标识不一致或两对标识都不一致时,第二网络设备向第一网络设备发送用于表示协商不成功的响应消息,并结束建立隧道过程。
S307,若第二验证结果表示协商成功,则第二网络设备将第一网络设备和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射。
具体的,当上述步骤S305得到的第二验证结果用于表示协商成功时,第二网络设备将自身和第一网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,并将映射关系记录于本地,实现单条隧道对应第二网络设备和第一网络设备所在的多对子网。
需要说明的是,上述步骤S306和S307的执行无明确的先后顺序。
本实施例提供的建立互联网安全协议虚拟专用网隧道的方法,通过在第一网络设备发送的建立隧道请求消息中,携带第一网络设备所在的多个子网信息的标识和第二网络设备所在的多个子网信息的标识,并将第二网络设备和第一网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,使得在两个网络设备之间建立单条隧道就可以对应第二网络设备和第一网络设备所在的多对子网,减少了网络管理员的工作量以及网络流量。
图4为本发明建立互联网安全协议虚拟专用网隧道的方法又一个实施例的流程示意图。如图4所示,本实施例描述的是上述图1和图3所示实施例的建立互联网安全协议虚拟专用网隧道的方法的具体过程,该方法具体可以包括:
S401,第一网络设备向第二网络设备发送协商请求消息,协商请求消息中携带协商标识,协商标识用于指示建立隧道请求消息所请求建立的隧道对应第一网络设备所在的多个子网且对应第二网络设备所在的多个子网;
具体的,第一网络设备和第二网络设备分别为建立IPsec VPN隧道的发起方和响应方,二者可以均为网关,或者,二者中的一个为网关,另一个为移动客户端等,具体的实施场景和设备类型在此不做出限制。其中,协商标识具体可以为第一网络设备的厂商标识。
S402,第二网络设备根据协商标识进行验证,得到第一验证结果;
具体的,第二网络设备对接收到的协商请求消息进行解析,得到协商标识,以协商标识为第一网络设备的厂商标识为例,第二网络设备将解析得到的第一网络设备的厂商标识与自身的厂商标识进行比较,当二者一致时,得到的第一验证结果用于表示验证通过,当二者不一致时,得到的第一验证结果用于表示验证不通过。
S403,第二网络设备向第一网络设备发送对协商请求消息的协商响应消息,协商响应消息中携带第一验证结果;
具体的,第二网络设备根据上述步骤S402得到的不同的第一验证结果,向第一网络设备发送携带不同第一验证结果的协商响应消息,即当第一网络设备发送的协商请求消息中携带的自身的厂商标识和第二网络设备的厂商标识一致时,第二网络设备向第一网络设备发送用于表示验证通过的协商响应消息,并继续执行步骤S405;当第一网络设备发送的协商请求消息中携带的自身的厂商标识和第二网络设备的厂商标识不一致时,第二网络设备向第一网络设备发送用于表示验证不通过的协商响应消息,并执行步骤S404。
S404,若第一验证结果表示验证不通过,则第一网络设备与第二网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
具体的,当第一网络设备接收到第二网络设备发送的用于表示验证不通过的协商响应消息后,第一网络设备重新向第二网络设备发送协商请求消息,协商请求消息中不携带协商标识,即进行现有的标准IKE协商,以保证对标准IKE协商的兼容性。
一个完整的IKE协商过程包括两个阶段:第一阶段和第二阶段。
上述步骤S402-S403是对现有的标准IKE协商第一阶段进行的改进,为了更好的说明本实施例的方案,下面先介绍一下现有的标准IKE协商的第一阶段:包括主模式和积进模式,以主模式为例,双方会有三次信息交互,如下所示:
发起方(第一网络设备)响应方(第二网络设备)
其中,发起方(第一网络设备)发送的第一条消息即协商请求消息,协商请求消息中不携带协商标识。相应的,响应方(第二网络设备)发送的第一条消息即协商响应消息,协商响应消息中不携带协商标识。
本实施例改进后的IKE协商的第一阶段:以主模式为例,双方会有三次信息交互,如下所示:
发起方(第一网络设备)响应方(第二网络设备)
其中,发起方(第一网络设备)发送的第一条消息即协商请求消息,对应上述步骤S401,与现有的标准IKE协商不同,协商请求消息中携带协商标识,协商标识可以为第一网络设备的厂商标识MYID。相应的,响应方(第二网络设备)发送的第一条消息即协商响应消息,具体的,响应方(第二网络设备)接收到第一网络设备发送的协商请求消息后,判断协商请求消息中携带的第一网络设备的厂商标识和自身的厂商标识是否一致,如果一致,则第二网络设备向第一网络设备发送协商响应消息,协商响应消息中携带第一验证结果,用于表示验证通过,对应上述步骤S402、S403,然后继续执行和现有的标准IKE协商相同的、第一阶段余下的两次信息交互;如果不一致,则第二网络设备向第一网络设备发送协商响应消息,协商响应消息中携带第一验证结果,用于表示验证不通过,则第一网络设备可以重新向第二网络设备发送协商请求消息,协商请求消息中不携带协商标识,即进行现有的标准IKE协商(包括第一阶段和第二阶段),保证与现有的标准IKE协商的兼容性。
S405,若第一验证结果表示验证通过,则第一网络设备向第二网络设备发送建立隧道请求消息,建立隧道请求消息中携带第一网络设备的标识和第二网络设备的标识,第一网络设备的标识用于标识第一网络设备所在的多个子网信息,第二网络设备的标识用于标识第二网络设备所在的多个子网信息;
具体的,当第一网络设备接收到第二网络设备发送的用于表示验证通过的协商响应消息后,第一网络设备向第二网络设备发送携带自身的标识和预先配置的第二网络设备的标识的建立隧道请求消息,一方面可以用于第二网络设备验证自己的身份,另一方面可以用于标识需通过隧道进行通信的各子网对。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网信息、第一网络设备所在的多个IP地址信息或第一网络设备所在的多个IP地址段信息,本实施例以第一网络设备的标识中包括第一网络设备所在的多个子网信息为例进行说明。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网的个数信息、第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
相应的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网信息、第二网络设备所在的多个IP地址信息或第二网络设备所在的多个IP地址段信息,本实施例以第二网络设备的标识中包括第二网络设备所在的多个子网信息为例进行说明。具体的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网的个数信息、第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。可选的,可以通过第二网络设备的标识中第二网络设备所在的每个子网的信息的顺序与第一网络设备的标识中第一网络设备所在的每个子网的信息的对应顺序,确定第一网络设备的任意一个子网与第二网络设备的一个子网的对应关系。例如:需要通信的一对子网在第二网络设备的标识以及第一网络设备的标识中的次序可以一致。
S406,第二网络设备根据第一网络设备的标识和第二网络设备的标识进行验证,得到第二验证结果;
具体的,第二网络设备对接收到的建立隧道请求消息进行解析,得到第一网络设备的标识和预先配置的第二网络设备的标识,第二网络设备将解析得到的第一网络设备的标识和预先配置的第二网络设备的标识,分别与自身预先配置的第一网络设备的标识和自身的标识进行比较,当两对标识均一致时,得到的第二验证结果用于表示对第一网络设备的验证通过,协商成功,当有一对标识不一致或两对标识都不一致时,得到的第二验证结果用于表示对第一网络设备的验证不通过,协商不成功。
S407,第二网络设备向第一网络设备发送对建立隧道请求消息的响应消息,响应消息中携带第二验证结果;
具体的,第二网络设备根据上述步骤S406得到的不同的第二验证结果,向第一网络设备发送携带不同第二验证结果的响应消息,即当第二网络设备接收到的建立隧道请求消息中携带的第一网络设备的标识和预先配置的第二网络设备的标识,与自身预先配置的第一网络设备的标识和自身的标识两两均一致时,第二网络设备向第一网络设备发送用于表示协商成功的响应消息;当有一对标识不一致或两对标识都不一致时,第二网络设备向第一网络设备发送用于表示协商不成功的响应消息,并结束建立隧道过程。
S408,若第二验证结果表示协商成功,则第一网络设备将第一网络设备和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射;
具体的,当第一网络设备接收到的第二网络设备发送的对建立隧道请求消息的响应消息中携带的第二验证结果用于表示协商成功时,第一网络设备将自身和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,并将映射关系记录于本地,实现单条隧道对应第一网络设备和第二网络设备所在的多对子网。
S409,若第二验证结果表示协商成功,则第二网络设备将第一网络设备和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射。
具体的,当上述步骤S406得到的第二验证结果用于表示协商成功时,第二网络设备将自身和第一网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,并将映射关系记录于本地,实现单条隧道对应第二网络设备和第一网络设备所在的多对子网。
需要说明的是,上述步骤S407和S409的执行无明确的先后顺序。
当上述步骤S408和S409完成后,可实现单条隧道对应第一网络设备所在的多个子网与第二网络设备所在的多个子网组成的子网对,子网对的对应关系参见步骤S404中的相关描述,此处不再赘述。
上述步骤S405-S409是对现有的标准IKE协商第二阶段进行的改进。改进后的IKE协商的第二阶段:快速模式,如下所示:
发起方(第一网络设备)响应方(第二网络设备)
其中,发起方(第一网络设备)发送的第一条消息即建立隧道请求消息,对应上述步骤S405,建立隧道请求消息中携带第一网络设备的标识IDci和第二网络设备的标识IDcr。相应的,响应方(第二网络设备)发送的第一条消息即对建立隧道请求消息的响应消息,具体的,响应方(第二网络设备)接收到第一网络设备发送的建立隧道请求消息后,按照既定格式进行解析,判断建立隧道请求消息中携带的第一网络设备的标识和预先配置的第二网络设备的标识,和预先配置的第一网络设备的标识和自身的标识是否一致,对应上述步骤S406;如果两对标识均一致,则第二网络设备向第一网络设备发送对建立隧道请求消息的响应消息,响应消息中携带第二验证结果,用于表示协商成功,若果有一对标识不一致或两对标识都不一致,则第二网络设备向第一网络设备发送对建立隧道请求消息的响应消息,响应消息中携带第二验证结果,用于表示协商不成功,并结束建立隧道过程,对应上述步骤S407。
但与标准IKE协商不同的是,建立隧道请求消息中携带的第一网络设备的标识IDci和第二网络设备的标识IDcr的格式发生了改变。
具体的,当使用第一网络设备和第二网络设备各自所在的IP子网作为标识时,以IP V4为例,现有的标准IKE协商中,IDci、IDcr的格式具体为:前4个字节表示IP子网地址,后4个字节表示子网掩码,共8个字节。IDci、IDcr的格式限定了单条隧道只能对应一对子网,当有多对子网需要通信时,需建立多条隧道,造成资源浪费。图5为采用现有的标准IKE协商建立多条隧道的示意图。如图5所示,网关1所在的局域网1和网关2所在的局域网2之间,网关1所在的局域网3和网关2所在的局域网4之间需要通信,则需在网关1和网关2之间建立两条隧道(隧道1和隧道2)分别对应这两对子网。
本实施例中,IDci、IDcr的格式更改为:前4个字节表示第一网络设备、第二网络设备所在的多个子网的个数、后面每8个字节表示一个子网的信息(和标准IKE协商相同,前4个字节表示IP子网地址,后4个字节表示子网掩码,共8个字节),例如两对子网需要通信时,IDci、IDcr包含4+8+8=20个字节。更改IDci、IDcr的格式后,单条隧道可以对应多对子网,当有多对子网需要通信时,只需建立一条隧道即可,节省了网络资源。图6为采用图4所示实施例的方法建立单条隧道的示意图。如图6所示,网关1所在的局域网1和网关2所在的局域网2之间,网关1所在的局域网3和网关2所在的局域网4之间需要通信,只需在网关1和网关2之间建立一条隧道即可对应这两对子网。
本实施例提供的建立互联网安全协议虚拟专用网隧道的方法,当第一网络设备和第二网络设备的厂商标识不一致时,进行现有的标准IKE协商,保证对标准IKE协商的兼容性;当一致时,通过在第一网络设备发送的建立隧道请求消息中,携带第一网络设备所在的多个子网信息的标识和第二网络设备所在的多个子网信息的标识,并将第一网络设备和第二网络设备所在的多个子网对信息与建立隧道请求消息所请求建立的隧道的标识进行映射,使得在两个网络设备之间建立的单条隧道可以对应多对子网,减少了网络管理员的工作量以及网络流量。
图7为本发明网络设备一个实施例的结构示意图。如图7所示,本实施例的网络设备对应图1或图4所示实施例中的第一网络设备,该网络设备具体可以包括:第一发送模块71、第一接收模块72、第二发送模块73、第二接收模块74和第一映射模块75,其中:
第一发送模块71,用于向第二网络设备发送协商请求消息,协商请求消息中携带协商标识,协商标识用于指示建立隧道请求消息所请求建立的隧道对应网络设备所在的多个子网且对应第二网络设备所在的多个子网;
具体的,该网络设备和第二网络设备分别为建立IPsec VPN隧道的发起方和响应方,二者可以均为网关,或者,二者中的一个为网关,另一个为移动客户端等,具体的实施场景和设备类型在此不做出限制。其中,协商标识具体可以为该网络设备的厂商标识。
第一接收模块72,用于接收第二网络设备发送的对协商请求消息的协商响应消息,协商响应消息中携带第二网络设备根据协商标识进行验证的第一验证结果;
具体的,以协商标识为该网络设备的厂商标识为例,当该网络设备中的第一发送模块71发送的协商请求消息中携带的自身的厂商标识和第二网络设备的厂商标识一致时,该网络设备中的第一接收模块72接收到的第二网络设备发送的协商响应消息中携带的第一验证结果,用于表示验证通过;当该网络设备中的第一发送模块71发送的协商请求消息中携带的自身的厂商标识和第二网络设备的厂商标识不一致时,该网络设备中的第一接收模块72接收到的第二网络设备发送的协商响应消息中携带的第一验证结果,用于表示验证不通过。
第二发送模块73,用于若第一验证结果表示验证通过,则向第二网络设备发送建立隧道请求消息,建立隧道请求消息中携带网络设备的标识和第二网络设备的标识,网络设备的标识用于标识网络设备所在的多个子网信息,第二网络设备的标识用于标识第二网络设备所在的多个子网信息。
具体的,当该网络设备中的第一接收模块72接收到第二网络设备发送的用于表示验证通过的协商响应消息后,该网络设备中的第二发送模块73向第二网络设备发送携带自身的标识和预先配置的第二网络设备的标识的建立隧道请求消息,一方面可以用于第二网络设备验证自己的身份,另一方面可以用于标识需通过隧道进行通信的各子网对。具体的,该网络设备的标识中可以包括:该网络设备所在的多个子网信息、该网络设备所在的多个IP地址信息或该网络设备所在的多个IP地址段信息,本实施例以该网络设备的标识中包括该网络设备所在的多个子网信息为例进行说明。具体的,该网络设备的标识中可以包括:该网络设备所在的多个子网的个数信息、该网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
相应的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网信息、第二网络设备所在的多个IP地址信息或第二网络设备所在的多个IP地址段信息,本实施例以第二网络设备的标识中包括第二网络设备所在的多个子网信息为例进行说明。具体的,第二网络设备的标识中可以包括:第二网络设备所在的多个子网的个数信息、第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。可选的,可以通过第二网络设备的标识中第二网络设备所在的每个子网的信息的顺序与该网络设备的标识中该网络设备所在的每个子网的信息的对应顺序,确定该网络设备的任意一个子网与第二网络设备的一个子网的对应关系。例如:需要通信的一对子网在第二网络设备的标识以及该网络设备的标识中的次序可以一致。
第二接收模块74,用于接收第二网络设备发送的对建立隧道请求消息的响应消息,响应消息中携带第二网络设备根据网络设备的标识和第二网络设备的标识进行验证的第二验证结果;
具体的,当该网络设备中的第二发送模块73发送的建立隧道请求消息中携带的自身的标识和预先配置的第二网络设备的标识,和第二网络设备中预先配置的该网络设备的标识以及自身的标识一致时,该网络设备中的第二接收模块74接收到的第二网络设备发送的响应消息中携带的第二验证结果,用于表示对该网络设备的验证通过,协商成功。相应的,当该网络设备中的第二发送模块73发送的建立隧道请求消息中携带的自身的标识和预先配置的第二网络设备的标识,和第二网络设备中预先配置的该网络设备的标识以及自身的标识不一致时,该网络设备中的第二接收模块74接收到的第二网络设备发送的响应消息中携带的第二验证结果,用于表示对该网络设备的验证不通过,协商不成功,则结束建立隧道过程。
第一映射模块75,用于若第二验证结果表示协商成功,则将网络设备和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射。
具体的,该网络设备中的第一映射模块75将自身和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,并将映射关系记录于本地,实现单条隧道对应该网络设备和第二网络设备所在的多对子网。
进一步的,第一接收模块72还可以用于:接收第二网络设备发送的对协商请求消息的协商响应消息之后,若第一验证结果表示验证不通过,则网络设备与第二网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
具体的,当该网络设备中的第一接收模块72接收到第二网络设备发送的用于表示验证不通过的协商响应消息后,重新向第二网络设备发送协商请求消息,协商请求消息中不携带协商标识,即进行现有的标准IKE协商,以保证对标准IKE协商的兼容性。
本实施例提供的网络设备,通过第一发送模块71向第二网络设备发送携带自身标识的协商请求消息,当自身标识和第二网络设备的标识不一致时,采用标准IKE协商方式建立隧道;当一致时,通过第二发送模块73发送携带有自身所在的多个子网信息的标识和第二网络设备所在的多个子网信息的标识的建立隧道请求消息,并将自身和第二网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,使得在两个网络设备之间建立单条隧道就可以对应自身和第二网络设备所在的多对子网,减少了网络管理员的工作量以及网络流量。
图8为本发明网络设备又一个实施例的结构示意图。如图8所示,本实施例的网络设备对应图3或图4所示实施例中的第二网络设备,该网络设备具体可以包括:第三接收模块81、第一验证模块82、第三发送模块83、第四接收模块84、第二验证模块85、第四发送模块86和第二映射模块87,其中:
第三接收模块81,用于接收第一网络设备发送的协商请求消息,协商请求消息中携带协商标识,协商标识用于指示建立隧道请求消息所请求建立的隧道对应第一网络设备所在的多个子网且对应网络设备所在的多个子网;
具体的,第一网络设备和该网络设备分别为建立IPsec VPN隧道的发起方和响应方,二者可以均为网关,或者,二者中的一个为网关,另一个为移动客户端等,具体的实施场景和设备类型在此不做出限制。其中,协商标识具体可以为第一网络设备的厂商标识。
第一验证模块82,用于根据协商标识进行验证,得到第一验证结果;
具体的,该网络设备中的第一验证模块82对第三接收模块81接收到的协商请求消息进行解析,得到协商标识,以协商标识为第一网络设备的厂商标识为例,该网络设备中的第一验证模块82将解析得到的第一网络设备的厂商标识与自身的厂商标识进行比较,当二者一致时,得到的第一验证结果用于表示验证通过,当二者不一致时,得到的第一验证结果用于表示验证不通过。
第三发送模块83,用于向第一网络设备发送对协商请求消息的协商响应消息,协商响应消息中携带第一验证结果;
具体的,当该网络设备中的第三接收模块81接收到的协商请求消息中携带的第一网络设备的厂商标识和自身的厂商标识一致时,该网络设备中的第三发送模块83向第一网络设备发送用于表示验证通过的协商响应消息;相应的,当该网络设备中的第三接收模块81接收到的协商请求消息中携带的第一网络设备的厂商标识和自身的厂商标识不一致时,该网络设备中的第三发送模块83向第一网络设备发送用于表示验证不通过的协商响应消息。
第四接收模块84,用于若第一验证结果表示验证通过,则接收第一网络设备发送的建立隧道请求消息,建立隧道请求消息中携带第一网络设备的标识和网络设备的标识,第一网络设备的标识用于标识第一网络设备所在的多个子网信息,网络设备的标识用于标识网络设备所在的多个子网信息;
具体的,该网络设备中的第三发送模块83向第一网络设备发送用于表示验证通过的协商响应消息后,该网络设备中的第四接收模块84接收第一网络设备发送的建立隧道请求消息,建立隧道请求消息中携带第一网络设备的标识和预先配置的该网络设备的标识,一方面可以用于对第一网络设备的身份进行验证,另一方面可以用于标识需通过隧道进行通信的各子网对。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网信息、第一网络设备所在的多个IP地址信息或第一网络设备所在的多个IP地址段信息,本实施例以第一网络设备的标识中包括第一网络设备所在的多个子网信息为例进行说明。具体的,第一网络设备的标识中可以包括:第一网络设备所在的多个子网的个数信息、第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
相应的,该网络设备的标识中可以包括:该网络设备所在的多个子网信息、该网络设备所在的多个IP地址信息或该网络设备所在的多个IP地址段信息,本实施例以该网络设备的标识中包括该网络设备所在的多个子网信息为例进行说明。具体的,该网络设备的标识中可以包括:该网络设备所在的多个子网的个数信息、该网络设备所在的每个子网的IP子网地址信息和子网掩码信息。可选的,可以通过该网络设备的标识中该网络设备所在的每个子网的信息的顺序与第一网络设备的标识中第一网络设备所在的每个子网的信息的对应顺序,确定第一网络设备的任意一个子网与该网络设备的一个子网的对应关系。例如:需要通信的一对子网在该网络设备的标识以及第一网络设备的标识中的次序可以一致。
第二验证模块85,用于根据第一网络设备的标识和网络设备的标识进行验证,得到第二验证结果;
具体的,该网络设备中的第二验证模块85对第四接收模块84接收到的建立隧道请求消息进行解析,得到第一网络设备的标识和预先配置的该网络设备的标识,并将解析得到的第一网络设备的标识和预先配置的第二网络设备的标识,分别与自身预先配置的第一网络设备的标识和自身的标识进行比较,当两对标识均一致时,得到的第二验证结果用于表示对第一网络设备的验证通过,协商成功,当有一对标识不一致或两对标识都不一致时,得到的第二验证结果用于表示对第一网络设备的验证不通过,协商不成功。
第四发送模块86,用于向第一网络设备发送对建立隧道请求消息的响应消息,响应消息中携带第二验证结果;
具体的,当该网络设备中的第四接收模块84接收到的建立隧道请求消息中携带的第一网络设备的标识和预先配置的该网络设备的标识,与自身预先配置的第一网络设备的标识和自身的标识两两均一致时,该网络设备中的第四发送模块86向第一网络设备发送用于表示协商成功的响应消息;当有一对标识不一致或两对标识都不一致时,第二网络设备中的第四发送模块86向第一网络设备发送用于表示协商不成功的响应消息,并结束建立隧道过程。
第二映射模块87,用于若第二验证结果表示协商成功,则将网络设备和第一网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射。
具体的,当该网络设备中的第一验证模块82得到的第二验证结果用于表示协商成功时,该网络设备中的第二映射模块87将自身和第一网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,实现单条隧道对应该网络设备和第一网络设备所在的多对子网。
进一步的,第三发送模块83还可以用于:向第一网络设备发送对协商请求消息的所述协商响应消息之后,若第一验证结果表示验证不通过,则网络设备与第一网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
具体的,该网络设备中的第三发送模块83向第一网络设备发送表示验证不通过的协商响应消息之后,接收第一网络设备重新发送的协商请求消息,协商请求消息中不携带协商标识,即进行现有的标准IKE协商,以保证对标准IKE协商的兼容性。
本实施例提供的网络设备,通过第三接收模块81接收第一网络设备发送的携带第一网络设备的标识的协商请求消息,当自身标识和第一网络设备的标识不一致时,采用标准IKE协商方式建立隧道;当一致时,通过第四接收模块84接收第一网络设备发送的携带有第一网络设备所在的多个子网信息的标识和自身所在的多个子网信息的标识的建立隧道请求消息,并将自身和第一网络设备所在的多个子网信息与建立隧道请求消息所请求建立的隧道的标识进行映射,使得在两个网络设备之间建立单条隧道就可以对应自身和第一网络设备所在的多对子网,减少了网络管理员的工作量以及网络流量。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (12)
1.一种建立互联网安全协议虚拟专用网隧道的方法,其特征在于,包括:
第一网络设备向第二网络设备发送协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示隧道对应所述第一网络设备所在的多个子网且对应所述第二网络设备所在的多个子网,所述隧道为建立隧道请求消息所请求建立的隧道;
所述第一网络设备接收所述第二网络设备发送的对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第二网络设备根据所述协商标识进行验证的第一验证结果;
若所述第一验证结果表示验证通过,则所述第一网络设备向所述第二网络设备发送所述建立隧道请求消息,所述建立隧道请求消息中携带所述第一网络设备的标识和所述第二网络设备的标识,所述第一网络设备的标识用于标识所述第一网络设备所在的多个子网信息,所述第二网络设备的标识用于标识所述第二网络设备所在的多个子网信息;
所述第一网络设备接收所述第二网络设备发送的对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二网络设备根据所述第一网络设备的标识和所述第二网络设备的标识进行验证的第二验证结果;
若所述第二验证结果表示协商成功,则所述第一网络设备将所述第一网络设备和所述第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
2.根据权利要求1所述的方法,其特征在于,所述第一网络设备的标识中包括:所述第一网络设备所在的多个子网的个数信息、所述第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
所述第二网络设备的标识中包括:所述第二网络设备所在的多个子网的个数信息、所述第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。
3.根据权利要求1或2所述的方法,其特征在于,所述第一网络设备接收所述第二网络设备发送的对所述协商请求消息的协商响应消息之后,还包括:
若所述第一验证结果表示验证不通过,则所述第一网络设备与所述第二网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
4.一种建立互联网安全协议虚拟专用网隧道的方法,其特征在于,包括:
第二网络设备接收第一网络设备发送的协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示隧道对应所述第一网络设备所在的多个子网且对应所述第二网络设备所在的多个子网,所述隧道为建立隧道请求消息所请求建立的隧道;
所述第二网络设备根据所述协商标识进行验证,得到第一验证结果;
所述第二网络设备向所述第一网络设备发送对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第一验证结果;
若所述第一验证结果表示验证通过,则所述第二网络设备接收所述第一网络设备发送的所述建立隧道请求消息,所述建立隧道请求消息中携带所述第一网络设备的标识和所述第二网络设备的标识,所述第一网络设备的标识用于标识所述第一网络设备所在的多个子网信息,所述第二网络设备的标识用于标识所述第二网络设备所在的多个子网信息;
所述第二网络设备根据所述第一网络设备的标识和所述第二网络设备的标识进行验证,得到第二验证结果;
所述第二网络设备向所述第一网络设备发送对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二验证结果;
若所述第二验证结果表示协商成功,则所述第二网络设备将所述第一网络设备和所述第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
5.根据权利要求4所述的方法,其特征在于,所述第一网络设备的标识中包括:所述第一网络设备所在的多个子网的个数信息、所述第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
所述第二网络设备的标识中包括:所述第二网络设备所在的多个子网的个数信息、所述第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。
6.根据权利要求4或5所述的方法,其特征在于,所述第二网络设备向所述第一网络设备发送对所述协商请求消息的协商响应消息之后,还包括:
若所述第一验证结果表示验证不通过,则所述第二网络设备与所述第一网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
7.一种网络设备,其特征在于,包括:
第一发送模块,用于向第二网络设备发送协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示隧道对应所述网络设备所在的多个子网且对应所述第二网络设备所在的多个子网,所述隧道为建立隧道请求消息所请求建立的隧道;
第一接收模块,用于接收所述第二网络设备发送的对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第二网络设备根据所述协商标识进行验证的第一验证结果;
第二发送模块,用于若所述第一验证结果表示验证通过,则向所述第二网络设备发送所述建立隧道请求消息,所述建立隧道请求消息中携带所述网络设备的标识和所述第二网络设备的标识,所述网络设备的标识用于标识所述网络设备所在的多个子网信息,所述第二网络设备的标识用于标识所述第二网络设备所在的多个子网信息;
第二接收模块,用于接收所述第二网络设备发送的对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二网络设备根据所述网络设备的标识和所述第二网络设备的标识进行验证的第二验证结果;
第一映射模块,用于若所述第二验证结果表示协商成功,则将所述网络设备和所述第二网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
8.根据权利要求7所述的网络设备,其特征在于,所述网络设备的标识中包括:所述网络设备所在的多个子网的个数信息、所述网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
所述第二网络设备的标识中包括:所述第二网络设备所在的多个子网的个数信息、所述第二网络设备所在的每个子网的IP子网地址信息和子网掩码信息。
9.根据权利要求7或8所述的网络设备,其特征在于,所述第一接收模块还用于:
接收所述第二网络设备发送的对所述协商请求消息的所述协商响应消息之后,若所述第一验证结果表示验证不通过,则所述网络设备与所述第二网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
10.一种网络设备,其特征在于,包括:
第三接收模块,用于接收第一网络设备发送的协商请求消息,所述协商请求消息中携带协商标识,所述协商标识用于指示隧道对应所述第一网络设备所在的多个子网且对应所述网络设备所在的多个子网,所述隧道为建立隧道请求消息所请求建立的隧道;
第一验证模块,用于根据所述协商标识进行验证,得到第一验证结果;
第三发送模块,用于向所述第一网络设备发送对所述协商请求消息的协商响应消息,所述协商响应消息中携带所述第一验证结果;
第四接收模块,用于若所述第一验证结果表示验证通过,则接收所述第一网络设备发送的所述建立隧道请求消息,所述建立隧道请求消息中携带所述第一网络设备的标识和所述网络设备的标识,所述第一网络设备的标识用于标识所述第一网络设备所在的多个子网信息,所述网络设备的标识用于标识所述网络设备所在的多个子网信息;
第二验证模块,用于根据所述第一网络设备的标识和所述网络设备的标识进行验证,得到第二验证结果;
第四发送模块,用于向所述第一网络设备发送对所述建立隧道请求消息的响应消息,所述响应消息中携带所述第二验证结果;
第二映射模块,用于若所述第二验证结果表示协商成功,则将所述第一网络设备和所述网络设备所在的多个子网信息与所述建立隧道请求消息所请求建立的隧道的标识进行映射。
11.根据权利要求10所述的网络设备,其特征在于,所述第一网络设备的标识中包括:所述第一网络设备所在的多个子网的个数信息、所述第一网络设备所在的每个子网的IP子网地址信息和子网掩码信息;
所述网络设备的标识中包括:所述网络设备所在的多个子网的个数信息、所述网络设备所在的每个子网的IP子网地址信息和子网掩码信息。
12.根据权利要求10或11所述的网络设备,其特征在于,所述第三发送模块还用于:向所述第一网络设备发送对所述协商请求消息的所述协商响应消息之后,若所述第一验证结果表示验证不通过,则所述网络设备与所述第一网络设备采用标准互联网密钥管理IKE协商方式建立隧道。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310068073.XA CN103152343B (zh) | 2013-03-04 | 2013-03-04 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310068073.XA CN103152343B (zh) | 2013-03-04 | 2013-03-04 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103152343A CN103152343A (zh) | 2013-06-12 |
CN103152343B true CN103152343B (zh) | 2015-09-16 |
Family
ID=48550205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310068073.XA Active CN103152343B (zh) | 2013-03-04 | 2013-03-04 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103152343B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812322B (zh) * | 2014-12-30 | 2019-11-12 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
CN108270613B (zh) * | 2017-12-21 | 2021-07-16 | 华为技术有限公司 | 发送消息方法及网络设备 |
US10999253B2 (en) | 2018-07-26 | 2021-05-04 | Juniper Networks, Inc. | Maintaining internet protocol security tunnels |
CN109088883B (zh) * | 2018-09-21 | 2021-01-15 | 北京天融信网络安全技术有限公司 | 一种多子网的组网方法、装置、存储介质及计算机设备 |
CN111083091B (zh) * | 2018-10-19 | 2022-08-02 | 中兴通讯股份有限公司 | 一种隧道的创建方法、装置及存储介质 |
CN109660439B (zh) * | 2018-12-14 | 2021-08-13 | 深圳市信锐网科技术有限公司 | 一种终端互访管理系统及方法 |
CN113872915A (zh) * | 2020-06-30 | 2021-12-31 | 中兴通讯股份有限公司 | 信息发送的方法、信息接收的方法、网络端 |
CN113726795B (zh) * | 2021-09-01 | 2023-06-09 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、电子设备及可读存储介质 |
CN114039798B (zh) * | 2021-11-30 | 2023-11-03 | 绿盟科技集团股份有限公司 | 一种数据传输方法、装置及电子设备 |
CN114338153B (zh) * | 2021-12-28 | 2023-07-25 | 杭州迪普科技股份有限公司 | 一种IPSec的协商方法及装置 |
CN114301704B (zh) * | 2021-12-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种ipsec隧道协商方法、本端设备、对端设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1525711A (zh) * | 2003-01-21 | 2004-09-01 | ���ǵ�����ʽ���� | 用于在不同的专用网的网络设备之间支持通信的网关 |
CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
CN101697525A (zh) * | 2009-10-14 | 2010-04-21 | 中兴通讯股份有限公司 | 基于环网的地址转发表配置方法及数据传输方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7849499B2 (en) * | 2007-08-21 | 2010-12-07 | Cisco Technology, Inc. | Enterprise wireless local area network (LAN) guest access |
US8724513B2 (en) * | 2009-09-25 | 2014-05-13 | Qualcomm Incorporated | Methods and apparatus for distribution of IP layer routing information in peer-to-peer overlay networks |
-
2013
- 2013-03-04 CN CN201310068073.XA patent/CN103152343B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1525711A (zh) * | 2003-01-21 | 2004-09-01 | ���ǵ�����ʽ���� | 用于在不同的专用网的网络设备之间支持通信的网关 |
CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
CN101697525A (zh) * | 2009-10-14 | 2010-04-21 | 中兴通讯股份有限公司 | 基于环网的地址转发表配置方法及数据传输方法及系统 |
Non-Patent Citations (1)
Title |
---|
VPN子网IP冲突解决方案的设计与实现;熊鹰;《北京交通大学硕士学位论文》;20080515;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN103152343A (zh) | 2013-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103152343B (zh) | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 | |
EP3544246B1 (en) | Multipath data transmission method and device | |
CN106376003B (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
CN103475655B (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
US8599756B2 (en) | Communication relay device, communication relay method, and storage medium having communication relay program stored therein | |
US8582476B2 (en) | Communication relay device and communication relay method | |
CN103283203B (zh) | 安全关联 | |
WO2010087326A1 (ja) | Tcp通信方式 | |
CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
CN107438074A (zh) | 一种DDoS攻击的防护方法及装置 | |
CN105812322A (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
CN102695236A (zh) | 一种数据路由方法及系统 | |
CN103906055A (zh) | 业务数据分流方法及系统 | |
CA2834147C (en) | Device arrangement for implementing remote control of properties | |
CN103179225B (zh) | 一种基于IPsec的NAT表项保活方法和设备 | |
EP3711311B1 (en) | Method and system for providing signed user location information | |
CN102457580B (zh) | Nat穿越方法及系统 | |
EP3657901A1 (en) | Method and apparatus for ip transport between a radio node and a controlling gateway with radio functions | |
CN104901796A (zh) | 一种认证方法和设备 | |
CN113067910B (zh) | 一种nat穿越方法、装置、电子设备和存储介质 | |
CN102752752A (zh) | 基站维护方法和设备 | |
EP4176653A1 (en) | Method and device for assigning data capacity to network slices in a mobile communications network | |
CN104113889B (zh) | 一种基于回传通道的连接建立的方法及装置 | |
JP5655848B2 (ja) | Tcp通信方式 | |
CN109587204B (zh) | 一种访问公网的方法、装置和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai 5 storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |