CN104601430A - 一种隧道选择方法、设备及系统 - Google Patents
一种隧道选择方法、设备及系统 Download PDFInfo
- Publication number
- CN104601430A CN104601430A CN201410843381.XA CN201410843381A CN104601430A CN 104601430 A CN104601430 A CN 104601430A CN 201410843381 A CN201410843381 A CN 201410843381A CN 104601430 A CN104601430 A CN 104601430A
- Authority
- CN
- China
- Prior art keywords
- ipsec tunnel
- network equipment
- message
- responder
- ike negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明实施例提供了一种隧道选择方法、设备及系统,发送方网络设备通过高优先级的第一IPSec隧道向响应方网络设备发送业务数据报文,响应方网络设备选择高优先级的第一路由,即选择了与高优先级的第一路由对应的第一IPSec隧道向发送方网络设备返回业务数据报文,即通过第二IPSec隧道向发送方网络设备返回数据报文。实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,保证发送方网络设备与响应方网络设备业务数据报文传输路径保持一致,避免选择不同的传输路径导致数据报文丢失,提高传输业务数据报文的可靠性。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种隧道选择方法、设备及系统。
背景技术
点对点(Site-to-Site)VPN网络,也称局域网到局域网的VPN(LAN to LANVPN),网关到网关VPN(Gateway to Gateway VPN),通过在两个VPN网络之间建立IPSec(IP Security)隧道,实现两个VPN网络之间的数据交互。
两个VPN网络建立IPSec隧道时,发起方网络设备(Spoke,一般为分支)向响应方网络设备(HUB,一般为总部)发起因特网密钥交换协议(InternetKey Exchange,IKE),请求建立IPSec隧道。响应方网络设备为了提高网络中数据传输的可靠性,给发起方网络设备提供了多个因特网服务提供方(Internet Service Provider,ISP)接口,所述ISP接口给发起方网络设备提供建立IPSec隧道的接入功能。发送方网络设备利用多个ISP接口与响应方网络设备建立多条IPSec隧道。
每建立一条IPSec隧道,响应方网络设备即根据建立该IPSec隧道的IKE协商,生成一个与该IPSec隧道所对应并且到发送方VPN的路由。由于响应方网络设备与发送方网络设备建立多条IPSec隧道,响应方网络设备生成到发送方VPN内IP网段的多条等价路由。
发送方网络设备与响应方网络设备进行数据交互时,发送方网络设备向响应方网络设备发送数据报文时,对多条IPSec隧道进行检测,选择数据传输质量最好的的IPSec隧道向响应方网络设备发送数据报文。响应方网络设备查询到发送方VPN内IP网段的多条等价路由,响应方网络设备会随机选择一条路由,利用所选择的路由所对应的隧道向发送方网络设备发送数据报文。这样,会引起同一个业务的数据报文的来回路径不一致,导致业务中断。
发明内容
本发明实施例在于提供一种隧道选择方法、设备及系统,实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,提高传输业务数据报文的可靠性。
为此,本发明解决技术问题的技术方案是:
本发明实施例第一方面提供一种隧道选择方法,应用于发送方网络设备,所述方法包括:
发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;
所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的低优先级添加至第二IKE协商报文;
所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备,通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;
所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。
在本发明实施例第一方面第一种可能的实施方式中,所述方法还包括:
所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;
所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
结合本发明实施例第一方面至第一方面的第一种可能的实施方式,在第二种可能的实施方式中,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
本发明实施例第二方面提供一种隧道选择方法,应用于响应方网络设备,所述方法包括:
响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协商报文,通过所述第二IPSec隧道接收第二IKE协商报文;
所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;
所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;
所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;
所述响应方网络设备接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;
所述响应方网络设备选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
在本发明实施例第二方面第一种可能的实施方式中,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级为:
所述响应方网络设备解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。
本发明实施例第三方面提供一种发送方网络设备,所述设备包括:
设置单元,用于给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;
添加单元,用于将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的高优先级添加至第二IKE协商报文;
第一发送单元,用于通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备;
第二发送单元,用于通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;
第三发送单元,用于通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。
在本发明实施例第三方面第一种可能的实施方式中,所述设备还包括:
探测单元,用于探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
第一选择单元,用于选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;
第二选择单元,用于选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
结合本发明实施例第三方面至第三方面第一种可能的实施方式,在第二种可能的实施方式中,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
本发明实施例第四方面提供一种响应方网络设备,所述设备包括:
第一接收单元,用于通过所述第一IPSec隧道接收所述第一IKE协商报文;
第二接收单元,用于通过所述第二IPSec隧道接收第二IKE协商报文;
解析单元,用于解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;
生成单元,用于生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;
设置单元,用于根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;
第三接收单元,用于接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;
发送单元,用于选择高优先级的第一路选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
在本发明实施例第四方面第一种可能的实施方式中,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
则所述解析单元,具体用于解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。
11、一种隧道选择系统,其特征在于,所述系统包括:
本发明实施例第三方面至第三方面第二种可能的实施方式中所述的发送方网络设备以及本发明实施例第四方面至第四方面第一种可能的实施方式所述的响应方网络设备。通过上述技术方案可知,本发明实施例有如下有益效果:
本发明实施例提供了一种隧道选择方法、设备及系统,发送方网络设备在协商建立第一IPSec隧道的第一IKE协商报文中添加所述第一IPSec隧道的高优先级,在协商建立第二IPSec隧道的第二IKE协商报文中添加所述第二IPSec隧道的低优先级,响应方网络设备解析所述第一IKE协商报文获得所述第一IPSec隧道的高优先级,解析第二IKE协商报文获得所述第二IPSec隧道的低优先级,生成与所述第一IPSec隧道对应的第一路由,设置第一路由为高优先级,生成与所述第二IPSec隧道对应的第二路由,设置第二路由为低优先级。发送方网络设备通过高优先级的第一IPSec隧道向响应方网络设备发送业务数据报文,响应方网络设备选择高优先级的第一路由,即选择了与高优先级的第一路由对应的第一IPSec隧道向发送方网络设备返回业务数据报文,即通过第二IPSec隧道向发送方网络设备返回数据报文。实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,保证发送方网络设备与响应方网络设备业务数据报文传输路径保持一致,避免选择不同的传输路径导致数据报文丢失,提高传输业务数据报文的可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的隧道选择方法流程图;
图2为本发明实施例ISAKMP通知消息的报文结构示意图;
图3为本发明实施例提供的隧道选择方法流程图;
图4为本发明实施例提供的发送方网络设备结构示意图;
图5为本发明实施例提供的响应方网络设备结构示意图;
图6为本发明实施例提供的隧道选择系统结构示意图;
图7为本发明实施例提供的发送方网络设备结构示意图;
图8为本发明实施例提供的响应方网络设备结构示意图;
图9为本发明实施例提供的隧道选择系统结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。
在点对点VPN网络系统中,发送方网络设备(Spoke)是主动发起IKE协商,建立IPSec隧道的网络设备。响应方网络设备(HUB)是提供多个因特网服务提供方(Internet Service Provider,ISP)接口,响应其他网络设备的IKE协商的网设备。一个网络设备既可以作为发送方网络设备,也可以作为其他网络设备的响应方网络设备。
图1为本发明实施例提供的隧道选择方法流程图,所述方法包括:
步骤101:发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级。
响应方网络设备给发送方网络设备提供多个ISP接口,发送方网络设备可以分别通过每个ISP接口发送一个因策网密钥交换协议IKE协商,通过该ISP接口建立一条IPSec隧道。发送方网络设备可以跟响应方网络设备建立多条IPSec隧道。本发明实施例中,以发送方网络设备与响应方网络设备建立两条IPSec隧道为例进行说明,建立多条IPSec隧道的技术实现方法与建立两条IPSec隧道的技术实现方法类似,这里不再赘述。
响应方网络设备给发送方网络设备提供第一ISP接口和第二ISP接口,发送方网络设备通过第一ISP接口向响应方网络设备发起第一IKE协商,建立第一IPSec隧道;发送方网络设备通过第二ISP接口向响应方网络设备发起第二IKE协商,建立第二IPSec隧道。
发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级。发送方网络设备在给所建立的IPSec隧道设置优先级时,可以根据实际需要自行设定。例如,可以将IPSec隧道编号小的设置为高优先级,将IPSec隧道编号大的设置为低优先级。
在一个实施例中,所述方法还包括:
所述发送方网络设备所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;
所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
在此实施例中,发送方网络设备所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量。具体实现时,发送方网络设备可以探测两条IPSec隧道对数据报文的传输速度,认为对数据报文传输速度快的IPSec隧道传输质量好,认为对数据报文传输速度慢的IPSec隧道传输质量差。发送方网络设备还可以探测两条IPSec隧道传输数据报文的稳定性,认为传输数据报文稳定性高的IPSec隧道传输质量好,认为传输数据报文稳定性低的IPSec隧道传输质量差。可以理解的是,将对数据报文传输质量高的IPSec隧道作为第一IPSec隧道,设置高优先级;将对数据报文传输质量差的IPSec隧道作为第二IPSec隧道,设置低优先级。
步骤102:所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的高优先级添加至第二IKE协商报文。
发送方网络设备建立第一IPSec隧道时,与响应方网络设备建立第一IKE协商,发送的是第一IKE协商报文,在第一IKE协商报文中添加所述第一IPSec隧道的高优先级。发送方网络设备建立第二IPSec隧道时,与响应方网络设备建立第二IKE协商,发送的是第二IKE协商报文,在第二IKE协商报文中添加所述第二IPSec隧道的低优先级。
可选的,所述第一IKE协商报文和第二IKE协商报文都是因特网安全联盟和密钥管理协议ISAKMP通知消息。
发送方网络设备在第一ISAKMP通知消息中添加所述第一IPSec隧道的高优先级,在第二ISAKMP通知消息中添加所述第二IPSec隧道的低优先级。因特网安全联盟和密钥管理协议(Internet Security Association and KeyManagement Protocol,ISAKMP)通知消息的报文结构如图2所示,可以在通知消息类型(Notify Message Type)或通知数据(Notification Data)的自定义区域添加所协商建立的IPSec隧道的优先级。例如:可以在Notify Message Type的第31bit至第8189bit的Reserved,或者第8192bit至第16383bit的Private Use中自定义添加IPSec隧道的优先级添加的区域。这里需要说明的是,还可以在SAKMP通知消息的其他可自定义区域设置添加IPSec隧道的优先级添加的区域,这里不再赘述。
步骤103:所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备,通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备。
步骤104:所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。
发送方网络设备将第一IKE协商报文通过第一IPSec隧道发送至响应方网类设备,所述第一IKE协商报文携带有第一IPSec隧道的高优先级;发送方网络设备将第二IKE协商报文通过第二IPSec隧道发送至响应方网类设备,所述第二IKE协商报文携带有第二IPSec隧道的低优先级;
发送方网络设备与响应方网络设备建立好IPSec隧道后,发送方网络设备选择优先级高的第一IPSec隧道向响应方网络设备传输业务数据报文。
图3为本发明实施例提供的隧道选择方法流程图,所述方法包括:
步骤301:响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协商报文,通过所述第二IPSec隧道接收第二IKE协商报文。
步骤302:所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级。
响应方网络设备接收到发送方网络设备从第一IPSec隧道发送的第一IKE协商报文,解析第一IKE协商报文中携带的第一IPSec隧道的高优先级;响应方网络设备接收到发送方网络设备从第二IPSec隧道发送的第二IKE协商报文,解析第二IKE协商报文中携带的第二IPSec隧道的低优先级。
步骤303:所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由。
步骤304:所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级。
响应方网络设备利用反响路由注入(Reverse Route Injection,RRI)技术,生成到发送方VPN网络内的,与所述第一IPSec隧道对应的第一路由,当响应方网络设备选择第一路由发送数据报文时,数据报文将会通过第一IPSec隧道发送。响应方网络设备生成到发送方VPN网络内的,与所述第二IPSec隧道对应的第二路由,当响应方网络设备选择第二路由发送数据报文时,数据报文将会通过第二IPSec隧道发送。
则响应方网络设备给所生成的第一路由设置与第一IPSec隧道相同的优先级,设置第一路由为高优先级;响应方网络设备给所生成的第二路由设置与第二IPSec隧道相同的优先级,设置第二路由为低优先级。即,响应方网络设备给IPSec隧道,以及与该IPSec隧道对应的路由设置相同的优先级。
步骤305:所述响应方网络设备接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文。
步骤306:所述响应方网络设备选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
所述发送方网络设备会选择高优先级的第一IPSec隧道向响应方网络设备发送业务数据报文。响应方网络设备可以在路由表中查找到所述发送方网络设备所在的VPN网络内的两条路由:第一路由和第二路由。响应方网络设备选择优先级高的第一路由,即选择与所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。实现发送方网络设备和响应方网络设备之间业务数据报文交互时,所采用的数据报文的传输路径一致。
这里需要说明的是,本发明实施例中以发送方网络设备和响应方网络设备建立两条IPSec隧道为例进行说明。在实际应用中,不仅限于建立两条IPSec隧道。在建立多条IPSec隧道时,发送方网络设备选择优先级别最高的IPSec隧道向响应方发送业务数据报文,响应方网络设备从路由表中查询到发送方网络设备所在的VPN网络内优先级最高的路由,优先级最高的路由与优先级最高的IPSec隧道对应,即响应方网络设备也选择了优先级最高的IPSec隧道向发送方网络设备返回业务数据报文。实现发送方网络设备和响应方网络设备业务数据报文交互路径的一致性。
有上述内容可知,本发明实施例有如下有益效果:
发送方网络设备通过高优先级的第一IPSec隧道向响应方网络设备发送业务数据报文,响应方网络设备选择高优先级的第一路由,即选择了与高优先级的第一路由对应的第一IPSec隧道向发送方网络设备返回业务数据报文,即通过第二IPSec隧道向发送方网络设备返回数据报文。实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,保证发送方网络设备与响应方网络设备业务数据报文传输路径保持一致,避免选择不同的传输路径导致数据报文丢失,提高传输业务数据报文的可靠性。
图4为本发明实施例提供的发送方网络设备结构示意图,所述设备包括:
设置单元401,用于给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级。
添加单元402,用于将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的高优先级添加至第二IKE协商报文。
第一发送单元403,用于通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备;通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。
第二发送单元404,用于通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备。
本发明实施例提供的一个实施例中,所述设备还包括:
探测单元,用于探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
第一选择单元,用于选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;
第二选择单元,用于选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
本发明实施例提供的另一个实施例中,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
图4所示的发送方网络设备是与图1所示的隧道选择方法所对应的设备,与图1所示的隧道选择方法实施方法类似,参考图1所示的隧道选择方法的描述,这里不再赘述。
图5为本发明实施例提供的响应方网络设备结构示意图,所述设备包括:
第一接收单元501,用于通过所述第一IPSec隧道接收所述第一IKE协商报文;接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文。
第二接收单元502,用于通过所述第二IPSec隧道接收第二IKE协商报文。
解析单元503,用于解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级。
生成单元504,用于生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由。
设置单元505,用于根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级。
发送单元506,用于选择高优先级的第一路选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
本发明实施例提供的一个实施例中,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
则所述解析单元,具体用于解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。
图5所示的响应方网络设备是与图3所示的隧道选择方法所对应的设备,与图3所示的隧道选择方法实施方法类似,参考图3所示的隧道选择方法的描述,这里不再赘述。
图6为本发明实施例提供的隧道选择系统结构示意图,所述系统包括:
图4所示的发送方网络设备601以及图5所示的的响应方网络设备602。
图7为本发明实施例提供的发送方网络设备结构示意图,所述设备包括:
处理器701,以及与所述处理器701分别相连的第一发送端口702和第二发送端口703;
所述处理器701,用于给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的高优先级添加至第二IKE协商报文;
所述第一发送端口702,用于通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备;通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文;
所述第二发送端口703,用于通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备。
本发明实施例提供的一个实施例中,所述处理器701,还用于探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
本发明实施例提供的另一个实施例中,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
图7所示的发送方网络设备是与图1所示的隧道选择方法所对应的设备,与图1所示的隧道选择方法实施方法类似,参考图1所示的隧道选择方法的描述,这里不再赘述。
图8为本发明实施例提供的响应方网络设备结构示意图,所述设备包括:
第一接收端口801,第二接收端口802,分别与所述第一接收端口801和所述第二接收端口802相连的处理器803,以及与所述处理器803相连的发送端口804;
所述第一接收端口801,用于通过所述第一IPSec隧道接收所述第一IKE协商报文;接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;
所述第二接收端口802,用于通过所述第二IPSec隧道接收第二IKE协商报文;
所述处理器803,用于解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;
发送端口804,用于选择高优先级的第一路选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
本发明实施例提供的一个实施例中,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
则所述处理器,具体用于解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。
图8所示的响应方网络设备是与图3所示的隧道选择方法所对应的设备,与图3所示的隧道选择方法实施方法类似,参考图3所示的隧道选择方法的描述,这里不再赘述。
图9为本发明实施例提供的隧道选择系统结构示意图,所述系统包括:
图7所示的发送方网络设备901以及图8所示的的响应方网络设备902。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种隧道选择方法,其特征在于,应用于发送方网络设备,所述方法包括:
发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;
所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的低优先级添加至第二IKE协商报文;
所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备,通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;
所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;
所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
3.根据权利要求1-2任意一项所述的方法,其特征在于,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
4.一种隧道选择方法,其特征在于,应用于响应方网络设备,所述方法包括:
响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协商报文,通过所述第二IPSec隧道接收第二IKE协商报文;
所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;
所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;
所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;
所述响应方网络设备接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;
所述响应方网络设备选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
5.根据权利要求4所述的方法,其特征在于,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级为:
所述响应方网络设备解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。
6.一种发送方网络设备,其特征在于,所述设备包括:
设置单元,用于给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;
添加单元,用于将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的高优先级添加至第二IKE协商报文;
第一发送单元,用于通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备;
第二发送单元,用于通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;
第三发送单元,用于通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。
7.根据权利要求6所述的设备,其特征在于,所述设备还包括:
探测单元,用于探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
第一选择单元,用于选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;
第二选择单元,用于选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
8.根据权利要求6-7任意一项所述的方法,其特征在于,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
9.一种响应方网络设备,其特征在于,所述设备包括:
第一接收单元,用于通过所述第一IPSec隧道接收所述第一IKE协商报文;
第二接收单元,用于通过所述第二IPSec隧道接收第二IKE协商报文;
解析单元,用于解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;
生成单元,用于生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;
设置单元,用于根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;
第三接收单元,用于接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;
发送单元,用于选择高优先级的第一路选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
10.根据权利要求9所述的设备,其特征在于,
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
则所述解析单元,具体用于解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。
11.一种隧道选择系统,其特征在于,所述系统包括:
权利要求6-8任意一项所述的发送方网络设备以及权利要求9-10任意一项所述的响应方网络设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410843381.XA CN104601430B (zh) | 2014-12-30 | 2014-12-30 | 一种隧道选择方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410843381.XA CN104601430B (zh) | 2014-12-30 | 2014-12-30 | 一种隧道选择方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104601430A true CN104601430A (zh) | 2015-05-06 |
| CN104601430B CN104601430B (zh) | 2018-05-04 |
Family
ID=53126951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410843381.XA Active CN104601430B (zh) | 2014-12-30 | 2014-12-30 | 一种隧道选择方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104601430B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600228A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种IPSec链路选择方法及装置 |
| CN109905310A (zh) * | 2019-03-26 | 2019-06-18 | 杭州迪普科技股份有限公司 | 数据传输方法、装置、电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080155677A1 (en) * | 2006-12-22 | 2008-06-26 | Mahmood Hossain | Apparatus and method for resilient ip security/internet key exchange security gateway |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN102098207A (zh) * | 2009-12-09 | 2011-06-15 | 华为技术有限公司 | 建立因特网协议安全IPSec通道的方法、装置和系统 |
| CN103067956A (zh) * | 2013-01-22 | 2013-04-24 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
-
2014
- 2014-12-30 CN CN201410843381.XA patent/CN104601430B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080155677A1 (en) * | 2006-12-22 | 2008-06-26 | Mahmood Hossain | Apparatus and method for resilient ip security/internet key exchange security gateway |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN102098207A (zh) * | 2009-12-09 | 2011-06-15 | 华为技术有限公司 | 建立因特网协议安全IPSec通道的方法、装置和系统 |
| CN103067956A (zh) * | 2013-01-22 | 2013-04-24 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600228A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种IPSec链路选择方法及装置 |
| CN109905310A (zh) * | 2019-03-26 | 2019-06-18 | 杭州迪普科技股份有限公司 | 数据传输方法、装置、电子设备 |
| CN109905310B (zh) * | 2019-03-26 | 2020-12-29 | 杭州迪普科技股份有限公司 | 数据传输方法、装置、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104601430B (zh) | 2018-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102860092B (zh) | 用于确定接入点服务能力的方法和设备 | |
| CN104767666B (zh) | 虚拟可扩展局域网隧道终端建立隧道方法和设备 | |
| CN103108089B (zh) | 网络系统的连线建立管理方法及其相关系统 | |
| CN104253759A (zh) | 报文转发方法、装置及系统 | |
| CN103746881B (zh) | Evi网络中的邻居状态检测方法及装置 | |
| CN104767680B (zh) | 路由快速切换的方法和装置 | |
| CN113841363B (zh) | 在不同路由协议的网络和设备间建立通信的系统和方法 | |
| CN104518936B (zh) | 链路动态聚合方法和装置 | |
| CN102457404B (zh) | 检测通信路径mtu的方法、装置和系统 | |
| CN102857421B (zh) | 一种vll故障检测方法及设备 | |
| JP2016514934A (ja) | 他のネットワークデバイスから受信したサイト−タイプ属性に基づくトンネル確立制御を備えたネットワークデバイス | |
| CN103259791B (zh) | 一种穿越通信选路方法、终端及系统 | |
| CN104601430A (zh) | 一种隧道选择方法、设备及系统 | |
| CN102769552A (zh) | 一种通过bfd检测lsp时传输bfd报文的方法和设备 | |
| WO2014206354A1 (zh) | 一种流量工程标签交换路径的建立方法、设备和系统 | |
| CN104009919A (zh) | 报文转发方法及装置 | |
| US20200213878A1 (en) | Method and apparatus for controlling network sensors | |
| WO2016155204A1 (zh) | 报文的测试处理方法及装置 | |
| CN107995008B (zh) | 一种业务告警处理方法、装置及系统 | |
| CN105049300A (zh) | 一种检测nat网络类型的方法及装置 | |
| CN112887185B (zh) | 一种叠加网络的通信方法及装置 | |
| CN104022954A (zh) | 报文转发方法及装置 | |
| EP2728814B1 (en) | Method and device for acquiring identifier of maintenance end point | |
| CN112838982A (zh) | 报文传输路径的切换方法、设备和系统 | |
| CN103763718B (zh) | 选择基站的方法、网关、基站、移动终端及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |