CN105072010B - 一种数据流信息确定方法和装置 - Google Patents
一种数据流信息确定方法和装置 Download PDFInfo
- Publication number
- CN105072010B CN105072010B CN201510355365.0A CN201510355365A CN105072010B CN 105072010 B CN105072010 B CN 105072010B CN 201510355365 A CN201510355365 A CN 201510355365A CN 105072010 B CN105072010 B CN 105072010B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- traffic flow
- flow information
- address
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据流信息确定方法和装置,包括:第一网络设备接收第二网络设备发送的协商报文,协商报文携带第一数据流信息和第二网络设备所支持的IPsec封装模式,第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址;第一网络设备根据第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商;若协商结果为采用传输模式,则第一网络设备根据协商报文的报文头确定第一网络设备进行IPsec保护的数据流对应的第二数据流信息;若协商结果为采用隧道模式,则第一网络设备根据第一数据流信息确定第一网络设备进行IPsec保护的数据流对应的第二数据流信息。本发明实施例中,可协商出IPsec隧道采用的封装模式,建立IPsec隧道。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种数据流信息确定方法和装置。
背景技术
IPsec(IP Security,互联网安全性协议)是三层隧道加密协议,为互联网上传输的数据提供基于密码学的安全保证,是实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPsec通过在本端设备和对端设备之间建立IPsec隧道,保护本端设备和对端设备之间传输的数据。IPsec支持两种封装模式:传输模式和隧道模式。
DVPN(Dynamic Virtual Private Network,动态虚拟专用网络)技术可以通过NHRP(Next Hop Resolution Protocol,下一跳解析协议)或者VAM(VPN AddressManagement,虚拟专用网络地址管理)协议收集、维护和分发动态变化的公网地址等信息,解决了无法事先获得对端设备的公网地址的问题。
DVPN网络中,受IPsec保护的数据流在传输模式和隧道模式下受保护的起点和终点是不同的,对于隧道模式,IPsec保护的数据流是“从本端的私网地址到对端的私网地址”;传输模式下,IPsec保护的数据流是“本端的私网地址到对端的经过NAT转换的公网地址”。
如图1所示,为DVPN的组网示意图,由于网络设备(如中心设备(Hub设备)或者分支设备(Spoke设备))可能位于NAT(Network Address Translation,网络地址转换)设备后面,在图1中,Spoke1的私网地址为IP1,经过NAT转换的公网地址为IP3;Spoke2的私网地址为IP2,经过NAT转换的公网地址为IP4。
为了对Spoke1与Spoke2之间传输的数据流进行IPsec保护,需要在Spoke1上指定Spoke2的数据流信息,只有匹配该数据流信息的数据流才能够进行IPsec保护。假设IPsec隧道采用隧道模式,则IPsec保护的数据流的源地址为IP1,目的地址为IP2,因此数据流信息为IP1和IP2。假设IPsec隧道采用传输模式,则IPsec保护的数据流的源地址为IP1,目的地址为IP4,因此数据流信息为IP1和IP4。
为了在Spoke1与Spoke2之间建立IPsec隧道,该Spoke1会向Spoke2发送IKE(Internet Key Exchange,互联网密钥交换)协商报文,IKE协商报文中只能携带一个数据流信息,Spoke2利用该数据流信息完成IPsec协商,并最终建立IPsec隧道。Spoke1支持IPsec隧道采用传输模式时,Spoke1向Spoke2发送的IKE协商报文中携带的数据流信息为IP1和IP4;Spoke1支持IPsec隧道采用隧道模式时,Spoke1向Spoke2发送的IKE协商报文中携带的数据流信息为IP1和IP2。
在上述方式中,Spoke1只支持IPsec隧道采用传输模式或者隧道模式,而当Spoke1同时支持IPsec隧道采用传输模式和隧道模式时,则无法在Spoke1与Spoke2之间协商出IPsec隧道采用的封装模式,也就无法确定出Spoke1和Spoke2需要进行IPsec保护的数据流对应的数据流信息,继而无法建立IPsec隧道。
发明内容
本发明实施例提供一种数据流信息确定方法,所述方法包括:
第一网络设备接收第二网络设备发送的协商报文,所述协商报文携带第一数据流信息和所述第二网络设备所支持的IPsec封装模式,所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址;
所述第一网络设备根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商;
若协商结果为采用传输模式,则所述第一网络设备根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;
若协商结果为采用隧道模式,则所述第一网络设备根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息。
所述方法进一步包括:
所述第一网络设备作为响应方时,所述协商报文具体为:所述第二网络设备主动向所述第一网络设备发送的IKE协商报文;
所述第一网络设备作为发起方时,所述协商报文具体为:所述第二网络设备在接收到所述第一网络设备发送的IKE协商报文后针对所述第一网络设备发送的IKE协商报文反馈的IKE协商响应报文。
若所述第一网络设备作为响应方,所述第二网络设备所支持的IPsec封装模式包括:传输模式和/或隧道模式;
若所述第一网络设备作为发起方,所述第二网络设备所支持的IPsec封装模式包括:传输模式或隧道模式。
进一步的,所述第一网络设备根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息,具体包括:
所述第一网络设备提取所述协商报文的报文头中的源地址和目的地址,将所述报文头中的源地址确定为所述第二数据流信息中的目的地址,将所述报文头中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述报文头中的源地址为所述第二网络设备的经过NAT转换后的公网地址,所述报文头中的目的地址为所述第一网络设备的私网地址。
进一步的,所述第一网络设备根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息,具体包括:
所述第一网络设备提取所述第一数据流信息中的源地址和目的地址,将所述第一数据流信息中的源地址确定为所述第二数据流信息中的目的地址,将所述第一数据流信息中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述第一数据流信息中的源地址为所述第二网络设备的私网地址,所述第一数据流中的目的地址为所述第一网络设备的私网地址。
本发明实施例还提供一种数据流信息确定装置,所述装置应用于第一网络设备,所述装置包括:
接收模块,用于接收第二网络设备发送的协商报文,所述协商报文携带第一数据流信息和所述第二网络设备所支持的IPsec封装模式,所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址;
协商模块,用于根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商;
第一确定模块,用于当协商结果为采用传输模式时,根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;
第二确定模块,用于当协商结果为采用隧道模式时,根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息。
进一步的,当所述第一网络设备作为响应方时,所述协商报文具体为:所述第二网络设备主动向所述第一网络设备发送的IKE协商报文;
当所述第一网络设备作为发起方时,所述协商报文具体为:所述第二网络设备在接收到所述第一网络设备发送的IKE协商报文后针对所述第一网络设备发送的IKE协商报文反馈的IKE协商响应报文。
当所述第一网络设备作为响应方时,所述第二网络设备所支持的IPsec封装模式包括:传输模式和/或隧道模式;
当所述第一网络设备作为发起方时,所述第二网络设备所支持的IPsec封装模式包括:传输模式或隧道模式。
进一步的,所述第一确定模块,具体用于:
提取所述协商报文的报文头中的源地址和目的地址,将所述报文头中的源地址确定为所述第二数据流信息中的目的地址,将所述报文头中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述报文头中的源地址为所述第二网络设备的经过NAT转换后的公网地址,所述报文头中的目的地址为所述第一网络设备的私网地址。
进一步的,所述第二确定模块,具体用于:
提取所述第一数据流信息中的源地址和目的地址,将所述第一数据流信息中的源地址确定为所述第二数据流信息中的目的地址,将所述第一数据流信息中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述第一数据流信息中的源地址为所述第二网络设备的私网地址,所述第一数据流中的目的地址为所述第一网络设备的私网地址。
基于上述技术方案,本发明实施例中,在DVPN中,当网络设备支持的IPsec封装模式为传输模式和隧道模式时,可以通过在协商报文中携带网络设备支持的至少一种IPsec封装模式和数据流信息,以使该网络设备和其它网络设备之间协商出IPsec封装模式,并且可以根据协商结果从协商报文的相应部分中确定出需要该网络设备进行IPsec保护的数据流对应的数据流信息。
附图说明
图1是现有技术中提出的DVPN的组网示意图;
图2是本发明实施例提供的一种数据流信息确定方法流程示意图;
图3是本发明实施例提供的一种数据流信息确定装置的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种数据流信息确定方法,该方法可以应用于包括第一网络设备和第二网络设备的DVPN中,且第一网络设备和第二网络设备位于NAT设备后面,因此,第一网络设备有对应的公网地址(即NAT转换后的地址)和私网地址,而且第二网络设备有对应的公网地址(即NAT转换后的地址)和私网地址。
以图1为本发明实施例的应用场景示意图,DVPN组网中包括Spoke1、Spoke2、NAT1、NAT2,Hub1,VAM服务器,Spoke1的私网地址为IP1,经过NAT转换的公网地址为IP3,Spoke2的私网地址为IP2,经过NAT转换的公网地址为IP4。当在Spoke1与Spoke2之间建立IPsec隧道时,Spoke1为第一网络设备,Spoke2为第二网络设备。
在上述应用场景下,如图2所示,该数据流信息确定方法具体可以包括以下步骤:
步骤201、第一网络设备接收第二网络设备发送的协商报文,协商报文携带第一数据流信息和第二网络设备所支持的IPsec封装模式,第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址。
具体的,第一网络设备可以作为响应方,还可以作为发起方;
当第一网络设备作为响应方时,协商报文具体为:第二网络设备主动向第一网络设备发送的IKE协商报文,在此情况下,第二网络设备所支持的IPsec封装模式包括:传输模式和/或隧道模式;
第一网络设备作为发起方时,协商报文具体为:第二网络设备在接收到第一网络设备发送的IKE协商报文后针对第一网络设备发送的IKE协商报文反馈的IKE协商响应报文,在此情况下,第二网络设备所支持的IPsec封装模式包括:传输模式或隧道模式。在此情况下,IKE协商响应报文中携带的IPsec封装模式为第一网络设备和第二网络设备均支持的一种模式。
本发明实施例中,各网络设备均会通过注册消息将本网络设备的私网地址和公网地址发送给VAM服务器,以使VAM服务器维护各网络设备的私网地址和公网地址。具体的,第一网络设备通过注册消息将第一网络设备的私网地址和公网地址发送给VAM服务器,第二网络设备通过注册消息将第二网络设备的私网地址和公网地址发送给VAM服务器。因此,VAM服务器可以维护第一网络设备的私网地址和公网地址、第二网络设备的私网地址和公网地址。例如,VAM服务器通过接收注册消息,可以获得Spoke1的私网地址IP1和公网地址IP3,并获得Spoke2的私网地址IP2和公网地址IP4。
以下以第一网络设备作为发送方来进行说明,在此情况下,第一网络设备需要向第二网络设备发送IKE协商消息,需要获得第二网络设备的私网地址和公网地址,因此,第一网络设备可以向VAM服务器发送用于请求第二网络设备的私网地址和公网地址的查询消息;VAM服务器通过查询响应消息将第二网络设备的私网地址和公网地址发送给第一网络设备;第一网络设备接收来自VAM服务器的携带第二网络设备的私网地址和公网地址的查询响应消息,并获得第二网络设备的私网地址和公网地址。例如,Spoke1通过向VAM服务器发送针对Spoke2的查询消息,以从来自VAM服务器的查询响应消息中获得Spoke2的私网地址IP2和公网地址IP4;当然,若第一网络设备作为响应方,由于是第二网络设备向第一网络设备发送IKE协商消息,因此就是第二网络设备需要获取第一网络设备的私网地址和公网地址,其具体的过程类似,在此不再进行赘叙。
步骤202、第一网络设备根据第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商。
由步骤201,当第一网络设备作为发起方时,如本发明所要面临的技术场景,作为发起方的第一网络设备所支持的IPsec封装模式为传输模式和隧道模式,因此当第二网络设备所支持的IPsec封装模式为传输模式时,第一网络设备可以选择IPsec封装模式为传输模式,也即确定协商的结果为采取传输模式;而当第二网络设备所支持的IPsec封装模式为隧道模式时,第一网络设备可以选择IPsec封装模式为隧道模式,也即确定协商的结果为采取隧道模式。
而当第一网络设备作为响应方时,第二网络设备所支持的IPsec封装模式为传输模式和隧道模式,在此情况下,若第一网络设备也支持IPsec封装模式为传输模式和隧道模式,则可以任选一种,而若是第一网络设备支持的为传输模式或隧道模式,则与上述的过程类似,总之,选择一种两个网络设备都支持的IPsec封装模式,在此不再进行赘叙。
当协商的结果为采取传输模式时,执行步骤203,而若协商的结果为采取隧道模式,则执行步骤204。
步骤203、若协商结果为采用传输模式,则第一网络设备根据协商报文的报文头确定第一网络设备进行IPsec保护的数据流对应的第二数据流信息。
在此情况下,确定第二数据流信息的过程如下:
第一网络设备提取协商报文的报文头中的源地址和目的地址,将报文头中的源地址确定为第二数据流信息中的目的地址,将报文头中的目的地址确定为第二数据流信息中的源地址;其中,报文头中的源地址为第二网络设备的经过NAT转换后的公网地址,报文头中的目的地址为第一网络设备的私网地址;具体的,由于协商报文是从第二网络设备发送给第一网络设备的,因此协商报文的报文头中的目的地址为第一网络设备的私网地址,而由于协商报文经过NAT设备时,NAT设备将该协商报文的源地址由第二网络设备的私网地址修改为公网地址后进入公网,因此报文头中的源地址是第二网络设备的经过NAT转换后的公网地址;例如如图1所示,第一网络设备提取的协商报文的报文头中的源地址为IP4,目的地址为IP1,因此第二数据流信息中的源地址为IP1,目的地址为IP4。
步骤204、若协商结果为采用隧道模式,则第一网络设备根据第一数据流信息确定第一网络设备进行IPsec保护的数据流对应的第二数据流信息。
在此情况下,确定第二数据流信息的过程如下:
第一网络设备提取第一数据流信息中的源地址和目的地址,将第一数据流信息中的源地址确定为第二数据流信息中的目的地址,将第一数据流信息中的目的地址确定为第二数据流信息中的源地址;其中,第一数据流信息中的源地址为第二网络设备的私网地址,第一数据流中的目的地址为第一网络设备的私网地址;例如如图1所示,第一网络设备提取的协商报文的报文头中的源地址为IP2,目的地址为IP1,因此第二数据流信息中的源地址为IP1,目的地址为IP2。
本发明实施例中,在DVPN中,当网络设备支持的IPsec封装模式为传输模式和/或隧道模式时,可以通过在协商报文中携带网络设备支持的至少一种IPsec封装模式和数据流信息,以使该网络设备和其它网络设备之间协商出IPsec封装模式,并且可以根据协商结果从协商报文的相应部分中确定出需要该网络设备进行IPsec保护的数据流对应的数据流信息。。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种数据流信息确定装置,其特征在于,所述装置应用于第一网络设备,所述装置如图3所示,具体包括:
接收模块31,用于接收第二网络设备发送的协商报文,所述协商报文携带第一数据流信息和所述第二网络设备所支持的IPsec封装模式,所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址;
协商模块32,用于根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商;
第一确定模块33,用于当协商结果为采用传输模式时,根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;
第二确定模块34,用于当协商结果为采用隧道模式时,根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息。
具体的,当所述第一网络设备作为响应方时,所述协商报文具体为:所述第二网络设备主动向所述第一网络设备发送的IKE协商报文;
当所述第一网络设备作为发起方时,所述协商报文具体为:所述第二网络设备在接收到所述第一网络设备发送的IKE协商报文后针对所述第一网络设备发送的IKE协商报文反馈的IKE协商响应报文。
当所述第一网络设备作为响应方时,所述第二网络设备所支持的IPsec封装模式包括:传输模式和/或隧道模式;
当所述第一网络设备作为发起方时,所述第二网络设备所支持的IPsec封装模式包括:传输模式或隧道模式。
所述第一确定模块33,具体用于:
提取所述协商报文的报文头中的源地址和目的地址,将所述报文头中的源地址确定为所述第二数据流信息中的目的地址,将所述报文头中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述报文头中的源地址为所述第二网络设备的经过NAT转换后的公网地址,所述报文头中的目的地址为所述第一网络设备的私网地址。
所述第二确定模块34,具体用于:
提取所述第一数据流信息中的源地址和目的地址,将所述第一数据流信息中的源地址确定为所述第二数据流信息中的目的地址,将所述第一数据流信息中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述第一数据流信息中的源地址为所述第二网络设备的私网地址,所述第一数据流中的目的地址为所述第一网络设备的私网地址。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令
用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种数据流信息确定方法,其特征在于,所述方法包括:
第一网络设备接收第二网络设备发送的协商报文,所述协商报文携带第一数据流信息和所述第二网络设备所支持的互联网安全性协议IPsec封装模式,所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址;
所述第一网络设备根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商;
若协商结果为采用传输模式,则所述第一网络设备根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;其中,根据所述协商报文的报文头确定出的第二数据流信息的源地址为该报文头的目的地址、目的地址为该报文头的源地址;
若协商结果为采用隧道模式,则所述第一网络设备根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;其中,根据第一数据流信息确定出的第二数据流信息的源地址为该第一数据流信息中的目的地址、目的地址为该第一数据流信息中的源地址。
2.如权利要求1所述的方法,其特征在于,
所述第一网络设备作为响应方时,所述协商报文具体为:所述第二网络设备主动向所述第一网络设备发送的互联网密钥交换IKE协商报文;
所述第一网络设备作为发起方时,所述协商报文具体为:所述第二网络设备在接收到所述第一网络设备发送的IKE协商报文后针对所述第一网络设备发送的IKE协商报文反馈的IKE协商响应报文。
3.权利要求2所述的方法,其特征在于,
若所述第一网络设备作为响应方,所述第二网络设备所支持的IPsec封装模式包括:传输模式和/或隧道模式;
若所述第一网络设备作为发起方,所述第二网络设备所支持的IPsec封装模式包括:传输模式或隧道模式。
4.如权利要求1所述的方法,其特征在于,所述第一网络设备根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息,具体包括:
所述第一网络设备提取所述协商报文的报文头中的源地址和目的地址,将所述报文头中的源地址确定为所述第二数据流信息中的目的地址,将所述报文头中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述报文头中的源地址为所述第二网络设备的经过网络地址转换NAT转换后的公网地址,所述报文头中的目的地址为所述第一网络设备的私网地址。
5.如权利要求1所述的方法,其特征在于,所述第一网络设备根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息,具体包括:
所述第一网络设备提取所述第一数据流信息中的源地址和目的地址,将所述第一数据流信息中的源地址确定为所述第二数据流信息中的目的地址,将所述第一数据流信息中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述第一数据流信息中的源地址为所述第二网络设备的私网地址,所述第一数据流中的目的地址为所述第一网络设备的私网地址。
6.一种数据流信息确定装置,其特征在于,所述装置应用于第一网络设备,所述装置包括:
接收模块,用于接收第二网络设备发送的协商报文,所述协商报文携带第一数据流信息和所述第二网络设备所支持的互联网安全性协议IPsec封装模式,所述第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址;
协商模块,用于根据所述第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商;
第一确定模块,用于当协商结果为采用传输模式时,根据所述协商报文的报文头确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;其中,根据所述协商报文的报文头确定出的第二数据流信息的源地址为该报文头的目的地址、目的地址为该报文头的源地址;
第二确定模块,用于当协商结果为采用隧道模式时,根据所述第一数据流信息确定所述第一网络设备进行IPsec保护的数据流对应的第二数据流信息;其中,根据第一数据流信息确定出的第二数据流信息的源地址为该第一数据流信息中的目的地址、目的地址为该第一数据流信息中的源地址。
7.如权利要求6所述的装置,其特征在于,
当所述第一网络设备作为响应方时,所述协商报文具体为:所述第二网络设备主动向所述第一网络设备发送的互联网密钥交换IKE协商报文;
当所述第一网络设备作为发起方时,所述协商报文具体为:所述第二网络设备在接收到所述第一网络设备发送的IKE协商报文后针对所述第一网络设备发送的IKE协商报文反馈的IKE协商响应报文。
8.权利要求7所述的装置,其特征在于,
当所述第一网络设备作为响应方时,所述第二网络设备所支持的IPsec封装模式包括:传输模式和/或隧道模式;
当所述第一网络设备作为发起方时,所述第二网络设备所支持的IPsec封装模式包括:传输模式或隧道模式。
9.如权利要求6所述的装置,其特征在于,所述第一确定模块,具体用于:
提取所述协商报文的报文头中的源地址和目的地址,将所述报文头中的源地址确定为所述第二数据流信息中的目的地址,将所述报文头中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述报文头中的源地址为所述第二网络设备的经过网络地址转换NAT转换后的公网地址,所述报文头中的目的地址为所述第一网络设备的私网地址。
10.如权利要求6所述的装置,其特征在于,所述第二确定模块,具体用于:
提取所述第一数据流信息中的源地址和目的地址,将所述第一数据流信息中的源地址确定为所述第二数据流信息中的目的地址,将所述第一数据流信息中的目的地址确定为所述第二数据流信息中的源地址;
其中,所述第一数据流信息中的源地址为所述第二网络设备的私网地址,所述第一数据流中的目的地址为所述第一网络设备的私网地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510355365.0A CN105072010B (zh) | 2015-06-23 | 2015-06-23 | 一种数据流信息确定方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510355365.0A CN105072010B (zh) | 2015-06-23 | 2015-06-23 | 一种数据流信息确定方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105072010A CN105072010A (zh) | 2015-11-18 |
| CN105072010B true CN105072010B (zh) | 2018-11-27 |
Family
ID=54501297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510355365.0A Active CN105072010B (zh) | 2015-06-23 | 2015-06-23 | 一种数据流信息确定方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105072010B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302424B (zh) * | 2016-08-08 | 2020-10-13 | 新华三技术有限公司 | 一种安全隧道的建立方法及装置 |
| CN111182540B (zh) * | 2018-12-14 | 2022-04-22 | 维沃移动通信有限公司 | 数据传送的保障方法及通信设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
| CN104426737A (zh) * | 2013-08-30 | 2015-03-18 | 杭州华三通信技术有限公司 | 一种实现动态虚拟专用网络链路层通信的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4763560B2 (ja) * | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
-
2015
- 2015-06-23 CN CN201510355365.0A patent/CN105072010B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104426737A (zh) * | 2013-08-30 | 2015-03-18 | 杭州华三通信技术有限公司 | 一种实现动态虚拟专用网络链路层通信的方法和装置 |
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105072010A (zh) | 2015-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN107306214B (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| CN110290093A (zh) | Sd-wan网络架构及组网方法、报文转发方法 | |
| CN108769292B (zh) | 报文数据处理方法及装置 | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| CN107294711A (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| CN100514929C (zh) | 一种虚拟专用局域网的报文转发方法及装置 | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
| CN103607345A (zh) | 一种监控节点建立路由信息的方法和系统 | |
| WO2015131609A1 (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN109714240A (zh) | 基于p2p和vpn技术的路由器联网方法及系统 | |
| CN111343083B (zh) | 即时通信方法、装置、电子设备及可读存储介质 | |
| CN108632044A (zh) | 一种基于自认证码的信息交互系统 | |
| CN105072010B (zh) | 一种数据流信息确定方法和装置 | |
| CN109245982B (zh) | 一种基于单向分光的无状态端到端连接的内外网数据实时交换系统 | |
| CN102571814B (zh) | 一种ip监控系统中穿越隔离设备的方法及代理设备 | |
| CN114143050B (zh) | 一种视频数据加密系统 | |
| CN106878259A (zh) | 一种报文转发方法及装置 | |
| CN104022947B (zh) | 一种量子保密通信http代理网关 | |
| CN109246016A (zh) | 跨vxlan的报文处理方法和装置 | |
| CN106059883A (zh) | 报文的传输方法及装置 | |
| CN105635076B (zh) | 一种媒体传输方法和设备 | |
| CN107819888A (zh) | 一种分配中继地址的方法、装置以及网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |