CN110086798B - 一种基于公共虚拟接口进行通信的方法及装置 - Google Patents
一种基于公共虚拟接口进行通信的方法及装置 Download PDFInfo
- Publication number
- CN110086798B CN110086798B CN201910327813.4A CN201910327813A CN110086798B CN 110086798 B CN110086798 B CN 110086798B CN 201910327813 A CN201910327813 A CN 201910327813A CN 110086798 B CN110086798 B CN 110086798B
- Authority
- CN
- China
- Prior art keywords
- interface
- address
- tag
- communication
- establishing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 192
- 238000004891 communication Methods 0.000 title claims abstract description 190
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000004044 response Effects 0.000 claims abstract description 89
- 230000000977 initiatory effect Effects 0.000 claims abstract description 36
- 239000003999 initiator Substances 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 abstract description 11
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 230000002776 aggregation Effects 0.000 description 5
- 238000004220 aggregation Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000002431 foraging effect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开了一种基于公共虚拟接口进行通信的方法及装置,对需共用IP地址的设备配置公共虚拟接口,当设备作为发起端建立通信隧道时,设备将用于建立通信隧道的第一接口标识作为标签添加到公共虚拟接口的第一IP地址上,通过添加了标签的第一IP地址与响应端协商建立通信隧道。在建立通信隧道的过程中,设备能够通过第一IP地址上的标签协商建立起第一接口和响应端之间的通信隧道,该通信隧道与其它设备上或者该设备上其它接口建立的通信隧道彼此独立,互不影响,在通过该通信隧道进行数据传输时,其它设备上或者该设备上其它接口也无法共享传输的数据,保证了通过共用公共虚拟接口创建通信隧道进行通信的设备在传输数据上的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种基于公共虚拟接口进行通信的方法及装置。
背景技术
IPSec(IP Security,网络协议安全)协议产生于IPv6的制定之中,是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。在IPSec协议中包括一个密钥管理协议,该协议称为Internet密钥交换协议IKE,可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。安全联盟SA记录每条IP安全通路的策略和策略参数,SA是IPSec的基础,是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。其中,建立VPN(Virtual PrivateNetwork,虚拟专用网络)通信隧道需要两个阶段,分别是一阶段的IKE SA和二阶段的IPSecSA。
在协商建立通信隧道的过程中,由于IKE网关需要引用一个通信接口,绑定该通信接口的IP地址或者接口地址。当组网中只有一个IP地址可用而后台有多台设备时,只能通过NAT(网络地址转换技术)、网络堆叠技术或者创建HA环境使得多台设备共用一个IP地址。然而这种实现多台设备共用一个IP地址的方法,各台设备之间的数据是共享的,数据传输的安全性较低。
在实际应用过程中,发明人发现多台设备共用一个IP地址建立通信隧道时,由于各设备之间数据是共享的,通信过程中传输的数据安全性较低。
发明内容
本发明实施例提供一种基于公共虚拟接口进行通信的方法及装置,用以解决现有技术中多台设备共用一个IP地址建立通信隧道时,由于各设备之间数据是共享的,通信过程中传输的数据安全性较低的问题。
针对以上技术问题,本发明的实施例提供了一种基于公共虚拟接口进行通信的方法,包括:
若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;
将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;
其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
本发明的实施例提供了一种基于公共虚拟接口进行通信的装置,包括:
获取模块,用于若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;
添加模块,用于将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;
其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
本发明的实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上所述的基于提议组的IPSec VPN隧道的通信方法的步骤。
本发明的实施例提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以上所述的基于提议组的IPSec VPN隧道的通信方法的步骤。
本发明的实施例提供了一种基于公共虚拟接口进行通信的方法及装置,对需共用IP地址的设备配置公共虚拟接口,当设备作为发起端建立通信隧道时,设备将用于建立通信隧道的第一接口标识作为标签添加到公共虚拟接口的第一IP地址上,通过添加了标签的第一IP地址与响应端协商建立通信隧道。在建立通信隧道的过程中,设备能够通过第一IP地址上的标签协商建立起第一接口和响应端之间的通信隧道,该通信隧道与其它设备上或者该设备上其它接口建立的通信隧道彼此独立,互不影响,在通过该通信隧道进行数据传输时,其它设备上或者该设备上其它接口也无法共享传输的数据,保证了通过共用公共虚拟接口创建通信隧道进行通信的设备在传输数据上的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种基于公共虚拟接口进行通信的方法的流程示意图;
图2是本发明另一个实施例提供的一种基于公共虚拟接口进行通信的装置的结构框图;
图3是本发明另一个实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在现有技术中,当多台设备与响应端建立通信隧道时,多台设备若要在数据传输过程相互独立,互不影响,则必须各自通过不同的IP地址与响应端建立不同的通信隧道,无法在共用同一IP地址的情况下与响应端协商建立起相互独立的通信隧道。
为了使得多台设备能在共用同一IP地址的情况下与响应端协商建立起相互独立的通信隧道,本实施例提供的方法在设备上配置公共虚拟接口,且对每一建立通信隧道的接口,将其对应的唯一的接口标识作为标签添加到公共虚拟接口的IP地址上。在创建通信隧道的过程中,可以通过标签识别出属于某一接口的流量,从而仅在该接口与响应端之间建立通信隧道。由于标签中的接口标识与接口一一对应,各个接口均可通过本发明提供的方法在接口与响应端之间建立起通信隧道,且各通信隧道彼此独立,通过各通信隧道传输的数据也彼此独立,互不影响和干扰,能够很好的保证在各通信隧道中传输的数据的安全性。
本实施例提供的方法由配置有公共虚拟接口的的设备执行,该设备可以是服务器、终端、路由器或者网关,本实施例对此不作具体限制。该设备可以作为建立通信隧道的发起端也可以作为建立通信隧道的响应端。
当设备作为发起端时,图1是本实施例提供的基于公共虚拟接口进行通信的方法的流程示意图,参见图1,该方法包括:
101:若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;
102:将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;
其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
公共虚拟接口同时配置在多台设备上,这多台设备上的各接口可以同时通过本实施例提供的方法通过该公共虚拟接口建立通信隧道,建立的通信隧道彼此独立、互不影响。其中,作为发起端的设备是否需要通过公共虚拟接口建立通信隧道和与其绑定的IKE网关相关。例如,与该设备绑定的IKE网关对应的接口为实际物理接口,则直接通过该实际物理接口建立通信隧道即可,若与该设备绑定的IKE网关对应的接口为公共虚拟接口,则该设备在调用该IKE网关建立通信隧道时,必须通过该公共虚拟接口建立通信隧道。
由于设备中可能存在多个接口,例如,多个物理接口和/或多个逻辑接口,每一接口均对应了唯一的接口标识。因此,当作为发起端的设备与响应端建立通信隧道时,首先需确定该设备中用于与响应端建立通信隧道的第一接口,将第一接口标识作为标签(tag)添加到公共虚拟接口的第一IP地址上,得到与第一接口对应的第一标签地址。然后通过第一标签地址与响应端协商通信隧道,以通过公共虚拟接口的第一IP地址在第一接口和响应端建立通信隧道。
需要说明的是,与第一接口建立通信隧道的响应端可能是通过实际的物理接口或者逻辑接口与该设备建立起通信隧道备,也可能是通过配置在响应端的公共虚拟接口与该设备建立通信隧道,本实施例对此不做具体限制。当设备作为发起端时,第一IP地址实际上就是发起端的地址,而第二IP地址就是响应端的地址。本申请中作为标签添加到IP地址上的接口标识为设备上的物理接口的mac地址或者逻辑接口的地址。
本实施例提供了一种基于公共虚拟接口进行通信的方法,对需共用IP地址的设备配置公共虚拟接口,当设备作为发起端建立通信隧道时,设备将用于建立通信隧道的第一接口标识作为标签添加到公共虚拟接口的第一IP地址上,通过添加了标签的第一IP地址与响应端协商建立通信隧道。在建立通信隧道的过程中,设备能够通过第一IP地址上的标签协商建立起第一接口和响应端之间的通信隧道,该通信隧道与其它设备上或者该设备上其它接口建立的通信隧道彼此独立,互不影响,在通过该通信隧道进行数据传输时,其它设备上或者该设备上其它接口也无法共享传输的数据,保证了通过共用公共虚拟接口创建通信隧道进行通信的设备在传输数据上的安全性。
当设备作为发起端时,进一步地,在上述实施例的基础上,所述根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道,包括:
根据所述第二IP地址发送用于协商建立密钥交换协议安全联盟IKE SA的第一协商包和所述第一标签地址,并接收由所述响应端发送的对应所述第一协商包的第一反馈信息;
若在所述第一反馈信息中对所述第二IP地址添加有以第二接口标识生成的标签,则将添加有标签的第二IP地址作为第二标签地址,根据所述第二标签地址发送用于协商建立网络传输协议安全联盟IPSec SA的第二协商包和所述第一标签地址,以根据所述第二协商包和所述第一标签地址与所述响应端协商建立IPSec SA;
其中,所述第二接口标识为所述响应端中与所述第一接口建立通信隧道的第二接口对应的接口标识。
进一步地,若在所述第一反馈信息中对所述第二IP地址没有添加标签,则根据所述第二IP地址发送用于协商建立IPSec SA的第二协商包和所述第一标签地址。
进一步地,所述第一反馈信息还包括表示能与作为发起端的设备协商建立IKE SA的信息。
协商建立通信隧道,需先协商建立IKE SA,在成功协商IKE SA的前提下,再协商建立IPSec SA。作为发起端的设备在协商IKE SA时已知建立通信隧道的响应端的第二IP地址。因此,在建立通信隧道的一阶段,作为发起端的设备先将协商IKE SA的第一协商包和第一标签地址发送到第二IP地址。若第二IP地址是响应端具体的物理接口或者逻辑口的地址,则响应端可以直接将第一反馈信息和第二IP地址通过第一标签地址发送到第一接口。若第二IP地址是配置在响应端的公共虚拟接口的地址,则响应端需先确定能与该设备的第一接口建立通信隧道的第二接口,将第二接口标识作为标签添加到第二IP地址上,得到第二标签地址,再将第一反馈信息和第二标签地址通过第一标签地址发送到第一接口。
若响应端也是需要通过通过配置在其上公共虚拟接口来建立通信隧道,则在协商建立通信隧道的一阶段,响应端根据接收到的第一协商包确定建立通信隧道的第二接口,将第二接口标识作为标签添加到响应端通过的公共虚拟接口的第二IP地址上,得到第二标签地址。作为发起端的设备在接收到第二标签地址后,通过第二标签地址与响应端协商IPSec SA,从而建立起该设备的第一接口与响应端的第二接口之间的通信隧道。
当设备作为发起端时,进一步地,在上述各实施例的基础上,所述若需通过配置的公共虚拟接口与响应端进行通信,则确定欲与所述响应端建立通信隧道的第一接口,包括:
若需通过配置的公共虚拟接口与响应端进行通信,则在与所述公共虚拟接口绑定的接口中获取当前处于空闲状态的接口,作为所述第一接口。
当同一台设备上,公共虚拟接口绑定多个物理口时,每次选择处于空闲状态的物理口作为建立通信隧道的接口,实现对流量的合理分配。例如,检测计算空闲的接口,在IKESA协商时,把流量自动分配到该接口。
进一步地,在与所述响应端建立通信隧道后,通过建立的通信隧道向响应端发送数据包。
可理解的是,配置了所述公共虚拟接口的设备不仅可以作为发起端,也可以作为响应端,当该设备作为响应端时,进一步地,在上述各实施例的基础上,还包括:
若需通过所述公共虚拟接口与发起端进行通信,在接收到由所述发起端发送的用于协商建立IKE SA的第三协商包和源IP地址后,若根据所述第三协商包判断存在与所述发起端建立IKE SA的第三接口,则将所述第三接口的第三接口标识作为标签添加到所述第一IP地址中,得到第三标签地址,根据所述源IP地址发送对应所述第三协商包的第二反馈信息;
其中,所述第二反馈信息中携带有所述第三标签地址。
进一步地,所述第二反馈信息还包括表示能与所述发起端建立IKE SA的信息。
当作为响应端的设备需通过公共虚拟接口与发起端进行通信,则在协商建立通信隧道的一阶段,配置了该公共虚拟接口的每一设备均能接收到发起端发送的第三协商包和源IP地址,各设备均通过第三协商包判断是否能与发起端建立IKE SA。若作为响应端的设备判断能够通过其上的第三接口与发起端建立IKE SA,则将第三接口标识作为标签添加到第一IP地址中得到第三标签地址。将第三标签地址发送到发起端,以使得发起端与第三接口建立通信隧道。若作为响应端的设备判断不能通过其上的第三接口与发起端建立IKESA,则不做处理。
当设备作为响应端时,进一步地,在上述各实施例的基础上,
所述根据所述源IP地址发送对应所述第三协商包的第二反馈信息,包括:
若所述源IP地址中添加了以第四接口标识生成的标签,则将添加了标签的源IP地址作为第四标签地址,根据所述第四标签地址发送所述第二反馈信息,以通过所述第四标签地址中的第四接口标识将所述第二反馈信息发送到所述第四接口;
其中,所述四接口为所述发起端中用于建立通信隧道的接口,所述第四接口标识为所述第四接口对应的接口标识。
若发起端是通过通过配置在发起端的公共虚拟接口建立通信隧道的,则发起端发送的源地址也是添加了标签的地址。比如,发起端通过第四接口与作为响应端的设备建立通信连接,则发起端发送的地址为添加了第四接口标识的源IP地址。当响应端接收到发起端发送的IP地址中存在标签,则在向发起端发送协商包或者数据包时,需将包含标签的IP地址作为目的地址,以将协商包或者数据包发送到第四接口。
当设备作为响应端时,进一步地,在上述各实施例的基础上,
所述在根据所述第四标签地址发送所述第二反馈信息后,还包括:
在接收到所述发起端根据所述第三标签地址发送的用于协商建立IPSec SA的第四协商包和所述第四标签地址后,获取所述第三标签地址标签中的所述第三接口标识,根据所述第三接口标识判断是否存在所述第三接口,若是,则根据所述第四协商包和所述第四标签地址与所述发起端协商建立IPSec SA,否则,丢弃接收到的所述第四协商包和所述第四标签地址。
在经过一阶段协商建立了IKE SA后,发起端发起二阶段IPSec SA的协商。在IPSecSA协商时,发起端根据作为响应端设备的第三标签地址发送第四协商包和第四标签地址。作为响应端的设备接收到第四协商包和第四标签地址后,根据第三标签地址中的标签判断第三接口是否为本设备上的接口,若是,则与发起端协商建立IPSec SA。二阶段协商过程中,响应端的设备通过标签识别自身是否是与发起端建立通信隧道的设备,以实现与发起端之间通信隧道的建立。
具体来说,配置了公共虚拟接口的设备均可以通过公共虚拟接口的IP地址与对端协商建立通信隧道。对与配置了虚拟接口的设备,流量通过虚拟接口出入设备中的接口时,均会在虚拟接口的IP地址中添加标签tag,tag即IKE网关报文发出的物理接口的mac地址。通过tag能够标记出流量属于哪一设备的哪一接口。在协商建立通信隧道的过程中,若某一设备收到的协商数据的目的地址中有tag,则先检测tag标记,当检测出tag标记与该设备上的某一接口的mac地址一致,则对该协商数据进行处理,否则,不做处理。
需要说明的是,多个相互独立的设备独立配置的IKE网关,IKE网关引用一个虚拟接口,公共虚拟接口绑定多个设备上的接口,公共虚拟接口只需要利用一个共同的IP地址。由于公共虚拟接口下绑定多少个接口,就会在每个接口上发送一遍协商包,因此,需要限制公共虚拟接口上绑定的接口的接口个数。可以根据公共虚拟接口IP地址中的tag在IKE SA中记录,使得同一个IP不同tag的协商报文均可以建起IKE SA。此外,从公共虚拟接口收发的报文都会加上tag,以此区分流量归属的设备和接口。其中,公共虚拟接口绑定几个接口,就发送几个协商报文。
以三台互相独立的设备建立隧道为例,公共虚拟接口绑定每台设备的一个实际的物理接口,在配置IPSec隧道时,IKE网关引用虚接口,对外网建立隧道的IP地址即公共虚拟接口上配置的共用的IP地址。三台设备的墙上的IKE提议、IPSec提议和保护数据流都是独立配置的,互相不会干扰,也可以配置相同的保护数据流。三台设备绑定公共虚拟接口的实际物理接口需接入交换机。对于交换机侧的三个物理接口为二层聚合口,加入Vlan,交换机绑定静态mac地址,学到的IP和mac均是公共虚拟接口的配置。mac表指向二层聚合口,保证流量会发向三台设备。当有反向流量回来时,会出现三台设备都能收到同样的报文。三台设备根据IP上的tag标记来识别是否为自己的流量。只有tag能匹配上,才能处理报文。当本端聚合网关作为发起端发出第一个协商报文,流量从公共虚拟接口出,从公共虚拟接口绑定的物理口(ge1口)发出,IP上会加上一个tag,用ge1口的mac地址做tag标记。当本端聚合网关作为响应端收到第一个协商报文,流量从公共虚拟接口入,公共虚拟接口下绑定的多个实际物理口都可以收到,多个物理口都可以带着自己的tag进行后续的协商,直到第一个隧道成功协商起来,不再进行协商,未建起来的SA等待老化删除。
本实施例提供的基于公共虚拟接口进行通信的方法,IPSec隧道两端都要通过聚合IKE网关,然后可以根据IP的tag在IKE SA中记录,做到同一个IP不同tag的协商报文均可以建起IKE SA。在协商建立通信隧道的过程中,从公共虚拟接口收发的报文都会加上tag,以此区分流量归属设备和接口。
图2示出了本发明的实施例提供的一种基于公共虚拟接口进行通信的装置的结构框图,参见图2,本实施例提供的基于公共虚拟接口进行通信的装置包括获取模块201和添加模块202,其中,
获取模块201,用于若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;
添加模块202,用于将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;
其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
本实施例提供的基于公共虚拟接口进行通信的装置适用于上述实施例中提供的基于公共虚拟接口进行通信的方法,在此不再赘述。
本发明的实施例提供了一种基于公共虚拟接口进行通信的装置,对需共用IP地址的设备配置公共虚拟接口,当设备作为发起端建立通信隧道时,设备将用于建立通信隧道的第一接口标识作为标签添加到公共虚拟接口的第一IP地址上,通过添加了标签的第一IP地址与响应端协商建立通信隧道。在建立通信隧道的过程中,设备能够通过第一IP地址上的标签协商建立起第一接口和响应端之间的通信隧道,该通信隧道与其它设备上或者该设备上其它接口建立的通信隧道彼此独立,互不影响,在通过该通信隧道进行数据传输时,其它设备上或者该设备上其它接口也无法共享传输的数据,保证了通过共用公共虚拟接口创建通信隧道进行通信的设备在传输数据上的安全性。
进一步地,在上述实施例的基础上,所述添加模块还用于根据所述第二IP地址发送用于协商建立IKE SA的第一协商包和所述第一标签地址,并接收由所述响应端发送的对应所述第一协商包的第一反馈信息;若在所述第一反馈信息中对所述第二IP地址添加有以第二接口标识生成的标签,则将添加有标签的第二IP地址作为第二标签地址,根据所述第二标签地址发送用于协商建立IPSec SA的第二协商包和所述第一标签地址,以根据所述第二协商包和所述第一标签地址与所述响应端建立IPSec SA;
其中,所述第二接口标识为所述响应端中与所述第一接口建立通信隧道的第二接口对应的接口标识。
进一步地,在上述各实施例的基础上,所述获取模块还用于若需通过配置的公共虚拟接口与响应端进行通信,则在与所述公共虚拟接口绑定的接口中获取当前处于空闲状态的接口,作为所述第一接口。
进一步地,在上述各实施例的基础上,所述响应模块用于若需通过所述公共虚拟接口与发起端进行通信,在接收到由所述发起端发送的用于协商建立IKE SA的第三协商包和源IP地址后,若根据所述第三协商包判断存在与所述发起端建立IKE SA的第三接口,则将所述第三接口的第三接口标识作为标签添加到所述第一IP地址中,得到第三标签地址,根据所述源IP地址发送对应所述第三协商包的第二反馈信息和所述第三标签地址。
进一步地,在上述各实施例的基础上,所述响应模块还用于若所述源IP地址中添加了以第四接口标识生成的标签,则将添加了标签的源IP地址作为第四标签地址,根据所述第四标签地址发送所述第二反馈信息和所述第三标签地址,以通过所述第四标签地址中的第四接口标识将所述第二反馈信息和所述第三标签地址发送到所述第四接口;
其中,所述四接口为所述发起端中用于建立通信隧道的接口,所述第四接口标识为所述第四接口对应的接口标识。
进一步地,在上述各实施例的基础上,所述响应模块还用于在接收到所述发起端根据所述第三标签地址发送的用于协商建立IPSec SA的第四协商包和所述第四标签地址后,获取所述第三标签地址标签中的所述第三接口标识,根据所述第三接口标识判断是否存在所述第三接口,若是,则根据所述第四协商包和所述第四标签地址与所述发起端协商建立IPSec SA,否则,丢弃接收到的所述第四协商包和所述第四标签地址。
图3是示出本实施例提供的电子设备的结构框图。
参照图3,所述电子设备包括:处理器(processor)310、通信接口(CommunicationsInterface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行如下方法:若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行如下方法:若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。
Claims (14)
1.一种基于公共虚拟接口进行通信的方法,其特征在于,包括:
若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;其中,所述第一接口为物理接口或逻辑接口,所述第一接口标识为物理接口的mac地址或者逻辑接口的地址;
将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;
其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
2.根据权利要求1所述的基于公共虚拟接口进行通信的方法,其特征在于,所述根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道,包括:
根据所述第二IP地址发送用于协商建立密钥交换协议安全联盟IKE SA的第一协商包和所述第一标签地址,并接收由所述响应端发送的对应所述第一协商包的第一反馈信息;
若在所述第一反馈信息中对所述第二IP地址添加有以第二接口标识生成的标签,则将添加有标签的第二IP地址作为第二标签地址,根据所述第二标签地址发送用于协商建立网络传输协议安全联盟IPSec SA的第二协商包和所述第一标签地址,以根据所述第二协商包和所述第一标签地址与所述响应端协商建立IPSec SA;
其中,所述第二接口标识为所述响应端中与所述第一接口建立通信隧道的第二接口对应的接口标识。
3.根据权利要求1所述的基于公共虚拟接口进行通信的方法,其特征在于,所述若需通过配置的公共虚拟接口与响应端进行通信,则确定欲与所述响应端建立通信隧道的第一接口,包括:
若需通过配置的公共虚拟接口与响应端进行通信,则在与所述公共虚拟接口绑定的接口中获取当前处于空闲状态的接口,作为所述第一接口。
4.根据权利要求1所述的基于公共虚拟接口进行通信的方法,其特征在于,还包括:
若需通过所述公共虚拟接口与发起端进行通信,在接收到由所述发起端发送的用于协商建立IKE SA的第三协商包和源IP地址后,若根据所述第三协商包判断存在与所述发起端建立IKE SA的第三接口,则将所述第三接口的第三接口标识作为标签添加到所述第一IP地址中,得到第三标签地址,根据所述源IP地址发送对应所述第三协商包的第二反馈信息;
其中,所述第二反馈信息中携带有所述第三标签地址。
5.根据权利要求4所述的基于公共虚拟接口进行通信的方法,其特征在于,所述根据所述源IP地址发送对应所述第三协商包的第二反馈信息,包括:
若所述源IP地址中添加了以第四接口标识生成的标签,则将添加了标签的源IP地址作为第四标签地址,根据所述第四标签地址发送所述第二反馈信息,以通过所述第四标签地址中的第四接口标识将所述第二反馈信息发送到所述第四接口;
其中,所述四接口为所述发起端中用于建立通信隧道的接口,所述第四接口标识为所述第四接口对应的接口标识。
6.根据权利要求5所述的基于公共虚拟接口进行通信的方法,其特征在于,所述在根据所述第四标签地址发送所述第二反馈信息后,还包括:
在接收到所述发起端根据所述第三标签地址发送的用于协商建立IPSec SA的第四协商包和所述第四标签地址后,获取所述第三标签地址标签中的所述第三接口标识,根据所述第三接口标识判断是否存在所述第三接口,若是,则根据所述第四协商包和所述第四标签地址与所述发起端协商建立IPSec SA,否则,丢弃接收到的所述第四协商包和所述第四标签地址。
7.一种基于公共虚拟接口进行通信的装置,其特征在于,包括:
获取模块,用于若需通过配置的公共虚拟接口与响应端进行通信,则确定与所述响应端建立通信隧道的第一接口,获取所述第一接口的第一接口标识、所述公共虚拟接口的第一IP地址和所述响应端的第二IP地址;其中,所述第一接口为物理接口或逻辑接口,所述第一接口标识为物理接口的mac地址或者逻辑接口的地址;
添加模块,用于将所述第一接口标识作为标签添加到所述第一IP地址中,得到第一标签地址,根据所述第二IP地址发送用于建立通信隧道的协商数据和所述第一标签地址,以与所述响应端建立通信隧道;
其中,所述公共虚拟接口为配置在至少一台设备上的通信接口。
8.根据权利要求7所述的基于公共虚拟接口进行通信的装置,其特征在于,所述添加模块还用于根据所述第二IP地址发送用于协商建立IKE SA的第一协商包和所述第一标签地址,并接收由所述响应端发送的对应所述第一协商包的第一反馈信息;若在所述第一反馈信息中对所述第二IP地址添加有以第二接口标识生成的标签,则将添加有标签的第二IP地址作为第二标签地址,根据所述第二标签地址发送用于协商建立IPSec SA的第二协商包和所述第一标签地址,以根据所述第二协商包和所述第一标签地址与所述响应端建立IPSecSA;
其中,所述第二接口标识为所述响应端中与所述第一接口建立通信隧道的第二接口对应的接口标识。
9.根据权利要求7所述的基于公共虚拟接口进行通信的装置,其特征在于,所述获取模块还用于若需通过配置的公共虚拟接口与响应端进行通信,则在与所述公共虚拟接口绑定的接口中获取当前处于空闲状态的接口,作为所述第一接口。
10.根据权利要求7所述的基于公共虚拟接口进行通信的装置,其特征在于,还包括响应模块;
所述响应模块用于若需通过所述公共虚拟接口与发起端进行通信,在接收到由所述发起端发送的用于协商建立IKE SA的第三协商包和源IP地址后,若根据所述第三协商包判断存在与所述发起端建立IKE SA的第三接口,则将所述第三接口的第三接口标识作为标签添加到所述第一IP地址中,得到第三标签地址,根据所述源IP地址发送对应所述第三协商包的第二反馈信息和所述第三标签地址。
11.根据权利要求10所述的基于公共虚拟接口进行通信的装置,其特征在于,所述响应模块还用于若所述源IP地址中添加了以第四接口标识生成的标签,则将添加了标签的源IP地址作为第四标签地址,根据所述第四标签地址发送所述第二反馈信息和所述第三标签地址,以通过所述第四标签地址中的第四接口标识将所述第二反馈信息和所述第三标签地址发送到所述第四接口;
其中,所述四接口为所述发起端中用于建立通信隧道的接口,所述第四接口标识为所述第四接口对应的接口标识。
12.根据权利要求11所述的基于公共虚拟接口进行通信的装置,其特征在于,所述响应模块还用于在接收到所述发起端根据所述第三标签地址发送的用于协商建立IPSec SA的第四协商包和所述第四标签地址后,获取所述第三标签地址标签中的所述第三接口标识,根据所述第三接口标识判断是否存在所述第三接口,若是,则根据所述第四协商包和所述第四标签地址与所述发起端协商建立IPSec SA,否则,丢弃接收到的所述第四协商包和所述第四标签地址。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的基于公共虚拟接口进行通信的方法的步骤。
14.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述的基于公共虚拟接口进行通信的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910327813.4A CN110086798B (zh) | 2019-04-23 | 2019-04-23 | 一种基于公共虚拟接口进行通信的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910327813.4A CN110086798B (zh) | 2019-04-23 | 2019-04-23 | 一种基于公共虚拟接口进行通信的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110086798A CN110086798A (zh) | 2019-08-02 |
CN110086798B true CN110086798B (zh) | 2022-04-15 |
Family
ID=67416282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910327813.4A Active CN110086798B (zh) | 2019-04-23 | 2019-04-23 | 一种基于公共虚拟接口进行通信的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110086798B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111555975B (zh) * | 2020-03-20 | 2022-11-08 | 视联动力信息技术股份有限公司 | 一种数据发送方法、装置、电子设备及存储介质 |
CN113438178B (zh) * | 2021-06-22 | 2023-04-18 | 北京天融信网络安全技术有限公司 | 报文转发方法、装置、计算机设备和存储介质 |
CN114553507B (zh) * | 2022-02-10 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种安全认证方法、装置、设备及机器可读存储介质 |
CN115883256B (zh) * | 2023-02-03 | 2023-05-16 | 南京易科腾信息技术有限公司 | 基于加密隧道的数据传输方法、装置及存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6671729B1 (en) * | 2000-04-13 | 2003-12-30 | Lockheed Martin Corporation | Autonomously established secure and persistent internet connection and autonomously reestablished without user intervention that connection if it lost |
CN1301611C (zh) * | 2003-01-21 | 2007-02-21 | 三星电子株式会社 | 用于在不同的专用网的网络设备之间支持通信的网关 |
CN101459532A (zh) * | 2007-12-14 | 2009-06-17 | 华为技术有限公司 | 一种多网口设备自动组网的方法及设备 |
CN101986666B (zh) * | 2010-11-05 | 2013-07-24 | 清华大学 | 基于虚拟网络接口和反向地址转换的网络数据传输方法 |
CN102904792B (zh) * | 2012-09-21 | 2015-03-25 | 北京华为数字技术有限公司 | 业务承载的方法及路由器 |
CN105656747A (zh) * | 2015-11-11 | 2016-06-08 | 乐卡汽车智能科技(北京)有限公司 | 一种多链路数据传输的方法及设备 |
US10666500B2 (en) * | 2016-03-30 | 2020-05-26 | Juniper Networks, Inc. | Failure handling for active-standby redundancy in EVPN data center interconnect |
-
2019
- 2019-04-23 CN CN201910327813.4A patent/CN110086798B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110086798A (zh) | 2019-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110086798B (zh) | 一种基于公共虚拟接口进行通信的方法及装置 | |
US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
CN106161335B (zh) | 一种网络数据包的处理方法和装置 | |
US10122574B2 (en) | Methods and apparatus for a common control protocol for wired and wireless nodes | |
WO2020233192A1 (zh) | 一种为业务流提供业务服务的方法和装置 | |
US8953621B2 (en) | Specifying priority on a virtual station interface discovery and configuration protocol response | |
US20160352629A1 (en) | Exchanging Application Metadata for Application Context Aware Service Insertion in Service Function Chain | |
WO2014021870A1 (en) | Feature enablement or disablement determination based on discovery message | |
WO2015143802A1 (zh) | 业务功能链处理方法及装置 | |
CN108769292A (zh) | 报文数据处理方法及装置 | |
CN105516062A (zh) | 一种实现L2TP over IPsec接入的方法 | |
Yoshikawa et al. | Evaluation of new CYPHONIC: Overlay network protocol based on Go language | |
WO2013147731A1 (en) | Frame passing based on ethertype | |
CN108989342B (zh) | 一种数据传输的方法及装置 | |
WO2022142905A1 (zh) | 报文转发的方法、装置和网络系统 | |
CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
CN113596192B (zh) | 一种基于网闸组网的通信方法、装置、设备及介质 | |
WO2019165235A1 (en) | Secure encrypted network tunnels using osi layer 2 protocol | |
CN112910791B (zh) | 导流系统及其方法 | |
CN110120907B (zh) | 一种基于提议组的IPSec VPN隧道的通信方法及装置 | |
CN108259292B (zh) | 建立隧道的方法及装置 | |
CN104518937B (zh) | 虚拟局域网vlan多设备间通信的方法及装置 | |
CN115277190B (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 | |
CN117439815B (zh) | 一种基于反向透明桥接的内网穿透系统及方法 | |
Liu et al. | Avoiding VPN bottlenecks: Exploring network-level client identity validation options |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |