CN112242943B - IPSec隧道建立方法及装置、分支设备、中心端设备 - Google Patents
IPSec隧道建立方法及装置、分支设备、中心端设备 Download PDFInfo
- Publication number
- CN112242943B CN112242943B CN202011351856.5A CN202011351856A CN112242943B CN 112242943 B CN112242943 B CN 112242943B CN 202011351856 A CN202011351856 A CN 202011351856A CN 112242943 B CN112242943 B CN 112242943B
- Authority
- CN
- China
- Prior art keywords
- ipsec
- spoke
- dvpn
- tunnel
- hub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供一种IPSec隧道建立方法及装置、分支设备、中心端设备,应用于计算机网络领域,其中,应用于Spoke的方法包括:获取Spoke对应的DVPN隧道接口地址,并生成Spoke对应的源端口;向Hub发送IPSec协商报文;接收Hub返回的第一响应报文,并建立与Hub之间的IPSec隧道。在上述方案中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使五元组不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
Description
技术领域
本申请涉及计算机网络领域,具体而言,涉及一种IPSec隧道建立方法及装置、分支设备、中心端设备。
背景技术
动态虚拟私有网络(Dynamic Virtual Private Network,DVPN)是为了解决传统的互联网安全协议(Internet Protocol Security,IPSec)隧道技术的配置复杂、不便响应网络拓扑变化和分支机构地址变化而提出的一项技术。
其中,DVPN不支持加密,只是封装新的互联网协议(Internet Protocol,IP)头,可以使用内网报文经过封装后通过公网到达对端;而IPSec支持加密但是对于隧道地址经常变化的情况以及多个端到端的场景,维护起来过于复杂。此外,IPSec安全性强,但是维护过于复杂;DVPN维护简单但是安全性稍差。因此,两种结合使用,安全和维护都有提升,基于此,DVPN over IPSec的方式应运而生。
在DVPN over IPSec中,由于IPSec的数据流使用的五元组包括源IP地址、目的IP地址、协议值、源端口以及目的端口,而传输模式下,DVPN的中心端设备Hub看到的源IP地址为网络地址转换(Network Address Translation,NAT)设备端口地址转换(Port AddressTranslation,PAT)转换后的地址,因此,可能会出现不同的分支设备Spoke提供的五元组完全相同的情况,此时,会导致IPSec隧道的建立过程出现冲突。
发明内容
本申请实施例的目的在于提供一种IPSec隧道建立方法及装置、分支设备、中心端设备,用以解决IPSec隧道的建立过程出现冲突的技术问题。
为了实现上述目的,本申请实施例所提供的技术方案如下所示:
第一方面,本申请实施例提供一种IPSec隧道建立方法,应用于分支设备Spoke,包括:获取所述Spoke对应的DVPN隧道接口地址;根据所述DVPN隧道接口地址生成所述Spoke对应的源端口;向中心端设备Hub发送IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为生成的所述Spoke对应的源端口;接收所述Hub根据所述IPSec协商报文返回的第一响应报文;根据所述第一响应报文建立与所述Hub之间的IPSec隧道。在上述方案中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
在本申请的可选实施例中,所述方法还包括:在建立所述IPSec隧道后,向所述Hub发送DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;接收所述Hub根据所述DVPN协商报文返回的第二响应报文;根据所述第二响应报文建立与所述Hub之间的DVPN隧道。在上述方案中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPNover IPsec。
第二方面,本申请实施例提供一种IPSec隧道建立方法,应用于中心端设备Hub,包括:接收分支设备Spoke发送的IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为根据DVPN隧道接口地址生成的所述Spoke对应的源端口;根据所述IPSec协商报文生成第一响应报文;向所述Spoke发送所述第一响应报文,以使所述Spoke根据所述第一响应报文建立与所述Hub之间的IPSec隧道。在上述方案中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
在本申请的可选实施例中,所述方法还包括:在建立所述IPSec隧道后,接收所述Spoke发送的DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;根据所述DVPN协商报文生成DVPN隧道对应的关联表项以及第二响应报文;其中,所述关联表项包括所述DVPN隧道接口地址以及生成的所述Spoke对应的源端口;向所述Spoke发送所述第二响应报文,以使所述Spoke根据所述第二响应报文建立与所述Hub之间的所述DVPN隧道。在上述方案中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPN overIPsec。
在本申请的可选实施例中,所述方法还包括:在建立所述DVPN隧道后,接收原始数据报文;通过所述DVPN隧道对所述原始数据报文进行封装,得到DVPN隧道封装后的GRE报文;获取所述Spoke对应的所述DVPN隧道接口地址;根据所述DVPN隧道接口地址生成所述Spoke对应的目的端口,并根据所述目的端口所在的五元组查找所述IPSec隧道对应的所述IPSec安全策略;利用所述IPSec安全策略对所述GRE报文进行IPsec封装,得到封装后的IPsec报文;向所述Spoke发送所述IPsec报文。在上述方案中,在建立DVPN隧道之后,Hub可以向Spoke传输数据,Hub在接收到原始数据报文后,可以根据Spoke对应的DVPN隧道接口地址生成Spoke对应的目的端口,然后利用目的端口所在的五元组匹配对应的IPSec安全策略,以实现对原始数据报文进行IPSec封装。
第三方面,本申请实施例提供一种IPSec隧道建立装置,应用于分支设备Spoke,包括:第一获取模块,用于获取所述Spoke对应的DVPN隧道接口地址;第一生成模块,用于根据所述DVPN隧道接口地址生成所述Spoke对应的源端口;第一发送模块,用于向中心端设备Hub发送IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为生成的所述Spoke对应的源端口;第一接收模块,用于接收所述Hub根据所述IPSec协商报文返回的第一响应报文;第一建立模块,用于根据所述第一响应报文建立与所述Hub之间的IPSec隧道。在上述方案中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
在本申请的可选实施例中,所述装置还包括:第三发送模块,用于在建立所述IPSec隧道后,向所述Hub发送DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;第三接收模块,用于接收所述Hub根据所述DVPN协商报文返回的第二响应报文;第二建立模块,用于根据所述第二响应报文建立与所述Hub之间的DVPN隧道。在上述方案中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPN over IPsec。
第四方面,本申请实施例提供一种IPSec隧道建立装置,应用于中心端设备Hub,包括:第二接收模块,用于接收分支设备Spoke发送的IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为根据DVPN隧道接口地址生成的所述Spoke对应的源端口;第二生成模块,用于根据所述IPSec协商报文生成第一响应报文;第二发送模块,用于向所述Spoke发送所述第一响应报文,以使所述Spoke根据所述第一响应报文建立与所述Hub之间的IPSec隧道。在上述方案中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
在本申请的可选实施例中,所述装置还包括:在建立所述IPSec隧道后,第四接收模块,用于接收所述Spoke发送的DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;第三生成模块,用于根据所述DVPN协商报文生成DVPN隧道对应的关联表项以及第二响应报文;其中,所述关联表项包括所述DVPN隧道接口地址以及生成的所述Spoke对应的源端口;第四发送模块,用于向所述Spoke发送所述第二响应报文,以使所述Spoke根据所述第二响应报文建立与所述Hub之间的所述DVPN隧道。在上述方案中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPN over IPsec。
在本申请的可选实施例中,所述装置还包括:第六接收模块,用于在建立所述DVPN隧道后,接收原始数据报文;第一封装模块,用于通过所述DVPN隧道对所述原始数据报文进行封装,得到DVPN隧道封装后的GRE报文;第二获取模块,用于获取所述Spoke对应的所述DVPN隧道接口地址;第四生成模块,用于根据所述DVPN隧道接口地址生成所述Spoke对应的目的端口,并根据所述目的端口所在的五元组查找所述IPSec隧道对应的所述IPSec安全策略;第二封装模块,用于利用所述IPSec安全策略对所述GRE报文进行IPsec封装,得到封装后的IPsec报文;第五发送模块,用于向所述Spoke发送所述IPsec报文。在上述方案中,在建立DVPN隧道之后,Hub可以向Spoke传输数据,Hub在接收到原始数据报文后,可以根据Spoke对应的DVPN隧道接口地址生成Spoke对应的目的端口,然后利用目的端口所在的五元组匹配对应的IPSec安全策略,以实现对原始数据报文进行IPSec封装。
第五方面,本申请实施例提供一种分支设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第一方面中的IPSec隧道建立方法。
第六方面,本申请实施例提供一种中心端设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第二方面中的IPSec隧道建立方法。
第七方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如第一方面中的IPSec隧道建立方法或者如第二方面中的IPSec隧道建立方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种电子设备的结构框图;
图2为本申请实施例提供的一种IPSec隧道建立系统的结构示意图;
图3为本申请实施例提供的一种IPSec隧道建立方法的交互图;
图4为本申请实施例提供的一种DVPN隧道建立方法的交互图;
图5为本申请实施例提供的Spoke将数据传输给Hub的传输过程的交互图;
图6为本申请实施例提供的Hub将数据传输给Spoke的传输过程的交互图;
图7为本申请实施例提供的一种应用于Spoke的IPSec隧道建立装置的结构框图;
图8为本申请实施例提供的一种应用于Hub的IPSec隧道建立装置的结构框图。
图标:100-电子设备;101-处理器;102-通信接口;103-存储器;104-总线;200-IPSec隧道建立系统;201-Spoke;202-Hub;203-网络地址转换设备。
具体实施方式
在介绍本申请实施例提供的网络通信方法之前,先介绍本申请实施例所涉及的一些概念,本申请实施例所涉及的一些概念如下:
网络地址转换(Network Address Translation,NAT),是指内网的IP地址与公网的地址之间的相互转换的技术,该技术将大量的内网IP地址转换为一个或少量的公网IP地址,减少对公网IP地址的占用。
端口地址转换(Port Address Translation,PAT),一种动态的NAT转换规则。在PAT模式下,一个公网地址可以给多个内网地址使用,通过转换不同的端口信息来区分不同内网地址。
动态虚拟专用网络(Dynamic Virtual Private Network,DVPN),通过动态获取对端的信息建立虚拟专用网络(Virtual Private Network,VPN)连接。
DVPN隧道(tunnel)口:DVPN协议中使用的一种虚拟接口,即不同Spoke对应的操作地址。
互联网安全协议(Internet Protocol Security,IPSec),是一个协议包,通过对互联网协议(Internet Protocol,IP)的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
IPsec传输模式,保护原始IP头部后面的数据,在原始IP头和载荷间插入IPSec头部(ESP或AH)。
IPsec中的五元组,包括源IP地址、目的IP地址、协议值、源端口以及目的端口,用于匹配不同的IPSec安全策略。
通用路由封装(Generic Routing Encapsulation,GRE),可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPv4网络中传输。
DVPN over IPSec,原始报文经过DVPN隧道封装后,再进行IPSec隧道加密封装。
请参照图1,图1为本申请实施例提供的一种电子设备的结构框图,其中,本申请实施例中的分支设备Spoke以及中心端设备Hub均可以采用本申请实施例提供的电子设备100实现。该电子设备100包括:至少一个处理器101,至少一个通信接口102,至少一个存储器103和至少一个通信总线104。其中,通信总线104用于实现这些组件直接的连接通信,通信接口102用于与其他节点设备进行信令或数据的通信,存储器103存储有处理器101可执行的机器可读指令。当电子设备100运行时,处理器101与存储器103之间通过通信总线104通信,机器可读指令被处理器101调用时执行本申请实施例中的IPSec隧道建立方法。
处理器101可以是一种集成电路芯片,具有信号处理能力。上述处理器101可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器103可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图1所示的结构仅为示意,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备100可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备100也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
请参照图2,图2为本申请实施例提供的一种IPSec隧道建立系统的结构示意图,该IPSec隧道建立系统200可以包括至少一个Spoke201、至少一个Hub202以及至少一个网络地址转换设备203。其中,Spoke201与Hub202之间可以建立IPSec隧道以及DVPN隧道,以通过DVPN over IPSec实现Spoke201与Hub202之间的数据传输;网络地址转换设备203可以向不同的Spoke201分配相同的公网地址。
可以理解的是,本申请实施例对IPSec隧道建立系统200中Spoke201、Hub202以及网络地址转换设备203的数量均不作具体的限定,本领域技术人员可以根据实际情况进行合适的选择。在本申请实施例中,以图2所示的IPSec隧道建立系统200为例,即以IPSec隧道建立系统200中包括三个Spoke201(SpokeA、SpokeB、SpokeC)、一个Hub202以及两个网络地址转换设备203(网络地址转换设备A、网络地址转换设备B)为例,对IPSec隧道建立系统200的运行原理进行详细的介绍。
如图2所示,SpokeA以及SpokeB通过同一个网络地址转换设备A分配了相同的公网地址IP3,而SpokeA的私网地址为IP1,SpokeB的私网地址为IP2;SpokeC通过与SpokeA相同的互联网服务提供商(Internet Service Provider,ISP)获取到了与SpokeA相同的私网地址IP1,SpokeC通过网络地址转换设备B分配了相同的公网地址IP4;Hub的私网地址为IP5。
由于在建立IPSec隧道过程中,IPSec二阶段协商的源端口信息以及目标端口信息都是0,且协议都是47,因此,在SpokeA、SpokeB、SpokeC分别与Hub建立IPSec隧道的过程中,SpokeA提供的五元组为:IP3 IP5 470 0;SpokeB提供的五元组为:IP3 IP5 47 0 0;SpokeC提供的五元组为:IP4IP5 47 0 0。可以看出,SpokeA提供的五元组与SpokeB提供的五元组相同,SpokeC提供的五元组与SpokeA提供的五元组以及SpokeB提供的五元组均不相同。因此,若SpokeA与Hub已建立IPSec隧道,SpokeB在建立IPSec隧道的过程中会出现冲突,导致IPSec隧道建立失败,而SpokeC可以正常建立IPSec隧道。
基于上述分析,本申请实施例还提供了一种IPSec隧道建立方法,在该IPSec隧道建立方法中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图3,图3为本申请实施例提供的一种IPSec隧道建立方法的交互图,该IPSec隧道建立方法可以包括以下步骤:
步骤S301:Spoke获取Spoke对应的DVPN隧道接口地址。
步骤S302:Spoke根据DVPN隧道接口地址生成Spoke对应的源端口。
步骤S303:Spoke向Hub发送IPSec协商报文。
步骤S304:Hub接收Spoke发送的IPSec协商报文。
步骤S305:Hub根据IPSec协商报文生成第一响应报文。
步骤S306:Hub向Spoke发送第一响应报文。
步骤S307:Spoke接收Hub根据IPSec协商报文返回的第一响应报文。
步骤S308:Spoke根据第一响应报文建立与Hub之间的IPSec隧道。
在可选的实施方式中,在某一个Spoke触发建立IPSec隧道之前,可以先获取该Spoke对应的DVPN隧道接口地址,然后根据上述DVPN隧道接口地址生成一个Spoke对应的源端口。这样,Spoke在与Hub建立IPSec隧道的过程中,提供的五元组为:源IP地址、目的IP地址、协议值、修改后的源端口以及目的端口。可以理解的是,上述实施例中修改后的源端口与该Spoke对应的初始源端口(为0)不一样。
作为一种实施方式,Spoke根据DVPN隧道接口地址生成Spoke对应的源端口的方式可以为:取DVPN隧道接口地址的最后两个字节作为生成的Spoke对应的源端口。举例来说,假设Spoke的DVPN隧道接口地址为1.0.0.1,则其生成的Spoke对应源端口为0.1。
可以理解的是,上述步骤S303的执行时机可以为IKE Phase2阶段,也就是建立IPSec隧道的第二个阶段,因此对应的,IPSec协商报文表示在IKE Phase2阶段中,Spoke向Hub发送的协商报文。
以图2中的IPSec隧道建立系统为例,上述IPSec隧道建立系统中可能存在两种情况:第一种情况,该Spoke与另一Spoke在同一网络环境中,此时,两个Spoke的DVPN隧道接口地址的前两个字节相同、后两个字节不相同,例如:两个Spoke的DVPN隧道接口地址分别为1.0.0.1以及1.0.0.2,则对应的修改源端口为0.1以及0.2;第二种情况,该Spoke与另一Spoke在不同的网络环境中,此时,两个Spoke的DVPN隧道接口地址的前两个字节不相同、后两个字节可能相同也可能不相同,例如:两个Spoke的DVPN隧道接口地址分别为1.0.0.1以及2.0.0.1,则对应的修改源端口为0.1以及0.1。
可以看出,针对第一种情况,两个Spoke提供的五元组中,源IP地址、目的IP地址、协议值以及目的端口均相同,但是源端口不同,因此两个Spoke提供的五元组不相同;而针对第二种情况,虽然两个Spoke提供的五元组中,源端口相同,但是由于两个Spoke在不同的网络环境中,因此源IP地址不同,也就是说,两个Spoke提供的五元组中,源端口、目的IP地址、协议值以及目的端口均相同,但是源IP地址不同,因此两个Spoke提供的五元组仍然不相同。
因此,Spoke可以向Hub发送包括修改后的五元组的IPSec协商报文,由于该五元组与已建立IPSec隧道的五元组均不相同,因此,Spoke可以正常与Hub建立IPSec隧道,且不同的Spoke可以根据不同的五元组与Hub协商出不同的IPSec安全策略。
Spoke可以向Hub发送一个IPSec协商报文,其中,该IPSec协商报文包括该Spoke提供的修改后的五元组以及其他建立IPSec隧道的必要信息。然后,Hub可以根据接收到的IPSec协商报文生成一个对应的第一响应报文,Spoke可以根据上述第一响应报文与Hub建立IPSec隧道。
可以理解的是,上述建立IPSec隧道的步骤S303-步骤S308仅为本申请实施例提供的实施方式,其详细的实现方式可以参考现有技术中的实现方式,此处不进行具体阐述。
需要说明的是,作为一种实施方式,每一个Spoke在与Hub建立IPSec隧道之前,都可以执行上述步骤S301-步骤S302,以修改五元组中的源端口;作为另一种实施方式,Spoke在与Hub建立IPSec隧道的过程中,若发现五元组与其他已建立IPSec隧道的五元组存在冲突,再执行上述步骤S301-步骤S302,即只有一部分Spoke执行上述步骤S301-步骤S302。
其中,发现五元组与其他已建立IPSec隧道的五元组存在冲突的过程可以包括如下步骤:
第一步,Spoke向Hub发送一个IPSec协商报文。
第二步,Hub接收Spoke发送的上述IPSec协商报文。
第三步,Hub根据上述IPSec协商报文判断修改后的五元组与已建立的IPSec隧道对应的五元组是否存在冲突。
第四步,若修改后的五元组与已建立的IPSec隧道对应的五元组存在冲突,则Hub生成表征五元组存在冲突的一个响应报文。
第五步,Hub向Spoke发送上述响应报文。
第六步,Spoke接收Hub返回的上述响应报文。
在上述方案中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
进一步的,在建立了Spoke与Hub之间的IPSec隧道之后,为了实现两端的DVPNover IPSec,还可以基于建立好的IPSec隧道建立Spoke与Hub之间的DVPN隧道。请参照图4,图4为本申请实施例提供的一种DVPN隧道建立方法的交互图,该DVPN隧道建立方法可以包括如下步骤:
步骤S401:Spoke向Hub发送DVPN协商报文。
步骤S402:Hub接收Spoke发送的DVPN协商报文。
步骤S403:Hub根据DVPN协商报文生成DVPN隧道对应的关联表项以及第二响应报文。
步骤S404:Hub向Spoke发送第二响应报文。
步骤S405:Spoke接收Hub根据DVPN协商报文返回的第二响应报文。
步骤S406:Spoke根据第二响应报文建立与Hub之间的DVPN隧道。
在可选的实施方式中,当已建立了IPSec隧道的一个Spoke与对应的Hub之间需要建立DVPN隧道时,Spoke可以向Hub发送一个DVPN协商报文,其中,DVPN协商报文中可以包括建立DVPN隧道的必要信息以及Spoke对应的DVPN隧道接口地址。
然后,Hub可以生成一个DVPN隧道对应的关联表项以及对应的第二响应报文,并将Spoke对应的DVPN隧道接口地址以及根据DVPN隧道接口地址生成的Spoke对应的源端口记录在关联表项中。最后,Spoke可以根据第二响应报文建立与Hub之间的DVPN隧道。
作为一种实施方式,DVPN隧道协商过程中,Spoke可以通过DVPN协商报文将本端的DVPN隧道接口地址带到对端,通信双方会将DVPN隧道接口地址、出接口地址(源端口以及目的端口)生成DVPN的关联表项。同时DVPN通过标准的下一跳解析协议(Next HopResolution Protocol,NHRP)将下一跳信息带到对端,通信双方生成下一跳信息,以完成DVPN隧道的建立。
可以理解的是,上述建立DVPN隧道的步骤同样仅为本申请实施例提供的实施,其详细的实现方式可以参考现有技术中的实现方式,此处不进行具体阐述。
在上述方案中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPNover IPsec。
进一步的,在完成IPSec隧道以及DVPN隧道的建立之后,便可以在Spoke与Hub之间进行数据传输。其中,数据传输的过程根据传输方向的不同分为两种情况:第一种情况,Spoke将数据传输给Hub;第二种情况,Hub将数据传输给Spoke。
下面分别对两种情况下的传输过程进行详细的介绍。
请参照图5,图5为本申请实施例提供的Spoke将数据传输给Hub的传输过程的交互图,该传输过程可以包括如下步骤:
步骤S501:Spoke接收原始数据报文。
步骤S502:Spoke通过DVPN隧道对原始数据报文进行封装,得到DVPN隧道封装后的GRE报文。
步骤S503:Spoke通过IPSec安全策略对GRE报文进行IPsec封装,得到封装后的IPsec报文。
步骤S504:Spoke向Hub发送IPsec报文。
步骤S505:Hub接收Spoke发送的IPsec报文。
步骤S506:Hub根据IPsec报文中的SPI字段查找对应的IPSec隧道。
步骤S507:Hub利用查找到的IPSec隧道对IPsec报文进行IPSec解封装,得到IPSec解封装后的报文。
步骤S508:Hub利用DVPN隧道对IPSec解封装后的报文进行DVPN解封装,得到DVPN解封后的报文。
在可选的实施方式中,Spoke在接收到原始数据报文后,可以按照现有技术中的方式对原始数据报文进行DVPN封装以及IPSec加密封装,并将封装后得到的IPsec报文转发给Hub。其中,根据DVPN隧道接口地址生成的Spoke对应的源端口可以存储在报文缓冲区的描述字段中。
Hub在接收到IPsec报文后,首先可以根据IPsec报文中的AH或者ESP协议头中的SPI字段查找对应的IPSec隧道对IPsec报文进行IPSec解封装。然后,再利用DVPN隧道对解封装后的报文进行DVPN解封装。
在上述方案中,在建立DVPN隧道之后,Spoke可以向Hub传输数据,Hub在接收到Spoke发送的IPsec报文后,可以查找对应的IPsec隧道,以实现对IPsec报文进行IPSec解封装。
请参照图6,图6为本申请实施例提供的Hub将数据传输给Spoke的传输过程的交互图,该传输过程可以包括如下步骤:
步骤S601:Hub接收原始数据报文。
步骤S602:Hub通过DVPN隧道对原始数据报文进行封装,得到DVPN隧道封装后的GRE报文。
步骤S603:Hub获取Spoke对应的DVPN隧道接口地址。
步骤S604:Hub根据DVPN隧道接口地址生成Spoke对应的目的端口,并根据目的端口所在的五元组查找IPSec隧道对应的IPSec安全策略。
步骤S605:Hub利用IPSec安全策略对GRE报文进行IPsec封装,得到封装后的IPsec报文。
步骤S606:Hub向Spoke发送IPsec报文。
步骤S607:Spoke接收Hub发送的IPsec报文。
步骤S608:Spoke利用IPSec隧道对IPsec报文进行IPSec解封装,得到IPSec解封装后的报文。
步骤S609:Spoke利用DVPN隧道对IPSec解封装后的报文进行DVPN解封装,得到DVPN解封装后的报文。
在可选的实施方式中,Hub在接收到原始数据报文后,由于在建立IPSec隧道之前,该Spoke对应的五元组中的源端口根据Spoke对应的操作地址进行了修改,因此,Hub同样需要根据Spoke对应的操作地址修改Hub对应的目的端口(报文传输方向改变后,源端口变为目的端口),然后根据上述目的端口确定新的五元组。
然后,Hub可以根据新的五元组查找IPSec隧道对应的IPSec安全策略,并利用DVPN隧道以及IPSec安全策略对原始数据报文进行两次封装,将封装后的IPsec报文发送给Spoke。
Spoke可以按照现有技术中的方式对IPsec报文进行IPSec解封装以及DVPN解封装。
在上述方案中,在建立DVPN隧道之后,Hub可以向Spoke传输数据,Hub在接收到原始数据报文后,可以根据Spoke对应的DVPN隧道接口地址生成所Hub对应的目的端口,然后利用目的端口所在的五元组匹配对应的IPSec安全策略,以实现对原始数据报文进行IPSec封装。
请参照图7,图7为本申请实施例提供的一种应用于分支设备Spoke的IPSec隧道建立装置的结构框图,该IPSec隧道建立装置700可以包括:第一获取模块701,用于获取所述Spoke对应的DVPN隧道接口地址;第一生成模块702,用于根据所述DVPN隧道接口地址生成所述Spoke对应的源端口;第一发送模块703,用于向中心端设备Hub发送IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为生成的所述Spoke对应的源端口;第一接收模块704,用于接收所述Hub根据所述IPSec协商报文返回的第一响应报文;第一建立模块705,用于根据所述第一响应报文建立与所述Hub之间的IPSec隧道。
在本申请实施例中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
进一步的,所述IPSec隧道建立装置700还包括:第三发送模块,用于在建立所述IPSec隧道后,向所述Hub发送DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;第三接收模块,用于接收所述Hub根据所述DVPN协商报文返回的第二响应报文;第二建立模块,用于根据所述第二响应报文建立与所述Hub之间的DVPN隧道。
在本申请实施例中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPN over IPsec。
请参照图8,图8为本申请实施例提供的一种应用于中心端设备Hub的IPSec隧道建立装置的结构框图,该IPSec隧道建立装置800可以包括:第二接收模块801,用于接收分支设备Spoke发送的IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为根据DVPN隧道接口地址生成的Spoke对应的源端口;第二生成模块802,用于根据所述IPSec协商报文生成第一响应报文;第二发送模块803,用于向所述Spoke发送所述第一响应报文,以使所述Spoke根据所述第一响应报文建立与所述Hub之间的IPSec隧道。
在本申请实施例中,Spoke在触发建立与Hub之间的IPSec隧道之前,可以首先根据Spoke对应的DVPN隧道接口地址修改五元组中的源端口,以使修改后的五元组与修改前的五元组以及其他已建立IPSec隧道对应的五元组均不同,从而可以利用修改后的五元组成功建立Spoke与Hub之间的IPSec隧道,而避免建立IPSec隧道过程中出现冲突。
进一步的,所述IPSec隧道建立装置800还包括:在建立所述IPSec隧道后,第四接收模块,用于接收所述Spoke发送的DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;第三生成模块,用于根据所述DVPN协商报文生成DVPN隧道对应的关联表项以及第二响应报文;其中,所述关联表项包括所述DVPN隧道接口地址以及生成的所述Spoke对应的源端口;第四发送模块,用于向所述Spoke发送所述第二响应报文,以使所述Spoke根据所述第二响应报文建立与所述Hub之间的所述DVPN隧道。
在本申请实施例中,在建立IPSec隧道之后,可以利用对应的IPSec安全策略加密封装得到DVPN协商报文,以根据DVPN协商报文建立Spoke与Hub之间的DVPN隧道,从而实现DVPN over IPsec。
进一步的,所述IPSec隧道建立装置800还包括:第六接收模块,用于在建立所述DVPN隧道后,接收原始数据报文;第一封装模块,用于通过所述DVPN隧道对所述原始数据报文进行封装,得到DVPN隧道封装后的GRE报文;第二获取模块,用于获取所述Spoke对应的所述DVPN隧道接口地址;第四生成模块,用于根据所述DVPN隧道接口地址生成所述Spoke对应的目的端口,并根据包所述目的端口所在的五元组查找所述IPSec隧道对应的所述IPSec安全策略;第二封装模块,用于利用所述IPSec安全策略对所述GRE报文进行IPsec封装,得到封装后的IPsec报文;第五发送模块,用于向所述Spoke发送所述IPsec报文。
在本申请实施例中,在建立DVPN隧道之后,Hub可以向Spoke传输数据,Hub在接收到原始数据报文后,可以根据Spoke对应的DVPN隧道接口地址生成IPsec对应的目的端口,然后利用目的端口所在的五元组匹配对应的IPSec安全策略,以实现对原始数据报文进行IPSec封装。
本申请实施例还提供一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述实施例中IPSec隧道建立方法的步骤,例如包括:获取所述Spoke对应的DVPN隧道接口地址;根据所述DVPN隧道接口地址生成所述Spoke对应的源端口;向中心端设备Hub发送IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为生成的所述Spoke对应的源端口;接收所述Hub根据所述IPSec协商报文返回的第一响应报文;根据所述第一响应报文建立与所述Hub之间的IPSec隧道。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种IPSec隧道建立方法,其特征在于,应用于分支设备Spoke,包括:
获取所述Spoke对应的DVPN隧道接口地址;
根据所述DVPN隧道接口地址生成所述Spoke对应的源端口;
向中心端设备Hub发送IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为生成的所述Spoke对应的源端口;
接收所述Hub根据所述IPSec协商报文返回的第一响应报文;
根据所述第一响应报文建立与所述Hub之间的IPSec隧道;
其中,所述根据所述DVPN隧道接口地址生成所述Spoke对应的源端口,包括:
取所述DVPN隧道接口地址的最后两个字节作为生成的所述Spoke对应的源端口。
2.根据权利要求1所述的IPSec隧道建立方法,其特征在于,所述方法还包括:
在建立所述IPSec隧道后,向所述Hub发送DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;
接收所述Hub根据所述DVPN协商报文返回的第二响应报文;
根据所述第二响应报文建立与所述Hub之间的DVPN隧道。
3.一种IPSec隧道建立方法,其特征在于,应用于中心端设备Hub,包括:
接收分支设备Spoke发送的IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为根据DVPN隧道接口地址生成的所述Spoke对应的源端口;
根据所述IPSec协商报文生成第一响应报文;
向所述Spoke发送所述第一响应报文,以使所述Spoke根据所述第一响应报文建立与所述Hub之间的IPSec隧道;
其中,所述IPSec协商报文的五元组中携带的源端口为取所述DVPN隧道接口地址的最后两个字节作为生成的所述Spoke对应的源端口。
4.根据权利要求3所述的IPSec隧道建立方法,其特征在于,所述方法还包括:
在建立所述IPSec隧道后,接收所述Spoke发送的DVPN协商报文;其中,所述DVPN协商报文包括所述DVPN隧道接口地址;
根据所述DVPN协商报文生成DVPN隧道对应的关联表项以及第二响应报文;其中,所述关联表项包括所述DVPN隧道接口地址以及生成的所述Spoke对应的源端口;
向所述Spoke发送所述第二响应报文,以使所述Spoke根据所述第二响应报文建立与所述Hub之间的所述DVPN隧道。
5.根据权利要求4所述的IPSec隧道建立方法,其特征在于,所述方法还包括:
在建立所述DVPN隧道后,接收原始数据报文;
通过所述DVPN隧道对所述原始数据报文进行封装,得到DVPN隧道封装后的GRE报文;
获取所述Spoke对应的所述DVPN隧道接口地址;
根据所述DVPN隧道接口地址生成所述Spoke对应的目的端口,并根据所述目的端口所在的五元组查找所述IPSec隧道对应的IPSec安全策略;
利用所述IPSec安全策略对所述GRE报文进行IPsec封装,得到封装后的IPsec报文;
向所述Spoke发送所述IPsec报文。
6.一种IPSec隧道建立装置,其特征在于,应用于分支设备Spoke,包括:
第一获取模块,用于获取所述Spoke对应的DVPN隧道接口地址;
第一生成模块,用于根据所述DVPN隧道接口地址生成所述Spoke对应的源端口;
第一发送模块,用于向中心端设备Hub发送IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为生成的所述Spoke对应的源端口;
第一接收模块,用于接收所述Hub根据所述IPSec协商报文返回的第一响应报文;
第一建立模块,用于根据所述第一响应报文建立与所述Hub之间的IPSec隧道;
其中,所述第一生成模块具体用于:
取所述DVPN隧道接口地址的最后两个字节作为生成的所述Spoke对应的源端口。
7.一种IPSec隧道建立装置,其特征在于,应用于中心端设备Hub,包括:
第二接收模块,用于接收分支设备Spoke发送的IPSec协商报文;其中,所述IPSec协商报文的五元组中携带的源端口为根据DVPN隧道接口地址生成的所述Spoke对应的源端口;
第二生成模块,用于根据所述IPSec协商报文生成第一响应报文;
第二发送模块,用于向所述Spoke发送所述第一响应报文,以使所述Spoke根据所述第一响应报文建立与所述Hub之间的IPSec隧道;
其中,所述IPSec协商报文的五元组中携带的源端口为取所述DVPN隧道接口地址的最后两个字节作为生成的所述Spoke对应的源端口。
8.一种分支设备Spoke,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1或2所述的IPSec隧道建立方法。
9.一种中心端设备Hub,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求3-5任一项所述的IPSec隧道建立方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1或2所述的IPSec隧道建立方法或者如权利要求3-5任一项所述的IPSec隧道建立方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011351856.5A CN112242943B (zh) | 2020-11-26 | 2020-11-26 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011351856.5A CN112242943B (zh) | 2020-11-26 | 2020-11-26 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112242943A CN112242943A (zh) | 2021-01-19 |
| CN112242943B true CN112242943B (zh) | 2022-08-16 |
Family
ID=74175424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011351856.5A Active CN112242943B (zh) | 2020-11-26 | 2020-11-26 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112242943B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114039812B (zh) * | 2021-10-26 | 2023-06-30 | 南方电网数字电网研究院有限公司 | 数据传输通道建立方法、装置、计算机设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442470A (zh) * | 2008-12-18 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种建立隧道的方法、系统和设备 |
| CN109547316A (zh) * | 2018-12-29 | 2019-03-29 | 瑞斯康达科技发展股份有限公司 | Vxlan报文穿越nat设备的方法、系统、存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8787393B2 (en) * | 2005-04-11 | 2014-07-22 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
| US7656795B2 (en) * | 2005-04-11 | 2010-02-02 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
| CN101217435B (zh) * | 2008-01-16 | 2011-03-16 | 中兴通讯股份有限公司 | 一种L2TP over IPSEC远程接入的方法及装置 |
| CN101222412B (zh) * | 2008-01-23 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 网络地址转换穿越方法和系统 |
| CN107612776B (zh) * | 2017-09-22 | 2021-03-23 | 华为技术有限公司 | 一种通信连接检测方法及装置 |
-
2020
- 2020-11-26 CN CN202011351856.5A patent/CN112242943B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442470A (zh) * | 2008-12-18 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种建立隧道的方法、系统和设备 |
| CN109547316A (zh) * | 2018-12-29 | 2019-03-29 | 瑞斯康达科技发展股份有限公司 | Vxlan报文穿越nat设备的方法、系统、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| DVM based Dynamic VPN Architecture for Group Working and Orchestrated Distributed Computing;Yiran Gao,Chris Phillips,Liwen He;《2008 Third International Conference on Digital Information Management》;20090109;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112242943A (zh) | 2021-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020156166A1 (zh) | 用于处理报文的方法和装置 | |
| TW201815131A (zh) | 一種資料傳輸的方法及網路設備 | |
| CN109728984B (zh) | 一种接入系统、方法及装置 | |
| US11888818B2 (en) | Multi-access interface for internet protocol security | |
| US9445384B2 (en) | Mobile device to generate multiple maximum transfer units and data transfer method | |
| CN112272134B (zh) | IPSec隧道建立方法及装置、分支设备、中心端设备 | |
| CN113259497A (zh) | 传输报文的方法、装置、存储介质和系统 | |
| CN107733930B (zh) | 用于在多个wan网络网关处转发互联网协议(ip)数据包的方法和系统 | |
| CN112866206A (zh) | 一种单向数据传输方法及装置 | |
| CN112242943B (zh) | IPSec隧道建立方法及装置、分支设备、中心端设备 | |
| CN108093041A (zh) | 单通道vdi代理服务系统及实现方法 | |
| US7340746B2 (en) | Apparatus and methods for providing communication between systems having different protocol versions | |
| CN107483369B (zh) | 一种报文处理方法及虚拟交换机 | |
| CN111130978B (zh) | 网络流量转发方法、装置、电子设备及机器可读存储介质 | |
| WO2023186109A1 (zh) | 节点访问方法以及数据传输系统 | |
| WO2024000137A1 (zh) | 报文处理 | |
| CN113014664B (zh) | 网关适配方法、装置、电子设备和存储介质 | |
| CN112019568B (zh) | 一种报文转发方法、设备和通信方法、系统 | |
| US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations | |
| CN113055268A (zh) | 隧道流量负载均衡的方法、装置、设备及介质 | |
| EP4333382A1 (en) | Packet transmission method, apparatus and system, network device, and storage medium | |
| CN114301993B (zh) | 一种数据传输方法、装置、终端设备和存储介质 | |
| CN114221898B (zh) | 报文处理方法及网络系统 | |
| WO2024041064A1 (zh) | Quic报文的传输方法及相关设备 | |
| WO2023005620A1 (zh) | 报文处理方法、装置及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |