CN112583685A - 一种Ipsec VPN的数据传输方法及装置 - Google Patents
一种Ipsec VPN的数据传输方法及装置 Download PDFInfo
- Publication number
- CN112583685A CN112583685A CN201910923059.0A CN201910923059A CN112583685A CN 112583685 A CN112583685 A CN 112583685A CN 201910923059 A CN201910923059 A CN 201910923059A CN 112583685 A CN112583685 A CN 112583685A
- Authority
- CN
- China
- Prior art keywords
- message
- ipsec vpn
- type
- determining
- vpn tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种Ipsec VPN的数据传输方法及装置,其中,方法包括:第一设备确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道后,确定第一报文的报文类型,在确定第一报文的报文类型为第一类型后,将第一报文经TCP通道发送至第二设备。通过该技术方案,避免出现在数据传输过程中的丢包现象,适用于用户对数据传输高可靠性的要求,提高用户体验。
Description
技术领域
本发明实施例涉及SD-WAN(Software-Defined Wide Area Network,软件定义广域网)技术,尤其涉及一种Ipsec VPN的数据传输方法及装置。
背景技术
SD-WAN技术本质上是将转发与控制分离,以简化网络的管理和操作,其适用于WAN(Wide Area Network,广域网)。SD-WAN技术支持VPN(Virtual Private Network,虚拟专用网络)服务,即服务端与服务端之间、客户端与服务端之间可以通过VPN隧道进行数据传输。
现有技术中,客户端接入服务端的网络或服务端之间组成的网络通常为公网网络,即采用公网网络建立VPN隧道用于数据传输,但公网网络中网络稳定性和链路状态无法得到保证,且采用基于UDP(User Data Protocol,用户数据报协议)的IPSec(IP Security)协议,只可以建立UDP通道,但是该UDP通道无法保障数据传输的可靠性,无法满足用户需求。
发明内容
本发明实施例提供一种Ipsec VPN的数据传输方法及装置,用以避免出现数据在Ipsec VPN隧道中传输时的丢包现象。
本发明实施例提供的一种Ipsec VPN的数据传输方法,包括:
第一设备确定用于传输第一报文的Ipsec VPN隧道中已创建TCP(TransmissionControl Protocol,传输控制协议)通道后,确定所述第一报文的报文类型;所述Ipsec VPN隧道建立于所述第一设备与第二设备之间;
所述第一设备在确定所述第一报文的报文类型为第一类型后,将所述第一报文经所述TCP通道发送至所述第二设备;所述第一类型为用户流量中需要通过TCP通道传输的数据报文。
上述技术方案中,第一设备在确定Ipsec VPN隧道中已创建TCP通道后,进一步确定第一报文的报文类型,并在确定第一报文的报文类型为第一类型后,即确定用户对第一报文的传输可靠性要求较高后,将第一报文经过TCP通道发送至第二设备,也就是说,第一设备和第二设备之间可以建立TCP通道,用于传输对可靠性要求较高的数据,由于TCP协议的特点,通过TCP通道传输数据可以避免出现数据丢包现象,适用于用户对数据传输高可靠性的要求,提高用户体验。
可选的,所述第一设备在确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道之前,还包括:
所述第一设备获取配置信息;
所述第一设备根据所述配置信息,与所述第二设备创建所述Ipsec VPN隧道和所述TCP通道;
其中,所述第一设备根据所述配置信息,与所述第二设备创建所述Ipsec IpsecVPN隧道和所述TCP通道,包括:
所述第一设备生成记录有所述Ipsec VPN隧道的标识的第二报文,经所述TCP通道将所述第二报文发送至所述第二设备,以使所述第二设备根据所述第二报文中的IpsecVPN隧道的标识,将所述Ipsec VPN隧道和所述TCP通道绑定。
上述技术方案中,第一设备根据用户的配置信息,建立与第二设备的Ipsec VPN隧道和TCP通道,并分别在第一设备中执行Ipsec VPN隧道和TCP通道的绑定以及在第二设备中执行Ipsec VPN隧道和TCP通道的绑定,从而实现第一设备将数据通过TCP通道传输至第二设备。且每个用户都可以设置个性化的配置信息,即每个用户的Ipsec VPN隧道中都可以配置独立的TCP通道用于数据传输,进而保障根据用户的需求,建立高可靠性的数据传输通道。
可选的,所述配置信息还包括流量配置信息;
所述第一设备确定所述第一报文的报文类型,包括:
所述第一设备根据所述流量配置信息,确定所述第一报文的报文类型为第一类型。
上述技术方案中,第一设备在确定第一报文的报文类型时,会先根据配置信息中的流量配置信息确定该报文类型是否为第一类型。
可选的,所述第一设备确定所述第一报文的报文类型,包括:
所述第一设备若确定所述第一报文是Ipsec VPN的数据报文,则确定所述数据报文的传输层协议;
所述第一设备若确定所述数据报文的传输层协议为(用户数据报协议)UDP,则确定所述第一报文的报文类型为第一类型。
上述技术方案中,第一设备可以先确定第一报文是数据报文还是控制报文的,当是数据报文时,则进一步确定数据报文的传输层协议,若传输层协议是UDP时,则确定第一报文的报文类型是第一类型。
可选的,所述方法还包括:
所述第一设备确定所述Ipsec VPN隧道中未创建所述TCP通道后,将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
上述技术方案中,Ipsec VPN隧道中包括UDP通道,在第一设备确定Ipsec VPN隧道中未创建TCP通道时,可以通过UDP通道进行数据传输。
可选的,所述方法还包括:
所述第一设备在确定所述第一报文的报文类型为第二类型后,将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
上述技术方案中,Ipsec VPN隧道中包括UDP通道,第一设备可以根据第一报文的报文类型确定将第一报文通过哪种通道进行传输,即针对不同的数据流量类型,判断通过UDP通道传输还是TCP通道传输。
可选的,所述方法还包括:
所述第一设备在将所述第一报文经所述TCP通道发送至所述第二设备之前,还包括:
所述第一设备确定所述第一报文的长度属性,并将所述第一报文的长度属性和所述第一报文封装为第三报文;
所述第一设备将所述第一报文经所述TCP通道发送至所述第二设备,包括:
所述第一设备将所述第三报文经所述TCP通道发送至所述第二设备。
上述技术方案中,第一设备将第一报文的长度属性、第一报文封装为第三报文,从而第二设备在接收到第三报文后,可以根据第一报文的长度属性将第一报文解析出来,该种方式可以有效解决第一报文在TCP通道中传输的粘包问题。
相应的,本发明实施例还提供了一种Ipsec VPN的数据传输装置,包括:
处理单元,用于确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道后,确定所述第一报文的报文类型;所述Ipsec VPN隧道建立于第一设备与第二设备之间;
所述处理单元还用于,在确定所述第一报文的报文类型为第一类型后,控制发送单元将所述第一报文经所述TCP通道发送至所述第二设备;所述第一类型为用户流量中需要通过TCP通道传输的数据报文。
可选的,所述处理单元还用于:
在确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道之前,获取配置信息;
根据所述配置信息,与所述第二设备创建所述Ipsec VPN隧道和所述TCP通道;
其中,所述处理单元具体用于:
生成记录有所述Ipsec VPN隧道的标识的第二报文,控制所述发送单元经所述TCP通道将所述第二报文发送至所述第二设备,以使所述第二设备根据所述第二报文中的Ipsec VPN隧道的标识,将所述Ipsec VPN隧道和所述TCP通道绑定。
可选的,所述配置信息还包括流量配置信息;
所述处理单元具体用于:
根据所述流量配置信息,确定所述第一报文的报文类型为第一类型。
可选的,所述处理单元具体用于:
若确定所述第一报文是Ipsec VPN的数据报文,则确定所述数据报文的传输层协议;
若确定所述数据报文的传输层协议为UDP,则确定所述第一报文的报文类型为第一类型。
可选的,所述处理单元还用于:
确定所述Ipsec VPN隧道中未创建所述TCP通道后,控制所述发送单元将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
可选的,所述处理单元还用于:
在确定所述第一报文的报文类型为第二类型后,控制所述发送单元将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
可选的,所述处理单元还用于:
在控制所述发送单元将所述第一报文经所述TCP通道发送至所述第二设备之前,确定所述第一报文的长度属性,并将所述第一报文的长度属性和所述第一报文封装为第三报文;
所述处理单元具体用于:
控制所述发送单元将所述第三报文经所述TCP通道发送至所述第二设备。
相应的,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述IpsecVPN的数据传输方法。
相应的,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述Ipsec VPN的数据传输方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种系统架构的示意图;
图2为本发明实施例提供的一种数据传输方法的流程示意图;
图3为本发明实施例提供的一种TCP通道建立方法的流程示意图;
图4(a)为本发明实施例提供的一种发送的数据包的示意图;
图4(b)为本发明实施例提供的一种接收到的数据包的示意图;
图5为本发明实施例提供的一种第一设备发送数据的流程示意图;
图6为本发明实施例提供的一种数据传输装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示例性的示出了本发明实施例提供Ipsec VPN的数据传输方法所适用的系统架构,该系统架构可以包括客户端、服务端、私有网络、控制器。
其中,客户端即用户所使用的移动终端,如手机、电脑等。服务端可以理解为在SD-WAN系统中用于提供给客户端私有网络服务的服务器,可以是POP接入点,服务端中可以针对用户建立与用户对应的用户空间,如图1中,服务端A建立与用户1对应的用户空间(Namespace)1、与用户2对应的用户空间2。
客户端与服务端之间建立Ipsec VPN隧道,服务端与服务端之间建立Ipsec VPN隧道,进而实现客户端通过多条Ipsec VPN隧道实现对私有网络的访问。在具体实现中,用户可以通过客户端申请访问私有网络的业务,并根据业务要求填写用户配置信息,该用户配置信息上传至控制器,控制器分别下发到对应的客户端、服务端上,进而客户端与服务端、服务端与服务端之间分别建立Ipsec VPN隧道,以图1为例,用户A通过客户端1想要访问私有网络a,则需要分别建立客户端1和服务端A、服务端A与服务端B、服务端B与私有网络a之间的Ipsec VPN隧道;还可以建立客户端1和服务端A、服务端A与服务端C、服务端C与私有网络a之间的Ipsec VPN隧道。
为了保障Ipsec VPN隧道在数据传输时可靠性,可以在Ipsec VPN隧道中绑定两种类型的通道,即UDP通道和TCP通道,其中,UDP通道用于传输对数据可靠性要求较低的数据,TCP通道用于传输对数据可靠性要求较高的数据。可以针对用户对不同数据传输的要求建立不同的数据通道,进一步的,每个用户的Ipsec VPN隧道中可以配置独立TCP通道,由TCP协议保证报文的丢包重传和拥塞控制,从而保证用户数据报文的可靠性传输。
本发明实施例中,用户在进行用户配置时,可以选择仅建立UDP通道或同时建立UDP通道和TCP通道。进一步的,用户可以在选择同时建立UDP通道和TCP通道时,配置各通道对应的数据类型,例如,配置UDP通道对应UDP报文、TCP通道对应IP报文和TCP报文。
基于上述描述,图2示例性的示出了本发明实施例提供的一种Ipsec VPN的数据传输方法的流程,该流程可以由Ipsec VPN的数据传输装置执行,该装置可以位于客户端或服务端中。
如图2所示,该流程具体包括:
步骤201,第一设备确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道后,确定第一报文的报文类型。
步骤201,第一设备在确定第一报文的报文类型为第一类型后,将第一报文经TCP通道发送至第二设备。
本发明实施例中,可以预先根据配置信息建立第一设备与第二设备之间的IpsecVPN隧道,该Ipsec VPN隧道即用于第一设备与第二设备之间的数据传输,此处,第一设备与第二设备可以是服务端与服务端,也可以是客户端与服务端。根据上述配置信息,可以在Ipsec VPN隧道中仅建立UDP通道或同时建立UDP通道和TCP通道。
具体的,第一设备获取配置信息,该配置信息即用户配置信息,该配置信息中可以包括两类信息,第一类为是否需要在Ipsec VPN隧道中建立TCP通道;第二类为哪些报文类型需要通过TCP通道传输,哪些报文类型需要通过UDP通道传输。第一设备根据配置信息,若确定要建立TCP通道,则与第二设备创建Ipsec VPN隧道和TCP通道,具体的,生成记录有Ipsec VPN隧道的标识的第二报文,经TCP通道将第二报文发送至第二设备,第二设备经TCP通道接收到该第二报文后,根据该第二报文中的Ipsec VPN隧道的标识,将Ipsec VPN隧道和TCP通道绑定。
如图3示出的TCP通道建立的具体流程如下:
步骤301,第一设备根据配置信息生成隧道协商请求。
步骤302,第一设备将隧道协商请求发送至第二设备。
步骤303,第二设备生成隧道协商响应。
步骤304,第二设备将隧道协商响应发送至第一设备。
步骤305,第一设备根据配置信息生成TCP连接请求。
步骤306,第一设备将TCP连接请求发送至第二设备。
步骤307,第二设备生成TCP连接响应。
步骤308,第二设备将TCP连接响应发送至第一设备。
步骤309,第一设备生成记录有Ipsec VPN隧道的标识的第二报文。
步骤310,第一设备将第二报文发送至第二设备。
步骤311,第二设备根据第二报文中的Ipsec VPN隧道的标识,将Ipsec VPN隧道和TCP通道绑定。
第一设备、第二设备根据配置信息完成Ipsec VPN隧道的建立以及TCP通道的建立,上述过程采用UDP传输作为控制流通道,即在创建Ipsec VPN隧道之前,采用UDP通道进行传输数据,此处的UDP传输通道指的是未经Ipsec VPN隧道加密的传输通道,与Ipsec VPN隧道中的UDP通道做区分。进而第一设备将记录有Ipsec VPN隧道的标识的第二报文通过TCP通道发送至第二设备,实现第二设备将Ipsec VPN隧道和TCP通道的绑定。
进一步的,第二设备与第一设备完成TCP通道的建立之前,可以根据配置信息创建Socket并通过监听线程监听该Socket,第一设备将TCP连接请求发送至第二设备的Socket后,第二设备即可以监听到该TCP连接请求,以完成第一设备和第二设备之间TCP通道的建立。
需要说明的是,上述TCP通道的建立过程中,第一设备与第二设备在建立IpsecVPN隧道时同时建立UDP通道,在此不再赘述。
上述实施例中,Ipsec VPN隧道中可以仅建立UDP通道,也可以同时建立UDP通道和TCP通道。第一设备根据Ipsec VPN隧道中是否建立TCP通道可以分如下两种情况实现与第二设备的数据传输:
情况一:
当Ipsec VPN隧道中仅建立UDP通道时,相当于,第一设备确定Ipsec VPN隧道中未创建TCP通道时,第一设备则无需确定第一报文的报文类型,可以直接将第一报文经IpsecVPN隧道的UDP通道发送至第二设备。
情况二:
当Ipsec VPN隧道中同时建立UDP通道和TCP通道时,相当于,第一设备确定IpsecVPN隧道中已创建TCP通道时,第一设备可以进一步确定待发送的第一报文的报文类型,本发明实施例中,第一报文的报文类型分为第一类型和第二类型,其中,第一类型指示第一设备将第一报文经Ipsec VPN隧道的TCP通道发送至第二设备,又可以理解成第一类型为用户流量中需要通过TCP通道传输的数据报文,第二类型指示第一设备将第一报文经Ipsec VPN隧道的UDP通道发送至第二设备。相应的,当第一设备确定第一报文的报文类型为第一类型后,将第一报文经Ipsec VPN隧道的TCP通道发送至第二设备,当第一设备确定第一报文的报文类型为第二类型后,将第一报文经Ipsec VPN隧道的UDP通道发送至第二设备。
本发明实施例中,第一设备可以根据配置信息和第一报文的协议类型确定第一报文的报文类型,其中,配置信息的优先级高于协议类型。一种实现方式中,根据配置信息中的流量配置信息,确定第一报文的报文类型为第一报文类型;另一种实现方式中,首先,确定第一报文的报文类型是Ipsec VPN的数据报文还是控制报文,在确定报文类型是IpsecVPN的数据报文之后,再判断数据报文的传输层协议,当确定数据报文的传输层协议为UDP时,确定第一报文的报文类型为第一类型。
本发明实施例中,第一设备与第二设备之间进行数据传输时,为保障传输数据的安全性,需要对待传输的数据进行加密封装,即采用预设的加密算法对待传输的数据进行加密封装生成第一报文。
进一步的,当第一设备将第一报文经TCP通道发送至第二设备时,由于TCP协议的特点、网络环境的复杂多变、第二设备对第一设备的数据接收处理不及时等原因,可能导致网络传输过程中出现粘包现象,可以结合图4(a)、图4(b)解释说明,第一设备向第二设备发送的数据包如图4(a)所示,分别为数据包1、数据包2、数据包3……数据包N,第二设备接收到的数据包在理想情况下即如图4(a)所示,但是在实际情况下,第二设备接收到的数据包可能如图4(b)所示,第二设备无法对接收到的数据包进行有效的解析。结合上述描述,需要在第一设备发送第一报文之前,对第一报文进行相应处理,以避免第二设备接收到第一报文后无法解析。
具体实现中,第一设备可以在第一报文的结尾处设置标注位,用于指示该第一报文的结束位置。此外,第一设备还可以采用一种简单易用的处理方式,具体的,第一设备确定第一报文的长度属性,并将第一报文的长度属性和第一报文封装为第三报文,并将第三报文经TCP通道发送至第二设备,也就是说,第一设备在发送第一报文之前,将第一报文的长度属性记录在第一报文的报文头中,并封装成第三报文,从而第二设备在接收到该第三报文时,可以根据第一报文的长度属性将第一报文解析出来。实际应用中,可以通过IPsecESP(IPsec Encapsulating Security Payload,IPsec封装安全负载)封装报文头部中增加报文长度属性,实现在使用TCP通道传输数据时,解决TCP报文粘包问题。
如图5中,第一设备在确定Ipsec VPN隧道中已经建立TCP通道之后,将第一报文发送至第二设备的具体流程如下,该流程的执行主体是第一设备。
步骤501,生成第一报文。
步骤502,根据第一报文的报文类型,确定是否将第一报文通过TCP通道发送至第二设备,若是,则转向步骤505,否则,转向步骤503。
步骤503,对第一报文加密和封装。
步骤504,将第一报文通过Ipsec VPN隧道中的UDP通道发送至第二设备。
步骤505,对第一报文加密和封装,且将第一报文的长度属性封装在第一报文的报文头中,生成第三报文。
步骤506,将第一报文通过TCP通道发送至第二设备。
上述技术方案中,第一设备在确定Ipsec VPN隧道中已创建TCP通道后,进一步确定第一报文的报文类型,并在确定第一报文的报文类型为第一类型后,即确定用户对第一报文的传输可靠性要求较高后,将第一报文经过TCP通道发送至第二设备,也就是说,第一设备和第二设备之间可以建立TCP通道,用于传输对可靠性要求较高的数据,由于TCP协议的特点,通过TCP通道传输数据可以避免出现数据丢包现象,适用于用户对数据传输高可靠性的要求,提高用户体验。
基于同一发明构思,图6示例性的示出了本发明实施例提供的一种Ipsec VPN的数据传输装置的结构,该装置可以执行Ipsec VPN的数据传输方法的流程。
该装置包括:
处理单元601,用于确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道后,确定所述第一报文的报文类型;所述Ipsec VPN隧道建立于第一设备与第二设备之间;
所述处理单元601还用于,在确定所述第一报文的报文类型为第一类型后,控制发送单元602将所述第一报文经所述TCP通道发送至所述第二设备;所述第一类型为用户流量中需要通过TCP通道传输的数据报文。
可选的,所述处理单元601还用于:
在确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道之前,获取配置信息;
根据所述配置信息,与所述第二设备创建所述Ipsec VPN隧道和所述TCP通道;
其中,所述处理单元601具体用于:
生成记录有所述Ipsec VPN隧道的标识的第二报文,控制所述发送单元602经所述TCP通道将所述第二报文发送至所述第二设备,以使所述第二设备根据所述第二报文中的Ipsec VPN隧道的标识,将所述Ipsec VPN隧道和所述TCP通道绑定。
可选的,所述配置信息还包括流量配置信息;
所述处理单元601具体用于:
根据所述流量配置信息,确定所述第一报文的报文类型为第一类型。
可选的,所述处理单元601具体用于:
若确定所述第一报文是Ipsec VPN的数据报文,则确定所述数据报文的传输层协议;
若确定所述数据报文的传输层协议为UDP,则确定所述第一报文的报文类型为第一类型。
可选的,所述处理单元601还用于:
确定所述Ipsec VPN隧道中未创建所述TCP通道后,控制所述发送单元602将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
可选的,所述处理单元601还用于:
在确定所述第一报文的报文类型为第二类型后,控制所述发送单元602将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
可选的,所述处理单元601还用于:
在控制所述发送单元602将所述第一报文经所述TCP通道发送至所述第二设备之前,确定所述第一报文的长度属性,并将所述第一报文的长度属性和所述第一报文封装为第三报文;
所述处理单元601具体用于:
控制所述发送单元602将所述第三报文经所述TCP通道发送至所述第二设备。
基于同一发明构思,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述IpsecVPN的数据传输方法。
基于同一发明构思,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述Ipsec VPN的数据传输方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种Ipsec VPN的数据传输方法,其特征在于,包括:
第一设备确定用于传输第一报文的Ipsec VPN隧道中已创建(传输控制协议)TCP通道后,确定所述第一报文的报文类型;所述Ipsec VPN隧道建立于所述第一设备与第二设备之间;
所述第一设备在确定所述第一报文的报文类型为第一类型后,将所述第一报文经所述TCP通道发送至所述第二设备;所述第一类型为用户流量中需要通过TCP通道传输的数据报文。
2.如权利要求1所述的方法,其特征在于,所述第一设备在确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道之前,还包括:
所述第一设备获取配置信息;
所述第一设备根据所述配置信息,与所述第二设备创建所述Ipsec VPN隧道和所述TCP通道;
其中,所述第一设备根据所述配置信息,与所述第二设备创建所述Ipsec Ipsec VPN隧道和所述TCP通道,包括:
所述第一设备生成记录有所述Ipsec VPN隧道的标识的第二报文,经所述TCP通道将所述第二报文发送至所述第二设备,以使所述第二设备根据所述第二报文中的Ipsec VPN隧道的标识,将所述Ipsec VPN隧道和所述TCP通道绑定。
3.如权利要求2所述的方法,其特征在于,所述配置信息还包括流量配置信息;
所述第一设备确定所述第一报文的报文类型,包括:
所述第一设备根据所述流量配置信息,确定所述第一报文的报文类型为第一类型。
4.如权利要求1所述的方法,其特征在于,所述第一设备确定所述第一报文的报文类型,包括:
所述第一设备若确定所述第一报文是Ipsec VPN的数据报文,则确定所述数据报文的传输层协议;
所述第一设备若确定所述数据报文的传输层协议为(用户数据报协议)UDP,则确定所述第一报文的报文类型为第一类型。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一设备确定所述Ipsec VPN隧道中未创建所述TCP通道后,将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一设备在确定所述第一报文的报文类型为第二类型后,将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一设备在将所述第一报文经所述TCP通道发送至所述第二设备之前,还包括:
所述第一设备确定所述第一报文的长度属性,并将所述第一报文的长度属性和所述第一报文封装为第三报文;
所述第一设备将所述第一报文经所述TCP通道发送至所述第二设备,包括:
所述第一设备将所述第三报文经所述TCP通道发送至所述第二设备。
8.一种Ipsec VPN的数据传输装置,其特征在于,包括:
处理单元,用于确定用于传输第一报文的Ipsec VPN隧道中已创建(传输控制协议)TCP通道后,确定所述第一报文的报文类型;所述Ipsec VPN隧道建立于第一设备与第二设备之间;
所述处理单元还用于,在确定所述第一报文的报文类型为第一类型后,控制发送单元将所述第一报文经所述TCP通道发送至所述第二设备;所述第一类型为用户流量中需要通过TCP通道传输的数据报文。
9.如权利要求8所述的装置,其特征在于,所述处理单元还用于:
在确定用于传输第一报文的Ipsec VPN隧道中已创建TCP通道之前,获取配置信息;
根据所述配置信息,与所述第二设备创建所述Ipsec VPN隧道和所述TCP通道;
其中,所述处理单元具体用于:
生成记录有所述Ipsec VPN隧道的标识的第二报文,控制所述发送单元经所述TCP通道将所述第二报文发送至所述第二设备,以使所述第二设备根据所述第二报文中的IpsecVPN隧道的标识,将所述Ipsec VPN隧道和所述TCP通道绑定。
10.如权利要求9所述的装置,其特征在于,所述配置信息还包括流量配置信息;
所述处理单元具体用于:
根据所述流量配置信息,确定所述第一报文的报文类型为第一类型。
11.如权利要求8所述的装置,其特征在于,所述处理单元具体用于:
若确定所述第一报文是Ipsec VPN的数据报文,则确定所述数据报文的传输层协议;
若确定所述数据报文的传输层协议为(用户数据报协议)UDP,则确定所述第一报文的报文类型为第一类型。
12.如权利要求8所述的装置,其特征在于,所述处理单元还用于:
确定所述Ipsec VPN隧道中未创建所述TCP通道后,控制所述发送单元将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
13.如权利要求8所述的装置,其特征在于,所述处理单元还用于:
在确定所述第一报文的报文类型为第二类型后,控制所述发送单元将所述第一报文经所述Ipsec VPN隧道的UDP通道发送至所述第二设备。
14.如权利要求8所述的装置,其特征在于,所述处理单元还用于:
在控制所述发送单元将所述第一报文经所述TCP通道发送至所述第二设备之前,确定所述第一报文的长度属性,并将所述第一报文的长度属性和所述第一报文封装为第三报文;
所述处理单元具体用于:
控制所述发送单元将所述第三报文经所述TCP通道发送至所述第二设备。
15.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1至7任一项所述的方法。
16.一种计算机可读非易失性存储介质,其特征在于,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910923059.0A CN112583685A (zh) | 2019-09-27 | 2019-09-27 | 一种Ipsec VPN的数据传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910923059.0A CN112583685A (zh) | 2019-09-27 | 2019-09-27 | 一种Ipsec VPN的数据传输方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112583685A true CN112583685A (zh) | 2021-03-30 |
Family
ID=75109867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910923059.0A Pending CN112583685A (zh) | 2019-09-27 | 2019-09-27 | 一种Ipsec VPN的数据传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583685A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134806A (zh) * | 2022-08-31 | 2022-09-30 | 北京博特数通技术有限公司 | IPSec安全加固传输方法、CPE和网络传输系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753531A (zh) * | 2008-12-19 | 2010-06-23 | 上海安达通信息安全技术股份有限公司 | 利用https/http协议实现IPsec协议封装的方法 |
| CN104378410A (zh) * | 2014-09-30 | 2015-02-25 | 东莞市联讯系统科技有限公司 | 一种微型私有云存储、传输的系统及方法 |
| CN104426732A (zh) * | 2013-08-19 | 2015-03-18 | 华耀(中国)科技有限公司 | 一种高速传输隧道的实现方法及系统 |
| CN107624233A (zh) * | 2016-11-24 | 2018-01-23 | 深圳前海达闼云端智能科技有限公司 | 一种vpn传输隧道调度方法、装置以及vpn客户端服务器 |
-
2019
- 2019-09-27 CN CN201910923059.0A patent/CN112583685A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753531A (zh) * | 2008-12-19 | 2010-06-23 | 上海安达通信息安全技术股份有限公司 | 利用https/http协议实现IPsec协议封装的方法 |
| CN104426732A (zh) * | 2013-08-19 | 2015-03-18 | 华耀(中国)科技有限公司 | 一种高速传输隧道的实现方法及系统 |
| CN104378410A (zh) * | 2014-09-30 | 2015-02-25 | 东莞市联讯系统科技有限公司 | 一种微型私有云存储、传输的系统及方法 |
| CN107624233A (zh) * | 2016-11-24 | 2018-01-23 | 深圳前海达闼云端智能科技有限公司 | 一种vpn传输隧道调度方法、装置以及vpn客户端服务器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134806A (zh) * | 2022-08-31 | 2022-09-30 | 北京博特数通技术有限公司 | IPSec安全加固传输方法、CPE和网络传输系统 |
| CN115134806B (zh) * | 2022-08-31 | 2024-04-19 | 北京博特数通技术有限公司 | IPSec安全加固传输方法、CPE和网络传输系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9231820B2 (en) | Methods and apparatus for controlling wireless access points | |
| US10085253B2 (en) | Methods and apparatus for controlling wireless access points | |
| CN111083102A (zh) | 一种物联网数据处理方法、装置及设备 | |
| US20160285820A1 (en) | Method for processing address resolution protocol message, switch, and controller | |
| CN112751898B (zh) | 负载均衡方法、装置、介质及设备 | |
| CN107360205B (zh) | 数据报文的传输方法及装置、系统 | |
| WO2018098633A1 (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| CN104205991A (zh) | 用于降低呼叫建立时间的系统和方法 | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN106464596A (zh) | 开放流通信方法、系统、控制器和业务网关 | |
| CN105612723B (zh) | 通过使用无线通信系统中的多个网络接口分配业务量的方法和装置 | |
| CN107968726B (zh) | 一种用于电力系统的设备网络管理方法 | |
| CN107948217B (zh) | 交换机系统和通信方法 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| US10609110B2 (en) | Remote access over internet using reverse session-origination (RSO) tunnel | |
| CN112583685A (zh) | 一种Ipsec VPN的数据传输方法及装置 | |
| US20180115634A1 (en) | Protocol frame transmission method, apparatus, and system, and node device | |
| CN105635076B (zh) | 一种媒体传输方法和设备 | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| CN116389191A (zh) | 数据传输系统及其方法、设备及存储介质 | |
| WO2018108133A1 (zh) | 一种数据网络信息处理方法、装置、终端及存储介质 | |
| CN111669364B (zh) | 一种数据传输的方法、装置、电子设备及介质 | |
| CN114205185B (zh) | 一种控制报文的代理方法及装置 | |
| WO2017008401A1 (zh) | 一种协议帧传输方法、装置、节点设备以及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210330 |