CN112751816B - 一种隧道建立方法、装置、设备及计算机可读存储介质 - Google Patents

一种隧道建立方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN112751816B
CN112751816B CN201911058916.1A CN201911058916A CN112751816B CN 112751816 B CN112751816 B CN 112751816B CN 201911058916 A CN201911058916 A CN 201911058916A CN 112751816 B CN112751816 B CN 112751816B
Authority
CN
China
Prior art keywords
nat
address
port number
tunnel
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911058916.1A
Other languages
English (en)
Other versions
CN112751816A (zh
Inventor
韩瑞波
李晗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201911058916.1A priority Critical patent/CN112751816B/zh
Publication of CN112751816A publication Critical patent/CN112751816A/zh
Application granted granted Critical
Publication of CN112751816B publication Critical patent/CN112751816B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种隧道建立方法、装置、设备及计算机可读存储介质,涉及通信技术领域,以解决广域网环境IPSEC协议的应用范围受限的问题。该方法包括:通过NAT探测服务器确定第一端需穿越的NAT的类型;根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。本发明实施例可扩大广域网环境IPSEC协议的应用范围。

Description

一种隧道建立方法、装置、设备及计算机可读存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种隧道建立方法、装置、设备及计算机可读存储介质。
背景技术
对于运行在公网上的IPSEC(Internet Protocol Security,互联网安全协议)隧道,两端必须至少一端具有公网地址,才能穿越NAT(Network Address Translation,网络地址转换)建立隧道,否则IPSEC隧道无法建立。因此,利用现有的方案限制了广域网环境IPSEC协议的应用范围。
发明内容
本发明实施例提供一种隧道建立方法、装置、设备及计算机可读存储介质,以解决广域网环境IPSEC协议的应用范围受限的问题。
第一方面,本发明实施例提供了一种隧道建立方法,应用于待建立的IPESC隧道的第一端,包括:
通过NAT探测服务器确定第一端需穿越的NAT的类型;
根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;
配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
其中,所述配置第一端的IPSEC隧道的地址信息,包括:
向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP(Encapsulating SecurityPayloads,封装安全载荷)协议包封装到UDP(User Datagram Protocol,用户数据报协议)包中得到的。
第二方面,本发明实施例还提供一种隧道建立方法,应用于待建立的IPESC隧道的第二端,包括:
通过NAT探测服务器确定第二端需穿越的NAT的类型;
根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;
配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
其中,所述配置第二端的IPSEC隧道的地址信息,包括:
从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
第三方面,本发明实施例还提供一种隧道建立方法,应用于NAT探测服务器,包括:
分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
第四方面,本发明实施例还提供一种隧道建立装置,应用于待建立的IPESC隧道的第一端,包括:
确定模块,用于通过NAT探测服务器确定第一端需穿越的NAT的类型;
第一配置模块,用于根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;
第二配置模块,用于配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
其中,所述第二配置模块包括:
第一发送子模块,用于向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
第一配置子模块,用于配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。
第五方面,本发明实施例还提供一种隧道建立装置,应用于待建立的IPESC隧道的第二端,包括:
确定模块,用于通过NAT探测服务器确定第二端需穿越的NAT的类型;
第一配置模块,用于根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;
第二配置模块,用于配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
其中,所述第二配置模块包括:
第一获取子模块,用于从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
第一接收子模块,用于接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
第一配置子模块,用于配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
第六方面,本发明实施例还提供一种隧道建立装置,应用于NAT探测服务器,包括:
确定模块,用于分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
发送模块,用于向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
第七方面,本发明实施例还提供一种隧道建立装置,应用于待建立的IPESC隧道的第一端,包括:处理器和收发器;
所述处理器,用于通过NAT探测服务器确定第一端需穿越的NAT的类型;根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
其中,所述收发器还用于,向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
所述处理器还用于,配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。
第八方面,本发明实施例还提供一种隧道建立装置,应用于待建立的IPESC隧道的第二端,包括:处理器和收发器;
所述处理器,用于通过NAT探测服务器确定第二端需穿越的NAT的类型;根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
其中,所述收发器还用于,从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
所述处理器还用于,配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
第九方面,本发明实施例还提供一种隧道建立装置,应用于NAT探测服务器,包括:处理器和收发器;
所述处理器,用于分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
所述收发器,用于向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
第十方面,本发明实施例还提供一种通信设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如上所述的隧道建立方法中的步骤。
第十一方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的隧道建立方法中的步骤。
在本发明实施例中,通过对第一端需穿越的NAT类型的判断,配置IPSEC的模式和地址信息,可解决传统IPSEC协议不能两端同时穿越NAT的问题,从而扩大了广域网环境IPSEC协议的应用范围。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的隧道建立方法的流程图;
图2(a)和图2(b)分别是本发明实施例提供的报文结构示意图;
图3是本发明实施例提供的隧道建立系统的示意图;
图4-图7分别是本发明实施例提供的建立IPSEC隧道的示意图;
图8是本发明实施例提供的隧道建立装置的结构图之一;
图9是本发明实施例提供的隧道建立装置的结构图之二;
图10是本发明实施例提供的隧道建立装置的结构图之三;
图11是本发明实施例提供的隧道建立装置的结构图之四;
图12是本发明实施例提供的隧道建立装置的结构图之五;
图13是本发明实施例提供的隧道建立装置的结构图之六;
图14是本发明实施例提供的通信设备的结构图之一;
图15是本发明实施例提供的通信设备的结构图之二;
图16是本发明实施例提供的通信设备的结构图之三。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明实施例提供的隧道建立方法的流程图,应用于待建立的IPESC隧道的第一端,如图1所示,包括以下步骤:
步骤101、通过NAT探测服务器确定第一端需穿越的NAT的类型。
在本发明实施例中,通过与NAT探测服务器进行交互,确定第一端需穿越的NAT的类型。其中,所述NAT探测服务器可采用公网免费服务器或者采用控制器。
其中,所述第一端和后文的第二端为待建立的IPSEC隧道的两端的设备,例如CPE(Customer Premise Equipment,客户前置设备)等。
NAT主要可以分为两类:基本NAT和NAPT(Network Address Port Translation,网络地址翻译)。
基本NAT一般是用于NAT设备拥有多个公网IP(Internet Protocol,因特网协议)的情形下,将公网IP地址与内网主机进行静态绑定。
NAPT(Network Address/Port Translators)为常用的NAT形式。NAPT将内部连接映射到外部网络中的一个单独IP地址上,同时在该地址上加上一个由NAT设备选定的端口号。根据映射方式不同,NAPT可以分为对称性NAT和圆锥型NAT,其中,圆锥型NAT包括完全圆锥型NAT、地址限制圆锥型NAT和端口限制圆锥型NAT。
(1)、完全圆锥型NAT(Full Cone NAT)
完全圆锥型NAT,将来自一个内部IP地址和端口的所有请求,都映射到相同的外部IP地址和端口。并且,任何外部主机通过向映射的外部地址发送报文,都可以实现和内部主机进行通信。这是一种比较宽松的策略,只要建立了内部网络的IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机。
(2)、地址限制圆锥型NAT(Address Restricted Cone NAT)
地址限制圆锥型NAT也是将来自相同的内部IP地址和端口的所有请求映射到相同的公网IP地址和端口。但是与完全圆锥型NAT不同,当且仅当内部主机之前已经向公网主机地址发送过报文,公网主机地址才能向内网主机发送报文。
(3)、端口限制圆锥型NAT(Port Restricted Cone NAT)
类似于地址限制圆锥型NAT,但是更严格。端口限制圆锥型NAT增加了端口号的限制,当前仅当内网主机之前已经向公网主机地址和端口号发送了报文,公网主机地址和端口号才能和此内网主机通信。
(4)、对称型NAT(Symmetric NAT)
对称型NAT把从同一内网地址和端口到相同目的地址和端口的所有请求,都映射到同一个公网地址和端口。如果同一个内网主机,用相同的内网地址和端口向另外一个目的地址发送报文,则会用不同的映射。这和端口限制型NAT不同。端口限制型NAT是所有请求映射到相同的公网IP地址和端口,而对称型NAT是不同的请求有不同的映射。
步骤102、根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式。
IPSEC有如下两种工作模式:
传输(transport)模式:只是传输层数据被用来计算AH(Authentication Header,认证头)或ESP头。AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个网关之间的通讯。
隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个网关之间的通讯。
在本发明实施例中,配置第一端IPSEC采用隧道模式。
步骤103、配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
在本发明实施例中,配置第一端的IPSEC隧道地址信息,使得隧道的一端是第一端的私网地址,另一端是第二端NAT后的公网地址。
具体的,在第一端需穿越的NAT类型为基本NAT、第二端需穿越的NAT为基本NAT或完全圆锥型NAT或地址限制圆锥型NAT或端口限制圆锥型NAT或对称NAT的情况下,向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。其中,第一预设值、第二预设值和第三预设值可以是任意的值。
在执行完上述过程后,可根据所述IPSEC隧道的地址信息,向第二端发送报文。在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。ESP的常规隧道模式,由于NAT改动外部的IP而不改动被加密的原始IP,使得只有这种情况下才能与NAT共存,但只能以1对1的形式共存。
NAT-T(NAT Traversal,NAT穿越)通过将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP头和UDP头),使得NAT对待它就像对待一个普通的UDP包一样,从而支持ESP的传输模式以1对多的形式与NAT共存。
其中,原始报文头如图2(a)所示。本发明实施例中,UDP封装ESP协议包的报文如图2(b)所示,即在原ESP协议的IP包头外添加了新的IP头和UDP头。
在本发明实施例中,通过对第一端需穿越的NAT类型的判断,配置IPSEC的模式和地址信息,可解决传统IPSEC协议不能两端同时穿越NAT的问题,从而扩大了广域网环境IPSEC协议的应用范围。
如图3所示,为本发明实施例的隧道建立系统的示意图。客户侧网关CPEA和客户侧网关CPE B需要建立IPSEC隧道。在此实施例中,通过与其他协议的组合和对IPSEC协议的扩展,实现IPSEC隧道两端同时穿越NAT。在这个过程中,两端客户侧网关CPE向NAT探测服务器发送请求,经过多个报文的交互,确认自己所连接的NAT设备的映射类型,和第二端CPE经NAT映射完的公网地址。在NAT类型探测完毕后,根据探测结果,分情况配置本侧CPE的IPSEC隧道和相关地址信息。以下,结合不同的探测结果,详细描述一下本发明实施例的实现过程。
第一种情况、CPEA为基本NAT,CPEB为基本NAT。结合图4,过程包括:
1)CPEA和CPEB分别与NAT探测服务器进行报文交互,均确认为基本NAT。
2)NAT探测服务器向CPEB发包,告知NAT探测服务器记录的CPEA侧经NAT转换后的公网地址和端口号4500(基本NAT,原始私网报文端口号也是4500)。
3)CPEA发送预协商报文,源地址为本端私网地址、端口号4500,目的地址为任意地址、任意端口号(用于在CPEA侧的NAT打洞)。
4)CPEB收到CPEA的报文后,配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址、端口号为第一预设值(基本NAT,经NAT映射后端口号也是第一预设值),目的地址为CPEA经NAT后的公网地址、端口号4500(基本NAT,原始私网报文端口号也是4500)。
5)CPEA配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址,目的地址为CPEB经NAT后的公网地址、端口号为第一预设值(基本NAT,原始地址为本端私网地址,端口号也是第一预设值)
6)CPEA和CPEB间经IPSEC隧道进行常规报文转发。
第二种情况、CPEA为基本NAT,CPEB为完全圆锥型NAT。结合图5,过程包括:
1)CPEA和CPEB分别与NAT探测服务器进行报文交互,CPEA为基本NAT,CPEB为完全圆锥型NAT(Full Cone NAT)。
2)NAT探测服务器向CPEB发包,告知NAT探测服务器记录的CPEA侧经NAT转换后的公网地址和端口号4500(基本NAT,原始私网报文端口号也是4500)。
3)CPEA发送预协商报文,源地址为本端私网地址、端口号4500,目的地址为任意地址、任意端口号(用于在CPEA侧的NAT打洞)。
4)CPEB收到CPEA的报文后,配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址、端口号为第一预设值(经NAT映射后源地址为公网地址,端口号是第二预设值),目的地址为CPEA经NAT后的公网地址、端口号4500(基本NAT,原始私网报文端口号也是4500)。
5)CPEA配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址,目的地址为CPEB经NAT后的公网地址、端口号为第二预设值(原始地址为本端私网地址,端口号是第一预设值)。
6)CPEA和CPEB间经IPSEC隧道进行常规报文转发。
第三种情况、CPEA为基本NAT,CPEB为地址限制圆锥型NAT。结合图6,过程包括:
1)CPEA和CPEB分别与NAT探测服务器进行报文交互,CPEA为基本NAT,CPEB为地址限制圆锥型NAT(Address Restricted Cone NAT)。其中,同源同端口IP报文NAT映射相同,当且仅当内部主机之前已经向公网主机地址发送过报文。
2)NAT探测服务器向CPEB发包,告知NAT探测服务器记录的CPEA侧经NAT转换后的公网地址和端口号4500(基本NAT,原始私网报文端口号也是4500)。
3)CPEA发送预协商报文,源地址为本端私网地址、端口号4500,目的地址为任意地址、任意端口号(用于在CPEA侧的NAT打洞)。
4)CPEB收到CPEA的报文后,配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址、端口号为第一预设值(经NAT映射后源地址为公网地址,端口号是第二预设值),目的地址为CPEA经NAT后的公网地址、端口号4500(基本NAT,原始私网报文端口号也是4500)。
5)CPEA配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址,目的地址为CPEB经NAT后的公网地址、端口号为第二预设值(原始地址为本端私网地址,端口号是第一预设值)。
6)CPEA和CPEB间经IPSEC隧道进行常规报文转发。
第四种情况、CPEA为基本NAT,CPEB为端口限制圆锥型NAT。结合图7,过程包括:
1)CPEA和CPEB分别与NAT探测服务器进行报文交互,CPEA为基本NAT,CPEB为端口限制圆锥型(Port Restricted Cone NAT)。其中,同源同端口IP报文NAT映射相同,当且仅当内部主机之前已经向公网主机地址发送过报文。
2)NAT探测服务器向CPEB发包,告知NAT探测服务器记录的CPEA侧经NAT转换后的公网地址和端口号4500(基本NAT,原始私网报文端口号也是4500)。
3)CPEA发送预协商报文,源地址为本端私网地址、端口号4500,目的地址为任意地址、任意端口号(用于在CPEA侧的NAT打洞)。
4)CPEB收到CPEA的报文后,配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址、端口号为第一预设值(经NAT映射后源地址为公网地址,端口号是第二预设值),目的地址为CPEA经NAT后的公网地址、端口号4500(基本NAT,原始私网报文端口号也是4500)。
5)CPEA配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址,目的地址为CPEB经NAT后的公网地址、端口号为第二预设值(原始地址为本端私网地址,端口号是第一预设值)。
6)CPEA和CPEB间经IPSEC隧道进行常规报文转发。
第五种情况、CPEA为基本NAT,CPEB为对称型NAT,也可参照图7,过程包括:
1)CPEA和CPEB分别与NAT探测服务器进行报文交互,CPEA为基本NAT,CPEB为对称型NAT。其中,IP报文同源同端口异目的异端口,NAT映射不同。
2)NAT探测服务器向CPEB发包,告知NAT探测服务器记录的CPEA侧经NAT转换后的公网地址和端口号4500(基本NAT,原始私网报文端口号也是4500)。
3)CPEA发送预协商报文,源地址为本端私网地址、端口号4500,目的地址为任意地址、任意端口号(用于在CPEA侧的NAT打洞)。
4)CPEB收到CPEA的报文后,配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址、端口号为第一预设值(经NAT映射后源地址为公网地址,端口号是第二预设值),目的地址为CPEA经NAT后的公网地址、端口号4500(基本NAT,原始私网报文端口号也是4500)。
5)CPEA配置IPSEC采用“隧道模式”封装、并开启NAT-T模式,源地址为本端私网地址,目的地址为CPEB经NAT后的公网地址、端口号为第二预设值(原始地址为本端私网地址,端口号是第一预设值)。
6)CPEA和CPEB间经IPSEC隧道进行常规报文转发。
通过以上描述可以看出,利用本发明实施例的方案,解决了传统IPSEC协议不能两端同时穿越NAT的经典问题,提供了IPSEC协议两端同时穿越NAT(一端为基本NAT)的技术方案,加强了广域网环境IPSEC协议的应用范围。
本发明实施例还提供了一种隧道建立装置,应用于待建立的IPESC隧道的第一端。参见图8,图8是本发明实施例提供的隧道建立装置的结构图。由于隧道建立装置解决问题的原理与本发明实施例中隧道建立方法相似,因此该隧道建立装置的实施可以参见方法的实施,重复之处不再赘述。
如图8所示,隧道建立装置包括:确定模块801,用于通过NAT探测服务器确定第一端需穿越的NAT的类型;第一配置模块802,用于根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;第二配置模块803,用于配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
其中,所述第二配置模块803可包括:
第一发送子模块,用于向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;第一配置子模块,用于配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种隧道建立装置,应用于待建立的IPESC隧道的第二端。参见图9,图9是本发明实施例提供的隧道建立装置的结构图。由于隧道建立装置解决问题的原理与本发明实施例中隧道建立方法相似,因此该隧道建立装置的实施可以参见方法的实施,重复之处不再赘述。
如图9所示,隧道建立装置包括:确定模块901,用于通过NAT探测服务器确定第二端需穿越的NAT的类型;第一配置模块902,用于根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;第二配置模块903,用于配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
其中,所述第二配置模块包括:
第一获取子模块,用于从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
第一接收子模块,用于接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
第一配置子模块,用于配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种隧道建立装置,应用于NAT探测服务器。参见图10,图10是本发明实施例提供的隧道建立装置的结构图。由于隧道建立装置解决问题的原理与本发明实施例中隧道建立方法相似,因此该隧道建立装置的实施可以参见方法的实施,重复之处不再赘述。
如图10所示,隧道建立装置包括:确定模块1001,用于分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;发送模块1002,用于向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种隧道建立装置,应用于待建立的IPESC隧道的第一端。参见图11,图11是本发明实施例提供的隧道建立装置的结构图。由于隧道建立装置解决问题的原理与本发明实施例中隧道建立方法相似,因此该隧道建立装置的实施可以参见方法的实施,重复之处不再赘述。
如图11所示,隧道建立装置包括:处理器1101和收发器1102。
所述处理器1101,用于通过NAT探测服务器确定第一端需穿越的NAT的类型;根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
其中,所述收发器1102还用于,向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
所述处理器1101还用于,配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种隧道建立装置,应用于待建立的IPESC隧道的第二端。参见图12,图12是本发明实施例提供的隧道建立装置的结构图。由于隧道建立装置解决问题的原理与本发明实施例中隧道建立方法相似,因此该隧道建立装置的实施可以参见方法的实施,重复之处不再赘述。
如图12所示,隧道建立装置包括:处理器1201和收发器1202。所述处理器1201,用于通过NAT探测服务器确定第二端需穿越的NAT的类型;根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
其中,所述收发器1202还用于,从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
所述处理器1201还用于,配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种隧道建立装置,应用于NAT探测服务器。参见图13,图13是本发明实施例提供的隧道建立装置的结构图。由于隧道建立装置解决问题的原理与本发明实施例中隧道建立方法相似,因此该隧道建立装置的实施可以参见方法的实施,重复之处不再赘述。
如图13所示,隧道建立装置包括:处理器1301和收发器1302。所述处理器1301,用于分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;所述收发器1302,用于向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
如图14所示,本发明实施例的通信设备,应用于待建立的IPESC隧道的第一端,包括:处理器1400,用于读取存储器1420中的程序,执行下列过程:
通过NAT探测服务器确定第一端需穿越的NAT的类型;
根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;
配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
收发机1414,用于在处理器1400的控制下接收和发送数据。
其中,在图14中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1400代表的一个或多个处理器和存储器1420代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1414可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1400负责管理总线架构和通常的处理,存储器1420可以存储处理器1400在执行操作时所使用的数据。
处理器1400负责管理总线架构和通常的处理,存储器1420可以存储处理器1400在执行操作时所使用的数据。
处理器1400还用于读取所述程序,执行如下步骤:
向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。
如图15所示,本发明实施例的通信设备,应用于待建立的IPESC隧道的第二端,包括:处理器1500,用于读取存储器1520中的程序,执行下列过程:
通过NAT探测服务器确定第二端需穿越的NAT的类型;
根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;
配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
收发机1515,用于在处理器1500的控制下接收和发送数据。
其中,在图15中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1500代表的一个或多个处理器和存储器1520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1515可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1500负责管理总线架构和通常的处理,存储器1520可以存储处理器1500在执行操作时所使用的数据。
处理器1500负责管理总线架构和通常的处理,存储器1520可以存储处理器1500在执行操作时所使用的数据。
处理器1500还用于读取所述程序,执行如下步骤:
从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
如图16所示,本发明实施例的通信设备,应用于NAT探测服务器,包括:处理器1600,用于读取存储器1620中的程序,执行下列过程:
分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
收发机1616,用于在处理器1600的控制下接收和发送数据。
其中,在图16中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1600代表的一个或多个处理器和存储器1620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1616可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1600负责管理总线架构和通常的处理,存储器1620可以存储处理器1600在执行操作时所使用的数据。
处理器1600负责管理总线架构和通常的处理,存储器1620可以存储处理器1600在执行操作时所使用的数据。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
通过NAT探测服务器确定第一端需穿越的NAT的类型;
根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;
配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道。
其中,所述配置第一端的IPSEC隧道的地址信息,包括:
向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
其中,在所述IPSEC隧道中传输的报文是通过将ESP协议包封装到UDP包中得到的。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
通过NAT探测服务器确定第二端需穿越的NAT的类型;
根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;
配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道。
其中,所述配置第二端的IPSEC隧道的地址信息,包括:
从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种隧道建立方法,应用于待建立的互联网安全协议IPESC隧道的第一端,其特征在于,包括:
通过网络地址转换NAT探测服务器确定第一端需穿越的NAT的类型;
根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;
配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道;
所述配置第一端的IPSEC隧道的地址信息,包括:
向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
2.根据权利要求1所述的方法,其特征在于,在所述IPSEC隧道中传输的报文是通过将封装安全载荷ESP协议包封装到用户数据报协议UDP包中得到的。
3.一种隧道建立方法,应用于待建立的IPESC隧道的第二端,其特征在于,包括:
通过NAT探测服务器确定第二端需穿越的NAT的类型;
根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;
配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道;
所述配置第二端IPSEC采用隧道模式,包括:
从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
4.一种隧道建立方法,应用于NAT探测服务器,其特征在于,包括:
分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
其中,所述第一端根据需穿越的NAT类型,配置第一端IPSEC采用隧道模式;所述配置第一端的IPSEC隧道的地址信息,包括:向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号;
所述第二端根据需穿越的NAT类型,配置第二端IPSEC采用隧道模式;所述配置第二端IPSEC采用隧道模式,包括:从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
5.一种隧道建立装置,应用于待建立的IPESC隧道的第一端,其特征在于,包括:
确定模块,用于通过NAT探测服务器确定第一端需穿越的NAT的类型;
第一配置模块,用于根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;
第二配置模块,用于配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道;
其中,所述第二配置模块可包括:
第一发送子模块,用于向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;第一配置子模块,用于配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
6.一种隧道建立装置,应用于待建立的IPESC隧道的第二端,其特征在于,包括:
确定模块,用于通过NAT探测服务器确定第二端需穿越的NAT的类型;
第一配置模块,用于根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;
第二配置模块,用于配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道;
其中,所述第二配置模块包括:
第一获取子模块,用于从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
第一接收子模块,用于接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
第一配置子模块,用于配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
7.一种隧道建立装置,应用于NAT探测服务器,其特征在于,包括:
确定模块,用于分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
发送模块,用于向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
其中,所述第一端根据需穿越的NAT类型,配置第一端IPSEC采用隧道模式;所述配置第一端的IPSEC隧道的地址信息,包括:向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号;
所述第二端根据需穿越的NAT类型,配置第二端IPSEC采用隧道模式;所述配置第二端IPSEC采用隧道模式,包括:从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
8.一种隧道建立装置,应用于待建立的IPESC隧道的第一端,其特征在于,包括:处理器和收发器;
所述处理器,用于通过NAT探测服务器确定第一端需穿越的NAT的类型;根据第一端需穿越的NAT类型,配置第一端IPSEC采用隧道模式;配置第一端的IPSEC隧道的地址信息,以建立与第二端之间的IPSEC隧道;
其中,所述收发器还用于,向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
所述处理器还用于,配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号。
9.一种隧道建立装置,应用于待建立的IPESC隧道的第二端,其特征在于,包括:处理器和收发器;
所述处理器,用于通过NAT探测服务器确定第二端需穿越的NAT的类型;根据第二端需穿越的NAT类型,配置第二端IPSEC采用隧道模式;配置第二端的IPSEC隧道的地址信息,以建立与第一端之间的IPSEC隧道;
其中,所述收发器还用于,从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;
所述处理器还用于,配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
10.一种隧道建立装置,应用于NAT探测服务器,其特征在于,包括:处理器和收发器;
所述处理器,用于分别与待建立的IPESC隧道的第一端和第二端交互,确定所述第一端需穿越的NAT类型和所述第二端需穿越的NAT的类型;
所述收发器,用于向所述第二端发送所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;
其中,所述第一端根据需穿越的NAT类型,配置第一端IPSEC采用隧道模式;所述配置第一端的IPSEC隧道的地址信息,包括:向所述第二端发送预协商报文,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为第一端的私网地址、源端口号为第三预设值,目的IP地址为所述第二端经NAT转换后的公网地址、目的端口号为所述第二端经NAT转换后的端口号;
所述第二端根据需穿越的NAT类型,配置第二端IPSEC采用隧道模式;所述配置第二端IPSEC采用隧道模式,包括:从所述NAT探测服务器获取所述第一端经NAT转换后的公网地址以及端口号,所述端口号为4500;接收所述第一端发送的预协商报文,其中,源IP地址为所述第一端的私网地址、源端口号为4500,目的IP地址为第一预设值、目的端口号为第二预设值;配置源地址为所述第二端的私网地址,源端口号为第三预设值,目的IP地址为所述第一端经NAT转换后的公网地址、目的端口号为4500。
11.一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,
所述处理器,用于读取存储器中的程序实现如权利要求1至2中任一项所述的方法中的步骤;或者实现如权利要求3所述的方法中的步骤;或者实现如权利要求4所述的方法中的步骤。
12.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至2中任一项所述的方法中的步骤;或者实现如权利要求3所述的方法中的步骤;或者实现如权利要求4所述的方法中的步骤。
CN201911058916.1A 2019-10-31 2019-10-31 一种隧道建立方法、装置、设备及计算机可读存储介质 Active CN112751816B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911058916.1A CN112751816B (zh) 2019-10-31 2019-10-31 一种隧道建立方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911058916.1A CN112751816B (zh) 2019-10-31 2019-10-31 一种隧道建立方法、装置、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN112751816A CN112751816A (zh) 2021-05-04
CN112751816B true CN112751816B (zh) 2023-05-12

Family

ID=75645006

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911058916.1A Active CN112751816B (zh) 2019-10-31 2019-10-31 一种隧道建立方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN112751816B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法
CN101207546A (zh) * 2006-12-18 2008-06-25 华为技术有限公司 一种动态建立隧道的方法、隧道服务器和系统
WO2015131609A1 (zh) * 2014-09-25 2015-09-11 中兴通讯股份有限公司 一种实现L2TP over IPsec接入的方法
CN106533881A (zh) * 2016-11-10 2017-03-22 锐捷网络股份有限公司 Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统
CN109600277A (zh) * 2018-12-05 2019-04-09 杭州迪普科技股份有限公司 基于NAT设备的IPSec隧道保活方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101207546A (zh) * 2006-12-18 2008-06-25 华为技术有限公司 一种动态建立隧道的方法、隧道服务器和系统
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法
WO2015131609A1 (zh) * 2014-09-25 2015-09-11 中兴通讯股份有限公司 一种实现L2TP over IPsec接入的方法
CN106533881A (zh) * 2016-11-10 2017-03-22 锐捷网络股份有限公司 Ipsec隧道恢复方法、分支出口设备和ipsec vpn系统
CN109600277A (zh) * 2018-12-05 2019-04-09 杭州迪普科技股份有限公司 基于NAT设备的IPSec隧道保活方法和装置

Also Published As

Publication number Publication date
CN112751816A (zh) 2021-05-04

Similar Documents

Publication Publication Date Title
US9667594B2 (en) Maintaining network address translations
US9264356B2 (en) Network gateway apparatus
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP4260659B2 (ja) パケットのnat透過機能を有する端末装置及びそのプログラム
KR20040035902A (ko) 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
WO2016066027A1 (zh) 一种媒体传输方法和设备
CN113067910B (zh) 一种nat穿越方法、装置、电子设备和存储介质
CN112751816B (zh) 一种隧道建立方法、装置、设备及计算机可读存储介质
CN112751946B (zh) 一种隧道建立方法、装置、设备及计算机可读存储介质
CN114584528A (zh) 一种隧道建立方法、装置及设备
CN115694849A (zh) 一种p2p内网穿透vpn的方法
Oistrez et al. A reliable and fast data transfer for grid systems using a dynamic firewall configuration

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant