CN112787905A - Mtu确定方法及系统、电子设备及存储介质 - Google Patents

Mtu确定方法及系统、电子设备及存储介质 Download PDF

Info

Publication number
CN112787905A
CN112787905A CN202011559387.6A CN202011559387A CN112787905A CN 112787905 A CN112787905 A CN 112787905A CN 202011559387 A CN202011559387 A CN 202011559387A CN 112787905 A CN112787905 A CN 112787905A
Authority
CN
China
Prior art keywords
mtu
value
message
vpn
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011559387.6A
Other languages
English (en)
Inventor
李大腾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD
Original Assignee
BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD filed Critical BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD
Priority to CN202011559387.6A priority Critical patent/CN112787905A/zh
Publication of CN112787905A publication Critical patent/CN112787905A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种MTU确定方法及系统、电子设备及存储介质,包括:S1:接收携带DF标记的IP报文;S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。本发明通过不断调整MTU值,确定传输路径上最佳MTU值。

Description

MTU确定方法及系统、电子设备及存储介质
技术领域
本发明涉及VPN技术领域,特别涉及一种MTU确定方法及系统、电子设备及存储介质。
背景技术
在VPN技术中经常遇到隧道已经建立但是某些应用程序无法正常通讯的问题,这是因为VPN隧道中的流量会加入一些报文头,如果通讯双方的MTU不能随之改变的话,容易产生不通的问题。
在VPN协商成功建立隧道后,业务报文发送时匹配到VPN的加密策略后通过VPN隧道进行传输时会加上额外的封装信息,如ESP或AH头等附加头信息。此时如果传输路径上某个中间转发设备的MTU小于VPN加密报文长度,中间转发设备会对VPN报文分片,分片报文到达目的后再进行重组和解密,这样就导致网络传输效率降低。
目前,防火墙可以通过手动给VPN隧道使用接口设置一个合适的MTU,由于MSS值等于MTU值减去TCP头长度,此方法能保证TCP协议包不会因为MSS值过大导致IP分片影响传输性能。但该技术存在以下缺点:
手动配置接口MTU值的方式,对配置管理员不够友好,会增加配置复杂度。无法确定隧道路径上最合适的MTU,只能根据经验配置一个相对合适的MTU值。
发明内容
本发明提供一种能够动态发现适合VPN隧道的最优MTU和MSS值,使报文在整个传输路径上不被分片的MTU确定方法及系统、电子设备及存储介质。
本发明提供一种MTU确定方法,用于VPN网关所在网络设备,包括:
S1:接收携带DF标记的IP报文;
S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;
S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值PMTU保存到隧道SP;
S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。
优选的是,所述的MTU确定方法,其中,所述S1与S2之间还包括:判断所述IP报文上的PMTU是否超时;若是超时,则更新隧道PMTU值等于VPN网关隧道接口的MTU减去VPN封装头,并记录PMTU到SP、启动预设定时器;若未超时,则执行S2。
优选的是,所述的MTU确定方法,其中,所述S1之前还包括:
S11:准备收包;
S12:判断是否接收到携带DF标记的IP报文;若接收到携带DF标记的IP报文,则执行所述S1;
S13:若未接收到携带DF标记的IP报文,则继续判断是否接收到由隧道内部路由器发送的携带MTU值的ICMP差错报文;
S14:若接收到携带MTU值的ICMP差错报文,则确定最优MTU值等于VPN网关所在网络设备的VPN隧道SP上的PMTU值、并记录PMTU到SP,启动预设定时器,返回所述S11;
S15:若未接收到携带MTU值的ICMP差错报文,则返回所述S11。
优选的是,所述的MTU确定方法,其中,所述S3具体还包括对所述IP报文进行IPSec封装,复制内层IP头的DF标志到外层IP头,并转发IP包,返回所述S11。
所述S11之前还包括:记录PMTU到SP,并启动预设定时器。
优选的是,所述的MTU确定方法,其中,所述S1中接收到下一跳的ICMP差错报文时,将所述ICMP差错报文发送给源主机,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,并返回所述S1。
优选的是,所述的MTU确定方法,其中,所述S5具体还包括:向源地址发送ICMP差错报文,并通知源主机下一跳MTU等于VPN网关所在网络设备的VPN隧道SP上的PMTU值。
本发明提供了一种MTU确定系统,用于VPN网关所在网络设备,包括:
接收模块,用于接收携带DF标记的IP报文;
判断模块,用于判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则返回确定模块;若大于VPN隧道SP上的PMTU值,则返回ICMP差错报文发送模块;
确定模块,用于封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值PMTU保存到隧道SP;
ICMP差错报文发送模块,用于基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述接收模块。
优选的是,所述的MTU确定系统,其中,所述接收模块与判断模块之间还包括:超时确定模块,用于判断所述IP报文上的PMTU是否超时;若是超时,则更新隧道PMTU值等于VPN网关隧道接口的MTU减去VPN封装头,并记录PMTU到SP、启动预设定时器;若未超时,则返回所述判断模块。
本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的MTU确定方法的步骤。
本发明提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的MTU确定方法的步骤。
通过本发明提供的MTU确定方法及系统、电子设备及存储介质,不需要手动配置接口MTU值,通过动态调整MTU值方式来确定传输路径最佳MTU。设备转发IP报文时,由于链路MTU值可能会对IP报文进行分片。如果设备收到携带DF标记的IP报文丢弃IP报文,并向报文发送端发送ICMP差错报文。通过ICMP差错报文中的MTU字段,报文发送端不断调整MTU值,重新发送携带DF标记的IP报文,从而确定VPN传输路径上最佳MTU值。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的MTU确定方法的示意图;
图2为本发明提供的MTU确定系统的示意图;
图3为本发明提供的电子设备的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的MTU确定方法的示意图,如图1所示,该方法包括:
一种MTU确定方法,用于VPN网关所在网络设备,包括:
S1:接收携带DF标记的IP报文;IP报文是指普通的网络报文,限定为经过VPN隧道处理的,能受VPN保护的IP报文。
S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;PMTU是path mtu的缩写,代表传输路径上MTU。
S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;
S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。
具体的,假设主机下一跳链路的MTU值为MTU1,IPSec网关下一跳链路的MTU值为MTU2,路由器下一跳链路的MTU值为MTU3。其中,MTU1>=MTU2;MTU2>MTU3。
步骤(1):首先,IPSec网关使用MTU2减去IPSec隧道封装需要的开销,计算结果保存在对应的VPN策略SP中。SP是指VPN与主机协商之后,就会有一个SP安全加密策略,PMTU存储在SP上。
步骤(2):主机发送带有DF标志的IP包,IPSec网关查找对应SP,比较IP包长度和SP中保存的MTU2’,发现IP包长度大于MTU2’。
步骤(3):IPSec网关丢弃IP包,并发送ICMP包,通知主机下一跳MTU为MTU2’。
步骤(4):主机收到ICMP后,减小IP包长度,使报文经过IPSec网关封装后长度小于MTU2;复制内层IP头的DF标志到外层IP头。
步骤(5):路由器发现IPSec封装包长度大于下一跳链路MTU值MTU3,丢弃报文并发送ICMP报文到IPSec网关,通知下一跳MTU为MTU3。
步骤(6):IPSec网关收到隧道内部传来的ICMP报文,用MTU3减去IPSec封装开销,计算结果MTU3’保存到对应SP中,更新旧的MTU2’。
步骤(7):主机再次发送带有DF标志的IP包,IPSec网关丢弃IP包,并向主机发送ICMP包,通知下一跳MTU为MTU3’。
IPSec网关每次记录PMTU到SP后,启动一个定时器,超时后从步骤(1)开始重复上述流程。当转发设备收到携带DF标记的IP报文,但同时报文长度又大于转发设备的MTU值,转发设备会丢弃报文并返回ICMP差错报文的特点,动态调整报文发送端的MTU值以确定传输路径上最佳MTU值。
所述S1与S2之间还包括:判断所述IP报文上的PMTU是否超时;若是超时,则更新隧道PMTU值等于VPN网关隧道接口的MTU减去VPN封装头,并记录PMTU到SP、启动预设定时器;若未超时,则执行S2。
所述S1之前还包括:
S11:准备收包;
S12:判断是否接收到携带DF标记的IP报文;若接收到携带DF标记的IP报文,则执行所述S1;
S13:若未接收到携带DF标记的IP报文,则继续判断是否接收到由隧道内部路由器发送的携带MTU值的ICMP差错报文;
S14:若接收到携带MTU值的ICMP差错报文,则确定最优MTU值等于VPN网关所在网络设备的VPN隧道SP上的PMTU值、并记录PMTU到SP,启动预设定时器,返回所述S11;
S15:若未接收到携带MTU值的ICMP差错报文,则返回所述S11。
所述S3具体还包括对所述IP报文进行IPSec封装,复制内层IP头的DF标志到外层IP头,并转发IP包,返回所述S11。
所述S11之前还包括:记录PMTU到相应SP,并启动预设定时器。
所述S1中接收到下一跳的ICMP差错报文时,将所述ICMP差错报文发送给源主机,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,并返回所述S1。
所述S5具体还包括:向源地址发送ICMP差错报文,并通知源主机下一跳MTU等于VPN网关所在网络设备的VPN隧道SP上的PMTU值。
通过本发明不需要手动配置接口MTU值,通过动态调整MTU值方式来确定传输路径最佳MTU。设备转发IP报文时,由于链路MTU值可能会对IP报文进行分片。如果设备收到携带DF标记的IP报文丢弃IP报文,并向报文发送端发送ICMP差错报文。通过ICMP差错报文中的MTU字段,报文发送端不断调整MTU值,重新发送携带DF标记的IP报文,从而确定传输路径上最佳MTU值。
下面对本发明提供的MTU确定系统进行描述,下文描述的MTU确定系统与上文描述的MTU确定方法可相互对应参照。
图2为本发明提供的MTU确定系统的示意图,如图2所示,该系统包括:
本发明提供了一种MTU确定系统,用于VPN网关所在网络设备,包括:
接收模块10,用于接收携带DF标记的IP报文;
判断模块20,用于判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则返回确定模块30;若大于VPN隧道SP上的PMTU值,则返回ICMP差错报文发送模块40;
确定模块30,用于封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;
ICMP差错报文发送模块40,用于基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述接收模块。
所述接收模块10与判断模块20之间还包括:超时确定模块30,用于判断所述IP报文上的PMTU是否超时;若是超时,则更新隧道PMTU值等于VPN网关隧道接口的MTU减去VPN封装头,并记录PMTU到SP、启动预设定时器;若未超时,则返回所述判断模块20。
图3示例了一种电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行一种MTU确定方法,该方法包括:
S1:接收携带DF标记的IP报文;
S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;
S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值PMTU保存到隧道SP;
S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行一种MTU确定方法,该方法包括:
S1:接收携带DF标记的IP报文;
S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;
S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;
S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行一种MTU确定方法,该方法包括:
S1:接收携带DF标记的IP报文;
S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;
S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;
S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种MTU确定方法,用于VPN网关所在网络设备,其特征在于,包括:
S1:接收携带DF标记的IP报文;
S2:判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则执行S3;若大于VPN隧道SP上的PMTU值,则执行S4;
S3:封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;
S4:基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述S1。
2.根据权利要求1所述的MTU确定方法,其特征在于,所述S1与S2之间还包括:判断所述IP报文上的PMTU是否超时;若是超时,则更新隧道的PMTU值等于VPN网关隧道接口的MTU减去VPN封装头,并记录到隧道的SP中、然后启动预设定时器;若未超时,则执行S2。
3.根据权利要求1所述的MTU确定方法,其特征在于,所述S1之前还包括:
S11:准备收包;
S12:判断是否接收到携带DF标记的IP报文;若接收到携带DF标记的IP报文,则执行所述S1;
S13:若未接收到携带DF标记的IP报文,则继续判断是否接收到由隧道内部路由器发送的携带MTU值的ICMP差错报文;
S14:若接收到携带MTU值的ICMP差错报文,转发ICMP差错报文给源主机,返回所述S11;
S15:若未接收到携带MTU值的ICMP差错报文,则返回所述S11。
4.根据权利要求3所述的MTU确定方法,其特征在于,所述S3具体还包括对所述IP报文进行IPSec封装,复制内层IP头的DF标志到外层IP头,并转发IP包,返回所述S11;
所述S11之前还包括:记录PMTU值到VPN隧道的SP上,并启动预设定时器。
5.根据权利要求3所述的MTU确定方法,其特征在于,所述S1中接收到下一跳的ICMP差错报文时,将所述ICMP差错报文发送给源主机,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,并返回所述S1。
6.根据权利要求5所述的MTU确定方法,其特征在于,所述S4具体还包括:向源地址发送ICMP差错报文,并通知源主机下一跳MTU等于VPN网关所在网络设备的VPN隧道SP上的PMTU值。
7.一种MTU确定系统,用于VPN网关所在网络设备,其特征在于,包括:
接收模块,用于接收携带DF标记的IP报文;
判断模块,用于判断所述IP报文长度是否大于VPN隧道SP上的PMTU值;若不大于VPN隧道SP上的PMTU值,则返回确定模块;若大于VPN隧道SP上的PMTU值,则返回ICMP差错报文发送模块;;
确定模块,用于封装IP报文,并把DF标记复制到VPN外层IP转发报文;将隧道接口上的MTU值减去VPN封装头作为最优MTU值保存到隧道SP;
ICMP差错报文发送模块,用于基于所述DF标记,强制不分片并丢弃所述IP报文,并发送ICMP差错报文,所述ICMP差错报文中的MTU字段用于将所生成的调整MTU值后的IP报文作为携带DF标记的IP报文,返回所述接收模块。
8.根据权利要求7所述的MTU确定系统,其特征在于,所述接收模块与判断模块之间还包括:超时确定模块,用于判断所述IP报文上的PMTU是否超时;若是超时,则更新VPN隧道SP的PMTU值等于VPN网关隧道接口的MTU减去VPN封装头,并记录到SP中、然后启动预设定时器;若未超时,则返回所述判断模块。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6任一所述的MTU确定方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-6任一所述的MTU确定方法的步骤。
CN202011559387.6A 2020-12-25 2020-12-25 Mtu确定方法及系统、电子设备及存储介质 Pending CN112787905A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011559387.6A CN112787905A (zh) 2020-12-25 2020-12-25 Mtu确定方法及系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011559387.6A CN112787905A (zh) 2020-12-25 2020-12-25 Mtu确定方法及系统、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN112787905A true CN112787905A (zh) 2021-05-11

Family

ID=75752365

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011559387.6A Pending CN112787905A (zh) 2020-12-25 2020-12-25 Mtu确定方法及系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN112787905A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660198A (zh) * 2021-07-05 2021-11-16 广州鲁邦通物联网科技有限公司 一种网关安全通道自适应方法、管理单元和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1545253A (zh) * 2003-11-13 2004-11-10 中兴通讯股份有限公司 动态发现IPsec隧道PMTU的方法
CN1716943A (zh) * 2004-06-28 2006-01-04 杭州华为三康技术有限公司 获取隧道网关环境中路径最大传输长度的方法及系统
CN1921440A (zh) * 2006-09-15 2007-02-28 华为数字技术有限公司 检测路径最大传输单元的方法和系统
CN101695048A (zh) * 2009-10-29 2010-04-14 福建星网锐捷网络有限公司 隧道最大传输单元的发现处理方法与装置、路由器
CN103944832A (zh) * 2014-04-18 2014-07-23 杭州华三通信技术有限公司 一种pmtu值的确定方法、设备和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1545253A (zh) * 2003-11-13 2004-11-10 中兴通讯股份有限公司 动态发现IPsec隧道PMTU的方法
CN1716943A (zh) * 2004-06-28 2006-01-04 杭州华为三康技术有限公司 获取隧道网关环境中路径最大传输长度的方法及系统
CN1921440A (zh) * 2006-09-15 2007-02-28 华为数字技术有限公司 检测路径最大传输单元的方法和系统
CN101695048A (zh) * 2009-10-29 2010-04-14 福建星网锐捷网络有限公司 隧道最大传输单元的发现处理方法与装置、路由器
CN103944832A (zh) * 2014-04-18 2014-07-23 杭州华三通信技术有限公司 一种pmtu值的确定方法、设备和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660198A (zh) * 2021-07-05 2021-11-16 广州鲁邦通物联网科技有限公司 一种网关安全通道自适应方法、管理单元和系统

Similar Documents

Publication Publication Date Title
US11277391B2 (en) Packet sending method and apparatus
EP2777217B1 (en) Protocol for layer two multiple network links tunnelling
CN108601043B (zh) 用于控制无线接入点的方法和设备
US20030123481A1 (en) Enhancements for TCP performance enhancing proxies
EP2007078A1 (en) Header size reduction of data packets
US20010047474A1 (en) Communication control scheme using proxy device and security protocol in combination
WO2021037216A1 (zh) 一种报文传输方法及设备、计算机存储介质
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
KR20150079910A (ko) 소프트웨어-정의된 네트워크 오버레이
US11695858B2 (en) Packet fragmentation control
CN113132342A (zh) 方法、网络装置、隧道入口点装置及存储介质
KR100748698B1 (ko) 보안 통신 시스템의 패킷 처리 방법 및 그 장치
US9467471B2 (en) Encrypted communication apparatus and control method therefor
CN112787905A (zh) Mtu确定方法及系统、电子设备及存储介质
EP2600569B1 (en) Method, apparatus and system for processing a tunnel packet
WO2005008997A1 (en) Hardware acceleration for unified ipsec and l2tp with ipsec processing in a device that integrates wired and wireless lan, l2 and l3 switching functionality
JP2006191354A (ja) データ配信管理装置およびデータ配信管理方法
CN109428828A (zh) Quic业务控制方法及网络设备
EP2953311B1 (en) Packet identification method and protective device
CN102821051B (zh) 通用路由封装隧道中路径最大传输单元更改方法
JP4367106B2 (ja) ネットワーク、通信ノード及びそれらに用いるセキュリティ方法並びにそのプログラム
US10771429B1 (en) Mechanisms for solving an IP fragmentation overlapping issue in L2VPN using multiple IP addresses in GRE headers
Pauly et al. TCP encapsulation of IKE and IPsec packets
CN116471345B (zh) 一种数据通信方法、装置、设备及介质
CN116389169B (zh) 一种避免国密IPSecVPN网关数据包乱序、分片的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210511