CN113438178B - 报文转发方法、装置、计算机设备和存储介质 - Google Patents

报文转发方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN113438178B
CN113438178B CN202110690306.4A CN202110690306A CN113438178B CN 113438178 B CN113438178 B CN 113438178B CN 202110690306 A CN202110690306 A CN 202110690306A CN 113438178 B CN113438178 B CN 113438178B
Authority
CN
China
Prior art keywords
ipsec
interface
intranet
message
tunnels
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110690306.4A
Other languages
English (en)
Other versions
CN113438178A (zh
Inventor
王之云
祖静
于星杰
范雪俭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202110690306.4A priority Critical patent/CN113438178B/zh
Publication of CN113438178A publication Critical patent/CN113438178A/zh
Application granted granted Critical
Publication of CN113438178B publication Critical patent/CN113438178B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

本公开涉及一种报文转发方法、装置、计算机设备和存储介质,接收来自于第一内网的第一报文;根据第一报文的目的地址查找路由表,确定第一IPSec接口,其中,路由表中包括:目的地址对应的路由组,路由组包括:至少两个IPSec接口对应的路由信息,至少两个IPSec接口绑定第一内网对应的网关设备的同一个物理接口;根据第一IPSec接口对应的第一SA,得到第一报文对应的第一IPSec密文;通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。有效地利用了至少两条IPSec隧道,实现了IPSec隧道的负载均衡,提高了网络资源的利用率。

Description

报文转发方法、装置、计算机设备和存储介质
技术领域
本公开涉及网络安全技术领域,尤其涉及一种报文转发方法、装置、计算机设备和存储介质。
背景技术
互联网协议安全(Internet Protocol Secrutity,IPSec)是互联网工程任务组Internet Engineering Task Force,IETF)制定的一组框架协议,通过使用加密的安全传输通道,保障互联网上通信的安全性。
在不同子网内的网络设备通过IPSec隧道进行数据传输时,通常在发起方的网关设备和响应方的网关设备之间建立多条IPSec隧道以实现负载均衡。发起方的网关设备在接收到来自于内网的报文后,以轮询的方式选择IPSec接口,将报文发送给IPsec口进行加密处理,根据IPSec接口确定IPSec隧道,通过IPSec隧道将IPsec密文发送到响应方的网关设备。
然而,采用现有技术的方法,对于只有一个物理接口的网关设备,无法实现负载均衡的功能。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种报文转发方法、装置、计算机设备和存储介质。
第一方面,本公开提供一种报文转发方法,应用于第一内网对应的网关设备,包括:
接收来自于第一内网的第一报文;
根据所述第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,所述路由表中包括:所述目的地址对应的路由组,所述路由组包括:至少两个IPSec接口对应的路由信息,所述至少两个IPSec接口不同,所述至少两个IPSec接口绑定所述第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为所述至少两个IPSec接口中的任一个;
根据所述第一IPSec接口对应的第一安全关联SA,对所述第一报文进行加密处理,得到第一IPSec密文;
通过所述第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送所述第一IPSec密文。
可选的,所述接收来自于第一内网的第一报文之前,还包括:
配置至少两个IPSec接口和同一个物理接口的绑定关系;
配置至少两个IPSec隧道,所述至少两个IPSec隧道都为所述第一内网对应的网关设备和所述第二内网对应的网关设备之间的IPSec隧道;
根据所述至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道。
可选的,所述配置至少两个IPSec接口和同一个物理接口的绑定关系,包括:
针对所述至少两个IPSec接口中的每个IPSec接口,
配置IPSec接口和物理接口的绑定关系;
将所述IPSec接口和物理接口的绑定关系添加到全局接口链表结构中。
可选的,所述根据所述至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道,包括:
针对所述至少两个IPSec隧道中的每个IPSec隧道,
根据IPSec隧道配置信息中的IPSec接口,获取所述全局接口链表结构中所述IPSec接口绑定的物理接口;
获取所述物理接口对应的套接字socket文件;
根据所述socket文件与第二内网对应的网关设备进行IPSec协商,得到所述IPSec接口对应的SA,建立所述IPSec接口对应的IPSec隧道。
可选的,所述根据所述第一报文的目的地址查找路由表,确定第一IPSec接口,包括:
根据所述第一报文的目的地址查找路由表,确定所述目的地址对应的路由组;
以轮询的方式,从所述路由组中的至少两个IPSec接口对应的路由信息中,确定所述第一IPSec接口。
可选的,还包括:
接收来自于第二内网对应的网关设备的第二IPSec密文;
根据所述第二IPSec密文,确定第二SA,得到第二报文;
记录所述第二报文的会话标识和所述第二SA对应的第二IPSec接口的对应关系;
向所述第一内网发送第二报文;接收来自于所述第一内网的第二报文的响应报文,所述第二报文的响应报文的会话标识与所述第二报文的会话标识相同;
根据所述第二报文的响应报文的会话标识,获取所述第二IPSec接口;
根据所述第二IPSec接口对应的所述第二SA,对所述第二报文的响应报文进行加密处理,得到第三IPSec密文;
通过所述第二IPSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送所述第三IPSec密文。
第二方面,本公开提供一种报文转发装置,应用于第一内网对应的网关设备,包括:
接收模块,用于接收来自于第一内网的第一报文;
处理模块,用于根据所述第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,所述路由表中包括:所述目的地址对应的路由组,所述路由组包括:至少两个IPSec接口对应的路由信息,所述至少两个IPSec接口不同,所述至少两个IPSec接口绑定所述第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为所述至少两个IPSec接口中的任一个;
所述处理模块,还用于根据所述第一IPSec接口对应的第一安全关联SA,对所述第一报文进行加密处理,得到第一IPSec密文;
发送模块,用于通过所述第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送所述第一IPSec密文。
可选的,还包括:
配置模块,用于配置至少两个IPSec接口和同一个物理接口的绑定关系;
所述配置模块,还用于配置至少两个IPSec隧道,所述至少两个IPSec隧道都为所述第一内网对应的网关设备和所述第二内网对应的网关设备之间的IPSec隧道;
所述配置模块,还用于根据所述至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道。
可选的,所述配置模块,具体用于:
针对所述至少两个IPSec接口中的每个IPSec接口,
配置IPSec接口和物理接口的绑定关系;
将所述IPSec接口和物理接口的绑定关系添加到全局接口链表结构中。
可选的,所述配置模块,具体用于:
针对所述至少两个IPSec隧道中的每个IPSec隧道,
根据IPSec隧道配置信息中的IPSec接口,获取所述全局接口链表结构中所述IPSec接口绑定的物理接口;
获取所述物理接口对应的套接字socket文件;
根据所述socket文件与第二内网对应的网关设备进行IPSec协商,得到所述IPSec接口对应的SA,建立所述IPSec接口对应的IPSec隧道。
可选的,所述处理模块,具体用于:
根据所述第一报文的目的地址查找路由表,确定所述目的地址对应的路由组;
以轮询的方式,从所述路由组中的至少两个IPSec接口对应的路由信息中,确定所述第一IPSec接口。
可选的,所述接收模块,还用于接收来自于第二内网对应的网关设备的第二IPSec密文;
所述处理模块,还用于根据所述第二IPSec密文,确定第二SA,得到第二报文;
所述处理模块,还用于记录所述第二报文的会话标识和所述第二SA对应的第二IPSec接口的对应关系;
所述发送模块,还用于向所述第一内网发送第二报文;
所述接收模块,还用于接收来自于所述第一内网的第二报文的响应报文,所述第二报文的响应报文的会话标识与所述第二报文的会话标识相同;
所述处理模块,还用于根据所述第二报文的响应报文的会话标识,获取所述第二IPSec接口;
所述处理模块,还用于根据所述第二IPSec接口对应的所述第二SA,对所述第二报文的响应报文进行加密处理,得到第三IPSec密文;
所述处理模块,还用于通过所述第二IPSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送所述第三IPSec密文。
第三方面,本公开提供一种计算机设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现第一方面任一项所述方法的步骤。
第四方面,本公开提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现第一方面任一项所述的方法的步骤。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例提供的报文转发方法,应用于第一内网对应的网关设备,包括:接收来自于第一内网的第一报文;根据第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,路由表中包括:目的地址对应的路由组,路由组包括:至少两个IPSec接口对应的路由信息,至少两个IPSec接口不同,至少两个IPSec接口绑定第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为至少两个IPSec接口中的任一个;根据第一IPSec接口对应的第一安全关联SA,对第一报文进行加密处理,得到第一IPSec密文;通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。由于至少两个IPSec接口可以绑定同一个物理接口,在网关设备只有一个物理接口的情况下,通过至少两个IPSec接口分别对应的IPSec隧道进行报文的转发,有效地利用了多条IPSec隧道,实现了IPSec隧道的负载均衡,提高了网络资源的利用率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开提供的一种报文转发方法实施例的流程示意图;
图2为本公开提供的另一种报文转发方法实施例的流程示意图;
图3为本公开提供的再一种报文转发方法实施例的流程示意图;
图4为本公开提供的又一种报文转发方法实施例的流程示意图;
图5为本公开提供的一种报文转发装置的结构示意图;
图6为本公开提供的另一种报文转发装置的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
在不同子网内的网络设备通过IPSec隧道进行数据传输时,通常建立多条保护网段相同的IPSec隧道以实现负载均衡。由于IPSec接口和物理接口是一对一绑定的,对于只有一个物理接口的网关设备,只能与对端的网关设备建立不同优先级的IPSec隧道。然而,低优先级的IPSec隧道只有在高优先级的IPSec隧道发生故障时,才会用于报文转发。
本公开提供一种报文转发方法,应用于第一内网对应的网关设备,包括:接收来自于第一内网的第一报文;根据第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,路由表中包括:目的地址对应的路由组,路由组包括:至少两个IPSec接口对应的路由信息,至少两个IPSec接口不同,至少两个IPSec接口绑定第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为至少两个IPSec接口中的任一个;根据第一IPSec接口对应的第一安全关联SA,对第一报文进行加密处理,得到第一IPSec密文;通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。由于至少两个IPSec接口可以绑定同一个物理接口,在网关设备只有一个物理接口的情况下,通过至少两个IPSec接口分别对应的IPSec隧道进行报文的转发,有效地利用了多条IPSec隧道,实现了IPSec隧道的负载均衡,提高了网络资源的利用率。
下面以几个具体的实施例对本公开的技术方案进行描述,对于相同或者类似的概念,可以相互参考,不再每处一一赘述。
图1为本公开实施例提供的一种报文转发方法实施例的流程示意图,本公开实施例中的报文转发方法,应用于第一内网对应的网关设备,网关设备是指支持IPSec的设备,可以是防火墙、路由器等。如图1所示,本实施例的方法包括:
S101:接收来自于第一内网的第一报文。
其中,第一报文是未使用IPSec加密的明文,第一报文的源地址是第一内网的IP地址,目的地址是第二内网的IP地址。
S102:根据第一报文的目的地址查找路由表,确定第一IPSec接口。
其中,路由表中包括:目的地址对应的路由组,路由组包括:至少两个IPSec接口对应的路由信息,至少两个IPSec接口不同,至少两个IPSec接口绑定第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为至少两个IPSec接口中的任一个。
一种可能的实现方式为:如图2所示,
S1021:根据第一报文的目的地址查找路由表,确定目的地址对应的路由组。
例如:根据第一报文的目的地址查找路由表,确定目的地址对应的路由组,路由组包括:IPSec0接口对应的路由信息和IPSec1接口对应的路由信息。IPSec0接口绑定的物理接口和IPSec1接口绑定的物理接口相同,为第一内网对应网关设备的物理接口Eth1。其中,IPSec0接口对应的路由信息中包括:第二内网对应的网关设备的IP地址1和优先级,IPSec1接口对应的路由信息中包括:第二内网对应的网关设备的IP地址2和优先级。
S1022:以轮询的方式,从路由组中的至少两个IPSec接口对应的路由信息中,确定第一IPSec接口。
例如:IPSec0接口对应的路由信息的优先级和IPSec1接口对应的路由信息的优先级相同,以轮询的方式,从路由组中的两个IPSec接口对应的路由信息中,确定IPSec0接口为第一IPSec接口。
S103:根据第一IPSec接口对应的第一安全关联SA,对第一报文进行加密处理,得到第一IPSec密文。
根据第一IPSec接口,获取第一IPSec接口对应的第一安全关联(SecrutityAssociation,SA)。
根据第一SA中的加密算法、加密密钥等,对第一报文进行加密处理,得到第一IPSec密文。
S104:通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。
获取第一IPSec接口绑定的物理接口的IP地址,作为第一IPSec密文的源地址,通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。
本实施例,应用于第一内网对应的网关设备,包括:接收来自于第一内网的第一报文;根据第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,路由表中包括:目的地址对应的路由组,路由组包括:至少两个IPSec接口对应的路由信息,至少两个IPSec接口不同,至少两个IPSec接口绑定第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为至少两个IPSec接口中的任一个;根据第一IPSec接口对应的第一安全关联SA,对第一报文进行加密处理,得到第一IPSec密文;通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。由于至少两个IPSec接口可以绑定同一个物理接口,在网关设备只有一个物理接口的情况下,通过至少两个IPSec接口分别对应的IPSec隧道进行报文的转发,有效地利用了多条IPSec隧道,实现了IPSec隧道的负载均衡,提高了网络资源的利用率。
图3为本公开实施例提供的再一种报文转发方法实施例的流程示意图,图3是在图1或图2所示实施例的基础上,S101之前还包括如下步骤:如图3所示,
S301:配置至少两个IPSec接口和同一个物理接口的绑定关系。
可选的,针对至少两个IPSec接口中的每个IPSec接口,配置IPSec接口和物理接口的绑定关系,将IPSec接口和物理接口的绑定关系添加到全局接口链表结构中。
以配置IPSec0接口、IPSec1接口和同一个物理接口Eth1的绑定关系为例,配置IPSec0接口和物理接口Eth1的绑定关系,将IPSec0接口和物理接口Eth1的绑定关系添加到全局接口链表结构中;配置IPSec1接口和物理接口Eth1的绑定关系,将IPSec1接口和物理接口Eth1的绑定关系添加到全局接口链表结构中。而现有技术中,在配置IPSec1接口和物理接口Eth1的绑定关系时,配置页面会出现“不同IPsec口不能绑定相同物理接口”的提示信息,IPSec1接口和物理接口Eth1的绑定关系无法生效;且全局接口链表结构中只支持记录IPSec接口和物理接口一对一的绑定关系。
基于IPSec接口绑定的物理接口创建套接字(socket)文件,socket文件用于IPSec隧道协商交互过程中报文的发送和接收。
S302:配置至少两个IPSec隧道。
其中,至少两个IPSec隧道都为第一内网对应的网关设备和第二内网对应的网关设备之间的IPSec隧道。
根据至少两个IPSec接口、保护网段(第一内网的网段和第二内网的网段)和第二内网对应的网关设备的至少两个IP地址,配置至少两个IPSec隧道。
S303:根据至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道。
一种可能的实现方式为:
针对至少两个IPSec隧道中的每个IPSec隧道,
根据IPSec隧道配置信息中的IPSec接口,获取全局接口链表结构中IPSec接口绑定的物理接口。
获取物理接口对应的socket文件。
根据socket文件与第二内网对应的网关设备进行IPSec协商,得到IPSec接口对应的SA,建立IPSec接口对应的IPSec隧道。
在IPSec协商成功以后,生成一条IPSec接口对应的路由信息,其中,路由信息的目的地址为第二内网的IP地址。
本实施例,接收来自于第一内网的第一报文之前,还包括:配置至少两个IPSec接口和同一个物理接口的绑定关系;配置至少两个IPSec隧道,至少两个IPSec隧道都为第一内网对应的网关设备和第二内网对应的网关设备之间的IPSec隧道;根据至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道。即,至少两个IPSec接口可以绑定同一个物理接口,并建立至少两个IPSec接口分别对应的IPSec隧道,在网关设备只有一个物理接口的情况下,通过至少两个IPSec接口分别对应的IPSec隧道进行报文的转发,有效地利用了多条IPSec隧道,实现了IPSec隧道的负载均衡,提高了网络资源的利用率。
图4为本公开实施例提供的又一种报文转发方法实施例的流程示意图,图4是在图1-图3任一所示实施例的基础上,还包括如下步骤:如图4所示,
S105:接收来自于第二内网对应的网关设备的第二IPSec密文。
S106:根据第二IPSec密文,确定第二SA,得到第二报文。
可选的,根据第二IPSec密文中的安全参数索引、目的IP地址和安全协议号确定第二SA。根据第二SA,对第二IPSec密文进行解密处理,得到第二报文。
S107:记录第二报文的会话标识和第二SA对应的第二IPSec接口的对应关系。
可选的,将第二SA对应的第二IPSec接口记录到数据流收包结构中入接口成员上,数据流收包结构中入接口成员还包括第二报文的会话标识。
S108:向第一内网发送第二报文。
根据第二报文的目的IP地址向第一内网的网络设备发送第二报文。第一内网的网络设备处理第二报文,并返回第二报文的响应报文。
S109:接收来自于第一内网的第二报文的响应报文。
其中,第二报文的响应报文的会话标识与第二报文的会话标识相同。
S110:根据第二报文的响应报文的会话标识,获取第二IPSec接口。
根据第二报文的响应报文的会话标识,查询会话标识和IPSec接口的对应关系,获取第二IPSec接口。
S111:根据第二IPSec接口对应的第二SA,对第二报文的响应报文进行加密处理,得到第三IPSec密文。
根据第二IPSec接口,获取第二IPSec接口对应的第二SA。
根据第二SA中的加密算法、加密密钥等,对第二报文的响应报文进行加密处理,得到第三IPSec密文。
S112:通过第二IPSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送第三IPSec密文。
获取第二IPSec接口绑定的物理接口的IP地址,作为第三IPSec密文的源地址,通过第二PSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送第三IPSec密文。
本实施例,接收来自于第二内网对应的网关设备的第二IPSec密文;根据第二IPSec密文,确定第二SA,得到第二报文;记录第二报文的会话标识和第二SA对应的第二IPSec接口的对应关系;向第一内网发送第二报文;接收来自于第一内网的第二报文的响应报文,第二报文的响应报文的会话标识与第二报文的会话标识相同;根据第二报文的响应报文的会话标识,获取第二IPSec接口;根据第二IPSec接口对应的第二SA,对第二报文的响应报文进行加密处理,得到第三IPSec密文;通过第二IPSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送第三IPSec密文。即,在接收第二IPSec密文时,记录IPSec接口,根据已记录的IPSec接口发送第二报文的响应报文,保证了第二报文的响应报文的出接口和第二报文的入接口一致,实现了接收报文的原路原回。
图5为本公开实施例提供的一种报文转发装置的结构示意图。本公开实施例中的报文转发装置,应用于第一内网对应的网关设备,如图5所示,本实施例的装置包括:接收模块501、处理模块502和发送模块503。
其中,接收模块501,用于接收来自于第一内网的第一报文。
处理模块502,用于根据第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,路由表中包括:目的地址对应的路由组,路由组包括:至少两个IPSec接口对应的路由信息,至少两个IPSec接口不同,至少两个IPSec接口绑定第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为至少两个IPSec接口中的任一个。
处理模块502,还用于根据第一IPSec接口对应的第一安全关联SA,对第一报文进行加密处理,得到第一IPSec密文。
发送模块503,用于通过第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送第一IPSec密文。
本实施例的装置,对应的可用于执行上述图1到图4任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本公开实施例提供的另一种报文转发装置的结构示意图。图6是在图5所示实施例的基础上,还包括:配置模块504,如图6所示,
其中,配置模块504,用于配置至少两个IPSec接口和同一个物理接口的绑定关系。
配置模块504,还用于配置至少两个IPSec隧道,至少两个IPSec隧道都为第一内网对应的网关设备和第二内网对应的网关设备之间的IPSec隧道。
配置模块504,还用于根据至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道。
可选的,配置模块504,具体用于:
针对至少两个IPSec接口中的每个IPSec接口,
配置IPSec接口和物理接口的绑定关系;
将IPSec接口和物理接口的绑定关系添加到全局接口链表结构中。
可选的,配置模块504,具体用于:
针对至少两个IPSec隧道中的每个IPSec隧道,
根据IPSec隧道配置信息中的IPSec接口,获取全局接口链表结构中IPSec接口绑定的物理接口;
获取物理接口对应的套接字socket文件;
根据socket文件与第二内网对应的网关设备进行IPSec协商,得到IPSec接口对应的SA,建立IPSec接口对应的IPSec隧道。
可选的,处理模块502,具体用于:
根据第一报文的目的地址查找路由表,确定目的地址对应的路由组;
以轮询的方式,从路由组中的至少两个IPSec接口对应的路由信息中,确定第一IPSec接口。
可选的,接收模块501,还用于接收来自于第二内网对应的网关设备的第二IPSec密文。
处理模块502,还用于根据第二IPSec密文,确定第二SA,得到第二报文。
处理模块502,还用于记录第二报文的会话标识和第二SA对应的第二IPSec接口的对应关系。
发送模块503,还用于向第一内网发送第二报文。
接收模块501,还用于接收来自于第一内网的第二报文的响应报文,第二报文的响应报文的会话标识与第二报文的会话标识相同。
处理模块502,还用于根据第二报文的响应报文的会话标识,获取第二IPSec接口。
处理模块502,还用于根据第二IPSec接口对应的第二SA,对第二报文的响应报文进行加密处理,得到第三IPSec密文。
处理模块502,还用于通过第二IPSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送第三IPSec密文。
本实施例的装置,对应的可用于执行上述图1到图4任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开实施例提供了一种计算机设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时可以实现图1到图4任一所示方法的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现图1到图4任一所示方法实施例的技术方案。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种报文转发方法,其特征在于,应用于第一内网对应的网关设备,包括:
配置至少两个IPSec接口和同一个物理接口的绑定关系;
配置至少两个IPSec隧道,所述至少两个IPSec隧道都为所述第一内网对应的网关设备和第二内网对应的网关设备之间的IPSec隧道;
根据所述至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道;
接收来自于第一内网的第一报文;
根据所述第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,所述路由表中包括:所述目的地址对应的路由组,所述路由组包括:至少两个IPSec接口对应的路由信息,所述至少两个IPSec接口不同,所述至少两个IPSec接口绑定所述第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为所述至少两个IPSec接口中的任一个;
根据所述第一IPSec接口对应的第一安全关联SA,对所述第一报文进行加密处理,得到第一IPSec密文;
通过所述第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送所述第一IPSec密文。
2.根据权利要求1所述的方法,其特征在于,所述配置至少两个IPSec接口和同一个物理接口的绑定关系,包括:
针对所述至少两个IPSec接口中的每个IPSec接口,
配置IPSec接口和物理接口的绑定关系;
将所述IPSec接口和物理接口的绑定关系添加到全局接口链表结构中。
3.根据权利要求2所述的方法,所述根据所述至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道,包括:
针对所述至少两个IPSec隧道中的每个IPSec隧道,
根据IPSec隧道配置信息中的IPSec接口,获取所述全局接口链表结构中所述IPSec接口绑定的物理接口;
获取所述物理接口对应的套接字socket文件;
根据所述socket文件与第二内网对应的网关设备进行IPSec协商,得到所述IPSec接口对应的SA,建立所述IPSec接口对应的IPSec隧道。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述第一报文的目的地址查找路由表,确定第一IPSec接口,包括:
根据所述第一报文的目的地址查找路由表,确定所述目的地址对应的路由组;
以轮询的方式,从所述路由组中的至少两个IPSec接口对应的路由信息中,确定所述第一IPSec接口。
5.根据权利要求4所述的方法,其特征在于,还包括:
接收来自于第二内网对应的网关设备的第二IPSec密文;
根据所述第二IPSec密文,确定第二SA,得到第二报文;
记录所述第二报文的会话标识和所述第二SA对应的第二IPSec接口的对应关系;
向所述第一内网发送第二报文;接收来自于所述第一内网的第二报文的响应报文,所述第二报文的响应报文的会话标识与所述第二报文的会话标识相同;
根据所述第二报文的响应报文的会话标识,获取所述第二IPSec接口;
根据所述第二IPSec接口对应的所述第二SA,对所述第二报文的响应报文进行加密处理,得到第三IPSec密文;
通过所述第二IPSec接口对应的第二IPSec隧道向第二内网对应的网关设备发送所述第三IPSec密文。
6.一种报文转发装置,其特征在于,应用于第一内网对应的网关设备,包括:
配置模块,用于配置至少两个IPSec接口和同一个物理接口的绑定关系;
所述配置模块,还用于配置至少两个IPSec隧道,所述至少两个IPSec隧道都为所述第一内网对应的网关设备和第二内网对应的网关设备之间的IPSec隧道;
所述配置模块,还用于根据所述至少两个IPSec隧道的信息,与第二内网对应的网关设备进行IPSec协商,建立至少两个IPSec隧道;
接收模块,用于接收来自于第一内网的第一报文;
处理模块,用于根据所述第一报文的目的地址查找路由表,确定第一互联网协议安全IPSec接口,其中,所述路由表中包括:所述目的地址对应的路由组,所述路由组包括:至少两个IPSec接口对应的路由信息,所述至少两个IPSec接口不同,所述至少两个IPSec接口绑定所述第一内网对应的网关设备的同一个物理接口,IPSec接口与IPSec隧道一一对应,第一IPSec接口为所述至少两个IPSec接口中的任一个;
所述处理模块,还用于根据所述第一IPSec接口对应的第一安全关联SA,对所述第一报文进行加密处理,得到第一IPSec密文;
发送模块,用于通过所述第一IPSec接口对应的第一IPSec隧道向第二内网对应的网关设备发送所述第一IPSec密文。
7.一种计算机设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-5任一项所述方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法的步骤。
CN202110690306.4A 2021-06-22 2021-06-22 报文转发方法、装置、计算机设备和存储介质 Active CN113438178B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110690306.4A CN113438178B (zh) 2021-06-22 2021-06-22 报文转发方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110690306.4A CN113438178B (zh) 2021-06-22 2021-06-22 报文转发方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN113438178A CN113438178A (zh) 2021-09-24
CN113438178B true CN113438178B (zh) 2023-04-18

Family

ID=77757030

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110690306.4A Active CN113438178B (zh) 2021-06-22 2021-06-22 报文转发方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN113438178B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101499972A (zh) * 2009-03-16 2009-08-05 杭州华三通信技术有限公司 Ip安全报文转发方法及装置
CN101674219A (zh) * 2009-10-14 2010-03-17 成都市华为赛门铁克科技有限公司 因特网安全协议智能卡隧道模式下的通信方法和设备
CN104104573A (zh) * 2014-08-06 2014-10-15 汉柏科技有限公司 用于网络设备的IPsec隧道的控制方法和系统
CN113676389A (zh) * 2020-05-15 2021-11-19 华为技术有限公司 报文发送方法及装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030084135A1 (en) * 2001-09-28 2003-05-01 Sanjai Narain Middleware for communications networks
US6744774B2 (en) * 2002-06-27 2004-06-01 Nokia, Inc. Dynamic routing over secure networks
US7376828B1 (en) * 2002-07-01 2008-05-20 Cisco Technology, Inc. Method and apparatus for using incompletely trusted service provider point-to-point networks
GB2418110B (en) * 2004-09-14 2006-09-06 3Com Corp Method and apparatus for controlling traffic between different entities on a network
JP4279792B2 (ja) * 2005-03-17 2009-06-17 ソフトバンクテレコム株式会社 通信制御システム及び方法
WO2015021594A1 (zh) * 2013-08-13 2015-02-19 华为技术有限公司 一种无线接入的方法、装置和系统
US10078528B2 (en) * 2015-10-06 2018-09-18 Centurylink Intellectual Property Llc Virtual machine-to-port peripheral device driver for implementing communications between virtual machines and client devices
CN110417708B (zh) * 2018-04-26 2021-04-20 上海华为技术有限公司 一种信息传输方法以及相关设备
CN110086798B (zh) * 2019-04-23 2022-04-15 奇安信科技集团股份有限公司 一种基于公共虚拟接口进行通信的方法及装置
CN112751724B (zh) * 2019-10-31 2023-07-11 华为技术有限公司 检测链路状态的方法及装置
CN112839355B (zh) * 2021-01-13 2022-06-14 深圳震有科技股份有限公司 一种5g网络的网络中ipsec测试系统和方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101499972A (zh) * 2009-03-16 2009-08-05 杭州华三通信技术有限公司 Ip安全报文转发方法及装置
CN101674219A (zh) * 2009-10-14 2010-03-17 成都市华为赛门铁克科技有限公司 因特网安全协议智能卡隧道模式下的通信方法和设备
CN104104573A (zh) * 2014-08-06 2014-10-15 汉柏科技有限公司 用于网络设备的IPsec隧道的控制方法和系统
CN113676389A (zh) * 2020-05-15 2021-11-19 华为技术有限公司 报文发送方法及装置

Also Published As

Publication number Publication date
CN113438178A (zh) 2021-09-24

Similar Documents

Publication Publication Date Title
CN107995052B (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
CA2419853A1 (en) Location-independent packet routing and secure access in a short-range wireless networking environment
CN110191052B (zh) 一种跨协议网络传输方法及系统
US11153207B2 (en) Data link layer-based communication method, device, and system
US20100296395A1 (en) Packet transmission system, packet transmission apparatus, and packet transmission method
JP7263098B2 (ja) 端末、通信方法、および、プログラム
US20140115154A1 (en) Linked Identifiers for Multiple Domains
KR101518438B1 (ko) 보안 네트워크 아키텍쳐를 확립하기 위한 방법, 보안 통신을 위한 방법 및 시스템
JP2008514077A (ja) 往復経路確認の最適化
CN101106454A (zh) 发起互联网密钥交换协商的方法和设备
Deshmukh et al. Design of IPSec virtual private network for remote access
JP4305087B2 (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
CN113438178B (zh) 报文转发方法、装置、计算机设备和存储介质
CN114650197A (zh) 通信方法、装置及用户面网元和存储介质
Yoshikawa et al. Performance evaluation of shared library supporting multi-platform for overlay network protocol
CN110677389B (zh) 基于ssl协议的混合攻击防护方法和装置
CN110224980B (zh) 一种可信mptcp传输方法及系统
CN106067864B (zh) 一种报文处理方法及装置
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
CN114268499B (zh) 数据传输方法、装置、系统、设备和存储介质
CN112332982B (zh) Macsec解密方法和装置
CN109510801B (zh) 显式正向代理与ssl侦听集成系统及其运行方法
US10841283B2 (en) Smart sender anonymization in identity enabled networks
Little Networking for Mobile Edge Computing
WO2020137084A1 (ja) 端末、通信方法、および、プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant