CN113452664B - 在网络隧道内建立网络微隧道 - Google Patents
在网络隧道内建立网络微隧道 Download PDFInfo
- Publication number
- CN113452664B CN113452664B CN202010421812.9A CN202010421812A CN113452664B CN 113452664 B CN113452664 B CN 113452664B CN 202010421812 A CN202010421812 A CN 202010421812A CN 113452664 B CN113452664 B CN 113452664B
- Authority
- CN
- China
- Prior art keywords
- network
- network device
- tunnel
- micro
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2408—Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
第一网络设备可以与隧道建立网络协议相关联地来与第二网络设备通信,以使得在该第一网络设备和该第二网络设备之间的网络隧道被建立。该第一网络设备可以基于与该第二网络设备通信以使该网络隧道被建立来确定该网络隧道将支持该网络隧道内的网络微隧道功能。该第一网络设备可以基于确定该网络隧道将支持网络微隧道功能来与该第二网络设备进行通信,以标识一个或多个业务类别中的、该网络隧道内的网络微隧道功能将被应用于其的业务类别。该第一网络设备可以使网络微隧道在该网络隧道内被建立以用于与该业务类别相关联的业务。
Description
背景技术
互联网协议安全性(IPsec)是用于安全互联网协议(IP)通信的协议套件,该协议套件通过对通信会话的每个IP分组进行身份认证和加密来工作。IPsec包括用于在会话开始以及将在会话期间使用的加密密钥的协商时在代理之间建立相互身份认证的协议。IPsec可用于保护一对主机之间(主机到主机)、一对安全网关之间(网络到网络)、或安全网关与主机之间(网络到主机)之间的数据流。IPsec可以在代理之间建立IPsec安全关联(SA),其描述代理如何诸如通过利用网络隧道使用安全服务进行安全通信。
网络隧道是一种用于通过公共网络安全地传输私人信息,使得公共网络的网络设备不知道私人信息的机制。隧道协议是一种支持网络隧道的创建的通信协议。隧道协议使私有信息能通过称为封装的处理而跨公共网络被发送。
发明内容
根据一些实现,一种方法可以包括:由第一网络设备并且与隧道建立网络协议相关联地,与第二网络设备进行通信,以使得第一网络设备和第二网络设备之间的网络隧道被建立;由第一网络设备并且基于与第二网络设备进行通信以使得网络隧道被建立,来确定该网络隧道将支持网络隧道内的第一网络设备与第二网络设备之间的网络微隧道功能;由第一网络设备并且基于确定网络隧道将支持网络隧道内的网络微隧道功能,与第二网络设备进行通信,以标识一个或多个业务类别中的、网络隧道内的网络微隧道功能将被应用于其的业务类别;以及由所述第一网络设备使得网络微隧道将在所述网络隧道内被建立,以用于与所述业务类别相关联的业务。
根据一些实现,网络设备可以包括一个或多个存储器和一个或多个处理器。一个或多个处理器可以:与另一网络设备通信,以使得该网络设备与该另一网络设备之间的互联网协议安全协议安全关联(SA)被建立;基于与所述附加网络设备的通信以使得所述SA被建立,确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能;基于确定该SA将支持该SA中的微SA功能,与其他网络设备进行通信,以标识一个或多个业务类别中的、SA内的网络微SA功能将被应用于其的业务类别;以及使得网络微SA将在所述SA内被建立,用于与所述业务类别相关联的业务。
根据一些实现,一种非瞬态计算机可读介质可以存储一个或多个指令。一个或多个指令,在由网络设备的一个或多个处理器执行时,使得所述一个或多个处理器:与附加网络设备通信,以使得所述网络设备与所述附加网络设备之间的互联网协议安全协议安全关联(SA)被建立;基于与所述附加网络设备通信以使得所述SA被建立,确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能;在确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能之后,标识一个或多个业务类别中的与业务类别相关联的一个或多个分组,其中一个或多个分组经由SA在所述网络设备和所述附加网络设备之间被发送,并由于与SA相关联的防重播策略而被拒绝;以及使得微SA在所述SA中被建立,以用于与所述业务类别相关联的附加业务。
根据本发明的第一方面,提供了一种方法,包括:由第一网络设备并且与隧道建立网络协议相关联地,与第二网络设备通信,以使得第一网络设备与第二网络设备之间的网络隧道被建立;由第一网络设备并且基于与第二网络设备通信以使得网络隧道被建立,确定网络隧道将支持网络隧道内的第一网络设备与第二网络设备之间的网络微隧道功能;由第一网络设备并且基于确定网络隧道将支持网络隧道内的网络微隧道功能,与第二网络设备通信,以标识一个或多个业务类别中的、网络隧道内的网络微隧道功能将被应用于其的业务类别;以及由第一网络设备使得网络微隧道在网络隧道内被建立,以用于与业务类别相关联的业务。
根据实施例,其中隧道建立网络协议是互联网密钥交换协议,并且网络隧道是使用互联网协议安全协议安全性关联的网络隧道。
根据实施例,其中一个或多个业务类别包括以下中的至少一项:网络业务类别;互联网协议电话业务类别;控制业务类别;流多媒体业务类别;或文件传输业务类别。
根据实施例,其中确定网络隧道将支持网络隧道内的第一网络设备与第二网络设备之间的网络微隧道功能包括:基于与第一网络设备关联的配置设置,确定第一网络设备能够支持微隧道功能;基于与第二网络设备通信以使得网络隧道被建立,接收指示第二网络设备能够支持微隧道功能的消息;以及基于确定第一网络设备能够支持微隧道功能并且消息指示第二网络设备能够支持微隧道功能,确定网络隧道将支持网络隧道内的第一网络设备与第二网络设备之间的网络微隧道功能。
根据实施例,其中与第二网络设备通信以标识网络隧道内的网络微隧道功能将被应用于其的业务类别包括:基于与第一网络设备相关联的配置设置,确定第一业务类别集合;从第二网络设备接收指示第二业务类别集合的消息;以及处理第一业务类别集合和第二业务类别集合,以标识网络隧道内的网络微隧道功能将被应用于其的业务类别。
根据实施例,其中使得网络微隧道将在网络隧道内被建立以用于与业务类别相关联的业务包括:配置与网络隧道相关联的数据结构以初始化与业务类别相关联的计数器,其中计数器被配置为基于第一网络设备接收或传输与业务类别相关联的至少一个分组来递增计数器标识符。
根据实施例,还包括:接收与去往第二网络设备的业务类别相关联的分组;以及经由网络微隧道,向第二网络设备转发与业务类别相关联的分组。
根据实施例,还包括:从第二网络设备并且经由网络微隧道接收与去往另一设备的业务类别相关联的分组;从与第一网络设备相关联的数据结构获得与业务类别相关联的计数器标识符;确定被包括在分组中的、与业务类别相关联的序列标识符对应于计数器标识符;以及
基于确定被包括在分组中的序列标识符对应于计数器标识符,向另一设备转发分组。
根据实施例,还包括:接收去往第二网络设备的、与业务类别相关联的第一分组和与业务类别不相关联的第二分组;经由网络微隧道向第二网络设备转发与业务类别相关联的第一分组;以及经由网络隧道向第二网络设备转发与业务类别不相关联的第二分组。
根据本发明的第二方面,提供了一种网络设备,包括:一个或多个存储器;以及一个或多个处理器,用以:与附加网络设备通信,以使得网络设备与附加网络设备之间的互联网协议安全协议安全性关联(SA)被建立;基于与附加网络设备通信以使得SA被建立,确定SA将支持SA内的网络设备与附加网络设备之间的微SA功能;基于确定SA将支持SA内的微SA功能,与附加网络设备通信,以标识一个或多个业务类别中的、SA内的网络微SA功能将被应用于其的业务类别;以及使得微SA在SA内被建立以用于与业务类别相关联的业务。
根据实施例,其中一个或多个业务类别中的特定业务类别与以下中的至少一项相关联:指示区分服务代码点的信息;指示业务应用标识符的信息;指示业务源地址的信息;指示业务目的地地址的信息;指示域名系统的信息;或指示服务器名称指示的信息。
根据实施例,其中在与附加网络设备通信以标识SA内的网络微SA功能将被应用于其的业务类别时,一个或多个处理器用以:基于与网络设备相关联的配置设置,确定能够使用SA内的网络微隧道功能的第一业务类别集合;标识能够使用SA内的网络微隧道功能的第二业务类别集合,其中第一业务类别集合和第二业务类别集合分别包括SA内的网络微SA功能将被应用于其的业务类别;以及比较第一业务类别集合和第二业务类别集合,以标识SA内的网络微SA功能将被应用于其的业务类别。
根据实施例,其中在使得微SA在SA内被建立以用于与业务类别相关联的业务时,一个或多个处理器用以:生成与SA相关联的数据结构;以及使得数据结构包括与业务类别相关联的计数器,其中计数器被配置为基于网络设备接收或传输与业务类别相关联的至少一个分组来递增计数器标识符。
根据实施例,其中一个或多个处理器还用以:接收与去往附加网络设备的业务类别相关联的分组;根据与SA相关联的加密策略来对加密分组;修改经加密的分组的报头以包括与业务类别相关联的序列标识符;以及在修改所加密的分组的报头之后,经由微SA向附加网络设备发送经加密的分组。
根据实施例,其中一个或多个处理器还用以:
从附加网络设备并且经由微SA接收与去往另一设备的业务类别相关联的经加密的分组;标识与被包括在经加密的分组中的业务类别相关联的序列标识符;确定序列标识符对应于与业务类别相关联的计数器标识符;基于确定序列标识符对应于与业务类别相关联的计数器标识符,根据与SA相关联的加密策略来解密所加密的分组;以及向另一设备发送所解密的分组。
根据本发明的第三方面,提供了一种存储有指令的非瞬态计算机可读介质,指令包括:一个或多个指令,一个或多个指令在由网络设备的一个或多个处理器执行时,使得一个或多个处理器:与附加网络设备通信,以使得网络设备与附加网络设备之间的互联网协议安全协议安全关联(SA)被建立;基于与附加网络设备通信以使得SA被建立,确定SA将支持SA内的网络设备与附加网络设备之间的微SA功能;在确定SA将支持SA内的网络设备与附加网络设备之间的微SA功能之后,标识与一个或多个业务类别中的业务类别相关联的一个或多个分组,其中一个或多个分组经由SA在网络设备和附加网络设备之间被传输,并且由于与SA相关的防重播策略而被拒绝;以及使得微SA在SA内被建立,以用于与业务类别相关联的附加业务。
根据实施例,其中一个或多个指令在由一个或多个处理器执行时,还使得一个或多个处理器:在使得微SA在SA内被建立之后,接收与去往附加网络设备的业务类别相关联的分组;基于分组的报头的至少一个字段,确定分组与业务类别相关联;在确定分组与业务类别相关联之后,根据与SA相关联的加密策略来加密分组;封装经加密的分组与附加报头,附加报头包括与业务类别相关联的序列标识符;以及在封装经加密的分组与附加报头之后,经由微SA向附加的网络设备发送经加密的分组。
根据实施例,其中附加报头是认证报头或封装安全有效载荷报头。
根据实施例,其中一个或多个指令在由一个或多个处理器执行时,还使得一个或多个处理器:在使得微SA在SA内被建立之后,从附加网络设备并且经由微SA,接收与去往另一设备的业务类别相关联的经加密的分组;标识与被包括在所加密的分组的报头中的业务类别相关联的序列标识符;确定序列标识符对应于与业务类别相关联的计数器标识符;基于确定序列标识符对应于与业务类别相关联的计数器标识符,根据与SA相关联的加密策略来解密所加密的分组;以及
向另一设备发送所解密的分组。
根据实施例,其中一个或多个指令在由一个或多个处理器执行时,还使得一个或多个处理器:在使得微SA在SA内被建立之后,接收与业务类别相关联的第一分组和与业务类别不相关联的第二分组,其中第一分组和第二分组是去往附加网络设备;基于第一分组的报头的至少一个字段,确定第一分组与业务类别相关联;基于第二分组的报头的至少一个字段,确定第二分组与业务类别不相关联;基于确定第一分组与业务类别相关联,经由微SA向附加网络设备发送第一分组;以及基于确定第二分组与业务类别不相关联,经由SA向附加网络设备发送第二分组。
附图说明
图1A-图1I是本文描述的一个或多个示例实现的图。
图2是其中可以实现本文描述的系统和/或方法的示例环境的图。
图3是图2的一个或多个设备的示例组件的图。
图4是图2的一个或多个设备的示例组件的图。
图5-图7是与在网络隧道内建立网络微隧道相关联的一个或多个示例处理的流程图。
具体实施方式
示例实现的以下详细描述参考附图。不同附图中的相同附图标记可以标识完全相同或相似的元件。
在一些情况下,网络设备可以经由网络隧道传送不同类型的网络业务,诸如使用互联网协议安全(IPsec)安全关联(SA)的隧道。网络设备可以使用序列标识符来跟踪进入网络隧道的网络业务。网络设备可以利用与网络隧道相关联的防重放协议,使得接收网络设备(例如接收网络业务的网络设备)可以标识可接受的序列标识符的范围(例如窗口)(例如如果接收网络设备接收到与序列标识符的可接受范围之外的序列标识符相关联的网络业务,则接收网络设备将拒绝该网络业务)。随着在网络设备之间传送附加的网络业务,网络设备可以递增与附加的网络业务相关联的序列标识符。类似地,当在网络设备之间传送附加网络业务时,网络设备可以调整(例如滑动)与网络隧道相关联的序列标识符的可接受范围(例如使得当生成附加序列标识符时,可以调整可接受范围,使得较旧的标识符是不可接受的)。
在某些情况下,当通过网络隧道传送不同类型的网络业务时,网络设备可以使一种类型的网络业务(例如优先级较高的网络业务)优先于另一类型的网络业务(例如较低优先级的网络业务)。这样,网络设备可以延迟较低优先级网络业务的通信,而有利于传送较高优先级的网络业务。但是,延迟较低优先级网络业务的通信可能会使得接收网络设备拒绝延迟的较低优先级业务,因为与较低优先级网络业务相关联的序列标识符不再在序列标识符的可接受范围内。这可能浪费与标识被拒绝的网络业务、定位被拒绝的网络业务、使得被拒绝的网络业务经由网络隧道被重新传送等相关联的计算资源(例如处理资源、存储器资源、通信资源等)和/或网络资源。
根据本文描述的一些实现,网络设备可以在网络隧道内建立网络微隧道以用于传送网络业务。在一些实现中,网络设备可以与附加网络设备通信以使得在网络设备和附加网络设备之间建立网络隧道,诸如使用IPsec SA的网络隧道。网络设备可以基于与附加网络设备的通信来确定网络隧道可以支持网络隧道内的网络微隧道功能。网络设备可以与附加网络设备通信,以标识一个或多个业务类别中的业务类别,网络隧道内的网络微隧道功能将应用于该业务类别。网络设备可以使得在网络隧道内建立网络微隧道以用于与业务类别相关联的网络业务,使得与业务类别相关联的所有网络业务都经由网络微隧道进行通信。
网络微隧道(例如使用微SA的网络微隧道)可以使用与网络隧道相同的加密策略,但是可以维护单独的计数器(例如用于确定可接受的序列标识符的范围),用于与特定业务类别相关联的序列标识符。因此,与特定业务类别相关联的较低优先级的网络业务被接收网络设备基于与特定业务类别而不是所有类型的网络业务相关联的可接受范围的序列标识符被接受或拒绝。这样,如果与特定业务类别相关联的较低优先级业务的通信被网络设备延迟,则接收网络设备可能不会基于与较旧序列标识符相关联的较低优先级业务来拒绝较低优先级业务,因为可接受范围的序列标识符与特定业务类别的较低优先级业务而不是所有网络业务相关联。以这种方式,网络设备可以节省计算资源(例如处理资源、存储器资源、通信资源等)和/或网络资源,计算资源和/或网络资源否则将已经用于标识被拒绝的网络业务、定位被拒绝的网络业务、使得被拒绝的网络业务经由网络隧道被重新传送等。
图1A-图1I是本文描述的一个或多个示例实现100的图。如图1A所示,示例实现100可以包括一个或多个通过网络传送网络业务的端点设备(例如端点设备1和/或端点设备2)。该网络可以包括一个或多个网络设备(例如为简单起见,示出了网络设备1和网络设备2),该网络设备管理去往网络、来自网络和/或网络内的通信(或流)。在一些实现中,网络设备1和网络设备2是建立通过网络的网络隧道的边缘设备。在一些实现中,网络设备1可能能够执行本文关于网络设备2描述的功能中的一个或多个(或全部),反之亦然。
如图1A所示,通过附图标记102,端点设备1和端点设备2可以通过网络传送网络业务。例如网络设备1可以经由网络从端点设备1接收去往端点设备2的网络业务。网络设备1可以使得网络业务被发送到网络设备2。网络设备2可以使得网络业务被发送到端点设备2。网络设备1和/或网络设备2可以通过分析网络业务(例如分析网络业务的报头等)来确定网络业务的目的地。
如图1B并且通过附图标记104所示,网络设备1可以使用隧道建立网络协议(例如互联网密钥交换(IKE)协议)与网络设备2通信,以使用于传送网络业务的网络隧道在网络设备1和网络设备2之间被建立。网络隧道可以是使用互联网协议安全性(IPsec)安全性关联(SA)的网络隧道。IKE协议可用于在网络设备1和网络设备2之间建立加密的通信会话。IKE协议可包括两个阶段。在第一阶段(阶段1)中,网络设备1和网络设备2可以协商用于加密的通信会话的SA(例如与IKE隧道相关联)。从阶段1协商的SA使网络设备1和/或网络设备2能够在第二阶段(阶段2)进行安全通信。在IKE协议的阶段2中,网络设备1和网络设备2可以为诸如IPsec的其他应用建立SA。
IKE协议可以通过在网络设备1和网络设备2之间建立共享状态来建立IPsec SA。共享状态定义了被提供给网络业务的特定服务,该密码模型将被用于提供特定服务、用作对密码模型的输入的密钥、用于网络业务的通信的参数等。IKE协议可以执行网络设备1和网络设备2之间的相互身份认证,并且可以建立IPsec SA,该IPsec SA包括:可用于高效建立用于封装安全有效载荷(ESP)或身份认证报头(AH)的共享秘密信息;以及由SA使用来保护由IPsec SA承载的网络业务的密码模型集合。
网络隧道(例如使用IPsec SA的网络隧道)可以与计数器关联。计数器可用于基于将与网络业务相关联的序列标识符与计数器标识符进行比较来确定网络设备接收到的可接受的网络业务。计数器可以由网络设备1和/或网络设备2存储。该计数器可以响应于网络设备接收网络业务来按顺序生成计数器标识符(例如每次分组被网络设备接收时,网络设备可以递增计数器标识符)。计数器可用于生成与网络设备发送的网络业务相关的序列标识符。与由网络设备发送的网络业务相关联的每个分组可以与序列标识符相关联。计数器标识符可以对应于序列标识符(例如序列标识符可以与当前计数器标识符相同或相关)。
例如计数器标识符可以是从0开始的数字,并且可以顺序地被生成(例如从0到1到2到3等)。例如可以通过将计数器标识符设置为0来初始化计数器。网络设备1可以接收第一分组。网络设备1可以基于接收到第一分组来递增计数器标识符(例如使得计数器标识符改变为1)。网络设备1可以基于计数器标识符来生成序列标识符(例如生成序列标识符1)。网络设备1可以与具有所生成的序列标识符的第一分组相关联,并且将第一分组传输到诸如网络设备2的目的地位置。网络设备1可以接收第二分组。网络设备1可以使得计数器标识符与新的序列标识符相对应,诸如通过递增计数器标识符,使得计数器标识符被改变为2。网络设备1可以基于新的计数器标识符来生成序列标识符(例如,生成2的序列标识符)。网络设备1可以与具有所生成的序列标识符(例如2)的第二分组相关联,并且将第二分组传输给目的地位置,诸如网络设备2。
类似地,当网络设备2接收到分组时,网络设备2可以递增计数器标识符(例如如果这是在建立网络隧道之后网络设备2接收到的第一分组,则网络设备2可以使得计数器标识符在接收到第一分组时为1)。例如网络设备2可以接收第一分组,并使得计数器标识符为1。网络设备2可以接收第二分组,并使得计数器标识符为2。每当网络设备2接收到分组时,网络设备2都可以递增计数器标识符。尽管计数器标识符和序列标识符在上面已被描述为数字,但是计数器标识符和序列标识符可以是比特、数字等。
网络设备可以使用计数器标识符来确定接受还是拒绝从另一网络设备接收到的分组。如果计数器标识符对应于与分组相关联的序列标识符,则网络设备可以接受分组。如果计数器标识符和序列标识符匹配,如果序列标识符落在计数器标识符的范围内(例如如果计数器标识符为15,则网络设备可以确定可接受序列标识符的范围在10到15之间)等,则计数器标识符可以对应于序列标识符。
如图1C所示,并且通过附图标记106,网络设备可以确定网络设备可以支持微隧道功能(例如微SA功能)。如本文所述,微隧道功能是指网络设备在网络隧道内(例如使用IPsec SA)建立网络微隧道(例如使用IPsec微SA)的能力。例如如附图标记106-1所示,网络设备1可以确定网络设备1可以支持微隧道功能。类似地,如附图标记106-2所示,网络设备2可以确定网络设备2可以支持微隧道功能。网络设备1可以基于与网络设备1相关联的配置设置来确定网络设备1可以支持微隧道功能。网络设备2可以基于与网络设备2相关联的配置设置来确定网络设备2可以支持微隧道功能。
如图1C并且通过附图标记108所示,网络设备可以交换指示网络设备是否可以支持微隧道功能的消息。例如如附图标记108-1所示,网络设备1可以向网络设备2发送指示网络设备1可以支持微隧道功能的消息。类似地,如附图标记108-2所示,网络设备2可以向网络设备1发送指示网络设备2可以支持微隧道功能的消息。当建立网络隧道时(例如作为IKE协议的一部分),网络设备可以交换消息。备选地,网络设备可以在建立网络隧道之后交换消息。
如图1D并通过附图标记110所示,网络设备可以确定网络隧道将支持微隧道功能。例如如附图标记110-1所示,网络设备1可以基于网络设备1确定网络设备1可以支持微隧道功能并且基于接收到网络设备2可以支持微隧道功能的消息来确定网络隧道将支持微隧道功能。如附图标记110-2所示,网络设备2可以以与关于网络设备1和附图标记110-1所描述的相似的方式来确定网络隧道支持微隧道功能。
如果网络设备1和/或网络设备2确定网络隧道不支持微隧道功能,则网络设备可能不会继续在网络隧道内建立一个或多个网络微隧道。例如如果网络设备1确定网络隧道不支持网络隧道功能(例如通过确定网络设备1不支持微隧道功能(例如基于与网络设备1相关联的配置设置),基于从网络设备2接收到指示网络设备2不支持微隧道功能的消息,基于未从网络设备2接收到指示网络设备2可以支持微隧道功能的消息等),则网络设备1可以继续经由网络隧道(例如使用IPsec SA的网络隧道)而不使用任意网络微隧道来进行传送网络业务。
如图1E并且通过附图标记112所示,网络设备可以确定与微隧道功能相关联的一个或多个业务类别集合。例如如附图标记112-1所示,网络设备1可以确定与微隧道功能相关联的第一业务类别集合。网络设备1可以基于与网络设备1相关联的配置设置来确定第一业务类别集合。第一业务类别集合可以是网络设备1已经被配置为经由网络微隧道进行通信的业务类别。
可以由与网络设备1相关联的用户标识和配置第一业务类别集合。另外地或备选地,可以由网络设备1基于分析先前的网络业务集合来确定第一业务类别集合。例如网络设备1可以确定一个或多个业务类别与接收网络设备的拒绝相关联(例如基于抗重放协议,基于网络设备1正在延迟的业务类别的通信等),与网络设备1的通信延迟相关联,与较低优先级相关联等。网络设备1可以将一个或多个业务类别添加到第一业务类别集合中。
如附图标记112-2所示,网络设备2可以确定与微隧道功能关联的第二业务类别集合。网络设备2可以以与上文关于第一业务类别集合所描述的相似(或相同)的方式来确定第二业务类别集合。
业务类别可以是与经由网络隧道发送的网络业务相关联的业务的类型和/或业务的类别。业务类别可包括网络业务类别、互联网协议语音(VoIP)业务类别、控制业务(例如服务质量(QoS)业务、网络调度业务等)类别、流式多媒体业务(例如音频流、视频流和/或类似)类、文件传输业务类别、消息(例如电子邮件业务、即时消息业务等)类别、上载业务类别、下载业务类别、应用业务类别等。
如图1E并且通过附图标记114所示,网络设备可以交换指示与微隧道功能相关联的业务类别的消息。例如如附图标记114-1所示,网络设备1可以向网络设备2发送指示第一业务类别集合的消息。如附图标记114-2所示,网络设备2可以向网络设备1发送指示第二业务类别集合的消息。
网络设备1可以从网络设备2接收指示第二业务类别集合的消息。网络设备1可以标识第二业务类别集合。在一些实现中,第二业务类别集合可以由网络设备1存储。类似地,网络设备2可以从网络设备1接收指示第一业务类别集合的消息。网络设备2可以标识第一业务类别集合,并且第一业务类别集合可以由网络设备2存储。
如图1F并且通过附图标记116所示,网络设备可以标识微隧道功能将被应用于其的一个或多个业务类别(例如网络设备可以标识将经由网络隧道内的网络微隧道传送的一个或多个业务类别)。网络设备可以基于对第一业务类别集合和第二业务类别集合的分析来标识微隧道功能将被应用于其的一个或多个业务类别。
例如如附图标记116-1所示,网络设备1可以通过处理第一业务类别集合和第二业务类别集合,来标识网络隧道内的网络微隧道功能将被应用于其的业务类别。网络设备1可以比较第一业务类别集合和第二业务类别集合,以标识第一业务类别集合和第二业务类别集合之间的一个或多个匹配的业务类别。例如如果第一业务类别集合标识了网络业务类别,VoIP业务类别和控制业务类别,并且第二业务类别集合标识网络业务类别和VoIP业务类别,则网络设备1可以标识将在其上应用网络微隧道功能的业务类别是Web业务类别和VoIP业务类别。
如附图标记116-2所示,网络设备2可以以与上文关于网络设备1相似(或相同)的方式,通过处理第一业务类别集合和第二业务类别集合,来标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别。
在一些实现中,仅一个网络设备可以通过处理第一业务类别集合和第二业务类别集合来标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别。例如如上所述,网络设备1可以标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别。网络设备1可以向网络设备2发送指示网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别的消息。在该示例中,网络设备1可以不向网络设备2发送指示第一业务类别集合的消息(如以上关于附图标记114-1所述)。这可以节省计算资源和/或网络资源,否则该计算资源和/或网络资源将被网络设备2用来接收指示第一业务类别集合的消息,存储第一业务类别集合,处理第一业务类别集合和第二业务类别集合,以标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别,等等。
在一些实现中,网络设备1可以基于第一业务类别集合(例如不接收来自网络设备2的第二业务类别集合)来标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别。在该示例中,网络设备2可以被配置为接收和传输与网络设备1相同的业务类别。网络设备1可以向网络设备2发送指示网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别的消息(例如仅基于业务类别集合确定)。这可以节省计算资源和/或网络资源,否则该计算资源和/或网络资源将被网络设备2用来发送指示第二业务类别集合的消息、接收指示第一业务类别集合的消息、存储第一业务类别集合的消息、以处理第一业务类别集合和第二业务类别集合、以标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别、等等。
如图1G并且通过附图标记118所示,网络设备1和网络设备2可以通信以使得与业务类别相关联的网络微隧道(例如,微SA隧道)在网络隧道内被建立,该业务类别被标识为在其中将应用网络隧道内的网络微隧道功能的业务类别。如上所述,网络设备1和网络设备2可以使得网络微隧道以与建立网络隧道类似的方式被建立(例如使用IKE协议)。网络微隧道可以与和网络隧道相同的安全协议(例如加密协议、安全特性(例如密钥、安全标识符等)等)相关联。但是,网络微隧道可能未与和网络隧道相同的计数器相关联。网络微隧道可以建立与网络微隧道相关联的计数器,该计数器与和网络隧道相关联的计数器分开。
如图1G并且通过附图标记120所示,网络设备可以初始化与业务类别和/或网络微隧道相关联的计数器。例如如附图标记120-1所示,网络设备1可以初始化与业务类别和/或网络微隧道相关联的第一计数器。可以通过生成初始计数器标识符来初始化第一计数器。例如初始计数器标识符可以为0。当网络设备1接收或发送与业务类别相关联的网络业务的分组时,并且网络设备1可以按顺序方式递增计数器标识符(例如使得计数器标识符为更改为1)。如上所述,与第一计数器相关联的计数器标识符可以是比特、数字等。
网络设备1可以将计数器存储在与网络设备1相关联的数据结构中。该数据结构可以标识第一计数器、与第一计数器相关联的计数器标识符、与业务类别相关联的标识符、与网络微隧道相关联的标识符、与和网络微隧道相关联的网络设备2相关联的标识符等。该数据结构可以标识由网络设备1建立的一个或多个网络微隧道以及与每个网络微隧道相关联的信息。数据结构可以是列表、树、图、映射、散列、链表等。数据结构可以由网络设备1存储在网络设备1的存储器中、网络设备1外部的存储器中、云计算平台中、服务器设备中和/或类似物中。
如由附图标记120-2所示,网络设备2可以初始化与业务类别和/或网络微隧道相关联的第二计数器。网络设备2可以以与以上关于网络设备1所述的类似(或相同)的方式来初始化第二计数器。网络设备2可以将第二计数器存储在数据结构中。可以以与以上关于网络设备1所述类似(或相同)的方式来配置和存储数据结构。
如图1H并且通过附图标记122所示,网络设备1可以接收与业务类别相关联的分组,该业务类别已经被标识为网络微隧道功能将被应用于其的业务类别。网络设备1可以从端点设备、另一个网络设备等接收分组。网络设备1可以通过分析分组(例如通过分析与分组相关联的报头,通过执行深度分组检查(DPI)等)来确定与分组相关联的业务类别,以标识与分组相关联的业务类别。网络设备1可以搜索由网络设备1存储的数据结构,以确定所标识的业务类别是否与网络微隧道相关联(例如通过在数据结构中搜索与所标识的业务类别相关联的标识符)。备选地,网络设备1可以基于网络隧道内的网络微隧道功能将被应用于其的所标识的业务类别来确定所标识的业务类别与网络微隧道相关联(以上参考附图标记116进行了讨论)。如果网络设备1确定该分组与与网络微隧道相关联的业务类别不相关联,则网络设备1可以经由网络隧道来传输该分组。
在一些实现中,网络设备1可以基于分组的报头的至少一个字段来确定分组与和网络微隧道相关联的业务类别相关联。分组的报头的字段可以与一个或多个微选择器相关联。一个或多个微选择器可以包括层切换信息(例如层2切换信息、层3切换信息、层4切换信息等)字段、差分服务代码点(DSCP)字段、业务应用标识符字段、业务源地址字段、业务目的地地址字段、域名系统(DNS)字段、服务器名称指示字段、端口标识符字段、协议标识符字段等。
如图1H并且通过附图标记124所示,网络设备1可以递增第一计数器的计数器标识符以生成与业务类别相关联的序列标识符。网络设备1可以用递增的计数器标识符来更新标识第一计数器的数据结构。网络设备1可以响应于接收到分组并且响应于确定分组与网络隧道内的网络微隧道功能将被应用于其的业务类别相关联,来递增第一计数器的计数器标识符。网络设备1可以使用递增的计数器标识符来生成与分组相关联的序列标识符。所生成的序列标识符可以对应于递增的计数器标识符(例如序列标识符可以与递增的计数器标识符相同,序列标识符可以与递增的计数器标识符相关,等等)。
例如网络设备1和网络设备2可能已经在与网络业务的业务类别相关联的网络隧道内建立了微隧道。网络设备1可以接收与网络业务相关联的分组。网络设备1可以基于对分组的分析来确定该分组与网络业务相关联。网络设备1可以基于搜索由网络设备1存储的数据结构和/或基于确定为与微隧道功能相关联的业务类别,来确定Web业务与网络隧道内的网络微隧道相关联。网络设备1可以访问第一计数器(与用于Web业务的网络微隧道相关联),并递增与第一计数器关联的计数器标识符。网络设备1可以基于第一计数器的递增的计数器标识符来生成与和网络业务相关联的分组相关联的序列标识符(例如序列标识符可以与计数器标识符有关)。
如图1H并且通过附图标记126所示,网络设备1可以根据与网络隧道相关联的加密策略对分组进行加密。网络设备1可以以与经由网络隧道(而不是网络隧道内的网络微隧道)发送的分组相同(或相似)的方式对分组进行加密。这样,经由网络隧道内的网络微隧道发送的网络业务具有与经由网络隧道发送的网络业务相同的安全保护。这将与网络隧道关联的附加安全性添加到经由网络隧道内的网络微隧道发送的网络业务,同时还节省了计算资源和/或网络资源,计算资源和/或网络资源否则本来会用于应用与网络隧道内的网络微隧道相关联的附加或不同的安全性和/或加密策略。
如图1H并且通过附图标记128所示,网络设备1可以在加密分组的报头中包括序列标识符(例如基于计数器标识符生成的序列标识符,如上面关于附图标记124所讨论的)和/或指示网络微隧道的信息。网络设备1可以在加密分组的现有报头中包括序列标识符和/或指示网络微隧道的信息。替代地,网络设备1可以在加密分组的新的或附加的报头中包括序列标识符和/或指示网络微隧道的信息。在一些实现中,网络设备1可以将加密的分组与包括与分组相关联的序列标识符的附加报头一起封装。附加报头可以是身份认证报头、封装安全性有效载荷报头等。
如图1I并且通过附图标记130所示,网络设备1可以经由网络隧道(例如IPsec SA隧道)中的网络微隧道(例如微SA隧道)向网络设备2发送加密的(和/或封装的)分组。网络设备2可以从网络设备1接收加密的分组。网络设备2可以基于经由网络微隧道接收到加密的分组来标识与网络微隧道相关联的计数器。备选地,网络设备2可以分析加密的分组以标识与加密的分组相关联的序列标识符和/或与网络微隧道相关联的信息(例如通过分析加密的分组的报头)。网络设备2可以基于与网络微隧道相关联的标识信息来标识与网络微隧道相关联的计数器(例如通过搜索由网络设备2存储的结构化的数据,以上参考附图标记120-2讨论)。例如网络设备2可以确定与从其接收到加密分组的网络微隧道相关联的计数器是第二计数器。
如图1I并且通过附图标记132所示,网络设备2可以基于接收加密的分组并将第二计数器标识为与从其接收到加密分组的网络微隧道相关联,来递增第二计数器的计数器标识符。网络设备2可以用递增的计数器标识符来更新标识第二计数器的数据结构。例如如果在接收到加密分组之前第二计数器的计数器标识符为0,则网络设备2可以基于接收到加密分组并将第二计数器标识为与从其接收加密分组的网络微隧道相关联,来将第二计数器的计数器标识符递增为1。在一些实现中,网络设备2可以基于递增的(或未递增的)计数器标识符来确定序列标识符的可接受范围。例如网络设备2可以确定与先前计数器标识符的范围相对应的任意序列标识符是可接受的(例如如果递增的计数器标识符是15,则网络设备2可以确定与计数器标识符10至15相对应的任意序列标识符是可接受的)。可接受的范围可以基于用户输入、基于与网络微隧道相关联的业务类别等而变化。
如图1I并且通过附图标记134所示,网络设备2可以确定所标识的加密分组的序列标识符与第二计数器的递增计数器标识符相对应。网络设备2基于对加密分组的报头的分析来标识序列标识符。网络设备2可以比较所标识的序列标识符和第二计数器的递增的计数器标识符。如果序列标识符和计数器标识符匹配,如果序列标识符对应于计数器标识符的可接受范围,等等,则网络设备2可以确定序列标识符对应于计数器标识符。如果网络设备2确定所标识的序列标识符与第二计数器的递增计数器标识符不匹配和/或所标识的序列标识符不在计数器标识符的可接受范围内,则网络设备2可以拒绝该分组(例如丢弃分组,不将分组转发到与该分组关联的目的地,等等)。
如图1I并且通过附图标记136所示,如果网络设备2确定所标识的序列标识符与第二计数器的递增的计数器标识符匹配和/或所标识的序列标识符落在计数器标识符的可接受范围内,网络设备2可以根据与网络隧道相关联的加密策略来对加密的分组进行解密。网络设备2可以在对加密的分组进行解密之后(例如通过分析与分组相关联的报头)来标识与分组相关联的目的地地址。在一些实现中,可以在对加密的分组进行解密之前(例如通过分析与分组相关联的报头)标识目的地地址。
如图1I并且通过附图标记138所示,网络设备2可以向与分组相关联的所标识的目的地地址发送分组。与分组相关联的目的地地址可以是另一网络设备、端点设备、服务器设备等。
以这种方式,如果分组的通信被网络设备1延迟(例如为了经由网络隧道或网络隧道内的其他网络微隧道来传送更高优先级的分组),则网络设备2将不会基于该延迟(例如基于抗重播协议)来拒绝该分组,因为该分组将与发送该分组的特定网络微隧道的计数器而不是整个网络隧道的计数器相关联。这样,网络设备1和/或网络设备2可以节省计算资源和/或网络资源,否则这些计算资源和/或网络资源将被用于标识拒绝的分组、定位被拒绝的分组、使得被拒绝的分组经由网络隧道被重新传送、等。
如上所述,仅作为一个或多个示例而提供了图1A-1I。其他示例可以与关于图1A-1I所描述的不同。提供图1A-1I中所示的设备和/或网络的数量和布置作为一个或多个示例。实际上,可能存在与图1A-1I所示的设备和/或网络相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或布置不同的设备和/或网络。此外,图1A-1I中所示的两个或更多个设备可以在单个设备内实现,或者图1A-1I中所示的单个设备可以实现为多个分布式设备。另外地或可替代地,图1A-1I的设备集合(例如一个或多个设备)可以执行被描述为由图1A-1I的另一设备集合执行的一个或多个功能。
图2是其中可以实现本文描述的系统和/或方法的示例环境200的图。如图2所示,环境200可以包括一个或多个端点设备210(分别称为端点设备210或统称为端点设备210)、一组网络设备220(示为网络设备220-1至网络设备220-N)和网络230。环境200的设备可以经由有线连接、无线连接或有线和无线连接的组合进行互连。
端点设备210包括能够接收、生成、存储、处理和/或提供信息的一个或多个设备,诸如本文所述的信息。例如端点设备210可以包括移动电话(例如智能电话、无线电话等)、膝上型计算机、平板计算机、台式计算机、手持计算机、游戏设备、可穿戴设备。通信设备(例如智能手表、一副智能眼镜、心率监视器、健身追踪器、智能服装、智能珠宝、头戴式显示器等)、网络设备、或类似类型设备。在一些实现中,端点设备210可以经由网络230(例如通过使用网络设备220作为中介来路由分组)从其他端点设备210接收网络业务和/或可以向其他端点设备210提供网络业务。
网络设备220包括能够以本文描述的方式接收、处理、存储、路由和/或提供网络业务的一个或多个设备。例如网络设备220可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供商路由器(例如提供商边缘路由器、提供商核心路由器等)、虚拟路由器等。另外地或可替代地,网络设备220可以包括网关、交换机、防火墙、集线器、网桥、反向代理、服务器(例如代理服务器、云服务器、数据中心服务器等)、负载均衡器和/或类似设备。在一些实现中,网络设备220可以是在诸如机架的壳体内实现的物理设备。在一些实现中,网络设备220可以是由云计算环境或数据中心的一个或多个计算机设备实施的虚拟设备。在一些实现中,一组网络设备220可以是用于通过网络230来路由业务流的一组数据中心节点。
网络230包括一个或多个有线和/或无线网络。例如网络230可以包括分组交换网络、蜂窝网络(例如第五代(5G)网络、第四代(4G)网络、诸如长期演进(LTE)网络、第三代(3G)网络、码分多址(CDMA)网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网(例如公共交换电话网(PSTN))、专用网络、自组织网络、内部网、互联网、基于光纤的网络、云计算网络等、和/或这些或其他类型的网络的组合。
图2所示的设备和网络的数目和布置作为示例而被提供。实际上,可能存在与图2所示的设备和/或网络相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或布置不同的设备和/或网络。图2可以在单个设备内实现,或者图2所示的单个设备可以实现为多个分布式设备。另外地或备选地,环境200的设备集合(例如一个或多个设备)可以执行被描述为由环境200的另一设备集合执行的一个或多个功能。
图3是设备300的示例组件的图。设备300可以对应于端点设备210、网络设备220等。在一些实现中,端点设备210、网络设备220等可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括一个或多个输入组件310-1至310-B(B≥1)(以下统称为输入组件310,并分别称为输入组件310)、开关组件320、一个或多个输出组件330-1至330-C(C≥1(以下统称为输出组件330,并分别称为输出组件330)和控制器340。
输入组件310可以是用于物理链路的一个或多个连接点,并且可以是用于诸如分组的传入业务的一个或多个入口点。输入组件310可以诸如通过执行数据链路层封装或解封装来处理输入业务。在一些实现中,输入组件310可以发送和/或接收分组。在一些实现中,输入组件310可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备300可以包括一个或多个输入组件310。
交换组件320可以将输入组件310与输出组件330互连。在一些实现中,交换组件320可以经由一个或多个交叉开关、经由总线和/或与共享存储器来实现。共享存储器可以充当在分组最终被调度用于传递到输出组件330之前存储来自输入组件310的分组的临时缓冲器。在一些实现中,交换组件320可以使得输入组件310、输出组件330和/或控制器340能够相互通信。
输出组件330可以存储分组并且可以调度分组以在输出物理链路上传输。输出组件330可以支持数据链路层封装或解封装和/或各种更高级别的协议。在一些实现中,输出组件330可以发送分组和/或接收分组。在一些实现中,输出组件330可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备300可以包括一个或多个输出组件330。在一些实现中,输入组件310和输出组件330可以由相同的组件集合来实现(例如输入/输出组件可以是输入组件310和输出组件330的组合)。
控制器340包括处于以下形式的处理器:中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、形式的处理器、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和/或另一种类型的处理器。处理器以硬件、固件或硬件和软件的组合实现。在一些实施方案中,控制器340可包括可经编程以执行功能的一个或多个处理器。
在一些实现中,控制器340可以包括随机存取存储器(RAM)、只读存储器(ROM)和/或另一种类型的动态或静态存储设备(例如闪存、磁存储器、存储器等),其存储供控制器340使用的信息和/或指令。
在一些实现中,控制器340可以与连接到设备300的其他设备、网络和/或系统通信以交换关于网络拓扑的信息。控制器340可以基于网络拓扑信息创建路由表,可以基于路由表创建转发表,并且可以将转发表转发到输入组件310和/或输出组件330。输入组件310和/或输出组件330可以使用转发表对传入和/或传出分组执行路由查找。
控制器340可执行本文描述的一个或多个处理。控制器340可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些处理。本文将计算机可读介质定义为非瞬态存储设备。存储设备包括单个物理存储设备内的存储空间或分布在多个物理存储设备上的存储空间。
可以经由通信接口从另一计算机可读介质或从另一设备将软件指令读入与控制器340相关联的存储器和/或存储组件中。当执行时,在与控制器340相关联的存储器和/或存储组件中存储的软件指令可以使得控制器340执行本文所述的一个或多个处理。另外地或备选地,可以使用硬接线电路代替软件指令或与软件指令结合使用以执行本文所述的一个或多个处理。因此,本文描述的实现不限于硬件电路和软件的任意特定组合。
图3中所示的组件的数量和布置作为示例而被提供。在实践中,与图3所示的设备相比,设备300可以包括其他组件、更少的组件、不同的组件或布置不同的组件。另外地或备选地,设备300的组件集合(例如一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。
图4是设备400的示例组件的图。设备400可以对应于端点设备210、网络设备220等。在一些实现中,端点设备210和/或网络设备220等可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4所示,设备400可以包括总线410、处理器420、存储器430、存储组件440、输入组件450、输出组件460和通信接口470。
总线410包括允许设备400的多个组件之间进行通信的组件。处理器420以硬件、固件和/或硬件和软件的组合来实现。处理器420采用CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC或其他类型的处理组件的形式。在一些实现中,处理器420包括一个或多个能够被编程以执行功能的处理器。存储器430包括RAM、ROM和/或另一种类型的动态或静态存储设备(例如闪存、磁存储器和/或光存储器),其存储信息和/或指令以供处理器420使用。
存储组件440存储与设备400的操作和使用有关的信息和/或软件。例如存储组件440可以包括硬盘(例如磁盘、光盘和/或磁-光盘)、固态驱动器(SSD)、光盘(CD)、数字多功能光盘(DVD)、软盘、盒带、磁带和/或另一类型的非瞬态计算机可读介质、以及对应的驱动器。
输入组件450包括允许设备400诸如经由用户输入(例如触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)接收信息的组件)。附加地或替代地,输入组件450可以包括用于确定位置的组件(例如全球定位系统(GPS)组件)和/或传感器(例如加速度计、陀螺仪、致动器、另一类型的位置或环境传感器等)。输出组件460包括提供来自设备400的输出信息的组件(例如经由显示器、扬声器、触觉反馈组件、音频或视觉指示器、和/或类似物)。
通信接口470包括类收发机组件(例如收发机、分离的接收机、分离的发射机和/或类似物),其使得设备400能够与其他设备通信,诸如经由有线连接、无线连接、或有线和无线连接的组合。通信接口470可以允许设备400从另一设备接收信息和/或向另一设备提供信息。例如通信接口470可以包括以太网接口、光接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备400可以执行本文描述的一个或多个处理。设备400可以基于处理器420执行由诸如存储器430和/或存储组件440的非瞬态计算机可读介质存储的软件指令来执行这些处理。如本文中所使用的,术语“计算机可读介质”是指非临时性存储设备。存储设备包括单个物理存储设备内的存储器空间或分布在多个物理存储设备上的存储器空间。
可以经由通信接口470从另一计算机可读介质或另一设备将软件指令读取到存储器430和/或存储组件440中。当被执行时,在存储器430和/或存储组件440中存储的软件指令可以使得处理器420以执行本文描述的一个或多个处理。另外地或替代地,可以使用硬件电路来代替软件指令或与软件指令结合来执行本文所述的一个或多个处理。因此,本文描述的实现不限于硬件电路和软件的任意特定组合。
作为示例提供了图4中所示的组件的数量和布置。在实践中,设备400可以包括比图4所示的组件更多的组件、更少的组件、不同的组件或布置不同的组件。此外,或替代地,设备400的组件集合(例如一个或多个组件)可以执行如被描述为由设备400的另一组件集合执行的一个组件或更多功能。
图5是用于在网络隧道内建立网络微隧道的示例处理500的流程图。在一些实现中,图5的一个或多个处理框可以由第一网络设备(例如网络设备220)执行。在一些实现中,图5的一个或多个处理框可以由与第一网络设备分开或包括第一网络设备的另一设备或一组设备来执行,诸如端点设备(例如端点设备210)、服务器设备等等。
如图5所示,处理500可以包括:由第一网络设备并与隧道建立网络协议相关联地,与第二网络设备进行通信,以使得在第一网络设备和第二网络设备之间的网络隧道被建立(框510)。例如第一网络设备(例如使用输入组件310、交换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等等)可以与隧道建立网络协议相关联地与第二网络设备通信,以如上所述在第一网络设备和第二网络设备之间的网络隧道被建立。
如图5进一步所示,处理500可以包括:由第一网络设备并且基于与第二网络设备的通信以使得网络隧道被建立,确定网络隧道将支持网络隧道内的第一网络设备和第二网络设备之间的网络微隧道功能(框520)。例如第一网络设备(例如使用输入组件310,交换组件320,输出组件330,控制器340,处理器420,存储器430,存储组件440,输入组件450,输出组件460,通信接口470等等)可以基于与第二网络设备的通信以使得网络隧道被建立,来确定该网络隧道将支持该网络隧道内的第一网络设备和第二网络设备之间的网络微隧道功能,如上所述。
如图5进一步所示,处理500可以包括:由第一网络设备并基于确定网络隧道将支持网络隧道内的网络微隧道功能,与第二网络设备进行通信,以标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别中的业务类别(框530)。例如第一网络设备(例如使用输入组件310、交换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可基于确定网络隧道将在网络隧道内支持网络微隧道功能,来与第二网络设备进行通信,以标识网络隧道内的网络微隧道功能将被应用于其的一个或多个业务类别中的业务类别,如上所述。
如图5进一步所示,处理500可以包括:使得网络微隧道在网络隧道内被建立用于与业务类别相关联的业务(框540)。例如第一网络设备(例如使用输入组件310、交换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可能会使得网络微隧道在网络隧道内被建立用于与业务类别相关联的业务,如上所述。
处理500可以包括附加的实现,诸如以下描述的和/或结合本文其他地方描述的一个或多个其他处理的任意单个实现或实现的任意组合。
在第一种实现中,隧道建立网络协议是互联网密钥交换协议,并且网络隧道是使用互联网协议安全协议安全性关联的网络隧道。
在第二实现中,单独地或与第一实现组合地,一个或多个业务类别包括以下至少一项:Web业务类别;互联网协议业务类别上的语音;控制业务类别;流多媒体业务类;或文件传输业务类别。
在第三实现中,单独地或与第一和第二实现中的一个或多个组合地,确定网络隧道将支持网络隧道内的第一网络设备和第二网络设备之间的网络微隧道功能包括:基于与第一网络设备关联的配置设置,确定第一网络设备可以支持微隧道功能;基于与第二网络设备的通信以使得网络隧道被建立,接收指示第二网络设备可以支持微隧道功能的消息,并基于确定第一网络设备可以支持微隧道来确定功能和指示第二网络设备可以支持微隧道功能的消息,确定网络隧道将支持在网络隧道内的第一网络设备和第二网络设备之间的网络微隧道功能。
在第四实现中,单独地或与第一至第三实现中的一个或多个组合地,与第二网络设备通信以标识网络隧道内的网络微隧道功能将被应用于其的业务类别包括:基于与第一网络设备相关联的配置设置,确定第一业务类别集合;从第二网络设备接收指示第二业务类别集合的消息,并处理第一业务类别集合和第二业务类别集合以标识网络隧道内的网络微隧道功能将被应用于其的业务类别。
在第五实现中,单独地或与第一至第四实现中的一个或多个相结合地,使得网络微隧道在网络隧道内被建立以用于与业务类别相关联的业务包括:配置与网络隧道相关联的数据结构以初始化与业务类别关联的计数器,该计数器被配置为基于第一网络设备接收或发送与业务类别相关联的至少一个分组来递增计数器标识符。
在第六实现中,单独地或与第一至第五实现中的一个或多个实现组合地,处理500包括:接收与去往第二网络设备的业务类别相关联的分组;以及经由所述网络微隧道将与所述业务分类相关的分组转发给所述第二网络设备。
在第七实现中,单独地或与第一至第六实现中的一个或多个实现组合地,处理500包括从第二网络设备并经由网络微隧道接收与去往另一个设备的业务类别相关联的分组;从与第一网络设备相关联的数据结构中获得与业务类别相关联的计数器标识符;确定所述分组中包括的与所述业务类别相关的序列标识对应于所述计数器标识符;并基于确定所述分组中包括的序列标识对应于所述计数器标识符,将该分组转发给其他设备。
在第八实现中,单独地或与第一至第七实现中的一个或多个实现组合,处理500包括接收与去往第二网络设备的该业务类别相关联的第一分组和与该业务类别不相关联的第二分组;经由所述网络微隧道将与所述业务类别关联的第一分组转发给所述第二网络设备;以及经由网络隧道将与业务类别不相关的第二分组转发给第二网络设备。
尽管图5示出了处理500的示例块,但是在一些实现中,处理500可以包括比图5所示的块更多的块、更少的块、不同的块或不同地布置的块。处理500的框可以并行执行。
图6是用于在网络隧道内建立网络微隧道的示例处理600的流程图。在一些实现中,图6的一个或多个处理框可以由网络设备(例如网络设备220)执行。在一些实现中,图6的一个或多个处理框可以由与网络设备分离或包括网络设备的另一设备或一组设备来执行,例如端点设备(例如端点设备210)、服务器设备等。
如图6所示,处理600可以包括:与附加网络设备进行通信以使得在网络设备和附加网络设备之间的互联网协议安全协议安全性关联(SA)被建立(方框610)。例如网络设备(例如使用输入组件310、切换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等),可以与附加网络设备通信以使得在网络设备和附加网络设备之间的互联网协议安全协议安全性关联(SA)被建立。
如图6进一步所示,处理600可包括:基于与附加网络设备通信以使得SA被建立来确定该SA将支持SA中的网络设备与附加网络设备之间的微SA功能(框620)。例如网络设备(例如使用输入组件310、切换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以基于与附加网络设备的通信以使得SA被建立,来确定该SA将支持SA内的该网络设备与附加网络设备之间的微SA功能。
如图6进一步所示,处理600可以包括:基于确定SA将支持SA中的微SA功能,与附加网络设备进行通信,以标识SA内的网络微SA功能将被应用于其的一个或多个业务类别中的业务类别(框630)。例如网络设备(例如使用输入组件310、切换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可基于确定SA将支持SA中的微SA功能来与附加网络设备进行通信,以标识SA内的网络微SA功能将被应用于其的一个或多个业务类别中的业务类别,如上所述。
如图6进一步所示,处理600可包括使得微SA在SA中被建立用于与业务类别相关联的业务(方框640)。例如网络设备(例如使用输入组件310、切换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以使得微SA建立在SA中以用于与业务类别相关联的业务,如上所述。
处理600可以包括附加的实现方式,诸如以下描述的和/或结合本文其他地方描述的一个或多个其他处理的任意单个实现或实现的任意组合。
在第一实现中,一个或多个业务类别中的特定业务类别与以下中的至少一项相关联:指示区分服务代码点的信息;指示业务应用标识符的信息;指示业务源地址的信息;指示业务目的地地址的信息;指示域名系统的信息;或指示服务器名称指示的信息。
在第二实现中,单独地或与第一实现组合地,与附加网络设备通信以标识应用SA中的网络微SA功能将被应用于其的业务类别,包括:基于与网络设备相关联的配置设置,确定可以使用SA内的网络微隧道功能的第一业务类别集合;标识可以在SA中使用网络微隧道功能的第二业务类别集合,其中第一业务类别集合是业务类别的设置,第二业务类别集合分别包括SA中的网络微SA功能将被应用于其的业务类别;以及比较第一业务类别集合和第二业务类别集合,以标识SA中的网络微SA功能将被应用于其的业务类别。
在第三实现中,单独地或与第一和第二实现中的一个或多个组合地,使得微SA在SA内被建立以用于与业务类别相关联的业务,包括:生成与该SA相关联的数据结构;使得所述数据结构包括与所述业务类别相关联的计数器,其中所述计数器被配置为基于所述网络设备接收或发送与所述业务类别相关联的至少一个分组来递增计数器标识符。
在第四实现中,单独地或与第一至第三实现中的一个或多个实现组合,处理600包括:接收与去往附加网络设备的业务类别相关联的分组;根据与SA相关联的加密策略来对分组进行加密;修改加密分组的报头以包括与业务类别相关联的序列标识符;在修改加密的分组的报头后,经由微SA向附加网络设备发送加密的分组。
在第五实现中,单独地或与第一至第四实现中的一个或多个组合,处理600包括从附加网络设备并经由微SA接收与去往另一设备的业务类别相关联的加密分组;标识与在加密分组中包括的业务类别相关联的序列标识符;确定序列标识符对应于与业务类别相关联的计数器标识符;根据与SA相关联的加密策略,基于确定序列标识符对应于与业务类别相关联的计数器标识符,对该加密分组进行解密;以及向其他设备发送解密后的分组。
尽管图6示出了处理600的示例框,但是在一些实现中,处理600可以包括比图6所描绘的框更多的框、更少的框、不同的框或不同地布置的框。另外地或可替代地,可以并行地执行处理600的框中的两个或更多个框。
图7是用于在网络隧道内建立网络微隧道的示例处理700的流程图。在一些实现中,图7的一个或多个处理框可以由网络设备(例如网络设备220)执行。在一些实现中,图7的一个或多个处理框可以由与网络设备分开或包括网络设备的另一设备或一组设备来执行,诸如端点设备(例如端点设备210)、服务器设备等。
如图7所示,处理700可以包括:与附加的网络设备进行通信以使得在该网络设备和该附加的网络设备之间的互联网协议安全协议安全性关联(SA)被建立(方框710)。例如网络设备(例如使用输入组件310、切换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以与附加网络设备通信以使得在网络设备和附加网络设备之间的互联网协议安全协议安全性关联(SA)被建立。
如图7进一步所示,处理700可包括:基于与附加网络设备进行通信以使得SA被建立来确定该SA将支持SA中的网络设备与附加设备之间的微SA功能(框720)。例如网络设备(例如使用输入组件310,切换组件320,输出组件330,控制器340,处理器420,存储器430,存储组件440,输入组件450,输出组件460,通信接口470等)基于与附加网络设备的通信以使得SA被建立,可以确定该SA将支持该网络设备与该SA中的附加网络设备之间的微SA功能,如上所述。
如图7进一步所示,处理700可包括:在确定SA将支持SA中网络设备和附加网络设备之间的微SA功能之后,标识一个或多个业务类别中与一个流量类别相关联的一个或多个分组,其中一个或多个分组经由SA在网络设备与附加网络设备之间发送,并且由于与SA相关联的抗重播策略而被拒绝(框730)。例如网络设备(例如使用输入组件310、交换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等),在确定该SA将支持该SA中的网络设备与该附加网络设备之间的微SA功能之后,可以标识一个或多个业务类别中与业务类别相关联的一个或多个分组,如以上所述。在一些实现中,一个或多个分组经由SA在网络设备与附加网络设备之间发送,并且由于与SA相关联的反重放策略而被拒绝。
如图7进一步所示,处理700可包括:使得微SA被建立在SA内用于与业务类别相关联的附加业务(方框740)。例如网络设备(例如使用输入组件310、切换组件320、输出组件330、控制器340、处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可能会使得微SA在SA内被建立,以用于与业务类别相关联的附加业务,如上所述。
处理700可以包括附加实现,诸如以下和/或结合本文其他各处描述的一个或多个其他处理所描述的任意单个实现或实现的任意组合。
在第一实现中,处理700包括在使得微SA在SA内被建立之后,接收与去往附加网络设备的业务类别相关联的分组;基于该分组的报头的至少一个字段,确定该分组与所述业务类别相关联;在确定分组与所述业务类别相关联之后,根据与SA相关联的加密策略对分组进行加密;将加密的分组与包括与业务类别相关联的序列标识符的附加报头一起封装;在将所述加密分组封装了所述附加报头之后,经由所述微SA向所述附加网络设备发送所述加密分组。
在第二实现中,单独地或与第一实现组合,附加报头是认证报头或封装安全有效载荷报头。
在第三实现中,单独地或与第一和第二实现中的一个或多个组合地,处理700包括在使得微SA在SA内被建立之后,从附加网络设备并经由微接收-SA,接收与去往另一个设备的业务类别相关联的加密分组;标识与在加密分组的报头中包括的业务类别相关联的序列标识符;确定序列标识符对应于与业务类别相关联的计数器标识符;基于确定序列标识符对应于与业务类别相关联的计数器标识符,根据与SA相关联的加密策略,对加密的分组进行解密;以及向其他设备发送解密后的分组。
在第四实现中,单独地或与第一至第三实现中的一个或多个实现组合地,处理700包括在使得微SA在SA内被建立之后,接收与业务类别相关联的第一分组,以及与业务类别不相关联的第二分组,其中第一分组和第二分组被去往附加网络设备;基于第一分组的报头的至少一个字段,确定第一分组与业务类别相关联;基于第二分组的报头的至少一个字段,确定第二分组与业务类别不相关;基于确定所述第一分组与所述业务类别相关联,经由所述微SA向所述附加网络设备发送所述第一分组;基于确定第二分组与业务类别不相关联,经由SA向附加网络设备发送第二分组。
尽管图7示出了处理700的示例框,但是在一些实现中,处理700可以包括比图7所示的框更多的框、更少的框、不同的框或不同地布置的框。可以并行执行处理700的框。
前述公开内容提供了说明和描述,但并不旨在穷举或将实现限制为所公开的精确形式。可以根据以上公开内容进行修改和变化,或者可以从实现的实践中获得修改和变化。
如本文所使用的,术语“组件”旨在被广义地解释为硬件、固件和/或硬件和软件的组合。
如本文所使用的,术语网络业务可以包括分组集合。分组可以指用于传送信息的通信结构,诸如协议数据单元(PDU)、网络分组、数据报、段、消息、块、小区、帧、子帧、时隙、符号、上述任意一项的一部分和/或能够经由网络发送的另一类型的格式化或未格式化数据单元。
显然,本文所述的系统和/或方法可以以硬件、固件或硬件和软件的组合的不同形式来实现。用于实现这些系统和/或方法的实际的专用控制硬件或软件代码并不限制实现。因此,本文中不参考特定软件代码来描述系统和/或方法的操作和行为-应理解,软件和硬件可以被设计为基于本文的描述来实现系统和/或方法。
即使特征的特定组合在权利要求中陈述和/或在说明书中公开,这些组合也不旨在限制各种实现的公开。实际上,许多这些特征可以以权利要求书中未具体叙述和/或说明书中未公开的方式组合。尽管下面列出的每个从属权利要求可能仅直接取决于一个权利要求,但是各种实现方式的公开包括与权利要求集合中的每个其他权利要求相结合的每个从属权利要求。
除非明确地描述,否则本文中使用的要素、动作或指令均不应被解释为关键或必要的。另外,如本文所使用,冠词“一”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所使用的,冠词“该”旨在包括结合冠词“该”引用的一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所用,术语“集合”旨在包括一个或多个项目(例如相关项目、不相关项目、相关和不相关项目的组合等),并且可以与“一个或多个”互换使用。在仅旨在一项的情况下,使用短语“仅一项”或类似语言。另外,如本文中所使用的,术语“具有”、“具有”、“具有”等旨在是开放式术语。此外,除非另有明确说明,否则短语“基于”旨在表示“至少部分地基于”。此外,除非另有明确说明(例如如果与“其中之一”或“只是其中之一”结合使用),否则如本文使用的,术语“或”在串联使用时旨在是包括性的,并且可以与“和/或”互换使用。
Claims (18)
1.一种通信方法,包括:
由第一网络设备并且与隧道建立网络协议相关联地,与第二网络设备通信,以使得所述第一网络设备与所述第二网络设备之间的网络隧道被建立;
由所述第一网络设备并且基于与所述第二网络设备通信以使得所述网络隧道被建立,确定所述网络隧道将支持所述网络隧道内的所述第一网络设备与所述第二网络设备之间的网络微隧道功能;
由所述第一网络设备并且基于确定所述网络隧道将支持所述网络隧道内的网络微隧道功能,与所述第二网络设备通信,以标识一个或多个业务类别中的、所述网络隧道内的网络微隧道功能将被应用于其的业务类别;
由所述第一网络设备使得网络微隧道在所述网络隧道内被建立,以用于与所述业务类别相关联的业务;以及
接收去往所述第二网络设备的、与所述业务类别相关联的第一分组和与所述业务类别不相关联的第二分组;
经由所述网络微隧道,向所述第二网络设备转发与所述业务类别相关联的所述第一分组;以及
经由所述网络隧道,向所述第二网络设备转发与所述业务类别不相关联的所述第二分组。
2.根据权利要求1所述的方法,其中所述隧道建立网络协议是互联网密钥交换协议,并且所述网络隧道是使用互联网协议安全协议安全性关联的网络隧道。
3.根据权利要求1所述的方法,其中所述一个或多个业务类别包括以下中的至少一项:
网络业务类别;
互联网协议电话业务类别;
控制业务类别;
流多媒体业务类别;或
文件传输业务类别。
4.根据权利要求1所述的方法,其中确定所述网络隧道将支持所述网络隧道内的所述第一网络设备与所述第二网络设备之间的网络微隧道功能包括:
基于与所述第一网络设备关联的配置设置,确定所述第一网络设备能够支持微隧道功能;
基于与所述第二网络设备通信以使得所述网络隧道被建立,接收指示所述第二网络设备能够支持微隧道功能的消息;以及
基于确定所述第一网络设备能够支持微隧道功能并且所述消息指示所述第二网络设备能够支持微隧道功能,确定所述网络隧道将支持所述网络隧道内的所述第一网络设备与所述第二网络设备之间的网络微隧道功能。
5.根据权利要求1所述的方法,其中与所述第二网络设备通信以标识所述网络隧道内的网络微隧道功能将被应用于其的所述业务类别包括:
基于与所述第一网络设备相关联的配置设置,确定第一业务类别集合;
从所述第二网络设备接收指示第二业务类别集合的消息;以及
处理所述第一业务类别集合和所述第二业务类别集合,以标识所述网络隧道内的网络微隧道功能将被应用于其的所述业务类别。
6.根据权利要求1所述的方法,其中使得所述网络微隧道将在所述网络隧道内被建立以用于与所述业务类别相关联的业务包括:
配置与所述网络隧道相关联的数据结构,以初始化与所述业务类别相关联的计数器,
其中所述计数器被配置为基于所述第一网络设备接收或传输与所述业务类别相关联的至少一个分组来递增计数器标识符。
7.根据权利要求1所述的方法,还包括:
从所述第二网络设备并且经由所述网络微隧道接收与去往另一设备的所述业务类别相关联的分组;
从与所述第一网络设备相关联的数据结构获得与所述业务类别相关联的计数器标识符;
确定被包括在所述分组中的、与所述业务类别相关联的序列标识符对应于所述计数器标识符;以及
基于确定被包括在所述分组中的所述序列标识符对应于所述计数器标识符,向另一设备转发所述分组。
8.一种网络设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
与附加网络设备通信,以使得所述网络设备与所述附加网络设备之间的互联网协议安全协议安全性关联SA被建立;
基于与所述附加网络设备通信以使得所述SA被建立,确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能;
基于确定所述SA将支持所述SA内的微SA功能,与所述附加网络设备通信,以标识一个或多个业务类别中的、所述SA内的网络微SA功能将被应用于其的业务类别;
使得微SA在所述SA内被建立,以用于与所述业务类别相关联的业务;以及
接收去往所述附加网络设备的、与所述业务类别相关联的第一分组和与所述业务类别不相关联的第二分组;
经由所述微SA,向所述附加网络设备转发与所述业务类别相关联的所述第一分组;以及
经由所述SA,向所述附加网络设备转发与所述业务类别不相关联的所述第二分组。
9.根据权利要求8所述的网络设备,其中所述一个或多个业务类别中的特定业务类别与以下中的至少一项相关联:
指示区分服务代码点的信息;
指示业务应用标识符的信息;
指示业务源地址的信息;
指示业务目的地地址的信息;
指示域名系统的信息;或
指示服务器名称指示的信息。
10.根据权利要求8所述的网络设备,其中在与所述附加网络设备通信以标识所述SA内的网络微SA功能将被应用于其的所述业务类别时,所述一个或多个处理器用以:
基于与所述网络设备相关联的配置设置,确定能够使用所述SA内的网络微隧道功能的第一业务类别集合;
标识能够使用所述SA内的网络微隧道功能的第二业务类别集合,
其中所述第一业务类别集合和所述第二业务类别集合分别包括所述SA内的网络微SA功能将被应用于其的业务类别;以及
比较第一业务类别集合和第二业务类别集合,以标识所述SA内的网络微SA功能将被应用于其的所述业务类别。
11.根据权利要求8所述的网络设备,其中在使得所述微SA在所述SA内被建立以用于与所述业务类别相关联的业务时,所述一个或多个处理器用以:
生成与所述SA相关联的数据结构;以及
使得所述数据结构包括与所述业务类别相关联的计数器,
其中所述计数器被配置为基于网络设备接收或传输与所述业务类别相关联的至少一个分组来递增计数器标识符。
12.根据权利要求8所述的网络设备,其中所述一个或多个处理器还用以:
接收与去往所述附加网络设备的所述业务类别相关联的分组;
根据与所述SA相关联的加密策略来对加密所述分组;
修改经加密的所述分组的报头,以包括与所述业务类别相关联的序列标识符;以及
在修改所加密的所述分组的所述报头之后,经由所述微SA向所述附加网络设备发送经加密的所述分组。
13.根据权利要求8所述的网络设备,其中所述一个或多个处理器还用以:
从所述附加网络设备并且经由所述微SA接收与去往另一设备的所述业务类别相关联的经加密的分组;
标识与被包括在经加密的所述分组中的所述业务类别相关联的序列标识符;
确定所述序列标识符对应于与所述业务类别相关联的计数器标识符;
基于确定所述序列标识符对应于与所述业务类别相关联的所述计数器标识符,根据与所述SA相关联的加密策略来解密所加密的所述分组;以及
向所述另一设备发送所解密的所述分组。
14.一种存储有指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由网络设备的一个或多个处理器执行时,使得所述一个或多个处理器:
与附加网络设备通信,以使得所述网络设备与所述附加网络设备之间的互联网协议安全协议安全关联(SA)被建立;
基于与所述附加网络设备通信以使得所述SA被建立,确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能;
在确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能之后,标识与一个或多个业务类别中的业务类别相关联的一个或多个分组,
其中所述一个或多个分组经由所述SA在所述网络设备和所述附加网络设备之间被传输,并且由于与所述SA相关的防重播策略而被拒绝;以及
使得微SA在所述SA内被建立,以用于与所述业务类别相关联的附加业务。
15.根据权利要求14所述的非瞬态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还使得所述一个或多个处理器:
在使得所述微SA在所述SA内被建立之后,接收与去往所述附加网络设备的所述业务类别相关联的分组;
基于所述分组的报头的至少一个字段,确定所述分组与所述业务类别相关联;
在确定所述分组与所述业务类别相关联之后,根据与所述SA相关联的加密策略来加密所述分组;
封装经加密的所述分组与附加报头,所述附加报头包括与所述业务类别相关联的序列标识符;以及
在封装经加密的所述分组与所述附加报头之后,经由所述微SA向所述附加的网络设备发送经加密的所述分组。
16.根据权利要求15所述的非瞬态计算机可读介质,其中所述附加报头是认证报头或封装安全有效载荷报头。
17.根据权利要求14所述的非瞬态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还使得所述一个或多个处理器:
在使得所述微SA在所述SA内被建立之后,从所述附加网络设备并且经由所述微SA,接收与去往另一设备的所述业务类别相关联的经加密的分组;
标识与被包括在所加密的分组的报头中的所述业务类别相关联的序列标识符;
确定所述序列标识符对应于与所述业务类别相关联的计数器标识符;
基于确定所述序列标识符对应于与所述业务类别相关联的所述计数器标识符,根据与所述SA相关联的加密策略来解密所加密的所述分组;以及
向所述另一设备发送所解密的所述分组。
18.根据权利要求14所述的非瞬态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还使得所述一个或多个处理器:
在使得所述微SA在所述SA内被建立之后,接收与所述业务类别相关联的第一分组和与所述业务类别不相关联的第二分组,
其中所述第一分组和所述第二分组是去往所述附加网络设备;
基于所述第一分组的报头的至少一个字段,确定所述第一分组与所述业务类别相关联;
基于所述第二分组的报头的至少一个字段,确定所述第二分组与所述业务类别不相关联;
基于确定所述第一分组与所述业务类别相关联,经由所述微SA向所述附加网络设备发送所述第一分组;以及
基于确定所述第二分组与业务类别不相关联,经由所述SA向所述附加网络设备发送所述第二分组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310568409.2A CN116527374A (zh) | 2020-03-25 | 2020-05-18 | 在网络隧道内建立网络微隧道 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/829,700 US11323290B2 (en) | 2020-03-25 | 2020-03-25 | Establishing a network micro-tunnel within a network tunnel |
| US16/829,700 | 2020-03-25 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310568409.2A Division CN116527374A (zh) | 2020-03-25 | 2020-05-18 | 在网络隧道内建立网络微隧道 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113452664A CN113452664A (zh) | 2021-09-28 |
| CN113452664B true CN113452664B (zh) | 2023-06-09 |
Family
ID=70779503
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010421812.9A Active CN113452664B (zh) | 2020-03-25 | 2020-05-18 | 在网络隧道内建立网络微隧道 |
| CN202310568409.2A Pending CN116527374A (zh) | 2020-03-25 | 2020-05-18 | 在网络隧道内建立网络微隧道 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310568409.2A Pending CN116527374A (zh) | 2020-03-25 | 2020-05-18 | 在网络隧道内建立网络微隧道 |
Country Status (3)
| Country | Link |
|---|---|
| US (3) | US11323290B2 (zh) |
| EP (1) | EP3886393A1 (zh) |
| CN (2) | CN113452664B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11323290B2 (en) | 2020-03-25 | 2022-05-03 | Juniper Networks, Inc. | Establishing a network micro-tunnel within a network tunnel |
| US20210377176A1 (en) * | 2020-06-02 | 2021-12-02 | Apple Inc. | Traffic class-based esp sequence |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004036849A2 (en) * | 2002-10-15 | 2004-04-29 | Qualcomm Incorporated | Method and apparatus for the use of micro-tunnels in a communications system |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080025312A1 (en) * | 2006-07-28 | 2008-01-31 | Qualcomm Incorporated | Zero-header compression for improved communications |
| GB0705787D0 (en) * | 2007-03-26 | 2007-05-02 | Vodafone Plc | Telecommunications networks |
| US8345604B2 (en) * | 2007-06-07 | 2013-01-01 | Qualcomm Incorporated | Effectuating establishment of internet protocol security tunnels for utilization in a wireless communication environment |
| US8745243B2 (en) * | 2009-08-03 | 2014-06-03 | Brocade Communications Systems, Inc. | FCIP communications with load sharing and failover |
| CN102035814B (zh) | 2009-09-30 | 2014-08-27 | 瞻博网络公司 | 通过vpn ipsec隧道确保服务质量 |
| US8397288B2 (en) * | 2010-08-25 | 2013-03-12 | Itron, Inc. | System and method for operation of open connections for secure network communications |
| US8902815B2 (en) * | 2011-07-10 | 2014-12-02 | Cisco Technology, Inc. | System and method for subscriber mobility in a cable network environment |
| JP6052391B2 (ja) * | 2012-03-30 | 2016-12-27 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 盗聴に対するIPsec通信のパフォーマンス及びセキュリティの向上 |
| US9106536B2 (en) * | 2013-04-15 | 2015-08-11 | International Business Machines Corporation | Identification and classification of web traffic inside encrypted network tunnels |
| US9887974B2 (en) * | 2013-11-27 | 2018-02-06 | Architecture Technology Corporation | Method for network communication past encryption devices |
| US9961587B2 (en) * | 2014-06-26 | 2018-05-01 | Gilat Satellite Networks Ltd. | Methods and apparatus for optimizing tunneled traffic |
| US9667650B2 (en) * | 2015-05-15 | 2017-05-30 | Cisco Technology, Inc. | Anti-replay checking with multiple sequence number spaces |
| US11838271B2 (en) * | 2016-05-18 | 2023-12-05 | Zscaler, Inc. | Providing users secure access to business-to-business (B2B) applications |
| US10523658B2 (en) * | 2017-09-05 | 2019-12-31 | Citrix Systems, Inc. | Securing a data connection for communicating between two end-points |
| US10848345B2 (en) * | 2018-12-31 | 2020-11-24 | Hughes Network Systems, Llc | Multi-protocol encapsulation traffic acceleration and optimization |
| US11645144B2 (en) * | 2019-03-21 | 2023-05-09 | Vmware, Inc. | Methods and systems securing an application based on auto-learning and auto-mapping of application services and APIs |
| US11461123B1 (en) * | 2019-11-21 | 2022-10-04 | Amazon Technologies, Inc. | Dynamic pre-copy and post-copy determination for live migration between cloud regions and edge locations |
| US11323290B2 (en) | 2020-03-25 | 2022-05-03 | Juniper Networks, Inc. | Establishing a network micro-tunnel within a network tunnel |
-
2020
- 2020-03-25 US US16/829,700 patent/US11323290B2/en active Active
- 2020-05-18 CN CN202010421812.9A patent/CN113452664B/zh active Active
- 2020-05-18 CN CN202310568409.2A patent/CN116527374A/zh active Pending
- 2020-05-19 EP EP20175437.1A patent/EP3886393A1/en active Pending
-
2022
- 2022-04-26 US US17/660,686 patent/US11729025B2/en active Active
-
2023
- 2023-06-27 US US18/341,922 patent/US12088431B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004036849A2 (en) * | 2002-10-15 | 2004-04-29 | Qualcomm Incorporated | Method and apparatus for the use of micro-tunnels in a communications system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113452664A (zh) | 2021-09-28 |
| US20220255771A1 (en) | 2022-08-11 |
| US20210306178A1 (en) | 2021-09-30 |
| US12088431B2 (en) | 2024-09-10 |
| US20230336378A1 (en) | 2023-10-19 |
| EP3886393A1 (en) | 2021-09-29 |
| CN116527374A (zh) | 2023-08-01 |
| US11323290B2 (en) | 2022-05-03 |
| US11729025B2 (en) | 2023-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
| US11245697B2 (en) | Application-based network security | |
| US11405422B2 (en) | Transmitting multiple copies of an encrypted packet via multiple tunnels between a transmitting network device and a receiving network device | |
| US12088431B2 (en) | Establishing a network micro-tunnel within a network tunnel | |
| US12041052B2 (en) | Continuing a media access control security (MACSEC) key agreement (MKA) session upon a network device becoming temporarily unavailable | |
| US11757840B2 (en) | Configuring a protocol in a virtual private network | |
| US11368294B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
| US11539668B2 (en) | Selective transport layer security encryption | |
| US11626981B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
| CN113765878B (zh) | 选择性的传送层安全加密 | |
| US11032203B2 (en) | Providing predictable quality of service traffic steering | |
| US20230421360A1 (en) | Automatic generation and update of connectivity association keys for media access control security protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |