CN114640482A - 管理隧道的方法、装置及系统 - Google Patents
管理隧道的方法、装置及系统 Download PDFInfo
- Publication number
- CN114640482A CN114640482A CN202011385295.0A CN202011385295A CN114640482A CN 114640482 A CN114640482 A CN 114640482A CN 202011385295 A CN202011385295 A CN 202011385295A CN 114640482 A CN114640482 A CN 114640482A
- Authority
- CN
- China
- Prior art keywords
- forwarding
- forwarding device
- information
- ipsec tunnel
- service flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012545 processing Methods 0.000 claims description 26
- 238000013519 translation Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 36
- 238000010586 diagram Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000011144 upstream manufacturing Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 101000823089 Equus caballus Alpha-1-antiproteinase 1 Proteins 0.000 description 2
- 101000651211 Homo sapiens Transcription factor PU.1 Proteins 0.000 description 2
- 102100027654 Transcription factor PU.1 Human genes 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013524 data verification Methods 0.000 description 1
- 108010079923 lambda Spi-1 Proteins 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种管理隧道的方法、装置及系统,属于通信领域。所述方法包括:控制器接收M个转发设备发送的报告信息,所述M个转发设备包括第一转发设备,所述第一转发设备的报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,所述第一转发设备是所述IPsec隧道上的设备,所述第一信息用于指示所述IPsec隧道对应的转发路径,M为大于1的整数;所述控制器根据每个转发设备发送的第一信息,确定所述IPsec隧道对应的转发路径上的转发设备;所述控制器根据所述转发路径上的转发设备发送的质量参数信息,管理所述IPsec隧道。本申请能够实现自动管理IPsec隧道以及提高管理效率。
Description
技术领域
本申请涉及通信领域,特别涉及一种管理隧道的方法、装置及系统。
背景技术
互联网协议地址安全(internet protocol address security,IPsec)隧道能够支持用户身份认证、提供复杂的数据加密和数据验证,所以IPsec隧道的安全性较高,常用来传输业务。IPsec隧道常用来传输用户终端与核心网传输之间的业务或用来传输企业之间的业务等。
IPsec隧道经过通信网络中的多个转发设备,在IPsec隧道上传输业务时,这些转发设备会转发业务的报文。为了能够更好的传输业务,目前需要对IPsec隧道的质量进行管理。例如,在使用IPsec隧道传输业务的过程中IPsec隧道上的转发设备可能出现故障,通过对IPsec隧道的管理可以发现该故障。
目前在对IPsec隧道进行管理时,都是技术人员手动查询IPsec隧道上的各转发设备,通过查询各转发设备来判断IPsec隧道的质量,所以目前不仅不能自动管理IPsec隧道,且管理IPsec隧道的效率低下。
发明内容
本申请提供了一种管理隧道的方法、装置及系统,以实现自动管理IPsec隧道以及提高管理效率。所述技术方案如下:
第一方面,本申请提供了一种管理隧道的方法,在所述方法中,控制器接收M个转发设备发送的报告信息,该M个转发设备包括第一转发设备,第一转发设备的报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,第一转发设备是IPsec隧道上的设备,第一信息用于指示IPsec隧道对应的转发路径,M为大于1的整数。控制器根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备。控制器根据该转发路径上的转发设备发送的质量参数信息,管理IPsec隧道。
由于IPsec隧道上的转发设备向控制器发送报告信息,该报告信息包括第一信息和IPsec隧道上传输的业务流的质量参数信息,又由于第一信息用于指示IPsec隧道对应的转发路径,这样控制器根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备。从而可以根据该转发路径上的转发设备发送的质量参数信息,自动管理IPsec隧道,从而可以自动管理IPsec隧道,提高管理效率。
在一种可能的实现方式中,第一转发设备发送的第一信息包括IPsec隧道的隧道标识和第一转发设备的下一跳信息。这样通过该隧道标识和该下一跳信息,可以确定IPsec隧道的每条转发路径上的转发设备。
在另一种可能的实现方式中,第一转发设备发送的第一信息还包括业务流的目的地址、源地址和协议类型中的一个或多个。
在另一种可能的实现方式中,IPsec隧道对应的转发路径的数目为一条或多条。控制器在M个转发设备中确定发送该隧道标识的多个转发设备。控制器基于该多个转发设备中的每个转发设备的下一跳信息,确定IPsec隧道对应的每条转发路径上的转发设备。如此可以准确地得到IPsec隧道对应的每条转发路径上的转发设备,从而能够自动管理IPsec隧道。
在另一种可能的实现方式中,控制器根据该转发路径上的每个转发设备发送的质量参数信息,分别获取该每个转发设备上的业务流状态。控制器基于该每个转发设备上的业务流状态,确定IPsec隧道发生的故障以及发生该故障的位置。如此可以自动地检测IP隧道是否发生故障以及精确地定出故障的位置。
在另一种可能的实现方式中,转发路径上的转发设备包括第二转发设备和第三转发设备,第三转发设备是第二转发设备的下游设备,第二转发设备的业务流状态为正常状态和第三转发设备的业务流状态为故障状态。控制器确定IPsec隧道的故障位置为第三转发设备或第二转发设备与第三转发设备之间的链路。如此可以精确地定出故障的位置。
在另一种可能的实现方式中,第一转发设备发送的质量参数信息包括第一质量参数信息和/或第二质量参数信息,第一质量参数信息是在第一转发设备的入接口采集该入接口接收的该业务流得到的信息,第二质量参数信息是在第一转发设备的出接口采集该出接口发送的该业务流得到的信息。控制器根据转发设备的第一质量参数信息确定转发设备接收的业务流状态,根据转发设备的第二质量参数信息确定转发设备发送的业务流状态。
在另一种可能的实现方式中,在第二转发设备发送的业务流状态为正常状态以及第三转发设备接收的业务流状态为故障状态,确定IPsec隧道的故障位置为第二转发设备和第三转发设备之间的路径。在第三转发设备接收的业务流状态为正常状态以及第三转发设备发送的业务流的状态为故障状态,确定IPsec隧道的故障位置为第三转发设备。从而提高定位故障的精度。
在另一种可能的实现方式中,在第二转发设备发送的该业务流的第二信息和第三转发设备发送的该业务流的第二信息不同时,确定对该业务流进行网络地址转换的设备位于第二转发设备和第三转发设备之间,该转发路径上的转发设备包括第二转发设备和第三转发设备,第二转发设备和第三转发设备相邻,第二信息包括业务流的源地址和/或源端口号,或者,第二信息包括该业务流的目的地址和/或目的端口号。如此可以精确确定网络地址转换的设备的位置。
在另一种可能的实现方式中,IPsec隧道的质量参数信息包括业务流的丢包报文数目和重传报文数目中的一个或多个。
第二方面,本申请提供了一种管理隧道的装置,用于执行第一方面或第一方面的任意一种可能的实现方式中的由控制器执行的方法。具体地,所述装置包括用于执行第一方面或第一方面的任意一种可能的实现方式中的由控制器执行的方法的单元。
第四方面,本申请提供了一种管理隧道的装置,所述装置包括收发器、处理器和存储器。其中,所述收发器、所述处理器以及所述存储器之间可以通过内部连接相连。所述存储器用于存储程序,所述处理器用于执行所述存储器中的程序以及配合收发器,使得所述装置完成第一方面或第一方面的任意可能的实现方式中的由控制器执行的方法。
第五方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括在计算机可读存储介质中存储的计算机程序,并且所述计算程序通过设备进行加载来实现上述第一方面或第一方面任意可能的实现方式的方法的指令。
第六方面,本申请提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序通过设备进行加载来执行上述第一方面或第一方面任意可能的实现方式的方法的指令。
第七方面,本申请提供了一种管理隧道的系统,所述系统包括:控制器和M个转发设备,该M个转发设备包括第一转发设备,M为大于1的整数。第一转发设备,用于发送报告信息,该报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,第一转发设备是IPsec隧道上的设备,第一信息用于指示IPsec隧道对应的转发路径。控制器,用于根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备;根据转发路径上的转发设备发送的质量参数信息,管理IPsec隧道。
由于IPsec隧道上的转发设备向控制器发送报告信息,该报告信息包括第一信息和IPsec隧道上传输的业务流的质量参数信息,又由于第一信息用于指示IPsec隧道对应的转发路径,这样控制器根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备。从而可以根据该转发路径上的转发设备发送的质量参数信息,自动管理IPsec隧道,从而可以自动管理IPsec隧道,提高管理效率。
附图说明
图1是本申请实施例提供的一种网络架构示意图;
图2是本申请实施例提供的一种IPsec隧道的结构示意图;
图3是本申请实施例提供的另一种IPsec隧道的结构示意图;
图4是本申请实施例提供的另一种IPsec隧道的结构示意图;
图5是本申请实施例提供的另一种IPsec隧道的结构示意图;
图6是本申请实施例提供的另一种IPsec隧道的结构示意图;
图7是本申请实施例提供的另一种IPsec隧道的结构示意图;
图8是本申请实施例提供的一种发送报文的方法流程图;
图9是本申请实施例提供的一种第一报文的结构示意图;
图10是本申请实施例提供的一种管理隧道的方法流程图;
图11是本申请实施例提供的一种管理隧道的装置结构示意图;
图12是本申请实施例提供的另一种管理隧道的装置结构示意图。
具体实施方式
下面将结合附图对本申请实施方式作进一步地详细描述。
参见图1,本申请实施例提供了一种网络架构,包括:
控制器和IPsec隧道的多个转发设备,该多个转发设备中的每个转发设备可以与控制器通信。
IPsec隧道对应的转发路径包括一条或多条。IPsec隧道对应的任意一条转发路径上的转发设备包括两个端点设备,其中一个端点设备与第一通信实体通信,另一个端点设备与第二通信实体通信。这样第一通信实体通过该转发路径向第二通信实体发送业务流,或者,通过该转发路径接收第二通信实体发送的业务流。
第一通信实体为第一终端设备、第一网络设备或第一网络等,第二通信实体为第二终端设备、第二网络设备或第二网络等。
IPsec隧道的转发设备包括基站、基站侧网关(cell site gateway,CSG)设备、接入业务网关(access service gateway,ASG)设备、路由设备和/或基站控制器侧网关(radio network controller site gateway,RSG)设备等。IPsec隧道的每个转发设备可以与控制器建立网络连接,以实现IPsec隧道的每个转发设备与控制器通信。第一网络和/或第二网络可以为局域网或核心网等。
上述IPsec隧道有两种结构,一种为点对点结构的IPsec隧道,另一种为点对多点结构的IPsec隧道。接下来详细说明该两种结构。
参见图2所示的点对点结构的IPsec隧道,该IPsec隧道是两个通信实体(上述第一通信实体和第二通信实体)之间的隧道。点对点结构的IPsec隧道对应的转发路径可以为一条或多条。
在该IPsec隧道对应的转发路径为一条的情况下,该转发路径上的转发设备包括第一端点设备、第二端点设备和第一端点设备与第二端点设备之间的至少一个转发设备。第一端点设备与第一通信实体通信,第二端点设备与第二通信实体通信。
例如,如图2所示点对点结构的IPsec隧道,IPsec隧道对应的转发路径为一条,该转发路径上的转发设备可以包括基站、CSG设备、ASG设备、路由设备和RSG设备。基站和RSG设备是IPSec隧道对应的转发设备的第一端点设备和第二端点设备,CSG设备、ASG设备和路由设备位于该两个端点设备之间。第一通信实体通信与基站通信,基站还与CSG设备通信,CSG设备还与ASG设备通信,ASG设备还与路由设备通信,路由设备还与RSG设备通信,RSG设备还与第二通信实体通信。
在该IPsec隧道对应的转发路径为多条的情况下,该多条转发路径包括一条主转发路径和至少一条备转发路径。IPsec隧道的端点设备包括一个第一端点设备和多个第二端点设备,第一端点设备与第一通信实体通信,该多个第二端点设备均与第二通信实体通信,该多个第二端点设备的上游设备为同一设备,该多条转发路径包括第一端点设备分别到每个第二端点设备的路径,且第一端点设备到该上游设备之间的路径是该多条转发路径的共同部分。
第一通信实体和第二通信实体之间会使用主转发路径来传输业务流。在主转发路径出现故障时,第一通信实体和第二通信实体之间会使用一条备转发路径来传输业务流。
例如,参见图3,第一通信实体和第二通信实体之间的IPsec隧道对应的转发路径包括一条主转发路径和一条备转发路径,即第一通信实体和第二通信实体之间存在两条转发路径,从而形成双机热备场景。IPsec隧道的端点设备包括一个第一端点设备和两个第二端点设备,第一端点设备为基站,该两个第二端点设备为第一RSG设备和第二RSG设备。
主转发路径上的转发设备包括基站、CSG设备、ASG设备、路由设备和第一RSG设备。备转发路径上的转发设备包括基站、CSG设备、ASG设备、路由设备和第二RSG设备。第一通信实体与基站通信,第二通信实体能够与第一RSG设备和第二RSG设备通信。第一RSG设备和第二RSG设备是该IPsec隧道的两个第二端点设备。
在点对点结构的IPsec隧道中,IPsec隧道可能经过NAT设备,NAT设备位于IPsec隧道的任意相邻的两个转发设备之间,用于转换业务流中的各报文的地址和端口号。例如,参见图4或5所示的IPsec隧道,在IPsec隧道的CSG设备和ASG设备之间部署用于转换业务流的各报文的地址和/或端口号的NAT设备。
参见图6,点对多点结构的IPsec隧道,该IPsec隧道是至少三个通信实体之间的隧道。点对多点结构的IPsec隧道对应的转发路径为多条。每条转发路径有一个共同的端点设备,但每条转发路径的另一个端点设备不同。
点对多点结构的IPsec隧道可以应用于企业网,企业网包括总部子网络和多个分支子网络,总部子网络和每个分支子网络分别为不同的通信实体。每个分支子网络分别与一条转发路径对应,总部子网络与该多条转发路径的共同端点设备通信,每条转发路径的另一个端点设备分别与每条转发路径对应的分支子网络通信。
例如,参见图6,点对多点结构的IPsec隧道包括第一转发路径和第二转发路径。企业网络包括总部子网络、第一分支子网络和第二分支子网络。第一转发路径上的转发设备包括转发设备1,转发设备21和转发设备31,第二转发路径上的转发设备包括转发设备1、转发设备22和转发设备32。总部子网络与转发设备1通信,转发设备1还分别与转发设备21和转发设备22通信,转发设备21还与转发设备31通信,转发设备31还与第一分支子网络通信;转发设备22还与转发设备32通信,转发设备32还与第二分支子网络通信。转发设备1是第一转发路径和第二转发路径的共同端点设备,转发设备31是第一转发路径的另一个端点设备,转发设备32是第二转发路径的另一个端点设备。
可选的,在点对多点结构的IPsec隧道的场景中,该多条转发路径的每条转发路径可能经过NAT设备。例如,参见图7,第一转发路径经过第一NAT设备,第一NAT设备在第一转发路径的转发设备31和转发设备21之间,第二转发路径经过第二NAT设备,第二NAT设备在第二转发路径的转发设备32和转发设备22之间。
参见图8,本申请实施例提供了一种发送报文的方法,该方法应用图1至7所示的任意一个网络架构,在该方法中可以在IPsec隧道对应的一条转发路径上发送报文,转发路径上的转发设备包括第一端点设备、第二端点设备以及在第一端点设备和第二端点设备之间的转发设备,且该转发路径上的各转发设备之间时钟同步,包括:
步骤801:第一端点设备生成第一报文,第一报文包括IPsec隧道的隧道标识、业务流的流标识信息和第一报文的序号列,该业务流是第一报文属于的业务流,第一报文是该业务流的第一个报文。
业务流的流标识信息包括该业务流的源地址、源端口号、目的地址、目的端口号和协议类型等中的一个或多个。第一报文的序列号可以为1或0等值。
第一报文是在IPsec隧道上传输的报文。在本步骤中,第一端点设备接收与第一端点设备通信的通信实体发送的第二报文,基于第二报文,生成第一报文。
在该转发路径上经过NAT设备情况下,参见图9,第一端点设备接收的第二报文包括第一IP报文头、传输控制协议(transmission control protocol,TCP)报文头和第一净荷。基于第二报文生成传输模式的第一报文或隧道模式的第一报文。其中,第一端点设备通过第一接口接收第二报文,第一接口是第一端点设备上的一个接口,第一接口是第一端点设备上的用于接收该业务流的接口,此时第一接口为用于接收该业务流的入接口。
对于传输模式的第一报文,生成过程为:第一端点设备对第二报文包括的该TCP报文头和第一净荷进行加密得到加密数据,生成用户数据报协议(user datagram protocol,UDP)报文头、封装安全载荷协议(encapsulating security payload,ESP)报文头和ESP认证数据。其中,第一IP报文头包括该业务流的源地址和目的地址,该UDP报文头包括源端口号、目的端口号和协议类型,ESP报文头包括IPsec隧道的隧道标识和第一报文的序列号。将第一IP报文头、UDP报文头、ESP报文头、第二净荷和ESP认证数据组成第一报文,第二净荷包括该加密数据。可选的,在该加密数据的长度不是数值Z的整数倍的情况下,第二净荷还包括填充数据,这样使得第二净荷的长度为Z的整数倍,Z=8、16、32或64等数值。
对于隧道模式的第一报文,生成过程为:第一端点设备对第二报文进行加密得到加密数据,生成第二IP报文头、UDP报文头、ESP报文头和ESP认证数据。其中,第二IP报文头包括该业务流的源地址和目的地址,该UDP报文头包括源端口号、目的端口号和协议类型,ESP报文头包括IPsec隧道的隧道标识和第一报文的序列号。将第二IP报文头、UDP报文头、ESP报文头、第二净荷和ESP认证数据组成第一报文,第二净荷包括该加密数据。可选的,在该加密数据的长度不是Z的整数倍的情况下,第二净荷还包括填充数据。
从上述内容可以看出在该转发路径上经过NAT设备情况下,第一报文中有UDP头,第一报文的协议类型包括UDP和ESP。在该转发路径上没有经过NAT设备情况下,第一报文中没有UDP报文头,第一报文的协议类型包括AH或ESP。
可选的,IPsec隧道的隧道标识为安全参数索引(security parameter index,SPI)。填充数据可以为数值0或数值1等。在图9中生成的第一报文中的源地址用IP1表示,目的地址用IP2表示,源端口号用Port1表示,目的端口号用Port2表示。
可选的,源端口号Port1和目的端口号Port2可能均为4500等。
步骤802:第一端点设备对第一报文进行采集得到第一报告信息,向第一端点设备的下游设备发送第一报文,第一报告信息包括第一报文的序列号、第一信息和业务流的质量参数信息。
第一信息指示用于传输该业务流的转发路径,该转发路径是IPsec隧道对应的一条转发路径,第一端点设备的下游设备是该转发路径上的转发设备。
第一端点设备在第二接口上采集第一报文,第二接口是第一端点设备上的用于发送该业务流的接口。其中,第一端点设备在获取第一报文后,将第一报文输入到第二接口上。在第一报文到达第二接口,第一端点设备采集第一报文得到第一报告信息,并保存第一报告信息,此时第二接口是用于发送第一报文的出接口。
第一信息包括IPsec隧道的隧道标识和第一端点设备的下一跳信息。可选的,第一信息还可能包括业务流的流标识信息,即第一信息还可能包括目的地址、目的端口号、源地址、源端口号和协议类型等中的一个或多个。第一端点设备的下一跳信息可以为第一端点设备的下游设备的设备标识,或者,第二接口的接口标识等。
业务流的质量参数信息包括至少一个质量参数。该至少一个质量参数包括该业务流的丢包报文数目和重传报文数目等中的一个或多个。
可选的,第一报告信息除了包括第一信息和质量参数信息外,还可能包括该业务流的类型、报文总数目、采集位置、路由接口索引、栈底标签和接收该业务流的起始时间和报文采集时间等。该业务流的类型包括上行业务流或下行业务流。该采集位置可以为第二接口的接口标识。
可选的,对于第一信息包括的IPsec隧道的隧道标识和流标识信息(业务流的目的地址、目的端口号、源地址、源端口号和/或协议类型),第一端点设备采集这些信息的过程可以为:
在第一报文是传输模式的报文时,第一端点设备从第一报文的第一IP报文头中读取业务流的源地址和目的地址,从第一报文的UDP报文头中读取业务流的源端口号、目的端口号和协议类型,以及从第一报文的ESP报文头中读取IPsec隧道的隧道标识。在第一报文是隧道模式的报文时,第一端点设备从第一报文的第二IP报文头中读取业务流的源地址和目的地址,从第一报文的UDP报文头中读取业务流的源端口号、目的端口号和协议类型,以及从第一报文的ESP报文头中读取IPsec隧道的隧道标识。
例如,第一端点设备采集图9中的第一报文,得到IPsec的隧道标识为SPI1,业务流的源地址为IP1、源端口号为Port1、目的地址为IP2、目的端口号为Port2和协议类型为UDP+ESP。
可选的,对于第一信息包括的下一跳信息,第一端点设备在确定发送第一报文时,会先获取下一跳信息,其中第一端点设备会基于该下一跳信息发送第一报文。所以采集的下一跳信息为第一端点设备获取的该下一跳信息。
例如,第一端点设备为发送图9中的第一报文获取的下一跳信息为第二接口的接口标识IF-ID2,所以在第二接口采集该第一报文时得到的下一跳信息为IF-ID2。
可选的,对于该业务流的质量参数信息,该质量参数信息包括的丢包报文数目和/或重传报文数目。由于第一报文是该业务流的第一个报文,所以第一转发设备采集的丢包报文数目和/或重传报文数目均为0。另外,第一端点设备采集的该业务流的报文总数目为1,接收该业务流的起始时间和报文采集时间相同,假设均为T0。
假设,第一端点设备采集得到的采集位置为第二接口的接口标识IF-ID1、路由接口索引为“Routeindex”以及栈底标签为“Innerlabel”。第一端点设备保存采集的第一报告信息,第一报告信息如下表1所示。
表1:第一报告信息
步骤803:第一转发设备接收第一报文,对第一报文进行采集得到报告信息,向第一转发设备的下游设备发送第一报文,第一转发设备是该转发路径上的位于第一端点设备和第二端点设备之间的任意一个转发设备。
第一转发设备是该转发路径上的位于第一端点设备和第二端点设备之间的转发设备。第一转发设备可能是第一端点设备的下游设备,或者,可能是第二端点设备的上游设备,或者,可能是该下游设备和该上游设备之间的其他转发设备。
第一转发设备在入接口和出接口分别对第一报文进行采集,因此采集的报告信息包括两份,为了便于说明,将其中一份称为第二报告信息,将另一份称为第三报告信息。为了便于说明,将该入接口称为第三接口,将该出接口称为第四接口。
在步骤803中,第一转发设备通过第三接口接收第一报文,并在第三接口对第一报文进行采集得到第二报告信息。确定用于发送第一报文的第四接口,将第一报文输入到第四接口时,在第四接口对第一报文进行采集得到第三报告信息,通过第四接口发送第一报文。
第一转发设备在第三接口对第一报文进行采集,得到的第二报告信息包括第一报文的序列号,第一信息和该业务流的质量参数信息。第二转发设备在第四接口对第一报文采集得到的第三报告信息也包括第一报文的序列号,第一信息和该业务流的质量参数信息。
第一转发设备在第三接口采集第二报告信息以及在第四接口采集第三报告信息的详细过程,参见上述步骤802中的第一端点设备在第二接口上采集报告信息的过程,在此不再详细说明。
假设第一转发设备在第三接口采集的第二报告信息如表2所示,以及在第四接口采集的第三报告信息如表3所示。由于分别在第三接口和第四接口对第一报文进行采集,第二报告信息中的接收业务流的起始时间T1和报文采集时间T1,与第二报告信息中的接收业务流的起始时间T3和报文采集时间T3不同。第二报告信息中的采集位置为第三接口的接口标识IF-ID3,第三报告信息中的采集位置为第四接口的接口标识IF-ID4。第二报告信息中的下一跳信息和第三报告信息中的下一跳信息相同,该下一跳信息为第四接口的接口标识IF-ID4或第一转发设备的下游设备。
表2:第二报告信息
表3:第三报告信息
对于第一报告信息、第二报告信息和第三报告信息,该三个报告信息包括的采集位置、下一跳信息、业务流起始时间和报文采集时间均不同,但包括的其他内容可能相同。
该转发路径上可能经过一个NAT设备,在NAT设备位于第一端点设备与第一转发设备之间的情况下,当第一报文属于的业务流是上行业务流时,该NAT设备转换第一报文的源地址。第一报告信息包括的源地址与第二报告信息包括的源地址不同,第一报告信息包括的源地址与第三报告信息包括的源地址不同。NAT设备还可能转换第一报文的源端口号,第一报告信息包括的源端口号与第二报告信息包括的源端口号不同,第一报告信息包括的源端口号与第三报告信息包括的源端口号不同。
当第一报文属于的业务流是下行业务流时,该NAT设备转换第一报文的目的地址。第一报告信息包括的目的地址与第二报告信息包括的目的地址不同,第一报告信息包括的目的地址与第三报告信息包括的目的地址不同。NAT设备还可能转换第一报文的目的端口号,第一报告信息包括的目的端口号与第二报告信息包括的目的端口号不同,第一报告信息包括的目的端口号与第三报告信息包括的目的端口号不同。
在第一端点设备与第一转发设备之间不存在NAT设备的情况下,第一报告信息、第二报告信息和第三报告信息包括相同的源地址、源端口号、目的地址和目的端口号。
其中,对于位于第一端点设备和第二端点设备之间的任意一个转发设备,均执行与第一转发设备相同的操作,直至将第一报文转发到第二端点设备。
步骤804:第二端点设备接收第一报文,对第一报文进行采集得到第四报告信息,从第一报文中获取第二报文,向与第二端点设备通信的通信实体发送第二报文。
在步骤804中,第二端点设备通过第五接口接收第一报文,并在第五接口对第一报文进行采集得到第四报告信息。根据第一报文包括的第一报文,恢复出第二报文,确定用于发送第一报文的第六接口,通过第六接口向与第一端点设备通信的通信实体发送第二报文。第五接口和第六接口是第二转发设备上的两个不同接口,第五接口是第二端点设备用于接收该业务流的接口,第六接口是第二端点设备用于发送该业务流的接口。
第二端点设备在第五接口对第一报文进行采集,得到的第四报告信息包括第一报文的序列号,第一信息和该业务流的质量参数信息。第二端点设备在第五接口采集第四报告信息的详细过程,参见上述步骤802中的第一端点设备采集报告信息的过程,在此不再详细说明。
例如,假设第二端点设备在第五接口采集的第四报告信息如表4所示。对于第一报告信息、第二报告信息、第三报告信息和第四报告信息,第四报告信息中的下一路信息、业务流起始时间、报文采集时间和采集装置与其他三个报告信息不同。如下表4所示,第四报告信息中的下一跳信息为第六接口的接口标识IF-ID6,业务流起始时间为T3,报文采集时间为T3,采集位置为第五接口的接口标识IF-ID5。
表4:第四报告信息
对于第三报告信息和第四报告信息,该两个报告信息包括的下一跳信息、采集位置、业务流起始时间和报文采集时间均不同。
该转发路径上可能经过一个NAT设备,在NAT设备位于第二端点设备与第一转发设备之间的情况下,当第一报文属于的业务流是上行业务流时,该NAT设备转换第一报文的源地址。第三报告信息包括的源地址与第四报告信息包括的源地址不同。NAT设备还可能转换第一报文的源端口号,第三报告信息包括的源端口号与第四报告信息包括的源端口号不同。
当第一报文属于的业务流是下行业务流时,该NAT设备转换第一报文的目的地址。第三报告信息包括的目的地址与第四报告信息包括的目的地址不同。NAT设备还可能转换第一报文的目的端口号,第三报告信息包括的目的端口号与第四报告信息包括的目的端口号不同。
在第一端点设备与第一转发设备之间不存在NAT设备的情况下,第三报告信息和第四报告信息包括相同的源地址、源端口号、目的地址和目的端口号。
其中,第一端点设备在发送该业务流的第一个报文后,即在发送第一报文后,还会继续发送该业务流的第二个报文,第三个报文,……。为了便于说明,将该业务流中除第一报文之外的报文称为第三报文,第一端点设备获取第三报文,并按如下步骤发送第三报文。
步骤805:第一端点设备生成第三报文,第三报文的报文头包括IPsec隧道的隧道标识、业务流的流标识信息和第三报文的序号列,第三报文是该业务流是除第一报文之外的其他报文。
第一端点设备接收与第一端点设备通信的通信实体发送的第四报文,生成第三报文,第三报文包括第四报文。其中生成第三报文的过程,与第一端点设备生成第一报文的过程相同,在此不再详细说明。
步骤806:第一端点设备对第三报文进行采集得到第三报文的序列号和报文采集时间,向第一端点设备的下游设备发送第三报文。
第一端点设备在采集到第三报文的序列号和报文采集时间后,更新第一报告信息包括的报文采集时间和质量参数信息。
对于报文采集时间的更新,可以为:第一端点设备将第一报告信息中的报文采集时间更新为当前采集的报文采集时间。
对于质量参数信息的更新,可以为:质量参数信息包括该业务流的丢包报文数目和/或重传报文数目。第一报告信息记录了最近上一次接收报文的序列号。第一端点设备计算第三报文的序列号和第一报告信息记录的序列号之间的差值。其中,由于同一个业务流的各报文中的序列号是连续的,所以在该差值大于1,确定该业务流出现丢包,增加第一报告信息中的丢包报文数目;在该差值小于1,确定第一报文可能是该业务流重传的报文,确定该业务流出现重传,增加第一报告信息中的重传报文数目;在该差值等于1,确定该业务流没有丢包也没有重传报文,这样不用增加第一报告信息中的丢包报文数目和/或重传报文数目。第一端点设备还将第一报告信息中记录的序列号更新为第三报文的序列号。
第一端点设备还可能增加第一报告信息中的报文总数目。
例如,假设第三报文是该业务流的第二个报文,即第三报文的序列号为2,则第一端点设备对第三报文进行采集得到第三报文的序列号为2和报文采集时间为T4。计算第三报文的序列号2与表1中的第一报告信息中的序列号1之间的差值为1,确定该业务流没有丢包也没有重传报文,这样不用增加第一报告信息中的丢包报文数目和/或重传报文数目。第一端点设备将第一报告信息中记录的序列号更新为第三报文的序列号2,将第一报告信息中记录的报文采集时间更新为T4,以及增加第一报告信息中的报文总数目,得到如下表5所示的第一报告信息。
表5:第一报告信息
第一端点设备与第一转发设备之间的路径可能故障或拥塞,导致第三报文可能丢失或可能重传。其中,第一转发设备可能接收不到第三报文,也可能一次或多次接收到第三报文。当第一转发设备接收到第三报文后,可执行如下步骤807的操作。
步骤807:第一转发设备通过第三接口接收第三报文,在第三接口对第三报文进行采集得到第三报文的序列号和第一报文采集时间。
第一报文采集时间是第一转发设备在第三接口采集第三报文的时间。第一转发设备根据第三报文的序列号和第一报文采集时间,更新第二报告信息包括的报文采集时间和质量参数信息。具体更新过程可以参见上述步骤806中更新第一报告信息包括的报文采集时间和质量参数信息的过程,在此不再详细说明。
第一转发设备还可能增加第二报告信息中的报文总数目。
例如,第三报文的序列号为2,第一转发设备在第三接口接收到第三报文时,对第三报文进行采集得到第三报文的序列号为2和报文采集时间为T5。计算第三报文的序列号2与表2中的第二报告信息中的序列号1之间的差值为1,确定该业务流没有丢包也没有重传报文,这样不用增加第二报告信息中的丢包报文数目和/或重传报文数目。第一转发设备将第二报告信息中记录的序列号更新为第三报文的序列号2,将第一报告信息中记录的报文采集时间更新为T5,以及增加第二报告信息中的报文总数目,得到如下表6所示的第二报告信息。
表6:第二报告信息
第一转发设备可能故障或拥塞,导致第三报文可能丢失或可能重传。也就是说,第一转发设备可能不向第四接口输入第三报文,或者向第四接口输入一次或多次第三报文。每当第四接口中被输入第三报文时,执行如下操作。
步骤808:第一转发设备在第四接口对第三报文进行采集得到第三报文的序列号和第二报文采集时间,通过第四接口发送第三报文。
第二报文采集时间是第一转发设备在第四接口采集第三报文的时间。第一转发设备根据第三报文的序列号和第二报文采集时间,更新第三报告信息包括的报文采集时间和质量参数信息。具体更新过程可以参见上述步骤806中更新第一报告信息包括的报文采集时间和质量参数信息的过程,在此不再详细说明。
第一转发设备还可能增加第三报告信息中的报文总数目。
例如,第三报文的序列号为2,第一转发设备在第四接口接收到第三报文时,对第三报文进行采集得到第三报文的序列号为2和报文采集时间为T6。假设第一转发设备的第四接口在当前之前已接收到第三报文,即当前第四接口接收的第三报文是重传的报文,第三报告信息中记录的序列号已为2。此时第一转发设备计算第三报文的序列号2与第三报告信息中的序列号0之间的差值为0,确定该业务流重传报文,这样增加第三报告信息中的重传报文数目。将第一报告信息中记录的报文采集时间更新为T6,以及增加第三报告信息中的报文总数目,得到如下表7所示的第三报告信息。
表7:第二报告信息
第二端点设备与第一转发设备之间的路径可能故障或拥塞,导致第三报文可能丢失或可能重传。其中,第二端点设备可能接收不到第三报文,也可能一次或多次接收到第三报文。当第二端点设备接收到第三报文后,可执行如下步骤809的操作。
步骤809:第二端点设备在第五接口接收第三报文,对第三报文进行采集得到第三报文的序列号和报文采集时间,从第三报文中获取第四报文,向与第二端点设备通信的通信实体发送第四报文。
第二端点设备根据第三报文的序列号和该报文采集时间,更新第四报告信息包括的报文采集时间和质量参数信息。具体更新过程可以参见上述步骤806中更新第一报告信息包括的报文采集时间和质量参数信息的过程,在此不再详细说明。
例如,第三报文的序列号为2,第二端点设备在第五接口接收到第三报文时,对第三报文进行采集得到第三报文的序列号为2和报文采集时间为T7。在步骤808中已说明该第三报文是重传的报文,以及假设第二端点设备的第五接口在当前之前已接收第三报文,即第四报告信息中记录的序列号已为2。此时第二端点设备计算第三报文的序列号2与第四报告信息中的序列号0之间的差值也为0,确定该业务流重传报文,这样增加第四报告信息中的重传报文数目。第二端点设备将第四报告信息中记录的序列号更新为第三报文的序列号2,将第四报告信息中记录的报文采集时间更新为T7,以及增加第四报告信息中的报文总数目,得到如下表8所示的第四报告信息。
表8:第四报告信息
图8所示的实施例可以应用于点对点结构的IPsec隧道。对点对结构的IPsec隧道对应的转发路径可能有多条,当其中一条转发路径故障时,会使用其他转发路径来传输该业务流的报文。在使用其他转发路径来传输该业务流的报文,如果该其他转发设备的某个接口首次得到该业务流的报文,则该其他转发设备同上述第一端点设备、第一转发设备或第二端点设备一样采集报告信息;如果该其他转发设备再次接收到该业务流的报文,就可以同上述第一端点设备、第一转发设备或第二端点设备一样更新报告信息。
图8所示的实施例可以应用于点对多点结构的IPSec隧道,对点对结构的IPsec隧道对应的转发路径有多条,每条转发路径均按上述步骤801至809的操作对业务流的报文进行处理。
参见图10,本申请实施例提供了一种管理隧道的方法,该方法应用图1至7所示的任意一个网络架构,该隧道是该网络架构中的IPsec隧道,包括:
步骤901:转发设备向控制器发送报告信息,该转发设备是IPsec隧道的任一个转发设备,该报文信息包括第一信息和业务流的质量参数信息。
在本步骤中的转发设备可以是图8所示实施例中的第一端点设备、第一转发设备或第二端点设备。
在步骤901中,转发设备检测该报告信息中保存的报文采集时间与当前时间之间的时间差,在时间差超过时间阈值,向控制器发送该报告信息。
其中,该报告信息与转发设备中的一个接口相对应,在时间差超过时间阈值,表示转发设备中的该接口长时间没有得到属于该业务流的报文。导致该现象的原因可能是该业务流已被传输完,或者,用于传输该业务流的转发路径发生改变,改变后的业务流不再经过该转发设备中的该接口。
可选的,该转发设备发送整个报告信息,或者,发送该报告信息中的部分内容,该部分内容包括第一信息和该业务流的质量参数信息。
第一信息包括该IPsec隧道的隧道标识和该转发设备的下一跳信息。可选的,该第一信息还包括业务流的流标识信息。流标识信息包括该业务流的目的地址、目的端口号、源地址、源端口号和协议类型中的一个或多个。
该IPsec隧道上的每个转发设备均可能向控制器发送报告信息。以及,其他IPsec隧道上的每个转发设备也可能向控制器发送报告信息。假设,控制器接收到M个转发设备发送的报告信息,M为大于1的整数。
例如,对于图8所示的实施例中的IPsec隧道上的第一端点设备、第一转发设备和第二端点设备,第一端点设备向控制器发送第一报告信息(例如为如表5所示的第一报告信息),第一转发设备向控制器发送第二报告信息(例如为如表6的第二报告信息)和第三报告信息(例如为如表7所示的第三报告信息),第二端点设备发送第四报告信息(例如为如表8所示的第四报告信息)
步骤902:控制器接收M个转发设备发送的报告信息,根据每个转发设备发送的第一信息,确定该IPsec隧道对应的转发路径上的N个转发设备,N为大于1且小于或等于M的整数。
控制器在接收该M个转发设备的报告信息后,还能够得到该M个转发设备的设备标识。可选的,每个转发设备的报告信息中可以分别包括每个转发设备的设备标识。
在步骤902中,可以通过如下9021至9022的操作来实现,该9021到9022的操作分别为:
9021:对于任一个IPsec隧道,控制器在该M个转发设备中确定发送该IPsec隧道的隧道标识的多个转发设备。
该多个转发设备是该IPsec隧道对应的一条或多条转发路径上的转发设备。
例如,控制器接收第一端点设备发送的如表5所示的第一报告信息,第一转发设备发送的如表6所示的第二报告信息和如表7所示的第三报告信息,第二端点设备发送的如表8所示的第四报告信息。其中,该四个报告信息中的隧道标识均为SPI1,因此可以确定第一端点设备、第一转发设备和第二端点设备是SPI1对应的IPsec隧道对应的一条或多条转发路径上的转发设备。
9022:控制器基于该多个转发设备中的每个转发设备的下一跳信息,确定该IPsec隧道对应的每条转发路径上的转发设备。
可选的,控制器基于该多个转发设备中的每个转发设备的下一跳信息,确定该IPsec隧道对应的拓扑图,该拓扑图中包括该IPsec隧道对应的一条或多条转发路径;从该拓扑图中确定每条转发路径上的转发设备。
可选的,控制器中可能保存有整个网络的网络拓扑图,在每个转发设备的下一跳信息是接口标识的情况下,控制器基于该网络拓扑图和该每个转发设备的下一跳信息,确定该IPsec隧道对应的每条转发路径上的转发设备。
例如,如表5所示的第一报告信息记录的第一端点设备的下一跳信息是第二接口的接口标识IF-ID2,如表6所示的第二报告信息和如表7所述的第三报告信息记录的第一转发设备的下一跳信息是第四接口的接口标识IF-ID4。假设第一转发设备与第二接口通信,第二端点设备与第四接口通信。这样控制器基于网络拓扑图,第一端点设备的下一跳信息IF-ID2和第一转发设备的下一跳信息IF-ID4,确定第一端点设备、第一转发设备和第二端点设备为一条转发路径上的设备。
其中,需要说明的是:在该IPsec隧道是点对点结构,且该IPsec隧道对应的转发路径有多条,如果主转发路径在传输业务流的过程中有故障,这样会使用备转发路径来继续传输业务流。这样在本步骤中控制器就可以确定出主转发路径上的转发设备,以及备转发路径上的转发设备。
在该IPsec隧道是点对多点结构,该IPsec隧道对应的转发路径有多条,这样在本步骤中控制器就可以确定出每条转发路径上的转发设备。
步骤903:控制器根据该N个转发设备发送的质量参数信息,管理该IPsec隧道。
接下来列举了几个管理该IPsec隧道的例子,该几个例子如下。
第一个例子,对于该IPsec隧道对应的任一条转发路径,控制器确定该转发路径是否故障,在确定故障时定位发生故障的位置。
在第一个例子中,可以通过如下9031至9032的操作来实现,该9031至9032的操作分别为:
9031:控制器根据该N个转发设备发送的质量参数信息分别获取该N个转发设备上的业务流状态。
对于该N个转发设备上的每个转发设备,在该转发设备为该转发路径的端点设备的情况下,该转发设备发送一份与该转发路径相对应的报告信息。在该转发设备为该转发路径的非端点设备的情况下,该转发设备发送两份与该转发路径相对应的报告信息。
在该转发设备为该转发路径的端点设备的情况下,该转发设备发送的报告信息可能是在该转发设备的入接口采集的报告信息,或者,可能是在该转发设备的出接口采集的报告信息。控制器获取该转发设备的业务流状态的过程,可以为:
(1-1):控制器根据该报告信息中的业务流类型和采集位置,确定该报告信息是在该转发设备的入接口上采集的报告信息,还是在该转发设备的出接口上采集的报告信息。如果是在该出接口采集的报告信息,执行如下操作(1-2),如果是在该入接口采集的报告信息,执行如下操作(1-3)。
例如,对于第一端点设备发送的如表5所示的第一报告信息,第一报告信息包括的业务流类型为上行业务流,采集位置为第一端点设备的第二接口的接口标识IF-ID2,基于该上行业务流和接口标识IF-ID2,确定第一报告信息为在第一端点设备的出接口采集的报告信息。然后如执行如下(1-2)。
再例如,对于第二端点设备发送的如表8所示的第四报告信息,第四报告信息包括的业务流类型为上行业务流,采集位置为第二端点设备的第五接口的接口标识IF-ID5,基于该上行业务流和接口标识IF-ID5,确定第四报告信息为在第二端点设备的入接口采集的报告信息。然后如执行如下(1-3)。
(1-2):控制器根据该报告信息中的质量参数信息确定该转发设备发送的业务流状态,结束。
在该报告信息中的质量参数信息超过指定阈值时,确定该转发设备发送的业务流状态为故障状态。在该报告信息中的质量参数信息未超过指定阈值时,确定该转发设备发送的业务流状态为正常状态。
可选的,该质量参数信息包括丢包报文数目和重传报文数目,在该丢包报文数目或重传报文数目超过指定阈值时,确定该转发设备发送的业务流状态为故障状态。在该丢包报文数目和重传报文数目均未超过指定阈值时,确定该转发设备发送的业务流状态为正常状态。
例如,假设指定阈值为0,如表5所示的第一报告信息包括的丢包报文数目和重传报文数目均为0,即均未超过指定阈值,确定第一端点设备发送的业务流状态为正常状态。
(1-3):根据该报告信息中的质量参数信息确定该转发设备接收的业务流状态,结束。
在该报告信息中的质量参数信息超过指定阈值时,确定该转发设备接收的业务流状态为故障状态。在该报告信息中的质量参数信息未超过指定阈值时,确定该转发设备接收的业务流状态为正常状态。
可选的,该质量参数信息包括丢包报文数目和重传报文数目,在该丢包报文数目或重传报文数目超过指定阈值时,确定该转发设备接收的业务流状态为故障状态。在该丢包报文数目和重传报文数目均未超过指定阈值时,确定该转发设备接收的业务流状态为正常状态。
例如,如表8所示的第四报告信息包括的丢包报文数目为0,重传报文数目为1,即重传报文数目超过指定阈值,确定第二端点设备接收的业务流状态为故障状态。
在该转发设备为该转发路径的非端点设备的情况下,该转发设备发送的报告信息包括在该转发设备的入接口采集的报告信息和在该转发设备的出接口采集的报告信息,即该转发设备发送两份报告信息。控制器获取该转发设备的业务流状态的过程,可以为:
控制器根据每份报告信息中的业务流类型和采集位置,确定在该转发设备的入接口采集的报告信息和出接口采集的报告信息。根据在出接口采集的报告信息中的质量参数信息,确定转发设备发送的业务流状态。以及,根据在入接口采集的报告信息中的质量参数信息确定该转发设备接收的业务流状态。
可选的,对于在入接口上采集的报告信息,在该报告信息中的质量参数信息超过指定阈值时,确定该转发设备接收的业务流状态为故障状态。在该报告信息中的质量参数信息未超过指定阈值时,确定该转发设备接收的业务流状态为正常状态。
对于在出接口上采集的报告信息,在该报告信息中的质量参数信息超过指定阈值时,确定该转发设备发送的业务流状态为故障状态。在该报告信息中的质量参数信息未超过指定阈值时,确定该转发设备发送的业务流状态为正常状态。
例如,对于第一转发设备发送的如表6所示的第二报告信息和如表7所示的第三报告信息,第二报告信息包括的业务流类型为上行业务流,采集位置为第一转发设备的第三接口的接口标识IF-ID3;第三报告信息包括的业务流类型为上行业务流,采集位置为第一转发设备的第四接口的接口标识IF-ID4。
控制器基于该上行业务流和接口标识IF-ID4,确定第三报告信息为在第一转发设备的出接口采集的报告信息。第四报告信息包括的丢包报文数目为0,重传报文数目为1,即重传报文数目超过指定阈值0,确定第一转发设备发送的业务流状态为故障状态。
9032:控制器基于该N个转发设备中的每个转发设备上的业务流状态,确定IPsec隧道发生的故障以及发生故障的位置。
对于N个转发设备之间任意相邻的两个转发设备,为了便于说明,将该两个转发设备分别称为第二转发设备和第三转发设备,第二转发设备和第三转发设备之间的链路可能是一个直连链路,或者,经过一个或多个具有透传功能的网络设备。
在9032中,控制器在第二转发设备的业务流状态为正常状态和第三转发设备的业务流状态为故障状态的情况下,确定该IPsec隧道发生故障,且发生故障位置为第三转发设备或第二转发设备与第三转发设备之间的链路。
在实现时,在第二转发设备发送的业务流状态为正常状态以及第三转发设备接收的业务流状态为故障状态,确定IPsec隧道的故障位置为第二转发设备和第三转发设备之间的路径;在第三转发设备接收的业务流状态为正常状态以及第三转发设备发送的业务流的状态为故障状态,确定IPsec隧道的故障位置为第三转发设备。
例如,对于图8所示实施例中的第一转发设备,第一转发设备接收的业务流状态为正常状态,但发送的业务流状态为故障状态,确定故障发生位置在第一转发设备上。
第二个例子,在IPsec隧道经过NAT设备的情况下,控制器在第二转发设备发送的业务流的第二信息和第三转发设备发送的业务流的第二信息不同时,确定对业务流进行网络地址转换的NAT设备位于第二转发设备和第三转发设备之间,第二转发设备和第三转发设备是该转发路径上相邻的两个转发设备,第二信息包括该业务流的源地址和/或源端口号,或者,第二信息包括业务流的目的地址和/或目的端口号。
在源端口号为4500或目的端口号为4500的情况下,IPsec隧道经过NAT设备,源端口号、目的端口号为UDP端口号。所以控制器先判断源端口号或目的端口号是否为4500,在为4500的情况下,确定IPsec隧道经过NAT设备。
在第二个例子中,在该业务流是上行业务流,NAT设备转换该业务流的源地址,所以对于该转发路径上相邻的第二转发设备和第三转发设备,在第二转发设备发送的业务流的源地址和第二转发设备发送的业务流的源地址不同时,确定NAT设备位于第二转发设备和第三转发设备之间。
可选的,该NAT设备还可能转换该业务流的源端口号,因此在第二转发设备发送的业务流的源地址和第二转发设备发送的业务流的源地址不同,以及,第二转发设备发送的业务流的源端口号和第二转发设备发送的业务流的源端口不同时,确定NAT设备位于第二转发设备和第三转发设备之间。如此,可以提高确定NAT设备所在位置的精度。
在该业务流是下行业务流,NAT设备转换该业务流的目的地址,所以对于该转发路径上相邻的第二转发设备和第三转发设备,在第二转发设备发送的业务流的目的地址和第二转发设备发送的业务流的目的地址不同时,确定NAT设备位于第二转发设备和第三转发设备之间。
可选的,该NAT设备还可能转换该业务流的目的端口号,因此在第二转发设备发送的业务流的目的地址和第二转发设备发送的业务流的目的地址不同,以及,第二转发设备发送的业务流的目的端口号和第二转发设备发送的业务流的目的端口不同时,确定NAT设备位于第二转发设备和第三转发设备之间。如此,可以提高确定NAT设备所在位置的精度。
控制器对IPsec隧道进行管理的例子,除了上述列举的两种外,还可以有其他的例子。例如,控制器可以显示IPsec隧道上的每个转发设备的报告信息或报告信息中的质量参数信息,或者,显示IPsec隧道对应的转发路径,并在该转发路径上显示故障的位置。
在本申请实施例中,由于IPsec隧道上的转发设备向控制器发送报告信息,该报告信息包括第一信息和IPsec隧道上传输的业务流的质量参数信息,又由于第一信息包括IPsec隧道的隧道标识和该转发设备的用于发送该业务流的下一跳信息,从而使得第一信息用于指示IPsec隧道对应的转发路径。这样控制器根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备。从而可以根据该转发路径上的转发设备发送的质量参数信息,自动管理IPsec隧道,从而可以自动管理IPsec隧道,提高管理效率。例如,根据该转发路径上的各转发设备发送的业务流的质量参数信息,可以确定该转发路径是否发生故障,以及精确地确定故障发生的转发设备或链路,或者,可以精确地确定该转发路径经过的NAT设备的位置等。
参见图11,本申请实施例提供了一种管理隧道的装置1100,所述装置1100可以部署在上述任意实施例提供的控制器上,包括:
接收单元1101,用于接收M个转发设备发送的报告信息,该M个转发设备包括第一转发设备,第一转发设备的报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,第一转发设备是IPsec隧道上的设备,第一信息用于指示IPsec隧道对应的转发路径,M为大于1的整数;
处理单元1102,用于根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备;
处理单元1102,还用于根据该转发路径上的转发设备发送的质量参数信息,管理IPsec隧道。
可选的,处理单元1102确定转发路径上的转发设备的详细过程,可以参见图10所示的实施例的步骤902中的相关内容,在此不再详细说明。
可选的,处理单元1102管理IPsec隧道的详细过程,可以参见图10所示的实施例的步骤903中的相关内容,在此不再详细说明。
可选的,第一转发设备发送的第一信息包括IPsec隧道的隧道标识和第一转发设备的下一跳信息。
可选的,第一转发设备发送的第一信息还包括该业务流的目的地址、源地址和协议类型中的一个或多个。
可选的,IPsec隧道对应的转发路径的数目为一条或多条,
处理单元1102,用于:
在该M个转发设备中确定发送所述隧道标识的多个转发设备;
基于该多个转发设备中的每个转发设备的下一跳信息,确定IPsec隧道对应的每条转发路径上的转发设备。
可选的,处理单元1102确定IPsec隧道对应的每条转发路径上的转发设备的详细过程,可以参见图10所示的实施例的步骤9022中的相关内容,在此不再详细说明。
可选的,处理单元1102,用于:
根据该转发路径上的每个转发设备发送的质量参数信息,分别获取每个转发设备上的业务流状态;
基于每个转发设备上的业务流状态,确定IPsec隧道发生的故障以及发生该故障的位置。
可选的,处理单元1102获取每个转发设备上的业务流状态的详细过程,可以参见图10所示的实施例的步骤9031中的相关内容,在此不再详细说明。
可选的,处理单元1102确定IPsec隧道发生的故障以及发生该故障的位置的详细过程,可以参见图10所示的实施例的步骤9032中的相关内容,在此不再详细说明。
可选的,转发路径上的转发设备包括第二转发设备和第三转发设备,第三转发设备是第二转发设备的下游设备,第二转发设备的业务流状态为正常状态和第三转发设备的业务流状态为故障状态;
处理单元1102,用于:
确定IPsec隧道的故障位置为第三转发设备或第二转发设备与所述第三转发设备之间的链路。
可选的,第一转发设备发送的质量参数信息包括第一质量参数信息和/或第二质量参数信息,第一质量参数信息是在第一转发设备的入接口采集该入接口接收的所述业务流得到的信息,第二质量参数信息是在第一转发设备的出接口采集该出接口发送的所述业务流得到的信息;
处理单元1102,用于:
根据转发设备的第一质量参数信息确定转发设备接收的业务流状态,根据转发设备的第二质量参数信息确定转发设备发送的业务流状态。
可选的,处理单元1102,用于:
在第二转发设备发送的业务流状态为正常状态以及第三转发设备接收的业务流状态为故障状态,确定IPsec隧道的故障位置为第二转发设备和所述第三转发设备之间的路径;
在第三转发设备接收的业务流状态为正常状态以及第三转发设备发送的业务流的状态为故障状态,确定IPsec隧道的故障位置为第三转发设备。
可选的,处理单元1102,用于:
在第二转发设备发送的该业务流的第二信息和第三转发设备发送的该业务流的第二信息不同时,确定对该业务流进行网络地址转换的设备位于第二转发设备和所述第三转发设备之间,该转发路径上的转发设备包括第二转发设备和所述第三转发设备,第二转发设备和第三转发设备相邻,第二信息包括该业务流的源地址和/或源端口号,或者,第二信息包括该业务流的目的地址和/或目的端口号。
可选的,IPsec隧道的质量参数信息包括该业务流的丢包报文数目和重传报文数目中的一个或多个。
在本申请实施例中,由于IPsec隧道上的转发设备向控制器发送报告信息,该报告信息包括第一信息和IPsec隧道上传输的业务流的质量参数信息,又由于第一信息包括IPsec隧道的隧道标识和该转发设备的用于发送该业务流的下一跳信息,从而使得第一信息用于指示IPsec隧道对应的转发路径。这样接收单元可以接收IPsec隧道上的每个转发设备发送的第一信息和业务流的质量参数信息,处理单元根据每个转发设备发送的第一信息,确定IPsec隧道对应的转发路径上的转发设备。进而处理单元可以根据该转发路径上的转发设备发送的质量参数信息,自动管理IPsec隧道,从而可以自动管理IPsec隧道,提高管理效率。例如,根据该转发路径上的各转发设备发送的业务流的质量参数信息,可以确定该转发路径是否发生故障,以及精确地确定故障发生的转发设备或链路,或者,可以精确地确定该转发路径经过的NAT设备的位置等。
参见图12,本申请实施例提供了一种管理隧道的装置1200示意图。该装置1200可以是上述任一实施例中的控制器。该装置1200包括至少一个处理器1201,内部连接1202,存储器1203以及至少一个收发器1204。
该装置1200是一种硬件结构的装置,可以用于实现图11所述的装置1100中的功能模块。例如,本领域技术人员可以想到图11所示的装置1100中的处理单元1102可以通过该至少一个处理器1201调用存储器1203中的代码来实现,图11所示的装置1100中的接收单元1101可以通过该收发器1204来实现。
可选的,该装置1200还可用于实现上述任一实施例中控制器的功能。
可选的,上述处理器1201可以是一个通用中央处理器(central processingunit,CPU),网络处理器(network processor,NP),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
上述内部连接1202可包括一通路,在上述组件之间传送信息。可选的,内部连接1202为单板或总线等。
上述收发器1204,用于与其他设备或通信网络通信。
上述存储器1203可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器1203用于存储执行本申请方案的应用程序代码,并由处理器1201来控制执行。处理器1201用于执行存储器1203中存储的应用程序代码,以及配合至少一个收发器1204,从而使得该装置1200实现本专利方法中的功能。
在具体实现中,作为一种实施例,处理器1201可以包括一个或多个CPU,例如图12中的CPU0和CPU1。
在具体实现中,作为一种实施例,该装置1200可以包括多个处理器,例如图12中的处理器1201和处理器1207。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (21)
1.一种管理隧道的方法,其特征在于,所述方法包括:
控制器接收M个转发设备发送的报告信息,所述M个转发设备包括第一转发设备,所述第一转发设备的报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,所述第一转发设备是所述IPsec隧道上的设备,所述第一信息用于指示所述IPsec隧道对应的转发路径,M为大于1的整数;
所述控制器根据每个转发设备发送的第一信息,确定所述IPsec隧道对应的转发路径上的转发设备;
所述控制器根据所述转发路径上的转发设备发送的质量参数信息,管理所述IPsec隧道。
2.如权利要求1所述的方法,其特征在于,所述第一转发设备发送的第一信息包括所述IPsec隧道的隧道标识和所述第一转发设备的下一跳信息。
3.如权利要求2所述的方法,其特征在于,所述第一转发设备发送的第一信息还包括所述业务流的目的地址、源地址和协议类型中的一个或多个。
4.如权利要求2或3所述的方法,其特征在于,所述IPsec隧道对应的转发路径的数目为一条或多条,
所述控制器根据每个转发设备发送的第一信息,确定所述IPsec隧道对应的转发路径上的转发设备,包括:
所述控制器在所述M个转发设备中确定发送所述隧道标识的多个转发设备;
所述控制器基于所述多个转发设备中的每个转发设备的下一跳信息,确定所述IPsec隧道对应的每条转发路径上的转发设备。
5.如权利要求1至4任一项所述的方法,其特征在于,所述控制器根据所述转发路径上的转发设备发送的质量参数信息,管理所述IPsec隧道,包括:
所述控制器根据所述转发路径上的每个转发设备发送的质量参数信息,分别获取所述每个转发设备上的业务流状态;
所述控制器基于所述每个转发设备上的业务流状态,确定所述IPsec隧道发生的故障以及发生所述故障的位置。
6.如权利要求5所述的方法,其特征在于,所述转发路径上的转发设备包括第二转发设备和第三转发设备,所述第三转发设备是所述第二转发设备的下游设备,所述第二转发设备的业务流状态为正常状态和所述第三转发设备的业务流状态为故障状态;
所述控制器确定发生所述故障的位置,包括:
所述控制器确定所述IPsec隧道的故障位置为所述第三转发设备或所述第二转发设备与所述第三转发设备之间的链路。
7.如权利要求5或6所述的方法,其特征在于,所述第一转发设备发送的质量参数信息包括第一质量参数信息和/或第二质量参数信息,所述第一质量参数信息是在所述第一转发设备的入接口采集所述入接口接收的所述业务流得到的信息,所述第二质量参数信息是在所述第一转发设备的出接口采集所述出接口发送的所述业务流得到的信息;
所述控制器根据所述转发路径上的每个转发设备发送的质量参数信息,分别获取所述每个转发设备上的业务流状态,包括:
所述控制器根据转发设备的第一质量参数信息确定所述转发设备接收的业务流状态,根据所述转发设备的第二质量参数信息确定所述转发设备发送的业务流状态。
8.如权利要求6所述的方法,其特征在于,所述控制器确定发生所述故障的位置,包括:
在所述第二转发设备发送的业务流状态为正常状态以及所述第三转发设备接收的业务流状态为故障状态,确定所述IPsec隧道的故障位置为所述第二转发设备和所述第三转发设备之间的路径;
在所述第三转发设备接收的业务流状态为正常状态以及所述第三转发设备发送的业务流的状态为故障状态,确定所述IPsec隧道的故障位置为所述第三转发设备。
9.如权利要求3所述的方法,其特征在于,所述控制器根据所述转发路径上的转发设备发送的质量参数信息,管理所述IPsec隧道,包括:
在第二转发设备发送的所述业务流的第二信息和第三转发设备发送的所述业务流的第二信息不同时,确定对所述业务流进行网络地址转换的设备位于所述第二转发设备和所述第三转发设备之间,所述转发路径上的转发设备包括所述第二转发设备和所述第三转发设备,所述第二转发设备和所述第三转发设备相邻,所述第二信息包括所述业务流的源地址和/或源端口号,或者,所述第二信息包括所述业务流的目的地址和/或目的端口号。
10.如权利要求1至9任一项所述的方法,其特征在于,所述IPsec隧道的质量参数信息包括所述业务流的丢包报文数目和重传报文数目中的一个或多个。
11.一种管理隧道的装置,其特征在于,所述装置包括:
接收单元,用于接收M个转发设备发送的报告信息,所述M个转发设备包括第一转发设备,所述第一转发设备的报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,所述第一转发设备是所述IPsec隧道上的设备,所述第一信息用于指示所述IPsec隧道对应的转发路径,M为大于1的整数;
处理单元,用于根据每个转发设备发送的第一信息,确定所述IPsec隧道对应的转发路径上的转发设备;
所述处理单元,还用于根据所述转发路径上的转发设备发送的质量参数信息,管理所述IPsec隧道。
12.如权利要求11所述的装置,其特征在于,所述第一转发设备发送的第一信息包括所述IPsec隧道的隧道标识和所述第一转发设备的下一跳信息。
13.如权利要求12所述的装置,其特征在于,所述第一转发设备发送的第一信息还包括所述业务流的目的地址、源地址和协议类型中的一个或多个。
14.如权利要求12或13所述的装置,其特征在于,所述IPsec隧道对应的转发路径的数目为一条或多条,
所述处理单元,用于:
在所述M个转发设备中确定发送所述隧道标识的多个转发设备;
基于所述多个转发设备中的每个转发设备的下一跳信息,确定所述IPsec隧道对应的每条转发路径上的转发设备。
15.如权利要求11至14任一项所述的装置,其特征在于,所述处理单元,用于:
根据所述转发路径上的每个转发设备发送的质量参数信息,分别获取所述每个转发设备上的业务流状态;
基于所述每个转发设备上的业务流状态,确定所述IPsec隧道发生的故障以及发生所述故障的位置。
16.如权利要求15所述的装置,其特征在于,所述转发路径上的转发设备包括第二转发设备和第三转发设备,所述第三转发设备是所述第二转发设备的下游设备,所述第二转发设备的业务流状态为正常状态和所述第三转发设备的业务流状态为故障状态;
所述处理单元,用于:
确定所述IPsec隧道的故障位置为所述第三转发设备或所述第二转发设备与所述第三转发设备之间的链路。
17.如权利要求15或16所述的装置,其特征在于,所述第一转发设备发送的质量参数信息包括第一质量参数信息和/或第二质量参数信息,所述第一质量参数信息是在所述第一转发设备的入接口采集所述入接口接收的所述业务流得到的信息,所述第二质量参数信息是在所述第一转发设备的出接口采集所述出接口发送的所述业务流得到的信息;
所述处理单元,用于:
根据转发设备的第一质量参数信息确定所述转发设备接收的业务流状态,根据所述转发设备的第二质量参数信息确定所述转发设备发送的业务流状态。
18.如权利要求16所述的装置,其特征在于,所述处理单元,用于:
在所述第二转发设备发送的业务流状态为正常状态以及所述第三转发设备接收的业务流状态为故障状态,确定所述IPsec隧道的故障位置为所述第二转发设备和所述第三转发设备之间的路径;
在所述第三转发设备接收的业务流状态为正常状态以及所述第三转发设备发送的业务流的状态为故障状态,确定所述IPsec隧道的故障位置为所述第三转发设备。
19.如权利要求13所述的装置,其特征在于,所述处理单元,用于:
在第二转发设备发送的所述业务流的第二信息和第三转发设备发送的所述业务流的第二信息不同时,确定对所述业务流进行网络地址转换的设备位于所述第二转发设备和所述第三转发设备之间,所述转发路径上的转发设备包括所述第二转发设备和所述第三转发设备,所述第二转发设备和所述第三转发设备相邻,所述第二信息包括所述业务流的源地址和/或源端口号,或者,所述第二信息包括所述业务流的目的地址和/或目的端口号。
20.如权利要求11至19任一项所述的装置,其特征在于,所述IPsec隧道的质量参数信息包括所述业务流的丢包报文数目和重传报文数目中的一个或多个。
21.一种管理隧道的系统,其特征在于,所述系统包括:控制器和M个转发设备,所述M个转发设备包括第一转发设备,M为大于1的整数;
所述第一转发设备,用于发送报告信息,所述报告信息包括第一信息和互联网协议地址安全IPsec隧道上传输的业务流的质量参数信息,所述第一转发设备是所述IPsec隧道上的设备,所述第一信息用于指示所述IPsec隧道对应的转发路径;
所述控制器,用于根据每个转发设备发送的第一信息,确定所述IPsec隧道对应的转发路径上的转发设备;根据所述转发路径上的转发设备发送的质量参数信息,管理所述IPsec隧道。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011385295.0A CN114640482A (zh) | 2020-11-30 | 2020-11-30 | 管理隧道的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011385295.0A CN114640482A (zh) | 2020-11-30 | 2020-11-30 | 管理隧道的方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114640482A true CN114640482A (zh) | 2022-06-17 |
Family
ID=81944820
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011385295.0A Pending CN114640482A (zh) | 2020-11-30 | 2020-11-30 | 管理隧道的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114640482A (zh) |
-
2020
- 2020-11-30 CN CN202011385295.0A patent/CN114640482A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7590756B2 (en) | Method and system for transferring data in a communications network using redundant communication paths | |
CN113411834B (zh) | 报文处理方法、装置、设备及存储介质 | |
US7778204B2 (en) | Automatic maintenance of a distributed source tree (DST) network | |
CN111565073B (zh) | 一种基于5g通信的无线光差同步方法及系统和5g通信模块 | |
US20070165603A1 (en) | Access network system, subscriber station device, and network terminal device | |
CN106576108B (zh) | 通信系统中的通信方法和设备及系统 | |
EP4191966A1 (en) | Method and device for processing data message, storage medium, and electronic device | |
US11463349B2 (en) | Fault diagnosis method and apparatus thereof | |
CN113794618B (zh) | 基于虚拟网卡的冗余网络通信方法、装置及终端设备 | |
US8767736B2 (en) | Communication device, communication method, and recording medium for recording communication program | |
US6999409B2 (en) | OSI tunnel routing method and the apparatus | |
EP4149086A1 (en) | Data sending method, apparatus and system | |
CN113765800A (zh) | 传输报文的方法、装置、系统、设备及可读存储介质 | |
CN116192995A (zh) | 一种报文处理方法、设备及系统 | |
JP4591338B2 (ja) | 通信システム | |
CN114640482A (zh) | 管理隧道的方法、装置及系统 | |
CN111600798B (zh) | 一种发送和获取断言报文的方法和设备 | |
JP2001067291A (ja) | ネットワーク監視方式 | |
WO2023040783A1 (zh) | 获取能力、发送能力信息的方法、装置、系统及存储介质 | |
CN114124753B (zh) | 一种报文发送方法及设备 | |
JP2006050433A (ja) | トラヒック監視装置、通信ネットワークトラヒック監視システム、および監視方法 | |
CN108965126B (zh) | 一种报文转发方法及装置 | |
JP7273130B2 (ja) | 通信方法および装置 | |
CN116032635B (zh) | 一种使用公共网络代替专线网络的数据传输方法及系统 | |
WO2023078144A1 (zh) | 报文处理方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |