CN115037717A - 通信方法、中继节点、分支节点及通信系统 - Google Patents

通信方法、中继节点、分支节点及通信系统 Download PDF

Info

Publication number
CN115037717A
CN115037717A CN202210446477.7A CN202210446477A CN115037717A CN 115037717 A CN115037717 A CN 115037717A CN 202210446477 A CN202210446477 A CN 202210446477A CN 115037717 A CN115037717 A CN 115037717A
Authority
CN
China
Prior art keywords
branch node
tunnel
node
address
branch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210446477.7A
Other languages
English (en)
Inventor
胡益明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Dimiantong Information Network Co ltd
Original Assignee
Shanghai Dimiantong Information Network Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Dimiantong Information Network Co ltd filed Critical Shanghai Dimiantong Information Network Co ltd
Priority to CN202210446477.7A priority Critical patent/CN115037717A/zh
Publication of CN115037717A publication Critical patent/CN115037717A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种通信方法、中继节点、分支节点及通信系统。该方法包括:根据中继节点的静态固定IP地址,以及至少两个分支节点的动态底层IP地址作为下层网络,建立中继节点与至少两个分支节点之间的MGRE隧道;通过中继节点与第一分支节点和第二分支节点之间的MGRE隧道执行以下操作:将第一分支节点的隧道地址转发至第二分支节点;将第二分支节点的隧道地址转发至第一分支节点。上述技术方案利用中继节点的固定地址和分支节点的动态底层IP地址建立MGRE隧道,再由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。

Description

通信方法、中继节点、分支节点及通信系统
技术领域
本发明实施例涉及无线通信技术领域,尤其涉及一种通信方法、中继节点、分支节点及通信系统。
背景技术
多点通信主要指中心站点和分支站点之间的通信,例如,企业的总部和分机机构之间的通信。目前,多点通信主要采用异步传输模式(Asynchronous Transfer Mode,ATM)、多业务传送平台(Multi-Service Transport Platform,MSTP)或多协议标签交换虚拟专网技术(Multi-Protocol Label Switching-Virtual Private Network,MPLS-VPN)技术的产品,这类产品成本较高;新型的数据专线软件定义广域网(Software Defined Wide AreaNetwork,SD-WAN)产品竞争力较强,但其是三层线路,对现有网络架构改造较多,并且需要有固定互联网协议(Internet Protocol,IP)地址的专线,造成使用和管理不便。因此,分支节点间专线通信的成本较高,灵活性差。
发明内容
本发明提供了一种通信方法、中继节点、分支节点及通信系统,以实现分支节点间的点对点专线通信,提高通信的灵活性。
本发明实施例提供了一种通信方法,应用于中继节点,包括:
根据中继节点的静态固定IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址,建立中继节点与至少两个分支节点之间的多点通用路由封装(MultIPointGeneric Routing Encapsulation,MGRE)隧道,所述至少两个分支节点包括第一分支节点和第二分支节点;
通过所述中继节点与所述第一分支节点和所述第二分支节点之间的MGRE隧道执行以下操作:
将所述第一分支节点的隧道地址转发至所述第二分支节点;
将所述第二分支节点的隧道地址转发至所述第一分支节点。
本发明实施例还提供了一种通信方法,应用于第一分支节点,包括:
通过拨号方式获取所述第一分支节点的动态底层IP地址;
根据所述第一分支节点的动态底层IP地址,请求建立所述第一分支节点与中继节点之间的MGRE隧道;
通过所述第一分支节点与中继节点之间的MGRE隧道,向所述中继节点发送所述第一分支节点的隧道地址,并接收所述中继节点转发的第二分支节点的隧道地址;
根据所述第二分支节点的隧道地址建立所述第一分支节点与所述第二分支节点之间的通用路由封装(Generic Routing Encapsulation,GRE)隧道。
本发明实施例还提供了一种通信方法,应用于第二分支节点,包括:
通过拨号方式获取所述第二分支节点的动态底层IP地址;
根据所述第二分支节点的动态底层IP地址,请求建立所述第二分支节点与中继节点之间的多点通用路由封装MGRE隧道;
通过所述第二分支节点与中继节点之间的MGRE隧道,接收所述中继节点转发的所述第一分支节点的隧道地址,并向所述中继节点发送所述第二分支节点的隧道地址;
根据所述第一分支节点的隧道地址建立与所述第一分支节点之间的通用路由封装GRE隧道。
本发明实施例还提供了一种中继节点,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现应用于中继节点的通信方法。
本发明实施例还提供了一种分支节点,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现应用于分支节点的通信方法。
本发明实施例还提供了一种通信系统,包括:如上述的中继节点和至少两个如上述的分支节点。
本发明实施例提供了一种通信方法、中继节点、分支节点及通信系统,方法包括:根据中继节点的静态固定IP地址,以及至少两个分支节点的动态底层IP地址作为下层网络,建立中继节点与至少两个分支节点之间的MGRE隧道,所述至少两个分支节点包括第一分支节点和第二分支节点;通过所述中继节点与所述第一分支节点和所述第二分支节点之间的MGRE隧道执行以下操作:将所述第一分支节点的隧道地址转发至所述第二分支节点;将所述第二分支节点的隧道地址转发至所述第一分支节点。上述技术方案利用中继节点的固定地址和分支节点的动态底层IP地址建立MGRE隧道,再由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。
图1为一实施例提供的一种通信方法的流程图;
图2为一实施例提供的一种基于静态固定IP和动态IP建立虚拟专用网络的示意图;
图3为一实施例提供的一种建立分支节点之间的GRE隧道的流程示意图;
图4为一实施例提供的另一种通信方法的流程图;
图5为一实施例提供的一种建立IPSec隧道的示意图;
图6为一实施例提供的一种通过IPSec隧道对待传输数据加解密的示意图;
图7为一实施例提供的一种对待传输数据进行认证的示意图;
图8为一实施例提供的又一种通信方法的流程图;
图9为一实施例提供的一种通信装置的结构示意图;
图10为一实施例提供的另一种通信装置的结构示意图;
图11为一实施例提供的又一种通信装置的结构示意图;
图12为一实施例提供的一种中继节点的硬件结构示意图;
图13为一实施例提供的一种分支节点的硬件结构示意图;
图14为一实施例提供的一种通信系统的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
需要注意,本发明实施例中提及的“第一”、“第二”等概念仅用于对不同的装置、模块、单元或其他对象进行区分,并非用于限定这些装置、模块、单元或其他对象所执行的功能的顺序或者相互依存关系。
图1为一实施例提供的一种通信方法的流程图,本实施例可适用于通过中继节点实现分支节点之间的通信的情况。具体的,该通信方法可以由通信装置执行,该通信装置可以通过软件和/或硬件的方式实现,并集成在中继节点中。
如图1所示,该方法具体包括如下步骤:
S110、根据中继节点的静态固定互联网协议IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址作为下层(Underlay)网络,建立中继节点与至少两个分支节点之间的MGRE隧道,至少两个分支节点包括第一分支节点和第二分支节点。
本实施例中,中继节点(HUB)可位于数据中心机房,可以设置固定IP地址或域名,分支节点采用相同运营商的无固定IP的宽带拨号网络,通过基于基于以太网的点对点通讯协议(Point-to-Point Protocol Over Ethernet,PPPOE)拨号获取动态底层IP地址,可利用下一跳解析协议(Next Hop Resolution Protocol,NHRP)连接到中继节点上。其中,分支节点的动态底层IP地址可能会定期改变,例如断线或者节点设备重启等都可能导致底层IP发生变更、分支节点的通信中断。对于分支节点而言,采用这种动态IP能够节约大量的IP地址资源、降低成本,在运营商中得到广泛的部署和普及。
GRE是一种点到点的简单虚拟专网(Virtual Private Network,VPN)隧道,MGRE即多点GRE,是一种总分结构的多点VPN。MGRE的中心为中继节点,作为NHRP的服务端,分支节点作为客户端,分支节点也称作客户端设备或用户端设备(Customer Premise Equipment,CPE)。
第一分支节点(CPE1)主要指代地址解析请求端,其可以请求其他分支节点解析自身的隧道(Tunnel)地址;第二分支节点(CPE2)主要指代地址解析应答端,其可以应答请求端的地址解析请求。需要说明的是,通信系统中的任意一个分支节点都可以作为请求端,也可以作为应答端。
本实施例采用中继节点的静态固定IP进行注册以达到分支节点交互的目的。中继节点广域网(Wide Area Network,SD-WAN)接口配置静态固定的IP地址(如10.10.10.10),分支节点CPE1节点的WAN接口从运营商通过拨号器(Dialer)拨号的方式自动获取动态底层IP地址(如1.1.1.1),分支节点CPE2节点的WAN接口从运营商通过Dialer拨号方式自动获取动态底层IP地址(如2.2.2.2),中继节点可通过获取各分支节点的动态底层IP地址,从而生成NHRP映射表,建立与各分支节点的MGRE隧道。
S120、将第一分支节点的隧道地址转发至第二分支节点。
S130、将第二分支节点的隧道地址转发至第一分支节点。
具体的,中继节点利用与各分支节点之间的MGRE隧道,可以交换各分支节点的隧道地址,例如,通过交换第一分支节点和第二分支节点的隧道地址,供第一分支节点和第二分支节点建立点到点的GRE隧道。在此基础上,第一分支节点和第二分支节点可建立点对点的专线通信,可以传输待传输数据(即用户数据),而无需经过中继节点的转发。
在一实施例中,中继节点至少为两个,其中一个中继节点为常用中继节点或主中继节点,其他中继节点为备用中继节点,从而提供冗余方案:在常用中继节点无法正常工作时,备用中继节点可以代替其工作,例如交换分支节点的隧道地址和管理NHRP映射表等。
本发明实施例一提供的一种通信方法,是一种基于动态链路和中继节点的点到点数据专线传输方案,通过利用中继节点的固定地址和分支节点的动态底层IP地址建立MGRE隧道,再由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
图2为一实施例提供的一种基于静态固定IP和动态IP建立虚拟专用网络的示意图。如图2所示,通过引入中继节点,分别将分支节点1和分支节点2和中继节点建立虚拟网络连接。
具体的,中继节点(Hub)WAN接口配置静态固定IP(10.10.10.10),分支节点(CPE1)的WAN接口从运营商通过拨号自动获取底层IP(1.1.1.1),分支节点(CPE2)的WAN接口从运营商通过拨号自动获取底层IP(2.2.2.2)。这三个IP地址是公共网络IP,因此能够通过运营商广域网建立通信关系。
在此基础上,建立两个分支节点与中继节点之间的MGRE隧道。中继节点的隧道地址配置为192.168.181.0/24,此地址为MGRE隧道的内层地址(Inner Address),可以由用户自定义;中继节点的MGRE接口IP地址定义为192.168.181.1/24。
两个分支节点的隧道地址分别配置为192.168.181.2和192.168.181.3。通过NHRP协议建立多点范围隧道后,两个分支节点之间可直接通信,分支节点1的隧道地址和分支节点2的隧道地址可相互Ping通。图2中,CPE1的IP地址192.168.100.1/30和CPE2的IP地址192.168.100.2/30是基于底层的MGRE隧道,重新建立的GRE方式,即GRE隧道的内层地址,封装在MGRE包头中。
在一实施例中,根据中继节点的静态固定互联网协议IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址,建立中继节点与至少两个分支节点之间的MGRE隧道,包括:
步骤112:接收各分支节点的注册请求报文,注册请求报文中包含相应分支节点通过拨号方式获取的动态底层IP地址;
步骤114:根据各分支节点的动态底层IP地址生成NHRP映射表;
步骤116:根据NHRP映射表建立中继节点与各分支节点之间的MGRE隧道。
具体的,管理员在各分支节点上配置中继节点的隧道地址以后,分支节点可定时向中继节点发送注册请求报文,注册请求报文中包含相应分支节点的动态底层IP地址;然后,中继节点可应答各分支节点的注册请求报文,从注册请求报文中提取相应分支节点的动态底层IP地址并生成NHRP映射表,进而建立分支节点者之间的MGRE隧道。
在一实施例中,将第一分支节点的隧道地址转发至第二分支节点,包括:
接收第一分支节点的地址解析请求报文,地址解析请求报文中包含第一分支节点的隧道地址;将地址解析请求报文转发至第二分支节点。
在一实施例中,将第二分支节点的隧道地址转发至第一分支节点,包括:
接收第二分支节点的地址解析应答报文,地址解析应答报文中包含第二分支节点的隧道地址;将地址解析请求报文转发至第二分支节点。
具体的,中继节点收到第一分支节点的地址解析请求报文后可转发给第二分支节点进行处理;第二分支节点收到地址解析请求报文后,从地址解析请求报文中提取第一分支节点的隧道地址,并将该信息更新到自己的NHRP映射表中,然后可构建并通过中继节点向第一分支节点发送地址解析应答报文,其中携带了第二分支节点的隧道地址;第一分支节点收到地址解析应答报文后,从中提取第二分支节点的隧道地址,更新到自己的NHRP映射表中,第一分支节点与第二分支节点之间的动态MGRE隧道随即建立。
图3为一实施例提供的一种建立分支节点之间的GRE隧道的流程示意图。如图3所示,HubWAN接口配置静态固定IP,CPE1和CPE2分别通过拨号获取动态底层IP地址,并携带在注册请求报文中;Hub根据CPE1和CPE2发送的注册请求报文生成NHRP映射表,建立MGRE隧道;然后通过地址解析请求报文和地址解析应答报文交换CPE1和CPE2的隧道地址,在此过程中,CPE1和CPE2分别将对方的隧道地址更新到自己的NHRP映射表中,据此建立GRE隧道。
图4为一实施例提供的另一种通信方法的流程图。本实施例可适用于通过中继节点实现分支节点之间的通信的情况。具体的,该通信方法可以由分支节点(地址解析请求端)执行,该通信装置可以通过软件和/或硬件的方式实现,并集成在分支节点中。需要说明的是,未在本实施例中详尽描述的技术细节可参见上述任意实施例。
如图4所示,该方法具体包括如下步骤:
S210、通过拨号方式获取第一分支节点的动态底层IP地址。
S220、根据第一分支节点的动态底层IP地址,请求建立第一分支节点与中继节点之间的MGRE隧道。
S230、通过第一分支节点与中继节点之间的MGRE隧道,向中继节点发送第一分支节点的隧道地址,并接收中继节点转发的第二分支节点的隧道地址。
S240、根据第二分支节点的隧道地址建立第一分支节点与第二分支节点之间的GRE隧道。
本实施例提供的一种通信方法,是一种基于动态链路和中继节点的点到点数据专线传输方案,分支节点首先拨号获取动态底层IP地址,然后与中继节点建立MGRE隧道,从而通过中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
在一实施例中,根据第一分支节点的动态底层IP地址,请求建立第一分支节点与中继节点之间的MGRE隧道,包括:向中继节点发送注册请求报文,注册请求报文中包含第一分支节点的动态底层IP地址。
在一实施例中,向中继节点发送第一分支节点的隧道地址,包括:
向中继节点发送地址解析请求报文,地址解析请求报文中包含第一分支节点的隧道地址。
在一实施例中,接收中继节点转发的第二分支节点的隧道地址,包括:
接收中继节点转发的第二分支节点的地址解析应答报文,地址解析应答报文中包含第二分支节点的隧道地址。
在一实施例中,根据第二分支节点的隧道地址建立第一分支节点与第二分支节点之间的GRE隧道,包括:
从地址解析应答报文中提取第二分支节点的隧道地址,并更新到第一分支节点的NHRP映射表中。
在一实施例中,该方法还包括:
步骤250:将局域网(Local Area Network,LAN)端口与GRE隧道的接口绑定;
步骤260:通过互联网安全协议(Internet Protocol Security,IPSec)虚拟隧道接口建立第一分支节点与第二分支节点之间的IPSec隧道。
以图2为例,CPE1和CPE2建立连接后,在基于CPE1和CPE2作为Underlay网络的基础上,再次建立隧道封装GRE协议,CPE1的用户交换机和CPE1设备LAN口互联,并在CPE1上将LAN口和GRE绑定,LAN网络的以太网协议封装进入GRE隧道中,用户LAN局域网IP地址定义为192.168.1.0/24;CPE2的用户交换机和CPE2设备LAN口互联,用户LAN局域网IP地址定义为192.168.1.0/24,最后将CPE的LAN端口绑定到GRE接口,将用户的以太网数据封装到GRE协议中传送。在此基础上,建立了一条端到端的二层数据链路通道,建立可靠的安全通信场景,使得用户分支站点之间的个人计算机(Personal Computer,PC)及服务器都在一个二层网络中。
图5为一实施例提供的一种建立IPSec隧道的示意图。如图5所示,通过IPSec虚拟隧道接口建立IPSec隧道,将所有路由到IPSec虚拟隧道接口的报文都进行IPSec保护,根据该路由的目的地址确定哪些数据流需要IPSec保护,其中IPSec虚拟隧道接口是一种三层逻辑接口。GRE隧道封装到IPSec协议中,利用了GRE隧道和IPSec协议的优势,通过GRE将组播、广播、非IP报文封装成普通的IP报文,通过IPSec为封装后的IP数据报文提供安全的通信,先进行GRE封装,再进行IPSec封装,保证用户的数据报文在公网中传输不被窃取。该路由方式还具有以下优点:通过路由将需要IPSec保护的数据流引到虚拟隧道接口,不需使用访问控制列表(Access Control Lists,ACL)定义待加/解密的流量特征,简化了IPSec配置的复杂性;支持动态路由协议;通过GRE over IPSec支持对组播流量的保护。
在一实施例中,第一分支节点作为待传输数据的发送端,该方法还包括:
步骤2710:使用对称密钥对待传输数据进行加密;
步骤2720:使用公钥对对称密钥进行加密;
步骤2730:通过IPSec隧道将加密后的对称密钥发送至第二分支节点,并将加密后的待传输数据发送至第二分支节点。
在一实施例中,第一分支节点作为待传输数据的接收端,方法还包括:
步骤2810:通过IPSec隧道接收加密后的对称密钥,以及加密后的待传输数据;
步骤2820:使用私钥对加密后的对称密钥进行解密,得到对称密钥;
步骤2830:使用对称密钥对加密后的待传输数据进行解密,得到待传输数据。
本实施例中,分支节点之间基于IPSec隧道可传输待传输数据,每个分支节点可以是待传输数据的发送端,也可以是接收端。通过采用GRE over IPSec加密思路,结合对称加密和非对称加密:将待传输数据加解密所用的对称密钥,使用非对称算法进行加密并传递;而待传输数据通过交换后的对称密码加解密。具体的,通过对待传输数据进行加密,可以避免数据在传输时被读取,具体采用对称加密的方式,即发送端和接收端使用相同的密钥(对称密钥)进行加密或解密,这种方式可以保证数据传输效率。此外,在发送端和接收端互相交换对称密钥时,为降低被窃取的风险,使用非对称加密的方式,即发送端使用公钥对对称密钥进行加密、接收端使用私钥对对称密钥进行解密,从而提高交换过程的安全性。
图6为一实施例提供的一种通过IPSec隧道对待传输数据加解密的示意图。如图6所示,通过GRE over IPSec方案,将GRE包头封装的用户数据(即待传输数据)报文,通过IPSec安全隧道加密,确保数据可靠性,安全传送到对端节点,再由对端节点解密,形成一个端到端的加密隧道。
在一实施例中,第一分支节点作为待传输数据的发送端,该方法还包括:
根据待传输数据计算得到第一哈希值,第一哈希值携带在待传输数据中并通过IPSec隧道发送至第二分支节点。
在一实施例中,第一分支节点作为待传输数据的接收端,该方法还包括:
根据通过IPSec隧道接收到的待传输数据计算得到第二哈希值;
将第二哈希值与待传输数据中携带的第一哈希值进行比对,得到数据认证结果。
本实施例中,利用哈希(Hash)算法对带传输数据进行数据认证,主要目的是确认数据是否被篡改。每个分支节点可以是待传输数据的发送端,也可以是接收端。发送端数据通过Hash算法计算出一个唯一的Hash值,该Hash值携带在带传输数据中发送给接收端,接收端针对接收到的待传输数据重新计算得到Hash值,将此Hash值与待传输数据中携带的Hash值进行比对,如果两个Hash值一致则说明待传输数据没有被篡改。
图7为一实施例提供的一种对待传输数据进行认证的示意图。如图7所示,RT1为发送端,例如可以是第一分支节点,RT2为接收端,例如可以是第二分支节点,RT1计算得到第一哈希值(即Hash值A),携带在待传输数据中发送给RT2,RT2计算得到第二哈希值(即Hash值B),并将第一哈希值与第二哈希值进行比对,完成数据认证,从而进一步提高数据传输的安全性和可靠性。
本实施例的通信方法,整体采用Userdata over Ethernet over GRE over IPSECover MGRE over PPPoE的体系架构。用户服务器报文数据到达CPE1后,首先封装到Ethernet以太网报文中,然后经过CPE1设备处理后,进入GRE隧道,在GRE隧道的基础上再进行IPSEC加密认证保护,最后封装到MGRE报文中,MGRE报文再通过CPE1的WAN接口光纤链路,到达运营商的广域网或城域网,到达对端CPE2后,依次解封装,最后变成用户报文数据到达CPE2的用户服务器上。该架构是在传统三层VPN架构基础上建立的二层透明以太网网络,支持开放式最短路径优先,(Open Shortest Path First,OSPF)和边界网关协议(BorderGateway Protocol,BGP)、生成树协议(Spanning Tree Protocol,STP)、链路汇聚控制协议(Link Aggregation Control Protocol,LACP)穿透,同时也能够透传虚拟局域网(VirtualLocal Area Network,VLAN)和IEEE 802.1q协议,使得用户获得和多业务传送平台(Multi-Service Transport Platform,MSTP)透明数字电路一样的服务质量和可靠性,但是成本较低、开通周期短,同时又具备IPsec加密协议保护,可靠性和安全性更高。
图8为一实施例提供的又一种通信方法的流程图。本实施例可适用于通过中继节点实现分支节点之间的通信的情况。具体的,该通信方法可以由分支节点(地址解析应答端)执行,该通信装置可以通过软件和/或硬件的方式实现,并集成在分支节点中。需要说明的是,未在本实施例中详尽描述的技术细节可参见上述任意实施例。
如图8所示,该方法具体包括如下步骤:
S310、通过拨号方式获取第二分支节点的动态底层IP地址;
S320、根据第二分支节点的动态底层IP地址,请求建立第二分支节点与中继节点之间的MGRE隧道。
S330、通过第二分支节点与中继节点之间的MGRE隧道,接收中继节点转发的第一分支节点的隧道地址,并向中继节点发送第二分支节点的隧道地址
S340、根据第一分支节点的隧道地址建立与第一分支节点之间的GRE隧道。
本实施例的方法提供的一种通信方法,是一种基于动态链路和中继节点的点到点数据专线传输方案,分支节点首先拨号获取动态底层IP地址,据此与中继节点建立MGRE隧道,从而通过中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
在一实施例中,根据第二分支节点的动态底层IP地址,请求建立第二分支节点与中继节点之间的MGRE隧道,包括:向中继节点发送注册请求报文,注册请求报文中包含第二分支节点的动态底层IP地址。
在一实施例中,接收中继节点转发的第一分支节点的隧道地址,包括:
接收中继节点转发的第一分支节点的地址解析请求报文,地址解析请求报文中包含第一分支节点的隧道地址。
在一实施例中,根据第一分支节点的隧道地址建立与第一分支节点之间的GRE隧道,包括:
从地址解析请求报文中提取第一分支节点的隧道地址,并更新到第二分支节点的NHRP映射表中。
在一实施例中,向中继节点发送第二分支节点的隧道地址,包括:
向中继节点发送第二分支节点的地址解析应答报文,地址解析应答报文中包含第二分支节点的隧道地址。
在一实施例中,还包括:
将局域网LAN端口与GRE隧道的接口绑定。
通过IPSec虚拟隧道接口建立第一分支节点与第二分支节点之间的IPSec隧道。
在一实施例中,第二分支节点作为待传输数据的发送端,方法还包括:
使用对称密钥对待传输数据进行加密;
使用公钥对对称密钥进行加密;
通过IPSec隧道将加密后的对称密钥发送至第一分支节点,并将加密后的待传输数据发送至第一分支节点。
在一实施例中,第二分支节点作为待传输数据的接收端,方法还包括:
通过IPSec隧道接收加密后的对称密钥,以及加密后的待传输数据;
使用私钥对加密后的对称密钥进行解密,得到对称密钥;
使用对称密钥对加密后的待传输数据进行解密,得到待传输数据。
在一实施例中,第二分支节点作为待传输数据的发送端,方法还包括:
根据待传输数据计算得到第一哈希值,第一哈希值携带在待传输数据中并通过IPSec隧道发送至第一分支节点。
在一实施例中,其特征在于,第二分支节点作为待传输数据的接收端,方法还包括:
根据通过IPSec隧道接收到的待传输数据计算得到第二哈希值;
将第二哈希值与待传输数据中携带的第一哈希值进行比对,得到数据认证结果。
图9为一实施例提供的一种通信装置的结构示意图。如图9所示,本实施例提供的通信装置包括:
建立模块410,设置为根据中继节点的静态固定IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址作为下层网络,建立所述中继节点与各所述分支节点之间的MGRE隧道,所述至少两个分支节点包括第一分支节点和第二分支节点;
第一转发模块420,设置为通过所述中继节点与所述第一分支节点和所述第二分支节点之间的MGRE隧道,将所述第一分支节点的隧道地址转发至所述第二分支节点;
第二转发模块430,设置为通过所述中继节点与所述第一分支节点和所述第二分支节点之间的MGRE隧道,将所述第二分支节点的隧道地址转发至所述第一分支节点。
本发明实施例三提供的一种通信装置,利用中继节点的固定地址和分支节点的动态底层IP地址建立MGRE隧道,再由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
在上述实施例的基础上,建立模块410包括:
注册单元,设置为接收各所述分支节点的注册请求报文,所述注册请求报文中包含相应分支节点的动态底层IP地址;
生成单元,设置为根据各所述分支节点的动态底层IP地址生成NHRP映射表;
建立单元,设置为根据所述NHRP映射表建立所述中继节点与各所述分支节点之间的MGRE隧道。
在上述实施例的基础上,第一转发模块420,设置为:
接收所述第一分支节点的地址解析请求报文,所述地址解析请求报文中包含所述第一分支节点的隧道地址;
将所述地址解析请求报文转发至所述第二分支节点。
在上述实施例的基础上,第二转发模块430,设置为:
接收所述第二分支节点的地址解析应答报文,所述地址解析应答报文中包含所述第二分支节点的隧道地址;将所述地址解析请求报文转发至所述第二分支节点。
本实施例提供的通信装置可以用于执行上述任意实施例提供的应用于中继节点的通信方法,具备相应的功能和有益效果。
图10为一实施例提供的一种另通信装置的结构示意图。如图10所示,本实施例提供的通信装置包括:
第一拨号模块510,设置为通过拨号方式获取所述第一分支节点的动态底层IP地址;
第一请求模块520,设置为根据所述第一分支节点的动态底层IP地址,请求建立所述第一分支节点与中继节点之间的MGRE隧道;
第一信息收发模块530,设置为向所述中继节点发送所述第一分支节点的隧道地址,并接收所述中继节点转发的第二分支节点的隧道地址;
第一建立模块540,设置为根据所述第二分支节点的隧道地址建立所述第一分支节点与所述第二分支节点之间的GRE隧道。
本实施例提供的一种通信装置,分支节点首先拨号获取动态底层IP地址,然后与中继节点建立MGRE隧道,由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
在上述实施例的基础上,第一请求模块520,设置为向所述中继节点发送注册请求报文,所述注册请求报文中包含所述第一分支节点的动态底层IP地址。
在上述实施例的基础上,第一信息收发模块530,包括:
第一发送单元,设置为向所述中继节点发送地址解析请求报文,所述地址解析请求报文中包含所述第一分支节点的隧道地址。
在上述实施例的基础上,第一信息收发模块530,包括:
第一接收单元,设置为接收所述中继节点转发的所述第二分支节点的地址解析应答报文,所述地址解析应答报文中包含所述第二分支节点的隧道地址。
在上述实施例的基础上,第一建立模块540,设置为:
从所述地址解析应答报文中提取所述第二分支节点的隧道地址,并更新到所述第一分支节点的NHRP映射表中。
在上述实施例的基础上,该装置还包括:
第一绑定模块,设置为将局域网LAN端口与所述GRE隧道的接口绑定;
第一安全隧道建立模块,设置为通过IPSec虚拟隧道接口建立所述第一分支节点与所述第二分支节点之间的IPSec隧道。
在上述实施例的基础上,该装置应用于待传输数据的发送端,该装置还包括:
第一数据加密模块,设置为使用对称密钥对待传输数据进行加密;
第一密钥加密模块,设置为使用公钥对所述对称密钥进行加密;
第一安全发送模块,设置为通过所述IPSec隧道将加密后的对称密钥发送至所述第二分支节点,并将加密后的待传输数据发送至所述第二分支节点。
在上述实施例的基础上,该装置应用于待传输数据的接收端,该装置还包括:
第一安全接收模块,设置为通过所述IPSec隧道接收加密后的对称密钥,以及加密后的待传输数据;
第一密钥解密模块,设置为使用私钥对所述加密后的对称密钥进行解密,得到所述对称密钥;
第一数据解密模块,设置为使用所述对称密钥对所述加密后的待传输数据进行解密,得到所述待传输数据。
在上述实施例的基础上,该装置应用于待传输数据的发送端,该装置还包括:
第一计算模块,设置为根据所述待传输数据计算得到第一哈希值,所述第一哈希值携带在所述待传输数据中并通过IPSec隧道发送至第二分支节点。
在上述实施例的基础上,该装置应用于待传输数据的接收端,该装置还包括:
第二计算模块,设置为根据通过IPSec隧道接收到的待传输数据计算得到第二哈希值;
第一比对模块,设置为将所述第二哈希值与所述待传输数据中携带的第一哈希值进行比对,得到数据认证结果。
本实施例提供的通信装置可以用于执行上述任意实施例提供的应用于第一分支节点的通信方法,具备相应的功能和有益效果。
图11为一实施例提供的又一种通信装置的结构示意图。如图11所示,本实施例提供的通信装置包括:
第二拨号模块610,设置为通过拨号方式获取所述第二分支节点的动态底层IP地址;
第二请求模块620,设置为根据所述第二分支节点的动态底层IP地址,请求建立所述第二分支节点与中继节点之间的MGRE隧道;
第二信息收发模块630,设置为接收所述中继节点转发的所述第一分支节点的隧道地址,并向所述中继节点发送所述第二分支节点的隧道地址;
第二建立模块640,设置为根据所述第一分支节点的隧道地址建立与所述第一分支节点之间的MGRE隧道。
本实施例提供的一种通信装置,分支节点首先拨号获取动态底层IP地址,然后与中继节点建立MGRE隧道,由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
在上述实施例的基础上,第二请求模块620,设置为向所述中继节点发送注册请求报文,所述注册请求报文中包含所述第二分支节点的动态底层IP地址。
在上述实施例的基础上,第二信息收发模块630,包括:
第二接收单元,设置为接收所述中继节点转发的所述第一分支节点的地址解析请求报文,所述地址解析请求报文中包含所述第一分支节点的隧道地址。
在上述实施例的基础上,第二建立模块640,设置为从所述地址解析请求报文中提取所述第一分支节点的隧道地址,并更新到所述第二分支节点的NHRP映射表中。
在上述实施例的基础上,第二信息收发模块630,包括:
第二发送单元,设置为向所述中继节点发送所述第二分支节点的地址解析应答报文,所述地址解析应答报文中包含所述第二分支节点的隧道地址。
在上述实施例的基础上,该装置还包括:
第二绑定模块,设置为将局域网LAN端口与所述GRE隧道的接口绑定;
第二安全隧道建立模块,设置为通过IPSec虚拟隧道接口建立所述第一分支节点与所述第二分支节点之间的IPSec隧道。
在上述实施例的基础上,该装置应用于待传输数据的发送端,该装置还包括:
第二数据加密模块,设置为使用对称密钥对待传输数据进行加密;
第二密钥加密模块,设置为使用公钥对所述对称密钥进行加密;
第二安全发送模块,设置为通过所述IPSec隧道将加密后的对称密钥发送至所述第一分支节点,并将加密后的待传输数据发送至所述第一分支节点。
在上述实施例的基础上,该装置应用于待传输数据的接收端,该装置还包括:
第二安全接收模块,设置为通过所述IPSec隧道接收加密后的对称密钥,以及加密后的待传输数据;
第二密钥解密模块,设置为使用私钥对所述加密后的对称密钥进行解密,得到所述对称密钥;
第二数据解密模块,设置为使用所述对称密钥对所述加密后的待传输数据进行解密,得到所述待传输数据。
在上述实施例的基础上,该装置应用于待传输数据的发送端,该装置还包括:
第三计算模块,设置为根据所述待传输数据计算得到第一哈希值,所述第一哈希值携带在所述待传输数据中并通过IPSec隧道发送至第一分支节点。
在上述实施例的基础上,该装置应用于待传输数据的接收端,该装置还包括:
第四计算模块,设置为根据通过IPSec隧道接收到的待传输数据计算得到第二哈希值;
第二比对模块,设置为将所述第二哈希值与所述待传输数据中携带的第一哈希值进行比对,得到数据认证结果。
本实施例提供的通信装置可以用于执行上述任意实施例提供的应用于第二分支节点的通信方法,具备相应的功能和有益效果。
图12为一实施例提供的一种中继节点的硬件结构示意图。如图12所示,本申请提供的中继节点,包括存储装置720、处理器710以及存储在存储装置上并可在处理器上运行的计算机程序,处理器710执行所述程序时实现上述的通信方法。
中继节点还可以包括存储装置720;该中继节点中的处理器710可以是一个或多个,图12中以一个处理器710为例;存储装置720用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器710执行,使得所述一个或多个处理器710实现如本申请实施例中所述的通信方法。
中继节点还包括:通信装置730、输入装置740和输出装置750。
中继节点中的处理器710、存储装置720、通信装置730、输入装置740和输出装置750可以通过总线或其他方式连接,图12中以通过总线连接为例。
输入装置740可用于接收输入的数字或字符信息,以及产生与中继节点的用户设置以及功能控制有关的按键信号输入。输出装置750可包括显示屏等显示设备。
通信装置730可以包括接收器和发送器。通信装置730设置为根据处理器710的控制进行信息收发通信。
存储装置720作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请实施例所述通信方法对应的程序指令/模块(例如,通信装置中的建立模块410、第一转发模块420以及第二转发模块430)。存储装置720可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据中继节点的使用所创建的数据等。此外,存储装置720可以包括高速随机存取存储装置,还可以包括非易失性存储装置,例如至少一个磁盘存储装置件、闪存器件、或其他非易失性固态存储装置件。在一些实例中,存储装置720可进一步包括相对于处理器710远程设置的存储装置,这些远程存储装置可以通过网络连接至中继节点。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
图13为一实施例提供的一种分支节点的硬件结构示意图。如图13所示,本申请提供的分支节点,包括存储装置820、处理器810以及存储在存储装置上并可在处理器上运行的计算机程序,处理器810执行所述程序时实现上述的通信方法。
分支节点还可以包括存储装置820;该分支节点中的处理器810可以是一个或多个,图13中以一个处理器810为例;存储装置820用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器810执行,使得所述一个或多个处理器810实现如本申请实施例中所述的通信方法。
分支节点还包括:通信装置830、输入装置840和输出装置850。
分支节点中的处理器810、存储装置820、通信装置830、输入装置840和输出装置850可以通过总线或其他方式连接,图13中以通过总线连接为例。
输入装置840可用于接收输入的数字或字符信息,以及产生与分支节点的用户设置以及功能控制有关的按键信号输入。输出装置850可包括显示屏等显示设备。
通信装置830可以包括接收器和发送器。通信装置830设置为根据处理器810的控制进行信息收发通信。
存储装置820作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请实施例所述通信方法对应的程序指令/模块(例如,通信装置中的第一请求模块510、第一信息收发模块520和第一建立模块530)。存储装置820可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据分支节点的使用所创建的数据等。此外,存储装置820可以包括高速随机存取存储装置,还可以包括非易失性存储装置,例如至少一个磁盘存储装置件、闪存器件、或其他非易失性固态存储装置件。在一些实例中,存储装置820可进一步包括相对于处理器810远程设置的存储装置,这些远程存储装置可以通过网络连接至分支节点。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本发明实施例还提供了一种通信系统。图14为一实施例提供的一种通信系统的结构示意图。如图14所示,该系统包括:如上述任意实施例所述的中继节点910,以及至少两个如上述任意实施例所述的分支节点920。
本实施例的通信系统,提供了一种基于动态链路和中继节点的点到点数据专线传输方案,利用中继节点的固定地址和分支节点的动态底层IP地址建立MGRE隧道,再由中继节点交换分支节点的隧道地址,基于二层链路和无固定IP的拨号网络即可实现分支节点间的点对点专线通信,提高了通信的灵活性,也降低了成本。
本实施例提供的一种通信系统可以用于实现上述任意实施例提供的通信方法,具备相应的功能和有益效果。需要说明的是,未在本实施例中详尽描述的技术细节,可参见上述任意实施例。
在上述实施例的基础上,本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被通信装置执行时实现本发明上述任意实施例中的通信方法,该方法包括:
根据中继节点的静态固定IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址,建立所述中继节点与各所述分支节点之间的MGRE隧道,所述至少两个分支节点包括第一分支节点和第二分支节点;
通过所述中继节点与所述第一分支节点和所述第二分支节点之间的MGRE隧道执行以下操作:
将所述第一分支节点的隧道地址转发至所述第二分支节点;
将所述第二分支节点的隧道地址转发至所述第一分支节点。
或者,该方法包括:
通过拨号方式获取所述第一分支节点的动态底层IP地址;
根据所述第一分支节点的动态底层IP地址,请求建立所述第一分支节点与中继节点之间的MGRE隧道;
通过所述第一分支节点与中继节点之间的MGRE隧道,向所述中继节点发送所述第一分支节点的隧道地址,并接收所述中继节点转发的第二分支节点的隧道地址;
根据所述第二分支节点的隧道地址建立所述第一分支节点与所述第二分支节点之间的GRE隧道。
或者,该方法包括:
通过拨号方式获取所述第二分支节点的动态底层IP地址;
根据所述第二分支节点的动态底层IP地址,请求建立所述第二分支节点与中继节点之间的MGRE隧道;
通过所述第二分支节点与中继节点之间的MGRE隧道,接收所述中继节点转发的第一分支节点的隧道地址,并向所述中继节点发送所述第二分支节点的隧道地址;
根据所述第一分支节点的隧道地址建立与所述第一分支节点之间的GRE隧道。
本发明实施例所提供的一种包含计算机可执行指令的存储介质,可以采用一个或多个计算机可读的介质的任意组合,例如计算机可读信号介质或者存储介质。计算机可读存储介质例如可以是,但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储装置(Random AccessMemory,RAM)、只读存储装置(Read Only Memory,ROM)、可擦式可编程只读存储装置(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式CD-ROM、光存储装置件、磁存储装置件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基待中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、无线电频率(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储装置(Read-Only Memory,ROM)、随机存取存储装置(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (13)

1.一种通信方法,应用于中继节点,其特征在于,包括:
根据中继节点的静态固定互联网协议IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址作为下层网络,建立所述中继节点与各所述分支节点之间的多点通用路由封装MGRE隧道,所述至少两个分支节点包括第一分支节点和第二分支节点;
通过所述中继节点与所述第一分支节点和所述第二分支节点之间的MGRE隧道执行以下操作:
将所述第一分支节点的隧道地址转发至所述第二分支节点;
将所述第二分支节点的隧道地址转发至所述第一分支节点。
2.根据权利要求1所述的方法,其特征在于,根据中继节点的静态固定互联网协议IP地址,以及至少两个分支节点通过拨号方式获取的动态底层IP地址作为下层网络,建立中继节点与至少两个分支节点之间的MGRE隧道,包括:
接收各所述分支节点的注册请求报文,所述注册请求报文中包含相应分支节点通过拨号方式获取的动态底层IP地址;
根据各所述分支节点的动态底层IP地址生成下一跳解析协议NHRP映射表;
根据所述NHRP映射表建立所述中继节点与各所述分支节点之间的MGRE隧道。
3.根据权利要求1所述的方法,其特征在于,所述将所述第一分支节点的隧道地址转发至所述第二分支节点,包括:
接收所述第一分支节点的地址解析请求报文,所述地址解析请求报文中包含所述第一分支节点的隧道地址;
将所述地址解析请求报文转发至所述第二分支节点。
4.根据权利要求1所述的方法,其特征在于,所述将所述第二分支节点的隧道地址转发至所述第一分支节点,包括:
接收所述第二分支节点的地址解析应答报文,所述地址解析应答报文中包含所述第二分支节点的隧道地址;
将所述地址解析请求报文转发至所述第二分支节点。
5.一种通信方法,应用于第一分支节点,其特征在于,包括:
通过拨号方式获取所述第一分支节点的动态底层IP地址;
根据所述第一分支节点的动态底层IP地址,请求建立所述第一分支节点与中继节点之间的多点通用路由封装MGRE隧道;
通过所述第一分支节点与中继节点之间的MGRE隧道,向所述中继节点发送所述第一分支节点的隧道地址,并接收所述中继节点转发的第二分支节点的隧道地址;
根据所述第二分支节点的隧道地址建立所述第一分支节点与所述第二分支节点之间的通用路由封装GRE隧道。
6.根据权利要求5所述的方法,其特征在于,还包括:
将局域网LAN端口与所述GRE隧道的接口绑定;
通过互联网安全协议IPSec虚拟隧道接口建立所述第一分支节点与所述第二分支节点之间的IPSec隧道。
7.根据权利要求6所述的方法,其特征在于,所述第一分支节点作为待传输数据的发送端,所述方法还包括:
使用对称密钥对待传输数据进行加密;
使用公钥对所述对称密钥进行加密;
通过所述IPSec隧道将加密后的对称密钥发送至所述第二分支节点,并将加密后的待传输数据发送至所述第二分支节点。
8.根据权利要求6所述的方法,其特征在于,所述第一分支节点作为待传输数据的接收端,所述方法还包括:
通过所述IPSec隧道接收加密后的对称密钥,以及加密后的待传输数据;
使用私钥对所述加密后的对称密钥进行解密,得到所述对称密钥;
使用所述对称密钥对所述加密后的待传输数据进行解密,得到所述待传输数据。
9.一种通信方法,应用于第二分支节点,其特征在于,包括:
通过拨号方式获取所述第二分支节点的动态底层IP地址;
根据所述第二分支节点的动态底层IP地址,请求建立所述第二分支节点与中继节点之间的多点通用路由封装MGRE隧道;
通过所述第二分支节点与中继节点之间的MGRE隧道,接收所述中继节点转发的第一分支节点的隧道地址,并向所述中继节点发送所述第二分支节点的隧道地址;
根据所述第一分支节点的隧道地址建立与所述第一分支节点之间的通用路由封装GRE隧道。
10.根据权利要求9所述的方法,其特征在于,还包括:
将局域网LAN端口与所述GRE隧道的接口绑定;
通过互联网安全协议IPSec虚拟隧道接口建立所述第一分支节点与所述第二分支节点之间的IPSec隧道。
11.一种中继节点,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的通信方法。
12.一种分支节点,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求6-8中任一所述的通信方法或如权利要求9-10中任一所述的通信方法。
13.一种通信系统,其特征在于,包括:
如权利要求11所述的中继节点,以及至少两个如权利要求12所述的分支节点。
CN202210446477.7A 2022-04-26 2022-04-26 通信方法、中继节点、分支节点及通信系统 Pending CN115037717A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210446477.7A CN115037717A (zh) 2022-04-26 2022-04-26 通信方法、中继节点、分支节点及通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210446477.7A CN115037717A (zh) 2022-04-26 2022-04-26 通信方法、中继节点、分支节点及通信系统

Publications (1)

Publication Number Publication Date
CN115037717A true CN115037717A (zh) 2022-09-09

Family

ID=83119197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210446477.7A Pending CN115037717A (zh) 2022-04-26 2022-04-26 通信方法、中继节点、分支节点及通信系统

Country Status (1)

Country Link
CN (1) CN115037717A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108512755A (zh) * 2017-02-24 2018-09-07 华为技术有限公司 一种路由信息的学习方法及装置
CN109495385A (zh) * 2018-12-04 2019-03-19 安徽皖兴通信息技术有限公司 一种实现非连续分段路由域的网络流量调度方法
CN114143283A (zh) * 2021-11-26 2022-03-04 迈普通信技术股份有限公司 一种隧道自适应配置方法、装置,中心端设备及通信系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108512755A (zh) * 2017-02-24 2018-09-07 华为技术有限公司 一种路由信息的学习方法及装置
CN109495385A (zh) * 2018-12-04 2019-03-19 安徽皖兴通信息技术有限公司 一种实现非连续分段路由域的网络流量调度方法
CN114143283A (zh) * 2021-11-26 2022-03-04 迈普通信技术股份有限公司 一种隧道自适应配置方法、装置,中心端设备及通信系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
COME BETTER: "HCIE笔记-第十天", pages 1 - 6, Retrieved from the Internet <URL:https://blog.csdn.net/qq_45782298/article/details/107643533> *
网工沉破鱼: "IPSec Over GRE和GRE Over IPSec技术", pages 1 - 2, Retrieved from the Internet <URL:https://blog.csdn.net/qq_56228347/article/details/115868920> *
莺谷: "DSVPN", pages 1 - 2, Retrieved from the Internet <URL:https://www.cnblogs.com/tmjblog/p/12643983.html> *

Similar Documents

Publication Publication Date Title
US6765881B1 (en) Virtual L2TP/VPN tunnel network and spanning tree-based method for discovery of L2TP/VPN tunnels and other layer-2 services
Kompella et al. Virtual private LAN service (VPLS) using BGP for auto-discovery and signaling
US7373660B1 (en) Methods and apparatus to distribute policy information
USRE46195E1 (en) Multipath transmission control protocol proxy
US7724732B2 (en) Secure multipoint internet protocol virtual private networks
EP4131872A1 (en) Multicast traffic transmission method and apparatus, communication node, and storage medium
WO2014194749A1 (zh) 边缘设备的vpn实现处理方法及装置
CN101515859B (zh) 一种因特网协议安全隧道传输组播的方法及设备
US20070165603A1 (en) Access network system, subscriber station device, and network terminal device
US8964749B2 (en) Method, device and system for establishing a pseudo wire
US20140301396A1 (en) Method for constructing virtual private network, method for packet forwarding, and gateway apparatus using the methods
WO2013139234A1 (zh) 一种组播传输方法、装置和网络系统
EP4250649A1 (en) Packet forwarding method and apparatus, and network system
WO2007048296A1 (fr) Méthode et système pour obtenir la cohérence de l’état d’un circuit virtuel
CN113676391A (zh) 一种数据传输方法、装置、通信节点和存储介质
CN113556273A (zh) 一种三网云互通系统的数据传输方法
CN112235318B (zh) 实现量子安全加密的城域网系统
CN115473729A (zh) 数据传输方法、网关、sdn控制器及存储介质
CN115037717A (zh) 通信方法、中继节点、分支节点及通信系统
CN113630324A (zh) 基于mpls-vpn的新型跨域互联方法
Zhang et al. Application research of MPLS VPN all-in-one campus card network based on IPSec
Joseph et al. Network convergence: Ethernet applications and next generation packet transport architectures
Pepelnjak Mpls And Vpn Architectures (Volume Ii)
CN115037685A (zh) 隧道通信方法、中继节点、分支节点及隧道通信系统
CN113300998A (zh) 实现数据加密传输的方法及装置、通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220909