[发明专利]一种因特网协议安全隧道传输组播的方法及设备

说明书

技术领域

本发明涉及数据通信技术领域，具体涉及一种因特网协议安全(IPsec，IPSecurity)隧道传输组播的方法及设备。

背景技术

协议无关组播(PIM，Protocol Independent Multicast)协议是目前应用非常广泛的一种组播路由协议。PIM协议可以利用静态路由或者任意单播路由协议(如RIP、OSPF、IS-IS、BGP等)所生成的单播路由表为IP组播提供路由。PIMv2控制消息有一个103的协议号，由因特网域名分配中心编号管理局(IANA)分配。在PIM协议中，组地址224.0.0.13用于表示标识运行PIM协议的路由器，PIMv2采用PIM协议组播地址224.0.0.13来发送PIM协议报文，实现邻居发现，加入，剪枝等操作。PIM应用邻居发现机制建立PIM邻居关系，为建立这些邻居关系，在每个PIM问候(Hello)报文周期(协议缺省为30秒)内，PIM组播路由器转发PIM Hello报文到所有PIM路由器的组播地址上，以便各个接口能够转发组播信息。

IPsec利用高级的加密和隧道技术，来允许企业网络通过第三方的网络，如Internet，来建立安全的、端到端的专用网络连接。IPsec是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络安全协议(AH，Authentication Header)和封装安全载荷协议(ESP，Encapsulating Security Payload)、密钥管理协议(IKE，Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec利用访问控制列表(ACL，Access Control List)来决定哪些数据是需要加密的，当有数据报文匹配所定义的ACL时，即建立IPSec加密隧道传输该数据报文。

IPSec VPN在隧道模式下不能支持组播协议，其原因可参考图1，两个私网间虽然建立了IPSec隧道，但由于中间跨广域网(因特网)，出接口地址S1和S2往往不在同一网段上，而IPSec协议标准实现中又没有引入虚接口的概念，因此第一路由器和第二路由器无法建立起PIM邻居关系。

因为目前的IPSec方式不能承载组播环境，现有技术中如果需要在两个私网间启用动态组播协议，都是用其他的3层VPN与IPSec进行嵌套封装。譬如GRE over IPSec隧道。由于GRE可以配置虚接口，路由器A和路由器B之间相当于直连，两端的PIM邻居能成功建立。在GRE Over IPsec中，GRE协议用于建立隧道，IPsec协议完成VPN网络的加密。在实现组播在IPsec VPN传输时，都需要先进行一次GRE封装，再将整个GRE报文封装到IPsec VPN中进行加密传输，这样能够保证组播报文在两个节点间正常传输。

上述处理方案中具有以下缺点：

1.配置非常复杂，对于实施和维护人员技术要求很高。并且GRE隧道不支持动态IP地址，如果一端设备的公网IP地址是动态地址，则设备上还要再建立环回口作为GRE隧道的源地址。

2.使用多层隧道封装，添加了不必要的报文头，浪费实际带宽及加密资源。组播数据流需要经过GER和IPsec两次封装与解封装后才能得到最终处理，这对于传输时延比较敏感的业务，如语音业务影响很大，对视频业务也会产生较大延时。

3.部分设备不支持GRE隧道，该方式无法使用。

发明内容

本发明实施例所要解决的技术问题是提供一种IPSec隧道传输组播的方法及设备，通过在PIM邻居关系中增加基于IPSec隧道的PIM邻居关系，使得IPSec节点设备之间可以通过IPSec隧道建立邻居关系，从而实现了组播在IPSec隧道中的传输。

为解决上述技术问题，本发明实施例提供方案如下：

一种因特网协议安全IPSec隧道传输组播的方法，包括：

IPSec隧道的本端设备自动镜像对端设备配置的目的地址为组播地址的ACL规则，并基于自身和对端设备各自配置的目的地址为PIM协议组播地址的ACL规则，建立自身和对端设备之间的PIM协议报文的IPSEC隧道；

本端设备在所述PIM协议报文的IPSEC隧道上接收对端设备发送的PIM协议报文，并在判断出接收到的PIM协议报文为PIM hello报文时，直接将所述对端设备加入到自身的PIM邻居表中，建立本端设备和对端设备之间的PIM邻居关系；

本端设备按照PIM协议转发组播组的报文。