[发明专利]一种获取动态路由的方法和设备无效
申请号: | 200910130050.0 | 申请日: | 2009-04-03 |
公开(公告)号: | CN101510889A | 公开(公告)日: | 2009-08-19 |
发明(设计)人: | 任俊峰;周迪 | 申请(专利权)人: | 杭州华三通信技术有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/56 |
代理公司: | 北京鑫媛睿博知识产权代理有限公司 | 代理人: | 龚家骅 |
地址: | 310053浙江省杭州市高新技术产业*** | 国省代码: | 浙江;33 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 获取 动态 路由 方法 设备 | ||
技术领域
本发明涉及通信领域,尤其涉及一种获取动态路由的方法和设备。
背景技术
VPN(虚拟私有网,Virtual Private Network)是近年来随着Internet(因特网)的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。VPN的具体实现是采用所谓隧道技术,隧道将原始数据包封装在新的数据包内部。新的数据包可以包含新的寻址和路由信息,这使新的数据包得以在网络上传输。当隧道与保密性结合时,在网络上窃听通讯的人将无法获取原始数据包数据,保证数据在公共网络上流动的安全性。
在VPN的实际应用中,IPSec(三层隧道加密协议,IP Security)隧道是应用最广泛的一种隧道。
IPSec隧道通过AH(认证头,Authentication Header)和ESP(封装安全载荷,Encapsulating Security Payload)这两个安全协议来实现上述目标。并且,IKE(因特网密钥交换,Internet KeyExchange)为IPSec提供了自动协商交换密钥、建立SA(安全联盟,Security Association)的服务,简化了IPSec的配置和维护工作。IKE使用两个阶段的ISAKMP(Internet安全联盟和密钥管理协议,Internet Security Association and Key Management Protocol)建立IPSec隧道的SA。第一阶段,IKE使用ISAKMP建立SA,即通信双方彼此间建立了一个已通过身份验证和安全保护的通道。第二阶段,IKE利用这个通过了验证和安全保护的SA,为另一个不同的协议,例如IPSec协商具体的安全服务,建立IPSec的SA。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(单独使用AH、ESP或者两者结合使用)、协议的操作模式(传输模式或者隧道模式)、加密算法(DES(Data Encryption Standard,数据加密算法)或者3DES)、特定流中保护数据的共享密钥以及SA的生存周期等。
IPSec隧道是VPN的实现中应用最广泛的一种隧道,但是,如果IPSec隧道的两端不在同一个网段,不能建立动态路由协议的邻居,也就不能动态的传递路由信息。需要通过在IPSec隧道的两端配置ACL(接入控制列表,Access Control List),进行IPSec隧道两端私网之间的通信。例如:私网A和私网B要通过IPSec隧道进行通信时,首先建立私网A的网关设备C和私网B的网关设备D之间的IPSec隧道,并在设备C和设备D上配置相应的ACL:
设备C 源地址 10.1.1.0/24 目的地址 10.2.1.0/24
设备D 源地址 10.2.1.0/24 目的地址 10.1.1.0/24
上述ACL配置完成,并建立设备C与设备D之间的IPSec隧道后,私网A中地址在10.1.1.0/24范围的用户,要访问10.2.1.0/24网段时,发送的报文都会由设备C加密后通过IPSec隧道发送到设备D上。当设备D到10.2.1.0/24网段的路由消失时,除非网管人员手动的删除这个ACL,设备C依然会将报文加密封装后发送到设备D,因此可能造成网络资源的浪费。
为了实现IPSec隧道两端可以获取动态路由信息,现有技术中通过使用静态的VTI(虚拟隧道接口,Virtual Tunnel Interfaces)支持IPSec隧道两端的动态路由协议。
静态的VTI使用的是Tunnel(隧道)接口,该Tunnel接口的地址为同网段的IP地址,可以建立动态路由协议的邻居,从而可以实现动态路由信息的交互。
静态的VTI中接口的封装方式为IPSec封装,设备使用Tunnel接口上配置的对端地址作为IKE-PEER(IPSec对等体)的地址,发起IPSec隧道的连接。
例如,设备A与设备B之间建立IPSec隧道可以为:设备A首先向设备B的Tunnel接口上配置的地址1.2.1.1发起IPSec隧道的连接,IPSec SA建立成功后,设备A的Tunnel接口上发出去的所有报文都会使用IPSec SA加密封装发送到对端设备B。设备B的Tunnel接口上的报文同样都会经过IPSec的加密封装发送到对端设备A。这样,两个Tunnel上的报文,包括组播报文和广播报文,都能到达对方的Tunnel接口,双方就能启用动态的路由协议。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州华三通信技术有限公司,未经杭州华三通信技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910130050.0/2.html,转载请声明来源钻瓜专利网。
- 上一篇:透镜阴影校正方法和装置
- 下一篇:多载波系统中的均衡方法