[发明专利]一种获取动态路由的方法和设备无效

专利信息
申请号: 200910130050.0 申请日: 2009-04-03
公开(公告)号: CN101510889A 公开(公告)日: 2009-08-19
发明(设计)人: 任俊峰;周迪 申请(专利权)人: 杭州华三通信技术有限公司
主分类号: H04L29/06 分类号: H04L29/06;H04L12/56
代理公司: 北京鑫媛睿博知识产权代理有限公司 代理人: 龚家骅
地址: 310053浙江省杭州市高新技术产业*** 国省代码: 浙江;33
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 获取 动态 路由 方法 设备
【说明书】:

技术领域

发明涉及通信领域,尤其涉及一种获取动态路由的方法和设备。

背景技术

VPN(虚拟私有网,Virtual Private Network)是近年来随着Internet(因特网)的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。VPN的具体实现是采用所谓隧道技术,隧道将原始数据包封装在新的数据包内部。新的数据包可以包含新的寻址和路由信息,这使新的数据包得以在网络上传输。当隧道与保密性结合时,在网络上窃听通讯的人将无法获取原始数据包数据,保证数据在公共网络上流动的安全性。

在VPN的实际应用中,IPSec(三层隧道加密协议,IP Security)隧道是应用最广泛的一种隧道。

IPSec隧道通过AH(认证头,Authentication Header)和ESP(封装安全载荷,Encapsulating Security Payload)这两个安全协议来实现上述目标。并且,IKE(因特网密钥交换,Internet KeyExchange)为IPSec提供了自动协商交换密钥、建立SA(安全联盟,Security Association)的服务,简化了IPSec的配置和维护工作。IKE使用两个阶段的ISAKMP(Internet安全联盟和密钥管理协议,Internet Security Association and Key Management Protocol)建立IPSec隧道的SA。第一阶段,IKE使用ISAKMP建立SA,即通信双方彼此间建立了一个已通过身份验证和安全保护的通道。第二阶段,IKE利用这个通过了验证和安全保护的SA,为另一个不同的协议,例如IPSec协商具体的安全服务,建立IPSec的SA。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(单独使用AH、ESP或者两者结合使用)、协议的操作模式(传输模式或者隧道模式)、加密算法(DES(Data Encryption Standard,数据加密算法)或者3DES)、特定流中保护数据的共享密钥以及SA的生存周期等。

IPSec隧道是VPN的实现中应用最广泛的一种隧道,但是,如果IPSec隧道的两端不在同一个网段,不能建立动态路由协议的邻居,也就不能动态的传递路由信息。需要通过在IPSec隧道的两端配置ACL(接入控制列表,Access Control List),进行IPSec隧道两端私网之间的通信。例如:私网A和私网B要通过IPSec隧道进行通信时,首先建立私网A的网关设备C和私网B的网关设备D之间的IPSec隧道,并在设备C和设备D上配置相应的ACL:

设备C  源地址  10.1.1.0/24  目的地址  10.2.1.0/24

设备D  源地址  10.2.1.0/24  目的地址  10.1.1.0/24

上述ACL配置完成,并建立设备C与设备D之间的IPSec隧道后,私网A中地址在10.1.1.0/24范围的用户,要访问10.2.1.0/24网段时,发送的报文都会由设备C加密后通过IPSec隧道发送到设备D上。当设备D到10.2.1.0/24网段的路由消失时,除非网管人员手动的删除这个ACL,设备C依然会将报文加密封装后发送到设备D,因此可能造成网络资源的浪费。

为了实现IPSec隧道两端可以获取动态路由信息,现有技术中通过使用静态的VTI(虚拟隧道接口,Virtual Tunnel Interfaces)支持IPSec隧道两端的动态路由协议。

静态的VTI使用的是Tunnel(隧道)接口,该Tunnel接口的地址为同网段的IP地址,可以建立动态路由协议的邻居,从而可以实现动态路由信息的交互。

静态的VTI中接口的封装方式为IPSec封装,设备使用Tunnel接口上配置的对端地址作为IKE-PEER(IPSec对等体)的地址,发起IPSec隧道的连接。

例如,设备A与设备B之间建立IPSec隧道可以为:设备A首先向设备B的Tunnel接口上配置的地址1.2.1.1发起IPSec隧道的连接,IPSec SA建立成功后,设备A的Tunnel接口上发出去的所有报文都会使用IPSec SA加密封装发送到对端设备B。设备B的Tunnel接口上的报文同样都会经过IPSec的加密封装发送到对端设备A。这样,两个Tunnel上的报文,包括组播报文和广播报文,都能到达对方的Tunnel接口,双方就能启用动态的路由协议。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州华三通信技术有限公司,未经杭州华三通信技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/200910130050.0/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top