[发明专利]一种实现动态虚拟专用网络链路层通信的方法和装置

权利要求书

1.一种实现动态虚拟专用网络DVPN链路层通信的方法，其特征在于，所述方法包括：

DVPN中的任一节点设备接收到下挂设备发送的报文时，在DVPN点到多点P2MP接口上，若根据获得的下一跳，在本地点到点P2P表项中查找到对应的公网地址，且根据查找到的公网地址在因特网协议安全IPsec表项中匹配到对应的IPsec安全集SA，使用匹配到的IPsec SA对接收到的报文进行IPsec封装并发送，其中，所述下一跳根据接收到的报文的目的因特网协议IP地址获得；

其中，所述方法进一步包括：

若根据所述获得的下一跳在本地P2P表项中未查找到对应的公网地址，向控制服务器查询该下一跳对应的公网地址，并在本地建立P2P表项；并触发本节点设备与该公网地址对应的节点设备进行因特网密钥交换IKE协商，并生成该公网地址对应的IPsec表项，在IKE协商过程中将保护的数据流信息填充为任何报文。

2.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：

若根据查找到的公网地址在IPsec表项中未匹配到对应的IPsec SA，触发本节点设备与该公网地址对应的节点设备进行IKE协商，并生成该公网地址对应的IPsec表项，在IKE协商过程中将保护的数据流信息填充为任何报文。

3.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：该节点设备作为分支设备Spoke时，若根据所述获得的下一跳在本地P2P表项中未查找到对应的公网地址，或，根据查找到的公网地址在IPsec表项中未匹配到对应的IPsec SA，则在本地P2P表项中获得中心设备Hub的公网地址，并根据Hub的公网地址在IPsec表项中匹配到对应的IPsec SA，使用该匹配到的IPsec SA对接收到的报文进行IPsec封装并发送；

该节点设备作为Hub时，若根据所述获得的下一跳在本地P2P表项中未查找到对应的公网地址，或，根据查找到的公网地址在IPsec表项中未匹配到对应的IPsec SA，则丢弃该接收到的报文。

4.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：

接收到其他节点设备发送的IPsec报文时，若确定该IPsec报文的目的IP地址为本节点设备的IP地址，解封装该IPsec报文，并根据解封装后的报文的目的IP地址进行转发；否则，根据该IPsec报文的目的IP地址进行转发。

5.一种实现动态虚拟专用网络链路层通信的装置，可应用于动态虚拟专用网络DVPN中的节点设备，其特征在于，所述装置包括：接收单元；查找单元和处理单元；

所述接收单元，用于接收下挂设备发送的报文；

所述查找单元，用于在所述接收单元接收到下挂设备发送的报文时，在DVPN点到多点P2MP接口上，根据获得的下一跳在点到点P2P表项中查找对应的公网地址，根据查找到的公网地址在因特网协议安全IPsec表项中匹配对应的IPsec安全集SA；其中，所述下一跳根据接收到的报文的目的因特网协议IP地址获得；

所述处理单元，用于若所述查找单元根据获得的下一跳，在本地P2P表项中查找到对应的公网地址，且根据查找到的公网地址在IPsec表项中匹配到对应的IPsec SA，使用匹配到的IPsec SA对接收到的报文进行IPsec封装并发送；

其中，

所述处理单元，进一步用于若所述查找单元根据所述获得的下一跳在本地P2P表项中未查找到对应的公网地址，向控制服务器查询该下一跳对应的公网地址，并在本地建立P2P表项；并触发本节点设备与该公网地址对应的节点设备进行IKE协商，并生成该公网地址对应的IPsec表项，在因特网密钥交换IKE协商过程中将保护的数据流信息填充为任何报文。

6.根据权利要求5所述的装置，其特征在于，

所述处理单元，进一步用于若所述查找单元根据查找到的公网地址在IPsec表项中未匹配到对应的IPsec SA，触发本节点设备与该公网地址对应的节点设备进行IKE协商，并生成该公网地址对应的IPsec表项，在IKE协商过程中将保护的数据流信息填充为任何报文。