[发明专利]在网络隧道内建立网络微隧道

说明书

第一网络设备可以与隧道建立网络协议相关联地来与第二网络设备通信，以使得在该第一网络设备和该第二网络设备之间的网络隧道被建立。该第一网络设备可以基于与该第二网络设备通信以使该网络隧道被建立来确定该网络隧道将支持该网络隧道内的网络微隧道功能。该第一网络设备可以基于确定该网络隧道将支持网络微隧道功能来与该第二网络设备进行通信，以标识一个或多个业务类别中的、该网络隧道内的网络微隧道功能将被应用于其的业务类别。该第一网络设备可以使网络微隧道在该网络隧道内被建立以用于与该业务类别相关联的业务。

背景技术

互联网协议安全性(IPsec)是用于安全互联网协议(IP)通信的协议套件，该协议套件通过对通信会话的每个IP分组进行身份认证和加密来工作。IPsec包括用于在会话开始以及将在会话期间使用的加密密钥的协商时在代理之间建立相互身份认证的协议。IPsec可用于保护一对主机之间(主机到主机)、一对安全网关之间(网络到网络)、或安全网关与主机之间(网络到主机)之间的数据流。IPsec可以在代理之间建立IPsec安全关联(SA)，其描述代理如何诸如通过利用网络隧道使用安全服务进行安全通信。

网络隧道是一种用于通过公共网络安全地传输私人信息，使得公共网络的网络设备不知道私人信息的机制。隧道协议是一种支持网络隧道的创建的通信协议。隧道协议使私有信息能通过称为封装的处理而跨公共网络被发送。

发明内容

根据一些实现，一种方法可以包括：由第一网络设备并且与隧道建立网络协议相关联地，与第二网络设备进行通信，以使得第一网络设备和第二网络设备之间的网络隧道被建立；由第一网络设备并且基于与第二网络设备进行通信以使得网络隧道被建立，来确定该网络隧道将支持网络隧道内的第一网络设备与第二网络设备之间的网络微隧道功能；由第一网络设备并且基于确定网络隧道将支持网络隧道内的网络微隧道功能，与第二网络设备进行通信，以标识一个或多个业务类别中的、网络隧道内的网络微隧道功能将被应用于其的业务类别；以及由所述第一网络设备使得网络微隧道将在所述网络隧道内被建立，以用于与所述业务类别相关联的业务。

根据一些实现，网络设备可以包括一个或多个存储器和一个或多个处理器。一个或多个处理器可以：与另一网络设备通信，以使得该网络设备与该另一网络设备之间的互联网协议安全协议安全关联(SA)被建立；基于与所述附加网络设备的通信以使得所述SA被建立，确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能；基于确定该SA将支持该SA中的微SA功能，与其他网络设备进行通信，以标识一个或多个业务类别中的、SA内的网络微SA功能将被应用于其的业务类别；以及使得网络微SA将在所述SA内被建立，用于与所述业务类别相关联的业务。

根据一些实现，一种非瞬态计算机可读介质可以存储一个或多个指令。一个或多个指令，在由网络设备的一个或多个处理器执行时，使得所述一个或多个处理器：与附加网络设备通信，以使得所述网络设备与所述附加网络设备之间的互联网协议安全协议安全关联(SA)被建立；基于与所述附加网络设备通信以使得所述SA被建立，确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能；在确定所述SA将支持所述SA内的所述网络设备与所述附加网络设备之间的微SA功能之后，标识一个或多个业务类别中的与业务类别相关联的一个或多个分组，其中一个或多个分组经由SA在所述网络设备和所述附加网络设备之间被发送，并由于与SA相关联的防重播策略而被拒绝；以及使得微SA在所述SA中被建立，以用于与所述业务类别相关联的附加业务。

根据本发明的第一方面，提供了一种方法，包括：由第一网络设备并且与隧道建立网络协议相关联地，与第二网络设备通信，以使得第一网络设备与第二网络设备之间的网络隧道被建立；由第一网络设备并且基于与第二网络设备通信以使得网络隧道被建立，确定网络隧道将支持网络隧道内的第一网络设备与第二网络设备之间的网络微隧道功能；由第一网络设备并且基于确定网络隧道将支持网络隧道内的网络微隧道功能，与第二网络设备通信，以标识一个或多个业务类别中的、网络隧道内的网络微隧道功能将被应用于其的业务类别；以及由第一网络设备使得网络微隧道在网络隧道内被建立，以用于与业务类别相关联的业务。