[发明专利]一种隧道建立方法、装置及设备

说明书

本发明提供一种隧道建立的方法、装置及设备，待建立的IPSEC隧道的第一端的隧道建立的方法，包括：确定第一设备需穿越的第一NAT设备的类型为地址限制圆锥型NAT设备；确定第二设备需穿越的第二NAT设备的类型，所述第二NAT设备的类型包括以下中的一种：基本NAT设备；完全圆锥型NAT设备；地址限制圆锥型NAT设备；端口限制圆锥型NAT设备；配置所述第一设备的IPSEC隧道的地址信息，以建立与所述第二设备之间的IPSEC隧道连接。本发明的技术方案解决了传统IPSEC协议不能两端同时穿越NAT的问题，大为加强了广域网环境IPSEC协议的应用范围。

技术领域

本发明涉及通信技术领域，尤其涉及一种隧道建立方法、装置及设备。

背景技术

现有技术中，运行在公网上的IPSEC隧道，两端必须至少一端具有公网地址,才能穿越NAT建立隧道。

NAT主要可以分为两类，基本NAT和NAPT(Network Address Port Translation)。

1、基本NAT一般是用于NAT设备拥有多个公网IP的情形下，将公网IP地址与内网主机进行静态绑定，这种类型的NAT设备较少。

2、NAPT(Network Address/Port Translators)：常用NAT形式。NAPT将内部连接映射到外部网络中的一个单独IP地址上，同时在该地址上加上一个由NAT设备选定的端口号。根据映射方式不同，NAPT可以分为对称性NAT和圆锥型NAT，其中圆锥型NAT包括完全圆锥型NAT、地址限制圆锥型NAT和端口限制圆锥型NAT。

NAPT(Network Address/Port Translators)为公网中最常用NAT种类，分为以下四种：

1、完全圆锥型NAT(Full Cone NAT)

完全圆锥型NAT，将从一个内部IP地址和端口来的所有请求，都映射到相同的外部IP地址和端口。并且，任何外部主机通过向映射的外部地址发送报文，都可以实现和内部主机进行通信。这是一种比较宽松的策略，只要建立了内部网络的IP地址和端口与公网IP地址和端口的映射关系，所有的Internet上的主机都可以访问该NAT之后的主机。

2、地址限制圆锥型NAT(Address Restricted Cone NAT)

地址限制圆锥型NAT也是将从相同的内部IP地址和端口来的所有请求映射到相同的公网IP地址和端口。但是与完全圆锥型NAT不同，当且仅当内部主机之前已经向公网主机地址发送过报文，此时公网主机地址才能向内网主机发送报文。

3、端口限制圆锥型NAT(Port Restricted Cone NAT)

类似与地址限制圆锥型NAT，但是更严格。端口受限圆锥型NAT增加了端口号的限制，当前仅当内网主机之前已经向公网主机地址和端口号发送了报文，公网主机地址和端口号才能和此内网主机通信。

4、对称型NAT(Symmetric NAT)

对称型NAT把从同一内网地址和端口到相同目的地址和端口的所有请求，都映射到同一个公网地址和端口。如果同一个内网主机，用相同的内网地址和端口向另外一个目的地址发送报文，则会用不同的映射。这和端口限制型NAT不同，端口限制型NAT是所有请求映射到相同的公网IP地址和端口，而对称型NAT是不同的请求有不同的映射。

发明内容

本发明实施例提供一种隧道建立方法、装置、设备及计算机可读存储介质，用于实现IPSEC隧道两端的客户侧网关设备，同时穿越两端的NAT设备。

一种隧道建立的方法，应用于待建立的IPSEC隧道的第一端，包括：

确定第一设备需穿越的第一NAT设备的类型为地址限制圆锥型NAT设备；