專利名稱:組播數(shù)據(jù)的傳輸方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種組播數(shù)據(jù)的傳輸方法和設(shè)備�。
技術(shù)背景IP組播技術(shù)有效地解決了單點(diǎn)發(fā)送多點(diǎn)接收的問(wèn)題,實(shí)現(xiàn)了 IP網(wǎng)絡(luò)中點(diǎn) 到多點(diǎn)的高效數(shù)據(jù)傳送����,能夠大量節(jié)約網(wǎng)絡(luò)帶寬�、降低網(wǎng)絡(luò)負(fù)載。利用組播 技術(shù)���, 一些新的增值業(yè)務(wù)����,包括在線直播����、網(wǎng)絡(luò)電視����、遠(yuǎn)程教育�、遠(yuǎn)程醫(yī)療�、 網(wǎng)絡(luò)電臺(tái)��、實(shí)時(shí)視頻會(huì)議等互聯(lián)網(wǎng)的信息服務(wù)得到了快速的發(fā)展�。但是�����,在現(xiàn)實(shí)網(wǎng)絡(luò)中某些情況下在網(wǎng)絡(luò)中傳輸?shù)慕M播數(shù)據(jù)不希望被其他 未申請(qǐng)加入該組播組的用戶知曉����,因此如何將組播數(shù)據(jù)通過(guò)這些設(shè)備進(jìn)行安 全完整地傳輸�����,是目前面臨的一個(gè)重要問(wèn)題�。在現(xiàn)有技術(shù)中�,IPSec協(xié)議作為IP層的標(biāo)準(zhǔn)安全協(xié)議�,通過(guò)提供IPSec 隧道保證數(shù)據(jù)的私密性和安全性���。IPSec( IPSecurity, IP安全)是保證在Internet 上傳送數(shù)據(jù)的安全保密性能的三層隧道力����。密協(xié)議��。IPSec在IP層對(duì)IP報(bào)文提 供安全服務(wù)����,提供了兩個(gè)主機(jī)之間�、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之 間的保護(hù)����。IPSec包括AH ( Authentication Header,報(bào)文驗(yàn)證頭協(xié)議)和ESP (Encapsulating Security Payload,封裝安全載荷協(xié)議)兩個(gè)部分����。IPSec有隧 道(tunnel)和傳送(transport)兩種工作方式在隧道方式中�,用戶的整個(gè) IP數(shù)據(jù)包被用來(lái)計(jì)算ESP頭且被加密�,ESP頭和加密用戶數(shù)據(jù)被封裝在一個(gè) 新的IP數(shù)據(jù)包中���;在傳送方式中����,只是傳輸層數(shù)據(jù)被用來(lái)計(jì)算ESP頭����,ESP 頭和被加密的傳輸層數(shù)據(jù)被放置在原IP包頭后面。由于IPSec協(xié)議實(shí)現(xiàn)的是 一種端到端的單播傳輸,因此如何利用IPSec隧道傳輸組播數(shù)據(jù)是需要解決的 一個(gè)重要問(wèn)題�。目前為了解決在IPSec中傳輸組播的問(wèn)題�����,主要采用GRE( Generic Routing Encapsulation,通用路由封裝)配合IPSec隧道一起對(duì)組播數(shù)據(jù)進(jìn)行封裝的方
案。GRE提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制���,使報(bào)文 能夠在異種網(wǎng)絡(luò)中傳輸����。如下圖l所示��,首先使組播數(shù)據(jù)進(jìn)入GRE隧道進(jìn)行 封裝��,然后再進(jìn)入IPSec隧道對(duì)GRE數(shù)據(jù)進(jìn)行封裝。用IPSec隧道方式封裝 GRE數(shù)據(jù)封裝后的報(bào)文格式如圖2所示��。通過(guò)這種方式,解決了 IPSec無(wú)法 傳輸組播數(shù)據(jù)的問(wèn)題���。在使用該方法時(shí)���,需要將IPSec和GRE隧道組合使用,因此需要對(duì)數(shù)據(jù) 包進(jìn)行多次封裝����,增加了數(shù)據(jù)包的長(zhǎng)度以及封裝開(kāi)銷�,影響了路由器的性能����, 降低了組播數(shù)據(jù)的轉(zhuǎn)發(fā)速度和效率��;另外����,需要邊緣^各由器和中心路由器必 須同時(shí)支持IPSec和GRE,因此對(duì)設(shè)備的要求比較嚴(yán)格����。發(fā)明內(nèi)容本發(fā)明的實(shí)施例要解決的問(wèn)題是提供一種組播數(shù)據(jù)的傳輸方法和設(shè)備��,以提高在網(wǎng)絡(luò)中傳輸組播數(shù)據(jù)的安全性���。為達(dá)到上述目的�����,本發(fā)明的實(shí)施例提供一種組播數(shù)據(jù)的傳輸方法, 邊緣路由器通過(guò)與中心路由器預(yù)先建立的IPSec隧道�,將用戶終端的組播組消息封裝后向所述中心路由器發(fā)送�����;所述邊緣路由器接收所述中心路由器通過(guò)所述IPSec隧道傳輸?shù)乃鼋M播組的組播數(shù)據(jù)�����;所述邊緣路由器解封裝所述組播數(shù)據(jù)并向所述用戶終端發(fā)送�����。其中����,所述向中心路由器發(fā)送用戶終端的組播組消息前���,還包括步驟與所述中心路由器建立具有IPSec隧道的安全同盟SA,設(shè)置相應(yīng)的安全策略和參數(shù)。其中,所述與中心路由器建立具有IPSec隧道的安全同盟SA的步驟具體 包括在所述邊緣路由器和所述中心路由器互連的接口建立IPSec隧道����,并配置 ACL規(guī)則與相應(yīng)的IPSec隧道進(jìn)行綁定;將所述邊緣路由器和所述中心路由器互連的接口分別配置為各自路由器 上IPSec隧道的本i也和遠(yuǎn)端i也址�。
其中,所述邊緣路由器與中心;洛由器建立具有IPSec隧道的安全同盟SA 的步驟具體包括在所述邊緣路由器和所述中心路由器互連的接口配置組播路由協(xié)議���,配 置相應(yīng)的ACL ^L則并建立IPSec隧道;將所述邊緣路由器和所述中心路由器互連接的接口分別配置為各自路由 器上IPSec隧道的本地和遠(yuǎn)端地址。本發(fā)明的實(shí)施例還提供一種組播數(shù)據(jù)的傳輸方法���,包括如下步驟中心路由器解封裝邊緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組 消息�����;所述中心路由器根據(jù)所述組播組消息維護(hù)組播組表項(xiàng)���,并向上游網(wǎng)絡(luò)發(fā) 送所述組#^且消息����;所述中心路由器接收到上游網(wǎng)絡(luò)發(fā)送的所述組4番組的組播數(shù)據(jù)時(shí)�,根據(jù) 所述組播組表項(xiàng),將所述組播數(shù)據(jù)封裝后通過(guò)所述IPSec隧道向所述邊緣路由 器發(fā)送����。其中,所述解封裝邊緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組消 息前����,還包括步驟與邊緣路由器建立具有IPSec隧道的安全同盟SA,設(shè)置相應(yīng)的安全策略 和參數(shù)�����。其中����,所述中心路由器根據(jù)所述組播組消息維護(hù)組播組表項(xiàng)的步驟具體為將接收到所述組播組消息的接口添加到組播組表項(xiàng)的出接口列表�����; 將所述組播組消息發(fā)送地址所屬的SA和請(qǐng)求加入的組播組地址添加到 組l番組表項(xiàng)。其中���,所述根據(jù)組播組表項(xiàng)���,將組播數(shù)據(jù)封裝后通過(guò)IPSec隧道向邊*|^各由器發(fā)送的步驟具體為獲取組播組表項(xiàng)的出接口列表,將所述組播數(shù)據(jù)發(fā)送到對(duì)應(yīng)的出接口 �; 在所述出接口中獲取所述組播數(shù)據(jù)匹配的安全策略,利用與所述匹配的安全策略對(duì)應(yīng)的訪問(wèn)控制列表轉(zhuǎn)發(fā)所述組播數(shù)據(jù);
轉(zhuǎn)發(fā)所述組播數(shù)據(jù)時(shí)�����,根據(jù)所述組播組表項(xiàng)獲取轉(zhuǎn)發(fā)所述組播數(shù)據(jù)的目標(biāo)SA;將組播數(shù)據(jù)封裝后通過(guò)IPSec隧道向所述目標(biāo)SA對(duì)應(yīng)的邊緣路由器發(fā)送 所述組播數(shù)據(jù)。本發(fā)明的實(shí)施例還提供一種邊緣路由器��,包括邊緣封裝單元,用于根據(jù)與中心路由器預(yù)先建立的IPSec隧道���,把用戶終 端的組播組消息進(jìn)行封裝后向所述中心路由器發(fā)送;邊緣解封裝單元,用于解封裝所述中心路由器通過(guò)所述IPSec隧道傳輸?shù)?組播數(shù)據(jù)并向用戶終端發(fā)送�����。其中,還包括'.SA信息單元�,用于配置和存儲(chǔ)與中心路由器建立的SA���、 IPSec隧道的接 口����、 ACL規(guī)則�、相應(yīng)的安全策略和參數(shù)中的一種或多種�����。 其中����,還包括邊緣上游接口 ����,用于通過(guò)預(yù)先建立的IPSec隧道向中心路由器發(fā)送所述邊 緣封裝單元封裝后的組播組消息���,并用于在接收到中心路由器通過(guò)所述IPSec 隧道發(fā)送的組播數(shù)據(jù)時(shí)��,向所述邊緣解封裝單元發(fā)送����;邊緣下游接口 �,用于在接收到下游網(wǎng)絡(luò)中用戶終端發(fā)送的組播組消息時(shí)�����, 向所述邊緣封裝單元發(fā)送�����;并在接收到所述邊緣解封裝單元發(fā)送的組播數(shù)據(jù) 時(shí)����,向?qū)?yīng)的用戶終端發(fā)送。本發(fā)明的實(shí)施例還包括一種中心路由器,包括解封裝單元���,用于對(duì)邊緣路由器通過(guò)IPSec隧道發(fā)送的消息進(jìn)行解封裝, 獲取其中包括的組播組消息���;組播組表項(xiàng)維護(hù)單元�����,用于根據(jù)所述解封裝單元獲取的組播組信息,維 護(hù)本地的組4番組表項(xiàng)�;封裝單元�����,用于接收到上游網(wǎng)絡(luò)的組播數(shù)據(jù)時(shí),根據(jù)所述組播組表項(xiàng)維 護(hù)單元中的組播組表項(xiàng)��,通過(guò)IPSec隧道將組播數(shù)據(jù)封裝后向所述邊緣路由器 發(fā)送。其中��,還包括
SA信息設(shè)置單元��,用于配置與邊纟4^各由器建立的SA����、 IPSec隧道的接口����、 ACL規(guī)則��、相應(yīng)的安全策略和參數(shù)中的一種或多種。 其中,還包括下游接口 ���,用于將各邊緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組 消息向所述解封裝單元發(fā)送����,并在接收到所述封裝單元發(fā)送的組播數(shù)據(jù)時(shí)����, 通過(guò)預(yù)先建立的IPSec隧道向?qū)?yīng)的邊緣路由器發(fā)送��;上游接口���,用于向上游網(wǎng)絡(luò)發(fā)送所述解封裝單元得到的組播組消息����,并 在接收到上游網(wǎng)絡(luò)的組播數(shù)據(jù)時(shí)��,向所述封裝單元發(fā)送。與現(xiàn)有技術(shù)相比���,本發(fā)明的實(shí)施例具有以下優(yōu)點(diǎn)在中心路由器和邊緣路由器建立SA和IPSec隧道�����,實(shí)現(xiàn)了 IP組播數(shù)據(jù) 在IPSec隧道上的直4妄傳輸��,減少了現(xiàn)有技術(shù)中封裝GRE隧道的開(kāi)銷����,提高 了數(shù)據(jù)轉(zhuǎn)發(fā)的效率����;另夕卜,在SA的組播組表項(xiàng)中對(duì)組播數(shù)據(jù)的接收者進(jìn)行選 擇判斷�,提高了網(wǎng)絡(luò)中組播數(shù)據(jù)傳輸?shù)陌踩浴?br>
圖1是現(xiàn)有技術(shù)中通過(guò)GRE和IPSec進(jìn)行組播數(shù)據(jù)傳輸?shù)氖疽鈭D�;圖2是現(xiàn)有技術(shù)中通過(guò)GRE和IPSec進(jìn)行數(shù)據(jù)傳l俞的4艮文結(jié)構(gòu)示意圖���;圖3是本發(fā)明的實(shí)施例一中組播數(shù)據(jù)的傳輸方法的流程圖����;圖4是本發(fā)明的實(shí)施例二中組播數(shù)據(jù)的傳輸?shù)慕M網(wǎng)場(chǎng)景示意圖;圖5是本發(fā)明的實(shí)施例二中通過(guò)IKE方式進(jìn)行安全策略配置的示意圖�����;圖6是本發(fā)明的實(shí)施例二中對(duì)IGMP消息進(jìn)行封裝的示意圖;圖7是本發(fā)明的實(shí)施例二中對(duì)組播數(shù)據(jù)進(jìn)行封裝的示意圖�����;圖8是本發(fā)明的實(shí)施例四中 一種中心路由器的結(jié)構(gòu)示意圖;圖9是本發(fā)明的實(shí)施例五中一種邊緣路由器的結(jié)構(gòu)示意圖��。
具體實(shí)施方式
本發(fā)明的核心思想在于由邊緣路由器與中心^各由器建立IPSec SA (Security Association,安全聯(lián)盟)���。當(dāng)有用戶終端經(jīng)由邊緣路由器點(diǎn)播組播
數(shù)據(jù)時(shí)���,邊緣路由器向中心路由器發(fā)起組播組加入�����,中心路由器維護(hù)基于SA 的組播組表項(xiàng)�����;當(dāng)中心路由器接收到組播數(shù)據(jù)時(shí)�,查詢這些SA下的組播組表 項(xiàng)�,通過(guò)IPSec隧道將組播數(shù)據(jù)發(fā)送給相應(yīng)的邊緣路由器��,邊緣路由器將數(shù)據(jù) 解封裝后轉(zhuǎn)發(fā)給接收者。本發(fā)明的實(shí)施例一中��, 一種組播數(shù)據(jù)的傳輸方法的流程圖如圖3所示,包 括如下步驟步驟s301 ��、邊緣路由器與中心路由器建立IPSec SA���。IPSec SA的概念如下IPSec在兩個(gè)端點(diǎn)之間提供安全通信��,端點(diǎn)被稱為 IPSec對(duì)等體�,SA是通信對(duì)等體間對(duì)某些要素的約定����。SA是單向的��,在兩個(gè)對(duì) 等體之間的雙向通信,最少需要兩個(gè)SA來(lái)分別對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全 保護(hù)���。SA由一個(gè)三元組來(lái)唯一標(biāo)識(shí),這個(gè)三元組包括SPI ( Security Parameter Index,安全參數(shù)索引)����、目的IP地址�、安全協(xié)議號(hào)(AH或ESP)���。該建立過(guò)程包括在邊緣路由器與中心路由器互連接的接口上建立IPSec 隧道�,分別配置ACL規(guī)則與隧道進(jìn)行綁定,并將邊緣路由器與中心路由器互 連接的接口設(shè)置為互為隧道的本地和遠(yuǎn)端地址。步驟s302���、邊緣路由器接收到用戶終端的加入組播組IGMP( Internet Group Management Protocol,因特網(wǎng)組管理協(xié)議)的加入消息時(shí),向中心路由器轉(zhuǎn)發(fā) 該組^"組加入消息����。為了實(shí)現(xiàn)與緣路由器連接的用戶終端能通過(guò)邊緣路由器和中心路由器點(diǎn) 播組播數(shù)據(jù)���,需要對(duì)邊緣路由器進(jìn)行配置。例如使邊緣路由器具有IGMP代理 功能����,或支持組播路由協(xié)議����,如具有PIM ( Protocol Independent Multicast,獨(dú) 立組播協(xié)議)功能�����,并通過(guò)IPSec隧道向中心路由器發(fā)送組播組加入消息。步驟s303��、中心路由器在收到來(lái)自SA的IGMP加入消息后�����,在該SA表中 維護(hù)一個(gè)組播組表項(xiàng)�。當(dāng)中心路由器收到來(lái)自邊緣路由器通過(guò)SA隧道發(fā)送的組播組加入消息 后,會(huì)在組播組表項(xiàng)中將接收到加入消息的邊緣路由器接口添加到出接口列 表中��。步驟s304、中心路由器CR在收到上游接口來(lái)的組播數(shù)據(jù)后�����,遍歷所有的 SA安全策略,針對(duì)每個(gè)SA查詢?cè)揝A表項(xiàng)下的組播組信息��,對(duì)匹配的組播組數(shù) 據(jù)在該IPSec SA中轉(zhuǎn)發(fā)�。具體的,當(dāng)中心路由器CR在與上游網(wǎng)絡(luò)連接的接口收到組播數(shù)據(jù)時(shí)���,首 先查詢組播組表項(xiàng)中的出接口列表����,當(dāng)查詢到某接口為該組播組的一個(gè)出接 口時(shí)�,會(huì)將該組播的數(shù)據(jù)向該接口轉(zhuǎn)發(fā)��。當(dāng)中心路由器CR的接口進(jìn)行組播數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)�,順序地查找安全策略組中 的每一條安全策略。如果組播數(shù)據(jù)匹配了一條安全策略引用的ACL規(guī)則���,則 使用這條安全策略引用的ACL規(guī)則對(duì)組播數(shù)據(jù)進(jìn)行匹配轉(zhuǎn)發(fā)�����;然后繼續(xù)查找 下一條安全策略����,直到遍歷所有的SA安全策略。在對(duì)組播數(shù)據(jù)進(jìn)行匹配轉(zhuǎn)發(fā)時(shí)���,對(duì)SA下的組播組信息進(jìn)行查詢�,當(dāng)組播 數(shù)據(jù)所屬的組播組與該SA下的組播組匹配時(shí)���,在該SA內(nèi)轉(zhuǎn)發(fā)該組播組的數(shù) 據(jù)�,否則不在該SA內(nèi)轉(zhuǎn)發(fā)��。通過(guò)遍歷所有的SA安全策略�,保證了所有的SA都會(huì)查詢到�����,從而保證每 個(gè)有組播組加入的SA下都會(huì)轉(zhuǎn)發(fā)組播數(shù)據(jù)����;而通過(guò)查詢每個(gè)SA下的組播組表 項(xiàng)��,保證了只有該SA下加入了的組播數(shù)據(jù)才會(huì)在該IPSec SA上轉(zhuǎn)發(fā)。步驟s305�����、中心路由器根據(jù)匹配規(guī)則��,將組播數(shù)據(jù)進(jìn)行IPSec封裝,以IPSec 隧道方式發(fā)送給相應(yīng)的4妻收者�����。步驟s306���、邊緣路由器在收到數(shù)據(jù)后進(jìn)行解密�,并根據(jù)相應(yīng)的IGMP加入 端口進(jìn)行組播數(shù)據(jù)的轉(zhuǎn)發(fā)���。以下結(jié)合具體的應(yīng)用場(chǎng)景對(duì)本發(fā)明的實(shí)施方式作詳細(xì)的說(shuō)明。本發(fā)明的實(shí)施例二中的組網(wǎng)場(chǎng)景如圖4所示邊緣路由器ER—A通過(guò)接口A 與中心路由器CR的接口CR連接���,其中接口A的IP為10.1.1.1;邊緣路由器ER—B 通過(guò)接口B與中心路由器CR的接口CR連接,其中接口B的IP為10.2.2.1;中心 路由器CR通過(guò)接口C與邊緣路由器ER—A和邊緣路由器ER一B連接�����,接口 C的IP 為10.3.3.1,通過(guò)接口D與上游網(wǎng)絡(luò)連接����,接口D的IP為1.1丄1。其中��,各邊緣 路由器具備IGMP代理功能���。該場(chǎng)景下����,組播數(shù)據(jù)的傳輸方法包括以下步驟 (1)邊緣路由器與中心路由器建立IPSecSA����。在邊緣路由器ER—A與中心路由器CR之間建立IPSec隧道����,配置相應(yīng)的 ACL ( Access Control List,訪問(wèn)控制列表)頭見(jiàn)則如下在邊緣路由器EI^A上配置ACL,指定邊緣路由器ER^A接收到的所有 IGMP加入報(bào)文匹配該ACL規(guī)則,通過(guò)隧道送到中心路由器CR��。具體的�,配置 的ACL身見(jiàn)則可以為 『ACL 3000:rule 1 permit ip source 10.1.1.1 0.0.0.0 destination 224.0.0.0 15.255.255.255 rule 2 permit ip source 224.0.0.0 15.255.255.255 destination any rule 3 deny ip any Ji該ACL規(guī)則的含義為允許來(lái)自IP地址10.1丄1 (即接口A)的數(shù)據(jù)向組播 地址(224.0.0.0到239.255.255.255,協(xié)i^見(jiàn)定的組4番i也址范圍)發(fā)送�����;允許 所有來(lái)自組播組(224.0.0.0到239.255.255.255 )的數(shù)據(jù)經(jīng)過(guò)����;拒絕其他凄丈據(jù) 經(jīng)過(guò)。其中����,ACL規(guī)則中的地址范圍通過(guò)反掩碼進(jìn)行表示�。在中心路由器CR上配置ACL����,指定所有中心路由器CR的上游接口 D收到 的組播數(shù)據(jù)報(bào)文匹配該ACL規(guī)則�����,通過(guò)隧道下發(fā)給相應(yīng)的邊緣路由器。 『ACL 3000:rule 1 permit ip source 224.0.0.0 15.255.255.255 destination 10.1.1.1 0.0.0.0 rule 2 permit ip source any destination 224.0.0.0 15.255.255.255 rule 3 deny ip any Ji從上述ACL配置可以看出�����,在邊緣路由器和中心路由器上配置的ACL規(guī) 則是相對(duì)應(yīng)的。配置ACI^見(jiàn)則完畢后�,配置端口地址A、 C互為本^^由器上的 隧道本地和遠(yuǎn)端地址�,設(shè)置相應(yīng)的安全策略和參數(shù)��,每一條安全策略中可以 引用不同的ACL列表。安全策略的配置可以采用手動(dòng)方式�,也可以采用IKE (Internet Key Exchange,因特網(wǎng)密鑰交換協(xié)議)協(xié)商方式����。圖5所示為典型的 通過(guò)IKE方式進(jìn)行安全策略和參數(shù)配置的過(guò)程示意圖����。在IKE方式中����,路由器 通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰��;主要包括SA交換����、密鑰交換以及ID交換和驗(yàn)證的 步驟��。完成上述設(shè)置后,則在ER—A與CR之間建立起一個(gè)IPSec SA,可以記作 SA—A�����。同樣的���,也可以為ER—B與CR之間建立一個(gè)IPSecSA�,記作SA—B�。(2) 邊緣路由器接收到用戶終端的加入組播組IGMP的加入消息時(shí),向 中心路由器轉(zhuǎn)發(fā)該播組加入消息����。此實(shí)施例中����,假設(shè)具有IGMP代理功能的邊緣路由器ER—A接收到下游的 用戶終端發(fā)起的IGMP組播組加入消息��,則ER一A將該指定接口 A地址作為 IGMP代理的地址,通過(guò)IPSec SA以隧道方式向中心路由器發(fā)送IGMP加入消 息��,這里假設(shè)要加入的組播組地址是224.1丄1 ���。(3) 中心路由器在收到來(lái)自某SA的IGMP加入消息后�����,在該SA表中維護(hù) 一個(gè)紐j番《且表項(xiàng)�。當(dāng)中心路由器收到來(lái)自ER-A通過(guò)SA隧道發(fā)送的組播組加入消息后���,會(huì)在 組播組表項(xiàng)中將接收到加入報(bào)文的接口 C添加到出接口列表中���,如下所示 『(*, G)List of 1 downstream interface Interface C (host IP), Protocol: IGMP』同時(shí),在該SA表中維護(hù)一個(gè)組播組表項(xiàng)如下表1所示�,為中心路由器CR 維護(hù)的與邊緣路器之間的S A信息 表l:S A Serial NumberDst AddressSPIProtocolmulticast group(SA序號(hào))(目的地址)(安全參數(shù)索引)(協(xié)議)(組播組)1lO丄l.l300ESP224.1.1.1210.2.2.1301ESP225.2.2.2從該表中可以看出�,目的地址為10.1丄1 (接口A)的接口期望接收組播 組224.1丄1的數(shù)據(jù)���,其SA序號(hào)為1;目的地址為10.2.2.1 (接口B )的接口期望 接收組播組225.2.2.2的數(shù)據(jù)��,其SA序號(hào)為2��。(4)中心路由器CR在收到上游接口來(lái)的組播數(shù)據(jù)后,遍歷所有的SA安 全策略�,針對(duì)每個(gè)SA查詢?cè)揝A表項(xiàng)下的組播組信息,將匹配的組播組數(shù)據(jù)在 該IPSec SA中轉(zhuǎn)發(fā)���。 在前面的配置中����,中心路由器上SA—A和SA一B的本地端口都是C,且已經(jīng) 配置的安全策略引用的ACL規(guī)則允許所有的組播組通過(guò)���。當(dāng)中心路由器的上 游接口D接收到組播組(224.1.1.1 )的數(shù)據(jù)時(shí),查詢組播組表項(xiàng)的出接口列表, 發(fā)現(xiàn)C為出接口����,則將組播數(shù)據(jù)在C接口上轉(zhuǎn)發(fā)���。此時(shí)由于SA—A和SA—B的本 地端口都是C且都匹配ACL規(guī)則�,因此如果組播組(224.1.1.1 )的數(shù)據(jù)直接向 兩個(gè)SA同時(shí)發(fā)送�����,造成B接收到不該接收到的組播數(shù)據(jù),產(chǎn)生安全隱患。因 此�,還需要通過(guò)查詢SA一A和SA—B下維護(hù)的組播組信息�����,發(fā)現(xiàn)只有SA—A下才 有該組播組(224.1.1.1 )的接收者���,因此���,該組播數(shù)據(jù)只通過(guò)SA—A向邊緣路 由器ER—A轉(zhuǎn)發(fā)��,而不會(huì)向ER一B轉(zhuǎn)發(fā)���。(5 )中心路由器根據(jù)匹配規(guī)則����,將組播數(shù)據(jù)進(jìn)行IPSec封裝�����,以隧道方式 發(fā)送給相應(yīng)的接收者�。中心路由器將接收到的組播組(224丄1.1)的數(shù)據(jù)根據(jù)相應(yīng)的SA信息, 以邊緣路由器ER—A的接口A的地址10.1.1.1為目的IP地址進(jìn)行隧道方式封裝轉(zhuǎn) 發(fā)�。(6 )邊緣路由器在收到數(shù)據(jù)后進(jìn)行解密���,并根據(jù)相應(yīng)的IGMP加入端口 進(jìn)行組播數(shù)據(jù)的轉(zhuǎn)發(fā)���。本發(fā)明的實(shí)施例三中還提供一種通過(guò)組播路由協(xié)議實(shí)現(xiàn)組播數(shù)據(jù)傳輸?shù)?方法�����,基于SA來(lái)維護(hù)組播組表項(xiàng),通過(guò)查詢組播組出接口��,來(lái)實(shí)現(xiàn)組播數(shù)據(jù) 通過(guò)SA來(lái)轉(zhuǎn)發(fā)�����。其組網(wǎng)場(chǎng)景與實(shí)施例二中圖4所示的場(chǎng)景相同。以采用PIM協(xié)議為例��,PIM協(xié)議是目前應(yīng)用較為廣泛的組播路由協(xié)議���,支 持PIM協(xié)議的路由設(shè)備通過(guò)發(fā)送Hello報(bào)文(PIM協(xié)議中的一種基本協(xié)議報(bào)文, 用于建立和維護(hù)PIM路由設(shè)備之間的鄰居關(guān)系)來(lái)將自己的基本情況告知其他 路由設(shè)備����,同時(shí)也通過(guò)接收其他路由設(shè)備的Hello報(bào)文來(lái)了解鄰居的情況����,每 個(gè)PIM設(shè)備都通過(guò)這種方式維護(hù)自己的鄰居關(guān)系表�。HeUo報(bào)文的發(fā)送是周期 性的�,例如協(xié)議缺省是30秒。如果路由設(shè)備多次無(wú)法收到來(lái)自鄰居的Hello報(bào) 文���,就會(huì)將該鄰居從自己的鄰居關(guān)系表中刪除�,并更新相關(guān)的組播路由表項(xiàng)��。 為了實(shí)現(xiàn)對(duì)鄰居信息的管理���,路由設(shè)備一般會(huì)把鄰居與接口的對(duì)應(yīng)關(guān)系進(jìn)行 保存,在接收到組播數(shù)據(jù)時(shí)����,根據(jù)該接口與鄰居的關(guān)系信息進(jìn)行組播數(shù)據(jù)的 轉(zhuǎn)發(fā)���。該場(chǎng)景下�,組播數(shù)據(jù)的傳輸方法包括以下步驟 (1 )邊緣路由器與中心路由器建立IPSec SA��。首先需要使得ER一A的接口 A、 ER—B接口 B和CR的接口 C上支持PIM 協(xié)議�;然后配置ER—A與CR, ER—B與CR之間的ACL規(guī)則�����,建立IPSec隧道���。例如,ER_A與CR之間的ACL規(guī)則可以如下配置ER—A上配置ACL�, 指定PIM的hello報(bào)文匹配該ACL規(guī)則,通過(guò)隧道送到中心路由器CR 『ACL 3001:rule 1 permit ip source 10.1.1.1 0.0.0.0 destination 224.0.0.13 0.0.0.0 rule 2 permit ip source 224.0.0.13 0.0.0.0 destination 10.3.3.1 0.0.0.0 rule 3 permit ip source 224.0.0.0 15.255.255.255 destination any rule 4 deny ip any』該ACL規(guī)則的含義為允許來(lái)自IP地址10.1.1.1 (即接口 A)的數(shù)據(jù)向PIM 路由器地址(224.0.0.13 )發(fā)送�����;允許來(lái)自PIM路由器地址(224.0.0.13��,協(xié)議 規(guī)定的PIM路由器地址)的數(shù)據(jù)向IP地址10.1丄1 (即接口A)發(fā)送;允許所有 來(lái)自組"t番組(224.0.0.0到239.255.255.255 )的tt據(jù)經(jīng)過(guò)���;拒絕其他數(shù)據(jù)經(jīng)過(guò)。 其中��,ACL規(guī)則中的地址范圍通過(guò)反掩碼進(jìn)行表示��。CR上配置ACL����,指定所有上游接口收到的組播數(shù)據(jù)報(bào)文匹配該ACL規(guī) 則,通過(guò)隧道下發(fā)給相應(yīng)的邊緣路由器?���!篈CL 3001:rule 1 permit ip source 224.0.0.13 0.0.0.0 destination 10.1.1.1 0.0.0.0 rule 2 permit ip source 10.3.3.1 0.0.0.0 destination 224.0.0.13 0.0.0.0 rule 3 permit ip source any destination 224.0.0.0 15.255.255.255 rule 4 deny ip any』從上述ACL配置可以看出���,在邊緣路由器和中心路由器上配置的ACL 規(guī)則是相對(duì)應(yīng)的�����。配置ACL規(guī)則完畢后��,配置端口地址A����、 C互為本路由器 上的隧道本地和遠(yuǎn)端地址���,設(shè)置相應(yīng)的安全策略和參數(shù)�。安全策略的配置可
以采用手動(dòng)方式�����,也可以采用IKE協(xié)商方式����。通過(guò)上述配置���,完成了 ER—A的接口 A與CR的接口 C上的PIM協(xié)議配 置�。至此PIM的Hello報(bào)文就可以通過(guò)IPSec隧道進(jìn)行傳輸,在A與C之間 建立起了 PIM鄰居�。另外�����,可以通過(guò)手動(dòng)配置RPF (Reverse Path Forwarding,逆向3各徑轉(zhuǎn) 發(fā))路由來(lái)保證組播數(shù)據(jù)的轉(zhuǎn)發(fā)路徑�����。保證(S�, G)或(*, G)的報(bào)文通過(guò) IPSec隧道由A接口傳輸?shù)紺接口 ,即保證組播數(shù)據(jù)通過(guò)Ipsec隧道進(jìn)行正確 轉(zhuǎn)發(fā)���。RPF的原理在于�����,檢查接收到組播數(shù)據(jù)的接口是否為指向組播源的接 口 (即逆向轉(zhuǎn)發(fā)接口),如果組播數(shù)據(jù)是從該接口接收到的,則向下游接口轉(zhuǎn) 發(fā)該組播數(shù)據(jù)��,否則丟棄��。通過(guò)該機(jī)制����,避免了組播凄t據(jù)流的轉(zhuǎn)發(fā)形成環(huán)流��。 該RPF路由的配置可以通過(guò)設(shè)置ACL列表實(shí)現(xiàn)����,利用ACL列表可以設(shè)定特 定接口上所允許的源地址,對(duì)于符合該ACL列表允許通過(guò)條件的數(shù)據(jù)進(jìn)行轉(zhuǎn) 發(fā)�����,否則直接丟棄���。后面的處理過(guò)程與采用IGMP協(xié)議類似����。當(dāng)中心^各由器收到來(lái)自ER-A通 過(guò)SA隧道發(fā)送的組播組加入消息后����,會(huì)在組播組表項(xiàng)中將接收到加入報(bào)文的 接口 C添加到出接口列表中����,并在SA中維護(hù)一個(gè)組播組表項(xiàng)。中心路由器 根據(jù)該SA的信息以及組播組表項(xiàng)向?qū)?yīng)的邊緣路由器通過(guò)IPSec通道發(fā)送組 播���。通過(guò)使用上述實(shí)施例所提供的組播數(shù)據(jù)傳輸方法,在中心路由器和邊緣 路由器建立SA和IPSec隧道���,實(shí)現(xiàn)了 IP組播數(shù)據(jù)在IPSec隧道上的直接傳輸�, 減少了現(xiàn)有技術(shù)中封裝GRE隧道的開(kāi)銷���,提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率;另外,在 SA的組播組表項(xiàng)中對(duì)組播數(shù)據(jù)的接收者進(jìn)行選擇判斷�����,提高了網(wǎng)絡(luò)中組播數(shù) 據(jù)傳輸?shù)陌踩?���。本發(fā)明的實(shí)施例四提供了 一種用于組播數(shù)據(jù)轉(zhuǎn)發(fā)的中心路由器,如圖8所 示���,包括下游接口ll,與各邊緣路由器和解封裝單元12��、封裝單元15連接,用于 在接收各邊緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組消息時(shí)����,向解封 裝單元12發(fā)送;并用于在接收到封裝單元15發(fā)送的組播數(shù)據(jù)時(shí)��,通過(guò)預(yù)先建 立的IPSec隧道向邊纟彖路由器發(fā)送。解封裝單元12�,與下游接口11和上游接口16連接連接�����,用于對(duì)邊緣路由 器通過(guò)IPSec隧道發(fā)送的組播組消息進(jìn)行解封裝�����,獲取其中包括的組播組消息 并通過(guò)上游4妄口 16向上游網(wǎng)絡(luò)中對(duì)應(yīng)的組4番組地址轉(zhuǎn)發(fā)。SA信息設(shè)置單元13,與組播組表項(xiàng)維護(hù)單元14連接���,用于存儲(chǔ)配置與邊 緣路由器建立的SA和IPSec隧道的接口、 ACL規(guī)則�����、相應(yīng)的安全策略和參數(shù)���。組播組表項(xiàng)維護(hù)單元14,與解封裝單元12和封裝單元15連接連接���,用于 根據(jù)解封裝單元12獲取的組播組信息����,以及SA信息設(shè)置單元13中的配置信 息,獲得接收到該組播組消息的接口��、發(fā)送該組播組消息的接口、該發(fā)送接 口所屬的SA以及組播組消息���,并根據(jù)這些消息維護(hù)本地的組播組表項(xiàng)��。在接 收到上游網(wǎng)絡(luò)發(fā)送的組播數(shù)據(jù)時(shí)��,提供封裝單元15進(jìn)行組播數(shù)據(jù)轉(zhuǎn)發(fā)封裝所 需的組播組表項(xiàng)信息。封裝單元15�,與組〗番組表項(xiàng)維護(hù)單元14���、下游接口11和上游接口16連接�, 用于對(duì)從上游接口 16接收到的組播數(shù)據(jù)按照目的SA的參數(shù)進(jìn)行封裝���,并根據(jù) 組播組表項(xiàng)維護(hù)單元14維護(hù)的組播組表項(xiàng)和安全策略�����,獲取組播數(shù)據(jù)轉(zhuǎn)發(fā)的 目的SA����,將封裝后的組播數(shù)據(jù)通過(guò)下游接口 ll向目的SA發(fā)送��。上游接口16���,與上游網(wǎng)絡(luò)和解封裝單元12�、封裝單元15連接�,用于向上 游網(wǎng)絡(luò)發(fā)送解封裝單元12得到的組播組消息,并在接收到封裝單元15發(fā)送的 組播數(shù)據(jù)時(shí)���,根據(jù)封裝單元15提供的信息���,將封裝后的組播數(shù)據(jù)向目的SA 發(fā)送����。本發(fā)明的實(shí)施例五提供了 一種用于組播數(shù)據(jù)轉(zhuǎn)發(fā)的邊緣路由器�����,包括邊緣下游接口21,與下游網(wǎng)絡(luò)連4妻,下游網(wǎng)絡(luò)中包括用戶終端���;用于在 接收到用戶終端發(fā)送的組播組消息時(shí)����,向邊緣封裝單元23發(fā)送��。并在接收到 邊緣解封裝單元25發(fā)送的組播數(shù)據(jù)時(shí)��,向?qū)?yīng)的用戶終端發(fā)送���。SA信息單元22,用于配置和存儲(chǔ)與中心路由器建立的SA和IPSec隧道的接 口�、 ACL規(guī)則��、相應(yīng)的安全策略和參數(shù)����。邊緣封裝單元23,與SA信息單元22連接���,用于根據(jù)SA信息單元22設(shè)置的 安全策略和參數(shù),對(duì)邊緣下游接口 21接收到的組播組消息進(jìn)行封裝后向邊緣 上游接口24發(fā)送。邊緣上游接口24�����,與中心路由器連接,用于通過(guò)預(yù)先建立的IPSec隧道向 中心路由器發(fā)送邊緣封裝單元23封裝后的組播組消息��,并用于在接收到中心 路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播數(shù)據(jù)時(shí),向邊緣解封裝單元25發(fā)送����。邊緣解封裝單元25����,與SA信息單元22連接����,用于根據(jù)SA信息單元22設(shè)置 的安全策略和參數(shù)����,對(duì)邊緣上游接口24發(fā)送的組播數(shù)據(jù)進(jìn)行解封裝���,然后通 過(guò)邊緣下游接口 21向用戶終端發(fā)送���。通過(guò)使用上述實(shí)施例所提供的設(shè)備,在中心路由器和邊緣路由器建立SA 和IPSec隧道�,實(shí)現(xiàn)了IP組播數(shù)據(jù)在IPSec隧道上的直接傳輸�,減少了現(xiàn)有技術(shù) 中封裝GRE隧道的開(kāi)銷,提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率����;另外�����,在SA的組播組表項(xiàng) 中對(duì)組播數(shù)據(jù)的接收者進(jìn)行選擇判斷���,提高了網(wǎng)絡(luò)中組播數(shù)據(jù)傳輸?shù)陌踩浴Mㄟ^(guò)以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)��,當(dāng)然也可以通過(guò)硬件����, 但很多情況下前者是更佳的實(shí)施方式�。基于這樣的理解���,本發(fā)明的技術(shù)方案 本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)��, 該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中����,包括若干指令用以使得一臺(tái)路由 器設(shè)備執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例�����,但是�����,本發(fā)明并非局限于此�, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1��、一種組播數(shù)據(jù)的傳輸方法,其特征在于���,包括如下步驟邊緣路由器通過(guò)與中心路由器預(yù)先建立的IPSec隧道���,將用戶終端的組播組消息封裝后向所述中心路由器發(fā)送�����;所述邊緣路由器接收所述中心路由器通過(guò)所述IPSec隧道傳輸?shù)乃鼋M播組的組播數(shù)據(jù);所述邊緣路由器解封裝所述組播數(shù)據(jù)并向所述用戶終端發(fā)送��。
2��、 如權(quán)利要求1所述組播數(shù)據(jù)的傳輸方法�����,其特征在于,所述向中心路 由器發(fā)送用戶終端的組播組消息前,還包括步驟與所述中心路由器建立具有IPSec隧道的安全同盟SA,設(shè)置相應(yīng)的安全 策略和參數(shù)��。
3�����、 如權(quán)利要求2所述組播數(shù)據(jù)的傳輸方法,其特征在于�����,所述與中心路 由器建立具有IPSec隧道的安全同盟SA的步驟具體包括在所述邊緣路由器和所述中心路由器互連的接口建立IPSec隧道,并配置 ACL規(guī)則與相應(yīng)的IPSec隧道進(jìn)行綁定���;將所述邊緣路由器和所述中心路由器互連的接口分別配置為各自路由 器上IPSec隧道的本地和遠(yuǎn)端地址�。
4���、 如權(quán)利要求2所述組播數(shù)據(jù)的傳輸方法�����,其特征在于���,所述邊緣路由 器與中心路由器建立具有IPSec隧道的安全同盟SA的步驟具體包括在所述邊緣路由器和所述中心路由器互連的接口配置組播路由協(xié)議�,配 置相應(yīng)的ACL規(guī)則并建立IPSec隧道;將所述邊緣路由器和所述中心路由器互連接的接口分別配置為各自路由 器上IPSec隧道的本地和遠(yuǎn)端地址���。
5����、 一種組播數(shù)據(jù)的傳輸方法���,其特征在于,包括如下步驟 中心路由器解封裝邊緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組消息����;所述中心路由器根據(jù)所述組播組消息維護(hù)組播組表項(xiàng),并向上游網(wǎng)絡(luò)發(fā) 送所述組播組消息�����;所述中心路由器接收到上游網(wǎng)絡(luò)發(fā)送的所述組播組的組播數(shù)據(jù)時(shí),根據(jù)所述組4番組表項(xiàng),將所述組播數(shù)據(jù)封裝后通過(guò)所述IPSec隧道向所述邊緣路由 器發(fā)送���。
6�、 如權(quán)利要求5所述組播數(shù)據(jù)的傳輸方法,其特征在于�����,所述解封裝邊 緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組消息前���,還包括步驟與邊緣路由器建立具有IPSec隧道的安全同盟SA����,設(shè)置相應(yīng)的安全策略 和參數(shù)����。
7���、 如權(quán)利要求6所述組播數(shù)據(jù)的傳輸方法��,其特征在于��,所述中心路由 器根據(jù)所述組播組消息維護(hù)組播組表項(xiàng)的步驟具體為將接收到所述組播組消息的接口添加到組播組表項(xiàng)的出接口列表����; 將所述組纟番組消息發(fā)送地址所屬的SA和請(qǐng)求加入的組〗番組地址添加到 組播組表項(xiàng)��。
8�、 如權(quán)利要求7所述組播數(shù)據(jù)的傳輸方法����,其特征在于��,所述根據(jù)組播 組表項(xiàng)�����,將組播數(shù)據(jù)封裝后通過(guò)IPSec隧道向邊緣路由器發(fā)送的步驟具體為獲取組播組表項(xiàng)的出接口列表����,將所述組播數(shù)據(jù)發(fā)送到對(duì)應(yīng)的出接口 ; 在所述出接口中獲取所述組播數(shù)據(jù)匹配的安全策略�,利用與所述匹配的安全策略對(duì)應(yīng)的訪問(wèn)控制列表轉(zhuǎn)發(fā)所述組播數(shù)據(jù);轉(zhuǎn)發(fā)所述組播數(shù)據(jù)時(shí)��,根據(jù)所述組播組表項(xiàng)獲取轉(zhuǎn)發(fā)所述組播數(shù)據(jù)的目標(biāo)SA;將組播數(shù)據(jù)封裝后通過(guò)IPSec隧道向所述目標(biāo)SA對(duì)應(yīng)的邊緣路由器發(fā)送 所述組播數(shù)據(jù)。
9、 一種邊緣^各由器���,其特征在于,包括邊緣封裝單元��,用于根據(jù)與中心路由器預(yù)先建立的IPSec隧道��,把用戶終 端的組播組消息進(jìn)行封裝后向所述中心路由器發(fā)送����;邊緣解封裝單元,用于解封裝所述中心路由器通過(guò)所述IPSec隧道傳輸?shù)?組播數(shù)據(jù)并向用戶終端發(fā)送����。
10、 如權(quán)利要求9所述邊緣路由器�����,其特征在于,還包括 SA信息單元�,用于配置和存儲(chǔ)與中心路由器建立的SA、 IPSec隧道的接口����、 ACL失見(jiàn)則�、相應(yīng)的安全策略和參數(shù)中的一種或多種�����。
11����、 如權(quán)利要求9所述邊緣路由器,其特征在于�,還包括 邊緣上游接口 ����,用于通過(guò)預(yù)先建立的IPSec隧道向中心路由器發(fā)送所述邊緣封裝單元封裝后的組播組消息���,并用于在接收到中心路由器通過(guò)所述IPSec 隧道發(fā)送的組播數(shù)據(jù)時(shí)��,向所述邊緣解封裝單元發(fā)送;邊緣下游接口 ,用于在接收到下游網(wǎng)絡(luò)中用戶終端發(fā)送的組播組消息時(shí)�����, 向所述邊緣封裝單元發(fā)送�����;并在接收到所述邊緣解封裝單元發(fā)送的組播數(shù)據(jù) 時(shí)�,向?qū)?yīng)的用戶終端發(fā)送�。
12、 一種中心路由器��,其特征在于���,包括解封裝單元�,用于對(duì)邊緣路由器通過(guò)IPSec隧道發(fā)送的消息進(jìn)行解封裝�, 獲取其中包括的組播組消息;組播組表項(xiàng)維護(hù)單元�����,用于根據(jù)所述解封裝單元獲取的組播組信息���,維 護(hù)本地的組纟番組表項(xiàng)����;封裝單元,用于接收到上游網(wǎng)絡(luò)的組播數(shù)據(jù)時(shí),根據(jù)所述組播組表項(xiàng)維 護(hù)單元中的組播組表項(xiàng),通過(guò)IPSec隧道將組播數(shù)據(jù)封裝后向所述邊緣路由器 發(fā)送�。
13��、 如權(quán)利要求12所述的中心路由器��,其特征在于����,還包括 SA信息設(shè)置單元����,用于配置與邊緣路由器建立的SA���、 IPSec隧道的接口、ACL規(guī)則��、相應(yīng)的安全策略和參數(shù)中的一種或多種�。
14��、 如權(quán)利要求12所述的中心路由器��,其特征在于��,還包括 下游接口 �����,用于將各邊緣路由器通過(guò)預(yù)先建立的IPSec隧道發(fā)送的組播組消息向所述解封裝單元發(fā)送���,并在接收到所述封裝單元發(fā)送的組播數(shù)據(jù)時(shí)����, 通過(guò)預(yù)先建立的IPSec隧道向?qū)?yīng)的邊緣路由器發(fā)送�;上游接口,用于向上游網(wǎng)絡(luò)發(fā)送所述解封裝單元得到的組播組消息��,并 在接收到上游網(wǎng)絡(luò)的組播數(shù)據(jù)時(shí),向所述封裝單元發(fā)送。
全文摘要
本發(fā)明公開(kāi)了一種組播數(shù)據(jù)的傳輸方法���,包括如下步驟邊緣路由器通過(guò)與中心路由器預(yù)先建立的IPSec隧道��,將用戶終端的組播組消息封裝后向中心路由器發(fā)送�;邊緣路由器接收中心路由器通過(guò)IPSec隧道傳輸?shù)慕M播組的組播數(shù)據(jù)���;邊緣路由器解封裝組播數(shù)據(jù)并向用戶終端發(fā)送。通過(guò)使用本發(fā)明提供的方法���,在中心路由器和邊緣路由器建立SA和IPSec隧道�����,實(shí)現(xiàn)了IP組播數(shù)據(jù)在IPSec隧道上的直接傳輸,減少了現(xiàn)有技術(shù)中封裝GRE隧道的開(kāi)銷��,提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率�;另外��,在SA的組播組表項(xiàng)中對(duì)組播數(shù)據(jù)的接收者進(jìn)行選擇判斷�����,提高了網(wǎng)絡(luò)中組播數(shù)據(jù)傳輸?shù)陌踩浴?br>
文檔編號(hào)H04L12/54GK101163088SQ20071014283
公開(kāi)日2008年4月16日 申請(qǐng)日期2007年7月31日 優(yōu)先權(quán)日2007年7月31日
發(fā)明者迪 周, 王連朝 申請(qǐng)人:杭州華三通信技術(shù)有限公司