專利名稱:建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法和網(wǎng)絡設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域,尤其涉及一種建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法和網(wǎng)絡設備��。
背景技術:
虛擬專用網(wǎng)(Virtual Private Network,簡稱VPN)技術通過在公共物理網(wǎng)絡(通常為互聯(lián)網(wǎng)Inetenet)上建立私有邏輯網(wǎng)絡,使得位于不同局域網(wǎng)內的網(wǎng)絡節(jié)點之間能夠自由��、安全地相互訪問���,如同位于同一個局域網(wǎng)中一樣�?���;ヂ?lián)網(wǎng)安全協(xié)議(Internet Protocol Security,簡稱IPsec)是一個范圍廣泛、開放的VPN安全協(xié)議體系,包括網(wǎng)絡認證(Authentication Header,簡稱AH)協(xié)議��、封裝安全載荷(Encapsulating Security Payload,簡稱 ESP)協(xié)議��、互聯(lián)網(wǎng)密鑰管理(Internet KeyExchange���,簡稱IKE)協(xié)議等���,IPsec協(xié)議可以在隧道模式或傳輸模式下運行?��;ヂ?lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)IPsec VPN隧道的建立可以應用在網(wǎng)關和網(wǎng)關之間或者網(wǎng)關和移動客戶端之間等�,以網(wǎng)關和網(wǎng)關之間為例��,即在兩個網(wǎng)關之間通過IKE協(xié)議建立隧道�����,使得兩個網(wǎng)關連接的兩個不同的局域網(wǎng)內的網(wǎng)絡節(jié)點之間可以通過該隧道自由��、安全地相互訪問?,F(xiàn)有技術中,在采用標準IKE協(xié)商建立IPsec VPN隧道的過程中��,建立隧道的兩個網(wǎng)元彼此交換各自的身份標識碼(Identity����,簡稱ID),ID可以使用標準IKE協(xié)商中規(guī)定格式的IP子網(wǎng)�、IP地址或IP地址段等。但現(xiàn)有技術至少存在如下缺陷:一條隧道只能保護一對IP子網(wǎng)����、IP地址或IP地址段等,當建立隧道的兩個網(wǎng)元之間有多對IP子網(wǎng)�����、IP地址或IP地址段等需要保護時�,需建立多條隧道����,增加了網(wǎng)絡管理員的工作量����,并且如果隧道啟用了失效對等體檢測(DeadPeer Detection,簡稱DPD)功能�,即定時向建立隧道的兩個網(wǎng)元發(fā)送數(shù)據(jù)包,探測其是否存活��,則建立多條隧道增加了網(wǎng)絡流量�����。
發(fā)明內容
本發(fā)明提供一種建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法和網(wǎng)絡設備�����,用以解決現(xiàn)有技術中存在的當建立隧道的兩個網(wǎng)元之間有多對IP子網(wǎng)��、IP地址或IP地址段等需要保護時��,需建立多條隧道���,增加了網(wǎng)絡管理員的工作量以及網(wǎng)絡流量的問題���。一方面���,本發(fā)明提供了一種建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法���,包括:第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息���,所述協(xié)商請求消息中攜帶協(xié)商標識,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述第一網(wǎng)絡設備所在的多個子網(wǎng)且對應所述第二網(wǎng)絡設備所在的多個子網(wǎng)���;所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的對所述協(xié)商請求消息的協(xié)商響應消息��,所述協(xié)商響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述協(xié)商標識進行驗證的第一驗證結果���;
若所述第一驗證結果表示驗證通過,則所述第一網(wǎng)絡設備向所述第二網(wǎng)絡設備發(fā)送所述建立隧道請求消息�,所述建立隧道請求消息中攜帶所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識,所述第一網(wǎng)絡設備的標識用于標識所述第一網(wǎng)絡設備所在的多個子網(wǎng)信息��,所述第二網(wǎng)絡設備的標識用于標識所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息��;所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的對所述建立隧道請求消息的響應消息�,所述響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識進行驗證的第二驗證結果���;若所述第二驗證結果表示協(xié)商成功,則所述第一網(wǎng)絡設備將所述第一網(wǎng)絡設備和所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射����。另一方面,本發(fā)明還提供了一種建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法���,包括:第二網(wǎng)絡設備接收第一網(wǎng)絡設備發(fā)送的協(xié)商請求消息���,所述協(xié)商請求消息中攜帶協(xié)商標識,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述第一網(wǎng)絡設備所在的多個子網(wǎng)且對應所述第二網(wǎng)絡設備所在的多個子網(wǎng)����;所述第二網(wǎng)絡設備根據(jù)所述協(xié)商標識進行驗證,得到第一驗證結果��;所述第二網(wǎng)絡設備向所述第一網(wǎng)絡設備發(fā)送對所述協(xié)商請求消息的協(xié)商響應消息����,所述協(xié)商響應消息中攜帶所述第一驗證結果;若所述第一驗證結果表示驗證通過�,則所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的所述建立隧道請求消息,所述建立隧道請求消息中攜帶所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識,所述第一網(wǎng)絡設備的標識用于標識所述第一網(wǎng)絡設備所在的多個子網(wǎng)信息�����,所述第二網(wǎng)絡設備的標識用于標識所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息����;所述第二網(wǎng)絡設備根據(jù)所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識進行驗證,得到第二驗證結果����;所述第二網(wǎng)絡設備向所述第一網(wǎng)絡設備發(fā)送對所述建立隧道請求消息的響應消息�����,所述響應消息中攜帶所述第二驗證結果�;若所述第二驗證結果表示協(xié)商成功,則所述第二網(wǎng)絡設備將所述第一網(wǎng)絡設備和所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射���。另一方面�����,本發(fā)明還提供了一種網(wǎng)絡設備��,包括:第一發(fā)送模塊��,用于向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息�,所述協(xié)商請求消息中攜帶協(xié)商標識,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述網(wǎng)絡設備所在的多個子網(wǎng)且對應所述第二網(wǎng)絡設備所在的多個子網(wǎng)�;第一接收模塊,用于接收所述第二網(wǎng)絡設備發(fā)送的對所述協(xié)商請求消息的協(xié)商響應消息����,所述協(xié)商響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述協(xié)商標識進行驗證的第一驗證結果;第二發(fā)送模塊����,用于若所述第一驗證結果表示驗證通過,則向所述第二網(wǎng)絡設備發(fā)送所述建立隧道請求消息�����,所述建立隧道請求消息中攜帶所述網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識��,所述網(wǎng)絡設備的標識用于標識所述網(wǎng)絡設備所在的多個子網(wǎng)信息���,所述第二網(wǎng)絡設備的標識用于標識所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息�;
第二接收模塊��,用于接收所述第二網(wǎng)絡設備發(fā)送的對所述建立隧道請求消息的響應消息,所述響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識進行驗證的第二驗證結果�����;第一映射模塊�����,用于若所述第二驗證結果表示協(xié)商成功����,則將所述網(wǎng)絡設備和所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射。另一方面�����,本發(fā)明還提供了一種網(wǎng)絡設備�,包括:第三接收模塊����,用于接收第一網(wǎng)絡設備發(fā)送的協(xié)商請求消息,所述協(xié)商請求消息中攜帶協(xié)商標識����,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述第一網(wǎng)絡設備所在的多個子網(wǎng)且對應所述網(wǎng)絡設備所在的多個子網(wǎng);第一驗證模塊,用于根據(jù)所述協(xié)商標識進行驗證����,得到第一驗證結果;第三發(fā)送模塊�,用于向所述第一網(wǎng)絡設備發(fā)送對所述協(xié)商請求消息的協(xié)商響應消息,所述協(xié)商響應消息中攜帶所述第一驗證結果�;第四接收模塊,用于若所述第一驗證結果表示驗證通過�,則接收所述第一網(wǎng)絡設備發(fā)送的所述建立隧道請求消息,所述建立隧道請求消息中攜帶所述第一網(wǎng)絡設備的標識和所述網(wǎng)絡設備的標識��,所述第一網(wǎng)絡設備的標識用于標識所述第一網(wǎng)絡設備所在的多個子網(wǎng)信息�,所述網(wǎng)絡設備的標識用于標識所述網(wǎng)絡設備所在的多個子網(wǎng)信息;第二驗證模塊����,用于根據(jù)所述第一網(wǎng)絡設備的標識和所述網(wǎng)絡設備的標識進行驗證,得到第二驗證結果���;第四發(fā)送模塊��,用于向所述第一網(wǎng)絡設備發(fā)送對所述建立隧道請求消息的響應消息����,所述響應消息中攜帶所述第二驗證結果;第二映射模塊����,用于若所述第二驗證結果表示協(xié)商成功,則將所述第一網(wǎng)絡設備和所述網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射�。本發(fā)明提供的建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法和網(wǎng)絡設備,通過在第一網(wǎng)絡設備發(fā)送的建立隧道請求消息中��,攜帶第一網(wǎng)絡設備所在的多個子網(wǎng)信息的標識和第二網(wǎng)絡設備所在的多個子網(wǎng)信息的標識���,并將第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射�����,使得在兩個網(wǎng)絡設備之間建立單條隧道就可以對應多對子網(wǎng)�����,減少了網(wǎng)絡管理員的工作量以及網(wǎng)絡流量。
圖1為本發(fā)明建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法一個實施例的流程示意圖�;圖2為圖1所示實施例的一種典型應用場景的示意圖;圖3為本發(fā)明建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法又一個實施例的流程示意圖����;圖4為本發(fā)明建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法又一個實施例的流程示意圖����;圖5為采用現(xiàn)有的標準IKE協(xié)商建立多條隧道的示意圖6為采用圖4所示實施例的方法建立單條隧道的示意圖���;圖7為本發(fā)明網(wǎng)絡設備一個實施例的結構示意圖�����;圖8為本發(fā)明網(wǎng)絡設備又一個實施例的結構示意圖�。
具體實施例方式下面通過具體的實施例及附圖����,對本發(fā)明的技術方案做進一步的詳細描述。圖1為本發(fā)明建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法一個實施例的流程示意圖�����。如圖1所示�,本實施例是在建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)IPsecVPN隧道的發(fā)起方即第一網(wǎng)絡設備一側詳細描述本發(fā)明的技術方案,也就是說本實施例提供的建立IPsecVPN隧道的方法的執(zhí)行主體為第一網(wǎng)絡設備�。該方法具體可以包括:S101,第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息����,協(xié)商請求消息中攜帶協(xié)商標識��,協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應第一網(wǎng)絡設備所在的多個子網(wǎng)且對應第二網(wǎng)絡設備所在的多個子網(wǎng)��;具體的����,第一網(wǎng)絡設備和第二網(wǎng)絡設備分別為建立IPsec VPN隧道的發(fā)起方和響應方���,~■者可以均為網(wǎng)關��,或者���,~■者中的一個為網(wǎng)關,另一個為移動客戶端等�����,具體的實施場景和設備類型在此不做出限制�����。圖2為圖1所示實施例的一種典型應用場景的示意圖�����,如圖2所示�,以第一網(wǎng)絡設備和第二網(wǎng)絡設備均為網(wǎng)關為例,本實施例中分別用網(wǎng)關I和網(wǎng)關2加以區(qū)分�����,網(wǎng)關I和網(wǎng)關2分別位于不同的局域網(wǎng)(例如:網(wǎng)關I位于局域網(wǎng)I��,網(wǎng)關2位于局域網(wǎng)2)����,通過在網(wǎng)關I和網(wǎng)關2之間建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)IPsec VPN隧道,使得原本屬于不同局域網(wǎng)(局域網(wǎng)I和局域網(wǎng)2)的主機之間可以自由��、安全的相互訪問�,看起來就像位于同一個局域網(wǎng)中一樣。其中�����,協(xié)商標識具體可以為第一網(wǎng)絡設備的廠商標識�����。S102��,第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的對協(xié)商請求消息的協(xié)商響應消息,協(xié)商響應消息中攜帶第二網(wǎng)·絡設備根據(jù)協(xié)商標識進行驗證的第一驗證結果���;具體的���,以協(xié)商標識為第一網(wǎng)絡設備的廠商標識為例,當?shù)谝痪W(wǎng)絡設備發(fā)送的協(xié)商請求消息中攜帶的自身的廠商標識和第二網(wǎng)絡設備的廠商標識一致時�,第一網(wǎng)絡設備接收到的第二網(wǎng)絡設備發(fā)送的協(xié)商響應消息中攜帶的第一驗證結果,用于表示驗證通過��,則繼續(xù)執(zhí)行步驟S103����。S103,若第一驗證結果表示驗證通過�,則第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送建立隧道請求消息,建立隧道請求消息中攜帶第一網(wǎng)絡設備的標識和第二網(wǎng)絡設備的標識��,第一網(wǎng)絡設備的標識用于標識第一網(wǎng)絡設備所在的多個子網(wǎng)信息�,第二網(wǎng)絡設備的標識用于標識第二網(wǎng)絡設備所在的多個子網(wǎng)信息;具體的��,第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送的建立隧道請求消息中攜帶自身的標識和預先配置的第二網(wǎng)絡設備的標識�����,一方面可以用于第二網(wǎng)絡設備驗證自己的身份,另一方面可以用于標識需通過隧道進行通信的各子網(wǎng)對�����。具體的�����,第一網(wǎng)絡設備的標識中可以包括:第一網(wǎng)絡設備所在的多個子網(wǎng)信息����、第一網(wǎng)絡設備所在的多個IP地址信息或第一網(wǎng)絡設備所在的多個IP地址段信息��,本實施例以第一網(wǎng)絡設備的標識中包括第一網(wǎng)絡設備所在的多個子網(wǎng)信息為例進行說明���。具體的��,第一網(wǎng)絡設備的標識中可以包括:第一網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息���、第一網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息;
相應的�����,第二網(wǎng)絡設備的標識中可以包括:第二網(wǎng)絡設備所在的多個子網(wǎng)信息、第二網(wǎng)絡設備所在的多個IP地址信息或第二網(wǎng)絡設備所在的多個IP地址段信息�,本實施例以第二網(wǎng)絡設備的標識中包括第二網(wǎng)絡設備所在的多個子網(wǎng)信息為例進行說明。具體的�����,第二網(wǎng)絡設備的標識中可以包括:第二網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息�、第二網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息??蛇x的,可以通過第二網(wǎng)絡設備的標識中第二網(wǎng)絡設備所在的每個子網(wǎng)的信息的順序與第一網(wǎng)絡設備的標識中第一網(wǎng)絡設備所在的每個子網(wǎng)的信息的對應順序��,確定第一網(wǎng)絡設備的任意一個子網(wǎng)與第二網(wǎng)絡設備的一個子網(wǎng)的對應關系��。例如:需要通信的一對子網(wǎng)在第二網(wǎng)絡設備的標識以及第一網(wǎng)絡設備的標識中的次序可以一致����。S104,第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的對建立隧道請求消息的響應消息�,響應消息中攜帶第二網(wǎng)絡設備根據(jù)第一網(wǎng)絡設備的標識和第二網(wǎng)絡設備的標識進行驗證的第二驗證結果;具體的��,當?shù)谝痪W(wǎng)絡設備發(fā)送的建立隧道請求消息中攜帶的自身的標識和預先配置的第二網(wǎng)絡設備的標識���,和第二網(wǎng)絡設備中預先配置的第一網(wǎng)絡設備的標識以及自身的標識一致時�����,第一網(wǎng)絡設備接收到的第二網(wǎng)絡設備發(fā)送的響應消息中攜帶的第二驗證結果�,用于表示對第一網(wǎng)絡設備的驗證通過,協(xié)商成功�����,則繼續(xù)執(zhí)行步驟105���。相應的,當?shù)谝痪W(wǎng)絡設備發(fā)送的建立隧道請求消息中攜帶的自身的標識和預先配置的第二網(wǎng)絡設備的標識��,和第二網(wǎng)絡設備中預先配置的第一網(wǎng)絡設備的標識以及自身的標識不一致時���,第一網(wǎng)絡設備接收到的第二網(wǎng)絡設備發(fā)送的響應消息中攜帶的第二驗證結果����,用于表示對第一網(wǎng)絡設備的驗證不通過�,協(xié)商不成功,則結束建立隧道過程�����。S105,若第二驗證結果表示協(xié)商成功�,則第一網(wǎng)絡設備將第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多個子網(wǎng)信息與建立隧道請求消息所請求建立的隧道的標識進行映射。具體的�,第一網(wǎng)絡設備將自身和第二網(wǎng)絡設備所在的多個子網(wǎng)信息與建立隧道請求消息所請求建立的隧道的標識進行映射,并將映射關系記錄于本地�,實現(xiàn)單條隧道對應第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多對子網(wǎng)。本實施例提供的建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法�����,通過在第一網(wǎng)絡設備發(fā)送的建立隧道請求消息中��,攜帶第一網(wǎng)絡設備所在的多個子網(wǎng)信息的標識和第二網(wǎng)絡設備所在的多個子網(wǎng)信息的標識���,并將第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多個子網(wǎng)信息與建立隧道請求消息所請求建立的隧道的標識進行映射�����,使得在兩個網(wǎng)絡設備之間建立單條隧道就可以對應第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多對子網(wǎng)���,減少了網(wǎng)絡管理員的工作量以及網(wǎng)絡流量。圖3為本發(fā)明建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法又一個實施例的流程示意圖����。如圖3所示���,本實施例是在建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)IPsec VPN隧道的響應方即第二網(wǎng)絡設備一側詳細描述本發(fā)明的技術方案,也就是說本實施例提供的建立IPsecVPN隧道的方法的執(zhí)行主體為第二網(wǎng)絡設備��。該方法具體可以包括:S301�,第二網(wǎng)絡設備接收第一網(wǎng)絡設備發(fā)送的協(xié)商請求消息,協(xié)商請求消息中攜帶協(xié)商標識�,協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應第一網(wǎng)絡設備所在的多個子網(wǎng)且對應第二網(wǎng)絡設備所在的多個子網(wǎng);具體的��,第一網(wǎng)絡設備和第二網(wǎng)絡設備分別為建立IPsec VPN隧道的發(fā)起方和響應方�����,~■者可以均為網(wǎng)關����,或者��,~■者中的一個為網(wǎng)關����,另一個為移動客戶端等����,具體的實施場景和設備類型在此不做出限制�。其中,協(xié)商標識具體可以為第一網(wǎng)絡設備的廠商標識����。S302,第二網(wǎng)絡設備根據(jù)協(xié)商標識進行驗證��,得到第一驗證結果����;具體的,第二網(wǎng)絡設備對接收到的協(xié)商請求消息進行解析���,得到協(xié)商標識�����,以協(xié)商標識為第一網(wǎng)絡設備的廠商標識為例�����,第二網(wǎng)絡設備將解析得到的第一網(wǎng)絡設備的廠商標識與自身的廠商標識進行比較����,當二者一致時,得到的第一驗證結果用于表示驗證通過�,當二者不一致時,得到的第一驗證結果用于表示驗證不通過���。S303���,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送對協(xié)商請求消息的協(xié)商響應消息,協(xié)商響應消息中攜帶第一驗證結果���;具體的���,第二網(wǎng)絡設備根據(jù)上述步驟S302得到的不同的第一驗證結果�,向第一網(wǎng)絡設備發(fā)送攜帶不同第一驗證結果的協(xié)商響應消息,即當?shù)谝痪W(wǎng)絡設備發(fā)送的協(xié)商請求消息中攜帶的自身的廠商標識和第二網(wǎng)絡設備的廠商標識一致時�,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送用于表示驗證通過的協(xié)商響應消息,并繼續(xù)執(zhí)行步驟S304���。S304�,若第一驗證結果表示驗證通過��,則第二網(wǎng)絡設備接收第一網(wǎng)絡設備發(fā)送的建立隧道請求消息,建立隧道請求消息中攜帶第一網(wǎng)絡設備的標識和第二網(wǎng)絡設備的標識��,第一網(wǎng)絡設備的標識用于標識第一網(wǎng)絡設備所在的多個子網(wǎng)信息��,第二網(wǎng)絡設備的標識用于標識第二網(wǎng)絡設備所在的多個子網(wǎng)信息��;具體的��,第二網(wǎng)絡設備接收到的第一網(wǎng)絡設備發(fā)送的建立隧道請求消息中攜帶第一網(wǎng)絡設備的標識和預先配置的第二網(wǎng)絡設備的標識��,一方面可以用于對第一網(wǎng)絡設備的身份進行驗證����,另一方面可以用于標識需通過隧道進行通信的各子網(wǎng)對。具體的����,第一網(wǎng)絡設備的標識中可以包括:第一網(wǎng)絡設備所在的多個子網(wǎng)信息、第一網(wǎng)絡設備所在的多個IP地址信息或第一網(wǎng)絡設備所 在的多個IP地址段信息�,本實施例以第一網(wǎng)絡設備的標識中包括第一網(wǎng)絡設備所在的多個子網(wǎng)信息為例進行說明。具體的���,第一網(wǎng)絡設備的標識中可以包括:第一網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息�、第一網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息; 相應的��,第二網(wǎng)絡設備的標識中可以包括:第二網(wǎng)絡設備所在的多個子網(wǎng)信息��、第二網(wǎng)絡設備所在的多個IP地址信息或第二網(wǎng)絡設備所在的多個IP地址段信息,本實施例以第二網(wǎng)絡設備的標識中包括第二網(wǎng)絡設備所在的多個子網(wǎng)信息為例進行說明。具體的��,第二網(wǎng)絡設備的標識中可以包括:第二網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息、第二網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息�。可選的��,可以通過第二網(wǎng)絡設備的標識中第二網(wǎng)絡設備所在的每個子網(wǎng)的信息的順序與第一網(wǎng)絡設備的標識中第一網(wǎng)絡設備所在的每個子網(wǎng)的信息的對應順序����,確定第一網(wǎng)絡設備的任意一個子網(wǎng)與第二網(wǎng)絡設備的一個子網(wǎng)的對應關系。例如:需要通信的一對子網(wǎng)在第二網(wǎng)絡設備的標識以及第一網(wǎng)絡設備的標識中的次序可以一致�。S305,第二網(wǎng)絡設備根據(jù)第一網(wǎng)絡設備的標識和第二網(wǎng)絡設備的標識進行驗證���,得到第二驗證結果;具體的���,第二網(wǎng)絡設備對接收到的建立隧道請求消息進行解析�,得到第一網(wǎng)絡設備的標識和預先配置的第二網(wǎng)絡設備的標識����,第二網(wǎng)絡設備將解析得到的第一網(wǎng)絡設備的標識和預先配置的第二網(wǎng)絡設備的標識���,分別與自身預先配置的第一網(wǎng)絡設備的標識和自身的標識進行比較,當兩對標識均一致時����,得到的第二驗證結果用于表示對第一網(wǎng)絡設備的驗證通過,協(xié)商成功��,當有一對標識不一致或兩對標識都不一致時�,得到的第二驗證結果用于表示對第一網(wǎng)絡設備的驗證不通過,協(xié)商不成功���。S306����,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送對建立隧道請求消息的響應消息����,響應消息中攜帶第二驗證結果;具體的����,第二網(wǎng)絡設備根據(jù)上述步驟S305得到的不同的第二驗證結果�,向第一網(wǎng)絡設備發(fā)送攜帶不同第二驗證結果的響應消息�����,即當?shù)诙W(wǎng)絡設備接收到的建立隧道請求消息中攜帶的第一網(wǎng)絡設備的標識和預先配置的第二網(wǎng)絡設備的標識��,與自身預先配置的第一網(wǎng)絡設備的標識和自身的標識兩兩均一致時���,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送用于表示協(xié)商成功的響應消息���;當有一對標識不一致或兩對標識都不一致時,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送用于表示協(xié)商不成功的響應消息�,并結束建立隧道過程。S307���,若第二驗證結果表示協(xié)商成功�,則第二網(wǎng)絡設備將第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多個子網(wǎng)信息與建立隧道請求消息所請求建立的隧道的標識進行映射�。具體的,當上述步驟S305得到的第二驗證結果用于表示協(xié)商成功時���,第二網(wǎng)絡設備將自身和第一網(wǎng)絡設備所在的多個子網(wǎng)信息與建立隧道請求消息所請求建立的隧道的標識進行映射�,并將映射關系記錄于本地��,實現(xiàn)單條隧道對應第二網(wǎng)絡設備和第一網(wǎng)絡設備所在的多對子網(wǎng)�。
需要說明的是,上述步驟S306和S307的執(zhí)行無明確的先后順序��。本實施例提供的建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法��,通過在第一網(wǎng)絡設備發(fā)送的建立隧道請求消息中�����,攜帶第一網(wǎng)絡設備所在的多個子網(wǎng)信息的標識和第二網(wǎng)絡設備所在的多個子網(wǎng)信息的標識���,并將第二網(wǎng)絡設備和第一網(wǎng)絡設備所在的多個子網(wǎng)信息與建立隧道請求消息所請求建立的隧道的標識進行映射��,使得在兩個網(wǎng)絡設備之間建立單條隧道就可以對應第二網(wǎng)絡設備和第一網(wǎng)絡設備所在的多對子網(wǎng)����,減少了網(wǎng)絡管理員的工作量以及網(wǎng)絡流量�。圖4為本發(fā)明建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法又一個實施例的流程示意圖。如圖4所示,本實施例描述的是上述圖1和圖3所示實施例的建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法的具體過程�����,該方法具體可以包括:S401,第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息���,協(xié)商請求消息中攜帶協(xié)商標識����,協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應第一網(wǎng)絡設備所在的多個子網(wǎng)且對應第二網(wǎng)絡設備所在的多個子網(wǎng)�����;具體的���,第一網(wǎng)絡設備和第二網(wǎng)絡設備分別為建立IPsec VPN隧道的發(fā)起方和響應方����,二者可以均為網(wǎng)關���,或者��,二者中的一個為網(wǎng)關����,另一個為移動客戶端等��,具體的實施場景和設備類型在此不做出限制。其中���,協(xié)商標識具體可以為第一網(wǎng)絡設備的廠商標識。S402���,第二網(wǎng)絡設備根據(jù)協(xié)商標識進行驗證�����,得到第一驗證結果���;具體的,第二網(wǎng)絡設備對接收到的協(xié)商請求消息進行解析�,得到協(xié)商標識,以協(xié)商標識為第一網(wǎng)絡設備的廠商標識為例����,第二網(wǎng)絡設備將解析得到的第一網(wǎng)絡設備的廠商標識與自身的廠商標識進行比較,當二者一致時��,得到的第一驗證結果用于表示驗證通過��,當二者不一致時���,得到的第一驗證結果用于表示驗證不通過�。S403,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送對協(xié)商請求消息的協(xié)商響應消息�,協(xié)商響應消息中攜帶第一驗證結果;具體的�,第二網(wǎng)絡設備根據(jù)上述步驟S402得到的不同的第一驗證結果,向第一網(wǎng)絡設備發(fā)送攜帶不同第一驗證結果的協(xié)商響應消息��,即當?shù)谝痪W(wǎng)絡設備發(fā)送的協(xié)商請求消息中攜帶的自身的廠商標識和第二網(wǎng)絡設備的廠商標識一致時���,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送用于表示驗證通過的協(xié)商響應消息���,并繼續(xù)執(zhí)行步驟S405;當?shù)谝痪W(wǎng)絡設備發(fā)送的協(xié)商請求消息中攜帶的自身的廠商標識和第二網(wǎng)絡設備的廠商標識不一致時,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送用于表示驗證不通過的協(xié)商響應消息�����,并執(zhí)行步驟S404��。S404����,若第一驗證結果表示驗證不通過,則第一網(wǎng)絡設備與第二網(wǎng)絡設備采用標準互聯(lián)網(wǎng)密鑰管理IKE協(xié)商方式建立隧道���。具體的�,當?shù)谝痪W(wǎng)絡設備接收到第二網(wǎng)絡設備發(fā)送的用于表示驗證不通過的協(xié)商響應消息后,第一網(wǎng)絡設備重新向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息�,協(xié)商請求消息中不攜帶協(xié)商標識,即進行現(xiàn)有的標準IKE協(xié)商�����,以保證對標準IKE協(xié)商的兼容性�����。一個完整的IKE協(xié)商過程包括兩個階段:第一階段和第二階段���。上述步驟S402-S403是對現(xiàn)有的標準IKE協(xié)商第一階段進行的改進,為了更好的說明本實施例的方案�,下面先介紹一下現(xiàn)有的標準IKE協(xié)商的第一階段:包括主模式和積進模式,以主模式為例���,雙方會有三次信息交互��,如下所示:發(fā)起方(第一網(wǎng)絡設備)響應方(第二網(wǎng)絡設備)
權利要求
1.一種建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法���,其特征在于����,包括: 第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息��,所述協(xié)商請求消息中攜帶協(xié)商標識��,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述第一網(wǎng)絡設備所在的多個子網(wǎng)且對應所述第二網(wǎng)絡設備所在的多個子網(wǎng)�����; 所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的對所述協(xié)商請求消息的協(xié)商響應消息����,所述協(xié)商響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述協(xié)商標識進行驗證的第一驗證結果; 若所述第一驗證結果表示驗證通過,則所述第一網(wǎng)絡設備向所述第二網(wǎng)絡設備發(fā)送所述建立隧道請求消息���,所述建立隧道請求消息中攜帶所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識�����,所述第一網(wǎng)絡設備的標識用于標識所述第一網(wǎng)絡設備所在的多個子網(wǎng)信息�����,所述第二網(wǎng)絡設備的標識用于標識所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息���; 所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的對所述建立隧道請求消息的響應消息��,所述響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識進行驗證的第二驗證結果����; 若所述第二驗證結果表示協(xié)商成功�,則所述第一網(wǎng)絡設備將所述第一網(wǎng)絡設備和所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射。
2.根據(jù)權利要求1所述的方法��,其特征在于���,所述第一網(wǎng)絡設備的標識中包括:所述第一網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息、所述第一網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息���; 所述第二網(wǎng)絡設備的標識中包括:所述第二網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息�����、所述第二網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息���。
3.根據(jù)權利要求1或2所述的方法,其特征在于,所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的對所述協(xié)商請求消息的協(xié)商響應消息之后�,還包括: 若所述第一驗證結果表示驗證不通過,則所述第一網(wǎng)絡設備與所述第二網(wǎng)絡設備采用標準互聯(lián)網(wǎng)密鑰管理IKE協(xié)商方式建立隧道�����。
4.一種建立互聯(lián)網(wǎng)安全協(xié)議虛擬專用網(wǎng)隧道的方法�����,其特征在于�����,包括: 第二網(wǎng)絡設備接收第一網(wǎng)絡設備發(fā)送的協(xié)商請求消息����,所述協(xié)商請求消息中攜帶協(xié)商標識,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述第一網(wǎng)絡設備所在的多個子網(wǎng)且對應所述第二網(wǎng)絡設備所在的多個子網(wǎng)�����; 所述第二網(wǎng)絡設備根據(jù)所述協(xié)商標識進行驗證�,得到第一驗證結果; 所述第二網(wǎng)絡設備向所述第一網(wǎng)絡設備發(fā)送對所述協(xié)商請求消息的協(xié)商響應消息�����,所述協(xié)商響應消息中攜帶所述第一驗證結果; 若所述第一驗證結果表示驗證通過����,則所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的所述建立隧道請求消息,所述建立隧道請求消息中攜帶所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識����,所述第一網(wǎng)絡設備的標識用于標識所述第一網(wǎng)絡設備所在的多個子網(wǎng)信息,所述第二網(wǎng)絡設備的標識用于標識所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息����; 所述第二網(wǎng)絡設備根據(jù)所述第一網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識進行驗證,得到第二驗證結果���;所述第二網(wǎng)絡設備向所述第一網(wǎng)絡設備發(fā)送對所述建立隧道請求消息的響應消息����,所述響應消息中攜帶所述第二驗證結果�����; 若所述第二驗證結果表示協(xié)商成功����,則所述第二網(wǎng)絡設備將所述第一網(wǎng)絡設備和所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射。
5.根據(jù)權利要求4所述的方法��,其特征在于�����,所述第一網(wǎng)絡設備的標識中包括:所述第一網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息����、所述第一網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息; 所述第二網(wǎng)絡設備的標識中包括:所述第二網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息�、所述第二網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息。
6.根據(jù)權利要求4或5所述的方法����,其特征在于,所述第二網(wǎng)絡設備向所述第一網(wǎng)絡設備發(fā)送對所述協(xié)商請求消息的協(xié)商響應消息之后�����,還包括: 若所述第一驗證結果表示驗證不通過�����,則所述第二網(wǎng)絡設備與所述第一網(wǎng)絡設備采用標準互聯(lián)網(wǎng)密鑰管理IKE協(xié)商方式建立隧道。
7.—種網(wǎng)絡設備�,其特征在于,包括: 第一發(fā)送模塊�,用于 向第二網(wǎng)絡設備發(fā)送協(xié)商請求消息,所述協(xié)商請求消息中攜帶協(xié)商標識��,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述網(wǎng)絡設備所在的多個子網(wǎng)且對應所述第二網(wǎng)絡設備所在的多個子網(wǎng)���; 第一接收模塊�,用于接收所述第二網(wǎng)絡設備發(fā)送的對所述協(xié)商請求消息的協(xié)商響應消息����,所述協(xié)商響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述協(xié)商標識進行驗證的第一驗證結果; 第二發(fā)送模塊,用于若所述第一驗證結果表示驗證通過�����,則向所述第二網(wǎng)絡設備發(fā)送所述建立隧道請求消息��,所述建立隧道請求消息中攜帶所述網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識����,所述網(wǎng)絡設備的標識用于標識所述網(wǎng)絡設備所在的多個子網(wǎng)信息��,所述第二網(wǎng)絡設備的標識用于標識所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息; 第二接收模塊�,用于接收所述第二網(wǎng)絡設備發(fā)送的對所述建立隧道請求消息的響應消息,所述響應消息中攜帶所述第二網(wǎng)絡設備根據(jù)所述網(wǎng)絡設備的標識和所述第二網(wǎng)絡設備的標識進行驗證的第二驗證結果�; 第一映射模塊,用于若所述第二驗證結果表示協(xié)商成功����,則將所述網(wǎng)絡設備和所述第二網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射。
8.根據(jù)權利要求7所述的網(wǎng)絡設備��,其特征在于����,所述網(wǎng)絡設備的標識中包括:所述網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息、所述網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息�����; 所述第二網(wǎng)絡設備的標識中包括:所述第二網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息���、所述第二網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息�。
9.根據(jù)權利要求7或8所述的網(wǎng)絡設備�,其特征在于,所述第一接收模塊還用于: 接收所述第二網(wǎng)絡設備發(fā)送的對所述協(xié)商請求消息的所述協(xié)商響應消息之后�����,若所述第一驗證結果表示驗證不通過,則所述網(wǎng)絡設備與所述第二網(wǎng)絡設備采用標準互聯(lián)網(wǎng)密鑰管理IKE協(xié)商方式建立隧道��。
10.一種網(wǎng)絡設備����,其特征在于,包括: 第三接收模塊���,用于接收第一網(wǎng)絡設備發(fā)送的協(xié)商請求消息�,所述協(xié)商請求消息中攜帶協(xié)商標識�����,所述協(xié)商標識用于指示建立隧道請求消息所請求建立的隧道對應所述第一網(wǎng)絡設備所在的多個子網(wǎng)且對應所述網(wǎng)絡設備所在的多個子網(wǎng)�; 第一驗證模塊,用于根據(jù)所述協(xié)商標識進行驗證���,得到第一驗證結果��; 第三發(fā)送模塊���,用于向所述第一網(wǎng)絡設備發(fā)送對所述協(xié)商請求消息的協(xié)商響應消息����,所述協(xié)商響應消息中攜帶所述第一驗證結果�; 第四接收模塊���,用于若所述第一驗證結果表示驗證通過�,則接收所述第一網(wǎng)絡設備發(fā)送的所述建立隧道請求消息�,所述建立隧道請求消息中攜帶所述第一網(wǎng)絡設備的標識和所述網(wǎng)絡設備的標識,所述第一網(wǎng)絡設備的標識用于標識所述第一網(wǎng)絡設備所在的多個子網(wǎng)信息���,所述網(wǎng)絡設備的標識用于標識所述網(wǎng)絡設備所在的多個子網(wǎng)信息�����; 第二驗證模塊�,用于根據(jù)所述第一網(wǎng)絡設備的標識和所述網(wǎng)絡設備的標識進行驗證�,得到第二驗證結果; 第四發(fā)送模塊�����,用于向所述第一網(wǎng)絡設備發(fā)送對所述建立隧道請求消息的響應消息���,所述響應消息中攜帶所述第二驗證結果�����; 第二映射模塊�����,用于若所述第二驗證結果表示協(xié)商成功���,則將所述第一網(wǎng)絡設備和所述網(wǎng)絡設備所在的多個子網(wǎng)信息與所述建立隧道請求消息所請求建立的隧道的標識進行映射�。
11.根據(jù)權利要求10所述的網(wǎng)絡設備���,其特征在于����,所述第一網(wǎng)絡設備的標識中包括:所述第一網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息���、所述第一網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息�����; 所述網(wǎng)絡設備的標識中包括:所述網(wǎng)絡設備所在的多個子網(wǎng)的個數(shù)信息�����、所述網(wǎng)絡設備所在的每個子網(wǎng)的IP子網(wǎng)地址信息和子網(wǎng)掩碼信息����。
12.根據(jù)權利要求10或11所述的網(wǎng)絡設備��,其特征在于����,所述第三發(fā)送模塊還用于:向所述第一網(wǎng)絡設備發(fā)送對所述協(xié)商請求消息的所述協(xié)商響應消息之后,若所述第一驗證結果表示驗證不通過��,則所述網(wǎng)絡設備與所述第一網(wǎng)絡設備采用標準互聯(lián)網(wǎng)密鑰管理IKE協(xié)商方式建立隧道��。
全文摘要
本發(fā)明提供一種建立IPsec VPN隧道的方法和網(wǎng)絡設備����。該方法包括第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送攜帶協(xié)商標識的協(xié)商請求消息,并接收返回的攜帶驗證結果的協(xié)商響應消息����,若驗證結果表示驗證通過,則向第二網(wǎng)絡設備發(fā)送攜帶第一網(wǎng)絡設備和第二網(wǎng)絡設備所在的多個子網(wǎng)信息的標識的建立隧道請求消息,并接收返回的攜帶驗證結果的響應消息��,若驗證結果表示協(xié)商成功�����,則將第一網(wǎng)絡設備所在的多個子網(wǎng)信息與所請求建立的隧道的標識進行映射��。本發(fā)明提供的建立IPsec VPN隧道的方法和網(wǎng)絡設備�����,通過在建立隧道請求消息中攜帶第一和第二網(wǎng)絡設備的標識��,使得建立單條隧道就可以對應多對子網(wǎng)�,減少了網(wǎng)絡管理員的工作量以及網(wǎng)絡流量。
文檔編號H04L29/12GK103152343SQ20131006807
公開日2013年6月12日 申請日期2013年3月4日 優(yōu)先權日2013年3月4日
發(fā)明者呂翀昊 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司