一种通用路由封装键值的管理方法及设备技术

本发明专利技术公开了一种GRE Key的管理方法，包括：VAM服务器在接收到ADVPN中的VAM客户端发送的首个保活报文时，根据保活报文中携带的属性信息确定VAM客户端的隧道封装类型及所属的Hub组，随后向该VAM客户端发送携带有确定出的Hub组对应的GRE Key的第一信息请求报文，以使VAM客户端根据第一信息请求报文中携带的GRE Key对自身进行配置。即，本发明专利技术实现了ADVPN隧道节点的GRE Key的自动配置，在存在大量ADVPN节点以及ADVPN网络频繁变化的情况下可大幅度减少管理员配置工作，从而提高网络管理效率。本发明专利技术同时还公开了一种VAM服务器。

【技术实现步骤摘要】
一种通用路由封装键值的管理方法及设备
本专利技术涉及通信
，特别涉及一种通用路由封装键值(GenericRoutingEncapsulationKey，GREKey)的管理方法。本专利技术同时还涉及一种虚拟专用网络地址管理(VPNAddressManagement，VAM)服务器。
技术介绍
越来越多的企业希望利用公共网络组建VPN(VirtualPrivateNetwork，虚拟专用网络)，连接地理位置不同的多个分支机构。然而，企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端的公网地址。这就为组建VPN提出了一个难题。目前，ADVPN(AutoDiscoveryVirtualPrivateNetwork，自动发现虚拟私有网络)通过VAM协议收集、维护和分发动态变化的公网地址等信息，解决了无法事先获得通信对端公网地址的问题。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。对于ADVPN来说，其具有两种典型的组网方式：Hub-Spoke组网和Full-Mesh组网。如图1所示，为Hub-Spoke组网结构示意图，其中Hub1和Hub2为企业总部的网关设备，Spoke1和Spoke2为企业分支的网关设备。该Hub-Spoke组网方式下，Spoke和Hub建立永久隧道(Tunnel)连接，例如，Hub1与Spoke1建立Tunnel1，Hub2与Spoke2建立Tunnel1；Spoke和Spoke之间不直接建立隧道连接，这样，所有数据报文通过Spoke-Hub隧道进行转发。如图2所示，为Full-Mesh组网结构示意图，在Full-Mesh组网方式下，所有的ADVPN节点(即Spoke和Hub)之间都可以建立隧道链接，Spoke与Hub之间建立永久隧道连接，例如，Hub1与Spoke1建立永久隧道连接；同一个域内任意两个Spoke间建立动态隧道连接，例如，Spoke1和Spoke2建立动态隧道连接，这样，数据报文通过Spoke-Spoke隧道发送到ADVPN对端节点；在Spoke-Hub隧道建立前，数据报文通过Spoke-Hub隧道转发。对于ADVPN来说，通常依靠动态路由协议进行路由学习，例如IBGP，EBGP和OSPF等路由协议。由于受路由协议邻居的限制，往往需要建立如图3所示的大规模组网，在大规模组网中，通常存在大量的ADVPN节点，为了减轻Hub的负担，将ADVPN划分为若干个Hub组，每个Hub组又可以包括若干组Hub和Spoke，这样，一个Hub组内的Spoke只与本组的Hub建立隧道，不与其他Hub组的Hub建立隧道。一般来说，上述大规模组网具有如下特点：(1)VAM服务器给属于同一组的Spoke分配Hub。(2)同一Hub组中Hub没有个数限制，该Hub组中的Spoke和该Hub组中的所有Hub建立隧道，该Hub组中的所有Hub之间建立Mesh的隧道。(3)同Hub组内的Mesh网络或Hub-spoke网络依靠本组内的动态路由协议。(4)不同Hub组内的Spoke依靠动态路由协议通过Hub进行交互；不同Hub组的Spoke需要建立SpoketoSpoke的直连隧道。(5)ADVPN节点的隧道封装类型有GRE隧道封装和UDP(UserDatagramProtocol，用户数据报协议)隧道封装两种类型。在大规模组网中，如果ADVPN节点的隧道封装类型为GRE隧道封装时，由于不同Hub可能分别存在于多个不同的Hub组，那么，需要为每个Hub创建多条Tunnel，以保证控制报文和数据报文的正确转发。例如，Hub1和Hub2同时存在于Hub组1(Group1)和Hub组3(Group3)中，Hub3同时存在于Hub组2(Group2)和Hub组3(Group3)中，这就需要管理员手工为Hub1的两条隧道Tunnel1和Tunnel2配置不同的GREKey，并且与Hub1处于同一Hub组的设备也需要配置相同的GREKey。从以上描述可以看出，必须为每个节点配置GREKey才能避免流量转发出错，而目前这些操作都需要人工手动完成，当存在大量ADVPN节点时，管理员配置工作量会很大。同时，如果有新加入的ADVPN节点和原有ADVPN网络节点通信，还需要管理员手工为新加入的ADVPN节点配置相应的GREKey。这样不仅耗费人力、效率低下，而且很容易出现配置错误，从而导致流量转发受到影响。
技术实现思路
本申请提供一种GREKey的管理方法及设备，解决现有技术中需要人工手动配置GREKey所带来的人力消耗较大且网络管理效率较低的问题。为达到上述目的，本申请实施例一方面提供了一种GREKey的管理方法，该方法应用于ADVPN中，所述方法包括：所述ADVPN中的VAM服务器在接收到所述ADVPN中的VAM客户端发送的首个保活报文时，根据所述保活报文中携带的所述VAM客户端的属性信息，确定所述VAM客户端的隧道封装类型；在确定出所述VAM客户端的隧道封装类型为GRE隧道封装时，根据所述保活报文中携带的属性信息，确定所述VAM客户端所属的Hub组；向所述VAM客户端发送携带有确定出的Hub组对应的GREKey的第一信息请求报文，以使所述VAM客户端根据所述信息请求报文中携带的GREKey对自身进行配置。另一方面，本申请实施例还提供了一种VAM服务器，该VAM服务器应用于ADVPN中，所述VAM服务器包括接口模块，还包括：隧道封装类型确定模块，用于在所述接口模块接收到所述ADVPN中的VAM客户端发送的首个保活报文时，根据所述保活报文中携带的所述VAM客户端的属性信息，确定所述VAM客户端的隧道封装类型；Hub组确定模块，用于在所述隧道封装类型确定模块确定出所述VAM客户端的隧道封装类型为GRE隧道封装时，根据所述保活报文中携带的属性信息，确定所述VAM客户端所属的Hub组；所述接口模块，还用于向所述VAM客户端发送携带有确定出的Hub组对应的GREKey的第一信息请求报文，以使所述VAM客户端根据所述信息请求报文中携带的GREKey对自身进行配置。与现有技术相比，本申请实施例所提出的技术方案具有以下优点：通过应用本申请实施例的技术方案，VAM服务器在接收到VAM客户端发送的首个保活报文时，根据保活报文中携带的属性信息确定VAM客户端的隧道封装类型及所属的Hub组，随后向该VAM客户端发送携带有确定出的Hub组对应的GREKey的第一信息请求报文，实现了ADVPN节点的GREKey的自动配置，在存在大量ADVPN节点以及ADVPN网络频繁变化的情况下可大幅度减少管理员配置工作，从而提高网络管理效率。本专利技术同时还公开了一种VAM服务器。附图说明图1为现有技术中Hub-Spoke组网结构示意图；图2为现有技术中Full-Mesh组网结构示意图；图3为现有技术中应用ADVPN的大规模组网结构示意图；图4为现有技术中VAM服务器与VAM客户端之间进行初始化连接的流程示意图；图5为现有技术中VAM服务器与VAM客户端之间进行注册的流程示意图；图6为现有技术中VAM服务器与VAM客户端之间进行身份验证的流程示意图；图7为现有技术中VAM客户端之间建立隧道的流程示意图；本文档来自技高网...

【技术保护点】
一种通用路由封装键值GRE Key的管理方法，其特征在于，所述方法应用于自动发现虚拟私有网络ADVPN中，所述方法包括：所述ADVPN中的虚拟专用网络地址管理VAM服务器在接收到所述ADVPN中的VAM客户端发送的首个保活报文时，根据所述保活报文中携带的所述VAM客户端的属性信息，确定所述VAM客户端的隧道封装类型；在确定出所述VAM客户端的隧道封装类型为GRE隧道封装时，根据所述保活报文中携带的属性信息，确定所述VAM客户端所属的Hub组；向所述VAM客户端发送携带有确定出的Hub组对应的GRE Key的第一信息请求报文，以使所述VAM客户端根据所述第一信息请求报文中携带的GRE Key对自身进行配置。

【技术特征摘要】
1.一种通用路由封装键值GREKey的管理方法，其特征在于，所述方法应用于自动发现虚拟私有网络ADVPN中，所述方法包括：所述ADVPN中的虚拟专用网络地址管理VAM服务器在接收到所述ADVPN中的VAM客户端发送的首个保活报文时，根据所述保活报文中携带的所述VAM客户端的属性信息，确定所述VAM客户端的隧道封装类型；在确定出所述VAM客户端的隧道封装类型为GRE隧道封装时，根据所述保活报文中携带的属性信息，确定所述VAM客户端所属的Hub组；向所述VAM客户端发送携带有确定出的Hub组对应的GREKey的第一信息请求报文，以使所述VAM客户端根据所述第一信息请求报文中携带的GREKey对自身进行配置。2.如权利要求1所述的方法，其特征在于，所述VAM服务器根据所述保活报文中携带的所述VAM客户端的属性信息，确定所述VAM客户端的隧道封装类型，具体包括：所述VAM服务器获取所述保活报文中携带的属性信息所包括的所述VAM客户端的私网地址；根据获取到的私网地址，查询本地存储的私网地址与隧道封装类型的对应关系，得到获取到的私网地址对应的隧道封装类型。3.如权利要求1所述的方法，其特征在于，所述VAM服务器根据所述保活报文中携带的所述VAM客户端的属性信息，确定所述VAM客户端所属的Hub组，具体包括：所述VAM服务器获取所述保活报文中携带的属性信息所包括的所述VAM客户端的私网地址；根据获取到的私网地址，查询本地存储的私网地址与Hub组的对应关系，得到所述VAM客户端所属的Hub组。4.如权利要求1～3中任一项所述的方法，其特征在于，在所述VAM服务器接收到所述保活报文之后，确定所述VAM客户端的隧道封装类型之前，还包括：所述VAM服务器对所述保活报文进行合法性及完整性的验证。5.如权利要求4所述的方法，其特征在于，在所述VAM服务器向所述VAM客户端发送第一信息请求报文之后，还包括：若所述VAM服务器发现所述VAM客户端所属的Hub组对应的GREKey中增加新的GREKey，则向Hub组内的所有VAM客户端发送携带有新的GREKey且操作类型为添加的第二信息请求报文；若所述VAM服务器发现所述VAM客户端所属的Hub组对应的GREKey发生更改，则向Hub组内的所有VAM客户端发送携带有更改前的GREKey且操作类型为删除的第三信息请求报文，和携带有更改后的GREKey且操作类型为添加的第四信息请求报文；若所述VAM服务器发现所述VAM客户端所属的Hub组对应的GREKey被删除，则向Hub组内的所有VAM客户端发送携带有删除前的GREKey且操作类型为删除的第五信息请求报文。6.一种虚拟专用网络地址管理VAM服务器，其特...

【专利技术属性】
技术研发人员：谷叶飞，张太博，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33