一种隧道选择方法、设备及系统技术方案

技术编号:11412288 阅读:121 留言:0更新日期:2015-05-06 12:14
本发明专利技术实施例提供了一种隧道选择方法、设备及系统,发送方网络设备通过高优先级的第一IPSec隧道向响应方网络设备发送业务数据报文,响应方网络设备选择高优先级的第一路由,即选择了与高优先级的第一路由对应的第一IPSec隧道向发送方网络设备返回业务数据报文,即通过第二IPSec隧道向发送方网络设备返回数据报文。实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,保证发送方网络设备与响应方网络设备业务数据报文传输路径保持一致,避免选择不同的传输路径导致数据报文丢失,提高传输业务数据报文的可靠性。

【技术实现步骤摘要】
一种隧道选择方法、设备及系统
本专利技术涉及通信
,特别是涉及一种隧道选择方法、设备及系统。
技术介绍
点对点(Site-to-Site)VPN网络,也称局域网到局域网的VPN(LANtoLANVPN),网关到网关VPN(GatewaytoGatewayVPN),通过在两个VPN网络之间建立IPSec(IPSecurity)隧道,实现两个VPN网络之间的数据交互。两个VPN网络建立IPSec隧道时,发起方网络设备(Spoke,一般为分支)向响应方网络设备(HUB,一般为总部)发起因特网密钥交换协议(InternetKeyExchange,IKE),请求建立IPSec隧道。响应方网络设备为了提高网络中数据传输的可靠性,给发起方网络设备提供了多个因特网服务提供方(InternetServiceProvider,ISP)接口,所述ISP接口给发起方网络设备提供建立IPSec隧道的接入功能。发送方网络设备利用多个ISP接口与响应方网络设备建立多条IPSec隧道。每建立一条IPSec隧道,响应方网络设备即根据建立该IPSec隧道的IKE协商,生成一个与该IPSec隧道所对应并且到发送方VPN的路由。由于响应方网络设备与发送方网络设备建立多条IPSec隧道,响应方网络设备生成到发送方VPN内IP网段的多条等价路由。发送方网络设备与响应方网络设备进行数据交互时,发送方网络设备向响应方网络设备发送数据报文时,对多条IPSec隧道进行检测,选择数据传输质量最好的的IPSec隧道向响应方网络设备发送数据报文。响应方网络设备查询到发送方VPN内IP网段的多条等价路由,响应方网络设备会随机选择一条路由,利用所选择的路由所对应的隧道向发送方网络设备发送数据报文。这样,会引起同一个业务的数据报文的来回路径不一致,导致业务中断。
技术实现思路
本专利技术实施例在于提供一种隧道选择方法、设备及系统,实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,提高传输业务数据报文的可靠性。为此,本专利技术解决技术问题的技术方案是:本专利技术实施例第一方面提供一种隧道选择方法,应用于发送方网络设备,所述方法包括:发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的低优先级添加至第二IKE协商报文;所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备,通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。在本专利技术实施例第一方面第一种可能的实施方式中,所述方法还包括:所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。结合本专利技术实施例第一方面至第一方面的第一种可能的实施方式,在第二种可能的实施方式中,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。本专利技术实施例第二方面提供一种隧道选择方法,应用于响应方网络设备,所述方法包括:响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协商报文,通过所述第二IPSec隧道接收第二IKE协商报文;所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;所述响应方网络设备接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;所述响应方网络设备选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。在本专利技术实施例第二方面第一种可能的实施方式中,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级为:所述响应方网络设备解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IPSec隧道的低优先级。本专利技术实施例第三方面提供一种发送方网络设备,所述设备包括:设置单元,用于给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;添加单元,用于将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的高优先级添加至第二IKE协商报文;第一发送单元,用于通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备;第二发送单元,用于通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;第三发送单元,用于通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。在本专利技术实施例第三方面第一种可能的实施方式中,所述设备还包括:探测单元,用于探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;第一选择单元,用于选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;第二选择单元,用于选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。结合本专利技术实施例第三方面至第三方面第一种可能的实施方式,在第二种可能的实施方式中,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。本专利技术实施例第四方面提供一种响应方网络设备,所述设备包括:第一接收单元,用于通过所述第一IPSec隧道接收所述第一IKE协商报文;第二接收单元,用于通过所述第二IPSec隧道接收第二IKE协商报文;解析单元,用于解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;生成单元,用于生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由;设置单元,用于根据所述第一IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;第三接收单元,用于接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;发送单元,用于选择高优先级的第一路选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设本文档来自技高网
...
一种隧道选择方法、设备及系统

【技术保护点】
一种隧道选择方法,其特征在于,应用于发送方网络设备,所述方法包括:发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的低优先级添加至第二IKE协商报文;所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备,通过所述第二IPSec隧道将第二IKE协商报文发送至所述响应方网络设备;所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。

【技术特征摘要】
1.一种隧道选择方法,其特征在于,应用于发送方网络设备,所述方法包括:发送方网络设备给第一IPSec隧道设置高优先级,给第二IPSec隧道设置低优先级;所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二IPSec隧道的低优先级添加至第二IKE协商报文;所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文发送至响应方网络设备,以便所述响应方网络设备解析所述第一IKE协商报文中携带的所述第一IPSec隧道的高优先级,生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,并根据所述第一IPSec隧道的优先级设置所述第一路由为高优先级;所述发送方网络设备通过所述第二IPSec隧道将所述第二IKE协商报文发送至所述响应方网络设备,以便所述响应方网络设备解析所述第二IKE协商报文中携带的所述第二IPSec隧道的低优先级,生成与所述第二IPSec隧道对应的到发送方VPN网络的第二路由,并根据所述第二IPSec隧道的优先级设置所述第二路由为低优先级;所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络设备发送业务数据报文。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道;所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。3.根据权利要求1-2任意一项所述的方法,其特征在于,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。4.一种隧道选择方法,其特征在于,应用于响应方网络设备,所述方法包括:响应方网络设备通过第一IPSec隧道接收第一IKE协商报文,通过第二IPSec隧道接收第二IKE协商报文;所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级;所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二IPSec隧道对应的到发送方VPN网络的第二路由;所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由为高优先级,根据所述第二IPSec隧道的优先级设置第二路由为低优先级;所述响应方网络设备接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数据报文;所述响应方网络设备选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。5.根据权利要求4所述的方法,其特征在于,所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧道的高优先级,解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级为:所述响应方网络设备解析所述第一ISAKMP通知消息中携带的第一IPSec隧道的高优先级,解析所述第二ISAKMP通知消息中携带的第二IP...

【专利技术属性】
技术研发人员:孙刚
申请(专利权)人:北京华为数字技术有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1