一种报文传输方法和装置制造方法及图纸

本申请提供一种报文传输方法和装置，该方法包括：在接收到第一报文后，确定第一报文对应的VPN信息，并通过第一报文的目的IP地址查询所述VPN信息对应的转发表，得到与所述目的IP地址对应的出接口；若所述出接口为GRE隧道，则为第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，所述第一GRE隧道头包括所述VPN信息；获取所述GRE隧道对应的IPsec隧道，为第一GRE隧道报文封装所述IPsec隧道对应的第一IPsec隧道头，得到第一IPsec隧道报文；通过所述IPsec隧道发送第一IPsec隧道报文，以使接收到第一IPsec隧道报文的对端设备根据所述VPN信息发送所述第一报文。通过本申请的技术方案，可以节省IPsec隧道的资源，并节省公网地址资源。

【技术实现步骤摘要】
一种报文传输方法和装置
本申请涉及通信
，尤其涉及一种报文传输方法和装置。
技术介绍
IPsec(IPSecurity，IP安全)是一种三层隧道加密协议，IPsec为互联网上传输的数据提供了高质量、基于密码学的安全保证，是一种传统的实现三层VPN(VirtualPrivateNetwork，虚拟专用网络)的安全技术。IPsec通过在特定通信方之间建立“通道”，来保护需要传输的用户数据，该通道称为IPsec隧道。在分布式数据中心网络，不同数据中心之间使用IPsec+VPN技术，来传输用户数据。具体的，在不同数据中心的网关设备之间建立IPsec隧道，且针对每个VPN单独建立IPsec隧道。例如，在数据中心1的网关设备1与数据中心2的网关设备2之间，针对VPN1建立IPsec隧道1，针对VPN2建立IPsec隧道2。当分布式数据中心网络存在大量VPN时，由于需要针对每个VPN单独建立IPsec隧道，因此，需要建立大量IPsec隧道，浪费了IPsec隧道的资源。而且，建立IPsec隧道时需要使用公网地址，因此会占用大量的公网地址资源。
技术实现思路
本申请提供一种报文传输方法，应用于本端设备，在所述本端设备与对端设备之间建立有通用路由封装GRE隧道、以及与所述GRE隧道对应的网际互联协议安全IPsec隧道，所述方法包括以下步骤：在接收到第一报文后，确定所述第一报文对应的虚拟专用网络VPN信息，并通过所述第一报文的目的IP地址查询所述VPN信息对应的转发表，得到与所述目的IP地址对应的出接口；若所述出接口为GRE隧道，则为所述第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，所述第一GRE隧道头包括所述VPN信息；获取所述GRE隧道对应的IPsec隧道，为所述第一GRE隧道报文封装所述IPsec隧道对应的第一IPsec隧道头，得到第一IPsec隧道报文；通过所述IPsec隧道发送所述第一IPsec隧道报文，以使接收到所述第一IPsec隧道报文的对端设备根据所述VPN信息发送所述第一报文。本申请提供一种报文传输装置，应用于本端设备，在所述本端设备与对端设备之间建立有通用路由封装GRE隧道、以及与所述GRE隧道对应的网际互联协议安全IPsec隧道，所述装置具体包括：获得模块，用于在接收到第一报文后，确定所述第一报文对应的虚拟专用网络VPN信息，并通过所述第一报文的目的IP地址查询所述VPN信息对应的转发表，得到与所述目的IP地址对应的出接口；处理模块，用于当所述出接口为GRE隧道时，为第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，第一GRE隧道头包括所述VPN信息；获取所述GRE隧道对应的IPsec隧道，为所述第一GRE隧道报文封装所述IPsec隧道对应的第一IPsec隧道头，得到第一IPsec隧道报文；发送模块，用于通过所述IPsec隧道发送所述第一IPsec隧道报文，以使接收到所述第一IPsec隧道报文的对端设备根据所述VPN信息发送所述第一报文。基于上述技术方案，本申请实施例中，在使用IPsec+VPN的分布式数据中心网络中，可以通过GRE(GenericRoutingEncapsulation，通用路由封装)隧道头来承载VPN信息，使得不同VPN的报文可以使用相同的IPsec隧道进行传输，从而避免针对每个VPN单独建立IPsec隧道，即可以针对所有VPN建立同一个IPsec隧道，从而可以节省IPsec隧道的资源，并节省公网地址资源。附图说明为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。图1是本申请一种实施方式中的报文传输方法的流程图；图2是本申请一种实施方式中的应用场景示意图；图3是本申请一种实施方式中的本端设备的硬件结构图；图4是本申请一种实施方式中的报文传输装置的结构图。具体实施方式在本申请使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请实施例中提出一种报文传输方法，该方法可以应用于使用IPsec+VPN的分布式数据中心网络，该分布式数据中心网络至少可以包括本端设备和对端设备，且在该本端设备与该对端设备之间建立有IPsec隧道和GRE隧道。为了方便描述，以该报文传输方法应用于本端设备为例进行说明。但是，本端设备和对端设备是相对的，例如，当在网络设备1与网络设备2之间建立IPsec隧道和GRE隧道时，则本端设备可以为网络设备1，对端设备可以为网络设备2，或者，本端设备可以为网络设备2，对端设备可以为网络设备1。在一个例子中，针对“在本端设备与对端设备之间建立IPsec隧道”的过程，不是针对每个VPN单独建立IPsec隧道，而是在本端设备与对端设备之间为至少一个VPN(即一个或多个VPN，如所有VPN)建立一个IPsec隧道，不同VPN的报文均可以使用该IPsec隧道进行传输，因此，可以减少IPsec隧道的数量。在一个例子中，针对“在本端设备与对端设备之间建立GRE隧道”的过程，可以利用该IPsec隧道在本端设备与对端设备之间建立GRE隧道，即GRE隧道与IPsec隧道之间具有对应关系。而且，若在本端设备与对端设备之间建立一个IPsec隧道，则可以只在本端设备与对端设备之间建立一个GRE隧道。为了实现GRE隧道与IPsec隧道的对应关系，在一个例子中，在建立GRE隧道时，可以将该GRE隧道的出接口设置为该IPsec隧道，这样，通过该出接口可以将GRE隧道与IPsec隧道进行关联。在另一个例子中，在建立IPsec隧道时，可以为该IPsec隧道配置一个策略，该策略用于指示“通过IPsec隧道对经过所述GRE隧道发送的报文进行处理”，这样，通过该策略可以将GRE隧道与IPsec隧道进行关联。当然，在实际应用中，并不局限于上述两种方式，只要能够将GRE隧道与IPsec隧道进行关联即可，后续以第一种关联方式为例。其中，针对建立IPsec隧道和GRE隧道的过程，IPsec隧道可以对应有本端地址和对端地址，GRE隧道可以对应有本端地址和对端地址，本端地址是指本端设备的接口地址，对端地址是指对端设备的接口地址，而且，IPsec隧道对应的本端地址与GRE隧道对应的本端地址不同，IPsec隧道对应的对端地址与GRE隧道对应的对端地址不同。例如，在网络设备1的接口A与网络设备2的接口B之间建立IPsec本文档来自技高网...

【技术保护点】
一种报文传输方法，应用于本端设备，其特征在于，在所述本端设备与对端设备之间建立有通用路由封装GRE隧道、以及与所述GRE隧道对应的网际互联协议安全IPsec隧道，所述方法包括以下步骤：在接收到第一报文后，确定所述第一报文对应的虚拟专用网络VPN信息，并通过所述第一报文的目的IP地址查询所述VPN信息对应的转发表，得到与所述目的IP地址对应的出接口；若所述出接口为GRE隧道，则为所述第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，所述第一GRE隧道头包括所述VPN信息；获取所述GRE隧道对应的IPsec隧道，为所述第一GRE隧道报文封装所述IPsec隧道对应的第一IPsec隧道头，得到第一IPsec隧道报文；通过所述IPsec隧道发送所述第一IPsec隧道报文，以使接收到所述第一IPsec隧道报文的对端设备根据所述VPN信息发送所述第一报文。

【技术特征摘要】
1.一种报文传输方法，应用于本端设备，其特征在于，在所述本端设备与对端设备之间建立有通用路由封装GRE隧道、以及与所述GRE隧道对应的网际互联协议安全IPsec隧道，所述方法包括以下步骤：在接收到第一报文后，确定所述第一报文对应的虚拟专用网络VPN信息，并通过所述第一报文的目的IP地址查询所述VPN信息对应的转发表，得到与所述目的IP地址对应的出接口；若所述出接口为GRE隧道，则为所述第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，所述第一GRE隧道头包括所述VPN信息；获取所述GRE隧道对应的IPsec隧道，为所述第一GRE隧道报文封装所述IPsec隧道对应的第一IPsec隧道头，得到第一IPsec隧道报文；通过所述IPsec隧道发送所述第一IPsec隧道报文，以使接收到所述第一IPsec隧道报文的对端设备根据所述VPN信息发送所述第一报文。2.根据权利要求1所述的方法，其特征在于，所述通过所述第一报文的目的IP地址查询所述VPN信息对应的转发表之前，所述方法还包括：接收所述对端设备通过所述IPsec隧道发送的路由，所述路由包括目的主机的IP地址、下一跳地址、VPN信息；若确定所述下一跳地址为所述GRE隧道的对端地址，则在所述路由包括的VPN信息对应的转发表中添加转发表项，所述转发表项中包括的地址为所述目的主机的IP地址，出接口为所述GRE隧道。3.根据权利要求1所述的方法，其特征在于，所述GRE隧道的出接口为所述IPsec隧道，所述获取所述GRE隧道对应的IPsec隧道的过程，具体包括：根据所述GRE隧道的出接口获取所述GRE隧道对应的IPsec隧道。4.根据权利要求1所述的方法，其特征在于，所述为所述第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，所述第一GRE隧道头包括所述VPN信息，具体包括：获取所述第一报文对应的服务链标识；为所述第一报文封装所述GRE隧道对应的第一GRE隧道头，得到第一GRE隧道报文，所述第一GRE隧道头包括所述VPN信息和所述服务链标识。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收所述对端设备通过所述IPsec隧道发送的第二IPsec隧道报文，其中，所述第二IPsec隧道报文包括第二IPsec隧道头、包括VPN信息的第二GRE隧道头、第二报文；对所述第二IPsec隧道报文进行解封装，得到第二GRE隧道报文，并从所述第二GRE隧道头中解析出VPN信息；对所述第二GRE隧道报文进行解封装，得到所述第二报文，并根据解析出的VPN信息发送所述第二报文。6.根据权利要求5所述的方法，其特征在于，若所述第二GRE隧道头还包括服务链标识，所述从所述第二GRE隧道头中解析出VPN信息的过程，具体包括：从所述第二GRE隧道头中解析出VPN信息以及服务链标识；所述根据解析出的VPN信息发送所述第二报文的过程，具体包括：通过所述第二报文的目的IP地址查询解析出的VPN信息对应的转发表；根据查询结果将携带所述服务链标识的第二报文发送给业务处理设备，以使所述业务处理设备利用所述服务链标识对所述第二报文进行业务处理。7.一种报文传输装置，...

【专利技术属性】
技术研发人员：宋小恒，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33