本发明专利技术提供一种基于IPsec封装协议的报文转发方法,该方法基于一种带拓展控制字段的封装协议,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议头,并封装对应的TLV控制头,基于IPsec隧道封装功能的扩展协议,提升隧道的控制能力,为上层应用提供必要的信息,能够实现指定路径的流量调度策略。
【技术实现步骤摘要】
一种基于IPsec封装协议的报文转发方法
本专利技术属于IP网络
,具体涉及一种基于IPsec封装协议的报文转发方法。
技术介绍
IETF定义的IPsec封装协议有两种,一种是AH,一种是ESP。这两种协议的封装模式又分为传输模式和隧道模式。其中,传输模式是基于原始的IP头做一次IPsec封装,隧道模式则封装了新的报文头,在实际的使用中,隧道模式用的较多。目前,在数据中心以及WAN上,应用的流量通常使用了Overlay技术,而承载应用流量的隧道多为VXLAN隧道或IPsec隧道,又或者两者结合。无论是VXLAN还是IPsec,其封装协议仅考虑了转发层面对应的功能,控制平面功能偏弱。而在云、边、端,应用的需求越来越多样化,单纯的IP转发封装已经无法满足应用越来越多的需求,比如流量控制、带内检测、服务链等。
技术实现思路
针对上述现有技术中存在的问题,本专利技术提供了一种基于IPsec技术的数据封装方法,基于IPsec隧道封装功能的扩展协议,提升隧道的控制能力,为上层应用提供必要的信息,能够实现指定路径的流量调度策略。为了实现专利技术目的,本专利技术的技术方案如下,一种基于IPsec封装协议的报文转发方法,所述报文转发方法应用于SD-WAN网络环境中,包括以下过程:步骤一,控制器给客户前置设备CPE下发路径信息,所述CPE在发送报文时,先加入控制信息,再做IPsec加密封装发送;步骤二,控制器预先创建IPsec隧道,节点POP间的隧道号以IPsec-tunnelXY标号,为节点POP间隧道分配标签,标签值为其编号;步骤三,控制器给所述CPE下发策略,确定所需要通过的路径,所述CPE在做封装时,先根据要到步骤四,所述路径中的各节点POP在收到报文后,经解密确认下一个头是控制协议后,则根据类型做标签解析,得到以该节点POP为起始点的IPsec隧道终点POP,做关于该IPsec隧道的封装,弹出标签以及修改len后继续加密发送报文,直到确定的路径中所有节点POP全部走完,即实现了SD-WAN中节点POP间IPsec隧道的路径指定。所述报文是在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头。进一步的,所述控制协议包括:NextHeader:下一个报文头,8比特大小,用来填充IP报文IANA编号或原始数据的协议IANA编号;Type:类型字段,根据需求定义填充控制类型;Len:长度字段,根据控制类型定义对应数据长度,其长度为Value的长度;Value:控制数据字段,长度根据Len定义。IPsec封装协议中的AH封装协议、ESP封装协议中,报文头中的下一个报文头指明是IPsec控制头,IPsec控制头中的下一个报文头指明原始报文信息。进一步的,在AH封装格式的隧道模式中,所述控制协议头添加到AH头之后,原始IP头之前;在AH封装格式的传输模式中,所述控制协议头添加到AH头之后,数据之前。进一步的,在ESP封装的隧道模式中,所述控制协议头添加到ESP头之后,原始IP头之前;在ESP封装格式的传输模式中,所述控制协议头添加到ESP头之后,数据之前。有益效果本专利技术的优势在于提出了一种可扩展的IPsec控制协议头,该协议头扩展灵活,可以方便地为IPsec本身以及上层应用提供控制信息。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为AH封装协议的数据结构示意图;图2为ESP封装协议的数据示意图;图3为本专利技术新增IPsec控制协议格式示意图;图4为本专利技术增加IPsec控制协议后的AH封装格式示意图;图5为本专利技术增加IPsec控制协议后的ESP封装格式示意图;图6为SD-WAN场景使用IPsec控制协议自定义业务流程示意图;图7为实施例中基于源的IPsec隧道调度协议格式示意图;图8为实施例中基于源的IPsec隧道调度协议转发流程示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例1本专利技术提供一种基于IPsec封装功能的数据格式,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头。进一步的,所述控制协议包括:NextHeader:下一个报文头,8比特大小,用来填充IP报文IANA编号或原始数据的协议IANA编号;Type:类型字段,根据需求定义填充控制类型;Len:长度字段,根据控制类型定义对应数据长度,其长度为Value的长度;Value:控制数据字段,长度根据Len定义。IPsec封装协议中的AH封装协议、ESP封装协议中,报文头中的下一个报文头指明是IPsec控制头,IPsec控制头中的下一个报文头指明原始报文信息。进一步的,在AH封装格式的隧道模式中,所述控制协议头添加到AH头之后,原始IP头之前;在AH封装格式的传输模式中,所述控制协议头添加到AH头之后,数据之前。进一步的,在ESP封装的隧道模式中,所述控制协议头添加到ESP头之后,原始IP头之前;在ESP封装格式的传输模式中,所述控制协议头添加到ESP头之后,数据之前。本专利技术在IPsec封装功能的基础上,定义一种新的扩展协议,对IPsec封装协议做一些扩展,可以提高IPsec的控制功能,进而可以提供更多灵活的应用功能。原始的IPsec封装协议,包括两种形式:AH封装协议和ESP封装协议,其数据结构分别如图1、图2所示:由图中可以看出,原始的IPsec封装,通过下一个报文头来指示原始的IP报文(隧道模式)或原始的上层数据协议(传输模式)。IANA中定义的IPsec封装中常用的下一个报文头值:4:IPv4报文6:TCP报文17:UDP报文41:IPv6报文新增一种协议报文,其格式如图3所示,其中各字段说明如下:NextHeader:下一个报文头,8比特大小,用来填充IP报文IANA编号或原始数据的协议IANA编号。Type:类型字段,8比特大小,根据需求定义填充控制类型,范围0-255。Len:长度字段,16比特大小,根据控制类型定义对应数据长度,其长度为Value的长度,范围0-65535,值为0时代表没有Value字段。Value:控制数据字段,长度根据Len定义。在原有的本文档来自技高网...
【技术保护点】
1.一种基于IPsec封装协议的报文转发方法,其特征在于,所述报文转发方法应用于SD-WAN网络环境中,包括以下过程:/n步骤一,控制器给客户前置设备CPE下发路径信息,所述CPE在发送报文时,先加入控制信息,再做IPsec加密封装发送;/n步骤二,控制器预先创建IPsec隧道,节点POP间的隧道号以IPsec-tunnelXY标号,为节点POP间隧道分配标签,标签值为其编号;/n步骤三,控制器给所述CPE下发策略,确定所需要通过的路径,所述CPE在做封装时,先根据要到/n步骤四,所述路径中的各节点POP在收到报文后,经解密确认下一个头是控制协议后,则根据类型做标签解析,得到以该节点POP为起始点的IPsec隧道终点POP,做关于该IPsec隧道的封装,弹出标签以及修改len后继续加密发送报文,直到确定的路径中所有节点POP全部走完,即实现了SD-WAN中节点POP间IPsec隧道的路径指定。/n
【技术特征摘要】
1.一种基于IPsec封装协议的报文转发方法,其特征在于,所述报文转发方法应用于SD-WAN网络环境中,包括以下过程:
步骤一,控制器给客户前置设备CPE下发路径信息,所述CPE在发送报文时,先加入控制信息,再做IPsec加密封装发送;
步骤二,控制器预先创建IPsec隧道,节点POP间的隧道号以IPsec-tunnelXY标号,为节点POP间隧道分配标签,标签值为其编号;
步骤三,控制器给所述CPE下发策略,确定所需要通过的路径,所述CPE在做封装时,先根据要到
步骤四,所述路径中的各节点POP在收到报文后,经解密确认下一个头是控制协议后,则根据类型做标签解析,得到以该节点POP为起始点的IPsec隧道终点POP,做关于该IPsec隧道的封装,弹出标签以及修改len后继续加密发送报文,直到确定的路径中所有节点POP全部走完,即实现了SD-WAN中节点POP间IPsec隧道的路径指定。
2.根据权利要求1所述的一种基于IPsec封装协议的报文转发方法,其特征在于,所述报文是在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头。
3.根据权利要求2所述的一种基于IPsec封装协议的...
【专利技术属性】
技术研发人员:黄韬,张晨,邢业平,汪硕,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。