【技术实现步骤摘要】
使用手工密钥配置IPsec隧道穿越NAT的方法及装置
本专利技术属于IP网络
,具体涉及一种使用手工密钥配置IPsec隧道穿越NAT的方法。
技术介绍
IETF定义的IPsec封装协议有两种,一种是AH,一种是ESP。这两种协议的封装模式又分为传输模式和隧道模式。其中,传输模式是基于原始的IP头做一次IPsec封装,隧道模式则封装了新的报文头,在实际的使用中,隧道模式用的较多。在IPsec中,为了保证封装的安全性,其密钥是需要定期更换的,目前更换的手段有两种:一是通过手工配置(可以通过SDN控制器下发或自动化配置);另一种是通过IKE重协商。其中IKE协商通过NAT-T、NAT-D等载荷可以实现NAT穿越,但手工配置没有对应的方法。在当前的SD-WAN组网中,密钥可以通过SDN控制器下发,相当于是一种手工配置,其本身并未提供穿越NAT的方案,身处公网的Server侧无法配置身处私网侧的Client的IP,因此无法指导转发面的封装。
技术实现思路
针对上述现有技术中存在的问题,本专利技...
【技术保护点】
1.使用手工密钥配置IPsec隧道穿越NAT的方法,其特征在于,所述方法包括以下步骤:/n步骤一,用户端Client和服务器端Server配置IPsec隧道的手工密钥,并配置相同的隧道身份信息;/n步骤二,Client端启动定时器,定时发送IPsec控制报文,参照IKE模式下的NAT穿越方式,所述IPsec控制报文封装UDP头,端口号为4500;/n步骤三,所述IPsec控制报文经过NAT设备转换后,到达Server端;Server端根据所述IPsec报文内的控制字段确认该报文为穿越检测NAT的控制报文,根据Value值查找本地隧道的IP地址,匹配后获取到隧道信息,并根据报...
【技术特征摘要】
1.使用手工密钥配置IPsec隧道穿越NAT的方法,其特征在于,所述方法包括以下步骤:
步骤一,用户端Client和服务器端Server配置IPsec隧道的手工密钥,并配置相同的隧道身份信息;
步骤二,Client端启动定时器,定时发送IPsec控制报文,参照IKE模式下的NAT穿越方式,所述IPsec控制报文封装UDP头,端口号为4500;
步骤三,所述IPsec控制报文经过NAT设备转换后,到达Server端;Server端根据所述IPsec报文内的控制字段确认该报文为穿越检测NAT的控制报文,根据Value值查找本地隧道的IP地址,匹配后获取到隧道信息,并根据报文外层IP头和UDP端口获取NAT设备修改后的IP地址和UDP端口,把IP地址和UDP端口信息和隧道做关联,并根据这些信息指导后续的转发封装。
2.根据权利要求1所述的使用手工密钥配置IPsec隧道穿越NAT的方法,其特征在于,所述IPsec控制报文在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头。
3.根据权利要求2所述的使用手工密钥配置IPsec隧道穿越NAT的方法,其特征在于,所述控制协议包括:
NextHeader;
Type=2:指明是检测NAT穿越的控制报文;
Len=4:指明Value长度为4字节;
Value:指明隧道的身份信息,Server端通过身份信息匹配本端的隧道配置。
4.根据权利要求2所述的使用手工密钥配置IPsec隧道穿越NAT的方法,其特征在于,IPsec封装协议中的ESP封装协议中,报文头中的下一个报文头指明是IPsec控制头,IPsec控制头中的下一个报文头指明原始报文信息。
5.根据权利要求4所述的使用手工密钥配置IPsec隧道穿越NAT的方法,其特征在于,在ESP封装协议的隧...
【专利技术属性】
技术研发人员:黄韬,张晨,邢业平,汪硕,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。