多路复用安全隧道制造技术

实施例涉及使云能够在IPSec网关的私有地址之中多路复用其公共网络地址，同时确保IPSec隧道分组被递送到与其相关联的IPSec隧道的私有地址。当IPSec分组离开云时，云可以确定IPSec分组与哪个IPSec隧道或网关相关联，并且修改IPSec分组以标识关联的隧道或网关。当IPSec分组进入云时，云可以在IPSec分组中找到标识关联的隧道或网关的身份信息。身份信息被用来将IPSec分组引导到关联的隧道或网关。

【技术实现步骤摘要】
【国外来华专利技术】多路复用安全隧道
技术介绍
当不同网络上的两个主机要通过诸如互联网之类的不安全网络进行通信时，那些主机可以要求在其通信转接不安全网络时被保护。对主机本身而言，保护其通信是不方便的。在这种情况下，相应主机的网络设施可以被用来保护其为主机所携载的通信。一种常见的方法是采用安全网关，诸如RFC7296第1.1.1节中描述的互联网协议(IP)安全协议(IPSec)的安全隧道模式，其通常被用来提供站点到站点的虚拟专用网络(VPN)。为提供此IPSec隧道模式的相应主机的网络提供服务的IPSec网关设备在本文中将被称为网关。为一对子网(虚拟的或逻辑的)和相应的直接通信网关提供IPSec隧道是明确的。然而，在现代网络部署中，管理员可以在不同的云上部署许多子网，每个子网都可能提供跨互联网的与其他子网的通信。每个云可以托管多个租户子网，并指派其自己的网关池，以使去往/来自这些子网的业务安全。然而，由于有限的可用互联网地址池以及其他原因，这些网关可能必须共享有限数目的互联网可路由的IP地址。通常，这些网关被部署在某种网络多路复用器后面，网络多路复用器对不同网关之间的业务进行多路复用。换本文档来自技高网...

【技术保护点】
1.一种传输互联网协议安全(IPSec)隧道分组的方法，包括：/n将第一隧道分组和第二隧道分组从云A传输到连接云A和云B的共用网络，所述第一隧道分组包括第一报头并且所述第二隧道分组包括第二报头，所述第一报头和所述第二报头被寻址来自对应于云A的第一共用地址，所述第一报头和所述第二报头被寻址去往对应于云B的第二共用地址，所述第一地址和所述第二地址处于所述共用网络的地址空间中，由于所述第一隧道分组和所述第二隧道分组的所述第一共用地址和所述第二共用地址，所述第一隧道分组和所述第二隧道分组能够通过所述共用网络从云A路由到云B；以及/n在将所述第一隧道分组和所述第二隧道分组传输到所述共用网络之前，将所述第...

【技术特征摘要】
【国外来华专利技术】20180327 US 15/937,8311.一种传输互联网协议安全(IPSec)隧道分组的方法，包括：
将第一隧道分组和第二隧道分组从云A传输到连接云A和云B的共用网络，所述第一隧道分组包括第一报头并且所述第二隧道分组包括第二报头，所述第一报头和所述第二报头被寻址来自对应于云A的第一共用地址，所述第一报头和所述第二报头被寻址去往对应于云B的第二共用地址，所述第一地址和所述第二地址处于所述共用网络的地址空间中，由于所述第一隧道分组和所述第二隧道分组的所述第一共用地址和所述第二共用地址，所述第一隧道分组和所述第二隧道分组能够通过所述共用网络从云A路由到云B；以及
在将所述第一隧道分组和所述第二隧道分组传输到所述共用网络之前，将所述第一报头修改为包括标识云B的第一网关的第一网关标识符，并且将所述第二报头修改为包括标识云B的第二网关的第二网关标识符。


2.根据权利要求1所述的方法，其中所述第一隧道分组包括在所述第一网关处终止的第一站点到站点IPSec隧道的分组，并且其中所述第二隧道分组包括在所述第二网关处终止的第二站点到站点IPSec隧道的分组。


3.根据权利要求2所述的方法，其中所述修改包括：将所述第一报头的来自-端口号改变为所述第一网关标识符，以及将所述第二报头的来自-端口号改变为所述第二网关标识符。


4.根据权利要求1所述的方法，其中所述第一报头和所述第二报头包括所述IPSec协议的标准去往-端口号。


5.根据权利要求1所述的方法，其中所述第一隧道分组对应于在所述第一网关处终止的第一站点到站点IPSec隧道，所述第二隧道分组对应于在所述第二网关处终止的第二站点到站点IPSec隧道，其中所述第一网关标识符包括第一静态标识符，所述第一静态标识符在传输与所述第一IPSec隧道相关的任何分组之前在所述第一云和所述第二云处被预先配置，并且其中所述第二网关标识符包括第二静态标识符，所述第二静态标识符在传输与所述第二IPSec隧道相关的任何分组之前在所述第一云和所述第二云处被预先配置。


6.根据权利要求1所述的方法，其中所述第一隧道分组对应于在所述第一网关处终止的第一站点到站点IPSec隧道，所述第二隧道分组对应于在所述第二网关处终止的第二站点到站点IPSec隧道，其中所述第一网关标识符包括第一动态值，所述第一动态值在针对所述第一隧道的第一安全关联(SA)的协商期间被配置，并且其中所述第二网关标识符包括第二动态值，所述第二动态值在针对所述第二隧道的第二SA的协商期间被配置。


7.根据权利要求1所述的方法，所述方法还包括在所述第二云处：
从所述共用网络接收所述第一隧道分组和所述第二隧道分组；
基于所述第一报头中的所述第一网关标识符，将所述第一隧道分组寻址到所述第一网关的第一内部地址，所述第一内部地址在所述共用网络上是不可路由的；以及
基于所述第二报头中的所述第二网关标识符，将所述第二隧道分组寻址到所述第二网关的第二内部地址，所述第二内部地址在所述共用网络上是不可路由的。

...

【专利技术属性】
技术研发人员：A·保罗，P·G·拉马钱德拉，S·西尔，A·萨克塞纳，A·文卡塔查拉姆，S·K·G·巴楚，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US