【技术实现步骤摘要】
隧道协商方法及装置
[0001]本申请实施例涉及通信
,尤其涉及一种隧道协商方法及装置。
技术介绍
[0002]隧道技术是一种使用互联网络的基础设施在网络之间传递数据的方式,使用隧道传递的数据是不同协议的数据帧或数据包。隧道技术通过使用一种网络协议,对其他网络协议的数据帧或数据包在外层封装隧道包头,并通过隧道发送封装后的数据。
[0003]通常情况下,本端网络设备获取到待发送数据流后,需要先和对端网络设备进行协商,以建立互联网协议安全(internet protocol security,IPSec)隧道。建立IPSec隧道后,本端网络设备通过IPSec隧道将数据流发送给对端网络设备。
[0004]上述发送数据流的过程中,若数据流的地址信息与本端网络设备的ACL匹配,但是与对端网络设备的ACL不匹配,会使得本端网络设备与对端网络设备持续为建立IPSec隧道进行协商,导致网络设备的缓存资源和处理资源被占用。此时,若本端网络设备接收到下一个数据流,由于前一个数据流占用了用于建立IPSec隧道的缓存资源,导致本端网络设备和对端网络设备无法针对下一个数据流建立IPSec隧道,进而导致下一个数据流丢包。
技术实现思路
[0005]本申请实施例提供一种隧道协商方法及装置,以降低数据流丢包率,提高网络通信的效率和可靠性。
[0006]第一方面,本申请实施例提供一种隧道协商方法,该方法能够应用于第一网络设备,即隧道入口设备,也能够应用于第一网络设备中的芯片。下面一应用于第一网络设备对该方 ...
【技术保护点】
【技术特征摘要】
1.一种隧道协商方法,其特征在于,包括:第一网络设备根据所述第一网络设备的访问控制列表ACL确定是否允许通过隧道转发第一数据流;若允许通过隧道转发所述第一数据流,则所述第一网络设备确定所述第一网络设备的隧道转发表中是否存在第一表项,所述第一表项是与所述第一数据流的地址信息匹配的表项,所述隧道转发表中的表项用于指示所述第一网络设备已建立的隧道;若所述隧道转发表中不存在所述第一表项,则所述第一网络设备根据虚拟转发表和所述第一数据流的地址信息,确定匹配结果,所述虚拟转发表中的表项用于指示所述第一网络设备允许触发隧道协商过程的地址范围;所述第一网络设备根据所述匹配结果确定是否触发隧道协商过程。2.根据权利要求1所述的方法,其特征在于,所述第一网络设备根据所述匹配结果确定是否触发隧道协商过程,包括:当所述匹配结果指示所述虚拟转发表中存在第二表项时,所述第一网络设备触发隧道协商过程,所述第二表项与所述第一数据流的地址信息匹配;当所述匹配结果指示所述虚拟转发表中不存在所述第二表项时,所述第一网络设备禁止触发所述隧道协商过程。3.根据权利要求2所述的方法,其特征在于,所述当所述匹配结果指示所述虚拟转发表中存在第二表项时,所述第一网络设备触发隧道协商过程之后,还包括:所述第一网络设备在隧道协商过程完成后,建立用以传输所述第一数据流的隧道;所述第一网络设备从所述虚拟转发表中删除所述第二表项,并在所述隧道转发表中添加建立的用以传输所述第一数据流的隧道对应的表项。4.根据权利要求2或3所述的方法,其特征在于,所述若所述隧道转发表中不存在所述第一表项,则所述第一网络设备根据虚拟转发表和所述第一数据流的地址信息,确定匹配结果之前,还包括:当所述第一网络设备根据所述第一网络设备的ACL确定允许通过隧道转发第二数据流、且所述隧道转发表中不存在第三表项时,所述第一网络设备向第二网络设备发送协商报文,所述协商报文用于协商建立用以转发所述第二数据流的隧道,所述协商报文携带所述第一网络设备的ACL指示的源地址范围和目的地址范围,以及所述第二数据流的地址信息,所述第三表项是与所述第二数据流的地址信息匹配的表项;所述第一网络设备接收来自所述第二网络设备的回应报文,所述回应报文指示隧道协商失败、以及协商后的源地址范围和协商后的目的地址范围;所述第一网络设备根据所述协商后的源地址范围和所述协商后的目的地址范围,生成所述第二表项,并将所述第二表项保存在所述虚拟转发表。5.根据权利要求4所述的方法,其特征在于,所述协商报文为第一因特网密钥交换协议认证IKE_auth报文,所述第一IKE_auth报文包含Tsi载荷和Tsr载荷,所述Tsi载荷中的流量选择器字段携带所述第一ACL的源地址范围和所述第二数据流的源地址,所述Tsr载荷中的流量选择器字段携带所述第一ACL的目的地址范围和所述第二数据流的目的地址。6.根据权利要求4或5所述的方法,其特征在于,
所述回应报文为第二IKE_auth报文,所述第二IKE_auth报文包含Tsix载荷和Tsrx载荷,所述Tsix载荷中的流量选择器字段携带所述协商后的源地址范围,所述Tsrx载荷中的流量选择器字段携带所述协商后的目的地址范围。7.根据权利要求1
‑
6任一项所述的方法,其特征在于,还包括:当所述第一网络设备的ACL变化时,更新所述虚拟转发表;和/或所述第一网络设备接收来自第二网络设备的指示信息后,更新所述虚拟转发表,所述指示信息用于指示所述第二网络设备的ACL发生变化。8.一种隧道协商方法,其特征在于,包括:第二网络设备接收来自第一网络设备的协商报文,所述协商报文用于协商建立用以转发第二数据流的隧道,所述协商报文携带所述第一网络设备的ACL指示的源地址范围和目的地址范围,以及所述第二数据流的地址信息;所述第二网络设备根据所述第二数据流的地址信息、以及所述第二网络设备上的访问控制列表ACL确定是否允许建立用于转发所述第二数据流的隧道;若不允许建立用于转发所述第二数据流的隧道,所述第二网络设备根据所述第一网络设备的ACL指示的源地址范围和目的地址范围,以及所述第二网络设备上的ACL,确定协商后的源地址范围和协商后的目的地址范围;所述第二网络设备发送回应报文,所述回应报文携带协商后的源地址范围和协商后的目的地址范围。9.根据权利要求8所述的方法,其特征在于,所述第二网络设备根据所述第一网络设备的ACL指示的源地址范围和目的地址范围,以及所述第二网络设备上的ACL,确定协商后的源地址范围和协商后的目的地址范围,包括:所述第二网络设备从所述协商报文中提取出第一ACL的源地址范围和所述第一ACL的目的地址范围,所述第一ACL的源地址范围是所述第一网络设备上的ACL允许通过隧道转发的源地址范围,所述第一ACL的目的地址范围是所述第一网络设备上的ACL允许通过隧道转发的目的地址范围;所述第二网络设备根据所述第一ACL的源地址范围和所述第二ACL的源地址范围,确定第一交集,并根据所述第一ACL的目的地址范围和所述第二ACL的目的地址范围,确定第二交集,所述第二ACL的源地址范围是所述第二网络设备上的ACL允许通过隧道转发的源地址范围,所述第二ACL的目的地址范围是所述第二网络设备上的ACL允许通过隧道转发的目的地址范围,所述第一交集用于指示所述协商后的源地址范围,所述第二交集用于指示所述协商后的目的地址范围。10.根据权利要求8或9所述的方法,其特征在于,所述第二网络设备根据所述第一网络设备的ACL指示的源地址范围和目的地址范围,以及所述第二网络设备上的ACL,确定协商后的源地址范围和协商后的目的地址范围之后,还包括:所述第二网络设备根据所述协商后的源地址范围和所述协商后的目的地址范围,生成表项,并将所述生成的表项保存在所述第二网络设备的虚拟转发表。11.根据权利要求10所述的方法,其特征在于,所述第二网络设备根据所述协商后的源地址范围和所述协商后的目的地址范围,生成所述第二网络设备的虚拟转发表之后,还包
括:当所述第二网络设备的ACL变化时,更新所述虚拟转发表;和/或所述第二网络设备接收来自所述第一网络设备的指示信息后,更新所述虚拟转发表,所述指示信息用于指示所述第一网络设备的ACL发生变化。12.根据权利要求10或11所述的方法,其特征在于,所述第二网络设备根据所述协商后的源地址范围和所述协商后的目的地址范围,生成所述第二网络设备的虚拟转发表之后,还包括:所述第二网络设备根据所述第二网络设备上的ACL确定是否允许通过隧道转发第三数据流;若所述第二网络设备确定允许通过隧道转发所述第三数据流,则所述第二网络设备确定所述第二网络设备上的隧道转发表中是否存在第四表项,所述第四表项与所述第三数据流的地址信息匹配,所述隧道转发表中的不同表项用于指示所述第二网络设备已建立的隧道;若所述隧道转发表中不存在所述第四表项,则所述第二网络设备根据所述虚拟转发表和所述第三数据流的地址信息,确定匹配结果,所述虚拟转发表中的表项用于指示所述第二网络设备允许触发隧道协商过程的地址范围;所述第二网络设备根据所述匹配结果确定是否触发隧道协商过程。13.根据权利要求8
‑
12任一项所述的方法,其特征在于,所述协商报文为第一因特网密钥交换协议认证IKE_auth报文,所述第一IKE_auth报文包含Tsi载荷和Tsr载荷,所述Tsi载荷中的流量选择器字段携带所述第一ACL的源地址范围和所述第二数据流的源地址,所述Tsr载荷中的流量选择器字段携带所述第一ACL的目的地址范围和所述第二数据流的目的地址。...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。