建立互联网协议安全性隧道的方法和网关设备与流程
本发明实施例涉及网络通信技术领域,尤其涉及建立互联网协议安全性隧道的方法和网关设备。
背景技术:
随着公司规模的不断壮大,越来越多的企业开始向异地甚至海外拓展业务,并设置分支机构。如何以较低的成本实现各个分支机构之间的安全沟通、资源共享以及统一运营管理是各大公司和厂商们面临的突出问题。为此虚拟私有网络(virtualprivatenetwork,简称为“vpn”)技术应运而生,它能利用廉价的公有网络比如互联网(internet)作为传输媒介,通过加密、封装等技术帮助企业的不同分支机构之间或分支结构和总部之间建立安全可靠的连接,实现安全沟通,资源共享的目的。
internet协议安全性(internetprotocolsecurity,简称为“ipsec”)作为一种三层vpn技术,可以通过加密和验证等方式为ip数据包的传输提供端到端的安全服务。
集成vpn功能的防火墙部署在分支机构所在的企业出口的时候,出于冗余安全的考虑,常常会连接到多个不同运营商的网络,分别通过多个不同的运营商的网络与总部的企业网络连接,比如分别通过联通和电信进行连接,当联通网络出问题的时候,可以走电信的网络,保证业务不中断。不同的运营商之间的ip是相互隔离的,这样一来分布在不同地方的企业网络之间建立ipsec就会面临多出口的情况。
现有技术中的分支机构的防火墙用不同的运营商配置的ip地址与总部建立ipsec隧道,之后配置引流路径。在需要新增加出口时,需要在增加的出接口上配置新的ipsec隧道。现有技术的方案的扩展性较差。
技术实现要素:
本申请提供了一种建立互联网协议安全性ipsec隧道的方法和网关设 备,能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
第一方面,提供了一种建立互联网协议安全性ipsec隧道的方法,包括:网关设备根据ipsece配置信息中包含的ipsec隧道目的地址,在路由表中查找得到目的地址为该ipsec隧道目的地址的第一路由,该ipsec隧道目的地址为对端设备的互联网协议ip地址;该网关设备在该路由表中查找得到与该第一路由相对应的该网关设备上的第一出接口;该网关设备根据该第一出接口的ip地址和该ipsec隧道目的地址,建立以该第一出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第一通用路由协议封装gre隧道;该网关设备通过该第一gre隧道,将该ipsec隧道配置信息中包含的ipsec隧道源地址发布给该对端设备,该ipsec隧道源地址为该网关设备的ip地址;该网关设备与该对端设备通过该第一gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。
本申请实施例的用于建立ipsec隧道的方法,网关设备以ipsec配置信息中包含的ipsec隧道的目的地址为查找键值,在路由表中查找到目的地址为该ipsec隧道的目的地址的第一路由及该第一路由对应的第一出接口,并建立以该第一出接口的ip地址为源地址,以该ipsec隧道的目的地址为目的地址的第一gre隧道,之后通过该第一gre隧道将ipsec隧道的源地址发布给对端设备,由此,网关设备就可以以ipsec隧道的源地址作为源地址,以对端设备的ip地址作为目的地址建立ipsec隧道,由于网关设备能够根据ipsec配置信息自动查找路由表,根据查找到的信息建立gre隧道,并在该gre隧道的基础上建立ipsec隧道,而不需要手动进行gre隧道的配置,由此能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
进一步的,在存在多条指向同一目的地址,即ipsece配置信息中包含的ipsec隧道目的地址的路由的情况下,并进而确定这些路由对应多个出接口时,网关设备可以根据本申请的方法和对端设备建立多条gre隧道,由于ipsec配置信息中的ipsec隧道源地址为该网关设备的ip地址,ipsec隧道目的地址为对端设备的ip地址,网关设备可以在建立起的gre隧道的基础上与对端设备建立一条ipsec隧道,从而使这一条ipsec隧道的流量可以通过多条gre隧道进行分担,由此能够实现业务在多出接口之间的负载分担。
结合第一方面,在第一方面的第一种可能的实现方式中,该ipsec隧道配置信息中还包含地址池;
其中,该网关设备通过该第一gre隧道,将该ipsec隧道配置信息中包括的ipsec隧道源地址发布给该对端设备,包括:该网关设备从该地址池中,选择一个地址作为该第一gre隧道的逻辑接口的ip地址;该网关设备在该第一gre隧道的逻辑接口上使能路由协议,向该对端设备发布一条目的地址为该ipsec隧道源地址,且下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
网关设备能够自动在建立起来的gre隧道上使能路由协议,将ipsec配置信息中包括的ipsec隧道源地址发布给对端设备,而不需要手动配置使能路由协议,由此可以进一步降低网络的部署成本。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,该方法还包括:该网关设备检测到第二路由,该第二路由为新增加的且目的地址为该ipsec隧道的目的地址的路由;该网关设备在该路由表中查找得到与该第二路由相对应的该网关设备上的第二出接口;该网关设备根据该第二出接口的ip地址和该ipsec隧道目的地址,建立以该第二出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第二gre隧道;该网关设备通过该第二gre隧道,将该ipsec隧道源地址发布给该对端设备;该网关设备与该对端设备通过该第二gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。
进而,本申请实施例的用于建立ipsec隧道的方法,网关设备可以自动检测是否有新增的路由,并在检测到有新增的路由时建立新的gre隧道,由此在网关设备新增出接口时,能够自动支持多出口的扩展。
结合第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,该方法还包括:该网关设备检测到该第一路由被删除;该网关设备删除该第一gre隧道。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,该网关设备检测到该第一路由被删除之后,该方法还包括:该网关设备通知该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,该网关设备通知该对端设备删除一条目的地址为该ipsec隧道源 地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由,包括:该网关设备在删除该第一gre隧道之前,在该第一gre隧道的逻辑接口上,向该对端设备发送一条路由删除消息,该路由删除消息用于指示该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
结合第一方面的第四种可能的实现方式,在第一方面的第六种可能的实现方式中,该网关设备通知该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由,包括:该网关设备在第三gre隧道的逻辑接口上,向该对端设备发送一条路由删除消息,该路由删除消息用于指示该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由;其中,该第三gre隧道的源地址为该网关设备上的第三出接口的ip地址,该第三gre隧道的目的地址为该ipsec隧道目的地址,该第三出接口对应的路由的目的地址为该ipsec隧道目的地址。
第二方面,提供了一种网关设备,用于执行上述第一方面或第一方面的任意可能的实现方式中的方法,具体地,该网关设备包括用于执行上述第一方面或第一方面的任意可能的实现方式中的方法的单元。
第三方面,提供了一种计算机可读介质,用于存储计算机程序,该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例的应用场景的示意图;
图2是根据本申请实施例的建立ipsec隧道的方法的示意性流程图;
图3是根据本申请一个具体实施例的建立ipsec隧道的方法的示意图;
图4是根据本申请实施例的网关设备的示意性图;
图5是根据本申请另一实施例的网关设备的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本申请实施例中,网关设备还可以称为“互联网协议安全虚拟私有网络(internetprotocolsecurityvirtualprivatenetwork,简称为“ipsecvpn”)网关”,网关设备指的是能够支持互联网协议安全性协议和通用路由封装(genericroutingencapsulation,简称为“gre”)协议的设备,例如,可以是防火墙设备、路由器设备等。
本申请实施例中提到的gre隧道由两端的源ip地址和目的ip地址来定义,它允许用户使用ip封装ip、互联网数据包交换协议(internetworkpacketexchangeprotocol,简称为“ipx”)、苹果交流协议(appletalk),并支持全部的路由协议,如路由信息协议(routinginformationprotocol,简称为“rip”)、开放式最短路径优先(openshortestpathfirst,简称为“ospf”)、内部网关路由协议(interiorgatewayroutingprotocol,简称为“igrp”)、增强内部网关路由线路协议(enhancedinteriorgatewayroutingprotocol,简称为“eigrp”)。通过gre隧道,用户可以利用公用ip网络连接ipx网络和appletalk网络,还可以使用保留地址进行网络互联,或对公网隐藏企业网的ip地址。
gre隧道只提供了数据包的封装,它没有防止网络侦听和攻击的加密功能。所以在实际环境中它常和ipsec隧道一起使用,由ipsec隧道为用户的数据加密,给用户提供更好的安全服务。
图1是根据本申请实施例的应用场景的示意图。如图1所示,总部与分支机构之间可以通过虚拟私有网络(virturalprivatenetwork,简称为“vpn”)实现安全沟通与资源共享,集成有vpn功能的网关设备a和网关设备b分别部署在分支机构及总部的出口上,并通过运营商1和运营商2建立互联网协议安全性(internetprotocolsecurity,简称为“ipsec”)隧道,通过加密和验证等方式为ip数据包的传输提供端到端的安全服务。
图2是根据本申请实施例的建立ipsec隧道的方法的示意性流程图,如 图2所示,方法100包括:
s110,网关设备根据ipsec配置信息中包含的ipsec隧道目的地址,在路由表中查找得到目的地址为该ipsec隧道目的地址的第一路由,该ipsec隧道目的地址为对端设备的互联网协议ip地址;
s120,该网关设备在该路由表中查找得到与该第一路由相对应的该网关设备上的第一出接口;
s130,该网关设备根据该第一出接口的ip地址和该ipsec隧道目的地址,建立以该第一出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第一通用路由封装gre隧道;
s140,该网关设备通过该第一ger隧道,将该ipsec隧道配置信息中包含的ipsec隧道源地址发布给该对端设备,该ipsec隧道源地址为该网关设备的ip地址;
s150,该网关设备与该对端设备通过该第一gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。
在s150中,网关设备在第一gre隧道建立之后,与对端设备通过已建立的第一gre隧道进行ipsec隧道的协商过程,协商完成之后,建立了ipsec隧道。后续发送的业务数据先进行ipsec封装,再将ipsec封装后得到的报文进一步进行gre封装,通过第一gre隧道将gre封装后得到的报文发送给对端设备。
具体来说,网关设备中的路由表中会存储路由的目的地址信息、路由目的地掩码信息、下一跳的地址信息及出接口信息等。网关设备可以以目的地址作为查找键值查找路由表,找到目的地址为ipsec隧道配置信息中包含的ipsec隧道的目的地址(ipsec隧道目的地址为对端设备的ip地址)的第一路由,并进一步通过该路由表查找到该网关设备上与该第一路由相对应的第一出接口及该第一出接口的ip地址,之后网关设备建立以该第一出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第一gre隧道,并通过该第一gre隧道将ipsec配置信息中包含的ipsec隧道源地址(该ipsec隧道源地址为该网关设备的ip地址)发布给对端设备,之后网关设备可以通过该第一gre隧道与对端设备建立以该网关设备的ip地址为源地址,以对端设备的ip地址为目的地址的ipsec隧道。本申请实施例的建立ipsec隧道的方法,在建立gre隧道时不需要手动进行gre隧道的配置,由此能够 自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
进一步地,在存在多条指向同一目的地址,即ipsece配置信息中包含的ipsec隧道目的地址的路由的情况下,并进而确定这些路由对应多个出接口时,网关设备可以根据本申请的方法和对端设备建立起多条gre隧道,由于ipsec配置信息中的ipsec隧道源地址为该网关设备的ip地址,ipsec隧道目的地址为对端设备的ip地址,网关设备可以在建立起的gre隧道的基础上与对端设备建立一条ipsec隧道,从而使这一条ipsec隧道的流量可以通过多条gre隧道进行分担,由此能够实现业务在多出接口之间的负载分担。
一般来说,对端设备可以是企业总部的网络出口设备,也可以是企业的一个分支部门的网络出口设备。网关设备的ip地址也可以称为本地私有ip地址,本地私有ip地址是由企业内部自己规划的、只在企业内部使用的ip地址,对运营商网络来说是不可见的。
可选地,作为一个例子,ipsec隧道配置信息主要包含需要建立的ipsec隧道的源地址、ipsec隧道的目的地址、地址池、要保护的流量及加密算法和认证算法等信息,每增加一条目的地址为该ipsec隧道配置信息中包含的ipsec隧道的目的地址的gre隧道时,网关设备可以从该地址池中选择一个ip地址,作为新增加的gre隧道的逻辑接口的ip地址。
例如,图3所示,ipsec隧道配置信息指示的对端设备的ip地址(ipsec隧道的目的地址)为1.1.1.1,防火墙(firewall,简称为“fw”)设备根据对端设备的ip地址查找路由,找到目的地址为该对端设备的ip的路由及路由对应的出接口,图3中目的地址为1.1.1.1的路由有两条,分别为:des1.1.1.1/32nexthop3.2.3.2interfaceeth1/0/1;des1.1.1.1/32nexthop2.2.3.2interfaceeth1/0/2。之后防火墙设备获取连接联通的出接口eth1/0/1的ip地址为3.2.3.1,连接电信的出接口eth1/0/2的ip地址为2.2.3.1。
之后,防火墙设备以电信的出接口eth1/0/2的ip地址2.2.3.1作为源地址,以对端设备的ip地址1.1.1.1作为目的地址建立gretunnel1(图3中简称为:gre1);防火墙设备以联通的出接口eth1/0/1的ip地址3.2.3.1作为源地址,以对端设备的ip地址1.1.1.1作为目的地址建立gretunnel2(图3中简称为:gre2)。防火墙设备可以将地址池中的50.1.1.1确定为gretunnel1的逻辑接口的ip地址,将地址池中的60.1.1.1确定为gretunnel2的ip地址。
在本申请实施例中,可选地,可以在建立好的gre隧道上手动进行配置,使能路由协议把网关设备的ip地址发布给对端设备。优选地,网关设备可以自动在建立好的gre隧道上使能路由协议,将网关设备的ip地址发布给对端设备,具体来说网关设备可以从地址池中选择一个地址作为该第一gre隧道的逻辑接口的ip地址,在该第一gre隧道的逻辑接口上使能路由协议,向该对端设备发布一条目的地址为该ipsec隧道源地址,且下一跳为该第一gre隧道的逻辑接口的ip地址的路由。相对应的,对端设备将新增一条目的地址为该ipsec隧道源地址,且下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
例如,如上文中提到的gretunnel1的逻辑接口的ip地址为50.1.1.1,gretunnel2的ip地址为60.1.1.1,防火墙设备的ip地址为10.1.1.1,则防火墙设备可以自动生成如下配置使能路由协议,并将防火墙设备的ip地址发布给对端设备:
在本申请实施例中,可选地,网关设备可以通过接口查找函数获取该第一出接口的ip地址,换句话说,可以在网关设备内配置查找出接口的ip地址的代码,通过这些代码获取出接口的ip地址。
可选地,网关设备可以在路由增加时,自动增加gre隧道。具体地,该网关设备检测到第二路由,该第二路由为新增加的且目的地址为该ipsec隧道的目的地址的路由;该网关设备在该路由表中查找得到与该第二路由相对应的该网关设备上的第二出接口;该网关设备通过该第二出接口的ip地址和该ipsec隧道的目的地址,建立以该第二出接口的ip地址为源地址,以该ipsec隧道的目的地址为目的地址的第二gre隧道;该网关设备通过该第二gre隧道,将该ipsec隧道的源地址发布给该对端设备;该网关设备与该对端设备通过该第二gre隧道建立以该ipsec隧道源地址为源地址,以该 ipsec隧道目的地址为目的地址的ipsec隧道。
例如,以图3为例,假设以对端设备的ip地址1.1.1.1为目的地址的路由增加一条:des1.1.1.1/32nexthop5.2.3.2interfaceeth1/0/3,防火墙设备发现新增一条目的地址为1.1.1.1的路由后,获取新增加的路由,按照上文中描述的方法确定新增加的路由的出接口及出接口的ip地址,之后以新增加的路由对应的出接口的ip地址作为源地址,以对端设备的ip地址作为目的地址新建一条gre隧道,之后通过该新建的gre隧道将防火墙设备的ip地址发布给对端设备,从而通过该新建的gre隧道建立以防火墙设备的ip地址为源地址,以对端设备的ip地址为目的地址的ipsec隧道。
相类似的,网关设备还可以在检测到该第一路由被删除时,删除该第一gre隧道。
在本申请实施例中,可选地,网关设备可以向内部的路由管理模块注册一个路由响应处理函数,例如,ipsec_multi_process,路由响应处理函数可以通过比较路由的目的地址发现到ipsec隧道的目的地址的路由是否有新增或删除。
具体来说,网关设备可以在某一目的地址为ipsec配置信息中包含的ipsec隧道目的地址的路由被删除时,自动删除与该路由相关的gre隧道。例如,以图3为例,假设以对端设备的ip地址1.1.1.1为目的地址的路由减少了一条:des1.1.1.1/32nexthop3.2.3.2interfaceeth1/0/1,防火墙设备发现减少了一条目的地址为1.1.1.1的路由后,按照上文中描述的方法确定路由的出接口及出接口的ip地址,之后找到源地址为2.2.3.1,目的地址为1.1.1.1的gretunnel2,并且之前确定的gretunnel2的逻辑接口的ip地址为60.1.1.1,自动生成如下配置信息,删除gretunnel2:
并且进一步的,在该网关设备检测到该第一路由被删除之后,网关设备通知该对端设备删除一条目的地址为该ipsec隧道源地址,且下一跳为该第一gre隧道的逻辑接口的ip地址的路由。由此能够避免资源的浪费。
可选地,作为一个实施例,网关设备在删除该第一gre隧道之前,在该第一gre隧道的逻辑接口上,向该对端设备发送一条路由删除消息,该路由删除消息用于指示该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由。对端设备接收到该路由删除消息后,删除该路由删除消息指示需要删除的路由。
可选地,作为一个实施例,网关设备在地上gre隧道的逻辑接口上,向该对端设备发送一条路由删除消息,该路由删除消息用于指示该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由;其中,该第三gre隧道的源地址为该网关设备上的第三出接口的ip地址,该第三gre隧道的目的地址为该ipsec隧道目的地址,该第三出接口对应的路由的目的地址为该ipsec隧道目的地址。
也就是说,如果要删除第一gre隧道,网关设备可以在删除该第一gre隧道之前,通过该第一gre隧道向对端设备发送指示对端设备删除路由的消息。网关设备还可以通过与该第一gre隧道承载同一个ipsec隧道的其他gre隧道向对端设备发送指示对端设备删除路由的消息。
因此,根据本申请实施例的建立ipsec隧道的方法,网关设备能够根据ipsec配置信息自动查找路由表,根据查找到的信息建立gre隧道,并在该gre隧道的基础上建立ipsec隧道,而不需要手动进行gre隧道的配置,由此能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
下面将结合图4详细描述根据本申请实施例的网关设备,如图4所示,网关设备10包括:
路由管理单元11,用于根据ipsec配置信息中包含的ipsec隧道目的地址,在路由表中查找得到目的地址为该ipsec隧道目的地址的第一路由,该ipsec隧道目的地址为对端设备的互联网ip地址;
该路由管理单元11,还用于在该路由表中查找得到与该第一路由相对应的该网关设备上的第一出接口;
隧道管理单元12,用于根据该第一出接口的ip地址和该ipsec隧道目的地址,建立以该第一出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第一通用路由封装gre隧道;
该隧道管理单元12,还用于通过该第一gre隧道,将该ipsec隧道配置信息中包含的ipsec隧道源地址发布给该对端设备,ipsec隧道源地址为该 网关设备的ip地址;
该隧道管理单元12,还用于与该对端设备通过该第一gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。
因此,根据本申请实施例的网关设备能够根据ipsec配置信息自动查找路由表,根据查找到的信息建立gre隧道,并在该gre隧道的基础上建立ipsec隧道,而不需要手动进行gre隧道的配置,由此能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
在本申请实施例中,可选地,该ipsec配置信息中还包含地址池;
其中,该隧道管理单元12具体用于:从该地址池中,选择一个地址作为该第一gre隧道的逻辑接口的ip地址;在该第一gre隧道的逻辑接口上使能路由协议,向该对端设备发布一条目的地址为该ipsec隧道源地址,且下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
在本申请实施例中,可选地,该路由管理单元11还用于:在该路由表中查找得到与该第二路由相对应的该网关设备上的第二出接口;
其中,该隧道管理单元12还用于:根据该第二出接口的ip地址和该ipsec隧道目的地址,建立以该第二出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第二gre隧道;通过该第二gre隧道,将该ipsec隧道源地址发布给该对端设备;与该对端设备通过该第二gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。在所述路由管理单元检测到所述第一路由被删除之后,所述路由管理单元还用于:
通知所述对端设备删除一条目的地址为所述ipsec隧道源地址,下一跳为所述第一gre隧道的逻辑接口的ip地址的路由。
在本申请实施例中,可选地,该路由管理单元11具体用于:在删除所述第一gre隧道之前,在所述第一gre隧道的逻辑接口上,向所述对端设备发送一条路由删除消息,所述路由删除消息用于指示所述对端设备删除一条目的地址为所述ipsec隧道源地址,下一跳为所述第一gre隧道的逻辑接口的ip地址的路由。
在本申请实施例中,可选地,该路由管理单元11具体用于:在地上gre隧道的逻辑接口上,向所述对端设备发送一条路由删除消息,所述路由删除 消息用于指示所述对端设备删除一条目的地址为所述ipsec隧道源地址,下一跳为所述第一gre隧道的逻辑接口的ip地址的路由;
其中,所述第三gre隧道的源地址为所述网关设备上的第三出接口的ip地址,所述第三gre隧道的目的地址为所述ipsec隧道目的地址,所述第三出接口对应的路由的目的地址为所述ipsec隧道目的地址。
应理解,根据本申请实施例的网关设备10可对应于执行本申请实施例中的建立ipsec隧道的方法100,并且网关设备10中的各个模块的上述和其它操作和/或功能分别为了实现图2中的相应流程,为了简洁,在此不再赘述。
因此,根据本申请实施例的网关设备能够根据ipsec配置信息自动查找路由表,根据查找到的信息建立gre隧道,并在该gre隧道的基础上建立ipsec隧道,而不需要手动进行gre隧道的配置,由此能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
如图5所示,本申请实施例还提供了一种网关设备100,该网关设备100包括处理器101、存储器102和总线系统105。其中,处理器101和、存储器102通过总线系统103相连,该存储器102用于存储指令,该处理器101用于执行该存储器102存储的指令。该处理器101,用于根据ipsec配置信息中包含的ipsec隧道目的地址,在路由表中查找得到目的地址为该ipsec隧道目的地址的第一路由,该ipsec隧道目的地址为对端设备的互联网ip地址;在该路由表中查找得到与该第一路由相对应的该网关设备上的第一出接口;根据该第一出接口的ip地址和该ipsec隧道目的地址,建立以该第一出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第一通用路由封装gre隧道;通过该第一gre隧道,将该ipsec隧道配置信息中包含的ipsec隧道源地址发布给该对端设备,该ipsec隧道的源地址为该网关设备的ip地址;与该对端设备通过该第一gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。
因此,根据本申请实施例的网关设备能够根据ipsec配置信息自动查找路由表,根据查找到的信息建立gre隧道,并在该gre隧道的基础上建立ipsec隧道,而不需要手动进行gre隧道的配置,由此能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
应理解,在本申请实施例中,该处理器101可以是中央处理单元(centralprocessingunit,简称为“cpu”),该处理器101还可以是其他通用处理器、 数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器102可以包括只读存储器和随机存取存储器,并向处理器101提供指令和数据。存储器102的一部分还可以包括非易失性随机存取存储器。例如,存储器102还可以存储设备类型的信息。
该总线系统103除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统103。
在实现过程中,上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器102,处理器101读取存储器102中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
可选地,作为一个实施例,该ipsec配置信息中还包含地址池;
其中,该处理器101具体用于:从该地址池中,选择一个地址作为该第一gre隧道的逻辑接口的ip地址;在该第一gre隧道的逻辑接口上使能路由协议,向该对端设备发布一条目的地址为该ipsec隧道源地址,且下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
可选地,作为一个实施例,该处理器101还用于:在该路由表中查找得到与该第二路由相对应的该网关设备上的第二出接口;根据该第二出接口的ip地址和该ipsec隧道目的地址,建立以该第二出接口的ip地址为源地址,以该ipsec隧道目的地址为目的地址的第二gre隧道;通过该第二gre隧道,将该ipsec隧道源地址发布给该对端设备;与该对端设备通过该第二gre隧道建立以该ipsec隧道源地址为源地址,以该ipsec隧道目的地址为目的地址的ipsec隧道。
可选地,作为一个实施例,该处理器101还用于:检测到该第一路由被删除;删除该第一gre隧道。
可选地,作为一个实施例,在该处理器101检测到该第一路由被删除之 后,该处理器101还用于:通知该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
可选地,作为一个实施例,该处理器101具体用于:在删除该第一gre隧道之前,在该第一gre隧道的逻辑接口上,向该对端设备发送一条路由删除消息,该路由删除消息用于指示该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由。
可选地,作为一个实施例,该处理器101具体用于:在地上gre隧道的逻辑接口上,向该对端设备发送一条路由删除消息,该路由删除消息用于指示该对端设备删除一条目的地址为该ipsec隧道源地址,下一跳为该第一gre隧道的逻辑接口的ip地址的路由;其中,该第三gre隧道的源地址为该网关设备上的第三出接口的ip地址,该第三gre隧道的目的地址为该ipsec隧道目的地址,该第三出接口对应的路由的目的地址为该ipsec隧道目的地址。
应理解,根据本申请实施例的网关设备100可对应于本申请实施例中的网关设备10,并可以对应于执行根据本申请实施例的方法中的相应主体,并且网关设备100中的各个模块的上述和其它操作和/或功能分别为了实现图2中的相应流程,为了简洁,在此不再赘述。
因此,根据本申请实施例的网关设备能够根据ipsec配置信息自动查找路由表,根据查找到的信息建立gre隧道,并在该gre隧道的基础上建立ipsec隧道,而不需要手动进行gre隧道的配置,由此能够自动支持多出口的扩展,降低ipsec隧道支持多出口的配置门槛。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,简称为“rom”)、随机存取存储器(randomaccessmemory,简称为“ram”)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!