一种隧道选择方法、设备及系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,特别是涉及一种隧道选择方法、设备及系统。
【背景技术】
[0002]点对点(Site-to-Site)VPN网络,也称局域网到局域网的VPN(LAN to LAN VPN),网关到网关VPN(Gateway to Gateway VPN),通过在两个VPN网络之间建立IPSec (IPSecurity)隧道,实现两个VPN网络之间的数据交互。
[0003]两个VPN网络建立IPSec隧道时,发起方网络设备(Spoke,一般为分支)向响应方网络设备(HUB,一般为总部)发起因特网密钥交换协议(Internet Key Exchange,IKE),请求建立IPSec隧道。响应方网络设备为了提高网络中数据传输的可靠性,给发起方网络设备提供了多个因特网服务提供方(Internet Service Provider,ISP)接口,所述ISP接口给发起方网络设备提供建立IPSec隧道的接入功能。发送方网络设备利用多个ISP接口与响应方网络设备建立多条IPSec隧道。
[0004]每建立一条IPSec隧道,响应方网络设备即根据建立该IPSec隧道的IKE协商,生成一个与该IPSec隧道所对应并且到发送方VPN的路由。由于响应方网络设备与发送方网络设备建立多条IPSec隧道,响应方网络设备生成到发送方VPN内IP网段的多条等价路由。
[0005]发送方网络设备与响应方网络设备进行数据交互时,发送方网络设备向响应方网络设备发送数据报文时,对多条IPSec隧道进行检测,选择数据传输质量最好的的IPSec隧道向响应方网络设备发送数据报文。响应方网络设备查询到发送方VPN内IP网段的多条等价路由,响应方网络设备会随机选择一条路由,利用所选择的路由所对应的隧道向发送方网络设备发送数据报文。这样,会引起同一个业务的数据报文的来回路径不一致,导致业务中断。
【发明内容】
[0006]本发明实施例在于提供一种隧道选择方法、设备及系统,实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互,提高传输业务数据报文的可靠性。
[0007]为此,本发明解决技术问题的技术方案是:
[0008]本发明实施例第一方面提供一种隧道选择方法,应用于发送方网络设备,所述方法包括:
[0009]发送方网络设备给第一 IPSec隧道设置高优先级,给第二 IPSec隧道设置低优先级;
[0010]所述发送方网络设备将所述第一 IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二 IPSec隧道的低优先级添加至第二 IKE协商报文;
[0011]所述发送方网络设备通过所述第一 IPSec隧道将所述第一 IKE协商报文发送至响应方网络设备,通过所述第二 IPSec隧道将第二 IKE协商报文发送至所述响应方网络设备;
[0012]所述发送方网络设备通过高优先级的第一 IPSec隧道向所述响应方网络设备发送业务数据报文。
[0013]在本发明实施例第一方面第一种可能的实施方式中,所述方法还包括:
[0014]所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
[0015]所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道;
[0016]所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。
[0017]结合本发明实施例第一方面至第一方面的第一种可能的实施方式,在第二种可能的实施方式中,
[0018]所述第一 IKE协商报文和所述第二 IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
[0019]本发明实施例第二方面提供一种隧道选择方法,应用于响应方网络设备,所述方法包括:
[0020]响应方网络设备通过所述第一 IPSec隧道接收所述第一 IKE协商报文,通过所述第二 IPSec隧道接收第二 IKE协商报文;
[0021]所述响应方网络设备解析所述第一 IKE协商报文中携带的第一 IPSec隧道的高优先级,解析所述第二 IKE协商报文中携带的第二 IPSec隧道的低优先级;
[0022]所述响应方网络设备生成与所述第一 IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一 IPSec隧道对应的到发送方VPN网络的第二路由;
[0023]所述响应方网络设备根据所述第一 IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二 IPSec隧道的优先级设置第二路由为低优先级;
[0024]所述响应方网络设备接收所述发送方网络设备通过高优先级的第一 IPSec隧道发送的业务数据报文;
[0025]所述响应方网络设备选择高优先级的第一路由,通过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
[0026]在本发明实施例第二方面第一种可能的实施方式中,
[0027]所述第一 IKE协商报文和所述第二 IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
[0028]所述响应方网络设备解析所述第一 IKE协商报文中携带的第一 IPSec隧道的高优先级,解析所述第二 IKE协商报文中携带的第二 IPSec隧道的低优先级为:
[0029]所述响应方网络设备解析所述第一 ISAKMP通知消息中携带的第一 IPSec隧道的高优先级,解析所述第二 ISAKMP通知消息中携带的第二 IPSec隧道的低优先级。
[0030]本发明实施例第三方面提供一种发送方网络设备,所述设备包括:
[0031]设置单元,用于给第一 IPSec隧道设置高优先级,给第二 IPSec隧道设置低优先级;
[0032]添加单元,用于将所述第一 IPSec隧道的高优先级添加至第一因特网密钥交换协议IKE协商报文,将所述第二 IPSec隧道的高优先级添加至第二 IKE协商报文;
[0033]第一发送单元,用于通过所述第一 IPSec隧道将所述第一 IKE协商报文发送至响应方网络设备;
[0034]第二发送单元,用于通过所述第二 IPSec隧道将第二 IKE协商报文发送至所述响应方网络设备;
[0035]第三发送单元,用于通过高优先级的第一 IPSec隧道向所述响应方网络设备发送业务数据报文。
[0036]在本发明实施例第三方面第一种可能的实施方式中,所述设备还包括:
[0037]探测单元,用于探测与所述响应方网络设备建立的两条IPSec隧道,获得两条IPSec隧道对数据报文的传输质量;
[0038]第一选择单元,用于选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道;
[0039]第二选择单元,用于选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。
[0040]结合本发明实施例第三方面至第三方面第一种可能的实施方式,在第二种可能的实施方式中,
[0041]所述第一 IKE协商报文和所述第二 IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
[0042]本发明实施例第四方面提供一种响应方网络设备,所述设备包括:
[0043]第一接收单元,用于通过所述第一 IPSec隧道接收所述第一 IKE协商报文;
[0044]第二接收单元,用于通过所述第二 IPSec隧道接收第二 IKE协商报文;
[0045]解析单元,用于解析所述第一 IKE协商报文中携带的第一 IPSec隧道的高优先级,解析所述第二 IKE协商报文中携带的第二 IPSec隧道的低优先级;
[0046]生成单元,用于生成与所述第一 IPSec隧道对应的到发送方VPN网络的第一路由,生成对所述第二第一 IPSec隧道对应的到发送方VPN网络的第二路由;
[0047]设置单元,用于根据所述第一 IPSec隧道的优先级设置第一路由的为高优先级,根据所述第二 IPSec隧道的优先级设置第二路由为低优先级;
[0048]第三接收单元,用于接收所述发送方网络设备通过高优先级的第一 IPSec隧道发送的业务数据报文;
[0049]发送单元,用于选择高优先级的第一路选择高优先级的第一路由,通过所述第一路由所对应的第一 IPSec隧道向发送方网络设备返回业务数据报文。
[0050]在本发明实施例第四方面第一种可能的实施方式中,
[0051]所述第一 IKE协商报文和所述第二 IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息;
[0052]则所述解析单元,具体用于解析所述第一 ISAKMP通知消息中携带的第一 IPSec隧道的高优先级,解析所述第二 ISAKMP通知消息中携带的第二 IPSec隧道的低优先级。
[0053]11、一种隧道选择系统,其特征在于,所述系统包括:
[0054]本发明实施例第三方面至第三方面第