一种IPsec隧道的建立方法和设备的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种IPsec隧道的建立方法和设备。
【背景技术】
[0002]IPsec (IP Security,IP安全)是三层隧道加密协议,为互联网上传输的数据提供高质量的基于密码学的安全保证,是一种实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPsec通过在通信方之间建立IPsec隧道,来保护通信方之间传输的数据。IPsec提供了两大安全机制:认证和加密。认证机制使数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性。
[0003]如图1所示,在大型的IPsec VPN网络中,包括中心设备和多个分支设备,通过在中心设备与分支设备之间建立IPsec隧道,来保护中心设备与分支设备之间传输的数据。进一步的,为了对分支设备对应的私网数据进行IPsec保护,通常在中心设备上指定需要保护的该分支设备的数据流信息,只有匹配该数据流信息的私网数据才能够进行IPsec保护。例如,在中心设备上指定分支设备I的数据流信息I和分支设备2的数据流信息2,对于匹配到数据流信息I的私网数据或者匹配到数据流信息2的私网数据,中心设备会进行IPsec保护。
[0004]由于多个分支设备可能属于不同的设备厂商,因此,各分支设备分别向中心设备通知的各分支设备的数据流信息,可能存在错误配置的情况(如各分支设备的数据流信息相同或者存在交集)。例如,分支设备I的数据流信息I为192.168.1.1/24?192.168.1.10/24,分支设备 2 的数据流信息 2 为 192.168.2.1/16 ?192.168.2.10/16,分支设备2的数据流信息2包含分支设备I的数据流信息I。
[0005]基于此,中心设备在分别与分支设备I和分支设备2建立IPsec隧道之后,由于分支设备2的数据流信息2包含了分支设备I的数据流信息1,因此,会导致中心设备将需要发送给分支设备I的私网数据错误的发送给分支设备2。
【发明内容】
[0006]本发明实施例提供一种IP安全IPsec隧道的建立方法,该方法应用于包括中心设备和多个分支设备的网络中,所述方法包括以下步骤:
[0007]所述中心设备获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息,并记录各第一数据流信息与各身份信息之间的对应关系;
[0008]所述中心设备接收来自分支设备的第二数据流信息,利用所述分支设备的身份信息查询所述对应关系,得到所述身份信息对应的第一数据流信息;
[0009]当第一数据流信息与第二数据流信息相同时,所述中心设备确定第一数据流信息为分支设备使用的数据流信息,并向分支设备发送第一数据流信息,以使所述分支设备利用所述第一数据流信息与中心设备建立IPsec隧道;
[0010]当第一数据流信息与第二数据流信息不同时,所述中心设备确定第一数据流信息为分支设备使用的数据流信息,并向分支设备发送第二数据流信息,以使分支设备利用第二数据流信息与中心设备建立IPsec隧道;或者,向分支设备发送第一数据流信息,以使分支设备将自身维护的第二数据流信息修改为第一数据流信息,并利用第一数据流信息与中心设备建立IPsec隧道。
[0011]所述中心设备获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息的过程,具体包括:
[0012]所述中心设备从本地配置中获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息;或者,所述中心设备从指定服务器上获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息。
[0013]所述中心设备接收来自分支设备的第二数据流信息,利用所述分支设备的身份信息查询所述对应关系,得到所述身份信息对应的第一数据流信息的过程,具体包括:
[0014]所述中心设备在互联网密钥交换IKE安全联盟SA建立过程中,获得并记录分支设备的身份信息;所述中心设备在IPsec SA建立过程中,接收来自所述分支设备的第二数据流信息,并利用IKE SA建立过程中记录的分支设备的身份信息查询所述对应关系,得到所述身份信息对应的第一数据流信息。
[0015]所述方法进一步包括:
[0016]当第一数据流信息与第二数据流信息不同时,所述中心设备确定所述分支设备上配置的数据流信息存在配置错误,并提示配置错误的信息。
[0017]所述中心设备确定第一数据流信息为分支设备使用的数据流信息之后,所述方法进一步包括:
[0018]所述中心设备在收到匹配所述第一数据流信息的数据报文后,利用IPsec隧道对所述数据报文进行IPsec保护,并向所述分支设备发送所述数据报文。
[0019]本发明实施例提供一种中心设备,应用于包括所述中心设备和多个分支设备的网络中,所述中心设备具体包括:
[0020]获取模块,用于获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息,并记录各第一数据流信息与各身份信息之间的对应关系;
[0021]查询模块,用于接收来自分支设备的第二数据流信息,利用所述分支设备的身份信息查询所述对应关系,得到所述身份信息对应的第一数据流信息;
[0022]处理模块,用于当第一数据流信息与第二数据流信息相同时,确定第一数据流信息为分支设备使用的数据流信息,并向分支设备发送第一数据流信息,以使所述分支设备利用所述第一数据流信息与中心设备建立IP安全IPsec隧道;当第一数据流信息与第二数据流信息不同时,确定第一数据流信息为分支设备使用的数据流信息,并向分支设备发送第二数据流信息,以使分支设备利用第二数据流信息与中心设备建立IPsec隧道;或者,向分支设备发送第一数据流信息,以使分支设备将自身维护的第二数据流信息修改为第一数据流信息,并利用第一数据流信息与中心设备建立IPsec隧道。
[0023]所述获取模块,具体用于在获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息的过程中,从中心设备的本地配置中获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息;或者,从指定服务器上获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息。
[0024]所述查询模块,具体用于在接收来自分支设备的第二数据流信息,利用所述分支设备的身份信息查询所述对应关系,得到所述身份信息对应的第一数据流信息的过程中,在互联网密钥交换IKE安全联盟SA建立过程中,获得并记录分支设备的身份信息
SA建立过程中,接收来自所述分支设备的第二数据流信息,并利用IKE SA建立过程中记录的分支设备的身份信息查询所述对应关系,得到所述身份信息对应的第一数据流信息。
[0025]所述处理模块,还用于当第一数据流信息与第二数据流信息不同时,确定所述分支设备上配置的数据流信息存在配置错误,并提示配置错误的信息。
[0026]所述处理模块,还用于在确定第一数据流信息为分支设备使用的数据流信息之后,在收到匹配所述第一数据流信息的数据报文后,利用IPsec隧道对所述数据报文进行IPsec保护,并向所述分支设备发送所述数据报文。
[0027]基于上述技术方案,本发明实施例中,对于数据流信息配置冲突的分支设备,中心设备能够根据正确的数据流信息与分支设备建立IPsec隧道,保证IPsec业务正常,避免配置冲突带来的网络中断,避免将某分支设备的私网数据错误的发送给另一分支设备,并提供有效信息供网络管理员进一步处理。
【附图说明】
[0028]图1是现有技术中提出的IPsec VPN网络的组网示意图;
[0029]图2是本发明实施例提供的一种IPsec隧道的建立方法流程示意图;
[0030]图3是本发明实施例提供的一种中心设备的结构示意图。
【具体实施方式】
[0031]针对现有技术中存在的问题,本发明实施例提供了一种IPsec隧道的建立方法,该方法应用于包括中心设备和多个分支设备的网络中,以图1为本发明实施例的应用场景示意图,该方法可以应用于包括中心设备、分支设备1、分支设备2、分支设备3、分支设备4的IPsec V