在IPsec隧道中传输组播的方法、分支节点和中心节点的制作方法

专利名称：在IPsec隧道中传输组播的方法、分支节点和中心节点的制作方法
技术领域：
本发明涉及数据通信技术领域，具体涉及一种在因特网协议安全(IPsec, IP Security)隧道中传输组播的方法、分支节点和中心节点。
背景技术：
随着高速因特网(Internet)接入的推广，以及员工从集中办公地点不断向 外扩散，虚拟专用网络(VPN, Virtual Private Network)已经变成了公司网络 架构的一个关键部分。VPN利用公用网络来连接企业私有网络，通过安全机 制实现严格的访问控制，建立起逻辑上虚拟的私有网络。VPN提供了一种经 济有效的手^殳，实现通过公用网络安全地交换私有信息。
VPN具体实现是采用隧道^t支术。隧道是指在公用网建立一条数据通道(隧 道)，将企业网的数据封装在隧道中进行传输。隧道技术指的是利用一种网络 协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。隧道 协议可分为二层隧道协议和三层隧道协议，其中，三层隧道协议包括通用路由 封装(GRE, Generic Routing Encapsulation)和IPsec协议等。
IPsec VPN利用高级的加密和隧道技术，来允许企业网络通过第三方的网 络，如Internet,来建立安全的、端到端的专用网络连4妄。IPsec是由一组RFC 文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用 密钥等服务，从而在IP层提供安全保障。它给出了应用于IP层上网络数据安 全的一整套体系结构，包括网络安全协议(AH， Authentication Header)和封 装安全载荷协议(ESP, Encapsulating Security Payload)、密钥管理协议(IKE, Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec利用 访问控制列表(ACL, Access Control List)来决定哪些数据是需要加密的，当 有数据^J:匹配所定义的ACL时，即建立IPSec加密隧道传输该数据报文。
IPsec通过共享密钥在通讯的两端实现数据加密，即任意两端之间都要共
享不同的密钥，所以IPsec隧道实际上是点到点的加密隧道，IPsec网络就是点 到点加密隧道的集合，IPsec隧道不支持对组播包进行加密。目前，为解决这 一问题，通常采用通用GRE隧道与IPsec加密相结合的方法，也即GRE Over IPsec。 GRE是一种在任意一种网络层协议上封装任意一个其它网络层协议的 协议，将有效载荷封装在一个GRE报文中，然后将此GRE包封装在其它协议 中进行转发。GRE隧道支持运载组播数据到对端，而GRE隧道的数据报文是 单播的，因此GRE隧道的报文可被IPsec加密。在GRE Over IPsec中，GRE 协议用于建立隧道，IPsec协议完成VPN网络的加密。如图l所示，现有技术 在实现组纟番在IPsec VPN传输时，都需要先进行一次GRE封装，再将整个GRE 报文封装到IPsec VPN中进行加密传输，这样能够保证组播才艮文在两个节点间 正常传输。
显然，上述处理方案中，组播数据流需要经过GER和IPsec两次封装与 解封装后才能得到最终处理，这对于传输时延比较敏感的业务，如语音业务影 响很大，对视频业务也会产生较大延时。并且，该方案要求中心节点和分支节 点同时支持IPsec和GRE两套VPN技术，这增加了该方案的运营和维护成本。

发明内容
本发明所要解决的技术问题是提供一种IPsec隧道中的组播传输方法、分 支节点和中心节点，只需对数据包进行一次封装就可以实现组播数据的加密传输。
为解决上述技术问题，本发明提供方案如下 一种在IPsec隧道中传输组播的方法，包括步骤
A，分别在中心节点与分支节点上配置相互对应的特定组播组加入报文的 加密ACL规则，以及在分支节点上配置特定组播组的下行组播流的加密ACL 规则；
B,分支节点将特定组播组加入报文通过特定组播组加入报文的IPsec VPN发送至中心节点，所述特定组播组加入报文的IPsec VPN是根据中心节 点与分支节点上配置的特定组播组加入报文的加密ACL规则，通过IKE协商 建立；
C，中心节点根据接收到的特定组播组加入报文中的组地址信息，配置特
定组播组的下行组^"流的加密ACL规则，与分支节点上配置的所述特定组^番 组的下行组播流的ACL规则相对应；
D,根据分支节点和中心节点上的配置的所述特定组播组的下行组播流的 加密ACL规则，通过IKE协商建立所述特定组，播组的下行组播流的IPsec VPN，将所述下行组播流发送至分支节点。
本发明所述的组播方法，其中，所述特定组播组加入报文是IGMP加入报文。
本发明所述的组播方法，其中，所述步骤B具体包括 设置分支节点的上行接口为IGMP代理接口，代理分支节点的私网接口； 分支节点将其私网接口上接收到的IGMP加入报文发送到上行接口 ，在上
行接口处，将所述IGMP加入才艮文的源地址替换为上行接口地址；
根据中心节点与分支节点上配置的IGMP加入报文的加密ACL规则，通
过IKE协商建立IGMP加入报文的IPsec VPN，将所述IGMP加入报文从所述
上行接口发送至中心节点。
本发明所述的组播方法，其中，
分别在中心节点与分支节点上配置相互对应的IGMP常规查询报文的加 密ACL规则，根据所述IGMP常规查询报文的加密ACL规则，通过IKE协 商建立IGMP常规查询报文的IPsec VPN,中心节点通过该IPsec VPN,将IGMP 常规查询报文发送至分支节点；
分支节点进一步将应答IGMP常规查询报文的IGMP报告报文，通过所述 特定组播组加入报文的IPsec VPN发送至中心节点。
本发明所述的组播方法，其中，中心节点进一步通过所述特定组播组的下 行組播流的IPsec VPN，向分支节点发送特定组查询l艮文；
分支节点将应答特定组查询报文的IGMP报告I艮文，通过所述特定组播组 加入报文的IPsec VPN发送至中心节点。
本发明所述的组播方法，其中，中心节点进一步接收到的IGMP报告报文 维护所述IGMP组播表项，并在删除所述IGMP组播表项时，相应地在各节点 上删除为该组播表项中的特定组播组配置的加密ACL规则。
本发明所述的组播方法，其中，所述步骤C中，中心节点进一步根据接
收到的所述IGMP加入报文中的特定组播组地址信息维护IGMP组播表项，并 将接收到所述IGMP加入报文的接口作为所述特定组播组的出接口 ；
所述步骤D中，中心节点进一步将所述特定组4番组的下行组播流发送到 所述特定组播组的出接口上，通过所述下行组播流的IPsec VPN将所述下行组 播流发送至分支节点。
本发明所述的组^"方法，其中，所述步骤D中，所述分支节点进一步通 过其私网接口 ，将接收到的特定组播组的下行组播流发送到本地网中。
本发明所述的组播方法，其中，所述特定组播组加入报文是PIM加入报文。
本发明所述的组播方法，其中，所述步骤B具体包括
分支节点根据接收到的特定组播组的IGMP加入^=艮文，维护其PIM组播 表项，并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口 ；
分支节点根据所述PIM组播表项中的特定组播组信息生成PIM加入报文， 并根据中心节点与分支节点上配置的PIM加入报文的加密ACL规则，通过IKE 协商建立PIM加入报文的IPsec VPN,通过该IPsec VPN,将所述PIM加入报 文发送至中心节点。
本发明所述的组播方法，其中，所述步骤C中，中心节点进一步根据接 收到的PIM加入报文中的組地址信息和接收到所述PIM加入报文的接口 ，维 护其PIM组播表项，并将接收到所述PIM加入纟艮文的接口作为所述特定组播 组的出接口；
所述步骤D中，中心节点进一步根据将所述特定组播组的下行组播流发 送到所述出接口上，通过所述下行组播流的IPsec VPN将所述下行组播流发送 至分支节点。
本发明所述的组播方法，其中，所述步骤A中之前进一步包括在中心 节点和分支节点上分别配置PIM协议报文的加密ACL规则，通过IKE协商建 立起PIM协议报文的IPsec VPN,在分支节点和中心节点之间传输PIM协议 报文，根据所述PIM协议报文，维护节点上的PIM组播表项，并在删除所述 PIM组播表项时，相应地在各节点上删除为该组播表项中的特定组播组配置的
加密ACL规则。
本发明所述的组播方法，其中，
中心节点接收到剪枝报文后，将所述剪枝报文通过PIM协议报文的IPsec VPN转发到邻居节点上；
收到所述剪枝报文的邻居节点如果还有对应的组播成员，则向中心节点发 送PIM加入l艮文；
中心节点如果在预定时间内接收到PIM加入报文，则继续维护相应的组 播表项，否则，删除相应的组播表项。 一种分支节点，包括
组加入报文配置单元，用于配置并保存特定组播组加入l艮文的加密ACL 规则；
组加入报文发送单元，用于根据所述组加入报文配置单元和中心节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsec VPN,将特定组播组加入报文发送至中心节点；
下行组播流配置单元，用于配置并保存特定组^"组的下行组播流的加密 ACL规则；
下行组播流接收单元，用于根据所述下行组播流配置单元和中心节点设备 配置的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建 立特定组播组的下行组播流的IPsec VPN，接收中心节点发送的下行组播流。
本发明所述的分支节点，其中，所述特定组播组加入报文是IGMP加入报 文，所述分支节点还包括
IGMP代理单元，用于为该分支节点的私网接口配置代理接口，并将所述 私网接口接收到的IGMP加入报文发送到代理接口 ，以及将代理接口接收到的 下行组播流发送至私网接口 ；
所述组加入报文发送单元，进一步用于将所述代理接口接收到的IGMP加 入报文，通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
本发明所述的分支节点，其中，所述特定组播组加入报文是PIM加入报 文，所述分支节点还包括
PIM协议报文配置单元，用于配置并保存PIM协议报文的加密ACL规则； PIM协议报文交互单元，用于根据所述PIM协议报文配置单元和其它节
点配置的PIM协议配置的PIM协议报文的加密ACL规则，通过IKE协商， 建立PIM协议报文的IPsec VPN,交互PIM协议报文；
PIM组播表项维护单元，用于根据所述PIM协议报文交互单元接收到的 PIM协议报文，维护PIM组播表项。
本发明所述的分支节点，其中，所述PIM组播表项维护单元，进一步用 于根据接收到的特定组播组的IGMP加入报文，维护PIM组播表项，并将收 到所述IGMP加入"^艮文的接口作为所述特定组播组的出接口 ；
所述组加入报文发送单元，进一步根据所述PIM组播表项中的特定组播
组信息生成PIM加入报文，并通过所述特定组播组加入报文的IPsec VPN发 送至中心节点；
所述下行组播流接收单元，进一步根据所述PIM组播表项中特定组播组 的出接口信息，将接收到的特定组播组的下行组播流发送到所述出接口上。 本发明所述的分支节点，其中，还包括
剪枝报文处理单元，用于接收中心节点发送的剪枝报文，并判断本身是否
还有对应的组播成员，如果有，则向中心节点发送PIM加入l艮文。 一种中心节点，包括
组加入l艮文配置单元，用于配置并保存特定组，潘组加入才艮文的加密ACL 规则；
组加入报文接收单元，用于根据所述组加入报文配置单元和分支节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsec VPN，接收来自分支节点的特定组播组加入报文；
下行组播流配置单元，用于根据所述组加入报文接收单元接收到的特定组 加入报文，配置特定组播组的下行组播流的加密ACL规则；
下行组播流发送单元，用于根据所述下行组播流配置单元和分支节点设备 配置的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建 立特定组播组的下行组^"流的IPsec VPN,向分支节点发送所述下行组播流。
本发明所述的中心节点，其中，所述特定组播组加入报文是IGMP加入报 文，所述中心节点还包括
IGMP组播表项维护单元，用于根据所述组加入报文接收单元接收到的 IGMP加入报文，维护IGMP组播表项，并将接收到所述IGMP加入报文的接 口作为所述特定组播组的出接口 ；
所述下行组播流发送单元，进一步用于将所述特定组播组的下行组播流发 送到所述特定组播组的出接口上，通过所述下行组播流的IPsec VPN将所述下 行组播流发送至分支节点。
本发明所述的中心节点，其中，所述特定组播组加入报文是PIM加入报 文，所述中心节点还包括
PIM协议报文配置单元，用于配置并保存PIM协议报文的加密ACL规则；
PIM协议才艮文交互单元，用于根据所述PIM协议净艮文配置单元和其它节 点配置的PIM协议配置的相互对应的PIM协议报文的加密ACL规则，通过 IKE协商，建立PIM协议报文的IPsec VPN,交互PIM协议报文；
PIM组播表项维护单元，用于根据所述PIM协议报文交互单元接收到的 PIM协议报文，维护PIM组播表项。
本发明所述的中心节点，其中，
剪枝报文处理单元，用于接收分支节点发送的剪枝报文，并将所述剪枝报 文通过PIM协议l艮文的IPsec VPN转发到邻居节点上。 本发明所述的中心节点，其中，
所述PIM组播表项维护单元，进一步用于根据接收到的特定组播组的PIM 加入报文，维护PIM组播表项，并将收到所述IGMP加入报文的接口作为所 述特定组播组的出接口；
所述下行组播流发送单元，进一步根据所述PIM组播表项中特定组播组 的出接口信息，将所述特定组播组的下行组播流发送到所述出接口上，通过所
述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
从以上所述可以看出，本发明提供的IPsec隧道中的组播传输方法、分支 节点和中心节点，通过在节点设备上配置加密ACL规则，对匹配加密ACL规 则的组播数据流进行加密传输，从而只需一次封装即可实现组播数据的加密传 输，无需节点设备支持GRE等其它封装协议，并且减小了节点设备对组播数 据的处理时间，降低了数据流的时延。同时，本发明中，中心节点根据特定组
14
播组加入报文，自动配置下行组播流的加密ACL规则，节约了人工维护成本。


图1为现有技术在IPsecVPN传输组播数据的示意图2为本发明实施例所述方法的应用环境示意图3为本发明实施例所述方法的流程图4为本发明实施例所述分支节点和中心节点的结构示意图5为本发明另一实施例所述方法的流程图6为本发明另 一实施例所述分支节点和中心节点的结构示意图。
具体实施例方式
IPsec利用ACL来决定哪些数据是需要加密的，在本发明中，将用于IPsec 的ACL规则称为加密ACL规则。加密ACL规则匹配(permit)的报文将被 加密，加密ACL规则拒绝(deny)的报文将不被加密。并且，为了在某一端 加密的数据能在对端上被解密，要求在本地和远端路由器上配置的加密ACL 规则是相互对应的(即互为镜像)。由于IPsec不能直接对组播进行加密，因 此，本发明在中心节点和分支节点处分别为组，燔数据流配置相互对应的加密 ACL规则，对于匹配加密ACL规则的组播数据，通过IKE协商建立IPsec VPN, 从而实现通过IPsec VPN对组播数据进行加密传输。以下结合附图通过具体实 施例对本发明做详细的说明。 实施例1
为了更好的理解本发明实施例所述在IPsec隧道中传输组播的方法，首先 介绍一种常见的广域网组播点播方案在该方案中，中心节点启用IGMP功能 作为查询器，分支节点启用IGMP代理为分支网络代理点播请求。按照正常的 组播点播流程，首先，客户端生成点播请求，即IGMP加入报文，申请加入某 个组播组G，再由路由交换节点根据上述加入报文生成IGMP组播表项，即(*， G)表项，同时将收到IGMP加入报文的接口作为该组播组的出接口，如果存 在一个该组播组的源S的话，路由交换节点会生成(S, G)组播表项，并把 组播流向加入该组播组的所有出接口发送出去，从而客户端能够收到下行的组
播流。中心节点周期性地，如每3分钟，向分支节点发送常规的IGMP查询报
文，由客户端主机应答，如果没有主机产生应答的话，组播表项将会自动老化。
在IGMPv2版本中，客户端主机也会主动产生IGMP离开消息，申请离开某个 组，路由交换设备收到离开消息后会产生特定组查询消息，如果无主机应答的 话就将该特定组对应的组播表项删除。
针对上述流程，本实施例在进行组播数据加密保护时需要实现分支节点 能够正常的向中心节点发送加密后的IGMP加入报文和离开报文；中心节点能 够正常的向分支节点发送常规查询报文；中心节点能够把加密后组播流和特定 组查询消息发送到分支节点。
参照图2,图2所示为本实施例所述在IPsec隧道中传输组播的方法的应 用环境示意图，在图2中，分支节点RT2和RT3通过私网接口连接各自的本 地网络，通过上行接口上联到中心节点RT1的下行接口。在中心节点RT1的 下行接口上运行IGMP，在分支节点RT2和RT3的上行接口上运行IGMP代 理(proxy)，并设置所述上行接口为IGMP代理接口，代理分支节点的私网接 口。再请参照图3，本实施例所述在IPsec隧道中传输组播的方法，包括以下 步骤
步骤31，分别在中心节点与分支节点上配置相互对应的IGMP常规查询 报文的加密ACL规则。
这里，在IGMP协议中，中心节点需要周期性向分支节点发送IGMP常规 查询报文，该报文的目的地址为所有主机组地址224.0.0.1，用于标识同一子网 内的所有主机。因此，为实现中心节点RT1能够正常发送加密后的常规查询 报文，需要在中心节点配置常规查询报文的加密ACL规则(如图2中，在中 心节点RT1上酉己置Rule 0 permit IP source any destination host 224.0.0.1 ),同时 在分支节点上配置与上述加密ACL规则相对应的加密ACL规则(如图2中， 在分支节点RT2上配置Rule 0 permit IP source host 224.0.0.1 destination any )。 RTl上rule 0表示源地址任意(any )、目的地址为所有主机组地址224.0.0.1报 文将被加密，RT2上rule 0表示源地址224.0.0.1 、目的地址任意的报文将被加 密，可以看出，RTl上rule 0中的目的地址对应于RT2上rule 0中的源地址， RTl上rule 0中的源地址对应于RT2上rule 0中的目的地址，从而这两条ruleO
相互对应，互为镇 像。
步骤32，分别在中心节点与分支节点上配置相互对应的特定组播组的 IGMP加入报文的加密ACL规则，以及在分支节点上配置特定组播组的下行 组播流的加密ACL规则。
这里，假设RT2所连接的本地网络中有主机需要点播特定组播组224.1丄1 的组播节目，这时，需要在RT1和RT2上分别配置相互对应的该组播组的IGMP 加入报文的加密ACL规则，如图2中，在RT2上配置rule 1 permit IP source any destination host 224.1.1.1,在RT1上配置相对应的rule 1 permit IP source host 224.1.1.1 destination any。同时，为了建立该组播组的下行组播流的IPsecVPN， 还需要在RT2上配置加密ACL规则rule 2 permit IP source host 224.1.1.1 destination any。
步骤33,配置IPsec VPN的IKE规则和加密策略，这样，对于匹配加密 ACL规则的数据流，就可以通过IKE协商在节点设备之间建立IPsecVPN，从 而对匹配加密ACL规则的数据流进行加密传输。例如，根据RT1和RT2上的 Rule 0，对于匹配该ruleO的数据流，就可以通过IKE协商建立起IGMP常规 查询才艮文的IPsec VPN， RT1可以通过该VPN向RT2发送IGMP常规查询报 文。
步骤34，分支节点RT2连接的本地网络中的主机在需要加入特定组播组， 如组播组224.1.1.1时，就会向分支节点RT2发送IGMP加入报文；由于预先 配置了 RT2和RT1上的rule 1,因此，RT1和RT2之间通过IKE协商，就可 以建立IGMP加入报文的IPsec VPN，通过该IGMP加入报文的IPsec VPN， 将所述IGMP加入报文发送至RT1 。
这里，具体的，RT2的上行接口是RT2私网接口的代理接口， RT2在其 私网接口 (被代理接口 )接收到所述IGMP加入报文后，会将该报文发送到 RT2的上行接口 (代理接口)进行处理，在上行接口处，由IGMP代理功能将 该报文的源地址改为上行接口地址，再通过所述IGMP加入报文的IPsec VPN， 将该加入报文发送至RT1 。
这里，对于应答IGMP常规查询报文的IGMP报告报文，RT2也可以通过 所述IGMP加入报文的IPsec VPN,将该报告报文发送至RTl。
步骤35，中心节点在其下行接口上收到所述IGMP加入报文后，根据所 述报文中的特定组^"组地址信息和接收到所述IGMP加入报文的接口，维护 IGMP组播表项，在所述IGMP组播表项中，将接收到所述IGMP加入报文的 接口作为所述特定组播组的出接口，同时，自动配置所述特定组播组的下行组 播流的加密ACL规则，与分支节点上配置的所述特定组播组的下行组播流的 ACL规则相对应。
仍然延续上面的例子，RTl在其下行接口上接收到加入组播组地址为 224.U.l的IGMP加入报文后，根据该报文中的组播组地址224.1.1.1和下行 接口 ，建立IGMP组播表项，该IGMP组播表项中包括组播组地址(如224.1.1.1 ) 和出接口 (如接收到所述IGMP加入报文的下行接口 )等信息。同时，RTl自 动配置该组播组的下4亍组l番流的加密ACL ^见则rule 2 permit IP source any destination 224.1丄1,与RT2上的rule 2相互对应。
步骤36,根据分支节点和中心节点上的配置的特定组播組的下行组播流 的加密ACL规则，通过IKE协商建立所述特定组播组下行组播流的IPsec VPN,通过该下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
继续延续上面的例子，RTl接收到组播组224.1.1.1的下行组播流时，RTl 根据所述IGMP组播表项，将该下行組播流发送到RTl的下行接口上，再根 据RTl上的rule2和RT2上的rule2,通过IKE协商，在RTl的下行接口和RT2 的上行接口之间建立组播组224.1.1.1的下行组播流的IPsec VPN，通过该IPsec VPN将下行组播流加密后发送至RT2的上行接口上。RT2对其上行接口上接 收到的下行组播流解密后，通过私网接口 (被代理接口 )发送到RT2连接的 本地网络中。
这里，中心节点通过发送IGMP常规查询报文和特定组查询报文，根据分 支节点应答的IGMP报告报文维护所述IGMP组播表项。在组播表项因老化或 组播组成员离开而被删除之后，相应地在各节点上删除为该组播表项中的特定 组播组配置的加密ACL规则。其中，RTl产生的IGMP特定组查询报文可以 通过该下行组播流的IPsec VPN发送到分支节点，分支节点可以通过所述 IGMP加入报文的IPsec VPN对所述特定组查询报文进行应答。
在上述组播方法中，当其它分支节点，如图3中RT3，也想要加入一个已
经存在的组纟番组，如组播组224.1.1.1,此时只需在RT3上配置IGMP常规查 询报文、加入报文和组播组的下行组播流的加密ACL规则(如，在RT3上配 置Rule 0 permit IP source any destination host 224.0.0.1 ， rule 1 permit IP source any destination host 224.1.1.1和Rule 2 permit IP source host 224.1.1.1 destination any ),而中心节点RTl无需再增加任何加密ACL规则，中心节点就可以通过 IKE协商分别建立与RT2、 RT3的下行组播流的IPsecVPN通道，从而将下行 组4番流分别通过两个IPsec VPN通道发送到RT2和RT3。
需要指出的是，上述特定组播组的加密ACL规则并不是唯一的，本实施 例中还可以通过将其中的诸如224.1.1.1的组播组地址设置为一个包含多个组 播组地址的网段，以减少在各节点上配置的加密ACL规则的数目。
基于上述在IPsec隧道中传输组播的方法，本实施例相应的还提供了 一种 中心节点和分支节点，如图4所示，其中，分支节点42包括
组加入报文配置单元，用于配置并保存特定组播组加入报文的加密ACL 规则；
IGMP代理单元，用于为该分支节点的私网接口配置代理接口，并将所述 私网接口接收到的IGMP加入报文发送到代理接口 ，以及将代理接口接收到的 下行组播流发送至私网接口 。
组加入报文发送单元，用于根据所述组加入报文配置单元和中心节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsec VPN,将特定组播组加入报文发送至中心节点。这 里，所述组加入报文发送单元，进一步用于将所述代理接口接收到的IGMP加 入报文，通过所述特定组播组加入报文的IPsec VPN发送至中心节点。这里， 所述特定组播组加入报文是指IGMP加入报文。
下行组播流配置单元，用于配置并保存特定组播组的下行组播流的加密 ACL规则；
下行组播流接收单元，用于根据所述下行组播流配置单元配置和中心节点 设备配置的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商， 建立特定组播组的下行组播流的IPsec VPN,接收中心节点发送的下行组播流；
中心节点41包括
组加入R文配置单元，用于配置并保存特定组，燔组加入"R文的加密ACL规则。
组加入报文接收单元，用于根据所述组加入报文配置单元和分支节点配置
的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsec VPN，接收来自分支节点的特定组播组加入l艮文。 这里，所述特定组纟番组加入报文是指IGMP加入纟艮文。
下行组播流配置单元，用于根据所述组加入报文接收单元接收到的特定组 加入报文，配置特定组播组的下行组播流的加密ACL规则。
下行组播流发送单元，用于根据所述下行组播流配置单元和分支节点设备 配置的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建 立特定组播组的下行组播流的IPsec VPN,向分支节点发送所述下行组播流。
IGMP组播表项维护单元，用于根据所述组加入报文接收单元接收到的 IGMP加入报文，维护IGMP组播表项，并将接收到所述IGMP加入报文的接 口作为所述特定组播组的出接口 。
这里，所述下4亍组播流发送单元，进一步用于将所述特定组播组的下行组 播流发送到所述特定组播组的出接口上，通过所述下行组播流的IPsec VPN将 所述下行组播流发送至分支节点。
综上所述，上述实施例在中心节点和分支节点上为特定組播组预先配置加 密ACL规则，建立IGMP加入报文的上行IPsec VPN，中心节点根据接收到 的IGMP加入报文，配置下行組播流的加密ACL规则，从而协商建立起下行 组播流的IPsec VPN,实现组播在IPsec VPN中的传输。 实施例2
参照图5,为本发明另一实施例所述在IPsec隧道中传输组播的方法的流 程图。本实施例与图4实施例所述方法的区别在于，中心节点和分支节点运行 PIM协议维护组播路由，而不是釆用IGMP代理来实现组播转发，运行PIM 协议的节点通过发送问候(hello )报文、剪枝报文等PIM协议报文，维护PIM 组播表项，所述PIM组播表项中包括组播源地址、组播组地址、入接口、出 接口列表、定时器和标志等信息。例如，在中心节点的下行接口运行PIM协 议，在分支节点的上行接口运行PIM协议，从而在中心节点和分支节点之间
通过收发PIM协议报文，建立邻居关系，维护PIM组播路由表项。在PIM协 议中，组地址224.0.0.13用于表示标识运行PIM协议的节点，因此，本实施例 中需要配置PIM协议报文的加密ACL规则，为该PIM协议报文的传输建立相 应的IPsec VPN。本实施例所述组播方法，如图4所示，具体流程如下
步骤51,在中心节点和分支节点上分别配置PIM协议报文的加密ACL规 则，用于根据该PIM协议报文的加密ACL规则，通过IKE协商建立起PIM 协议报文的IPsec VPN，从而在分支节点和中心节点之间传输PIM协议报文。 这里，由于PIM协议报文是双向的，因此，需要在各节点上分别配置两条加 密ACL规则，建立两条IPsec VPN，并且，中心节点和分支节点上所配置的 加密ACL规则是相互对应的，仍然以图3中所示应用环境进行说明，在图3 中，在中心节点RT1上酉己置rule 0 permit IP source any destination 224.0.0.13 和rule 1 permit IP source 224.0.0.13 destination any，在分支节点RT1上配置 rule 0 permit IP source 224.0.0.13 destination any和rule 1 permit IP source any destination 224.0.0.13。其中，中心节点的rule 0和分支节点的rule 0相互对应, 中心节点的rule l和分支节点的rule 1也相互对应。通过这两条规则可以在RT1 和RT2之间建立起PIM协议报文交互的VPN隧道，比如默认30秒一次的Hello 报文，用来保持PIM邻居的关系。
步骤52,分别在中心节点与分支节点上配置相互对应的特定组播组的PIM 加入报文的加密ACL规则，以及在分支节点上配置特定组播组的下行组播流 的加密ACL规则。
这里，假设RT2所连接的本地网络中有主机需要点播特定组播组224.1丄1 的组播节目，这时，需要在RT1和RT2上分别配置相互对应的该组播组的PIM 加入报文的加密ACL规则，如图3中，在RT2上配置rule 2 permit IP source any destination host 224.1.1.1，在RT1上配置相对应的rule 2 permit IP source host 224.1.1.1 destination any。同时，为了建立该组播组的下行组播流的IPsec VPN, 还需要在RT2上配置加密ACL规则rule 3 permit IP source host 224.U.l destination any。
步骤53,配置IPsec VPN的IKE规则和加密策略，这样，对于匹配加密 ACL规则的数据流，就可以根据该加密ACL规则，通过IK卫协商在节点设备 之间建立IPsec VPN，从而对匹配加密ACL规则的数据流进行加密传输。例 如，根据RT1和RT2上的rule 0和rule 1,通过IKE协商可以建立起PIM协 议报文(如问候(hello)报文)的IPsec VPN, RTl可以通过该VPN与RT2 交互PIM协i义l艮文。
步骤54，分支节点RT2连接的本地网络中的主机在需要加入特定组播组， 如组播组224.1.1.1时，就会向分支节点RT2发送IGMP加入报文；分支节点 RT2在其私网接口上接收到所述IGMP加入报文后，会根据该IGMP加入报文 在其PIM组播表项中生成(*， G)表项，这里的组G为组播组224.1.1.1,并 在该表项中，将收到所述IGMP加入报文的私网接口作为所述特定组播组的出 接口； RT2再根据PIM组播表项中的特定组播组信息生成PIM加入报文，通 过该PIM加入报文将所述特定组播组告诉中心节点RT1。此时，即可根据RT2 和RTl上的rule2,通过IKE协商，建立PIM加入报文的IPsec VPN,通过该 IPsec VPN，将PIM加入报文发送至RTl 。
步骤55,中心节点在其下行接口上收到所述PIM加入报文后，根据所述 PIM加入报文中的组地址信息和接收到所述PIM加入报文的接口 ，维护其PIM 组播表项，在所述PIM组播表项中，将接收到所述PIM加入报文的接口作为 所述特定组播组的出接口，同时，自动配置所述特定组播组的下行组播流的加 密ACL规则，与分支节点上配置的所述特定组播组的下行组播流的ACL规则 相对应。
仍然延续上面的例子，RTl在其下行接口上接收到加入所述PIM加入报 文后，根据其中的组播组地址224丄1.1等信息，建立PIM组播表项，该PIM 组播表项中包括组播组地址(如224.1.1.1 )和出接口 (如接收到所述PIM加 入报文的接口 )等信息。同时，RT1根据所述PIM加入报文中的组地址224丄U 信息，自动配置该组播组的下行组播流的加密ACL规则Rule 3 permit IP source any destination 224.1丄1 ，与RT2上的rule 3相互乂于应。
这里，RTl还可以根据所述rule 0和rule 1建立起的PIM协议报文的VPN, 交互PIM协议报文，如Hello报文和剪枝报文，从而维护所述PIM组播表项， 在PIM组播表项因邻居丢失或下游组播剪枝而被删除之后，需要相应地删除 为该组播表项中的组播组所配置的加密ACL规则。
步骤56，根据分支节点和中心节点上的配置的特定组播组的下行组播流
的加密ACL规则，通过IKE协商建立所述特定组播组下行组播流的IPsec VPN,通过该下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
继续延续上面的例子，当接收到组播组224丄1.1的下行组播流时，RTl 根据所述PIM组播表项，将该下行组播流发送到RTl的下行接口 (出接口 ) 上，再根据RTl上的rule3和RT2上的rule3 ，通过IKE协商，在RTl的下行 接口和RT2的上行4妄口之间建立组播组224.1.1.1的下行组播流的IPsec VPN, 通过该IPsec VPN将下行组播流加密后发送至RT2的上行接口上。RT2对其上 行接口上接收到的下行组播流解密后，通过RT2的PIM组播表项中该组播组 所对应的出接口 (私网接口 )，发送到RT2连接的私网中。
在上述组播方法中，当其它分支节点，如图3中RT3，也想要加入一个已 经存在的组纟番组，如组播组224.1.1.1，此时只需在RT3上配置PIM加入报文 和组播组的下行组播流的加密ACL规则(如，rule 2 permit IP source any destination host 224.1.1.1和rule 3 permit IP source host 224.1.1.1 destination any )，而中心节点RTl无需再配置任何加密ACL规则。中心节点可以根据RTl 和RT3上的该组播组的下行组播流的加密ACL规则，通过IKE协商分别建立 与RT2、 RT3的下行组播流的IPsec VPN通道，从而将下行组播流分别通过两 个IPsec VPN通道发送到RT2和RT3 。
另外，在本实施例中，为了保证正常的剪枝否决机制，中心节点还需要对 组播剪枝报文作相应的处理。所述剪枝否决机制是指在PIM协议中，如果分 支节点RT3处没有组播成员了 ，它将向中心节点RTl发送剪枝"R文，如果RT2 和RT3在一个共享网段且都连接到RTl,此时，RT2将会接收到RT3发送的 剪枝消息；如果此时RT2处还有组播成员，那么RT2将立即发送一个PIM加 入报文告诉RTl还有成员需要接收组播，以否决剪枝。由于采用IPsec VPN 对数据流进行加密，将会导致RT2就无法正常接收到RT3发送的剪枝报文， 所以RT2无法进行剪枝否决，因此，本实施例中，当中心节点RTl在其下行 接口上收到剪枝报文后，将所述剪枝报文通过PIM协议报文的IPsec VPN转 发到所有建立邻居关系的邻居节点上，收到剪枝报文的邻居节点如果还有组播 成员，则将向中心节点发送PIM加入报文，从而否决剪枝。例如，RT3向RT1
发送了剪枝报文后，RT2无法接收到该剪枝报文，但是RT1将该剪枝报文通 过PIM协议报文的IPsec VPN转发到RT2上；RT2收到该剪枝消息后，发现 这个剪枝消息并不是自己发送的，但自己还有组播成员需要接收组播，于是就 通过收到剪枝消息的接口再发送一次PIM加入报文；RT1收到PIM加入报文 后，继续维护相应的组播表项。这里，还可以设置一个超时时间，例如3倍 Hello报文时长，在此超时时间内如果没有收到PIM加入报文，则将组播表项 老化，并删除为该组播表项中的组播组所配置的加密ACL规则。
同样的，本实施例中，所利用的加密ACL规则并不是唯一的，本发明中 还可以通过将其中的诸如224丄1.1的组地址设置为一个包含多个组地址的网 段，以减少所配置的加密ACL规则的数目。
基于上述在IPsec隧道中传输组播的方法，本实施例相应的还提供了 一种 中心节点和分支节点，如图6所杀，其中，分支节点62包括
PIM协议报文配置单元，用于配置并保存PIM协议报文的加密ACL规则。
PIM协议报文交互单元，用于根据所述PIM协议报文配置单元和其它节 点配置的相互对应的PIM协议报文的加密ACL规则，通过IKE协商，建立 PIM协议才艮文的IPsec VPN,交互PIM协议报文。
PIM组播表项维护单元，用于根据所述PIM协议报文交互单元接收到的 PIM协议报文，维护PIM组播表项。
组加入报文配置单元，用于配置并保存特定组播组加入报文的加密ACL 规则。
组加入报文发送单元，用于根据所述组加入报文配置单元和中心节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsecVPN,将特定组播组加入报文发送至中心节点。这 里，所述特定组播组加入报文是指PIM加入报文。
下行组播流配置单元，用于配置并保存特定组播组的下行组播流的加密 ACL规则。
下行组播流接收单元，用于根据所述下行组播流配置单元和中心节点设备 配置的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建 立特定组播组的下行组播流的IPsec VPN,接收中心节点发送的下行组播流。
剪枝报文处理单元，用于接收中心节点发送的剪枝报文，并判断本身是否 还有对应的组播成员，如果有，则向中心节点发送PIM加入报文。
这里，所述PIM组播表项维护单元，进一步用于根据接收到的特定组播
组的IGMP加入报文，维护PIM组播表项，并将收到所述IGMP加入报文的 接口作为所述特定组播组的出接口 。
这里，所述组加入报文发送单元，进一步根据所述PIM组播表项中的特 定组播组信息生成PIM加入报文，并通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
这里，所述下行组播流接收单元，进一步根据所述PIM组播表项中特定 组播组的出接口信息，将接收到的特定组播组的下行组播流发送到所述出接口 上。
中心节点61包括
PIM协议报文配置单元，用于配置并保存PIM协议报文的加密ACL规则。
PIM协议报文交互单元，用于根据所述PIM协议报文配置单元和其它节 点配置的PIM协议配置的PIM协议报文的加密ACL规则，通过IKE协商， 建立PIM协议报文的IPsec VPN,交互PIM协议报文。
PIM组播表项维护单元，用于根据所述PIM协议报文交互单元接收到的 PIM协议报文，维护PIM组播表项。
组加入报文配置单元，用于配置并保存特定组播组加入才艮文的加密ACL 规则。
组加入报文接收单元，用于根据所述组加入报文配置单元和分支节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入才艮文的IPsec VPN,接收来自分支节点的特定组播组加入报文。 这里，所述特定组:燔组加入报文是指PIM加入纟艮文。
下行组播流配置单元，用于根据所述组加入报文接收单元接收到的特定组 加入报文，配置特定组播组的下行组纟番流的加密ACL规则。
下行组播流发送单元，用于根据所述下行组播流配置单元和分支节点配置 的相互对应的特定组播组加入才艮文的加密ACL ^见则，通过IKE协商，建立特 定组播组的下行组播流的IPsec VPN，向分支节点发送所述下行组播流。
剪枝报文处理单元，用于接收分支节点发送的剪枝报文，并将所述剪枝报
文通过PIM协i义才艮文的IPsec VPN转发到邻居节点上。
这里，所述PIM组播表项维护单元，进一步用于根据接收到的特定组播 组的PIM加入报文，维护PIM组播表项，并将收到所述IGMP加入报文的接 口作为所述特定组播组的出接口。所述下行组播流发送单元，进一步根据所述 PIM组播表项中特定组播组的出接口信息，将所述特定组^番组的下行组播流发 送到所述出接口上，通过所述下行组播流的IPsec VPN将所述下行组播流发送 至分支节点。
从以上所述可以看出，本发明通过在中心节点和分支节点上为组播数据流 配置加密ACL规则，从而建立组播数据流的IPsec VPN，实现了组播数据的 加密传输。本发明只需经过一次封装解封装即可传输加密的组播数据，因此相 对于现有技术，本发明中能够减小组播数据的处理时延。
本发明所述在IPsec VPN中传输组播的方法、分支节点和中心节点，并不 仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明 之领域，对于熟悉本领域的人员而言可容易地实现另外的优点和进行修改，因 此在不背离权利要求及等同范围所限定的一般概念的精神和范围的情况下，本 发明并不限于特定的细节、代表性的设备和这里示出与描述的图示示例。
权利要求
1.一种在IPsec隧道中传输组播的方法，其特征在于，包括步骤A，分别在中心节点与分支节点上配置相互对应的特定组播组加入报文的加密ACL规则，以及在分支节点上配置特定组播组的下行组播流的加密ACL规则；B，分支节点将特定组播组加入报文通过特定组播组加入报文的IPsecVPN发送至中心节点，所述特定组播组加入报文的IPsec VPN是根据中心节点与分支节点上配置的特定组播组加入报文的加密ACL规则，通过IKE协商建立；C，中心节点根据接收到的特定组播组加入报文中的组地址信息，配置特定组播组的下行组播流的加密ACL规则，与分支节点上配置的所述特定组播组的下行组播流的ACL规则相对应；D，根据分支节点和中心节点上的配置的所述特定组播组的下行组播流的加密ACL规则，通过IKE协商建立所述特定组播组的下行组播流的IPsecVPN，将所述下行组播流发送至分支节点。
2. 如权利要求1所述的组播方法，其特征在于，所述特定组播组加入报 文是IGMP加入纟艮文。
3. 如权利要求2所述的组播方法，其特征在于，所述步骤B具体包括 设置分支节点的上行接口为IGMP代理接口，代理分支节点的私网接口； 分支节点将其私网接口上接收到的IGMP加入报文发送到上行接口 ，在上行接口处，将所述IGMP加入报文的源地址替换为上行接口地址；根据中心节点与分支节点上配置的IGMP加入报文的加密ACL规则，通 过IKE协商建立IGMP加入报文的IPsec VPN,将所述IGMP加入报文从所述 上行接口发送至中心节点。
4. 如权利要求3所述的组播方法，其特征在于，分别在中心节点与分支节点上配置相互对应的IGMP常规查询报文的加 密ACL规则，根据所述IGMP常规查询报文的加密ACL规则，通过IKE协 商建立IGMP常规查询报文的IPsec VPN，中心节点通过该IPsec VPN,将IGMP 常规查询报文发送至分支节点；分支节点进一步将应答IGMP常规查询报文的IGMP报告报文，通过所述 特定组播组加入报文的IPsec VPN发送至中心节点。
5. 如权利要求4所述的组播方法，其特征在于，中心节点进一步通过所 述特定组播组的下行组4番流的IPsec VPN，向分支节点发送特定组查询报文；分支节点将应答特定组查询报文的IGMP报告报文，通过所述特定组播组 加入报文的IPsec VPN发送至中心节点。
6. 如权利要求5所述的组播方法，其特征在于，中心节点进一步接收到 的IGMP报告报文维护所述IGMP组播表项，并在删除所述IGMP组播表项时， 相应地在各节点上删除为该组播表项中的特定组播组配置的加密ACL规则。
7. 如权利要求3所述的组播方法，其特征在于，所述步骤C中，中心节 点进一步根据接收到的所述IGMP加入报文中的特定组播组地址信息维护 IGMP组播表项，并将接收到所述IGMP加入报文的接口作为所述特定组播组 的出4妄口；所述步骤D中，中心节点进一步将所述特定组^"组的下行组播流发送到 所述特定组播组的出接口上，通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
8. 如权利要求7所述的组播方法，其特征在于，所述步骤D中，所述分支节点进一步通过其私网接口 ，将接收到的特定组播组的下行组播流发送到本 地网中。
9. 如权利要求1所述的组播方法，其特征在于，所述特定组播组加入报 文是PIM加入报文。
10. 如权利要求9所述的组播方法，其特征在于，所述步骤B具体包括分支节点根据接收到的特定组播组的IGMP加入报文，维护其PIM组播 表项，并将收到所述IGMP加入报文的接口作为所述特定组播组的出接口 ；分支节点根据所述PIM组播表项中的特定组播组信息生成PIM加入报文， 并根据中心节点与分支节点上配置的PIM加入报文的加密ACL规则，通过IKE 协商建立PIM加入报文的IPsec VPN，通过该IPsec VPN,将所述PIM加入净艮 文发送至中心节点。
11. 如权利要求9所述的组播方法，其特征在于，所述步骤C中，中心节 点进一步根据接收到的PIM加入报文中的组地址信息和接收到所述PIM加入 报文的接口 ，维护其PIM组播表项，并将接收到所述PIM加入报文的接口作 为所述特定组播组的出接口 ；所述步骤D中，中心节点进一步才艮据将所述特定组^"组的下行组播流发 送到所述出接口上，通过所述下行组播流的IPsecVPN将所述下行组播流发送 至分支节点。
12. 如权利要求9所述的组播方法，其特征在于，所述步骤A中之前进一 步包括在中心节点和分支节点上分别配置PIM协议报文的加密ACL规则， 通过IKE协商建立起PIM协议才艮文的IPsec VPN,在分支节点和中心节点之间 传输PIM协议报文，根据所述PIM协议报文，维护节点上的PIM组播表项， 并在删除所述PIM组播表项时，相应地在各节点上删除为该组播表项中的特 定组播组配置的加密ACL规则。
13. 如权利要求12所述的组播方法，其特征在于，中心节点接收到剪枝报文后，将所述剪枝报文通过PIM协议报文的IPsec VPN转发到邻居节点上；收到所述剪枝报文的邻居节点如果还有对应的组播成员，则向中心节点发 送PIM加入纟艮文；中心节点如果在预定时间内接收到PIM加入报文，则继续维护相应的组 播表项，否则，删除相应的组播表项。
14. 一种分支节点，其特征在于，包括组加入报文配置单元，用于配置并保存特定组播组加入报文的加密ACL 规则；组加入报文发送单元，用于才艮据所述组加入才艮文配置单元和中心节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsec VPN，将特定组播组加入报文发送至中心节点；下行组播流配置单元，用于配置并保存特定组播组的下行组播流的加密 ACL规则；下行组播流接收单元，用于根据所述下行组播流配置单元和中心节点设备 配置的相互对应的特定组播组加入报文的加密ACL^见则，通过IKE协商，建 立特定组播组的下行组播流的IPsec VPN，接收中心节点发送的下行组播流。
15. 如权利要求14所述的分支节点，其特征在于，所述特定组播组加入 报文是IGMP加入报文，所述分支节点还包括IGMP代理单元，用于为该分支节点的私网接口配置代理接口，并将所述 私网接口接收到的IGMP加入报文发送到代理接口 ，以及将代理接口接收到的 下行组播流发送至私网接口 ；所述组加入报文发送单元，进一步用于将所述代理接口接收到的IGMP加 入4艮文，通过所述特定组播组加入报文的IPsec VPN发送至中心节点。
16. 如权利要求14所述的分支节点，其特征在于，所述特定组播组加入 报文是PIM加入I艮文，所述分支节点还包括PIM协议报文配置单元，用于配置并保存PIM协议报文的加密ACL规则； PIM协议才艮文交互单元，用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的PIM协议报文的加密ACL规则，通过IKE协商，建立PIM协议报文的IPsec VPN,交互PIM协议报文；PIM组播表项维护单元，用于根据所述PIM协议报文交互单元接收到的PIM协议净艮文，维护PIM组播表项。
17. 如权利要求16所述的分支节点，其特征在于，所述PIM组播表项维 护单元，进一步用于根据接收到的特定组播组的IGMP加入报文，维护PIM 组播表项，并将收到所述IGMP加入报文的接口作为所述特定组播组的出接;所述组加入净艮文发送单元，进一步根据所述PIM组播表项中的特定组播 组信息生成PIM加入^J:，并通过所述特定组播组加入报文的IPsec VPN发 送至中心节点；所述下行组播流接收单元，进一步根据所述PIM组播表项中特定组播组 的出接口信息，将接收到的特定组播组的下行组播流发送到所述出接口上。
18. 如权利要求16所述的分支节点，其特征在于，还包括 剪枝报文处理单元，用于接收中心节点发送的剪枝报文，并判断本身是否还有对应的组播成员，如果有，则向中心节点发送PIM加入报文。
19. 一种中心节点，其特征在于，包括组加入报文配置单元，用于配置并保存特定组^番组加入报文的加密ACL 规则；组加入报文接收单元，用于根据所述组加入净艮文配置单元和分支节点配置 的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建立特 定组播组加入报文的IPsec VPN,接收来自分支节点的特定组播组加入报文；下行组播流配置单元，用于#>据所述组加入>^艮文《^妄收单元接收到的特定组 加入报文，配置特定组播组的下行组播流的加密ACL规则；下行组播流发送单元，用于根据所述下行组播流配置单元和分支节点设备 配置的相互对应的特定组播组加入报文的加密ACL规则，通过IKE协商，建 立特定组#"组的下行组#~流的IPsec VPN，向分支节点发送所述下^f于组播流。
20. 如权利要求19所述的中心节点，其特征在于，所述特定组播组加入 报文是IGMP加入报文，所述中心节点还包括IGMP组播表项维护单元，用于根据所述组加入报文接收单元接收到的 IGMP加入报文，维护IGMP組播表项，并将接收到所述IGMP加入报文的接 口作为所述特定组播组的出接口 ；所述下行组播流发送单元，进一步用于将所述特定组播组的下行组播流发 送到所述特定组播组的出接口上，通过所述下行组播流的IPsecVPN将所述下行组播流发送至分支节点。
21. 如权利要求19所述的中心节点，其特征在于，所述特定组播组加入报文是PIM加入报文，所述中心节点还包括PIM协议报文配置单元，用于配置并保存PIM协议报文的加密ACL规则； PIM协议报文交互单元，用于根据所述PIM协议报文配置单元和其它节点配置的PIM协议配置的相互对应的PIM协议报文的加密ACL规则，通过IKE协商，建立PIM协议报文的IPsecVPN，交互PIM协议净艮文；PIM组播表项维护单元，用于根据所述PIM协议报文交互单元接收到的PIM协议报文，维护PIM组播表项。
22. 如权利要求21所述的中心节点，其特征在于，剪枝报文处理单元，用于接收分支节点发送的剪枝报文，并将所述剪枝报 文通过PIM协议净艮文的IPsec VPN转发到邻居节点上。 23.如权利要求21所述的中心节点，其特征在于，所述PIM组播表项维护单元，进一步用于根据接收到的特定组播组的PIM 加入报文，维护PIM组播表项，并将收到所述IGMP加入报文的接口作为所 述特定组播组的出接口；所述下行组播流发送单元，进一步根据所述PIM组播表项中特定组播组 的出接口信息，将所述特定组播组的下行组播流发送到所述出接口上，通过所述下行组播流的IPsec VPN将所述下行组播流发送至分支节点。
全文摘要
本发明提供了一种在IPsec VPN中传输组播的方法、分支节点和中心节点。通过在节点设备上配置组播数据流的加密ACL规则，实现了只需一次封装即可传输加密的组播数据。按照本发明所述方法及节点设备，可减小节点设备对组播数据的处理时间。
文档编号H04L12/18GK101102253SQ20071012022
公开日2008年1月9日 申请日期2007年8月13日 优先权日2007年8月13日
发明者迪 周, 科 彭 申请人:杭州华三通信技术有限公司