建立互联网协议安全性隧道的方法和网关设备技术

本发明专利技术实施例提供了一种建立互联网安全性隧道的方法和网关设备，包括：网关设备根据IPsec配置信息中的IPsec隧道目的地址，在路由表中查找得到目的地址为IPsec隧道目的地址的第一路由；在路由表中查找得到与第一路由相对应的网关设备上的第一出接口；建立以第一出接口的IP地址为源地址，以IPsec隧道目的地址为目的地址的第一GRE隧道；通过第一GRE隧道，将IPsec隧道配置信息中的IPsec隧道源地址发布给对端设备，与对端设备通过第一GRE隧道建立以IPsec隧道源地址为源地址，以IPsec隧道目的地址为目的地址的IPsec隧道。能够自动支持多出口的扩展，降低IPsec隧道支持多出口的配置门槛。

【技术实现步骤摘要】
建立互联网协议安全性隧道的方法和网关设备
本专利技术实施例涉及网络通信
，尤其涉及建立互联网协议安全性隧道的方法和网关设备。
技术介绍
随着公司规模的不断壮大，越来越多的企业开始向异地甚至海外拓展业务，并设置分支机构。如何以较低的成本实现各个分支机构之间的安全沟通、资源共享以及统一运营管理是各大公司和厂商们面临的突出问题。为此虚拟私有网络(VirtualPrivateNetwork，简称为“VPN”)技术应运而生，它能利用廉价的公有网络比如互联网(Internet)作为传输媒介，通过加密、封装等技术帮助企业的不同分支机构之间或分支结构和总部之间建立安全可靠的连接，实现安全沟通，资源共享的目的。Internet协议安全性(InternetProtocolSecurity，简称为“IPsec”)作为一种三层VPN技术，可以通过加密和验证等方式为IP数据包的传输提供端到端的安全服务。集成VPN功能的防火墙部署在分支机构所在的企业出口的时候，出于冗余安全的考虑，常常会连接到多个不同运营商的网络，分别通过多个不同的运营商的网络与总部的企业网络连接，比如分别通过联通和电信进行连接，当联通网络出问题的时候，可以走电信的网络，保证业务不中断。不同的运营商之间的IP是相互隔离的，这样一来分布在不同地方的企业网络之间建立Ipsec就会面临多出口的情况。现有技术中的分支机构的防火墙用不同的运营商配置的IP地址与总部建立IPsec隧道，之后配置引流路径。在需要新增加出口时，需要在增加的出接口上配置新的IPsec隧道。现有技术的方案的扩展性较差。
技术实现思路
本申请提供了一种建立互联网协议安全性IPsec隧道的方法和网关设备，能够自动支持多出口的扩展，降低IPsec隧道支持多出口的配置门槛。第一方面，提供了一种建立互联网协议安全性IPsec隧道的方法，包括：网关设备根据IPsece配置信息中包含的IPsec隧道目的地址，在路由表中查找得到目的地址为该IPsec隧道目的地址的第一路由，该IPsec隧道目的地址为对端设备的互联网协议IP地址；该网关设备在该路由表中查找得到与该第一路由相对应的该网关设备上的第一出接口；该网关设备根据该第一出接口的IP地址和该IPsec隧道目的地址，建立以该第一出接口的IP地址为源地址，以该IPsec隧道目的地址为目的地址的第一通用路由协议封装GRE隧道；该网关设备通过该第一GRE隧道，将该IPsec隧道配置信息中包含的IPsec隧道源地址发布给该对端设备，该IPsec隧道源地址为该网关设备的IP地址；该网关设备与该对端设备通过该第一GRE隧道建立以该IPsec隧道源地址为源地址，以该IPsec隧道目的地址为目的地址的IPsec隧道。本申请实施例的用于建立IPsec隧道的方法，网关设备以IPsec配置信息中包含的IPsec隧道的目的地址为查找键值，在路由表中查找到目的地址为该IPsec隧道的目的地址的第一路由及该第一路由对应的第一出接口，并建立以该第一出接口的IP地址为源地址，以该IPsec隧道的目的地址为目的地址的第一GRE隧道，之后通过该第一GRE隧道将IPsec隧道的源地址发布给对端设备，由此，网关设备就可以以IPsec隧道的源地址作为源地址，以对端设备的IP地址作为目的地址建立IPsec隧道，由于网关设备能够根据IPsec配置信息自动查找路由表，根据查找到的信息建立GRE隧道，并在该GRE隧道的基础上建立IPsec隧道，而不需要手动进行GRE隧道的配置，由此能够自动支持多出口的扩展，降低IPsec隧道支持多出口的配置门槛。进一步的，在存在多条指向同一目的地址，即IPsece配置信息中包含的IPsec隧道目的地址的路由的情况下，并进而确定这些路由对应多个出接口时，网关设备可以根据本申请的方法和对端设备建立多条GRE隧道，由于IPsec配置信息中的IPsec隧道源地址为该网关设备的IP地址，IPsec隧道目的地址为对端设备的IP地址，网关设备可以在建立起的GRE隧道的基础上与对端设备建立一条IPsec隧道，从而使这一条IPsec隧道的流量可以通过多条GRE隧道进行分担，由此能够实现业务在多出接口之间的负载分担。结合第一方面，在第一方面的第一种可能的实现方式中，该IPsec隧道配置信息中还包含地址池；其中，该网关设备通过该第一GRE隧道，将该IPsec隧道配置信息中包括的IPsec隧道源地址发布给该对端设备，包括：该网关设备从该地址池中，选择一个地址作为该第一GRE隧道的逻辑接口的IP地址；该网关设备在该第一GRE隧道的逻辑接口上使能路由协议，向该对端设备发布一条目的地址为该IPsec隧道源地址，且下一跳为该第一GRE隧道的逻辑接口的IP地址的路由。网关设备能够自动在建立起来的GRE隧道上使能路由协议，将IPsec配置信息中包括的IPsec隧道源地址发布给对端设备，而不需要手动配置使能路由协议，由此可以进一步降低网络的部署成本。结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，该方法还包括：该网关设备检测到第二路由，该第二路由为新增加的且目的地址为该IPsec隧道的目的地址的路由；该网关设备在该路由表中查找得到与该第二路由相对应的该网关设备上的第二出接口；该网关设备根据该第二出接口的IP地址和该IPsec隧道目的地址，建立以该第二出接口的IP地址为源地址，以该IPsec隧道目的地址为目的地址的第二GRE隧道；该网关设备通过该第二GRE隧道，将该IPsec隧道源地址发布给该对端设备；该网关设备与该对端设备通过该第二GRE隧道建立以该IPsec隧道源地址为源地址，以该IPsec隧道目的地址为目的地址的IPsec隧道。进而，本申请实施例的用于建立IPsec隧道的方法，网关设备可以自动检测是否有新增的路由，并在检测到有新增的路由时建立新的GRE隧道，由此在网关设备新增出接口时，能够自动支持多出口的扩展。结合第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，该方法还包括：该网关设备检测到该第一路由被删除；该网关设备删除该第一GRE隧道。结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，该网关设备检测到该第一路由被删除之后，该方法还包括：该网关设备通知该对端设备删除一条目的地址为该IPsec隧道源地址，下一跳为该第一GRE隧道的逻辑接口的IP地址的路由。结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，该网关设备通知该对端设备删除一条目的地址为该IPsec隧道源地址，下一跳为该第一GRE隧道的逻辑接口的IP地址的路由，包括：该网关设备在删除该第一GRE隧道之前，在该第一GRE隧道的逻辑接口上，向该对端设备发送一条路由删除消息，该路由删除消息用于指示该对端设备删除一条目的地址为该IPsec隧道源地址，下一跳为该第一GRE隧道的逻辑接口的IP地址的路由。结合第一方面的第四种可能的实现方式，在第一方面的第六种可能的实现方式中，该网关设备通知该对端设备删除一条目的地址为该IPsec隧道源地址，下一跳为该第一GRE隧道的逻辑接口的IP地址的路由，包括：该网关设备在第三GRE隧道的逻辑接口上，向该对端本文档来自技高网...

【技术保护点】
一种建立互联网协议安全性IPsec隧道的方法，其特征在于，包括：网关设备根据IPsece配置信息中包含的IPsec隧道目的地址，在路由表中查找得到目的地址为所述IPsec隧道目的地址的第一路由，所述IPsec隧道目的地址为对端设备的互联网协议IP地址；所述网关设备在所述路由表中查找得到与所述第一路由相对应的所述网关设备上的第一出接口；所述网关设备根据所述第一出接口的IP地址和所述IPsec隧道目的地址，建立以所述第一出接口的IP地址为源地址，以所述IPsec隧道目的地址为目的地址的第一通用路由协议封装GRE隧道；所述网关设备通过所述第一GRE隧道，将所述IPsec隧道配置信息中包含的IPsec隧道源地址发布给所述对端设备，所述IPsec隧道源地址为所述网关设备的IP地址；所述网关设备与所述对端设备通过所述第一GRE隧道建立以所述IPsec隧道源地址为源地址，以所述IPsec隧道目的地址为目的地址的IPsec隧道。

【技术特征摘要】
1.一种建立互联网协议安全性IPsec隧道的方法，其特征在于，包括：网关设备根据IPsece配置信息中包含的IPsec隧道目的地址，在路由表中查找得到目的地址为所述IPsec隧道目的地址的第一路由，所述IPsec隧道目的地址为对端设备的互联网协议IP地址；所述网关设备在所述路由表中查找得到与所述第一路由相对应的所述网关设备上的第一出接口；所述网关设备根据所述第一出接口的IP地址和所述IPsec隧道目的地址，建立以所述第一出接口的IP地址为源地址，以所述IPsec隧道目的地址为目的地址的第一通用路由协议封装GRE隧道；所述网关设备通过所述第一GRE隧道，将所述IPsec隧道配置信息中包含的IPsec隧道源地址发布给所述对端设备，所述IPsec隧道源地址为所述网关设备的IP地址；所述网关设备与所述对端设备通过所述第一GRE隧道建立以所述IPsec隧道源地址为源地址，以所述IPsec隧道目的地址为目的地址的IPsec隧道。2.根据权利要求1所述的方法，其特征在于，所述IPsec隧道配置信息中还包含地址池；其中，所述网关设备通过所述第一GRE隧道，将所述IPsec隧道配置信息中包括的IPsec隧道源地址发布给所述对端设备，包括：所述网关设备从所述地址池中，选择一个地址作为所述第一GRE隧道的逻辑接口的IP地址；所述网关设备在所述第一GRE隧道的逻辑接口上使能路由协议，向所述对端设备发布一条目的地址为所述IPsec隧道源地址，且下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：所述网关设备检测到第二路由，所述第二路由为新增加的且目的地址为所述IPsec隧道目的地址的路由；所述网关设备在所述路由表中查找得到与所述第二路由相对应的所述网关设备上的第二出接口；所述网关设备根据所述第二出接口的IP地址和所述IPsec隧道目的地址，建立以所述第二出接口的IP地址为源地址，以所述IPsec隧道目的地址为目的地址的第二GRE隧道；所述网关设备通过所述第二GRE隧道，将所述IPsec隧道源地址发布给所述对端设备；所述网关设备与所述对端设备通过所述第二GRE隧道建立以所述IPsec隧道源地址为源地址，以所述IPsec隧道目的地址为目的地址的IPsec隧道。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述网关设备检测到所述第一路由被删除；所述网关设备删除所述第一GRE隧道。5.根据权利要求4所述的方法，其特征在于，所述网关设备检测到所述第一路由被删除之后，所述方法还包括：所述网关设备通知所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由。6.根据权利要求5所述的方法，其特征在于，所述网关设备通知所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由，包括：所述网关设备在删除所述第一GRE隧道之前，在所述第一GRE隧道的逻辑接口上，向所述对端设备发送一条路由删除消息，所述路由删除消息用于指示所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由。7.根据权利要求5所述的方法，其特征在于，所述网关设备通知所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由，包括：所述网关设备在第三GRE隧道的逻辑接口上，向所述对端设备发送一条路由删除消息，所述路由删除消息用于指示所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地...

【专利技术属性】
技术研发人员：赖朝辉，樊辉，吴皓，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44