经由多个隧道传输加密的分组的多个副本制造技术

本公开的实施例涉及经由多个隧道传输加密的分组的多个副本。网络设备可以从传输网络设备接收分组，其中分组包括第一外互联网协议(IP)报头、通用路由封装(GRE)报头、第二外IP报头、封装安全性有效载荷(ESP)报头、以及内分组，其中内分组由ESP报头封装，ESP报头由第二外IP报头封装，第二外IP报头由GRE报头封装，并且GRE报头由第一外IP报头封装。网络设备可以对分组进行解封装以从分组中移除第一外IP报头和GRE报头。在对分组进行解封装之后，网络设备可以对分组进行解密以标识内分组。网络设备可以使与内分组相关联的一个或多个动作被执行。

【技术实现步骤摘要】
经由多个隧道传输加密的分组的多个副本
本公开总体上涉及网络领域，并且更具体地涉及经由多个隧道传输加密的分组的多个样本。
技术介绍
网络隧道是一种用于以公共网络的网络设备不知道私有信息的方式通过公共网络来安全传输私有信息的机制。隧道协议是一种使得能够创建网络隧道的通信协议。隧道协议使得私有信息能够通过被称为封装的过程在公共网络上被发送。
技术实现思路
根据一些实现，一种方法可以包括：经由网络设备与传输网络设备之间的多个隧道中的一个隧道，由网络设备从传输网络设备接收分组，其中分组包括第一外互联网协议(IP)报头、通用路由封装(GRE)报头、第二外IP报头、提供分组的内分组的加密的封装安全性有效载荷(ESP)报头、以及内分组，其中内分组由ESP报头封装，ESP报头由第二外IP报头封装，第二外IP报头由GRE报头封装，并且GRE报头由第一外IP报头封装；由网络设备对分组进行解封装，以从分组中移除第一外IP报头和GRE报头；在对分组进行解封装之后，由网络设备对分组进行解密，以标识内分组；以及由网络设备使与内分组相关联的一个或多个动作被执行。根据一些实现，一种网络设备可以包括一个或多个存储器；以及一个或多个处理器，用以：对分组进行加密以创建加密的分组，其中加密的分组包括外互联网协议(IP)报头，该外互联网协议报头包括源地址和目的地地址，源地址标识网络设备的虚拟隧道端点，目的地地址标识接收网络设备的虚拟隧道端点；对加密的分组进行复制以创建多个加密的分组；基于隧道协议，对多个加密的分组中的每个加密的分组进行封装，以创建多个封装加密的分组；其中每个封装加密的分组包括附加的外IP报头，附加的外IP报头包括源地址和目的地地址，源地址标识网络设备的物理隧道端点，目的地地址标识接收网络设备的物理隧道端点；以及经由网络设备与接收网络设备之间的多个隧道中的相应隧道，将多个封装加密的分组中的每个封装加密的分组发送给接收网络设备。根据一些实现，一种非瞬态计算机可读介质可以存储一个或多个指令。一个或多个指令在由网络设备的一个或多个处理器执行时可以使一个或多个处理器：经由网络设备与传输网络设备之间的多个通用路由封装(GRE)隧道中的一个GRE隧道，从传输网络设备接收分组，其中分组包括内分组，内分组由封装安全性有效载荷(ESP)部分封装，封装安全性有效载荷(ESP)部分由GRE部分封装；对分组进行解封装，以从分组中移除GRE部分；在对分组进行解封装之后，对分组进行解密以标识内分组；以及基于内分组中包括的报头路由内分组。附图说明图1A-图1H是本文描述的一个或多个示例实现的图。图2是在其中可以实现本文描述的系统和/或方法的示例环境的图。图3A和图3B是图2的一个或多个设备的示例组件的图。图4-图6是用于经由传输网络设备与接收网络设备之间的多个隧道来传输加密的分组的多个副本的示例过程的流程图。具体实施方式示例实现的以下详细描述参考了附图。不同附图中的相同附图标记可以标识相同或相似的元件。在许多情况下，多个隧道可以连接第一网络设备和第二网络设备。在一些情况下，第一网络设备可以被配置为经由多个隧道将相同分组的多个副本发送给第二网络设备。例如，对于一些对数据敏感的应用(例如，以最小化分组丢失)，第一网络设备可以经由多个隧道中的每个隧道向第二网络设备发送数据分组的个体副本。作为另一个示例，第一网络设备可以经由多个隧道中的每个隧道向第二网络设备发送探测分组的个体副本(探测分组例如是被用来确定多个隧道的状态、性能等的分组)。在一些情况下，在经由隧道发送分组的副本之前，第一网络设备使用诸如通用路由封装(GRE)协议之类的隧道协议来封装分组的副本，然后使用诸如封装安全性有效载荷(ESP)协议之类的加密协议对分组的副本进行加密。在对分组进行封装和加密时，第一网络设备可以向分组添加一个或多个报头。通常，一个或多个报头包括与多个隧道中的特定隧道相关联的公共端点地址，分组的副本应该在该特定隧道上从第一网络设备被传输到第二网络设备。因此，分组的每个副本可以包括一个或多个报头，该一个或多个报头包括端点地址，该端点地址与该分组的其他副本的一个或多个报头中包括的端点地址不同。第一网络设备可以经由多个隧道分别向第二网络设备发送分组的每个副本(例如，在对分组的副本进行封装和加密之后)。在许多情况下，第二网络设备可能不知道该分组的副本是彼此的副本。因此，第二网络设备可以解密和/或解封装分组的每个副本，以确定分组的多个副本是彼此的复制。这浪费了第二网络设备的计算资源(例如，处理资源、存储器资源、功率资源等)来重新解密和/或重新解封装分组的每个副本以获取分组的相同副本。根据本文描述的一些实现，传输网络设备可以对分组进行加密(例如，使用ESP协议)以创建加密的分组，复制该加密的分组以创建多个加密的分组，并且使用隧道协议(例如，使用GRE隧道协议)封装多个加密的分组中的每个加密的分组以创建多个封装加密的分组。此外，在一些实现中，当对分组进行加密时，传输网络设备可以用IP报头(例如，ESP外IP报头)对加密的分组进行封装，以指示传输网络设备的特定虚拟隧道端点和接收网络设备的特定虚拟隧道端点。因此，在一些实现中，每个封装加密的分组包括相同的加密的分组，该加密的分组包括指示相同的虚拟隧道端点的IP报头。在一些实现中，经由连接传输网络设备和接收网络设备的多个隧道中的相应隧道，传输网络设备可以将每个封装加密的分组发送给接收网络设备。因此，在一些实现中，通过对第一封装加密的分组进行解封装以暴露第一加密的分组并且对第二封装加密的分组进行解封装以暴露第二加密的分组，接收网络设备可以确定第一封装加密的分组与第二封装加密的分组相同。在一些实现中，第一加密的分组和第二加密的分组可以具有相同的结构(例如，每个分组由指示特定虚拟隧道端点的相同IP报头进行封装)，并且接收网络设备可以确定第一加密的分组和第二加密的分组彼此匹配(例如，不必解密这两个分组)。以这种方式，传输网络设备可以对分组进行加密并制作分组的多个副本，而不是单独地对分组的多个副本进行加密。此外，仅通过对分组的副本进行解封装(例如，不必对分组的副本进行解密)，接收网络设备可以确定分组的副本是复制的。因此，接收网络设备可以仅对分组的副本之一进行解密来处理该分组，并且丢弃和/或忽略该分组的其他副本。因此，本文描述的一些实现消除了传输网络设备和接收网络设备进行的不必要的加密和解密步骤，因此节省了传输网络设备和接收网络设备的计算资源，否则这些计算资源将浪费在执行不必要的加密和解密步骤上。图1A-图1H是本文描述的一个或多个示例实现100的图。如图1A-图1H所示，(多个)示例实现100可以包括传输网络设备和接收网络设备。如图1A中所示，传输网络设备可以与第一局域网(LAN)相关联(被示为LAN1，192.168.1.1/24)，并且接收网络设备可以与第二LAN相关联(被示为LAN2，192.168.2.1/24)。例如，传输网络设备可以是包括第一主本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n经由网络设备与传输网络设备之间的多个隧道中的一个隧道，由所述网络设备从所述传输网络设备接收分组，/n其中所述分组包括第一外互联网协议(IP)报头、通用路由封装(GRE)报头、第二外IP报头、提供所述分组的内分组的加密的封装安全性有效载荷(ESP)报头、以及所述内分组，/n其中所述内分组由所述ESP报头封装，所述ESP报头由所述第二外IP报头封装，所述第二外IP报头由所述GRE报头封装，并且所述GRE报头由所述第一外IP报头封装；/n由所述网络设备对所述分组进行解封装，以从所述分组中移除所述第一外IP报头和所述GRE报头；/n在对所述分组进行解封装之后，由所述网络设备对所述分组进行解密，以标识所述内分组；以及/n由所述网络设备使与所述内分组相关联的一个或多个动作被执行。/n

【技术特征摘要】
20200219 US 16/794,3561.一种方法，包括：
经由网络设备与传输网络设备之间的多个隧道中的一个隧道，由所述网络设备从所述传输网络设备接收分组，
其中所述分组包括第一外互联网协议(IP)报头、通用路由封装(GRE)报头、第二外IP报头、提供所述分组的内分组的加密的封装安全性有效载荷(ESP)报头、以及所述内分组，
其中所述内分组由所述ESP报头封装，所述ESP报头由所述第二外IP报头封装，所述第二外IP报头由所述GRE报头封装，并且所述GRE报头由所述第一外IP报头封装；
由所述网络设备对所述分组进行解封装，以从所述分组中移除所述第一外IP报头和所述GRE报头；
在对所述分组进行解封装之后，由所述网络设备对所述分组进行解密，以标识所述内分组；以及
由所述网络设备使与所述内分组相关联的一个或多个动作被执行。


2.根据权利要求1所述的方法，其中所述第一外IP报头的源地址标识所述传输网络设备的物理隧道端点，并且所述第一外IP报头的目的地地址标识所述网络设备的物理隧道端点，并且
其中所述第二外IP报头的源地址标识所述传输网络设备的虚拟隧道端点，并且所述第二外IP报头的目的地地址标识所述网络设备的虚拟隧道端点。


3.根据权利要求1所述的方法，其中使与所述内分组相关联的所述一个或多个动作被执行包括：
标识所述内分组的IP报头和所述内分组的有效载荷，
其中所述IP报头的源地址标识与所述传输网络设备相关联的第一局域网(LAN)，并且所述IP报头的目的地地址标识与所述网络设备相关联的第二LAN，
其中所述有效载荷由所述IP报头封装；以及
将所述内分组发送给所述IP报头的所述目的地地址。


4.根据权利要求1所述的方法，其中使与所述内分组相关联的所述一个或多个动作被执行包括：
更新所述内分组的有效载荷；以及
经由所述一个隧道将所述内分组发送给所述传输网络设备。


5.根据权利要求1所述的方法，还包括：
在对所述分组进行解封装之后，标识与所述ESP报头相关联的序列号；以及
使所述序列号被存储在数据结构中。


6.根据权利要求1所述的方法，还包括：
经由所述网络设备与所述传输网络设备之间的所述多个隧道中的不同隧道，接收附加的分组，
其中所述附加的分组包括附加的第一外IP报头、附加的GRE报头、附加的第二外IP报头、附加的ESP报头以及附加的内分组，
其中所述附加的内分组由所述附加的ESP报头封装，所述附加的ESP报头由所述附加的第二外IP报头封装，所述附加的第二外IP报头由所述附加的GRE报头封装，并且所述附加的GRE报头由所述附加的第一外IP报头封装；
对所述附加的分组进行解封装，以从所述附加的分组中移除所述附加的第一外IP报头和所述附加的GRE报头；
在对所述附加的分组进行解封装之后，标识与所述附加的ESP报头相关联的序列号；
从数据结构中获取与所述ESP报头相关联的序列号；
基于与所述附加的ESP报头相关联的所述序列号和与所述ESP报头相关联的所述序列号，确定所述附加的内分组是所述内分组的副本；以及
基于确定所述附加的内分组是所述内分组的副本，使所述附加的分组被丢弃。


7.根据权利要求1所述的方法，还包括：
标识与所述ESP报头相关联的序列号；以及
使所述序列号和所述内分组的副本被存储在数据结构中。


8.根据权利要求1所述的方法，还包括：
经由所述网络设备与所述传输网络设备之间的所述多个隧道中的不同隧道，接收附加的分组；
对所述附加的分组进行解封装，以从所述附加的分组中移除所述附加的分组的外IP报头和所述附加的分组的GRE报头；
在对所述附加的分组进行解封装之后，标识与所述附加的分组的ESP报头相关联的序列号；
从数据结构中获取与所述分组的所述ESP报头相关联的序列号；
确定与所述附加的分组的所述ESP报头相关联的所述序列号与所述分组的所述ESP报头的所述序列号相匹配；
基于确定与所述附加的分组的所述ESP报头相关联的所述序列号与所述分组的所述ESP报头的所述序列号相匹配，使所述附加的分组被丢弃；以及
在使所述附加的分组被丢弃之后，基于被存储在所述数据结构中的所述分组的所述内分组的副本，生成新的内分组。


9.根据权利要求8所述的方法，还包括：
更新所述新的内分组的有效载荷；以及
在更新所述新的内分组的所述有效载荷之后，经由所述隧道将所述新的内分组发送给所述传输网络设备。


10.根据权利要求1所述的方法，还包括：...

【专利技术属性】
技术研发人员：S·K·巴塔，G·孔达帕武鲁鲁，R·斯，R·辛哈，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US