[发明专利]一种实现隧道安全的方法和设备

说明书

技术领域

本发明涉及网络通信技术领域，尤指一种实现隧道安全的方法、一种隧 道起始点设备和一种隧道终点设备。

背景技术

隧道(Tunnel)技术是一种通过使用互联网络的基础设施在网络之间传 递数据的方式。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发 送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。

在隧道技术中，原始报文在隧道起始点进行加封装并转发的过程称为入 隧道，隧道报文在抵达隧道终结点进行解封装并转发的过程，称为出隧道。 其中，原始报文协议类型为A，用另一中协议类型为B的协议头添加到原始 报文外层从而形成新的报文的过程，称为加封装；将加在原始报文外层的协 议类型为B的协议头去除，还原为加封装之前的协议类型为A的原始报文 的过程，称为解封装。

下面以通用路由封装(GRE，Generic Routing Encapsulation)隧道和 IPv4/IPv6over IPv6隧道(简称IPv6隧道)为例，对隧道技术进行简要说明。

GRE协议是对某些网络层协议(如IPv4、IPv6或IPX等)报文进行封 装，使这些被封装的报文能够在另一个网络层协议(如IPv4或IPv6)中传 输。GRE隧道是一个虚拟的点对点的连接，为封装的数据报文提供了一通 传输通路，GRE隧道两端的设备分别对数据报为进行加封装及解封装。

图1是现有技术中的GRE隧道的组网示意图。如图1所示，路由器A 连接X协议网络1的接口收到X协议报文后，检查报文中的目的地址来确 定如何路由该报文；若报文的目的地址要经过GRE隧道才能到达，则对报 文进行GRE封装，再封装IP头后，转发出去。路由器B从GRE隧道接口 收到IP报文，检查其目的地址；如果发现目的地址是本地路由器，则剥掉 此报文的IP头，再剥掉GRE报文头后，根据X协议对报文进行转发处理。

图2是现有技术中的GRE隧道报文的格式示意图。如图2所示，需要 封装和传输的数据报文，称之为净荷(Payload)，净荷的协议类型为乘客 协议(passenger Protocol)。系统收到一个净荷后，首先使用GRE协议对净 荷进行GRE封装，即把乘客协议报文进行了“包装”，加上了一个GRE头 部成为GRE报文；然后把封装好的原始报文和GRE头部封装在IP报文中， 这样就可以完全由IP层负责此报文的前向转发。通常把这个负责前向转发 的协议称为传输协议(Delivery Protocol或Transport Protocol)。根据传输 协议的不同，可以分为GRE over IPv4和GRE over IPv6两种隧道模式。

图3是现有技术中的IPv6隧道的组网示意图。IPv6隧道协议是对IPv4 或IPv6的数据报文进行封装，是这些被封装的数据报文能够在另一个IPv6 网络中传输，封装后的报文即为IPv6隧道报文。如图3所示，路由器A连 接私有网络A的接口收到原始数据报文后，首先确定如何路由此数据报文； 若确定此数据报文要路由到与路由器B连接的主机B的地址，则为此报文 添加IPv6报文头，通过IPv6隧道转发；路由器B从IPv6网络接口收到报 文后，进行解封装处理，即去掉IPv6报文头；解封装后的数据报文被送往 向用的乘客协议(Ipv4或IPv6)模块进行二次路由处理。

图4是现有技术中的IPv6隧道报文的格式示意图。如图4所示，净荷 为需要封装和传输的IPv4或IPv6报文，即乘客协议为IPv4或IPv6协议。 系统收到一个净荷后，进行IPv6隧道封装，即给净荷报文加上一个IPv6头。

可以看出，隧道就像管道一样，在两个网络节点之间建立一条通路，隧 道传输路径对于经由该隧道转发的报文来说完全是透明的、不可见的。例如， GRE over IPv4/IPv6技术可以实现两个IPv4/IPv6网络跨IPv6网络互联， IPv4/IPv6报文入隧道后被封装为IPv6报文在IPv6网络中传输。被GRE隧 道封装的IPv4/IPv6报文在隧道传输路径上不会参与任何路由行为，隧道两 端的设备分别负责加封装和解封装，不会对入隧道的IPv4/IPv6报文进行任 何修改处理，而是完全作为乘客数据进行传输。IPv6隧道也与GRE隧道一 样，不会对入隧道的报文进行任何修改。