[发明专利]隧道转发方法、装置及网络设备

说明书

技术领域

本发明涉及数据通信技术，尤其涉及一种隧道转发方法、装置及网络设备。

背景技术

动态主机配置协议（Dynamic Host Configuration Protocol，简称为DHCP）主要用于内部网络有效的、动态的、自动的分配网际协议（Internet Protocol，简称为IP）地址。因特网安全协议（Internet Protocol Security，简称为IPsec）用于在IP层提供安全服务，用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

基于IPsec的DHCP（DHCP over IPSec）是用IPSec报文承载DHCP报文，DHCP报文被IPSec加密和封装，防止其在传输过程中被窃取、篡改而造成内部网络结构部署被泄露。DHCP over IPSec的原理包括：DHCP客户端和安全网关（security gateway）建立IPSec DHCP隧道（简称为DHCP隧道），DHCP客户端的IP地址通过DHCP动态获取，该过程中DHCP客户端的DHCP报文通过DHCP隧道传输到安全网关，安全网关转发DHCP报文到DHCP服务器，DHCP服务器响应DHCP报文并向安全网关返回DHCP响应报文，安全网关通过DHCP隧道将DHCP响应报文返回给DHCP客户端。

在实际应用中，多个DHCP客户端可能会在同一时间段内同时与安全网关建立DHCP隧道。由于IPSec是基于感兴趣流查找DHCP隧道的，安全网关上的感兴趣流实际上都是IP是任意到任意，目的端口是固定端口的访问控制列表（Access Control List，简称为ACL），例如IP：Any to Any,destination:UDP port 68（该感兴趣流的意思是：可以匹配IP是任意到任意，目的端口为68的UDP报文），所以当安全网关同时和多个客户端建立DHCP隧道时，安全网关就无法正确选择隧道来封装DHCP服务器返回的DHCP响应报文，从而无法成功将DHCP服务器返回的DHCP响应报文转发给DHCP客户端。

发明内容

本发明提供一种隧道转发方法、装置及网络设备，用以在安全网关同时与多个DHCP客户端建立起DHCP隧道的情况下，成功转发DHCP服务器与DHCP客户端之间的报文。

本发明第一方面提供一种隧道转发方法，包括：

当与多个动态主机配置协议DHCP客户端建立起DHCP隧道时，按照激活策略每次激活其中一条DHCP隧道，并设置其它DHCP隧道的状态为暂定状态；

使用处于激活状态的DHCP隧道转发所述处于激活状态的DHCP隧道对应的DHCP客户端与DHCP服务器之间的DHCP报文。

本发明第二方面提供一种隧道转发装置，包括：

隧道激活模块，用于当与多个动态主机配置协议DHCP客户端建立起DHCP隧道时，按照激活策略每次激活其中一条DHCP隧道，并设置其它DHCP隧道的状态为暂定状态；

报文转发模块，用于使用处于激活状态的DHCP隧道转发所述处于激活状态的DHCP隧道对应的DHCP客户端与DHCP服务器之间的DHCP报文。

本发明第三方面提供一种网络设备，包括：本发明提供的任一隧道转发装置。

本发明提供的隧道转发方法、装置及网络设备，当与多个DHCP客户端建立起DHCP隧道时，按照激活策略每次激活其中一条DHCP隧道，并使其它DHCP隧道处于暂定状态，然后使用处于激活状态的隧道转发该隧道对应的DHCP客户端与DHCP服务器之间的DHCP报文，由此可见，本发明在与多个DHCP客户端建立起DHCP隧道的情况下，通过每次激活一条DHCP隧道成功解决了DHCP服务器与DHCP客户端之间报文的转发问题。

附图说明

图1为本发明一实施例提供的隧道转发方法的流程图；

图2为本发明另一实施例提供的隧道转发方法的流程图；

图3为本发明一实施例提供的隧道转发网络的一种拓扑示意图；

图4为本发明又一实施例提供的隧道转发方法的流程图；

图5为本发明一实施例提供的隧道转发装置的结构示意图；

图6为本发明另一实施例提供的隧道转发装置的结构示意图。

具体实施方式

图1为本发明一实施例提供的隧道转发方法的流程图。如图1所示，本实施例的方法包括：