[发明专利]一种实现动态虚拟专用网络链路层通信的方法和装置

说明书

技术领域

本申请涉及通信技术领域，特别涉及一种实现动态虚拟专用网络链路层通信的方法和装置。

背景技术

越来越多的企业希望利用公共网络组建虚拟专用网络（Virtual Private Network，VPN），连接地理位置不同的多个分支机构。然而，企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端的公网地址，这就为组建VPN提出了一个难题。

动态虚拟专用网络（Dynamic Virtual Private Network，DVPN）技术可通过下一跳解析协议（Next Hop Resolution Protocol，NHRP）或者VPN地址管理（VPN Address Management，VAM）协议收集、维护和分发动态变化的公网地址等信息，解决了无法事先获得通信对端公网地址的问题。DVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。

DVPN把连接到公网上的各节点组成的网络看作VPN网络，公网作为VPN网络的链路层，DVPN隧道作为企业内部子网之间的虚通道，相当于网络层。企业各分支设备动态接入到公网中，其公网地址对于通信的另一端来说是未知的，而对于建立端到端的安全隧道，公网地址是必须的条件之一。DVPN通过VAM获取通信对端的公网地址。

VAM协议是DVPN方案的主要协议，负责收集、维护、分发公网地址等信息，帮助用户快捷、方便的建立起内部的安全隧道。企业内部子网之间转发的数据报文通过路由协议得到其私网下一跳，通过VAM协议查询到私网下一跳对应的公网地址，并利用该公网地址作为隧道的目的地址进行封装，最后交给已建立起的安全隧道发送到目的端用户。

参见图1，图1为DVPN示意图。图1中各VAM客户端已向VAM服务器注册，获得自身的身份为分支设备（Spoke）还是中心设备（Hub）。以PC1需要向PC2发送报文为例。Spoke1接收到PC1发送的报文时，需要先将报文封装为通用路由封装协议（Generic Routing Encapsulation，GRE）报文，再根据GRE报文的信息匹配对应的IPsec SA，如果匹配到，根据匹配到的IPsec SA封装GRE报文并发送给Spoke3；否则，触发Spoke1与Spoke3进行因特网密钥交换（Internet Key Exchange，IKE）协商，在IKE协商时，携带该GRE报文的信息，建立与该GRE报文的信息相匹配的IPsec SA。

其中，GRE报文的信息为源IP地址、目的IP地址和协议号。这里以GRE报文举例，如果是用户数据报协议（User Datagram Protocol，UDP）报文，还包括源端口号和目的端口号。

参见图2，图2为现有实现中Spoke1封装的IPsec报文的格式示意图。由图2中可见，Spoke1接收到的是一个源IP地址为192.168.0.1，目的IP地址为192.1.168.0.2的原始IP报文。Spoke1对该原始IP报文进行GRE封装，封装的源IP地址为21.1.1.1，目的IP地址为21.1.1.2，以及GRE头。Spoke1再将该GRE报文封装为一个IPsec报文。封装的IP头中的源IP地址为21.1.1.1，目的IP地址为21.1.1.2。

Spoke1将IPsec报文通过与Spoke3建立的隧道发送给Spoke3，Spoke3解除接收到的报文的IPsec封装，再解除GRE封装，根据解封装后的报文的目的IP地址将报文转发给PC2。

DVPN技术初衷是为了解决IPsec网关之间的互联问题，IPsec标准（RFC4301）中，在VPN网络的链路层只能进行IPsec+GRE，或IPsec+UDP链路层封装，即需要依靠其他网络协议如GRE协议和UDP协议才能实现DVPN链路层通信。

发明内容

有鉴于此，本申请提供一种实现动态虚拟专用网络链路层通信的方法和装置，能够直接使用IPsec协议作为DVPN的链路层，减小报文的大小，降低网络带宽消耗。

为解决上述技术问题，本发明的技术方案是这样实现的：

一种实现动态虚拟专用网络DVPN链路层通信的方法，所述方法包括：