[发明专利]一种通用路由封装键值的管理方法及设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种通用路由封装键值(Generic Routing Encapsulation Key，GRE Key)的管理方法。本发明同时还涉及一种虚拟专用网络地址管理(VPN Address Management，VAM)服务器。

背景技术

越来越多的企业希望利用公共网络组建VPN(Virtual Private Network，虚拟专用网络)，连接地理位置不同的多个分支机构。然而，企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端的公网地址。这就为组建VPN提出了一个难题。目前，ADVPN(Auto Discovery Virtual Private Network，自动发现虚拟私有网络)通过VAM协议收集、维护和分发动态变化的公网地址等信息，解决了无法事先获得通信对端公网地址的问题。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。

对于ADVPN来说，其具有两种典型的组网方式：Hub-Spoke组网和Full-Mesh组网。如图1所示，为Hub-Spoke组网结构示意图，其中Hub1和Hub2为企业总部的网关设备，Spoke1和Spoke2为企业分支的网关设备。该Hub-Spoke组网方式下，Spoke和Hub建立永久隧道(Tunnel)连接，例如，Hub1与Spoke1建立Tunnel1，Hub2与Spoke2建立Tunnel1；Spoke和Spoke之间不直接建立隧道连接，这样，所有数据报文通过Spoke-Hub隧道进行转发。

如图2所示，为Full-Mesh组网结构示意图，在Full-Mesh组网方式下，所有的ADVPN节点(即Spoke和Hub)之间都可以建立隧道链接，Spoke与Hub之间建立永久隧道连接，例如，Hub1与Spoke1建立永久隧道连接；同一个域内任意两个Spoke间建立动态隧道连接，例如，Spoke1和Spoke2建立动态隧道连接，这样，数据报文通过Spoke-Spoke隧道发送到ADVPN对端节点；在Spoke-Hub隧道建立前，数据报文通过Spoke-Hub隧道转发。

对于ADVPN来说，通常依靠动态路由协议进行路由学习，例如IBGP，EBGP和OSPF等路由协议。由于受路由协议邻居的限制，往往需要建立如图3所示的大规模组网，在大规模组网中，通常存在大量的ADVPN节点，为了减轻Hub的负担，将ADVPN划分为若干个Hub组，每个Hub组又可以包括若干组Hub和Spoke，这样，一个Hub组内的Spoke只与本组的Hub建立隧道，不与其他Hub组的Hub建立隧道。

一般来说，上述大规模组网具有如下特点：

(1)VAM服务器给属于同一组的Spoke分配Hub。

(2)同一Hub组中Hub没有个数限制，该Hub组中的Spoke和该Hub组中的所有Hub建立隧道，该Hub组中的所有Hub之间建立Mesh的隧道。

(3)同Hub组内的Mesh网络或Hub-spoke网络依靠本组内的动态路由协议。

(4)不同Hub组内的Spoke依靠动态路由协议通过Hub进行交互；不同Hub组的Spoke需要建立Spoke to Spoke的直连隧道。

(5)ADVPN节点的隧道封装类型有GRE隧道封装和UDP(User Datagram Protocol，用户数据报协议)隧道封装两种类型。

在大规模组网中，如果ADVPN节点的隧道封装类型为GRE隧道封装时，由于不同Hub可能分别存在于多个不同的Hub组，那么，需要为每个Hub创建多条Tunnel，以保证控制报文和数据报文的正确转发。例如，Hub1和Hub2同时存在于Hub组1(Group1)和Hub组3(Group3)中，Hub3同时存在于Hub组2(Group2)和Hub组3(Group3)中，这就需要管理员手工为Hub1的两条隧道Tunnel1和Tunnel2配置不同的GRE Key，并且与Hub1处于同一Hub组的设备也需要配置相同的GRE Key。

从以上描述可以看出，必须为每个节点配置GRE Key才能避免流量转发出错，而目前这些操作都需要人工手动完成，当存在大量ADVPN节点时，管理员配置工作量会很大。同时，如果有新加入的ADVPN节点和原有ADVPN网络节点通信，还需要管理员手工为新加入的ADVPN节点配置相应的GRE Key。这样不仅耗费人力、效率低下，而且很容易出现配置错误，从而导致流量转发受到影响。

发明内容