[发明专利]一种IPsec隧道的建立方法和设备

说明书

本发明公开了一种IPsec隧道的建立方法和设备，该方法包括：中心设备获取各分支设备对应的第一数据流信息和各分支设备的身份信息，记录各第一数据流信息与各身份信息之间的对应关系；中心设备接收来自分支设备的第二数据流信息，利用分支设备的身份信息查询对应关系，得到身份信息对应的第一数据流信息；当第一数据流信息与第二数据流信息不同时，中心设备确定第一数据流信息为分支设备使用的数据流信息，向分支设备发送第二数据流信息，分支设备利用第二数据流信息与中心设备建立IPsec隧道。本发明实施例中，对于数据流信息配置冲突的分支设备，中心设备能够根据正确的数据流信息与分支设备建立IPsec隧道，避免配置冲突带来的网络中断。

技术领域

本发明涉及通信技术领域，尤其涉及一种IPsec隧道的建立方法和设备。

背景技术

IPsec(IP Security，IP安全)是三层隧道加密协议，为互联网上传输的数据提供高质量的基于密码学的安全保证，是一种实现三层VPN(Virtual Private Network，虚拟专用网络)的安全技术。IPsec通过在通信方之间建立IPsec隧道，来保护通信方之间传输的数据。IPsec提供了两大安全机制：认证和加密。认证机制使数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性。

如图1所示，在大型的IPsec VPN网络中，包括中心设备和多个分支设备，通过在中心设备与分支设备之间建立IPsec隧道，来保护中心设备与分支设备之间传输的数据。进一步的，为了对分支设备对应的私网数据进行IPsec保护，通常在中心设备上指定需要保护的该分支设备的数据流信息，只有匹配该数据流信息的私网数据才能够进行IPsec保护。例如，在中心设备上指定分支设备1的数据流信息1和分支设备2的数据流信息2，对于匹配到数据流信息1的私网数据或者匹配到数据流信息2的私网数据，中心设备会进行IPsec保护。

由于多个分支设备可能属于不同的设备厂商，因此，各分支设备分别向中心设备通知的各分支设备的数据流信息，可能存在错误配置的情况(如各分支设备的数据流信息相同或者存在交集)。例如，分支设备1的数据流信息1为192.168.1.1/24～192.168.1.10/24，分支设备2的数据流信息2为192.168.2.1/16～192.168.2.10/16，分支设备2的数据流信息2包含分支设备1的数据流信息1。

基于此，中心设备在分别与分支设备1和分支设备2建立IPsec隧道之后，由于分支设备2的数据流信息2包含了分支设备1的数据流信息1，因此，会导致中心设备将需要发送给分支设备1的私网数据错误的发送给分支设备2。

发明内容

本发明实施例提供一种IP安全IPsec隧道的建立方法，该方法应用于包括中心设备和多个分支设备的网络中，所述方法包括以下步骤：

所述中心设备获取各分支设备对应的第一数据流信息和所述各分支设备的身份信息，并记录各第一数据流信息与各身份信息之间的对应关系；

所述中心设备接收来自分支设备的第二数据流信息，利用所述分支设备的身份信息查询所述对应关系，得到所述身份信息对应的第一数据流信息；

当第一数据流信息与第二数据流信息相同时，所述中心设备确定第一数据流信息为分支设备使用的数据流信息，并向分支设备发送第一数据流信息，以使所述分支设备利用所述第一数据流信息与中心设备建立IPsec隧道；

当第一数据流信息与第二数据流信息不同时，所述中心设备确定第一数据流信息为分支设备使用的数据流信息，并向分支设备发送第二数据流信息，以使分支设备利用第二数据流信息与中心设备建立IPsec隧道；或者，向分支设备发送第一数据流信息，以使分支设备将自身维护的第二数据流信息修改为第一数据流信息，并利用第一数据流信息与中心设备建立IPsec隧道。