[发明专利]建立互联网协议安全性隧道的方法和网关设备

权利要求书

1.一种建立互联网协议安全性IPsec隧道的方法，其特征在于，包括：

网关设备根据IPsec配置信息中包含的IPsec隧道目的地址，在路由表中查找得到目的地址为所述IPsec隧道目的地址的第一路由，所述IPsec隧道目的地址为对端设备的互联网协议IP地址；

所述网关设备在所述路由表中查找得到与所述第一路由相对应的所述网关设备上的第一出接口；

所述网关设备根据所述第一出接口的IP地址和所述IPsec隧道目的地址，建立以所述第一出接口的IP地址为源地址，以所述IPsec隧道目的地址为目的地址的第一通用路由协议封装GRE隧道；

所述网关设备通过所述第一GRE隧道，将所述IPsec隧道配置信息中包含的IPsec隧道源地址发布给所述对端设备，所述IPsec隧道源地址为所述网关设备的IP地址，所述网关设备的IP地址与所述第一出接口的IP地址不同；

所述网关设备与所述对端设备通过所述第一GRE隧道建立以所述IPsec隧道源地址为源地址，以所述IPsec隧道目的地址为目的地址的IPsec隧道。

2.根据权利要求1所述的方法，其特征在于，所述IPsec隧道配置信息中还包含地址池；

其中，所述网关设备通过所述第一GRE隧道，将所述IPsec隧道配置信息中包括的IPsec隧道源地址发布给所述对端设备，包括：

所述网关设备从所述地址池中，选择一个地址作为所述第一GRE隧道的逻辑接口的IP地址；

所述网关设备在所述第一GRE隧道的逻辑接口上使能路由协议，向所述对端设备发布一条目的地址为所述IPsec隧道源地址，且下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述网关设备检测到第二路由，所述第二路由为新增加的且目的地址为所述IPsec隧道目的地址的路由；

所述网关设备在所述路由表中查找得到与所述第二路由相对应的所述网关设备上的第二出接口；

所述网关设备根据所述第二出接口的IP地址和所述IPsec隧道目的地址，建立以所述第二出接口的IP地址为源地址，以所述IPsec隧道目的地址为目的地址的第二GRE隧道；

所述网关设备通过所述第二GRE隧道，将所述IPsec隧道源地址发布给所述对端设备；所述网关设备与所述对端设备通过所述第二GRE隧道建立以所述IPsec隧道源地址为源地址，以所述IPsec隧道目的地址为目的地址的IPsec隧道。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述网关设备检测到所述第一路由被删除；

所述网关设备删除所述第一GRE隧道。

5.根据权利要求4所述的方法，其特征在于，所述网关设备检测到所述第一路由被删除之后，所述方法还包括：

所述网关设备通知所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由。

6.根据权利要求5所述的方法，其特征在于，所述网关设备通知所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由，包括：

所述网关设备在删除所述第一GRE隧道之前，在所述第一GRE隧道的逻辑接口上，向所述对端设备发送一条路由删除消息，所述路由删除消息用于指示所述对端设备删除一条目的地址为所述IPsec隧道源地址，下一跳为所述第一GRE隧道的逻辑接口的IP地址的路由。