[发明专利]一种网络中传输业务的方法和设备

权利要求书

1.一种网络中传输业务的方法，其特征在于，所述方法包括：

第一网络设备接收第一业务流的第一业务报文；

响应于接收到所述第一业务报文，所述第一网络设备建立和所述第二网络设备之间直连的第一IPSec隧道；

所述第一网络设备接收所述第一业务流的第二业务报文；

所述第一网络设备通过所述第一IPSec隧道向所述第二网络设备发送所述第二业务报文。

2.根据权利要求1所述的方法，其特征在于，所述第一网络设备建立和所述第二网络设备之间直连的第一IPSec隧道，包括：

所述第一网络设备向控制器发送第一消息，所述第一消息用于请求在所述第一网络设备和所述第二网络设备之间建立所述直连的第一IPSec隧道；

所述第一网络设备接收所述控制器发送的第二消息，所述第二消息中携带所述第二网络设备的第二IPSec SA参数信息；

所述第一网络设备基于自身保存的第一IPSec SA参数信息和所述第二IPSec SA参数信息，确定第一IPSec SA和第二IPSec SA，所述第一IPSec SA用于对从所述第一网络设备到所述第二网络设备传输的报文进行安全保护，所述第二IPSec SA用于对从所述第二网络设备到所述第一网络设备传输的报文进行安全保护；

所述第一网络设备基于所述第一IPSec SA和所述第二IPSec SA，建立所述第一IPSec隧道。

3.根据权利要求2所述的方法，其特征在于，所述第一消息和所述第二消息均属于边界网关协议更新BGP UPDATE消息。

4.根据权利要求2或3所述的方法，其特征在于，所述第二消息包括网络层可达信息NLRI字段，所述NLRI字段包括隧道类型Tunnel Type字段，终点地址endpoint address字段和所述第二IPSec SA参数信息，其中，所述Tunnel Type字段指示隧道的类型为IPSec隧道，所述endpoint address字段用于携带所述第二网络设备的IP地址。

5.根据权利要求1-4任一项所述的方法，其特征在于，在所述第一网络设备建立和所述第二网络设备之间直连的第一IPSec隧道之前，所述方法还包括：

所述第一网络设备通过第三网络设备向所述第二网络设备发送所述第一业务报文，其中，所述第三网络设备为中心Hub节点，所述第一网络设备与所述第三网络设备之间通过第二IPsec隧道直连，所述第二网络设备通过第三IPsec隧道与所述第三网络设备直连。

6.根据权利要求1所述的方法，其特征在于，所述第一网络设备建立和所述第二网络设备之间直连的第一IPSec隧道，包括：

所述第一网络设备通过第三网络设备向所述第二网络设备发送第三业务报文，所述第三业务报文携带第一IPSec SA参数信息，所述第一IPSec SA参数信息用于确定第一IPSecSA，所述第一IPSec SA用于对从所述第一网络设备到所述第二网络设备传输的报文进行安全保护；其中，所述第一网络设备通过第二IPsec隧道与所述第三网络设备直连，所述第二网络设备通过第三IPsec隧道与所述第三网络设备直连；

所述第一网络设备通过所述第三网络设备接收所述第二网络设备发送的第四业务报文，所述第四业务报文携带第二IPSec SA参数信息，所述第二IPSec SA参数信息用于确定第二IPSec SA，所述第二IPSec SA用于对从所述第二网络设备到所述第一网络设备传输的报文进行安全保护；

所述第一网络设备基于所述第一IPSec SA参数信息和所述第二IPSec SA参数信息，确定所述第一IPSec SA和所述第二IPSec SA；

所述第一网络设备基于所述第一IPSec SA和所述第二IPSec SA，建立所述第一IPSec隧道。

7.根据权利要求6所述的方法，其特征在于，

所述第三业务报文通过扩展的第一报文头携带所述第一IPSec SA参数信息；

所述第四业务报文包括扩展的第二报文头，所述扩展的第二报文头携带所述第二IPSec SA参数信息。