[发明专利]使用手工密钥配置IPsec隧道穿越NAT的方法及装置

权利要求书

1.使用手工密钥配置IPsec隧道穿越NAT的方法，其特征在于，所述方法包括以下步骤：

步骤一，用户端Client和服务器端Server配置IPsec隧道的手工密钥，并配置相同的隧道身份信息；

步骤二，Client端启动定时器，定时发送IPsec控制报文，参照IKE模式下的NAT穿越方式，所述IPsec控制报文封装UDP头，端口号为4500；

步骤三，所述IPsec控制报文经过NAT设备转换后，到达Server端；Server端根据所述IPsec控制 报文内的控制字段确认该报文为穿越检测NAT的控制报文，根据Value值查找本地隧道的IP地址，匹配后获取到隧道信息，并根据报文外层IP头和UDP端口获取NAT设备修改后的IP地址和UDP端口，把IP地址和UDP端口信息和隧道做关联，并根据这些信息指导后续的转发封装。

2.根据权利要求1所述的使用手工密钥配置IPsec隧道穿越NAT的方法，其特征在于，所述IPsec控制报文在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议，并封装对应的TLV控制头。

3.根据权利要求2所述的使用手工密钥配置IPsec隧道穿越NAT的方法，其特征在于，所述控制协议包括：

Next Header；

Type = 2：指明是检测NAT穿越的控制报文；

Len = 4：指明Value长度为4字节；

Value：指明隧道的身份信息，Server端通过身份信息匹配本端的隧道配置。

4.根据权利要求2所述的使用手工密钥配置IPsec隧道穿越NAT的方法，其特征在于，IPsec封装协议中的ESP封装协议中，报文头中的下一个报文头指明是IPsec控制头，IPsec控制头中的下一个报文头指明原始报文信息。

5.根据权利要求4所述的使用手工密钥配置IPsec隧道穿越NAT的方法，其特征在于，在ESP封装协议的隧道模式中，所述控制协议添加到ESP头之后，原始IP头之前，在所述ESP头前封装UDP头。

6.使用手工密钥配置IPsec隧道穿越NAT的装置，其特征在于，所述装置包括：

节点，所述节点为IPsec隧道两端设备，包括用户端Client和服务器端Server；

Server端根据IPsec控制 报文内的控制字段确认该报文为穿越检测NAT的控制报文，根据Value值查找本地隧道的IP，匹配后获取到隧道信息，并根据报文外层IP头和UDP端口获取NAT设备修改后的IP地址和UDP端口，把IP地址和UDP端口信息和隧道做关联，并根据这些信息指导后续的转发封装；

SDN控制器，所述SDN控制器下发IPsec密钥信息，所述SDN控制器为Client端和Server端手动配置IPsec隧道密钥，并配置相同的隧道身份信息；

定时器模块，所述定时器模块部署在Client端内，用于定时发送IPsec控制报文；

NAT设备，所述NAT设备用于转换报文。

7.根据权利要求6所述的使用手工密钥配置IPsec隧道穿越NAT的装置，其特征在于，所述控制报文在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议，并封装对应的TLV控制头。

8.根据权利要求7所述的使用手工密钥配置IPsec隧道穿越NAT的装置，其特征在于，所述控制协议包括：

Next Header；

Type = 2：指明是检测NAT穿越的控制报文；

Len = 4：指明Value长度为4字节；

Value：指明隧道的身份信息，Server端通过身份信息匹配本端的隧道配置。

9.根据权利要求8所述的使用手工密钥配置IPsec隧道穿越NAT的装置，其特征在于，在ESP封装协议的隧道模式中，所述控制协议添加到ESP头之后，原始IP头之前，在所述ESP头前封装UDP头，端口号为4500。