[发明专利]使用手工密钥配置IPsec隧道穿越NAT的方法及装置

说明书

本发明提供一种使用手工密钥配置IPsec隧道穿越NAT的方法及装置，该方法基于一种新的IPsec封装协议，在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议，并封装对应的TLV控制头，通过使用基于IPsec封装的扩展协议，定义TLV，结合设计流程，保证在NAT场景下，使用手工配置的IPsec端点之间可以互通。

技术领域

本发明属于IP网络技术领域，具体涉及一种使用手工密钥配置IPsec隧道穿越NAT的方法。

背景技术

IETF定义的IPsec封装协议有两种，一种是AH，一种是ESP。这两种协议的封装模式又分为传输模式和隧道模式。其中，传输模式是基于原始的IP头做一次IPsec封装，隧道模式则封装了新的报文头，在实际的使用中，隧道模式用的较多。

在IPsec中，为了保证封装的安全性，其密钥是需要定期更换的，目前更换的手段有两种：一是通过手工配置(可以通过SDN控制器下发或自动化配置)；另一种是通过IKE重协商。其中IKE协商通过NAT-T、NAT-D等载荷可以实现NAT穿越，但手工配置没有对应的方法。

在当前的SD-WAN组网中，密钥可以通过SDN控制器下发，相当于是一种手工配置，其本身并未提供穿越NAT的方案，身处公网的Server侧无法配置身处私网侧的Client的IP，因此无法指导转发面的封装。

发明内容

针对上述现有技术中存在的问题，本发明通过使用基于IPsec封装的扩展协议，提供一种使用手工密钥配置IPsec隧道穿越NAT的方法，可以在存在NAT的网络中，实现通过手工配置密钥的IPsec端点的互通。

为了实现发明目的，本发明的技术方案如下，使用手工密钥配置IPsec隧道穿越NAT的方法，所述方法包括以下步骤：

步骤一，用户端Client和服务器端Server配置IPsec隧道的手工密钥，并配置相同的隧道身份信息；

步骤二，Client端启动定时器，定时发送IPsec控制报文，参照IKE模式下的NAT穿越方式，所述IPsec控制报文封装UDP头，端口号为4500；

步骤三，所述IPsec控制报文经过NAT设备转换后，到达Server端；Server端根据所述IPsec报文内的控制字段确认该报文为穿越检测NAT的控制报文，根据Value值查找本地隧道的IP，匹配后获取到隧道信息，并根据报文外层IP头和UDP端口获取NAT设备修改后的IP地址和UDP端口，把IP地址和UDP端口信息和隧道做关联，并根据这些信息指导后续的转发封装。

所述IPsec控制报文在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议，并封装对应的TLV控制头。

所述控制协议包括：

Next Header：下一个报文头；

Type＝2：指明是检测NAT穿越的控制报文，通过Type 2来实现检测NAT穿越；

Len＝4：指明Value长度为4字节；

Value：指明隧道的身份信息，Server端通过身份信息匹配本端的隧道配置。

IPsec封装协议中的ESP封装协议中，报文头中的下一个报文头指明是IPsec控制头，IPsec控制头中的下一个报文头指明原始报文信息。

在ESP封装协议的隧道模式中，所述控制协议添加到ESP头之后，原始IP头之前，在所述ESP头前封装UDP头。

节点，所述节点为IPsec隧道两端设备，包括用户端Client和服务器端Server；