本申請涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域：
，特別涉及一種基于ikev2確定保護網(wǎng)段的方法和裝置。
背景技術(shù)：
：當(dāng)在網(wǎng)絡(luò)上建立vpn(virtualprivatenetwork，虛擬專用網(wǎng))時，通常可以采用ipsec(internetprotocolsecurity，網(wǎng)絡(luò)協(xié)議安全性)協(xié)議。其中，所述ipsec協(xié)議，是一種開放標準的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在ip網(wǎng)絡(luò)上進行保密而安全的通訊。ipsec協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于ip網(wǎng)絡(luò)層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括ah(authenticationheader，驗證頭)協(xié)議、esp(encapsulatingsecuritypayload，封裝安全載荷)協(xié)議、ike(internetkeyexchange，網(wǎng)絡(luò)密鑰交換)協(xié)議和用于網(wǎng)絡(luò)認證及加密的一些算法等。其中，所述ike協(xié)議為一種密鑰管理協(xié)議。所述ike協(xié)議的主要用于vpn設(shè)備雙方的協(xié)商過程。ike的協(xié)商過程包括兩個協(xié)商階段。第一協(xié)商階段用于協(xié)商vpn設(shè)備雙方公共的用于保護第二協(xié)商階段的密鑰，第二協(xié)商階段用于協(xié)商保護數(shù)據(jù)的密鑰及保護網(wǎng)段。上述保護網(wǎng)段為ipsec需要加密的報文集合。如果vpn設(shè)備接收到ip報文，可以將該ip報文的源ip和目的ip等信息匹配所述保護網(wǎng)段。如果匹配中所述保護網(wǎng)段，可以對該ip報文進行加密。其中，兩端的vpn設(shè)備通過ike第二協(xié)商階段的協(xié)商報文中攜帶的兩端的ts載荷來確定保護網(wǎng)段。所述ts載荷包括私網(wǎng)網(wǎng)段的個數(shù)，具體的私網(wǎng)網(wǎng)段等。當(dāng)vpn設(shè)備接收到第二協(xié)商階段的協(xié)商報文時，可以從兩端的ts載荷中獲取到兩端的私網(wǎng)網(wǎng)段，然后建立本端的各私網(wǎng)網(wǎng)段與對端的各私網(wǎng)網(wǎng)段之間互訪關(guān)系，所述互訪關(guān)系即為保護網(wǎng)段。然而，只有當(dāng)兩端的vpn設(shè)備的各私網(wǎng)網(wǎng)段之間均能互相訪問時，才能通過上述第二協(xié)商階段中的一個協(xié)商報文確定保護網(wǎng)段。當(dāng)各私網(wǎng)網(wǎng)段之間不是均能互相訪問時，需要增加協(xié)商報文的數(shù)量才能確定保護網(wǎng)段。技術(shù)實現(xiàn)要素：有鑒于此，本申請?zhí)峁┮环N基于ikev2確定保護網(wǎng)段的方法和裝置，應(yīng)用于vpn設(shè)備，采用本申請?zhí)峁┑募夹g(shù)方法，無論兩端的vpn設(shè)備的各私網(wǎng)網(wǎng)段之間是否均能互相訪問，均只需要一個協(xié)商報文就能確定保護網(wǎng)段，從而可以加快完成所述ikev2第二協(xié)商階段協(xié)商的速度。具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：一種基于ikev2確定保護網(wǎng)段的方法，應(yīng)用于vpn設(shè)備，其中，所述vpn設(shè)備上預(yù)先配置了本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及，本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，包括：接收對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文；判斷所述協(xié)商報文中是否攜帶了預(yù)設(shè)標記；其中，所述預(yù)設(shè)標記用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系；當(dāng)攜帶所述預(yù)設(shè)標記時，本端網(wǎng)段和與本端網(wǎng)段存在互訪關(guān)系的對端網(wǎng)段分別在所述tsi載荷和所述tsr載荷中關(guān)聯(lián)存儲；如果攜帶了所述預(yù)設(shè)標記，讀取tsi載荷和tsr載荷中關(guān)聯(lián)存儲的網(wǎng)段，并基于讀取到的關(guān)聯(lián)存儲的網(wǎng)段確定保護網(wǎng)段。一種基于ikev2確定保護網(wǎng)段的裝置，應(yīng)用于vpn設(shè)備，其中，所述vpn設(shè)備上預(yù)先配置了本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及，本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，包括：接收單元，用于接收對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文；判斷單元，用于判斷所述協(xié)商報文中是否攜帶了預(yù)設(shè)標記；其中，所述預(yù)設(shè)標記用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系；當(dāng)攜帶所述預(yù)設(shè)標記時，本端網(wǎng)段和與本端網(wǎng)段存在互訪關(guān)系的對端網(wǎng)段分別在所述tsi載荷和所述tsr載荷中關(guān)聯(lián)存儲；確定單元，用于如果攜帶了所述預(yù)設(shè)標記，讀取tsi載荷和tsr載荷中關(guān)聯(lián)存儲的網(wǎng)段，并基于讀取到的關(guān)聯(lián)存儲的網(wǎng)段確定保護網(wǎng)段。由于本端vpn設(shè)備接收到對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文后，可以判斷所述協(xié)商報文中是否攜帶了用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的標記。如果所述協(xié)商報文中攜帶了所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段和tsr載荷中與本端網(wǎng)段關(guān)聯(lián)存儲的對端網(wǎng)段進行兩兩組合以確定保護網(wǎng)段。如果所述協(xié)商報文中未攜帶所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段與tsr載荷中的對端網(wǎng)段依次進行兩兩交叉組合以確定保護網(wǎng)段。因此，采用本申請?zhí)峁┑募夹g(shù)方法，無論本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間是否均互訪，本端vpn設(shè)備和對端vpn設(shè)備之間只需要一次ikev2第二協(xié)商階段的協(xié)商就可以確定保護網(wǎng)段。從而，加快了完成所述ikev2第二協(xié)商階段協(xié)商的速度。附圖說明圖1為本申請實施例示例性示出的一種vpn組網(wǎng)示意圖；圖2為本申請實施例示出的ts載荷的格式示意圖；圖3為本申請實施例示例性示出的一種基于ikev2確定保護網(wǎng)段的方法流程圖；圖4為本申請一種基于ikev2確定保護網(wǎng)段的裝置所在vpn設(shè)備的一種硬件結(jié)構(gòu)圖；圖5為本申請實施例示例性示出的一種基于ikev2確定保護網(wǎng)段的裝置。具體實施方式這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。請參見圖1，圖1為本申請實施例示例性示出的一種vpn組網(wǎng)示意圖。在相關(guān)技術(shù)中，通過ikev2第二協(xié)商階段的協(xié)商確定保護網(wǎng)段的具體過程如下：在ikev2第二協(xié)商階段的協(xié)商過程中，兩端的vpn設(shè)備通過向?qū)Χ藇pn設(shè)備發(fā)送所述第二階段的協(xié)商報文確定保護網(wǎng)段。在該協(xié)商過程中，其中一端vpn設(shè)備為發(fā)起方，另一端vpn設(shè)備為響應(yīng)方。如果兩端的vpn設(shè)備進行ikev2第二協(xié)商階段的協(xié)商，發(fā)起方向響應(yīng)方發(fā)送協(xié)商報文，其中該協(xié)商報文的內(nèi)容包括hdr，sk{sa，[kei，]ni，tsi，tsr}。如果響應(yīng)方接收到發(fā)起方發(fā)送的協(xié)商報文，響應(yīng)方將響應(yīng)于發(fā)起方發(fā)送的協(xié)商報文，向發(fā)起方發(fā)送協(xié)商報文，該協(xié)商報文的內(nèi)容包括：hdr，sk{sa，[ker，]nr，tsi，tsr}。其中，所述hdr為協(xié)商報文的報文頭部，sk{}表示括號內(nèi)部的數(shù)據(jù)被加密。kei和ker分別為發(fā)起方和響應(yīng)方的ke載荷，ni和nr為隨機數(shù)，tsi和tsr分別為發(fā)起方和響應(yīng)方的ts載荷，所述ts載荷包括網(wǎng)段信息。在發(fā)起方接收到響應(yīng)方返回的協(xié)商報文后，發(fā)起方將從該協(xié)商報文中獲取發(fā)起方的ts載荷tsi和響應(yīng)方的ts載荷tsr。其中，發(fā)起方接收到響應(yīng)方返回的協(xié)商報文中的tsi和tsr中的網(wǎng)段信息為用戶在響應(yīng)方的vpn設(shè)備上預(yù)先配置的。需要說明的是，用戶在發(fā)起方的vpn設(shè)備上預(yù)先配置網(wǎng)段信息的過程，與用戶在響應(yīng)方的vpn設(shè)備上預(yù)先配置網(wǎng)段信息的過程是互相獨立的。通常，用戶在發(fā)起方的vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，與用戶在響應(yīng)方的vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系是相同的，當(dāng)然，也可能是不相同的。請參見圖2，圖2為本申請實施例示出的ts載荷的格式示意圖。其中，圖2所示的ts載荷中包括nextpayload、reserved-1、payloadlength、numberofts、reserved-2、trafficselectors。其中，所述nextpayload、reserved-1、payloadlength為ikev2消息報文的通用頭部，在這里不在對所述nextpayload、reserved-1、payloadlength進行描述，詳細內(nèi)容請參考相關(guān)技術(shù)內(nèi)容。所述numberofts表示該ts載荷中包含的網(wǎng)段個數(shù)。所述reserved-2為保留字段，ikev2協(xié)議要求發(fā)送方需要將該保留字段置零，響應(yīng)方忽略該保留字段的值。所述trafficselectors為該ts載荷中包含的網(wǎng)段具體信息，其中，每個網(wǎng)段的具體格式在這里不再進行描述，請參考相關(guān)技術(shù)內(nèi)容。發(fā)起方從響應(yīng)方返回的協(xié)商報文中獲取到tsi和tsr后，發(fā)起方將從tsi和tsr中分別獲取trafficselectors中的網(wǎng)段信息，然后確定保護網(wǎng)段。例如，vpn設(shè)備a為發(fā)起方，vpn設(shè)備b為響應(yīng)方，vpn設(shè)備a接收到vpn設(shè)備b返回的協(xié)商報文中的tsi中的網(wǎng)段信息為私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，tsr中的網(wǎng)段信息為私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4，vpn設(shè)備a可以初步確定的保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段4、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段4。然而，如圖1所示，vpn設(shè)備a側(cè)有私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，vpn設(shè)備b側(cè)有私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4。vpn設(shè)備a側(cè)的私網(wǎng)網(wǎng)段和vpn設(shè)備b側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系存在以下幾種情況：1)vpn設(shè)備a側(cè)的各私網(wǎng)網(wǎng)段與vpn設(shè)備b側(cè)的各私網(wǎng)網(wǎng)段之間均可以互相訪問，那么vpn設(shè)備a和vpn設(shè)備b通過ikev2第二協(xié)商階段的協(xié)商后，vpn設(shè)備a和vpn設(shè)備b需要確定的保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段4、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段4。2)vpn設(shè)備a側(cè)的私網(wǎng)網(wǎng)段與vpn設(shè)備b側(cè)的私網(wǎng)網(wǎng)段只能一對一訪問。比如，只允許私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段3之間進行互訪，以及只允許私網(wǎng)網(wǎng)段2和私網(wǎng)網(wǎng)段4之間進行互訪，那么vpn設(shè)備a和vpn設(shè)備b通過ikev2第二協(xié)商階段的協(xié)商后，vpn設(shè)備a和vpn設(shè)備b需要確定的保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段4。3)vpn設(shè)備a側(cè)的私網(wǎng)網(wǎng)段與vpn設(shè)備b側(cè)的私網(wǎng)網(wǎng)段，既存在一對多訪問又存在一對一訪問。比如，私網(wǎng)網(wǎng)段1均能訪問私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4，,私網(wǎng)網(wǎng)段2只能訪問私網(wǎng)網(wǎng)段3，那么vpn設(shè)備a和vpn設(shè)備b通過ikev2第二協(xié)商階段的協(xié)商后，vpn設(shè)備a和vpn設(shè)備b需要確定的保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段4、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段3。通過上述ikev2第二協(xié)商階段的協(xié)商確定保護網(wǎng)段的具體過程可見，如果發(fā)起方側(cè)的各個私網(wǎng)網(wǎng)段與響應(yīng)方側(cè)的各個私網(wǎng)網(wǎng)段均互相訪問，那么發(fā)起方和響應(yīng)方只需要向?qū)Ψ桨l(fā)送一個ikev2第二協(xié)商階段的協(xié)商報文即可，即上述1)所示的情況。如果發(fā)起方側(cè)的部分私網(wǎng)網(wǎng)段無法與響應(yīng)方側(cè)的部分私網(wǎng)網(wǎng)段互相訪問，那么發(fā)起方與響應(yīng)方之間需要增加ikev2第二協(xié)商階段的協(xié)商報文才能確定保護網(wǎng)段，即上述2)、3)所示的情況。如果是上述2)所述的情況，那么發(fā)起方與響應(yīng)方各需要增加一個第二協(xié)商階段的協(xié)商報文，即發(fā)起方和響應(yīng)方之間需要多增加一次ikev2第二協(xié)商階段的協(xié)商過程。在第一次ikev2第二協(xié)商階段的協(xié)商過程，發(fā)起方向響應(yīng)方發(fā)送的協(xié)商報文中，tsi的網(wǎng)段信息為私網(wǎng)網(wǎng)段1，tsr的網(wǎng)段信息為私網(wǎng)網(wǎng)段3，響應(yīng)方返回至發(fā)起方的協(xié)商報文中的tsi的網(wǎng)段信息也為私網(wǎng)網(wǎng)段1，tsr的網(wǎng)段信息也為私網(wǎng)網(wǎng)段3。在第二次ikev2第二協(xié)商階段的協(xié)商過程，發(fā)起方向響應(yīng)方發(fā)送的協(xié)商報文中，tsi的網(wǎng)段信息為私網(wǎng)網(wǎng)段2，tsr的網(wǎng)段信息為私網(wǎng)網(wǎng)段4，響應(yīng)方返回至發(fā)起方的協(xié)商報文中的tsi的網(wǎng)段信息也為私網(wǎng)網(wǎng)段2，tsr的網(wǎng)段信息也為私網(wǎng)網(wǎng)段4。如果是上述3)所述的情況，那么發(fā)起方與響應(yīng)方也各需要增加一個第二協(xié)商階段的協(xié)商報文，即發(fā)起方和響應(yīng)方之間需要多增加一次ikev2第二協(xié)商階段的協(xié)商過程。在第一次ikev2第二協(xié)商階段的協(xié)商過程，發(fā)起方向響應(yīng)方發(fā)送的協(xié)商報文中，tsi的網(wǎng)段信息為私網(wǎng)網(wǎng)段1，tsr的網(wǎng)段信息為私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4，響應(yīng)方返回至發(fā)起方的協(xié)商報文中的tsi的網(wǎng)段信息也為私網(wǎng)網(wǎng)段1，tsr的網(wǎng)段信息也為私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4。在第二次ikev2第二協(xié)商階段的協(xié)商過程，發(fā)起方向響應(yīng)方發(fā)送的協(xié)商報文中，tsi的網(wǎng)段信息為私網(wǎng)網(wǎng)段2，tsr的網(wǎng)段信息為私網(wǎng)網(wǎng)段3，響應(yīng)方返回至發(fā)起方的協(xié)商報文中的tsi的網(wǎng)段信息也為私網(wǎng)網(wǎng)段2，tsr的網(wǎng)段信息也為私網(wǎng)網(wǎng)段3。如果需要多次ikev2第二協(xié)商階段的協(xié)商過程才能確定保護網(wǎng)段，那么會降低完成ikev2第二協(xié)商階段協(xié)商的速度。為了解決上述問題，本申請?zhí)岢隽艘环N基于ikev2確定保護網(wǎng)段的方法，應(yīng)用于vpn設(shè)備。本端vpn設(shè)備通過接收對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文；判斷所述協(xié)商報文中是否攜帶了預(yù)設(shè)標記；其中，所述預(yù)設(shè)標記用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系；當(dāng)攜帶所述預(yù)設(shè)標記時，本端網(wǎng)段和與本端網(wǎng)段存在互訪關(guān)系的對端網(wǎng)段分別在所述tsi載荷和所述tsr載荷中關(guān)聯(lián)存儲；如果攜帶了所述預(yù)設(shè)標記，讀取tsi載荷和tsr載荷中關(guān)聯(lián)存儲的網(wǎng)段，并基于讀取到的關(guān)聯(lián)存儲的網(wǎng)段確定保護網(wǎng)段。由于本端vpn設(shè)備接收到對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文后，可以判斷所述協(xié)商報文中是否攜帶了用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的標記。如果所述協(xié)商報文中攜帶了所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段和tsr載荷中與本端網(wǎng)段關(guān)聯(lián)存儲的對端網(wǎng)段進行兩兩組合以確定保護網(wǎng)段。如果所述協(xié)商報文中未攜帶所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段與tsr載荷中的對端網(wǎng)段依次進行兩兩交叉組合以確定保護網(wǎng)段。因此，采用本申請?zhí)峁┑募夹g(shù)方法，無論本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間是否均互訪，本端vpn設(shè)備和對端vpn設(shè)備之間只需要一次ikev2第二協(xié)商階段的協(xié)商就可以確定保護網(wǎng)段。從而，加快了完成所述ikev2第二協(xié)商階段協(xié)商的速度。以下通過具體的實施例和示意圖對本申請?zhí)岢龅募夹g(shù)方法進行描述。請參見圖3，圖3為本申請實施例示例性示出的一種基于ikev2確定保護網(wǎng)段的方法流程圖，應(yīng)用于vpn設(shè)備，具體執(zhí)行以下步驟：步驟301：接收對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文；步驟302：判斷所述協(xié)商報文中是否攜帶了預(yù)設(shè)標記；其中，所述預(yù)設(shè)標記用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系；當(dāng)攜帶所述預(yù)設(shè)標記時，本端網(wǎng)段和與本端網(wǎng)段存在互訪關(guān)系的對端網(wǎng)段分別在所述tsi載荷和所述tsr載荷中關(guān)聯(lián)存儲；步驟303：如果攜帶了所述預(yù)設(shè)標記，讀取tsi載荷和tsr載荷中關(guān)聯(lián)存儲的網(wǎng)段，并基于讀取到的關(guān)聯(lián)存儲的網(wǎng)段確定保護網(wǎng)段。在本申請中，各端vpn設(shè)備根據(jù)其設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，將指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的預(yù)設(shè)標記攜帶于發(fā)送至對端vpn設(shè)備的ikev2第二協(xié)商階段的協(xié)商報文。本端vpn設(shè)備接收到對端vpn設(shè)備發(fā)送的所述協(xié)商報文后，本端vpn設(shè)備可以判斷所述協(xié)商報文中是否攜帶了所述預(yù)設(shè)標記。如果攜帶了所述預(yù)設(shè)標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段和tsr載荷中與本端網(wǎng)段關(guān)聯(lián)存儲的對端網(wǎng)段進行兩兩組合以確定保護網(wǎng)段。如果所述協(xié)商報文中未攜帶所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段與tsr載荷中的對端網(wǎng)段依次進行兩兩交叉組合以確定保護網(wǎng)段。上述本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系，換言之就是，本端的各個私網(wǎng)網(wǎng)段無法與對端的各個私網(wǎng)網(wǎng)段互訪。在示出的一種實施方式中，用戶在本端vpn設(shè)備上預(yù)先配置本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系。本端vpn設(shè)備啟動后，可以在ikev2第二協(xié)商階段的協(xié)商過程中，將本端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段保存于ikev2第二協(xié)商階段的協(xié)商報文中，以及，將用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的預(yù)設(shè)標記攜帶于所述協(xié)商報文中，然后將所述協(xié)商報文發(fā)送至對端vpn設(shè)備。在實現(xiàn)時，如果用戶在本端vpn設(shè)備上已經(jīng)預(yù)先配置了本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，那么，在本端vpn設(shè)備與對端vpn設(shè)備進行ike第二協(xié)商階段的協(xié)商過程中，本端vpn設(shè)備可以讀取預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系。其中，用戶在本端vpn設(shè)備上將本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系進行預(yù)先配置的方式不進行限定。比如，用戶可以在本端vpn設(shè)備上配置的方式可以如表1所示，表1為本申請實施例示出的一種vpn設(shè)備上預(yù)先配置私網(wǎng)網(wǎng)段的示意表。序號本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段1私網(wǎng)網(wǎng)段1私網(wǎng)網(wǎng)段32私網(wǎng)網(wǎng)段1私網(wǎng)網(wǎng)段43私網(wǎng)網(wǎng)段2私網(wǎng)網(wǎng)段3………表1本端vpn設(shè)備讀取到本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段的互訪關(guān)系后，本端vpn設(shè)備可以判斷本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間是否均互訪。如果本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間均互訪，在這樣的情況下，本端vpn設(shè)備可以將本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段保存于ikev2第二協(xié)商階段的協(xié)商報文中的tsi中的trafficselectors字段，將對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段保存于tsr中的trafficselectors字段。其中，tsi的trafficselectors字段中的各個私網(wǎng)網(wǎng)段之間互不相同，tsr的trafficselectors字段中的各個私網(wǎng)網(wǎng)段之間也互不相同，即tsi和tsr的trafficselectors字段中均不會出現(xiàn)重復(fù)的私網(wǎng)網(wǎng)段。例如，本端vpn設(shè)備側(cè)包括私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，對端vpn設(shè)備側(cè)包括私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4，且本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端各個私網(wǎng)網(wǎng)段之間均互訪，那么tsi的trafficselectors字段中寫入私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，tsr的trafficselectors字段中寫入私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4。其中，tsi和tsr的trafficselectors字段中保存的各個私網(wǎng)網(wǎng)段之間沒有先后順序的要求，比如，tsi的trafficselectors字段中可以先保存私網(wǎng)網(wǎng)段1，再保存私網(wǎng)網(wǎng)段2，也可以先保存私網(wǎng)網(wǎng)段2，再保存私網(wǎng)網(wǎng)段1。相反地，如果本端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段存在互訪關(guān)系，在這樣的情況下，本端vpn設(shè)備需要將本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，和該私網(wǎng)網(wǎng)段互訪的對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以一一對應(yīng)的形式分別保存于tsi和tsr的trafficselectors字段中，以及在tsi和tsr中分別保存對應(yīng)的私網(wǎng)網(wǎng)段的個數(shù)。其中，tsi的trafficselectors字段中可能會出現(xiàn)相同的私網(wǎng)網(wǎng)段，tsr的trafficselectors字段中也可能會出現(xiàn)相同的私網(wǎng)網(wǎng)段，即tsi和tsr的trafficselectors字段中均可能會出現(xiàn)重復(fù)的私網(wǎng)網(wǎng)段。例如，本端vpn設(shè)備側(cè)包括私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，對端vpn設(shè)備側(cè)包括私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4，且只允許私網(wǎng)網(wǎng)段1與私網(wǎng)網(wǎng)段3互訪，私網(wǎng)網(wǎng)段2與私網(wǎng)網(wǎng)段4互訪。那么，本端vpn設(shè)備可以在tsi的trafficselectors字段中先寫入私網(wǎng)網(wǎng)段1，同時，在tsr的trafficselectors字段中寫入私網(wǎng)網(wǎng)段3，然后，本端設(shè)備可以在tsi的trafficselectors字段中的私網(wǎng)網(wǎng)段1后面的位置寫入私網(wǎng)網(wǎng)段2，同時，在tsr的trafficselectors字段中的私網(wǎng)網(wǎng)段3后面的位置寫入私網(wǎng)網(wǎng)段4。其中，tsi和tsr的trafficselectors字段中寫入的私網(wǎng)網(wǎng)段之間有先后順序的要求。比如，tsi的trafficselectors字段中先寫入了私網(wǎng)網(wǎng)段1，那么tsr的trafficselectors字段中必須先寫入與私網(wǎng)網(wǎng)段1互訪的私網(wǎng)網(wǎng)段3，然后tsi的trafficselectors字段中的私網(wǎng)網(wǎng)段1后面的位置在寫入私網(wǎng)網(wǎng)段2，同時，tsr的trafficselectors字段中的私網(wǎng)網(wǎng)段3后面的位置，寫入與私網(wǎng)網(wǎng)段2互訪的私網(wǎng)網(wǎng)段4?；蛘?，tsi的trafficselectors字段中先寫入了私網(wǎng)網(wǎng)段2，那么tsr的trafficselectors字段中必須先寫入與私網(wǎng)網(wǎng)段2互訪的私網(wǎng)網(wǎng)段4，然后tsi的trafficselectors字段中的私網(wǎng)網(wǎng)段2后面的位置在寫入私網(wǎng)網(wǎng)段1，同時，tsr的trafficselectors字段中的私網(wǎng)網(wǎng)段4后面的位置，寫入與私網(wǎng)網(wǎng)段1互訪的私網(wǎng)網(wǎng)段3。例如，本端vpn設(shè)備側(cè)包括私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，對端vpn設(shè)備側(cè)包括私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4，且允許私網(wǎng)網(wǎng)段1與私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4均互訪，只允許私網(wǎng)網(wǎng)段2與私網(wǎng)網(wǎng)段3互訪。那么，本端vpn設(shè)備可以在tsi的trafficselectors字段中寫入私網(wǎng)網(wǎng)段1，同時，在tsr的trafficselectors字段中寫入私網(wǎng)網(wǎng)段3，然后，在tsi的trafficselectors字段中的私網(wǎng)網(wǎng)段1后面的位置繼續(xù)寫入私網(wǎng)網(wǎng)段1，同時，在tsr的trafficselectors字段中的私網(wǎng)網(wǎng)段3后面的位置寫入私網(wǎng)網(wǎng)段4，最后，tsi的trafficselectors字段中的第二私網(wǎng)網(wǎng)段1后面的位置寫入私網(wǎng)網(wǎng)段2，同時，在tsr的trafficselectors字段中的私網(wǎng)網(wǎng)段4后面的位置寫入私網(wǎng)網(wǎng)段3。其中，tsi和tsr的trafficselectors字段中保存的私網(wǎng)網(wǎng)段之間有先后順序的要求。在保證可以互訪的兩個私網(wǎng)網(wǎng)段在ts載荷的trafficselectors字段中相同次序位置的情況下，可以同步調(diào)整在trafficselectors字段中的保存位置。此外，如果本端vpn設(shè)備確定本端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段存在互訪關(guān)系，本端vpn設(shè)備還需要將用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的預(yù)設(shè)標記攜帶于所述ikev2第二協(xié)商階段的協(xié)商報文中。在可選的一種實現(xiàn)方式中，本端vpn設(shè)備可以在ts載荷中設(shè)置所述標記。參考圖2所示的ts載荷的格式示意圖，所述ts載荷中存在預(yù)留字段，本端vpn設(shè)備可以在預(yù)留字段中設(shè)置所述標記。其中，tsi和tsr中設(shè)置的所述標記相同。比如，本端設(shè)備可以在第二預(yù)留字段中設(shè)置標記。本端vpn設(shè)備可以將第二預(yù)留字段的首位置零，用于標識本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間均互訪；將第二預(yù)留字段的首位置位，用于標識本端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段存在互訪關(guān)系。在本申請的實施例中，本端vpn設(shè)備根據(jù)本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，在ikev2第二協(xié)商階段的協(xié)商報文中的tsi和tsr中分別保存本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及在所述ikev2第二協(xié)商階段的協(xié)商報文中設(shè)置了用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的預(yù)設(shè)標記后，本端vpn設(shè)備可以將所述ikev2第二協(xié)商階段的協(xié)商報文發(fā)送至對端vpn設(shè)備。對端vpn設(shè)備接收到本端vpn設(shè)備發(fā)送的所述ikev2第二協(xié)商階段的協(xié)商報文后，將會向本端vpn設(shè)備返回ikev2第二協(xié)商階段的協(xié)商報文。其中，對端vpn設(shè)備在該ikev2第二協(xié)商階段的協(xié)商報文中保存網(wǎng)段信息以及攜帶標記的過程與上述本端vpn設(shè)備在ikev2第二協(xié)商階段的協(xié)商報文中保存網(wǎng)段信息以及攜帶標記的過程一樣，請參考上述內(nèi)容，在此不再對對端vpn設(shè)備在ikev2第二協(xié)商階段的協(xié)商報文中寫入網(wǎng)段信息以及標記的過程進行贅述。在本申請的實施例中，本端vpn設(shè)備接收到對端vpn設(shè)備返回的ikev2第二協(xié)商階段的協(xié)商報文后，本端vpn設(shè)備可以判斷該ikev2第二協(xié)商階段的協(xié)商報文中是否攜帶了用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的預(yù)設(shè)標記，確定是否本端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段存在互訪關(guān)系。假設(shè)，通過在ts載荷的第二預(yù)留字段的首位置零和置位來標識本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間是否均互訪。在實現(xiàn)時，本端vpn設(shè)備可以從tsi或者tsr的第二預(yù)留字段首位的值，如果所述第二預(yù)留字段首位的值為0，那么本端vpn設(shè)備可以確定本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間均互訪。如果所述第二預(yù)留字段首位的值為1，那么本端vpn設(shè)備可以確定本端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段存在互訪關(guān)系。如果本端vpn設(shè)備確定本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間均互訪，在這樣的情況，本端vpn設(shè)備可以從對端vpn設(shè)備返回的ikev2第二協(xié)商階段的協(xié)商報文中的tsi和tsr中的trafficselectors字段，讀取本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段。然后，將tsi載荷中的本端網(wǎng)段與tsr載荷中的對端網(wǎng)段依次進行兩兩交叉組合，將組合后的存在互訪關(guān)系的本端網(wǎng)段和對端網(wǎng)段確定為保護網(wǎng)段。例如，對端vpn設(shè)備返回的ikev2第二協(xié)商階段的協(xié)商報文中的tsi中的trafficselectors字段寫入了私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，tsr中的trafficselectors字段寫入了私網(wǎng)網(wǎng)段3和私網(wǎng)網(wǎng)段4。本端vpn設(shè)備可以確定保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段4、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段4。如果本端vpn設(shè)備確定本端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的部分私網(wǎng)網(wǎng)段存在互訪關(guān)系，在這樣的情況下，本端vpn設(shè)備可以從對端vpn設(shè)備返回的ikev2第二協(xié)商階段的協(xié)商報文中的tsi和tsr中的trafficselectors字段，讀取私網(wǎng)網(wǎng)段，并將tsi載荷中的本端網(wǎng)段和tsr載荷中與本端網(wǎng)段關(guān)聯(lián)存儲的對端網(wǎng)段進行兩兩組合，即將在tsi和tsr中的trafficselectors字段中同一次序位置的私網(wǎng)網(wǎng)段建立互訪關(guān)系，確定保護網(wǎng)段。例如，對端vpn設(shè)備返回的ikev2第二協(xié)商階段的協(xié)商報文中的tsi中的trafficselectors字段依次寫入了私網(wǎng)網(wǎng)段1、私網(wǎng)網(wǎng)段1和私網(wǎng)網(wǎng)段2，tsr中的trafficselectors字段依次寫入了私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段4和私網(wǎng)網(wǎng)段3。本端vpn設(shè)備可以確定保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段4、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段3。通常，本端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，與對端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系是相同的，通過對端發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文就可以確定本端vpn設(shè)備側(cè)的保護網(wǎng)段。然而，在現(xiàn)實中，本端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，與對端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段和對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系也會出現(xiàn)不相同的情況。因此，在本申請的實施例中，本端vpn設(shè)備除了根據(jù)對端vpn設(shè)備返回的協(xié)商報文初步確定保護網(wǎng)段之外，還可以根據(jù)本端vpn設(shè)備上預(yù)先配置的本端vpn側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，確定第二保護網(wǎng)段。例如，本端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系為：本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間均互訪，那么本端vpn設(shè)備可以確定第二保護網(wǎng)段為：私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段1<—>私網(wǎng)網(wǎng)段4、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段3、私網(wǎng)網(wǎng)段2<—>私網(wǎng)網(wǎng)段4。在本申請的實施例中，本端vpn設(shè)備通過對端vpn設(shè)備發(fā)送的協(xié)商報文確定的保護網(wǎng)段和通過本端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系確定的保護網(wǎng)段后，判斷兩個保護網(wǎng)段是否相同。如果所述兩個保護網(wǎng)段相同，本端vpn設(shè)備可以確定本端vpn設(shè)備側(cè)的保護網(wǎng)段為所述兩個保護網(wǎng)段；如果所述兩個保護網(wǎng)段不相同，本端vpn設(shè)備可以將所述兩個保護網(wǎng)段進行交集運算得到運算結(jié)果，本端vpn設(shè)備側(cè)的保護網(wǎng)段即為所述運算結(jié)果。例如，基于對端vpn設(shè)備返回的ikev2第二協(xié)商階段的協(xié)商報文確定的保護網(wǎng)段為：192.168.1.0/25<—>192.168.3.0/24、192.168.1.0/25<—>192.168.4.0/24、192.168.2.0/25<—>192.168.3.0/24、192.168.2.0/25<—>192.168.4.0/24；基于本端vpn設(shè)備上預(yù)先配置的本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段的互訪關(guān)系確定的保護網(wǎng)段為：192.168.1.0/24<—>192.168.3.0/25、192.168.1.0/24<—>192.168.4.0/25、192.168.2.0/24<—>192.168.3.0/25、192.168.2.0/24<—>192.168.4.0/25；很明顯，上述兩個確定的保護網(wǎng)段不一樣，本端vpn設(shè)備就會將上述兩個確定的保護網(wǎng)段進行交集運算，得到運算結(jié)果為：192.168.1.0/25<—>192.168.3.0/25、192.168.1.0/25<—>192.168.4.0/25、192.168.2.0/25<—>192.168.3.0/25、192.168.2.0/25<—>192.168.4.0/25；本端vpn設(shè)備側(cè)的保護網(wǎng)段即為上述運算結(jié)果。由上述本申請?zhí)峁┑募夹g(shù)方法可見，由于本端vpn設(shè)備接收到對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文后，可以判斷所述協(xié)商報文中是否攜帶了用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系的標記。如果所述協(xié)商報文中攜帶了所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段和tsr載荷中與本端網(wǎng)段關(guān)聯(lián)存儲的對端網(wǎng)段進行兩兩組合以確定保護網(wǎng)段。如果所述協(xié)商報文中未攜帶所述標記，本端vpn設(shè)備可以將tsi載荷中的本端網(wǎng)段與tsr載荷中的對端網(wǎng)段依次進行兩兩交叉組合以確定保護網(wǎng)段。因此，采用本申請?zhí)峁┑募夹g(shù)方法，無論本端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的各個私網(wǎng)網(wǎng)段之間是否均互訪，本端vpn設(shè)備和對端vpn設(shè)備之間只需要一次ikev2第二協(xié)商階段的協(xié)商就可以確定保護網(wǎng)段。從而，加快了完成所述ikev2第二協(xié)商階段協(xié)商的速度。與前述一種基于ikev2確定保護網(wǎng)段的方法的實施例相對應(yīng)，本申請還提供了一種基于ikev2確定保護網(wǎng)段的裝置的實施例。本申請一種基于ikev2確定保護網(wǎng)段的裝置的實施例可以應(yīng)用在vpn設(shè)備上。裝置實施例可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在vpn設(shè)備的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的。從硬件層面而言，如圖4所示，為本申請一種基于ikev2確定保護網(wǎng)段的裝置所在vpn設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖4所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲器之外，實施例中裝置所在的vpn設(shè)備通常根據(jù)該基于ikev2確定保護網(wǎng)段的實際功能，還可以包括其他硬件，對此不再贅述。請參見圖5，圖5為本申請實施例示例性示出的一種基于ikev2確定保護網(wǎng)段的裝置，應(yīng)用于vpn設(shè)備，其中，所述vpn設(shè)備上預(yù)先配置了本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段，以及，本端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段與對端vpn設(shè)備側(cè)的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，所述裝置包括：接收單元510，判斷單元520，確定單元530。其中，所述接收單元510，用于接收對端vpn設(shè)備發(fā)送的ikev2第二協(xié)商階段的協(xié)商報文；所述判斷單元520，用于判斷所述協(xié)商報文中是否攜帶了預(yù)設(shè)標記；其中，所述預(yù)設(shè)標記用于指示本端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段與對端的私網(wǎng)網(wǎng)段中的部分網(wǎng)段存在互訪關(guān)系；當(dāng)攜帶所述預(yù)設(shè)標記時，本端網(wǎng)段和與本端網(wǎng)段存在互訪關(guān)系的對端網(wǎng)段分別在所述tsi載荷和所述tsr載荷中關(guān)聯(lián)存儲；所述確定單元530，用于如果攜帶了所述預(yù)設(shè)標記，讀取tsi載荷和tsr載荷中關(guān)聯(lián)存儲的網(wǎng)段，并基于讀取到的關(guān)聯(lián)存儲的網(wǎng)段確定保護網(wǎng)段。其中，所述確定單元530具體用于：將tsi載荷中的本端網(wǎng)段和tsr載荷中與本端網(wǎng)段關(guān)聯(lián)存儲的對端網(wǎng)段進行兩兩組合，將組合后的存在互訪關(guān)系的本端網(wǎng)段和對端網(wǎng)段確定為保護網(wǎng)段。在本申請的實施例中，當(dāng)未攜帶所述預(yù)設(shè)標記時，本端網(wǎng)段和與本端網(wǎng)段存在互訪關(guān)系的對端網(wǎng)段在所述tsi載荷和所述tsr載荷中未關(guān)聯(lián)存儲；所述確定單元530進一步用于：將tsi載荷中的本端網(wǎng)段與tsr載荷中的對端網(wǎng)段依次進行兩兩交叉組合，將組合后的存在互訪關(guān)系的本端網(wǎng)段和對端網(wǎng)段確定為保護網(wǎng)段。由于，本端發(fā)送至對端的協(xié)商報文中的tsi和tsr中的網(wǎng)段信息，與對端發(fā)送至本端的協(xié)商報文中的tsi和tsr中的網(wǎng)段信息可能不相同，因此，在本申請的實施例中，所述裝置還包括：第二確定單元，用于基于本端vpn設(shè)備上預(yù)先配置的本端的私網(wǎng)網(wǎng)段和對端的私網(wǎng)網(wǎng)段之間的互訪關(guān)系，確定第二保護網(wǎng)段；第二判斷單元，用于判斷基于對端vpn設(shè)備發(fā)送的所述協(xié)商報文確定的保護網(wǎng)段，和所述第二保護網(wǎng)段是否相同；所述確定單530，進一步用于如果相同，將基于對端vpn設(shè)備發(fā)送的所述協(xié)商報文確定的保護網(wǎng)段或者所述第二保護網(wǎng)段確定為保護網(wǎng)段。運算單元，用于如果基于對端vpn設(shè)備發(fā)送的所述協(xié)商報文確定的保護網(wǎng)段，和所述第二保護網(wǎng)段不相同，將所述基于對端vpn設(shè)備發(fā)送的所述協(xié)商報文確定的保護網(wǎng)段和所述第二保護網(wǎng)段進行交集運算以得到運算結(jié)果；所述確定單元530，進一步用于將所述運算結(jié)果確定為保護網(wǎng)段。上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程，在此不再贅述。對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本申請保護的范圍之內(nèi)。當(dāng)前第1頁12