本技術(shù)涉及廣域網(wǎng)報(bào)文傳輸領(lǐng)域，尤其涉及安全傳輸報(bào)文的方法和協(xié)商ipsec?sa的方法及相關(guān)裝置。

背景技術(shù)：

1、在底層(underlay)網(wǎng)絡(luò)的基礎(chǔ)上，通過在多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間建立隧道，可以構(gòu)建上層(overlay)網(wǎng)絡(luò)。overlay網(wǎng)絡(luò)實(shí)現(xiàn)了業(yè)務(wù)與底層網(wǎng)絡(luò)的解耦，使得業(yè)務(wù)報(bào)文能夠?qū)崿F(xiàn)端到端的快速交付。

2、但由于隧道是基于運(yùn)營(yíng)商網(wǎng)絡(luò)建立的，該網(wǎng)絡(luò)無(wú)法保障業(yè)務(wù)報(bào)文的安全性，因此，隧道自身需要具備一定的安全能力，以保證業(yè)務(wù)報(bào)文的安全性。當(dāng)前普遍采用的方法是，在控制面上建立隧道時(shí)，在隧道的入節(jié)點(diǎn)與出節(jié)點(diǎn)之間通過邊界網(wǎng)關(guān)協(xié)議(border?gatewayprotocol，bgp)基于傳輸網(wǎng)絡(luò)端口(transport?network?port，tnp)粒度進(jìn)行密鑰協(xié)商，其中，密鑰是與隧道的入節(jié)點(diǎn)的端口和出節(jié)點(diǎn)的端口綁定的。在隧道建立完成后，當(dāng)業(yè)務(wù)報(bào)文在隧道中傳輸時(shí)，入節(jié)點(diǎn)根據(jù)與出節(jié)點(diǎn)協(xié)商的密鑰對(duì)業(yè)務(wù)報(bào)文進(jìn)行加密，使得業(yè)務(wù)報(bào)文在隧道中傳輸時(shí)處于加密狀態(tài)，當(dāng)業(yè)務(wù)報(bào)文到達(dá)隧道的出節(jié)點(diǎn)時(shí)，出節(jié)點(diǎn)再根據(jù)協(xié)商的密鑰對(duì)業(yè)務(wù)報(bào)文進(jìn)行解密，從而保證業(yè)務(wù)報(bào)文傳輸?shù)陌踩浴?/p>

3、上述基于網(wǎng)絡(luò)節(jié)點(diǎn)的tnp粒度來(lái)對(duì)報(bào)文進(jìn)行加解密傳輸報(bào)文的方法，對(duì)于每一段隧道都需要入節(jié)點(diǎn)與出節(jié)點(diǎn)之間協(xié)商密鑰信息，當(dāng)業(yè)務(wù)報(bào)文在該段隧道中傳輸時(shí)，在該段隧道的入節(jié)點(diǎn)按照協(xié)商的方式進(jìn)行加密，在出節(jié)點(diǎn)按照協(xié)商的方式進(jìn)行解密。當(dāng)業(yè)務(wù)流需要跨越多段隧道時(shí)，各段隧道之間的密鑰是不同的，需要在每段隧道的入節(jié)點(diǎn)上進(jìn)行加密，出節(jié)點(diǎn)上進(jìn)行解密，在下一段隧道的入節(jié)點(diǎn)上再加密，出節(jié)點(diǎn)上再解密…加解密操作繁瑣，且消耗設(shè)備大量的計(jì)算資源，增加了業(yè)務(wù)報(bào)文的轉(zhuǎn)發(fā)延遲。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)提供了安全傳輸報(bào)文的方法、協(xié)商ipsec?sa的方法及相關(guān)裝置，采用本技術(shù)所述的方法，可以提高報(bào)文傳輸效率，降低傳輸延時(shí)。

2、第一方面，本技術(shù)提供了一種安全傳輸報(bào)文的方法，從數(shù)據(jù)轉(zhuǎn)發(fā)面的發(fā)送側(cè)來(lái)描述，所述方法包括：

3、廣域網(wǎng)中的第一站點(diǎn)出口設(shè)備edge接收虛擬路由轉(zhuǎn)發(fā)vrf中的虛擬專用網(wǎng)絡(luò)vpn業(yè)務(wù)報(bào)文；

4、所述第一站點(diǎn)edge根據(jù)與第二站點(diǎn)edge協(xié)商的與所述vrf關(guān)聯(lián)的因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsecsa對(duì)所述vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)，以得到第一報(bào)文；

5、所述第一站點(diǎn)edge在所述第一報(bào)文外層封裝在所述第一站點(diǎn)edge到所述第二站點(diǎn)edge之間建立的上層overlay端到端隧道的隧道信息，以獲得第二報(bào)文，其中，所述overlay端到端隧道對(duì)應(yīng)的底層underlay隧道包括多段隧道，所述隧道信息包括第一入網(wǎng)點(diǎn)pop的第一信息，所述第一站點(diǎn)edge為所述overlay端到端隧道的入端點(diǎn)，所述第二站點(diǎn)edge為所述overlay端到端隧道的出端點(diǎn)，所述overlay端到端隧道經(jīng)過所述第一pop；

6、所述第一站點(diǎn)edge通過所述overlay端到端隧道，向所述第二站點(diǎn)edge發(fā)送所述第二報(bào)文。

7、本技術(shù)方案中，在第一站點(diǎn)edge與第二站點(diǎn)edge之間跨越多段隧道的場(chǎng)景下，第一站點(diǎn)edge與第二站點(diǎn)edge預(yù)先協(xié)商好了與vrf關(guān)聯(lián)的ipsecsa，在第一站點(diǎn)edge接收到vrf中的vpn業(yè)務(wù)報(bào)文后，根據(jù)與第二站點(diǎn)edge協(xié)商好的與vrf關(guān)聯(lián)的ipsecsa對(duì)vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)，得到第一報(bào)文；再在第一報(bào)文的外層封裝上第一站點(diǎn)edge至第二站點(diǎn)edge之間建立的上層overlay端到端隧道的隧道信息，獲得第二報(bào)文；然后，第一站點(diǎn)edge將第二報(bào)文通過上層overlay端到端隧道傳輸至第二站點(diǎn)edge，其中，overlay端到端隧道經(jīng)過的各個(gè)pop無(wú)需對(duì)第二報(bào)文進(jìn)行解密或者加密，只需按照隧道信息進(jìn)行轉(zhuǎn)發(fā)即可。

8、在第一站點(diǎn)edge與第二站點(diǎn)edge之間跨越多段隧道的場(chǎng)景下，本技術(shù)提供了一種安全傳輸報(bào)文的方法，該方法只需在兩個(gè)站點(diǎn)edge之間建立的overlay端到端隧道的入端點(diǎn)進(jìn)行一次安全保護(hù)，在傳輸過程中無(wú)需各個(gè)pop對(duì)報(bào)文進(jìn)行加密或解密，節(jié)省了算力資源，降低了傳輸延遲，提高了報(bào)文傳輸效率。

9、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述對(duì)所述vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)包括：對(duì)所述vpn業(yè)務(wù)報(bào)文進(jìn)行封裝安全載荷esp協(xié)議加密；和/或，對(duì)所述vpn業(yè)務(wù)報(bào)文封裝認(rèn)證頭authentication?header。

10、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述隧道信息還包括第二pop的第二信息，所述overlay端到端隧道經(jīng)過所述第一pop和所述第二pop，所述第一站點(diǎn)edge通過所述第一pop接入所述廣域網(wǎng)，所述第二站點(diǎn)edge通過所述第二pop接入所述廣域網(wǎng)。

11、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為互聯(lián)網(wǎng)協(xié)議第六版本ipv6的段路由srv6隧道，所述第二報(bào)文包括ipv6頭和分段路由頭srh，所述ipv6頭的目的地址指向所述第一pop，所述srh包括所述第一信息和所述第二信息。

12、overlay端到端隧道可以為srv6隧道，第一站點(diǎn)edge在第一報(bào)文的外層封裝上srv6隧道的隧道信息，srv6隧道的隧道信息包括ipv6頭和分段路由頭srh，隧道上的各個(gè)pop可以根據(jù)ipv6頭和分段路由頭srh對(duì)第二報(bào)文進(jìn)行轉(zhuǎn)發(fā)。

13、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為所述第一pop的第一端點(diǎn)段標(biāo)識(shí)end.sid，所述第一端點(diǎn)段標(biāo)識(shí)end.sid關(guān)聯(lián)的操作包括：根據(jù)所述end.sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overlay?srv6?policy。

14、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為分段路由多協(xié)議標(biāo)簽交換流量工程策略sr-mpls?te?policy，所述第二報(bào)文包括mpls標(biāo)簽棧，所述mpls標(biāo)簽棧包括所述第一信息和所述第二信息。

15、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為所述第一pop的第一節(jié)點(diǎn)sid，所述第一節(jié)點(diǎn)sid關(guān)聯(lián)的操作包括：根據(jù)所述標(biāo)簽棧中所述第一節(jié)點(diǎn)sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overlay?sr?mpls隧道。

16、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用網(wǎng)絡(luò)虛擬化封裝geneve協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?in?geneve封裝。

17、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用路由封裝gre協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?over?gre封裝。

18、基于第一方面，在可能的實(shí)現(xiàn)方式中，在所述第一站點(diǎn)edge接收所述業(yè)務(wù)報(bào)文之前，所述方法還包括：

19、所述第一站點(diǎn)edge接收所述第二站點(diǎn)edge通告的邊界網(wǎng)關(guān)協(xié)議bgp路由，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的所述虛擬路由轉(zhuǎn)發(fā)vrf中的所述vpn業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；根據(jù)所述路由類型rt和所述export?rt，所述第一站點(diǎn)edge將所述ipsec?sa與所述vrf關(guān)聯(lián)。

20、bgp路由中新增了一種路由類型，bgp路由中攜帶了ipsec?sa和export?rt，新增的路由類型rt指示bgp路由通告的ipsec?sa用于對(duì)與export?rt匹配的vrf中的vpn業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)。通過bgp路由通告，使得第一站點(diǎn)edge與第二站點(diǎn)edge之間協(xié)商好了與vrf關(guān)聯(lián)的ipsecsa，該ipsecsa用于對(duì)vrf中的vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)，尤其在第一站點(diǎn)edge與第二站點(diǎn)edge之間跨越多段隧道的情況下，為vpn業(yè)務(wù)報(bào)文的安全、快速傳輸?shù)於嘶A(chǔ)。實(shí)施本技術(shù)實(shí)施例，實(shí)現(xiàn)了vpn業(yè)務(wù)報(bào)文的安全、快速傳輸，降低了傳輸延時(shí)，提高了傳輸效率。

21、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

22、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

23、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

24、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

25、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

26、基于第一方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

27、第二方面，本技術(shù)提供了一種安全傳輸報(bào)文的方法，從數(shù)據(jù)轉(zhuǎn)發(fā)面的接收側(cè)來(lái)描述，所述方法包括：

28、廣域網(wǎng)中的第二站點(diǎn)出口設(shè)備edge接收第一站點(diǎn)edge通過在所述第一站點(diǎn)edge和所述第二站點(diǎn)edge之間建立的上層overlay端到端隧道發(fā)送的第二報(bào)文，所述第二報(bào)文中包括第一報(bào)文以及在所述第一報(bào)文外層封裝的所述overlay端到端隧道的隧道信息，所述overlay端到端隧道對(duì)應(yīng)的底層underlay隧道包括多段隧道，所述隧道信息包括第一入網(wǎng)點(diǎn)pop的第一信息，所述第一站點(diǎn)edge為所述overlay端到端隧道的入端點(diǎn)，所述第二站點(diǎn)edge為所述overlay端到端隧道的出端點(diǎn)，所述overlay端到端隧道經(jīng)過所述第一pop，所述第一報(bào)文為通過所述第二站點(diǎn)edge與所述第一站點(diǎn)edge協(xié)商的因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsec?sa對(duì)虛擬專用網(wǎng)絡(luò)vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)所得到的報(bào)文；

29、所述第二站點(diǎn)edge對(duì)所述第二報(bào)文進(jìn)行解封裝，獲得第一報(bào)文；

30、所述第二站點(diǎn)edge根據(jù)所述ipsecsa對(duì)所述第一報(bào)文進(jìn)行處理，以獲得所述vpn業(yè)務(wù)報(bào)文。

31、第二站點(diǎn)edge接收到第二報(bào)文后，第二報(bào)文中包括第一報(bào)文和封裝在第一報(bào)文外層的隧道信息，第二站點(diǎn)edge對(duì)第二報(bào)文進(jìn)行解封裝，獲得第一報(bào)文，然后根據(jù)與第一站點(diǎn)edge協(xié)商好的ipsecsa對(duì)第一報(bào)文進(jìn)行處理，獲得vpn業(yè)務(wù)報(bào)文。第二報(bào)文在整個(gè)傳輸過程中，無(wú)需overlay端到端隧道上的各個(gè)pop進(jìn)行加密或解密，只需在第二站點(diǎn)edge處進(jìn)行一次處理即可，提高了傳輸效率，降低傳輸延時(shí)。

32、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述對(duì)所述第一報(bào)文進(jìn)行處理包括：根據(jù)所述ipsecsa，對(duì)所述第一報(bào)文進(jìn)行封裝安全載荷esp協(xié)議解密；和/或，根據(jù)所述ipsec?sa和所述第一報(bào)文的認(rèn)證頭authentication?header中攜帶的認(rèn)證數(shù)據(jù)對(duì)所述第一報(bào)文進(jìn)行認(rèn)證。

33、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述隧道信息還包括第二pop的第二信息，所述overlay端到端隧道經(jīng)過所述第一pop和所述第二pop，所述第一站點(diǎn)edge通過所述第一pop接入所述廣域網(wǎng)，所述第二站點(diǎn)edge通過所述第二pop接入所述廣域網(wǎng)。

34、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為互聯(lián)網(wǎng)協(xié)議第六版本ipv6的段路由srv6隧道，所述第二報(bào)文包括ipv6頭和分段路由頭srh，所述ipv6頭的目的地址指向所述第一pop，所述srh頭包括所述第一信息和所述第二信息。

35、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為第一pop的第一端點(diǎn)段標(biāo)識(shí)end.sid，所述第一端點(diǎn)段標(biāo)識(shí)end.sid關(guān)聯(lián)的操作包括：根據(jù)所述end.sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overlay?srv6?policy。

36、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為分段路由多協(xié)議標(biāo)簽交換流量工程策略sr-mpls?te?policy，所述第二報(bào)文包括mpls標(biāo)簽棧，所述mpls標(biāo)簽棧包括所述第一信息和所述第二信息。

37、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為所述第一pop的第一節(jié)點(diǎn)sid，所述第一節(jié)點(diǎn)sid關(guān)聯(lián)的操作包括：

38、根據(jù)所述標(biāo)簽棧中所述第一節(jié)點(diǎn)sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overlay?sr?mpls隧道。

39、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用網(wǎng)絡(luò)虛擬化封裝geneve協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?in?geneve封裝。

40、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用路由封裝gre協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?over?gre封裝。

41、基于第二方面，在可能的實(shí)現(xiàn)方式中，在所述廣域網(wǎng)中的第二站點(diǎn)出口設(shè)備edge接收第一站點(diǎn)edge通過上層overlay端到端隧道發(fā)送的第二報(bào)文之前，所述方法還包括：所述第二站點(diǎn)出口設(shè)備edge生成邊界網(wǎng)關(guān)協(xié)議bgp路由，其中，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的虛擬路由轉(zhuǎn)發(fā)vrf中的所述vpn業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；所述第二站點(diǎn)edge向所述第一站點(diǎn)edge通告所述bgp路由。

42、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

43、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

44、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

45、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

46、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

47、基于第二方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

48、第三方面，本技術(shù)提供了一種協(xié)商因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsec?sa的方法，從控制面的接收側(cè)來(lái)描述，所述方法包括：

49、廣域網(wǎng)中的第一站點(diǎn)出口設(shè)備edge接收第二站點(diǎn)edge通告的邊界網(wǎng)關(guān)協(xié)議bgp路由，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的虛擬路由轉(zhuǎn)發(fā)vrf中的業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；

50、根據(jù)所述路由類型rt和所述export?rt，所述第一站點(diǎn)edge將所述ipsec?sa與所述vrf關(guān)聯(lián)。

51、本技術(shù)方案在bgp路由中新增了一種路由類型rt，bgp路由中攜帶了ipsec?sa和導(dǎo)出路由目標(biāo)exportrt，新增的路由類型rt用于指示bgp路由通告的ipsec?sa用于對(duì)于exportrt匹配的vrf中的業(yè)務(wù)報(bào)文進(jìn)行端到端的安全保護(hù)。通過將bgp路由在廣域網(wǎng)中進(jìn)行通告，實(shí)現(xiàn)了兩個(gè)站點(diǎn)edge之間基于vrf粒度的端到端的ipsec?sa協(xié)商，以便后續(xù)采用協(xié)商好的ipsec?sa進(jìn)行vpn業(yè)務(wù)報(bào)文的傳輸，為vpn業(yè)務(wù)報(bào)文的傳輸?shù)於嘶A(chǔ)。

52、基于第三方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

53、基于第三方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

54、可以理解，站點(diǎn)標(biāo)識(shí)site?id和節(jié)點(diǎn)標(biāo)識(shí)node?id可以唯一確定一個(gè)節(jié)點(diǎn)。

55、基于第三方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

56、基于第三方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

57、基于第三方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

58、基于第三方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

59、第四方面，本技術(shù)提供了一種協(xié)商因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsec?sa的方法，從控制面的發(fā)送側(cè)來(lái)描述，所述方法包括：

60、廣域網(wǎng)中的第二站點(diǎn)出口設(shè)備edge生成邊界網(wǎng)關(guān)協(xié)議bgp路由，其中，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的虛擬路由轉(zhuǎn)發(fā)vrf中的業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；

61、所述第二站點(diǎn)edge向第一站點(diǎn)edge通告所述bgp路由。

62、本技術(shù)方案在bgp路由中新增了一種路由類型rt，bgp路由中攜帶了ipsec?sa和導(dǎo)出路由目標(biāo)exportrt，新增的路由類型rt用于指示bgp路由通告的ipsec?sa用于對(duì)于exportrt匹配的vrf中的業(yè)務(wù)報(bào)文進(jìn)行端到端的安全保護(hù)。通過將bgp路由在廣域網(wǎng)中進(jìn)行通告，實(shí)現(xiàn)了兩個(gè)站點(diǎn)edge之間基于vrf粒度的端到端的ipsec?sa協(xié)商，以便后續(xù)采用協(xié)商好的ipsec?sa進(jìn)行vpn業(yè)務(wù)報(bào)文的傳輸，為vpn業(yè)務(wù)報(bào)文的傳輸?shù)於嘶A(chǔ)。

63、基于第四方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

64、基于第四方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

65、基于第四方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

66、基于第四方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

67、基于第四方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

68、基于第四方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

69、第五方面，本技術(shù)提供了一種安全傳輸報(bào)文的裝置，所述裝置應(yīng)用于廣域網(wǎng)中的第一站點(diǎn)出口設(shè)備edge，所述裝置包括：

70、接收模塊，用于接收虛擬路由轉(zhuǎn)發(fā)vrf中的虛擬專用網(wǎng)絡(luò)vpn業(yè)務(wù)報(bào)文；

71、處理模塊，用于根據(jù)與第二站點(diǎn)edge協(xié)商的與所述vrf關(guān)聯(lián)的因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsecsa對(duì)所述vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)，以得到第一報(bào)文；

72、所述處理模塊，用于在所述第一報(bào)文外層封裝在所述第一站點(diǎn)edge到所述第二站點(diǎn)edge之間建立的上層overlay端到端隧道的隧道信息，以獲得第二報(bào)文，其中，所述overlay端到端隧道對(duì)應(yīng)的底層underlay隧道包括多段隧道，所述隧道信息包括第一入網(wǎng)點(diǎn)pop的第一信息，所述第一站點(diǎn)edge為所述overlay端到端隧道的入端點(diǎn)，所述第二站點(diǎn)edge為所述overlay端到端隧道的出端點(diǎn)，所述overlay端到端隧道經(jīng)過所述第一pop；

73、發(fā)送模塊，用于通過所述overlay端到端隧道，向所述第二站點(diǎn)edge發(fā)送所述第二報(bào)文。

74、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述處理模塊用于：對(duì)所述vpn業(yè)務(wù)報(bào)文進(jìn)行封裝安全載荷esp協(xié)議加密；和/或，對(duì)所述vpn業(yè)務(wù)報(bào)文封裝認(rèn)證頭authenticationheader。

75、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述隧道信息還包括第二pop的第二信息，所述overlay端到端隧道經(jīng)過所述第一pop和所述第二pop，所述第一站點(diǎn)edge通過所述第一pop接入所述廣域網(wǎng)，所述第二站點(diǎn)edge通過所述第二pop接入所述廣域網(wǎng)。

76、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為互聯(lián)網(wǎng)協(xié)議第六版本ipv6的段路由srv6隧道，所述第二報(bào)文包括ipv6頭和分段路由頭srh，所述ipv6頭的目的地址指向所述第一pop，所述srh包括所述第一信息和所述第二信息。

77、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為所述第一pop的第一端點(diǎn)段標(biāo)識(shí)end.sid，所述第一端點(diǎn)段標(biāo)識(shí)end.sid關(guān)聯(lián)的操作包括：根據(jù)所述end.sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overly?srv6?policy。

78、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為分段路由多協(xié)議標(biāo)簽交換流量工程策略sr-mpls?te?policy，所述第二報(bào)文包括mpls標(biāo)簽棧，所述mpls標(biāo)簽棧包括所述第一信息和所述第二信息。

79、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為所述第一pop的第一節(jié)點(diǎn)sid，所述第一節(jié)點(diǎn)sid關(guān)聯(lián)的操作包括：根據(jù)所述標(biāo)簽棧中所述第一節(jié)點(diǎn)sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overly?sr?mpls隧道。

80、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用網(wǎng)絡(luò)虛擬化封裝geneve協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?in?geneve封裝。

81、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用路由封裝gre協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?over?gre封裝。

82、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述接收模塊還用于，接收所述第二站點(diǎn)edge通告的邊界網(wǎng)關(guān)協(xié)議bgp路由，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的所述虛擬路由轉(zhuǎn)發(fā)vrf中的所述vpn業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；所述處理模塊還用于，根據(jù)所述路由類型rt和所述export?rt，將所述ipsec?sa與所述vrf關(guān)聯(lián)。

83、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

84、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

85、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

86、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

87、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

88、基于第五方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

89、第五方面中的各個(gè)功能模塊用于實(shí)現(xiàn)上述第一方面以及第一方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

90、第六方面，本技術(shù)提供了一種安全傳輸報(bào)文的裝置，所述裝置應(yīng)用于廣域網(wǎng)中的第二站點(diǎn)edge，其特征在于，所述裝置包括：

91、接收模塊，用于接收第一站點(diǎn)edge通過在所述第一站點(diǎn)edge和所述第二站點(diǎn)edge之間建立的上層overlay端到端隧道發(fā)送的第二報(bào)文，所述第二報(bào)文中包括第一報(bào)文以及在所述第一報(bào)文外層封裝的所述overlay端到端隧道的隧道信息，所述overlay端到端隧道對(duì)應(yīng)的底層underlay隧道包括多段隧道，所述隧道信息包括第一入網(wǎng)點(diǎn)pop的第一信息，所述第一站點(diǎn)edge為所述overlay端到端隧道的入端點(diǎn)，所述第二站點(diǎn)edge為所述overlay端到端隧道的出端點(diǎn)，所述overlay端到端隧道經(jīng)過所述第一pop，所述第一報(bào)文為通過所述第二站點(diǎn)edge與所述第一站點(diǎn)edge協(xié)商的因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsec?sa對(duì)虛擬專用網(wǎng)絡(luò)vpn業(yè)務(wù)報(bào)文進(jìn)行安全保護(hù)所得到的報(bào)文；

92、處理模塊，用于對(duì)所述第二報(bào)文進(jìn)行解封裝，獲得第一報(bào)文；

93、所述處理模塊還用于，根據(jù)所述ipsecsa對(duì)所述第一報(bào)文進(jìn)行處理，以獲得所述vpn業(yè)務(wù)報(bào)文。

94、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述處理模塊用于：根據(jù)所述ipsecsa，對(duì)所述第一報(bào)文進(jìn)行封裝安全載荷esp協(xié)議解密；和/或，根據(jù)所述ipsec?sa和所述第一報(bào)文的認(rèn)證頭authentication?header中攜帶的認(rèn)證數(shù)據(jù)對(duì)所述第一報(bào)文進(jìn)行認(rèn)證。

95、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述隧道信息還包括第二pop的第二信息，所述overlay端到端隧道經(jīng)過所述第一pop和所述第二pop，所述第一站點(diǎn)edge通過所述第一pop接入所述廣域網(wǎng)，所述第二站點(diǎn)edge通過所述第二pop接入所述廣域網(wǎng)。

96、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為互聯(lián)網(wǎng)協(xié)議第六版本ipv6的段路由srv6隧道，所述第二報(bào)文包括ipv6頭和分段路由頭srh，所述ipv6頭的目的地址指向所述第一pop，所述srh頭包括所述第一信息和所述第二信息。

97、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為第一pop的第一端點(diǎn)段標(biāo)識(shí)end.sid，所述第一端點(diǎn)段標(biāo)識(shí)end.sid關(guān)聯(lián)的操作包括：根據(jù)所述end.sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overly?srv6?policy。

98、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為分段路由多協(xié)議標(biāo)簽交換流量工程策略sr-mpls?te?policy，所述第二報(bào)文包括mpls標(biāo)簽棧，所述mpls標(biāo)簽棧包括所述第一信息和所述第二信息。

99、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述第一信息為所述第一pop的第一節(jié)點(diǎn)sid，所述第一節(jié)點(diǎn)sid關(guān)聯(lián)的操作包括：根據(jù)所述標(biāo)簽棧中所述第一節(jié)點(diǎn)sid的下一跳sid匹配從所述第一pop到所述第二pop之間的上層overly?sr?mpls隧道。

100、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用網(wǎng)絡(luò)虛擬化封裝geneve協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?in?geneve封裝。

101、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述overlay端到端隧道為基于通用路由封裝gre協(xié)議封裝的隧道，所述第二報(bào)文采用srv6?over?gre封裝。

102、基于第六方面，在可能的實(shí)現(xiàn)方式中，

103、所述處理模塊還用于，生成邊界網(wǎng)關(guān)協(xié)議bgp路由，其中，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的虛擬路由轉(zhuǎn)發(fā)vrf中的所述vpn業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；

104、發(fā)送模塊，用于向所述第一站點(diǎn)edge通告所述bgp路由。

105、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

106、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

107、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

108、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

109、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

110、基于第六方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

111、第六方面中的各個(gè)功能模塊用于實(shí)現(xiàn)上述第二方面以及第二方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

112、第七方面，本技術(shù)提供了一種協(xié)商因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsec?sa的裝置，所述裝置應(yīng)用于廣域網(wǎng)中的第一站點(diǎn)edge，所述裝置包括：

113、接收模塊，用于接收第二站點(diǎn)edge通告的邊界網(wǎng)關(guān)協(xié)議bgp路由，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的虛擬路由轉(zhuǎn)發(fā)vrf中的業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；

114、處理模塊，用于根據(jù)所述路由類型rt和所述export?rt，將所述ipsec?sa與所述vrf關(guān)聯(lián)。

115、基于第七方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

116、基于第七方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

117、基于第七方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

118、基于第七方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

119、基于第七方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

120、基于第七方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

121、第七方面中的各個(gè)功能模塊用于實(shí)現(xiàn)上述第三方面以及第三方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

122、第八方面，本技術(shù)提供了一種協(xié)商因特網(wǎng)協(xié)議安全協(xié)議安全聯(lián)盟ipsec?sa的裝置，所述裝置應(yīng)用于廣域網(wǎng)中的第二站點(diǎn)edge，所述裝置包括：

123、處理模塊，用于生成邊界網(wǎng)關(guān)協(xié)議bgp路由，其中，所述bgp路由包括路由類型rt、所述ipsec?sa、所述第二站點(diǎn)edge的標(biāo)識(shí)、以及導(dǎo)出路由目標(biāo)exportrt，其中，所述路由類型rt指示所述bgp路由通告的所述ipsec?sa用于對(duì)與所述export?rt匹配的虛擬路由轉(zhuǎn)發(fā)vrf中的業(yè)務(wù)報(bào)文進(jìn)行端到端安全保護(hù)；

124、發(fā)送模塊，用于向第一站點(diǎn)edge通告所述bgp路由。

125、基于第八方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由為bgp軟件定義的廣域網(wǎng)sd-wan路由，該bgp?sd-wan路由的子地址族為sd-wan子地址族，或者，所述bgp路由為bgp以太網(wǎng)虛擬專用網(wǎng)絡(luò)evpn路由，該bgp?evpn路由的子地址族為evpn子地址族。

126、基于第八方面，在可能的實(shí)現(xiàn)方式中，所述第二站點(diǎn)edge的標(biāo)識(shí)包括所述第二站點(diǎn)edge所屬的站點(diǎn)標(biāo)識(shí)site?id和所述第二站點(diǎn)edge的節(jié)點(diǎn)標(biāo)識(shí)node?id。

127、基于第八方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括網(wǎng)絡(luò)層可達(dá)信息nlri，所述nlri包括所述路由類型rt和所述第二站點(diǎn)edge的標(biāo)識(shí)。

128、基于第八方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括隧道封裝屬性類型長(zhǎng)度值tunnel?encapsulation?attribute?tlv，所述tunnel?encapsulation?attribute?tlv包括所述ipsec?sa。

129、基于第八方面，在可能的實(shí)現(xiàn)方式中，所述bgp路由包括擴(kuò)展團(tuán)體屬性，所述擴(kuò)展團(tuán)體屬性用于攜帶所述export?rt。

130、基于第八方面，在可能的實(shí)現(xiàn)方式中，所述第一站點(diǎn)edge和所述第二站點(diǎn)edge為軟件定義的廣域網(wǎng)sd-wan中站點(diǎn)edge。

131、第八方面中的各個(gè)功能模塊用于實(shí)現(xiàn)上述第四方面以及第四方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

132、第九方面，本技術(shù)提供了一種網(wǎng)絡(luò)設(shè)備，包括存儲(chǔ)器和處理器，所述存儲(chǔ)器用于存儲(chǔ)指令，所述處理器用于執(zhí)行所述存儲(chǔ)器中存儲(chǔ)的所述指令，以實(shí)現(xiàn)上述第一方面以及第一方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，以實(shí)現(xiàn)上述第二方面以及第二方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，以實(shí)現(xiàn)上述第三方面以及第三方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，以實(shí)現(xiàn)上述第四方面以及第四方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

133、第十方面，本技術(shù)提供了一種系統(tǒng)，包括第一站點(diǎn)出口設(shè)備edge和第二站點(diǎn)edge，所述第一站點(diǎn)edge用于執(zhí)行上述第一方面以及第一方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，所述第二站點(diǎn)edge用于執(zhí)行上述第二方面以及第二方面的任意一種可能的實(shí)現(xiàn)方式所述的方法；或者，所述第一站點(diǎn)edge用于執(zhí)行上述第三方面以及第三方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，所述第二站點(diǎn)edge用于執(zhí)行上述第四方面以及第四方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

134、第十一方面，本技術(shù)提供了一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，其特征在于，包括程序指令，當(dāng)所述程序指令在處理器上執(zhí)行時(shí)，使得所述處理器實(shí)現(xiàn)上述第一方面以及第一方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，使得所述處理器實(shí)現(xiàn)上述第二方面以及第二方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，使得所述處理器實(shí)現(xiàn)上述第三方面以及第三方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，使得所述處理器實(shí)現(xiàn)上述第四方面以及第四方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。

135、第十二方面，本技術(shù)提供了一種包括程序指令的計(jì)算機(jī)程序產(chǎn)品，當(dāng)所述程序指令在處理器上執(zhí)行時(shí)，使得所述處理器實(shí)現(xiàn)上述第一方面以及第一方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，使得所述處理器實(shí)現(xiàn)上述第二方面以及第二方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，使得所述處理器實(shí)現(xiàn)上述第三方面以及第三方面的任意一種可能的實(shí)現(xiàn)方式所述的方法，或者，使得所述處理器實(shí)現(xiàn)上述第四方面以及第四方面的任意一種可能的實(shí)現(xiàn)方式所述的方法。