本發(fā)明涉及通信，具體而言，涉及一種ipsec穿越動態(tài)nat的方法和dvpn網(wǎng)絡(luò)。

背景技術(shù)：

1、ip(internet?protocol，互聯(lián)網(wǎng)協(xié)議)通信可能會遭受到竊聽、篡改等攻擊，缺乏安全保障，ipsec(internet?protocol?security，互聯(lián)網(wǎng)安全協(xié)議)就是一種用來解決ip層安全性問題的技術(shù)。ipsec是ip安全協(xié)議標準，通過使用密碼學(xué)方法支持機密性和認證性服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。設(shè)計ipsec是為了給ipv4(internetprotocol?version?4，互聯(lián)網(wǎng)協(xié)議第4版)和ipv6(internet?protocol?version?6，互聯(lián)網(wǎng)協(xié)議第6版)數(shù)據(jù)提供高質(zhì)量、可互操作的、基于密碼學(xué)的安全性。

2、ipsec的基本原理是由通信的雙方協(xié)商出一個ipsec隧道，確定安全保護所使用的安全協(xié)議、加密認證算法、封裝模式，然后將需要安全處理的數(shù)據(jù)流量通過這個隧道進行加密交互，從而達到安全處理的效果。安全策略將被保護的數(shù)據(jù)流和ipsec隧道相關(guān)聯(lián)，即定義對何種數(shù)據(jù)流實施何種保護，全局應(yīng)用的ipsec保護不同的數(shù)據(jù)流量，是通過匹配不同的安全策略來實現(xiàn)的?，F(xiàn)有的實現(xiàn)原理是：管理員事先明確每條需要安全處理的數(shù)據(jù)流五元組信息(源ip地址、目的ip地址、源端口、目的端口、協(xié)議號)，并將這些五元組信息建模成不同的感興趣流，最后在不同的安全策略中引用這些感興趣流，這樣實際的數(shù)據(jù)流量會根據(jù)不同的五元組匹配到對應(yīng)的安全策略中，最后根據(jù)策略引用的ipsec隧道進行加密等安全處理。

3、dvpn(dymatic?vitual?private?network，動態(tài)虛擬專網(wǎng))是為了解決傳統(tǒng)隧道技術(shù)的配置復(fù)雜、不便響應(yīng)網(wǎng)絡(luò)拓撲變化和分支機構(gòu)地址變化而提出的一項非公有技術(shù)。dvpn使用中心集中控制的思想，由一個中心節(jié)點完成分支節(jié)點的上線、認證和公私網(wǎng)地址管理。借助節(jié)點之間建立的隧道傳遞私網(wǎng)路由信息進而實現(xiàn)全網(wǎng)互通。mgre(multipointgeneric?routing?encapsulation，多點通用路由封裝)是一種基于nhrp(next?hopresolution?protocol，下一跳地址解析協(xié)議)的dvpn技術(shù)。mgre是點對多點的gre隧道技術(shù)，報文封裝和解封裝和gre隧道相同。mgre隧道依賴nhrp協(xié)議工作，nhrp協(xié)議能動態(tài)的學(xué)習(xí)其他節(jié)點的地址。

4、mgre技術(shù)本身不具備安全性，在實際使用中常常用ipsec對gre報文進行加密，mgre?over?ipsec的使用愈加廣泛。但是由于國內(nèi)ip資源匱乏，mgre?over?ipsec在實際使用中必然需要進行nat(network?address?translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)穿越，因此解決mgre?over?ipsec在nat穿越過程中遇到的一系列問題是必要的。并且，ipsec穿越nat因場景復(fù)雜，配置多樣，在應(yīng)用上會遇到ipsec協(xié)商失敗、數(shù)據(jù)轉(zhuǎn)發(fā)異常的問題?，F(xiàn)有的方案解決了部分nat穿越場景中遇到的問題，但是仍然無法解決mgre?over?ipsec場景中穿越nat設(shè)備后，nat表項發(fā)生變化導(dǎo)致發(fā)起端和響應(yīng)端協(xié)商失敗的問題。

技術(shù)實現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種ipsec穿越動態(tài)nat的方法和dvpn網(wǎng)絡(luò)。

2、為了實現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下：

3、第一方面，本發(fā)明提供一種ipsec穿越動態(tài)nat的方法，應(yīng)用于dvpn網(wǎng)絡(luò)，所述dvpn網(wǎng)絡(luò)包括中心設(shè)備、第一分支設(shè)備和第二分支設(shè)備，所述第一分支設(shè)備與所述中心設(shè)備的通信鏈路上設(shè)置有第一nat設(shè)備，所述第二分支設(shè)備與所述中心設(shè)備的通信鏈路上設(shè)置有第二nat設(shè)備，所述方法包括：

4、所述第一分支設(shè)備和所述第二分支設(shè)備分別與所述中心設(shè)備建立ipsec隧道，所述中心設(shè)備記錄所述第一分支設(shè)備經(jīng)過所述第一nat設(shè)備轉(zhuǎn)換前后的地址端口信息以及記錄所述第二分支設(shè)備經(jīng)過所述第二nat設(shè)備轉(zhuǎn)換前后的地址端口信息；

5、所述中心設(shè)備在接收到所述第一分支設(shè)備發(fā)送的獲取所述第二分支設(shè)備的地址解析請求報文時，將攜帶有所述第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換前后的地址端口信息的第一地址解析響應(yīng)報文發(fā)送給所述第一分支設(shè)備，并將攜帶有所述第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換前后的地址端口信息的第二地址解析響應(yīng)報文發(fā)送給所述第二分支設(shè)備；

6、所述第二分支設(shè)備接收所述第二地址解析響應(yīng)報文并生成udp報文，且通過所述第二nat設(shè)備將所述udp報文發(fā)送給所述第一nat設(shè)備，以使所述第二nat設(shè)備創(chuàng)建所述第一分支設(shè)備的表項并連通所述第一分支設(shè)備與所述第二分支設(shè)備的通信鏈路；

7、所述第一分支設(shè)備接收所述第一地址解析響應(yīng)報文并與所述第二分支設(shè)備進行因特網(wǎng)秘鑰交換ike協(xié)商，以建立其與所述第二分支設(shè)備的ipsec隧道。

8、在可選的實施方式中，所述第一分支設(shè)備和所述第二分支設(shè)備分別與所述中心設(shè)備建立ipsec隧道，所述中心設(shè)備記錄所述第一分支設(shè)備經(jīng)過所述第一nat設(shè)備轉(zhuǎn)換前后的地址端口信息以及記錄所述第二分支設(shè)備經(jīng)過所述第二nat設(shè)備轉(zhuǎn)換前后的地址端口信息，包括：

9、所述第一分支設(shè)備基于自身的ip地址和ike協(xié)商端口號，生成請求建立ipsec隧道的ike協(xié)商報文并發(fā)送給所述第一nat設(shè)備；

10、所述第一nat設(shè)備接收所述第一分支設(shè)備發(fā)送的ike協(xié)商報文，并將該ike協(xié)商報文中的ip地址、ike協(xié)商端口號進行地址和端口轉(zhuǎn)換后發(fā)送給所述中心設(shè)備；

11、所述中心設(shè)備根據(jù)接收的所述第一nat設(shè)備發(fā)送的ike協(xié)商報文，與所述第一分支設(shè)備建立ipsec隧道，并記錄從ike協(xié)商過程中獲得的所述第一分支設(shè)備的轉(zhuǎn)換前ip地址、兩個轉(zhuǎn)換前ike協(xié)商端口號和轉(zhuǎn)換后ip地址、兩個轉(zhuǎn)換后ike協(xié)商端口號；

12、所述第二分支設(shè)備基于自身的ip地址和ike協(xié)商端口號，生成請求建立ipsec隧道的ike協(xié)商報文發(fā)送給所述第二nat設(shè)備；

13、所述第二nat設(shè)備接收所述第二分支設(shè)備發(fā)送的ike協(xié)商報文，并將該ike協(xié)商報文中的ip地址、ike協(xié)商端口號進行地址和端口轉(zhuǎn)換后發(fā)送給所述中心設(shè)備；

14、所述中心設(shè)備根據(jù)接收的所述第二nat設(shè)備發(fā)送的ike協(xié)商報文，與所述第二分支設(shè)備建立ipsec隧道，并記錄從ike協(xié)商過程中獲得的所述第二分支設(shè)備的轉(zhuǎn)換前ip地址、兩個轉(zhuǎn)換前ike協(xié)商端口號和轉(zhuǎn)換后ip地址、兩個轉(zhuǎn)換后ike協(xié)商端口號。

15、在可選的實施方式中，所述中心設(shè)備將攜帶有所述第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換前后的地址端口信息的第一地址解析響應(yīng)報文發(fā)送給所述第一分支設(shè)備，包括：

16、所述中心設(shè)備基于所述第二分支設(shè)備自身的ip地址生成nhrp協(xié)議報文，并在所述nhrp協(xié)議報文的擴展字段中添加所述第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換后的ip地址、兩個轉(zhuǎn)換后的ike協(xié)商端口號，得到所述第一地址解析響應(yīng)報文并發(fā)送給所述第一分支設(shè)備。

17、在可選的實施方式中，所述中心設(shè)備將攜帶有所述第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換前后的地址端口信息的第二地址解析響應(yīng)報文發(fā)送給所述第二分支設(shè)備，包括：

18、所述中心設(shè)備基于所述第一分支設(shè)備自身的ip地址生成nhrp協(xié)議報文，并在所述nhrp協(xié)議報文的擴展字段中添加所述第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換后的ip地址、兩個轉(zhuǎn)換后的ike協(xié)商端口號，得到所述第二地址解析響應(yīng)報文并發(fā)送給所述第二分支設(shè)備。

19、在可選的實施方式中，所述第二分支設(shè)備接收所述第二地址解析響應(yīng)報文并生成udp報文，且通過所述第二nat設(shè)備將所述udp報文發(fā)送給所述第一nat設(shè)備，包括：

20、所述第二分支設(shè)備接收所述第二地址解析響應(yīng)報文，并從中獲取所述第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換后的ip地址、第一轉(zhuǎn)換后ike協(xié)商端口號以及第二轉(zhuǎn)換后ike協(xié)商端口號；

21、所述第二分支設(shè)備基于所述第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換后的ip地址和第一轉(zhuǎn)換后ike協(xié)商端口號生成第一udp報文，并通過所述第二nat設(shè)備將所述第一udp報文發(fā)送給所述第一nat設(shè)備；

22、所述第二分支設(shè)備基于所述第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換后的ip地址和第二轉(zhuǎn)換后ike協(xié)商端口號生成第二udp報文，并通過所述第二nat設(shè)備將所述第二udp報文發(fā)送給所述第一nat設(shè)備。

23、在可選的實施方式中，所述第一分支設(shè)備接收所述第一地址解析響應(yīng)報文并與所述第二分支設(shè)備進行因特網(wǎng)秘鑰交換ike協(xié)商，包括：

24、所述第一分支設(shè)備接收所述第一地址解析響應(yīng)報文，并從中獲取所述第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換后的ip地址、第三轉(zhuǎn)換后ike協(xié)商端口號以及第四轉(zhuǎn)換后ike協(xié)商端口號；

25、所述第一分支設(shè)備基于所述第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換后的ip地址和第三轉(zhuǎn)換后ike協(xié)商端口號生成一階段協(xié)商報文，并通過所述第一nat設(shè)備將所述一階段協(xié)商報文發(fā)送給所述第二分支設(shè)備，以與所述第二分支設(shè)備協(xié)商ike?sa；

26、所述第一分支設(shè)備基于所述第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換后的ip地址和第四轉(zhuǎn)換后ike協(xié)商端口號生成二階段協(xié)商報文，并通過所述第一nat設(shè)備將所述二階段協(xié)商報文發(fā)送給所述第二分支設(shè)備，以與所述第二分支設(shè)備協(xié)商ipsec?sa。

27、在可選的實施方式中，所述方法還包括：

28、所述第一分支設(shè)備周期性生成?；顖笪模⑼ㄟ^其與所述第二分支設(shè)備的ipsec隧道將所述?；顖笪陌l(fā)送給所述第二分支設(shè)備，以?；钏龅谝籲at設(shè)備與所述第二nat設(shè)備中用于第一階段協(xié)商的ike協(xié)商端口號對應(yīng)的表項。

29、在可選的實施方式中，每個所述ipsec隧道均有隧道標識；

30、所述第一分支設(shè)備周期性生成保活報文，并通過其與所述第二分支設(shè)備的ipsec隧道將所述?；顖笪陌l(fā)送給所述第二分支設(shè)備，包括：

31、所述第一分支設(shè)備周期性根據(jù)isakmp協(xié)議，基于自身的ip地址和用于第一階段協(xié)商的ike協(xié)商端口號、所述第二分支設(shè)備自身的ip地址和用于第一階段協(xié)商的ike協(xié)商端口號以及其與所述第二分支設(shè)備的ipsec隧道的隧道標識生成報文，并利用所述ike?sa對該報文進行加密，獲得所述保活報文且發(fā)送給所述第一nat設(shè)備；

32、所述第一nat設(shè)備將所述?；顖笪闹兴龅谝环种гO(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換前的ip地址和用于第一階段協(xié)商的ike協(xié)商端口號，進行地址和端口轉(zhuǎn)換后發(fā)送給所述中心設(shè)備；

33、所述中心設(shè)備接收所述第一nat設(shè)備發(fā)送的保活報文并發(fā)送給所述第二nat設(shè)備；

34、所述第二nat設(shè)備接收所述中心設(shè)備發(fā)送的?；顖笪?，并將該?；顖笪闹兴龅诙种гO(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換后的ip地址和第三轉(zhuǎn)換后ike協(xié)商端口號，轉(zhuǎn)換為轉(zhuǎn)換前ip地址和用于第一階段協(xié)商的ike協(xié)商端口號之后發(fā)送給所述第二分支設(shè)備。

35、在可選的實施方式中，所述方法還包括：

36、所述中心設(shè)備在接收到所述第一nat設(shè)備發(fā)送的?；顖笪闹螅鶕?jù)該?；顖笪闹械乃淼罉俗R，獲取本地記錄的第一分支設(shè)備的第一轉(zhuǎn)換后ike協(xié)商端口號，并將其與該?；顖笪闹械谝环种гO(shè)備的第一轉(zhuǎn)換后ike協(xié)商端口號進行比較，當兩者不一致時更新本地記錄的第一分支設(shè)備的第一轉(zhuǎn)換后ike協(xié)商端口號。

37、第二方面，本發(fā)明提供一種dvpn網(wǎng)絡(luò)，包括一個中心設(shè)備和多個分支設(shè)備，每個所述分支設(shè)備與所述中心設(shè)備的通信鏈路上均設(shè)置有nat設(shè)備，所述dvpn網(wǎng)絡(luò)用于實現(xiàn)前述實施方式中任一項所述的方法。

38、本發(fā)明提供的ipsec穿越動態(tài)nat的方法和dvpn網(wǎng)絡(luò)，該方法包括：第一分支設(shè)備和第二分支設(shè)備分別與中心設(shè)備建立ipsec隧道，中心設(shè)備記錄這兩個分支設(shè)備的經(jīng)nat設(shè)備轉(zhuǎn)換前后的地址端口信息；中心設(shè)備在接收到第一分支設(shè)備請求獲取第二分支設(shè)備的網(wǎng)絡(luò)信息時，將第二分支設(shè)備經(jīng)第二nat設(shè)備轉(zhuǎn)換前后地址端口信息發(fā)送給第一分支設(shè)備，并將第一分支設(shè)備經(jīng)第一nat設(shè)備轉(zhuǎn)換前后的地址端口信息發(fā)送給第二分支設(shè)備；第二分支設(shè)備接收第一地址解析響應(yīng)報文，并通過第二nat設(shè)備將生成的udp報文發(fā)送給第一nat設(shè)備，以使第二nat設(shè)備創(chuàng)建第一分支設(shè)備的表項來連通第一分支設(shè)備與第二分支設(shè)備的通信鏈路；第一分支設(shè)備接收第二地址解析響應(yīng)報文并與第二分支設(shè)備進行因特網(wǎng)秘鑰交換協(xié)商，來建立其與第二分支設(shè)備的ipsec隧道。從而實現(xiàn)了mgre?over?ipsec場景中穿越動態(tài)nat，確保發(fā)起端與響應(yīng)端協(xié)商成功。

39、為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細說明如下。