[发明专利]一种数据流信息确定方法和装置

说明书

本发明公开了一种数据流信息确定方法和装置，包括：第一网络设备接收第二网络设备发送的协商报文，协商报文携带第一数据流信息和第二网络设备所支持的IPsec封装模式，第一数据流信息包括第一网络设备的私网地址和第二网络设备的私网地址；第一网络设备根据第二网络设备所支持的IPsec封装模式进行IPsec封装模式协商；若协商结果为采用传输模式，则第一网络设备根据协商报文的报文头确定第一网络设备进行IPsec保护的数据流对应的第二数据流信息；若协商结果为采用隧道模式，则第一网络设备根据第一数据流信息确定第一网络设备进行IPsec保护的数据流对应的第二数据流信息。本发明实施例中，可协商出IPsec隧道采用的封装模式，建立IPsec隧道。

技术领域

本发明涉及通信技术领域，尤其涉及一种数据流信息确定方法和装置。

背景技术

IPsec(IP Security，互联网安全性协议)是三层隧道加密协议，为互联网上传输的数据提供基于密码学的安全保证，是实现三层VPN(Virtual Private Network，虚拟专用网络)的安全技术。IPsec通过在本端设备和对端设备之间建立IPsec隧道，保护本端设备和对端设备之间传输的数据。IPsec支持两种封装模式：传输模式和隧道模式。

DVPN(Dynamic Virtual Private Network，动态虚拟专用网络)技术可以通过NHRP(Next Hop Resolution Protocol，下一跳解析协议)或者VAM(VPN AddressManagement，虚拟专用网络地址管理)协议收集、维护和分发动态变化的公网地址等信息，解决了无法事先获得对端设备的公网地址的问题。

DVPN网络中，受IPsec保护的数据流在传输模式和隧道模式下受保护的起点和终点是不同的，对于隧道模式，IPsec保护的数据流是“从本端的私网地址到对端的私网地址”；传输模式下，IPsec保护的数据流是“本端的私网地址到对端的经过NAT转换的公网地址”。

如图1所示，为DVPN的组网示意图，由于网络设备(如中心设备(Hub设备)或者分支设备(Spoke设备))可能位于NAT(Network Address Translation，网络地址转换)设备后面，在图1中，Spoke1的私网地址为IP1，经过NAT转换的公网地址为IP3；Spoke2的私网地址为IP2，经过NAT转换的公网地址为IP4。

为了对Spoke1与Spoke2之间传输的数据流进行IPsec保护，需要在Spoke1上指定Spoke2的数据流信息，只有匹配该数据流信息的数据流才能够进行IPsec保护。假设IPsec隧道采用隧道模式，则IPsec保护的数据流的源地址为IP1，目的地址为IP2，因此数据流信息为IP1和IP2。假设IPsec隧道采用传输模式，则IPsec保护的数据流的源地址为IP1，目的地址为IP4，因此数据流信息为IP1和IP4。

为了在Spoke1与Spoke2之间建立IPsec隧道，该Spoke1会向Spoke2发送IKE(Internet Key Exchange，互联网密钥交换)协商报文，IKE协商报文中只能携带一个数据流信息，Spoke2利用该数据流信息完成IPsec协商，并最终建立IPsec隧道。Spoke1支持IPsec隧道采用传输模式时，Spoke1向Spoke2发送的IKE协商报文中携带的数据流信息为IP1和IP4；Spoke1支持IPsec隧道采用隧道模式时，Spoke1向Spoke2发送的IKE协商报文中携带的数据流信息为IP1和IP2。

在上述方式中，Spoke1只支持IPsec隧道采用传输模式或者隧道模式，而当Spoke1同时支持IPsec隧道采用传输模式和隧道模式时，则无法在Spoke1与Spoke2之间协商出IPsec隧道采用的封装模式，也就无法确定出Spoke1和Spoke2需要进行IPsec保护的数据流对应的数据流信息，继而无法建立IPsec隧道。

发明内容

本发明实施例提供一种数据流信息确定方法，所述方法包括：