技術領域

本發明涉及網絡技術領域，尤其涉及一種實現通用路由封裝(GRE，GenericRouting?Encapsulation)協議兼容IP封裝IP(IP?in?IP，IP?Encapsulation?within?IP)協議的方法及裝置。

背景技術

虛擬專用網絡(VPN，Virtual?Private?Network)是利用公用網絡來連接到企業私有網絡。在VPN組網中，隧道(Tunnel)是一個很重要的技術，如圖1所示，兩個私網之間通過隧道傳輸數據，它可以使分離的同一屬性的子網通過隧道實現透明連接。這樣就可以將不連續的子網建立起連接，組建VPN網絡。

現有技術中，可以通過在IP協議數據報中封裝另一個IP協議數據報，即RFC2003規范中描述的IP?in?IP協議，使得兩個私網之間的數據報可以通過因特網進行傳輸。封裝好的數據報如圖2所示。RFC2003把路由信息送往某個中間目的地址，而不是原IP協議數據報頭部的目的地址，因此，該封裝方式可用于很多方面，例如，使用移動IP把數據報傳送到某個移動節點。

IP?in?IP協議支持動態最大傳輸單元(MTU，Maximum?Transmission?Unit)檢查。因此，可以避免大數據報在主機內進行無謂的多次分片。另外，封裝后的數據報被發送后，封裝方可能從該隧道內的任一中間路由器而不是隧道出口接收到一條網際控制報文協議(ICMP，Internet?Control?Message?Protocol)信息。ICMP是TCP/IP協議族的一個子協議，用于在IP主機、路由器之間傳遞控制消息。該控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然并不傳輸用戶數據，但是對于用戶數據的傳遞起著重要的作用。收到ICMP報文信息的封裝方采取何種動作，取決于所收到的ICMP報文信息的類型，即包含的控制消息具體是什么。封裝方可以使用收到的ICMP報文信息產生一個相似的ICMP報文信息，發送給產生圖3中所示最底層的IP協議數據報的構建者，即原始發送方。該過程稱為中繼(relaying)來自隧道的ICMP報文信息。因此，封裝方可以通過處理數據報內部的ICMP報文進行相應的處理，如完成擁塞控制、重定向等操作。但是，IP?in?IP協議兼容性較差，只能由IP封裝IP協議數據報，對路由器的資源占用相對較大，并且安全機制較差。因此，IP?in?IP協議的應用面較窄。

另外，在現有技術中，還可以使用通用路由封裝(GRE，Generic?RoutingEncapsulation)協議，GRE協議在乘客協議數據和乘客協議頭的外層封裝上GRE協議頭(攜帶相應的GRE?Tunnel信息)，在GRE協議頭外部再封裝一層傳輸協議頭，封裝好的數據報如圖3所示。由于封裝好的數據報有一層GRE協議頭(GRE?Header)，因此，里面可以攜帶隧道安全識別內容，提供一定的安全性。

GRE協議具有較好的靈活性、安全性和兼容性。通過GRE隧道可以支持IP封裝IP、IPv6等三層協議，也可以支持封裝二層協議。但是，GRE協議不支持在隧道接口處理隧道內部的ICMP報文信息，所以GRE協議不支持擁塞控制、重定向等操作，以及GRE隧道的MTU發現機制，而且需要靜態配置GRE隧道的MTU。

發明內容

本發明實施例提供了一種實現GRE協議兼容IP?in?IP協議的方法及裝置，用以解決現有技術中存在的GRE協議不支持處理ICMP報文的問題。

本發明實施例提供的方法包括：

對IP協議數據報進行解封裝，得到里層IP協議數據報，當確定該里層IP協議數據報攜帶ICMP報文時，對該ICMP報文進行處理；

其中，所述IP協議數據報是通過對所述里層IP協議數據報先進行GRE協議封裝，再進行IP協議封裝得到的。

本發明實施例提供的裝置包括：解封裝單元、判定單元和ICMP處理單元；

所述解封裝單元，用于對IP協議數據報進行解封裝，得到里層IP協議數據報，其中，所述IP協議數據報是通過對所述里層IP協議數據報先進行GRE協議封裝，再進行IP協議封裝得到的；

所述判定單元，用于當確定該里層IP協議數據報攜帶ICMP報文時，觸發所述ICMP處理單元；

所述ICMP處理單元，用于當接收到所述判定單元的觸發時，對該ICMP報文進行處理。