技術領域

本發明涉及IP安全技術領域，具體涉及IP安全報文轉發方法及裝置。

背景技術

IP安全(IPSec，IP?Security)是國際互聯網工程工作組(IETF，Internet Engineering?Task?Force)制定的三層隧道加密協議，它為因特網上傳輸的數 據提供了高質量、可互操作、基于密碼學的安全保證。IPSec策略啟用在實 際接口上，對該接口上轉發的特定報文進行加密和封裝，并發送到IPSec對 等體(IKE-Peer)，IPSec對等體對該報文進行解封裝和解密，再將該報文 按照目的IP進行轉發。

IPSec基本配置的實現如下：通過IPSec，對等體之間即：設備及其對端 能夠對不同的數據流實施不同的安全保護如：認證、加密或兩者同時使用， 數據流的區分通過配置訪問控制列表(ACL，Access?Control?List)來進行； 安全保護所用到的安全協議、認證算法和加密算法、封裝模式等通過配置 IPSec提議來進行；數據流和IPSec提議的關聯即：定義對何種數據流實施 何種保護、安全聯盟(SA，Security?Association)的協商方式、對等體IP地 址的設置即：保護路徑的起/終點、所需要的密鑰和SA的生存周期等通過配 置安全策略來進行；最后在設備接口上實施安全策略即完成了IPSec的配置， 若通過軟件實現，則在接口上應用安全策略即可；若通過加密卡實現，則除 了在接口上應用安全策略，還需將安全策略綁定到加密卡上。

圖1給出了基于ACL的IPSec組網圖，如圖1所示，在兩端設備：設 備A、B的公網接口上配置IPSec策略，IPSec策略包含3個要素，IPSec對 等體、加密算法、加密ACL。對于設備A的公網接口上轉發或者始發的報 文，首先將該報文與已有的IPSEC?SA匹配，若匹配到，則使用該IPSec?SA 對報文進行加密封裝發送到設備B；若未匹配到，則將該報文與加密ACL 匹配，若匹配上，則設備A向設備B發起IPSec?SA協商，IPSec?SA協商成 功，IPSsec?SA建立，使用新建立的IPSec?SA對該報文進行加密封裝后送到 對端設備A。

為保證SA的成功建立，需要將IPSec對等體上的ACL鏡像配置，即保 證兩端要保護的數據流范圍是鏡像的。圖2給出了一個鏡像配置ACL的示 例圖。在建立IPSec?SA時，對于要加密的流兩端最后要協商成鏡像方式， 這樣，對于組播和廣播報文都不可能建立IPSec?SA。因為：對于組播或廣播 報文，其目的地址為組播或廣播地址，若要ACL鏡像配置，則對端設備的 ACL配置的源地址需要為組播或廣播地址，這種報文實際上是不存在的； 另外，對于組播或廣播報文，即使兩端設備完成了ACL鏡像配置，組播或 廣播報文被送到了對端設備，但是由于兩端設備的公網接口不在同一網段， 無法建立鄰居關系，因此無法實現路由，也就導致IPSec隧道兩端不能啟用 動態路由和組播協議。

思科(CISCO)公司提出的靜態虛擬隧道接口(VTI，Virtual?Tunnel Interface)使用隧道接口，VTI上配置了本端和對端的公網IP地址、加密算 法，并指定接口的封裝方式為IPSec封裝，設備使用隧道接口上配置的對端 的公網IP地址作為IPSec對等體的地址發起IPSec連接。圖3為靜態VTI 組網圖，如圖3所示，設備A的隧道接口上配置的對端公網IP地址為1.2.1.1， 則設備A的VTI上有報文始發或者轉發時，檢查是否有與VTI上配置的對 端公網IP地址對應的IPSec?SA，若有，則使用該IPSec?SA對該報文進行加 密封裝；若沒有，則向設備B發起IPSec?SA協商，協商成功IPSec?SA建立， 設備A使用建立的IPSEC?SA對報文進行加密封裝后發送到設備B。

設備A、B上建立的IPSec?SA如下：

！

crypto?isakmp?policy?1

encr?3?des

authentication?pre-share

group?2

crypto?isakmp?key?Cisco?12345?address?0.0.0.0?0.0.0.0

crypto?IPsec?transform-set?T1?esp-3des?esp-sha-hmac