技術領域

本發明涉及網絡通信技術領域，特別涉及一種確定IP安全虛擬專用網隧道數量的方法和裝置。

背景技術

IP安全(IPsec)是IETF制定的三層隧道加密協議，為Internet上的數據傳輸提供了高質量的安全保證，可以作用于各種VPN。安全聯盟(SA)是安全隧道兩端的IPsec設備對安全要素的約定，包括安全協議、封裝模式、加密算法、共享密鑰以及密鑰的生存周期等。其中安全協議可以分為驗證頭(AH)和封裝安全載荷(ESP)。

SA是單向的，IPsec設備之間的雙向通信至少需要兩個SA來分別對兩個方向的數據流進行安全防護，另外，SA是針對安全協議來構建的，IPsec設備會針對使用的安全協議分別構建獨立的SA。例如，如果安全隧道兩端的IPsec設備約定同時使用AH和ESP兩種安全協議來進行安全防護，則每個IPsec設備都會針對每一種安全協議分別構建獨立的SA。SA由一個三元組來唯一標識，每個三元組包括：安全參數索引(SPI)、目的IP地址和安全協議號。其中SPI是用于唯一標識SA的一個32比特數值，在AH或ESP頭中傳輸。在手工配置SA時，SPI手工指定，使用密鑰交換協議(IKE)協商產生SA時，SPI隨機生成。

隨著IPsec?VPN業務的應用越來越廣泛，網管軟件需要支持IPsec設備，用于進行IPsec?VPN業務的管理，對IPsec?VPN隧道數量的統計就是其中重要的一項。目前網管對IPsec?VPN隧道數量的統計是通過向IPsec設備獲取IPsec?VPN隧道的本端和對端IP地址的方式來確定的。如圖1所示，路由器A和路由器B之間存在一條IPsec?VPN隧道，網管從路由器A獲取到存在一條對端IP地址為2.2.2.2的IPsec?VPN隧道，從路由器B獲取到存在一條對端IP地址為1.1.1.1的IPsec?VPN隧道，網管會認為管理了兩條IPsec?VPN隧道，顯然，這種統計方式是錯誤的。如果簡單的將統計到的數量除以2，同樣也是不準確的，因為路由器A和路由器B之間可能存在多條IPsec?VPN隧道，該多條IPsec?VPN隧道具有相同的本端IP地址和對端IP地址，但采用不同的SA，顯然，現有技術的方式并不能獲取到準確的IPsec?VPN隧道數量。

發明內容

有鑒于此，本發明提供了一種確定IPsec?VPN隧道數量的方法和裝置，以便于準確地獲取IPsec?VPN遂道的數量，方便網管對IPsec設備的管理。

一種確定IPsec?VPN隧道數量的方法，該方法包括：

A、將各IPsec設備中的各IPsec?VPN隧道信息讀取至數據結構表，所述各IPsec?VPN隧道信息包括：隧道本端IP地址、隧道對端IP地址、入方向安全聯盟SA索引和出方向SA索引；

B、對數據結構表中的各IPsec?VPN隧道信息進行比較，確定IPsec?VPN隧道的數量；其中，當一條IPsec?VPN隧道信息的隧道本端IP地址、隧道對端IP地址、入方向SA索引和出方向SA索引分別與另一條IPsec?VPN隧道信息的隧道對端IP地址、隧道本端IP地址、出方向SA索引和入方向SA索引一致時，確定所述一條IPsec?VPN隧道信息與所述另一條IPsec?VPN隧道信息屬于一條IPsec?VPN隧道。

一種確定IPsec?VPN隧道數量的裝置，該裝置包括：信息讀取單元、數據存儲單元和隧道統計單元；

所述信息讀取單元，用于將IPsec設備中的各IPsec?VPN隧道信息讀取至數據結構表；所述各IPsec?VPN隧道信息包括：隧道本端IP地址、隧道對端IP地址、入方向安全聯盟SA索引和出方向SA索引；

所述數據存儲單元，用于存儲數據結構表；

所述隧道統計單元，用于對數據結構表中的各IPsec?VPN隧道信息進行比較，確定IPsec?VPN隧道的數量；其中，當一條IPsec?VPN隧道信息的隧道本端IP地址、隧道對端IP地址、入方向SA索引和出方向SA索引分別與另一條IPsec?VPN隧道信息的隧道對端IP地址、隧道本端IP地址、出方向SA索引和入方向SA索引一致時，確定所述一條IPsec?VPN隧道信息與所述另一條IPsec?VPN隧道信息屬于一條IPsec?VPN隧道。