技術領域

本發明涉及通信技術領域，尤其涉及一種數據分路傳輸方法及裝置、系統。

背景技術

IPSec(IP?Security，因特網協議安全)是IETF制定的為保證在Internet上傳送數據的安全保密性能的三層隧道加密協議。IPSec在IP層對IP報文提供安全服務。在IPSec協議中定義了如何在IP數據包中增加字段來保證IP包的完整性、私有性和真實性，以及如何加密數據包。使用IPSec，數據就可以安全地在公網上傳輸。

如圖1所示為現有技術中應用IPsec的系統結構示意圖，源設備、安全網關和目的設備之間通過公網IP進行通信，支持IPsec客戶端協議的源設備與安全網關(至少支持IPSec服務器側協議)之間建立IPSec隧道用于安全數據傳輸，數據通過安全網關路由到目的設備。

然而，當源設備和安全網關的接口(物理端口或者IP地址)只有一個，目的設備至少為兩個時，如目的設備1和目的設備2，由于源設備發送到目的設備1的數據1和源設備發送的目的設備2的數據2均通過IPsec隧道傳輸到安全網關，安全網關無法識別數據1和數據2的去向，此時，數據1、2只能發送的一個目的設備上，而無法分路，也即，對于上述應用場景，源設備與多個目的設備間無法實現端到端的數據隔離。

發明內容

本發明實施例提供一種數據分路傳輸方法及裝置、系統，能夠實現源設備與多個目的設備間端到端的數據隔離。

為了解決上述技術問題，本發明實施例的技術方案如下：

源設備向安全網關請求因特網協議安全IPsec隧道中至少兩條邏輯隧道的私網IP地址；

所述源設備獲得所述至少兩條邏輯隧道的私網IP地址及其與各目的設備間的對應關系信息；

所述源設備根據所述對應關系信息，將發送至所述各目的設備的數據流映射到對應的邏輯隧道中，并向所述安全網關傳輸，以使所述安全網關將接收到的數據流發送至對應的目的設備。

一種數據分路傳輸方法，包括：

安全網關接收源設備對IPsec隧道中至少兩條邏輯隧道的私網IP地址的請求；

所述安全網關為所述IPsec隧道中至少兩條邏輯隧道分別分配私網IP地址，并向所述源設備反饋所述至少兩條邏輯隧道的私網IP地址；

所述安全網關接收所述源設備通過不同邏輯隧道發送的數據流；

所述安全網關根據所述至少兩條邏輯隧道的私網IP地址識別接收到的數據流，并根據至少兩條邏輯隧道的私網IP地址與各目的設備間的對應關系信息將識別出的數據流發送至對應的目的設備。

一種通信設備，包括：

地址請求單元，用于向安全網關請求IPsec隧道中至少兩條邏輯隧道的私網IP地址；

地址接收單元，用于獲得所述至少兩條邏輯隧道的私網IP地址及其與各目的設備間的對應關系信息；

數據隔離單元，用于根據所述對應關系信息，將發送至所述各目的設備的數據流映射到對應的邏輯隧道中，并向安全網關傳輸，以使所述安全網關將接收到的數據流發送至對應的目的設備。

一種安全網關，包括：

請求接收單元，用于接收源設備對IPsec隧道中至少兩條邏輯隧道的私網IP地址的請求；

地址分配單元，用于為所述IPsec隧道中至少兩條邏輯隧道分別分配私網IP地址，并向所述源設備反饋所述至少兩條邏輯隧道的私網IP地址；

數據接收單元，用于接收所述源設備通過不同邏輯隧道發送的數據流；

數據分流單元，用于根據所述至少兩條邏輯隧道的私網IP地址識別接收到的數據流，并根據至少兩條邏輯隧道的私網IP地址與各目的設備間的對應關系信息將識別出的數據流發送至對應的目的設備。

一種數據分路傳輸系統，包括源設備、安全網關和至少兩個目的設備，其中，

所述源設備，用于向所述安全網關請求IPsec隧道中至少兩條邏輯隧道的私網IP地址；獲得所述至少兩條邏輯隧道的私網IP地址及其與各目的設備間的對應關系信息；根據所述對應關系信息，將發送至所述各目的設備的數據流映射到對應的邏輯隧道中，并向所述安全網關傳輸，以使所述安全網關將接收到的數據流發送至對應的目的設備。