技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，特別涉及一種實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)鏈路層通信的方法和裝置。

背景技術(shù)

越來越多的企業(yè)希望利用公共網(wǎng)絡(luò)組建虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN），連接地理位置不同的多個(gè)分支機(jī)構(gòu)。然而，企業(yè)分支機(jī)構(gòu)通常采用動態(tài)地址接入公共網(wǎng)絡(luò)，通信一方無法事先知道對端的公網(wǎng)地址，這就為組建VPN提出了一個(gè)難題。

動態(tài)虛擬專用網(wǎng)絡(luò)（Dynamic Virtual Private Network，DVPN）技術(shù)可通過下一跳解析協(xié)議（Next Hop Resolution Protocol，NHRP）或者VPN地址管理（VPN Address Management，VAM）協(xié)議收集、維護(hù)和分發(fā)動態(tài)變化的公網(wǎng)地址等信息，解決了無法事先獲得通信對端公網(wǎng)地址的問題。DVPN可以在企業(yè)網(wǎng)各分支機(jī)構(gòu)使用動態(tài)地址接入公網(wǎng)的情況下，在各分支機(jī)構(gòu)間建立VPN。

DVPN把連接到公網(wǎng)上的各節(jié)點(diǎn)組成的網(wǎng)絡(luò)看作VPN網(wǎng)絡(luò)，公網(wǎng)作為VPN網(wǎng)絡(luò)的鏈路層，DVPN隧道作為企業(yè)內(nèi)部子網(wǎng)之間的虛通道，相當(dāng)于網(wǎng)絡(luò)層。企業(yè)各分支設(shè)備動態(tài)接入到公網(wǎng)中，其公網(wǎng)地址對于通信的另一端來說是未知的，而對于建立端到端的安全隧道，公網(wǎng)地址是必須的條件之一。DVPN通過VAM獲取通信對端的公網(wǎng)地址。

VAM協(xié)議是DVPN方案的主要協(xié)議，負(fù)責(zé)收集、維護(hù)、分發(fā)公網(wǎng)地址等信息，幫助用戶快捷、方便的建立起內(nèi)部的安全隧道。企業(yè)內(nèi)部子網(wǎng)之間轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文通過路由協(xié)議得到其私網(wǎng)下一跳，通過VAM協(xié)議查詢到私網(wǎng)下一跳對應(yīng)的公網(wǎng)地址，并利用該公網(wǎng)地址作為隧道的目的地址進(jìn)行封裝，最后交給已建立起的安全隧道發(fā)送到目的端用戶。

參見圖1，圖1為DVPN示意圖。圖1中各VAM客戶端已向VAM服務(wù)器注冊，獲得自身的身份為分支設(shè)備（Spoke）還是中心設(shè)備（Hub）。以PC1需要向PC2發(fā)送報(bào)文為例。Spoke1接收到PC1發(fā)送的報(bào)文時(shí)，需要先將報(bào)文封裝為通用路由封裝協(xié)議（Generic Routing Encapsulation，GRE）報(bào)文，再根據(jù)GRE報(bào)文的信息匹配對應(yīng)的IPsec SA，如果匹配到，根據(jù)匹配到的IPsec SA封裝GRE報(bào)文并發(fā)送給Spoke3；否則，觸發(fā)Spoke1與Spoke3進(jìn)行因特網(wǎng)密鑰交換（Internet Key Exchange，IKE）協(xié)商，在IKE協(xié)商時(shí)，攜帶該GRE報(bào)文的信息，建立與該GRE報(bào)文的信息相匹配的IPsec SA。

其中，GRE報(bào)文的信息為源IP地址、目的IP地址和協(xié)議號。這里以GRE報(bào)文舉例，如果是用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP）報(bào)文，還包括源端口號和目的端口號。

參見圖2，圖2為現(xiàn)有實(shí)現(xiàn)中Spoke1封裝的IPsec報(bào)文的格式示意圖。由圖2中可見，Spoke1接收到的是一個(gè)源IP地址為192.168.0.1，目的IP地址為192.1.168.0.2的原始IP報(bào)文。Spoke1對該原始IP報(bào)文進(jìn)行GRE封裝，封裝的源IP地址為21.1.1.1，目的IP地址為21.1.1.2，以及GRE頭。Spoke1再將該GRE報(bào)文封裝為一個(gè)IPsec報(bào)文。封裝的IP頭中的源IP地址為21.1.1.1，目的IP地址為21.1.1.2。

Spoke1將IPsec報(bào)文通過與Spoke3建立的隧道發(fā)送給Spoke3，Spoke3解除接收到的報(bào)文的IPsec封裝，再解除GRE封裝，根據(jù)解封裝后的報(bào)文的目的IP地址將報(bào)文轉(zhuǎn)發(fā)給PC2。

DVPN技術(shù)初衷是為了解決IPsec網(wǎng)關(guān)之間的互聯(lián)問題，IPsec標(biāo)準(zhǔn)（RFC4301）中，在VPN網(wǎng)絡(luò)的鏈路層只能進(jìn)行IPsec+GRE，或IPsec+UDP鏈路層封裝，即需要依靠其他網(wǎng)絡(luò)協(xié)議如GRE協(xié)議和UDP協(xié)議才能實(shí)現(xiàn)DVPN鏈路層通信。

發(fā)明內(nèi)容

有鑒于此，本申請?zhí)峁┮环N實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)鏈路層通信的方法和裝置，能夠直接使用IPsec協(xié)議作為DVPN的鏈路層，減小報(bào)文的大小，降低網(wǎng)絡(luò)帶寬消耗。

為解決上述技術(shù)問題，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)DVPN鏈路層通信的方法，所述方法包括：