技術領域

本發明涉及通信技術領域，尤其涉及一種IPSec SA的獲取方法和裝置。

背景技術

傳統的GRE(Generic Routing Encapsulation，通用路由封裝)隧道，是點到點的隧道，進行通信的兩端必須知道對端的公網地址；而ADVPN(Auto Discovery Virtual Private Network，自動發現虛擬專用網絡)是一種三層隧道，提供了點到多點的隧道，可以實現多個分支之間的互通，因此在ADVPN網絡中，每個節點均需要知道所有對端的公網地址。

在ADVPN網絡中，是通過部署VAM(Virtual Private Network Address Management，虛擬專用網地址管理)服務器來獲取到通信對端的公網地址。VAM協議是ADVPN方案的主要協議。VAM服務器負責收集、維護、分發分支公網地址等信息。每一個Hub/Spoke設備(統稱為VAM客戶端)向VAM服務器注冊自己的公網地址和私網地址(即ADVPN隧道的接口地址)。企業分支的私網之間轉發數據報文時，需要查詢路由表，獲得到達對端目的網段的私網路由，再查詢VAM服務器，獲取該私網路由下一跳對應的公網地址，并利用該公網地址作為隧道的目的地址對報文進行封裝，最后交給已建立起的安全隧道發送到目的端用戶。

ADVPN具有兩種典型的組網結構，分別為Full-Mesh(全互聯)網絡和Hub-Spoke網絡；

請參見圖1，圖1為Full-Mesh網絡拓撲圖，在該網絡中，Spoke之間可以建立隧道直接通信；Hub主要作為路由信息交換的中心。其中Spoke在向 VAM服務器注冊后獲得該VPN域中Hub的信息，并與Hub建立永久的隧道連接；任意的兩個Spoke之間也可以直接建立隧道。

請參見圖2，圖2為Hub-Spoke網絡拓撲圖，在該網絡中，Spoke之間不能建立隧道直接通信，只能通過Hub轉發數據；Hub即作為路由信息交換的中心，又作為數據轉發的中心。

在ADVPN網絡中，Spoke設備向VAM服務器進行注冊的時候，VAM服務器會將Hub的公網和私網地址發送給Spoke設備。這樣Spoke設備可以和Hub之間建立永久隧道。如果Hub是后注冊的，當Hub上線后，原有的Spoke使用保活報文(Keepalive)和VAM服務器聯系的時候，VAM服務器會將Hub信息發送給Spoke，從而保證Spoke和Hub之間建立永久隧道。所有Spoke和Hub之間都會有隧道，Spoke通過Spoke和Hub之間的隧道獲取所有對端的路由信息。例如在部署OSPF(Open Shortest Path First，開放路徑最短優先)時，通過Spoke和Hub之間的隧道，Hub和Spoke可以互相傳遞LSA(Link State Advertisement，鏈路狀態通告)。另外，雖然Spoke的路由信息從Hub獲取，但是路由的下一跳不一定是Hub，可以是其它的Spoke。

當Spoke上有報文需要轉發的時候，通過查詢路由表匹配路由，如果發現下一跳是對端私網地址，則進一步檢查是否已和所述對端已建立了隧道；如果有隧道，直接轉發；如果沒有隧道，根據所述對端的私網地址向VAM服務器查詢所述對端的公網地址，從而建立到達所述對端的隧道，并通過隧道轉發報文。

VAM客戶端(即Spoke和Hub)和VAM服務器之間通過keepalive報文進行保活。當有多個VAM Server的時候，VAM客戶端需要向該多個VAM Server單獨進行注冊和進行keepalive保活；當VAM客戶端需要進行地址查詢的時候，應該向primary(主用)VAM服務器進行查詢，如果主用VAM服務器不是online(在線)狀態，那么則向secondary(備用)VAM服務器進行查詢。

ADVPN隧道實現了點到多點之間的私網通信。為了不使私網消息泄漏到公網上，ADVPN和IPSEC(IP Security，IP安全)技術進行了緊密結合，實現了私網報文在廣域網上的加密傳輸。因為使用了IPSEC技術，ADVPN的各個節點之間需要一對一協商IKE SA和IPSEC SA對私網數據進行加密。因此，當節點很多的時候，整個ADVPN網絡則需要建立和維護大量的IKE SA和IPSEC SA，例如假如一個網絡中存在3000個分支，那么Hub設備就需要建立和維護3000個IKE SA和IPSEC SA，需要消耗大量的系統資源。

發明內容