一種報文傳輸方法及裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及通信技術領域�,具體涉及一種報文傳輸方法及裝置。
【背景技術】
[0002]隨著虛擬技術的不斷發(fā)展����,虛擬路由技術應運而生,例如�����,通過虛擬路由技術可以將企業(yè)網絡側的一個物理路由器虛擬為多個相互隔離的虛擬路由器(英文:VirtualRouter,簡稱:VR)��,并將物理路由器中的三層功能上移到運營商網絡側維護的虛擬路由器中�����,對應地���,企業(yè)網絡側只需要保留并維護具有簡單交換功能的客戶終端設備(英文:Customer Premise Equipment,簡稱:CPE)。在具體應用時�����,可通過VR與CPE相互配合實現(xiàn)諸如路由轉發(fā)、虛擬專用網絡(英文:Virtual Private Network,簡稱:VPN)����、深度包檢測(英文:Deep Packet Inspect1n,簡稱:DPI)等業(yè)務。
[0003]以VR與CPE相互配合�����,實現(xiàn)兩個企業(yè)分支網絡之間的VPN業(yè)務為例�,參見圖1所示網絡示意圖,可體現(xiàn)為:分支網絡1中的CPE1與運營商網絡中的VR1建立通信�����,分支網絡2中的CPE2與運營商網絡中的VR2建立通信����,且在VR1與VR2之間建立VPN隧道,如此�����,就實現(xiàn)了分支網絡1與分支網絡2之間的VPN業(yè)務���。
[0004]但是��,如此實現(xiàn)的VPN業(yè)務卻存在如下問題:CPE與VR之間的鏈路無法對報文進行加密保護���,致使二者之間的通信存在極大的安全隱患�,特別是在VR以廣播方式進行下行報文轉發(fā)時����,這一問題就越發(fā)凸顯出來。
【發(fā)明內容】
[0005]本發(fā)明實施例的報文傳輸方法及裝置���,有助于提高分支網絡之間的通信安全性�����。
[0006]為此��,本發(fā)明實施例提供如下技術方案:
[0007]第一方面��,提供了一種報文傳輸方法�,所述方法包括:
[0008]第一客戶終端設備CPE接收第一設備發(fā)送的第一報文����,所述第一報文包括:第一源地址、第一目的地址和第一載荷���;所述第一源地址為所述第一設備的地址��,所述第一目的地址為第二設備的地址����,所述第一 CPE和所述第一設備位于第一分支網絡�,所述第二設備與第二 CPE相通信,且所述第二設備和所述第二 CPE位于第二分支網絡��,所述第一 CPE與所述第二 CPE保存有相同的虛擬專用網絡VPN協(xié)商參數(shù)����,所述VPN協(xié)商參數(shù)包括:指定加密算法和共享密鑰;
[0009]所述第一 CPE利用所述指定加密算法和所述共享密鑰對所述第一載荷進行加密處理���,獲得第一加密載荷�;
[0010]所述第一 CPE進行封裝處理����,獲得封裝后的報文,所述封裝后的報文包括:所述第一源地址���、所述第一目的地址�、第一封裝報頭和所述第一加密載荷;
[0011]所述第一 CPE將所述封裝后的報文發(fā)送至第一虛擬路由器��。
[0012]在第一方面的第一種可能的實現(xiàn)方式中����,所述第一 CPE獲取所述VPN協(xié)商參數(shù)的方式,包括:
[0013]所述第一 CPE向所述第一虛擬路由器發(fā)送所述第一 CPE支持的加密算法����;
[0014]所述第一 CPE接收所述第一虛擬路由器發(fā)送的所述VPN協(xié)商參數(shù),所述VPN協(xié)商參數(shù)由所述第一虛擬路由器與第二虛擬路由器協(xié)商獲得�,所述第二虛擬路由器與所述第二CPE相通信,所述第二虛擬路由器能獲取所述第二 CPE支持的加密算法��,所述指定加密算法從所述第一 CPE與所述第二 CPE共同支持的加密算法中選取��。
[0015]結合第一方面或第一方面的第一種可能的實現(xiàn)方式��,在第一方面的第二種可能的實現(xiàn)方式中����,所述方法還包括:
[0016]所述第一 CPE接收所述第一虛擬路由器發(fā)送的第二報文,所述第二報文包括??第二源地址��、第二目的地址��、第二封裝報頭和第二加密載荷;
[0017]所述第一 CPE進行拆封裝處理����,獲得拆封裝后的報文���,所述拆封裝后的報文包括:所述第二源地址��、所述第二目的地址和所述第二加密載荷��;
[0018]所述第一 CPE對所述拆封裝后的報文進行解密處理����,獲得解密后的報文�,所述解密后的報文包括:所述第二源地址、所述第二目的地址和載荷���;
[0019]所述第一 CPE將所述解密后的報文發(fā)送至所述第二目的地址對應的設備����。
[0020]第二方面�����,提供了一種報文傳輸方法,所述方法包括:
[0021]第一虛擬路由器接收第一客戶終端設備CPE發(fā)送的第一報文���,所述第一報文包括:第一源地址�����、第一目的地址�����、第一封裝報頭和第一加密載荷��;
[0022]所述第一虛擬路由器查找所述第一目的地址對應的第二虛擬路由器�,所述第一虛擬路由器與所述第二虛擬路由器之間建立有第一虛擬專用網絡VPN隧道����;
[0023]所述第一虛擬路由器對所述第一報文進行封裝處理,獲得封裝后的報文���,所述封裝后的報文包括:所述第一虛擬路由器的公網地址����、所述第二虛擬路由器的公網地址、所述第一 VPN隧道的封裝報頭��、所述第一源地址���、所述第一目的地址����、所述第一封裝報頭和所述第一加密載荷�����;
[0024]所述第一虛擬路由器將所述封裝后的報文發(fā)送至所述第二虛擬路由器��。
[0025]在第二方面的第一種可能的實現(xiàn)方式中�����,所述方法還包括:
[0026]所述第一虛擬路由器接收第三虛擬路由器發(fā)送的第二報文�,所述第一虛擬路由器與所述第三虛擬路由器之間建立有第二 VPN隧道�����,所述第二報文包括:所述第三虛擬路由器的公網地址�、所述第一虛擬路由器的公網地址、所述第二 VPN隧道的封裝報頭���、第二源地址���、第二目的地址����、第二封裝報頭和第二加密載荷�;
[0027]所述第一虛擬路由器進行拆封裝處理,獲得拆封裝后的報文�����,所述拆封裝后的報文包括:所述第二源地址�、所述第二目的地址、所述第二封裝報頭和所述第二加密載荷����;
[0028]所述第一虛擬路由器將所述拆封裝后的報文發(fā)送至所述第一 CPE��。
[0029]第三方面,提供了一種報文傳輸裝置���,所述裝置包括:
[0030]第一接收單元���,用于接收第一設備發(fā)送的第一報文����,所述第一報文包括:第一源地址�����、第一目的地址和第一載荷��;所述第一源地址為所述第一設備的地址�,所述第一目的地址為第二設備的地址,所述第一設備與第一客戶終端設備CPE相通信����,所述第一 CPE和所述第一設備位于第一分支網絡�����,所述第二設備與第二 CPE相通信����,且所述第二設備和所述第二CPE位于第二分支網絡,所述第一 CPE與所述第二 CPE保存有相同的虛擬專用網絡VPN協(xié)商參數(shù)��,所述VPN協(xié)商參數(shù)包括:指定加密算法和共享密鑰;
[0031]加密處理單元�����,用于利用所述指定加密算法和所述共享密鑰對所述第一載荷進行加密處理�,獲得第一加密載荷;
[0032]封裝處理單元�����,用于進行封裝處理����,獲得封裝后的報文,所述封裝后的報文包括:所述第一源地址��、所述第一目的地址����、第一封裝報頭和所述第一加密載荷;
[0033]第一發(fā)送單元����,用于將所述封裝后的報文發(fā)送至第一虛擬路由器。
[0034]在第三方面的第一種可能的實現(xiàn)方式中�,所述裝置還包括:
[0035]第二發(fā)送單元���,用于向所述第一虛擬路由器發(fā)送所述第一 CPE支持的加密算法;
[0036]第二接收單元��,用于接收所述第一虛擬路由器發(fā)送的所述VPN協(xié)商參數(shù)����,所述VPN協(xié)商參數(shù)由所述第一虛擬路由器與第二虛擬路由器協(xié)商獲得,所述第二虛擬路由器與所述第二 CPE相通信����,所述第二虛擬路由器能獲取所述第二 CPE支持的加密算法,所述指定加密算法從所述第一 CPE與所述第二 CPE共同支持的加密算法中選取����。
[0037]結合第三方面或第三方面的第一種可能的實現(xiàn)方式,在第三方面的第二種可能的實現(xiàn)方式中����,所述裝置還包括:
[0038]第三接收單元���,用于接收所述第一虛擬路由器發(fā)送的第二報文�,所述第二報文包括:第二源地址�、第二目的地址�、第二封裝報頭和第二加密載荷���;
[0039]拆封裝處理單元���,用于進行拆封裝處理,獲得拆封裝后的報文����,所述拆封裝后的報文包括:所述第二源地址、所述第二目的地址和所述第二加密載荷�;
[0040]解密處理單元,用于對所述拆封裝后的報文進行解密處理�����,獲得解密后的報文��,所述解密后的報文包括:所述第二源地址�����、所述第二目的地址和載荷�����;
[0041]第三發(fā)送單元,用于將所述解密后的報文發(fā)送至所述第二目的地址對應的設備��。
[0042]第四方面���,提供了一種報文傳輸裝置�����,所述裝置包括:
[0043]第一接收單元���,用于接收第一客戶終端設備CPE發(fā)送的第一報文,所述第一報文包括:第一源地址�、第一目的地址、第一封裝報頭和第一加密載荷���;
[0044]查找單元����,用于查找所述第一目的地址對應的第二虛擬路由器���,第一虛擬路由器與所述第二虛擬路由器之間建立有第一虛擬專用網絡VPN隧道;
[0045]封裝處理單元����,用于對所述第一報文進行封裝處理�,獲得封裝后的報文�����,所述封裝后的報文包括:所述第一虛擬路由器的公網地址�����、所述第二虛擬路由器的公網地址����、所述第一 VPN隧道的封裝報頭、所述第一源地址����、所述第一目的地址、所述第一封裝報頭和所述第一加密載荷�;
[0046]第一發(fā)送單元,用于將所述封裝后的報文發(fā)送至所述第二虛擬路由器����。
[0047]在第四方面的第一種可能的實現(xiàn)方式中,所述裝置還包括:
[0048]第二接收單元�,用于接收第三虛擬路由器發(fā)送的第二報文�����,所述第一虛擬路由器與所述第三虛擬路由器之間建立有第二 VPN隧道�����,所述第二報文包括:所述第三虛擬路由器的公網地址����、所述第一虛擬路由器的公網地址�、所述第二 VPN隧道的封裝報頭、第二源地址���、第二目的地址���、第二封裝報頭和第二加密載荷;
[0049]拆封裝處理單元����,用于進行拆封裝處理,獲得拆封裝后的報文����,所述拆封裝后的報文包括:所述第二源地址、所述第二目的地址��、所述第二封裝報頭和所述第二加密載荷�����;
[0050]第二發(fā)送單元�����,用于將所述拆封裝后的報文發(fā)送至所述第一 CPE�����。
[0051]本發(fā)明實施例的報文傳輸方法及裝置�����,在分支網絡1與分支網絡2之間進行報文傳輸時����,可使分支網絡1側的CPE1與分支網絡2側的CPE2保存相同的VPN協(xié)商參數(shù),這樣��,CPE1與CPE2便可利用相同的VPN協(xié)商參數(shù)對報文進行加解密處理,有助于提高報文傳輸?shù)陌踩浴?br>【附圖說明】
[0052]為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案���,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹���,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實施例����,對于本領域普通技術人員來講,還可以根據(jù)這些附圖獲得其它的附圖�����。
[0053]圖1是現(xiàn)有技術實現(xiàn)分支網絡1與分支網絡2之間VPN業(yè)務的示意圖�����;
[0054]圖2是本發(fā)明實施例CPE側的報文傳輸方法實施例1的流程圖�����;
[0055]圖3是本發(fā)明實施例中建立CPE 1與CPE2之間VPN隧道的流程圖���;
[00