專利名稱:業(yè)務(wù)承載的方法及路由器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及通信領(lǐng)域,尤其涉及一種業(yè)務(wù)承載的方法及路由器。
背景技術(shù):
基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)(Layer 2 Virtual Private Networks,簡(jiǎn)稱L2VPN)和基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)(Layer 3 Virtual Private Networks,簡(jiǎn)稱L3VPN)均為較常用的虛擬專用網(wǎng)絡(luò)(Virtue Private Network,簡(jiǎn)稱VPN)技術(shù),通過(guò)在公網(wǎng)建立合適的隧道使用戶能夠跨地域建立私有網(wǎng)絡(luò)。上述L2VPN和L3VPN技術(shù)最主要的不同點(diǎn)是L2VPN技術(shù)保留用戶報(bào)文的二層報(bào)文頭,而L3VPN技術(shù)剝離用戶報(bào)文的鏈路層報(bào)文頭,只保留用戶報(bào)文的IP頭。互聯(lián)網(wǎng)安全協(xié)議(InternetProtocol Security,以下簡(jiǎn)稱 IPSec)是 Internet 工程任務(wù)組(Internet Engineering Task Force,簡(jiǎn)稱IETF)制定的一個(gè)開放的IP層安全框架協(xié)議,屬于三層隧道協(xié)議,用于提供公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPSec 通過(guò) Internet 密鑰交換協(xié)議(Internet Key Exchange Protocol,簡(jiǎn)稱 IKE協(xié)議)協(xié)商加解密報(bào)文使用到的安全聯(lián)盟(Security Association,簡(jiǎn)稱SA),該處的SA包括加解密報(bào)文使用到的密鑰,加解密算法,需要保護(hù)的數(shù)據(jù)流等信息。IPSec對(duì)報(bào)文的封裝分為AH和ESP兩種方式,對(duì)報(bào)文的轉(zhuǎn)換分為隧道模式和傳輸模式。具體地,IPSec隧道承載L3VPN業(yè)務(wù)時(shí),IPSec隧道的起止點(diǎn)(IPSec隧道的第一個(gè)路由器和最后一個(gè)路由器)一般在運(yùn)營(yíng)商網(wǎng)絡(luò)的邊界路由器上(Provider Edge設(shè)備,簡(jiǎn)稱PE設(shè)備)。當(dāng)前,不存在任何IPSec隧道直接承載L2VPN報(bào)文的解決方案。即,現(xiàn)有IPSec協(xié)議無(wú)法提供對(duì)L2VPN報(bào)文的加解密。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實(shí)施例提供一種業(yè)務(wù)承載的方法及路由器,用以解決現(xiàn)有技術(shù)中IPSec隧道無(wú)法承載L2VPN業(yè)務(wù)的問題?!矫?,本發(fā)明實(shí)施例提供一種業(yè)務(wù)承載的方法,包括在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送第一 ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);接收所述第二路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。結(jié)合第一方面,在第一種可能的實(shí)現(xiàn)方式中,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則上述業(yè)務(wù)承載的方法還包括所述第一路由器通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。
結(jié)合第一方面及上述可能的實(shí)現(xiàn)方式中,在第二種可能的實(shí)現(xiàn)方式中,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。結(jié)合第一方面及上述可能的實(shí)現(xiàn)方式中,在第三種可能的實(shí)現(xiàn)方式中,上述業(yè)務(wù)承載的方法還包括若所述響應(yīng)報(bào)文中未攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器查找觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)類型;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)2VPN業(yè)務(wù),則所述第一路由器放棄所述IPSec隧道的協(xié)商;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)3VPN業(yè)務(wù),則所述第一路由器向所述第二 路由器發(fā)送第二 ISAKMP報(bào)文,所述第二 ISAKMP報(bào)文攜帶所述第一路由器的源互聯(lián)網(wǎng)協(xié)議IP地址和目的IP地址,以使所述第一路由器和所述第二路由器協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。結(jié)合第一方面及上述可能的實(shí)現(xiàn)方式中,在第四種可能的實(shí)現(xiàn)方式中,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)為二進(jìn)制數(shù)。結(jié)合第一方面及上述可能的實(shí)現(xiàn)方式中,在第五種可能的實(shí)現(xiàn)方式中,上述業(yè)務(wù)承載的方法還包括若所述響應(yīng)報(bào)文中未攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述IPSec隧道協(xié)商失敗;若所述第一路由器在預(yù)設(shè)時(shí)間內(nèi)再次接收到L2VPN業(yè)務(wù)觸發(fā)的所述IPSec隧道的協(xié)商,則所述第一路由器選擇標(biāo)簽交換路徑LSP隧道協(xié)商。另一方面,本發(fā)明實(shí)施例提供一種業(yè)務(wù)承載的方法,包括在IPSec隧道協(xié)商的第二階段,第一路由器接收第二路由器發(fā)送的第一 ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);所述第一路由器根據(jù)所述第一 ISAKMP報(bào)文向所述第二路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。結(jié)合第二方面,在第一種可能的實(shí)現(xiàn)方式中,所述第一路由器根據(jù)所述第一ISAKMP報(bào)文向所述第二路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),此時(shí),上述業(yè)務(wù)承載的方法還包括所述第一路由器通過(guò)所述IPSec隧道承載L3VPN業(yè)務(wù)。結(jié)合第二方面及上述可能的實(shí)現(xiàn)方式中,在第二種可能的實(shí)現(xiàn)方式中,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。結(jié)合第二方面及上述可能的實(shí)現(xiàn)方式中,在第三種可能的實(shí)現(xiàn)方式中,上述業(yè)務(wù)承載的方法還包括所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)為二進(jìn)制數(shù)。第三方面,本發(fā)明實(shí)施例提供一種路由器,包括
發(fā)送單元,用于在互聯(lián)網(wǎng)安全協(xié)議IPSec隧道協(xié)商的第二階段,向另一路由器發(fā)送第一互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶路由器具有通過(guò)所述IPSec隧道承載基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);接收單元,用于接收所述另一路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);承載單元,用于在所述接收單元接收的響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。結(jié)合第三方面,在第一種可能的實(shí)現(xiàn)方式中,所述承載單元,還用于在所述接收單元接收的響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。結(jié)合第三方面以及上述可能的實(shí)現(xiàn)方式中,在第二種可能的實(shí)現(xiàn)方式中,所述路 由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。結(jié)合第三方面以及上述可能的實(shí)現(xiàn)方式中,在第三種可能的實(shí)現(xiàn)方式中,路由器還包括查找單元,用于在所述接收單元接收的響應(yīng)報(bào)文中未攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則查找觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)類型;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)2VPN業(yè)務(wù),則放棄所述IPSec隧道的協(xié)商;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)3VPN業(yè)務(wù),則所述發(fā)送單元向所述另一路由器發(fā)送第二 ISAKMP報(bào)文,所述第二 ISAKMP報(bào)文攜帶所述路由器的源互聯(lián)網(wǎng)協(xié)議IP地址和目的IP地址,以使所述路由器和所述另一路由器協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。結(jié)合第三方面以及上述可能的實(shí)現(xiàn)方式中,在第四種可能的實(shí)現(xiàn)方式中,所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)為二進(jìn)制數(shù)。結(jié)合第三方面以及上述可能的實(shí)現(xiàn)方式中,在第五種可能的實(shí)現(xiàn)方式中,在所述接收單元接收的響應(yīng)報(bào)文中未攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)時(shí),所述IPSec隧道協(xié)商失??;若所述接收單元在預(yù)設(shè)時(shí)間內(nèi)再次接收到L2VPN業(yè)務(wù)觸發(fā)的所述IPSec隧道的協(xié)商,則所述路由器選擇標(biāo)簽交換路徑LSP隧道協(xié)商。第四方面,本發(fā)明實(shí)施例還提供一種路由器,包括接收單元,用于在在互聯(lián)網(wǎng)安全協(xié)議IPSec隧道協(xié)商的第二階段,接收另一路由器發(fā)送的第一互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);發(fā)送單元,用于根據(jù)所述第一 ISAKMP報(bào)文向所述另一路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。結(jié)合第四方面,在第一種可能的實(shí)現(xiàn)方式中,所述發(fā)送單元,還用于根據(jù)所述第一ISAKMP報(bào)文向所述另一路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述路由器通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。由上述技術(shù)方案可知,本發(fā)明實(shí)施例的業(yè)務(wù)承載的方法及路由器,通過(guò)在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送攜帶第一路由器通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)的第一 ISAKMP報(bào)文,在第二路由器也具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力時(shí),返回?cái)y帶第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)的響應(yīng)報(bào)文,進(jìn)而在第一路由器接收到響應(yīng)報(bào)文之后,可使IPSec隧道協(xié)商成功,且協(xié)商成功的IPSec隧道能夠承載L2VPN業(yè)務(wù),解決了現(xiàn)有技術(shù)中IPSec隧道無(wú)法承載L2VPN業(yè)務(wù)的問題。
為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作一 簡(jiǎn)單地介紹,顯而易見地下面附圖只是本發(fā)明的一些實(shí)施例的附圖,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得同樣能實(shí)現(xiàn)本發(fā)明技術(shù)方案的其它附圖。圖I為本發(fā)明一實(shí)施例提供的IPSec對(duì)報(bào)文的封裝格式示意圖;圖2為本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載的方法的應(yīng)用場(chǎng)景圖;圖3為本發(fā)明一實(shí)施例提供的IPSec隧道承載L3VPN的報(bào)文格式示意圖;圖4為本發(fā)明一實(shí)施例提供的針對(duì)L3VPN業(yè)務(wù)的IPSec協(xié)商報(bào)文結(jié)構(gòu)示意圖;圖5為本發(fā)明一實(shí)施例提供的IPSec隧道承載L3VPN業(yè)務(wù)的協(xié)商流程圖;圖6為本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載方法的流程示意圖;圖7為本發(fā)明一實(shí)施例提供的IPSec隧道承載L2VPN業(yè)務(wù)的協(xié)商流程圖;圖8為本發(fā)明一實(shí)施例提供的IPSec隧道承載L2VPN業(yè)務(wù)的報(bào)文格式示意圖;圖9為本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載方法的流程示意圖;圖10為本發(fā)明一實(shí)施例提供的IPSec隧道承載L2VPN業(yè)務(wù)的協(xié)商流程圖;圖11為本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載方法的流程示意圖;圖12為本發(fā)明一實(shí)施例提供的路由器的結(jié)構(gòu)示意圖;圖13為本發(fā)明一實(shí)施例提供的路由器的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述。顯然,下述的各個(gè)實(shí)施例都只是本發(fā)明一部分的實(shí)施例。基于本發(fā)明下述的各個(gè)實(shí)施例,本領(lǐng)域普通技術(shù)人員即使沒有作出創(chuàng)造性勞動(dòng),也可以通過(guò)等效變換部分甚至全部的技術(shù)特征,而獲得能夠解決本發(fā)明技術(shù)問題,實(shí)現(xiàn)本發(fā)明技術(shù)效果的其它實(shí)施例,而這些變換而來(lái)的各個(gè)實(shí)施例顯然并不脫離本發(fā)明所公開的范圍。本申請(qǐng)實(shí)施例中為方便描述,在一些地方使用“用戶”,本領(lǐng)域技術(shù)人員應(yīng)該知道的是,該處的“用戶”指代用戶終端的含義。
IPsec協(xié)議不是一個(gè)單獨(dú)的協(xié)議,它給出了應(yīng)用于互聯(lián)網(wǎng)協(xié)議(InternetProtocol,簡(jiǎn)稱IP)層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議認(rèn)證頭(Authentication Header,簡(jiǎn)稱AH)、封裝安全載荷(Encapsulating Security Payload,簡(jiǎn)稱ESP)、IKE和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中,AH協(xié)議和ESP協(xié)議用于提供安全服務(wù),IKE協(xié)議用于密鑰交換。IPsec協(xié)議提供了兩種安全機(jī)制認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來(lái)保證數(shù)據(jù)的機(jī)密性,以防數(shù)據(jù)在傳輸過(guò)程中被竊聽。IPsec協(xié)議中的AH協(xié)議定義了認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)源認(rèn)證和完整性保證;ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)可靠性保證。圖I示出了 IPSec對(duì)報(bào)文的封裝格式示意圖,如圖I所示,當(dāng)前的IPSec對(duì)報(bào)文的封裝分為AH和ESP兩種方式,對(duì)報(bào)文的轉(zhuǎn)換分為隧道(tunnel)模式和傳輸(transport)模式。
隧道模式用戶的整個(gè)IP數(shù)據(jù)包被用來(lái)計(jì)算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。傳輸模式只是用戶IP數(shù)據(jù)包中的數(shù)據(jù)載荷(不包括IP頭)被用來(lái)計(jì)算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常,IPSec隧道承載L3VPN業(yè)務(wù)時(shí),IPSec隧道的起始點(diǎn)(如圖2中的Router A)配置在運(yùn)營(yíng)商網(wǎng)絡(luò)的邊界路由器上。另外,IPSec隧道承載L3VPN業(yè)務(wù)時(shí),用戶報(bào)文到達(dá)運(yùn)營(yíng)商網(wǎng)絡(luò)的邊界路由器上后被加密,用戶報(bào)文被轉(zhuǎn)換成如圖3所示的格式原有報(bào)文(如IP頭、TCP頭和數(shù)據(jù))均作為新的報(bào)文的凈荷。另夕卜,如圖4所示,典型的IPSec協(xié)商報(bào)文(即ISAKMP報(bào)文)會(huì)攜帶ACLinteresting flow信息(需保護(hù)用戶報(bào)文的源目的信息)用于標(biāo)識(shí)待保護(hù)的用戶報(bào)文(該處的待保護(hù)的用戶報(bào)文是需要進(jìn)行報(bào)文加密的用戶報(bào)文,后續(xù)簡(jiǎn)稱“待保護(hù)報(bào)文”)的源IP地址和目的IP地址。雙方協(xié)商時(shí)會(huì)對(duì)此信息進(jìn)行驗(yàn)證。例如,Router A向Router B發(fā)送ISAKMP報(bào)文,該ISAKMP報(bào)文中攜帶對(duì)源IP地址是10. 0. 0. 1,目的IP地址是20. 0. 0. I的用戶報(bào)文進(jìn)行加密的信息,Router B在接收Router A發(fā)送的ISAKMP報(bào)文之后返回響應(yīng)報(bào)文,所述響應(yīng)報(bào)文中攜帶對(duì)源IP地址是20. 0. 0. 1,目的IP地址是10. 0. 0. I的用戶報(bào)文進(jìn)行加密的信息,進(jìn)而Router A和Router B協(xié)商完成?,F(xiàn)有IPSec隧道協(xié)商過(guò)程中會(huì)把被保護(hù)流量的源IP地址和目的IP地址(如圖表4中標(biāo)識(shí)的“ACL interesting flow”信息,或者如圖5中的[IDi, IDr])作為協(xié)商的一部分,如果RouterA和RouterB的ACL interesting flow信息不一致則協(xié)商無(wú)法通過(guò)。圖5示出的是現(xiàn)有的IPSec隧道的協(xié)商過(guò)程,在IPSec隧道協(xié)商的第二階段,發(fā)起方發(fā)起攜帶SA、Ke和[IDi,IDr]的協(xié)商報(bào)文,響應(yīng)方根據(jù)接收的協(xié)商報(bào)文返回響應(yīng)。然而,當(dāng)IPSec隧道承載L2VPN業(yè)務(wù)時(shí),路由器無(wú)法在L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文中提取ACL interesting flow信息進(jìn)行協(xié)商。當(dāng)前,IPSec協(xié)議無(wú)法對(duì)L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文進(jìn)行加密和解密。此外,運(yùn)營(yíng)商也無(wú)法提供針對(duì)L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文的加解密隧道。其詳細(xì)原因描述如下
IPSec隧道無(wú)法直接承載L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文的原因可能如下=IPSec協(xié)議協(xié)商流程是針對(duì)IP報(bào)文設(shè)計(jì)的,需要針對(duì)待保護(hù)報(bào)文的源IP地址和目的IP地址進(jìn)行協(xié)商?,F(xiàn)有的IPSec隧道協(xié)商流程中協(xié)商雙方需要預(yù)先知曉待保護(hù)報(bào)文的源IP地址和目的IP地址,并且作為協(xié)商流程的一個(gè)重要參數(shù)ACL interesting flow,協(xié)商雙方的ACLinteresting flow,如果不匹配則協(xié)商不通過(guò)。路由器在L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文中無(wú)法提取出基于源IP地址和目的IP地址的ACL interesting flow信息用于IPSec隧道的協(xié)商。L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文有如下特點(diǎn)1)L2VPN業(yè) 務(wù)對(duì)應(yīng)的用戶報(bào)文在穿越公網(wǎng)隧道(如IPSec隧道)時(shí)必須保留鏈路層頭。2) L2VPN報(bào)文在鏈路層頭內(nèi)部不含有IP頭的封裝結(jié)構(gòu),因此無(wú)法提取出ACL interestingflow信息用于IPSec協(xié)商。由此,現(xiàn)有的IPSec技術(shù)無(wú)法直接承載L2VPN報(bào)文。本發(fā)明實(shí)施例通過(guò)修改IPSec協(xié)商流程,使路由器協(xié)商的IPSec隧道可以直接承載L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文。即實(shí)現(xiàn)IPSec隧道模式的加解密隧道能夠直接對(duì)L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文進(jìn)行加密。本發(fā)明實(shí)施例的IPSec加解密隧道可以同時(shí)承載L2VPN業(yè)務(wù)和L3VPN業(yè)務(wù)。圖6示出了本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載的方法的流程示意圖,如圖6所示,本實(shí)施例中的業(yè)務(wù)承載的方法如下文所述。601、在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送第一 Internet安全聯(lián)盟和密鑰管理協(xié)議(Internet Security Association and Key ManagementPiOtocol,簡(jiǎn)稱ISAKMP)報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)。602、接收所述第二路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)??蛇x地,上述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與上述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。當(dāng)然,在其他實(shí)施例中,第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可以不一致,其根據(jù)實(shí)際需
要配置。在實(shí)際應(yīng)用中,在步驟601中,在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送的第一 ISAKMP報(bào)文可為IPSec隧道協(xié)商的第二階段中的第一個(gè)ISAKMP報(bào)文。舉例來(lái)說(shuō),上述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可為二進(jìn)制數(shù)??蛇x地,第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可使用一個(gè)64bit 二進(jìn)制數(shù)。當(dāng)然,第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)也可使用一個(gè)二進(jìn)制數(shù),本實(shí)施例不對(duì)其進(jìn)行限定。舉例來(lái)說(shuō),結(jié)合圖7所示,在IPSec協(xié)商第二階段,第一路由器在向第二路由器發(fā)送的第一 ISAKMP報(bào)文中增加Vender Payload(用戶自定義載荷)字段,在該Vendor Payload字段中攜帶第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)。如果第二路由器也支持此功能,貝U會(huì)在響應(yīng)報(bào)文中攜帶相同的Vendor Payload字段。于是協(xié)商雙方會(huì)忽略對(duì)待保護(hù)報(bào)文的驗(yàn)證,即忽略協(xié)商報(bào)文中的ACL interestingflow信息,即圖5中的“[IDi,IDr] ”部分。特別地,Vendor Payload字段是ISAKMP報(bào)文中可以攜帶的自定義字段,在本實(shí)施例中Vendor Payload字段用于標(biāo)識(shí)路由器具有通過(guò)所述IPSec隧道能夠承載L2VPN業(yè)務(wù)的能力。由于第二階段的協(xié)商報(bào)文已經(jīng)使用第一階段協(xié)商出的密鑰進(jìn)行加密,所以不用考慮該Vendor Payload字段被惡意仿造。上述業(yè)務(wù)承載的方法協(xié)商出來(lái)的IPSec隧道,可對(duì)客戶端設(shè)備中L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文進(jìn)行加密,并增加新的IP頭進(jìn)行傳輸。如圖8所示,圖8示出了 IPSec隧道直接承載L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文的報(bào)文格式,其中原有的L2VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文作為IPSec隧道中待保護(hù)的報(bào)文的凈荷。在實(shí)際應(yīng)用中,運(yùn)營(yíng)商需要在第一路由器上進(jìn)行IPSec的proposal (安全提議)配置,進(jìn)而,運(yùn)營(yíng)商可以使能第一路由器具有通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力。由此,在上述步驟601的第一路由器向第二路由器發(fā)送第一個(gè)ISAKMP報(bào)文的步驟之前,本實(shí)施例·中的業(yè)務(wù)承載的方法還包括如圖6中未示出的步驟601a 601a、第一路由器確定所述第一路由器上IPSec的配置已經(jīng)使能了通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力。由上述實(shí)施例可知,本實(shí)施例的業(yè)務(wù)承載的方法,通過(guò)在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送攜帶第一路由器具有通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)的第一 ISAKMP報(bào)文,在第二路由器也具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力時(shí),返回?cái)y帶第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)的響應(yīng)報(bào)文,進(jìn)而在第一路由器接收到響應(yīng)報(bào)文之后,則IPSec隧道協(xié)商成功,使得IPSec隧道能夠承載L2VPN業(yè)務(wù)。在一種優(yōu)選的應(yīng)用場(chǎng)景中,上述業(yè)務(wù)承載的方法還可如下所述S01、在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送第一 ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);S02、接收所述第二路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù),和/或所述第一路由器通過(guò)所述IPSec隧道承載L3VPN業(yè)務(wù)。也就是說(shuō),第一路由器和第二路由器協(xié)商的IPSec隧道既可以承載L2VPN業(yè)務(wù),也可以承載L3VPN業(yè)務(wù),或者,可以同時(shí)承載L2VPN業(yè)務(wù)和L3VPN業(yè)務(wù)。由此,第一路由器和第二路由器無(wú)需再為L(zhǎng)3VPN業(yè)務(wù)協(xié)商一個(gè)IPSec隧道。此外,若第一路由器和第二路由器分別具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),若觸發(fā)IPSec隧道協(xié)商的業(yè)務(wù)類型為L(zhǎng)3VPN業(yè)務(wù),第一路由器和第二路由器在IPSec隧道協(xié)商的第二階段,均會(huì)協(xié)商IPSec隧道承載L2VPN業(yè)務(wù)的能力??蛇x地,上述步驟SOl中的第一 ISAKMP報(bào)文可為IPSec隧道協(xié)商的第二階段的第一個(gè)ISAKMP報(bào)文。上述業(yè)務(wù)承載的方法使得第一路由器和第二路由器只協(xié)商一個(gè)IPSec隧道,可同時(shí)承載L2VPN業(yè)務(wù)和L3VPN業(yè)務(wù),對(duì)于后續(xù)的L3VPN業(yè)務(wù),無(wú)需重協(xié)商,直接使用該IPSec隧道進(jìn)行承載。圖9示出了本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載的方法的流程示意圖,如圖9所示,本實(shí)施例中的業(yè)務(wù)承載的方法如下文所述。
901、在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送第一 ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)。902、接收所述第二路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文。903、若所述響應(yīng)報(bào)文中未攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器查找觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)類型;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)2VPN業(yè)務(wù),則所述第一路由器放棄所述IPSec隧道的協(xié)商;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)3VPN業(yè)務(wù),則所述第一路由器向所述第二路由器發(fā)送第二 ISAKMP報(bào)文,所述第二 ISAKMP報(bào)文攜帶所述第一路由器的源IP地址和目的IP地址,以使所述第一路由器和所述第二路由器協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。也就是說(shuō),如果第二路由器(響應(yīng)方)不支持通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力,貝1J不理會(huì)第一路由器(發(fā)起方)的Vendor payload,回復(fù)給發(fā)起方的報(bào)文中不攜帶相應(yīng)的Vendor Payload ;由此,發(fā)起方根據(jù)響應(yīng)報(bào)文獲知響應(yīng)方不支持IPSec隧道承載L2VPN業(yè)務(wù)的能力,此時(shí),發(fā)起方查找觸發(fā)IPSec隧道協(xié)商的業(yè)務(wù)類型,如果是L2VPN業(yè)務(wù)觸發(fā)的IPSec隧道協(xié)商,則放棄IPSec隧道的協(xié)商;如果是L3VPN業(yè)務(wù)觸發(fā)的IPSec隧道協(xié)商,則重新協(xié)商能夠承載L3VPN業(yè)務(wù)的IPSec隧道。如圖10所示。此時(shí)協(xié)商出的IPSec隧道只能承載L3VPN業(yè)務(wù)。圖10示出的是在承載L2VPN業(yè)務(wù)的IPSec隧道協(xié)商失敗之后,在IPSec隧道協(xié)商的第二階段,發(fā)起方發(fā)起攜帶SA、Ke和[IDi,IDr]的協(xié)商報(bào)文與響應(yīng)方協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。在一種優(yōu)選的應(yīng)用場(chǎng)景中,上述步驟901中第一路由器發(fā)送的第一 ISAKMP報(bào)文可為IPSec隧道協(xié)商的第二階段的第一個(gè)ISAKMP報(bào)文;在步驟903中,第一路由器向第二路由器發(fā)送的第二 ISAKM P報(bào)文可為在IPSec隧道協(xié)商的第二階段重新發(fā)送的用于協(xié)商承載L3VPN業(yè)務(wù)的一個(gè)ISAKMP報(bào)文,本實(shí)施例僅為舉例說(shuō)明,不對(duì)其進(jìn)行限定。需要說(shuō)明的是,如果是L3VPN業(yè)務(wù),第一路由器也是從IPSec隧道協(xié)商的第二階段重新協(xié)商L3VPN業(yè)務(wù),之前協(xié)商的用于承載L2VPN業(yè)務(wù)的IPSec隧道的失敗并不會(huì)對(duì)第一階段已經(jīng)協(xié)商成功的SA造成影響。由此,可以理解的是,L2VPN業(yè)務(wù)觸發(fā)的IPSec隧道協(xié)商發(fā)起方會(huì)與響應(yīng)方協(xié)商IPSec隧道承載L2VPN業(yè)務(wù)的能力,如果響應(yīng)方支持,則協(xié)商成功,該IPSec隧道可同時(shí)承載L2VPN業(yè)務(wù)和L3VPN業(yè)務(wù);如果響應(yīng)方不支持IPSec隧道承載L2VPN業(yè)務(wù)的能力,則發(fā)起方放棄協(xié)商承載L2VPN業(yè)務(wù)的IPSec隧道。當(dāng)然,實(shí)際應(yīng)用中,L3VPN業(yè)務(wù)觸發(fā)的IPSec隧道協(xié)商,也會(huì)攜帶Vendor Payload字段與響應(yīng)方協(xié)商IPSec隧道承載L2VPN業(yè)務(wù)的能力,如果響應(yīng)方支持承載L2VPN業(yè)務(wù)的能力,則協(xié)商成功,后續(xù)該IPSec隧道可以同時(shí)承載L2VPN和L3VPN業(yè)務(wù),對(duì)于后續(xù)的L2VPN業(yè)務(wù),無(wú)需重協(xié)商IPSec隧道。如果響應(yīng)方不支持IPSec隧道承載L2VPN業(yè)務(wù)的能力,則根據(jù)L3VPN業(yè)務(wù)對(duì)應(yīng)的用戶報(bào)文提取出[IDi,IDr]再次嘗試協(xié)商僅支持承載L3VPN業(yè)務(wù)的IPSec隧道。在其他實(shí)施例中,上述業(yè)務(wù)承載的方法還包括如圖9中未示出的步驟904。904、若所述響應(yīng)報(bào)文中未攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述IPSec隧道協(xié)商失??;若所述第一路由器在預(yù)設(shè)時(shí)間內(nèi)再次接收到L2VPN業(yè)務(wù)觸發(fā)的IPSec隧道協(xié)商,則所述第一路由器選擇標(biāo)簽交換路徑(Label Switch Path,簡(jiǎn)稱LSP)隧道進(jìn)行協(xié)商。在一種可選的應(yīng)用場(chǎng)景中,結(jié)合圖2所示,假設(shè)Router A作為IPSec隧道的起點(diǎn)(即對(duì)應(yīng)上述的發(fā)起方)、Router B作為IPSec隧道的終點(diǎn)(即對(duì)應(yīng)上述的響應(yīng)方),且Router A和Router B均配置私網(wǎng)流量首選IPSec隧道作為公網(wǎng)隧道,其次選擇標(biāo)簽交換路 徑(Label Switching Path,簡(jiǎn)稱LSP)隧道作為公網(wǎng)隧道。MOl、當(dāng)有L2VPN或者L3VPN業(yè)務(wù)在Router A上觸發(fā)公網(wǎng)隧道選擇流程時(shí),RouterA檢查配置的IPSec隧道的SA是否已經(jīng)協(xié)商成功,如果沒有可用的SA則嘗試和Router B協(xié)商IPSec隧道;如果有可用的SA,則進(jìn)行IPSec隧道協(xié)商的第二階段。M02,Router A執(zhí)行IPSec隧道協(xié)商的流程,IPSec隧道協(xié)商的第二階段,Router A檢查自己的IPSec proposal (安全提議)配置,若Router A確定已經(jīng)使能了通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力,則在第二階段協(xié)商時(shí)嘗試與Router B協(xié)商承載L2VPN業(yè)務(wù)的功能。例如,Router A在第二階段向Router B協(xié)商的第一個(gè)ISAKMP報(bào)文中添加一個(gè)填充有二進(jìn)制數(shù)的Vendor Payload字段,所述Vendor Payload字段用于標(biāo)識(shí)Router A具有通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力。M03、Router B從Router A接收到第一個(gè)ISAKMP報(bào)文并解析,通過(guò)VendorPayload字段識(shí)別出Router A具有通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力,進(jìn)而在響應(yīng)報(bào)文中攜帶同樣Vendor Payload字段,響應(yīng)報(bào)文中的Vendor Payload字段用于標(biāo)識(shí)RouterB具有通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力。M04、在Router A接收到Router B發(fā)送的響應(yīng)報(bào)文之后,根據(jù)響應(yīng)報(bào)文中攜帶的Vendor Payload字段獲知Router B具有通過(guò)IPSec隧道承載L2VPN業(yè)務(wù)的能力,于是Router A、Router B都知曉了對(duì)方支持IPSec隧道承載L2VPN業(yè)務(wù)的能力,則能夠承載L2VPN業(yè)務(wù)的IPSec隧道協(xié)商成功。由上實(shí)施例中的業(yè)務(wù)承載方法解決了 IPSec隧道無(wú)法承載L2VPN業(yè)務(wù)的問題,使IPSec隧道可以像LSP隧道一樣,靈活承載L2VPN業(yè)務(wù)或者L3VPN業(yè)務(wù)。增強(qiáng)了 IPSec隧道的可部署性和兼容性。圖11示出了本發(fā)明一實(shí)施例提供的業(yè)務(wù)承載的方法的流程示意圖,如圖11所示,本實(shí)施例中的業(yè)務(wù)承載的方法如下文所述。1101、在IPSec隧道協(xié)商的第二階段,第一路由器接收第二路由器發(fā)送的第一ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);1102、所述第一路由器根據(jù)所述第一 ISAKMP報(bào)文向所述第二路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。
可選地,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致?;蛘?,根據(jù)實(shí)際需求配置第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),或者根據(jù)實(shí)際需求配置第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)。舉例來(lái)說(shuō),所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可為二進(jìn)制數(shù)。可選地,所述第一路由器根據(jù)所述第一 ISAKMP報(bào)文向所述第二路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),本實(shí)施例中業(yè)務(wù)承載的方法還包括第一路由器通過(guò)所述IPSec隧道承載 基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。
由上述實(shí)施例可知,本發(fā)明實(shí)施例的業(yè)務(wù)承載的方法能夠解決IPSec隧道承載L2VPN業(yè)務(wù)的問題,進(jìn)一步地,上述的業(yè)務(wù)承載的方法還能夠?qū)崿F(xiàn)同時(shí)承載L2VPN業(yè)務(wù)和L3VPN業(yè)務(wù)的能力。圖12示出了本發(fā)明一實(shí)施例提供的路由器的結(jié)構(gòu)示意圖,如圖12所示,本實(shí)施例中的路由器包括發(fā)送單元1201、接收單元1202和承載單元1203 ;其中,發(fā)送單元1201用于在IPSec隧道協(xié)商的第二階段,向另一路由器發(fā)送第一ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);接收單元1202用于接收所述另一路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);承載單元1203用于在所述接收單元1202接收的響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。優(yōu)選地,上述的承載單元1203還用于在所述接收單元1202接收的響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則通過(guò)所述IPSec隧道承載L3VPN業(yè)務(wù)。舉例來(lái)說(shuō),所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致,或者可以不—致。本實(shí)施例中路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可為二進(jìn)制數(shù),如64比特的二進(jìn)制數(shù)。在另一應(yīng)用場(chǎng)景中,上述的路由器還可包括圖中未示出的查找單元1204;其中,查找單元1204用于在所述接收單元接收的響應(yīng)報(bào)文中未攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則查找觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)類型;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)2VPN業(yè)務(wù),則放棄所述IPSec隧道的協(xié)商;若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)3VPN業(yè)務(wù),則所述發(fā)送單元1201向所述另一路由器發(fā)送第二 ISAKMP報(bào)文,所述第二 ISAKMP報(bào)文攜帶所述路由器的源IP地址和目的IP地址,以使所述路由器和所述另一路由器協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。
在實(shí)際應(yīng)用中,在所述接收單元1202接收的響應(yīng)報(bào)文中未攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)時(shí),所述IPSec隧道協(xié)商失敗;若接收單元1202在預(yù)設(shè)時(shí)間內(nèi)再次接收到L2VPN業(yè)務(wù)觸發(fā)的所述IPSec隧道的協(xié)商,則所述路由器選擇LSP隧道協(xié)商。本實(shí)施例中的路由器可以實(shí)現(xiàn)與另一路由器協(xié)商的IPSec隧道可承載L2VPN業(yè)務(wù),進(jìn)而解決現(xiàn)有技術(shù)中路由器協(xié)商的IPSec隧道無(wú)法承載L2VPN業(yè)務(wù)的問題,進(jìn)一步地,上述路由器與另一路由器協(xié)商的IPSec隧道可靈活承載L2VPN業(yè)務(wù)和/或L3VPN業(yè)務(wù)。增強(qiáng)了 IPSec隧道的可部署性和兼容性。圖13示出了本發(fā)明一實(shí)施例提供的路由器的結(jié)構(gòu)示意圖,如圖13所示,本實(shí)施例中的路由器包括接收單元1301、發(fā)送單元1302 ;
其中,接收單元1301用于在在IPSec隧道協(xié)商的第二階段,接收另一路由器發(fā)送的第一 ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);發(fā)送單元1302用于根據(jù)所述第一 ISAKMP報(bào)文向所述另一路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。優(yōu)選地,發(fā)送單元1302還用于根據(jù)所述第一 ISAKMP報(bào)文向所述另一路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述路由器通過(guò)所述IPSec隧道承載L3VPN業(yè)務(wù)。在本實(shí)施例中,路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可一致,或者可不一致。特別地,路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)可為二進(jìn)制數(shù),如64bit的二進(jìn)制數(shù)。本實(shí)施例中的路由器可以實(shí)現(xiàn)與另一路由器協(xié)商的IPSec隧道可承載L2VPN業(yè)務(wù),進(jìn)而解決現(xiàn)有技術(shù)中路由器協(xié)商的IPSec隧道無(wú)法承載L2VPN業(yè)務(wù)的問題,進(jìn)一步地,上述路由器與另一路由器協(xié)商的IPSec隧道可靈活承載L2VPN業(yè)務(wù)和/或L3VPN業(yè)務(wù)。增強(qiáng)了 IPSec隧道的可部署性和兼容性。在實(shí)際應(yīng)用中,上述路由器可包括處理器和存儲(chǔ)器,其中處理器用于執(zhí)行上述圖12中所示的發(fā)送單元1201、接收單元1202和承載單元1203的功能,優(yōu)選地,處理器還用于執(zhí)行圖12中未示出的查找單元1204的功能;其存儲(chǔ)器用于存儲(chǔ)路由器中的具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)。在另一實(shí)施例中,上述路由器的處理器還可用于執(zhí)行上述圖13中所示的接收單元1301、發(fā)送單元1302的功能,其存儲(chǔ)器還用于存儲(chǔ)路由器中的具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成。前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí),執(zhí)行包括上述各方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說(shuō)明的是以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍?!?br>
權(quán)利要求
1.一種業(yè)務(wù)承載的方法,其特征在于,包括 在互聯(lián)網(wǎng)安全協(xié)議IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送第一互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第一路由器具有通過(guò)所述IPSec隧道承載基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)L2VPN業(yè)務(wù)的能力的標(biāo)識(shí); 接收所述第二路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述方法還包括 所述第一路由器通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。
3.根據(jù)權(quán)利要求I或2所述的方法,其特征在于,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。
4.根據(jù)權(quán)利要求I至3任一所述的方法,其特征在于,還包括 若所述響應(yīng)報(bào)文中未攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器查找觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)類型; 若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)2VPN業(yè)務(wù),則所述第一路由器放棄所述IPSec隧道的協(xié)商; 若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)3VPN業(yè)務(wù),則所述第一路由器向所述第二路由器發(fā)送第二 ISAKMP報(bào)文,所述第二 ISAKMP報(bào)文攜帶所述第一路由器的源互聯(lián)網(wǎng)協(xié)議IP地址和目的IP地址,以使所述第一路由器和所述第二路由器協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。
5.根據(jù)權(quán)利要求I至4任一所述的方法,其特征在于,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)為二進(jìn)制數(shù)。
6.根據(jù)權(quán)利要求I至5任一所述的方法,其特征在于,還包括若所述響應(yīng)報(bào)文中未攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述IPSec隧道協(xié)商失?。? 若所述第一路由器在預(yù)設(shè)時(shí)間內(nèi)再次接收到L2VPN業(yè)務(wù)觸發(fā)的所述IPSec隧道的協(xié)商,則所述第一路由器選擇標(biāo)簽交換路徑LSP隧道協(xié)商。
7.—種業(yè)務(wù)承載的方法,其特征在于,包括 在互聯(lián)網(wǎng)安全協(xié)議IPSec隧道協(xié)商的第二階段,第一路由器接收第二路由器發(fā)送的第一互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述第二路由器具有通過(guò)所述IPSec隧道承載基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)L2VPN業(yè)務(wù)的能力的標(biāo)識(shí); 所述第一路由器根據(jù)所述第一 ISAKMP報(bào)文向所述第二路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述第一路由器根據(jù)所述第一ISAKMP報(bào)文向所述第二路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),所述方法還包括所述第一路由器通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。
9.根據(jù)權(quán)利要求7或8所述的方法,其特征在于,所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述第二路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。
10.根據(jù)權(quán)利要求7至9任一所述的方法,其特征在于,還包括 所述第一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)為二進(jìn)制數(shù)。
11.一種路由器,其特征在于,包括 發(fā)送單元,用于在互聯(lián)網(wǎng)安全協(xié)議IPSec隧道協(xié)商的第二階段,向另一路由器發(fā)送第一互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶路由器具有通過(guò)所述IPSec隧道承載基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)L2VPN業(yè)務(wù)的能力的標(biāo)識(shí); 接收單元,用于接收所述另一路由器根據(jù)所述第一 ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí); 承載單元,用于在所述接收單元接收的響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。
12.根據(jù)權(quán)利要求11所述的路由器,其特征在于,所述承載單元,還用于在所述接收單元接收的響應(yīng)報(bào)文中攜帶有所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。
13.根據(jù)權(quán)利要求11或12所述的路由器,其特征在于,所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)與所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)一致。
14.根據(jù)權(quán)利要求11至13任一所述的路由器,其特征在于,還包括 查找單元,用于在所述接收單元接收的響應(yīng)報(bào)文中未攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則查找觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)類型; 若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)2VPN業(yè)務(wù),則放棄所述IPSec隧道的協(xié)商; 若觸發(fā)所述IPSec隧道協(xié)商的業(yè)務(wù)為L(zhǎng)3VPN業(yè)務(wù),則所述發(fā)送單元向所述另一路由器發(fā)送第二 ISAKMP報(bào)文,所述第二 ISAKMP報(bào)文攜帶所述路由器的源互聯(lián)網(wǎng)協(xié)議IP地址和目的IP地址,以使所述路由器和所述另一路由器協(xié)商承載L3VPN業(yè)務(wù)的IPSec隧道。
15.根據(jù)權(quán)利要求11至14任一所述的路由器,其特征在于,所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)為二進(jìn)制數(shù)。
16.根據(jù)權(quán)利要求11至15任一所述的路由器,其特征在于,在所述接收單元接收的響應(yīng)報(bào)文中未攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí)時(shí),所述IPSec隧道協(xié)商失敗; 若所述接收單元在預(yù)設(shè)時(shí)間內(nèi)再次接收到L2VPN業(yè)務(wù)觸發(fā)的所述IPSec隧道的協(xié)商,則所述路由器選擇標(biāo)簽交換路徑LSP隧道協(xié)商。
17.—種路由器,其特征在于,包括 接收單元,用于在在互聯(lián)網(wǎng)安全協(xié)議IPSec隧道協(xié)商的第二階段,接收另一路由器發(fā)送的第一互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP報(bào)文,所述第一 ISAKMP報(bào)文攜帶所述另一路由器具有通過(guò)所述IPSec隧道承載基于二層協(xié)議的虛擬專用網(wǎng)絡(luò)L2VPN業(yè)務(wù)的能力的標(biāo)識(shí); 發(fā)送單元,用于根據(jù)所述第一 ISAKMP報(bào)文向所述另一路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。
18.根據(jù)權(quán)利要求17所述的路由器,其特征在于,所述發(fā)送單元,還用于根據(jù)所述第一ISAKMP報(bào)文向所述另一路由器發(fā)送響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述路由器具有通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述路由器通過(guò)所述IPSec隧道承載基于三層協(xié)議的虛擬專用網(wǎng)絡(luò)L3VPN業(yè)務(wù)。
全文摘要
本發(fā)明提供一種業(yè)務(wù)承載的方法及路由器,其中,所述方法包括在IPSec隧道協(xié)商的第二階段,第一路由器向第二路由器發(fā)送第一ISAKMP報(bào)文,所述第一ISAKMP報(bào)文攜帶所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí);接收所述第二路由器根據(jù)所述第一ISAKMP報(bào)文返回的響應(yīng)報(bào)文,若所述響應(yīng)報(bào)文中攜帶有所述第二路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)的能力的標(biāo)識(shí),則所述第一路由器通過(guò)所述IPSec隧道承載L2VPN業(yè)務(wù)。上述方法用以解決現(xiàn)有技術(shù)中IPSec隧道無(wú)法承載L2VPN業(yè)務(wù)的問題。
文檔編號(hào)H04L12/46GK102904792SQ20121035911
公開日2013年1月30日 申請(qǐng)日期2012年9月21日 優(yōu)先權(quán)日2012年9月21日
發(fā)明者張亞博 申請(qǐng)人:北京華為數(shù)字技術(shù)有限公司