午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

一種語音業(yè)務(wù)的處理方法、網(wǎng)關(guān)設(shè)備及系統(tǒng)的制作方法

文檔序號:10660732閱讀:477來源:國知局
一種語音業(yè)務(wù)的處理方法、網(wǎng)關(guān)設(shè)備及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種語音業(yè)務(wù)的處理方法、網(wǎng)關(guān)設(shè)備及系統(tǒng)。本發(fā)明方法包括:網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一IP地址,第一IP地址是vCPE根據(jù)網(wǎng)關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的;網(wǎng)關(guān)設(shè)備使用廣域網(wǎng)接口上配置的第一IP地址與vCPE建立IPsec通道;網(wǎng)關(guān)設(shè)備將在IPsec通道建立過程中從vCPE獲得的第二IP地址分配給語音業(yè)務(wù);網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一IP地址進行外層封裝,并通過IPsec通道發(fā)送給vCPE,以使vCPE將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器。本發(fā)明能夠提高語音業(yè)務(wù)的安全性。
【專利說明】
一種語音業(yè)務(wù)的處理方法、網(wǎng)關(guān)設(shè)備及系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種語音業(yè)務(wù)的處理方法、網(wǎng)關(guān)設(shè)備及系統(tǒng)。
【背景技術(shù)】
[0002] 接入層網(wǎng)絡(luò)是各種業(yè)務(wù)開展的基礎(chǔ)平臺,隨著接入業(yè)務(wù)的快速發(fā)展,特別是隨著 中小企業(yè)網(wǎng)絡(luò)接入市場的不斷發(fā)展,實現(xiàn)用戶內(nèi)部數(shù)據(jù)、語音統(tǒng)一接入,滿足用戶對成本 低、通信便捷、溝通高效的訴求是當前融合通信系統(tǒng)解決方案的目標。目前的解決方案中, 企業(yè)網(wǎng)關(guān)作為一種接入產(chǎn)品,可通過無源光纖(Passive Optical,Ρ0Ν)網(wǎng)絡(luò),接入到寬帶遠 程接入服務(wù)器(Broadband Remote Access Server,BRAS),然后通過各個運營商的城域網(wǎng), 接入互聯(lián)網(wǎng)(Internet)。
[0003] 圖1示出了目前面向企業(yè)用戶接入網(wǎng)方案的結(jié)構(gòu)示意圖。如圖1所示,業(yè)務(wù)網(wǎng)所對 應(yīng)的網(wǎng)關(guān)設(shè)備101與光網(wǎng)絡(luò)單元(Optical Network Unit,0NU)102建立連接,再通過光線路 終端(Optical Line Terminal,0LT)103接入到BRAS104,進而通過BRAS104與核心路由器 (Core Router,CR) 105連接,通過位于城域網(wǎng)的網(wǎng)絡(luò)側(cè)邊緣(Provider Edge,PE)設(shè)備106, 接入到位于業(yè)務(wù)平臺或網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)服務(wù)器(Virtual Private Network Server, VPN Server) 107。其中,PE設(shè)備106通常要求具備封裝與解封裝能力。0LT103和0NU102組成 了Ρ0Ν網(wǎng)絡(luò),0LT103和0NU102之間通過光分配網(wǎng)(Optical Distribution Network,0DN)連 接。
[0004] 基于如圖1所示的接入網(wǎng)示意架構(gòu),在需要進行語音業(yè)務(wù)時,將通過網(wǎng)關(guān)設(shè)備的語 音模塊直接發(fā)送沒有加密的語音業(yè)務(wù)報文,并需要經(jīng)由一系列的網(wǎng)絡(luò)設(shè)備的傳遞到達語音 業(yè)務(wù)服務(wù)器,比如圖1所示出的,網(wǎng)關(guān)設(shè)備101發(fā)送的語音業(yè)務(wù)報文經(jīng)由0NU102到0LT103,再 到BRAS104、再通過CR105以及PE106,最后傳輸?shù)秸Z音業(yè)務(wù)服務(wù)器107。網(wǎng)關(guān)設(shè)備與語音業(yè)務(wù) 服務(wù)器之間的通信數(shù)據(jù)需經(jīng)過大量的網(wǎng)絡(luò)設(shè)備的傳遞,如果網(wǎng)關(guān)設(shè)備需要與語音業(yè)務(wù)服務(wù) 器之間頻繁互換信息時,大量的信息在通信網(wǎng)絡(luò)中傳遞,十分容易被截取甚至篡改,無法保 證語音業(yè)務(wù)的安全性。
[0005] 因此,如何提高語音業(yè)務(wù)的安全性,是業(yè)界所亟待研究和解決的問題。

【發(fā)明內(nèi)容】

[0006] 本發(fā)明實施例提供一種語音業(yè)務(wù)的處理方法、網(wǎng)關(guān)設(shè)備以及系統(tǒng),用以提高語音 業(yè)務(wù)的安全性。
[0007] 本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法,包括:
[0008] 網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址是vCPE根據(jù)所述網(wǎng)關(guān)設(shè) 備的請求為所述網(wǎng)關(guān)設(shè)備分配的;
[0009] 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec通 道;
[0010] 所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分配 給語音業(yè)務(wù);
[0011] 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地 址進行外層封裝,并通過所述IPsec通道發(fā)送給所述VCPE,以使所述VCPE將所述語音業(yè)務(wù)報 文傳輸至語音業(yè)務(wù)服務(wù)器。
[0012] 可選地,所述網(wǎng)關(guān)設(shè)備獲得所述第一 IP地址后,拒絕分配給語音業(yè)務(wù)。
[0013] 可選地,所述網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端,所述vCPE上配置有DHCP服務(wù)器;
[0014] 所述網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址之前,還包括:
[0015] 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端,向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文,所述 DHCP報文用于請求分配IP地址;
[0016]所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取為所述網(wǎng)關(guān)設(shè)備分配的 第一 IP地址。
[0017] 可選地,本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法還包括:
[0018] 所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取所述vCPE的IP地址,并 將所述vCPE的IP地址寫入用于建立IPsec通道的配置文件中;
[0019] 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec通 道,包括:
[0020] 所述網(wǎng)關(guān)設(shè)備根據(jù)所述用于建立IPsec通道的配置文件,使用所述廣域網(wǎng)接口上 配置的第一 IP地址以及所述配置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道。
[0021] 可選地,所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP 地址分配給語音業(yè)務(wù)之前,包括:
[0022]所述網(wǎng)關(guān)設(shè)備在所述IPsec通道建立過程中,向所述vCPE發(fā)起IKE協(xié)商過程,根據(jù) 所述vCPE反饋的IKE協(xié)商報文,獲取第二IP地址。
[0023] 可選地,所述網(wǎng)關(guān)設(shè)備從所述vCPE獲得第二IP地址之后,還包括:
[0024] 所述網(wǎng)關(guān)設(shè)備為所述廣域網(wǎng)接口配置所述第二IP地址;
[0025] 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密之前,還包括:
[0026] 所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù)所述報文封裝的IP 地址以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語音業(yè)務(wù)報文。
[0027] 本發(fā)明的一個實施例提供的網(wǎng)關(guān)設(shè)備,包括:
[0028]配置模塊,用于為廣域網(wǎng)接口配置第一IP地址,所述第一IP地址是vCPE根據(jù)所述 網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;
[0029]建立模塊,用于使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec 通道;
[0030] 分配模塊,用于將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分 配給語音業(yè)務(wù);
[0031] 發(fā)送模塊,用于對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP 地址進行外層封裝,并通過所述IPsec通道發(fā)送給所述vCPE,以使所述vCPE將所述語音業(yè)務(wù) 報文傳輸至語音業(yè)務(wù)服務(wù)器。
[0032] 可選地,所述網(wǎng)關(guān)設(shè)備獲得所述第一 IP地址后,拒絕分配給語音業(yè)務(wù)。
[0033] 可選地,所述網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端,所述vCPE上配置有DHCP服務(wù)器;
[0034] 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端,用于向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文, 所述DHCP報文用于請求分配IP地址;
[0035] 所述網(wǎng)關(guān)設(shè)備,還包括:
[0036]第一獲取模塊,用于根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取為所述網(wǎng)關(guān)設(shè)備 分配的第一 IP地址。
[0037]可選地,所述第一獲取模塊,還用于:根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取 所述vCPE的IP地址,并將所述vCPE的IP地址寫入用于建立IPsec通道的配置文件中;
[0038]所述建立模塊,具體用于:
[0039] 根據(jù)所述用于建立IPsec通道的配置文件,使用所述廣域網(wǎng)接口上配置的第一 IP 地址以及所述配置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道。
[0040] 可選地,所述建立模塊,具體用于:在所述IPsec通道建立過程中,向所述vCPE發(fā)起 IKE協(xié)商過程;
[0041] 所述網(wǎng)關(guān)設(shè)備還包括:
[0042]第二獲取模塊,用于根據(jù)所述IKE協(xié)商過程中所述vCPE反饋的IKE協(xié)商報文,獲取 第二IP地址。
[0043] 可選地,所述配置模塊,還用于:為所述廣域網(wǎng)接口配置所述第二IP地址;
[0044] 所述網(wǎng)關(guān)設(shè)備還包括:
[0045] 判斷模塊,用于在所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù) 所述報文封裝的IP地址以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否 是語音業(yè)務(wù)報文。
[0046] 本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理系統(tǒng),該系統(tǒng)包括:網(wǎng)關(guān)設(shè)備、以及 vCPE;
[0047] 所述網(wǎng)關(guān)設(shè)備,用于為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址是所述vCPE 根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;以及,用于使用所述廣域網(wǎng)接口上配置 的第一IP地址與所述vCPE建立IPsec通道;以及,用于將在所述IPsec通道建立過程中從所 述vCPE獲得的第二IP地址分配給語音業(yè)務(wù);以及,用于對使用第二IP地址封裝的語音業(yè)務(wù) 報文進行加密后,使用第一 IP地址進行外層封裝,并通過所述IPsec通道發(fā)送給所述vCPE;
[0048] 所述vCPE,用于根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配第一IP地址;以及, 用于與所述網(wǎng)關(guān)設(shè)備建立IPsec通道,并在所述IPsec通道過程中向所述網(wǎng)關(guān)設(shè)備分配第二 IP地址;以及,用于接收所述網(wǎng)關(guān)設(shè)備通過所述IPsec通道發(fā)送的使用第一IP地址進行外層 封裝的加密后的語音業(yè)務(wù)報文,并在解密后將所述語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器。
[0049] 在本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,網(wǎng)關(guān)設(shè)備通過為廣域網(wǎng) 接口配置由vCPE為網(wǎng)關(guān)設(shè)備分配的第一 IP地址,進而能夠使用該廣域網(wǎng)接口上配置的第一 IP地址與vCPE建立IPsec通道,并通過將在該IPsec通道建立過程中從vCPE獲得的第二IP地 址分配給語音業(yè)務(wù),從而能夠進一步地對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密 后,使用第一IP地址進行外層封裝,并通過該IPsec通道發(fā)送給vCPE,以使vCPE將語音業(yè)務(wù) 報文傳輸至語音業(yè)務(wù)服務(wù)器??梢钥吹剑ㄟ^本發(fā)明實施例所提供的技術(shù)方案,網(wǎng)關(guān)設(shè)備能 夠與vCPE之間建立IPsec通道,并能夠通過該IPsec通道傳輸加密封裝的語音業(yè)務(wù)報文,從 而達到了提高了語音業(yè)務(wù)安全性的效果。
【附圖說明】
[0050]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使 用的附圖作簡要介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本 領(lǐng)域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其 他的附圖。
[0051 ]圖1為現(xiàn)有技術(shù)中面向企業(yè)用戶接入網(wǎng)方案的結(jié)構(gòu)示意圖;
[0052]圖2為本發(fā)明的一個實施例提供的接入網(wǎng)的結(jié)構(gòu)示意圖;
[0053]圖3為本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法的流程示意圖;
[0054] 圖4為本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法流程在語音業(yè)務(wù)的注冊場 景中的應(yīng)用不意圖;
[0055] 圖5為本發(fā)明的一個實施例提供的網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖;
[0056]圖6為本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0057]為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明作進 一步地詳細描述,顯然,所描述的實施例僅僅是本發(fā)明一部份實施例,而不是全部的實施 例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的 所有其它實施例,都屬于本發(fā)明保護的范圍。
[0058]隨著企業(yè)信息化率的提高,企業(yè)網(wǎng)絡(luò)接入市場的不斷發(fā)展,以及用戶對網(wǎng)絡(luò)的差 異化需求不斷增強,傳統(tǒng)的接入業(yè)務(wù),比如圖1所示出的傳統(tǒng)接入網(wǎng)結(jié)構(gòu)已無法完全滿足用 戶快速增長的需求??紤]到如圖1所示出的傳統(tǒng)接入網(wǎng)結(jié)構(gòu)不能很好的適應(yīng)企業(yè)用戶接入 網(wǎng)絡(luò)的挑戰(zhàn)的缺陷,本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理方案,在基于圖1所示的傳統(tǒng) 接入網(wǎng)的結(jié)構(gòu)中,引入了基于虛擬化技術(shù)的接入網(wǎng)絡(luò)服務(wù)聯(lián)盟(Access Network Service Union,ANSU)虛擬企業(yè)用戶駐地設(shè)備(visual Customer Premise Equipment,vCPE),來構(gòu) 建出新的接入網(wǎng)結(jié)構(gòu),以滿足不斷發(fā)展和變化的用戶需求。
[0059] 圖2示出了本發(fā)明的一些實施例提供的基于vCPE的接入網(wǎng)結(jié)構(gòu)示意圖。
[0060] 如圖2所示,網(wǎng)關(guān)設(shè)備201經(jīng)由0NU202、0LT203以及BRAS204,與VCPE205進行交互并 建立連接,由VCPE205再通過BRAS204,經(jīng)由CR206、PE207后與遠端業(yè)務(wù)平臺或網(wǎng)絡(luò)中的業(yè)務(wù) 服務(wù)器208建立連接,從而實現(xiàn)網(wǎng)關(guān)設(shè)備201與遠端的業(yè)務(wù)服務(wù)器208之間的寬帶、語音等業(yè) 務(wù)信息的交互。其中,該接入網(wǎng)結(jié)構(gòu)由管理編排域(Management and 0rchestration,MAN0) 來實現(xiàn)對整體資源的管理和編排,并由運營支持系統(tǒng)(Operation Support System,0SS)和 業(yè)務(wù)支撐系統(tǒng)(Business Support System,BSS)支撐。
[0061] 其中,基于虛擬化技術(shù)的ANSU主要通過漸進式的業(yè)務(wù)驅(qū)動,將接入網(wǎng)的網(wǎng)絡(luò)功能 進行虛擬化,并將需要增值的業(yè)務(wù)流量通過虛擬化的分流器引入ANSU的云平臺,再通過駐 在ANSU的云平臺虛擬化網(wǎng)絡(luò)功能,如vCPE,實現(xiàn)增值服務(wù),最后,將增值后的網(wǎng)絡(luò)流量通過 分流器引入到原有網(wǎng)絡(luò)中。
[0062] 傳統(tǒng)上的企業(yè)用戶使用用戶終端設(shè)備(Customer Premise Equipment,CPE)連接 到電信網(wǎng)絡(luò)以及訪問通信服務(wù)供應(yīng)商提供的服務(wù)。而現(xiàn)在企業(yè)客戶的大多數(shù)CPE功能(比如 路由、VPN或防火墻等)都是虛擬化,這些功能位于服務(wù)邊緣或通信服務(wù)提供商數(shù)據(jù)中心,因 而vCPE是通信服務(wù)供應(yīng)商向企業(yè)客戶提供寬帶服務(wù)的新方式。vCPE可利用通用硬件虛擬化 來簡化網(wǎng)絡(luò)服務(wù)的交付過程,將原本部署在接入網(wǎng)關(guān)上復(fù)雜的功能和增值業(yè)務(wù)應(yīng)用上移到 網(wǎng)絡(luò)側(cè)業(yè)務(wù)平臺,簡化實體網(wǎng)關(guān)的功能。通過利用網(wǎng)絡(luò)功能虛擬化和vCPE,基于vCPE可以虛 擬出多個服務(wù)器與網(wǎng)關(guān)設(shè)備等業(yè)務(wù)設(shè)備進行通信,虛擬服務(wù)器在不需要時釋放回歸即可。
[0063] 可以看到,在如圖2所示的接入網(wǎng)結(jié)構(gòu)中,vCPE可以作為虛擬出來的服務(wù)器,因而 可以根據(jù)需要虛擬出多個服務(wù)器,也可以根據(jù)需求釋放不需要的服務(wù)器。同時,網(wǎng)關(guān)設(shè)備上 的一些上層應(yīng)用,比如深度包檢測(Deep Packet Inspection,DPI),可以轉(zhuǎn)移到vCPE上進 行處理,減輕網(wǎng)關(guān)設(shè)備的負擔(dān)。此外,vCPE位于BRAS旁,一方面能夠?qū)⒃鲋盗髁堪踩尤?,?一方面,能夠?qū)⒔?jīng)過vCPE處理后的流量轉(zhuǎn)發(fā)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)平臺中。反向流量也 做相應(yīng)處理。
[0064] 為了提高語音業(yè)務(wù)的安全性,本發(fā)明實施例提供了一種語音業(yè)務(wù)的處理技術(shù)方 案?;谌鐖D2所示的基于vCPE的接入網(wǎng)示意結(jié)構(gòu),可以看到語音業(yè)務(wù)的安全性與網(wǎng)關(guān)和 vCPE之間的信息傳遞的安全性密切相關(guān)??紤]到目前通信業(yè)務(wù)中互聯(lián)網(wǎng)協(xié)議安全性 (Internet Protocol Security,IPSec)通過使用加密的安全服務(wù)以確保在互聯(lián)網(wǎng)協(xié)議 (Internet Protocol,IP)網(wǎng)絡(luò)上進行保密而安全的通訊,是一種較好的用以防止通信中信 息被篡改的措施,本發(fā)明實施例所提供的語音業(yè)務(wù)的處理方案中采取了在網(wǎng)關(guān)設(shè)備與vCPE 之間建立IPsec通道來進行語音業(yè)務(wù)傳輸?shù)拇胧?,從而使得網(wǎng)關(guān)設(shè)備與vCPE間數(shù)據(jù)的保密 性得到了保障,進而能夠?qū)崿F(xiàn)對語音業(yè)務(wù)安全性的保障。
[0065] 具體地,基于如圖2所示的接入網(wǎng)示意結(jié)構(gòu),本發(fā)明的實施例所提供的語音業(yè)務(wù)的 處理技術(shù)方案中,網(wǎng)關(guān)設(shè)備能夠獲得兩個IP地址,通過使用廣域網(wǎng)接口上配置的第一IP地 址與vCPE建立IPsec通道,并使用第二IP地址封裝語音業(yè)務(wù)報文,進而能夠?qū)κ褂玫诙蘒P地 址封裝的語音業(yè)務(wù)報文進行加密,使用第一 IP地址進行外層封裝,再通過IPsec通道發(fā)送給 vCPE,以使vCPE將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器??梢钥吹剑ㄟ^本發(fā)明實施例所提 供的技術(shù)方案,網(wǎng)關(guān)設(shè)備與vCPE之間建立IPsec通道,通過IPsec通道傳輸加密封裝的語音 業(yè)務(wù)報文,從而能夠達到提高了語音業(yè)務(wù)安全性的效果。
[0066] 下面將結(jié)合附圖對本發(fā)明實施例進行詳細描述。
[0067] 圖3示出了本發(fā)明實施例提供的一種語音業(yè)務(wù)的處理方法的流程示意圖,該流程 可由網(wǎng)關(guān)設(shè)備實現(xiàn),該流程可應(yīng)用于如圖2所示的接入網(wǎng)的結(jié)構(gòu)示例,比如具體可以是由圖 2中所示的網(wǎng)關(guān)設(shè)備實現(xiàn),該流程包括如下步驟:
[0068]步驟301:網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一IP地址,該第一IP地址是vCPE根據(jù)網(wǎng)關(guān) 設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的。
[0069] 步驟302:網(wǎng)關(guān)設(shè)備使用該廣域網(wǎng)接口上配置的第一IP地址與vCTO建立IPsec通 道。
[0070] 步驟303:網(wǎng)關(guān)設(shè)備將在該IPsec通道建立過程中從vCPE獲得的第二IP地址分配給 語音業(yè)務(wù)。
[0071] 步驟304:網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝,并通過IPsec通道發(fā)送給vCPE,以使vCPE將該語音業(yè)務(wù)報文傳輸至語 音業(yè)務(wù)服務(wù)器。
[0072] 在本發(fā)明的一些可選實施例中,網(wǎng)關(guān)設(shè)備上配置有動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)客戶端,vCPE上配置有DHCP服務(wù)器。進一步地,在網(wǎng) 關(guān)設(shè)備執(zhí)行步驟301中為廣域網(wǎng)接口配置第一 IP地址之前,可以通過以下過程來獲取第一 IP地址:
[0073]網(wǎng)關(guān)設(shè)備上的DHCP客戶端,向vCPE上的DHCP服務(wù)器發(fā)送DHCP報文,其中,該DHCP報 文用于請求分配IP地址;網(wǎng)關(guān)設(shè)備進而能夠根據(jù)DHCP服務(wù)器反饋的DHCP報文,獲取為網(wǎng)關(guān) 設(shè)備分配的第一 IP地址。
[0074] 其中,DHCP是在傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(Transmission Control Protocol/Internet Protocol,TCP/IP)網(wǎng)絡(luò)上使客戶端設(shè)備獲得配置信息的協(xié)議,是基于 客戶端/服務(wù)器模式,IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)由DHCP服務(wù)器集中管理,并負責(zé)處理DHCP客戶端的 DHCP請求;DHCP客戶端則使用從DHCP服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。
[0075] 具體地,vCPE上的DHCP服務(wù)器開啟后,可以監(jiān)聽網(wǎng)絡(luò)中的用于請求分配IP地址的 DHCP報文,并與發(fā)送DHCP報文的DHCP客戶端進行匹配,匹配后向DHCP客戶端回應(yīng)匹配的 DHCP報文,從而使得DHCP客戶端能夠根據(jù)接收到的DHCP報文獲得第一 IP地址。
[0076]具體地,網(wǎng)關(guān)設(shè)備在獲取vCPE根據(jù)網(wǎng)關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的第一 IP地址 后,可以執(zhí)行步驟301,即為廣域網(wǎng)接口配置該第一 IP地址。
[0077]進一步地,網(wǎng)關(guān)設(shè)備可以執(zhí)行步驟302,使用該廣域網(wǎng)接口上配置的第一 IP地址與 vCPE建立IPsec通道。
[0078]具體地,在本發(fā)明的一些實施例中,網(wǎng)關(guān)設(shè)備在通過步驟301獲得第一IP地址后, 將拒絕分配給語音業(yè)務(wù)。
[0079] 由于本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理方案是采取將語音業(yè)務(wù)在網(wǎng)關(guān)設(shè) 備與vCPE之間建立的IPsec通道中進行傳輸,來實現(xiàn)對語音業(yè)務(wù)安全性的保障,其中,網(wǎng)關(guān) 設(shè)備與vCTO之間建立的IPsec通道則是網(wǎng)關(guān)設(shè)備使用廣域網(wǎng)接口上配置的第一IP地址與 vCPE之間的建立的。
[0080] 考慮到在現(xiàn)有技術(shù)中,網(wǎng)關(guān)設(shè)備中的語音業(yè)務(wù)模塊通常被設(shè)置為檢查廣域網(wǎng)接口 的狀態(tài),在檢查到廣域網(wǎng)接口狀態(tài)為up (連接正常)時,將直接獲取廣域網(wǎng)接口的IP地址作 為語音業(yè)務(wù)的IP地址并同時將該廣域網(wǎng)接口作為發(fā)送語音業(yè)務(wù)報文的接口,在檢查到廣域 網(wǎng)接口狀態(tài)為down(連接不正常)時不發(fā)送語音業(yè)務(wù)報文,因此,針對與要處理的語音業(yè)務(wù) 需要在廣域網(wǎng)口上所建立的IPsec通道,如果按照現(xiàn)有技術(shù)中對網(wǎng)關(guān)設(shè)備中的語音業(yè)務(wù)的 處理方式,則對于廣域網(wǎng)接口將出現(xiàn)語音業(yè)務(wù)的IP地址與IPsec通道的IP地址的沖突,也就 是說如果要建立一個IPsec通道,則廣域網(wǎng)接口將需要一個IP地址來建立IPsec通道,而如 果要進行語音業(yè)務(wù)的處理,廣域網(wǎng)接口則需要一個IP地址來進行語音業(yè)務(wù)的處理,但是廣 域網(wǎng)接口上又不能同時使用兩個IP地址,即這兩個IP地址又不能相同,那么網(wǎng)關(guān)設(shè)備的廣 域網(wǎng)接口地址是綁定語音業(yè)務(wù)的IP地址還是綁定用于建立IPsec通道的IP地址則出現(xiàn)了一 種矛盾的狀況。
[0081] 為了解決上述廣域網(wǎng)接口 IP地址的矛盾,在本發(fā)明的一些實施例中,網(wǎng)關(guān)設(shè)備在 通過步驟301獲得第一 IP地址后,將拒絕分配給語音業(yè)務(wù)。
[0082] 具體比如在本發(fā)明的一些實施例中,可以在編譯網(wǎng)關(guān)設(shè)備需要的版本文件時,將 網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)檢查廣域網(wǎng)接口狀態(tài)的功能刪除,比如刪除語音業(yè)務(wù)中檢查廣域網(wǎng)接 口 up/down內(nèi)容的代碼段,或者設(shè)置網(wǎng)關(guān)設(shè)備在獲取到第一 IP并將第一 IP配置給廣域網(wǎng)接 口時,不通知網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)該IP地址等。
[0083] 在本發(fā)明的一些可選實施例中,網(wǎng)關(guān)設(shè)備根據(jù)DHCP服務(wù)器反饋的DHCP報文,還可 以進一步地獲取到vCPE的IP地址,并將該vCPE的IP地址寫入用于建立IPsec通道的配置文 件中。
[0084]進而,網(wǎng)關(guān)設(shè)備可以在步驟302中使用廣域網(wǎng)接口上配置的第一IP地址與vCPE建 立IPsec通道時,具體地根據(jù)用于建立IPsec通道的配置文件,使用廣域網(wǎng)接口上配置的第 一 IP地址以及配置文件中的vCPE的IP地址,vCPE建立IPsec通道。
[0085] 通過進一步地根據(jù)DHCP報文獲取vCPE的IP地址,使得網(wǎng)管設(shè)備在建立IPsec通道 時,能夠根據(jù)用于建立IPsec通道的配置文件,使用廣域網(wǎng)接口上配置的第一 IP地址以及配 置文件中的vCPE的IP地址,建立IPsec通道,避免了還要再到IPsec的配置頁面去配置對端 IP地址,即vCPE的IP地址,使得IPsec通道的建立更加的方便快捷。
[0086]比如,在本發(fā)明的一些實施例中,在通過DHCP報文獲得vCPE的IP地址后,可以修改 用于建立IPsec通道的配置文件中的對應(yīng)項的取值。
[0087]進一步地,為了使語音業(yè)務(wù)獲得語音業(yè)務(wù)的IP地址,在本發(fā)明的一些可選實施例 中,網(wǎng)關(guān)設(shè)備可以在執(zhí)行步驟302建立IPsec通道的過程中,獲取vCPE分配給該網(wǎng)關(guān)設(shè)備的 第二IP地址,從而可以在步驟303中,將獲取到的該第二IP地址分配給語音業(yè)務(wù)。
[0088] 具體地,網(wǎng)關(guān)設(shè)備在IPsec通道建立過程中,向vCPE發(fā)起網(wǎng)絡(luò)密鑰交換(Internet Key Exchange,IKE)協(xié)商過程,根據(jù)vCPE反饋的IKE協(xié)商報文,獲取第二IP地址。
[0089] 其中,IPSec為一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議,為IP網(wǎng)絡(luò)提供透明的安全服務(wù),保護 TCP/IP通信免遭竊聽和篡改,有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性。IPSec通常分為兩個階 段:隧道協(xié)商階段和數(shù)據(jù)傳送階段。其中,隧道協(xié)商階段主要通過IKE協(xié)商過程完成,隧道的 建立需要經(jīng)過兩個階段的協(xié)商。第一階段建立一個驗證的安全聯(lián)盟和密鑰,稱為IKE SA (Security Association,安全聯(lián)盟)。第二階段建立一個用于IPSec的安全聯(lián)盟,稱為IPSec SA〇
[0090] 進一步地,通過對I KEv 2 (版本2)協(xié)議的研究,確定了在本發(fā)明的一些實施例提供 的語音業(yè)務(wù)的處理方案中,在建立IPsec通道的過程中使用IKEv2進行協(xié)商,并在使用IKEv2 的協(xié)商過程中,在vCPE向所述網(wǎng)關(guān)設(shè)備發(fā)送的最后一個報文中,利用其中一個有效載荷類 型(payload type)為配置(configuration)它的一個特性類型INTERNAL_IP4_ADDRESS(標 準IPv4配置屬性),該類型值為一個IP地址。從而,可以使得vCPE將分配給網(wǎng)關(guān)設(shè)備的第二 IP地址寫入該類型對應(yīng)的IP地址取值,從而通過該最后一個向網(wǎng)關(guān)設(shè)備發(fā)送的IKE協(xié)商報 文將第二IP地址發(fā)送給網(wǎng)關(guān)設(shè)備,進而網(wǎng)關(guān)設(shè)備在解析該報文后,得到第二IP地址并分配 給語音業(yè)務(wù)使用,因而使得語音業(yè)務(wù)也獲取到了語音業(yè)務(wù)的IP地址,保證了語音業(yè)務(wù)能夠 進入IPsec通道進行處理。
[0091 ]在本發(fā)明的一些具體實施例中,IKE協(xié)商過程中共涉及到4個報文,網(wǎng)關(guān)設(shè)備發(fā)送 的每個協(xié)商報文中都攜帶有源IP地址(即第一 IP地址),vCPE在協(xié)商的最后一個報文中填寫 分配給網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)的IP地址(即第二IP地址),并發(fā)送給網(wǎng)關(guān)設(shè)備的,網(wǎng)關(guān)在收到 該報文后通過IPsec進程進行解析,獲取到在該報文里面的一個payload type為 configuration,它的一個特性類型為INTERNAL_IP4_ADDRESS,該類型對應(yīng)的值是一個IP地 址(第二IP地址),該IP地址即為分配給語音業(yè)務(wù)使用的IP地址。
[0092] 可選地,在本發(fā)明的一些具體實施例中,可以在預(yù)設(shè)在網(wǎng)關(guān)設(shè)備以及vCPE上的用 于建立IPsec通道的配置文件中將對端IP地址(即用來分配給語音業(yè)務(wù)的IP地址)設(shè)置為配 置方式,從而能夠使得vCPE在最后一個IKE協(xié)商報文中寫入為網(wǎng)關(guān)設(shè)備分配的第二IP地址。
[0093] 進一步地,在本發(fā)明的一些實施例中,網(wǎng)關(guān)設(shè)備在執(zhí)行步驟303中將獲取到的該第 二IP地址分配給語音業(yè)務(wù)之后,便可以進一步地執(zhí)行步驟304中所描述的,對使用第二IP地 址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝,并通過IPsec通道發(fā)送 給vCPE,以使vCPE將該語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器。
[0094]具體地,網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)組織語音業(yè)務(wù)報文,使用網(wǎng)關(guān)設(shè)備在步驟303中分配 的第二IP地址進行封裝,傳送到網(wǎng)關(guān)設(shè)備在步驟302中使用廣域網(wǎng)接口上配置的第一 IP地 址與vCPE建立的IPsec通道,將使用第二IP地址封裝的語音業(yè)務(wù)報文進行IPsec通道加密 后,使用第一 IP地址進行外層封裝,并通過IPsec通道發(fā)送給vCPE,可以看到,使用第二IP地 址封裝的語音業(yè)務(wù)報文進一步地被IPsec加密封裝,即第二IP地址是與語音業(yè)務(wù)報文被加 密封裝在內(nèi)部,在外部還封裝有第一 IP地址。當vCPE通過IPsec通道接收到該加密封裝后的 報文后要進行解封裝,從而將封裝在內(nèi)部的語音業(yè)務(wù)報文取出來傳輸給語音業(yè)務(wù)服務(wù)器。 [0095]可選地,在本發(fā)明的一些具體實施例中,網(wǎng)關(guān)設(shè)備在步驟302建立IPsec通道的過 程中從vCPE獲得第二IP地址之后,還可以進一步地為廣域網(wǎng)接口配置該第二IP地址,其中, 廣域網(wǎng)接口可以是多IP地址配置的接口。
[0096]進一步地,在本發(fā)明的一些具體實施例中,在網(wǎng)關(guān)設(shè)備執(zhí)行步驟304對使用第二IP 地址封裝的語音業(yè)務(wù)報文進行加密之前,網(wǎng)關(guān)設(shè)備還可以在該網(wǎng)關(guān)設(shè)備的廣域網(wǎng)接口從用 戶側(cè)接收到報文后,根據(jù)所接收到的報文封裝的IP地址以及廣域網(wǎng)接口上配置的第二IP地 址,來判斷該報文是否是語音業(yè)務(wù)報文。具體地,如果報文封裝的IP地址與廣域網(wǎng)接口上配 置的第二IP地址一致,則可以判斷該報文為語音業(yè)務(wù)報文,從而可以執(zhí)行步驟304對使用第 二IP地址封裝的該語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝,并通過所述 IPsec通道發(fā)送給所述vCPE;若判斷不是語音業(yè)務(wù)報文,則不采取上述措施進行加密和封裝 等。
[0097] 可以看到,在本發(fā)明的一些具體實施例中,網(wǎng)關(guān)設(shè)備的廣域網(wǎng)接口被配置了兩個 不同的IP地址,其中,第一IP地址是用于建立IPsec通道所使用的IP地址,是該廣域網(wǎng)接口 所使用的IP地址,第二IP地址則是語音業(yè)務(wù)使用的IP地址,是在該廣域網(wǎng)上存儲的IP地址。 通過上述的流程,在網(wǎng)關(guān)設(shè)備與VCPE之間建立了 IPsec通道,同時語音業(yè)務(wù)也被分配到了自 己的業(yè)務(wù)IP地址,并能通過該IPsec通道進行加密封裝,進而傳輸?shù)絭CPE,由vCPE解封裝后 傳輸?shù)秸Z音業(yè)務(wù)服務(wù)器,從而保證了語音業(yè)務(wù)的安全性。
[0098] 綜上所述,本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,網(wǎng)關(guān)設(shè)備的語 音業(yè)務(wù)通過vCPE傳輸?shù)秸Z音業(yè)務(wù)服務(wù)器,語音業(yè)務(wù)報文在網(wǎng)關(guān)設(shè)備與vCPE之間的傳輸,采 用了 IPsec通道加密封包的措施,從而能夠很好的防止語音業(yè)務(wù)報文被非法截獲或者篡改, 使得語音業(yè)務(wù)的安全性得到了很好的保障。
[0099]進一步地,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,網(wǎng)關(guān)設(shè) 備在獲取用于建立IPsec通道的IP地址時,采用了在廣域網(wǎng)接口啟動DHCP客戶端請求vCPE 上的DHCP服務(wù)器為其分配IP地址的方式,并可以同時根據(jù)DHCP報文來獲取vCPE的IP地址, 通過將獲取到的vCPE的IP地址寫入用于建立IPsec通道的配置文件中,從而建立IPsec通道 時,將不需要再到IPsec的配置頁面去配置對端IP地址,使得IPsec通道的建立更加方便快 捷。
[0100]進一步地,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,基于對 ΙΚΕν2協(xié)商過程的研究,對于網(wǎng)關(guān)設(shè)備對語音業(yè)務(wù)的IP地址的獲取,利用了在ΙΚΕν2協(xié)商過 程中vCPE發(fā)送的最后一個IKE協(xié)商報文具有一個payload type為配置configuration且它 的一個特性類型為INTERNAL_IP4_ADDRESS,以及該類型值為一個IP地址的特性,具體地, vCPE可以在發(fā)送的IKE協(xié)商報文中寫入為網(wǎng)關(guān)設(shè)備分配的IP地址,網(wǎng)關(guān)設(shè)備在解析IKE協(xié)商 報文后,便可以將獲取到的IP地址分配給語音業(yè)務(wù)使用,從而使得語音業(yè)務(wù)具有用于業(yè)務(wù) 處理的IP地址,從而保障了語音業(yè)務(wù)能夠正常的組織業(yè)務(wù)報文以及處理。
[0101] 進一步地,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,網(wǎng)關(guān)設(shè) 備可以將語音業(yè)務(wù)原來檢查廣域網(wǎng)接口狀態(tài)的功能刪除,并在廣域網(wǎng)接口配置兩個IP地 址,其中,第一IP地址可以是通過DHCP客戶端獲得的,用于建立IPsec通道,第二IP地址則是 分配給語音業(yè)務(wù)使用的,配置到該廣域網(wǎng)接口上進行存儲。通過這樣的處理使得語音業(yè)務(wù) 能夠使用自身的業(yè)務(wù)IP地址,即第二IP地址封裝語音業(yè)務(wù)報文,使用第二IP地址封裝的語 音業(yè)務(wù)報文并不能直接從廣域網(wǎng)接口中傳輸出去,而是進一步地通過IPsec通道進行加密, 使得語音業(yè)務(wù)的IP地址封裝在里面,外面再封裝一層IPsec通道的IP地址后,再進行傳輸, 從而使得語音業(yè)務(wù)的安全性得到了很好的保障。
[0102] 進一步地,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,由于引 入了vCPE,還可以利用vCPE的所具有的優(yōu)點,比如網(wǎng)關(guān)設(shè)備上的一些上層應(yīng)用可以轉(zhuǎn)移到 vCPE上進行處理,從而可以減輕網(wǎng)關(guān)的負擔(dān)。同時vCPE是一種虛擬化的服務(wù)器,因此可以根 據(jù)需要虛擬出多個服務(wù)器,也可以根據(jù)需求釋放不需要的服務(wù)器。此外,如圖2所示的,將 vCPE設(shè)置在位于BRAS旁,一方面能夠?qū)⒃鲋盗髁堪踩尤?,另一方面,還能夠?qū)⒔?jīng)過vCPE處 理后的流量轉(zhuǎn)發(fā)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)平臺中,反向流量也做相應(yīng)處理。
[0103] 為了更清楚的說明本發(fā)明實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案,下面將基于 將本發(fā)明實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案應(yīng)用在語音業(yè)務(wù)需要初始注冊到語音 業(yè)務(wù)服務(wù)器的情形為示例,來具體說明本發(fā)明實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案。
[0104] 圖4示出了本發(fā)明的一些實施例提供的語音業(yè)務(wù)的注冊流程示意圖。
[0105] 其中,與前述方法實施例類似的,網(wǎng)關(guān)設(shè)備可以預(yù)先被配置為在獲得第一IP地址 后,拒絕分配給語音業(yè)務(wù)。具體地比如可以在預(yù)先編譯網(wǎng)關(guān)設(shè)備的版本文件時,將語音業(yè)務(wù) 中檢查廣域網(wǎng)接口的狀態(tài)up/down的部分刪除。如圖4所示,本發(fā)明的一些實施例提供的語 音業(yè)務(wù)的注冊流程的具體步驟包括:
[0106] 步驟401: vCPE啟動DHCP服務(wù)器。
[0107] 步驟402:網(wǎng)關(guān)設(shè)備啟動DHCP客戶端,發(fā)送請求分配IP地址的DHCP報文給DHCP服務(wù) 器;DHCP服務(wù)器匹配后給DHCP客戶端回應(yīng)匹配報文,網(wǎng)關(guān)設(shè)備接收到回應(yīng)的DHCP報文后,獲 取到vCPE根據(jù)網(wǎng)關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的第一 IP地址,并為廣域網(wǎng)接口配置該第一 IP地址。
[0108]其中,在現(xiàn)有技術(shù)中,DHCP客戶端獲取到第一IP時將會向網(wǎng)關(guān)設(shè)備的各個模塊發(fā) 送通知信息,以通知DHCP任務(wù)完成了,因而在現(xiàn)有技術(shù)中,語音業(yè)務(wù)處理模塊此時將會接收 到通知信息,并將廣域網(wǎng)接口所配置的第一 IP地址綁定給語音業(yè)務(wù)使用。而在本發(fā)明的實 施例所提供的技術(shù)方案中,采取了將網(wǎng)關(guān)設(shè)備配置為在獲取第一 IP地址后,拒絕分配給語 音業(yè)務(wù)的方式,比如,通過刪除這部分代碼,使得網(wǎng)關(guān)設(shè)備在獲取第一 IP地址后,不向語音 業(yè)務(wù)處理模塊發(fā)送通知消息,從而避免了語音業(yè)務(wù)在此時獲取不正確的IP地址,為后續(xù)語 音業(yè)務(wù)IP地址的分配創(chuàng)造了可能。
[0109] 步驟403:網(wǎng)關(guān)設(shè)備在接收到回應(yīng)的DHCP報文后,還將獲取vCPE的IP地址(對端IP 地址),并將獲得的對端IP地址寫入用于建立IPsec通道的配置文件內(nèi),比如下面所示的一 種配置文件的示例,該配置文件的文件名為ipsec.conf,ipsec.conf內(nèi)容具體可以如下所 示:
[0110]
[0111] 其中,在該不例的ipsec · conf配置文件中:conn sample-with-ca-cert表不在該 網(wǎng)關(guān)設(shè)備上建立的IPsec通道的名稱;left id表示本端證書里面的身份信息 (Identification,ID)信息;
[0112] 其中,Left source ip表示本端的虛擬IP,這里為% config,表示采用配置的方式, 從而在后續(xù)步驟中能夠獲取到vCPE配置給語音業(yè)務(wù)的IP地址;
[0113] Leftfirewal表示本端的防火墻的開啟狀態(tài),這里為no不開啟;Leftcert表示本端 證書的名稱,這里為"combacert-hnbl .cer" ;
[0114] 其中,Right表示對端的IP地址,這里為30.0.0.30,在通過DHCP報文獲得對端IP地 址后,將修改該項的IP地址為通過DHCP客戶端獲取到的對端IP地址;
[0115] Right id表示對端證書里面的ID內(nèi)容;Right subnet表示對端的子網(wǎng),這里是 "60·0·0·0/24";
[0?16] Keyexchange表示IKE協(xié)商,這里采用的是IKEv2協(xié)議;
[0117] Auto為定義IPsec啟動該連接的行為,這里為start是啟動,add是添加連接類型但 不啟動;
[0118] Lifetime表示建立好的IPsec通道的生命周期,這里為7天;Ikelifetime表示IKE 的生命周期,這里為7天;Margintime表示邊際時間,這里為60秒;Rekeyfuzz表示邊際時間 的誤差,這里為100% ;Dpdaction表示DPD功能,這里為不開啟;Dpddelay表示DH)的延遲時 間,這里為10秒;Ike為指定第一階段的加密方式,這里為aesl28-sha_modp768 ;Esp為指定 第二階段的加密方式,這里為aesl28-sha_modp768。
[0119]其中,上述示例是以證書認證的方式進行舉例的,在本發(fā)明的一些實施例中, IPsec的其他認證方式都可以使用該方法。
[0120] 步驟404:在將vCPE的IP地址寫入用于建立IPsec通道的配置文件中后,網(wǎng)關(guān)設(shè)備 可以使用廣域網(wǎng)接口上配置的第一 IP地址啟動與VCPE之間的IPsec通道的建立進程,即啟 動IPsec進程建立IPsec通道。
[0121] 具體地,網(wǎng)關(guān)設(shè)備可以根據(jù)用于建立IPsec通道的配置文件,使用廣域網(wǎng)接口上配 置的第一 IP地址以及配置文件中的vCPE的IP地址,與vCPE建立IPsec通道。
[0122] 步驟405:網(wǎng)關(guān)設(shè)備上的IPsec進程將根據(jù)ipsec. conf配置文件的內(nèi)容,通過廣域 網(wǎng)接口發(fā)送IKE協(xié)商報文給vCPE,進行IKE協(xié)商過程。
[0123] 具體地,基于IKEv2的IKE協(xié)商過程中共涉及到4個報文,其中,網(wǎng)關(guān)設(shè)備發(fā)送的每 個協(xié)商報文中都攜帶有源IP地址(即網(wǎng)關(guān)設(shè)備從DHCP服務(wù)器獲取到的第一 IP地址);在IKE 協(xié)商過程中的最后一個報文即第4個報文是vCPE發(fā)給網(wǎng)關(guān)設(shè)備的,其中攜帶有網(wǎng)關(guān)設(shè)備的 語音業(yè)務(wù)所需的私有IP地址。其中,由于在網(wǎng)關(guān)設(shè)備和vCPE的ipsec. conf配置文件中都將 leftsourceip設(shè)置為配置模式(如上所示的leftsourceip= %config),從而vCPE在最后一 個IKE報文中將寫入為網(wǎng)關(guān)設(shè)備分配的私有IP地址。
[0124] 步驟406: vCPE在IKE協(xié)商過程中最后一個發(fā)送的IKE報文中填寫為網(wǎng)關(guān)設(shè)備分配 的IP地址,該IP地址即為第二IP地址,并將該IKE報文發(fā)送給網(wǎng)關(guān)設(shè)備,該第二IP地址不同 于協(xié)商報文中的源IP地址,其中協(xié)商報文的源IP即為第一 IP地址。
[0125] 步驟407:網(wǎng)關(guān)設(shè)備收到vCTO在IKE協(xié)商過程中最后一個發(fā)送的IKE報文后通過 IPsec進程進行解析,獲得vCPE為該網(wǎng)關(guān)設(shè)備分配的第二IP地址。
[0126] 具體地,在該報文中的一個pay load type為conf igurat ion,它的一個特性類型為 11^^1?祖1^_1?4_4001也33,該類型對應(yīng)的值是一個1?地址,網(wǎng)關(guān)設(shè)備解析? &71〇&(1七7?6可以 取出該類型對應(yīng)的IP地址,而這個IP地址即為vCPE為該網(wǎng)關(guān)設(shè)備分配的語音業(yè)務(wù)所需要的 IP地址(即第二IP地址)。
[0127] 步驟408:網(wǎng)關(guān)設(shè)備將所獲得的第二IP地址分配給語音業(yè)務(wù)使用,并為廣域網(wǎng)接口 配置該第二IP地址進行存儲??梢钥吹?,通過上述步驟,語音業(yè)務(wù)獲得了業(yè)務(wù)IP地址,廣域 網(wǎng)接口被配置了兩個IP地址:一個是通過步驟401和402中的DHCP過程所得到的第一 IP地 址,該第一IP地址將用于建立IPsec通道,該廣域網(wǎng)接口將使用該第一IP地址;另一個是通 過步驟404至407的IPsec建立過程中的協(xié)商過程所得到的第二IP地址,該第二IP地址將分 配給語音業(yè)務(wù)使用,在該廣域網(wǎng)接口上存儲。
[0128] 步驟409:網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)進程將使用該第二IP地址組織語音業(yè)務(wù)的注冊報 文,即使用第二IP地址封裝語音業(yè)務(wù)的注冊報文后,發(fā)送到IPsec通道。在IPsec通道中,對 使用第二IP地址封裝的語音業(yè)務(wù)的注冊報文將進行加密,并使用第一 IP地址進行外層封 裝,即使用第二IP地址封裝的語音業(yè)務(wù)報文將被IPsec通道使用第一 IP地址進行外層封裝, 再將加密封裝后的報文通過IPsec通道發(fā)送給vCPE^CPE接收到該加密封裝后的報文后將 會進行解封裝,從而將封裝在內(nèi)部的語音業(yè)務(wù)的IP地址,即第二IP地址取出來發(fā)送給語音 服務(wù)器進行注冊。
[0129] 通過上述如圖4所示的流程,網(wǎng)關(guān)設(shè)備將語音業(yè)務(wù)的注冊報文通過IPsec通道加密 封裝傳輸給了vCPE,從而語音業(yè)務(wù)被分配到的業(yè)務(wù)IP地址,即第二IP地址,將經(jīng)由vCPE傳輸 到語音業(yè)務(wù)服務(wù)器進行注冊,注冊成功后,網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)便可以使用第二IP地址組 織語音業(yè)務(wù)的業(yè)務(wù)報文,同樣地,語音業(yè)務(wù)的業(yè)務(wù)報文也首先由語音業(yè)務(wù)使用第二IP地址 進行封裝,在發(fā)送到IPsec通道時進行加密,并使用第一IP地址進行外層封裝,再傳輸?shù)?vCPE,由vCPE解封裝后,將語音業(yè)務(wù)的業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器,從而實現(xiàn)安全性較 高的語音業(yè)務(wù)。
[0130] 進一步地,在本發(fā)明的一些實施例提供的語音業(yè)務(wù)的處理的技術(shù)方案中,對于網(wǎng) 關(guān)設(shè)備與vCPE之間發(fā)生了語音業(yè)務(wù)報文的傳輸時,還可以通過抓包(packet capture)的方 式驗證在網(wǎng)關(guān)設(shè)備與vCPE之間傳輸?shù)恼Z音業(yè)務(wù)報文是否是經(jīng)過IPsec加密后的報文。比如 使用抓包工具在網(wǎng)關(guān)設(shè)備發(fā)送語音業(yè)務(wù)傳輸時,截獲發(fā)送的數(shù)據(jù)包來檢查該數(shù)據(jù)包是否是 經(jīng)過IPsec加密的語音業(yè)務(wù)報文。如果驗證是經(jīng)過IPsec加密后的報文,則該語音業(yè)務(wù)的傳 輸?shù)玫搅撕芎玫谋Wo,語音業(yè)務(wù)報文是安全和保密的。
[0131] 通過以上描述可以看出,在本發(fā)明實施例中提供的語音業(yè)務(wù)的處理技術(shù)方案中, 網(wǎng)關(guān)設(shè)備通過為廣域網(wǎng)接口配置由vCPE為網(wǎng)關(guān)設(shè)備分配的第一 IP地址,進而能夠使用該廣 域網(wǎng)接口上配置的第一 IP地址與vCPE建立IPsec通道,并通過將在該IPsec通道建立過程中 從vCPE獲得的第二IP地址分配給語音業(yè)務(wù),從而能夠進一步地對使用第二IP地址封裝的語 音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝,并通過該IPsec通道發(fā)送給vCPE, 以使vCPE將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器??梢钥吹?,通過本發(fā)明實施例所提供的 技術(shù)方案,網(wǎng)關(guān)設(shè)備能與vCPE之間建立IPsec通道,并能通過該IPsec通道傳輸加密封裝的 語音業(yè)務(wù)報文,從而達到了提高了語音業(yè)務(wù)安全性的效果。
[0132] 同時,在本發(fā)明實施例中提供的語音業(yè)務(wù)的處理技術(shù)方案中,網(wǎng)關(guān)設(shè)備還采用了 獲取vCPE的IP地址并將獲取到的vCPE的IP地址寫入用于建立IPsec通道的配置文件中,從 而建立IPsec通道時,將不需要再到IPsec的配置頁面去配置對端IP地址,使得IPsec通道的 建立更加方便快捷。并且,網(wǎng)關(guān)設(shè)備對第二IP地址的獲取,是基于IKEv2協(xié)議中IKE報文的一 個特性類型來獲取的,從而是在技術(shù)上易于實現(xiàn)的。
[0133] 進一步地,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中,還可以 利用vCPE的所具有的優(yōu)點,比如網(wǎng)關(guān)設(shè)備上的一些上層應(yīng)用可以轉(zhuǎn)移到vCPE上進行處理, 從而可以減輕網(wǎng)關(guān)的負擔(dān)等。此外,如圖2所示的,將vCPE設(shè)置在位于BRAS旁,一方面能夠?qū)?增值流量安全接入,另一方面,還能夠?qū)⒔?jīng)過vCPE處理后的流量轉(zhuǎn)發(fā)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)和 業(yè)務(wù)平臺中,反向流量也做相應(yīng)處理。
[0134] 基于相同的技術(shù)構(gòu)思,本發(fā)明實施例還提供一種網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備可執(zhí)行上 述語音業(yè)務(wù)的處理方法實施例,該網(wǎng)關(guān)設(shè)備可應(yīng)用在如圖2所示的基于vCPE的接入網(wǎng)的示 例結(jié)構(gòu)中。
[0135] 圖5示出了本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備。
[0136] 如圖5所示,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中包括:
[0137] 配置模塊501,用于為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址是vCPE根據(jù)網(wǎng) 關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的;
[0138] 建立模塊502,用于使用廣域網(wǎng)接口上配置的第一 IP地址與vCPE建立IPsec通道;
[0139] 分配模塊503,用于將在IPsec通道建立過程中從vCPE獲得的第二IP地址分配給語 音業(yè)務(wù);
[0140]發(fā)送模塊504,用于對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝,并通過IPsec通道發(fā)送給vCPE,以使所述vCPE將所述語音業(yè)務(wù)報文傳 輸至語音業(yè)務(wù)服務(wù)器。
[0141] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)可以由語 音業(yè)務(wù)模塊505來處理以及實現(xiàn)。
[0142] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,網(wǎng)關(guān)設(shè)備獲得所述第一IP地址 后,拒絕分配給語音業(yè)務(wù)。
[0143] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端, vCPE上配置有DHCP服務(wù)器。
[0144] 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端,用于向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文, 所述DHCP報文用于請求分配IP地址。
[0145] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,還包括:
[0146] 第一獲取模塊,用于根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取為所述網(wǎng)關(guān)設(shè)備 分配的第一 IP地址。
[0147] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,所述第一獲取模塊還用于:根據(jù) 所述DHCP服務(wù)器反饋的DHCP報文,獲取所述vCPE的IP地址,并將所述vCPE的IP地址寫入用 于建立IPsec通道的配置文件中。
[0148] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,建立模塊502,具體用于:根據(jù)所 述用于建立IPsec通道的配置文件,使用所述廣域網(wǎng)接口上配置的第一 IP地址以及所述配 置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道。
[0149] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,建立模塊502,具體用于:在所述 IPsec通道建立過程中,向所述vCPE發(fā)起IKE協(xié)商過程;
[0150] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,還包括:第二獲取模塊,用于根 據(jù)所述IKE協(xié)商過程中所述vCPE反饋的IKE協(xié)商報文,獲取第二IP地址。
[0151] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,配置模塊501還用于:為廣域網(wǎng) 接口配置所述第二IP地址。
[0152] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中還包括:判斷模塊,用于在所述網(wǎng) 關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù)所述報文封裝的IP地址以及所述廣 域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語音業(yè)務(wù)報文。
[0153] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,發(fā)送模塊504,具體用于:在所述 判斷模塊判斷是語音業(yè)務(wù)報文時,對使用所述第二IP地址封裝的語音業(yè)務(wù)報文進行加密 后,使用第一 IP地址進行外層封裝,并通過所述IPsec通道發(fā)送給所述vCPE。
[0154] 基于相同的技術(shù)構(gòu)思,本發(fā)明實施例還提供一種語音業(yè)務(wù)的處理系統(tǒng),該語音業(yè) 務(wù)的處理系統(tǒng)中語音業(yè)務(wù)的處理可參照前述方法實施例,該語音業(yè)務(wù)的處理系統(tǒng)具體可應(yīng) 用在如圖2所示的基于vCPE的接入網(wǎng)的示例結(jié)構(gòu)中。
[0155] 圖6示出了本發(fā)明的一些實施例提供的語音業(yè)務(wù)的處理系統(tǒng)。
[0156] 如圖6所示,本發(fā)明的一些實施例提供的語音業(yè)務(wù)的處理系統(tǒng)中包括:網(wǎng)關(guān)設(shè)備 601、以及 VCPE602。
[0157] 其中,網(wǎng)關(guān)設(shè)備601,具體可以參見前文中設(shè)備實施例所描述的網(wǎng)關(guān)設(shè)備。
[0158] 可選地,網(wǎng)關(guān)設(shè)備601,可以用于為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址 是所述vCPE根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;以及,用于使用所述廣域網(wǎng) 接口上配置的第一IP地址與所述vCPE建立IPsec通道;以及,用于將在所述IPsec通道建立 過程中從所述vCPE獲得的第二IP地址分配給語音業(yè)務(wù);以及,用于對使用第二IP地址封裝 的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝,并通過所述IPsec通道發(fā)送給 所述vCPE;
[0159] 其中,VCPE602可以用于根據(jù)網(wǎng)關(guān)設(shè)備601的請求為網(wǎng)關(guān)設(shè)備601分配第一 IP地址; 以及,用于與網(wǎng)關(guān)設(shè)備601建立IPsec通道,并在IPsec通道過程中向網(wǎng)關(guān)設(shè)備601分配第二 IP地址;以及,用于接收網(wǎng)關(guān)設(shè)備601通過IPsec通道發(fā)送的使用第一IP地址進行外層封裝 的加密后的語音業(yè)務(wù)報文,并在解密后將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器603。
[0160] 其中,圖6中僅示意性地示出了vCPE與一個網(wǎng)關(guān)設(shè)備之間進行通信的示例,應(yīng)當理 解的是,vCPE可以與一個或多個網(wǎng)關(guān)設(shè)備之間建立通信連接進行通信。還應(yīng)當理解的是,在 圖6中僅示意性地表示了vCPE與網(wǎng)關(guān)設(shè)備之間進行通信,以及vCPE與語音業(yè)務(wù)服務(wù)器之間 進行通信,并未具體示出vCPE與網(wǎng)關(guān)設(shè)備之間的一個或多個網(wǎng)絡(luò)節(jié)點,比如可以包括有圖2 所示出的如0NU、0LT、BRAS等,也未具體示出vCPE與語音業(yè)務(wù)服務(wù)器之間的一個或多個網(wǎng)絡(luò) 節(jié)點,比如可以包括有如圖2所示出的BRAS、CR、PE等。
[0161]對于軟件實施,這些技術(shù)可以用實現(xiàn)這里描述的功能的模塊(例如程序、功能等 等)實現(xiàn)。軟件代碼可以儲存在存儲器單元中,并且由處理器執(zhí)行。存儲器單元可以在處理 器內(nèi)或者在處理器外實現(xiàn)。
[0162] 本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程 圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流 程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序 指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn) 生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實 現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0163] 這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特 定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指 令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或 多個方框中指定的功能。
[0164] 這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計 算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或 其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一 個方框或多個方框中指定的功能的步驟。
[0165] 盡管已描述了本發(fā)明的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造 性概念,則可對這些實施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu) 選實施例以及落入本發(fā)明范圍的所有變更和修改。
[0166] 顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精 神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
【主權(quán)項】
1. 一種語音業(yè)務(wù)的處理方法,其特征在于,該方法包括: 網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址是虛擬企業(yè)用戶駐地設(shè)備 vCPE根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的; 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立網(wǎng)絡(luò)協(xié)議安 全IPsec通道; 所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分配給語 音業(yè)務(wù); 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進 行外層封裝,并通過所述IPsec通道發(fā)送給所述VCPE,以使所述vCPE將所述語音業(yè)務(wù)報文傳 輸至語音業(yè)務(wù)服務(wù)器。2. 如權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)關(guān)設(shè)備獲得所述第一IP地址后,拒絕 分配給語音業(yè)務(wù)。3. 如權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)關(guān)設(shè)備上配置有動態(tài)主機配置協(xié)議 DHCP客戶端,所述vCPE上配置有DHCP服務(wù)器; 所述網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址之前,還包括: 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端,向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文,所述DHCP 報文用于請求分配IP地址; 所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取為所述網(wǎng)關(guān)設(shè)備分配的第一 IP地址。4. 如權(quán)利要求3所述的方法,其特征在于,還包括: 所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取所述vCPE的IP地址,并將所 述vCPE的IP地址寫入用于建立IPsec通道的配置文件中; 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec通道, 包括: 所述網(wǎng)關(guān)設(shè)備根據(jù)所述用于建立IPsec通道的配置文件,使用所述廣域網(wǎng)接口上配置 的第一 IP地址以及所述配置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道。5. 如權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程 中從所述vCPE獲得的第二IP地址分配給語音業(yè)務(wù)之前,包括: 所述網(wǎng)關(guān)設(shè)備在所述IPsec通道建立過程中,向所述vCPE發(fā)起網(wǎng)絡(luò)密鑰交換IKE協(xié)商過 程,根據(jù)所述vCPE反饋的IKE協(xié)商報文,獲取第二IP地址。6. 如權(quán)利要求1至5中任一項所述的方法,其特征在于,所述網(wǎng)關(guān)設(shè)備從所述vCPE獲得 第二IP地址之后,還包括: 所述網(wǎng)關(guān)設(shè)備為所述廣域網(wǎng)接口配置所述第二IP地址; 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密之前,還包括: 所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù)所述報文封裝的IP地址 以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語音業(yè)務(wù)報文。7. -種網(wǎng)關(guān)設(shè)備,其特征在于,該網(wǎng)關(guān)設(shè)備包括: 配置模塊,用于為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址是vCPE根據(jù)所述網(wǎng)關(guān) 設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的; 建立模塊,用于使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述VCPE建立IPsec通道; 分配模塊,用于將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分配給 語音業(yè)務(wù); 發(fā)送模塊,用于對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址 進行外層封裝,并通過所述IPsec通道發(fā)送給所述VCPE,以使所述VCPE將所述語音業(yè)務(wù)報文 傳輸至語音業(yè)務(wù)服務(wù)器。8. 如權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述網(wǎng)關(guān)設(shè)備獲得所述第一IP地址后, 拒絕分配給語音業(yè)務(wù)。9. 如權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端,所 述vCPE上配置有DHCP服務(wù)器; 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端,用于向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文,所述 DHCP報文用于請求分配IP地址; 所述網(wǎng)關(guān)設(shè)備,還包括: 第一獲取模塊,用于根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取為所述網(wǎng)關(guān)設(shè)備分配 的第一 IP地址。10. 如權(quán)利要求9所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述第一獲取模塊,還用于:根據(jù)所述 DHCP服務(wù)器反饋的DHCP報文,獲取所述vCPE的IP地址,并將所述vCPE的IP地址寫入用于建 立IPsec通道的配置文件中; 所述建立模塊,具體用于: 根據(jù)所述用于建立IPsec通道的配置文件,使用所述廣域網(wǎng)接口上配置的第一 IP地址 以及所述配置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道。11. 如權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述建立模塊,具體用于:在所述IPsec 通道建立過程中,向所述vCPE發(fā)起IKE協(xié)商過程; 所述網(wǎng)關(guān)設(shè)備還包括: 第二獲取模塊,用于根據(jù)所述IKE協(xié)商過程中所述vCPE反饋的IKE協(xié)商報文,獲取第二 IP地址。12. 如權(quán)利要求7至11中任一項所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述配置模塊,還用于: 為所述廣域網(wǎng)接口配置所述第二IP地址; 所述網(wǎng)關(guān)設(shè)備還包括: 判斷模塊,用于在所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù)所述 報文封裝的IP地址以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語 音業(yè)務(wù)報文。13. -種語音業(yè)務(wù)的處理系統(tǒng),其特征在于,該系統(tǒng)包括:如權(quán)利要求7至12中任一項所 述的網(wǎng)關(guān)設(shè)備、以及vCPE; 所述網(wǎng)關(guān)設(shè)備,用于為廣域網(wǎng)接口配置第一 IP地址,所述第一 IP地址是所述vCPE根據(jù) 所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;以及,用于使用所述廣域網(wǎng)接口上配置的第 一IP地址與所述vCTO建立IPsec通道;以及,用于將在所述IPsec通道建立過程中從所述 vCPE獲得的第二IP地址分配給語音業(yè)務(wù);以及,用于對使用第二IP地址封裝的語音業(yè)務(wù)報 文進行加密后,使用第一 IP地址進行外層封裝,并通過所述IPsec通道發(fā)送給所述vCPE; 所述vCPE,用于根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配第一IP地址;以及,用于 與所述網(wǎng)關(guān)設(shè)備建立IPsec通道,并在所述IPsec通道過程中向所述網(wǎng)關(guān)設(shè)備分配第二IP地 址;以及,用于接收所述網(wǎng)關(guān)設(shè)備通過所述IPsec通道發(fā)送的使用第一IP地址進行外層封裝 的加密后的語音業(yè)務(wù)報文,并在解密后將所述語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器。
【文檔編號】H04Q11/00GK106027387SQ201610524521
【公開日】2016年10月12日
【申請日】2016年7月5日
【發(fā)明人】楊艷, 田海燕
【申請人】瑞斯康達科技發(fā)展股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1