一種語音業(yè)務(wù)的處理方法���、網(wǎng)關(guān)設(shè)備及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種語音業(yè)務(wù)的處理方法���、網(wǎng)關(guān)設(shè)備及系統(tǒng)。本發(fā)明方法包括:網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一IP地址�����,第一IP地址是vCPE根據(jù)網(wǎng)關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的;網(wǎng)關(guān)設(shè)備使用廣域網(wǎng)接口上配置的第一IP地址與vCPE建立IPsec通道����;網(wǎng)關(guān)設(shè)備將在IPsec通道建立過程中從vCPE獲得的第二IP地址分配給語音業(yè)務(wù);網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后����,使用第一IP地址進行外層封裝,并通過IPsec通道發(fā)送給vCPE����,以使vCPE將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器。本發(fā)明能夠提高語音業(yè)務(wù)的安全性���。
【專利說明】
一種語音業(yè)務(wù)的處理方法�����、網(wǎng)關(guān)設(shè)備及系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及一種語音業(yè)務(wù)的處理方法����、網(wǎng)關(guān)設(shè)備及系統(tǒng)�。
【背景技術(shù)】
[0002] 接入層網(wǎng)絡(luò)是各種業(yè)務(wù)開展的基礎(chǔ)平臺�����,隨著接入業(yè)務(wù)的快速發(fā)展���,特別是隨著 中小企業(yè)網(wǎng)絡(luò)接入市場的不斷發(fā)展,實現(xiàn)用戶內(nèi)部數(shù)據(jù)���、語音統(tǒng)一接入,滿足用戶對成本 低�、通信便捷、溝通高效的訴求是當前融合通信系統(tǒng)解決方案的目標��。目前的解決方案中��, 企業(yè)網(wǎng)關(guān)作為一種接入產(chǎn)品��,可通過無源光纖(Passive Optical�����,Ρ0Ν)網(wǎng)絡(luò)��,接入到寬帶遠 程接入服務(wù)器(Broadband Remote Access Server��,BRAS),然后通過各個運營商的城域網(wǎng)����, 接入互聯(lián)網(wǎng)(Internet)。
[0003] 圖1示出了目前面向企業(yè)用戶接入網(wǎng)方案的結(jié)構(gòu)示意圖�����。如圖1所示��,業(yè)務(wù)網(wǎng)所對 應(yīng)的網(wǎng)關(guān)設(shè)備101與光網(wǎng)絡(luò)單元(Optical Network Unit��,0NU)102建立連接��,再通過光線路 終端(Optical Line Terminal�����,0LT)103接入到BRAS104,進而通過BRAS104與核心路由器 (Core Router����,CR) 105連接,通過位于城域網(wǎng)的網(wǎng)絡(luò)側(cè)邊緣(Provider Edge���,PE)設(shè)備106����, 接入到位于業(yè)務(wù)平臺或網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)服務(wù)器(Virtual Private Network Server, VPN Server) 107����。其中,PE設(shè)備106通常要求具備封裝與解封裝能力���。0LT103和0NU102組成 了Ρ0Ν網(wǎng)絡(luò)���,0LT103和0NU102之間通過光分配網(wǎng)(Optical Distribution Network,0DN)連 接��。
[0004] 基于如圖1所示的接入網(wǎng)示意架構(gòu)���,在需要進行語音業(yè)務(wù)時,將通過網(wǎng)關(guān)設(shè)備的語 音模塊直接發(fā)送沒有加密的語音業(yè)務(wù)報文���,并需要經(jīng)由一系列的網(wǎng)絡(luò)設(shè)備的傳遞到達語音 業(yè)務(wù)服務(wù)器�����,比如圖1所示出的��,網(wǎng)關(guān)設(shè)備101發(fā)送的語音業(yè)務(wù)報文經(jīng)由0NU102到0LT103,再 到BRAS104��、再通過CR105以及PE106,最后傳輸?shù)秸Z音業(yè)務(wù)服務(wù)器107��。網(wǎng)關(guān)設(shè)備與語音業(yè)務(wù) 服務(wù)器之間的通信數(shù)據(jù)需經(jīng)過大量的網(wǎng)絡(luò)設(shè)備的傳遞��,如果網(wǎng)關(guān)設(shè)備需要與語音業(yè)務(wù)服務(wù) 器之間頻繁互換信息時��,大量的信息在通信網(wǎng)絡(luò)中傳遞���,十分容易被截取甚至篡改����,無法保 證語音業(yè)務(wù)的安全性����。
[0005] 因此,如何提高語音業(yè)務(wù)的安全性�,是業(yè)界所亟待研究和解決的問題。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實施例提供一種語音業(yè)務(wù)的處理方法��、網(wǎng)關(guān)設(shè)備以及系統(tǒng)�,用以提高語音 業(yè)務(wù)的安全性。
[0007] 本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法,包括:
[0008] 網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址����,所述第一 IP地址是vCPE根據(jù)所述網(wǎng)關(guān)設(shè) 備的請求為所述網(wǎng)關(guān)設(shè)備分配的;
[0009] 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec通 道�����;
[0010] 所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分配 給語音業(yè)務(wù)����;
[0011] 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后,使用第一 IP地 址進行外層封裝�,并通過所述IPsec通道發(fā)送給所述VCPE,以使所述VCPE將所述語音業(yè)務(wù)報 文傳輸至語音業(yè)務(wù)服務(wù)器�����。
[0012] 可選地�����,所述網(wǎng)關(guān)設(shè)備獲得所述第一 IP地址后����,拒絕分配給語音業(yè)務(wù)。
[0013] 可選地�,所述網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端,所述vCPE上配置有DHCP服務(wù)器��;
[0014] 所述網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址之前�,還包括:
[0015] 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端,向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文��,所述 DHCP報文用于請求分配IP地址�����;
[0016]所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文����,獲取為所述網(wǎng)關(guān)設(shè)備分配的 第一 IP地址。
[0017] 可選地�����,本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法還包括:
[0018] 所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文����,獲取所述vCPE的IP地址,并 將所述vCPE的IP地址寫入用于建立IPsec通道的配置文件中�;
[0019] 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec通 道,包括:
[0020] 所述網(wǎng)關(guān)設(shè)備根據(jù)所述用于建立IPsec通道的配置文件��,使用所述廣域網(wǎng)接口上 配置的第一 IP地址以及所述配置文件中的所述vCPE的IP地址��,與所述vCPE建立IPsec通道����。
[0021] 可選地,所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP 地址分配給語音業(yè)務(wù)之前��,包括:
[0022]所述網(wǎng)關(guān)設(shè)備在所述IPsec通道建立過程中��,向所述vCPE發(fā)起IKE協(xié)商過程����,根據(jù) 所述vCPE反饋的IKE協(xié)商報文,獲取第二IP地址�����。
[0023] 可選地����,所述網(wǎng)關(guān)設(shè)備從所述vCPE獲得第二IP地址之后�,還包括:
[0024] 所述網(wǎng)關(guān)設(shè)備為所述廣域網(wǎng)接口配置所述第二IP地址;
[0025] 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密之前,還包括:
[0026] 所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后�,根據(jù)所述報文封裝的IP 地址以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語音業(yè)務(wù)報文�。
[0027] 本發(fā)明的一個實施例提供的網(wǎng)關(guān)設(shè)備,包括:
[0028]配置模塊�����,用于為廣域網(wǎng)接口配置第一IP地址����,所述第一IP地址是vCPE根據(jù)所述 網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;
[0029]建立模塊���,用于使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec 通道�;
[0030] 分配模塊����,用于將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分 配給語音業(yè)務(wù);
[0031] 發(fā)送模塊�����,用于對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后����,使用第一 IP 地址進行外層封裝��,并通過所述IPsec通道發(fā)送給所述vCPE���,以使所述vCPE將所述語音業(yè)務(wù) 報文傳輸至語音業(yè)務(wù)服務(wù)器。
[0032] 可選地���,所述網(wǎng)關(guān)設(shè)備獲得所述第一 IP地址后����,拒絕分配給語音業(yè)務(wù)�。
[0033] 可選地,所述網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端�����,所述vCPE上配置有DHCP服務(wù)器���;
[0034] 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端�����,用于向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文��, 所述DHCP報文用于請求分配IP地址��;
[0035] 所述網(wǎng)關(guān)設(shè)備���,還包括:
[0036]第一獲取模塊,用于根據(jù)所述DHCP服務(wù)器反饋的DHCP報文��,獲取為所述網(wǎng)關(guān)設(shè)備 分配的第一 IP地址���。
[0037]可選地�,所述第一獲取模塊�,還用于:根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取 所述vCPE的IP地址����,并將所述vCPE的IP地址寫入用于建立IPsec通道的配置文件中;
[0038]所述建立模塊��,具體用于:
[0039] 根據(jù)所述用于建立IPsec通道的配置文件�,使用所述廣域網(wǎng)接口上配置的第一 IP 地址以及所述配置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道�����。
[0040] 可選地,所述建立模塊��,具體用于:在所述IPsec通道建立過程中��,向所述vCPE發(fā)起 IKE協(xié)商過程���;
[0041] 所述網(wǎng)關(guān)設(shè)備還包括:
[0042]第二獲取模塊�����,用于根據(jù)所述IKE協(xié)商過程中所述vCPE反饋的IKE協(xié)商報文����,獲取 第二IP地址�。
[0043] 可選地,所述配置模塊�,還用于:為所述廣域網(wǎng)接口配置所述第二IP地址;
[0044] 所述網(wǎng)關(guān)設(shè)備還包括:
[0045] 判斷模塊�,用于在所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù) 所述報文封裝的IP地址以及所述廣域網(wǎng)接口上配置的所述第二IP地址�,判斷所述報文是否 是語音業(yè)務(wù)報文。
[0046] 本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理系統(tǒng)�,該系統(tǒng)包括:網(wǎng)關(guān)設(shè)備、以及 vCPE;
[0047] 所述網(wǎng)關(guān)設(shè)備�����,用于為廣域網(wǎng)接口配置第一 IP地址�,所述第一 IP地址是所述vCPE 根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;以及�����,用于使用所述廣域網(wǎng)接口上配置 的第一IP地址與所述vCPE建立IPsec通道���;以及,用于將在所述IPsec通道建立過程中從所 述vCPE獲得的第二IP地址分配給語音業(yè)務(wù)����;以及,用于對使用第二IP地址封裝的語音業(yè)務(wù) 報文進行加密后�����,使用第一 IP地址進行外層封裝��,并通過所述IPsec通道發(fā)送給所述vCPE;
[0048] 所述vCPE��,用于根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配第一IP地址���;以及��, 用于與所述網(wǎng)關(guān)設(shè)備建立IPsec通道��,并在所述IPsec通道過程中向所述網(wǎng)關(guān)設(shè)備分配第二 IP地址����;以及,用于接收所述網(wǎng)關(guān)設(shè)備通過所述IPsec通道發(fā)送的使用第一IP地址進行外層 封裝的加密后的語音業(yè)務(wù)報文��,并在解密后將所述語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器���。
[0049] 在本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中�,網(wǎng)關(guān)設(shè)備通過為廣域網(wǎng) 接口配置由vCPE為網(wǎng)關(guān)設(shè)備分配的第一 IP地址����,進而能夠使用該廣域網(wǎng)接口上配置的第一 IP地址與vCPE建立IPsec通道,并通過將在該IPsec通道建立過程中從vCPE獲得的第二IP地 址分配給語音業(yè)務(wù)����,從而能夠進一步地對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密 后,使用第一IP地址進行外層封裝����,并通過該IPsec通道發(fā)送給vCPE�,以使vCPE將語音業(yè)務(wù) 報文傳輸至語音業(yè)務(wù)服務(wù)器���?��?梢钥吹剑ㄟ^本發(fā)明實施例所提供的技術(shù)方案��,網(wǎng)關(guān)設(shè)備能 夠與vCPE之間建立IPsec通道�����,并能夠通過該IPsec通道傳輸加密封裝的語音業(yè)務(wù)報文�����,從 而達到了提高了語音業(yè)務(wù)安全性的效果��。
【附圖說明】
[0050]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案���,下面將對實施例描述中所需要使 用的附圖作簡要介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本 領(lǐng)域的普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其 他的附圖�。
[0051 ]圖1為現(xiàn)有技術(shù)中面向企業(yè)用戶接入網(wǎng)方案的結(jié)構(gòu)示意圖;
[0052]圖2為本發(fā)明的一個實施例提供的接入網(wǎng)的結(jié)構(gòu)示意圖����;
[0053]圖3為本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法的流程示意圖;
[0054] 圖4為本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理方法流程在語音業(yè)務(wù)的注冊場 景中的應(yīng)用不意圖����;
[0055] 圖5為本發(fā)明的一個實施例提供的網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖;
[0056]圖6為本發(fā)明的一個實施例提供的語音業(yè)務(wù)的處理系統(tǒng)的結(jié)構(gòu)示意圖����。
【具體實施方式】
[0057]為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合附圖對本發(fā)明作進 一步地詳細描述,顯然�,所描述的實施例僅僅是本發(fā)明一部份實施例,而不是全部的實施 例��。基于本發(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的 所有其它實施例�,都屬于本發(fā)明保護的范圍。
[0058]隨著企業(yè)信息化率的提高��,企業(yè)網(wǎng)絡(luò)接入市場的不斷發(fā)展�����,以及用戶對網(wǎng)絡(luò)的差 異化需求不斷增強����,傳統(tǒng)的接入業(yè)務(wù),比如圖1所示出的傳統(tǒng)接入網(wǎng)結(jié)構(gòu)已無法完全滿足用 戶快速增長的需求�����?���?紤]到如圖1所示出的傳統(tǒng)接入網(wǎng)結(jié)構(gòu)不能很好的適應(yīng)企業(yè)用戶接入 網(wǎng)絡(luò)的挑戰(zhàn)的缺陷�,本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理方案,在基于圖1所示的傳統(tǒng) 接入網(wǎng)的結(jié)構(gòu)中�����,引入了基于虛擬化技術(shù)的接入網(wǎng)絡(luò)服務(wù)聯(lián)盟(Access Network Service Union,ANSU)虛擬企業(yè)用戶駐地設(shè)備(visual Customer Premise Equipment����,vCPE),來構(gòu) 建出新的接入網(wǎng)結(jié)構(gòu)��,以滿足不斷發(fā)展和變化的用戶需求��。
[0059] 圖2示出了本發(fā)明的一些實施例提供的基于vCPE的接入網(wǎng)結(jié)構(gòu)示意圖����。
[0060] 如圖2所示,網(wǎng)關(guān)設(shè)備201經(jīng)由0NU202�、0LT203以及BRAS204,與VCPE205進行交互并 建立連接,由VCPE205再通過BRAS204,經(jīng)由CR206����、PE207后與遠端業(yè)務(wù)平臺或網(wǎng)絡(luò)中的業(yè)務(wù) 服務(wù)器208建立連接,從而實現(xiàn)網(wǎng)關(guān)設(shè)備201與遠端的業(yè)務(wù)服務(wù)器208之間的寬帶�����、語音等業(yè) 務(wù)信息的交互��。其中,該接入網(wǎng)結(jié)構(gòu)由管理編排域(Management and 0rchestration�,MAN0) 來實現(xiàn)對整體資源的管理和編排,并由運營支持系統(tǒng)(Operation Support System����,0SS)和 業(yè)務(wù)支撐系統(tǒng)(Business Support System,BSS)支撐��。
[0061] 其中��,基于虛擬化技術(shù)的ANSU主要通過漸進式的業(yè)務(wù)驅(qū)動����,將接入網(wǎng)的網(wǎng)絡(luò)功能 進行虛擬化,并將需要增值的業(yè)務(wù)流量通過虛擬化的分流器引入ANSU的云平臺��,再通過駐 在ANSU的云平臺虛擬化網(wǎng)絡(luò)功能��,如vCPE����,實現(xiàn)增值服務(wù)�,最后,將增值后的網(wǎng)絡(luò)流量通過 分流器引入到原有網(wǎng)絡(luò)中�。
[0062] 傳統(tǒng)上的企業(yè)用戶使用用戶終端設(shè)備(Customer Premise Equipment�����,CPE)連接 到電信網(wǎng)絡(luò)以及訪問通信服務(wù)供應(yīng)商提供的服務(wù)���。而現(xiàn)在企業(yè)客戶的大多數(shù)CPE功能(比如 路由、VPN或防火墻等)都是虛擬化���,這些功能位于服務(wù)邊緣或通信服務(wù)提供商數(shù)據(jù)中心���,因 而vCPE是通信服務(wù)供應(yīng)商向企業(yè)客戶提供寬帶服務(wù)的新方式。vCPE可利用通用硬件虛擬化 來簡化網(wǎng)絡(luò)服務(wù)的交付過程�����,將原本部署在接入網(wǎng)關(guān)上復(fù)雜的功能和增值業(yè)務(wù)應(yīng)用上移到 網(wǎng)絡(luò)側(cè)業(yè)務(wù)平臺��,簡化實體網(wǎng)關(guān)的功能�。通過利用網(wǎng)絡(luò)功能虛擬化和vCPE,基于vCPE可以虛 擬出多個服務(wù)器與網(wǎng)關(guān)設(shè)備等業(yè)務(wù)設(shè)備進行通信����,虛擬服務(wù)器在不需要時釋放回歸即可。
[0063] 可以看到�,在如圖2所示的接入網(wǎng)結(jié)構(gòu)中����,vCPE可以作為虛擬出來的服務(wù)器����,因而 可以根據(jù)需要虛擬出多個服務(wù)器,也可以根據(jù)需求釋放不需要的服務(wù)器�����。同時����,網(wǎng)關(guān)設(shè)備上 的一些上層應(yīng)用,比如深度包檢測(Deep Packet Inspection��,DPI)�,可以轉(zhuǎn)移到vCPE上進 行處理,減輕網(wǎng)關(guān)設(shè)備的負擔(dān)�。此外,vCPE位于BRAS旁�����,一方面能夠?qū)⒃鲋盗髁堪踩尤?����,?一方面��,能夠?qū)⒔?jīng)過vCPE處理后的流量轉(zhuǎn)發(fā)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)平臺中�����。反向流量也 做相應(yīng)處理��。
[0064] 為了提高語音業(yè)務(wù)的安全性����,本發(fā)明實施例提供了一種語音業(yè)務(wù)的處理技術(shù)方 案?���;谌鐖D2所示的基于vCPE的接入網(wǎng)示意結(jié)構(gòu),可以看到語音業(yè)務(wù)的安全性與網(wǎng)關(guān)和 vCPE之間的信息傳遞的安全性密切相關(guān)��?�?紤]到目前通信業(yè)務(wù)中互聯(lián)網(wǎng)協(xié)議安全性 (Internet Protocol Security�����,IPSec)通過使用加密的安全服務(wù)以確保在互聯(lián)網(wǎng)協(xié)議 (Internet Protocol,IP)網(wǎng)絡(luò)上進行保密而安全的通訊���,是一種較好的用以防止通信中信 息被篡改的措施����,本發(fā)明實施例所提供的語音業(yè)務(wù)的處理方案中采取了在網(wǎng)關(guān)設(shè)備與vCPE 之間建立IPsec通道來進行語音業(yè)務(wù)傳輸?shù)拇胧?����,從而使得網(wǎng)關(guān)設(shè)備與vCPE間數(shù)據(jù)的保密 性得到了保障��,進而能夠?qū)崿F(xiàn)對語音業(yè)務(wù)安全性的保障�����。
[0065] 具體地�,基于如圖2所示的接入網(wǎng)示意結(jié)構(gòu),本發(fā)明的實施例所提供的語音業(yè)務(wù)的 處理技術(shù)方案中�,網(wǎng)關(guān)設(shè)備能夠獲得兩個IP地址,通過使用廣域網(wǎng)接口上配置的第一IP地 址與vCPE建立IPsec通道�,并使用第二IP地址封裝語音業(yè)務(wù)報文,進而能夠?qū)κ褂玫诙蘒P地 址封裝的語音業(yè)務(wù)報文進行加密����,使用第一 IP地址進行外層封裝��,再通過IPsec通道發(fā)送給 vCPE,以使vCPE將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器�����??梢钥吹剑ㄟ^本發(fā)明實施例所提 供的技術(shù)方案��,網(wǎng)關(guān)設(shè)備與vCPE之間建立IPsec通道�,通過IPsec通道傳輸加密封裝的語音 業(yè)務(wù)報文,從而能夠達到提高了語音業(yè)務(wù)安全性的效果����。
[0066] 下面將結(jié)合附圖對本發(fā)明實施例進行詳細描述。
[0067] 圖3示出了本發(fā)明實施例提供的一種語音業(yè)務(wù)的處理方法的流程示意圖�,該流程 可由網(wǎng)關(guān)設(shè)備實現(xiàn),該流程可應(yīng)用于如圖2所示的接入網(wǎng)的結(jié)構(gòu)示例�,比如具體可以是由圖 2中所示的網(wǎng)關(guān)設(shè)備實現(xiàn),該流程包括如下步驟:
[0068]步驟301:網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一IP地址����,該第一IP地址是vCPE根據(jù)網(wǎng)關(guān) 設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的。
[0069] 步驟302:網(wǎng)關(guān)設(shè)備使用該廣域網(wǎng)接口上配置的第一IP地址與vCTO建立IPsec通 道。
[0070] 步驟303:網(wǎng)關(guān)設(shè)備將在該IPsec通道建立過程中從vCPE獲得的第二IP地址分配給 語音業(yè)務(wù)�����。
[0071] 步驟304:網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后�����,使用第一 IP地址進行外層封裝���,并通過IPsec通道發(fā)送給vCPE���,以使vCPE將該語音業(yè)務(wù)報文傳輸至語 音業(yè)務(wù)服務(wù)器。
[0072] 在本發(fā)明的一些可選實施例中�,網(wǎng)關(guān)設(shè)備上配置有動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)客戶端�,vCPE上配置有DHCP服務(wù)器。進一步地��,在網(wǎng) 關(guān)設(shè)備執(zhí)行步驟301中為廣域網(wǎng)接口配置第一 IP地址之前����,可以通過以下過程來獲取第一 IP地址:
[0073]網(wǎng)關(guān)設(shè)備上的DHCP客戶端,向vCPE上的DHCP服務(wù)器發(fā)送DHCP報文���,其中���,該DHCP報 文用于請求分配IP地址���;網(wǎng)關(guān)設(shè)備進而能夠根據(jù)DHCP服務(wù)器反饋的DHCP報文,獲取為網(wǎng)關(guān) 設(shè)備分配的第一 IP地址����。
[0074] 其中��,DHCP是在傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(Transmission Control Protocol/Internet Protocol�����,TCP/IP)網(wǎng)絡(luò)上使客戶端設(shè)備獲得配置信息的協(xié)議��,是基于 客戶端/服務(wù)器模式�����,IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)由DHCP服務(wù)器集中管理���,并負責(zé)處理DHCP客戶端的 DHCP請求;DHCP客戶端則使用從DHCP服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)��。
[0075] 具體地����,vCPE上的DHCP服務(wù)器開啟后,可以監(jiān)聽網(wǎng)絡(luò)中的用于請求分配IP地址的 DHCP報文��,并與發(fā)送DHCP報文的DHCP客戶端進行匹配�,匹配后向DHCP客戶端回應(yīng)匹配的 DHCP報文,從而使得DHCP客戶端能夠根據(jù)接收到的DHCP報文獲得第一 IP地址�����。
[0076]具體地���,網(wǎng)關(guān)設(shè)備在獲取vCPE根據(jù)網(wǎng)關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的第一 IP地址 后�,可以執(zhí)行步驟301����,即為廣域網(wǎng)接口配置該第一 IP地址。
[0077]進一步地���,網(wǎng)關(guān)設(shè)備可以執(zhí)行步驟302,使用該廣域網(wǎng)接口上配置的第一 IP地址與 vCPE建立IPsec通道�。
[0078]具體地����,在本發(fā)明的一些實施例中����,網(wǎng)關(guān)設(shè)備在通過步驟301獲得第一IP地址后�����, 將拒絕分配給語音業(yè)務(wù)�。
[0079] 由于本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理方案是采取將語音業(yè)務(wù)在網(wǎng)關(guān)設(shè) 備與vCPE之間建立的IPsec通道中進行傳輸,來實現(xiàn)對語音業(yè)務(wù)安全性的保障�����,其中��,網(wǎng)關(guān) 設(shè)備與vCTO之間建立的IPsec通道則是網(wǎng)關(guān)設(shè)備使用廣域網(wǎng)接口上配置的第一IP地址與 vCPE之間的建立的����。
[0080] 考慮到在現(xiàn)有技術(shù)中�����,網(wǎng)關(guān)設(shè)備中的語音業(yè)務(wù)模塊通常被設(shè)置為檢查廣域網(wǎng)接口 的狀態(tài)���,在檢查到廣域網(wǎng)接口狀態(tài)為up (連接正常)時�����,將直接獲取廣域網(wǎng)接口的IP地址作 為語音業(yè)務(wù)的IP地址并同時將該廣域網(wǎng)接口作為發(fā)送語音業(yè)務(wù)報文的接口��,在檢查到廣域 網(wǎng)接口狀態(tài)為down(連接不正常)時不發(fā)送語音業(yè)務(wù)報文���,因此���,針對與要處理的語音業(yè)務(wù) 需要在廣域網(wǎng)口上所建立的IPsec通道,如果按照現(xiàn)有技術(shù)中對網(wǎng)關(guān)設(shè)備中的語音業(yè)務(wù)的 處理方式�,則對于廣域網(wǎng)接口將出現(xiàn)語音業(yè)務(wù)的IP地址與IPsec通道的IP地址的沖突,也就 是說如果要建立一個IPsec通道����,則廣域網(wǎng)接口將需要一個IP地址來建立IPsec通道,而如 果要進行語音業(yè)務(wù)的處理����,廣域網(wǎng)接口則需要一個IP地址來進行語音業(yè)務(wù)的處理,但是廣 域網(wǎng)接口上又不能同時使用兩個IP地址�����,即這兩個IP地址又不能相同,那么網(wǎng)關(guān)設(shè)備的廣 域網(wǎng)接口地址是綁定語音業(yè)務(wù)的IP地址還是綁定用于建立IPsec通道的IP地址則出現(xiàn)了一 種矛盾的狀況���。
[0081] 為了解決上述廣域網(wǎng)接口 IP地址的矛盾���,在本發(fā)明的一些實施例中,網(wǎng)關(guān)設(shè)備在 通過步驟301獲得第一 IP地址后�����,將拒絕分配給語音業(yè)務(wù)�。
[0082] 具體比如在本發(fā)明的一些實施例中,可以在編譯網(wǎng)關(guān)設(shè)備需要的版本文件時�����,將 網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)檢查廣域網(wǎng)接口狀態(tài)的功能刪除���,比如刪除語音業(yè)務(wù)中檢查廣域網(wǎng)接 口 up/down內(nèi)容的代碼段,或者設(shè)置網(wǎng)關(guān)設(shè)備在獲取到第一 IP并將第一 IP配置給廣域網(wǎng)接 口時�,不通知網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)該IP地址等。
[0083] 在本發(fā)明的一些可選實施例中���,網(wǎng)關(guān)設(shè)備根據(jù)DHCP服務(wù)器反饋的DHCP報文�,還可 以進一步地獲取到vCPE的IP地址,并將該vCPE的IP地址寫入用于建立IPsec通道的配置文 件中�。
[0084]進而,網(wǎng)關(guān)設(shè)備可以在步驟302中使用廣域網(wǎng)接口上配置的第一IP地址與vCPE建 立IPsec通道時��,具體地根據(jù)用于建立IPsec通道的配置文件�����,使用廣域網(wǎng)接口上配置的第 一 IP地址以及配置文件中的vCPE的IP地址���,vCPE建立IPsec通道���。
[0085] 通過進一步地根據(jù)DHCP報文獲取vCPE的IP地址,使得網(wǎng)管設(shè)備在建立IPsec通道 時���,能夠根據(jù)用于建立IPsec通道的配置文件�����,使用廣域網(wǎng)接口上配置的第一 IP地址以及配 置文件中的vCPE的IP地址�����,建立IPsec通道��,避免了還要再到IPsec的配置頁面去配置對端 IP地址���,即vCPE的IP地址��,使得IPsec通道的建立更加的方便快捷�����。
[0086]比如��,在本發(fā)明的一些實施例中�,在通過DHCP報文獲得vCPE的IP地址后�,可以修改 用于建立IPsec通道的配置文件中的對應(yīng)項的取值。
[0087]進一步地���,為了使語音業(yè)務(wù)獲得語音業(yè)務(wù)的IP地址���,在本發(fā)明的一些可選實施例 中�����,網(wǎng)關(guān)設(shè)備可以在執(zhí)行步驟302建立IPsec通道的過程中,獲取vCPE分配給該網(wǎng)關(guān)設(shè)備的 第二IP地址�,從而可以在步驟303中,將獲取到的該第二IP地址分配給語音業(yè)務(wù)����。
[0088] 具體地,網(wǎng)關(guān)設(shè)備在IPsec通道建立過程中�����,向vCPE發(fā)起網(wǎng)絡(luò)密鑰交換(Internet Key Exchange�����,IKE)協(xié)商過程���,根據(jù)vCPE反饋的IKE協(xié)商報文����,獲取第二IP地址����。
[0089] 其中,IPSec為一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議�,為IP網(wǎng)絡(luò)提供透明的安全服務(wù),保護 TCP/IP通信免遭竊聽和篡改,有效抵御網(wǎng)絡(luò)攻擊�,同時保持易用性。IPSec通常分為兩個階 段:隧道協(xié)商階段和數(shù)據(jù)傳送階段�����。其中�,隧道協(xié)商階段主要通過IKE協(xié)商過程完成,隧道的 建立需要經(jīng)過兩個階段的協(xié)商��。第一階段建立一個驗證的安全聯(lián)盟和密鑰��,稱為IKE SA (Security Association��,安全聯(lián)盟)��。第二階段建立一個用于IPSec的安全聯(lián)盟����,稱為IPSec SA〇
[0090] 進一步地,通過對I KEv 2 (版本2)協(xié)議的研究���,確定了在本發(fā)明的一些實施例提供 的語音業(yè)務(wù)的處理方案中����,在建立IPsec通道的過程中使用IKEv2進行協(xié)商�,并在使用IKEv2 的協(xié)商過程中,在vCPE向所述網(wǎng)關(guān)設(shè)備發(fā)送的最后一個報文中����,利用其中一個有效載荷類 型(payload type)為配置(configuration)它的一個特性類型INTERNAL_IP4_ADDRESS(標 準IPv4配置屬性),該類型值為一個IP地址�����。從而�����,可以使得vCPE將分配給網(wǎng)關(guān)設(shè)備的第二 IP地址寫入該類型對應(yīng)的IP地址取值���,從而通過該最后一個向網(wǎng)關(guān)設(shè)備發(fā)送的IKE協(xié)商報 文將第二IP地址發(fā)送給網(wǎng)關(guān)設(shè)備�����,進而網(wǎng)關(guān)設(shè)備在解析該報文后�����,得到第二IP地址并分配 給語音業(yè)務(wù)使用���,因而使得語音業(yè)務(wù)也獲取到了語音業(yè)務(wù)的IP地址�����,保證了語音業(yè)務(wù)能夠 進入IPsec通道進行處理�。
[0091 ]在本發(fā)明的一些具體實施例中���,IKE協(xié)商過程中共涉及到4個報文�,網(wǎng)關(guān)設(shè)備發(fā)送 的每個協(xié)商報文中都攜帶有源IP地址(即第一 IP地址)�,vCPE在協(xié)商的最后一個報文中填寫 分配給網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)的IP地址(即第二IP地址),并發(fā)送給網(wǎng)關(guān)設(shè)備的��,網(wǎng)關(guān)在收到 該報文后通過IPsec進程進行解析���,獲取到在該報文里面的一個payload type為 configuration,它的一個特性類型為INTERNAL_IP4_ADDRESS�,該類型對應(yīng)的值是一個IP地 址(第二IP地址)����,該IP地址即為分配給語音業(yè)務(wù)使用的IP地址。
[0092] 可選地����,在本發(fā)明的一些具體實施例中����,可以在預(yù)設(shè)在網(wǎng)關(guān)設(shè)備以及vCPE上的用 于建立IPsec通道的配置文件中將對端IP地址(即用來分配給語音業(yè)務(wù)的IP地址)設(shè)置為配 置方式���,從而能夠使得vCPE在最后一個IKE協(xié)商報文中寫入為網(wǎng)關(guān)設(shè)備分配的第二IP地址。
[0093] 進一步地���,在本發(fā)明的一些實施例中���,網(wǎng)關(guān)設(shè)備在執(zhí)行步驟303中將獲取到的該第 二IP地址分配給語音業(yè)務(wù)之后,便可以進一步地執(zhí)行步驟304中所描述的���,對使用第二IP地 址封裝的語音業(yè)務(wù)報文進行加密后����,使用第一 IP地址進行外層封裝�,并通過IPsec通道發(fā)送 給vCPE,以使vCPE將該語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器��。
[0094]具體地�,網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)組織語音業(yè)務(wù)報文,使用網(wǎng)關(guān)設(shè)備在步驟303中分配 的第二IP地址進行封裝�,傳送到網(wǎng)關(guān)設(shè)備在步驟302中使用廣域網(wǎng)接口上配置的第一 IP地 址與vCPE建立的IPsec通道�,將使用第二IP地址封裝的語音業(yè)務(wù)報文進行IPsec通道加密 后�����,使用第一 IP地址進行外層封裝���,并通過IPsec通道發(fā)送給vCPE�,可以看到��,使用第二IP地 址封裝的語音業(yè)務(wù)報文進一步地被IPsec加密封裝�����,即第二IP地址是與語音業(yè)務(wù)報文被加 密封裝在內(nèi)部��,在外部還封裝有第一 IP地址���。當vCPE通過IPsec通道接收到該加密封裝后的 報文后要進行解封裝�����,從而將封裝在內(nèi)部的語音業(yè)務(wù)報文取出來傳輸給語音業(yè)務(wù)服務(wù)器����。 [0095]可選地,在本發(fā)明的一些具體實施例中����,網(wǎng)關(guān)設(shè)備在步驟302建立IPsec通道的過 程中從vCPE獲得第二IP地址之后,還可以進一步地為廣域網(wǎng)接口配置該第二IP地址�,其中, 廣域網(wǎng)接口可以是多IP地址配置的接口���。
[0096]進一步地,在本發(fā)明的一些具體實施例中��,在網(wǎng)關(guān)設(shè)備執(zhí)行步驟304對使用第二IP 地址封裝的語音業(yè)務(wù)報文進行加密之前��,網(wǎng)關(guān)設(shè)備還可以在該網(wǎng)關(guān)設(shè)備的廣域網(wǎng)接口從用 戶側(cè)接收到報文后����,根據(jù)所接收到的報文封裝的IP地址以及廣域網(wǎng)接口上配置的第二IP地 址,來判斷該報文是否是語音業(yè)務(wù)報文�����。具體地���,如果報文封裝的IP地址與廣域網(wǎng)接口上配 置的第二IP地址一致����,則可以判斷該報文為語音業(yè)務(wù)報文,從而可以執(zhí)行步驟304對使用第 二IP地址封裝的該語音業(yè)務(wù)報文進行加密后���,使用第一 IP地址進行外層封裝�����,并通過所述 IPsec通道發(fā)送給所述vCPE;若判斷不是語音業(yè)務(wù)報文�,則不采取上述措施進行加密和封裝 等�����。
[0097] 可以看到����,在本發(fā)明的一些具體實施例中,網(wǎng)關(guān)設(shè)備的廣域網(wǎng)接口被配置了兩個 不同的IP地址��,其中����,第一IP地址是用于建立IPsec通道所使用的IP地址,是該廣域網(wǎng)接口 所使用的IP地址,第二IP地址則是語音業(yè)務(wù)使用的IP地址���,是在該廣域網(wǎng)上存儲的IP地址�����。 通過上述的流程�����,在網(wǎng)關(guān)設(shè)備與VCPE之間建立了 IPsec通道��,同時語音業(yè)務(wù)也被分配到了自 己的業(yè)務(wù)IP地址���,并能通過該IPsec通道進行加密封裝����,進而傳輸?shù)絭CPE,由vCPE解封裝后 傳輸?shù)秸Z音業(yè)務(wù)服務(wù)器��,從而保證了語音業(yè)務(wù)的安全性�。
[0098] 綜上所述,本發(fā)明的實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中��,網(wǎng)關(guān)設(shè)備的語 音業(yè)務(wù)通過vCPE傳輸?shù)秸Z音業(yè)務(wù)服務(wù)器,語音業(yè)務(wù)報文在網(wǎng)關(guān)設(shè)備與vCPE之間的傳輸����,采 用了 IPsec通道加密封包的措施,從而能夠很好的防止語音業(yè)務(wù)報文被非法截獲或者篡改�, 使得語音業(yè)務(wù)的安全性得到了很好的保障。
[0099]進一步地�����,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中���,網(wǎng)關(guān)設(shè) 備在獲取用于建立IPsec通道的IP地址時�,采用了在廣域網(wǎng)接口啟動DHCP客戶端請求vCPE 上的DHCP服務(wù)器為其分配IP地址的方式����,并可以同時根據(jù)DHCP報文來獲取vCPE的IP地址, 通過將獲取到的vCPE的IP地址寫入用于建立IPsec通道的配置文件中�,從而建立IPsec通道 時,將不需要再到IPsec的配置頁面去配置對端IP地址��,使得IPsec通道的建立更加方便快 捷�����。
[0100]進一步地,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中�,基于對 ΙΚΕν2協(xié)商過程的研究,對于網(wǎng)關(guān)設(shè)備對語音業(yè)務(wù)的IP地址的獲取����,利用了在ΙΚΕν2協(xié)商過 程中vCPE發(fā)送的最后一個IKE協(xié)商報文具有一個payload type為配置configuration且它 的一個特性類型為INTERNAL_IP4_ADDRESS,以及該類型值為一個IP地址的特性�,具體地, vCPE可以在發(fā)送的IKE協(xié)商報文中寫入為網(wǎng)關(guān)設(shè)備分配的IP地址����,網(wǎng)關(guān)設(shè)備在解析IKE協(xié)商 報文后,便可以將獲取到的IP地址分配給語音業(yè)務(wù)使用�,從而使得語音業(yè)務(wù)具有用于業(yè)務(wù) 處理的IP地址,從而保障了語音業(yè)務(wù)能夠正常的組織業(yè)務(wù)報文以及處理���。
[0101] 進一步地�,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中��,網(wǎng)關(guān)設(shè) 備可以將語音業(yè)務(wù)原來檢查廣域網(wǎng)接口狀態(tài)的功能刪除�����,并在廣域網(wǎng)接口配置兩個IP地 址�����,其中��,第一IP地址可以是通過DHCP客戶端獲得的�����,用于建立IPsec通道��,第二IP地址則是 分配給語音業(yè)務(wù)使用的��,配置到該廣域網(wǎng)接口上進行存儲���。通過這樣的處理使得語音業(yè)務(wù) 能夠使用自身的業(yè)務(wù)IP地址��,即第二IP地址封裝語音業(yè)務(wù)報文��,使用第二IP地址封裝的語 音業(yè)務(wù)報文并不能直接從廣域網(wǎng)接口中傳輸出去�,而是進一步地通過IPsec通道進行加密��, 使得語音業(yè)務(wù)的IP地址封裝在里面����,外面再封裝一層IPsec通道的IP地址后���,再進行傳輸, 從而使得語音業(yè)務(wù)的安全性得到了很好的保障���。
[0102] 進一步地��,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中�����,由于引 入了vCPE�����,還可以利用vCPE的所具有的優(yōu)點���,比如網(wǎng)關(guān)設(shè)備上的一些上層應(yīng)用可以轉(zhuǎn)移到 vCPE上進行處理,從而可以減輕網(wǎng)關(guān)的負擔(dān)����。同時vCPE是一種虛擬化的服務(wù)器,因此可以根 據(jù)需要虛擬出多個服務(wù)器��,也可以根據(jù)需求釋放不需要的服務(wù)器���。此外��,如圖2所示的��,將 vCPE設(shè)置在位于BRAS旁����,一方面能夠?qū)⒃鲋盗髁堪踩尤?�,另一方面����,還能夠?qū)⒔?jīng)過vCPE處 理后的流量轉(zhuǎn)發(fā)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)平臺中,反向流量也做相應(yīng)處理�����。
[0103] 為了更清楚的說明本發(fā)明實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案�,下面將基于 將本發(fā)明實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案應(yīng)用在語音業(yè)務(wù)需要初始注冊到語音 業(yè)務(wù)服務(wù)器的情形為示例,來具體說明本發(fā)明實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案��。
[0104] 圖4示出了本發(fā)明的一些實施例提供的語音業(yè)務(wù)的注冊流程示意圖��。
[0105] 其中����,與前述方法實施例類似的���,網(wǎng)關(guān)設(shè)備可以預(yù)先被配置為在獲得第一IP地址 后,拒絕分配給語音業(yè)務(wù)�����。具體地比如可以在預(yù)先編譯網(wǎng)關(guān)設(shè)備的版本文件時���,將語音業(yè)務(wù) 中檢查廣域網(wǎng)接口的狀態(tài)up/down的部分刪除�����。如圖4所示�,本發(fā)明的一些實施例提供的語 音業(yè)務(wù)的注冊流程的具體步驟包括:
[0106] 步驟401: vCPE啟動DHCP服務(wù)器�����。
[0107] 步驟402:網(wǎng)關(guān)設(shè)備啟動DHCP客戶端����,發(fā)送請求分配IP地址的DHCP報文給DHCP服務(wù) 器;DHCP服務(wù)器匹配后給DHCP客戶端回應(yīng)匹配報文,網(wǎng)關(guān)設(shè)備接收到回應(yīng)的DHCP報文后,獲 取到vCPE根據(jù)網(wǎng)關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的第一 IP地址����,并為廣域網(wǎng)接口配置該第一 IP地址����。
[0108]其中,在現(xiàn)有技術(shù)中��,DHCP客戶端獲取到第一IP時將會向網(wǎng)關(guān)設(shè)備的各個模塊發(fā) 送通知信息�,以通知DHCP任務(wù)完成了,因而在現(xiàn)有技術(shù)中��,語音業(yè)務(wù)處理模塊此時將會接收 到通知信息��,并將廣域網(wǎng)接口所配置的第一 IP地址綁定給語音業(yè)務(wù)使用��。而在本發(fā)明的實 施例所提供的技術(shù)方案中��,采取了將網(wǎng)關(guān)設(shè)備配置為在獲取第一 IP地址后�����,拒絕分配給語 音業(yè)務(wù)的方式��,比如�,通過刪除這部分代碼�����,使得網(wǎng)關(guān)設(shè)備在獲取第一 IP地址后��,不向語音 業(yè)務(wù)處理模塊發(fā)送通知消息����,從而避免了語音業(yè)務(wù)在此時獲取不正確的IP地址���,為后續(xù)語 音業(yè)務(wù)IP地址的分配創(chuàng)造了可能���。
[0109] 步驟403:網(wǎng)關(guān)設(shè)備在接收到回應(yīng)的DHCP報文后,還將獲取vCPE的IP地址(對端IP 地址)����,并將獲得的對端IP地址寫入用于建立IPsec通道的配置文件內(nèi),比如下面所示的一 種配置文件的示例���,該配置文件的文件名為ipsec.conf���,ipsec.conf內(nèi)容具體可以如下所 示:
[0110]
[0111] 其中,在該不例的ipsec · conf配置文件中:conn sample-with-ca-cert表不在該 網(wǎng)關(guān)設(shè)備上建立的IPsec通道的名稱;left id表示本端證書里面的身份信息 (Identification�,ID)信息;
[0112] 其中�,Left source ip表示本端的虛擬IP,這里為% config�,表示采用配置的方式, 從而在后續(xù)步驟中能夠獲取到vCPE配置給語音業(yè)務(wù)的IP地址��;
[0113] Leftfirewal表示本端的防火墻的開啟狀態(tài)���,這里為no不開啟;Leftcert表示本端 證書的名稱����,這里為"combacert-hnbl .cer" ;
[0114] 其中�,Right表示對端的IP地址,這里為30.0.0.30����,在通過DHCP報文獲得對端IP地 址后,將修改該項的IP地址為通過DHCP客戶端獲取到的對端IP地址��;
[0115] Right id表示對端證書里面的ID內(nèi)容���;Right subnet表示對端的子網(wǎng)����,這里是 "60·0·0·0/24";
[0?16] Keyexchange表示IKE協(xié)商����,這里采用的是IKEv2協(xié)議;
[0117] Auto為定義IPsec啟動該連接的行為�,這里為start是啟動,add是添加連接類型但 不啟動�;
[0118] Lifetime表示建立好的IPsec通道的生命周期,這里為7天���;Ikelifetime表示IKE 的生命周期����,這里為7天;Margintime表示邊際時間����,這里為60秒;Rekeyfuzz表示邊際時間 的誤差,這里為100% ;Dpdaction表示DPD功能���,這里為不開啟�;Dpddelay表示DH)的延遲時 間,這里為10秒����;Ike為指定第一階段的加密方式,這里為aesl28-sha_modp768 ;Esp為指定 第二階段的加密方式�,這里為aesl28-sha_modp768。
[0119]其中��,上述示例是以證書認證的方式進行舉例的���,在本發(fā)明的一些實施例中, IPsec的其他認證方式都可以使用該方法�。
[0120] 步驟404:在將vCPE的IP地址寫入用于建立IPsec通道的配置文件中后,網(wǎng)關(guān)設(shè)備 可以使用廣域網(wǎng)接口上配置的第一 IP地址啟動與VCPE之間的IPsec通道的建立進程�,即啟 動IPsec進程建立IPsec通道。
[0121] 具體地�����,網(wǎng)關(guān)設(shè)備可以根據(jù)用于建立IPsec通道的配置文件��,使用廣域網(wǎng)接口上配 置的第一 IP地址以及配置文件中的vCPE的IP地址��,與vCPE建立IPsec通道�。
[0122] 步驟405:網(wǎng)關(guān)設(shè)備上的IPsec進程將根據(jù)ipsec. conf配置文件的內(nèi)容�,通過廣域 網(wǎng)接口發(fā)送IKE協(xié)商報文給vCPE����,進行IKE協(xié)商過程。
[0123] 具體地���,基于IKEv2的IKE協(xié)商過程中共涉及到4個報文��,其中����,網(wǎng)關(guān)設(shè)備發(fā)送的每 個協(xié)商報文中都攜帶有源IP地址(即網(wǎng)關(guān)設(shè)備從DHCP服務(wù)器獲取到的第一 IP地址)�����;在IKE 協(xié)商過程中的最后一個報文即第4個報文是vCPE發(fā)給網(wǎng)關(guān)設(shè)備的�����,其中攜帶有網(wǎng)關(guān)設(shè)備的 語音業(yè)務(wù)所需的私有IP地址��。其中��,由于在網(wǎng)關(guān)設(shè)備和vCPE的ipsec. conf配置文件中都將 leftsourceip設(shè)置為配置模式(如上所示的leftsourceip= %config)�,從而vCPE在最后一 個IKE報文中將寫入為網(wǎng)關(guān)設(shè)備分配的私有IP地址�����。
[0124] 步驟406: vCPE在IKE協(xié)商過程中最后一個發(fā)送的IKE報文中填寫為網(wǎng)關(guān)設(shè)備分配 的IP地址��,該IP地址即為第二IP地址�,并將該IKE報文發(fā)送給網(wǎng)關(guān)設(shè)備�,該第二IP地址不同 于協(xié)商報文中的源IP地址,其中協(xié)商報文的源IP即為第一 IP地址�。
[0125] 步驟407:網(wǎng)關(guān)設(shè)備收到vCTO在IKE協(xié)商過程中最后一個發(fā)送的IKE報文后通過 IPsec進程進行解析,獲得vCPE為該網(wǎng)關(guān)設(shè)備分配的第二IP地址�。
[0126] 具體地,在該報文中的一個pay load type為conf igurat ion��,它的一個特性類型為 11^^1?祖1^_1?4_4001也33�����,該類型對應(yīng)的值是一個1?地址���,網(wǎng)關(guān)設(shè)備解析? &71〇&(1七7?6可以 取出該類型對應(yīng)的IP地址,而這個IP地址即為vCPE為該網(wǎng)關(guān)設(shè)備分配的語音業(yè)務(wù)所需要的 IP地址(即第二IP地址)�。
[0127] 步驟408:網(wǎng)關(guān)設(shè)備將所獲得的第二IP地址分配給語音業(yè)務(wù)使用,并為廣域網(wǎng)接口 配置該第二IP地址進行存儲����?����?梢钥吹?�,通過上述步驟�����,語音業(yè)務(wù)獲得了業(yè)務(wù)IP地址��,廣域 網(wǎng)接口被配置了兩個IP地址:一個是通過步驟401和402中的DHCP過程所得到的第一 IP地 址��,該第一IP地址將用于建立IPsec通道����,該廣域網(wǎng)接口將使用該第一IP地址���;另一個是通 過步驟404至407的IPsec建立過程中的協(xié)商過程所得到的第二IP地址�,該第二IP地址將分 配給語音業(yè)務(wù)使用�����,在該廣域網(wǎng)接口上存儲。
[0128] 步驟409:網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)進程將使用該第二IP地址組織語音業(yè)務(wù)的注冊報 文�,即使用第二IP地址封裝語音業(yè)務(wù)的注冊報文后,發(fā)送到IPsec通道�����。在IPsec通道中�����,對 使用第二IP地址封裝的語音業(yè)務(wù)的注冊報文將進行加密�����,并使用第一 IP地址進行外層封 裝���,即使用第二IP地址封裝的語音業(yè)務(wù)報文將被IPsec通道使用第一 IP地址進行外層封裝�, 再將加密封裝后的報文通過IPsec通道發(fā)送給vCPE^CPE接收到該加密封裝后的報文后將 會進行解封裝�����,從而將封裝在內(nèi)部的語音業(yè)務(wù)的IP地址���,即第二IP地址取出來發(fā)送給語音 服務(wù)器進行注冊��。
[0129] 通過上述如圖4所示的流程���,網(wǎng)關(guān)設(shè)備將語音業(yè)務(wù)的注冊報文通過IPsec通道加密 封裝傳輸給了vCPE,從而語音業(yè)務(wù)被分配到的業(yè)務(wù)IP地址���,即第二IP地址���,將經(jīng)由vCPE傳輸 到語音業(yè)務(wù)服務(wù)器進行注冊,注冊成功后�,網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)便可以使用第二IP地址組 織語音業(yè)務(wù)的業(yè)務(wù)報文,同樣地��,語音業(yè)務(wù)的業(yè)務(wù)報文也首先由語音業(yè)務(wù)使用第二IP地址 進行封裝���,在發(fā)送到IPsec通道時進行加密��,并使用第一IP地址進行外層封裝��,再傳輸?shù)?vCPE�,由vCPE解封裝后����,將語音業(yè)務(wù)的業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器�����,從而實現(xiàn)安全性較 高的語音業(yè)務(wù)���。
[0130] 進一步地,在本發(fā)明的一些實施例提供的語音業(yè)務(wù)的處理的技術(shù)方案中����,對于網(wǎng) 關(guān)設(shè)備與vCPE之間發(fā)生了語音業(yè)務(wù)報文的傳輸時,還可以通過抓包(packet capture)的方 式驗證在網(wǎng)關(guān)設(shè)備與vCPE之間傳輸?shù)恼Z音業(yè)務(wù)報文是否是經(jīng)過IPsec加密后的報文�。比如 使用抓包工具在網(wǎng)關(guān)設(shè)備發(fā)送語音業(yè)務(wù)傳輸時,截獲發(fā)送的數(shù)據(jù)包來檢查該數(shù)據(jù)包是否是 經(jīng)過IPsec加密的語音業(yè)務(wù)報文���。如果驗證是經(jīng)過IPsec加密后的報文���,則該語音業(yè)務(wù)的傳 輸?shù)玫搅撕芎玫谋Wo,語音業(yè)務(wù)報文是安全和保密的��。
[0131] 通過以上描述可以看出�����,在本發(fā)明實施例中提供的語音業(yè)務(wù)的處理技術(shù)方案中��, 網(wǎng)關(guān)設(shè)備通過為廣域網(wǎng)接口配置由vCPE為網(wǎng)關(guān)設(shè)備分配的第一 IP地址��,進而能夠使用該廣 域網(wǎng)接口上配置的第一 IP地址與vCPE建立IPsec通道�,并通過將在該IPsec通道建立過程中 從vCPE獲得的第二IP地址分配給語音業(yè)務(wù),從而能夠進一步地對使用第二IP地址封裝的語 音業(yè)務(wù)報文進行加密后����,使用第一 IP地址進行外層封裝,并通過該IPsec通道發(fā)送給vCPE�����, 以使vCPE將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器�����?��?梢钥吹?�,通過本發(fā)明實施例所提供的 技術(shù)方案����,網(wǎng)關(guān)設(shè)備能與vCPE之間建立IPsec通道,并能通過該IPsec通道傳輸加密封裝的 語音業(yè)務(wù)報文����,從而達到了提高了語音業(yè)務(wù)安全性的效果。
[0132] 同時�����,在本發(fā)明實施例中提供的語音業(yè)務(wù)的處理技術(shù)方案中��,網(wǎng)關(guān)設(shè)備還采用了 獲取vCPE的IP地址并將獲取到的vCPE的IP地址寫入用于建立IPsec通道的配置文件中��,從 而建立IPsec通道時��,將不需要再到IPsec的配置頁面去配置對端IP地址��,使得IPsec通道的 建立更加方便快捷�����。并且�,網(wǎng)關(guān)設(shè)備對第二IP地址的獲取,是基于IKEv2協(xié)議中IKE報文的一 個特性類型來獲取的�,從而是在技術(shù)上易于實現(xiàn)的。
[0133] 進一步地���,在本發(fā)明的一些實施例所提供的語音業(yè)務(wù)的處理技術(shù)方案中��,還可以 利用vCPE的所具有的優(yōu)點���,比如網(wǎng)關(guān)設(shè)備上的一些上層應(yīng)用可以轉(zhuǎn)移到vCPE上進行處理, 從而可以減輕網(wǎng)關(guān)的負擔(dān)等����。此外,如圖2所示的�����,將vCPE設(shè)置在位于BRAS旁�����,一方面能夠?qū)?增值流量安全接入��,另一方面���,還能夠?qū)⒔?jīng)過vCPE處理后的流量轉(zhuǎn)發(fā)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)和 業(yè)務(wù)平臺中���,反向流量也做相應(yīng)處理�。
[0134] 基于相同的技術(shù)構(gòu)思�,本發(fā)明實施例還提供一種網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備可執(zhí)行上 述語音業(yè)務(wù)的處理方法實施例�,該網(wǎng)關(guān)設(shè)備可應(yīng)用在如圖2所示的基于vCPE的接入網(wǎng)的示 例結(jié)構(gòu)中。
[0135] 圖5示出了本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備��。
[0136] 如圖5所示��,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中包括:
[0137] 配置模塊501��,用于為廣域網(wǎng)接口配置第一 IP地址�,所述第一 IP地址是vCPE根據(jù)網(wǎng) 關(guān)設(shè)備的請求為網(wǎng)關(guān)設(shè)備分配的;
[0138] 建立模塊502,用于使用廣域網(wǎng)接口上配置的第一 IP地址與vCPE建立IPsec通道��;
[0139] 分配模塊503,用于將在IPsec通道建立過程中從vCPE獲得的第二IP地址分配給語 音業(yè)務(wù)�����;
[0140]發(fā)送模塊504,用于對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后���,使用第一 IP地址進行外層封裝�,并通過IPsec通道發(fā)送給vCPE�����,以使所述vCPE將所述語音業(yè)務(wù)報文傳 輸至語音業(yè)務(wù)服務(wù)器。
[0141] 可選地�����,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中��,網(wǎng)關(guān)設(shè)備的語音業(yè)務(wù)可以由語 音業(yè)務(wù)模塊505來處理以及實現(xiàn)����。
[0142] 可選地����,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,網(wǎng)關(guān)設(shè)備獲得所述第一IP地址 后�����,拒絕分配給語音業(yè)務(wù)�。
[0143] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中��,網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端�, vCPE上配置有DHCP服務(wù)器。
[0144] 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端��,用于向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文, 所述DHCP報文用于請求分配IP地址�。
[0145] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中��,還包括:
[0146] 第一獲取模塊���,用于根據(jù)所述DHCP服務(wù)器反饋的DHCP報文�,獲取為所述網(wǎng)關(guān)設(shè)備 分配的第一 IP地址����。
[0147] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中���,所述第一獲取模塊還用于:根據(jù) 所述DHCP服務(wù)器反饋的DHCP報文�,獲取所述vCPE的IP地址�����,并將所述vCPE的IP地址寫入用 于建立IPsec通道的配置文件中�����。
[0148] 可選地�,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中�,建立模塊502,具體用于:根據(jù)所 述用于建立IPsec通道的配置文件�����,使用所述廣域網(wǎng)接口上配置的第一 IP地址以及所述配 置文件中的所述vCPE的IP地址�����,與所述vCPE建立IPsec通道���。
[0149] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中����,建立模塊502,具體用于:在所述 IPsec通道建立過程中,向所述vCPE發(fā)起IKE協(xié)商過程��;
[0150] 可選地�,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,還包括:第二獲取模塊���,用于根 據(jù)所述IKE協(xié)商過程中所述vCPE反饋的IKE協(xié)商報文�����,獲取第二IP地址�����。
[0151] 可選地����,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中,配置模塊501還用于:為廣域網(wǎng) 接口配置所述第二IP地址�。
[0152] 可選地,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中還包括:判斷模塊����,用于在所述網(wǎng) 關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后,根據(jù)所述報文封裝的IP地址以及所述廣 域網(wǎng)接口上配置的所述第二IP地址�,判斷所述報文是否是語音業(yè)務(wù)報文。
[0153] 可選地�����,本發(fā)明的一些實施例提供的網(wǎng)關(guān)設(shè)備中�,發(fā)送模塊504,具體用于:在所述 判斷模塊判斷是語音業(yè)務(wù)報文時,對使用所述第二IP地址封裝的語音業(yè)務(wù)報文進行加密 后�,使用第一 IP地址進行外層封裝,并通過所述IPsec通道發(fā)送給所述vCPE。
[0154] 基于相同的技術(shù)構(gòu)思����,本發(fā)明實施例還提供一種語音業(yè)務(wù)的處理系統(tǒng),該語音業(yè) 務(wù)的處理系統(tǒng)中語音業(yè)務(wù)的處理可參照前述方法實施例���,該語音業(yè)務(wù)的處理系統(tǒng)具體可應(yīng) 用在如圖2所示的基于vCPE的接入網(wǎng)的示例結(jié)構(gòu)中��。
[0155] 圖6示出了本發(fā)明的一些實施例提供的語音業(yè)務(wù)的處理系統(tǒng)��。
[0156] 如圖6所示��,本發(fā)明的一些實施例提供的語音業(yè)務(wù)的處理系統(tǒng)中包括:網(wǎng)關(guān)設(shè)備 601�����、以及 VCPE602����。
[0157] 其中�����,網(wǎng)關(guān)設(shè)備601���,具體可以參見前文中設(shè)備實施例所描述的網(wǎng)關(guān)設(shè)備����。
[0158] 可選地��,網(wǎng)關(guān)設(shè)備601��,可以用于為廣域網(wǎng)接口配置第一 IP地址����,所述第一 IP地址 是所述vCPE根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的;以及�����,用于使用所述廣域網(wǎng) 接口上配置的第一IP地址與所述vCPE建立IPsec通道����;以及,用于將在所述IPsec通道建立 過程中從所述vCPE獲得的第二IP地址分配給語音業(yè)務(wù)��;以及�����,用于對使用第二IP地址封裝 的語音業(yè)務(wù)報文進行加密后,使用第一 IP地址進行外層封裝�,并通過所述IPsec通道發(fā)送給 所述vCPE;
[0159] 其中,VCPE602可以用于根據(jù)網(wǎng)關(guān)設(shè)備601的請求為網(wǎng)關(guān)設(shè)備601分配第一 IP地址��; 以及���,用于與網(wǎng)關(guān)設(shè)備601建立IPsec通道���,并在IPsec通道過程中向網(wǎng)關(guān)設(shè)備601分配第二 IP地址;以及�����,用于接收網(wǎng)關(guān)設(shè)備601通過IPsec通道發(fā)送的使用第一IP地址進行外層封裝 的加密后的語音業(yè)務(wù)報文���,并在解密后將語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器603��。
[0160] 其中��,圖6中僅示意性地示出了vCPE與一個網(wǎng)關(guān)設(shè)備之間進行通信的示例��,應(yīng)當理 解的是,vCPE可以與一個或多個網(wǎng)關(guān)設(shè)備之間建立通信連接進行通信����。還應(yīng)當理解的是�����,在 圖6中僅示意性地表示了vCPE與網(wǎng)關(guān)設(shè)備之間進行通信�,以及vCPE與語音業(yè)務(wù)服務(wù)器之間 進行通信���,并未具體示出vCPE與網(wǎng)關(guān)設(shè)備之間的一個或多個網(wǎng)絡(luò)節(jié)點�,比如可以包括有圖2 所示出的如0NU��、0LT��、BRAS等�����,也未具體示出vCPE與語音業(yè)務(wù)服務(wù)器之間的一個或多個網(wǎng)絡(luò) 節(jié)點���,比如可以包括有如圖2所示出的BRAS���、CR、PE等�。
[0161]對于軟件實施����,這些技術(shù)可以用實現(xiàn)這里描述的功能的模塊(例如程序�����、功能等 等)實現(xiàn)�。軟件代碼可以儲存在存儲器單元中,并且由處理器執(zhí)行�。存儲器單元可以在處理 器內(nèi)或者在處理器外實現(xiàn)。
[0162] 本發(fā)明是參照根據(jù)本發(fā)明實施例的方法�����、設(shè)備(系統(tǒng))�����、和計算機程序產(chǎn)品的流程 圖和/或方框圖來描述的��。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流 程和/或方框�、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?��?商峁┻@些計算機程序 指令到通用計算機��、專用計算機���、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn) 生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實 現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置���。
[0163] 這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特 定方式工作的計算機可讀存儲器中��,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指 令裝置的制造品�,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或 多個方框中指定的功能���。
[0164] 這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上���,使得在計 算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或 其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一 個方框或多個方框中指定的功能的步驟�。
[0165] 盡管已描述了本發(fā)明的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造 性概念���,則可對這些實施例作出另外的變更和修改��。所以���,所附權(quán)利要求意欲解釋為包括優(yōu) 選實施例以及落入本發(fā)明范圍的所有變更和修改���。
[0166] 顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精 神和范圍���。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)��。
【主權(quán)項】
1. 一種語音業(yè)務(wù)的處理方法�����,其特征在于�����,該方法包括: 網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址����,所述第一 IP地址是虛擬企業(yè)用戶駐地設(shè)備 vCPE根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的; 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立網(wǎng)絡(luò)協(xié)議安 全IPsec通道����; 所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分配給語 音業(yè)務(wù)����; 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后�����,使用第一 IP地址進 行外層封裝�����,并通過所述IPsec通道發(fā)送給所述VCPE����,以使所述vCPE將所述語音業(yè)務(wù)報文傳 輸至語音業(yè)務(wù)服務(wù)器�����。2. 如權(quán)利要求1所述的方法��,其特征在于�,所述網(wǎng)關(guān)設(shè)備獲得所述第一IP地址后,拒絕 分配給語音業(yè)務(wù)����。3. 如權(quán)利要求1所述的方法����,其特征在于���,所述網(wǎng)關(guān)設(shè)備上配置有動態(tài)主機配置協(xié)議 DHCP客戶端�,所述vCPE上配置有DHCP服務(wù)器����; 所述網(wǎng)關(guān)設(shè)備為廣域網(wǎng)接口配置第一 IP地址之前,還包括: 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端�,向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文,所述DHCP 報文用于請求分配IP地址����; 所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文,獲取為所述網(wǎng)關(guān)設(shè)備分配的第一 IP地址�����。4. 如權(quán)利要求3所述的方法�,其特征在于,還包括: 所述網(wǎng)關(guān)設(shè)備根據(jù)所述DHCP服務(wù)器反饋的DHCP報文�����,獲取所述vCPE的IP地址,并將所 述vCPE的IP地址寫入用于建立IPsec通道的配置文件中����; 所述網(wǎng)關(guān)設(shè)備使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述vCPE建立IPsec通道, 包括: 所述網(wǎng)關(guān)設(shè)備根據(jù)所述用于建立IPsec通道的配置文件����,使用所述廣域網(wǎng)接口上配置 的第一 IP地址以及所述配置文件中的所述vCPE的IP地址�,與所述vCPE建立IPsec通道。5. 如權(quán)利要求1所述的方法�����,其特征在于�����,所述網(wǎng)關(guān)設(shè)備將在所述IPsec通道建立過程 中從所述vCPE獲得的第二IP地址分配給語音業(yè)務(wù)之前�����,包括: 所述網(wǎng)關(guān)設(shè)備在所述IPsec通道建立過程中��,向所述vCPE發(fā)起網(wǎng)絡(luò)密鑰交換IKE協(xié)商過 程,根據(jù)所述vCPE反饋的IKE協(xié)商報文���,獲取第二IP地址��。6. 如權(quán)利要求1至5中任一項所述的方法���,其特征在于,所述網(wǎng)關(guān)設(shè)備從所述vCPE獲得 第二IP地址之后����,還包括: 所述網(wǎng)關(guān)設(shè)備為所述廣域網(wǎng)接口配置所述第二IP地址; 所述網(wǎng)關(guān)設(shè)備對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密之前���,還包括: 所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后���,根據(jù)所述報文封裝的IP地址 以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語音業(yè)務(wù)報文�����。7. -種網(wǎng)關(guān)設(shè)備��,其特征在于�����,該網(wǎng)關(guān)設(shè)備包括: 配置模塊,用于為廣域網(wǎng)接口配置第一 IP地址��,所述第一 IP地址是vCPE根據(jù)所述網(wǎng)關(guān) 設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的���; 建立模塊�����,用于使用所述廣域網(wǎng)接口上配置的第一 IP地址與所述VCPE建立IPsec通道����; 分配模塊�,用于將在所述IPsec通道建立過程中從所述vCPE獲得的第二IP地址分配給 語音業(yè)務(wù)�����; 發(fā)送模塊���,用于對使用第二IP地址封裝的語音業(yè)務(wù)報文進行加密后���,使用第一 IP地址 進行外層封裝���,并通過所述IPsec通道發(fā)送給所述VCPE,以使所述VCPE將所述語音業(yè)務(wù)報文 傳輸至語音業(yè)務(wù)服務(wù)器����。8. 如權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備,其特征在于�����,所述網(wǎng)關(guān)設(shè)備獲得所述第一IP地址后����, 拒絕分配給語音業(yè)務(wù)。9. 如權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備����,其特征在于,所述網(wǎng)關(guān)設(shè)備上配置有DHCP客戶端��,所 述vCPE上配置有DHCP服務(wù)器���; 所述網(wǎng)關(guān)設(shè)備上的DHCP客戶端���,用于向所述vCPE上的DHCP服務(wù)器發(fā)送DHCP報文���,所述 DHCP報文用于請求分配IP地址; 所述網(wǎng)關(guān)設(shè)備���,還包括: 第一獲取模塊�,用于根據(jù)所述DHCP服務(wù)器反饋的DHCP報文��,獲取為所述網(wǎng)關(guān)設(shè)備分配 的第一 IP地址��。10. 如權(quán)利要求9所述的網(wǎng)關(guān)設(shè)備�,其特征在于,所述第一獲取模塊���,還用于:根據(jù)所述 DHCP服務(wù)器反饋的DHCP報文���,獲取所述vCPE的IP地址,并將所述vCPE的IP地址寫入用于建 立IPsec通道的配置文件中�����; 所述建立模塊�,具體用于: 根據(jù)所述用于建立IPsec通道的配置文件�����,使用所述廣域網(wǎng)接口上配置的第一 IP地址 以及所述配置文件中的所述vCPE的IP地址,與所述vCPE建立IPsec通道���。11. 如權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備�,其特征在于�����,所述建立模塊���,具體用于:在所述IPsec 通道建立過程中�,向所述vCPE發(fā)起IKE協(xié)商過程�����; 所述網(wǎng)關(guān)設(shè)備還包括: 第二獲取模塊��,用于根據(jù)所述IKE協(xié)商過程中所述vCPE反饋的IKE協(xié)商報文����,獲取第二 IP地址。12. 如權(quán)利要求7至11中任一項所述的網(wǎng)關(guān)設(shè)備��,其特征在于,所述配置模塊���,還用于: 為所述廣域網(wǎng)接口配置所述第二IP地址��; 所述網(wǎng)關(guān)設(shè)備還包括: 判斷模塊��,用于在所述網(wǎng)關(guān)設(shè)備的所述廣域網(wǎng)接口從用戶側(cè)接收到報文后���,根據(jù)所述 報文封裝的IP地址以及所述廣域網(wǎng)接口上配置的所述第二IP地址,判斷所述報文是否是語 音業(yè)務(wù)報文����。13. -種語音業(yè)務(wù)的處理系統(tǒng),其特征在于����,該系統(tǒng)包括:如權(quán)利要求7至12中任一項所 述的網(wǎng)關(guān)設(shè)備、以及vCPE; 所述網(wǎng)關(guān)設(shè)備��,用于為廣域網(wǎng)接口配置第一 IP地址�����,所述第一 IP地址是所述vCPE根據(jù) 所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配的����;以及,用于使用所述廣域網(wǎng)接口上配置的第 一IP地址與所述vCTO建立IPsec通道����;以及,用于將在所述IPsec通道建立過程中從所述 vCPE獲得的第二IP地址分配給語音業(yè)務(wù)��;以及�����,用于對使用第二IP地址封裝的語音業(yè)務(wù)報 文進行加密后���,使用第一 IP地址進行外層封裝����,并通過所述IPsec通道發(fā)送給所述vCPE; 所述vCPE��,用于根據(jù)所述網(wǎng)關(guān)設(shè)備的請求為所述網(wǎng)關(guān)設(shè)備分配第一IP地址�����;以及,用于 與所述網(wǎng)關(guān)設(shè)備建立IPsec通道�����,并在所述IPsec通道過程中向所述網(wǎng)關(guān)設(shè)備分配第二IP地 址����;以及,用于接收所述網(wǎng)關(guān)設(shè)備通過所述IPsec通道發(fā)送的使用第一IP地址進行外層封裝 的加密后的語音業(yè)務(wù)報文���,并在解密后將所述語音業(yè)務(wù)報文傳輸至語音業(yè)務(wù)服務(wù)器�。
【文檔編號】H04Q11/00GK106027387SQ201610524521
【公開日】2016年10月12日
【申請日】2016年7月5日
【發(fā)明人】楊艷, 田海燕
【申請人】瑞斯康達科技發(fā)展股份有限公司