一种隧道选择方法、设备及系统.pdf

本发明实施例提供了一种隧道选择方法、设备及系统，发送方网络设备通过高优先级的第一IPSec隧道向响应方网络设备发送业务数据报文，响应方网络设备选择高优先级的第一路由，即选择了与高优先级的第一路由对应的第一IPSec隧道向发送方网络设备返回业务数据报文，即通过第二IPSec隧道向发送方网络设备返回数据报文。实现发送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互，保证发送方网络设备与响应方网络设备业务数据报文传输路径保持一致，避免选择不同的传输路径导致数据报文丢失，提高传输业务数据报文的可靠性。

权利要求书1.  一种隧道选择方法，其特征在于，应用于发送方网络设备，所述方法 包括： 发送方网络设备给第一IPSec隧道设置高优先级，给第二IPSec隧道设置 低优先级； 所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特 网密钥交换协议IKE协商报文，将所述第二IPSec隧道的低优先级添加至第 二IKE协商报文； 所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文 发送至响应方网络设备，通过所述第二IPSec隧道将第二IKE协商报文发送 至所述响应方网络设备； 所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络 设备发送业务数据报文。 2.  根据权利要求1所述的方法，其特征在于，所述方法还包括： 所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道， 获得两条IPSec隧道对数据报文的传输质量； 所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道； 所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。 3.  根据权利要求1-2任意一项所述的方法，其特征在于， 所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息。 4.  一种隧道选择方法，其特征在于，应用于响应方网络设备，所述方法 包括： 响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协商报文， 通过所述第二IPSec隧道接收第二IKE协商报文； 所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧 道的高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优 先级； 所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网 络的第一路由，生成对所述第二第一IPSec隧道对应的到发送方VPN网络的 第二路由； 所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由的 为高优先级，根据所述第二IPSec隧道的优先级设置第二路由为低优先级； 所述响应方网络设备接收所述发送方网络设备通过高优先级的第一 IPSec隧道发送的业务数据报文； 所述响应方网络设备选择高优先级的第一路由，通过所述第一路由所对 应的第一IPSec隧道向发送方网络设备返回业务数据报文。 5.  根据权利要求4所述的方法，其特征在于， 所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息； 所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧 道的高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优 先级为： 所述响应方网络设备解析所述第一ISAKMP通知消息中携带的第一 IPSec隧道的高优先级，解析所述第二ISAKMP通知消息中携带的第二IPSec 隧道的低优先级。 6.  一种发送方网络设备，其特征在于，所述设备包括： 设置单元，用于给第一IPSec隧道设置高优先级，给第二IPSec隧道设置 低优先级； 添加单元，用于将所述第一IPSec隧道的高优先级添加至第一因特网密钥 交换协议IKE协商报文，将所述第二IPSec隧道的高优先级添加至第二IKE 协商报文； 第一发送单元，用于通过所述第一IPSec隧道将所述第一IKE协商报文 发送至响应方网络设备； 第二发送单元，用于通过所述第二IPSec隧道将第二IKE协商报文发送 至所述响应方网络设备； 第三发送单元，用于通过高优先级的第一IPSec隧道向所述响应方网络设 备发送业务数据报文。 7.  根据权利要求6所述的设备，其特征在于，所述设备还包括： 探测单元，用于探测与所述响应方网络设备建立的两条IPSec隧道，获得 两条IPSec隧道对数据报文的传输质量； 第一选择单元，用于选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道； 第二选择单元，用于选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。 8.  根据权利要求6-7任意一项所述的方法，其特征在于， 所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息。 9.  一种响应方网络设备，其特征在于，所述设备包括： 第一接收单元，用于通过所述第一IPSec隧道接收所述第一IKE协商报 文； 第二接收单元，用于通过所述第二IPSec隧道接收第二IKE协商报文； 解析单元，用于解析所述第一IKE协商报文中携带的第一IPSec隧道的 高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级； 生成单元，用于生成与所述第一IPSec隧道对应的到发送方VPN网络的 第一路由，生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二 路由； 设置单元，用于根据所述第一IPSec隧道的优先级设置第一路由的为高优 先级，根据所述第二IPSec隧道的优先级设置第二路由为低优先级； 第三接收单元，用于接收所述发送方网络设备通过高优先级的第一IPSec 隧道发送的业务数据报文； 发送单元，用于选择高优先级的第一路选择高优先级的第一路由，通过 所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。 10.  根据权利要求9所述的设备，其特征在于， 所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息； 则所述解析单元，具体用于解析所述第一ISAKMP通知消息中携带的第 一IPSec隧道的高优先级，解析所述第二ISAKMP通知消息中携带的第二 IPSec隧道的低优先级。 11.  一种隧道选择系统，其特征在于，所述系统包括： 权利要求6-8任意一项所述的发送方网络设备以及权利要求9-10任意一 项所述的响应方网络设备。

说明书一种隧道选择方法、设备及系统
技术领域
本发明涉及通信技术领域，特别是涉及一种隧道选择方法、设备及系统。
背景技术
点对点(Site-to-Site)VPN网络，也称局域网到局域网的VPN(LAN to LAN  VPN)，网关到网关VPN(Gateway to Gateway VPN)，通过在两个VPN网 络之间建立IPSec(IP Security)隧道，实现两个VPN网络之间的数据交互。
两个VPN网络建立IPSec隧道时，发起方网络设备(Spoke，一般为分 支)向响应方网络设备(HUB，一般为总部)发起因特网密钥交换协议(Internet  Key Exchange，IKE)，请求建立IPSec隧道。响应方网络设备为了提高网络 中数据传输的可靠性，给发起方网络设备提供了多个因特网服务提供方 (Internet Service Provider，ISP)接口，所述ISP接口给发起方网络设备提供 建立IPSec隧道的接入功能。发送方网络设备利用多个ISP接口与响应方网 络设备建立多条IPSec隧道。
每建立一条IPSec隧道，响应方网络设备即根据建立该IPSec隧道的IKE 协商，生成一个与该IPSec隧道所对应并且到发送方VPN的路由。由于响应 方网络设备与发送方网络设备建立多条IPSec隧道，响应方网络设备生成到 发送方VPN内IP网段的多条等价路由。
发送方网络设备与响应方网络设备进行数据交互时，发送方网络设备向 响应方网络设备发送数据报文时，对多条IPSec隧道进行检测，选择数据传 输质量最好的的IPSec隧道向响应方网络设备发送数据报文。响应方网络设 备查询到发送方VPN内IP网段的多条等价路由，响应方网络设备会随机选 择一条路由，利用所选择的路由所对应的隧道向发送方网络设备发送数据报 文。这样，会引起同一个业务的数据报文的来回路径不一致，导致业务中断。
发明内容
本发明实施例在于提供一种隧道选择方法、设备及系统，实现发送方网 络设备和响应方网络设备通过同一个IPSec隧道进行数据交互，提高传输业 务数据报文的可靠性。
为此，本发明解决技术问题的技术方案是：
本发明实施例第一方面提供一种隧道选择方法，应用于发送方网络设备， 所述方法包括：
发送方网络设备给第一IPSec隧道设置高优先级，给第二IPSec隧道设置 低优先级；
所述发送方网络设备将所述第一IPSec隧道的高优先级添加至第一因特 网密钥交换协议IKE协商报文，将所述第二IPSec隧道的低优先级添加至第 二IKE协商报文；
所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE协商报文 发送至响应方网络设备，通过所述第二IPSec隧道将第二IKE协商报文发送 至所述响应方网络设备；
所述发送方网络设备通过高优先级的第一IPSec隧道向所述响应方网络 设备发送业务数据报文。
在本发明实施例第一方面第一种可能的实施方式中，所述方法还包括：
所述发送方网络设备探测与所述响应方网络设备建立的两条IPSec隧道， 获得两条IPSec隧道对数据报文的传输质量；
所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道；
所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。
结合本发明实施例第一方面至第一方面的第一种可能的实施方式，在第 二种可能的实施方式中，
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息。
本发明实施例第二方面提供一种隧道选择方法，应用于响应方网络设备， 所述方法包括：
响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协商报文， 通过所述第二IPSec隧道接收第二IKE协商报文；
所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧 道的高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优 先级；
所述响应方网络设备生成与所述第一IPSec隧道对应的到发送方VPN网 络的第一路由，生成对所述第二第一IPSec隧道对应的到发送方VPN网络的 第二路由；
所述响应方网络设备根据所述第一IPSec隧道的优先级设置第一路由的 为高优先级，根据所述第二IPSec隧道的优先级设置第二路由为低优先级；
所述响应方网络设备接收所述发送方网络设备通过高优先级的第一 IPSec隧道发送的业务数据报文；
所述响应方网络设备选择高优先级的第一路由，通过所述第一路由所对 应的第一IPSec隧道向发送方网络设备返回业务数据报文。
在本发明实施例第二方面第一种可能的实施方式中，
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息；
所述响应方网络设备解析所述第一IKE协商报文中携带的第一IPSec隧 道的高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优 先级为：
所述响应方网络设备解析所述第一ISAKMP通知消息中携带的第一 IPSec隧道的高优先级，解析所述第二ISAKMP通知消息中携带的第二IPSec 隧道的低优先级。
本发明实施例第三方面提供一种发送方网络设备，所述设备包括：
设置单元，用于给第一IPSec隧道设置高优先级，给第二IPSec隧道设置 低优先级；
添加单元，用于将所述第一IPSec隧道的高优先级添加至第一因特网密钥 交换协议IKE协商报文，将所述第二IPSec隧道的高优先级添加至第二IKE 协商报文；
第一发送单元，用于通过所述第一IPSec隧道将所述第一IKE协商报文 发送至响应方网络设备；
第二发送单元，用于通过所述第二IPSec隧道将第二IKE协商报文发送 至所述响应方网络设备；
第三发送单元，用于通过高优先级的第一IPSec隧道向所述响应方网络设 备发送业务数据报文。
在本发明实施例第三方面第一种可能的实施方式中，所述设备还包括：
探测单元，用于探测与所述响应方网络设备建立的两条IPSec隧道，获得 两条IPSec隧道对数据报文的传输质量；
第一选择单元，用于选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道；
第二选择单元，用于选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。
结合本发明实施例第三方面至第三方面第一种可能的实施方式，在第二 种可能的实施方式中，
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息。
本发明实施例第四方面提供一种响应方网络设备，所述设备包括：
第一接收单元，用于通过所述第一IPSec隧道接收所述第一IKE协商报 文；
第二接收单元，用于通过所述第二IPSec隧道接收第二IKE协商报文；
解析单元，用于解析所述第一IKE协商报文中携带的第一IPSec隧道的 高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先级；
生成单元，用于生成与所述第一IPSec隧道对应的到发送方VPN网络的 第一路由，生成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二 路由；
设置单元，用于根据所述第一IPSec隧道的优先级设置第一路由的为高优 先级，根据所述第二IPSec隧道的优先级设置第二路由为低优先级；
第三接收单元，用于接收所述发送方网络设备通过高优先级的第一IPSec 隧道发送的业务数据报文；
发送单元，用于选择高优先级的第一路选择高优先级的第一路由，通过 所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
在本发明实施例第四方面第一种可能的实施方式中，
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息；
则所述解析单元，具体用于解析所述第一ISAKMP通知消息中携带的第 一IPSec隧道的高优先级，解析所述第二ISAKMP通知消息中携带的第二 IPSec隧道的低优先级。
11、一种隧道选择系统，其特征在于，所述系统包括：
本发明实施例第三方面至第三方面第二种可能的实施方式中所述的发送 方网络设备以及本发明实施例第四方面至第四方面第一种可能的实施方式所 述的响应方网络设备。通过上述技术方案可知，本发明实施例有如下有益效 果：
本发明实施例提供了一种隧道选择方法、设备及系统，发送方网络设 备在协商建立第一IPSec隧道的第一IKE协商报文中添加所述第一IPSec 隧道的高优先级，在协商建立第二IPSec隧道的第二IKE协商报文中添加 所述第二IPSec隧道的低优先级，响应方网络设备解析所述第一IKE协商 报文获得所述第一IPSec隧道的高优先级，解析第二IKE协商报文获得所 述第二IPSec隧道的低优先级，生成与所述第一IPSec隧道对应的第一路由， 设置第一路由为高优先级，生成与所述第二IPSec隧道对应的第二路由， 设置第二路由为低优先级。发送方网络设备通过高优先级的第一IPSec隧 道向响应方网络设备发送业务数据报文，响应方网络设备选择高优先级的 第一路由，即选择了与高优先级的第一路由对应的第一IPSec隧道向发送 方网络设备返回业务数据报文，即通过第二IPSec隧道向发送方网络设备 返回数据报文。实现发送方网络设备和响应方网络设备通过同一个IPSec 隧道进行数据交互，保证发送方网络设备与响应方网络设备业务数据报文 传输路径保持一致，避免选择不同的传输路径导致数据报文丢失，提高传 输业务数据报文的可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的隧道选择方法流程图；
图2为本发明实施例ISAKMP通知消息的报文结构示意图；
图3为本发明实施例提供的隧道选择方法流程图；
图4为本发明实施例提供的发送方网络设备结构示意图；
图5为本发明实施例提供的响应方网络设备结构示意图；
图6为本发明实施例提供的隧道选择系统结构示意图；
图7为本发明实施例提供的发送方网络设备结构示意图；
图8为本发明实施例提供的响应方网络设备结构示意图；
图9为本发明实施例提供的隧道选择系统结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发 明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述。
在点对点VPN网络系统中，发送方网络设备(Spoke)是主动发起IKE协 商，建立IPSec隧道的网络设备。响应方网络设备(HUB)是提供多个因特网 服务提供方(Internet Service Provider，ISP)接口，响应其他网络设备 的IKE协商的网设备。一个网络设备既可以作为发送方网络设备，也可以作 为其他网络设备的响应方网络设备。
图1为本发明实施例提供的隧道选择方法流程图，所述方法包括：
步骤101：发送方网络设备给第一IPSec隧道设置高优先级，给第二IPSec 隧道设置低优先级。
响应方网络设备给发送方网络设备提供多个ISP接口，发送方网络设备 可以分别通过每个ISP接口发送一个因策网密钥交换协议IKE协商，通过该 ISP接口建立一条IPSec隧道。发送方网络设备可以跟响应方网络设备建立多 条IPSec隧道。本发明实施例中，以发送方网络设备与响应方网络设备建立两 条IPSec隧道为例进行说明，建立多条IPSec隧道的技术实现方法与建立两条 IPSec隧道的技术实现方法类似，这里不再赘述。
响应方网络设备给发送方网络设备提供第一ISP接口和第二ISP接口，发 送方网络设备通过第一ISP接口向响应方网络设备发起第一IKE协商，建立 第一IPSec隧道；发送方网络设备通过第二ISP接口向响应方网络设备发起第 二IKE协商，建立第二IPSec隧道。
发送方网络设备给第一IPSec隧道设置高优先级，给第二IPSec隧道设置 低优先级。发送方网络设备在给所建立的IPSec隧道设置优先级时，可以根据 实际需要自行设定。例如，可以将IPSec隧道编号小的设置为高优先级，将 IPSec隧道编号大的设置为低优先级。
在一个实施例中，所述方法还包括：
所述发送方网络设备所述发送方网络设备探测与所述响应方网络设备建 立的两条IPSec隧道，获得两条IPSec隧道对数据报文的传输质量；
所述发送方网络设备选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道；
所述发送方网络设备选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。
在此实施例中，发送方网络设备所述发送方网络设备探测与所述响应方 网络设备建立的两条IPSec隧道，获得两条IPSec隧道对数据报文的传输质量。 具体实现时，发送方网络设备可以探测两条IPSec隧道对数据报文的传输速 度，认为对数据报文传输速度快的IPSec隧道传输质量好，认为对数据报文传 输速度慢的IPSec隧道传输质量差。发送方网络设备还可以探测两条IPSec隧 道传输数据报文的稳定性，认为传输数据报文稳定性高的IPSec隧道传输质量 好，认为传输数据报文稳定性低的IPSec隧道传输质量差。可以理解的是，将 对数据报文传输质量高的IPSec隧道作为第一IPSec隧道，设置高优先级；将 对数据报文传输质量差的IPSec隧道作为第二IPSec隧道，设置低优先级。
步骤102：所述发送方网络设备将所述第一IPSec隧道的高优先级添加至 第一因特网密钥交换协议IKE协商报文，将所述第二IPSec隧道的高优先级 添加至第二IKE协商报文。
发送方网络设备建立第一IPSec隧道时，与响应方网络设备建立第一IKE 协商，发送的是第一IKE协商报文，在第一IKE协商报文中添加所述第一IPSec 隧道的高优先级。发送方网络设备建立第二IPSec隧道时，与响应方网络设备 建立第二IKE协商，发送的是第二IKE协商报文，在第二IKE协商报文中添 加所述第二IPSec隧道的低优先级。
可选的，所述第一IKE协商报文和第二IKE协商报文都是因特网安全联 盟和密钥管理协议ISAKMP通知消息。
发送方网络设备在第一ISAKMP通知消息中添加所述第一IPSec隧道的 高优先级，在第二ISAKMP通知消息中添加所述第二IPSec隧道的低优先级。 因特网安全联盟和密钥管理协议(Internet Security Association and Key  Management Protocol，ISAKMP)通知消息的报文结构如图2所示，可以在通 知消息类型(Notify Message Type)或通知数据(Notification Data)的自定义 区域添加所协商建立的IPSec隧道的优先级。例如：可以在Notify Message Type 的第31bit至第8189bit的Reserved，或者第8192bit至第16383bit的Private Use 中自定义添加IPSec隧道的优先级添加的区域。这里需要说明的是，还可以在 SAKMP通知消息的其他可自定义区域设置添加IPSec隧道的优先级添加的区 域，这里不再赘述。
步骤103：所述发送方网络设备通过所述第一IPSec隧道将所述第一IKE 协商报文发送至响应方网络设备，通过所述第二IPSec隧道将第二IKE协商 报文发送至所述响应方网络设备。
步骤104：所述发送方网络设备通过高优先级的第一IPSec隧道向所述响 应方网络设备发送业务数据报文。
发送方网络设备将第一IKE协商报文通过第一IPSec隧道发送至响应方 网类设备，所述第一IKE协商报文携带有第一IPSec隧道的高优先级；发送 方网络设备将第二IKE协商报文通过第二IPSec隧道发送至响应方网类设备， 所述第二IKE协商报文携带有第二IPSec隧道的低优先级；
发送方网络设备与响应方网络设备建立好IPSec隧道后，发送方网络设 备选择优先级高的第一IPSec隧道向响应方网络设备传输业务数据报文。
图3为本发明实施例提供的隧道选择方法流程图，所述方法包括：
步骤301：响应方网络设备通过所述第一IPSec隧道接收所述第一IKE协 商报文，通过所述第二IPSec隧道接收第二IKE协商报文。
步骤302：所述响应方网络设备解析所述第一IKE协商报文中携带的第 一IPSec隧道的高优先级，解析所述第二IKE协商报文中携带的第二IPSec 隧道的低优先级。
响应方网络设备接收到发送方网络设备从第一IPSec隧道发送的第一IKE 协商报文，解析第一IKE协商报文中携带的第一IPSec隧道的高优先级；响 应方网络设备接收到发送方网络设备从第二IPSec隧道发送的第二IKE协商 报文，解析第二IKE协商报文中携带的第二IPSec隧道的低优先级。
步骤303：所述响应方网络设备生成与所述第一IPSec隧道对应的到发送 方VPN网络的第一路由，生成对所述第二第一IPSec隧道对应的到发送方 VPN网络的第二路由。
步骤304：所述响应方网络设备根据所述第一IPSec隧道的优先级设置第 一路由的为高优先级，根据所述第二IPSec隧道的优先级设置第二路由为低优 先级。
响应方网络设备利用反响路由注入(Reverse Route Injection，RRI)技术， 生成到发送方VPN网络内的，与所述第一IPSec隧道对应的第一路由，当响 应方网络设备选择第一路由发送数据报文时，数据报文将会通过第一IPSec 隧道发送。响应方网络设备生成到发送方VPN网络内的，与所述第二IPSec 隧道对应的第二路由，当响应方网络设备选择第二路由发送数据报文时，数 据报文将会通过第二IPSec隧道发送。
则响应方网络设备给所生成的第一路由设置与第一IPSec隧道相同的优 先级，设置第一路由为高优先级；响应方网络设备给所生成的第二路由设置 与第二IPSec隧道相同的优先级，设置第二路由为低优先级。即，响应方网络 设备给IPSec隧道，以及与该IPSec隧道对应的路由设置相同的优先级。
步骤305：所述响应方网络设备接收所述发送方网络设备通过高优先级的 第一IPSec隧道发送的业务数据报文。
步骤306：所述响应方网络设备选择高优先级的第一路由，通过所述第一 路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报文。
所述发送方网络设备会选择高优先级的第一IPSec隧道向响应方网络设 备发送业务数据报文。响应方网络设备可以在路由表中查找到所述发送方网 络设备所在的VPN网络内的两条路由：第一路由和第二路由。响应方网络设 备选择优先级高的第一路由，即选择与所述第一路由所对应的第一IPSec隧 道向发送方网络设备返回业务数据报文。实现发送方网络设备和响应方网络 设备之间业务数据报文交互时，所采用的数据报文的传输路径一致。
这里需要说明的是，本发明实施例中以发送方网络设备和响应方网络设 备建立两条IPSec隧道为例进行说明。在实际应用中，不仅限于建立两条IPSec 隧道。在建立多条IPSec隧道时，发送方网络设备选择优先级别最高的IPSec 隧道向响应方发送业务数据报文，响应方网络设备从路由表中查询到发送方 网络设备所在的VPN网络内优先级最高的路由，优先级最高的路由与优先级 最高的IPSec隧道对应，即响应方网络设备也选择了优先级最高的IPSec隧 道向发送方网络设备返回业务数据报文。实现发送方网络设备和响应方网络 设备业务数据报文交互路径的一致性。
有上述内容可知，本发明实施例有如下有益效果：
发送方网络设备通过高优先级的第一IPSec隧道向响应方网络设备发 送业务数据报文，响应方网络设备选择高优先级的第一路由，即选择了与 高优先级的第一路由对应的第一IPSec隧道向发送方网络设备返回业务数 据报文，即通过第二IPSec隧道向发送方网络设备返回数据报文。实现发 送方网络设备和响应方网络设备通过同一个IPSec隧道进行数据交互，保 证发送方网络设备与响应方网络设备业务数据报文传输路径保持一致，避 免选择不同的传输路径导致数据报文丢失，提高传输业务数据报文的可靠 性。
图4为本发明实施例提供的发送方网络设备结构示意图，所述设备包括：
设置单元401，用于给第一IPSec隧道设置高优先级，给第二IPSec隧道 设置低优先级。
添加单元402，用于将所述第一IPSec隧道的高优先级添加至第一因特网 密钥交换协议IKE协商报文，将所述第二IPSec隧道的高优先级添加至第二 IKE协商报文。
第一发送单元403，用于通过所述第一IPSec隧道将所述第一IKE协商报 文发送至响应方网络设备；通过高优先级的第一IPSec隧道向所述响应方网络 设备发送业务数据报文。
第二发送单元404，用于通过所述第二IPSec隧道将第二IKE协商报文发 送至所述响应方网络设备。
本发明实施例提供的一个实施例中，所述设备还包括：
探测单元，用于探测与所述响应方网络设备建立的两条IPSec隧道，获得 两条IPSec隧道对数据报文的传输质量；
第一选择单元，用于选择对数据报文传输质量高的IPSec隧道作为第一 IPSec隧道；
第二选择单元，用于选择对数据报文传输质量差的IPSec隧道作为第二 IPSec隧道。
本发明实施例提供的另一个实施例中，
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息。
图4所示的发送方网络设备是与图1所示的隧道选择方法所对应的设备， 与图1所示的隧道选择方法实施方法类似，参考图1所示的隧道选择方法的 描述，这里不再赘述。
图5为本发明实施例提供的响应方网络设备结构示意图，所述设备包括：
第一接收单元501，用于通过所述第一IPSec隧道接收所述第一IKE协商 报文；接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的业务数 据报文。
第二接收单元502，用于通过所述第二IPSec隧道接收第二IKE协商报文。
解析单元503，用于解析所述第一IKE协商报文中携带的第一IPSec隧道 的高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优先 级。
生成单元504，用于生成与所述第一IPSec隧道对应的到发送方VPN网 络的第一路由，生成对所述第二第一IPSec隧道对应的到发送方VPN网络的 第二路由。
设置单元505，用于根据所述第一IPSec隧道的优先级设置第一路由的为 高优先级，根据所述第二IPSec隧道的优先级设置第二路由为低优先级。
发送单元506，用于选择高优先级的第一路选择高优先级的第一路由，通 过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报 文。
本发明实施例提供的一个实施例中，所述第一IKE协商报文和所述第二 IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息；
则所述解析单元，具体用于解析所述第一ISAKMP通知消息中携带的第 一IPSec隧道的高优先级，解析所述第二ISAKMP通知消息中携带的第二 IPSec隧道的低优先级。
图5所示的响应方网络设备是与图3所示的隧道选择方法所对应的设备， 与图3所示的隧道选择方法实施方法类似，参考图3所示的隧道选择方法的 描述，这里不再赘述。
图6为本发明实施例提供的隧道选择系统结构示意图，所述系统包括：
图4所示的发送方网络设备601以及图5所示的的响应方网络设备602。
图7为本发明实施例提供的发送方网络设备结构示意图，所述设备包括：
处理器701，以及与所述处理器701分别相连的第一发送端口702和第二 发送端口703；
所述处理器701，用于给第一IPSec隧道设置高优先级，给第二IPSec隧 道设置低优先级；将所述第一IPSec隧道的高优先级添加至第一因特网密钥 交换协议IKE协商报文，将所述第二IPSec隧道的高优先级添加至第二IKE 协商报文；
所述第一发送端口702，用于通过所述第一IPSec隧道将所述第一IKE协 商报文发送至响应方网络设备；通过高优先级的第一IPSec隧道向所述响应 方网络设备发送业务数据报文；
所述第二发送端口703，用于通过所述第二IPSec隧道将第二IKE协商报 文发送至所述响应方网络设备。
本发明实施例提供的一个实施例中，所述处理器701，还用于探测与所述 响应方网络设备建立的两条IPSec隧道，获得两条IPSec隧道对数据报文的 传输质量；选择对数据报文传输质量高的IPSec隧道作为第一IPSec隧道； 选择对数据报文传输质量差的IPSec隧道作为第二IPSec隧道。
本发明实施例提供的另一个实施例中，所述第一IKE协商报文和所述第 二IKE协商报文是因特网安全联盟和密钥管理协议ISAKMP通知消息。
图7所示的发送方网络设备是与图1所示的隧道选择方法所对应的设备， 与图1所示的隧道选择方法实施方法类似，参考图1所示的隧道选择方法的 描述，这里不再赘述。
图8为本发明实施例提供的响应方网络设备结构示意图，所述设备包括：
第一接收端口801，第二接收端口802，分别与所述第一接收端口801和 所述第二接收端口802相连的处理器803，以及与所述处理器803相连的发送 端口804；
所述第一接收端口801，用于通过所述第一IPSec隧道接收所述第一IKE 协商报文；接收所述发送方网络设备通过高优先级的第一IPSec隧道发送的 业务数据报文；
所述第二接收端口802，用于通过所述第二IPSec隧道接收第二IKE协商 报文；
所述处理器803，用于解析所述第一IKE协商报文中携带的第一IPSec隧 道的高优先级，解析所述第二IKE协商报文中携带的第二IPSec隧道的低优 先级；生成与所述第一IPSec隧道对应的到发送方VPN网络的第一路由，生 成对所述第二第一IPSec隧道对应的到发送方VPN网络的第二路由；根据所 述第一IPSec隧道的优先级设置第一路由的为高优先级，根据所述第二IPSec 隧道的优先级设置第二路由为低优先级；
发送端口804，用于选择高优先级的第一路选择高优先级的第一路由，通 过所述第一路由所对应的第一IPSec隧道向发送方网络设备返回业务数据报 文。
本发明实施例提供的一个实施例中，
所述第一IKE协商报文和所述第二IKE协商报文是因特网安全联盟和密 钥管理协议ISAKMP通知消息；
则所述处理器，具体用于解析所述第一ISAKMP通知消息中携带的第一 IPSec隧道的高优先级，解析所述第二ISAKMP通知消息中携带的第二IPSec 隧道的低优先级。
图8所示的响应方网络设备是与图3所示的隧道选择方法所对应的设备， 与图3所示的隧道选择方法实施方法类似，参考图3所示的隧道选择方法的 描述，这里不再赘述。
图9为本发明实施例提供的隧道选择系统结构示意图，所述系统包括：
图7所示的发送方网络设备901以及图8所示的的响应方网络设备902。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的 普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进 和润饰，这些改进和润饰也应视为本发明的保护范围。