经由虚拟私有网络传达的重复分组的高效加密和解密的制作方法

经由虚拟私有网络传达的重复分组的高效加密和解密
1.相关申请的交叉引用
2.本技术要求于2020年5月4日提交的标题为“efficient encryption and decryption of duplicate packets communicated via a virtual private network”的印度临时申请号202041018890的优先权，其整体内容通过引用清楚地并入本文。
技术领域
3.本公开的实施例涉及网络隧道，并且更具体地涉及利用网络隧道跨网络传输网络分组。


背景技术：

4.网络隧道是一种机制，用于以公共网络的网络设备意识不到私有信息的方式通过公共网络来安全传输私有信息。隧道化协议是支持网络隧道的创建的通信协议。隧道化协议使私有信息能够通过被称为封装的过程而跨公共网络被发送。


技术实现要素：

5.根据一些实现，一种方法可以包括：由网络设备接收用于分组加密的加密密钥，该分组加密与虚拟私有网络(vpn)相关联，其中加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密；由网络设备使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部互联网协议(ip)报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装经加密的分组的第一集合，以创建经封装经加密的分组的第一集合，其中经封装经加密的分组的第一集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第一接收网络设备的物理隧道端点；基于隧道化协议来封装经加密的分组的第二集合，以创建经封装经加密的分组的第二集合，其中经封装经加密的分组的第二集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第二接收网络设备的物理隧道端点；经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来向第一接收网络设备发送经封装经加密的分组的第一集合中的个体经封装经加密的分组；以及经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来向第二接收网络设备发送经封装经加密的分组的第二集合中的个体经封装经加密的分组。
6.根据一些实现，一种网络设备可以包括一个或多个存储器和一个或多个处理器，用以：接收用于分组解密的解密密钥，该分组解密与vpn相关联，其中解密密钥与加密密钥相关联，该加密密钥由vpn的多个网络设备用于分组加密；从传输网络设备经由网络设备与传输网络设备之间的多个隧道中的隧道来接收分组，其中分组包括第一外部ip报头、通用路由封装(gre)报头、第二外部ip报头、与分组的内部分组的加密相关联的封装安全性有效负载(esp)报头、以及内部分组，其中内部分组被esp报头封装，esp报头被第二外部ip报头封装，第二外部ip报头被gre报头封装，并且gre报头被第一外部ip报头封装；解封装分组以从分组移除第一外部ip报头和gre报头，以标识：与esp报头相关联的esp时间戳、以及传输网络设备处的隧道的虚拟隧道端点的虚拟源地址；解密分组以标识内部分组；以及基于esp时间戳来执行与内部分组相关联的动作。
7.根据一些实现，一种非瞬态计算机可读介质可以存储一个或多个指令。该一个或多个指令在由网络设备的一个或多个处理器执行时，可以使一个或多个处理器：接收用于分组加密的加密密钥，该分组加密与vpn相关联，其中加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密；使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址来修改经加密的分组的第二集合，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装经加密的分组的第一集合和经加密的分组的第二集合，以创建多个经封装经加密的分组；以及基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送多个经封装经加密的分组中的个体经封装经加密的分组。
附图说明
8.图1a
‑
图1n是本文中所描述的一个或多个示例实现的示意图。
9.图2是在其中可以实现本文中所描述的系统和/或方法的示例环境的示意图。
10.图3a和图3b是图2的一个或多个设备的示例组件的示意图。
11.图4a和图4b是示例过程的流程图，该示例过程有关经由虚拟私有网络而被传达的重复分组的高效加密和解密。
12.图5
‑
图6是示例过程的流程图，该示例过程有关经由虚拟私有网络而被传达的重复分组的高效加密和解密。
具体实施方式
13.示例实现的以下详细描述参考附图。不同附图中相同的附图标记可以指示相同或类似的元素。
14.在一些情形中，使用多个隧道来将传输网络设备连接到多个接收网络设备(例如，其中多个隧道中的一组隧道将传输网络设备连接到多个接收网络设备中的特定接收网络
设备)可以是有益的。在一些情况下，传输网络设备可以被配置为向多个接收网络设备中的每个接收网络设备发送同一分组的多个副本。例如，经由与接收网络设备相关联的一组隧道中的每个隧道，传输网络设备可以向接收网络设备发送探测分组(probe packet)(例如，被用于确定多个隧道的状况、性能等的分组)的个体副本(individual copy)。
15.在一些情况下，传输网络设备可以使用加密协议(诸如封装安全性有效负载(esp)协议)来加密分组，并且可以复制经加密的分组，以经由与接收网络设备相关联的一组隧道来向接收网络设备发送经加密的分组的副本。然而，为了向每个接收网络设备发送分组的经加密版本，传输网络设备对分组执行分离的加密过程，以创建针对每个接收网络设备的经加密的分组。这浪费传输网络设备的计算资源(例如，处理资源、存储器资源、功率资源等)来多次加密同一分组。
16.根据一些实现，传输网络设备可以加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识传输网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点。传输网络设备可以复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合。传输网络设备可以通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址来修改经加密的分组的第二集合，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；传输网络设备可以基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备发送经加密的分组的第一集合中的个体经加密的分组、以及向第二接收网络设备发送经加密的分组的第二集合中的个体经加密的分组。
17.以这种方式，传输网络设备执行仅一个加密过程来加密可以被复制、被修改并且被发送给多个接收网络设备的分组，而不是执行加密过程来针对多个接收网络设备中的每个接收网络设备加密分组。此外，接收网络设备可以解密接收网络设备所接收的经加密分组的副本中的仅一个经加密分组的副本(例如，以处理分组并且丢弃和/或忽略分组的其他副本)。因此，本文中所描述的一些实现消除由传输网络设备和接收网络设备进行的不必要的加密和解密过程，并且因此节省了传输网络设备和接收网络设备的计算资源(例如，处理资源、存储器资源、功率资源等)，这些资源不然会被浪费来执行不必要的加密和解密过程。
18.图1a
‑
图1n是本文中所描述的一个或多个示例实现的示意图。如图1a
‑
图1n所示，(多个)示例实现100可以包括传输网络设备、第一接收网络设备(示出为接收网络设备1)以及第二接收网络设备(示出为接收网络设备2)。如图1a所示，传输网络设备、第一接收网络设备以及第二接收网络设备可以被连接以形成vpn，诸如群组(group)vpn。每个网络设备可以经由多个相应的点到点连接(诸如多个网络隧道(例如，通用路由封装(gre)隧道))而被连接到群组vpn。例如，如图1a所示，隧道t
‑
1至隧道t
‑
l(其中l大于或等于2)将传输网络设备连接到群组vpn；隧道r1
‑
1至隧道r1
‑
n(其中n大于或等于2)将第一接收网络设备连接到群组vpn；并且隧道r2
‑
1至隧道r2
‑
m(其中m大于或等于2)将第二接收网络设备连接到群组vpn。尽管本文中参考符合gre隧道化协议的隧道描述了示例隧道，但是本文中所描述的实现也适用于其他隧道化协议。同样，尽管传输网络设备、第一接收网络设备和第二接收网络设备被示出为经由多个隧道连接到群组vpn，但是传输网络设备、第一接收网络设备、或者
第二接收网络设备中的一个或多个经由单个隧道连接到群组vpn是可能的。此外，为了便于解释，群组vpn被示出为具有三个网络设备。在实践中，群组vpn可以具有大于三的数目的网络设备。
19.每个隧道可以具有与隧道连接到群组vpn的网络设备相关联的多个隧道端点。在一些实现中，隧道可以具有与网络设备相关联的物理隧道端点(例如，物理ip地址)。例如，如图1a所示，隧道t
‑
1具有与传输网络设备相关联的物理隧道端点(例如，172.16.0.1)，隧道t
‑
2具有与传输网络设备相关联的物理隧道端点(例如，172.17.0.1)，并且隧道t
‑
l具有与传输网络设备相关联的物理隧道端点(例如，172.18.0.1)；隧道r1
‑
1具有与第一接收网络设备相关联的物理隧道端点(例如，172.20.0.1)，隧道r1
‑
2具有与第一接收网络设备相关联的物理隧道端点(例如，172.21.0.1)，并且隧道r1
‑
n具有与第一接收网络设备相关联的物理隧道端点(例如，172.22.0.1)；以及隧道r2
‑
1具有与第二接收网络设备相关联的物理隧道端点(例如，172.25.0.1)，隧道r2
‑
2具有与第二接收网络设备相关联的物理隧道端点(例如，172.26.0.1)，并且隧道r2
‑
m具有与第二接收网络设备相关联的物理隧道端点(例如，172.27.0.1)。
20.附加地或备选地，每个隧道可以具有与隧道连接到群组vpn的网络设备相关联的虚拟隧道端点(例如，虚拟ip地址，诸如用于环回(l0)接口)。虚拟隧道端点对于与网络设备相关联的每个隧道可以是相同的。例如，如图1a所示，隧道t
‑
1至隧道t
‑
l具有与传输网络设备相关联的相同的虚拟隧道端点(例如，100.0.0.1)；隧道r1
‑
1至隧道r1
‑
n具有与第一接收网络设备相关联的相同的虚拟隧道端点(例如，101.0.0.2)；以及隧道r2
‑
1至隧道r2
‑
m具有与第二接收网络设备相关联的相同的虚拟隧道端点(例如，102.0.0.2)。
21.如由附图标记102所示，群组vpn的vpn密钥服务器可以向传输网络设备、第一接收网络设备和第二接收网络设备分发(例如，根据群组vpn协议)相同的vpn密钥集。vpn密钥集可以包括用于与群组vpn相关联的分组加密的加密密钥、和/或用于与群组vpn相关联的分组解密的解密密钥。以这种方式，传输网络设备、第一接收网络设备和第二接收网络设备可以各自接收相同的加密密钥和/或解密密钥。在一些实现中，加密密钥和/或解密密钥可以包括公钥和私钥的组合、或者某个其他类型的加密密钥和/或解密密钥。
22.如图1b并且由附图标记104所示，传输网络设备可以生成探测分组。探测分组可以是多目的地探测分组，该多目的地探测分组将被传输到群组vpn中的所有网络设备(或者群组vpn中的网络设备的子集)。探测分组可以包括合成的数据有效负载和用户数据报协议(udp)报头。合成的数据有效负载可以包括近似数据分组的数据有效负载的大小和/或内容的合成数据。udp报头可以指定特定端口(例如，端口3600)来指示探测分组是探测分组(例如，将被发送到接收网络设备并且被路由回到传输网络设备)。
23.如由附图标记106所示，传输网络设备可以(例如，使用来自vpn密钥集的加密密钥)加密探测分组以创建经加密的探测分组(例如，如图1b所示，针对第一接收网络设备)。例如，传输网络设备可以使用封装安全性有效负载(esp)协议来加密探测分组，其可以使探测分组利用esp报头而被封装。附加地或备选地，传输网络设备可以利用外部ip报头(例如，esp外部ip报头)来封装经加密的探测分组，该外部ip报头包括标识传输网络设备的虚拟隧道端点的源地址(例如，如图1a所示，100.0.0.1)、和/或标识第一接收网络设备的虚拟隧道端点的目的地地址(例如，如图1a所示，101.0.0.2)。因此，如图1b所示，传输网络设备可以
创建经加密的探测分组，该经加密的探测分组包括被esp报头封装的内部分组(例如，包括合成的数据有效负载和udp报头的探测分组)，该esp报头被esp外部ip报头封装。
24.如图1c并且由附图标记108所示，传输网络设备可以复制经加密的探测分组以创建多个经加密的探测分组(图1c中示出为经加密的探测分组1
‑
1至探测分组1
‑
n m)。例如，传输网络设备可以确定n个隧道将第一接收网络设备连接到群组vpn、并且m个隧道将第二接收网络设备连接到群组vpn。因此，传输网络设备可以复制经加密的探测分组以创建n m个经加密的探测分组(例如，针对第一接收网络设备的n个经加密的探测分组、以及针对第二接收网络设备的m个经加密的探测分组)。
25.如图1d并且由附图标记110所示，传输网络设备可以编辑多个经加密的探测分组(例如，n m个经加密的探测分组)中的一个或多个经加密的探测分组的相应的目的地地址。例如，传输网络设备可以选择多个经加密的探测分组中的m个经加密的探测分组，并且改变m个经加密的探测分组的外部ip报头的相应的目的地地址，以标识第二接收网络设备的虚拟隧道端点(例如，如图1a所示，102.0.0.2)。因此，传输网络设备可以使多个经加密的探测分组包括针对第一接收网络设备的n个经加密的探测分组(例如，如图1d所示，每个都具有目的地地址101.0.0.2)以及针对第二接收网络设备的m个经加密的探测分组(例如，如图1d所示，每个都具有目的地地址102.0.0.2)。
26.如图1e并且由附图标记112所示，传输网络设备可以针对第一接收网络设备来封装多个经加密的探测分组中的n个经加密的探测分组(例如，针对将经由多个隧道r1
‑
1至r1
‑
n被路由到第一网络设备的n个经加密的探测分组，该多个隧道r1
‑
1至r1
‑
n将第一接收网络设备连接到群组vpn)。在一些实现中，传输网络设备可以使用隧道化协议(例如，gre隧道化协议)来封装n个经加密的探测分组中的每个经加密的探测分组，以创建多个经封装经加密的分组(例如，n个经封装经加密的分组)。例如，传输网络设备可以利用gre报头来封装经加密的探测分组，以创建经封装经加密的探测分组。
27.附加地或备选地，传输网络设备可以利用外部ip报头(例如，gre外部ip报头)来封装n个经加密的探测分组中的经加密的探测分组，该外部ip报头包括标识传输网络设备的物理隧道端点的源地址、和/或标识第一接收网络设备的物理隧道端点的目的地地址。例如，传输网络设备可以利用gre外部ip报头来封装第一经加密的探测分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道t
‑
1的物理隧道端点的源地址(例如，172.16.0.1)、和/或标识与第一接收网络设备相关联的隧道r1
‑
1的物理隧道端点的目的地地址(例如，172.20.0.1)；该传输网络设备可以利用gre外部ip报头来封装第二经加密的探测分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道t
‑
2的物理隧道端点的源地址(例如，172.17.0.1)、和/或标识与第一接收网络设备相关联的隧道r1
‑
2的物理隧道端点的目的地地址(例如，172.21.0.1)；和/或该传输网络设备可以利用gre外部ip报头来封装第n经加密的探测分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道1
‑
l的物理隧道端点的源地址(例如，172.18.0.1)、和/或标识与第一接收网络设备相关联的隧道r1
‑
n的物理隧道端点的目的地地址(例如，172.22.0.1)。
28.因此，如图1e所示，传输网络设备可以创建n个经封装经加密的探测分组(示出为经封装经加密的探测分组1
‑
1至经封装经加密的探测分组1
‑
n)，其中每个经封装经加密的探测分组包括经加密的内部分组(例如，包括udp报头和合成的数据有效负载的探测分组)，
其中经加密的内部分组被esp报头封装，esp报头被esp外部ip报头封装，esp外部ip报头被gre报头封装，并且gre报头被gre外部ip报头封装。图1e所示的封装作为可以被使用的封装的示例而被提供。在实践中，这些封装中的一个或多个封装(或所有的封装)和/或一个或多个不同封装可以被使用。
29.如图1f并且由附图标记114所示，传输网络设备可以针对第二接收网络设备来封装多个经加密的探测分组中的m个经加密的探测分组(例如，针对将经由多个隧道r2
‑
1至r1
‑
m被路由到第二网络设备的m个经加密的探测分组，该多个隧道r2
‑
1至r2
‑
m将第二接收网络设备连接到群组vpn)。在一些实现中，传输网络设备可以使用隧道化协议(例如，gre隧道化协议)来封装m个经加密的探测分组中的每个经加密的探测分组，以创建多个经封装经加密的分组(例如，m个经封装经加密的分组)。例如，传输网络设备可以利用gre报头来封装经加密的探测分组，以创建经封装经加密的探测分组。
30.附加地或备选地，传输网络设备可以利用外部ip报头(例如，gre外部ip报头)来封装m个经加密的探测分组中的经加密的探测分组，该外部ip报头包括标识传输网络设备的物理隧道端点的源地址、和/或标识第二接收网络设备的物理隧道端点的目的地地址。例如，传输网络设备可以利用gre外部ip报头来封装第一经加密的探测分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道t
‑
1的物理隧道端点的源地址(例如，172.16.0.1)、和/或标识与第二接收网络设备相关联的隧道r2
‑
1的物理隧道端点的目的地地址(例如，172.25.0.1)；该传输网络设备可以利用gre外部ip报头来封装第二经加密的探测分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道t
‑
2的物理隧道端点的源地址(例如，172.17.0.1)、和/或标识与第二接收网络设备相关联的隧道r2
‑
2的物理隧道端点的目的地地址(例如，172.26.0.1)；和/或该传输网络设备可以利用gre外部ip报头来封装第m经加密的探测分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道1
‑
l的物理隧道端点的源地址(例如，172.18.0.1)、和/或标识与第二接收网络设备相关联的隧道r2
‑
m的物理隧道端点的目的地地址(例如，172.27.0.1)。
31.因此，如图1f所示，传输网络设备可以创建m个经封装经加密的探测分组(示出为经封装经加密的探测分组2
‑
1至经封装经加密的探测分组2
‑
m)，其中每个经封装经加密的探测分组包括经加密的内部分组(例如，包括udp报头和合成的数据有效负载的探测分组)，其中经加密的内部分组被esp报头封装，esp报头被esp外部ip报头封装，esp外部ip报头被gre报头封装，并且gre报头被gre外部ip报头封装。图1f所示的封装作为可以被使用的封装的示例而被提供。在实践中，这些封装中的一个或多个封装(或所有的封装)和/或一个或多个不同封装可以被使用。
32.如图1g并且由附图标记116所示，传输网络设备可以向第一接收网络设备和第二接收网络设备发送多个经封装经加密的探测分组(例如，经由将第一接收网络设备连接到群组vpn的n个隧道来向第一接收网络设备发送n个经封装经加密的探测分组，并且经由将第二接收网络设备连接到群组vpn的m个隧道来向第二接收网络设备发送m个经封装经加密的探测分组)。例如，传输网络设备可以经由隧道t
‑
1和隧道r1
‑
1来向第一接收网络设备传输n个经封装经加密的探测分组中的第一经封装经加密的探测分组；经由隧道t
‑
2和隧道r1
‑
2来向第一接收网络设备传输n个经封装经加密的探测分组中的第二经封装经加密的探测分组；以及经由隧道t
‑
l和隧道r1
‑
n来向第一接收网络设备传输n个经封装经加密的探测
分组中的第n经封装经加密的探测分组。作为另一示例，传输网络设备可以经由隧道t
‑
1和隧道r2
‑
1来向第二接收网络设备传输m个经封装经加密的探测分组中的第一经封装经加密的探测分组；经由隧道t
‑
2和隧道r2
‑
2来向第二接收网络设备传输m个经封装经加密的探测分组中的第二经封装经加密的探测分组；以及经由隧道t
‑
l和隧道r2
‑
m来向第二接收网络设备传输m个经封装经加密的探测分组中的第m经封装经加密的探测分组。有可能隧道t
‑
1至隧道t
‑
l各自携带单个经封装经加密的探测分组、多个经封装经加密的探测分组、或者与隧道t
‑
1至t
‑
l中的另一隧道相比不同数量的经封装经加密的探测分组(例如，隧道t
‑
1可以携带与隧道t
‑
2相比不同数量的经封装经加密的探测分组)。
33.如图1h并且由附图标记118所示，在接收任何其他经封装经加密的探测分组之前，接收网络设备(例如，或者第一接收网络设备，或者第二接收网络设备)可以经由多个隧道中的将接收网络设备连接到群组vpn的特定隧道(图1h中示出为接收隧道)来接收经封装经加密的探测分组中的一个经封装经加密的探测分组(下文称为“首先被接收的经封装经加密的探测分组”)。
34.如由附图标记120所示，接收网络设备可以解封装首先被接收的经封装经加密的探测分组。例如，接收网络设备可以从首先被接收的经封装经加密的探测分组移除gre外部ip报头和/或gre报头。因此，接收网络设备可以解封装首先被接收的经封装经加密的探测分组，以暴露和/或标识被包括在首先被接收的经封装经加密的探测分组中的经加密的探测分组。在一些实现中，接收网络设备可以处理(例如，解析)(例如，在接收网络设备解封装首先被接收的经封装经加密的探测分组之后所暴露的)经加密的探测分组的esp报头，以标识与esp报头相关联的时间戳。在一些实现中，接收网络设备可以在不解封装首先被接收的经封装经加密的探测分组的情况下处理首先被接收的经封装经加密的探测分组的esp报头，以标识与esp报头相关联的时间戳。
35.如由附图标记122所示，接收网络设备可以使时间戳被存储在数据结构中(例如，被包括在接收网络设备中和/或对接收网络设备可访问的数据结构)。例如，接收网络设备可以向数据结构发送时间戳，以使数据结构在条目中包括时间戳并且使数据结构将该条目存储在数据结构中。时间戳可以被用于确定后续所接收的经封装经加密的探测分组是否是首先被接收的经封装经加密的探测分组的复制。
36.如由附图标记124所示，接收网络设备可以解密(例如，使用被包括在vpn密钥集中的解密密钥)经加密的探测分组。例如，接收网络设备可以使用由传输网络设备用来加密探测分组的esp协议(例如，如文本中关于图1b和附图标记106所描述的)来解密经加密的探测分组。在一些实现中，接收网络设备可以处理经加密的探测分组的esp报头以标识esp协议，并且可以使用该esp协议来解密经加密的探测分组。在一些实现中，当解密经加密的探测分组时，接收网络设备可以从经加密的探测分组移除esp外部ip报头和/或esp报头。因此，接收网络设备可以解密经加密的探测分组，以暴露和/或标识探测分组(例如，经加密的探测分组的内部分组)。
37.如由附图标记126所示，接收网络设备可以将(例如，在接收网络设备解密经加密的探测分组之后所暴露的)探测分组制作副本，并且可以使探测分组的副本被存储在数据结构中。例如，接收网络设备可以发送向数据结构发送探测分组的副本，以使数据结构在数据结构中包括时间戳的条目中包括探测分组的副本。在删除条目之前，数据结构可以将条
目存储在数据结构中达一段时间(例如，100毫秒、1秒、10秒等)。附加地或备选地，在当前时间与时间戳之间的差满足(例如，小于)阈值时，数据结构可以将条目存储在数据结构中。否则，数据结构可以删除条目。以这种方式，数据结构确保仅有当前时间戳和探测分组的当前副本被存储在数据结构。
38.如由附图标记128所示，接收网络设备可以修改探测分组。例如，接收网络设备可以处理探测分组以标识探测分组的合成的数据有效负载，并且可以更新探测分组的合成的数据有效负载。接收网络设备可以更新合成的数据有效负载，以包括关于接收网络设备接收到首先被接收的经封装经加密的探测分组的时间(例如，接收时间、或者rx时间)的信息、和/或关于接收网络设备将向传输网络设备发送(例如，路由、传输等)探测分组的时间(例如，传输时间、或者tx时间)的信息。
39.如由附图标记130所示，接收网络设备可以(例如，在修改探测分组之后)向传输网络设备发送探测分组。例如，接收网络设备可以处理探测分组，以标识探测分组的udp报头(例如，该udp报头指示接收网络设备将向传输网络设备发送(例如，路由、传输等)探测分组)。基于udp报头，接收网络设备可以经由多个隧道中的将接收网络设备连接到群组vpn的如下特定隧道来向传输网络设备发送探测分组：该特定隧道从群组vpn向接收网络设备传输首先被接收的经封装经加密的探测分组(例如，图1h所示的接收隧道)。探测分组然后可以经由多个隧道中的将传输网络设备连接到群组vpn的如下特定隧道而被传输到传输网络设备：该特定隧道从传输网络设备向群组vpn传输首先被接收的经封装经加密的探测分组。
40.附加地或备选地，如图1i并且由附图标记132所示，在接收到首先被接收的经封装经加密的探测分组之后，接收网络设备(例如，或者第一接收网络设备，或者第二接收网络设备)可以经由多个隧道中的将接收网络设备连接到群组vpn的不同的隧道(图1i中示出为附加的接收隧道)接收多个经封装经加密的探测分组中的附加的经封装经加密的探测分组。附加的经封装经加密的探测分组可以具有与首先被接收的经封装经加密的探测分组相同或相似的结构。例如，附加的经封装经加密的探测分组可以包括经加密的内部分组(例如，包括ip报头和数据有效负载的探测分组)，其中经加密的内部分组被esp报头封装，esp报头被esp外部ip报头封装，esp外部ip报头被gre报头封装，并且gre报头被gre外部ip报头封装。
41.如由附图标记134所示，接收网络设备可以以与本文中关于1h和附图标记120所描述的方式类似的方式来解封装附加的经封装经加密的探测分组。例如，在一些实现中，接收网络设备可以从附加的经封装经加密的探测分组移除gre外部ip报头和/或gre报头。因此，接收网络设备可以解封装附加的经封装经加密的探测分组，以暴露和/或标识被包括在附加的经封装经加密的探测分组中的经加密的探测分组。接收网络设备可以处理(例如，解析)(例如，在接收网络设备解封装附加的经封装经加密的探测分组之后所暴露的)经加密的探测分组的esp报头，以标识与esp报头相关联的时间戳。在一些实现中，接收网络设备可以在不解封装附加的经封装经加密的探测分组的情况下处理附加的经封装经加密的探测分组的esp报头，以标识与esp报头相关联的时间戳。
42.在一些实现中，接收网络设备可以从数据结构获取与首先被接收的经封装经加密的探测分组的esp报头相关联的时间戳(例如，接收网络设备可以从数据结构取回包括与首先被接收的经封装经加密的探测分组的esp报头相关联的时间戳的条目)。接收网络设备可
以将与附加的经封装经加密的探测分组的esp报头相关联的时间戳和与首先被接收的经封装经加密的探测分组的esp报头相关联的时间戳相比较。当时间戳匹配时，接收网络设备可以确定：附加的经封装经加密的探测分组的经加密的探测分组与首先被接收的经封装经加密的探测分组的经加密的探测分组匹配(例如，与其相同、是其副本、是其复制等)、和/或附加的经封装经加密的探测分组的探测分组与首先被接收的经封装经加密的探测分组的探测分组匹配(例如，与其相同、是其副本、是其复制等)。因此，如由附图标记136所示，接收网络设备可以使附加的经封装经加密的探测分组的经加密的探测分组被丢弃。否则，接收网络设备可以如本文中关于图1h和附图标记122
‑
130所描述的来处理经加密的探测分组。
43.如由附图标记138所示，在使附加的经封装经加密的探测分组的经加密的探测分组被丢弃之后，接收网络设备可以生成新探测分组。在一些实现中，接收网络设备可以基于被存储在数据结构中的探测分组的副本来生成新探测分组。例如，接收网络设备可以复制被存储在数据结构中的探测分组的副本来生成新探测分组。作为另一示例，接收网络设备从数据结构(例如，从被存储在数据结构中的包括探测分组的副本的条目)移除探测分组的副本，并且使探测分组的副本是新探测分组。接收网络设备然后可以使条目从数据结构被删除。
44.如由附图标记140所示，接收网络设备可以修改新探测分组。例如，接收网络设备可以更新探测分组的合成的数据有效负载。接收网络设备可以更新合成的数据有效负载，以包括关于接收网络设备接收到附加的经封装经加密的探测分组的时间(例如，接收时间、或者rx时间)的信息、和/或关于接收网络设备将向传输网络设备发送(例如，路由、传输等)新探测分组的时间(例如，传输时间、或者tx时间)的信息。
45.如由附图标记142所示，接收网络设备可以(例如，在修改新探测分组之后)向传输网络设备发送经修改的新探测分组。例如，接收网络设备可以处理新探测分组，以标识新探测分组的udp报头(例如，该udp报头指示接收网络设备将向传输网络设备发送(例如，路由、传输等)新探测分组)。基于udp报头，接收网络设备可以经由多个隧道中的将接收网络设备连接到群组vpn的如下不同的隧道来向传输网络设备发送新探测分组：该不同的隧道从群组vpn向接收网络设备传输附加的经封装经加密的探测分组(图1i中示出为附加的接收隧道)。探测分组然后可以经由多个隧道中的将传输网络设备连接到群组vpn的如下特定隧道而被传输到传输网络设备：该特定隧道从传输网络设备向群组vpn传输附加的经封装经加密的探测。
46.尽管本文中关于图1a
‑
图1n所描述的一些示例实现针对处理、传输和/或接收探测分组，但是预期的实现包括处理、传输和/或接收可以由网络设备处理、传输和/或接收的任何种类的分组。例如，本文中关于图1j
‑
图1n所描述的一些实现针对处理、传输和/或接收数据分组。
47.如图1j所示，传输网络设备可以与第一局域网(lan)(示出为lan 1，192.168.1.1/24)相关联，并且第一接收网络设备可以与第二lan(示出为lan 2，192.168.2.1/24)相关联。例如，传输网络设备可以是包括第一主机的(例如，作为网络业务的源或目的地的第一端点设备)到第一lan的网关，并且第一接收网络设备可以是包括第二主机的(例如，作为网络业务的源或目的地的第二端点设备)到第二lan的网关。
48.如图1j并且由附图标记144所示，传输网络节点可以接收数据分组。例如，传输网
络节点可以接收由与第一lan相关联的第一主机发送的数据分组。如图1j所示，数据分组可以包括ip报头和数据有效负载。ip报头可以包括与传输网络设备相关联的源地址(例如，标识第一lan的，192.168.1.1)和与第一接收网络设备相关联的目的地地址(例如，标识第二lan的，192.168.2.1)。
49.如由附图标记146所示，传输网络设备可以(例如，使用来自vpn密钥集的加密密钥)加密数据分组以创建经加密的数据分组(例如，如图1j所示，针对第一接收网络设备)。例如，传输网络设备可以使用esp协议来加密数据分组，其可以使数据分组利用esp报头而被封装。附加地或备选地，传输网络设备可以利用外部ip报头来封装经加密的数据分组，该外部ip报头(例如，esp外部ip报头)包括标识传输网络设备的虚拟隧道端点的源地址(例如，如图1j所示，100.0.0.1)、和/或标识第一接收网络设备的虚拟隧道端点的目的地地址(例如，如图1j所示，101.0.0.2)。因此，如图1j所示，传输网络设备可以创建经加密的数据分组，该经加密的数据分组包括被esp报头封装的内部分组(例如，包括ip报头和数据有效负载的数据分组)，该esp报头由esp外部ip报头封装。
50.如图1k并且由附图标记148所示，传输网络设备可以复制经加密的数据分组以创建多个经加密的数据分组(图1k中示出为经加密的数据分组1
‑
1至数据分组1
‑
n)。在一些实现中，传输网络设备可以确定将第一接收网络设备连接到群组vpn的隧道的数目，并且该传输网络设备可以复制经加密的数据分组以创建相同数目的经加密的数据分组。例如，传输网络设备可以确定n个隧道将接收网络设备连接到群组vpn，并且该传输网络设备可以复制经加密的数据分组以创建n个经加密的数据分组。
51.如图1l并且由附图标记150所示，传输网络设备可以封装多个经加密的数据分组(例如，针对将经由多个隧道r1
‑
1至r1
‑
n被路由到第一网络设备的n个经加密的探测分组，该多个隧道r1
‑
1至r1
‑
n将第一接收网络设备连接到群组vpn)。在一些实现中，传输网络设备可以使用隧道化协议(例如，gre隧道化协议)来封装每个经加密的数据分组，以创建多个经封装经加密的分组(例如，n个经封装经加密的分组)。例如，传输网络设备可以利用gre报头来封装经加密的数据分组，以创建经封装经加密的数据分组。
52.附加地或备选地，传输网络设备可以利用外部ip报头(例如，gre外部ip报头)来封装经加密的数据分组，该外部ip报头包括标识网络设备的物理隧道端点的源地址、和/或标识第一接收网络设备的物理隧道端点的目的地地址。例如，传输网络设备可以利用gre外部ip报头来封装第一经加密的数据分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道t
‑
1的物理隧道端点的源地址(例如，172.16.0.1)、和/或标识与第一接收网络设备相关联的隧道r1
‑
1的物理隧道端点的目的地地址(例如，172.20.0.1)；该传输网络设备可以利用gre外部ip报头来封装第二经加密的数据分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道t
‑
2的物理隧道端点的源地址(例如，172.17.0.1)、和/或标识与第一接收网络设备相关联的隧道r1
‑
2的物理隧道端点的目的地地址(例如，172.21.0.1)；和/或该传输网络设备可以利用gre外部ip报头来封装第n经加密的数据分组，该gre外部ip报头包括标识与传输网络设备相关联的隧道1
‑
l的物理隧道端点的源地址(例如，172.18.0.1)、和/或标识与第一接收网络设备相关联的隧道r1
‑
n的物理隧道端点的目的地地址(例如，172.22.0.1)。
53.因此，如图1l所示，传输网络设备可以创建n个经封装经加密的数据分组(示出为
经封装经加密的数据分组1
‑
1至经封装经加密的数据分组1
‑
n)，其中每个经封装经加密的数据分组包括经加密的内部分组(例如，包括ip报头和数据有效负载的数据分组)，其中经加密的内部分组被esp报头封装，esp报头被esp外部ip报头封装，esp外部ip报头被gre报头封装，并且gre报头被gre外部ip报头封装。图1l所示的封装作为可以被使用的封装的示例而被提供。在实践中，这些封装中的一个或多个封装(或所有的封装)和/或一个或多个不同封装可以被使用。
54.如图1m并且由附图标记152所示，传输网络设备可以向第一接收网络设备发送多个经封装经加密的数据分组(例如，经由将第一接收网络设备连接到群组vpn的n个隧道来向第一接收网络设备发送n个经封装经加密的数据分组)。例如，传输网络设备可以经由隧道t
‑
1和隧道r1
‑
1来向第一接收网络设备传输n个经封装经加密的数据分组中的第一经封装经加密的数据分组；经由隧道t
‑
2和隧道r1
‑
2来向第一接收网络设备传输n个经封装经加密的数据分组中的第二经封装经加密的数据分组；以及经由隧道t
‑
l和隧道r1
‑
n来向第一接收网络设备传输n个经封装经加密的数据分组中的第n经封装经加密的数据分组。有可能隧道t
‑
1至隧道t
‑
l各自携带单个经封装经加密的数据分组、多个经封装经加密的数据分组、或者与隧道t
‑
1至t
‑
l中的另一隧道相比不同数量的经封装经加密的数据分组(例如，隧道t
‑
1可以携带与隧道t
‑
2相比不同数量的经封装经加密的数据分组)。
55.如图1n并且由附图标记154所示，在接收到任何其他经封装经加密的数据分组之前，第一接收网络设备可以经由多个隧道中的将第一接收网络设备连接到群组vpn的特定隧道(图1n中示出为接收隧道)来接收经封装经加密的数据分组中的一个经封装经加密的数据分组(下文称为“首先被接收的经封装经加密的数据分组”)。
56.如由附图标记156所示，第一接收网络设备可以解封装首先被接收的经封装经加密的数据分组。例如，第一接收网络设备可以从首先被接收的经封装经加密的数据分组移除gre外部ip报头和/或gre报头。因此，第一接收网络设备可以解封装首先被接收的经封装经加密的数据分组，以暴露和/或标识被包括在首先被接收的经封装经加密的数据分组中的经加密的数据分组。在一些实现中，第一接收网络设备可以处理(例如，解析)(例如，在第一接收网络设备解封装首先被接收的经封装经加密的数据分组之后所暴露的)经加密的数据分组的esp报头，以标识与esp报头相关联的时间戳。在一些实现中，第一接收网络设备可以在不解封装首先被接收的经封装经加密的数据分组的情况下处理首先被接收的经封装经加密的数据分组的esp报头，以标识与esp报头相关联的时间戳。
57.如由附图标记158所示，第一接收网络设备可以使时间戳被存储在数据结构中(例如，被包括在第一接收网络设备中和/或对第一接收网络设备可访问的数据结构)。例如，第一接收网络设备可以向数据结构发送时间戳，以使数据结构在条目中包括时间戳并且使数据结构将该条目存储在数据结构中。时间戳可以被用于确定后续所接收的经封装经加密的数据分组是否是首先被接收的经封装经加密的数据分组的复制。
58.如由附图标记160所示，第一接收网络设备可以解密(例如，使用被包括在vpn密钥集中的解密密钥)经加密的数据分组。例如，第一接收网络设备可以使用由传输网络设备用来加密数据分组的esp协议(例如，如文本中关于图1j和附图标记146所描述的)来解密经加密的数据分组。在一些实现中，第一接收网络设备可以处理经加密的数据分组的esp报头以标识esp协议，并且可以使用该esp协议来解密经加密的数据分组。在一些实现中，当解密经
加密的数据分组时，第一接收网络设备可以从经加密的数据分组移除esp外部ip报头和/或esp报头。因此，接收网络设备可以解密经加密的数据分组，以暴露和/或标识数据分组(例如，经加密的数据分组的内部分组)。
59.在一些实现中，第一接收网络设备可以处理(例如，在接收网络设备解密经加密的数据分组之后所暴露的)数据分组，以标识数据分组的ip报头和/或数据分组的数据有效负载。第一接收网络设备可以解析ip报头，以标识和/或确定ip报头的目的地地址(例如，标识第二lan的，192.168.2.1)。如由附图标记162所示，第一接收网络设备可以向ip报头的目的地地址(例如，向与第二lan相关联的第二主机)发送(例如，路由、传输等)数据分组。
60.附加地或备选地，在接收到首先被接收的经封装经加密的数据分组之后，第一接收网络设备可以经由将多个隧道中的不同的隧道来接收多个经封装经加密的数据分组中的附加的经封装经加密的数据分组。附加的经封装经加密的数据分组可以具有与首先被接收的经封装经加密的数据分组相同或相似的结构。例如，附加的经封装经加密的数据分组可以包括内部分组(例如，包括ip报头和数据有效负载的数据分组)，其中内部分组被esp报头封装，esp报头被esp外部ip报头封装，esp外部ip报头被gre报头封装，并且gre报头被gre外部ip报头封装。
61.在一些实现中，第一接收网络设备可以以与本文中关于附图标记156所描述的方式类似的方式来解封装附加的经封装经加密的数据分组。例如，第一接收网络设备可以从附加的经封装经加密的数据分组移除gre外部ip报头和/或gre报头。因此，第一接收网络设备可以解封装附加的经封装经加密的数据分组，以暴露和/或标识被包括在附加的经封装经加密的数据分组中的经加密的数据分组。第一接收网络设备可以处理(例如，解析)(例如，在接收网络设备解封装附加的经封装经加密的数据分组之后所暴露的)经加密的数据分组的esp报头，以标识与esp报头相关联的时间戳。在一些实现中，第一接收网络设备可以在不解封装附加的经封装经加密的数据分组的情况下处理附加的经封装经加密的数据分组的esp报头，以标识与esp报头相关联的时间戳。
62.在一些实现中，第一接收网络设备可以从数据结构获取与首先被接收的经封装经加密的数据分组的esp报头相关联的时间戳(例如，接收网络设备可以从数据结构取回包括与首先被接收的经封装经加密的数据分组的esp报头相关联的时间戳的条目)。接收网络设备可以将与附加的经封装经加密的数据分组的esp报头相关联的时间戳和与首先被接收的经封装经加密的数据分组的esp报头相关联的时间戳相比较。当时间戳匹配时，接收网络设备可以确定：附加的经封装经加密的数据分组的经加密的数据分组与首先被接收的经封装经加密的数据分组的经加密的数据分组匹配(例如，与其相同、是其副本、是其复制等)、和/或附加的经封装经加密的数据分组的数据分组与首先被接收的经封装经加密的数据分组的数据分组匹配(例如，与其相同、是其副本、是其复制等)。因此，如由附图标记164所示，接收网络设备可以使附加的经封装经加密的数据分组的经加密的数据分组被丢弃。
63.如以上所指示，图1a
‑
图1n作为示例而被提供。其他示例可以与关于图1a
‑
图1n所描述的不同。图1a
‑
图1n所示的设备的数目和布置作为示例而被提供。在实践中，与图1a
‑
图1n所示的设备相比，可以存在附加的设备、更少的设备、不同的设备、或者不同地被布置的设备。此外，图1a
‑
图1n所示的两个或更多个设备可以在单个设备内被实现，或者图1a
‑
图1n所示的单个设备可以被实现为多个分布式的设备。附加地或备选地，图1a
‑
图1n所示的一组
设备(例如，一个或多个设备)可以执行被描述为由图1a
‑
图1n所示的另一组设备执行的一个或多个功能。
64.图2是在其中可以实现本文中所描述的系统和/或方法的示例环境200的示意图。如图2所示，环境200可以包括网络设备210
‑
1至网络设备210
‑
k(k≥2)(下文中统称为“多个网络设备210”，并且单独地称为“网络设备210”)、网络220和vpn密钥服务器230。环境200的设备可以经由有线连接、无线连接、或者有线和无线连接的组合来互连。
65.如本文中所描述，网络设备210包括能够接收、传输、存储、生成和/或处理信息的一个或多个设备。在一些实现中，网络设备210可以包括路由器、交换机、网关、防火墙设备、调制解调器、集线器、桥接器、策略器、网络接口控制器(nic)、反向代理、服务器(例如，代理服务器)、多路复用器、安全性设备、入侵检测设备、负载平衡器、或者类似的设备。在一些实现中，网络设备210可以被实现为在外壳(诸如机架)内所实现的物理设备。在一些实现中，网络设备210可以被实现为由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中，网络设备210可以与传输网络设备和/或接收网络设备对应。在一些实现中，网络设备210可以处理、传输和/或接收分组(例如，数据分组、探测分组等)。在一些实现中，多个网络设备210可以形成vpn(诸如群组vpn)。
66.网络220包括一个或多个有线和/或无线网络。例如，网络可以包括分组交换网络、蜂窝网络(例如，第五代(5g)网络、第四代(4g)网络(诸如长期演进(lte)网络)、第三代(3g)网络、码分多址(cdma)网络、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如，公共交换电话网络(pstn)、私有网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等、和/或这些或其他类型的网络的组合。
67.vpn密钥服务器230包括能够接收、生成、存储、处理、提供和/或路由与向多个网络设备210分发vpn密钥集相关联的信息的一个或多个设备。vpn密钥服务器230可以包括通信设备和/或计算设备。例如，vpn密钥服务器230可以包括服务器、应用服务器、客户端服务器、web服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如，在计算硬件上执行)、云计算系统中的服务器、包括云计算环境中所使用的计算硬件的设备、或者类似类型的设备。vpn密钥服务器230可以与环境200的一个或多个其他设备通信，如本文中其他地方所描述的。
68.图2所示的设备和网络的数目和布置作为一个或多个示例而被提供。在实践中，与图2所示的设备相比，可能存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同地被布置的设备和/或网络。此外，图2所示的两个或更多个设备可以在单个设备内被实现，或者图2所示的单个设备可以被实现为多个分布式的设备。附加地或备选地，环境200的一组设备(例如，一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。
69.图3a
‑
图3b是图2的一个或多个设备的示例组件的示意图。图3a是设备300的示例组件的示意图。设备300可以与多个网络设备210、vpn密钥服务器230等中的一个或多个对应。在一些实现中，一个或多个网络设备210、vpn密钥服务器230等可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3a所示，设备300可以包括总线305、处理器310、存储器315、存储组件320、输入组件325、输出组件330和通信接口335。
70.总线305包括允许设备300的组件间的通信的组件。以硬件、固件、或者硬件和软件
的组合来实现处理器310。处理器310采取中央处理单元(cpu)、图形处理单元(gpu)、加速处理单元(apu)、微处理器、微控制器、数字信号处理器(dsp)、现场可编程门阵列(fpga)、asic或者其他类型的处理组件的形式。在一些实现中，处理器310包括能够被编程以执行功能的一个或多个处理器。存储器315包括随机存取存储器(ram)、只读存储器(rom)、和/或存储信息和/或指令以供处理器310使用的另一类型的动态或静态存储设备(例如，闪速存储器、磁性存储器和/或光学存储器)。
71.存储组件320存储与设备300的操作和使用有关的信息和/或软件。例如，存储组件320可以包括硬盘(例如，磁盘、光盘、磁光盘、和/或固态盘)、压缩盘(cd)、数字多功能磁盘(dvd)、软盘、盒式磁带、磁带、和/或其他类型的非瞬态计算机可读介质，以及对应的驱动器。
72.输入组件325包括允许设备300诸如经由用户输入接收信息的组件(例如，触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地或备选地，输入组件325可以包括用于感测信息的传感器(例如，全球定位系统(gps)组件、加速计、陀螺仪和/或致动器)。输出组件330包括提供来自设备300的输出信息的组件(例如，显示器、扬声器和/或一个或多个发光二极管(led))。
73.通信接口335包括类似收发器的组件(例如，收发器和/或分离的接收器和发射器)，该组件使得设备300能够与其他设备通信，诸如通过有线连接、无线连接、或者有线和无线连接的组合。通信接口335可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如，通信接口335可以包括以太网接口、光学接口、同轴接口、红外接口、无线电射频(rf)接口、通用串行总线(usb)接口、wi
‑
fi接口、蜂窝网络接口等。
74.设备300可以执行本文中所描述的一个或多个过程。设备300可以基于处理器310执行由非瞬态计算机可读介质(诸如存储器315和/或存储组件320)存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间、或者跨多个物理存储设备散布的存储器空间。
75.软件指令可以经由通信接口335从另一计算机可读介质、或者从另一设备被读入存储器315和/或存储组件320中。当执行时，被存储在存储器315和/或存储组件320中的软件指令可以使处理器310执行本文中所描述的一个或多个过程。附加地或备选地，硬接线电路装置可以被用来代替软件指令或者与软件指令结合，以执行本文中所描述的一个或多个过程。因此，本文中所描述的实现不限于硬件电路装置和软件的任何特定组合。
76.提供图3a所示的组件的数目和布置为作为示例。在实践中，与图3a所示的组件相比，设备300可以包括附加的组件、更少的组件、不同的组件或不同地被布置的组件。附加地或替代地，设备300的一组组件(例如，一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。
77.图3b是设备350的示例组件的示意图。设备350可以与多个网络设备210、vpn密钥服务器230等中的一个或多个对应。在一些实现中，一个或网络设备210、vpn密钥服务器230等可以包括一个或多个设备350和/或设备350的一个或多个组件。如图3b所示，设备350可以包括一个或多个输入组件355
‑
1至355
‑
b(b≥1)(下文统称为输入组件355，并且单独地称为输入组件355)、交换组件360、一个或多个输出组件365
‑
1至365
‑
c(c≥1)(下文统称为输出组件365，并且单独地称为输出组件365)和控制器370。
78.输入组件355可以是物理隧道的附接点，并且可以是用于传入业务(诸如分组)的入口点。输入组件355可以诸如通过执行数据隧道层封装或解封装来处理传入业务。在一些实现中，输入组件355可以发送和/或接收分组。在一些实现中，输入组件355可以包括输入线卡，该输入线卡包括一个或多个分组处理组件(例如，呈集成电路的形式)，诸如一个或多个接口卡(ifc)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中，设备350可以包括一个或多个输入组件355。
79.交换组件360可以将输入组件355与输出组件365互连。在一些实现中，可以经由一个或多个交叉开关、经由总线和/或利用共享存储器来实现交换组件360。在来自输入组件355的分组最终被调度以供向输出组件365递送之前，共享存储器可以充当存储该分组的暂时的缓冲区。在一些实现中，交换组件360可以使得输入组件355、输出组件365和/或控制器370能够通信。
80.输出组件365可以存储分组并且可以调度分组以供在输出物理隧道上的传输。输出组件365可以支持数据隧道层封装或解封装、和/或各种更高级别的协议。在一些实现中，输出组件365可以发送分组和/或接收分组。在一些实现中，输出组件365可以包括输出线卡，该输出线卡包括一个或多个分组处理组件(例如，呈集成电路的形式)，诸如一个或多个ifc、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中，设备350可以包括一个或多个输出组件365。在一些实现中，输入组件355和输出组件365可以由相同的一组组件来实现(例如，并且输入/输出组件可以是输入组件355和输出组件365的组合)。
81.控制器370包括例如呈cpu、gpu、apu、微处理器、微控制器、dsp、fpga、asic和/或另一类型的处理器形式的处理器。以硬件、固件、或者硬件和软件的组合来实现处理器。在一些实现中，控制器370可以包括可以被编程以执行功能的一个或多个处理器。
82.在一些实现中，控制器370可以包括存储供控制器370使用的信息和/或指令的ram、rom和/或另一类型的动态或静态存储设备(例如，闪速存储器、磁性存储器、光学存储器等)。
83.在一些实现中，控制器370可以与被连接到设备300的其他设备、网络和/或系统通信以交换关于网络拓扑的信息。控制器370可基于网络拓扑信息来创建路由表，基于路由表来创建转发表，并且向输入组件355和/或输出组件365转发该转发表。输入组件355和/或输出组件365可以使用转发表来针对传入分组和/或传出分组执行路由查找。
84.控制器370可以执行本文中所描述的一个或多个过程。控制器370可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间、或者跨多个物理存储设备散布的存储器空间。
85.软件指令可以经由通信接口335从另一计算机可读介质、或者从另一设备被读入与控制器370相关联的存储器和/或存储组件中。当执行时，被存储在与控制器370相关联的存储器和/或存储组件中的软件指令可以使控制器370执行本文中所描述的一个或多个过程。附加地或备选地，硬接线电路装置可以被用来代替软件指令或者与软件指令结合，以执行本文中所描述的一个或多个过程。因此，本文中所描述的实现不限于硬件电路装置和软件的任何特定组合。
86.提供图3b所示的组件的数目和布置为作为示例。在实践中，与图3b所示的组件相比，设备350可以包括附加的组件、更少的组件、不同的组件或不同地被布置的组件。附加地或替代地，设备350的一组组件(例如，一个或多个组件)可以执行被描述为由设备350的另一组组件执行的一个或多个功能。
87.图4a和图4b是示例过程400的流程图，该示例过程400与经由虚拟私有网络而被传达的重复分组的高效加密和解密相关联。在一些实现中，图4a
‑
图4b的一个或多个过程框可以由网络设备(例如，网络设备210)执行。在一些实现中，图4a
‑
图4b的一个或多个过程框可以由与网络设备分离或者包括网络设备的另一设备或设备的群组(诸如另一网络设备)等执行。
88.如图4a所示，过程400可以包括接收用于与vpn相关联的分组加密的加密密钥，其中加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密(框410)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以接收用于与vpn相关联的分组加密的加密密钥，如以上所描述的。在一些实现中，加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密。
89.如图4a进一步所示，过程400可以包括使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点(框420)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以使用密钥来加密分组以创建经加密的分组，如以上所描述的。在一些实现中，经加密的分组包括外部ip报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点。
90.如图4a进一步所示，过程400可以包括复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合(框430)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合，如以上所描述的。
91.如图4a进一步所示，过程400可以包括将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点(框440)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点，如以上所描述的。
92.如图4a进一步所示，过程400可以包括基于隧道化协议来封装经加密的分组的第
一集合，以创建经封装经加密的分组的第一集合，其中经封装经加密的分组的第一集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第一接收网络设备的物理隧道端点(框450)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于隧道化协议来封装经加密的分组的第一集合，以创建经封装经加密的分组的第一集合封装，如以上所描述的。在一些实现中，经封装经加密的分组的第一集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第一接收网络设备的物理隧道端点。
93.如图4b所示，过程400可以包括基于隧道化协议来封装经加密的分组的第二集合，以创建经封装经加密的分组的第二集合，其中经封装经加密的分组的第二集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第二接收网络设备的物理隧道端点(框460)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于隧道化协议来封装经加密的分组的第二集合，以创建经封装经加密的分组的第二集合，如以上所描述的。在一些实现中，经封装经加密的分组的第二集合中的个体经封装经加密的分组包括附加外部ip报头，该附加外部ip报头包括物理源地址和物理目的地地址，该物理源地址标识网络设备的物理隧道端点，该物理目的地地址标识第二接收网络设备的物理隧道端点。
94.如图4b进一步所示，过程400可以包括经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来向第一接收网络设备发送经封装经加密的分组的第一集合中的个体经封装经加密的分组(框470)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来向第一接收网络设备发送经封装经加密的分组的第一集合中的个体经封装经加密的分组，如以上所描述的。
95.如图4b进一步所示，过程400可以包括经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来向第二接收网络设备发送经封装经加密的分组的第二集合中的个体经封装经加密的分组。(框480)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来向第二接收网络设备发送经封装经加密的分组的第二集合中的个体经封装经加密的分组，如以上所描述的。
96.过程400可以包括附加的实现，诸如以下所描述和/或与本文中其他地方所描述的一个或多个其他过程结合的任何单个实现或者实现的组合。
97.在第一实现中，过程400包括经由第一多个隧道中的隧道来从第一接收网络设备接收分组的经修改版本，并且经由第二多个隧道中的隧道来从第二接收网络设备接收分组
的经修改版本。
98.在第二实现中，单独地或者与第一实现组合，加密分组以创建经加密的分组包括使用esp协议来加密分组以创建经加密的分组，经加密的分组包括外部ip报头和esp报头。
99.在第三实现中，单独地或者与第一实现和第二实现中的一个或多个实现组合，经封装经加密的分组的第一集合和经封装经加密的分组的第二集合根据gre隧道化协议而被封装，并且附加外部ip报头包括gre报头。
100.在第四实现中，单独地或者与第一实现至第三实现中的一个或多个实现组合，在复制经加密的分组以创建多个经加密的分组之前，过程400包括确定第一多个隧道中的隧道的第一数量，以及确定第二多个隧道中的隧道的第二数量，其中多个经加密的分组的数量基于第一多个隧道的第一数量和第二多个隧道的第二数量。
101.在第五实现中，单独地或者与第一实现至第四实现中的一个或多个实现组合，经封装经加密的分组的第一集合的数量与第一多个隧道的数量对应，并且经封装经加密的分组的第二集合的数量与第二多个隧道的数量对应。
102.在第六实现中，单独地或者与第一实现至第五实现中的一个或多个实现组合，分组是包括udp报头和合成的数据有效负载的探测分组。
103.尽管图4a
‑
图4b示出了过程400的示例框，但是在一些实现中，与图4a
‑
图4b所描绘的框相比，过程400可以包括附加的框、更少的框、不同的框、或者不同地被布置的框。附加地或备选地，过程400的两个或更多个框可以并行地被执行。
104.图5是示例过程500的流程图，该示例过程与经由虚拟私有网络而被传达的重复分组的高效加密和解密相关联。在一些实现中，图5的一个或多个过程框可以由网络设备(例如，网络设备210)执行。在一些实现中，图5的一个或多个过程框可以由与网络设备分离或者包括网络设备的另一设备或设备的群组(诸如另一网络设备)等执行。
105.如图5所示，过程500可以包括接收用于分组解密的解密密钥，该分组解密与虚拟私有网络(vpn)相关联，其中解密密钥与加密密钥相关联，该加密密钥由vpn的多个网络设备用于分组加密(框510)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以接收用于分组解密的解密密钥，该分组解密与虚拟私有网络(vpn)相关联，如以上所描述的。在一些实现中，解密密钥与加密密钥相关联，该加密密钥由vpn的多个网络设备用于分组加密。
106.如图5进一步所示，过程500可以包括从传输网络设备经由网络设备与传输网络设备之间的多个隧道中的隧道来接收分组，其中分组包括第一外部互联网协议(ip)报头、通用路由封装(gre)报头、第二外部ip报头、与分组的内部分组的加密相关联的封装安全性有效负载(esp)报头、以及内部分组，其中内部分组被esp报头封装，esp报头被第二外部ip报头封装，第二外部ip报头被gre报头封装，并且gre报头被第一外部ip报头封装(框520)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以从传输网络设备经由网络设备与传输网络设备之间的多个隧道中的隧道来接收分组接收，如以上所描述的。在一些实现中，分组包括第一外部互联网协议(ip)报头、通用路由封装(gre)报头、第二外部ip报头、与分组的内部分组的加密相关联的封装安全性有效负载(esp)报头、以及内部
分组。在一些实现中，内部分组被esp报头封装，esp报头被第二外部ip报头封装，第二外部ip报头被gre报头封装，并且gre报头被第一外部ip报头封装。
107.如图5进一步所示，过程500可以包括解封装分组以从分组移除第一外部ip报头和gre报头，以标识与esp报头相关联的esp时间戳、以及在传输网络设备处的隧道的虚拟隧道端点的虚拟源地址(框530)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以解封装分组解封装分组以从分组移除第一外部ip报头和gre报头以标识上述内容，如以上所描述的。
108.如图5进一步所示，过程500可以包括解密分组以标识内部分组(框540)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以解密分组以标识内部分组，如以上所描述的。
109.如图5进一步所示，过程500可以包括基于esp时间戳来执行与内部分组相关联的动作(框550)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于esp时间戳来执行与内部分组相关联的动作，如以上所描述的。
110.过程500可以包括附加的实现，诸如以下所描述和/或与本文中其他地方所描述的一个或多个其他过程结合的任何单个实现或者实现的组合。
111.在第一实现中，执行动作包括更新内部分组的有效负载以创建响应分组，该响应分组包括探测信息，该探测信息标识与接收分组相关联的接收时间、和与向传输网络设备传输分组相关联的传输时间；以及经由隧道向传输网络设备发送响应分组。
112.在第二实现中，单独地或者与第一实现组合，执行动作包括生成基于内部分组的响应有效负载，并且将响应有效负载与esp时间戳和虚拟源地址相关联地存储在数据结构中，以允许网络设备向从传输网络设备后续所接收的分组提供响应有效负载，该后续所接收的分组包括内部分组。
113.在第三实现中，单独地或者与第一实现和第二实现中的一个或多个实现组合，执行动作包括与虚拟源地址相关联地将esp时间戳存储在数据结构中，以允许网络设备确定后续所接收的分组与传输网络设备相关联。
114.在第四实现中，单独地或者与第一实现至第三实现中的一个或多个实现组合，过程500包括：经由网络设备与传输网络设备之间的多个隧道中的不同的隧道来接收附加分组，其中附加分组包括附加第一外部ip报头、附加gre报头、附加第二外部ip报头、附加esp报头、以及附加内部分组，其中附加内部分组被附加esp报头封装，附加esp报头被附加第二外部ip报头封装，附加第二外部ip报头被附加gre报头封装，并且附加gre报头被附加第一外部ip报头封装；解封装附加分组以从附加分组移除附加第一外部ip报头和附加gre报头；在解封装附加分组之后，标识与附加esp报头相关联的esp时间戳；从数据结构获取与esp报头相关联的esp时间戳；基于与附加esp报头相关联的esp时间戳和与esp报头相关联的esp时间戳，确定附加内部分组是内部分组的副本；并且基于确定附加内部分组是内部分组的副本，使附加分组被丢弃；以及执行与经由不同的隧道对传输设备响应相关联的动作。
115.在第五实现中，单独地或者与第一实现至第四实现中的一个或多个实现组合，过
程执行与经由不同的隧道对传输设备响应相关联的动作包括：获取与esp时间戳相关联地被存储在数据结构中的响应有效负载，该esp时间戳与esp报头相关联，其中响应有效负载与接收分组相关联地被存储；以及生成包括响应有效负载和探测信息的响应分组，该探测信息包括：与接收附加分组相关联的接收时间，以及与经由不同的隧道对传输网络设备响应相关联的传输时间；以及经由不同的隧道来向传输网络设备发送响应分组。
116.在第六实现中，单独地或者与第一实现至第五实现中的一个或多个实现组合，分组是数据分组。
117.尽管图5示出了过程500的示例框，但是在一些实现中，与图5所描绘的框相比，过程500可以包括附加的框、更少的框、不同的框、或者不同地被布置的框。附加地或备选地，过程500的两个或更多个框可以并行地被执行。
118.图6是示例过程600的流程图，该示例过程与经由虚拟私有网络而被传达的重复分组的高效加密和解密相关联。在一些实现中，图6的一个或多个过程框可以由网络设备(例如，网络设备210)执行。在一些实现中，图6的一个或多个过程框可以由与网络设备分离或者包括网络设备的另一设备或设备的群组(诸如另一网络设备等)执行。
119.如图6所示，过程600可以包括接收用于分组加密的加密密钥，该分组加密与虚拟私有(vpn)相关联，其中加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密(框610)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以接收用于分组加密的加密密钥，该分组加密与虚拟私有(vpn)相关联，如以上所描述的。在一些实现中，加密密钥与解密密钥相关联，该解密密钥由vpn的多个网络设备用于分组解密。
120.如图6进一步所示，过程600可以包括使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部互联网协议(ip)报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点(框620)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以使用密钥来加密分组以创建经加密的分组，如以上所描述的。在一些实现中，经加密的分组包括外部互联网协议(ip)报头，该外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点。
121.如图6进一步所示，过程600可以包括复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合(框630)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以复制经加密的分组以创建多个经加密的分组，该多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合，如以上所描述的。
122.如图6进一步所示，过程600可以包括通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，来修改经加密的分组的第二集合，该第二
虚拟目的地地址标识第二接收网络设备的虚拟隧道端点(框640)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，来修改经加密的分组的第二集合，该第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点，如以上所描述的。
123.如图6进一步所示，过程600可以包括基于隧道化协议来封装经加密的分组的第一集合和经加密的分组的第二集合，以创建多个经封装经加密的分组(框650)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于隧道化协议来封装经加密的分组的第一集合和经加密的分组的第二集合，以创建多个经封装经加密的分组，如以上所描述的。
124.如图6进一步所示，过程600可以包括基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送多个经封装经加密的分组中的个体经封装经加密的分组(框660)。例如，网络设备(例如，使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送多个经封装经加密的分组中的个体经封装经加密的分组，如以上所描述的。
125.过程600可以包括附加的实现，诸如以下所描述和/或与本文中其他地方所描述的一个或多个其他过程结合的任何单个实现或者实现的组合。
126.在第一实现中，发送个体经封装经加密的分组包括：基于多个经封装经加密的分组中的经封装经加密的分组的第一集合包括第一虚拟目的地地址，经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来发送经封装经加密的分组的第一集合；以及基于多个经封装经加密的分组中的经封装经加密的分组的第二集合包括第二虚拟目的地地址，经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来发送经封装经加密的分组的第二集合。
127.在第二实现中，单独地或者与第一实现组合，加密分组以创建经加密的分组包括使用esp协议来加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头和esp报头。
128.在第三实现中，单独地或者与第一实现和第二实现中的一个或多个实现组合，加密分组以创建经加密的分组包括使用esp协议来加密分组以创建经加密的分组，其中经加密的分组包括标识加密分组的定时的esp时间戳。
129.在第四实现中，单独地或者与第一实现至第三实现中的一个或多个实现组合，多个经封装经加密的分组根据gre隧道化协议而被封装。
130.在第五实现中，单独地或者与第一实现至第四实现中的一个或多个实现组合，经封装经加密的分组的第一集合的数量与第一多个隧道的数量对应，第一多个隧道被配置在网络设备与第一接收设备之间，并且经封装经加密的分组的第二集合的数量与第二多个隧道的数量对应，第二多个隧道被配置在网络设备与第二接收设备之间。
131.尽管图6示出了过程600的示例框，但是在一些实现中，与图6所描绘的框相比，过
程600可以包括附加的框、更少的框、不同的框、或者不同地被布置的框。附加地或备选地，过程600的两个或更多个框可以并行地被执行。
132.根据一些实现，至少公开了以下示例。
133.示例1.一种方法，包括：由网络设备接收用于分组加密的加密密钥，分组加密与虚拟私有网络vpn相关联，其中加密密钥与解密密钥相关联，解密密钥由vpn的多个网络设备用于分组解密；由网络设备使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部互联网协议ip报头，外部互联网协议ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制经加密的分组以创建多个经加密的分组，多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址，第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装经加密的分组的第一集合，以创建经封装经加密的分组的第一集合，其中经封装经加密的分组的第一集合中的个体经封装经加密的分组包括附加外部ip报头，附加外部ip报头包括物理源地址和物理目的地地址，物理源地址标识网络设备的物理隧道端点，物理目的地地址标识第一接收网络设备的物理隧道端点；基于隧道化协议来封装经加密的分组的第二集合，以创建经封装经加密的分组的第二集合，其中经封装经加密的分组的第二集合中的个体经封装经加密的分组包括附加外部ip报头，附加外部ip报头包括物理源地址和物理目的地地址，物理源地址标识网络设备的物理隧道端点，物理目的地地址标识第二接收网络设备的物理隧道端点；经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来向第一接收网络设备发送经封装经加密的分组的第一集合中的个体经封装经加密的分组；以及经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来向第二接收网络设备发送经封装经加密的分组的第二集合中的个体经封装经加密的分组。
134.示例2.根据示例1的方法，还包括：经由第一多个隧道中的隧道来从第一接收网络设备接收分组的经修改版本；以及经由第二多个隧道中的隧道来从第二接收网络设备接收分组的经修改版本。
135.示例3.根据示例1的方法，其中加密分组以创建经加密的分组包括：使用封装安全性有效负载esp协议来加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头和esp报头。
136.示例4.根据示例1的方法，其中经封装经加密的分组的第一集合和经封装经加密的分组的第二集合根据通用路由封装gre隧道化协议而被封装，其中附加外部ip报头包括gre报头。
137.示例5.根据示例1的方法，其中在复制经加密的分组以创建多个经加密的分组之前，方法包括：确定第一多个隧道中的隧道的第一数量；以及确定第二多个隧道中的隧道的第二数量，其中多个经加密的分组的数量基于第一多个隧道的第一数量和第二多个隧道的第二数量。
138.示例6.根据示例1的方法，其中经封装经加密的分组的第一集合的数量与第一多个隧道的数量对应，并且其中经封装经加密的分组的第二集合的数量与第二多个隧道的数
量对应。
139.示例7.根据示例1的方法，其中分组是探测分组，探测分组包括用户数据报协议udp报头和合成的数据有效负载。
140.示例8.一种网络设备，包括：一个或多个存储器；以及一个或多个处理器，用以：接收用于分组解密的解密密钥，分组解密与虚拟私有网络vpn相关联，其中解密密钥与加密密钥相关联，加密密钥由vpn的多个网络设备用于分组加密；从传输网络设备经由网络设备与传输网络设备之间的多个隧道中的隧道来接收分组，其中分组包括第一外部互联网协议ip报头、通用路由封装gre报头、第二外部ip报头、与分组的内部分组的加密相关联的封装安全性有效负载esp报头、以及内部分组，其中内部分组被esp报头封装，esp报头被第二外部ip报头封装，第二外部ip报头被gre报头封装，并且gre报头被第一外部ip报头封装；解封装分组以从分组移除第一外部ip报头和gre报头，以标识：与esp报头相关联的esp时间戳，以及传输网络设备处的隧道的虚拟隧道端点的虚拟源地址；解密分组以标识内部分组；以及基于esp时间戳来执行与内部分组相关联的动作。
141.示例9.根据示例8的网络设备，其中一个或多个处理器在执行动作时，将用以：更新内部分组的有效负载以创建响应分组，响应分组包括探测信息，探测信息标识与接收分组相关联的接收时间、和与向传输网络设备传输分组相关联的传输时间；以及经由隧道向传输网络设备发送响应分组。
142.示例10.根据示例8的网络设备，其中一个或多个处理器在执行动作时，将用以：生成基于内部分组的响应有效负载；以及将响应有效负载与esp时间戳和虚拟源地址相关联地存储在数据结构中，以允许网络设备向来自传输网络设备的后续所接收的分组提供响应有效负载，后续所接收的分组包括内部分组。
143.示例11.根据示例8的网络设备，其中一个或多个处理器在执行动作时，将用以：将esp时间戳与虚拟源地址相关联地存储在数据结构中，以允许网络设备确定后续所接收的分组与传输网络设备相关联。
144.示例12.根据示例8的网络设备，其中一个或多个处理器还将用以：经由网络设备与传输网络设备之间的多个隧道中的不同的隧道来接收附加分组，其中附加分组包括附加第一外部ip报头、附加gre报头、附加第二外部ip报头、附加esp报头、和附加内部分组，其中附加内部分组被附加esp报头封装，附加esp报头被附加第二外部ip报头封装，附加第二外部ip报头被附加gre报头封装，并且附加gre报头被附加第一外部ip报头封装；解封装附加分组以从附加分组移除附加第一外部ip报头和附加gre报头；在解封装附加分组之后，标识与附加esp报头相关联的esp时间戳；从数据结构获取与esp报头相关联的esp时间戳；基于与附加esp报头相关联的esp时间戳和与esp报头相关联的esp时间戳，确定附加内部分组是内部分组的副本；并且基于确定附加内部分组是内部分组的副本，使附加分组被丢弃；以及执行与经由不同的隧道对传输设备进行响应相关联的动作。
145.示例13.根据示例12的网络设备，其中一个或多个处理器，在执行与经由不同的隧道对传输设备进行响应相关联的动作时，将用以：获取与esp时间戳相关联地被存储在数据结构中的响应有效负载，esp时间戳与esp报头相关联，其中响应有效负载与接收分组相关联地被存储；并且生成包括响应有效负载和探测信息的响应分组，探测信息包括：与接收附加分组相关联的接收时间，以及与经由不同的隧道对传输网络设备进行响应相关联的传输
时间；以及经由不同的隧道来向传输网络设备发送响应分组。
146.示例14.根据示例8的网络设备，其中分组是数据分组。
147.示例15.一种非瞬态计算机可读介质，存储指令，指令包括：一个或多个指令，一个或多个指令在由网络设备的一个或多个处理器执行时，使一个或多个处理器：接收用于分组加密的加密密钥，分组加密与虚拟私有网络vpn相关联，其中加密密钥与解密密钥相关联，解密密钥由vpn的多个网络设备用于分组解密；使用密钥来加密分组以创建经加密的分组，其中经加密的分组包括外部互联网协议ip报头，外部ip报头包括虚拟源地址和第一虚拟目的地地址，虚拟源地址标识网络设备的虚拟隧道端点，第一虚拟目的地地址标识第一接收网络设备的虚拟隧道端点；复制经加密的分组以创建多个经加密的分组，多个经加密的分组包括与第一接收网络设备相关联的经加密的分组的第一集合、和将与第二接收网络设备相关联的经加密的分组的第二集合；通过将多个经加密的分组的第二集合中的第一虚拟目的地地址替换为第二虚拟目的地地址来修改经加密的分组的第二集合，第二虚拟目的地地址标识第二接收网络设备的虚拟隧道端点；基于隧道化协议来封装经加密的分组的第一集合和经加密的分组的第二集合，以创建多个经封装经加密的分组；以及基于第一虚拟目的地地址和第二虚拟目的地地址来向第一接收网络设备或者第二接收网络设备发送多个经封装经加密的分组中的个体经封装经加密的分组。
148.示例16.根据示例15的非瞬态计算机可读介质，其中使一个或多个处理器发送个体经封装经加密的分组的一个或多个指令，使一个或多个处理器：基于多个经封装经加密的分组中的经封装经加密的分组的第一集合包括第一虚拟目的地地址，经由网络设备与第一接收网络设备之间的第一多个隧道中的个体指定隧道来发送经封装经加密的分组的第一集合；以及基于多个经封装经加密的分组中的经封装经加密的分组的第二集合包括第二虚拟目的地地址，经由网络设备与第二接收网络设备之间的第二多个隧道中的个体指定隧道来发送经封装经加密的分组的第二集合。
149.示例17.根据示例15的非瞬态计算机可读介质，其中使一个或多个处理器加密分组以创建经加密的分组的一个或多个指令，使一个或多个处理器：使用封装安全性有效负载esp协议来加密分组以创建经加密的分组，其中经加密的分组包括外部ip报头和esp报头。
150.示例18.根据示例15的非瞬态计算机可读介质，其中使一个或多个处理器加密分组以创建经加密的分组的一个或多个指令，使一个或多个处理器：使用封装安全性有效负载esp协议来加密分组以创建经加密的分组，其中经加密的分组包括标识加密分组的定时的esp时间戳。
151.示例19.根据示例15的非瞬态计算机可读介质，其中多个经封装经加密的分组根据通用路由封装gre隧道化协议而被封装。
152.示例20.根据示例15的非瞬态计算机可读介质，其中经封装经加密的分组的第一集合的数量与第一多个隧道的数量对应，第一多个隧道被配置在网络设备与第一接收设备之间，并且其中经封装经加密的分组的第二集合的数量与第二多个隧道的数量对应，第二多个隧道被配置在网络设备与第二接收设备之间。
153.前述公开提供了说明和描述，但并不旨在是详尽的或者将实现限制为所公开的精确形式。可以鉴于以上公开做出修改和变型，或者可以从实现的实践中获得修改和变型。
154.如本文中所使用的，术语“组件”旨在被宽泛地解释为硬件、固件、或者硬件和软件的组合。
155.如本文所使用的，业务或内容可以包括分组的集合。分组可以指的是用于传达信息的通信结构，诸如协议数据单元(pdu)、服务数据单元(sdu)、网络分组、数据报、段、消息、块、帧(例如，以太网帧)、以上任何的一部分、和/或其他类型的能够经由网络而被传输的数据的格式化或未格式化的单元。
156.如本文所使用的，取决于上下文，满足阈值可以指的是大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值等，取决于上下文。
157.将明显的是，本文中所描述的系统/方法或可以以不同形式的硬件、固件、和/或硬件和软件的组合来实现。被用于实现这些系统和/或方法的实际专用控制硬件或软件代码并不限制实现。因此，本文中在不参考特定软件代码的情况下描述了系统和/或方法的操作和行为——应理解，基于本文中的描述，可以使用软件和硬件来实现系统和/或方法。
158.尽管在权利要求中叙述了特征的特定组合和/或在说明书中公开了特征的特定组合，但是这些组合不旨在限制各种实现的公开。实际上，可以以权利要求书中未具体叙述和/或说明书中未具体公开的方式组合来组合这些特征中的许多特征。尽管所附每个从属权利要求可能仅直接取决于一个权利要求，但是各种实现的公开包括每个从属权利要求与权利要求集中的每个其他权利要求组合。
159.除非明确地这样描述，否则本文中所使用的元件、动作或指令不应被解释为关键或必要的。而且，如本文中所使用的，冠词“一”和“一个”旨在包括一个或多个项，并且可以与“一个或多个”互换使用。此外，如本文中所使用的，冠词“该”旨在包括结合冠词“该”多引用的一个或多个项，并且可以与“一个或多个”互换使用。此外，如本文中所使用的，术语“集合”旨在包括一个或多个项目(例如，相关的项目、不相的关项目、相关和不相关的项目的组合等)，并且可以与“一个或多个”互换使用。在旨在仅一项的情况下，使用短语“仅一项”或者类似的语言。而且，如本文中所使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。此外，短语“基于”旨在意味着“至少部分地基于”，除非另有明确说明。而且，如本文中所使用的，术语“或”在系列中被使用时旨在是包含性的，并且可以与“和/或”互换使用，除非另有明确说明(例如，如果结合“两者中的任一”或“仅其中之一”而被使用)。