技術領域

本發明涉及網絡通信技術領域，特別涉及一種在透明模式下實現VPN(Virtual?Private?Network，虛擬專用網絡)接入的方法。

背景技術

透明模式的網絡設備優點為，在不改變當前組網的情況下，增加此設備可以對網絡上的報文進行逐包分析，對想要禁止通過的報文可以進行阻隔，以達到防止網絡攻擊和控制上網內容的目的，但很少有使用透明模式的網絡設備做除阻隔報文以外的應用。

VPN屬于遠程訪問技術，簡單地說就是利用公網鏈路架設私有網絡。例如公司員工出差到外地，他想訪問企業內網的服務器資源，這種訪問就屬于遠程訪問。怎么才能讓外地員工訪問到內網資源呢？VPN的解決方法是在內網中架設一臺VPN服務器，VPN服務器有兩塊網卡，一塊連接內網，一塊連接公網。外地員工在當地連上互聯網后，通過互聯網找到VPN服務器，然后利用VPN服務器作為跳板進入企業內網。為了保證數據安全，VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密，就可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就如同專門架設了一個專用網絡一樣。但實際上VPN使用的是互聯網上的公用鏈路，因此只能稱為虛擬專用網。即：VPN實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯網就能利用VPN非常方便地訪問內網資源，這就是為什么VPN在企業中應用得如此廣泛。

以EZVPN(IPsec?VPN的一種，一套比較完整成體系的VPN技術)為例，通過現有技術在公網上實現VPN接入時，往往需要大量地改變組網環境和網絡配置。目前尚沒有一種利用透明模式的網絡設備，在保證當前網絡環境和網絡配置基本不變的情況下，實現VPN接入的方法。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：如何提供一種在透明模式下實現VPN接入的方法，以在保證當前網絡環境和網絡配置基本不變的情況下實現VPN接入。

(二)技術方案

為解決上述技術問題，本發明提供一種在透明模式下實現VPN接入的方法，其包括步驟：

A：在網關和內網交換機之間設置帶有EZVPN服務器功能和透明模式功能的防火墻；

B：對所述防火墻進行透明模式配置、EZVPN服務器配置和路由配置；

C：對所述網關以及客戶端進行配置；

D：所述客戶端通過EZVPN隧道訪問內網服務器。

優選地，所述步驟B具體包括步驟：

B1：對所述防火墻進行透明模式配置具體包括：指定透明端口，配置透明模式的虛端口的IP地址；

B2：對所述防火墻進行EZVPN服務器配置具體包括：為所述客戶端分配內網IP地址，為所述客戶端分配需要通過所述EZVPN隧道訪問內網的客戶端內網IP地址段，在所述虛端口上使能EZVPN服務器功能；

B3：對所述防火墻進行路由配置具體包括：配置所有IP地址的默認路由到所述網關的地址。

優選地，所述步驟C具體包括步驟：

C1：對所述網關進行配置具體包括：配置外部靜態NAT，使所述虛端口的IP地址映射到外網地址；配置所述網關的路由，使通過所述EZVPN隧道訪問外網的客戶端內網IP地址經過所述防火墻；

C2：對所述客戶端進行配置具體包括：在所述客戶端上配置EZVPN服務器地址為所述外網地址。

優選地，所述步驟D具體包括步驟：

D1：所述客戶端通過撥號連接EZVPN服務器，所述客戶端與所述EZVPN服務器之間建立所述EZVPN隧道，通過所述EZVPN隧道向所述網關發出報文，所述報文的外層目的地址為所述外網地址；

D2：所述網關收到所述報文后，對所述報文進行靜態網絡地址轉換，將所述報文的外層目的地址轉換為所述虛端口的IP地址，然后將所述報文從所述網關的內網端口發送出去；

D3：所述防火墻收到所述報文后，對所述報文進行解密，得到所述報文的內層目的地址，然后將所述報文通過所述防火墻上配置的靜態路由轉發給所述網關；

D4：所述網關收到所述報文后，根據所述報文的內層目的地址將所述報文發送給所述防火墻；

D5：所述防火墻根據所述報文的內層目的地址，將所述報文通過透明端口轉發給內網設備；

D6：所述內網設備接收并處理所述報文，然后將回應報文發送給所述網關；

D7：所述網關根據默認路由將所述回應報文轉發給所述防火墻；