技術領域

本發明涉及通信技術領域，尤其涉及一種VPN的連接方法。

背景技術

信息技術的發展和 Internet 的廣泛使用，在給人們生活和工作帶來極大方便的同時，卻也使人們一直十分擔心在基于開放協議平臺TCP/IP 的 Internet 上通信數據的安全和計算機系統運行的安全。目前已經有多種安全通信技術應用于互聯網中的數據傳輸，其中在網絡層實現的因特網協議安全（IPSec）通信協議由于對應用層完全透明，因此非常適合在現有的 TCP/IP 網絡中，通過增加 IPSec 安全模塊，而不需修改應用系統、軟件的設置，為各類網絡應用構建一個通用的安全網絡通信環境。

隨著網絡，尤其是網絡經濟的發展，企業日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業的效益日益增長，另一方面也越來越凸顯傳統企業網的功能缺陷：傳統企業網基于固定物理地點的專線連接方式已難以適應現代企業的需求于是企業對于自身的網絡建設提出了更高的需求，主要表現在網絡的靈活性、安全性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。

VPN(Virtual Private Network)是指通過綜合利用網絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，在公共網絡中建立起安全的“專用”網絡，保證數據在“加密通道”中進行安全傳輸的技術。通過隧道(TUNNEL)或虛電路(VIRTUAL CIRCUIT)實現網絡互聯，支持用戶安全管理，能夠進行網絡監控、故障診斷，具有省錢、選擇靈活、速度快、安全性好、實現投資的保護等優點。

IPSec通過共享密鑰在通訊的兩端實現數據加密，即任意兩端之間都要共享不同的密鑰，所以IPSec隧道實際上是點到點的加密隧道，IPSec網絡就是點 到點加密隧道的集合，IPSec隧道不支持對組播包進行加密。目前，為解決這一問題，通常采用通用GRE隧道與IPSec加密相結合的方法，也即GRE Over IPSec。GRE是一種在任意一種網絡層協議上封裝任意一個其它網絡層協議的 協議，將有效載荷封裝在一個GRE報文中，然后將此GRE包封裝在其它協議 中進行轉發。GRE隧道支持運載組播數據到對端，而GRE隧道的數據報文是 單播的，因此GRE隧道的報文可被IPSec加密。在GRE Over IPSec中，GRE 協議用于建立隧道，IPSec協議完成VPN網絡的加密。如圖1所示，現有技術 在實現組播在IPSec VPN傳輸時，都需要先進行一次GRE封裝，再將整個GRE 報文封裝到IPSec VPN中進行加密傳輸，這樣能夠保證組播報文在兩個節點間 正常傳輸。

顯然，上述處理方案中，組播數據流需要經過GER和IPSec兩次封裝與 解封裝后才能得到最終處理，這對于傳輸時延比較敏感的業務，如語音業務影響很大，對視頻業務也會產生較大延時。并且，該方案要求中心節點和分支節點同時支持IPSec和GRE兩套VPN技術，這增加了該方案的運營和維護成本。

發明內容

本發明提供了一種基于IPSec的VPN連接方法，其特征在于，包括以下步驟：

步驟202、構建網絡結構，具體包括：

步驟2021、將可能需要進行相互連接的各個節點進行分類，根據具體需求將所述節點分為一個重點節點和若干個一般節點；

步驟2022、確定重點節點和一般節點的隸屬關系，重點節點下屬若干個一般節點；

步驟2023、在重點節點上配置節點關系路由表，表中至少包括重點節點的ID、IP地址和MAC地址、重點節點下屬一般節點的ID、IP地址和MAC地址；

步驟2024、在所有一般節點上配置節點關系路由表，表中至少包括一般節點自身的ID、IP地址和MAC地址、其所屬的重點節點的ID、IP地址和MAC地址；

步驟204、發起連接，具體包括：

步驟2041、第一一般節點發起多方會話連接，向其所屬的重點節點發送連接請求消息，其中至少包括所述第一一般節點自身的ID、IP地址和MAC地址，以及要連接的所有其他節點的ID、IP地址和MAC地址信息；

步驟2042、重點節點接收到所述連接請求消息，獲取消息中的所有待連接節點中一般節點的ID、IP地址、MAC地址信息后，向這些節點發起IPSec VPN連接；