[發(fā)明專利]一種實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)鏈路層通信的方法和裝置有效
| 申請?zhí)枺?/td> | 201310390910.0 | 申請日: | 2013-08-30 |
| 公開(公告)號: | CN104426737B | 公開(公告)日: | 2018-01-12 |
| 發(fā)明(設(shè)計(jì))人: | 毛昱 | 申請(專利權(quán))人: | 新華三技術(shù)有限公司 |
| 主分類號: | H04L12/46 | 分類號: | H04L12/46;H04L12/741 |
| 代理公司: | 北京德琦知識產(chǎn)權(quán)代理有限公司11018 | 代理人: | 謝安昆,宋志強(qiáng) |
| 地址: | 310052 浙*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 實(shí)現(xiàn) 動態(tài) 虛擬 專用 網(wǎng)絡(luò) 鏈路層 通信 方法 裝置 | ||
技術(shù)領(lǐng)域
本申請涉及通信技術(shù)領(lǐng)域,特別涉及一種實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)鏈路層通信的方法和裝置。
背景技術(shù)
越來越多的企業(yè)希望利用公共網(wǎng)絡(luò)組建虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN),連接地理位置不同的多個(gè)分支機(jī)構(gòu)。然而,企業(yè)分支機(jī)構(gòu)通常采用動態(tài)地址接入公共網(wǎng)絡(luò),通信一方無法事先知道對端的公網(wǎng)地址,這就為組建VPN提出了一個(gè)難題。
動態(tài)虛擬專用網(wǎng)絡(luò)(Dynamic Virtual Private Network,DVPN)技術(shù)可通過下一跳解析協(xié)議(Next Hop Resolution Protocol,NHRP)或者VPN地址管理(VPN Address Management,VAM)協(xié)議收集、維護(hù)和分發(fā)動態(tài)變化的公網(wǎng)地址等信息,解決了無法事先獲得通信對端公網(wǎng)地址的問題。DVPN可以在企業(yè)網(wǎng)各分支機(jī)構(gòu)使用動態(tài)地址接入公網(wǎng)的情況下,在各分支機(jī)構(gòu)間建立VPN。
DVPN把連接到公網(wǎng)上的各節(jié)點(diǎn)組成的網(wǎng)絡(luò)看作VPN網(wǎng)絡(luò),公網(wǎng)作為VPN網(wǎng)絡(luò)的鏈路層,DVPN隧道作為企業(yè)內(nèi)部子網(wǎng)之間的虛通道,相當(dāng)于網(wǎng)絡(luò)層。企業(yè)各分支設(shè)備動態(tài)接入到公網(wǎng)中,其公網(wǎng)地址對于通信的另一端來說是未知的,而對于建立端到端的安全隧道,公網(wǎng)地址是必須的條件之一。DVPN通過VAM獲取通信對端的公網(wǎng)地址。
VAM協(xié)議是DVPN方案的主要協(xié)議,負(fù)責(zé)收集、維護(hù)、分發(fā)公網(wǎng)地址等信息,幫助用戶快捷、方便的建立起內(nèi)部的安全隧道。企業(yè)內(nèi)部子網(wǎng)之間轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文通過路由協(xié)議得到其私網(wǎng)下一跳,通過VAM協(xié)議查詢到私網(wǎng)下一跳對應(yīng)的公網(wǎng)地址,并利用該公網(wǎng)地址作為隧道的目的地址進(jìn)行封裝,最后交給已建立起的安全隧道發(fā)送到目的端用戶。
參見圖1,圖1為DVPN示意圖。圖1中各VAM客戶端已向VAM服務(wù)器注冊,獲得自身的身份為分支設(shè)備(Spoke)還是中心設(shè)備(Hub)。以PC1需要向PC2發(fā)送報(bào)文為例。Spoke1接收到PC1發(fā)送的報(bào)文時(shí),需要先將報(bào)文封裝為通用路由封裝協(xié)議(Generic Routing Encapsulation,GRE)報(bào)文,再根據(jù)GRE報(bào)文的信息匹配對應(yīng)的IPsec SA,如果匹配到,根據(jù)匹配到的IPsec SA封裝GRE報(bào)文并發(fā)送給Spoke3;否則,觸發(fā)Spoke1與Spoke3進(jìn)行因特網(wǎng)密鑰交換(Internet Key Exchange,IKE)協(xié)商,在IKE協(xié)商時(shí),攜帶該GRE報(bào)文的信息,建立與該GRE報(bào)文的信息相匹配的IPsec SA。
其中,GRE報(bào)文的信息為源IP地址、目的IP地址和協(xié)議號。這里以GRE報(bào)文舉例,如果是用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,UDP)報(bào)文,還包括源端口號和目的端口號。
參見圖2,圖2為現(xiàn)有實(shí)現(xiàn)中Spoke1封裝的IPsec報(bào)文的格式示意圖。由圖2中可見,Spoke1接收到的是一個(gè)源IP地址為192.168.0.1,目的IP地址為192.1.168.0.2的原始IP報(bào)文。Spoke1對該原始IP報(bào)文進(jìn)行GRE封裝,封裝的源IP地址為21.1.1.1,目的IP地址為21.1.1.2,以及GRE頭。Spoke1再將該GRE報(bào)文封裝為一個(gè)IPsec報(bào)文。封裝的IP頭中的源IP地址為21.1.1.1,目的IP地址為21.1.1.2。
Spoke1將IPsec報(bào)文通過與Spoke3建立的隧道發(fā)送給Spoke3,Spoke3解除接收到的報(bào)文的IPsec封裝,再解除GRE封裝,根據(jù)解封裝后的報(bào)文的目的IP地址將報(bào)文轉(zhuǎn)發(fā)給PC2。
DVPN技術(shù)初衷是為了解決IPsec網(wǎng)關(guān)之間的互聯(lián)問題,IPsec標(biāo)準(zhǔn)(RFC4301)中,在VPN網(wǎng)絡(luò)的鏈路層只能進(jìn)行IPsec+GRE,或IPsec+UDP鏈路層封裝,即需要依靠其他網(wǎng)絡(luò)協(xié)議如GRE協(xié)議和UDP協(xié)議才能實(shí)現(xiàn)DVPN鏈路層通信。
發(fā)明內(nèi)容
有鑒于此,本申請?zhí)峁┮环N實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)鏈路層通信的方法和裝置,能夠直接使用IPsec協(xié)議作為DVPN的鏈路層,減小報(bào)文的大小,降低網(wǎng)絡(luò)帶寬消耗。
為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
一種實(shí)現(xiàn)動態(tài)虛擬專用網(wǎng)絡(luò)DVPN鏈路層通信的方法,所述方法包括:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于新華三技術(shù)有限公司,未經(jīng)新華三技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310390910.0/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 互動業(yè)務(wù)終端、實(shí)現(xiàn)系統(tǒng)及實(shí)現(xiàn)方法
- 街景地圖的實(shí)現(xiàn)方法和實(shí)現(xiàn)系統(tǒng)
- 游戲?qū)崿F(xiàn)系統(tǒng)和游戲?qū)崿F(xiàn)方法
- 圖像實(shí)現(xiàn)裝置及其圖像實(shí)現(xiàn)方法
- 增強(qiáng)現(xiàn)實(shí)的實(shí)現(xiàn)方法以及實(shí)現(xiàn)裝置
- 軟件架構(gòu)的實(shí)現(xiàn)方法和實(shí)現(xiàn)平臺
- 數(shù)值預(yù)報(bào)的實(shí)現(xiàn)方法及實(shí)現(xiàn)系統(tǒng)
- 空調(diào)及其冬眠控制模式實(shí)現(xiàn)方法和實(shí)現(xiàn)裝置以及實(shí)現(xiàn)系統(tǒng)
- 空調(diào)及其睡眠控制模式實(shí)現(xiàn)方法和實(shí)現(xiàn)裝置以及實(shí)現(xiàn)系統(tǒng)
- 輸入設(shè)備實(shí)現(xiàn)方法及其實(shí)現(xiàn)裝置
- 動態(tài)矢量譯碼方法和動態(tài)矢量譯碼裝置
- 動態(tài)口令的顯示方法及動態(tài)令牌
- 動態(tài)庫管理方法和裝置
- 動態(tài)令牌的身份認(rèn)證方法及裝置
- 令牌、動態(tài)口令生成方法、動態(tài)口令認(rèn)證方法及系統(tǒng)
- 一種動態(tài)模糊控制系統(tǒng)
- 一種基于動態(tài)信號的POS機(jī)和安全保護(hù)方法
- 圖像動態(tài)展示的方法、裝置、系統(tǒng)及介質(zhì)
- 一種基于POS機(jī)聚合碼功能分離顯示動態(tài)聚合碼的系統(tǒng)
- 基于動態(tài)口令的身份認(rèn)證方法、裝置和動態(tài)令牌
- 確定吸收制品功效
- 一種虛擬機(jī)的安全訪問方法及虛擬機(jī)系統(tǒng)
- 一種虛擬桌面的解鎖方法及裝置
- 一種實(shí)時(shí)處理虛擬交換機(jī)網(wǎng)絡(luò)流量的虛擬化平臺
- 虛擬智能家居實(shí)訓(xùn)系統(tǒng)及其虛擬實(shí)訓(xùn)方法
- 虛擬機(jī)的磁盤資源的管理方法和裝置
- 一種基于KVM的虛擬網(wǎng)卡管理方法
- 虛擬資源數(shù)據(jù)處理方法、裝置、計(jì)算機(jī)設(shè)備和存儲介質(zhì)
- 基于虛擬環(huán)境的道具使用方法、裝置、設(shè)備及介質(zhì)
- 虛擬道具的獲取方法、裝置、設(shè)備及介質(zhì)





