技術領域

本發明涉及虛擬私有網絡VPN領域，尤其涉及一種基于VPN網絡進行路由限制的方法及其裝置。?

背景技術

VPN（Virtual?Private?Network，虛擬私有網絡）是利用Internet網絡（公網）搭建企業內部的私有網絡。計算機可以通過遠程辦公地點接入到VPN網關上，在VPN網關上實現身份認證，并通過VPN網關訪問企業內部網絡，進而實現遠程或異地辦公。計算機上通常安裝有負責和VPN網關通信，實現VPN接入的VPN接入軟件。目前VPN應用非常廣泛，相關技術也比較成熟，比如MPLS?VPN、IPSec?VPN、L2VPN、SSL?VPN等。所有VPN接入技術都會在遠程計算機上模擬一塊虛擬網卡，該虛擬網卡用于收發計算機與企業內部網絡交互的VPN報文。計算機在遠程辦公地點接入VPN網絡后，VPN網關會進一步給計算機分配VPN?IP地址，所述VPN?IP地址通常配置在虛擬網卡上。?

發明內容

有鑒于此，本發明提供一種基于VPN網絡進行路由限制的方法及其裝置，其可以更好地解決VPN網絡的遠程接入辦公的安全性問題。?

本發明提供一種基于VPN網絡進行路由限制的方法，應用于通過互聯網訪問虛擬私有網絡VPN的計算機，所述方法包括：?

計算機通過遠程辦公地點接入所述VPN時，增加到VPN網關的第一路?由以及第二缺省路由，并設置所述第二缺省路由的網關地址為所述VPN網關給計算機分配的VPN?IP或者與VPN?IP同網段的IP；?

輪詢當前的所有路由，令其它缺省路由的優先級低于第二缺省路由的優先級。?

進一步地，本發明所述方法還包括：?

斷開所述計算機的VPN接入時，刪除所述第一路由以及第二缺省路由。?

進一步地，本發明在斷開計算機的VPN接入時，進一步刪除到企業內部網絡的路由。?

進一步地，本發明在所述輪詢期間還包括：刪除所述計算機非接入階段增加的其它普通路由。?

進一步地，本發明所述輪詢為以預設周期進行的輪詢。?

本發明還提供一種基于VPN網絡進行路由限制的裝置，應用于通過互聯網訪問虛擬私有網絡VPN的計算機，其特征在于，所述裝置包括：?

接入模塊，用于在計算機通過遠程辦公地點接入所述VPN時，增加到VPN網關的第一路由以及第二缺省路由，設置所述第二缺省路由的網關地址為所述VPN網關給計算機分配的VPN?IP或者與VPN?IP同網段的IP；?

輪詢模塊，用于輪詢當前的所有路由，令其它缺省路由的優先級低于第二缺省路由的優先級。?

進一步地，本發明所述裝置還包括：?

斷開模塊，用于斷開所述VPN接入，刪除所述第一路由以及第二缺省路由。?

進一步地，本發明所述斷開模塊還用于刪除到企業內部網絡的路由。?

進一步地，本發明所述輪詢模塊還用于刪除所述計算機在非接入階段增加的其它普通路由。?

進一步地，本發明所述輪詢為以預設周期進行的輪詢。?

本發明在計算機接入VPN網絡時，增加到VPN網關的第一路由和第二缺省路由，且第二缺省路由的網關為VPN?IP或者與VPN?IP同網段的IP。并?且，本發明令計算機上的其它缺省路由的優先級低于第二缺省路由的優先級。因此，保證在計算機接入到VPN網絡期間，計算機上所安裝的VPN接入軟件令計算機所有流出報文經第二缺省路由的網關發送給VPN網關。這樣，計算機的報文只能到達VPN網絡，保證計算機不會訪問外部網絡。?

附圖說明

圖1是現有VPN網絡示意圖；?

圖2是本發明基于VPN網絡進行路由限制的方法的流程圖；?

圖3是本發明基于VPN網絡進行路由限制的裝置結構圖；?

圖4——圖7是本發明一個實施例的路由表示意圖；?

圖8——圖11是本發明另一個實施例的路由表示意圖。?

具體實施方式