本發明提供一種IPSec VPN系統控制方法，各分支節點發送Tunnel IP地址給中心節點；中心節點建立各分支節點公網IP地址與Tunnel IP地址對應關系表；各分支節點配置與其他分支節點間的隧道路由表；當第一分支節點內網資源訪問第二分支節點內網資源時，第一分支節點查詢內部隧道路由表，從第二分支節點隧道轉發，若該隧道沒有建立，則發送攜帶第二分支節點Tunnel IP地址的消息給中心節點，請求第二分支節點公網IP地址；中心節點獲取該Tunnel IP地址后，查詢該Tunnel IP地址對應的公網IP地址，并發送給第一分支節點；第一分支節點與該第二分支節點建立隧道。本發明解決了分支節點間在不知道對端公網IP的情況下，建立安全可靠的互訪通道。

技術領域

本發明涉及VPN技術領域，尤其涉及一種IPSec VPN系統控制方法。

背景技術

越來越多的企業在公共網絡中組建自己的VPN系統，在地理位置不同的多個分支機構之間建立VPN連接。然而，許多企業分支機構使用動態IP地址接入公共網絡，各個分支機構之間在不知道其他分支機構的動態IP地址的情況下，無法實現互相訪問。

針對上述問題，一種基于web注冊的管理系統產生，該系統通過建立一個公共的web管理中心，所有的分支首先向這個web管理中心注冊自己的公網IP地址，當某一分支訪問另一分支時，先從該web管理中心獲取被訪問分支的公網IP地址，從而實現各分支節點的互訪。

這種基于web管理中心的方法比較復雜，并且信息在公共網絡傳輸過程中未加密，缺少安全保護。

發明內容

有鑒于此，本發明提供一種IPSec VPN系統控制方法，該方法應用于VPN系統，該系統包括中心節點、第一分支節點以及第二分支節點，該方法包括以下步驟：

步驟A，在各分支節點分別與中心節點建立隧道連接過程中，發送各分支節點的Tunnel IP地址給中心節點；

步驟B，中心節點接收到各分支節點的Tunnel IP地址后，在地址映射表中建立各分支節點的公網IP地址與Tunnel IP地址對應關系；

步驟C，在各分支節點上分別配置當前分支節點與其他分支節點間的隧道路由表；

步驟D，當第一分支節點的內網資源訪問第二分支節點的內網資源時，第一分支節點查詢其內部配置的隧道路由表，從已配置的第一分支節點與第二分支節點間的隧道轉發，若所述分支節點間的隧道沒有建立，則通過已建立的第一分支節點與中心節點的隧道，發送攜帶第二分支節點Tunnel IP地址的消息給中心節點，向中心節點請求第二分支節點的公網IP地址；

步驟E，中心節點接收到該請求后，獲取第二分支節點Tunnel IP地址，查詢所述地址映射表中該Tunnel IP地址對應的公網IP地址，并將該第二分支節點的公網IP地址發送給第一分支節點；

步驟F，第一分支節點接收到第二分支節點的公網IP地址后，與該第二分支節點建立IPSec隧道，進而訪問第二分支節點的內網資源。

本發明解決了分支節點間在不知道對端公網IP的情況下，建立安全可靠的互訪通道。

附圖說明

圖1是本發明一種實施方式中IPSec VPN系統結構示意圖。

圖2是本發明一種實施方式中IPSec VPN系統控制方法流程圖。

具體實施方式

以下結合附圖對本發明進行詳細描述。

在一種較佳的實施方式中，本發明通過建立IPSec VPN系統，實現各分支間的安全互訪。如圖1所示，該IPSec VPN系統包括中心節點、第一分支節點以及第二分支節點。請參考圖2，該系統的控制方法包括以下步驟：