本發明提供了一種基于國密算法的VxLAN安全網關，包括VxLAN模塊及IPSec模塊，VxLAN模塊與內網連接，IPsec模塊與外部互聯網連接；所述VxLAN模塊，將內網的二層網絡通信數據幀封裝成vxlan報文或將IPSec模塊解密得到的vxlan報文進行解封裝并將解封裝后的二層網絡數據幀轉發至內網；所述IPSec模塊包括加/解密模塊、密鑰協商模塊；所述密鑰協商模塊進行密鑰協商并建立兩個VxLAN安全網關之間的通信隧道，所述加密模塊基于國密算法實現對VxLAN數據報文的加/解密。本發明的安全網關具有專線連接的安全、保密、專用和高性能等特點，同時能夠實現了跨三層網絡的二層網絡安全組網，并在其組網基礎之上為用戶業務通信提供安全保障，提高了網絡通信的安全性同時具備組播報文和廣播報文轉發功能。

技術領域

本發明涉及通信領域，特別涉及一種基于國密算法的VxLAN安全網關及二層安全網絡組建方法。

背景技術

目前，各企業機構都在構建自己的專用網來提高自身的工作效率和競爭力。但隨著工作范圍、業務網絡的不斷擴大，其網絡規模也在迅速擴充。如果按照傳統的方式來構建自己的專用網，將會產生非常高昂的費用。因此，各企業機構通常采用通過公共網絡進行與內部網絡進行互連的方式來傳輸企業的內部信息。

公共網絡是對整個社會開放的公共基礎網絡，具有覆蓋面廣、速度快、費用低和使用方便等特點，但同時也存在安全性差的問題。用戶通過公共網絡傳輸的信息在傳輸過程中隨時可能被偷看、修改和偽造，使得信息的安全性和可靠性降低。如2010年伊朗核工業設施遭受“震網”病毒攻擊件事就是通過偽造信息導致離心機加速運轉從而導致設備損壞，因此通過公共信息網絡與企業內部網絡互連能夠大幅度的降低成本，但也帶了重大的安全隱患。解決這一矛盾的方法之一就是采用VPN技術。

VPN具有專線連接的安全、保密、專用和高性能等特點，通過對數據包的頭部信息和有效的封裝加密來保證數據的安全性。因此，我公司嚴格遵循GM/T 0022-2014《IPSecVPN技術規范》研制了IPSec VPN安全網關，為用戶提供安全網絡傳輸服務。

在目前的網絡環境中，各企業機構在存在分部的情況下通常通過組建三層網絡拓撲來提高自身的工作效率和競爭力。因此，各企業機構通常采用通過公共網絡或專用網絡與內部網絡進行互連的方式來傳輸企業的內部信息。但是，在公共網絡的使用或專用網絡搭建都是對整個社會開放的，具有覆蓋面廣、速度快、費用低和使用方便等特點。同時也存在安全性差和組播通信復雜的問題。

在安全性上面用戶無論是通過公共網絡還是專用網絡傳輸的信息在傳輸過程中隨時可能被偷看、修改和偽造，使得信息的安全性和可靠性降低。

在組播通信時，需要二層組網模型才能正常工作，但是現有的絕大多數企業機構組網模型都屬于路由三層組網模型，無法轉發組播報文或者廣播報文。

發明內容

針對上述存在的問題，提供了一種基于國密算法的VxLAN安全網關及大二層安全網絡組建方法，提高了網絡通信的安全性同時具備組播報文和廣播報文轉發功能。

本發明采用的技術方案如下：基于國密算法的VxLAN安全網關，包括VxLAN模塊及IPSec模塊，VxLAN模塊與內網連接，IPSec模塊與外部互聯網連接；

所述VxLAN模塊，用于將內網的二層網絡通信數據幀封裝成vxlan報文或將IPSec模塊解密得到的vxlan報文進行解封裝并將解封裝后的二層網絡數據幀轉發至內網；

所述IPsec模塊包括加解密模塊、密鑰協商模塊；所述密鑰協商模塊基于ISAKMP協議進行密鑰協商并根據策略建立兩個VxLAN安全網關之間的通信隧道，所述加密模塊基于國密算法實現對VxLAN數據包的加/解密。

進一步的，所述密鑰協商模塊具體工作包括隧道建立、安全報文封裝、報文發送。

進一步的，所述國密算法為SM1、SM2、SM3、SM4。