本發明屬于網絡安全技術領域，涉及一種多協議VPN網關融合系統及方法。多協議VPN網關融合系統，包括融合服務器、第一VPN設備和第二VPN設備；第一VPN設備和第二VPN設備用于收/發VPN密文數據包，所述融合服務器用于對第一VPN設備和第二VPN設備之間傳輸的VPN密文數據包進行VPN協議轉換和/或轉發；融合服務器包括一個以上的Docker容器、一個外VPN協議網關、物理網卡、系統內核、第一虛擬網卡和第二虛擬網卡；每個所述Docker容器內均對應布署有一個內VPN協議網關，所述外VPN協議網關布署在Docker容器外。本發明通過Docker容器將兩種及以上VPN協議網關快速融合，不僅節省硬件資源，而且方便快捷，可以快速滿足各種VPN協議串聯通信需求。

技術領域

本發明屬于網絡安全技術領域，涉及一種多協議VPN網關融合系統及方法。

背景技術

VPN即虛擬專用網絡，可以在公用網絡上建立專用網絡，進行加密通信，在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。

現有的支持多VPN協議的網關中，各VPN協議之間相互隔離，做不到單條業務的多VPN協議串聯加密，且大多只能同時勾選一種VPN接入方式。要滿足對單條業務進行多種VPN協議串聯加密的需求，傳統的實現方法是部署多臺VPN設備，組網復雜且造成資源浪費。

因此，如何使用單臺VPN設備實現單條業務的多VPN協議串聯加密，成為亟待解決的問題。

發明內容

本發明的目的在于提供針對單臺VPN設備實現單條業務的多VPN協議串聯加密的需求，提供一種多協議VPN網關融合方法及系統。

為實現上述目的，本發明采用以下技術方案：

本發明提供一種多協議VPN網關融合系統，包括融合服務器、第一VPN設備和第二VPN設備；

所述第一VPN設備和第二VPN設備分別與所述融合服務器通信連接；第一VPN設備和第二VPN設備用于收/發VPN密文數據包，所述融合服務器用于對第一VPN設備和第二VPN設備之間傳輸的VPN密文數據包進行VPN協議轉換和/或轉發；

融合服務器包括一個以上的Docker容器、一個外VPN協議網關、物理網卡、系統內核、第一虛擬網卡和第二虛擬網卡；每個所述Docker容器內均對應布署有一個內VPN協議網關，所述外VPN協議網關布署在Docker容器外；

每個所述內VPN協議網關采用內核協議棧，每個內VPN協議網關均通過第一虛擬網卡與Docker容器外的服務進行數據交互，每個內VPN協議網關根據其采用的VPN協議對數據包進行加密或解密；

所述外VPN協議網關采用用戶態網卡驅動，外VPN協議網關通過第一虛擬網卡、第二虛擬網卡與系統內核進行數據交互，外VPN協議網關根據其采用的VPN協議對數據包進行加密或解密。

優選地，每個所述內VPN協議網關采用的VPN協議互不相同，外VPN協議網關與任一個內VPN協議網關采用的VPN協議互不相同。

優選地，每個所述內VPN協議網關和外VPN協議網關采用的VPN協議均選自IPSec、TLS、PPTP、L2TP或DTLS協議。

優選地，所述外VPN協議網關采用數據平面開發工具集DPDK從物理網卡讀寫數據，并利用tun/tap技術建立所述第二虛擬網卡。

優選地，所述外VPN協議網關通過原始套接字從第一虛擬網卡收發數據報文。

本發明還提供基于上述所述的一種多協議VPN網關融合系統的多協議VPN網關融合方法，包括以下步驟：

S101：第一VPN設備發送VPN密文數據包；

S102：VPN密文數據包到達融合服務器的物理網卡；