一种利用IPSec将网络路由扩展到远程网络的方法及装置制造方法及图纸

本发明专利技术是一种利用ＩＰＳｅｃ将网络路由扩展到远程网络的方法及装置，通过扩展安全网关的路由表，在网络系统中增加了隧道虚拟网络接口，接口支持隧道索引（ＩＤ）选项和隧道状态选项。根据路由选择的隧道虚拟网络接口得到隧道索引（ＩＤ），根据隧道索引（ＩＤ）得到安全联盟。进行加密封装处理。本发明专利技术解决了局域网路由单独管理的问题，使各个分支机构能够通过路由互联互通。同时可以运行统一管理的动态路由管理协议，这样就达到将各个独立的分支机构局域网统一进行路由管理的目的。

【技术实现步骤摘要】

【技术保护点】
一种利用ＩＰＳｅｃ将网络路由扩展到远程网络的方法，其特征在于：该方法的步骤分为配置和数据包处理两个过程，其中：配置过程的步骤是：（１）在ＩＰＳＥＣ虚拟专用网络（ＶＰＮ）隧道的配置中增加隧道的索引（ＩＤ）；（２）在网络 系统中创建一种隧道类型的虚拟网络接口，并在虚拟网络接口的属性中增加隧道索引（ＩＤ）选项和隧道状态选项，隧道状态选项表示此隧道相关的安全联盟是否已经存在，并将虚拟网络接口的隧道状态选项设置为“准备”；（３）在网络系统的路由表中添加一个 路由表项，路由表项的目的地址是远程网络，路由表项的接口是隧道虚拟网络接口；数据包处理过程的步骤是：（４）网络访问数据包到达安全网关时，使用路由表进行查找，如果路由查找结果是隧道虚拟网络接口，隧道虚拟网络接口对数据包不作ＩＰＳ ｅｃ的策略检查，而是检查隧道虚拟网络接口的隧道状态选项，以下的处理方式分为两种：［４－１］如果隧道虚拟网络接口的隧道状态选项处于“准备”状态，向密钥交换进程发送安全联盟请求消息，该消息中应包含隧道虚拟网络接口的隧道索引（ＩＤ）选项； ［４－２］如果隧道虚拟网络接口的隧道状态是“就绪”，根据隧道虚拟网络接口的隧道索引（ＩＤ）选项，在安全联盟数据库中查找安全联盟，此时处理方式也分为以下两种：［４－２－１］如果安全联盟不存在，将虚接口的状态设置为“准备”，并向 密钥交换进程发送安全联盟请求消息；［４－２－２］如果安全联盟存在，就对网络数据进行加密，然后将加密包发送到远程安全网关，由此建立一条链路可以路由到达远程网络；（５）接上［４－２－２］步骤，远程安全网关收到加密包时，根据加密包 的安全参数索引查找到安全联盟进行解密，根据解密使用的安全联盟得到隧道索引（ＩＤ），然后根据隧道索引（ＩＤ）找到隧道虚拟网络接口，网络系统将解密后的数据包重新注入协议栈，注入的接口使用这个隧道虚拟网络接口，网络系统根据目的地址对此数据包进行路由，使用连接内部网络的物理网口将网络数据包发送到内部网络，完成数据包传输过程；（６）接上［４－２－１］步骤，密钥交换进程收到安全联盟请求后，开始发起ＩＫＥ协商，因为隧道虚拟网络接口是通向远程网络的接口，所以进行策略协商时，采用任意地 址到任意地址的策略进行协商，通过本地与远程ＩＫＥ密钥交换，协商出一致的安全联盟，向网络系统加载安全联盟，网络系统分配安全联盟存...

【技术特征摘要】

【专利技术属性】
技术研发人员：刘建锋，王刚，谌颐，任献永，肖为剑，宋斌，
申请(专利权)人：网御神州科技北京有限公司，
类型：发明
国别省市：11[中国|北京]