本发明专利技术公开了一种高可靠的云网络虚拟专用网络通信方法和装置,该方法包括:基于VPN客户端向第一VPN网关发送预设格式的IP包,并根据预设的配置信息进行VPN客户端和第一VPN网关的第一身份认证,建立VPN客户端与第一VPN网关之间的第一传输,当VPN客户端从第一VPN网关切换到第二VPN网关建立第二传输时,基于第一传输发送的认证请求包进行VPN客户端和第二VPN网关的第二身份认证;基于第一传输、第二传输,通过VPN客户端向传输关联的VPN网关发送探测请求包,以完成VPN客户端和传输关联的VPN网关之间的探测。本发明专利技术可以构建VPN客户端和VPN网关之间数据传输的隧道,构建传输隧道的IP包与互联网中广泛使用的TCP包结构相似,有助于VPN客户端和VPN网关之间数据传输可靠性的提升。升。升。
【技术实现步骤摘要】
一种高可靠的云网络虚拟专用网络通信方法和装置
[0001]本专利技术涉及网络通信传输
,尤其涉及一种高可靠的云网络虚拟专用网络通信方法和装置。
技术介绍
[0002]云网络VPN是建立在公共网络(如互联网)上的层叠网络,它是一个假想的网络,而非真正的专用的网络,但VPN保留了专用网络的安全性。在互联网上构建VPN常见的方式是在VPN客户端和VPN网关之间建立一条通过互联网的隧道。VPN客户端和VPN网关保障了经过该隧道通信的数据的完整性和机密性。现有的方式是使用IPSec协议来构建VPN客户端和VPN网关之间的隧道。通过这种方法生成的IPSec包在互联网上传输的过程中可能会被网络中的设备丢弃,现有技术往往使用IPSec协议构建IPSec包来传输VPN客户端和VPN网关之间的数据。
[0003]IPSec包容易被互联网中的设备识别为异常包而丢弃,基于IPSec包构建的隧道也因此在互联网中比较脆弱,因此如何能够避免互联网中的设备丢弃VPN客户端和VPN网关之间隧道上传输的包,亟待解决。
技术实现思路
[0004]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0005]为此,本专利技术的目的在于提出一种高可靠的云网络虚拟专用网络通信方法,可以应用于VPN通信场景,可以用来构建VPN客户端和VPN网关之间数据传输的隧道,有助于VPN客户端和VPN网关之间数据传输可靠性的提升。
[0006]本专利技术的另一个目的在于提出一种高可靠的云网络虚拟专用网络通信装置。r/>[0007]为达上述目的,本专利技术一方面提出了一种高可靠的云网络虚拟专用网络通信方法,包括:
[0008]基于VPN客户端向第一VPN网关发送预设格式的IP包,并根据预设的配置信息进行所述VPN客户端和所述第一VPN网关的第一身份认证,建立所述VPN客户端与所述第一VPN网关之间的第一传输,其中,所述预设格式的IP包为VPN头中包类型为上线的IP包;
[0009]当所述VPN客户端从所述第一VPN网关切换到第二VPN网关建立第二传输时,基于所述第一传输发送的认证请求包进行所述VPN客户端和所述第二VPN网关的第二身份认证;
[0010]基于所述第一传输、第二传输,通过所述VPN客户端向传输关联的VPN网关发送探测请求包,以完成所述VPN客户端和所述传输关联的VPN网关之间的探测。
[0011]另外,根据本专利技术上述实施例的高可靠的云网络虚拟专用网络通信方法还可以具有以下附加的技术特征:
[0012]进一步地,在本专利技术的一个实施例中,所述方法,还包括:根据所述预设格式的IP包中的数据确定对应的所述VPN头的包类型;其中,所述VPN头的包类型包括下述中的至少一种:所述上线的IP包、所述认证请求包、认证回复包、认证完成包、所述探测请求包探测回
复包、ESP包、WireGuard包和RAW包。
[0013]进一步地,在本专利技术的一个实施例中,所述方法还包括:当所述VPN客户端的IP地址和端口号发生变化时,通过所述第一VPN网关向所述VPN客户端发送TCP连接异常终止包RST,并根据所述配置信息重新进行所述VPN客户端和所述第一VPN网关的第一身份认证。
[0014]进一步地,在本专利技术的一个实施例中,在向所述第一VPN网关发送所述包类型为上线的IP包之前,还包括:利用VPN客户端模仿TCP行为与所述第一VPN网关建立连接,具体为:利用所述VPN客户端向第一VPN网关发送TCP建立连接的SYN包;利用所述第一VPN网关接收所述SYN包,并向所述VPN客户端回复SYN+ACK包;利用所述VPN客户端接收所述SYN+ACK包,并向所述第一VPN网关发送ACK包。
[0015]进一步地,在本专利技术的一个实施例中,所述根据所述配置信息进行所述VPN客户端和所述第一VPN网关的第一身份认证,包括:通过所述VPN客户端向所述第一VPN网关发送所述上线的IP包,根据所述配置信息,确定所述上线的IP包是否将低频探测信息进行位置标记,如果所述配置信息指示使用所述低频探测信息,则将所述位置标记为1,否则将所述位置标记为0;基于所述上线的IP包触发第一身份认证,利用所述第一VPN网关向所述VPN客户端送第一认证请求包;利用所述VPN客户端接收所述第一认证请求包,并向所述第一VPN网关发送第一认证回复包,利用所述第一VPN网关接收所述第一认证回复包,如果所述第一认证回复包的认证信息无误,向所述VPN客户端发送第一认证完成包;其中,所述第一认证回复包,包括所述第一VPN网关用来验证所述VPN客户端身份的信息。
[0016]进一步地,在本专利技术的一个实施例中,在所述第一身份认证完成之后,还包括:进行所述VPN客户端和所述第一VPN网关之间数据交互;其中,所述数据交互包括:根据所述配置信息,进行FEC编码、使用IPSec的ESP隧道封装、使用WireGuard隧道封装或者不封装RAW方式传输数据中的一种。
[0017]进一步地,在本专利技术的一个实施例中,所述认证请求包的控制信息部分格式,包括:版本、序列号、IP和端口号;所述认证回复包的控制信息部分格式,包括:版本、序列号、IP、端口号和认证信息。
[0018]进一步地,在本专利技术的一个实施例中,所述当所述VPN客户端从所述第一VPN网关切换到第二VPN网关建立第二传输时,基于所述第一传输并根据认证请求包进行所述VPN客户端和所述第二VPN网关的第二身份认证,包括:当所述VPN客户端从所述第一VPN网关切换到第二VPN网关上时,触发第二身份认证,通过所述第二VPN网关向所述VPN客户端发送第二认证请求包;利用所述VPN客户端接收所述第二认证请求包,并向所述第二VPN网关发送第二认证回复包,通过所述第二VPN网关接收所述第二认证回复,如果所述第二认证回复的认证信息无误,向所述VPN客户端发送第二认证完成包;其中,所述第二认证回复包,包括所述第二VPN网关用来验证所述VPN客户端身份的信息。
[0019]进一步地,在本专利技术的一个实施例中,所述通过所述VPN客户端向传输关联的VPN网关发送探测请求包,以完成所述VPN客户端和所述传输关联的VPN网关之间的探测,包括:利用所述VPN客户端向所述传输关联的VPN网关发送所述探测请求包;利用所述传输关联的VPN网关接收到所述探测请求包,并向所述VPN客户端发送所述探测回复包,以完成所述VPN客户端和传输关联的VPN网关之间的探测。
[0020]本专利技术实施例的高可靠的云网络虚拟专用网络通信方法,可以应用于VPN通信场
景,可以用来构建VPN客户端和VPN网关之间数据传输的隧道,构建传输隧道的IP包与互联网中广泛使用的TCP包结构相似,有助于VPN客户端和VPN网关之间数据传输可靠性的提升。
[0021]为达到上述目的,本专利技术另一方面提出了一种高可靠的云网络虚拟专用网络通信装置,包括:
[0022]第一传输模块,用于基于VPN客户端向第一VPN网关发送预设格式的IP包,并根据预设的配置本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种高可靠的云网络虚拟专用网络通信方法,其特征在于,包括以下步骤:基于VPN客户端向第一VPN网关发送预设格式的IP包,并根据预设的配置信息进行所述VPN客户端和所述第一VPN网关的第一身份认证,建立所述VPN客户端与所述第一VPN网关之间的第一传输,其中,所述预设格式的IP包为VPN头中包类型为上线的IP包;当所述VPN客户端从所述第一VPN网关切换到第二VPN网关建立第二传输时,基于所述第一传输发送的认证请求包进行所述VPN客户端和所述第二VPN网关的第二身份认证;基于所述第一传输、第二传输,通过所述VPN客户端向传输关联的VPN网关发送探测请求包,以完成所述VPN客户端和所述传输关联的VPN网关之间的探测。2.根据权利要求1所述的方法,其特征在于,所述方法,还包括:根据所述预设格式的IP包中的数据确定对应的所述VPN头的包类型;其中,所述VPN头的包类型包括下述中的至少一种:所述上线的IP包、所述认证请求包、认证回复包、认证完成包、所述探测请求包探测回复包、ESP包、WireGuard包和RAW包。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:当所述VPN客户端的IP地址和端口号发生变化时,通过所述第一VPN网关向所述VPN客户端发送TCP连接异常终止包RST,并根据所述配置信息重新进行所述VPN客户端和所述第一VPN网关的第一身份认证。4.根据权利要求3所述的方法,其特征在于,在基于VPN客户端向第一VPN网关发送预设格式的IP包之前,还包括:利用VPN客户端模仿TCP行为与所述第一VPN网关建立连接,具体为:利用所述VPN客户端向第一VPN网关发送TCP建立连接的SYN包;利用所述第一VPN网关接收所述SYN包,并向所述VPN客户端回复SYN+ACK包;利用所述VPN客户端接收所述SYN+ACK包,并向所述第一VPN网关发送ACK包。5.根据权利要求4所述的方法,其特征在于,所述根据所述配置信息进行所述VPN客户端和所述第一VPN网关的第一身份认证,包括:通过所述VPN客户端向所述第一VPN网关发送所述上线的IP包,根据所述配置信息,确定所述上线的IP包是否将低频探测信息进行位置标记,如果所述配置信息指示使用所述低频探测信息,则将所述位置标记为1,否则将所述位置标记为0;基于所述上线的IP包触发第一身份认证,利用所述第一VPN网关向所述VPN客户端送第一认证请求包;利用所述VPN客户端接收所述第一认证请求包,并向所述第一VPN网关发送第一认证回复包,利用所述第一VPN网关接收所述第一认证回复包,如果所述第一认证回复包的认证信息无误,向所述VPN客户端发送第一认证完成包;其中,所述第一认证回复包,...
【专利技术属性】
技术研发人员:董恩焕,苏昆林,杨家海,祝顺民,王之梁,张世泽,文荣,任伟,
申请(专利权)人:阿里云计算有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。