本发明专利技术提供一种实现IPSec VPN二层组网的方法和VPN网关,方法包括:在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换。本发明专利技术通过在IPSec VPN网关设备中运行虚拟交换机,建立虚拟VPN隧道接口并结合GRE封装,实现了一种IPSec二层组网方案。IPSec二层组网方案。IPSec二层组网方案。
【技术实现步骤摘要】
一种实现IPSec VPN二层组网的方法及IPSec VPN网关
[0001]本专利技术属于密码应用领域,特别属于VPN安全组网领域。
技术介绍
[0002]一般情况下,要实现企业总部和各分支机构网络的安全组网互联,IPSec VPN(虚拟私有网,virtual private network))是部署最为广泛的主流技术,能够在充分保障数据机密性和完整性的基础上实现企业私有网络的异地互联。对于基于IP协议的三层网络,IPSec VPN组网同时具备安全性、灵活性和业务透明性,优势明显。
[0003]三层组网,要进行路由、网关等诸多配置,要对不同的IP网段和网关IP进行全网统一的规划和分配,不同网段的设备之间的通信需要通过复杂的路由协议等手段进行路由寻址才能进行,二层组网,就是将不同网段的设备连接成一个大的局域网,可以统一采用DHCP等自动的地址分配方法或者简单无重复的地址登记手段即可,无需进行复杂繁琐的网络规划和IP地址分配,无需运行复杂的路由协议进行一层层的转发。
[0004]在一些需要二层组网的环境中,IPSec VPN的部署使用存在很大障碍:
[0005]1、IPSec VPN的安全策略和安全关联等参数配置都是基于IP地址等五元组信息,具体数据报文处理也是基于IP地址等五元组信息,而二层组网是基于数据报文的二层帧头信息进行,IP地址等五元组信息不参与组网。
[0006]2、二层组网过程中涉及到大量的承载控制信令的非IP报文需要在各节点之间进行交换,IPSec VPN无法处理非IP报文。
[0007]3、IPSec VPN基于IP地址进行路由寻址,无法根据二层帧头信息进行寻址,也就无法进行数据报文的封装和发送。
技术实现思路
[0008]本专利技术所要解决的技术问题在于如何实现IPSec VPN二层组网。
[0009]本专利技术通过以下技术手段实现解决上述技术问题的:一种实现IPSec VPN二层组网的方法,包括:在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换。
[0010]作为本专利技术进一步的技术方案,所述统一规划并分配的IP地址仅用于区分虚拟VPN隧道接口和构建GRE通道,不在内外部网络进行路由。
[0011]作为本专利技术进一步的技术方案,可互联的IPSec VPN网关之间分别有一个虚拟VPN隧道接口两两对应,互为GRE通道的目的IP。
[0012]作为本专利技术进一步的技术方案,所述实现IPSec VPN二层组网的方法还包括在IPSec VPN网关设备上运行密钥协商模块的步骤,为IPSec VPN网关设备上每个虚拟VPN隧道接口,与该虚拟VPN隧道接口对应的外部IPSec VPN网关协商一对IPSec安全关联,该虚拟VPN隧道接口与该安全关联绑定。
[0013]作为本专利技术进一步的技术方案,所述虚拟机交换机的端口数等于IPSec VPN网关设备的内部物理网络接口及虚拟VPN隧道接口的数量之和,每个虚拟交换机接口连接一个内部物理网络接口或虚拟VPN隧道接口。
[0014]作为本专利技术进一步的技术方案,还包括设置IPSec VPN网关设备的内部物理网络接口为混杂模式的步骤。
[0015]作为本专利技术进一步的技术方案,实现各VPN网关所连接网络之间的二层数据交换包括:
[0016]将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备;以及
[0017]从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSec VPN网关的二层数据帧。
[0018]作为本专利技术进一步的技术方案,将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备包括:
[0019]将内部物理网络接口接收到的本网关所在网络区域的二层数据帧送入虚拟交换机;
[0020]虚拟机交换机通过连接内部物理网络接口的端口收到内部网络的二层数据帧,对于其中的组播或广播数据帧进行泛洪转发;
[0021]虚拟VPN隧道接口将从本接口所连接的虚拟交换机端口转发的二层数据帧首先调用GRE封装/解封模块进行GRE封装为IP报文,该GRE报文的源IP为虚拟VPN隧道接口的IP地址,目的IP为该虚拟VPN隧道接口对应的外部IPSec VPN的对应虚拟VPN隧道接口IP地址,然后根据本接口对应的安全关联信息,调用IPSec数据处理模块进行IPSec协议封装和加密校验处理,然后发送到对应的外部IPSec VPN设备。
[0022]作为本专利技术进一步的技术方案,从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSec VPN网关的二层数据帧包括:
[0023]IPSec VPN网关设备从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文,调用IPSec数据处理模块进行完整性验证和解密解封装处理,恢复为GRE报文,根据GRE报文的目的IP地址选择对应的虚拟VPN隧道接口,然后调用GRE封装/解封模块进行GRE解封,恢复二层数据帧后从与该虚拟VPN隧道接口连接的虚拟交换机端口转发到虚拟交换机;
[0024]虚拟交换机通过连接虚拟VPN隧道接口的端口收到其他IPSec VPN网关发送到本IPSec VPN网关的二层数据帧,根据数据帧的不同类型进行泛洪转发。
[0025]作为本专利技术进一步的技术方案,所述泛洪转发是将该数据帧转发到接收端口之外的每一个端口,对于有确定目的MAC地址的单播数据帧,根据端口和目的MAC的映射关系选择转发端口进行以太帧转发,同时记录接收数据帧的端口和源MAC的映射关系。
[0026]作为本专利技术进一步的技术方案,对于星型组网类型,中心端IPSec VPN网关对收到
的组播或广播数据帧进行泛洪转发时将该数据帧转发到接收端口之外的每一个端口,分支节点的IPSec VPN网关对组播或广播数据帧进行泛洪转发时只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口;
[0027]对于网状结构组网类型,各IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时,只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口。
[0028]本专利技术还提供一种执行上述任一方案所述实现IPSec 本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现IPSec VPN二层组网的方法,其特征在于:包括:在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换。2.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:所述统一规划并分配的IP地址仅用于区分虚拟VPN隧道接口和构建GRE通道,不在内外部网络进行路由。3.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:可互联的IPSec VPN网关之间分别有一个虚拟VPN隧道接口两两对应,互为GRE通道的目的IP。4.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:还包括在IPSec VPN网关设备上运行密钥协商模块的步骤,为IPSec VPN网关设备上每个虚拟VPN隧道接口,与该虚拟VPN隧道接口对应的外部IPSec VPN网关协商一对IPSec安全关联,该虚拟VPN隧道接口与该安全关联绑定。5.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:所述虚拟机交换机的端口数等于IPSec VPN网关设备的内部物理网络接口及虚拟VPN隧道接口的数量之和,每个虚拟交换机接口连接一个内部物理网络接口或虚拟VPN隧道接口。6.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:还包括设置IPSec VPN网关设备的内部物理网络接口为混杂模式的步骤。7.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:实现各VPN网关所连接网络之间的二层数据交换包括:将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备;以及从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSec VPN网关的二层数据帧。8.如权利要求7所述的一种实现IPSec VPN二层组网的方法,其特征在于:将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备包括:将内部物理网络接口接收到的本网关所在网络区域的二层数据帧送入虚拟交换机;虚拟机交换机通过连接内部物理网络接口的端口收到内部网络的二层数据帧,对于其中的组播或广播数据帧进行泛洪转发;虚拟VPN隧道接口将从本接口所连接的虚拟交换机端口转发的二层数据帧首先调用GRE封装/解封模块进行GRE封装为IP报文,该GRE报文的源IP为虚拟VPN隧道接口的IP地址,目的IP为该虚拟VPN隧道接口对应的外部IPSec VPN的对应虚拟VPN隧道接口IP地址,然后根据本接口对应的安全关联信...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。