一种IPSec连接的建立方法、装置、设备及存储介质制造方法及图纸

本申请提出了一种IPSec连接的建立方法、装置、设备及存储介质，该方法应用于内网网关和外网网关中的任一网关，以用于在任一网关与内网网关和外网网关中的另一网关之间建立IPSec连接，且内网网关和外网网关之间设有防火墙，该方法包括：在向所述另一网关发起IPSec连接请求的过程中，检测防火墙上是否存在第一NAT映射；在检测结果表明防火墙上存在第一NAT映射的情况下，将IPSec连接请求中的源地址信息配置为区别于任一网关在第一NAT映射的匹配条件中对应的地址信息；通过IPSec连接请求与另一网关建立IPSec连接，以使防火墙根据IPSec连接请求建立第二NAT映射。连接请求建立第二NAT映射。连接请求建立第二NAT映射。

【技术实现步骤摘要】
一种IPSec连接的建立方法、装置、设备及存储介质


[0001]本申请一个或多个实施例涉及通信领域，尤其涉及一种IPSec连接的建立方法、装置、设备及存储介质。

技术介绍

[0002]IPSec(IP Security，IP安全)是一种工作在OSI(Open System Interconnection Reference Model，开放式系统互联通信参考模型)三层的加密协议，为互联网上传输的数据提供高质量的基于密码学的安全保证，是一种实现三层VPN(Virtual Private Network，虚拟专用网络)的安全技术。IPsec通过在通信双方之间建立一个安全互通的IPSec隧道，然后对流经IPSec隧道的数据通过安全协议进行加密和验证，进而实现在Internet上安全传输指定的数据。
[0003]一般的，在不同局域网之间通信需要建立IPSec连接，从而保证业务流量在外网上的机密性。由于外网地址资源稀缺，因此需要在出口防火墙上配置NAT(Network Address Translation，网络地址转换)策略。
[0004]目前，为了保证业务正常访问，防火墙需要同时配置源NAT策略和目的NAT策略。源NAT策略用于对内网访问外网的流量进行地址转换，使得内网源地址转换为外网地址。目的NAT策略用于将外网地址映射为内网某一地址。当网络震荡等原因导致IPSec连接断开后，会导致外网网关主动访问内网网关与内网网关主动访问外网网关的会话发生冲突，使得其中一方发起的IPSec连接无法建立或双方发起的IPSec连接都无法建立的情况。

技术实现思路

[0005]本申请提供一种IPSec连接的建立方法、装置、设备及存储介质，以解决相关技术中的不足。
[0006]根据本申请一个或多个实施例的第一方面，提供一种IPSec连接的建立方法，所述方法应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述IPSec连接，且所述内网网关和所述外网网关之间设有防火墙，该方法包括：
[0007]在向所述另一网关发起IPSec连接请求的过程中，检测所述防火墙上是否存在第一NAT映射，其中所述第一NAT映射的匹配条件为：所述防火墙所收到消息的源地址信息匹配于所述内网网关的地址信息且目的地址信息匹配于所述外网网关的地址信息；
[0008]在检测结果表明所述防火墙上存在所述第一NAT映射的情况下，将所述IPSec连接请求中的源地址信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中对应的地址信息；
[0009]通过所述IPSec连接请求与所述另一网关建立IPSec连接，以使所述防火墙根据所述IPSec连接请求建立第二NAT映射。
[0010]根据本申请一个或多个实施例的第二方面，提供一种IPSec连接的建立装置，所述
装置应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述IPSec连接，且所述内网网关和所述外网网关之间设有防火墙，该装置包括：
[0011]检测模块，用于在向所述另一网关发起IPSec连接请求的过程中，检测所述防火墙上是否存在第一NAT映射，其中所述第一NAT映射的匹配条件为：所述防火墙所收到消息的源地址信息匹配于所述内网网关的地址信息且目的地址信息匹配于所述外网网关的地址信息；
[0012]配置模块，用于在检测结果表明所述防火墙上存在所述第一NAT映射的情况下，将所述IPSec连接请求中的源地址信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中对应的地址信息；
[0013]连接建立模块，用于通过所述IPSec连接请求与所述另一网关建立IPSec连接，以使所述防火墙根据所述IPSec连接请求建立第二NAT映射。
[0014]根据本申请一个或多个实施例的第三方面，提供一种电子设备，包括：
[0015]处理器；
[0016]用于存储处理器可执行指令的存储器；
[0017]其中，所述处理器通过运行所述可执行指令以实现上述第一方面的实施例中所述的方法。
[0018]根据本申请一个或多个实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一方面的实施例中所述方法的步骤。
[0019]由以上技术方案可见，本申请一个或多个实施例中，当任一网关向另一网关发起IPSec连接请求时，在检测到防火墙上存在第一NAT映射的情况下，通过将IPSec连接请求中的源地址信息配置为区别于该任一网关在第一NAT映射的匹配条件中对应的地址信息，从而避免会话发生冲突，使得任一网关与另一网关之间成功建立起IPSec连接。
[0020]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。
附图说明
[0021]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0022]图1是一示例性实施例提供的一种内网与外网之间通信的示意图。
[0023]图2是一示例性实施例提供的一种IPSec连接的建立方法的流程图。
[0024]图3a是一示例性实施例提供的一种预设的网关IP地址与端口信息的对应关系的示意图。
[0025]图3b是另一示例性实施例提供的一种预设的网关IP地址与端口信息的对应关系的示意图。
[0026]图4是一示例性实施例提供的一种链表数据结构的示意图。
[0027]图5是一示例性实施例示出的一种电子设备的结构示意图。
[0028]图6是一示例性实施例示出的一种IPSec连接的建立装置的框图。
具体实施方式
[0029]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0030]需要说明的是：在其他实施例中并不一定按照本申请示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中，其方法所包括的步骤可以比本申请所描述的更多或更少。此外，本申请中所描述的单个步骤，在其他实施例中可能被分解为多个步骤进行描述；而本申请中所描述的多个步骤，在其他实施例中也可能被合并为单个步骤进行描述。
[0031]一般的，在不同局域网之间通信需要建立IPSec连接，用以保证业务流量在外网上的机密性。图1是一示例性实施例提供的一种内网与外网之间通信的示意图。如图1所示，VPN网关1是外网网关，具有外网IP1。VPN网关2是内网网关，具有内网IP3。内网网关与外网网关之间设置有防火墙，防火墙具有外网IP2。为了VPN网关1能够主动发起与VPN网关2之间的IPSec连接本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种IPSec连接的建立方法，其特征在于，所述方法应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述IPSec连接，且所述内网网关和所述外网网关之间设有防火墙，该方法包括：在向所述另一网关发起IPSec连接请求的过程中，检测所述防火墙上是否存在第一NAT映射，其中所述第一NAT映射的匹配条件为：所述防火墙所收到消息的源地址信息匹配于所述内网网关的地址信息且目的地址信息匹配于所述外网网关的地址信息；在检测结果表明所述防火墙上存在所述第一NAT映射的情况下，将所述IPSec连接请求中的源地址信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中对应的地址信息；通过所述IPSec连接请求与所述另一网关建立IPSec连接，以使所述防火墙根据所述IPSec连接请求建立第二NAT映射。2.根据权利要求1所述的方法，其特征在于，所述将所述IPSec连接请求中的源地址信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中对应的地址信息，包括：将所述IPSec连接请求中的源端口信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中的对应的端口信息。3.根据权利要求2所述的方法，其特征在于，所述将所述IPSec连接请求中的源端口信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中的对应的端口信息，包括：基于预设的网关IP地址与端口信息的对应关系，查询与所述另一网关的网关IP地址对应的端口信息；将所述IPSec连接请求中的源端口信息配置为查询到的端口信息。4.根据权利要求3所述的方法，其特征在于，在所述预设的网关IP地址与端口信息的对应关系中，各个网关IP地址与端口信息之间一一对应，或，所有网关IP地址均对应同一个端口信息。5.根据权利要求2所述的方法，其特征在于，所述将所述IPSec连接请求中的源端口信息配置为区别于所述任一网关在所述第一NAT映射的匹配条件中的对应的端口信息，包括：将所述IPSec连接请求中的源端口信息配置为预设端口资源池中任一未使用端口的端口信息；所述预设端口资源池包含至少两个端口。6.根据权利要求5所述的方法，其特征在于，所述预设端口资源池中各端口以链表形式存储，该链表中包含所述预设端口资源池中各...

【专利技术属性】
技术研发人员：张瑞冬，董俊文，黄东东，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：