一种在透明网桥上使用IPSecVPN的方法、系统及介质技术方案

本发明专利技术提供一种在透明网桥上使用IPSecVPN的方法、系统及介质，涉及信息安全领域，包括在网桥接口上配置IP地址，使用该IP地址建立IPSecVPN连接，对于从透明网桥内的接口接收到的数据包，在进入bridge firewall后，使用ebtables命令在broute表的BROUTING链上注入一条规则，将数据包导向IP层，在数据包进入IP层后，就可以使用IPSecVPN模块处理数据包了。由于数据包进入IP层后，需要对数据包路由才能转发，所以需要在网桥接口上添加路由，保证数据包能在IP层正常转发。本发明专利技术使用网桥建立IPSecVPN的连接后，可以对网桥内的数据包进行加密转发，大大增强了IPSecVPN的使用场景。大大增强了IPSecVPN的使用场景。大大增强了IPSecVPN的使用场景。

【技术实现步骤摘要】
一种在透明网桥上使用IPSecVPN的方法、系统及介质


[0001]本专利技术涉及信息安全领域，具体为一种在透明网桥上使用IPSecVPN的方法、系统及介质。

技术介绍

[0002]IPSecVPN是一种IP层的安全协议，Linux内核在2.6版本开始支持IPSecVPN功能，数据包在进入协议栈后，进行MAC层处理，再进入IP层处理，数据包在经过路由模块选路后进入IPSecVPN模块。
[0003]透明网桥brideg为Linux内核实现的一种虚拟交换机设备，可以将多个物理网卡加入到网桥中，网桥内的数据包使用二层转发，同时可以在网桥上配置IP地址，把网桥当做一个三层设备处理。
[0004]传统的方法当数据包到达网卡，内核接收数据包，再将数据包送往协议栈，如果该网卡属于网桥，则进入内核bridge处理，最后在bridge内转发。由于IPSecVPN处于协议栈的IP层，无法处理网桥内的数据包。

技术实现思路

[0005](一)解决的技术问题
[0006]针对现有技术的不足，本专利技术提供了一种在透明网桥上使用IPSecVPN的方法、系统及介质，解决了上述
技术介绍
中提出的由于IPSecVPN处于协议栈的IP层，无法处理网桥内的数据包的问题。
[0007](二)技术方案
[0008]为实现以上目的，本专利技术通过以下技术方案予以实现：一种在透明网桥上使用IPSecVPN的方法，包括：
[0009]S1:在网桥接口上建立IPSecVPN连接；
[0010]S2:在内核bridge firewall入口处，将数据包导向IP层；
[0011]S3:IPSecVPN数据转发。
[0012]优选地，步骤S1包括：新建一个网桥接口br0，将物理网卡ETH0、ETH1加入到br0中。
[0013]优选地，在br0上配置IP地址，并指定ETH0为接收原始数据端，ETH1为发送加密数据端，然后建立IPSecVPN。
[0014]优选地，所述步骤S2包括：
[0015]添加一条规则将从ETH0网口接收到的数据包导入IP层：
[0016]ebtables
‑
t broute
‑
A BROUTING
‑
i ETH0
‑
p ipv4
‑
j redirect
[0017]添加一条路由如下：
[0018]ip route add dip via gateway dev br0
[0019]dip为数据包的目的地址
[0020]gateway为下一跳地址。
[0021]优选地，所述步骤S3包括：当从ETH0口接收到数据包后，进入bridge处理，经过broute表的BROUTING链时，将数据包导入到IP层处理。
[0022]优选地，经过路由后进入IPSecVPN模块，若匹配上兴趣流，则由IPSecVPN模块重新封装数据包，再从ETH1口转发出去，若没有匹配上兴趣流，则由协议栈正常处理。
[0023]优选地，所述判断系统调用函数体是否被修改，若是，则进行在线状态取证，包括：检测系统调用函数体的头五个字节是否包含跳转指令，如果有，则说明系统调用函数体被劫持，需进行在线状态取证。
[0024]本专利技术另一目的在于，提供一种在透明网桥上使用IPSecVPN的系统，包括：存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种在透明网桥上使用IPSecVPN的程序，所述一种在透明网桥上使用IPSecVPN的程序配置为实现如前任一所述的一种在透明网桥上使用IPSecVPN的方法步骤。
[0025]本专利技术的另一目的在于提供一种存储介质，所述存储介质上存储有在透明网桥上使用IPSecVPN的程序，所述在透明网桥上使用IPSecVPN的程序被处理器执行时实现如前任一所述的一种在透明网桥上使用IPSecVPN的系统步骤。
[0026]有益效果
[0027]本专利技术提供了一种在透明网桥上使用IPSecVPN的方法、系统及介质。具备以下有益效果：
[0028]本专利技术在使用网桥建立IPSecVPN的连接后，可以对网桥内的数据包进行加密转发，大大增强了IPSecVPN的使用场景。
附图说明
[0029]图1为本专利技术提供的一种在透明网桥上使用IPSecVPN的方法流程图；
具体实施方式
[0030]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0031]本专利技术实施例提供一种在透明网桥上使用IPSecVPN的方法，如图1所示，包括：
[0032]S1:在网桥接口上建立IPSecVPN连接；
[0033]S2:在内核bridge firewall入口处，将数据包导向IP层；
[0034]S3:IPSecVPN数据转发。
[0035]在一个实施例中，步骤S1包括：
[0036]新建一个网桥接口br0，将物理网卡ETH0、ETH1加入到br0中，由于IPSecVPN隧道的建立需要IP层支持，所以在br0上配置IP地址，并指定ETH0为接收原始数据端，ETH1为发送加密数据端，然后建立IPSecVPN。
[0037]在一个实施例中，步骤S2中，所有从网桥内的网卡进来的数据包都会进入到bridge firewall中处理，broute表用来控制数据包是需要进行bridge转发还是进行route转发，即bridge层转发和IP层转发。
[0038]本实施例中，添加一条规则将从ETH0网口接收到的数据包导入IP层：
[0039]ebtables
‑
t broute
‑
A BROUTING
‑
i ETH0
‑
p ipv4
‑
j redirect
[0040]添加一条路由如下：
[0041]ip route add dip via gateway dev br0
[0042]其中，dip为数据包的目的地址
[0043]gateway为下一跳地址。
[0044]在一个实施例中，步骤S3包括：
[0045]S3.1当从ETH0口接收到数据包后，进入bridge处理，经过broute表的BROUTING链时，将数据包导入到IP层处理；
[0046]S3.2经过路由后进入IPSecVPN模块，若匹配上兴趣流，则由IPSecVPN模块重新封装数据包，再从ETH1口转发出去，若没有匹配上兴趣流，则由协议栈正常处理。
[0047]本专利技术实施例还提供一种在透明网桥上使用IPSecVPN的系统，包括：存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种在透明网桥上使用IPSecVPN的程序，所述一种在透明网桥上使用IPSecVPN的程序配置为实现如前任一所述的一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种在透明网桥上使用IPSecVPN的方法，其特征在于，包括：S1:在网桥接口上建立IPSecVPN连接；S2:在内核bridge firewall入口处，将数据包导向IP层；S3:IPSecVPN数据转发。2.根据权利要求1所述的一种在透明网桥上使用IPSecVPN的方法，其特征在于：步骤S1包括：新建一个网桥接口br0，将物理网卡ETH0、ETH1加入到br0中。3.根据权利要求2所述的一种在透明网桥上使用IPSecVPN的方法，其特征在于，在br0上配置IP地址，并指定ETH0为接收原始数据端，ETH1为发送加密数据端，然后建立IPSecVPN。4.根据权利要求1所述的一种在透明网桥上使用IPSecVPN的方法，其特征在于，所述步骤S2包括：添加一条规则将从ETH0网口接收到的数据包导入IP层：ebtables
‑
t broute
‑
A BROUTING
‑
i ETH0
‑
p ipv4
‑
j redirect添加一条路由如下：ip route add dip via gateway dev br0dip为数据包的目的地址gateway为下一跳地址。5.根据权利要求1所述的一种在透明网桥上使用IPSecVPN的方法，其特征在于：所述步骤S3...

【专利技术属性】
技术研发人员：王小东，杨小帅，陈浩，
申请(专利权)人：北京天地和兴科技有限公司，
类型：发明
国别省市：