CN101217435B - 一种L2TP over IPSEC远程接入的方法及装置 - Google Patents
一种L2TP over IPSEC远程接入的方法及装置 Download PDFInfo
- Publication number
- CN101217435B CN101217435B CN2008100011161A CN200810001116A CN101217435B CN 101217435 B CN101217435 B CN 101217435B CN 2008100011161 A CN2008100011161 A CN 2008100011161A CN 200810001116 A CN200810001116 A CN 200810001116A CN 101217435 B CN101217435 B CN 101217435B
- Authority
- CN
- China
- Prior art keywords
- security
- l2tp
- public network
- ipsec
- long
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种L2TP over IPSEC远程接入的方法及装置,设置二层隧道协议网络服务器模块与IP安全协议模块分离,所述方法包括:IP安全协议模块提供用于远程接入的安全策略模式,并配置所述安全策略模式用于L2TP overIPSEC远程接入;当确认有L2TP over IPSEC远程接入时,建立并维护IP安全协议安全策略数据库;将公网地址和公网端口号作为安全策略数据库的索引关键字,对通过L2TP over IPSEC远程接入的报文进行封装或解封装,并进行路由转发。本发明可以支持同一私有网络内多个远程接入者共用同一NAPT后的公网地址,还可以支持LNS与IPSEC网关的分离。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种L2TP over IPSEC远程接入的方法及装置。
背景技术
移动办公用户通过Internet接入企业内部网,过去主要基于L2TP(二层隧道协议)实现。但L2TP本身没有为通信提供任何形式的安全保护,因此这种结构的VPN(虚拟专用网)存在着安全隐患。RFC 3193定义了IPSEC(IP安全协议)保护L2TP的方法,通过L2TP与IPSEC的融合,结合了L2TP在认证以及IPSEC在安全方面的优势,成为了一种被广泛实用的远程接入方案。
RFC3715和RFC3948分别定义了IPSEC NAT(网络地址转换)穿越时ISAKMP(互联网安全连接和密钥管理协议)协商流程和ESP(封装安全载荷)报文的UDP(用户数据包协议)封装方式,允许位于NAT之后的私网IPSEC设备与公网IPSEC设备建立安全通道。其主体思想是在ESP报文前封装协议号为4500的UDP包头,以解决ESP报文不能被NAPT(网络地址端口转换)的问题。
NAT穿越可以分为两种模式:隧道模式和传输模式。附图1为隧道模式下NAT穿越报文处理流程示意图,对于隧道模式,由于其在加密时保存了原始IP头,报文整体被还原。附图2为传输模式下NAT穿越报文处理流程示意图,对于传输模式,报文的源地址被NAT为公网地址,而其余字段不变。
远程接入用户通过L2TP over IPSEC客户端接入到公司总部时,IPSEC工作于传输模式。对于位于公网或PPPOE(以太网上点到点协议)拨号获取公网地址的用户,不存在问题。但对于NAPT之后的私网地址拥有者,可能存在不同私有网络的私网地址重叠,同一私有网络多个远程接入用户NAPT后共用一个公网地址的情况。此时,NAT穿越后的数据报文到达IPSEC网关后,会存在地址冲突的情况。例如附图3所示,client(用户)A和client B经过NAT穿越后的数据报文到达IPSEC后,地址均为211.1.1.1,1701。
发明内容
鉴于上述的分析,本发明旨在提供一种L2TP over IPSEC远程接入的方法及装置,用以解决现有技术中当NAT穿越后的数据报文到达IPSEC网关后,存在的地址冲突的问题。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种L2TP over IPSEC远程接入的方法,设置LNS模块与IPSEC模块分离,所述方法包括:
步骤A:IPSEC模块提供用于远程接入的安全策略模式,并配置所述安全策略模式用于L2TP over IPSEC远程接入;
步骤B:当IPSEC模块确认有L2TP over IPSEC远程接入时,建立并维护IP安全协议安全策略数据库;
步骤C:IPSEC将公网源地址和公网源端口号作为安全策略数据库的索引关键字,对通过L2TP over IPSEC远程接入的报文进行解封装,并进行路由转发;所述路由转发包括:按照呼入方向进行路由转发、按照流量返回方向进行路由转发;当按照流量返回方向进行路由转发时,所述步骤C具体包括:根据报文的目的地址和目的用户数据包协议端口号查找IP安全协议安全策略数据库;判断是否经过网络地址转换穿越,当确认经过网络地址转换穿越后,用公网源端口号替换报文的用户数据包协议目的端口号,并添加对应的用户数据包协议封装;根据安全联盟信息加密并发送报文给用户。
进一步地,所述步骤A具体包括:
提供用于远程接入的安全策略模式,在所述安全策略模式下,提供命令,配置该安全策略模式用于L2TP over IPSEC,或者,默认以L2TP over IPSEC方式运行。
进一步地,所述步骤B具体包括:
当进行L2TP over IPSEC接入时,发起互联网密钥交换协商;
判断是否是L2TP over IPSEC远程接入,当确认为L2TP over IPSEC接入时,判断是否经过网络地址转换穿越,如果是,根据网络地址转换后的公网源地址和公网源端口号建立并维护IP安全协议安全策略数据库,否则,根据用户的公网源地址和公网源端口号建立并维护IP安全协议安全策略数据库;
将公网源地址和公网源端口号作为安全策略数据库的索引关键字,指向协商出的安全联盟。
其中,所述判断是否是L2TP over IPSEC远程接入的过程具体包括:
根据虚拟局域网标识和流量选择符判断是否是L2TP over IPSEC远程接入。
当按照呼入方向进行路由转发时,所述步骤C具体包括:
根据公网源地址和公网源端口号查找到安全联盟;
判断是否经过网络地址转换穿越,当确认经过网络地址转换穿越后,剥离报文的用户数据包协议封装,并解密报文,然后用公网源端口号替换报文的用户数据包协议源端口号;
将报文发送至二层隧道协议网络服务器。
本发明还提供了一种L2TP over IPSEC远程接入的装置,包括:
IP安全协议安全策略模块,用于提供远程接入的安全策略模式,并配置所述安全策略模式用于L2TP over IPSEC远程接入;
互联网密钥交换协商/安全策略数据库模块,用于判断是否为L2TP over IPSEC远程接入时,当确认为L2TP over IPSEC远程接入时,建立并维护安全策略数据库;
转发模块,用于将公网源地址和公网源端口号作为安全策略数据库的索引关键字,对通过L2TP over IPSEC远程接入的报文进行解封装,并进行路由转发;所述路由转发包括:按照呼入方向进行路由转发、按照流量返回方向进行路由转发;当按照流量返回方向进行路由转发时,所述转发模块具体用于,根据报文的目的地址和目的用户数据包协议端口号查找IP安全协议安全策略数据库;判断是否经过网络地址转换穿越,当确认经过网络地址转换穿越后,用公网源端口号替换报文的用户数据包协议目的端口号,并添加对应的用户数据包协议封装;根据安全联盟信息加密并发送报文给用户。
其中,所述IP安全协议安全策略模块设置在分布/集中式系统的主控CPU上。所述互联网密钥交换协商/安全策略数据库模块设置在分布/集中式系统的线卡上。
综上所述,一种L2TP over IPSEC远程接入的方法及装置,本发明除了可以支持同一私有网络内多个远程接入者共用同一NAPT后的公网地址,不同私网内存在相同私网IP的远程接入者等各种情况,还提供了LNS与IPSEC网关的分离组网方案,且LNS不需要支持任何IPSEC功能,从而给网络管理者提供了灵活简便的组网方案。
附图说明
图1为现有技术中,隧道模式下IPSEC NAT穿越报文处理的流程示意图;
图2为现有技术中,传输模式下IPSEC NAT穿越报文处理的流程示意图;
图3为现有技术中,传输模式下IPSEC NAT穿越后的数据冲突示意图;
图4为本发明实施例所述方法中,IKE协商的流程示意图;
图5为本发明实施例所述方法中,L2TP呼入方向报文处理的流程示意图;
图6为本发明实施例所述方法中,LNS返回报文处理的流程示意图;
图7为本发明实施例所述方法中,NAT穿越时报文的整体数据流向示意图;
图8为本发明实施例所述装置的结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优先实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。
首先,结合附图4到附图7对本发明实施例所述方法进行详细阐述。
本发明实施例中,将原来IPSEC server分离为IPSEC模块和LNS(L2TP网络服务器)模块,LNS与IPSEC进行分离后,LNS不需要支持任何IPSEC功能,从而给网络管理者提供了灵活简便的组网方案,本发明实施例中的过程处理基本上都是由IPSEC模块完成。
首先,IPSEC模块预先配置用于远程接入的安全策略模式;在所述安全策略模式下,提供命令,配置该安全策略模式用于L2TP over IPSEC,不配置的话,默认以L2TP over IPSEC模式运行。在所述安全策略模式下,无需配置远端IPSEC设备的地址或者ACL(访问控制列表)定义保护的流量,这些信息通过后续的IKE(Internet Key Exchange,互联网密钥交换)协商动态获取。
如图4所示,图4为本发明实施例中IKE协商的流程示意图,具体可以包括以下步骤:
步骤401:当用户进行L2TP over IPSEC接入时,发起IKE协商;
步骤402:IPSEC模块判断该用户否是L2TP over IPSEC接入;具体的说就是,根据VID(虚拟局域网标识)和流量选择符判断接入者是否是windows的L2TP/IPSEC客户端,如果是,执行步骤403,否则进行其他处理;
步骤403:根据RFC371判断是否经过NAT穿越,如果是,执行步骤405,否则执行步骤404;
步骤404:该用户为公网接入,根据用户的公网地址建立并维护IPSEC安全策略数据库,并执行步骤406;
步骤405:该用户为私网接入,根据NAT后的公网地址和公网端口号建立并维护IPSEC安全策略数据库,然后执行步骤406;
步骤406:指向安全联盟。
在这里,对于本文实现方式中的远程接入用户,由于没有ACL配置操作,流量选择符也存在重叠的现象,所以采用用户公网地址+协议端口号为安全策略数据库的索引关键字,并指向协商出的安全联盟,提供加密认证的算法和密钥。用户公网地址+协议端口号可以是公网用户本身的地址,也可以是私网用户NAT后的公网地址+协议端口号。对于整网来说,到达接入服务器IPSEC网关的公网地址+协议端口号是全局唯一的,这样就可以保证不存在冲突的情况。
IPSEC传输模式处理NATP后的IPSEC报文,进行转发处理。由于解密后,IPSEC报文的源地址变为NAT后的公网地址,而端口号保持不变,对于多个私网用户经过NAPT公用一个公网地址的情况,数据是无法区分的。所以为了区分这些流量,对于NAT穿越的L2TP over IPSEC接入,需要将IPSEC报文的源端口号替换为用户NAT后的公网源端口号。所述转发处理包括两种情况:L2TP呼入方向和流量返回方向,下面分别予以说明。
如图5所示,图5为本发明实施例中L2TP呼入方向报文处理的流程示意图,具体可以包括以下步骤:
步骤501:接到IPSEC报文,根据SPI(安全参数索引)查找到IPSEC安全联盟;所述SPI是在安全联盟的上下文中标识一对通信节点之间使用的安全上下文的索引;
步骤502:判断是否为L2TP over IPSEC接入;如果是,执行步骤303,否则进行其他处理;此处的判断和步骤402的判断依据不同,步骤402判断出是否为L2TP over IPSEC接入后,会添加相应的标识,步骤502只需要根据该标识进行识别即可;
步骤503:判断是否经过NAT穿越,如果是,执行步骤504,否则执行步骤507;
步骤504:剥离UDP封装,并解密IPSEC报文;
步骤505:用公网源端口号替换IPSEC报文的UDP源端口号;
步骤506:UDP校验和置0;
步骤507:将IPSEC报文发送至LNS。
如图6所示,图6为本发明实施例中转发处理LNS返回报文的流程示意图,具体可以包括以下步骤:
步骤601:流量从LNS返回进入IPSEC流程;
步骤602:根据目的报文的目的地址和目的UDP端口号查找IPSEC安全策略数据库,如果存在对应的IPSEC安全策略数据库,则执行步骤603,否则进行其他处理;
步骤603:判断是否经过NAT穿越,如果是,执行步骤604,否则执行步骤606;
步骤604:还原报文的UDP目的端口号;
步骤605:添加对应的UDP封装,封装的目的端口号为NAT分配给用户的公网端口号;
步骤606:根据安全联盟信息加密发送。
如图7所示,图7为本发明实施例所述方法中,NAT穿越时报文的整体数据流向示意图,在NAT穿越过程中,通过用公网源端口号替换IPSEC报文的UDP源端口号后,用户的地址变为222.1.1.1,2000,由于每个用户的公网源端口号都是不同的,所以这样就避免了地址冲突问题。并且,LNS与IPSEC进行分离后,LNS不需要支持任何IPSEC功能,从而给网络管理者提供了灵活简便的组网方案。
接下来,结合附图8对本发明实施例所述装置进行详细阐述。
本发明实施例所述装置具体包括:IPSEC安全策略模块、IKE协商/安全策略数据库模块、转发模块,其中,
IPSEC安全策略模块,主要用于提供适于远程接入的安全策略模式(远程接入的方式可以有多种,本发明实施例主要针对L2TP over IPSEC方式),在该安全策略模式下,无需配置远端IPSEC设备的地址,或者ACL定义保护的流量。
在该安全策略模式下,提供命令,配置该安全策略模块用于L2TP over IPSEC,不配置的话,默认以该L2TP over IPSEC方式运行。
IKE协商/安全策略数据库模块,运行在分布/集中式系统的主控CPU上;
在IKE第一阶段协商过程中,所述IKE协商/安全策略数据库模块用于根据RFC3715判断是否经过NAT穿越,然后根据VID载荷和流量选择符判断拨入者是否Windows的L2TP/IPSEC客户端;
IKE第二阶段协商过程中,所述IKE协商/安全策略数据库模块用于生成并维护IPSEC安全策略数据库。对于网关模式的IPSEC安全策略数据库,其生成依赖于配置的ACL和第二阶段快速协商模式中传递的流量选择符载荷。但对于本文实现方式中的远程接入用户,没有ACL配置操作,流量选择符也存在重叠的现象,所以采用用户公网IP+协议端口号为安全策略数据库的索引关键字,并指向协商出的安全联盟,提供加密认证的算法和秘钥。
转发模块,运行在分布/集中式系统的线卡上,负责IPSEC报文的加密/解密,封装/解封装和路由转发,转发分为L2TP呼入方向和流量返回方向,具体过程如图5和图6所描述,此处不再重述。
综上所述,本发明实施例通过了一种L2TP over IPSEC远程接入的方法及装置,可以支持同一私有网络内多个远程接入者共用同一NAPT后的公网地址,不同私网内存在相同私网IP的远程接入者等各种情况。同时与标准L2TP over IPSEC相比,还可以实现LNS与IPSEC网关的分离。LNS设备只需支持基础L2TP功能,减少对原有网络拓扑的改动,给网络管理者提供更加灵活的组网方案。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (8)
1.一种L2TP over IPSEC远程接入的方法,其特征在于,设置二层隧道协议网络服务器模块与IP安全协议模块分离,所述方法包括:
步骤A:IP安全协议模块提供用于远程接入的安全策略模式,并配置所述安全策略模式用于L2TP over IPSEC远程接入;
步骤B:当IP安全协议模块确认有L2TP over IPSEC远程接入时,建立并维护IP安全协议安全策略数据库;
步骤C:IP安全协议模块将公网源地址和公网源端口号作为安全策略数据库的索引关键字,对通过L2TP over IPSEC远程接入的报文进行解封装,并进行路由转发;所述路由转发包括:按照呼入方向进行路由转发、按照流量返回方向进行路由转发;当按照流量返回方向进行路由转发时,所述步骤C具体包括:根据报文的目的地址和目的用户数据包协议端口号查找IP安全协议安全策略数据库;判断是否经过网络地址转换穿越,当确认经过网络地址转换穿越后,用公网源端口号替换报文的用户数据包协议目的端口号,并添加对应的用户数据包协议封装;根据安全联盟信息加密并发送报文给用户。
2.根据权利要求1所述的方法,其特征在于,所述步骤A具体包括:
提供用于远程接入的安全策略模式,在所述安全策略模式下,提供命令,配置该安全策略模式用于L2TP over IPSEC,或者,默认以L2TP over IPSEC方式运行。
3.根据权利要求1所述的方法,其特在在于,所述步骤B具体包括:
当进行L2TP over IPSEC接入时,发起互联网密钥交换协商;
判断是否是L2TP over IPSEC远程接入,当确认为L2TP over IPSEC接入时,判断是否经过网络地址转换穿越,如果是,根据网络地址转换后的公网源地址和公网源端口号建立并维护IP安全协议安全策略数据库,否则,根据用户的公网源地址和公网源端口号建立并维护IP安全协议安全策略数据库;
将公网源地址和公网源端口号作为安全策略数据库的索引关键字,指向协商出的安全联盟。
4.根据权利要求3所述的方法,其特征在于,所述判断是否是L2TP overIPSEC远程接入的过程具体包括:
根据虚拟局域网标识和流量选择符判断是否是L2TP over IPSEC远程接入。
5.根据权利要求1所述的方法,其特征在于,当按照呼入方向进行路由转发时,所述步骤C具体包括:
根据公网源地址和公网源端口号查找到安全联盟;
判断是否经过网络地址转换穿越,当确认经过网络地址转换穿越后,剥离报文的用户数据包协议封装,并解密报文,然后用公网源端口号替换报文的用户数据包协议源端口号;
将报文发送至二层隧道协议网络服务器。
6.一种L2TP over IPSEC远程接入的装置,其特征在于,包括:
IP安全协议安全策略模块,用于提供远程接入的安全策略模式,并配置所述安全策略模式用于L2TP over IPSEC远程接入;
互联网密钥交换协商/安全策略数据库模块,用于判断是否为L2TP over IPSEC远程接入,当确认为L2TP over IPSEC远程接入时,建立并维护安全策略数据库;
转发模块,用于将公网源地址和公网源端口号作为安全策略数据库的索引关键字,对通过L2TP over IPSEC远程接入的报文进行解封装,并进行路由转发;所述路由转发包括:按照呼入方向进行路由转发、按照流量返回方向进行路由转发;当按照流量返回方向进行路由转发时,所述转发模块具体用于,根据报文的目的地址和目的用户数据包协议端口号查找IP安全协议安全策略数据库;判断是否经过网络地址转换穿越,当确认经过网络地址转换穿越后,用公网源端口号替换报文的用户数据包协议目的端口号,并添加对应的用户数据包协议封装;根据安全联盟信息加密并发送报文给用户。
7.根据权利要求6所述的装置,其特征在于,所述IP安全协议安全策略模块设置在分布/集中式系统的主控CPU上。
8.根据权利要求6所述的装置,其特征在于,所述互联网密钥交换协商/安全策略数据库模块设置在分布/集中式系统的线卡上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100011161A CN101217435B (zh) | 2008-01-16 | 2008-01-16 | 一种L2TP over IPSEC远程接入的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100011161A CN101217435B (zh) | 2008-01-16 | 2008-01-16 | 一种L2TP over IPSEC远程接入的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101217435A CN101217435A (zh) | 2008-07-09 |
| CN101217435B true CN101217435B (zh) | 2011-03-16 |
Family
ID=39623798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100011161A Expired - Fee Related CN101217435B (zh) | 2008-01-16 | 2008-01-16 | 一种L2TP over IPSEC远程接入的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101217435B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011000421A1 (en) * | 2009-07-01 | 2011-01-06 | Paradox Engineering Sagl | Method for connecting a first computer network to at least a second extended computer network |
| CN101867476B (zh) * | 2010-06-22 | 2012-09-26 | 杭州华三通信技术有限公司 | 一种3g虚拟私有拨号网用户安全认证方法及其装置 |
| CN102111311A (zh) | 2011-03-18 | 2011-06-29 | 杭州华三通信技术有限公司 | 通过二层隧道协议访问监控私网的方法及服务器 |
| CN103442093A (zh) * | 2013-07-22 | 2013-12-11 | 汉柏科技有限公司 | 实现网络地址转换的方法 |
| CN105516062B (zh) * | 2014-09-25 | 2020-07-31 | 南京中兴软件有限责任公司 | 一种实现L2TP over IPsec接入的方法 |
| CN106027508A (zh) * | 2016-05-11 | 2016-10-12 | 北京网御星云信息技术有限公司 | 一种认证加密的数据传输方法及装置 |
| CN109428852B (zh) * | 2017-07-18 | 2023-09-15 | 中兴通讯股份有限公司 | 通信隧道端点地址分离方法、终端、ePDG及存储介质 |
| CN113067908B (zh) * | 2020-01-02 | 2023-03-31 | 中国移动通信有限公司研究院 | 一种nat穿越方法、装置、电子设备和存储介质 |
| CN112242943B (zh) * | 2020-11-26 | 2022-08-16 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| CN112272134B (zh) * | 2020-11-26 | 2021-12-17 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| CN113596192B (zh) * | 2021-07-26 | 2024-02-20 | 绿盟科技集团股份有限公司 | 一种基于网闸组网的通信方法、装置、设备及介质 |
| CN114465755B (zh) * | 2021-12-15 | 2024-02-23 | 广西电网有限责任公司电力科学研究院 | 基于IPSec传输异常的检测方法、装置及存储介质 |
| CN117134991A (zh) * | 2023-10-16 | 2023-11-28 | 北京环宇博亚科技有限公司 | 一种针对交通信息发布系统的安全加密防护系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1543131A (zh) * | 2003-04-30 | 2004-11-03 | 华为技术有限公司 | 转发数据包的查表方法 |
| US6886103B1 (en) * | 1999-10-28 | 2005-04-26 | Lucent Technologies Inc. | Method and apparatus for extending network address translation for unsupported protocols |
-
2008
- 2008-01-16 CN CN2008100011161A patent/CN101217435B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6886103B1 (en) * | 1999-10-28 | 2005-04-26 | Lucent Technologies Inc. | Method and apparatus for extending network address translation for unsupported protocols |
| CN1543131A (zh) * | 2003-04-30 | 2004-11-03 | 华为技术有限公司 | 转发数据包的查表方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101217435A (zh) | 2008-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101217435B (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| CN107294711B (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
| EP1378093B1 (en) | Authentication and encryption method and apparatus for a wireless local access network | |
| KR100472739B1 (ko) | 가상사설망용아키텍쳐 | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| US8041824B1 (en) | System, device, method and software for providing a visitor access to a public network | |
| CN107959654A (zh) | 一种数据传输方法、装置及混合云系统 | |
| EP1396979A2 (en) | System and method for secure group communications | |
| CN101499965B (zh) | 一种基于IPSec安全关联的网络报文路由转发和地址转换方法 | |
| CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
| CA2466912A1 (en) | Enabling secure communication in a clustered or distributed architecture | |
| CA2471283A1 (en) | Initiating connections through firewalls and network address translators | |
| JP2002504285A (ja) | 仮想専用網を実現する装置 | |
| CN105812322B (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| WO2008039506B1 (en) | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns | |
| CA2439568A1 (en) | Hybrid network | |
| CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
| CN102724087A (zh) | 网络资源共享的实现方法和系统 | |
| CN103763301A (zh) | 一种采用ppp协议封装IPsec框架结构的系统及方法 | |
| CN114915451B (zh) | 一种基于企业级路由器的融合隧道加密传输方法 | |
| CN101304338A (zh) | 发现多协议标签交换三层虚拟私有网中设备的方法、装置 | |
| Cisco | Introduction | |
| Cisco | L2TP Security | |
| CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110316 Termination date: 20190116 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |