CN101977137B - Vpn中的地址冲突检测和自适应的方法 - Google Patents
Vpn中的地址冲突检测和自适应的方法 Download PDFInfo
- Publication number
- CN101977137B CN101977137B CN201010529703.5A CN201010529703A CN101977137B CN 101977137 B CN101977137 B CN 101977137B CN 201010529703 A CN201010529703 A CN 201010529703A CN 101977137 B CN101977137 B CN 101977137B
- Authority
- CN
- China
- Prior art keywords
- resource
- route
- vpn gateway
- routing
- routes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种VPN中的地址冲突检测和自适应的方法。通过SSL VPN网关访问远程网络资源的时候,SSL VPN网关要把资源路由推送到客户端。在下发到客户端系统中之前,首先和客户端本地的路由进行比较检查,找到冲突的路由。如果发生冲突,则首先增加到SSL VPN网关的点路由,保证能够正常访问SSL VPN网关;然后下发资源路由,短路掉到客户端本地已经存在的冲突路由。网络包进入隧道并到达SSL VPN网关端,并正确地转发到SSL VPN网关所保护的内部网络,保证客户端就能正确访问远方网络。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种VPN中的地址冲突检测和自适应的方法。
背景技术
VPN(Virtual Private Network虚拟专用网)可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网,或者移动用户和企业之间建立一条专有的通讯线路,能够利用公共网络建立虚拟私有网,目前在企业中得到了广泛的应用。其中,SSL VPN以其简单的客户端配置、细粒度的ACL控制和丰富的功能等特点正渐渐取代传统的IPSecVPN。
在SSL VPN中,一个重要的使用方式就是点到网隧道。用户通过与SSLVPN网关建立一条加密的隧道来进行业务访问。建立虚拟专用网的时候网关端分配虚拟IP给客户端,并推送资源路由给客户端。只有这样才能保证客户端的网络包匹配到资源路由,进入虚拟网卡,然后通过SSL安全隧道到达网关端,进而访问到内部网络资源。
现实中存在的问题是,在图1所示的网络关系图中,所示经常出现客户端所在网络(A)和SSL VPN网关所保护的远程网络(B)之间发生地址冲突:即出现地址相同、包含或者被包含的情况。这种情况下,网络包在匹配路由的时候,将可能发生混乱,不知道是到达本地网络还是要到达远程网络,导致客户端用户将不能正常访问远方的网络。
发明内容
本发明是针对上述提到的问题,提供一种地址冲突检测和自适应的方法。
本发明通过以下方案实现上述目的:
一种VPN中的地址冲突检测和自适应的方法,包括以下步骤:
(1)在登录SSL VPN网关后,VPN网关自动下发一条到网关的点路由;退出的时候删除该点路由;
(2)客户端在得到网关下发的远方资源路由后,首先和本地的路由表进行比较,根据冲突检测的结果,决定把路由增加到客户端的系统中;
若资源路由包含本地路由,则下发一条METRIC(到下一跳的跃点数)为1、目的地址、掩码和本地路由一样的路由,下一跳指向隧道的虚拟网卡;
若资源路由等于本地路由,则直接下发资源路由,并把METRIC设置为1;
若资源路由被本地路由包含的情况,则直接下发资源路由,并把METRIC设置为1。
网络包匹配路由的过程:外出的网络包要经过路由匹配,首先根据目标地址和掩码进行匹配。按照最长掩码匹配得到下一跳的IP地址和接口;如果掩码相同,则根据METRIC(到下一跳的跃点数)最小,得到下一跳的地址接口,然后把网络包从该接口发送给下一跳。
本发明的原理如下:访问SSLVPN网关时候,网关把资源路由推送到客户端,在下发到系统中之前,首先要和客户端本地的路由进行比较检查,找到冲突的路由。如果发生冲突,则首先增加到SSL VPN网关的点路由,保证能够正常访问SSL VPN网关;然后下发资源路由,短路掉到本地已经存在的冲突路由。这样网络包将进入隧道并到达SSL VPN网关端,正确地转发到远程的内部网络,这样客户端就能正确访问SSL VPN网关所保护的远方网络。客户注销的时候,则删除到网关的点路由,并删除设置的资源路由。
本发明通过设置相应的路由短路掉到本地已经存在的冲突路由,保证网络包进入隧道并到达SSL VPN网关端,正确地转发到远程的内部网络,使客户端就能正确访问SSL VPN网关所保护的远方网络。
附图说明
下面根据实施例和附图对本发明作进一步详细说明。
图1是VPN网络关系图;
图2是本发明所述方法的处理流程图。
具体实施方式
图2给出了实现本发明所述方法的处理流程图,其整个实现如下:
当客户端在步聚S101登录上SSL VPN网关后,为了防止路由被设置混乱,在步聚S102首先下发一条到SSL VPN网关外部网口IP地址的点路由,这样保证到达SSL VPN网关的数据是畅通的。
当下发资源路由的时候,在步聚S103逐条把资源路由和客户端本地的路由表进行比较,进行冲突检测。并在步聚S104针对不同的检测结果,根据资源路由和本地路由的冲突关系进行以下处理:
1、远方资源路由和本地路由相同
也就是资源路由和本地路由的NET/MASK都一样。这个时候执行步聚S106直接下发资源路由,并且把资源路由的METRIC设置为1,这样则优先级最高。网络包在匹配的时候,则存在两条目的地址和掩码相同的路由,首先会匹配到网关下发的METRIC为1的资源路由,网络包进入隧道,到达网关端访问远方资源。
2、远方资源路由包含本地路由
如果远方的资源路由的网络段包含本地路由网段。也就是存在重叠部分。例如远方路由为:10.0.0.0/255.0.0.0,本地存在路由:10.7.176.0/255.255.255.0。则执行步聚S105,处理如下:下发资源路由后,同时也下发一条处理冲突的路由,该路由为了把本地路由短路掉。该路由的NET/MASK和本地路由相同,但是metric为1,并且下一跳为虚拟网卡接口。则如果网络访问目的地址落在远方路由的范围内,则网络包首先匹配到该路由,进入隧道,能够访问远方的资源。
3、远方路由被本地路由包含
这种情况,执行步聚S106,则直接下发远方资源路由,并且把METRIC为1,这样如果访问的网络包的IP地址落在了远方路由范围内,则能够优先匹配,网络包被送到网关端,正常访问到远方的资源。
应该注意,虽然以上是参考具体实施方式对本发明进行说明的,但这并不意味是对本发明的限制,本发明的保护范围是由所附权利要求而不是具体实施方式来限定的。
Claims (1)
1.一种VPN中的地址冲突检测和自适应的方法,其特征在于包括以下步骤:
(1)在客户端登录SSL VPN网关后,该VPN网关自动向客户端下发一条到该VPN网关的点路由;退出的时候删除该点路由;
(2)该VPN网关下发资源路由到客户端,客户端在得到网关下发的远方资源路由后,首先和本地的路由表进行比较,根据冲突检测的结果,决定是否把路由增加到客户端的系统中:
若资源路由包含本地路由,则下发一条METRIC为1、目的地址及掩码和本地路由一样的路由,所述METRIC表示到下一跳的跃点数,下一跳指向隧道的虚拟网卡;
若资源路由等于本地路由,则直接下发资源路由,并把METRIC设置为1;
若资源路由被本地路由包含,则直接下发资源路由,并把METRIC设置为1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010529703.5A CN101977137B (zh) | 2010-11-03 | 2010-11-03 | Vpn中的地址冲突检测和自适应的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010529703.5A CN101977137B (zh) | 2010-11-03 | 2010-11-03 | Vpn中的地址冲突检测和自适应的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101977137A CN101977137A (zh) | 2011-02-16 |
| CN101977137B true CN101977137B (zh) | 2014-02-26 |
Family
ID=43576984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010529703.5A Active CN101977137B (zh) | 2010-11-03 | 2010-11-03 | Vpn中的地址冲突检测和自适应的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101977137B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111311A (zh) * | 2011-03-18 | 2011-06-29 | 杭州华三通信技术有限公司 | 通过二层隧道协议访问监控私网的方法及服务器 |
| CN116074285B (zh) * | 2022-12-30 | 2024-07-02 | 中国联合网络通信集团有限公司 | 一种地址冲突检测方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697445A (zh) * | 2004-05-12 | 2005-11-16 | 华为技术有限公司 | 一种实现虚拟私有网络中数据传输的方法 |
| CN1744565A (zh) * | 2005-09-22 | 2006-03-08 | 武汉思为同飞网络技术有限公司 | 一种解决vpn子网地址冲突的系统和方法 |
| CN101304388A (zh) * | 2008-06-20 | 2008-11-12 | 华为技术有限公司 | 解决ip地址冲突的方法、装置及系统 |
-
2010
- 2010-11-03 CN CN201010529703.5A patent/CN101977137B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697445A (zh) * | 2004-05-12 | 2005-11-16 | 华为技术有限公司 | 一种实现虚拟私有网络中数据传输的方法 |
| CN1744565A (zh) * | 2005-09-22 | 2006-03-08 | 武汉思为同飞网络技术有限公司 | 一种解决vpn子网地址冲突的系统和方法 |
| CN101304388A (zh) * | 2008-06-20 | 2008-11-12 | 华为技术有限公司 | 解决ip地址冲突的方法、装置及系统 |
Non-Patent Citations (6)
| Title |
|---|
| .2010,第8页. * |
| 一种解决VPN应用中内部地址冲突的机制;肖凌等;《计算机工程与科学》;20100731;第32卷(第7期);第8-12页 * |
| 佚名.思科VPN配置十大常见问题及其解决.< * |
| 佚名.思科VPN配置十大常见问题及其解决.<百度文库http://wenku.baidu.con/view/664d85659b6648d7c1c7469a.html>.2010,第8页. |
| 百度文库http://wenku.baidu.con/view/664d85659b6648d7c1c7469a.html> * |
| 肖凌等.一种解决VPN应用中内部地址冲突的机制.《计算机工程与科学》.2010,第32卷(第7期),第8-12页. |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101977137A (zh) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9219698B2 (en) | Providing a layer-3 interface | |
| CN108259303B (zh) | 一种报文转发方法及装置 | |
| CN102111311A (zh) | 通过二层隧道协议访问监控私网的方法及服务器 | |
| JPS61144148A (ja) | ローカルエリアネツトワークをブリツジングする装置 | |
| CN101146026B (zh) | 报文过滤方法及系统和装置 | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| CN103747116A (zh) | 一种基于二层隧道协议的业务访问方法及装置 | |
| CN104993993A (zh) | 一种报文处理方法、设备和系统 | |
| CN103795630A (zh) | 一种标签交换网络的报文传输方法和装置 | |
| JPWO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| CN101977137B (zh) | Vpn中的地址冲突检测和自适应的方法 | |
| CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
| CN111385822A (zh) | 一种配置方法及控制器 | |
| JP2010056819A (ja) | 拠点間通信のための通信ネットワークシステム、回線接続装置及び帯域制御方法 | |
| CN102437927B (zh) | 一种以太网设备管理平面的管理方法和系统 | |
| US9591025B2 (en) | IP-free end-point management appliance | |
| CN104113475B (zh) | 基于Linux的家庭网关的网络路由实现方法和系统 | |
| CN104113889B (zh) | 一种基于回传通道的连接建立的方法及装置 | |
| CN104869118A (zh) | 一种基于动态隧道技术实现DDoS防御的方法及系统 | |
| KR20140144518A (ko) | 선박의 네트워크 통합 시스템 및 그 제어방법 | |
| JP2006279771A (ja) | パケット伝送方式およびパケット伝送プログラム | |
| JP2018064228A (ja) | パケット制御装置 | |
| KR101114921B1 (ko) | 이동통신에서의 가상 사설망 서비스 제공 장치 및 방법 | |
| CN102724166A (zh) | 防御攻击的网络连接系统及路由器 | |
| CN101150510B (zh) | 一种实现GRE协议兼容IPinIP协议的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |