CN102739506A - 对vpn通信进行透传的方法 - Google Patents

Abstract

本发明公开了一种对VPN通信进行透传的方法，它包括以下步骤：1)一个局域网络中，内部电脑的IP地址全部设置为互联网出口的公网IP地址；2)局域网的路由器，接收到内部电脑发送来的VPN数据包，不改变IP地址，只改变MAC地址，把IP包转发到互联网；3)在局域网的路由器上，建立内部电脑和其访问的VPN服务器IP地址之间的关联映射表；4)局域网的路由器，接收到从VPN服务器发回来的IP包，不改变IP地址，只改变MAC地址，查找关联映射表，把IP包转发到内部电脑；5)对局域网的内部电脑进行通信隔离。本发明的方法只使用一个公网IP地址，解决局域网和互联网之间进行IPSEC的VPN通信问题。

Description

对VPN通信进行透传的方法

【技术领域】

本发明涉及计算机网络通信方法，尤其涉及一种对VPN通信进行透传的方法。

【背景技术】

因为IPv4互联网网络IP地址数量的有限性，当前大多数以太局域网中的电脑或其他设备，都必须通过NAT处理，共用一个互联网出口的公网IP地址，才能实现连接访问互联网的通信功能。当前存在两种基本的NAT处理方式：NAT和NAPT。NAT是一对一转换，一个局域网中的私有IP地址，对应一个互联网公网IP地址。NAPT，是一对多转换，多个局域网中的私有IP地址，都使用一个相同的互联网公网IP地址。还存在其它变种NAT技术，但无论哪种NAT变种技术，都需要改变数据包中IP头部的IP地址。

NAT技术，虽然解决了局域网中多台电脑、共享一个公网IP地址、同时访问互联网的应用需求，但也对某些特殊的通信功能，带来限制。例如，对互联网中虚拟局域网(VPN)通信，带来诸多限制，使很多VPN通信，不能在局域网电脑和公网服务器之间进行，局域网中的电脑，不能成功拨号连接到公网上的VPN服务器。尤其是对IPSEC隧道模式实现的VPN通信，更是限制。IPSEC隧道模式的VPN通信，完全无法在局域网中电脑和公网服务器之间进行。IPSEC隧道模式通信，不允许从局域网内电脑发出的IP包，在到达互联网上的VPN服务器之前，IP地址发生改变。从VPN服务器发出的IP包，在到达局域网内电脑之前，也不允许IP地址发生改变。然而NAT处理，至少会改变IP包中IP头的IP地址。这样，就带来矛盾，造成两者无法兼容共存。

这个问题，对于酒店来讲，更是一个大问题。对于企业局域网，还可以部署某种特殊的软件或设备，来实现VPN对于NAT的穿透，实现VPN通信。但是对于酒店局域网，每天有各种各样的客人入住，每个客人可能有各种不同的VPN通信方式。尤其是IPSEC隧道模式的VPN通信，在欧美的使用范围很广泛。这些外国客人到中国来商务旅行，入住中国的酒店，也需要和客人所在公司的总部，进行IPSEC隧道模式的VPN通信。这种通信行为，完全无法在中国绝大多数酒店中实现，影响酒店的上网服务质量。

少数高星酒店，在客人需要IPSEC隧道模式的VPN通信时，临时分配一个备用的公网IP地址给客人使用，客人使用完后，再收回这个公网IP地址。这种临时的措施，虽然可以满足客人的VPN通信要求，但也给酒店管理方，带来很大的管理负担。并且酒店必须先向电信公司申请一个或多个公网IP地址，保留备用。这样的操作模式，既给酒店方带来成本负担，也带来宝贵公网IP地址资源的浪费。因为酒店保留备用的公网IP地址，平时是空闲的，客人需要时才使用。电信公司又必须一直给酒店保留这些公网IP地址，不能有效利用这些公网IP地址资源。

因此，开发研究一种可以有效解决局域网和互联网之间进行IPSEC隧道模式下的VPN通信问题的通信方法，成为一个亟待研究的课题。

【发明内容】

本发明克服现有技术中的不足，提供了一种对VPN通信进行透传的方法，它使局域网中的内部电脑与互联网之间能进行IPSEC隧道模式下的VPN通信，在IP包传递的过程中，不改变IP包中IP头的IP地址。

本发明的目的是这样实现的：它包括以下步骤：

1)将局域网内部每台需要访问互联网的电脑，在局域网中的IP地址，都设置为局域网的互联网出口的公网IP地址；

2)局域网的上网路由器的LAN网口接收到内部电脑发送来的VPN通信IP包时，不改变任何IP层数据，不做任何NAT转换处理，只改变链路层的数据，只转换源MAC地址和目的MAC地址，然后把VPN通信IP包转发到互联网；

3)在局域网的上网路由器上，建立局域网内部电脑和其当前访问的VPN服务器IP地址之间的关联映射表；

4)局域网的上网路由器的WAN网口接收到从互联网上VPN服务器发回来的IP包，根据IP包的源IP地址，查找上面第3个步骤建立起来的关联映射表，查找到该IP包对应的内部电脑；局域网上网路由器不对IP层数据做任何改变，不做任何NAT转换处理，只改变链路层上的数据，只转换源MAC地址和目的MAC地址，然后把IP包转发到对应的内部电脑；

5)对局域网的内部电脑，进行通信隔离，保证局域网中的多台内部电脑可以同时使用同一个IP地址，使内部电脑之间的通信无互相干扰。

本发明的有益效果在于：对于IPSEC隧道模式的VPN通信问题，在本发明技术方案中，当局域网电脑和互联网上的VPN服务器进行通信，双方收发的IP包数据，在路由器上都没有做IP地址转换，所以可以顺利进行IPSEC隧道模式的VPN通信，从而彻底解决局域网和外部互联网之间进行VPN通信的问题；尤其是在酒店局域网中，本发明具有重要的实际使用价值。酒店局域网，客人和客人之间不需要在局域网中互相通信，所以，可以通过对酒店交换机进行二层VLAN配置，把不同房间的客人，互相隔离，实际酒店网络，满足本发明技术实施的条件。所以，在酒店中，可以使用本发明的技术方案，解决客人需要进行IPSEC隧道模式通信的难题。酒店使用本发明技术实现的路由器，客人把自己的电脑，直接设置为酒店互联网出口公网IP地址，就可以通过IPSEC隧道模式进行通信，连接到自己公司的VPN服务器。

【具体实施方式】

本发明可以按如下的步骤，来进行具体的开发和实施：

1)将局域网内部每台需要访问互联网的电脑在局域网中的IP地址，都设置为局域网的互联网出口的公网IP地址。例如，一个局域网，互联网出口的公网IP地址是202.61.186.120，那么此局域网的上网路由器上，WAN口IP地址设置为公网IP地址202.61.186.120，此局域网的所有内部电脑，IP地址也设置为202.61.186.120。内部电脑的网关IP地址，可以设置为同网段的任何有效的IP地址，如：202.61.186.1。

2)当局域网内部电脑发出其网关IP地址对应MAC地址的ARP查询包时，由局域网的上网路由器的LAN网口，来响应此ARP查询。例如，局域网的上网路由器的LAN网口，还是设置一个私网IP地址，如192.168.1.1，对于局域网内部电脑，这个LAN口还将担负起内部电脑的网关(202.61.186.1)的角色。当内部电脑发出ARP查询包，询问其网关IP地址(202.61.186.1)对应的MAC地址时，路由器的LAN网口将发出ARP响应包，响应查询，通知内部电脑，202.61.186.1对应的MAC地址，就是路由器LAN网口的MAC地址。如此，内部电脑访问互联网上的IP地址时，其IP包将被发送到路由器的LAN网口上来。局域网的上网路由器，当其LAN网口接收到内部电脑发送来的VPN通信IP包时，不改变任何IP层数据，不做任何NAT转换处理，只改变链路层的数据，转换源MAC地址和目的MAC地址，直接通过WAN网口，把IP包转发到互联网。

3)在局域网的上网路由器上，建立一个局域网内部电脑的MAC地址和其访问的VPN服务器IP地址之间的一个关联映射表。

例如下面表格例子：

在实际实施的过程中，该关联映射表可能会出现某种变化。例如，VPN服务器的IP地址先和局域网内部电脑所在的802.1Q的VLAN ID号关联，VLAN ID号再和局域网内部电脑的MAC地址关联，但实质还是VPN服务器的IP地址和局域网内部电脑的MAC地址关联映射。

4)局域网的上网路由器的WAN网口，接收到从互联网上VPN服务器发回来的IP包，根据IP包的源IP地址，查找上面第3个步骤建立起来的关联映射表，查找到该IP包对应的内部电脑的MAC地址。局域网上网路由器不对IP层数据做任何改变，不做任何NAT转换处理，只改变链路层上的数据，只转换源MAC地址和目的MAC地址，直接通过路由器的LAN网口，把IP包转发到对应的内部电脑。

5)对局域网的内部电脑，进行通信隔离，保证局域网内部电脑可以同时使用相同的IP地址，使内部电脑之间的通信无互相干扰。局域网络中，既然所有电脑的IP地址都设置为出口公网IP地址，这里面就存在电脑之间的IP地址冲突问题，但这个问题，可以通过隔离局域网中的电脑来解决，把局域网里面的电脑都互相隔离，电脑通信，互相之间不产生相互影响，这样，即使多台电脑使用设置为同一个IP地址，还是不会产生IP地址冲突的问题；在现有的技术条件下，在局域网中划分二层VLAN，即可隔离局域网中电脑通信，把每一台内部电脑连接的交换机端口，都划分设置成互相独立的二层VLAN，物理层互相隔离，内部电脑的通信，就不会受到其它电脑的相互影响，内部电脑，就都可以使用同一个IP地址；在现有的技术条件下，既可以通过交换机的私有VLAN的设置，也可以通过交换机802.1Q的VLAN的设置，来满足这个要求，实际实施中，只要能达到使电脑之间相互隔离的目的，可以采取任何隔离技术措施。

由上述实施步骤可知，对局域网的上网路由器，进行局域网网络实施配置，局域网中的所有电脑，都可以顺利地和公网VPN服务器之间，进行IPSEC隧道模式的VPN通信，因为局域网内部电脑，和公网VPN服务器之间的通信IP包，在传输过程中，其IP数据，没有被做任何改变；局域网内部电脑，还是只共享一个公网IP地址，不需要每台电脑都使用独立不同的公网IP地址。

在本发明中，对于互联网返回到局域网电脑的数据包，必须根据源IP地址来查找下一跳的局域网内部电脑的MAC地址，所以，局域网内部电脑，在某一个时刻，必须各自访问不同的VPN服务器IP地址，不能存在同时两台或两台以上局域网内部电脑同时访问同一个VPN服务器IP地址的情况。这个限制，对于酒店客人上网的情况，刚好能够满足。同一个酒店的客人，客人都分别属于各自不同的公司，需要连接的VPN服务器，都分别不同，相同的几率很小。所以，在酒店中，可以使用本发明的技术方案，解决客人需要进行IPSEC隧道模式通信的难题。酒店使用本发明技术实现的路由器，客人把自己的电脑，直接设置为酒店互联网出口公网IP地址，就可各自同时连接自己公司的VPN服务器。如果是同一个公司来的多个客人同时入住同一家酒店，虽然这几个客人不能同时连接客人公司的VPN服务器，但这几个客人之间，可以互相协商，轮流依次使用酒店网络，依次连接客人公司的VPN服务器。

实际使用中，一个局域网，其上网出口可能不只有一个公网IP地址，其上网出口可能存在多个公网IP地址，对于其中的每一个公网IP地址，都可以使用本发明方法来进行VPN通信处理。

本发明解决了局域网和互联网之间进行IPSEC隧道模式的VPN通信问题，但也不局限于只解决此VPN通信的问题，利用本发明的技术，可以解决很多类似的通信问题，当NAT处理影响通信的顺利进行时，就可以考虑采取本发明的技术方案，来解决这种问题。

根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行适当的变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何限制。

Claims (1)

1.对VPN通信进行透传的方法，其特征在于下述步骤：

1)将局域网内部每台需要访问互联网的电脑，在局域网中的IP地址，都设置为局域网的互联网出口的公网IP地址；

2)局域网的上网路由器的LAN网口接收到内部电脑发送来的VPN通信IP包时，不改变任何IP层数据，不做任何NAT转换处理，只改变链路层的数据，只转换源MAC地址和目的MAC地址，然后把VPN通信IP包转发到互联网；

3)在局域网的上网路由器上，建立局域网内部电脑和其当前访问的VPN服务器IP地址之间的关联映射表；

4)局域网的上网路由器的WAN网口接收到从互联网上VPN服务器发回来的IP包，根据IP包的源IP地址，查找上面第3个步骤建立起来的关联映射表，查找到该IP包对应的内部电脑；局域网上网路由器不对IP层数据做任何改变，不做任何NAT转换处理，只改变链路层上的数据，只转换源MAC地址和目的MAC地址，然后把IP包转发到对应的内部电脑；

5)对局域网的内部电脑，进行通信隔离，保证局域网中的多台内部电脑可以同时使用同一个IP地址，使内部电脑之间的通信无互相干扰。