CN102739506A - 对vpn通信进行透传的方法 - Google Patents
对vpn通信进行透传的方法 Download PDFInfo
- Publication number
- CN102739506A CN102739506A CN2011100928026A CN201110092802A CN102739506A CN 102739506 A CN102739506 A CN 102739506A CN 2011100928026 A CN2011100928026 A CN 2011100928026A CN 201110092802 A CN201110092802 A CN 201110092802A CN 102739506 A CN102739506 A CN 102739506A
- Authority
- CN
- China
- Prior art keywords
- local area
- area network
- lan
- address
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000005540 biological transmission Effects 0.000 title claims abstract description 7
- 238000002955 isolation Methods 0.000 claims abstract description 6
- 230000008859 change Effects 0.000 claims description 16
- 238000006243 chemical reaction Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 8
- 238000013507 mapping Methods 0.000 abstract 2
- 238000005516 engineering process Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000035772 mutation Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种对VPN通信进行透传的方法,它包括以下步骤:1)一个局域网络中,内部电脑的IP地址全部设置为互联网出口的公网IP地址;2)局域网的路由器,接收到内部电脑发送来的VPN数据包,不改变IP地址,只改变MAC地址,把IP包转发到互联网;3)在局域网的路由器上,建立内部电脑和其访问的VPN服务器IP地址之间的关联映射表;4)局域网的路由器,接收到从VPN服务器发回来的IP包,不改变IP地址,只改变MAC地址,查找关联映射表,把IP包转发到内部电脑;5)对局域网的内部电脑进行通信隔离。本发明的方法只使用一个公网IP地址,解决局域网和互联网之间进行IPSEC的VPN通信问题。
Description
【技术领域】
本发明涉及计算机网络通信方法,尤其涉及一种对VPN通信进行透传的方法。
【背景技术】
因为IPv4互联网网络IP地址数量的有限性,当前大多数以太局域网中的电脑或其他设备,都必须通过NAT处理,共用一个互联网出口的公网IP地址,才能实现连接访问互联网的通信功能。当前存在两种基本的NAT处理方式:NAT和NAPT。NAT是一对一转换,一个局域网中的私有IP地址,对应一个互联网公网IP地址。NAPT,是一对多转换,多个局域网中的私有IP地址,都使用一个相同的互联网公网IP地址。还存在其它变种NAT技术,但无论哪种NAT变种技术,都需要改变数据包中IP头部的IP地址。
NAT技术,虽然解决了局域网中多台电脑、共享一个公网IP地址、同时访问互联网的应用需求,但也对某些特殊的通信功能,带来限制。例如,对互联网中虚拟局域网(VPN)通信,带来诸多限制,使很多VPN通信,不能在局域网电脑和公网服务器之间进行,局域网中的电脑,不能成功拨号连接到公网上的VPN服务器。尤其是对IPSEC隧道模式实现的VPN通信,更是限制。IPSEC隧道模式的VPN通信,完全无法在局域网中电脑和公网服务器之间进行。IPSEC隧道模式通信,不允许从局域网内电脑发出的IP包,在到达互联网上的VPN服务器之前,IP地址发生改变。从VPN服务器发出的IP包,在到达局域网内电脑之前,也不允许IP地址发生改变。然而NAT处理,至少会改变IP包中IP头的IP地址。这样,就带来矛盾,造成两者无法兼容共存。
这个问题,对于酒店来讲,更是一个大问题。对于企业局域网,还可以部署某种特殊的软件或设备,来实现VPN对于NAT的穿透,实现VPN通信。但是对于酒店局域网,每天有各种各样的客人入住,每个客人可能有各种不同的VPN通信方式。尤其是IPSEC隧道模式的VPN通信,在欧美的使用范围很广泛。这些外国客人到中国来商务旅行,入住中国的酒店,也需要和客人所在公司的总部,进行IPSEC隧道模式的VPN通信。这种通信行为,完全无法在中国绝大多数酒店中实现,影响酒店的上网服务质量。
少数高星酒店,在客人需要IPSEC隧道模式的VPN通信时,临时分配一个备用的公网IP地址给客人使用,客人使用完后,再收回这个公网IP地址。这种临时的措施,虽然可以满足客人的VPN通信要求,但也给酒店管理方,带来很大的管理负担。并且酒店必须先向电信公司申请一个或多个公网IP地址,保留备用。这样的操作模式,既给酒店方带来成本负担,也带来宝贵公网IP地址资源的浪费。因为酒店保留备用的公网IP地址,平时是空闲的,客人需要时才使用。电信公司又必须一直给酒店保留这些公网IP地址,不能有效利用这些公网IP地址资源。
因此,开发研究一种可以有效解决局域网和互联网之间进行IPSEC隧道模式下的VPN通信问题的通信方法,成为一个亟待研究的课题。
【发明内容】
本发明克服现有技术中的不足,提供了一种对VPN通信进行透传的方法,它使局域网中的内部电脑与互联网之间能进行IPSEC隧道模式下的VPN通信,在IP包传递的过程中,不改变IP包中IP头的IP地址。
本发明的目的是这样实现的:它包括以下步骤:
1)将局域网内部每台需要访问互联网的电脑,在局域网中的IP地址,都设置为局域网的互联网出口的公网IP地址;
2)局域网的上网路由器的LAN网口接收到内部电脑发送来的VPN通信IP包时,不改变任何IP层数据,不做任何NAT转换处理,只改变链路层的数据,只转换源MAC地址和目的MAC地址,然后把VPN通信IP包转发到互联网;
3)在局域网的上网路由器上,建立局域网内部电脑和其当前访问的VPN服务器IP地址之间的关联映射表;
4)局域网的上网路由器的WAN网口接收到从互联网上VPN服务器发回来的IP包,根据IP包的源IP地址,查找上面第3个步骤建立起来的关联映射表,查找到该IP包对应的内部电脑;局域网上网路由器不对IP层数据做任何改变,不做任何NAT转换处理,只改变链路层上的数据,只转换源MAC地址和目的MAC地址,然后把IP包转发到对应的内部电脑;
5)对局域网的内部电脑,进行通信隔离,保证局域网中的多台内部电脑可以同时使用同一个IP地址,使内部电脑之间的通信无互相干扰。
本发明的有益效果在于:对于IPSEC隧道模式的VPN通信问题,在本发明技术方案中,当局域网电脑和互联网上的VPN服务器进行通信,双方收发的IP包数据,在路由器上都没有做IP地址转换,所以可以顺利进行IPSEC隧道模式的VPN通信,从而彻底解决局域网和外部互联网之间进行VPN通信的问题;尤其是在酒店局域网中,本发明具有重要的实际使用价值。酒店局域网,客人和客人之间不需要在局域网中互相通信,所以,可以通过对酒店交换机进行二层VLAN配置,把不同房间的客人,互相隔离,实际酒店网络,满足本发明技术实施的条件。所以,在酒店中,可以使用本发明的技术方案,解决客人需要进行IPSEC隧道模式通信的难题。酒店使用本发明技术实现的路由器,客人把自己的电脑,直接设置为酒店互联网出口公网IP地址,就可以通过IPSEC隧道模式进行通信,连接到自己公司的VPN服务器。
【具体实施方式】
本发明可以按如下的步骤,来进行具体的开发和实施:
1)将局域网内部每台需要访问互联网的电脑在局域网中的IP地址,都设置为局域网的互联网出口的公网IP地址。例如,一个局域网,互联网出口的公网IP地址是202.61.186.120,那么此局域网的上网路由器上,WAN口IP地址设置为公网IP地址202.61.186.120,此局域网的所有内部电脑,IP地址也设置为202.61.186.120。内部电脑的网关IP地址,可以设置为同网段的任何有效的IP地址,如:202.61.186.1。
2)当局域网内部电脑发出其网关IP地址对应MAC地址的ARP查询包时,由局域网的上网路由器的LAN网口,来响应此ARP查询。例如,局域网的上网路由器的LAN网口,还是设置一个私网IP地址,如192.168.1.1,对于局域网内部电脑,这个LAN口还将担负起内部电脑的网关(202.61.186.1)的角色。当内部电脑发出ARP查询包,询问其网关IP地址(202.61.186.1)对应的MAC地址时,路由器的LAN网口将发出ARP响应包,响应查询,通知内部电脑,202.61.186.1对应的MAC地址,就是路由器LAN网口的MAC地址。如此,内部电脑访问互联网上的IP地址时,其IP包将被发送到路由器的LAN网口上来。局域网的上网路由器,当其LAN网口接收到内部电脑发送来的VPN通信IP包时,不改变任何IP层数据,不做任何NAT转换处理,只改变链路层的数据,转换源MAC地址和目的MAC地址,直接通过WAN网口,把IP包转发到互联网。
3)在局域网的上网路由器上,建立一个局域网内部电脑的MAC地址和其访问的VPN服务器IP地址之间的一个关联映射表。
例如下面表格例子:
在实际实施的过程中,该关联映射表可能会出现某种变化。例如,VPN服务器的IP地址先和局域网内部电脑所在的802.1Q的VLAN ID号关联,VLAN ID号再和局域网内部电脑的MAC地址关联,但实质还是VPN服务器的IP地址和局域网内部电脑的MAC地址关联映射。
4)局域网的上网路由器的WAN网口,接收到从互联网上VPN服务器发回来的IP包,根据IP包的源IP地址,查找上面第3个步骤建立起来的关联映射表,查找到该IP包对应的内部电脑的MAC地址。局域网上网路由器不对IP层数据做任何改变,不做任何NAT转换处理,只改变链路层上的数据,只转换源MAC地址和目的MAC地址,直接通过路由器的LAN网口,把IP包转发到对应的内部电脑。
5)对局域网的内部电脑,进行通信隔离,保证局域网内部电脑可以同时使用相同的IP地址,使内部电脑之间的通信无互相干扰。局域网络中,既然所有电脑的IP地址都设置为出口公网IP地址,这里面就存在电脑之间的IP地址冲突问题,但这个问题,可以通过隔离局域网中的电脑来解决,把局域网里面的电脑都互相隔离,电脑通信,互相之间不产生相互影响,这样,即使多台电脑使用设置为同一个IP地址,还是不会产生IP地址冲突的问题;在现有的技术条件下,在局域网中划分二层VLAN,即可隔离局域网中电脑通信,把每一台内部电脑连接的交换机端口,都划分设置成互相独立的二层VLAN,物理层互相隔离,内部电脑的通信,就不会受到其它电脑的相互影响,内部电脑,就都可以使用同一个IP地址;在现有的技术条件下,既可以通过交换机的私有VLAN的设置,也可以通过交换机802.1Q的VLAN的设置,来满足这个要求,实际实施中,只要能达到使电脑之间相互隔离的目的,可以采取任何隔离技术措施。
由上述实施步骤可知,对局域网的上网路由器,进行局域网网络实施配置,局域网中的所有电脑,都可以顺利地和公网VPN服务器之间,进行IPSEC隧道模式的VPN通信,因为局域网内部电脑,和公网VPN服务器之间的通信IP包,在传输过程中,其IP数据,没有被做任何改变;局域网内部电脑,还是只共享一个公网IP地址,不需要每台电脑都使用独立不同的公网IP地址。
在本发明中,对于互联网返回到局域网电脑的数据包,必须根据源IP地址来查找下一跳的局域网内部电脑的MAC地址,所以,局域网内部电脑,在某一个时刻,必须各自访问不同的VPN服务器IP地址,不能存在同时两台或两台以上局域网内部电脑同时访问同一个VPN服务器IP地址的情况。这个限制,对于酒店客人上网的情况,刚好能够满足。同一个酒店的客人,客人都分别属于各自不同的公司,需要连接的VPN服务器,都分别不同,相同的几率很小。所以,在酒店中,可以使用本发明的技术方案,解决客人需要进行IPSEC隧道模式通信的难题。酒店使用本发明技术实现的路由器,客人把自己的电脑,直接设置为酒店互联网出口公网IP地址,就可各自同时连接自己公司的VPN服务器。如果是同一个公司来的多个客人同时入住同一家酒店,虽然这几个客人不能同时连接客人公司的VPN服务器,但这几个客人之间,可以互相协商,轮流依次使用酒店网络,依次连接客人公司的VPN服务器。
实际使用中,一个局域网,其上网出口可能不只有一个公网IP地址,其上网出口可能存在多个公网IP地址,对于其中的每一个公网IP地址,都可以使用本发明方法来进行VPN通信处理。
本发明解决了局域网和互联网之间进行IPSEC隧道模式的VPN通信问题,但也不局限于只解决此VPN通信的问题,利用本发明的技术,可以解决很多类似的通信问题,当NAT处理影响通信的顺利进行时,就可以考虑采取本发明的技术方案,来解决这种问题。
根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行适当的变更和修改。因此,本发明并不局限于上面揭示和描述的具体实施方式,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何限制。
Claims (1)
1.对VPN通信进行透传的方法,其特征在于下述步骤:
1)将局域网内部每台需要访问互联网的电脑,在局域网中的IP地址,都设置为局域网的互联网出口的公网IP地址;
2)局域网的上网路由器的LAN网口接收到内部电脑发送来的VPN通信IP包时,不改变任何IP层数据,不做任何NAT转换处理,只改变链路层的数据,只转换源MAC地址和目的MAC地址,然后把VPN通信IP包转发到互联网;
3)在局域网的上网路由器上,建立局域网内部电脑和其当前访问的VPN服务器IP地址之间的关联映射表;
4)局域网的上网路由器的WAN网口接收到从互联网上VPN服务器发回来的IP包,根据IP包的源IP地址,查找上面第3个步骤建立起来的关联映射表,查找到该IP包对应的内部电脑;局域网上网路由器不对IP层数据做任何改变,不做任何NAT转换处理,只改变链路层上的数据,只转换源MAC地址和目的MAC地址,然后把IP包转发到对应的内部电脑;
5)对局域网的内部电脑,进行通信隔离,保证局域网中的多台内部电脑可以同时使用同一个IP地址,使内部电脑之间的通信无互相干扰。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110092802.6A CN102739506B (zh) | 2011-04-13 | 2011-04-13 | 对vpn通信进行透传的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110092802.6A CN102739506B (zh) | 2011-04-13 | 2011-04-13 | 对vpn通信进行透传的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102739506A true CN102739506A (zh) | 2012-10-17 |
CN102739506B CN102739506B (zh) | 2015-09-09 |
Family
ID=46994324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110092802.6A Expired - Fee Related CN102739506B (zh) | 2011-04-13 | 2011-04-13 | 对vpn通信进行透传的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102739506B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104811507A (zh) * | 2014-01-26 | 2015-07-29 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
CN107026784A (zh) * | 2017-06-13 | 2017-08-08 | 电子科技大学 | 一种远程虚拟专网网关装置及实现方法 |
WO2018161684A1 (zh) * | 2017-03-06 | 2018-09-13 | 中兴通讯股份有限公司 | 数据发送方法及装置、路由器 |
CN109194775A (zh) * | 2018-09-06 | 2019-01-11 | 杭州光芯科技有限公司 | 一种基于nat技术的改进的自适应共享网络 |
CN113194162A (zh) * | 2021-04-28 | 2021-07-30 | 浙江宇视科技有限公司 | 一种数据传输方法、装置、电子设备及介质 |
CN114157653A (zh) * | 2021-12-07 | 2022-03-08 | 福建星网视易信息系统有限公司 | 一种上网方法、局域网服务器和计算机存储介质 |
CN114844697A (zh) * | 2022-04-29 | 2022-08-02 | 杭州云缔盟科技有限公司 | 实现Windows电脑远程加入AD域的方法、装置及应用 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1173256A (zh) * | 1995-09-18 | 1998-02-11 | 数字保证网络技术股份有限公司 | 网络安全装置 |
JP2002016640A (ja) * | 2000-06-30 | 2002-01-18 | Nec Corp | ルーティング装置及びそれに用いる仮想私設網方式 |
CN1495631A (zh) * | 2002-09-17 | 2004-05-12 | ���ǵ�����ʽ���� | 网际协议地址分配设备和方法 |
CN1822598A (zh) * | 2005-02-16 | 2006-08-23 | 阿尔卡特公司 | Ip到虚拟专用局域网业务的互通 |
US20060195900A1 (en) * | 2005-02-28 | 2006-08-31 | Yao-Chih Yeh | Network apparatus with secure IPSec mechanism and method for operating the same |
CN101087258A (zh) * | 2007-08-01 | 2007-12-12 | 杭州华三通信技术有限公司 | 一种跨虚拟私有网络访问直联设备的方法及装置 |
-
2011
- 2011-04-13 CN CN201110092802.6A patent/CN102739506B/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1173256A (zh) * | 1995-09-18 | 1998-02-11 | 数字保证网络技术股份有限公司 | 网络安全装置 |
JP2002016640A (ja) * | 2000-06-30 | 2002-01-18 | Nec Corp | ルーティング装置及びそれに用いる仮想私設網方式 |
CN1495631A (zh) * | 2002-09-17 | 2004-05-12 | ���ǵ�����ʽ���� | 网际协议地址分配设备和方法 |
CN1822598A (zh) * | 2005-02-16 | 2006-08-23 | 阿尔卡特公司 | Ip到虚拟专用局域网业务的互通 |
US20060195900A1 (en) * | 2005-02-28 | 2006-08-31 | Yao-Chih Yeh | Network apparatus with secure IPSec mechanism and method for operating the same |
CN101087258A (zh) * | 2007-08-01 | 2007-12-12 | 杭州华三通信技术有限公司 | 一种跨虚拟私有网络访问直联设备的方法及装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104811507A (zh) * | 2014-01-26 | 2015-07-29 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
CN104811507B (zh) * | 2014-01-26 | 2018-05-01 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
WO2018161684A1 (zh) * | 2017-03-06 | 2018-09-13 | 中兴通讯股份有限公司 | 数据发送方法及装置、路由器 |
CN108540385A (zh) * | 2017-03-06 | 2018-09-14 | 中兴通讯股份有限公司 | 数据发送方法及装置、路由器 |
CN107026784A (zh) * | 2017-06-13 | 2017-08-08 | 电子科技大学 | 一种远程虚拟专网网关装置及实现方法 |
CN109194775A (zh) * | 2018-09-06 | 2019-01-11 | 杭州光芯科技有限公司 | 一种基于nat技术的改进的自适应共享网络 |
CN113194162A (zh) * | 2021-04-28 | 2021-07-30 | 浙江宇视科技有限公司 | 一种数据传输方法、装置、电子设备及介质 |
CN114157653A (zh) * | 2021-12-07 | 2022-03-08 | 福建星网视易信息系统有限公司 | 一种上网方法、局域网服务器和计算机存储介质 |
CN114844697A (zh) * | 2022-04-29 | 2022-08-02 | 杭州云缔盟科技有限公司 | 实现Windows电脑远程加入AD域的方法、装置及应用 |
Also Published As
Publication number | Publication date |
---|---|
CN102739506B (zh) | 2015-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102739506B (zh) | 对vpn通信进行透传的方法 | |
CN104335532B (zh) | 将分组路由到虚拟转发实例的远端地址的方法和装置 | |
CN103650427B (zh) | 用于在互联网协议网络上路由以太网分组的集中式系统 | |
CN103227843B (zh) | 一种物理链路地址管理方法及装置 | |
CN105591863B (zh) | 一种实现虚拟私有云网络与外部网络互通的方法和装置 | |
CN103748558B (zh) | 用于在物理网络上覆盖虚拟网络的系统和方法 | |
CN103270736B (zh) | 一种网络设备 | |
US20160350151A1 (en) | System and method for routing network frames between virtual machines | |
CN101488904B (zh) | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 | |
CN105391771A (zh) | 一种面向多租户的云网络架构 | |
US20130021944A1 (en) | Method to Pass Virtual Local Area Network Information in Virtual Station Interface Discovery and Configuration Protocol | |
CN107770062A (zh) | 一种数据包发送方法、装置及网络架构 | |
KR20180073726A (ko) | 논리적 라우터 | |
US20100316056A1 (en) | Techniques for routing data between network areas | |
WO2015150756A1 (en) | Data center networks | |
CN104135446B (zh) | 基于SDN实现IPv4向IPv6过渡的系统及方法 | |
CN105978708A (zh) | 基于NFV实现vCPE虚拟化企业网络的系统及方法 | |
CN102821020B (zh) | 通过复制中转ip包来透传vpn通信的方法 | |
CN102859973A (zh) | 一种地址解析的方法,装置和系统 | |
TW201541262A (zh) | 以軟體定義網路(sdn)支援虛擬機器遷移之方法 | |
CN104601428A (zh) | 虚拟机之间的通信方法 | |
CN106657442A (zh) | 基于VxLAN实现媒体共享存储网络的系统及其方法 | |
CN1199405C (zh) | 用虚拟路由器构建的企业外部虚拟专网系统及方法 | |
CN105681486B (zh) | 一种XinIP的跨广播域数据通信方法 | |
CN117255089A (zh) | 容器网络系统及其使用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20201112 Address after: 226600 No. 188 Baichuan Road, Haian High-tech Zone, Nantong City, Jiangsu Province Patentee after: JIANGSU SHUANGSHUANG HI-TECH Co.,Ltd. Address before: 2-4, building 4, No. 3, South Street, Nanchuan, Chongqing Patentee before: Li Xiaolin |
|
TR01 | Transfer of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150909 |
|
CF01 | Termination of patent right due to non-payment of annual fee |