CN102761483B - 一种不占用ip地址的隧道实现方法、系统及设备 - Google Patents
一种不占用ip地址的隧道实现方法、系统及设备 Download PDFInfo
- Publication number
- CN102761483B CN102761483B CN201210219710.4A CN201210219710A CN102761483B CN 102761483 B CN102761483 B CN 102761483B CN 201210219710 A CN201210219710 A CN 201210219710A CN 102761483 B CN102761483 B CN 102761483B
- Authority
- CN
- China
- Prior art keywords
- data message
- address
- ipsec
- ipsec vpn
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于数据通信领域,提供了一种不占用IP地址的隧道实现方法、系统及设备,所述方法包括:A、在底层协议栈构建数据报文拦截器、数据报文过滤器和数据报文分流器;B、数据报文拦截器截获所有通过IPSECVPN设备转发的数据报文;C、数据报文过滤器将截获的所有数据报文进行甄别和分类;D、数据报文分流器将经过甄别和分类后的数据报文进行分流处理。本发明相比于现有技术,可以节省日益紧张的IP地址,在部署IPSECVPN隧道时不需要改动网络配置,大大提高了IPSECVPN设备的易用性和网络适应性。
Description
技术领域
本发明属于数据通信领域,尤其涉及一种不占用IP 地址的隧道实现方法、系统及设备。
背景技术
目前,基于IPv4协议建立的数据网络面临越来越严重的IP地址不足的问题。市场上的设备通常都要为本设备单独设置一个IP地址,在进行设备安装和部署时,为了能够让该IP 地址顺利的进行网络数据的路由与交换,还必须对原有的用户网络进行一定程度的调整,如果用户网络没有为设备预留IP地址,那么该设备的部署将给用户的网络拓扑和正常业务带来巨大的影响。
发明内容
本发明的目的在于:提供一种不占用IP 地址的隧道实现方法、系统及设备,旨在解决现有技术中的设备通常都要为本设备单独设置一个IP地址,从而加剧了IPv4地址紧缺,同时为了能够让该IP 地址顺利的进行网络数据的路由与交换,还必须对原有的用户网络进行一定程度的调整,给用户的网络拓扑和正常业务带来巨大影响的问题。
本发明的目的是这样实现的:一种不占用IP 地址的隧道实现方法,所述隧道为IPSEC VPN,所述方法包括下述步骤:
A、在底层协议栈构建数据报文拦截器、数据报文过滤器和数据报文分流器;
B、数据报文拦截器截获所有通过IPSEC VPN设备转发的数据报文;
C、数据报文过滤器将截获的所有数据报文进行甄别和分类;
D、数据报文分流器将经过甄别和分类后的数据报文进行分流处理。
更进一步,IPSEC VPN隧道所用IP地址或与该IP地址相关的不同类型的数据报文采用不同的处理路径:链路层协议报文直接转发;IPSEC数据报文重定向到协议栈进行处理;传输层报文直接转发。
更进一步,协议栈建立虚拟网卡对IPSEC数据报文进行封装与解封装、加密与解密处理。
更进一步,IPSEC VPN隧道所采用的IP地址与内部网络的在线设备共用。
更进一步,在采用双机设备形式部署的环境下,IPSEC VPN隧道所采用的IP地址与备用机共用。
更进一步,所述内部网络的在线设备为三层交换机或服务器。
本发明的另一目的在于:提供一种不占用IP 地址实现IPSEC VPN隧道系统,本发明的目的是这样实现的:所述系统包括:
数据报文拦截器,用于截获所有通过IPSEC VPN设备转发的数据报文;
数据报文过滤器,用于将截获的所有数据报文进行甄别和分类;
数据报文分流器,用于将经过甄别和分类后的数据报文进行分流处理。
作为优选,还包括基于虚拟网卡技术建立的协议处理器,用于对IPSEC数据报文进行封装与解封装、加密与解密处理。
本发明的另一目的在于:提供一种包含不占用IP 地址实现IPSEC VPN隧道系统的IPSEC VPN设备。
本发明的突出优点是:本发明通过将IPSEC VPN隧道所采用的IP地址与内部网络的三层交换机或服务器等在线设备共用,可以节省日益紧张的IP 地址,在部署IPSEC VPN隧道时不需要改动网络配置,大大提高了IPSEC VPN设备的易用性和网络适应性。
附图说明
图1是本发明实施例提供的不占用IP 地址的隧道实现方法流程图;
图2是本发明实施例提供的IPSEC VPN设备结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供的在网络环境下不占用IP 地址的隧道实现方法、系统及设备,通过将IPSEC VPN隧道所采用的IP地址与内部网络的三层交换机或服务器等在线设备共用,可以节省日益紧张的IP 地址,在部署IPSEC VPN隧道时不需要改动网络配置,大大提高了IPSEC VPN设备的易用性和网络适应性。
图1为本发明实施例提供的在网络环境下不占用IP 地址实现IPSEC VPN隧道方法的实现流程,详述如下:
在步骤S101中,在底层协议栈构建数据报文拦截器、数据报文过滤器和数据报文分流器。数据报文拦截器可以捕获在本系统物理网卡接收到的所有类型的数据帧;数据报文过滤器根据链路层的源和目的MAC地址、源和目的IP地址、协议号、目的传输层端口以及IPSEC的SPI索引等信息对数据文本进行分类处理,不同类型的报文打上不同标记;数据报文分流器可以根据不同的报文类型,将数据报文放入不同的处理路径。
在步骤S102中,数据报文拦截器截获所有通过IPSEC VPN设备转发的数据报文并获取包括链路层、网络层、传输层和应用层的全部信息。
在步骤S103中,数据报文过滤器将所有的数据报文进行甄别和分类。本步骤中需要区分ARP等链路层协议、ESP和AH等IPSEC数据报文以及IPSEC VPN设备保留端口号的IP报文。
在步骤S104中,数据报文分流器将经过甄别和分类后的数据报文进行分流处理,对目的地址具有IPSEC VPN隧道所用IP地址或与该IP地址相关的不同类型的数据报文采用不同的处理路径:ARP等链路层协议报文直接转发;ESP和AH等IPSEC数据报文重定向到IPSEC VPN设备协议栈的协议处理器进行处理;IPSEC VPN设备保留端口号以外的所有IP;传输层报文直接转发。
在步骤S105中,IPSEC VPN设备协议栈基于虚拟网卡技术建立协议处理器对IPSEC数据报文进行封装与解封装、加密与解密处理。IPSEC VPN隧道所采用的IP地址与内部网络的三层交换机或服务器等在线设备共用,在采用双机备用形式部署的环境下也可与备用机共用。
图2则示出了本发明实施例提供的IPSEC VPN设备的结构,其中,处理系统22即示出了本发明实施例提供的在网络环境下不占用IP 地址实现IPSEC VPN隧道系统的结构,为了便于说明,仅示出了与本发明实施例相关的部分,这些部分可以是软件、硬件或软硬件结合的模块:
数据报文拦截器221、数据报文过滤器222、数据报文分流器224以及协议处理器223、路由器和网桥225。
其中,数据报文拦截器221在接受网卡的中断信号触发下截获所有通过该设备转发的数据报文并获取包括链路层、网络层和传输层、应用层的全包信息,进一步递交数据报文过滤器222处理。
数据报文过滤器222对经过数据报文拦截器221捕获的数据报文根据链路层、网络层和传输层的特征信息(MAC地址、IP地址、协议、端口、SPI索引等)对数据报文进行分类处理,不同类型的报文打上不同标记,进一步交由数据报文分流器224进行处理。
数据报文分流器224根据不同的报文类型,将数据报文放入不同的处理路径。ARP等链路层协议报文直接经由路由器和网桥225通过网卡转发;ESP和AH等IPSEC数据报文重定向到协议处理器223进行处理;IPSEC VPN设备保留端口号以外的所有IP和传输层报文直接经由路由器和网桥225通过网卡转发。
协议处理器223基于虚拟网卡技术,按照IPSEC VPN相关协议规范对IPSEC数据报文进行封装与解封装、加密与解密处理。IPSEC VPN隧道封装所采用的IP地址与内部网络的三层交换机或服务器等在线设备共用,在采用双机备用形式部署的环境下也可与备用机共用。虚拟网卡不对ARP等链路层消息进行响应,这样就保障了所共用IP 地址对应MAC地址映射的一致性。
其中,图中网卡包括设备的所有工作网卡,需发送数据由路由器和网桥225进行选路,确定具体由其中某一个网卡发送。
本发明实施例通过将IPSEC VPN隧道所采用的IP地址与内部网络的三层交换机或服务器等在线设备共用,可以节省日益紧张的IP 地址,在部署IPSEC隧道时不需要改动网络配置,大大提高了IPSEC VPN设备的易用性和网络适应性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种不占用IP 地址的隧道实现方法,所述隧道为IPSEC VPN,其特征在于,所述方法包括下述步骤:
A、在底层协议栈构建数据报文拦截器、数据报文过滤器和数据报文分流器;
B、数据报文拦截器截获所有通过IPSEC VPN设备转发的数据报文并获取包括链路层、网络层、传输层和应用层的全部信息;
C、数据报文过滤器将截获的所有数据报文进行甄别和分类,将不同类型的报文打上不同标记,所述数据报文包括链路层协议、IPSEC数据报文以及IPSEC VPN设备保留端口号的IP报文;
D、数据报文分流器将经过甄别和分类后的数据报文进行分流处理,其中,IPSEC VPN隧道所用IP地址或与该IP地址相关的不同类型的数据报文采用不同的处理路径:链路层协议报文直接转发;IPSEC数据报文重定向到协议栈进行处理;传输层报文直接转发;
其中,IPSEC VPN隧道所采用的IP地址与内部网络的在线设备共用或者在采用双机设备形式部署的环境下,IPSEC VPN隧道所采用的IP地址与备用机共用。
2.如权利要求1所述的一种不占用IP 地址的隧道实现方法,其特征在于,所述方法进一步包括:
协议栈建立虚拟网卡对IPSEC数据报文进行封装与解封装、加密与解密处理。
3.如权利要求1所述的一种不占用IP 地址的隧道实现方法,其特征在于,所述内部网络的在线设备为三层交换机或服务器。
4.一种不占用IP 地址实现IPSEC VPN隧道系统,其特征在于,所述系统包括:
数据报文拦截器,用于截获所有通过IPSEC VPN设备转发的数据报文并获取包括链路层、网络层、传输层和应用层的全部信息;
数据报文过滤器,用于将截获的所有数据报文进行甄别和分类,将不同类型的报文打上不同标记,所述数据报文包括链路层协议、IPSEC数据报文以及IPSEC VPN设备保留端口号的IP报文;
数据报文分流器,用于将经过甄别和分类后的数据报文进行分流处理,其中,IPSEC VPN隧道所用IP地址或与该IP地址相关的不同类型的数据报文采用不同的处理路径:链路层协议报文直接转发;IPSEC数据报文重定向到协议栈进行处理;传输层报文直接转发;
其中,IPSEC VPN隧道所采用的IP地址与内部网络的在线设备共用或者在采用双机设备形式部署的环境下,IPSEC VPN隧道所采用的IP地址与备用机共用。
5.如权利要求4所述的不占用IP 地址实现IPSEC VPN隧道系统,其特征在于,还包括基于虚拟网卡技术建立的协议处理器,用于对IPSEC数据报文进行封装与解封装、加密与解密处理。
6.一种包含如权利要求4或5所述的不占用IP 地址实现IPSEC VPN隧道系统的IPSEC VPN设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210219710.4A CN102761483B (zh) | 2012-06-29 | 2012-06-29 | 一种不占用ip地址的隧道实现方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210219710.4A CN102761483B (zh) | 2012-06-29 | 2012-06-29 | 一种不占用ip地址的隧道实现方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102761483A CN102761483A (zh) | 2012-10-31 |
| CN102761483B true CN102761483B (zh) | 2014-12-10 |
Family
ID=47055809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210219710.4A Active CN102761483B (zh) | 2012-06-29 | 2012-06-29 | 一种不占用ip地址的隧道实现方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102761483B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161340B (zh) * | 2015-03-26 | 2020-06-09 | 中兴通讯股份有限公司 | 业务分流方法和系统 |
| CN106900008B (zh) * | 2017-02-16 | 2020-03-13 | 京信通信系统(中国)有限公司 | 宽带部署lte基站的数据流优化方法与系统 |
| CN108964880A (zh) * | 2018-10-10 | 2018-12-07 | 深信服科技股份有限公司 | 一种数据传输方法及装置 |
| CN112953833B (zh) * | 2021-03-25 | 2022-04-15 | 全讯汇聚网络科技(北京)有限公司 | 基于网桥实现三层路由转发的方法、系统及网关设备 |
| CN113726611A (zh) * | 2021-09-01 | 2021-11-30 | 深圳市大洲智创科技有限公司 | 一种基于协议进行流量控制的方法 |
| CN113923033A (zh) * | 2021-10-13 | 2022-01-11 | 中能融合智慧科技有限公司 | 工控网络的透明加密方法、装置、设备及存储介质 |
| CN115442173B (zh) * | 2022-06-07 | 2024-02-06 | 北京车和家信息技术有限公司 | 车辆报文转发、处理方法、装置、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499965A (zh) * | 2008-02-29 | 2009-08-05 | 沈建军 | 一种基于IPSec安全关联的网络报文路由转发和地址转换方法 |
-
2012
- 2012-06-29 CN CN201210219710.4A patent/CN102761483B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499965A (zh) * | 2008-02-29 | 2009-08-05 | 沈建军 | 一种基于IPSec安全关联的网络报文路由转发和地址转换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102761483A (zh) | 2012-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102761483B (zh) | 一种不占用ip地址的隧道实现方法、系统及设备 | |
| WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
| EP1437020B1 (en) | System and method for enabling mobile edge services | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US10205657B2 (en) | Packet forwarding in data center network | |
| CN106233673B (zh) | 用于网络服务插入的设备和方法 | |
| CN104506408B (zh) | 基于sdn的数据传输的方法及装置 | |
| CN103401773B (zh) | 一种实现板间通信的方法及网络设备 | |
| CN106488508B (zh) | 一种数据传输方法、装置及系统 | |
| CN105939239B (zh) | 虚拟网卡的数据传输方法及装置 | |
| EP3251304A1 (en) | Method and apparatus for connecting a gateway router to a set of scalable virtual ip network appliances in overlay networks | |
| EP1942617A1 (en) | Method and device and system of ethernet supporting source specific multicast forwarding | |
| EP2725749A1 (en) | Method, apparatus and system for processing service flow | |
| CN102792651B (zh) | 在mac层应用服务路径路由选择的装置 | |
| WO2017107814A1 (zh) | 一种传播QoS策略的方法、装置及系统 | |
| US11588665B2 (en) | VXLAN packet encapsulation and policy execution method, and VXLAN device and system | |
| CN102546407B (zh) | 报文发送方法及装置 | |
| CN101026547A (zh) | 一种将Intranet中的IPv6主机接入全球IPv6网络的方法及系统 | |
| CN103916295A (zh) | 数据传输方法、设备及网关 | |
| CN106059946A (zh) | 一种报文转发方法和装置 | |
| CN104135548A (zh) | 基于fpga的静态nat实现方法及装置 | |
| CN105052106B (zh) | 用于接收和传输互联网协议(ip)数据包的方法和系统 | |
| CN112449751A (zh) | 一种数据传输方法、交换机及站点 | |
| CN102932229B (zh) | 一种对数据包进行加解密处理的方法 | |
| CN106059885B (zh) | 无线控制器对capwap报文的处理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: 610041, No. 8, pioneering Road, hi tech Zone, Sichuan, Chengdu Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CP03 | Change of name, title or address |