CN102932229A - 一种对数据包进行加解密处理的方法 - Google Patents

一种对数据包进行加解密处理的方法 Download PDF

Info

Publication number
CN102932229A
CN102932229A CN2012104727571A CN201210472757A CN102932229A CN 102932229 A CN102932229 A CN 102932229A CN 2012104727571 A CN2012104727571 A CN 2012104727571A CN 201210472757 A CN201210472757 A CN 201210472757A CN 102932229 A CN102932229 A CN 102932229A
Authority
CN
China
Prior art keywords
frame
bridge
protocol stack
stack
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012104727571A
Other languages
English (en)
Other versions
CN102932229B (zh
Inventor
傅勇
罗俊
李明明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Network Security Technology Co ltd
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN201210472757.1A priority Critical patent/CN102932229B/zh
Publication of CN102932229A publication Critical patent/CN102932229A/zh
Application granted granted Critical
Publication of CN102932229B publication Critical patent/CN102932229B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及数据包加解密技术,本发明公开了一种对数据包进行加解密处理的方法,其具体包含以下步骤:步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接处理;步骤3,当以太帧的属性为IP数据包时,提交该数据包到IP协议栈;步骤4,将提交到IP协议栈的数据包进行加解密处理。通过桥协议栈识别出IP数据帧,并将IP数据包提交给上层(传输层)进行VPN加解密处理,利用链路层和传输层对数据帧不同的处理方式,实现IPSECVPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理。

Description

一种对数据包进行加解密处理的方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种对数据包进行加解密处理的方法。
背景技术
 PSEC VPN设备接入网络时可以采用两种部署模式:网关部署模式和网桥部署模式。在网关部署模式中,IPSEC VPN设备内外网接口路由不同,作为路由器或NAT转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。在网桥部署模式中,IPSEC VPN作为网桥设备接入到路由器(防火墙)和交换机(后端业务)之间,透明转发除VPN报文之外所有数据。网桥工作在数据链路层,根据MAC地址来转发帧,IPSEC协议工作在传输层,采用网桥模式部署的IPSEC VPN设备对所有目的地址非本地的数据包均进行转发,导致在网桥模式下难以对数据包进行加解密处理,如果在数据链路层单独实现对数据帧进行加解密处理又非常复杂。
发明内容
针对上述的网桥模式下难以对数据包进行加解密处理的技术问题,本发明公开了一种对数据包进行加解密处理的方法。
本发明的目的通过下述技术方案来实现:
一种对数据包进行加解密处理的方法,其具体包含以下步骤:
步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;
步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接处理;
步骤3,当以太帧的属性为IP数据包时,判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈处理;当以太帧的属性为802.1Q数据帧时,判断IP协议栈中是否存在接收该数据帧的子接口,有则继续判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈进行处理;
步骤4,将提交到IP协议栈的数据包进行加解密处理后,IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口,网桥接口通过物理网卡转发处理后的IP数据帧。
更进一步地,上述步骤2中桥协议栈识别以太帧具体为:桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。
更进一步地,上述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧,则直接通过桥协议栈进行广播、转发或者本地接收。
本发明的有益效果:通过桥协议栈识别出IP数据帧,并将IP数据包提交给上层(传输层)进行VPN加解密处理,利用链路层和传输层对数据帧不同的处理方式,实现IPSEC VPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理,简化了IPSEC VPN设备在网桥模式下的开发难度,增加了IPSEC VPN设备的网络适应能力。 
附图说明
图1 为本发明的对数据包进行加解密处理的方法流程图。
具体实施方式
如说明书附图1所示的本发明的对数据包进行加解密处理的方法流程图。本发明公开了一种对数据包进行加解密处理的方法,其具体包含以下步骤:
步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;
步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接进行处理;
步骤3,当以太帧的属性为IP数据包时,判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈处理;当以太帧的属性为802.1Q数据帧时,判断IP协议栈中是否存在接收该数据帧的子接口,有则继续判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈进行处理;
步骤4,将提交到IP协议栈的数据包进行加解密处理后,IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口,网桥接口通过物理网卡转发处理后的IP数据帧。
本发明通过桥协议栈识别出IP数据帧,并将IP数据包提交给上层(传输层)进行VPN加解密处理,利用链路层和传输层对数据帧不同的处理方式,实现IPSEC VPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理,简化了IPSEC VPN设备在网桥模式下的开发难度,增加了IPSEC VPN设备的网络适应能力。桥协议栈识别其数据帧并通过IPSEC VPN设备对应的网桥子接口提交到传输层IP协议栈,IP协议栈对数据帧进行路由查表后,进行对应VPN处理。VPN处理后的新数据帧再次提交到IP协议栈,IP协议栈通过路由信息在新数据帧路由到对应的子接口,子接口对新数据帧进行802.1Q封装后发送到网桥协议栈,网桥协议栈通过MAC地址转发表把新数据帧转发到外端路由器。
例如:划分VLAN 10和VLAN 20,两个VLAN通过TRUNK链路与外端路由器相连。路由器与交换机相连的接口配置子接口10和子接口20,通过子接口10可与后端VLAN 10的业务主机互通,通过子接口20可与后端VLAN 20的业务主机互通。IPSEC VPN设备采用网桥模式接入其网络,并对网桥接口进行子接口配置,分别配置子接口10和子接口20。通过IPSEC VPN子接口10与后端VLAN 10的业务主机和外端路由器的子接口10互通,通过IPSEC VPN子接口20与后端VLAN 20的业务主机和外端路由器的子接口20互通。VLAN 10或者VLAN 20外出的数据帧经过IPSEC VPN设备时,桥协议栈识别其数据帧并通过IPSEC VPN设备对应的网桥子接口提交到传输层IP协议栈,IP协议栈对数据帧进行路由查表后,进行对应VPN处理。
更进一步地,上述所述桥协议栈识别以太帧具体为:桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。快速识别出以太帧的目的MAC地址,从而区分出三种不同的以太帧。
更进一步地,上述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧,则直接通过桥协议栈进行广播、转发或者本地接收。在非单播帧的时候采用和现有技术一样的方式进行直接处理,提高了系统的运行效率。采用本发明的实现方式将增加了IPSEC VPN设备的网络适应能力,简化了IPSEC VPN设备在网桥模式下的开发难度。
这里已经通过具体的实施例子对本发明进行了详细描述,提供上述实施例的描述为了使本领域的技术人员制造或适用本发明,这些实施例的各种修改对于本领域的技术人员来说是容易理解的。本发明并不限于这些例子,或其中的某些方面。本发明的范围通过附加的权利要求进行详细说明。
上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (3)

1.一种对数据包进行加解密处理的方法,其具体包含以下步骤:
步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;
步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接处理;
步骤3,当以太帧的属性为IP数据包时,判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈处理;当以太帧的属性为802.1Q数据帧时,判断IP协议栈中是否存在接收该数据帧的子接口,有则继续判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈进行处理;
步骤4,将提交到IP协议栈的数据包进行加解密处理后,IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口,网桥接口通过物理网卡转发处理后的IP数据帧。
2.如权利要求1所述的对数据包进行加解密处理的方法,其特征在于所述步骤2中桥协议栈识别以太帧具体为:桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。
3.如权利要求1或2所述的对数据包进行加解密处理的方法,其特征在于所述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧,则直接通过桥协议栈进行广播、转发或者本地接收。
CN201210472757.1A 2012-11-20 2012-11-20 一种对数据包进行加解密处理的方法 Active CN102932229B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210472757.1A CN102932229B (zh) 2012-11-20 2012-11-20 一种对数据包进行加解密处理的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210472757.1A CN102932229B (zh) 2012-11-20 2012-11-20 一种对数据包进行加解密处理的方法

Publications (2)

Publication Number Publication Date
CN102932229A true CN102932229A (zh) 2013-02-13
CN102932229B CN102932229B (zh) 2015-08-12

Family

ID=47646936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210472757.1A Active CN102932229B (zh) 2012-11-20 2012-11-20 一种对数据包进行加解密处理的方法

Country Status (1)

Country Link
CN (1) CN102932229B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103269301A (zh) * 2013-05-30 2013-08-28 中国科学院长春光学精密机械与物理研究所 桌面型IPSecVPN密码机及组网方法
CN103647692A (zh) * 2013-11-04 2014-03-19 北京奇虎科技有限公司 网络处理方法、设备及系统
CN111147382A (zh) * 2019-12-31 2020-05-12 杭州迪普科技股份有限公司 报文转发方法和装置
CN112953833A (zh) * 2021-03-25 2021-06-11 全讯汇聚网络科技(北京)有限公司 基于网桥实现三层路由转发的方法、系统及网关设备
CN113596029A (zh) * 2021-07-29 2021-11-02 展讯通信(上海)有限公司 功能手机的数据包传输方法及装置、功能手机

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1389816A (zh) * 2002-07-24 2003-01-08 楼纬文 基于上下线机制的控制互联网访问的网桥系统
US20030145118A1 (en) * 2002-01-25 2003-07-31 Volpano Dennis Michael Bridged cryptographic VLAN
CN1437114A (zh) * 2002-02-08 2003-08-20 联想(北京)有限公司 基于桥的二层交换式防火墙包过滤的方法
CN101364987A (zh) * 2008-09-22 2009-02-11 华为技术有限公司 帧处理的方法、装置和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030145118A1 (en) * 2002-01-25 2003-07-31 Volpano Dennis Michael Bridged cryptographic VLAN
CN1437114A (zh) * 2002-02-08 2003-08-20 联想(北京)有限公司 基于桥的二层交换式防火墙包过滤的方法
CN1389816A (zh) * 2002-07-24 2003-01-08 楼纬文 基于上下线机制的控制互联网访问的网桥系统
CN101364987A (zh) * 2008-09-22 2009-02-11 华为技术有限公司 帧处理的方法、装置和系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103269301A (zh) * 2013-05-30 2013-08-28 中国科学院长春光学精密机械与物理研究所 桌面型IPSecVPN密码机及组网方法
CN103647692A (zh) * 2013-11-04 2014-03-19 北京奇虎科技有限公司 网络处理方法、设备及系统
CN111147382A (zh) * 2019-12-31 2020-05-12 杭州迪普科技股份有限公司 报文转发方法和装置
CN111147382B (zh) * 2019-12-31 2021-09-21 杭州迪普科技股份有限公司 报文转发方法和装置
CN112953833A (zh) * 2021-03-25 2021-06-11 全讯汇聚网络科技(北京)有限公司 基于网桥实现三层路由转发的方法、系统及网关设备
CN112953833B (zh) * 2021-03-25 2022-04-15 全讯汇聚网络科技(北京)有限公司 基于网桥实现三层路由转发的方法、系统及网关设备
CN113596029A (zh) * 2021-07-29 2021-11-02 展讯通信(上海)有限公司 功能手机的数据包传输方法及装置、功能手机

Also Published As

Publication number Publication date
CN102932229B (zh) 2015-08-12

Similar Documents

Publication Publication Date Title
CN107911258B (zh) 一种基于sdn网络的安全资源池的实现方法及系统
CN104243270B (zh) 一种建立隧道的方法和装置
US11979322B2 (en) Method and apparatus for providing service for traffic flow
CN103763207B (zh) 软件定义网络中的带内控制连接建立方法及设备
US8127349B2 (en) Point-to-multi-point/non-broadcasting multi-access VPN tunnels
CN102970227B (zh) 在asic中实现vxlan报文转发的方法和装置
US8830998B2 (en) Separation of edge and routing/control information for multicast over shortest path bridging
CN104869042B (zh) 报文转发方法和装置
CN104092595B (zh) 基于802.1br的虚拟化系统中的报文处理方法及装置
CN107040469A (zh) 网络设备及方法
WO2008092357A1 (fr) Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci
CN101217435B (zh) 一种L2TP over IPSEC远程接入的方法及装置
CN102136987B (zh) 一种mpls vpn中的报文转发方法和pe设备
JP2008504777A (ja) ドメイン間通信のためのバーチャルブロードキャストネットワーク
CN103731349B (zh) 一种以太网虚拟化互联邻居间报文转发方法和边缘设备
CN102035729A (zh) 一种组播数据转发方法及其装置
CN104702476A (zh) 分布式网关、基于分布式网关的报文处理方法及装置
CN102932229B (zh) 一种对数据包进行加解密处理的方法
CN103067290A (zh) 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法
WO2013113171A1 (zh) 流识别的方法、设备和系统
CN103795630B (zh) 一种标签交换网络的报文传输方法和装置
WO2013120427A1 (zh) 一种mpls vpn的实现方法、系统及客户边缘设备
CN102255787B (zh) 一种基于服务质量的报文处理方法和运营商网络边缘设备
EP2897328B1 (en) Method, system and apparatus for establishing communication link
EP3032782B1 (en) Packet transmission method and apparatus

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041

Patentee after: China Electronics Technology Network Security Technology Co.,Ltd.

Address before: 610041, No. 8, pioneering Road, hi tech Zone, Sichuan, Chengdu

Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc.

CP03 Change of name, title or address