CN102932229A - 一种对数据包进行加解密处理的方法 - Google Patents
一种对数据包进行加解密处理的方法 Download PDFInfo
- Publication number
- CN102932229A CN102932229A CN2012104727571A CN201210472757A CN102932229A CN 102932229 A CN102932229 A CN 102932229A CN 2012104727571 A CN2012104727571 A CN 2012104727571A CN 201210472757 A CN201210472757 A CN 201210472757A CN 102932229 A CN102932229 A CN 102932229A
- Authority
- CN
- China
- Prior art keywords
- frame
- bridge
- protocol stack
- stack
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据包加解密技术,本发明公开了一种对数据包进行加解密处理的方法,其具体包含以下步骤:步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接处理;步骤3,当以太帧的属性为IP数据包时,提交该数据包到IP协议栈;步骤4,将提交到IP协议栈的数据包进行加解密处理。通过桥协议栈识别出IP数据帧,并将IP数据包提交给上层(传输层)进行VPN加解密处理,利用链路层和传输层对数据帧不同的处理方式,实现IPSECVPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种对数据包进行加解密处理的方法。
背景技术
PSEC VPN设备接入网络时可以采用两种部署模式:网关部署模式和网桥部署模式。在网关部署模式中,IPSEC VPN设备内外网接口路由不同,作为路由器或NAT转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。在网桥部署模式中,IPSEC VPN作为网桥设备接入到路由器(防火墙)和交换机(后端业务)之间,透明转发除VPN报文之外所有数据。网桥工作在数据链路层,根据MAC地址来转发帧,IPSEC协议工作在传输层,采用网桥模式部署的IPSEC VPN设备对所有目的地址非本地的数据包均进行转发,导致在网桥模式下难以对数据包进行加解密处理,如果在数据链路层单独实现对数据帧进行加解密处理又非常复杂。
发明内容
针对上述的网桥模式下难以对数据包进行加解密处理的技术问题,本发明公开了一种对数据包进行加解密处理的方法。
本发明的目的通过下述技术方案来实现:
一种对数据包进行加解密处理的方法,其具体包含以下步骤:
步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;
步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接处理;
步骤3,当以太帧的属性为IP数据包时,判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈处理;当以太帧的属性为802.1Q数据帧时,判断IP协议栈中是否存在接收该数据帧的子接口,有则继续判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈进行处理;
步骤4,将提交到IP协议栈的数据包进行加解密处理后,IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口,网桥接口通过物理网卡转发处理后的IP数据帧。
更进一步地,上述步骤2中桥协议栈识别以太帧具体为:桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。
更进一步地,上述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧,则直接通过桥协议栈进行广播、转发或者本地接收。
本发明的有益效果:通过桥协议栈识别出IP数据帧,并将IP数据包提交给上层(传输层)进行VPN加解密处理,利用链路层和传输层对数据帧不同的处理方式,实现IPSEC VPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理,简化了IPSEC VPN设备在网桥模式下的开发难度,增加了IPSEC VPN设备的网络适应能力。
附图说明
图1 为本发明的对数据包进行加解密处理的方法流程图。
具体实施方式
如说明书附图1所示的本发明的对数据包进行加解密处理的方法流程图。本发明公开了一种对数据包进行加解密处理的方法,其具体包含以下步骤:
步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;
步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接进行处理;
步骤3,当以太帧的属性为IP数据包时,判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈处理;当以太帧的属性为802.1Q数据帧时,判断IP协议栈中是否存在接收该数据帧的子接口,有则继续判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈进行处理;
步骤4,将提交到IP协议栈的数据包进行加解密处理后,IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口,网桥接口通过物理网卡转发处理后的IP数据帧。
本发明通过桥协议栈识别出IP数据帧,并将IP数据包提交给上层(传输层)进行VPN加解密处理,利用链路层和传输层对数据帧不同的处理方式,实现IPSEC VPN设备在网桥模式下利用IP协议栈对数据帧进行加解密处理,简化了IPSEC VPN设备在网桥模式下的开发难度,增加了IPSEC VPN设备的网络适应能力。桥协议栈识别其数据帧并通过IPSEC VPN设备对应的网桥子接口提交到传输层IP协议栈,IP协议栈对数据帧进行路由查表后,进行对应VPN处理。VPN处理后的新数据帧再次提交到IP协议栈,IP协议栈通过路由信息在新数据帧路由到对应的子接口,子接口对新数据帧进行802.1Q封装后发送到网桥协议栈,网桥协议栈通过MAC地址转发表把新数据帧转发到外端路由器。
例如:划分VLAN 10和VLAN 20,两个VLAN通过TRUNK链路与外端路由器相连。路由器与交换机相连的接口配置子接口10和子接口20,通过子接口10可与后端VLAN 10的业务主机互通,通过子接口20可与后端VLAN 20的业务主机互通。IPSEC VPN设备采用网桥模式接入其网络,并对网桥接口进行子接口配置,分别配置子接口10和子接口20。通过IPSEC VPN子接口10与后端VLAN 10的业务主机和外端路由器的子接口10互通,通过IPSEC VPN子接口20与后端VLAN 20的业务主机和外端路由器的子接口20互通。VLAN 10或者VLAN 20外出的数据帧经过IPSEC VPN设备时,桥协议栈识别其数据帧并通过IPSEC VPN设备对应的网桥子接口提交到传输层IP协议栈,IP协议栈对数据帧进行路由查表后,进行对应VPN处理。
更进一步地,上述所述桥协议栈识别以太帧具体为:桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。快速识别出以太帧的目的MAC地址,从而区分出三种不同的以太帧。
更进一步地,上述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧,则直接通过桥协议栈进行广播、转发或者本地接收。在非单播帧的时候采用和现有技术一样的方式进行直接处理,提高了系统的运行效率。采用本发明的实现方式将增加了IPSEC VPN设备的网络适应能力,简化了IPSEC VPN设备在网桥模式下的开发难度。
这里已经通过具体的实施例子对本发明进行了详细描述,提供上述实施例的描述为了使本领域的技术人员制造或适用本发明,这些实施例的各种修改对于本领域的技术人员来说是容易理解的。本发明并不限于这些例子,或其中的某些方面。本发明的范围通过附加的权利要求进行详细说明。
上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (3)
1.一种对数据包进行加解密处理的方法,其具体包含以下步骤:
步骤1,物理网卡接收以太帧,判断以太帧接收的网卡是否属于桥设备,如是,则将以太帧提交到桥协议栈,如否,则将以太帧提交到IP协议栈;
步骤2,桥协议栈识别以太帧,如果以太帧为单播帧,则识别以太帧的属性,非单播帧则由桥协议栈直接处理;
步骤3,当以太帧的属性为IP数据包时,判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈处理;当以太帧的属性为802.1Q数据帧时,判断IP协议栈中是否存在接收该数据帧的子接口,有则继续判断IP协议栈中该桥接口是否配置了IP地址,是,则修改以太帧描述符属性,并提交该数据包到IP协议栈,否则将以太帧提交桥协议栈进行处理;
步骤4,将提交到IP协议栈的数据包进行加解密处理后,IP协议栈根据路由表把该处理后的IP数据包提交给网桥接口,网桥接口通过物理网卡转发处理后的IP数据帧。
2.如权利要求1所述的对数据包进行加解密处理的方法,其特征在于所述步骤2中桥协议栈识别以太帧具体为:桥协议栈中的数据甄别器根据以太帧中的目的MAC地址识别出数据帧为多播帧、组播帧还是单播帧。
3.如权利要求1或2所述的对数据包进行加解密处理的方法,其特征在于所述步骤2中桥协议栈对非单播帧的处理具体为:如果以太帧为多播帧或者组播帧,则直接通过桥协议栈进行广播、转发或者本地接收。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210472757.1A CN102932229B (zh) | 2012-11-20 | 2012-11-20 | 一种对数据包进行加解密处理的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210472757.1A CN102932229B (zh) | 2012-11-20 | 2012-11-20 | 一种对数据包进行加解密处理的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102932229A true CN102932229A (zh) | 2013-02-13 |
| CN102932229B CN102932229B (zh) | 2015-08-12 |
Family
ID=47646936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210472757.1A Active CN102932229B (zh) | 2012-11-20 | 2012-11-20 | 一种对数据包进行加解密处理的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932229B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269301A (zh) * | 2013-05-30 | 2013-08-28 | 中国科学院长春光学精密机械与物理研究所 | 桌面型IPSecVPN密码机及组网方法 |
| CN103647692A (zh) * | 2013-11-04 | 2014-03-19 | 北京奇虎科技有限公司 | 网络处理方法、设备及系统 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN112953833A (zh) * | 2021-03-25 | 2021-06-11 | 全讯汇聚网络科技(北京)有限公司 | 基于网桥实现三层路由转发的方法、系统及网关设备 |
| CN113596029A (zh) * | 2021-07-29 | 2021-11-02 | 展讯通信(上海)有限公司 | 功能手机的数据包传输方法及装置、功能手机 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1389816A (zh) * | 2002-07-24 | 2003-01-08 | 楼纬文 | 基于上下线机制的控制互联网访问的网桥系统 |
| US20030145118A1 (en) * | 2002-01-25 | 2003-07-31 | Volpano Dennis Michael | Bridged cryptographic VLAN |
| CN1437114A (zh) * | 2002-02-08 | 2003-08-20 | 联想(北京)有限公司 | 基于桥的二层交换式防火墙包过滤的方法 |
| CN101364987A (zh) * | 2008-09-22 | 2009-02-11 | 华为技术有限公司 | 帧处理的方法、装置和系统 |
-
2012
- 2012-11-20 CN CN201210472757.1A patent/CN102932229B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030145118A1 (en) * | 2002-01-25 | 2003-07-31 | Volpano Dennis Michael | Bridged cryptographic VLAN |
| CN1437114A (zh) * | 2002-02-08 | 2003-08-20 | 联想(北京)有限公司 | 基于桥的二层交换式防火墙包过滤的方法 |
| CN1389816A (zh) * | 2002-07-24 | 2003-01-08 | 楼纬文 | 基于上下线机制的控制互联网访问的网桥系统 |
| CN101364987A (zh) * | 2008-09-22 | 2009-02-11 | 华为技术有限公司 | 帧处理的方法、装置和系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269301A (zh) * | 2013-05-30 | 2013-08-28 | 中国科学院长春光学精密机械与物理研究所 | 桌面型IPSecVPN密码机及组网方法 |
| CN103647692A (zh) * | 2013-11-04 | 2014-03-19 | 北京奇虎科技有限公司 | 网络处理方法、设备及系统 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN111147382B (zh) * | 2019-12-31 | 2021-09-21 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN112953833A (zh) * | 2021-03-25 | 2021-06-11 | 全讯汇聚网络科技(北京)有限公司 | 基于网桥实现三层路由转发的方法、系统及网关设备 |
| CN112953833B (zh) * | 2021-03-25 | 2022-04-15 | 全讯汇聚网络科技(北京)有限公司 | 基于网桥实现三层路由转发的方法、系统及网关设备 |
| CN113596029A (zh) * | 2021-07-29 | 2021-11-02 | 展讯通信(上海)有限公司 | 功能手机的数据包传输方法及装置、功能手机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102932229B (zh) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
| CN104243270B (zh) | 一种建立隧道的方法和装置 | |
| US11979322B2 (en) | Method and apparatus for providing service for traffic flow | |
| CN103763207B (zh) | 软件定义网络中的带内控制连接建立方法及设备 | |
| US8127349B2 (en) | Point-to-multi-point/non-broadcasting multi-access VPN tunnels | |
| CN102970227B (zh) | 在asic中实现vxlan报文转发的方法和装置 | |
| US8830998B2 (en) | Separation of edge and routing/control information for multicast over shortest path bridging | |
| CN104869042B (zh) | 报文转发方法和装置 | |
| CN104092595B (zh) | 基于802.1br的虚拟化系统中的报文处理方法及装置 | |
| CN107040469A (zh) | 网络设备及方法 | |
| WO2008092357A1 (fr) | Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci | |
| CN101217435B (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
| CN102136987B (zh) | 一种mpls vpn中的报文转发方法和pe设备 | |
| JP2008504777A (ja) | ドメイン間通信のためのバーチャルブロードキャストネットワーク | |
| CN103731349B (zh) | 一种以太网虚拟化互联邻居间报文转发方法和边缘设备 | |
| CN102035729A (zh) | 一种组播数据转发方法及其装置 | |
| CN104702476A (zh) | 分布式网关、基于分布式网关的报文处理方法及装置 | |
| CN102932229B (zh) | 一种对数据包进行加解密处理的方法 | |
| CN103067290A (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
| WO2013113171A1 (zh) | 流识别的方法、设备和系统 | |
| CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
| WO2013120427A1 (zh) | 一种mpls vpn的实现方法、系统及客户边缘设备 | |
| CN102255787B (zh) | 一种基于服务质量的报文处理方法和运营商网络边缘设备 | |
| EP2897328B1 (en) | Method, system and apparatus for establishing communication link | |
| EP3032782B1 (en) | Packet transmission method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: 610041, No. 8, pioneering Road, hi tech Zone, Sichuan, Chengdu Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CP03 | Change of name, title or address |