CN104883287A - IPSec VPN系统控制方法 - Google Patents
IPSec VPN系统控制方法 Download PDFInfo
- Publication number
- CN104883287A CN104883287A CN201410072361.7A CN201410072361A CN104883287A CN 104883287 A CN104883287 A CN 104883287A CN 201410072361 A CN201410072361 A CN 201410072361A CN 104883287 A CN104883287 A CN 104883287A
- Authority
- CN
- China
- Prior art keywords
- branch node
- address
- tunnel
- centroid
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明提供一种IPSec VPN系统控制方法,各分支节点发送Tunnel IP地址给中心节点;中心节点建立各分支节点公网IP地址与Tunnel IP地址对应关系表;各分支节点配置与其他分支节点间的隧道路由表;当第一分支节点内网资源访问第二分支节点内网资源时,第一分支节点查询内部隧道路由表,从第二分支节点隧道转发,若该隧道没有建立,则发送携带第二分支节点Tunnel IP地址的消息给中心节点,请求第二分支节点公网IP地址;中心节点获取该Tunnel IP地址后,查询该Tunnel IP地址对应的公网IP地址,并发送给第一分支节点;第一分支节点与该第二分支节点建立隧道。本发明解决了分支节点间在不知道对端公网IP的情况下,建立安全可靠的互访通道。
Description
技术领域
本发明涉及VPN技术领域,尤其涉及一种IPSec VPN系统控制方法。
背景技术
越来越多的企业在公共网络中组建自己的VPN系统,在地理位置不同的多个分支机构之间建立VPN连接。然而,许多企业分支机构使用动态IP地址接入公共网络,各个分支机构之间在不知道其他分支机构的动态IP地址的情况下,无法实现互相访问。
针对上述问题,一种基于web注册的管理系统产生,该系统通过建立一个公共的web管理中心,所有的分支首先向这个web管理中心注册自己的公网IP地址,当某一分支访问另一分支时,先从该web管理中心获取被访问分支的公网IP地址,从而实现各分支节点的互访。
这种基于web管理中心的方法比较复杂,并且信息在公共网络传输过程中未加密,缺少安全保护。
发明内容
有鉴于此,本发明提供一种IPSec VPN系统控制方法,该方法应用于VPN系统,该系统包括中心节点、第一分支节点以及第二分支节点,该方法包括以下步骤:
步骤A,在各分支节点分别与中心节点建立隧道连接过程中,发送各分支节点的Tunnel IP地址给中心节点;
步骤B,中心节点接收到各分支节点的Tunnel IP地址后,在地址映射表中建立各分支节点的公网IP地址与Tunnel IP地址对应关系;
步骤C,在各分支节点上分别配置当前分支节点与其他分支节点间的隧道路由表;
步骤D,当第一分支节点的内网资源访问第二分支节点的内网资源时,第一分支节点查询其内部配置的隧道路由表,从已配置的第一分支节点与第二分支节点间的隧道转发,若所述分支节点间的隧道没有建立,则通过已建立的第一分支节点与中心节点的隧道,发送携带第二分支节点Tunnel IP地址的消息给中心节点,向中心节点请求第二分支节点的公网IP地址;
步骤E,中心节点接收到该请求后,获取第二分支节点Tunnel IP地址,查询所述地址映射表中该Tunnel IP地址对应的公网IP地址,并将该第二分支节点的公网IP地址发送给第一分支节点;
步骤F,第一分支节点接收到第二分支节点的公网IP地址后,与该第二分支节点建立IPSec隧道,进而访问第二分支节点的内网资源。
本发明解决了分支节点间在不知道对端公网IP的情况下,建立安全可靠的互访通道。
附图说明
图1是本发明一种实施方式中IPSec VPN系统结构示意图。
图2是本发明一种实施方式中IPSec VPN系统控制方法流程图。
具体实施方式
以下结合附图对本发明进行详细描述。
在一种较佳的实施方式中,本发明通过建立IPSec VPN系统,实现各分支间的安全互访。如图1所示,该IPSec VPN系统包括中心节点、第一分支节点以及第二分支节点。请参考图2,该系统的控制方法包括以下步骤:
步骤101,在各分支节点分别与中心节点建立隧道连接过程中,发送各分支节点的Tunnel IP地址给中心节点;
步骤102,中心节点接收到各分支节点的Tunnel IP地址后,在地址映射表中建立各分支节点的公网IP地址与Tunnel IP地址对应关系;
步骤103,在各分支节点上分别配置当前分支节点与其他分支节点间的隧道路由表;
步骤104,当第一分支节点的内网资源访问第二分支节点的内网资源时,第一分支节点查询其内部配置的隧道路由表,从已配置的第一分支节点与第二分支节点间的隧道转发,若所述分支节点间的隧道没有建立,则通过已建立的第一分支节点与中心节点的隧道,发送携带第二分支节点Tunnel IP地址的消息给中心节点,向中心节点请求第二分支节点的公网IP地址;
步骤105,中心节点接收到该请求后,获取第二分支节点Tunnel IP地址,查询所述地址映射表中该Tunnel IP地址对应的公网IP地址,并将该第二分支节点的公网IP地址发送给第一分支节点;
步骤106,第一分支节点接收到第二分支节点的公网IP地址后,与该第二分支节点建立IPSec隧道,进而访问第二分支节点的内网资源。
在VPN系统中,任意两个分支节点间要实现互访,至少有一端必须知道对端的公网IP地址,然而,在实际的网络环境中,分支节点的公网IP地址是动态分配的,具有不确定性。为了保证各分支节点能够获取到其他分支节点的公网IP地址,本发明通过为所有分支节点增加同一中心节点的方法,使得各个分支节点可以通过该中心节点获取其他分支节点的公网IP地址,其中,该中心节点配置静态公网IP地址,以便各分支节点访问中心节点,获取需要的信息。同时,为了保证VPN系统数据传输的安全性,本发明通过在各节点间建立IPSec隧道进行数据传输。
在一种优选的实施方式中,请参考图1,IPSec VPN系统包括中心节点、第一分支节点以及第二分支节点。第一分支节点发送自己的Tunnel IP地址给中心节点,中心节点接收到携带第一分支节点Tunnel IP地址的报文后,从该报文中获取第一分支节点的Tunnel IP地址和公网IP地址,并将该Tunnel IP地址与公网IP地址的对应关系存入地址映射表中。同理,第二分支节点通过上述过程,在中心节点的地址映射表中保存第二分支节点的地址对应关系,如下表所示。
| 分支节点名称 | Tunnel IP地址 | 公网IP地址 |
| 第一分支节点 | 2.2.2.1 | 202.103.1.32 |
| 第二分支节点 | 2.2.2.2 | 202.103.21.36 |
表1
表1为中心节点保存的地址映射表,表中的IP地址为示例性IP地址,实际使用中,可以是任意符合IP地址规范的IP地址。在上述分支节点与中心节点的信息交互过程,完成第一分支节点与中心节点的IPSec隧道建立以及第二分支节点与中心节点的IPSec隧道建立。
配置每一个分支节点与其他分支节点的隧道路由表。图1为示例性VPN系统简图,只包含了两个分支节点,在实际应用中,该VPN系统可根据实际需求建立N个分支节点。以第一分支节点为例,其内部配置的隧道路由表如下表所示。
| 分支节点名称 | 私网网段 | 隧道下一跳(Tunnel IP) |
| 第二分支节点 | 192.168.20.0/24 | 2.2.2.2 |
| 第三分支节点 | 192.168.30.0/24 | 2.2.2.3 |
| … | … | … |
| 第N分支节点 | 192.168.180.0/24 | 2.2.2.n |
表2
表2为第一分支节点中的隧道路由表,保存所有分支节点的私网网段信息和隧道下一跳信息,该路由表可通过静态配置,也可通过路由协议动态学习。
当第一分支节点的内网资源访问第二分支节点的内网资源时,第一分支节点首先查询内部的隧道路由表,根据第二分支节点内网资源的IP地址,查询对应的隧道下一跳地址。例如,第二支节点内网资源的IP地址为192.168.20.10,则通过表2可知,其对应的隧道下一跳地址为2.2.2.2。若该隧道没有建立,则通过已建立的第一分支节点与中心节点的隧道,发送携带第二分支节点Tunnel IP地址(2.2.2.2)的消息给中心节点,向中心节点请求第二分支节点的公网IP地址。
中心节点接收到上述消息后,在已建立的地址映射表中查询该第二分支节点Tunnel IP地址(2.2.2.2)对应的公网IP地址,将第二分支节点的公网IP地址(202.103.21.36)发送给第一分支节点。第一分支节点接收到该第二分支节点的公网IP地址后,在第一分支节点(202.103.1.32)与第二分支节点(202.103.21.36)间建立IPSec隧道,实现分支节点间内网资源的互访。
在一种优选的实施方式中,通过在IKE协商中增加扩展载荷,在建立分支节点与中心节点的IPSec隧道过程中传递信息,这种方式效率较高,无需额外开发私有的交互协议,具体实现过程如下:首先,分别配置分支节点与中心节点为支持P2MP(Point to Multi Point,点对多点)模式,即节点支持扩展的IKE协商功能。在分支节点与中心节点IKE协商的第一阶段,分支节点通过第一次信息交互过程,在IKE协商的第一条消息中增加模式载荷,告知中心节点其支持P2MP模式,中心节点接收到该消息后,若该中心节点同样支持P2MP模式,则在应答消息中增加模式载荷,告知分支节点其支持P2MP模式,至此完成分支节点与中心节点的模式确认。
在完成了IKE协商的第一阶段后,分支节点通过在IKE协商第二阶段的信息交互中增加扩展载荷,将分支节点的Tunnel IP地址发送给中心节点,完成分支节点与中心节点的IPSec隧道建立,同时,为中心节点维护地址映射表提供依据。由于IKE协商是IPSec隧道建立过程中必须进行的处理,因此本发明利用了IKE协商过程来完成模式和信息传递,这样一来大大提高了本发明在实现上的互通性,不同厂商网络设备之间进行互通时的成本大幅度降低。
在上述IPSec VPN系统的运行过程中,由于各分支节点的公网IP地址为动态IP地址,因此,当分支节点的公网IP地址发生变化时,将重新建立隧道连接,中心节点的地址映射表也会随之更新,从而保证各分支之间的正确访问。当分支节点与中心节点的IPSec隧道异常断开时,中心节点将删除地址映射表中该分支节点的公网IP地址与Tunnel IP地址的对应关系记录,以防止访问已断开的分支节点,造成资源浪费。异常断开隧道连接的分支节点将在预设的时间后,重新发起隧道连接。
由此可见,本发明提供了一种方便、易于维护的VPN系统控制方法,同时由于IPSec技术的应用,提高了系统数据通信的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (5)
1.一种IPSec VPN系统控制方法,该方法应用于VPN系统,该系统包括中心节点、第一分支节点以及第二分支节点,其特征在于,该方法包括以下步骤:
步骤A,在各分支节点分别与中心节点建立隧道连接过程中,发送各分支节点的Tunnel IP地址给中心节点;
步骤B,中心节点接收到各分支节点的Tunnel IP地址后,在地址映射表中建立各分支节点的公网IP地址与Tunnel IP地址对应关系;
步骤C,在各分支节点上分别配置当前分支节点与其他分支节点间的隧道路由表;
步骤D,当第一分支节点的内网资源访问第二分支节点的内网资源时,第一分支节点查询其内部配置的隧道路由表,从已配置的第一分支节点与第二分支节点间的隧道转发,若所述分支节点间的隧道没有建立,则通过已建立的第一分支节点与中心节点的隧道,发送携带第二分支节点Tunnel IP地址的消息给中心节点,向中心节点请求第二分支节点的公网IP地址;
步骤E,中心节点接收到该请求后,获取第二分支节点Tunnel IP地址,查询所述地址映射表中该Tunnel IP地址对应的公网IP地址,并将该第二分支节点的公网IP地址发送给第一分支节点;
步骤F,第一分支节点接收到第二分支节点的公网IP地址后,与该第二分支节点建立IPSec隧道,进而访问第二分支节点的内网资源。
2.如权利要求1所述的方法,其特征在于:所述步骤A之前还包括:
步骤G,各分支节点分别向中心节点发送模式确认消息,确认中心节点是否支持P2MP模式。
3.如权利要求2所述的方法,其特征在于:
所述模式确认消息是在分支节点与中心节点建立IPSec隧道过程中,进行IKE协商的第一阶段发送的。
4.如权利要求1所述的方法,其特征在于:
所述步骤A中各分支节点的Tunnel IP地址通过IKE协商的第二阶段发送给中心节点。
5.如权利要求1所述的方法,其特征在于:
若分支节点与中心节点的IPSec隧道连接断开,则在地址映射表中删除该分支节点的公网IP地址与Tunnel IP地址的对应关系记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410072361.7A CN104883287B (zh) | 2014-02-28 | 2014-02-28 | IPSec VPN系统控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410072361.7A CN104883287B (zh) | 2014-02-28 | 2014-02-28 | IPSec VPN系统控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104883287A true CN104883287A (zh) | 2015-09-02 |
| CN104883287B CN104883287B (zh) | 2018-06-12 |
Family
ID=53950627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410072361.7A Active CN104883287B (zh) | 2014-02-28 | 2014-02-28 | IPSec VPN系统控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104883287B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259292A (zh) * | 2016-12-29 | 2018-07-06 | 华为技术有限公司 | 建立隧道的方法及装置 |
| CN108512755A (zh) * | 2017-02-24 | 2018-09-07 | 华为技术有限公司 | 一种路由信息的学习方法及装置 |
| CN113542095A (zh) * | 2021-06-22 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种设备及其恢复隧道的方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471275A (zh) * | 2002-07-23 | 2004-01-28 | ��Ϊ��������˾ | 用虚拟路由器构建的企业外部虚拟专网系统及方法 |
| CN1595884A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种多点可达隧道通信的方法 |
| CN1747436A (zh) * | 2005-10-24 | 2006-03-15 | 杭州华为三康技术有限公司 | 一种虚拟专网客户端的接入方法及系统 |
| CN101009629A (zh) * | 2007-01-26 | 2007-08-01 | 成都迈普产业集团有限公司 | 虚拟专用网动态连接方法 |
| CN101051987A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种利用IPSec将网络路由扩展到远程网络的方法及装置 |
| CN101072157A (zh) * | 2007-06-08 | 2007-11-14 | 迈普(四川)通信技术有限公司 | 虚拟专用网负载备份系统及其建立方法与数据转发方法 |
| CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及系统 |
| CN102142997A (zh) * | 2011-03-21 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种管理远程分支的方法和管理服务器 |
-
2014
- 2014-02-28 CN CN201410072361.7A patent/CN104883287B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471275A (zh) * | 2002-07-23 | 2004-01-28 | ��Ϊ��������˾ | 用虚拟路由器构建的企业外部虚拟专网系统及方法 |
| CN1595884A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种多点可达隧道通信的方法 |
| CN1747436A (zh) * | 2005-10-24 | 2006-03-15 | 杭州华为三康技术有限公司 | 一种虚拟专网客户端的接入方法及系统 |
| CN101009629A (zh) * | 2007-01-26 | 2007-08-01 | 成都迈普产业集团有限公司 | 虚拟专用网动态连接方法 |
| CN101051987A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种利用IPSec将网络路由扩展到远程网络的方法及装置 |
| CN101072157A (zh) * | 2007-06-08 | 2007-11-14 | 迈普(四川)通信技术有限公司 | 虚拟专用网负载备份系统及其建立方法与数据转发方法 |
| CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及系统 |
| CN102142997A (zh) * | 2011-03-21 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种管理远程分支的方法和管理服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 思科: "《动态多点 IPsec VPN(使用多点 GRE/NHRP 扩大 IPsec VPN)》", 4 January 2006 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259292A (zh) * | 2016-12-29 | 2018-07-06 | 华为技术有限公司 | 建立隧道的方法及装置 |
| CN108512755A (zh) * | 2017-02-24 | 2018-09-07 | 华为技术有限公司 | 一种路由信息的学习方法及装置 |
| CN108512755B (zh) * | 2017-02-24 | 2021-03-30 | 华为技术有限公司 | 一种路由信息的学习方法及装置 |
| CN113542095A (zh) * | 2021-06-22 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种设备及其恢复隧道的方法 |
| CN113542095B (zh) * | 2021-06-22 | 2023-03-31 | 新华三信息安全技术有限公司 | 一种设备及其恢复隧道的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104883287B (zh) | 2018-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102594711B (zh) | 一种在边缘设备上的报文转发方法和边缘设备 | |
| US9712383B2 (en) | Device abstraction in autonomous wireless local area networks | |
| CN103179192B (zh) | 虚拟服务器迁移的报文转发方法、系统及nat服务设备 | |
| EP3622405A1 (en) | Iot device connectivity, discovery, and networking | |
| CN103209108B (zh) | 一种基于dvpn的路由生成方法和设备 | |
| CN104427010A (zh) | 应用于动态虚拟专用网络的网络地址转换方法和装置 | |
| CN103346970B (zh) | 一种SpaceWire动态路由实现方法 | |
| CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
| CN110324159B (zh) | 链路配置方法、控制器和存储介质 | |
| JP4628938B2 (ja) | データ通信システム、端末装置およびvpn設定更新方法 | |
| CN103618801A (zh) | 一种p2p资源共享的方法、设备及系统 | |
| JP5901586B2 (ja) | 中継装置、通信システム、及びノードの設定情報の取得方法 | |
| CN104539902A (zh) | 一种ipc的远程访问方法和系统 | |
| CN104320502A (zh) | 终端网关ip地址分配方法、数据传输的方法、mme及系统 | |
| CN103634214A (zh) | 一种路由信息生成方法及装置 | |
| CN104883287A (zh) | IPSec VPN系统控制方法 | |
| CN101345657B (zh) | 基于简单网络管理协议集群管理多个网元的方法及系统 | |
| JP6211975B2 (ja) | ネットワーク延伸システム、制御装置、およびネットワーク延伸方法 | |
| CN103428269A (zh) | 一种分布式环境下的资源快速部署方法 | |
| CN104486193A (zh) | 一种建立网络节点互联的方法及装置 | |
| CN105227334A (zh) | 一种Fabric网络拓扑发现方法和装置 | |
| CN106257865A (zh) | 设备管理方法、装置及系统 | |
| CN103873339A (zh) | 一种虚拟网关路由器的分配方法和装置 | |
| CN103888511A (zh) | 一种基于动态代理的远程访问控制方法 | |
| CN102571817A (zh) | 访问应用服务器的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |