CN105516062A - 一种实现L2TP over IPsec接入的方法 - Google Patents

一种实现L2TP over IPsec接入的方法 Download PDF

Info

Publication number
CN105516062A
CN105516062A CN201410499881.6A CN201410499881A CN105516062A CN 105516062 A CN105516062 A CN 105516062A CN 201410499881 A CN201410499881 A CN 201410499881A CN 105516062 A CN105516062 A CN 105516062A
Authority
CN
China
Prior art keywords
l2tp
address
message
user
private network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410499881.6A
Other languages
English (en)
Other versions
CN105516062B (zh
Inventor
臧亮
唐骁琨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Zhongxing Software Co Ltd
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201410499881.6A priority Critical patent/CN105516062B/zh
Priority to PCT/CN2014/094002 priority patent/WO2015131609A1/zh
Publication of CN105516062A publication Critical patent/CN105516062A/zh
Application granted granted Critical
Publication of CN105516062B publication Critical patent/CN105516062B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种实现L2TP?over?IPsec接入的方法,应用于LNS,包括:在与L2TP?over?IPsec用户进行IKE协商过程中确定存在NAT设备时,将用户的私网IP地址和经过NAT转换后的公网IP地址作为安全策略库的索引;接收入向IPsec加密报文并进行解密,在确定报文为L2TP报文且经过了NAT设备时,对用户的私网IP地址进行保存;向L2TP?over?IPsec接入用户发送L2TP报文前,如查找到用户的私网IP地址,则用用户的私网IP地址和报文的目的IP地址作为索引去匹配安全策略库。本发明能够在存在NAT的组网中实现LNS对不同L2TP?over?IPsec接入用户的区分。

Description

一种实现L2TP over IPsec接入的方法
技术领域
本发明涉及通信技术领域,尤其涉及的是一种实现L2TPoverIPsec接入的方法和L2TP网络服务器(L2TPNetworkServer,LNS)。
背景技术
IPsec(Internet协议安全性)是IETF(InternetEngineeringTaskForce,Internet工程任务组)的IPsec小组建立的一组IP安全协议集。IPsec定义了在网络层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
L2TP(二层隧道协议)作为一种移动用户接入企业内部网络的方法被广泛应用。但L2TP本身不提供对数据的加密保护,报文在网络的传递过程中容易被窃取和篡改。所以在实际的应用中,通常用IPsec来保护L2TP的协商和用户数据。
在实际的网络环境中,会存在NAT(NetworkAddressTranslation,网络地址转换)设备,NAT与IPsec存在兼容性问题。在穿越NAT时,NAT设备需要修改报文的传输层端口号来复用公网IP地址。当报文被IPsec保护时,该操作无法进行。IETF定义了一种IPsec报文的UDP封装方式,其主要设计思想是在IPsec头部之前封装端口号为4500的UDP包头,用于帮助IPsec报文穿越NAT设备。
IPsec对报文的封装有两种模式,隧道模式和传输模式。隧道模式对IP头部和有效负载进行加密,并在之前新增一个IP头部的封装。传输模式保留原有的IP头部,只对有效负载部分进行加密。L2TPoverIPsec使用的是传输模式。
如图1所示,L2TP网络服务器(L2TPNetworkServer,LNS)与多个CPE(CustomerPremiseEquipment,客户终端设备)下的UE建立L2TPoverIPsec连接,不同的CPE可能具有相同的私网地址空间。在CPE设备上进行NAT处理,将私网IP转换成公网IP。
如图2所示,报文在CPE设备上进行NAT处理后,不同的私网IP会被转换成相同的公网IP。这样的报文到达LNS,IPsec头部被解封装后,不同的UE的L2TP报文的三层和四层特征可能是一样的,LNS无法区分。比如,对于同一个CPE下的两个用户设备:UE1(IP4)和UE2(IP5),IPsec处理前,UE1的IP头部(IPHead1)包括:IP1(目标IP地址)和IP4(源IP地址),UE2的IP头部(IPHead1)包括:IP1(目标IP地址)和IP5(源IP地址);IPsec处理后,IP头部保持不变,经过NAT转换后,UE1和UE2的IP头部(IPHead1)变为新的IP头部(IPHead2),其中目的IP地址保持不变(还是IP1),源IP地址均变为公网IP地址(IP2)。因此,LNS无法区分同一个CPE下的不同用户终端。
发明内容
本发明所要解决的技术问题是提供一种实现L2TPoverIPsec接入的方法和L2TP网络服务器,能够在存在NAT设备的组网中实现L2TP网络服务器(L2TPNetworkServer,LNS)对不同L2TPoverIPsec接入用户的区分。
为了解决上述技术问题,本发明提供了一种实现L2TPoverIPsec接入的方法,应用于L2TP网络服务器,该方法包括:
在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
进一步地,该方法还包括下述特点:
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块。
进一步地,该方法还包括下述特点:
IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
进一步地,该方法还包括下述特点:
L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
进一步地,该方法还包括下述特点:
向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TPoverIPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
为了解决上述技术问题,本发明还提供了一种L2TP网络服务器,包括:
协商装置,用于在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
出向报文处理装置,用于向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
进一步地,该L2TP网络服务器还包括下述特点:
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块。
进一步地,该L2TP网络服务器还包括下述特点:
入向报文处理装置,用于IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
进一步地,该L2TP网络服务器还包括下述特点:
入向报文处理装置,用于L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
进一步地,该L2TP网络服务器还包括下述特点:
出向报文处理装置,用于向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TPoverIPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
与现有技术相比,本发明提供的一种实现L2TPoverIPsec接入的方法和L2TP网络服务器,L2TP网络服务器在用户接入的IKE协商阶段识别网络中是否存在NAT设备,在确定存在NAT设备后,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引,接收入向报文,对经过NAT设备转换的报文,保存用户的私网IP地址,向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。本发明能够在存在NAT设备的组网中实现L2TP网络服务器(L2TPNetworkServer,LNS)对不同L2TPoverIPsec接入用户的区分。
附图说明
图1是现有技术中L2TPoverIPsec的典型组网图。
图2是现有技术中L2TP报文在经过IPsec和NAT转换前后的IP报文格式。
图3为本发明实施例的一种实现L2TPoverIPsec接入的方法的流程图。
图4为本发明实施例的LNS结构示意图。
图5是L2TPoverIPsec用户接入的IKE协商流程。
图6是LNS对入向报文进行处理的流程图。
图7是LNS发送出向报文时的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图3所示,本发明实施例提供了一种实现L2TPoverIPsec接入的方法,应用于二层隧道协议L2TP网络服务器,该方法包括:
S10,在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
S20,接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
S30,向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,IPsec安全策略库是用于指明IP数据报文应该应用于何种安全服务以及如何获取该服务的数据结构。IPsec安全联盟是为安全目的创建的一个安全连接,所有经过同一个安全连接的数据流会得到同样的安全服务。IPsec安全联盟是通过IKE协商协商生成,生成后,IPsec安全策略库的某条记录会指向这个IPsec安全联盟。
其中,步骤S10中还包括:
在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧不存在网络地址转换NAT设备时,将所述用户的公网IP地址和L2TP网络服务器的公网IP地址作为IPsec安全策略库的索引;
其中,步骤S20中,接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块;
其中,IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
用户的私网IP作为cookie传递,L2TP模块不感知其中的格式与内容。
其中,L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
IPsec模块之所以需要将用户的私网IP地址作为cookie传递给L2TP模块,是因为NAT穿越场景下的L2TPoverIPsec用户,是使用用户的私网IP地址和CPE的公网IP(NAT转换后的公网IP地址)作为IPsec安全策略库的索引。当L2TP模块发送出向报文时,需要将用户的私网IP地址发送给IPsec模块,这样IPsec模块才能查找到正确的IPsec安全联盟,获得正确的安全策略去加密出向报文。
步骤S30中,向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TPoverIPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的用户的私网IP地址和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,L2TP模块将所述用户的私网IP地址和L2TP报文一起发送给IPsec模块,包括:
L2TP模块将所述用户的私网IP地址作为cookie,和所述L2TP报文一起发送给IPsec模块。
其中,步骤S30还包括:向L2TPoverIPsec接入用户发送L2TP报文前,如未查找到所述用户的私网IP地址,则用所述L2TP报文的源IP地址和目的IP地址作为索引去匹配IPsec安全策略库。
其中,步骤S30中,还包括:在确定匹配成功后,根据匹配到的IPsec安全联盟对所述L2TP报文进行加密发送。
如图4所示,本发明实施例提供了一种L2TP网络服务器,包括:
协商装置,用于在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
出向报文处理装置,用于向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,所述协商装置,还用于在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧不存在网络地址转换NAT设备时,将所述用户的公网IP地址和L2TP网络服务器的公网IP地址作为IPsec安全策略库的索引。
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块;
其中,入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,入向报文处理装置,用于IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
其中,入向报文处理装置,用于L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
其中,出向报文处理装置,用于向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TPoverIPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的用户的私网IP地址和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,出向报文处理装置,用于L2TP模块将所述用户的私网IP地址和L2TP报文一起发送给IPsec模块,包括:
L2TP模块将所述用户的私网IP地址作为cookie,和所述L2TP报文一起发送给IPsec模块。
其中,出向报文处理装置,还用于向L2TPoverIPsec接入用户发送L2TP报文前,如未查找到所述用户的私网IP地址,则用所述L2TP报文的源IP地址和目的IP地址作为索引去匹配IPsec安全策略库。
其中,出向报文处理装置,还用于用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库后,在确定匹配成功后,根据匹配到的IPsec安全联盟对所述L2TP报文进行加密发送。
下面结合图5至图7对本发明实施所述方法进行详细阐述。
如图5所示,图5是本发明实施例中IKE协商的流程示意图,具体包括以下步骤:
(1)当用户进行L2TPOVERIPSEC连接时,发起IKE协商;
(2)LNS判断网络中是否存在NAT设备,获取用户的私网地址。
(3)判断是否是L2TPOVERIPSEC的接入方式。
(4)如果是L2TPOVERIPSEC的接入方式,并且网络中存在NAT设备,根据用户的私网IP和NAT转换后的公网IP建立并维护IPSEC安全策略库。
(5)如果是L2TPOVERIPSEC的接入方式,但网络中不存在NAT设备,说明是公网接入,根据用户的公网IP和LNS的公网IP建立并维护IPSEC安全策略库。
(6)将IPSEC安全策略库与生成的IPSEC安全联盟关联。
协商完成后,IPSEC开始对L2TP的协商和数据报文进行保护,首先结合图6说明LNS设备入向流量的处理流程。
(1)LNS设备收到IPSEC加密报文,IPSEC模块根据IPSEC头部的SPI(SecurityParametersIndex,安全参数索引)字段查找IPSEC安全联盟。
(2)对报文进行解密。
(3)判断是否是L2TP报文,并且是否是NAT穿越场景。
其中,协商的双方将自己的源地址及端口和目的地址及端口分别进行HASH(哈希)处理,通过NAT-D载荷发送给对方,如果存在NAT设备,则将私网地址通过NAT-OA载荷发送给对端。
(4)如果两个条件都满足,需要从IPSEC安全联盟中取出NAT-OA源地址,这个地址是用户的私网地址,将这个地址作为cookie和报文一起上送给L2TP模块。
(5)L2TP模块收到报文和cookie后,将cookie存放在L2TP会话表中。
下面结合图7说明下LNS设备发送出向流量时的流程:
(1)L2TP报文封装完成后,将报文传递给IPSEC模块处理,如果会话表存在cookie,将cookie一起发送给IPSEC模块。
(2)IPSEC模块根据报文的五元组生成流量选择符。
(3)判断是否存在cookie,如果有cookie,用cookie中的私网IP替换流量选择符中的源IP。
(4)用流量选择符匹配安全策略库。
(5)如果能够匹配到,用匹配到的安全策略指向的IPSEC安全联盟对报文进行加密,并发送。
上述实施例提供的一种实现L2TPoverIPsec接入的方法和L2TP网络服务器,L2TP网络服务器在用户接入的IKE协商阶段识别网络中是否存在NAT设备,在确定存在NAT设备后,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引,接收入向报文,对经过NAT设备转换的报文,保存用户的私网IP地址,向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。本发明能够在存在NAT设备的组网中实现L2TP网络服务器(L2TPNetworkServer,LNS)对不同L2TPoverIPsec接入用户的区分。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种实现L2TPoverIPsec接入的方法,应用于L2TP网络服务器,该方法包括:
在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
2.如权利要求1所述的方法,其特征在于:
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块。
3.如权利要求2所述的方法,其特征在于:
IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
4.如权利要求3所述的方法,其特征在于:
L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
5.如权利要求4所述的方法,其特征在于:
向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TPoverIPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
6.一种L2TP网络服务器,包括:
协商装置,用于在与L2TPoverIPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
出向报文处理装置,用于向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
7.如权利要求6所述的L2TP网络服务器,其特征在于:
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块。
8.如权利要求7所述的L2TP网络服务器,其特征在于:
入向报文处理装置,用于IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
9.如权利要求8所述的L2TP网络服务器,其特征在于:
入向报文处理装置,用于L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
10.如权利要求9所述的L2TP网络服务器,其特征在于:
出向报文处理装置,用于向L2TPoverIPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TPoverIPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
CN201410499881.6A 2014-09-25 2014-09-25 一种实现L2TP over IPsec接入的方法 Active CN105516062B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201410499881.6A CN105516062B (zh) 2014-09-25 2014-09-25 一种实现L2TP over IPsec接入的方法
PCT/CN2014/094002 WO2015131609A1 (zh) 2014-09-25 2014-12-16 一种实现L2TP over IPsec接入的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410499881.6A CN105516062B (zh) 2014-09-25 2014-09-25 一种实现L2TP over IPsec接入的方法

Publications (2)

Publication Number Publication Date
CN105516062A true CN105516062A (zh) 2016-04-20
CN105516062B CN105516062B (zh) 2020-07-31

Family

ID=54054481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410499881.6A Active CN105516062B (zh) 2014-09-25 2014-09-25 一种实现L2TP over IPsec接入的方法

Country Status (2)

Country Link
CN (1) CN105516062B (zh)
WO (1) WO2015131609A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027387A (zh) * 2016-07-05 2016-10-12 瑞斯康达科技发展股份有限公司 一种语音业务的处理方法、网关设备及系统
CN106027508A (zh) * 2016-05-11 2016-10-12 北京网御星云信息技术有限公司 一种认证加密的数据传输方法及装置
CN110519282A (zh) * 2019-08-30 2019-11-29 新华三信息安全技术有限公司 一种报文处理的方法及装置

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105610577B (zh) * 2016-01-07 2018-09-14 成都卫士通信息产业股份有限公司 一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法
CN112751816B (zh) * 2019-10-31 2023-05-12 中国移动通信有限公司研究院 一种隧道建立方法、装置、设备及计算机可读存储介质
CN113067908B (zh) * 2020-01-02 2023-03-31 中国移动通信有限公司研究院 一种nat穿越方法、装置、电子设备和存储介质
CN114513387A (zh) * 2020-11-17 2022-05-17 中国移动通信有限公司研究院 一种隧道建立方法、装置及设备
CN115459944A (zh) * 2022-07-28 2022-12-09 新华三信息安全技术有限公司 一种服务器的外联防护方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070002857A1 (en) * 2005-06-30 2007-01-04 Thomas Maher Method of network communication
CN101217435A (zh) * 2008-01-16 2008-07-09 中兴通讯股份有限公司 一种L2TP over IPSEC远程接入的方法及装置
CN101350759A (zh) * 2008-08-18 2009-01-21 华为技术有限公司 一种报文处理方法、业务板、接口板及网络通信设备
CN102694808A (zh) * 2012-05-31 2012-09-26 汉柏科技有限公司 Ike远程接入的处理系统及方法
US20130086665A1 (en) * 2011-09-30 2013-04-04 Time Warner Cable Inc. SYSTEM AND METHOD FOR CLONING A Wi-Fi ACCESS POINT

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030135616A1 (en) * 2002-01-11 2003-07-17 Carrico Sandra Lynn IPSec Through L2TP
CN102833359A (zh) * 2011-06-14 2012-12-19 中兴通讯股份有限公司 隧道信息获取方法、安全网关及演进家庭基站/家庭基站

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070002857A1 (en) * 2005-06-30 2007-01-04 Thomas Maher Method of network communication
CN101217435A (zh) * 2008-01-16 2008-07-09 中兴通讯股份有限公司 一种L2TP over IPSEC远程接入的方法及装置
CN101350759A (zh) * 2008-08-18 2009-01-21 华为技术有限公司 一种报文处理方法、业务板、接口板及网络通信设备
US20130086665A1 (en) * 2011-09-30 2013-04-04 Time Warner Cable Inc. SYSTEM AND METHOD FOR CLONING A Wi-Fi ACCESS POINT
CN102694808A (zh) * 2012-05-31 2012-09-26 汉柏科技有限公司 Ike远程接入的处理系统及方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027508A (zh) * 2016-05-11 2016-10-12 北京网御星云信息技术有限公司 一种认证加密的数据传输方法及装置
CN106027387A (zh) * 2016-07-05 2016-10-12 瑞斯康达科技发展股份有限公司 一种语音业务的处理方法、网关设备及系统
CN106027387B (zh) * 2016-07-05 2019-06-04 瑞斯康达科技发展股份有限公司 一种语音业务的处理方法、网关设备及系统
CN110519282A (zh) * 2019-08-30 2019-11-29 新华三信息安全技术有限公司 一种报文处理的方法及装置

Also Published As

Publication number Publication date
CN105516062B (zh) 2020-07-31
WO2015131609A1 (zh) 2015-09-11

Similar Documents

Publication Publication Date Title
CN105516062A (zh) 一种实现L2TP over IPsec接入的方法
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
CN106375493B (zh) 一种跨网络通信的方法以及代理服务器
CN102882789B (zh) 一种数据报文处理方法、系统及设备
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US20080162929A1 (en) Communication system of client terminals and relay server and communication method
CN108769292B (zh) 报文数据处理方法及装置
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
Bhattacharjya et al. Security challenges and concerns of Internet of Things (IoT)
CN104426837B (zh) Ftp的应用层报文过滤方法及装置
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
WO2010124014A2 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
CN111935212B (zh) 安全路由器及基于安全路由器的物联网安全联网方法
CN110086798B (zh) 一种基于公共虚拟接口进行通信的方法及装置
Touil et al. Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges
CN113746788A (zh) 一种数据处理方法及装置
CN109981820A (zh) 一种报文转发方法及装置
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
CN104509046B (zh) 一种数据通信方法、设备和系统
Blåberg Kristoffersson Zero Trust in Autonomous Vehicle Networks Utilizing Automotive Ethernet
US20130133060A1 (en) Communication system, control device and control program
JP2005065004A (ja) 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20200706

Address after: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68

Applicant after: Nanjing Zhongxing Software Co.,Ltd.

Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice

Applicant before: ZTE Corp.

GR01 Patent grant
GR01 Patent grant