CN105516062B - 一种实现L2TP over IPsec接入的方法 - Google Patents
一种实现L2TP over IPsec接入的方法 Download PDFInfo
- Publication number
- CN105516062B CN105516062B CN201410499881.6A CN201410499881A CN105516062B CN 105516062 B CN105516062 B CN 105516062B CN 201410499881 A CN201410499881 A CN 201410499881A CN 105516062 B CN105516062 B CN 105516062B
- Authority
- CN
- China
- Prior art keywords
- address
- user
- message
- ipsec
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现L2TP over IPsec接入的方法,应用于LNS,包括:在与L2TP over IPsec用户进行IKE协商过程中确定存在NAT设备时,将用户的私网IP地址和经过NAT转换后的公网IP地址作为安全策略库的索引;接收入向IPsec加密报文并进行解密,在确定报文为L2TP报文且经过了NAT设备时,对用户的私网IP地址进行保存;向L2TP over IPsec接入用户发送L2TP报文前,如查找到用户的私网IP地址,则用用户的私网IP地址和报文的目的IP地址作为索引去匹配安全策略库。本发明能够在存在NAT的组网中实现LNS对不同L2TP over IPsec接入用户的区分。
Description
技术领域
本发明涉及通信技术领域,尤其涉及的是一种实现L2TP over IPsec接入的方法和L2TP网络服务器(L2TP Network Server,LNS)。
背景技术
IPsec(Internet协议安全性)是IETF(Internet Engineering Task Force,Internet工程任务组)的IPsec小组建立的一组IP安全协议集。IPsec定义了在网络层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
L2TP(二层隧道协议)作为一种移动用户接入企业内部网络的方法被广泛应用。但L2TP本身不提供对数据的加密保护,报文在网络的传递过程中容易被窃取和篡改。所以在实际的应用中,通常用IPsec来保护L2TP的协商和用户数据。
在实际的网络环境中,会存在NAT(Network Address Translation,网络地址转换)设备,NAT与IPsec存在兼容性问题。在穿越NAT时,NAT设备需要修改报文的传输层端口号来复用公网IP地址。当报文被IPsec保护时,该操作无法进行。IETF定义了一种IPsec报文的UDP封装方式,其主要设计思想是在IPsec头部之前封装端口号为4500的UDP包头,用于帮助IPsec报文穿越NAT设备。
IPsec对报文的封装有两种模式,隧道模式和传输模式。隧道模式对IP头部和有效负载进行加密,并在之前新增一个IP头部的封装。传输模式保留原有的IP头部,只对有效负载部分进行加密。L2TP over IPsec使用的是传输模式。
如图1所示,L2TP网络服务器(L2TP Network Server,LNS)与多个CPE(CustomerPremise Equipment,客户终端设备)下的UE建立L2TP over IPsec连接,不同的CPE可能具有相同的私网地址空间。在CPE设备上进行NAT处理,将私网IP转换成公网IP。
如图2所示,报文在CPE设备上进行NAT处理后,不同的私网IP会被转换成相同的公网IP。这样的报文到达LNS,IPsec头部被解封装后,不同的UE的L2TP报文的三层和四层特征可能是一样的,LNS无法区分。比如,对于同一个CPE下的两个用户设备:UE1(IP4)和UE2(IP5),IPsec处理前,UE1的IP头部(IP Head1)包括:IP1(目标IP地址)和IP4(源IP地址),UE2的IP头部(IP Head1)包括:IP1(目标IP地址)和IP5(源IP地址);IPsec处理后,IP头部保持不变,经过NAT转换后,UE1和UE2的IP头部(IP Head1)变为新的IP头部(IP Head2),其中目的IP地址保持不变(还是IP1),源IP地址均变为公网IP地址(IP2)。因此,LNS无法区分同一个CPE下的不同用户终端。
发明内容
本发明所要解决的技术问题是提供一种实现L2TP over IPsec接入的方法和L2TP网络服务器,能够在存在NAT设备的组网中实现L2TP网络服务器(L2TP Network Server,LNS)对不同L2TP over IPsec接入用户的区分。
为了解决上述技术问题,本发明提供了一种实现L2TP over IPsec接入的方法,应用于L2TP网络服务器,该方法包括:
在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
进一步地,该方法还包括下述特点:
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块。
进一步地,该方法还包括下述特点:
IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
进一步地,该方法还包括下述特点:
L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
进一步地,该方法还包括下述特点:
向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TP over IPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
为了解决上述技术问题,本发明还提供了一种L2TP网络服务器,包括:
协商装置,用于在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
出向报文处理装置,用于向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
进一步地,该L2TP网络服务器还包括下述特点:
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块。
进一步地,该L2TP网络服务器还包括下述特点:
入向报文处理装置,用于IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
进一步地,该L2TP网络服务器还包括下述特点:
入向报文处理装置,用于L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
进一步地,该L2TP网络服务器还包括下述特点:
出向报文处理装置,用于向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TP over IPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
与现有技术相比,本发明提供的一种实现L2TP over IPsec接入的方法和L2TP网络服务器,L2TP网络服务器在用户接入的IKE协商阶段识别网络中是否存在NAT设备,在确定存在NAT设备后,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引,接收入向报文,对经过NAT设备转换的报文,保存用户的私网IP地址,向L2TPover IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。本发明能够在存在NAT设备的组网中实现L2TP网络服务器(L2TP Network Server,LNS)对不同L2TP over IPsec接入用户的区分。
附图说明
图1是现有技术中L2TP over IPsec的典型组网图。
图2是现有技术中L2TP报文在经过IPsec和NAT转换前后的IP报文格式。
图3为本发明实施例的一种实现L2TP over IPsec接入的方法的流程图。
图4为本发明实施例的LNS结构示意图。
图5是L2TP over IPsec用户接入的IKE协商流程。
图6是LNS对入向报文进行处理的流程图。
图7是LNS发送出向报文时的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图3所示,本发明实施例提供了一种实现L2TP over IPsec接入的方法,应用于二层隧道协议L2TP网络服务器,该方法包括:
S10,在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
S20,接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
S30,向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,IPsec安全策略库是用于指明IP数据报文应该应用于何种安全服务以及如何获取该服务的数据结构。IPsec安全联盟是为安全目的创建的一个安全连接,所有经过同一个安全连接的数据流会得到同样的安全服务。IPsec安全联盟是通过IKE协商协商生成,生成后,IPsec安全策略库的某条记录会指向这个IPsec安全联盟。
其中,步骤S10中还包括:
在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧不存在网络地址转换NAT设备时,将所述用户的公网IP地址和L2TP网络服务器的公网IP地址作为IPsec安全策略库的索引;
其中,步骤S20中,接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块;
其中,IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
用户的私网IP作为cookie传递,L2TP模块不感知其中的格式与内容。
其中,L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
IPsec模块之所以需要将用户的私网IP地址作为cookie传递给L2TP模块,是因为NAT穿越场景下的L2TP over IPsec用户,是使用用户的私网IP地址和CPE的公网IP(NAT转换后的公网IP地址)作为IPsec安全策略库的索引。当L2TP模块发送出向报文时,需要将用户的私网IP地址发送给IPsec模块,这样IPsec模块才能查找到正确的IPsec安全联盟,获得正确的安全策略去加密出向报文。
步骤S30中,向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TP over IPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的用户的私网IP地址和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,L2TP模块将所述用户的私网IP地址和L2TP报文一起发送给IPsec模块,包括:
L2TP模块将所述用户的私网IP地址作为cookie,和所述L2TP报文一起发送给IPsec模块。
其中,步骤S30还包括:向L2TP over IPsec接入用户发送L2TP报文前,如未查找到所述用户的私网IP地址,则用所述L2TP报文的源IP地址和目的IP地址作为索引去匹配IPsec安全策略库。
其中,步骤S30中,还包括:在确定匹配成功后,根据匹配到的IPsec安全联盟对所述L2TP报文进行加密发送。
如图4所示,本发明实施例提供了一种L2TP网络服务器,包括:
协商装置,用于在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存;
出向报文处理装置,用于向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,所述协商装置,还用于在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧不存在网络地址转换NAT设备时,将所述用户的公网IP地址和L2TP网络服务器的公网IP地址作为IPsec安全策略库的索引。
其中,所述L2TP网络服务器包括IPsec模块和L2TP模块;
其中,入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:
IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;
L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;
其中,入向报文处理装置,用于IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
其中,入向报文处理装置,用于L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
其中,出向报文处理装置,用于向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TP over IPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的用户的私网IP地址和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
其中,出向报文处理装置,用于L2TP模块将所述用户的私网IP地址和L2TP报文一起发送给IPsec模块,包括:
L2TP模块将所述用户的私网IP地址作为cookie,和所述L2TP报文一起发送给IPsec模块。
其中,出向报文处理装置,还用于向L2TP over IPsec接入用户发送L2TP报文前,如未查找到所述用户的私网IP地址,则用所述L2TP报文的源IP地址和目的IP地址作为索引去匹配IPsec安全策略库。
其中,出向报文处理装置,还用于用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库后,在确定匹配成功后,根据匹配到的IPsec安全联盟对所述L2TP报文进行加密发送。
下面结合图5至图7对本发明实施所述方法进行详细阐述。
如图5所示,图5是本发明实施例中IKE协商的流程示意图,具体包括以下步骤:
(1)当用户进行L2TP OVER IPSEC连接时,发起IKE协商;
(2)LNS判断网络中是否存在NAT设备,获取用户的私网地址。
(3)判断是否是L2TP OVER IPSEC的接入方式。
(4)如果是L2TP OVER IPSEC的接入方式,并且网络中存在NAT设备,根据用户的私网IP和NAT转换后的公网IP建立并维护IPSEC安全策略库。
(5)如果是L2TP OVER IPSEC的接入方式,但网络中不存在NAT设备,说明是公网接入,根据用户的公网IP和LNS的公网IP建立并维护IPSEC安全策略库。
(6)将IPSEC安全策略库与生成的IPSEC安全联盟关联。
协商完成后,IPSEC开始对L2TP的协商和数据报文进行保护,首先结合图6说明LNS设备入向流量的处理流程。
(1)LNS设备收到IPSEC加密报文,IPSEC模块根据IPSEC头部的SPI(SecurityParameters Index,安全参数索引)字段查找IPSEC安全联盟。
(2)对报文进行解密。
(3)判断是否是L2TP报文,并且是否是NAT穿越场景。
其中,协商的双方将自己的源地址及端口和目的地址及端口分别进行HASH(哈希)处理,通过NAT-D载荷发送给对方,如果存在NAT设备,则将私网地址通过NAT-OA载荷发送给对端。
(4)如果两个条件都满足,需要从IPSEC安全联盟中取出NAT-OA源地址,这个地址是用户的私网地址,将这个地址作为cookie和报文一起上送给L2TP模块。
(5)L2TP模块收到报文和cookie后,将cookie存放在L2TP会话表中。
下面结合图7说明下LNS设备发送出向流量时的流程:
(1)L2TP报文封装完成后,将报文传递给IPSEC模块处理,如果会话表存在cookie,将cookie一起发送给IPSEC模块。
(2)IPSEC模块根据报文的五元组生成流量选择符。
(3)判断是否存在cookie,如果有cookie,用cookie中的私网IP替换流量选择符中的源IP。
(4)用流量选择符匹配安全策略库。
(5)如果能够匹配到,用匹配到的安全策略指向的IPSEC安全联盟对报文进行加密,并发送。
上述实施例提供的一种实现L2TP over IPsec接入的方法和L2TP网络服务器,L2TP网络服务器在用户接入的IKE协商阶段识别网络中是否存在NAT设备,在确定存在NAT设备后,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引,接收入向报文,对经过NAT设备转换的报文,保存用户的私网IP地址,向L2TPover IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。本发明能够在存在NAT设备的组网中实现L2TP网络服务器(L2TP Network Server,LNS)对不同L2TPover IPsec接入用户的区分。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (8)
1.一种实现L2TP over IPsec接入的方法,应用于L2TP网络服务器,该方法包括:
在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,所述接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;其中,所述L2TP网络服务器包括IPsec模块和L2TP模块;
向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
2.如权利要求1所述的方法,其特征在于:
IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
3.如权利要求2所述的方法,其特征在于:
L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
4.如权利要求3所述的方法,其特征在于:
向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TP over IPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
5.一种L2TP网络服务器,包括:
协商装置,用于在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时,将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引;
入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,所述入向报文处理装置,用于接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且经过了NAT设备时,对所述用户的私网IP地址进行保存,包括:IPsec模块接收入向IPsec加密报文并进行解密,在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时,将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块;L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后,对所述用户的私网IP地址进行保存;其中,所述L2TP网络服务器包括IPsec模块和L2TP模块;
出向报文处理装置,用于向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
6.如权利要求5所述的L2TP网络服务器,其特征在于:
入向报文处理装置,用于IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块,包括:
IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
7.如权利要求6所述的L2TP网络服务器,其特征在于:
入向报文处理装置,用于L2TP模块对所述用户的私网IP地址进行保存,包括:L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
8.如权利要求7所述的L2TP网络服务器,其特征在于:
出向报文处理装置,用于向L2TP over IPsec接入用户发送L2TP报文前,如查找到所述用户的私网IP地址,则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库,包括:
L2TP模块向L2TP over IPsec接入用户发送L2TP报文前,从L2TP会话表中读取所述用户的私网IP地址,如果成功读取到,则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块;
IPsec模块在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后,用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410499881.6A CN105516062B (zh) | 2014-09-25 | 2014-09-25 | 一种实现L2TP over IPsec接入的方法 |
| PCT/CN2014/094002 WO2015131609A1 (zh) | 2014-09-25 | 2014-12-16 | 一种实现L2TP over IPsec接入的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410499881.6A CN105516062B (zh) | 2014-09-25 | 2014-09-25 | 一种实现L2TP over IPsec接入的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105516062A CN105516062A (zh) | 2016-04-20 |
| CN105516062B true CN105516062B (zh) | 2020-07-31 |
Family
ID=54054481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410499881.6A Active CN105516062B (zh) | 2014-09-25 | 2014-09-25 | 一种实现L2TP over IPsec接入的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105516062B (zh) |
| WO (1) | WO2015131609A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610577B (zh) * | 2016-01-07 | 2018-09-14 | 成都卫士通信息产业股份有限公司 | 一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法 |
| CN106027508A (zh) * | 2016-05-11 | 2016-10-12 | 北京网御星云信息技术有限公司 | 一种认证加密的数据传输方法及装置 |
| CN106027387B (zh) * | 2016-07-05 | 2019-06-04 | 瑞斯康达科技发展股份有限公司 | 一种语音业务的处理方法、网关设备及系统 |
| CN110519282A (zh) * | 2019-08-30 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN112751816B (zh) * | 2019-10-31 | 2023-05-12 | 中国移动通信有限公司研究院 | 一种隧道建立方法、装置、设备及计算机可读存储介质 |
| CN113067908B (zh) * | 2020-01-02 | 2023-03-31 | 中国移动通信有限公司研究院 | 一种nat穿越方法、装置、电子设备和存储介质 |
| CN114513387A (zh) * | 2020-11-17 | 2022-05-17 | 中国移动通信有限公司研究院 | 一种隧道建立方法、装置及设备 |
| CN115459944A (zh) * | 2022-07-28 | 2022-12-09 | 新华三信息安全技术有限公司 | 一种服务器的外联防护方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217435A (zh) * | 2008-01-16 | 2008-07-09 | 中兴通讯股份有限公司 | 一种L2TP over IPSEC远程接入的方法及装置 |
| CN101350759A (zh) * | 2008-08-18 | 2009-01-21 | 华为技术有限公司 | 一种报文处理方法、业务板、接口板及网络通信设备 |
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135616A1 (en) * | 2002-01-11 | 2003-07-17 | Carrico Sandra Lynn | IPSec Through L2TP |
| IES20050439A2 (en) * | 2005-06-30 | 2006-08-09 | Asavie R & D Ltd | A method of network communication |
| CN102833359A (zh) * | 2011-06-14 | 2012-12-19 | 中兴通讯股份有限公司 | 隧道信息获取方法、安全网关及演进家庭基站/家庭基站 |
| US8555364B2 (en) * | 2011-09-30 | 2013-10-08 | Time Warner Cable Enterprises Llc | System and method for cloning a wi-fi access point |
-
2014
- 2014-09-25 CN CN201410499881.6A patent/CN105516062B/zh active Active
- 2014-12-16 WO PCT/CN2014/094002 patent/WO2015131609A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217435A (zh) * | 2008-01-16 | 2008-07-09 | 中兴通讯股份有限公司 | 一种L2TP over IPSEC远程接入的方法及装置 |
| CN101350759A (zh) * | 2008-08-18 | 2009-01-21 | 华为技术有限公司 | 一种报文处理方法、业务板、接口板及网络通信设备 |
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105516062A (zh) | 2016-04-20 |
| WO2015131609A1 (zh) | 2015-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| US11848961B2 (en) | HTTPS request enrichment | |
| JP4710267B2 (ja) | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| CN1833403B (zh) | 通信系统、通信装置、通信方法 | |
| CN108769292B (zh) | 报文数据处理方法及装置 | |
| US20050198499A1 (en) | System and method for efficiently transferring media across firewalls | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| WO2010124014A2 (en) | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway | |
| CN109981820B (zh) | 一种报文转发方法及装置 | |
| CN110266725B (zh) | 密码安全隔离模块及移动办公安全系统 | |
| CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
| CN101521667A (zh) | 一种安全的数据通信方法及装置 | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| CN115766172A (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
| US8739306B2 (en) | System and method for accessing private digital content | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| KR100450774B1 (ko) | NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 | |
| US20240097903A1 (en) | Ipcon mcdata session establishment method | |
| EP3131269B1 (en) | Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal | |
| WO2024092655A1 (en) | Method and communication device for communication using ipsec | |
| CN115767535A (zh) | 一种5G场景下终端vpn网络接入鉴权方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200706 Address after: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Applicant after: Nanjing Zhongxing Software Co.,Ltd. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Applicant before: ZTE Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |