CN106230793A - 一种实现mplsvpn运行在加密的ipvpn之上的方法 - Google Patents
一种实现mplsvpn运行在加密的ipvpn之上的方法 Download PDFInfo
- Publication number
- CN106230793A CN106230793A CN201610581970.4A CN201610581970A CN106230793A CN 106230793 A CN106230793 A CN 106230793A CN 201610581970 A CN201610581970 A CN 201610581970A CN 106230793 A CN106230793 A CN 106230793A
- Authority
- CN
- China
- Prior art keywords
- message
- gre
- vpn
- encryption
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络通信技术,具体的说,是一种实现MPLS VPN运行在加密的IP VPN之上的方法。目前没有现成的解决点对点对原始二层报文进行加密跨越IP公网进行透传的技术,本发明提供一种技术能将原始的二层报文进行加密后,使用IP VPN在运营商的IP网络上进行透明传送,安全的实现客户二层报文跨运营商网络的点对点传送。本发明将二层VPWS的MPLS标签引入GRE封装,且对GRE报文做IPSEC加密,使二层数据报文能够透明的跨越三层网络传送到远端,且该传送过程是加密的,满足了业务传送的透明性与安全性。
Description
技术领域
本发明涉及网络通信技术,具体的说,是一种实现MPLS VPN运行在加密的IP VPN之上的方法。
技术背景
VPWS(Virtual Private Wire Service),指建设在mpls 网络的基础设施之上,在两个路由器的一对端口之间提供高速的二层透传,可将本端PE设备的原始的以太网报文透明传送到远端PE设备,是一种二层的VPN协议。
GRE(Generic Routing Encapsulation)即通用路由封装协议,是VPN第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术,是对某些网络层协议(如IP、IPX、MPLS等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。定义GRE头中Protocol Type为0x8847时,后面的封装报文为MPLS类型报文。
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术, 它的目的是为IP提供高安全性特性,IPSec具体由两类协议组成:AH协议可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。ESP协议可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
随着网络技术的发展,以及网络安全的需求,希望能有一种技术能将原始的二层报文进行加密后,使用IP VPN在运营商的IP网络上进行透明传送,安全的实现客户二层报文跨运营商网络的点对点传送。
VPWS技术能解决点对点的二层报文透明传输,即能将用户原始的二层报文透明的从本地PE设备传送到远端PE设备,经过VPWS封装后的报文其在运营商网络上是通过MPLS标签交换进行报文传送。其无法实现对原始报文的加密处理。
另一方面VPWS要求网络中间节点需要支持MPLS标签转发,并不是所有现有的网络都能满足此要求。
而IPSEC技术是对IP层进行加密处理,无法对原始的二层报文进行加密并传送。
目前没有现成的解决点对点对原始二层报文进行加密跨越IP公网进行透传的技术。
发明内容
本发明的目的在于,提供一种实现MPLS VPN运行在加密的IP VPN之上的方法可以解决上述难题。
发明采用以下技术方案,本发明实现MPLS VPN运行于加密的IP VPN之上的方法包括以下几个步骤:
步骤1:一台IP设备从用户侧端口收到原始以太网报文后,为该报文增加其所属的VPN的MPLS标签;
步骤2:该MPLS标签对应的出端口为GRE隧道端口,根据GRE信息在报文前面再添加一层GRE封装;
步骤3:查找该GRE接口所对应的出口为IPSEC隧道端口,对IP报文再做IPSEC加密处理;
步骤4:查找该IPSEC隧道所对应的真正的物理口,将带VPN标签和GRE封装的IPSEC报文发送到物理链路上去;
步骤5:远端设备从网络侧端口收到报文后,该报文为IPSEC加密的报文,先执行IPSEC解密处理,恢复成原始的GRE报文;
步骤6:对GRE报文进行解封装处理,根据GRE封装类型为MPLS标签报文,得到含VPN标签的私网原始报文;
步骤7:剥离VPN标签,得到原始报文,并根据VPN标签查找VPN转发表,得到报文要发送的出接口,将原始报文从该接口发送出去,实现私网报文跨越IP公网的加密传递。
控制平面PE设备的处理,控制平面主要实现远端PE和本地PE之间分配VPN标签,采用现有的LDP协议分发标签,采用在GRE隧道接口之上运行LDP的方法。控制平面还包括GRE的配置、IPSEC的配置,以及复用路由器上的路由协议、ARP协议。
转发平面分为转发表模块和转发引擎模块,转发表模块由于控制平面生成,转发引擎执行查找动作,其包括接入端口VPWS配置信息表、GRE配置信息表、IPSEC加密信息表、路由表、ARP表、MPLS标签表。
转发引擎的处理可以分为本地PE和远端PE两个部分。
本地PE设备数据转发平面的处理,本地转发平面完成对用户原始二层报文的封装,第 装(MPLS标签),第二层封装为GRE封装,第三层封装为IPSEC加密封装; 并将封装后的报文发送到网络侧接口。
远端PE设备数据转发平面的处理,先做IPSEC解密处理,恢复成GRE封装报文,解析GRE封装根据Protocol Type可得知为MPLS标签封装,剥离GRE头,得到VPN标签和原始报文,并将原始报文发送到用户侧接口。
本发明将二层VPWS的MPLS标签引入GRE封装,且对GRE报文做IPSEC加密,使二层数据报文能够透明的跨越三层网络传送到远端,且该传送过程是加密的,满足了业务传送的透明性与安全性。
具体实施方式:
下面对本发明进行清晰、完整地描述。本领域普通技术人员在不付出创造性劳动的前提下所获得其他的实施例,都属于本发明保护的范围。
实现MPLS VPN运行在加密的IP VPN之上的具体步骤如下:
步骤1:控制平面创建GRE接口、配置IPSEC加密信息。通过GRE接口之上运行LDP协议,远端PE给本地PE分发标签,在远端PE设备形成以该标签值为键值的标签转发表,表项的出接口为用户侧接口; 在本地PE设备形成以用户入接口为键值的表项,表项内容含此标签值,表项的出接口为GRE隧道接口;
步骤2:本地PE设备从用户侧接口接收二层数据报文;本地PE设备以报文的入端口为键值查找步骤1生成的表项,获取MPLS封装标签以及GRE隧道接口号,对用户二层报文进行MPLS封装,即在二层头前面增加一层MPLS标签;本地PE设备根据之前获得的的GRE隧道接口号,以其作为键值,查找GRE隧道表,得到GRE封装信息,并获取出接口信息,对之前封装后的MPLS报文添加GRE头以及新的IP头,完成GRE封装处理。
步骤3:本地PE设备检查步骤2中得到的出接口信息,可得知其为IPSEC隧道出口,查找IPSEC隧道信息,做IPSEC的加密以及封装处理。
步骤4:本地PE设备根据IPSEC隧道信息查找得到的出端口信息,将步骤3做完IPSEC加密封装后的报文投递到网络侧物理出端口上。
步骤5:报文在IP网络中传送,根据外层IP查找IP网络路由器设备中的路由表进行转发。远端PE设备收到从IP公网中收到的报文,根据IPSEC信息解密并剥离IPSEC封装,得到GRE封装的报文。
步骤6:远端PE设备剥离GRE封装报文得到MPLS标签报文;
步骤7:远端PE设备剥离MPLS标签,得到用户的原始二层报文,并根据MPLS标签查找步骤1中生成的标签表,得到用户真正的物理出口,将原始二层报文投递到用户侧网络出口上。
以上步骤完成用户原始二层报文从本地PE到远端PE的跨越公共IP网络的加密传输。
Claims (1)
1. 一种实现MPLS VPN运行在加密的IP VPN之上的方法,其特征在于包括下面步骤:
步骤1:一台IP设备从用户侧端口收到原始以太网报文后,为该报文增加其所属的VPN的MPLS标签;
步骤2:该MPLS标签对应的出端口为GRE隧道端口,根据GRE信息在报文前面再添加一层GRE封装;
步骤3:查找该GRE接口所对应的出口为IPSEC隧道端口,对IP报文再做IPSEC加密处理;
步骤4:查找该IPSEC隧道所对应的真正的物理口,将带VPN标签和GRE封装的IPSEC报文发送到物理链路上去;
步骤5:远端设备从网络侧端口收到报文后,该报文为IPSEC加密的报文,先执行IPSEC解密处理,恢复成原始的GRE报文;
步骤6:对GRE报文进行解封装处理,根据GRE封装类型为MPLS标签报文,得到含VPN标签的私网原始报文;
步骤7:剥离VPN标签,得到原始报文,并根据VPN标签查找VPN转发表,得到报文要发送的出接口,将原始报文从该接口发送出去,实现私网报文跨越IP公网的加密传递。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610581970.4A CN106230793A (zh) | 2016-07-22 | 2016-07-22 | 一种实现mplsvpn运行在加密的ipvpn之上的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610581970.4A CN106230793A (zh) | 2016-07-22 | 2016-07-22 | 一种实现mplsvpn运行在加密的ipvpn之上的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106230793A true CN106230793A (zh) | 2016-12-14 |
Family
ID=57531315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610581970.4A Pending CN106230793A (zh) | 2016-07-22 | 2016-07-22 | 一种实现mplsvpn运行在加密的ipvpn之上的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106230793A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878138A (zh) * | 2017-01-18 | 2017-06-20 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN107547313A (zh) * | 2017-10-23 | 2018-01-05 | 安徽皖通邮电股份有限公司 | 一种穿越ip网络的点到点网络测量装置和方法 |
| CN108134794A (zh) * | 2017-12-26 | 2018-06-08 | 南京航空航天大学 | 一种基于gre和ipsec的智能制造物联中业务数据加密传输的方法 |
| CN109150916A (zh) * | 2018-10-25 | 2019-01-04 | 盛科网络(苏州)有限公司 | 一种在mpls l2vpn网络中实现内层数据加密的方法 |
| CN109257388A (zh) * | 2018-11-20 | 2019-01-22 | 安徽皖通邮电股份有限公司 | 一种mpls-tp中伪线加密方法 |
| CN111182016A (zh) * | 2018-11-12 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 一种PPPoE拨号报文传输方法及装置 |
| CN113923033A (zh) * | 2021-10-13 | 2022-01-11 | 中能融合智慧科技有限公司 | 工控网络的透明加密方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1468007A (zh) * | 2002-07-10 | 2004-01-14 | 华为技术有限公司 | 提供虚拟局域网段业务的虚拟交换机及方法 |
| WO2008039506A2 (en) * | 2006-09-27 | 2008-04-03 | Cipheroptics, Inc. | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns |
| CN101227376A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 一种虚拟专用网多实例安全接入的方法及设备 |
| US7724732B2 (en) * | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
| CN102136987A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种mpls vpn中的报文转发方法和pe设备 |
| CN103259724A (zh) * | 2012-02-15 | 2013-08-21 | 中兴通讯股份有限公司 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
-
2016
- 2016-07-22 CN CN201610581970.4A patent/CN106230793A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1468007A (zh) * | 2002-07-10 | 2004-01-14 | 华为技术有限公司 | 提供虚拟局域网段业务的虚拟交换机及方法 |
| US7724732B2 (en) * | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
| WO2008039506A2 (en) * | 2006-09-27 | 2008-04-03 | Cipheroptics, Inc. | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns |
| CN101227376A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 一种虚拟专用网多实例安全接入的方法及设备 |
| CN102136987A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种mpls vpn中的报文转发方法和pe设备 |
| CN103259724A (zh) * | 2012-02-15 | 2013-08-21 | 中兴通讯股份有限公司 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
Non-Patent Citations (2)
| Title |
|---|
| 刘阳: "GRE over IPSec工作流程探究与应用分析", 《青岛职业技术学院学报》 * |
| 张恒军 等: "基于IP隧道的MPLS VPN", 《山西电子技术》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878138A (zh) * | 2017-01-18 | 2017-06-20 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN107547313A (zh) * | 2017-10-23 | 2018-01-05 | 安徽皖通邮电股份有限公司 | 一种穿越ip网络的点到点网络测量装置和方法 |
| CN108134794A (zh) * | 2017-12-26 | 2018-06-08 | 南京航空航天大学 | 一种基于gre和ipsec的智能制造物联中业务数据加密传输的方法 |
| CN109150916A (zh) * | 2018-10-25 | 2019-01-04 | 盛科网络(苏州)有限公司 | 一种在mpls l2vpn网络中实现内层数据加密的方法 |
| CN111182016A (zh) * | 2018-11-12 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 一种PPPoE拨号报文传输方法及装置 |
| CN109257388A (zh) * | 2018-11-20 | 2019-01-22 | 安徽皖通邮电股份有限公司 | 一种mpls-tp中伪线加密方法 |
| CN113923033A (zh) * | 2021-10-13 | 2022-01-11 | 中能融合智慧科技有限公司 | 工控网络的透明加密方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106230793A (zh) | 一种实现mplsvpn运行在加密的ipvpn之上的方法 | |
| CN107959654B (zh) | 一种数据传输方法、装置及混合云系统 | |
| EP3018861B1 (en) | Configuration information sending method, system and apparatus | |
| CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
| US9686186B2 (en) | Traffic flow identifiers resistant to traffic analysis | |
| US9806886B2 (en) | Service plane encryption in IP/MPLS networks | |
| CN101217435B (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
| US10382228B2 (en) | Protecting customer virtual local area network (VLAN) tag in carrier ethernet services | |
| WO2008092357A1 (fr) | Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci | |
| CN103259724B (zh) | 一种mpls vpn的实现方法、系统及客户边缘设备 | |
| CN102932377A (zh) | 一种ip报文过滤方法及装置 | |
| CN105721317A (zh) | 一种基于sdn的数据流加密方法和系统 | |
| CN102136987B (zh) | 一种mpls vpn中的报文转发方法和pe设备 | |
| WO2018098633A1 (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
| CN108040135A (zh) | 一种vpws报文穿越三层ip网络的方法及装置 | |
| CN105610790A (zh) | IPSec加密卡与CPU协同的用户面数据处理方法 | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| CN105611529A (zh) | Capwap dtls报文加解密的芯片实现方法 | |
| CN106657121A (zh) | 镜像802.1ae明文和密文的方法及交换芯片 | |
| CN107306198A (zh) | 报文转发方法、设备和系统 | |
| CN106878278B (zh) | 一种报文处理方法及装置 | |
| WO2011079717A1 (zh) | 报文转发方法、设备及系统 | |
| CN109587060A (zh) | 一种vpws报文穿越三层ip网络的方法及设备 | |
| CN106603499A (zh) | 一种配电终端的安全通信改造方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161214 |