CN108810009A - 一种l2tp数据处理方法、设备及系统 - Google Patents

一种l2tp数据处理方法、设备及系统 Download PDF

Info

Publication number
CN108810009A
CN108810009A CN201810686396.8A CN201810686396A CN108810009A CN 108810009 A CN108810009 A CN 108810009A CN 201810686396 A CN201810686396 A CN 201810686396A CN 108810009 A CN108810009 A CN 108810009A
Authority
CN
China
Prior art keywords
l2tp
equipment
packet filtering
filtering rule
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810686396.8A
Other languages
English (en)
Other versions
CN108810009B (zh
Inventor
殷锦华
李洁
郭振东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN201810686396.8A priority Critical patent/CN108810009B/zh
Publication of CN108810009A publication Critical patent/CN108810009A/zh
Application granted granted Critical
Publication of CN108810009B publication Critical patent/CN108810009B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开一种L2TP数据处理方法、设备及系统,涉及数据通信领域,本申请提供的一种L2TP数据处理方法,将需要在LNS设备上处理的非法报文,在L2TP隧道入口进行处理,大大减小了LNS设备上数据报文的处理量,节约了LNS设备资源。该方法包括:LNS设备配置报文过滤规则,并将报文过滤规则通告给对应的LAC设备;LAC设备将报文过滤规则下发到L2TP隧道入口;LAC设备接收到数据报文后,在L2TP隧道入口对数据报文进行报文过滤规则匹配,若数据报文满足报文过滤规则且执行动作为允许通过,则对数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。

Description

一种L2TP数据处理方法、设备及系统
技术领域
本申请属于数据通信领域,尤其涉及一种L2TP数据处理方法、设备及系统。
背景技术
如图1所示,在现有L2TP(Layer 2 Tunneling Protocol,二层隧道协议)组网拓扑中,客户端向LAC(L2TP Access Concentrator,L2TP访问集中器)设备发起拨号请求,LAC设备接收到拨号请求,触发LAC设备与LNS(L2TP Network Server,L2TP网络服务器)设备建立L2TP隧道和会话,客户端与LNS设备进行PPP相关的协商,协商成功后,客户端与LNS设备之间链路打通,可以进行数据的传输。在LAC设备上只要能通过查找路由进入到L2TP隧道的报文,最终都会被送到LNS设备进行处理。当LAC设备上存在非法报文(如攻击报文或无效报文等)且该非法报文能够通过查到路由的方式顺利进入到L2TP隧道,则该非法报文可以进行L2TP封装并转发到LNS设备上。然而接入到LNS设备的LAC设备数量众多,LNS设备处理LAC设备传送过来的非法报文,需要消耗大量的LNS设备资源。
发明内容
本申请提供了一种L2TP数据处理方法、设备及系统,用以解决LNS处理LAC传送过来的非法报文,需要消耗大量的LNS资源的问题。
为了达到上述目的,第一方面,本申请实施例提供了一种L2TP数据处理方法,所述方法包括:
L2TP网络服务器LNS设备配置报文过滤规则,并将所述报文过滤规则通告给对应的L2TP访问集中器LAC设备;
所述LAC设备将所述报文过滤规则下发到L2TP隧道入口;
所述LAC设备接收到数据报文后,在所述L2TP隧道入口对所述数据报文进行报文过滤规则匹配,若所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。
第二方面,本申请实施例提供了一种LNS设备,包括:
配置模块,用于配置报文过滤规则,并建立所述报文过滤规则与对应的L2TP访问集中器LAC设备的关联关系;
发送模块,用于根据配置模块建立的所述报文过滤规则与对应的LAC设备的关联关系将所述报文过滤规则携带在L2TP报文中发送给对应的LAC设备。
第三方面,本申请实施例提供了一种LAC设备,包括:
接收模块,用于接收L2TP网络服务器LNS设备发送的携带报文过滤规则的L2TP报文;
解析模块,用于解析出所述L2TP报文中的报文过滤规则;
发送模块,用于将所述报文过滤规则应用到L2TP隧道入口;
所述接收模块,还用于接收数据报文;
匹配模块,用于在所述L2TP隧道入口对所述数据报文进行报文过滤规则匹配;
所述发送模块,还用于所述匹配模块匹配到所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。
第四方面,本申请提供了一种L2TP数据处理系统,所述系统至少包括:如第二方面所述的L2TP网络服务器LNS设备以及如第三方面所述的L2TP访问集中器LAC设备。
本申请提供的一种L2TP数据处理方法、设备及系统,通过在LNS设备配置报文过滤规则,并将该报文过滤规则通告给对应的LAC设备,LAC设备解析出该报文过滤规则,并将该报文过滤规则下发到L2TP隧道入口。本申请提供的一种L2TP数据处理方法,将需要在LNS设备上处理的非法报文,在L2TP隧道入口进行处理,大大减小了LNS设备上数据报文的处理量,节约了LNS设备资源。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的应用场景示意图;
图2为本申请实施例提供的一种L2TP数据处理方法的方法流程图;
图3为本申请实施例提供的一种LNS设备的架构示意图;
图4为本申请实施例提供的一种LAC设备的架构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面结合具体实施例对上述方法进行详细描述。
在现有虚拟专用拨号网络(Virtual Private Dial-up Networks,VPDN)组网环境中,LNS设备上接入的LAC设备数量较多,LNS设备处理LAC设备传送过来的非法报文(如攻击报文、无效报文等),需要消耗大量的LNS设备资源。目前对于该问题,通常采用的方式包括:一种方式是在L2TP隧道出口(在本申请实施例中L2TP隧道出口为靠近LNS设备侧的L2TP隧道口)配置报文过滤策略,非法报文将不满足该报文过滤策略,进行丢弃处理。此种方式仍然需要消耗LNS设备资源才能进行相应的处理。另一种方式是在每一条L2TP隧道入口(在本申请实施例中L2TP隧道入口为靠近LAC设备侧的L2TP隧道口)手动配置报文过滤策略,在非法报文进入L2TP隧道前进行匹配,将不满足报文过滤策略的非法报文,进行丢弃处理。此种方式需要在L2TP隧道入口手动配置报文过滤策略,然而LAC设备分散且数量众多,对每一台LAC设备手动配置报文过滤策略,工作量大,且不利于有效实施,不能有效应对动态变化的网络环境。
基于上述问题,本申请实施例提供了一种L2TP数据处理方法、设备及系统,根据L2TP集中接入的特点,通过LNS设备来集中管理LAC设备。在本申请实施例中,通过在LNS设备上配置报文过滤规则,并建立报文过滤规则与对应的LAC设备的关联关系,可以将接入的多台LAC设备对应一条报文过滤规则,也可以将接入的每台LAC设备对应不同的报文过滤规则,此处不做具体限定。根据建立的报文过滤规则与对应的LAC设备的关联关系将报文过滤规则通告给对应的LAC设备,实现将处理非法报文的任务分担到LAC设备,大大减轻了LNS设备的压力,节约了LNS设备的资源。
本申请实施例提供的一种L2TP数据处理方法,如图2所示,所述方法包括:
步骤201、L2TP网络服务器LNS设备配置报文过滤规则,并将所述报文过滤规则通告给对应的L2TP访问集中器LAC设备,其中,所述报文过滤规则可以为访问控制列表(Access Control List,ACL)规则,支持ACL规则的标准模式和扩展模式等,具体的报文过滤规则可以根据ACL规则能够匹配的字段进行自定义配置,如可以选择LAC设备上接收到的数据报文的IP地址、TCP/UDP端口以及报文协议类型等字段来配置不同的ACL规则。
在本步骤中,LNS设备配置报文过滤规则,并将所述报文过滤规则通告给对应的LAC设备,具体包括:LNS设备配置报文过滤规则,并建立所述报文过滤规则与对应的LAC设备的关联关系,具体的,可以将接入的LAC设备的接入地址(如IP地址等)与报文过滤规则进行关联,从而建立起报文过滤规则与对应的LAC设备的关联关系。若该报文过滤规则为ACL规则,可以将接入的多台LAC设备对应相同的ACL规则,也可以将接入的每台LAC设备对应不同的ACL规则。如:假设两台LAC设备LAC1和LAC2,其中,LAC1的接入IP地址为100.1.1.1,LAC2的接入IP地址为111.1.1.1,LNS设备上建立的ACL规则包括:ACL1和ACL2,并将ACL1与接入IP地址100.1.1.1关联,将ACL2与接入IP地址111.1.1.1关联,当LAC1与LNS设备建立L2TP会话的过程中,LAC1向LNS设备发送ICRQ报文,LNS设备根据该ICRQ报文中携带的接入IP地址100.1.1.1,查询到该接入IP地址对应ACL1,则将ACL1携带在ICRP报文中回应给LAC1,实现将ACL1通告给LAC1。
LNS设备根据所述报文过滤规则与对应的LAC设备的关联关系将所述报文过滤规则携带在L2TP报文中发送给对应的LAC设备。在本步骤中,L2TP报文也可以是用户自定义的其他报文,当然,也可以选择除L2TP报文外的其他报文来携带报文过滤规则,此处不做穷举。
可选的,当LAC设备首次接入LNS设备时,LAC设备向LNS设备发起建立L2TP隧道和会话请求以建立L2TP隧道和会话。LAC设备向LNS设备发送输入呼叫请求(Incoming CallRequest,ICRQ)报文,并在接收到LNS设备回应的输入呼叫应答(Incoming Call Reply,ICRP)报文后建立L2TP会话。因此在本申请实施例中,可以在建立L2TP会话的过程中,将报文过滤规则携带在ICRP报文中发送给LAC设备,以实现将报文过滤规则的下发。
优选的,在申请实施例中,可以将报文过滤规则携带在L2TP报文的扩展字段中发送给指定的LAC设备,显然,也可以选择L2TP报文的其他字段来携带报文过滤规则,此处不再赘述,L2TP报文可以采用AVP格式,也可以采用其他格式,如下表1所示为AVP格式的L2TP报文包含的具体字段:
表1
其中,开始的6个bit是一个位掩码,用来描述AVP的普通属性,RFC2661定义了前2位,其余的被保留,保留位一定要置0,如果收到一个保留位为1的AVP,会把收到的AVP当作不认识。
(M)命令位:用来控制收到不认识的AVP时必须执行的动作。如果在一个关联特殊的会话消息中M位被置为不认识的AVP,这个会话一定会被终止。如果在一个关联全部通道的消息中M位被置为不认识的AVP,整个通道包括通道内的会话一定会被终止。如果M为没有被设置,这个不认识的AVP会被忽略掉。
(H)隐藏位:用来识别一个AVP属性域里面的隐藏数据。
Length:这个指该扩展字段的报文长度。
Vender ID:指厂商信息,一般设置为0000。
Attribut Type:2个字节,标示该扩展属性的类型。
Attrubute Value:这个字段内容用于扩展的具体内容,在本申请实施例中,可以存放报文过滤规则的具体内容。
步骤202、所述LAC设备将所述报文过滤规则下发到L2TP隧道入口。在本步骤中,所述LAC设备将所述报文过滤规则下发到L2TP隧道入口,具体包括:所述LAC设备解析出所述L2TP报文中的报文过滤规则,并将所述报文过滤规则应用到L2TP隧道入口。在本申请实施例中,LAC设备接收到LNS设备发送的L2TP报文后,如果不能识别该L2TP报文的扩展字段中的内容,则忽略该扩展字段,如果能够识别该L2TP报文的扩展字段中的内容,则解析出该L2TP报文的扩展字段的报文过滤规则,并将该报文过滤规则下发到L2TP隧道入口。
步骤203、所述LAC设备接收到数据报文后,在所述L2TP隧道入口对所述数据报文进行报文过滤规则匹配,若所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。在本步骤中,该报文过滤规则的内容可以包含匹配条件和执行动作。其中,匹配条件可以是IP地址、报文源地址、报文目的地址等一个或多个参数,执行动作包括允许通过permit和丢弃处理deny。如:报文过滤规则的内容包含IP地址:131.44.1.1和执行动作permit,即满足IP地址为131.44.1.1的报文允许通过。又如报文过滤规则的内容包含IP地址:131.44.1.2和执行动作deny,即满足IP地址为131.44.1.2的报文丢弃处理。可选的,如果当某一报文不满足任意一条报文过滤规则时,则进行丢弃处理。
具体的,LAC设备上的数据报文在进入L2TP隧道前,在L2TP隧道入口进行报文过滤规则匹配,对满足报文过滤规则且执行动作为permit的数据报文进行L2TP封装后,通过该L2TP隧道发送给LNS设备。对满足报文过滤规则且执行动作为deny的数据报文进行丢弃处理。对不满足任意一条报文过滤规则的非法数据报文进行丢弃处理。
本申请提供的一种L2TP数据处理方法,通过在LNS设备上配置报文过滤规则,并将该报文过滤规则通告给对应的LAC设备,LAC设备解析出该报文过滤规则,并将该报文过滤规则下发到L2TP隧道入口。本申请提供的一种L2TP数据处理方法,将需要在LNS设备上处理的非法报文,在L2TP隧道入口进行处理,大大减小了LNS设备上数据报文的处理量,节约了LNS设备资源。
更优的,若LAC设备与LNS设备间已建立L2TP隧道和会话,此时需要更改接入的指定LAC设备的报文过滤规则或者建立对应的LAC设备与报文过滤规则的关联关系时,则可以采取以下两种方式实现:
一种实现方式是:LNS设备为该接入的指定LAC设备配置新的报文过滤规则,并向LAC设备发出拆除数据会话(Call-Disconnect-Notify,CDN)消息,先中断正在进行的L2TP会话。并在新的L2TP会话建立过程中,LNS设备接收到LAC设备发送的ICRQ报文后,将该接入的指定LAC设备对应的新的报文过滤规则携带在ICRP报文中发送给LAC设备,LAC设备接收到该ICRP报文后,解析出该ICRP报文中新的报文过滤规则的内容,并将该新的报文过滤规则下发到L2TP隧道入口。
另一种实现方式是:LNS设备不中断当前的L2TP会话,LNS设备为该接入的指定LAC设备配置新的报文过滤规则后,并主动向LAC设备发送L2TP报文,所述L2TP报文中携带该接入的指定LAC设备对应的新的报文过滤规则。LAC设备接收到该L2TP报文后,解析出该L2TP报文中新的报文过滤规则的内容,并将该新的报文过滤规则下发到L2TP隧道入口,优选的,为了不增加报文类型,在此种实现方式中,携带新的报文过滤规则的L2TP报文可以选用ICRP报文。
利用上述两种方式,对接入的指定LAC设备对应的报文过滤规则进行更改,可以实现根据网络变化动态的配置报文过滤规则,并将报文过滤规则应用到指定的LAC设备上,增强了LNS设备节点的安全性,能够有效保障LNS设备的稳定运行。
本申请实施例提供了一种LNS设备,如图3所示,该LNS设备30包括:
配置模块301,用于配置报文过滤规则,并建立所述报文过滤规则与对应的L2TP访问集中器LAC设备的关联关系;这里的报文过滤规则可以为LNS设备上的ACL规则。在本申请实施例中,报文过滤规则的内容中可以包含匹配条件和执行动作。其中,匹配条件可以是IP地址、报文源地址、报文目的地址等一个或多个参数,执行动作包括允许通过permit和丢弃处理deny。如:报文过滤规则的内容包含IP地址:131.44.1.1和执行动作permit,即满足IP地址为131.44.1.1的报文允许通过。又如报文过滤规则的内容包含IP地址:131.44.1.2和执行动作deny,即满足IP地址为131.44.1.2的报文丢弃处理。可选的,如果当某一报文不满足任意一条报文过滤规则时,则进行丢弃处理。
发送模块302,用于根据配置模块建立的所述报文过滤规则与对应的LAC设备的关联关系将所述报文过滤规则携带在L2TP报文中发送给对应的LAC设备。具体的,可以将对应的LAC设备的接入地址(如IP地址等)与报文过滤规则进行关联,从而建立起报文过滤规则与对应的LAC设备的关联关系。可选的,L2TP报文也可以是用户自定义的其他报文,当然,也可以选择除L2TP报文外的其他报文来携带报文过滤规则,此处不做穷举。可选的,当LAC设备首次接入LNS设备时,LAC设备向LNS设备发起建立L2TP隧道和会话请求以建立L2TP隧道和会话。LAC设备向LNS设备发送输入呼叫请求(Incoming Call Request,ICRQ)报文,并在接收到LNS设备回应的输入呼叫应答(Incoming Call Reply,ICRP)报文后建立L2TP会话。因此在本申请实施例中,可以在建立L2TP会话的过程中,将报文过滤规则携带在ICRP报文中发送给LAC设备,以实现将报文过滤规则的下发。
因此,当L2TP报文选用ICRP报文时,所述LNS设备还包括接收模块303,用于接收LAC设备发送的ICRQ报文。
本申请实施例提供了一种LAC设备,如图4所示,该LAC设备40包括:
接收模块401,用于接收L2TP网络服务器LNS设备发送的携带报文过滤规则的L2TP报文;
解析模块402,用于解析出所述L2TP报文中的报文过滤规则;
发送模块403,用于将所述报文过滤规则应用到L2TP隧道入口;
所述接收模块401,还用于接收数据报文;
匹配模块404,用于在所述L2TP隧道入口对所述数据报文进行报文过滤规则匹配;在本申请实施例中,报文过滤规则的内容中可以包含匹配条件和执行动作。其中,匹配条件可以是IP地址、报文源地址、报文目的地址等一个或多个参数,执行动作包括允许通过permit和丢弃处理deny。如:报文过滤规则的内容包含IP地址:131.44.1.1和执行动作permit,即满足IP地址为131.44.1.1的报文允许通过。又如报文过滤规则的内容包含IP地址:131.44.1.2和执行动作deny,即满足IP地址为131.44.1.2的报文丢弃处理。可选的,如果当某一报文不满足任意一条报文过滤规则时,则进行丢弃处理。
所述发送模块403,还用于所述匹配模块匹配到所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。在本申请实施例中,报文接收模块401接收到LNS设备发送的L2TP报文后,如果不能识别该L2TP报文的扩展字段中的内容,则忽略该扩展字段,如果能够识别该L2TP报文的扩展字段中的内容,则解析出该L2TP报文的扩展字段的报文过滤规则,并将该报文过滤规则下发到L2TP隧道入口。
可选的,当LAC设备首次接入LNS设备时,LAC设备向LNS设备发起建立L2TP隧道和会话请求以建立L2TP隧道和会话。LAC设备向LNS设备发送ICRQ报文,并在接收到LNS设备回应的ICRP报文后建立L2TP会话。因此在本申请实施例中,可以在建立L2TP会话的过程中,将报文过滤规则携带在ICRP报文中发送给LAC设备,以实现将报文过滤规则的下发。
所述发送模块403,还用于向L2TP网络服务器LNS设备发送ICRQ报文。
本申请实施例提供了一种L2TP数据处理系统,所述系统至少包括:如图3所示的L2TP网络服务器LNS设备以及如图4所示的L2TP访问集中器LAC设备。
本申请实施例提供的一种L2TP数据处理系统,通过在LNS设备配置报文过滤规则,并将该报文过滤规则通告给对应的LAC设备,LAC设备解析出该报文过滤规则,并将该报文过滤规则下发到L2TP隧道入口。本申请提供的一种L2TP数据处理方法,将需要在LNS设备上处理的非法报文,在L2TP隧道入口进行处理,大大减小了LNS设备上数据报文的处理量,节约了LNS设备资源。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种L2TP数据处理方法,其特征在于,所述方法包括:
L2TP网络服务器LNS设备配置报文过滤规则,并将所述报文过滤规则通告给对应的L2TP访问集中器LAC设备;
所述LAC设备将所述报文过滤规则下发到L2TP隧道入口;
所述LAC设备接收到数据报文后,在所述L2TP隧道入口对所述数据报文进行报文过滤规则匹配,若所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。
2.根据权利要求1所述的方法,其特征在于,所述L2TP网络服务器LNS设备配置报文过滤规则,并将所述报文过滤规则通告给对应的L2TP访问集中器LAC设备,具体包括:
所述LNS设备配置报文过滤规则,并建立所述报文过滤规则与对应的LAC设备的关联关系;
LNS设备根据所述报文过滤规则与对应的LAC设备的关联关系将所述报文过滤规则携带在L2TP报文中发送给对应的LAC设备。
3.根据权利要求2所述的方法,其特征在于,所述LAC设备将所述报文过滤规则下发到L2TP隧道入口,具体包括:所述LAC设备解析出所述L2TP报文中的报文过滤规则,并将所述报文过滤规则应用到L2TP隧道入口。
4.根据权利要求2或3所述的方法,其特征在于,所述L2TP报文为输入呼叫应答ICRP报文。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述报文过滤规则为访问控制列表ACL规则。
6.一种LNS设备,其特征在于,包括:
配置模块,用于配置报文过滤规则,并建立所述报文过滤规则与对应的L2TP访问集中器LAC设备的关联关系;
发送模块,用于根据配置模块建立的所述报文过滤规则与对应的LAC设备的关联关系将所述报文过滤规则携带在L2TP报文中发送给对应的LAC设备。
7.根据权利要求6所述的设备,其特征在于,所述L2TP报文为输入呼叫应答ICRP报文;
所述LNS设备还包括接收模块,用于接收LAC设备发送的输入呼叫请求ICRQ报文。
8.一种LAC设备,其特征在于,包括:
接收模块,用于接收L2TP网络服务器LNS设备发送的携带报文过滤规则的L2TP报文;
解析模块,用于解析出所述L2TP报文中的报文过滤规则;
发送模块,用于将所述报文过滤规则应用到L2TP隧道入口;
所述接收模块,还用于接收数据报文;
匹配模块,用于在所述L2TP隧道入口对所述数据报文进行报文过滤规则匹配;
所述发送模块,还用于所述匹配模块匹配到所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行L2TP封装,并将封装后的L2TP报文通过所述L2TP隧道发送至所述LNS设备。
9.根据权利要求8所述的设备,其特征在于,所述L2TP报文为输入呼叫应答ICRP报文;
所述发送模块,还用于向L2TP网络服务器LNS设备发送输入呼叫请求ICRQ报文。
10.一种L2TP数据处理系统,其特征在于,所述系统至少包括:如权利要求6或7所述的L2TP网络服务器LNS设备以及如权利要求8或9所述的L2TP访问集中器LAC设备。
CN201810686396.8A 2018-06-28 2018-06-28 一种l2tp数据处理方法、设备及系统 Active CN108810009B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810686396.8A CN108810009B (zh) 2018-06-28 2018-06-28 一种l2tp数据处理方法、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810686396.8A CN108810009B (zh) 2018-06-28 2018-06-28 一种l2tp数据处理方法、设备及系统

Publications (2)

Publication Number Publication Date
CN108810009A true CN108810009A (zh) 2018-11-13
CN108810009B CN108810009B (zh) 2021-06-15

Family

ID=64071397

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810686396.8A Active CN108810009B (zh) 2018-06-28 2018-06-28 一种l2tp数据处理方法、设备及系统

Country Status (1)

Country Link
CN (1) CN108810009B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112040513A (zh) * 2020-09-10 2020-12-04 深圳市欢太科技有限公司 一种数据传输方法、数据传输装置及数据传输系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120030280A1 (en) * 2010-07-27 2012-02-02 Qualcomm Incorporated Apparatus and method for reducing frequent server messages
US20130287022A1 (en) * 2012-04-30 2013-10-31 International Business Machines Corporation Providing services to virtual overlay network traffic
CN103747116A (zh) * 2014-01-24 2014-04-23 杭州华三通信技术有限公司 一种基于二层隧道协议的业务访问方法及装置
CN106899474A (zh) * 2016-12-07 2017-06-27 新华三技术有限公司 一种报文转发的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120030280A1 (en) * 2010-07-27 2012-02-02 Qualcomm Incorporated Apparatus and method for reducing frequent server messages
US20130287022A1 (en) * 2012-04-30 2013-10-31 International Business Machines Corporation Providing services to virtual overlay network traffic
CN103747116A (zh) * 2014-01-24 2014-04-23 杭州华三通信技术有限公司 一种基于二层隧道协议的业务访问方法及装置
CN106899474A (zh) * 2016-12-07 2017-06-27 新华三技术有限公司 一种报文转发的方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Y. NIU, J. LI AND L. LI: ""Research on Authentication Security of Wireless Local Area Network Based on L2TP Protocol"", 《2009 IITA INTERNATIONAL CONFERENCE ON SERVICES SCIENCE, MANAGEMENT AND ENGINEERING, ZHANGJIAJIE, 2009》 *
李连弟: ""利用锐捷网络RG-WALL V200构建基于L2TP/IPSec VPN"", 《福建电脑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112040513A (zh) * 2020-09-10 2020-12-04 深圳市欢太科技有限公司 一种数据传输方法、数据传输装置及数据传输系统
CN112040513B (zh) * 2020-09-10 2024-03-08 深圳市欢太科技有限公司 一种数据传输方法、数据传输装置及数据传输系统

Also Published As

Publication number Publication date
CN108810009B (zh) 2021-06-15

Similar Documents

Publication Publication Date Title
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
US10038668B2 (en) Computerized system and method for handling network traffic
US8782260B2 (en) Network access control system and method using adaptive proxies
US7765313B2 (en) Hierarchical protocol classification engine
CN109347817A (zh) 一种网络安全重定向的方法及装置
US6854063B1 (en) Method and apparatus for optimizing firewall processing
US8250214B2 (en) System, method and computer program product for communicating with a private network
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
EP1014651A2 (en) Programmable network element for packet-switched computer network
DE60121755T2 (de) Ipsec-verarbeitung
JP2008524916A (ja) 通信システムにおけるパケットフローに関する装置及び方法
CN106911778A (zh) 一种流量引导方法和系统
CN107181691B (zh) 一种网络中实现报文路由的方法、设备和系统
CN106603376B (zh) 报文处理方法和虚拟专用网络sslvpn服务器
CN103595551B (zh) 基于mqc实现网络虚拟化的网络管理方法和装置
CN100438427C (zh) 网络控制方法和设备
WO2018000695A1 (zh) 流量引导的方法和装置
US11431677B2 (en) Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules
KR102499296B1 (ko) 모바일 단말기에서 보안 모듈로부터의 트래픽 정책들을 제어하는 방법
CN109417556B (zh) 用于安全服务协作的系统和方法
CN108810009A (zh) 一种l2tp数据处理方法、设备及系统
CN104521201B (zh) 转发节点的处理方法、转发节点及控制节点
CN110474995A (zh) 一种基于ipv6的智能物联网网关
CN101621528A (zh) 基于以太交换机集群管理的会话系统及会话通道实现方法
CN107911313A (zh) 一种在私有云中虚拟机端口流量外迁的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: 610041 nine Xing Xing Road 16, hi tech Zone, Sichuan, Chengdu

Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd.

Address before: 610041, 17 floor, maple building, 1 building, 288 Tianfu street, Chengdu, Sichuan.

Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd.

CP02 Change in the address of a patent holder