CN112787903B - 一种多协议vpn网关融合系统及方法 - Google Patents
一种多协议vpn网关融合系统及方法 Download PDFInfo
- Publication number
- CN112787903B CN112787903B CN202011549015.5A CN202011549015A CN112787903B CN 112787903 B CN112787903 B CN 112787903B CN 202011549015 A CN202011549015 A CN 202011549015A CN 112787903 B CN112787903 B CN 112787903B
- Authority
- CN
- China
- Prior art keywords
- vpn
- protocol
- data packet
- gateway
- network card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004927 fusion Effects 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 title claims description 27
- 238000006243 chemical reaction Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims abstract description 7
- 230000008569 process Effects 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 8
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 claims description 4
- 238000011161 development Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 claims description 3
- 238000007500 overflow downdraw method Methods 0.000 abstract description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,涉及一种多协议VPN网关融合系统及方法。多协议VPN网关融合系统,包括融合服务器、第一VPN设备和第二VPN设备;第一VPN设备和第二VPN设备用于收/发VPN密文数据包,所述融合服务器用于对第一VPN设备和第二VPN设备之间传输的VPN密文数据包进行VPN协议转换和/或转发;融合服务器包括一个以上的Docker容器、一个外VPN协议网关、物理网卡、系统内核、第一虚拟网卡和第二虚拟网卡;每个所述Docker容器内均对应布署有一个内VPN协议网关,所述外VPN协议网关布署在Docker容器外。本发明通过Docker容器将两种及以上VPN协议网关快速融合,不仅节省硬件资源,而且方便快捷,可以快速满足各种VPN协议串联通信需求。
Description
技术领域
本发明属于网络安全技术领域,涉及一种多协议VPN网关融合系统及方法。
背景技术
VPN即虚拟专用网络,可以在公用网络上建立专用网络,进行加密通信,在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
现有的支持多VPN协议的网关中,各VPN协议之间相互隔离,做不到单条业务的多VPN协议串联加密,且大多只能同时勾选一种VPN接入方式。要满足对单条业务进行多种VPN协议串联加密的需求,传统的实现方法是部署多台VPN设备,组网复杂且造成资源浪费。
因此,如何使用单台VPN设备实现单条业务的多VPN协议串联加密,成为亟待解决的问题。
发明内容
本发明的目的在于提供针对单台VPN设备实现单条业务的多VPN协议串联加密的需求,提供一种多协议VPN网关融合方法及系统。
为实现上述目的,本发明采用以下技术方案:
本发明提供一种多协议VPN网关融合系统,包括融合服务器、第一VPN设备和第二VPN设备;
所述第一VPN设备和第二VPN设备分别与所述融合服务器通信连接;第一VPN设备和第二VPN设备用于收/发VPN密文数据包,所述融合服务器用于对第一VPN设备和第二VPN设备之间传输的VPN密文数据包进行VPN协议转换和/或转发;
融合服务器包括一个以上的Docker容器、一个外VPN协议网关、物理网卡、系统内核、第一虚拟网卡和第二虚拟网卡;每个所述Docker容器内均对应布署有一个内VPN协议网关,所述外VPN协议网关布署在Docker容器外;
每个所述内VPN协议网关采用内核协议栈,每个内VPN协议网关均通过第一虚拟网卡与Docker容器外的服务进行数据交互,每个内VPN协议网关根据其采用的VPN协议对数据包进行加密或解密;
所述外VPN协议网关采用用户态网卡驱动,外VPN协议网关通过第一虚拟网卡、第二虚拟网卡与系统内核进行数据交互,外VPN协议网关根据其采用的VPN协议对数据包进行加密或解密。
优选地,每个所述内VPN协议网关采用的VPN协议互不相同,外VPN协议网关与任一个内VPN协议网关采用的VPN协议互不相同。
优选地,每个所述内VPN协议网关和外VPN协议网关采用的VPN协议均选自IPSec、TLS、PPTP、L2TP或DTLS协议。
优选地,所述外VPN协议网关采用数据平面开发工具集DPDK从物理网卡读写数据,并利用tun/tap技术建立所述第二虚拟网卡。
优选地,所述外VPN协议网关通过原始套接字从第一虚拟网卡收发数据报文。
本发明还提供基于上述所述的一种多协议VPN网关融合系统的多协议VPN网关融合方法,包括以下步骤:
S101:第一VPN设备发送VPN密文数据包;
S102:VPN密文数据包到达融合服务器的物理网卡;
S103:外VPN协议网关通过用户态网卡驱动从物理网卡读取VPN密文数据包并判断VPN密文数据包采用的VPN协议是否与自己采用的VPN协议相同,若不同,则进行步骤S104;若相同,则进行步骤S105;
S104:先由与VPN密文数据包使用相同VPN协议的内VPN协议网关对VPN密文数据包进行解密,再由外VPN网关根据其所采用的VPN协议对明文数据包进行加密,加密后的数据包经物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理;
S105:先由外VPN网关对密文数据包进行解密后,再由与第二VPN设备使用相同VPN协议的内VPN协议网关根据其所采用的VPN协议对明文数据包进行加密,加密后的数据包经物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理。
优选地,步骤S104具体包括:
S1041:外VPN协议网关将VPN密文数据包写入第二虚拟网卡;
S1042:系统内核按预设规则对VPN密文数据包做目的地址转换,再经第一虚拟网卡转发进入对应的含有与VPN密文数据包使用相同VPN协议的内VPN协议网关的Docker容器中;
S1043:该Docker容器中的内VPN协议网关获取VPN密文数据包后进行解密得到明文数据包,并将明文数据包经源地址转换后通过系统内核转发到第一虚拟网卡;
S1044:外VPN协议网关通过第一虚拟网卡获取明文数据包并根据其采用的VPN协议对明文数据包进行加密得到VPN密文数据包;
S1045:外VPN协议网关通过用户态网卡驱动将VPN密文数据包经物理网卡发送给第二VPN设备;
S1046:第二VPN设备接收VPN密文数据包并进行处理。
优选地,步骤S105具体包括:
S1051:外VPN协议网关对VPN密文数据包进行解密后得到明文数据包;
S1052:系统内核根据明文数据包中的目的地址,将明文数据包转发进入对应的含有与第二VPN设备使用相同VPN协议的内VPN协议网关的Docker容器中;
S1053:该Docker容器中的内VPN协议网关获取明文数据包,进行目的地址转换后,再根据其采用的VPN协议对明文数据包进行加密得到VPN密文数据包;
S1054:系统内核将VPN密文数据包按预定规则进行源地址转换后转发进入第二虚拟网卡;
S1055:外VPN协议网关从第二虚拟网卡获取VPN密文数据包后,通过用户态网卡驱动将其经物理网卡发送给第二VPN设备;
S1056:第二VPN设备接收VPN密文数据包并进行处理。
相比现有技术,本发明的有益效果在于:
本发明在融合服务器内布署一个以上的Docker容器,每个Docker容器内布署一个内VPN协议网关,在Docker容器外部署一个外VPN协议网关,每个内VPN协议网关均通过第一虚拟网卡与Docker容器外的服务进行数据交互;外VPN协议网关通过第一虚拟网卡、第二虚拟网卡与系统内核进行数据交互。每个内VPN协议网关采用的VPN协议各不相同,外VPN协议网关与任一个内VPN协议网关采用的VPN协议也互不相同,当VPN密文数据包到达服务器时,通过五元组判断VPN密文包所用的VPN协议,根据VPN协议类型确定VPN密文数据包的串联加密路径,这样可以使融合服务器实现多种VPN协议的融合和转换,同时处理多条业务,提高效率。
本发明使用单台VPN设备实现了单条业务的多VPN协议串联加密,有效地降低了多VPN协议串联通信的成本,降低了组网的复杂度。本发明通过Docker容器将两种及以上VPN协议网关快速融合,不仅节省硬件资源,而且方便快捷,可以快速满足各种VPN协议串联通信需求。
附图说明
图1为本发明一种多协议VPN网关融合系统的结构示意图。
图2为本发明一种多协议VPN网关融合方法的流程图之一。
图3为本发明一种多协议VPN网关融合方法的流程图之二。
具体实施方式
以下实施例用于说明本发明,但不用来限定本发明的保护范围。若未特别指明,实施例中所用技术手段为本领域技术人员所熟知的常规手段。
实施例一
图1示出了本发明一种多协议VPN网关融合系统的结构示意图。请参考图1,本发明多协议VPN网关融合系统,包括融合服务器101、第一VPN设备102和第二VPN设备103;
第一VPN设备和第二VPN设备分别与融合服务器101通信连接;第一VPN设备102和第二VPN103设备用于收/发VPN密文数据包,融合服务器101用于对第一VPN设备102和第二VPN设备103之间传输的VPN密文数据包进行VPN协议转换和/或转发;
融合服务器101包括一个以上的Docker容器、一个外VPN协议网关、物理网卡、系统内核、第一虚拟网卡和第二虚拟网卡;每个Docker容器内均对应布署有一个内VPN协议网关,外VPN协议网关布署在Docker容器外;
每个内VPN协议网关采用内核协议栈,每个内VPN协议网关均通过第一虚拟网卡与Docker容器外的服务进行数据交互,每个内VPN协议网关根据其采用的VPN协议对数据包进行加密或解密;
外VPN协议网关采用用户态网卡驱动,外VPN协议网关通过第一虚拟网卡、第二虚拟网卡与系统内核进行数据交互,外VPN协议网关根据其采用的VPN协议对数据包进行加密或解密。
应理解的是,本发明可以根据实际情况在融合服务器101内布署多个Docker容器和多个VPN协议网关,并根据是否在Docker容器内而区分为内VPN协议网关和外VPN协议网关。多个Docker容器可用第一Docker容器、第二Docker容器、……、第nDocker容器进行区分,相应地,每个Docker容器中的内VPN协议网关可依次用第一内VPN协议网关、第二内VPN协议网关、……、第n内VPN协议网关进行区分。
应理解的是,第一VPN设备和第二VPN设备采用的VPN协议不同,若外VPN协议网关与第一VPN设备采用的VPN协议相同,则有对应一个Docker容器中的内VPN网关与第二VPN设备采用的VPN协议相同;若外VPN协议网关与第二VPN设备采用的VPN协议相同,则有对应一个Docker容器中的内VPN网关与第一VPN设备采用的VPN协议相同,这是本发明融合服务器工作的前提。但每个内VPN协议网关采用的VPN协议各不相同,外VPN协议网关与任一个内VPN协议网关采用的VPN协议也互不相同,这样可以使融合服务器实现多种VPN协议的融合和转换,同时处理多条业务,提高效率。具体地,本发明每个内VPN协议网关和外VPN协议网关采用的VPN协议均可选自IPSec、TLS、PPTP、L2TP或DTLS协议。应理解的是,此处没有列举到的VPN协议也应包含在本发明的技术构思内,不超出本领域技术人员的常规认知。
在一个具体实施方式中,外VPN协议网关均采用数据平面开发工具集DPDK从物理网卡读写数据,并利用tun/tap技术建立第二虚拟网卡,外VPN协议网关通过对第一虚拟网卡、第二虚拟网卡进行读写与系统内核交互数据。
在一个具体实施方式中,外VPN协议网关通过原始套接字从第一虚拟网卡收发数据报文。
值得注意的是,本发明中仅用第一和第二来区分相关设备的名称,但并不区分其功能,自然地,第一VPN设备102与第二VPN设备103的位置可以互换。
实施例二
图2示出了本发明一种多协议VPN网关融合方法的流程图。请参考图2,一种多协议VPN网关融合方法,包括以下步骤:
S101:第一VPN设备发送VPN密文数据包;
S102:VPN密文数据包到达融合服务器的物理网卡;
S103:外VPN协议网关通过用户态网卡驱动从物理网卡读取VPN密文数据包并判断VPN密文数据包采用的VPN协议是否与自己采用的VPN协议相同,若不同,则进行步骤S104;若相同,则进行步骤S105;
S104:先由与VPN密文数据包使用相同VPN协议的内VPN协议网关对VPN密文数据包进行解密,再由外VPN网关根据其所采用的VPN协议对明文数据包进行加密,加密后的数据包经物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理;
S105:先由外VPN网关对密文数据包进行解密后,再由与第二VPN设备使用相同VPN协议的内VPN协议网关根据其所采用的VPN协议对明文数据包进行加密,加密后的数据包经物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理。
图3示出了本发明另一种多协议VPN网关融合方法的流程图。在这种情况下,步骤S104具体包括:
S1041:外VPN协议网关将VPN密文数据包写入第二虚拟网卡;
S1042:系统内核按预设规则对VPN密文数据包做目的地址转换,再经第一虚拟网卡转发进入对应的含有与VPN密文数据包使用相同VPN协议的内VPN协议网关的Docker容器中;
S1043:该Docker容器中的内VPN协议网关获取VPN密文数据包后进行解密得到明文数据包,并将明文数据包经源地址转换后通过系统内核转发到第一虚拟网卡;
S1044:外VPN协议网关通过第一虚拟网卡获取明文数据包并根据其采用的VPN协议对明文数据包进行加密得到VPN密文数据包;
S1045:外VPN协议网关通过用户态网卡驱动将VPN密文数据包经物理网卡发送给第二VPN设备;
S1046:第二VPN设备接收VPN密文数据包并进行处理。
在这种情况下,步骤S105具体包括:
S1051:外VPN协议网关对VPN密文数据包进行解密后得到明文数据包;
S1052:系统内核根据明文数据包中的目的地址,将明文数据包转发进入对应的含有与第二VPN设备使用相同VPN协议的内VPN协议网关的Docker容器中;
S1053:该Docker容器中的内VPN协议网关获取明文数据包,进行目的地址转换后,再根据其采用的VPN协议对明文数据包进行加密得到VPN密文数据包;
S1054:系统内核将VPN密文数据包按预定规则进行源地址转换后转发进入第二虚拟网卡;
S1055:外VPN协议网关从第二虚拟网卡获取VPN密文数据包后,通过用户态网卡驱动将其经物理网卡发送给第二VPN设备;
S1056:第二VPN设备接收VPN密文数据包并进行处理。
值得说明的是,在步骤S103中,外VPN协议网关是根据VPN密文数据包的五元组来判断VPN密文数据包使用的VPN协议是否与其自己采用的VPN协议相同。在步骤S1042及S1054中涉及到的系统内核对VPN数据包做源地址转换或目的地址转换时所依据的预设规则是指预定义的iptables规则,或者其它预定义的、根据数据包头符合的条件规定数据包处理方式的规则,通常包括对源地址、目的地址、传输协议和服务类型等内容的处理。
在一个具体实施方式中,融合服务器内布署两个Docker容器,分别为第一Docker容器和第二Docker容器,在每个Docker容器内布署一个内VPN协议网关,分别为第一内VPN协议网关和第二内VPN协议网关,二者对应的VPN协议分别为IPSec协议和PPTP协议,即每个内VPN协议网关采用的VPN协议不同;在Docker容器外布署一个外VPN协议网关,其采用的VPN协议为TLS协议。此时,每个内VPN协议网关采用的VPN协议与外VPN协议网关采用的VPN协议互不相同。
此时,若第一VPN设备采用的VPN协议为IPSec协议,第二VPN设备采用的VPN协议为TLS协议,则第一VPN设备发送的VPN密文数据包使用的VPN协议是IPSec协议。当VPN密文数据包通过网络传输到达融合服务器的物理网卡时,外VPN协议网关通过用户态网卡驱动从物理网卡读取VPN密文数据包,并根据VPN密文数据包的五元组判断VPN密文包使用的VPN协议,得出VPN密文数据包使用的VPN协议与自己不同,则VPN密文数据包的串联加密路径如下:外VPN协议网关将VPN密文包写入第二虚拟网卡;系统内核按预设规则对VPN密文包做目的地址转换,再经第一虚拟网卡转发进入第一Docker容器中(第一内VPN协议网关与VPN密文数据包使用的VPN协议相同,均为IPSec协议);第一Docker容器中的第一内VPN协议网关获取VPN密文数据包进行解密后得到明文数据包,并将明文数据包的源地址转换后通过系统内核转到第一虚拟网卡;外VPN协议网关通过第一虚拟网卡获取明文数据包,根据其采用的VPN协议(即TLS协议)对明文数据包加密得到VPN密文数据包,外VPN协议网关通过用户态网卡驱动将VPN密文数据包经由物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理。
此时,若第一VPN设备采用的VPN协议为TLS协议,第二VPN设备采用的VPN协议为IPSec协议,则第一VPN设备发送的VPN密文数据包使用的VPN协议是TLS协议。当VPN密文数据包通过网络传输到达融合服务器的物理网卡时,外VPN协议网关通过用户态网卡驱动从物理网卡读取VPN密文数据包,并根据VPN密文数据包的五元组判断VPN密文包使用的VPN协议,得出VPN密文数据包使用的VPN协议是与自己相同,则VPN密文数据包的串联加密路径如下:外VPN协议网关将VPN密文包解密后获取明文数据包,系统内核根据明文数据包中的目的地址,将明文数据包转发进入第二Docker容器中(第二VPN设备与第二内VPN协议网关使用的均是IPSec协议);第二Docker容器中的第二内VPN协议网关获取明文数据包并进行目的地址转换,再根据其采用的VPN协议(即IPSec协议)对明文数据包加密得到VPN密文数据包;系统内核将VPN密文数据包按预定规则进行源地址转换后转发进入第二虚拟网卡;外VPN协议网关从第二虚拟网卡获取VPN密文数据包后,通过用户态网卡驱动将其经由物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理。
以上所述之实施例,只是本发明的较佳实施例而已,仅仅用以解释本发明,并非限制本发明实施范围,对于本技术领域的技术人员来说,当然可根据本说明书中所公开的技术内容,通过置换或改变的方式轻易做出其它的实施方式,故凡在本发明的原理上所作的变化和改进等,均应包括于本发明申请专利范围内。
Claims (8)
1.一种多协议VPN网关融合系统,其特征在于,包括融合服务器、第一VPN设备和第二VPN设备;
所述第一VPN设备和第二VPN设备分别与所述融合服务器通信连接;第一VPN设备和第二VPN设备用于收/发VPN密文数据包,所述融合服务器用于对第一VPN设备和第二VPN设备之间传输的VPN密文数据包进行VPN协议转换和/或转发;
融合服务器包括一个以上的Docker容器、一个外VPN协议网关、物理网卡、系统内核、第一虚拟网卡和第二虚拟网卡;每个所述Docker容器内均对应布署有一个内VPN协议网关,所述外VPN协议网关布署在Docker容器外;
第一VPN设备和第二VPN设备采用的VPN协议不同,若外VPN协议网关与第一VPN设备采用的VPN协议相同,则有对应一个Docker容器中的内VPN网关与第二VPN设备采用的VPN协议相同;若外VPN协议网关与第二VPN设备采用的VPN协议相同,则有对应一个Docker容器中的内VPN网关与第一VPN设备采用的VPN协议相同;
每个所述内VPN协议网关采用内核协议栈,每个内VPN协议网关均通过第一虚拟网卡与Docker容器外的服务进行数据交互,每个内VPN协议网关根据其采用的VPN协议对数据包进行加密或解密;
所述外VPN协议网关采用用户态网卡驱动,外VPN协议网关通过第一虚拟网卡、第二虚拟网卡与系统内核进行数据交互,外VPN协议网关根据其采用的VPN协议对数据包进行加密或解密。
2.根据权利要求1所述的一种多协议VPN网关融合系统,其特征在于,每个所述内VPN协议网关采用的VPN协议互不相同,外VPN协议网关与任一个内VPN协议网关采用的VPN协议互不相同。
3.根据权利要求2所述的一种多协议VPN网关融合系统,其特征在于,每个所述内VPN协议网关和外VPN协议网关采用的VPN协议均选自IPSec、TLS、PPTP、L2TP或DTLS协议。
4.根据权利要求1所述的一种多协议VPN网关融合系统,其特征在于,所述外VPN协议网关采用数据平面开发工具集DPDK从物理网卡读写数据,并利用tun/tap技术建立所述第二虚拟网卡。
5.根据权利要求1所述的一种多协议VPN网关融合系统,其特征在于,所述外VPN协议网关通过原始套接字从第一虚拟网卡收发数据报文。
6.基于权利要求1~5任一项所述的一种多协议VPN网关融合系统的多协议VPN网关融合方法,其特征在于,包括以下步骤:
S101:第一VPN设备发送VPN密文数据包;
S102:VPN密文数据包到达融合服务器的物理网卡;
S103:外VPN协议网关通过用户态网卡驱动从物理网卡读取VPN密文数据包并判断VPN密文数据包采用的VPN协议是否与自己采用的VPN协议相同,若不同,则进行步骤S104;若相同,则进行步骤S105;
S104:先由与VPN密文数据包使用相同VPN协议的内VPN协议网关对VPN密文数据包进行解密,再由外VPN网关根据其所采用的VPN协议对明文数据包进行加密,加密后的数据包经物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理;
S105:先由外VPN网关对密文数据包进行解密后,再由与第二VPN设备使用相同VPN协议的内VPN协议网关根据其所采用的VPN协议对明文数据包进行加密,加密后的数据包经物理网卡发送给第二VPN设备,第二VPN设备接收VPN密文数据包并进行处理。
7.根据权利要求6所述的多协议VPN网关融合方法,其特征在于,步骤S104具体包括:
S1041:外VPN协议网关将VPN密文数据包写入第二虚拟网卡;
S1042:系统内核按预设规则对VPN密文数据包做目的地址转换,再经第一虚拟网卡转发进入对应的含有与VPN密文数据包使用相同VPN协议的内VPN协议网关的Docker容器中;
S1043:该Docker容器中的内VPN协议网关获取VPN密文数据包后进行解密得到明文数据包,并将明文数据包经源地址转换后通过系统内核转发到第一虚拟网卡;
S1044:外VPN协议网关通过第一虚拟网卡获取明文数据包并根据其采用的VPN协议对明文数据包进行加密得到VPN密文数据包;
S1045:外VPN协议网关通过用户态网卡驱动将VPN密文数据包经物理网卡发送给第二VPN设备;
S1046:第二VPN设备接收VPN密文数据包并进行处理。
8.根据权利要求6所述的多协议VPN网关融合方法,其特征在于,步骤S105具体包括:
S1051:外VPN协议网关对VPN密文数据包进行解密后得到明文数据包;
S1052:系统内核根据明文数据包中的目的地址,将明文数据包转发进入对应的含有与第二VPN设备使用相同VPN协议的内VPN协议网关的Docker容器中;
S1053:该Docker容器中的内VPN协议网关获取明文数据包,进行目的地址转换后,再根据其采用的VPN协议对明文数据包进行加密得到VPN密文数据包;
S1054:系统内核将VPN密文数据包按预定规则进行源地址转换后转发进入第二虚拟网卡;
S1055:外VPN协议网关从第二虚拟网卡获取VPN密文数据包后,通过用户态网卡驱动将其经物理网卡发送给第二VPN设备;
S1056:第二VPN设备接收VPN密文数据包并进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011549015.5A CN112787903B (zh) | 2020-12-24 | 2020-12-24 | 一种多协议vpn网关融合系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011549015.5A CN112787903B (zh) | 2020-12-24 | 2020-12-24 | 一种多协议vpn网关融合系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112787903A CN112787903A (zh) | 2021-05-11 |
| CN112787903B true CN112787903B (zh) | 2022-03-11 |
Family
ID=75752054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011549015.5A Active CN112787903B (zh) | 2020-12-24 | 2020-12-24 | 一种多协议vpn网关融合系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112787903B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328922A (zh) * | 2021-06-16 | 2021-08-31 | 杭州数跑科技有限公司 | 一种跨多局域网的连通方法及装置 |
| CN113778626A (zh) * | 2021-08-31 | 2021-12-10 | 山石网科通信技术股份有限公司 | 虚拟网卡的热插拔处理方法、装置、存储介质及处理器 |
| CN114205186A (zh) * | 2021-11-25 | 2022-03-18 | 锐捷网络股份有限公司 | 报文处理方法、设备及系统 |
| CN115632907A (zh) * | 2022-10-20 | 2023-01-20 | 朱华 | 一种解决多家运营商移动虚拟网络融合的方案 |
| CN115834529B (zh) * | 2022-11-23 | 2023-08-08 | 浪潮智慧科技有限公司 | 一种边缘设备远程监测方法及系统 |
| CN117544693B (zh) * | 2023-10-31 | 2024-06-04 | 慧之安信息技术股份有限公司 | 一种支持多种vpn协议的vpn网关方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297312A (zh) * | 2013-07-01 | 2013-09-11 | 张小云 | 一种mpls vpn的接入方法及装置 |
| US8953590B1 (en) * | 2011-03-23 | 2015-02-10 | Juniper Networks, Inc. | Layer two virtual private network having control plane address learning supporting multi-homed customer networks |
| CN106789667A (zh) * | 2016-11-21 | 2017-05-31 | 华为技术有限公司 | 一种数据转发方法、相关设备及系统 |
| CN109150684A (zh) * | 2018-07-20 | 2019-01-04 | 新华三技术有限公司 | 报文处理方法、装置、通信设备及计算机可读存储介质 |
| CN111313545A (zh) * | 2020-01-08 | 2020-06-19 | 国网内蒙古东部电力有限公司检修分公司 | 基于大数据的超特高压输电线路在线监测平台 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100332516A1 (en) * | 2009-06-30 | 2010-12-30 | Alcatel-Lucent Usa Inc. | Linking inner and outer mpls labels |
-
2020
- 2020-12-24 CN CN202011549015.5A patent/CN112787903B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8953590B1 (en) * | 2011-03-23 | 2015-02-10 | Juniper Networks, Inc. | Layer two virtual private network having control plane address learning supporting multi-homed customer networks |
| CN103297312A (zh) * | 2013-07-01 | 2013-09-11 | 张小云 | 一种mpls vpn的接入方法及装置 |
| CN106789667A (zh) * | 2016-11-21 | 2017-05-31 | 华为技术有限公司 | 一种数据转发方法、相关设备及系统 |
| CN109150684A (zh) * | 2018-07-20 | 2019-01-04 | 新华三技术有限公司 | 报文处理方法、装置、通信设备及计算机可读存储介质 |
| CN111313545A (zh) * | 2020-01-08 | 2020-06-19 | 国网内蒙古东部电力有限公司检修分公司 | 基于大数据的超特高压输电线路在线监测平台 |
Non-Patent Citations (2)
| Title |
|---|
| 基于SDN和Docker容器的网络虚拟化研究;王竞争等;《卫星电视与宽带多媒体》;20200605(第11期);全文 * |
| 基于超融合的私有云平台研究与设计;项昆;《信息通信》;20200215(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112787903A (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112787903B (zh) | 一种多协议vpn网关融合系统及方法 | |
| JP5161262B2 (ja) | トンネル情報に基づきアドレス指定衝突を解決する方法及びシステム | |
| EP2213036B1 (en) | System and method for providing secure network communications | |
| US7684414B2 (en) | System and method for using performance enhancing proxies with IP-layer encryptors | |
| CN107682370B (zh) | 创建用于嵌入的第二层数据包协议标头的方法和系统 | |
| JP2007521741A (ja) | トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法 | |
| JP4764737B2 (ja) | ネットワークシステム、端末およびゲートウェイ装置 | |
| KR20070026331A (ko) | 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 | |
| TWI425857B (zh) | 主演進NodeB、中繼節點及其通訊方法 | |
| JP2008289126A (ja) | ワイヤレスマルチホップ中継ネットワークにおけるmacプロセスおよび柔軟な接続 | |
| JP2009049635A (ja) | ネットワークシステム、ネットワーク装置及び中継装置 | |
| EP2479935A1 (en) | Method, system and communication terminal for implementing inter-communication between new network and internet | |
| WO2015025845A1 (ja) | 通信システム、スイッチ、コントローラ、アンシラリデータ管理装置、データ転送方法及びプログラム | |
| JP4591582B2 (ja) | ネットワークアダプタ及び通信装置 | |
| US6775769B1 (en) | Cryptographic apparatus, encryptor, and decryptor | |
| EP3032782B1 (en) | Packet transmission method and apparatus | |
| CN104184646A (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN102932229A (zh) | 一种对数据包进行加解密处理的方法 | |
| WO2012013003A1 (zh) | 一种数据报文的处理方法及系统 | |
| JP5151197B2 (ja) | 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法 | |
| CN100592265C (zh) | 路由分组通信量来确保通信安全的方法、系统和计算机系统 | |
| JP2003069615A (ja) | 通信制御装置および通信制御方法 | |
| WO2015002526A1 (en) | A method for enabling virtual local area network over wireless networks | |
| CN116436731B (zh) | 一种多内网二层数据流通信方法 | |
| JP2004064490A (ja) | データ通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Multi Protocol VPN Gateway Fusion System and Method Granted publication date: 20220311 Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2024980007004 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |