CN116599769A - 一种基于vpn的数据传输方法和系统 - Google Patents
一种基于vpn的数据传输方法和系统 Download PDFInfo
- Publication number
- CN116599769A CN116599769A CN202310858134.6A CN202310858134A CN116599769A CN 116599769 A CN116599769 A CN 116599769A CN 202310858134 A CN202310858134 A CN 202310858134A CN 116599769 A CN116599769 A CN 116599769A
- Authority
- CN
- China
- Prior art keywords
- vpc
- resource pool
- cloud resource
- firewall
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000005540 biological transmission Effects 0.000 title claims abstract description 21
- 230000004044 response Effects 0.000 claims description 18
- 238000012550 audit Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 10
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 claims description 6
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 13
- 238000012360 testing method Methods 0.000 description 9
- 238000005538 encapsulation Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical class C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本申请实施例公开了一种基于VPN的数据传输方法和系统,涉及通信技术领域,所述方法包括:建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。通过云内安全设备实现对云内外网通信的业务访问,使安全资源池的业务使用范围扩大化,且提高了数据传输效率。
Description
技术领域
本申请实施例涉及通信技术领域,具体涉及一种基于VPN的数据传输方法和系统。
背景技术
随着互联网的发展,用户的安全意识与安全开发水平都有了很大程度的提高,一些非面向大众的平台部署都使用内网来完成。
随之而来可能产生一些问题,例如在部署安全资源池时,平台内部的业务需要给另外一个云环境的内网来提供服务,就需要网络的连接才能实现,这时候就产生了云内安全设备与外网通信的需求。这种情况通常会使用开源的一些组件来实现这种方案。
发明内容
为此,本申请实施例提供一种基于VPN的数据传输方法和系统,通过云内安全设备实现对云内外网通信的业务访问,使安全资源池的业务使用范围扩大化,且提高了数据传输效率。
为了实现上述目的,本申请实施例提供如下技术方案:
根据本申请实施例的第一方面,提供了一种基于VPN的数据传输方法,所述方法包括:
建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;
云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;
将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。
可选地,所述VPC侧虚拟机执行业务之后,所述方法还包括:
所述云资源池防火墙设备接收所述VPC防火墙设备发送的业务应答报文;所述业务应答报文是由所述VPC侧虚拟机经过VPC网关发送至所述VPC防火墙设备的;
将所述业务应答报文发送至所述云资源池服务器。
可选地,所述方法还包括:
响应于数据库审计请求,所述云资源池防火墙设备接收所述VPC防火墙设备发送的数据库审计请求报文;所述数据库审计请求报文是VPC侧的DBA数据库服务器经过所述VPC网关发送至所述VPC防火墙设备的;
将所述数据库审计请求报文发送至数据库审计服务器。
可选地,所述建立IPsecVPN隧道,包括:
在VPC侧配置云资源池侧的号段信息和防火墙允许访问权限,在云资源池侧配置VPC侧的号段信息和防火墙允许访问权限;
在VPC侧和云资源池侧的防火墙设备通过相同的配置语句建立IPsecVPN隧道,其中隧道上的IP地址在同一网段,并且配置对端设备的业务IP地址。
可选地,所述配置隧道两侧的VPC侧和云资源池侧的防火墙设备,包括:
在VPC侧的防火墙设备上映射EIP地址,所述EIP地址用于和云资源池侧的防火墙设备进行VPN连接建立。
可选地,在配置隧道两侧的VPC侧和云资源池侧的防火墙设备之后,所述方法还包括:
在VPC网关配置SNAT,使得直接访问云资源池内相同网段设备。
根据本申请实施例的第二方面,提供了一种基于VPN的数据传输系统,所述系统包括:
隧道建立和配置模块,用于建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;
报文接收模块,用于云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;
报文发送模块,用于将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。
可选地,所述报文接收模块,还用于:所述云资源池防火墙设备接收所述VPC防火墙设备发送的业务应答报文;所述业务应答报文是由所述VPC侧虚拟机经过VPC网关发送至所述VPC防火墙设备的;
所述报文发送模块,还用于将所述业务应答报文发送至所述云资源池服务器。
根据本申请实施例的第三方面,提供了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行以实现上述第一方面所述的方法。
根据本申请实施例的第四方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现上述第一方面所述的方法。
综上所述,本申请实施例提供了一种基于VPN的数据传输方法和系统,通过建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。通过云内安全设备实现对云内外网通信的业务访问,使安全资源池的业务使用范围扩大化,且提高了数据传输效率。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本申请实施例提供的一种基于VPN的数据传输方法流程示意图;
图2为本申请实施例提供的漏洞扫描的报文请求与回报的流程示意图;
图3为本申请实施例提供的数据库审计的流量访问流程示意图;
图4为本申请实施例提供的一种基于VPN的数据传输系统框图;
图5示出了本申请实施例提供的一种电子设备的结构示意图;
图6示出了本申请实施例提供的一种计算机可读存储介质的示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,是由InternetEngineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。
VPC(Virtual Private Cloud)私有网络。是用户自己独有的一个云上的私有网络空间。用户可以随心所欲的掌控自己的私有网络,例如可以选择 P 地址范围、配置路由表和网关等。用户也可以在自己的VPC 中使用云服务器、云数据库、云负载均衡产品等,另外VPC 支持多种方式连接到互联网,比如通过弹性公网 IP、NAT 网关等。
图1示出了本申请实施例提供的一种基于VPN的数据传输方法,所述方法包括:
步骤101:建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;
步骤102:云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;
步骤103:将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。
在一种可能的实施方式中,所述VPC侧虚拟机执行业务之后,所述方法还包括:
所述云资源池防火墙设备接收所述VPC防火墙设备发送的业务应答报文;所述业务应答报文是由所述VPC侧虚拟机经过VPC网关发送至所述VPC防火墙设备的;将所述业务应答报文发送至所述云资源池服务器。
在一种可能的实施方式中,所述方法还包括:响应于数据库审计请求,所述云资源池防火墙设备接收所述VPC防火墙设备发送的数据库审计请求报文;所述数据库审计请求报文是VPC侧的DBA数据库服务器经过所述VPC网关发送至所述VPC防火墙设备的;将所述数据库审计请求报文发送至数据库审计服务器。
在一种可能的实施方式中,在步骤101中,所述建立IPsecVPN隧道,包括:
在VPC侧配置云资源池侧的号段信息和防火墙允许访问权限,在云资源池侧配置VPC侧的号段信息和防火墙允许访问权限;在VPC侧和云资源池侧的防火墙设备通过相同的配置语句建立IPsecVPN隧道,其中隧道上的IP地址在同一网段,并且配置对端设备的业务IP地址。
在一种可能的实施方式中,在步骤101中,所述配置隧道两侧的VPC侧和云资源池侧的防火墙设备,包括:
在VPC侧的防火墙设备上映射EIP地址,所述EIP地址用于和云资源池侧的防火墙设备进行VPN连接建立。
在一种可能的实施方式中,在配置隧道两侧的VPC侧和云资源池侧的防火墙设备之后,所述方法还包括:在VPC网关配置SNAT,使得直接访问云资源池内相同网段设备。
下面结合附图对本申请实施例提供的通信方法进行描述。本申请实施例的系统架构包括云资源池侧和VPC客户侧。每一个 VPC 均有一个私有网段、一个路由器和至少一个的交换机组成。私有网段是用户在创建 VPC 和交换机时,需要用户以 CIDR 地址块的形式指定 VPC 用的私有网段。
VPC客户侧环境位于互联网上客户的云环境。本申请实施例提供的VPC客户侧设备包括如下:
VPC-VRouter:VPC网关。作为 VPC 的重要枢纽,它可以连接 VPC 内的各个交换机,同时也连接 VPC 和其他网络设备。用户每创建出一个 VPC 后,系统就会自动创建出一个路由器。且每一个路由器都会关联一张路由表。
VPC-VYOS:VPC侧用基于VYOS系统搭建IPsecVPN的防火墙设备。
Windows-server:VPC侧虚拟机,用于漏洞扫描测试。
DBA-SERVER:DBA数据库服务器,用于数据库审计的测试机。
LSW1:用户业务端的接入交换机。一个 VPC 可以有多个交换机,它可以用来连接不同的云资源。创建 VPC 成功后,用户可以通过创建交换机为 VPC 划分一个或多个子网。同一个 VPC 内的多个交换机之间内网网络是百诵的。用户可以将自己的业务应用部署在不同可用区的交换机内,以提高应用的可用性。
云资源池侧环境规划如下:
YunChi-VRouter:云资源池侧网关。
数据库审计-server:用于对VPC客户侧DBA-SERVER进行数据库审计。
漏洞扫描-server:用于对VPC客户侧设备进行漏洞扫描的设备。
YunChi-VYOS:云资源池侧基于VYOS系统搭建IPsecVPN防火墙设备。
LSW2:连接云资源池的接入交换机。
图2示出了漏洞扫描的报文请求与回报的过程。当IPsecVPN隧道建立成功之后,漏洞扫描server在云资源池上面请求VPN对端的业务进行扫描,请求包先从漏洞扫描server发出,经过云资源池网关YunChi-VRouter,再经过隧道的一端防火墙设备YunChi-VYOS,然后经过隧道,到达隧道另一端防火墙设备VPC-VYOS,因为请求的目的地址跟VPC-VYOS在同一网段,所以不需要再经过VPC的网关 VPC-VRouter,就能找到并且到达windows-serverVPC侧虚拟机,进行漏洞扫描测试。
回报正好相反,windows-server将反馈的报文先经过VPC-VRouter,再经过防火墙设备VPC-VYOS,然后经过隧道,到达隧道另一端防火墙设备YunChi-VYOS,最后到达漏洞扫描server。
图3示出了数据库审计的流量访问过程。VPC侧的DBA-server上装一个数据库审计的Agent,Agent会将流量发送到VPC-VRouter上,然后VPC-VRouter再将流量发送到隧道的一端VPC-VYOS上,经过隧道流量到达隧道另一端YunChi-VYOS,然后再去寻找下一跳,同一个网段内走网络二层就能找到目的地,并且将流量发送到数据库审计-server。
下面对具体的建立隧道通信的配置进行说明。
VPN路由配置如表1所示:
表1VPN路由配置
IP地址配置如表2所示:
表2IP地址配置
VYOS系统安装:镜像版本:vyos-1.3.0-rc6-amd64.iso。部署位置:VPC内和云资源池内各部署一个。命令:install image 将镜像安装到卷中。测试规格为4cpu4GB。创建虚拟机的时候,需要创建两个卷,一个卷是用来启动iso的内容,一个卷是用在将iso格式安装为qcow2格式。因为iso格式的虚拟机不能保存配置。当使用iso格式安装image镜像后。需要使用第二个卷重新创建一个虚拟机。
在对本系统进行测试时,可以包括以下几个阶段:
(1)测试网络连通性:
A:在VRouter中配置SNAT以便VPC侧的设备可以访问外网。SNAT用于实现没有公网IP的ECS实例借助有公网的ECS访问外网,但是外网无法访问到内网IP;
B:VPC侧设备通过SNAT经由VPC-Router设备可以直接访问云资源池内172.16.0.0/24网段设备。
C:因为VPC使用的是SNAT访问外网,所以云资源池是无法直接访问VPC内的192.168.0.0/24网段设备。
D:需要在VPC侧的VPC-VYOS上映射EIP地址,该EIP地址用于和云资源池的YunChi-VYOS设备进行VPN连接建立。
E:VPC侧需要在安全组放通192.168.0.0/24网段与172.16.0.0/24网段流量。
F:VPC侧要放通192.168.0.30与172.16.0.30之间的UDP 500和4500端口号。
因为客户侧的安全策略原因导致VPN已经建立并且ping测试ok以及tracert走的是隧道路径,但是tcp不通导致业务不通。同时需要客户侧确保VPC底层的防火墙也要联通,若VPC侧的VPC-VYOS与VPC内的其他设备属于不同的物理计算节点。测试过程中因为VPN两端设备不需要指定回包路由,在测试中因为指定回包路由到Vrouter导致ping不通,删除该回包路由后,只需要通过直连路由即可互通。
VPC测环境规划测试步骤包括:
(1)VPC-VYOS
①配置防火墙:
set firewallall-ping enable放通ping包
set firewallname alldefault-action accept创建防火墙策略 默认允许所有
set firewallname allrule 100action accept创建rule 100策略 允许动作
set firewallname allrule 100destination address 0.0.0.0/0匹配所有目的
set firewallname allrule 100sourceaddress 0.0.0.0/0 匹配所有源
set firewallname allrule 100protocol all匹配所有协议流量
set interfacesethernet eth0address192.168.0.30/24
set interfacesethernet eth0 firewall in name all将防火墙策略all 关联到接口in方向
set interfacesethernet eth0 firewall out name all 将防火墙策略all 关联到接口out方向
set interfacesethernet eth0 firewall local name all 将防火墙策略all关联到接口local方向
set interfacestunnel tun10 address 1.1.1.1/30创建隧道接口Tunnel10并且配置地址
set interfacestunnel tun10 encapsulation ipip配置隧道口的封装模式为IPIN IP
set interfacestunnel tun10 firewall in name all将防火墙策略all 关联到接口in方向
set interfacestunnel tun10 firewall out name all 将防火墙策略all 关联到接口out方向
set interfacestunnel tun10 firewall local name all 将防火墙策略all 关联到接口local方向
set interfacestunnel tun10 remote 172.16.0.30设置建立VPN连接的对端设备IP地址
set interfacestunnel tun10 source-address 192.168.0.30 设备建立VPN连接的本段设备IP地址
set protocols static route 0.0.0.0/0next-hop 192.168.0.1 next-hop-interface eth0 设置默认路由
set protocols static route 172.16.0.30/32 next-hop 192.168.0.1 next-hop-interface eth0设置建立VPN连接的地址通过vrouter转发
set protocols static route 172.16.0.0/24next-hop 1.1.1.2 next-hop-interface tun10 设置访问对端私网地址通过隧道接口转发
②配置ssh远程:
set service ssh access-control allow user vyos
set service ssh access-control listen-address 192.168.0.30
set service ssh access-control port 22
③VPN配置:
set vpn ipsec esp-group esp proposal 1 encryption 3des创建esp 加密模式为3des
set vpn ipsec esp-group esp proposal 1 hash md5配置esp 哈希为md5
set vpn ipsec ike-group ike proposal 1 dh-group 14配置ike dh组14
set vpn ipsec ike-group ike proposal 1 encryption 3des 配置ike加密3des
set vpn ipsec ike-group ike proposal 1 hash md5配置ike哈希md5
set vpn ipsec interface eth0配置vpn接口为物理接口eth0
set vpn ipsec nat-traversal enable配置vpn nat穿越功能,该功能必须开启。
set vpn ipsec site-to-site peer 172.16.0.30 authentication id192.168.0.30 配置与对端建立vpn的id
set vpn ipsec site-to-site peer 172.16.0.30 mode pre-shared-secret配置认证方式为预共享密钥
set vpn ipsec site-to-site peer 172.16.0.30 pre-shared-secret *** 配置预共享密钥密码
set vpn ipsec site-to-site peer 172.16.0.30 remote-id 172.16.0.30配置vpn对端id
set vpn ipsec site-to-site peer 172.16.0.30 default-esp-group esp配置关联esp配置
set vpn ipsec site-to-site peer 172.16.0.30 ike-group ike配置关联ike配置
set vpn ipsec site-to-site peer 172.16.0.30 local-address192.168.0.30配置本端使用的vpn地址
set vpn ipsec site-to-site peer 172.16.0.30 tunnel 1 local prefix192.168.0.0/24配置本端私网网段。
set vpn ipsec site-to-site peer 172.16.0.30 tunnel 1 remote prefix172.16.0.0/24 配置对端私网网段。
set vpn ipsec site-to-site peer 172.16.0.30 tunnel 1 protocol ipip配置隧道协议为ip in ip封装方式。
(2)YunChi-VYOS与上述配置防火墙的配置语句基本相同,都是创建一个隧道tun10,隧道上的IP地址不一样,但是要在同一网段,并且配置对端设备的业务IP地址。
①防火墙配置:
set firewallall-ping enable放通ping包
set firewallname alldefault-action accept创建防火墙策略 默认允许所有
set firewallname allrule 100action accept创建rule 100策略 允许动作
set firewallname allrule 100destination address 0.0.0.0/0匹配所有目的
set firewallname allrule 100sourceaddress 0.0.0.0/0 匹配所有源
set firewallname allrule 100protocol all匹配所有协议流量
set interfacesethernet eth0address172.16.0.30/24
set interfacesethernet eth0 firewall in name all将防火墙策略all 关联到接口in方向
set interfacesethernet eth0 firewall out name all 将防火墙策略all 关联到接口out方向
set interfacesethernet eth0 firewall local name all 将防火墙策略all关联到接口local方向
set interfacestunnel tun10 address 1.1.1.2/30创建隧道接口Tunnel10并且配置地址
set interfacestunnel tun10 encapsulation ipip配置隧道口的封装模式为IPIN IP
set interfacestunnel tun10 firewall in name all将防火墙策略all 关联到接口in方向
set interfacestunnel tun10 firewall out name all 将防火墙策略all 关联到接口out方向
set interfacestunnel tun10 firewall local name all 将防火墙策略all 关联到接口local方向
set interfacestunnel tun10 remote 10.1.1.30设置建立VPN连接的对端设备为EIP地址10.1.1.30
set interfacestunnel tun10 source-address 172.16.0.30 设备建立VPN连接的本端设备IP地址。
set protocols static route 0.0.0.0/0next-hop 172.16.0.1 next-hop-interface eth0 设置默认路由
set protocols static route 192.168.0.0/24 next-hop 1.1.1.1 next-hop-interface tun30设置私网地址互访的路由通过隧道转发。
②配置ssh远程:
set service ssh access-control allow user vyos
set service ssh access-control listen-address 172.16.0.30
set service ssh access-control port 22
③VPN配置:
set vpn ipsec esp-group esp proposal 1 encryption 3des创建esp 加密模式为3des
set vpn ipsec esp-group esp proposal 1 hash md5配置esp 哈希为md5
set vpn ipsec ike-group ike proposal 1 dh-group 14配置ike dh组14
set vpn ipsec ike-group ike proposal 1 encryption 3des 配置ike加密3des
set vpn ipsec ike-group ike proposal 1 hash md5配置ike哈希md5
set vpn ipsec interface eth0配置vpn接口为物理接口eth0
set vpn ipsec nat-traversal enable配置vpn nat穿越功能,该功能必须开启。
云资源池端指定的是对端EIP地址10.1.1.30:
set vpn ipsec site-to-site peer 10.1.1.30 authentication id172.16.0.30 配置与对端建立vpn的id
set vpn ipsec site-to-site peer 10.1.1.30 mode pre-shared-secret配置认证方式为预共享密钥
set vpn ipsec site-to-site peer 10.1.1.30 pre-shared-secret *** 配置预共享密钥密码
set vpn ipsec site-to-site peer 10.1.1.30 remote-id 192.168.0.30配置vpn对端id
set vpn ipsec site-to-site peer 10.1.1.30 default-esp-group esp配置关联esp配置
set vpn ipsec site-to-site peer 10.1.1.30 ike-group ike配置关联ike配置
set vpn ipsec site-to-site peer 10.1.1.30 local-address 172.16.0.30配置本端使用的vpn地址
set vpn ipsec site-to-site peer 10.1.1.30 tunnel 1 local prefix172.16.0.0/24配置本端私网网段。
set vpn ipsec site-to-site peer 10.1.1.30 tunnel 1 remote prefix192.168.0.0/24 配置对端私网网段。
set vpn ipsec site-to-site peer 10.1.1.30 tunnel 1 protocol ipip配置隧道协议为ip in ip封装方式。
注意:配置VPN时两端ID必须匹配,因为对于云资源池段指定的是对端的eip ;若不指定VPN ID值,则无法建立VPN连接,会报ID不匹配。
在使用反向代理的安全设备提供安全防护的同时,可以给被防护业务提供更多的安全防护能力;在使用反向代理安全设备和其他安全设备共同提供安全能力场景下的可靠性问题;在使用反向代理安全设备和其他安全设备共同提供安全能力场景下业务编排和调整的问题。
综上所述,本申请实施例提供了一种基于VPN的数据传输方法,通过建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。通过云内安全设备实现对云内外网通信的业务访问,使安全资源池的业务使用范围扩大化,且提高了数据传输效率。
基于相同的技术构思,本申请实施例还提供了一种基于VPN的数据传输系统,如图4所示,所述系统包括:
隧道建立和配置模块401,用于建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;
报文接收模块402,用于云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;
报文发送模块403,用于将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。
在一种可能的实施方式中,所述报文接收模块402,还用于:所述云资源池防火墙设备接收所述VPC防火墙设备发送的业务应答报文;所述业务应答报文是由所述VPC侧虚拟机经过VPC网关发送至所述VPC防火墙设备的;
所述报文发送模块403,还用于将所述业务应答报文发送至所述云资源池服务器。
本申请实施方式还提供一种与前述实施方式所提供的方法对应的电子设备。请参考图5,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。所述电子设备20可以包括:处理器200,存储器201,总线202和通信接口203,所述处理器200、通信接口203和存储器201通过总线202连接;所述存储器201中存储有可在所述处理器200上运行的计算机程序,所述处理器200运行所述计算机程序时执行本申请前述任一实施方式所提供的方法。
其中,存储器201可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个物理端口203(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线202可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器201用于存储程序,所述处理器200在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述方法可以应用于处理器200中,或者由处理器200实现。
处理器200可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器200中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器200可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器201,处理器200读取存储器201中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的方法对应的计算机可读存储介质,请参考图6,其示出的计算机可读存储介质为光盘30,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备有固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器( DSP )来实现根据本申请实施例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于VPN的数据传输方法,其特征在于,所述方法包括:
建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;
云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;
将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。
2.如权利要求1所述的方法,其特征在于,所述VPC侧虚拟机执行业务之后,所述方法还包括:
所述云资源池防火墙设备接收所述VPC防火墙设备发送的业务应答报文;所述业务应答报文是由所述VPC侧虚拟机经过VPC网关发送至所述VPC防火墙设备的;
将所述业务应答报文发送至所述云资源池服务器。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
响应于数据库审计请求,所述云资源池防火墙设备接收所述VPC防火墙设备发送的数据库审计请求报文;所述数据库审计请求报文是VPC侧的DBA数据库服务器经过VPC网关发送至所述VPC防火墙设备的;
将所述数据库审计请求报文发送至数据库审计服务器。
4.如权利要求1所述的方法,其特征在于,所述建立IPsecVPN隧道,包括:
在VPC侧配置云资源池侧的号段信息和防火墙允许访问权限,在云资源池侧配置VPC侧的号段信息和防火墙允许访问权限;
在VPC侧和云资源池侧的防火墙设备通过相同的配置语句建立IPsecVPN隧道,其中隧道上的IP地址在同一网段,并且配置对端设备的业务IP地址。
5.如权利要求1所述的方法,其特征在于,所述配置隧道两侧的VPC侧和云资源池侧的防火墙设备,包括:
在VPC侧的防火墙设备上映射EIP地址,所述EIP地址用于和云资源池侧的防火墙设备进行VPN连接建立。
6.如权利要求1所述的方法,其特征在于,在配置隧道两侧的VPC侧和云资源池侧的防火墙设备之后,所述方法还包括:
在VPC网关配置SNAT,使得直接访问云资源池内相同网段设备。
7.一种基于VPN的数据传输系统,其特征在于,所述系统包括:
隧道建立和配置模块,用于建立IPsecVPN隧道,并配置隧道两侧的VPC侧和云资源池侧的防火墙设备;
报文接收模块,用于云资源池防火墙设备接收到云资源池服务器经过云资源池网关转发的业务请求报文;
报文发送模块,用于将所述业务请求报文经过所述隧道发送至VPC防火墙设备,以使得所述VPC防火墙设备将所述业务请求报文发送至VPC侧虚拟机来执行业务。
8.如权利要求7所述的系统,其特征在于,所述报文接收模块,还用于:所述云资源池防火墙设备接收所述VPC防火墙设备发送的业务应答报文;所述业务应答报文是由所述VPC侧虚拟机经过VPC网关发送至所述VPC防火墙设备的;
所述报文发送模块,还用于将所述业务应答报文发送至所述云资源池服务器。
9.一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序时执行以实现如权利要求1-6任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310858134.6A CN116599769B (zh) | 2023-07-13 | 2023-07-13 | 一种基于vpn的数据传输方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310858134.6A CN116599769B (zh) | 2023-07-13 | 2023-07-13 | 一种基于vpn的数据传输方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116599769A true CN116599769A (zh) | 2023-08-15 |
| CN116599769B CN116599769B (zh) | 2023-09-26 |
Family
ID=87608386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310858134.6A Active CN116599769B (zh) | 2023-07-13 | 2023-07-13 | 一种基于vpn的数据传输方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116599769B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111083148A (zh) * | 2019-12-19 | 2020-04-28 | 紫光云技术有限公司 | 一种基于云计算领域实现vpn网关的方法 |
| CN113271218A (zh) * | 2020-02-17 | 2021-08-17 | 中国电信股份有限公司 | Vpn业务配置方法、系统、编排器以及存储介质 |
| CN114338153A (zh) * | 2021-12-28 | 2022-04-12 | 杭州迪普科技股份有限公司 | 一种IPSec的协商方法及装置 |
| US11489814B1 (en) * | 2021-03-10 | 2022-11-01 | Amazon Technologies, Inc. | Customized domain name resolution for virtual private clouds |
-
2023
- 2023-07-13 CN CN202310858134.6A patent/CN116599769B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111083148A (zh) * | 2019-12-19 | 2020-04-28 | 紫光云技术有限公司 | 一种基于云计算领域实现vpn网关的方法 |
| CN113271218A (zh) * | 2020-02-17 | 2021-08-17 | 中国电信股份有限公司 | Vpn业务配置方法、系统、编排器以及存储介质 |
| US11489814B1 (en) * | 2021-03-10 | 2022-11-01 | Amazon Technologies, Inc. | Customized domain name resolution for virtual private clouds |
| CN114338153A (zh) * | 2021-12-28 | 2022-04-12 | 杭州迪普科技股份有限公司 | 一种IPSec的协商方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116599769B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9825822B1 (en) | Group networking in an overlay network | |
| US11032247B2 (en) | Enterprise mobility management and network micro-segmentation | |
| US9319457B2 (en) | Methods and apparatus for providing offload configuration information for an application | |
| US9413723B2 (en) | Configuring and managing remote security devices | |
| US11057340B2 (en) | Per-application split-tunneled UDP proxy | |
| CN104412621B (zh) | 方法和设备 | |
| US11418955B2 (en) | System and methods for transit path security assured network slices | |
| US8547874B2 (en) | Method and system for learning network information | |
| US11190480B2 (en) | Transparently proxying connections based on hostnames | |
| US20130297934A1 (en) | Method and apparatus | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US10447811B2 (en) | Cloud to on-premises debug service routing | |
| US10992579B2 (en) | Per-application split-tunneled proxy | |
| US11258694B2 (en) | Providing dynamic routing updates in field area network deployment using Internet Key Exchange v2 | |
| US10454886B2 (en) | Multi-service API controller gateway | |
| US9420003B2 (en) | Dynamic communication between secure endpoints | |
| US20130294335A1 (en) | Methods and apparatus | |
| Touch et al. | A global x-bone for network experiments | |
| CN116599769B (zh) | 一种基于vpn的数据传输方法和系统 | |
| WO2018161684A1 (zh) | 数据发送方法及装置、路由器 | |
| CN113098954B (zh) | 报文转发方法、装置、计算机设备和存储介质 | |
| Köstler et al. | Network Federation for Inter-cloud Operations | |
| US11563722B2 (en) | Firewall coordination in a network | |
| CN115695369A (zh) | 云租户报文隔离方法、装置、系统、设备、介质和程序产品 | |
| CN117693932A (zh) | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |