CN116827627A - 一种基于IPsecVPN的源MAC透传系统及方法 - Google Patents

Abstract

本发明公开了一种基于IPsec VPN的源MAC透传系统及方法，所述基于IPsec VPN的源MAC透传方法，包括步骤：源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中；所述源MAC查找和替换模块从预设的所述内核邻居表中查找当前IP报文中源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域，再将替换过后的IP报文通过网卡发送出去，完成源MAC的透传。本发明增加了IPsec VPN设备的网络适应性，实现了透明接入。

Description

一种基于IPsecVPN的源MAC透传系统及方法

技术领域

本发明涉及网络适应性领域，尤其涉及一种基于IPsec VPN的源MAC透传系统及方法。

背景技术

IPsec VPN用于增强IP网络的安全性，是一种网络层(OSI七层网络模型的第三层)数据的安全保护技术。MAC地址表示网卡的物理地址，网卡是数据链路层(OSI七层网络模型的第二层)设备。内核协议栈在处理三层IP地址向二层MAC地址映射时，会使用ARP协议学习目的IP地址的MAC地址信息，将以太网头部的目的MAC地址填写为目的IP地址对应的MAC地址，将以太网头部的源MAC地址修改为主机网卡的MAC地址。

因此，借助内核协议栈实现的IPsec VPN设备，将无法保持加密前的以太网报文的源MAC信息。

发明内容

针对以上问题，本发明提出一种基于IPsec VPN的源MAC透传系统及方法。

为实现本发明的目的，提供一种基于IPsec VPN的源MAC透传系统，包括：源MAC处理函数虚接口模块、源MAC学习函数模块、网络过滤框架注册模块、源MAC查找和替换模块和内核补丁预留的源MAC处理函数虚接口注册模块。

所述源MAC处理函数虚接口模块用于通过函数指针调用所述源MAC查找和替换模块。

所述源MAC学习函数模块用于借助ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中。

所述网络过滤框架注册模块用于将所述源MAC学习函数模块注册到网络过滤框架中。

所述源MAC查找和替换模块用于从预设的所述内核邻居表中查找当前IP报文中的源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域。

所述内核补丁预留的源MAC处理函数虚接口注册模块用于将所述源MAC查找和替换模块注册到所述源MAC处理函数虚接口模块。

IP报文经过网络层时，所述源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的所述内核ARP协议处理函数将所述学习结果存储于预设的所述内核邻居表中；IP报文经过网络设备子系统时，所述源MAC处理函数虚接口模块通过函数指针调用所述源MAC查找和替换模块，使其从上述预设的内核邻居表中查找当前IP报文中源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域。

进一步地，所述基于IPsec VPN的源MAC透传系统还包括：源MAC处理函数虚接口注销模块；所述源MAC处理函数虚接口注销模块用于注销所述源MAC处理函数虚接口模块。

进一步地，所述基于IPsec VPN的源MAC透传系统还包括：功能开关模块；所述功能开关模块用于打开或者关闭所述基于IPsec VPN的源MAC透传系统。

此外，本发明还提供了一种基于IPsec VPN的源MAC透传方法，包括如下步骤：

S1：在网络设备子系统的报文发送函数内，预留源MAC处理函数虚接口；

S2：搭建源MAC学习函数模块和源MAC查找和替换模块，并将两者编译生成内核驱动文件；

S3：安装上述内核驱动文件：安装所述源MAC学习函数模块，并将所述源MAC学习函数模块注册到内核网络层的网络过滤框架；安装所述源MAC查找和替换模块，并将所述源MAC查找和替换模块注册到预留的所述源MAC处理函数虚接口；

S4：开启所述内核驱动文件内预留的功能开关；

S5：在网络层，所述源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中；

S6：在网络设备子系统，所述源MAC查找和替换模块从预设的所述内核邻居表中查找当前IP报文中的源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域，再将替换过后的IP报文通过网卡发送出去，完成源MAC的透传。

跟现有技术相比，本发明具有以下有益的技术效果：

1)网络适应性好：增加IPsec VPN设备的网络适应性，实现透明接入，对客户现有网络拓扑无影响。

2)不影响原有业务：避免因其他安全设备的MAC相关防护策略，如MAC绑定，地址伪装之类的，从而引起业务中断。

3)适用性广：本技术方案不仅适应IPsec VPN设备，也适用于其他有IP-MAC映射需求的场景。

4)易于管理：支持功能开启和关闭，可根据网络需求灵活控制。

附图说明

图1是一个实施例的一种基于IPsec VPN的源MAC透传系统的模块示意图；

图2是一个实施例的一种基于IPsec VPN的源MAC透传方法的流程示意图；

图3是以太网帧结构示意图；

图4是一个实施例的IPsec VPN网络拓扑结构示意图；

图5为一个实施例的内核补丁片段中的源MAC处理函数handle()虚接口示意图；

图6为一个实施例的内核补丁片段中的源MAC处理注册和注销示意图；

图7为一个实施例的驱动模块片段中的注册功能示意图；

图8为一个实施例的驱动模块片段中的功能开关示意图；

图9为一个实施例的驱动函数调用流程示意图；

图10为一个实施例的源MAC地址学习流程示意图；

图11为一个实施例的源MAC地址替换流程示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

参考图1所示，图1是一个实施例的一种基于IPsec VPN的源MAC透传系统的模块示意图。一种基于IPsec VPN的源MAC透传系统，包括：源MAC处理函数虚接口模块、源MAC学习函数模块、网络过滤框架注册模块、源MAC查找和替换模块和内核补丁预留的源MAC处理函数虚接口注册模块。

所述源MAC处理函数虚接口模块用于通过函数指针调用所述源MAC查找和替换模块。

所述源MAC学习函数模块用于借助ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中。

所述网络过滤框架注册模块用于将所述源MAC学习函数模块注册到网络过滤框架中。

所述源MAC查找和替换模块用于从预设的所述内核邻居表中查找当前IP报文中的源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域。

所述内核补丁预留的源MAC处理函数虚接口注册模块用于将所述源MAC查找和替换模块注册到所述源MAC处理函数虚接口模块。

IP报文经过网络层时，所述源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的所述内核ARP协议处理函数将所述学习结果存储于预设的所述内核邻居表中；IP报文经过网络设备子系统时，所述源MAC处理函数虚接口模块通过函数指针调用所述源MAC查找和替换模块，使其从上述预设的内核邻居表中查找当前IP报文中源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域。

在一个实施例中，所述源MAC透传系统还包括：源MAC处理函数虚接口注销模块；所述源MAC处理函数虚接口注销模块用于注销所述源MAC处理函数虚接口模块。

在一个实施例中，所述源MAC透传系统还包括：功能开关模块；所述功能开关模块用于打开或者关闭所述基于IPsec VPN的源MAC透传系统。

启用：安装驱动生效【insmod macpass.ko安装该模块到内核】；

停用：卸载驱动【rmmod macpass.ko】或设置预置的功能开关(安装驱动后，才能生效)

停用源mac透传功能：

echo 0>/sys/module/macpass/parameters/macpass_handler_enable

启用源mac透传功能(默认生效)：

echo 1>/sys/module/macpass/parameters/macpass_handler_enable

如图2所示，图2是一个实施例的一种基于IPsec VPN的源MAC透传方法的流程示意图，所述基于IPsec VPN的源MAC透传方法，包括如下步骤：

S1：在网络设备子系统的报文发送函数内，预留源MAC处理函数虚接口；

S2：搭建源MAC学习函数模块和源MAC查找和替换模块，并将两者编译生成内核驱动文件；

S3：安装上述内核驱动文件：安装所述源MAC学习函数模块，并将所述源MAC学习函数模块注册到内核网络层的网络过滤框架；安装所述源MAC查找和替换模块，并将所述源MAC查找和替换模块注册到预留的所述源MAC处理函数虚接口；

S4：开启所述内核驱动文件内预留的功能开关；

S5：在网络层，所述源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中；

S6：在网络设备子系统，所述源MAC查找和替换模块从所述预设的内核邻居表中查找当前IP报文中的源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域，再将替换过后的IP报文通过网卡发送出去，完成源MAC的透传。

如图3所示，图3是以太网帧结构示意图。图3可以看出经过IPSec VPN保护的报文，报文目的主机接收的以太网报文，源MAC地址不是源IP主机对应的MAC地址。

如图4所示，图4是一个实施例的IPsec VPN网络拓扑结构示意图，在一个实施例中，网络拓扑包含主机A、设备IPSec A、设备IPSec B和主机B。设置IPsec A和IPSec B组网模式为网桥模式，开启IPsec A和IPSec B的ARP转发功能。在图4的网络拓扑中，假设主机A和主机B之间没有设备IPSec A和设备IPSec B，主机A和主机B直接连接，主机B接收到的主机A发出以太网帧，其源MAC(SMAC)地址是主机A(IP：192.168.100.100)的MAC(00:22:46:2D:C8:42)；主机A接收到的主机B发出以太网帧，其源MAC(SMAC)地址是主机B(IP：192.168.100.103)的MAC

(A0:36:9F:78:AA:00)。但是如图4所示，在主机A和主机B之间加入设备IPSec A和设备IPSec B之后，主机A和主机B之间的网络，使用两台IPsec VPN设备IPsecA，IPsecB进行安全保护。主机B接收到的主机A发出以太网帧，其源MAC(SMAC)地址是IPsecB(IP：192.168.100.102)的MAC(00:22:46:3E:5E:94)；主机A接收到的主机B发出以太网帧，其源MAC(SMAC)地址是IPsecA(IP：192.168.100.101)的MAC

(00:22:46:1E:91:F8)。鉴于上述问题，在本实施例中，我们在设备IPSec A和设备IPSec B的内核系统中，新增基于IPsec VPN的源MAC透传系统，在网络设备子系统的报文发送函数(dev_queue_xmit())中，预留源MAC处理函数(handle())的虚接口，如图5所示，用于实现将源MAC替换为源IP对应的原始MAC地址，并实现虚接口的注册(通过函数xfrm_register_macpass()实现)和注销(通过xfrm_unregister_macpass()函数实现)，如图6所示。虚接口在未注册前和注销后，虚接口为空指针，不做操作。然后开发并生成一个内核驱动文件，如图7所示，命名为macpass.ko。该内核驱动文件包含实现源IP对应的MAC学习功能函数macpass_mark()，参考图10，并通过函数nf_register_net_hooks()将MAC学习功能函数注册到网络框架netfilter的postrouting hook点。内核驱动文件中还包括实现源MAC查找和替换功能函数macpass_handle(),参考图11，通过函数xfrm_register_macpass()将源MAC查找和替换功能函数注册到上述预留的虚接口。以上注册功能，在安装各模块时，在各模块入口函数调用初始化函数(macp ass_init())完成。另外，在本实施例中，还预留功能开关，如图8所示，用来更便捷地打开或者关闭基于IPsec VPN的源MAC透传系统，预留开关可放入上述模块初始化函数中。打开预留开关后，会在/sys生成对应的文件：

/sys/module/macpass/parameters/macpass_handler_enable。

如图9,10,11所示，TCP/IP协议栈发送报文时，会调用ip_output函数，ip_output函数内部会调用Netfilter Frame预留的HOOK入口(NF_INET_POST_ROUTING)，HOOK将调用注册的macpass_mark函数，完成源IP的MAC地址学习功能。HOOK函数调用完成后，调用ip_finish_output2进入邻居子系统层，注意，此时内核协议栈自动完成源MAC(替换成发送网口的MAC)和目的MAC学习和替换，最后调用网络子系统的dev_queue_xmit发送IP报文，若在dev_queue_xmit调用注册的macpass_handle，则完成源MAC地址(该MAC地址是函数macpass_mark根据当前IP报文中的源ip所学习到的对应网卡的源MAC地址)的替换，后面通过网卡将替换后的IP报文传递出去，完成源MAC透传。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

需要说明的是，本申请实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

本申请实施例的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括没有列出的步骤或模块，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (4)

1.一种基于IPsec VPN的源MAC透传系统，其特征在于，包括：源MAC处理函数虚接口模块、源MAC学习函数模块、网络过滤框架注册模块、源MAC查找和替换模块和内核补丁预留的源MAC处理函数虚接口注册模块；

所述源MAC处理函数虚接口模块用于通过函数指针调用所述源MAC查找和替换模块；

所述源MAC学习函数模块用于借助ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中；

所述网络过滤框架注册模块用于将所述源MAC学习函数模块注册到网络过滤框架中；

所述源MAC查找和替换模块用于从所述预设的内核邻居表中查找当前IP报文中的源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域；

所述内核补丁预留的源MAC处理函数虚接口注册模块用于将所述源MAC查找和替换模块注册到所述源MAC处理函数虚接口模块；

IP报文经过网络层时，所述源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的所述内核ARP协议处理函数将所述学习结果存储于预设的所述内核邻居表中；IP报文经过网络设备子系统时，所述源MAC处理函数虚接口模块通过函数指针调用所述源MAC查找和替换模块，使其从上述预设的内核邻居表中查找当前IP报文中源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域。

2.根据权利要求1所述的一种基于IPsec VPN的源MAC透传系统，其特征在于，还包括：源MAC处理函数虚接口注销模块；所述源MAC处理函数虚接口注销模块用于注销所述源MAC处理函数虚接口模块。

3.根据权利要求2所述的一种基于IPsec VPN的源MAC透传系统，其特征在于，还包括：功能开关模块；所述功能开关模块用于打开或者关闭所述基于IPsec VPN的源MAC透传系统。

4.一种基于IPsec VPN的源MAC透传方法，其特征在于，包括如下步骤：

S1：在网络设备子系统的报文发送函数内，预留源MAC处理函数虚接口；

S2：搭建源MAC学习函数模块和源MAC查找和替换模块，并将两者编译生成内核驱动文件；

S3：安装上述内核驱动文件：安装所述源MAC学习函数模块，并将所述源MAC学习函数模块注册到内核网络层的网络过滤框架；安装所述源MAC查找和替换模块，并将所述源MAC查找和替换模块注册到预留的所述源MAC处理函数虚接口；

S4：开启所述内核驱动文件内预留的功能开关；

S5：在网络层，所述源MAC学习函数模块基于ARP协议学习IP报文中源IP对应的原始MAC地址并得到学习结果，接着预设的内核ARP协议处理函数将所述学习结果存储于预设的内核邻居表中；

S6：在网络设备子系统，所述源MAC查找和替换模块从预设的所述内核邻居表中查找当前IP报文中的源IP对应的原始MAC地址，并将其替换到当前IP报文中的源MAC地址域，再将替换过后的IP报文通过网卡发送出去，完成源MAC的透传。