CN116866114A - 一种vpn接入的方法及设备 - Google Patents
一种vpn接入的方法及设备 Download PDFInfo
- Publication number
- CN116866114A CN116866114A CN202311046902.4A CN202311046902A CN116866114A CN 116866114 A CN116866114 A CN 116866114A CN 202311046902 A CN202311046902 A CN 202311046902A CN 116866114 A CN116866114 A CN 116866114A
- Authority
- CN
- China
- Prior art keywords
- address
- message
- external network
- mac address
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims description 12
- 238000005538 encapsulation Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000035515 penetration Effects 0.000 description 4
- 230000007547 defect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/695—Types of network addresses using masks or ranges of addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VPN接入的方法及设备,它涉及通信技术领域。其方法为:为外网设备分配唯一的虚拟MAC地址,运行DHCP客户端协议为虚拟MAC地址申请IP地址;为虚拟MAC地址代答ARP请求;在内网报文发送至外网设备虚拟接口前解封装以太头,在外网报文发送至内网设备前增加以太头封装。本发明为外网设备分配内网相同网段的IP地址,实现外网设备和内网设备间二层互联,外网设备和内网设备工作在同一个二层网络,能够简化设备间通信流程,降低用户配置复杂度,应用前景广阔。
Description
技术领域
本发明涉及的是通信技术领域,具体涉及一种VPN接入的方法及设备。
背景技术
随着网络的发展,手机等外网设备通过因特网接入公司网络的场景越来越多。各种操作系统,如安卓都提供了VPN(Virtual Private Network,虚拟专用网 )接入技术。当前外网设备VPN接入技术主要为三层接入,即从本地虚拟网络接口上读写的是IP(InternetProtocol,网际协议)报文,VPN网关通过路由技术转发到目标设备完成设备间通信。
目前,常见的一种VPN接入组网拓扑的方法(图1),路由器连接公网并运行DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务,为下连二层以太网(简称内网)设备分配相同网段IP地址(如192.168.1.0/24);VPN网关为远程接入设备分配和内网不同网段IP地址(如192.168.2.0/24)。该方法由于内网设备和外网设备的网段不同,存在以下缺点:
(1)需要在路由器上配置192.168.2.0/24路由指向VPN网关设备, 才能主动连接外网设备,增加了用户配置复杂度。
(2)内网设备和外网设备间无法使用简单的二层广播/组播实现二层组播广播/组播业务。
为了解决上述问题,开发一种VPN接入的方法及设备尤为必要。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种VPN接入的方法及设备,外网设备和内网设备工作在同一个二层网络,能够简化设备间通信流程, 降低用户配置复杂度,易于推广使用。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种VPN接入的方法,其步骤为:
(1)为外网设备分配唯一的虚拟MAC地址,运行DHCP客户端协议为虚拟MAC地址申请IP地址;
(2)为虚拟MAC地址代答ARP请求;
(3)在内网报文发送至外网设备虚拟接口前解封装以太头,在外网报文发送至内网设备前增加以太头封装。
作为优选,所述的步骤(1)外网设备IP地址分配流程如下:
1.1、外网设备和VPN网关建立数据通道T及控制通道C,如果VPN网关没有公网地址,采用网络穿透技术建立连接;
1.2、VPN网关为外网设备生成虚拟MAC地址,MAC地址必须保证在二层网络内唯一;VPN网关记录外网设备、T和MAC地址对应关系;
1.3、VPN网关启动DHCP客户端模块,为上述虚拟MAC向路由器申请IP地址,如果路由器内置VPN网关功能,则可以省略DHCP地址分配过程,直接为虚拟MAC分配IP地址;正常流程下,该IP地址必然和内网设备IP地址同网段;VPN网关同时保存DHCP消息中携带的网关地址和IP地址掩码;
1.4、VPN网关记录外网设备、MAC地址和IP地址的对应关系,形成记录R;
1.5、VPN网关通过控制通道C通告外网设备已经分配的IP地址;外网设备将该IP地址设置为虚拟网络接口地址。
作为优选,所述的步骤(3)外网设备向内网设备发送数据的流程如下:
2.1、外网设备从本地虚拟网络接口收到IP报文P,将报文P封装到数据通道T并发送;
2.2、VPN网关从数据通道T收到并解析报文P,并确定以太网目的MAC地址;
2.3、VPN网关进行二层报文封装并发送到路由器,其源MAC地址以报文P的源IP或通道T做为KEY查询记录R获得,目的MAC地址为步骤2.2中目的MAC地址;
2.4、路由器按照已有流程进行二层转发。
作为优选,所述的步骤2.2:①如果报文P的目的IP地址为同网段单播地址,则使用IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则启动ARP流程生成该单播地址对应MAC地址表项;
②如果报文P的目的IP地址为不同网段单播地址,则使用网关IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则启动地址解析协议ARP流程生成网关IP对应MAC地址表项;
③如果报文P目的IP地址为广播IP地址,则目的MAC为全F;
④如果报文P目的IP地址为组播IP地址,则根据组播MAC地址生成规则生成组播目的MAC地址;
作为优选,所述的步骤(3)内网设备向外网设备发送数据的流程如下:
3.1、VPN网关收到以太报文后,根据以太报文类型分类处理:
①报文是ARP报文:收到ARP请求报文且请求的IP为外网设备IP地址,则以设备虚拟MAC进行ARP应答;其它ARP报文按照正常ARP报文处理;所有ARP报文都不向数据通道T转发;
②报文是IP报文P’:目的IP地址是外网设备IP地址、广播或组播地址,则需要向数据通道T转发;
3.2、VPN网关去掉以太报文的头部信息,只保留IP报文P’;从数据通道T发送报文至外网设备;
3.3、外网设备收到报文后将IP报文P’发送到本地虚拟网络接口进行后续处理。
作为优选,所述的步骤(1)外网设备IP地址分配流程如下:
1.1、外网设备和VPN网关建立数据通道T及控制通道C,如果VPN网关没有公网地址,采用网络穿透技术建立连接;
1.2、VPN网关为外网设备生成虚拟MAC地址,MAC地址必须保证在二层网络内唯一;VPN网关记录T和MAC地址对应关系;
1.3、外网设备启动DHCP客户端模块,通过数据通道T发送DHCP报文为虚拟MAC申请IP地址;DHCP报文的源MAC地址为虚拟MAC地址,目的MAC按照DHCP协议规定处理;
1.4、VPN网关收到数据通道T的以太报文E,按照正常二层交换及流程进行以太报文处理,对报文进行广播并进行源MAC地址学习;
1.5、VPN网关收到内网以太报文后将广播、组播或目的MAC地址为虚拟MAC的以太报文完整封装到数据通道T发送;
1.6、外网设备完成DHCP流程分配到IP地址后,将该IP地址设置为虚拟网络接口地址,并保存DHCP分配的网关IP地址和IP地址掩码。
作为优选,所述的步骤(3)外网设备向内网设备发送数据的流程如下:
2.1、外网设备从本地虚拟网络接口收到IP报文P,解析报文P以确定以太网目的MAC地址;
2.2、外网设备在报文P前增加以太头,源MAC为本设备虚拟MAC地址,目的MAC地址为步骤2.1的MAC地址;将完整以太报文通过数据通道T发送至VPN网关:
2.3、VPN网关按照正常二层交换及流程进行以太报文处理。
作为优选,所述的步骤2.1:①如果报文P的目的IP地址为同网段单播地址,则使用IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则通过数据通道T发送ARP,请求报文,请求该单播地址的MAC地址;
②如果报文P的目的IP地址为不同网段单播地址,则使用网关IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则通过数据通道T发送地址解析协议ARP请求报文,请求网关IP地址的MAC地址;
③如果报文P目的IP地址为广播IP地址,则目的MAC为全F;
④如果报文P目的IP地址为组播IP地址,则根据组播MAC地址生成规则生成组播目的MAC地址;
作为优选,所述的步骤(3)内网设备向外网设备发送数据的流程如下:
3.1、VPN网关收到内网以太报文后将广播、组播或目的MAC地址为虚拟MAC的以太报文完整封装到数据通道T发送;
3.2、外网设备收到以太报文后,根据以太报文类型分类处理:
①报文是ARP报文:收到ARP请求报文且请求的IP为本设备IP地址,则以设备虚拟MAC进行ARP应答;其它ARP报文进行ARP学习;所有ARP报文都不向发送到本地虚拟网络接口;
②报文是IP报文:目的IP地址是外网设备IP地址、广播或组播地址,则发送到本地虚拟网络接口。
一种VPN接入的设备,包括有DHCP客户端模块、ARP模块和VPN报文转发模块,其中DHCP客户端模块运行DHCP客户端协议,为外网设备的虚拟MAC向DHCP服务端申请IP地址;ARP模块为外网设备代答ARP请求,以及在必要时向内网设备发送ARP请求;VPN报文转发模块在收到外网设备向内网设备发送的报文时增加以太头封装,在收到内网报文向外网发送的报文时去掉以太头并发送至外网设备。
本发明的有益效果:本发明为外网设备分配内网相同网段的IP地址,实现外网设备和内网设备间二层互联,外网设备和内网设备工作在同一个二层网络,能够简化设备间通信流程,降低用户配置复杂度,应用前景广阔。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为背景技术中常见的VPN接入组网拓扑的方法示意图;
图2为本发明的网络拓扑示意图;
图3为本发明实施例1中封装的以太报文示意图;
图4为本发明实施例1中VPN网关收到的报文示意图;
图5为本发明实施例1中数据通道T上的报文示意图。
实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图2-5,本具体实施方式采用以下技术方案:一种VPN接入的方法,其步骤为:
(1)为外网设备分配唯一的虚拟MAC地址,运行DHCP客户端协议为虚拟MAC地址申请IP地址;
(2)为虚拟MAC地址代答ARP请求;
(3)在内网报文发送至外网设备虚拟接口前解封装以太头,在外网报文发送至内网设备前增加以太头封装。
本具体实施方式还提供了一种VPN接入的设备,包括有DHCP客户端模块、ARP模块和VPN报文转发模块,其中DHCP客户端模块运行DHCP客户端协议,为外网设备的虚拟MAC向DHCP服务端申请IP地址;ARP模块为外网设备代答ARP请求,以及在必要时向内网设备发送ARP请求;VPN报文转发模块在收到外网设备向内网设备发送的报文时增加以太头封装,在收到内网报文向外网发送的报文时去掉以太头并发送至外网设备。
本具体实施方式为外网设备分配内网相同网段的IP地址,使用本方法进行VPN接入,外网设备和内网设备工作在同一个二层网络,实现外网设备和内网设备间二层互联,能够极大简化设备间通信流程,降低用户配置复杂度,具有广阔的市场应用前景。
实施例1:一种VPN接入的方法,其步骤为:
(1)外网设备(手机)分配IP地址:
1.1、外网设备和VPN网关建立数据通道T及控制通道C,一般为用户报协议UDP或传输控制协议TCP连接;如果VPN网关没有公网地址,采用类似STUN(Session TraversalUtilities for NAT,NAT会话穿越应用程序)网络穿透技术建立连接,数据通道T和控制通道C可以是相同连接;
1.2、VPN网关为外网设备生成虚拟MAC地址,比如在接入认证时需要用户名,用户可以为每个用户名预设虚拟MAC,也可以在手机侧生成(如根据接入时间戳生成MAC)后通过控制通道C通告VPN网关。MAC地址必须保证在二层网络内唯一;VPN网关记录外网设备、T和MAC地址对应关系;
1.3、VPN网关启动DHCP客户端模块,为上述虚拟MAC向路由器申请IP地址,如果路由器内置VPN网关功能,则可以省略DHCP地址分配过程,直接为虚拟MAC分配IP地址;正常流程下,该IP地址必然和内网设备IP地址同网段;VPN网关同时保存DHCP消息中携带的网关地址和IP地址掩码;
1.4、VPN网关记录外网设备、MAC地址和IP地址的对应关系;
假设MAC地址为02-00-00-00-00-01,分配的IP地址为192.168.1.21,则VPN网关上会形成如表1的记录R:
表1 VPN网关记录表
1.5、VPN网关通过控制通道C通告外网设备已经分配的IP地址;外网设备将该IP地址设置为虚拟网络接口地址。
(2)完成IP地址分配流程后,外网设备向内网设备发送数据,流程如下:
2.1、外网设备从本地虚拟网络接口收到IP报文P,其源IP地址必然为192.168.1.21,将报文P封装到数据通道T并发送;
2.2、VPN网关从数据通道T收到并解析报文P,并确定以太网目的MAC地址:
①如果报文P的目的IP地址为同网段单播地址,如192.168.1.11,则使用IP地址192.168.1.11查找到的对应MAC地址;如果没有查找到MAC地址,则启动地址解析协议ARP流程生成该单播地址192.168.1.11对应MAC地址表项;
②如果报文P的目的IP地址为不同网段单播地址,如10.1.1.2,则使用网关IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则启动地址解析协议ARP流程生成网关IP对应MAC地址表项;
③如果报文P目的IP地址为广播IP地址,如192.168.1.255,则目的MAC为全F;
④如果报文P目的IP地址为组播IP地址,如239.0.0.1,则根据组播MAC地址生成规则生成组播目的MAC地址;
2.3、VPN网关进行二层报文封装并发送到路由器,封装后的以太报文参考图2;其源MAC地址以报文P的源IP或通道T做为KEY查询记录R获得,目的MAC地址为步骤2.2中目的MAC地址;
2.4、路由器按照已有流程进行二层转发。
(3)内网设备向外网设备发送数据,流程如下:
3.1、VPN网关收到以太报文后,根据以太报文类型分类处理:
①报文是ARP报文:收到ARP请求报文且请求的IP为外网设备IP地址,则以设备虚拟MAC进行ARP应答;其它ARP报文按照正常ARP报文处理;所有ARP报文都不向数据通道T转发;
②报文是IP报文P’:目的IP地址是外网设备IP地址、广播或组播地址,则需要向数据通道T转发;
3.2、VPN网关去掉以太报文的头部信息,只保留IP报文P’;从数据通道T发送报文至外网设备;其中VPN网关收到的报文参考图3所示,则数据通道T上的报文如图4所示;
3.3、外网设备收到报文后将IP报文P’发送到本地虚拟网络接口进行后续处理。
实施例2:一种VPN接入的方法,本实施例在外网设备上模拟成以太设备,其步骤为:
(1)外网设备(手机)分配IP地址:
1.1、外网设备和VPN网关建立数据通道T及控制通道C,一般为用户报协议UDP或传输控制协议TCP连接;如果VPN网关没有公网地址,采用类似STUN网络穿透技术建立连接,数据通道T和控制通道C可以是相同连接;
1.2、VPN网关为外网设备生成虚拟MAC地址,比如在接入认证时需要用户名,用户可以为每个用户名预设虚拟MAC,也可以在手机侧生成(如根据接入时间戳生成MAC)后通过控制通道C通告VPN网关;MAC地址必须保证在二层网络内唯一;VPN网关记录T和MAC地址对应关系;
1.3、外网设备启动DHCP客户端模块,通过数据通道T发送DHCP报文为虚拟MAC申请IP地址;DHCP报文的源MAC地址为虚拟MAC地址,目的MAC按照DHCP协议规定处理,比如DHCPdiscovery报文,数据通道T携带完整以太报文E;
1.4、VPN网关收到数据通道T的以太报文E,按照正常二层交换及流程进行以太报文处理,对报文进行广播并进行源MAC地址学习;
1.5、VPN网关收到内网以太报文,包括路由器发送的DHCP报文后将广播、组播或目的MAC地址为虚拟MAC的以太报文完整封装到数据通道T发送;
1.6、外网设备完成DHCP流程分配到IP地址后,将该IP地址设置为虚拟网络接口地址,并保存DHCP分配的网关IP地址和IP地址掩码。
(2)完成IP地址分配流程后,外网设备向内网设备发送数据,流程如下:
2.1、外网设备从本地虚拟网络接口收到IP报文P,其源IP地址必然为192.168.1.21,解析报文P以确定以太网目的MAC地址:
①如果报文P的目的IP地址为同网段单播地址,则使用IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则通过数据通道T发送ARP,请求报文,请求该单播地址的MAC地址;
②如果报文P的目的IP地址为不同网段单播地址,如10.1.1.2,则使用网关IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则通过数据通道T发送地址解析协议ARP请求报文,请求网关IP地址的MAC地址;
③如果报文P目的IP地址为广播IP地址,则目的MAC为全F;
④如果报文P目的IP地址为组播IP地址,则根据组播MAC地址生成规则生成组播目的MAC地址;
2.2、外网设备在报文P前增加以太头,源MAC为本设备虚拟MAC地址,目的MAC地址为步骤2.1的MAC地址;将完整以太报文通过数据通道T发送至VPN网关:
2.3、VPN网关按照正常二层交换及流程进行以太报文处理。
(3)内网设备向外网设备发送数据,流程如下:
3.1、VPN网关收到内网以太报文,包括路由器发送的DHCP报文后,将广播、组播或目的MAC地址为虚拟MAC的以太报文完整封装到数据通道T发送;
3.2、外网设备收到以太报文后,根据以太报文类型分类处理:
①报文是ARP报文:收到ARP请求报文且请求的IP为本设备IP地址,则以设备虚拟MAC进行ARP应答;其它ARP报文进行ARP学习;所有ARP报文都不向发送到本地虚拟网络接口;
②报文是IP报文:目的IP地址是外网设备IP地址、广播或组播地址,则发送到本地虚拟网络接口。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (8)
1.一种VPN接入的方法,其特征在于,其步骤为:
(1)为外网设备分配唯一的虚拟MAC地址,运行DHCP客户端协议为虚拟MAC地址申请IP地址;
(2)为虚拟MAC地址代答ARP请求;
(3)在内网报文发送至外网设备虚拟接口前解封装以太头,在外网报文发送至内网设备前增加以太头封装。
2.根据权利要求1所述的一种VPN接入的方法,其特征在于,所述的步骤(1)外网设备IP地址分配流程如下:
1.1、外网设备和VPN网关建立数据通道T及控制通道C;
1.2、VPN网关为外网设备生成虚拟MAC地址,MAC地址保证在二层网络内唯一;VPN网关记录外网设备、T和MAC地址对应关系;
1.3、VPN网关启动DHCP客户端模块,为上述虚拟MAC向路由器申请IP地址;
1.4、VPN网关记录外网设备、MAC地址和IP地址的对应关系,形成记录R;
1.5、VPN网关通过控制通道C通告外网设备已经分配的IP地址;外网设备将该IP地址设置为虚拟网络接口地址。
3.根据权利要求1所述的一种VPN接入的方法,其特征在于,所述的步骤(3)外网设备向内网设备发送数据的流程如下:
2.1、外网设备从本地虚拟网络接口收到IP报文P,将报文P封装到数据通道T并发送;
2.2、VPN网关从数据通道T收到并解析报文P,并确定以太网目的MAC地址:
①如果报文P的目的IP地址为同网段单播地址,则使用IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则启动ARP流程生成该单播地址对应MAC地址表项;
②如果报文P的目的IP地址为不同网段单播地址,则使用网关IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则启动地址解析协议ARP流程生成网关IP对应MAC地址表项;
③如果报文P目的IP地址为广播IP地址,则目的MAC为全F;
④如果报文P目的IP地址为组播IP地址,则根据组播MAC地址生成规则生成组播目的MAC地址;
2.3、VPN网关进行二层报文封装并发送到路由器,其源MAC地址以报文P的源IP或通道T做为KEY查询记录R获得,目的MAC地址为步骤2.2中目的MAC地址;
2.4、路由器按照已有流程进行二层转发。
4.根据权利要求1所述的一种VPN接入的方法,其特征在于,所述的步骤(3)内网设备向外网设备发送数据的流程如下:
3.1、VPN网关收到以太报文后,根据以太报文类型分类处理:
①报文是ARP报文:收到ARP请求报文且请求的IP为外网设备IP地址,则以设备虚拟MAC进行ARP应答;其它ARP报文按照正常ARP报文处理;所有ARP报文都不向数据通道T转发;
②报文是IP报文P’:目的IP地址是外网设备IP地址、广播或组播地址,则需要向数据通道T转发;
3.2、VPN网关去掉以太报文的头部信息,只保留IP报文P’;从数据通道T发送报文至外网设备;
3.3、外网设备收到报文后将IP报文P’发送到本地虚拟网络接口进行后续处理。
5.根据权利要求1所述的一种VPN接入的方法,其特征在于,所述的步骤(1)外网设备IP地址分配流程如下:
1.1、外网设备和VPN网关建立数据通道T及控制通道C;
1.2、VPN网关为外网设备生成虚拟MAC地址,MAC地址保证在二层网络内唯一;VPN网关记录T和MAC地址对应关系;
1.3、外网设备启动DHCP客户端模块,通过数据通道T发送DHCP报文为虚拟MAC申请IP地址;DHCP报文的源MAC地址为虚拟MAC地址,目的MAC按照DHCP协议规定处理;
1.4、VPN网关收到数据通道T的以太报文E,按照正常二层交换及流程进行以太报文处理,对报文进行广播并进行源MAC地址学习;
1.5、VPN网关收到内网以太报文后将广播、组播或目的MAC地址为虚拟MAC的以太报文完整封装到数据通道T发送;
1.6、外网设备完成DHCP流程分配到IP地址后,将该IP地址设置为虚拟网络接口地址,并保存DHCP分配的网关IP地址和IP地址掩码。
6.根据权利要求1所述的一种VPN接入的方法,其特征在于,所述的步骤(3)外网设备向内网设备发送数据的流程如下:
2.1、外网设备从本地虚拟网络接口收到IP报文P,解析报文P以确定以太网目的MAC地址:
①如果报文P的目的IP地址为同网段单播地址,则使用IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则通过数据通道T发送ARP,请求报文,请求该单播地址的MAC地址;
②如果报文P的目的IP地址为不同网段单播地址,则使用网关IP地址查找到的对应MAC地址;如果没有查找到MAC地址,则通过数据通道T发送地址解析协议ARP请求报文,请求网关IP地址的MAC地址;
③如果报文P目的IP地址为广播IP地址,则目的MAC为全F;
④如果报文P目的IP地址为组播IP地址,则根据组播MAC地址生成规则生成组播目的MAC地址;
2.2、外网设备在报文P前增加以太头,源MAC为本设备虚拟MAC地址,目的MAC地址为步骤2.1的MAC地址;将完整以太报文通过数据通道T发送至VPN网关:
2.3、VPN网关按照正常二层交换及流程进行以太报文处理。
7.根据权利要求1所述的一种VPN接入的方法,其特征在于,所述的步骤(3)内网设备向外网设备发送数据的流程如下:
3.1、VPN网关收到内网以太报文后将广播、组播或目的MAC地址为虚拟MAC的以太报文完整封装到数据通道T发送;
3.2、外网设备收到以太报文后,根据以太报文类型分类处理:
①报文是ARP报文:收到ARP请求报文且请求的IP为本设备IP地址,则以设备虚拟MAC进行ARP应答;其它ARP报文进行ARP学习;所有ARP报文都不向发送到本地虚拟网络接口;
②报文是IP报文:目的IP地址是外网设备IP地址、广播或组播地址,则发送到本地虚拟网络接口。
8.一种VPN接入的设备,其特征在于,包括有DHCP客户端模块、ARP模块和VPN报文转发模块,其中DHCP客户端模块运行DHCP客户端协议,为外网设备的虚拟MAC向DHCP服务端申请IP地址;ARP模块为外网设备代答ARP请求,以及在必要时向内网设备发送ARP请求;VPN报文转发模块在收到外网设备向内网设备发送的报文时增加以太头封装,在收到内网报文向外网发送的报文时去掉以太头并发送至外网设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311046902.4A CN116866114A (zh) | 2023-08-19 | 2023-08-19 | 一种vpn接入的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311046902.4A CN116866114A (zh) | 2023-08-19 | 2023-08-19 | 一种vpn接入的方法及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116866114A true CN116866114A (zh) | 2023-10-10 |
Family
ID=88227122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311046902.4A Pending CN116866114A (zh) | 2023-08-19 | 2023-08-19 | 一种vpn接入的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116866114A (zh) |
-
2023
- 2023-08-19 CN CN202311046902.4A patent/CN116866114A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2241091B1 (en) | Combining locally addressed devices and wide area network (wan) addressed devices on a single network | |
KR100886550B1 (ko) | 아이피 어드레스 할당 장치 및 방법 | |
KR100485801B1 (ko) | 서로 다른 사설망에 존재하는 네트워크장치들 간의직접접속을 제공하는 망접속장치 및 방법 | |
US9516070B2 (en) | Method for establishing channel for managing IPV4 terminal and network gateway | |
CN104468625B (zh) | 拨号隧道代理装置、利用拨号隧道穿越nat的方法 | |
US6618398B1 (en) | Address resolution for internet protocol sub-networks in asymmetric wireless networks | |
JP2003249942A (ja) | インターネットプロトコルアドレス変換装置及びこれを用いたホームネットワークシステム並びにその通信方法 | |
US9769113B1 (en) | Socket-based internet protocol for wireless networks | |
CN112437168B (zh) | 一种内网穿透系统 | |
WO2013071765A1 (zh) | 为用户终端分配ip地址的方法、装置和系统 | |
US20120198091A1 (en) | Network system, control apparatus and network apparatus | |
WO2020220459A1 (zh) | 基于VXLAN和OpenFlow的虚拟家庭网络共享方法及系统 | |
US10652204B2 (en) | ReNAT systems and methods | |
CN106878481B (zh) | 一种网络互连协议ip地址获取方法、装置和系统 | |
US8995429B1 (en) | Socket-based internet protocol for wired networks | |
CN112995038B (zh) | Profinet协议在工业sdn中的接入方法 | |
AU2019257538A1 (en) | Systems and methods for providing a ReNAT communications environment | |
CN116866114A (zh) | 一种vpn接入的方法及设备 | |
JP2019050628A5 (zh) | ||
CN109842692A (zh) | 用于获得物理网络中主机信息的VxLAN交换机、系统和方法 | |
CN110913029A (zh) | 一种在运营商内部IPv6地址配置方法 | |
CN108322400B (zh) | 报文处理方法、系统及路由设备 | |
CN112994994B (zh) | 基于工业以太网协议在工业sdn中的接入方法 | |
CN115150312B (zh) | 一种路由方法及设备 | |
CN117097587A (zh) | 一种异地以太网络二层互联的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |