CN1476204A - 基于动态ip地址的虚拟专用网实现方法及系统 - Google Patents
基于动态ip地址的虚拟专用网实现方法及系统 Download PDFInfo
- Publication number
- CN1476204A CN1476204A CNA021257604A CN02125760A CN1476204A CN 1476204 A CN1476204 A CN 1476204A CN A021257604 A CNA021257604 A CN A021257604A CN 02125760 A CN02125760 A CN 02125760A CN 1476204 A CN1476204 A CN 1476204A
- Authority
- CN
- China
- Prior art keywords
- gateway
- address
- address server
- server
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种基于动态IP地址的虚拟专用网(VPN)实现方法及系统,该方法包括如下步骤:在IP公网中建立管理动态IP地址的地址服务器;虚拟专用网网关将动态IP地址及名称等信息注册到地址服务器中;当发起端网关需要连接至目标网关时,发起端的网关先从地址服务器中查询以获得目标网关的IP地址,并利用该IP地址建立连接。本发明的系统,包括IP网络,与该网络连接的虚拟专用网网关及管理动态IP地址的地址服务器,该地址服务器中设置有动态IP地址管理模块和数据模块;本发明充分利用的了公共的地址服务器部件,使得VPN网关在不知道目标VPN的固定IP地址的情况下,可以方便的建立VPN网络。对于采用拨号接入IP网络的企业非常方便和经济。
Description
技术领域
本发明涉及一种基于动态IP地址的虚拟专用网实现方法及系统。
背景技术
虚拟专用网(Virtual Private Network,简称VPN)是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。该网络具有虚拟的特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。
VPN的工作原理:
基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(Dedicated VPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。
拨号VPN:
拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F(Layer 2Forwarding Protocol)协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。拨号VPN又可分为客户发起的(Client-Initiatcd)VPN和NAS发起的VPN。
在客户发起的VPN中,用户拨号到本地的POP,由客户来发出请求并建立到其企业内部网的加密隧道。为了建立一个安全的连接,客户端运行IPsec软件,客户软件与公司内部网络防火墙上的IPsec进程通信,或者直接与支持IPsec的路由器通信,确保连接的安全性。这种形式的VPN特点是:
(1)远程用户能够同时与多个Home Gateway建立IP Tunnel。
(2)远程用户不必重新拨号,就可以进入另一个网络。
(3)VPN的建立和管理与ISP无关。
(4)这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件
(5)客户端需要知道企业的固定IP地址,以便向企业的服务器进行认证。
在NAS发起的VPN中,由服务提供商POP中的NAS请求并创建到客户公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)协议来建立到客户Home Gateway的安全隧道。
在这种拨号VPN形式中,用户认证分两级处理。当用户拨入时,首先由服务提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司Home Gateway的隧道,由Home Gateway来执行用户级的认证功能。这种VPN形式在认证时,服务提供商也需要知道企业的Home Gateway的IP地址。
专线VPN:
在基于IP Tunnel的专线VPN中,PPP数据包流通过共享IP网络上的隧道进行传输。隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。在这种情况下,需要知道各个端点的固定IP地址。
在基于虚拟电路(Vitual Circuit)的VPN中,服务提供商可以提供虚拟电路来建立IP VPN服务。用PVC在帧中继(Frame Relay)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IP VPN服务。
由上述可知,无论是拨号VPN还是专线VPN都至少需要一个固定的IP地址来作为鉴权控制的中心。但是对于小型企业,或者连锁型企业,各个分支都比较小,采用基于动态IP的宽带或者窄带接入是最经济的方式,但是在现有技术的方式下难于采用传统的VPN技术建立动态IP用户群之间的VPN,除非通过人工的途径相互交流目前的IP地址。对于个人小团体来尤其如此。
发明内容
本发明的目的在于提供一种基于动态IP地址的虚拟专用网实现方法及系统,以满足动态IP地址情况下的VPN的自动建立。
本发明的方法包括以下步骤:在IP公网中建立管理动态IP地址的地址服务器;虚拟专用网的网关通过建立到IP公网的连接以获得出口处的公网IP地址;虚拟专用网网关在地址服务器中注册,至少将网关名称及动态IP地址注册到地址服务器中;当发起端需要连接至目标网关时,发起端的网关先从地址服务器中查询以获得目标网关的IP地址,并利用该IP地址建立连接。
本发明的系统至少包括IP网络以及与该网络连接的虚拟专用网网关,其结构特点在于:所述IP网络中连接有管理动态IP地址的地址服务器,该地址服务器中设置有动态IP地址管理模块和数据模块;所述虚拟专用网网关通过IP网络向地址服务器发送至少包括自身名称和动态IP地址的信息;所述动态IP地址管理模块将虚拟专用网网关的信息存储于数据模块中,根据发起端的查询请求从数据模块中获取目标网关的动态IP地址,由地址服务器提供给发起端网关。
本发明通过增加动态IP地址注册和查询的机制,实现动态IP地址情况下VPN的自动建立,有效的解决了现有技术难于采用传统的VPN技术建立动态IP用户群之间的VPN的技术问题,而对VPN本身的建立过程没有任何影响。与现有技术相比,本发明简单,容易实现。对于地址服务器,还可以利用INTERNET网上普遍采用的WEB,WEB SERVICE,LDAP,DNS等公共服务来实现,因而其实现成本较低。
附图说明
图1为实现本发明的系统框图;
图2为本发明的流程图;
图3为本发明中VPN网关注册的流程图;
图4为VPN建立过程示意图;
图5是本发明的地址服务器采用WEB服务器实现的流程图。
具体实施方式
参考图1和图2:地址服务器中包括有动态IP地址管理模块和数据模块。该地址服务器连接于IP公网中,用于对接入公网VPN网关的动态IP地址进行管理,地址服务器具有固定的IP地址,如66.77.9.76。分支一和分支二内的私网通过VPN网关接入IP公网中,网关则采用PPP,PPPOE等方式建立到IP网的链接。当网关链接到IP公网时,得到一动态的公网IP地址,然后,网关在地址服务器中注册,将网关名称、公网IP地址、认证密码及其它相关信息注册到地址服务器,由动态IP地址管理模块将其存储于数据模块中,如图3所示。如注册成功,地址服务器将给予确认。当虚拟专用网(VPN)之间需要建立连接时,发起端先从地址服务器中查询目标网关的IP地址,动态IP地址管理模块从数据模块中获取目标网关的动态IP地址,由地址服务器提供给发起端网关。发起端从地址服务器得到目标网关的IP地址后,通过该IP地址建立连接。查询时发起端必须通过认证,对于未通过授权认证的网关,地址服务拒绝查询,以保证信息安全。
参阅图4,图中表示出了虚拟专用网网关A和网关B之间建立连接的过程。VPN网关A和VPN网关B出口处的公网IP地址61.145.x.x、61.135.x.x,名称,授权密码以及其它相关信息已注册于地址服务器中,当VPN网关B需要与VPN网关A建立连接时,VPN网关B通过固定IP地址66.77.9.76与地址服务器建立连接,并通过VPN网关A的授权认证,从服务器中查询得到VPN网关动态的公网IP地址61.145.x.x。VPN网关B根据得到的目标网关A的IP地址61.145.x.x,进行VPN建立的协商,完成之后VPN网关A和VPN网关B之间便建立起了VPN隧道。
本发明中的地址服务器可为复数个,并根据地域进行合理分布。
地址服务器可为独立的服务器,也利用INTERNET网上普遍采用的WEB,WEBSERVICE,LDAP,DNS等公共服务来实现;地址服务器采用WEB SERVICE的方式建立,VPN网关可以通过SOAPI和地址服务交互,通过UDDI发现该服务;地址服务器采用LDAP SERVER来提供,VPN网关可以通过LDAP协议和地址服务交互;地址服务器采用基于TCP/IP的自定义协议来进行,VPN网关通过承载在TCP/IP协议之上的自定义协议来和地址服务交互。
图4则表示出了地址服务器采用WEB服务器实现时的流程。由于一般的企业都具有WEB网站,所以可以将该服务嵌入到自己的网站中,可靠性和安全性可以由企业自己控制,同时VPN网关需要配置对应服务的网页地址。从图中可看出,VPN网关A和VPN网关B与地址服务器之间的交互流程发生了改变,利用HTTP协议承载了相关的注册和查询信息。
一个企业可以拥有自己的地址服务器,这样企业所有的联网都可以用拨号接入,或者ADSL等的方式接入,而不需要运营商提供特别的支持。
也可以有独立的服务提供商,向公众提供这样的服务,这样对于企业而言,可以完全仅仅利用拨号接入或者ADSL动态接入方式,连接起来,自己也不需要维护地址服务器。
本发明充分利用的了公共的地址服务器部件,使得VPN网关在不知道目标VPN的固定IP地址的情况下,可以方便的建立VPN网络。对于采用完全分布的拨号接入的企业是非常方便和经济的。
Claims (15)
1、基于动态IP地址的虚拟专用网(VPN)实现方法,其特征在于:包括以下步骤:
在IP公网中建立管理动态IP地址的地址服务器;
虚拟专用网的网关通过建立到IP公网的连接以获得出口处的公网IP地址;
虚拟专用网网关在地址服务器中注册,至少将网关名称及动态IP地址注册到地址服务器中;
当发起端需要连接至目标网关时,发起端的网关先从地址服务器中查询以获得目标网关的IP地址,并利用该IP地址建立连接。
2、根据权利要求1所述的方法,其特征在于:所述的地址服务器为独立的地址服务器。
3、根据权利要求1或2所述的方法,其特征在于所述的地址服务器为复数个,并根据地域进行分布。
4、根据权利要求1所述的方法,其特征在于:所述的地址服务器为WEB服务器,该WEB服务器采用超文本传输协议(HTTP)与虚拟专用网的网关交流。
5、根据权利要求1所述的方法,其特征在于:所述地址服务器采用WEBSERVICE的方式建立,虚拟专用网关通过SOAPI与地址服务器交互。
6、根据权利要求1所述的方法,其特征在于:所述地址服务器采用LDAPSERVER来提供,虚拟专用网关通过LDAP协议与地址服务器交互。
7、根据权利要求1所述的方法,其特征在于:虚拟专用网网关在地址服务器中注册时还包括将认证密码注册到地址服务器中。
8、根据权利要求1所述的方法,其特征在于:发起端网关接入IP公网的IP地址是动态方式分配的。
9、根据权利要求1所述的方法,其特征在于:发起端网关从地址服务器中查寻目标网关的IP地址之前进行授权认证,对通过授权认证的网关,地址服务器提供查询服务,否则拒绝查询。
10、一种实现如权利要求1所述方法的系统,至少包括IP网络以及与该网络连接的虚拟专用网网关,其特在于:所述IP网络中连接有管理动态IP地址的地址服务器,该地址服务器中设置有动态IP地址管理模块和数据模块;
所述虚拟专用网网关通过IP网络向地址服务器发送至少包括自身名称和动态IP地址的信息;
所述动态IP地址管理模块将虚拟专用网网关的信息存储于数据模块中,根据发起端的查询请求从数据模块中获取目标网关的动态IP地址,由地址服务器提供给发起端网关。
11、根据权利要求10所述的系统,其特征在于:所述的地址服务器为复数个,并根据地域进行分布。
12、根据权利要求10所达的系统,其特征在于:所述的数据模块中还包括虚拟专用网关的授权信息及其它相关信息。
13、根据权利要求10所述的系统,其特征在于:所述的地址服务器为WEB服务器,该WEB服务器采用超文本传输协议(HTTP)与虚拟专用网的网关交流。
14、根据权利要求10所述的系统,其特征在于:所述地址服务器为WEBSERVICE的服务器,虚拟专用网关通过SOAP与地址服务器交互。
15、根据权利要求10所述的系统,其特征在于:所述地址服务器为LDAPSERVER服务器,虚拟专用网关通过LDAP协议与地址服务器交互。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021257604A CN1231024C (zh) | 2002-08-16 | 2002-08-16 | 基于动态ip地址的虚拟专用网实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021257604A CN1231024C (zh) | 2002-08-16 | 2002-08-16 | 基于动态ip地址的虚拟专用网实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1476204A true CN1476204A (zh) | 2004-02-18 |
| CN1231024C CN1231024C (zh) | 2005-12-07 |
Family
ID=34143044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021257604A Expired - Fee Related CN1231024C (zh) | 2002-08-16 | 2002-08-16 | 基于动态ip地址的虚拟专用网实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1231024C (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008049326A1 (fr) * | 2006-10-20 | 2008-05-02 | Huawei Technologies Co., Ltd. | Enregistrement de dispositif d'utilisateur, système d'activation, procédé et dispositif dans la gestion de réseau privé |
| WO2010127610A1 (zh) * | 2009-05-04 | 2010-11-11 | 成都市华为赛门铁克科技有限公司 | 一种虚拟专用网节点信息的处理方法、设备及系统 |
| CN102196059A (zh) * | 2011-05-26 | 2011-09-21 | 石家庄博士德软件科技开发有限公司 | 实时获取服务器动态ip地址的技术 |
| CN102299836A (zh) * | 2011-09-16 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 一种访问接入设备的方法以及装置 |
| CN101572729B (zh) * | 2009-05-04 | 2012-02-01 | 成都市华为赛门铁克科技有限公司 | 一种虚拟专用网节点信息的处理方法及相关设备、系统 |
| CN101557336B (zh) * | 2009-05-04 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种建立网络隧道的方法,数据处理方法及相关设备 |
| CN103475563A (zh) * | 2013-09-28 | 2013-12-25 | 上海成业智能科技股份有限公司 | 非固定ip地址的公网vpn实施方法及监控系统 |
| CN103780713A (zh) * | 2012-10-26 | 2014-05-07 | 苏州精易会信息技术有限公司 | 一种实时获取服务器动态ip地址的方法 |
| CN105357331A (zh) * | 2015-10-28 | 2016-02-24 | 烽火通信科技股份有限公司 | 基于动态ip的伪静态ip的实现方法及系统 |
| CN105472059A (zh) * | 2009-02-20 | 2016-04-06 | 微软技术许可有限责任公司 | 使用服务地址的服务访问 |
| CN109245998A (zh) * | 2018-10-09 | 2019-01-18 | 郑州云海信息技术有限公司 | 一种访问nas的方法、系统及相关组件 |
| CN109728988A (zh) * | 2017-10-27 | 2019-05-07 | 贵州白山云科技股份有限公司 | 一种跨内网通信方法及装置 |
| CN110943999A (zh) * | 2019-12-05 | 2020-03-31 | 拉货宝网络科技有限责任公司 | 一种物流多仓网络互通和监控方法 |
| CN113194160A (zh) * | 2021-04-22 | 2021-07-30 | 西安交通大学 | 一种大跨域ip地址快速动态切换系统及方法 |
| CN113271218A (zh) * | 2020-02-17 | 2021-08-17 | 中国电信股份有限公司 | Vpn业务配置方法、系统、编排器以及存储介质 |
-
2002
- 2002-08-16 CN CNB021257604A patent/CN1231024C/zh not_active Expired - Fee Related
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008049326A1 (fr) * | 2006-10-20 | 2008-05-02 | Huawei Technologies Co., Ltd. | Enregistrement de dispositif d'utilisateur, système d'activation, procédé et dispositif dans la gestion de réseau privé |
| CN105472059A (zh) * | 2009-02-20 | 2016-04-06 | 微软技术许可有限责任公司 | 使用服务地址的服务访问 |
| WO2010127610A1 (zh) * | 2009-05-04 | 2010-11-11 | 成都市华为赛门铁克科技有限公司 | 一种虚拟专用网节点信息的处理方法、设备及系统 |
| CN101572729B (zh) * | 2009-05-04 | 2012-02-01 | 成都市华为赛门铁克科技有限公司 | 一种虚拟专用网节点信息的处理方法及相关设备、系统 |
| CN101557336B (zh) * | 2009-05-04 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种建立网络隧道的方法,数据处理方法及相关设备 |
| CN102196059A (zh) * | 2011-05-26 | 2011-09-21 | 石家庄博士德软件科技开发有限公司 | 实时获取服务器动态ip地址的技术 |
| CN102299836A (zh) * | 2011-09-16 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 一种访问接入设备的方法以及装置 |
| CN103780713A (zh) * | 2012-10-26 | 2014-05-07 | 苏州精易会信息技术有限公司 | 一种实时获取服务器动态ip地址的方法 |
| CN103475563A (zh) * | 2013-09-28 | 2013-12-25 | 上海成业智能科技股份有限公司 | 非固定ip地址的公网vpn实施方法及监控系统 |
| CN105357331A (zh) * | 2015-10-28 | 2016-02-24 | 烽火通信科技股份有限公司 | 基于动态ip的伪静态ip的实现方法及系统 |
| CN109728988A (zh) * | 2017-10-27 | 2019-05-07 | 贵州白山云科技股份有限公司 | 一种跨内网通信方法及装置 |
| CN109728988B (zh) * | 2017-10-27 | 2020-05-12 | 贵州白山云科技股份有限公司 | 一种跨内网通信方法及装置 |
| CN109245998A (zh) * | 2018-10-09 | 2019-01-18 | 郑州云海信息技术有限公司 | 一种访问nas的方法、系统及相关组件 |
| CN110943999A (zh) * | 2019-12-05 | 2020-03-31 | 拉货宝网络科技有限责任公司 | 一种物流多仓网络互通和监控方法 |
| CN113271218A (zh) * | 2020-02-17 | 2021-08-17 | 中国电信股份有限公司 | Vpn业务配置方法、系统、编排器以及存储介质 |
| CN113271218B (zh) * | 2020-02-17 | 2023-03-21 | 中国电信股份有限公司 | Vpn业务配置方法、系统、编排器以及存储介质 |
| CN113194160A (zh) * | 2021-04-22 | 2021-07-30 | 西安交通大学 | 一种大跨域ip地址快速动态切换系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1231024C (zh) | 2005-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1231024C (zh) | 基于动态ip地址的虚拟专用网实现方法及系统 | |
| US6308213B1 (en) | Virtual dial-up protocol for network communication | |
| EP1735985B1 (en) | A method, network element and system for providing security of a user session | |
| EP1370040B1 (en) | A method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server | |
| CN100456729C (zh) | 个人远程防火墙 | |
| US7734789B2 (en) | Method and device for tunnel switching | |
| US6754712B1 (en) | Virtual dial-up protocol for network communication | |
| US7325058B1 (en) | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites | |
| US6874030B1 (en) | PPP domain name and L2TP tunnel selection configuration override | |
| US20040243710A1 (en) | Method of user data exchange in the data network and a data network | |
| US20040205188A1 (en) | Distributed server functionality for emulated lan | |
| Cohen | On the establishment of an access VPN in broadband access networks | |
| GB2366163A (en) | Inter-network connection through intermediary server | |
| CN1781099A (zh) | 在公共热点中的客户终端的自动配置 | |
| JP2004505383A (ja) | 分散ネットワーク認証およびアクセス制御用システム | |
| CN101309284A (zh) | 一种远程接入的通信方法、设备和系统 | |
| CN101102291A (zh) | 基于pppoe代理功能实现用户接入互联网的方法 | |
| EP1168718B1 (en) | Method and device to communicate with a device not belonging to the same virtual private network | |
| WO2001041392A2 (en) | Virtual private network selection | |
| CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| WO1998054913A1 (en) | A method and arrangement in communication networks for managing user related features through a user interface | |
| Cisco | Overview of Access VPNs and Tunneling Technologies | |
| Cisco | Configuring Virtual Private Dialup Networks | |
| Cisco | Configuring RADIUS | |
| CN1118171C (zh) | 应用于虚拟私有网络的存取中继器的随选系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051207 Termination date: 20130816 |