CN1553642A - 一种建立虚拟专用网络的方法 - Google Patents
一种建立虚拟专用网络的方法 Download PDFInfo
- Publication number
- CN1553642A CN1553642A CNA031363091A CN03136309A CN1553642A CN 1553642 A CN1553642 A CN 1553642A CN A031363091 A CNA031363091 A CN A031363091A CN 03136309 A CN03136309 A CN 03136309A CN 1553642 A CN1553642 A CN 1553642A
- Authority
- CN
- China
- Prior art keywords
- vpn
- information
- dynamic
- network
- addressing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种建立虚拟专用网络(VPN)的方法,包括以下步骤:首先在需建立VPN的双方之间建立用于直接传输对端信息的专用物理通道;然后需建立VPN的双方各自获取自身的动态IP地址,并将所获取的动态IP地址与所需的所有VPN建立信息一起,通过专用物理通道分别传送给对方;最后需建立VPN的双方根据所收到的对方动态IP地址以及VPN建立信息建立VPN。该方法解决了在动态IP的情况下建立VPN隧道的问题。在实际应用中,企业和家庭用户可以通过本地接入互联网与远端网络随时建立VPN隧道,达到与使用专线同等的通讯效果。
Description
技术领域
本发明涉及虚拟专用网络的技术,特别是指一种建立虚拟专用网络的方法。
背景技术
随着网络的日益普及,公司各分支机构之间为了共享商业数据,需要将各分支机构联网,在保证数据存储和传输安全的前提下共享数据。为达此目的,企业各分支机构之间除了租用专线实现互联以外,还可以直接通过公共网络建立虚拟专用网。虚拟专用网(VPN)就是利用公共数据网络,通过隧道技术等手段将公共网络虚拟成专用网,从而实现类似私有专网的安全的数据传输。
通常情况下,企业分支机构通过拨号或宽带上网,都具有唯一的公网地址,通过路由器等设备,可以在两个分支机构之间建立一个VPN隧道。如图1所示,要在路由器A和B上实现VPN的功能,就必须使用固定的IP地址配置,即路由器A和路由器B必须互相知道对方的公网IP地址。一旦配置完成,路由器A和路由器B的公网IP地址不能发生变化,否则就不能建立VPN隧道。
目前出现了一种不需要两端IP地址都固定的解决方案,即在建立VPN的用户之间,只需其中一个用户有固定的公网IP地址。通常,企业中心网络使用固定的IP地址接入公共网络,分支机构使用由国际互联网服务提供商(ISP)随机分配的动态IP地址接入公共网络。当分支机构需要和中心网络建立VPN时,由分支网络主动向中心网络的固定IP地址发起VPN连接。中心网络在进行安全认证以后,使用连接报文的源IP地址作为VPN隧道对端地址,进行后续的VPN建立协商过程。这样,通过动态IP地址端来发起连接,就可以实现与中心网络建立VPN的目的。
但是,上述解决方案一般只能用于一个中心对应一个或多个分支的情况,其前提是中心网络具有固定的IP地址,而且该方案只能单向建立VPN,即必须通过动态IP地址端向固定IP地址端发起连接,所以其使用范围有限。对于需建立VPN的两端都是动态IP地址,或是两端都需要发起连接的情况,上述方法无法使用。
发明内容
有鉴于此,本发明的主要目的在于提供一种建立虚拟专用网络的方法,使其能实现两端都是动态IP地址或两端都需要发起连接的情况下VPN的建立。
为达到上述目的,本发明的技术方案是这样实现的:
一种建立虚拟专用网络的方法,包括以下步骤:
a、在需建立VPN的双方之间建立用于直接传输对端信息的专用物理通道;
b、需建立VPN的双方各自获取自身的动态IP地址,并将所获取的动态IP地址与所需的所有VPN建立信息一起,通过专用物理通道分别传送给对方;
c、需建立VPN的双方根据所收到的对方动态IP地址以及VPN建立信息建立VPN。
步骤a中所述的专用物理通道为拨号线路、或为专线、或为无线通路。
所述专线为综合业务数据网(ISDN)中的一个B信道。
所述动态IP地址为需建立VPN方通过广域网接口从IP网络实时获得的公网IP地址。
所述步骤b进一步包括:需建立VPN的双方在收到对方的动态IP地址和VPN建立信息后,判断对方是否为合法的VPN对端,如果是则执行步骤c,否则结束本动态VPN建立流程。
在建立VPN后,关闭用于传输对端信息的专用物理通道。
在建立VPN后,判断VPN中是否有流量,如果VPN中没有流量,则自动拆除VPN;否则,继续VPN正常通信和VPN流量判断。
所述的VPN建立信息至少包括进行协商的本地信息和认证信息。
所述建立VPN的协议可采用普通路由封装协议(GRE)、或IP安全协议(IPSec)
由于本发明在需要建立VPN的两端采用单独的通道来传递建立VPN所需的信息,因此与现有技术相比,本发明在两端都是动态IP地址或两端都需要发起连接的情况下,也可以方便的建立VPN隧道。在实际应用中,企业和家庭用户可以通过本地接入互联网与远端网络随时建立VPN隧道,达到与使用专线同等的通讯效果,而成本只有使用专线的几十到几百分之一。可见,本发明在实现动态建立VPN的同时,还大大降低了组建网络的成本。
附图说明
图1为现有技术应用方案的结构示意图;
图2为本发明的实现结构示意图;
图3为本发明一实施例的具体操作流程图。
具体实施方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
由于VPN协议发起协商的前提是:在建立VPN的过程中,必须知道要建立VPN双方的公网IP地址,但在双方都是动态IP地址的情况下,一般无法知道对端IP地址。本发明的原理就是:通过单独的物理通道来传送建立VPN所需的对端信息,从而在两端都是动态IP地址或两端都需要发起连接的情况下也能建立VPN。
图2是应用本发明的系统组成结构示意图。在分别连接两个局域网的设备A和设备B之间,建立一条专用的物理链路进行连接,用来传递建立VPN所需的信息,该物理链路可称为副线路。当设备A所连接的局域网需要访问设备B所连接的局域网时,设备A通过公共网络获取动态IP地址,并通过副线路将自身的动态IP地址等建立VPN所需的信息传送给设备B,设备B接收信息后进行确认,若确认设备A为合法对端,则将设备B自身的动态IP地址等建立VPN所需的信息也传送给设备A。当要建立VPN的双方都通过副线路获取了对端信息以后,则通过公共网络建立VPN。建立VPN后,可关闭副线路,也可选择不关闭。
在上述获取对端地址的过程中,也可以是设备B通过公共网络获取动态IP地址,并通过副线路将自身的动态IP地址等建立VPN所需的信息传送给设备A,设备A接收信息后进行确认,若确定设备B为合法对端,则将自身的动态IP地址等建立VPN所需的信息也传送给设备B。
在上述过程中,每个需建立VPN的设备通过广域网(WAN)接口与IP网络相连,并与IP网络交换信息,以获取由IP网络提供的公网IP地址,并将此公网IP地址作为自身的动态IP地址。
基于图2所示的组网结构,本发明一实施例的具体操作如图3所示,包括以下步骤:
步骤301,设备A启用WAN线路,通过WAN接口获取接入服务商提供的公网IP地址,并将该IP地址作为自身的动态IP地址。
步骤302~303,设备A启动副线路,并通过副线路把自身的动态IP地址、一些协商的本地信息及认证信息等建立VPN所需的信息传送给设备B。
步骤304~305,设备B接收设备A传送的信息后,根据接收的信息判断设备A是否为合法VPN对端,若是则执行步骤306;否则,结束本流程。
步骤306,设备B启用WAN线路,从WAN接口获取公网IP地址,把所获取的IP地址作为自身的动态IP地址,并将自身的动态IP地址等建立VPN所需的信息返回给设备A。
步骤307,双方确认对端和自己的动态IP地址后,开始建立VPN。这里,建立VPN的协议可采用普通路由封装协议(GRE)、或IP安全协议(IPSec)等协议。此时,可选择是否关闭副线路。至此,设备A、B所连接的局域网可以相互访问。而且,上述过程并不影响各局域网对公网的正常访问。
在建立VPN后,本实施例可进一步包括步骤308和309:
步骤308~309,判断VPN中是否有流量,若VPN中没有流量则自动拆除VPN;否则,不拆除VPN,继续进行是否有流量的判断。
本实施例中所述的副线路可以是拨号线路、专线或是无线通路等等。在实际应用中,可以针对具体网络环境选用不同的物理介质实现副线路的功能,举两个简单的例子:
1.对于综合服务数字网(ISDN)拨号上网用户,可以使用一个B信道上网,利用另一个B信道充当副线路的角色。待VPN建好后,用作副线路的B信道挂断远程连接,再参与到本地流量转发中。这样,可以把普通的ISDN上网通道变成128K的专线使用。
2.对于目前由路由器支持的非对称数字用户环线(ADSL)接口,可以再通过一个串口连接一个普通的调制解调器(modem),用拨号线路充当副线路的角色。待VPN建立后,挂断拨号线路,通过ADSL建立的VPN进行通讯。
在上述实施例中的设备A、B可以是路由器,也可以是VPN设备或其它网络设备。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1、一种建立虚拟专用网络的方法,其特征在于包括以下步骤:
a、在需建立VPN的双方之间建立用于直接传输对端信息的专用物理通道;
b、需建立VPN的双方各自获取自身的动态IP地址,并将所获取的动态IP地址与所需的所有VPN建立信息一起,通过专用物理通道分别传送给对方;
c、需建立VPN的双方根据所收到的对方动态IP地址以及VPN建立信息建立VPN。
2、根据权利要求1所述的方法,其特征在于:步骤a中所述的专用物理通道为拨号线路、或为专线、或为无线通路。
3、根据权利要求2所述的方法,其特征在于:所述专线为综合业务数据网(ISDN)中的一个B信道。
4、根据权利要求1所述的方法,其特征在于:所述动态IP地址为需建立VPN方通过广域网接口从IP网络实时获得的公网IP地址。
5、根据权利要求1所述的方法,其特征在于所述步骤b进一步包括:需建立VPN的双方在收到对方的动态IP地址和VPN建立信息后,判断对方是否为合法的VPN对端,如果是则执行步骤c,否则结束本动态VPN建立流程。
6、根据权利要求1所述的方法,其特征在于该方法进一步包括:在建立VPN后,关闭用于传输对端信息的专用物理通道。
7、根据权利要求1所述的方法,其特征在于该方法进一步包括:在建立VPN后,判断VPN中是否有流量,如果VPN中没有流量,则自动拆除VPN;否则,继续VPN正常通信和VPN流量判断。
8、根据权利要求1所述的方法,其特征在于:所述的VPN建立信息至少包括进行协商的本地信息和认证信息。
9、根据权利要求1所述的方法,其特征在于:所述建立VPN的协议可采用普通路由封装协议(GRE)、或IP安全协议(IPSec)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031363091A CN1319336C (zh) | 2003-05-26 | 2003-05-26 | 一种建立虚拟专用网络的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031363091A CN1319336C (zh) | 2003-05-26 | 2003-05-26 | 一种建立虚拟专用网络的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1553642A true CN1553642A (zh) | 2004-12-08 |
| CN1319336C CN1319336C (zh) | 2007-05-30 |
Family
ID=34323288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031363091A Expired - Fee Related CN1319336C (zh) | 2003-05-26 | 2003-05-26 | 一种建立虚拟专用网络的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1319336C (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101511117B (zh) * | 2009-04-08 | 2010-11-10 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、系统和设备 |
| CN102377630A (zh) * | 2011-10-13 | 2012-03-14 | 华为技术有限公司 | 基于流量工程隧道的虚拟专用网络实现方法及系统 |
| CN102598591A (zh) * | 2009-11-06 | 2012-07-18 | 微软公司 | 采用用于保护跨网络的连接的覆盖 |
| CN101557337B (zh) * | 2009-05-04 | 2012-08-29 | 成都市华为赛门铁克科技有限公司 | 网络隧道建立方法、数据传输方法、通讯系统及相关设备 |
| CN103475563A (zh) * | 2013-09-28 | 2013-12-25 | 上海成业智能科技股份有限公司 | 非固定ip地址的公网vpn实施方法及监控系统 |
| CN103647853A (zh) * | 2013-12-04 | 2014-03-19 | 华为技术有限公司 | 一种在VxLAN中发送ARP报文发送方法、VTEP及VxLAN控制器 |
| CN103944795A (zh) * | 2013-01-18 | 2014-07-23 | 正文科技股份有限公司 | 虚拟私有网络通信系统、路由装置及其方法 |
| CN104301567A (zh) * | 2014-08-25 | 2015-01-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种网络通话方法及系统 |
| CN104993995A (zh) * | 2015-07-15 | 2015-10-21 | 上海地面通信息网络有限公司 | 基于gre路由封装的城市之间虚拟专线控制装置 |
| US9510255B2 (en) | 2011-11-08 | 2016-11-29 | Huawei Technologies Co., Ltd. | Network handover method and apparatus |
| CN111083091A (zh) * | 2018-10-19 | 2020-04-28 | 中兴通讯股份有限公司 | 一种隧道的创建方法、装置及存储介质 |
| CN111245968A (zh) * | 2018-11-28 | 2020-06-05 | 广州开信通讯系统有限公司 | 一种通信系统以及ip组网方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833167B (zh) * | 2012-08-28 | 2016-01-20 | 瑞斯康达科技发展股份有限公司 | 局域网间数据传输方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1093253A3 (de) * | 1999-10-16 | 2002-08-21 | Elsa AG | Virtuelles privates Netzwerk |
| JP2002374249A (ja) * | 2001-06-14 | 2002-12-26 | Hitachi Ltd | 動的仮想私設網設定及び解除方式 |
| WO2003003664A1 (en) * | 2001-06-27 | 2003-01-09 | Hyglo Ab | System and method for address and key distribution in virtual networks |
-
2003
- 2003-05-26 CN CNB031363091A patent/CN1319336C/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101511117B (zh) * | 2009-04-08 | 2010-11-10 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、系统和设备 |
| CN101557337B (zh) * | 2009-05-04 | 2012-08-29 | 成都市华为赛门铁克科技有限公司 | 网络隧道建立方法、数据传输方法、通讯系统及相关设备 |
| CN102598591A (zh) * | 2009-11-06 | 2012-07-18 | 微软公司 | 采用用于保护跨网络的连接的覆盖 |
| CN102377630A (zh) * | 2011-10-13 | 2012-03-14 | 华为技术有限公司 | 基于流量工程隧道的虚拟专用网络实现方法及系统 |
| US9510255B2 (en) | 2011-11-08 | 2016-11-29 | Huawei Technologies Co., Ltd. | Network handover method and apparatus |
| CN103944795A (zh) * | 2013-01-18 | 2014-07-23 | 正文科技股份有限公司 | 虚拟私有网络通信系统、路由装置及其方法 |
| CN103944795B (zh) * | 2013-01-18 | 2017-10-27 | 正文科技股份有限公司 | 虚拟私有网络通信系统、路由装置及其方法 |
| CN103475563A (zh) * | 2013-09-28 | 2013-12-25 | 上海成业智能科技股份有限公司 | 非固定ip地址的公网vpn实施方法及监控系统 |
| CN103647853A (zh) * | 2013-12-04 | 2014-03-19 | 华为技术有限公司 | 一种在VxLAN中发送ARP报文发送方法、VTEP及VxLAN控制器 |
| CN103647853B (zh) * | 2013-12-04 | 2018-07-03 | 华为技术有限公司 | 一种在VxLAN中发送ARP报文发送方法、VTEP及VxLAN控制器 |
| CN104301567A (zh) * | 2014-08-25 | 2015-01-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种网络通话方法及系统 |
| CN104993995A (zh) * | 2015-07-15 | 2015-10-21 | 上海地面通信息网络有限公司 | 基于gre路由封装的城市之间虚拟专线控制装置 |
| CN111083091A (zh) * | 2018-10-19 | 2020-04-28 | 中兴通讯股份有限公司 | 一种隧道的创建方法、装置及存储介质 |
| CN111245968A (zh) * | 2018-11-28 | 2020-06-05 | 广州开信通讯系统有限公司 | 一种通信系统以及ip组网方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1319336C (zh) | 2007-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1535449B1 (en) | System and method for dynamic simultaneous connection to multiple service providers | |
| US6381646B2 (en) | Multiple network connections from a single PPP link with partial network address translation | |
| US6490289B1 (en) | Multiple network connections from a single PPP link with network address translation | |
| US9756011B2 (en) | System and method for logging communications | |
| US7586885B2 (en) | VoIP wireless telephone system and method utilizing wireless LAN | |
| CN101350759B (zh) | 一种报文处理方法、业务板、接口板及网络通信设备 | |
| CN1553642A (zh) | 一种建立虚拟专用网络的方法 | |
| US7362745B1 (en) | End-user systems for communication services over peer-to-peer internet protocol connections between service providers | |
| JP5192047B2 (ja) | 通信制御システム、通信システム、及び通信制御方法 | |
| WO2001015397A1 (en) | On-demand connection system for internet services | |
| KR20040075380A (ko) | 억세스 가상 사설망의 데이터 암호화 방법 | |
| CN101478835A (zh) | 基于1X EvDO-WiFi无线路由器的VoWLAN系统 | |
| CN102546407B (zh) | 报文发送方法及装置 | |
| CA2458917C (en) | Providing end-user communication services over peer-to-peer internet protocol connections between service providers | |
| EP1418733B1 (fr) | Procédé pour attribuer à un terminal un idientifiant de réseau virtuel, terminal et serveur de configuration dynamique d'un hôte pour la mise en oeuvre de ce procédé | |
| CN1947455A (zh) | 支持无线台站之后的网络 | |
| CN100407721C (zh) | 基于二层隧道协议的网络服务器支持多实例的方法 | |
| KR100604566B1 (ko) | 세션 에이전트를 이용한 vpn 서비스 제공방법 | |
| US7966385B2 (en) | Methods and apparatus for virtual network configuration | |
| KR100598336B1 (ko) | 서비스 게이트웨이를 이용한 인터넷 vpn서비스 제공방법 | |
| Cisco | Overview of Access VPNs and Tunneling Technologies | |
| CN101572729B (zh) | 一种虚拟专用网节点信息的处理方法及相关设备、系统 | |
| WO2007048023A2 (en) | A method and system for device mobility using application label switching in a mobile communication network | |
| US7443865B1 (en) | Multiple network connections from a single PPP link with network address translation | |
| CN101197835A (zh) | 虚拟专用网接入方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070530 Termination date: 20150526 |
|
| EXPY | Termination of patent right or utility model |