[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN115941389A - 一种实现IPSec VPN二层组网的方法及IPSec VPN网关 - Google Patents

一种实现IPSec VPN二层组网的方法及IPSec VPN网关 Download PDF

Info

Publication number
CN115941389A
CN115941389A CN202211425941.0A CN202211425941A CN115941389A CN 115941389 A CN115941389 A CN 115941389A CN 202211425941 A CN202211425941 A CN 202211425941A CN 115941389 A CN115941389 A CN 115941389A
Authority
CN
China
Prior art keywords
ipsec
vpn
virtual
gateway
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211425941.0A
Other languages
English (en)
Inventor
罗俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Quantum Technology Co ltd
Original Assignee
China Telecom Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Quantum Technology Co ltd filed Critical China Telecom Quantum Technology Co ltd
Priority to CN202211425941.0A priority Critical patent/CN115941389A/zh
Publication of CN115941389A publication Critical patent/CN115941389A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种实现IPSec VPN二层组网的方法和VPN网关,方法包括:在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换。本发明通过在IPSec VPN网关设备中运行虚拟交换机,建立虚拟VPN隧道接口并结合GRE封装,实现了一种IPSec二层组网方案。

Description

一种实现IPSec VPN二层组网的方法及IPSec VPN网关
技术领域
本发明属于密码应用领域,特别属于VPN安全组网领域。
背景技术
一般情况下,要实现企业总部和各分支机构网络的安全组网互联,IPSec VPN(虚拟私有网,virtual private network))是部署最为广泛的主流技术,能够在充分保障数据机密性和完整性的基础上实现企业私有网络的异地互联。对于基于IP协议的三层网络,IPSec VPN组网同时具备安全性、灵活性和业务透明性,优势明显。
三层组网,要进行路由、网关等诸多配置,要对不同的IP网段和网关IP进行全网统一的规划和分配,不同网段的设备之间的通信需要通过复杂的路由协议等手段进行路由寻址才能进行,二层组网,就是将不同网段的设备连接成一个大的局域网,可以统一采用DHCP等自动的地址分配方法或者简单无重复的地址登记手段即可,无需进行复杂繁琐的网络规划和IP地址分配,无需运行复杂的路由协议进行一层层的转发。
在一些需要二层组网的环境中,IPSec VPN的部署使用存在很大障碍:
1、IPSec VPN的安全策略和安全关联等参数配置都是基于IP地址等五元组信息,具体数据报文处理也是基于IP地址等五元组信息,而二层组网是基于数据报文的二层帧头信息进行,IP地址等五元组信息不参与组网。
2、二层组网过程中涉及到大量的承载控制信令的非IP报文需要在各节点之间进行交换,IPSec VPN无法处理非IP报文。
3、IPSec VPN基于IP地址进行路由寻址,无法根据二层帧头信息进行寻址,也就无法进行数据报文的封装和发送。
发明内容
本发明所要解决的技术问题在于如何实现IPSec VPN二层组网。
本发明通过以下技术手段实现解决上述技术问题的:一种实现IPSec VPN二层组网的方法,包括:在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换。
作为本发明进一步的技术方案,所述统一规划并分配的IP地址仅用于区分虚拟VPN隧道接口和构建GRE通道,不在内外部网络进行路由。
作为本发明进一步的技术方案,可互联的IPSec VPN网关之间分别有一个虚拟VPN隧道接口两两对应,互为GRE通道的目的IP。
作为本发明进一步的技术方案,所述实现IPSec VPN二层组网的方法还包括在IPSec VPN网关设备上运行密钥协商模块的步骤,为IPSec VPN网关设备上每个虚拟VPN隧道接口,与该虚拟VPN隧道接口对应的外部IPSec VPN网关协商一对IPSec安全关联,该虚拟VPN隧道接口与该安全关联绑定。
作为本发明进一步的技术方案,所述虚拟机交换机的端口数等于IPSec VPN网关设备的内部物理网络接口及虚拟VPN隧道接口的数量之和,每个虚拟交换机接口连接一个内部物理网络接口或虚拟VPN隧道接口。
作为本发明进一步的技术方案,还包括设置IPSec VPN网关设备的内部物理网络接口为混杂模式的步骤。
作为本发明进一步的技术方案,实现各VPN网关所连接网络之间的二层数据交换包括:
将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备;以及
从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSec VPN网关的二层数据帧。
作为本发明进一步的技术方案,将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备包括:
将内部物理网络接口接收到的本网关所在网络区域的二层数据帧送入虚拟交换机;
虚拟机交换机通过连接内部物理网络接口的端口收到内部网络的二层数据帧,对于其中的组播或广播数据帧进行泛洪转发;
虚拟VPN隧道接口将从本接口所连接的虚拟交换机端口转发的二层数据帧首先调用GRE封装/解封模块进行GRE封装为IP报文,该GRE报文的源IP为虚拟VPN隧道接口的IP地址,目的IP为该虚拟VPN隧道接口对应的外部IPSec VPN的对应虚拟VPN隧道接口IP地址,然后根据本接口对应的安全关联信息,调用IPSec数据处理模块进行IPSec协议封装和加密校验处理,然后发送到对应的外部IPSec VPN设备。
作为本发明进一步的技术方案,从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSec VPN网关的二层数据帧包括:
IPSec VPN网关设备从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文,调用IPSec数据处理模块进行完整性验证和解密解封装处理,恢复为GRE报文,根据GRE报文的目的IP地址选择对应的虚拟VPN隧道接口,然后调用GRE封装/解封模块进行GRE解封,恢复二层数据帧后从与该虚拟VPN隧道接口连接的虚拟交换机端口转发到虚拟交换机;
虚拟交换机通过连接虚拟VPN隧道接口的端口收到其他IPSec VPN网关发送到本IPSec VPN网关的二层数据帧,根据数据帧的不同类型进行泛洪转发。
作为本发明进一步的技术方案,所述泛洪转发是将该数据帧转发到接收端口之外的每一个端口,对于有确定目的MAC地址的单播数据帧,根据端口和目的MAC的映射关系选择转发端口进行以太帧转发,同时记录接收数据帧的端口和源MAC的映射关系。
作为本发明进一步的技术方案,对于星型组网类型,中心端IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时将该数据帧转发到接收端口之外的每一个端口,分支节点的IPSec VPN网关对组播或广播数据帧进行泛洪转发时只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口;
对于网状结构组网类型,各IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时,只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口。
本发明还提供一种执行上述任一方案所述实现IPSec VPN二层组网的方法的IPSec VPN网关,包括:
虚拟交换机:与各个内部物理网络接口和虚拟VPN隧道接口连接,模拟二层交换机,对组播和广播报文进行泛洪转发,建立接口和MAC的映射表并根据映射关系进行以太帧转发;
IPSec数据处理模块:根据IPSec安全关联信息对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证等具体的IPSec安全报文协议处理;
GRE封装/解封模块:利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理;
虚拟VPN隧道接口:与虚拟交换机和外部物理网络接口连接,用于调用GRE封装/解封模块进行GRE封装或解封,以及调用IPSec数据处理模块进行数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证。
作为本发明进一步的技术方案,所述IPSec VPN网关还包括密钥协商模块:基于IKE协议进行IPSec VPN密钥协商,与每个可连接的外部VPN网关协商一对IPSec安全关联,并与对应的虚拟VPN隧道接口绑定。
本发明的优点在于:本方法通过在IPSec VPN网关设备中运行虚拟交换机,建立虚拟VPN隧道接口并结合GRE封装,实现了一种IPSec二层组网方案。和现有技术相比,主要创造性在于:
1.在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,并结合GRE封装,实现二层数据帧的端到端加密传输;
2.在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和外部虚拟VPN隧道接口,并通过GRE+IPSec隧道封装,实现各VPN网关所连接网络之间的二层数据交换,从而实现各VPN网关所连接网络的大二层安全组网。
附图说明
图1是本发明实施例的IPSec VPN网关系统架构图;
图2是本发明实施例实现IPSec VPN二层组网的方法流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种实现IPSec VPN二层组网的方法,通过在IPSec VPN网关设备中运行虚拟交换机,建立虚拟VPN隧道接口并结合GRE(通用路由封装,Generic RoutingEncapsulation)封装,实现了一种IPSec(特网协议安全,Internet Protocol Security)二层组网方案。
上述方法中使用到实现IPSec VPN二层组网的VPN网关,该VPN网关包括:
虚拟交换机:与各个内部物理网络接口和虚拟VPN隧道接口连接,模拟二层交换机,对组播和广播报文进行泛洪转发,建立接口和MAC的映射表并根据映射关系进行以太帧转发,虚拟交换机(VS,virtual switch)是在网络设备上通过配置生成的功能实体,它能够完成以太网交换机的功能,虚拟交换机是一种实现虚拟私用网(VPN)的技术手段,在一台网络设备上可以划分出多个虚拟交换机,每个虚拟交换机可以实现虚拟私有局域网段(VPLS)业务,虚拟交换机本身是一个成熟的技术;
IPSec数据处理模块:根据IPSec安全关联信息对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证等具体的IPSec安全报文协议处理;
GRE封装/解封模块:利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理;
虚拟VPN隧道接口:与虚拟交换机和外部物理网络接口连接,将从虚拟交换机进入本接口的二层数据帧首先调用GRE封装/解封模块进行GRE封装为IP报文,然后根据本虚拟VPN隧道接口对应的IPSec安全关联信息调用IPSec数据处理模块进行封装和加密校验处理后转发出外部VPN网关,将从外部VPN网关进入本VPN网关并且和本虚拟VPN隧道接口关联(根据IP地址信息和IPSec安全关联信息判断)的IPSec数据报文调用IPSec数据处理模块进行完整性验证和解密解封装处理,然后调用GRE封装/解封模块进行GRE解封,恢复二层数据帧后转发到虚拟交换机;
密钥协商模块:基于IKE协议进行IPSec VPN密钥协商,与每个可连接的外部VPN网关协商一对IPSec安全关联(含会话密钥),并与对应的虚拟VPN隧道接口绑定。
实现IPSec VPN二层组网的方法包括:
在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换,从而实现各VPN网关所连接网络的大二层安全组网。
本申请的关键点在于利用虚拟交换机、虚拟VPN隧道接口和GRE封装技术,将相关的IPSec VPN设备接入二层的交换域,使得全网的IPSec VPN设备所保护的网络可以连接成一个大的局域网,远程的用户之间的通信可以像在同一个局域网一样方便,而且远程传输的数据得到IPSec VPN的保护。
具体的,包括下述步骤:
S1:在IPSec VPN网关设备上,对应于每个可连接的外部IPSec VPN网关设备,建立一个虚拟VPN隧道接口并与该外部IPSec VPN网关绑定。所有IPSec VPN网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,该类IP地址仅用于区分虚拟VPN隧道接口和构建GRE通道,不在内外部网络进行路由。可互联的IPSec VPN网关之间分别有一个虚拟VPN隧道接口两两对应,互为GRE通道的目的IP;
S2:在IPSec VPN网关设备上运行密钥协商模块,为IPSec VPN网关设备上每个虚拟VPN隧道接口,与该虚拟VPN隧道接口对应的外部IPSec VPN网关协商一对IPSec安全关联(含会话密钥),协商成功后安全关联被存储在IPSec数据处理模块中或存储在虚拟VPN隧道接口中由IPSec数据处理模块调用,该虚拟VPN隧道接口与该安全关联绑定;
S3:运行虚拟交换机,虚拟机交换机的端口数等于IPSec VPN网关设备的内部物理网络接口及虚拟VPN隧道接口的数量之和,每个虚拟交换机接口连接一个内部物理网络接口或虚拟VPN隧道接口;
S4:设置IPSec VPN网关设备的内部物理网络接口为混杂模式,将内部物理网络接口接收到的本网关所在网络区域的二层数据帧送入虚拟交换机;
S5:虚拟机交换机通过连接内部物理网络接口的端口收到内部网络的二层数据帧,对于其中的组播或广播数据帧进行泛洪转发,即将该数据帧转发到接收端口之外的每一个端口,对于有确定目的MAC地址的单播数据帧,根据端口和目的MAC的映射关系选择转发端口进行以太帧转发,同时记录接收数据帧的端口和源MAC的映射关系;
S6:虚拟VPN隧道接口将从本接口所连接的虚拟交换机端口转发的二层数据帧首先调用GRE封装/解封模块进行GRE封装为IP报文,该GRE报文的源IP为虚拟VPN隧道接口的IP地址,目的IP为该虚拟VPN隧道接口对应的外部IPSec VPN的对应虚拟VPN隧道接口IP地址。然后根据本接口对应的安全关联信息,调用IPSec数据处理模块进行IPSec协议封装和加密校验处理,然后发送到对应的外部IPSec VPN设备;
S7:IPSec VPN网关设备从外部网络接口接受其他IPSec VPN网关发送到本IPSecVPN网关的IPSec数据报文,调用IPSec数据处理模块进行完整性验证和解密解封装处理,恢复为GRE报文,根据GRE报文的目的IP地址选择对应的虚拟VPN隧道接口,然后调用GRE封装/解封模块进行GRE解封,恢复二层数据帧后从与该虚拟VPN隧道接口连接的虚拟交换机端口转发到虚拟交换机;
S8:虚拟交换机通过连接虚拟VPN隧道接口的端口收到其他IPSec VPN网关发送到本IPSec VPN网关的二层数据帧,根据数据帧的不同类型进行如步骤S5所述的泛洪、转发和MAC映射关系记录等操作。对于有确定目的MAC地址的单播数据帧,根据端口和目的MAC的映射关系选择转发端口进行以太帧转发,同时记录接收数据帧的端口和源MAC的映射关系。对于星型组网类型,中心端IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时将该数据帧转发到接收端口之外的每一个端口,分支节点的IPSec VPN网关对组播或广播数据帧进行泛洪转发时只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口。对于网状结构组网类型(Mesh),各IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时,只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (13)

1.一种实现IPSec VPN二层组网的方法,其特征在于:包括:在IPSec VPN网关设备上,为每个可连接的外部VPN网关建立一个虚拟VPN隧道接口,所有网关设备的所有虚拟VPN隧道接口统一规划并分配IP地址,在IPSec VPN网关设备中运行虚拟交换机,连接网关的内部物理网络接口和内部虚拟VPN隧道接口,并结合GRE封装/解封模块,利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理,根据接口对应的IPSec安全关联信息调用IPSec数据处理模块对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证,实现各VPN网关所连接网络之间的二层数据交换。
2.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:所述统一规划并分配的IP地址仅用于区分虚拟VPN隧道接口和构建GRE通道,不在内外部网络进行路由。
3.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:可互联的IPSec VPN网关之间分别有一个虚拟VPN隧道接口两两对应,互为GRE通道的目的IP。
4.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:还包括在IPSec VPN网关设备上运行密钥协商模块的步骤,为IPSec VPN网关设备上每个虚拟VPN隧道接口,与该虚拟VPN隧道接口对应的外部IPSec VPN网关协商一对IPSec安全关联,该虚拟VPN隧道接口与该安全关联绑定。
5.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:所述虚拟机交换机的端口数等于IPSec VPN网关设备的内部物理网络接口及虚拟VPN隧道接口的数量之和,每个虚拟交换机接口连接一个内部物理网络接口或虚拟VPN隧道接口。
6.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:还包括设置IPSec VPN网关设备的内部物理网络接口为混杂模式的步骤。
7.如权利要求1所述的一种实现IPSec VPN二层组网的方法,其特征在于:实现各VPN网关所连接网络之间的二层数据交换包括:
将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备;以及
从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSec VPN网关的二层数据帧。
8.如权利要求7所述的一种实现IPSec VPN二层组网的方法,其特征在于:将内部物理网络接口接收到的本网关所在网络区域的二层数据帧发送到对应的外部IPSec VPN设备包括:
将内部物理网络接口接收到的本网关所在网络区域的二层数据帧送入虚拟交换机;
虚拟机交换机通过连接内部物理网络接口的端口收到内部网络的二层数据帧,对于其中的组播或广播数据帧进行泛洪转发;
虚拟VPN隧道接口将从本接口所连接的虚拟交换机端口转发的二层数据帧首先调用GRE封装/解封模块进行GRE封装为IP报文,该GRE报文的源IP为虚拟VPN隧道接口的IP地址,目的IP为该虚拟VPN隧道接口对应的外部IPSec VPN的对应虚拟VPN隧道接口IP地址,然后根据本接口对应的安全关联信息,调用IPSec数据处理模块进行IPSec协议封装和加密校验处理,然后发送到对应的外部IPSec VPN设备。
9.如权利要求7所述的一种实现IPSec VPN二层组网的方法,其特征在于:从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文发送到本IPSecVPN网关的二层数据帧包括:
IPSec VPN网关设备从外部网络接口接受其他IPSec VPN网关发送到本IPSec VPN网关的IPSec数据报文,调用IPSec数据处理模块进行完整性验证和解密解封装处理,恢复为GRE报文,根据GRE报文的目的IP地址选择对应的虚拟VPN隧道接口,然后调用GRE封装/解封模块进行GRE解封,恢复二层数据帧后从与该虚拟VPN隧道接口连接的虚拟交换机端口转发到虚拟交换机;
虚拟交换机通过连接虚拟VPN隧道接口的端口收到其他IPSec VPN网关发送到本IPSecVPN网关的二层数据帧,根据数据帧的不同类型进行泛洪转发。
10.如权利要求8或9所述的一种实现IPSec VPN二层组网的方法,其特征在于:
所述泛洪转发是将该数据帧转发到接收端口之外的每一个端口,对于有确定目的MAC地址的单播数据帧,根据端口和目的MAC的映射关系选择转发端口进行以太帧转发,同时记录接收数据帧的端口和源MAC的映射关系。
11.如权利要求10所述的一种实现IPSec VPN二层组网的方法,其特征在于:对于星型组网类型,中心端IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时将该数据帧转发到接收端口之外的每一个端口,分支节点的IPSec VPN网关对组播或广播数据帧进行泛洪转发时只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口;
对于网状结构组网类型,各IPSec VPN网关对收到的组播或广播数据帧进行泛洪转发时,只将该数据帧转发到接收端口和虚拟接口所连接端口之外的其他物理接口连接的端口。
12.一种执行权利要求1-11所述实现IPSec VPN二层组网的方法的IPSec VPN网关,其特征在于:包括:
虚拟交换机:与各个内部物理网络接口和虚拟VPN隧道接口连接,模拟二层交换机,对组播和广播报文进行泛洪转发,建立接口和MAC的映射表并根据映射关系进行以太帧转发;
IPSec数据处理模块:根据IPSec安全关联信息对数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证等具体的IPSec安全报文协议处理;
GRE封装/解封模块:利用IP作为承载协议,将二层数据帧整体进行IP化封装或解封去IP处理;
虚拟VPN隧道接口:与虚拟交换机和外部物理网络接口连接,用于调用GRE封装/解封模块进行GRE封装或解封,以及调用IPSec数据处理模块进行数据报文进行加解密、IPSec协议封装/解封装、完整性校验计算和验证。
13.如权利要求12所述的IPSec VPN网关,其特征在于:还包括密钥协商模块:基于IKE协议进行IPSec VPN密钥协商,与每个可连接的外部VPN网关协商一对IPSec安全关联,并与对应的虚拟VPN隧道接口绑定。
CN202211425941.0A 2022-11-15 2022-11-15 一种实现IPSec VPN二层组网的方法及IPSec VPN网关 Pending CN115941389A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211425941.0A CN115941389A (zh) 2022-11-15 2022-11-15 一种实现IPSec VPN二层组网的方法及IPSec VPN网关

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211425941.0A CN115941389A (zh) 2022-11-15 2022-11-15 一种实现IPSec VPN二层组网的方法及IPSec VPN网关

Publications (1)

Publication Number Publication Date
CN115941389A true CN115941389A (zh) 2023-04-07

Family

ID=86653151

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211425941.0A Pending CN115941389A (zh) 2022-11-15 2022-11-15 一种实现IPSec VPN二层组网的方法及IPSec VPN网关

Country Status (1)

Country Link
CN (1) CN115941389A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116800486A (zh) * 2023-06-13 2023-09-22 中科驭数(北京)科技有限公司 云网络通信方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018167539A1 (en) * 2017-03-16 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Ipsec bypass in sdn network
CN108833305A (zh) * 2018-07-17 2018-11-16 北京西普阳光教育科技股份有限公司 主机的虚拟网络架构
US20200195607A1 (en) * 2018-12-12 2020-06-18 Vmware, Inc. Static routes for policy-based vpn
US20210021523A1 (en) * 2019-07-17 2021-01-21 Vmware, Inc. Using vti teaming to achieve load balance and redundancy
US20210314415A1 (en) * 2020-04-06 2021-10-07 Vmware, Inc. Providing services at the edge of a network using selected virtual tunnel interfaces

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018167539A1 (en) * 2017-03-16 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Ipsec bypass in sdn network
CN108833305A (zh) * 2018-07-17 2018-11-16 北京西普阳光教育科技股份有限公司 主机的虚拟网络架构
US20200195607A1 (en) * 2018-12-12 2020-06-18 Vmware, Inc. Static routes for policy-based vpn
US20210021523A1 (en) * 2019-07-17 2021-01-21 Vmware, Inc. Using vti teaming to achieve load balance and redundancy
US20210314415A1 (en) * 2020-04-06 2021-10-07 Vmware, Inc. Providing services at the edge of a network using selected virtual tunnel interfaces

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张翔宇;魏国伟;: "基于GRE和IPSec的MPLS L2层VPN技术研究与实现", 网络空间安全, no. 05 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116800486A (zh) * 2023-06-13 2023-09-22 中科驭数(北京)科技有限公司 云网络通信方法及系统
CN116800486B (zh) * 2023-06-13 2024-06-07 中科驭数(北京)科技有限公司 云网络通信方法及系统

Similar Documents

Publication Publication Date Title
US7724732B2 (en) Secure multipoint internet protocol virtual private networks
US8155122B2 (en) Linking autonomous systems with dual premise routing domains
US7590123B2 (en) Method of providing an encrypted multipoint VPN service
Lasserre et al. Framework for data center (DC) network virtualization
CN103747499B (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
US8050273B2 (en) Lawful interception in IP networks
EP2227883B1 (en) Setting up a virtual private network
EP2057796B1 (en) Point-to-multipoint functionality in a bridged network
CN101515859B (zh) 一种因特网协议安全隧道传输组播的方法及设备
US20130083700A1 (en) Methods and apparatus for centralized management of access and aggregation network infrastructure
CN102739501B (zh) 二三层虚拟私有网络中的报文转发方法和系统
RU2761446C1 (ru) Система и способ для создания групповых сетей между сетевыми устройствами
WO2009135392A1 (zh) 一种信令控制的方法、系统及设备
CN107040441A (zh) 跨数据中心的数据传输方法、装置及系统
CN111200549B (zh) 一种获取路由信息的方法及装置
CN115941389A (zh) 一种实现IPSec VPN二层组网的方法及IPSec VPN网关
CN108965091B (zh) 一种基于vxlan隧道的网元管理方法及系统
US11750581B1 (en) Secure communication network
KR100728292B1 (ko) 가상 랜 네트워크 및 그 서비스 제공 방법
JP2013005143A (ja) リング型ネットワークシステム、ネットワーク管理装置及びl2スイッチ
EP1701503B1 (en) Lawful interception in IP networks
CN100401699C (zh) 利用网卡驱动在以太网上实现vlan的方法
EP1825640B1 (en) Interconnect system for supply chain management of virtual private network services
CN101098252A (zh) Ip网络中的合法监听
JP4450069B2 (ja) データ転送装置、方法及びシステム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination