專利名稱:一種建立虛擬專用網(wǎng)絡的方法
技術領域:
本發(fā)明涉及虛擬專用網(wǎng)絡的技術,特別是指一種建立虛擬專用網(wǎng)絡的方法����。
背景技術:
隨著網(wǎng)絡的日益普及���,公司各分支機構之間為了共享商業(yè)數(shù)據(jù)���,需要將各分支機構聯(lián)網(wǎng),在保證數(shù)據(jù)存儲和傳輸安全的前提下共享數(shù)據(jù)。為達此目的��,企業(yè)各分支機構之間除了租用專線實現(xiàn)互聯(lián)以外,還可以直接通過公共網(wǎng)絡建立虛擬專用網(wǎng)。虛擬專用網(wǎng)(VPN)就是利用公共數(shù)據(jù)網(wǎng)絡,通過隧道技術等手段將公共網(wǎng)絡虛擬成專用網(wǎng)��,從而實現(xiàn)類似私有專網(wǎng)的安全的數(shù)據(jù)傳輸�。
通常情況下���,企業(yè)分支機構通過撥號或寬帶上網(wǎng)���,都具有唯一的公網(wǎng)地址���,通過路由器等設備�����,可以在兩個分支機構之間建立一個VPN隧道。如圖1所示,要在路由器A和B上實現(xiàn)VPN的功能��,就必須使用固定的IP地址配置�����,即路由器A和路由器B必須互相知道對方的公網(wǎng)IP地址�����。一旦配置完成����,路由器A和路由器B的公網(wǎng)IP地址不能發(fā)生變化�,否則就不能建立VPN隧道。
目前出現(xiàn)了一種不需要兩端IP地址都固定的解決方案���,即在建立VPN的用戶之間,只需其中一個用戶有固定的公網(wǎng)IP地址�。通常,企業(yè)中心網(wǎng)絡使用固定的IP地址接入公共網(wǎng)絡���,分支機構使用由國際互聯(lián)網(wǎng)服務提供商(ISP)隨機分配的動態(tài)IP地址接入公共網(wǎng)絡��。當分支機構需要和中心網(wǎng)絡建立VPN時���,由分支網(wǎng)絡主動向中心網(wǎng)絡的固定IP地址發(fā)起VPN連接。中心網(wǎng)絡在進行安全認證以后����,使用連接報文的源IP地址作為VPN隧道對端地址,進行后續(xù)的VPN建立協(xié)商過程��。這樣���,通過動態(tài)IP地址端來發(fā)起連接�,就可以實現(xiàn)與中心網(wǎng)絡建立VPN的目的���。
但是�����,上述解決方案一般只能用于一個中心對應一個或多個分支的情況�,其前提是中心網(wǎng)絡具有固定的IP地址���,而且該方案只能單向建立VPN�����,即必須通過動態(tài)IP地址端向固定IP地址端發(fā)起連接��,所以其使用范圍有限�。對于需建立VPN的兩端都是動態(tài)IP地址,或是兩端都需要發(fā)起連接的情況�,上述方法無法使用。
發(fā)明內容
有鑒于此��,本發(fā)明的主要目的在于提供一種建立虛擬專用網(wǎng)絡的方法��,使其能實現(xiàn)兩端都是動態(tài)IP地址或兩端都需要發(fā)起連接的情況下VPN的建立���。
為達到上述目的���,本發(fā)明的技術方案是這樣實現(xiàn)的一種建立虛擬專用網(wǎng)絡的方法,包括以下步驟a�����、在需建立VPN的雙方之間建立用于直接傳輸對端信息的專用物理通道�;b、需建立VPN的雙方各自獲取自身的動態(tài)IP地址�,并將所獲取的動態(tài)IP地址與所需的所有VPN建立信息一起,通過專用物理通道分別傳送給對方��;c�、需建立VPN的雙方根據(jù)所收到的對方動態(tài)IP地址以及VPN建立信息建立VPN。
步驟a中所述的專用物理通道為撥號線路、或為專線���、或為無線通路�����。
所述專線為綜合業(yè)務數(shù)據(jù)網(wǎng)(ISDN)中的一個B信道。
所述動態(tài)IP地址為需建立VPN方通過廣域網(wǎng)接口從IP網(wǎng)絡實時獲得的公網(wǎng)IP地址�����。
所述步驟b進一步包括需建立VPN的雙方在收到對方的動態(tài)IP地址和VPN建立信息后�,判斷對方是否為合法的VPN對端,如果是則執(zhí)行步驟c���,否則結束本動態(tài)VPN建立流程�����。
在建立VPN后�����,關閉用于傳輸對端信息的專用物理通道�����。
在建立VPN后�����,判斷VPN中是否有流量�,如果VPN中沒有流量,則自動拆除VPN���;否則��,繼續(xù)VPN正常通信和VPN流量判斷�����。
所述的VPN建立信息至少包括進行協(xié)商的本地信息和認證信息�����。
所述建立VPN的協(xié)議可采用普通路由封裝協(xié)議(GRE)�����、或IP安全協(xié)議(IPSec)由于本發(fā)明在需要建立VPN的兩端采用單獨的通道來傳遞建立VPN所需的信息�����,因此與現(xiàn)有技術相比�����,本發(fā)明在兩端都是動態(tài)IP地址或兩端都需要發(fā)起連接的情況下�,也可以方便的建立VPN隧道。在實際應用中����,企業(yè)和家庭用戶可以通過本地接入互聯(lián)網(wǎng)與遠端網(wǎng)絡隨時建立VPN隧道�����,達到與使用專線同等的通訊效果�,而成本只有使用專線的幾十到幾百分之一?�?梢?,本發(fā)明在實現(xiàn)動態(tài)建立VPN的同時,還大大降低了組建網(wǎng)絡的成本�。
圖1為現(xiàn)有技術應用方案的結構示意圖;圖2為本發(fā)明的實現(xiàn)結構示意圖��;圖3為本發(fā)明一實施例的具體操作流程圖。
具體實施例方式
為使本發(fā)明的目的�����、技術方案和優(yōu)點表達得更加清楚明白�,下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明。
由于VPN協(xié)議發(fā)起協(xié)商的前提是在建立VPN的過程中�����,必須知道要建立VPN雙方的公網(wǎng)IP地址�,但在雙方都是動態(tài)IP地址的情況下,一般無法知道對端IP地址����。本發(fā)明的原理就是通過單獨的物理通道來傳送建立VPN所需的對端信息,從而在兩端都是動態(tài)IP地址或兩端都需要發(fā)起連接的情況下也能建立VPN�。
圖2是應用本發(fā)明的系統(tǒng)組成結構示意圖。在分別連接兩個局域網(wǎng)的設備A和設備B之間���,建立一條專用的物理鏈路進行連接�����,用來傳遞建立VPN所需的信息����,該物理鏈路可稱為副線路。當設備A所連接的局域網(wǎng)需要訪問設備B所連接的局域網(wǎng)時��,設備A通過公共網(wǎng)絡獲取動態(tài)IP地址�,并通過副線路將自身的動態(tài)IP地址等建立VPN所需的信息傳送給設備B,設備B接收信息后進行確認���,若確認設備A為合法對端��,則將設備B自身的動態(tài)IP地址等建立VPN所需的信息也傳送給設備A�����。當要建立VPN的雙方都通過副線路獲取了對端信息以后,則通過公共網(wǎng)絡建立VPN�����。建立VPN后�����,可關閉副線路�����,也可選擇不關閉。
在上述獲取對端地址的過程中����,也可以是設備B通過公共網(wǎng)絡獲取動態(tài)IP地址,并通過副線路將自身的動態(tài)IP地址等建立VPN所需的信息傳送給設備A���,設備A接收信息后進行確認���,若確定設備B為合法對端,則將自身的動態(tài)IP地址等建立VPN所需的信息也傳送給設備B����。
在上述過程中,每個需建立VPN的設備通過廣域網(wǎng)(WAN)接口與IP網(wǎng)絡相連����,并與IP網(wǎng)絡交換信息,以獲取由IP網(wǎng)絡提供的公網(wǎng)IP地址���,并將此公網(wǎng)IP地址作為自身的動態(tài)IP地址����。
基于圖2所示的組網(wǎng)結構,本發(fā)明一實施例的具體操作如圖3所示�,包括以下步驟步驟301,設備A啟用WAN線路�,通過WAN接口獲取接入服務商提供的公網(wǎng)IP地址,并將該IP地址作為自身的動態(tài)IP地址�。
步驟302~303,設備A啟動副線路�,并通過副線路把自身的動態(tài)IP地址、一些協(xié)商的本地信息及認證信息等建立VPN所需的信息傳送給設備B�。
步驟304~305,設備B接收設備A傳送的信息后��,根據(jù)接收的信息判斷設備A是否為合法VPN對端�,若是則執(zhí)行步驟306;否則����,結束本流程�。
步驟306,設備B啟用WAN線路��,從WAN接口獲取公網(wǎng)IP地址����,把所獲取的IP地址作為自身的動態(tài)IP地址���,并將自身的動態(tài)IP地址等建立VPN所需的信息返回給設備A。
步驟307���,雙方確認對端和自己的動態(tài)IP地址后���,開始建立VPN。這里��,建立VPN的協(xié)議可采用普通路由封裝協(xié)議(GRE)����、或IP安全協(xié)議(IPSec)等協(xié)議。此時�,可選擇是否關閉副線路。至此��,設備A�����、B所連接的局域網(wǎng)可以相互訪問�。而且,上述過程并不影響各局域網(wǎng)對公網(wǎng)的正常訪問���。
在建立VPN后�,本實施例可進一步包括步驟308和309步驟308~309,判斷VPN中是否有流量����,若VPN中沒有流量則自動拆除VPN;否則�����,不拆除VPN�����,繼續(xù)進行是否有流量的判斷��。
本實施例中所述的副線路可以是撥號線路���、專線或是無線通路等等�。在實際應用中�����,可以針對具體網(wǎng)絡環(huán)境選用不同的物理介質實現(xiàn)副線路的功能�����,舉兩個簡單的例子1.對于綜合服務數(shù)字網(wǎng)(ISDN)撥號上網(wǎng)用戶��,可以使用一個B信道上網(wǎng)�,利用另一個B信道充當副線路的角色。待VPN建好后��,用作副線路的B信道掛斷遠程連接��,再參與到本地流量轉發(fā)中����。這樣,可以把普通的ISDN上網(wǎng)通道變成128K的專線使用���。
2.對于目前由路由器支持的非對稱數(shù)字用戶環(huán)線(ADSL)接口�����,可以再通過一個串口連接一個普通的調制解調器(modem)���,用撥號線路充當副線路的角色。待VPN建立后,掛斷撥號線路�,通過ADSL建立的VPN進行通訊。
在上述實施例中的設備A�、B可以是路由器,也可以是VPN設備或其它網(wǎng)絡設備�。
以上所述,僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的保護范圍��。凡在本發(fā)明的精神和原則之內��,所作的任何修改����、等同替換��、改進等���,均應包含在本發(fā)明的保護范圍之內����。
權利要求
1.一種建立虛擬專用網(wǎng)絡的方法���,其特征在于包括以下步驟a����、在需建立VPN的雙方之間建立用于直接傳輸對端信息的專用物理通道��;b���、需建立VPN的雙方各自獲取自身的動態(tài)IP地址�,并將所獲取的動態(tài)IP地址與所需的所有VPN建立信息一起�����,通過專用物理通道分別傳送給對方���;c����、需建立VPN的雙方根據(jù)所收到的對方動態(tài)IP地址以及VPN建立信息建立VPN�。
2.根據(jù)權利要求1所述的方法,其特征在于步驟a中所述的專用物理通道為撥號線路�����、或為專線、或為無線通路����。
3.根據(jù)權利要求2所述的方法,其特征在于所述專線為綜合業(yè)務數(shù)據(jù)網(wǎng)(ISDN)中的一個B信道���。
4.根據(jù)權利要求1所述的方法��,其特征在于所述動態(tài)IP地址為需建立VPN方通過廣域網(wǎng)接口從IP網(wǎng)絡實時獲得的公網(wǎng)IP地址���。
5.根據(jù)權利要求1所述的方法,其特征在于所述步驟b進一步包括需建立VPN的雙方在收到對方的動態(tài)IP地址和VPN建立信息后�,判斷對方是否為合法的VPN對端,如果是則執(zhí)行步驟c��,否則結束本動態(tài)VPN建立流程����。
6.根據(jù)權利要求1所述的方法,其特征在于該方法進一步包括在建立VPN后�,關閉用于傳輸對端信息的專用物理通道。
7.根據(jù)權利要求1所述的方法���,其特征在于該方法進一步包括在建立VPN后���,判斷VPN中是否有流量�����,如果VPN中沒有流量���,則自動拆除VPN���;否則���,繼續(xù)VPN正常通信和VPN流量判斷。
8.根據(jù)權利要求1所述的方法�,其特征在于所述的VPN建立信息至少包括進行協(xié)商的本地信息和認證信息。
9.根據(jù)權利要求1所述的方法����,其特征在于所述建立VPN的協(xié)議可采用普通路由封裝協(xié)議(GRE)、或IP安全協(xié)議(IPSec)���。
全文摘要
本發(fā)明公開了一種建立虛擬專用網(wǎng)絡(VPN)的方法���,包括以下步驟首先在需建立VPN的雙方之間建立用于直接傳輸對端信息的專用物理通道�;然后需建立VPN的雙方各自獲取自身的動態(tài)IP地址�,并將所獲取的動態(tài)IP地址與所需的所有VPN建立信息一起,通過專用物理通道分別傳送給對方�;最后需建立VPN的雙方根據(jù)所收到的對方動態(tài)IP地址以及VPN建立信息建立VPN。該方法解決了在動態(tài)IP的情況下建立VPN隧道的問題���。在實際應用中��,企業(yè)和家庭用戶可以通過本地接入互聯(lián)網(wǎng)與遠端網(wǎng)絡隨時建立VPN隧道���,達到與使用專線同等的通訊效果。
文檔編號H04L12/24GK1553642SQ03136309
公開日2004年12月8日 申請日期2003年5月26日 優(yōu)先權日2003年5月26日
發(fā)明者楊磊, 楊 磊 申請人:華為技術有限公司