一種vpn網(wǎng)絡(luò)中的vpn自動(dòng)穿越方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種VPN網(wǎng)絡(luò)中的VPN自動(dòng)穿越方法�。本發(fā)明中���,在面對(duì)VPN和NAT帶來(lái)的不兼容的問(wèn)題時(shí)���,通過(guò)在NAT設(shè)備上設(shè)置代理的方式,使得VPN數(shù)據(jù)包可以無(wú)障礙的通過(guò)NAT設(shè)備��,使得無(wú)需應(yīng)用更多的無(wú)用數(shù)據(jù)��、無(wú)需增加額外的設(shè)備���、無(wú)需對(duì)現(xiàn)有設(shè)備進(jìn)行大幅度改變即可實(shí)現(xiàn)預(yù)期功能�����。同時(shí)��,通過(guò)自動(dòng)發(fā)現(xiàn)����、自動(dòng)設(shè)置的方式來(lái)進(jìn)行NAT設(shè)備上代理的配置���,使得無(wú)需用戶參與�����,即代理的設(shè)置對(duì)用戶而言是透明的��,增強(qiáng)了用戶體驗(yàn)��。
【專(zhuān)利說(shuō)明】—種VPN網(wǎng)絡(luò)中的VPN自動(dòng)穿越方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】�,尤其涉及一種VPN的連接方法����。
【背景技術(shù)】
[0002]IPSec是Internet工程任務(wù)組(IETF)制定的一系列安全標(biāo)準(zhǔn),可以較好地解決目前Internet上面臨的安全威脅,有效地保證數(shù)據(jù)的安全傳輸。隨著Internet的不斷發(fā)展����,IPSec已逐漸成為構(gòu)建VPN的主流技術(shù)���。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)支持多臺(tái)主機(jī)共享全局IP地址,能很好地解決IPv4網(wǎng)絡(luò)地址短缺問(wèn)題��,同時(shí)具有屏蔽內(nèi)部網(wǎng)絡(luò)的作用����。然而,已被廣泛使用的NAT設(shè)備制約著基于IPSec技術(shù)的VPN的發(fā)展�����,IPSec和NAT兼容性方面的問(wèn)題已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)�,如何根據(jù)自身的實(shí)際需要,尋求合適有效的IPSec透明穿越NAT的解決方案以獲得最大的性?xún)r(jià)比�,已成為需要構(gòu)建VPN的企業(yè)迫需解決的問(wèn)題。
[0003]IPSec和NAT之間存在多方面的不兼容性�,具體表現(xiàn)如下:
Cl) IPSec AH和NAT=AH利用消息摘要算法對(duì)整個(gè)IP數(shù)據(jù)包產(chǎn)生一個(gè)散列值,但NAT會(huì)對(duì)外出包的源地址和進(jìn)入包的目的地址進(jìn)行修改�����,AH認(rèn)為IP包被非法修改,從而導(dǎo)致認(rèn)證失效�����。
[0004](2)校驗(yàn)和與NAT:校驗(yàn)和與IP源和目的地址有依賴(lài)關(guān)系��,當(dāng)NAT設(shè)備改變IP地址后需要重新計(jì)算并修改TCP/UDP校驗(yàn)和����。在應(yīng)用ESP傳輸模式時(shí)�,該值處于加密負(fù)載之中,當(dāng)它被送往上層協(xié)議處理時(shí)��,這個(gè)包便會(huì)被丟棄�����。
[0005](3) IKE地址標(biāo)識(shí)符和NAT:在IKE協(xié)商中��,通信雙方使用IP地址作為身份標(biāo)識(shí)符�����,而NAT設(shè)備對(duì)IP地址的修改會(huì)引起IP頭中的地址和標(biāo)識(shí)符不符�����,IKE會(huì)將這樣的包丟掉。
[0006](4) IKE固定的目標(biāo)端口和NAPT:1KE協(xié)商時(shí)的UDP通信端口號(hào)一般固定是500��,而當(dāng)NAPT后面的多方主機(jī)向同一響應(yīng)者發(fā)起IKE SA時(shí)����,響應(yīng)者必須能夠接受非500UDP端口的IKE流量。
[0007](5)重疊的SPD項(xiàng)和NAT:在IKE協(xié)商的第二階段中����,NAT后的多個(gè)主機(jī)和相同響應(yīng)者協(xié)商SPD時(shí)會(huì)出現(xiàn)重疊,這樣��,響應(yīng)者可能在錯(cuò)誤的IPSec SA下發(fā)送數(shù)據(jù)包��。
[0008](6) IPSec SPI選擇符和NAT:由于SA是單向的�����,外出和進(jìn)入包的SPI選取是獨(dú)立的����,因此,僅通過(guò)監(jiān)測(cè)外出的流量����,NAT無(wú)法決定哪個(gè)進(jìn)入的SPI和哪個(gè)目標(biāo)主機(jī)相對(duì)應(yīng)���。
[0009](7)內(nèi)嵌IP地址和NAT:當(dāng)內(nèi)嵌IP地址時(shí),由于載荷受到完整性保護(hù)���,IPSec包中的任何IP地址不能被NAT轉(zhuǎn)換�。
[0010]目前已經(jīng)有下面的一些技術(shù)方案用以解決IPSec和NAT協(xié)同工作的問(wèn)題:
(I)提前進(jìn)行NAT操作�����,但該方案會(huì)造成局限性大����,可部署性不強(qiáng)的問(wèn)題��。
[0011](2)用RSIP代替NAT���,但該方案可部署性差�����,因?yàn)樗枰倪M(jìn)操作系統(tǒng)的TCP/IP協(xié)議棧使其知道RSIP的存在����,而且需要用新的RSIP網(wǎng)關(guān)代替現(xiàn)有的NAT路由設(shè)備,這將是一項(xiàng)長(zhǎng)期而且成本較高的工作�。
[0012](3)〃6to4〃方法,但該方案需要升級(jí)目前的NAT設(shè)備����,所以6to4不能在短期內(nèi)部署。
[0013](4)用UDP封裝IPSec數(shù)據(jù)包���,但該方案增加了發(fā)送的無(wú)用數(shù)據(jù)量��,且UDP協(xié)議的不確定性會(huì)導(dǎo)致通信的不穩(wěn)定�����。
【發(fā)明內(nèi)容】
[0014]本發(fā)明提供了一種VPN網(wǎng)絡(luò)中的自動(dòng)NAT穿越方法����,其特征在于���,包括以下步驟: 步驟202��、本端接收到創(chuàng)建VPN連接的命令時(shí)���,首先自動(dòng)建立一普通IP連接�,向?qū)Χ税l(fā)送測(cè)試數(shù)據(jù)包����,用以測(cè)試在所建立的IP連接路徑中是否存在NAT設(shè)備;
步驟204�、若存在本端NAT設(shè)備,則本端NAT設(shè)備接收到測(cè)試數(shù)據(jù)包后����,自動(dòng)在其上創(chuàng)建一個(gè)本端臨時(shí)VPN代理,并與所述本端相關(guān)聯(lián)��;
步驟206���、本端和對(duì)端協(xié)商IPSec協(xié)議所需的相關(guān)參數(shù),協(xié)商成功后,本端將涉及IPSec協(xié)議的相關(guān)參數(shù)信息發(fā)送給所述本端臨時(shí)VPN代理��;
步驟208����、本端和對(duì)端基于IPSec進(jìn)行VPN通信時(shí),本端使用私網(wǎng)地址作為源地址對(duì)數(shù)據(jù)包進(jìn)行IPSec協(xié)議封裝并發(fā)送至所述本端臨時(shí)VPN代理;
步驟210�����、所述本端臨時(shí)VPN代理接收數(shù)據(jù)包后,對(duì)其進(jìn)行解封裝和解密���,然后進(jìn)行NAT地址轉(zhuǎn)換����,將本端的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址����;
步驟212、所述本端臨時(shí)VPN代理使用轉(zhuǎn)換后的公網(wǎng)地址作為源地址���,使用所述涉及IPSec協(xié)議的相關(guān)參數(shù)信息再次對(duì)數(shù)據(jù)進(jìn)行IPSec封裝���,并將其發(fā)送至對(duì)端。
[0015]本發(fā)明中�,在面對(duì)VPN和NAT帶來(lái)的不兼容的問(wèn)題時(shí),通過(guò)在NAT設(shè)備上設(shè)置代理的方式���,使得VPN數(shù)據(jù)包可以無(wú)障礙的通過(guò)NAT設(shè)備���,使得無(wú)需應(yīng)用更多的無(wú)用數(shù)據(jù)�����、無(wú)需增加額外的設(shè)備���、無(wú)需對(duì)現(xiàn)有設(shè)備進(jìn)行大幅度改變即可實(shí)現(xiàn)預(yù)期功能。同時(shí)�����,通過(guò)自動(dòng)發(fā)現(xiàn)��、自動(dòng)設(shè)置的方式來(lái)進(jìn)行NAT設(shè)備上代理的配置����,使得無(wú)需用戶參與,即代理的設(shè)置對(duì)用戶而言是透明的���,增強(qiáng)了用戶體驗(yàn)。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0016]為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例。對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。
[0017]圖1為本發(fā)明實(shí)施例一的流程圖。
【具體實(shí)施方式】
[0018]為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下將通過(guò)具體實(shí)施例和相關(guān)附圖����,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。
[0019]實(shí)施例一
本發(fā)明實(shí)施例一提供了一種VPN網(wǎng)絡(luò)中的自動(dòng)NAT穿越方法��,其特征在于���,包括以下步驟: 步驟202��、本端接收到創(chuàng)建VPN連接的命令時(shí)��,首先自動(dòng)建立一普通IP連接�����,向?qū)Χ税l(fā)送測(cè)試數(shù)據(jù)包�����,用以測(cè)試在所建立的IP連接路徑中是否存在NAT設(shè)備�����;
步驟204����、若存在本端NAT設(shè)備,則本端NAT設(shè)備接收到測(cè)試數(shù)據(jù)包后�,自動(dòng)在其上創(chuàng)建一個(gè)本端臨時(shí)VPN代理,并與所述本端相關(guān)聯(lián)�����;
步驟206�、本端和對(duì)端協(xié)商IPSec協(xié)議所需的相關(guān)參數(shù),協(xié)商成功后,本端將涉及IPSec協(xié)議的相關(guān)參數(shù)信息發(fā)送給所述本端臨時(shí)VPN代理��;
步驟208�、本端和對(duì)端基于IPSec進(jìn)行VPN通信時(shí),本端使用私網(wǎng)地址作為源地址對(duì)數(shù)據(jù)包進(jìn)行IPSec協(xié)議封裝并發(fā)送至所述本端臨時(shí)VPN代理�����;
步驟210、所述本端臨時(shí)VPN代理接收數(shù)據(jù)包后��,對(duì)其進(jìn)行解封裝和解密�����,然后進(jìn)行NAT地址轉(zhuǎn)換����,將本端的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址;
步驟212�����、所述本端臨時(shí)VPN代理使用轉(zhuǎn)換后的公網(wǎng)地址作為源地址�,使用所述涉及IPSec協(xié)議的相關(guān)參數(shù)信息再次對(duì)數(shù)據(jù)進(jìn)行IPSec封裝,并將其發(fā)送至對(duì)端����。
[0020]實(shí)施例二
在實(shí)施例一的步驟202中,測(cè)試數(shù)據(jù)包發(fā)送到對(duì)端時(shí)�,若存在對(duì)端NAT設(shè)備,則對(duì)端NAT設(shè)備自動(dòng)在其上創(chuàng)建一個(gè)與對(duì)端相關(guān)聯(lián)的對(duì)端臨時(shí)VPN代理,并告知對(duì)端���。
[0021]實(shí)施例三
在實(shí)施例一的步驟206中�����,所述本端臨時(shí)VPN代理接收到所述涉及IPSec協(xié)議的相關(guān)參數(shù)信息后��,對(duì)其進(jìn)行加密存儲(chǔ)�����,并設(shè)定訪問(wèn)權(quán)限為僅所述本端臨時(shí)VPN代理能夠訪問(wèn)本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程����,是可以通過(guò)主機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成����,所述的程序可存儲(chǔ)于一主機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí)�����,可包括如上述各方法的實(shí)施例的流程��。其中,所述的存儲(chǔ)介質(zhì)可為磁碟�����、光盤(pán)���、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory,RAM)等。
[0022]上列較佳實(shí)施例����,對(duì)本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明�����,所應(yīng)理解的是�,以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改��、等同替換�����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【權(quán)利要求】
1.一種VPN網(wǎng)絡(luò)中的自動(dòng)NAT穿越方法���,其特征在于,包括以下步驟: 步驟202�����、本端接收到創(chuàng)建VPN連接的命令時(shí)�,首先自動(dòng)建立一普通IP連接,向?qū)Χ税l(fā)送測(cè)試數(shù)據(jù)包�����,用以測(cè)試在所建立的IP連接路徑中是否存在NAT設(shè)備�; 步驟204、若存在本端NAT設(shè)備���,則本端NAT設(shè)備接收到測(cè)試數(shù)據(jù)包后���,自動(dòng)在其上創(chuàng)建一個(gè)本端臨時(shí)VPN代理�����,并與所述本端相關(guān)聯(lián)����; 步驟206����、本端和對(duì)端協(xié)商IPSec協(xié)議所需的相關(guān)參數(shù)����,協(xié)商成功后,本端將涉及IPSec協(xié)議的相關(guān)參數(shù)信息發(fā)送給所述本端臨時(shí)VPN代理; 步驟208�����、本端和對(duì)端基于IPSec進(jìn)行VPN通信時(shí),本端使用私網(wǎng)地址作為源地址對(duì)數(shù)據(jù)包進(jìn)行IPSec協(xié)議封裝并發(fā)送至所述本端臨時(shí)VPN代理���; 步驟210���、所述本端臨時(shí)VPN代理接收數(shù)據(jù)包后,對(duì)其進(jìn)行解封裝和解密��,然后進(jìn)行NAT地址轉(zhuǎn)換,將本端的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址��; 步驟212�、所述本端臨時(shí)VPN代理使用轉(zhuǎn)換后的公網(wǎng)地址作為源地址,使用所述涉及IPSec協(xié)議的相關(guān)參數(shù)信息再次對(duì)數(shù)據(jù)進(jìn)行IPSec封裝�,并將其發(fā)送至對(duì)端。
2.基于權(quán)利要求1所述的方法�����,其特征在于:在步驟202中�,測(cè)試數(shù)據(jù)包發(fā)送到對(duì)端時(shí),若存在對(duì)端NAT設(shè)備��,則對(duì)端NAT設(shè)備自動(dòng)在其上創(chuàng)建一個(gè)與對(duì)端相關(guān)聯(lián)的對(duì)端臨時(shí)VPN代理��,并告知對(duì)端����。
3.基于權(quán)利要求1所述的方法,其特征在于:在步驟206中����,所述本端臨時(shí)VPN代理接收到所述涉及IPSec協(xié)議的相關(guān)參數(shù)信息后,對(duì)其進(jìn)行加密存儲(chǔ)��,并設(shè)定訪問(wèn)權(quán)限為僅所述本端臨時(shí)VPN代理能夠訪問(wèn)。
【文檔編號(hào)】H04L12/46GK104283977SQ201310284345
【公開(kāi)日】2015年1月14日 申請(qǐng)日期:2013年7月8日 優(yōu)先權(quán)日:2013年7月8日
【發(fā)明者】蘇長(zhǎng)君, 鄭曙光 申請(qǐng)人:北京思普崚技術(shù)有限公司