專利名稱:一種vpn數(shù)據(jù)轉(zhuǎn)發(fā)方法及用于數(shù)據(jù)轉(zhuǎn)發(fā)的vpn設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬專用網(wǎng)(VPN)技術(shù)�����,具體涉及VPN數(shù)據(jù)傳輸方法及VPN設(shè)備���。
背景技術(shù):
基于傳輸層以上的且端到端需要進(jìn)行加密的數(shù)據(jù)傳輸VPN�,如SSLVPN�����,是一種基于安全套接層(SSL�����,Security Socket Layer)來構(gòu)建VPN的技術(shù)����,工作在應(yīng)用層和TCP層之間,基于超文本傳輸協(xié)議(HTTP��,Hypertext Transfer Protocol)來進(jìn)行VPN訪問,所以這種VPN可以通過因特網(wǎng)瀏覽器進(jìn)行安全的VPN訪問���,由于SSL VPN工作在傳輸層之上,因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備��,這使得用戶能夠從任何地方遠(yuǎn)程接入到公司的內(nèi)部網(wǎng)絡(luò)����。而且不需要額外進(jìn)行客戶端的軟件安裝��,成為目前發(fā)展最為迅速的一種VPN�����。
如圖1所示�,假定服務(wù)器Server1是某企業(yè)的一臺(tái)內(nèi)部的WEB服務(wù)器�,連接到因特網(wǎng)的一臺(tái)計(jì)算機(jī)PC1可訪問公司內(nèi)部的WEB服務(wù)器。計(jì)算機(jī)PC1通過WEB瀏覽器先通過HTTP訪問到SSL VPN設(shè)備�,通過SSL VPN設(shè)備的認(rèn)證和鑒權(quán)后,再通過HTTP發(fā)起對內(nèi)部WEB服務(wù)器SERVER1的訪問�����,訪問到的數(shù)據(jù)通過HTTP返回給SSL VPN設(shè)備�,SSL VPN再通過HTTPS安全地送到計(jì)算機(jī)PC1。這樣就能夠通過計(jì)算機(jī)PC1訪問到公司內(nèi)部的WEB服務(wù)器SERVER1了����。由于WEB服務(wù)器SERVER1是不對外公開的����,不通過SSL VPN設(shè)備是不能訪問到WEB服務(wù)器SERVER1的。這就是SSL VPN的基本工作原理�。這種VPN的優(yōu)點(diǎn)非常明顯,就是使得用戶能夠從任何地方通過因特網(wǎng)遠(yuǎn)程進(jìn)行VPN的訪問�����,非常方便快捷����。
SSL VPN的另一種應(yīng)用就是以SSL隧道方式來組建VPN��,這種方式可以用于站點(diǎn)接入�,還可以用于網(wǎng)絡(luò)的接入。這種方式需要通過SSL隧道將不同地域的站點(diǎn)接入�,這種情況下每個(gè)站點(diǎn)需要一個(gè)SSL VPN設(shè)備,一般通過ISP接入因特網(wǎng)都是動(dòng)態(tài)的公網(wǎng)IP地址�����,但如果全部設(shè)備的地址都是動(dòng)態(tài)IP����,它們之間將不能自動(dòng)建立連接�����,所以通常在網(wǎng)上設(shè)置一臺(tái)固定公網(wǎng)IP的主SSL VPN設(shè)備���,這樣其它站點(diǎn)的SSL VPN設(shè)備就可以與主SSL VPN建立SSL隧道連接。
參照圖2�,一個(gè)企業(yè)VPN由3個(gè)分支網(wǎng)絡(luò)構(gòu)成,通過SSL VPN進(jìn)行連接�����,在分支機(jī)構(gòu)網(wǎng)絡(luò)LAN a和分支機(jī)構(gòu)網(wǎng)絡(luò)LAN b直接通過動(dòng)態(tài)IP接入因特網(wǎng)��,分支機(jī)構(gòu)網(wǎng)絡(luò)LAN c設(shè)置有一個(gè)固定的IP地址���,在LAN a和LAN b接入網(wǎng)絡(luò)時(shí)�,首先接入到SSL VPN主設(shè)備,分別與主設(shè)備間建立SSL隧道����,LAN a中的網(wǎng)絡(luò)用戶訪問LAN b時(shí),也是通過主設(shè)備進(jìn)行訪問�。
LAN b的數(shù)據(jù)流先發(fā)到主SSL VPN設(shè)備上,主SSL VPN設(shè)備先完成解密����,然后查找路由表,再加密數(shù)據(jù)��,之后將數(shù)據(jù)發(fā)到LAN a�。由于加解密需要消耗主SSL VPN設(shè)備的資源,所以SSL VPN主設(shè)備的負(fù)擔(dān)將非常重�����,嚴(yán)重影響轉(zhuǎn)發(fā)性能��。
根據(jù)現(xiàn)有的一種SSL VPN路由技術(shù)解決方案���,在LANA�����、LANB間采用協(xié)商直接建立新的不通過主SSL VPN設(shè)備的SSL隧道的方法��,使得LANA���、LANB間傳送的數(shù)據(jù)通過新SSL隧道來傳送��,而不再通過主SSL VPN設(shè)備����,如圖3所示����。
這種方法能夠徹底分離從SSL VPN設(shè)備間的訪問流量�����,但上述方案有一定的前提條件���,就是LAN A����、LAN B間必須能夠直接建立SSL隧道。如果LAN A��、LAN B中的防火墻不允許SSL的接入�����,或者LAN A�、LAN B中的用戶都是通過地址轉(zhuǎn)換設(shè)備上網(wǎng),而地址轉(zhuǎn)換設(shè)備又不支持內(nèi)部服務(wù)器功能��,這種情況下��,LAN A��、LAN B間就無法直接建立SSL隧道�,這個(gè)方案也就不能實(shí)施。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中存在的問題�����,本發(fā)明要解決的技術(shù)問題在于�����,提供一種VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法及用于數(shù)據(jù)轉(zhuǎn)發(fā)的VPN設(shè)備,該方法在原有VPN連接的基礎(chǔ)上再構(gòu)建一個(gè)轉(zhuǎn)發(fā)隧道���,通過VPN設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)�,不再進(jìn)行數(shù)據(jù)的加解密操作�����,從而提高VPN數(shù)據(jù)轉(zhuǎn)發(fā)性能及效率��。
本發(fā)明提供的一種VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法���,包括步驟A.選定一VPN設(shè)備作為主VPN設(shè)備�����,其他VPN設(shè)備作為從VPN設(shè)備�����,并為主VPN設(shè)備設(shè)置固定的公網(wǎng)IP地址或固定的域名;B.從VPN設(shè)備與主VPN建立VPN連接��,并完成VPN接入的相關(guān)鑒權(quán)和認(rèn)證�����;C.第一、第二從VPN設(shè)備分別與主VPN設(shè)備建立第一���、第二TCP連接��;
D.主VPN設(shè)備為所述第一�����、第二TCP連接建立對應(yīng)關(guān)系��,以進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)���,并發(fā)送路由信息和/或權(quán)限信息給第一、第二從VPN設(shè)備�����;E.第一�����、第二從VPN設(shè)備之間建立VPN連接���,并按所收到的路由信息和/或權(quán)限信息進(jìn)行數(shù)據(jù)發(fā)送和接收����。
在步驟C與D之間還包括步驟主VPN設(shè)備對第一、第二從VPN設(shè)備進(jìn)行驗(yàn)證��;步驟C1包括主VPN設(shè)備發(fā)送驗(yàn)證信息和連接標(biāo)識(shí)給第一�����、第二從VPN設(shè)備�����,第一�、第二從VPN設(shè)備收到驗(yàn)證碼和連接標(biāo)識(shí)后,發(fā)送反饋信息給主VPN設(shè)備����;若主設(shè)備驗(yàn)證收到的反饋信息相符,則為所述兩個(gè)TCP連接建立對應(yīng)關(guān)系����。
步驟E還包括第一���、第二從VPN設(shè)備之間建立連接之后進(jìn)行相互驗(yàn)證的步驟��。
其中所述驗(yàn)證碼的長度大于等于SSL的公鑰算法的密鑰長度���。
該方法還包括步驟主VPN設(shè)備將第一���、第二從VPN設(shè)備分別設(shè)定為服務(wù)器端和客戶端。
所述的主VPN設(shè)備中的數(shù)據(jù)轉(zhuǎn)發(fā)是透明的�����。
步驟E中��,當(dāng)?shù)谝?�、第二從VPN設(shè)備之間VPN連接建立失敗時(shí)�,主VPN設(shè)備刪除所述TCP連接及對應(yīng)關(guān)系。
所述VPN為SSL VPN�����。
所述VPN為基于傳輸層以上的且端到端需要進(jìn)行加密的VPN��。
根據(jù)本發(fā)明的一種VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法���,包括步驟a)對VPN連接請求進(jìn)行相關(guān)鑒權(quán)和認(rèn)證�;b)為相互交換數(shù)據(jù)的VPN設(shè)備建立對應(yīng)關(guān)系,并發(fā)送相關(guān)路由信息和/或權(quán)限信息給相應(yīng)的VPN設(shè)備����;c)根據(jù)所述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。
該方法還包括相互交換數(shù)據(jù)的VPN設(shè)備之間建立連接之后進(jìn)行相互驗(yàn)證的步驟�����。
當(dāng)相互交換數(shù)據(jù)的VPN設(shè)備之間VPN連接建立失敗時(shí)���,刪除所述連接及對應(yīng)關(guān)系���。
所述VPN連接基于傳輸層以上的且端到端需要進(jìn)行加密。
根據(jù)本發(fā)明還提供一種VPN設(shè)備����,用于轉(zhuǎn)發(fā)數(shù)據(jù),包括鑒權(quán)認(rèn)證單元��,用于對VPN連接請求進(jìn)行相關(guān)鑒權(quán)和認(rèn)證��;數(shù)據(jù)通信單元,為相互交換數(shù)據(jù)的VPN設(shè)備建立對應(yīng)關(guān)系�,發(fā)送相關(guān)路由信息和/或權(quán)限信息給相應(yīng)VPN設(shè)備�����,并根據(jù)所述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)����。
在該VPN設(shè)備中所進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā)是透明的。
當(dāng)相互交換數(shù)據(jù)的VPN設(shè)備之間VPN連接建立失敗時(shí)�����,該VPN設(shè)備刪除所述VPN連接及對應(yīng)關(guān)系�。
本發(fā)明相對于現(xiàn)有技術(shù)的有益效果如下在現(xiàn)有的基于傳輸層以上的VPN中,對于需要通過中間VPN設(shè)備進(jìn)行轉(zhuǎn)發(fā)的實(shí)現(xiàn)方式��,由于加解密非常消耗SSL VPN設(shè)備的資源�,所以中間轉(zhuǎn)發(fā)的SSL VPN設(shè)備的負(fù)擔(dān)將非常重,嚴(yán)重影響轉(zhuǎn)發(fā)性能�����。而在采用協(xié)商直接建立新的SSL隧道的方式����,通過新SSL隧道來傳送數(shù)據(jù)�����,不再通過主VPN設(shè)備��。但是其前提是在進(jìn)行通信的VPN用戶之間能夠直接建立SSL隧道����。由于設(shè)置的防火墻通常不允許SSL的接入��,或者通過地址轉(zhuǎn)換設(shè)備上網(wǎng)時(shí)��,地址轉(zhuǎn)換設(shè)備又不支持內(nèi)部服務(wù)器功能���。因此�,目前基于現(xiàn)有技術(shù)的SSL VPN的數(shù)據(jù)轉(zhuǎn)發(fā)性能差�、效率低。
而本發(fā)明所提供的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法��,在原有SSL隧道的基礎(chǔ)上建立新的TCP連接再協(xié)商一個(gè)轉(zhuǎn)發(fā)隧道�,數(shù)據(jù)經(jīng)過主設(shè)備時(shí)只需簡單的轉(zhuǎn)發(fā),而不再進(jìn)行數(shù)據(jù)的加解密操作����,降低主SSL VPN設(shè)備的負(fù)荷�����,使得VPN設(shè)備的大部分資源用于數(shù)據(jù)的轉(zhuǎn)發(fā)��,提高數(shù)據(jù)轉(zhuǎn)發(fā)能力,從而提高VPN網(wǎng)絡(luò)的性能和可靠性����。該方法適合各種組網(wǎng)的環(huán)境,不受地址轉(zhuǎn)換設(shè)備和防火墻配置的限制����,安全性高。
圖1是用于說明SSL VPN的基本工作原理的示意圖���;圖2是根據(jù)現(xiàn)有技術(shù)的SSL VPN技術(shù)方案原理的示意圖����;圖3是根據(jù)現(xiàn)有技術(shù)的SSL VPN另一技術(shù)方案原理的示意圖��;圖4是根據(jù)本發(fā)明的實(shí)施例的SSL VPN實(shí)現(xiàn)原理的示意圖��;圖5是根據(jù)本發(fā)明的SSL VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法的流程圖。
具體實(shí)施例方式
為了便于對本發(fā)明工作原理進(jìn)行說明���,以SSL VPN為例進(jìn)行描述�����。在此���,以兩個(gè)從SSL VPN設(shè)備和一個(gè)主SSL VPN設(shè)備的最簡單的組網(wǎng)方式為例進(jìn)行描述。對于更多VPN設(shè)備組網(wǎng)的情況,其原理是類似的。
VPN是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施利用Internet可路由的地址��,即公網(wǎng)地址,訪問遠(yuǎn)地VPN設(shè)備,在異地網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通�����。SSL VPN利用瀏覽器內(nèi)建的Secure Socket Layer封包處理功能��,通過瀏覽器連接遠(yuǎn)地的內(nèi)部SSL VPN設(shè)備���,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序��,讀取遠(yuǎn)地的內(nèi)部服務(wù)器數(shù)據(jù)。該遠(yuǎn)地的內(nèi)部SSL VPN設(shè)備需設(shè)置Internet可路由的地址�,即公網(wǎng)地址。
如圖4所示的VPN��,在這三個(gè)LAN中分別設(shè)有SSL VPN設(shè)備(路由器�����,或網(wǎng)關(guān)設(shè)備)R1��,R2�����,R3�����。
圖5是根據(jù)本發(fā)明的SSL VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法的流程圖�����,參照圖5����。
首先,選定R3作為主VPN設(shè)備��,并為R3設(shè)置固定的公網(wǎng)IP地址�����,或者是固定的域名����,R1,R2則為從VPN設(shè)備�;(步驟S11)接著,從SSL VPN設(shè)備R1����,R2分別與主VPN設(shè)備R3建立SSL隧道,并完成SSL VPN接入的相關(guān)鑒權(quán)和認(rèn)證���;(步驟S12)R3對選定R2作為SSL的服務(wù)器端�,R1作為SSL的客戶端�;(步驟S13)R3隨機(jī)生成一個(gè)驗(yàn)證碼code和連接標(biāo)識(shí)linkid,為了安全��,驗(yàn)證碼code不低于SSL所用的公鑰算法密鑰的長度���。
R3向R2發(fā)消息��,告知R2驗(yàn)證碼���、連接標(biāo)識(shí)linkid以及作為SSL服務(wù)器端����;R3向R1發(fā)消息���,告知R1驗(yàn)證碼�����、連接標(biāo)識(shí)linkid和做SSL客戶端。R2啟動(dòng)相應(yīng)SSL服務(wù)處理���。
R1�,R2分別與主VPN設(shè)備R3建立TCP連接LINK1��,LINK2�;(步驟S14)TCP連接建立之后,R1��,R2分別通過LINK1,LINK2發(fā)送驗(yàn)證碼及連接標(biāo)識(shí)linkid給R3���,R3檢驗(yàn)該驗(yàn)證碼及連接標(biāo)識(shí)linkid���,如果與生成的驗(yàn)證碼相符且linkid一致,則為這兩個(gè)TCP連接LINK1�,LINK2建立對應(yīng)關(guān)系,并通知R1��、R2連接建立�����,同時(shí)發(fā)送新的路由和權(quán)限信息給R1�、R2,之后R3透明轉(zhuǎn)發(fā)R1��、R2的數(shù)據(jù)��。(步驟S15)R1����、R2之間建立新的SSL連接,R1發(fā)送驗(yàn)證碼code1給R2��,R2驗(yàn)證code1是否與自己的一致,如果一致���,按所收到的新路由信息和/或權(quán)限信息進(jìn)行數(shù)據(jù)發(fā)送和接收�。(步驟S16)如果R2驗(yàn)證不一致�����,刪除新建立的SSL連接�,同時(shí)刪除TCP連接,R3刪除對應(yīng)的R1的TCP連接和連接關(guān)系���。
參照圖4����,VPN設(shè)備R3分別對VPN設(shè)備R1�、R2發(fā)出的VPN連接請求進(jìn)行相關(guān)鑒權(quán)和認(rèn)證;VPN設(shè)備R3為相互交換數(shù)據(jù)的VPN設(shè)備R1�����、R2建立對應(yīng)關(guān)系�,并發(fā)送相關(guān)路由信息和/或權(quán)限信息給相應(yīng)的VPN設(shè)備R1�、R2���;VPN設(shè)備R3根據(jù)所述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),即將分別來自R1���、R2的數(shù)據(jù)轉(zhuǎn)發(fā)給R2��、R1��。
相互交換數(shù)據(jù)的VPN設(shè)備R1���、R2之間建立連接之后進(jìn)行相互驗(yàn)證。
當(dāng)相互交換數(shù)據(jù)的VPN設(shè)備R1�、R2之間VPN連接建立失敗時(shí),刪除所述VPN連接及對應(yīng)關(guān)系�����。
還是參照圖4��,圖中VPN設(shè)備R3�����,用于轉(zhuǎn)發(fā)數(shù)據(jù),包括鑒權(quán)認(rèn)證單元�����,用于對VPN連接請求進(jìn)行相關(guān)鑒權(quán)和認(rèn)證����;數(shù)據(jù)通信單元,為相互交換數(shù)據(jù)的VPN設(shè)備建立對應(yīng)關(guān)系����,發(fā)送相關(guān)路由信息和/或權(quán)限信息給相應(yīng)VPN設(shè)備,并根據(jù)所述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)���。
在VPN設(shè)備R3中所進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā)是透明的�����。
實(shí)施例參照圖4��,以一個(gè)有三個(gè)分支機(jī)構(gòu)的企業(yè)SSL VPN組網(wǎng)為例�,來詳細(xì)描述一下本發(fā)明的工作原理�����,3個(gè)分支結(jié)構(gòu)網(wǎng)絡(luò)組成LAN I����,LAN II,LANIII����,負(fù)責(zé)連接這3個(gè)網(wǎng)絡(luò)的SSL VPN設(shè)備(SSL VPN網(wǎng)關(guān)設(shè)備)R1,R2���,R3���。假設(shè)公司總部所在網(wǎng)絡(luò)為LAN III,R3作為接入SSL VPN的主設(shè)備���?�?偛康慕尤隨SL VPN設(shè)備申請一個(gè)固定的域名假設(shè)為www.abc.com�。其他兩個(gè)網(wǎng)絡(luò)通過運(yùn)營商的PPPOE接入因特網(wǎng)�����,而且都是通過NAT設(shè)備上網(wǎng)的���。
首先��,從SSL VPN設(shè)備R1�����,R2分別與主VPN設(shè)備R3�,地址為www.abc.com建立SSL連接,并完成SSL VPN接入的相關(guān)鑒權(quán)和認(rèn)證���;這是一個(gè)普通的SSL VPN接入過程�����。
如果需要R1����、R2間建立新的SSL連接���,R3根據(jù)配置情況�����,或者R1����、R2在前面建立SSL連接后上報(bào)自己是否支持SSL的服務(wù)器功能,R3選擇具有服務(wù)器功能的接入作為服務(wù)器端��,如果都支持��,則按配置的策略進(jìn)行選擇�。我們假設(shè)R2能夠支持SSL服務(wù)器����,而R1不支持,所以選R2作為SSL的服務(wù)器端��,R1作為SSL的客戶端��;R3隨機(jī)生成一個(gè)驗(yàn)證碼code1和一個(gè)R3上唯一的連接標(biāo)識(shí)LinkID���,可以采用SSL同樣的秘密生成法生成驗(yàn)證碼�,長度不低于SSL所用的公鑰算法密鑰的長度��。
R3通過前面建立的SSL連接向R2發(fā)消息��,告知R2驗(yàn)證碼code1��、linkID以及作為SSL服務(wù)器端;R3向R1發(fā)消息����,告知R1驗(yàn)證碼code1、linkID和做SSL客戶端�����。R2啟動(dòng)相應(yīng)SSL服務(wù)處理����。
R1,R2分別與主VPN設(shè)備R3建立TCP連接LINK1�����,LINK2�;TCP連接建立之后,R1���,R2分別通過LINK1和LINK2發(fā)送linkid給R3��,R3驗(yàn)證linkid是否與分配的linkid一致��。
R3為這兩個(gè)TCP連接LINK1�,LINK2建立對應(yīng)關(guān)系,并通知R1����、R2連接建立,同時(shí)發(fā)送新的路由和權(quán)限信息給R1�����、R2�����,之后R3透明轉(zhuǎn)發(fā)R1�、R2的數(shù)據(jù)�����。
R1��、R2之間建立新的SSL連接��,連接建立后R1發(fā)送code1給R2���,R2比較是否與本端的code1一致�,如果一致則并按所收到的新路由信息和/或權(quán)限信息進(jìn)行數(shù)據(jù)發(fā)送和接收。否則刪除SSL連接和對應(yīng)的TCP連接���,R3刪除對應(yīng)的TCP連接關(guān)系���。
本發(fā)明的原理可以用于工作在傳輸層(TCP、UDP等)或傳輸層以上���,需要進(jìn)行端到端進(jìn)行加密的數(shù)據(jù)傳輸?shù)腣PN�,例如基于UDP的IP SEC VPN也可以使用相同的原理來實(shí)現(xiàn)���,這時(shí)建立的是一個(gè)通過主設(shè)備進(jìn)行UDP轉(zhuǎn)發(fā)���,而不是TCP,建立的是IP SEC連接而不是SSL連接��。
以上所述僅為用于解釋�����、說明本發(fā)明的優(yōu)選實(shí)施例�����,并不用于限制本發(fā)明,對于本領(lǐng)域的技術(shù)人員來說���,本發(fā)明可以有各種更改和變化�。凡在本發(fā)明的實(shí)質(zhì)和原則之內(nèi)�,所作的任何修改、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明的權(quán)利要求范圍之內(nèi)。
權(quán)利要求
1.一種VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法���,其特征在于,包括步驟A.選定一VPN設(shè)備作為主VPN設(shè)備��,其他VPN設(shè)備作為從VPN設(shè)備����;B.從VPN設(shè)備與主VPN建立VPN連接,并完成VPN接入的相關(guān)鑒權(quán)和認(rèn)證���;C.第一�、第二從VPN設(shè)備分別與主VPN設(shè)備建立第一���、第二TCP連接���;D.主VPN設(shè)備為所述第一���、第二TCP連接建立對應(yīng)關(guān)系,并發(fā)送路由信息和/或權(quán)限信息給第一����、第二從VPN設(shè)備;E.第一��、第二從VPN設(shè)備之間建立VPN連接����,并按所收到的路由信息和/或權(quán)限信息進(jìn)行數(shù)據(jù)發(fā)送和接收。
2.如權(quán)利要求1所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法��,其特征在于���,在步驟C與D之間還包括步驟主VPN設(shè)備對第一����、第二從VPN設(shè)備進(jìn)行驗(yàn)證。
3.如權(quán)利要求2所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法���,其特征在于�����,步驟C1包括主VPN設(shè)備發(fā)送驗(yàn)證信息和連接標(biāo)識(shí)給第一����、第二從VPN設(shè)備�,第一、第二從VPN設(shè)備收到驗(yàn)證碼和連接標(biāo)識(shí)后��,發(fā)送反饋信息給主VPN設(shè)備�;若主設(shè)備驗(yàn)證收到的反饋信息相符,則為所述兩個(gè)TCP連接建立對應(yīng)關(guān)系��。
4.如權(quán)利要求1所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法��,其特征在于��,步驟E還包括第一���、第二從VPN設(shè)備之間建立連接之后進(jìn)行相互驗(yàn)證的步驟。
5.如權(quán)利要求1所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法,其中所述驗(yàn)證碼的長度大于等于SSL的公鑰算法的密鑰長度��。
6.如權(quán)利要求1所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法�����,其特征在于���,還包括步驟主VPN設(shè)備將第一��、第二從VPN設(shè)備分別設(shè)定為服務(wù)器端和客戶端����。
7.如權(quán)利要求1所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法��,其特征在于��,所述的主VPN設(shè)備中的數(shù)據(jù)轉(zhuǎn)發(fā)是透明的����。
8.如權(quán)利要求1所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法,其特征在于�,步驟E中,當(dāng)?shù)谝?���、第二從VPN設(shè)備之間VPN連接建立失敗時(shí)���,主VPN設(shè)備刪除所述TCP連接及對應(yīng)關(guān)系。
9.如權(quán)利要求1至8中任一項(xiàng)所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法�,其特征在于,所述VPN為SSL VPN����。
10.如權(quán)利要求1至8中任一項(xiàng)所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法,其特征在于�����,所述VPN為基于傳輸層以上的且端到端需要進(jìn)行加密的VPN�。
11.一種VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法,其特征在于��,包括步驟a)對VPN連接請求進(jìn)行相關(guān)鑒權(quán)和認(rèn)證���;b)為相互交換數(shù)據(jù)的VPN設(shè)備建立對應(yīng)關(guān)系,并發(fā)送相關(guān)路由信息和/或權(quán)限信息給相應(yīng)的VPN設(shè)備�����;c)根據(jù)所述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。
12.如權(quán)利要求11所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法����,其特征在于,包括相互交換數(shù)據(jù)的VPN設(shè)備之間建立連接之后進(jìn)行相互驗(yàn)證的步驟���。
13.如權(quán)利要求11所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法�,其特征在于���,當(dāng)相互交換數(shù)據(jù)的VPN設(shè)備之間VPN連接建立失敗時(shí)����,刪除所述連接及對應(yīng)關(guān)系�����。
14.如權(quán)利要求11所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法��,其特征在于����,所述VPN連接基于傳輸層以上的且端到端需要進(jìn)行加密。
15.一種VPN設(shè)備�,用于轉(zhuǎn)發(fā)數(shù)據(jù)�����,其特征在于�����,包括鑒權(quán)認(rèn)證單元�����,用于對VPN連接請求進(jìn)行相關(guān)鑒權(quán)和認(rèn)證��;數(shù)據(jù)通信單元����,為相互交換數(shù)據(jù)的VPN設(shè)備建立對應(yīng)關(guān)系�,發(fā)送相關(guān)路由信息和/或權(quán)限信息給相應(yīng)VPN設(shè)備,并根據(jù)所述對應(yīng)關(guān)系進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)�。
16.如權(quán)利要求15所述的VPN設(shè)備,其特征在于�����,所進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā)是透明的�。
17.如權(quán)利要求15所述的VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法,其特征在于�,當(dāng)相互交換數(shù)據(jù)的VPN設(shè)備之間VPN連接建立失敗時(shí),刪除所述連接及對應(yīng)關(guān)系���。
全文摘要
本發(fā)明公開了一種VPN數(shù)據(jù)轉(zhuǎn)發(fā)方法及用于數(shù)據(jù)轉(zhuǎn)發(fā)的VPN設(shè)備�,在原有VPN連接的基礎(chǔ)上建立一個(gè)轉(zhuǎn)發(fā)隧道����,數(shù)據(jù)經(jīng)過主設(shè)備時(shí)只轉(zhuǎn)發(fā),而不進(jìn)行數(shù)據(jù)的加解密操作�����,包括步驟A.選定主VPN設(shè)備��,并為其設(shè)置固定的公網(wǎng)IP地址����;B.從VPN設(shè)備與主VPN設(shè)備建立連接,并完成SSL VPN接入的相關(guān)鑒權(quán)和認(rèn)證���;C.從VPN設(shè)備分別與主VPN設(shè)備建立TCP連接��;D.主VPN設(shè)備為所述TCP連接建立對應(yīng)關(guān)系��,并發(fā)送路由信息和/或權(quán)限信息給從VPN設(shè)備����;E.從VPN設(shè)備之間建立新VPN連接,并按所收到的路由信息和/或權(quán)限信息進(jìn)行數(shù)據(jù)發(fā)送和接收����。采用該方法可降低主VPN設(shè)備的負(fù)荷,提高數(shù)據(jù)轉(zhuǎn)發(fā)能力�����,從而提高VPN網(wǎng)絡(luò)的性能和可靠性�。該方法適合各種組網(wǎng)的環(huán)境,不受地址轉(zhuǎn)換設(shè)備和防火墻配置的限制�����。
文檔編號H04L12/46GK1838638SQ20061006600
公開日2006年9月27日 申請日期2006年3月21日 優(yōu)先權(quán)日2006年3月21日
發(fā)明者盧勝文 申請人:杭州華為三康技術(shù)有限公司