專利名稱:一種不占用ip地址的隧道實(shí)現(xiàn)方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于數(shù)據(jù)通信領(lǐng)域�,尤其涉及一種不占用IP地址的隧道實(shí)現(xiàn)方法、系統(tǒng)及設(shè)備����。
背景技術(shù):
目前,基于IPv4協(xié)議建立的數(shù)據(jù)網(wǎng)絡(luò)面臨越來(lái)越嚴(yán)重的IP地址不足的問(wèn)題����。市場(chǎng)上的設(shè)備通常都要為本設(shè)備單獨(dú)設(shè)置一個(gè)IP地址,在進(jìn)行設(shè)備安裝和部署時(shí),為了能夠讓該IP地址順利的進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的路由與交換����,還必須對(duì)原有的用戶網(wǎng)絡(luò)進(jìn)行一定程度的調(diào)整,如果用戶網(wǎng)絡(luò)沒有為設(shè)備預(yù)留IP地址����,那么該設(shè)備的部署將給用戶的網(wǎng)絡(luò)拓?fù)浜?正常業(yè)務(wù)帶來(lái)巨大的影響。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種不占用IP地址的隧道實(shí)現(xiàn)方法��、系統(tǒng)及設(shè)備�����,旨在解決現(xiàn)有技術(shù)中的設(shè)備通常都要為本設(shè)備單獨(dú)設(shè)置一個(gè)IP地址����,從而加劇了 IPv4地址緊缺,同時(shí)為了能夠讓該IP地址順利的進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的路由與交換���,還必須對(duì)原有的用戶網(wǎng)絡(luò)進(jìn)行一定程度的調(diào)整�����,給用戶的網(wǎng)絡(luò)拓?fù)浜驼I(yè)務(wù)帶來(lái)巨大影響的問(wèn)題��。本發(fā)明的目的是這樣實(shí)現(xiàn)的一種不占用IP地址的隧道實(shí)現(xiàn)方法���,所述隧道為IPSEC VPN���,所述方法包括下述步驟
A、在底層協(xié)議棧構(gòu)建數(shù)據(jù)報(bào)文攔截器��、數(shù)據(jù)報(bào)文過(guò)濾器和數(shù)據(jù)報(bào)文分流器��;
B���、數(shù)據(jù)報(bào)文攔截器截獲所有通過(guò)IPSECVPN設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文;
C����、數(shù)據(jù)報(bào)文過(guò)濾器將截獲的所有數(shù)據(jù)報(bào)文進(jìn)行甄別和分類;
D�����、數(shù)據(jù)報(bào)文分流器將經(jīng)過(guò)甄別和分類后的數(shù)據(jù)報(bào)文進(jìn)行分流處理���。
更進(jìn)一步�����,IPSEC VPN隧道所用IP地址或與該IP地址相關(guān)的不同類型的數(shù)據(jù)報(bào)文采用不同的處理路徑鏈路層協(xié)議報(bào)文直接轉(zhuǎn)發(fā)���;IPSEC數(shù)據(jù)報(bào)文重定向到協(xié)議棧進(jìn)行處理����;傳輸層報(bào)文直接轉(zhuǎn)發(fā)�����。更進(jìn)一步�����,協(xié)議棧建立虛擬網(wǎng)卡對(duì)IPSEC數(shù)據(jù)報(bào)文進(jìn)行封裝與解封裝�、加密與解密處理。更進(jìn)一步�,IPSEC VPN隧道所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的在線設(shè)備共用。更進(jìn)一步��,在采用雙機(jī)設(shè)備形式部署的環(huán)境下���,IPSEC VPN隧道所采用的IP地址與備用機(jī)共用�����。更進(jìn)一步���,所述內(nèi)部網(wǎng)絡(luò)的在線設(shè)備為三層交換機(jī)或服務(wù)器���。本發(fā)明的另一目的在于提供一種不占用IP地址實(shí)現(xiàn)IPSEC VPN隧道系統(tǒng),本發(fā)明的目的是這樣實(shí)現(xiàn)的所述系統(tǒng)包括數(shù)據(jù)報(bào)文攔截器����,用于截獲所有通過(guò)IPSEC VPN設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文;
數(shù)據(jù)報(bào)文過(guò)濾器����,用于將截獲的所有數(shù)據(jù)報(bào)文進(jìn)行甄別和分類;
數(shù)據(jù)報(bào)文分流器�,用于將經(jīng)過(guò)甄別和分類后的數(shù)據(jù)報(bào)文進(jìn)行分流處理�����。作為優(yōu)選���,還包括基于虛擬網(wǎng)卡技術(shù)建立的協(xié)議處理器�����,用于對(duì)IPSEC數(shù)據(jù)報(bào)文進(jìn)行封裝與解封裝�����、加密與解密處理�。本發(fā)明的另一目的在于提供一種包含不占用IP地址實(shí)現(xiàn)IPSEC VPN隧道系統(tǒng)的IPSEC VPN設(shè)備。本發(fā)明的突出優(yōu)點(diǎn)是本發(fā)明通過(guò)將IPSEC VPN隧道所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)或服務(wù)器等在線設(shè)備共用�,可以節(jié)省日益緊張的IP地址,在部署IPSEC VPN隧道時(shí)不需要改動(dòng)網(wǎng)絡(luò)配置���,大大提高了 IPSEC VPN設(shè)備的易用性和網(wǎng)絡(luò)適應(yīng)性�。
圖I是本發(fā)明實(shí)施例提供的不占用IP地址的隧道實(shí)現(xiàn)方法流程 圖2是本發(fā)明實(shí)施例提供的IPSEC VPN設(shè)備結(jié)構(gòu)圖��。
具體實(shí)施例方式為了使本發(fā)明的目的��、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合附圖及實(shí)施例�����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明��,并不用于限定本發(fā)明�。本發(fā)明實(shí)施例提供的在網(wǎng)絡(luò)環(huán)境下不占用IP地址的隧道實(shí)現(xiàn)方法、系統(tǒng)及設(shè)備�,通過(guò)將IPSEC VPN隧道所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)或服務(wù)器等在線設(shè)備共用,可以節(jié)省日益緊張的IP地址���,在部署IPSEC VPN隧道時(shí)不需要改動(dòng)網(wǎng)絡(luò)配置����,大大提高了 IPSEC VPN設(shè)備的易用性和網(wǎng)絡(luò)適應(yīng)性�����。圖I為本發(fā)明實(shí)施例提供的在網(wǎng)絡(luò)環(huán)境下不占用IP地址實(shí)現(xiàn)IPSEC VPN隧道方法的實(shí)現(xiàn)流程��,詳述如下
在步驟SlOl中���,在底層協(xié)議棧構(gòu)建數(shù)據(jù)報(bào)文攔截器���、數(shù)據(jù)報(bào)文過(guò)濾器和數(shù)據(jù)報(bào)文分流器。數(shù)據(jù)報(bào)文攔截器可以捕獲在本系統(tǒng)物理網(wǎng)卡接收到的所有類型的數(shù)據(jù)幀�;數(shù)據(jù)報(bào)文過(guò)濾器根據(jù)鏈路層的源和目的MAC地址、源和目的IP地址�����、協(xié)議號(hào)�����、目的傳輸層端口以及IPSEC的SPI索引等信息對(duì)數(shù)據(jù)文本進(jìn)行分類處理���,不同類型的報(bào)文打上不同標(biāo)記���;數(shù)據(jù)報(bào)文分流器可以根據(jù)不同的報(bào)文類型,將數(shù)據(jù)報(bào)文放入不同的處理路徑���。在步驟S102中���,數(shù)據(jù)報(bào)文攔截器截獲所有通過(guò)IPSEC VPN設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文并獲取包括鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的全部信息�����。在步驟S103中�,數(shù)據(jù)報(bào)文過(guò)濾器將所有的數(shù)據(jù)報(bào)文進(jìn)行甄別和分類�。本步驟中需要區(qū)分ARP等鏈路層協(xié)議、ESP和AH等IPSEC數(shù)據(jù)報(bào)文以及IPSEC VPN設(shè)備保留端口號(hào)的IP報(bào)文���。在步驟S104中�,數(shù)據(jù)報(bào)文分流器將經(jīng)過(guò)甄別和分類后的數(shù)據(jù)報(bào)文進(jìn)行分流處理����,對(duì)目的地址具有IPSEC VPN隧道所用IP地址或與該IP地址相關(guān)的不同類型的數(shù)據(jù)報(bào)文采用不同的處理路徑=ARP等鏈路層協(xié)議報(bào)文直接轉(zhuǎn)發(fā);ESP和AH等IPSEC數(shù)據(jù)報(bào)文重定向到IPSEC VPN設(shè)備協(xié)議棧的協(xié)議處理器進(jìn)行處理�����;IPSEC VPN設(shè)備保留端口號(hào)以外的所有IP �����;傳輸層報(bào)文直接轉(zhuǎn)發(fā)�。在步驟S105中����,IPSEC VPN設(shè)備協(xié)議?����;谔摂M網(wǎng)卡技術(shù)建立協(xié)議處理器對(duì)IPSEC數(shù)據(jù)報(bào)文進(jìn)行封裝與解封裝�����、加密與解密處理���。IPSEC VPN隧道所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)或服務(wù)器等在線設(shè)備共用,在采用雙機(jī)備用形式部署的環(huán)境下也可與備用機(jī)共用��。圖2則示出了本發(fā)明實(shí)施例提供的IPSEC VPN設(shè)備的結(jié)構(gòu)�����,其中����,處理系統(tǒng)22即示出了本發(fā)明實(shí)施例提供的在網(wǎng)絡(luò)環(huán)境下不占用IP地址實(shí)現(xiàn)IPSEC VPN隧道系統(tǒng)的結(jié)構(gòu)���,為了便于說(shuō)明�����,僅示出了與本發(fā)明實(shí)施例相關(guān)的部分��,這些部分可以是軟件����、硬件或軟硬件結(jié)合的模塊
數(shù)據(jù)報(bào)文攔截器221�����、數(shù)據(jù)報(bào)文過(guò)濾器222�����、數(shù)據(jù)報(bào)文分流器224以及協(xié)議處理器223���、路由器和網(wǎng)橋225�。
其中�,數(shù)據(jù)報(bào)文攔截器221在接受網(wǎng)卡的中斷信號(hào)觸發(fā)下截獲所有通過(guò)該設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文并獲取包括鏈路層、網(wǎng)絡(luò)層和傳輸層��、應(yīng)用層的全包信息,進(jìn)一步遞交數(shù)據(jù)報(bào)文過(guò)濾器222處理��。數(shù)據(jù)報(bào)文過(guò)濾器222對(duì)經(jīng)過(guò)數(shù)據(jù)報(bào)文攔截器221捕獲的數(shù)據(jù)報(bào)文根據(jù)鏈路層�、網(wǎng)絡(luò)層和傳輸層的特征信息(MAC地址�����、IP地址����、協(xié)議���、端口、SPI索引等)對(duì)數(shù)據(jù)報(bào)文進(jìn)行分類處理��,不同類型的報(bào)文打上不同標(biāo)記����,進(jìn)一步交由數(shù)據(jù)報(bào)文分流器224進(jìn)行處理。數(shù)據(jù)報(bào)文分流器224根據(jù)不同的報(bào)文類型�����,將數(shù)據(jù)報(bào)文放入不同的處理路徑。ARP等鏈路層協(xié)議報(bào)文直接經(jīng)由路由器和網(wǎng)橋225通過(guò)網(wǎng)卡轉(zhuǎn)發(fā)���;ESP和AH等IPSEC數(shù)據(jù)報(bào)文重定向到協(xié)議處理器223進(jìn)行處理;IPSEC VPN設(shè)備保留端口號(hào)以外的所有IP和傳輸層報(bào)文直接經(jīng)由路由器和網(wǎng)橋225通過(guò)網(wǎng)卡轉(zhuǎn)發(fā)��。協(xié)議處理器223基于虛擬網(wǎng)卡技術(shù)�����,按照IPSEC VPN相關(guān)協(xié)議規(guī)范對(duì)IPSEC數(shù)據(jù)報(bào)文進(jìn)行封裝與解封裝�、加密與解密處理。IPSEC VPN隧道封裝所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)或服務(wù)器等在線設(shè)備共用��,在采用雙機(jī)備用形式部署的環(huán)境下也可與備用機(jī)共用��。虛擬網(wǎng)卡不對(duì)ARP等鏈路層消息進(jìn)行響應(yīng)�,這樣就保障了所共用IP地址對(duì)應(yīng)MAC地址映射的一致性。其中����,圖中網(wǎng)卡包括設(shè)備的所有工作網(wǎng)卡,需發(fā)送數(shù)據(jù)由路由器和網(wǎng)橋225進(jìn)行選路��,確定具體由其中某一個(gè)網(wǎng)卡發(fā)送����。本發(fā)明實(shí)施例通過(guò)將IPSEC VPN隧道所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)或服務(wù)器等在線設(shè)備共用�����,可以節(jié)省日益緊張的IP地址,在部署IPSEC隧道時(shí)不需要改動(dòng)網(wǎng)絡(luò)配置���,大大提高了 IPSEC VPN設(shè)備的易用性和網(wǎng)絡(luò)適應(yīng)性。以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種不占用IP地址的隧道實(shí)現(xiàn)方法,所述隧道為IPSEC VPN�����,其特征在于,所述方法包括下述步驟 A�、在底層協(xié)議棧構(gòu)建數(shù)據(jù)報(bào)文攔截器、數(shù)據(jù)報(bào)文過(guò)濾器和數(shù)據(jù)報(bào)文分流器�����; B���、數(shù)據(jù)報(bào)文攔截器截獲所有通過(guò)IPSECVPN設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文�; C�����、數(shù)據(jù)報(bào)文過(guò)濾器將截獲的所有數(shù)據(jù)報(bào)文進(jìn)行甄別和分類����; D、數(shù)據(jù)報(bào)文分流器將經(jīng)過(guò)甄別和分類后的數(shù)據(jù)報(bào)文進(jìn)行分流處理���。
2.如權(quán)利要求I所述的一種不占用IP地址的隧道實(shí)現(xiàn)方法��,其特征在于�����,步驟D具體包括以下步驟=IPSEC VPN隧道所用IP地址或與該IP地址相關(guān)的不同類型的數(shù)據(jù)報(bào)文采用不同的處理路徑鏈路層協(xié)議報(bào)文直接轉(zhuǎn)發(fā)��;IPSEC數(shù)據(jù)報(bào)文重定向到協(xié)議棧進(jìn)行處理�����;傳輸層報(bào)文直接轉(zhuǎn)發(fā)�。
3.如權(quán)利要求I或2所述的一種不占用IP地址的隧道實(shí)現(xiàn)方法,其特征在于��,所述方法進(jìn)一步包括 協(xié)議棧建立虛擬網(wǎng)卡對(duì)IPSEC數(shù)據(jù)報(bào)文進(jìn)行封裝與解封裝�����、加密與解密處理�。
4.如權(quán)利要求I或2所述的一種不占用IP地址的隧道實(shí)現(xiàn)方法���,其特征在于���,IPSECVPN隧道所采用的IP地址與內(nèi)部網(wǎng)絡(luò)的在線設(shè)備共用。
5.如權(quán)利要求I或2所述的一種不占用IP地址的隧道實(shí)現(xiàn)方法�,其特征在于,在采用雙機(jī)設(shè)備形式部署的環(huán)境下����,IPSEC VPN隧道所采用的IP地址與備用機(jī)共用�����。
6.如權(quán)利要求4所述的一種不占用IP地址的隧道實(shí)現(xiàn)方法����,其特征在于��,所述內(nèi)部網(wǎng)絡(luò)的在線設(shè)備為三層交換機(jī)或服務(wù)器��。
7.一種不占用IP地址實(shí)現(xiàn)IPSEC VPN隧道系統(tǒng)�����,其特征在于�����,所述系統(tǒng)包括 數(shù)據(jù)報(bào)文攔截器�����,用于截獲所有通過(guò)IPSEC VPN設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文; 數(shù)據(jù)報(bào)文過(guò)濾器��,用于將截獲的所有數(shù)據(jù)報(bào)文進(jìn)行甄別和分類��; 數(shù)據(jù)報(bào)文分流器����,用于將經(jīng)過(guò)甄別和分類后的數(shù)據(jù)報(bào)文進(jìn)行分流處理。
8.如權(quán)利要求7所述的不占用IP地址實(shí)現(xiàn)IPSECVPN隧道系統(tǒng)�����,其特征在于��,還包括基于虛擬網(wǎng)卡技術(shù)建立的協(xié)議處理器�����,用于對(duì)IPSEC數(shù)據(jù)報(bào)文進(jìn)行封裝與解封裝��、加密與解密處理��。
9.一種包含如權(quán)利要求7或8所述的不占用IP地址實(shí)現(xiàn)IPSEC VPN隧道系統(tǒng)的IPSECVPN設(shè)備���。
全文摘要
本發(fā)明適用于數(shù)據(jù)通信領(lǐng)域,提供了一種不占用IP地址的隧道實(shí)現(xiàn)方法、系統(tǒng)及設(shè)備�����,所述方法包括A�、在底層協(xié)議棧構(gòu)建數(shù)據(jù)報(bào)文攔截器、數(shù)據(jù)報(bào)文過(guò)濾器和數(shù)據(jù)報(bào)文分流器;B�、數(shù)據(jù)報(bào)文攔截器截獲所有通過(guò)IPSECVPN設(shè)備轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文;C、數(shù)據(jù)報(bào)文過(guò)濾器將截獲的所有數(shù)據(jù)報(bào)文進(jìn)行甄別和分類;D�、數(shù)據(jù)報(bào)文分流器將經(jīng)過(guò)甄別和分類后的數(shù)據(jù)報(bào)文進(jìn)行分流處理。本發(fā)明相比于現(xiàn)有技術(shù)�����,可以節(jié)省日益緊張的IP地址���,在部署IPSECVPN隧道時(shí)不需要改動(dòng)網(wǎng)絡(luò)配置����,大大提高了IPSECVPN設(shè)備的易用性和網(wǎng)絡(luò)適應(yīng)性�����。
文檔編號(hào)H04L12/46GK102761483SQ201210219710
公開日2012年10月31日 申請(qǐng)日期2012年6月29日 優(yōu)先權(quán)日2012年6月29日
發(fā)明者傅勇, 羅俊 申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司