CN113259330B - 一种用于IPSec VPN主动添加加密通信策略的方法 - Google Patents
一种用于IPSec VPN主动添加加密通信策略的方法 Download PDFInfo
- Publication number
- CN113259330B CN113259330B CN202110471985.6A CN202110471985A CN113259330B CN 113259330 B CN113259330 B CN 113259330B CN 202110471985 A CN202110471985 A CN 202110471985A CN 113259330 B CN113259330 B CN 113259330B
- Authority
- CN
- China
- Prior art keywords
- gateway
- sub
- data
- data packet
- net1
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于IPSec VPN主动添加加密通信策略的方法。设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW;在IPSec VPN网络***中新增一台VPN网关或已部署VPN网关调整保护的业务子网发生调整情况下,运维人员只需要根据自己的实际情况调整己方网关的保护子网配置,无需在其他VPN网关上再修改加密通信策略配置,尤其对于没有集中配置管理***情况更具优势,降低了用户运行维护成本,提升了用户体验。
Description
技术领域:
本发明属于网络通信技术领域,特别涉及一种用于IPSec VPN主动添加加密通信策略的方法。
背景技术:
目前,IPSec VPN网关在初始***署时,需要提前对整个用户加密网络拓扑、保护子网等信息进行收集,然后规划出加密互通关系,形成配置方案,并通过建设运维人员手工逐条逐条往VPN网关中配置加密通信策略的方式实现或者在集中配置管理***中逐条添加加密通信策略然后统一下发的方式进行***初始配置,从而造成对网络建设、运维人员的知识、技能要求比较高,或者需要专门投资建设集中配置管理***。
此外,对于已部署VPN网关调整保护的业务子网发生调整情况下,需要在所有具有与此台VPN网关存在加密互通关系的其他VPN网关上重新手动调整加密通信策略,还需要重新调试以确认配置的正确性,费时费力,对运维人员压力大。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
发明内容:
本发明的目的在于提供一种用于IPSec VPN主动添加加密通信策略的方法,从而克服上述现有技术中的缺陷。
为实现上述目的,本发明提供了一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
与现有技术相比,本发明具有如下有益效果:
在IPSec VPN网络***中新增一台VPN网关或已部署VPN网关调整保护的业务子网发生调整情况下,运维人员只需要根据自己的实际情况调整己方网关的保护子网配置,无需在其他VPN网关上再修改加密通信策略配置,尤其对于没有集中配置管理***情况更具优势,降低了用户运行维护成本,提升了用户体验。
附图说明:
图1为本发明用于IPSec VPN网关主动添加加密通信策略***构架示意图。
具体实施方式:
下面对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。
Claims (1)
1.一种用于IPSec VPN主动添加加密通信策略的方法,设定IPSec VPN网络***中网关GW各自只配置了自身的IPGW,保护的子网信息SubNet,以及在己方的证书白名单中添加了对方证书CERTGW,其中IPGW为网关GW的IP地址,SubNet为Net子网信息,CERTGW为网关GW公钥证书序列号;
其步骤为:(1)网关GW1接收到来自PC1第一次向PC2发送的IP数据包①,网关GW1判断PC1是处于己方SubNet1内,且不存在SubNet1与PC2所在子网的加密通信互通策略,因此不能匹配到加密通信策略;
(2)网关GW1构造出基于UDP协议用于探测对端网关的UDP[IPPC1,IPPC2,DATA(CERTGW1,IPGW1,SubNet1),SignGW1(DATA)]数据包②并发到外网;其中UDP[]为UDP协议格式的数据包,IPPC1、IPPC2为PC1、PC2的IP地址,DATA(CERTGW1,IPGW1,SubNet1)为包含CERTGW1、IPGW1、SubNet1字段的数据载荷,SignGW1(DATA)为用网关GW的私钥对DATA数据进行签名;
(3)经过外网路由,网关GW2接收到数据包②,经过证书验证网关GW1在允许建立安全通信的白名单中,解析出GW1和PC1的网络信息,网关GW2构造ICMP[IPGW2,IPPC2]数据包③并发到内网;其中ICMP[]为ICMP协议格式的数据包;
(4)PC2接收到数据包③后发出ICMP[echo]应答数据包④;
(5)网关GW2接收到数据包④,确认PC2位于本设备保护的子网SubNet2内,网关GW2构造出UDP[IPGW2,IPGW1,DATA(CERTGW2,IPGW2,SubNet2),SignGW2(DATA)]数据包⑤并发到外网;
(6)网关GW1接收到数据包⑤,经过证书验证网关GW2在允许建立安全通信的白名单中,并解析出PC2位于网关GW2所保护的子网SubNet2内,提取消息中网关GW2和子网SubNet2信息,网关GW1主动添加1条SubNet1与SubNet2之间的加密通信策略,并构造应答消息UDP[IPGW1,IPGW2,DATA(echo),SignGW1(DATA)]数据包⑥发往网关GW2进行确认;
(7)网关GW2接收到数据包⑥后,网关GW2也主动添加1条SubNet1与SubNet2之间的加密通信策略,然后启动IKEv2协商⑦出SA,最终网关GW1和网关GW2即可完成SubNet1与SubNet2之间双向VPN隧道⑧的建立;
(8)PC1与PC2之间通信的IP数据包在通过网关GW1和网关GW2时,就会在已经构建的双向VPN隧道⑧中进行安全传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110471985.6A CN113259330B (zh) | 2021-04-29 | 2021-04-29 | 一种用于IPSec VPN主动添加加密通信策略的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110471985.6A CN113259330B (zh) | 2021-04-29 | 2021-04-29 | 一种用于IPSec VPN主动添加加密通信策略的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113259330A CN113259330A (zh) | 2021-08-13 |
CN113259330B true CN113259330B (zh) | 2022-05-10 |
Family
ID=77223404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110471985.6A Active CN113259330B (zh) | 2021-04-29 | 2021-04-29 | 一种用于IPSec VPN主动添加加密通信策略的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113259330B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及*** |
CN101969414A (zh) * | 2010-10-15 | 2011-02-09 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9258282B2 (en) * | 2012-10-24 | 2016-02-09 | Cisco Technology, Inc. | Simplified mechanism for multi-tenant encrypted virtual networks |
-
2021
- 2021-04-29 CN CN202110471985.6A patent/CN113259330B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及*** |
CN101969414A (zh) * | 2010-10-15 | 2011-02-09 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113259330A (zh) | 2021-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4737089B2 (ja) | Vpnゲートウェイ装置およびホスティングシステム | |
Patel et al. | Securing L2TP using IPsec | |
EP1658700B1 (en) | Personal remote firewall | |
US7444415B1 (en) | Method and apparatus providing virtual private network access | |
US7373660B1 (en) | Methods and apparatus to distribute policy information | |
US7809126B2 (en) | Proxy server for internet telephony | |
US20070079368A1 (en) | Connection assistance apparatus and gateway apparatus | |
WO2003015360A3 (en) | System and method for secure network roaming | |
EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
CN106685956A (zh) | 一种路由器的vpn网络连接方法及*** | |
US20080137863A1 (en) | Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device | |
TW200824356A (en) | A method for managing a newwork based VPN configuration, a method for establishing a VPN tunnel, and a system for configuring a VPN policy and establishing a VPN tunnel | |
WO2008039506B1 (en) | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns | |
CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
JP2004328029A (ja) | ネットワークアクセスシステム | |
CN113259330B (zh) | 一种用于IPSec VPN主动添加加密通信策略的方法 | |
Liyanage et al. | Secure hierarchical virtual private LAN services for provider provisioned networks | |
CN104426735B (zh) | 一种建立虚拟专用网络连接的方法及装置 | |
Xenakis et al. | Secure VPN deployment in GPRS mobile network | |
KR102059150B1 (ko) | IPsec 가상 사설 네트워크 시스템 | |
Cisco | Policy Management | |
US20200287868A1 (en) | Systems and methods for in-band remote management | |
JP5864453B2 (ja) | 通信サービス提供システムおよびその方法 | |
US20130133063A1 (en) | Tunneling-based method of bypassing internet access denial | |
Thiara | Enterprise Based VPN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |