专利名称:用于寻路由和ipsec的集成的架构的制作方法
技术领域:
本发明主要地涉及网际协议联网和拓扑,并且特别地但是并非排它地涉及用于虚拟专用网络中动态网络拓扑的寻路由和IPSec的集成。
背景技术:
虚拟专用网络(VPN)实现了比如因特网这样的外部/非受信IP网络上的安全通信。VPN提供一种用以连接比如客户机、服务器和主机计算机这样的在彼此远离的内部受信网络上的节点的相对安全方式。加密和其它安全机制通常用来通过非受信外部网络在授权用户之间为纯文本消息/分组创建安全的点到点“隧道”。通常,“纯文本”分组被加密和插入到外部分组中。内部“纯文本”分组随后通过非受信外部IP网络从一个VPN网关被“用隧道发送”(转发)到另一VPN网关,在该另一VPN网关处外部分组被解密而内部“纯文本”分组被朝着它在内部网络上的目的地转发。其它分组起到“纯文本”分组的保护壳或者封装的作用,因为它是通过外部非受信网络从一个节点用隧道发送到另一节点的。
通常,VPN中的网关对于在它们的内部网络上的IP业务而言还操作为路由器。例如,在从受信内部网络上的节点接收“纯文本”分组时,VPN网关在选择器列表中查找目的地以了解该分组是否去往在本地附接的内部网络以外的目的地以及是否应当对它进行加密以便用隧道发送到该目的地。如果是这样,则VPN网关通过外部非受信网络将“纯文本”分组安全地用隧道发送到与目的地相关联的特定对等VPN网关。特定对等VPN网关判断这一用隧道发送的分组的目的地是否在它们自己的选择器列表上。而如果是这样,则对加密分组进行解密并且将它转发到在它的本地附接内部网络上的节点。此外,如果“纯文本”分组的目的地不在选择器列表上而是成为路由表中的条目,则VPN网关将向目的地转发未加密的纯文本分组。
随着越来越多的网关被附加到VPN,可以开发网状拓扑,其中所有网关对VPN中的每个其它网关都有所认知。另外,可以在VPN中的每个网关之间建立隧道。然而,由于每个隧道可以与在每个网关处保持的列表中的选择器相关联,所以只要新的网关被附加到VPN或者路由被动态地改变时,管理员都可能必须更新在每个网关处的这种列表。因此,随着VPN中网关的数目的增长,更新每个网关上的每个选择器列表所需要的工作可能变得难以承担。另外,在VPN网关上所用的加密服务可能意识不到动态的路由变化。
参照以下附图来描述本发明的非限制性和非穷举性实施例。在附图中,除非另有说明,相同的标号在各图中通篇地指代相同的部分。
为了更好地理解本发明,将对结合附图来阅读的以下具体实施方式
进行参照,在附图中图1示出了对用于实施本发明的环境的一个实施例进行图示的功能框图;图2图示了可以包括在实施本发明的系统中的网络设备的一个实施例;图3通过与不同网络设备相关联的地址的一个实施例示出了图1的功能框图;图4图示了增强型网络分组的一个实施例;图5A示出了对用于发送网络分组的过程的一个实施例大体地进行表示的逻辑流图;图5B图示了对用于发送网络分组的过程的另一实施例大体地进行表示的逻辑图;以及图6示出了对根据本发明用于接收网络分组的过程的又一实施例大体地进行表示的逻辑流图。
具体实施例方式
现在将参照附图在下文中更完全地描述本发明,这些附图形成本发明的一部分并且通过示例示出了可以用来实施本发明的具体示例性实施例。然而,本发明可以用许多不同形式来实施而不应当理解为限于这里阐述的实施例;实际上,提供这些实施例是为了使本公开既透彻又完整并且将向本领域技术人员完全地传达本发明的范围。除实施为其它形式之外,本发明可以特别地实施为方法或者设备。因而,本发明可以采用完全硬件的实施例、完全软件的实施例或者组合软件和硬件方面的实施例的形式。因此以下具体描述不应理解成具有限制性意义。
简而言之,本发明涉及一种用于在VPN中的动态网络拓扑内使用IPSec和普通路由协议为分组寻路由的系统、方法和装置。本发明描述一种用于通过利用比如源地址和目的地地址这样的开放系统互连(OSI)第三层信息来安全地用隧道发送分组的机制。在一个实施例中,使用树机制查找可与受保护的子网络相关联的IP地址。当分组被标识为与受保护的子网络相关联时,利用诸如IP封装安全有效载荷(ESP)等协议将该分组加密和封装在另一分组内。可以对整个分组进行加密和封装,包括原目的地IP地址和源IP地址报头信息。使用与通向IPSec隧道的入口网关和出口网关相关联的IP地址来为另一分组提供新的源IP地址和目的地IP地址。当新的分组到达它的目的地时,可以使用原IP地址报头信息对它进行解密、解封装和寻路由。
示例性环境图1示出了对本发明可以实施于其中的操作环境100的一个实施例进行图示的功能框图。操作环境100仅仅是适合的操作环境的一个例子而本意不在于意味着对本发明的使用或者功能范围有任何限制。因此,可以使用其它众所周知的环境和配置而不脱离本发明的范围或者精神。
如图中所示,操作环境100包括通过网络104上的隧道彼此连接的网关102A-102E。外部网关106和108通过各种网关102A-104A与网络104连通。客户机118A与外部网关108连通,而客户机118B与外部网关106连通。
一般而言,网关102A-102E以及外部网关106和108可以包括实质上任何能够连接到另一计算设备以通过网络发送和接收信息的计算设备,包括路由器、防火墙等。因此,尽管这些设备称为网关,但是它们实际上可以实施为路由器或者类似的网络设备。下面结合图2更具体地描述网关102A-102E的一个实施例。
用于客户机118A和18B的设备类型也可以包括实质上任何能够使用有线或者无线通信介质通过网络进行通信的计算设备,比如个人计算机、多处理器系统、基于微处理器或者可编程客户电子设备、网络PC等。
网络104被配置为利用任何形式的计算机可读介质来将信息从一个能够在OSI模型之下进行第3层和第4层通信的电子设备传送到另一这样的设备。网络104可以包括因特网,以及局域网(LAN)、广域网(WAN)、直接连接(比如通过通用串行总线(USB)端口的直接连接)、其它形式的计算机可读介质或者其任何组合。在包括基于不同架构和协议的LAN在内的LAN互连集上,路由器可以在LAN之间充当链路,用以使消息能够从一个LAN发送到另一LAN的链路。在LAN内的通信链路还通常包括双绞线或者同轴线缆,而在网络之间的通信链路可以利用模拟电话线、包括T1、T2、T3和T4的完全或者部分专用数字线、综合业务数字网络(ISDN)、数字订户线(DSL)、包括卫星链路的无线链路或者本领域技术人员已知的其它通信链路。
此外,网络104可以包括通信介质,该通信介质通常实施计算机可读指令、数据结构、程序模块或者在比如载波、数据信号或者其它传送机制这样的调制数据信号中的其它数据,并且包括任何信息递送介质。术语“调制数据信号”和“载波信号”包括如下信号,该信号使它的一个或者多个特征以用以对该信号中的信息、指令、数据等进行编码的方式来设置或者改变。举例而言,通信介质包括能够在OSI模型之下进行第3层和第4层通信的有线介质,比如但不限于双绞线、同轴线缆、光纤、波导以及其它有线介质,还包括无线介质,比如但不限于声学、RF、红外线和其它无线介质。
示例性网关环境图2示出了根据本发明一个实施例用于实现比如图1的网关102A-102E这样的网关的操作的网络设备的一个实施例。网络设备200可以包括比所示组件多得多的组件。然而,所示组件足以公开用于实施本发明的说明性实施例。
网络设备200包括全部经由总线222彼此联通的处理单元212、视频显示适配器214和海量存储器。海量存储器一般包括RAM 216、ROM 232和一个或者多个永久海量存储设备,比如硬盘驱动228、磁带驱动、光驱动和/软盘驱动。海量存储器存储用于控制网络设备200的操作的操作系统220。任何通用操作系统都是可以利用的。还提供基本输入/输出系统(“BIOS”)218,用于控制网络设备200的低级操作。如图2中所示,网络设备200还可以经由被构造用于与各种通信协议一起使用的网络接口单元210与因特网或者一些其它通信网络通信,这些协议包括但不限于RIP、OSPF、SNMP、HTTP、UDP/IP、TCP/IP协议等。例如在一个实施例中,网络接口单元210可以利用一种使用TCP和IP多播两者的混合通信方案。网络接口单元210有时称为收发器、网络接口卡(NIC)。
网络设备200还可以包括用于发送和接收电子邮件的SMTP处理器应用、用于接收和传递HTTP请求的HTTP处理器应用和用于处理安全连接的HTTPS处理器应用。HTTPS处理器应用可以用安全方式发起与外部应用的通信。另外,网络设备200还可以包括支持实质上任何安全连接的应用,该连接包括但不限于TLS、TTLS、EAP、SSL、IPSec等。
网络设备200还包括用于与外部设备通信的输入/输出接口224,比如鼠标、键盘、扫描仪或者在图2中未示出的其它输入设备。类似地,网络设备200还可以包括附加的海量存储设施,比如CD-ROM/DVD-ROM驱动226和硬盘驱动228。除了存储其它信息之外,硬盘驱动228特别地可以用来存储应用程序、数据库、客户机设备信息、策略、安全信息,包括但不限于证书、密码、口令等。
一个或者多个应用250可以加载到海量存储器中并且在操作系统220上运行。应用程序的例子可以包括代码转换程序、调度程序、图形程序、数据库程序、字处理程序、HTTP程序、用户接口程序、各种安全程序等。海量存储器还可以包括比如路由应用260、选择器存储器262、IPSec应用264和IPSec查找存储器266这样的应用。这些应用还可以与在网络设备、另一网络设备、网关等上驻留的其它组件进行交互。
虽然在图2中图示为不同的组件,但是路由应用260、选择器存储器262、IPSec应用264和IPSec查找存储器266可以用各种方式中的任何方式来安排、组合等而不脱离本发明的范围。例如,IPSec应用264和IPSec查找存储器266的组件可以集成为单个应用或者数个应用。另外,IPSec应用264、IPSec查找存储器266等组件可以驻留于类似于网络设备200的一个或者多个计算设备中。
图3通过与不同网络设备相关联的地址的一个实施例图示了图1的功能框图。图3的系统300基本上类似于图1的系统100。因此,相同标记的组件基本上相同地进行操作。然而,图3图示了与各种组件相关联的IP地址。例如,如图中所示,IP地址192.6.5.10与客户机118B相关联。IP地址10.2.3.4与客户机118A相关联。类似地,IP地址20.3.5.10与网关102D相关联,而IP地址6.4.5.10与网关102A相关联。不言而喻,这样的IP地址的本意仅仅是作为例子,因此实质上任何IP地址都可以与组件相关联。IP地址现在可以用来说明本发明在一个实施例中如何操作。
图4图示了根据本发明的增强型网络分组的一个实施例。增强型网络分组400可以包括比所示组成多得多的组成。然而,所示组成足以公开用于实施本发明的说明性实施例。
如图中所示,增强型网络分组400包括源地址报头402、目的地地址报头404、封装安全有效载荷(ESP)报头406和数据字段408。数据字段408包括网络分组410,该网络分组除了包括未示出的其它组成之外特别地包括原IP源报头412、原IP目的地报头414和原数据416。
增强型网络分组400可以利用在援引结合于此的InternetRequest for Comments(RFC 2406)中所述的IP ESP协议来实施。例如在所示实施例中,可以使用在RFC 2406中如此描述的传送模式协议,使得仅对数据字段408的内容进行加密和封装。然而,本发明不限于此。例如,增强型网络分组400可以使用RFC 2406的隧道模式协议机制等来实施。
在图中仅仅鉴于说明性的目的而已经假设网络分组410的原IP源地址是IP地址192.6.5.10,而网络分组410的原IP目的地地址是IP地址10.2.3.4。因此,参照图3,原网络分组410是从客户机118B发送的并且去往客户机118A。
进一步如图所示,将网络分组410加密和封装在增强型网络分组400内。增强型网络分组400已经被分配了与图3的网关102D相关联的源IP地址20.3.5.10。增强型网络分组400还已经被分配了与图3的网关102A相关联的目的地IP6.4.5.10。
示例性流程图现在将结合图5A、图5B和图6来描述本发明某些方面的操作。图5A图示了对用于在具有潜在动态网络拓扑的VPN中使用IPSec来发送网络分组的过程的一个实施例大体地进行表示的逻辑流程图。图5A的过程500可以在图1的至少一个网关102A-102E内实施。通常在位于VPN边界处的网关收到网络分组时进入过程500。
过程500在开始块之后始于判决块502,其中关于收到的网络分组中的IP地址是否包含于选择器列表中进行判断。如果IP地址不在列表内,则过程500流向判决块504。然而,如果在选择器列表中为IP地址找到匹配,则该过程前进到块508,其中使用各种加密算法中的任何算法来对网络分组进行加密。
在判决块504,关于在比如图2的IPSec查找存储器266这样的IPSec动态路由查找存储器中是否找到源IP地址和目的地IP地址进行判断。在一个实施例中,IPSec查找存储器利用Patricia树机制,而在另一实施例中可以利用其它类型的树或者数据结构。然而,本发明不限于此,而可以利用实质上任何的搜索和存放机制。在任何情况下,如果在IPSec动态路由查找存储器内识别到匹配,则处理分支到块508;否则处理继续到块506,其中执行对分组的普通网络协议寻路由。在完成块506时,过程500返回到调用过程以执行其它动作。
然而,如果处理从判决块504或者判决块502分支到块508,则使用各种加密算法中的任何算法来对收到的数据分组进行加密。处理接着移到块510,其中将所加密的分组封装在使用ESP协议等来配置的另一(增强型)网络分组内。此外,增强型网络分组使用与接收网关相关联的IP地址作为源IP地址。增强型网络分组还使用与在VPN上的出口网关相关联的IP地址作为目的地IP地址。处理然后继续到块506,其中使用各种普通分组路由协议中的任何协议来为增强型网络分组寻路由。在完成块506时,过程500返回到调用过程以执行其它动作。
图5B图示了对用于在具有潜在动态网络拓扑的VPN中更新路由的过程的一个实施例大体地进行表示的逻辑流程图。图5B的过程520可以在图1的至少一个网关102A-102E内实施。通常在位于VPN边界处的网关收到网络分组时进入过程520。
过程520在开始块之后始于块522,其中入口网关处的路由监督器(daemon)从对等体接收路由更新。该对等体可以包括OSPF对等体、Metahop对等体或者VPN所保护的任何其它类型的对等体。接着过程移到判决块524,其中路由监督器可选地将路由更新与规则列表相比较。如果有肯定的比较,则该过程移到块526,其中IPSec查找存储器由入口网关处的路由监督器更新。该过程然后返回到调用过程以便执行其它操作。
然而,如果判决块524处的判断是否定的(对于路由更新没有肯定的规则比较),则该过程将前进到块528,其中路由更新将由路由监督器包含于路由表中。在这一情况下,路由更新将不包含于IPSEC查找存储器中。接着该过程将返回到调用过程以便执行其它操作。
图6图示了对用于在具有潜在动态网络拓扑的VPN中使用IPSec来接收网络分组的过程的一个实施例大体地进行表示的逻辑流程图。图6的过程600可以在图1的至少一个网关102A-102E内实施。通常当在VPN内的另一网关从图5的过程500收到增强型网络分组时进入过程600。
过程600在开始块之后始于块602,其中可以对收到的网络分组进行解密。处理然后继续到判决块604,其中关于选择器列表是否指示了收到的网络分组包含中间网络跳跃进行判断。如果是这样,则处理继续到块612;否则处理继续到判决块606。
在判决块606,关于网络分组内的IP地址是否与比如图2的IPSec查找存储器266这样的IPSec查找存储器内的IP地址相匹配进行判断。在一个实施例中,IPSec查找存储器利用Patricia树机制。然而,本发明不限于此,而可以利用实质上任何的搜索和存放机制。在任何情况下,如果找到匹配,则处理继续到判决块608;否则处理转移到块610。
在判决块608,关于网络分组的路由是否包含中间跳跃进行判断。如果是这样,则处理继续到块612,否则处理继续到块610。
在块612,对收到的网络分组进行重新加密。处理然后继续到块614,其中对重新加密的分组进行重新封装。此重新封装的(增强型)网络分组是使用VPN的入口网关的IP地址作为IP源地址并且使用VPN的出口网关的IP地址作为IP目的地地址来创建的。处理然后继续到块610。
在块610,使用任何普通分组路由协议为收到的网络分组寻路由。在对网络分组进行解密的实例中,通过使原封装数据分组可用于寻路由,原IP目的地地址被用来将网络分组寻路由到它的目的地。在完成块610时,处理返回到调用过程以执行其它动作。
将理解到,上文讨论的流程示中的每个块以及上述流程示中块的组合可以通过计算机程序指令来实施。这些程序指令可以提供给处理器以产生机器,使得在该处理器上执行的指令产生用于实施在一个或者多个流程块中指定的动作的装置。计算机程序指令可以由处理器执行以产生一系列操作步骤以便由处理器执行从而产生计算机实施的过程,使得在处理器上执行的指令提供用于实施在一个或者多个流程块中指定的动作的步骤。
因而,流程示中的块支持用于执行指定动作的装置的组合、用于执行指定动作的步骤的组合和用于执行指定动作的程序指令装置。还将理解到,流程示中的每个块和流程示中块的组合可以通过专用的基于硬件的系统来实施,这些系统执行指定动作或者步骤或者专用硬件和计算机指令的组合。
上述的说明、例子和数据提供了对本发明组成的制造和使用的完整描述。由于可以实现本发明的许多实施例而不脱离本发明的精神和范围,所以本发明存在于所附权利要求中。
权利要求
1.一种用于将封装和加密与分组寻路由相集成的方法,包括对包含于封装分组中的加密分组进行解密,其中通过网络来接收所述封装分组;如果选择器列表为所述解密分组指示了中间跳跃,则对所述解密分组进行重新加密并且将其包含于另一封装分组中,其中将所述另一封装分组朝着出口网关寻路由;以及如果所述解密分组与中间跳跃无关联,则将所述解密分组朝着它的目的地寻路由。
2.根据权利要求1所述的方法,还包括判断所述解密分组中的目的地地址是否包含于IPSec查找存储器中;判断是否为包含于IPSec查找存储器中的所述目的地地址指示了中间跳跃;对含有指示为所述中间跳跃的所述目的地地址的所述解密分组进行重新加密;以及将所述重新加密的分组重新封装在另一封装分组中,其中将所述另一封装分组朝着所述出口网关转发。
3.根据权利要求1所述的方法,其中所述另一封装分组利用出口网关地址为目的地IP地址以及入口网关地址为源IP地址。
4.根据权利要求1所述的方法,还包括接收分组,其中所述分组未解密;如果所述接收分组的目的地地址和源地址包含于所述选择器列表中,则判断所述目的地地址和所述源地址是否包含于IPSec查找存储器中;对含有包含于所述选择器列表和所述IPSec查找存储器两者中的所述源地址和所述目的地地址的所述分组进行加密;将所述加密分组封装在所述封装分组中;以及将所述封装分组朝着它的目的地转发。
5.根据权利要求4所述的方法,其中所述封装分组利用出口网关地址为目的地IP地址以及入口网关地址为源IP地址。
6.根据权利要求1所述的方法,其中包含于所述封装分组中的所述加密分组包含目的地地址和源地址,所述目的地地址和所述源地址与包含于所述封装分组中的另一目的地地址和另一源地址相分离。
7.根据权利要求1所述的方法,其中所述另一目的地地址与出口网关相关联,而所述另一源地址与入口网关相关联。
8.根据权利要求1所述的方法,还包括如果接收的路由更新与至少一个规则相关联,则利用所述路由更新来更新IPSEC查找存储器;以及如果所述接收的路由更新与至少一个规则无关联,则更新路由表。
9.一种用于将封装和加密与分组寻路由相集成的装置,包括用于存储指令的存储器;以及处理器,用于至少部分基于所述指令来实现以下动作,包括对包含于封装分组中的加密分组进行解密,其中通过网络来接收所述封装分组;如果选择器列表为所述解密分组指示了中间跳跃,则对所述解密分组进行重新加密并且将其包含于另一封装分组中,其中将所述另一封装分组朝着出口网关寻路由;以及如果所述解密分组与中间跳跃无关联,则将所述解密分组朝着它的目的地寻路由。
10.根据权利要求9所述的装置,其中所述动作还包括判断所述解密分组中的目的地地址是否包含于IPSec查找存储器中;判断是否为包含于IPSec查找存储器中的所述目的地地址指示了中间跳跃;对含有指示为所述中间跳跃的所述目的地地址的所述解密分组进行重新加密;以及将所述重新加密分组重新封装在另一封装分组中,其中将所述另一封装分组朝着所述出口网关转发。
11.根据权利要求9所述的装置,其中所述另一封装分组利用出口网关地址为目的地IP地址以及入口网关地址为源IP地址。
12.根据权利要求9所述的装置,其中所述动作还包括接收分组,其中所述分组未解密;如果所述接收分组的目的地地址和源地址包含于所述选择器列表中,则判断所述目的地地址和所述源地址是否包含于IPSec查找存储器中;对含有包含于所述选择器列表和所述IPSec查找存储器两者中的所述源地址和所述目的地地址的所述分组进行加密;将所述加密分组封装在所述封装分组中;以及将所述封装分组朝着它的目的地转发。
13.根据权利要求12所述的装置,其中所述封装分组利用出口网关地址为目的地IP地址以及入口网关地址为源IP地址。
14.根据权利要求9所述的装置,其中包含于所述封装分组中的所述加密分组包含目的地地址和源地址,所述目的地地址和所述源地址与包含于所述封装分组中的另一目的地地址和另一源地址相分离。
15.根据权利要求9所述的装置,其中所述另一目的地地址与出口网关相关联,而所述另一源地址与入口网关相关联。
16.根据权利要求9所述的装置,其中所述装置包括路由器、防火墙、服务器和网络设备中的至少一个。
17.根据权利要求9所述的装置,还包括路由监督器,用于执行以下操作,包括如果接收的路由更新与至少一个规则相关联,则利用所述路由更新来更新IPSEC查找存储器;以及如果所述接收的路由更新与至少一个规则无关联,则更新路由表。
18.一种包括多个可执行指令的计算机可读介质,其中所述多个指令使得能够执行以下动作,包括对包含于封装分组中的加密分组进行解密,其中通过网络来接收所述封装分组;如果选择器列表为所述解密分组指示了中间跳跃,则对所述解密分组进行重新加密并且将其包含于另一封装分组中,其中将所述另一封装分组朝着出口网关寻路由;以及如果所述解密分组与中间跳跃无关联,则将所述解密分组朝着它的目的地寻路由。
19.根据权利要求18所述的计算机可读介质,其中所述动作还包括判断所述解密分组中的目的地地址是否包含于IPSec查找存储器中;判断是否为包含于IPSec查找存储器中的所述目的地地址指示了中间跳跃;对含有指示为所述中间跳跃的所述目的地地址的所述解密分组进行重新加密;以及将所述重新加密分组重新封装在另一封装分组中,其中将所述另一封装分组朝着所述出口网关转发。
20.根据权利要求18所述的计算机可读介质,其中所述另一封装分组利用出口网关地址为目的地IP地址以及入口网关地址为源IP地址。
21.根据权利要求18所述的计算机可读介质,其中所述动作还包括接收分组,其中所述分组未解密;如果所述接收分组的目的地地址和源地址包含于所述选择器列表中,则判断所述目的地地址和所述源地址是否包含于IPSec查找存储器中;对含有包含于所述选择器列表和所述IPSec查找存储器两者中的所述源地址和所述目的地地址的所述分组进行加密;将所述加密分组封装在所述封装分组中;以及将所述封装分组朝着它的目的地转发。
22.一种用于集成IPSec和分组寻路由的操作的装置,包括用于存储多个指令的存储器;以及处理器,用于利用所述多个指令来实现动作,包括确定接收的分组是否封装了加密分组,以及如果接收的分组封装了加密分组,则执行以下动作,包括对包含于所述封装分组中的所述加密分组进行解密;如果中间跳跃与所述解密分组相关联,则在另一封装分组中对所述解密分组进行重新加密,其中将所述另一封装分组朝着出口网关寻路由;以及如果所述解密分组与中间跳跃无关联,则将所述解密分组朝着它的目的地寻路由。
全文摘要
本发明涉及在VPN中的动态网络拓扑内使用IPSec和普通路由协议为分组寻路由。IPSec分组的寻路由利用开放系统互连(OSI)第三层信息。在一个实施例中,树机制被用于查找可能与受保护的子网络相关联的第三层信息。当分组被标识为与受保护的子网络相关联时,可以利用IP封装安全有效载荷(ESP)协议将包括原目的地IP地址和源IP地址报头信息的该分组加密和封装在另一分组内。使用与通向VPN的入口网关和出口网关相关联的IP地址来为新的分组提供新的源IP地址和目的地IP地址。然后可以使用传统路由协议通过VPN为新的分组寻路由。
文档编号H04L29/06GK101048978SQ200580036668
公开日2007年10月3日 申请日期2005年9月1日 优先权日2004年9月15日
发明者J·D·阿斯尼斯, T·S·勒托南, O·卡尔托 申请人:诺基亚公司