专利名称:一种访问局域网的方法
技术领域:
本发明涉及通信技术领域,特别是涉及ー种访问局域网的方法。
背景技术:
因特网协议安全(IPSec)是一种由IETF (Internet Engineering Task Force)设计的端到端的确保因特网IP层通信安全的机制,包括网络认证协议(AH)、封装安全载荷协议(ESP)、密钥交换协议(IKE)和用于网络认证及加密的ー些算法等。当移动终端(例如手提电脑)需要访问局域网(例如校园内网)的服务器, 并需要与防火墙建立IPSec隧道后再进行内网访问时,现有方案中,都是先建立IPSec隧道。这种方案就会发生TCP连接失败,而由于应用层需要是建立连接的协议(如telnet和http等需要进行连接和AAA认证的协议),相应的,当客户端没有开启http和telnet服务器则会连接失败,AAA认证不通过也会使认证失败,从而导致由于防火墙上IPSec隧道已经生成而造成的防火墙性能的不必要损耗,从而造成网络资源的不必要占用以及系统内存资源的浪费。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是如何避免在访问局域网时,由于防火墙上IPSec隧道的不必要生成而造成的防火墙性能损耗。(ニ)技术方案为了解决上述技术问题,本发明提供一种访问局域网的方法,包括以下步骤SI、终端向局域网发起连接请求;S2、判断发起所述连接请求时所使用的传输层协议是否为TCP连接的协议以及应用层协议是否需要建立连接,如果是,则先进行TCP连接和应用层的连接,在TCP连接和应用层的连接成功之后再执行步骤S3,如果TCP连接或应用层的连接不成功,则结束;如果不是TCP连接的协议或应用层协议不需要建立连接,则直接执行步骤S3 ;S3、在防火墙上建立IPSec隧道,通过所建立的IPSec隧道访问所述局域网。优选地,在步骤S2中,当所述局域网的主机不存在时判断为TCP连接不成功;当所述应用层协议是需要进行AAA认证的协议时,在終端没有开启相应的应用层服务器或者AAA认证不通过时,都判断为应用层的连接不成功。优选地,步骤S3中,通过IKE协商建立IPSec隧道。优选地,步骤S3中进行IKE协商的过程中发送协商报文,所述协商报文携帯配置信息。优选地,所述配置信息包括加密密钥和协商策略。优选地,所述终端为移动PC。(三)有益效果上述技术方案具有如下优点本发明在向局域网发起连接请求之后,首先判断是否为TCP连接的协议以及应用层协议是否需要建立连接,然后再建立IPSec隧道,而并非先建立IPSec隧道然后再判断是否进行TCP连接和在需要时进行应用层协议连接,这样就避免了在IPSec隧道建立之后发现需要访问的设备不存在、应用层连接失败、应用层认证未通过等情况下所造成的由于PSec隧道的不必要生成而导致的防火墙性能损耗。
图I是本发明的方法流程图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进ー步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。如图I所示,本发明提供一种访问局域网的方法,包括以下步骤
SI、当移动PC不在某一局域网(例如校园内网)中,而需要从外网通过防火墙访问该局域网时,首先,向局域网发起连接请求;S2、由防火墙判断发起所述连接请求时所使用的传输层协议是否为TCP连接的协议以及应用层协议是否需要建立连接,如果是,则先进行TCP连接和应用层的连接,在TCP连接和应用层的连接成功之后再执行步骤S3,如果TCP连接或应用层的连接不成功,则结束,不再连接局域网;如果不是TCP连接的协议或应用层协议不需要建立连接,则直接执行步骤S3 ;S3、在防火墙上通过IKE协商过程建立IPSec隧道,通过所建立的IPSec隧道访问所述局域网。本实施例中,所访问的局域网主机不存在时判断为TCP连接失败,当所述应用层协议是需要进行AAA认证的协议时,如telnet和http,相应的,在终端没有开启http和telnet服务器或者AAA认证不通过时,都判断为应用层的连接不成功。本实施例中,步骤S3中进行IKE协商的过程中发送协商报文,所述协商报文携帯配置信息,所述配置信息包括加密密钥和协商策略。由以上实施例可以看出,本发明在向局域网发起连接请求之后,首先判断是否为TCP连接的协议以及应用层协议是否需要建立连接,然后再建立IPSec隧道,而并非先建立IPSec隧道然后再判断是否进行TCP连接和在需要时进行应用层协议连接,这样就避免了在IPSec隧道建立之后发现需要访问的设备不存在、应用层连接失败、应用层认证未通过等情况下所造成的由于PSec隧道的不必要生成而导致的防火墙性能损耗以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
权利要求
1.一种访问局域网的方法,其特征在于,包括以下步骤 51、终端向局域网发起连接请求; 52、判断发起所述连接请求时所使用的传输层协议是否为TCP连接的协议以及应用层协议是否需要建立连接,如果是,则先进行TCP连接和应用层的连接,在TCP连接和应用层的连接成功之后再执行步骤S3,如果TCP连接或应用层的连接不成功,则结束;如果不是TCP连接的协议或应用层协议不需要建立连接,则直接执行步骤S3 ; 53、在防火墙上建立IPSec隧道,通过所建立的IPSec隧道访问所述局域网。
2.如权利要求I所述的方法,其特征在于,在步骤S2中,当所述局域网的主机不存在时判断为TCP连接不成功;当所述应用层协议是需要进行AAA认证的协议时,在终端没有开启相应的应用层服务器或者AAA认证不通过时,都判断为应用层的连接不成功。
3.如权利要求I所述的方法,其特征在于,步骤S3中,通过IKE协商建立IPSec隧道。
4.如权利要求3所述的方法,其特征在于,步骤S3中进行IKE协商的过程中发送协商报文,所述协商报文携带配置信息。
5.如权利要求4所述的方法,其特征在于,所述配置信息包括加密密钥和协商策略。
6.如权利要求广5中任一项所述的方法,其特征在于,所述终端为移动PC。
全文摘要
本发明公开了一种访问局域网的方法,包括以下步骤S1.终端向局域网发起连接请求;S2.判断发起所述连接请求时所使用的传输层协议是否为TCP连接的协议以及应用层协议是否需要建立连接,如果是,则先进行TCP连接和应用层的连接,在TCP连接和应用层的连接成功之后再执行步骤S3,如果TCP连接不成功,则结束;如果不是TCP连接的协议或应用层协议不需要建立连接,则执行步骤S3;S3.建立IPSec隧道,通过IPSec隧道访问所述局域网。本发明避免了在IPSec隧道建立之后发现需要访问的设备不存在、应用层连接失败、应用层认证未通过等情况下,所造成的由于PSec隧道的不必要生成而导致的防火墙性能损耗。
文档编号H04L29/06GK102843281SQ20121034490
公开日2012年12月26日 申请日期2012年9月18日 优先权日2012年9月18日
发明者陈海滨 申请人:汉柏科技有限公司