基于互联网建立桥接专线系统的制作方法

本实用新型涉及VPN技术领域，尤其涉及一种基于互联网建立桥接专线系统。

背景技术：

随着公司业务的发展和公司规模的扩大，为了方便总公司与各分支机构之间实现协同业务管理，或公司或分支机构与公司成员之间业务的沟通，以便实现异地办公，需要虚拟专用网络(Virtual Private Network；简称：VPN)技术在公用互联网上建立网络桥接专线，达到多地、多局域网、多用户远程访问的目的。

现有VPN技术是在公用互联网上建立的虚拟隧道，形成总公司与各分支机构之间点对点建立的网络桥接专线，或者公司或分支机构与公司成员之间的点对点建立的网络桥接专线，数据在网络桥接专线传输过程中进行加密通迅。

然而，现有的VPN技术中，必须建立点对点网络桥接专线的两地之间才能实现通讯。

技术实现要素：

本实用新型提供了一种基于互联网建立桥接专线系统，用以解决现有的VPN技术必须建立点对点网络桥接专线的两地之间才能实现通讯的问题。

本实用新型提供了一种基于互联网建立桥接专线系统，包括：第一防火墙、第二防火墙和第三防火墙，上述第一防火墙和上述第二防火墙之间设置有第一虚拟专用网络VPN桥接专线，上述第二防火墙和上述第三防火墙之间设置有第二VPN桥接专线；上述第一防火墙，用于接收用户设备发送的第一数据包，上述第一数据包中包含源地址和目的地址，还用于对上述第一数据包进行处理，在上述第一数据包中添加第二防火墙的第一VPN网段地址，得到第二数据包；上述第二防火墙为上述第一防火墙的相邻防火墙；上述第一防火墙，还用于通过上述第一防火墙与上述第二防火墙之间的第一VPN桥接专线，向上述第二防火墙发送上述第二数据包；上述第二防火墙，用于根据上述第二数据包中的目的地址，确定上述目的地址对应的第三防火墙的第二VPN网段地址，将上述第二数据包中的第一VPN网段地址替换为上述第二VPN网段地址，得到第三数据包；上述第二防火墙，还用于通过上述第二防火墙和上述第三防火墙之间的第二VPN桥接专线，向上述第三防火墙发送上述第三数据包。

本实用新型提供的基于互联网建立桥接专线系统还包括：网页管理系统，上述网页管理系统用于配置上述第一防火墙、上述第二防火墙和上述第三防火墙。

上述网页管理系统还用于更新上述第一防火墙、上述第二防火墙和上述第三防火墙的配置信息。

上述第一防火墙还用于对上述第二数据包进行加密处理，上述第二防火墙还用于对上述第三数据包进行加密处理。

上述第一防火墙还用于对上述第二数据包进行压缩处理，上述第二防火墙还用于对上述第三数据包进行压缩处理。

上述第一防火墙、上述第二防火墙和上述第三防火墙均设置安全套接层SSL VPN模式和互联网协议安全性IPSec模式。

上述网页管理系统，还用于对用户登录信息进行验证。

本实用新型公开了一种基于互联网建立桥接专线系统，包括：第一防火墙、第二防火墙和第三防火墙，所述第一防火墙和所述第二防火墙之间设置有第一虚拟专用网络VPN桥接专线，所述第二防火墙和所述第三防火墙之间设置有第二VPN桥接专线；通过在中转地防火墙处修改虚拟专用网络VPN网段地址，可以使得在已有的网络桥接专线系统内任两地之间实现通讯，解决了现有的虚拟专用网络VPN技术中，两地之间的通讯必须建立点对点网络桥接专线的两地之间才能实现通讯的问题，节省了建立点对点网络桥接专线的人力与物力。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本实用新型基于互联网建立桥接专线系统实施例一与实施例二互联网建立桥接专线系统的结构示意图；

图2为本实用新型基于互联网建立桥接专线系统实施例一数据传送的流程示意图；

图3为本实用新型基于互联网的建立桥接专线系统实施例一某公司桥接系统示意图。

具体实施方式

下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

本实用新型的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和/或“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本实用新型的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本实用新型公开的基于互联网建立桥接专线系统，包括：第一防火墙、第二防火墙和第三防火墙，第一防火墙和第二防火墙之间设置有第一VPN桥接专线，第二防火墙和第三防火墙之间设置有第二VPN桥接专线；本实用新型公开的基于互联网建立桥接专线系统通过在中转地防火墙处修改虚拟专用网络VPN网段地址，可以使得在已有的网络桥接专线系统内任两地之间实现通讯，解决了现有的虚拟专用网络VPN技术中，两地之间的通讯必须建立点对点网络桥接专线的两地之间才能实现通讯的问题，节省了建立点对点网络桥接专线的人力与物力。

下面以具体地实施例对本实用新型的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

实施例一

图1为本实用新型基于互联网建立桥接专线系统实施例一互联网建立桥接专线系统的结构示意图。如图1所示，本实用新型中基于互联网建立桥接专线系统包括：

第一防火墙、第二防火墙和第三防火墙，第一防火墙和第二防火墙之间设置有第一VPN桥接专线，第二防火墙和第三防火墙之间设置有第二VPN桥接专线。

具体的，本实用新型基于互联网建立桥接专线系统中不限定防火墙的数目，也不限定防火墙之间VPN的数目，不限定建立桥接专线间地点的数目。如图1中所示。防火墙的数目可以为5个。

在本实施例中，如图1中所示：A地的防火墙1可以作为第一防火墙，B地的防火墙2可以作为第二防火墙，C地的防火墙3可以作为第三防火墙。A地与B地之间的VPN1可以作为第一VPN桥接专线，A地与C地之间的VPN2可以作为第二VPN桥接专线。防火墙1用于接收A地用户设备发送的第一数据包，其中，第一数据包中包含源地址和目的地址。

可选的，A地用户设备可以为图1中终端设备101、终端设备102…终端设备N1。

图2为本实用新型基于互联网建立桥接专线系统实施例一数据传送的流程示意图。可选的，图2中数据传送过程可以是发生在图1中B地向C地发送数据的过程。

如图1以及图2所示，B地的本公司员工可以通过设备终端201…终端设备N2向本地防火墙2发送数据包1，其中，数据包1包含所要发送的数据、源地址B以及目的地址C。

由于B、C两地之间不存在点对点网络桥接专线，而A、B两地以及A、C两地之间均存在桥接专线，本实用新型的桥接专线系统可以通过A地的中转，使得B、C两地不需建立桥接专线便可以进行通讯，也就是B地首先向A地发送数据包，在经过A地中转向C地发送，进而到达B地向C地发送数据包的目的，节省了建立公司的每两地之间桥接专线的费用。

B地向A地发送数据包时需要经过A、B之间的第一VPN桥接专线，所以，本地防火墙2收到数据包1后需要对其进行封装，将防火墙1的VPN网段地址1添加至数据包1的头部，得到数据包2，并经过第一VPN桥接专线向A地的防火墙1发送。

A地防火墙1接收数据包2并解包，去除数据包2头部的VPN网段地址1，得到数据包3。获取并查看数据包3中的目的地址，并检查数据包3中的目的地址是否属于本地地址，若果属于本地地址，则不再进行数据包传送；如果不属于本地地址，则向数据包中包含的目的地址转发。

在本实施例中，数据包中的目的地址可以是C地，A地防火墙1检查目的地址不属于本地地址，则进行查表，寻找数据包中目的地址C对应的VPN网段地址2，将目的地址C对应的VPN网段地址2添加至数据包3的头部得到数据包4。并将数据包4经过第二VPN桥接专线发送给C地防火墙3。

C地防火墙3对接收到的数据包4，去除数据包4头部的VPN网段地址2，得到数据包5。获取并查看数据包5中的目的地址，经过查表发现数据包5中的目的地址属于本地地址，则读取数据包中数据内容。

可选的，如图1以及图2所示，A地防火墙1对VPN地址的转换可以采用网络地址转换(Network Address Translation，简称：NAT)技术。

可选的，如果需要针对数据内容进行回复，则将数据包5中的源地址B作为目的地址创建数据包，经A地防火墙的中转后将夫妇的数据包发送至B地，数据包传送过程与上述由B地至C地的传送过程相对应，在此不再赘述。

可选的，A地可以作为B、C两地进行数据发送的中转功能，是通过采用集成路由式VPN和防火墙VPN技术，实现对数据包的头部添加数据接收方防火墙的VPN网段地址，配合数据包中目的地址的判断，进而实现不存在点对对桥接专线的两地之间可以通过第三方实现数据通信。其中，数据传送的双方均与第三方存在VPN桥接专线，第三方起到转发数据的作用。

可选的，如图1以及图2所示，VPN网段地址1与VPN网段地址2可以相同也可以不同，数据包头部的VPN网段地址由数据传送经过的VPN桥接专线的接收端的防火墙决定。

图3为本实用新型基于互联网的建立桥接专线系统实施例一某公司桥接系统示意图。如图3所示，此公司分布在A、B、C、D以及E五个地区，各地之间存在的桥接专线如图3中所示。

可选的，本实用新型基于互联网建立桥接专线系统还可以包括网页管理系统，网页管理系统用于配置桥接专线系统中防火墙的管理，是指当不存在VPN桥接专线的两地之间进行远程的数据通讯时，例如图3中的B、C两地需要远程的数据通讯，通过本实用新型中桥接专线系统，可以选择A地防火墙作为数据转发，也可以选择D地防火墙作为数据转发，还可以选择D和E两地防火墙作为数据转发等，由此可见，B、C两地远程的数据通讯途径有多种，网页管理系统可以根据可作为中转地防火墙的忙碌状况以及途径中转地的数量，为B、C两地实现远程的数据通讯选择最佳中转地防火墙，从而为B、C两地实现远程的数据通讯选择最佳路径。

如图1以及图2所示，通过第一VPN桥接专线(即VPN1)进行B、A两地间远程的数据通讯时，在第一VPN桥接专线(即VPN1)的发送端B的防火墙2添加VPN网段地址1，其中，所述VPN网段地址1为第一VPN桥接专线(即VPN1)接收端A防火墙1对应的VPN网段地址。或者，如图1以及图2所示，A地作为B、C两地间远程的数据通讯的中转地时，A地接收到的数据包中的目的地址可以是C地，A地防火墙1检查目的地址不属于本地地址，则进行查表，寻找数据包中目的地址C对应的VPN网段地址2。其中，网段地址2与C地防火墙3对应。上述表中也是VPN网段地址与通过VPN桥接专线进行传送时接收端的对应关系。

可选的，VPN桥接专线发送端与其VPN网段地址具有一一对应关系，此种对应关系的更新可以通过网页管理系统完成。

可选的，如图1以及图2所示，B地防火墙2将数据包2向A地防火墙1发送时，还包括对数据包2进行加密处理；A地防火墙1将数据包4向C地防火墙3发送时，还包括对数据包4进行加密处理。

可选的，如图1以及图2所示，B地防火墙2将数据包2向A地防火墙1发送时，还包括对数据包2进行压缩处理；A地防火墙1将数据包4向C地防火墙3发送时，还包括对数据包4进行压缩处理。本实施例中，可以通过LZO(Lempel-Ziv-Oberhumer；简称：LZO)压缩算法对数据包进行压缩。通过将数据包压缩后通过VPN桥接专线传送，提高了数据包的传送速率。

可选的，如图1以及图2所示，实现B地与C地间远程的数据通讯的过程中，防火墙1、防火墙2以及防火墙3均可以设置为SSL VPN模式。

可选的，如图1所示，B地防火墙2可以分别与P地防火墙21、Q地防火墙22之间通过VPN桥接专线进行远程的数据通讯。而P地防火墙21与Q地防火墙22之间虽然不存在点对点的网络桥接专线，但是在本实用新型基于互联网建立桥接专线系统中，可以将B地作为中转地，通过在中转地B地防火墙2处修改虚拟专用网络VPN网段地址，可以使得P地与Q地两地之间实现远程的数据通讯。

本实施例中，通过在中转地防火墙处修改虚拟专用网络VPN网段地址，可以使得在已有的网络桥接专线系统内任两地之间实现通讯，解决了现有的虚拟专用网络VPN技术中，两地之间的通讯必须建立点对点网络桥接专线的两地之间才能实现通讯的问题，节省了建立点对点网络桥接专线的人力与物力，便于公司内部远程的数据通讯。

实施例二

图1为本实用新型基于互联网建立桥接专线系统实施例二互联网建立桥接专线系统的结构示意图。如图1所示：

D地的客户端M可以表示为出差在D地的员工使用的客户端，此员工可以属于公司B地分支机构。此外地出差员工通过客户端M在可以连接互联网的情况下，便可以访问公司B地分支机构内部网络，此时，公司B地分支机构的防火墙2设置为IPsec模式。

可选的，客户端M不仅可以访问公司B地分支机构内部网络，还可以在基于实施例一中B地与A地、或者B地与C地的VPN桥接专线连接访问A地或者C地的公司内部网络。

可选的，如图1所示，防火墙1、防火墙2以及防火墙3均可以设置为IPsec模式、SSL VPN模式或者两种模式并存。

本实施例中，通过采用IPsec模式，外部出差员工可以方便地连接自己所属公司某地机构的内部网络，进而，通过公司不同所在地之间的基于互联网建立桥接专线系统，实现对公司各地机构内部网络的连接，方便了外地出差员工与公司的实时沟通。

最后应说明的是：以上各实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述各实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的范围。