一种基于虚拟专用网隧道的报文发送方法及客户端的制作方法

专利名称：一种基于虚拟专用网隧道的报文发送方法及客户端的制作方法
技术领域：
本发明关于虚拟专用网(VPN)技术，特别是关于VPN的接入技术，具 体的讲是一种基于VPN隧道的报文发送方法及客户端。
背景技术：
企业作为信息化的主体，是信息技术最普遍的实践者。在信息化的过程 中，企业一方面需要扩展其内网应用服务资源和数据资源的访问领域，以满 足越来越多的远程接入需求，比如分支机构接入、合作伙伴接入、客户接入、 出差员工接入、远程办公接入等。另一方面，还需要保证内网的安全和接入 的安全性，防止企业内部网络遭受黑客和病毒的攻击，并确保传输的信息不 被监听、窃取或篡改。
承载于互联网(Internet)之上的VPN隧道接入方式为上述的内网安全接
入问题提供了解决之道。安全接入网关是一种具备远程安全接入能力的接入 设备，它可以采用IPSec隧道方式或者SSL/TLS加密方式，为通过Internet 接入企业网的用户提供了安全加密的VPN通道。
目前，实现VPN客户端的方式是采用添加路由和添加虚拟网卡驱动的方 式，就是在客户端获得虚拟IP地址后，按照相关配置，在客户端侧需要增加 路由，当访问对应的网段时，需要路由至虚拟网卡，这样就可以对报文进行 截包处理。然而，这种通过虚拟网卡进行截包处理的方式，需要手工配置虚 拟网卡的IP地址，路由参数也需要由用户手工进行配置，实现起来非常复杂。

发明内容
本发明实施例提供了一种基于虚拟专用网隧道的报文发送方法及客户 端，降低方案实现复杂度。根据本发明的一方面，提供一种基于虚拟专用网隧道的报文发送方法，
所述的方法包括以下步骤通过VPN隧道从VPN网关接收资源信息；接收 报文，并从接收的报文中获取报文信息；将所述报文信息与所述资源信息进 行匹配；截取报文信息与资源信息相匹配的报文，通过所述的VPN隧道将所 述相匹配的报文发送给所述VPN网关。
根据本发明的另一方面，提供一种虚拟专用网客户端，其特征是，所述 的VPN客户端包括资源信息接收单元，用于通过VPN隧道从VPN网关接 收资源信息；报文信息获取单元，用于接收报文并从接收的报文中获取报文 信息；报文信息匹配单元，用于将所述的报文信息与所述的资源信息进行匹 配；报文截取发送单元，用于将报文信息与资源信息相匹配的报文从接收的 报文中截取，并通过所述的VPN隧道将报文信息与资源信息相匹配的报文发 送给所述VPN网关。
本发明实施例通过对VPN客户端的实现，可以从链路层直接接收每个IP 报文，并从IP报文中获取目的IP地址和目的端口号等IP报文信息，通过将 这些IP报文信息与VPN网关资源信息相匹配可以容易的判断对应的IP报文 是否需要发往VPN网关。如果VPN网关的资源信息包含访问控制策略 (ACL), VPN客户端通过将IP报文信息与ACL的匹配，非常容易地实现了 ACL限制报文的截取。从而解决了不通过虚拟网卡、无需添加路由便可实现 VPN客户端的报文截取和发送或报文截取和丢弃的问题，从而降低了方案实 现复杂度。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例一的报文发送方法流程图2为本发明实施例一的系统实现流程图3为本发明实施例一 VPN网关资源信息列表；
图4为本发明实施例一的IP报文信息获取示意图5为本发明实施例二 VPN客户端结构框图6为本发明实施例二的包含ACL的VPN网关资源信息列表；
图7为本发明实施例二的IP报文信息获取示意图8为本发明实施例二具有报文抛弃模块的VPN客户端结构框图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
实施例一
如图1所示，本发明实施例的基于虚拟专用网隧道的报文发送方法包括 以下步骤
S101:虚拟专用网VPN客户端通过VPN隧道从VPN网关接收资源信息； 所述的资源信息包括内网网站的地址信息、端口信息和VPN网关的访问控 制策略信息；
S102:从所述VPN客户端接收报文，并从接收的报文中获取报文信息； 所述的报文信息包括所述报文的目的地址信息和目的端口信息；具体地， 是从VPN客户端的链路层接收报文。
S103:将所述的报文信息与所述的资源信息进行匹配，具体地说将报
文的目的地址信息、目的端口信息与内网网站的地址信息、端口信息进行一 致性对比，如果内网网站的地址信息、端口信息包含报文的目的地址信息、目的端口信息，则报文信息与资源信息相匹配，否则报文信息与资源信息不 相匹配，将不相匹配的报文从接收的报文中截取并丢弃。并且，将报文的目 的地址信息与资源信息中的访问控制策略信息相对比，如果访问控制策略信 息不包含报文的目的地址信息，则报文信息与资源信息相匹配，否则报文信 息与资源信息不相匹配。
S104:从接收的报文中截取报文信息与资源信息相匹配的报文，并通过
所述的VPN隧道将报文信息与资源信息相匹配的报文发送给VPN网关。 下面结合图2、图3和图4对本实施例进行详细说明。 如图2所示，具备远程安全接入能力的接入设备VPN网关采用IPSec隧
道方式或者SSL/TLS加密方式，为通过Internet接入内网的VPN客户端提供
了安全加密的VPN隧道。通过VPN网关，L3VPN客户端在任何地点都能够
经过认证授权，安全地接入内网。
如图3所示，为VPN网关发送给L3VPN客户端的资源信息列表，在所
述的资源信息列表中包含有资源信息的IP地址段(128.0.0.0至128.0.0.3)和
端口号段(21， 22， 23, 25)。
如图4所示，为IP报文封包的格式，其中IP头部包含目的IP地址 (128.0.0.1)， TCP头部包含目的端口号(22)。 L3VPN客户端接入VPN网关的步骤为
1) L3VPN客户端主动与VPN网关建立起SSL连接；
2) L3VPN客户端向VPN网关发送请求资源信息的报文；
3) VPN网关将如图3所示的资源信息列表发送给L3VPN客户端；
4) L3VPN客户端在链路层捕获所有的IP报文，并从如图4所示的IP报 文封包的IP头部获取目的IP地址(128.0.0.1)，并从TCP头部获取目的端口 号(22),将IP报文封包的目的IP地址(128.0.0.1)和目的端口号(22)与 VPN网关下发的资源信息进行一致性对比，由于VPN网关下发的资源信息的 IP地址段为(128.0.0.0至128.0.0.3 )因此IP报文信息目的IP地址(128.0.0.1 )与资源信息的IP地址段中的一个IP地址相一致，由于端口号段为(21， 22， 23， 25)，因此IP报文信息目的端口号(22)与资源信息的端口号段中的一个 端口号相一致，所以IP报文信息与VPN网关下发的资源信息相匹配；
5)将目的IP地址为128.0.0.1和目的端口号为22的IP报文进行截取， 通过SSL连接发往网关。
如果IP报文封包的IP头部获取目的IP地址和目的端口号不能与VPN网 关下发的资源信息相匹配，则L3VPN客户端将相应的IP报文送往真实网卡， 不作处理。
本发明实施例通过对VPN客户端的实现，可以从链路层直接捕获每个IP 报文，并从IP报文中获取目的IP地址和目的端口号等IP报文信息，通过将 这些IP报文信息与VPN网关资源信息相匹配可以容易的判断对应的IP报文 是否需要发往VPN网关。如果VPN网关的资源信息包含访问控制策略 (ACL)， VPN客户端通过将IP报文信息与ACL的匹配，非常容易地实现了 ACL限制报文的截取和丢弃。从而解决了不通过虚拟网卡、无需添加路由， 便可实现VPN客户端的报文截取和发送或报文截取和丢弃的问题，从而降低 了方案实现复杂度。
实施例二
如图5所示，本发明实施例的VPN客户端包括资源信息接收单元101 用于通过VPN隧道从VPN网关接收资源信息；报文信息获取单元102用于 从链路层接收报文并从接收的报文中获取报文信息；报文信息匹配单元103 用于将所述的报文信息与所述的资源信息进行匹配；报文截取发送单元104 用于将报文信息与资源信息相匹配的报文从接收的报文中截取，并通过所述 的VPN隧道将报文信息与资源信息相匹配的报文发送给VPN网关。 下面结合图2、图6、图7和图8对本实施例进行详细说明。 如图2所示，具备远程安全接入能力的接入设备VPN网关采用IPSec隧 道方式或者SSL/TLS加密方式，为通过Internet接入内网的VPN客户端提供了安全加密的VPN隧道。通过VPN网关，L3VPN客户端在任何地点都能够 经过认证授权，安全地接入内网。
如图6所示，为VPN网关发送给L3VPN客户端的资源信息列表，在所 述的资源信息列表中包含有资源信息的IP地址段(128.0.0.0至128.0.0.3)和 端口号段(21， 22， 23， 25)和VPN网关下发的资源信息的ACL限制目的 IP地址(128.0.0.2)。
如图7所示，为IP报文封包的格式，其中IP头部包含目的IP地址 (128.0.0.2)， TCP头部包含目的端口号(23)。
其中，L3VPN客户端主动与VPN网关建立起SSL连接；L3VPN客户端 向VPN网关发送请求资源信息的报文；VPN网关将如图6所示的资源信息列 表发送给L3VPN客户端；L3VPN客户端的资源信息接收单元101接收如图6 所示的资源信息列表，L3VPN客户端的报文信息获取单元102在链路层捕获 所有的IP报文，并从如图7所示的IP报文封包的IP头部获取目的IP地址 (128.0.0.2)，并从TCP头部获取目的端口号(23)。
如图8所示，具体地，报文信息匹配单元103用于将所述的报文信息与 所述的资源信息进行一致性对比，如果一致则输出报文信息与资源信息相匹 配的信息；如果不一致，则输出报文信息与资源信息不相匹配的信息。L3VPN 客户端的报文信息匹配单元103将IP报文封包的目的IP地址(128.0.0.2)和 目的端口号(23)与VPN网关下发的资源信息进行一致性对比，由于VPN 网关下发的资源信息的IP地址段为(128.0.0.0至128.0.0.3)，端口号段为(21， 22， 23， 25)，所以IP报文信息与VPN网关下发的资源信息相一致，由于存 在ACL限制信息，因此信息对比模块1031再将IP报文封包的目的IP地址 (128.0.0.2)与VPN网关下发的资源信息的ACL限制信息进行对比，结果为 ACL限制目的IP地址(128.0.0.2)的EP封包接入；所以信息对比模块1031 输出IP报文封包受限的结果如图8所示，L3VPN客户端的报文截取丢弃单 元105根据信息对比模块1031的输出结果，将目的IP地址为128.0.0.2和目的端口号为23的IP报文进行截取并丢弃。
如果IP报文封包的IP头部获取目的IP地址和目的端口号与VPN网关下 发的资源信息相匹配，并且IP报文封包的IP头部获取目的IP地址与VPN网 关下发的ACL限制资源信息相匹配，则L3VPN客户端的报文截取发送单元 104 (如图8所示)将相应的IP报文通过SSL连接发往VPN网关。
本发明实施例通过对VPN客户端的实现，可以从链路层直接捕获每个IP 报文，并从IP报文中获取目的IP地址和目的端口号等IP报文信息，通过将 这些DP报文信息与VPN网关资源信息相匹配可以容易的判断对应的IP报文 是否需要发往VPN网关。如果VPN网关的资源信息包含访问控制策略 (ACL)， VPN客户端通过将IP报文信息与ACL的匹配，非常容易地实现了 ACL限制报文的截取和丢弃。从而解决了不通过虚拟网卡、无需添加路由便 可实现VPN客户端的报文截取和发送或报文截取和丢弃的问题，从而降低了 方案实现复杂度。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于 一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以 上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于 本领域的一般技术人员，依据本发明的思想，在具体实施方式
及应用范围上 均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
10
权利要求
1. 一种基于虚拟专用网隧道的报文发送方法，其特征是，所述的方法包括以下步骤通过VPN隧道从VPN网关接收资源信息；接收报文，并从接收的报文中获取报文信息；将所述报文信息与所述资源信息进行匹配；截取报文信息与资源信息相匹配的报文，通过所述的VPN隧道将所述相匹配的报文发送给所述VPN网关。
2. 根据权利要求1所述的方法，其特征是，所述的资源信息包括内网 网站的地址信息和端口信息。
3. 根据权利要求1所述的方法，其特征是，所述的报文信息包括所述 报文的目的地址信息和目的端口信息。
4. 根据权利要求1所述的方法，其特征是，所述的将所述的报文信息与 所述的资源信息进行匹配包括-将所述的报文信息与所述的资源信息进行一致性对比，如果一致则所述 的报文信息与资源信息相匹配；如果不一致，则所述的报文信息与资源信息 不相匹配，并将不相匹配的报文从接收的报文中截取并丢弃。
5. 根据权利要求2所述的方法，其特征是，所述的资源信息还包括所 述VPN网关的访问控制策略信息，所述的将所述的报文信息与所述的资源信 息进行匹配包括将所述的报文信息与所述的VPN网关的访问控制策略信息进行一致性对 比，如果一致则根据所述的VPN网关的访问控制策略信息对所述的报文进行 处理。
6. —种虚拟专用网客户端，其特征是，所述的VPN客户端包括 资源信息接收单元，用于通过VPN隧道从VPN网关接收资源信息；报文信息获取单元，用于接收报文并从接收的报文中获取报文信息； 报文信息匹配单元，用于将所述的报文信息与所述的资源信息进行匹配; 报文截取发送单元，用于将报文信息与资源信息相匹配的报文从接收的报文中截取，并通过所述的VPN隧道将报文信息与资源信息相匹配的报文发送给所述VPN网关。
7. 根据权利要求6所述的VPN客户端，其特征是，所述的资源信息包 括所述VPN网关的访问控制策略信息；所述的报文信息匹配单元将所述的报文信息与所述的访问控制策略信息 进行匹配。
8. 根据权利要求6所述的VPN客户端，其特征是，所述的报文信息匹 配单元还用于信息对比模块，用于将所述的报文信息与所述的资源信息进行一致性对 比，如果一致则输出报文信息与资源信息相匹配的信息；如果不一致，则输 出报文信息与资源信息不相匹配的信息。
9. 根据权利要求6所述的VPN客户端，其特征是，所述的报文信息匹 配单元包括信息对比模块，用于将所述的报文信息与所述的VPN网关的访 问控制策略信息进行一致性对比，如果一致则输出与所述VPN网关的访问控 制策略信息一致的报文处理信息。
10. 根据权利要求6或7所述的VPN客户端，其特征是，所述的VPN 客户端包括报文截取丢弃单元，用于将报文从接收的报文中截取并丢弃。
全文摘要
本发明实施例提供了一种基于虚拟专用网隧道的报文发送方法及客户端，所述的方法包括以下步骤虚拟专用网VPN客户端通过VPN隧道从VPN网关接收资源信息；从所述VPN客户端捕获报文，并从捕获的报文中获取报文信息；将所述的报文信息与所述的资源信息进行匹配；将报文信息与资源信息相匹配的报文从捕获的报文中截取，并通过所述的VPN隧道将报文信息与资源信息相匹配的报文发送给所述的VPN网关。用以解决不通过虚拟网卡便可实现VPN客户端的报文截取和发送的问题。
文档编号H04L12/56GK101483594SQ20091000732
公开日2009年7月15日 申请日期2009年2月11日 优先权日2009年2月11日
发明者宏 孙, 张战兵, 陈爱平, 颜慧斌 申请人:成都市华为赛门铁克科技有限公司