VPN中的地址冲突检测和自适应的方法技术

技术编号:5214210 阅读:223 留言:1更新日期:2012-04-11 18:40
本发明专利技术公开一种VPN中的地址冲突检测和自适应的方法。通过SSL?VPN网关访问远程网络资源的时候,SSL?VPN网关要把资源路由推送到客户端。在下发到客户端系统中之前,首先和客户端本地的路由进行比较检查,找到冲突的路由。如果发生冲突,则首先增加到SSL?VPN网关的点路由,保证能够正常访问SSL?VPN网关;然后下发资源路由,短路掉到客户端本地已经存在的冲突路由。网络包进入隧道并到达SSL?VPN网关端,并正确地转发到SSL?VPN网关所保护的内部网络,保证客户端就能正确访问远方网络。

【技术实现步骤摘要】

本专利技术涉及网络通信
,尤其涉及一种VPN中的地址冲突检测和自适应的方法。
技术介绍
VPN(Virtual Private Network虚拟专用网)可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网,或者移动用户和企业之间建立一条专有的通讯线路,能够利用公共网络建立虚拟私有网,目前在企业中得到了广泛的应用。其中,SSL VPN以其简单的客户端配置、细粒度的ACL控制和丰富的功能等特点正渐渐取代传统的IPSecVPN。在SSL VPN中,一个重要的使用方式就是点到网隧道。用户通过与SSLVPN网关建立一条加密的隧道来进行业务访问。建立虚拟专用网的时候网关端分配虚拟IP给客户端,并推送资源路由给客户端。只有这样才能保证客户端的网络包匹配到资源路由,进入虚拟网卡,然后通过SSL安全隧道到达网关端,进而访问到内部网络资源。现实中存在的问题是,在图1所示的网络关系图中,所示经常出现客户端所在网络(A)和SSL VPN网关所保护的远程网络(B)之间发生地址冲突:即出现地址相同、包含或者被包含的情况。这种情况下,网络包在匹配路由的时候,将可能发生混乱,不知道是到达本地网络还是要到达远程网络,导致客户端用户将不能正常访问远方的网络。
技术实现思路
本专利技术是针对上述提到的问题,提供一种地址冲突检测和自适应的方法。本专利技术通过以下方案实现上述目的:一种VPN中的地址冲突检测和自适应的方法,包括以下步骤:(1)在登录SSL VPN网关后,VPN网关自动下发一条到网关的点路由;退出的时候删除该点路由;(2)客户端在得到网关下发的远方资源路由后,首先和本地的路由表进行比较,根据冲突检测的结果,决定把路由增加到客户端的系统中;若资源路由包含本地路由,则下发一条METRIC(到下一跳的跃点数)为1、目的地址、掩码和本地路由一样的路由,下一跳指向隧道的虚拟网卡;若资源路由等于本地路由,则直接下发资源路由,并把METRIC设置为1;若资源路由被本地路由包含的情况,则直接下发资源路由,并把METRIC设置为1。网络包匹配路由的过程:外出的网络包要经过路由匹配,首先根据目标地址和掩码进行匹配。按照最长掩码匹配得到下一跳的IP地址和接口;如果掩码相同,则根据METRIC(到下一跳的跃点数)最小,得到下一跳的地址接口,然后把网络包从该接口发送给下一跳。本专利技术的原理如下:访问SSLVPN网关时候,网关把资源路由推送到客户端,在下发到系统中之前,首先要和客户端本地的路由进行比较检查,找到冲突的路由。如果发生冲-->突,则首先增加到SSL VPN网关的点路由,保证能够正常访问SSL VPN网关;然后下发资源路由,短路掉到本地已经存在的冲突路由。这样网络包将进入隧道并到达SSL VPN网关端,正确地转发到远程的内部网络,这样客户端就能正确访问SSL VPN网关所保护的远方网络。客户注销的时候,则删除到网关的点路由,并删除设置的资源路由。本专利技术通过设置相应的路由短路掉到本地已经存在的冲突路由,保证网络包进入隧道并到达SSL VPN网关端,正确地转发到远程的内部网络,使客户端就能正确访问SSL VPN网关所保护的远方网络。附图说明下面根据实施例和附图对本专利技术作进一步详细说明。图1是VPN网络关系图;图2是本专利技术所述方法的处理流程图。具体实施方式图2给出了实现本专利技术所述方法的处理流程图,其整个实现如下:当客户端在步聚S101登录上SSL VPN网关后,为了防止路由被设置混乱,在步聚S102首先下发一条到SSL VPN网关外部网口IP地址的点路由,这样保证到达SSL VPN网关的数据是畅通的。当下发资源路由的时候,在步聚S103逐条把资源路由和客户端本地的路由表进行比较,进行冲突检测。并在步聚S104针对不同的检测结果,根据资源路由和本地路由的冲突关系进行以下处理:1、远方资源路由和本地路由相同也就是资源路由和本地路由的NET/MASK都一样。这个时候执行步聚S106直接下发资源路由,并且把资源路由的METRIC设置为1,这样则优先级最高。网络包在匹配的时候,则存在两条目的地址和掩码相同的路由,首先会匹配到网关下发的METRIC为1的资源路由,网络包进入隧道,到达网关端访问远方资源。2、远方资源路由包含本地路由如果远方的资源路由的网络段包含本地路由网段。也就是存在重叠部分。例如远方路由为:10.0.0.0/255.0.0.0,本地存在路由:10.7.176.0/255.255.255.0。则执行步聚S105,处理如下:下发资源路由后,同时也下发一条处理冲突的路由,该路由为了把本地路由短路掉。该路由的NET/MASK和本地路由相同,但是metric为1,并且下一跳为虚拟网卡接口。则如果网络访问目的地址落在远方路由的范围内,则网络包首先匹配到该路由,进入隧道,能够访问远方的资源。3、远方路由被本地路由包含这种情况,执行步聚S106,则直接下发远方资源路由,并且把METRIC为1,这样如果访问的网络包的IP地址落在了远方路由范围内,则能够优先匹配,网络包被送到网关端,正常访问到远方的资源。应该注意,虽然以上是参考具体实施方式对本专利技术进行说明的,但这并不意味是对本专利技术的限制,本专利技术的保护范围是由所附权利要求而不是具体实施方式来限定的。-->本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种VPN中的地址冲突检测和自适应的方法,其特征在于包括以下步骤:(1)在登录SSL VPN网关后,VPN网关自动下发一条到网关的点路由;退出的时候删除该点路由;(2)下发资源路由到客户端,客户端在得到网关下发的远方资源路由后,首先和本地的路由表进行比较,根据冲突检测的结果,决定把路由增加到...

【专利技术属性】
技术研发人员:王骋原
申请(专利权)人:神州数码网络北京有限公司
类型:发明
国别省市:11

网友询问留言 已有1条评论
  • 来自[未知地区] 2011年11月01日 11:03
    为什么下载不到。
    0
1