專利名稱:Vpn客戶端ip地址的分配方法、報文傳輸方法及vpn服務器的制作方法
技術領域:
本發明涉及虛擬專用網絡技術���,特別涉及一種VPN客戶端IP地址的分配方法、一種報文傳輸方法及一種VPN服務器����。
背景技術:
虛擬專用網絡(Virtual Private Network,簡稱VPN)指的是在公用網絡上建立專用網絡的技術����。其之所以稱為虛擬網�,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專用網絡所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸���。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術�����。VPN實質上就是利用加密技術在公用網絡上封裝出一個數據通訊隧道�����。 VPN的隧道協議主要有三種PPTP�����、L2TP和IPSec。其中����,IPSec是工作在OSI模型第三層的隧道協議��,也是最常見的協議��。IPSec協議可以對所有IP級的通信進行加密��,通過在隧道外面再封裝,保證了在傳輸過程中的安全�。VPN服務器給VPN客戶端分配IP地址時����,通常也會在VPN客戶端動態配置一條靜態路由��,使指定客戶端的數據流通過IPSec隧道進行傳輸��。此時如果給客戶端分配的IP地址與PC本身的IP地址沖突(通常PC在網絡中動態獲取IP地址,此時PC的IP地址不能手動修改)���,就會使得需要通過IPSec隧道進行傳輸的數據報文不能進行加密;在卩(上查看IP地址就會出現兩個網段相同的IP地址����。
發明內容
(一)所要解決的技術問題本發明的目的在于提出一套完整的技術方案�,以解決VPN客戶端的IP地址與PC本身的IP地址相沖突�����,導致數據報文無法進行加密并通過IPSec隧道傳輸的問題����。(二)技術方案為了解決上述技術問題�����,本發明提出了一種VPN客戶端IP地址的分配方法�����,該方法包括以下步驟SI I、在VPN服務器中配置多個IP地址池�,設置其中一個IP地址池為主地址池����,其他IP地址池均為備用地址池�,其中,所述IP地址池中的IP地址互不沖突���;S12、從所述主地址池中選取一個IP地址設置為主用IP地址����,判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突�,若所述主用IP地址與所述PC的IP地址不相沖突�����,則將所述主用IP地址分配給所述VPN客戶端��,否則,進入步驟S13;S13�����、從所述備用地址池中選取一個IP地址設置為備用IP地址����,將所述備用IP地址分配給所述VPN客戶端,并將所述備用IP地址與所述主用IP地址的對應關系添加到對應關系表中���。可選的���,步驟S12中判斷所述主用IP地址是否與所述PC的IP地址相沖突的方法為在進行IKE協商時,比較所述主用IP地址與IP報文地址中的原IP地址�����,若兩者的頭8位相同����,則判定為地址相沖突����。基于上述VPN客戶端IP地址的分配方法,本發明同時提出了一種報文傳輸方法��,所述報文傳輸方法包括以下步驟S21���、VPN客戶端將待發送報文加密后轉發到VPN服務器��;S22����、所述VPN服務器對所述加密后的待發送報文進行解密�,得到所述待發送報文,并判斷所述待發送報文的原IP地址是否為主用IP地址�����,若所述原IP地址為主用IP地址�,則將所述待發送報文進行轉發,
若所述原IP地址為備用IP地址�����,則進入步驟S23 �;S23、所述VPN服務器將所述原IP地址轉換為所述備用IP地址對應的主用IP地址��,然后將所述待發送報文進行轉發����。可選的,步驟S23之后進一步包括步驟S24、所述VPN服務器接收到回應報文時�����,確定所述回應報文的目的IP地址所對應的主用IP地址�����,并進一步確定所述主用IP地址是否有對應的備用IP地址���,若所述主用IP地址沒有對應的備用IP地址�����,則將所述回應報文加密后轉發給所述主用IP地址對應的VPN客戶端,若所述主用IP地址有對應的備用IP地址��,則進入步驟S25 ��;S25�����、所述VPN服務器將所述回應報文的目的IP地址轉換為所述備用IP地址,并將所述回應報文加密后轉發給所述備用IP地址對應的VPN客戶端。另外,本發明還提出了一種VPN服務器,所述服務器包括多個IP地址池���、地址分配單元以及對應關系表存儲單元,其中所述多個IP地址池中的一個IP地址池為主地址池,其他IP地址池均為備用地址池��,且所述IP地址池中的IP地址互不沖突�;所述地址分配單元,用于從所述主地址池中選取一個IP地址設置為主用IP地址,并判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突,若所述主用IP地址與所述PC的IP地址不相沖突�,則將所述主用IP地址分配給所述VPN客戶端��,否則,從所述備用地址池中選取一個IP地址設置為備用IP地址,將所述備用IP地址分配給所述VPN客戶端����,同時將所述備用IP地址與所述主用IP地址的對應關系添加到對應關系表中;所述對應關系表存儲單元����,用于存儲所述對應關系表��。(三)有益效果采用本發明提出的技術方案,VPN服務器在給VPN客戶端分配IP地址時,避免了VPN客戶端的IP地址與PC本身的IP地址相沖突�����,從而使VPN客戶端的待發送報文能夠進行加密并利用IPSec隧道進行傳輸�����,保證了虛擬專用網絡中數據傳輸的安全性和準確性�����。
圖I是本發明提出的VPN客戶端IP地址的分配方法的實現流程圖。圖2是本發明提出的報文傳輸方法的實現流程圖��。圖3是本發明提出的報文傳輸方法的進一步實現流程圖��。圖4是本發明所述技術方案的一種應用場景示意圖���。
具體實施例方式下面結合附圖�����,對本發明的具體實施方式
作進一步詳細描述。本發明提出了一種VPN客戶端IP地址的分配方法�,如圖I所示�����,該方法包括以下步驟SI I����、在VPN服務器中配置多個IP地址池,設置其中一個IP地址池為主地址池��,其他IP地址池均為備用地址池���,其中,所述IP地址池中的IP地址互不沖突��;S12�����、從所述主地址池中選取一個IP地址設置為主用IP地址��,判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突,若所述主用IP地址與所述PC的IP地址不相沖突�,則將所述主用IP地址分配給所述VPN客戶端��,否則,進入步驟S13;S13�、從所述備用地址池中選取一個IP地址設置為備用IP地址���,將所述備用IP地址分配給所述VPN客戶端���,并將所述備用IP地址與所述主用IP地址的對應關系添加到對應關系表中���??蛇x的��,步驟S12中判斷所述主用IP地址是否與所述PC的IP地址相沖突的方法為在進行IKE協商時���,比較所述主用IP地址與IP報文地址中的原IP地址,若兩者的頭8位相同�����,則判定為地址相沖突���。在上述IP地址分配方法中���,VPN服務器配置有多個IP地址池����,其中一個地址池為主地址池,其它地址池為備用地址池����,每個地址池中的地址不能沖突(比較IP報文地址的頭8位,如果相同則認為地址沖突)����。當進行IKE (Internet Key Exchange Protocol,Internet密鑰交換協議)協商時���,VPN服務器首先從主地址池中選取一個主用IP地址�,在發現對應的PC的IP地址和要分配的主用IP地址有沖突時(比較IP報文地址的頭8位,如果相同則認為地址沖突),再使用備用地址池選取一個備用IP地址,并將備用IP地址分配給VPN客戶端�,同時將主用IP地址和備用IP地址相關聯��,如表I所示。表I對應關系表
權利要求
1.一種VPN客戶端IP地址的分配方法,其特征在于���,所述方法包括以下步驟 SI I、在VPN服務器中配置多個IP地址池�����,設置其中一個IP地址池為主地址池���,其他IP地址池均為備用地址池����, 其中�����,所述IP地址池中的IP地址互不沖突����; 512�、從所述主地址池中選取一個IP地址設置為主用IP地址����,判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突�,若所述主用IP地址與所述PC的IP地址不相沖突,則將所述主用IP地址分配給所述VPN客戶端, 否則���,進入步驟S13 ; 513、從所述備用地址池中選取一個IP地址設置為備用IP地址��,將所述備用IP地址分配給所述VPN客戶端����,并將所述備用IP地址與所述主用IP地址的對應關系添加到對應關系表中。
2.根據權利要求I所述的VPN客戶端IP地址的分配方法���,其特征在于,步驟S12中判斷所述主用IP地址是否與所述PC的IP地址相沖突的方法為在進行IKE協商時�,比較所述主用IP地址與IP報文地址中的原IP地址����,若兩者的頭8位相同��,則判定為地址相沖突。
3.一種基于權利要求I或2所述的VPN客戶端IP地址的分配方法的報文傳輸方法,其特征在于,所述報文傳輸方法包括以下步驟 S2UVPN客戶端將待發送報文加密后轉發到VPN服務器����; 522���、所述VPN服務器對所述加密后的待發送報文進行解密�����,得到所述待發送報文,并判斷所述待發送報文的原IP地址是否為主用IP地址�,若所述原IP地址為主用IP地址����,則將所述待發送報文進行轉發�, 若所述原IP地址為備用IP地址,則進入步驟S23 �����; 523�、所述VPN服務器將所述原IP地址轉換為所述備用IP地址對應的主用IP地址,然后將所述待發送報文進行轉發。
4.根據權利要求3所述的報文傳輸方法�,其特征在于����,步驟S23之后進一步包括步驟 524��、所述VPN服務器接收到回應報文時����,確定所述回應報文的目的IP地址所對應的主用IP地址����,并進一步確定所述主用IP地址是否有對應的備用IP地址�����,若所述主用IP地址沒有對應的備用IP地址����,則將所述回應報文加密后轉發給所述主用IP地址對應的VPN客戶端��, 若所述主用IP地址有對應的備用IP地址�,則進入步驟S25 ��; 525���、所述VPN服務器將所述回應報文的目的IP地址轉換為所述備用IP地址�����,并將所述回應報文加密后轉發給所述備用IP地址對應的VPN客戶端���。
5.一種VPN服務器��,其特征在于,所述服務器包括多個IP地址池��、地址分配單元以及對應關系表存儲單元��,其中 所述多個IP地址池中的一個IP地址池為主地址池�,其他IP地址池均為備用地址池��,且所述IP地址池中的IP地址互不沖突�����; 所述地址分配單元��,用于從所述主地址池中選取一個IP地址設置為主用IP地址�����,并判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突,若所述主用IP地址與所述PC的IP地址不相沖突�,則將所述主用IP地址分配給所述VPN客戶端�, 否則��,從所述備用地址池中選取一個IP地址設置為備用IP地址���,將所述備用IP地址分配給所述VPN客戶端�����,同時將所述備用IP地址與所述主用IP地址的對應關系添加到對應關系表中; 所述對應關系表存儲單元�,用于存儲所述對應關系表����。
全文摘要
本發明涉及虛擬專用網絡技術����,具體公開了一種VPN客戶端IP地址的分配方法、一種報文傳輸方法及一種VPN服務器����。所述IP地址分配方法包括VPN服務器配置多個IP地址池��,其中一個IP地址池為主地址池,其他為備用地址池��;從主地址池中選取一個主用IP地址���,判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突�,若不相沖突�����,則將所述主用IP地址分配給VPN客戶端�����;否則,從備用地址池中選取一個備用IP地址�,將所述備用IP地址分配給VPN客戶端���。所述報文傳輸方法基于上述IP地址分配方法�。所述VPN服務器包括多個IP地址池�����、地址分配單元及對應關系表存儲單元��。采用本發明提出的技術方案,能夠有效解決VPN客戶端的IP地址與PC本身的IP地址相沖突的問題。
文檔編號H04L12/741GK102917081SQ20121036557
公開日2013年2月6日 申請日期2012年9月27日 優先權日2012年9月27日
發明者陳海濱 申請人:漢柏科技有限公司