CN101043411B - 混合网络中实现移动vpn的方法及系统 - Google Patents
混合网络中实现移动vpn的方法及系统 Download PDFInfo
- Publication number
- CN101043411B CN101043411B CN2006100584520A CN200610058452A CN101043411B CN 101043411 B CN101043411 B CN 101043411B CN 2006100584520 A CN2006100584520 A CN 2006100584520A CN 200610058452 A CN200610058452 A CN 200610058452A CN 101043411 B CN101043411 B CN 101043411B
- Authority
- CN
- China
- Prior art keywords
- ipv6
- address
- vpn
- ipv4
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
- H04W80/045—Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种混合网络中实现移动VPN的方法及系统。本发明主要应用于包括IPv4网络和IPv6网络的混合网络中,其中设置移动VPN(虚拟专用网)网关,所述的VPN网关提供有IPv6地址的内部接口和IPv4地址的外部接口;且本发明中,首先,在所述的VPN网关与外部网络之间建立用于传输外部网络与VPN内部的IPv6网络之间交互的VPN报文的隧道,所述的隧道两端地址分别为外部网络的IPv4地址和VPN网关提供的外部接口的IPv4地址;之后,便可以将需要传送的VPN报文封装上IPv4报头后通过所述隧道传送,在混合网络中实现VPN业务的交互。因此,本发明利用IPv6 in IPv4隧道技术很好地实现了在IPv4和IPv6混合网络中移动VPN业务的开展,使得在由IPv4网络向IPv6演进的过程中,仍然能够通过混合网络实现移动VPN业务。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种实现移动VPN的技术。
背景技术
移动VPN(虚拟专用网)是传统VPN与移动技术相结合的新型VPN解决方案。支持VPN内部的MN(移动节点)在外部网络通过与VPN网关建立隧道与VPN内部节点保持通信。IPsecVPN(IP网安全协议VPN)采用IPsec(IP网安全协议)作为隧道技术的安全保证实现VPN,从而可以为IP网络中的隧道两端通信节点提供很好的安全性,进而保证VPN业务的安全性。IPsec VPN结合标准的移动IPv4协议提供了移动VPN的基本框架。
在纯IPv4网络环境下,典型的IPsec VPN与MIPv4(移动IPv4)相结合时,会存在以下两个主要问题:
(1)当移动节点移动到VPN外部时,如果通过外部网络的FA(外地代理)获得转交地址,则由于外地代理是由其它网络的管理员配置,通常不支持IPSec,因而将导致移动节点无法向位于VPN的i-HA(内部的家乡代理)进行注册;
(2)如果移动节点在外部网络获得配置转交地址,虽然可以通过与VPN网关建立IPSec隧道向VPN内部的家乡代理完成注册,但是移动节点每更改一次配置转交地址就要与VPN网关重新协商建立IPSec隧道,在节点频繁移动的情况下,增加了网络切换的延迟,降低了节点的移动性。
目前针对上述问题提供的一种解决方案为:在IPv4环境下,在VPN网关之外设置x-HA(外部家乡代理),移动节点首先向外部家乡代理注册,之后通过外部家乡代理与VPN网关建立IPsec隧道,实现向VPN内部家乡代理完成注册,从而解决了所述的两个问题。
相应的网络结构如图1所示,x-HA表示在外部网络设置的家乡代理,在Internet(因特网)中存在着支持移动IPv4的外部网络(External Net);同时,在VPN内部也存在着支持移动IPv4的家乡网络(Home Net)和外地网络(Foreign Net)。
在移动节点移动到外部网络时,获得转交地址后,首先向外部家乡代理注册并获得x-HoA(外部家乡地址)。之后利用外部家乡地址与VPN网关进行IKE(因特网密钥交换)协商建立IPsec隧道,通过IPsec隧道向VPN内部的家乡代理注册。之后,移动节点就可以与VPN内部网络节点进行通信。
下面将以移动节点位于配置x-FA(外地代理)的外部网络为例,说明移动节点的注册流程以及数据包的封装方式。
当移动节点进入配置外部家乡代理的外部网络后,获得外地代理转交地址;同时,移动节点还需要向外部家乡代理和内部家乡代理发送标准的移动IPv4注册请求;
由于移动节点位于外部网络,因此,其只能收到来自外部家乡代理的注册应答,根据所述的应答消息移动节点获得外部家乡代理分配的x-HoA,并作为移动节点在外部网络的转交地址;
移动节点使用获得的x-HoA作为IKE协商和IPsec隧道的端点地址,与VPN网关建立隧道;
在与VPN网关协商过程中,VPN网关指派给移动节点一个VPN-TIA(VPN隧道内部地址);移动节点将VPN-TIA作为向内部家乡代理注册的转交地址,封装在IPsec隧道内向内部家乡代理进行注册;
在注册完成后,移动节点和VPN内部的通信节点就可进行通信。通信的数据包经过三次封装,具体的封装结果如图2所示,其中最外层的x-MIP表示是移动节点到外部家乡代理的移动IPv4封装,中间层是从x-HA到VPN网关的IPsec封装,最内层i-MIP是VPN内部移动IPv4封装。通过图2可以看出,移动节点在配置外地代理的外部网络中可以完成向VPN内部的家乡代理的注册,当移动节点的转交地址发生变化时,也不会影响IPsec隧道的维持。因此,这一实现方案有效解决了所述的两个问题。
然而,由于上述实现方案中引入了外部家乡代理,使得VPN网络结构更加复杂,提高了维护成本;同时,引入外部家乡代理也带来一些新的问题,如外部家乡代理的位置选取问题,以及外部家乡代理受信问题等。
目前,提供的另一种解决上述两个问题实现方案为:在IPv4环境下,使用支持MOBIKE(IKEv2移动与多接口协议)协议的IPsec作为移动节点与VPN网关的隧道技术,在解决所述的两个问题。
所述的MOBIKE是基于IKEv2的扩展协议,有效支持了IPsec隧道通信两端的移动性。在移动节点开始与VPN网关协商建立IPsec隧道时,会先后生成IKE SA和IPsec SAs。MOBIKE协议允许隧道两端的节点在保持IKE SA和IPsec SAs的情况下更新其IP地址,也就是说在隧道两端的节点地址改变后仍可以保持原有的IPsec隧道进行通信,无须重新协商。
基于MOBIKE的网络结构如图3所示,在Internet中存在着支持移动IPv4的外部网络(External Net);同时,在VPN内部网络也存在着支持移动IPv4的家乡网络(Home Net)和外地网络(Foreign Net)。
移动节点位于VPN内部的外地网络时,使用标准的移动IPv4与VPN内部的家乡代理和通信节点进行通信。当移动节点离开VPN内部网络,进入一个外部网络时,需要与VPN网关进行IKE协商,建立支持MOBIKE的IPsec隧道。同时在VPN内部,移动节点和家乡代理仍保持一个有效的移动IPv4绑定缓存,移动节点使用由VPN网关指派给它的VPN-TIA作为VPN内部网络的配置转交地址,向内部家乡代理注册。
移动节点因位置的改变从一个外部网络进入另一个外部网络后,获得新的移动IPv4转交地址。此时移动节点开始使用MOBIKE协议,更新本端点的IKE SA和IPsec SAs的IP地址,并通告VPN网关更新相应SA的IP地址。在完成SA的地址更新之后,使用原有的IPsec隧道继续通信。
可以看出,该方案提出了纯IPv4网络环境下使用MOBIKE解决所述的两个问题。但是,由于因特网的发展方向是IPv6,且在IPv6取代IPv4的进程中,“IPv6孤岛”和“IPv4海洋”的混合网络必然会长期存在,因此,还需要解决在混合网络中存在的相应问题。然而,现有的技术方案还无法解决包括IPv4和IPv6的混合网络下移动VPN的应用问题。
发明内容
本发明的目的是提供一种混合网络中实现移动VPN的方法及系统,从而可以解决相应的IPv4和IPv6混合网络下的移动VPN的应用问题,使得在现有的网络场景中,基于IPv6网络开展VPN业务成为可能。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种混合网络中实现移动VPN的方法,该方法应用于包括IPv4网络和VPN内部的IPv6网络的混合网络中,且在所述的混合网络中设置移动虚拟专用网VPN的VPN网关,所述的VPN网关提供有IPv6地址的内部接口和IPv4地址的外部接口,该方法包括:
A、在所述的VPN网关与外部网络之间建立用于传输外部网络与VPN内部的IPv6网络之间交互的VPN报文的隧道,所述的隧道两端地址分别为外部网络的IPv4地址和VPN网关提供的外部接口的IPv4地址;
B、将需要传送的VPN报文封装上IPv4报头后通过所述隧道传送,在混合网络中实现VPN业务的交互。
所述的外部网络为:IPv4外部网络或IPv6外部网络。
所述的步骤A包括:
A1、在所述的VPN网关与位于IPv6外部网络中的获得转交地址的移动节点之间建立IPsec隧道之后,VPN网关与IPv6外部网络中的接入路由器建立用于传输IPv6报文的IPv6inIPv4隧道,该隧道将IPv6报文封装于IPv4报文中,隧道两端地址分别为IPv6外部网络接入路由器的IPv4地址和VPN网关外部接口的IPv4地址;
或者,
A2、在所述的VPN网关与位于IPv4外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道。
所述的IPsec协议隧道为:支持因特网密钥交换移动与多接口协议MOBIKE的IPsec隧道。
所述的步骤A1包括:
A11、移动到IPv6外部网络中的移动节点根据在IPv6网络中保存的用于解析VPN网关的IPv4地址的域名服务器DNS的地址信息发起DNS请求;
A12、所述的DNS收到所述的DNS请求后,向移动节点返回DNS应答消息,所述应答消息中包括VPN网关的IPv4地址信息;
A13、所述移动节点及IPv6网络获取VPN网关的IPv4地址信息。
所述的步骤A11包括:
所述移动节点向所在的IPv6网络中的DNS发起VPN网关的DNS请求,所述的请求到达IPv6网络中的DNS后,将被转发到IPv6网络中设置的域名服务器应用层网关DNS-ALG;
DNS-ALG根据其保存的DNS服务器信息确定用于解析VPN网关的IPv4地址的DNS,并将所述的DNS请求转换为IPv4格式的DNS请求发送给确定的所述DNS。
所述的步骤A13包括:
在DNS-ALG接收到返回的DNS应答消息后,保存VPN网关的IPv4地址信息,并将该IPv4地址增加前缀转换为IPv6格式的IPv6地址发送给移动节点,移动节点将该IPv6地址作为VPN网关的地址信息。
所述的步骤B包括:
B1、位于IPv6外部网络中的移动节点构造所述的VPN网关对应的IPv6地址的报文,并发送给IPv6网络的外部接入路由器;
B2、所述的外部接入路由器收到来自移动节点的IPv6报文,为该报文添加IPv4报文头,报文头中承载的是VPN网关的IPv4地址,并通过所述的隧道发送给所述的VPN网关;
B3、VPN网关解析接收到的报文,对该IPv4报文解封装还原为IPv6报文,并继续传递所述IPv6报文。
所述的步骤B包括:
B4、位于IPv6外部网络中的移动节点构造所述的VPN网关对应的IPv6地址的报文,并发送给网络地址转换-协议转换NAT-PT实体;
B5、所述的NAT-PT将所述的IPv6报文中的IPv6地址转换为IPv4地址,并发送给外部接入路由器,由所述外部接入路由器通过所述的隧道将该报文发送给所述的VPN网关;
B6、VPN网关解析接收到的报文,并继续传递所述报文。
所述的步骤A2包括:
A21、当移动节点移动到IPv4外部网络中后,获得IPv4网络的转交地址;
A22、移动节点与VPN网关之间进行协商建立所述的IPsec隧道,隧道的两端的地址分别为所述转交地址和VPN网关的IPv4地址。
所述的步骤A22包括:
在移动节点与VPN网关之间进行因特网密钥交换IKE协商过程中,VPN网关将为移动节点确定一个VPN隧道内部地址,作为移动点向VPN内部注册的移动IPv6转交地址。
所述的步骤B包括:
处于IPv4网络中的移动节点将数据包首先进行移动IPv6封装,之后,再根据建立的隧道进行IPsec封装,并通过建立的隧道向所述的VPN网关发送封装有IPv4报头的VPN业务报文。
所述的步骤B中还包括:
移动节点将数据包进行移动IPv6封装时,相应的源地址为所述的VPN隧道内部地址,目的地址为VPN内部的节点的地址。
当位于VPN内部网络中的移动节点在移动过程中IP地址发生变化时,则立即停止与VPN内部其它节点的通信,且所述的方法还包括:
C1、若移动节点获得IPv4转交地址,则使用所述IPv4转交地址与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道;移动节点使用VPN网关提供的内部IPv6转交地址通过所述隧道向内部家乡代理发起注册,并在收到注册应用答后通过所述隧道与VPN网络节点通信;
或者,
C2、若移动节点获得IPv6转交地址,则利用域名解析的方式间接查询VPN网关的IPv6地址,之后,移动节点向VPN内部家乡代理发送一个标准的移动IPv6注册请求;当接收到IPv6注册应答时,确定移动节点位于VPN内部,移动节点使用新的IPv6转交地址与VPN内部节点通信。
所述的步骤C2还包括:
若移动节点未收到所述的移动IPv6注册应答,且查询VPN网关的IPv6地址成功,确定移动节点位于VPN外部的IPv6网络中,则使用新的IPv6地址与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道;移动节点使用VPN网关提供的内部IPv6转交地址,通过IPsec隧道向内部家乡代理发送注册请求,在收到注册应答后通过建立的IPsec隧道与内部网络节点通信。
当原处于IPv4外部网络中的移动节点在移动过程中IP地址发生变化时,则停止与VPN内部节点的通信,且所述的方法还包括:
D1、若移动节点获得IPv4转交地址,确定移动节点移动至另一个IPv4外部网络中,则开始初始化MOBIKE,并进行SA地址更新,更新后SA的端点地址为移动节点新的IPv4转交地址和VPN网关的IPv4地址,移动节点继续通过所述隧道与VPN内部节点通信;
或者,
D2、若移动节点获得IPv6转交地址,则利用域名解析的方式间接查询VPN网关的IPv6地址;之后,移动节点向VPN内部家乡代理发送一个标准的移动IPv6注册请求,并在收到移动IPv6注册应答后,确定移动节点移动至VPN内部网络中,使用新的IPv6转交地址与VPN内部节点通信。
所述的步骤D2还包括:
若移动节点未收到所述的移动IPv6注册应答,并且查询VPN网关的IPv6地址成功,确定移动节点移动至IPv6外部网络中,则开始初始化MOBIKE,进行SA地址更新,更新后SA端点地址为移动节点新获得的IPv6转交地址和VPN网关的IPv6地址,移动节点继续通过所述隧道与VPN内部节点通信。
当原处于IPv6外部网络中的移动节点在移动过程中IP地址发生变化时,则停止与VPN内部节点的通信,且所述的方法还包括:
E1、若移动节点获得IPv4转交地址,确定移动节点移动至IPv4外部网络中,则开始初始化MOBIKE,进行SA地址更新,更新后SA的端点地址为移动节点新的IPv4转交地址和VPN网关的IPv4地址,移动节点继续通过所述隧道与VPN内部节点通信;
或者,
E2、若移动节点获得IPv6转交地址,则利用域名解析的方式间接查询VPN网关的IPv6地址;之后,移动节点向VPN内部家乡代理发送一个标准的移动IPv6注册请求,并在收到相应的移动IPv6注册应答后,确定移动节点移动至VPN内部网络中,移动节点使用新的IPv6转交地址与VPN内部节点通信。
所述的步骤E2还包括:
若移动节点未收到对应的移动IPv6注册应答,并且查询VPN网关的IPv6地址成功,确定移动节点移动至另一个IPv6外部网络中,则开始初始化MOBIKE,进行SA地址更新,更新后的SA端点地址为移动节点新获得的IPv6转交地址和VPN网关的IPv6地址,移动节点继续通过所述隧道与VPN内部节点通信。
本发明还提供了一种混合网络中实现移动VPN的系统,包括IPv4外部网络、IPv6外部网络和VPN网关,所述的VPN内部网络为IPv6网络,所述的VPN网关提供的内部接口为IPv6接口,外部接口为IPv4接口,所述的系统还包括:
隧道建立模块:用于在所述的VPN网关与外部网络之间建立用于传输两网络之间交互的VPN报文的隧道,且所述的隧道的两端地址分别为外部网络的IPv4地址和VPN网关提供的外部接口的IPv4地址;
报文封装传送模块:设置于所述隧道的两端,用于将待发送的VPN报文封装上IPv4报文头,并通过所述的隧道发送给对端。
在IPv6外部网络中,所述系统还包括:
DNS-ALG:配置为IPv4和IPv6双协议栈,用于在通过IPv6外部网络开展VPN业务过程中提供所述的VPN网关对应的IPv6地址;
IPv6网络中的DNS:配置为IPv4和IPv6双协议栈,其配置上级DNS为所述的DNS-ALG;
外部接入路由器:配置为IPv4和IPv6双协议栈,用于实现将IPv6报文封装上IPv4报文头的功能,同时,用于解封装相应的报文。
在IPv6外部网络中,所述的系统还包括:
DNS-ALG:配置为IPv4和IPv6双协议栈,用于提供所述的VPN网关对应的IPv6地址;
IPv6网络中的DNS:在DNS中配置其上级DNS为所述的DNS-ALG;
NAT-PT实体:用于与外部接入路由器之间进行通信,并对经过该实体的报文进行相应的IPv6地址与IPv4地址之间的转换;
外部接入路由器:用于将经过NAT-PT实体转换后的报文发送给VPN网关,并接收VPN网关发来的报文。
由上述本发明提供的技术方案可以看出,本发明利用IPv6in IPv4隧道技术实现了在IPv4和IPv6混合网络中移动VPN业务的开展,使得在由IPv4网络向IPv6演进的过程中,仍然能够实现移动VPN业务。
本发明还利用MOBIKE协议更新SA的地址项,配合VPN网关指派给移动节点VPN-TIA地址的方法,成功解决了背景技术中描述的两个问题。并提出了在IPv4向IPv6过渡时期,以IPv4为骨干网络的IPv4-v6混合环境下,移动节点实现接入VPN服务,以及保持正常通信前提下网络间切换的完整解决方案。
本发明在具体实现过程中,基于现有的通信网络可不引入任何新的设备,且不需要升级任何硬件,只需对相应设备的软件进行改进,因此,整个配置操作过程简单、易行。
附图说明
图1为IPv4环境下配置外部家乡代理的移动VPN的结构;
图2为IPv4环境下配置MOBIKE的移动VPN的结构;
图3为本发明提供的混合网络的移动VPN的具体实现网络结构;
图4为图3中的DNS请求转发处理;
图5为图3中的DNS应答转发处理;
图6为本发明所述的方法的处理流程示意图。
具体实施方式
随着网络通信技术的发展,在IPv6网络取代IPv4网络的发展进程中,由于现有IPv4网络的广泛应用,使得以“IPv6孤岛”和“IPv4海洋”为基础的IPv4-v6混合网络会在一段时期内长期存在。
本发明的主要目的是提供一种IPv4-v6混合网络下移动VPN的网络结构和相应的设备功能要求,以及移动节点在不同类型网络中接入VPN的方式,从而解决移动节点在不同类型网络间切换时,移动节点的SA地址更新的问题。
本发明是以“IPv6孤岛”,“IPv4海洋”的IPv4-v6混合网络为基本网络框架,通过引入MOBIKE扩展协议解决移动节点的SA地址更新问题;并且利用IPv6in IPv4隧道技术结合域名解析的方式实现移动节点在IPv6网络与IPv4网络中的VPN网关进行通信,从而最终实现移动节点位于多种类型网络中均能够实现移动节点与VPN内部节点的通信。
也就是说,本发明主要是采用IPv6in IPv4隧道技术的思想,配置了DNS-ALG(域名服务器-应用层网关)等设备实现了移动节点位于IPv6外部网络通过IPv4网络查询VPN网关IPv6地址,并进行相应的通信。从而实现当移动节点位于IPv6外部网络时,仍可以通过IPv4网络与VPN网关的进行通信,进而可以实现IPv4和IPv6混合网络下移动VPN服务。
具体一点讲,在所述的混合网络中,依据移动节点所在位置的不同,具体可分为:移动节点位于IPv6内部网络(即位于VPN内部)、IPv4外部网络和IPv6外部网络三种情况,针对不同的情况需要采用不同的通信方式,从而可以在混合网络中实现移动VPN业务。
为区别不同情况下采用的通信方式,需要在移动节点的IP地址发生变化时,首先停止与其它节点的通信,并根据IP地址类型判断当前所在的网络的类型;之后,通过移动IP注册和VPN地址查询的方式判断移动节点位于内部网络还是外部网络,并根据情况或者建立IPsec隧道,或者更新原有IPsec SA的地址;完成相应处理后,再恢复之前的通信。
在实现本发明的过程中,具体需要在IPv6外部网络边缘的x-AR(外部接入路由器)、DNS-ALG和DNS服务器中设置IPv4和IPv6双协议栈,且在所述的VPN网关设置双协议栈;同时,x-AR和VPN网关具有IPv6in IPv4隧道封装和解封装处理功能。
经过上述设置后,便可以针对不同的情况采用不同的通信处理方式以实现混合网络中的移动VPN业务。以移动节点进入IPv6外部网络为例,相应的处理过程主要包括以下过程:
(1)移动节点进行IPv6外部网络后,利用域名解析的方式间接查询VPN网关的IPv6地址;
(2)移动节点发出VPN网关的IPv6DNS请求,经过DNS-ALG转换成IPv4DNS请求,再转发至IPv4网络中;
(3)在IPv4网络返回关于VPN网关的IPv4地址后,首先发送至DNS-ALG,由DNS-ALG给该IPv4地址加上特定的前缀构成IPv6地址,将此地址最终返回给移动节点。
(4)移动节点根据返回的VPN网关IPv6地址构造数据包,和VPN网关进行通信;其中,移动节点和VPN网关通信的数据包,均会经过IPv6in IPv4隧道封装与解封装,以实现不同协议类型节点之间的通信。
经过上述处理过程,便可以在混合网络中实现移动VPN业务的互通。
为便于对本发明的理解,下面将结合附图对本发明的具体实现方式进行详细的说明。
本发明提供的IPv4-v6混合网络中实现移动VPN的技术方案的组网结构如图4所示。在图4中,VPN内部是IPv6网络环境,同时,在VPN内部还存在着支持移动IPv6的家乡网络(Home Net)和外地网络(Foreign Net);网络中的外部网络是以IPv4为主的互联网,同时还存在着支持移动IPv4的IPv4外部网络(External Net IPv4)和支持移动IPv6的IPv6外部网络(External Net IPv6)。在IPv6外部网络边缘设置了DNS-ALG设备,用于实现移动节点在IPv6外部网络是可以通过域名查询的方式获得IPv4网络中的VPN网关地址。
在图4所示的网络系统中,各组成设备的功能如下:
(1)MN(移动节点)
配置IPv4-v6双协议栈,支持标准的MIPv4(移动IPv4)/MIPv6(移动IPv6),配置支持MOBIKE的IPsec协议;
(2)VPN网关
其与外部网络的外部接口地址为IPv4地址,与内部网络的内部接口地址为IPv6地址,在VPN网关上配置IPv4-v6双协议栈,同时,VPN网关具有IPv6in IPv4隧道(利用IPv4隧道传输IPv6报文的技术)的封装与解封装功能,支持标准的MIPv6(移动IPv6协议),配置支持MOBIKE(IKEv2移动与多接口协议)的IPsec协议;
(3)DNS-ALG(域名服务器-应用层网关)和DNS(域名服务器)
其中,DNS-ALG配置IPv4-v6双协议栈,即同时可以支持IPv6和IPv4协议,用于提供VPN网关的IPv4地址信息,并将相应的IPv4地址增加特定的前缀转换为相应的IPv6地址,且作为IPv6网络中的DNS的上一级DNS;IPv6网络中的DNS只配置IPv6协议栈就可以了;
4、x-AR(外部接入路由器)
配置IPv4-v6双协议栈,具有IPv6in IPv4隧道的封装与解封装功能。
在图4所示的系统中,在VPN内部相应的IP地址配置方式如下:
传统的IPv4网络的VPN内部配置的是私网地址,只能在VPN内部使用。在IPv6地址分类中,站点本地单播地址非常适合VPN的应用,因此,本发明将VPN内部网络配置IPv6站点本地单播地址。所述站点本地单播地址只能用于在VPN网络内部传输数据,站点内的路由器只能在站点内转发该地址类型的数据包,而不能将其转发到站点外去。所述站点本地单播地址的结构可以为:1111111011+38位的“0”+16位的子网标识符+64位的接口标识符。
基于上述图4所示的系统,下面将对本发明提供的移动节点的接入方式的具体实现进行说明。
在IPv4-v6混合网络的移动VPN中,移动节点接入VPN的方式有三种,下面将分别对三种方式及相应的开展VPN业务的处理方式进行说明:
(一)在VPN内部网络为纯IPv6的网络环境中,处于VPN内部的移动节点以标准的移动IPv6与内部家乡代理和通信节点进行通信;
当移动节点在VPN内部网络时,相应的开展VPN业务的方式为:
将整个内部网络视为一个普通的IPv6网络,移动节点的移动性由移动IPv6实现;即在内部家乡网络时,移动节点通过IPv6路由机制进行通信;当移动节点移出家乡网络,进入支持移动IPv6的外地网络时,通过接入路由器获得移动IPv6转交地址,向家乡代理和通信节点进行注册,完成绑定更新,从而实现在内部网络的移动通信。
(二)在IPv4外部网络中,处于VPN外部的移动节点支持移动IPv4,获得IPv4转交地址,通过获得的转交地址与VPN网关进行IKE协商,建立IPsec隧道,从而通过所述隧道实现与VPN内部通信节点之间的通信;
当移动节点移出VPN内部网络,进入一个支持移动IPv4的IPv4外部网络时,相应的开展VPN业务的处理过程具体包括:
移动节点会分配到一个IPv4外地代理转交地址或IPv4配置转交地址。在与VPN网关完成身份鉴别之后,移动节点开始与VPN网关进行IKE协商,建立IPsec隧道。隧道两端的地址分别为移动节点的转交地址和VPN网关的外部接口的IPv4地址。
在进行IKE协商的时候,VPN网关给出一个VPN-TIA(VPN隧道内部地址),并将该地址通告给移动节点;在移出内部网络后,移动节点仍和VPN内部家乡代理或通信节点保持一个移动IPv6绑定缓存,VPN-TIA是用来作为移动节点向内部家乡代理或通信节点注册的移动IPv6转交地址。
也就是说,移动节点并不是将自己在外部网络获得的转交地址作为向内部网络的家乡代理注册的转交地址,而是用VPN-TIA作为移动节点的内部网络转交地址;其目的是:使得VPN内部的家乡代理和通信节点可以不受移动节点在外部网络的转交地址变化的影响,减少注册更新等控制信息的频繁发送,也避免了移动节点获得IPv4转交地址却要向移动IPv6的内部家乡代理注册所带来的问题。
在IPsec隧道建立之后,移动节点将上层协议的数据包首先进行移动IPv6封装,源地址为VPN-TIA,目的地址为内部家乡代理或通信节点的地址;之后进行IPsec封装,源地址为移动节点的外部网络IPv4转交地址,目的地址为VPN网关外部接口的IPv4地址。
数据包经过两次封装后的结构如表1所示,其中:i-HoA是移动节点在内部网络的家乡地址,x-CoA为移动节点在外部网络获得的转交地址,地址前的v4-v6标记表明地址类型。
表1
| V4x-CoAV4VPN-GW | ESP | V6VPN-TIAV6i-HA | V6i-HoAV6CN | User Protoco l | ESPTrailer |
(三)在IPv6外部网络中,处于VPN外部的移动节点支持移动IPv6,获得IPv6转交地址。IPv6外部网络的x-AR和IPv4网络中的VPN网关利用IPv6in IPv4隧道封装技术,使得在IPv6外部网络的移动节点与处在IPv4网络中的VPN网关进行通信;
移动节点位于IPv6外部网络,即位于VPN外部情况下移动节点与VPN内部节点通信的处理过程如下:
(1)移动节点进入到一个支持移动IPv6的外部网络时,该网络中的接入路由器(即x-AR)会为其提供一个接入外部网络的无线接口,即移动节点会获得相应的IPv6转交地址,以便于开展网络通信;
(2)移动节点获得相应的IPv6转交地址后,采用IPv6in IPv4隧道技术,分别在IPv6外部网络的x-AR和IPv4网络的VPN网关处对IPv6的数据包进行IPv4的封装和解封装,实现IPv4主机与IPv6主机的互通;
需要采用IPv6 in IPv4隧道技术的原因是:在移动节点获得IPv6转交地址后,若与位于IPv4网络中的VPN网关进行通信,仍然会因为两端地址结构的不同,导致无法处理与自己IP版本不同的IP数据包,即无法直接进行通信,为此,需要将IPv6报文进行IPv4封装,以便于对端VPN网关可以识别接收到的报文。
下面将对移动节点位于VPN外部情况下,其与VPN内部节点通信的处理过程的具体实现进行说明。
本发明在具体实现过程中,IPv4主机和IPv6主机建立通信的基础是通过域名进行关联。即移动节点无需了解需要通信的VPN网关是IPv4地址还是IPv6地址,而只需知道VPN网关的FQDN(Fully Qualified Domain Name,完全合乎要求域名)。这样,在域名解析后,便可以获得VPN网关的通信地址,并可以构造相应的数据包以实现相互之间的通信。
首先,对通过DNS(域名服务器)进行VPN网关域名解析的具体处理过程进行说明,具体的过程包括域名解析请求和域名解析响应两个处理阶段。
在相应的域名解析请求阶段,如图5所示,主要处理过程包括:
(1)移动节点向本IPv6站点内的DNS服务器发送DNS请求,即向相应的IPv6DNS服务器发送(“AAAA”)的DNS请求,以请求解析目的主机的FQDN,获得VPN网关的地址信息;
对于发起通信的IPv6主机移动节点来说,并不知道通信对方是IPv4主机或是IPv6主机,移动节点只存在目的主机(VPN网关)的FQDN,例如,www.vpngw.com,因此,需要通过域名解析请求获得VPN网关的地址。
(2)移动节点的DNS请求到达DNS服务器后,将被转发给DNS-ALG;
这是因为IPv6站点的DNS服务器收到移动节点的DNS请求实际上是IPv4网络中的VPN网关的FQDN,所以该DNS服务器不能解析该域名,并会将该请求将被转发到上一级DNS服务器;在该IPv6外部网络中,DNS服务器中配置的上级DNS服务器的地址为站内DNS-ALG的地址,因此,移动节点发送的DNS请求被DNS服务器转发到了DNS-ALG;
(3)DNS-ALG中保存有IPv4网络的DNS服务器地址,当其接收到DNS服务器转发来的移动节点的(“AAAA”)IPv6DNS请求,DNS-ALG会根据存储的DNS服务器列表确定VPN网关的DNS服务器地址,由于VPN网关的外部接口为IPv4接口,对应的地址为IPv4地址,所述相应的DNS服务器为IPv4网络中的DNS服务器,因此,需要将此IPv6DNS请求转换成IPv4DNS请求(“A”),并发往所述的IPv4网络的DNS服务器;
(4)由于DNS-ALG与x-AR相连,所以DNS-ALG将该IPv4DNS请求先发往x-AR,再由x-AR发往IPv4网络中。
相应的域名解析响应阶段,即DNS应答过程如图6所示,在IPv4网络中的DNS服务器收到该请求后,返回一个DNS应答,应答消息中包含VPN网关的IPv4地址,该应答消息将返回给IPv6网络中的移动节点,具体的DNS应答过程包括以下处理过程:
(1)IPv6网络中的DNS-ALG收到来自IPv4网络的DNS服务器的DNS应答,其结果是VPN网关的IPv4地址;DNS-ALG需要将该VPN网关地址添加一个特定的地址前缀,具有该前缀的数据包均会被路由到x-AR;
所述前缀路由可预先在IPv6网络的路由设备内配置并发布,例如,该前缀为5efO:3248::/64,假设VPN网关的IPv4地址为200.0.0.1,则DNS-ALG将此前缀加VPN网关的IPv4地址,构造为形如5efO:3248::200.0.0.1的IPv6地址返回给IPv6网络内的DNS服务器;
(2)IPv6网络中的DNS服务器接收到DNS-ALG返回的具有特定前缀的IPv6地址后,将此地址对应移动节点的DNS请求,将相应的地址作为VPN网关的地址写入缓存,即在IPv6网络中的DNS上保存VPN网关的IPv6格式的地址与其域名的对应关系信息;
需要说明的是:经过一次对VPN网关的DNS解析后,将不再重复此过程,之后与VPN网关通过域名进行通信的主机可直接在IPv6网络的DNS服务器内得到转换后的VPN网关的地址,该地址为IPv6地址;
(3)将解析结果(即所述具有特定前缀的IPv6地址)写入缓存后,DNS服务器还将特定地址前缀与VPN网关的IPv4地址构成的IPv6地址返回给移动节点,这样,移动节点便获得了开展移动VPN业务需要的VPN网关的地址信息。
在移动节点及所述的DNS服务器获得了VPN网关的地址信息之后,则所述的移动节点便可以通过数据包的转换和转发处理实现与VPN内网中节点的通信,相应的具体的通信过程包括:
(1)移动节点接收到DNS服务器返回的IPv6地址,该地址是VPN网关的IPv4地址添加特定地址前缀构造的IPv6地址,移动节点以此地址为目的地址构造IPv6数据包。
(2)由于该目的地址的前缀路由已经在IPv6网络内进行配置和发布,凡具有该地址前缀的IPv6包均指向x-AR,因此移动节点发送的IPv6数据包被路由到x-AR,在此,假定该特定地址前缀为5efO:3248::/64,VPN网关的IPv4地址为200.0.0.1;
(3)x-AR接收到目的前缀为5efO:3248::/64的IPv6数据包,识别出其前缀为DNS-ALG发布的特定前缀,便会对该IPv6数据包进行IPv6in IPv4隧道封装,具体的封装方式为:
x-AR从IPv6数据包的目的地址项中提取出VPN网关的IPv4地址,作为IPv4隧道包头的目的地址,将x-AR的IPv4地址作为IPv4隧道包头的源地址,新构造的IPv4数据包结构如表2所示,即相应的经过IPv4隧道封装的数据包结构如表2所示:
表2
| IPv4包头 | IPv6包头 | IPv6有效数据 |
(4)x-AR将封装完成的IPv4数据包发送到IPv4网络;
(5)VPN网关收到的IPv4数据包可能是来自IPv4外部网络移动节点的数据包,也可能是来自IPv6外部网络的移动节点经IPv4隧道封装的数据包;为识别数据包来源,VPN网关需要读取IPv4包头,如果发现下一包头为IPv6地址,则确定该数据包来自IPv6外部网络,并对其解封装,将解除封装的IPv6数据包交给其它模块进行下一步的处理,后续的处理过程与普通IPv6数据包的处理方式相同,故不再对其进行详细说明。
当处于VPN内部的节点需要向处于IPv6外部网络的移动节点发送信息时,则需要在VPN网关将需要发送给移动节点的IPv6数据包封装上IPv4包头,并通过所述的x-AR与VPN网关之间的隧道向移动节点发送,其中经过VPN网关IPv4隧道封装后的IPv4数据包头的目的地址为x-AR的IPv4地址,源地址为VPN网关IPv4地址。当x-AR接收到IPv4数据包,读取IPv4包头,发现下一包头为IPv6,则对其解封装,并将解除封装获得的IPv6数据包转发给移动节点。具体的处理过程可以看作是由移动节点向VPN网关发送数据包的一个逆处理过程。
在上述处理过程中,当移动节点处于IPv6外部网络时,若移动节点要与VPN内部节点通信,则需要建立与VPN网关之间的隧道,即如何建立隧道保证IPv6外部网络与VPN内部的通信是在混合网络中实现VPN通信的关键。为此,下面将对移动节点处于IPv6外部网络情况下,相应的IPsec隧道的建立及数据包的转发处理过程进行详细说明。
在现有技术中,移动节点与VPN网关的通信支持MOBIKE的IKEv2协商,建立IPsec隧道,然后数据包在IPsec ESP(IPsec封装安全载荷)隧道模式封装后进行传输。但是,在本发明所述的应用情景下,由于移动节点和VPN网关位于不同类型的网络中,IKE协商的信令信息以及之后的IPsec封装数据包均会经过IPv6in IPv4隧道的封装和解封装,因此,对于IPv6外部网络中的移动节点为与VPN内部节点通信,则需要建立相应的两端地址均为IPv4地址的IPsec隧道,即支持IPv6in IPv4封装和解封装的隧道,通过该隧道进行IPv6inIPv4报文的封装传递。
本发明中,建立的隧道中,移动节点SA的SPI(安全参数索引)目的地址项是VPN网关的IPv6地址,而VPN网关SA的SPI目的地址项是移动节点的IPv6地址,在双方进行IKE协商的过程中,VPN网关同时也获得自己的IPv6地址,即相应的特定前缀再加上自己的IPv4地址。
在IPsec隧道建立后,则需要通过所述隧道进行数据包的交互传递,下面将对相应的数据包的转发处理过程进行说明。
移动节点首先将上层协议的数据包进行移动IPv6封装,源地址为VPN-TIA(VPNTunnel Inner Address,VPN隧道内部地址),目的地址为VPN内部的节点(包括内部家乡代理或通信节点)的地址。
之后,进行IPsec封装,源地址为移动节点的外部网络IPv6转交地址,目的地址为VPN网关外部接口IPv6地址,该地址是由VPN网关IPv4地址加特定前缀生成的。
相应的数据包经过两次封装后IPv6数据包的结构如表3所示,其中i-HoA是移动节点在内部网络的家乡地址,x-CoA为移动节点在外部网络获得的转交地址,VPN-GW是加上特定前缀的IPv6地址。地址前的v4/v6标记表明地址类型。
表3
| V6x-CoAV6VPN-GW | ESP | V6VPN-TIAV6i-HA | V6i-HoAV6CN | User Protocol | ESPTrailer |
由于该数据包目的地址的前缀路由已经在IPv6网络内进行配置和发布,凡具有该地址前缀的IPv6包均指向x-AR,因此移动节点发送的IPv6数据包被路由到x-AR。
x-AR识别出其前缀为DNS-ALG发布的特定前缀,因此对该IPv6数据包进行IPv6inIPv4隧道封装;具体为:x-AR从IPv6数据包的目的地址项中提取出VPN网关的IPv4地址,作为IPv4隧道包头的目的地址,将x-AR的IPv4地址作为IPv4隧道包头的源地址,经过IPv4隧道封装的IPv4数据包格式如表4所示,其中,在最外层的包头为IPv4数据包头,原先整个IPv6数据包作为IPv有效载荷封装在IPv4数据包中。其中在最外层包头的x-AR是接入路由器的IPv4地址,VPN-GW是VPN网关的IPv4地址。
表4
| V4x-ARV4VPN-GW | V6x-CoAV6VPN-GW | ESP | V6VPN-TIAV6i-HA | V6I-HoAV6CN | User Protocol | ESPTrailer |
经过隧道封装的IPv4数据包转发由x-AR转发至IPv4网络中。VPN网关接收到数据包后,先解除IPv4隧道封装;再转交给IPsec功能模块,解除IPsec封装,转发给内部家乡代理或通信节点,实现移动节点和VPN内部节点的通信。
VPN内部节点向移动节点发送数据包的转发和转换完全可以看作是上述步骤的逆过程,故在这里不再赘述。
本发明在具体实现过程中,当移动节点移动到IPv6外部网络中时,其与VPN内部节点之间的通信的实现还可以采用以下方案实现。
在IPv4-v6混合网络中,为实现位于IPv6网络的主机(移动节点)和位于IPv4网络的主机(VPN网关)之间的通信,除了采用IPv6in IPv4隧道技术外,还可以采用NAT-PT(网络地址转换-协议转换)技术实现。
即本发明还根据NAT-PT的基本技术和思想,将其应用到IPv4-v6混合网络中以实现移动VPN,进而提出了该结构下位于IPv6网络中的移动节点与位于IPv4网络中的VPN网关的通信方案。
在IPv6外部网络边缘需要配置NAT-PT实体,即NAT-PT设备,在本发明中具体可以将NAT-PT和DNS-ALG结合为同一设备。
下面将对位于IPv6外部网络中的移动节点与IPv4网络中的VPN网关通信的具体实现过程进行详细的说明。
移动节点仍然利用域名查询的方法获得VPN网关的IPv6地址,具体查询过程在前面的叙述中已经描述,此处不再详述。该IPv6地址是VPN网关IPv4地址加上特定地址前缀。移动节点以此地址为目的地址构造数据包。
具有该特定地址前缀的IPv6数据包会被默认路由到NAT-PT,NAT-PT根据该特定地址前缀判断出数据包是发给IPv4网络中的主机,因此对该IPv6数据包进行协议转换。NAT-PT将接收到的IPv6包内源地址(移动节点的转交地址)映射到一个IPv4地址,作为转换IPv4包的源地址,目的地址后32位作为转换IPv4包的目的地址,对IPv6包内各字段进行语法及语意转换(即NAT-PT),转换完成的IPv4数据包目的地址即为VPN网关的IPv4地址;
NAT-PT与x-AR都是双协议栈设备,NAT-PT将转换完成的IPv4数据包发送到x-AR,再由x-AR将该数据包发送到IPv4网络。
IPv4数据包转换成IPv6数据包的过程是上述步骤的逆过程。当x-AR接收到IPv4数据包,先路由至NAT-PT,NAT-PT提取IPv4包目的地址,查找地址映射表,找到与这个IPv4目的地址相对应的IPv6地址作为IPv6数据包的目的地址;将IPv4包的源地址添加特定前缀,作为IPv6包的源地址,对IPv4包内各字段进行语法及语意转换,构造IPv6数据包,最终转发给移动节点。
下面将对在设置有NAT-PT实体情况下,为处于IPv6外部网络中的移动节点为实现与VPN内部通信时,需要进行的隧道的建立及数据包的转发处理过程进行详细的说明。
首先,隧道的建立过程如下:
同样,移动节点与VPN网关最初的通信是支持MOBIKE的IKEv2协商,建立IPsec隧道,然后数据包在IPsec ESP隧道模式封装后进行传输。由于NAT-PT的存在,IKE协商的信令信息以及之后的IPsec封装数据包都会经过IPv4to IPv6或IPv6to IPv4的转换,移动节点SA的SPI目的地址项是VPN网关的IPv6地址,而VPN网关SA的SPI目的地址项是移动节点的IPv4地址,双方不知道通信对端是不同于自己网络类型的主机。这样并不影响双方隧道的建立和数据的传输,还为移动节点在不同类型的外部网络切换带来了方便:无论移动节点处于IPv4的外部网络还是IPv6的外部网络,VPN网关始终认为移动节点是处于IPv4网络中的。
之后,利用隧道进行数据包的转发的处理过程如下:
在IPsec隧道建立后,移动节点将上层协议的数据包首先进行移动IPv6封装,源地址为VPN-TIA,目的地址为内部家乡代理或通信节点的地址;之后进行IPsec封装,源地址为移动节点的外部网络IPv6转交地址,目的地址为VPN网关外部接口IPv6地址,该地址是由VPN网关IPv4地址加特定前缀生成的。移动节点位于IPv6外部网络两次封装后的IPv6数据包结构如表5所示,其中i-HoA是移动节点在内部网络的家乡地址,x-CoA为移动节点在外部网络获得的转交地址,VPN-GW(VPN网关)是加上特定前缀的IPv6地址。地址前的v4/v6标记表明地址类型。
表5
| V6x-CoAV6VPN-GW | ESP | V6VPN-TIAV6i-HA | V6i-HoAV6CN | User Protocol | ESPTrailer |
该数据包路由至NAT-PT后,NAT-PT将接收到的IPv6包内源地址(移动节点的转交地址)映射到一个IPv4地址,作为转换IPv4包的源地址,目的地址后32位作为转换IPv4包的目的地址,对IPv6包内各字段进行语法及语意转换,构造目的地址为VPN网关IPv4地址的IPv4数据包。表6为经过NAT-PT转换的IPv4数据包格式,这时最外层的IPsec包头已经转换为IPv4地址。其中x-CoA是移动节点由IPv6转交地址映射得到的IPv4转交地址,VPN-GW是VPN网关的IPv4地址。
经过NAT-PT转换后的IPv4数据包的结构如表6所示:
表6
| V4x-CoAV4VPN-GW | ESP | V6VPN-TIAV6i-HA | V6i-HoAV6CN | User Protocol | ESPTrailer |
经过NAT-PT转换的IPv4数据包转发至x-AR,再由x-AR转发至IPv4网络中。VPN网关接收到数据包后,解除IPsec封装,再转发给内部家乡代理或通信节点,实现移动节点和VPN内部节点的通信。
VPN内部节点向移动节点发送数据包的转发和转换完全是上述步骤的逆过程,在这里不再赘述。
在本发明中,移动节点的移动性决定了本发明在具体实现过程中还包括移动节点在不同类型网络间的切换和SA地址的更新的处理过程,下面将对这一过程进行详细的说明。
IPv4-v6混合网络存在着支持移动IPv4的IPv4外部网络和支持移动IPv6的IPv6外部网络,异类网络是指分别为IPv4与IPv6的网络,同类网络是指同为IPv4网络或同为IPv6网络。
在移动节点利用IPsec隧道接入VPN后,可能会在不同的网络之间移动。本发明中,当移动节点位于内部网络时,则可以使用标准的移动IPv6通信;当移动节点从内部网络漫游至外部网络时,则需要建立IPsec隧道与VPN内部节点进行通信;在移动节点离开现在的外部网络进入一个新的异类或同类的外部网络后,能够通过MOBIKE协议,使用新获得的转交地址更新SA地址,保持原有的IPsec隧道,继续和VPN内部节点的通信。
在移动节点的转交地址发生改变后,为避免再次协商,以利用原有的IPsec隧道继续通信,本发明中需要采用MOBIKE协议实现IPsec协议对节点移动性的支持,从而允许在移动节点转交地址发生变化后通过SA地址更新继续保持原有的IPsec隧道进行通信。
为清楚说明本发明中的这一技术要点,下面首先对现有的MOBIKE协议进行介绍。
MOBIKE,是基于IKEv2的扩展协议,有效支持了IPsec隧道通信两端的移动性。MOBIKE允许隧道两端的节点在保持IKE SA和IPsec SA的情况下更新其IP地址,也就是说在隧道两端的节点IP地址改变后仍可以保持原有的IPsec隧道,无需重新进行协商。MOBIKE协议的一个重要应用场景就是IPsec VPN的移动节点在外部网络改变其转交地址后仍与VPN网关保持原有的IPsec隧道。
MOBIKE支持通信的双方具有多个地址,并且由IKE_SA(因特网密钥交换-安全联盟)的发起者决定使用的隧道的端地址对。在更新IPsec SA地址的时,也是由IKE_SA的发起者来发出更新地址请求。MOBIKE这样的设置非常适合移动VPN的应用场景。在移动VPN中,往往是移动节点在外部网络时向VPN网关发起IKE协商,建立IPsec隧道。在移动节点转交地址发生改变后,由移动节点发起更新地址请求,开始更新IKE SA和IPsec SAs(IPsec安全联盟组)中移动节点的地址。
由于MOBIKE是IKEv2的扩展协议,因此,其实现均为在IKEv2的协商交换中完成的。MOBIKE定义了一些新的通告载荷,在IKEv2的三种交换类型(IKE_SA交换,IPsec SA交换以及信息交换)的协商交换过程中使用所述新的通告载荷实现MOBIKE支持的功能。
如果希望在建立好的IPsec隧道中支持MOBIKE协议,首先要在IKE_SA初始化的时候,在IKE_AUTH(IKE初始化的认证交换)交换中加入MOBIKE_SUPPORTED(支持MOBIKE)通告载荷,表明节点双方均支持MOBIKE协议。
MOBIKE协议支持通信两端的实体同时拥有多个地址,发起方和响应方可以在IKE_AUTH交换(即IKEv2初始化交换的后两条消息)中加入ADDITIONAL_IPv4_ADDRESS(加入IPv4地址)或ADDITIONAL_IPv6_ADDRESS(加入IPv6地址)通告载荷。
在实现MOBIKE协议时,相应的IPsec SAs的地址的更新过程如下:
在MOBIKE中,IKE_SA的发起方决定IPsec SAs中使用的地址。也就是说,响应方只有在收到来自发起方显性的UPDATE_SA_ADDRESSES(更新SA地址)请求后,才更新IPsec SAs的IP地址。当发起方确定要更新地址后,更新IKE_SA和IPsec SAs中的IP地址,在IKE_SA中设置“pending_update(绑定更新)”标记;如果有发送至响应方但还未收到应答的IKEv2请求,使用更新后的IP地址重新传输该请求;当window size允许时,发送一个包含UPDATE_SA_ADDRESSES通告载荷的消息交换请求,并且清除“pending_update”标记;如果在等待消息交换应答的期间地址又发生了改变,就再次从第一步开始并忽略返回的应答消息。
在处理包含UPDATE_SA_ADDRESSES的消息交换请求时,相应的响应方具体需要进行如下的处理过程:
1、由于若响应方使用大于1的wi ndow si ze,有可能接收的请求次序颠倒,因此,需要检查是否收到过比该消息还新的UPDATE_SA_ADDRESSES请求如果有,仅回复一个应答,不进行其它动作;
2、根据本地策略检查IP包头的源地址和目的地址是否可接受,如果不可,返回一个应答包含UNACCEPTABLE_ADDRESS通告载荷,表明不可接受;
3、使用发起方发送的IP包头中的IP地址来更新IKE_SA中的IP地址;
4、回复一个信息交换应答表明已经更新完毕;
当发起方收到应答后,则需要进行了相应处理过程如下:
1、如果在该应答到来之前IP地址又发生了改变,不对该应答作任何处理,发送一个新的UPDATE_SA_ADDRESSES请求;
2、如果应答包含UNACCEPTABLE_ADDRESSES通告载荷,发起方可以选取其他的地址再重新交换,或继续使用现在的地址,或断开连接。
在MOBIKE协议中,还包括返回路由可达性检查(Return Routability Check)功能,具体为:无论发起方还是响应方,都可以有选择的来证实使用现在的地址对方是否能够收到数据包。返回路由可达性检查可在更新IPsec SAs之前或之后,或是在正常连接期间实行。在默认情况下,完成IPsec SAs的更新之后需要进行返回路由可达性检查。一方发起一个IKE信息交换请求,包含着一个cookie2通告载荷;另一方在收到该信息交换请求后,发送信息交换应答,复制收到的cookie2通告载荷并包含在信息交换应答中;发起方收到信息交换应答后,检查收到的cookie2通告载荷是否与自己发送的完全相同,从而完成返回路由可达性检查。
介绍了MOBIKE协议后,下面将对移动节点的网络切换和SA地址更新过程进行描述。
移动节点在外部网络的切换可以分为两种情况:
同类网络间的切换,所述的同类网络间的切换是指移动节点从一个IPv4外部网络漫游至另一个IPv4外部网络,或从一个IPv6外部网络漫游至另一个IPv6外部网络;
异类网络间的切换,所述的异类网络间的切换是指移动节点从一个IPv4外部网络漫游至一个IPv6外部网络,或从一个IPv6外部网络漫游至一个IPv4外部网络。
另外,移动节点从IPv6内部网络漫游至外部网络可分为:移动到IPv4外部网络和移动IPv6外部网络两种情况。
下面分别就各种情况下移动节点的配置和SA地址更新进行说明。
(一)移动节点位于内部网络
移动节点位于内部网络,如果不在家乡网络中,通过标准的移动IPv6与VPN内部家乡代理和通信节点进行通信。位于内部网络中的移动节点在移动过程中,当IP地址发生了变化时,则需要进行的处理包括:
(1)立即停止与VPN内部其它节点的通信,如果获得了IPv4转交地址,则确定移动节点此时位于一个IPv4外部网络中,开始使用该IPv4转交地址与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道;
(2)移动节点使用VPN网关生成的VPN-TIA作为内部MIPv6转交地址通过IPsec隧道向i-HA(内部家乡代理)发送注册请求,在收到注册应答后通过建立的IPsec隧道与内部网络节点通信;
(3)如果移动节点获得了IPv6转交地址,利用域名解析的方式间接查询VPN网关的IPv6地址,具体查询过程前面已经描述,此处不再描述;
(4)在执行步骤(3)的同时,移动节点还需要向VPN内部家乡代理发送一个标准的移动IPv6注册请求;
(5)移动节点根据是否收到相应的移动IPv6注册应答进行相应的通信处理;
(51)如果移动节点收到对应步骤(4)中的移动IPv6注册请求的移动IPv6注册应答,则确定移动节点目前所在的网络仍是VPN内部网络,这样,在完成注册更新后,移动节点可以使用新的IPv6转交地址与VPN内部节点通信;
(52)如果没有收到对应步骤(4)中的移动IPv6注册请求的移动IPv6注册应答,并且查询VPN网关的IPv6地址成功,此时移动节点应当是位于一个IPv6外部网络,使用新的IPv6地址与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道;
在步骤(52)中,具体的建立IPsec隧道的过程为:移动节点使用VPN网关生成的VPN-TIA作为内部移动IPv6转交地址,通过IPsec隧道向内部家乡代理发送注册请求,在收到注册应答后通过建立的IPsec隧道与内部网络节点通信。
(二)移动节点位于外部网络
移动节点在外部网络时,建立了IPsec隧道,通过IPsec隧道与VPN内部节点进行通信。移动节点位于IPv4外部网络和位于IPv6外部网络所采取的配置不尽相同,相比之下,移动节点位于IPv6外部网络需要进行IPv6in IPv4隧道封装,更为复杂。
下面分别就移动节点在IPv4外部网络的漫游和在IPv6外部网络的漫游分别进行说明。
1、移动节点位于IPv4外部网络
移动节点位于IPv4外部网络时,通过获得的IPv4转交地址作为隧道本端的地址,与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道,通过IPsec隧道与VPN内部节点进行通信。移动节点在IPv4外部网络中移动,IP地址发生变化时,需要进行的处理包括:
(1)立即停止与VPN内部节点的通信,如果获得了IPv4转交地址,说明移动节点进入了另一个IPv4外部网络,开始初始化MOBIKE,进行SA地址更新,更新后SA的端点地址为移动节点新的IPv4转交地址和VPN网关的IPv4地址;
(2)如果移动节点获得了IPv6转交地址,利用域名解析的方式间接查询VPN网关的IPv6地址;
(3)在执行步骤(2)的同时,移动节点还需要向VPN内部家乡代理发送一个标准的移动IPv6注册请求;
(4)移动节点根据是否返回相应的注册应答进行相应的通信处理;
(41)如果移动节点收到对应步骤(3)中的移动IPv6注册请求对应的移动IPv6注册应答,则确定移动节点现在进入了VPN内部网络,在完成注册更新后,移动节点可以使用新的IPv6转交地址与VPN内部节点通信;
(42)如果没有收到对应步骤(3)中的移动IPv6注册请求对应的MIPv6(移动IPv6)注册应答,并且查询VPN网关的IPv6地址成功,此时移动节点位于一个IPv6外部网络,开始初始化MOBIKE,进行SA地址更新,更新后SA端点地址为移动节点新获得的IPv6转交地址和VPN网关的IPv6地址;
在执行步骤(42)完成IKE SA和IPsec SAs地址更新后,移动节点继续通过IPsec隧道与VPN内部节点通信。
针对所述SA地址需要说明的是:由于移动节点从IPv4外部网络移动至IPv6外部网络,移动节点的目的地址和源地址(也就是SA的端点地址)都发生改变,移动节点将它们更新为IPv6地址;对于VPN网关,是在收到UPDATE_SA_ADDRESSES(更新安全联盟地址)通告载荷后根据IP包的地址进行更新,因此VPN网关认为SA的端点地址发生了变化,将更新为移动节点和VPN网关的IPv6地址。
2、移动节点位于IPv6外部网络
移动节点位于IPv6外部网络时,获得IPv6转交地址,通过域名解析方式查询到VPN网关的IPv6地址。接着发起支持MOBIKE的IKE协商,建立IPsec隧道。通过IPsec隧道与VPN内部节点进行通信。移动节点在IPv6外部网络中移动,IP地址发生变化时,需要进行的处理包括:
(1)立即停止与VPN内部节点的通信,如果获得了IPv4转交地址,说明移动节点进入了另一个IPv4外部网络,开始初始化MOBIKE,进行SA地址更新,更新后SA的端点地址为移动节点新的IPv4转交地址和VPN网关的IPv4地址;
(2)如果移动节点获得了IPv6转交地址,利用域名解析的方式间接查询VPN网关的IPv6地址;
(3)与步骤(2)同时向VPN内部家乡代理发送一个标准的移动IPv6注册请求;
(4)移动节点根据是否返回注册应答的情况进行相应的通信处理;
(41)如果移动节点收到对应步骤(3)中的移动IPv6注册请求对应的移动IPv6注册应答,则确定移动节点现在进入了VPN内部网络,在完成注册更新后,移动节点能够使用新的IPv6转交地址与VPN内部节点通信;
(42)如果没有收到对应步骤(3)中的移动IPv6注册请求对应的MIPv6注册应答,并且查询VPN网关的IPv6地址成功,此时移动节点位于一个IPv6外部网络,开始初始化MOBIKE,进行SA地址更新,更新后的SA端点地址为移动节点新获得的IPv6转交地址和VPN网关的IPv6地址;
在执行所述步骤(42)完成IKE SA和IPsec SAs地址更新后,移动节点继续通过IPsec隧道与VPN内部节点通信。
本发明中在进行SA地址更新的过程中需要考虑相应的安全性问题,具体为:在更新SA地址时,可能会受到一些来自网络中第三方的安全威胁。MOBIKE协议在考虑安全因素的情况下设计了两种保障机制:
第一,返回路由可达性检查(“return routability”check)可以用来检查双方节点提供的地址的可达性,这避免了大量的通信流量传入第三方;
第二,NAT禁止(NAT prohibition)使得IP地址不能被任何NAT,IPv4/v6转换,或其它类似设备修改。
这一特性主要使用在管理员已经知道两节点之间不存在任何NAT设备,所以任何对数据包的修改都认为是一种攻击。
在本发明中,在每次SA地址更新之后,还未恢复数据流的通信之前,加入返回路由可达性检查,确保更新后的地址是安全可路由的。在移动节点进入IPv4外部网络或是IPv6外部网络中,认为移动节点和VPN网关之间不存在任何必要的NAT设备,因此,可以使用NAT禁止来保护数据包不被修改。
综上所述,本发明利用MOBIKE协议更新SA的地址项,配合VPN网关指派给移动节点VPN-TIA地址的方法,成功解决了现有技术中提及的两个问题。并提出在IPv4向IPv6过渡时期,采用IPv4为骨干网络的IPv4-v6混合环境下,移动节点实现接入VPN服务,以及保持正常通信前提下网络间切换。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明保护范围应该以权利要求保护范围为准。
Claims (19)
1.一种混合网络中实现移动VPN的方法,其特征在于,该方法应用于包括IPv4网络和移动虚拟专用网VPN内部的IPv6网络的混合网络中,且在所述的混合网络中设置VPN的VPN网关,所述的VPN网关提供有IPv6地址的内部接口和IPv4地址的外部接口,该方法包括:
A、在所述的VPN网关与外部网络之间建立用于传输外部网络与VPN内部的IPv6网络之间交互的VPN报文的隧道,所述的隧道两端地址分别为外部网络的IPv4地址和VPN网关提供的外部接口的IPv4地址;
B、将需要传送的VPN报文封装上IPv4报头后通过所述隧道传送,在混合网络中实现VPN业务的交互;
其中,当所述的外部网络为IPv4外部网络时,所述步骤A包括:在所述的VPN网关与位于IPv4外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道;
或者
当所述的外部网络为IPv6外部网络时,所述步骤A包括:在所述的VPN网关与位于IPv6外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道之后,VPN网关与IPv6外部网络中的接入路由器建立用于传输IPv6报文的IPv6 in IPv4隧道,该隧道将IPv6报文封装于IPv4报文中,隧道两端地址分别为IPv6外部网络接入路由器的IPv4地址和VPN网关外部接口的IPv4地址;
所述的IPsec协议隧道为支持因特网密钥交换移动与多接口协议MOBIKE的IPsec协议隧道。
2.根据权利要求1所述的混合网络中实现移动VPN的方法,其特征在于,所述的在所述的VPN网关与位于IPv6外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道之后,VPN网关与IPv6外部网络中的接入路由器建立用于传输IPv6报文的IPv6 in IPv4隧道,该隧道将IPv6报文封装于IPv4报文中,隧道两端地址分别为IPv6外部网络接入路由器的IPv4地址和VPN网关外部接口的IPv4地址,包括:
A11、移动到IPv6外部网络中的移动节点根据在IPv6网络中保存的用于解析VPN网关的IPv4地址的域名服务器DNS的地址信息发起DNS请求;
A12、所述的DNS收到所述的DNS请求后,向移动节点返回DNS应答消息,所述应答消息中包括VPN网关的IPv4地址信息;
A13、所述移动节点及IPv6网络获取VPN网关的IPv4地址信息。
3.根据权利要求2所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤A11包括:
所述移动节点向所在的IPv6网络中的DNS发起VPN网关的DNS请求,所述的请求到达IPv6网络中的DNS后,将被转发到IPv6网络中设置的域名服务器应用层网关DNS-ALG;
DNS-ALG根据其保存的DNS服务器信息确定用于解析VPN网关的IPv4地址的DNS,并将所述的DNS请求转换为IPv4格式的DNS请求发送给确定的所述DNS。
4.根据权利要求3所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤A13包括:
在DNS-ALG接收到返回的DNS应答消息后,保存VPN网关的IPv4地址信息,并将该IPv4地址增加前缀转换为IPv6格式的IPv6地址发送给移动节点,移动节点将该IPv6地址作为VPN网关的地址信息。
5.根据权利要求1至4任一项所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤B包括:
B1、位于IPv6外部网络中的移动节点构造所述的VPN网关对应的IPv6地址的报文,并发送给IPv6网络的外部接入路由器;
B2、所述的外部接入路由器收到来自移动节点的IPv6报文,为该报文添加IPv4报文头,报文头中承载的是VPN网关的IPv4地址,并通过所述的隧道发送给所述的VPN网关;
B3、VPN网关解析接收到的报文,对该IPv4报文解封装还原为IPv6报文,并继续传递所述IPv6报文。
6.根据权利要求1至4任一项所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤B包括:
B4、位于IPv6外部网络中的移动节点构造所述的VPN网关对应的IPv6地址的报文,并发送给网络地址转换-协议转换NAT-PT实体;
B5、所述的NAT-PT将所述的IPv6报文中的IPv6地址转换为IPv4地址,并发送给外部接入路由器,由所述外部接入路由器通过所述的隧道将该报文发送给所述的VPN网关;
B6、VPN网关解析接收到的报文,并继续传递所述报文。
7.根据权利要求1所述的混合网络中实现移动VPN的方法,其特征在于,所述的在所述的VPN网关与位于IPv4外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道,包括:
A21、当移动节点移动到IPv4外部网络中后,获得IPv4网络的转交地址;
A22、移动节点与VPN网关之间进行协商建立所述的IPsec隧道,隧道的两端的地址分别为所述转交地址和VPN网关的IPv4地址。
8.根据权利要求7所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤A22包括:
在移动节点与VPN网关之间进行因特网密钥交换IKE协商过程中,VPN网关将为移动节点确定一个VPN隧道内部地址,作为移动点向VPN内部注册的移动IPv6转交地址。
9.根据权利要求1、7或8所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤B包括:
处于IPv4网络中的移动节点将数据包首先进行移动IPv6封装,之后,再根据建立的隧道进行IPsec封装,并通过建立的隧道向所述的VPN网关发送封装有IPv4报头的VPN业务报文。
10.根据权利要求9所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤B中还包括:
移动节点将数据包进行移动IPv6封装时,相应的源地址为所述的VPN隧道内部地址,目的地址为VPN内部的节点的地址。
11.根据权利要求1至4任一项所述的混合网络中实现移动VPN的方法,其特征在于,当位于VPN内部网络中的移动节点在移动过程中IP地址发生变化时,则立即停止与VPN内部其它节点的通信,且所述的方法还包括:
C1、若移动节点获得IPv4转交地址,则使用所述IPv4转交地址与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道;移动节点使用VPN网关提供的内部IPv6转交地址通过所述隧道向内部家乡代理发起注册,并在收到注册应用答后通过所述隧道与VPN网络节点通信;
或者,
C2、若移动节点获得IPv6转交地址,则利用域名解析的方式间接查询VPN网关的IPv6地址,之后,移动节点向VPN内部家乡代理发送一个标准的移动IPv6注册请求;当接收到IPv6注册应答时,确定移动节点位于VPN内部,移动节点使用新的IPv6转交地址与VPN内部节点通信。
12.根据权利要求11所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤C2还包括:
若移动节点未收到所述的移动IPv6注册应答,且查询VPN网关的IPv6地址成功,确定移动节点位于VPN外部的IPv6网络中,则使用新的IPv6地址与VPN网关进行支持MOBIKE的IKE协商,建立IPsec隧道;移动节点使用VPN网关提供的内部IPv6转交地址,通过IPsec隧道向内部家乡代理发送注册请求,在收到注册应答后通过建立的IPsec隧道与内部网络节点通信。
13.根据权利要求1至4任一项所述的混合网络中实现移动VPN的方法,其特征在于,当原处于IPv4外部网络中的移动节点在移动过程中IP地址发生变化时,则停止与VPN内部节点的通信,且所述的方法还包括:
D1、若移动节点获得IPv4转交地址,确定移动节点移动至另一个IPv4外部网络中,则开始初始化MOBIKE,并进行SA地址更新,更新后SA的端点地址为移动节点新的IPv4转交地址和VPN网关的IPv4地址,移动节点继续通过所述隧道与VPN内部节点通信;
或者,
D2、若移动节点获得IPv6转交地址,则利用域名解析的方式间接查询VPN网关的IPv6地址;之后,移动节点向VPN内部家乡代理发送一个标准的移动IPv6注册请求,并在收到移动IPv6注册应答后,确定移动节点移动至VPN内部网络中,使用新的IPv6转交地址与VPN内部节点通信。
14.根据权利要求13所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤D2还包括:
若移动节点未收到所述的移动IPv6注册应答,并且查询VPN网关的IPv6地址成功,确定移动节点移动至IPv6外部网络中,则开始初始化MOBIKE,进行SA地址更新,更新后SA端点地址为移动节点新获得的IPv6转交地址和VPN网关的IPv6地址,移动节点继续通过所述隧道与VPN内部节点通信。
15.根据权利要求1至4任一项所述的混合网络中实现移动VPN的方法,其特征在于,当原处于IPv6外部网络中的移动节点在移动过程中IP地址发生变化时,则停止与VPN内部节点的通信,且所述的方法还包括:
E1、若移动节点获得IPv4转交地址,确定移动节点移动至IPv4外部网络中,则开始初始化MOBIKE,进行SA地址更新,更新后SA的端点地址为移动节点新的IPv4转交地址和VPN网关的IPv4地址,移动节点继续通过所述隧道与VPN内部节点通信;
或者,
E2、若移动节点获得IPv6转交地址,则利用域名解析的方式间接查询VPN网关的IPv6地址;之后,移动节点向VPN内部家乡代理发送一个标准的移动IPv6注册请求,并在收到相应的移动IPv6注册应答后,确定移动节点移动至VPN内部网络中,移动节点使用新的IPv6转交地址与VPN内部节点通信。
16.根据权利要求15所述的混合网络中实现移动VPN的方法,其特征在于,所述的步骤E2还包括:
若移动节点未收到对应的移动IPv6注册应答,并且查询VPN网关的IPv6地址成功,确定移动节点移动至另一个IPv6外部网络中,则开始初始化MOBIKE,进行SA地址更新,更新后的SA端点地址为移动节点新获得的IPv6转交地址和VPN网关的IPv6地址,移动节点继续通过所述隧道与VPN内部节点通信。
17.一种混合网络中实现移动VPN的系统,其特征在于,包括IPv4外部网络、IPv6外部网络和VPN网关,VPN的内部网络为IPv6网络,所述的VPN网关提供的内部接口为IPv6接口,外部接口为IPv4接口,所述的系统还包括:
隧道建立模块:用于在所述的VPN网关与外部网络之间建立用于传输两网络之间交互的VPN报文的隧道,且所述的隧道的两端地址分别为外部网络的IPv4地址和VPN网关提供的外部接口的IPv4地址;
报文封装传送模块:设置于所述隧道的两端,用于将待发送的VPN报文封装上IPv4报文头,并通过所述的隧道发送给对端;
其中,当所述的外部网络为IPv4外部网络时,所述隧道建立模块还包括:在所述的VPN网关与位于IPv4外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道;
或者
当所述的外部网络为IPv6外部网络时,所述隧道建立模块还包括:在所述的VPN网关与位于IPv6外部网络中的获得转交地址的移动节点之间建立IPsec协议隧道之后,VPN网关与IPv6外部网络中的接入路由器建立用于传输IPv6报文的IPv6 in IPv4隧道,该隧道将IPv6报文封装于IPv4报文中,隧道两端地址分别为IPv6外部网络接入路由器的IPv4地址和VPN网关外部接口的IPv4地址;
所述的IPsec协议隧道为支持因特网密钥交换移动与多接口协议MOBIKE的IPsec协议隧道。
18.根据权利要求17所述的混合网络中实现移动VPN的系统,其特征在于,在IPv6外部网络中,所述系统还包括:
DNS-ALG:配置为IPv4和IPv6双协议栈,用于在通过IPv6外部网络开展VPN业务过程中提供所述的VPN网关对应的IPv6地址;
IPv6网络中的DNS:配置为IPv4和IPv6双协议栈,其配置上级DNS为所述的DNS-ALG;
外部接入路由器:配置为IPv4和IPv6双协议栈,用于实现将IPv6报文封装上IPv4报文头的功能,同时,用于解封装相应的报文。
19.根据权利要求17所述的混合网络中实现移动VPN的系统,其特征在于,在IPv6外部网络中,所述的系统还包括:
DNS-ALG:配置为IPv4和IPv6双协议栈,用于提供所述的VPN网关对应的IPv6地址;
IPv6网络中的DNS:在DNS中配置其上级DNS为所述的DNS-ALG;
NAT-PT实体:用于与外部接入路由器之间进行通信,并对经过该实体的报文进行相应的IPv6地址与IPv4地址之间的转换;
外部接入路由器:用于将经过NAT-PT实体转换后的报文发送给VPN网关,并接收VPN网关发来的报文。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100584520A CN101043411B (zh) | 2006-03-24 | 2006-03-24 | 混合网络中实现移动vpn的方法及系统 |
| PCT/CN2007/000446 WO2007109963A1 (fr) | 2006-03-24 | 2007-02-08 | Passerelle de réseau privé virtuel et système de réseau ipv6 et système de réalisation de réseau privé virtuel mobile dans un réseau hybride et procédé correspondant |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100584520A CN101043411B (zh) | 2006-03-24 | 2006-03-24 | 混合网络中实现移动vpn的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101043411A CN101043411A (zh) | 2007-09-26 |
| CN101043411B true CN101043411B (zh) | 2012-05-23 |
Family
ID=38540796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100584520A Expired - Fee Related CN101043411B (zh) | 2006-03-24 | 2006-03-24 | 混合网络中实现移动vpn的方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101043411B (zh) |
| WO (1) | WO2007109963A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4623177B2 (ja) * | 2008-09-17 | 2011-02-02 | 富士ゼロックス株式会社 | 情報処理システム |
| CN101399838B (zh) * | 2008-10-29 | 2012-01-25 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、装置和系统 |
| CN102104634B (zh) * | 2009-12-17 | 2013-08-07 | 华为技术有限公司 | 非lisp站点与lisp站点通信的方法、装置及系统 |
| EP2564579A4 (en) | 2010-04-26 | 2016-10-12 | Nokia Technologies Oy | METHOD AND DEVICE FOR DETECTING A SYNTHETIZED ADDRESS |
| CN102347993B (zh) * | 2010-07-28 | 2014-03-26 | 中国移动通信集团公司 | 一种网络通信的方法和设备 |
| CN102469063B (zh) * | 2010-11-03 | 2016-03-30 | 中兴通讯股份有限公司 | 路由协议安全联盟管理方法、装置及系统 |
| CN102469449B (zh) * | 2010-11-15 | 2016-03-30 | 上海贝尔股份有限公司 | IPv6低功耗无线个域网中的路由优化方法 |
| EP2649766A4 (en) * | 2010-12-11 | 2014-06-04 | Hewlett Packard Development Co | NODE RECOGNITION IN A COMPUTER NETWORK |
| WO2013034100A2 (zh) * | 2011-09-08 | 2013-03-14 | 北京智慧风云科技有限公司 | 基于不同网络协议终端间的通信系统及方法 |
| CN103001844A (zh) * | 2011-09-09 | 2013-03-27 | 华耀(中国)科技有限公司 | IPv6网络系统及其数据传输方法 |
| CN102904814B (zh) * | 2012-10-19 | 2015-09-16 | 福建星网锐捷网络有限公司 | 数据传输方法、源pe、目的pe和数据传输系统 |
| CN104348821B (zh) * | 2013-08-08 | 2018-04-27 | 联想(北京)有限公司 | 管理IPv4/IPv6业务的方法、设备和系统 |
| CN103475646A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止恶意esp报文攻击的方法 |
| CN105681249B (zh) * | 2014-11-17 | 2019-09-13 | 中国移动通信集团公司 | 一种网络访问方法和网络转换设备 |
| CN104601577A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 基于vpn切换协议的方法和装置 |
| CN105025004B (zh) * | 2015-07-16 | 2018-01-02 | 东南大学 | 一种双栈IPSec VPN装置 |
| CN105530159B (zh) * | 2016-01-19 | 2018-12-18 | 武汉烽火网络有限责任公司 | 一种实现跨IPv6和IPv4的VPN互访的方法和系统 |
| CN109067933B (zh) * | 2018-07-25 | 2021-12-24 | 赛尔网络有限公司 | 基于隧道的IPv4与IPv6的网络通信系统及方法 |
| CN108986440B (zh) * | 2018-09-27 | 2020-07-17 | 深圳友讯达科技股份有限公司 | 多网融合抄表系统和抄表系统的地址分配方法 |
| CN110086702B (zh) * | 2019-04-04 | 2021-09-21 | 杭州迪普科技股份有限公司 | 报文转发方法、装置、电子设备及机器可读存储介质 |
| CN112437467A (zh) * | 2020-10-23 | 2021-03-02 | 中国人民解放军61062部队 | 一种无家乡代理的自组网网络隧道通信方法 |
| CN113438108B (zh) * | 2021-06-22 | 2022-11-29 | 京信网络系统股份有限公司 | 通信加速方法、装置、基站和计算机可读存储介质 |
| CN115567484B (zh) * | 2021-06-30 | 2024-11-26 | 中国电信股份有限公司 | 数据转发方法、网络侧边缘路由器和网络系统 |
| CN115296988B (zh) * | 2022-10-09 | 2023-03-21 | 中国电子科技集团公司第三十研究所 | 一种实现IPSec网关动态组网的方法 |
| CN116107229A (zh) * | 2023-03-02 | 2023-05-12 | 常熟理工学院 | 基于ZigBee的物联网智能家居监控方法、系统及远程终端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1376351A (zh) * | 1999-09-24 | 2002-10-23 | 英国电讯有限公司 | 分组网络连接 |
| WO2004082192A2 (en) * | 2003-03-10 | 2004-09-23 | Cisco Technology, Inc | ARRANGEMENT FOR TRAVERSING AN IPv4 NETWORK BY IPv6 MOBILE ROUTERS |
| CN1710877A (zh) * | 2004-06-16 | 2005-12-21 | 华为技术有限公司 | 实现混合站点混合骨干网虚拟专用网的系统和方法 |
| CN1711739A (zh) * | 2002-11-13 | 2005-12-21 | 汤姆森许可贸易公司 | 支持穿过网络地址转换机制的 6to4遂道协议的方法和设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005086256A (ja) * | 2003-09-04 | 2005-03-31 | Kddi Corp | トンネルゲートウェイ装置 |
| CN100413289C (zh) * | 2005-11-25 | 2008-08-20 | 清华大学 | 基于P2P在IPv4上实现IPv6高性能互联的方法 |
-
2006
- 2006-03-24 CN CN2006100584520A patent/CN101043411B/zh not_active Expired - Fee Related
-
2007
- 2007-02-08 WO PCT/CN2007/000446 patent/WO2007109963A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1376351A (zh) * | 1999-09-24 | 2002-10-23 | 英国电讯有限公司 | 分组网络连接 |
| CN1711739A (zh) * | 2002-11-13 | 2005-12-21 | 汤姆森许可贸易公司 | 支持穿过网络地址转换机制的 6to4遂道协议的方法和设备 |
| WO2004082192A2 (en) * | 2003-03-10 | 2004-09-23 | Cisco Technology, Inc | ARRANGEMENT FOR TRAVERSING AN IPv4 NETWORK BY IPv6 MOBILE ROUTERS |
| CN1710877A (zh) * | 2004-06-16 | 2005-12-21 | 华为技术有限公司 | 实现混合站点混合骨干网虚拟专用网的系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2005-86256A 2005.05.31 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043411A (zh) | 2007-09-26 |
| WO2007109963A1 (fr) | 2007-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101043411B (zh) | 混合网络中实现移动vpn的方法及系统 | |
| EP2466985B1 (en) | Network based on identity identifier and location separation | |
| AU2004244296B2 (en) | Arrangement for traversing an IPv4 network by IPv6 mobile nodes | |
| JP4527721B2 (ja) | トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法 | |
| KR101785760B1 (ko) | 사설 ipv4 도달가능성으로 ds-라이트 향상을 위한 방법 및 네트워크 요소 | |
| US20010036184A1 (en) | Method for packet communication and computer program stored on computer readable medium | |
| JP2011515945A (ja) | ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置 | |
| CN102025658B (zh) | 身份标识网络与互联网互通的实现方法和系统 | |
| CN102025600B (zh) | 一种数据传输、接收的方法及系统及路由器 | |
| KR20140099598A (ko) | 모바일 vpn 서비스를 제공하는 방법 | |
| WO2011032449A1 (zh) | 网络互通的实现方法和系统 | |
| WO2007022683A1 (fr) | Procede de communication entre le noeud ipv6 mobile et le partenaire de communication ipv4 | |
| WO2011032447A1 (zh) | 新网与互联网互通的实现方法、系统及通信端 | |
| JP6386166B2 (ja) | IPv4とIPv6との間の翻訳方法及び装置 | |
| JP3709816B2 (ja) | モバイルipの経路制御方法 | |
| WO2007036146A1 (fr) | Procédé, système et dispositif pour communiquer entre un nœud mobile ipv6 et un partenaire de communication ipv4 | |
| WO2011044807A1 (zh) | 一种匿名通信的注册、通信方法及数据报文的收发系统 | |
| JP2000224233A (ja) | 移動体通信システム | |
| US20090147759A1 (en) | Method and apparatus for supporting mobility of node using layer 2/layer 3 addresses | |
| WO2016078235A1 (zh) | 基于PNAT向IPv6过渡的网络转换实现方法、装置 | |
| TWI395446B (zh) | 行動用戶代理位址跨層對映方法 | |
| WO2007143955A1 (fr) | Appareil et procédé permettant à un nœud mobile à pile double de se déplacer vers un réseau ipv4 | |
| Tsao | Enhanced GTP: an efficient packet tunneling protocol for General Packet Radio Service | |
| KR20040063830A (ko) | 이동 통신 시스템 및 최단 경로 통신 방법 | |
| TWI235570B (en) | IP mobility system and method for NAT/NAPT traversal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20160324 |