專利名稱:一種外網(wǎng)映射IPsec報(bào)文實(shí)現(xiàn)NAT穿越的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,特別涉及一種外網(wǎng)映射IPsec報(bào)文實(shí)現(xiàn)NAT穿越的方法。
背景技術(shù):
NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能主要是將內(nèi)網(wǎng)IP地址的原IP地址進(jìn)行轉(zhuǎn)換成公網(wǎng)的IP地址,以便報(bào)文可以在公網(wǎng)上進(jìn)行轉(zhuǎn)發(fā)。IPsec隧道對(duì)數(shù)據(jù)報(bào)文的處理有三種方式分別為,對(duì)數(shù)據(jù)報(bào)文加密、對(duì)數(shù)據(jù)報(bào)文認(rèn)證和對(duì)數(shù)據(jù)報(bào)文加新IP頭后認(rèn)證,如下:Imac頭I新IP頭I IPsec加密認(rèn)證頭| IP頭|數(shù)據(jù)以上報(bào)文中,可以對(duì)“IIP頭I數(shù)據(jù)I”部分進(jìn)行加密或者認(rèn)證。mac頭I新IP頭I IPsec全認(rèn)證頭IIP頭I數(shù)據(jù)以上報(bào)文中,可以對(duì)“I新IP頭IlPsec全認(rèn)證頭| IP頭|數(shù)據(jù)I”部分的數(shù)據(jù)進(jìn)行認(rèn)證。對(duì)報(bào)文進(jìn)行認(rèn)證還是加密,功能是不同的,可以將以上3種對(duì)報(bào)文的處理進(jìn)行任意組合使用,例如IPsec隧道可以對(duì)報(bào)文只進(jìn)行加密或局部認(rèn)證或全部認(rèn)證,也可以對(duì)報(bào)文進(jìn)行加密及認(rèn)證。對(duì)報(bào)文進(jìn)行加密和對(duì)報(bào)文進(jìn)行局部認(rèn)證可以進(jìn)行NAT穿越,但對(duì)報(bào)文進(jìn)行全部認(rèn)證的方法就無(wú)法進(jìn)行NAT穿越,因?yàn)镹AT穿越需要替換“ I新IP頭I ”中的原IP地址,由于IPsec隧道對(duì)報(bào)文進(jìn)行了全部認(rèn)證,也就是包括“I新IP頭I”在內(nèi)一起將報(bào)文進(jìn)行了認(rèn)證,此時(shí)如果做了 NAT轉(zhuǎn)換,其源/目的地址將被改變,將造成到達(dá)目的地址后的完整性驗(yàn)證失敗,即接收到此報(bào)文的IPsec隧道不能通過認(rèn)證,無(wú)法實(shí)現(xiàn)NAT的穿越。
發(fā)明內(nèi)容
(一 )所要解決的技術(shù)問題本發(fā)明通過提供一種外網(wǎng)映射IPsec報(bào)文實(shí)現(xiàn)NAT穿越的方法,解決了經(jīng)過IPsec隧道全認(rèn)證后的報(bào)文無(wú)法實(shí)現(xiàn)NAT穿越的問題。(二)技術(shù)方案本發(fā)明提供一種外網(wǎng)映射IPsec報(bào)文實(shí)現(xiàn)NAT穿越的方法,該方法包括:SUNAT設(shè)備接收到經(jīng)IPsec全認(rèn)證后的封裝報(bào)文,并對(duì)所述封裝報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換得到轉(zhuǎn)換報(bào)文;S2、外網(wǎng)設(shè)備接收到所述轉(zhuǎn)換報(bào)文,根據(jù)IPsec隧道協(xié)商中外網(wǎng)設(shè)備創(chuàng)建的地址映射表,將所述轉(zhuǎn)換報(bào)文中的IP地址還原,并對(duì)還原后的報(bào)文進(jìn)行認(rèn)證。其中,在所述IPsec隧道協(xié)商中,內(nèi)網(wǎng)設(shè)備通過IKE報(bào)文發(fā)送一個(gè)原始IP地址給外網(wǎng)設(shè)備,外網(wǎng)設(shè)備根據(jù)所述原始IP地址與所述轉(zhuǎn)換報(bào)文的IP頭信息創(chuàng)建地址映射表。其中,所述NAT設(shè)備為帶有NAT轉(zhuǎn)換功能的防火墻,外網(wǎng)設(shè)備為帶有IPsec功能的防火墻。其中,所述地址映射表包括轉(zhuǎn)換IP地址和映射的原始IP地址。
(三)有益效果本發(fā)明在IPsec隧道傳輸模式下,通過在外網(wǎng)建立地址映射表,外網(wǎng)設(shè)備可將經(jīng)過Nat設(shè)備進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的報(bào)文還原,實(shí)現(xiàn)了 NAT穿越。
圖1為本發(fā)明方法的步驟圖。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步詳細(xì)說明。本發(fā)明提供一種外網(wǎng)映射IPsec報(bào)文的NAT穿越實(shí)現(xiàn)方法,該方法如圖1所示,包括:SUNAT設(shè)備接收到經(jīng)IPsec全認(rèn)證后的封裝報(bào)文,并對(duì)所述封裝報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換得到轉(zhuǎn)換報(bào)文; 內(nèi)網(wǎng)客戶端向外網(wǎng)終端發(fā)送報(bào)文,在內(nèi)外兩個(gè)安全網(wǎng)關(guān)之間采用IPsec隧道傳輸,此時(shí)需協(xié)商出IPsec隧道。NAT設(shè)備接收經(jīng)全認(rèn)證發(fā)送來的封裝報(bào)文,對(duì)其進(jìn)行NAT地址轉(zhuǎn)換得到轉(zhuǎn)換報(bào)文并發(fā)送到外網(wǎng)。S2、外網(wǎng)設(shè)備接收到所述轉(zhuǎn)換報(bào)文,根據(jù)IPsec隧道協(xié)商中外網(wǎng)設(shè)備創(chuàng)建的地址映射表,將所述轉(zhuǎn)換報(bào)文中的IP地址還原,并對(duì)還原后報(bào)文進(jìn)行認(rèn)證。外網(wǎng)設(shè)備接收到轉(zhuǎn)換報(bào)文對(duì)報(bào)文進(jìn)行認(rèn)證確認(rèn)時(shí),查找IPsec隧道建立過程中創(chuàng)建的地址映射表,將報(bào)文中的IP地址進(jìn)行還原再進(jìn)行認(rèn)證判斷。其中,在所述IPsec隧道協(xié)商中,內(nèi)網(wǎng)設(shè)備通過IKE報(bào)文發(fā)送一個(gè)原始IP地址給外網(wǎng)設(shè)備,該IP地址作為數(shù)據(jù)被IKE交換時(shí)攜帶給外網(wǎng)設(shè)備,外網(wǎng)設(shè)備根據(jù)所述的原始IP地址與所述轉(zhuǎn)換報(bào)文的IP頭信息做比較,發(fā)現(xiàn)所述原始IP地址被NAT設(shè)備轉(zhuǎn)換,這時(shí)外網(wǎng)設(shè)備創(chuàng)建地址映射表。具體的實(shí)施:采用如表I所示設(shè)備:
權(quán)利要求
1.一種外網(wǎng)映射IPsec報(bào)文實(shí)現(xiàn)NAT穿越的方法,其特征在于,該方法包括: SUNAT設(shè)備接收到經(jīng)IPsec全認(rèn)證后的封裝報(bào)文,并對(duì)所述封裝報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換得到轉(zhuǎn)換報(bào)文; S2、外網(wǎng)設(shè)備接收到所述轉(zhuǎn)換報(bào)文,根據(jù)IPsec隧道協(xié)商中外網(wǎng)設(shè)備創(chuàng)建的地址映射表,將所述轉(zhuǎn)換報(bào)文中的IP地址還原,并對(duì)還原后的報(bào)文進(jìn)行認(rèn)證。
2.如權(quán)利要求1所述方法,其特征在于,在所述IPsec隧道協(xié)商中,內(nèi)網(wǎng)設(shè)備通過IKE報(bào)文發(fā)送一個(gè)原始IP地址給外網(wǎng)設(shè)備,外網(wǎng)設(shè)備根據(jù)所述原始IP地址與所述轉(zhuǎn)換報(bào)文的IP頭信息創(chuàng)建地址映射表。
3.如權(quán)利要求1所述方法,其特征在于,所述NAT設(shè)備為帶有NAT轉(zhuǎn)換功能的防火墻,外網(wǎng)設(shè)備為帶有IPsec功能的防火墻。
4.如權(quán)利要求1所述方法,其特征在于,所述地址映射表包括轉(zhuǎn)換IP地址和映射的原始IP地址。
全文摘要
本發(fā)明提供一種外網(wǎng)映射IPsec報(bào)文實(shí)現(xiàn)NAT穿越的方法,其特征在于,該方法包括NAT設(shè)備接收到經(jīng)IPsec全認(rèn)證后的封裝報(bào)文,并對(duì)所述封裝報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換得到轉(zhuǎn)換報(bào)文;外網(wǎng)設(shè)備接收到所述轉(zhuǎn)換報(bào)文,根據(jù)IPsec隧道協(xié)商中外網(wǎng)設(shè)備創(chuàng)建的地址映射表,將所述轉(zhuǎn)換報(bào)文中的IP地址還原,并對(duì)還原后報(bào)文進(jìn)行認(rèn)證。通過本發(fā)明實(shí)現(xiàn)了經(jīng)過IPsec隧道全認(rèn)證后報(bào)文的NAT穿越。
文檔編號(hào)H04L29/12GK103188356SQ20131011751
公開日2013年7月3日 申請(qǐng)日期2013年4月7日 優(yōu)先權(quán)日2013年4月7日
發(fā)明者陳海濱 申請(qǐng)人:漢柏科技有限公司