[发明专利]一种基于ezvpn的地址分配回收动态控制方法和系统

说明书

技术领域

本发明涉及虚拟网络管理领域，尤其涉及一种基于ezvpn的地址分配回收动态控制方法和系统。

背景技术

ezvpn（Easy VPN缩写，是Cisco专用VPN技术）是使用带ipsec接入功能的PC作为客户端，使用带ipsec功能的网络设备做ipsec服务器接入端（网络设备服务器可以为带ezvpn接入功能的防火墙），其中网络设备与PC进行ipsec隧道建立的过程中，可选择的分配私网地址，该私网地址被PC获得之后，可以使用该私网地址对与网络设备相连接的私网设备进行通信，达到数据报文通过公网ipsec隧道实现加密传输，解密后再通过私网IP地址对私网设备进行访问的目的，此时私网IP地址的分配和回收完全由ipsec网络设备服务器负责。在正常情况下，当PC主动断开或者ipsec网络设备服务器发现ipsec隧道异常（通过ipsec隧道自身携带的dpd数字预失真功能可发现网络不通等异常情况）主动断开ipsec隧道连接时，ipsec网络设备分配给PC的私网IP地址被回收，当有另外的PC进行ipsec隧道建立时再分配给另外的PC设备。但是上述分配在回收的控制过程中有以下缺陷：

某公司的财务人员a使用外网IP地址为202.1.1.1的PC的ezvpn功能向ipsec网络设备服务器（外网地址为202.1.1.2）发起ipsec隧道连接，此时网络设备服务器按照私网地址池的顺序给财务人员a分配私网IP地址1.1.1.1，财务人员a使用私网地址1.1.1.1对私网中的财务服务器进行访问，此时财务人员a通过财务服务器的AAA功能（认证、授权、计费三种安全功能）进行用户认证，财务服务器记录下该私网IP地址1.1.1.1为用户已授权。当财务人员a没有按照正常流程退出财务服务器登陆窗口或者由于网络愿原因导致隧道断开时，ipsec网络设备服务器将私网IP地址1.1.1.1进行回收。既然私网IP地址1.1.1.1已经被回收，接下来如果有普通员工b也通过ezvpn接入ipsec网络设备服务器，那么很大几率就会也分配到私网IP地址1.1.1.1，那么这个普通员工b就可以访问到本来没有访问权限的财务服务器，造成很严重的后果。

综上所述，由于私网地址的分配和回收中存在上述漏洞，就会造成服务器中重要数据尤其是保密数据被本没有访问权限的用户端访问到，对信息安全造成不可估量的危害。

发明内容

（一）要解决的技术问题

针对上述缺陷，本发明要解决的技术问题是如何解决私网地址回收中的问题，对访问权限进行控制，保证信息安全。

（二）技术方案

为解决上述问题，本发明提供了一种基于ezvpn的地址分配回收动态控制方法，所述方法具体包括：

S1：在防火墙设置所述第一私网地址为访问延时回收地址；

S2：第一客户端主机通过ezvpn软件与所述防火墙建立ipsec隧道连接，所述防火墙为所述第一客户端主机分配第一私网地址；

S3：所述第一客户端主机通过所述防火墙根据所述第一私网地址访问第一服务器；

S4：如果所述第一客户端主机与所述防火墙之间建立的ipsec隧道断开，当其它客户端主机与所述防火墙之间再次建立ipsec隧道连接时，查询所述第一私网地址是否被回收，如果是则将所述第一私网地址重新分配给所述其它客户端主机，否则保留所述第一私网地址，为所述其它客户端主机分配其它私网地址。

进一步地，所述第一私网地址存在于私网地址池的起始位置，所述其它私网地址按顺序排列在所述私网地址池中。

进一步地，所述步骤S3具体包括：所述防火墙接收到ESP报文并进行解密，对所述ESP报文进行去头处理，得到所述第一客户端主机访问的地址，其中所述ESP报文中包含所述第一私网地址。

进一步地，所述步骤S3还包括：所述第一客户端主机访问其它服务器则不更新私网地址回收当前时间；如果所述第一客户端主机再次访问所述第一服务器则更新所述私网地址回收当前时间。

进一步地，所述步骤S4中ipsec隧道断开包括：由所述第一客户端主机主动断开，或所述防火墙根据保活机制发现链路异常而自动断开。

为解决上述问题，本发明还提供了一种基于ezvpn的地址分配回收动态控制系统，所述系统包括：

客户端单元、防火墙和服务器单元；

所述服务器单元包括第一服务器，所述第一客户端主机根据所述第一私网地址访问所述第一服务器；