[发明专利]IPSECVPN设备的隔离方法与系统

权利要求书

1.一种IPSEC VPN设备的隔离方法，其特征在于，包括步骤：

在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息；

对于从内部网络输出到外部网络的明文数据包包括如下步骤：

接收来自内部网络的明文数据包；

对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；

对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；

外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；

对于从外部网络进入到内部网络的密文数据包包括如下步骤：

接收来自外部网络的密文数据包；

对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机；

内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。

2.根据权利要求1所述的IPSEC VPN设备的隔离方法，其特征在于，对于从内部网络输出到外部网络的明文数据包的步骤中，所述对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据包发送到外端主机具体包括步骤：

对密文数据包进行以太帧及IP头部剥离处理，获得密文数据包剥离的IP头部；

根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包；

发送所述私有协议的数据包到外端主机。

3.根据权利要求2所述的IPSEC VPN设备的隔离方法，其特征在于，所述根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包具体包括步骤：

根据密文数据包的源地址和目的地址，利用hash算法，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；

遍历所述节点链表，查找与密文数据包的源地址以及目的地址相匹配的节点项，若查找到，则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中，若未查找到，则丢弃该密文数据包并结束处理；

剥除密文数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息写入私有协议数据包中。