[发明专利]一种多协议VPN网关融合系统及方法

说明书

本发明属于网络安全技术领域，涉及一种多协议VPN网关融合系统及方法。多协议VPN网关融合系统，包括融合服务器、第一VPN设备和第二VPN设备；第一VPN设备和第二VPN设备用于收/发VPN密文数据包，所述融合服务器用于对第一VPN设备和第二VPN设备之间传输的VPN密文数据包进行VPN协议转换和/或转发；融合服务器包括一个以上的Docker容器、一个外VPN协议网关、物理网卡、系统内核、第一虚拟网卡和第二虚拟网卡；每个所述Docker容器内均对应布署有一个内VPN协议网关，所述外VPN协议网关布署在Docker容器外。本发明通过Docker容器将两种及以上VPN协议网关快速融合，不仅节省硬件资源，而且方便快捷，可以快速满足各种VPN协议串联通信需求。

技术领域

本发明属于网络安全技术领域，涉及一种多协议VPN网关融合系统及方法。

背景技术

VPN即虚拟专用网络，可以在公用网络上建立专用网络，进行加密通信，在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

现有的支持多VPN协议的网关中，各VPN协议之间相互隔离，做不到单条业务的多VPN协议串联加密，且大多只能同时勾选一种VPN接入方式。要满足对单条业务进行多种VPN协议串联加密的需求，传统的实现方法是部署多台VPN设备，组网复杂且造成资源浪费。

因此，如何使用单台VPN设备实现单条业务的多VPN协议串联加密，成为亟待解决的问题。

发明内容

本发明的目的在于提供针对单台VPN设备实现单条业务的多VPN协议串联加密的需求，提供一种多协议VPN网关融合方法及系统。

为实现上述目的，本发明采用以下技术方案：

本发明提供一种多协议VPN网关融合系统，包括融合服务器、第一VPN设备和第二VPN设备；

所述第一VPN设备和第二VPN设备分别与所述融合服务器通信连接；第一VPN设备和第二VPN设备用于收/发VPN密文数据包，所述融合服务器用于对第一VPN设备和第二VPN设备之间传输的VPN密文数据包进行VPN协议转换和/或转发；

融合服务器包括一个以上的Docker容器、一个外VPN协议网关、物理网卡、系统内核、第一虚拟网卡和第二虚拟网卡；每个所述Docker容器内均对应布署有一个内VPN协议网关，所述外VPN协议网关布署在Docker容器外；

每个所述内VPN协议网关采用内核协议栈，每个内VPN协议网关均通过第一虚拟网卡与Docker容器外的服务进行数据交互，每个内VPN协议网关根据其采用的VPN协议对数据包进行加密或解密；

所述外VPN协议网关采用用户态网卡驱动，外VPN协议网关通过第一虚拟网卡、第二虚拟网卡与系统内核进行数据交互，外VPN协议网关根据其采用的VPN协议对数据包进行加密或解密。

优选地，每个所述内VPN协议网关采用的VPN协议互不相同，外VPN协议网关与任一个内VPN协议网关采用的VPN协议互不相同。

优选地，每个所述内VPN协议网关和外VPN协议网关采用的VPN协议均选自IPSec、TLS、PPTP、L2TP或DTLS协议。

优选地，所述外VPN协议网关采用数据平面开发工具集DPDK从物理网卡读写数据，并利用tun/tap技术建立所述第二虚拟网卡。

优选地，所述外VPN协议网关通过原始套接字从第一虚拟网卡收发数据报文。

本发明还提供基于上述所述的一种多协议VPN网关融合系统的多协议VPN网关融合方法，包括以下步骤：

S101：第一VPN设备发送VPN密文数据包；

S102：VPN密文数据包到达融合服务器的物理网卡；