[发明专利]一种透明模式下的虚拟专用网络VPN实现方法及安全设备

说明书

本申请公开一种透明模式下的虚拟专用网络VPN实现方法及安全设备，处于透明传输模式的安全设备创建用于与对端设备建立VPN隧道的三层逻辑口；安全设备基于三层逻辑口与安全设备的内网接口之间的绑定关系，对内网设备发往对端设备的第一报文进行处理；以及，安全设备基于三层逻辑口，对对端设备发送至内网设备的第二报文进行目的MAC地址的更新处理。该方式在不改变用户现有网络规划情况下，可将安全设备以透明传输模式部署到网络中，进一步可通过在安全设备中创建三层逻辑口，则可以基于所创建的三层逻辑口实现内网设备与对端设备之间的VPN通信。

技术领域

本申请实施例涉及网络安全领域，尤其涉及一种透明模式下的虚拟专用网络VPN实现方法及安全设备。

背景技术

目前，普遍存在有大量的行业专用网络，比如应用于银行系统、应用于烟草系统、以及应用于石化系统，等系统的各种行业专用网络。该些网络已经搭建完成，且体系庞大；此外，还将要求在运行过程中不能因为用户对网络的改造而被中断。然而，该些网络在初始搭建过程中缺乏对网络安全性的考虑。为此，在保持网络原设备配置都不改变的情况下，通过搭建VPN(Virtual Private Network，虚拟专用网络)隧道的方式，则可以实现在不安全的互联网上，各个企业内部网络之间的安全通信。

参见图1，为现有技术的一种VPN通信系统。该系统中包括两个子网Lan (LocalArea Network，局域网)，分别令为Lan1和Lan2，以及包括两个安全设备，分别令为安全设备1和安全设备2，且安全设备1与安全设备2分别被部署于三层路由的环境当中，用于实现Lan1和Lan2之间的VPN通信，即用于对Lan1和Lan2之间的交互报文的加解密。其中。安全设备1一端通过内网接口与Lan1连接，其另一端通过外网接口与Internet(互联网)连接；同理，安全设备2一端通过内网接口与Lan2连接，其另一端通过外网接口与Internet 连接。其中，Router表示路由器。

然而，目前有大量的安全设备被部署在透明环境中，该些被部署在透明环境中的安全设备可以用于实现ACL(Access Control Lists，访问控制列表)、安全防护等功能。此时，若用户想要增加透明传输模式下的安全设备对被保护的子网进行VPN通信的功能，则需要用户将当前的透明部署环境重新切换为三层路由部署环境。然而，该种方式在实现两个子网之间的VPN通信时，将要求用户对网络中的安全设备、路由器及其他网络设备进行配置的更新，这极大地增加了网络管理的工作量，具体施行时繁琐且耗时。

综上，目前亟需一种部署为透明环境的安全设备，用于简单、高效地实现子网间VPN通信的方法。

发明内容

本申请提供一种透明模式下的虚拟专用网络VPN实现方法及安全设备，用于实现让透明传输模式的安全设备来简单、高效地实现子网间的VPN通信。

第一方面，本申请实施例提供一种透明模式下的虚拟专用网络VPN实现方法，该方法包括：处于透明传输模式的安全设备创建用于与对端设备建立 VPN隧道的三层逻辑口；所述安全设备基于所述三层逻辑口与所述安全设备的内网接口之间的绑定关系，对内网设备发往所述对端设备的第一报文进行处理；以及，所述安全设备基于所述三层逻辑口，对所述对端设备发送至所述内网设备的第二报文进行目的MAC地址的更新处理。

基于该方案，在不改变用户现有网络规划情况下，为了构建VPN隧道，可将安全设备以透明传输模式部署到网络中；由于此状态的安全设备不具有用于实现VPN通信的三层物理口，因此可以通过在安全设备中创建三层逻辑口，然后可以基于所创建的三层逻辑口实现内网设备与对端设备之间的VPN通信。该方式可以实现在用户无需更改现有网络时，更方便快捷地加入VPN。