一种在透明模式下实现VPN接入的方法.pdf

摘要
申请专利号：	CN201210043528.8	申请日：	2012.02.24
公开号：	CN102611700A	公开日：	2012.07.25
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120224\|\|\|公开
IPC分类号：	H04L29/06; H04L12/46	主分类号：	H04L29/06
申请人：	汉柏科技有限公司
发明人：	陈海滨; 雷廷
地址：	300384 天津市西青区华苑产业区海泰西18号西3楼104室
优先权：
专利代理机构：	北京路浩知识产权代理有限公司 11002	代理人：	王莹
PDF下载：	PDF下载

内容摘要

本发明公开了一种在透明模式下实现VPN接入的方法，涉及网络通信技术领域。所述方法包括步骤：A：在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙；B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由配置；C：对所述网关以及客户端进行配置；D：所述客户端通过EZVPN访问内网服务器。所述方法，通过在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙，进行简单的配置后，客户端即可以通过EZVPN接入所述防火墙，然后通过所述防火墙进行转发，从而在保证当前网络环境和网络配置基本不变的情况下实现了以VPN安全方式接入内网防火墙的目的。

权利要求书

1.一种在透明模式下实现VPN接入的方法，其特征在于，包括步骤：A：在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙；B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由配置；C：对所述网关以及客户端进行配置；D：所述客户端通过EZVPN隧道访问内网服务器。2.如权利要求1所述的方法，其特征在于，所述步骤B具体包括步骤：B1：对所述防火墙进行透明模式配置具体包括：指定透明端口，配置透明模式的虚端口的IP地址；B2：对所述防火墙进行EZVPN服务器配置具体包括：为所述客户端分配内网IP地址，为所述客户端分配需要通过所述EZVPN隧道访问内网的客户端内网IP地址段，在所述虚端口上使能EZVPN服务器功能；B3：对所述防火墙进行路由配置具体包括：配置所有IP地址的默认路由到所述网关的地址。3.如权利要求2所述的方法，其特征在于，所述步骤C具体包括步骤：C1：对所述网关进行配置具体包括：配置外部静态NAT，使所述虚端口的IP地址映射到外网地址；配置所述网关的路由，使通过所述EZVPN隧道访问外网的客户端内网IP地址经过所述防火墙；C2：对所述客户端进行配置具体包括：在所述客户端上配置EZVPN服务器地址为所述外网地址。4.如权利要求3所述的方法，其特征在于，所述步骤D具体包括步骤：D1：所述客户端通过拨号连接EZVPN服务器，所述客户端与所述EZVPN服务器之间建立所述EZVPN隧道，通过所述EZVPN隧道向所述网关发出报文，所述报文的外层目的地址为所述外网地址；D2：所述网关收到所述报文后，对所述报文进行静态网络地址转换，将所述报文的外层目的地址转换为所述虚端口的IP地址，然后将所述报文从所述网关的内网端口发送出去；D3：所述防火墙收到所述报文后，对所述报文进行解密，得到所述报文的内层目的地址，然后将所述报文通过所述防火墙上配置的静态路由转发给所述网关；D4：所述网关收到所述报文后，根据所述报文的内层目的地址将所述报文发送给所述防火墙；D5：所述防火墙根据所述报文的内层目的地址，将所述报文通过透明端口转发给内网设备；D6：所述内网设备接收并处理所述报文，然后将回应报文发送给所述网关；D7：所述网关根据默认路由将所述回应报文转发给所述防火墙；D8：所述防火墙对所述回应报文进行隧道封装后转发给所述网关；D9：所述网关接收所述回应报文后，通过外部静态网络地址转换，将所述回应报文的所述虚端口的IP地址转换为外网地址，然后将转换后的所述回应报文转发给所述客户端。

说明书

一种在透明模式下实现VPN接入的方法

技术领域

本发明涉及网络通信技术领域，特别涉及一种在透明模式下实现
VPN(Virtual Private Network，虚拟专用网络)接入的方法。

背景技术

透明模式的网络设备优点为，在不改变当前组网的情况下，增加
此设备可以对网络上的报文进行逐包分析，对想要禁止通过的报文可
以进行阻隔，以达到防止网络攻击和控制上网内容的目的，但很少有
使用透明模式的网络设备做除阻隔报文以外的应用。

VPN属于远程访问技术，简单地说就是利用公网链路架设私有
网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，
这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？
VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两
块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网
后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进
入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯
数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专
用的数据链路上进行安全传输，就如同专门架设了一个专用网络一
样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚
拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个
数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中
办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这
就是为什么VPN在企业中应用得如此广泛。

以EZVPN(IPsec VPN的一种，一套比较完整成体系的VPN技
术)为例，通过现有技术在公网上实现VPN接入时，往往需要大量
地改变组网环境和网络配置。目前尚没有一种利用透明模式的网络设
备，在保证当前网络环境和网络配置基本不变的情况下，实现VPN
接入的方法。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何提供一种在透明模式下实现
VPN接入的方法，以在保证当前网络环境和网络配置基本不变的情况
下实现VPN接入。

(二)技术方案

为解决上述技术问题，本发明提供一种在透明模式下实现VPN接
入的方法，其包括步骤：

A：在网关和内网交换机之间设置带有EZVPN服务器功能和透明
模式功能的防火墙；

B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由
配置；

C：对所述网关以及客户端进行配置；

D：所述客户端通过EZVPN隧道访问内网服务器。

优选地，所述步骤B具体包括步骤：

B1：对所述防火墙进行透明模式配置具体包括：指定透明端口，
配置透明模式的虚端口的IP地址；

B2：对所述防火墙进行EZVPN服务器配置具体包括：为所述客
户端分配内网IP地址，为所述客户端分配需要通过所述EZVPN隧道
访问内网的客户端内网IP地址段，在所述虚端口上使能EZVPN服务
器功能；

B3：对所述防火墙进行路由配置具体包括：配置所有IP地址的
默认路由到所述网关的地址。

优选地，所述步骤C具体包括步骤：

C1：对所述网关进行配置具体包括：配置外部静态NAT，使所
述虚端口的IP地址映射到外网地址；配置所述网关的路由，使通过
所述EZVPN隧道访问外网的客户端内网IP地址经过所述防火墙；

C2：对所述客户端进行配置具体包括：在所述客户端上配置
EZVPN服务器地址为所述外网地址。

优选地，所述步骤D具体包括步骤：

D1：所述客户端通过拨号连接EZVPN服务器，所述客户端与所
述EZVPN服务器之间建立所述EZVPN隧道，通过所述EZVPN隧道
向所述网关发出报文，所述报文的外层目的地址为所述外网地址；

D2：所述网关收到所述报文后，对所述报文进行静态网络地址
转换，将所述报文的外层目的地址转换为所述虚端口的IP地址，然
后将所述报文从所述网关的内网端口发送出去；

D3：所述防火墙收到所述报文后，对所述报文进行解密，得到
所述报文的内层目的地址，然后将所述报文通过所述防火墙上配置的
静态路由转发给所述网关；

D4：所述网关收到所述报文后，根据所述报文的内层目的地址
将所述报文发送给所述防火墙；

D5：所述防火墙根据所述报文的内层目的地址，将所述报文通
过透明端口转发给内网设备；

D6：所述内网设备接收并处理所述报文，然后将回应报文发送
给所述网关；

D7：所述网关根据默认路由将所述回应报文转发给所述防火墙；

D8：所述防火墙对所述回应报文进行隧道封装后转发给所述网
关；

D9：所述网关接收所述回应报文后，通过外部静态网络地址转
换，将所述回应报文的所述虚端口的IP地址转换为外网地址，然后
将转换后的所述回应报文转发给所述客户端。

(三)有益效果

本发明的在透明模式下实现VPN接入的方法，通过在网关和内网
交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙，
进行简单的配置后，客户端即可以通过EZVPN接入所述防火墙，然
后通过所述防火墙进行转发，从而在保证当前网络环境和网络配置基
本不变的情况下实现了以VPN安全方式接入内网防火墙的目的。

附图说明

图1是本发明实施例所述的在透明模式下实现VPN接入的方法的
实现网络结构示意图；

图2是本发明实施例所述的在透明模式下实现VPN接入的方法的
流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细
描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1是本发明实施例所述的在透明模式下实现VPN接入的方法的
流程图。如图1所示，所述方法包括：

步骤A：在网关和内网交换机之间设置带有EZVPN服务器功能和
透明模式功能的防火墙。图2是本发明实施例所述的在透明模式下实
现VPN接入的方法的实现网络结构示意图，如图2所示，内网中除了
交换机之外，还包括与所述交换机连接的内网服务器，以及多个内网
个人电脑；网关通过公网与外网个人电脑(即客户端)相连接。所述
带有EZVPN服务器功能和透明模式功能的防火墙可以采用汉柏
PA-5500-F25防火墙。

步骤B：对所述防火墙进行透明模式配置、EZVPN服务器配置
和路由配置。所述步骤B具体包括：

步骤B1：对所述防火墙进行透明模式配置具体包括：指定透明
端口，配置透明模式的虚端口的IP地址。如下面表1是本实施例中
透明模式配置的示例代码。

表1透明模式配置示例

步骤B2：对所述防火墙进行EZVPN服务器配置具体包括：为所
述客户端分配内网IP地址，为所述客户端分配需要通过EZVPN隧道
访问内网的客户端内网IP地址段，在所述虚端口上使能EZVPN服务
器功能。如下面表2是本实施例中EZVPN服务器配置的示例代码。

表2EZVPN服务器配置示例

步骤B3：对所述防火墙进行路由配置具体包括：配置所有IP地
址的默认路由到所述网关的地址。如下面表3是本实施例中对所述防
火墙进行路由配置的示例代码。

表3对防火墙进行路由配置示例

Route tran 0.0.0.00.0.0.0192.168.10.1

步骤C：对所述网关以及客户端进行配置。

所述步骤C具体包括：

步骤C1：对所述网关进行配置具体包括：配置外部静态NAT
(Network Address Translation，网络地址转换)，使所述虚端口的IP
地址映射到外网地址，如下面表4是本实施例中对外部静态NAT进
行配置的示例代码；配置所述网关的路由，使通过所述EZVPN隧道
访问外网的客户端内网IP地址经过所述防火墙，如下面表5是本实
施例中对所述网关的路由进行配置的示例代码。

表4外部静态NAT配置示例

Static(outside，inside)220.181.111.86192.168.20.1

表5对网关进行路由配置示例

Route inside 110.1.0.0255.255.0.0192.168.20.1

步骤C2：对所述客户端进行配置具体包括：在所述客户端上配置
EZVPN服务器地址为所述外网地址。

步骤D：所述客户端通过所述EZVPN隧道访问内网服务器。

所述步骤D具体包括：

步骤D1：所述客户端通过拨号连接EZVPN服务器，所述客户
端与所述EZVPN服务器之间建立所述EZVPN隧道，通过所述
EZVPN隧道向所述网关发出报文，所述报文的外层目的地址为所述
外网地址。

步骤D2：所述网关收到所述报文后，对所述报文进行静态网络
地址转换，将所述报文的外层目的地址转换为所述虚端口的IP地址，
然后将所述报文从所述网关的内网端口发送出去。

步骤D3：所述防火墙收到所述报文后，对所述报文进行解密，
得到所述报文的内层目的地址，然后将所述报文通过所述防火墙上配
置的静态路由转发给所述网关。

步骤D4：所述网关收到所述报文后，根据所述报文的内层目的
地址将所述报文发送给所述防火墙。

步骤D5：所述防火墙根据所述报文的内层目的地址，将所述报
文通过透明端口转发给内网设备。

步骤D6：所述内网设备接收并处理所述报文，然后将回应报文
发送给所述网关。

步骤D7：所述网关根据默认路由将所述回应报文转发给所述防
火墙。

步骤D8：所述防火墙对所述回应报文进行隧道封装后转发给所
述网关。

步骤D9：所述网关接收所述回应报文后，通过外部静态网络地
址转换，将所述回应报文的所述虚端口的IP地址转换为外网地址，
然后将转换后的所述回应报文转发给所述客户端。

本发明实施例所述在透明模式下实现VPN接入的方法，通过在网
关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的
防火墙，进行简单的配置后，客户端即可以通过EZVPN接入所述防
火墙，然后通过所述防火墙进行转发，从而在保证当前网络环境和网
络配置基本不变的情况下实现了以VPN安全方式接入内网防火墙的
目的。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关
技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，
还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明
的范畴，本发明的专利保护范围应由权利要求限定。

资源描述

《一种在透明模式下实现VPN接入的方法.pdf》由会员分享，可在线阅读，更多相关《一种在透明模式下实现VPN接入的方法.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102611700 A (43)申请公布日 2012.07.25 C N 1 0 2 6 1 1 7 0 0 A *CN102611700A* (21)申请号 201210043528.8 (22)申请日 2012.02.24 H04L 29/06(2006.01) H04L 12/46(2006.01) (71)申请人汉柏科技有限公司地址 300384 天津市西青区华苑产业区海泰西18号西3楼104室 (72)发明人陈海滨雷廷 (74)专利代理机构北京路浩知识产权代理有限公司 11002 代理人王莹 (54) 发明名称一种在透明模式下实现VPN接入的方法。

2、(57) 摘要本发明公开了一种在透明模式下实现VPN接入的方法，涉及网络通信技术领域。所述方法包括步骤：A：在网关和内网交换机之间设置带有 EZVPN服务器功能和透明模式功能的防火墙；B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由配置；C：对所述网关以及客户端进行配置；D：所述客户端通过EZVPN访问内网服务器。所述方法，通过在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙，进行简单的配置后，客户端即可以通过EZVPN接入所述防火墙，然后通过所述防火墙进行转发，从而在保证当前网络环境和网络配置基本不变的情况下实现了以VPN安全方式接。

3、入内网防火墙的目的。 (51)Int.Cl. 权利要求书1页说明书6页附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 6 页附图 2 页 1/1页 2 1.一种在透明模式下实现VPN接入的方法，其特征在于，包括步骤： A：在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙； B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由配置； C：对所述网关以及客户端进行配置； D：所述客户端通过EZVPN隧道访问内网服务器。 2.如权利要求1所述的方法，其特征在于，所述步骤B具体包括步骤： B1：对所述防火墙进行透。

4、明模式配置具体包括：指定透明端口，配置透明模式的虚端口的IP地址； B2：对所述防火墙进行EZVPN服务器配置具体包括：为所述客户端分配内网IP地址，为所述客户端分配需要通过所述EZVPN隧道访问内网的客户端内网IP地址段，在所述虚端口上使能EZVPN服务器功能； B3：对所述防火墙进行路由配置具体包括：配置所有IP地址的默认路由到所述网关的地址。 3.如权利要求2所述的方法，其特征在于，所述步骤C具体包括步骤： C1：对所述网关进行配置具体包括：配置外部静态NAT，使所述虚端口的IP地址映射到外网地址；配置所述网关的路由，使通过所述EZVPN隧道访问外网的客户端内网IP地址经过所。

5、述防火墙； C2：对所述客户端进行配置具体包括：在所述客户端上配置EZVPN服务器地址为所述外网地址。 4.如权利要求3所述的方法，其特征在于，所述步骤D具体包括步骤： D1：所述客户端通过拨号连接EZVPN服务器，所述客户端与所述EZVPN服务器之间建立所述EZVPN隧道，通过所述EZVPN隧道向所述网关发出报文，所述报文的外层目的地址为所述外网地址； D2：所述网关收到所述报文后，对所述报文进行静态网络地址转换，将所述报文的外层目的地址转换为所述虚端口的IP地址，然后将所述报文从所述网关的内网端口发送出去； D3：所述防火墙收到所述报文后，对所述报文进行解密，得到所述报文的内层目的。

6、地址，然后将所述报文通过所述防火墙上配置的静态路由转发给所述网关； D4：所述网关收到所述报文后，根据所述报文的内层目的地址将所述报文发送给所述防火墙； D5：所述防火墙根据所述报文的内层目的地址，将所述报文通过透明端口转发给内网设备； D6：所述内网设备接收并处理所述报文，然后将回应报文发送给所述网关； D7：所述网关根据默认路由将所述回应报文转发给所述防火墙； D8：所述防火墙对所述回应报文进行隧道封装后转发给所述网关； D9：所述网关接收所述回应报文后，通过外部静态网络地址转换，将所述回应报文的所述虚端口的IP地址转换为外网地址，然后将转换后的所述回应报文转发给所述客户端。权。

7、利要求书CN 102611700 A 1/6页 3 一种在透明模式下实现 VPN 接入的方法技术领域 0001 本发明涉及网络通信技术领域，特别涉及一种在透明模式下实现VPN(Virtual Private Network，虚拟专用网络)接入的方法。背景技术 0002 透明模式的网络设备优点为，在不改变当前组网的情况下，增加此设备可以对网络上的报文进行逐包分析，对想要禁止通过的报文可以进行阻隔，以达到防止网络攻击和控制上网内容的目的，但很少有使用透明模式的网络设备做除阻隔报文以外的应用。 0003 VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到。

8、外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到 VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通。

9、讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。 0004 以EZVPN(IPsec VPN的一种，一套比较完整成体系的VPN技术)为例，通过现有技术在公网上实现VPN接入时，往往需要大量地改变组网环境和网络配置。目前尚没有一种利用透明模式的网络设备，在保证当前网络环境和网络配置基本不变的情况下，实现VPN 接入的方法。发明内容 0005 (一)要解决的技术问题 0006 本发明要解决的技术问题是：如何提供一种在透明模式下实现VPN接入的方法，以在保证当前网络环境和网络配置基本。

10、不变的情况下实现VPN接入。 0007 (二)技术方案 0008 为解决上述技术问题，本发明提供一种在透明模式下实现VPN接入的方法，其包括步骤： 0009 A：在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙； 0010 B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由配置； 0011 C：对所述网关以及客户端进行配置； 0012 D：所述客户端通过EZVPN隧道访问内网服务器。说明书CN 102611700 A 2/6页 4 0013 优选地，所述步骤B具体包括步骤： 0014 B1：对所述防火墙进行透明模式配置具体包括：指定透明端口，配置透明。

11、模式的虚端口的IP地址； 0015 B2：对所述防火墙进行EZVPN服务器配置具体包括：为所述客户端分配内网IP地址，为所述客户端分配需要通过所述EZVPN隧道访问内网的客户端内网IP地址段，在所述虚端口上使能EZVPN服务器功能； 0016 B3：对所述防火墙进行路由配置具体包括：配置所有IP地址的默认路由到所述网关的地址。 0017 优选地，所述步骤C具体包括步骤： 0018 C1：对所述网关进行配置具体包括：配置外部静态NAT，使所述虚端口的IP地址映射到外网地址；配置所述网关的路由，使通过所述EZVPN隧道访问外网的客户端内网IP地址经过所述防火墙； 0019 C2：对所述。

12、客户端进行配置具体包括：在所述客户端上配置EZVPN服务器地址为所述外网地址。 0020 优选地，所述步骤D具体包括步骤： 0021 D1：所述客户端通过拨号连接EZVPN服务器，所述客户端与所述EZVPN服务器之间建立所述EZVPN隧道，通过所述EZVPN隧道向所述网关发出报文，所述报文的外层目的地址为所述外网地址； 0022 D2：所述网关收到所述报文后，对所述报文进行静态网络地址转换，将所述报文的外层目的地址转换为所述虚端口的IP地址，然后将所述报文从所述网关的内网端口发送出去； 0023 D3：所述防火墙收到所述报文后，对所述报文进行解密，得到所述报文的内层目的地址，然后将。

13、所述报文通过所述防火墙上配置的静态路由转发给所述网关； 0024 D4：所述网关收到所述报文后，根据所述报文的内层目的地址将所述报文发送给所述防火墙； 0025 D5：所述防火墙根据所述报文的内层目的地址，将所述报文通过透明端口转发给内网设备； 0026 D6：所述内网设备接收并处理所述报文，然后将回应报文发送给所述网关； 0027 D7：所述网关根据默认路由将所述回应报文转发给所述防火墙； 0028 D8：所述防火墙对所述回应报文进行隧道封装后转发给所述网关； 0029 D9：所述网关接收所述回应报文后，通过外部静态网络地址转换，将所述回应报文的所述虚端口的IP地址转换为外网地址，然后。

14、将转换后的所述回应报文转发给所述客户端。 0030 (三)有益效果 0031 本发明的在透明模式下实现VPN接入的方法，通过在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙，进行简单的配置后，客户端即可以通过 EZVPN接入所述防火墙，然后通过所述防火墙进行转发，从而在保证当前网络环境和网络配置基本不变的情况下实现了以VPN安全方式接入内网防火墙的目的。说明书CN 102611700 A 3/6页 5 附图说明 0032 图1是本发明实施例所述的在透明模式下实现VPN接入的方法的实现网络结构示意图； 0033 图2是本发明实施例所述的在透明模式下实现VPN。

15、接入的方法的流程图。具体实施方式 0034 下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。 0035 图1是本发明实施例所述的在透明模式下实现VPN接入的方法的流程图。如图1 所示，所述方法包括： 0036 步骤A：在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙。图2是本发明实施例所述的在透明模式下实现VPN接入的方法的实现网络结构示意图，如图2所示，内网中除了交换机之外，还包括与所述交换机连接的内网服务器，以及多个内网个人电脑；网关通过公网与外网个人电脑(即客户端)相连接。所述带有EZVP。

16、N 服务器功能和透明模式功能的防火墙可以采用汉柏PA-5500-F25防火墙。 0037 步骤B：对所述防火墙进行透明模式配置、EZVPN服务器配置和路由配置。所述步骤B具体包括： 0038 步骤B1：对所述防火墙进行透明模式配置具体包括：指定透明端口，配置透明模式的虚端口的IP地址。如下面表1是本实施例中透明模式配置的示例代码。 0039 表1透明模式配置示例 0040 0041 步骤B2：对所述防火墙进行EZVPN服务器配置具体包括：为所述客户端分配内网 IP地址，为所述客户端分配需要通过EZVPN隧道访问内网的客户端内网IP地址段，在所述虚端口上使能EZVPN服务器功能。如下面表2。

17、是本实施例中EZVPN服务器配置的示例代码。 0042 表2EZVPN服务器配置示例说明书CN 102611700 A 4/6页 6 0043 0044 0045 步骤B3：对所述防火墙进行路由配置具体包括：配置所有IP地址的默认路由到所述网关的地址。如下面表3是本实施例中对所述防火墙进行路由配置的示例代码。说明书CN 102611700 A 5/6页 7 0046 表3对防火墙进行路由配置示例 0047 Route tran 0.0.0.00.0.0.0192.168.10.1 0048 步骤C：对所述网关以及客户端进行配置。 0049 所述步骤C具体包括： 0050 步骤C1。

18、：对所述网关进行配置具体包括：配置外部静态NAT(Network Address Translation，网络地址转换)，使所述虚端口的IP地址映射到外网地址，如下面表4是本实施例中对外部静态NAT进行配置的示例代码；配置所述网关的路由，使通过所述EZVPN隧道访问外网的客户端内网IP地址经过所述防火墙，如下面表5是本实施例中对所述网关的路由进行配置的示例代码。 0051 表4外部静态NAT配置示例 0052 Static(outside，inside)220.181.111.86192.168.20.1 0053 表5对网关进行路由配置示例 0054 Route inside 110.。

19、1.0.0255.255.0.0192.168.20.1 0055 步骤C2：对所述客户端进行配置具体包括：在所述客户端上配置EZVPN服务器地址为所述外网地址。 0056 步骤D：所述客户端通过所述EZVPN隧道访问内网服务器。 0057 所述步骤D具体包括： 0058 步骤D1：所述客户端通过拨号连接EZVPN服务器，所述客户端与所述EZVPN服务器之间建立所述EZVPN隧道，通过所述EZVPN隧道向所述网关发出报文，所述报文的外层目的地址为所述外网地址。 0059 步骤D2：所述网关收到所述报文后，对所述报文进行静态网络地址转换，将所述报文的外层目的地址转换为所述虚端口的IP地址。

20、，然后将所述报文从所述网关的内网端口发送出去。 0060 步骤D3：所述防火墙收到所述报文后，对所述报文进行解密，得到所述报文的内层目的地址，然后将所述报文通过所述防火墙上配置的静态路由转发给所述网关。 0061 步骤D4：所述网关收到所述报文后，根据所述报文的内层目的地址将所述报文发送给所述防火墙。 0062 步骤D5：所述防火墙根据所述报文的内层目的地址，将所述报文通过透明端口转发给内网设备。 0063 步骤D6：所述内网设备接收并处理所述报文，然后将回应报文发送给所述网关。 0064 步骤D7：所述网关根据默认路由将所述回应报文转发给所述防火墙。 0065 步骤D8：所述防火墙对。

21、所述回应报文进行隧道封装后转发给所述网关。 0066 步骤D9：所述网关接收所述回应报文后，通过外部静态网络地址转换，将所述回应报文的所述虚端口的IP地址转换为外网地址，然后将转换后的所述回应报文转发给所说明书CN 102611700 A 6/6页 8 述客户端。 0067 本发明实施例所述在透明模式下实现VPN接入的方法，通过在网关和内网交换机之间设置带有EZVPN服务器功能和透明模式功能的防火墙，进行简单的配置后，客户端即可以通过EZVPN接入所述防火墙，然后通过所述防火墙进行转发，从而在保证当前网络环境和网络配置基本不变的情况下实现了以VPN安全方式接入内网防火墙的目的。 0068 以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。说明书CN 102611700 A 1/2页 9 图1 说明书附图CN 102611700 A 2/2页 10 图2 说明书附图CN 102611700 A 10 。

展开阅读全文