[发明专利]一种访问局域网的方法

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种访问局域网的方法。

背景技术

因特网协议安全（IPSec）是一种由IETF（Internet Engineering Task Force）设计的端到端的确保因特网IP层通信安全的机制，包括网络认证协议（AH）、封装安全载荷协议（ESP）、密钥交换协议（IKE）和用于网络认证及加密的一些算法等。

当移动终端（例如手提电脑）需要访问局域网（例如校园内网）的服务器，并需要与防火墙建立IPSec隧道后再进行内网访问时，现有方案中，都是先建立IPSec隧道。这种方案就会发生TCP连接失败，而由于应用层需要是建立连接的协议（如telnet和http等需要进行连接和AAA认证的协议），相应的，当客户端没有开启http和telnet服务器则会连接失败，AAA认证不通过也会使认证失败，从而导致由于防火墙上IPSec隧道已经生成而造成的防火墙性能的不必要损耗，从而造成网络资源的不必要占用以及系统内存资源的浪费。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是：如何避免在访问局域网时，由于防火墙上IPSec隧道的不必要生成而造成的防火墙性能损耗。

（二）技术方案

为了解决上述技术问题，本发明提供一种访问局域网的方法，包括以下步骤：

S1、终端向局域网发起连接请求；

S2、判断发起所述连接请求时所使用的传输层协议是否为TCP连接的协议以及应用层协议是否需要建立连接，如果是，则先进行TCP连接和应用层的连接，在TCP连接和应用层的连接成功之后再执行步骤S3，如果TCP连接或应用层的连接不成功，则结束；如果不是TCP连接的协议或应用层协议不需要建立连接，则直接执行步骤S3；

S3、在防火墙上建立IPSec隧道，通过所建立的IPSec隧道访问所述局域网。

优选地，在步骤S2中，当所述局域网的主机不存在时判断为TCP连接不成功；当所述应用层协议是需要进行AAA认证的协议时，在终端没有开启相应的应用层服务器或者AAA认证不通过时，都判断为应用层的连接不成功。

优选地，步骤S3中，通过IKE协商建立IPSec隧道。

优选地，步骤S3中进行IKE协商的过程中发送协商报文，所述协商报文携带配置信息。

优选地，所述配置信息包括加密密钥和协商策略。

优选地，所述终端为移动PC。

（三）有益效果

上述技术方案具有如下优点：本发明在向局域网发起连接请求之后，首先判断是否为TCP连接的协议以及应用层协议是否需要建立连接，然后再建立IPSec隧道，而并非先建立IPSec隧道然后再判断是否进行TCP连接和在需要时进行应用层协议连接，这样就避免了在IPSec隧道建立之后发现需要访问的设备不存在、应用层连接失败、应用层认证未通过等情况下所造成的由于PSec隧道的不必要生成而导致的防火墙性能损耗。

附图说明

图1是本发明的方法流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

如图1所示，本发明提供一种访问局域网的方法，包括以下步骤：

S1、当移动PC不在某一局域网（例如校园内网）中，而需要从外网通过防火墙访问该局域网时，首先，向局域网发起连接请求；

S2、由防火墙判断发起所述连接请求时所使用的传输层协议是否为TCP连接的协议以及应用层协议是否需要建立连接，如果是，则先进行TCP连接和应用层的连接，在TCP连接和应用层的连接成功之后再执行步骤S3，如果TCP连接或应用层的连接不成功，则结束，不再连接局域网；如果不是TCP连接的协议或应用层协议不需要建立连接，则直接执行步骤S3；

S3、在防火墙上通过IKE协商过程建立IPSec隧道，通过所建立的IPSec隧道访问所述局域网。

本实施例中，所访问的局域网主机不存在时判断为TCP连接失败，当所述应用层协议是需要进行AAA认证的协议时，如telnet和http，相应的，在终端没有开启http和telnet服务器或者AAA认证不通过时，都判断为应用层的连接不成功。

本实施例中，步骤S3中进行IKE协商的过程中发送协商报文，所述协商报文携带配置信息，所述配置信息包括加密密钥和协商策略。