CN107659485A - 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 - Google Patents
一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 Download PDFInfo
- Publication number
- CN107659485A CN107659485A CN201711049785.1A CN201711049785A CN107659485A CN 107659485 A CN107659485 A CN 107659485A CN 201711049785 A CN201711049785 A CN 201711049785A CN 107659485 A CN107659485 A CN 107659485A
- Authority
- CN
- China
- Prior art keywords
- vpn
- equipment
- service
- server
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Abstract
本申请公开了一种虚拟专用网络VPN中的设备与服务器通信的方法及装置。该方法包括:向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号和设备所在VPN的VPN标识;接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器。本申请实施例通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置代理设备,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种虚拟专用网络VPN中的设备与服务器通信的方法及装置。
背景技术
对于网络中运行的设备需要进行维护,为了提高设备维护的便捷性,可将各个设备在服务器中进行认证和注册,建立服务器与各个设备的通信连接,网络管理员便可方便地通过服务器对各个设备进行维护。
现有技术中需要将设备直接或通过网络地址转换(Network AddressTranslation,NAT)的方式接入互联网,经互联网与服务器进行通信。然而,出于网络安全的考虑,对于虚拟专用网络(Virtual Private Network,VPN)中的设备不能接入互联网,这就导致在虚拟专用网络VPN中的各个设备不能与服务器进行通信,这些设备不能通过服务器进行维护。
如何在保证虚拟专用网络VPN中的设备安全性的前提下,实现虚拟专用网络VPN中的设备与服务器通信成为亟待解决的问题。
发明内容
本申请提供了一种虚拟专用网络VPN中的设备与服务器通信的方法及装置,以解决在保证虚拟专用网络VPN中的设备安全性的前提下,实现虚拟专用网络VPN中的设备与服务器通信的问题。
第一方面,本申请实施例提供一种虚拟专用网络VPN中的设备与服务器通信的方法,包括:
向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号和设备所在VPN的VPN标识;
接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器。
第二方面,本申请实施例提供一种虚拟专用网络VPN中的设备与服务器通信的方法,包括:
向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号、设备所在VPN的VPN标识和设备所在VPN对应的通信隧道标识;
将第一设备的认证注册信息发送至服务代理;
接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息确定第一设备所在VPN对应的第一通信隧道标识;对业务请求报文进行封装获得第一业务请求报文,使得第一业务请求报文中包括第一通信隧道标识;将第一业务请求报文发送至服务代理,以使服务代理将第一业务请求报文发送至服务器。
第三方面,本申请实施例提供一种虚拟专用网络VPN中的设备与服务器通信的方法,包括:
接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;认证注册信息包括设备标识号、设备所在VPN的VPN标识;
接收网关代理根据第一设备所在VPN的VPN标识发送的第一业务请求报文;对第一业务请求报文进行解封装,获得业务请求报文内容;对解封装获得的业务请求报文内容进行封装获得第二业务请求报文,使得第二业务请求报文包括服务器所在互联网对应的第二通信隧道标识,将第二业务请求报文经网关代理发送至服务器。
第四方面,本申请实施例提供一种虚拟专用网络VPN中的设备与服务器通信的装置,包括:
认证注册服务单元,用于向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号和设备所在VPN的VPN标识;
业务请求报文处理单元,用于接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器。
第五方面,本申请实施例提供一种虚拟专用网络VPN中的设备与服务器通信的装置,包括:
认证注册服务单元,用于向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号、设备所在VPN的VPN标识和设备所在VPN对应的通信隧道标识;
认证注册信息发送单元,用于将第一设备的认证注册信息发送至服务代理;
业务请求报文处理单元,用于接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息确定第一设备所在VPN对应的第一通信隧道标识;对业务请求报文进行封装获得第一业务请求报文,使得第一业务请求报文中包括第一通信隧道标识;将第一业务请求报文发送至服务代理,以使服务代理将第一业务请求报文发送至服务器。
第六方面,本申请实施例提供一种虚拟专用网络VPN中的设备与服务器通信的装置,包括:
认证注册信息接收单元,用于接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;认证注册信息包括设备标识号和设备所在VPN的VPN标识;
业务请求报文处理单元,用于接收网关代理根据第一设备所在VPN的VPN标识发送的第一业务请求报文;对第一业务请求报文进行解封装,获得业务请求报文内容;对解封装获得的业务请求报文内容进行封装获得第二业务请求报文,使得第二业务请求报文包括服务器所在互联网对应的第二通信隧道标识,将第二业务请求报文经网关代理发送至服务器。
第七方面,本申请实施例提供一种电子设备,电子设备包括存储器和处理器,存储器和处理器之间通过内部总线通讯连接,存储器存储有能够被处理器执行的程序指令,程序指令被处理器执行时能够实现上述的方法。
第八方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储计算机指令,计算机指令使计算机执行上述的方法。
本申请实施例的有益效果是:本申请实施例通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置代理设备,第一设备经代理设备完成在服务器中的认证和注册;代理设备接收第一设备发送的业务请求报文后,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
附图说明
图1为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的方法的流程示意图;
图2为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的原理图;
图3为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的信令图;
图4为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的原理图;
图5为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的方法的流程示意图;
图6为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的方法的流程示意图;
图7为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的信令图;
图8为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的装置的结构示意图;
图9为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的装置的结构示意图;
图10为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的装置的结构示意图;
图11为本申请一个实施例的电子设备的结构示意图。
具体实施方式
为了解决背景技术中提出的技术问题,本申请的发明人对现有技术进行了分析。现有技术中通过下述步骤完成设备与服务器的通信连接的建立:
(1)设备向服务器发送认证请求报文;
(2)服务器收到认证请求报文后,检查服务器上是否已添加认证请求报文中携带的设备标识号,如果已添加则回应认证成功响应报文,否则回应认证失败响应报文;
(3)设备收到认证成功响应报文后,向服务器发送注册请求报文;
(4)服务器向设备返回注册响应报文,所述注册响应报文中包括服务统一资源定位符(Uniform Resource Locator,URL);
(5)设备收到注册响应报文后,使用该URL向服务器发送握手交互请求;
(6)服务器向设备回复握手交互响应报文。
上述通信连接建立的过程要求设备与服务器均接入互联网,因而这种方法并不适用于虚拟专用网络VPN中的设备。
发明人想到,如果可以增加代理设备,虚拟专用网络VPN中的设备经代理设备完成在服务器中的认证和注册,并经代理设备实现与服务器的通信,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为本申请实施例提供的一个实施例的虚拟专用网络VPN中的设备与服务器通信的方法的流程示意图。本申请实施例的执行主体为代理设备,该代理设备可以集成了网关代理和服务代理。该方法包括:
S11:向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号和设备所在VPN的VPN标识;
需要说明的是,本申请实施例的代理设备向虚拟专用网络VPN中的各个设备提供认证注册服务,VPN中的各个设备经代理设备完成在服务器中的认证和注册,在此过程中,代理设备获得完成认证和注册的各个设备的认证注册信息。
在实际应用中,代理设备可以为物理路由器、三层交换机,也可以是虚拟路由器。在网络可达方面,代理设备接入了互联网,且保存有到达各个VPN的路由,可以访问互联网及各个VPN中的各个设备。
举例来说,代理设备中保存了达到VPN1中的第一设备的路由,路由前缀为第一设备的IP地址,出接口为到达VPN1的端口。
S12:接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器。
需要说明的是,第一设备为虚拟专用网络VPN中经过认证注册的任何一台设备。本申请实施例的代理设备可将第一设备发送的业务请求报文转发至服务器,代理设备中保存有各个设备的认证注册信息,代理设备的不同端口与不同的虚拟专用网络VPN通信,根据接收业务请求报文的端口确定第一设备所在VPN的VPN标识,代理设备根据第一设备所在VPN的VPN标识和认证注册信息确定该业务请求报文是由VPN标识对应的VPN网络中的第一设备发送的,代理设备根据业务逻辑,将第一设备发送的业务请求报文转发至服务器。
本申请实施例提供的虚拟专用网络VPN中的设备与服务器通信的方法,通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置代理设备,第一设备经代理设备完成在服务器中的认证和注册;代理设备接收第一设备发送的业务请求报文后,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
为了实现从服务器到第一设备的通信,认证注册信息还包括会话信息;
该方法还包括:
接收服务器发送的业务服务报文;其中,业务服务报文包括会话信息;根据会话信息和认证注册信息将业务服务报文发送至第一设备。
在实际应用中,会话信息包括cookie和sessionID,各个设备的会话信息具有唯一性。
需要说明的是,本申请实施例的代理设备可将服务器发送的业务服务报文转发至第一设备,代理设备中保存有各个设备的认证注册信息,业务服务报文中包括会话信息,由于各个设备的会话信息具有唯一性,因而代理设备可根据业务服务报文的会话信息和认证注册信息确定第一设备,并将业务服务报文转发至第一设备。
本申请实施例提供的虚拟专用网络VPN中的设备与服务器通信的方法,通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置代理设备,第一设备经代理设备完成在服务器中的认证和注册;代理设备接收服务器发送的业务服务报文后,根据会话信息和认证注册信息将业务服务报文发送至第一设备,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
具体地,向虚拟专用网络VPN中的第一设备提供认证注册服务,包括:
接收第一设备发送的认证请求报文,将认证请求报文发送至服务器;其中,认证请求报文中包括设备标识号;
接收服务器返回的认证请求响应报文,认证请求响应报文包括会话信息,并将认证请求响应报文发送至第一设备;
接收第一设备发送的注册请求报文,将注册请求报文发送至服务器;
接收服务器返回的注册响应报文,注册响应报文中包括服务器对应的服务统一资源定位符URL,将注册响应报文发送至第一设备。
可理解的是,本申请实施例的代理设备向虚拟专用网络VPN中的各个设备提供认证注册服务,由代理设备记录各个设备的认证注册信息。在实际应用中,第一设备接收到服务URL后,通过代理设备向服务器发起交互。
在实际应用中,如图2所示,代理设备22为一台物理设备,适用于规模较小的网络。在图2所示的组网中,包括服务器21、代理设备22、虚拟专用网络VPN1和虚拟专用网络VPN2;VPN1中包括设备23和设备24,VPN2中包括设备25。VPN1和VPN2中的各个设备均可采用上述的方法在不接入互联网的情况下通过代理设备22实现与服务器21的通信。
以下结合图3说明本申请实施例的虚拟专用网络VPN中的设备与服务器通信的具体过程。
代理设备首先向虚拟专用网络VPN中的第一设备提供认证注册服务,可以通过代理设备中集成的网关代理实现,具体实现包括以下。
第一设备向代理设备发送认证请求报文,代理设备将该认证请求报文发送至服务器。认证请求报文中包括第一设备标识号。
服务器向代理设备返回认证请求响应报文,代理设备将该认证请求响应报文发送至第一设备。认证请求响应报文包括会话信息cookie和sessionID。
第一设备向代理设备发送注册请求报文,代理设备将注册请求报文发送至服务器。
服务器向代理设备返回注册响应报文,代理设备将注册响应报文发送至第一设备。其中,注册响应报文中包括服务器对应的服务统一资源定位符URL。
第一设备完成认证注册后,开始通过代理设备与服务器进行交互,可以通过代理设备中集成的服务代理实现,具体实现可以包括以下。
第一设备向代理设备发送业务请求报文,代理设备根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器。
服务器向代理设备发送业务服务报文,代理设备根据会话信息和认证注册信息将业务服务报文发送至第一设备。
对于规模较大的网络,如图4所示,代理设备可以为两台物理设备,代理设备包括网关代理42和服务代理43。在图4所示的组网中,包括服务器41、网关代理42、虚拟专用网络VPN1、虚拟专用网络VPN2和虚拟专用网络VPN3;VPN1中包括设备44和设备45,VPN2中包括设备46,VPN3中包括服务代理43。通过本申请实施例,VPN1和VPN2中的各个设备可在不接入互联网的情况下通过网关代理42和服务代理43实现与服务器41的通信。以下具体说明在此情况下的虚拟专用网络VPN中的设备与服务器的通信过程。
如图5所示,为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的方法的流程示意图,该实施例的执行主体为网关代理。
S51:向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号、设备所在VPN的VPN标识和设备所在VPN对应的通信隧道标识。
S52:将第一设备的认证注册信息发送至服务代理。
S53:接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息确定第一设备所在VPN对应的第一通信隧道标识;对业务请求报文进行封装获得第一业务请求报文,使得第一业务请求报文中包括第一通信隧道标识;将第一业务请求报文发送至服务代理,以使服务代理将第一业务请求报文发送至服务器。
需要说明的是,本申请实施例的网关代理中保存有各个设备的认证注册信息,网关代理的不同端口与不同的虚拟专用网络VPN通信,根据接收业务请求报文的端口确定第一设备所在VPN的VPN标识,根据第一设备所在VPN的VPN标识和认证注册信息确定第一设备所在VPN对应的第一通信隧道标识,将第一通信隧道标识封装进业务请求报文中获得第一业务请求报文,并将第一业务请求报文发送至服务器。
本申请实施例通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置网关代理和服务代理,第一设备经网关代理完成在服务器中的认证和注册;网关代理将第一设备的认证注册信息同步至服务代理;网关代理在接收到第一设备发送的业务请求报文后,将业务请求报文发送至服务代理,以使服务代理将业务请求报文发送至服务器,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
为了实现从服务器到第一设备的通信,认证注册信息还包括会话信息;该方法还包括:
为服务器所在互联网申请对应的第二通信隧道标识,并将第二通信隧道标识发送至服务代理;
接收服务器发送的业务服务报文,业务服务报文中包括会话信息;对业务服务报文进行封装获得第一业务服务报文,使得第一业务服务报文中包括第二通信隧道标识;将第一业务服务报文发送至服务代理,以使服务代理根据会话信息和认证注册信息将第一业务服务报文发送至第一设备。
本申请实施例通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置网关代理和服务代理,第一设备经网关代理完成在服务器中的认证和注册;网关代理将第一设备的认证注册信息同步至服务代理;网关代理在接收到服务器发送的业务服务报文后,将业务服务报文发送至服务代理,以使服务代理将业务服务报文发送至第一设备,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
具体地,向虚拟专用网络VPN中的第一设备提供认证注册服务,可以通过以下方式实现。
接收第一设备发送的认证请求报文,将认证请求报文发送至服务器;其中,认证请求报文中包括设备标识号。
接收服务器返回的认证请求响应报文,认证请求响应报文包括会话信息,并将认证请求响应报文发送至第一设备。认证请求响应报文包括会话信息cookie和sessionID。
接收第一设备发送的注册请求报文,将注册请求报文发送至服务器。
接收服务器返回的注册响应报文,注册响应报文中包括服务器对应的服务统一资源定位符URL,将注册响应报文发送至第一设备。其中,注册响应报文中包括服务器对应的服务统一资源定位符URL。
为第一设备所在VPN申请对应的第一通信隧道标识。
可理解的是,本申请实施例网关代理向第一设备提供认证注册服务的过程与代理设备向第一设备提供认证注册服务的过程类似,不同的是,由于代理设备包括网关代理和服务代理两台设备,网关代理和服务代理之间配置有通信隧道,网关代理还要为第一设备所在的VPN申请对应的第一通信隧道标识。
本申请实施例中网关代理和服务代理之间配置有通信隧道,网关代理为第一设备所在VPN申请对应的第一通信隧道标识,为服务器所在互联网申请对应的第二通信隧道标识。
在实际应用中,网关代理根据服务代理IP地址和端口生成第一设备所在VPN到服务代理的路由。
在实际应用中,通信隧道可以为可扩展虚拟局域网络(Virtual eXtensible LAN,VXLAN)隧道或者通用路由封装(Generic Routing Encapsulation,GRE)隧道,本申请对此不作限制。
以图4的组网为例进行说明。
VPN1中的设备44向网关代理42发送认证请求报文,网关代理42将认证请求报文发送至服务器41。
服务器41对认证请求报文进行处理生成认证请求响应报文,认证请求响应报文中包括会话信息cookie-1和sessionID-1。
网关代理4 2接收服务器41返回的认证请求响应报文,并将认证请求响应报文发送至设备44。
设备44向网关代理42发送注册请求报文,网关代理42将接收到的注册请求报文发送至服务器41。
服务器41对注册请求报文进行处理生成注册响应报文,注册响应报文中包括服务统一资源定位符URL(ws://www.oasis.h3c.com/switch/main)。
网关代理42接收服务器41返回的注册响应报文,将注册响应报文发送至设备44。
在上述一可选的实施例中,在向虚拟专用网络VPN中的第一设备提供认证注册服务之后,本申请实施例提供的方法还包括:
将服务统一资源定位符URL中的域名修改为服务代理的IP地址和端口号,将修改后的服务统一资源定位符URL发送至第一设备。
需要说明的是,本申请实施例的网关代理需要将认证注册信息同步至服务代理,并且在网关代理上添加到服务代理43的路由,并将路由下发至第一设备所在VPN中的设备,使得第一设备可通过网关代理访问服务代理。
以下结合图4以VXLAN隧道为例进行说明。服务代理43的IP地址为192.168.1.1,网关代理42的IP地址为192.168.1.2,服务代理43和网关代理42之间配置有VXLAN隧道Tunnel-1。在可选实施例中,处于VPN 3中的服务代理43不能够接入服务器。
为了使服务代理43与设备44通信,网关代理42为设备44所在VPN申请通信隧道标识VXLAN ID=5,在网关代理42上添加设备44到服务代理43的路由,路由前缀为192.168.1.1,出接口为VXLAN隧道Tunnel-1,属性为通信隧道标识VXLAN ID=5,并将该路由下发至VPN1中的设备44;根据该路由配置设备44到服务代理43的路由,路由前缀为192.168.1.1,依据TCP/IP网络协议配置设备44到服务代理43的路由的出接口和下一跳。
为了使服务代理43与服务器41通信,网关代理42还为服务器41所在互联网申请通信隧道标识VXLAN ID=4,且在网关代理42上添加服务器41到服务代理43的路由,路由前缀为192.168.1.1,出接口为VXLAN隧道Tunnel-1,属性为通信隧道标识VXLAN ID=4。
网关代理42将设备44的认证注册信息(设备44的设备标识号DEVID-1、设备44所在VPN的VPN标识VPN1和会话信息cookie-1、sessionID-1)发送至服务代理43。网关代理42还将服务器41的通信隧道标识VXLAN ID=4和设备44的通信隧道标识VXLAN ID=5发送至服务代理43。
网关代理42还对服务统一资源定位符URL进行修改,将服务URL中的域名修改为服务代理43的IP地址和端口,即:
将ws://www.oasis.h3c.com/switch/main修改为ws://192.168.1.1:433/switch/main,并将修改后的服务URL发送至设备44。
设备44接收到修改后的服务URL后,向服务代理43发起交互。
以下结合图4说明本申请实施例的网关代理处理业务请求报文的过程。设备44发送的业务请求报文(目的地址为服务代理43)到达网关代理42后,查路由匹配到192.168.1.1,网关代理对业务请求报文进行封装,将设备44的通信隧道标识VXLAN ID=5封装进业务请求报文的报文头获得第一业务请求报文,将第一业务请求报文根据路由查询结果发送至服务代理43。
以下结合图4说明本申请实施例的网关代理处理业务服务报文的过程。服务器41发送的业务服务报文(目的地址为服务代理43)到达网关代理42后,查路由匹配到192.168.1.1,网关代理对业务服务报文进行封装,将服务器41的通信隧道标识VXLANID=4封装进业务服务报文的报文头获得第一业务服务报文,将第一业务服务报文根据路由查询结果发送至服务代理43。
如图6所示,为本申请另一个实施例的虚拟专用网络VPN中的设备与服务器通信的方法的流程示意图,该实施例的执行主体为服务代理。
S61:接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;认证注册信息包括设备标识号、设备所在VPN的VPN标识。
S62:接收网关代理根据第一设备所在VPN的VPN标识发送的第一业务请求报文;对第一业务请求报文进行解封装,获得业务请求报文内容;对解封装获得的业务请求报文内容进行封装获得第二业务请求报文,使得第二业务请求报文包括服务器所在互联网对应的第二通信隧道标识,将第二业务请求报文经网关代理发送至服务器。
可理解的是,本申请实施例的第一设备向网关代理发送业务请求报文,网关代理根据第一设备所在VPN的VPN标识和认证注册信息确定第一设备所在VPN对应的第一通信隧道标识,对业务请求报文进行封装获得第一业务请求报文,使得第一业务请求报文中包括第一通信隧道标识。
本申请实施例通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置网关代理和服务代理,服务代理接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;服务代理在接收到第一业务请求报文后,对第一业务请求报文进行解封装、再次封装的处理获得第二业务请求报文,使得第二业务请求报文包括服务器所在互联网对应的第二通信隧道标识,根据业务逻辑将第二业务请求报文发送至服务器。实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
为了实现服务代理到第一设备的路由可达和实现服务代理到服务器的路由可达,本申请实施例的服务代理可采用以下两种方式,第一种方式是修改协议栈,第二种方式是动态创建VPN。
第一种方式:修改协议栈
修改后的协议栈中可以包括通信隧道标识,例如第一设备所在VPN对应的第一通信隧道标识和/或服务器所在互联网对应的第二通信隧道标识。
在实际应用中,协议栈可以为TCP/IP协议栈,修改协议栈之前,服务代理根据源IP、目的IP等区分不同的报文会话,修改协议栈之后,服务代理根据源IP、目的IP和通信隧道标识区域不同的报文会话。
以图4为例,服务代理43应用修改后的协议栈,修改后的协议栈中包括第一设备所在VPN对应的通信隧道标识VXLAN ID=5和服务器41所在互联网的通信隧道标识VXLAN ID=4。
服务代理43根据业务逻辑确定应将第一业务请求报文发送至服务器41后,通过修改后的协议栈确定服务器41的通信隧道标识VXLAN ID=4,将服务器41的通信隧道标识VXLAN ID=4封装进业务请求报文的报文头,网关代理对业务请求报文进行解封装,根据VXLAN ID=4将业务请求报文发送至服务器41。
服务代理通过修改后的协议栈对第一业务请求报文进行解封装的具体过程可以如下所示。
服务代理对第一业务请求报文进行IP层的解封装,获得第一设备对应的第一通信隧道标识、目的IP地址和源IP地址,通过协议栈将第一设备对应的第一通信隧道标识、目的IP地址和源IP地址带到传输层。
服务代理对第一业务请求报文进行传输层的解封装,获得源端口和目的端口,根据源端口和目的端口获得对应的传输层的链接,根据传输层的协议通过协议栈将第一设备对应的第一通信隧道标识和匹配到的传输层的链接带到业务层。
服务代理对第一业务请求报文进行业务层的解封装,获得第一业务请求报文的会话信息,根据第一业务请求报文的会话信息将第一业务请求报文发送至对应的会话业务模块,会话业务模块对第一业务请求报文进行处理,获得业务请求报文内容。
通过上面过程,实现了第一设备到服务代理的路由可达。
第二种方式:动态创建VPN
针对动态创建VPN的方式,服务代理根据获取的各通信隧道标识创建对应的VPN,并针对每个创建的VPN,在路由表中添加包括对应通信隧道标识的路由。可选地,将每个创建的VPN与对应的通信隧道标识绑定。
下面举例说明。
服务代理为第一设备创建第一VPN,并配置第一VPN的路由,第一VPN的路由中包括第一设备的第一通信隧道标识。
服务代理为服务器创建第二VPN,并配置第二VPN的路由,第二VPN的路由中包括服务器的第二通信隧道标识。
以图4为例,服务代理43为设备44创建VPN-auto 2,在服务代理43上添加服务代理43到VPN-auto 2的路由或在服务代理43上添加服务代理43到VPN-auto 2中设备44的路由,路由中的环回路由的前缀为服务代理43的地址192.168.1.1;路由中到VPN-auto2的前缀为0.0.0.0/0,属性为通信隧道标识VXLAN ID=5;路由中到设备44的前缀为设备44的地址,出接口为Tunnel-1,属性为通信隧道标识VXLAN ID=5。
以图4为例,服务代理43为服务器41创建VPN-auto 1,在服务代理43上添加服务代理43到VPN-auto 1的路由或在服务代理43上添加服务代理43到VPN-auto 1中服务器41的路由,路由中的环回路由的前缀为服务代理43的地址192.168.1.1;路由中到VPN-auto 1的前缀为0.0.0.0/0,属性为通信隧道标识VXLAN ID=4;路由中到服务器41的前缀为服务器41的地址,出接口为Tunnel-1,属性为通信隧道标识VXLAN ID=4。
服务代理根据业务逻辑确定应将第一业务请求报文发送至服务器41后,则通过创建的VPN-auto 1确定服务器41的通信隧道标识VXLAN ID=4,将服务器41的通信隧道标识VXLAN ID=4封装进业务请求报文的报文头获得第二业务请求报文,网关代理对第二业务请求报文进行解封装,根据VXLAN ID=4将业务请求报文发送至服务器41。
通过上述过程,实现了从服务代理到服务器的路由可达。
因此,本申请实施例的服务代理在对第一业务请求报文解封装获得业务请求报文内容后,可根据修改后的协议栈确定服务器所在互联网对应的第二通信隧道标识;或者根据为服务器创建的第二VPN确定服务器所在的互联网对应的第二通信隧道标识。
为了实现从服务器到第一设备的通信,认证注册信息还包括会话信息和设备所在VPN对应的通信隧道标识。则本申请实施例提供的方法还包括:
接收网关代理发送的第一业务服务报文,第一业务服务报文中包括会话信息;对第一业务服务报文进行解封装,获得业务服务报文内容;根据会话信息和认证注册信息确定第一设备所在VPN的VPN标识;对解封装获得的业务服务报文内容进行封装获得第二业务服务报文,使得第二业务服务报文包括第一设备所在VPN对应的第一通信隧道标识,将第二业务服务报文经网关代理发送至第一设备。
需要说明的是,认证注册信息中包括第一设备所在VPN的VPN标识以及第一设备所在VPN对应的第一通信隧道标识,在根据会话信息和认证注册信息确定第一设备所在VPN的VPN标识后,可从认证注册信息中获得与第一设备所在VPN的VPN标识对应的第一通信隧道标识,并对业务服务报文内进行封装获得第二业务服务报文,使得第二业务服务报文包括第一设备所在VPN对应的第一通信隧道标识。
如前所述,第一设备到服务器的通信,服务代理在对第一业务请求报文解封装获得业务请求报文内容后,可根据修改后的协议栈或创建的第二VPN确定服务器所在互联网对应的第二通信隧道标识。与从第一设备到服务器的通信过程类似,本申请实施例的服务代理在对第一业务服务报文解封装获得业务服务报文内容后,可根据修改后的协议栈确定第一设备所在VPN对应的第一通信隧道标识;或者根据为第一设备创建的第一VPN确定第一设备所在VPN对应的第一通信隧道标识。
服务代理通过修改后的协议栈对第一业务服务报文解封装的具体过程为可以如下所示。
服务代理对第一业务服务报文进行IP层的解封装,获得服务器对应的第二通信隧道标识、目的IP地址和源IP地址,通过协议栈将服务器对应的第二通信隧道标识、目的IP地址和源IP地址带到传输层。
服务代理对第一业务服务报文进行传输层的解封装,获得源端口和目的端口,根据源端口和目的端口获得对应的传输层的链接,根据传输层的协议通过协议栈将服务器对应的第二通信隧道标识和匹配到的传输层的链接带到业务层。通过上述过程,实现了服务器到服务代理的路由可达。
服务代理对第一业务服务报文进行业务层的解封装,获得第一业务服务报文的会话信息,根据第一业务服务报文的会话信息将第一业务服务报文发送至对应的会话业务模块,会话业务模块对第一业务服务报文进行处理,获得业务服务报文内容。
服务代理通过修改后的协议栈对业务服务报文内容进行封装的具体过程为:服务代理对业务服务报文内容进行业务层的封装,通过修改后的协议栈将第一设备对应的通信隧道标识带到传输层;服务代理对业务服务报文内容进行传输层的封装,通过修改后的协议栈将第一设备对应的通信隧道标识带到IP层;服务代理对业务服务报文内容进行IP层的封装,并将第一设备对应的通信隧道标识封装到业务服务报文中,最终得到封装的第二业务服务报文中携带有第一设备对应的通信隧道标识。
以图4为例,说明服务代理根据修改后的协议栈进行业务服务报文处理的过程:服务代理43根据修改后的协议栈确定设备44的通信隧道标识VXLAN ID=5,将设备44的通信隧道标识VXLAN ID=5封装进业务服务报文的报文头获得第二业务服务报文,网关代理对第二业务服务报文进行解封装,根据VXLAN ID=5将解封装后的第二业务服务报文发送设备44。
以图4为例,说明服务代理根据创建的动态VPN对业务服务报文进行处理的过程:服务代理43通过事先创建的VPN-auto 2确定设备44的通信隧道标识VXLAN ID=5,将设备44的通信隧道标识VXLAN ID=5封装进业务服务报文的报文头获得第二业务服务报文,网关代理对第二业务服务报文进行解封装,根据VXLAN ID=5将解封装后的第二业务服务报文发送至设备44。
通过上述两种方式,实现了服务代理43到设备44的路由可达。
以下结合图4和图7说明本申请实施例的虚拟专用网络VPN中的设备与服务器通信的具体过程。下面以使用VXLAN隧道,服务代理使用动态创建VPN方式为例,描述实现过程。
在图4所示的组网中,代理设备包括网关代理42和服务代理43。图4所示的组网包括服务器41、网关代理42、虚拟专用网络VPN1、虚拟专用网络VPN2和虚拟专用网络VPN3;VPN1中包括设备44(可以为第一设备)和设备45,VPN2中包括设备46,VPN3中包括服务代理43。
服务代理43和网关代理42之间配置有VXLAN隧道Tunnel-1。
服务代理43的IP地址为192.168.1.1/24,端口号为443。针对VXLAN隧道Tunnel-1,服务代理43上VXLAN隧道源地址为192.168.1.1,隧道目的地址为192.168.1.2。
网关代理42的IP地址为192.168.1.2,网关代理42上保存有服务代理43IP地址192.168.1.1,且在VPN3中。针对VXLAN隧道Tunnel-1,网关代理42上VXLAN隧道源地址为192.168.1.2,隧道目的地址为192.168.1.1。
服务器41的IP地址为133.1.1.1,域名为:Oasis.h3c.com。
为使服务代理43能与服务器41通信,网关代理42为公网(即服务器41所在互联网)申请第二通信隧道标识VXLAN ID为4,在网关代理42上添加到服务器41的路由,该路由可以如下表1所示。
表1
网关代理42将该路由下发至服务器41所在公网,根据该路由配置服务器41到服务代理的路由,路由的前缀为192.168.1.1,依据TCP/IP网络协议配置服务器41到服务代理43的路由的出接口和下一跳。
VPN1和VPN2中的设备不能够接入服务器41。在可选实施例中,处于VPN 3中的服务代理43不能够接入服务器。
请参阅图7,网关代理42首先向虚拟专用网络VPN(例如VPN1)中的第一设备提供认证注册服务,获取认证注册信息。具体实现可以如下。
第一设备向网关代理42发送认证请求报文,网关代理42将该认证请求报文发送至服务器41。认证请求报文中包括第一设备标识号DEVID-1。
服务器41向网关代理42返回认证请求响应报文,认证请求响应报文包括会话信息cookie(cookie-1)和sessionID(sessionID-1)。网关代理42将该认证请求响应报文发送至第一设备。可选的,网关代理42为第一设备所在的VPN1申请第一通信隧道标识VXLAN ID=5,并创建网关代理记录信息,可以如下表2所示。
表2
第一设备向网关代理42发送注册请求报文,网关代理42将注册请求报文发送至服务器41。
服务器41向网关代理42返回注册响应报文,网关代理42将注册响应报文发送至第一设备。注册响应报文中包括服务器对应的服务统一资源定位符URL,例如ws://www.oasis.h3c.com/switch/main。可选的,网关代理42将此URL与第一设备标识号、会话信息、VXLAN ID关联,添加到本地网关代理记录,可以如下表3所示:
表3
可选的,网关代理42将服务代理的IP和端口作为服务代理信息,并向服务代理发送,具体可以发送下表4中的认证注册信息:
表4
网关代理42检查VPN1下是否有到服务代理43的路由。目前没有路由,则在网关代理42上添加到服务代理43的路由,路由可以如下表5:
表5
网关代理42将该路由下发至设备44所在VPN1,根据该路由配置设备44到服务代理的路由,路由前缀为192.168.1.1,依据TCP/IP网络协议配置设备44到服务代理43的路由的出接口和下一跳。
网关代理42将注册响应报文中的服务URL的域名修改为服务代理43的IP地址和端口号,将修改后的服务URL发送至第一设备。修改后的URL为:ws://www.192.168.1.1:443/switch/main。
如前文所示,网关代理42为第一设备所在VPN申请对应的第一通信隧道标识VXLANID=5,还为服务器41所在互联网申请对应的第二通信隧道标识VXLAN ID=4。
网关代理42将第一设备的认证注册信息同步到服务代理43,认证注册信息可以如前文表4所示。
服务代理43在接收到网关代理42发送的认证注册信息后,检查获取的第一通信隧道标识VXLAN ID=5是否已有绑定的VPN,目前无,则自动创建VPN-auto2,绑定VXLANID=5,在服务代理43上添加VPN-auto 2的路由,该路由包括环回路由和缺省路由,该路由可以如下表6:
表6
其中,环回路由用于当服务代理43接收到报文后,将该报文发送至业务层进行处理;缺省路由用于当服务代理接收到报文后,该报文的目的地址不能与任何路由相匹配时,则将该报文发送至VXLAN ID=5对应的VPN-auto2。
可选的,服务代理43记录下述表7的认证注册信息:
表7
第一设备完成认证注册后,开始通过网关代理42和服务代理43与服务器41进行交互,包括从第一设备到服务器41的业务请求报文的处理过程和从服务器41到第一设备的业务服务报文的处理过程。
其中,业务请求报文的处理过程具体如下所示。
第一设备收到主URL后,向服务代理43发送业务请求报文(其中,所述业务请求报文的源IP地址为第一设备的IP地址,目的地址为服务代理43的IP地址192.168.1.1),建立连接。
业务请求报文到达网关代理42后,匹配VPN1中的路由表项192.168.1.1/32,转发时增加VXLAN封装,即对业务请求报文封装第一通信隧道标识VXLAN ID=5,得到第一业务请求报文。网关代理42通过Tunnel-1将第一业务请求报文发送到服务代理43。
服务代理43收到第一业务请求报文后,解封装获得业务请求报文内容和第一设备的第一通信隧道标识VXLAN ID=5。根据VXLAN ID=5确认为VPN-auto2的报文,则发送到VPN-auto2。发送后按正常协议处理,服务代理43会发送与第一业务请求报文对应的应答报文(源IP地址为192.168.1.1,目的IP地址为第一设备的IP地址),在VPN-auto2路由匹配到0.0.0.0/0,据此加VXLAN封装VXLAN ID=5,通过Tunnel-1发送到网关代理42。
网关代理42根据VXLAN ID=5将该应答报文送到VPN1中进行路由转发,最终发送到第一设备。后续第一设备与服务代理43的通信,参照上述步骤进行。
服务代理43根据业务处理逻辑确定应将第一业务请求报文发送至服务器41。具体过程可以是:根据VPN-auto1的路由获得服务器41的第二通信隧道标识VXLAN ID=4,对业务请求报文内容进行封装获得第二业务请求报文,使得第二业务请求报文包括第二通信隧道标识VXLAN ID=4。服务代理43将第二业务请求报文发送至网关代理42。网关代理42对第二业务请求报文解封装,根据VXLAN ID=4将解封装后的第二业务请求报文发送至服务器41。
另外,服务代理43在接收到网关代理42发送的认证注册信息后,检查获取的第二通信隧道标识VXLAN ID=4是否已有绑定的VPN,目前无,则自动创建VPN-auto1,绑定VXLANID=4,在服务代理43上添加VPN-auto 1的路由,该路由可以如下表8:
表8
其中,业务服务报文的处理过程具体如下所示。
服务器41向服务代理43发送业务服务报文(其中,业务服务报文的源IP地址为服务器的IP地址133.1.1.1,目的地址为服务代理43的IP地址192.168.1.1)。
业务服务报文到达网关代理42后,匹配公网中的路由表项133.1.1.1,转发时增加VXLAN封装,即对业务服务报文封装第二通信隧道标识VXLAN ID=4,得到第一业务服务报文。网关代理42通过Tunnel-1将第一业务服务报文发送到服务代理43。
服务代理43收到第一业务服务报文后,解封装获得业务服务报文内容和服务器41的第二通信隧道标识VXLAN ID=4。根据VXLAN ID=4确认为VPN-auto1的报文,则发送到VPN-auto1。发送后按正常协议处理,服务代理43会发送与第一业务服务报文对应的应答报文(源IP地址为服务代理43的IP地址192.168.1.1,目的IP地址为服务器41的IP地址133.1.1.1),在VPN-auto1路由匹配到133.1.1.1.据此加VXLAN封装VXLANID=4,通过Tunnel-1发送到网关代理42。
网关代理42根据VXLAN ID=4将该应答报文发送到公网,最终发送到服务器41。
服务代理43根据业务处理逻辑确定应将第一业务服务报文发送至设备44。具体过程可以是:根据VPN-auto2的路由获得设备44的第一通信隧道标识VXLAN ID=5,对业务服务报文内容进行封装获得第二业务服务报文,使得第二业务服务报文包括第一通信隧道标识VXLAN ID=5。服务代理43将第二业务服务报文发送至网关代理42;网关代理42对第二业务服务报文解封装,根据VXLAN ID=5将解封装后的第二业务服务报文发送至设备44。
本申请实施例通过在虚拟专用网络VPN中的第一设备与互联网中的服务器41之间设置网关代理42和服务代理43,并在网关代理42和服务代理43之间设置通信隧道,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器41的通信,保证了虚拟专用网络VPN中的设备安全性。
图8为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的装置的结构示意图。如图8所示,该装置包括认证注册服务单元81和业务请求报文处理单元82,具体地:
认证注册服务单元81,用于向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号和设备所在VPN的VPN标识;
业务请求报文处理单元82,用于接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器。
本申请实施例的虚拟专用网络VPN中的设备与服务器通信的装置可以用于执行与图1相关的方法实施例,其原理和技术效果类似,此处不再赘述。
图9为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的装置的结构示意图。如图9所示,该装置包括认证注册服务单元91、认证注册信息发送单元92和业务请求报文处理单元93,具体地:
认证注册服务单元91,用于向虚拟专用网络VPN中的第一设备提供认证注册服务,获取第一设备的认证注册信息;认证注册信息包括设备标识号、设备所在VPN的VPN标识和设备所在VPN对应的通信隧道标识;
认证注册信息发送单元92,用于将第一设备的认证注册信息发送至服务代理;
业务请求报文处理单元93,用于接收第一设备发送的业务请求报文,根据第一设备所在VPN的VPN标识和认证注册信息确定第一设备所在VPN对应的第一通信隧道标识;对业务请求报文进行封装获得第一业务请求报文,使得第一业务请求报文中包括第一通信隧道标识;将第一业务请求报文发送至服务代理,以使服务代理将第一业务请求报文发送至服务器。
本申请实施例的虚拟专用网络VPN中的设备与服务器通信的装置可以用于执行与图5相关的方法实施例,其原理和技术效果类似,此处不再赘述。
图10为本申请一个实施例的虚拟专用网络VPN中的设备与服务器通信的装置的结构示意图。如图10所示,该装置包括认证注册信息接收单元101和业务请求报文处理单元102,具体地:
认证注册信息接收单元101,用于接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;认证注册信息包括设备标识号和设备所在VPN的VPN标识;
业务请求报文处理单元102,用于接收网关代理根据第一设备所在VPN的VPN标识发送的第一业务请求报文;对第一业务请求报文进行解封装,获得业务请求报文内容;对解封装获得的业务请求报文内容进行封装获得第二业务请求报文,使得第二业务请求报文包括服务器所在互联网对应的第二通信隧道标识,将第二业务请求报文经网关代理发送至服务器。
本申请实施例的虚拟专用网络VPN中的设备与服务器通信的装置可以用于执行与图6相关的方法实施例,其原理和技术效果类似,此处不再赘述。
图11为本申请一个实施例的电子设备的结构示意图。
参照图11,电子设备包括:处理器111和存储器112,处理器111和存储器112之间通过内部总线113通讯连接,存储器112存储有能够被处理器111执行的程序指令,所述程序指令被处理器111执行时能够实现上述的方法。
此外,上述的存储器112中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
综上所述,根据本申请的技术方案,通过在虚拟专用网络VPN中的第一设备与互联网中的服务器之间设置代理设备,第一设备经代理设备完成在服务器中的认证和注册;代理设备接收第一设备发送的业务请求报文后,根据第一设备所在VPN的VPN标识和认证注册信息将业务请求报文发送至服务器,实现虚拟专用网络VPN中的设备不接入互联网依然可以完成与服务器的通信,保证了虚拟专用网络VPN中的设备安全性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
需要说明的是术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请的说明书中,说明了大量具体细节。然而能够理解的是,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本申请公开并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (15)
1.一种虚拟专用网络VPN中的设备与服务器通信的方法,其特征在于,包括:
向虚拟专用网络VPN中的第一设备提供认证注册服务,获取所述第一设备的认证注册信息;所述认证注册信息包括设备标识号和设备所在VPN的VPN标识;
接收所述第一设备发送的业务请求报文,根据所述第一设备所在VPN的VPN标识和所述认证注册信息将所述业务请求报文发送至服务器。
2.根据权利要求1所述的方法,所述认证注册信息还包括会话信息;
所述方法还包括:
接收服务器发送的业务服务报文,其中,所述业务服务报文中包括会话信息;根据所述会话信息和所述认证注册信息将所述业务服务报文发送至所述第一设备。
3.一种虚拟专用网络VPN中的设备与服务器通信的方法,其特征在于,包括:
向虚拟专用网络VPN中的第一设备提供认证注册服务,获取所述第一设备的认证注册信息;所述认证注册信息包括设备标识号、设备所在VPN的VPN标识和设备所在VPN对应的通信隧道标识;
将所述第一设备的认证注册信息发送至服务代理;
接收所述第一设备发送的业务请求报文,根据所述第一设备所在VPN的VPN标识和所述认证注册信息确定所述第一设备所在VPN对应的第一通信隧道标识;对所述业务请求报文进行封装获得第一业务请求报文,使得所述第一业务请求报文中包括所述第一通信隧道标识;将所述第一业务请求报文发送至所述服务代理,以使所述服务代理将所述第一业务请求报文发送至服务器。
4.根据权利要求3所述的方法,其特征在于,所述认证注册信息还包括会话信息;则,所述方法还包括:
为所述服务器所在互联网申请对应的第二通信隧道标识,并将所述第二通信隧道标识发送至所述服务代理;
接收服务器发送的业务服务报文,所述业务服务报文中包括会话信息;对所述业务服务报文进行封装获得第一业务服务报文,使得所述第一业务服务报文中包括所述第二通信隧道标识;将所述第一业务服务报文发送至所述服务代理,以使所述服务代理根据所述会话信息和所述认证注册信息将所述第一业务服务报文发送至所述第一设备。
5.根据权利要求1所述的方法,其特征在于,所述向虚拟专用网络VPN中的第一设备提供认证注册服务,包括:
接收第一设备发送的认证请求报文,将所述认证请求报文发送至服务器;其中,所述认证请求报文中包括设备标识号;
接收所述服务器返回的认证请求响应报文,所述认证请求响应报文包括会话信息,并将所述认证请求响应报文发送至所述第一设备;
接收所述第一设备发送的注册请求报文,将所述注册请求报文发送至所述服务器;
接收所述服务器返回的注册响应报文,所述注册响应报文中包括所述服务器对应的服务统一资源定位符URL,将所述注册响应报文发送至所述第一设备;
为所述第一设备所在VPN申请对应的第一通信隧道标识。
6.根据权利要求5所述的方法,其特征在于,在向虚拟专用网络VPN中的第一设备提供认证注册服务之后,所述方法还包括:
将所述服务统一资源定位符URL中的域名修改为所述服务代理的IP地址和端口号,将修改后的服务统一资源定位符URL发送至所述第一设备。
7.一种虚拟专用网络VPN中的设备与服务器通信的方法,其特征在于,包括:
接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;所述认证注册信息包括设备标识号、设备所在VPN的VPN标识;
接收网关代理根据所述第一设备所在VPN的VPN标识发送的第一业务请求报文;对所述第一业务请求报文进行解封装,获得业务请求报文内容;对解封装获得的业务请求报文内容进行封装获得第二业务请求报文,使得所述第二业务请求报文包括所述服务器所在互联网对应的第二通信隧道标识,将所述第二业务请求报文经所述网关代理发送至所述服务器。
8.根据权利要求7所述的方法,其特征在于,
根据修改后的协议栈确定所述服务器所在互联网对应的第二通信隧道标识;
或,根据为所述服务器创建的第二VPN确定所述服务器所在的互联网对应的第二通信隧道标识。
9.根据权利要求7所述的方法,其特征在于,所述认证注册信息还包括会话信息和设备所在VPN对应的通信隧道标识;
所述方法还包括:
接收网关代理发送的第一业务服务报文,所述第一业务服务报文中包括会话信息;对所述第一业务服务报文进行解封装,获得业务服务报文内容;根据所述会话信息和所述认证注册信息确定所述第一设备所在VPN的VPN标识;对解封装获得的业务服务报文内容进行封装获得第二业务服务报文,使得所述第二业务服务报文包括第一设备所在VPN对应的第一通信隧道标识,将所述第二业务服务报文经所述网关代理发送至所述第一设备。
10.根据权利要求9所述的方法,其特征在于,
根据修改后的协议栈确定所述第一设备所在VPN对应的第一通信隧道标识;
或,根据为所述第一设备创建的第一VPN确定所述第一设备所在VPN对应的第一通信隧道标识。
11.根据权利要求8-10任一项所述的方法,其特征在于,所述修改后的协议栈中包括通信隧道标识。
12.根据权利要求7所述的方法,其特征在于,所述方法还包括:
根据获取的各通信隧道标识创建对应的VPN,并针对每个创建的VPN,在路由表中添加包括对应通信隧道标识的路由。
13.一种虚拟专用网络VPN中的设备与服务器通信的装置,其特征在于,包括:
认证注册服务单元,用于向虚拟专用网络VPN中的第一设备提供认证注册服务,获取所述第一设备的认证注册信息;所述认证注册信息包括设备标识号和设备所在VPN的VPN标识;
业务请求报文处理单元,用于接收所述第一设备发送的业务请求报文,根据所述第一设备所在VPN的VPN标识和所述认证注册信息将所述业务请求报文发送至服务器。
14.一种虚拟专用网络VPN中的设备与服务器通信的装置,其特征在于,包括:
认证注册服务单元,用于向虚拟专用网络VPN中的第一设备提供认证注册服务,获取所述第一设备的认证注册信息;所述认证注册信息包括设备标识号、设备所在VPN的VPN标识和设备所在VPN对应的通信隧道标识;
认证注册信息发送单元,用于将所述第一设备的认证注册信息发送至服务代理;
业务请求报文处理单元,用于接收所述第一设备发送的业务请求报文,根据所述第一设备所在VPN的VPN标识和所述认证注册信息确定所述第一设备所在VPN对应的第一通信隧道标识;对所述业务请求报文进行封装获得第一业务请求报文,使得所述第一业务请求报文中包括所述第一通信隧道标识;将所述第一业务请求报文发送至所述服务代理,以使所述服务代理将所述第一业务请求报文发送至服务器。
15.一种虚拟专用网络VPN中的设备与服务器通信的装置,其特征在于,包括:
认证注册信息接收单元,用于接收网关代理发送的第一设备的认证注册信息和服务器所在互联网对应的第二通信隧道标识;所述认证注册信息包括设备标识号和设备所在VPN的VPN标识;
业务请求报文处理单元,用于接收网关代理根据所述第一设备所在VPN的VPN标识发送的第一业务请求报文;对所述第一业务请求报文进行解封装,获得业务请求报文内容;对解封装获得的业务请求报文内容进行封装获得第二业务请求报文,使得所述第二业务请求报文包括所述服务器所在互联网对应的第二通信隧道标识,将所述第二业务请求报文经所述网关代理发送至所述服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711049785.1A CN107659485B (zh) | 2017-10-31 | 2017-10-31 | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711049785.1A CN107659485B (zh) | 2017-10-31 | 2017-10-31 | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107659485A true CN107659485A (zh) | 2018-02-02 |
CN107659485B CN107659485B (zh) | 2021-02-05 |
Family
ID=61096283
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711049785.1A Active CN107659485B (zh) | 2017-10-31 | 2017-10-31 | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107659485B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474713A (zh) * | 2018-11-13 | 2019-03-15 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
CN110351135A (zh) * | 2019-06-28 | 2019-10-18 | 新华三技术有限公司合肥分公司 | 多dc中的网络设备配置方法及装置 |
CN110875854A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 检测虚拟专用网络中虚拟机联通性的方法和装置及存储介质 |
CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
CN112333221A (zh) * | 2019-08-05 | 2021-02-05 | 迈普通信技术股份有限公司 | 一种网络业务集中处理的网络架构、方法及通信设备 |
CN112492597A (zh) * | 2020-12-14 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种认证方法及装置 |
CN112583618A (zh) * | 2019-09-30 | 2021-03-30 | 华为技术有限公司 | 为业务提供网络服务的方法、装置和计算设备 |
CN112714194A (zh) * | 2021-03-26 | 2021-04-27 | 南京美乐威电子科技有限公司 | 一种外网主机访问内网设备的方法和网络拓扑结构 |
CN113645174A (zh) * | 2020-04-27 | 2021-11-12 | 华为技术有限公司 | Vxlan接入认证方法以及vtep设备 |
CN114157532A (zh) * | 2021-11-24 | 2022-03-08 | 浙江中控技术股份有限公司 | 远程控制方法、系统、电子装置和存储介质 |
CN116248416A (zh) * | 2023-05-11 | 2023-06-09 | 深圳竹云科技股份有限公司 | 一种身份认证的方法、装置、计算机设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567873A (zh) * | 2003-07-08 | 2005-01-19 | 华为技术有限公司 | 一种虚拟私有网上的数据传输方法 |
CN101488904A (zh) * | 2009-02-27 | 2009-07-22 | 杭州华三通信技术有限公司 | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 |
CN101827041A (zh) * | 2009-03-02 | 2010-09-08 | 日本电气株式会社 | Vpn连接系统和vpn连接方法 |
US20150207732A1 (en) * | 2003-07-29 | 2015-07-23 | Marlow Technologies, Llc | Broadband access for virtual private networks |
CN106453025A (zh) * | 2016-11-04 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种隧道创建方法及装置 |
CN106888145A (zh) * | 2017-03-17 | 2017-06-23 | 新华三技术有限公司 | 一种vpn资源访问方法及装置 |
-
2017
- 2017-10-31 CN CN201711049785.1A patent/CN107659485B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567873A (zh) * | 2003-07-08 | 2005-01-19 | 华为技术有限公司 | 一种虚拟私有网上的数据传输方法 |
US20150207732A1 (en) * | 2003-07-29 | 2015-07-23 | Marlow Technologies, Llc | Broadband access for virtual private networks |
CN101488904A (zh) * | 2009-02-27 | 2009-07-22 | 杭州华三通信技术有限公司 | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 |
CN101827041A (zh) * | 2009-03-02 | 2010-09-08 | 日本电气株式会社 | Vpn连接系统和vpn连接方法 |
CN106453025A (zh) * | 2016-11-04 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种隧道创建方法及装置 |
CN106888145A (zh) * | 2017-03-17 | 2017-06-23 | 新华三技术有限公司 | 一种vpn资源访问方法及装置 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110875854A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 检测虚拟专用网络中虚拟机联通性的方法和装置及存储介质 |
CN109474713B (zh) * | 2018-11-13 | 2021-12-24 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
CN109474713A (zh) * | 2018-11-13 | 2019-03-15 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
CN110351135A (zh) * | 2019-06-28 | 2019-10-18 | 新华三技术有限公司合肥分公司 | 多dc中的网络设备配置方法及装置 |
CN110351135B (zh) * | 2019-06-28 | 2022-03-25 | 新华三技术有限公司合肥分公司 | 多dc中的网络设备配置方法及装置 |
CN112333221A (zh) * | 2019-08-05 | 2021-02-05 | 迈普通信技术股份有限公司 | 一种网络业务集中处理的网络架构、方法及通信设备 |
CN112333221B (zh) * | 2019-08-05 | 2023-09-12 | 迈普通信技术股份有限公司 | 一种网络业务集中处理的网络系统、方法及通信设备 |
CN112583618B (zh) * | 2019-09-30 | 2024-01-05 | 华为云计算技术有限公司 | 为业务提供网络服务的方法、装置和计算设备 |
CN112583618A (zh) * | 2019-09-30 | 2021-03-30 | 华为技术有限公司 | 为业务提供网络服务的方法、装置和计算设备 |
CN113645174A (zh) * | 2020-04-27 | 2021-11-12 | 华为技术有限公司 | Vxlan接入认证方法以及vtep设备 |
CN113645174B (zh) * | 2020-04-27 | 2023-04-18 | 华为技术有限公司 | Vxlan接入认证方法以及vtep设备 |
CN112039916B (zh) * | 2020-09-07 | 2023-04-07 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
CN112492597B (zh) * | 2020-12-14 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种认证方法及装置 |
CN112492597A (zh) * | 2020-12-14 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种认证方法及装置 |
CN112714194A (zh) * | 2021-03-26 | 2021-04-27 | 南京美乐威电子科技有限公司 | 一种外网主机访问内网设备的方法和网络拓扑结构 |
CN114157532A (zh) * | 2021-11-24 | 2022-03-08 | 浙江中控技术股份有限公司 | 远程控制方法、系统、电子装置和存储介质 |
CN116248416A (zh) * | 2023-05-11 | 2023-06-09 | 深圳竹云科技股份有限公司 | 一种身份认证的方法、装置、计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107659485B (zh) | 2021-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659485A (zh) | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 | |
US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
CN106998286B (zh) | 一种vxlan报文转发方法及装置 | |
US10205657B2 (en) | Packet forwarding in data center network | |
CN107872392A (zh) | 在网络中分配服务功能链数据和服务功能实例数据 | |
CN104052666B (zh) | 实现主机路由可达的方法和装置 | |
CN106233673B (zh) | 用于网络服务插入的设备和方法 | |
CN106464564B (zh) | 用于网络分组封装和路由的方法、系统和计算机可读介质 | |
CN105591982B (zh) | 一种报文传输的方法和装置 | |
CN104160680B (zh) | 用于透明代理缓存的欺骗技术 | |
CN103685010B (zh) | 一种报文转发方法和边缘设备 | |
CN104243270B (zh) | 一种建立隧道的方法和装置 | |
CN104579954B (zh) | 报文跨域转发方法、装置及通信设备 | |
CN106254256B (zh) | 基于三层vxlan网关的数据报文转发方法和设备 | |
CN107342941B (zh) | 一种vxlan控制平面的优化方法及装置 | |
CN107104872A (zh) | 接入控制方法、装置及系统 | |
CN107332775B (zh) | 基于docker容器的跨宿主机互访系统及其控制方法 | |
CN105991433B (zh) | 三层虚拟专用网接入二层虚拟专用网的方法和装置 | |
CN103957161B (zh) | 一种报文转发方法及其装置 | |
CN105591907B (zh) | 一种路由获取方法和装置 | |
CN102739502B (zh) | 一种实现网络标识转换的方法、装置及系统 | |
CN104426737B (zh) | 一种实现动态虚拟专用网络链路层通信的方法和装置 | |
CN107018057A (zh) | 通过城域接入网的快速路径内容传送 | |
CN107666428A (zh) | 静默设备探测方法以及装置 | |
CN109246016A (zh) | 跨vxlan的报文处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |