CN110086702B - 报文转发方法、装置、电子设备及机器可读存储介质 - Google Patents
报文转发方法、装置、电子设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN110086702B CN110086702B CN201910271520.9A CN201910271520A CN110086702B CN 110086702 B CN110086702 B CN 110086702B CN 201910271520 A CN201910271520 A CN 201910271520A CN 110086702 B CN110086702 B CN 110086702B
- Authority
- CN
- China
- Prior art keywords
- ipsec
- target request
- request message
- target
- peer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
Abstract
本申请提供一种报文转发方法、装置、电子设备及机器可读存储介质。在本申请中,接收所述对端设备的目标请求报文;对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。通过获取及保存目标请求报文对应的内层会话信息,并基于所述内层会话信息,将所述目标请求报文对应的目标回应报文,基于所述目标请求报文的出接口转发至位于NAT后的对端设备,从而保证了多链路IPSec VPN组网下,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及报文转发方法、装置、电子设备及机器可读存储介质。
背景技术
由于经济和社会的快速发展,企业信息化程度的提高,一个常见的需求就是各地分公司或办事处同企业总部的需要跨越互联网进行信息交互以及传递,而VPN(VirtualPrivate Network,虚拟专用网络)就是应对上述需求的一种远程访问技术。VPN按应用模式划分,可以包括多种类型,其中,隧道协议IPSec(Internet Protocol Security,互联网安全协议)作为上述隧道协议中的一种,基于IPSec VPN对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。
以IPSec作为VPN隧道协议的VPN为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。基于IPSec VPN的多个通信方之间在IP层通过加密与数据源认证等方式,提供了数据机密性、数据完整性、数据来源认证等安全服务。
发明内容
本申请提供一种报文转发方法,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述方法包括:
接收所述对端设备的目标请求报文;
对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;
基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
可选的,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备,包括:
对所述目标回应报文执行IPSec封装;
将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。
可选的,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,包括:
基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;
基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。
本申请还提供一种报文转发装置,所述装置应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述装置包括:
接收模块,接收所述对端设备的目标请求报文;
会话模块,对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;
转发模块,基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
可选的,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述转发模块进一步:
对所述目标回应报文执行IPSec封装;
将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。
可选的,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,所述转发模块进一步:
基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;
基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。
本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。
本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。
通过以上实施例,通过获取及保存目标请求报文对应的内层会话信息,并基于所述内层会话信息,将所述目标请求报文对应的目标回应报文,基于所述目标请求报文的出接口转发至位于NAT后的对端设备,从而保证了多链路IPSec VPN组网下,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。
附图说明
图1是一示例性实施例提供的一种多链路的IPSec VPN的系统组网图。
图2是一示例性实施例提供的一种报文转发方法的流程图。
图3是一示例性实施例提供的另一种多链路的IPSec VPN的系统组网图。
图4是一示例性实施例提供的一种报文转发装置的框图。
图5是一示例性实施例提供的一种电子设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的IPSec VPN组网下的报文转发的相关技术,进行简要说明。
请参见图1,图1是本说明书一实施例提供的一种多链路的IPSec VPN的系统组网图。
如图1所示的组网包括:本端设备(包括对应IP地址10.20.20.1、10.10.10.1的接口)、对端设备1(包括对应IP地址192.168.1.1的接口)、对端设备2(包括对应IP地址192.168.2.1的接口)、NAT网关(对应IP地址10.30.30.1)、SERVER(对应IP地址1.1.1.1)、PC1(对应IP地址2.2.2.2)、PC2(对应IP地址2.2.2.2);其中,对端设备1以及对端设备2位于NAT内;SERVER(基于接入本端设备)与PC1(基于接入对端设备1)、PC2(基于接入对端设备2)可以通过分别建立IPSec隧道(隧道1及隧道2,分别对应图1所示的带箭头的虚线),进行报文交互。
在一些场景下,基于如图1所示的组网,当经对端设备1接入IPSec VPN的PC1需经过隧道1访问本端设备接入的SERVER时,从PC1发出的目标请求报文的源地址为2.2.2.2;上述目标请求报文经由对端设备1转发时,被对端设备1执行IPSec封装后的源地址变更为对端设备1包括的出接口对应的IP地址,也即源地址变为192.168.1.1;需要说明的是,上述目标请求报文对应的目的地址为本端设备包括的出接口对应的IP地址10.10.10.1,也即目的地址为10.10.10.1;上述目标请求报文由对端设备1经过NAT网关(对应IP地址10.30.30.1)转发至公网时,上述目标请求报文的源地址变为上述NAT网关包括的出接口对应的IP地址,也即源地址变为10.30.30.1。本端设备接收到隧道1发过来的上述目标请求报文,执行IPSec解封装后,将解封装后的上述目标请求报文发送给SERVER,由SERVER进行业务处理。
当SERVER针对上述目标请求报文发送对应的目标回应报文时,也即SERVER要向PC1发送目标回应报文,本端设备需要查找到目的地址为2.2.2.2的路由。请参见图1所示,由于本端设备在IP地址为10.20.20.1对应的出接口也有到上述目的地址为2.2.2.2的路由,也即由于PC2的IP地址与PC1的IP地址以及网段相同,则本端设备有概率将本应发送PC1的上述目标回应报文,发送至10.20.20.1对应的出接口,从而导致上述目标回应报文最终被错误地发送至对端设备2,致使PC1针对已发出的上述目标请求报文无法收到对应的目标回应报文,导致业务会话失败。
在以上示出的组网架构的基础上,本申请旨在提出一种,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性的技术方案。
在实现时,本端设备保存目标请求报文对应IPSec内层会话信息,并基于所述内层会话信息中包含的所述目标请求报文的出接口,将所述目标请求报文对应的目标回应报文转发所述对端设备。
在以上方案中,通过获取及保存目标请求报文对应的内层会话信息,并基于所述内层会话信息,将所述目标请求报文对应的目标回应报文,基于所述目标请求报文的出接口转发至位于NAT后的对端设备,从而保证了多链路IPSec VPN组网下,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图2,图2是本申请一实施例提供的一种报文转发方法的流程图,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,上述方法执行以下步骤:
步骤202、接收所述对端设备的目标请求报文。
步骤204、对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口。
步骤206、基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
在本说明书中,上述IPSec对等体是指,IPSec在两个端点之间提供安全通信,上述两个端点被称为IPSec对等体,其中,上述IPSec对等体可被配置为本端设备或对端设备。
例如:图1所示的本端设备与对端设备1是IPSec对等体,本端设备与对端设备2是IPSec对等体。
在本说明书中,上述IPSec VPN组网是指,包括一个本端设备和至少两个对端设备的基于IPSec协议的VPN组网,其中,上述对端设备基于NAT与上述本端设备相连通信。
以图1所示的组网举例,上述本端设备例如为图1所示的本端设备、上述对端设备例如包括图1所示的对端设备1、对端设备2。需要说明的是,上述对端设备至少为两个,实际也可以多于两个。
在本说明书中,上述对端设备基于NAT与上述本端设备相连通信,是指上述对端设备经NAT网关设备接入公网,并可以与上述本端设备对应的出接口,经公网基于IPSec相连通信。
例如:图1所示的对端设备1(基于对应IP地址192.168.1.1的接口)、对端设备2(基于对应IP地址192.168.2.1的接口)分别经过NAT网关10.30.30.1可以接入公网,并可以与上述本端设备所包含的对应IP地址为10.10.10.1的单个接口,经公网基于IPSec相连建立隧道1、隧道2,进行通信。
在本说明书中,目标请求报文是指,由与上述对端设备连接的对应私网设备发起的,目的地址为与上述本端设备连接的对应私网设备的基于IPSec的业务请求报文。
例如:上述目标请求报文为图1所示的对端设备1连接的对应私网设备PC1要访问SERVER的业务请求报文。又例如:上述目标请求报文为图1所示的对端设备2连接的对应私网设备PC2要访问SERVER的基于IPSec的业务请求报文。
在本说明书中,上述出接口是指,报文被发出对应的网络设备的接口。比如:上述目标请求报文的出接口是指,将上述目标请求报文转发至上述NAT网关设备的上述对端设备包括的IP地址对应的接口。再比如:上述IPSec隧道对应的出接口是指,将上述目标回应报文从上述本端设备发出的上述IPSec隧道对应IP地址的对应的接口。
请参见图1所示,以上述目标请求报文为PC1访问SERVER为例,上述目标请求报文的出接口为上述对端设备1包括的IP地址为192.168.1.1的接口。
在本说明书中,上述内层会话是指,上述目标请求报文中所包含的上述私网设备的业务请求报文对应业务会话信息;其中,上述内层会话至少包括所述目标请求报文的出接口。
进一步地,在实现时,上述业务会话还可以包括上述目标请求报文对应的五元组信息(源IP、源端口、目的IP、目的端口、传输协议),在本申请不作具体限定。
在本说明书中,上述本端设备对上述目标请求报文执行IPSec解封装,并保存上述目标报文对应的内层会话。
在实现时,上述本端设备针对上述目标报文对应内层会话,可以通过内层会话表进行保存。
请参见图1所示,以上述目标请求报文为PC1、PC2分别访问SERVER为例,在上述本端设备上所保存的内层会话表,请参见表1所示例:
表1
需要说明的是,来自由对端设备(例如:对端设备1、对端设备2)的目标请求报文经过NAT网关(例如:图1所示的NAT网关,对应IP地址10.30.30.1)经公网转发至本端设备时,上述目标请求报文的源地址变为上述NAT网关包括的出接口对应的IP地址(例如:上述目标请求报文的源地址变为10.30.30.1)。由此,按现有实现方案,上述本端设备是无法获取上述对端设备的出接口。
在本说明书中,当上述目标请求报文被上述本端设备转发至与上述本端设备相连的对应的私网设备后,由上述私网设备对上述目标请求报文进行业务处理,并发送针对上述目标请求报文对应的目标回应报文给上述目标请求报文对应的与上述对端设备相连的对应的私网设备。
请参见图1所示,以上述目标请求报文为PC1、PC2分别访问SERVER的过程继续举例,如图1所示的本端设备需要分别将来自PC1、PC2的目标请求报文对应的目标回应报文,发送给PC1、PC2。
在本说明书中,上述内层会话还包括上述目标请求报文对应的IPSec隧道。
请参见图1所示,以上述目标请求报文为PC1、PC2分别访问SERVER为例,在上述本端设备上所保存的内层会话表,请参见表2所示例:
表2
如表2所示,在上述本端设备上所保存的内层会话表还包括上述内存对话对应的IPSec隧道:隧道1、隧道2。
在本说明书中,上述IPSec隧道对应的出接口是指,上述目标回应报文在上述本端设备上与上述IPSec隧道对应IP地址的对应的接口。
例如:请参加图1所示,隧道1对应的出接口是上述本端设备对应IP地址10.10.10.1对应的接口;隧道2对应的出接口是上述本端设备对应IP地址10.20.20.1对应的接口。
在本说明书中,基于上述内层会话,上述本端设备将上述目标请求报文对应的目标回应报文转发至上述对端设备。
在实现时,上述本端设备对上述目标回应报文执行IPSec封装;并将封装后的目标回应报文经由上述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。
请参见图1所示,以上述目标请求报文为PC1、PC2分别访问SERVER的过程继续举例,基于如表2所示的内层业务会话表,上述本端设备将来自PC1、PC2的目标请求报文对应的目标回应报文,经NAT网关(10.30.30.1),转发至对端设备1、对端设备2;并分别基于本端设备(基于对应IP地址10.10.10.1的接口)、本端设备(基于对应IP地址10.20.20.1的接口),转给PC1以及PC2。
需要说明的是,在基于如图1所示的组网中,上述本端设备与上述对端设备之间存在单条链路。例如:如图1所示的本端设备与对端设备1之间存在单条链路。在实现时,上述本端设备与上述对端设备之间也可以存在多条链路。
请参见图3,图3是本说明书一实施例提供的另一种多链路的IPSec VPN的系统组网图。
如图3所示的对端设备1所包含的接口为两个,即对端设备1包括对应IP地址192.168.1.1的接口、对应IP地址192.168.3.1的接口,对端设备1通过上述两个接口作为出接口,向本端设备发送上述目标请求报文;其中,针对本端设备的单个接口,与对端设备1的多个接口建立多条链路,也即,对端设备1可以基于对应IP地址192.168.1.1的接口、以及对应IP地址192.168.3.1的接口,与本端设备分别建立IPSec隧道:隧道1、隧道2。
在示出的一种实施方式中,上述本端设备与上述对端设备之间若存在多链路时,上述对端设备可以基于多链路对应的不同出接口,将上述目标请求报文发送至上述本端设备。
在实现时,当上述IPSec对等体为上述对端设备,并且上述对端设备向上述本端设备发送上述目标请求报文时,上述对端设备基于上述对端设备与多链路对应的不同出接口带宽,动态配置上述目标请求报文对应上述不同出接口的发送权重;基于上述不同出接口的发送权重,将上述目标请求报文经上述多链路对应的不同出接口,发送至上述本端设备。
上述对端设备基于多个出接口,按权重向上述本端设备,发送上述目标请求报文,可以减轻单条IPSec隧道的流量压力。
以图3所示的组网为例,对端设备1可以基于对应IP地址192.168.1.1的出接口、以及对应IP地址192.168.3.1的出接口,与本端设备分别建立IPSec隧道。对端设备1可以实时获取上述不同出接口的剩余带宽,并依据不同出接口的剩余带宽按预设策略,动态配置上述目标请求报文对应上述不同出接口的发送权重,比如:可以基于不同出接口的剩余带宽,按比例进行分配发送权重,具体权重配置策略,在本申请中不作具体限定。
需要说明的是,上述对端设备基于多个出接口按权重向上述本端设备,发送上述目标请求报文可以应用在如图3所示的有NAT网关的IPSec VPN组网,也可以用于没有NAT网关的IPSec VPN组网。
在以上技术方案中,上述本端设备通过获取及保存目标请求报文对应的内层会话信息,并基于所述内层会话信息,将所述目标请求报文对应的目标回应报文,基于所述目标请求报文的出接口转发至位于NAT后的对端设备,从而保证了多链路IPSec VPN组网下,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。
图4是本申请一示例性实施例提供的一种报文转发装置的框图。与上述方法实施例相对应,本申请还提供了一种报文转发装置的实施例,所述装置应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,请参考图4所示例的一种报文转发装置40,所述装置包括:
接收模块401,接收所述对端设备的目标请求报文;
会话模块402,对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;
转发模块403,基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
在本说明实施例中,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述转发模块403进一步:
对所述目标回应报文执行IPSec封装;
将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。
在本说明实施例中,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,所述转发模块403进一步:
基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;
基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的系统、装置、模块或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本申请的报文转发装置的实施例可以应用在图5所示的电子设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将机器可读存储介质中对应的计算机程序指令读取后运行形成的机器可执行指令。从硬件层面而言,如图5所示,为本申请的报文转发装置所在电子设备的一种硬件结构图,除了图5所示的处理器、通信接口、总线以及机器可读存储介质之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
对应地,本申请实施例还提供了图4所示装置的一种电子设备的硬件结构,请参见图5,图5为本申请实施例提供的一种电子设备的硬件结构示意图。该设备包含:通信接口501、处理器502、机器可读存储介质503和总线504;其中,通信接口501、处理器502、机器可读存储介质503通过总线504完成相互间的通信。其中,通信接口501,用于进行网络通信。处理器502可以是一个中央处理器(CPU),处理器502可以执行机器可读存储介质503中存储的机器可读指令,以实现以上描述的方法。
本文中提到的机器可读存储介质503可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质503可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图5所示的硬件结构描述。
此外,本申请实施例还提供了一种包括机器可执行指令的机器可读存储介质,例如图5中的机器可读机器可读存储介质503,所述机器可执行指令可由数据处理装置中的处理器502执行以实现以上描述的数据处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种报文转发方法,其特征在于,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述方法包括:
接收所述对端设备的目标请求报文;
对所述目标请求报文执行IPSec解封装,并保存所述目标请求报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;
基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
2.根据权利要求1所述的方法,其特征在于,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备,包括:
对所述目标回应报文执行IPSec封装;
将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。
3.根据权利要求1所述的方法,其特征在于,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,包括:
基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;
基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。
4.一种报文转发装置,其特征在于,所述装置应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述装置包括:
接收模块,接收所述对端设备的目标请求报文;
会话模块,对所述目标请求报文执行IPSec解封装,并保存所述目标请求报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;
转发模块,基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
5.根据权利要求4所述的装置,其特征在于,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述转发模块进一步:
对所述目标回应报文执行IPSec封装;
将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。
6.根据权利要求4所述的装置,其特征在于,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,所述转发模块进一步:
基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;
基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。
7.一种电子设备,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至3任一项所述的方法。
8.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现权利要求1至3任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910271520.9A CN110086702B (zh) | 2019-04-04 | 2019-04-04 | 报文转发方法、装置、电子设备及机器可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910271520.9A CN110086702B (zh) | 2019-04-04 | 2019-04-04 | 报文转发方法、装置、电子设备及机器可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110086702A CN110086702A (zh) | 2019-08-02 |
| CN110086702B true CN110086702B (zh) | 2021-09-21 |
Family
ID=67414355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910271520.9A Active CN110086702B (zh) | 2019-04-04 | 2019-04-04 | 报文转发方法、装置、电子设备及机器可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110086702B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935243B (zh) * | 2020-07-17 | 2023-06-30 | 杭州海康机器人股份有限公司 | 一种数据信息的传输方法、装置、系统及设备 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471275A (zh) * | 2002-07-23 | 2004-01-28 | ��Ϊ��������˾ | 用虚拟路由器构建的企业外部虚拟专网系统及方法 |
| US6886103B1 (en) * | 1999-10-28 | 2005-04-26 | Lucent Technologies Inc. | Method and apparatus for extending network address translation for unsupported protocols |
| CN101043411A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 混合网络中实现移动vpn的方法及系统 |
| CN101087258A (zh) * | 2007-08-01 | 2007-12-12 | 杭州华三通信技术有限公司 | 一种跨虚拟私有网络访问直联设备的方法及装置 |
| CN101252509A (zh) * | 2007-02-21 | 2008-08-27 | 华耀环宇科技有限公司 | 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法 |
| CN101394361A (zh) * | 2008-11-10 | 2009-03-25 | 杭州华三通信技术有限公司 | 报文传输方法、设备和系统 |
| US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| CN102546433A (zh) * | 2012-02-10 | 2012-07-04 | 中兴通讯股份有限公司 | 基于mpls vpn的数据转发方法和边缘设备 |
| CN102624935A (zh) * | 2011-01-26 | 2012-08-01 | 华为技术有限公司 | 一种转发报文的方法,装置和系统 |
| CN102946352A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的NAT转换表项管理方法和设备 |
| CN103139189A (zh) * | 2011-12-05 | 2013-06-05 | 京信通信系统(中国)有限公司 | 一种IPSec隧道共用方法、系统及设备 |
| CN105072213A (zh) * | 2015-08-28 | 2015-11-18 | 迈普通信技术股份有限公司 | 一种IPSec NAT双向穿越方法、系统及VPN网关 |
| CN107306198A (zh) * | 2016-04-20 | 2017-10-31 | 华为技术有限公司 | 报文转发方法、设备和系统 |
| CN109361590A (zh) * | 2018-12-25 | 2019-02-19 | 杭州迪普科技股份有限公司 | 一种解决业务访问不通的方法和装置 |
-
2019
- 2019-04-04 CN CN201910271520.9A patent/CN110086702B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6886103B1 (en) * | 1999-10-28 | 2005-04-26 | Lucent Technologies Inc. | Method and apparatus for extending network address translation for unsupported protocols |
| US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| CN1471275A (zh) * | 2002-07-23 | 2004-01-28 | ��Ϊ��������˾ | 用虚拟路由器构建的企业外部虚拟专网系统及方法 |
| CN101043411A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 混合网络中实现移动vpn的方法及系统 |
| CN101252509A (zh) * | 2007-02-21 | 2008-08-27 | 华耀环宇科技有限公司 | 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法 |
| CN101087258A (zh) * | 2007-08-01 | 2007-12-12 | 杭州华三通信技术有限公司 | 一种跨虚拟私有网络访问直联设备的方法及装置 |
| CN101394361A (zh) * | 2008-11-10 | 2009-03-25 | 杭州华三通信技术有限公司 | 报文传输方法、设备和系统 |
| CN102624935A (zh) * | 2011-01-26 | 2012-08-01 | 华为技术有限公司 | 一种转发报文的方法,装置和系统 |
| CN103139189A (zh) * | 2011-12-05 | 2013-06-05 | 京信通信系统(中国)有限公司 | 一种IPSec隧道共用方法、系统及设备 |
| CN102546433A (zh) * | 2012-02-10 | 2012-07-04 | 中兴通讯股份有限公司 | 基于mpls vpn的数据转发方法和边缘设备 |
| CN102946352A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的NAT转换表项管理方法和设备 |
| CN105072213A (zh) * | 2015-08-28 | 2015-11-18 | 迈普通信技术股份有限公司 | 一种IPSec NAT双向穿越方法、系统及VPN网关 |
| CN107306198A (zh) * | 2016-04-20 | 2017-10-31 | 华为技术有限公司 | 报文转发方法、设备和系统 |
| CN109361590A (zh) * | 2018-12-25 | 2019-02-19 | 杭州迪普科技股份有限公司 | 一种解决业务访问不通的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110086702A (zh) | 2019-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10079803B2 (en) | Peer-to-peer connection establishment using TURN | |
| US10938884B1 (en) | Origin server cloaking using virtual private cloud network environments | |
| CN110191031B (zh) | 网络资源访问方法、装置、电子设备 | |
| US11546444B2 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
| US7159109B2 (en) | Method and apparatus to manage address translation for secure connections | |
| CN107948076B (zh) | 一种转发报文的方法及装置 | |
| US10341357B2 (en) | Selectively performing man in the middle decryption | |
| US9860156B2 (en) | Accessing local network resources in a multi-interface system | |
| TWI549452B (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
| US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
| US10506082B2 (en) | High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client | |
| CN110505244B (zh) | 远程隧道访问技术网关以及服务器 | |
| CN112997463A (zh) | 用于跨公用互联网的服务器集群网络通信的系统和方法 | |
| US20230179522A1 (en) | Executing workloads across multiple cloud service providers | |
| US20190253393A1 (en) | Multi-access interface for internet protocol security | |
| CN111787025A (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
| CN109905310B (zh) | 数据传输方法、装置、电子设备 | |
| US9088542B2 (en) | Firewall traversal driven by proximity | |
| CN111131539A (zh) | 报文转发方法及装置 | |
| CN111130978B (zh) | 网络流量转发方法、装置、电子设备及机器可读存储介质 | |
| CN110086702B (zh) | 报文转发方法、装置、电子设备及机器可读存储介质 | |
| US20220141080A1 (en) | Availability-enhancing gateways for network traffic in virtualized computing environments | |
| US11818104B2 (en) | Anonymous proxying | |
| US10938778B2 (en) | Route reply back interface for cloud internal communication | |
| CN109617922B (zh) | Vpn保护网段冲突的处理方法、装置、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |