CN117544448A - 网络分流方法、装置及存储介质 - Google Patents

Abstract

本申请提供一种网络分流方法、装置及存储介质，涉及通信技术领域，能够解决内外网终端互传数据时，由于消耗大量网络资源造成网络拥塞的问题。该方法应用于虚拟专用网络VPN系统，该VPN系统包括用户面功能UPF、分流网关和多个内网VPN网关，UPF包括多个互联网VPN网关，该方法包括：在VPN系统中引入分流网关，将VPN隧道分为左侧VPN隧道和右侧VPN隧道两级，并将内网地址信息、互联网VPN网关信息、左侧VPN隧道信息、右侧VPN隧道信息绑定至互联网用户设备UE发送的访问数据包，然后UPF根据上述访问数据包绑定的各个信息，将互联网UE发送的访问数据包精准发送至内网终端。本申请实施例用于多个互联网用户与多个内网用户互相访问数据资源的过程中。

Description

网络分流方法、装置及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种网络分流方法、装置及存储介质。

背景技术

随着互联网技术飞速发展以及网络互连的范围越来越广泛，外网用户通过互联网访问企业内网资源的需求不断增多。

现有技术中，在针对外网用户需要访问企业内网资源时，是通过在互联网虚拟专用网络(Virtual Private Network，VPN)网关与企业内网VPN网关之间建立一个专用VPN隧道，当互联网VPN网关接收到外网用户的访问请求时，根据该访问请求中包括的企业内网资源地址，将该访问请求通过专用VPN隧道发送至企业内网VPN网关，然后该企业内网VPN网关再根据该访问请求中包括的企业内网资源地址，将该访问请求发送至企业内网资源地址对应的终端，以建立外网用户与企业内网的连接。

然而，上述方法，在面对多个企业内网或多个互联网终端时，需要为每个企业内网均开通一个专用VPN隧道，而开通大量VPN隧道会导致网络资源的消耗量过大，可能造成网络拥塞。

发明内容

本申请提供一种网络分流方法、装置及存储介质，能够解决内外网终端互传数据时，由于消耗大量网络资源造成网络拥塞的问题。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种网络分流方法，应用于VPN系统，该VP N系统包括用户面功能(User Plane Function，UPF)、分流网关和多个内网VPN网关，上述UPF包括多个互联网VPN网关，上述方法包括：UPF在接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网用户设备(User Equipment，UE)发送的数据包，目标互联网VPN网关在接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，该分流网关在接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网V PN网关信息对应的目标内网VPN网关，该目标内网VPN网关将上述访问数据包发送至该目标内网VPN网关对应的内网终端。

基于上述技术方案，本申请实施例提供的网络分流方法，应用于虚拟专用网络VPN系统，该VPN系统包括用户面功能UPF、分流网关和多个内网VPN网关，UPF包括多个互联网VPN网关，UPF在接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网UE发送的数据包，目标互联网VPN网关在接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，该分流网关在接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，该目标内网VPN网关将上述访问数据包发送至该目标内网VPN网关对应的内网终端。由于上述分流网关可以将VPN隧道分为左侧VPN隧道和右侧VPN隧道两级，使得UPF可以根据上述访问数据包绑定的各个信息，将互联网UE发送的访问数据包精准发送至内网终端，而无需为每个内网终端均开通专用VPN隧道，减少了网络资源消耗，避免造成网络拥塞。

在第一方面的第一种可能的实现方式中，上述内网VPN网关信息包括内网统一资源定位符(Uniform Resource Locator，URL)或内网网际互联协议(Internet Protocol，IP)地址，该内网IP地址包括内网标识，上述分流网关在接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将上述访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，包括：在内网VPN网关信息为内网URL的情况下，将访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述URL对应的目标内网VPN网关；在内网VPN网关信息为内网IP地址的情况下，将访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网标识对应的目标内网VPN网关。

在第一方面的第二种可能的实现方式中，上述方法还包括：分流网关将上述目标右侧VPN隧道与上述内网URL或上述内网标识绑定，生成并保存第一绑定信息。

在第一方面的第三种可能的实现方式中，上述方法还包括：UPF根据上述互联网UE与上述内网终端之间的签约信息，获取上述内网标识；UPF将该内网标识发送至上述分流网关。

在第一方面的第四种可能的实现方式中，上述将访问数据包发送至上述目标内网VPN网关对应的内网终端之后，上述方法还包括：目标内网VPN网关在接收到的响应数据包包括互联网UE地址信息和右侧VPN隧道信息的情况下，将该响应数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述分流网关，上述响应数据包为内网终端响应于上述访问数据包发送的数据包，分流网关在接收到的响应数据包包括左侧VPN隧道信息和互联网UE IP地址的情况下，将该响应数据包通过上述左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述互联网UE IP地址对应的目标互联网VPN网关，该目标互联网VPN网关将上述响应数据包发送至目标互联网VPN网关对应的内网终端。

在第一方面的第五种可能的实现方式中，上述方法还包括：分流网关将上述目标左侧VPN隧道与上述互联网UE IP地址绑定，生成并保存第二绑定信息。

第二方面，本申请提供一种网络分流装置，应用于VPN系统，该VPN系统包括UPF、分流网关和多个内网VPN网关，UPF包括多个互联网VPN网关，上述装置包括：第一确定单元和第一发送单元，其中：上述第一确定单元，用于在UPF接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网UE发送的数据包，上述第一确定单元，还用于在目标互联网VPN网关接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，上述第一确定单元，还用于在分流网关接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，上述第一发送单元，用于将上述访问数据包发送至上述目标内网VPN网关对应的内网终端。

在第二方面的第一种可能的实现方式中，上述内网VPN网关信息包括内网URL或内网IP地址，该内网IP地址包括内网标识，上述第一确定单元，具体用于：在内网VPN网关信息为内网URL的情况下，将访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述URL对应的目标内网VPN网关；在内网VPN网关信息为内网IP地址的情况下，将访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网标识对应的目标内网VPN网关。

在第二方面的第二种可能的实现方式中，上述装置还包括：处理单元，其中：上述处理单元，用于将上述目标右侧VPN隧道与上述URL或上述内网标识绑定，生成并保存第一绑定信息。

在第二方面的第三种可能的实现方式中，上述装置还包括：获取单元，其中：上述获取单元，用于根据上述互联网UE与上述内网终端之间的签约信息，获取上述内网标识，上述第一发送单元，还用于将获取单元获取的该内网标识发送至上述分流网关。

在第二方面的第四种可能的实现方式中，上述装置还包括：第二确定单元和第二发送单元，其中：上述第二确定单元，用于在目标内网VPN网关接收到的响应数据包包括互联网UE地址信息和右侧VPN隧道信息的情况下，将该响应数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述分流网关，上述响应数据包为内网终端响应于上述访问数据包发送的数据包，上述第二确定单元，还用于在分流网关接收到的响应数据包包括左侧VPN隧道信息和互联网UE IP地址的情况下，将该响应数据包通过上述左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述互联网UE IP地址对应的目标互联网VPN网关，上述第二发送单元，用于将响应数据包发送至上述目标互联网VPN网关对应的互联网UE。

在第二方面的第五种可能的实现方式中，上述处理单元，还用于上述目标左侧VPN隧道与上述互联网UE IP地址绑定，生成并保存第二绑定信息。

第三方面，本申请提供了一种网络分流装置，该装置包括：处理器和通信接口；通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现如第一方面和第一方面的任一种可能的实现方式中所描述的网络分流方法。

第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当指令在终端上运行时，使得终端执行如第一方面和第一方面的任一种可能的实现方式中描述的网络分流方法。

第五方面，本申请实施例提供一种包含指令的计算机程序产品，当计算机程序产品在网络分流装置上运行时，使得网络分流装置执行如第一方面和第一方面的任一种可能的实现方式中所描述的网络分流方法。

第六方面，本申请实施例提供一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现如第一方面和第一方面的任一种可能的实现方式中所描述的网络分流方法。

具体的，本申请实施例中提供的芯片还包括存储器，用于存储计算机程序或指令。

附图说明

图1为相关技术中的一种单VPN隧道结构图；

图2为相关技术中的一种多VPN隧道结构图；

图3为本申请实施例提供的一种网络分流方法所应用的VPN系统架构图；

图4为本申请实施例提供的一种网络分流方法的方法流程图之一；

图5为本申请实施例提供的一种分流网关内部结构示意图；

图6为本申请实施例提供的一种网络分流方法的方法流程图之二；

图7为本申请实施例提供的一种网络分流方法的方法流程图之三；

图8为本申请实施例提供的一种用户会话建立流程图；

图9为本申请实施例提供的一种网络分流方法的方法流程图之四；

图10为本申请实施例提供的一种网络分流装置的结构示意图之一；

图11为本申请实施例提供的一种网络分流装置的结构示意图之二；

图12为本申请实施例提供的一种网络分流装置的结构示意图之三；

图13为本申请实施例提供的一种网络分流装置的结构示意图之四；

图14为本申请实施例提供的另一种网络分流装置的结构示意图。

具体实施方式

下面结合附图对本申请实施例提供的网络分流方法、装置及存储介质进行详细地描述。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本申请的描述中，除非另有说明，“多个”的含义是指两个或两个以上。

以下对本申请实施例涉及的专有名词进行解释说明：

①接入和移动性管理功能(Access and Mobility Management Function，AMF)，其用于执行注册、连接、可达性、移动性管理。

②会话管理功能(Session Management function，SMF)，其负责隧道维护、IP地址分配和管理、策略实施、计费数据采集、漫游等。

③用户面功能(User Plane Function，UPF)，其主要负责核心网用户面数据包的路由和转发相关功能。

④统一数据管理功能(Unified Data Management，UDM)，其负责用户识别、访问授权、注册、移动、订阅、短信管理等。

⑤虚拟专用网络(Virtual Private Network，VPN)，其可以通过特殊的加密的通讯协议在连接在互联网上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。

⑥统一资源定位符(Uniform Resource Locator，URL)，其用来指出信息的所在位置及存取方式的。互联网上的每个文件都有一个唯一的URL，它包含的信息指出文件的位置以及浏览器应该怎么处理它。

⑦协议数据单元(Protocol Data Unit，PDU)，其是协议发送数据的基本单位。

⑧数据网络名称(Data Network Name，DNN)，其用于区分不同数据网络的接入。

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

图1为相关技术中的一种单VPN隧道结构图。通常情况下，VPN网关采取双网卡结构。如图1所示，以网络一：互联网(Internet)的UE A访问网络二(公司内网)的UE B为例。其是通过如下步骤1)至步骤5)实现外网终端访问内网终端资源。

1)网络一的UE A访问网络二的UE B，其发出的访问数据包的目标地址为UE B的内部IP地址。

2)网络一的VPN网关1在接收到UE A发出的访问数据包时，对其目标地址进行检查，若目标地址属于网络二的地址，则将该访问数据包进行封装，并将封装后的访问数据包作为VPN数据包的负载，此时，该VPN数据包的目标地址为网络二的VPN网关2的外部地址。

3)网络一的VPN网关1将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关2的外部地址，所以该VPN数据包将被Internet中的路由正确地发送到网络二的VPN网关2。

4)网络二的VPN网关2对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关1发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。

5)网络二的VPN网关2将解包后的访问数据包发送至UE B，由于访问数据包的目标地址是UE B的IP地址，所以该访问数据包能够被正确地发送到UE B。并且，在UE B看来，它收到的数据包就和从终端A直接发过来的一样。相当于在VPN网关1和VPN网关2之间建立了一条虚拟的VPN专线。

由上述步骤1)至步骤5)可知，VPN网关1需要首先确定UE A发出的访问数据包的目标地址(即UE B的内网IP地址)为网络二的地址段，才能将访问数据包重新封装，并添加VPN网关2的公网地址为封装后的访问数据包的目标IP地址，后续才能正确路由。但实际使用中，内网IP地址有可能是相互冲突的，即不同公司内网的IP地址是相同的。

示例性地，若VPN网关1同时对应属于不同公司内网的多个VPN网关2，此时，VPN网关1可能无法区分收到的访问数据包中的目的地址属于哪个企业网的内网IP，因此，会导致无法正确将访问数据包发送至公司内网对应的VPN网关2。反之，VPN网关2要发往VPN网关1的过程中，也需要识别UE A的地址，从而判断要发送到哪个VPN网关1，但若UE A的IP地址也存在冲突，则数据包也不能正常转发。

因此，传统的VPN网关1和VPN网关2只能一一对应，VPN网关1会默认将自己收到的全部数据包都发送给VPN网关2，反之亦然。

图2为相关技术中的一种多VPN隧道结构图。如图2所示，UPF会内置VPN网关的功能，UPF根据不同的DNN将UE的访问数据包发送到自己内部不同的互联网VPN网关，如VPN网关A，若VPN网关识别到访问数据包中的目的IP地址为公司a网的内网IP，则将该访问数据包发送到VPN网关a，再送往公司网a。

然而，上述方案由于考虑到IP地址冲突的问题，一个VPN只能对应一个内网，若网络中有多个内网，只能每个内网都开启一条VPN通道，需要一个独立的DNN，这对于DNN数量的要求，以及网络资源的消耗都太大，可能造成网络拥塞。

为了解决现有技术中，内外网终端互传数据时，由于消耗大量网络资源造成网络拥塞的问题，本申请提供了一种网络分流方法，应用于虚拟专用网络VPN系统，该VPN系统包括用户面功能UPF、分流网关和多个内网VPN网关；UPF包括多个互联网VPN网关，UPF在接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网UE发送的数据包，目标互联网VPN网关在接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，该分流网关在接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，该目标内网VPN网关将上述访问数据包发送至该目标内网VPN网关对应的内网终端。由于上述分流网关可以将VPN隧道分为左侧VPN隧道和右侧VPN隧道两级，使得UPF可以根据上述访问数据包绑定的各个信息，将互联网UE发送的访问数据包精准发送至内网终端，而无需为每个内网终端均开通专用VPN隧道，减少了网络资源消耗，避免造成网络拥塞。

如图3所示，为本申请实施例提供的网络分流方法所应用的VPN系统架构图。该VPN系统可以包括：SMF、UPF1、UPF2、分流网关A、分流网关B、VPN网关a、VPN网关b、VPN网关c，VPN网关a对应公司网a，VPN网关b对应公司网b，VPN网关c对应公司网c，UPF1包括VPN网关A、VPN网关B，UPF2包括VPN网关A1、VPN网关B1。

其中，上述SMF用于选择将UE发送的访问数据包发送至UPF1或UPF2；上述UPF1用于选择将UE发送的访问数据包发送至VPN网关A或VPN网关B，上述UPF2用于将访问数据包发送至VPN网关A1或VPN网关B2；上述VPN网关A、VPN网关B、VPN网关A1和VPN网关B2均用于将访问数据包发送至分流网关A或分流网关B；上述分流网关A和分流网关B均用于将访问数据包发送至VPN网关a、VPN网关b或VPN网关c。

示例性地，UPF1接收UE发送的访问数据包，在访问数据包包括VPN网关B信息的情况下，将访问数据包发送至VPN网关B，VPN网关B在访问数据包包括分流网关A信息的情况下，将访问数据包发送至分流网关A，分流网关A在访问数据包包括VPN网关b信息的情况下，将访问数据包发送至VPN网关b，再发送至公司网b。

如图4所示，为本申请实施例提供的网络分流方法的流程图，该方法包括以下步骤S101至步骤S104：

S101、UPF在接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将访问数据包发送至互联网VPN网关信息对应的目标互联网VPN网关。

在本申请实施例中，上述访问数据包为互联网UE发送的数据包。

在本申请实施例中，上述访问数据包用于获取内网数据资源。

在本申请实施例中，上述内网地址信息是指，上述UE互联网发送的访问数据包的最终发送地址为与互联网UE所处网络不同的地址信息。

示例性地，上述内网地址可以为公司网络地址、企业网络地址、校园网络地址等。

在本申请实施例中，上述互联网VPN网关信息用于指示上述访问数据包绑定的互联网VPN网关。

示例性地，在UPF接收到的访问数据包的最终发送地址为内网地址，且该访问数据包绑定有指定的目标互联网VPN网关的情况下，将该访问数据包发送至该目标互联网VPN网关。

S102、目标互联网VPN网关在接收到的访问数据包包括左侧VPN隧道信息的情况下，将访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至分流网关。

在本申请实施例中，上述左侧VPN隧道信息用于指示上述访问数据包绑定的左侧VPN隧道。

示例性地，上述将访问数据包发送至目标互联网VPN网关后，在目标互联网VPN网关接收到的访问数据包绑定有指定的目标左侧VPN隧道的情况下，将该访问数据包经过指定的目标左侧VPN隧道发送至分流网关。

S103、分流网关在接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至内网VPN网关信息对应的目标内网VPN网关。

在本申请实施例中，上述分流网关用于将VPN隧道分为两部分，实现VPN隧道的二级串联。

示例性地，上述分流网关可以将VPN隧道分为左侧VPN隧道和右侧VPN隧道。

示例性地，上述左侧VPN隧道与上述互联网VPN网关连接；上述右侧VPN隧道与上述内网VPN网关连接。

在本申请实施例中，上述右侧VPN隧道信息用于指示上述访问数据包绑定的右侧VPN隧道。

在本申请实施例中，上述内网VPN网关信息用于指示上述访问数据包绑定的内网VPN网关。

示例性地，上述将访问数据包发送至分流网关后，在分流网关接收到的访问数据包绑定有指定的目标右侧VPN隧道，以及指定的内网VPN网关的情况下，将该访问数据包经过指定的目标右侧VPN隧道发送至指定的内网VPN网关。

以下对本申请实施例提及的分流网关的内部结构进行解释说明：

在本申请实施例中，如图5所示，上述分流网关包括：左侧隧道绑定单元和右侧隧道绑定单元。

示例性地，上述左侧隧道绑定单元，用于将UE的IP地址与左侧VPN隧道的接口绑定。

示例性地，上述右侧隧道绑定单元，用于公司网信息与右侧VPN隧道的接口绑定。

在本申请实施例中，上述左侧隧道绑定单元包括：UE地址提取单元、左侧隧道列表存储单元和UE IP地址映射单元。

示例性地，上述UE地址提取单元，用于根据预先配置好的条件，提取接收到的UE发送的访问数据包中的UE的IP地址。

示例性地，上述左侧隧道列表存储单元，用于将UE地址提取单元提取到的UE的IP地址，以及接收到访问数据包的左侧隧道接口的对应关系进行存储。

示例性地，上述UE IP地址映射单元，用于根据UE的IP地址以及接收访问数据包的左侧隧道，根据内部的映射规则完成UE IP地址的映射。例如：对于UE发往公司网的访问数据包，将包含的目标地址替换为公司网的IP地址；对于公司网返回给UE的响应数据包，将包含的目标地址替换为UE的IP地址。

在本申请实施例中，上述右侧隧道绑定单元包括：业务信息配置单元、URL信息提取单元、URL与隧道绑定列表单元、公司网标识与隧道绑定列表单元、UE IP及公司网标识存储单元和UE IP与隧道绑定列表单元。

示例性地，上述业务信息配置单元，用于接收公司网的URL与右侧VPN隧道的绑定关系，或者公司网标识与右侧VPN隧道的绑定关系。

示例性地，上述URL信息提取单元，用于从访问数据包中提取要访问的公司网的URL。

示例性地，上述URL与隧道绑定列表单元，用于存储业务信息配置单元接收的公司网URL与右侧VPN隧道的绑定关系。

示例性地，上述公司网标识与隧道绑定列表单元，用于存储业务信息配置单元接收的公司网标识与右侧VPN隧道的绑定关系。

示例性地，上述UE IP及公司网标识存储单元，用于存储UPF与分流网关之间创建VPN隧道后，分流网关接收的UE IP及公司网标识。

示例性地，上述UE IP与隧道绑定列表单元，用于根据UE IP及公司网标识存储单元和公司网标识与隧道列表单元存储的信息，生成并存储UE IP与隧道绑定列表。

进一步可选地，在本申请实施例中，上述内网VPN网关信息包括内网URL或内网IP地址，该内网IP地址包括内网标识，如图6所示，上述步骤S103可以包括如下步骤S103a和步骤S103b：

S103a、在内网VPN网关信息为URL的情况下，将访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至URL对应的目标内网VPN网关。

在本申请实施例中，若访问数据包包含URL，由于URL的唯一性，一个URL对应一个内网VPN网关，因此不同内网的URL不存在冲突的问题。

示例性地，在上述访问数据包绑定有URL的情况下，分流网关通过查询URL与内网VPN网关的对应关系，将访问数据包发送至该URL对应的目标内网VPN网关。

S103b、在内网VPN网关信息为内网IP地址的情况下，将访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至内网标识对应的目标内网VPN网关。

在本申请实施例中，上述内网标识为内网对应的唯一标识，一个内网对应一个内网标识。

在本申请实施例中，若访问数据包包含内网IP地址，由于内网IP地址是内网自己分配的，因此可能会出现不同内网IP地址冲突的问题。

示例性地，在上述访问数据包绑定有内网IP地址的情况下，分流网关可以根据内网IP地址包括的内网标识，将访问数据包发送至该内网标识对应的目标内网VPN网关。

如此，通过将具有唯一性地内网URL或内网标识绑定至访问数据包，使得后续在传输访问数据包时，可以精确将访问数据包发送至正确的内网终端。

S104、目标内网VPN网关将访问数据包发送至目标内网VPN网关对应的内网终端。

在本申请实施例中，一个内网VPN网关绑定一个内网终端。

在本申请实施例提供的网络分流方法中，该方法应用于虚拟专用网络VPN系统，该VPN系统包括UPF、分流网关和多个内网VPN网关；UPF包括多个互联网VPN网关，UPF在接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网UE发送的数据包，目标互联网VPN网关在接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，该分流网关在接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，该目标内网VPN网关将上述访问数据包发送至该目标内网VPN网关对应的内网终端。由于上述分流网关可以将VPN隧道分为左侧VPN隧道和右侧VPN隧道两级，使得UPF可以根据上述访问数据包绑定的各个信息，将互联网UE发送的访问数据包精准发送至内网终端，而无需为每个内网终端均开通专用VPN隧道，减少了网络资源消耗，避免造成网络拥塞。

可选地，在本申请实施例中，结合上述步骤S103b，本申请实施例提供的网络分流方法还可以包括如下步骤S201：

S201、分流网关将目标右侧VPN隧道与内网URL或内网标识绑定，生成并保存第一绑定信息。

在本申请实施例中，上述生成并保存第一绑定信息的具体步骤可以参照上述对分流网关的内部结构进行解释说明的部分。

示例性地，上述分流网关的URL与隧道绑定列表单元，以及公司网标识与隧道绑定列表单元可以执行上述步骤S201。

如此，通过将发送访问数据包的右侧VPN隧道与内网URL，以及将发送访问数据包的右侧VPN隧道与内网标识绑定，使得后续再次访问内网资源数据时，直接通过绑定的右侧VPN隧道进行传输，提高了访问资源的效率。

可选地，在本申请实施例中，结合上述步骤S201，如图7所示，本申请实施例提供的网络分流方法还可以包括如下步骤S301和步骤S302：

S301、UPF根据联网UE与内网终端之间的签约信息，获取内网标识。

在本申请实施例中，上述签约信息中包含用户注册时签约的内网标识。

S302、UPF将内网标识发送至分流网关。

在本申请实施例中，在获取到上述内网标识后，需要将该内网标识保存至分流网关，以供后续分流网关根据内网标识，将访问数据包的发送至正确地址。

示例性地，如图8所示，上述获取签约信息可以通过如下步骤1至步骤16实现：

1、UE正常发起PDU会话建立请求。

示例性地，UE通过默认DNN发送PDU会话建立请求。

2、AMF将默认DNN替换为专用DNN，并进行SMF选择。

示例性地，上述专用DNN为用户注册时从UDM获取的DNN。

3、AMF向SMF发送创建上下文请求。

4、SMF向UDM进行注册。

示例性地，SMF向UDM获取用户签约信息、订阅签约信息改变通知等。

5、UDM查询用户签约时的签约公司网，并下发公司网标识。

示例性地，上述公司网标识即为上述内网标识。

6、UDM向SMF返回查询到的签约信息。

示例性地，上述签约信息包含公司网标识。

7、SMF向AMF返回创建上下文响应。

8、进行PDU会话鉴权。

9、SMF进行UPF选择。

10、SMF为UE创建N4会话，并向UPF下发公司网标识。

此外，SMF还需要将专用DNN也下发至UPF。

11、UPF分配UE IP地址，并根据专用DNN信息，确定VPN隧道入口。

示例性地，上述VPN隧道入口即为UPF内部设置的VPN网关接口。

12、UPF将UE IP地址和公司网标识发送至分流网关。

示例性地，通过选定的VPN隧道入口，与分流网关创建VPN隧道，并将UE IP地址以及公司网标识通过VPN隧道发送给分流网关。

13、分流网关记录UE IP地址及公司网标识。

示例性地，上述记录消息后，可以依据UE IP地址及公司网标识转发该公司网的数据包。

14、分流网关返回响应信息。

示例性地，上述响应信息用于指示分流网关记录成功。

15、UPF返回响应信息。

示例性地，上述响应信息用于指示UPF接收到公司网标识。

16、后续标准会话建立标准流程。

示例性地，结合图3，在建立PDU会话之后，UE发送给分流网关的访问数据包即可正常转发。例如：UE A签约的公司网a，UE B签约了公司网b，则UPF发送给分流网关的访问数据包中，分别增加公司网a的标识及公司网b的标识；分流网关收到访问数据包后，发现目的地址的IP地址是相同的(如均为IP1)，但由于UE A发来的访问数据包中包含公司网a的标识，则分流网关记录UE A的源IP地址以及目的IP地址IP1与公司网a的VPN网关a的对应关系，后续用户A发送的目的IP为IP1的访问数据包均会发送到VPN网关a。同理，对于UE B发送的访问数据包做同样的操作，则UE B发来的目的IP为IP1的访问数据包会发送到VPN网关b。

如此，先根据UDM签约的公司网业务，在用户签约信息获取过程中下发公司网标识，并增加UPF与分流网关的交互流程，将UE IP地址与公司网标识在PDU会话过程中发送给分流网关，再根据用户的签约信息及公司网标识完成UPF到公司网的数据转发，避免不同公司网的IP地址冲突。

可选地，在本申请实施例中，如图9所示，上述步骤S104之后，本申请实施例提供的网络分流方法还可以包括如下步骤S105至步骤S107：

S105、目标内网VPN网关在接收到的响应数据包包括互联网UE地址信息和右侧VPN隧道信息的情况下，将响应数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至分流网关。

在本申请实施例中，上述响应数据包为上述内网终端响应于上述访问数据包返回的数据包。

在本申请实施例中，上述互联网UE地址信息是指，上述内网终端发送的响应数据包的最终发送地址为与内网终端所处网络不同的地址信息。

示例性地，上述互联网UE地址信息可以为手机IP地址、电脑IP地址等便携设备的地址信息。

在本申请实施例中，上述右侧VPN隧道信息指示的VPN隧道即为上述目标内网VPN网关接收上述访问数据包的目标右侧VPN隧道。

示例性地，上述将访问数据包发送至目标互联网VPN网关后，若目标互联网VPN网关接收到内网终端响应于访问数据包发的响应数据包，则将该响应数据包经过接收访问数据包的目标右侧VPN隧道发送至分流网关。

S106、分流网关在接收到的响应数据包包括左侧VPN隧道信息和互联网UE IP地址的情况下，将响应数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至互联网UEIP地址对应的目标互联网VPN网关。

在本申请实施例中，上述左侧VPN隧道信息指示的VPN隧道即为上述分流网关接收上述访问数据包的目标左侧VPN隧道。

在本申请实施例中，上述互联网UE IP地址用于指示上述响应数据包绑定的目标互联网VPN网关。

示例性地，对于内网终端返回的数据包，目的地址为左侧UE的IP地址，但因为来自于不同UPF/SMF分配的IP地址可能会冲突。此时需要分流网关在收到上述访问数据包时，根据该访问数据包来源的VPN隧道对UE的IP地址做转换，根据不同的VPN隧道进行IP地址的映射。

需要说明的是，由于每个隧道对应不同的UPF，因此每个UPF内部分配的IP地址不会冲突。

示例性地，上述将访问数据包发送至分流网关后，若分流网关接收到内网终端响应于访问数据包发的响应数据包，则将该响应数据包经过接收访问数据包的目标左侧VPN隧道发送至响应数据包绑定的目标互联网VPN网关。

S107、目标互联网VPN网关将响应数据包发送至目标互联网VPN网关对应的互联网UE。

在本申请实施例中，一个互联网VPN网关绑定一个互联网UE。

如此，在返回响应数据包时，按照传输访问数据包的路径逆向传输，保证了响应数据包可以精准地传输至发送访问数据包的UE。

可选地，在本申请实施例中，结合上述步骤S106，本申请实施例提供的网络分流方法还可以包括如下步骤S202：

S202、分流网关将目标左侧VPN隧道与互联网UE IP地址绑定，生成并保存第二绑定信息。

在本申请实施例中，上述生成并保存第二绑定信息的具体步骤可以参照上述对分流网关的内部结构进行解释说明的部分。

示例性地，上述分流网关的UE IP与隧道绑定列表单元，以及UE IP及公司网标识存储单元可以执行上述步骤S202。

如此，通过将发送访问数据包的左侧VPN隧道与互联网UE IP绑定，使得后续再次访问内网资源数据，或返回内网资源数据时，直接通过绑定的左侧VPN隧道进行传输，提高了传输资源的效率。

本申请实施例可以根据上述方法示例对网络分流装置进行功能模块或者功能单元的划分，例如，可以对应各个功能划分各个功能模块或者功能单元，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块或者功能单元的形式实现。其中，本申请实施例中对模块或者单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

如图10所示，为本申请实施例提供的一种网络分流装置的结构示意图，该装置应用于VPN系统，该VPN系统包括UPF、分流网关和多个内网VPN网关，UPF包括多个互联网VPN网关，该装置包括：第一确定单元401和第一发送单元402。

其中，上述第一确定单元401，用于在UPF接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网UE发送的数据包，上述第一确定单元401，还用于在目标互联网VPN网关接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，上述第一确定单元401，还用于在分流网关接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，上述第一发送单元402，用于将上述访问数据包发送至上述目标内网VPN网关对应的内网终端。

可选地，在本申请实施例中，上述内网VPN网关信息包括内网URL或内网IP地址，该内网IP地址包括内网标识，上述第一确定单元401，具体用于：在内网VPN网关信息为URL的情况下，将访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述URL对应的目标内网VPN网关；在内网VPN网关信息为上述IP地址的情况下，将访问数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网标识对应的目标内网VPN网关。

可选地，在本申请实施例中，如图11所示，上述网络分流装置还包括：处理单元403，其中：上述处理单元403，用于将上述目标右侧VPN隧道与上述URL或上述内网标识绑定，生成并保存第一绑定信息。

可选地，在本申请实施例中，如图12所示，上述网络分流装置还包括：获取单元404，其中：上述获取单元404，用于根据上述互联网UE与上述内网终端之间的签约信息，获取上述内网标识，上述第一发送单元402，还用于将获取单元401获取的该内网标识发送至上述分流网关。

可选地，在本申请实施例中，如图13所示，上述网络分流装置还包括：第二确定单元405和第二发送单元406，其中：上述第二确定单元405，用于在目标内网VPN网关接收到的响应数据包包括互联网UE地址信息和右侧VPN隧道信息的情况下，将该响应数据包通过上述右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述分流网关，上述响应数据包为内网终端响应于上述访问数据包发送的数据包，上述第二确定单元405，还用于在分流网关接收到的响应数据包包括左侧VPN隧道信息和互联网UE IP地址的情况下，将该响应数据包通过上述左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述互联网UE IP地址对应的目标互联网VPN网关，上述第二发送单元406，用于将响应数据包发送至上述目标互联网VPN网关对应的互联网UE。

可选地，在本申请实施例中，上述处理单元403，还用于上述目标左侧VPN隧道与上述互联网UE IP地址绑定，生成并保存第二绑定信息。

在本申请实施例提供的网络分流装置中，该装置应用于虚拟专用网络VPN系统，该VPN系统包括UPF、分流网关和多个内网VPN网关；UPF包括多个互联网VPN网关，第一确定单元在UPF接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将该访问数据包发送至上述互联网VPN网关信息对应的目标互联网VPN网关，上述访问数据包为互联网UE发送的数据包，并在目标互联网VPN网关接收到的访问数据包包括左侧VPN隧道信息的情况下，将该访问数据包通过左侧VPN隧道信息对应的目标左侧VPN隧道发送至上述分流网关，然后在该分流网关接收到的访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将该访问数据包通过右侧VPN隧道信息对应的目标右侧VPN隧道发送至上述内网VPN网关信息对应的目标内网VPN网关，最后第一发送单元将上述访问数据包发送至该目标内网VPN网关对应的内网终端。由于上述分流网关可以将VPN隧道分为左侧VPN隧道和右侧VPN隧道两级，使得网络分流装置可以根据上述访问数据包绑定的各个信息，将互联网UE发送的访问数据包精准发送至内网终端，而无需为每个内网终端均开通专用VPN隧道，减少了网络资源消耗，避免造成网络拥塞。

图14示出了上述实施例中所涉及的网络分流装置的又一种可能的结构示意图。该网络分流装置包括：处理器502和通信接口503。处理器502用于对网络分流装置的动作进行控制管理，例如，执行上述第一确定单元401、处理单元403、获取单元404、第二确定单元405和第二发送单元406执行的步骤，和/或用于执行本文所描述的技术的其它过程。通信接口503用于支持网络分流装置与其他网络实体的通信，例如执行上述第一发送单元402和第二发送单元406执行的步骤，和/或用于执行本文所描述的技术的其它过程。网络分流装置还可以包括存储器501和总线504，存储器501用于存储网络分流装置的程序代码和数据。

其中，存储器501可以是网络分流装置中的存储器等，该存储器可以包括易失性存储器，例如随机存取存储器；该存储器也可以包括非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；该存储器还可以包括上述种类的存储器的组合。

上述处理器502可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。该处理器可以是中央处理器，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。该处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

总线504可以是扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。总线504可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请实施例提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得该计算机执行上述方法实施例中的网络分流方法。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当该指令在计算机上运行时，使得该计算机执行上述方法实施例所示的方法流程中的网络分流方法。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本申请实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

本发明的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行如图4、图6至图9中所述的网络分流方法。

由于本发明的实施例中的网络分流装置、计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (12)

1.一种网络分流方法，其特征在于，应用于虚拟专用网络VPN系统，所述VPN系统包括用户面功能UPF、分流网关和多个内网VPN网关，所述UPF包括多个互联网VPN网关，所述方法包括：

所述UPF在接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将所述访问数据包发送至所述互联网VPN网关信息对应的目标互联网VPN网关，所述访问数据包为互联网用户设备UE发送的数据包；

所述目标互联网VPN网关在接收到的所述访问数据包包括左侧VPN隧道信息的情况下，将所述访问数据包通过所述左侧VPN隧道信息对应的目标左侧VPN隧道发送至所述分流网关；

所述分流网关在接收到的所述访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述内网VPN网关信息对应的目标内网VPN网关；

所述目标内网VPN网关将所述访问数据包发送至所述目标内网VPN网关对应的内网终端。

2.根据权利要求1所述的方法，其特征在于，所述内网VPN网关信息包括内网统一资源定位符URL或内网网际互联协议IP地址，所述内网IP地址包括内网标识，所述分流网关在接收到的所述访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述内网VPN网关信息对应的目标内网VPN网关，包括：

在所述内网VPN网关信息为所述内网URL的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述URL对应的目标内网VPN网关；

在所述内网VPN网关信息为所述内网IP地址的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述内网标识对应的目标内网VPN网关。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述分流网关将所述目标右侧VPN隧道与所述内网URL或所述内网标识绑定，生成并保存第一绑定信息。

4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

所述UPF根据所述互联网UE与所述内网终端之间的签约信息，获取所述内网标识；

所述UPF将所述内网标识发送至所述分流网关。

5.根据权利要求1所述的方法，其特征在于，所述将所述访问数据包发送至所述目标内网VPN网关对应的内网终端之后，所述方法还包括：

所述目标内网VPN网关在接收到的响应数据包包括互联网UE地址信息和右侧VPN隧道信息的情况下，将所述响应数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述分流网关，所述响应数据包为所述内网终端响应于所述访问数据包返回的数据包；

所述分流网关在接收到的所述响应数据包包括左侧VPN隧道信息和互联网UE IP地址的情况下，将所述响应数据包通过所述左侧VPN隧道信息对应的目标左侧VPN隧道发送至所述互联网UE IP地址对应的目标互联网VPN网关；

所述目标互联网VPN网关将所述响应数据包发送至所述目标互联网VPN网关对应的互联网UE。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述分流网关将所述目标左侧VPN隧道与所述互联网UE IP地址绑定，生成并保存第二绑定信息。

7.一种网络分流装置，其特征在于，应用于VPN系统，所述VPN系统包括UPF、分流网关和多个内网VPN网关，所述UPF包括多个互联网VPN网关，所述装置包括：第一确定单元和第一发送单元，其中：

所述第一确定单元，用于在所述UPF接收到的访问数据包包括内网地址信息和互联网VPN网关信息的情况下，将所述访问数据包发送至所述互联网VPN网关信息对应的目标互联网VPN网关，所述访问数据包为互联网UE发送的数据包；

所述第一确定单元，还用于在所述目标互联网VPN网关接收到的所述访问数据包包括左侧VPN隧道信息的情况下，将所述访问数据包通过所述左侧VPN隧道信息对应的目标左侧VPN隧道发送至所述分流网关；

所述第一确定单元，还用于在所述分流网关接收到的所述访问数据包包括右侧VPN隧道信息和内网VPN网关信息的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述内网VPN网关信息对应的目标内网VPN网关，所述访问数据包为互联网UE发送的数据包；

所述第一发送单元，用于将所述访问数据包发送至所述目标内网VPN网关对应的内网终端。

8.根据权利要求7所述的装置，其特征在于，所述内网VPN网关信息包括内网URL或内网IP地址，所述内网IP地址包括内网标识；

所述第一确定单元，具体用于：

在所述内网VPN网关信息为所述内网URL的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述URL对应的目标内网VPN网关；

在所述内网VPN网关信息为所述内网IP地址的情况下，将所述访问数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述内网标识对应的目标内网VPN网关。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：获取单元，其中：

所述获取单元，用于根据所述互联网UE与所述内网终端之间的签约信息，获取所述内网标识；

所述第一发送单元，还用于将所述获取单元获取的所述内网标识发送至所述分流网关。

10.根据权利要求7所述的装置，其特征在于，所述装置还包括：第二确定单元和第二发送单元，其中：

所述第二确定单元，用于在所述目标内网VPN网关接收到的响应数据包包括互联网UE地址信息和右侧VPN隧道信息的情况下，将所述响应数据包通过所述右侧VPN隧道信息对应的目标右侧VPN隧道发送至所述分流网关，所述响应数据包为所述内网终端响应于所述访问数据包发送的数据包；

所述第二确定单元，还用于在所述分流网关接收到的所述响应数据包包括左侧VPN隧道信息和互联网UEIP地址的情况下，将所述响应数据包通过所述左侧VPN隧道信息对应的目标左侧VPN隧道发送至所述互联网UEIP地址对应的目标互联网VPN网关；

所述第二发送单元，用于将所述响应数据包发送至所述目标互联网VPN网关对应的互联网UE。

11.一种网络分流装置，其特征在于，包括：处理器和通信接口；所述通信接口和所述处理器耦合，所述处理器用于运行计算机程序或指令，以实现如权利要求1-6中任一项所述的网络分流方法。

12.一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，其特征在于，当计算机执行该指令时，该计算机执行上述权利要求1-6中任一项所述的网络分流方法。