一种报文传输方法和装置制造方法及图纸

本申请提供一种报文传输方法和装置，该方法包括：向本SSL VPN网关的邻居网络设备发布携带组地址的路由，以使所述邻居网络设备将目的IP地址为所述组地址的报文，发送给网关组内的SSL VPN网关；接收所述邻居网络设备发送的报文；若所述报文为会话协商请求报文且本SSL VPN网关是主SSL VPN网关，则确定第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息，并将携带所述服务器的IP地址及所述加密认证信息的响应报文发送给所述第一终端设备，将所述认证加密信息发送给每个备SSL VPN网关。通过本申请的技术方案，提高SSL VPN网关的处理性能，提高用户使用体验，避免业务中断。

【技术实现步骤摘要】

本申请涉及通信
，尤其涉及一种报文传输方法和装置。
技术介绍
SSL(SecureSocketsLayer，安全套接字层)VPN(VirtualPrivateNetwork，虚拟专用网络)是以SSL为基础的VPN技术，可以充分利用SSL协议提供的身份认证、数据加密、消息完整性验证等机制，为应用层的通信建立安全连接。在部署了SSLVPN网关的网络中，终端设备向SSLVPN网关发送会话协商请求报文，SSLVPN网关为终端设备分配认证加密信息，并将认证加密信息发送给终端设备。终端设备在发送数据报文时，利用认证加密信息对数据报文进行加密等处理，SSLVPN网关在接收到数据报文后，对数据报文进行解密等处理，并将数据报文发送给服务器。上述方式可以保证数据报文的传输安全性。目前，若网络中部署两个以上的SSLVPN网关，则不同的SSLVPN网关为不同终端设备提供服务。当某个SSLVPN网关下线时，接入该SSLVPN网关的终端设备会被强制下线，之后重新接入到其它SSLVPN网关，从而影响了用户使用体验，且终端设备的业务会发生中断。
技术实现思路
本申请提供一种报文传输方法，应用于网关组内的安全套接字层虚拟专用网络SSLVPN网关，所述网关组包括一个主SSLVPN网关和至少一个备SSLVPN网关，所述网关组内的各SSLVPN网关使用相同组地址，该方法包括：向本SSLVPN网关的邻居网络设备发布携带所述组地址的路由，以使所述邻居网络设备将目的IP地址为所述组地址的报文，发送给所述网关组内的SSLVPN网关；接收所述邻居网络设备发送的报文；若所述报文为会话协商请求报文且本SSLVPN网关是备SSLVPN网关，则将所述会话协商请求报文发送给主SSLVPN网关；若所述报文为会话协商请求报文且本SSLVPN网关是主SSLVPN网关，则确定所述会话协商请求报文的源IP地址对应的第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息，并将携带所述服务器的IP地址及所述加密认证信息的响应报文发送给所述第一终端设备，将所述认证加密信息发送给每个备SSLVPN网关。本申请提供一种报文传输装置，应用于网关组内的安全套接字层虚拟专用网络SSLVPN网关，所述网关组包括一个主SSLVPN网关和至少一个备SSLVPN网关，所述网关组内的各SSLVPN网关使用相同组地址，所述装置包括：发送模块，用于向本SSLVPN网关的邻居网络设备发布携带所述组地址的路由，以使所述邻居网络设备将目的IP地址为所述组地址的报文，发送给所述网关组内的SSLVPN网关；接收模块，用于接收所述邻居网络设备发送的报文；所述发送模块，还用于当所述报文为会话协商请求报文且本SSLVPN网关是备SSLVPN网关时，则将所述会话协商请求报文发送给主SSLVPN网关；确定模块，用于当所述报文为会话协商请求报文且本SSLVPN网关是主SSLVPN网关时，则确定所述会话协商请求报文的源IP地址对应的第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息；所述发送模块，还用于当本SSLVPN网关是主SSLVPN网关时，将携带所述服务器的IP地址及所述加密认证信息的响应报文发送给所述第一终端设备，并将所述认证加密信息发送给每个备SSLVPN网关。基于上述技术方案，本申请实施例中，可以在网络中部署至少两个SSLVPN网关，并在这至少两个SSLVPN网关之间进行负载分担，从而避免一个SSLVPN网关对大量终端设备提供服务，提高SSLVPN网关的处理性能，SSLVPN网关不会成为性能瓶颈。而且，网关组内的主SSLVPN网关和备SSLVPN网关均会向本SSLVPN网关的邻居网络设备发布携带组地址的路由，这样，在邻居网络设备上，就会形成到达该组地址的等价路由。另外，主SSLVPN网关和备SSLVPN网关均存储有终端设备对应的加密认证信息。基于此，邻居网络设备在接收到来自终端设备的报文后，若该报文的目的IP地址为该组地址，则邻居网络设备就可以基于该等价路由，将该报文发送给网关组内的任意一个SSLVPN网关，从而使得一个终端设备的报文可以在不同SSLVPN网关上分担，而不是由一个SSLVPN网关对终端设备的报文进行处理。这样，当某个SSLVPN网关下线时，可以自动进行路由的收敛，将报文发送到剩余的SSLVPN网关上，即终端设备能够无缝切换到其它SSLVPN网关，可以及时的对业务进行保护，不会对用户造成任何影响，提高用户使用体验，避免业务发生中断，提升了用户接入的可靠性和稳定性，并实现了SSLVPN网关之间的及时流量保护。附图说明为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请一种实施方式中的报文传输方法的流程图；图2是本申请一种实施方式中的应用场景示意图；图3是本申请一种实施方式中的SSLVPN网关的硬件结构图；图4是本申请一种实施方式中的报文传输装置的结构图。具体实施方式在本申请使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请实施例中提出一种报文传输方法，该方法可以应用于网关组内的SSLVPN网关。该网关组可以包括一个主SSLVPN网关和至少一个备SSLVPN网关，该网关组内的各SSLVPN网关使用相同的组地址(即IP地址)。在一个例子中，针对网关组内的各SSLVPN网关，可以配置一个SSLVPN网关为主SSLVPN网关，并配置剩余的其它SSLVPN网关为备SSLVPN网关。主SSLVPN网关负责处理来自终端设备的会话协商请求报文，为终端设备执行认证和授权等操作。备SSLVPN网关不负责为终端设备执行认证和授权等操作，而是直接将自身收到的会话协商请求报文转发给主SSLVPN网关。主SSLVPN网关和备SSLVPN网关均可以处理来自终端设备的数据报文。其中，当主SSLVPN网关正常工作时，备SSLVPN网关不为终端设备执行认证和授权等操作，当主SSLVPN网关异常时，备SSLVPN网关成为新的主SSLVPN网关，并负责处理来自终端设备的会话协商请求报文，对终端设备执行认证和授权等操作。参见图1所示，为报文传输方法的流程图，该方法可以应用于网关组内的SSLVPN网关(主SSLVPN网关或者备SSLVPN网关)，该方法可以包括以下步骤：步骤101，向本SSLVPN网关的邻居网络设备发布携带该组地址的路由，以使邻居网络本文档来自技高网...

【技术保护点】
一种报文传输方法，其特征在于，应用于网关组内的安全套接字层虚拟专用网络SSL VPN网关，所述网关组包括一个主SSL VPN网关和至少一个备SSL VPN网关，所述网关组内的各SSL VPN网关使用相同组地址，该方法包括：向本SSL VPN网关的邻居网络设备发布携带所述组地址的路由，以使所述邻居网络设备将目的IP地址为所述组地址的报文，发送给所述网关组内的SSL VPN网关；接收所述邻居网络设备发送的报文；若所述报文为会话协商请求报文且本SSL VPN网关是备SSL VPN网关，则将所述会话协商请求报文发送给主SSL VPN网关；若所述报文为会话协商请求报文且本SSL VPN网关是主SSL VPN网关，则确定所述会话协商请求报文的源IP地址对应的第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息，并将携带所述服务器的IP地址及所述加密认证信息的响应报文发送给所述第一终端设备，将所述认证加密信息发送给每个备SSL VPN网关。

【技术特征摘要】
1.一种报文传输方法，其特征在于，应用于网关组内的安全套接字层虚拟专用网络SSLVPN网关，所述网关组包括一个主SSLVPN网关和至少一个备SSLVPN网关，所述网关组内的各SSLVPN网关使用相同组地址，该方法包括：向本SSLVPN网关的邻居网络设备发布携带所述组地址的路由，以使所述邻居网络设备将目的IP地址为所述组地址的报文，发送给所述网关组内的SSLVPN网关；接收所述邻居网络设备发送的报文；若所述报文为会话协商请求报文且本SSLVPN网关是备SSLVPN网关，则将所述会话协商请求报文发送给主SSLVPN网关；若所述报文为会话协商请求报文且本SSLVPN网关是主SSLVPN网关，则确定所述会话协商请求报文的源IP地址对应的第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息，并将携带所述服务器的IP地址及所述加密认证信息的响应报文发送给所述第一终端设备，将所述认证加密信息发送给每个备SSLVPN网关。2.根据权利要求1所述的方法，其特征在于，在接收所述邻居网络设备发送的报文之后，所述方法还包括：若所述报文为数据报文，则利用第二终端设备对应的认证加密信息对所述数据报文包括的内层报文进行解密处理；其中，所述第二终端设备为所述数据报文的外层源IP地址对应的终端设备；将解密处理后的内层报文发送给所述内层报文的目的IP地址对应的服务器。3.根据权利要求1所述的方法，其特征在于，若所述报文为会话协商请求报文且本SSLVPN网关是主SSLVPN网关，在确定所述会话协商请求报文的源IP地址对应的第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息之前，所述方法还包括：从所述会话协商请求报文中解析出身份信息，并利用所述身份信息对所述第一终端设备进行认证；若认证成功，则执行确定所述第一终端设备能够访问的服务器及所述第一终端设备对应的加密认证信息的过程。4.根据权利要求1所述的方法，其特征在于，若所述报文为会话协商请求报文且本SSLVPN网关是主SSLVPN网关，在将携带所述服务器的IP地址及所述加密认证信息的响应报文发送给所述第一终端设备之前，所述方法还包括：为所述第一终端设备分配用户数据报协议UDP端口标识；将所述UDP端口标识发送给每个备SSLVPN网关；所述响应报文还携带所述UDP端口标识，所述UDP端口标识用于使所述第一终端设备在发送数据报文时，在外层报文头中添加所述UDP端口标识。5.根据权利要求4所述的方法，其特征在于，所述方法进一步包括：在接收到服务器发送的数据响应报文后，利用第三终端设备对应的认证加密信息对所述数据响应报文进行加密处理，得到加密数据报文；其中，所述第三终端设备为所述数据响应报文的目的IP地址对应的终端设备；对所述加密数据报文进行封装，封装后的加密数据报文的外层源IP地址为所述组地址，源端口为所述第三终端设备对应的UDP端口标识；将封装后的加密数据报文发送给所述...

【专利技术属性】
技术研发人员：宋小恒，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33