本申请提供一种解决业务访问不通的方法和装置,其方法包括:接收业务请求报文,所述请求报文由第二网关设备发出,经中转设备转发给第一网关设备;获取第一端口信息,所述第一端口信息为请求报文中所含的端口信息;使用第一端口信息更新第二端口信息,所述第二端口信息为第一网关设备本地加解封装策略中用于添加到回应报文的端口信息,第二端口信息在更新前为所述第一网关设备和第二网关设备通信协商时所确定的端口信息。通过端口信息更新机制,克服了回应报文因端口不正确而导致的丢包问题,保证了IPSec业务访问的稳定性,增强了IPSec VPN的实用性和易用性,而且无需保活报文,很好的解决了NAT环境中VPN业务访问不通的问题。
【技术实现步骤摘要】
一种解决业务访问不通的方法和装置
本申请涉及网络通信
,特别涉及一种解决业务访问不通的方法和装置。
技术介绍
VPN(VirtualPrivateNetwork)即虚拟专用网络,其作用是在公用网络上建立专用网络,以进行加密通讯。当前随着经济和社会的快速发展,企业信息化程度不断提高,企业各地分公司\办事处与企业总部的信息交互、企业与客户之间的信息传递等需求逐渐被释放,基于IPSec(InternetProtocolSecurity)的VPN技术被更加广泛的应用,同时VPN的应用场景也越来越多样化,经常被应用于较复杂的组网环境中,其中将VPN部署在有NAT(NetworkAddressTranslation网络地址转换)穿越的网络环境中越来越常见。在NAT环境中的VPN连接建立成功后,如果不再有业务流量,则之前的业务数据报文信息在VPN设备上会因老化而被删除。而当下一次的IPSec业务正向报文(或者称为请求报文)经过NAT环境时,其报文的源端口可能会发生改变,例如正向报文的发起方VPN设备加密后的报文源端口为4500,转发过程中经过NAT设备转换后可能变为53560。这样该正向报文的端口信息与VPN对端设备保存的加解封装策略端口信息不一致,而反向报文(或者称为回应报文)是按照VPN设备保存的加解封装策略进行加密封装的,使得加密封装后的正向报文的目的端口可能会与正向报文的源端口不一致,导致正向请求/反向回应的报文的端口不一致,进而导致回应报文在NAT环境中丢包,造成VPN业务访问不通。鉴于存在以上这种业务访问不通的情况,在现有技术中,一种解决办法是开启IPSec保活机制,即保持端口不变,以避免出现因端口不一致而丢包的问题。然而专利技术人在实现本专利技术的过程中发现,如果对于VPN隧道较多的网关出口开启保活机制,则每个隧道发送的保活报文也会比较多,在业务数据流量也较大的时候,可能会拥堵网络带宽,影响带宽负荷。可见现有技术中尚未很好的解决NAT环境中IPSec业务访问不通的问题。
技术实现思路
有鉴于此,本申请提供一种解决业务访问不通的方法和装置,以有效解决一些环境中业务访问受阻的问题。具体地,本申请是通过如下技术方案实现的:一种解决业务访问不通的方法,用于第一网关设备,所述方法包括:接收业务请求报文,其中所述请求报文由第二网关设备发出,经中转设备转发给所述第一网关设备;获取第一端口信息,其中所述第一端口信息为所述请求报文中所含的端口信息;使用所述第一端口信息更新第二端口信息,其中所述第二端口信息为所述第一网关设备本地加解封装策略中用于添加到回应报文的端口信息,所述第二端口信息在更新前为所述第一网关设备和第二网关设备通信协商时所确定的端口信息。一种解决业务访问不通的装置,用于第一网关设备,所述装置包括:报文接收单元,用于接收业务请求报文,其中所述请求报文由第二网关设备发出,经中转设备转发给所述第一网关设备;端口信息获取单元,用于获取第一端口信息,其中所述第一端口信息为所述请求报文中所含的端口信息;端口信息更新单元,用于使用所述第一端口信息更新第二端口信息,其中所述第二端口信息为所述第一网关设备本地加解封装策略中用于添加到回应报文的端口信息,所述第二端口信息在更新前为所述第一网关设备和第二网关设备通信协商时所确定的端口信息。由以上本专利技术申请提供的技术方案可见,在本方案中,在第二网关设备向第一网关设备发送业务请求报文后,第一网关设备会从接收到的请求报文中提取出第一端口信息,然后使用第一端口信息更新本地加解封装策略中的端口信息,这样通过端口信息更新机制,即使端口信息经中转设备转发时发生了变化,第一网关设备也可以封装正确的端口信息发送回应报文,克服了回应报文因端口不正确而导致的丢包问题,有效的保证了IPSec业务访问的稳定性,增强了IPSecVPN的实用性和易用性,而且无需保活报文,在业务数据流量较大的时候也不会拥堵网络带宽,不影响带宽负荷,从而很好的解决了NAT环境中VPN业务访问不通的问题。附图说明图1为本申请示出的一种解决业务访问不通的方法的流程图;图2为本申请示出的网络组网环境示意图;图3为本申请示出的正向报文发送过程示意图;图4为本申请示出的反向报文丢包示意图;图5为本申请示出的一种解决业务访问不通的方法的流程图;图6为本申请示出的待解封装报文经过第一网关设备的处理流程图;图7为本申请示出的待加封装报文经过第一网关设备的处理流程图;图8为本申请示出的一种解决业务访问不通的方法的信令示意图;图9为本申请示出的一种解决业务访问不通的装置的示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。请参见图1,图1为本申请示出的一种解决业务访问不通的方法的流程图,该方法可用于第一网关设备,包括以下步骤:步骤S101,接收业务请求报文,其中所述请求报文由第二网关设备发出,经中转设备转发给所述第一网关设备。对于第一网关设备、第二网关设备、中转设备的具体形式,以及业务的具体内容,本实施例并不进行限制,本领域技术人员可以根据不同需求\不同场景而自行选择、设计,可以在此处使用的这些选择和设计都没有背离本专利技术的精神和保护范围。下面以NAT环境中IPSec业务访问为例进行说明,作为示例中转设备可以为NAT设备,所述业务可以为基于IPSec协议的业务,所述第一网关设备和第二网关设备可以为VPN网关设备:IPSec即InternetProtocolSecurity,指采用IPSec协议来实现远程接入的一种VPN技术,用以提供公用和专用网络的端对端加密和验证服务。IPSec隧道是网络中两IPSec实体建立起来的虚拟连接通信通道。NAT穿越:NetworkAddressTranslation网络地址转换,可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上,NAT路由在将内部网络的数据包发送到公用网络时,在IP包的报头把私有地址转换成合法的IP地址,同时也会将源端口转换成其它端口。IPSec在NAT环境中的控制报文和数据报文都是经过UDP封装的,目的端口为4500。VPN设备中保存的IPSec加解封装信息默认是控制通道协商的结果。作为示例请参见图2所示,本文档来自技高网...
【技术保护点】
1.一种解决业务访问不通的方法,其特征在于,所述方法用于第一网关设备,所述方法包括:接收业务请求报文,其中所述请求报文由第二网关设备发出,经中转设备转发给所述第一网关设备;获取第一端口信息,其中所述第一端口信息为所述请求报文中所含的端口信息;使用所述第一端口信息更新第二端口信息,其中所述第二端口信息为所述第一网关设备本地加解封装策略中用于添加到回应报文的端口信息,所述第二端口信息在更新前为所述第一网关设备和第二网关设备通信协商时所确定的端口信息。
【技术特征摘要】
1.一种解决业务访问不通的方法,其特征在于,所述方法用于第一网关设备,所述方法包括:接收业务请求报文,其中所述请求报文由第二网关设备发出,经中转设备转发给所述第一网关设备;获取第一端口信息,其中所述第一端口信息为所述请求报文中所含的端口信息;使用所述第一端口信息更新第二端口信息,其中所述第二端口信息为所述第一网关设备本地加解封装策略中用于添加到回应报文的端口信息,所述第二端口信息在更新前为所述第一网关设备和第二网关设备通信协商时所确定的端口信息。2.根据权利要求1所述的方法,其特征在于,使用所述第一端口信息更新第二端口信息之后,所述方法还包括:获取所述回应报文;为所述回应报文添加所述第二端口信息;将所述回应报文发送给所述中转设备,以使所述中转设备将所述回应报文转发给所述第二网关设备。3.根据权利要求2所述的方法,其特征在于,为所述回应报文添加所述第二端口信息,包括:在对所述回应报文加封装时在UDP头部填充所述第二端口信息。4.根据权利要求2所述的方法,其特征在于:在获取第一端口信息之前,所述方法还包括:判断所述请求报文是否匹配所述本地加解封装策略;如果匹配所述本地加解封装策略,则允许对所述请求报文解封装;在获取所述回应报文之后,所述方法还包括:判断所述回应报文是否匹配所述本地加解封装策略;如果匹配所述本地加解封装策略,则允许对所述回应报文加封装。5.根据权利要求1~4任一项所述的方法,其特征在于,所述中转设备为NAT设备,所述业务为基于IPSec协议的业务,所述第一网关设备和第二网关设备为VPN网关设备。6.一种解...
【专利技术属性】
技术研发人员:黄春平,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。