一种报文传输方法和装置制造方法及图纸

本申请提供一种报文传输方法和装置，该方法包括：向每个SSL VPN网关下发第一控制流表，所述第一控制流表用于使所述SSL VPN网关将来自终端设备的会话协商请求报文上送给所述控制器；在接收到会话协商请求报文后，确定所述终端设备能够访问的服务器、与所述服务器关联的至少两个SSL VPN网关，将携带所述服务器的IP地址、所述至少两个SSL VPN网关的IP地址的响应报文发送给所述终端设备，以使所述终端设备通过所述至少两个SSL VPN网关中的一个SSL VPN网关向所述服务器发送数据报文。通过本申请的技术方案，提高SSL VPN网关的处理性能，提高了用户使用体验，避免业务会发生中断。

【技术实现步骤摘要】

本申请涉及通信
，尤其涉及一种报文传输方法和装置。
技术介绍
SSL(Secure Sockets Layer，安全套接字层)VPN(Virtual Private Network，虚拟专用网络)是以SSL为基础的VPN技术，可以充分利用SSL协议提供的身份认证、数据加密、消息完整性验证等机制，为应用层的通信建立安全连接。在部署了SSL VPN网关的网络中，终端设备向SSL VPN网关发送会话协商请求报文，SSL VPN网关为终端设备分配认证加密信息，并将认证加密信息发送给终端设备。终端设备在发送数据报文时，利用认证加密信息对数据报文进行加密等处理，SSL VPN网关在接收到数据报文后，对数据报文进行解密等处理，并将数据报文发送给服务器。上述方式可以保证数据报文的传输安全性。目前，若网络中部署两个以上的SSL VPN网关，则不同的SSL VPN网关为不同终端设备提供服务。当某个SSL VPN网关下线时，接入该SSL VPN网关的终端设备会被强制下线，之后，该终端设备重新接入到其它SSL VPN网关，从而影响了用户使用体验，且终端设备的业务会发生中断。
技术实现思路
本申请提供一种报文传输方法，应用于包括控制器和至少两个安全套接字层虚拟专用网络SSL VPN网关的网络中，该方法应用于控制器，包括：向每个SSL VPN网关下发第一控制流表，所述第一控制流表用于使所述SSL VPN网关将来自终端设备的会话协商请求报文上送给所述控制器；在接收到会话协商请求报文后，确定所述终端设备能够访问的服务器、与所述服务器关联的至少两个SSL VPN网关，并将携带所述服务器的IP地址、所述至少两个SSL VPN网关的IP地址的响应报文发送给所述终端设备，以使所述终端设备通过所述至少两个SSL VPN网关中的一个SSL VPN网关向所述服务器发送数据报文。本申请提供一种报文传输装置，应用于包括控制器和至少两个安全套接字层虚拟专用网络SSL VPN网关的网络中，该装置应用于控制器，包括：发送模块，用于向每个SSL VPN网关下发第一控制流表，所述第一控制流表用于使SSL VPN网关将来自终端设备的会话协商请求报文上送给控制器；确定模块，用于在接收到会话协商请求报文后，确定所述终端设备能够访问的服务器、与所述服务器关联的至少两个SSL VPN网关；所述发送模块，还用于将携带所述服务器的IP地址、所述至少两个SSL VPN网关的IP地址的响应报文发送给所述终端设备，以使所述终端设备通过所述至少两个SSL VPN网关中的一个SSL VPN网关向所述服务器发送数据报文。基于上述技术方案，本申请实施例中，可以在网络中部署至少两个SSL VPN网关，并在这至少两个SSL VPN网关之间进行负载分担，从而避免一个SSL VPN网关对大量终端设备提供服务，提高SSL VPN网关的处理性能，SSL VPN网关不会成为性能瓶颈。而且，一个终端设备的数据报文可以在不同SSL VPN网关上分担，而不是由一个SSL VPN网关处理。这样，当某个SSL VPN网关下线时，接入该SSL VPN网关的终端设备能够无缝切换到其它SSL VPN网关，可以及时的对业务进行保护，提高了用户使用体验，避免业务会发生中断。附图说明为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请一种实施方式中的报文传输方法的流程图；图2是本申请一种实施方式中的应用场景示意图；图3是本申请一种实施方式中的控制器的硬件结构图；图4是本申请一种实施方式中的报文传输装置的结构图。具体实施方式在本申请使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请实施例中提出一种报文传输方法，该方法可以应用于包括控制器和至少两个SSL VPN网关的网络(如SDN(Soft Define Network，软件定义网络)网络)中，该方法可以应用于控制器，参见图1所示，该方法可以包括：步骤101，向每个SSL VPN网关下发第一控制流表，该第一控制流表用于使SSL VPN网关将来自终端设备的会话协商请求报文上送给控制器。在一个例子中，在向每个SSL VPN网关下发第一控制流表之前，控制器还可以为每个SSL VPN网关配置相同的全局地址信息，并将该全局地址信息发送给每个SSL VPN网关。每个SSL VPN网关在接收到该全局地址信息之后，均可以对外发布携带该全局地址信息的路由。基于此，终端设备在向任一SSL VPN网关发送会话协商请求报文时，该会话协商请求报文中可以携带该全局地址信息，且该会话协商请求报文会被最终发送到任意一个SSL VPN网关上。在传统方式中，管理员可以登录SSL VPN网关，并在SSL VPN网关上创建与服务器对应的资源。SSL VPN网关在接收到会话协商请求报文后，可以从会话协商请求报文中解析出用户名、密码等身份信息，并利用该身份信息进行认证，如果认证成功，则将资源对应的服务器的IP地址发送给终端设备。与此不同的是，本申请实施例中，SSL VPN网关在接收到会话协商请求报文后，并不会执行“从会话协商请求报文中解析出用户名、密码等身份信息”等过程，由于会话协商请求报文可以匹配到第一控制流表，因此，SSL VPN网关会将来自终端设备的会话协商请求报文上送给控制器，由控制器进行后续处理。为了实现将会话协商请求报文上送给控制器的过程，在一个例子中，所述第一控制流表的匹配选项可以包括上述全局地址信息，该全局地址信息可以包括：全局IP地址；或者，全局IP地址和全局TCP(Transmission Control Protocol，传输控制协议)端口。所述第一控制流表的动作选项可以包括：将匹配到该匹配选项的报文(即会话协商请求报文)上送给控制器。步骤102，在接收到会话协商请求报文后，确定终端设备能够访问的服务器、与该服务器关联的至少两个SSL VPN网关。在一个例子中，控制器在接收到会话协商请求报文后，从会话协商请求报文中解析出身份信息(如用户名、密码等)，并利用该身份信息对终端设备进行认证。若认证成功，则确定终端设备能够访问的服务器、与该服务器关联的至少两个SSL VPN网关。若认证失败，则向终端设备发送认证失败的响应报文。在一个例子中，针对“确定终端设备能够访问的服务器”的过程，可以在控制器上预先配置身份信息与资源的映射关系，并在控本文档来自技高网...

【技术保护点】
一种报文传输方法，应用于包括控制器和至少两个安全套接字层虚拟专用网络SSL VPN网关的网络中，该方法应用于控制器，其特征在于，包括：向每个SSL VPN网关下发第一控制流表，所述第一控制流表用于使所述SSL VPN网关将来自终端设备的会话协商请求报文上送给所述控制器；在接收到会话协商请求报文后，确定所述终端设备能够访问的服务器、与所述服务器关联的至少两个SSL VPN网关，并将携带所述服务器的IP地址、所述至少两个SSL VPN网关的IP地址的响应报文发送给所述终端设备，以使所述终端设备通过所述至少两个SSL VPN网关中的一个SSL VPN网关向所述服务器发送数据报文。

【技术特征摘要】
1.一种报文传输方法，应用于包括控制器和至少两个安全套接字层虚拟专用网络SSL VPN网关的网络中，该方法应用于控制器，其特征在于，包括：向每个SSL VPN网关下发第一控制流表，所述第一控制流表用于使所述SSL VPN网关将来自终端设备的会话协商请求报文上送给所述控制器；在接收到会话协商请求报文后，确定所述终端设备能够访问的服务器、与所述服务器关联的至少两个SSL VPN网关，并将携带所述服务器的IP地址、所述至少两个SSL VPN网关的IP地址的响应报文发送给所述终端设备，以使所述终端设备通过所述至少两个SSL VPN网关中的一个SSL VPN网关向所述服务器发送数据报文。2.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：确定所述终端设备对应的认证加密信息；所述响应报文中还携带所述认证加密信息，所述认证加密信息用于使所述终端设备在发送数据报文时，通过所述认证加密信息对数据报文进行处理；将所述认证加密信息分别发送给所述至少两个SSL VPN网关，以使SSL VPN网关利用所述认证加密信息对来自所述终端设备的数据报文进行处理。3.根据权利要求1所述的方法，其特征在于，所述方法进一步包括：在向每个SSL VPN网关下发第一控制流表之前，为所述每个SSL VPN网关配置相同的全局地址信息，并将所述全局地址信息发送给所述每个SSL VPN网关，以使所述每个SSL VPN网关对外发布携带所述全局地址信息的路由；所述第一控制流表的匹配选项包括：所述全局地址信息；所述第一控制流表的动作选项包括：将匹配到所述匹配选项的报文上送给所述控制器；所述全局地址信息包括：全局IP地址；或者，全局IP地址和全局传输控制协议TCP端口。4.根据权利要求1所述的方法，其特征在于，所述确定与所述服务器关联的至少两个SSL VPN网关之后，所述方法进一步包括：确定所述至少两个SSL VPN网关的优先级，且不同SSL VPN网关的优先级不同；所述响应报文中还携带所述至少两个SSL VPN网关的优先级，所述至少两个SSL VPN网关的优先级用于使所述终端设备在优先级最高的SSL VPN网关在线时，通过所述优先级最高的SSL VPN网关向所述服务器发送数据报文，在优先级最高的SSL VPN网关不在线时，通过优先级次高的SSL VPN网关向所述服务器发送数据报文。5.根据权利要求4所述的方法，其特征在于，所述方法进一步包括：向优先级非最高的SSL VPN网关下发第二控制流表；其中，所述第二控制流表用于使所述优先级非最高的SSL VPN网关将所述服务器向所述终端设备返回的响应报文，发送给优先级最高的SSL VPN网关。6.根据权利要求5所述的方法，其特征在于，所述方法进一步包括：在确定优先级最高的SSL VPN网关不在线后，向优先级次高的SSL VPN网关发送删除命令，以使优先级次高的SSL VPN网关删除所述第二控制流表；向优先级最高的SSL VPN网关、优先级次高的SSL VPN网关之外的其它SSL VPN网关发送删除命令，以使所述其它SSL VPN网关删除所述第二控制流表；向所述其它SSL VPN网关下发第三控制流表，所述第三控制流表用于使所述其它SSL VPN网关将所述服务器向所述终端设备返回的响应报文，发送给所述优先级次高的SSL VPN网关。7.一种报文传输装置...

【专利技术属性】
技术研发人员：宋小恒，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33