VPN客户端的回流方法及装置制造方法及图纸

本申请提供一种VPN客户端的回流方法及装置，所述方法包括：获取VPN客户端对应的VPN私网地址，并建立VPN私网地址与VPN网关的映射关系；将VPN私网地址与VPN网关的映射关系发送给其它网络设备，以使其它网络设备在接收到目的IP地址为VPN私网地址的报文时，利用映射关系将报文发送给VPN网关；接收目的IP地址为VPN私网地址的报文，并对报文进行处理，并利用路由表将处理后的报文转发至VPN客户端。应用本申请实施例，VPN网关通过建立映射关系，以实现将报文回流到相应的VPN客户端。

【技术实现步骤摘要】

本申请涉及网络通信
，尤其涉及一种VPN客户端的回流方法及装置。
技术介绍
VPN(Virtual Private Network，虚拟专用网络)网络是指在公用网络上建立的专用网络。参见图1所示，每个VPN网关配置有相同的VPN私网地址段，当VPN客户端与VPN网关建立连接时，负载均衡设备会为其分配一个VPN网关，比如VPN网关1，并且VPN网关1会为其分配一个VPN私网地址，然后，VPN客户端利用该VPN私网地址通过VPN网关1和交换机向内网服务器发送报文，此时，可以在交换机上通过静态配置的方式配置通过VPN网关1发送报文到内网服务器的路由，以使内网服务器返回的报文，交换机可以查找路由将报文转发到VPN网关1，并经VPN网关1再回流到VPN客户端上。然而，当VPN客户端与VPN网关再次建立连接时，负载均衡设备可能会为其分配另一个VPN网关，比如VPN网关2，并且VPN网关2会再为其分配一个VPN私网地址，然后，VPN客户端利用该VPN私网地址通过VPN网关2和交换机向内网服务器发送报文，当内网服务器将目的IP地址为该VPN私网地址的报文发送至交换机时，由于交换机上配置的是通过VPN网关1发送报文到内网服务器的路由，因此，交换机无法将报文转发至VPN网关2上，该报文也就无法回流到VPN客户端上。
技术实现思路
有鉴于此，本申请提供一种VPN客户端的回流方法及装置，以解决报文无法回流到VPN客户端的问题。根据本申请实施例的第一方面，提供一种VPN客户端的回流方法，所述方法应用于VPN网关上，所述方法包括：获取VPN客户端对应的VPN私网地址，并建立所述VPN私网地址与所述VPN网关的映射关系；将所述VPN私网地址与所述VPN网关的映射关系发送给其它网络设备，以使所述其它网络设备在接收到目的IP地址为所述VPN私网地址的报文时，利用所述映射关系将所述报文发送给所述VPN网关；接收目的IP地址为所述VPN私网地址的报文，并对所述报文进行处理，并利用路由表将所述处理后的报文转发至所述VPN客户端。根据本申请实施例的第二方面，提供一种VPN客户端的回流装置，所述装置应用于VPN网关上，所述装置包括：获取单元，用于获取VPN客户端对应的VPN私网地址；映射关系建立单元，用于建立所述VPN私网地址与所述VPN网关的映射关系；第一发送单元，用于将所述VPN私网地址与所述VPN网关的映射关系发送给其它网络设备，以使所述其它网络设备在接收到目的IP地址为所述VPN私网地址的报文时，利用所述映射关系将所述报文发送给所述VPN网关；接收单元，用于接收目的IP地址为所述VPN私网地址的报文；转发单元，用于对所述报文进行处理，并利用路由表将所述处理后的报文转发至所述VPN客户端。应用本申请实施例，VPN网关在获取到VPN客户端对应的VPN私网地址之后，建立所述VPN私网地址与所述VPN网关的映射关系，并将所述VPN私网地址与所述VPN网关的映射关系发送给其它网络设备，以使其它网络设备在接收到目的IP地址为所述VPN私网地址的报文时，利用所述映射关系将所述报文发送给所述VPN网关，在所述VPN网关接收到目的IP地址为所述VPN私网地址的报文后，对所述报文进行处理，并利用路由表将所述处理后的报文转发至所述VPN客户端。基于上述实现方式，由于VPN网关在获取到VPN客户端对应的VPN私网地址之后，会建立VPN私网地址与VPN网关的映射关系，并且还会把所述映射关系通知给其它网络设备，因此，其它网络设备在接收到目的IP地址为所述VPN私网地址的报文时，能够将所述报文转发到本VPN网关上，从而能够实现将报文回流到相应的VPN客户端。并且，所述VPN私网地址只为所述VPN客户端所用，不会因VPN客户端改变IP地址而改变VPN私网地址，以便于对VPN用户的访问行为进行审计。附图说明图1为本申请根据一示例性实施例示出的一种VPN客户端的回流方法及装置的应用场景示意图；图2为本申请根据一示例性实施例示出的一种VPN客户端的回流方法的实施例流程图；图3为本申请根据一示例性实施例示出的另一种VPN客户端的回流方法的实施例流程图；图4为本申请根据一示例性实施例示出的一种VPN设备的硬件结构图；图5为本申请根据一示例性实施例示出的一种VPN客户端的回流装置的实施例结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1所示，为本申请根据一示例性实施例示出的一种VPN客户端的回流方法及装置的应用场景示意图，包括VPN客户端、负载均衡设备、VPN网关、交换机、内网服务器。其中，所述VPN客户端用于访问内网服务器的数据资源，可以是计算机、平板设备、手机等；所述负载均衡设备用于将VPN客户端发送的报文分配到VPN网关上，或者将VPN网关发送的报文转发到VPN客户端上；所述VPN网关用于为VPN客户端分配VPN私网地址，并将负载均衡设备发送的报文转发到交换机上，或者将交换机发送的报文转发到负载均衡设备上；所述交换机用于将内网服务器发送的报文转发到VPN网关上，或者将VPN网关发送的报文转发到内网服务器上；所述内网服务器用于向VPN客户端提供数据资源。参见图2所示，为本申请根据一示例性实施例示出的一种VPN客户端的回流方法的实施例流程图，该实施例应用于VPN网关上，包括以下步骤：步骤201：获取VPN客户端对应的VPN私网地址，并建立所述VPN私网地址与所述VPN网关的映射关系。针对获取VPN客户端对应的VPN私网地址的过程，VPN网关接收VPN客户端发送的携带有用户信息的协商报文，并利用所述用户信息查找绑定关系表，获取对应的VPN私网地址。其中，所述绑定关系表可以记录用户信息与VPN私网地址的对应关系，由于VPN客户端的IP(Internet Protocol，网际协议)地址可能会变，但是其用户信息不会变，因此，VPN私网地址能够唯一对应一个VPN用户，并且，VPN网关中配置有VPN私网地址段，所述VPN私网地址段的范围在VPN网关的接口地址的网段范围内，为了避免地址冲突，该VPN私网地址段不包括网络中已存在的VPN网关的接口地址本文档来自技高网...

【技术保护点】
一种VPN客户端的回流方法，其特征在于，所述方法应用于虚拟专用网络VPN网关上，所述方法包括：获取VPN客户端对应的VPN私网地址，并建立所述VPN私网地址与所述VPN网关的映射关系；将所述VPN私网地址与所述VPN网关的映射关系发送给其它网络设备，以使所述其它网络设备在接收到目的网际协议IP地址为所述VPN私网地址的报文时，利用所述映射关系将所述报文发送给所述VPN网关；接收目的IP地址为所述VPN私网地址的报文，并对所述报文进行处理，并利用路由表将所述处理后的报文转发至所述VPN客户端。

【技术特征摘要】
1.一种VPN客户端的回流方法，其特征在于，所述方法应用于虚拟专用网络VPN网关上，所述方法包括：获取VPN客户端对应的VPN私网地址，并建立所述VPN私网地址与所述VPN网关的映射关系；将所述VPN私网地址与所述VPN网关的映射关系发送给其它网络设备，以使所述其它网络设备在接收到目的网际协议IP地址为所述VPN私网地址的报文时，利用所述映射关系将所述报文发送给所述VPN网关；接收目的IP地址为所述VPN私网地址的报文，并对所述报文进行处理，并利用路由表将所述处理后的报文转发至所述VPN客户端。2.根据权利要求1所述的方法，其特征在于，获取VPN客户端对应的VPN私网地址的过程，具体包括：接收所述VPN客户端发送的携带有用户信息的协商报文；利用所述用户信息查找绑定关系表，获取对应的VPN私网地址；其中，所述绑定关系表记录有用户信息与VPN私网地址的对应关系；获取对应的VPN私网地址之后，还包括：将携带所述VPN私网地址的协商响应报文发送到所述VPN客户端。3.根据权利要求1所述的方法，其特征在于，所述建立所述VPN私网地址与所述VPN网关的映射关系的过程，具体包括：建立所述VPN私网地址与所述VPN网关的媒体访问控制MAC地址的关联表；或者，根据所述VPN私网地址生成所述VPN网关的虚拟MAC地址；建立所述VPN私网地址与所述虚拟MAC地址的关联表。4.根据权利要求3所述的方法，其特征在于，所述将所述VPN私网地址与所述VPN网关的映射关系发送给其它网络设备的过程，具体包括：通过广播方式向其它网络设备发送免费地址解析协议ARP报文，以使所述
\t其它网络设备记录所述VPN私网地址与所述VPN网关的MAC地址的对应关系；其中，所述免费ARP报文携带的源IP地址为所述VPN私网地址，携带的源MAC地址为所述VPN网关的MAC地址；和/或，接收目的IP地址为所述VPN私网地址的ARP请求报文；从所述关联表中获取所述VPN私网地址对应的MAC地址；将所述VPN私网地址作为ARP响应报文的源IP地址，将所述MAC地址作为ARP响应报文的源MAC地址；发送所述ARP响应报文。5.根据权利要求1所述的方法，其特征在于，所述接收目的IP地址为所述VPN私网地址的报文的过程，具体包括：接收报文；利用所述报文携带的目的IP地址查找策略路由表；其中，所述策略路由表中记录有VPN私网地址与VPN虚拟出接口的对应关系；若查找到所述目的IP地址，则执...

【专利技术属性】
技术研发人员：孔伟政，李全高，张晓燕，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33