【技术实现步骤摘要】
报文转发方法及装置
本申请涉及网络通信
,特别涉及一种报文转发方法及装置。
技术介绍
为了实现高可靠性和冗余部署,提供更好的服务,大多数企业网络及其数据中心或服务提供商通常在异地部署多个数据中心,实现负载分担和高可靠性,并实现虚拟机(VirtualMachine,虚拟机)在数据中心之间的自由迁移。如图1所示,数据中心1、数据中心2和数据中心3处于不同地域,GW1、GW2和GW3分别是数据中心1、数据中心2和数据中心3的网关设备,GW1、GW2和GW3都接入互联网,通过互联网实现数据中心之间的数据通信。SSL(SecureSocketsLayer,安全套接层)VPN(VirtualPrivateNetwork,虚拟专用网络)是以SSL为基础的VPN技术。SSLVPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。目前,SSLVPN技术主要应用于远程用户主机接入企业网络。当SSLVPN技术应用于如图1所示的多数据中心网络时,由于数据中心内部存在多个VPN,因此,需要在两个数据中心的网关设备之间为每个VPN均建立对应的SSLVPN隧道,从而,占用了较多的隧道资源和公网IP地址资源。
技术实现思路
有鉴于此,本申请提供一种报文转发方法及装置。具体地,本申请是通过如下技术方案实现的:一方面,提供了一种报文转发方法,该方法应用于数据中心的网关设备,该方法包括:接收本数据中心内的本地VM发来的第一用户报文;确定第一用户报文所属的第一VPN实例,根据第一用户报文的目的地址,在第一VPN实例对应的转发表中查找 ...
【技术保护点】
一种报文转发方法,其特征在于,所述方法应用于数据中心的网关设备,所述方法包括:接收本数据中心内的本地虚拟机VM发来的第一用户报文;确定所述第一用户报文所属的第一VPN实例,根据所述第一用户报文的目的地址,在所述第一VPN实例对应的转发表中查找用于转发所述第一用户报文的SSL VPN隧道;所述用于转发所述第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;在所述第一用户报文中封装所述第一VPN实例对应的VPN标签后进行SSL VPN隧道封装得到第一隧道封装报文,通过所述用于转发所述第一用户报文的SSL VPN隧道转发所述第一隧道封装报文,以使接收到所述第一隧道封装报文的远端网关设备,对所述第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文,根据所述第一用户报文携带的VPN标签,将所述第一用户报文在所述第一VPN实例内进行本地转发。
【技术特征摘要】
1.一种报文转发方法,其特征在于,所述方法应用于数据中心的网关设备,所述方法包括:接收本数据中心内的本地虚拟机VM发来的第一用户报文;确定所述第一用户报文所属的第一VPN实例,根据所述第一用户报文的目的地址,在所述第一VPN实例对应的转发表中查找用于转发所述第一用户报文的SSLVPN隧道;所述用于转发所述第一用户报文的SSLVPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文;在所述第一用户报文中封装所述第一VPN实例对应的VPN标签后进行SSLVPN隧道封装得到第一隧道封装报文,通过所述用于转发所述第一用户报文的SSLVPN隧道转发所述第一隧道封装报文,以使接收到所述第一隧道封装报文的远端网关设备,对所述第一隧道封装报文进行SSLVPN隧道解封装后得到第一用户报文,根据所述第一用户报文携带的VPN标签,将所述第一用户报文在所述第一VPN实例内进行本地转发。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收远端网关设备通过SSLVPN隧道发来的第二隧道封装报文,对所述第二隧道封装报文进行SSLVPN隧道解封装后得到第二用户报文,确定与所述第二用户报文携带的VPN标签对应的第二VPN实例,将所述第二用户报文在所述第二VPN实例内进行本地转发。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:当本设备作为SSLVPN客户端时,向作为SSLVPN服务器的远端网关设备发送SSLVPN连接请求消息,以使所述作为SSLVPN服务器的远端网关设备对本设备进行身份认证,在认证通过后,将所述作为SSLVPN服务器的远端网关设备所属的远端数据中心内的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给本设备;接收所述作为SSLVPN服务器的远端网关设备发来的所述资源授权报文;确认本设备与所述作为SSLVPN服务器的远端网关设备之间的SSLVPN隧道建立成功;根据所述多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签,针对所述多个远端VM中的每个远端VM,将建立成功的SSLVPN隧道与该远端VM的地址的对应关系配置到该远端VM所属VPN实例对应的转发表中。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:当本设备作为SSLVPN服务器时,接收作为SSLVPN客户端的远端网关设备发来的SSLVPN连接请求消息;对所述作为SSLVPN客户端的远端网关设备进行身份认证,在认证通过后,将多个本地VM的地址和多个本地VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给所述作为SSLVPN客户端的远端网关设备。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:接收控制器发来的需要建立SSLVPN隧道的网关设备的地址列表,以及VPN实例与VPN标签的对应关系;在判断出所述地址列表中存在本设备的地址时,针对所述地址列表中除本设备的地址以外的其它地址,将本设备作为SSLVPN客户端,将地址为所述其它地址的远端网关设备作为SSLVPN服务器,向作为SSLVPN服务器的远端网关设备发送SSLVPN连接请求消息,以建立本设备与作为SSLVPN服务器的远端网关设备之间的SSLVPN隧道。6.一种报文转发装置,其特征在于,所述装置应用于数据中心的网关设备中,所述装置包括:接收单元,用于接...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。