本申请提供一种报文转发方法、装置、电子设备及机器可读存储介质。在本申请中,接收所述对端设备的目标请求报文;对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。通过获取及保存目标请求报文对应的内层会话信息,并基于所述内层会话信息,将所述目标请求报文对应的目标回应报文,基于所述目标请求报文的出接口转发至位于NAT后的对端设备,从而保证了多链路IPSec VPN组网下,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。
Message forwarding methods, devices, electronic devices and machine readable storage media
【技术实现步骤摘要】
报文转发方法、装置、电子设备及机器可读存储介质
本申请涉及通信
,尤其涉及报文转发方法、装置、电子设备及机器可读存储介质。
技术介绍
由于经济和社会的快速发展,企业信息化程度的提高,一个常见的需求就是各地分公司或办事处同企业总部的需要跨越互联网进行信息交互以及传递,而VPN(VirtualPrivateNetwork,虚拟专用网络)就是应对上述需求的一种远程访问技术。VPN按应用模式划分,可以包括多种类型,其中,隧道协议IPSec(InternetProtocolSecurity,互联网安全协议)作为上述隧道协议中的一种,基于IPSecVPN对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。以IPSec作为VPN隧道协议的VPN为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。基于IPSecVPN的多个通信方之间在IP层通过加密与数据源认证等方式,提供了数据机密性、数据完整性、数据来源认证等安全服务。
技术实现思路
本申请提供一种报文转发方法,所述方法应用于IPSecVPN组网中的IPSec对等体,所述IPSecVPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSecVPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述方法包括:接收所述对端设备的目标请求报文;对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。可选的,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备,包括:对所述目标回应报文执行IPSec封装;将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。可选的,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,包括:基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。本申请还提供一种报文转发装置,所述装置应用于IPSecVPN组网中的IPSec对等体,所述IPSecVPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSecVPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述装置包括:接收模块,接收所述对端设备的目标请求报文;会话模块,对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;转发模块,基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。可选的,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述转发模块进一步:对所述目标回应报文执行IPSec封装;将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。可选的,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,所述转发模块进一步:基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。通过以上实施例,通过获取及保存目标请求报文对应的内层会话信息,并基于所述内层会话信息,将所述目标请求报文对应的目标回应报文,基于所述目标请求报文的出接口转发至位于NAT后的对端设备,从而保证了多链路IPSecVPN组网下,目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。附图说明图1是一示例性实施例提供的一种多链路的IPSecVPN的系统组网图。图2是一示例性实施例提供的一种报文转发方法的流程图。图3是一示例性实施例提供的另一种多链路的IPSecVPN的系统组网图。图4是一示例性实施例提供的一种报文转发装置的框图。图5是一示例性实施例提供的一种电子设备的硬件结构图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。为了使本
的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的IPSecVPN组网下的报文转发的相关技术,进行简要说明。请参见图1,图1是本说明书一实施例提供的一种多链路的IPSecVPN的系统组网图。如图1所示的组网包括:本端设备(包括对应IP地址10.20.20.1、10.10.10.1的接口)、对端设备1(包括对应IP地址192.168.1.1的接口)、对端设备2(包括对应IP地址192.168.2.1的接口)、NAT网关(对应IP地址10.30.30.1)、SERVER(对应IP地址1.1.1.1)、PC1(对应IP地址2.2.2.2)、PC2(对应IP地址2.2.2.2);其中,对端设备1以及对端设备2位于NAT内;SERVER(基于接入本端设备)与PC1(基于接入对端设备1)、PC2(基于接入对端设备2)可以通过分别建立IPSec隧道(隧道1及隧道2,分别对应图1所示的带箭头的虚线),进行报文交互。在一些场景下,基于如图1所示的组网,当经对端设备1接入IPSecVPN的PC1需经过隧道1访问本端设备接入的SERVER时,从PC1发出本文档来自技高网...
【技术保护点】
1.一种报文转发方法,其特征在于,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSec VPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述方法包括:接收所述对端设备的目标请求报文;对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。
【技术特征摘要】
1.一种报文转发方法,其特征在于,所述方法应用于IPSecVPN组网中的IPSec对等体,所述IPSecVPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所述IPSecVPN组网包括一个本端设备和至少两个对端设备,所述对端设备基于NAT与所述本端设备相连通信,当所述IPSec对等体为本端设备时,所述方法包括:接收所述对端设备的目标请求报文;对所述目标请求报文执行IPSec解封装,并保存所述目标报文对应的内层会话,其中,所述内层会话至少包括所述目标请求报文的出接口;基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备。2.根据权利要求1所述的方法,其特征在于,所述内层会话还包括所述目标请求报文对应的IPSec隧道,所述基于所述内层会话,将所述目标请求报文对应的目标回应报文转发所述对端设备,包括:对所述目标回应报文执行IPSec封装;将封装后的目标回应报文经由所述IPSec隧道对应的出接口,转发至NAT内的所述对端设备。3.根据权利要求1所述的方法,其特征在于,所述本端设备与所述对端设备之间若存在多链路,当所述IPSec对等体为对端设备时,包括:基于所述对端设备与所述多链路对应的不同出接口带宽,动态配置所述目标请求报文对应所述不同出接口的发送权重;基于所述不同出接口的发送权重,将所述目标请求报文经所述多链路对应的不同出接口,发送至所述本端设备。4.一种报文转发装置,其特征在于,所述装置应用于IPSecVPN组网中的IPSec对等体,所述IPSecVPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其中,所...
【专利技术属性】
技术研发人员:黄春平,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。