【技术实现步骤摘要】
一种报文处理方法及装置
本申请涉及通信
,尤其涉及一种报文处理方法及装置。
技术介绍
在云场景下,云平台中会设置有软件定义网络(SoftwareDefinedNetwork,SDN)纳管系统,通过SDN纳管系统,可实现对租户的安全设备(比如租户的防火墙设备等)的对接和流量牵引。技术人员可以通过SDN纳管系统将控制指令下发给安全设备,以实现对多个租户的安全设备的统一管理。目前,安全设备通常采用多租户共享context方式,实现租户划分和隔离,也即,对安全设备进行虚拟化,一台安全设备对应多个租户的方式。在租户共享context方式下,安全设备的下行接口被划分为多个下行子接口,每个下行子接口绑定租户所属的虚拟专用网络(VirtualPrivateNetwork,VPN)。例如,该安全设备为租户1和租户2提供服务,该安全设备上的下行子接口1绑定租户1所属的VPN,该安全设备上的下行子接口2绑定租户2所属的VPN。在实际应用中,租户之间往往有跨租户虚拟私有云(VirtualPrivateClouds,VPC)互访的需求,要求不同租户的用户设备的流量可以实现互访,并且需要安全设备做安全防护,比如租户1需要访问租户2。然而。在SDN纳管系统中,不同租户的安全域及地址信息是相互不可见的,例如,在SDN纳管系统中,技术人员配置租户1的用户设备对应的路由表时,无法看到租户2的用户设备对应的下一跳地址,并且,SDN纳管系统中也不允许将下行子接口绑定的VPN作为目的VPN。SDN纳管系统中无法配置跨VPN的静态路由,无 ...
【技术保护点】
1.一种报文处理方法,其特征在于,所述方法应用于安全设备,所述方法包括:/n接收第一用户设备发送的业务报文,其中,所述业务报文的目的地址为第二用户设备的私网互联网协议IP地址,所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备;/n根据获取到的所述第一用户设备对应的第一路由转发表,确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址,所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系,所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口,所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址;/n根据所述第一下一跳地址,通过在所述第一公网接口与所述第二公网接口之间创建的IP安全IPsec虚拟专用网VPN隧道,将所述业务报文发送至所述第二公网接口;/n通过所述第二公网接口,将所述业务报文发送至所述第二用户设备。/n
【技术特征摘要】
1.一种报文处理方法,其特征在于,所述方法应用于安全设备,所述方法包括:
接收第一用户设备发送的业务报文,其中,所述业务报文的目的地址为第二用户设备的私网互联网协议IP地址,所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备;
根据获取到的所述第一用户设备对应的第一路由转发表,确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址,所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系,所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口,所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址;
根据所述第一下一跳地址,通过在所述第一公网接口与所述第二公网接口之间创建的IP安全IPsec虚拟专用网VPN隧道,将所述业务报文发送至所述第二公网接口;
通过所述第二公网接口,将所述业务报文发送至所述第二用户设备。
2.根据权利要求1所述的方法,其特征在于,通过以下方式获取第一路由转发表:
根据预先配置的下行子接口与VPN的对应关系,确定第一下行子接口对应的第一VPN,其中,所述第一下行子接口为接收所述业务报文的下行子接口;
根据预先存储的VPN与路由转发表的对应关系,确定所述第一VPN对应的路由转发表,并将其作为所述第一路由转发表。
3.根据权利要求1所述的方法,其特征在于,所述通过所述第二公网接口,将所述业务报文发送至所述第二用户设备,具体包括:
根据预先配置的公网接口和VPN的对应关系,确定所述第二公网接口对应的第二VPN;
根据预先存储的VPN与路由转发表的对应关系,确定所述第二VPN对应的第二路由转发表,其中,所述第二路由转发表包括目的地址、出接口和下一跳地址的对应关系;
根据所述第二路由转发表,确定所述第二用户设备的私网IP地址对应的第二出接口和第二下一跳地址,其中,所述第二出接口为所述安全设备上的所述第二用户设备对应的第二公网接口,所述第二下一跳地址为所述安全设备上的所述第二用户设备对应的第二下行子接口的地址;
根据所述第二下一跳地址,通过所述第二公网接口将所述业务报文发送至所述第二下行子接口;
通过所述第二下行子接口发送所述业务报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收管理服务器发送的配置所述第一路由转发表的路由配置指令,所述路由配置指令中包括所述第一公网接口的标识、所述第二用户设备的私网IP地址和所述第二公网接口的公网IP地址;
配置转发表项的内容为目的地址为所述第二用户设备的私网IP地址、出接口为所述第一公网接口以及下一跳地址为所述第二公网接口的公网IP地址的所述第一路由转发表。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收管理服务器发送的隧道配置信息,其中,所述隧道配置信息为在所述第一公网接口与所述第二公网接口之间创建IPsecVPN隧道时所需的隧道配置信息;
根据所述隧道配置信息,在所述第一公网接口与所述第二公网接口之间创建IPsecVPN隧道。
6.一种报文处理装置,其特征在于,...
【专利技术属性】
技术研发人员:韩超,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。