一种报文处理方法及装置制造方法及图纸

本申请提供一种报文处理方法及装置，该方法应用于安全设备，该方法包括：接收第一用户设备发送的业务报文；根据获取到的第一用户设备对应的第一路由转发表，确定第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，其中，第一出接口为安全设备上的第一用户设备对应的第一公网接口，第一下一跳地址为安全设备上的第二用户设备对应的第二公网接口的公网IP地址；根据第一下一跳地址，通过在第一公网接口与第二公网接口之间创建的IPsec VPN隧道，将业务报文发送至第二公网接口；通过第二公网接口，将业务报文发送至第二用户设备。本申请可实现同一安全设备内部的租户使用公网IP地址互访。

【技术实现步骤摘要】
一种报文处理方法及装置
本申请涉及通信
，尤其涉及一种报文处理方法及装置。
技术介绍
在云场景下，云平台中会设置有软件定义网络(SoftwareDefinedNetwork，SDN)纳管系统，通过SDN纳管系统，可实现对租户的安全设备(比如租户的防火墙设备等)的对接和流量牵引。技术人员可以通过SDN纳管系统将控制指令下发给安全设备，以实现对多个租户的安全设备的统一管理。目前，安全设备通常采用多租户共享context方式，实现租户划分和隔离，也即，对安全设备进行虚拟化，一台安全设备对应多个租户的方式。在租户共享context方式下，安全设备的下行接口被划分为多个下行子接口，每个下行子接口绑定租户所属的虚拟专用网络(VirtualPrivateNetwork，VPN)。例如，该安全设备为租户1和租户2提供服务，该安全设备上的下行子接口1绑定租户1所属的VPN，该安全设备上的下行子接口2绑定租户2所属的VPN。在实际应用中，租户之间往往有跨租户虚拟私有云(VirtualPrivateClouds，VPC)互访的需求，要求不同租户的用户设备的流量可以实现互访，并且需要安全设备做安全防护，比如租户1需要访问租户2。然而。在SDN纳管系统中，不同租户的安全域及地址信息是相互不可见的，例如，在SDN纳管系统中，技术人员配置租户1的用户设备对应的路由表时，无法看到租户2的用户设备对应的下一跳地址，并且，SDN纳管系统中也不允许将下行子接口绑定的VPN作为目的VPN。SDN纳管系统中无法配置跨VPN的静态路由，无法实现租户间互访功能，进而导致租户体验较差。
技术实现思路
为克服相关技术中存在的问题，本申请提供了一种报文处理方法及装置。根据本申请实施例的第一方面，提供一种报文处理方法，所述方法应用于安全设备，所述方法包括：接收第一用户设备发送的业务报文，其中，所述业务报文的目的地址为第二用户设备的私网IP地址，所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备；根据获取到的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口，所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址；根据所述第一下一跳地址，通过在所述第一公网接口与所述第二公网接口之间创建的IP安全(IPsec)VPN隧道，将所述业务报文发送至所述第二公网接口；通过所述第二公网接口，将所述业务报文发送至所述第二用户设备根据本申请实施例的第二方面，提供一种报文处理装置，所述装置应用于安全设备，所述装置包括：接收模块，用于接收第一用户设备发送的业务报文，其中，所述业务报文的目的地址为第二用户设备的私网IP地址，所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备；确定模块，用于根据获取到的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口，所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址；第一发送模块，用于根据所述第一下一跳地址，通过在所述第一公网接口与所述第二公网接口之间创建的IPsecVPN隧道，将所述业务报文发送至所述第二公网接口；第二发送模块，用于通过所述第二公网接口，将所述业务报文发送至所述第二用户设备。本申请的实施例提供的技术方案可以包括以下有益效果：在本申请实施例中，安全设备在接收到第一用户设备发送的业务报文后；首先会根据获取到的第一用户设备对应的第一路由转发表，确定第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，其中，第一出接口为安全设备上的第一用户设备对应的第一公网接口，第一下一跳地址为安全设备上的第二用户设备对应的第二公网接口的公网IP地址；然后，安全设备再根据第一下一跳地址，通过在第一公网接口与第二公网接口之间创建的IPsecVPN隧道，将业务报文发送至第二公网接口；最后，安全设备通过第二公网接口，将业务报文发送至第二用户设备，从而实现了同一安全设备内部的租户使用公网IP地址互访，进而提高了租户体验。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。附图说明此处的附图被并入说明书中并构成本申请的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。图1为本申请实施例提供的网络系统的架构示意图；图2为本申请实施例提供的一种报文处理方法的流程示意图；图3为本申请实施例提供的一种报文处理装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。接下来对本申请实施例进行详细说明。本申请实施例提供了一种报文处理方法，该方法可以应用于安全设备，该安全设备可以为防火墙设备等安全设备。该安全设备可以应用于SDN纳管场景下。SDN是一种新型网络架构，其核心思想是分离网络设备的控制平面与转发平面，并通过控制器对网络流量进行集中和灵活控制，从而为核心网络及应用的创新提供良好的平台。在本申请实施例中，SDN纳管系统是SDN网络中的控制平面，技术人员可以通过管理员终端向运行有SDN纳管系统的管理服务器下发指令，以配置SDN网络中的网络设备(比如安全设备或路由设备等)。如图1所示，为本申请实施例提供的一种网络系统的示意图。该网络系统包括运行有SDN纳管系统的管理服务器、管理区交换机和管理员终端、边界路由器、安全设备、接入设备和租户的用户设备(如图1所示的用户设备1和用户设备2)。管理本文档来自技高网...

【技术保护点】
1.一种报文处理方法，其特征在于，所述方法应用于安全设备，所述方法包括：/n接收第一用户设备发送的业务报文，其中，所述业务报文的目的地址为第二用户设备的私网互联网协议IP地址，所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备；/n根据获取到的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口，所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址；/n根据所述第一下一跳地址，通过在所述第一公网接口与所述第二公网接口之间创建的IP安全IPsec虚拟专用网VPN隧道，将所述业务报文发送至所述第二公网接口；/n通过所述第二公网接口，将所述业务报文发送至所述第二用户设备。/n

【技术特征摘要】
1.一种报文处理方法，其特征在于，所述方法应用于安全设备，所述方法包括：
接收第一用户设备发送的业务报文，其中，所述业务报文的目的地址为第二用户设备的私网互联网协议IP地址，所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备；
根据获取到的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口，所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址；
根据所述第一下一跳地址，通过在所述第一公网接口与所述第二公网接口之间创建的IP安全IPsec虚拟专用网VPN隧道，将所述业务报文发送至所述第二公网接口；
通过所述第二公网接口，将所述业务报文发送至所述第二用户设备。


2.根据权利要求1所述的方法，其特征在于，通过以下方式获取第一路由转发表：
根据预先配置的下行子接口与VPN的对应关系，确定第一下行子接口对应的第一VPN，其中，所述第一下行子接口为接收所述业务报文的下行子接口；
根据预先存储的VPN与路由转发表的对应关系，确定所述第一VPN对应的路由转发表，并将其作为所述第一路由转发表。


3.根据权利要求1所述的方法，其特征在于，所述通过所述第二公网接口，将所述业务报文发送至所述第二用户设备，具体包括：
根据预先配置的公网接口和VPN的对应关系，确定所述第二公网接口对应的第二VPN；
根据预先存储的VPN与路由转发表的对应关系，确定所述第二VPN对应的第二路由转发表，其中，所述第二路由转发表包括目的地址、出接口和下一跳地址的对应关系；
根据所述第二路由转发表，确定所述第二用户设备的私网IP地址对应的第二出接口和第二下一跳地址，其中，所述第二出接口为所述安全设备上的所述第二用户设备对应的第二公网接口，所述第二下一跳地址为所述安全设备上的所述第二用户设备对应的第二下行子接口的地址；
根据所述第二下一跳地址，通过所述第二公网接口将所述业务报文发送至所述第二下行子接口；
通过所述第二下行子接口发送所述业务报文。


4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
接收管理服务器发送的配置所述第一路由转发表的路由配置指令，所述路由配置指令中包括所述第一公网接口的标识、所述第二用户设备的私网IP地址和所述第二公网接口的公网IP地址；
配置转发表项的内容为目的地址为所述第二用户设备的私网IP地址、出接口为所述第一公网接口以及下一跳地址为所述第二公网接口的公网IP地址的所述第一路由转发表。


5.根据权利要求1所述的方法，其特征在于，所述方法还包括：
接收管理服务器发送的隧道配置信息，其中，所述隧道配置信息为在所述第一公网接口与所述第二公网接口之间创建IPsecVPN隧道时所需的隧道配置信息；
根据所述隧道配置信息，在所述第一公网接口与所述第二公网接口之间创建IPsecVPN隧道。


6.一种报文处理装置，其特征在于，...

【专利技术属性】
技术研发人员：韩超，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽;34