远程接入mplsvpn的方法、系统和网关的制作方法

专利名称：：远程接入mplsvpn的方法、系统和网关的制作方法
技术领域：
：本发明涉及SSLVPN(SecureSocketLayerVirtualPrivateNetwork,安全套接层虚拟专用网络)技术和MPLSVPN(MPLSVPN，Multi-ProtocolLabelSwitchingVirtualPrivateNetwork,多协议标记交换虛拟专用网络)技术，具体涉及远程^妄入MPLSVPN的方法、系统和应用于该系统的网关。
背景技术：
：SSLVPN是一种采用SSL(SecureSocketLayer,安全套接层)加密连接实现远程访问的VPN(VirtualPrivateNetwork,虚拟专用网络)技术。图1A和图IB示出了SSLVPN的网络结构示意图。如图1A所示，远程主机与SSLVPN网关之间建立SSL连接，以加密方式在互联网上传送报文。SSLVPN网关终结了SSL连接，通过与内网的VPN资源服务器之间建立的TCP(TransmissionControlProtocol,传输控制协议)连接或者通过直4娄IP转发，以明文方式传送远程主机发来的请求，并将服务器的应答通过SSL连接发给远程主机。用户远程接入的方式包括TCP接入方式、WEB(网页)接入方式和IP接入方式。TCP和WEB接入方式下的远程接入过程相同，而IP接入方式的远程接入过程略有不同。具体来说，在TCP/WEB("/，，表示"或，，)接入方式下，远程访问过程包括以下步骤步骤A、用户userl与SSLVPN网关之间进行信息交互，建立与远程接入相关的连接，具体包括al、userl通过远程主机向SSLVPN网关请求登录i人证；SSLVPN网关认证通过后，向用户userl返回用户资源页面，该用户资源页面包括用户userl允许访问的VPN资源信息；a2、当userl请求访问VPN资源时，通过远程主机与SSLVPN网关建立SSL连接；在TCP/WEB接入方式下，网关需要维护双向连接对应关系表，即与用户主机之间的SSL连接和与VPN资源服务器之间的TCP连接，因此userl通过建立的SSL连接向SSLVPN网关发送用户ID(标识)和请求访问的VPN资源ID。用户ID用于识别用户，VPN资源ID用于指示^皮请求访问的资源。a3、SSLVPN网关根据VPN资源ID,为userl建立SSLVPN网关与被请求访问的VPN资源所在VPN资源服务器1之间建立TCP连接并维护。其中，为userl建立的TCP连接的两端为SSLVPN网关上物理出接口的私网地址172.1.1.1,以及VPN资源月良务器1的私网地址10.3.1.1。步骤B、与远程接入相关的连接建立完成后，userl通过SSL连4妄向SSLVPN网关发送4艮文，SSLVPN网关将从SSL连接接收的才艮文通过为userl建立的TCP连接转发给VPN资源服务器1。由于在TCP/WEB接入方式下，userl不需要知道VPN资源服务器的地址，因此userl发给SSLVPN网关的报文仅携带公网IP头。userl发送的报文如图1A中的报文①，7>网IP头中的公网源地址为userl使用的远程主才凡的/>网地址60.191.123.24,7〉网目的地址为SSLVPN网关的/>网地址220.189.204.90。SSLVPN网关的核心组成为SSLVPN业务单元，该单元分为3个模块，分别为TCP接入方式处理模块、WEB接入方式处理模块和IP接入方式处理模块。其中TCP接入方式处理模块和WEB接入方式处理模块的报文转发流程类似，在此可以认为是一个模块，即TCP/WEB接入方式处理模块。该TCP/WEB接入方式处理才莫块工作在应用层，而IP接入方式处理才莫块同时工作在应用层和IP层。在TCP/WEB接入方式下，步骤B的转发过程具体包括子步骤bl~b3:bl、报文通过SSL连接进入SSLVPN网关后，由IP层去掉公网IP头，将报文的数据部分经由TCP层上送到位于应用层的TCP/WEB接入方式处理模块；b2、TCP/WEB接入方式处理才莫块根据双向连接对应关系表确定将所接收的报文通过为userl建立的TCP连接转发，此时将报文发送给TCP层；b3、TCP层根据为userl建立的TCP连接(172.1.1.1至10.3.1.1)，为才艮文添加私网IP头，其中私网IP头中的私网源地址和私网目的地址分别为172.1.1.1和10.3.1.1，然后把报文传送给IP层。b4、IP层根据报文的目的地址进行路由查找，然后通过物理出接口172.1.1.1转发出去。转发出去的报文如图1A中的报文②，其中私网IP头中的私网源i也址和私网目的i也址分别为172.1.1.1和10.3.1.1。步骤C、SSLVPN网关通过TCP连接接收VPN资源服务器1返回的应答报文，通过SSL连接返回给userl。该步骤相当于步骤B的反向操作，先由IP层将应答报文的私网IP头去掉并经由TCP层上送到TCP/WEB接入方式处理模块，TCP/WEB接入方式处理模块确定通过与userl之间的SSL连接返回应答4艮文，由TCP层为应答才艮文添加公网IP头，最后由IP层通过路由查找并转发出去。至此，完成了TCP/WEB4妻入方式下的远程4妄入。当用户userl在IP接入方式下进行远程接入时，需要创建为用户分配地址的地址池。接入过程仍包括上述步骤A、B和C，但每个步骤的具体实现有所不同。具体来说，在步骤A中，SSLVPN网关除了要返回用户资源页面，还需要从地址池中随机选择一个IP地址分配给用户userl，作为用户userl访问VPN资源服务器的源地址也即虚地址。假设分配的虚地址为10.1.1.2。当userl需要访问VPN资源时，仅建立SSL连接，不建立TCP连接，但SSLVPN网关需要维护用户、虚地址和SSL连接对应关系表，SSLVPN网关不需要知道userl接下来要访问哪个VPN资源服务器。因此，userl与SSLVPN网关交互信息时，只需通过建立的SSL连接向SSLVPN网关发送用户ID即可。在步骤B中，userl仍通过SSL连接向SSLVPN网关发送报文，该报文中不仅包括前述的7>网IP头，还包括私网IP头。userl发送的才艮文如图IB的报文①，报文①的/^网IP头与图1A相同，私网源地址为userl的虛地址10.1.1.2，私网目的地址为被访问的VPN资源服务器的私网地址10.3.1.1，该VPN资源服务器的私网地址是userl可以预先获知的。当SSLVPN网关接收到报文时，由IP层去掉公网IP头，并通过TCP层发送给IP接入方式处理模块，该处理模块确定直接根据私网IP头进行报文转发。去掉公网IP头的报文如图IB中的报文②。在步骤C中，SSLVPN网关接收VPN资源服务器l返回的应答报文，由IP接入方式处理模块根据用户、虚地址和SSL连接对应关系表确定通过与userl之间的SSL连接返回应答报文，然后由TCP层为报文添加公网IP头，由IP层查找路由并转发给userl。至此，完成了IP接入方式下的远程接入。MPLSL3VPN是服务提供商VPN解决方案中一种基于PE(ProviderEdge,提供商边缘)；洛由器的L3(三层)VPN技术，它使用BGP(BorderGatewayProtocol,边界网关协议)在MPLS交换网上发布VPN路由，使用标签转发在MPLS交换网上转发MPLS才艮文。图2为现有技术中MPLSL3VPN的组网结构示意图，如图2所示，MPLSL3VPN模型由以下三部分组成CE(CustomerEdge,用户网络边缘)设备，简称CE,有接口直接与P(Provider,服务提供商)路由器相连。CE可以是路由器或交换机，也可以是一台主机。CE"感知"不到VPN的存在，也不需要必须支持MPLS。PE路由器，简称PE,是MPLS交换网的边缘设备，与CE直接相连。MPLS网络中，所有VPN信息的处理都在PE上维护。PE上存储有VPN路由转发实例(VRF，VPNRouting&ForwardingInstance),简称VPN实例。VPN实例中包含路由转发表和MPLS标签转发表。其中，路由转发表包括两类路由，第一类路由为接收自CE设备的报文指示出接口，第二类路由为接收自P路由器的报文指示出接口。MPLS标签转发表包括两类表项，第一类表项为各VPN的VPN标签(内层标签)，第二类为转发表项，为接收自CE设备的报文指示下一跳P路由器信息和MPLS转发标签。P路由器，简称P，是MPLS交换网的骨干路由器，不与CE直接相连，只需要具备基本MPLS转发能力，不用維护VPN信息。如图2所示，PE路由器的不同物理接口连接不同CE设备，一个物理接口绑定一个VPN，根据与VPN绑定的物理接口形成该VPN的VPN实例。当来自CE设备的报文从PE上的某一物理端口进入时，PE路由器根据物理端口确定净艮文所属VPN,采用净艮文所属VPN的VPN实例对报文进行转发处理。该转发处理操作包括根据路由转发表查找报文的出接口，根据MPLS标签转发表查找报文的VPN标签(内层标签)、MPLS转发标签(外层标签)以及下一跳P设备信息等等，根据查找到的信息为报文打上VPN标签和MPLS转发标签然后转发。当PE接收到来自P路由器的报文时，根据报文携带的VPN标签，查找相应VPN实例，通过与相应VPN实例绑定的物理接口将报文转发给CE设备。在现有技术中，PE路由器还可以通过接入VLAN(虚拟局域网)信息区分不同的VPN用户。当图1A和图IB中SSLVPN网关所连接的局域网采用MPLSL3VPN时，SSLVPN网关如4可与MPLSL3VPN中的i殳备连接，连接后如何将4秦收自SSL连接的报文转发到MPLS交换网中，使得远程用户能够通过SSL连接远程访问MPLSVPN中的VPN资源服务器，是亟待解决的问题，而且现有技术中还未提出相关的解决方案。
发明内容有鉴于此，本发明提供了一种远程接入MPLSVPN的方法，使得远程用户能够通过自身与SSLVPN网关之间的SSL连接，远程访问MPLSVPN中的VPN资源。远程用户通过自身与安全套接层虚拟专用网络SSLVPN网关之间的SSL连接访问MPLSVPN中的VPN资源服务器，所述SSLVPN网关同时作为MPLS交换网中的服务提供商边缘PE路由器。该方法包括A、在SSLVPN网关中创建多个虚拟接口，一个VPN绑定一个虚拟接口，根据VPN绑定的虚拟接口形成VPN实例；根据用户的认证授权信息区分不同VPN的用户，将用户的认证授权信息与相应VPN绑定；B、用户x与SSLVPN网关之间进行信息交互，建立与远程接入相关的连接；C、SSLVPN网关接收用户x通过SSL连接发来的报文，根据用户x的iU正4受4又信息绑定的VPN实例，为所接收报文添加VPN标签和MPLS转发标签，并通过MPLS交换网转发到VPN资源服务器；D、SSLVPN网关接收所述VPN资源服务器的返回的应答报文，根据该应答4艮文携带的VPN标签查找相应VPN实例，根据查找到的VPN实例将应答报文通过所述SSL连接返回给用户x。与用户x的认证授权信息绑定的VPN实例包括路由转发表项1:目的地址为虚拟接口VI的IP地址，下一跳为内部环回接口地址；所述虚拟接口VI为用户x所属VPN绑定的虛拟4妻口；当采用传输控制协议TCP或网页WEB方式接入VPN资源服务器时步骤B所述建立与远程接入相关的连接包括当用户x请求访问VPN资源服务器SI时，建立用户x与SSLVPN网关之间的SSL连接；为用户x建立虛拟接口VI与VPN资源服务器SI之间的TCP连接；所述虚拟接口VI为用户x所属VPN绑定的虚拟接口；在建立所述TCP连接过程中，根据用户x的认证授权信息绑定的VPN实例，为所述TCP连接的套接字SOCKET设置VPN实例标签索引；所述步骤C包括接收用户x通过SSL连接发来的报文，根据为用户x建立的TCP连接的信息，在TCP层为所接收报文添加VPN实例标签索引，再由MPLS才莫块才艮据VPN实例标签索引找到相应VPN实例，为4艮文添加VPN标签和MPLS转发标签，然后通过为用户x建立的TCP连接将报文转发给VPN资源服务器SI;所述步骤D包括接收通过所述TCP连接返回的应答报文，根据该应答报文携带的VPN标签查找相应VPN实例；根据所述应答报文的私网目的地址在查找到的VPN实例中匹配到所述路由转发表项1，获得下一跳为内部环回接口地址，则直接将所接收的应答报文转发到上层应用，该上层应用通过所述SSL连接将应答报文发送给用户x。所述步骤C包括cl、报文通过SSL连接进入SSLVPN网关后，由位于IP层的IP模块去掉才良文的公网IP头，将报文的数据部分经由TCP模块上送到位于应用层的SSLVPN业务模块；c2、所述SSLVPN业务模块确定将所接收的报文通过为用户x建立的TCP连接转发；c3、位于TCP层的TCP模块根据为用户x建立的TCP连接，为报文添加私网IP头，并且根据SOCKET的VPN实例标签索引在报文中记录VPN实例标签索引；c4、位于IP层的IP模块通过路由查找确定由MPLS转发，并将报文发送给位于网络接口和IP层之间的MPLS模块；c5、所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，根据查找到的VPN实例为报文添加VPN标签和MPLS转发标签并转发。所述步骤D包括dl、应答报文通过所述TCP连接进入SSLVPN网关后，位于网络接口和IP层之间的MPLS模块根据应答报文携带的VPN标签确定报文所属VPN,将去掉VPN标签的报文及其所属VPN信息发送给位于IP层的IP模块；d2、所述IP模块根据所述所属VPN信息获取相应VPN实例，并根据所述应答才艮文的私网目的地址在获取的VPN实例中匹配到所述^各由转发表项1，获得下一跳为内部环回接口地址，然后直接将去掉私网IP头的应答报文经由TCP层转发到位于应用层的SSLVPN业务模块；d3、所述SSLVPN业务模块确定将接收自所迷TCP连接的应答报文通过所述SSL连接发送给用户x，并将应答报文发送给所述TCP模块；d4、所述TCP才莫块根据所述SSL连接的信息为报文添加公网IP头，由IP模块将报文通过所述SSL连接发送给用户x。与用户x的认证授权信息绑定的VPN实例包括路由转发表项2:目的地址为虚拟接口VI所在网,殳，下一跳为虚拟接口VI的IP地址；所述虚拟才妄口VI为用户x所属VPN绑定的虛拟4姿口；当采用IP方式接入VPN资源服务器时步骤A所述创建多个虚拟接口为对应为每个VPNi殳置的地址池创建一个虚拟-接口；对应的地址池和虚拟接口属于同一网#炎；所述步骤B包括SSLVPN网关从为用户x所属VPN设置的地址池中为用户x分配虚地址Add一x;当用户x请求访问VPN资源服务器SI时，建立用户x与SSLVPN网关之间的SSL连接；所述步骤C包括接收用户x通过SSL连接发来的携带私网IP头的报文，其私网源地址为Add一x;根据用户x的认证授权信息绑定的VPN实例，在IP层为所接收净艮文添加VPN实例标签索引，再由MPLS才莫块冲艮据VPN实例标签索引为报文添加VPN标签和MPLS转发标签，然后根据报文携带的私网IP头，通过直接IP转发方式将报文转发给VPN资源服务器SI;所述步骤D包括接收返回的应答报文，根据该应答报文携带的VPN标签查找相应VPN实例；根据所述应答才艮文的私网目的地址Add_x在查找到的VPN实例中匹配到所述路由转发表项2，'获得下一跳为虚拟接口VI,则通过所述虚拟接口VI将应答报文经由所述SSL连接转发给用户x。所述步骤C包括cl、报文通过所述SSL连接进入SSLVPN网关后，由IP层的IP模块去掉净艮文的公网IP头，将保留私网IP头和数据部分的报文发送到位于应用层的SSLVPN业务模块1,SSLVPN业务模块1把报文发送给位于IP层的SSLVPN业务模块2;c2、所述SSLVPN业务模块2确定以直接IP转发方式转发报文，将报文发送给位于IP层的VPN标签处理模块；c3、所述VPN标签处理模块根据用户x的认证授权信息绑定的VPN实例，在报文中记录VPN实例标签索引，然后将报文发给IP模块；c4、所述IP模块通过路由查找确定由MPLS进行转发，并将报文发给位于网络接口和IP层之间的MPLS模块；c5、所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，才艮据查找到的VPN实例为报文添加VPN标签和MPLS转发标签并转发。所述步骤D包括dl、应答报文进入SSLVPN网关后，位于网络接口和IP层之间的MPLS模块根据应答报文携带的VPN标签确定报文所属VPN，将去掉VPN标签的报文及其所属VPN信息发送给IP层的IP模块；d2、所述IP模块根据所述所属VPN信息获取相应VPN实例，并根据应答报文的私网目的地址AdcLx在获取的VPN实例中匹配到所述路由转发表项2，获得下一if兆为虚拟接口VI;d3、位于IP层的SSLVPN业务模块2确定通过虚拟接口VI将应答才艮文经由所述SSL连接发送给用户x,并将应答报文发送给位于应用层的SSLVPN业务模块1，SSLVPN业务模块1将应答报文发送给位于TCP层的TCP模块；d4、所述TCP模块根据所述SSL连接的信息为应答报文添加公网IP头，由IP模块通过所述SSL连接将报文发送给用户x。丰交佳地，VPN与虚拟接口绑定以及用户与VPN实例绑定后，进一步形成对应关系表，该对应关系表包括用户标识、用户的认证4受权信息、虚拟才妾口和绑定的VPN实例的标签索引。所述认证授权信息为用户组、和/或虚拟域、和/或角色。所述虛拟接口为SSLVPN虛拟以太网接口或环回接口。本发明提供了一种网关，能够作为SSLVPN网关和PE路由器，使得远程用户能够通过自身与该网关之间的SSL连接，远程访问MPLSVPN中的VPN资源。所述网关同时作为SSLVPN中的SSLVPN网关和MPLSVPN中的PE路由器；所述网关包括配置单元、第一网络接口、第二网络接口、处理单元、VPN实例存储单元和对应关系存储单元；所述配置单元，用于创建多个虚拟接口、一个VPN绑定一个虚拟4妄口，根据VPN绑定的虚拟接口形成VPN实例，将形成的VPN实例存储在VPN实例存储单元中；根据用户的认证授权信息区别不同VPN的用户，将用户与相应的认证授权信息与相应VPN实例绑定；将建立的各种绑定关系存储在对应关系存储单元中；所述对应关系存储单元，用于存储配置单元建立的绑定关系；所述VPN实例存储单元，用于存储VPN实例；第一网络接口，为所在网关和用户之间提供数据传输通道；第二网络接口，为所在网关和MPLS交换网提供数据传输通道；处理单元，用于与用户x进行信息交互，建立与远程接入相关的连接；当接收到用户x通过SSL连接发来的报文时，根据所述对应关系存储单元存储的绑定关系，从所述VPN实例存储单元获取用户x的认证授权信息绑定的VPN实例，采用获取的VPN实例为所接收净艮文添加VPN标签和MPLS转发标签，并通过MPLS交换网转发给VPN资源服务器；当接收到所述VPN资源服务器返回的应答报文时，根据该应答报文携带的VPN标签在所述VPN实例存储单元中查找相应VPN实例，根据查找到的VPN实例将应答报文通过所述SSL连接返回给用户x。其中，与用户x的认证授权信息绑定的VPN实例包括路由转发表项1:目的地址为虛拟接口VI的IP地址，下一跳为内部环回接口地址；所述虚拟接口VI为用户x所属VPN绑定的虚拟接口；当采用TCP或WEB方式4妻入VPN资源月良务器时，所述处理单元进一步用于在建立与远程接入相关的连接时，建立用户x与所在网关之间的SSL连接，为用户x建立虚拟接口VI与被请求访问的VPN资源服务器SI之间的TCP连接；在建立所述TCP连接过程中，根据用户x的认证授权信息绑定的VPN实例，为所述TCP连接的SOCKET设置VPN实例标签索引；在接收到用户x通过所述SSL连接发来的报文时，根据为用户x建立的TCP连接的信息，在TCP层为所接收报文添加VPN实例标签索引，再由处理单元中的MPLS模块根据VPN实例标签索引找到相应VPN实例，为报文添加VPN标签和MPLS转发标签，然后通过为用户x建立的TCP连接将报文转发给VPN资源服务器SI;在接收到通过所述TCP连接返回的应答报文时，根据应答报文携带的VPN标签查找相应VPN实例，根据所述应答冲艮文的私网目的地址在查找到的VPN实例中匹配到所述^各由转发表项1,获得下一跳为内部环回接口地址，则直接将所接收的应答报文转发到上层应用，该上层应用通过所述SSL连接将应答报文发送给用户x。较佳地，所述处理单元包括位于应用层的SSLVPN业务模块和VPN标签处理模块、位于TCP层的TCP模块、位于IP层的IP模块，以及位于IP层与网络接口之间的MPLS模块；所述SSLVPN业务模块，用于当用户x请求访问VPN资源服务器SI时，建立用户x与所在网关之间的SSL连接，为用户x建立虚拟接口VI与VPN资源服务器SI之间的TCP连接；所述VPN标签处理模块，用于在建立所述TCP连接过程中，根据用户x的认证授权信息绑定的VPN实例，为所述TCP连接的SOCKET设置VPN实例标签索引；当报文通过所述SSL连接进入所在网关后，所述IP模块去掉报文的公网IP头，将报文的数据部分经由TCP模块上送到SSLVPN业务模块；所述SSLVPN业务模块进一步确定将所接收的报文通过为用户x建立的TCP连接转发，并将报文发送给所述TCP模块；所述TCP模块根据为用户x建立的TCP连接，为报文添加私网IP头，并且根据SOCKET的VPN实例标签索引在报文中记录VPN实例标签索引，然后将报文发给所述IP模块；所述IP模块进一步通过路由查找确定由MPLS转发，并将报文发送给MPLS模块；所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，为报文添加VPN标签和MPLS转发标签并转发；当应答报文通过所述TCP连接进入所在网关后，所述MPLS才莫块进一步根据应答报文携带的VPN标签确定报文所属VPN，将去掉VPN标签的报文及其所属VPN信息发送给所述IP模块；所述IP模块进一步根据所述所属VPN信息从所述VPN实例存储单元中获取相应VPN实例，并根据应答4艮文的私网目的地址在获取的VPN实例中匹配到所述路由转发表项1,获得下一跳为内部环回接口地址，然后直接将去掉私网IP头的报文经由TCP模块转发到所述SSLVPN业务模块；所述SSLVPN业务模块进一步确定将接收自所述TCP连接的应答报文通过所述SSL连接发送给用户x,并将应答报文发送给所述TCP模块；所述TCP模块进一步根据所述SSL连接的信息为应答报文添加公网IP头，由IP模块将报文通过所述SSL连接发送给用户x。其中，与用户x的认证授权信息绑定的VPN实例包括路由转发表项2:目的地址为虚拟接口VI所在网段，下一跳为虚拟4妄口VI的IP地址；所述虚拟接口VI为用户x所属VPN绑定的虚拟接口；当采用IP方式接入VPN资源服务器时，所述配置单元在创建虚拟接口时，对应为每个VPN设置的;也址池创建一个虚拟^姿口，对应的地址池和虛拟接口属于同一网段；所述处理单元进一步用于在建立与远程接入相关的连接时，从为用户x所属VPN设置的地址池中为用户x分配虛地址Add一x;建立用户x与所在网关之间的SSL连接；在接收到用户x通过SSL连接发来的携带私网IP头的报文时，根据用户x的认证授;〖又信息绑定的VPN实例，在IP层为所接收报文添加VPN实例标签索引，再由处理单元中的MPLS模块根据VPN实例标签索引为报文添加VPN标签和MPLS转发标签；所述私网IP头的源地址为Add一x;在接收到应答报文时，根据该应答报文携带的VPN标签查找相应VPN实例；根据所述应答报文的私网目的地址Add—x在查找到的VPN实例中匹配到所述路由转发表项2,获得下一跳为虚拟接口VI,则通过所述虚拟接口VI将应答报文经由所述SSL连接转发给用户x。较佳地，所述处理单元包括位于应用层的SSLVPN业务模块1、位于IP层的SSLVPN业务模块2和VPN标签处理模块和IP模块，位于TCP层的TCP模块、以及位于IP层与网络接口之间的MPLS模块；位于应用层的SSLVPN业务模块1,用于从为用户x所属VPN设置的地址池中为用户x分配虛地址Add一x;当用户x请求访问VPN资源服务器时，建立用户x与所在网关之间的SSL连接；当报文通过所述SSL连接进入所在网关后，所述IP模块去掉报文的公网IP头，将保留私网IP头和数据部分的报文经由TCP模块发送到位于应用层的SSLVPN业务模块1，SSLVPN业务模块1把解析出来的报文直接发送给位于IP层的SSLVPN业务才莫块2;SSLVPN业务模块2进一步确定以直接IP转发方式转发报文，将报文发送给VPN标签处理模块；所述VPN标签处理模块根据所述对应关系存储单元保存的绑定关系，查找用户x的认证授权信息绑定的VPN实例，并在报文中记录相应VPN实例标签索引，然后将报文发送给所述IP模块；所述IP模块通过路由查找确定由MPLS进行转发，并将报文发送给MPLS模块；所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，根据查找到的VPN实例为报文添加VPN标签和MPLS转发标签并转发；当应答报文通过第二网络接口进入所在网关后，所述MPLS模块进一步根据应答报文携带的VPN标签确定报文所属VPN,将去掉VPN标签的应答报文及其所属VPN信息发送给所述IP模块；所述IP模块进一步根据所述所属VPN信息从所述VPN实例存储单元中获取相应VPN实例，并根据应答报文的私网目的地址Add—x在获取的VPN实例中匹配上所述路由转发表项2,获得下一跳为虚拟接口VI;位于IP层的SSLVPN业务模块2进一步确定通过虛拟接口VI将应答报文经由所述SSL连接发送给用户x,并将应答报文发送给位于应用层的SSLVPN业务模块1;SSLVPN业务模块1将应答报文发送给位于TCP层的TCP模块；所述TCP模块根据所述SSL连接的信息为应答报文添加公网IP头，由IP模块通过所述SSL连接将报文发送给用户x。所述认证授权信息为用户组、和/或虚拟域、和/或角色。所述虚拟4妄口为SSLVPN以太网4矣口或环回接口。本发明还提供了一种远程接入MPLSVPN的系统，使得远程用户能够通过自身与SSLVPN网关之间的SSL连接，远程访问MPLSVPN中的VPN资源。该系统包括前述任意一种网关。根据以上技术方案可见，为了在只有一个物理接口的条件下实现VPN多实例即在同一台设备上区分不同的VPN，本发明通过创建虚拟接口并绑定VPN,使得每个VPN绑定一个虚拟接口，从而形成对应不同VPN的VPN实例，供转发报文时使用。而且，本发明采用用户的认证授权信息区分不同的VPN用户，从而在SSLVPN网关只为用户提供一个物理接口的限制下，实现了用户区分，进而采用相应的VPN实例进行报文转发，实现了远程用户访问MPLSVPN中VPN资源的方案。图IA为现有技术中一种SSLVPN的网络结构示意图。图IB为现有技术中一种SSLVPN的网络结构示意图。图2为现有技术中MPLSL3VPN的组网结构示意图。图3为本发明实施例中SSLVPN网关同时作为PE路由器的组网示意图。.图4为本发明实施例一中远程用户在TCP/WEB接入方式下通过SSL连接接入MPLSVPN的流程图。图5为本发明实施例二中远程用户在IP接入方式下通过SSL连4妻接入MPLSVPN的流程图。图6为本发明实施例中SSLVPN网关的结构示意图。图7为当采用TCP/WEB方式接入VPN资源服务器时，SSLVPN网关的结构示意图。图8为当采用IP方式接入VPN资源服务器时，SSLVPN网关的结构示意图。具体实施例方式本发明采用SSLVPN网关同时作为MPLSL3VPN中PE路由器，从而解决了SSLVPN网关与MPLSL3VPN的连接问题。下文的MPLSVPN均指MPLSL3VPN。图3为本发明实施例中，SSLVPN网关同时作为PE路由器的组网示意图。如图3所示，用户1(userl)属于VPN1，用户2(user2)属于VPN2，两个用户分别通过不同的远程主机访问VPN资源，CE1和CE2为VPN资源服务器，VPN1资源设置在CE1上，VPN2资源设置在CE2上。远程主机与SSLVPN网关之间采用SSL连接传输数据，SSLVPN网关同时作为PE路由器，与MPLS交换网中的P路由器相连。SSLVPN网关作为PE路由器与图2中的PE路由器有所不同，SSLVPN网关对外只4是供一个网络接口，即如图3所示SSLVPN网关对外，即对互联网和对MPLS交换网分别提供一个网络接口，因此SSLVPN网关无法像通常的PE路由器一样，将物理接口与VPN绑定，从而通过报文的入接口来区分不同的VPN用户，而且由于SSLVPN网关设置在互联网和局域网之间，接收自用户的报文已经经过互联网的传输，因此不携带接入VLAN信息，因此也不能通过报文携带的接入VLAN信息来区分不同的VPN用户。但是，SSLVPN网关在用户登录认证时，维护了一些用户的认证授权信息，因此本发明实施例就利用用户的认证授权信息来区分不同的VPN用户。当然，SSLVPN网关作为PE路由器还需要兼顾二者的功能，因此SSLVPN网关还需要承担SSL报文和MPLS报文相互转换任务，以及允许采用SSLVPN的三种接入方式之一或4壬意组合实现远程接入MPLSVPN。为此，本发明提供了一种远程接入MPLSVPN的方法，该方法包括以下步骤A、在SSLVPN网关中创建多个虛拟接口，一个VPN绑定一个虚拟接口，根据VPN绑定的虛拟接口形成VPN实例，这里与虛拟接口绑定的VPN为MPLSVPN,下面不再进行区分，统称为VPN;根据用户的认证授权信息区分不同VPN的用户，从而将SSLVPN用户区分到不同的MPLSVPN中，然后将用户的认证授权信息与相应VPN绑定。B、用户x与SSLVPN网关之间进行信息交互，建立与远程接入相关的连接。'C、SSLVPN网关接收用户x通过SSL连接发来的报文，根据用户x的认证授权信息绑定的VPN实例，为所接收报文打上VPN标签和MPLS转发标签，并通过MPLS交换网转发到VPN资源服务器；D、SSLVPN网关接收VPN资源服务器返回的应答报文，根据该应答报文携带的VPN标签查找相应VPN实例，根据查找到的VPN实例将报文通过SSL连接返回给用户x。由以上所述可见，本发明通过创建虚拟接口并绑定VPN,使得每个VPN绑定一个虚拟接口，从而形成对应不同VPN的VPN实例，供转发报文时使用。鉴于SSLVPN网关只对用户提供一个物理接口，因此本发明结合SSLVPN网关的特点，通过用户的i人证授权信息区分不同的VPN用户，从而在SSLVPN网关只为用户提供一个物理接口的限制下，实现了用户区分，进而采用相应的VPN实例进行才艮文转发，实现了远程用户访问MPLSVPN中VPN资源的方案。下面结合附图并举实施例，对本发明进行详细描述。在以下实施例中，采用认证^:权信息中的用户所属用户组区分不同的VPN用户，在实际网络中，还有不属于任何VPN的用户，称为公网用户，采用诸如用户组的认证授权信息也可以区分出这类用户。在其他实施例中，还可以采用认证授权信息中的用户组、虛拟域、角色这些参数之一或任意组合来区分不同的VPN用户。在本实施例中，首先，需要进行MPLSVPN和SSLVPN的相关配置。其中，MPLSVPN的相关配置与常规的MPLSVPN配置相同，这里不赘述。SSLVPN的相关配置具体包括以下步骤1、在SSLVPN网关中创建多个地址池，每个地址池对应一个VPN;地址池仅在IP接入方式下使用。2、对应每一个地址池创建一个虚拟-接口，对应的地址池和虚拟4妄口属于同一网段，为每个虚拟接口绑定一个VPN。其中，虛拟接口可以为SSLVPN虛拟以太网(SVE，SSLVPNVirtualEthernet)接口，简称虚接口，也可以为环回(Lo叩back)接口。本实施例中，以SVE接口为例。3、根据与VPN绑定的虚接口，形成对应各VPN的VPN实例。每个VPN实例包括路由转发表和MPLS标签转发表。所述路由转发表包括两类路由，第一类路由是为接收自VPN资源服务器的报文指示出接口，第二类路由是为接收自用户的报文指示出接口。其中，第一类路由包括两条路由，一条路由在TCP/WEB接入方式下使用，另一条路由在IP接入方式下使用，下文会详细说明使用方法。所述MPLS标签转发表包括两类表项，第一类表项是VPN与VPN标签(内层标签)的映射关系，第二类表项为接收自用户的报文指示下一跳P路由器信息和MPLS转发标签。4、将虚接口授权给用户。在本发明实施例中，授权操作即为将虚接口和用户组绑定。由于在步骤2中虚接口与VPN绑定，因此经本步骤4后，用户组、虚接口和VPN实例三者形成了绑定关系。至于将哪个虚接口与哪个用户组绑定，还需要才艮据用户组允许访问的VPN资源确定，例如用户组1允许访问VPN1中的资源，则将VPN1对应的虚接口与用户组1绑定，本领域技术人员很容易理解该绑定关系的形成。经过以上几个步骤的配置在SSLVPN网关上形成如下表1示出的用户与VPN的对应关系表(UVR，UsertoVPNrelationtable),该UVR中记录了哪个用户对应哪个VPN以及与VPN绑定的虛接口。<table>tableseeoriginaldocumentpage28</column></row><table>表1如表l所示，UVR表中包括如下字段用户ID、所属用户组、虚接口、绑定的VPN实例，表1中绑定的VPN实例字段中进一步包括VPN标签的索引。表1是根据图3中的组网结构形成的UVR表。其中，userl属于用户组Vpnlgroup,为该用户组Vpnlgroup绑定了虚接口SVE1/0,与SVE1/0绑定的VPN实例为VPN1实例，VPN1实例的标签索引为1。user2与userl类似user3为普通用户，不属于任何VPN,因此如UVR表所示，user3属于公网用户组Pubgroup，没有为该公网用户组Pubgroup绑定任何虚接口和VPN实例，绑定的VPN实例字段例如记为PUBLIC(O)。经过以上几个步骤的配置，还在SSLVPN网关上形成对应不同VPN的VPN实例。下面列举对应VPNl和VPN2的VPN实例。以下描述的VPN实例仅将与本发明实施例密切相关的字段列出，省略了不相关的字段。首先，为VPN的路由转发表vpnlRouteInformation(^各由"f言息)RoutingTable(3各由表):vpnlRoute-Distinguisher(3各由区分符):100:1Destination/Mask(目的地址/掩码)Nexthop(下一跳)Interface(才妄口)10.1.1.0/2410.1.1.1SVE1/010.1.1.1/32127.0.0.1InLoopBack0VPNRoutingTable(VPN3各由表)Route-Distinguisher:100:310.3.1.0/243.3.3.9InLoopBackOvpn2RouteInformationRoutingTable:vpn2Route-Distinguisher:100:2Destination/MaskNexthopInterface10.2.1.0/2410.2.1.1SVE1/110.2.1.1/32127.0.0.1InLoopBackOVPNRoutingTable:Route-Distinguisher:100:410.4.1.0/243.3.3.9InLoopBackO其中，在VPNl的路由转发表中，RoutingTable(路由表)的内容为第一类路由，该第一类路由包括两条路由第一条3各由的目的地址为与VPNl绑定的虚4姿口SVE1/0以及相应:l也址池所在网段10.1.1.0/24，下一跳为虚接口SVE1/0的IP地址10.1.1.1。该条路由适用于IP接入方式，当来自VPN资源服务器的报文匹配10.1.1.0/24时，确定下一跳为10.1.1.1即虚接口SVE1/0,贝'J报文直接从虚接口SVEl/0转发出去。下面会详细说明IP接入方式下如何使用这条路由。第二条路由的目的地址为与VPN1绑定的虚接口SVE1/0的IP地址10.1.1.1/32，下一跳指向内部环回(InLoopBackO)接口地址127.0.0.1。该条路由适用于TCP/WEB接入方式，当来自VPN资源服务器的报文匹配SVE1/0的IP地址10.1.1.1/32时，确定下一跳为127.0.0.1，即报文是发往本^L的报文，此时IP层将报文直接经由TCP层上送到应用层的SSLVPN业务模块进行相应处理并转发。下面会详细说明TCP/WEB接入方式下如何使用这条路由。在VPN1的路由转发表中，VPNRoutingTable(VPN路由表)的内容为第二类路由。该第二类路由包括这样一条路由其目的地址为VPN资源服务器所在网段10.3.1.0/24,下一跳为SSLVPN网关通过BGP连接的对端PE设备地址，3.3.3.9为对端PE设备的一个loopback接口地址。该条路由适用于任何接入方式，当来自用户的报文匹配10.3.1.0/24时，确定下一跳为VPN2的VPN^各由转发表i殳置与VPN1类似，这里不详细解释。其次，为VPN的MPLS标签转发表Vpn-instanceName(VPN实例名)vpnlRouteDistinguisher:100:1NOFEC(转发等价类)NEXTHOPOUTER-LABEL(外层标签)110.3.1.0/24172.1.1.21026(vpn)Vpn-instanceName:vpn2RouteDistinguisher:100:2NOFECNEXTHOPOUTER-LABEL110.4.1.0/24172.1.1.21026(vpn)NOVRFNAME(VRF名)INNER-LABEL(内层标签)1vpnl10242vpn21025其中，在VPN1的MPLS标签转发表中，VRFNAME(VRF名)和INNER-LABEL(内层标签)的内容记载了各VPN的VPN标签；Vpn-instanceName(VPN实例名)的内容为转发表项，该转发表项的转发等价类FEC为VPN资源服务器所在网段10.3.1.0/24，下一跳为从SSLVPN网关到VPN资源服务器经过的第一个P路由器的IP地址172.1.1.2。该转发表项适用于任何接入方式，当来自用户的报文匹配10.3.1.0/24时，确定下一跳为172.1.1.2，从而将报文转发到正确的P路由器。下面结合上述UVR和VPN实例，对TCP/WEB接入方式的远程接入过实施例一本实施例是远程用户userl在TCP/WEB接入方式下通过SSL连接接入MPLSVPN的实施例。该实施例中，假设userl所使用的远程主机的公网IP地址为60.191.123.8,SSLVPN网关的公网IP地址为220.189.204.90,SSLVPN网关中与VPN1绑定的虚接口SVEl/0的私网IP地址为10.1.1.1，userl允许访问的VPN资源所在网段为10.3.1.0/24。为了描述简1更，下面将userl所使用的远程主机地址称为用户的地址，用户通过远程主机进行的操作均视为用户的操作。图4为本发明实施例一中远程用户在TCP/WEB接入方式下通过SSL连接接入MPLSVPN的流程图。如图4所示，该流程包括以下步骤步骤401:userl向SSLVPN网关发送登录认证请求。步骤402:SSLVPN网关接收userl的登录认证请求，为userl进行登录iU正处理，i人i正通过后，才艮据userl所属用户组确定userl所属VPN，然后返回用户资源页面。该用户资源页面中携带userl允许访问的VPN资源信自本实施例中，userl属于用户组Vpnlgroup，因此userl属于VPNl。本步骤确定用户所属用户组和所属VPN的操作可以采用现有SSLVPN技术中的常规方式实现，也可以根据本发明设置的UVR表确定。31步骤403:当userl请求访问VPN资源服务器时，userl与SSLVPN网关之间建立SSL连接，通过建立的SSL连接向SSLVPN网关发送用户ID和净支请求访问的VPN资源ID。步骤404:SSLVPN网关根据userl发来的VPN资源ID,确定被请求访问的VPN资源所在VPN资源服务器的IP地址，这里假设为10.3.1.1,同时在UVR表中查找与userl的用户组Vpnlgroup绑定的虚接口SVE1/0，为userl建立虚接口SVE1/0(10.1.1.1)与被请求访问的VPN资源月良务器(10.3.1.1)之间的TCP连接并维护双向连接对应关系表简称ST表。在TCP连接建立过程中，为TCP连接的Socketi殳置相应VPN实例标签索引。具体来说，SSLVPN网关在确定净皮请求访问的VPN资源所在VPN资源服务器的IP地址后，在UVR表中查找userl所属VPN实例，这里为VPN1,并为socket打上VPN1实例标签索引l，然后向10.3.1.1发起TCP连接。TCP层的TCP模块会根据socket的VPN实例标签索引给TCP连接请求报文打上VPN实例标签索引1。其中，为报文打上VPN实例标签索引的操作并非在IP报文前面加上VPN实例标签索引而只是在报文属性中记录一下，在MPLS模块中才会真正在IP报文前面加上两层标签。然后，IP模块根据报文的VPN实例标签索引1找到对应的VPN1实例，在查找到的VPN1实例中根据目的地址10.3.1.1查找转发路径，确定该报文由MPLS进行转发，将报文发给MPLS模块。MPLS模块会根据报文的VPN实例标签索引1查找到VPN1的VPN标签1024,以及^f艮据VPN实例标签索引1和净艮文的目的地址10.3.1.1，在VPN1实例的MPLS标签转发表中进行匹配，匹配上VPN1实例中FEC为10.3.1.0/24的MPLS标签转发表项，从而获得下一跳以及MPLS转发标签1026;此时，MPLS模块为TCP连接请求报文打上VPN标签1024及MPLS转发标签1026并根据下一跳将报文转发到对端资源服务器。由于该VPN实例绑定的接口为SVE1/0,所以新建立的TCP连接的源地址为SVE1/0的IP地址，目的地址为10.3.1.1。后续userl发来的报文将通过该TCP连接发送。步骤405:used通过SSL连接向SSLVPN网关发送用户资源请求报文。该用户资源请求报文如图4中的报文①所示，报文①包括公网IP头、TCP头和^:据部分。为了突出净艮文在互^:网和MPLS交换网中的变化，省略了TCP头的描述，但不影响转发流程的说明。其中，公网IP头的源地址和目的地址分别为userl的公网IP地址60.191.123.8，和SSLVPN网关的公网IP地址220.189.204.90。步骤406:SSLVPN网关接收到userl通过SSL连接发来的用户资源请求报文时，根据ST表确定直接通过为userl建立的TCP连接进行转发。此时，TCP层根据为userl建立的TCP连接的信息，为报文打上VPN实例标签索引，然后MPLS模块会根据报文的VPN实例标签索引打上VPN标签1024及转发所需要的MPLS转发标签1026，并转发。本步骤具体由SSLVPN网关中的多个模块配合完成，这些模块包括位于应用层的TCP/WEB接入方式处理模块和VPN标签处理模块、位于TCP层的TCP模块、位于IP层的IP模块，以及位于IP层与网络接口之间的MPLS模块。其中TCP/WEB接入方式处理模块在建立与远程接入相关的连接时，建立并维护ST表。具体来说，本步骤406包括以下子步骤cl、报文通过自身与userl之间的SSL连接进入SSLVPN网关后，由IP模块去掉报文的公网IP头，将报文的数据部分经由TCP模块上送到TCP/WEB接入方式处理纟莫块；c2、TCP/WEB接入方式处理模块根据ST表确定将所接收的报文通过为userl建立的TCP连接转发，将报文发送给TCP模块；c3、TCP模块根据建立的TCP连接信息为报文打上私网IP头，并且根据socket的VPN实例标签索引为报文打上VPN实例标签索引，然后将报文发给IP模块。其中，私网IP头的私网源地址和私网目的地址分别是TCP连接两端的地址，即私网源地址为虚接口SVE1/0的IP地址10.1.1.1，私网目的地址为userl请求访问的VPN资源服务器的IP地址10.3.1.1;c4、IP模块根据报文的VPN实例标签索引找到对应的VPN实例，在查找到的VPN实例中查找转发路径，确定该报文由MPLS进行转发，然后将报文发给MPLS模块；c5、MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，根据查找到的VPN实例为报文打上VPN标签和MPLS转发标签，并转发。具体来说，MPLS模块根据报文携带的VPN实例标签索引1得知报文属于VPNl,从VPNl实例中获得VPN标签1024，根据报文的私网目的地址在MPLS标签转发表中进行匹配，私网目的地址为10.3.1.1匹配上FEC为10.3.1.0/24的转发表项，获得下一跳172.1.1.2和MPLS转发标签1026，进而给4艮文打上VPN标签1024和MPLS转发标签1026，并根据下一跳172.1.1.2将报文转发到正确的P路由设备。经过本步骤406的处理，图4中的报文①转换成了报文②，报文②包括MPLS转发标签、VPN标签、私网IP头和数据部分。其中，VPN标签为内层标签用于区分报文所属VPN，MPLS转发标签为外层标签用于MPLS交换网的转发。步骤407:MPLS交换网通过报文携带的MPLS转发标签转发报文到对端的PE路由器。步骤408:对端的PE路由器将报文转发给VPN资源服务器，并将VPN资源服务器的应答报文返回到MPLS交换网。步骤409:与SSLVPN网关邻接的P路由器去掉应答报文的MPLS转发标签，然后把应答报文发送给SSLVPN网关。转发到SSLVPN网关的应答才艮文如图4示出的报文③。报文③包括VPN标签、私网IP头和数据部分。其中，私网IP头中的私网源地址为10.3.1.1,私网目的地址为10.1.1.1,VPN标签为1024。步骤410:SSLVPN网关根据应答报文携带的VPN标签查找相应的VPN实例，才艮据应答报文的私网目的地址在查找到的VPN实例中进行匹配，匹配上前述VPNl实例中的第二条路由转发表项，获得下一跳为内部环回接口地址127.0.0.1,.则直接将所接收应答报文转发到上层应用，即应用层的TCP/WEB接入方式处理冲莫块。TCP/WEB4妄入方式处理才莫块处理完毕后，通过与userl之间的SSL连接将应答报文转发给userl。具体来说，本步骤410包括以下子步骤dl、应答报文通过为userl建立的TCP连接进入SSLVPN网关后，MPLS模块根据应答报文携带的VPN标签1024确定应答报文属于VPN1，然后将去掉VPN标签的应答报文及其属于VPNl的信息发送给IP模块；d2、IP模块根据应答报文属于VPNl的信息获取VPN1实例，并根据报文的私网目的地址10.1.1.1在VPNl实例中进4亍路由匹配，VPNl实例的具体内容已经在前文具体描述，这里匹配上VPNl实例中目的地址为10.1.1.1/32的路由转发表项，从匹配的路由转发表项中获取下一跳信息为内部环回4妻口地址127.0.0.1,然后直4妻将去掉私网IP头的应答才艮文经由TCP模块转发到应用层的TCP/WEB接入方式处理模块；d3、TCP/WEB接入方式处理模块根据ST表确定将接收自TCP连接的应答报文通过SSL连接发送给userl，此时将应答报文发送给TCP模块；d4、TCP模块根据所述SSL连接的信息为报文添加公网IP头，并转发给IP模块；d5、IP模块根据目的地址查找公网路由，从而通过SSL连接将报文发送给userl。发送给userl的应答才艮文如图4中的报文④，净艮文④包括公网IP头和数据部分。至此，本流程结束。实施例二本实施例是远程用户userl在IP接入方式下通过SSL连接接入MPLSVPN的实施例。该实施例中，假设userl所使用的远程主机的公网IP地址为60.191.123.8,SSLVPN网关的公网IP地址为220.189.204.90,SSLVPN网关中与VPNl绑定的虚接口SVE1/0的私网IP地址为10.1.1.1，userl允许访问的VPN资源所在网段为10.3.1.0/24。图5为本发明实施例二中远程用户在IP接入方式下通过SSL连接接入MPLSVPN的流程图。如图5所示，该流程包括以下步骤步骤501:userl向SSLVPN网关发送登录认证请求。步骤502:SSLVPN网关接收userl的登录认证请求，为userl进行登录认证处理，认证通过后，根据userl所属用户组Vpnlgroup确定userl属于VPNl，然后返回用户资源页面。并且从为userl所属VPN设置的地址池中为userl随才几分配而一个IP地址，作为userl的虚地址。本实施例有l/^:分配给userl的虚地址为10.1.1.2。步骤503:当userl请求访问VPN资源服务器时，userl与SSLVPN网关之间建立SSL连接，在IP接入方式下，SSLVPN网关需要维护用户、虚地址和SSL连接对应关系表简称UVS(User-VirtualIP-SSL,用户-虚IP地址-SSL)表。由于IP接入方式下，网关不需要与VPN资源服务器维持连接，因此userl仅需要通过建立的SSL连接向SSLVPN网关发送用户ID。步骤504:userl通过SSL连接向SSLVPN网关发送用户资源请求报文。该用户资源请求报文如图5中的报文①所示，与实施例一不同之处在于，该报文①不仅包括公网IP头和数据部分，还包括私网IP头(TCP头仍省略)。其中，公网IP头的源地址和目的地址分别为userl的公网IP地址60.191.123.8,和SSLVPN网关的公网IP地址220.189.204.90。私网IP头的源地址和目的地址分别为userl的虚地址10.1.1.2,和被请求访问的VPN资源服务器的私网IP地址10.3.1.1。步骤505:SSLVPN网关接收到userl的用户资源请求才艮文时，通过UVS表可以确定净艮文来自用户userl，进而通过查找UVR表确定userl所属VPN，根据userl所属VPN的VPN实例，在IP层为所接收报文打上VPN实例标签索引，再由MPLS模块根据VPN实例标签索引为报文添加VPN标签和MPLS转发标签并转发。这里的转发是MPLS转发并发普通IP转发。本步骤具体由SSLVPN网关中的多个模块配合完成，这些模块包括位于应用层的IP接入方式处理模块1、位于IP层的IP接入方式处理模块2、VPN标签处理模块和IP模块、位于TCP层的TCP模块、以及位于IP层与网络接口之间的MPLS模块。其中，位于应用层的IP接入方式处理模块1用于维护SSL连接以及UVS表，位于IP层的接入方式处理模块2用于处理转发，IP接入方式处理模块1和2实际上是一个模块同时工作在应用层和IP层，为了理解方便将其分成了两个模块，这两个模块共享数据，数据到达IP接入方式处理模块1也就到了IP接入方式处理模块2，反之依然。具体来说，本步骤505包括以下子步骤cl、报文通过自身与userl之间的SSL连接进入SSLVPN网关后，由IP模块去掉公网IP头，将保留私网IP头和数据部分的报文经由TCP模块发送给IP接入方式处理模块1，IP接入方式处理模块1把报文发送给IP接入方式处理一莫块2;c2、IP接入方式处理才莫块2查找UVS表可以确定报文来自用户userl，进而确定以直接IP转发方式转发报文，此时将报文发送给位于IP层的VPN标签处理模块；c3、VPN标签处理模块查找UVR表确定userl的Vpnlgroup绑定VPN1实例，并得到VPN1实例的VPN实例标签索引为1,此时为解析出来的IP报文打上VPN实例标签索引1，然后将报文转发给IP模块；c4、IP模块根据报文的目的地址进行路由查找，确定由MPLS进行转发，然后将报文发给MPLS模块；c5、MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，根据查找到的VPN实例为报文打上VPN标签和MPLS转发标签并转发。该步骤与实施例一中的步骤c5相同。经过本步骤505的处理，图5中的报文①转换成了报文②，报文②包括MPLS转发标签、VPN标签、私网IP头和数据部分。与实施例一不同的是，本实施例l艮文②中，私网源地址为userl的虚地址10丄1.2。步骤507:对端的PE路由器将报文转发给VPN资源服务器，并将VPN资源服务器的应答报文返回到MPLS交换网。步骤508:与SSLVPN网关邻接的P路由器去掉应答报文的MPLS转发标签，然后把应答报文发送给SSLVPN网关。转发到SSLVPN网关的应答报文如图5示出的报文③。报文③包括VPN标签、私网IP头和数据部分。其中，私网IP头中的私网源地址为10.3.1.1，私网目的地址为10.1.1.2，VPN标签为1024。步骤509:SSLVPN网关根据应答报文的VPN标签找到相应的VPN实例，根据应答报文的私网目的地址10.1.1.2在查找到的VPN实例中进行匹配，匹配上前述VPN1实例中的第一条路由转发表项，获得下一跳为虚接口SVE1/0,则直接通过SVE1/0将应答报文经由SSL连接转发给userl。具体来说，本步骤509包括以下子步骤dl、应答报文进入SSLVPN网关后，MPLS模块根据应答报文携带的VPN标签确定应答纟艮文属于VPN1，然后将去掉VPN标签的应答报文及其属于VPN1的信息发送给IP模块；d2、IP模块根据应答报文属于VPN1的信息获取VPN1实例，并根据应答报文的私网目的地址10.1.1.2在VPN1实例中进行路由匹配，匹配上VPN1实例中目的地址为1O丄1.0/24的路由转发表项，从匹配的路由转发表项中获取下一跳信息为虚4秦口SVE1/0的IP地址10.1.1.1，由于其目的地址并非本机内部接口地址，所以虚接口在收到报文会直接转发。d3、虚接口的转发功能是由位于IP层的IP接入方式处理模块2来实现。IP接入方式处理才莫块24艮据应答报文中的私网目的地址即虛地址10.1.1.2以及UVS表确定将应答报文经由相应SSL连接发送给userl(10.1.1.2)，此时将应答报文发送给位于应用层的IP接入方式处理模块1，由IP接入方式处理模块1将报文发送给TCP模块。d4、TCP模块根据SSL连接的信息为应答报文添加公网IP头，并把报文转发给IP模块。d5、IP模块通过查找公网路由，从而将报文通过SSL连接发送给userl。发送给userl的应答报文如图5中的报文④，报文④包括公网IP头、私网IP头和数据部分。至此，本流程结束。以上实施例一是支持TCP和/或WEB接入方式的方案，实施例二是支持IP4妄入方式的方案。在实际中，TCP、WEB和IP三种接入方式可以并存，或者仅同时支持其中两种。对于公网用户user3的处理与现有SSLVPN网关的处理相同。具体包括当SSLVPN网关接收到公网用户user3的用户资源请求报文时，查找UVR表确定user3属于用户组Pubgroup，且没有绑定任何VPN,此时确定接收到公共用户的报文，不进行打标签处理，直接通过公共路由也称全局路由向VPN资源服务器转发报文。同理，当SSLVPN网关接收到来自VPN资源服务器的报文且未携带VPN标签时，会通过全局路由送到上层经由SSL连接发送或者直接由虚接口经由SSL连接发送。为了实现上述方法，本发明提供了一种网关，该网关应用于这样一种系统，即远程用户通过自身与该网关之间的SSL连接，访问MPLSVPN中VPN资源服务器的系统，该网关同时作为SSLVPN中的SSLVPN网关和MPLSVPN中的PE路由器。本实施例中将该网关称为SSLVPN网关。图6为本发明实施例中SSLVPN网关的结构示意图。如图6所示，该SSLVPN网关包括配置单元(又称WMI单元)、第一网络接口.第二网络才妻口、处理单元、VPN实例存储单元(又称VRF单元)和对应关系存储单元(又称UVR单元)。WMI单元，用于创建多个虛接口、一个VPN绑定一个虚接口，根据与VPN绑定的虛接口形成VPN实例，将形成的VPN实例存储在VRF单元中；根据用户的认证授权信息区别不同VPN的用户，将用户的认证授权信息与相应VPN实例绑定；将建立的各种绑定关系存储在UVR单元中。在创建虚4妄口时，WMI单元对应为每个VPN设置的地址池创建一个虚4妻口，对应的地址池和虚接口属于同一网段，该地址池只在IP接入方式下使用。较佳地，WMI单元还根据建立的各种绑定关系形成如表1示出的UVR表，保存到UVR单元中。该WMI单元形成的VPN实例包括路由转发表和MPLS标签转发表，这两个转发表的内容与方法实施例所述相同，这里不赘述。UVR单元，用于存储WMI单元建立的绑定关系。VRF单元，用于存储VPN实例。第一网络接口，为所在SSLVPN网关和用户之间提供数据传输通道，通过互联网与远程主机耦接。第二网络接口，为所在SSLVPN网关和MPLS交换网提供数据传输通道，通过MPLS交换网与VPN资源服务器耦接。处理单元，用于与userl进行信息交互，建立与远程接入相关的连接。当接收到userl通过SSL连接发来的报文时，根据UVR单元存储的绑定关系，/人VRF单元获取userl所属用户组绑定的VPN实例，即VPN1实例，采用VPN1实例为所接收报文打上VPN标签1024和MPLS转发标签1026,并通过MPLS交换网转发给VPN资源服务器；当接收到该VPN资源服务器返回的应答报文时，根据该应答报文携带的VPN标签1024在VRF单元中查找相应VPN实例，根据查找到的VPN1实例将应答报文通过与userl之间的SSL连接转发给userl。当采用TCP或WEB方式接入VPN资源服务器时，所述处理单元进一步用于在建立与远程接入相关的连接时，建立userl与所在SSLVPN网关之间的SSL连接，为userl建立虚接口SVE1/0与请求访问的VPN资源服务器SI之间的TCP连接并维护ST表；在建立TCP连接过程中，根据userl的认证授权信息绑定的VPN实例，为建立的TCP连接的Socket打上相应VPN实例标签索引1;在接收到userl通过所述SSL连接发来的报文时，根据为userl建立的TCP连接的信息，在TCP层为所接收报文打上VPN实例标签索引1,再由处理单元中的MPLS模块根据VPN实例标签索引1找到相应VPN1实例，为报文添加VPN标签1024和MPLS转发标签1026，然后通过为userl建立的TCP连接将报文转发给VPN资源服务器SI;在接收到通过所述TCP连接返回的应答报文时，根据应答报文携带的VPN标签1024查找相应VPN实例，冲艮据所述应答报文的私网目的地址10.1.1.1在查找到的VPN1实例中进行匹配，匹配到VPN1实例中的第二条路由转发表项，获得下一跳为内部环回接口地址127.0.0.1,则直接将所接收的应答报文转发到上层应用，该上层应用通过所述SSL连接将应答报文发送给used。当采用IP方式接入VPN资源服务器时，所述WMI单元在创建虚接口时，对应为每个VPNi更置的地址池创建一个虚4娄口，对应的地址池和虚4妻口属于同一网^:。所述处理单元进一步用于，在建立与远程接入相关的连接时，从为userl所属VPN设置的地址池中为userl分配虚地址10.1.1.2;建立userl与SSLVPN网关之间的SSL连接；在接收到userl通过SSL连接发来的携带私网IP头(私网源地址为10.1.1.2)的报文时，根据userl所属用户组绑定的VPN1实例，在IP层为所接收报文打上VPN标签实例标签索引1,再由处理单元中的MPLS模块根据VPN实例标签索引1为报文添加VPN标签1024和MPLS转发标签1026;在接收到应答报文时，根据该应答报文携带的VPN标签1024查找相应VPN实例；根据所述应答4艮文的私网目的地址10.1.1.2在查找到的VPN1实例中匹配到第一条路由转发表项，获得下一跳为虚接口SVE1/0的IP地址lO.l丄l，则通过虚接口SVEl/0将应答报文经由所述SSL连接转发给userl。下面对处理单元着重进行描述。处理单元包括SSLVPN业务模块、VPN标签处理模块、TCP模块、IP模块和MPLS模块。其中，根据SSLVPN网关支持的接入方式，SSLVPN业务模块具体包括TCP/WEB接入方式处理模块和IP接入方式处理模块中的一种或任意组合。图7示出了当采用TCP/WEB方式接入VPN资源服务器时，SSLVPN网关中各组成模块的位置和连接关系。如图7所示，处理单元具体包括位于应用层的TCP/WEB接入方式处理模块和VPN标签处理模块、位于TCP层的TCP模块、位于IP层的IP模块和位于IP层与网络接口之间的MPLS模块。其中，TCP/WEB接入方式处理才莫块，用于在userl请求登录认证时，向userl返回用户资源页面；当userl请求访问VPN资源服务器SI时，建立userl与所在SSLVPN网关之间的SSL连接，为userl建立虚接口SVEl/0与VPN资源服务器SI之间的TCP连接并维护ST表。在建立TCP连接过程中，VPN标签处理模块根据userl所属用户组息绑定的VPN1实例，为TCP连接的socket打上VPN实例标签索引1。当报文通过userl与SSLVPN网关之间的SSL连接进入SSLVPN网关后，IP模块去掉报文的公网IP头，将报文的数据部分经由TCP模块上送到TCP/WEB接入方式处理模块；TCP/WEB接入方式处理模块进一步根据ST表确定将所接收的报文通过为userl建立的TCP连接转发，将报文发送TCP模块；TCP模块根据为userl建立的TCP连接的信息为报文打上私网IP头，并且根据socket的VPN实例标签索引1为寺艮文打上VPN实例标签索引1，然后将报文发给IP模块；IP模块进行路由查找，即根据报文的VPN实例标签索引l找到对应的VPN1实例，并在VPN路由表和标签转发表中查找转发路径，从而确定由MPLS进行转发，然后将报文发给MPLS模块；MPLS模块根据报文携带的VPN实例标签索引1在VRF单元中查找相应VPN1实例，根据查找到的VPN1实例为报文打上VPN标签1024和MPLS转发标签1026,然后转发出去。当应答报文通过VPN资源服务器Sl与SSLVPN网关之间的TCP连接进入SSLVPN网关后，MPLS模块根据应答报文携带的VPN标签1024确定报文所属VPN,将去掉VPN标签的报文及其所属VPN信息发送给IP模块；所述IP模块根据所述所属VPN信息从VRF单元中获取相应VPN实例，并根据应答报文的私网目的地址10.1.1.2在获取的VPN1实例中进行匹配，匹配上VPN1实例中的第二条路由转发表项，荻得下一跳为内部环回接口地址127.0.0.1，然后直接将去掉私网IP头的报文经由TCP模块转发到TCP/WEBj妄入方式处理冲莫块；TCP/WEB接入方式处理模块根据ST表确定将接收自所述TCP连接的应答报文通过与userl之间的SSL连接发送给userl。此时，将应答4艮文发送给所述TCP模块；TCP模块根据SSL连接的信息为应答报文添加公网IP头，并转发给IP模块；IP模块通过查找公网路由，把报文发送给userl。图8示出了当采用IP方式接入VPN资源服务器时，SSLVPN网关中各组成模块的位置和连接关系。如图8所示，处理单元具体包括位于应用层的IP接入方式处理模块1，位于IP层的IP4妾入方式处理模块2和VPN标签处理模块、位于TCP层的TCP模块、位于IP层的IP模块，以及位于IP层与网络接口之间的MPLS模块。IP接入方式处理模块1,用于在userl请求登录认证时，向userl返回用户资源页面，且从为userl所属VPN设置的地址池中为userl分配虛地址10.1.1.2;当userl请求访问VPN资源服务器时，建立userl与所在SSLVPN网关之间的SSL连接，并维护UVS表，该UVS表同时由IP接入方式处理模块2共享。当报文通过userl与SSLVPN网关之间的SSL连接进入SSLVPN网关后，所述IP模块去掉报文的公网IP头，将保留私网IP头和数据部分的报文经由TCP模块发送到位于应用层的IP接入方式处理模块1,IP接入方式处4理模块1把报文发送到位于IP层的IP接入方式处理模块2;私网源地址为userl的虛地址10.1.1.2;所述IP接入方式处理模块2根据UVS表确定以直接IP转发方式转发报文，将报文发送给VPN标签处理模块；VPN标签处理模块根据UVR单元保存的绑定关系，确定userl所属用户组绑定的VPN为VPNl,则为报文打上VPN实例标签索引1,然后将报文通过所述IP模块；IP模块通过路由查找确定由MPLS进行转发，并将报文发送给MPLS模块；MPLS模块根据报文携带的VPN实例标签索引1查找相应VPN实例，根据查找到的VPNl实例为报文添加VPN标签1024和MPLS转发标签1026并转发。当应答报文通过第二网络接口进入SSLVPN网关后，所述MPLS才莫块根据应答报文携带的VPN标签1024确定报文所属VPN，将去掉VPN标签的应答报文及其所属VPN信息发送给IP模块；IP模块根据所述所属VPN信息从VRF单元中获取相应VPN实例，并根据应答报文的私网目的地址，即userl的虛地址进行路由匹配，匹配上VPNl实例中的第一条路由转发表项，获得下一跳为SVE1/0。然后根据匹配的路由转发表项把报文发送到虚接口SVEl/0，虚接口SVEl/0的转发功能由位于IP层的IP接入方式处理模块2来实现，也就是说上述报文传送到IP接入方式处理模块2;IP接入方式处理模块2根据UVS表确定通过虛接口SVE1/0将应答报文经由与userl之间的SSL连接转发，此时将应答报文发送给TCP模块；TCP模块根据SSL连接的信息为应答报文添加公网IP头，并转发给IP模块；IP模块通过查找公网路由，4巴净艮文发送给userl。本发明还提供了一种远程接入MPLSVPN的系统，如图3所示，该系统包括用户使用的远程主机.、互联网、SSLVPN网关、MPLSVPN网络以及MPLSVPN网络中的VPN资源服务器；远程主机通过自身与SSLVPN网关之间的SSL连接访问MPLSVPN中的VPN资源服务器；SSLVPN网关同时作为MPLSVPN的PE路由器；其中，SSLVPN网关可以采用前述实施例中的任意一种SSLVPN网关。综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范闺。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。权利要求1、一种远程接入多协议标记交换虚拟专用网络MPLSVPN的方法，其特征在于，远程用户通过自身与安全套接层虚拟专用网络SSLVPN网关之间的SSL连接访问MPLSVPN中的VPN资源服务器，所述SSLVPN网关同时作为MPLS交换网中的服务提供商边缘PE路由器，该方法包括A、在SSLVPN网关中创建多个虚拟接口，一个VPN绑定一个虚拟接口，根据VPN绑定的虚拟接口形成VPN实例；根据用户的认证授权信息区分不同VPN的用户，将用户的认证授权信息与相应VPN绑定；B、用户x与SSLVPN网关之间进行信息交互，建立与远程接入相关的连接；C、SSLVPN网关接收用户x通过SSL连接发来的报文，根据用户x的认证授权信息绑定的VPN实例，为所接收报文添加VPN标签和MPLS转发标签，并通过MPLS交换网转发到VPN资源服务器；D、SSLVPN网关接收所述VPN资源服务器的返回的应答报文，根据该应答报文携带的VPN标签查找相应VPN实例，根据查找到的VPN实例将应答报文通过所述SSL连接返回给用户x。2、如权利要求1所述的方法，其特征在于，与用户x的认证授权信息绑定的VPN实例包括路由转发表项1:目的地址为虚拟接口VI的IP地址，下一跳为内部环回接口地址；所述虚拟接口VI为用户x所属VPN绑定的虚拟接口；当采用传输控制协议TCP或网页WEB方式接入VPN资源服务器时步骤B所述建立与远程接入相关的连接包括当用户x请求访问VPN资源服务器SI时，建立用户x与SSLVPN网关之间的SSL连接；为用户x建立虚拟接口VI与VPN资源服务器SI之间的TCP连接；所述虚拟接口VI为用户x所属VPN绑定的虚拟接口；在建立所述TCP连接过程中，根据用户x的认证授权信息绑定的VPN实例，为所述TCP连接的套接字SOCKET设置VPN实例标签索引；所述步骤C包括接收用户x通过SSL连接发来的报文，根据为用户x建立的TCP连接的信息，在TCP层为所接收报文添加VPN实例标签索引，再由MPLS才莫块根据VPN实例标签索引找到相应VPN实例，为报文添加VPN标签和MPLS转发标签，然后通过为用户x建立的TCP连接将报文转发给VPN资源服务器Sl;所述步骤D包括接收通过所述TCP连接返回的应答报文，根据该应斜艮文携带的VPN标签查找相应VPN实例；冲艮据所述应斜艮文的私网目的地址在查找到的VPN实例中匹配到所述路由转发表项1,获得下一跳为内部环回接口地址，则直接将所接收的应答报文转发到上层应用，该上层应用通过所述SSL连接将应答报文发送给用户x。3、如权利要求2所述的方法，其特征在于，所述步骤C包括cl、报文通过SSL连接进入SSLVPN网关后，由位于IP层的IP模块去掉报文的公网IP头，将报文的数据部分经由TCP模块上送到位于应用层的SSLVPN业务模块；c2、所述SSLVPN业务^^莫块确定将所接收的报文通过为用户x建立的TCP连接转发；c3、位于TCP层的TCP模块根据为用户x建立的TCP连接，为报文添加私网IP头，并且根据SOCKET的VPN实例标签索引在报文中记录VPN实例标签索引；c4、位于IP层的IP模块通过路由查找确定由MPLS转发，并将报文发送给位于网络接口和IP层之间的MPLS模块；c5、所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，根据查找到的VPN实例为报文添加VPN标签和MPLS转发标签并转发。4、如权利要求3所述的方法，其特征在于，所述步骤D包括dl、应叙艮文通过所述TCP连接进入SSLVPN网关后，位于网络接口和IP层之间的MPLS模块根据应答报文携带的VPN标签确定报文所属VPN，将去掉VPN标签的报文及其所属VPN信息发送给位于IP层的IP模块；d2、所述IP模块根据所述所属VPN信息获取相应VPN实例，并根据所述应答报文的私网目的地址在获取的VPN实例中匹配到所述路由转发表项1,获得下一跳为内部环回接口地址，然后直接将去掉私网IP头的应答报文经由TCP层转发到位于应用层的SSLVPN业务模块；d3、所述SSLVPN业务模块确定将接收自所述TCP连接的应答报文通过所述SSL连接发送给用户x,并将应斜艮文发送给所述TCP模块；d4、所述TCP模块根据所述SSL连接的信息为报文添加公网IP头，由IP模块将报文通过所述SSL连接发送给用户x。5、如权利要求l所述的方法，其特征在于，与用户x的认证授权信息绑定的VPN实例包括路由转发表项2:目的地址为虚拟接口VI所在网段，下一跳为虚拟接口VI的IP地址；所述虛拟接口VI为用户x所属VPN绑定的虚拟接口；当采用IP方式接入VPN资源服务器时步骤A所述创建多个虛拟接口为对应为每个VPN设置的地址池创建一个虚拟接口；对应的地址池和虚拟接口属于同一网段；所述步骤B包括SSLVPN网关从为用户x所属VPN设置的地址池中为用户x分配虚地址Add—x;当用户x请求访问VPN资源服务器S1时，建立用户x与SSLVPN网关之间的SSL连接；所述步骤C包括接收用户x通过SSL连接发来的携带私网IP头的报文，其私网源地址为Add_x;才艮据用户x的认证4更4又信息绑定的VPN实例，在IP层为所接收报文添加VPN实例标签索引，再由MPLS模块根据VPN实例标签索引为报文添加VPN标签和MPLS转发标签，然后根据报文携带的私网IP头，通过直接IP转发方式将报文转发给VPN资源服务器SI;所述步骤D包括接收返回的应斜艮文，根据该应斜艮文携带的VPN标签查找相应VPN实例；根据所述应答报文的私网目的地址Add_x在查找到的VPN实例中匹配到所述路由转发表项2,获得下一跳为虚拟接口VI,则通过所述虚拟接口VI将应答报文经由所述SSL连接转发给用户x。6、如权利要求5所述的方法，其特征在于，所述步骤C包括cl、报文通过所述SSL连接进入SSLVPN网关后，由IP层的IP模块去掉报文的公网IP头，将保留私网IP头和数据部分的报文发送到位于应用层的SSLVPN业务模块1,SSLVPN业务模块1把报文发送给位于IP层的SSLVPN业务模块2;c2、所述SSLVPN业务模块2确定以直接IP转发方式转发报文，将报文发送给位于IP层的VPN标签处理模块；c3、所述VPN标签处理模块根据用户x的认证授权信息绑定的VPN实例，在报文中记录VPN实例标签索引，然后将报文发给IP模块；c4、所述IP模块通过路由查找确定由MPLS进行转发，并将报文发给位于网络接口和IP层之间的MPLS模块；c5、所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，根据查找到的VPN实例为报文添加VPN标签和MPLS转发标签并转发。7、如权利要求6所述的方法，其特征在于，所述步骤D包括dl、应叙艮文进入SSLVPN网关后，位于网络接口和IP层之间的MPLS模块根据应答报文携带的VPN标签确定报文所属VPN,将去掉VPN标签的报文及其所属VPN信息发送给IP层的IP模块；d2、所述IP模块根据所述所属VPN信息获取相应VPN实例，并根据应答才艮文的私网目的地址Add_x在获取的VPN实例中匹配到所述路由转发表项2,获得下一跳为虚拟接口VI;d3、位于IP层的SSLVPN业务模块2确定通过虛拟接口VI将应答报文经由所述SSL连接发送给用户x，并将应答报文发送给位于应用层的SSLVPN业务模块1,SSLVPN业务模块1将应答报文发送给位于TCP层的TCP模块；d4、所述TCP模块根据所述SSL连接的信息为应答报文添加公网IP头，由IP模块通过所述SSL连接将报文发送给用户x。8、如权利要求1所述的方法，其特征在于，VPN与虚拟接口绑定以及用户与VPN实例绑定后，进一步形成对应关系表，该对应关系表包括用户标识、用户的认证授权信息、虚拟接口和绑定的VPN实例的标签索引。9、如权利要求l所述的方法，其特征在于，所述认证授权信息为用户组、和/或虚拟域、和/或角色。10、如权利要求l所述的方法，其特征在于，所述虛拟接口为SSLVPN虚拟以太网4妄口或环回4矣口。11、一种网关，应用于远程用户通过自身与所述网关之间的SSL连接访问MPLSVPN中VPN资源服务器的系统，所述网关同时作为SSLVPN中的SSLVPN网关和MPLSVPN中的PE路由器；其特征在于，所述网关包括配置单元、第一网络接口、第二网络接口、处理单元、VPN实例存储单元和对应关系存储单元；所述配置单元，用于创建多个虚拟接口、一个VPN绑定一个虚拟接口，根据VPN绑定的虚拟接口形成VPN实例，将形成的VPN实例存储在VPN实例存储单元中；才艮据用户的认证授权信息区别不同VPN的用户，将用户与相应的认证授权信息与相应VPN实例绑定；将建立的各种绑定关系存储在对应关系存储单元中；所述对应关系存储单元，用于存储配置单元建立的绑定关系；所述VPN实例存储单元，用于存储VPN实例；第一网络接口，为所在网关和用户之间提供数据传输通道；第二网络接口，为所在网关和MPLS交换网提供数据传输通道；处理单元，用于与用户x进行信息交互，建立与远程接入相关的连接；当接收到用户x通过SSL连接发来的报文时，根据所述对应关系存储单元存储的绑定关系，从所述VPN实例存储单元获取用户x的认证授权信息绑定的VPN实例，采用获取的VPN实例为所接收报文添加VPN标签和MPLS转发标签，并通过MPLS交换网转发给VPN资源服务器；当接收到所述VPN资源服务器返回的应答报文时，根据该应答报文携带的VPN标签在所述VPN实例存储单元中查找相应VPN实例，根据查找到的VPN实例将应答才艮文通过所述SSL连4妄返回给用户x。12、如权利要求11所述的网关，其特征在于，与用户X的认证授权信息绑定的VPN实例包括路由转发表项1:目的地址为虚拟接口VI的IP地址，下一跳为内部环回接口地址；所述虚拟接口VI为用户x所属VPN绑定的虚拟接口；当采用TCP或WEB方式接入VPN资源服务器时，所述处理单元进一步用于在建立与远程接入相关的连接时，建立用户x与所在网关之间的SSL连接，为用户x建立虚拟接口VI与^皮请求访问的VPN资源月良务器Sl之间的TCP连接；在建立所述TCP连接过程中，根据用户x的认证授权信息绑定的VPN实例，为所述TCP连接的SOCKET设置VPN实例标签索引；在接收到用户x通过所述SSL连接发来的报文时，根据为用户x建立的TCP连接的信息，在TCP层为所接收报文添加VPN实例标签索引，再由处理单元中的MPLS才莫块才艮据VPN实例标签索引找到相应VPN实例，为4艮文添加VPN标签和MPLS转发标签，然后通过为用户x建立的TCP连接将报文转发给VPN资源服务器Sl;在接收到通过所述TCP连接返回的应答报文时，根据应^艮文携带的VPN标签查找相应VPN实例，根据所述应答报文的私网目的地址在查找到的VPN实例中匹配到所述路由转发表项1,获得下一跳为内部环回接口地址，则直接将所接收的应斜艮文转发到上层应用，该上层应用通过所述SSL连接将应答报文发送给用户x。13、如权利要求12所迷的网关，其特征在于，所述处理单元包括位于应用层的SSLVPN业务模块和VPN标签处理模块、位于TCP层的TCP模块、位于IP层的IP模块，以及位于IP层与网络接口之间的MPLS模块；所述SSLVPN业务模块，用于当用户x请求访问VPN资源服务器S1时，建立用户x与所在网关之间的SSL连接，为用户x建立虛拟接口VI与VPN资源服务器SI之间的TCP连接；所述VPN标签处理模块，用于在建立所述TCP连接过程中，根据用户x的认证授权信息绑定的VPN实例，为所述TCP连接的SOCKET设置VPN实例标签索引；当报文通过所述SSL连接进入所在网关后，所述IP模块去掉报文的公网IP头，将报文的数据部分经由TCP模块上送到SSLVPN业务模块；所述SSLVPN业务模块进一步确定将所接收的报文通过为用户x建立的TCP连接转发，并将报文发送给所述TCP模块；所述TCP模块根据为用户x建立的TCP连接，为报文添加私网IP头，并且根据SOCKET的VPN实例标签索引在报文中记录VPN实例标签索引，然后将报文发给所述IP模块；所述IP模块进一步通过路由查找确定由MPLS转发，并将报文发送给MPLS模块；所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，为净良文添加VPN标签和MPLS转发标签并转发；当应答报文通过所述TCP连接进入所在网关后，所述MPLS模块进一步根据应答报文携带的VPN标签确定报文所属VPN,将去掉VPN标签的报文及其所属VPN信息发送给所述IP模块；所述IP模块进一步根据所述所属VPN信息从所述VPN实例存储单元中获取相应VPN实例，并根据应^艮文的私网目的地址在获取的VPN实例中匹配到所述路由转发表项1,获得下一跳为内部环回接口地址，然后直接将去掉私网IP头的报文经由TCP模块转发到所述SSLVPN业务模块；所述SSLVPN业务模块进一步确定将接收自所述TCP连接的应叙艮文通过所述SSL连接发送给用户x,并将应答报文发送给所述TCP模块；所述TCP模块进一步根据所述SSL连接的信息为应答报文添加公网IP头，由IP模块将报文通过所述SSL连接发送给用户x。14、如权利要求11所述的网关，其特征在于，与用户x的认证授权信息绑定的VPN实例包括路由转发表项2:目的地址为虚拟接口VI所在网段，下一跳为虚拟接口VI的IP地址；所述虛拟接口VI为用户x所属VPN绑定的虚拟接口；当采用IP方式接入VPN资源服务器时，所述配置单元在创建虚拟接口时，对应为每个VPN设置的地址池创建一个虚拟接口，对应的地址池和虚拟接口属于同一网,殳；所述处理单元进一步用于在建立与远程接入相关的连接时，从为用户x所属VPN设置的地址池中为用户x分配虛地址Add—x;建立用户x与所在网关之间的SSL连接；在接收到用户x通过SSL连接发来的携带私网IP头的报文时，根据用户x的认证授权信息绑定的VPN实例，在IP层为所接收报文添加VPN实例标签索引，再由处理单元中的MPLS模块根据VPN实例标签索引为报文添加VPN标签和MPLS转发标签；所述私网IP头的源地址为Add一x;在接收到应答报文时，才艮据该应^艮文携带的VPN标签查找相应VPN实例；根据所述应答报文的私网目的地址Add—x在查找到的VPN实例中匹配到所述路由转发表项2,获得下一跳为虚拟接口VI,则通过所述虛拟接口VI将应答报文经由所述SSL连接转发给用户x。15、如权利要求14所述的网关，其特征在于，所述处理单元包括位于应用层的SSLVPN业务模块1、位于IP层的SSLVPN业务模块2和VPN标签处理模块和IP模块，位于TCP层的TCP模块、以及位于IP层与网络接口之间的MPLS模块；位于应用层的SSLVPN业务模块1，用于从为用户x所属VPN设置的地址池中为用户x分配虛地址Ad(Lx;当用户x请求访问VPN资源服务器时，建立用户x与所在网关之间的SSL连"l姿；当报文通过所述SSL连接进入所在网关后，所述IP模块去掉报文的公网IP头，将保留私网IP头和数据部分的报文经由TCP模块发送到位于应用层的SSLVPN业务模块1,SSLVPN业务模块1把解析出来的报文直接发送给位于IP层的SSLVPN业务模块2;SSLVPN业务模块2进一步确定以直接IP转发方式转发报文，将报文发送给VPN标签处理模块；所述VPN标签处理模块根据所述对应关系存储单元保存的绑定关系，查找用户x的认证授权信息绑定的VPN实例，并在报文中记录相应VPN实例标签索引，然后将报文发送给所述IP模块；所述IP模块通过路由查找确定由MPLS进行转发，并将报文发送给MPLS模块；所述MPLS模块根据报文携带的VPN实例标签索引查找相应VPN实例，才艮据查找到的VPN实例为报文添加VPN标签和MPLS转发标签并转发；当应答报文通过第二网^4妄口进入所在网关后，所述MPLS模块进一步根据应答报文携带的VPN标签确定报文所属VPN，将去掉VPN标签的应答报文及其所属VPN信息发送给所述IP模块；所述IP模块进一步根据所述所属VPN信息从所述VPN实例存储单元中获取相应VPN实例，并根据应答报文的私网目的地址Add—x在获取的VPN实例中匹配上所述路由转发表项2，获得下一跳为虚拟接口VI;位于IP层的SSLVPN业务模块2进一步确定通过虚拟接口VI将应答报文经由所述SSL连接发送给用户x，并将应答报文发送给位于应用层的SSLVPN业务模块1;SSLVPN业务模块1将应答报文发送给位于TCP层的TCP模块；所述TCP模块根据所述SSL连接的信息为应叙艮文添加公网IP头，由IP模块通过所述SSL连接将报文发送给用户x。16、如权利要求11所述的网关，其特征在于，所述认证授权信息为用户组、和/或虚拟域、和/或角色。17、如权利要求11所述的网关，其特征在于，所述虛拟接口为SSLVPN以太网4妄口或坏回接口。18、一种远程接入MPLSVPN的系统，其特征在于，该系统包括如权利要求11至17任意一项所述的网关。全文摘要本发明公开了一种远程接入MPLSVPN的方法、系统和网关，该网关同时作为SSLVPN网关和PE。所述方法在SSLVPN网关中创建多个虚拟接口，一个VPN绑定一个虚拟接口并形成VPN实例；根据用户的认证授权信息区分不同VPN的用户，将用户的认证授权信息与相应VPN绑定；当SSLVPN网关接收用户x发来的报文时，根据用户x绑定的VPN实例为报文打上内外标签并转发。当SSLVPN网关接收到来自资源服务器的应答报文时，根据VPN标签查找相应VPN实例，根据查找到VPN实例将应答报文通过SSL连接转发给用户x。这样，远程用户能够通过自身与SSLVPN网关之间的SSL连接，访问MPLSVPN中的VPN资源服务器。文档编号H04L12/56GK101599901SQ20091008898公开日2009年12月9日申请日期2009年7月15日优先权日2009年7月15日发明者明薛,韩小平申请人:杭州华三通信技术有限公司