一种VPN资源访问方法及装置与流程

文档序号:12730316阅读:255来源:国知局
一种VPN资源访问方法及装置与流程
本发明涉及网络通信
技术领域
,尤其涉及一种VPN资源访问方法及装置。
背景技术
:SSLVPN是以SSL(SecureSocketsLayer,安全套接字层)为基础的VPN(VirtualPrivateNetwork,虚拟专用网)技术。SSLVPN充分利用了SSL协议基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。在以IP连接方式接入的SSLVPN中,SSLVPN网关设备支持多VPN接入。网关设备通过创建多SSLVPN实例,在每个SSLVPN实例中绑定各自的VPN,当用户访问多个VPN内的资源时,需要启动多个SSLVPN客户端,每个SSLVPN客户端登陆到不同的SSLVPN实例中,与SSLVPN网关建立SSLVPN隧道,传输各自VPN数据。当VPN数量较多时,将大量消耗网关设备的SSLVPN隧道资源。技术实现要素:本发明的目的在于提供一种VPN资源访问方法及装置,用以减少网关设备上SSLVPN隧道资源的占用。为实现上述发明目的,本发明提供了如下技术方案:本发明提供一种VPN资源访问方法,应用于支持SSLVPN的网关设备,所述方法包括:向与本设备建立SSLVPN隧道的远程客户端发送授权给所述远程客户端的多个VPN内的资源的资源信息,所述多个VPN为所述SSLVPN隧道所属的SSLVPN实例绑定的VPN;接收所述远程客户端通过所述SSLVPN隧道发送的请求报文,所述请求报文携带所述远程客户端根据所述资源的资源信息确定的待接入资源的接入信息;查找与所述待接入资源的接入信息匹配的转发表项,并根据匹配到的转发表项中的转发信息转发所述请求报文。本发明还提供一种VPN资源访问装置,应用于支持SSLVPN的网关设备,所述装置包括:发送单元,用于向与本设备建立SSLVPN隧道的远程客户端发送授权给所述远程客户端的多个VPN内的资源的资源信息,所述多个VPN为所述SSLVPN隧道所属的SSLVPN实例绑定的VPN;接收单元,用于接收所述远程客户端通过所述SSLVPN隧道发送的请求报文,所述请求报文携带所述远程客户端根据所述资源的资源信息确定的待接入资源的接入信息;转发单元,用于查找与所述待接入资源的接入信息匹配的转发表项,并根据匹配到的转发表项中的转发信息转发所述请求报文。由以上描述可以看出,本发明中,网关设备通过与远程客户端建立的SSLVPN隧道向该远程客户端发送授权给该远程客户端的多个VPN内的资源的资源信息,远程客户端根据授权的多个VPN内的资源的资源信息确定当前要访问的资源(待接入资源)的接入信息,向网关设备发送携带待接入资源的接入信息的请求报文,网关设备本地查找与该待接入资源的接入信息匹配的转发表项,根据匹配到的转发表项中的转发信息转发请求报文。本发明中一个远程客户端可以对应多个VPN,因此,用户在访问不同VPN内的资源时,无需启动多个远程客户端,用户可以利用该远程客户端与网关设备之间建立的SSLVPN隧道实现对多个VPN内的资源的访问,节约了网关设备的SSLVPN隧道资源。附图说明图1是本发明实施例示出的一种VPN资源访问方法流程图;图2是本发明实施例示出的一种多VPN组网示意图;图3是本发明实施例示出的一种SSLVPN协议交互流程示意图;图4是本发明实施例示出的另一种SSLVPN协议交互流程示意图;图5是本发明实施例示出的SSLVPN网关设备的结构示意图;图6是本发明实施例示出的一种VPN资源访问装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本发明实施例提出一种VPN资源访问方法,该方法应用于SSLVPN网关设备(以下简称网关设备),参见图1,为本发明VPN资源访问方法的一个实施例流程图,该实施例对VPN资源访问过程进行描述。步骤101,向与本设备建立SSLVPN隧道的远程客户端发送授权给所述远程客户端的多个VPN内的资源的资源信息。网关设备与远程客户端通过SSLVPN协议进行信息交互,在交互过程中,根据远程客户端的权限发送授权给该远程客户端的多个VPN内的资源的资源信息。具体为,网关设备首先创建SSLVPN实例,在SSLVPN实例中绑定多个VPN,通过与远程客户端的SSLVPN协议交互,将授权给该远程客户端访问的多个VPN内的资源的资源信息发送给远程客户端。本发明中网关设备通过创建的绑定了多个VPN的SSLVPN实例与远程客户端建立SSLVPN隧道。步骤102,接收所述远程客户端通过所述SSLVPN隧道发送的请求报文。远程客户端通过步骤101可获取到网关设备授权的多个VPN内的资源的资源信息。远程客户端从授权的多个VPN内的资源的资源信息中选择当前要访问的资源(也可称为待接入资源)的资源信息,并根据待接入资源的资源信息确定该待接入资源的接入信息,将该待接入资源的接入信息携带在请求报文中发送给网关设备。本发明针对不同类型的远程客户端,授权给远程客户端的资源的资源信息的具体内容不同,同时,远程客户端根据资源的资源信息确定的待接入资源的接入信息的内容也不同,下文中会具体描述,这里暂不赘述。步骤103,查找与所述待接入资源的接入信息匹配的转发表项,并根据匹配到的转发表项中的转发信息转发所述请求报文。具体地,网关设备根据待接入资源的接入信息确定请求报文所属VPN,在确定的VPN内查找匹配的转发表项(例如,路由表项)转发请求报文。下文中会针对不同类型远程客户端,对本步骤作详细说明,这里暂不赘述。需要补充说明的是,本发明中,授权给远程客户端的多个VPN可共用同一IP地址池。当远程客户端访问授权的任一资源时,网关设备可基于共用的IP地址池为远程客户端分配相同的IP地址,以使远程客户端可基于同一IP地址发送访问授权的任一资源的请求报文,便于针对远程客户端的监控和管理。从上述描述可以得出,本发明一个远程客户端可以对应多个VPN,因此,用户在访问不同VPN内的资源时,无需启动多个远程客户端,用户可以利用该远程客户端与网关设备之间建立的SSLVPN隧道实现对多个VPN内的资源的访问,节约了网关设备的SSLVPN隧道资源。以下针对不同类型的远程客户端,描述VPN资源访问过程。作为一个实施例,当远程客户端支持基于VPN的资源授权(即在授权的资源的资源信息中包含资源所属VPN的标识,远程客户端可识别该VPN的标识)时,步骤101中网关设备授权的资源的资源信息包括资源所属的VPN的标识、以及资源对应的资源服务器的IP地址(在资源所属VPN内的IP地址),例如,资源所属的VPN的标识为VPN1,VPN1内该资源对应的资源服务器的IP地址为20.1.1.254。网关设备通过步骤101向远程客户端授权该远程客户端权限范围内可以访问的多个VPN内的资源的资源信息。在完成资源授权后,网关设备向远程客户端发送授权给远程客户端的多个VPN内的资源的VPN信息,该VPN信息包括资源所属的VPN的标识和与该资源所属的VPN绑定的MAC地址的对应关系。这里需要说明的是,网关设备为SSLVPN实例中每一个VPN绑定了一个接入(AC)接口,并为每一个接入接口分配了不同的MAC地址,即可通过MAC地址唯一标识一个VPN。当远程客户端从授权的多个VPN的资源中选择当前要访问的待接入资源时,根据该待接入资源的资源信息中的VPN的标识(待接入资源所属的VPN的标识)匹配本地记录的VPN信息,将匹配到的VPN信息中的VPN绑定的MAC地址(待接入资源所属的VPN绑定的MAC地址),以及待接入资源的资源信息中的资源服务器的IP地址(待接入资源对应的资源服务器的IP地址),作为待接入资源的接入信息携带在请求报文中发送给网关设备。其中,待接入资源所属的VPN绑定的MAC地址携带在请求报文的目的MAC地址字段,待接入资源对应的资源服务器的IP地址携带在请求报文的目的IP地址字段。网关设备通过步骤102接收请求报文。通过步骤103查找与请求报文中携带的待接入资源的接入信息匹配的转发表项,并根据匹配到的转发表项中的转发信息转发请求报文。具体地,该步骤103包括:网关设备在本地存储的VPN的标识与VPN绑定的MAC地址的对应关系中,查找与待接入资源所属的VPN绑定的MAC地址对应的VPN的标识;在与查找到的VPN的标识对应的转发表中查找与待接入资源对应的资源服务器的IP地址匹配的转发信息,并根据查找到的转发信息转发请求报文。即根据VPN标识与MAC地址的对应关系,确定请求报文所属VPN,然后向该VPN内的资源服务器转发请求报文。待接入资源对应的资源服务器处理接收到的请求报文,并针对该请求报文回复应答报文,该应答报文的目的IP地址为发送请求报文的远程客户端的IP地址。该应答报文到达网关设备时,网关设备根据该应答报文所属VPN确定待接入资源所属的VPN的标识,在本地存储的VPN的标识与VPN绑定的MAC地址的对应关系中,查找与待接入资源所属的VPN的标识对应的VPN绑定的MAC地址,将应答报文的源MAC地址替换为查找到的VPN绑定的MAC地址;在本地存储的IP地址与MAC地址的对应关系(亦称为ARP表项)中,查找与远程客户端的IP地址对应的MAC地址(远程客户端的MAC地址),将应答报文的目的MAC地址替换为远程客户端的MAC地址;在与待接入资源所属VPN的标识对应的转发表中查找与远程客户端的IP地址匹配的转发信息,根据查找到的转发信息转发替换MAC地址后的应答报文。该应答报文最终达到远程客户端,完成整个资源访问过程。可见,本实施例中,网关设备利用VPN标识与VPN绑定的MAC地址的对应关系,在接收请求报文时,根据请求报文中携带的待接入资源所属的VPN绑定的MAC地址,确定请求报文所属VPN,进而向该VPN内待接入资源对应的资源服务器转发请求报文;在接收到资源服务器返回的应答报文时,根据应答报文所属VPN(待接入资源所属VPN)查询VPN标识与VPN绑定的MAC地址的对应关系,找到与待接入资源所属VPN绑定的MAC地址,携带在应答报文中,以使远程客户端可以识别该应答报文所属VPN。实现一个远程客户端可以对应多个VPN,因此,用户在访问不同VPN内的资源时,无需启动多个远程客户端,用户可以利用该远程客户端与网关设备之间建立的SSLVPN隧道实现对多个VPN内的资源的访问,节约了网关设备的SSLVPN隧道资源。作为另一个实施例,当远程客户端不支持基于VPN的资源授权(即远程客户端无法识别资源授权过程中携带的VPN的标识)时,网关设备本地存储VPN的标识、资源服务器的IP地址与资源服务器的IP地址映射后的IP地址的对应关系,参见表1。表1以Server1为例,Server1属于VPN1,在VPN1内的IP地址为20.1.1.254,网关设备对Server1进行地址映射,映射后的IP地址为120.1.1.254;同理,网关设备对Server2进行地址映射,映射后的IP地址为121.1.1.254。由表1可知,各资源服务器映射前的IP地址可能相同,但映射后的IP地址各不相同。网关设备通过步骤101授权的资源的资源信息包括资源对应的资源服务器的IP地址映射后的IP地址,远程客户端从授权的多个VPN的资源中选择当前要访问的待接入资源,将待接入资源对应的资源服务器的IP地址映射后的IP地址,作为待接入资源的接入信息携带在请求报文中发送给网关设备。其中,待接入资源对应的资源服务器的IP地址映射后的IP地址携带在请求报文的目的IP地址字段。网关设备通过步骤102接收请求报文。通过步骤103查找与待接入资源的接入信息匹配的转发表项,并根据匹配到的转发表项中的转发信息转发请求报文。具体地,步骤103包括:网关设备在本地存储的VPN的标识、资源服务器的IP地址与资源服务器的IP地址映射后的IP地址的对应关系中,查找与待接入资源对应的资源服务器的IP地址映射后的IP地址对应的VPN的标识和资源服务器的IP地址;在与查找到的VPN的标识对应的转发表中查找与查找到的资源服务器的IP地址匹配的转发信息,将请求报文目的IP地址字段携带的待接入资源对应的资源服务器的IP地址映射后的IP地址,替换为查找到的待接入资源对应的资源服务器的IP地址,并根据查找到的转发信息转发替换目的IP地址字段后的请求报文。待接入资源对应的资源服务器处理接收到的请求报文,并针对该请求报文回复应答报文,该应答报文的源IP地址为待接入资源的资源服务器的IP地址,应答报文的目的IP地址为远程客户端的IP地址。该应答报文到达网关设备时,网关设备根据该应答报文所属VPN确定待接入资源所属的VPN的标识,在本地存储的VPN的标识、资源服务器的IP地址与资源服务器的IP地址映射后的IP地址的对应关系中,查找与待接入资源所属VPN的标识和资源服务器的IP地址对应的待接入资源对应的资源服务器的IP地址映射后的IP地址;将应答报文的源IP地址替换为查找到的待接入资源对应的资源服务器的IP地址映射后的IP地址;在与待接入资源所属VPN的标识对应的转发表中查找与远程客户端的IP地址匹配的转发信息,根据查找到的转发信息转发IP地址替换后的应答报文。该应答报文最终达到远程客户端,完成整个资源访问过程。可见,本实施例中,网关设备通过对资源对应的资源服务器的IP地址进行映射,映射后得到的IP地址可以唯一标识资源对应的资源服务器,将映射后得到的IP地址发送给远程客户端,以使远程客户端感知不到多VPN存在的情况下,即实现对多VPN的资源的访问,减少了对网关设备上SSLVPN隧道资源的占用。现结合图2所示多VPN网络,举两个具体实施例说明VPN资源访问过程。图2所示多VPN网络包括:终端设备PC、SSLVPN网关设备GW、资源服务器Server1和Server2,其中,Server1属于VPN1,Server2属于VPN2,Server1和Server2的IP地址相同,均为20.1.1.254。R1、R2代表数据传输所经中间网络设备。用户通过PC上启动的一个远程客户端(记为Client)与GW建立SSLVPN隧道。实施例一:Client支持基于VPN的资源授权GW在SSLVPN隧道所属的SSLVPN实例中绑定VPN1和VPN2,并为VPN1绑定接入接口AC1,为VPN2绑定接入接口AC2,指定AC1的MAC地址为MAC1,AC2的MAC地址为MAC2,建立VPN的标识与VPN绑定的MAC地址的对应关系,参见表2。VPN的标识VPN绑定的MAC地址VPN1MAC1VPN2MAC2表2Client与GW利用图3所示SSLVPN协议交互流程进行信息交互。其中,步骤301、步骤302、步骤304、步骤306以及步骤307遵循现有SSLVPN协议,这里不再赘述;在步骤303的应用授权阶段,GW将Server1所属VPN的标识(VPN1)以及Server1的IP地址(20.1.1.254)、Server2所属VPN的标识(VPN2)以及Server2的IP地址(20.1.1.254)发送给Client。在步骤304中,GW从IP地址池(10.1.1.1/24)中为Client分配虚拟IP地址10.1.1.1。在步骤305中,GW将MAC1与VPN1、MAC2与VPN2的对应关系通告给Client。当Client发送请求报文(记为Packet1)访问Server1时,Packet1的源IP地址为Client的虚拟IP地址10.1.1.1,目的IP地址为Server1的IP地址20.1.1.254,源MAC地址为Client的MAC地址,目的MAC地址为Server1所属VPN1对应的MAC地址MAC1。该请求报文在发送之前进行SSLVPN隧道封装,SSLVPN隧道的源IP地址为PC的公网IP地址(100.1.1.1),目的IP地址为GW的IP地址(1.1.1.254),通过SSLVPN隧道发送给GW。GW接收到SSLVPN报文后,解除SSLVPN隧道封装,根据Packet1的目的MAC地址MAC1,查询表2,确定Packet1所属VPN为VPN1,根据Packet1的目的IP地址20.1.1.254查询VPN1内的路由表,将Packet1转发给Server1。Server1接收到Packet1后,针对Packet1回复应答报文,记为Packet2。Packet2的源IP地址为Server1的IP地址20.1.1.254,目的IP地址为Client的虚拟IP地址10.1.1.1,源MAC地址为Server1的MAC地址,目的MAC地址为Server1对应网关设备(图中未示出)的MAC地址,Server1对应网关设备及其它中间网络设备基于路由转发,将Packet2转发给GW。GW根据Packet2的目的IP地址,在Packet2所属的VPN(VPN1)内查询路由表,从而确定下一跳为Client,出接口为SSLVPN隧道;根据Packet2所属的VPN(VPN1)查询表2,从而确定VPN1绑定的MAC为MAC1,将Packet2的源MAC地址替换为与VPN1绑定的MAC1;根据Packet2的目的IP地址(Client的虚拟IP地址10.1.1.1),查询与Client的虚拟IP地址匹配的ARP表项(记录IP地址与MAC地址对应关系的表项),从而确定Client的虚拟IP地址对应的MAC地址,将Packet2的目的MAC地址替换为Client的MAC地址;对替换MAC地址后的Packet2报文进行SSLVPN隧道封装,SSLVPN隧道的源IP地址为GW的IP地址(1.1.1.254),目的IP地址为PC的公网IP地址(100.1.1.1),通过SSLVPN隧道发送给Client。Client通过SSLVPN隧道接收到报文后,解除隧道封装,根据Packet2的源MAC地址MAC1确定该报文来自VPN1,根据Packet2的源IP地址20.1.1.254确定该报文来自Server1,解析该报文进行处理。同理,Client访问Server2的处理流程相同,可通过同一SSLVPN隧道传输报文,基于MAC2识别属于VPN2的报文。实施例二:Client不支持基于VPN的资源授权GW在SSLVPN隧道所属的SSLVPN实例中绑定VPN1和VPN2,建立如表1所示的对应关系。Client与GW利用图4所示SSLVPN协议交互流程进行信息交互。其中,步骤401、步骤402、步骤404、步骤405以及步骤406遵循现有SSLVPN协议,这里不再赘述;在步骤403的应用授权阶段,GW根据表1中记录的VPN的标识、资源服务器的IP地址与资源服务器的IP地址映射后的IP地址的对应关系,将根据Server1在所属VPN1内的IP地址20.1.1.254映射后得到的IP地址120.1.1.254和根据Server2在所属VPN2内的IP地址20.1.1.254映射后得到的IP地址121.1.1.254发送给Client。在步骤404中,GW从IP地址池(10.1.1.1/24)中为Client分配虚拟IP地址10.1.1.1。当Client发送请求报文(记为Packet3)访问Server1时,Packet3的源IP地址为Client的虚拟IP地址10.1.1.1,目的IP地址为Server1映射后的IP地址120.1.1.254,对Packet3进行SSLVPN隧道封装,SSLVPN隧道的源IP地址为PC的公网IP地址100.1.1.1,目的IP地址为GW的IP地址1.1.1.254,通过SSLVPN隧道发送给GW。GW接收到SSLVPN报文后,解除SSLVPN隧道封装,根据Packet3的目的IP地址120.1.1.254查询表1,确定Packet3所属VPN为VPN1,且确定Server1在VPN1内的IP地址为20.1.1.254,将Packet3的目的IP地址120.1.1.254替换为Server1在VPN1内的IP地址20.1.1.254;根据Server1在VPN1内的IP地址为20.1.1.254查询VPN1内的路由表,并根据查找到的路由表将Packet3发送给Server1。Server1接收到Packet3后,针对Packet3回复应答报文,记为Packet4。Packet4的源IP地址为Server1在VPN1内的IP地址20.1.1.254,目的IP地址为Client的虚拟IP地址10.1.1.1,源MAC地址为Server1的MAC地址,目的MAC地址为Server1对应网关设备(图中未示出)的MAC地址,Server1对应网关设备及其它中间网络设备基于路由转发,将Packet4转发给GW。GW根据Packet4的目的IP地址,在Packet4所属的VPN(VPN1)内查询路由表,从而确定下一跳为Client,出接口为SSLVPN隧道;根据Packet4所属的VPN(VPN1)及源IP地址20.1.1.254查询表1,从而确定Server1在VPN1内的IP地址映射后的IP地址为120.1.1.254,将Packet4的源IP地址20.1.1.254替换为映射后的IP地址120.1.1.254,然后进行SSLVPN隧道封装,SSLVPN隧道的源IP地址为GW的IP地址(1.1.1.254),目的IP地址为PC的公网IP地址(100.1.1.1),通过SSLVPN隧道发送给Client。Client通过SSLVPN隧道接收到SSLVPN报文后,解除隧道封装,对Packet4进行处理。同理,Client访问Server2的处理流程相同,可通过同一SSLVPN隧道传输报文。与前述VPN资源访问方法的实施例相对应,本发明还提供了VPN资源访问装置的实施例。本发明VPN资源访问装置的实施例可以应用在SSLVPN网关设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言,如图5所示,为本发明VPN资源访问装置所在设备的一种硬件结构图,除了图5所示的处理器以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。请参考图6,为本发明一个实施例中的VPN资源访问装置的结构示意图。该VPN资源访问装置包括发送单元601、接收单元602以及转发单元603,其中:发送单元601,用于向与本设备建立SSLVPN隧道的远程客户端发送授权给所述远程客户端的多个VPN内的资源的资源信息,所述多个VPN为所述SSLVPN隧道所属的SSLVPN实例绑定的VPN;接收单元602,用于接收所述远程客户端通过所述SSLVPN隧道发送的请求报文,所述请求报文携带所述远程客户端根据所述资源的资源信息确定的待接入资源的接入信息;转发单元603,用于查找与所述待接入资源的接入信息匹配的转发表项,并根据匹配到的转发表项中的转发信息转发所述请求报文。进一步地,所述资源的资源信息包括所述资源所属的VPN的标识、所述资源对应的资源服务器的IP地址;所述发送单元601,在向与本设备建立SSLVPN隧道的远程客户端发送授权给所述远程客户端的多个VPN内的资源的资源信息之后,还用于向所述远程客户端发送所述多个VPN内的资源的VPN信息,所述VPN信息包括所述资源所属的VPN的标识和与所述资源所属的VPN绑定的MAC地址的对应关系,以使所述远程客户端确定所述待接入资源的接入信息,所述待接入资源的接入信息包括所述待接入资源所属的VPN绑定的MAC地址、所述待接入资源对应的资源服务器的IP地址;所述转发单元603,具体用于在本地存储的VPN的标识与VPN绑定的MAC地址的对应关系中,查找与所述待接入资源所属的VPN绑定的MAC地址对应的VPN的标识;在与查找到的VPN的标识对应的转发表中查找与所述待接入资源对应的资源服务器的IP地址匹配的转发信息,并根据查找到的转发信息转发所述请求报文。进一步地,所述请求报文通过目的MAC地址字段携带所述待接入资源所属的VPN绑定的MAC地址,通过目的IP地址字段携带所述待接入资源对应的资源服务器的IP地址。进一步地,所述资源的资源信息包括所述资源对应的资源服务器的IP地址映射后的IP地址;其中,各资源服务器的IP地址映射后的IP地址各不相同;所述待接入资源的接入信息包括:所述待接入资源对应的资源服务器的IP地址映射后的IP地址;所述转发单元603,具体用于在本地存储的VPN的标识、资源服务器的IP地址与资源服务器的IP地址映射后的IP地址的对应关系中,查找与所述待接入资源对应的资源服务器的IP地址映射后的IP地址对应的VPN的标识和资源服务器的IP地址;在与查找到的VPN的标识对应的转发表中查找与查找到的资源服务器的IP地址匹配的转发信息,根据查找到的转发信息转发所述请求报文。进一步地,所述请求报文通过目的IP地址字段携带所述待接入资源对应的资源服务器的IP地址映射后的IP地址;所述转发单元603根据查找到的转发信息转发所述请求报文,包括:将所述请求报文目的IP地址字段携带的所述待接入资源对应的资源服务器的IP地址映射后的IP地址,替换为所述查找到的资源服务器的IP地址,并根据查找到的转发信息转发替换目的IP地址字段后的请求报文。进一步地,所述多个VPN共用同一IP地址池,所述装置还包括:分配单元,用于所述远程客户端访问授权的任一资源时,所述网关设备基于共用的IP地址池为所述远程客户端分配相同的IP地址,以使所述远程客户端使用同一IP地址发送访问授权的任一资源的请求报文。进一步地,所述接收单元602,还用于接收所述待接入资源对应的资源服务器针对所述请求报文返回的应答报文,所述应答报文的目的IP地址为所述远程客户端的IP地址;所述转发单元603,还用于在本地存储的VPN的标识与VPN绑定的MAC地址的对应关系中,查找与所述待接入资源所属的VPN的标识对应的VPN绑定的MAC地址;将所述应答报文的源MAC地址替换为查找到的VPN绑定的MAC地址,所述应答报文的目的MAC地址替换为所述远程客户端的MAC地址;在与所述待接入资源所属VPN的标识对应的转发表中查找与所述远程客户端的IP地址匹配的转发信息,根据查找到的转发信息转发替换MAC地址后的应答报文。进一步地,所述接收单元602,还用于接收所述待接入资源对应的资源服务器针对所述请求报文返回的应答报文,所述应答报文的源IP地址为所述待接入资源对应的资源服务器的IP地址,所述应答报文的目的IP地址为所述远程客户端的IP地址;所述转发单元603,还用于在本地存储的VPN的标识、资源服务器的IP地址与资源服务器的IP地址映射后的IP地址的对应关系中,查找与所述待接入资源所属VPN的标识和资源服务器的IP地址对应的所述待接入资源对应的资源服务器的IP地址映射后的IP地址;将所述应答报文的源IP地址替换为查找到的所述待接入资源对应的资源服务器的IP地址映射后的IP地址;在与所述待接入资源所属VPN的标识对应的转发表中查找与所述远程客户端的IP地址匹配的转发信息,根据查找到的转发信息转发IP地址替换后的应答报文。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。当前第1页1 2 3 
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1