[发明专利]一种基于虚拟专用网隧道的报文发送方法及客户端

说明书

技术领域

本发明关于虚拟专用网(VPN)技术，特别是关于VPN的接入技术，具体的讲是一种基于VPN隧道的报文发送方法及客户端。

背景技术

企业作为信息化的主体，是信息技术最普遍的实践者。在信息化的过程中，企业一方面需要扩展其内网应用服务资源和数据资源的访问领域，以满足越来越多的远程接入需求，比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、远程办公接入等。另一方面，还需要保证内网的安全和接入的安全性，防止企业内部网络遭受黑客和病毒的攻击，并确保传输的信息不被监听、窃取或篡改。

承载于互联网(Internet)之上的VPN隧道接入方式为上述的内网安全接入问题提供了解决之道。安全接入网关是一种具备远程安全接入能力的接入设备，它可以采用IPSec隧道方式或者SSL/TLS加密方式，为通过Internet接入企业网的用户提供了安全加密的VPN通道。

目前，实现VPN客户端的方式是采用添加路由和添加虚拟网卡驱动的方式，就是在客户端获得虚拟IP地址后，按照相关配置，在客户端侧需要增加路由，当访问对应的网段时，需要路由至虚拟网卡，这样就可以对报文进行截包处理。然而，这种通过虚拟网卡进行截包处理的方式，需要手工配置虚拟网卡的IP地址，路由参数也需要由用户手工进行配置，实现起来非常复杂。

发明内容

本发明实施例提供了一种基于虚拟专用网隧道的报文发送方法及客户端，降低方案实现复杂度。

根据本发明的一方面，提供一种基于虚拟专用网隧道的报文发送方法，所述的方法包括以下步骤：通过VPN隧道从VPN网关接收资源信息；接收报文，并从接收的报文中获取报文信息；将所述报文信息与所述资源信息进行匹配；截取报文信息与资源信息相匹配的报文，通过所述的VPN隧道将所述相匹配的报文发送给所述VPN网关。

根据本发明的另一方面，提供一种虚拟专用网客户端，其特征是，所述的VPN客户端包括：资源信息接收单元，用于通过VPN隧道从VPN网关接收资源信息；报文信息获取单元，用于接收报文并从接收的报文中获取报文信息；报文信息匹配单元，用于将所述的报文信息与所述的资源信息进行匹配；报文截取发送单元，用于将报文信息与资源信息相匹配的报文从接收的报文中截取，并通过所述的VPN隧道将报文信息与资源信息相匹配的报文发送给所述VPN网关。

本发明实施例通过对VPN客户端的实现，可以从链路层直接接收每个IP报文，并从IP报文中获取目的IP地址和目的端口号等IP报文信息，通过将这些IP报文信息与VPN网关资源信息相匹配可以容易的判断对应的IP报文是否需要发往VPN网关。如果VPN网关的资源信息包含访问控制策略(ACL)，VPN客户端通过将IP报文信息与ACL的匹配，非常容易地实现了ACL限制报文的截取。从而解决了不通过虚拟网卡、无需添加路由便可实现VPN客户端的报文截取和发送或报文截取和丢弃的问题，从而降低了方案实现复杂度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一的报文发送方法流程图；

图2为本发明实施例一的系统实现流程图；

图3为本发明实施例一VPN网关资源信息列表；

图4为本发明实施例一的IP报文信息获取示意图；

图5为本发明实施例二VPN客户端结构框图；

图6为本发明实施例二的包含ACL的VPN网关资源信息列表；

图7为本发明实施例二的IP报文信息获取示意图；

图8为本发明实施例二具有报文抛弃模块的VPN客户端结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

如图1所示，本发明实施例的基于虚拟专用网隧道的报文发送方法包括以下步骤：

S101：虚拟专用网VPN客户端通过VPN隧道从VPN网关接收资源信息；所述的资源信息包括：内网网站的地址信息、端口信息和VPN网关的访问控制策略信息；