[发明专利]VPN客户端IP地址的分配方法、报文传输方法及VPN服务器

说明书

技术领域

本发明涉及虚拟专用网络技术，特别涉及一种VPN客户端IP地址的分配方法、一种报文传输方法及一种VPN服务器。

背景技术

虚拟专用网络（Virtual Private Network，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN实质上就是利用加密技术在公用网络上封装出一个数据通讯隧道。

VPN的隧道协议主要有三种：PPTP、L2TP和IPSec。其中，IPSec是工作在OSI模型第三层的隧道协议，也是最常见的协议。IPSec协议可以对所有IP级的通信进行加密，通过在隧道外面再封装，保证了在传输过程中的安全。

VPN服务器给VPN客户端分配IP地址时，通常也会在VPN客户端动态配置一条静态路由，使指定客户端的数据流通过IPSec隧道进行传输。此时如果给客户端分配的IP地址与PC本身的IP地址冲突（通常PC在网络中动态获取IP地址，此时PC的IP地址不能手动修改），就会使得需要通过IPSec隧道进行传输的数据报文不能进行加密；在PC上查看IP地址就会出现两个网段相同的IP地址。

发明内容

（一）所要解决的技术问题

本发明的目的在于提出一套完整的技术方案，以解决VPN客户端的IP地址与PC本身的IP地址相冲突，导致数据报文无法进行加密并通过IPSec隧道传输的问题。

（二）技术方案

为了解决上述技术问题，本发明提出了一种VPN客户端IP地址的分配方法，该方法包括以下步骤：

S11、在VPN服务器中配置多个IP地址池，设置其中一个IP地址池为主地址池，其他IP地址池均为备用地址池，

其中，所述IP地址池中的IP地址互不冲突；

S12、从所述主地址池中选取一个IP地址设置为主用IP地址，判断所述主用IP地址是否与VPN客户端对应的PC的IP地址相冲突，若所述主用IP地址与所述PC的IP地址不相冲突，则将所述主用IP地址分配给所述VPN客户端，

否则，进入步骤S13；

S13、从所述备用地址池中选取一个IP地址设置为备用IP地址，将所述备用IP地址分配给所述VPN客户端，并将所述备用IP地址与所述主用IP地址的对应关系添加到对应关系表中。

可选的，步骤S12中判断所述主用IP地址是否与所述PC的IP地址相冲突的方法为：在进行IKE协商时，比较所述主用IP地址与IP报文地址中的原IP地址，若两者的头8位相同，则判定为地址相冲突。

基于上述VPN客户端IP地址的分配方法，本发明同时提出了一种报文传输方法，所述报文传输方法包括以下步骤：

S21、VPN客户端将待发送报文加密后转发到VPN服务器；

S22、所述VPN服务器对所述加密后的待发送报文进行解密，得到所述待发送报文，并判断所述待发送报文的原IP地址是否为主用IP地址，若所述原IP地址为主用IP地址，则将所述待发送报文进行转发，

若所述原IP地址为备用IP地址，则进入步骤S23；

S23、所述VPN服务器将所述原IP地址转换为所述备用IP地址对应的主用IP地址，然后将所述待发送报文进行转发。

可选的，步骤S23之后进一步包括步骤：

S24、所述VPN服务器接收到回应报文时，确定所述回应报文的目的IP地址所对应的主用IP地址，并进一步确定所述主用IP地址是否有对应的备用IP地址，若所述主用IP地址没有对应的备用IP地址，则将所述回应报文加密后转发给所述主用IP地址对应的VPN客户端，

若所述主用IP地址有对应的备用IP地址，则进入步骤S25；

S25、所述VPN服务器将所述回应报文的目的IP地址转换为所述备用IP地址，并将所述回应报文加密后转发给所述备用IP地址对应的VPN客户端。

另外，本发明还提出了一种VPN服务器，所述服务器包括多个IP地址池、地址分配单元以及对应关系表存储单元，其中：

所述多个IP地址池中的一个IP地址池为主地址池，其他IP地址池均为备用地址池，且所述IP地址池中的IP地址互不冲突；