[发明专利]一种访问VPN服务端内网资源的方法及装置

说明书

技术领域

本发明涉及网络通信领域，尤其涉及一种访问VPN服务端内网资源的方法及装置。

背景技术

安全套接层（Secure Sockets Layer，SSL）是一套Internet数据安全协议，它已被广泛地用于web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，建立在可靠的传输协议（如TCP协议）之上，为高层协议数据通讯提供数据封装、压缩、加密等安全支持。

虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术，因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSec VPN而言，SSL VPN具有部署简单、无客户端、维护成本低、网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。

单纯只有B/S模式的SSL VPN，也叫web代理技术，其最大优点是可以免客户端，直接以浏览器访问VPN内网的web资源。但是，无法访问内网的其他C/S应用，如远程桌面、邮件系统、文件共享、FTP、数据库和ERP等；实际上，甚至有通过客户端访问整个VPN子网资源的需求存在。因此，实际商用中，SSL VPN也需要通过安装客户端控件的方式来实现远程安全传输其他C/S应用，其中最关键技术是网络连接（Network Connection，NC），其原理是SSL VPN客户端连接服务器端认证后，由服务器端分配虚拟IP地址给客户端，以虚拟IP地址来访问内网资源，并被外层SSL安全隧道加密传输。

SSL VPN的这种网络连接技术，类似于IPSec VPN的客户端模式，其本质区别是IPSec VPN使用IKE协商，使用ESP/AH协议传输数据，而SSL VPN使用SSL协议协商和传输数据。在易用性方面，IPSec VPN客户端需要预先安装在使用者的PC中，而SSL VPN的客户端，可以在用户登录到SSL VPN服务器网关上认证后自动以Active控件形式安装和自动运行，省去了预先安装的繁琐和客户端版本升级需要使用者手动卸载安装等步骤，能更方便于移动用户远程办公使用。

SSL VPN的网络连接技术的客户端具体实现，就是每个用户登录认证成功后，SSL VPN客户端以SSL协议连接服务器端，创建安全隧道，发送控制报文，请求分配虚拟IP地址和可访问的内网IP网段资源；每个客户端可以分配到彼此不相同的虚拟IP地址，在客户端所在的操作系统中启用一块虚拟网卡，设置虚拟网卡的IP地址为分配得到的虚拟IP地址；对内网IP网段资源在操作系统中添加出接口为虚拟网卡的路由，让目的IP地址在该网段内的数据查路由后，出接口为虚拟网卡，操作系统会自动为数据报文添加源IP地址为虚拟网卡上对应的IP地址，即从VPN服务端分配的虚拟IP地址，此时的报文，我们称为内层报文。

图1是现有技术中SSL VPN客户端的实现原理图，图中，实线是发出报文加密流程，虚线是接收报文解密流程。如图1所示，当用户访问SSL VPN网关保护的内网IP网段时，如ftp、远程桌面等内网IP资源，其数据流到达网络层后，查找系统路由表走到出接口虚拟网卡；SSL VPN客户端从虚拟网卡读取出这些需保护的内网访问数据（此时的数据其实已经是一个个IP报文，其源IP地址是虚拟网卡上的IP地址，目的IP是具体应用（如FTP）的目的IP地址），把数据进行加密封装上外层报文头，从SSL安全隧道中发送出去。

图2是现有技术中SSL VPN的组网示意图，如图2所示，用户主机（PC）所处内网地址网段是192.168.1.0/24网段，VPN网关（即VPN服务端）内网也是192.168.1.0/24网段，用户通过VPN拨入后，本端内网环境中和VPN网关内网中，可能都存在相同IP地址的设备，如192.168.1.1，这样，势必存在由于地址网段重叠或冲突，带来的无法正常访问VPN内网服务器的问题。

发明内容

有鉴于此，本发明的目的是提供一种访问VPN服务端内网资源的方法及装置，能够解决由于VPN服务端的内网网段与主机侧的内网网段重叠造成的、用户主机无法正常访问VPN服务端内网资源的问题。