[发明专利]报文转发方法及装置

权利要求书

1.一种报文转发方法，其特征在于，所述方法应用于数据中心的网关设备，所述方法包括：

接收本数据中心内的本地虚拟机VM发来的第一用户报文；

确定所述第一用户报文所属的第一VPN实例，根据所述第一用户报文的目的地址，在所述第一VPN实例对应的转发表中查找用于转发所述第一用户报文的SSL VPN隧道；所述用于转发所述第一用户报文的SSL VPN隧道还用于转发属于除第一VPN实例之外的其它VPN实例的用户报文；

在所述第一用户报文中封装所述第一VPN实例对应的VPN标签后进行SSL VPN隧道封装得到第一隧道封装报文，通过所述用于转发所述第一用户报文的SSL VPN隧道转发所述第一隧道封装报文，以使接收到所述第一隧道封装报文的远端网关设备，对所述第一隧道封装报文进行SSL VPN隧道解封装后得到第一用户报文，根据所述第一用户报文携带的VPN标签，确定所述VPN标签对应的所述第一VPN实例，将所述第一用户报文在所述第一VPN实例内进行本地转发。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收远端网关设备通过SSL VPN隧道发来的第二隧道封装报文，对所述第二隧道封装报文进行SSL VPN隧道解封装后得到第二用户报文，确定与所述第二用户报文携带的VPN标签对应的第二VPN实例，将所述第二用户报文在所述第二VPN实例内进行本地转发。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当本设备作为SSL VPN客户端时，向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息，以使所述作为SSL VPN服务器的远端网关设备对本设备进行身份认证，在认证通过后，将所述作为SSL VPN服务器的远端网关设备所属的远端数据中心内的多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给本设备；

接收所述作为SSL VPN服务器的远端网关设备发来的所述资源授权报文；

确认本设备与所述作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道建立成功；

根据所述多个远端VM的地址和多个远端VM所属VPN实例对应的VPN标签，针对所述多个远端VM中的每个远端VM，将建立成功的SSL VPN隧道与该远端VM的地址的对应关系配置到该远端VM所属VPN实例对应的转发表中。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当本设备作为SSL VPN服务器时，接收作为SSL VPN客户端的远端网关设备发来的SSLVPN连接请求消息；

对所述作为SSL VPN客户端的远端网关设备进行身份认证，在认证通过后，将多个本地VM的地址和多个本地VM所属VPN实例对应的VPN标签携带在资源授权报文中发送给所述作为SSL VPN客户端的远端网关设备。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

接收控制器发来的需要建立SSL VPN隧道的网关设备的地址列表，以及VPN实例与VPN标签的对应关系；

在判断出所述地址列表中存在本设备的地址时，针对所述地址列表中除本设备的地址以外的其它地址，将本设备作为SSL VPN客户端，将地址为所述其它地址的远端网关设备作为SSL VPN服务器，向作为SSL VPN服务器的远端网关设备发送SSL VPN连接请求消息，以建立本设备与作为SSL VPN服务器的远端网关设备之间的SSL VPN隧道。