[发明专利]报文转发方法、装置、电子设备及机器可读存储介质

说明书

本申请提供一种报文转发方法、装置、电子设备及机器可读存储介质。在本申请中，接收所述对端设备的目标请求报文；对所述目标请求报文执行IPSec解封装，并保存所述目标报文对应的内层会话，其中，所述内层会话至少包括所述目标请求报文的出接口；基于所述内层会话，将所述目标请求报文对应的目标回应报文转发所述对端设备。通过获取及保存目标请求报文对应的内层会话信息，并基于所述内层会话信息，将所述目标请求报文对应的目标回应报文，基于所述目标请求报文的出接口转发至位于NAT后的对端设备，从而保证了多链路IPSec VPN组网下，目标请求报文以及对应目标回应报文穿越NAT时对应IPSec链路的一致性。

技术领域

本申请涉及通信技术领域，尤其涉及报文转发方法、装置、电子设备及机器可读存储介质。

背景技术

由于经济和社会的快速发展，企业信息化程度的提高，一个常见的需求就是各地分公司或办事处同企业总部的需要跨越互联网进行信息交互以及传递，而VPN(VirtualPrivate Network，虚拟专用网络)就是应对上述需求的一种远程访问技术。VPN按应用模式划分，可以包括多种类型，其中，隧道协议IPSec(Internet Protocol Security，互联网安全协议)作为上述隧道协议中的一种，基于IPSec VPN对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。

以IPSec作为VPN隧道协议的VPN为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。基于IPSec VPN的多个通信方之间在IP层通过加密与数据源认证等方式，提供了数据机密性、数据完整性、数据来源认证等安全服务。

发明内容

本申请提供一种报文转发方法，所述方法应用于IPSec VPN组网中的IPSec对等体，所述IPSec VPN组网在运行时，所述IPSec对等体可被配置为本端设备或对端设备，其中，所述IPSec VPN组网包括一个本端设备和至少两个对端设备，所述对端设备基于NAT与所述本端设备相连通信，当所述IPSec对等体为本端设备时，所述方法包括：

接收所述对端设备的目标请求报文；

对所述目标请求报文执行IPSec解封装，并保存所述目标报文对应的内层会话，其中，所述内层会话至少包括所述目标请求报文的出接口；

基于所述内层会话，将所述目标请求报文对应的目标回应报文转发所述对端设备。

可选的，所述内层会话还包括所述目标请求报文对应的IPSec隧道，所述基于所述内层会话，将所述目标请求报文对应的目标回应报文转发所述对端设备，包括：

对所述目标回应报文执行IPSec封装；

将封装后的目标回应报文经由所述IPSec隧道对应的出接口，转发至NAT内的所述对端设备。

可选的，所述本端设备与所述对端设备之间若存在多链路，当所述IPSec对等体为对端设备时，包括：

基于所述对端设备与所述多链路对应的不同出接口带宽，动态配置所述目标请求报文对应所述不同出接口的发送权重；

基于所述不同出接口的发送权重，将所述目标请求报文经所述多链路对应的不同出接口，发送至所述本端设备。

本申请还提供一种报文转发装置，所述装置应用于IPSec VPN组网中的IPSec对等体，所述IPSec VPN组网在运行时，所述IPSec对等体可被配置为本端设备或对端设备，其中，所述IPSec VPN组网包括一个本端设备和至少两个对端设备，所述对端设备基于NAT与所述本端设备相连通信，当所述IPSec对等体为本端设备时，所述装置包括：

接收模块，接收所述对端设备的目标请求报文；