技術領域

本發明涉及通信技術領域，具體涉及一種報文轉發方法及轉發設備和網絡終端設備。

背景技術

隨著通信技術的發展，網際協議(IP，Internet?Protocol)網絡被廣泛應用。接入IP網絡的節點分配有相應的IP地址，這些節點通過IP網絡中的各種網絡設備(例如路由器，交換機等)被連接在一起。節點之間可以通過發送IP報文互通，例如，若作為源的節點需要發送IP報文給作為目的的節點，則將目的節點的IP地址作為目的地址寫入所發送的IP報文的報文頭中，IP網絡中的各種設備根據IP報文的目的地址將其轉發和路由到相應的目的節點。由于節點之間可以便利的直接互通，使得網絡的安全性受到嚴重挑戰。

為提高網絡安全，也有采用虛擬專用網(VPN，Virtual?Private?Network)來提供特定節點之間的網絡連接，使得VPN以外的其他節點不能隨意訪問VPN內的節點。目前，VPN一般是通過對公共IP網絡中的數據鏈路進行控制和分配來實現的，即通過將VPN內節點與外部節點進行物理隔離以保證信息安全。

發明內容

本發明實施例提供能夠實現VPN的報文轉發方法以及轉發設備和網絡終端設備。

一種報文轉發方法，包括：轉發設備接收源節點發送的雙層報文，所稱雙層報文包括作為數據封裝的內層報文和外層報文頭，此時外層報文頭攜帶的目的地址為轉發設備自身的全局地址，內層報文包括內層報文頭，內層報文頭攜帶的目的地址為目的節點在虛擬專用網內的私有地址；轉發設備根據目的節點在虛擬專用網內的私有地址查找目的節點的全局地址；轉發設備重新封裝外層報文頭，此時外層報文頭攜帶的目的地址為目的節點的全局地址；轉發設備將重新封裝的雙層報文發送給目的節點。

一種轉發設備，包括：接收模塊，用于接收源節點發送的雙層報文；轉發策略模塊，用于解析接收模塊接收的雙層報文，所稱雙層報文包括作為數據封裝的內層報文和外層報文頭，此時外層報文頭攜帶的目的地址為轉發設備自身的全局地址，內層報文包括內層報文頭，內層報文頭攜帶的目的地址為目的節點在虛擬專用網內的私有地址；根據目的節點在虛擬專用網內的私有地址查找目的節點的全局地址；封裝模塊，用于重新封裝外層報文頭，重新封裝的外層報文頭攜帶的目的地址為轉發策略模塊查找到的目的節點的全局地址；發送模塊，用于將封裝模塊重新封裝的雙層報文發送給目的節點。

一種網絡終端設備，包括：封裝模塊，用于先封裝生成內層報文，內層報文包括內層報文頭，內層報文頭攜帶的目的地址為目的節點在虛擬專用網內的私有地址；再將內層報文作為數據封裝上外層報文頭生成雙層報文，外層報文頭攜帶的目的地址為虛擬專用網的轉發設備的全局地址；發送模塊，用于發送封裝模塊生成的雙層報文。

本發明實施例采用基于網絡報文轉發來實現VPN的方法，VPN內的節點需要通過特定的轉發設備進行彼此之間的互通，保證了VPN的網絡安全。

附圖說明

圖1是本發明報文轉發方法的實施例的基本流程示意圖；

圖2是本發明實施例一的流程示意圖；

圖3是本發明實施例一中雙層IP報文的格式示意圖；

圖4是本發明實施例二中雙層IP報文的格式示意圖；

圖5是本發明實施例三的流程示意圖；

圖6是本發明轉發設備的實施例的邏輯結構示意圖；

圖7是本發明網絡終端設備的實施例的邏輯結構示意圖；

圖8是本發明實施例的應用場景的組網示意圖。

具體實施方式

本發明實施例提供一種能夠實現VPN的報文轉發方法，由具有特定處理能力的轉發設備對VPN內節點間的IP報文進行中轉。本發明實施例還提供相應的轉發設備和網絡終端設備。以下分別進行詳細說明。

本發明報文轉發方法的實施例的基本流程可參考圖1，主要包括步驟：

101、轉發設備接收源節點發送的雙層報文。

本文中，將節點在公共網絡中的地址稱為全局地址，將節點在所歸屬的VPN內的地址稱為私有地址。

本發明實施例中，VPN內的節點之間通過雙層報文進行通信。所稱雙層報文即經過兩次封裝的報文，包括外層報文頭和作為數據封裝的內層報文。所稱內層報文包括內層報文頭，當然還可以包括實際需要傳遞的數據信息等。清楚起見，以下將轉發設備收到的(也就是源節點發送的)雙層報文的外層報文頭稱為第一外層報文頭。第一外層報文頭攜帶的目的地址為轉發設備的全局地址，網絡可以將源節點發送的雙層報文看作需要發送給轉發設備的普通報文進行傳送。內層報文頭攜帶的目的地址為目的節點在VPN內的私有地址。