技術領域

本申請涉及一種在虛擬專用網(VPN)網關轉發報文的方法以及VPN網關，尤其涉及一種通過動態地建立與遠程VPN網關之間的通用路由封裝協議(GRE)隧道來實現私網之間的通信。

背景技術

隨著企業規模日益擴大，其客戶分布可日益廣泛，合作伙伴也會日益增多。基于固定地點的專線連接方式的傳統的企業網，已難以適應現代企業的需求。

例如，大型的企業除企業總部以外，一般會在多個城市設置分支機構。為了將這些分支機構互聯實現分支機構與總部之間的安全數據共享，VPN(Virtual?Private?Network)成為多數企業普遍采納的解決方案，如圖1所示。

VPN技術是在公網上構建私有網絡的新興技術。為了防止在廣域網上傳輸日常業務數據時被惡意用戶竊聽、篡改和攻擊，采用VPN可以解決這些方面的憂慮。但是，在建立起VPN網絡后，隨著分支機構的規模日益壯大，企業的IP人員將面臨VPN的穩定性降低、日常維護工作量增加以及排障難度增加等挑戰。

GRE(Generic?Routing?Encapsulation，通用路由封裝)協議作為實現VPN的可選協議來說，可支持使用不同的本地網絡的各分支機構基于公網建立連接，以進行數據通信。如圖2所示，GRE基于Tunnel(隧道)技術對某些網絡層協議(如IP和IPX)的數據報文進行封裝，使這些被封裝的數據報文能夠在另一個網絡層協議(如IP)中傳輸。

圖3示出了GRE隧道中傳輸的數據格式。通常將需要封裝和傳輸的數據報文稱為凈荷(Payload)，凈荷的協議類型就叫做乘客協議(Passenger?Protocol)。系統收到一個凈荷后，首先使用封裝協議(Encapsulation?Protocol)對這個凈荷進行GRE封裝，即把乘客協議報文進行了“包裝”，加上了一個GRE頭部成為GRE報文；然后再將封裝好的原始報文和GRE頭部封裝在另一個協議的報文中，比如IP報文，這樣就可完全由IP層負責此報文的前向轉發。通常將這個負責前向轉發的協議稱為傳輸協議(Delivery?Protocol)。

GRE隧道是一個虛擬的點到點的連接，為封裝的數據報文提供了一條傳輸通路，GRE隧道的兩端分別對數據報進行封裝及解封裝。

圖4是示出通過GRE隧道位于兩個不同的兩個客戶機之間實現通信的示意圖。

參照圖4，在圖示的通信系統中，客戶機PCA和PCB位于不用的私網(局域網)內，他們分別通過網關RTA和RTB接入公網，在網關RTA和RTB時間建立GRE隧道(如“tunnel-gre-1)。

在圖4的示例中，假設將客戶機PCA的IP地址配置為192.168.1.2，為網關RTA的公網連接配置IP地址1.1.1.1，私網連接配置IP地址192.168.1.1；將客戶機PCB的IP地址配置為192.168.2.2，為網關RTB的公網連接配置IP地址2.2.2.2，私網連接配置IP地址192.168.2.1；網關RTA和RTB通過廣域網中的交換機SWA相互傳輸數據報文。

在圖4中用于實現客戶機PCA和PCB之間的通信的處理通常如下：

在網關RTA上，

1.創建與網關RTB之間傳輸數據報文的GRE隧道tunnel-gre-1，其中，將tunnel-gre-1的local端地址配置為1.1.1.1，將tunnel-gre-1的remote端地址配置為2.2.2.1。

2.配置相應的路由

首先，配置客戶機PCA所在的私網到客戶機PCB所在的私網的路由“route?add?192.168.2.0/24via?tunnel-gre-1”；然后，添加tunnel-gre-1的local端點到remote端點的路由“route?add?2.2.2.0/24via?1.1.1.2”。

在網關RTB上，

1.創建與網關RTA之間傳輸數據報文的GRE隧道tunnel-gre-1，其中，配置將tunnel-gre-1的local端地址配置為2.2.2.1，將tunnel-gre-1的remote端地址配置為1.1.1.1。

2.配置相應的路由

首先，配置客戶機PCB所在的私網到客戶機PCA所在的私網的路由“route?add?192.168.1.0/24via?tunnel-gre-1”；然后，添加tunnel-gre-1的local端點到remote端點的路由“route?add?1.1.1.0/24via?2.2.2.2”。