技術領域

本發明涉及虛擬專用網絡技術，特別涉及一種VPN客戶端IP地址的分配方法、一種報文傳輸方法及一種VPN服務器。

背景技術

虛擬專用網絡（Virtual?Private?Network，簡稱VPN）指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專用網絡所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。VPN實質上就是利用加密技術在公用網絡上封裝出一個數據通訊隧道。

VPN的隧道協議主要有三種：PPTP、L2TP和IPSec。其中，IPSec是工作在OSI模型第三層的隧道協議，也是最常見的協議。IPSec協議可以對所有IP級的通信進行加密，通過在隧道外面再封裝，保證了在傳輸過程中的安全。

VPN服務器給VPN客戶端分配IP地址時，通常也會在VPN客戶端動態配置一條靜態路由，使指定客戶端的數據流通過IPSec隧道進行傳輸。此時如果給客戶端分配的IP地址與PC本身的IP地址沖突（通常PC在網絡中動態獲取IP地址，此時PC的IP地址不能手動修改），就會使得需要通過IPSec隧道進行傳輸的數據報文不能進行加密；在PC上查看IP地址就會出現兩個網段相同的IP地址。

發明內容

（一）所要解決的技術問題

本發明的目的在于提出一套完整的技術方案，以解決VPN客戶端的IP地址與PC本身的IP地址相沖突，導致數據報文無法進行加密并通過IPSec隧道傳輸的問題。

（二）技術方案

為了解決上述技術問題，本發明提出了一種VPN客戶端IP地址的分配方法，該方法包括以下步驟：

S11、在VPN服務器中配置多個IP地址池，設置其中一個IP地址池為主地址池，其他IP地址池均為備用地址池，

其中，所述IP地址池中的IP地址互不沖突；

S12、從所述主地址池中選取一個IP地址設置為主用IP地址，判斷所述主用IP地址是否與VPN客戶端對應的PC的IP地址相沖突，若所述主用IP地址與所述PC的IP地址不相沖突，則將所述主用IP地址分配給所述VPN客戶端，

否則，進入步驟S13；

S13、從所述備用地址池中選取一個IP地址設置為備用IP地址，將所述備用IP地址分配給所述VPN客戶端，并將所述備用IP地址與所述主用IP地址的對應關系添加到對應關系表中。

可選的，步驟S12中判斷所述主用IP地址是否與所述PC的IP地址相沖突的方法為：在進行IKE協商時，比較所述主用IP地址與IP報文地址中的原IP地址，若兩者的頭8位相同，則判定為地址相沖突。

基于上述VPN客戶端IP地址的分配方法，本發明同時提出了一種報文傳輸方法，所述報文傳輸方法包括以下步驟：

S21、VPN客戶端將待發送報文加密后轉發到VPN服務器；

S22、所述VPN服務器對所述加密后的待發送報文進行解密，得到所述待發送報文，并判斷所述待發送報文的原IP地址是否為主用IP地址，若所述原IP地址為主用IP地址，則將所述待發送報文進行轉發，

若所述原IP地址為備用IP地址，則進入步驟S23；

S23、所述VPN服務器將所述原IP地址轉換為所述備用IP地址對應的主用IP地址，然后將所述待發送報文進行轉發。

可選的，步驟S23之后進一步包括步驟：

S24、所述VPN服務器接收到回應報文時，確定所述回應報文的目的IP地址所對應的主用IP地址，并進一步確定所述主用IP地址是否有對應的備用IP地址，若所述主用IP地址沒有對應的備用IP地址，則將所述回應報文加密后轉發給所述主用IP地址對應的VPN客戶端，

若所述主用IP地址有對應的備用IP地址，則進入步驟S25；

S25、所述VPN服務器將所述回應報文的目的IP地址轉換為所述備用IP地址，并將所述回應報文加密后轉發給所述備用IP地址對應的VPN客戶端。

另外，本發明還提出了一種VPN服務器，所述服務器包括多個IP地址池、地址分配單元以及對應關系表存儲單元，其中：

所述多個IP地址池中的一個IP地址池為主地址池，其他IP地址池均為備用地址池，且所述IP地址池中的IP地址互不沖突；