[发明专利]远程接入MPLS VPN的方法、系统和网关

说明书

技术领域

本发明涉及SSL VPN(Secure Socket Layer Virtual Private Network，安全套接层虚拟专用网络)技术和MPLS VPN(MPLS VPN，Multi-ProtocolLabel Switching Virtual Private Network，多协议标记交换虚拟专用网络)技术，具体涉及远程接入MPLS VPN的方法、系统和应用于该系统的网关。

背景技术

SSL VPN是一种采用SSL(Secure Socket Layer，安全套接层)加密连接实现远程访问的VPN(Virtual Private Network，虚拟专用网络)技术。图1A和图1B示出了SSL VPN的网络结构示意图。如图1A所示，远程主机与SSL VPN网关之间建立SSL连接，以加密方式在互联网上传送报文。SSLVPN网关终结了SSL连接，通过与内网的VPN资源服务器之间建立的TCP(Transmission Control Protocol，传输控制协议)连接或者通过直接IP转发，以明文方式传送远程主机发来的请求，并将服务器的应答通过SSL连接发给远程主机。

用户远程接入的方式包括TCP接入方式、WEB(网页)接入方式和IP接入方式。TCP和WEB接入方式下的远程接入过程相同，而IP接入方式的远程接入过程略有不同。具体来说，在TCP/WEB(“/”表示“或”)接入方式下，远程访问过程包括以下步骤：

步骤A、用户user1与SSL VPN网关之间进行信息交互，建立与远程接入相关的连接，具体包括：

a1、user1通过远程主机向SSL VPN网关请求登录认证；SSL VPN网关认证通过后，向用户user1返回用户资源页面，该用户资源页面包括用户user1允许访问的VPN资源信息；

a2、当user1请求访问VPN资源时，通过远程主机与SSL VPN网关建立SSL连接；在TCP/WEB接入方式下，网关需要维护双向连接对应关系表，即与用户主机之间的SSL连接和与VPN资源服务器之间的TCP连接，因此user1通过建立的SSL连接向SSL VPN网关发送用户ID(标识)和请求访问的VPN资源ID。用户ID用于识别用户，VPN资源ID用于指示被请求访问的资源。

a3、SSL VPN网关根据VPN资源ID，为user1建立SSL VPN网关与被请求访问的VPN资源所在VPN资源服务器1之间建立TCP连接并维护。其中，为user1建立的TCP连接的两端为：SSL VPN网关上物理出接口的私网地址172.1.1.1，以及VPN资源服务器1的私网地址10.3.1.1。

步骤B、与远程接入相关的连接建立完成后，user1通过SSL连接向SSLVPN网关发送报文，SSL VPN网关将从SSL连接接收的报文通过为user1建立的TCP连接转发给VPN资源服务器1。

由于在TCP/WEB接入方式下，user1不需要知道VPN资源服务器的地址，因此user1发给SSL VPN网关的报文仅携带公网IP头。user1发送的报文如图1A中的报文①，公网IP头中的公网源地址为user1使用的远程主机的公网地址60.191.123.24，公网目的地址为SSL VPN网关的公网地址220.189.204.90。

SSL VPN网关的核心组成为SSL VPN业务单元，该单元分为3个模块，分别为TCP接入方式处理模块、WEB接入方式处理模块和IP接入方式处理模块。其中TCP接入方式处理模块和WEB接入方式处理模块的报文转发流程类似，在此可以认为是一个模块，即TCP/WEB接入方式处理模块。该TCP/WEB接入方式处理模块工作在应用层，而IP接入方式处理模块同时工作在应用层和IP层。

在TCP/WEB接入方式下，步骤B的转发过程具体包括子步骤b1～b3：

b1、报文通过SSL连接进入SSL VPN网关后，由IP层去掉公网IP头，将报文的数据部分经由TCP层上送到位于应用层的TCP/WEB接入方式处理模块；

b2、TCP/WEB接入方式处理模块根据双向连接对应关系表确定将所接收的报文通过为user1建立的TCP连接转发，此时将报文发送给TCP层；

b3、TCP层根据为user1建立的TCP连接(172.1.1.1至10.3.1.1)，为报文添加私网IP头，其中私网IP头中的私网源地址和私网目的地址分别为172.1.1.1和10.3.1.1，然后把报文传送给IP层。