[发明专利]一种IP报文传输的方法及装置

说明书

技术领域

本发明涉及数据通信技术领域，尤指一种利用SSL VPN技术在广域网中传输IP报文的方法和装置。

背景技术

SSL VPN是一种采用SSL（Security Socket Layer，安全套接字层）协议来实现远程接入的一种新型VPN（Virtual Private Network，虚拟专用网）技术。具体地，它是通过SSL加密连接实现远程访问的VPN技术，是解决远程用户访问公司敏感数据最简单、安全的技术，相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点。

如图1所示，其为利用SSL VPN技术进行IP报文传输的典型组网图。在该图中，终端用户使用远程主机与SSL VPN网关建立SSL连接，并以SSL加密的方式在Internet上传送IP报文；当IP报文到达SSL VPN网关时，所述SSL VPN网关终结所述SSL连接，SSL VPN网关进一步通过与内网服务器建立的TCP连接（TCP/WEB接入方式）或者通过直接IP转发（IP接入方式），以明文方式传送远程主机发送来的请求，并将服务器的应答通过SSL连接发给远程主机。

远程主机利用SSL VPN技术发送IP报文的具体流程如图2所示，具体为：

1）终端用户使用的远程主机虚网卡发送IP报文；

2）远程主机上SSL VPN的IP接入客户端收到IP报文后，封装VPN报文头并进行SSL加密；

3）所述加密封装过的IP报文从SSL VPN隧道中发送；

4）SSL VPN网关从SSL VPN隧道中接收到经过SSL加密和VPN封装的IP报文，经解密并去掉封装的VPN报文头得到远程主机发送来的原始IP报文；

5）所述IP报文在局域网内部通过路由转发至内网服务器；

6）从内网服务器返回的应答IP报文发送到SSL VPN网关上；

7）所述SSL VPN网关对该应答IP报文封装VPN报文头并进行SSL加密；

8）SSL VPN网关把该经过加密和VPN封装的IP报文从SSL隧道发送到远程主机SSL VPN的IP接入客户端；

9）远程主机SSL VPN的IP接入客户端收到来自SSL VPN网关的IP报文后，对之进行解密并去VPN封装得到内网服务器的原始应答IP报文；

10）所述远程主机SSL VPN的IP接入客户端将该来自内网服务器的IP报文发送给远程主机的虚网卡上层协议处理。

然而，经过分析，申请人发现该技术方案存在如下问题：

传输效率低：由于在IP报文传送的过程中需要增加VPN报文头，同时又要增加SSL VPN的隧道封装头，会导致传输效率降低；

性能低：因为前述额外封装，将会导致所述IP报文在广域网中传输时性能较低；

存在大量分片报文：因为前述额外封装，导致原始发送的1500字节IP报文超过以太网的MTU（Maximum Transmission Unit，最大传输单元，以太网标准中规定的IP报文最大传输单元是1500字节的报文），如此将使得一个IP报文被分成两片，成倍的增加了广域网中传输的报文个数。

发明内容

有鉴于此，本发明提供一种IP报文传输的方法和装置。通过SSLVPN的IP接入客户端和SSL VPN网关对需要在广域网中传输的IP报文进行压缩和解压缩处理，避免了IP报文分片的产生，减少了实际网络中报文的流量以及报文数量，同时增加网络带宽利用率，提高传输效率。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种IP报文的传输方法，其中该方法应用于利用SSL VPN技术将所述IP报文在广域网中传输的系统中，其中所述方法包括如下步骤：

步骤1、远程主机SSLVPN的IP接入客户端或SSL VPN网关分别对各自发送的需在广域网中传输的IP报文进行压缩处理；

步骤2、远程主机SSLVPN的IP接入客户端或SSL VPN网关分别对各自经过压缩处理流程的IP报文进行SSL VPN封装处理；

步骤3、远程主机SSLVPN的IP接入客户端或SSL VPN网关分别对各自接收到的IP报文进行解压缩处理。

本发明同时提供了一种IP报文传输的装置，所述装置应用于利用SSLVPN技术将所述IP报文在广域网中传输的系统中，其中所述装置包括：

获取模块，用于获取来自所述远程主机的IP接入客户端或局域网内网服务器端的IP报文；