[发明专利]一种VPN报文处理方法

权利要求书

1.一种VPN报文处理方法，其特征在于：包括H3C IPSEC VPN入站报文处理和H3C IPSECVPN出站报文处理；

所述H3C IPSEC VPN入站报文处理流程包括以下步骤：

S11、VPN客户端分配IP地址，并传输报文数据包至入接口；

S12、侦测目的地址是否本地，若是则执行S13，若否则执行S14；

S13、侦测该数据包是否被IPSEC保护，若是则执行S15，若否则执行S16；

S14、转发VPN报文；

S15、查找IPSEC SA，若找到则执行S17，若没有找到则执行S18；

S16、提交上层处理；

S17、解开IPSEC封装获得原始IP包，之后执行S19；

S18、将VPN报文丢弃；

S19、判断目的地址是否本地，若是则返回执行S16；

所述H3C IPSEC VPN出站报文处理流程包括以下步骤：

S21、VPN客户端分配IP地址，并传输报文数据包至入接口；

S22、查找SPD策略，若旁路安全服务则执行S23，若丢弃则执行S24，如需要提供服务则执行S25；

S23、转发VPN报文；

S24、将VPN报文丢弃；

S25、查找IPSEC SA，若找到则执行S26，若没有找到则执行S27；

S26、执行安全服务(AH/ESP/AH+ESP)；

S27、查找IKE SA。

2.根据权利要求1所述的一种VPN报文处理方法，其特征在于：当所述S26执行安全服务(AH/ESP/AH+ESP)后返回执行所述S23转发VPN报文。

3.根据权利要求1所述的一种VPN报文处理方法，其特征在于：当所述S27查找IKE SA找到时，则执行创建IPSec SA。

4.根据权利要求3所述的一种VPN报文处理方法，其特征在于：当所述S27查找IKE SA未找到时，则执行创建IKE SA，并返回执行创建IPSec SA。

5.根据权利要求4所述的一种VPN报文处理方法，其特征在于：当执行所述创建IPSecSA后，则返回执行所述S26执行安全服务(AH/ESP/AH+ESP)。

6.根据权利要求1所述的一种VPN报文处理方法，其特征在于：所述S19判断目的地址是否本地时，若否则返回执行所述S14。

7.根据权利要求1所述的一种VPN报文处理方法，其特征在于：所述SPD策略包括一个本端网段cidr和至少一个对端网段cidr，一个本端网段cidr和一个对端网段cidr构成一组匹配关系。

8.一种VPN报文处理装置，其特征在于：包括配置单元，用于对任意一个PW接口或AC接口，分离配置接入VSI和转发用VSI；数据采集装置，数据采集装置采集初始报文数据；存储单元，用于存储数据；交换接口单元，用于对局域网LAN接口的跨板转发；显示模块，用于实时显示；控制模块，用作主控；以及传送模块。