[发明专利]一种报文处理方法及装置

说明书

本申请提供一种报文处理方法及装置，该方法应用于安全设备，该方法包括：接收第一用户设备发送的业务报文；根据获取到的第一用户设备对应的第一路由转发表，确定第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，其中，第一出接口为安全设备上的第一用户设备对应的第一公网接口，第一下一跳地址为安全设备上的第二用户设备对应的第二公网接口的公网IP地址；根据第一下一跳地址，通过在第一公网接口与第二公网接口之间创建的IPsec VPN隧道，将业务报文发送至第二公网接口；通过第二公网接口，将业务报文发送至第二用户设备。本申请可实现同一安全设备内部的租户使用公网IP地址互访。

技术领域

本申请涉及通信技术领域，尤其涉及一种报文处理方法及装置。

背景技术

在云场景下，云平台中会设置有软件定义网络(Software Defined Network，SDN)纳管系统，通过SDN纳管系统，可实现对租户的安全设备(比如租户的防火墙设备等)的对接和流量牵引。技术人员可以通过SDN纳管系统将控制指令下发给安全设备，以实现对多个租户的安全设备的统一管理。

目前，安全设备通常采用多租户共享context方式，实现租户划分和隔离，也即，对安全设备进行虚拟化，一台安全设备对应多个租户的方式。在租户共享context方式下，安全设备的下行接口被划分为多个下行子接口，每个下行子接口绑定租户所属的虚拟专用网络(Virtual Private Network，VPN)。例如，该安全设备为租户1和租户2提供服务，该安全设备上的下行子接口1绑定租户1所属的VPN，该安全设备上的下行子接口2绑定租户2所属的VPN。

在实际应用中，租户之间往往有跨租户虚拟私有云(Virtual Private Clouds，VPC)互访的需求，要求不同租户的用户设备的流量可以实现互访，并且需要安全设备做安全防护，比如租户1需要访问租户2。然而。在SDN纳管系统中，不同租户的安全域及地址信息是相互不可见的，例如，在SDN纳管系统中，技术人员配置租户1的用户设备对应的路由表时，无法看到租户2的用户设备对应的下一跳地址，并且，SDN纳管系统中也不允许将下行子接口绑定的VPN作为目的VPN。SDN纳管系统中无法配置跨VPN的静态路由，无法实现租户间互访功能，进而导致租户体验较差。

发明内容

为克服相关技术中存在的问题，本申请提供了一种报文处理方法及装置。

根据本申请实施例的第一方面，提供一种报文处理方法，所述方法应用于安全设备，所述方法包括：

接收第一用户设备发送的业务报文，其中，所述业务报文的目的地址为第二用户设备的私网IP地址，所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备；

根据获取到的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的私网IP地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述安全设备上的所述第一用户设备对应的第一公网接口，所述第一下一跳地址为所述安全设备上的所述第二用户设备对应的第二公网接口的公网IP地址；

根据所述第一下一跳地址，通过在所述第一公网接口与所述第二公网接口之间创建的IP安全(IPsec)VPN隧道，将所述业务报文发送至所述第二公网接口；

通过所述第二公网接口，将所述业务报文发送至所述第二用户设备

根据本申请实施例的第二方面，提供一种报文处理装置，所述装置应用于安全设备，所述装置包括：

接收模块，用于接收第一用户设备发送的业务报文，其中，所述业务报文的目的地址为第二用户设备的私网IP地址，所述第一用户设备和所述第二用户设备均为接入所述安全设备的用户设备；