[发明专利]SD-WAN业务流量安全处置引流方法、设备、系统以及介质

权利要求书

1.一种SD-WAN业务流量安全处置引流方法，其特征在于，包括步骤：

用户网关设备接收用户设备发送的多个数据包；所述数据包中包含有与各个用户设备关联的IP地址；

用户网关设备基于接收到的第一触发信号，对关联的数据包对应的IP地址预设字段基于预设标识位进行处理，得到更新后的第一数据包；并对所有数据包基于各自的封装标识分别进行封装，得到各自对应的封装包；

本地局端设备对所述封装包进行解封装，将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器；

服务器对所述第一数据包进行安全处置；

本地局端设备基于与安全处置后的第一数据包匹配的封装标识，将第一数据包封装后发送至目标局端设备。

2.如权利要求1所述的SD-WAN业务流量安全处置引流方法，其特征在于，所述方法还包括步骤：

本地局端设备将解封装后得到的数据包中IP地址预设字段不是预设标识位的第二数据包，进行封装并根据目的IP地址发送至目标局端设备。

3.如权利要求1所述的SD-WAN业务流量安全处置引流方法，其特征在于，所述对所有数据包基于各自的封装标识分别进行封装，包括：

用户网关设备的进向局域网接口对所有数据包基于虚拟路由转发VRF和各自的封装标识进行封装，得到第一封装包；

用户网关设备的出向广域网接口对所述第一封装包基于IPSec协议再次封装，得到第二封装包。

4.如权利要求1所述的SD-WAN业务流量安全处置引流方法，其特征在于，在所述用户网关设备基于接收到的第一触发信号之前，所述方法还包括：

SD-WAN控制器接收服务器发送的第一触发信号，并将所述第一触发信号发送至用户网关设备；所述第一触发信号用于触发用户网关设备将用户设备IP地址的预设字段基于预设标识位进行处理；

所述用户网关设备接收SD-WAN控制器发送的第一触发信号。

5.如权利要求1所述的SD-WAN业务流量安全处置引流方法，其特征在于，所述用户网关设备基于接收到的第一触发信号，对关联的数据包对应的IP地址预设字段基于预设标识位进行处理，包括：

所述用户网关设备基于接收到的第一触发信号，将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换，以及将所述可选字段的其余位基于第二预设标识位进行替换。

6.如权利要求5所述的SD-WAN业务流量安全处置引流方法，其特征在于，所述将关联的数据包对应的IP地址包头的可选字段首位基于第一预设标识位进行替换，以及将所述可选字段的其余位基于第二预设标识位进行替换，包括：

将关联的数据包对应的IP地址包头的可选字段首位设置为1，将所述可选字段的第二位至最后一位设置为所述用户网关设备的串号。

7.如权利要求1所述的SD-WAN业务流量安全处置引流方法，其特征在于，所述本地局端设备对所述封装包进行解封装，将得到的数据包中IP地址预设字段为预设标识位的第一数据包发送至服务器，包括：

所述本地局端设备记录解封装得到的数据包中IP地址预设字段为预设标识位的第一数据包和封装标识的映射关系，并将所述第一数据包发送至服务器；

所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识，将第一数据包封装后发送至目标局端设备，包括：

本地局端设备依据所述映射关系，确定与安全处置后的第一数据包匹配的目标封装标识，并依据所述目标封装标识对第一数据包封装后发送至目标局端设备。

8.如权利要求1所述的SD-WAN业务流量安全处置引流方法，其特征在于，所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识，将第一数据包封装后发送至目标局端设备，包括：

所述本地局端设备基于与安全处置后的第一数据包匹配的封装标识，以及虚拟路由转发VRF进行封装后，基于IPSec协议再次封装，根据目的IP地址通过IPsec VPN隧道发送至目标局端设备。