[发明专利]一种网关设备和将本地数据传入IPsec隧道的方法

说明书

本申请提供了一种网关设备和将本地数据传入IPsec隧道的方法，所述方法应用于网关设备，包括：建立第一IPsec隧道，第一IPsec隧道用于将网关设备与第二网元连接，网关设备与第二网元处在不同的局域网内；接收第一网元发送的第一数据包，第一网元与网关设备处在同一局域网内；获取第一数据包的第一地址，第一地址是第一数据包的源地址；将第一数据包的源地址由第一地址转换为第二地址，第二地址是该网关设备的一个内网接口的IP地址；将源地址是第二地址的第一数据包传入第一IPsec隧道，以输送至第二网元。本申请提供的网关设备和方法无需在程序开发阶段增加源地址选择的接口交付方式，降低了网关设备的开发成本和配置成本。

技术领域

本发明涉及通信技术领域，尤其涉及一种网关设备和将本地数据传入IPsec隧道的方法。

背景技术

随着互联网业务的迅速发展，越来越多的网络运营商采用多地部署网络的方式，例如，数据中心统一部署在总部，连接有独立的网络（远端子网），与该数据中心对应的各个分中心也各自连接有独立的网络（本地子网）。

若将某一分中心称为第一网元，数据中心称为第二网元，由于第一网元和第二网元分别处于不同的子网中，无法直接建立二者之间的TCP/IP通信，因此可以利用网关产品，借助互联网安全协议（Internet Protocol Security，简称IPsec），将第一网元的网络与第二网元的网络连通，形成IPsec隧道，以加密和传输数据。当第一网元通过网关产品向第二网元发送数据包时，由于该网关产品既作为网络出口，又作为IPsec的建立者，网关产品转发的数据包在进行源地址选择的时候是通过自身系统路由确认出接口，进而默认选择出接口的主地址（网关产品的公网地址），以完成对该数据包的封装，封装后的数据包的源地址即为公网地址。

但是，采用上述方式，只有源地址为本地子网地址，目的地址为远端子网地址的数据包才能由本地网关产品流入IPsec隧道从而完成加密并到达第二网元，而此时的数据包由于其源地址为公网地址从而无法流入IPsec隧道进行加密并传输至第二网元。为了解决上述问题，网络运营商通常在做网关产品的程序开发阶段增加程序源地址的选择功能，以供用户在使用网关产品时可以通过配置相应的接口完成对应程序源地址的选择，以将数据包的源地址变换为本地子网地址。

但是，这种基于在网关产品的程序开发阶段增加源地址选择的接口交付方式，由于每一个网关产品上都涉及到多个对外通信的程序，并且每一个网关产品上的程序都需要和远端的同一个服务器通过IPsec隧道进行通信，这就需要网关产品的管理员在每一个程序上都配置相同的源地址，增加开发成本和配置成本。

发明内容

本申请提供了一种网关设备和将本地数据传入IPsec隧道的方法，以解决现有技术中网关产品为实现将数据包引入IPsec隧道中导致的开发成本和配置成本增加的问题。

一方面，本申请提供一种将本地数据传入IPsec隧道的方法，应用于网关设备，包括：

建立第一IPsec隧道，所述第一IPsec隧道用于将所述网关设备与第二网元连接，所述网关设备与所述第二网元处在不同的局域网内；

接收第一网元发送的第一数据包，所述第一网元与所述网关设备处在同一局域网内；

获取所述第一数据包的第一地址，所述第一地址是所述第一数据包的源地址；

将所述第一数据包的源地址由所述第一地址转换为第二地址，所述第二地址是所述网关设备的一个内网接口的IP地址；

将所述源地址是所述第二地址的所述第一数据包传入所述第一IPsec隧道，以输送至第二网元。

可选的，所述将所述第一数据包的源地址由所述第一地址转换为第二地址，还包括：

建立SNAT规则，所述SNAT规则是识别源地址是所述第一地址是所述网关设备公网接口的IP，目的地址是第二网元内的地址的数据包；