[发明专利]虚拟专用网络VPN客户端的专用子网络

权利要求书

1.一种虚拟专用网络(Virtual Private Network，VPN)网关，其特征在于，包括：

电路，用于：

为多个客户端设备创建彼此隔离的多个子网络，其中，所述多个客户端设备请求与包括多个网络节点的服务网络建立多条VPN链路中的相应一条，所述多个隔离子网络中的每一个是通过以下方式为所述多个客户端设备中的相应一个创建的：

根据所述相应客户端设备的访问凭证识别子组，所述子组包括所述多个网络节点中的至少一个；

向所述子组的每个成员分配服务器虚拟地址，并向所述相应客户端设备分配客户端虚拟地址；

与所述多个客户端设备建立所述请求的多条VPN链路，所述VPN链路中的每一条将所述相应客户端设备连接到其相应的隔离子网络。

2.根据权利要求1所述的装置，其特征在于，所述电路用于：通过对每个入消息执行以下操作，控制所述相应客户端设备通过所述相应VPN链路向所述成员网络节点传输的入网络流量：

-将包括所述客户端虚拟地址的所述入消息的源地址调整为所述服务网络的本地地址范围内的客户端本地地址；

-将包括所述服务器虚拟地址的所述入消息的目的地址调整为包括所述本地地址范围内的服务器本地地址；

将所述入消息转发至所述至少一个网络节点。

3.根据权利要求1和2中任一项所述的装置，其特征在于，所述电路用于：通过对每个出消息执行以下操作，控制所述成员网络节点向所述相应客户端设备传输的出网络流量：

-将包括服务器本地地址的所述出消息的源地址调整为包括所述服务器虚拟地址；

-将包括客户端本地地址的所述出消息的目的地址调整为包括所述客户端虚拟地址；

-通过所述相应VPN链路将所述出消息传输到所述相应客户端设备。

4.根据权利要求1所述的装置，其特征在于，所述客户端虚拟地址和所述服务器虚拟地址不在分配给所述服务网络的本地地址的范围内，也不在分配给源网络的本地地址的范围内，其中，所述相应客户端设备连接到所述源网络以建立所述相应VPN链路。

5.根据权利要求4所述的装置，其特征在于，所述客户端虚拟地址和所述服务器虚拟地址是从唯一分配给所述服务网络使用的预定义地址范围中选择的。

6.根据权利要求4所述的装置，其特征在于，所述客户端虚拟地址和所述服务器虚拟地址是从任意选择的地址范围中选择的。

7.根据权利要求4所述的装置，其特征在于，所述客户端虚拟地址和所述服务器虚拟地址是根据与所述客户端设备协商的地址范围选择的。

8.根据上述权利要求中任一项所述的装置，其特征在于，所述客户端虚拟地址、所述服务器虚拟地址、所述客户端本地地址和所述服务器本地地址为互联网协议(InternetProtocol，IP)地址。

9.根据权利要求8所述的装置，其特征在于，所述电路还用于：通过以下方式在IPv6地址范围和IPv4地址范围之间进行转换：所述本地地址范围是IPv4地址时，在IPv6地址范围内分配所述客户端虚拟地址和所述服务器虚拟地址，然后将所述客户端虚拟IPv6地址和所述服务器虚拟IPv6地址转换为相应的客户端本地IPv4地址和服务器本地IPv4地址；所述本地地址范围是IPv6地址范围时反之亦然。

10.根据权利要求8所述的装置，其特征在于，所述电路用于：根据所述客户端本地地址，关联所述成员网络节点响应于所述相应客户端设备传输的相应入消息而传输的至少一个出消息。

11.根据上述权利要求中任一项所述的装置，其特征在于，所述电路用于：通过跟踪所述相应客户端设备到所述服务网络的连接，关联所述成员网络节点响应于所述相应客户端设备传输的相应入消息而传输的至少一个出消息。