[发明专利]一种透明模式下的虚拟专用网络VPN实现方法及安全设备

权利要求书

1.一种透明模式下的虚拟专用网络VPN实现方法，其特征在于，包括：

处于透明传输模式的安全设备创建用于与对端设备建立VPN隧道的三层逻辑口；

所述安全设备通过第一内网接口接收第一报文；

所述安全设备若确定所述三层逻辑口与所述安全设备的内网接口之间的绑定关系不包括所述三层逻辑口与所述第一内网接口之间的绑定关系，则将所述第一报文通过第一外网接口向外进行传输；所述第一外网接口与所述第一内网接口匹配；

所述安全设备若确定绑定关系包括所述三层逻辑口与所述第一内网接口之间的绑定关系，则根据所述第一报文在所述第一内网接口下的第一VPN策略，对所述第一报文进行封装，生成第三报文；

所述安全设备将所述第三报文通过所述第一外网接口向所述对端设备进行传输；以及，

所述安全设备基于所述三层逻辑口，对所述对端设备发送至所述内网设备的第二报文进行目的MAC地址的更新处理。

2.如权利要求1所述的方法，其特征在于，

所述方法还包括：

所述安全设备若确定所述第一报文在所述第一内网接口下无VPN策略，则将所述第一报文通过所述第一外网接口向外进行传输。

3.如权利要求1所述的方法，其特征在于，

所述方法还包括：

所述安全设备若确定未建立与所述对端设备间的VPN隧道，则将所述第一报文通过所述第一外网接口向外进行传输。

4.如权利要求1所述的方法，其特征在于，所述安全设备包括第二外网接口；

所述安全设备基于所述三层逻辑口，对所述对端设备发送至所述内网设备的第二报文进行目的MAC地址的更新处理，包括：

所述安全设备通过所述第二外网接口接收VPN数据包；所述VPN数据包是基于VPN隧道传输的；

所述安全设备对所述VPN数据包进行解封装，得到所述第二报文；

所述安全设备基于所述三层逻辑口，更新所述第二报文的目的MAC地址。

5.如权利要求4所述的方法，其特征在于，所述第二报文的目的IP地址与所述三层逻辑口的IP地址处于不同网段；

所述安全设备基于所述三层逻辑口，更新所述第二报文的目的MAC地址，包括：

所述安全设备若确定MAC表中包括下一跳网关的IP地址指向的第一MAC地址，则将所述第一MAC地址作为所述第二报文的目的MAC地址；所述下一跳网关的IP地址通过配置的方式进行设置；

所述安全设备若确定所述MAC表中未包括所述第一MAC地址，则基于所述下一跳网关的IP地址向所述下一跳网关发送第一ARP请求；

所述安全设备将第一ARP响应消息中的第二MAC地址作为所述第二报文的目的MAC地址；所述第一ARP响应消息是所述下一跳网关在接收到所述第一ARP请求时生成并向所述安全设备发送的。

6.如权利要求4所述的方法，其特征在于，所述第二报文的目的IP地址与所述三层逻辑口的IP地址处于同一网段；

所述安全设备基于所述三层逻辑口，更新所述第二报文的目的MAC地址，包括：

所述安全设备若确定MAC表中包括所述第二报文的IP地址指向的第三MAC地址，则将所述第三MAC地址作为所述第二报文的目的MAC地址；

所述安全设备若确定所述MAC表中未包括所述第三MAC地址，则基于所述第二报文的目的IP地址向所述内网设备发送第二ARP请求；

所述安全设备将第二ARP响应消息中的第四MAC地址作为所述第二报文的目的MAC地址；所述第二ARP响应消息是所述内网设备在接收到所述第二ARP请求时生成并向所述安全设备发送的。

7.一种计算机设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的计算机程序，按照获得的程序执行如权利要求1-6任一项所述的方法。

8.一种计算机可读存储介质，其特征在于，所述存储介质存储有程序，当所述程序在计算机上运行时，使得计算机实现执行如权利要求1-6任一项所述的方法。