[发明专利]一种数据传输方法、装置及设备

说明书

本申请公开了一种数据传输方法、装置及设备，用于实现相同网段的私网之间的加密互通。该方法为：第一装置在接收来自第一虚拟机的第一数据包之后，对第一数据包进行源地址转换和目的地址转换。然后，第一装置可根据转换后的源地址和目的地址，向第二虚拟机发送第一数据包。其中，第一虚拟机和第二虚拟机位于不同的云资源池中，第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信，且第一虚拟机的网段和第二虚拟机的网段相同。通过该方法，可实现相同网段的私网之间的加密互通。

技术领域

本申请涉及信息技术领域，尤其涉及一种数据传输方法、装置及设备。

背景技术

目前，企业入云、云上办公已是一种流行趋势。企业可以租借云上的虚拟机(virtual machine，VM)，从而实现云上办公。

位于不同云资源池(也可称为云网络或资源池)中的虚拟机可能需要进行加密通信。例如，企业1租借了位于云资源池A中的虚拟机VM1。随着业务的发展，企业1需要租借新的虚拟机，因此租借了位于云资源池B中的虚拟机VM2。此时，企业1很可能需要在VM1和VM2之间进行通信。

不同云资源池之间的连接可采用以下两种方式之一：

方式一：不同云资源池之间通过运营商专线连接。但是，专线连接的费用很昂贵，不适用于中小客户。

方式二：不同云资源池之间通过互联网安全协议(internet protocol security，IPsec)虚拟专用网络(virtual private network，VPN)连接。与方式一相比，方式二的费用较为低廉；因此，中小客户一般采用方式二来打通不同云资源池之间的连接。

采用方式二时，IPSec VPN可跨公网(可以是任意公共网络)打通VM1所在的私网和VM2所在的私网之间的连接。此时，要求要打通的私网网段不能重叠(即VM1所在的私网和VM所在的私网的网段不能重叠)；这就需要对要打通的私网网段进行统一规划。但是，不同云资源池使用相同的私网网段是非常普遍的事情，已规划好的网络进行改造的代价太大。因此，需要提供一种方法，实现相同网段的私网之间的加密互通。

发明内容

本申请提供一种数据传输方法和装置及设备，用于实现相同网段的私网之间的加密互通。

第一方面，本申请实施例提供了一种数据传输方法。该方法可以适用于下文图1或图3所示的系统中。该方法可应用于以下场景：第一虚拟机和第二虚拟机位于不同的云资源池中，第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信，且第一虚拟机的网段和第二虚拟机的网段相同。该方法包括：

第一装置在接收到来自第一虚拟机的第一数据包之后，对第一数据包进行源地址转换和目的地址转换；然后，第一装置可根据转换后的源地址和目的地址，向第二虚拟机发送第一数据包。

在该方法中，当第一虚拟机和第二虚拟机位于不同的云资源池中，第一虚拟机与第二虚拟机之间通过IPsec VPN加密通道通信，且第一虚拟机的网段和第二虚拟机的网段相同时，第一装置可以对来自第一虚拟机的第一数据包进行源地址转换和目的地址转换，使得第一数据包的源地址和目的地址的网段不同。这样，第一装置就可以将来自第一虚拟机的第一数据包成功发送给第二虚拟机，从而实现相同网段的私网之间的加密互通。

可选的，第一装置可以通过以下方式之一对第一数据包进行源地址转换和目的地址转换。

方式1：当第一装置与第一虚拟机位于同一个云资源池中时，第一装置中的第一路由器将第一数据包的源地址从第一虚拟机的地址转换为第一路由器的地址，并向第一装置中的第二路由器发送第一数据包。然后，第二路由器将第一数据包的源地址从第一路由器的地址转换为第二路由器的地址，将第一数据包的目的地址从与第二虚拟机对应的第一逻辑地址转换为第二虚拟机的地址。