CN100518138C - 实现虚拟专用网的方法 - Google Patents
实现虚拟专用网的方法 Download PDFInfo
- Publication number
- CN100518138C CN100518138C CNB2005100642589A CN200510064258A CN100518138C CN 100518138 C CN100518138 C CN 100518138C CN B2005100642589 A CNB2005100642589 A CN B2005100642589A CN 200510064258 A CN200510064258 A CN 200510064258A CN 100518138 C CN100518138 C CN 100518138C
- Authority
- CN
- China
- Prior art keywords
- vpn
- parameter
- website
- message
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种实现虚拟专用网的方法,包括步骤:配置VPN运营参数信息;按照下述至少一种方式建立所述运营参数与VPN站点的对应关系:建立用户账号、域和用户群与所述VPN站点的对应关系;建立报文参数与所述VPN站点的对应关系;建立业务参数与所述VPN站点的对应关系;当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN并记录对应的VPN参数,按其归属的VPN参数对其进行转发;当VPN设备从公网接收到VPN报文时,根据所述运营参数与VPN站点的对应关系确定其归属的VPN、用户账号、域和用户群,并向其归属的VPN站点发送专网数据。本发明还公开另一种实现虚拟专用网的方法。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种实现虚拟专用网的方法。
背景技术
VPN(虚拟专用网)是指通过公共IP(因特网协议)网络建立私有数据传输通道,将远程的分支办公室、移动办公人员等连接起来的一种网络方式,其兼备了公共网和专用网的许多特点,将公共网可靠的性能、丰富的功能与专网的灵活、高效结合在一起,能够为客户节省投资,降低电信费用,目前得到了迅速的应用。用于构建VPN的公共网络包括:Internet(因特网)、帧中继、ATM(异步传输模式)等。
组成VPN的各个节点称为VPN站点。当VPN传输数据、业务时,需要每个VPN站点搜集站点内部的可达信息,发现VPN成员(其他VPN站点)。当VPN站点之间相互发现和联系后,每个VPN站点需要将内部的可达信息扩散到同一个VPN内部其他站点,从而使得VPN各个站点间互通,为用户提供各种数据、业务的转发。
现有技术中,在获取VPN可达信息时,首先需要划分VPN站点,即配置VPN站点内部网络范围,也就是说划分VPN站点的内部网络和用户到对应的VPN中。通常需要根据用户需求和网络规划,在VPN设备(通常在用户驻地网和IP接入网位置上)上通过指定某种标识区分出某个VPN站点的主机用户,以将该VPN站点内部的设备或者主机接入到对应的VPN设备上。比如,在L2TP(第二层隧道协议)VPN中,将端口2VLAN20用户划分到L2TP group3,则所有从端口2VLAN20接入的用户主机形成一个VPN站点,并且这个站点和L2TP group3进行关联,L2TP group3对应了L2TP的各种配置,包括LNS(L2TP网络服务器)地址、隧道密钥、会话数量、封装格式、QoS(服务质量)机制、负载均衡机制等,以使控制平面、转发平面能够对用户主机信息、VPN站点和VPN进行识别和处理。
按照组网方式,可以将VPN分为四种类型:VLL(虚拟租用线)、VPDN(虚拟专用拨号网)、VPRN(虚拟专用路由网)和VPLS(虚拟专用局域网网段)。
通用的VPN架构如图1所示,其中:
管理平面通过CLI(命令行接口)/WEB(万维网)/网管等多种配置方式,按照设备、接口、网络信息,在VPN设备上通过物理设备、逻辑设备、物理端口、逻辑端口,或者网段、子网、(VPN over VPN的情况)等,作为VPN站点内部网络的标识来划分VPN站点,并形成相应的信息表。
控制平面通过相应协议(比如,专网协议、二层会话相关协议、标签协议等)建立专网路由、会话信息等,然后通过设备、接口、网络信息判断是否是VPN以及对应的VPN信息,VPN模块根据VPN信息建立对应的隧道(也可以是通过管理平面手工建立),同时公网协议包括但不限于路由协议、标签协议提供对应的路由、标签、转发、封装信息。
转发平面(也称为数据平面)使用标准的VPN转发流程,接收到用户数据报文,根据设备、接口、网络信息判断为专网数据报文,按照专网会话进行查表和封装,查找对应的VPN信息和封装,查找对应的公网路由、转发、封装信息和封装,最终形成可以在公网上转发的包含有专网数据的报文,然后通过公网转发到指定的VPN隧道对端,VPN隧道对端根据协议进行对应的查表和解封装等。
目前,随着网络的迅速发展和业务的大规模开展,业务质量保证QoS(服务质量)越来越受到重视,需要将不同QoS的用户、业务划分到不同的VPN中。而在现有技术中,只能根据物理、逻辑网络信息作为标识来划分VPN,从而使得VPN的使用受到网络的限制,需要调整或规划网络才能适应VPN的要求,即要将用户、业务参数调整为和网络参数一致,按照网络参数的划分间接地实现用户、业务的划分。
发明内容
本发明的目的是提供实现虚拟专用网的方法,以克服现有技术中只能根据物理、逻辑网络信息作为标识来划分VPN使VPN的使用受到网络限制的缺点,在不影响网络规划的基础上开展VPN业务,使VPN业务能够满足各种不同应用的需求。
为此,本发明提供如下的技术方案:
一种实现虚拟专用网的方法,所述方法包括步骤:
A、配置虚拟专用网VPN运营参数信息;
B、按照下述至少一种方式建立所述运营参数与VPN站点的对应关系:
建立用户账号、域和用户群与所述VPN站点的对应关系;
建立报文参数与所述VPN站点的对应关系;
建立业务参数与所述VPN站点的对应关系;
C、当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN并记录对应的VPN参数,按其归属的VPN参数对其进行转发;
D、当VPN设备从公网接收到VPN报文时,根据所述运营参数与VPN站点的对应关系确定其归属的VPN、用户账号、域和用户群,并向其归属的VPN站点转发专网数据。
可选地,所述步骤A具体为:通过命令行接口/WEB/网管静态配置所述VPN运营参数。
可选地,所述步骤A具体为:通过认证、授权、计费/策略动态配置所述VPN运营参数。
优选地,所述报文参数包括:物理层报文、二层数据链路层报文、三层网络层报文、四层传送层报文以及高层应用层报文中包含的参数。
优选地,所述业务参数包括:数据、视频、语音、指定会话中的业务和会话信息。
所述步骤C中按专网数据归属的VPN参数对其进行转发的过程包括:
将记录的VPN参数与所述专网数据对应的VPN站点进行关联;
根据所述VPN参数建立对应的隧道,同时由公网协议提供对应的路由、标签、转发、封装信息;
分别根据对应的VPN参数和所述公网协议提供的路由、标签、转发、封装信息对所述专网数据进行封装;
将封装后的专网数据通过公网转发。
所述步骤D中向VPN报文归属的VPN站点发送专网数据的过程包括:
根据从公网接收的VPN报文信息,获取VPN运营信息及其归属的VPN站点信息;
剥离VPN报文中所有VPN封装,解封装出VPN专网数据;
根据所述VPN站点信息对解封装出的专网数据进行封装;
将封装后的专网数据发送到VPN报文归属的VPN站点。
一种实现虚拟专用网的方法,所述方法包括步骤:
A、配置虚拟专用网VPN运营参数信息;
B、按照下述方式建立所述运营参数与VPN站点的对应关系:
建立用户账号、域和用户群与所述VPN站点的对应关系、建立报文参数与所述VPN站点的对应关系、建立业务参数与所述VPN站点的对应关系中的至少一种方式和建立网络参数与所述VPN站点的对应关系;
C、当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN并记录对应的VPN参数,按其归属的VPN参数对其进行转发;
D、当VPN设备从公网接收到VPN报文时,根据所述运营参数与VPN站点的对应关系确定其归属的VPN、用户账号、域和用户群,并向其归属的VPN站点转发专网数据。
由以上本发明提供的技术方案可以看出,本发明在现有基于网络划分VPN的基础上,采用基于用户、报文、业务等划分的方式实现VPN,或者采用传统的基于网络的方式和基于报文、用户、业务等多种不同方式实现多种VPN的组合应用,从而根据实际需要,灵活地实现各种VPN,使得VPN可以在不影响网络规划的基础上开展各种VPN业务,更好地满足不同业务、应用的需求。
附图说明
图1是通用的VPN架构框图;
图2是本发明方法的实现流程图;
图3是本发明中基于用户的VPN组网示意图;
图4是图3所示基于用户的VPN的实现流程图;
图5是本发明中其于报文的VPN组网示意图;
图6是图5所示基于报文的VPN的实现流程图;
图7是本发明中其于业务的VPN组网示意图;
图8是图7所示基于业务的VPN的实现流程图;
图9是本发明中基于多种方式组合的VPN的实现流程图。
具体实施方式
本发明的核心在于建立用户和/或报文和/或业务等运营参数与VPN站点的对应关系,当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN,并按其归属的VPN参数对其进行转发;当VPN设备接收到来自专网的VPN报文时,根据所述运营参数与VPN站点的对应关系确定其归属的VPN和用户参数,并向其归属的VPN发送专网数据。根据实际需要,灵活地实现各种VPN:基于用户的VPN、基于报文的VPN、基于业务的VPN,或者基于各种不同信息与基于现有的设备、接口、网络等多种不同组合来实现不同应用的VPN,从而更好地满足各种不同的应用需求。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明作进一步的详细说明。
参照图2所示本发明方法的实现流程图:
首先,在步骤201:配置VPN运营参数信息,所述VPN运营参数包括:用户参数、报文参数、业务参数、网络参数等。根据实际需要,可以单独配置一种,也可以几种同时配置。配置方式可以有多种,比如:
通过CLI(命令行接口)/WEB/网管、配置文件等静态配置,也可以通过通过AAA(认证、授权、计费)/策略等动态配置这些参数。
步骤202:建立运营参数与VPN站点的对应关系,包括:用户参数与VPN站点的对应关系;和/或报文参数与VPN站点的对应关系;和/或业务参数与VPN站点的对应关系;和/或网络参数与VPN站点的对应关系。
其中,用户参数可以是用户、域、ISP/ICP/ASP(因特网服务提供商、因特网内容提供商、应用服务提供商)、用户群等。报文参数可以是物理层报文、二层报文、三层报文、四层报文中包含的所有参数。业务参数可以是数据、视频、语音、指定会话中的业务和会话信息。
步骤203:当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN并记录对应的VPN参数,按其归属的VPN参数对其进行转发。具体转发过程如下:
将记录的VPN参数与专网数据对应的VPN站点进行关联,即建立VPN配置参数中每个项和专网数据对应的VPN站点的每个项之间的对应关系,使得可以从VPN配置参数的每个项都可以检索到专网数据VPN站点对应的项,也可以从专网数据VPN站点的每个项检索到VPN配置参数的对应项,从而确定VPN参数与专网数据对应的VPN站点之间的对应关系。
根据VPN参数建立对应的隧道,同时由公网协议提供对应的路由、标签、转发、封装信息;
分别根据对应的VPN参数和公网协议提供的路由、标签、转发、封装信息对所述专网数据进行封装;
将封装后的专网数据通过公网转发。
步骤204:当VPN设备从公网接收到VPN报文时,根据运营参数与VPN站点的对应关系确定其归属的VPN和用户参数,并向其归属的VPN站点发送专网数据。具体发送过程如下:
根据从公网接收的VPN报文信息,找到其中的VPN隧道、会话或者标识等参数;
根据VPN隧道、会话或者标识等参数,以及记录的VPN参数与所述专网数据对应的VPN站点的关联关系,获取VPN运营信息及VPN站点信息;
剥离VPN报文中所有VPN封装,解封装出VPN专网数据;
根据所述VPN运营信息对该VPN进行合法性判断,判断该VPN报文是否允许,同时根据所述VPN站点信息找到其对应的VPN私网路由、标签、转发、封装信息等,然后对所述解封装出的专网数据进行封装;
将封装后的专网数据通过VPN运营信息和VPN站点信息,进行专网转发。
图3是本发明中基于用户的VPN划分组网示意图:
通过基于用户、域、ISP/ICP/ASP、用户群等的方式,区分VPN站点,能够提供独立于网络参数的划分方式和应用。网络参数不一样时,也可以在用户层上划分到相同的VPN中;网络参数一样时,也可以在用户层上划分到不同的VPN中。
在图3所示网络中有两个VPN,分别为VPN A和VPN B,VPN A和VPN B分别有两个站点。为了确定各个VPN站点内部网络范围(即VPN内部设备和/或主机所在的网络范围),在VPN设备上按照用户、域、ISP/ICP/ASP、以及其他方式定义的用户群(比如根据用户的某一类属性进行划分,相同的为同一个用户群,典型的如:所有ADSL(非对称数字用户线(环)路)或WLAN(无线局域网)接入用户、所有相同SLA(服务水平承诺)的接入用户等方式进行划分。
比如,按照用户帐号“张三@123.com”,将该用户划分到VPN B站点2,按照运营商将X运营商划分到VPN B站点1,按照域168将所有168域中的用户划分到VPN A站点1,按照ISP/ICP/ASP将某Y ISP/ICP/ASP划分到VPN A站点2。
基于用户的VPN实现方法的流程如图4所示:
管理平面通过CLI(命令行接口)/WEB/网管等多种静态配置方式,或者AAA(认证、授权和计费)/策略等多种动态配置方式,建立用户、域、ISP/ICP/ASP、用户群等与VPN站点的对应关系,形成用户信息表(包括用户、域、ISP信息等)、VPN配置表等信息。所谓建立用户、域、ISP/ICP/ASP、用户群等与VPN站点的对应关系也就是说将某个用户、域、ISP/ICP/ASP和用户群下所有的主机划分到指定的一个VPN中,所有的指定VPN内的主机全部都成为内部站点成员,所有VPN内部成员全部使用配置好的对应的VPN机制,使用对应的VPN功能,比如某种对应的隧道和会话功能等。
比如,一个域168划分到L2TP Group1中,则凡是168域的用户比如认证时带的用户名为“xx@168,yy@168,cw@168”等,均划分到一个VPN站点(一般有一个内部索引或者名称,或者VPN ID)中,并且这个VPN站点和L2TPGroup1(对应了L2TP的各种配置,包括但不限于LNS(L2TP网络服务器)地址、隧道密钥、会话数量、封装格式、QoS机制、负载均衡机制等)进行关联,使得控制平面、转发平面能够对用户主机信息、VPN站点和VPN进行识别和处理。
同样,按照用户,可以将多个用户按照帐号进行划分,可以是有规律的帐号比如某一段、某一个或几个字符为特殊字符等,也可以是没有规律的帐号进行穷举。
按照ISP/ICP/ASP、用户群等对应的标识,比如ISP名称、用户群编号等等,也可以进行对应的划分。
还可以按照其他方式定义的用户群(比如根据用户的某一类属性进行划分,相同的为同一个用户群,典型的如所有ADSL或WLAN接入用户、所有相同SLA的接入用户等)进行划分。
控制平面需要维护VPN站点内部路由、标签、转发表;维护VPN站点隧道、会话表;维护公网路由、标签、转发表。通过专网协议,比如,路由协议(动态路由协议或者静态配置的路由协议)、二层会话相关协议、标签协议等建立专网路由、会话信息等,然后通过用户信息查找建立的对应关系,判断是否是VPN,记录对应的VPN信息(用户对应的IP地址、MAC地址、物理端口、逻辑端口等),将其作为用户主机的标识,并将该记录与VPN站点进行关联;VPN模块根据VPN信息建立对应的隧道(也可以是通过管理平面手工建立),同时由公网协议(包括但不限于路由协议、标签协议)提供对应的路由、标签、转发、封装信息。
转发平面使用标准的VPN转发流程,接收到用户数据报文,根据用户信息表(包括用户、域、ISP信息等)判断为专网数据报文,按照专网会话进行查表和封装,查找对应的VPN信息和封装,查找对应的公网路由、转发、封装信息并封装,最终形成可以在公网上转发的包含有专网数据的报文,然后通过公网转发到指定的VPN隧道对端,VPN隧道对端根据协议进行对应的查表和解封装等。
当VPN设备接收到来自公网的VPN报文后,根据用户和VPN站点的对应关系判断其归属的VPN和对应的用户参数,对VPN报文进行解封装获得专网数据,然后,向对应的VPN站点发送专网数据。
图5是本发明中基于用户的VPN划分组网示意图:
通过报文分类区分VPN站点,不同的报文使用不同的分类,可以划分到对应的VPN中,从而能够提供独立于网络参数、用户的划分方式和应用。
在图5所示网络中有两个VPN,分为为VPN A和VPN B,VPN A和VPN B分别有两个站点。为了确定各个VPN站点内部网络范围(即VPN内部设备和/或主机所在的网络范围),在VPN设备上建立网络报文的各种参数以及其组合与VPN站点的对应关系。
比如,按照QoS(服务质量)标识(比如802.1p、TOS/DSCP(服务类型/区别业务编码点)、MPLS EXP(MPLS中的实验字段,一般作为QoS的标记)),将“CoS(服务等级)=6或者ToS(服务类型)=6或者DSCP=6”的用户划分到VPN A站点1,将“MPLS EXP=6”的用户划分到VPN A站点2,按照“以太网三元组规则、IP五元组规则、IPv6协议”将对应的用户划分到VPN B站点1和VPN B站点2。
网络报文参数包括各种物理层报文、二层报文、三层报文、四层报文以及高层报文等所有报文中包含的参数,常见的包括以太网三元组、IP五元组、QoS标记(CoS、TOS/DSCP、MPLS EXP)、IP版本类型(IPv4/IPv6)以及各种网络报文参数中标识的各种协议。
基于报文的VPN实现方法的流程如图6所示:
管理平面通过CLI/WEB/网管等多种静态配置方式,或者AAA/策略等多种动态配置方式,建立网络报文的各种参数以及其组合与各VPN站点的对应关系,形成报文信息表(包括各种网络参数以及其组合而成的规则等,网络报文参数包括各种物理层报文、二层报文、三层报文、四层报文以及高层报文等所有报文中包含的参数,常见的包括以太网三元组、IP五元组、QoS标记(CoS、TOS/DSCP、MPLS EXP)、IP版本类型(IPv4/IPv6)以及各种网络报文参数中标识的各种协议,组合规则为根据VPN建立需求使用一个或者多个自由组合)、VPN配置表等信息。具体配置时,可以按照某个或者某几个报文参数来划分VPN站点,也可以按照某个或者某一个或者某几个规则的组合来划分VPN站点。在某些情况下,同一个用户主机可以同时使用多种报文,每种报文可能对应不同的VPN站点,此时,仍然可以将该用户主机按照规则逻辑地划分为多个逻辑主机,从而可以认为不同的逻辑主机划分到不同的VPN站点中。所有VPN内部成员全部使用配置好的对应的VPN机制比如某种对应的隧道和会话等。VPN站点的主机用户能够使用对应的VPN功能,典型的比如QoS标记中DSCP为6报文对应到L2TP Group1中,则凡是QoS标记中DSCP为6的用户均划分到一个VPN站点(一般有一个内部索引或者名称,或者VPN ID)中,并且这个VPN站点和L2TP Group1(对应了L2TP的各种配置,包括但不限于LNS地址、隧道密钥、会话数量、封装格式、QoS机制、负载均衡机制等)进行关联,使得控制平面、转发平面能够对用户主机信息、VPN站点和VPN进行识别和处理。同样,按照以太网三元组、IP五元组、QoS标记(CoS、TOS/DSCP、MPLSEXP)、IP版本类型(IPv4/IPv6)以及各种网络报文参数中标识的各种协议,可以将多种报文进行划分,比如以太网三元组的源MAC地址、目的MAC地址、协议,以及IP五元组的源IP地址、源协议端口、目的IP地址、目的协议端口、协议类型,以及QoS标记(CoS、TOS/DSCP、MPLS EXP)、IP版本类型(Pv4/IPv6)以及各种网络报文参数中标识的各种协议,通过报文分析,即流分类进行VPN划分。
控制平面需要维护VPN站点内部路由、标签、转发表;维护VPN站点隧道、会话表;维护公网路由、标签、转发表。通过专网协议,比如,路由协议(动态路由协议或者静态配置的路由协议)、二层会话相关协议、标签协议等,建立专网路由、会话信息等,然后通过报文信息判断是否是VPN以及对应的VPN信息,即将控制平面中根据VPN站点划分原则,按照以太网三元组、IP五元组、QoS标记(CoS、TOS/DSCP、MPLS EXP)、IP版本类型(IPv4/IPv6)以及各种网络报文参数中标识的各种协议等的方式,和用户报文进行分析和流分类,按照匹配的规则进行判断,如果符合某个规则,则将其标识为关联的对应VPN站点用户数据报文。VPN模块根据VPN信息建立对应的隧道(也可以是通过管理平面手工建立),同时根据公网协议,比如,路由协议、标签协议等,提供对应的路由、标签、转发、封装信息。
转发平面使用标准的VPN转发流程,接收到用户数据报文后根据报文信息表判断为专网数据报文,按照专网会话进行查表和封装,查找对应的VPN信息和封装,查找对应的公网路由、转发、封装信息和封装,最终形成可以在公网上转发的包含有专网数据的报文,然后通过公网转发到指定的VPN隧道对端,VPN隧道对端根据协议进行对应的查表和解封装等。
当VPN设备接收到来自公网的VPN报文后,根据报文和VPN站点的对应关系判断其归属的VPN和对应的用户参数,即通过报文中的VPN参数找到对应的隧道、会话或者标识,然后通过对应的关联关系获得对应的VPN运营参数和VPN站点信息,此时根据VPN运营参数获得对应的用户参数,对VPN报文进行解封装获得专网数据,然后,向对应的VPN站点发送专网数据。
图7是本发明中基于业务的VPN划分组网示意图:
通过业务区分VPN站点,建立不同的业务与VPN站点的对应关系,从而能够提供独立于网络参数、用户、报文的划分方式和应用。
在图7所示网络中有两个VPN,分为为VPN A和VPN B,VPN A和VPN B分别有两个站点。为了确定各个VPN站点内部网络范围(即VPN内部设备和/或主机所在的网络范围),在VPN设备上按照数据、视频、语音、指定某会话中的业务等方式进行划分。比如,将语音业务用户划分到VPN A站点1,将语音、视频业务用户划分到VPN A站点2,将数据业务用户划分到VPN B站点1,将指定会话中的业务划分到VPN B站点2。
基于业务的VPN实现方法的流程如图8所示:
管理平面通过CLI/WEB/网管等多种静态配置方式或者AAA/策略等多种动态配置方式,建立业务与VPN站点的对应关系。其中,业务的划分包括数据、视频、语音、指定某会话中的业务等和会话信息等,一般需要跟踪业务呼叫和建立过程,然后根据建立的业务信息划分VPN,或者通过手工配置指定某个会话或者某个会话中再细分出的数据流为某种业务从而划分VPN,此时,根据业务建立过程中侦听的信息判断其业务类型,比如跟踪H.323/H.248/MGCP/SIP过程中侦听到用户建立了语音、视频等信息,以及普通数据类型等,或者手工配置的某个会话或者某个会话中再细分出的数据流及其业务类型,从而将该会话对应到制定的VPN站点中。形成业务信息表、VPN配置表等信息。具体配置时,可以按照某个或者某几个业务来划分VPN站点。由于很多业务包含一个或者多个协议,同时部分业务报文不具备固定的报文规则,因此采用业务进行划分VPN更有利于满足不同业务的需要。
控制平面需要维护VPN站点内部路由、标签、转发表;维护VPN站点隧道、会话表;维护公网路由、标签、转发表。通过专网协议,比如路由协议(动态路由协议或者静态配置的路由协议)、二层会话相关协议、标签协议等建立专网路由、会话信息等,同时,由于需要识别业务,此时需要在专网协议中提供业务跟踪和分析功能,以识别会话中包含的业务。当然,也可以通过静态配置或者动态指定某个会话中使用什么业务。然后通过业务信息判断是否是VPN以及对应的VPN信息,VPN模块根据VPN信息建立对应的隧道(也可以是通过管理平面手工建立),同时根据公网协议,比如路由协议、标签协议,提供对应的路由、标签、转发、封装信息。
转发平面使用标准的VPN转发流程,接收到用户数据报文,根据业务信息表(包括数据、视频、语音、指定某会话中的业务等)判断为专网数据报文,按照专网会话进行查表和封装,查找对应的VPN信息和封装,查找对应的公网路由、转发、封装信息和封装,最终形成可以在公网上转发的包含有专网数据的报文,然后通过公网转发到指定的VPN隧道对端,VPN隧道对端根据协议进行对应的查表和解封装等。
当VPN设备接收到来自公网的VPN报文后,根据报文和VPN站点的对应关系判断其归属的VPN和对应的用户参数,对VPN报文进行解封装获得专网数据,然后,向对应的VPN站点发送专网数据。
在VPN实际使用中,一般不会简单的只使用现有的基于网络的VPN,或者简单的只使用基于用户、基于报文、基于业务的VPN,而往往是根据不同的用户、不同的业务、不同的应用组合使用,灵活地区分VPN站点,组建VPN。
因此,本发明还提供了基于多种方式组合VPN,其实现的流程如图9所示:
管理平面通过CLI/WEB/网管等多种静态配置方式或者AAA/策略等多种动态配置方式,按照设备、接口、网络、用户、报文、业务多种方式建立与VPN站点的对应关系,形成对应的各种信息表、VPN配置表等信息。具体配置时,可以按照某个或者某几种方式对不同用户、不同的业务、不同的应用来划分VPN站点。典型的可以是针对某客户通过专线接口划分VPN,对部分子网按照子网或者网段划分VPN,对小区接入用户按照业务划分VPN,按照报文参数对特定用户/网络按照报文划分VPN,或者针对某个用户同时提供基于设备、接口、网络、用户、报文、业务等多种方式中的一种或多种划分VPN。
控制平面通过专网协议,比如路由协议(动态路由协议或者静态配置的路由协议)、二层会话相关协议、标签协议等建立专网路由、会话信息等,如果需要识别业务,此时需要在专网协议中提供业务跟踪和分析功能,以识别会话中包含的业务;当然,也可以通过静态配置或者动态指定某个会话中使用什么业务。然后通过对应的信息判断是否是VPN以及对应的VPN信息,VPN模块根据VPN信息建立对应的隧道(也可以是通过管理平面手工建立),同时根据公网协议,比如路由协议、标签协议等提供对应的路由、标签、转发、封装信息。
转发平面使用标准的VPN转发流程,接收到用户数据报文,根据对应的信息表判断为专网数据报文,按照专网会话进行查表和封装,查找对应的VPN信息和封装,查找对应的公网路由、转发、封装信息和封装,最终形成可以在公网上转发的包含有专网数据的报文,然后通过公网转发到指定的VPN隧道对端,VPN隧道对端根据协议进行对应的查表和解封装等。
当VPN设备接收到来自公网的VPN报文后,根据报文和VPN站点的对应关系判断其归属的VPN和对应的用户参数,对VPN报文进行解封装获得专网数据,然后,向对应的VPN站点发送专网数据。
多种不同方式组合划分VPN一般有两种方式,根据优先级或者通过策略表达式来组合多种网络参数、运营参数等对VPN进行合理的区分和应用。
优先级方式指的是有多种不同的方式组合时,每种方式配置一个优先级,优先级高的先使用,优先级低的后使用。处理流程如下:
1.首先建立一个方式组,其中配置各种方式,以及其应用的优先级,包括标准的基于网络参数的方式,以及上述基于用户参数、基于报文参数、基于业务参数等方式的优先级,对每种需要使用的方式分配一个优先级;不需要使用的方式,可以不配置。
2.然后确定这样一个方式组的作用域,可以作用在包括但不限于某一个或者多个端口、VLAN或者子接口或者整个设备全局应用。
3.当用户报文解析时,按照优先级从高到低的顺序,使用方式组中规定的方式进行VPN的区分和转发。
一般情况下,优先级本身不做限制,可以使用多种优先级,包括但不限于5级、10级、100级、255级等等。
典型的,可以采用5级优先级,配置方式组#1或者名称为“方式组1”:
优先级5基于业务参数的方式
优先级4基于报文参数的方式
优先级3基于用户参数的方式
优先级2基于网络参数的方式
然后,将方式组应用于有VPN接入的连接大客户的端口。
当报文进入时,按照方式组配置的优先级从高到低,进行合理的划分,如果命中某种方式,即使用该方式。
策略表达式指的是通过表达式形式,可以灵活地将多种条件进行组合,符合一定的条件即划分为对应的VPN。通用的处理流程如下:
1.首先建立一个策略组,其中配置各种方式,以及其组合策略,包括标准的基于网络参数的方式,以及上述基于用户参数、基于报文参数、
基于业务参数等方式,以及组合使用的策略,每种需要划分的VPN使用一种策略规则,可以配置一条或者多条策略规则。如果不需要使用的方式,可以不配置。
2.然后确定这样一个策略组的作用域,可以作用在包括但不限于某一个或者多个端口、VLAN或者子接口或者整个设备全局应用。
3.当用户报文解析时,按照策略组配置顺序进行匹配,如果匹配成功,则按照策略指定的VPN动作进行划分,如果匹配失败则继续匹配,直至全部匹配失败,不进行VPN划分或者划分到默认的VPN中。
典型的,策略规则的形式为:包括网络参数、用户参数、报文参数、业务参数,以及关系运算(包括但不限于和、或、否、属于、不属于、等于、不等于)、模糊匹配(any、表示任意值的通配符*、表示单个值的通配符?、以及正则表达式)等组合而成的表达式。
如某运营商需要将某个大客户的语音业务送到某个语音VPN中,某类用户使用一个VPN到ISP处,凡是HTTP的报文送到一个VPN中进行内容过滤,从端口5进来的全部使用某个VPN,其他的按照网络参数进行划分。
此时,配置策略组#1或者名称为“策略组1”,内容如下:
if(SIP属于192.168.5.*)和(Voice_Service)then VPN1
if(用户域为“*.isp.telecom.cn”)then VPN2
if(HTTP)then VPN3
if(Port=5)then VPN4
default VPNx
特别的,当策略表达式表达形式按照优先级进行组合时,就是上述优先级方式。
同时,策略组和方式和优先级方式也可以同时使用,通过配置策略组优先或者方式组优先实现两种方式共存。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (15)
1、一种实现虚拟专用网的方法,其特征在于,所述方法包括步骤:
A、配置虚拟专用网VPN运营参数信息;
B、按照下述至少一种方式建立所述运营参数与VPN站点的对应关系:
建立用户账号、域和用户群与所述VPN站点的对应关系;
建立报文参数与所述VPN站点的对应关系;
建立业务参数与所述VPN站点的对应关系;
C、当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN并记录对应的VPN参数,按其归属的VPN参数对其进行转发;
D、当VPN设备从公网接收到VPN报文时,根据所述运营参数与VPN站点的对应关系确定其归属的VPN、用户账号、域和用户群,并向其归属的VPN站点转发专网数据。
2、根据权利要求1所述的方法,其特征在于,所述步骤A具体为:
通过命令行接口/WEB/网管静态配置所述VPN运营参数。
3、根据权利要求1所述的方法,其特征在于,所述步骤A具体为:
通过认证、授权、计费/策略动态配置所述VPN运营参数。
4、根据权利要求1所述的方法,其特征在于,所述报文参数包括:物理层报文、二层数据链路层报文、三层网络层报文、四层传送层报文以及高层应用层报文中包含的参数。
5、根据权利要求1所述的方法,其特征在于,所述业务参数包括:数据、视频、语音、指定会话中的业务和会话信息。
6、根据权利要求1所述的方法,其特征在于,所述步骤C中按专网数据归属的VPN参数对其进行转发的过程包括:
将记录的VPN参数与所述专网数据对应的VPN站点进行关联;
根据所述VPN参数建立对应的隧道,同时由公网协议提供对应的路由、标签、转发、封装信息;
分别根据对应的VPN参数和所述公网协议提供的路由、标签、转发、封装信息对所述专网数据进行封装;
将封装后的专网数据通过公网转发。
7、根据权利要求1所述的方法,其特征在于,所述步骤D中向VPN报文归属的VPN站点发送专网数据的过程包括:
根据从公网接收的VPN报文信息,获取VPN运营信息及其归属的VPN站点信息;
剥离VPN报文中所有VPN封装,解封装出VPN专网数据;
根据所述VPN站点信息对解封装出的专网数据进行封装;
将封装后的专网数据发送到VPN报文归属的VPN站点。
8、一种实现虚拟专用网的方法,其特征在于,所述方法包括步骤:
A、配置虚拟专用网VPN运营参数信息;
B、按照下述方式建立所述运营参数与VPN站点的对应关系:
建立用户账号、域和用户群与所述VPN站点的对应关系、建立报文参数与所述VPN站点的对应关系、建立业务参数与所述VPN站点的对应关系中的至少一种方式和建立网络参数与所述VPN站点的对应关系;
C、当VPN设备从VPN站点接收到专网数据后,根据所述运营参数与VPN站点的对应关系确定其归属的VPN并记录对应的VPN参数,按其归属的VPN参数对其进行转发;
D、当VPN设备从公网接收到VPN报文时,根据所述运营参数与VPN站点的对应关系确定其归属的VPN、用户账号、域和用户群,并向其归属的VPN站点转发专网数据。
9、根据权利要求8所述的方法,其特征在于,所述步骤A具体为:
通过命令行接口/WEB/网管静态配置所述VPN运营参数。
10、根据权利要求8所述的方法,其特征在于,所述步骤A具体为:
通过认证、授权、计费/策略动态配置所述VPN运营参数。
11、根据权利要求8所述的方法,其特征在于,所述报文参数包括:物理层报文、二层数据链路层报文、三层网络层报文、四层传送层报文以及高层应用层报文中包含的参数。
12、根据权利要求8所述的方法,其特征在于,所述业务参数包括:数据、视频、语音、指定会话中的业务和会话信息。
13、根据权利要求8所述的方法,其特征在于,当建立有多种网络参数、运营参数与VPN站点的对应关系时,通过优先级或者策略表达式来选择确定接收数据所归属的VPN时适用的对应关系。
14、根据权利要求8所述的方法,其特征在于,所述步骤C中按专网数据归属的VPN参数对其进行转发的过程包括:
将记录的VPN参数与所述专网数据对应的VPN站点进行关联;
根据所述VPN参数建立对应的隧道,同时由公网协议提供对应的路由、标签、转发、封装信息;
分别根据对应的VPN参数和所述公网协议提供的路由、标签、转发、封装信息对所述专网数据进行封装;
将封装后的专网数据通过公网转发。
15、根据权利要求8所述的方法,其特征在于,所述步骤D中向VPN报文归属的VPN站点发送专网数据的过程包括:
根据从公网接收的VPN报文信息,获取VPN运营信息及其归属的VPN站点信息;
剥离VPN报文中所有VPN封装,解封装出VPN专网数据;
根据所述VPN站点信息对解封装出的专网数据进行封装;
将封装后的专网数据发送到VPN报文归属的VPN站点。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100642589A CN100518138C (zh) | 2005-04-12 | 2005-04-12 | 实现虚拟专用网的方法 |
| PCT/CN2006/000572 WO2006108344A1 (fr) | 2005-04-12 | 2006-03-31 | Procede de realisation de reseau prive virtuel |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100642589A CN100518138C (zh) | 2005-04-12 | 2005-04-12 | 实现虚拟专用网的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1848799A CN1848799A (zh) | 2006-10-18 |
| CN100518138C true CN100518138C (zh) | 2009-07-22 |
Family
ID=37078168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100642589A Active CN100518138C (zh) | 2005-04-12 | 2005-04-12 | 实现虚拟专用网的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100518138C (zh) |
| WO (1) | WO2006108344A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917228B (zh) * | 2010-07-30 | 2014-04-30 | 武汉烽火网络有限责任公司 | 集团用户有线专网的实现方法 |
| CN103634171A (zh) * | 2012-08-24 | 2014-03-12 | 中兴通讯股份有限公司 | 一种动态配置方法及装置、*** |
| CN106713260B (zh) * | 2013-12-27 | 2020-07-10 | 恒为科技(上海)股份有限公司 | 一种用于虚拟专用拨号网中动态数据注入的方法 |
| CN103905285A (zh) * | 2014-04-06 | 2014-07-02 | 陈桂芳 | 一种实现同一mac地址用户划分到多个不同vlan的方法 |
| CN105636151B (zh) * | 2015-06-29 | 2017-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种网络连接方法及电子设备 |
| CN111327531B (zh) * | 2018-12-17 | 2022-08-02 | 中兴通讯股份有限公司 | 基于vdc的路由配置方法、装置、设备及可读存储介质 |
| CN112887158B (zh) * | 2021-03-19 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种基于域模式的设备通信规则配置方法 |
| CN114884876B (zh) * | 2022-04-14 | 2023-06-30 | 烽火通信科技股份有限公司 | 跨网络平面通信方法、设备及可读存储介质 |
| CN116781428B (zh) * | 2023-08-24 | 2023-11-07 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发*** |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7450505B2 (en) * | 2001-06-01 | 2008-11-11 | Fujitsu Limited | System and method for topology constrained routing policy provisioning |
| CN1125545C (zh) * | 2001-12-31 | 2003-10-22 | 刘军民 | 实现局域网虚通道传送的数据转发方法 |
| CN1297105C (zh) * | 2003-01-06 | 2007-01-24 | 华为技术有限公司 | 基于虚拟专用网的实现多角色主机的方法 |
-
2005
- 2005-04-12 CN CNB2005100642589A patent/CN100518138C/zh active Active
-
2006
- 2006-03-31 WO PCT/CN2006/000572 patent/WO2006108344A1/zh not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006108344A1 (fr) | 2006-10-19 |
| CN1848799A (zh) | 2006-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100518138C (zh) | 实现虚拟专用网的方法 | |
| CN100384172C (zh) | 基于网络的虚拟专用网中保证服务质量的***及其方法 | |
| CN100583773C (zh) | 以网络层元件控制数据链路层元件的方法及装置 | |
| EP1585264B1 (en) | Method for indicating classification of a communications flow | |
| US7903553B2 (en) | Method, apparatus, edge router and system for providing QoS guarantee | |
| US8036237B2 (en) | System and method for transparent virtual routing | |
| US20040223499A1 (en) | Communications networks with converged services | |
| EP1732268B1 (en) | A method for safely transmitting the service stream over the ip network | |
| US8451833B2 (en) | System and method for transparent virtual routing | |
| JP2004529546A (ja) | 仮想私設網(vpn)承知顧客構内装置(cpe)エッジルータ | |
| US20050265308A1 (en) | Selection techniques for logical grouping of VPN tunnels | |
| US20060245439A1 (en) | System and method for DSL subscriber identification over ethernet network | |
| JP2004260832A (ja) | Ipアクセスネットワークにおいて保証サービス品質を伴うサービスを提供する方法 | |
| JP5113963B2 (ja) | インターネットにアクセスする加入者への所望のサービス・ポリシーの提供 | |
| US20040025054A1 (en) | MPLS/BGP VPN gateway-based networking method | |
| CN101360037B (zh) | 数据业务网络***及数据业务的访问方法 | |
| Wilkins | Designing for Cisco Internetwork Solutions (DESIGN) Foundation Learing Guide | |
| US20050220059A1 (en) | System and method for providing a multiple-protocol crossconnect | |
| CN102377645A (zh) | 交换芯片及其实现方法 | |
| CN101238683A (zh) | 基于vlan的接入网络中的服务质量 | |
| Cisco | Introduction to Cisco MPLS VPN Technology | |
| JP2004528756A (ja) | サービス拒否攻撃に耐えるために、仮想私設網(vpn)およびベストエフォートトラフィックを隔離するシステム、方法および装置 | |
| JP2004533149A (ja) | IPQoSのサービス拒否攻撃に耐えるための仮想私設網を採用するシステム、方法および装置 | |
| Reddy | Building MPLS-based broadband access VPNs | |
| Held | Quality of service in a Cisco networking environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220829 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |