CN1471275A - 用虚拟路由器构建的企业外部虚拟专网***及方法 - Google Patents

Abstract

一种使用虚拟路由器构建的企业外部虚拟专网***及方法,该***包括多个企业内部网(Intranet)和这些企业共享的企业外部虚拟专网(Extranet VPN);其特征是:所述的每个企业内部网内都分别设有外部虚拟路由器(Extranet VR),每个企业内部网内的各个站点分别通过其内部网中的外部虚拟路由器(Extranet VR)接入企业外部虚拟专网(Extranet VPN)该外部虚拟路由器(Extranet VR)由地址转换和接入控制组件(NAT&ACL)、路由发布组件以及虚拟路由器(VR)三部分组成。该***的工作方法是进行两次地址空间的映射,利用地址转换方法,把企业内部站点映射到Extranet地址空间上,使各个企业的站点位于统一的Extranet空间内,并以Extranet地址为标示组成了一个虚拟的企业协作团体的Intranet。

Description

用虚拟路由器构建的企业外部虚拟专网***及方法

所属领域

本发明涉及一种构建企业外部虚拟专网的***及方法，确切地说，涉及一种使用虚拟路由器(VR，Virtual Route)构建的企业外部虚拟专网***及方法。属于数据通信中的接入服务器、边缘业务路由器等设备技术领域。

背景技术

虚拟专网(VPN，Virtual Private Network)是一种在公用网络中实现专用网络功能的技术。在VPN中，任意两个节点之间的连接并不存在该专网所需的物理链路，而是利用公众网的某种资源动态组成。目前，从应用角度有如下三种VPN服务类型：

1、企业内部网(Intranet VPN)：企业的总部与其分支机构之间通过公网构筑的虚拟网。

2、企业外部虚拟专网(Extranet VPN)：多家企业由于业务等的共同需求通过公网构筑的虚拟网

3、远程接入虚拟专网(Access VPN)：企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网

其中企业外部虚拟专网(Extranet VPN)是使用因特网技术建立的可支持各企事业之间进行业务往来和信息交流的综合网络信息***。企业外部虚拟专网(Extranet VPN)通常是企业内部网(Intranet)和公网基础设施上的逻辑复盖，仅用访问控制和路由表进行控制，而不是建立新的物理网络。外部虚拟专网通常连接两个或多个已经存在的内部网。外部虚拟专网的访问是半私有的，其用户是由关系紧密的企业结成的小组，在互相信任的圈内共享信息；Extranet非常适合于具有时效性的信息共享和企业间完成共有利益目的的活动。

虚拟路由器(VR，virtual router)是对物理路由器在软件和硬件级的一个仿真。每个VR具有独立的IP路由和转发表，各虚拟路由器之间彼此独立。虚拟路由器常用于构建虚拟专网(VPN)。从VPN用户的角度看，VR提供的功能与物理路由器相同；其分离的路由和转发，就象给每个VPN的用户提供一个独立的路由器，保证了在共享网络上的各VPN业务之间的隔离。

建构一个网络时，首先要对该网络进行规划：要确定在哪些地点安装路由器，每个路由器可以和哪些路由器相连，它们应该采用哪种拓扑结构，路由器如何才能获取可达路由信息等等。以上列举的这些问题，在使用VR构建VPN时同样也会遇到，人们将其统称为发现问题。使用VR构建VPN时，发现问题包含两方面的内容：

(1)成员发现：唯一地标示VR，并且记录该VR和VPN的从属关系。属于同一VPN域的VR获取其他VR处于哪些网络设备上的信息。以及属于同一VPN域的VR获取其自身与其他VR的连接关系，以及连接使用的隧道类型信息。

(2)可达信息的发现或获取(专网路由传播)：VR把与其相连的企业站点路由信息向属于同一VPN域的其他VR传播。

VR成员发现有两类解决方式：手工配置和采用自动发现机制。手工配置方法实现简单，但手工配置的工作量随着VPN业务的发展会变得异常繁重而很难管理。因此，在使用VR方式构建VPN中应该尽可能地考虑VR的自动发现方法。目前，多种VR成员的自动发现方法已经被提出来了。因为采用自动发现方法不是本发明的研讨对象，不再赘述。

随着世界经济全球化和信息技术的发展，各企业之间的电子信息流成为构建新一代商业模式的关键。上述的Extranet就是沟通不同企事业单位的信息桥梁。目前，访问Extranet站点的常用方式有两种：

(1)使用公网地址访问Extranet的站点：不同企业使用公网IP地址访问其他企业在Extranet VPN内的站点，使得企业外部的用户能够有机会访问该Extranet站点。但是，也为针对该企业网的非法攻击提供了通道，降低了企业网的整体安全性。因此各站点都使用密码、用户签名等方式对访问站点的要求进行控制。该方式的Extranet VPN适用于信息的维护和传播。

(2)使用私网地址访问Extranet站点：不同企业的站点通过隧道在公网上实现互连，通过隧道建立Extranet站点之间的连接，使用私网地址相互访问Extranet站点。该方式的Extranet站点信息不会暴露在公网上，企业之间的通信信息可以使用多种安全机制予以保护。该方式适合于构建各企业间合作关系密切、信息交互量大，又需要保密的Extranet。但是由于构建Extranet VPN的企业网的地址空间是私有的，可以重叠。构建Extranet VPN的企业如何在各自的地址空间内访问其他企业的站点是IP方式ExtranetVPN要解决的关键问题。因为企业地址空间通常是私有的，可以重叠。如何在不同企业的私网内部唯一地标示Extranet站点的IP地址，是使用私网地址访问形式构建Extranet VPN时无法回避和必须要解决的问题。为了使不同企业间可以用私网地址访问Extranet站点，现在Extranet VPN中站点的IP地址分配通常使用两种方式：

(A)构建Extranet VPN时各个不同企业达成协议，在Extranet VPN中站点在各企业网地址空间内具有相同的私网地址。该方法需要不同企业之间达成协议，而且有可能改变某些企业原有的IP地址分配策略，因此缺乏灵活性。

(B)构建Extranet VPN的各个企业在Intranet的边界(即企业网关)上提供网络地址转换(NAT，Net address transfor)功能，实现本企业私网地址空间到相关企业的私网地址空间的转换。某一企业要访问处于另一企业内部的Extranet站点时，需要在企业网关处把源IP地址和目的IP地址由本企业的私网地址转换为另一企业的私网地址。因为每个企业私网地址分配的原则不同，所以每一对企业的连接都需要设置不同的NAT原则。该方法在有新的企业加入或撤离时，修改可能涉及多个企业站点，配置工作量大，响应速度慢。因此，如何能够更简便、容易地构建和管理众多企业共享的Extranet VPN，已经成为许多业内人士探索和研究的课题。

发明内容

本发明的目的是提供一种使用虚拟路由器(Virtual Route)构建的企业外部虚拟专网***(Extranet VPN)，使用VR和已经成熟的多种成员自动发现方法，可以简化VPN的配置，在Intranet的基础上比较容易地建立Extranet；而且，Extranet的建立不会影响各个企业原有的网络规划，实现了Intranet和Extranet的隔离。该***的网络管理工作比较简单，能够增加运营商的利润。

本发明的另一目的是提供一种使用虚拟路由器(Virtual Route)构建企业外部虚拟专网***的方法。

本发明的目的是这样实现的：一种使用虚拟路由器(VR)构建的企业外部虚拟专网***，包括有多个企业内部网(Intranet)和这些企业共享的企业外部虚拟专网(Extranet VPN)；其特征在于：所述的每个企业内部网内都分别设有一个外部虚拟路由器(Extranet VR)，每个企业内部网内的各个站点分别通过其内部网中的外部虚拟路由器(Extranet VR)接入企业外部虚拟专网(ExtranetVPN)；该外部虚拟路由器(Extranet VR)由地址转换和接入控制组件(NAT&ACL)、路由发布组件以及虚拟路由器(VR)三部分组成；其中地址转换和接入控制组件(NAT&ACL)用于Extranet地址与Intranet地址的相互转换及设置Extranet的访问控制和安全控制；路由发布组件用于：获取VR路由表中的Extranet路由，把路由表中的Extranet地址转换为Intranet地址后向Intranet发布；把该企业的Extranet站点的Intranet地址转换为Extranet地址后导入VR的Exranet路由表中；虚拟路由器(VR)用于：管理和维护Extranet VPN各站点的虚拟路由器之间的IP隧道；在Extranet VPN地址空间内发布路由信息，转发IP报文给Extranet的下一跳；创建一个模拟物理接口功能并配置Extranet地址的虚接口，VR通过该虚接口接收或发送IP报文。

所述的路由发布组件向Intranet发布路由时，可以任意选择各种路由协议。

所述的地址转换(NAT)组件是由配置管理接口模块、数据表维护模块和操作虚拟路由器的转发表(FIB)接口模块组成；所述的接入控制(ACL)组件则由配置管理接口模块、数据表维护模块与操作虚拟路由器的转发表(FIB)接口模块和路由发布模块的接口组成。

所述的路由发布组件是由配置管理模块和路由器的路由表(RIB)接口组成。

所述的虚拟路由器(VR)是由路由表(RIB)、转发表(FIB)和转发引擎组成。

所述的路由信息中的IP地址使用Extranet VPN的私网地址，且各个外部虚拟路由器之间可以使用任意的路由协议发布路由信息。

所述的虚接口配置的Extranet地址，在VR的路由表中是到达Extranet VR连接的企业的Extranet站点的下一跳；到达该虚接口的Extranet报文被送往地址转换和接入控制组件处理后，发送给Intranet；Intranet发往Extranet的报文经地址转换和接入控制组件处理后，经由该虚接***给VR在Extranet空间进行IP转发。

一个企业内部网(Intranet)里可以设置多个外部虚拟路由器(Extranet VR)，且其中的每个外部虚拟路由器(Extranet VR)分别从属于不同的外部虚拟专网(Extranet VPN)，使该企业能够参与多个不同的企业外部虚拟专网(ExtranetVPN)的组建。

本发明的另一目的是这样实现的：一种使用虚拟路由器(Virtual Route)构建企业外部虚拟专网(Extranet VPN)***的方法，其特征在于：每个企业内部网(Intranet)的站点加入Extranet过程包括下列步骤：

(1)参与建立Extranet VPN的各企业确定Extranet VPN地址的分配规则，每个企业分别占用一段彼此独立的Extranet地址空间，各企业的Extranet地址段不能重复；

(2)每个企业向因特网服务提供商ISP申请一个外部虚拟路由器(ExtranetVR)，并把其需要加入Extranet的各个站点通过运行路由协议的路由器连接到该外部虚拟路由器(Extranet VR)上；

(3)每个企业分别确定Intranet地址与Extranet地址的转换关系，且Intranet地址与Extranet地址逐一对应，以便能够将各个Intranet地址转换为该企业占用的Extranet地址空间内唯一的一个地址；

(4)设置接入控制规则，以限制只有授权的内部站点才能访问Extranet，而其他企业的Extranet站点只能访问该企业允许其访问的Intranet站点。

所述的步骤(2)中的外部虚拟路由器(Extranet VR)在向Intranet转发报文时，缺省路径或直接地把所有数据报文发送到与之相连的Intranet内部的路由器去。

所述的步骤(3)中的每个企业的Intranet地址与Extranet地址的转换是由两次映射完成的：

(31)将各企业Intranet站点按照一定的映射关系唯一地映射到统一的Extranet地址空间，并把Intranet站点在Extranet中映射的虚拟站点的路由信息导入Extranet路由表；

(32)将Extranet上各企业Intranet站点占有的地址空间利用另一系列映射关系映射到其它企业Intranet内的地址空间。

所述的步骤(4)中的接入控制规则中可设置接入控制策略，对接入的IP报文内容进行过滤，禁止某些存在安全隐患的报文通过。

该方法进行IP报文转发处理的步骤是：

(A)在外部虚拟路由器(Extranet VR)之间建立IP隧道，搭建不同企业站点之间的数据通道；

(B)传递Extranet站点的可达信息；

(C)转发Extranet站点的数据报文。

其中步骤(B)进一步包含下述步骤：

(B1)先在Extranet空间传递可达信息：新加入Extranet的企业站点在Extranet地址空间获取一个Extranet地址后，与该站点连接的该外部虚拟路由器(ExtranetVR)把该地址的可达路由信息通知给同一Extranet VPN的其他外部虚拟路由器(Extranet VR)，使得在Extranet上所有的外部虚拟路由器(Extranet VR)都知道要到达该新加入的站点需要把报文先发给与之连接的该外部虚拟路由器(Extranet VR)；

(B2)再在各个企业Intranet空间传递可达信息：各企业的外部虚拟路由器(Extranet VR)把新获取的Extranet站点可达路由信息由Extranet转换到本企业的Intranet空间。

其中步骤(C)进一步包含下述步骤：

(C1)先在本企业的Intranet空间转发报文：本企业站点使用另一企业站点在本企业Intranet地址空间内映射的Intranet地址作为目的IP地址发送报文，本企业Intranet路由器把报文转发给本企业的Extranet VR。

(C2)在Extranet空间转发报文：本企业的Extranet VR收到报文后，使用控制规则对报文进行检查；若检查不通过，则丢失报文；若检查通过，则把该IP报文中Intranet地址转换为Extranet地址，利用Extranet路由信息通过IP隧道把报文转发给另一企业的Extranet VR；

(C3)在另一企业的Intranet空间转发报文：另一企业的Extranet VR收到报文后，使用控制规则对报文进行检查；若检查不通过，则丢失报文；若检查通过，则把该IP报文中Extranet地址转换为该另一企业的Intranet地址，然后转发给该另一企业的Intranet路由器；该另一企业Intranet路由器利用Intranet路由信息把报文送给本企业中的目的站点。

因为每个企业与其他企事业单位存在着不同的合作关系，所以每个企业会有与不同的企事业单位组成不同的企业外部虚拟专网(Extranet VPN)的需求。而这种企业外部虚拟专网(Extranet VPN)的构建与扩展涉及到各个合作伙伴间的网络结构、法律、技术、经济、安全、策略等许多方面的协作，构建的难度要远远高于企业内部网(Intranet)。

本发明提供了一种使用虚拟路由器(VR，Virtual Route)构建的企业外部虚拟专网(Extranet VPN)***及其构建方法，该***是利用虚拟路由器(VR)在Intranet基础上建立的，比较容易实现；使用该Extranet VPN能够实现不同企业间站点的IP层互连。而且，该Extranet的建立不会影响各个企业原有的网络规划，实现了Intranet和Extranet的隔离。另一方面，虚拟路由器的自动发现方法使Extranet VPN的构建过程自动化，即各个企业间的Extranet站点的路由关系是自动发现、自动建立的，简化了构建Extranet VPN的配置工作。因此加入和撤离Extranet，只要对增加或撤离的企业的VR进行配置，其他站点将自动获取这些信息，简化了配置的工作量。本发明采用灵活的地址转换规则使得企业可以任意地安排外部站点在本企业内映射的地址范围，能够有效地控制外部站点的访问要求，同时可以避免企业外部网建设对企业原有网络规划的影响。再者，本发明使用虚拟路由器构建的Extranet VPN安全性能很好。因为Extranet VPN是使用私网地址，使得Extranet中的站点不会在公网上出现，Extranet外部的站点无法获知和访问Extranet内的站点。最后，Extranet VR之间使用IP隧道进行报文传送，可以使用现有的安全认证***和加密方法，防止报文内容被外部截取和破译。此外，本发明的***还提供了接入控制组件，可以限制一个Extranet内的各企业之间信息的传递能力，防止一个企业的商业机密被具有合作关系的其他企业获取。总之，使用本发明可以比较简便、安全地使一个企业与多个Extranet VR相连，每个Extranet VR使该企业接入不同的Extranet，这样就能很好地满足一个企业参与多Extranet VPN以获取其自身最大发展的要求。

附图说明

图1是本发明使用虚拟路由器(VR)构建的企业外部虚拟专网(ExtranetVPN)***的结构组成示意图。

图2是本发明使用虚拟路由器(VR)使一个企业参与构建多个企业外部虚拟专网(Extranet VPN)的结构组成示意图。

图3是本发明使用虚拟路由器(VR)构建企业外部虚拟专网(ExtranetVPN)***的Extranet地址空间转换示意图。

图4是本发明的一实施例的构建过程和数据处理流程示意图。

具体实施方式

参见图1，本发明是一种使用虚拟路由器(VR)构建的企业外部虚拟专网***，包括有多个企业内部网(如图中的Intranet1、Intranet2)和这些企业共享的企业外部虚拟专网(Extranet VPN)；其特点是：在每个企业内部网Intranet1、Intranet2内分别设有外部站点site1和site2参与组建Extranet VPN，外部站点site1和site2分别通过其内部网的路由器(图1中的圆盘)连接到各自的外部虚拟路由器(Extranet VR)。进而接入企业外部虚拟专网(Extranet VPN)。如图1所示，每个外部虚拟路由器(Extranet VR)由地址转换和接入控制组件(NAT&ACL)、路由发布组件以及虚拟路由器(VR)三部分组成。其中地址转换(NAT)组件是由配置管理接口模块、数据表维护模块和操作虚拟路由器的转发表(FIB)接口模块组成；接入控制(ACL)组件则由配置管理接口模块、数据表维护模块与操作虚拟路由器的转发表(FIB)接口模块和路由发布模块的接口组成。路由发布组件是由配置管理模块和路由器的路由表(RIB)接口组成。虚拟路由器(VR)是由路由表(RIB)、转发表(FIB)和转发引擎组成。当有报文从Intranet发往Extranet时，该报文需要先接受接入控制(ACL)组件的原则检查，如果检查通过，则把报文交给地址转换(NAT)组件进行地址转换，最后交给虚拟路由器(VR)转发；当有报文从Extranet发往Intranet时，该报文先由地址转换(NAT)组件进行地址转换，然后通过接入控制(ACL)组件的原则检查，再发往Intranet。

其中地址转换和接入控制组件(NAT&ACL)承担的功能是：设置Extranet地址与Intranet地址的转换规则；对进入Extranet的IP报文进行Intranet私网地址到Extranet私网地址的转换，对进入Intranet的报文进行Extranet地址到Intranet地址的转换；对Intranet内的用户访问Extranet进行访问控制，只有被授权的Intranet内部站点才可以访问Extranet；根据需要设置集成防火墙类的安全控制功能。

路由发布组件承担的功能是：获取VR路由表中的Extranet路由，把路由表中的Extranet地址转换为Intranet地址后向Intranet发布；把该企业的Extranet站点的Intranet地址转换为Extranet地址，并把这些Extranet地址导入VR的Extranet路由表中。在路由发布组件向Intranet发布路由时，可以任意选择各种路由协议。

虚拟路由器(VR)承担的功能是：管理和维护Extranet VPN各站点的虚拟路由器之间的IP隧道；在Extranet VPN地址空间内发布路由信息，即Extranet的站点可达信息；该路由信息中的IP地址使用Extranet VPN的私网地址，且各个外部虚拟路由器之间可以使用任意的路由协议发布路由信息。根据IP报文的目的Extranet VPN私网地址把IP报文转发给Extranet的下一跳；创建一个模拟物理接口功能并配置Extranet地址的虚接口，虚拟路由器(VR)通过该虚接口从Intranet接收IP报文，也通过该虚接口向Intranet发送报文。为虚接口配置的Extranet地址，在VR的路由表中是到达Extranet VR连接的企业的Extranet站点的下一跳；到达该虚接口的Extranet报文被送往地址转换和接入控制组件处理后，发送给Intranet；Intranet发往Extranet的报文经地址转换和接入控制组件处理后，经由该虚接***给VR在Extranet空间进行IP转发。

需要说明的是：一个企业内部网(Intranet)可以设置多个外部虚拟路由器(Extranet VR)，且其中的每个外部虚拟路由器(Extranet VR)分别从属于不同的外部虚拟专网(Extranet VPN)，这样可以实现一个企业参与多个不同的企业外部虚拟专网(Extranet VPN)的组建。参见图2，图中企业内部网Intranet1中设有两个外部站点site1和site2，这两个外部站点site1和site2分别通过其内部网的路由器连接到外部虚拟路由器1和外部虚拟路由器2。其中外部虚拟路由器1与另一个企业内部网Intranet2的外部站点3及外部虚拟路由器3一起参与组建Extranet VPN1；而外部虚拟路由器2与又一个企业内部网Intranet3的外部站点4及外部虚拟路由器4一起参与组建Extranet VPN2。

从企业的角度看，Extranet是Intranet的扩展，属于Extranet的站点可看作是与其他企业合作的企业Intranet的一部分；从参与组建Extranet的站点角度看，各个企业由于合作关系又形成了一个新团体，而Extranet可以看作是这新的协作团体的Intranet。因此，Extranet可以认为是多个企业Intranet之上承载的一个虚拟的Intranet。

参见图3，本发明***的设计思想或核心原理是：进行两次地址空间的映射：

首先，每个企业将参与组建Extranet的各自的外部站点Intranet私网地址通过地址转换策略转换得到一个互相独立的Extranet地址。一方面，各个企业占用的Extranet地址空间范围应根据协议事先划定，不能重叠；另一方面，地址转换策略保证了每个企业的Intranet地址与Extranet地址的一一对应。因此不同企业的外部站点在Extranet地址空间中都具有唯一的Extranet地址，不会出现地址重叠。也就是说，在Extranet地址空间内，根据Extranet地址就可以唯一地定位一个外部站点。各个企业的外部站点被映射到统一的Extranet地址空间，使得每个企业只要关心其自身的Intranet地址与Extranet地址的转换关系，而不需要关心与其他企业私网地址的转换关系。

接着，把该企业的Extranet站点映射到另一企业的Intranet空间中，在另一企业的Intranet空间里能够看到其他企业的Extranet站点。这样就使得该Intranet内的各站点访问Extranet站点的问题转换为Intranet内的各站点与另一个Intranet地址的通信，从而无需知道其目的站点是否是Intranet站点还是Extranet站点。

总之，本发明使用上述地址转换方法，把企业的外部站点映射到Extranet地址空间上，使各个企业的外部站点位于统一的Extranet地址空间内，并以Extranet地址为标示组成了一个虚拟的企业协作团体的Intranet。采用这种方式，各个企业只要关心其自身的Intranet地址与Extranet地址的转换关系，不需要关心与其他企业私网地址的转换关系。另外采用本发明的方法，各企业的Extranet站点使用Extranet私网地址通信；不使用公网地址，也就不会受到公网上其他***的攻击。

在图3中，粗实线框sit1和sit2分别是企业A的Intranet1里的站点(IPin11)和企业B的Intranet2里的站点(IPin22)，它们是物理站点，其Intranet地址分别为IPin11和IPin22。而细实线框则是映射的逻辑站点。其中IPex1是企业A的站点site1在Extranet VPN映射的Extranet地址，IPex2则是企业B的站点site2在ExtranetVPN映射的Extranet地址。IPin12是企业B的VPN2站点site2在企业A的VPN1空间内映射的Intranet地址，IPin21则是企业A的VPN1的站点site1在企业B的VPN2空间内映射的Intranet地址。

在本发明中，Intranet与Extranet的地址转换关系可以是一个关系集合。举例来说，假设Intranet地址段Ain映射到Extranet地址段Aex的函数为Fa，Extranet地址段Bex映射到Intranet地址段Bin的函数是Fb，那么，该企业Intranet-Extranet地址转换关系可表示为：

              F＝Fa；Ain-＞Aex

                 Fb；Bin-＞Bex

依据上述约定，企业Intranet内的各个站点可以利用一种映射关系而被唯一地映射到其所占用的Extranet地址空间，同时Extranet上其他企业占有的地址空间也可以利用另一种映射关系被映射到该企业Intranet内的一个任意的地址空间。这样保证了企业对Intranet地址使用的灵活性，避免Extranet的引入对企业原有的Intranet地址分配策略的影响。

本发明还提供了一种使用虚拟路由器(Virtual Route)构建企业外部虚拟专网(Extranet VPN)***的方法，也就是每个企业内部网(Intranet)的站点加入Extranet过程包括有下列步骤：

(1)参与建立Extranet VPN的各企业确定Extranet VPN地址的分配规则，每个企业分别占用一段彼此独立的Extranet地址空间，各企业的Extranet地址段不能重复；

(2)每个企业向因特网服务提供商ISP申请一个外部虚拟路由器(ExtranetVR)，并把其需要加入Extranet的各个站点通过运行路由协议的路由器连接到该外部虚拟路由器(Extranet VR)上；外部虚拟路由器(Extranet VR)在向Intranet转发报文时，缺省路径或直接地把所有数据报文发送到与之相连的Intranet内部的路由器去。

(3)每个企业分别确定Intranet地址与Extranet地址的转换关系：该企业Intranet内的站点使用一种映射关系被唯一地映射到其所占用的Extranet地址空间，同时Extranet上其他企业占有的地址空间利用另一种映射关系被映射到该企业Intranet的一个任意的地址空间上。且Intranet地址与Extranet地址逐一对应，以便能够将各个Intranet地址转换为该企业占用的Extranet地址空间内唯一的一个地址。而且，每个企业的Intranet地址与Extranet地址的转换关系是可以分段独立进行的，每一段地址的转换关系可以是不同的。使用分段映射的方法，可以使得一个企业能够有效地把多个外部站点映射到有限的Extranet地址范围中去，同时灵活地把其他企业的外部站点映射到本企业Intranet地址范围中没有占用的空间中去。这样可以减少建立Extranet的复杂性：减少建立Extranet对企业原有Intranet的影响。

(4)设置接入控制规则，以限制只有授权的内部站点才能访问Extranet，而其他企业的Extranet站点只能访问该企业允许其访问的Intranet站点；还可设置接入控制策略，对接入的IP报文内容进行过滤，禁止某些存在安全隐患的报文通过。

使用本发明的方法构建Extranet VPN时，进行IP报文转发处理的步骤是：

(A)在外部虚拟路由器(Extranet VR)之间建立IP隧道，搭建不同企业站点之间的数据通道；这一步可以运用VR自动发现方法减少配置工作量。

(B)传递Extranet站点的可达信息；该步骤又可细分为：

(B1)先在Extranet空间传递可达信息：：新加入Extranet的某企业站点在Extranet地址空间获取一个Extranet地址后，与该站点连接的该外部虚拟路由器(Extranet VR)把该地址的可达路由信息通知给同一Extranet VPN的其他外部虚拟路由器(Extranet VR)，使得在Extranet上所有的外部虚拟路由器(ExtranetVR)都知道要到达该新加入的站点需要把报文先发给与之连接的该外部虚拟路由器(Extranet VR)；

(B2)再在各个企业Intranet空间传递可达信息：其他各企业的外部虚拟路由器(Extranet VR)把新获取的Extranet站点可达路由信息由Extranet转换到本企业的Intranet空间。这一步类似在其他企业内部增加了一个虚拟的新站点。一个企业的Extranet站点访问另一个企业Extranet站点被转换成一个企业的Extranet站点在本企业的Intranet地址空间访问一个特定的地址。Extranet站点在相互访问时并不会感觉到它们处于不同企业的Intranet。

(C)转发Extranet站点数据的报文。该步骤又可细分为：

(C1)先在本企业的Intranet空间转发报文：本企业站点使用另一企业站点在本企业Intranet地址空间内映射的Intranet地址作为目的IP地址发送报文，本企业Intranet路由器把报文转发给本企业的Extranet VR。

(C2)在Extranet空间转发报文：本企业的Extranet VR收到报文后，使用控制规则对报文进行检查；若检查不通过，则丢失报文；若检查通过，则把该IP报文中Intranet地址转换为Extranet地址，利用Extranet路由信息通过IP隧道把报文转发给另一企业的Extranet VR；

(C3)在另一企业的Intranet空间转发报文：另一企业的Extranet VR收到报文后，使用控制规则对报文进行检查；若检查不通过，则丢失报文；若检查通过，则把该IP报文中Extranet地址转换为该另一企业的Intranet地址，然后转发给该另一企业的Intranet路由器；该另一企业Intranet路由器利用Intranet路由信息把报文送给本企业中的目的站点。

参见图4所示的实施例，具体说明使用本发明方法构建Extranet VPN的配置过程和数据处理流程。图4中下方的左、右两侧虚线之内分别是企业A、B的两个内部网Intranet A和Intranet B，站点A在Intranet A内的地址是1.0.0.1，站点B在Intranet B内的地址也是1.0.0.1。企业内部网Intranet A的外部站点A与企业内部网Intranet B的外部站点B构成Extranet VPN，上方的细实线椭圆就是两个企业组建的外部虚拟专网Extranet VPN的连接关系示意图。

首先介绍站点的配置过程：

企业A和企业B互相达成协议：企业A占用Extranet空间是1.0.0.1-1.255.255.255的地址范围，企业B占用Extranet空间是2.0.0.1-2.255.255.255的地址范围。在图4中的表示外部虚拟专网Extranet VPN的细实线大椭圆里面的两个矩形方框则是这两个企业A、B的Extranet地址空间分布范围。

企业A向ISP申请外部虚拟专网的虚拟路由器(exVR1)。企业A设置Intranet到Extranet地址转换规则使得A站点的Intranet地址(1.0.0.1)在Extranet VPN中被映射为虚拟站点Ae，其Extranet地址是：1.0.0.2。设置的Extranet到Intranet地址转换规则使得外部Extranet站点地址被映射到(10.0.0.0-10.255.255.255)范围内。并设置控制规则：只有A站点能够访问Extranet，外部Extranet站点也只能够访问A站点。再配置其外部路由器exVR1的Intranet A的接口Intranet地址为2.0.0.2，exVR1向Intranet A转发使用配置缺省路由，下一跳(next hop)是与exVR1连接的Intranet路由器1的接口Intranet地址2.0.0.1。配置外部路由器exVR1的内部虚接口Extranet地址为1.0.0.1。

企业B向ISP申请外部虚拟专网的虚拟路由器(exVR2)。企业B设置Intranet到Extranet地址转换规则使得B站点的Intranet地址(1.0.0.1)在Extranet VPN中被映射为虚拟站点Be，其Extranet地址是：2.0.0.2。设置的Extranet到Intranet地址转换规则使得外部Eextranet站点地址被映射到(10.0.0.0-10.255.255.255)范围内。再设置控制规则：只有B站点能够访问Extranet，外部Extranet站点也只能够访问B站点。再配置其外部路由器exVR2的Intranet B的接口Intranet地址为2.0.0.2，exVR2向Intranet B转发使用配置缺省路由，下一跳(next hop)是与exVR2连接的Intranet路由器2的接口Intranet地址2.0.0.1。配置外部路由器exVR2的内部虚接口extranet地址为2.0.0.1。

配置exVR1和exVR2的属性，从而标示出它们属于同一个Extranet。利用虚拟路由器自动发现方法，exVR1和exVR2协商建立互连的IP隧道。VR的VPN标示方法和自动发现的具体实现方法可以参看相关文献的说明，本文不再赘述。

接着说明路由信息的传递过程：

1、企业通过配置把站点A加入Extranet，exVR1把站点A在Extranet中映射的虚站点Ae的路由信息导入Extranet路由表。该路由在Extranet路由表中表示为：目的(Dest)地址：1.0.0.2，下一跳(next hop)地址是1.0.0.1(即exVR1的虚接口Extranet地址)。当exVR1收到目的地址为1.0.0.2的报文，就会把报文送到exVR1的虚接口去。

2、exVR1使用路由协议向exVR2发布Ae的路由信息。exVR2收到路由协议报文后把Ae的路由写到自己的路由表中。该路由在exVR2的Extranet路由表中表示为：目的(Dest)地址：1.0.0.2，下一跳(next hop)地址是3.0.0.1(即exVR1连接exVR2的隧道的exVR1端接口地址)。

3、exVR2的路由发布组件把Ae的路由向Intranet B发布。路由发布组件把Ae的Extranet地址根据预先配置转换策略转换为10.0.0.1。10.0.0.1可以表示成一个Intranet B中的虚站点A′。路由发布组件向Intranet发布10.0.0.1的路由过程与在Intranet B中加入一个具有10.0.0.1的实际站点的过程类似。与exVR2相连的路由器2收到exVR2路由发布组件的路由协议报文，把10.0.0.1的可达信息写入路由器2的路由表中，该路由表项表示为：目的(Dest)地址：10.0.0.1，下一跳(nexthop)地址是2.0.0.2(即exVR2连接路由器2的接口Intranet地址)。

4、B站点通过与上述同样的过程在Intranet A映射为虚站点B′，这里不再赘述。

最后说明数据转发处理的过程：

B站点需要发送IP报文给A站点时：在Intranet B内体现为B站点向虚拟站点A′发送IP报文，IP报文的目的地址10.0.0.1，源地址1.0.0.1。路由器2收到该IP报文后，使用目的地址10.0.0.1查找其路由表。该路由表中目的地址(Dest)为10.0.0.1，该表项的下一跳(Next Hop)地址是2.0.0.2。路由器2根据该下一跳地址可以获知与下一跳直接相连的是地址为2.0.0.1的接口，因此路由器2会把报文从地址为2.0.0.1的接口送给下一跳(即exVR2与Intranet B连接的接口)。

exVR2把IP报文送往NAT&ACL组件检查报文的合法性：因为源地址1.0.0.1是企业B配置的Extranet站点，所以该IP报文被允许发送到企业外部。NAT&ACL模块对IP报文的源地址和目的地址进行地址转换。IP报文的目的地址换成Ae的地址：1.0.0.2，源地址换成Be的地址：2.0.0.2。IP报文进入Extranet空间进行转发。exVR2先查路由表，该路由表中目的地址(Dest)为1.0.0.2，该表项的下一跳(Next Hop)地址是3.0.0.1。路由器exVR2根据该下一跳地址可以获知与下一跳直接相连的是地址为3.0.0.2的接口，因此路由器exVR2对报文进行隧道协议处理后，把报文从地址为3.0.0.2的Extranet接口送给Extranet中的下一跳(即IP隧道另一端exVR1的Extranet接口)，报文经过隧道协议封装后发给exVR1。

对端设备接收到报文后通过分析隧道封装头数据把去除隧道协议封装后的报文交给exVR1。exVR1在地址为3.0.0.1的Extranet接口收到该报文。exVR1使用该IP报文的目的地址1.0.0.2查找其extranet路由表。通过查找路由表，目的地址为1.0.0.2的报文的下一跳是1.0.0.1。exVR1发现1.0.0.1是自己的虚接口extranet地址，因此可以确定该报文是发向与它相连的Intranet A内站点的。exVR1把该报文交给NAT&ACL组件，经过Extranet到Intranet地址转换，该IP报文目的地址换成：1.0.0.1，源地址换成站点B在Intranet A映射的虚站点B′地址10.0.0.1。exVR1随后对报文进行合法性检查，因为地址1.0.0.1是企业A配置的Extranet站点，所以exVR1使用缺省路由或直接把该报文送到Intranet A内路由器1与exVR1直接相连的接口(Intranet地址为2.0.0.1)。路由器1使用目的地址1.0.0.1在自己的路由表中查找到A站点的路由。根据路由表中地址信息(Dest：1.0.0.1，Next Hop：1.0.0.2)，路由器获知需要经IP地址为1.0.0.2的接口把报文交给A站点。最后，A站点收到报文。对于A站点来说，报文似乎是从Intranet A内的B′站点发送而来的。而A站点向B站点发送报文的处理流程与上述过程完全类似，在此不再详述。

Claims (15)

1、一种使用虚拟路由器(VR)构建的企业外部虚拟专网***，包括有多个企业内部网(Intranet)和这些企业共享的企业外部虚拟专网(Extranet VPN)；其特征在于：所述的每个企业内部网内都分别设有一个外部虚拟路由器(Extranet VR)，每个企业内部网内的各个站点分别通过其内部网中的外部虚拟路由器(Extranet VR)接入企业外部虚拟专网(Extranet VPN)；该外部虚拟路由器(Extranet VR)由地址转换和接入控制组件(NAT&ACL)、路由发布组件以及虚拟路由器(VR)三部分组成；其中地址转换和接入控制组件(NAT&ACL)用于Extranet地址与Intranet地址的相互转换及设置Extranet的访问控制和安全控制；路由发布组件用于：获取VR路由表中的Extranet路由，把路由表中的Extranet地址转换为Intranet地址后向Intranet发布；把该企业的Extranet站点的Intranet地址转换为Extranet地址后导入VR的Exranet路由表中；虚拟路由器(VR)用于：管理和维护Extranet VPN各站点的虚拟路由器之间的IP隧道；在Extranet VPN地址空间内发布路由信息，转发IP报文给Extranet的下一跳；创建一个模拟物理接口功能并配置Extranet地址的虚接口，VR通过该虚接口接收或发送IP报文。

2、根据权利要求1所述的企业外部虚拟专网***，其特征在于：所述的路由发布组件向Intranet发布路由时，可以任意选择各种路由协议。

3、根据权利要求1所述的企业外部虚拟专网***，其特征在于：所述的地址转换(NAT)组件是由配置管理接口模块、数据表维护模块和操作虚拟路由器的转发表(FIB)接口模块组成；所述的接入控制(ACL)组件则由配置管理接口模块、数据表维护模块与操作虚拟路由器的转发表(FIB)接口模块和路由发布模块的接口组成。

4、根据权利要求1所述的企业外部虚拟专网***，其特征在于：所述的路由发布组件是由配置管理模块和路由器的路由表(RIB)接口组成。

5、根据权利要求1所述的企业外部虚拟专网***，其特征在于：所述的虚拟路由器(VR)是由路由表(RIB)、转发表(FIB)和转发引擎组成。

6、根据权利要求1所述的企业外部虚拟专网***，其特征在于：所述的路由信息中的IP地址使用Extranet VPN的私网地址，且各个外部虚拟路由器之间可以使用任意的路由协议发布路由信息。

7、根据权利要求1所述的企业外部虚拟专网***，其特征在于：所述的虚接口配置的Extranet地址，在VR的路由表中是到达Extranet VR连接的企业的Extranet站点的下一跳；到达该虚接口的Extranet报文被送往地址转换和接入控制组件处理后，发送给Intranet；Intranet发往Extranet的报文经地址转换和接入控制组件处理后，经由该虚接***给VR在Extranet空间进行IP转发。

8、根据权利要求1所述的企业外部虚拟专网***，其特征在于：一个企业内部网(Intranet)里可以设置多个外部虚拟路由器(Extranet VR)，且其中的每个外部虚拟路由器(Extranet VR)分别从属于不同的外部虚拟专网(ExtranetVPN)，使该企业能够参与多个不同的企业外部虚拟专网(Extranet VPN)的组建。

9、一种使用虚拟路由器(Virtual Route)构建企业外部虚拟专网(ExtranetVPN)***的方法，其特征在于：每个企业内部网(Intranet)的站点加入Extranet过程包括下列步骤：

(1)参与建立Extranet VPN的各企业确定Extranet VPN地址的分配规则，每个企业分别占用一段彼此独立的Extranet地址空间，各企业的Extranet地址段不能重复；

(2)每个企业向因特网服务提供商ISP申请一个外部虚拟路由器(ExtranetVR)，并把其需要加入Extranet的各个站点通过运行路由协议的路由器连接到该外部虚拟路由器(Extranet VR)上；

(3)每个企业分别确定Intranet地址与Extranet地址的转换关系，且Intranet地址与Extranet地址逐一对应，以便能够将各个Intranet地址转换为该企业占用的Extranet地址空间内唯一的一个地址；

(4)设置接入控制规则，以限制只有授权的内部站点才能访问Extranet，而其他企业的Extranet站点只能访问该企业允许其访问的Intranet站点。

10、根据权利要求9所述的构建企业外部虚拟专网***的方法，其特征在于：所述的步骤(2)中的外部虚拟路由器(Extranet VR)在向Intranet转发报文时，缺省路径或直接地把所有数据报文发送到与之相连的Intranet内部的路由器去。

11、根据权利要求9所述的构建企业外部虚拟专网***的方法，其特征在于：所述的步骤(3)中的每个企业的Intranet地址与Extranet地址的转换是由两次映射完成的：

(31)将各企业Intranet站点按照一定的映射关系唯一地映射到统一的Extranet地址空间，并把Intranet站点在Extranet中映射的虚拟站点的路由信息导入Extranet路由表；

(32)将Extranet上各企业Intranet站点占有的地址空间利用另一系列映射关系映射到其它企业Intranet内的地址空间。

12、根据权利要求9所述的构建企业外部虚拟专网***的方法，其特征在于：所述的步骤(4)中的接入控制规则中可设置接入控制策略，对接入的IP报文内容进行过滤，禁止某些存在安全隐患的报文通过。

13、根据权利要求9所述的构建企业外部虚拟专网***的方法，其特征在于：该方法进行IP报文转发处理的步骤是：

(A)在外部虚拟路由器(Extranet VR)之间建立IP隧道，搭建不同企业站点之间的数据通道；

(B)传递Extranet站点的可达信息；

(C)转发Extranet站点的数据报文。

14、根据权利要求13所述的构建企业外部虚拟专网***的方法，其特征在于：其中步骤(B)进一步包含下述步骤：

(B1)先在Extranet空间传递可达信息：新加入Extranet的企业站点在Extranet地址空间获取一个Extranet地址后，与该站点连接的该外部虚拟路由器(ExtranetVR)把该地址的可达路由信息通知给同一Extranet VPN的其他外部虚拟路由器(Extranet VR)，使得在Extranet上所有的外部虚拟路由器(Extranet VR)都知道要到达该新加入的站点需要把报文先发给与之连接的该外部虚拟路由器(Extranet VR)；

(B2)再在各个企业Intranet空间传递可达信息：各企业的外部虚拟路由器(Extranet VR)把新获取的Extranet站点可达路由信息由Extranet转换到本企业的Intranet空间。

15、根据权利要求13所述的构建企业外部虚拟专网***的方法，其特征在于：其中步骤(C)进一步包含下述步骤：

(C1)先在本企业的Intranet空间转发报文：本企业站点使用另一企业站点在本企业Intranet地址空间内映射的Intranet地址作为目的IP地址发送报文，本企业Intranet路由器把报文转发给本企业的Extranet VR。

(C2)在Extranet空间转发报文：本企业的Extranet VR收到报文后，使用控制规则对报文进行检查；若检查不通过，则丢失报文；若检查通过，则把该IP报文中Intranet地址转换为Extranet地址，利用Extranet路由信息通过IP隧道把报文转发给另一企业的Extranet VR；

(C3)在另一企业的Intranet空间转发报文：另一企业的Extranet VR收到报文后，使用控制规则对报文进行检查；若检查不通过，则丢失报文；若检查通过，则把该IP报文中Extranet地址转换为该另一企业的Intranet地址，然后转发给该另一企业的Intranet路由器；该另一企业Intranet路由器利用Intranet路由信息把报文送给本企业中的目的站点。

Images