CN1617541A - 一种虚拟专用拨号网络的实现方法 - Google Patents
一种虚拟专用拨号网络的实现方法 Download PDFInfo
- Publication number
- CN1617541A CN1617541A CN 200410066908 CN200410066908A CN1617541A CN 1617541 A CN1617541 A CN 1617541A CN 200410066908 CN200410066908 CN 200410066908 CN 200410066908 A CN200410066908 A CN 200410066908A CN 1617541 A CN1617541 A CN 1617541A
- Authority
- CN
- China
- Prior art keywords
- transponder
- vpdn
- authentication
- user
- network server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟专用拨号网络的实现方法。该方法通过在现有电信虚拟专用拨号网络中增设至少一个认证授权计费转发器和至少一个业务网站,由认证授权计费转发器处理来自二层隧道协议访问集中器和二层隧道协议网络服务器的认证授权计费请求并转发至认证授权计费***,由业务网站接受用户访问,可实现一种更为实用的虚拟拨号网络技术方案,便于管理、便于使用、可扩展性好,更能促进电信业务的推广。
Description
技术领域
本发明属于数据通讯技术领域,尤其涉及到一种虚拟专用拨号网络的实现方法。
背景技术
虚拟专用拨号网络(VPDN),是基于拨号用户的虚拟专用拨号网业务。利用IP(网际协议)网络的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟专用网络。远程用户采用PSTN(公共交换电话网)、ISDN(综合业务数字网)、DSL(数字订户线路)、电缆或无线的方式,以拨号方式接入互联网,利用公共网络资源建立虚拟链路,访问企业网内部数据资源。虚拟专用拨号网络业务不仅为企业员工、企业用户、企业合作伙伴提供远程信息共享,而且也为企业员工在家或出差办公、ICP/ISP专项服务、远程报关、远程报税等提供解决方案。目前,中国电信已在全国进行了虚拟专用拨号网络的建设,虚拟专用拨号网络业务已扩展到全国所有的城市。
虚拟专用拨号网络的核心是在网际协议上建立隧道。隧道由第二层隧道协议建立,主要类型有L2F(二层转发协议)、PPTP(点对点隧道协议)、L2TP(二层隧道协议)三种,隧道协议由传输的载体、不同的封装格式及传输的数据包组成,目前虚拟专用拨号网络业务主要采用L2TP协议作为隧道协议。L2TP(二层隧道协议)是目前广泛使用的一种虚拟专用拨号网络标准。在L2TP协议中,虚拟专用拨号网络用户是通过“二层隧道协议访问集中器”LAC(L2TP AccessConcentrator)与“二层隧道协议网络服务器”LNS(L2TP Network Server)建立L2TP隧道,将用户接入私有网络。
现有的电信虚拟专用拨号网络组网方案如图1所示。一般要求改造Radius(Remote Authentication Dial In User Service,远程验证用户拨号服务)***,然后部署二层隧道协议访问集中器和二层隧道协议网络服务器,用户访问二层隧道协议访问集中器时通过显示地指定域名使二层隧道协议访问集中器与二层隧道协议网络服务器建立隧道,并通过二层隧道协议网络服务器上网。上述方案在实际应用中存在如下几个主要问题,严重地影响了方案的实用性:
a、现有虚拟专用拨号网络组网方案为用户登记域名时非常受限,现有***的当前版本不能很好地支持这种设置;另外,用户也经常不知道如何修改域名,或者感觉比较难以使用,从而影响电信业务的正常推广。
b、现有***,包括认证授权计费***、BRAS(宽带接入服务器)现行版本也不能很好地支持或难以解决端口绑定、速率限制、规避单点故障风险等技术要求。
c、现有的***可扩展性差,如在由于业务需要而调整二层隧道协议网络服务器时,割接麻烦,影响面广,不能自动完成,甚至会影响到用户的正常使用。
发明内容
本发明的目的在于提供一种可操作性、可管理性、可扩展性及可靠性都更好的虚拟专用拨号网络的实现方法。
本发明的目的是这样实现的,一种虚拟专用拨号网络的实现方法,该方法的实现步骤如下:
一、在现有电信VPDN(虚拟专用拨号网络,下同)中增设Radius转发器(即认证授权计费转发器),处理来自LAC(二层隧道协议访问集中器,下同)和LNS(二层隧道协议网络服务器,下同)的Radius请求(即认证授权计费请求)并转发至Radius***(即认证授权计费***);
二、Radius转发器确定建立拨号连接的用户类型属于L2TP(二层隧道协议,下同)拨号用户;
三、LAC与Radius转发器指定的LNS为该用户建立L2TP隧道和会话;
四、在现有电信VPDN中增设至少一个业务网站,接受用户访问;
五、用户通过业务网站选择业务类型;
六、业务网站通过Radius转发器确认用户身份,并通知转发器变更用户可使用的业务类型。
所述步骤一中,在现有电信VPDN中增设多个Radius转发器时,以实现容错或负载均衡。
步骤一中所述的Radius转发器通过重写机制支持多种端口绑定、速率限制。
步骤一中所述的Radius转发器支持用户通过显示指定域名访问特定的业务。
步骤二和步骤三中所述的隧道协议支持L2F(二层转发协议,下同)协议和其他隧道协议。
所述的步骤三中,当LNS有多个时,Radius转发器从LAC的该业务类型的可用LNS列表中,基于一种负载均衡算法选择一个LNS。
步骤四中所述的业务网站内设有LAC、业务类型、域名和LNS的配置信息,管理员可以管理这些信息。
步骤四中所述的业务网站为每种业务类型或域名指定一个或多个LNS,支持多业务接入。
步骤四中所述的业务网站定时监控LNS是否正常工作,发现某个LNS停止工作时,则发送请求给Radius转发器,Radius转发器将该LNS从可用LNS列表中移去,返回回应给业务网站,并通知其他Radius转发器。
所述的步骤六中,当Radius转发器为多个时,该转发器将业务变更情况通知其它转发器。
本发明虚拟专用拨号网络的实现方法通过在现有电信虚拟专用拨号网络中增设认证授权计费转发器和业务网站两种功能设备,创造了一种更为实用的虚拟专用拨号网络技术方案,使其与现有技术相比,具有以下明显的优点和积极效果:
1、便于使用,促进业务推广
本发明方法引入了业务网站和转发器,便于用户选择业务类型,便于管理维护,能更好地促进业务的推广。
2、技术成熟,可操作性好
本发明方法技术成熟,可实际部署和操作。它兼容现网宽带接入服务器的各类现行版本,兼容现网认证授权计费***,支持按用户实现端口绑定,支持按用户实现速率限制。现网用户可直接接入,不需要调整客户端。
3、具有良好的可扩展性,支持快速割接
本发明方案具有良好的可扩展性,可随业务的发展不断增加二层隧道协议网络服务器,并可根据流量情况调整和优化二层隧道协议网络服务器的部署位置。同时它也支持快速割接,当需要快速割接时,如移去或加入某个二层隧道协议网络服务器时,只需要通过业务网站更改转发器的配置文件;整个割接过程可迅速地自动完成,用户感觉不到割接的过程。
4、具有良好的可调试性
本发明方法具有良好的可调试性,如:转发器上可保留二层隧道协议访问集中器和二层隧道协议网络服务器发送的认证授权计费报文的日志,管理员可通过查询日志诊断用户的连接问题;转发器上可设置部分调试账号,并指示二层隧道协议网络服务器按照点对点隧道协议方式实现接入,以便网管能方便地通过便携笔记本远程诊断问题,及满足与网际协议地址绑定有关的业务远程调试增值业务的需要。
5、能承载多业务
本发明方案能承载多种业务,能支持这些业务不断加入、调试和投入实际运营。管理员可通过业务网站为每种业务类型或域名指定一个或多个二层隧道协议网络服务器,从而支持多业务接入。
附图说明
图1为现有电信虚拟专用拨号网络的典型组网图;
图2为本发明虚拟专用拨号网络的实现方法的虚拟专用拨号网络的典型组网图;
图3为本发明虚拟专用拨号网络的实现方法的实现流程图。
具体实施方式
本发明虚拟专用拨号网络的实现方法的典型组网形式如图2所示。本发明基于二层隧道协议来组网,以现网宽带接入服务器作为二层隧道协议访问集中器和二层隧道协议网络服务器,增设至少一个认证授权计费转发器处理来自二层隧道协议访问集中器和二层隧道协议网络服务器的认证授权计费请求并转发至认证授权计费***,另设立至少一个业务网站来接受用户访问。
本发明中的Radius转发器、业务网站都可以配备多组,相应地LNS也可以配套成多个,这样便可以实现负载均衡和容错的功能。
根据各地电信实现端口绑定的方法不同,转发器可支持灵活的字段重写机制以便支持各地电信的不同要求。
根据各地电信实现速率限制的方法不同,转发器可支持灵活的字段重写机制以便支持各地电信的不同要求。
转发器可支持用户通过显示指定域名访问特定的业务,从而兼容现有方案。
本发明方法建立隧道的协议既可以支持L2TP,也可以支持L2F或其他隧道协议。
如果LNS有多个,则转发器从该LAC的该业务类型的可用LNS列表中,基于一种负载均衡算法选择一个LNS。
管理员可通过WEB在业务网站设置LAC、业务类型、域名和LNS等信息。
管理员可通过业务网站为每种业务类型或域名指定一个或多个LNS,从而支持多业务接入。
业务网站可定时监控LNS是否正常工作,若发现某个LNS停止工作时,则发送请求给转发器,转发器可将该LNS从可用LNS列表中移去,返回回应给业务网站,并通知其他转发器。
如果转发器有多个,则该转发器可将业务变更情况通知其它转发器。
本发明虚拟专用拨号网络的实现方法的实现流程如图3所示,按照本发明虚拟专用拨号网络的实现方法,普通拨号的运行过程如下:
1、用户向LAC发起拨号连接,LAC发送Access-Request给转发器;
2、转发器检查用户类型及用户是否显式地给出了域名,发现用户属普通拨号用户;
3、转发器转发Access-Request至Radius***;
4、Radius***返回Access-Accept或Access-Reject给转发器;
5、转发器转发Access-Accept或Access-Reject给LAC;
6、LAC从本地的IP Pool中分配IP地址给用户;
7、LAC发送Accounting-Request给转发器;
8、转发器记录Accounting-Request中含有的IP-拨号用户名对应关系,然后将Accounting-Request转发至Radius***,并将IP-拨号用户名对应关系通知其他转发器;
9、Radius***返回Accounting-Response给转发器;
10、转发器转发Accounting-Response给LAC;
11、LAC接受用户上网;
12、用户请求断开连接时,BRAS发送Accounting-Request给转发器;
13、转发器转发Accounting-Request给Radius***;
14、Radius***返回Accounting-Response给转发器;
15转发器转发Accounting-Response给LAC;
16、LAC断开用户。
按照本发明虚拟专用拨号网络的实现方法,L2TP拨号的运行过程如下:
1、用户向LAC发起拨号连接,LAC发送Accounting-Request给转发器;
2、转发器检查用户类型及用户是否显式地给出了域名,发现用户属L2TP拨号用户;
3、转发器从该BRAS/LAC的该业务类型的可用LNS列表中,基于一种负载均衡算法选择一个LNS,并迅速返回Access-Accept给LAC,并在Access-Accept中指定建立L2TP所需要的Radius信息;
4、LAC送Accounting-Request给转发器;
5、转发器迅速返回Accounting-Response给LAC;
6、LAC与Access-Accept中指定的LNS建立L2TP隧道和L2TP会话;
7、LNS发送Access-Request给转发器;
8、转发器对Access-Request进行修改,使请求符合Radius***的要求,如端口绑定参数等,然后转发给Radius***;
9、Radius返回Access-Accept或Accept-Reject给转发器;
10、转发器对返回的结果进行修改,使结果符合LNS的要求,如速率限制参数等,然后转发给LNS;
11、LNS从本地IP Pool中给用户分配IP地址;
12、LNS发送Access-Request给转发器;
13、转发器记录Access-Request中含有的IP-拨号用户名对应关系,对Access-Request进行修改,使请求符合Radius***的要求,然后将Access-Request转发给Radius,并将IP-拨号用户名对应关系通知其他转发器;
14、Radius***返回Accounting-Response给转发器;
15、转发器转发Accounting-Response给LNS;
16、LNS接受用户上网;
17、用户请求断开访问时,LNS发送Accounting-Request给转发器;
18、转发器对Accounting-Request进行修改,使请求符合Radius***的要求,然后将Accounting-Request转发给Radius;
19、Radius返回Accounting-Response给转发器;
20、转发器转发Accounting-Response给LNS;
21、LNS断开用户,断开L2TP Session,若不存在其他Session则断开L2TPTunnel;
22、LAC发送Accounting-Request给转发器;
23、转发器迅速返回Accounting-Response给LAC;
24、LAC断开用户、L2TP Session及L2TP Tunnel;
根据各地电信对端口绑定实现技术的不同,转发器可采用仅LAC用户认证/计费、仅LNS用户认证/计费、LAC和LNS同时做用户认证/计费这三种方案,上述过程描述的是仅LNS用户认证/计费的方案。
按照本发明虚拟专用拨号网络的实现方法,用户选择业务的过程如下:
1、用户在拨号上网之后,向业务网站发出WEB请求,选择一种业务类型;
2、业务网站发送Access-Request给转发器,要求转发器根据用户IP地址确认用户身份,并通知转发器变更业务类型;
3、转发器确认用户身份,并记录业务变更情况,发送Access-Accept或Access-Reject给业务网站,然后通知其他转发器;
4、业务网站通过WEB回应向用户确认变更情况,并通知用户断线。
Claims (10)
1、一种虚拟专用拨号网络的实现方法,其特征在于:该方法的实现步骤如下:
一、在现有电信虚拟专用拨号网络中增设认证授权计费转发器,处理来自二层隧道协议访问集中器和二层隧道协议网络服务器的认证授权计费请求并转发至认证授权计费***;
二、认证授权计费转发器确定建立拨号连接的用户类型属于二层隧道协议拨号用户;
三、二层隧道协议访问集中器与认证授权计费转发器指定的二层隧道协议网络服务器为该用户建立二层隧道协议隧道和会话;
四、在现有电信虚拟专用拨号网络中增设至少一个业务网站,接受用户访问;
五、用户通过业务网站选择业务类型;
六、业务网站通过认证授权计费转发器确认用户身份,并通知转发器变更用户可使用的业务类型。
2、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:所述步骤一中,在现有电信虚拟专用拨号网络中增设多个认证授权计费转发器时,可实现容错或负载均衡。
3、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:步骤一中所述的认证授权计费转发器通过重写机制支持多种端口绑定、速率限制。
4、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:步骤一中所述的认证授权计费转发器支持用户通过显示指定域名访问特定的业务。
5、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:步骤二和步骤三中所述的隧道协议支持二层转发协议和其他隧道协议。
6、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:所述的步骤三中,当二层隧道协议网络服务器有多个时,认证授权计费转发器从二层隧道协议访问集中器的该业务类型的可用二层隧道协议网络服务器列表中,基于一种负载均衡算法选择一个二层隧道协议网络服务器。
7、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:步骤四中所述的业务网站内设有二层隧道协议访问集中器、业务类型、域名和二层隧道协议网络服务器的配置信息,管理员可以管理这些信息。
8、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:步骤四中所述的业务网站为每种业务类型或域名指定一个或多个二层隧道协议网络服务器,支持多业务接入。
9、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:步骤四中所述的业务网站定时监控二层隧道协议网络服务器是否正常工作,发现某个二层隧道协议网络服务器停止工作时,则发送请求给认证授权计费转发器,认证授权计费转发器将该二层隧道协议网络服务器从可用二层隧道协议网络服务器列表中移去,返回回应给业务网站,并通知其他认证授权计费转发器。
10、根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于:所述的步骤六中,当认证授权计费转发器为多个时,该转发器将业务变更情况通知其它转发器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410066908 CN1617541A (zh) | 2004-09-30 | 2004-09-30 | 一种虚拟专用拨号网络的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410066908 CN1617541A (zh) | 2004-09-30 | 2004-09-30 | 一种虚拟专用拨号网络的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1617541A true CN1617541A (zh) | 2005-05-18 |
Family
ID=34764963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410066908 Pending CN1617541A (zh) | 2004-09-30 | 2004-09-30 | 一种虚拟专用拨号网络的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1617541A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100420220C (zh) * | 2006-01-09 | 2008-09-17 | 华为技术有限公司 | 二层隧道协议网络服务器及其隧道建立方法 |
| CN100433625C (zh) * | 2006-07-12 | 2008-11-12 | 华为技术有限公司 | 多业务选择网络及其支持的业务的实现方法 |
| CN100583799C (zh) * | 2007-11-16 | 2010-01-20 | 中国电信集团公司 | 一种CDMA 1x LNS负载均衡的实现方法及*** |
| CN101442418B (zh) * | 2008-12-16 | 2011-04-20 | 中兴通讯股份有限公司 | 第二层隧道协议用户按点对点协议方式计费的方法 |
| CN107634884A (zh) * | 2017-08-28 | 2018-01-26 | 深信服科技股份有限公司 | 基于虚拟专用拨号网的云化上网行为管理***及方法 |
| CN107896187A (zh) * | 2017-11-07 | 2018-04-10 | 北京首信科技股份有限公司 | 一种vpdn网络中下发lns设备的方法和装置 |
| WO2018103665A1 (zh) * | 2016-12-08 | 2018-06-14 | 华为技术有限公司 | 基于l2tp的设备管理方法、设备及*** |
| CN109600292A (zh) * | 2018-12-24 | 2019-04-09 | 安徽皖通邮电股份有限公司 | 一种lac路由器自拨号发起l2tp隧道连接的方法及*** |
-
2004
- 2004-09-30 CN CN 200410066908 patent/CN1617541A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100420220C (zh) * | 2006-01-09 | 2008-09-17 | 华为技术有限公司 | 二层隧道协议网络服务器及其隧道建立方法 |
| CN100433625C (zh) * | 2006-07-12 | 2008-11-12 | 华为技术有限公司 | 多业务选择网络及其支持的业务的实现方法 |
| CN100583799C (zh) * | 2007-11-16 | 2010-01-20 | 中国电信集团公司 | 一种CDMA 1x LNS负载均衡的实现方法及*** |
| CN101442418B (zh) * | 2008-12-16 | 2011-04-20 | 中兴通讯股份有限公司 | 第二层隧道协议用户按点对点协议方式计费的方法 |
| WO2018103665A1 (zh) * | 2016-12-08 | 2018-06-14 | 华为技术有限公司 | 基于l2tp的设备管理方法、设备及*** |
| CN108183849A (zh) * | 2016-12-08 | 2018-06-19 | 华为技术有限公司 | 基于l2tp的设备管理方法、设备及*** |
| CN108183849B (zh) * | 2016-12-08 | 2021-01-08 | 上海朋熙半导体有限公司 | 基于l2tp的设备管理方法、设备及*** |
| CN107634884A (zh) * | 2017-08-28 | 2018-01-26 | 深信服科技股份有限公司 | 基于虚拟专用拨号网的云化上网行为管理***及方法 |
| CN107634884B (zh) * | 2017-08-28 | 2020-12-04 | 深信服科技股份有限公司 | 基于虚拟专用拨号网的云化上网行为管理***及方法 |
| CN107896187A (zh) * | 2017-11-07 | 2018-04-10 | 北京首信科技股份有限公司 | 一种vpdn网络中下发lns设备的方法和装置 |
| CN109600292A (zh) * | 2018-12-24 | 2019-04-09 | 安徽皖通邮电股份有限公司 | 一种lac路由器自拨号发起l2tp隧道连接的方法及*** |
| CN109600292B (zh) * | 2018-12-24 | 2021-09-28 | 安徽皖通邮电股份有限公司 | 一种lac路由器自拨号发起l2tp隧道连接的方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1232088C (zh) | 在因特网中支持移动性的方法及适用于此的装置 | |
| CN1213567C (zh) | 一种网络设备的集群管理方法 | |
| EP2704372A1 (en) | Method for virtual private cloud to access network, network side device and data centre device | |
| CN1197297C (zh) | 一种信息交换平台 | |
| CN1855926A (zh) | 实现dhcp地址安全分配的方法及*** | |
| CN1241368C (zh) | 假想私设网 | |
| CN1823506A (zh) | 用于根据流量方向路由信息的方法和装置 | |
| KR100690762B1 (ko) | 다수의 번호를 이용한 이동 통신 단말기의 통화 방법 및시스템 | |
| CN101110847A (zh) | 一种获取介质访问控制地址的方法、***及装置 | |
| CN1874226A (zh) | 终端接入方法及*** | |
| CN101039310A (zh) | 链路共享服务装置以及通信方法 | |
| CN1809072A (zh) | 一种向后兼容的认证、授权、计费***网络结构和实现方法 | |
| CN1713629A (zh) | 用户登录名和ip地址绑定的实现方法 | |
| CN100346601C (zh) | 具有通信统计信息收集功能的接入服务器 | |
| CN1496641A (zh) | 把数据终端设备连接到数据网上的方法 | |
| CN1392708A (zh) | 一种宽带接入用户配置方法 | |
| CN1929482A (zh) | 一种网络业务认证方法及装置 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| CN1617541A (zh) | 一种虚拟专用拨号网络的实现方法 | |
| CN1863218A (zh) | Ppp接入终端实现自动业务发放的方法 | |
| CN101030882A (zh) | 一种访问客户网络管理平台的方法 | |
| CN1647486A (zh) | 数据过滤器管理装置 | |
| CN1176540C (zh) | 以太网接入设备中实现多种用户类型混合接入的方法 | |
| CN1947455A (zh) | 支持无线台站之后的网络 | |
| CN1777132A (zh) | 为漫游用户终端接入数据网络建立连接的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |