WO2010127610A1

WO2010127610A1 - 一种虚拟专用网节点信息的处理方法、设备及***

Info

Publication number: WO2010127610A1
Application number: PCT/CN2010/072424
Authority: WO
Inventors: 王雨晨
Original assignee: 成都市华为赛门铁克科技有限公司
Priority date: 2009-05-04
Filing date: 2010-05-04
Publication date: 2010-11-11
Also published as: US20120124660A1; US8769661B2

Description

本申请要求于 2009 年 5 月 4 日提交中国专利局，申请号为： 200910139354.3 , 发明名称为 "一种虚拟专用网节点信息的处理方法及相关设备、 ***"的中国专利申请的优先权。本申请还要求 2009年 5月 4日提交于中国专利局的，申请号为： 200910137660.3 , 发明名称为 "网络隧道建立方法、数据传输方法、通讯***及相关设备" 的中国专利申请的优先权，以及， 2009年 5月 4 日提交中国专利局，申请号为： 200910137658.6, 发明名称为 "一种建立网络隧道的方法，数据处理方法及相关设备" 的中国专利申请的优先权，其部分内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，特别涉及一种虚拟专用网节点信息的处理方法及相关设备、 ***。

背景技术

目前，不同的节点设备之间通过一个公用网络（通常是因特网）灵活而安全地动态组建虚拟专用网（VPN, Virtual Private Network ) 的技术应用日益广泛。 VPN网络可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输。

在现有的 VPN 网络中，每一个节点上预先配置其它所有节点的注册信息，比如，配置其它节点设备的当前真实互联网协议（IP， Internet Protocol ) , 虚拟 IP地址以及是否接受外部网络连接信息等。根据其它节点的注册信息，节点可以和其它节点建立相应的网络隧道。比如，当其它节点接受外部网络连接信息时，可以根据其它节点的真实 IP地址与其它节点建立直连通道模式下的网络隧道；当其它节点不接受外部网络连接信息时，可以根据其它节点的虚拟 IP地址与其它节点建立虚拟交换模式下的网络隧道。

发明人发现，在现有的 VPN网络中，当加入一个节点时，需要在加入的节点上配置其它原有节点的注册信息；同时，还需要调整其它原有节点的配置；当一个节点脱离网络时，也需要调整其它原有节点的配置，即在现有的 VPN网络中节点的加入或脱离，必然会导致其它节点相应调整自身配置，因此，现有的 VPN网络一般只适用于拓朴结构和网络配置较为固定的环境，灵活性较差。发明内容

本发明实施例提供了一种虚拟专用网节点信息的处理方法及相关设备、 ***，可以提高 VPN网络的灵活性。

为实现上述目的，本发明实施例提供如下技术方案：

本发明实施例提供了一种虚拟专用网节点信息的处理方法，包括：接收节点发送的接入请求消息，该接入请求消息至少携带所述节点的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

当所述节点的认证信息正确时，给所述节点分配虚拟互联网协议地址；将所述节点的当前真实互联网协议地址、节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

本发明实施例提供了一种虚拟专用网节点信息的处理设备，包括：第一接收单元，用于接收节点发送的接入请求消息，该接入请求消息至少携带所述节点的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

判断单元，用于判断所述节点的认证信息是否正确；

分配单元，用于当所述判断单元判断所述节点的认证信息正确时，给所述节点分配虚拟互联网协议地址；

登记单元，用于将所述节点的当前真实互联网协议地址、节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

本发明实施例提供了一种虚拟专用网节点设备，包括：

获取单元，用于获取自身的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

发送单元，用于将所述认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息放入接入请求消息后，发送给虚拟专用网节点信息的处理设备。

本发明实施例提供了一种虚拟专用网***，包括：

虚拟专用网节点设备和虚拟专用网节点信息的处理设备；

所述虚拟专用网节点设备，用于获取自身的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息，并将所述认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息放入接入请求消息之后，发送给所述虚拟专用网节点信息的处理设备；

所述虚拟专用网节点信息的处理设备，用于接收所述虚拟专用网节点设备发送的接入请求消息，该接入请求消息至少携带所述虚拟专用网节点设备的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；当判断所述认证信息正确时，给所述虚拟专用网节点设备分配虚拟互联网协议地址；并将所述虚拟专用网节点设备的当前真实互联网协议地址、节点名称、是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

本发明实施例提供的网络隧道建立方法，包括：第一虚拟专用网 VPN 节点根据本地预置的 VPN网关地址向对应的 VPN网关发起查询请求，所述查询请求中携带第二 VPN节点的节点标识；第一 VPN节点接收所述 VPN 网关反馈的所述第二 VPN节点的注册信息，所述第二 VPN节点的注册信息至少包括所述第二 VPN节点的地址信息；第一 VPN节点根据所述第二 VPN 节点的注册信息与所述第二 VPN节点建立直连网络隧道。

本发明实施例提供的网络隧道建立方法，包括：第二 VPN节点接收第一 VPN节点发送的隧道建立请求，所述隧道建立请求中包含第一 VPN节点的节点标识以及第一 VPN节点的地址信息；第二 VPN节点保存所述第一 VPN 节点的节点标识以及所述第一 VPN 节点的地址信息，执行相关隧道建立流程，向所述第一 VPN节点反馈隧道建立响应。

本发明实施例提供的数据传输方法，包括： VPN网关接收第一 VPN节点发送的查询请求，所述查询请求中携带第二 VPN 节点的节点标识； VPN 网关根据所述第二 VPN节点的节点标识在本地查询所述第二 VPN节点的注册信息 ,所述第二 VPN节点的注册信息至少包括第二 VPN节点的地址信息； VPN网关向所述第一 VPN节点反馈所述第二 VPN节点的注册信息，以便于所述第一 VPN节点根据所述第二 VPN节点的注册信息与所述第二 VPN节点建立直连网络隧道。

本发明实施例提供的虚拟专用网络服务器，包括：接收单元，用于接收第一节点发送的消息，所述消息用于查询第二节点的注册信息；发送单元，用于将预先存储的第二节点的注册信息发送至所述第一节点，以使所述第一节点与所述第二节点建立相应的网络隧道，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息。

本发明实施例提供的虚拟专用网络***，包括：虚拟专用网络节点和虚拟专用网络服务器；所述虚拟专用网络节点，用于向所述虚拟专用网络服务器查询第二节点的注册信息，以确定所述第二节点是否接受外部连接，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息；根据查询到的所述注册信息，与所述第二节点建立相应的网络隧道；所述虚拟专用网络服务器，用于接收所述虚拟专用网络节点发送的消息，所述消息用于查询第二节点的注册信息；将预先存储的第二节点的注册信息发送至所述虚拟专用网络节点，以使所述虚拟专用网络节点与所述第二节点建立相应的网络隧道，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息。

从以上技术方案可以看出，本发明实施例具有以下优点：

与现有的技术相比，本发明实施例采用了虚拟专用网节点信息的处理设备对 VPN节点的注册信息进行集中登记，避免了在每一个 VPN节点上配置其它 VPN节点的注册信息，当加入一个 VPN节点时，只需在虚拟专用网节点信息的处理设备上对加入的 VPN节点的注册信息进行登记即可，无需调整其它 VPN节点的配置，从而使得 VPN可以支持动态变化的网络结构，提高了 VPN网络的灵活性；；

本发明实施例中，当第一 VPN节点期望与第二 VPN节点进行通信时，会从 VPN网关获取到有关第二 VPN节点的注册信息，而该注册信息中包含第二 VPN节点的地址信息，因此第一 VPN节点能够根据该第二 VPN节点的地址信息与第二 VPN节点建立直连网络隧道，第一 VPN节点和第二 VPN 节点即可通过该直连网络隧道进行数据传输，而无需通过 VPN 网关转发数据，所以减少了 VPN网关的数据处理压力，均衡了 VPN内各网元的负荷，从而提高 VPN内数据传输的性能；

本发明实施例使得 VPN 网络中的第一节点可以了解第二节点的注册信息，该注册信息中包含第二节点是否接受外部连接的信息，从而第一节点可以根据该第二节点的注册信息和第二节点建立相应的网络隧道，避免了当第二节点不接受外部连接时，仍然进行直连网络隧道建立的尝试，从而可以减少网络资源的浪费，并提高建立网络隧道的效率。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1 为本发明实施例中提供的一种虚拟专用网节点信息的处理方法的流程图；

图 2 为本发明实施例中提供的一种查询节点注册信息的方法的流程图；图 3 为本发明实施例中提供的一种虚拟专用网节点通信方法的流程图；图 4 为本发明实施例中提供的一种虚拟专用网节点信息的处理方法的流程图；

图 5 为本发明实施例中提供的一种虚拟专用网节点信息的处理设备的结构图；

图 6 为本发明实施例中提供的一种虚拟专用网节点信息的处理设备的结构图；

图 7 为本发明实施例中提供的一种虚拟专用网节点信息的处理设备的结构图；

图 8 为本发明实施例中提供的一种虚拟专用网节点设备的结构图；图 9 为本发明实施例中提供的一种虚拟专用网***的结构图；

图 10 为本发明实施例中提供的一种虚拟专用网的示意图；图 11 为本发明实施例中提供的一种查询节点注册信息的方法流程图；图 12 为本发明实施例中提供的一种虚拟专用网节点通信方法的流程图；图 13 为本发明实施例中提供的一种虚拟专用网节点通信方法的流程图；图 14为本发明实施例中提供的网络隧道建立方法一个实施例的流程图；图 15为本发明实施例中提供的网络隧道建立方法另一实施例的流程图；图 16为本发明实施例中提供的网络隧道建立方法再一实施例的流程图；图 17为本发明实施例中提供的数据传输方法一个实施例的流程图；图 18为本发明实施例中提供的一种虚拟专用网络服务器的结构图；图 19为本发明实施例中提供的一种虚拟专用网络***的结构图；图 20为本发明实施例中提供的一种 VPN网络示意图；下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

请参阅图 1 ,图 1为本发明实施例一提供的一种虚拟专用网节点信息的处理方法的流程图。如图 1所示，该方法可以包括：

101：接收节点发送的接入请求消息，该接入请求消息至少携带节点的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

其中，本实施例及后续实施例中所说的节点包括但不限于移动手机，掌上电脑，个人电脑，服务器以及网关等等。

优选地，本实施例及后续实施例中所说的节点认证信息包括但不限于节点的账号和口令；其中，节点的认证信息是由服务提供商预先根据节点期望接入的 VPN网络的需要（如，节点数量以及 VPN网络拓朴结构等）而提供的。

举例来说，节点的当前真实互联网协议地址可以是节点在因特网中的互联网协议（IP, Internet Protocol )地址，例如，互联网协议第四版 IPv4地址，或互联网协议第六版 IPv6地址，或者是节点在因特网中的 IP地址与传输控制协议 ( TCP, Transmission Control Protocol ) /用户数据报协议（ UDP， User Datagram Protocol )端口组合后的地址，或者是节点在因特网中的以统一资源定位符（ URL， Uniform Resource Locator )表示的其他服务地址，具体地址类型此处不做限定。

当然，接入请求消息除了携带节点的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息之外，还可以携带节点的其它相关信息。

102：当所述节点的认证信息正确时，给节点分配虚拟互联网协议地址；如果上述 101中接收到的节点的认证信息为节点的账号和口令，那么在 102 中可以判断节点的账号和口令是否都正确，如果节点的账号和口令都正确，则为该节点分配虚拟互联网协议地址，并将分配的虚拟 IP地址发送给该节点；

反之，如果节点的账号和口令不完全正确，则不再为节点分配虚拟 IP地址，此时，可以给节点发送错误信息，并关闭网络连接。

103：将节点的当前真实互联网协议地址，节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

其中，将当前真实互联网协议地址、节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记，可以实现对节点的注册信息的集中管理，这样，每一个节点上无需再配置其它节点的注册信息，方便后续节点查询其它节点以及本节点的注册信息。

举例来说、在上述步骤 103将节点的当前真实互联网协议地址，节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记之后，本发明实施例提供的虚拟专用网节点信息的处理方法还可以允许节点进行注册信息的查询。请一并参阅图 2, 图 2为本发明实施例一提供的一种查询节点注册信息的方法的流程图，如图 2所示，该方法可以包括如下步骤：

201 :接收第一节点发送的查询消息，该查询消息中携带第二节点的节点名称和 /或第二节点的虚拟互联网协议地址； 202: 根据第二节点的节点名称和 /或第二节点的虚拟互联网协议地址查询第二节点的注册信息；

203: 向第一节点发送第二节点的注册信息，第二节点的注册信息至少携带第二节点的是否接受外部网络连接的信息。

本发明实施例提供的虚拟专用网节点信息的处理方法允许第一节点查询第二节点的注册信息，为了确切地获知第一节点需要查询的第二节点的注册信息,要求第一节点发送的查询消息中需要携带有用于识别第二节点的信息，由于每一个节点的名称以及当前真实互联网协议地址是不相同的，所以第一节点发送的查询消息中可以携带第二节点的名称和 /或第二节点的虚拟互联网协议地址。

当然，第一节点发送的查询消息中还可以携带其他用于识别第二节点的信息，本发明实施例在此不做限定。

举例来说、在上述步骤 103将节点的当前真实互联网协议地址，节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记之后，本发明实施例提供的虚拟专用网节点信息的处理方法还可以包括如下步骤：

接收第一节点发送的查询消息，该查询消息中携带第一节点的节点名称和 /或第一节点的虚拟互联网协议地址；

根据第一节点的节点名称和 /或第一节点的虚拟互联网协议地址查询第一节点的注册信息；

向第一节点发送第一节点的注册信息，第一节点的注册信息至少携带第一节点的是否接受外部网络连接的信息。

本发明实施例提供的虚拟专用网节点信息的处理方法允许第一节点查询第一节点的注册信息，同样，要求第一节点发送的查询消息中需要携带有用于识别第一节点的信息，比如第一节点的名称和 /或第一节点的虚拟互联网协议地址等等。

举例来说，在第一节点在查询到第二节点以及第一节点的注册信息后，如果发现第二节点不接受外部网络连接，且第一节点不接受外部网络连接，则本发明实施例提供的虚拟专用网节点信息的处理方法还可以利用与第一节点和第二节点之间的网络隧道，为第一节点和第二节点互相传递信息。请一并参阅图 3 , 图 3为本发明实施例一提供的一种虚拟专用网节点通信方法的流程图，如图 3所示，该方法可以包括如下步骤：

301 : 分别接收第一节点和第二节点发送的建立网络隧道请求；

302: 分别向第一节点和第二节点发送建立网络隧道响应，从而分别建立所述第一节点和第二节点之间的网络隧道；

303: 利用第一节点和第二节点之间的网络隧道，为第一节点和第二节点互相传递信息。

其中，第二节点在发送建立网络隧道请求之前，需要接收第一节点发送的提示消息，该提示消息是第一节点在发现第二节点不接受外部网络连接，且第一节点不接受外部网络连接的情况发送的，用于提示第二节点需要和第一节点建立虚拟通道模式下的间接网络连接。

其中，第一节点发送的建立网络隧道请求是以第一节点的虚拟互联网协议地址发送的，第二节点发送的建立网络隧道请求是以第二节点的虚拟互联网协议地址发送的。

举例来说，在第一节点查询到第二节点以及第一节点的注册信息后，如果发现第二节点接受外部网络连接，则第一节点可以主动向第二节点发送建立网络隧道请求；第一节点接收第二节点发送的响应后，建立与第二节点之间的直连通道模式下的直连网络隧道。

其中，第一节点与第二节点之间是以当前真实互联网协议地址进行消息的发送的。

举例来说，在第一节点查询到第二节点以及第一节点的注册信息后，如果发现第二节点不接受外部网络连接，而第一节点接受外部网络连接，则第一节点可以主动向第二节点发送用于提示第二节点向第一节点建立网络隧道的消息；第一节点接收第二节点发送的建立网络隧道请求，并向第二节点发送响应后，建立与第二节点之间的直连通道模式下的直连网络隧道。

本发明实施例可以对节点的注册信息进行集中登记 ,避免了在 VPN网络的每一个节点上配置其它节点的注册信息，当加入一个节点时，只需对加入的节点的注册信息进行登记即可，无需调整其它节点的配置，从而使得 VPN 网络可以支持动态变化的网络结构，提高了 VPN网络的灵活性。

实施例二：

请参阅图 4 , 图 4为本发明实施例二提供的一种虚拟专用网节点信息的处理方法的流程图。根据本发明实施例提供的方法，需要在因特网上预先部署一个虚拟专用网节点信息的处理设备。其中，该虚拟专用网节点信息的处理设备应该具有当前真实互联网协议地址，可以是该虚拟专用网节点信息的处理设备在因特网中的 IP地址，或者是在因特网中的 IP地址与 TCP/ UDP端口组合后的地址，或者在因特网中以 URL表示的其他服务地址。如图 2所示，该方法可以包括：

401 : 虚拟专用网节点信息的处理设备接收节点发送的接入请求信息。其中，节点发送的接入请求信息是根据已知的虚拟专用网节点信息的处理设备的当前真实互联网协议地址发送的。

节点发送的接入请求信息可以携带但不限于节点当前真实互联网协议地址，以及认证信息等等。

本实施例及后续实施例中所说的节点认证信息包括但不限于节点的账号和口令；其中，节点的认证信息是由服务提供商预先根据节点期望接入的 VPN 网络的需要（如，节点数量以及 VPN网络拓朴结构等）而提供的。

402: 虚拟专用网节点信息的处理设备接收到节点发送的接入请求信息后，判断节点认证信息是否正确，如果正确，则执行 403; 反之，则执行 406。

如果上述 402中虚拟专用网节点信息的处理设备判断节点的账号和口令是否都正确，则为节点分配虚拟互联网协议地址，并将分配的虚拟互联网协议地址发送给节点；

反之，如果节点的账号和口令不完全正确，则不再为节点分配虚拟互联网协议地址，此时，可以给节点发送错误信息，并关闭网络连接。

403: 为节点分配虚拟互联网协议地址，并发送给节点。当节点的认证信息正确后，虚拟专用网节点信息的处理设备可以给节点分配虚拟互联网协议地址，其中，每一个节点被分配的虚拟互联网协议地址是互不相同的。

另外，当虚拟专用网节点信息的处理设备可以和其他不同的 VPN网络之间建立路由与访问控制策略时，虚拟专用网节点信息的处理设备的功能和行为在 VPN网络内的节点看来如同一个虚拟的路由器或者防火墙。这样，虚拟专用网节点信息的处理设备在给节点分配虚拟互联网协议地址的时候，可以进一步给节点分配 VPN网络内虚拟网关的虚拟互联网协议地址等信息。

其中，节点在接收到虚拟专用网节点信息的处理设备发送的虚拟互联网协议地址之后，可以对节点内的虚拟网卡进行相应的配置，然后再向虚拟专用网节点信息的处理设备发送注册信息。

需要说明的是，节点发送注册信息是在节点和虚拟专用网节点信息的处理设备之间建立的安全通道内进行协议封装，并传输到虚拟专用网节点信息的处理设备。其中，节点和虚拟专用网节点信息的处理设备之间建立的安全成后建立的。

404: 接收节点发送的请求注册信息，该请求注册信息中携带有该节点的注册信息，包括当前真实互联网协议地址、虚拟互联网协议地址以及节点名称等等。

405: 登记该节点的注册信息。

406: 虚拟专用网节点信息的处理设备向节点返回错误信息并关闭此网络连接。

本实施例与上述实施例一的区别在于，在实施例一中，节点在发送接入请求消息，该接入请求消息至少携带节点的认证信息，当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；这样，当虚拟专用网节点信息的处理设备判断节点的认证信息正确之后，可以给节点分配虚拟互联网协议地址，并且直接将节点的当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息和虚拟互联网协议地址进行登记；而本实施例中，节点在接收到虚拟专用网节点信息的处理设备分配的虚拟互联网协议地址之后，再将节点的当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息和虚拟互联网协议地址等作为注册信息发送给的虚拟专用网节点信息的处理设备进行登记。

实施例三：

请参阅图 5 ,为本发明实施例三提供的一种虚拟专用网节点信息的处理设备的结构图；本发明实施例提供的虚拟专用网节点信息的处理设备部署在因特网中，具有真实的互联网协议地址。如图 5所示，该虚拟专用网节点信息的处理设备可以包括：

第一接收单元 501 , 用于接收节点发送的接入请求消息，该接入请求消息至少携带节点的认证信息，当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

举例来说，节点认证信息包括但不限于节点的账号和口令；其中，节点的认证信息是由服务提供商预先根据节点期望接入的 VPN网络的需要（如，节点数量以及 VPN网络拓朴结构等）而提供的。

判断单元 502, 用于判断节点的认证信息是否正确；

分配单元 503 , 用于在判断单元 302判断所述节点的认证信息正确时，给节点分配虚拟互联网协议地址；

登记单元 504, 用于将节点的当前真实互联网协议地址，节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

请一并参阅图 6, 图 6为本发明实施例三提供的另一种虚拟专用网节点信息的处理设备的结构图。图 6所示的虚拟专用网节点信息的处理设备是在图 3所示的虚拟专用网节点信息的处理设备的基础之上，进一步包括：

第二接收单元 505 , 用于在登记单元 504将节点的当前真实互联网协议地址、节点名称、是否接受外部网络连接信息以及虚拟互联网协议地址等信息作为注册信息进行登记之后，接收第一节点发送的查询消息，该查询消息中携带第二节点的节点名称和 /或第二节点的虚拟互联网协议地址；查询单元 506, 用于根据第二节点的节点名称和 /或第二节点的虚拟互联网协议地址查询第二节点的注册信息；

第一发送单元 507, 用于向第一节点发送所述第二节点的注册信息，所述第二节点的注册信息至少携带第二节点的是否接受外部网络连接的信息。

图 6所示的虚拟专用网节点信息的处理设备允许第一节点查询第二节点的注册信息，为了确切地获知第一节点需要查询的第二节点的注册信息，要求第一节点发送的查询消息中需要携带有用于识别第二节点的信息，由于每一个节点的名称以及当前真实互联网协议地址是不相同的，所以第一节点发送的查询消息中可以携带第二节点的名称和 /或第二节点的虚拟互联网协议地址。

其中，第二接收单元 505还用于在登记单元 504将节点的当前真实互联网协议地址，节点名称，是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记之后，接收第一节点发送的查询消息，该查询消息中携带第一节点的节点名称和 /或第一节点的虚拟互联网协议地址；

查询单元 506还用于根据第一节点的节点名称和 /或第一节点的虚拟互联网协议地址查询第一节点的注册信息；

第一发送单元 507还用于向第一节点发送第一节点的注册信息，所述第一节点的注册信息至少携带第一节点的是否接受外部网络连接的信息。

图 6所示的虚拟专用网节点信息的处理设备允许第一节点查询第一节点的注册信息，同样，要求第一节点发送的查询消息中需要携带有用于识别第一节点的信息，比如第一节点的名称和 /或第一节点的虚拟互联网协议地址等等。

请一并参阅图 7, 图 7为本发明实施例三提供的另一种虚拟专用网节点信息的处理设备的结构图。图 7所示的虚拟专用网节点信息的处理设备是在图 5所示的虚拟专用网节点信息的处理设备的基础之上，进一步包括：第三接收单元 508 , 用于在第一发送单元 507向第一节点发送第二节点的注册信息，以及向第一节点发送第一节点的注册信息之后，接收第一节点发送的建立网络隧道请求；

其中，第一节点发送的建立网络隧道请求是第一节点在接收到第一发送单元 507发送的第二节点以及第一节点的注册信息后，发现第二节点不接受外部网络连接，且第一节点不接受外部网络连接的情况下发送的。

第二发送单元 509, 用于向第一节点发送建立网络隧道响应，从而建立与第一节点之间的网络隧道；

第三接收单元 508还用于在第一发送单元 507向第一节点发送第二节点的注册信息，以及向第一节点发送所述第一节点的注册信息之后，接收第二节点发送的建立网络隧道请求；

第二发送单元 509还用于向第二节点发送建立网络隧道响应，从而建立与所述第二节点之间的网络隧道；

转发控制单元 510, 用于接收第一节点发送给第二节点的信息，并将所述信息转发给第二节点；以及接收第二节点发送给所述第一节点的信息，并将所述信息转发给第一节点。

本发明实施例提供的虚拟专用网节点信息的处理设备可以对节点的注册信息进行集中登记，避免了在 VPN网络的每一个节点上配置其它节点的注册信息，当加入一个节点时，只需对加入的节点的注册信息进行集中登记即可，无需调整其它节点的配置，从而使得 VPN 网络可以支持动态变化的网络结构，提高了 VPN网络的灵活性。

实施例四：请参阅图 8 , 图 8为本发明实施例四提供的一种虚拟专用网节点设备的结构图。本发明实施例提供的虚拟专用网节点设备包括但不限于移动手机，掌上电脑，个人电脑，服务器以及网关等等。如图 8所示，该虚拟专用网节点设备可以包括：

获取单元 801 , 用于获取自身的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

发送单元 802, 用于将自身的认证信息、当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息放入接入请求消息后，发送给虚拟专用网节点信息的处理设备。

本实施例中所述的虚拟专用网节点信息的处理设备与上述实施例三介绍的虚拟专用网节点信息的处理设备的结构和功能完成相同，本实施例在此不再复述。

优选地，本发明实施例的虚拟专用网节点设备还可以包括：

接收单元 803 , 用于接收虚拟专用网节点信息的处理设备发送的虚拟互联网协议地址。

本发明实施例提供的虚拟专用网节点设备可以主动将自身的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息发送给虚拟专用网节点信息的处理设备，向虚拟专用网节点信息的处理设备主动进行注册。通过虚拟专用网节点信息的处理设备的对节点设备的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息集中注册的方法，避免了在虚拟专用网节点设备上配置其它节点的注册信息，并且，当加入节点时，也无需节点设备自身额外配置，从而使得 VPN网络可以支持动态变化的网络结构，提高了 VPN网络的灵活性。

实施例五：

请参阅图 9, 图 9为本发明实施例五提供的一种虚拟专用网***的结构图。如图 9所示，该虚拟专用网***可以包括：

虚拟专用网节点设备 901和虚拟专用网节点信息的处理设备 902;其中，虚拟专用网节点设备 901 , 用于获取自身的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息，并将自身的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息放入接入请求消息之后，发送给虚拟专用网节点信息的处理设备 902;

虚拟专用网节点信息的处理设备 902,用于接收虚拟专用网节点设备 901 发送的接入请求消息，该接入请求消息至少携带虚拟专用网节点设备 901的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息；当判断虚拟专用网节点设备 901的认证信息正确时，给虚拟专用网节点设备 901分配虚拟互联网协议地址；并将虚拟专用网节点设备 901的当前真实互联网协议地址、节点名称、是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

本发明实施例提供的虚拟专用网***可以对节点的注册信息进行集中登记，避免了在 VPN网络的每一个节点上配置其它节点的注册信息，当加入一个节点时，只需对加入的节点的注册信息进行登记即可，无需调整其它节点络的灵活性。

实施例六：

请参阅图 10, 为本发明实施例六提供的一种虚拟专用网的示意图。如图 10所示，虚拟专用网包括了虚拟专用网节点信息的处理设备以及名称分别为 NID-1、 NID-2、 NID-3、 NID-4、 NID-5 , NID-6的 6个节点。其中，节点 NID-2 和 NID-4分别处在 NAT设备 1和 NAT设备 2内。

当虚拟专用网节点信息的处理设备接收到节点 NID-1、 NID-2 > NID-3、 NID-4 > NID-5 , NID-6分别发送的接入请求消息之后，如果判断节点 NID-1、 NID-2 > NID-3、 NID-4 > NID-5 , NID-6分别发送的接入请求消息携带的认证信息都正确的时，虚拟专用网节点信息的处理设备分别向节点 NID-1、 NID-2、 NID-3、 NID-4 > NID-5 , NID-6发送分配的虚拟地址；并将节点 NID-1、 NID-2 > NID-3、 NID-4 > NID-5 , NID-6分别发送的接入请求消息中携带的节点 NID-1、 NID-2 > NID-3、 NID-4 > NID-5 , NID-6的当前真实互联网协议地址，虚拟互联网协议地址，以及节点名称作为注册信息进行登记。这样节点 NID-1、 NID-2、 NID-3、 NID-4 > NID-5 , NID-6分别可以和虚拟专用网节点信息的处理设备之间通过建立的网络隧道连接，构成 VPN网络内的独立节点；另外，与虚拟专用网节点信息的处理设备互联的节点也可作为一个网关，将本地局域网内的其他节点接入该 VPN网络中，如图 10中的节点 NID-5。

在虚拟专用网节点信息的处理设备上登记节点 NID-1、 NID-2、 NID-3、 NID-4、 NID-5 , NID-6的注册信息之后，节点 NID-1、 NID-2、 NID-3、 NID-4、 NID-5 , NID-6通过网络隧道与虚拟专用网节点信息的处理设备组成一个虚拟的内部网络，该虚拟网络内部的网络拓朴结构可以为星型网络结构。

本发明实施例提供的虚拟专用网可以对节点的注册信息进行集中登记，避免了在 VPN网络的每一个节点上配置其它节点的注册信息，当加入一个节点时，只需对加入的节点的注册信息进行登记即可，无需调整其它节点的配灵活性。

实施例七：

请参阅图 11 , 图 11为本发明实施例七提供的一种查询节点注册信息的方法流程图。本实施例是在前述实施例进行了节点的注册信息登记的基础之上进行的。本实施例以第一节点查询第二节点的注册信息为例，介绍本发明实施例提供的查询 VPN注册信息的方法。如图 11所示，该方法可以包括：

1101、第一节点通过与虚拟专用网节点信息的处理设备建立的网络隧道，向虚拟专用网节点信息的处理设备发送用于查询第二节点的注册信息的消息；

举例来说，第一节点向虚拟专用网节点信息的处理设备发送用于查询第二节点的注册信息的消息中可以携带第二节点的节点名称和 /或第二节点的虚拟互联网协议地址等信息。

1102、虚拟专用网节点信息的处理设备查询已注册的所有节点的注册信息，如果查询失败，说明第二节点尚未接入 VPN网络，虚拟专用网节点信息的处理设备向第一节点发送错误信息；

1103、虚拟专用网节点信息的处理设备查询已注册的所有节点的注册信息，如果查询成功，说明第二节点已经连接进入 VPN网络，虚拟专用网节点信息的处理设备将把第二节点的注册信息发送给第一节点。

举例来说，第二节点的注册信息至少包括第二节点的是否接受外部网络连接的信息。

其中，如果第二节点接受外部网络连接的信息，则第一节点可以根据第二节点的当前真实的互联网协议地址与第二节点建立直连通道模式下的直连网络隧道；反之，如果第二节点不接受外部网络连接，则第一节点可以根据第二节点的虚拟互联网协议地址与第二节点建立虚拟交换模式下的间接网络隧道。

如果，第一节点已知第二节点的虚拟互联网协议地址和虚拟互联网协议地址，则 1103中的虚拟专用网节点信息的处理设备发送的第二节点的注册信息可以是第二节点的是否接受外部网络连接的信息。

本发明实施例中虚拟专用网节点信息的处理设备允许第一节点查询第二节点的注册信息，为了确切地获知第一节点需要查询的第二节点的注册信息，要求第一节点发送的查询消息中需要携带有用于识别第二节点的信息，由于每一个节点的名称以及虚拟互联网协议地址是不相同的，所以第一节点发送的查询消息中可以携带第二节点的名称和 /或第二节点的虚拟互联网协议地址。当然，第一节点发送的查询消息中还可以携带其他用于识别第二节点的信息，本发明实施例在此不做限定。

实施例八：

请参阅图 12, 图 12为本发明实施例八提供的一种 VPN网络节点通信方法的流程图。本实施例是在前述实施例进行了节点的注册信息登记以及节点的注册信息查询的基础之上进行的。本实施例以第一节点和第二节点进行通信为例，介绍本发明实施例提供的 VPN网络节点通信方法。如图 12所示，该方法可以包括：

1201、第一节点查询到第二节点的虚拟互联网协议地址之后，构造一个发送给第二节点的 "网内通信报文" 并发送给第一节点的虚拟网卡；

需要说明的是，在 VPN网络中，每一个节点都具有一个虚拟网卡和真实真实网卡的作用是根据当前真实互联网协议地址发送网内通信报文。

1202、第一节点的虚拟网卡将 "网内通信报文" 进行封装，添加虚拟专用网节点信息的处理设备的当前真实互联网协议地址，形成"封装报文 -1", 将此报文使用第一节点的当前真实互联网协议地址经由第一节点的真实网卡发送给虚拟专用网节点信息的处理设备；

1203、虚拟专用网节点信息的处理设备接收到"封装报文 -1"后对其进行解析，获得其内部的 "网内通信报文" ；

1204、虚拟专用网节点信息的处理设备将 "网内通信报文" 进行封装，添加第二节点的真实互联网协议地址，形成"封装报文 -2", 并将其通过第二节点当前所使用的网络隧道发送给第二节点；

虚拟专用网节点信息的处理设备根据 "网内通信报文" 携带的第二节点的虚拟互联网协议地址，得知 "网内通信报文" 需要转发给第二节点；

举例来说，虚拟专用网节点信息的处理设备还可以查询第二节点的真实互联网协议地址，以及第二节点当前所使用的网络隧道等信息。

1205、第二节点在接收到"封装报文 -2"后，将通过虚拟网卡对"封装报文 -2"进行拆封，获得其内部的 "网内通信报文" 。

至此，第一节点通过虚拟专用网节点信息的处理设备进行中转，与第二节点完成了一次通信。上述流程中的报文封装 /拆封对于第一节点、第二节点中的网络应用都是透明的，网络应用会认为是在直接使用第一节点与第二 VPN节点的虚拟 IP地址进行通信。

由于第一节点向第二节点发送 "网内通信报文" 与第二节点向第一节点发送 "网内通信 ·^艮文" 的过程完全相同，本实施例在此不作复述。

本发明实施例提供的虚拟专用网节点信息的处理设备可以在对节点的注册信息进行集中登记的基础之上，接收第一节点发送的信息转发给对应的第二节点，并将第二节点发送的信息转发给对应的第一节点，从而可以建立第一节点和第二节点之间的间接网络通道。

实施例九：

请参阅图 13 , 图 13为本发明实施例九提供的一种 VPN网络节点通信方法的流程图。本实施例是在前述实施例进行了节点的注册信息登记以及节点的注册信息查询的基础之上进行的。本实施例以第一节点和第二节点进行通信为例，介绍本发明实施例提供的 VPN网络节点通信方法。如图 13所示，该方法可以包括： 1301、第一节点向虚拟专用网节点信息的处理设备查询到第二节点的虚拟互联网协议地址之后，构造一个发送给第二节点的 "网内通信 4艮文" 并发送给第一节点的虚拟网卡；

1302、第一节点的虚拟网卡将 "网内通信报文" 进行封装，添加第二节点的真实互联网协议地址，形成"封装报文"，将此报文使用第一节点的真实互联网协议地址经由其真实网卡发送给第二节点；

1303、第二节点在接收到"封装报文"后，将通过第二节点的虚拟网卡对其进行解析，获得其内部的 "网内通信报文" ；

1304、第二节点将 "网内通信报文" 提交至网络应用程序。

至此，第一节点通过与第二节点之间直接通过当前真实互联网协议地址进行网络连接，使双方的网络应用完成了一次使用第一节点的真实互联网协议地址与第二节点的真实互联网协议地址进行通信的过程。

上述流程中的报文封装 /拆封对于第一节点、第二节点中的网络应用都是透明的，网络应用会认为是在直接使用第一节点与第二节点的虚拟互联网协议地址进行通信。

本发明实施例提供的虚拟专用网节点信息的处理设备可以给第一节点发送第一节点查询的第二节点的注册信息，以使第一节点和第二节点之间可以建立直连网络隧道。

实施例十：

本发明实施例提供了一种网络隧道建立方法、数据传输方法、通讯*** 及相关设备，用于提高 VPN内数据传输的性能。

请参阅图 14, 本发明实施例中网络隧道建立方法一个实施例包括： 1401、第一 VPN节点根据本地预置的 VPN网关地址向对应的 VPN网关发起查询请求。

本实施例中，当第一 VPN节点期望与第二 VPN节点进行通信时，则可以确定第二 VPN节点的节点标识，具体的节点标识可以为节点名称，或节点编号等，此处不作限定。

第一 VPN 节点可以请求与第二 VPN 节点建立直连网络隧道，则第一 VPN节点需要获知第二 VPN节点的注册信息，则第一 VPN节点向 VPN网关发送查询请求，以请求获取第二 VPN节点的注册信息，该查询请求中携带有第二 VPN节点的节点标识，以便于 VPN网关进行查询。

需要说明的是，在各 VPN节点加入 VPN之后，各 VPN节点中均保存有该 VPN内的 VPN网关的地址，例如可以为 "IPgw:Pgw" , 其中 IPgw为 VPN 网关真实的互联网协议（ IP , Internet Protocol )地址， Pgw为查询过程中 VPN 网关所使用的端口号。

可以理解的是，实际应用中， VPN网关的地址还可以为其他的类型，例如统一资源定位符（URL, Uniform Resource Locator )地址，具体地址类型此处不作限定。

则第一 VPN节点可以根据本地预置的 VPN网关地址向对应的 VPN网关发送上述查询请求。

1402、第一 VPN节点接收 VPN网关反馈的第二 VPN节点的注册信息。第一 VPN节点在向 VPN网关发送查询请求之后，即可从 VPN网关获取到查询结果，该查询结果为第二 VPN节点的注册信息。

需要说明的是，各节点在加入 VPN时，均需要向该 VPN内的 VPN网关进行注册，注册的过程中， VPN网关会保存请求注册的 VPN节点的注册信息。

本实施例中的第二 VPN节点的注册信息至少包括第二 VPN节点的地址信息。

1403、第一 VPN节点根据第二 VPN节点的注册信息与第二 VPN节点建立直连网络隧道。

第一 VPN节点在从 VPN网关获取到第二 VPN节点的注册信息之后，即可根据该注册信息中所包含的第二 VPN节点的地址信息与第二 VPN节点建立直连网络隧道。

本实施例中，当第一 VPN节点期望与第二 VPN节点进行通信时，会从 VPN网关获取到有关第二 VPN节点的注册信息，而该注册信息中包含第二 VPN节点的地址信息，因此第一 VPN节点能够根据该第二 VPN节点的地址信息与第二 VPN节点建立直连网络隧道，第一 VPN节点和第二 VPN节点即可通过该直连网络隧道进行数据传输，而无需通过 VPN网关转发数据，所以减少了 VPN网关的数据处理压力，均衡了 VPN内各网元的负荷，从而提高 VPN内数据传输的性能。

为便于理解，下面以一具体实例对本发明实施例中的网络隧道建立方法进行说明，请参阅图 15 ,本发明实施例中网络隧道建立方法另一实施例包括：

1501、第一 VPN节点 ^据本地预置的 VPN网关地址向对应的 VPN网关发起查询请求。

本实施例中，步骤 201与前述实施例中的步骤 101相同，此处不再赘述。

1502、第一 VPN节点接收 VPN网关反馈的第二 VPN节点的注册信息。第一 VPN节点在向 VPN网关发送查询请求之后，即可从 VPN网关获取到查询结果，该查询结果为第二 VPN节点的注册信息。

本实施例中的第二 VPN节点的注册信息可以包括第二 VPN节点的地址信息，还可以进一步包括传输隧道协议参数，网络连接模式参数以及加密参数。

其中，传输隧道协议参数用于指示第一 VPN节点与第二 VPN节点所需建立的直连网络隧道的类型，即建立该直连网络隧道所采用的协议。

网络连接模式参数用于指示第二 VPN节点是否支持建立直连网络隧道，需要说明的是，若第二 VPN节点通过地址转换设备加入了 VPN, 则 VPN网关会探测到第二 VPN节点加入 VPN时所采用的真实地址是地址转换设备的地址，而并不是第二 VPN节点的真实地址，所以 VPN网关可以设置该第二 VPN节点的注册信息中的网络连接模式参数为 "禁止直接连接"。

加密参数用于指示第一 VPN节点与第二 VPN节点建立的直连网络隧道是否需要进行加密，若需要加密，采用何种加密算法。

本实施例中， VPN网关内所保存的各节点的注册信息可以如下表所示：表 1

节点设节点传输隧道网络连接

真实地址虚拟地址力口密参数备名称协议参数模式参数

Road NID-1 IP1:P1 VIP1 IPsec 允许直接否 Warder- 1 连接

Road 允许直连

NID-2 IP2:P2 VIP2 IPsec 是， A Warrier-2 连接

Road 禁止直连

NID-3 IP3:P3 VIP3 SSL 是， B Warrier-3 连接

1503、判断第二 VPN节点是否允许建立直连网络隧道，若是，则执行步骤 204, 若否，则执行步骤 206。

本实施例中，第一 VPN节点获取到第二 VPN节点的注册信息之后，根据该注册信息中的网络连接模式参数判断第二 VPN 节点是否允许建立直连网络隧道，若允许，则执行步骤 204, 若不允许，则执行步骤 206。

1504、第一 VPN节点向第二 VPN节点发送隧道建立请求。

若第一 VPN 节点确定第二 VPN 节点允许建立直连网络隧道，则第一 VPN节点可以根据第二 VPN节点的地址信息向第二 VPN节点发送隧道建立请求，该隧道建立请求中可以携带有第一 VPN节点的节点标识，第一 VPN 节点的地址信息以及传输隧道协议参数。

需要说明的是，若第二 VPN节点的注册信息中的加密参数指示需要进行加密，并且指示了具体的加密算法，则本步骤中的隧道建立请求中还可以进一步携带第一 VPN节点根据该加密算法初步确定的密钥，以便于与第二 VPN 节点进行密钥协商，本实施例中，根据加密算法初步确定密钥的过程为本领域技术人员的公知常识，此处不作限定。

1505、第一 VPN节点接收第二 VPN节点反馈的隧道建立响应。

本实施例中，第二 VPN节点接收到第一 VPN节点发送的隧道建立请求之后，保存该隧道建立请求中的第一 VPN节点的节点标识以及第一 VPN节点的地址信息，并按照传输隧道协议参数执行相关隧道建立流程，之后向第一 VPN节点反馈隧道建立响应，若隧道建立请求中携带有第一 VPN节点初步确定的密钥，则在该隧道建立响应中也可以携带第二 VPN节点确定最终使用的密钥。

第二 VPN 节点按照传输隧道协议参数执行相关隧道建立流程具体可以包括分配资源，设定端口等操作，在实际应用中还可以包括其他的操作，具体此处不作限定。

需要说明的是，第二 VPN节点本地可以预置有一个 "节点-隧道" 信息列表，该列表中保存有与第二 VPN节点所建立的直连网络隧道的相关信息，具体可以如下表所示：

表 2

由上述表 2中可以看出，在第二 VPN节点本地保存有其和第一 VPN节点（即节点名称为 NID-1的 VPN节点）之间建立有一个直连网络隧道，通道的 ID为 Tunnel- 1。

第一 VPN节点接收第二 VPN节点发送的隧道建立响应，保存第二 VPN 节点的节点标识以及第二 VPN节点的地址信息，按照传输隧道协议参数执行相关隧道建立流程。

第一 VPN 节点按照传输隧道协议参数执行相关隧道建立流程可以包括分配资源，设定端口等操作，在实际应用中还可以包括其他的操作，具体此处不作限定。

需要说明的是，第一 VPN节点本地也可以预置有一个 "节点-隧道" 信息列表，该列表中保存有与第一 VPN 节点所建立的直连网络隧道的相关信息，具体可以如下表所示：

表 3

由上述表 3中可以看出，在第一 VPN节点本地保存有其和第二 VPN节点（即节点名称为 NID-2的 VPN节点 )之间建立有一个直连网络隧道，通道的 ID为 Tunnel- 1。

1506、执行其他处理流程。

若第一 VPN节点确定第二 VPN节点不允许建立直连网络隧道，则可以通过 VPN网关中转的方式与第二 VPN节点进行通信，具体过程为本领域技术人员的公知常识，此处不作限定。

需要说明的是，本实施例中，第一 VPN节点以及第二 VPN节点的地址信息可以为各自的互联网协议第四版 IPv4地址，或互联网协议第六版 IPv6 地址，或 URL地址。

其次，第二 VPN节点的注册信息中还可以包括网络连接模式参数，并且第一 VPN节点仅当该网络连接模式参数指示第二 VPN节点允许直接连接时，才与第二 VPN节点建立直连网络隧道，从而避免了当第二 VPN节点使用地址转换设备加入 VPN时，与该第二 VPN节点建立直连网络隧道会导致通信失败的问题。

再次，第二 VPN节点的注册信息中还可以包括加密参数，使得第一 VPN 节点可以与第二 VPN节点进行密钥协商，以建立加密的直连网络隧道，从而提高了数据传输的安全性。

上述是从第一 VPN 节点的角度对本发明实施例中网络隧道建立的过程进行了描述，下面从第二 VPN节点的角度对本发明实施例中的网络隧道建立方法进行描述，请参阅图 16, 本发明实施例中网络隧道建立方法再一实施例包括：

1601、第二 VPN节点接收第一 VPN节点发送的隧道建立请求。

本实施例中，第二 VPN节点接收第一 VPN节点发送的隧道建立请求，该隧道建立请求中包含第一 VPN节点的节点标识以及第一 VPN节点的地址信息。

需要说明的是，本实施例中的隧道建立请求中还可以进一步包括传输隧道协议参数，该传输隧道协议参数用于指示建立该直连网络隧道所使用的协议。

1602、第二 VPN节点向第一 VPN节点反馈隧道建立响应。

第二 VPN节点接收到隧道建立请求之后，保存其中的第一 VPN节点的节点标识以及第一 VPN节点的地址信息，执行相关隧道建立流程，并向第一 VPN节点反馈隧道建立响应。

第二 VPN节点执行相关隧道建立流程可以包括分配资源，设定端口等操作，在实际应用中还可以包括其他的操作，具体此处不作限定。

若隧道建立请求中还包括传输隧道协议参数，则第二 VPN节点按照传输隧道协议参数执行相关隧道建立流程。

需要说明的是，本实施例中，第一 VPN节点的地址信息可以为 IPv4地址，或 IPv6地址，或 URL地址。

本实施例中，第二 VPN节点可以根据第一 VPN节点发送的隧道建立请求与第一 VPN节点建立直连网络隧道以进行数据传输，而无需通过 VPN网关转发数据，所以减少了 VPN网关的数据处理压力，均衡了 VPN内各网元的负荷，从而提高 VPN内数据传输的性能。

上面分别从第一 VPN节点以及第二 VPN节点的角度对本发明实施例中的网络隧道建立方法进行了描述，下面从 VPN网关的角度对本实施例中 VPN 网关所执行的操作进行描述，请参阅图 17, 本发明实施例中的数据传输方法一个实施例包括：

1701、 VPN网关接收第一 VPN节点发送的查询请求。

本实施例中，当第一 VPN节点请求与第二 VPN节点建立直连网络隧道时，第一 VPN节点会向 VPN网关发送查询请求以查询第二 VPN节点的注册信息，该查询请求中携带第二 VPN节点的节点标识。

需要说明的是，各节点在加入 VPN时， VPN网关接收各节点的注册请求，该注册请求中至少携带有该节点的节点标识以及地址信息，同时还可以进一步携带有该节点的传输隧道协议参数，网络连接模式参数以及加密参数。注册的过程中， VPN网关会保存请求注册的 VPN节点的注册信息， VPN网关所保存的各 VPN节点的注册信息可以如上述表 1所示。

1702、 VPN网关在本地查询第二 VPN节点的注册信息。

VPN网关在从查询请求中获知第二 VPN节点的节点标识之后，即可根据该节点标识在上述表 1中进行查询，以查询第二 VPN节点的注册信息，查询到的注册信息至少包括第二 VPN节点的地址信息，或者还可以进一步携带第二 VPN节点的传输隧道协议参数，网络连接模式参数以及加密参数。

1703、 VPN网关向第一 VPN节点反馈第二 VPN节点的注册信息。

VPN网关在查询到第二 VPN节点的注册信息之后，即可向第一 VPN节点反馈该第二 VPN节点的注册信息，以便于第一 VPN节点根据第二 VPN 节点的注册信息与第二 VPN节点建立直连网络隧道。

本实施例中， VPN网关可以根据第一 VPN节点的查询请求向第一 VPN 节点反馈第二 VPN节点的注册信息以便于第一 VPN节点根据第二 VPN节点的注册信息与第二 VPN节点建立直连网络隧道，所以第一 VPN节点与第二 VPN节点之间可以通过直连网络隧道进行数据传输，而无需通过 VPN网关转发数据，所以减少了 VPN网关的数据处理压力，均衡了 VPN内各网元的负荷，从而提高 VPN内数据传输的性能。实施例十一

请参阅图 18 , 图 18为本发明实施例提供的一种虚拟专用网络服务器的结构图。如图 18所示，虚拟专用网络服务器可以包括：

接收单元 1801 , 用于接收第一节点发送的消息，所述消息用于查询第二节点的注册信息；

发送单元 1802,用于将预先存储的第二节点的注册信息发送至所述第一节点，以使所述第一节点与所述第二节点建立相应的网络隧道，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息。

本实施例中 ,接收单元 1801接收到的第一节点发送的消息还可以进一步用于查询第一节点的注册信息，则发送单元 1802还可以进一步向第一节点发送第一节点的注册信息，第一节点的注册信息至少包括第一节点是否接受外部连接的信息

举例来说，本实施例所述的相应的网络隧道包括直连通道模式下的直连网络隧道和虚拟交换模式下的间接网络隧道。

优选地，第二节点的注册信息可以包括但不限于第二节点当前真实的 IP 地址、虚拟 IP地址以及是否接受外部连接的信息；

同样，第一节点的注册信息可以包括但不限于第一节点的当前真实的 IP 地址、虚拟 IP地址以及是否接受外部连接的信息。

优选地，接收单元 1801还可以用于接收第一节点发送的接入请求消息和第二节点发送的接入请求消息；

其中，第一节点发送的接入请求消息包括第一节点的节点名称和当前真实 IP地址；第二节点发送的接入请求消息包括第二节点的节点名称和当前真实 IP地址；

则本发明实施例提供的虚拟专用网络服务器还可以包括：

分配单元 1803 , 用于根据接入单元 1801接收到的第一节点发送的接入请求消息，给第一节点分配虚拟 IP地址，并确定第一节点的是否接受外部连接的信息；

以及用于根据接入单元 1801接收到的第二节点发送的接入请求消息，分配第二节点的虚拟 IP地址，并确定第二节点的是否接受外部连接的信息。

存储单元 1804, 用于存储第一节点的节点名称、当前真实 IP地址、分配的虚拟 IP地址和是否接受外部连接的信息的对应关系；

以及存储第二节点的节点名称、当前真实 IP地址、分配的虚拟 IP地址和是否接受外部连接的信息的对应关系，并且将所述第一节点以及第二节点的节点名称、当前真实互联网协议地址，虚拟互联网协议地址以及指示所述第一节点以及第二节点是否接受外部连接的信息作为第一节点和第二节点的注册信息。

优选地，分配单元 1803在给第一节点和第二节点分别分配了虚拟 IP地址之后，向第一节点发送一次建立网络隧道的连接请求以判断第一节点是否接受外部连接，当在规定时间内接收到第一节点返回的响应之后，则确认第一节点接受外部连接；反之，如果在规定时间内无法接收到第一节点返回的响应，则确认第一节点不接受外部连接；

以及，向第二节点发送一次建立网络隧道的连接请求以判断第二节点是否接受外部连接，当在规定时间内接收到第二节点返回的响应之后，则确认第二节点接受外部连接；反之，如果在规定时间内无法接收到第二节点返回的响应，则确认第二节点不接受外部连接。

更进一步地，第二节点的当前真实 IP地址是指第二节点在 Internet网络中的合法地址，具体可以是第二节点在 Internet网络中的网 IP地址，或者是第二节点在 Internet网络中的 IP地址与 TCP I UDP端口组合后的地址，或者是第二节点在 Internet网络中的以 URL表示的其他服务地址；

同理，第一节点的当前真实 IP地址是指第一节点在 Internet网络中的合法地址，具体可以是第一节点在 Internet网络中的 IP地址，或者是第一节点在 Internet网络中的 IP地址与 TCP/ UDP端口组合后的地址，或者是第一节点在 Internet网络中的以 URL表示的其他服务地址。

上述对本发明实施例四提供的一种虚拟专用网络服务器进行了详细的介绍，本发明实施例提供的虚拟专用网络服务器中的接收单元 1801可以接收第一节点的请求，发送单元 1802可以根据第一节点的请求，将第二节点以及第一节点的注册信息发送至第一节点，这样使得第一节点可以在和第二节点建立网络隧道之前，了解第二节点以及第一节点是否接受外部连接，进而与第二节点建立相应的网络隧道，避免了当两个节点只能以虚拟交换模式连接时，这样两个节点还进行直连网络隧道建立的尝试，从可以减少了网络资源的浪费，并提高建立网络隧道的效率。

实施例十二

请参阅图 19 , 图 19为本发明实施例提供的一种虚拟专用网络***的结构图。如图 20所示，虚拟专用网络***可以包括：

虚拟专用网络节点 1901和虚拟专用网络服务器 1902; 其中，

虚拟专用网络节点 1901 , 用于向虚拟专用网络务器 1902查询第二节点的注册信息，以确定第二节点是否接受外部连接，第二节点的注册信息至少包括第二节点是否接受外部连接的信息；根据查询到的注册信息，与第二节点建立相应的网络隧道；

虚拟专用网络服务器 1902, 用于接收虚拟专用网络节点 1901发送的消息，该消息用于查询第二节点的注册信息；将预先存储的第二节点的注册信息发送至虚拟专用网络节点 1901 , 以使虚拟专用网络节点 1901与第二节点建立相应的网络隧道，第二节点的注册信息至少包括第二节点是否接受外部连接的信息。

需要说明的是，本实施例介绍的虚拟专用网络节点 1901的结构与上述实施例三介绍的虚拟专用网络节点结构，功能相同，本实施例在此不作复述；本实施例介绍的虚拟专用网络良务器 1902的结构与上述实施例四介绍的虚拟专用网络服务器结构，功能相同，本实施例在此也不作复述。

请参阅图 20, 图 20为本发明实施例提供的一种 VPN网络示意图。如图 20所示，本实施例所提供的 VPN网络可以包括 VPN服务器以及 VPN节点。其中， VPN节点可以包括但不限于计算机以及其他用户终端；其中， VPN服务器必须拥有 Internet网络中的合法地址（地址形式可以是 IP地址、 IP地址与 TCP/UDP端口组合、或者以 URL表示的其他服务地址），并且可以使用其合法 Internet地址接收来自 Internet网络的数据报文。

其中， VPN服务器需要具备节点注册功能以及信息查询功能。即当某一个节点接入 VPN网络时， VPN服务器需要为节点分配第一节点在 VPN网络内使用的虚拟 IP地址；并将第一节点的节点名称、当前真实 IP地址、以及分配的虚拟 IP地址、是否接受外部连接、甚至加密参数等信息进行注册登记；

VPN服务器允许 VPN网络内的节点根据其它 VPN节点的节点名称和 /或其它 VPN节点的虚拟 IP地址等信息查询其它 VPN节点的注册信息。

其中，本实施例中的节点应该具备与 VPN服务器之间的通信功能；以及发起与 VPN网络中其它节点之间建立网络隧道的请求功能；同时，本实施例中的节点还应该具备接收 VPN网络中其它节点与其建立网络隧道的请求的功能；同时，本实施例中的节点还应该具备这样的更能，即可以获知其它节点的注册信息以及第一节点的注册信息，并与其它节点建立相应的网络隧道。

其中，相应的网络隧道包括直连通道模式下的直连网络隧道和虚拟交换模式下的间接网络隧道。

如图 20所示， VPN网络中共有 4个联网计算机，名称分别为： ID-1、 ID-2 ID-3 , ID-4; 其中 ID-1与 ID-2是 Internet网中拥有合法 IP地址的计算机，允许接受来自 Internet网络连接； ID-3与 ID-4都处于 NAT网络内，不具备 Internet合法地址，不允许接受来自 Internet的网络连接。

在 VPN网络中，各节点之间的网络通信具有以下三种不同情况：

1)、节点之间可以直接建立网络双向连接，如 ID-1与 ID-2之间，任意一个节点可以主动对另一个节点建立网络隧道；

2)、节点之间仅能直接建立单向连接，如 ID-1与 ID-3之间，由于 ID-3处于 NAT网络之内不具备合法 IP地址，因此仅允许由 ID-3主动向 ID- 1建立网络隧道，而不允许由 ID-1向 ID-3建立网络隧道；

3)、节点之间不能直接建立连接，如 ID-3与 ID-4之间，由于 ID-3与 ID-4都处于 NAT网络内都不具备合法 IP地址，因此 ID-3与 ID-4之间无法建立直接的隧道， ID-3与 ID-4只能分别与 VPN服务器之间建立网络隧道， ID-3与 ID-4之间的通信数据必须经由 VPN服务器中转。

假设图 20所示的 VPN网络中 ID-1需要与 ID-2 、 ID-3进行通信，贝：

1 ) ID-1向 VPN服务器查询 ID-2、 ID-3的注册信息。

2 ) ID-1向 VPN服务器查询 ID-1的注册信息。

其中，对于 1 ) , ID-1向 VPN服务器发查询消息，该查询消息用于向 VPN 服务器查询 ID-2的注册信息；其中，该查询消息可以包括 ID-2的名称和 /ID-2的当前真实 IP地址；

ID-1向 VPN服务器发查询消息，该查询消息用于向 VPN服务器查询 ID-3 的注册信息；其中，该查询消息可以包括 ID-3的名称和 /ID-3的当前真实 IP地址；

对于 2 ) , ID-1向 VPN服务器发查询消息，该查询消息用于向 VPN服务器查询 ID-1的注册信息；其中，该查询消息可以包括 ID-1的名称和 /ID-1的当前真实 IP地址。

VPN服务器接收到 ID-1发送的查询消息之后，查询 ID-2 、 ID-3的注册信息，并发生给 ID-1。表 1表示 VPN服务器预先存储的图 3所示的 VPN网络中节点 ID-1、 ID-2 ID-3、 ID-4的注册消息。

表 1

其中，由于 ID-3、 ID-4都处于 NAT设备中，所以 ID-3、 ID-4的当前真实 IP 地址，实际上是 ID-3、 ID-4所使用 NAT设备的真实 IP地址。

3 ) VPN服务器分别接收到 ID-1发送的查询消息之后，查询 ID-2的注册信息为：名称是 NID-2, 真实地址是 IP2:P2, 虚拟 IP地址 VIP2, 允许接受外部连接；

查询 ID-3的注册信息为：名称是 NID-3 , 真实地址是 IP3:P3 , 虚拟 IP地址 VIP3 , 不允许接受外部连接；

查询 ID-1的注册信息为：名称是 NID-1 , 真实地址是 IP1 :P1 , 虚拟 IP地址 VIP1 , 允许接受外部连接。

4 ) VPN服务器根据查询到的 ID-2、 ID-3 , ID-1的注册信息，分别将 ID-2、 ID-3 , ID-1的注册信息发送给 ID-1。

当然， VPN服务器也可以只选取部分 ID-2、 ID-3 , ID-1的注册信息发送给 ID-1 , 比如将 ID-2的注册信息中的真实地址是 IP2:P2、允许接受外部连接， ID-3的注册信息中的不允许接受外部连接，以及 ID-1的注册信息中的真实地址是 IP1 :P1、允许接受外部连接发送给 ID-1。

5 ) ID-1接收到 VPN服务器发送的 ID-2、 ID-3 , ID-1的注册信息之后，发现 ID-2点接受外部连接，则 ID-1向 ID-2发送建立网络隧道请求；如果接收到 ID-2发送的响应，则完成 ID-1与 ID-2之间的直连通道模式下的直连网络隧道；

发现 ID-3不接受外部连接，而 ID-1接受外部连接，则 ID-1向 ID-3发送用于提示 ID-3向 ID-1主动建立网络隧道的消息；接收 ID-3发送的建立网络隧道请求；向 ID-3发送的响应之后，完成 ID-1与 ID-3之间的虚拟交换模式下的间接网络隧道。

又假设图 20所示的 VPN网络中 ID-3需要与 ID-4进行通信，则：

1 ) ID-3向 VPN服务器查询 ID-4的注册信息。

2 ) ID-3向 VPN服务器查询 ID-4的注册信息。

其中，对于 1 ) , ID-3向 VPN服务器发查询消息，该查询消息用于向 VPN 服务器查询 ID-4的注册信息；其中，该查询消息可以包括 ID-4的名称和 /ID-4的当前真实 IP地址；

ID-3向 VPN服务器发查询消息，该查询消息用于向 VPN服务器查询 ID-3 的注册信息；其中，该查询消息可以包括 ID-3的名称和 /ID-3的当前真实 IP地址。

3 ) VPN服务器接收到 ID-3发送的查询消息之后，查询 ID-4的注册信息为：名称是 NID-4, 真实地址是 IP4:P4, 虚拟 IP地址 VIP4, 不允许接受外部连接；查询 ID-3的注册信息为：名称是 NID-3 , 真实地址是 IP3:P3 , 虚拟 IP地址 VIP3 , 不允许接受外部连接。

4 ) VPN服务器根据查询到的 ID-4、 ID-3的注册信息，分别将 ID-4、 ID-3 的注册信息发送给 ID-3。

当然， VPN服务器也可以只选取部分 ID-4、 ID-3的注册信息发送给 ID-3 , 比如将 ID-4的注册信息中的不允许接受外部连接， ID-3的注册信息中的不允许接受外部连接发送给 ID-3。

5 ) ID-3接收到 VPN服务器发送的 ID-4、ID-3的注册信息之后，发现 ID-4 不接受外部连接，且 ID-3也不接受外部连接，说明 ID-3和 ID-4之间无法建立直连的网络隧道，则 ID-3向 VPN服务器发送建立网络隧道请求；在接收 VPN服务器发送的响应之后，完成与 VPN服务器之间的网络隧道；

并且， ID-3向 ID-4发送建立网络隧道消息，以使 ID-4向 VPN服务器建立网络隧道，从而建立 ID-4与 VPN服务器的网络隧道，此时， VPN服务器作为 ID-3与 ID-4之间的中转设备，接收 ID-3发送的通信数据并转发至 ID-4; 同时，接收 ID-4发送的通信数据并转发至 ID-3 , 这样，间接建立了 ID-3与 ID-4之间的网络隧道。

需要说明的是，本实施例中 VPN服务器需要预先存储的 ID-1、 ID-2、 ID-3 , ID-4的注册消息，具体地：

VPN服务器接收 ID-1、 ID-2、 ID-3 , ID-4分别发送的接入请求消息，其中， ID-1、 ID-2、 ID-3、 ID-4各自发送的接入请求消息包括各自的节点名称和当前真实 IP地址；

分别给 ID-1、 ID-2、 ID-3 , ID-4分配虚拟 IP地址，并分别确定 ID-1、 ID-2、 ID-3 , ID-4的是否接受外部连接的信息；

存储 ID-1、 ID-2, ID-3 , ID-4各自的节点名称、当前真实 IP地址、分配的虚拟 IP地址和是否接受外部连接的信息的对应关系。

其中，上述的分别确定 ID-1、 ID-2, ID-3 , ID-4的是否接受外部连接的信息具体为：

在分别给 ID-1、 ID-2, ID-3 , ID-4分配了各自的虚拟 IP地址之后，分别向 ID-1、 ID-2, ID-3 , ID-4发送一次建立网络隧道的连接请求以判断 ID-1、 ID-2, ID-3 , ID-4是否接受外部连接；

当在规定时间内接收到 ID-1、 ID-2返回的响应之后，认为 ID-1、 ID-2接受外部连接，即 ID-1、 ID-2, "是否接受外部连接 "属性为' ΌΚ"; 当在规定时间内无法接收到 ID-3、 ID-4返回的响应，认为 ID-3、 ID-4不接受外部连接，即 ID-3、 ID-4的"是否接受外部连接"属性为 "NO"。

另外，如果节点本身存储了第一节点的注册信息的话，则节点仅需向

VPN服务器查询第二节点的注册信息即可，无需再次向 VPN服务器查询第一节点的注册信息。

上述对本发明实施例五提供的一种 VPN网络进行了介绍，在本发明实施例提供的 VPN网络中，节点在和其它节点建立网络隧道之前，可以从 VPN 服务器中查询其它节点的注册信息以及第一节点的注册信息，从而可以了解其它节点以及第一节点是否接受外部连接，进而与其它节点建立相应的网络隧道，避免了当两个节点只能以虚拟交换模式连接时，这样两个节点还进行直连网络隧道建立的尝试，从可以减少了网络资源的浪费，并提高建立网络隧道的效率。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：只读存储器（ROM , Read-Only Memory ), 随机存取器 ( RAM, Random-Access Memory )磁碟或者光盘等各种可以存储程序代码的介质。

以上对本发明实施例所提供的一种虚拟专用网节点信息的处理方法及相关设备、 ***进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种虚拟专用网节点信息的处理方法，其特征在于，包括：接收节点发送的接入请求消息，该接入请求消息至少携带所述节点的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息；

当所述节点的认证信息正确时，给所述节点分配虚拟互联网协议地址；将所述节点的当前真实互联网协议地址、节点名称、是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

2、根据权利要求 1所述的方法，其特征在于，该方法还包括：接收第一节点发送的查询消息，所述查询消息中携带第二节点的节点名称和 /或第二节点的虚拟互联网协议地址；

根据所述第二节点的节点名称和 /或第二节点的虚拟互联网协议地址查询所述第二节点的注册信息；

向所述第一节点发送所述第二节点的注册信息，所述第二节点的注册信息中至少携带第二节点是否接受外部网络连接的信息。

3、根据权利要求 2所述的方法，其特征在于，该方法还包括：接收第一节点发送的查询消息，所述查询消息中携带第一节点的节点名称和 /或第一节点的虚拟互联网协议地址；

根据所述第一节点的节点名称和 /或第一节点的虚拟互联网协议地址查询所述第一节点的注册信息；

向所述第一节点发送所述第一节点的注册信息，所述第一节点的注册信息中至少携带第一节点是否接受外部网络连接的信息。

4、根据权利要求 2或 3所述的方法，其特征在于，若所述第二节点不接受外部网络连接，且所述第一节点不接受外部网络连接，所述方法还包括：分别接收所述第一节点和第二节点发送的建立网络隧道请求；分别向所述第一节点和第二节点发送建立网络隧道响应，从而建立与所述第一节点和第二节点之间的网络隧道；

利用与所述第一节点和第二节点之间的网络隧道，为所述第一节点和第二节点互相传递信息。

5、一种虚拟专用网节点信息的处理设备，其特征在于，包括：第一接收单元，用于接收节点发送的接入请求消息，该接入请求消息至少携带所述节点的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息；

判断单元，用于判断所述节点的认证信息是否正确；

登记单元，用于将所述节点的当前真实互联网协议地址、节点名称、是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

6、根据权利要求 5所述的处理设备，其特征在于，所述处理设备还包括：第二接收单元，用于接收第一节点发送的查询消息，所述查询消息中携带第二节点的节点名称和 /或第二节点的虚拟互联网协议地址；

查询单元，用于根据所述第二节点的节点名称和 /或第二节点的虚拟互联网协议地址查询所述第二节点的注册信息；

第一发送单元，用于向所述第一节点发送所述第二节点的注册信息，所述第二节点的注册信息至少携带第二节点的是否接受外部网络连接的信息。

7、根据权利要求 6所述的处理设备，其特征在于，

所述第二接收单元，用于接收第一节点发送的查询消息，所述查询消息中携带第一节点的节点名称和 /或第一节点的虚拟互联网协议地址；

所述查询单元，用于根据所述第一节点的节点名称和 /或第一节点的虚拟互联网协议地址查询所述第一节点的注册信息；

所述第一发送单元，用于向所述第一节点发送所述第一节点的注册信息，所述第一节点的注册信息至少携带第一节点的是否接受外部网络连接的信息。

8、根据权利要求 6或 7所述的处理设备，其特征在于，若所述第二节点不接受外部网络连接，且所述第一节点不接受外部网络连接，则所述处理设备还包括：

第三接收单元，用于接收所述第一节点发送的建立网络隧道请求，以及所述第二节点发送的建立网络隧道请求；

第二发送单元，用于向所述第一节点发送建立网络隧道响应，从而建立与所述第一节点之间的网络隧道，向所述第二节点发送建立网络隧道响应，从而建立与所述第二节点之间的网络隧道；

转发控制单元，用于接收所述第一节点发送给所述第二节点的信息，并转发给所述第二节点，以及接收所述第二节点发送给所述第一节点的信息，并转发给所述第一节点。

9、一种虚拟专用网节点设备，其特征在于，包括：

获取单元，用于获取自身的认证信息，当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息；

发送单元，用于将所述认证信息，当前真实互联网协议地址，节点名称以及是否接受外部网络连接信息放入接入请求消息后，发送给虚拟专用网节点信息的处理设备。

10、根据权利要求 9所述的虚拟专用网节点设备，其特征在于，还包括：接收单元，用于接收所述虚拟专用网节点信息的处理设备发送的虚拟互联网协议地址。

11、一种虚拟专用网***，其特征在于，包括：

虚拟专用网节点设备和虚拟专用网节点信息的处理设备；

所述虚拟专用网节点信息的处理设备，用于接收所述虚拟专用网节点设备发送的接入请求消息，该接入请求消息至少携带所述虚拟专用网节点设备的认证信息、当前真实互联网协议地址、节点名称以及是否接受外部网络连接信息；当判断所述认证信息正确时，给所述虚拟专用网节点设备分配虚拟互联网协议地址；并将所述虚拟专用网节点设备的当前真实互联网协议地址、节点名称、是否接受外部网络连接信息以及虚拟互联网协议地址作为注册信息进行登记。

12、一种网络隧道建立方法，其特征在于，包括：

第一虚拟专用网 VPN节点 ^据本地预置的 VPN网关地址向对应的 VPN 网关发起查询请求，所述查询请求中携带第二 VPN节点的节点标识；

第一 VPN节点接收所述 VPN网关反馈的所述第二 VPN节点的注册信息，所述第二 VPN节点的注册信息至少包括所述第二 VPN节点的地址信息；第一 VPN节点根据所述第二 VPN节点的注册信息与所述第二 VPN节点建立直连网络隧道。

13、根据权利要求 12所述的方法，其特征在于，所述第二 VPN节点的注册信息中还包括：传输隧道协议参数；

所述第一 VPN节点根据所述第二 VPN节点的注册信息与所述第二 VPN 节点建立直连网络隧道包括：

第一 VPN节点根据所述第二 VPN节点的地址信息向所述第二 VPN节点发送隧道建立请求，所述隧道建立请求中包含第一 VPN节点的节点标识，第一 VPN节点的地址信息以及所述传输隧道协议参数，所述传输隧道协议参数用于指示建立所述直连网络隧道所使用的协议；

第二 VPN节点接收所述隧道建立请求，保存所述第一 VPN节点的节点标识以及所述第一 VPN节点的地址信息，按照所述传输隧道协议参数执行相关隧道建立流程，向所述第一 VPN节点反馈隧道建立响应；

第一 VPN节点接收所述隧道建立响应，保存所述第二 VPN节点的节点标识以及所述第二 VPN节点的地址信息，按照所述传输隧道协议参数执行相关隧道建立流程。

14、根据权利要求 13所述的方法，其特征在于，所述第二 VPN节点的注册信息中还包括：加密参数；

所述方法还包括：

第一 VPN节点与第二 VPN节点根据所述加密参数进行密钥协商，所述密钥用于对通过所述直连网络隧道中传输的数据进行加密。

15、根据权利要求 12至 14中任一项所述的方法，其特征在于，所述第二 VPN节点的注册信息中还包括：网络连接模式参数；

所述第一 VPN节点根据所述第二 VPN节点的注册信息与所述第二 VPN 节点建立直连网络隧道之前包括：

第一 VPN节点判断所述网络连接模式参数是否指示允许建立直接连接，若为允许直接连接，则触发所述根据所述第二 VPN节点的注册信息与所述第二 VPN节点建立直连网络隧道的步骤。

16、根据权利要求 12至 14中任一项所述的方法，其特征在于，所述地址信息为互联网协议第四版 IPv4地址，或互联网协议第六版 IPv6地址，或统一资源定位符 URL地址。

17、一种数据传输方法，其特征在于，包括：

VPN网关接收第一 VPN节点发送的查询请求，所述查询请求中携带第二 VPN节点的节点标识；

VPN网关根据所述第二 VPN节点的节点标识在本地查询所述第二 VPN 节点的注册信息，所述第二 VPN节点的注册信息至少包括第二 VPN节点的地址信息；

VPN网关向所述第一 VPN节点反馈所述第二 VPN节点的注册信息，以便于所述第一 VPN节点根据所述第二 VPN节点的注册信息与所述第二 VPN 节点建立直连网络隧道。

18、根据权利要求 17所述的方法，其特征在于，所述方法还包括： VPN网关接收第二 VPN节点的注册请求，所述注册请求中携带所述第二 VPN节点的节点标识以及地址信息；

VPN网关保存所述第二 VPN节点的节点标识以及地址信息。

19、一种虚拟专用网络节点，其特征在于，包括：

查询单元，用于向虚拟专用网络服务器查询第二节点的注册信息，以确定所述第二节点是否接受外部连接，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息；

建立网络隧道单元，用于根据查询到的所述注册信息，与所述第二节点建立相应的网络隧道。

20、根据权利要求 19所述的虚拟专用网络节点，其特征在于，所述查询单元包括：

发送子单元，用于向虚拟专用网络服务器发送查询消息，所述查询消息包括查询第二节点的注册信息；

接收子单元，用于接收所述虚拟专用网络服务器发送的所述第二节点的注册信息。

21、根据权利要求 19 所述的虚拟专用网络节点，其特征在于，所述建立网络隧道单元包括：

第一建立子单元，用于在所述第二节点接受外部连接时，向所述第二节点发送建立网络隧道请求；接收所述第二节点发送的响应，建立与所述第二节点之间的网络隧道。

22、根据权利要求 19所述的虚拟专用网络节点，其特征在于，所述查询单元还用于向所述虚拟专用网络服务器查询所述第一节点的注册信息，以确定所述第一节点是否接受外部连接，所述第一节点的注册信息至少包括所述第一节点是否接受外部连接的信息。

23、根据权利要求 22 所述的虚拟专用网络节点，其特征在于，所述建立网络隧道单元包括：

第二建立子单元，用于在所述第二节点不接受外部连接，且所述第一节点接受外部连接时，向所述第二节点发送用于提示所述第二节点向所述第一节点建立网络隧道的消息，接收所述第二节点发送的建立网络隧道请求；向所述第二节点发送的响应，建立与所述第二节点之间的网络隧道。

24、根据权利要求 22 所述的虚拟专用网络节点，其特征在于，所述建立网络隧道单元包括：

第三建立子单元，用于在所述第二节点不接受外部连接，且所述第一节点不接受外部连接时，向所述虚拟专用网络服务器发送建立网络隧道请求；接收所述虚拟专用网络服务器发送的响应，建立与所述虚拟专用网络服务器之间的网络隧道；向所述第二节点发送建立网络隧道消息，以使所述第二节点向所述虚拟专用网络服务器建立网络隧道，从而建立第一节点与所述第二节点之间的网络隧道。

25、一种虚拟专用网络服务器，其特征在于，包括：

接收单元，用于接收第一节点发送的消息，所述消息用于查询第二节点的注册信息；

发送单元，用于将预先存储的第二节点的注册信息发送至所述第一节点，以使所述第一节点与所述第二节点建立相应的网络隧道，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息。

26、根据权利要求 25所述的虚拟专用网络服务器，其特征在于，所述接收单元还用于接收所述第一节点发送的接入请求消息，所述接入请求消息中包括第一节点的节点名称，当前真实互联网协议地址；

所述虚拟专用网络服务器还包括：

分配单元，用于分配所述第一节点的虚拟互联网协议地址，并确定所述第一节点是否接受外部连接；

存储单元，用于存储所述第一节点的节点名称，当前真实互联网协议地址，虚拟互联网协议地址以及指示所述第一节点是否接受外部连接的信息，将所述第一节点的节点名称、当前真实互联网协议地址，虚拟互联网协议地址以及指示所述第一节点是否接受外部连接的信息作为第一节点的注册信息；

所述接收单元还用于接收所述第二节点发送的接入请求消息，所述接入请求消息中包括第二节点的节点名称，当前真实互联网协议地址；

所述虚拟专用网络服务器还包括：

分配单元，用于分配所述第二节点的虚拟互联网协议地址，并确定所述第二节点是否接受外部连接；

存储单元，用于存储所述第二节点的节点名称，当前真实互联网协议地址，虚拟互联网协议地址以及指示所述第二节点是否接受外部连接的信息，将所述第二节点的节点名称、当前真实互联网协议地址，虚拟互联网协议地址以及指示所述第二节点是否接受外部连接的信息作为第二节点的注册信息。

27、一种虚拟专用网络***，其特征在于，包括：

虚拟专用网络节点和虚拟专用网络务器；所述虚拟专用网络节点，用于向所述虚拟专用网络务器查询第二节点的注册信息，以确定所述第二节点是否接受外部连接，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息；根据查询到的所述注册信息，与所述第二节点建立相应的网络隧道；

所述虚拟专用网络服务器，用于接收所述虚拟专用网络节点发送的消息，所述消息用于查询第二节点的注册信息；将预先存储的第二节点的注册信息发送至所述虚拟专用网络节点，以使所述虚拟专用网络节点与所述第二节点建立相应的网络隧道，所述第二节点的注册信息至少包括所述第二节点是否接受外部连接的信息。