專利名稱:用虛擬路由器構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng)及方法
所屬領(lǐng)域本發(fā)明涉及一種構(gòu)建企業(yè)外部虛擬專網(wǎng)的系統(tǒng)及方法���,確切地說�����,涉及一種使用虛擬路由器(VR�����,Virtual Route)構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng)及方法�����。屬于數(shù)據(jù)通信中的接入服務(wù)器����、邊緣業(yè)務(wù)路由器等設(shè)備技術(shù)領(lǐng)域。
2�����、企業(yè)外部虛擬專網(wǎng)(Extranet VPN)多家企業(yè)由于業(yè)務(wù)等的共同需求通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)3����、遠(yuǎn)程接入虛擬專網(wǎng)(Access VPN)企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)其中企業(yè)外部虛擬專網(wǎng)(Extranet VPN)是使用因特網(wǎng)技術(shù)建立的可支持各企事業(yè)之間進(jìn)行業(yè)務(wù)往來和信息交流的綜合網(wǎng)絡(luò)信息系統(tǒng)。企業(yè)外部虛擬專網(wǎng)(Extranet VPN)通常是企業(yè)內(nèi)部網(wǎng)(Intranet)和公網(wǎng)基礎(chǔ)設(shè)施上的邏輯復(fù)蓋,僅用訪問控制和路由表進(jìn)行控制�,而不是建立新的物理網(wǎng)絡(luò)。外部虛擬專網(wǎng)通常連接兩個或多個已經(jīng)存在的內(nèi)部網(wǎng)���。外部虛擬專網(wǎng)的訪問是半私有的��,其用戶是由關(guān)系緊密的企業(yè)結(jié)成的小組��,在互相信任的圈內(nèi)共享信息�����;Extranet非常適合于具有時效性的信息共享和企業(yè)間完成共有利益目的的活動��。
虛擬路由器(VR,virtual router)是對物理路由器在軟件和硬件級的一個仿真��。每個VR具有獨(dú)立的IP路由和轉(zhuǎn)發(fā)表���,各虛擬路由器之間彼此獨(dú)立�。虛擬路由器常用于構(gòu)建虛擬專網(wǎng)(VPN)�。從VPN用戶的角度看,VR提供的功能與物理路由器相同���;其分離的路由和轉(zhuǎn)發(fā)�����,就象給每個VPN的用戶提供一個獨(dú)立的路由器����,保證了在共享網(wǎng)絡(luò)上的各VPN業(yè)務(wù)之間的隔離。
建構(gòu)一個網(wǎng)絡(luò)時�����,首先要對該網(wǎng)絡(luò)進(jìn)行規(guī)劃要確定在哪些地點(diǎn)安裝路由器���,每個路由器可以和哪些路由器相連���,它們應(yīng)該采用哪種拓?fù)浣Y(jié)構(gòu),路由器如何才能獲取可達(dá)路由信息等等�。以上列舉的這些問題,在使用VR構(gòu)建VPN時同樣也會遇到��,人們將其統(tǒng)稱為發(fā)現(xiàn)問題��。使用VR構(gòu)建VPN時�����,發(fā)現(xiàn)問題包含兩方面的內(nèi)容(1)成員發(fā)現(xiàn)唯一地標(biāo)示VR,并且記錄該VR和VPN的從屬關(guān)系��。屬于同一VPN域的VR獲取其他VR處于哪些網(wǎng)絡(luò)設(shè)備上的信息�����。以及屬于同一VPN域的VR獲取其自身與其他VR的連接關(guān)系���,以及連接使用的隧道類型信息�����。
(2)可達(dá)信息的發(fā)現(xiàn)或獲取(專網(wǎng)路由傳播)VR把與其相連的企業(yè)站點(diǎn)路由信息向?qū)儆谕籚PN域的其他VR傳播����。
VR成員發(fā)現(xiàn)有兩類解決方式手工配置和采用自動發(fā)現(xiàn)機(jī)制�����。手工配置方法實(shí)現(xiàn)簡單����,但手工配置的工作量隨著VPN業(yè)務(wù)的發(fā)展會變得異常繁重而很難管理。因此��,在使用VR方式構(gòu)建VPN中應(yīng)該盡可能地考慮VR的自動發(fā)現(xiàn)方法���。目前����,多種VR成員的自動發(fā)現(xiàn)方法已經(jīng)被提出來了��。因?yàn)椴捎米詣影l(fā)現(xiàn)方法不是本發(fā)明的研討對象�����,不再贅述��。
隨著世界經(jīng)濟(jì)全球化和信息技術(shù)的發(fā)展��,各企業(yè)之間的電子信息流成為構(gòu)建新一代商業(yè)模式的關(guān)鍵��。上述的Extranet就是溝通不同企事業(yè)單位的信息橋梁�����。目前����,訪問Extranet站點(diǎn)的常用方式有兩種(1)使用公網(wǎng)地址訪問Extranet的站點(diǎn)不同企業(yè)使用公網(wǎng)IP地址訪問其他企業(yè)在Extranet VPN內(nèi)的站點(diǎn)���,使得企業(yè)外部的用戶能夠有機(jī)會訪問該Extranet站點(diǎn)。但是���,也為針對該企業(yè)網(wǎng)的非法攻擊提供了通道�����,降低了企業(yè)網(wǎng)的整體安全性�����。因此各站點(diǎn)都使用密碼����、用戶簽名等方式對訪問站點(diǎn)的要求進(jìn)行控制��。該方式的Extranet VPN適用于信息的維護(hù)和傳播����。
(2)使用私網(wǎng)地址訪問Extranet站點(diǎn)不同企業(yè)的站點(diǎn)通過隧道在公網(wǎng)上實(shí)現(xiàn)互連��,通過隧道建立Extranet站點(diǎn)之間的連接,使用私網(wǎng)地址相互訪問Extranet站點(diǎn)���。該方式的Extranet站點(diǎn)信息不會暴露在公網(wǎng)上���,企業(yè)之間的通信信息可以使用多種安全機(jī)制予以保護(hù)。該方式適合于構(gòu)建各企業(yè)間合作關(guān)系密切����、信息交互量大,又需要保密的Extranet����。但是由于構(gòu)建Extranet VPN的企業(yè)網(wǎng)的地址空間是私有的,可以重疊�。構(gòu)建Extranet VPN的企業(yè)如何在各自的地址空間內(nèi)訪問其他企業(yè)的站點(diǎn)是IP方式ExtranetVPN要解決的關(guān)鍵問題。因?yàn)槠髽I(yè)地址空間通常是私有的��,可以重疊���。如何在不同企業(yè)的私網(wǎng)內(nèi)部唯一地標(biāo)示Extranet站點(diǎn)的IP地址�,是使用私網(wǎng)地址訪問形式構(gòu)建Extranet VPN時無法回避和必須要解決的問題���。為了使不同企業(yè)間可以用私網(wǎng)地址訪問Extranet站點(diǎn)���,現(xiàn)在Extranet VPN中站點(diǎn)的IP地址分配通常使用兩種方式(A)構(gòu)建Extranet VPN時各個不同企業(yè)達(dá)成協(xié)議�����,在Extranet VPN中站點(diǎn)在各企業(yè)網(wǎng)地址空間內(nèi)具有相同的私網(wǎng)地址�。該方法需要不同企業(yè)之間達(dá)成協(xié)議�����,而且有可能改變某些企業(yè)原有的IP地址分配策略�����,因此缺乏靈活性���。
(B)構(gòu)建Extranet VPN的各個企業(yè)在Intranet的邊界(即企業(yè)網(wǎng)關(guān))上提供網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT�,Net address transfor)功能��,實(shí)現(xiàn)本企業(yè)私網(wǎng)地址空間到相關(guān)企業(yè)的私網(wǎng)地址空間的轉(zhuǎn)換��。某一企業(yè)要訪問處于另一企業(yè)內(nèi)部的Extranet站點(diǎn)時�,需要在企業(yè)網(wǎng)關(guān)處把源IP地址和目的IP地址由本企業(yè)的私網(wǎng)地址轉(zhuǎn)換為另一企業(yè)的私網(wǎng)地址。因?yàn)槊總€企業(yè)私網(wǎng)地址分配的原則不同,所以每一對企業(yè)的連接都需要設(shè)置不同的NAT原則�����。該方法在有新的企業(yè)加入或撤離時�,修改可能涉及多個企業(yè)站點(diǎn)���,配置工作量大����,響應(yīng)速度慢���。因此�����,如何能夠更簡便�、容易地構(gòu)建和管理眾多企業(yè)共享的Extranet VPN�����,已經(jīng)成為許多業(yè)內(nèi)人士探索和研究的課題���。
本發(fā)明的目的是提供一種使用虛擬路由器(Virtual Route)構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng)(Extranet VPN)�����,使用VR和已經(jīng)成熟的多種成員自動發(fā)現(xiàn)方法�����,可以簡化VPN的配置��,在Intranet的基礎(chǔ)上比較容易地建立Extranet���;而且��,Extranet的建立不會影響各個企業(yè)原有的網(wǎng)絡(luò)規(guī)劃��,實(shí)現(xiàn)了Intranet和Extranet的隔離��。該系統(tǒng)的網(wǎng)絡(luò)管理工作比較簡單�,能夠增加運(yùn)營商的利潤����。
本發(fā)明的另一目的是提供一種使用虛擬路由器(Virtual Route)構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種使用虛擬路由器(VR)構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng)��,包括有多個企業(yè)內(nèi)部網(wǎng)(Intranet)和這些企業(yè)共享的企業(yè)外部虛擬專網(wǎng)(Extranet VPN);其特征在于所述的每個企業(yè)內(nèi)部網(wǎng)內(nèi)都分別設(shè)有一個外部虛擬路由器(Extranet VR)��,每個企業(yè)內(nèi)部網(wǎng)內(nèi)的各個站點(diǎn)分別通過其內(nèi)部網(wǎng)中的外部虛擬路由器(Extranet VR)接入企業(yè)外部虛擬專網(wǎng)(ExtranetVPN)�����;該外部虛擬路由器(Extranet VR)由地址轉(zhuǎn)換和接入控制組件(NAT&ACL)�����、路由發(fā)布組件以及虛擬路由器(VR)三部分組成����;其中地址轉(zhuǎn)換和接入控制組件(NAT&ACL)用于Extranet地址與Intranet地址的相互轉(zhuǎn)換及設(shè)置Extranet的訪問控制和安全控制���;路由發(fā)布組件用于獲取VR路由表中的Extranet路由�����,把路由表中的Extranet地址轉(zhuǎn)換為Intranet地址后向Intranet發(fā)布��;把該企業(yè)的Extranet站點(diǎn)的Intranet地址轉(zhuǎn)換為Extranet地址后導(dǎo)入VR的Exranet路由表中���;虛擬路由器(VR)用于管理和維護(hù)Extranet VPN各站點(diǎn)的虛擬路由器之間的IP隧道;在Extranet VPN地址空間內(nèi)發(fā)布路由信息,轉(zhuǎn)發(fā)IP報文給Extranet的下一跳����;創(chuàng)建一個模擬物理接口功能并配置Extranet地址的虛接口,VR通過該虛接口接收或發(fā)送IP報文�����。
所述的路由發(fā)布組件向Intranet發(fā)布路由時���,可以任意選擇各種路由協(xié)議����。
所述的地址轉(zhuǎn)換(NAT)組件是由配置管理接口模塊�、數(shù)據(jù)表維護(hù)模塊和操作虛擬路由器的轉(zhuǎn)發(fā)表(FIB)接口模塊組成;所述的接入控制(ACL)組件則由配置管理接口模塊����、數(shù)據(jù)表維護(hù)模塊與操作虛擬路由器的轉(zhuǎn)發(fā)表(FIB)接口模塊和路由發(fā)布模塊的接口組成。
所述的路由發(fā)布組件是由配置管理模塊和路由器的路由表(RIB)接口組成��。
所述的虛擬路由器(VR)是由路由表(RIB)���、轉(zhuǎn)發(fā)表(FIB)和轉(zhuǎn)發(fā)引擎組成�。
所述的路由信息中的IP地址使用Extranet VPN的私網(wǎng)地址,且各個外部虛擬路由器之間可以使用任意的路由協(xié)議發(fā)布路由信息�。
所述的虛接口配置的Extranet地址,在VR的路由表中是到達(dá)Extranet VR連接的企業(yè)的Extranet站點(diǎn)的下一跳����;到達(dá)該虛接口的Extranet報文被送往地址轉(zhuǎn)換和接入控制組件處理后,發(fā)送給Intranet�;Intranet發(fā)往Extranet的報文經(jīng)地址轉(zhuǎn)換和接入控制組件處理后,經(jīng)由該虛接口交給VR在Extranet空間進(jìn)行IP轉(zhuǎn)發(fā)��。
一個企業(yè)內(nèi)部網(wǎng)(Intranet)里可以設(shè)置多個外部虛擬路由器(Extranet VR)����,且其中的每個外部虛擬路由器(Extranet VR)分別從屬于不同的外部虛擬專網(wǎng)(Extranet VPN)����,使該企業(yè)能夠參與多個不同的企業(yè)外部虛擬專網(wǎng)(ExtranetVPN)的組建。
本發(fā)明的另一目的是這樣實(shí)現(xiàn)的一種使用虛擬路由器(Virtual Route)構(gòu)建企業(yè)外部虛擬專網(wǎng)(Extranet VPN)系統(tǒng)的方法�����,其特征在于每個企業(yè)內(nèi)部網(wǎng)(Intranet)的站點(diǎn)加入Extranet過程包括下列步驟(1)參與建立Extranet VPN的各企業(yè)確定Extranet VPN地址的分配規(guī)則����,每個企業(yè)分別占用一段彼此獨(dú)立的Extranet地址空間�,各企業(yè)的Extranet地址段不能重復(fù)��;(2)每個企業(yè)向因特網(wǎng)服務(wù)提供商ISP申請一個外部虛擬路由器(ExtranetVR)���,并把其需要加入Extranet的各個站點(diǎn)通過運(yùn)行路由協(xié)議的路由器連接到該外部虛擬路由器(Extranet VR)上��;(3)每個企業(yè)分別確定Intranet地址與Extranet地址的轉(zhuǎn)換關(guān)系��,且Intranet地址與Extranet地址逐一對應(yīng)�,以便能夠?qū)⒏鱾€Intranet地址轉(zhuǎn)換為該企業(yè)占用的Extranet地址空間內(nèi)唯一的一個地址�;(4)設(shè)置接入控制規(guī)則,以限制只有授權(quán)的內(nèi)部站點(diǎn)才能訪問Extranet�����,而其他企業(yè)的Extranet站點(diǎn)只能訪問該企業(yè)允許其訪問的Intranet站點(diǎn)�����。
所述的步驟(2)中的外部虛擬路由器(Extranet VR)在向Intranet轉(zhuǎn)發(fā)報文時��,缺省路徑或直接地把所有數(shù)據(jù)報文發(fā)送到與之相連的Intranet內(nèi)部的路由器去��。
所述的步驟(3)中的每個企業(yè)的Intranet地址與Extranet地址的轉(zhuǎn)換是由兩次映射完成的(31)將各企業(yè)Intranet站點(diǎn)按照一定的映射關(guān)系唯一地映射到統(tǒng)一的Extranet地址空間����,并把Intranet站點(diǎn)在Extranet中映射的虛擬站點(diǎn)的路由信息導(dǎo)入Extranet路由表����;(32)將Extranet上各企業(yè)Intranet站點(diǎn)占有的地址空間利用另一系列映射關(guān)系映射到其它企業(yè)Intranet內(nèi)的地址空間�����。
所述的步驟(4)中的接入控制規(guī)則中可設(shè)置接入控制策略���,對接入的IP報文內(nèi)容進(jìn)行過濾�,禁止某些存在安全隱患的報文通過�。
該方法進(jìn)行IP報文轉(zhuǎn)發(fā)處理的步驟是(A)在外部虛擬路由器(Extranet VR)之間建立IP隧道,搭建不同企業(yè)站點(diǎn)之間的數(shù)據(jù)通道�����;(B)傳遞Extranet站點(diǎn)的可達(dá)信息���;(C)轉(zhuǎn)發(fā)Extranet站點(diǎn)的數(shù)據(jù)報文。
其中步驟(B)進(jìn)一步包含下述步驟(B1)先在Extranet空間傳遞可達(dá)信息新加入Extranet的企業(yè)站點(diǎn)在Extranet地址空間獲取一個Extranet地址后����,與該站點(diǎn)連接的該外部虛擬路由器(ExtranetVR)把該地址的可達(dá)路由信息通知給同一Extranet VPN的其他外部虛擬路由器(Extranet VR)���,使得在Extranet上所有的外部虛擬路由器(Extranet VR)都知道要到達(dá)該新加入的站點(diǎn)需要把報文先發(fā)給與之連接的該外部虛擬路由器(Extranet VR);(B2)再在各個企業(yè)Intranet空間傳遞可達(dá)信息各企業(yè)的外部虛擬路由器(Extranet VR)把新獲取的Extranet站點(diǎn)可達(dá)路由信息由Extranet轉(zhuǎn)換到本企業(yè)的Intranet空間����。
其中步驟(C)進(jìn)一步包含下述步驟(C1)先在本企業(yè)的Intranet空間轉(zhuǎn)發(fā)報文本企業(yè)站點(diǎn)使用另一企業(yè)站點(diǎn)在本企業(yè)Intranet地址空間內(nèi)映射的Intranet地址作為目的IP地址發(fā)送報文,本企業(yè)Intranet路由器把報文轉(zhuǎn)發(fā)給本企業(yè)的Extranet VR��。
(C2)在Extranet空間轉(zhuǎn)發(fā)報文本企業(yè)的Extranet VR收到報文后��,使用控制規(guī)則對報文進(jìn)行檢查�;若檢查不通過,則丟失報文�����;若檢查通過��,則把該IP報文中Intranet地址轉(zhuǎn)換為Extranet地址���,利用Extranet路由信息通過IP隧道把報文轉(zhuǎn)發(fā)給另一企業(yè)的Extranet VR��;(C3)在另一企業(yè)的Intranet空間轉(zhuǎn)發(fā)報文另一企業(yè)的Extranet VR收到報文后�����,使用控制規(guī)則對報文進(jìn)行檢查�����;若檢查不通過�����,則丟失報文��;若檢查通過����,則把該IP報文中Extranet地址轉(zhuǎn)換為該另一企業(yè)的Intranet地址,然后轉(zhuǎn)發(fā)給該另一企業(yè)的Intranet路由器���;該另一企業(yè)Intranet路由器利用Intranet路由信息把報文送給本企業(yè)中的目的站點(diǎn)����。
因?yàn)槊總€企業(yè)與其他企事業(yè)單位存在著不同的合作關(guān)系�����,所以每個企業(yè)會有與不同的企事業(yè)單位組成不同的企業(yè)外部虛擬專網(wǎng)(Extranet VPN)的需求���。而這種企業(yè)外部虛擬專網(wǎng)(Extranet VPN)的構(gòu)建與擴(kuò)展涉及到各個合作伙伴間的網(wǎng)絡(luò)結(jié)構(gòu)����、法律�、技術(shù)、經(jīng)濟(jì)�����、安全����、策略等許多方面的協(xié)作,構(gòu)建的難度要遠(yuǎn)遠(yuǎn)高于企業(yè)內(nèi)部網(wǎng)(Intranet)�。
本發(fā)明提供了一種使用虛擬路由器(VR,Virtual Route)構(gòu)建的企業(yè)外部虛擬專網(wǎng)(Extranet VPN)系統(tǒng)及其構(gòu)建方法����,該系統(tǒng)是利用虛擬路由器(VR)在Intranet基礎(chǔ)上建立的,比較容易實(shí)現(xiàn)�;使用該Extranet VPN能夠?qū)崿F(xiàn)不同企業(yè)間站點(diǎn)的IP層互連。而且����,該Extranet的建立不會影響各個企業(yè)原有的網(wǎng)絡(luò)規(guī)劃��,實(shí)現(xiàn)了Intranet和Extranet的隔離����。另一方面�,虛擬路由器的自動發(fā)現(xiàn)方法使Extranet VPN的構(gòu)建過程自動化,即各個企業(yè)間的Extranet站點(diǎn)的路由關(guān)系是自動發(fā)現(xiàn)�����、自動建立的���,簡化了構(gòu)建Extranet VPN的配置工作����。因此加入和撤離Extranet�,只要對增加或撤離的企業(yè)的VR進(jìn)行配置,其他站點(diǎn)將自動獲取這些信息����,簡化了配置的工作量。本發(fā)明采用靈活的地址轉(zhuǎn)換規(guī)則使得企業(yè)可以任意地安排外部站點(diǎn)在本企業(yè)內(nèi)映射的地址范圍�,能夠有效地控制外部站點(diǎn)的訪問要求��,同時可以避免企業(yè)外部網(wǎng)建設(shè)對企業(yè)原有網(wǎng)絡(luò)規(guī)劃的影響。再者���,本發(fā)明使用虛擬路由器構(gòu)建的Extranet VPN安全性能很好���。因?yàn)镋xtranet VPN是使用私網(wǎng)地址,使得Extranet中的站點(diǎn)不會在公網(wǎng)上出現(xiàn)��,Extranet外部的站點(diǎn)無法獲知和訪問Extranet內(nèi)的站點(diǎn)��。最后,Extranet VR之間使用IP隧道進(jìn)行報文傳送����,可以使用現(xiàn)有的安全認(rèn)證系統(tǒng)和加密方法��,防止報文內(nèi)容被外部截取和破譯����。此外,本發(fā)明的系統(tǒng)還提供了接入控制組件�,可以限制一個Extranet內(nèi)的各企業(yè)之間信息的傳遞能力,防止一個企業(yè)的商業(yè)機(jī)密被具有合作關(guān)系的其他企業(yè)獲取��。總之�,使用本發(fā)明可以比較簡便、安全地使一個企業(yè)與多個Extranet VR相連�,每個Extranet VR使該企業(yè)接入不同的Extranet,這樣就能很好地滿足一個企業(yè)參與多Extranet VPN以獲取其自身最大發(fā)展的要求��。
圖2是本發(fā)明使用虛擬路由器(VR)使一個企業(yè)參與構(gòu)建多個企業(yè)外部虛擬專網(wǎng)(Extranet VPN)的結(jié)構(gòu)組成示意圖���。
圖3是本發(fā)明使用虛擬路由器(VR)構(gòu)建企業(yè)外部虛擬專網(wǎng)(ExtranetVPN)系統(tǒng)的Extranet地址空間轉(zhuǎn)換示意圖���。
圖4是本發(fā)明的一實(shí)施例的構(gòu)建過程和數(shù)據(jù)處理流程示意圖。
參見
圖1����,本發(fā)明是一種使用虛擬路由器(VR)構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng),包括有多個企業(yè)內(nèi)部網(wǎng)(如圖中的Intranet1�����、Intranet2)和這些企業(yè)共享的企業(yè)外部虛擬專網(wǎng)(Extranet VPN)�;其特點(diǎn)是在每個企業(yè)內(nèi)部網(wǎng)Intranet1、Intranet2內(nèi)分別設(shè)有外部站點(diǎn)site1和site2參與組建Extranet VPN�����,外部站點(diǎn)site1和site2分別通過其內(nèi)部網(wǎng)的路由器(圖1中的圓盤)連接到各自的外部虛擬路由器(Extranet VR)。進(jìn)而接入企業(yè)外部虛擬專網(wǎng)(Extranet VPN)����。如圖1所示����,每個外部虛擬路由器(Extranet VR)由地址轉(zhuǎn)換和接入控制組件(NAT&ACL)、路由發(fā)布組件以及虛擬路由器(VR)三部分組成����。其中地址轉(zhuǎn)換(NAT)組件是由配置管理接口模塊、數(shù)據(jù)表維護(hù)模塊和操作虛擬路由器的轉(zhuǎn)發(fā)表(FIB)接口模塊組成����;接入控制(ACL)組件則由配置管理接口模塊、數(shù)據(jù)表維護(hù)模塊與操作虛擬路由器的轉(zhuǎn)發(fā)表(FIB)接口模塊和路由發(fā)布模塊的接口組成�����。路由發(fā)布組件是由配置管理模塊和路由器的路由表(RIB)接口組成���。虛擬路由器(VR)是由路由表(RIB)��、轉(zhuǎn)發(fā)表(FIB)和轉(zhuǎn)發(fā)引擎組成����。當(dāng)有報文從Intranet發(fā)往Extranet時,該報文需要先接受接入控制(ACL)組件的原則檢查��,如果檢查通過���,則把報文交給地址轉(zhuǎn)換(NAT)組件進(jìn)行地址轉(zhuǎn)換�����,最后交給虛擬路由器(VR)轉(zhuǎn)發(fā)�;當(dāng)有報文從Extranet發(fā)往Intranet時���,該報文先由地址轉(zhuǎn)換(NAT)組件進(jìn)行地址轉(zhuǎn)換��,然后通過接入控制(ACL)組件的原則檢查�,再發(fā)往Intranet�。
其中地址轉(zhuǎn)換和接入控制組件(NAT&ACL)承擔(dān)的功能是設(shè)置Extranet地址與Intranet地址的轉(zhuǎn)換規(guī)則;對進(jìn)入Extranet的IP報文進(jìn)行Intranet私網(wǎng)地址到Extranet私網(wǎng)地址的轉(zhuǎn)換���,對進(jìn)入Intranet的報文進(jìn)行Extranet地址到Intranet地址的轉(zhuǎn)換����;對Intranet內(nèi)的用戶訪問Extranet進(jìn)行訪問控制,只有被授權(quán)的Intranet內(nèi)部站點(diǎn)才可以訪問Extranet�;根據(jù)需要設(shè)置集成防火墻類的安全控制功能。
路由發(fā)布組件承擔(dān)的功能是獲取VR路由表中的Extranet路由���,把路由表中的Extranet地址轉(zhuǎn)換為Intranet地址后向Intranet發(fā)布��;把該企業(yè)的Extranet站點(diǎn)的Intranet地址轉(zhuǎn)換為Extranet地址,并把這些Extranet地址導(dǎo)入VR的Extranet路由表中��。在路由發(fā)布組件向Intranet發(fā)布路由時�,可以任意選擇各種路由協(xié)議。
虛擬路由器(VR)承擔(dān)的功能是管理和維護(hù)Extranet VPN各站點(diǎn)的虛擬路由器之間的IP隧道�����;在Extranet VPN地址空間內(nèi)發(fā)布路由信息���,即Extranet的站點(diǎn)可達(dá)信息�����;該路由信息中的IP地址使用Extranet VPN的私網(wǎng)地址�,且各個外部虛擬路由器之間可以使用任意的路由協(xié)議發(fā)布路由信息���。根據(jù)IP報文的目的Extranet VPN私網(wǎng)地址把IP報文轉(zhuǎn)發(fā)給Extranet的下一跳��;創(chuàng)建一個模擬物理接口功能并配置Extranet地址的虛接口�����,虛擬路由器(VR)通過該虛接口從Intranet接收IP報文��,也通過該虛接口向Intranet發(fā)送報文����。為虛接口配置的Extranet地址,在VR的路由表中是到達(dá)Extranet VR連接的企業(yè)的Extranet站點(diǎn)的下一跳��;到達(dá)該虛接口的Extranet報文被送往地址轉(zhuǎn)換和接入控制組件處理后�,發(fā)送給Intranet;Intranet發(fā)往Extranet的報文經(jīng)地址轉(zhuǎn)換和接入控制組件處理后�,經(jīng)由該虛接口交給VR在Extranet空間進(jìn)行IP轉(zhuǎn)發(fā)。
需要說明的是一個企業(yè)內(nèi)部網(wǎng)(Intranet)可以設(shè)置多個外部虛擬路由器(Extranet VR)����,且其中的每個外部虛擬路由器(Extranet VR)分別從屬于不同的外部虛擬專網(wǎng)(Extranet VPN),這樣可以實(shí)現(xiàn)一個企業(yè)參與多個不同的企業(yè)外部虛擬專網(wǎng)(Extranet VPN)的組建����。參見圖2�,圖中企業(yè)內(nèi)部網(wǎng)Intranet1中設(shè)有兩個外部站點(diǎn)site1和site2����,這兩個外部站點(diǎn)site1和site2分別通過其內(nèi)部網(wǎng)的路由器連接到外部虛擬路由器1和外部虛擬路由器2。其中外部虛擬路由器1與另一個企業(yè)內(nèi)部網(wǎng)Intranet2的外部站點(diǎn)3及外部虛擬路由器3一起參與組建Extranet VPN1�����;而外部虛擬路由器2與又一個企業(yè)內(nèi)部網(wǎng)Intranet3的外部站點(diǎn)4及外部虛擬路由器4一起參與組建Extranet VPN2�����。
從企業(yè)的角度看���,Extranet是Intranet的擴(kuò)展,屬于Extranet的站點(diǎn)可看作是與其他企業(yè)合作的企業(yè)Intranet的一部分���;從參與組建Extranet的站點(diǎn)角度看���,各個企業(yè)由于合作關(guān)系又形成了一個新團(tuán)體,而Extranet可以看作是這新的協(xié)作團(tuán)體的Intranet����。因此��,Extranet可以認(rèn)為是多個企業(yè)Intranet之上承載的一個虛擬的Intranet���。
參見圖3,本發(fā)明系統(tǒng)的設(shè)計思想或核心原理是進(jìn)行兩次地址空間的映射
首先�����,每個企業(yè)將參與組建Extranet的各自的外部站點(diǎn)Intranet私網(wǎng)地址通過地址轉(zhuǎn)換策略轉(zhuǎn)換得到一個互相獨(dú)立的Extranet地址�����。一方面�����,各個企業(yè)占用的Extranet地址空間范圍應(yīng)根據(jù)協(xié)議事先劃定�,不能重疊;另一方面�,地址轉(zhuǎn)換策略保證了每個企業(yè)的Intranet地址與Extranet地址的一一對應(yīng)。因此不同企業(yè)的外部站點(diǎn)在Extranet地址空間中都具有唯一的Extranet地址��,不會出現(xiàn)地址重疊���。也就是說����,在Extranet地址空間內(nèi),根據(jù)Extranet地址就可以唯一地定位一個外部站點(diǎn)����。各個企業(yè)的外部站點(diǎn)被映射到統(tǒng)一的Extranet地址空間,使得每個企業(yè)只要關(guān)心其自身的Intranet地址與Extranet地址的轉(zhuǎn)換關(guān)系���,而不需要關(guān)心與其他企業(yè)私網(wǎng)地址的轉(zhuǎn)換關(guān)系���。
接著,把該企業(yè)的Extranet站點(diǎn)映射到另一企業(yè)的Intranet空間中�����,在另一企業(yè)的Intranet空間里能夠看到其他企業(yè)的Extranet站點(diǎn)�。這樣就使得該Intranet內(nèi)的各站點(diǎn)訪問Extranet站點(diǎn)的問題轉(zhuǎn)換為Intranet內(nèi)的各站點(diǎn)與另一個Intranet地址的通信���,從而無需知道其目的站點(diǎn)是否是Intranet站點(diǎn)還是Extranet站點(diǎn)���。
總之,本發(fā)明使用上述地址轉(zhuǎn)換方法,把企業(yè)的外部站點(diǎn)映射到Extranet地址空間上�����,使各個企業(yè)的外部站點(diǎn)位于統(tǒng)一的Extranet地址空間內(nèi)�,并以Extranet地址為標(biāo)示組成了一個虛擬的企業(yè)協(xié)作團(tuán)體的Intranet。采用這種方式�,各個企業(yè)只要關(guān)心其自身的Intranet地址與Extranet地址的轉(zhuǎn)換關(guān)系,不需要關(guān)心與其他企業(yè)私網(wǎng)地址的轉(zhuǎn)換關(guān)系��。另外采用本發(fā)明的方法���,各企業(yè)的Extranet站點(diǎn)使用Extranet私網(wǎng)地址通信���;不使用公網(wǎng)地址,也就不會受到公網(wǎng)上其他系統(tǒng)的攻擊�����。
在圖3中����,粗實(shí)線框sit1和sit2分別是企業(yè)A的Intranet1里的站點(diǎn)(IPin11)和企業(yè)B的Intranet2里的站點(diǎn)(IPin22),它們是物理站點(diǎn)�,其Intranet地址分別為IPin11和IPin22。而細(xì)實(shí)線框則是映射的邏輯站點(diǎn)。其中IPex1是企業(yè)A的站點(diǎn)site1在Extranet VPN映射的Extranet地址��,IPex2則是企業(yè)B的站點(diǎn)site2在ExtranetVPN映射的Extranet地址�����。IPin12是企業(yè)B的VPN2站點(diǎn)site2在企業(yè)A的VPN1空間內(nèi)映射的Intranet地址���,IPin21則是企業(yè)A的VPN1的站點(diǎn)site1在企業(yè)B的VPN2空間內(nèi)映射的Intranet地址�����。
在本發(fā)明中�,Intranet與Extranet的地址轉(zhuǎn)換關(guān)系可以是一個關(guān)系集合��。舉例來說�,假設(shè)Intranet地址段Ain映射到Extranet地址段Aex的函數(shù)為Fa,Extranet地址段Bex映射到Intranet地址段Bin的函數(shù)是Fb���,那么�,該企業(yè)Intranet-Extranet地址轉(zhuǎn)換關(guān)系可表示為F=Fa���;Ain->AexFb;Bin->Bex依據(jù)上述約定,企業(yè)Intranet內(nèi)的各個站點(diǎn)可以利用一種映射關(guān)系而被唯一地映射到其所占用的Extranet地址空間�,同時Extranet上其他企業(yè)占有的地址空間也可以利用另一種映射關(guān)系被映射到該企業(yè)Intranet內(nèi)的一個任意的地址空間。這樣保證了企業(yè)對Intranet地址使用的靈活性�,避免Extranet的引入對企業(yè)原有的Intranet地址分配策略的影響。
本發(fā)明還提供了一種使用虛擬路由器(Virtual Route)構(gòu)建企業(yè)外部虛擬專網(wǎng)(Extranet VPN)系統(tǒng)的方法�����,也就是每個企業(yè)內(nèi)部網(wǎng)(Intranet)的站點(diǎn)加入Extranet過程包括有下列步驟(1)參與建立Extranet VPN的各企業(yè)確定Extranet VPN地址的分配規(guī)則��,每個企業(yè)分別占用一段彼此獨(dú)立的Extranet地址空間��,各企業(yè)的Extranet地址段不能重復(fù)����;(2)每個企業(yè)向因特網(wǎng)服務(wù)提供商ISP申請一個外部虛擬路由器(ExtranetVR),并把其需要加入Extranet的各個站點(diǎn)通過運(yùn)行路由協(xié)議的路由器連接到該外部虛擬路由器(Extranet VR)上���;外部虛擬路由器(Extranet VR)在向Intranet轉(zhuǎn)發(fā)報文時�,缺省路徑或直接地把所有數(shù)據(jù)報文發(fā)送到與之相連的Intranet內(nèi)部的路由器去�。
(3)每個企業(yè)分別確定Intranet地址與Extranet地址的轉(zhuǎn)換關(guān)系該企業(yè)Intranet內(nèi)的站點(diǎn)使用一種映射關(guān)系被唯一地映射到其所占用的Extranet地址空間,同時Extranet上其他企業(yè)占有的地址空間利用另一種映射關(guān)系被映射到該企業(yè)Intranet的一個任意的地址空間上���。且Intranet地址與Extranet地址逐一對應(yīng)�,以便能夠?qū)⒏鱾€Intranet地址轉(zhuǎn)換為該企業(yè)占用的Extranet地址空間內(nèi)唯一的一個地址。而且���,每個企業(yè)的Intranet地址與Extranet地址的轉(zhuǎn)換關(guān)系是可以分段獨(dú)立進(jìn)行的�����,每一段地址的轉(zhuǎn)換關(guān)系可以是不同的��。使用分段映射的方法�,可以使得一個企業(yè)能夠有效地把多個外部站點(diǎn)映射到有限的Extranet地址范圍中去����,同時靈活地把其他企業(yè)的外部站點(diǎn)映射到本企業(yè)Intranet地址范圍中沒有占用的空間中去。這樣可以減少建立Extranet的復(fù)雜性減少建立Extranet對企業(yè)原有Intranet的影響�����。
(4)設(shè)置接入控制規(guī)則���,以限制只有授權(quán)的內(nèi)部站點(diǎn)才能訪問Extranet�,而其他企業(yè)的Extranet站點(diǎn)只能訪問該企業(yè)允許其訪問的Intranet站點(diǎn)����;還可設(shè)置接入控制策略���,對接入的IP報文內(nèi)容進(jìn)行過濾����,禁止某些存在安全隱患的報文通過。
使用本發(fā)明的方法構(gòu)建Extranet VPN時��,進(jìn)行IP報文轉(zhuǎn)發(fā)處理的步驟是(A)在外部虛擬路由器(Extranet VR)之間建立IP隧道���,搭建不同企業(yè)站點(diǎn)之間的數(shù)據(jù)通道�����;這一步可以運(yùn)用VR自動發(fā)現(xiàn)方法減少配置工作量�����。
(B)傳遞Extranet站點(diǎn)的可達(dá)信息�;該步驟又可細(xì)分為(B1)先在Extranet空間傳遞可達(dá)信息新加入Extranet的某企業(yè)站點(diǎn)在Extranet地址空間獲取一個Extranet地址后�����,與該站點(diǎn)連接的該外部虛擬路由器(Extranet VR)把該地址的可達(dá)路由信息通知給同一Extranet VPN的其他外部虛擬路由器(Extranet VR)���,使得在Extranet上所有的外部虛擬路由器(ExtranetVR)都知道要到達(dá)該新加入的站點(diǎn)需要把報文先發(fā)給與之連接的該外部虛擬路由器(Extranet VR)�;(B2)再在各個企業(yè)Intranet空間傳遞可達(dá)信息其他各企業(yè)的外部虛擬路由器(Extranet VR)把新獲取的Extranet站點(diǎn)可達(dá)路由信息由Extranet轉(zhuǎn)換到本企業(yè)的Intranet空間。這一步類似在其他企業(yè)內(nèi)部增加了一個虛擬的新站點(diǎn)����。一個企業(yè)的Extranet站點(diǎn)訪問另一個企業(yè)Extranet站點(diǎn)被轉(zhuǎn)換成一個企業(yè)的Extranet站點(diǎn)在本企業(yè)的Intranet地址空間訪問一個特定的地址。Extranet站點(diǎn)在相互訪問時并不會感覺到它們處于不同企業(yè)的Intranet�����。
(C)轉(zhuǎn)發(fā)Extranet站點(diǎn)數(shù)據(jù)的報文���。該步驟又可細(xì)分為(C1)先在本企業(yè)的Intranet空間轉(zhuǎn)發(fā)報文本企業(yè)站點(diǎn)使用另一企業(yè)站點(diǎn)在本企業(yè)Intranet地址空間內(nèi)映射的Intranet地址作為目的IP地址發(fā)送報文�,本企業(yè)Intranet路由器把報文轉(zhuǎn)發(fā)給本企業(yè)的Extranet VR��。
(C2)在Extranet空間轉(zhuǎn)發(fā)報文本企業(yè)的Extranet VR收到報文后�,使用控制規(guī)則對報文進(jìn)行檢查;若檢查不通過�����,則丟失報文����;若檢查通過���,則把該IP報文中Intranet地址轉(zhuǎn)換為Extranet地址,利用Extranet路由信息通過IP隧道把報文轉(zhuǎn)發(fā)給另一企業(yè)的Extranet VR��;(C3)在另一企業(yè)的Intranet空間轉(zhuǎn)發(fā)報文另一企業(yè)的Extranet VR收到報文后����,使用控制規(guī)則對報文進(jìn)行檢查�;若檢查不通過,則丟失報文��;若檢查通過����,則把該IP報文中Extranet地址轉(zhuǎn)換為該另一企業(yè)的Intranet地址,然后轉(zhuǎn)發(fā)給該另一企業(yè)的Intranet路由器�;該另一企業(yè)Intranet路由器利用Intranet路由信息把報文送給本企業(yè)中的目的站點(diǎn)。
參見圖4所示的實(shí)施例����,具體說明使用本發(fā)明方法構(gòu)建Extranet VPN的配置過程和數(shù)據(jù)處理流程。圖4中下方的左�、右兩側(cè)虛線之內(nèi)分別是企業(yè)A、B的兩個內(nèi)部網(wǎng)Intranet A和Intranet B�����,站點(diǎn)A在Intranet A內(nèi)的地址是1.0.0.1,站點(diǎn)B在Intranet B內(nèi)的地址也是1.0.0.1�。企業(yè)內(nèi)部網(wǎng)Intranet A的外部站點(diǎn)A與企業(yè)內(nèi)部網(wǎng)Intranet B的外部站點(diǎn)B構(gòu)成Extranet VPN,上方的細(xì)實(shí)線橢圓就是兩個企業(yè)組建的外部虛擬專網(wǎng)Extranet VPN的連接關(guān)系示意圖����。
首先介紹站點(diǎn)的配置過程企業(yè)A和企業(yè)B互相達(dá)成協(xié)議企業(yè)A占用Extranet空間是1.0.0.1-1.255.255.255的地址范圍,企業(yè)B占用Extranet空間是2.0.0.1-2.255.255.255的地址范圍�����。在圖4中的表示外部虛擬專網(wǎng)Extranet VPN的細(xì)實(shí)線大橢圓里面的兩個矩形方框則是這兩個企業(yè)A�、B的Extranet地址空間分布范圍。
企業(yè)A向ISP申請外部虛擬專網(wǎng)的虛擬路由器(exVR1)�����。企業(yè)A設(shè)置Intranet到Extranet地址轉(zhuǎn)換規(guī)則使得A站點(diǎn)的Intranet地址(1.0.0.1)在Extranet VPN中被映射為虛擬站點(diǎn)Ae���,其Extranet地址是1.0.0.2����。設(shè)置的Extranet到Intranet地址轉(zhuǎn)換規(guī)則使得外部Extranet站點(diǎn)地址被映射到(10.0.0.0-10.255.255.255)范圍內(nèi)。并設(shè)置控制規(guī)則只有A站點(diǎn)能夠訪問Extranet�,外部Extranet站點(diǎn)也只能夠訪問A站點(diǎn)。再配置其外部路由器exVR1的Intranet A的接口Intranet地址為2.0.0.2�,exVR1向Intranet A轉(zhuǎn)發(fā)使用配置缺省路由,下一跳(next hop)是與exVR1連接的Intranet路由器1的接口Intranet地址2.0.0.1��。配置外部路由器exVR1的內(nèi)部虛接口Extranet地址為1.0.0.1�����。
企業(yè)B向ISP申請外部虛擬專網(wǎng)的虛擬路由器(exVR2)���。企業(yè)B設(shè)置Intranet到Extranet地址轉(zhuǎn)換規(guī)則使得B站點(diǎn)的Intranet地址(1.0.0.1)在Extranet VPN中被映射為虛擬站點(diǎn)Be,其Extranet地址是2.0.0.2��。設(shè)置的Extranet到Intranet地址轉(zhuǎn)換規(guī)則使得外部Eextranet站點(diǎn)地址被映射到(10.0.0.0-10.255.255.255)范圍內(nèi)����。再設(shè)置控制規(guī)則只有B站點(diǎn)能夠訪問Extranet,外部Extranet站點(diǎn)也只能夠訪問B站點(diǎn)��。再配置其外部路由器exVR2的Intranet B的接口Intranet地址為2.0.0.2���,exVR2向Intranet B轉(zhuǎn)發(fā)使用配置缺省路由�����,下一跳(next hop)是與exVR2連接的Intranet路由器2的接口Intranet地址2.0.0.1����。配置外部路由器exVR2的內(nèi)部虛接口extranet地址為2.0.0.1。
配置exVR1和exVR2的屬性��,從而標(biāo)示出它們屬于同一個Extranet���。利用虛擬路由器自動發(fā)現(xiàn)方法����,exVR1和exVR2協(xié)商建立互連的IP隧道����。VR的VPN標(biāo)示方法和自動發(fā)現(xiàn)的具體實(shí)現(xiàn)方法可以參看相關(guān)文獻(xiàn)的說明,本文不再贅述���。
接著說明路由信息的傳遞過程1����、企業(yè)通過配置把站點(diǎn)A加入Extranet�,exVR1把站點(diǎn)A在Extranet中映射的虛站點(diǎn)Ae的路由信息導(dǎo)入Extranet路由表��。該路由在Extranet路由表中表示為目的(Dest)地址1.0.0.2�,下一跳(next hop)地址是1.0.0.1(即exVR1的虛接口Extranet地址)��。當(dāng)exVR1收到目的地址為1.0.0.2的報文���,就會把報文送到exVR1的虛接口去��。
2����、exVR1使用路由協(xié)議向exVR2發(fā)布Ae的路由信息�����。exVR2收到路由協(xié)議報文后把Ae的路由寫到自己的路由表中����。該路由在exVR2的Extranet路由表中表示為目的(Dest)地址1.0.0.2�����,下一跳(next hop)地址是3.0.0.1(即exVR1連接exVR2的隧道的exVR1端接口地址)����。
3��、exVR2的路由發(fā)布組件把Ae的路由向Intranet B發(fā)布���。路由發(fā)布組件把Ae的Extranet地址根據(jù)預(yù)先配置轉(zhuǎn)換策略轉(zhuǎn)換為10.0.0.1。10.0.0.1可以表示成一個Intranet B中的虛站點(diǎn)A′�。路由發(fā)布組件向Intranet發(fā)布10.0.0.1的路由過程與在Intranet B中加入一個具有10.0.0.1的實(shí)際站點(diǎn)的過程類似。與exVR2相連的路由器2收到exVR2路由發(fā)布組件的路由協(xié)議報文�����,把10.0.0.1的可達(dá)信息寫入路由器2的路由表中����,該路由表項(xiàng)表示為目的(Dest)地址10.0.0.1,下一跳(nexthop)地址是2.0.0.2(即exVR2連接路由器2的接口Intranet地址)�����。
4����、B站點(diǎn)通過與上述同樣的過程在Intranet A映射為虛站點(diǎn)B′,這里不再贅述��。
最后說明數(shù)據(jù)轉(zhuǎn)發(fā)處理的過程B站點(diǎn)需要發(fā)送IP報文給A站點(diǎn)時在Intranet B內(nèi)體現(xiàn)為B站點(diǎn)向虛擬站點(diǎn)A′發(fā)送IP報文,IP報文的目的地址10.0.0.1�,源地址1.0.0.1。路由器2收到該IP報文后��,使用目的地址10.0.0.1查找其路由表��。該路由表中目的地址(Dest)為10.0.0.1�,該表項(xiàng)的下一跳(Next Hop)地址是2.0.0.2。路由器2根據(jù)該下一跳地址可以獲知與下一跳直接相連的是地址為2.0.0.1的接口�,因此路由器2會把報文從地址為2.0.0.1的接口送給下一跳(即exVR2與Intranet B連接的接口)。
exVR2把IP報文送往NAT&ACL組件檢查報文的合法性因?yàn)樵吹刂?.0.0.1是企業(yè)B配置的Extranet站點(diǎn)��,所以該IP報文被允許發(fā)送到企業(yè)外部�。NAT&ACL模塊對IP報文的源地址和目的地址進(jìn)行地址轉(zhuǎn)換。IP報文的目的地址換成Ae的地址1.0.0.2�,源地址換成Be的地址2.0.0.2。IP報文進(jìn)入Extranet空間進(jìn)行轉(zhuǎn)發(fā)�����。exVR2先查路由表�,該路由表中目的地址(Dest)為1.0.0.2�����,該表項(xiàng)的下一跳(Next Hop)地址是3.0.0.1。路由器exVR2根據(jù)該下一跳地址可以獲知與下一跳直接相連的是地址為3.0.0.2的接口���,因此路由器exVR2對報文進(jìn)行隧道協(xié)議處理后��,把報文從地址為3.0.0.2的Extranet接口送給Extranet中的下一跳(即IP隧道另一端exVR1的Extranet接口)�,報文經(jīng)過隧道協(xié)議封裝后發(fā)給exVR1�����。
對端設(shè)備接收到報文后通過分析隧道封裝頭數(shù)據(jù)把去除隧道協(xié)議封裝后的報文交給exVR1�。exVR1在地址為3.0.0.1的Extranet接口收到該報文。exVR1使用該IP報文的目的地址1.0.0.2查找其extranet路由表����。通過查找路由表,目的地址為1.0.0.2的報文的下一跳是1.0.0.1��。exVR1發(fā)現(xiàn)1.0.0.1是自己的虛接口extranet地址�����,因此可以確定該報文是發(fā)向與它相連的Intranet A內(nèi)站點(diǎn)的�。exVR1把該報文交給NAT&ACL組件,經(jīng)過Extranet到Intranet地址轉(zhuǎn)換����,該IP報文目的地址換成1.0.0.1��,源地址換成站點(diǎn)B在Intranet A映射的虛站點(diǎn)B′地址10.0.0.1���。exVR1隨后對報文進(jìn)行合法性檢查,因?yàn)榈刂?.0.0.1是企業(yè)A配置的Extranet站點(diǎn)����,所以exVR1使用缺省路由或直接把該報文送到Intranet A內(nèi)路由器1與exVR1直接相連的接口(Intranet地址為2.0.0.1)。路由器1使用目的地址1.0.0.1在自己的路由表中查找到A站點(diǎn)的路由��。根據(jù)路由表中地址信息(Dest1.0.0.1���,Next Hop1.0.0.2)����,路由器獲知需要經(jīng)IP地址為1.0.0.2的接口把報文交給A站點(diǎn)�����。最后��,A站點(diǎn)收到報文�����。對于A站點(diǎn)來說��,報文似乎是從Intranet A內(nèi)的B′站點(diǎn)發(fā)送而來的���。而A站點(diǎn)向B站點(diǎn)發(fā)送報文的處理流程與上述過程完全類似��,在此不再詳述�����。
權(quán)利要求
1.一種使用虛擬路由器(VR)構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng)�����,包括有多個企業(yè)內(nèi)部網(wǎng)(Intranet)和這些企業(yè)共享的企業(yè)外部虛擬專網(wǎng)(Extranet VPN)���;其特征在于所述的每個企業(yè)內(nèi)部網(wǎng)內(nèi)都分別設(shè)有一個外部虛擬路由器(Extranet VR),每個企業(yè)內(nèi)部網(wǎng)內(nèi)的各個站點(diǎn)分別通過其內(nèi)部網(wǎng)中的外部虛擬路由器(Extranet VR)接入企業(yè)外部虛擬專網(wǎng)(Extranet VPN)����;該外部虛擬路由器(Extranet VR)由地址轉(zhuǎn)換和接入控制組件(NAT&ACL)、路由發(fā)布組件以及虛擬路由器(VR)三部分組成�;其中地址轉(zhuǎn)換和接入控制組件(NAT&ACL)用于Extranet地址與Intranet地址的相互轉(zhuǎn)換及設(shè)置Extranet的訪問控制和安全控制���;路由發(fā)布組件用于獲取VR路由表中的Extranet路由,把路由表中的Extranet地址轉(zhuǎn)換為Intranet地址后向Intranet發(fā)布�����;把該企業(yè)的Extranet站點(diǎn)的Intranet地址轉(zhuǎn)換為Extranet地址后導(dǎo)入VR的Exranet路由表中�;虛擬路由器(VR)用于管理和維護(hù)Extranet VPN各站點(diǎn)的虛擬路由器之間的IP隧道;在Extranet VPN地址空間內(nèi)發(fā)布路由信息��,轉(zhuǎn)發(fā)IP報文給Extranet的下一跳�;創(chuàng)建一個模擬物理接口功能并配置Extranet地址的虛接口,VR通過該虛接口接收或發(fā)送IP報文����。
2.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng),其特征在于所述的路由發(fā)布組件向Intranet發(fā)布路由時���,可以任意選擇各種路由協(xié)議���。
3.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng),其特征在于所述的地址轉(zhuǎn)換(NAT)組件是由配置管理接口模塊��、數(shù)據(jù)表維護(hù)模塊和操作虛擬路由器的轉(zhuǎn)發(fā)表(FIB)接口模塊組成;所述的接入控制(ACL)組件則由配置管理接口模塊�����、數(shù)據(jù)表維護(hù)模塊與操作虛擬路由器的轉(zhuǎn)發(fā)表(FIB)接口模塊和路由發(fā)布模塊的接口組成�。
4.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng)�����,其特征在于所述的路由發(fā)布組件是由配置管理模塊和路由器的路由表(RIB)接口組成���。
5.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng)���,其特征在于所述的虛擬路由器(VR)是由路由表(RIB)、轉(zhuǎn)發(fā)表(FIB)和轉(zhuǎn)發(fā)引擎組成�����。
6.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng)����,其特征在于所述的路由信息中的IP地址使用Extranet VPN的私網(wǎng)地址,且各個外部虛擬路由器之間可以使用任意的路由協(xié)議發(fā)布路由信息��。
7.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng),其特征在于所述的虛接口配置的Extranet地址����,在VR的路由表中是到達(dá)Extranet VR連接的企業(yè)的Extranet站點(diǎn)的下一跳;到達(dá)該虛接口的Extranet報文被送往地址轉(zhuǎn)換和接入控制組件處理后���,發(fā)送給Intranet�;Intranet發(fā)往Extranet的報文經(jīng)地址轉(zhuǎn)換和接入控制組件處理后����,經(jīng)由該虛接口交給VR在Extranet空間進(jìn)行IP轉(zhuǎn)發(fā)。
8.根據(jù)權(quán)利要求1所述的企業(yè)外部虛擬專網(wǎng)系統(tǒng)�����,其特征在于一個企業(yè)內(nèi)部網(wǎng)(Intranet)里可以設(shè)置多個外部虛擬路由器(Extranet VR)�����,且其中的每個外部虛擬路由器(Extranet VR)分別從屬于不同的外部虛擬專網(wǎng)(ExtranetVPN)����,使該企業(yè)能夠參與多個不同的企業(yè)外部虛擬專網(wǎng)(Extranet VPN)的組建。
9.一種使用虛擬路由器(Virtual Route)構(gòu)建企業(yè)外部虛擬專網(wǎng)(ExtranetVPN)系統(tǒng)的方法��,其特征在于每個企業(yè)內(nèi)部網(wǎng)(Intranet)的站點(diǎn)加入Extranet過程包括下列步驟(1)參與建立Extranet VPN的各企業(yè)確定Extranet VPN地址的分配規(guī)則,每個企業(yè)分別占用一段彼此獨(dú)立的Extranet地址空間���,各企業(yè)的Extranet地址段不能重復(fù)�;(2)每個企業(yè)向因特網(wǎng)服務(wù)提供商ISP申請一個外部虛擬路由器(ExtranetVR)��,并把其需要加入Extranet的各個站點(diǎn)通過運(yùn)行路由協(xié)議的路由器連接到該外部虛擬路由器(Extranet VR)上�;(3)每個企業(yè)分別確定Intranet地址與Extranet地址的轉(zhuǎn)換關(guān)系�����,且Intranet地址與Extranet地址逐一對應(yīng)���,以便能夠?qū)⒏鱾€Intranet地址轉(zhuǎn)換為該企業(yè)占用的Extranet地址空間內(nèi)唯一的一個地址�����;(4)設(shè)置接入控制規(guī)則�,以限制只有授權(quán)的內(nèi)部站點(diǎn)才能訪問Extranet��,而其他企業(yè)的Extranet站點(diǎn)只能訪問該企業(yè)允許其訪問的Intranet站點(diǎn)���。
10.根據(jù)權(quán)利要求9所述的構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法��,其特征在于所述的步驟(2)中的外部虛擬路由器(Extranet VR)在向Intranet轉(zhuǎn)發(fā)報文時����,缺省路徑或直接地把所有數(shù)據(jù)報文發(fā)送到與之相連的Intranet內(nèi)部的路由器去。
11.根據(jù)權(quán)利要求9所述的構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法���,其特征在于所述的步驟(3)中的每個企業(yè)的Intranet地址與Extranet地址的轉(zhuǎn)換是由兩次映射完成的(31)將各企業(yè)Intranet站點(diǎn)按照一定的映射關(guān)系唯一地映射到統(tǒng)一的Extranet地址空間��,并把Intranet站點(diǎn)在Extranet中映射的虛擬站點(diǎn)的路由信息導(dǎo)入Extranet路由表���;(32)將Extranet上各企業(yè)Intranet站點(diǎn)占有的地址空間利用另一系列映射關(guān)系映射到其它企業(yè)Intranet內(nèi)的地址空間。
12.根據(jù)權(quán)利要求9所述的構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法��,其特征在于所述的步驟(4)中的接入控制規(guī)則中可設(shè)置接入控制策略�����,對接入的IP報文內(nèi)容進(jìn)行過濾�����,禁止某些存在安全隱患的報文通過���。
13.根據(jù)權(quán)利要求9所述的構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法�����,其特征在于該方法進(jìn)行IP報文轉(zhuǎn)發(fā)處理的步驟是(A)在外部虛擬路由器(Extranet VR)之間建立IP隧道����,搭建不同企業(yè)站點(diǎn)之間的數(shù)據(jù)通道;(B)傳遞Extranet站點(diǎn)的可達(dá)信息��;(C)轉(zhuǎn)發(fā)Extranet站點(diǎn)的數(shù)據(jù)報文��。
14.根據(jù)權(quán)利要求13所述的構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法��,其特征在于其中步驟(B)進(jìn)一步包含下述步驟(B1)先在Extranet空間傳遞可達(dá)信息新加入Extranet的企業(yè)站點(diǎn)在Extranet地址空間獲取一個Extranet地址后��,與該站點(diǎn)連接的該外部虛擬路由器(ExtranetVR)把該地址的可達(dá)路由信息通知給同一Extranet VPN的其他外部虛擬路由器(Extranet VR)��,使得在Extranet上所有的外部虛擬路由器(Extranet VR)都知道要到達(dá)該新加入的站點(diǎn)需要把報文先發(fā)給與之連接的該外部虛擬路由器(Extranet VR)�;(B2)再在各個企業(yè)Intranet空間傳遞可達(dá)信息各企業(yè)的外部虛擬路由器(Extranet VR)把新獲取的Extranet站點(diǎn)可達(dá)路由信息由Extranet轉(zhuǎn)換到本企業(yè)的Intranet空間��。
15.根據(jù)權(quán)利要求13所述的構(gòu)建企業(yè)外部虛擬專網(wǎng)系統(tǒng)的方法�,其特征在于其中步驟(C)進(jìn)一步包含下述步驟(C1)先在本企業(yè)的Intranet空間轉(zhuǎn)發(fā)報文本企業(yè)站點(diǎn)使用另一企業(yè)站點(diǎn)在本企業(yè)Intranet地址空間內(nèi)映射的Intranet地址作為目的IP地址發(fā)送報文,本企業(yè)Intranet路由器把報文轉(zhuǎn)發(fā)給本企業(yè)的Extranet VR�。(C2)在Extranet空間轉(zhuǎn)發(fā)報文本企業(yè)的Extranet VR收到報文后,使用控制規(guī)則對報文進(jìn)行檢查�����;若檢查不通過,則丟失報文��;若檢查通過��,則把該IP報文中Intranet地址轉(zhuǎn)換為Extranet地址����,利用Extranet路由信息通過IP隧道把報文轉(zhuǎn)發(fā)給另一企業(yè)的Extranet VR;(C3)在另一企業(yè)的Intranet空間轉(zhuǎn)發(fā)報文另一企業(yè)的Extranet VR收到報文后��,使用控制規(guī)則對報文進(jìn)行檢查����;若檢查不通過,則丟失報文�����;若檢查通過����,則把該IP報文中Extranet地址轉(zhuǎn)換為該另一企業(yè)的Intranet地址,然后轉(zhuǎn)發(fā)給該另一企業(yè)的Intranet路由器���;該另一企業(yè)Intranet路由器利用Intranet路由信息把報文送給本企業(yè)中的目的站點(diǎn)�。
全文摘要
一種使用虛擬路由器構(gòu)建的企業(yè)外部虛擬專網(wǎng)系統(tǒng)及方法,該系統(tǒng)包括多個企業(yè)內(nèi)部網(wǎng)(Intranet)和這些企業(yè)共享的企業(yè)外部虛擬專網(wǎng)(Extranet VPN);其特征是:所述的每個企業(yè)內(nèi)部網(wǎng)內(nèi)都分別設(shè)有外部虛擬路由器(Extranet VR),每個企業(yè)內(nèi)部網(wǎng)內(nèi)的各個站點(diǎn)分別通過其內(nèi)部網(wǎng)中的外部虛擬路由器(Extranet VR)接入企業(yè)外部虛擬專網(wǎng)(Extranet VPN)該外部虛擬路由器(Extranet VR)由地址轉(zhuǎn)換和接入控制組件(NAT&ACL)、路由發(fā)布組件以及虛擬路由器(VR)三部分組成���。該系統(tǒng)的工作方法是進(jìn)行兩次地址空間的映射,利用地址轉(zhuǎn)換方法,把企業(yè)內(nèi)部站點(diǎn)映射到Extranet地址空間上,使各個企業(yè)的站點(diǎn)位于統(tǒng)一的Extranet空間內(nèi),并以Extranet地址為標(biāo)示組成了一個虛擬的企業(yè)協(xié)作團(tuán)體的Intranet�。
文檔編號H04L12/56GK1471275SQ0212530
公開日2004年1月28日 申請日期2002年7月23日 優(yōu)先權(quán)日2002年7月23日
發(fā)明者熊宇, 熊 宇 申請人:華為技術(shù)有限公司