專利名稱:實(shí)現(xiàn)虛擬專用網(wǎng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,具體涉及一種實(shí)現(xiàn)虛擬專用網(wǎng)的方法。
背景技術(shù):
VPN(虛擬專用網(wǎng))是指通過(guò)公共IP(因特網(wǎng)協(xié)議)網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道�����,將遠(yuǎn)程的分支辦公室�����、移動(dòng)辦公人員等連接起來(lái)的一種網(wǎng)絡(luò)方式����,其兼?zhèn)淞斯簿W(wǎng)和專用網(wǎng)的許多特點(diǎn)��,將公共網(wǎng)可靠的性能�、豐富的功能與專網(wǎng)的靈活��、高效結(jié)合在一起���,能夠?yàn)榭蛻艄?jié)省投資�,降低電信費(fèi)用����,目前得到了迅速的應(yīng)用。用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet(因特網(wǎng))����、幀中繼、ATM(異步傳輸模式)等�。
組成VPN的各個(gè)節(jié)點(diǎn)稱為VPN站點(diǎn)。當(dāng)VPN傳輸數(shù)據(jù)����、業(yè)務(wù)時(shí),需要每個(gè)VPN站點(diǎn)搜集站點(diǎn)內(nèi)部的可達(dá)信息��,發(fā)現(xiàn)VPN成員(其他VPN站點(diǎn))。當(dāng)VPN站點(diǎn)之間相互發(fā)現(xiàn)和聯(lián)系后����,每個(gè)VPN站點(diǎn)需要將內(nèi)部的可達(dá)信息擴(kuò)散到同一個(gè)VPN內(nèi)部其他站點(diǎn)��,從而使得VPN各個(gè)站點(diǎn)間互通��,為用戶提供各種數(shù)據(jù)����、業(yè)務(wù)的轉(zhuǎn)發(fā)。
現(xiàn)有技術(shù)中�,在獲取VPN可達(dá)信息時(shí),首先需要?jiǎng)澐諺PN站點(diǎn)���,即配置VPN站點(diǎn)內(nèi)部網(wǎng)絡(luò)范圍����,也就是說(shuō)劃分VPN站點(diǎn)的內(nèi)部網(wǎng)絡(luò)和用戶到對(duì)應(yīng)的VPN中���。通常需要根據(jù)用戶需求和網(wǎng)絡(luò)規(guī)劃����,在VPN設(shè)備(通常在用戶駐地網(wǎng)和IP接入網(wǎng)位置上)上通過(guò)指定某種標(biāo)識(shí)區(qū)分出某個(gè)VPN站點(diǎn)的主機(jī)用戶,以將該VPN站點(diǎn)內(nèi)部的設(shè)備或者主機(jī)接入到對(duì)應(yīng)的VPN設(shè)備上����。比如,在L2TP(第二層隧道協(xié)議)VPN中���,將端口2 VLAN20用戶劃分到L2TP group3�,則所有從端口2 VLAN20接入的用戶主機(jī)形成一個(gè)VPN站點(diǎn)�����,并且這個(gè)站點(diǎn)和L2TP group3進(jìn)行關(guān)聯(lián)�,L2TP group3對(duì)應(yīng)了L2TP的各種配置,包括LNS(L2TP網(wǎng)絡(luò)服務(wù)器)地址���、隧道密鑰��、會(huì)話數(shù)量����、封裝格式����、QoS(服務(wù)質(zhì)量)機(jī)制�、負(fù)載均衡機(jī)制等���,以使控制平面�、轉(zhuǎn)發(fā)平面能夠?qū)τ脩糁鳈C(jī)信息���、VPN站點(diǎn)和VPN進(jìn)行識(shí)別和處理。
按照組網(wǎng)方式�����,可以將VPN分為四種類型VLL(虛擬租用線)���、VPDN(虛擬專用撥號(hào)網(wǎng))���、VPRN(虛擬專用路由網(wǎng))和VPLS(虛擬專用局域網(wǎng)網(wǎng)段)。
通用的VPN架構(gòu)如圖1所示�,其中管理平面通過(guò)CLI(命令行接口)/WEB(萬(wàn)維網(wǎng))/網(wǎng)管等多種配置方式,按照設(shè)備�、接口、網(wǎng)絡(luò)信息�����,在VPN設(shè)備上通過(guò)物理設(shè)備、邏輯設(shè)備����、物理端口、邏輯端口����,或者網(wǎng)段、子網(wǎng)��、(VPN over VPN的情況)等��,作為VPN站點(diǎn)內(nèi)部網(wǎng)絡(luò)的標(biāo)識(shí)來(lái)劃分VPN站點(diǎn)����,并形成相應(yīng)的信息表。
控制平面通過(guò)相應(yīng)協(xié)議(比如,專網(wǎng)協(xié)議、二層會(huì)話相關(guān)協(xié)議�、標(biāo)簽協(xié)議等)建立專網(wǎng)路由、會(huì)話信息等,然后通過(guò)設(shè)備、接口、網(wǎng)絡(luò)信息判斷是否是VPN以及對(duì)應(yīng)的VPN信息���,VPN模塊根據(jù)VPN信息建立對(duì)應(yīng)的隧道(也可以是通過(guò)管理平面手工建立),同時(shí)公網(wǎng)協(xié)議包括但不限于路由協(xié)議、標(biāo)簽協(xié)議提供對(duì)應(yīng)的路由����、標(biāo)簽、轉(zhuǎn)發(fā)�、封裝信息。
轉(zhuǎn)發(fā)平面(也稱為數(shù)據(jù)平面)使用標(biāo)準(zhǔn)的VPN轉(zhuǎn)發(fā)流程��,接收到用戶數(shù)據(jù)報(bào)文�,根據(jù)設(shè)備、接口���、網(wǎng)絡(luò)信息判斷為專網(wǎng)數(shù)據(jù)報(bào)文,按照專網(wǎng)會(huì)話進(jìn)行查表和封裝��,查找對(duì)應(yīng)的VPN信息和封裝����,查找對(duì)應(yīng)的公網(wǎng)路由、轉(zhuǎn)發(fā)�����、封裝信息和封裝����,最終形成可以在公網(wǎng)上轉(zhuǎn)發(fā)的包含有專網(wǎng)數(shù)據(jù)的報(bào)文����,然后通過(guò)公網(wǎng)轉(zhuǎn)發(fā)到指定的VPN隧道對(duì)端���,VPN隧道對(duì)端根據(jù)協(xié)議進(jìn)行對(duì)應(yīng)的查表和解封裝等�。
目前�,隨著網(wǎng)絡(luò)的迅速發(fā)展和業(yè)務(wù)的大規(guī)模開(kāi)展,業(yè)務(wù)質(zhì)量保證QoS(服務(wù)質(zhì)量)越來(lái)越受到重視��,需要將不同QoS的用戶����、業(yè)務(wù)劃分到不同的VPN中。而在現(xiàn)有技術(shù)中���,只能根據(jù)物理�、邏輯網(wǎng)絡(luò)信息作為標(biāo)識(shí)來(lái)劃分VPN��,從而使得VPN的使用受到網(wǎng)絡(luò)的限制�����,需要調(diào)整或規(guī)劃網(wǎng)絡(luò)才能適應(yīng)VPN的要求,即要將用戶��、業(yè)務(wù)參數(shù)調(diào)整為和網(wǎng)絡(luò)參數(shù)一致���,按照網(wǎng)絡(luò)參數(shù)的劃分間接地實(shí)現(xiàn)用戶��、業(yè)務(wù)的劃分���。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種實(shí)現(xiàn)虛擬專用網(wǎng)的方法,以克服現(xiàn)有技術(shù)中只能根據(jù)物理��、邏輯網(wǎng)絡(luò)信息作為標(biāo)識(shí)來(lái)劃分VPN使VPN的使用受到網(wǎng)絡(luò)限制的缺點(diǎn)��,在不影響網(wǎng)絡(luò)規(guī)劃的基礎(chǔ)上開(kāi)展VPN業(yè)務(wù)���,使VPN業(yè)務(wù)能夠滿足各種不同應(yīng)用的需求。
為此�����,本發(fā)明提供如下的技術(shù)方案一種實(shí)現(xiàn)虛擬專用網(wǎng)的方法�,所述方法包括步驟A、配置虛擬專用網(wǎng)VPN運(yùn)營(yíng)參數(shù)信息�����;B、建立所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系��;C�����、當(dāng)VPN設(shè)備從VPN站點(diǎn)接收到專網(wǎng)數(shù)據(jù)后�����,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN并記錄對(duì)應(yīng)的VPN參數(shù)����,按其歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā);D�����、當(dāng)VPN設(shè)備從公網(wǎng)接收到VPN報(bào)文時(shí)���,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN和用戶參數(shù)���,并向其歸屬的VPN站點(diǎn)轉(zhuǎn)發(fā)專網(wǎng)數(shù)據(jù)�����。
可選地�,所述步驟A具體為通過(guò)命令行接口/WEB/網(wǎng)管靜態(tài)配置所述VPN運(yùn)營(yíng)參數(shù)�。
可選地,所述步驟A具體為通過(guò)認(rèn)證�、授權(quán)、計(jì)費(fèi)/策略動(dòng)態(tài)配置所述VPN運(yùn)營(yíng)參數(shù)����。
可選地,所述步驟B具體為建立用戶參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�;和/或建立報(bào)文參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系;和/或建立業(yè)務(wù)參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�。
可選地,所述步驟B具體為建立用戶參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�;和/或建立報(bào)文參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系;和/或建立業(yè)務(wù)參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�����;和建立網(wǎng)絡(luò)參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�。
優(yōu)選地�,所述用戶參數(shù)包括用戶����、域���、因特網(wǎng)服務(wù)提供商/因特網(wǎng)內(nèi)容提供商/應(yīng)用服務(wù)提供商��、用戶群�����。
優(yōu)選地����,所述報(bào)文參數(shù)包括物理層報(bào)文����、二層數(shù)據(jù)鏈路層報(bào)文、三層網(wǎng)絡(luò)層報(bào)文�����、四層傳送層報(bào)文以及高層應(yīng)用層報(bào)文中包含的參數(shù)�。
優(yōu)選地,所述業(yè)務(wù)參數(shù)包括數(shù)據(jù)��、視頻����、語(yǔ)音����、指定會(huì)話中的業(yè)務(wù)和會(huì)話信息。
特別地���,當(dāng)建立有多種網(wǎng)絡(luò)參數(shù)�、運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系時(shí),通過(guò)優(yōu)先級(jí)或者策略表達(dá)式來(lái)選擇確定接收數(shù)據(jù)所歸屬的VPN時(shí)適用的對(duì)應(yīng)關(guān)系�。
所述步驟C中按專網(wǎng)數(shù)據(jù)歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā)的過(guò)程包括將記錄的VPN參數(shù)與所述專網(wǎng)數(shù)據(jù)對(duì)應(yīng)的VPN站點(diǎn)進(jìn)行關(guān)聯(lián)��;根據(jù)所述VPN參數(shù)建立對(duì)應(yīng)的隧道,同時(shí)由公網(wǎng)協(xié)議提供對(duì)應(yīng)的路由�����、標(biāo)簽��、轉(zhuǎn)發(fā)���、封裝信息�;分別根據(jù)對(duì)應(yīng)的VPN參數(shù)和所述公網(wǎng)協(xié)議提供的路由、標(biāo)簽�����、轉(zhuǎn)發(fā)����、封裝信息對(duì)所述專網(wǎng)數(shù)據(jù)進(jìn)行封裝;將封裝后的專網(wǎng)數(shù)據(jù)通過(guò)公網(wǎng)轉(zhuǎn)發(fā)�。
所述步驟D中向VPN報(bào)文歸屬的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)的過(guò)程包括根據(jù)從公網(wǎng)接收的VPN報(bào)文信息,獲取VPN運(yùn)營(yíng)信息及其歸屬的VPN站點(diǎn)信息�;剝離VPN報(bào)文中所有VPN封裝,解封裝出VPN專網(wǎng)數(shù)據(jù)��;根據(jù)所述VPN站點(diǎn)信息對(duì)解封裝出的專網(wǎng)數(shù)據(jù)進(jìn)行封裝�;將封裝后的專網(wǎng)數(shù)據(jù)發(fā)送到其歸屬的VPN站點(diǎn)。
由以上本發(fā)明提供的技術(shù)方案可以看出��,本發(fā)明在現(xiàn)有基于網(wǎng)絡(luò)劃分VPN的基礎(chǔ)上���,采用基于用戶�、報(bào)文���、業(yè)務(wù)等劃分的方式實(shí)現(xiàn)VPN�,或者采用傳統(tǒng)的基于網(wǎng)絡(luò)的方式和基于報(bào)文、用戶���、業(yè)務(wù)等多種不同方式實(shí)現(xiàn)多種VPN的組合應(yīng)用,從而根據(jù)實(shí)際需要���,靈活地實(shí)現(xiàn)各種VPN���,使得VPN可以在不影響網(wǎng)絡(luò)規(guī)劃的基礎(chǔ)上開(kāi)展各種VPN業(yè)務(wù),更好地滿足不同業(yè)務(wù)�、應(yīng)用的需求。
圖1是通用的VPN架構(gòu)框圖��;圖2是本發(fā)明方法的實(shí)現(xiàn)流程圖���;圖3是本發(fā)明中基于用戶的VPN組網(wǎng)示意圖���;圖4是圖3所示基于用戶的VPN的實(shí)現(xiàn)流程圖;圖5是本發(fā)明中其于報(bào)文的VPN組網(wǎng)示意圖�����;圖6是圖5所示基于報(bào)文的VPN的實(shí)現(xiàn)流程圖;圖7是本發(fā)明中其于業(yè)務(wù)的VPN組網(wǎng)示意圖����;圖8是圖7所示基于業(yè)務(wù)的VPN的實(shí)現(xiàn)流程圖;圖9是本發(fā)明中基于多種方式組合的VPN的實(shí)現(xiàn)流程圖�。
具體實(shí)施例方式
本發(fā)明的核心在于建立用戶和/或報(bào)文和/或業(yè)務(wù)等運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系,當(dāng)VPN設(shè)備從VPN站點(diǎn)接收到專網(wǎng)數(shù)據(jù)后���,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN����,并按其歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā)�;當(dāng)VPN設(shè)備接收到來(lái)自專網(wǎng)的VPN報(bào)文時(shí),根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN和用戶參數(shù)����,并向其歸屬的VPN發(fā)送專網(wǎng)數(shù)據(jù)。根據(jù)實(shí)際需要����,靈活地實(shí)現(xiàn)各種VPN基于用戶的VPN、基于報(bào)文的VPN�、基于業(yè)務(wù)的VPN,或者基于各種不同信息與基于現(xiàn)有的設(shè)備��、接口、網(wǎng)絡(luò)等多種不同組合來(lái)實(shí)現(xiàn)不同應(yīng)用的VPN���,從而更好地滿足各種不同的應(yīng)用需求��。
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�����,下面結(jié)合附圖和實(shí)施方式對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明。
參照?qǐng)D2所示本發(fā)明方法的實(shí)現(xiàn)流程圖首先���,在步驟201配置VPN運(yùn)營(yíng)參數(shù)信息�,所述VPN運(yùn)營(yíng)參數(shù)包括用戶參數(shù)�、報(bào)文參數(shù)、業(yè)務(wù)參數(shù)�����、網(wǎng)絡(luò)參數(shù)等����。根據(jù)實(shí)際需要,可以單獨(dú)配置一種��,也可以幾種同時(shí)配置。配置方式可以有多種�,比如通過(guò)CLI(命令行接口)/WEB/網(wǎng)管、配置文件等靜態(tài)配置�,也可以通過(guò)通過(guò)AAA(認(rèn)證、授權(quán)����、計(jì)費(fèi))/策略等動(dòng)態(tài)配置這些參數(shù)。
步驟202建立運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系���,包括用戶參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系����;和/或報(bào)文參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系����;和/或業(yè)務(wù)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系;和/或網(wǎng)絡(luò)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�。
其中,用戶參數(shù)可以是用戶�����、域�、ISP/ICP/ASP(因特網(wǎng)服務(wù)提供商����、因特網(wǎng)內(nèi)容提供商�、應(yīng)用服務(wù)提供商)、用戶群等�。報(bào)文參數(shù)可以是物理層報(bào)文、二層報(bào)文�����、三層報(bào)文��、四層報(bào)文中包含的所有參數(shù)�����。業(yè)務(wù)參數(shù)可以是數(shù)據(jù)���、視頻、語(yǔ)音�����、指定會(huì)話中的業(yè)務(wù)和會(huì)話信息���。
步驟203當(dāng)VPN設(shè)備從VPN站點(diǎn)接收到專網(wǎng)數(shù)據(jù)后��,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN并記錄對(duì)應(yīng)的VPN參數(shù)��,按其歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā)����。具體轉(zhuǎn)發(fā)過(guò)程如下
將記錄的VPN參數(shù)與專網(wǎng)數(shù)據(jù)對(duì)應(yīng)的VPN站點(diǎn)進(jìn)行關(guān)聯(lián),即建立VPN配置參數(shù)中每個(gè)項(xiàng)和專網(wǎng)數(shù)據(jù)對(duì)應(yīng)的VPN站點(diǎn)的每個(gè)項(xiàng)之間的對(duì)應(yīng)關(guān)系��,使得可以從VPN配置參數(shù)的每個(gè)項(xiàng)都可以檢索到專網(wǎng)數(shù)據(jù)VPN站點(diǎn)對(duì)應(yīng)的項(xiàng)���,也可以從專網(wǎng)數(shù)據(jù)VPN站點(diǎn)的每個(gè)項(xiàng)檢索到VPN配置參數(shù)的對(duì)應(yīng)項(xiàng)��,從而確定VPN參數(shù)與專網(wǎng)數(shù)據(jù)對(duì)應(yīng)的VPN站點(diǎn)之間的對(duì)應(yīng)關(guān)系�����。
根據(jù)VPN參數(shù)建立對(duì)應(yīng)的隧道���,同時(shí)由公網(wǎng)協(xié)議提供對(duì)應(yīng)的路由、標(biāo)簽�����、轉(zhuǎn)發(fā)、封裝信息���;分別根據(jù)對(duì)應(yīng)的VPN參數(shù)和公網(wǎng)協(xié)議提供的路由�、標(biāo)簽�、轉(zhuǎn)發(fā)、封裝信息對(duì)所述專網(wǎng)數(shù)據(jù)進(jìn)行封裝���;將封裝后的專網(wǎng)數(shù)據(jù)通過(guò)公網(wǎng)轉(zhuǎn)發(fā)���。
步驟204當(dāng)VPN設(shè)備從公網(wǎng)接收到VPN報(bào)文時(shí),根據(jù)運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN和用戶參數(shù)�����,并向其歸屬的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)�����。具體發(fā)送過(guò)程如下根據(jù)從公網(wǎng)接收的VPN報(bào)文信息�����,找到其中的VPN隧道����、會(huì)話或者標(biāo)識(shí)等參數(shù);根據(jù)VPN隧道�、會(huì)話或者標(biāo)識(shí)等參數(shù),以及記錄的VPN參數(shù)與所述專網(wǎng)數(shù)據(jù)對(duì)應(yīng)的VPN站點(diǎn)的關(guān)聯(lián)關(guān)系�����,獲取VPN運(yùn)營(yíng)信息及VPN站點(diǎn)信息��;剝離VPN報(bào)文中所有VPN封裝�����,解封裝出VPN專網(wǎng)數(shù)據(jù)�����;根據(jù)所述VPN運(yùn)營(yíng)信息對(duì)該VPN進(jìn)行合法性判斷�����,判斷該VPN報(bào)文是否允許�����,同時(shí)根據(jù)所述VPN站點(diǎn)信息找到其對(duì)應(yīng)的VPN私網(wǎng)路由、標(biāo)簽���、轉(zhuǎn)發(fā)��、封裝信息等����,然后對(duì)所述解封裝出的專網(wǎng)數(shù)據(jù)進(jìn)行封裝�����;將封裝后的專網(wǎng)數(shù)據(jù)通過(guò)VPN運(yùn)營(yíng)信息和VPN站點(diǎn)信息���,進(jìn)行專網(wǎng)轉(zhuǎn)發(fā)����。
圖3是本發(fā)明中基于用戶的VPN劃分組網(wǎng)示意圖
通過(guò)基于用戶���、域���、ISP/ICP/ASP、用戶群等的方式����,區(qū)分VPN站點(diǎn),能夠提供獨(dú)立于網(wǎng)絡(luò)參數(shù)的劃分方式和應(yīng)用���。網(wǎng)絡(luò)參數(shù)不一樣時(shí)����,也可以在用戶層上劃分到相同的VPN中���;網(wǎng)絡(luò)參數(shù)一樣時(shí)����,也可以在用戶層上劃分到不同的VPN中���。
在圖3所示網(wǎng)絡(luò)中有兩個(gè)VPN�,分別為VPN A和VPN B����,VPN A和VPN B分別有兩個(gè)站點(diǎn)。為了確定各個(gè)VPN站點(diǎn)內(nèi)部網(wǎng)絡(luò)范圍(即VPN內(nèi)部設(shè)備和/或主機(jī)所在的網(wǎng)絡(luò)范圍)�,在VPN設(shè)備上按照用戶、域、ISP/ICP/ASP�����、以及其他方式定義的用戶群(比如根據(jù)用戶的某一類屬性進(jìn)行劃分���,相同的為同一個(gè)用戶群�����,典型的如所有ADSL(非對(duì)稱數(shù)字用戶線(環(huán))路)或WLAN(無(wú)線局域網(wǎng))接入用戶��、所有相同SLA(服務(wù)水平承諾)的接入用戶等方式進(jìn)行劃分����。
比如����,按照用戶帳號(hào)“張三@123.com”,將該用戶劃分到VPN B站點(diǎn)2��,按照運(yùn)營(yíng)商將X運(yùn)營(yíng)商劃分到VPN B站點(diǎn)1�,按照域168將所有168域中的用戶劃分到VPN A站點(diǎn)1,按照ISP/ICP/ASP將某Y ISP/ICP/ASP劃分到VPN A站點(diǎn)2�。
基于用戶的VPN實(shí)現(xiàn)方法的流程如圖4所示管理平面通過(guò)CLI(命令行接口)/WEB/網(wǎng)管等多種靜態(tài)配置方式�,或者AAA(認(rèn)證���、授權(quán)和計(jì)費(fèi))/策略等多種動(dòng)態(tài)配置方式,建立用戶���、域����、ISP/ICP/ASP��、用戶群等與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系���,形成用戶信息表(包括用戶��、域����、ISP信息等)�、VPN配置表等信息。所謂建立用戶���、域�����、ISP/ICP/ASP�����、用戶群等與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系也就是說(shuō)將某個(gè)用戶�、域、ISP/ICP/ASP和用戶群下所有的主機(jī)劃分到指定的一個(gè)VPN中�����,所有的指定VPN內(nèi)的主機(jī)全部都成為內(nèi)部站點(diǎn)成員��,所有VPN內(nèi)部成員全部使用配置好的對(duì)應(yīng)的VPN機(jī)制�,使用對(duì)應(yīng)的VPN功能,比如某種對(duì)應(yīng)的隧道和會(huì)話功能等����。
比如,一個(gè)域168劃分到L2TP Group1中��,則凡是168域的用戶比如認(rèn)證時(shí)帶的用戶名為“xx@168���,yy@168��,cw@168”等���,均劃分到一個(gè)VPN站點(diǎn)(一般有一個(gè)內(nèi)部索引或者名稱��,或者VPN ID)中��,并且這個(gè)VPN站點(diǎn)和L2TPGroup1(對(duì)應(yīng)了L2TP的各種配置,包括但不限于LNS(L2TP網(wǎng)絡(luò)服務(wù)器)地址���、隧道密鑰�、會(huì)話數(shù)量���、封裝格式�、QoS機(jī)制�����、負(fù)載均衡機(jī)制等)進(jìn)行關(guān)聯(lián)�,使得控制平面、轉(zhuǎn)發(fā)平面能夠?qū)τ脩糁鳈C(jī)信息�、VPN站點(diǎn)和VPN進(jìn)行識(shí)別和處理。
同樣����,按照用戶���,可以將多個(gè)用戶按照帳號(hào)進(jìn)行劃分,可以是有規(guī)律的帳號(hào)比如某一段���、某一個(gè)或幾個(gè)字符為特殊字符等��,也可以是沒(méi)有規(guī)律的帳號(hào)進(jìn)行窮舉�。
按照ISP/ICP/ASP����、用戶群等對(duì)應(yīng)的標(biāo)識(shí),比如ISP名稱��、用戶群編號(hào)等等�����,也可以進(jìn)行對(duì)應(yīng)的劃分��。
還可以按照其他方式定義的用戶群(比如根據(jù)用戶的某一類屬性進(jìn)行劃分�,相同的為同一個(gè)用戶群,典型的如所有ADSL或WLAN接入用戶、所有相同SLA的接入用戶等)進(jìn)行劃分���。
控制平面需要維護(hù)VPN站點(diǎn)內(nèi)部路由���、標(biāo)簽、轉(zhuǎn)發(fā)表��;維護(hù)VPN站點(diǎn)隧道�、會(huì)話表;維護(hù)公網(wǎng)路由�����、標(biāo)簽�、轉(zhuǎn)發(fā)表���。通過(guò)專網(wǎng)協(xié)議�,比如��,路由協(xié)議(動(dòng)態(tài)路由協(xié)議或者靜態(tài)配置的路由協(xié)議)�����、二層會(huì)話相關(guān)協(xié)議���、標(biāo)簽協(xié)議等建立專網(wǎng)路由����、會(huì)話信息等,然后通過(guò)用戶信息查找建立的對(duì)應(yīng)關(guān)系�����,判斷是否是VPN�,記錄對(duì)應(yīng)的VPN信息(用戶對(duì)應(yīng)的IP地址、MAC地址�、物理端口、邏輯端口等)��,將其作為用戶主機(jī)的標(biāo)識(shí)���,并將該記錄與VPN站點(diǎn)進(jìn)行關(guān)聯(lián)����;VPN模塊根據(jù)VPN信息建立對(duì)應(yīng)的隧道(也可以是通過(guò)管理平面手工建立)���,同時(shí)由公網(wǎng)協(xié)議(包括但不限于路由協(xié)議�����、標(biāo)簽協(xié)議)提供對(duì)應(yīng)的路由���、標(biāo)簽���、轉(zhuǎn)發(fā)、封裝信息�����。
轉(zhuǎn)發(fā)平面使用標(biāo)準(zhǔn)的VPN轉(zhuǎn)發(fā)流程���,接收到用戶數(shù)據(jù)報(bào)文���,根據(jù)用戶信息表(包括用戶�����、域��、ISP信息等)判斷為專網(wǎng)數(shù)據(jù)報(bào)文�����,按照專網(wǎng)會(huì)話進(jìn)行查表和封裝,查找對(duì)應(yīng)的VPN信息和封裝����,查找對(duì)應(yīng)的公網(wǎng)路由、轉(zhuǎn)發(fā)���、封裝信息并封裝�,最終形成可以在公網(wǎng)上轉(zhuǎn)發(fā)的包含有專網(wǎng)數(shù)據(jù)的報(bào)文���,然后通過(guò)公網(wǎng)轉(zhuǎn)發(fā)到指定的VPN隧道對(duì)端����,VPN隧道對(duì)端根據(jù)協(xié)議進(jìn)行對(duì)應(yīng)的查表和解封裝等���。
當(dāng)VPN設(shè)備接收到來(lái)自公網(wǎng)的VPN報(bào)文后�,根據(jù)用戶和VPN站點(diǎn)的對(duì)應(yīng)關(guān)系判斷其歸屬的VPN和對(duì)應(yīng)的用戶參數(shù)��,對(duì)VPN報(bào)文進(jìn)行解封裝獲得專網(wǎng)數(shù)據(jù)����,然后��,向?qū)?yīng)的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)��。
圖5是本發(fā)明中基于用戶的VPN劃分組網(wǎng)示意圖通過(guò)報(bào)文分類區(qū)分VPN站點(diǎn)�,不同的報(bào)文使用不同的分類�����,可以劃分到對(duì)應(yīng)的VPN中�����,從而能夠提供獨(dú)立于網(wǎng)絡(luò)參數(shù)���、用戶的劃分方式和應(yīng)用�。
在圖5所示網(wǎng)絡(luò)中有兩個(gè)VPN����,分為為VPN A和VPN B,VPN A和VPN B分別有兩個(gè)站點(diǎn)��。為了確定各個(gè)VPN站點(diǎn)內(nèi)部網(wǎng)絡(luò)范圍(即VPN內(nèi)部設(shè)備和/或主機(jī)所在的網(wǎng)絡(luò)范圍)�,在VPN設(shè)備上建立網(wǎng)絡(luò)報(bào)文的各種參數(shù)以及其組合與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�����。
比如,按照QoS(服務(wù)質(zhì)量)標(biāo)識(shí)(比如802.1p�、TOS/DSCP(服務(wù)類型/區(qū)別業(yè)務(wù)編碼點(diǎn))、MPLS EXP(MPLS中的實(shí)驗(yàn)字段����,一般作為QoS的標(biāo)記)),將“CoS(服務(wù)等級(jí))=6或者ToS(服務(wù)類型)=6或者DSCP=6”的用戶劃分到VPN A站點(diǎn)1�����,將“MPLS EXP=6”的用戶劃分到VPN A站點(diǎn)2�,按照“以太網(wǎng)三元組規(guī)則、IP五元組規(guī)則��、IPv6協(xié)議”將對(duì)應(yīng)的用戶劃分到VPN B站點(diǎn)1和VPN B站點(diǎn)2�。
網(wǎng)絡(luò)報(bào)文參數(shù)包括各種物理層報(bào)文、二層報(bào)文����、三層報(bào)文、四層報(bào)文以及高層報(bào)文等所有報(bào)文中包含的參數(shù)��,常見(jiàn)的包括以太網(wǎng)三元組��、IP五元組、QoS標(biāo)記(CoS�����、TOS/DSCP�����、MPLS EXP)�、IP版本類型(IPv4/IPv6)以及各種網(wǎng)絡(luò)報(bào)文參數(shù)中標(biāo)識(shí)的各種協(xié)議。
基于報(bào)文的VPN實(shí)現(xiàn)方法的流程如圖6所示管理平面通過(guò)CLI/WEB/網(wǎng)管等多種靜態(tài)配置方式�����,或者AAA/策略等多種動(dòng)態(tài)配置方式����,建立網(wǎng)絡(luò)報(bào)文的各種參數(shù)以及其組合與各VPN站點(diǎn)的對(duì)應(yīng)關(guān)系,形成報(bào)文信息表(包括各種網(wǎng)絡(luò)參數(shù)以及其組合而成的規(guī)則等����,網(wǎng)絡(luò)報(bào)文參數(shù)包括各種物理層報(bào)文、二層報(bào)文����、三層報(bào)文、四層報(bào)文以及高層報(bào)文等所有報(bào)文中包含的參數(shù)�,常見(jiàn)的包括以太網(wǎng)三元組、IP五元組���、QoS標(biāo)記(CoS��、TOS/DSCP����、MPLS EXP)��、IP版本類型(IPv4/IPv6)以及各種網(wǎng)絡(luò)報(bào)文參數(shù)中標(biāo)識(shí)的各種協(xié)議�����,組合規(guī)則為根據(jù)VPN建立需求使用一個(gè)或者多個(gè)自由組合)�����、VPN配置表等信息���。具體配置時(shí)���,可以按照某個(gè)或者某幾個(gè)報(bào)文參數(shù)來(lái)劃分VPN站點(diǎn)�,也可以按照某個(gè)或者某一個(gè)或者某幾個(gè)規(guī)則的組合來(lái)劃分VPN站點(diǎn)����。在某些情況下,同一個(gè)用戶主機(jī)可以同時(shí)使用多種報(bào)文����,每種報(bào)文可能對(duì)應(yīng)不同的VPN站點(diǎn),此時(shí)��,仍然可以將該用戶主機(jī)按照規(guī)則邏輯地劃分為多個(gè)邏輯主機(jī)���,從而可以認(rèn)為不同的邏輯主機(jī)劃分到不同的VPN站點(diǎn)中����。所有VPN內(nèi)部成員全部使用配置好的對(duì)應(yīng)的VPN機(jī)制比如某種對(duì)應(yīng)的隧道和會(huì)話等���。VPN站點(diǎn)的主機(jī)用戶能夠使用對(duì)應(yīng)的VPN功能�����,典型的比如QoS標(biāo)記中DSCP為6報(bào)文對(duì)應(yīng)到L2TP Group1中��,則凡是QoS標(biāo)記中DSCP為6的用戶均劃分到一個(gè)VPN站點(diǎn)(一般有一個(gè)內(nèi)部索引或者名稱���,或者VPN ID)中�,并且這個(gè)VPN站點(diǎn)和L2TP Group1(對(duì)應(yīng)了L2TP的各種配置�����,包括但不限于LNS地址�����、隧道密鑰�����、會(huì)話數(shù)量�����、封裝格式�����、QoS機(jī)制����、負(fù)載均衡機(jī)制等)進(jìn)行關(guān)聯(lián),使得控制平面�����、轉(zhuǎn)發(fā)平面能夠?qū)τ脩糁鳈C(jī)信息��、VPN站點(diǎn)和VPN進(jìn)行識(shí)別和處理���。同樣����,按照以太網(wǎng)三元組��、IP五元組����、QoS標(biāo)記(CoS、TOS/DSCP��、MPLSEXP)�����、IP版本類型(IPv4/IPv6)以及各種網(wǎng)絡(luò)報(bào)文參數(shù)中標(biāo)識(shí)的各種協(xié)議,可以將多種報(bào)文進(jìn)行劃分���,比如以太網(wǎng)三元組的源MAC地址����、目的MAC地址��、協(xié)議��,以及IP五元組的源IP地址�����、源協(xié)議端口����、目的IP地址��、目的協(xié)議端口���、協(xié)議類型���,以及QoS標(biāo)記(CoS、TOS/DSCP、MPLS EXP)���、IP版本類型(Pv4/IPv6)以及各種網(wǎng)絡(luò)報(bào)文參數(shù)中標(biāo)識(shí)的各種協(xié)議�,通過(guò)報(bào)文分析����,即流分類進(jìn)行VPN劃分。
控制平面需要維護(hù)VPN站點(diǎn)內(nèi)部路由����、標(biāo)簽、轉(zhuǎn)發(fā)表�����;維護(hù)VPN站點(diǎn)隧道�、會(huì)話表;維護(hù)公網(wǎng)路由�����、標(biāo)簽����、轉(zhuǎn)發(fā)表���。通過(guò)專網(wǎng)協(xié)議,比如�,路由協(xié)議(動(dòng)態(tài)路由協(xié)議或者靜態(tài)配置的路由協(xié)議)、二層會(huì)話相關(guān)協(xié)議�、標(biāo)簽協(xié)議等,建立專網(wǎng)路由�����、會(huì)話信息等���,然后通過(guò)報(bào)文信息判斷是否是VPN以及對(duì)應(yīng)的VPN信息,即將控制平面中根據(jù)VPN站點(diǎn)劃分原則�����,按照以太網(wǎng)三元組��、IP五元組�、QoS標(biāo)記(CoS、TOS/DSCP�、MPLS EXP)、IP版本類型(IPv4/IPv6)以及各種網(wǎng)絡(luò)報(bào)文參數(shù)中標(biāo)識(shí)的各種協(xié)議等的方式�����,和用戶報(bào)文進(jìn)行分析和流分類,按照匹配的規(guī)則進(jìn)行判斷����,如果符合某個(gè)規(guī)則,則將其標(biāo)識(shí)為關(guān)聯(lián)的對(duì)應(yīng)VPN站點(diǎn)用戶數(shù)據(jù)報(bào)文�。VPN模塊根據(jù)VPN信息建立對(duì)應(yīng)的隧道(也可以是通過(guò)管理平面手工建立),同時(shí)根據(jù)公網(wǎng)協(xié)議��,比如�,路由協(xié)議、標(biāo)簽協(xié)議等��,提供對(duì)應(yīng)的路由����、標(biāo)簽、轉(zhuǎn)發(fā)���、封裝信息����。
轉(zhuǎn)發(fā)平面使用標(biāo)準(zhǔn)的VPN轉(zhuǎn)發(fā)流程�����,接收到用戶數(shù)據(jù)報(bào)文后根據(jù)報(bào)文信息表判斷為專網(wǎng)數(shù)據(jù)報(bào)文,按照專網(wǎng)會(huì)話進(jìn)行查表和封裝����,查找對(duì)應(yīng)的VPN信息和封裝,查找對(duì)應(yīng)的公網(wǎng)路由����、轉(zhuǎn)發(fā)、封裝信息和封裝�,最終形成可以在公網(wǎng)上轉(zhuǎn)發(fā)的包含有專網(wǎng)數(shù)據(jù)的報(bào)文,然后通過(guò)公網(wǎng)轉(zhuǎn)發(fā)到指定的VPN隧道對(duì)端�����,VPN隧道對(duì)端根據(jù)協(xié)議進(jìn)行對(duì)應(yīng)的查表和解封裝等�。
當(dāng)VPN設(shè)備接收到來(lái)自公網(wǎng)的VPN報(bào)文后�����,根據(jù)報(bào)文和VPN站點(diǎn)的對(duì)應(yīng)關(guān)系判斷其歸屬的VPN和對(duì)應(yīng)的用戶參數(shù)���,即通過(guò)報(bào)文中的VPN參數(shù)找到對(duì)應(yīng)的隧道���、會(huì)話或者標(biāo)識(shí)���,然后通過(guò)對(duì)應(yīng)的關(guān)聯(lián)關(guān)系獲得對(duì)應(yīng)的VPN運(yùn)營(yíng)參數(shù)和VPN站點(diǎn)信息,此時(shí)根據(jù)VPN運(yùn)營(yíng)參數(shù)獲得對(duì)應(yīng)的用戶參數(shù)��,對(duì)VPN報(bào)文進(jìn)行解封裝獲得專網(wǎng)數(shù)據(jù)�,然后,向?qū)?yīng)的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)��。
圖7是本發(fā)明中基于業(yè)務(wù)的VPN劃分組網(wǎng)示意圖通過(guò)業(yè)務(wù)區(qū)分VPN站點(diǎn)�����,建立不同的業(yè)務(wù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系��,從而能夠提供獨(dú)立于網(wǎng)絡(luò)參數(shù)��、用戶�、報(bào)文的劃分方式和應(yīng)用。
在圖7所示網(wǎng)絡(luò)中有兩個(gè)VPN�,分為為VPN A和VPN B,VPN A和VPN B分別有兩個(gè)站點(diǎn)�����。為了確定各個(gè)VPN站點(diǎn)內(nèi)部網(wǎng)絡(luò)范圍(即VPN內(nèi)部設(shè)備和/或主機(jī)所在的網(wǎng)絡(luò)范圍),在VPN設(shè)備上按照數(shù)據(jù)�����、視頻���、語(yǔ)音��、指定某會(huì)話中的業(yè)務(wù)等方式進(jìn)行劃分��。比如����,將語(yǔ)音業(yè)務(wù)用戶劃分到VPN A站點(diǎn)1����,將語(yǔ)音、視頻業(yè)務(wù)用戶劃分到VPN A站點(diǎn)2�,將數(shù)據(jù)業(yè)務(wù)用戶劃分到VPN B站點(diǎn)1,將指定會(huì)話中的業(yè)務(wù)劃分到VPN B站點(diǎn)2�����。
基于業(yè)務(wù)的VPN實(shí)現(xiàn)方法的流程如圖8所示管理平面通過(guò)CLI/WEB/網(wǎng)管等多種靜態(tài)配置方式或者AAA/策略等多種動(dòng)態(tài)配置方式�,建立業(yè)務(wù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系。其中�����,業(yè)務(wù)的劃分包括數(shù)據(jù)�����、視頻����、語(yǔ)音、指定某會(huì)話中的業(yè)務(wù)等和會(huì)話信息等�,一般需要跟蹤業(yè)務(wù)呼叫和建立過(guò)程,然后根據(jù)建立的業(yè)務(wù)信息劃分VPN�����,或者通過(guò)手工配置指定某個(gè)會(huì)話或者某個(gè)會(huì)話中再細(xì)分出的數(shù)據(jù)流為某種業(yè)務(wù)從而劃分VPN�,此時(shí),根據(jù)業(yè)務(wù)建立過(guò)程中偵聽(tīng)的信息判斷其業(yè)務(wù)類型�����,比如跟蹤H.323/H.248/MGCP/SIP過(guò)程中偵聽(tīng)到用戶建立了語(yǔ)音、視頻等信息����,以及普通數(shù)據(jù)類型等,或者手工配置的某個(gè)會(huì)話或者某個(gè)會(huì)話中再細(xì)分出的數(shù)據(jù)流及其業(yè)務(wù)類型����,從而將該會(huì)話對(duì)應(yīng)到制定的VPN站點(diǎn)中。形成業(yè)務(wù)信息表��、VPN配置表等信息��。具體配置時(shí)��,可以按照某個(gè)或者某幾個(gè)業(yè)務(wù)來(lái)劃分VPN站點(diǎn)����。由于很多業(yè)務(wù)包含一個(gè)或者多個(gè)協(xié)議,同時(shí)部分業(yè)務(wù)報(bào)文不具備固定的報(bào)文規(guī)則�,因此采用業(yè)務(wù)進(jìn)行劃分VPN更有利于滿足不同業(yè)務(wù)的需要。
控制平面需要維護(hù)VPN站點(diǎn)內(nèi)部路由����、標(biāo)簽、轉(zhuǎn)發(fā)表�����;維護(hù)VPN站點(diǎn)隧道�、會(huì)話表;維護(hù)公網(wǎng)路由��、標(biāo)簽�����、轉(zhuǎn)發(fā)表�����。通過(guò)專網(wǎng)協(xié)議��,比如路由協(xié)議(動(dòng)態(tài)路由協(xié)議或者靜態(tài)配置的路由協(xié)議)�、二層會(huì)話相關(guān)協(xié)議、標(biāo)簽協(xié)議等建立專網(wǎng)路由����、會(huì)話信息等,同時(shí)����,由于需要識(shí)別業(yè)務(wù),此時(shí)需要在專網(wǎng)協(xié)議中提供業(yè)務(wù)跟蹤和分析功能,以識(shí)別會(huì)話中包含的業(yè)務(wù)�����。當(dāng)然��,也可以通過(guò)靜態(tài)配置或者動(dòng)態(tài)指定某個(gè)會(huì)話中使用什么業(yè)務(wù)。然后通過(guò)業(yè)務(wù)信息判斷是否是VPN以及對(duì)應(yīng)的VPN信息,VPN模塊根據(jù)VPN信息建立對(duì)應(yīng)的隧道(也可以是通過(guò)管理平面手工建立)���,同時(shí)根據(jù)公網(wǎng)協(xié)議����,比如路由協(xié)議、標(biāo)簽協(xié)議����,提供對(duì)應(yīng)的路由、標(biāo)簽��、轉(zhuǎn)發(fā)��、封裝信息�����。
轉(zhuǎn)發(fā)平面使用標(biāo)準(zhǔn)的VPN轉(zhuǎn)發(fā)流程,接收到用戶數(shù)據(jù)報(bào)文��,根據(jù)業(yè)務(wù)信息表(包括數(shù)據(jù)�����、視頻�����、語(yǔ)音�、指定某會(huì)話中的業(yè)務(wù)等)判斷為專網(wǎng)數(shù)據(jù)報(bào)文�����,按照專網(wǎng)會(huì)話進(jìn)行查表和封裝��,查找對(duì)應(yīng)的VPN信息和封裝����,查找對(duì)應(yīng)的公網(wǎng)路由、轉(zhuǎn)發(fā)��、封裝信息和封裝��,最終形成可以在公網(wǎng)上轉(zhuǎn)發(fā)的包含有專網(wǎng)數(shù)據(jù)的報(bào)文,然后通過(guò)公網(wǎng)轉(zhuǎn)發(fā)到指定的VPN隧道對(duì)端����,VPN隧道對(duì)端根據(jù)協(xié)議進(jìn)行對(duì)應(yīng)的查表和解封裝等。
當(dāng)VPN設(shè)備接收到來(lái)自公網(wǎng)的VPN報(bào)文后���,根據(jù)報(bào)文和VPN站點(diǎn)的對(duì)應(yīng)關(guān)系判斷其歸屬的VPN和對(duì)應(yīng)的用戶參數(shù)���,對(duì)VPN報(bào)文進(jìn)行解封裝獲得專網(wǎng)數(shù)據(jù),然后�,向?qū)?yīng)的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)。
在VPN實(shí)際使用中���,一般不會(huì)簡(jiǎn)單的只使用現(xiàn)有的基于網(wǎng)絡(luò)的VPN�,或者簡(jiǎn)單的只使用基于用戶���、基于報(bào)文����、基于業(yè)務(wù)的VPN�,而往往是根據(jù)不同的用戶、不同的業(yè)務(wù)�����、不同的應(yīng)用組合使用,靈活地區(qū)分VPN站點(diǎn)���,組建VPN�。
因此�����,本發(fā)明還提供了基于多種方式組合VPN��,其實(shí)現(xiàn)的流程如圖9所示管理平面通過(guò)CLI/WEB/網(wǎng)管等多種靜態(tài)配置方式或者AAA/策略等多種動(dòng)態(tài)配置方式���,按照設(shè)備、接口�、網(wǎng)絡(luò)、用戶��、報(bào)文���、業(yè)務(wù)多種方式建立與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�����,形成對(duì)應(yīng)的各種信息表����、VPN配置表等信息。具體配置時(shí)��,可以按照某個(gè)或者某幾種方式對(duì)不同用戶����、不同的業(yè)務(wù)、不同的應(yīng)用來(lái)劃分VPN站點(diǎn)����。典型的可以是針對(duì)某客戶通過(guò)專線接口劃分VPN,對(duì)部分子網(wǎng)按照子網(wǎng)或者網(wǎng)段劃分VPN�,對(duì)小區(qū)接入用戶按照業(yè)務(wù)劃分VPN,按照?qǐng)?bào)文參數(shù)對(duì)特定用戶/網(wǎng)絡(luò)按照?qǐng)?bào)文劃分VPN�,或者針對(duì)某個(gè)用戶同時(shí)提供基于設(shè)備、接口����、網(wǎng)絡(luò)、用戶����、報(bào)文�����、業(yè)務(wù)等多種方式中的一種或多種劃分VPN����。
控制平面通過(guò)專網(wǎng)協(xié)議�,比如路由協(xié)議(動(dòng)態(tài)路由協(xié)議或者靜態(tài)配置的路由協(xié)議)、二層會(huì)話相關(guān)協(xié)議����、標(biāo)簽協(xié)議等建立專網(wǎng)路由、會(huì)話信息等��,如果需要識(shí)別業(yè)務(wù)�,此時(shí)需要在專網(wǎng)協(xié)議中提供業(yè)務(wù)跟蹤和分析功能�����,以識(shí)別會(huì)話中包含的業(yè)務(wù)�;當(dāng)然,也可以通過(guò)靜態(tài)配置或者動(dòng)態(tài)指定某個(gè)會(huì)話中使用什么業(yè)務(wù)�。然后通過(guò)對(duì)應(yīng)的信息判斷是否是VPN以及對(duì)應(yīng)的VPN信息,VPN模塊根據(jù)VPN信息建立對(duì)應(yīng)的隧道(也可以是通過(guò)管理平面手工建立)��,同時(shí)根據(jù)公網(wǎng)協(xié)議,比如路由協(xié)議�、標(biāo)簽協(xié)議等提供對(duì)應(yīng)的路由、標(biāo)簽�、轉(zhuǎn)發(fā)、封裝信息�。
轉(zhuǎn)發(fā)平面使用標(biāo)準(zhǔn)的VPN轉(zhuǎn)發(fā)流程,接收到用戶數(shù)據(jù)報(bào)文�����,根據(jù)對(duì)應(yīng)的信息表判斷為專網(wǎng)數(shù)據(jù)報(bào)文��,按照專網(wǎng)會(huì)話進(jìn)行查表和封裝���,查找對(duì)應(yīng)的VPN信息和封裝�,查找對(duì)應(yīng)的公網(wǎng)路由�、轉(zhuǎn)發(fā)、封裝信息和封裝��,最終形成可以在公網(wǎng)上轉(zhuǎn)發(fā)的包含有專網(wǎng)數(shù)據(jù)的報(bào)文��,然后通過(guò)公網(wǎng)轉(zhuǎn)發(fā)到指定的VPN隧道對(duì)端�����,VPN隧道對(duì)端根據(jù)協(xié)議進(jìn)行對(duì)應(yīng)的查表和解封裝等。
當(dāng)VPN設(shè)備接收到來(lái)自公網(wǎng)的VPN報(bào)文后�����,根據(jù)報(bào)文和VPN站點(diǎn)的對(duì)應(yīng)關(guān)系判斷其歸屬的VPN和對(duì)應(yīng)的用戶參數(shù)����,對(duì)VPN報(bào)文進(jìn)行解封裝獲得專網(wǎng)數(shù)據(jù),然后���,向?qū)?yīng)的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)��。
多種不同方式組合劃分VPN一般有兩種方式���,根據(jù)優(yōu)先級(jí)或者通過(guò)策略表達(dá)式來(lái)組合多種網(wǎng)絡(luò)參數(shù)、運(yùn)營(yíng)參數(shù)等對(duì)VPN進(jìn)行合理的區(qū)分和應(yīng)用�����。
優(yōu)先級(jí)方式指的是有多種不同的方式組合時(shí)���,每種方式配置一個(gè)優(yōu)先級(jí),優(yōu)先級(jí)高的先使用,優(yōu)先級(jí)低的后使用���。處理流程如下
1.首先建立一個(gè)方式組����,其中配置各種方式���,以及其應(yīng)用的優(yōu)先級(jí)�����,包括標(biāo)準(zhǔn)的基于網(wǎng)絡(luò)參數(shù)的方式�,以及上述基于用戶參數(shù)�����、基于報(bào)文參數(shù)�����、基于業(yè)務(wù)參數(shù)等方式的優(yōu)先級(jí)��,對(duì)每種需要使用的方式分配一個(gè)優(yōu)先級(jí)�;不需要使用的方式����,可以不配置����。
2.然后確定這樣一個(gè)方式組的作用域,可以作用在包括但不限于某一個(gè)或者多個(gè)端口�、VLAN或者子接口或者整個(gè)設(shè)備全局應(yīng)用。
3.當(dāng)用戶報(bào)文解析時(shí)���,按照優(yōu)先級(jí)從高到低的順序����,使用方式組中規(guī)定的方式進(jìn)行VPN的區(qū)分和轉(zhuǎn)發(fā)����。
一般情況下,優(yōu)先級(jí)本身不做限制��,可以使用多種優(yōu)先級(jí)�,包括但不限于5級(jí)、10級(jí)�、100級(jí)�、255級(jí)等等。
典型的,可以采用5級(jí)優(yōu)先級(jí)�,配置方式組#1或者名稱為“方式組1”優(yōu)先級(jí)5基于業(yè)務(wù)參數(shù)的方式優(yōu)先級(jí)4基于報(bào)文參數(shù)的方式優(yōu)先級(jí)3基于用戶參數(shù)的方式優(yōu)先級(jí)2基于網(wǎng)絡(luò)參數(shù)的方式然后,將方式組應(yīng)用于有VPN接入的連接大客戶的端口����。
當(dāng)報(bào)文進(jìn)入時(shí),按照方式組配置的優(yōu)先級(jí)從高到低��,進(jìn)行合理的劃分�����,如果命中某種方式��,即使用該方式�����。
策略表達(dá)式指的是通過(guò)表達(dá)式形式��,可以靈活地將多種條件進(jìn)行組合��,符合一定的條件即劃分為對(duì)應(yīng)的VPN����。通用的處理流程如下1.首先建立一個(gè)策略組��,其中配置各種方式�,以及其組合策略���,包括標(biāo)準(zhǔn)的基于網(wǎng)絡(luò)參數(shù)的方式���,以及上述基于用戶參數(shù)、基于報(bào)文參數(shù)�、基于業(yè)務(wù)參數(shù)等方式,以及組合使用的策略����,每種需要?jiǎng)澐值腣PN使用一種策略規(guī)則,可以配置一條或者多條策略規(guī)則�。如果不需要使用的方式,可以不配置���。
2.然后確定這樣一個(gè)策略組的作用域�,可以作用在包括但不限于某一個(gè)或者多個(gè)端口�����、VLAN或者子接口或者整個(gè)設(shè)備全局應(yīng)用����。
3.當(dāng)用戶報(bào)文解析時(shí),按照策略組配置順序進(jìn)行匹配�����,如果匹配成功�,則按照策略指定的VPN動(dòng)作進(jìn)行劃分,如果匹配失敗則繼續(xù)匹配����,直至全部匹配失敗,不進(jìn)行VPN劃分或者劃分到默認(rèn)的VPN中��。
典型的��,策略規(guī)則的形式為包括網(wǎng)絡(luò)參數(shù)�、用戶參數(shù)、報(bào)文參數(shù)�����、業(yè)務(wù)參數(shù)�,以及關(guān)系運(yùn)算(包括但不限于和、或�、否����、屬于���、不屬于����、等于�、不等于)、模糊匹配(any��、表示任意值的通配符*�、表示單個(gè)值的通配符?����、以及正則表達(dá)式)等組合而成的表達(dá)式。
如某運(yùn)營(yíng)商需要將某個(gè)大客戶的語(yǔ)音業(yè)務(wù)送到某個(gè)語(yǔ)音VPN中��,某類用戶使用一個(gè)VPN到ISP處�����,凡是HTTP的報(bào)文送到一個(gè)VPN中進(jìn)行內(nèi)容過(guò)濾,從端口5進(jìn)來(lái)的全部使用某個(gè)VPN���,其他的按照網(wǎng)絡(luò)參數(shù)進(jìn)行劃分���。
此時(shí),配置策略組#1或者名稱為“策略組1”�,內(nèi)容如下if(SIP屬于192.168.5.*)和(Voice_Service)then VPN1if(用戶域?yàn)椤?.isp.telecom.cn”)then VPN2if(HTTP)then VPN3if(Port=5)then VPN4default VPNx特別的�����,當(dāng)策略表達(dá)式表達(dá)形式按照優(yōu)先級(jí)進(jìn)行組合時(shí)��,就是上述優(yōu)先級(jí)方式�����。
同時(shí)��,策略組和方式和優(yōu)先級(jí)方式也可以同時(shí)使用�,通過(guò)配置策略組優(yōu)先或者方式組優(yōu)先實(shí)現(xiàn)兩種方式共存。
雖然通過(guò)實(shí)施例描繪了本發(fā)明���,本領(lǐng)域普通技術(shù)人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神�����。
權(quán)利要求
1.一種實(shí)現(xiàn)虛擬專用網(wǎng)的方法���,其特征在于���,所述方法包括步驟A、配置虛擬專用網(wǎng)VPN運(yùn)營(yíng)參數(shù)信息����;B、建立所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系����;C、當(dāng)VPN設(shè)備從VPN站點(diǎn)接收到專網(wǎng)數(shù)據(jù)后�����,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN并記錄對(duì)應(yīng)的VPN參數(shù)����,按其歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā)�����;D�、當(dāng)VPN設(shè)備從公網(wǎng)接收到VPN報(bào)文時(shí)�����,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN和用戶參數(shù)�����,并向其歸屬的VPN站點(diǎn)轉(zhuǎn)發(fā)專網(wǎng)數(shù)據(jù)����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述步驟A具體為通過(guò)命令行接口/WEB/網(wǎng)管靜態(tài)配置所述VPN運(yùn)營(yíng)參數(shù)。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述步驟A具體為通過(guò)認(rèn)證、授權(quán)����、計(jì)費(fèi)/策略動(dòng)態(tài)配置所述VPN運(yùn)營(yíng)參數(shù)。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述步驟B具體為建立用戶參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系;和/或建立報(bào)文參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系���;和/或建立業(yè)務(wù)參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述步驟B具體為建立用戶參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系;和/或建立報(bào)文參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�����;和/或建立業(yè)務(wù)參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系;和建立網(wǎng)絡(luò)參數(shù)與所述VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�����。
6.根據(jù)權(quán)利要求4或5所述的方法���,其特征在于���,所述用戶參數(shù)包括用戶、域�����、因特網(wǎng)服務(wù)提供商/因特網(wǎng)內(nèi)容提供商/應(yīng)用服務(wù)提供商�、用戶群���。
7.根據(jù)權(quán)利要求4或5所述的方法����,其特征在于��,所述報(bào)文參數(shù)包括物理層報(bào)文���、二層數(shù)據(jù)鏈路層報(bào)文���、三層網(wǎng)絡(luò)層報(bào)文����、四層傳送層報(bào)文以及高層應(yīng)用層報(bào)文中包含的參數(shù)�。
8.根據(jù)權(quán)利要求4或5所述的方法,其特征在于�,所述業(yè)務(wù)參數(shù)包括數(shù)據(jù)、視頻���、語(yǔ)音�����、指定會(huì)話中的業(yè)務(wù)和會(huì)話信息�����。
9.根據(jù)權(quán)利要求4或5所述的方法����,其特征在于��,當(dāng)建立有多種網(wǎng)絡(luò)參數(shù)、運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系時(shí)�,通過(guò)優(yōu)先級(jí)或者策略表達(dá)式來(lái)選擇確定接收數(shù)據(jù)所歸屬的VPN時(shí)適用的對(duì)應(yīng)關(guān)系。
10.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述步驟C中按專網(wǎng)數(shù)據(jù)歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā)的過(guò)程包括將記錄的VPN參數(shù)與所述專網(wǎng)數(shù)據(jù)對(duì)應(yīng)的VPN站點(diǎn)進(jìn)行關(guān)聯(lián)�;根據(jù)所述VPN參數(shù)建立對(duì)應(yīng)的隧道,同時(shí)由公網(wǎng)協(xié)議提供對(duì)應(yīng)的路由����、標(biāo)簽、轉(zhuǎn)發(fā)����、封裝信息;分別根據(jù)對(duì)應(yīng)的VPN參數(shù)和所述公網(wǎng)協(xié)議提供的路由�����、標(biāo)簽��、轉(zhuǎn)發(fā)����、封裝信息對(duì)所述專網(wǎng)數(shù)據(jù)進(jìn)行封裝;將封裝后的專網(wǎng)數(shù)據(jù)通過(guò)公網(wǎng)轉(zhuǎn)發(fā)���。
11.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述步驟D中向VPN報(bào)文歸屬的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)的過(guò)程包括根據(jù)從公網(wǎng)接收的VPN報(bào)文信息����,獲取VPN運(yùn)營(yíng)信息及其歸屬的VPN站點(diǎn)信息;剝離VPN報(bào)文中所有VPN封裝����,解封裝出VPN專網(wǎng)數(shù)據(jù);根據(jù)所述VPN站點(diǎn)信息對(duì)解封裝出的專網(wǎng)數(shù)據(jù)進(jìn)行封裝���;將封裝后的專網(wǎng)數(shù)據(jù)發(fā)送到其歸屬的VPN站點(diǎn)�。
全文摘要
本發(fā)明公開(kāi)一種實(shí)現(xiàn)虛擬專用網(wǎng)的方法���,包括步驟配置VPN運(yùn)營(yíng)參數(shù)信息��,所述運(yùn)營(yíng)參數(shù)信息包括用戶參數(shù)和/或報(bào)文參數(shù)和/或業(yè)務(wù)參數(shù)��;建立所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系�;當(dāng)VPN設(shè)備從VPN站點(diǎn)接收到專網(wǎng)數(shù)據(jù)后,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN并記錄對(duì)應(yīng)的VPN參數(shù)�����,按其歸屬的VPN參數(shù)對(duì)其進(jìn)行轉(zhuǎn)發(fā)�����;當(dāng)VPN設(shè)備從公網(wǎng)接收到VPN報(bào)文時(shí)�,根據(jù)所述運(yùn)營(yíng)參數(shù)與VPN站點(diǎn)的對(duì)應(yīng)關(guān)系確定其歸屬的VPN和用戶參數(shù),并向其歸屬的VPN站點(diǎn)發(fā)送專網(wǎng)數(shù)據(jù)�����。利用本發(fā)明�����,可以使VPN在不影響網(wǎng)絡(luò)規(guī)劃的基礎(chǔ)上開(kāi)展各種VPN業(yè)務(wù)����,更好地滿足不同業(yè)務(wù)、應(yīng)用的需求����。
文檔編號(hào)H04L12/28GK1848799SQ200510064258
公開(kāi)日2006年10月18日 申請(qǐng)日期2005年4月12日 優(yōu)先權(quán)日2005年4月12日
發(fā)明者金濤, 李建軍 申請(qǐng)人:華為技術(shù)有限公司