專利名稱:一種虛擬專用網(wǎng)絡的實現(xiàn)方法
技術(shù)領域:
本發(fā)明涉及一種在通訊領域中采用虛擬專用網(wǎng)絡部署時����,使得跨區(qū)域網(wǎng)、廣域網(wǎng)實現(xiàn)快速互聯(lián)互通的方法�。
背景技術(shù):
隨著全球互聯(lián)網(wǎng)的快速發(fā)展,國民的信息化水平也越來越高��,跨區(qū)域的國家機關(guān)��,大型企業(yè)也紛紛要求��,在一個私有的安全網(wǎng)絡中實現(xiàn)跨地區(qū)互聯(lián),實現(xiàn)員工遠程在家辦公�����,總部和分支機構(gòu)共享報表數(shù)據(jù)等����,而且這種需求是越來越強烈。
目前比較成熟的虛擬專用網(wǎng)絡VPN(virtual private network)技術(shù)主要有L2TP(Layer Two Tunnel Protocol���,二層隧道協(xié)議)����、MPLS(MultiprotocolLabel Switching多協(xié)議標記交換)虛擬專用網(wǎng)絡等���,其中L2TP主要采用PPP(point to point點到點)隧道擴展技術(shù)����,雖然適合員工在家辦公�,但對于大型企業(yè)各分支機構(gòu)之間、分支和總部之間的大量數(shù)據(jù)訪問并不合適��;而MPLS虛擬專用網(wǎng)絡�,在網(wǎng)絡層上進一步劃分業(yè)務����,可以對不同業(yè)務采取不同的流量工程��,但需要核心層網(wǎng)絡�����、匯聚層網(wǎng)絡支持MPLS協(xié)議�����,而且建構(gòu)的成本比較高�,而目前急需提供一種能快速部署�,對現(xiàn)有網(wǎng)絡結(jié)構(gòu)不做修改的前提下,提供一種能夠?qū)崿F(xiàn)大型企業(yè)�、各國家機關(guān)單位跨區(qū)域互聯(lián)的,而且是配置簡單�、易于管理和維護、可靠的私有專用網(wǎng)絡方法���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供了一種虛擬專用網(wǎng)絡的實現(xiàn)方法���,利用該快速部署的私有專用網(wǎng)絡可十分方便地滿足國家機關(guān)單位����、大型企業(yè)跨區(qū)域互聯(lián)�����、信息共享的需求���。
為了實現(xiàn)上述目的���,本發(fā)明提供了一種虛擬專用網(wǎng)絡的實現(xiàn)方法,包括步驟1���,將需要接入虛擬專用網(wǎng)絡域的計算機接入客戶側(cè)邊緣設備�����;
步驟2���,在客戶側(cè)邊緣設備上相應的端口處劃分標識是接入的虛擬專用網(wǎng)絡域用戶的特定的虛擬局域網(wǎng);步驟3����,在網(wǎng)絡側(cè)邊緣設備上配置所述虛擬專用網(wǎng)絡域��,將接入的虛擬局域網(wǎng)電路中加入所述虛擬專用網(wǎng)絡域并在所述電路中配置接入速率限制�;步驟4����,在所述網(wǎng)絡側(cè)邊緣設備上配置通用路由器連接隧道(GRE����,GenericRouting Encapsulation,以下簡稱GRE隧道)���,并將該通用路由器連接隧道作為一條電路加入到所述虛擬專用網(wǎng)絡域中�����。
上述的方法��,還包括如下步驟步驟5��,在虛擬專用網(wǎng)絡域中接入遠端���,按照步驟2-步驟3進一步配置多個客戶側(cè)邊緣設備和網(wǎng)絡側(cè)邊緣設備,各網(wǎng)絡側(cè)邊緣設備之間通過所述GRE隧道連接��;步驟6,在遠端將多個需要接入虛擬專用網(wǎng)絡域的計算機接入所述多個客戶側(cè)邊緣設備�����。
本發(fā)明所述方法需要一系列網(wǎng)絡設備共同完成���,私有專用網(wǎng)絡組網(wǎng)���,包括客戶側(cè)邊緣設備,網(wǎng)絡側(cè)邊緣設備和路由器�,其中對客戶側(cè)邊緣設備和路由器設備,其實現(xiàn)功能需求和傳統(tǒng)意義上一致�,客戶側(cè)邊緣設備實現(xiàn)二層MAC地址交換功能,路由器設備實現(xiàn)基于三層IP地址轉(zhuǎn)發(fā)功能��。
上述網(wǎng)絡側(cè)邊緣設備所必須滿足的功能具體描述如下虛擬局域網(wǎng)電路作為私有專用網(wǎng)絡接入的唯一標識���,在網(wǎng)絡側(cè)邊緣設備上進行控制��,不是該虛擬專用網(wǎng)絡域中的虛擬局域網(wǎng)電路將不被接入�����,保證私有網(wǎng)絡接入的安全性�����,同時根據(jù)虛擬局域網(wǎng)電路進行接入限速�����,保證不會由于分支機構(gòu)的網(wǎng)絡異常��,如由網(wǎng)絡病毒等造成網(wǎng)絡風暴���,而影響其他分支和總部的網(wǎng)絡運行。
網(wǎng)絡側(cè)邊緣設備根據(jù)二層MAC地址轉(zhuǎn)發(fā)�����,這就保證了虛擬專用網(wǎng)絡的接入不需要進行三層IP地址配置和控制�����,方便快速部署���。網(wǎng)絡側(cè)邊緣設備將自動學習到所有內(nèi)部虛擬專用網(wǎng)絡的二層MAC地址�����,并根據(jù)二層目的MAC地址轉(zhuǎn)發(fā)�。
網(wǎng)絡側(cè)邊緣設備通過通用路由器連接隧道協(xié)議擴展虛擬專用網(wǎng)絡,實行跨域網(wǎng)絡�����、核心網(wǎng)絡的虛擬專用網(wǎng)絡互聯(lián)�����。通用路由器連結(jié)隧道中封裝的是二層以太網(wǎng)幀報文����。
本發(fā)明所述的虛擬專用網(wǎng)絡實現(xiàn)方法,對現(xiàn)有網(wǎng)絡改造小�����,配置靈活�����、簡單���,安全可靠�����,易于擴展����,為國家機關(guān)單位、大型企業(yè)快速部署和實現(xiàn)虛擬專用網(wǎng)絡提供了一種強有力的手段�����。
圖1是本發(fā)明一種虛擬專用網(wǎng)絡接入流程圖����;圖2是本發(fā)明一種虛擬專用網(wǎng)絡組網(wǎng)圖�����;圖3是本發(fā)明網(wǎng)絡側(cè)邊緣設備數(shù)據(jù)報文轉(zhuǎn)發(fā)流程圖���;具體實施方式
為使本發(fā)明的目的�、技術(shù)和優(yōu)點更加清楚����,下面結(jié)合附圖對本發(fā)明做進一步的詳細描述�。
本發(fā)明的基本思想是�,在現(xiàn)有網(wǎng)絡中已經(jīng)存在的設備-路由器、交換機(作為客戶側(cè)邊緣設備CE)的基礎之上����,提供一種虛擬專用網(wǎng)絡控制設備(作為網(wǎng)絡側(cè)邊緣設備PE),來完成虛擬私有網(wǎng)絡的安全控制�,網(wǎng)絡擴展功能。該網(wǎng)絡側(cè)邊緣設備PE的基本特征有三點用虛擬局域網(wǎng)VLAN電路標識虛擬專用網(wǎng)絡VPN用戶���,保證虛擬專用網(wǎng)絡VPN用戶接入的安全可控����,并根據(jù)虛擬局域網(wǎng)VLAN電路進行流量限制�,防止網(wǎng)絡風暴擴散;根據(jù)二層目的地址轉(zhuǎn)發(fā)�����、MAC地址自動學習�,不需要另外配置和管理,極大的較少了設備維護的成本�����;采用通用路由器連接隧道技術(shù)進行虛擬專用網(wǎng)絡VPN域的延伸,同時把通用路由器連接隧道作為一種電路類型����,方便控制,也大大降低了技術(shù)實現(xiàn)的難度�����,對現(xiàn)有網(wǎng)絡改動最少��。
下面結(jié)合附圖和實施例進一步說明本發(fā)明是如何實現(xiàn)這種能夠快速部署的私有專用網(wǎng)絡方法的���。
如圖1和圖2所示����,本發(fā)明的接入步驟S101��、S102�、S105�、S106是目前寬帶數(shù)據(jù)接入的一般流程,主要有多個PC計算機(虛擬專用網(wǎng)VPN用戶)��,客戶側(cè)邊緣設CE(可以是二層交換機,或者其他根據(jù)二層MAC地址轉(zhuǎn)發(fā)的設備)�,正常接入到虛擬專用網(wǎng)絡VPN域中。下面以PC計算機11和PC計算機13組成的具體虛擬專用網(wǎng)絡VPN域1為例子��,說明該虛擬專用網(wǎng)絡VPN方法是如何實現(xiàn)的���。
首先�,流程中的步驟S101�����、S102�,將PC計算機11、12連接到客戶側(cè)邊緣設備(CE)21上���,并在客戶側(cè)邊緣設備(CE)1上將與PC計算機11���、12相連的端口以及與網(wǎng)絡側(cè)邊緣設備(PE)31相連的端口設定為LAN100,并且在與網(wǎng)絡側(cè)邊緣設備(PE)31相連的端口打上(標出) vlan taged(圖中未示出)���;接著進行步驟S103�����,即在網(wǎng)絡側(cè)邊緣設備(PE)31上建立虛擬專用網(wǎng)絡VPN域1���,并將與客戶側(cè)邊緣設備(PE)21相連的端口號和虛擬局域網(wǎng)(VLAN)100加到虛擬專用網(wǎng)絡(VPN)域1��,同時配置流量限制參數(shù)�����;網(wǎng)絡側(cè)邊緣設備(PN)32同樣建立虛擬專用網(wǎng)絡VPN域1���,將與客戶側(cè)邊緣設備(PE)22相連的端口號和虛擬局域網(wǎng)(VLAN)200加入到虛擬專用網(wǎng)絡(VPN)域1中;進行步驟S104���,在網(wǎng)絡側(cè)邊緣設備(PE)31上配置與網(wǎng)絡側(cè)邊緣設備(PE)32相連的通用路由器連接隧道���,并將該通用路由器連接隧道加入虛擬專用網(wǎng)絡VPN域1中;在網(wǎng)絡側(cè)邊緣設備(PE)32上配置與網(wǎng)絡側(cè)邊緣設備(PE)31相連的通用路由器連接隧道�,將該通用路由器連接隧道加入到虛擬專用網(wǎng)絡VPN域1中。
進行步驟S105��、S106����,客戶側(cè)邊緣設備(PE)22如客戶側(cè)邊緣設備(PE)21配置一樣,將相應的端口配置為虛擬局域VLAN網(wǎng)200���,與網(wǎng)絡側(cè)邊緣設備(PE)32相連的端口打上(標出)Vlan taged(圖中未示出)��;如此����,本發(fā)明的虛擬專用網(wǎng)絡實現(xiàn)方法就已經(jīng)實現(xiàn)��,下面結(jié)合附圖3����,說明虛擬專用網(wǎng)絡VPN域中數(shù)據(jù)報文的學習過程,PC計算機1發(fā)送一個單播或者廣播報文到客戶側(cè)邊緣設備(CE)l���,客戶側(cè)邊緣設備(PE)l根據(jù)二層MAC地址轉(zhuǎn)發(fā)�����,經(jīng)報文直接廣播到網(wǎng)絡側(cè)邊緣設備1�,網(wǎng)絡側(cè)邊緣設備(PE)1端口收到報文(步驟S200)后��,根據(jù)圖3的流程圖����,將根據(jù)VLAN電路判斷該電路是否屬于虛擬專用網(wǎng)絡域1(步驟S201)�����,如果不是則丟棄或者其他處理(步驟S400)��,其他處理可能包括根據(jù)二層地址轉(zhuǎn)發(fā)���,或者三層路由轉(zhuǎn)發(fā);如果發(fā)現(xiàn)是屬于虛擬專用網(wǎng)絡VPN域1后�,網(wǎng)絡側(cè)邊緣設備(PE)1先進行源MAC地址學習(步驟S202),這時網(wǎng)絡側(cè)邊緣設備(PE)1上就記錄有PC1的二層MAC地址�����,然后根據(jù)目的MAC判斷(步驟S203)�����,沒有對應的MAC記錄�����,將根據(jù)VLAN電路信息查找相應的虛擬專用網(wǎng)絡VPN域1(步驟S300),然后查找該虛擬專用網(wǎng)絡VPN域1所有的電路(步驟S301)上并進行復制轉(zhuǎn)發(fā)(步驟S302)�,包括通用路由器連接隧道1電路;通用路由器連接隧道1報文經(jīng)過internet網(wǎng)上的眾多路由器(41��、42)后���,最終到達網(wǎng)絡側(cè)邊緣設備(PE)2(通用路由器連接隧道1填寫的目的地址為網(wǎng)絡側(cè)邊緣設備2);如果有對應的MAC記錄����,則將根據(jù)目的MAC索引(S204),對于相應的電路進行限速(S205)���,然后根據(jù)目的MAC地址進行轉(zhuǎn)發(fā)(S206)���;網(wǎng)絡側(cè)邊緣設備(PE)32同樣根據(jù)電路信息(這時是通用路由器連接隧道電路),確定是虛擬專用網(wǎng)絡VPN域1用戶�����,網(wǎng)絡側(cè)邊緣設備(PE)32也進行源MAC地址學習����,并判斷目的MAC地址,這時網(wǎng)絡側(cè)邊緣設備(PE)32上如果有計算機13的二層MAC記錄����,將直接將報文發(fā)送到客戶側(cè)邊緣設備(PE)22���,由客戶側(cè)邊緣設備(PE)22轉(zhuǎn)發(fā)到PC計算機13;如果網(wǎng)絡側(cè)邊緣設備(PE)沒有學習到計算機13的二層MAC地址�,它將根據(jù)虛擬專用網(wǎng)絡VPN域1查找到該域內(nèi)的所有電路(包括VLAN電路和隧道電路),在除通用路由器連接隧道之外的所有電路上進行多目復制轉(zhuǎn)發(fā)����。
最后是數(shù)據(jù)報文直接轉(zhuǎn)發(fā)過程,PC計算機11發(fā)送單播報文給PC計算機13���,經(jīng)過的轉(zhuǎn)發(fā)路徑直接為客戶側(cè)邊緣設備(CE)21���,網(wǎng)絡側(cè)邊緣設備(PE)31,經(jīng)中間路由器到網(wǎng)絡側(cè)邊緣設備(PE)23���,客戶側(cè)邊緣設備(CE)22�,最后直接到達PC計算機13��,沒有復制轉(zhuǎn)發(fā)過程��。
對同一個網(wǎng)絡側(cè)邊緣設備(PE)下的同一個虛擬專用網(wǎng)絡VPN域用戶,其數(shù)據(jù)報文轉(zhuǎn)發(fā)過程基本相同��,只是不經(jīng)過通用路由器連接隧道���,不再贅述����。
本發(fā)明在實現(xiàn)時可能有多種不同的方案����,本文中所涉及的具體實現(xiàn)方案只是其中一種�。熟悉本領域的技術(shù)人員當可根據(jù)本發(fā)明作出各種相應的改變和變形,但這些相應的改變和變形都應屬于本發(fā)明所附的權(quán)利要求的保護范圍��。
權(quán)利要求
1.一種虛擬專用網(wǎng)絡的實現(xiàn)方法����,其特征在于,包括步驟1��,將需要接入虛擬專用網(wǎng)絡域的計算機接入客戶側(cè)邊緣設備����;步驟2,在客戶側(cè)邊緣設備上相應的端口劃分特定的虛擬局域網(wǎng),以標識是接入的虛擬專用網(wǎng)絡域用戶�;步驟3,在網(wǎng)絡側(cè)邊緣設備上配置所述虛擬專用網(wǎng)絡域��,將接入的虛擬局域網(wǎng)電路加入所述虛擬專用網(wǎng)絡域����,并在接入的所述虛擬局域網(wǎng)電路上配置接入速率限制;步驟4����,在所述網(wǎng)絡側(cè)邊緣設備上配置通用路由器連接隧道,并將所述通用路由器連接隧道作為一條電路加入到所述虛擬專用網(wǎng)絡域中����。
2.根據(jù)權(quán)利要求1所述虛擬專用網(wǎng)絡的實現(xiàn)方法,其特征在于��,還進一步包括步驟5���,在虛擬專用網(wǎng)絡域中接入遠端��,依所述步驟2-步驟3配置相應的客戶側(cè)邊緣設備和網(wǎng)絡側(cè)邊緣設備�����;步驟6�,在所述接入遠端將至少一個需要接入虛擬專用網(wǎng)絡域的計算機接入所述客戶側(cè)邊緣設備。
3.如權(quán)利要求1或2所述的方法����,其特征在于,還包括所述網(wǎng)絡側(cè)邊緣設備在所述虛擬專用網(wǎng)絡域中進行數(shù)據(jù)報文轉(zhuǎn)發(fā)的步驟�。
4.如權(quán)利要求3所述的方法,其特征在于�����,所述進行數(shù)據(jù)報文轉(zhuǎn)發(fā)的步驟還包括步驟71�,所述計算機發(fā)送一報文到與之連接的客戶側(cè)邊緣設備中�,該客戶側(cè)邊緣設備根據(jù)二層媒體接入控制MAC地址轉(zhuǎn)發(fā),將該報文直接廣播到與之連接的網(wǎng)絡側(cè)邊緣設備�����;步驟72����,所述與之連接的網(wǎng)絡側(cè)邊緣設備端口收到該報文后根據(jù)報文信息判斷其接入的虛擬局域網(wǎng)電路是否屬于所述虛擬專用網(wǎng)絡域;如果是��,則所述與之連接的網(wǎng)絡側(cè)邊緣設備進行源MAC地址學習;步驟73����,所述與之連接的網(wǎng)絡側(cè)邊緣設備判斷其是否記錄了所述計算機的目的MAC地址,如果有���,則根據(jù)虛擬局域網(wǎng)電路進行限速��,然后根據(jù)目的地址進行報文的復制和轉(zhuǎn)發(fā)���;如果沒有,則根據(jù)所述虛擬局域網(wǎng)電路信息查找相應的虛擬專用網(wǎng)絡域�,然后在該虛擬專用網(wǎng)絡域的包括通用路由器連接隧道電路、虛擬局域網(wǎng)電路的所有電路上進行報文的復制和轉(zhuǎn)發(fā)�����,經(jīng)過互連網(wǎng)上的多個路由器最終到達目的地址所對應的網(wǎng)絡側(cè)邊緣設備��。
5.如權(quán)利要求4所述的方法�����,其特征在于在步驟72中�����,當判斷接入的虛擬局域網(wǎng)電路不是屬于所述虛擬專用網(wǎng)絡域時,則丟棄收到的報文��。
6.如權(quán)利要求4或5所述的方法����,其特征在于,在步驟73中����,所有的電路包括通用隧道電路。
7.如權(quán)利要求4或5所述的方法�,其特征在于,還包括��,所述多個網(wǎng)絡側(cè)邊緣設備進行MAC源地址學習后在包括通用路由器連接隧道電路和虛擬局域網(wǎng)電路的所有的電路上進行報文的多目復制轉(zhuǎn)發(fā)���。
8.如權(quán)利要求4或5所述的方法,其特征在于對同一網(wǎng)絡側(cè)邊緣設備下的同一虛擬專用網(wǎng)絡域用戶�����,所述數(shù)據(jù)報文不經(jīng)過通用路由器連接隧道而直接轉(zhuǎn)發(fā)���。
9.一種采用權(quán)利要求1���、2����、4或5所述方法的虛擬專用網(wǎng)絡����,其特征在于,包括多個接入端����;一客戶側(cè)邊緣設備,用于將需要接入虛擬專用網(wǎng)絡域的所述接入端接入��,在所述客戶側(cè)邊緣設備上相應的端口劃分特定的虛擬局域網(wǎng)���,以標識是接入的虛擬專用網(wǎng)絡域用戶���;一網(wǎng)絡側(cè)邊緣設備,在所述網(wǎng)絡側(cè)邊緣設備上配置所述虛擬專用網(wǎng)絡域�����,將接入的虛擬局域網(wǎng)電路加入所述虛擬專用網(wǎng)絡域,并在接入的所述虛擬局域網(wǎng)電路上配置接入速率限制��;一通用路由器連接隧道�,配置于所述網(wǎng)絡側(cè)邊緣設備上,并將所述通用路由器連接隧道作為一條電路加入到所述虛擬專用網(wǎng)絡域中�。
全文摘要
本發(fā)明涉及一種虛擬專用網(wǎng)絡實行方法及其網(wǎng)絡,其中�����,該實現(xiàn)方法����,包括將需要接入虛擬專用網(wǎng)絡域的計算機接入客戶側(cè)邊緣設備;在客戶側(cè)邊緣設備上相應的端口處劃分標識是接入的虛擬專用網(wǎng)絡域用戶的特定的虛擬局域網(wǎng)����;在網(wǎng)絡側(cè)邊緣設備上配置所述虛擬專用網(wǎng)絡域,將接入的虛擬局域網(wǎng)電路中加入所述虛擬專用網(wǎng)絡域并在所述電路中配置接入速率限制��;在所述網(wǎng)絡側(cè)邊緣設備上配置通用路由器連接隧道GRE���,并將GRE隧道作為一條特殊電路加入到所述虛擬專用網(wǎng)絡域中。采用上述方法可以實現(xiàn)了虛擬專用網(wǎng)絡的快速部署����。
文檔編號H04L12/46GK1878115SQ20051001188
公開日2006年12月13日 申請日期2005年6月7日 優(yōu)先權(quán)日2005年6月7日
發(fā)明者秦遵明 申請人:中興通訊股份有限公司