專利名稱:虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及身份位置分離技術(shù),尤其涉及虛擬專用網(wǎng)絡(luò)在身份位置分離網(wǎng)絡(luò)的 實(shí)現(xiàn)方法及系統(tǒng)�����。
背景技術(shù):
關(guān)于下一代信息網(wǎng)絡(luò)架構(gòu)的研究是當(dāng)前最熱門的課題之一���。這些研究課題的基 本方向是以話音業(yè)務(wù)為代表的電信網(wǎng)、以視頻業(yè)務(wù)為代表的電視網(wǎng)和以數(shù)據(jù)業(yè)務(wù)為代表 的互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)上的無縫地融合為目的�,以網(wǎng)絡(luò)承載IP化為特點(diǎn),典型的實(shí)例如提供 語音業(yè)務(wù)的VOIP (Voice over Internet Protocol, IP電話)網(wǎng)絡(luò)和提供電視業(yè)務(wù)的IPTV網(wǎng) 絡(luò)��、以IP核心網(wǎng)絡(luò)承載的3G移動(dòng)通信網(wǎng)絡(luò)���、以及大量對(duì)于超3G或者4G網(wǎng)絡(luò)的研究項(xiàng) 目等�。
4G是第4代移動(dòng)通信系統(tǒng)的簡(jiǎn)稱��,4G的目標(biāo)是為語音���、數(shù)據(jù)和流媒體業(yè)務(wù)提供 一個(gè)基于IP承載網(wǎng)絡(luò)的解決方案���,使用戶可以在“任何時(shí)間、任何地點(diǎn)����、任何業(yè)務(wù)”獲 得一個(gè)更高速的通信環(huán)境�����。
NGN(Next Generation Network,下一代網(wǎng)絡(luò))是建立在電信網(wǎng)基礎(chǔ)上的下一代網(wǎng)絡(luò)�����,旨在建立一個(gè)統(tǒng)一的基于IP分組交換的傳輸層面����。在統(tǒng)一的傳輸層面上各種應(yīng)用程 序的開發(fā)可以獨(dú)立于具體的傳輸技術(shù)�����,擴(kuò)展了應(yīng)用程序的應(yīng)用范圍�����。
由于目前IP分組承載網(wǎng)是以IPv4為基礎(chǔ)發(fā)展而來���,IP技術(shù)最早產(chǎn)生于美國�����,因 此美國等發(fā)達(dá)國家擁有大量的IPv4地址��,相反給人口眾多的發(fā)展中國家分配的IP地址很 少�����,導(dǎo)致發(fā)展中國家的IP分組承載網(wǎng)絡(luò)以及各種通信網(wǎng)絡(luò)的發(fā)展受制于IP地址的缺乏��, 比如目前我國的互聯(lián)網(wǎng)用戶已經(jīng)超過了我國擁有的IPv4地址數(shù)��,而且我國的網(wǎng)絡(luò)用戶數(shù) 還在高速增加�,不得不使用其他技術(shù)和設(shè)備來增加IP地址的重復(fù)使用�����,因此IP地址空間 不夠的問題嚴(yán)重的困擾我國未來IP承載網(wǎng)絡(luò)和通信網(wǎng)絡(luò)的發(fā)展���。解決這個(gè)問題最理想的 方法是使用IPV6���,但是這種徹頭徹尾的網(wǎng)絡(luò)架構(gòu)技術(shù)的改變,導(dǎo)致重新建設(shè)IPv6的承載 網(wǎng)絡(luò)需要付出巨大的建設(shè)費(fèi)用��,以及需要更換數(shù)以億計(jì)的終端�,代價(jià)高昂��,可見這不是 一個(gè)適合當(dāng)前的方案�����。
由以上技術(shù)回顧可以看出����,由于技術(shù)基礎(chǔ)��、利益背景等差異造成了下一代網(wǎng)絡(luò) 架構(gòu)的研究重點(diǎn)和方向選擇有很大區(qū)別����,但是面臨的問題和困難是相同的。
3G和4G是無線通信領(lǐng)域?qū)ο乱淮W(wǎng)絡(luò)的研究核心�,旨在基于全I(xiàn)P分組核心 網(wǎng)提高無線移動(dòng)通信的質(zhì)量;NGN和NGI(Next-Generation Internet,下一代互聯(lián)網(wǎng))分 別是電信網(wǎng)和互聯(lián)網(wǎng)領(lǐng)域?qū)ο乱淮W(wǎng)絡(luò)融合的研究�;CNGI (China ‘ s Next Generation Internet,中國下一代互聯(lián)網(wǎng))旨在構(gòu)建基于IPv6的下一代互聯(lián)網(wǎng);北方交大的“一體 化可信網(wǎng)絡(luò)與普適服務(wù)體系基礎(chǔ)研究”希望能構(gòu)建統(tǒng)一的新分組網(wǎng)絡(luò)��。雖然各種研究存 在很大差異���,但是各種研究普遍接受的觀點(diǎn)是未來網(wǎng)絡(luò)是基于分組的統(tǒng)一承載網(wǎng)絡(luò)���。 因此研究下一代網(wǎng)絡(luò)構(gòu)架將以互聯(lián)網(wǎng)為主要參考對(duì)象����?;ヂ?lián)網(wǎng)從其誕生以來一直保持高 速發(fā)展,已成為當(dāng)前最成功�、最具生命力的通信網(wǎng)絡(luò),其靈活可擴(kuò)展性����、高效的分組交換、終端強(qiáng)大的功能等特點(diǎn)非常符合新一代網(wǎng)絡(luò)的設(shè)計(jì)需要�����,互聯(lián)網(wǎng)將是新一代網(wǎng)絡(luò)設(shè) 計(jì)的主要參考藍(lán)本���。然而,互聯(lián)網(wǎng)的結(jié)構(gòu)還遠(yuǎn)遠(yuǎn)沒有達(dá)到最優(yōu)�,存在很多重大的設(shè)計(jì)問 題。除上述IP地址空間無法滿足應(yīng)用需要外���,還主要表現(xiàn)在以下方面
互聯(lián)網(wǎng)發(fā)明于二十世紀(jì)七十年代���,人們難以預(yù)計(jì)今天世界上將存在大量的移動(dòng) 終端和多家鄉(xiāng)終端�,因此當(dāng)時(shí)的互聯(lián)網(wǎng)協(xié)議棧主要是針對(duì)以“固定”方式連接的終端而 設(shè)計(jì)�。在當(dāng)時(shí)的網(wǎng)絡(luò)環(huán)境下,由于終端基本上不會(huì)從一個(gè)位置移動(dòng)到其它位置�����,發(fā)送的 地址就是接收的地址����,路經(jīng)是可逆的,所以具有身份和位置雙重屬性的IP地址能夠非常 好的工作�����,IP地址的身份屬性與位置屬性之間沒有產(chǎn)生任何沖突��。IP地址同時(shí)代表身份 和位置恰恰滿足了當(dāng)時(shí)的網(wǎng)絡(luò)需求��。從當(dāng)時(shí)的網(wǎng)絡(luò)環(huán)境來看��,這種設(shè)計(jì)方案簡(jiǎn)單有效��, 簡(jiǎn)化了協(xié)議棧的層次結(jié)構(gòu)�����。但毋庸置疑的是,IP地址的身份屬性與位置屬性之間存在著 內(nèi)部矛盾���。IP地址的身份屬性要求任意兩個(gè)IP地址都是平等的��,雖然IP地址可以按照 組織機(jī)構(gòu)進(jìn)行分配���,但是連續(xù)編碼的IP地址之間沒有必然的關(guān)系,或者至少在拓?fù)湮恢?上沒有必然的關(guān)系�;IP地址的位置屬性則要求IP地址基于網(wǎng)絡(luò)拓?fù)?而不是組織機(jī)構(gòu)) 進(jìn)行分配,處于同一個(gè)子網(wǎng)內(nèi)的IP地址都應(yīng)該處于一個(gè)連續(xù)的IP地址塊中���,這樣才可以 使網(wǎng)絡(luò)拓?fù)渲械腎P地址前綴聚合�����,從而減少路由器設(shè)備的路由表的條目�����,保證路由系統(tǒng) 的可擴(kuò)展性。
伴隨著網(wǎng)絡(luò)規(guī)模和技術(shù)的發(fā)展����,一些動(dòng)態(tài)分配IP地址的技術(shù)逐步出現(xiàn)����,如動(dòng)態(tài) 主機(jī)配置協(xié)議(DHCP��,Dynamic Host Configuration Protocol),這就開始打破IP地址唯一表示一個(gè)終端的假定��。私有IP地址空間的使用和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT�����,NetworkAddress Translator)技術(shù)的誕生使得情況繼續(xù)惡化��。在這種情況下同時(shí)具有身份屬性與位置屬性的 IP地址將難以繼續(xù)勝任它的角色�����,IP地址的雙重屬性問題已經(jīng)凸顯出來����。除了技術(shù)層面 的需求發(fā)生了顯著變化以外,互聯(lián)網(wǎng)的用戶狀況也已經(jīng)發(fā)生了巨大的改變�����。在互聯(lián)網(wǎng)誕 生之后的最初幾年中,互聯(lián)網(wǎng)基本上被一些處于共同團(tuán)體且相互信任的人員使用��,傳統(tǒng) 互聯(lián)網(wǎng)協(xié)議棧也是基于此種假設(shè)而設(shè)計(jì)的����;而目前的互聯(lián)網(wǎng)用戶則是魚龍混雜,人們難 以繼續(xù)互相信任���。在這種情況下�,缺乏內(nèi)嵌安全性機(jī)制的互聯(lián)網(wǎng)也需要發(fā)生變革��。
總的來說����,IP地址雙重屬性的內(nèi)在矛盾將導(dǎo)致如下主要問題
1.路由可擴(kuò)展問題。
關(guān)于互聯(lián)網(wǎng)路由系統(tǒng)的可擴(kuò)展性存在一個(gè)基本的假定
“地址按照拓?fù)溥M(jìn)行分配���,或者拓?fù)浒凑盏刂愤M(jìn)行部署��,二者必選其一”���。IP 地址的身份屬性要求IP地址基于終端所屬的組織機(jī)構(gòu)(而不是網(wǎng)絡(luò)拓?fù)?進(jìn)行分配,而 且這種分配要保持一定的穩(wěn)定性���,不能經(jīng)常改變����;而IP地址的位置屬性要求IP地址基于 網(wǎng)絡(luò)拓?fù)溥M(jìn)行分配�����,以便保證路由系統(tǒng)的可擴(kuò)展性�����。這樣����,IP地址的兩種屬性就產(chǎn)生了 沖突,最終引發(fā)了互聯(lián)網(wǎng)路由系統(tǒng)的可擴(kuò)展問題����。
2.移動(dòng)性問題。IP地址的身份屬性要求IP地址不應(yīng)該隨著終端位置的改變而變 化����,這樣才能夠保證綁定在身份上的通信不中斷,也能夠保證終端在移動(dòng)后���,其它終端 仍能夠使用它的身份與之建立通信聯(lián)系�;而IP地址的位置屬性則要求IP地址隨著終端位 置的改變而改變,以便IP地址能夠在新的網(wǎng)絡(luò)拓?fù)渲芯酆?�,否則網(wǎng)絡(luò)就必須為移動(dòng)后的 終端保留單獨(dú)的路由信息�,從而造成路由表?xiàng)l目的急劇增長。
3.多家鄉(xiāng)問題�����。多家鄉(xiāng)通常指終端或網(wǎng)絡(luò)同時(shí)通過多個(gè)ISP (InternetServiceProvider,因特網(wǎng)服務(wù)提供商)的網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)����。多家鄉(xiāng)技術(shù)的優(yōu)點(diǎn)包括增加網(wǎng)絡(luò)的 可靠性、支持多個(gè)ISP之間的流量負(fù)載均衡和提高總體可用帶寬等���。但是�,IP地址雙重 屬性的內(nèi)在矛盾使得多家鄉(xiāng)技術(shù)難以實(shí)現(xiàn)�����。IP地址的身份屬性要求一個(gè)多家鄉(xiāng)終端始終 對(duì)其它終端展現(xiàn)不變的身份�����,無論該多家鄉(xiāng)終端是通過幾個(gè)ISP接入到互聯(lián)網(wǎng);而IP地 址的位置屬性則要求一個(gè)多家鄉(xiāng)終端在不同的ISP網(wǎng)絡(luò)中使用不同的IP地址通信��,這樣 才能保證終端的IP地址能夠在ISP網(wǎng)絡(luò)的拓?fù)渲芯酆稀?br>
4.安全和位置隱私問題�����。由于IP地址同時(shí)包含終端的身份信息和位置信息���,所 以通信對(duì)端和惡意竊聽者都可以根據(jù)一個(gè)終端的IP地址同時(shí)獲得該終端的身份信息和拓 撲位置信息?���?偟膩碚f,自從傳統(tǒng)互聯(lián)網(wǎng)的體系結(jié)構(gòu)建立以來���,互聯(lián)網(wǎng)的技術(shù)環(huán)境和用 戶群體都已經(jīng)發(fā)生了翻天覆地的變化����,互聯(lián)網(wǎng)需要隨之進(jìn)行革新���。IP地址的雙重屬性問 題是困擾互聯(lián)網(wǎng)繼續(xù)發(fā)展的根本原因之一����,將IP地址的身份屬性和位置屬性進(jìn)行分離, 是解決互聯(lián)網(wǎng)所面臨問題的一個(gè)很好的思路�。新網(wǎng)絡(luò)將基于這種思路進(jìn)行設(shè)計(jì),提出一 種身份信息與位置信息分離映射的網(wǎng)絡(luò)結(jié)構(gòu)���,以解決現(xiàn)有互聯(lián)網(wǎng)存在的一些嚴(yán)重弊端�。
為了解決身份和位置的問題���,業(yè)界進(jìn)行了大量的研究和探索���,所有身份與位置 分離方案的基本思想都是將原本綁定在IP地址上的身份與位置雙重屬性分離。其中��,有 些方案采用應(yīng)用層的URL (統(tǒng)一資源定位符UniformRescmrce Locator, URL是用于完整 地描述Internet上網(wǎng)頁和其他資源的地址的一種標(biāo)識(shí)方法��。)或FQDN(合格域名Fully Qualified Domain Name)作為終端的身份標(biāo)識(shí)����,如IPNL (IP Next Layer,屬于NAT擴(kuò)展架 構(gòu)的方式)、TRIAD (A Scalable Deployable NAT-based bitemet Architecture)等�;有些方案 引入了新的名字空間作為身份標(biāo)識(shí),如HIPCHost Identity Protocol)在以IP地址為標(biāo)識(shí)網(wǎng) 絡(luò)層上增加主機(jī)標(biāo)識(shí)����;有些方案將IP地址進(jìn)行分類��,部分IP作為身份標(biāo)識(shí)�����,部分IP作為 位置標(biāo)識(shí)���,如LISP (Locator/ID SeparationProtocol)等��;公開于2006年7月12日的中國專 利申請(qǐng)CN1801764�����,是由北方交通大學(xué)張宏科等人申請(qǐng)的“一種基于身份與位置分離的 互聯(lián)網(wǎng)接入方法”�����,該方法使用IP地址作為主機(jī)的位置標(biāo)識(shí)���,引入端主機(jī)標(biāo)識(shí)作為身份 標(biāo)識(shí)解決身份和位置分離的問題�。在上述這些解決方案中基于主機(jī)的解決方案需要對(duì)主 機(jī)協(xié)議棧進(jìn)行修改�����,比如HIP;基于網(wǎng)絡(luò)的解決方案則需要對(duì)特定位置的路由器進(jìn)行改 進(jìn)。而且����,同樣作為基于網(wǎng)絡(luò)的解決方案,完成身份與位置映射功能的路由器在網(wǎng)絡(luò)中 所處的位置也不盡相同��。有的方案明確完成映射功能的路由器位于用戶網(wǎng)絡(luò)的邊界���,即 映射功能路由器屬于用戶網(wǎng)絡(luò)����;有的(LISP�、TIDR和Ivip)沒有限定完成映射功能的路由 器在網(wǎng)絡(luò)中所處的位置;有的明確解決路由可擴(kuò)展問題以及保證身份與位置的映射信息 只有網(wǎng)絡(luò)管理者能夠獲知�,嚴(yán)格限定了完成映射功能的路由器為核心網(wǎng)接入路由器,即 映射功能路由器屬于核心網(wǎng)絡(luò)����。在身份標(biāo)識(shí)與位置標(biāo)識(shí)同時(shí)位于網(wǎng)絡(luò)層的解決方案中, 如LISP���,存在是否嚴(yán)格按照網(wǎng)絡(luò)拓?fù)涞膭澐謱⑸矸菖c位置完全分離的設(shè)計(jì)區(qū)別�����。目前版 本的LISP協(xié)議要求網(wǎng)絡(luò)在沒有提供映射解析服務(wù)之前����,必須利用終端標(biāo)識(shí)EID (Endpoint Identifier)將第一個(gè)數(shù)據(jù)包路由到對(duì)端,以便使通信雙方的隧道路由器學(xué)習(xí)到路由位置標(biāo) 識(shí)RLOC (Routing Locators)和終端標(biāo)識(shí)EID的映射關(guān)系��,這就使得網(wǎng)絡(luò)至少要有部分路 由節(jié)點(diǎn)同時(shí)保留基于路由位置標(biāo)識(shí)RLOC和終端標(biāo)識(shí)EID的路由條目����,從而影響了 LISP 解決路由可擴(kuò)展性問題的能力。
各種身份與位置分離方案提出的初衷不盡相同��,因此最終實(shí)現(xiàn)的功能也各有差異���。IPNL的設(shè)計(jì)目的是為了使IPv4網(wǎng)絡(luò)獲得更長壽命,避免IPv6協(xié)議替換IPv4 協(xié)議所引發(fā)的全面更新?lián)Q代的難題�。TRIAD的設(shè)計(jì)目的是解決NAT給互聯(lián)網(wǎng)帶來的 各種問題,同時(shí)對(duì)移動(dòng)性和策略路由等提供一定的支持���。HIP最初提出是為了解決 安全性問題����,之后在移動(dòng)性支持上面做了大量工作,并且進(jìn)行了多家鄉(xiāng)支持的研究�����。 SHIM6 (Level 3Shim for IPv6)是主要為了解決IPv6網(wǎng)絡(luò)能夠支持多家鄉(xiāng)問題而提出的��。 LIN6 (Locationlndependent Networking for IPv6)的設(shè)計(jì)目的是為 IPv6 協(xié)議提出一種可供選 擇的移動(dòng)性和多家鄉(xiāng)解決方案�����。ILNP的設(shè)計(jì)目標(biāo)是提供一種能夠解決移動(dòng)性和多家鄉(xiāng)問 題的IPv6擴(kuò)展機(jī)制�。GSE試圖改變IPv6地址的結(jié)構(gòu),從而控制全球路由表?xiàng)l目的增長 并更靈活的支持多家鄉(xiāng)技術(shù)���。TIDR的設(shè)計(jì)目標(biāo)是增強(qiáng)現(xiàn)有互聯(lián)網(wǎng)的路由和轉(zhuǎn)發(fā)功能�����,解 決全局路由表膨脹��、域間路由的安全性以及多家鄉(xiāng)等問題����。LISP主要針對(duì)路由可擴(kuò)展性 問題而設(shè)計(jì)��。
上述的提案和方案都從問題的一些局部提出在現(xiàn)有的網(wǎng)絡(luò)架構(gòu)下實(shí)現(xiàn)身份與位 置分離解決方案,位置與身份分離是未來數(shù)據(jù)通信網(wǎng)絡(luò)的核心技術(shù)��,特別是移動(dòng)數(shù)據(jù)通 信網(wǎng)絡(luò)���。
技術(shù)背景二虛擬專用網(wǎng)絡(luò)VPN(virtualprivatenetwork)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接�����。虛擬專用網(wǎng)絡(luò)能夠利用Internet網(wǎng)絡(luò)或其它公共互聯(lián)網(wǎng)絡(luò)的基 礎(chǔ)設(shè)施為用戶創(chuàng)建隧道����,并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障����。
VPN有多種實(shí)現(xiàn)方式,具體可以分為用戶管理的VPN解決方案(CPE-VPN)和 運(yùn)營商實(shí)施的VPN解決方案(PP-VPN)�。
首先介紹用戶管理的VPN解決方案CPE-VPN方案���,特點(diǎn)是用戶自己設(shè)置�、管 理并維護(hù)VPN網(wǎng)關(guān)設(shè)備��,通過公共IP網(wǎng)在各個(gè)分支機(jī)構(gòu)和公司總部之間建立基于標(biāo)準(zhǔn) VPN隧道的連接���,隧道協(xié)議通常采用二層隧道協(xié)議(L2TP)��、點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)�����、 IPsec��、IPte IP和通用路由選擇封裝(GRE)等����,并且利用各種加密技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?br>
VPN隧道連接的建立與管理完全由用戶自己負(fù)責(zé),提供商不需要調(diào)整或改變網(wǎng) 絡(luò)的結(jié)構(gòu)與性能�����。這種方式也就是通常所說的“自建VPN”方式�����。
虛擬專用網(wǎng)絡(luò)支持企業(yè)通過Internet等公共互聯(lián)網(wǎng)絡(luò)與分支機(jī)構(gòu)或其它公司建立 連接�����,進(jìn)行安全的通訊���。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用 廣域網(wǎng)建立的連接�。雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)上,但是用戶在使用VPN 時(shí)感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通訊��,所以得名虛擬專用網(wǎng)絡(luò)���。使用VPN技術(shù)可以解 決在當(dāng)今遠(yuǎn)程通訊量日益增大�����,企業(yè)全球運(yùn)作廣泛分布的情況下���,員工需要訪問中央資 源,企業(yè)相互之間必須進(jìn)行及時(shí)和有效的通訊的問題�。
虛擬專用網(wǎng)絡(luò)VPN的基本用途
通過VPN實(shí)現(xiàn)遠(yuǎn)程用戶訪問,虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng) 絡(luò)遠(yuǎn)程訪問企業(yè)資源��,例如虛擬專用網(wǎng)絡(luò)用戶首先撥通本地接入服務(wù)提供商ISP的網(wǎng)絡(luò) 接入服務(wù)器BRAS�����,然后使用VPN軟件����,利用與本地ISP建立的連接在遠(yuǎn)程用戶和企業(yè) VPN服務(wù)器之間創(chuàng)建一個(gè)跨越Internet或其它公共互聯(lián)網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)。
使用VPN連接遠(yuǎn)程局域網(wǎng)絡(luò)���,不需要使用價(jià)格昂貴的長距離專用電路��,分支機(jī) 構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet��,或者撥號(hào)接入ISP的寬帶接入服務(wù)器連接internet����。使用VPN軟件����,利用與當(dāng)本地ISP建立的連接 和Internet網(wǎng)絡(luò)在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)。
運(yùn)營商實(shí)施的VPN解決方案(PP-VPN)�����,PP-VPN方案是指在運(yùn)營商的公共數(shù) 據(jù)通信網(wǎng)上設(shè)置VPN網(wǎng)關(guān)設(shè)備���,用于專線接入用戶或遠(yuǎn)程撥號(hào)接入用戶�����。利用該網(wǎng)關(guān)設(shè) 備���,可以在全網(wǎng)范圍內(nèi)根據(jù)具體的VPN網(wǎng)絡(luò)需求����,通過隧道封裝����、虛擬路由器或MPLS 等技術(shù)建立VPN,并且可以采用加密技術(shù)以保障數(shù)據(jù)傳輸?shù)陌踩?�。VPN連接的建立完全 由運(yùn)營商負(fù)責(zé)���,對(duì)用戶透明�。這種方式也就是通常所說的“外包VPN”方式����。
隨著寬帶接入網(wǎng)絡(luò)的迅猛發(fā)展的同時(shí),運(yùn)營商為了高質(zhì)量地拓展業(yè)務(wù)�,必須要 解決的一個(gè)問題是,如何對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的分層規(guī)劃�,以實(shí)現(xiàn)對(duì)用戶的定位以及業(yè) 務(wù)治理。由于在接入網(wǎng)層面大量地采用了以太網(wǎng)技術(shù)��,目前基于以太網(wǎng)來實(shí)現(xiàn)網(wǎng)絡(luò)劃分 的技術(shù)主要是虛擬局域網(wǎng)(VLAN)技術(shù)。VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而 不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)�。IEEE于1999年頒布了用 以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案����。傳統(tǒng)的以太網(wǎng)幀格式中定義了 4096 個(gè)VLAN,VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的��,它在以太網(wǎng)幀的基礎(chǔ) 上增加了 VLAN頭���,用VLANID把用戶劃分為更小的工作組�����,限制不同工作組間的用戶 二層互訪�,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)��。虛擬局域網(wǎng)的好處是可以限制廣播范圍�����, 并能夠形成虛擬工作組�����,動(dòng)態(tài)治理網(wǎng)絡(luò)���。VLAN隔離了廣播風(fēng)暴���,同時(shí)也隔離了各個(gè)不 同的VLAN之間的通信�,所以不同的VLAN之間的通信是需要有路由來完成的�。
劃分VLAN的方法主要有幾種。一是根據(jù)端口來劃分VLAN �����;這種根據(jù)端口來 劃分VLAN的方式仍然是最常用的一種方式����;二是根據(jù)MAC地址劃分VLAN,這種劃分 VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)����,即從一個(gè)交換機(jī)換到其他的交換機(jī) 時(shí),VLAN不用重新配置�,缺點(diǎn)是初始化時(shí)所有的用戶都必須進(jìn)行配置,導(dǎo)致了交換機(jī) 執(zhí)行效率降低�;三是根據(jù)網(wǎng)絡(luò)層劃分VLAN,這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的 網(wǎng)絡(luò)層地址或協(xié)議類型(假如支持多協(xié)議)劃分的而不是根據(jù)路由�,因此即便用戶物理位 置改變了,不需要重新配置所屬的VLAN,缺點(diǎn)是重新解析幀頭將降低效率�����;四是根據(jù) IP組播劃分VLAN��,IP組播實(shí)際上也是一種VLAN的定義����,即認(rèn)為一個(gè)組播組就是一個(gè) VLAN,這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)�,因此這種方法具有更大的靈活性, 而且也很輕易通過路由器進(jìn)行擴(kuò)展�����。
VLAN作為特定以太網(wǎng)通信環(huán)境下的VPN技術(shù)在寬帶接入上得到大規(guī)模的應(yīng) 用����,核心網(wǎng)或者廣域網(wǎng)中應(yīng)用比較多的是基于多協(xié)議標(biāo)簽交換MPLS的VPN。
多協(xié)議標(biāo)記交換(MPLS)技術(shù)的出現(xiàn)����,使整個(gè)Internet的體系結(jié)構(gòu)都發(fā)生了變 化。采用MPLS技術(shù)實(shí)現(xiàn)VPN的技術(shù)方案將大大改善傳統(tǒng)IP網(wǎng)絡(luò)的缺陷���,又能提供和 幀中繼或ATM網(wǎng)絡(luò)一樣的安全性保證�,可以很好地適應(yīng)VPN業(yè)務(wù)的需求。
MPLS VPN的網(wǎng)絡(luò)模型��,其中客戶邊緣(CE Customer Edge)設(shè)備可以是 路由器或二層交換機(jī)�,它位于客戶端,提供到網(wǎng)絡(luò)提供商的接入��;提供商邊緣(PE: Provider Edge)路由器主要維護(hù)與節(jié)點(diǎn)相關(guān)的轉(zhuǎn)發(fā)表���,與其他PE路由器交換VPN路由信 息�,使用MPLS網(wǎng)絡(luò)中的標(biāo)記交換路徑(LSP)轉(zhuǎn)發(fā)VPN業(yè)務(wù)���,這就是MPLS網(wǎng)絡(luò)中的 標(biāo)記邊緣路由器(LER)�����;提供商路由器(PE)使用已建立的LSP對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn) 發(fā)��,不維護(hù)與VPN有關(guān)的路由信息����,這就是MPLS網(wǎng)絡(luò)中的標(biāo)記交換路由器(LSR)����。
MPLS VPN 的優(yōu)點(diǎn)
安全性MPLS VPN由于采用了路由隔離����、地址隔離和信息隱藏等多種手段�����,提 供了抗攻擊和標(biāo)記欺騙的手段��,因此MPLS VPN完全能夠提供與ATM/FR VPN相類似的 安全保證�����。
擴(kuò)展性MPLS VPN則具有很強(qiáng)的擴(kuò)展性��。一方面MPLS網(wǎng)絡(luò)中可以容納的 VPN數(shù)目很大����,另一方面在用戶節(jié)點(diǎn)數(shù)目上由于借助于BGP協(xié)議進(jìn)行成員的分配和管 理�,同一個(gè)VPN中的用戶節(jié)點(diǎn)數(shù)不受限制,容易擴(kuò)充��,并可以實(shí)現(xiàn)任何節(jié)點(diǎn)與任何其它 節(jié)點(diǎn)的直接通信����。特別是在實(shí)現(xiàn)用戶節(jié)點(diǎn)間的全網(wǎng)狀通信時(shí)不需要逐條配置用戶節(jié)點(diǎn)間 的電路����,用戶側(cè)只需要一個(gè)端口 / 一條線路接入網(wǎng)絡(luò)�,避免了 N平方的擴(kuò)展性問題。
可靠性MPLS VPN業(yè)務(wù)����,自然就具有大帶寬、多節(jié)點(diǎn)�、多路由、充裕的網(wǎng)絡(luò) 和傳輸資源來保證網(wǎng)絡(luò)的可靠性����。當(dāng)互聯(lián)網(wǎng)內(nèi)部中繼線中斷時(shí),MPLSVPN的流量與普 通互聯(lián)網(wǎng)流量一起依據(jù)IGP迂回到其它電路上����,這一過程完全依靠IGP的收斂自動(dòng)完成, 對(duì)用戶完全透明����,在廣域網(wǎng)傳輸中不存在單點(diǎn)故障。
在身份和位置分離的技術(shù)方案下��,給上述的VPN技術(shù)實(shí)施帶來影響,對(duì)運(yùn)營商 實(shí)施的VPN解決方案(PP-VPN)產(chǎn)生影響�,特別是涉及三層IP地址的方案影響比較大, 位置和身份分離主要涉及VPN的用戶的身份標(biāo)識(shí)及通信協(xié)議����,VPN接入管理需要使用端 主機(jī)的身份標(biāo)識(shí)進(jìn)行認(rèn)證管理,需要對(duì)管理系統(tǒng)進(jìn)行升級(jí)處理�����;而對(duì)于用戶管理的VPN 解決方案CPE-VPN方案����,位置和身份分離以后端主機(jī)不再使用地址進(jìn)行通信���,需要使用 端主機(jī)的身份標(biāo)識(shí)進(jìn)行通信影響比較大一些���,需要對(duì)VPN軟件進(jìn)行升級(jí)處理支持端主機(jī) 的身份標(biāo)識(shí)。發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)該方法及系統(tǒng)���,以在 身份位置分離網(wǎng)絡(luò)方便地實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)��。
為解決以上技術(shù)問題��,本發(fā)明提供一種種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法��,所述虛擬 專用網(wǎng)絡(luò)基于身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)�����,該方法包括
A����、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置虛擬專用網(wǎng)絡(luò)(VPN)的VPN專用映射表 和普通映射表,所述VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置 標(biāo)識(shí)的映射關(guān)系���;所述普通映射表包括普通端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系�����;
B�����、所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專 用映射表或普通映射表�,若查詢到目的端主機(jī)的映射關(guān)系��,則身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn) 源��、目的端主機(jī)之間的通信,否則通信失敗�����。
進(jìn)一步地���,所述屬性指端主機(jī)是否屬于VPN端主機(jī)�����,步驟B中�,若源端主機(jī)的 屬性表明所述源端主機(jī)是VPN端主機(jī)��,則所述映射平面查詢所述VPN專用映射表��,否則 查詢所述普通映射表��。
進(jìn)一步地���,所述映射平面包括若干個(gè)VPN專用映射表,不同的VPN專用映射 表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)�����,具有不同的VPN標(biāo)識(shí);所述屬性指端主機(jī)是否屬于VPN端主 機(jī)���,以及屬于VPN端主機(jī)時(shí)����,所屬的VPN標(biāo)識(shí)��;步驟B中����,若源端主機(jī)的屬性表明所 述源端主機(jī)是VPN端主機(jī),則所述映射平面查詢對(duì)應(yīng)VPN標(biāo)識(shí)的VPN專用映射表���,否則查詢所述普通映射表��。
進(jìn)一步地��,步驟B進(jìn)一步包括
Bi��、接入業(yè)務(wù)節(jié)點(diǎn)(ASN)接收源端主機(jī)發(fā)送的報(bào)文���,其中攜帶源端和目的端主 機(jī)身份標(biāo)識(shí);
B2、所述ASN根據(jù)源端主機(jī)身份標(biāo)識(shí)查詢?cè)O(shè)置的屬性表����,獲得源端主機(jī)屬性, 并向映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求����,其中攜帶源端主機(jī)屬性及目的端主機(jī)身份標(biāo) 識(shí);
B3�����、映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映 射表或普通映射表��;
B4����、若查詢結(jié)果中包括目的端主機(jī)的位置標(biāo)識(shí),則所述ASN或映射平面向所述 目的位置標(biāo)識(shí)對(duì)應(yīng)的目的接入業(yè)務(wù)節(jié)點(diǎn)轉(zhuǎn)發(fā)報(bào)文實(shí)現(xiàn)通信���,否則通信失敗���。
進(jìn)一步地�,步驟B4之后,目的接入業(yè)務(wù)節(jié)點(diǎn)接收所述報(bào)文并轉(zhuǎn)發(fā)給目的端主機(jī) 的同時(shí)���,將源端主機(jī)身份標(biāo)識(shí)和位置標(biāo)識(shí)的映射關(guān)系以及源端主機(jī)的VPN屬性記錄在本 地映射表����;目的接入業(yè)務(wù)節(jié)點(diǎn)接收所述目的端主機(jī)回送的報(bào)文后,查詢本地映射表���,判 斷源�、目的端主機(jī)的屬性一致時(shí),直接進(jìn)行報(bào)文轉(zhuǎn)發(fā)。
為解決以上技術(shù)問題�����,本發(fā)明還提供另一種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法�,其特征 在于所述虛擬專用網(wǎng)絡(luò)基于身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)����,該方法包括
A、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置多個(gè)虛擬專用網(wǎng)絡(luò)(VPN)專用映射表�, 每一 VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān) 系;不同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)���,具有不同的VPN標(biāo)識(shí)�;
B、所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)VPN標(biāo)識(shí)一致的 VPN專用映射表����,若查詢到目的端主機(jī)的映射關(guān)系,則身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)源�����、目的 端主機(jī)之間的通信��,否則通信失敗���。
步驟B進(jìn)一步包括
Bi��、接入業(yè)務(wù)節(jié)點(diǎn)(ASN)接收源端主機(jī)發(fā)送的報(bào)文�����,其中攜帶源端和目的端主 機(jī)身份標(biāo)識(shí)����;
B2�����、所述ASN根據(jù)源端主機(jī)身份標(biāo)識(shí)查詢?cè)O(shè)置的屬性表,獲得源端主機(jī)屬性��, 并向映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求���,其中攜帶源端主機(jī)屬性及目的端主機(jī)身份標(biāo) 識(shí);
B3����、映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映 射表;
B4�����、若查詢結(jié)果中包括目的端主機(jī)的位置標(biāo)識(shí)�����,則所述ASN或映射平面向所述 目的位置標(biāo)識(shí)對(duì)應(yīng)的目的接入業(yè)務(wù)節(jié)點(diǎn)轉(zhuǎn)發(fā)報(bào)文實(shí)現(xiàn)通信�����,否則通信失敗���。
進(jìn)一步地����,步驟B14之后,目的接入業(yè)務(wù)節(jié)點(diǎn)接收所述報(bào)文并轉(zhuǎn)發(fā)給目的端主 機(jī)的同時(shí)���,將源端主機(jī)身份標(biāo)識(shí)和位置標(biāo)識(shí)的映射關(guān)系以及源端主機(jī)的VPN屬性記錄在 本地映射表����;目的接入業(yè)務(wù)節(jié)點(diǎn)接收所述目的端主機(jī)回送的報(bào)文后�����,查詢本地映射表���, 判斷源��、目的端主機(jī)的屬性一致時(shí)����,直接進(jìn)行報(bào)文轉(zhuǎn)發(fā)���。
為解決以上技術(shù)問題����,本發(fā)明還提供一種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)系統(tǒng),所述系統(tǒng) 基于身份位置分離架構(gòu)網(wǎng)絡(luò)實(shí)現(xiàn)�����,包括通過網(wǎng)絡(luò)連接的業(yè)務(wù)接入節(jié)點(diǎn)(ASN)和映射平面��,所述ASN����,包括收發(fā)模塊��、屬性表及屬性表查詢模塊���,其中
所述收發(fā)模塊�,用于接收源端主機(jī)發(fā)送的報(bào)文���,其中攜帶源端和目的端主機(jī)身 份標(biāo)識(shí)���,并通知屬性表查詢模塊;以及向映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求��,其中攜帶 源端主機(jī)屬性及目的端主機(jī)身份標(biāo)識(shí)�;向所述映射平面發(fā)送查詢請(qǐng)求時(shí)�����,還用于接收所 述映射平面發(fā)送的查詢結(jié)果����,若查詢到目的端主機(jī)的映射關(guān)系����,還用于根據(jù)查詢結(jié)果轉(zhuǎn) 發(fā)報(bào)文,否則通信失?�?����;
所述屬性表��,用于保存端主機(jī)與其屬性的對(duì)應(yīng)關(guān)系�;
所述屬性表查詢模塊,與所述收發(fā)模塊��、屬性表連接���,用于根據(jù)所述源端主機(jī) 身份標(biāo)識(shí)查詢?cè)O(shè)置的屬性表���,獲得源端主機(jī)屬性����,并通知所述收發(fā)模塊���;
所述映射平面包括收發(fā)模塊����、映射數(shù)據(jù)庫及數(shù)據(jù)庫查詢模塊����,其中
所述收發(fā)模塊����,用于接收所述ASN轉(zhuǎn)發(fā)的報(bào)文或發(fā)送的查詢請(qǐng)求,并通知映射 表查詢模塊�����;接收到查詢請(qǐng)求時(shí)�,還用于向所述ASN發(fā)送查詢結(jié)果;接收到轉(zhuǎn)發(fā)報(bào)文 時(shí)����,若查詢到目的端主機(jī)的映射關(guān)系��,還用于根據(jù)查詢結(jié)果轉(zhuǎn)發(fā)報(bào)文���,否則通信失敗��;
所述映射數(shù)據(jù)庫���,用于保存虛擬專用網(wǎng)絡(luò)(VPN)專用映射表和普通映射表�,所 述VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系���; 所述普通映射表包括普通端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系���;
所述數(shù)據(jù)庫查詢模塊,與所述收發(fā)模塊及映射數(shù)據(jù)庫連接��,用于根據(jù)目的端主 機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映射表或普通映射表��,還用于將查詢結(jié) 果通知所述收發(fā)模塊�。
進(jìn)一步地,所述屬性指端主機(jī)是否屬于VPN端主機(jī),若源端主機(jī)的屬性表明所 述源端主機(jī)是VPN端主機(jī)����,則映射平面的數(shù)據(jù)庫查詢模塊查詢所述VPN專用映射表,否 則查詢所述普通映射表����。
進(jìn)一步地,所述映射平面的映射數(shù)據(jù)庫包括若干個(gè)VPN專用映射表���,不同的 VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)��,具有不同的VPN標(biāo)識(shí)�����;所述屬性指端主機(jī)是否 屬于VPN端主機(jī),以及屬于VPN端主機(jī)時(shí)�,所屬的VPN標(biāo)識(shí);若源端主機(jī)的屬性表明 所述源端主機(jī)是VPN端主機(jī)��,則所述映射平面的數(shù)據(jù)庫查詢模塊查詢對(duì)應(yīng)VPN標(biāo)識(shí)的 VPN專用映射表��,否則查詢所述普通映射表��。
為解決以上技術(shù)問題,本發(fā)明還提供了又一種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法�����,所述 虛擬專用網(wǎng)絡(luò)基于身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)��,該方法包括
A�����、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置虛擬專用網(wǎng)絡(luò)(VPN)專用映射表���,所述 VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系�����;
B���、當(dāng)源端主機(jī)是VPN端主機(jī)時(shí),身份位置分離網(wǎng)絡(luò)根據(jù)所述VPN專用映射表 實(shí)現(xiàn)所述VPN內(nèi)的VPN端主機(jī)之間的通信���。
進(jìn)一步地�����,所述映射平面同時(shí)設(shè)置多個(gè)VPN專用映射表��,不同的VPN專用映射 表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)����,具有不同的VPN標(biāo)識(shí);步驟B中���,身份位置分離網(wǎng)絡(luò)根據(jù)與源 端主機(jī)VPN標(biāo)識(shí)一致的VPN專用映射表�����,實(shí)現(xiàn)對(duì)應(yīng)VPN內(nèi)的VPN端主機(jī)之間的通信���。
本發(fā)明虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法和實(shí)現(xiàn)系統(tǒng)的主要思想在于,在身份位置分離 網(wǎng)絡(luò)的映射平面保存虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)的VPN專用映射表����, 并根據(jù)該VPN專用映射表確定是否實(shí)現(xiàn)VPN內(nèi)的VPN端主機(jī)用戶之間的通信�,從而在身份位置分離網(wǎng)絡(luò)中很有效地實(shí)現(xiàn)了虛擬專用網(wǎng),滿足了用戶對(duì)虛擬專用網(wǎng)的需求���,消除了身份和位置分離的技術(shù)方案對(duì)傳統(tǒng)虛擬專用網(wǎng)絡(luò)VPN業(yè)務(wù)的影響���。
圖1是本發(fā)明虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法示意圖��。圖2是用于實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)的身份位置分離架構(gòu)示意圖���。圖3是在圖2所述的身份位置分離網(wǎng)絡(luò)中實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)的示意圖。圖4是基于圖3的網(wǎng)絡(luò)架構(gòu)中實(shí)現(xiàn)數(shù)據(jù)包處理的應(yīng)用實(shí)例流程圖�����。圖5是本發(fā)明虛擬專用網(wǎng)實(shí)現(xiàn)系統(tǒng)的模塊結(jié)構(gòu)示意圖��。
具體實(shí)施例方式身份和位置分離的數(shù)據(jù)通信網(wǎng)絡(luò)具有這樣一些特征�,必然將傳統(tǒng)IP地址的身份 屬性和位置屬性分離,IP地址僅僅具有位置屬性�����,作為端主機(jī)地理位置的標(biāo)識(shí)�,新增一 個(gè)端主機(jī)的身份標(biāo)識(shí)用于通信傳輸?shù)亩松矸輼?biāo)識(shí),端主機(jī)的位置標(biāo)識(shí)由端主機(jī)所處的地 理位置和網(wǎng)絡(luò)拓?fù)錄Q定�,在端主機(jī)移動(dòng)的過程中,位置的變化導(dǎo)致端主機(jī)的位置標(biāo)識(shí)改 變�,而端主機(jī)的身份標(biāo)識(shí)屬于終端身份唯一使用的標(biāo)識(shí),在端主機(jī)移動(dòng)的過程中不會(huì)改 變�。同時(shí)還必須增加端主機(jī)身份標(biāo)識(shí)和位置標(biāo)識(shí)的映射�����,需要功能實(shí)體來完成這個(gè)映射 關(guān)系�����,本發(fā)明稱這個(gè)功能實(shí)體為映射平面�。在各種身份和位置分離的方案中�,這個(gè)映射平面的稱呼也不同,例如在北京交 通大學(xué)張宏科的專利ZL200610001825.0是這樣解釋的����,引入身份解析器,負(fù)責(zé)解析端主 機(jī)標(biāo)識(shí)符EID和IP地址間的映射關(guān)系����,并動(dòng)態(tài)的維護(hù)更新端主機(jī)標(biāo)識(shí)EID和IP地址間 的綁定。在LISP的技術(shù)方案中��,LISP3場(chǎng)景采用映射數(shù)據(jù)庫(mapping database)提供身 份標(biāo)識(shí)EID和位置標(biāo)識(shí)RLOC的映射關(guān)系�����,使用分布式哈希表LISPDHT (LISP Distributed HashTables)實(shí)現(xiàn)的映射數(shù)據(jù)庫正在研究中����。其他的方案中有的也稱為映射服務(wù)器,在本 發(fā)明中統(tǒng)一稱為映射平面�����。本發(fā)明虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法和實(shí)現(xiàn)系統(tǒng)的主要思想在于�����,在身份位置分離 網(wǎng)絡(luò)的映射平面保存虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)的VPN專用映射表��, 當(dāng)源端主機(jī)是VPN端主機(jī)時(shí)�,身份位置分離網(wǎng)絡(luò)根據(jù)所述VPN專用映射表實(shí)現(xiàn)所述VPN 內(nèi)的VPN端主機(jī)之間的通信,從而在身份位置分離網(wǎng)絡(luò)中很有效地實(shí)現(xiàn)了虛擬專用網(wǎng)����, 滿足了用戶對(duì)虛擬專用網(wǎng)的需求,消除了身份和位置分離的技術(shù)方案對(duì)傳統(tǒng)虛擬專用網(wǎng) 絡(luò)VPN業(yè)務(wù)的影響�。如圖1所示,本發(fā)明虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法基于身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)����,該 方法包括步驟101 身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置虛擬專用網(wǎng)絡(luò)(VPN)的VPN專用 映射表,所述VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的 映射關(guān)系��;步驟102 所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的 VPN專用映射表或普通映射表,若查詢到目的端主機(jī)的映射關(guān)系��,則身份位置分離網(wǎng)絡(luò) 實(shí)現(xiàn)源����、目的端主機(jī)之間的通信,否則通信失敗�����。
同一身份位置分離網(wǎng)絡(luò)中��,同時(shí)實(shí)現(xiàn)普通通信和一個(gè)VPN網(wǎng)絡(luò)通信 對(duì)于映射平面僅有一個(gè)VPN專用映射表的情形����,所述屬性指端主機(jī)是否屬于 VPN端主機(jī),步驟102中����,若源端主機(jī)的屬性表明所述源端主機(jī)是VPN端主機(jī),則所述 映射平面查詢所述VPN專用映射表���,否則查詢所述普通映射表��。同一身份位置分離網(wǎng)絡(luò)中��,實(shí)現(xiàn)多個(gè)虛擬專用網(wǎng)為了在同一身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)多個(gè)虛擬專用網(wǎng)��,在映射平面設(shè)置多個(gè)VPN 專用映射表�����,不同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)�,具有不同的VPN標(biāo)識(shí)����;所 述屬性指端主機(jī)是否屬于VPN端主機(jī),以及屬于VPN端主機(jī)時(shí)�,所屬的VPN標(biāo)識(shí);步 驟B中���,若源端主機(jī)的屬性表明所述源端主機(jī)是VPN端主機(jī)�����,則所述映射平面查詢對(duì)應(yīng) VPN標(biāo)識(shí)的VPN專用映射表���,否則查詢所述普通映射表。當(dāng)然本發(fā)明也適用于在映射平面設(shè)置多個(gè)VPN專用映射表����,而不設(shè)置普通映射 表��,以在身份位置分離網(wǎng)絡(luò)中實(shí)現(xiàn)多個(gè)不同的VPN���,這種情況下,本發(fā)明虛擬專用網(wǎng)絡(luò) 實(shí)現(xiàn)方法可以概括為A���、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置多個(gè)虛擬專用網(wǎng)絡(luò)(VPN)專用映射表���, 每一 VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān) 系;不同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)���,具有不同的VPN標(biāo)識(shí)�����;B�、所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)VPN標(biāo)識(shí)一致的 VPN專用映射表����,若查詢到目的端主機(jī)的映射關(guān)系,則身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)源、目的 端主機(jī)之間的通信���,否則通信失敗��。身份位置分離網(wǎng)絡(luò)包括接入業(yè)務(wù)節(jié)點(diǎn)以及映射平面�,步驟102及步驟B在具體實(shí) 現(xiàn)時(shí)���,可以通過映射平面實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)或通過映射平面之外的轉(zhuǎn)發(fā)平面實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā), 具體包括a��、接入業(yè)務(wù)節(jié)點(diǎn)(ASN)接收源端主機(jī)發(fā)送的報(bào)文��,其中攜帶源端和目的端主機(jī) 身份標(biāo)識(shí)����;b、所述ASN根據(jù)源端主機(jī)身份標(biāo)識(shí)查詢?cè)O(shè)置的屬性表�����,獲得源端主機(jī)屬性���, 并向映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求����,其中攜帶源端主機(jī)屬性及目的端主機(jī)身份標(biāo) 識(shí);C��、映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映射 表����;d、若查詢結(jié)果中包括目的端主機(jī)的位置標(biāo)識(shí)�����,則所述ASN或映射平面向所述 目的位置標(biāo)識(shí)對(duì)應(yīng)的目的接入業(yè)務(wù)節(jié)點(diǎn)轉(zhuǎn)發(fā)報(bào)文實(shí)現(xiàn)通信�����,否則通信失敗����。下面結(jié)合附圖以通過映射平面實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)為例對(duì)本發(fā)明實(shí)現(xiàn)方法作進(jìn)一步的 詳細(xì)描述身份位置分離網(wǎng)路的架構(gòu)示意見圖2所示,用戶的端主機(jī)使用身份標(biāo)識(shí)EID進(jìn) 行通信�����,每個(gè)端主機(jī)具有一個(gè)唯一的身份標(biāo)識(shí);網(wǎng)絡(luò)的接入業(yè)務(wù)節(jié)點(diǎn)ASN(Access Service Node)負(fù)責(zé)封裝�、映射�、轉(zhuǎn)發(fā)終端發(fā)送或者接收的報(bào)文��,并向映射平面查詢端主機(jī)的身 份標(biāo)識(shí)和位置標(biāo)識(shí)的映射�����;轉(zhuǎn)發(fā)平面負(fù)責(zé)轉(zhuǎn)發(fā)接入業(yè)務(wù)節(jié)點(diǎn)ASN映射處理后的報(bào)文�; 映射平面維護(hù)端主機(jī)的身份標(biāo)識(shí)和位置標(biāo)識(shí)的映射關(guān)系并保持映射關(guān)系的適時(shí)更新,給 ASN提供映射查詢�����,通過身份標(biāo)識(shí)查詢位置標(biāo)識(shí)�。
映射平面保存有網(wǎng)絡(luò)所有終端的身份標(biāo)識(shí)EID和位置標(biāo)識(shí)LID的對(duì)應(yīng)關(guān)系�,如 下表所示
權(quán)利要求
1.一種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法,其特征在于所述虛擬專用網(wǎng)絡(luò)基于身份位置分 離網(wǎng)絡(luò)實(shí)現(xiàn)��,該方法包括A�、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置虛擬專用網(wǎng)絡(luò)(VPN)的VPN專用映射表和普 通映射表����,所述VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí) 的映射關(guān)系���;所述普通映射表包括普通端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系�����;B、所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映 射表或普通映射表����,若查詢到目的端主機(jī)的映射關(guān)系,則身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)源���、目 的端主機(jī)之間的通信,否則通信失敗�����。
2.如權(quán)利要求1所述的方法�,其特征在于所述屬性指端主機(jī)是否屬于VPN端主 機(jī)�����,步驟B中,若源端主機(jī)的屬性表明所述源端主機(jī)是VPN端主機(jī)����,則所述映射平面查 詢所述VPN專用映射表����,否則查詢所述普通映射表����。
3.如權(quán)利要求1所述的方法����,其特征在于所述映射平面包括若干個(gè)VPN專用映射 表�,不同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò),具有不同的VPN標(biāo)識(shí)��;所述屬性指 端主機(jī)是否屬于VPN端主機(jī)��,以及屬于VPN端主機(jī)時(shí)�����,所屬的VPN標(biāo)識(shí)��;步驟B中���, 若源端主機(jī)的屬性表明所述源端主機(jī)是VPN端主機(jī),則所述映射平面查詢對(duì)應(yīng)VPN標(biāo)識(shí) 的VPN專用映射表��,否則查詢所述普通映射表。
4.如權(quán)利要求1至3中任一項(xiàng)所述的方法�����,其特征在于步驟B進(jìn)一步包括Bi��、接入業(yè)務(wù)節(jié)點(diǎn)(ASN)接收源端主機(jī)發(fā)送的報(bào)文,其中攜帶源端和目的端主機(jī)身 份標(biāo)識(shí);B2�����、所述ASN根據(jù)源端主機(jī)身份標(biāo)識(shí)查詢?cè)O(shè)置的屬性表�,獲得源端主機(jī)屬性,并向 映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求��,其中攜帶源端主機(jī)屬性及目的端主機(jī)身份標(biāo)識(shí);B3�、映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映射表 或普通映射表��;B4�����、若查詢結(jié)果中包括目的端主機(jī)的位置標(biāo)識(shí)�����,則所述ASN或映射平面向所述目的 位置標(biāo)識(shí)對(duì)應(yīng)的目的接入業(yè)務(wù)節(jié)點(diǎn)轉(zhuǎn)發(fā)報(bào)文實(shí)現(xiàn)通信,否則通信失敗��。
5.如權(quán)利要求4所述的方法�����,其特征在于步驟B4之后��,目的接入業(yè)務(wù)節(jié)點(diǎn)接收所 述報(bào)文并轉(zhuǎn)發(fā)給目的端主機(jī)的同時(shí)�����,將源端主機(jī)身份標(biāo)識(shí)和位置標(biāo)識(shí)的映射關(guān)系以及源 端主機(jī)的VPN屬性記錄在本地映射表�;目的接入業(yè)務(wù)節(jié)點(diǎn)接收所述目的端主機(jī)回送的報(bào) 文后,查詢本地映射表���,判斷源�、目的端主機(jī)的屬性一致時(shí),直接進(jìn)行報(bào)文轉(zhuǎn)發(fā)�����。
6.—種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法�����,其特征在于所述虛擬專用網(wǎng)絡(luò)基于身份位置分 離網(wǎng)絡(luò)實(shí)現(xiàn)�����,該方法包括A���、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置多個(gè)虛擬專用網(wǎng)絡(luò)(VPN)專用映射表,每一 VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系��;不 同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)�,具有不同的VPN標(biāo)識(shí);B�����、所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)VPN標(biāo)識(shí)一致的VPN專 用映射表,若查詢到目的端主機(jī)的映射關(guān)系�,則身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)源、目的端主機(jī) 之間的通信��,否則通信失敗��。
7.如權(quán)利要求6所述的方法��,其特征在于步驟B進(jìn)一步包括Bi�、接入業(yè)務(wù)節(jié)點(diǎn)(ASN)接收源端主機(jī)發(fā)送的報(bào)文,其中攜帶源端和目的端主機(jī)身份標(biāo)識(shí)���;B2����、所述ASN根據(jù)源端主機(jī)身份標(biāo)識(shí)查詢?cè)O(shè)置的屬性表��,獲得源端主機(jī)屬性���,并向 映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求�����,其中攜帶源端主機(jī)屬性及目的端主機(jī)身份標(biāo)識(shí)�����;B3����、映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映射表;B4��、若查詢結(jié)果中包括目的端主機(jī)的位置標(biāo)識(shí)���,則所述ASN或映射平面向所述目的 位置標(biāo)識(shí)對(duì)應(yīng)的目的接入業(yè)務(wù)節(jié)點(diǎn)轉(zhuǎn)發(fā)報(bào)文實(shí)現(xiàn)通信���,否則通信失敗�����。
8.如權(quán)利要求6所述的方法��,其特征在于步驟B14之后���,目的接入業(yè)務(wù)節(jié)點(diǎn)接收 所述報(bào)文并轉(zhuǎn)發(fā)給目的端主機(jī)的同時(shí)��,將源端主機(jī)身份標(biāo)識(shí)和位置標(biāo)識(shí)的映射關(guān)系以及 源端主機(jī)的VPN屬性記錄在本地映射表�����;目的接入業(yè)務(wù)節(jié)點(diǎn)接收所述目的端主機(jī)回送的 報(bào)文后����,查詢本地映射表,判斷源�、目的端主機(jī)的屬性一致時(shí),直接進(jìn)行報(bào)文轉(zhuǎn)發(fā)����。
9.一種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)系統(tǒng),其特征在于���,所述系統(tǒng)基于身份位置分離架構(gòu)網(wǎng) 絡(luò)實(shí)現(xiàn)�,包括通過網(wǎng)絡(luò)連接的業(yè)務(wù)接入節(jié)點(diǎn)(ASN)和映射平面���,所述ASN��,包括收發(fā)模 塊�、屬性表及屬性表查詢模塊���,其中所述收發(fā)模塊��,用于接收源端主機(jī)發(fā)送的報(bào)文�����,其中攜帶源端和目的端主機(jī)身份標(biāo) 識(shí)����,并通知屬性表查詢模塊;以及向映射平面轉(zhuǎn)發(fā)報(bào)文或發(fā)送查詢請(qǐng)求�,其中攜帶源端 主機(jī)屬性及目的端主機(jī)身份標(biāo)識(shí);向所述映射平面發(fā)送查詢請(qǐng)求時(shí)�,還用于接收所述映 射平面發(fā)送的查詢結(jié)果,若查詢到目的端主機(jī)的映射關(guān)系��,還用于根據(jù)查詢結(jié)果轉(zhuǎn)發(fā)報(bào) 文��,否則通信失?����?���;所述屬性表,用于保存端主機(jī)與其屬性的對(duì)應(yīng)關(guān)系��;所述屬性表查詢模塊�����,與所述收發(fā)模塊�、屬性表連接,用于根據(jù)所述源端主機(jī)身份 標(biāo)識(shí)查詢?cè)O(shè)置的屬性表��,獲得源端主機(jī)屬性���,并通知所述收發(fā)模塊�;所述映射平面包括收發(fā)模塊���、映射數(shù)據(jù)庫及數(shù)據(jù)庫查詢模塊����,其中所述收發(fā)模塊�����,用于接收所述ASN轉(zhuǎn)發(fā)的報(bào)文或發(fā)送的查詢請(qǐng)求���,并通知映射表查 詢模塊���;接收到查詢請(qǐng)求時(shí)��,還用于向所述ASN發(fā)送查詢結(jié)果��;接收到轉(zhuǎn)發(fā)報(bào)文時(shí)�,若 查詢到目的端主機(jī)的映射關(guān)系���,還用于根據(jù)查詢結(jié)果轉(zhuǎn)發(fā)報(bào)文����,否則通信失?����?�;所述映射數(shù)據(jù)庫�����,用于保存虛擬專用網(wǎng)絡(luò)(VPN)專用映射表和普通映射表�,所述 VPN專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系;所 述普通映射表包括普通端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系���;所述數(shù)據(jù)庫查詢模塊���,與所述收發(fā)模塊及映射數(shù)據(jù)庫連接,用于根據(jù)目的端主機(jī)身 份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映射表或普通映射表�����,還用于將查詢結(jié)果通 知所述收發(fā)模塊��。
10.如權(quán)利要求9所述的系統(tǒng)�,其特征在于所述屬性指端主機(jī)是否屬于VPN端主 機(jī),若源端主機(jī)的屬性表明所述源端主機(jī)是VPN端主機(jī)�,則映射平面的數(shù)據(jù)庫查詢模塊 查詢所述VPN專用映射表,否則查詢所述普通映射表�����。
11.如權(quán)利要求9所述的系統(tǒng)�����,其特征在于所述映射平面的映射數(shù)據(jù)庫包括若干個(gè) VPN專用映射表�����,不同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò),具有不同的VPN標(biāo) 識(shí)�����;所述屬性指端主機(jī)是否屬于VPN端主機(jī)��,以及屬于VPN端主機(jī)時(shí)��,所屬的VPN標(biāo) 識(shí)��;若源端主機(jī)的屬性表明所述源端主機(jī)是VPN端主機(jī)�,則所述映射平面的數(shù)據(jù)庫查詢模塊查詢對(duì)應(yīng)VPN標(biāo)識(shí)的VPN專用映射表,否則查詢所述普通映射表���。
12.—種虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法���,其特征在于所述虛擬專用網(wǎng)絡(luò)基于身份位置分 離網(wǎng)絡(luò)實(shí)現(xiàn),該方法包括A�����、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置虛擬專用網(wǎng)絡(luò)(VPN)專用映射表�,所述VPN 專用映射表包括同一 VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系���;B�����、當(dāng)源端主機(jī)是VPN端主機(jī)時(shí)�����,身份位置分離網(wǎng)絡(luò)根據(jù)所述VPN專用映射表實(shí)現(xiàn) 所述VPN內(nèi)的VPN端主機(jī)之間的通信�。
13.如權(quán)利要求12所述的方法,其特征在于所述映射平面同時(shí)設(shè)置多個(gè)VPN專用 映射表��,不同的VPN專用映射表對(duì)應(yīng)不同的VPN網(wǎng)絡(luò)���,具有不同的VPN標(biāo)識(shí)����;步驟B 中�����,身份位置分離網(wǎng)絡(luò)根據(jù)與源端主機(jī)VPN標(biāo)識(shí)一致的VPN專用映射表����,實(shí)現(xiàn)對(duì)應(yīng)VPN 內(nèi)的VPN端主機(jī)之間的通信��。
全文摘要
本發(fā)明虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)方法��,基于身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)����,該方法包括A��、身份位置分離網(wǎng)絡(luò)的映射平面設(shè)置虛擬專用網(wǎng)絡(luò)(VPN)的VPN專用映射表和普通映射表�����,所述VPN專用映射表包括同一VPN網(wǎng)絡(luò)的VPN端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系����;所述普通映射表包括普通端主機(jī)身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射關(guān)系;B���、所述映射平面根據(jù)目的端主機(jī)身份標(biāo)識(shí)查詢與源端主機(jī)屬性一致的VPN專用映射表或普通映射表�����,若查詢到目的端主機(jī)的映射關(guān)系�,則身份位置分離網(wǎng)絡(luò)實(shí)現(xiàn)源、目的端主機(jī)之間的通信���,否則通信失敗�。本發(fā)明虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)該方法及系統(tǒng)��,以在身份位置分離網(wǎng)絡(luò)方便地實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)�。
文檔編號(hào)H04L12/56GK102025589SQ200910176529
公開日2011年4月20日 申請(qǐng)日期2009年9月18日 優(yōu)先權(quán)日2009年9月18日
發(fā)明者孫翼舟, 晏祥彪 申請(qǐng)人:中興通訊股份有限公司