CN101052022A - 一种虚拟专用网用户访问公网的系统和方法 - Google Patents
一种虚拟专用网用户访问公网的系统和方法 Download PDFInfo
- Publication number
- CN101052022A CN101052022A CNA2006100671995A CN200610067199A CN101052022A CN 101052022 A CN101052022 A CN 101052022A CN A2006100671995 A CNA2006100671995 A CN A2006100671995A CN 200610067199 A CN200610067199 A CN 200610067199A CN 101052022 A CN101052022 A CN 101052022A
- Authority
- CN
- China
- Prior art keywords
- public network
- ethernet message
- address
- user
- vpls
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种虚拟专用网用户访问公网的系统和方法,其核心均为:虚拟专用LAN网段VPLS用户通过用户边缘设备CE和提供商边缘设备PE集中访问公网,CE的与PE连接的接口设置有公网IP地址,PE的与CE的具有公网IP地址的接口连接的接口为CE公网网关,CE和PE通过所述具有公网IP地址的接口和CE公网网关接口进行VPLS用户和公网之间的以太网报文传输。本发明能够在不影响VPLS域内访问的情况下,使VPLS用户能够访问公网;从而通过本发明提供的技术方案使虚拟专用网用户能够访问internet,满足了虚拟专用网用户访问internet的需求。
Description
技术领域
本发明涉及网络通讯技术领域,具体涉及一种虚拟专用网用户访问公网的系统和方法。
背景技术
VPLS(Virtual Private LAN Segments,虚拟专用LAN网段)是一种VPN业务,它的主要作用是将一个企业的不同地点的LAN网段互联,使之成为一个大的LAN,典型的VPLS组网图如附图1所示。
图1中,VPLS的组网拓扑结构和VPRN(虚拟路由网络)类似,PE设备之间通过隧道全连接,只是VPRN的边缘节点完成的是三层路由功能,而VPLS的边缘节点完成的是二层桥接功能,能够实现地址学习、广播等功能,这样,通过VPLS虚拟出了一个运行二层协议的局域网,从而带来了一个很大的好处——完全对三层协议透明,适合做多协议的传送网络。
VPLS业务的骨干网需要能够完成以太帧的透传,骨干网可以是IP或MPLS(多协议标签交换),甚至是电路域或ATM。在MPLS骨干网中使用MPLS隧道来承载以太帧;在IP骨干网中,必须使用隧道来承载以太帧,由于1231芯片中只支持MPLS隧道,如果与IP骨干网互连,则需要通过系统中的NP(网络处理器)单板支持GRE(通用路由封装)、L2TPv3(二层隧道协议V3)隧道来承载以太帧。
Internet(因特网)是一个连接了许多局域网的网络,而且,Internet可以连接各种不同类型的局域网。随着Internet的发展,IP地址短缺问题已经成为一个越来越严重的问题。在IPV6使用之前,NAT(Network Address Translation,网络地址转换)技术是解决地址短缺问题的一个最主要的技术手段。地址转换技术是一种为私有地址提供Internet访问的技术。私有地址是指内部网络即局域网内部的主机地址,而公有地址是局域网的外部地址,是在Internet上的全球唯一的IP地址。
IANA(因特网地址分配组织)在A、B、C类IP地址中各选出一个网段做为“私有地址”,供各个局域网按照自己的需要自由分配。IANA规定以下三个网段的IP地址保留,用做私有地址,即:10.0.0.0至10.255.255.255、172.16.0.0至172.31.255.255、192.168.0.0至192.168.255.255。
也就是说上述三个网段的IP地址不会在Internet上被分配,但可以在一个企业内部网络即局域网中使用。各个企业内部网络需要根据在可预见的将来主机数量的多少来选择一个合适的网络地址。不同的企业内部网络的IP地址可以相同。如果一个企业内部网络选择了上述三个网段之外的其他网段的IP地址作为内部网络地址,则有可能会引起路由表的混乱。
从上述描述可知,私有地址不会出现在Internet上,Internet上可见的IP地址为公有地址。使用私有地址转换的主机不能直接访问Internet,同样,在Internet上也不可能访问到使用私有地址的主机。
随着IP城域网的发展,具有解决企业内部网络互连能力和提供丰富业务能力的MPLS VPN技术正成为网络运营商开展新型增值业务的重要手段。对于MPLS L3VPN访问internet已经得到广泛应用,但是,通过VPLS访问internet还没有得到解决。对于VPLS应用来说,缺少访问internet的功能,显然不能满足日益增长的VPN用户访问internet的需求。
发明内容
本发明的目的在于,提供一种虚拟专用网用户访问公网的系统和方法,通过为CE设置具有公网IP地址的接口、将PE的接口设置为CE公网网关,使VPLS用户能够访问internet,满足了VPN用户访问internet的需求。
为达到上述目的,本发明提供一种虚拟专用网用户访问公网的系统,包括:
虚拟专用LAN网段VPLS用户集中访问公网的用户边缘设备CE和提供商边缘设备PE;
所述CE的与PE连接的接口设置有公网IP地址,所述PE的与CE的具有公网IP地址的接口连接的接口为CE公网网关;
所述CE和PE通过所述具有公网IP地址的接口和CE公网网关接口进行VPLS用户和公网之间的以太网报文传输。
所述CE中设置有路由存储模块1和以太网报文传输模块1;
路由存储模块1:存储下一跳为所述CE公网网关接口IP地址信息的缺省路由;
以太网报文传输模块1:根据路由存储模块1中存储的缺省路由将VPLS用户需要传输至公网的以太网报文通过设置有公网IP地址的接口传输至PE设备的CE公网网关接口。
所述系统还包括:远端CE;
所述远端CE中设置有路由存储模块2和以太网报文传输模块2;
路由存储模块2:存储下一跳为具有公网IP地址的CE的缺省路由;
以太网报文传输模块2:根据路由存储模块2中存储的缺省路由将与其连接的VPLS用户的、需要传输至公网的以太网报文通过具有CE公网网关接口的PE传输至具有公网IP地址的CE。
所述PE中设置有判决模块、以太网报文传输模块3;
判决模块:在确定PE通过CE公网网关接口接收的以太网报文的目的MAC地址与CE公网网关接口的MAC地址相同时,将公网传输信息传输至以太网报文传输模块3,在确定PE通过CE公网网关接口接收的以太网报文的目的MAC地址与CE公网网关接口的MAC地址不相同时,将VPLS域内透传信息传输至以太网报文传输模块3;
以太网报文传输模块3:在接收到判决模块传输来的公网传输信息时,将PE接收的以太网报文传输至公网,在接收到判决模块传输来的VPLS域内透传信息时,将PE接收的以太网报文在VPLS域内透传。
所述PE中还设置有访问权项控制模块;
访问权项控制模块:根据预先设置的访问控制权项、PE接收的所述以太网报文中承载的信息判断发送所述以太网报文的VPLS用户是否有访问公网的权项,如果有,将允许发送的信息传输至以太网报文传输模块3,如果没有,将拒绝发送的信息传输至以太网报文传输模块3。
所述CE中设置有ARP以太网报文传输模块,所述PE中设置有ARP学习模块和以太网报文传输模块4;
ARP以太网报文传输模块:向PE和VPLS域内部发送ARP以太网报文;
ARP学习模块:根据ARP以太网报文传输模块通过具有公网IP地址的接口发送来的ARP以太网报文进行ARP表学习,并向ARP以太网报文传输模块进行ARP应答;
以太网报文传输模块4:根据ARP学习模块学习到的ARP表将PE从公网接收的、需要传输至VPLS用户的以太网报文通过CE公网网关接口传输至CE。
所述PE中还设置有地址转换模块;
地址转换模块:将PE需要发送至公网的以太网报文或者需要发送至VPLS用户的以太网报文进行地址转换,并进行以太网报文转发。
8、一种虚拟专用网用户访问公网的方法,其特征在于,包括:
a、CE和PE通过具有公网IP地址的接口和CE公网网关接口进行VPLS用户和公网之间的以太网报文传输。
本发明还提供一种虚拟专用网用户访问公网的方法,包括:
a1、在具有公网IP地址接口的CE中设置下一跳为CE公网网关接口的IP地址信息的缺省路由;
a2、所述CE根据该缺省路由将VPLS用户需要传输至公网的以太网报文通过公网IP地址的接口、CE公网网关接口传输至PE;
a3、PE接收所述以太网报文,并将其传输至公网。
所述步骤a2中VPLS用户需要传输至公网的以太网报文为:与具有公网IP地址接口的CE连接的本地VPLS用户的、需要传输至公网的以太网报文,或者与远端CE连接的VPLS用户的、需要传输至公网的以太网报文。
所述远端CE中设置有下一跳为具有公网IP地址的CE的缺省路由,且所述步骤a2之前还包括:
远端CE根据其存储的缺省路由将与其连接的VPLS用户的、需要传输至公网的以太网报文传输至具有CE公网网关接口的PE设备;
所述PE设备通过CE公网网关接口将该以太网报文传输至具有公网IP地址的CE。
静态配置所述远端CE中的下一跳为具有公网IP地址的CE的缺省路由;或
具有公网IP地址的CE将其存储的缺省路由通过CE间运行的路由协议发布到远端CE。
所述步骤a3包括:
PE判断其接收的以太网报文的目的MAC地址是否与CE公网网关接口的MAC地址相同;
如果相同,PE将所述接收的以太网报文传输至公网;
如果不相同,PE将所述接收的以太网报文在VPLS域内透传。
所述PE传输至公网的以太网报文为:PE根据预先设置的访问控制权项信息确定的允许发送至公网的以太网报文。
所述方法包括:
a4、具有公网IP地址的CE向PE和VPLS域内部发布ARP以太网报文,具有CE公网网关接口的PE根据CE通过具有公网IP地址的接口发送的ARP以太网报文进行ARP表学习,并应答;
a5、PE根据其从公网接收的、需要传输至VPLS用户的以太网报文的目的IP地址信息、其学习到的ARP表将所述以太网报文通过CE公网网关接口传输至CE,并由该CE将所述以太网报文传输至相应的VPLS用户。
所述步骤a5中CE将所述以太网报文传输至相应的VPLS用户的步骤具体包括:
CE根据以太网报文的目的IP地址判断该以太网报文是否为本地VPLS用户的以太网报文;
如果是,CE将所述以太网报文传输至相应的本地VPLS用户;
如果不是,CE将所述以太网报文传输至PE,由PE传输至远端CE,并由远端CE将所述以太网报文传输至相应的VPLS用户。
所述PE的CE公网网关接口设置有地址转换标志,所述PE传输至公网的以太网报文和所述PE传输至CE的以太网报文均为:地址转换后的以太网报文。
所述地址转换为:根据以太网报文的源IP地址、VSI标识信息进行的地址转换,或根据以太网报文的源IP地址、源端口信息和VSI标识信息进行的地址转换。
通过上述技术方案的描述可知,本发明通过为CE设置具有公网IP地址的接口、将PE的接口设置为CE公网网关,使CE和PE能够在VPLS用户与公网之间传输以太网报文,使VPLS用户能够访问公网;本发明中的PE根据以太网报文的目的MAC地址、CE公网网关接口的MAC地址能够准确的判断出其从CE处接收的以太网报文是上传至公网的报文,还是在VPLS域内透传的报文,使本发明不会影响到VPLS域内访问;远端CE通过将与其连接的VPLS用户的访问公网的以太网报文转发到具有公网IP地址的CE,并通过具有公网IP地址的CE将该报文转发到PE,使PE能够对CE传输来的报文进行统一的上传公网处理;通过在具有CE公网网关的PE中进行地址转换,并在地址转换过程中应用VSI标识,使私网路由和公网路由相互隔离,而且,有效解决了VPLS用户的私网地址重叠问题;具有CE公网网关的PE通过学习CE发送来的包含CE公网IP地址的ARP报文,使PE能够根据以太网报文的IP地址信息、其学习到的ARP表项进行反向地址转换;具有公网IP地址的CE能够根据其从PE处接收的以太网报文的目的IP地址确定出该报文是需要传输至本地VPLS用户的报文还是需要传输至远端CE的报文,使公网回来的以太网报文能够准确的转发至目的VPLS用户;从而通过本发明提供的技术方案使VPN用户能够访问internet,满足了VPN用户访问internet的需求。
附图说明
图1是VPLS组网示意图;
图2是本发明的基于VPLS的集中NAT访问internet的应用模型示意图。
具体实施方式
本发明的虚拟专用网用户访问公网的系统和方法的核心均在于:设置虚拟专用LAN网段VPLS用户集中访问公网的用户边缘设备CE和提供商边缘设备PE,所述CE的与PE连接的接口设置有公网IP地址,所述PE的与CE的具有公网IP地址连接的接口为CE公网网关,所述CE和PE通过所述具有公网IP地址的接口和CE公网网关接口进行VPLS用户和公网之间的以太网报文传输。
下面基于本发明的核心思想、结合附图2对本发明提供的VPLS(虚拟专用LAN网段)用户访问公网的系统和方法做进一步的描述。
本发明的基于VPLS的集中NAT访问internet的应用模型示意图如附图2所示。
图2中,PE之间可以通过MPLS网络和VPLS技术为私网中的VPLS用户提供VPLS业务,一个VPLS域可包含一个或多个私网CE,如图2中的VPLS域包括CEa和CEb。一个VPLS域中的所有私网CE的VPLS用户都可以集中通过一个具有NAT功能的PE如PEa来访问internet。当然,一个VPLS域中的所有私网CE的VPLS用户也可以分别通过不同的具有NAT功能的PE来访问internet。
下面以一个VPLS域中的所有私网CE的VPLS用户都集中通过一个具有NAT功能的PE如PEa来访问internet为例对本发明的系统和方法进行说明。
本发明首先需要为所有的VPLS用户设置一个集中访问公网的CE、和集中访问公网的具有NAT功能的PE,如图2中的PEa和CEa,CEa中的一个与PEa连接的接口设置有公网IP地址,相应的PEa中的与CEa的具有公网IP地址的接口连接的接口设置为CEa公网网关,即将PE的绑定VPLS VSI(虚拟交换实例)的接口作为CEa公网网关。
VPLS中的各CE发送的ARP以太网报文需要传输至与其连接的本端PE进行本地处理,如CEa发送的ARP以太网报文需要传输至PEa进行本地处理,CEb发送的ARP以太网报文需要传输至PEb进行本地处理。CE发送的ARP以太网报文也需要在VPLS域内透传,如CEa、CEb发送的ARP以太网报文均需要在VPLS域内透传。CEa、CEb中均设置有ARP以太网报文传输模块,以实现CE发送ARP以太网报文的功能。
PEa对于其从作为CE公网网关的接口接收到的、与CEa的公网IP地址有关的ARP请求进行应答,同时,根据该ARP请求生成ARP表项和一条与CE的具有公网IP地址的接口相关的主机路由。PEa对于CEa的其他IP地址的ARP请求不做任何处理。PEa进行ARP学习的过程由PEa中设置的ARP学习模块来实现。
集中访问公网的CEa上设置有缺省路由,该缺省路由的下一跳为PEa的作为CE公网网关接口的IP地址。该缺省路由存储在CEa的路由存储模块1中。CEa的路由存储模块1中存储的缺省路由可以通过CEa、CEb之间运行的路由协议发布到对端CEb,路由协议的下一跳为CEa接口的私网IP地址,这里的CEa接口具有一个公网地址,一个私网地址。对端CEb接收该缺省路由,并将该缺省路由存储在CEb的路由存储模块2中。CEb的路由存储模块2中存储的缺省路由也可以通过静态配置来实现。
本发明可以采用从地址的方式在CEa的同一个接口上即配置公网IP地址,又配置私网IP地址。CEb的路由存储模块2中存储的缺省路由不会在PE上生成,也不会发布到公网上,保证了缺省路由在私网之间、在私网与公网之间的相互隔离。
对于本端CEa访问internet的流程,即与CEa连接的本地VPLS用户的以太网报文传输至公网的流程,实现过程比较简单。CEa在接收到本地VPLS用户的以太网报文、并进行路由查找时,由于公网路由不会出现在CEa上,因此,会命中CEa中存储的上internet的缺省路由,CEa将本地VPLS用户的以太网报文通过具有公网IP地址的接口发送到PEa上。CEa将本地VPLS用户的以太网报文传输至PEa上的过程由以太网报文传输模块1来实现。
远端CEb访问Internet的业务流,即与CEb连接的VPLS用户的以太网报文传输至公网的流程为:CEb在接收到VPLS用户的以太网报文、并进行路由查找时,由于公网路由不会出现在CEb上,因此,会命中CEb中存储的上internet的缺省路由,从而,CEb将数据以太网报文通过PEb、PEa转发到集中访问公网的CEa上。CEb访问Internet的业务流传输至PEb的过程由CEb中以太网报文传输模块2来实现。
CEa接收PEa传输来的、与CEb连接的VPLS用户的以太网报文,CEa通过路由查找会命中路由存储模块1中存储的缺省路由,使CEb访问Internet的业务流通过CE的具有公网IP地址的接口传输至PEa的CE公网网关接口。CEa将CEb访问Internet的业务流传输至PEa的过程由CEa中以太网报文传输模块1来实现。
由于PEa从CEa接收到的以太网报文中有需要传输至公网的以太网报文,也有需要在VPLS域内透传的以太网报文,所以,PEa需要对其从CEa接收到的以太网报文进行判断,具体的判断及报文传输流程为:CEa将以太网报文通过具有公网IP地址的接口转发到PEa后,PEa通过判断CEa发送过来的以太网报文的以太网帧MAC地址是否为PEa的CE公网网关接口的MAC地址来确定该以太网报文需要在VPLS域内透传到远端CEb,还是在本地终结传输至公网,如果以太网报文的以太网帧MAC地址与PEa的CE公网网关接口的MAC地址相等,说明该以太网报文需要在本地终结传输至公网,对这些以太网报文,PEa可以在进行NAT重定向后,将其传输至公网,NAT过程在后续的内容中描述;否则,PEa将二层数据以太网报文透传到VPLS域内的远端CE。上述判断的过程由PEa中的判决模块来实现,判决模块根据判决结果向报文传输模块3传输公网传输信息或VPLS域内透传信息;以太网报文传输模块3在接收到判决模块传输来的公网传输信息时,将PEa通过CE公网网关接口接收的以太网报文传输至公网,以太网报文传输模块3在接收到判决模块传输来的VPLS域内透传信息时,将PEa通过CE公网网关接口接收的以太网报文在VPLS域内透传。
为了增强对私网用户访问internet的控制和安全,本发明还可以用预先设置的ACL(访问控制列表)等访问控制信息来对以太网报文进行过滤,仅将有访问公网权项的VPLS用户发送的以太网报文传输至公网。PEa实现访问控制的功能由访问权限控制模块来实现。访问权限控制模块进行访问权限控制的具体过程为:访问权限控制模块根据预先设置的访问控制权项、PEa接收的以太网报文中承载的信息判断发送该以太网报文的VPLS用户是否有访问公网的权项,如果确定发送该以太网报文的VPLS用户有访问公网的权限,访问权限控制模块将允许发送的信息传输至以太网报文传输模块3,以太网报文传输模块3在接收到允许发送的信息和判决模块传输来的公网传输信息时,将PEa接收的以太网报文传输至公网,如果确定发送该以太网报文的VPLS用户没有访问公网的权限,将拒绝发送的信息传输至以太网报文传输模块3,以太网报文传输模块3在接收到拒绝发送的信息和判决模块传输来的公网传输信息时,拒绝将PEa接收的以太网报文传输至公网。
由于CEa的本地VPLS用户的以太网报文是通过CEa、PEa传输至Internet的,而与远端CEb连接的VPLS用户的以太网报文也是通过CEa、PEa传输至Internet的,这样,通过集中上internet的CEa将以太网报文转发到PEa上后,对于PEa来说,就不再需要区分其从CE公网网关的接口接收的以太网报文是本地CEa下的VPLS用户发起的以太网报文,还是远端CE下的VPLS用户发起的以太网报文,从而使PEa能够对其从CE公网网关的接口中接收的以太网报文采用完全相同的转发行为。
为使公网中的以太网报文能够传输至VPLS用户,即访问internet的以太网报文能够流回VPLS域内的CE,一种简单的方法为:在集中访问internet的PEa上设置一条私网的回程路由,上internet的私网路由必须发布出去,而且,上internet的私网路由中的私网IP地址不能重叠。
为了防止私网路由泄漏到公网上,本发明引入NAT方法,即PEa在对私网中的VPLS用户的需要传输至公网的以太网报文进行NAT后,再传输至internet。这样,私网路由通过NAT屏蔽了,私网路由不需要发布到公网上。上述NAT的过程通过PEa中设置的地址转换模块来实现。本发明可以在PEa的CE公网网关的接口上配置NAT标志,标识该接口可以使能NAT功能。
为解决VPLS私网地址重叠问题,PEa在对于私网IP地址做NAT时,采用nat多实例方法来处理,即对于做NAT的数据流用VSI ID(虚交换实例ID)来区分私网,正向NAT转换和反向NAT转换都携带VSI ID,这样,每个VPLS上internet的私网路由网段可以不受限。
PEa上进行NAT配置的处理流程为:配置nat IP地址池与CE的具有公网IP地址的接口绑定,NAT地址池的地址通过路由协议发布到公网上,因此,做了NAT转换后的数据以太网报文可以回到PEa。
PEa上进行的具体的NAT处理流程为:PEa对需要传输至公网的以太网报文进行NAT转换,生成正向NAT表项和反向NAT表项,正向NAT表项主要用于指示后续以太网报文进行NAT上internet。PEa将需要传输至公网的以太网报文的私网源IP地址转换成CEa的公网IP地址,对于PAT(端口地址转换)方式,PEa还需要将以太网报文的私网源端口号转换为公网源端口号。反向NAT表项主要用于处理从internet回来的以太网报文的目的IP地址和目的端口号,将internet回来的以太网报文的目的IP地址和目的端口号还原成私网源IP地址和私网源端口号。正向、反向NAT表项信息中加入VSI ID进行多VPLS实例区分,有效解决了私网地址重叠的问题。
从Internet中回应的以太网报文,在PEa上经过NAT反向变换后,以太网报文的目的IP地址重新变成私网IP地址,同时,PEa用NAT转换前的目的IP地址查找主机路由,得到出接口信息,查ARP表得到二层封装信息,然后,将以太网报文发回到CEa。
CEa接收PEa传输来的以太网报文,用该以太网报文的目的IP地址查路由表进行以太网报文的转发,如果该以太网报文是Internet中回应本地VPLS用户的报文,CEa会根据路由表将该以太网报文传输至本地VPLS用户,如果该以太网报文需要传输至远端CEb的报文,则CEa会根据路由表将该以太网报文转发到PEa上,后续流程与普通VPLS流程完全相同,从而,使Internet回应的以太网报文能够转发到正确的目的地。
上述PEa中的NAT处理过程由PEa中设置的地址转换模块实现,PEa中的访问权限控制模块在进行访问控制,通知以太网报文传输模块3将以太网报文传输至公网时,地址转换模块对以太网报文传输模块3向公网发送出的以太网报文进行地址转换,生成包含VSI ID信息的正向NAT表项和反向NAT表项,并将转换后的以太网报文传输至公网。对于Internet回应的以太网报文,地址转换模块根据反向NAT表项进行地址转换,并将转换后的以太网报文传输至以太网报文传输模块3,由以太网报文传输模块3根据转换前的目的IP地址、ARP表将转换后的以太网报文发送至CEa,具体如上述方法中的描述。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
Claims (18)
1、一种虚拟专用网用户访问公网的系统,其特征在于,包括:虚拟专用LAN网段VPLS用户集中访问公网的用户边缘设备CE和提供商边缘设备PE;
所述CE的与PE连接的接口设置有公网IP地址,所述PE的与CE的具有公网IP地址的接口连接的接口为CE公网网关;
所述CE和PE通过所述具有公网IP地址的接口和CE公网网关接口进行VPLS用户和公网之间的以太网报文传输。
2、如权利要求1所述的一种虚拟专用网用户访问公网的系统,其特征在于,所述CE中设置有路由存储模块1和以太网报文传输模块1;
路由存储模块1:存储下一跳为所述CE公网网关接口IP地址信息的缺省路由;
以太网报文传输模块1:根据路由存储模块1中存储的缺省路由将VPLS用户需要传输至公网的以太网报文通过设置有公网IP地址的接口传输至PE设备的CE公网网关接口。
3、如权利要求2所述的一种虚拟专用网用户访问公网的系统,其特征在于,所述系统还包括:远端CE;
所述远端CE中设置有路由存储模块2和以太网报文传输模块2;
路由存储模块2:存储下一跳为具有公网IP地址的CE的缺省路由;
以太网报文传输模块2:根据路由存储模块2中存储的缺省路由将与其连接的VPLS用户的、需要传输至公网的以太网报文通过具有CE公网网关接口的PE传输至具有公网IP地址的CE。
4、如权利要求2所述的一种虚拟专用网用户访问公网的系统,其特征在于,所述PE中设置有判决模块、以太网报文传输模块3;
判决模块:在确定PE通过CE公网网关接口接收的以太网报文的目的MAC地址与CE公网网关接口的MAC地址相同时,将公网传输信息传输至以太网报文传输模块3,在确定PE通过CE公网网关接口接收的以太网报文的目的MAC地址与CE公网网关接口的MAC地址不相同时,将VPLS域内透传信息传输至以太网报文传输模块3;
以太网报文传输模块3:在接收到判决模块传输来的公网传输信息时,将PE接收的以太网报文传输至公网,在接收到判决模块传输来的VPLS域内透传信息时,将PE接收的以太网报文在VPLS域内透传。
5、如权利要求4所述的一种虚拟专用网用户访问公网的系统,其特征在于,所述PE中还设置有访问权项控制模块;
访问权项控制模块:根据预先设置的访问控制权项、PE接收的所述以太网报文中承载的信息判断发送所述以太网报文的VPLS用户是否有访问公网的权项,如果有,将允许发送的信息传输至以太网报文传输模块3,如果没有,将拒绝发送的信息传输至以太网报文传输模块3。
6、如权利要求1所述的一种虚拟专用网用户访问公网的系统,其特征在于,所述CE中设置有ARP以太网报文传输模块,所述PE中设置有ARP学习模块和以太网报文传输模块4;
ARP以太网报文传输模块:向PE和VPLS域内部发送ARP以太网报文;
ARP学习模块:根据ARP以太网报文传输模块通过具有公网IP地址的接口发送来的ARP以太网报文进行ARP表学习,并向ARP以太网报文传输模块进行ARP应答;
以太网报文传输模块4:根据ARP学习模块学习到的ARP表将PE从公网接收的、需要传输至VPLS用户的以太网报文通过CE公网网关接口传输至CE。
7、如权利要求4、5或6所述的一种虚拟专用网用户访问公网的系统,其特征在于,所述PE中还设置有地址转换模块;
地址转换模块:将PE需要发送至公网的以太网报文或者需要发送至VPLS用户的以太网报文进行地址转换,并进行以太网报文转发。
8、一种虚拟专用网用户访问公网的方法,其特征在于,包括:
a、CE和PE通过具有公网IP地址的接口和CE公网网关接口进行VPLS用户和公网之间的以太网报文传输。
9、如权利要求8所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述方法具体包括:
a1、在具有公网IP地址接口的CE中设置下一跳为CE公网网关接口的IP地址信息的缺省路由;
a2、所述CE根据该缺省路由将VPLS用户需要传输至公网的以太网报文通过公网IP地址的接口、CE公网网关接口传输至PE;
a3、PE接收所述以太网报文,并将其传输至公网。
10、如权利要求9所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述步骤a2中VPLS用户需要传输至公网的以太网报文为:与具有公网IP地址接口的CE连接的本地VPLS用户的、需要传输至公网的以太网报文,或者与远端CE连接的VPLS用户的、需要传输至公网的以太网报文。
11、如权利要求10所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述远端CE中设置有下一跳为具有公网IP地址的CE的缺省路由,且所述步骤a2之前还包括:
远端CE根据其存储的缺省路由将与其连接的VPLS用户的、需要传输至公网的以太网报文传输至具有CE公网网关接口的PE设备;
所述PE设备通过CE公网网关接口将该以太网报文传输至具有公网IP地址的CE。
12、如权利要求11所述的一种虚拟专用网用户访问公网的方法,其特征在于:
静态配置所述远端CE中的下一跳为具有公网IP地址的CE的缺省路由;或
具有公网IP地址的CE将其存储的缺省路由通过CE间运行的路由协议发布到远端CE。
13、如权利要求9所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述步骤a3包括:
PE判断其接收的以太网报文的目的MAC地址是否与CE公网网关接口的MAC地址相同;
如果相同,PE将所述接收的以太网报文传输至公网;
如果不相同,PE将所述接收的以太网报文在VPLS域内透传。
14、如权利要求9或13所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述PE传输至公网的以太网报文为:PE根据预先设置的访问控制权项信息确定的允许发送至公网的以太网报文。
15、如权利要求8所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述方法包括:
a4、具有公网IP地址的CE向PE和VPLS域内部发布ARP以太网报文,具有CE公网网关接口的PE根据CE通过具有公网IP地址的接口发送的ARP以太网报文进行ARP表学习,并应答;
a5、PE根据其从公网接收的、需要传输至VPLS用户的以太网报文的目的IP地址信息、其学习到的ARP表将所述以太网报文通过CE公网网关接口传输至CE,并由该CE将所述以太网报文传输至相应的VPLS用户。
16、如权利要求15所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述步骤a5中CE将所述以太网报文传输至相应的VPLS用户的步骤具体包括:
CE根据以太网报文的目的IP地址判断该以太网报文是否为本地VPLS用户的以太网报文;
如果是,CE将所述以太网报文传输至相应的本地VPLS用户;
如果不是,CE将所述以太网报文传输至PE,由PE传输至远端CE,并由远端CE将所述以太网报文传输至相应的VPLS用户。
17、如权利要求9、10、11、12、13、15或16所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述PE的CE公网网关接口设置有地址转换标志,所述PE传输至公网的以太网报文和所述PE传输至CE的以太网报文均为:地址转换后的以太网报文。
18、如权利要求17所述的一种虚拟专用网用户访问公网的方法,其特征在于,所述地址转换为:根据以太网报文的源IP地址、VSI标识信息进行的地址转换,或根据以太网报文的源IP地址、源端口信息和VSI标识信息进行的地址转换。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100671995A CN101052022B (zh) | 2006-04-05 | 2006-04-05 | 一种虚拟专用网用户访问公网的系统和方法 |
| PCT/CN2007/001059 WO2007112691A1 (fr) | 2006-04-05 | 2007-04-02 | Système, procédé et dispositif réseau permettant à un client de réseau privé virtuel (vpn) d'accéder à un réseau public |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100671995A CN101052022B (zh) | 2006-04-05 | 2006-04-05 | 一种虚拟专用网用户访问公网的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101052022A true CN101052022A (zh) | 2007-10-10 |
| CN101052022B CN101052022B (zh) | 2010-10-13 |
Family
ID=38563113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100671995A Expired - Fee Related CN101052022B (zh) | 2006-04-05 | 2006-04-05 | 一种虚拟专用网用户访问公网的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101052022B (zh) |
| WO (1) | WO2007112691A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009097771A1 (zh) * | 2008-02-03 | 2009-08-13 | Huawei Technologies Co., Ltd. | 转发报文的方法、设备和系统 |
| CN101247334B (zh) * | 2008-03-06 | 2010-09-01 | 中兴通讯股份有限公司 | 虚拟专用局域网服务网络及实现方法和提供商边缘路由器 |
| CN101562807B (zh) * | 2009-05-27 | 2011-04-20 | 华为技术有限公司 | 移动虚拟专用网通信的方法、装置及系统 |
| CN103152269A (zh) * | 2013-02-26 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN103581348A (zh) * | 2012-07-24 | 2014-02-12 | 深圳市腾讯计算机系统有限公司 | 网络地址转换方法及转换系统 |
| CN105553987A (zh) * | 2015-12-21 | 2016-05-04 | 北京首信科技股份有限公司 | 无线vpdn网络用户访问特定公网站点的控制装置和方法 |
| CN106656718A (zh) * | 2015-11-04 | 2017-05-10 | 中国电信股份有限公司 | VxLAN网关以及基于VxLAN网关实现的主机接入互联网的方法 |
| CN108011759A (zh) * | 2017-12-05 | 2018-05-08 | 锐捷网络股份有限公司 | 一种vpn管理方法、装置及系统 |
| CN108696546A (zh) * | 2017-02-15 | 2018-10-23 | 中兴通讯股份有限公司 | 一种企业移动专用网的用户终端访问公网的方法及装置 |
| CN114039814A (zh) * | 2021-11-30 | 2022-02-11 | 锐捷网络股份有限公司 | 一种报文转发方法、装置、电子设备及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895480B (zh) * | 2010-08-18 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种报文的传输方法和设备 |
| CN112769977B (zh) * | 2021-01-27 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种nat公网地址发布的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100399767C (zh) * | 2003-09-26 | 2008-07-02 | 华为技术有限公司 | 一种虚拟交换机系统接入ip公网的方法 |
| CN100426804C (zh) * | 2004-05-21 | 2008-10-15 | 华为技术有限公司 | 实现混合站点虚拟专用网的方法 |
| JP2006019775A (ja) * | 2004-06-30 | 2006-01-19 | Nec Corp | 移動通信ネットワーク、エッジルータ装置及びそれらに用いる移動管理方法並びにそのプログラム |
| US7876694B2 (en) * | 2004-07-02 | 2011-01-25 | Hewlett-Packard Development Company, L.P. | Identifying VPN faults based on virtual routing address and edge interface relationship information |
-
2006
- 2006-04-05 CN CN2006100671995A patent/CN101052022B/zh not_active Expired - Fee Related
-
2007
- 2007-04-02 WO PCT/CN2007/001059 patent/WO2007112691A1/zh active Application Filing
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009097771A1 (zh) * | 2008-02-03 | 2009-08-13 | Huawei Technologies Co., Ltd. | 转发报文的方法、设备和系统 |
| CN101247334B (zh) * | 2008-03-06 | 2010-09-01 | 中兴通讯股份有限公司 | 虚拟专用局域网服务网络及实现方法和提供商边缘路由器 |
| US9084108B2 (en) | 2009-05-27 | 2015-07-14 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for mobile virtual private network communication |
| CN101562807B (zh) * | 2009-05-27 | 2011-04-20 | 华为技术有限公司 | 移动虚拟专用网通信的方法、装置及系统 |
| CN103581348A (zh) * | 2012-07-24 | 2014-02-12 | 深圳市腾讯计算机系统有限公司 | 网络地址转换方法及转换系统 |
| CN103152269B (zh) * | 2013-02-26 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN103152269A (zh) * | 2013-02-26 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN106656718A (zh) * | 2015-11-04 | 2017-05-10 | 中国电信股份有限公司 | VxLAN网关以及基于VxLAN网关实现的主机接入互联网的方法 |
| CN105553987A (zh) * | 2015-12-21 | 2016-05-04 | 北京首信科技股份有限公司 | 无线vpdn网络用户访问特定公网站点的控制装置和方法 |
| CN105553987B (zh) * | 2015-12-21 | 2018-09-25 | 北京首信科技股份有限公司 | 无线vpdn网络用户访问特定公网站点的控制装置和方法 |
| CN108696546A (zh) * | 2017-02-15 | 2018-10-23 | 中兴通讯股份有限公司 | 一种企业移动专用网的用户终端访问公网的方法及装置 |
| CN108696546B (zh) * | 2017-02-15 | 2021-08-24 | 中兴通讯股份有限公司 | 一种企业移动专用网的用户终端访问公网的方法及装置 |
| CN108011759A (zh) * | 2017-12-05 | 2018-05-08 | 锐捷网络股份有限公司 | 一种vpn管理方法、装置及系统 |
| CN114039814A (zh) * | 2021-11-30 | 2022-02-11 | 锐捷网络股份有限公司 | 一种报文转发方法、装置、电子设备及存储介质 |
| CN114039814B (zh) * | 2021-11-30 | 2024-02-23 | 锐捷网络股份有限公司 | 一种报文转发方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007112691A1 (fr) | 2007-10-11 |
| CN101052022B (zh) | 2010-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101052022A (zh) | 一种虚拟专用网用户访问公网的系统和方法 | |
| CN1194512C (zh) | 信息设备、网关设备及其控制方法 | |
| CN1132347C (zh) | 维护所选网络站和移动站之间的路由路径的系统 | |
| CN102075438B (zh) | 单播数据帧传输方法及装置 | |
| CN1913523A (zh) | 实现层级化虚拟私有交换业务的方法 | |
| CN100411381C (zh) | 跨不同自治系统的混合网络vpn站点间的通信方法和系统 | |
| CN102484639A (zh) | 用于多个nat64环境的方法和主机节点 | |
| JP6722816B2 (ja) | パケット転送 | |
| CN104885416A (zh) | 在混合通信网络中桥接网络设备 | |
| CN103731349B (zh) | 一种以太网虚拟化互联邻居间报文转发方法和边缘设备 | |
| WO2012075163A1 (en) | Systems and methods for multi-level switching of data frames | |
| CN1925452A (zh) | 数据转发系统、方法以及网络转发设备 | |
| CN1863129A (zh) | 一种基于二层vpn异种介质互通的系统和方法 | |
| CN102355417A (zh) | 一种数据中心二层互联方法和装置 | |
| CN102158421A (zh) | 创建三层接口的方法及单元 | |
| CN105490957A (zh) | 一种负载分担方法及装置 | |
| CN104954265A (zh) | 发送组播报文的方法及交换机 | |
| CN1866904A (zh) | 收敛二层mac地址的方法及设备 | |
| CN102318290B (zh) | 报文转发方法和装置 | |
| US20180159758A1 (en) | Virtual media access control addresses for hosts | |
| CN1878112A (zh) | 实现虚拟局域网聚合的方法和汇聚交换机 | |
| CN1856967A (zh) | 与网络有关的设定的自动切换 | |
| CN1630268A (zh) | 一种多isp局域网的出口路由方法 | |
| CN1773949A (zh) | 虚拟专网的接入方法及实现装置 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101013 Termination date: 20180405 |