CN101083549A - 一种实现vpn配置服务的方法和系统 - Google Patents

一种实现vpn配置服务的方法和系统 Download PDF

Info

Publication number
CN101083549A
CN101083549A CNA2006100609956A CN200610060995A CN101083549A CN 101083549 A CN101083549 A CN 101083549A CN A2006100609956 A CNA2006100609956 A CN A2006100609956A CN 200610060995 A CN200610060995 A CN 200610060995A CN 101083549 A CN101083549 A CN 101083549A
Authority
CN
China
Prior art keywords
vpn
request message
sign
directory service
service table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006100609956A
Other languages
English (en)
Inventor
许用梁
高建华
吴成庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNA2006100609956A priority Critical patent/CN101083549A/zh
Priority to EP07720833.8A priority patent/EP2012470B1/en
Priority to PCT/CN2007/001260 priority patent/WO2007140691A1/zh
Priority to CN2007800002556A priority patent/CN101313534B/zh
Publication of CN101083549A publication Critical patent/CN101083549A/zh
Priority to US12/276,659 priority patent/US7933978B2/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • H04L12/4679Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4541Directories for service discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种实现VPN配置服务的方法和系统。本发明方法中,网络收到VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;验证通过后,更新所述目录服务表,完成所述VPN配置。本发明通过目录服务器和目录服务表配置VPN策略信息和VPN成员信息,当VPN网络发生动态变化时,查询目录服务表快速实现VPN成员的增加、删除等操作,以及VPN策略的动态变化,提高了VPN服务的效率;通过VPN策略信息的设置,将客户的VPN连接请求限定在封闭用户组内并且对客户的VPN连接请求进行相应的控制,从而实现了灵活的管理方式。

Description

一种实现VPN配置服务的方法和系统
技术领域
本发明涉及VPN(Virtual Private Network,虚拟专用网)领域,具体是一种实现VPN配置服务的方法和系统。
背景技术
VPN网络通常由CE设备(Customer Edge,客户边缘设备)、PE设备(Provider Edge,网络边缘设备)和P设备(Provider,网络内部设备)构成。其中CE设备是客户边缘节点,是在同一个站点的VPN客户端点的出/入口;PE设备是传送网络的边缘节点,作为传送网络负责向客户提供VPN服务的边缘设备,一个PE设备至少与一个CE设备相连,并且至少和另外一个传送网络设备,即PE或者P相连。P设备是传送网络内部的传送设备,P设备和传送网络内部其它的传送设备相连,但不直接和CE设备相连。
现有技术一提供的VPN服务通常由网络管理系统,即NMS(NetworkManagement System,网络管理系统)来实现,如图1所示,通过NMS完成VPN网络的配置和客户VPN连接业务的建立,具体步骤如下:
1、在NMS中手动配置VPN信息,包括VPN成员信息、VPN策略信息等;
2、客户需要建立VPN连接时,客户向NMS发送VPN连接请求消息;
3、NMS根据预先配置的VPN信息验证客户请求,验证通过后,建立网络连接。
现有技术二是IETF草案draft-ietf-vpn-bgp-auto-discovery-00,其中描述了通过BGP协议(Border Gateway Protocol,边界网关协议)实现VPN成员的自动发现并提供VPN服务的方法。结合其中所描述的成员自动发现方法,网络提供VPN连接服务的具体步骤如下:
1、在PE设备上配置所接入的CE成员信息,并通过<CPI PPI>来标识该VPN成员,其中CPI为CE设备上接入网络设备的端口标识,PPI为PE设备上连接该CE设备的端口标识;
2、PE设备通过配置VPN成员信息后,通过BGP协议与该VPN中的其它PE设备进行交互,通过这种BGP的自动发现机制最终会在VPN中所有的PE设备中形成VPN成员信息表PIT;
3、当某个CE设备需要和VPN中的其它成员之间通讯时,PE设备根据VPN成员信息表PIT来验证客户VPN通讯请求,验证通过后,建立VPN网络连接。
在上述现有技术方案中,VPN成员信息以及VPN策略信息都需要通过管理员在NMS或者PE设备上进行手动配置;当VPN成员发生动态变化时,对VPN网络配置信息的增加、删除和修改等操作的时延大,管理方式不灵活。
发明内容
本发明提供一种实现VPN配置服务的方法和系统,能够灵活配置VPN成员信息,并设置VPN策略信息,实现VPN成员的动态加入和退出处理。
本发明方法,包括如下步骤:
(1)网络收到VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;
(2)验证通过后,更新所述目录服务表,完成所述VPN配置。
上述对VPN配置请求消息的验证由目录服务器完成,所述目录服务表保存在所述目录服务器上。
上述对VPN配置请求消息的验证也可由网络边缘设备完成,所述目录服务表保存在所述网络边缘设备上。
其中,所述VPN配置请求消息是添加VPN成员的请求消息,所述VPN配置请求消息包括VPN标识和VPN成员标识,所述步骤(2)具体包括步骤:
验证所述VPN标识是否存在于目录服务表中,若存在,则进一步验证所述VPN成员标识是否存在于所述VPN标识对应的表项中,若不存在,则验证通过,将所述VPN成员标识添加到目录服务表中;
或者,
验证所述VPN标识是否存在于目录服务表中,若存在,则进一步验证所述VPN成员标识是否存在于所述VPN标识对应的表项中,若不存在,则进一步验证是否符合目录服务表中基于所述VPN的策略信息,若符合,则验证通过,将所述VPN成员标识添加到目录服务表中。
其中,所述VPN配置请求消息是删除VPN成员的请求消息,所述VPN配置请求消息包括VPN标识和VPN成员标识,,所述步骤(2)具体包括步骤:
验证所述VPN标识与所述VPN成员标识是否存在于目录服务表的一个表项中,若是,则进一步验证所述表项中的策略信息是否允许VPN成员动态退出,若是,则验证通过,删除目录服务表中的所述表项。
其中,所述VPN配置请求消息是修改VPN策略的请求消息,所述VPN配置请求消息包括VPN标识、VPN成员标识和基于CE的策略信息,所述步骤(2)具体包括步骤:
验证所述VPN标识与所述VPN成员标识是否存在于目录服务表的一个表项中,若是,则进一步验证所述表项中的策略信息是否允许VPN成员动态修改VPN策略,若是,则验证通过,将目录服务表的所述表项中基于CE的策略信息更新为所述配置请求消息中的基于CE的策略信息。
其中,所述VPN配置请求消息是修改VPN策略的请求消息,所述VPN配置请求消息包括VPN标识、VPN成员标识和基于VPN的策略信息,所述步骤(2)具体包括步骤:
验证所述VPN标识与所述VPN成员标识是否存在于目录服务表的一个表项中,若是,则进一步验证所述表项中的策略信息是否允许VPN成员动态修改VPN策略,若是,则验证通过,将目录服务表的所述表项中基于VPN的策略信息更新为所述配置请求消息中的基于VPN的策略信息。
本发明方法进一步包括,客户之间需要建立VPN连接时,发送VPN连接请求消息,所述请求消息中包括VPN标识、源VPN成员标识和目的VPN成员标识,网络根据所述目录服务表验证所述请求消息,若验证通过,则建立VPN连接。
本发明还提供了一种实现VPN配置服务的系统,包括客户边缘设备、网络边缘设备和网络内部设备,其中,一个网络边缘设备与一个或多个客户边缘设备相连,且与其他的网络边缘设备或网络内部设备相连,共同提供VPN服务,还包括目录服务器,所述目录服务器驻留在网络内部的运营商边缘设备或运营商内部设备上;或者驻留在网络之外单独的计算机上,所述目录服务器上保存目录服务表,用于验证VPN配置请求消息。
其中,所述目录服务器包括CPU处理器、验证程序模块、配置程序模块和存储器,其中,
验证程序模块根据所述目录服务表对所述VPN配置请求消息进行验证,若验证通过,则发送配置消息给配置程序模块;
配置程序模块接收到所述配置消息后,更新目录服务表;
所述目录服务表存储于存储器中。
本发明基于目录服务实现对VPN的配置服务,VPN成员信息以及VPN策略信息均由目录服务表存储,当客户请求对VPN配置信息进行改变时,通过查询目录服务表快速实现VPN成员的增加、删除,以及VPN策略信息的配置修改等操作,提高了VPN服务的效率,另外,可以通过设置VPN策略信息,将客户的VPN连接请求限定在封闭用户组内并且对客户的VPN连接请求进行控制。
附图说明
图1为现有技术中网管系统实现VPN服务的示意图;
图2为本发明中实现VPN配置服务的系统示意图;
图3为本发明中目录服务器的结构示意图;
图4为本发明中实现VPN配置服务的方法示意图。
具体实施方式
本发明通过目录服务来实现VPN配置服务。在本发明提供的系统中,网络包括目录服务器,该目录服务器可以驻留在网络之外单独的计算机上,也可以驻留在网络内部的某个传送设备,即PE设备或P设备上。目录服务器以目录形式维护一张VPN ID与VPN成员标识关系的列表,即目录服务表,通过目录服务实现VPN配置信息的自动注册和维护。通过CE-PE之间的交互处理传送客户用来维护VPN相关的信息,通过PE设备和目录服务器之间的交互来实现动态增加、删除、修改目录服务表中的VPN成员信息和VPN策略信息(包括基于CE的策略信息和基于VPN的策略信息)。当客户请求通过网络建立、删除或维护VPN连接时,首先通过查询目录服务表验证所述请求是否限定在对应的VPN成员之间以及请求的内容是否符合相应的VPN策略信息,所述VPN策略信息包括:请求的最大带宽值、SLA(Service LevelAgreement,服务等级协议)属性值等,验证通过后,网络才会正确响应该请求,提供相应的VPN配置服务。从而实现VPN信息的灵活配置,达到快速提供VPN服务的目的。
上述目录服务表中所述的VPN成员标识可以有如下两种标识方法:
TNA(Transport Network Assigned Address,传输网络分配地址)地址:也可以附加端口号,TNA地址是传送网络为客户设备接入网络的物理链路所分配的全球唯一地址,通过TNA地址,运营商可以标识客户设备接入网络的数据承载链路。当一个TNA地址对应多条数据承载链路时,通过TNA地址和端口号组合来标识客户设备接入网络的某一条数据承载链路。
<CPI,PPI>:即<CPI,PPI>组合来标识VPN的某个特定的成员,其中CPI为CE设备接入VPN网络的端口标识,PPI为PE设备连接CE设备的端口标识,这两个标识的组合可以唯一标识一个VPN成员。
下面以VPN中动态维护VPN成员过程为例对本发明方案做进一步的详细说明。
如图2所示,是实现VPN配置服务的系统示意图。其中,A和Z是同一个VPN网络的客户边缘设备CE,该CE设备可以是L1、L2或L3层设备,例如TDM交叉连接设备、二层交换设备和路由器等。网络节点B和C是该VPN网络中的网络边缘设备PE,这里的PE设备可以是一个TDM交换设备,一个OXC(Optic Cross Connect System,光交叉连接系统)设备,一个FXC(Fiberswitch,光纤交换)设备,或者一个能够将以太帧信号映射到一层连接的以太网专线设备等。网络节点D和E是网络内部设备P,P设备是一个一层的设备,可以是TDM交换设备、OXC设备或者FXC设备等。传送节点之间,即B、C、D、E之间通过TDM技术的线路连接,如SDH链路。节点F是目录服务器。整个网络的控制平面运行GMPLS协议,在A、B节点之间和D、Z节点之间是客户和网络接口UNI,通过UNI来进行通信的相关规范可参考UNI 1.0标准。UNI定义了几类地址,内部传送网络地址是指运营商网络内部节点的地址,可以用来作内部路由,以及网络管理的目的,但是这些地址不会暴露给客户;客户地址指客户网络对客户节点的编址,这些地址一般不会暴露给运营商;TNA地址是由网络分配给连接UNI-N(UNI Signaling Agent-Network,UNI信令Agent-网络)和UNI-C(UNI Signaling Agent-Client,UNI信令Agent-客户)的一条或多条数据承载链路的全球唯一地址。图2中,网络给节点A分配的TNA地址是101,给节点Z分配的TNA地址是102。
图3所示为目录服务器的基本结构。包括验证程序模块、配置程序模块和存储器。其中,验证验证程序模块根据目录服务表对VPN配置请求消息进行验证,若验证通过,则发送配置消息给配置程序模块;配置程序模块接收到所述配置消息后,对VPN配置请求消息进行处理,具体包括:添加VPN成员、删除VPN成员、修改VNN策略等,更新目录服务表;所述目录服务表存储于存储器中。目录服务表可以采用表1所示的格式。
VPN ID     VPN成员标识(TNA地址/端口号) Per-CE Policy Per-VPN Policy
    1     101/10     Policy 11     Policy 1
    1     102/10     Polcy 12
    1     103     Policy 13
    2     201     Policy 21     Policy 2
    2     202/11     Policy 22
    ......     ......     ......     ......
表1
当然,VPN成员标识可以仅仅是TNA地址,可以是TNA地址和端口号,也可采用<CPI,PPI>的标识方法,表1仅仅是本发明的一个示例,其不应过度地限制本发明的范围,本领域的一个普通技术人员应该认识到许多的变化、替换和更改,均在本发明的权利要求范围之内。
图4所示是本发明中提供VPN配置服务的方法示意图,具体步骤如下:
(1)网络收到VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;
(3)验证通过后,更新所述目录服务表,完成所述VPN配置;
否则,返回否定应答。
本发明方法中,在目录服务器中预先配置VPN ID和基于该VPN的部分或全部策略信息,包括:该VPN允许动态接入的最大成员节点数等。
通过目录服务对VPN成员的动态维护有两种实现方法,下面分别对这两种方法进行详细描述。
实施例一:当CE设备发起VPN配置请求消息,即请求添加、删除VPN成员或修改VPN策略信息的时候,CE设备通过UNI接口向PE设备发出相应的请求消息,PE向目录服务器转发所述请求消息,目录服务器查询目录服务表验证所述请求消息,验证通过后,在目录服务器上更新相应的VPN信息,完成所述VPN配置。当两个CE设备之间需要通信的时候,PE设备根据CE设备发来的VPN连接请求消息查询目录服务器,对所述VPN连接请求消息进行验证,验证通过后,在上述请求的源和目的CE设备之间建立VPN连接,这样,源和目的CE设备只能在VPN确定的VPN成员之间以及相应VPN策略允许的前提下进行通讯。
下面结合图2对动态维护VPN成员的各种情形进行详细的阐述。
1、添加VPN成员,具体步骤如下:
(1)CE设备A通过UNI接口向PE设备B发送添加VPN成员的请求消息,该请求消息包括VPN ID 1、VPN成员标识101、基于CE设备A的VPN策略信息Policy 11,如,允许的最大带宽值BWmax等,其中,VPN ID和VPN成员标识为必须要包含的信息,基于CE设备A的策略信息为可选信息;
(2)B收到接入所述请求消息后,向目录服务器F转发该请求消息;
(3)F通过查询目录服务表,验证该请求消息是否合法,例如下述两种验证方法:
(a)验证目录服务表中是否存在VPN ID 1,
(a1)如果不存在,则返回否定应答,拒绝添加A为该VPN成员;
(a2)如果目录服务表中存在VPN ID 1,则进一步判断VPN ID 1对应的表项中是否存在VPN成员标识101,
(a21)若是,则返回否定应答,拒绝添加A,因为A已经存在于目录服务表中;
(a22)若否,则验证通过,将VPN成员标识101以及请求消息中包含的其他VPN信息,如基于CE设备A的策略信息等添加到目录服务表的相应表项中,返回肯定应答。
(b)验证目录服务表中是否存在VPN ID 1,
(b1)如果不存在,则返回否定应答,拒绝添加A为该VPN成员;
(b2)如果存在,则进一步判断VPN ID 1对应的表项中是否存在VPN成员标识101,
(b21)若是,则返回否定应答,拒绝添加A,因为A已经存在于目录服务表中;
(b22)若否,则进一步验证是否符合目录服务表中相应表项的基于VPN的策略信息,譬如,该表项中基于该VPN的策略信息Policy1中指定该VPN允许动态接入的最大成员节点数是3,
(b221)如果该VPN中的已有成员数为0,1或2,则验证通过,将VPN成员标识101以及请求消息中包含的其他VPN信息,如基于CE设备A的策略信息等添加到目录服务表的相应表项中,返回肯定应答。
(b222)如果该VPN中已有成员数为3,则拒绝添加A为该VPN成员,返回否定应答。
2、删除VPN成员,具体步骤如下:
(1)当A向B发送删除VPN成员的请求消息,其中包含等待删除的VPNID 1、VPN成员标识101;
(2)B向F转发该请求消息,其中包含等待删除的VPN ID 1和VPN成员标识101;
(3)F收到该请求消息后,验证该请求消息是否合法,即
验证目录服务表中是否存在VPN ID为1且VPN成员标识为101的表项,
(a)如果该表项存在,则验证该表项中的策略信息是否允许VPN成员动态退出,
(a1)若允许,则验证通过,首先发起删除与该节点相关的VPN连接,并在对应的目录服务表项中删除对应的<VPN ID,VPN成员标识>项<1,100/10>;返回肯定应答;
(a2)若不允许,则返回否定应答。
(b)若该表项不存在,则返回否定应答。
3、修改VPN策略,具体步骤如下:
(1)A向B发送修改VPN策略的请求消息,其中包含VPN ID 1、VPN成员标识101、基于CE的策略信息或者基于VPN的策略信息;
(2)B向F转发该请求消息,其中包含VPN ID 1、VPN成员标识和基于CE的策略信息或者基于VPN的策略信息;
(3)F接到该请求消息后,验证VPN ID和VPN成员标识的合法性,即验证目录服务表中是否存在VPN ID为1且VPN成员标识为101的表项,
(a)若存在,则进一步验证该表项中的策略信息是否允许VPN成员动态修改VPN策略,
(a1)若否,则返回否定应答;
(a2)若是,则验证通过,将目录服务表中的策略信息更新为请求消息中包含的策略信息,返回肯定应答
(b)若不存在,则返回否定应答。
4、建立VPN连接,具体步骤如下:
(1)A向B发送建立VPN连接的请求消息,其中包含等待建立连接的VPNID 1和源VPN成员标识101/10、目的VPN成员标识/102/10,以及相关的请求参数,如带宽、保护属性等;
(2)B向目录服务器F转发该建立VPN连接的请求消息;
(3)F根据目录服务表验证VPN ID、源VPN成员标识和目的VPN成员标识,并根据基于CE的策略信息和基于VPN的策略信息验证相关的请求参数,
若验证未通过,则返回否定应答;
若验证通过,则建立A与Z之间的VPN连接,返回肯定应答。
综上,上述说明仅为单域的情况,多域的实现情况和单域类似。
本发明还提供了另外一个实施例,具体阐述如下。
实施例二:目录服务表不仅保存在目录服务器F上,同时也下载到各个PE设备,PE设备不需要保存所有VPN的目录服务表项,只需要保存自身所在的VPN相关的目录服务表项。
目录服务器F在下面三种情况下对PE设备的目录服务表进行更新:
(1)通过网管系统设定的目录服务器更新时间间隔,目录服务器F会定时更新各个PE节点的目录服务表;
(2)添加或删除VPN成员或者修改VPN策略信息时,目录服务器F会立即更新各个PE设备的目录服务表;
(3)当PE设备向目录服务器F请求更新目录服务表的时候,目录服务器F会给该PE节点返回更新的目录服务表。
建立VPN连接时,PE节点只需要查询本身的目录服务表即可,不需要再向目录服务器发送请求。如图2所示,
添加VPN成员/删除VPN成员/修改VPN策略,具体步骤如下:
(1)CE设备A向PE设备B发送相应的VPN配置请求消息,其中包括相应的VPN信息,该过程与实施例一相同,只是请求的目的不是目录服务器F,而是B;
(2)PE设备B查询其目录服务表,对该请求消息进行验证,具体的验证过程同实施例一,
验证通过之后,完成相应的VPN配置;B向F发送消息,更新F的目录服务表;
否则,返回否定应答。
(3)F向其他相关PE发送更新目录服务表的消息。
CE设备A与Z之间需要建立VPN连接时,步骤如下:
网络中的PE设备B收到来自CE设备A的VPN连接请求信息后,查询B中的目录服务表,验证该VPN连接请求消息,
验证通过后,建立所述VPN连接;
否则,返回否定应答。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1、一种实现VPN配置服务的方法,其特征在于,
(1)网络收到VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;
(2)验证通过后,更新所述目录服务表,完成所述VPN配置。
2、如权利要求1所述的方法,其特征在于,对所述VPN配置请求消息的验证由目录服务器完成,所述目录服务表保存在所述目录服务器上。
3、如权利要求1所述的方法,其特征在于,对所述VPN配置请求消息的验证由网络边缘设备完成,所述目录服务表保存在所述网络边缘设备上。
4、如权利要求1或2或3所述的方法,其特征在于,所述VPN配置请求消息是添加VPN成员的请求消息,所述VPN配置请求消息包括VPN标识和VPN成员标识,所述步骤(2)具体包括步骤:
验证所述VPN标识是否存在于目录服务表中,若存在,则进一步验证所述VPN成员标识是否存在于所述VPN标识对应的表项中,若不存在,则验证通过,将所述VPN成员标识添加到目录服务表中;
或者,
验证所述VPN标识是否存在于目录服务表中,若存在,则进一步验证所述VPN成员标识是否存在于所述VPN标识对应的表项中,若不存在,则进一步验证是否符合目录服务表中基于所述VPN的策略信息,若符合,则验证通过,将所述VPN成员标识添加到目录服务表中。
5、如权利要求1或2或3所述的方法,其特征在于,所述VPN配置请求消息是删除VPN成员的请求消息,所述VPN配置请求消息包括VPN标识和VPN成员标识,所述步骤(2)具体包括步骤:
验证所述VPN标识与所述VPN成员标识是否存在于目录服务表的一个表项中,若是,则进一步验证所述表项中的策略信息是否允许VPN成员动态退出,若是,则验证通过,删除目录服务表中的所述表项。
6、如权利要求1或2或3所述的方法,其特征在于,所述VPN配置请求消息是修改VPN策略的请求消息,所述VPN配置请求消息包括VPN标识、VPN成员标识和基于CE的策略信息,所述步骤(2)具体包括步骤:
验证所述VPN标识与所述VPN成员标识是否存在于目录服务表的一个表项中,若是,则进一步验证所述表项中的策略信息是否允许VPN成员动态修改VPN策略,若是,则验证通过,将目录服务表的所述表项中基于CE的策略信息更新为所述配置请求消息中的基于CE的策略信息。
7、如权利要求1或2或3所述的方法,其特征在于,所述VPN配置请求消息是修改VPN策略的请求消息,所述VPN配置请求消息包括VPN标识、VPN成员标识和基于VPN的策略信息,所述步骤(2)具体包括步骤:
验证所述VPN标识与所述VPN成员标识是否存在于目录服务表的一个表项中,若是,则进一步验证所述表项中的策略信息是否允许VPN成员动态修改VPN策略,若是,则验证通过,将目录服务表的所述表项中基于VPN的策略信息更新为所述配置请求消息中的基于VPN的策略信息。
8、如权利要求1或2或3所述的方法,其特征在于,进一步包括,客户之间需要建立VPN连接时,发送VPN连接请求消息,所述请求消息中包括VPN标识、源VPN成员标识和目的VPN成员标识,
网络根据所述目录服务表验证所述请求消息,
若验证通过,则建立VPN连接。
9、一种实现VPN配置服务的系统,包括客户边缘设备、网络边缘设备和网络内部设备,其中,一个网络边缘设备与一个或多个客户边缘设备相连,且与其他的网络边缘设备或网络内部设备相连,共同提供VPN服务,其特征在于,还包括目录服务器,所述目录服务器驻留在网络边缘设备或网络内部设备上;或者驻留在网络之外单独的计算机上,所述目录服务器上保存目录服务表,用于验证VPN配置请求消息。
10、如权利要求9所述的系统,其特征在于,所述目录服务器包括验证程序模块、配置程序模块和存储器,其中,
验证程序模块根据所述目录服务表对所述VPN配置请求消息进行验证,若验证通过,则发送配置消息给配置程序模块;
配置程序模块接收到所述配置消息后,更新目录服务表;
所述目录服务表存储于存储器中。
CNA2006100609956A 2006-06-02 2006-06-02 一种实现vpn配置服务的方法和系统 Pending CN101083549A (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CNA2006100609956A CN101083549A (zh) 2006-06-02 2006-06-02 一种实现vpn配置服务的方法和系统
EP07720833.8A EP2012470B1 (en) 2006-06-02 2007-04-18 A method, apparatus, and system implementing the vpn configuration service
PCT/CN2007/001260 WO2007140691A1 (fr) 2006-06-02 2007-04-18 Procédé, appareil, et système de mise en œuvre du service de configuration vpn
CN2007800002556A CN101313534B (zh) 2006-06-02 2007-04-18 一种实现vpn配置服务的方法、装置和系统
US12/276,659 US7933978B2 (en) 2006-06-02 2008-11-24 Method, device and system for implementing VPN configuration service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2006100609956A CN101083549A (zh) 2006-06-02 2006-06-02 一种实现vpn配置服务的方法和系统

Publications (1)

Publication Number Publication Date
CN101083549A true CN101083549A (zh) 2007-12-05

Family

ID=38801056

Family Applications (2)

Application Number Title Priority Date Filing Date
CNA2006100609956A Pending CN101083549A (zh) 2006-06-02 2006-06-02 一种实现vpn配置服务的方法和系统
CN2007800002556A Expired - Fee Related CN101313534B (zh) 2006-06-02 2007-04-18 一种实现vpn配置服务的方法、装置和系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN2007800002556A Expired - Fee Related CN101313534B (zh) 2006-06-02 2007-04-18 一种实现vpn配置服务的方法、装置和系统

Country Status (4)

Country Link
US (1) US7933978B2 (zh)
EP (1) EP2012470B1 (zh)
CN (2) CN101083549A (zh)
WO (1) WO2007140691A1 (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010017755A1 (zh) * 2008-08-15 2010-02-18 华为技术有限公司 Csg信息更新的处理方法、装置以及系统
WO2010037303A1 (zh) * 2008-09-26 2010-04-08 华为技术有限公司 设置用户侧白名单及寻呼用户设备的方法和装置
WO2011035661A1 (zh) * 2009-09-23 2011-03-31 中兴通讯股份有限公司 基于混合接入模式小区的终端身份处理方法和系统
WO2011047587A1 (zh) * 2009-10-20 2011-04-28 中兴通讯股份有限公司 闭合用户组成员的管理方法及装置
CN101296451B (zh) * 2008-06-03 2012-02-29 中兴通讯股份有限公司 一种更新终端的内部用户组列表的方法
CN102474796A (zh) * 2009-07-02 2012-05-23 三菱电机株式会社 访问权限变更方法、核心网络装置、基站以及终端
CN101552954B (zh) * 2008-03-31 2012-07-18 中兴通讯股份有限公司 一种连接状态下用户终端接入封闭用户组小区的控制方法
CN103650434A (zh) * 2011-05-10 2014-03-19 卡斯蒂安芬兰有限公司 物理网络内的虚拟网络
CN106559304A (zh) * 2016-11-15 2017-04-05 乐视控股(北京)有限公司 一种虚拟专用网络的连接配置方法和装置
CN106851614A (zh) * 2011-07-14 2017-06-13 Lg电子株式会社 在无线通信系统中执行成员资格验证或者接入控制的方法和装置
CN112968882A (zh) * 2021-02-03 2021-06-15 南京华鹞信息科技有限公司 一种基于网络功能虚拟化的推演多域网络安全策略的系统和方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100254385A1 (en) * 2009-04-07 2010-10-07 Cisco Technology, Inc. Service Insertion Architecture (SIA) in a Virtual Private Network (VPN) Aware Network
US9497039B2 (en) * 2009-05-28 2016-11-15 Microsoft Technology Licensing, Llc Agile data center network architecture
US8694664B2 (en) * 2010-11-23 2014-04-08 Cisco Technology, Inc. Active-active multi-homing support for overlay transport protocol
WO2013067466A1 (en) * 2011-11-03 2013-05-10 Huawei Technologies Co., Ltd. Border gateway protocol extension for the host joining/leaving a virtual private network
US9398050B2 (en) 2013-02-01 2016-07-19 Vidder, Inc. Dynamically configured connection to a trust broker
CN103281694B (zh) * 2013-06-20 2017-02-08 福建伊时代信息科技股份有限公司 配置文件分发方法和装置
US9548887B2 (en) 2013-08-09 2017-01-17 Cisco Technology, Inc. Proactive creation of multicast state in an overlay transport network to achieve fast convergence on failover
US9331905B1 (en) * 2014-07-10 2016-05-03 Sprint Communication Company L.P. Configuring ethernet elements via ethernet local management interface
US9762545B2 (en) 2014-11-03 2017-09-12 Cisco Technology, Inc. Proxy forwarding of local traffic by edge devices in a multi-homed overlay virtual private network
CN106797346B (zh) * 2014-11-06 2020-09-01 柏思科技有限公司 用于在vpn管理服务器处建立vpn连接的方法和系统
US9954751B2 (en) 2015-05-29 2018-04-24 Microsoft Technology Licensing, Llc Measuring performance of a network using mirrored probe packets
US10469262B1 (en) 2016-01-27 2019-11-05 Verizon Patent ad Licensing Inc. Methods and systems for network security using a cryptographic firewall
US10554480B2 (en) 2017-05-11 2020-02-04 Verizon Patent And Licensing Inc. Systems and methods for maintaining communication links
CN113836143B (zh) * 2021-09-28 2024-02-27 新华三大数据技术有限公司 一种索引创建方法及装置
US11552932B1 (en) * 2022-02-24 2023-01-10 Oversee, UAB Identifying virtual private network servers for user devices

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6434619B1 (en) * 1998-04-29 2002-08-13 Alcatel Canada Inc. Internet-enabled service management system and method
US6693878B1 (en) * 1999-10-15 2004-02-17 Cisco Technology, Inc. Technique and apparatus for using node ID as virtual private network (VPN) identifiers
US7272643B1 (en) * 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US20020144144A1 (en) * 2001-03-27 2002-10-03 Jeffrey Weiss Method and system for common control of virtual private network devices
US7099912B2 (en) 2001-04-24 2006-08-29 Hitachi, Ltd. Integrated service management system
US7197550B2 (en) * 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network
CN1180583C (zh) * 2001-09-03 2004-12-15 华为技术有限公司 一种宽带网络虚拟专用网的实现方法
US7478167B2 (en) * 2002-03-18 2009-01-13 Nortel Networks Limited Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks
FR2847097B1 (fr) * 2002-11-08 2005-04-01 Cit Alcatel Procede pour attribuer a un terminal un identifiant de reseau virtuel; terminal, serveur de configuration dynamique d'un hote, et serveur d'annuaire pour la mise en oeuvre de ce procede
CN100571184C (zh) * 2003-11-27 2009-12-16 华为技术有限公司 一种有服务质量保障的虚拟专用网的实现方法
US8572249B2 (en) * 2003-12-10 2013-10-29 Aventail Llc Network appliance for balancing load and platform services
CN100372340C (zh) * 2004-06-11 2008-02-27 华为技术有限公司 虚拟专用网的实现方法
US20060130135A1 (en) * 2004-12-10 2006-06-15 Alcatel Virtual private network connection methods and systems

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101552954B (zh) * 2008-03-31 2012-07-18 中兴通讯股份有限公司 一种连接状态下用户终端接入封闭用户组小区的控制方法
CN101296451B (zh) * 2008-06-03 2012-02-29 中兴通讯股份有限公司 一种更新终端的内部用户组列表的方法
WO2010017755A1 (zh) * 2008-08-15 2010-02-18 华为技术有限公司 Csg信息更新的处理方法、装置以及系统
CN101651586B (zh) * 2008-08-15 2012-04-04 华为技术有限公司 Csg信息更新的处理方法、装置以及系统
WO2010037303A1 (zh) * 2008-09-26 2010-04-08 华为技术有限公司 设置用户侧白名单及寻呼用户设备的方法和装置
CN101686437B (zh) * 2008-09-26 2013-03-20 华为技术有限公司 设置用户侧白名单及寻呼用户设备的方法和装置
US8315600B2 (en) 2008-09-26 2012-11-20 Huawei Technologies Co., Ltd. Method and device for setting user-side white list and paging user equipment
CN102474796A (zh) * 2009-07-02 2012-05-23 三菱电机株式会社 访问权限变更方法、核心网络装置、基站以及终端
US8737302B2 (en) 2009-09-23 2014-05-27 Zte Corporation Method and system for processing terminal membership based on hybrid access mode cell
WO2011035661A1 (zh) * 2009-09-23 2011-03-31 中兴通讯股份有限公司 基于混合接入模式小区的终端身份处理方法和系统
CN102045895A (zh) * 2009-10-20 2011-05-04 中兴通讯股份有限公司 闭合用户组成员的管理方法及装置
WO2011047587A1 (zh) * 2009-10-20 2011-04-28 中兴通讯股份有限公司 闭合用户组成员的管理方法及装置
CN103650434A (zh) * 2011-05-10 2014-03-19 卡斯蒂安芬兰有限公司 物理网络内的虚拟网络
CN103650434B (zh) * 2011-05-10 2018-05-15 空中客车防卫及太空有限公司 用于支持物理网络内的虚拟网络的方法、系统和设备
CN106851614A (zh) * 2011-07-14 2017-06-13 Lg电子株式会社 在无线通信系统中执行成员资格验证或者接入控制的方法和装置
CN106851614B (zh) * 2011-07-14 2020-07-07 Lg电子株式会社 在无线通信系统中执行成员资格验证或者接入控制的方法和装置
CN106559304A (zh) * 2016-11-15 2017-04-05 乐视控股(北京)有限公司 一种虚拟专用网络的连接配置方法和装置
CN112968882A (zh) * 2021-02-03 2021-06-15 南京华鹞信息科技有限公司 一种基于网络功能虚拟化的推演多域网络安全策略的系统和方法

Also Published As

Publication number Publication date
US20090083403A1 (en) 2009-03-26
EP2012470A4 (en) 2009-05-13
EP2012470A1 (en) 2009-01-07
CN101313534A (zh) 2008-11-26
US7933978B2 (en) 2011-04-26
WO2007140691A1 (fr) 2007-12-13
CN101313534B (zh) 2011-11-02
EP2012470B1 (en) 2016-08-17

Similar Documents

Publication Publication Date Title
CN101083549A (zh) 一种实现vpn配置服务的方法和系统
CN1813454B (zh) 无线通信网络上的移动单元会话管理的系统和方法
US8295204B2 (en) Method and system for dynamic assignment of network addresses in a communications network
JP2000270025A (ja) 仮想私設網構築システム
US8346940B2 (en) Method and system for provisioning customer premises equipment
KR20120052981A (ko) 적어도 하나의 가상 네트워크를 온더플라이 및 온디맨드 방식으로 배치하는 방법 및 시스템
US8442053B2 (en) Establishing connection across a connection-oriented telecommunications network in response to a connection request from a second telecommunications network
JP4628938B2 (ja) データ通信システム、端末装置およびvpn設定更新方法
CN101179603A (zh) IPv6网络中用于控制用户网络接入的方法和装置
US20100299414A1 (en) Method of Configuring Routers Using External Servers
CN101296111B (zh) 自动实现管理设备和被管理设备链接的方法及系统
CN113852883B (zh) Fttr场景下的光网设备认证和配置管理方法和系统
US20020156925A1 (en) Gateway system and integrated management method
JP3394727B2 (ja) ネットワーク間通信方法及びその装置
CN116016164A (zh) 一种基于软件定义网络的虚拟业务网络构建方法
CN106603435A (zh) 分配端口块资源的方法及装置
US6889258B1 (en) Automatic compiling of address filter information
US5920567A (en) Network related information transfer method for a connection device, and a data communication system
CN111835879B (zh) 一种基于dhcp relay协议的报文处理方法及中继设备
CN101237442B (zh) 一体化网络中终端标识解析和业务传输方法、系统及装置
CN105337766A (zh) 一种基于dhcp协议的网元自动发现方法及系统
WO2023273877A1 (zh) 基于自动开通系统的网元配置方法、系统、设备和存储介质
US7181535B1 (en) Addressing method and name and address server in a digital network
CN101909021A (zh) Bgp网关设备及利用该设备实现通断网关功能的方法
CN115643232A (zh) 一种车辆终端网络通讯链路控制方法、装置及电子设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication