CN101132330A - 一种移动虚拟专用网用户接入系统和方法 - Google Patents
一种移动虚拟专用网用户接入系统和方法 Download PDFInfo
- Publication number
- CN101132330A CN101132330A CNA2007101237283A CN200710123728A CN101132330A CN 101132330 A CN101132330 A CN 101132330A CN A2007101237283 A CNA2007101237283 A CN A2007101237283A CN 200710123728 A CN200710123728 A CN 200710123728A CN 101132330 A CN101132330 A CN 101132330A
- Authority
- CN
- China
- Prior art keywords
- users
- mobile virtual
- dedicated network
- virtual dedicated
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种移动虚拟专用网用户接入系统和方法,引入了基于VRF的NAT技术,将VRF扩展到了NAT转换规则之中,实现了不同VPN空间的私有地址通过NAT技术,统一转换成全局的公有地址,然后直接由GGSN转发至Internet,大大缩短了移动VPN用户到达Internet的路径,提高了转发效率。同时,移动虚拟专用网用户访问企业网的流量仍然按照VPN的隧道通往企业网。采用本发明,可以很好的将移动虚拟专用网用户访问Internet的流量和访问企业网的流量进行分流,对于业务QOS的保证也是有利的,不至于由于一种业务流量的增大而影响另外一种业务的传输质量。
Description
技术领域
本发明涉及一种将3G(第三代移动通信)移动VPN(Virtual PrivateNetwork,虚拟专用网)用户通过核心网GGSN(Gateway GPRS Support Node,网关GPRS支持节点)设备接入Internet或者企业网的系统和方法,尤其涉及3G核心网中的GGSN设备通过NAT(Newwork Address Translation,网络地址转换)和VRF(Virtual Routing Forwarding,虚拟路由转发)技术将移动用户接入到Internet。
背景技术
随着3G网络技术的不断发展和业务的不断增强,使用3G网络的将不再仅限于个人用户,以后将会有越来越多的企业用户利用3G网络开展他们自己的业务,享受3G带给他们的方便与快捷。企业用户与个人用户的差别在于,企业用户对数据的私密性和安全性要求较高,而且企业用户获取到的IP地址往往是企业内部地址,无法直接在公网上传输。因此,对于核心网设备,都会采用VPN技术将企业用户接入到外部的分组交换网络,这些企业用户也就相应地称之为VPN用户。
移动用户通过GGSN设备接入外部的Internet,通常的做法有下面两种方式。
一种方式是针对普通移动用户,可以通过GGSN设备分配的IP地址来访问Internet。如果分配的是公网地址,则可以直接访问;如果分配的是私网地址,可以通过一次NAT转换,将用户地址转换成公网地址后再访问Internet;
另外一种方式就是针对VPN用户的,通用的做法就是将VPN用户先通过GGSN接入到企业网内部,然后再由企业网的内部网关将其接入到Internet。使用这种方式,VPN用户的所有流量都必须经过企业网,由企业网再来负责转发。
上面两种方式都各自存在缺陷,并且具有局限性。
对于第一种方式,针对的仅仅是普通用户,不适用于VPN用户;
对于第二种方式,有以下三个方面的缺陷和不足。
第一方面,由于VPN用户的所有报文都通过了企业网,加大了企业网的内部网络负荷;
第二方面,这种VPN用户访问Internet的方式,实际上经过了两层网关设备,一层是移动网的网关GGSN,一层是固定网的网关。中间转发设备过多,对用户访问Internet的速率会有一定程度的下降,效率比较低;
第三方面,如果企业网本身不具备到达Internet的出口,则这些移动VPN用户也无法通过企业网来访问Internet。
发明内容
本发明解决的技术问题是提供一种移动虚拟专用网用户接入系统和方法,能够将移动虚拟专用网用户通过GGSN设备快速高效的接入到Internet或者企业网。
本发明提出的移动虚拟专用网用户接入系统,包括:移动虚拟专用网用户、GGSN设备、企业网关;其中,
移动虚拟专用网用户用于向GGSN设备发起接入请求;
GGSN设备用于接收移动虚拟专用网用户的访问企业网接入请求,并将移动虚拟专用网用户经由GGSN设备和企业网关接入企业网;
GGSN设备用于接收移动虚拟专用网用户的访问Internet接入请求,并实现不同VPN空间的移动虚拟专用网用户私有地址与全局的公有地址之间转换,将移动虚拟专用网用户经由GGSN设备接入Internet。
优选的,所述GGSN设备中包括:网络地址转换模块和虚拟路由转发模块,所述网络地址转换模块用于实现移动虚拟专用网用户私有地址与全局的公有地址之间的网络地址转换,所述虚拟路由转发模块用于处理移动虚拟专用网用户的在转发时的虚拟路由查找。
本发明提出的移动虚拟专用网用户接入方法,包括以下处理过程:
1)在GGSN设备上设置各移动虚拟专用网用户的VRF,配置NAT转换使用的全局公有地址池,配置基于VRF的NAT转换规则,为不同VRF空间的移动虚拟专用网用户私有地址指定全局公有地址池;
2)移动虚拟专用网用户发送上行报文到GGSN设备的,GGSN设备判断报文访问类型:
若所述报文访问类型是访问企业网的报文,则根据Gi口配置的VPN隧道将该报文转发至企业网关,由企业网关将报文接入企业网;
若所述报文方位类型是访问Internet的报文,则根据设置的基于VRF的NAT转换规则将进行地址转换,并将转换后的报文路由到Internet;
3)GGSN设备收到网络侧发来的下行报文,则GGSN设备判断所述下行报文的目的地址类型:
若所述目的地址为移动虚拟专用网用户私有地址,则转发报文到对应的移动虚拟专用网用户;
若目的地址为公有地址池地址,则将地址转换为VRF空间的移动虚拟专用网用户私有地址后将报文转发到移动虚拟专用网用户。
优选的,GGSN设备进行地址转换后,将移动虚拟专用网用户的各条业务流信息存储在一个映射表中,并通过检索该映射表完成报文的转发或路由。
优选的,每个移动虚拟专用网用户存在多条业务流时,在所述映射表中将属于同一移动虚拟专用网用户的映射条目形成双向链表。
本发明引入了基于VRF的NAT技术,将VRF扩展到了NAT转换规则之中,实现了不同VPN空间的私有地址通过NAT技术,统一转换成全局的公有地址,然后直接由GGSN转发至Internet,大大缩短了移动VPN用户到达Internet的路径,提高了转发效率。同时,VPN用户访问企业网的流量仍然按照VPN的隧道通往企业网。
采用本发明的方案,也可以很好的将VPN用户访问Internet的流量和访问企业网的流量进行分流,对于业务QOS的保证也是有利的,不至于由于一种业务流量的增大而影响另外一种业务的传输质量。
附图说明
图1是本发明的移动VPN用户接入系统原理图;
图2是本发明的GGSN中保存的VRF和NAT动态映射关系的结构示意图;
图3是本发明的实现流程图。
具体实施方式
本发明主要包括两种技术:NAT和VRF,以及这两种技术的融合。
NAT:网络地址转换。由于VPN用户分配得到的地址是VPN网络内部的地址,或者是VPN私有空间地址,这些地址无法直接在Internet上传输,因此,需要在GGSN上运行NAT转换,将该地址转换成可以在Internet上传输的公网地址;
VRF:虚拟路由转发。VRF是GGSN设备区别不同VPN用户的虚拟路由转发标识,每种标识代表了一个完全独立的路由空间,不同VRF具有完全独立的路由表和地址空间。正是由于这种技术,GGSN才得以将不同的VPN用户转发至不同的VPN网络。
NAT和VRF的融合:在GGSN上综合运用NAT和VRF,将二者融合,是本发明的创新点。这两种技术的融合,是将VPN用户快速高效地接入Internet的核心技术所在。为了实现NAT和VRF的融合,需要将VRF引入到NAT的转换规则中,使得NAT转换在VRF空间内完成。同时,在公有地址转换回私有地址的时候,私有地址也是和VRF相关的,可以支持不同VRF空间内的私有地址重叠。
对于VPN用户,可以在GGSN设备内完成NAT转换后直接接入到Internet,无需再通过企业网络转发至Internet。GGSN设备完成NAT转换,为不同VPN用户制定相应的VRF-NAT转换规则,分配公共的外部地址网段,这样,不同VPN用户的VRF私有地址通过统一的NAT转换,被转换成地址池内的公有地址,然后被发送到Internet上进行传输。每一次NAT转换,GGSN设备都会保留对应的动态转换数据,该动态转换数据中保存有VRF信息,这样,当报文由Internet通过GGSN回VPN用户时,GGSN能够找到该VPN用户的VRF私有地址,并将其替代Internet公有地址,并转发回VPN用户。通过这种双向转换,使得VPN用户可以直接通过GGSN快速而高效地接入Internet,而无需再通过企业网转发至Internet。而且不同VPN用户使用的公有地址对于不同VRF空间是公用的,并不需要专属于某VRF空间的专用公网地址,大大节省了公网地址池资源。
采用这种技术方案,不仅VPN用户可以直接通过GGSN访问Internet,而且VPN用户访问企业网的流量仍然可以通过原有的VPN隧道技术进行访问,二者互不冲突,而且互为补充。
下面结合附图对本发明的技术方案的实施作进一步的详细描述。
本发明提供的移动VPN用户接入系统原理图如图1所示。主要包括两部分的组网,一部分是GGSN直接和Internet进行互连,一部分是GGSN和企业网关之间的互连。对于VPN用户访问Internet的流量,可以直接使用本发明所提供的方案,从GGSN直接连接到Internet的出口来访问Internet;对于VPN用户访问本企业网的流量,仍然按照Gi口配置的VPN隧道来进行互连互通。这种组网包括以下组件:
移动VPN用户101:移动终端,负责发起分组域数据业务;
GGSN设备102:GPRS网关支持节点,是将移动VPN用户接入到Internet的主处理设备;
企业网关103:部署在企业网边界的网络设备,是移动VPN用户访问企业网的VPN隧道的终点。移动VPN用户访问企业网的流量全部需要经过企业网关。
本发明的GGSN中保存的VRF和NAT动态映射关系的结构示意图如图2所示,包括:
网络地址转换模块(NAT模块)201和虚拟路由转发模块(VRF模块)202,网络地址转换模块用于实现移动虚拟专用网用户私有地址与全局的公有地址之间的网络地址转换;虚拟路由转发模块用于处理移动虚拟专用网用户的在转发时的虚拟路由查找。
通过将NAT模块和VRF模块的有效结合,在GGSN中形成图2中描述的映射表,每个VPN用户的每条业务流对应一个映射条目,映射条目中包含VRF ID,用于指示该业务流归属于哪个VPN空间。该映射表是一个全局的资源表项,同时,由于每个VPN用户存在多条业务流,为了快速的对用户的业务流转发进行索引,属于同一个VPN用户的映射条目形成双向链表,这样,当某一个用户去激活以后,也可以很快的释放VRF相关的NAT映射资源。
本发明的实现流程图如图3所示。
步骤1:GGSN处理完成移动VPN用户的激活流程。该流程完成以后,用户成功获取到VPN空间内的私有地址;
步骤2:移动VPN用户开始访问Internet,或者访问企业网资源,GGSN接收到用户发上来的数据报文;
步骤3:GGSN判断用户数据报文是上行报文还是下行报文,因为对于GGSN来说,处理数据报文的流程是统一的,需要分开上行和下行处理;
步骤4:如果是上行报文,则继续判断该报文是访问Internet的报文,还是访问企业网的报文?可以通过VRF路由进行查找和判断;
步骤5:如果判断是发给企业网的报文,则根据Gi口配置的VPN隧道将该报文转发至企业网关,本流程结束;
步骤6:如果判断是到达Internet的报文,GGSN根据配置的VRF-NAT转换规则对该用户的业务流进行地址转换;
步骤7:GGSN记录本次转换的动态转换数据;
步骤8:GGSN将转换后的报文直接路由到Internet,本次流程结束;
步骤9:如果从步骤3中判断出是下行报文,则判断收到的下行报文的目的地址是否属于全局NAT的公有地址池地址?
步骤10:如果是属于全局NAT的公有地址池地址,表示该报文需要转换回VRF私有地址。GGSN查找动态映射表,查找到VRF私有地址并进行转换;
步骤11:将转换后的报文走正常的下行流程转发至移动VPN用户。如果从步骤9中查找出的目的地址不属于全局NAT的公有地址池地址,表示不需要经过NAT转换,也是走正常的下行流程转发至移动VPN用户。本次流程结束。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (5)
1.一种移动虚拟专用网用户接入系统,包括:移动虚拟专用网用户、GGSN设备、企业网关,其特征在于,
移动虚拟专用网用户用于向GGSN设备发起接入请求;
GGSN设备用于接收移动虚拟专用网用户的访问企业网接入请求,并将移动虚拟专用网用户经由GGSN设备和企业网关接入企业网;
GGSN设备用于接收移动虚拟专用网用户的访问Internet接入请求,并实现不同VPN空间的移动虚拟专用网用户私有地址与全局的公有地址之间转换,将移动虚拟专用网用户经由GGSN设备接入Internet。
2.根据权利要求1所述的移动虚拟专用网用户接入系统,其特征在于,所述GGSN设备中包括:网络地址转换模块和虚拟路由转发模块,所述网络地址转换模块用于实现移动虚拟专用网用户私有地址与全局的公有地址之间的网络地址转换,所述虚拟路由转发模块用于处理移动虚拟专用网用户的在转发时的虚拟路由查找。
3.一种移动虚拟专用网用户接入方法,其特征在于,所述方法包括以下处理过程:
1)在GGSN设备上设置各移动虚拟专用网用户的VRF,配置NAT转换使用的全局公有地址池,配置基于VRF的NAT转换规则,为不同VRF空间的移动虚拟专用网用户私有地址指定全局公有地址池;
2)移动虚拟专用网用户发送上行报文到GGSN设备的,GGSN设备判断报文访问类型:
若所述报文访问类型是访问企业网的报文,则根据Gi口配置的VPN隧道将该报文转发至企业网关,由企业网关将报文接入企业网;
若所述报文方位类型是访问Internet的报文,则根据设置的基于VRF的NAT转换规则将进行地址转换,并将转换后的报文路由到Internet;
3)GGSN设备收到网络侧发来的下行报文,则GGSN设备判断所述下行报文的目的地址类型:
若所述目的地址为移动虚拟专用网用户私有地址,则转发报文到对应的移动虚拟专用网用户;
若目的地址为公有地址池地址,则将地址转换为VRF空间的移动虚拟专用网用户私有地址后将报文转发到移动虚拟专用网用户。
4.根据权利要求3所述的移动虚拟专用网用户接入方法,其特征在于,GGSN设备进行地址转换后,将移动虚拟专用网用户的各条业务流信息存储在一个映射表中,并通过检索该映射表完成报文的转发或路由。
5.根据权利要求4所述的移动虚拟专用网用户接入方法,其特征在于,每个移动虚拟专用网用户存在多条业务流时,在所述映射表中将属于同一移动虚拟专用网用户的映射条目形成双向链表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101237283A CN101132330A (zh) | 2007-09-29 | 2007-09-29 | 一种移动虚拟专用网用户接入系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101237283A CN101132330A (zh) | 2007-09-29 | 2007-09-29 | 一种移动虚拟专用网用户接入系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101132330A true CN101132330A (zh) | 2008-02-27 |
Family
ID=39129462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101237283A Pending CN101132330A (zh) | 2007-09-29 | 2007-09-29 | 一种移动虚拟专用网用户接入系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101132330A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101600196B (zh) * | 2008-06-04 | 2011-09-14 | 华为技术有限公司 | 一种数据通道建立方法及通讯系统以及相关设备 |
| CN102244899A (zh) * | 2010-05-13 | 2011-11-16 | 中兴通讯股份有限公司 | 一种在接入网对互联网访问数据进行分流的方法及装置 |
| CN104254147A (zh) * | 2013-06-25 | 2014-12-31 | 中国移动通信集团广东有限公司 | 一种会话控制方法、装置和gprs网关控制节点ggsn |
| CN104579900A (zh) * | 2015-02-13 | 2015-04-29 | 小米科技有限责任公司 | Vpn切换方法和装置 |
| CN105992277A (zh) * | 2015-02-03 | 2016-10-05 | 中国移动通信集团广东有限公司 | 一种流量引导的方法、装置及通讯设备 |
| CN108063712A (zh) * | 2016-11-09 | 2018-05-22 | 北京国双科技有限公司 | 一种网络请求的发送方法及装置 |
| TWI648968B (zh) * | 2017-08-15 | 2019-01-21 | 智易科技股份有限公司 | 遠端網路連線系統及其接取設備及其連線方法 |
| CN110290044A (zh) * | 2019-06-26 | 2019-09-27 | 普联技术有限公司 | 一种vpn网络和主干网络的分流方法、装置及存储介质 |
| CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
-
2007
- 2007-09-29 CN CNA2007101237283A patent/CN101132330A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101600196B (zh) * | 2008-06-04 | 2011-09-14 | 华为技术有限公司 | 一种数据通道建立方法及通讯系统以及相关设备 |
| US9113365B2 (en) | 2010-05-13 | 2015-08-18 | Zte Corporation | Method and apparatus for offloading Internet data in access network |
| CN102244899A (zh) * | 2010-05-13 | 2011-11-16 | 中兴通讯股份有限公司 | 一种在接入网对互联网访问数据进行分流的方法及装置 |
| CN102244899B (zh) * | 2010-05-13 | 2015-08-12 | 中兴通讯股份有限公司 | 一种在接入网对互联网访问数据进行分流的方法及装置 |
| CN104254147A (zh) * | 2013-06-25 | 2014-12-31 | 中国移动通信集团广东有限公司 | 一种会话控制方法、装置和gprs网关控制节点ggsn |
| CN105992277B (zh) * | 2015-02-03 | 2019-07-05 | 中国移动通信集团广东有限公司 | 一种流量引导的方法、装置及通讯设备 |
| CN105992277A (zh) * | 2015-02-03 | 2016-10-05 | 中国移动通信集团广东有限公司 | 一种流量引导的方法、装置及通讯设备 |
| CN104579900A (zh) * | 2015-02-13 | 2015-04-29 | 小米科技有限责任公司 | Vpn切换方法和装置 |
| CN108063712A (zh) * | 2016-11-09 | 2018-05-22 | 北京国双科技有限公司 | 一种网络请求的发送方法及装置 |
| CN108063712B (zh) * | 2016-11-09 | 2021-01-08 | 北京国双科技有限公司 | 一种网络请求的发送方法及装置 |
| TWI648968B (zh) * | 2017-08-15 | 2019-01-21 | 智易科技股份有限公司 | 遠端網路連線系統及其接取設備及其連線方法 |
| CN110290044A (zh) * | 2019-06-26 | 2019-09-27 | 普联技术有限公司 | 一种vpn网络和主干网络的分流方法、装置及存储介质 |
| CN110290044B (zh) * | 2019-06-26 | 2021-08-06 | 普联技术有限公司 | 一种vpn网络和主干网络的分流方法、装置及存储介质 |
| CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101132330A (zh) | 一种移动虚拟专用网用户接入系统和方法 | |
| CN102484639B (zh) | 用于多个nat64环境的方法和主机节点 | |
| CN100384172C (zh) | 基于网络的虚拟专用网中保证服务质量的系统及其方法 | |
| RU2302035C2 (ru) | Трехуровневая виртуальная сеть vpn и способ ее построения | |
| US8958423B2 (en) | Implementing a multicast virtual private network by using multicast resource reservation protocol-traffic engineering | |
| CN101616014B (zh) | 一种实现跨虚拟专用局域网组播的方法 | |
| CN100563190C (zh) | 实现层级化虚拟私有交换业务的方法及系统 | |
| US8416787B2 (en) | Method, system and apparatus for implementing L2VPN between autonomous systems | |
| CN101052022B (zh) | 一种虚拟专用网用户访问公网的系统和方法 | |
| CN100505674C (zh) | 一种虚拟专用网内的报文转发方法、系统和边缘设备 | |
| WO2012106919A1 (zh) | 一种三层虚拟专有网路由控制方法、装置及系统 | |
| US20130201990A1 (en) | Method and system of accessing network for access network device | |
| CN101461198A (zh) | 中继网络系统及终端适配装置 | |
| CN100393062C (zh) | 将核心网接入多协议标记交换虚拟专用网的方法 | |
| CN102971994A (zh) | 在rsvp-te中的不同会话之间共享资源保留 | |
| WO2008011818A1 (fr) | Procédé de fourniture d'un service réseau local privé virtuel à hiérarchie et système réseau | |
| CN100559772C (zh) | 混合型虚拟私有网络系统和骨干网边缘设备及其配置方法 | |
| CN100518138C (zh) | 实现虚拟专用网的方法 | |
| CN104283782B (zh) | 多协议标签交换网络中确定报文转发路径的方法和装置 | |
| CN101083598A (zh) | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 | |
| CN100373892C (zh) | 一种可路由的虚交换方法 | |
| CN101635684A (zh) | 一种实现业务流分类的方法和系统 | |
| CN103269300B (zh) | 一种实现异构网络互联的方法和设备 | |
| CN1516401A (zh) | 基于虚拟局域网的实现多角色主机的方法 | |
| WO2007093095A1 (fr) | Procédé pour mettre en oeuvre l'acheminement de messages mpls et équipement correspondant |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080227 |