CN102025589A - 虚拟专用网络的实现方法及系统 - Google Patents
虚拟专用网络的实现方法及系统 Download PDFInfo
- Publication number
- CN102025589A CN102025589A CN2009101765298A CN200910176529A CN102025589A CN 102025589 A CN102025589 A CN 102025589A CN 2009101765298 A CN2009101765298 A CN 2009101765298A CN 200910176529 A CN200910176529 A CN 200910176529A CN 102025589 A CN102025589 A CN 102025589A
- Authority
- CN
- China
- Prior art keywords
- vpn
- main frame
- mapping
- network
- special
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明虚拟专用网络的实现方法,基于身份位置分离网络实现,该方法包括:A、身份位置分离网络的映射平面设置虚拟专用网络(VPN)的VPN专用映射表和普通映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;所述普通映射表包括普通端主机身份标识与位置标识的映射关系;B、所述映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。本发明虚拟专用网络的实现该方法及系统,以在身份位置分离网络方便地实现虚拟专用网络。
Description
技术领域
本发明涉及身份位置分离技术,尤其涉及虚拟专用网络在身份位置分离网络的实现方法及系统。
背景技术
关于下一代信息网络架构的研究是当前最热门的课题之一。这些研究课题的基本方向是以话音业务为代表的电信网、以视频业务为代表的电视网和以数据业务为代表的互联网进行业务上的无缝地融合为目的,以网络承载IP化为特点,典型的实例如提供语音业务的VOIP(Voice over Internet Protocol,IP电话)网络和提供电视业务的IPTV网络、以IP核心网络承载的3G移动通信网络、以及大量对于超3G或者4G网络的研究项目等。
4G是第4代移动通信系统的简称,4G的目标是为语音、数据和流媒体业务提供一个基于IP承载网络的解决方案,使用户可以在“任何时间、任何地点、任何业务”获得一个更高速的通信环境。
NGN(Next Generation Network,下一代网络)是建立在电信网基础上的下一代网络,旨在建立一个统一的基于IP分组交换的传输层面。在统一的传输层面上各种应用程序的开发可以独立于具体的传输技术,扩展了应用程序的应用范围。
由于目前IP分组承载网是以IPv4为基础发展而来,IP技术最早产生于美国,因此美国等发达国家拥有大量的IPv4地址,相反给人口众多的发展中国家分配的IP地址很少,导致发展中国家的IP分组承载网络以及各种通信网络的发展受制于IP地址的缺乏,比如目前我国的互联网用户已经超过了我国拥有的IPv4地址数,而且我国的网络用户数还在高速增加,不得不使用其他技术和设备来增加IP地址的重复使用,因此IP地址空间不够的问题严重的困扰我国未来IP承载网络和通信网络的发展。解决这个问题最理想的方法是使用IPV6,但是这种彻头彻尾的网络架构技术的改变,导致重新建设IPv6的承载网络需要付出巨大的建设费用,以及需要更换数以亿计的终端,代价高昂,可见这不是一个适合当前的方案。
由以上技术回顾可以看出,由于技术基础、利益背景等差异造成了下一代网络架构的研究重点和方向选择有很大区别,但是面临的问题和困难是相同的。
3G和4G是无线通信领域对下一代网络的研究核心,旨在基于全IP分组核心网提高无线移动通信的质量;NGN和NGI(Next-Generation Internet,下一代互联网)分别是电信网和互联网领域对下一代网络融合的研究;CNGI(China′s Next Generation Internet,中国下一代互联网)旨在构建基于IPv6的下一代互联网;北方交大的“一体化可信网络与普适服务体系基础研究”希望能构建统一的新分组网络。虽然各种研究存在很大差异,但是各种研究普遍接受的观点是:未来网络是基于分组的统一承载网络。因此研究下一代网络构架将以互联网为主要参考对象。互联网从其诞生以来一直保持高速发展,已成为当前最成功、最具生命力的通信网络,其灵活可扩展性、高效的分组交换、终端强大的功能等特点非常符合新一代网络的设计需要,互联网将是新一代网络设计的主要参考蓝本。然而,互联网的结构还远远没有达到最优,存在很多重大的设计问题。除上述IP地址空间无法满足应用需要外,还主要表现在以下方面:
互联网发明于二十世纪七十年代,人们难以预计今天世界上将存在大量的移动终端和多家乡终端,因此当时的互联网协议栈主要是针对以“固定”方式连接的终端而设计。在当时的网络环境下,由于终端基本上不会从一个位置移动到其它位置,发送的地址就是接收的地址,路经是可逆的,所以具有身份和位置双重属性的IP地址能够非常好的工作,IP地址的身份属性与位置属性之间没有产生任何冲突。IP地址同时代表身份和位置恰恰满足了当时的网络需求。从当时的网络环境来看,这种设计方案简单有效,简化了协议栈的层次结构。但毋庸置疑的是,IP地址的身份属性与位置属性之间存在着内部矛盾。IP地址的身份属性要求任意两个IP地址都是平等的,虽然IP地址可以按照组织机构进行分配,但是连续编码的IP地址之间没有必然的关系,或者至少在拓扑位置上没有必然的关系;IP地址的位置属性则要求IP地址基于网络拓扑(而不是组织机构)进行分配,处于同一个子网内的IP地址都应该处于一个连续的IP地址块中,这样才可以使网络拓扑中的IP地址前缀聚合,从而减少路由器设备的路由表的条目,保证路由系统的可扩展性。
伴随着网络规模和技术的发展,一些动态分配IP地址的技术逐步出现,如动态主机配置协议(DHCP,Dynamic Host Configuration Protocol),这就开始打破IP地址唯一表示一个终端的假定。私有IP地址空间的使用和网络地址转换(NAT,Network Address Translator)技术的诞生使得情况继续恶化。在这种情况下同时具有身份属性与位置属性的IP地址将难以继续胜任它的角色,IP地址的双重属性问题已经凸显出来。除了技术层面的需求发生了显著变化以外,互联网的用户状况也已经发生了巨大的改变。在互联网诞生之后的最初几年中,互联网基本上被一些处于共同团体且相互信任的人员使用,传统互联网协议栈也是基于此种假设而设计的;而目前的互联网用户则是鱼龙混杂,人们难以继续互相信任。在这种情况下,缺乏内嵌安全性机制的互联网也需要发生变革。
总的来说,IP地址双重属性的内在矛盾将导致如下主要问题:
1.路由可扩展问题。
关于互联网路由系统的可扩展性存在一个基本的假定:
“地址按照拓扑进行分配,或者拓扑按照地址进行部署,二者必选其一”。IP地址的身份属性要求IP地址基于终端所属的组织机构(而不是网络拓扑)进行分配,而且这种分配要保持一定的稳定性,不能经常改变;而IP地址的位置属性要求IP地址基于网络拓扑进行分配,以便保证路由系统的可扩展性。这样,IP地址的两种属性就产生了冲突,最终引发了互联网路由系统的可扩展问题。
2.移动性问题。IP地址的身份属性要求IP地址不应该随着终端位置的改变而变化,这样才能够保证绑定在身份上的通信不中断,也能够保证终端在移动后,其它终端仍能够使用它的身份与之建立通信联系;而IP地址的位置属性则要求IP地址随着终端位置的改变而改变,以便IP地址能够在新的网络拓扑中聚合,否则网络就必须为移动后的终端保留单独的路由信息,从而造成路由表条目的急剧增长。
3.多家乡问题。多家乡通常指终端或网络同时通过多个ISP (InternetService Provider,因特网服务提供商)的网络接入到互联网。多家乡技术的优点包括增加网络的可靠性、支持多个ISP之间的流量负载均衡和提高总体可用带宽等。但是,IP地址双重属性的内在矛盾使得多家乡技术难以实现。IP地址的身份属性要求一个多家乡终端始终对其它终端展现不变的身份,无论该多家乡终端是通过几个ISP接入到互联网;而IP地址的位置属性则要求一个多家乡终端在不同的ISP网络中使用不同的IP地址通信,这样才能保证终端的IP地址能够在ISP网络的拓扑中聚合。
4.安全和位置隐私问题。由于IP地址同时包含终端的身份信息和位置信息,所以通信对端和恶意窃听者都可以根据一个终端的IP地址同时获得该终端的身份信息和拓扑位置信息。总的来说,自从传统互联网的体系结构建立以来,互联网的技术环境和用户群体都已经发生了翻天覆地的变化,互联网需要随之进行革新。IP地址的双重属性问题是困扰互联网继续发展的根本原因之一,将IP地址的身份属性和位置属性进行分离,是解决互联网所面临问题的一个很好的思路。新网络将基于这种思路进行设计,提出一种身份信息与位置信息分离映射的网络结构,以解决现有互联网存在的一些严重弊端。
为了解决身份和位置的问题,业界进行了大量的研究和探索,所有身份与位置分离方案的基本思想都是将原本绑定在IP地址上的身份与位置双重属性分离。其中,有些方案采用应用层的URL(统一资源定位符UniformResource Locator,URL是用于完整地描述Internet上网页和其他资源的地址的一种标识方法。)或FQDN(合格域名Fully Qualified Domain Name)作为终端的身份标识,如IPNL(IP Next Layer,属于NAT扩展架构的方式)、TRIAD(A Scalable Deployable NAT-based Internet Architecture)等;有些方案引入了新的名字空间作为身份标识,如HIP(Host Identity Protocol)在以IP地址为标识网络层上增加主机标识;有些方案将IP地址进行分类,部分IP作为身份标识,部分IP作为位置标识,如LISP(Locator/ID SeparationProtocol)等;公开于2006年7月12日的中国专利申请CN1801764,是由北方交通大学张宏科等人申请的“一种基于身份与位置分离的互联网接入方法”,该方法使用IP地址作为主机的位置标识,引入端主机标识作为身份标识解决身份和位置分离的问题。在上述这些解决方案中基于主机的解决方案需要对主机协议栈进行修改,比如HIP;基于网络的解决方案则需要对特定位置的路由器进行改进。而且,同样作为基于网络的解决方案,完成身份与位置映射功能的路由器在网络中所处的位置也不尽相同。有的方案明确完成映射功能的路由器位于用户网络的边界,即映射功能路由器属于用户网络;有的(LISP、TIDR和Ivip)没有限定完成映射功能的路由器在网络中所处的位置;有的明确解决路由可扩展问题以及保证身份与位置的映射信息只有网络管理者能够获知,严格限定了完成映射功能的路由器为核心网接入路由器,即映射功能路由器属于核心网络。在身份标识与位置标识同时位于网络层的解决方案中,如LISP,存在是否严格按照网络拓扑的划分将身份与位置完全分离的设计区别。目前版本的LISP协议要求网络在没有提供映射解析服务之前,必须利用终端标识EID(Endpoint Identifier)将第一个数据包路由到对端,以便使通信双方的隧道路由器学习到路由位置标识RLOC(Routing Locators)和终端标识EID的映射关系,这就使得网络至少要有部分路由节点同时保留基于路由位置标识RLOC和终端标识EID的路由条目,从而影响了LISP解决路由可扩展性问题的能力。
各种身份与位置分离方案提出的初衷不尽相同,因此最终实现的功能也各有差异。IPNL的设计目的是为了使IPv4网络获得更长寿命,避免IPv6协议替换IPv4协议所引发的全面更新换代的难题。TRIAD的设计目的是解决NAT给互联网带来的各种问题,同时对移动性和策略路由等提供一定的支持。HIP最初提出是为了解决安全性问题,之后在移动性支持上面做了大量工作,并且进行了多家乡支持的研究。SHIM6(Level 3Shim for IPv6)是主要为了解决IPv6网络能够支持多家乡问题而提出的。LIN6(LocationIndependent Networking for IPv6)的设计目的是为IPv6协议提出一种可供选择的移动性和多家乡解决方案。ILNP的设计目标是提供一种能够解决移动性和多家乡问题的IPv6扩展机制。GSE试图改变IPv6地址的结构,从而控制全球路由表条目的增长并更灵活的支持多家乡技术。TIDR的设计目标是增强现有互联网的路由和转发功能,解决全局路由表膨胀、域间路由的安全性以及多家乡等问题。LISP主要针对路由可扩展性问题而设计。
上述的提案和方案都从问题的一些局部提出在现有的网络架构下实现身份与位置分离解决方案,位置与身份分离是未来数据通信网络的核心技术,特别是移动数据通信网络。
背景技术二:虚拟专用网络VPN(virtual private network)可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet网络或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
VPN有多种实现方式,具体可以分为用户管理的VPN解决方案(CPE-VPN)和运营商实施的VPN解决方案(PP-VPN)。
首先介绍用户管理的VPN解决方案CPE-VPN方案,特点是用户自己设置、管理并维护VPN网关设备,通过公共IP网在各个分支机构和公司总部之间建立基于标准VPN隧道的连接,隧道协议通常采用二层隧道协议(L2TP)、点到点隧道协议(PPTP)、IPsec、IP in IP和通用路由选择封装(GRE)等,并且利用各种加密技术和网络地址转换(NAT)技术来保障数据传输的安全。
VPN隧道连接的建立与管理完全由用户自己负责,提供商不需要调整或改变网络的结构与性能。这种方式也就是通常所说的“自建VPN”方式。
虚拟专用网络支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。使用VPN技术可以解决在当今远程通讯量日益增大,企业全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。
虚拟专用网络VPN的基本用途:
通过VPN实现远程用户访问,虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源,例如虚拟专用网络用户首先拨通本地接入服务提供商ISP的网络接入服务器BRAS,然后使用VPN软件,利用与本地ISP建立的连接在远程用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。
使用VPN连接远程局域网络,不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet,或者拨号接入ISP的宽带接入服务器连接internet。使用VPN软件,利用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。
运营商实施的VPN解决方案(PP-VPN),PP-VPN方案是指在运营商的公共数据通信网上设置VPN网关设备,用于专线接入用户或远程拨号接入用户。利用该网关设备,可以在全网范围内根据具体的VPN网络需求,通过隧道封装、虚拟路由器或MPLS等技术建立VPN,并且可以采用加密技术以保障数据传输的安全。VPN连接的建立完全由运营商负责,对用户透明。这种方式也就是通常所说的“外包VPN”方式。
随着宽带接入网络的迅猛发展的同时,运营商为了高质量地拓展业务,必须要解决的一个问题是,如何对网络结构进行合理的分层规划,以实现对用户的定位以及业务治理。由于在接入网层面大量地采用了以太网技术,目前基于以太网来实现网络划分的技术主要是虚拟局域网(VLAN)技术。VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。传统的以太网帧格式中定义了4096个VLAN,VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态治理网络。VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通信,所以不同的VLAN之间的通信是需要有路由来完成的。
划分VLAN的方法主要有几种。一是根据端口来划分VLAN;这种根据端口来划分VLAN的方式仍然是最常用的一种方式;二是根据MAC地址划分VLAN,这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,缺点是初始化时所有的用户都必须进行配置,导致了交换机执行效率降低;三是根据网络层划分VLAN,这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(假如支持多协议)划分的而不是根据路由,因此即便用户物理位置改变了,不需要重新配置所属的VLAN,缺点是重新解析帧头将降低效率;四是根据IP组播划分VLAN,IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很轻易通过路由器进行扩展。
VLAN作为特定以太网通信环境下的VPN技术在宽带接入上得到大规模的应用,核心网或者广域网中应用比较多的是基于多协议标签交换MPLS的VPN。
多协议标记交换(MPLS)技术的出现,使整个Internet的体系结构都发生了变化。采用MPLS技术实现VPN的技术方案将大大改善传统IP网络的缺陷,又能提供和帧中继或ATM网络一样的安全性保证,可以很好地适应VPN业务的需求。
MPLS VPN的网络模型,其中:客户边缘(CE:Customer Edge)设备可以是路由器或二层交换机,它位于客户端,提供到网络提供商的接入;提供商边缘(PE:Provider Edge)路由器主要维护与节点相关的转发表,与其他PE路由器交换VPN路由信息,使用MPLS网络中的标记交换路径(LSP)转发VPN业务,这就是MPLS网络中的标记边缘路由器(LER);提供商路由器(PE)使用已建立的LSP对VPN数据进行透明转发,不维护与VPN有关的路由信息,这就是MPLS网络中的标记交换路由器(LSR)。
MPLS VPN的优点:
安全性MPLS VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证。
扩展性:MPLS VPN则具有很强的扩展性。一方面MPLS网络中可以容纳的VPN数目很大,另一方面在用户节点数目上由于借助于BGP协议进行成员的分配和管理,同一个VPN中的用户节点数不受限制,容易扩充,并可以实现任何节点与任何其它节点的直接通信。特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路,用户侧只需要一个端口/一条线路接入网络,避免了N平方的扩展性问题。
可靠性:MPLS VPN业务,自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时,MPLSVPN的流量与普通互联网流量一起依据IGP迂回到其它电路上,这一过程完全依靠IGP的收敛自动完成,对用户完全透明,在广域网传输中不存在单点故障。
在身份和位置分离的技术方案下,给上述的VPN技术实施带来影响,对运营商实施的VPN解决方案(PP-VPN)产生影响,特别是涉及三层IP地址的方案影响比较大,位置和身份分离主要涉及VPN的用户的身份标识及通信协议,VPN接入管理需要使用端主机的身份标识进行认证管理,需要对管理系统进行升级处理;而对于用户管理的VPN解决方案CPE-VPN方案,位置和身份分离以后端主机不再使用地址进行通信,需要使用端主机的身份标识进行通信影响比较大一些,需要对VPN软件进行升级处理支持端主机的身份标识。
发明内容
本发明要解决的技术问题是提供一种虚拟专用网络的实现该方法及系统,以在身份位置分离网络方便地实现虚拟专用网络。
为解决以上技术问题,本发明提供一种种虚拟专用网络的实现方法,所述虚拟专用网络基于身份位置分离网络实现,该方法包括:
A、身份位置分离网络的映射平面设置虚拟专用网络(VPN)的VPN专用映射表和普通映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;所述普通映射表包括普通端主机身份标识与位置标识的映射关系;
B、所述映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。
进一步地,所述属性指端主机是否属于VPN端主机,步骤B中,若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面查询所述VPN专用映射表,否则查询所述普通映射表。
进一步地,所述映射平面包括若干个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;所述属性指端主机是否属于VPN端主机,以及属于VPN端主机时,所属的VPN标识;步骤B中,若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面查询对应VPN标识的VPN专用映射表,否则查询所述普通映射表。
进一步地,步骤B进一步包括:
B1、接入业务节点(ASN)接收源端主机发送的报文,其中携带源端和目的端主机身份标识;
B2、所述ASN根据源端主机身份标识查询设置的属性表,获得源端主机属性,并向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;
B3、映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表;
B4、若查询结果中包括目的端主机的位置标识,则所述ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信,否则通信失败。
进一步地,步骤B4之后,目的接入业务节点接收所述报文并转发给目的端主机的同时,将源端主机身份标识和位置标识的映射关系以及源端主机的VPN属性记录在本地映射表;目的接入业务节点接收所述目的端主机回送的报文后,查询本地映射表,判断源、目的端主机的属性一致时,直接进行报文转发。
为解决以上技术问题,本发明还提供另一种虚拟专用网络的实现方法,其特征在于:所述虚拟专用网络基于身份位置分离网络实现,该方法包括:
A、身份位置分离网络的映射平面设置多个虚拟专用网络(VPN)专用映射表,每一VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;
B、所述映射平面根据目的端主机身份标识查询与源端主机VPN标识一致的VPN专用映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。
步骤B进一步包括:
B1、接入业务节点(ASN)接收源端主机发送的报文,其中携带源端和目的端主机身份标识;
B2、所述ASN根据源端主机身份标识查询设置的属性表,获得源端主机属性,并向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;
B3、映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表;
B4、若查询结果中包括目的端主机的位置标识,则所述ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信,否则通信失败。
进一步地,步骤B14之后,目的接入业务节点接收所述报文并转发给目的端主机的同时,将源端主机身份标识和位置标识的映射关系以及源端主机的VPN属性记录在本地映射表;目的接入业务节点接收所述目的端主机回送的报文后,查询本地映射表,判断源、目的端主机的属性一致时,直接进行报文转发。
为解决以上技术问题,本发明还提供一种虚拟专用网络的实现系统,所述系统基于身份位置分离架构网络实现,包括通过网络连接的业务接入节点(ASN)和映射平面,所述ASN,包括收发模块、属性表及属性表查询模块,其中:
所述收发模块,用于接收源端主机发送的报文,其中携带源端和目的端主机身份标识,并通知属性表查询模块;以及向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;向所述映射平面发送查询请求时,还用于接收所述映射平面发送的查询结果,若查询到目的端主机的映射关系,还用于根据查询结果转发报文,否则通信失败;
所述属性表,用于保存端主机与其属性的对应关系;
所述属性表查询模块,与所述收发模块、属性表连接,用于根据所述源端主机身份标识查询设置的属性表,获得源端主机属性,并通知所述收发模块;
所述映射平面包括收发模块、映射数据库及数据库查询模块,其中:
所述收发模块,用于接收所述ASN转发的报文或发送的查询请求,并通知映射表查询模块;接收到查询请求时,还用于向所述ASN发送查询结果;接收到转发报文时,若查询到目的端主机的映射关系,还用于根据查询结果转发报文,否则通信失败;
所述映射数据库,用于保存虚拟专用网络(VPN)专用映射表和普通映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;所述普通映射表包括普通端主机身份标识与位置标识的映射关系;
所述数据库查询模块,与所述收发模块及映射数据库连接,用于根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,还用于将查询结果通知所述收发模块。
进一步地,所述属性指端主机是否属于VPN端主机,若源端主机的属性表明所述源端主机是VPN端主机,则映射平面的数据库查询模块查询所述VPN专用映射表,否则查询所述普通映射表。
进一步地,所述映射平面的映射数据库包括若干个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;所述属性指端主机是否属于VPN端主机,以及属于VPN端主机时,所属的VPN标识;若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面的数据库查询模块查询对应VPN标识的VPN专用映射表,否则查询所述普通映射表。
为解决以上技术问题,本发明还提供了又一种虚拟专用网络的实现方法,所述虚拟专用网络基于身份位置分离网络实现,该方法包括:
A、身份位置分离网络的映射平面设置虚拟专用网络(VPN)专用映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;
B、当源端主机是VPN端主机时,身份位置分离网络根据所述VPN专用映射表实现所述VPN内的VPN端主机之间的通信。
进一步地,所述映射平面同时设置多个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;步骤B中,身份位置分离网络根据与源端主机VPN标识一致的VPN专用映射表,实现对应VPN内的VPN端主机之间的通信。
本发明虚拟专用网络的实现方法和实现系统的主要思想在于,在身份位置分离网络的映射平面保存虚拟专用网络(Virtual Private Network,VPN)的VPN专用映射表,并根据该VPN专用映射表确定是否实现VPN内的VPN端主机用户之间的通信,从而在身份位置分离网络中很有效地实现了虚拟专用网,满足了用户对虚拟专用网的需求,消除了身份和位置分离的技术方案对传统虚拟专用网络VPN业务的影响。
附图说明
图1是本发明虚拟专用网络的实现方法示意图。
图2是用于实现虚拟专用网络的身份位置分离架构示意图。
图3是在图2所述的身份位置分离网络中实现虚拟专用网络的示意图。
图4是基于图3的网络架构中实现数据包处理的应用实例流程图。
图5是本发明虚拟专用网实现系统的模块结构示意图。
具体实施方式
身份和位置分离的数据通信网络具有这样一些特征,必然将传统IP地址的身份属性和位置属性分离,IP地址仅仅具有位置属性,作为端主机地理位置的标识,新增一个端主机的身份标识用于通信传输的端身份标识,端主机的位置标识由端主机所处的地理位置和网络拓扑决定,在端主机移动的过程中,位置的变化导致端主机的位置标识改变,而端主机的身份标识属于终端身份唯一使用的标识,在端主机移动的过程中不会改变。同时还必须增加端主机身份标识和位置标识的映射,需要功能实体来完成这个映射关系,本发明称这个功能实体为映射平面。
在各种身份和位置分离的方案中,这个映射平面的称呼也不同,例如在北京交通大学张宏科的专利ZL200610001825.0是这样解释的,引入身份解析器,负责解析端主机标识符EID和IP地址间的映射关系,并动态的维护更新端主机标识EID和IP地址间的绑定。在LISP的技术方案中,LISP3场景采用映射数据库(mapping database)提供身份标识EID和位置标识RLOC的映射关系,使用分布式哈希表LISPDHT(LISP Distributed Hash Tables)实现的映射数据库正在研究中。其他的方案中有的也称为映射服务器,在本发明中统一称为映射平面。
本发明虚拟专用网络的实现方法和实现系统的主要思想在于,在身份位置分离网络的映射平面保存虚拟专用网络(Virtual Private Network,VPN)的VPN专用映射表,当源端主机是VPN端主机时,身份位置分离网络根据所述VPN专用映射表实现所述VPN内的VPN端主机之间的通信,从而在身份位置分离网络中很有效地实现了虚拟专用网,满足了用户对虚拟专用网的需求,消除了身份和位置分离的技术方案对传统虚拟专用网络VPN业务的影响。
如图1所示,本发明虚拟专用网络的实现方法基于身份位置分离网络实现,该方法包括:
步骤101:身份位置分离网络的映射平面设置虚拟专用网络(VPN)的VPN专用映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;
步骤102:所述映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。
同一身份位置分离网络中,同时实现普通通信和一个VPN网络通信
对于映射平面仅有一个VPN专用映射表的情形,所述属性指端主机是否属于VPN端主机,步骤102中,若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面查询所述VPN专用映射表,否则查询所述普通映射表。
同一身份位置分离网络中,实现多个虚拟专用网
为了在同一身份位置分离网络实现多个虚拟专用网,在映射平面设置多个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;所述属性指端主机是否属于VPN端主机,以及属于VPN端主机时,所属的VPN标识;步骤B中,若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面查询对应VPN标识的VPN专用映射表,否则查询所述普通映射表。
当然本发明也适用于在映射平面设置多个VPN专用映射表,而不设置普通映射表,以在身份位置分离网络中实现多个不同的VPN,这种情况下,本发明虚拟专用网络实现方法可以概括为:
A、身份位置分离网络的映射平面设置多个虚拟专用网络(VPN)专用映射表,每一VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;
B、所述映射平面根据目的端主机身份标识查询与源端主机VPN标识一致的VPN专用映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。
身份位置分离网络包括接入业务节点以及映射平面,步骤102及步骤B在具体实现时,可以通过映射平面实现报文转发或通过映射平面之外的转发平面实现报文转发,具体包括:
a、接入业务节点(ASN)接收源端主机发送的报文,其中携带源端和目的端主机身份标识;
b、所述ASN根据源端主机身份标识查询设置的属性表,获得源端主机属性,并向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;
c、映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表;
d、若查询结果中包括目的端主机的位置标识,则所述ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信,否则通信失败。
下面结合附图以通过映射平面实现报文转发为例对本发明实现方法作进一步的详细描述:
身份位置分离网路的架构示意见图2所示,用户的端主机使用身份标识EID进行通信,每个端主机具有一个唯一的身份标识;网络的接入业务节点ASN(Access Service Node)负责封装、映射、转发终端发送或者接收的报文,并向映射平面查询端主机的身份标识和位置标识的映射;转发平面负责转发接入业务节点ASN映射处理后的报文;映射平面维护端主机的身份标识和位置标识的映射关系并保持映射关系的适时更新,给ASN提供映射查询,通过身份标识查询位置标识。
映射平面保存有网络所有终端的身份标识EID和位置标识LID的对应关系,如下表所示:
身份标识EID(1) | 位置标识LID(1) |
身份标识EID(2) | 位置标识LID(2) |
。。。。。。 | 。。。。。。 |
身份标识EID(n-1) | 位置标识LID(n-1) |
身份标识EID(n) | 位置标识LID(n) |
接入业务节点ASN对报文的处理:
ASN1接收到端主机1给端主机2的报文,发送的报文包含身份标识EID(1),此时根据目的EID(2)查找本地映射关系表;如果查询到,则直接根据查询到的目的LID(2)与自己的LID(1)进行报文封装,封装后进行转发,发到转发平面;如果查询不到,则到映射平面进行查询LID(2)。
通信对端ASN2收到自己LID(2)地址封装的报文,则进行解封装,将解封装后的EID(2)报文进行下行转发给端主机,同时学习报文源LID(1)和EID(1)的映射关系;ASN2接收端主机2发送给端主机1的报文,由于对端ASN2在上述流程中已经学习了EID(1)和LID(1)的映射关系,所以在ASN2本地查询映射关系一定可以查到,不用查询映射平面,这时在ASN2上直接封装LID(1)进行转发。报文通过转发平面回到ASN1的时候,解封装之后,发给端主机1。
在图2所示的网络架构下实现VPN的方法如下:
首先,在映射平面设置虚拟专用网络VPN专用的映射表,包括VPN的所有用户端主机的身份标识和位置标识的映射关系。此时映射平面有两种映射表,一种是上述的映射表,称为普通映射表,另一种就是VPN专用的映射表。
其次,在接入服务节点ASN上设置VPN网络用户接入的VPN属性表,表示ASN处理该端主机报文的时候,只能查询该用户所属VPN的VPN专用映射表,建立VPN用户间的通信,不能和该VPN专用映射表以外的用户建立通信,同时VPN专用映射表以外的用户不能查询VPN专用映射表,无法访问VPN网络,保证VPN网络安全性。
VPN专用映射表可以有多个,每个VPN专用映射表有一个VPN标识:VPN_ID,这样一个网络可以支持多个VPN,满足众多企业网的应用需要。
VPN专用映射表中的用户端主机的映射关系可以动态的加入或者删除。
在ASN上设置用户接入的VPN属性的时候,应该包括所属VPN的标识VPN_ID,方便查询映射平面具有VPN的标识VPN_ID的映射表。
在ASN上的用户接入VPN属性可以固定配置,也可以从映射平面获取。
现有的运营商提供的VPN技术方案可以在转发平面实施,例如MPLSVPN技术,提供数据流的安全转发和QOS保证,结合本发明的VPN技术方案,通过对端用户的身份标识进行认证,可以防止传统方法的仿冒、篡改等攻击手段危害VPN网络,可以提供更高的安全性,同时身份标识的唯一性,保证支持用户的移动接入,支持漫游用户可以随时的安全接入VPN网络,对出差的公司用户特别有好处。
实现VPN网络的身份位置分离网络架构的应用实例的示意图如图3所示。
VPN专用映射表实例:
第一个虚拟专用网络,分配VPN标识VPN_ID_(1),其拥有的VPN专用映射表如下:
身份标识EID(a1) | 位置标识LID(a1) |
身份标识EID(b1) | 位置标识LID(b1) |
。。。。。。 | 。。。。。。 |
身份标识EID(k1) | 位置标识LID(k1) |
第二个虚拟专用网络,分配VPN标识VPN_ID_(2),其拥有的VPN专用映射表如下:
身份标识EID(a2) | 位置标识LID(a2) |
身份标识EID(b2) | 位置标识LID(b2) |
。。。。。。 | 。。。。。。 |
身份标识EID(k2) | 位置标识LID(k2) |
由于VPN间需要隔离,不能互通,因此VPN标识VPN_ID_(1)的映射表中的表项和VPN标识VPN_ID_(2)的映射表中的表项不能重叠。
数据报文的处理流程如下:
步骤401:ASN1接收到端主机1给端主机2的报文,发送的报文包含端主机1的身份标识EID(a1);
步骤402:ASN1根据VPN属性表确定端主机1是VPN用户,且属于VPN标识=VPN_ID_(1)的虚拟专用网络,ASN1向映射平面发送查询请求,其中携带端主机1的VPN属性(可仅包括VPN标识)及目的身份标识;
步骤403:映射平面根据目的身份标识查询VPN标识为VPN_ID_(1)的VPN专用映射表,并向ASN1返回查询结果;
步骤404:ASN1根据查询结果进行报文处理;如果目的身份标识为EID(a2),从映射平面返回的查询结果为没有该对端,属无效对端,不能通信,保证只能和VPN内部的用户通信;如果目的身份标识为EID(b1),从映射平面返回的查询结果为位置标识LID(b1),ASN1进行正常的转发处理,报文发送给转发平面,如果转发平面支持现有的VPN技术,可以建立转发平面的VPN标识(MPLS VPN1)和本发明的VPN标识VPN_ID_(1)的对应关系,提供数据报文在转发平面的安全和QOS质量保证。
步骤405:通信对端ASN2收到自己LID(b1)地址封装的报文,进行解封装,将解封装后的EID(b1)报文进行下行转发给端主机,同时学习报文源LID(b1)和EID(b1)的映射关系,以及VPN属性;
步骤406:ASN2接收端主机2发送给端主机1的报文;
步骤407:由于对端ASN2在上述流程中已经学习了EID(b1)和LID(b1)的映射关系及VPN属性,所以在ASN2本地查询映射关系一定可以查到,不用查询映射平面的VPN标识VPN_ID_(1)VPN专用映射表,这时在ASN2上直接封装LID(a1)转发到ASN1;
步骤408:通过转发平面回到ASN1,ASN1解封装之后,发给端主机1。
为实现以上方法,本发明还提供了一种虚拟专用网实现系统,如图5所示,所述虚拟专用网(VPN)实现系统包括通过网络连接的映射平面及接入业务节点,其中,所述接入业务节点包括:包括通过网络连接的业务接入节点(ASN)和映射平面,所述ASN,包括收发模块、属性表及属性表查询模块,其中:
所述收发模块,用于接收源端主机发送的报文,其中携带源端和目的端主机身份标识,并通知属性表查询模块;以及向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;向所述映射平面发送查询请求时,还用于接收所述映射平面发送的查询结果,若查询到目的端主机的映射关系,还用于根据查询结果转发报文,否则通信失败;还用于在映射关系变动时,向所述映射平面发送注册或注销请求;
所述属性表,用于保存端主机与其属性的对应关系;
所述属性表查询模块,与所述收发模块、属性表连接,用于根据所述源端主机身份标识查询设置的属性表,获得源端主机属性,并通知所述收发模块;
所述映射平面包括收发模块、映射数据库、数据库查询模块及维护模块,其中:
所述收发模块,用于接收所述ASN转发的报文或发送的查询请求,并通知映射表查询模块;接收到查询请求时,还用于向所述ASN发送查询结果;接收到转发报文时,若查询到目的端主机的映射关系,还用于根据查询结果转发报文,否则通信失败;还用于接收所述接入业务节点的注册或注销请求;
所述映射数据库,用于保存虚拟专用网络(VPN)专用映射表和普通映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;所述普通映射表包括普通端主机身份标识与位置标识的映射关系;
所述数据库查询模块,与所述收发模块及映射数据库连接,用于根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,还用于将查询结果通知所述收发模块。
对于仅有一个VPN专用映射表的情形,所述属性指端主机是否属于VPN端主机,若源端主机的属性表明所述源端主机是VPN端主机,则映射平面的数据库查询模块查询所述VPN专用映射表,否则查询所述普通映射表。
对于有多个VPN专用映射表的情形,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;所述属性指端主机是否属于VPN端主机,以及属于VPN端主机时,所属的VPN标识;若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面的数据库查询模块查询对应VPN标识的VPN专用映射表,否则查询所述普通映射表。
维护模块,与所述映射平面的收发模块、普通映射表及VPN专用映射表连接,用于根据接入业务节点的注册或注销请求,增加或删除所述普通映射表或VPN专用映射表中的映射关系。
本发明虚拟专用网络的实现方法和实现系统的主要思想在于,在身份位置分离网络的映射平面保存虚拟专用网络(Virtual Private Network,VPN)的VPN专用映射表,并根据该VPN专用映射表确定是否实现VPN内的VPN端主机用户之间的通信,从而在身份位置分离网络中很有效地实现了虚拟专用网,满足了用户对虚拟专用网的需求,消除了身份和位置分离的技术方案对传统虚拟专用网络VPN业务的影响,减少对实施VPN对现有设备和软件的改动,特别是对运营商实施的VPN解决方案(PP-VPN),本发明的方法是通过映射平面来实现的,属于运营商实施的VPN解决方案的一种。
Claims (13)
1.一种虚拟专用网络的实现方法,其特征在于:所述虚拟专用网络基于身份位置分离网络实现,该方法包括:
A、身份位置分离网络的映射平面设置虚拟专用网络(VPN)的VPN专用映射表和普通映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;所述普通映射表包括普通端主机身份标识与位置标识的映射关系;
B、所述映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。
2.如权利要求1所述的方法,其特征在于:所述属性指端主机是否属于VPN端主机,步骤B中,若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面查询所述VPN专用映射表,否则查询所述普通映射表。
3.如权利要求1所述的方法,其特征在于:所述映射平面包括若干个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;所述属性指端主机是否属于VPN端主机,以及属于VPN端主机时,所属的VPN标识;步骤B中,若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面查询对应VPN标识的VPN专用映射表,否则查询所述普通映射表。
4.如权利要求1至3中任一项所述的方法,其特征在于:步骤B进一步包括:
B1、接入业务节点(ASN)接收源端主机发送的报文,其中携带源端和目的端主机身份标识;
B2、所述ASN根据源端主机身份标识查询设置的属性表,获得源端主机属性,并向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;
B3、映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表;
B4、若查询结果中包括目的端主机的位置标识,则所述ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信,否则通信失败。
5.如权利要求4所述的方法,其特征在于:步骤B4之后,目的接入业务节点接收所述报文并转发给目的端主机的同时,将源端主机身份标识和位置标识的映射关系以及源端主机的VPN属性记录在本地映射表;目的接入业务节点接收所述目的端主机回送的报文后,查询本地映射表,判断源、目的端主机的属性一致时,直接进行报文转发。
6.一种虚拟专用网络的实现方法,其特征在于:所述虚拟专用网络基于身份位置分离网络实现,该方法包括:
A、身份位置分离网络的映射平面设置多个虚拟专用网络(VPN)专用映射表,每一VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;
B、所述映射平面根据目的端主机身份标识查询与源端主机VPN标识一致的VPN专用映射表,若查询到目的端主机的映射关系,则身份位置分离网络实现源、目的端主机之间的通信,否则通信失败。
7.如权利要求6所述的方法,其特征在于:步骤B进一步包括:
B1、接入业务节点(ASN)接收源端主机发送的报文,其中携带源端和目的端主机身份标识;
B2、所述ASN根据源端主机身份标识查询设置的属性表,获得源端主机属性,并向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;
B3、映射平面根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表;
B4、若查询结果中包括目的端主机的位置标识,则所述ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信,否则通信失败。
8.如权利要求6所述的方法,其特征在于:步骤B14之后,目的接入业务节点接收所述报文并转发给目的端主机的同时,将源端主机身份标识和位置标识的映射关系以及源端主机的VPN属性记录在本地映射表;目的接入业务节点接收所述目的端主机回送的报文后,查询本地映射表,判断源、目的端主机的属性一致时,直接进行报文转发。
9.一种虚拟专用网络的实现系统,其特征在于,所述系统基于身份位置分离架构网络实现,包括通过网络连接的业务接入节点(ASN)和映射平面,所述ASN,包括收发模块、属性表及属性表查询模块,其中:
所述收发模块,用于接收源端主机发送的报文,其中携带源端和目的端主机身份标识,并通知属性表查询模块;以及向映射平面转发报文或发送查询请求,其中携带源端主机属性及目的端主机身份标识;向所述映射平面发送查询请求时,还用于接收所述映射平面发送的查询结果,若查询到目的端主机的映射关系,还用于根据查询结果转发报文,否则通信失败;
所述属性表,用于保存端主机与其属性的对应关系;
所述属性表查询模块,与所述收发模块、属性表连接,用于根据所述源端主机身份标识查询设置的属性表,获得源端主机属性,并通知所述收发模块;
所述映射平面包括收发模块、映射数据库及数据库查询模块,其中:
所述收发模块,用于接收所述ASN转发的报文或发送的查询请求,并通知映射表查询模块;接收到查询请求时,还用于向所述ASN发送查询结果;接收到转发报文时,若查询到目的端主机的映射关系,还用于根据查询结果转发报文,否则通信失败;
所述映射数据库,用于保存虚拟专用网络(VPN)专用映射表和普通映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;所述普通映射表包括普通端主机身份标识与位置标识的映射关系;
所述数据库查询模块,与所述收发模块及映射数据库连接,用于根据目的端主机身份标识查询与源端主机属性一致的VPN专用映射表或普通映射表,还用于将查询结果通知所述收发模块。
10.如权利要求9所述的系统,其特征在于:所述属性指端主机是否属于VPN端主机,若源端主机的属性表明所述源端主机是VPN端主机,则映射平面的数据库查询模块查询所述VPN专用映射表,否则查询所述普通映射表。
11.如权利要求9所述的系统,其特征在于:所述映射平面的映射数据库包括若干个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;所述属性指端主机是否属于VPN端主机,以及属于VPN端主机时,所属的VPN标识;若源端主机的属性表明所述源端主机是VPN端主机,则所述映射平面的数据库查询模块查询对应VPN标识的VPN专用映射表,否则查询所述普通映射表。
12.一种虚拟专用网络的实现方法,其特征在于:所述虚拟专用网络基于身份位置分离网络实现,该方法包括:
A、身份位置分离网络的映射平面设置虚拟专用网络(VPN)专用映射表,所述VPN专用映射表包括同一VPN网络的VPN端主机身份标识与位置标识的映射关系;
B、当源端主机是VPN端主机时,身份位置分离网络根据所述VPN专用映射表实现所述VPN内的VPN端主机之间的通信。
13.如权利要求12所述的方法,其特征在于:所述映射平面同时设置多个VPN专用映射表,不同的VPN专用映射表对应不同的VPN网络,具有不同的VPN标识;步骤B中,身份位置分离网络根据与源端主机VPN标识一致的VPN专用映射表,实现对应VPN内的VPN端主机之间的通信。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910176529.8A CN102025589B (zh) | 2009-09-18 | 2009-09-18 | 虚拟专用网络的实现方法及系统 |
KR1020127009926A KR101340495B1 (ko) | 2009-09-18 | 2010-09-10 | 가상 전용 네트워크의 구현 방법 및 시스템 |
US13/496,284 US8661525B2 (en) | 2009-09-18 | 2010-09-10 | Implementation method and system of virtual private network |
JP2012529109A JP5579853B2 (ja) | 2009-09-18 | 2010-09-10 | バーチャル・プライベート・ネットワークの実現方法及びシステム |
PCT/CN2010/076788 WO2011032473A1 (zh) | 2009-09-18 | 2010-09-10 | 虚拟专用网络的实现方法及系统 |
EP10816677.8A EP2466818A4 (en) | 2009-09-18 | 2010-09-10 | METHOD AND SYSTEM FOR ESTABLISHING A VIRTUAL PRIVATE NETWORK |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910176529.8A CN102025589B (zh) | 2009-09-18 | 2009-09-18 | 虚拟专用网络的实现方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102025589A true CN102025589A (zh) | 2011-04-20 |
CN102025589B CN102025589B (zh) | 2015-04-01 |
Family
ID=43758098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910176529.8A Active CN102025589B (zh) | 2009-09-18 | 2009-09-18 | 虚拟专用网络的实现方法及系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8661525B2 (zh) |
EP (1) | EP2466818A4 (zh) |
JP (1) | JP5579853B2 (zh) |
KR (1) | KR101340495B1 (zh) |
CN (1) | CN102025589B (zh) |
WO (1) | WO2011032473A1 (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102868618A (zh) * | 2011-07-08 | 2013-01-09 | 中兴通讯股份有限公司 | 一种去附着方法、装置和映射服务器 |
CN104995902A (zh) * | 2012-12-31 | 2015-10-21 | 瑞典爱立信有限公司 | 用于ipv4和ipv6装置之间的无缝网络通信的方法和系统 |
CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
CN105721270A (zh) * | 2014-12-04 | 2016-06-29 | 成都鼎桥通信技术有限公司 | 一种集群通信虚拟网的控制方法 |
CN103051541B (zh) * | 2011-10-14 | 2017-04-05 | 中兴通讯股份有限公司 | 一种标识网内的报文转发方法、asr及isr |
CN108259379A (zh) * | 2017-05-08 | 2018-07-06 | 新华三技术有限公司 | 一种流量转发方法及装置 |
CN111711556A (zh) * | 2020-06-17 | 2020-09-25 | 北京字节跳动网络技术有限公司 | 虚拟专用网络的选路方法、装置、系统、设备及存储介质 |
CN111857979A (zh) * | 2020-06-28 | 2020-10-30 | 厦门极致互动网络技术股份有限公司 | 一种分布式系统的信息管理方法、系统、存储介质及设备 |
CN112187644A (zh) * | 2020-10-28 | 2021-01-05 | 中国科学院声学研究所 | 一种基于标识解析路由的组播系统及组播方法 |
CN113596059A (zh) * | 2021-08-19 | 2021-11-02 | 中国电子科技集团公司电子科学研究院 | 一种在标识网络中实现实时三层网络隔离的方法及系统 |
CN114697300A (zh) * | 2022-04-15 | 2022-07-01 | 武汉中元通信股份有限公司 | 一种高时效通信系统的数据组播实现方法 |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
US10469556B2 (en) | 2007-05-31 | 2019-11-05 | Ooma, Inc. | System and method for providing audio cues in operation of a VoIP service |
US8560634B2 (en) * | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
JP5715476B2 (ja) * | 2011-04-25 | 2015-05-07 | Kddi株式会社 | マッピングサーバの制御方法及びマッピングサーバ |
US9069761B2 (en) * | 2012-05-25 | 2015-06-30 | Cisco Technology, Inc. | Service-aware distributed hash table routing |
US8879394B2 (en) * | 2012-10-22 | 2014-11-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of packet based identifier locator network protocol (ILNP) load balancing and routing |
US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
EP2957080B1 (en) * | 2013-02-12 | 2020-06-10 | Hewlett-Packard Enterprise Development LP | Network control using software defined flow mapping and virtualized network functions |
US9479433B1 (en) | 2013-04-30 | 2016-10-25 | Cisco Technology, Inc. | Interconnecting virtual private networks |
US9294393B1 (en) * | 2013-04-30 | 2016-03-22 | Cisco Technology, Inc. | Interconnecting virtual private networks |
US9508114B2 (en) * | 2013-06-13 | 2016-11-29 | Autodesk, Inc. | File format and system for distributed scene graphs |
US9386148B2 (en) | 2013-09-23 | 2016-07-05 | Ooma, Inc. | Identifying and filtering incoming telephone calls to enhance privacy |
US9749290B2 (en) * | 2013-11-14 | 2017-08-29 | Verizon Patent And Licensing Inc. | Distributing and virtualizing a network address translation (NAT) |
US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
US10542004B1 (en) | 2014-02-24 | 2020-01-21 | C/Hca, Inc. | Providing notifications to authorized users |
US10553098B2 (en) | 2014-05-20 | 2020-02-04 | Ooma, Inc. | Appliance device integration with alarm systems |
US10769931B2 (en) | 2014-05-20 | 2020-09-08 | Ooma, Inc. | Network jamming detection and remediation |
US9633547B2 (en) | 2014-05-20 | 2017-04-25 | Ooma, Inc. | Security monitoring and control |
US11330100B2 (en) | 2014-07-09 | 2022-05-10 | Ooma, Inc. | Server based intelligent personal assistant services |
US9894031B2 (en) | 2014-08-27 | 2018-02-13 | Cisco Technology, Inc. | Source-aware technique for facilitating LISP host mobility |
US9935850B1 (en) * | 2014-11-18 | 2018-04-03 | Berryville Holdings, LLC | Systems and methods for implementing an on-demand computing network environment |
US9819513B2 (en) * | 2015-01-27 | 2017-11-14 | Anchorfree Inc. | System and method for suppressing DNS requests |
US10021065B2 (en) | 2015-01-27 | 2018-07-10 | Anchorfree Inc. | System and method for suppressing DNS requests |
CN104767686B (zh) * | 2015-04-08 | 2018-03-20 | 新华三技术有限公司 | 一种alt网络中的路由信息查询方法和装置 |
CN106209485B (zh) * | 2015-04-30 | 2019-05-24 | 中国南方电网有限责任公司 | 一种vpn私网链路检测方法及装置 |
US10009286B2 (en) | 2015-05-08 | 2018-06-26 | Ooma, Inc. | Communications hub |
US10771396B2 (en) * | 2015-05-08 | 2020-09-08 | Ooma, Inc. | Communications network failure detection and remediation |
US11171875B2 (en) | 2015-05-08 | 2021-11-09 | Ooma, Inc. | Systems and methods of communications network failure detection and remediation utilizing link probes |
US10911368B2 (en) | 2015-05-08 | 2021-02-02 | Ooma, Inc. | Gateway address spoofing for alternate network utilization |
US10397356B2 (en) * | 2015-06-03 | 2019-08-27 | Evertz Microsystems Ltd. | Systems and methods for determining a destination location for transmission of packetized data in a network system based on an application server attribute |
US20160373297A1 (en) * | 2015-06-18 | 2016-12-22 | At & T Intellectual Property I, L.P. | Device, system, and method for managing virtual and physical components of a network via use of a registry |
KR101977726B1 (ko) | 2015-11-17 | 2019-05-14 | 한국전자통신연구원 | 가상 데스크탑 서비스 방법 및 장치 |
US9980303B2 (en) | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
EP3574679B1 (en) | 2017-01-24 | 2021-06-23 | Telefonaktiebolaget LM Ericsson (PUBL) | Lossless handover for mobility with location identifier separation protocol in 3rd generation partnership project networks |
EP3574631B1 (en) * | 2017-01-24 | 2021-03-10 | Telefonaktiebolaget LM Ericsson (PUBL) | Using location identifier separation protocol to implement a distributed gateway architecture for 3gpp mobility |
WO2018207006A1 (en) | 2017-05-12 | 2018-11-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Local identifier locator network protocol (ilnp) breakout |
US10523563B2 (en) | 2018-04-10 | 2019-12-31 | Cisco Technology, Inc. | Mechanism and procedures for multi-domain enterprise fabric domain federations |
US11539817B1 (en) | 2018-09-27 | 2022-12-27 | C/Hca, Inc. | Adaptive authentication and notification system |
WO2020096594A1 (en) | 2018-11-07 | 2020-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Local identifier locator network protocol (ilnp) breakout |
US11652791B2 (en) | 2019-08-07 | 2023-05-16 | Cisco Technology, Inc. | Consolidated routing table for extranet virtual networks |
CN114726819A (zh) * | 2020-12-21 | 2022-07-08 | 中兴通讯股份有限公司 | 位置信息转换方法、网关、控制器、终端、设备及介质 |
CN114885443B (zh) | 2022-07-01 | 2022-11-08 | 之江实验室 | 一种支持终端移动接入的多模态网络控制系统和方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6442169B1 (en) * | 1998-11-20 | 2002-08-27 | Level 3 Communications, Inc. | System and method for bypassing data from egress facilities |
JP2000183968A (ja) | 1998-12-17 | 2000-06-30 | Nippon Telegr & Teleph Corp <Ntt> | パケット通信システムおよびそれを構成するノードとエッジ装置 |
US6693878B1 (en) * | 1999-10-15 | 2004-02-17 | Cisco Technology, Inc. | Technique and apparatus for using node ID as virtual private network (VPN) identifiers |
JP3620719B2 (ja) | 2001-06-22 | 2005-02-16 | 日本電気株式会社 | データ交換装置におけるルーティング処理システム |
CN1270256C (zh) | 2002-09-23 | 2006-08-16 | 华为技术有限公司 | 实现销售点终端多应用的方法和系统 |
CN1232135C (zh) | 2002-11-12 | 2005-12-14 | 华为技术有限公司 | 一种无线因特网协议语音核心网端到端的路由方法 |
US7283529B2 (en) * | 2003-03-07 | 2007-10-16 | International Business Machines Corporation | Method and system for supporting a dedicated label switched path for a virtual private network over a label switched communication network |
CN100428719C (zh) | 2006-01-23 | 2008-10-22 | 北京交通大学 | 一种基于身份与位置分离的互联网接入方法 |
JP4207078B2 (ja) * | 2006-10-11 | 2009-01-14 | 村田機械株式会社 | 中継サーバ |
CN101222414B (zh) | 2007-01-11 | 2012-08-08 | 华为技术有限公司 | 实现组播通信的装置、系统和方法 |
US7894450B2 (en) * | 2007-12-31 | 2011-02-22 | Nortel Network, Ltd. | Implementation of VPNs over a link state protocol controlled ethernet network |
CN101753424B (zh) | 2008-11-28 | 2012-07-04 | 华为技术有限公司 | 一种数据通信系统、路由器、数据发送及移动性管理方法 |
KR101084769B1 (ko) * | 2008-12-23 | 2011-11-21 | 주식회사 케이티 | 위치자/식별자 분리 기반의 네트워크 이동성 지원 시스템 및 그 방법 |
US9049653B2 (en) * | 2009-07-02 | 2015-06-02 | Futurewei Technologies, Inc. | Handover in core-edge separation technology in wireless communications |
CN103270736B (zh) * | 2010-06-29 | 2016-08-10 | 华为技术有限公司 | 一种网络设备 |
-
2009
- 2009-09-18 CN CN200910176529.8A patent/CN102025589B/zh active Active
-
2010
- 2010-09-10 WO PCT/CN2010/076788 patent/WO2011032473A1/zh active Application Filing
- 2010-09-10 US US13/496,284 patent/US8661525B2/en active Active
- 2010-09-10 JP JP2012529109A patent/JP5579853B2/ja active Active
- 2010-09-10 KR KR1020127009926A patent/KR101340495B1/ko active IP Right Grant
- 2010-09-10 EP EP10816677.8A patent/EP2466818A4/en not_active Withdrawn
Non-Patent Citations (1)
Title |
---|
PING DONG等: "An Efficient Approach to Map Identity onto Locator", 《MOBILITY "08 PROCEEDINGS OF THE INTERNATIONAL CONFERENCE ON MOBILE TECHNOLOGY, APPLICATIONS, AND SYSTEMS》 * |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102868618A (zh) * | 2011-07-08 | 2013-01-09 | 中兴通讯股份有限公司 | 一种去附着方法、装置和映射服务器 |
CN103051541B (zh) * | 2011-10-14 | 2017-04-05 | 中兴通讯股份有限公司 | 一种标识网内的报文转发方法、asr及isr |
CN104995902A (zh) * | 2012-12-31 | 2015-10-21 | 瑞典爱立信有限公司 | 用于ipv4和ipv6装置之间的无缝网络通信的方法和系统 |
CN104995902B (zh) * | 2012-12-31 | 2019-06-18 | 瑞典爱立信有限公司 | 用于ipv4和ipv6装置之间的无缝网络通信的方法和系统 |
CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
CN105471827B (zh) * | 2014-09-04 | 2019-02-26 | 华为技术有限公司 | 一种报文传输方法及装置 |
CN105721270A (zh) * | 2014-12-04 | 2016-06-29 | 成都鼎桥通信技术有限公司 | 一种集群通信虚拟网的控制方法 |
CN105721270B (zh) * | 2014-12-04 | 2020-05-08 | 成都鼎桥通信技术有限公司 | 一种集群通信虚拟网的控制方法 |
CN108259379B (zh) * | 2017-05-08 | 2021-11-02 | 新华三技术有限公司 | 一种流量转发方法及装置 |
CN108259379A (zh) * | 2017-05-08 | 2018-07-06 | 新华三技术有限公司 | 一种流量转发方法及装置 |
CN111711556A (zh) * | 2020-06-17 | 2020-09-25 | 北京字节跳动网络技术有限公司 | 虚拟专用网络的选路方法、装置、系统、设备及存储介质 |
CN111711556B (zh) * | 2020-06-17 | 2021-11-23 | 北京字节跳动网络技术有限公司 | 虚拟专用网络的选路方法、装置、系统、设备及存储介质 |
CN111857979A (zh) * | 2020-06-28 | 2020-10-30 | 厦门极致互动网络技术股份有限公司 | 一种分布式系统的信息管理方法、系统、存储介质及设备 |
CN111857979B (zh) * | 2020-06-28 | 2023-08-15 | 厦门极致互动网络技术股份有限公司 | 一种分布式系统的信息管理方法、系统、存储介质及设备 |
CN112187644A (zh) * | 2020-10-28 | 2021-01-05 | 中国科学院声学研究所 | 一种基于标识解析路由的组播系统及组播方法 |
CN112187644B (zh) * | 2020-10-28 | 2022-02-22 | 郑州芯兰德网络科技有限公司 | 一种基于标识解析路由的组播系统及组播方法 |
CN113596059A (zh) * | 2021-08-19 | 2021-11-02 | 中国电子科技集团公司电子科学研究院 | 一种在标识网络中实现实时三层网络隔离的方法及系统 |
CN113596059B (zh) * | 2021-08-19 | 2023-06-20 | 中国电子科技集团公司电子科学研究院 | 一种在标识网络中实现实时三层网络隔离的方法及系统 |
CN114697300A (zh) * | 2022-04-15 | 2022-07-01 | 武汉中元通信股份有限公司 | 一种高时效通信系统的数据组播实现方法 |
CN114697300B (zh) * | 2022-04-15 | 2024-06-04 | 武汉中元通信股份有限公司 | 一种高时效通信系统的数据组播实现方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2011032473A1 (zh) | 2011-03-24 |
CN102025589B (zh) | 2015-04-01 |
JP2013504960A (ja) | 2013-02-07 |
US8661525B2 (en) | 2014-02-25 |
KR101340495B1 (ko) | 2013-12-12 |
EP2466818A4 (en) | 2015-03-04 |
US20120180122A1 (en) | 2012-07-12 |
EP2466818A1 (en) | 2012-06-20 |
JP5579853B2 (ja) | 2014-08-27 |
KR20120100927A (ko) | 2012-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102025589B (zh) | 虚拟专用网络的实现方法及系统 | |
CN102025591B (zh) | 虚拟专用网络的实现方法及系统 | |
CN102577255B (zh) | 云计算中企业的第2层无缝站点扩展 | |
CN104579954B (zh) | 报文跨域转发方法、装置及通信设备 | |
EP1875668B1 (en) | Scalable system method for dsl subscriber traffic over an ethernet network | |
CN102025658B (zh) | 身份标识网络与互联网互通的实现方法和系统 | |
WO2011069399A1 (zh) | 地址映射方法及接入业务节点 | |
EP2584742B1 (en) | Method and switch for sending packet | |
CN102932254A (zh) | 报文转发方法及装置 | |
CN102308523A (zh) | 数据通信网络配置方法、网关网元及数据通信系统 | |
WO2011147342A1 (zh) | 交换路由信息的方法、设备和系统 | |
CN102055637A (zh) | 宽带网络系统及其实现方法 | |
CN102571999B (zh) | 一种数据传输方法、系统及接入网关 | |
US8437357B2 (en) | Method of connecting VLAN systems to other networks via a router | |
CN102025604A (zh) | 一种承载网络及数据传输方法 | |
Cui et al. | State management in IPv4 to IPv6 transition | |
CN102457582B (zh) | 一种实现主机设备间通信的方法和网络侧设备 | |
CN113973045B (zh) | 一种报文传输方法及装置 | |
WO2012075768A1 (zh) | 身份位置分离网络的监听方法和系统 | |
CN102215161A (zh) | 网间数据通讯系统及方法 | |
CN102045655B (zh) | 一种数据报文主动推送的实现方法及系统 | |
CN101166147A (zh) | 宽带接入服务器对三重服务业务进行控制的装置 | |
CN109587064A (zh) | 一种IPv4/IPv6地址管理系统和方法 | |
Kanemaru et al. | ZNP: A new generation network layer protocol based on ID/locator split considering practical operation | |
CN117676768A (zh) | 基于5g lan的接入系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |