CN102480403A - 提供虚拟私有网业务的方法、设备和系统 - Google Patents
提供虚拟私有网业务的方法、设备和系统 Download PDFInfo
- Publication number
- CN102480403A CN102480403A CN2010105663972A CN201010566397A CN102480403A CN 102480403 A CN102480403 A CN 102480403A CN 2010105663972 A CN2010105663972 A CN 2010105663972A CN 201010566397 A CN201010566397 A CN 201010566397A CN 102480403 A CN102480403 A CN 102480403A
- Authority
- CN
- China
- Prior art keywords
- vpn
- request message
- access
- parameter
- configuration parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000008569 process Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种提供虚拟私有网业务的方法,本发明实施例还提供相应的设备和系统。在本发明实施例中,后端设备执行的流程为:对站点请求接入VPN的请求消息进行认证,认证通过后全局分配接入设备的VPN配置参数,将该VPN配置参数发送给接入设备,由此可见,整个流程都不需要手工操作,能够实现向接入设备自动下发配置参数,从而可以让接入设备快速将站点接入VPN。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种提供虚拟私有网业务的方法、设备和系统。
背景技术
虚拟私有网(VPN,Virtual Private Network)被定义为在已有的单个物理网络上提供多个逻辑的网络,这些逻辑的网络互相隔离,一个逻辑网络里面的数据流量不会进入到另一个逻辑网络,目前许多基础网络运营商都能够提供VPN业务,通常,这些基础网络运营商向客户提供基于虚拟私有局域网业务(VPLS,Virtual Private LAN Service)的二层VPN业务(简称为VPLS业务)和基于边界网关协议(BGP,Border Gateway Protocol)以及多协议标签交换(MPLS,Multi-Protocol Label Switching)的三层VPN业务(简称为BGP/MPLS三层VPN业务),现有技术中,这些业务的开通流程如下:客户通过和基础网络运营商现场沟通确定VPN业务的VPN属性信息,包括站点数量、站点位置、流量需求、带宽需求等,然后基础网络运营商的各部门(例如规划、网管、计费等部门)互相协调,确定出VPN业务的网络规划以及计费等方案,进而确定了业务运营商边缘设备的VPN配置参数,接着由基础网络运营商的网管人员通过手工操作将VPN配置参数配置到业务运营商边缘设备,最后基础网络运营商将通知客户已开通VPN业务,业务运营商边缘设备可以将客户接入VPN。
在对现有技术的研究和实践过程中,本发明的发明人发现,若还有新站点要开通VPN业务,需要重新执行上述繁琐的VPN业务开通流程,可是随着信息技术的飞速发展,客户需要基础网络运营商能够快速让新站点接入VPN,但是现有技术无法满足这一需求。
发明内容
本发明实施例提供一种提供虚拟私有网业务的方法、设备和系统。
一种提供虚拟私有网业务的方法,包括:接收由接入设备发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
按照所述认证信息对所述请求消息进行认证;
当所述请求消息通过认证后,全局分配所述接入设备的VPN配置参数,将所述VPN配置参数发送给所述接入设备。
一种提供虚拟私有网业务的方法,包括:接入设备接收站点发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
向后端设备发送所述请求消息;
接收所述后端设备发送的VPN配置参数,按照所述VPN配置参数进行配置。
一种后端设备,包括:接收请求消息单元,用于接收由接入设备发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
认证单元,用于按照所述认证信息对所述请求消息进行认证;
分配单元,用于当所述请求消息通过认证后,全局分配所述接入设备的VPN配置参数;
发送参数单元,用于将所述VPN配置参数发送给所述接入设备。
一种接入设备,包括:接收单元,用于接入设备接收站点发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
发送请求消息单元,用于向后端设备发送所述请求消息;
配置单元,用于接收所述后端设备发送的VPN配置参数,按照所述VPN配置参数进行配置。
一种提供虚拟私有网业务的系统,包括:上述后端设备和上述接入设备。
在本发明实施例中,后端设备执行的流程为:对站点请求接入VPN的请求消息进行认证,认证通过后分配接入设备的VPN配置参数,将该VPN配置参数发送给接入设备。由此可见,后端设备执行的整个流程都不需要手工操作,就能够实现向接入设备下发配置参数,让接入设备快速将站点接入VPN。
附图说明
图1是本发明实施例中提供虚拟私有网业务的方法的实施例一的流程示意图;
图2是本发明实施例中提供虚拟私有网业务的方法的实施例二的流程示意图;
图3是本发明实施例中提供虚拟私有网业务的方法的实施例三的流程示意图;
图4是本发明实施例中提供虚拟私有网业务的方法的实施例四的流程示意图;
图5是本发明实施例中后端设备的实施例五的逻辑结构示意图;
图6是本发明实施例中接入设备的实施例六的逻辑结构示意图;
图7是本发明实施例中提供虚拟私有网业务的系统的实施例七的逻辑结构示意图。
具体实施方式
本发明实施例提供一种提供虚拟私有网业务的方法。本发明实施例还提供相应的设备和系统。以下分别进行详细说明。
实施例一、请参阅图1,本发明实施例中提供虚拟私有网业务的方法的一个实施例包括:
101、接收接入设备发送的请求消息;
在基础网络运营商向站点提供VPN业务之前,基础网络运营商必须要完成基础网络中所有接入设备的网络连通性配置和网络隧道配置。例如,网络域中配置开放式最短路径优先(OSPF,Open Shortest Path First)路由协议,接入设备配置MPLS隧道,配置BGP使能VPN技术。
当站点需要接入VPN时,即当站点需要开通VPN业务时,接入设备会接收到站点请求接入VPN的请求消息,而且该请求消息携带认证信息,接入设备将该请求消息发送给后端设备。该请求消息通常是通过位于站点的边缘设备向接入设备发送的。需要说明的是,接入设备通常位于运营商基础网络的边缘,一般而言一个客户会有多个站点要求接入VPN。
102、对该请求消息进行认证;
由于VPN是虚拟私有网,当然只能允许合法的站点接入到为客户提供的VPN中,因此后端设备接收到站点请求接入VPN的请求消息后,会按照认证信息对该请求消息进行认证。
103、将配置参数发送给接入设备。
当站点请求接入VPN的请求消息通过了后端设备的认证后,后端设备可以分配接入设备的VPN配置参数,然后将该VPN配置参数发送给接入设备,使得接入设备能够按照该配置参数完成配置,将站点加入VPN。
本实施例中,后端设备执行的流程为:对站点请求接入VPN的请求消息进行认证,认证通过后分配接入设备的VPN配置参数,将该VPN配置参数发送给接入设备,由此可见,整个流程都不需要手工操作,能够实现向接入设备自动下发配置参数,让接入设备将站点加入VPN。
下面将以提供VPLS业务为例对提供虚拟私有网业务的方法进行详细描述,实施例二、请参阅图2,本发明实施例还提供虚拟私有网业务的方法的另一实施例,包括:
201、接收虚拟私有网业务申请请求;
基础网络运营商通常都是根据用户的需求提供一个具有私有属性信息的VPLS,其中VPLS的属性信息包括VPLS流量类型,允许接入VPLS的站点的最大数量,接入带宽等等。用户可以有多种手段向基础网络运营商提供VPLS的属性信息,例如当面交流,打电话,传真等等。但是在本实施例中,用户可以自助的向基础网络运营商提供属性信息,具体为:
用户可以向后端设备发送VPLS业务申请请求,其中VPLS业务申请请求携带有VPLS的属性信息,后端设备会为VPLS的属性信息全局分配唯一标识并保存VPLS的属性信息,然后向用户反馈已接受VPLS业务申请的消息。需要说明的是,通常后端设备为VPLS的属性信息全局分配的唯一标识是一个整数,如32bits或者64bits。
需要说明的是,用户可以直接向后端设备发送VPLS业务申请请求,从而让后端设备获得VPLS的属性信息,也可以先向前端设备发送VPLS业务申请请求,然后前端设备将VPLS的属性信息发送给后端设备,当接收到后端设备的响应后,前端设备再向用户反馈已接受VPLS业务申请的消息,例如前端设备可以是用户的电脑,用户通过电脑登陆VPLS业务申请的WEB服务平台进行VPLS业务申请,用户还可以在WEB服务平台上输入所需的VPLS的属性信息。
后端设备还可以向用户提供VPLS访问通行证,例如连接VPLS的用户名和密码,需要说明的是,连接VPLS的用户名和密码也可以让用户通过电脑在VPLS业务申请的WEB服务平台上输入,然后该连接VPLS的用户名和密码也会被携带在VPLS业务申请请求中,不论是后端设备接收到的连接VPLS的用户名和密码还是后端设备向用户提供的连接VPLS的用户名和密码,后端设备都会将它们保存在认证表中,并且它们在认证表的标识会与VPLS的属性信息的标识相对应。
202、接收接入设备发送的请求消息;
当网络中有站点要接入VPLS时,站点运行802.1x客户端向接入设备发送站点请求接入VPLS的请求消息,并且该请求消息携带有使用该站点的用户在802.1x客户端输入的连接VPLS的用户名和密码,需要说明的是,802.1x客户端一般位于站点的边缘设备上,然后作为Radius客户端的接入设备会将该请求消息以AAA认证数据包的形式转发给后端设备,后端设备采用的是AAA服务器系统,AAA服务器会对AAA认证数据包进行认证。802.1x客户端是VPN拨号客户端的一种类型。
203、进行用户名和密码认证;
AAA服务器从接收的AAA认证数据包中,解析出使用该站点的用户在802.1x客户端输入的连接VPLS的用户名和密码,将解析出的连接VPLS的用户名和密码和预存在后端设备的认证表中的连接VPLS的用户名和密码进行认证。
204、进行属性信息认证;
当后端设备的用户名和密码认证通过之后,后端设备按照认证表中的访问VPLS的用户名和密码的标识找出VPLS的属性信息,判断能否通过这些VPLS的属性信息的认证,例如,后端设备可以检查当前接入VPLS的站点数量是否已经超过允许接入VPLS的站点的最大数量,每当有一个站点成功接入到VPLS,后端设备中的计数器就加1,若计数器中的数据没有超过允许接入VPLS的站点的最大数量,则通过后端设备的属性信息认证,若计数器中的数据超过允许接入VPLS的站点的最大数量,则向站点反馈失败消息。
205、分配虚拟私有网配置参数;
当后端设备的属性信息认证通过后,后端设备全局分配接入设备的VPLS配置参数,例如后端设备为接入设备全局分配唯一的路由目标参数(RT,RouteTarget)和路由区分符参数(RD,Route Distinguisher),
RD是一个8字节的数,通常可以用100:100这样的形式表示,表示前4字节为100,后4字节为100,每一个VPN都要有一个唯一的RD,例如,后端设备可以以100:100为基数,将第一次分配的RD的值定为100:101,第二次分配的RD的值定为100:102,依次类推。还有一种分配RD的方式是:接入设备也可以预置100:100这个基数,后端设备第一次分配RD时,只分配一个数值4,然后将4这个参数发送到接入设备,接入设备拿到4加上基数,就可以获得RD值是100:104。RD和RT的分配方法是一样的,就不再赘述。
需要说明的是,后端设备也可以在站点成功申请VPLS业务后,就全局分配VPLS配置参数,当后端设备的属性信息认证通过后,后端设备可以提取出之前分配的VPLS配置参数。
206、向接入设备发送配置参数。
后端设备通过AAA服务器系统将VPLS的配置参数(例如路由目标参数和路由区分符参数)作为基于Radius协议的报文载荷,通过Radius协议发送到接入设备,使得接入设备可以收到这些配置参数,就能在接入设备上执行配置操作,将站点加入VPLS,让站点可以通过接入设备接入VPLS。由于AAA服务器系统具有计费功能,当站点接入到VPLS后,后端设备可以采用AAA服务器系统开始计费。
进一步的,对于与配置接入设备相关的VPLS的属性信息,例如接入带宽,后端设备可以通过AAA服务器系统将接入带宽参数与路由目标参数和路由区分符参数一起作为基于Radius协议的报文载荷,通过Radius协议发送到接入设备,接入设备可以在联接站点的接入上配置上限带宽,限制网速。
需要说明的是,当后端设备执行完本实施例中的所有流程后,并且站点接入了VPLS之后,使用站点的用户还可以修改VPLS的属性信息,例如,使用站点的用户通过电脑登陆修改所需的VPLS的属性信息的WEB服务平台,增加属性信息中的允许接入VPLS的站点的最大数量或者接入带宽,后端设备接收到电脑发送的修改后的属性信息后,通过AAA服务器系统将修改后的属性信息作为基于Radius协议的报文载荷,通过Radius协议发送给接入设备。
本实施例中,用户可以通过发送业务申请请求向后端设备提供所需的VPN的属性信息,从而提高了基础网络运营商提供VPN业务的效率,而且用户可以在VPN的运行过程中随时更改属性信息,增加了VPN业务的灵活性,大量的VPN业务上线后,存在一定的统计复用比,能够使得基础网路运营商的基础网络得到充分运用。
上面从后端设备的角度对本发明实施例中提供虚拟私有网业务的方法进行了描述,下面从接入设备的角度对本发明实施例中的提供虚拟私有网业务的方法进行描述。实施例三、请参阅图3,本发明实施例中提供虚拟私有网业务的方法的另一实施例包括:
本实施例仍以基础网络运营商提供VPLS业务为例。
301、接收请求消息;
当网络中有站点要接入VPLS时,站点运行安装在位于站点的边缘设备上的802.1x客户端向接入设备发送携带认证信息的请求消息,当接入设备接收到该请求消息就等同于接收到了站点请求接入VPLS的信息。
302、向后端设备转发请求消息;
接入设备向后端设备转发该请求消息,当通过后端设备对该请求消息的认证之后,后端设备可以生成接入设备的VPLS配置参数:路由目标参数和路由区分符参数,并将包含配置参数的报文发送给运营商边缘设备。
303、按照接收的配置参数进行配置;
接入设备接收到后端设备发送的路由目标参数和路由区分符参数,接入设备会在本地分配虚拟交换实例资源,再将接收的路由目标参数和路由区分符参数配置给分配完的虚拟交换实例,并将802.1x端口加入到虚拟交换实例。至此,接入设备将站点接入VPLS。
本实施例中,接入设备可以从后端设备接收到VPN的配置参数,按照该配置参数进行配置,从而将站点接入VPN,整个过程不需要网管人员的手动操作,提高了基础网络运营商提供VPN业务的效率。
下面以基础网络运营商提供BGP/MPLS三层VPN业务为例,通过一个具体应用场景对后端设备和接入设备的交互过程进行详细描述。实施例四、请参阅图4,本发明实施例中提供虚拟私有网业务的方法的另一实施例包括:
401、用户请求接入虚拟私有网;
用户先向前端设备发送BGP/MPLS三层VPN业务申请请求,然后前端设备将BGP/MPLS三层VPN的属性信息发送给后端设备,当接收到后端设备的响应后,前端设备再向用户反馈已接受BGP/MPLS三层VPN业务申请的消息。BGP/MPLS三层VPN的属性信息和VPLS属性信息大致相同,但是BGP/MPLS三层VPN的属性信息中必须携带接入IP地址池信息和环回IP地址池信息。
402、站点发送请求消息;
当网络中有站点要接入BGP/MPLS三层VPN时,站点运行安装在位于站点的边缘设备上的pppoe客户端向运营商边缘设备发送请求消息,并且该请求消息携带有使用该站点的用户在pppoe客户端输入的连接BGP/MPLS三层VPN的用户名和密码。然后作为Radius客户端的运营商边缘设备会将该请求消息以AAA认证数据包的形式转发给后端设备,后端设备采用的是AAA服务器系统,AAA服务器会对AAA认证数据包进行认证。pppoe客户端是VPN拨号客户端的另一种类型。
403、后端设备进行认证;
AAA服务器从接收的AAA认证数据包中,解析出使用该站点的客户在pppoe客户端输入的连接BGP/MPLS三层VPN的用户名和密码,将解析出的连接BGP/MPLS三层VPN的用户名和密码和预存在后端设备的认证表中的连接BGP/MPLS三层VPN的用户名和密码进行认证,而且认证的过程是加密传输。
404、后端设备发送配置参数;
当通过认证后,后端设备全局分配接入设备的VPN配置参数,在本实施例中,后端设备全局分配路由目标参数和路由区分符参数。
后端设备全局分配完路由目标参数和路由区分符参数之后,后端设备通过AAA服务器系统将路由目标参数和路由区分符参数作为基于Radius协议的报文载荷,通过Radius协议发送到接入设备,使得接入设备可以将站点的加入BGP/MPLS三层VPN。
405、接入设备按照配置参数进行配置;
接入设备接收到后端设备发送的路由目标参数和路由区分符参数后,会在本地分配VPN路由转发表资源,再将接收的BGP/MPLS三层VPN的路由目标参数和路由区分符参数配置给分配完的VPN路由转发表,本地创建ppp接口,将ppp接口加入到VPN路由转发表,在ppp接口上启动RIP路由协议,至此接入设备将站点接入BGP/MPLS三层VPN。
406、接入设备发送能够接入虚拟私有网的消息。
接入设备向位于站点的边缘设备发送能够接入VPN的消息。
本实施例中,后端设备能够自动将接入设备的VPN配置参数发送给接入设备,而且接入设备可以从后端设备接收到VPN配置参数,按照该VPN配置参数进行配置,快速让站点接入VPN,基础网络运营商的整个提供虚拟私有网业务的过程不需要网管人员的手动操作,提高了效率。
下面对本发明实施例中的后端设备进行描述,实施例五、请参阅图5,本发明实施例中的后端设备一个实施例包括:
接收请求消息单元501,用于接收由接入设备发送的请求接入虚拟私有网VPN的请求消息,该请求消息携带认证信息;
认证单元502,用于按照认证信息对该请求消息进行认证,该认证信息可以是连接虚拟私有网的用户名和密码时,认证单元502可以采用AAA服务器系统按照这个用户名和这个密码对请求消息进行认证
分配单元503,用于当请求消息通过认证后,全局分配接入设备的VPN配置参数;
发送参数单元504,用于将VPN配置参数发送给接入设备。
为了能够更快速的向客户提供VPN业务,本实施例中的接入设备还可以进一步具有如下特征:
业务申请单元505,用于接收VPN业务申请请求消息,VPN业务申请请求消息携带VPN属性信息,为VPN属性信息分配唯一标识,并保存VPN属性信息。
为了能够提高连接VPN的安全性,本实施例中的接入设备还可以进一步具有如下特征:
判断单元506,用于当请求消息通过认证之后,判断当前接入VPN的站点是否超过允许接入VPN的站点的最大数量,若是,则向站点反馈失败消息,若否,则全局分配接入设备的VPN配置参数,将VPN配置参数发送给接入设备。
判断单元506是从VPN的属性信息中提取出允许接入VPN的站点的最大数量。
当当前接入VPN的站点没有超过允许接入VPN的站点的最大数量时,分配单元503可以全局分配路由目标参数和路由区分符参数;发送参数单元504将VPN属性信息、路由目标和路由区分符作为基于Radius协议的报文载荷,通过Radius协议发送给接入设备,接入设备接收到Radius协议的报文后,让站点接入VPN。
下面对本发明实施例中的接入设备进行描述,实施例六、请参阅图6,本发明实施例中的接入设备一个实施例包括:
接收单元601,用于接入设备接收站点发送的请求接入虚拟私有网VPN的请求消息,该请求消息携带认证信息;
发送请求消息单元602,用于向后端设备发送该请求消息;
配置单元603,用于接收后端设备发送的VPN配置参数,按照VPN配置参数进行配置。
当站点发送的请求接入VPN的请求消息是站点通过802.1x客户端发送的,并且后端设备发送的VPN配置参数为路由目标参数和路由区分符参数,配置单元603可以本地分配虚拟交换实例资源,按照路由目标参数和路由区分符参数对虚拟交换实例进行配置,再将802.1x端口加入虚拟交换实例,至此接入设备将站点接入VPN。
或者,
当站点发送的请求接入VPN的请求消息是站点通过pppoe客户端发送的,并且后端设备发送的VPN配置参数为路由目标参数和路由区分符参数,配置单元603可以本地分配VPN路由转发表资源,按照路由目标参数和路由区分符参数对VPN路由转发表进行配置,本地创建ppp接口,将创建的ppp接口加入到VPN路由转发表,并在ppp接口启动路由信息协议,至此接入设备将站点接入VPN。
下面对本发明实施例中的提供虚拟私有网业务的系统进行描述,实施例七、请参阅图7,本发明实施例中的提供虚拟私有网业务的系统一个实施例包括:
后端设备701和接入设备702。
后端设备701可以是一系列运行VPN管理管理功能设备的统称,包括受理VPN业务申请的Web服务功能;包括全局资源管理功能,如全局分配VPN配置参数(例如全局分配唯一的RD/RT参数),发送VPN配置参数给接入设备702;还包括接入管理功能,如维护VPN上线站点的数量,记录上线站点的状态;还包括认证计费功能,对上线的站点按照用户名和密码进行认证,对上线的站点进行计时计流量,实现计费功能,这些功能通常运行在一个或者一组服务器上,可以统称为后端设备701。
接入设备702可以负责发送站点的请求接入VPN的请求消息发送到后端设备701,按照后端设备701发送的VPN配置参数进行配置,将站点接入VPN。
需要说明的是,本实施例中的后端设备701可以与前述图5所示的后端设备相同,本实施例中的接入设备702可以与前述图6所示的接入设备相同,具体此处不再赘述。
提供虚拟私有网业务的系统还包括:VPN拨入设备703,以及还可以包括前端设备704。
VPN拨入设备703,也就是位于站点的边缘设备,用于运行VPN拨号客户端的网络设备,负责为客户站点发起认证请求。
前端设备704,用于运行安装有WEB服务平台的个人计算机设备,用户使用前端设备704设备进行VPN业务的申请操作。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的提供虚拟私有网业务的方法、设备和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种提供虚拟私有网业务的方法,其特征在于,包括:
接收由接入设备发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
按照所述认证信息对所述请求消息进行认证;
当所述请求消息通过认证后,全局分配所述接入设备的VPN配置参数,将所述VPN配置参数发送给所述接入设备。
2.根据权利要求1所述的方法,其特征在于,在接收由接入设备发送的携带认证信息的请求消息的步骤之前,还包括:
接收VPN业务申请请求消息,所述VPN业务申请请求消息携带VPN属性信息,为所述VPN属性信息分配唯一标识,并保存所述VPN属性信息。
3.根据权利要求2所述的方法,其特征在于,所述认证信息是连接虚拟私有网的用户名和密码,按照所述认证信息对所述请求消息进行认证的步骤包括:
采用AAA服务器系统按照所述用户名和所述密码对所述请求消息进行认证。
4.根据权利要求3所述的方法,其特征在于,所述VPN属性信息为允许接入所述VPN的站点的最大数量,在采用AAA服务器系统按照所述用户名和所述密码对所述请求消息进行认证的步骤之后,还包括:
当所述请求消息通过认证之后,判断当前接入所述VPN的站点是否超过允许接入所述VPN的站点的最大数量,若是,则向所述站点反馈失败消息,若否,则全局分配所述接入设备的VPN配置参数,将所述VPN配置参数发送给所述接入设备。
5.根据权利要求2或3所述的方法,其特征在于,全局分配所述接入设备的VPN配置参数,将所述VPN配置参数发送给所述接入设备的步骤具体为:
全局分配所述接入设备的路由目标参数和路由区分符参数;
将所述VPN属性信息、所述路由目标参数和所述路由区分符参数作为基于Radius协议的报文载荷,通过Radius协议发送给所述接入设备。
6.一种提供虚拟私有网业务的方法,其特征在于,包括:
接入设备接收站点发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
向后端设备发送所述请求消息;
接收所述后端设备发送的VPN配置参数,按照所述VPN配置参数进行配置。
7.根据权利要求6所述的方法,其特征在于,
接入设备接收站点通过802.1x客户端发送的携带认证信息的请求消息,所所述VPN配置参数为路由目标参数和路由区分符参数,按照所述VPN配置参数进行配置的步骤为:
本地分配虚拟交换实例资源,按照所述路由目标参数和所述路由区分符参数对所述虚拟交换实例进行配置,再将802.1x端口加入所述虚拟交换实例;
或者,
接入设备接收站点通过pppoe客户端发送的携带认证信息的请求消息,所述VPN配置参数为路由目标参数和路由区分符参数,按照所述VPN的配置参数进行配置的步骤为:
本地分配VPN路由转发表资源,按照所述路由目标参数和所述路由区分符参数对所述VPN路由转发表进行配置,本地创建ppp接口,将所述ppp接口加入到所述VPN路由转发表,并在所述ppp接口启动路由信息协议。
8.一种后端设备,其特征在于,包括:
接收请求消息单元,用于接收由接入设备发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
认证单元,用于按照所述认证信息对所述请求消息进行认证;
分配单元,用于当所述请求消息通过认证后,全局分配所述接入设备的VPN配置参数;
发送参数单元,用于将所述VPN配置参数发送给所述接入设备。
9.根据权利要求8所述的后端设备,其特征在于,还包括:
业务申请单元,用于接收VPN业务申请请求消息,所述VPN业务申请请求消息携带VPN属性信息,为所述VPN属性信息分配唯一标识,并保存所述VPN属性信息。
10.根据权利要求9所述的后端设备,其特征在于,
所述认证信息是连接虚拟私有网的用户名和密码,所述认证单元采用AAA服务器系统按照所述用户名和所述密码对所述请求消息进行认证。
11.根据权利要求9所述的后端设备,其特征在于,所述VPN属性信息为允许接入所述VPN的站点的最大数量,还包括:
判断单元,用于当所述请求消息通过认证之后,判断当前接入所述VPN的站点是否超过允许接入所述VPN的站点的最大数量,若是,则向所述站点反馈失败消息,若否,则全局分配所述接入设备的VPN配置参数,将所述VPN配置参数发送给所述接入设备。
12.根据权利要求9或10所述的后端设备,其特征在于,
所述分配单元全局分配所述接入设备的路由目标参数和路由区分符参数;
所述发送参数单元将所述VPN属性信息、所述路由目标参数和所述路由区分符参数作为基于Radius协议的报文载荷,通过Radius协议发送给所述接入设备。
13.一种接入设备,其特征在于,包括:
接收单元,用于接入设备接收站点发送的请求接入虚拟私有网VPN的请求消息,所述请求消息携带认证信息;
发送请求消息单元,用于向后端设备发送所述请求消息;
配置单元,用于接收所述后端设备发送的VPN配置参数,按照所述VPN配置参数进行配置。
14.根据权利要求13所述的接入设备,其特征在于,包括:
所述接收单元用于接入设备接收站点通过802.1x客户端发送的携带认证信息的请求消息,所述VPN配置参数为路由目标参数和路由区分符参数,所述配置单元本地分配虚拟交换实例资源,按照所述路由目标参数和所述路由区分符参数对所述虚拟交换实例进行配置,再将802.1x端口加入所述虚拟交换实例;
或者,
所述接收单元用于接入设备接收站点通过pppoe客户端发送的携带认证信息的请求消息,所述VPN配置参数为路由目标参数和路由区分符参数,所述配置单元本地分配VPN路由转发表资源,按照所述路由目标参数和所述路由区分符参数对所述VPN路由转发表进行配置,本地创建ppp接口,将所述ppp接口加入到所述VPN路由转发表,并在所述ppp接口启动路由信息协议。
15.一种提供虚拟私有网业务的系统,其特征在于,包括:
如权利要求8至12中任一项所述的后端设备,和如权利要求13和14中任一项所述的接入设备。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010566397.2A CN102480403B (zh) | 2010-11-30 | 2010-11-30 | 提供虚拟私有网业务的方法、设备和系统 |
PCT/CN2011/075208 WO2011147334A1 (zh) | 2010-11-30 | 2011-06-02 | 提供虚拟私有网业务的方法、设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010566397.2A CN102480403B (zh) | 2010-11-30 | 2010-11-30 | 提供虚拟私有网业务的方法、设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102480403A true CN102480403A (zh) | 2012-05-30 |
CN102480403B CN102480403B (zh) | 2014-12-10 |
Family
ID=45003331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010566397.2A Active CN102480403B (zh) | 2010-11-30 | 2010-11-30 | 提供虚拟私有网业务的方法、设备和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102480403B (zh) |
WO (1) | WO2011147334A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
CN106302428A (zh) * | 2016-08-09 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种加密级别的自动部署方法和装置 |
CN107005603A (zh) * | 2016-08-30 | 2017-08-01 | 深圳前海达闼云端智能科技有限公司 | 用于ip地址分配的方法、装置、系统和计算机程序产品 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556497B (zh) | 2014-08-21 | 2022-06-10 | 华为技术有限公司 | 无线网络接入控制方法及设备、系统 |
US11496337B2 (en) | 2021-01-13 | 2022-11-08 | Cisco Technology, Inc. | Openroaming based remote worker |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725723A (zh) * | 2005-06-15 | 2006-01-25 | 杭州华为三康技术有限公司 | 提高虚拟专用网用户安全性的方法及系统 |
US20080034410A1 (en) * | 2006-08-03 | 2008-02-07 | Citrix Systems, Inc. | Systems and Methods for Policy Based Triggering of Client-Authentication at Directory Level Granularity |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
CN101159750B (zh) * | 2007-11-20 | 2011-12-07 | 杭州华三通信技术有限公司 | 一种身份认证方法和装置 |
-
2010
- 2010-11-30 CN CN201010566397.2A patent/CN102480403B/zh active Active
-
2011
- 2011-06-02 WO PCT/CN2011/075208 patent/WO2011147334A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725723A (zh) * | 2005-06-15 | 2006-01-25 | 杭州华为三康技术有限公司 | 提高虚拟专用网用户安全性的方法及系统 |
US20080034410A1 (en) * | 2006-08-03 | 2008-02-07 | Citrix Systems, Inc. | Systems and Methods for Policy Based Triggering of Client-Authentication at Directory Level Granularity |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
CN106302428A (zh) * | 2016-08-09 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种加密级别的自动部署方法和装置 |
CN106302428B (zh) * | 2016-08-09 | 2019-09-17 | 新华三技术有限公司 | 一种加密级别的自动部署方法和装置 |
CN107005603A (zh) * | 2016-08-30 | 2017-08-01 | 深圳前海达闼云端智能科技有限公司 | 用于ip地址分配的方法、装置、系统和计算机程序产品 |
Also Published As
Publication number | Publication date |
---|---|
WO2011147334A1 (zh) | 2011-12-01 |
CN102480403B (zh) | 2014-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9553846B2 (en) | Method and system for realizing virtual network | |
CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
CN111865621B (zh) | 接入网关的方法及装置 | |
CN107666419B (zh) | 一种虚拟宽带接入方法、控制器和系统 | |
CN104506670B (zh) | 建立网游连接的方法、设备及系统 | |
WO2013007158A1 (zh) | 虚拟私云接入网络的方法、网络侧设备和数据中心设备 | |
KR20120052981A (ko) | 적어도 하나의 가상 네트워크를 온더플라이 및 온디맨드 방식으로 배치하는 방법 및 시스템 | |
CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
CN108259632B (zh) | 一种cgn实现方法及装置 | |
CN107547351B (zh) | 地址分配方法和装置 | |
CN100583799C (zh) | 一种CDMA 1x LNS负载均衡的实现方法及系统 | |
CN107241454B (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
CN102480403B (zh) | 提供虚拟私有网业务的方法、设备和系统 | |
CN103634171A (zh) | 一种动态配置方法及装置、系统 | |
CN101610177A (zh) | 基于DHCP Server机制的业务配置的系统和方法 | |
CN108462683B (zh) | 认证方法和装置 | |
CN101873330B (zh) | 支持IPv6/IPv4双栈接入的访问控制方法和服务器 | |
CN100409630C (zh) | 提高虚拟专用网用户安全性的方法及系统 | |
EP3836487A1 (en) | Internet access behavior management system, device and method | |
WO2024000975A1 (zh) | 一种会话建立系统、方法、电子设备及存储介质 | |
CN114928509B (zh) | 一种宽带接入服务系统及其处理方法 | |
CN100477609C (zh) | 实现网络专线接入的方法 | |
CN108306807B (zh) | 开户管理方法及装置 | |
TW201517654A (zh) | 傳輸路徑控制系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |