CN103227773B - 一种建立虚拟专用拨号网络连接的方法及其系统 - Google Patents
一种建立虚拟专用拨号网络连接的方法及其系统 Download PDFInfo
- Publication number
- CN103227773B CN103227773B CN201210101670.3A CN201210101670A CN103227773B CN 103227773 B CN103227773 B CN 103227773B CN 201210101670 A CN201210101670 A CN 201210101670A CN 103227773 B CN103227773 B CN 103227773B
- Authority
- CN
- China
- Prior art keywords
- address
- list item
- remote subscriber
- lac
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种建立虚拟专用拨号网络连接的方法及其系统,当LAC接收到来自远端用户终端的连接请求后,首先查找本地的终端信息表项,并将终端信息通过AVP属性值对发送给LNS,LNS通过与自身的地址绑定表项进行比对,为远端用户终端分配IP地址,并将终端信息通过应答消息返还给LAC,最后建立远端用户终端与LNS之间的PPP会话。其中LAC设置有终端信息表项和终端信息表项撤销定时器,LNS设置有地址绑定表项和地址绑定撤销定时器,使得同一终端在同样的L2TP隧道中使用相同的IP地址,避免出现相关应用的大范围更新和连接中断,同时加快了L2TP隧道建立转发流程。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种建立虚拟专用拨号网络连接的方法及其系统。
背景技术
虚拟专用网(VPN)为出差流动员工、远程办公人员和远程小办公室提供通过公用网络与企业内部网络建立私有的网络连接,实现远程办公。虚拟专用拨号网络VPDN(VirtualPrivateDial-upNetwork),是指利用公共网络的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。二层隧道协议L2TP(Layer2tunnelingProtocol)是一种对点对点协议PPP链路层数据包进行封装,并通过隧道进行传输的技术,是目前使用最为广泛的VPDN隧道协议。
采用L2TP构建虚拟专用网络,其典型组网如图1所示,主要包括:远端用户终端、L2TP访问集中器(LAC)和网络服务器(LNS)。其中,远端用户终端是要接入私有网络Intranet的远端用户设备或分支结构,通常是一个远端用户终端或私有分支网络的一台路由设备。LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地服务提供商ISP的NAS(NetworkAccessServer,网络接入服务器),主要用于为远端用户终端提供接入服务。LAC作为L2TP隧道的端点,位于LNS和远端用户终端之间,用于在LNS和远端用户终端之间传递信息包。它把从远端用户终端收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端用户终端。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。通常作为一个私有网络的边缘设备。在该组网中,通过在公网中建立L2TP隧道连接,将远端用户终端的PPP连接的另一端由LAC在逻辑上延伸到了私有网络的LNS,从而实现远端用户终端接入私有网络。
L2TP在L2TP封装过程中使用两种类型的消息:控制消息和数据隧道消息。L2TP控制消息负责创建、维护以及终止L2TP隧道,L2TP数据隧道分组负责用户的PPP数据的真正的传输。对于发送控制消息和数据消息而言,L2TP使用相同的帧格式。在帧的头部,有一个类型字段表示该帧为数据消息还是控制消息。在发送控制消息时候,L2TP分组后面将紧跟着一个或几个属性值对(AttributeValuePair,AVP),使用AVP来定义消息使得L2TP协议未来的扩展变得非常容易,控制消息中要携带的相关参数,就使用AVP来携带。在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。
AVP结构如图2所示,其中:
M:强制位,该位置1时,不识别的AVP将导致相应的session或隧道终止;
H:隐藏标志位,该位置1,表示AVP值被隐藏显示;
rsvd:保留位。
Length:AVP报文长度。
AttributeType:属性类型定义。
AttributeValue:属性值。
UntilLengthisreached:直到达到长度。
简单讲VPDN为远端用户与私有企业网之间提供一种经济而有效的点到点连接方式。但是当同一个远端用户终端重新拨号接入或者在不同时间以L2TP隧道方式接入,现有技术中私有网络侧的LNS设备根据现有策略将分配不同的IP地址,此时网络中所有基于终端设备IP地址的应用均需要更新,否则将无法使用。大量的更新将加重服务器负担,同时如更新出现问题,将导致部分应用不可用。
发明内容
本发明的目的是为了解决同一远端用户终端重新拨号接入或者在不同时间以L2TP隧道方式接入时将分配不同的IP地址问题,使同一终端在同样的L2TP隧道中使用相同的IP地址,避免出现相关应用的大范围更新和连接中断。
一种建立虚拟专用拨号网络连接的方法,应用于包括访问集中器LAC和网络服务器LNS的二层隧道协议L2TP虚拟专用拨号网络,所述方法包括步骤:
(1)远端用户终端向LAC发起建立PPP连接请求;
(2)LAC收到请求后查找终端信息表项,若能找到所述远端用户终端对应的表项,则与远端用户终端建立PPP连接,进入步骤(4);
(3)若不能找到所述远端用户终端对应的表项,则LAC与远端用户终端进行链路控制协议LCP协商后建立与LNS的L2TP隧道,并增加所述远端用户终端对应的终端信息表项;
(4)L2TP隧道建立之后,LAC向LNS发起拨入会话连接请求消息,所述请求消息中携带远端用户终端信息;
(5)LNS收到请求消息后,根据请求消息中携带的远端用户终端信息,查找自身的地址绑定表项,根据查找结果分配IP地址,通过应答消息返还给LAC;
(6)LAC收到LNS的应答消息后,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与消息中携带的IP地址一致,则LAC直接回应并将该地址分配给远端用户终端;如不一致,则根据应答消息中携带的IP地址信息更新LAC的终端信息表项;
(7)LAC将远端用户终端的相关PPP参数通过L2TP会话转发给LNS,LNS和远端用户终端通过链路控制协议LCP和网络控制协议NCP的协商完成PPP的认证和地址分配然后建立PPP会话。
所述终端信息表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID及远端用户终端IP地址信息。
所述步骤(5)中的地址绑定表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID、远端用户终端IP地址信息和地址绑定标志;所述的步骤(5)还包括步骤:
(5.1)首先查找自身的地址绑定表项,如能找到与请求消息中携带的远端用户终端信息相应的表项,且该表项中的IP地址与请求消息中携带的IP地址一致,则更新LNS端地址绑定标志为1,标识此IP地址处于绑定状态,并将请求消息中携带的远端用户终端信息封装到应答消息中的AVP属性值对中;
(5.2)如能找到与请求消息中携带的远端用户终端信息相应的表项,但该表项中的IP地址与请求消息中携带的IP地址不一致,则更新LNS中地址绑定标志为0,标识此IP地址处于拟绑定状态,在回应LAC的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为地址绑定表项中对应远端用户终端的IP地址;
(5.3)如未能找到相应的表项,则从地址池中选取一个未分配IP地址,在地址绑定表项中新增该远端用户终端信息,其中终端用户名和MAC地址信息为请求消息中携带的值,IP地址为新分配的IP地址,且该表项对应的地址绑定标志值设为0,同时在回应给LAC的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为新分配给该远端用户终端的IP地址。
所述步骤(2),(3),(5)中所述的对应的表项,是指该表项中包含所述远端用户终端的用户名和MAC地址和对应的L2TP隧道ID,所述LAC,LNS在进行比对的时候,如果能在终端信息表项或地址绑定表项中找到所述远端用户终端的用户名和MAC地址和对应的L2TP隧道ID,则认为找到对应的表项。
所述请求消息和应答消息通过AVP属性值对来携带远端用户终端信息,所述的AVP属性类型为远端用户终端信息,属性值为远端用户终端用户名,MAC地址信息和IP地址信息。
所述步骤(7)中如远端用户终端对应的地址绑定表项处于绑定状态时,则NCP的协商过程可忽略,如地址绑定表项处于拟绑定状态时,则NCP协商时可将地址绑定表项中对应的IP地址分配给远端用户终端,且更新地址绑定标志为1。
进一步地,当远端用户终端与LNS之间的PPP连接断开或LAC与LNS之间对应的L2TP会话断开时,LNS地址绑定标志设为0,启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除LNS上远端用户终端对应的地址绑定表项;当LAC与LNS之间的L2TP隧道撤销后,LNS更新地址绑定表项中L2TP隧道ID值和相应的地址绑定标志值全设为0,并启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除对应的地址绑定表项。
进一步地,LAC与LNS之间对应的L2TP隧道撤销或L2TP会话撤销后,LAC启动终端信息表项撤销定时器,所述终端信息表项撤销定时器到期后才能删除LAC上该隧道对应的远端用户终端表项。
一种虚拟专用拨号网络系统,所述系统包括LAC与LNS,远端用户终端通过所述系统与内部服务器建立虚拟专用拨号网络连接,所述LAC设置有终端信息表项,用于与来自远端用户终端的连接请求中的远端用户终端信息以及与来自LNS应答消息中的远端用户终端信息进行比对;
所述LAC设置有LAC比对响应单元,用于根据比对结果,进行响应;
所述的LAC设置有终端信息表项撤销定时器,用于当LAC与LNS之间对应的L2TP隧道撤销或L2TP会话撤销后,LAC启动终端信息表项撤销定时器,所述终端信息表项撤销定时器到期后才能删除LAC上该隧道对应的远端用户终端表项;
所述LNS设置有地址绑定表项,用于与来自LAC的请求消息中携带的远端用户终端信息进行比对;
所述LNS设置有LNS比对响应单元,用于根据地址绑定表项查找结果,更新地址绑定表项,并将地址绑定表项中的终端信息封装在应答消息AVP属性值对中返还给LAC;
所述LNS还设置有地址绑定撤销定时器,用于当远端用户终端与LNS之间的PPP连接断开或LAC与LNS之间对应的L2TP会话断开时,或当LAC与LNS之间的L2TP隧道撤销后,启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除LNS上远端用户终端对应的地址绑定表项。
所述的终端信息表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID及远端用户终端IP地址信息。
所述LAC比对响应单元还包括:
用于当LAC收到远端用户终端连接请求后查找终端信息表项,若能找到对应的表项,则将远端用户终端信息通过AVP属性值对封装在请求消息中发起与LNS的L2TP会话的装置;
用于当LAC收到远端用户终端连接请求后查找终端信息表项,若找不到对应的表项,则LAC与远端用户终端进行LCP协商后建立与LNS的L2TP隧道,并增加与所述远端用户终端对应的终端信息表项后,将远端用户终端信息通过AVP属性值对封装在请求消息中发起与LNS的L2TP会话的装置;
用于当LAC收到来自LNS的应答消息后,查找终端信息表项,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与应答消息中携带的IP地址一致,则LAC直接回应并将该地址分配给远端用户终端的装置;
用于当LAC收到来自LNS的应答消息后,查找终端信息表项,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与应答消息中携带的IP地址不一致,则根据应答消息中携带的IP地址信息更新LAC的终端信息表项的装置。
所述的地址绑定表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID,远端用户终端IP地址信息和地址绑定标志。
所述LNS比对响应单元还包括:
用于如能找到与请求消息中携带的远端用户终端信息相应的表项,且该表项中的IP地址与请求消息中携带的IP地址一致,则更新LNS端地址绑定标志为1,标识此IP地址处于绑定状态,并将请求消息中携带的远端用户终端信息封装到应答消息中的AVP属性值对中的装置;
用于如能找到与请求消息中携带的远端用户终端信息相应的表项,但该表项中的IP地址与请求消息中携带的IP地址不一致,则更新LNS中地址绑定标志为0,标识此IP地址处于拟绑定状态,在回应LAC的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为地址绑定表项中对应远端用户终端的IP地址的装置;
用于如未能找到相应的表项,则从地址池中选取一个未分配IP地址,在地址绑定表项中新增该远端用户终端对应的地址绑定表项,其中终端用户名和MAC地址信息为请求消息中携带的值,IP地址为新分配的IP地址,且该表项对应的地址绑定标志值设为0,同时在回应给LAC的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为新分配给该远端用户终端的IP地址的装置。
本发明通过对L2TP协议会话建立机制进行改进,从而使得LNS设备可以根据网络需求准确分配IP地址,同一终端在同样的L2TP隧道中使用相同的IP地址,避免出现相关应用的大范围更新和连接中断。
LAC记录终端相关信息,如记录地址与LNS分配地址一致,则立即给终端分配IP地址,加快了L2TP隧道建立转发流程。
附图说明
图1为VPDN典型组网结构示意图;
图2为AVP结构示意图;
图3为本发明建立虚拟专用拨号网络连接的方法流程图;
图4为本发明虚拟专用拨号网络系统结构示意图。
具体实施方式
下面结合附图对本发明的具体实施过程作具体阐述。
如图3所示,用户名为终端1,MAC地址为MAC1的远端用户终端通过访问集中器LAC1,和L2TP网络服务器LNS1与企业网内部服务器建立虚拟专用拨号网络连接,本发明建立虚拟专用拨号网络连接的方法包括如下步骤:
步骤301、终端1向LAC1发起建立PPP连接请求。
步骤302、LAC1收到请求后首先查找终端信息表项,如能在终端信息表项中查找到包含终端1和MAC1的表项,则与终端1建立PPP连接,直接进入步骤304,此时LAC1不更新终端信息表项。
步骤303、如不能在终端信息表项中查找到包含终端1和MAC1的表项,则LAC1根据终端1的LCP认证信息查找匹配的L2TP隧道,如有匹配的L2TP隧道,则增加本地的终端信息表项,将终端1,MAC1及匹配的L2TP隧道ID填入,远端用户终端IP栏可暂时填为0.0.0.0,转入步骤304;
如果没有匹配的L2TP组,则说明接入的终端1为新接入的用户终端,此时触发L2TP隧道建立流程,与LNS1建立L2TP隧道并增加本地的终端信息表项,将终端1,MAC1地址及新建立的L2TP隧道ID填入,远端用户终端IP栏可暂时填为0.0.0.0。
终端信息表项如表1所示,包括远端用户终端用户名信息,MAC地址信息,L2TP隧道ID信息和远端用户终端的IP地址信息。由于L2TP隧道为一次建立,多次复用,因此LAC根据远端用户终端的LCP协商中的认证信息查找匹配的L2TP隧道,如已经建立,则表项中L2TP隧道ID信息为对应的查找到的隧道ID信息。如未建立,LAC向LNS建立L2TP隧道,之后向表项中填入建立的隧道ID信息。
假设终端1与LAC1建立的L2TP隧道ID为VT1,则LAC1与终端1建立PPP连接后,LAC1将终端1对应的MAC1地址、L2TP隧道IDVT1记录在终端信息表项中,远端用户终端IP栏可暂时填为0.0.0.0。
| 远端用户终端 | MAC地址 | 隧道ID | 远端用户终端IP |
| 终端1 | MAC1 | VT1 | 0.0.0.0 |
表1
步骤304、L2TP隧道建立之后,开始建立L2TP会话,LAC1向LNS1发起拨入会话(IncomingSession)连接请求ICRQ消息,消息中利用AVP属性值对来携带远端用户终端信息,包括终端1、MAC1和IP地址信息。
这里的AVP属性值对定义如下,将属性类型(AttributeType)定义为远端用户终端信息,属性值(AttributeValue)为远端用户终端的用户名、MAC地址信息和IP地址信息。
步骤305、LNS1收到请求消息后,查找自身的地址绑定表项,如果找到终端1和MAC1对应的表项,进入步骤306,否则进入步骤309。
步骤306、比较查找到的终端1对应的表项中的IP地址信息是否与请求消息中携带的IP地址信息一致,如果一致进入步骤307,否则进入步骤308。
步骤307、如果该表项中携带的IP地址与请求消息中携带的IP地址一致,则更新LNS1端地址绑定标志为1,标识此IP地址处于绑定状态,并将请求消息中携带的远端用户终端信息封装到应答消息中的AVP属性值对中,然后进入步骤310。
步骤308、如果该表项中携带的IP地址与请求消息中携带的IP地址不一致(包括请求消息中携带的IP地址为全0值),则更新LNS1中地址绑定标志为0,标识此IP地址处于拟绑定状态,在回应LAC1的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为地址绑定表项中对应远端用户终端的IP地址,然后进入步骤310。
步骤309、如未能找到请求消息中携带的终端1和MAC1对应的表项,则从地址池中选取一个未分配IP地址,在地址绑定表项中新增该远端用户终端信息:终端用户名和MAC地址信息为请求消息中携带的值终端1和MAC1,IP地址为新分配的IP地址,且该表项对应的地址绑定标志值设为0,同时在回应给LAC1的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为新分配给该远端用户终端的IP地址。
假设为终端1分配的IP地址为IP_SC1,则地址绑定表项更新为表2,其中绑定标志如果比对一致则为1,否则为0:
表2
应答消息用于携带终端信息的AVP属性值对,其属性类型(AttributeType)为远端用户终端信息,属性值(AttributeValue)为远端用户终端的用户名、MAC地址信息和IP地址信息,即AVP属性值对携带的远端用户终端信息为终端1,MAC1和IP_SC1。
步骤310、LAC1收到LNS1的应答消息后,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与消息中携带的IP地址一致,都为IP_SC1,则LAC1直接回应并将该地址分配给终端1,进入步骤312,否则进入步骤311。
步骤311、如不一致,则根据应答消息中携带的终端IP地址信息更新LAC1端对应的终端信息表项,即将终端信息表项中的IP地址更新为IP_SC1。
步骤312、LAC1将终端1的相关PPP参数通过L2TP会话转发给LNS1,LNS1和终端1通过LCP和NCP的协商完成PPP的认证和地址分配,然后建立PPP会话。
其中如终端1对应的地址绑定表项处于绑定状态时,则NCP的协商过程可忽略,如地址绑定表项处于拟绑定状态时,则NCP协商时可将表项中对应的IP地址IP_SC1分配给终端1,且更新地址绑定标志为1,即此时才进行正式的绑定。
当终端1与LNS1之间的PPP连接断开或LAC1与LNS1之间对应的L2TP会话断开时,LNS1地址绑定标志设为0,启动地址绑定撤销定时器,启动所述地址绑定定时器后,按照设定值开始计时,所述地址绑定定时器可以设置为0-60分钟,所述地址绑定撤销定时器到期后才能删除LNS1上终端1对应的地址绑定表项;当LAC1与LNS1之间的L2TP隧道撤销后,LNS1更新地址绑定表项中L2TP隧道ID值和相应的地址绑定标志值全设为0,并启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除对应的地址绑定表项,这样确保不会残留大量的无效地址绑定表项,从而占用大量资源。
LAC1与LNS1之间对应的L2TP隧道撤销或L2TP会话撤销后,LAC1启动终端信息表项撤销定时器,启动所述终端信息表项撤销定时器后,按照设定值开始计时,所述终端信息表项撤销定时器可以设置为0-60分钟,定时器到期后才能删除LAC1上该隧道对应的远端用户终端表项,这样可以避免LAC1上残留大量的无效终端信息,占用设备表项资源。
如图4所示,本发明还提出了一种虚拟专用拨号网络系统,终端1通过LAC1接入LNS1,建立VPDN虚拟专用拨号网络连接,所述LAC1设置有终端信息表项41,用于与来自远端用户终端的连接请求中的远端用户终端信息以及与来自LNS1应答消息中的远端用户终端信息进行比对。
所述LAC1设置有LAC比对响应单元42,用于根据比对结果,进行响应;当LAC1收到终端1连接请求后查找终端信息表项41,若能找到终端1对应的表项,则将终端1信息通过AVP属性值对封装在请求消息中发起与LNS1的L2TP会话;当LAC1收到终端1连接请求后查找终端信息表项41,若找不到终端1对应的表项,则LAC1与终端1进行LCP协商后建立与LNS1的L2TP隧道,并增加终端1对应的表项到终端信息表项41中后,将终端1信息通过AVP属性值对封装在请求消息中发起与LNS1的L2TP会话;当LAC1收到来自LNS1的应答消息后,查找终端信息表项41,将应答消息所携带IP地址信息与终端信息表项41进行比较,如表项中的终端1IP地址与应答消息中携带的IP地址一致,则LAC1直接回应并将该地址分配给终端1;当LAC1收到来自LNS1的应答消息后,查找终端信息表项41,将应答消息所携带IP地址信息与终端信息表项41进行比较,如表项中的终端1IP地址与应答消息中携带的IP地址不一致,则根据应答消息中携带的IP地址信息更新LAC1的终端信息表项41。
所述的LAC1设置有终端信息表项撤销定时器43,用于当LAC1与LNS1之间对应的L2TP隧道撤销或L2TP会话撤销后,LAC1启动终端信息表项撤销定时器43,所述终端信息表项撤销定时器43到期后才能删除LAC1上该隧道对应的终端1表项。
所述LNS1设置有地址绑定表项44,用于与来自LAC1的请求消息中携带的终端1信息进行比对。
所述LNS1设置有LNS比对响应单元45,用于根据比对结果进行响应,如能找到与请求消息中携带的终端1信息相应的表项,且该表项中的IP地址与请求消息中携带的IP地址一致,则更新LNS1端地址绑定标志为1,标识此IP地址处于绑定状态,并将请求消息中携带的终端1信息封装到应答消息中的AVP属性值对中;如能找到与请求消息中携带的终端1信息相应的表项,但该表项中的IP地址与请求消息中携带的IP地址不一致,则更新LNS1中地址绑定标志为0,标识此IP地址处于拟绑定状态,在回应LAC1的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为地址绑定表项44中对应终端1的IP地址;如未能找到相应的表项,则从地址池中选取一个未分配IP地址,在地址绑定表项44中新增该终端1对应的表项,其中终端用户名和MAC地址信息为请求消息中携带的值,IP地址为新分配的IP地址,且该表项对应的地址绑定标志值设为0,同时在回应给LAC1的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为新分配给该终端1的IP地址。
所述LNS1还设置有地址绑定撤销定时器46,用于当终端1与LNS1之间的PPP连接断开或LAC1与LNS1之间对应的L2TP会话断开时,或当LAC1与LNS1之间的L2TP隧道撤销后,启动地址绑定撤销定时器46,所述地址绑定撤销定时器46到期后才能删除从地址绑定表项44中删除与终端1对应的表项。
所述的终端信息表项41包括终端用户名,MAC地址,对应的L2TP隧道ID及终端IP地址信息。所述的地址绑定表项44包括终端用户名,MAC地址,对应的L2TP隧道ID,终端IP地址信息和地址绑定标志。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的一般技术人员来说,本发明还可以有各种更改和变化。在不脱离本发明原理的前提下,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种建立虚拟专用拨号网络连接的方法,应用于包括访问集中器LAC和网络服务器LNS的二层隧道协议L2TP虚拟专用拨号网络,其特征在于,所述方法包括步骤:
步骤1、远端用户终端向LAC发起建立点对点PPP连接请求;
步骤2、LAC收到请求后查找终端信息表项,若能找到远端用户终端对应的表项,则与远端用户终端建立PPP连接,进入步骤4;
步骤3、若不能找到与远端用户终端对应的表项,则LAC与远端用户终端进行链路控制协议LCP协商后建立与LNS的L2TP隧道,并增加所述远端用户终端对应的终端信息表项;
步骤4、LAC向LNS发起拨入会话连接请求消息,所述请求消息中携带远端用户终端信息;
步骤5、LNS收到请求消息后,根据请求消息中携带的远端用户终端信息,查找自身的地址绑定表项,如能找到与所述远端用户终端信息对应的地址绑定表项,将找到的地址绑定表项中的IP地址通过应答消息返还给LAC;如未能找到与所述远端用户终端信息对应的地址绑定表项,则从地址池中选取一个未分配IP地址通过应答消息返还给LAC;
步骤6、LAC收到LNS的应答消息后,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与消息中携带的IP地址一致,则LAC直接回应并将该地址分配给远端用户终端;如不一致,则根据应答消息中携带的IP地址信息更新LAC的终端信息表项;
步骤7、LAC将远端用户终端的相关PPP参数通过L2TP会话转发给LNS,LNS和远端用户终端通过链路控制协议LCP和网络控制协议NCP的协商完成PPP的认证和地址分配然后建立PPP会话。
2.如权利要求1所述的建立虚拟专用拨号网络连接的方法,其特征在于,所述终端信息表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID及远端用户终端IP地址信息。
3.如权利要求2所述的建立虚拟专用拨号网络连接的方法,其特征在于,所述步骤5中的地址绑定表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID、远端用户终端IP地址信息和地址绑定标志。
4.如权利要求3所述的建立虚拟专用拨号网络连接的方法,其特征在于,所述的步骤5还包括步骤:
步骤5.1、首先查找自身的地址绑定表项,如能找到与请求消息中携带的远端用户终端信息对应的表项,且该表项中的IP地址与请求消息中携带的IP地址一致,则更新LNS端地址绑定标志为1,标识所述表项中的IP地址处于绑定状态,并将请求消息中携带的远端用户终端信息封装到应答消息中;
步骤5.2如能找到与请求消息中携带的远端用户终端信息对应的表项,但该表项中的IP地址与请求消息中携带的IP地址不一致,则更新LNS中地址绑定标志为0,标识所述表项中的IP地址处于拟绑定状态,在回应LAC的应答消息中携带更新后的终端信息,所携带IP地址为地址绑定表项中对应远端用户终端的IP地址;
步骤5.3如未能找到与请求消息中携带的远端用户终端信息对应的表项,则从地址池中选取一个未分配IP地址,在地址绑定表项中新增该远端用户终端信息,其中终端用户名和MAC地址信息为请求消息中携带的值,IP地址为新分配的IP地址,且该表项对应的地址绑定标志值设为0,同时在回应给LAC的应答消息中携带更新后的远端用户终端信息,所携带IP地址为新分配给该远端用户终端的IP地址。
5.如权利要求4所述的建立虚拟专用拨号网络连接的方法,其特征在于,所述步骤2,3,5中所述的对应的表项,是指该表项中包含所述远端用户终端的用户名和MAC地址和对应的L2TP隧道ID。
6.如权利要求4所述的建立虚拟专用拨号网络连接的方法,其特征在于,所述请求消息和应答消息通过AVP属性值对来携带远端用户终端信息,所述的AVP属性类型为远端用户终端信息,属性值为远端用户终端用户名,MAC地址信息和IP地址信息。
7.如权利要求6所述的建立虚拟专用拨号网络连接的方法,其特征在于,所述步骤7中如远端用户终端对应的地址绑定表项处于绑定状态时,则NCP的协商过程可忽略,如地址绑定表项处于拟绑定状态时,则NCP协商时可将地址绑定表项中对应的IP地址分配给远端用户终端,且更新地址绑定标志为1。
8.如权利要求1-7中任一项权利要求所述的建立虚拟专用拨号网络连接的方法,其特征在于,当远端用户终端与LNS之间的PPP连接断开或LAC与LNS之间对应的L2TP会话断开时,LNS地址绑定标志设为0,启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除LNS上远端用户终端对应的地址绑定表项;当LAC与LNS之间的L2TP隧道撤销后,LNS更新地址绑定表项中L2TP隧道ID值和相应的地址绑定标志值全设为0,并启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除对应的地址绑定表项。
9.如权利要求1-7中任一项权利要求所述的建立虚拟专用拨号网络连接的方法,其特征在于,LAC与LNS之间对应的L2TP隧道撤销或L2TP会话撤销后,LAC启动终端信息撤销定时器,所述终端信息撤销定时器到期后才能删除LAC上该隧道对应的远端用户终端表项。
10.一种虚拟专用拨号网络系统,用于远端用户终端通过访问集中器LAC与网络服务器LNS与企业内部服务器建立虚拟专用拨号网络连接,其特征在于:
所述LAC设置有终端信息表项,用于与来自远端用户终端的连接请求中的远端用户终端信息以及与来自LNS应答消息中的远端用户终端信息进行比对;
所述LAC设置有LAC比对响应单元,用于当LAC收到远端用户终端连接请求后查找终端信息表项,若能找到对应的表项,则将远端用户终端信息通过AVP属性值对封装在请求消息中发起与LNS的L2TP会话;当LAC收到远端用户终端连接请求后查找终端信息表项,若找不到对应的表项,则LAC与远端用户终端进行LCP协商后建立与LNS的L2TP隧道,并增加与远端用户终端对应的终端信息表项后,将远端用户终端信息通过AVP属性值对封装在请求消息中发起与LNS的L2TP会话;当LAC收到来自LNS的应答消息后,查找终端信息表项,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与应答消息中携带的IP地址一致,则LAC直接回应并将该地址分配给远端用户终端;当LAC收到来自LNS的应答消息后,查找终端信息表项,将应答消息所携带IP地址信息与终端信息表项进行比较,如表项中的远端用户终端IP地址与应答消息中携带的IP地址不一致,则根据应答消息中携带的IP地址信息更新LAC的终端信息表项;
所述的LAC设置有终端信息表项撤销定时器,用于当LAC与LNS之间对应的L2TP隧道撤销或L2TP会话撤销后,LAC端启动终端信息撤销定时器,所述终端信息撤销定时器到期后才能删除LAC上该隧道对应的远端用户终端表项;
所述LNS设置有地址绑定表项,用于与来自LAC的请求消息中携带的远端用户终端信息进行比对;
所述LNS设置有LNS比对响应单元,用于如能找到与请求消息中携带的远端用户终端信息对应的地址绑定表项,将找到的地址绑定表项中的IP地址通过应答消息返还给LAC;如未能找到与请求消息中携带的远端用户终端信息对应的地址绑定表项,则从地址池中选取一个未分配IP地址通过应答消息返还给LAC;
所述LNS还设置有地址绑定撤销定时器,用于当远端用户终端与LNS之间的PPP连接断开或LAC与LNS之间对应的L2TP会话断开时,或当LAC与LNS之间的L2TP隧道撤销后,启动地址绑定撤销定时器,所述地址绑定撤销定时器到期后才能删除LNS上远端用户终端对应的地址绑定表项。
11.如权利要求10所述的虚拟专用拨号网络系统,其特征在于,所述的终端信息表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID及远端用户终端IP地址信息。
12.如权利要求10所述的虚拟专用拨号网络系统,其特征在于,所述的地址绑定表项包括远端用户终端用户名,MAC地址,对应的L2TP隧道ID,远端用户终端IP地址信息和地址绑定标志。
13.如权利要求12所述的虚拟专用拨号网络系统,其特征在于,所述LNS比对响应单元还包括:
用于如能找到与请求消息中携带的远端用户终端信息相应的表项,且该表项中的IP地址与请求消息中携带的IP地址一致,则更新LNS端地址绑定标志为1,标识所述表项中的IP地址处于绑定状态,并将请求消息中携带的远端用户终端信息封装到应答消息中的AVP属性值对中的装置;
用于如能找到与请求消息中携带的远端用户终端信息相应的表项,但该表项中的IP地址与请求消息中携带的IP地址不一致,则更新LNS中地址绑定标志为0,标识所述表项中的IP地址处于拟绑定状态,在回应LAC的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为地址绑定表项中对应远端用户终端的IP地址的装置;
用于如未能找到相应的表项,则从地址池中选取一个未分配IP地址,在地址绑定表项中新增该远端用户终端对应的地址绑定表项,其中终端用户名和MAC地址信息为请求消息中携带的值,IP地址为新分配的IP地址,且该表项对应的地址绑定标志值设为0,同时在回应给LAC的应答消息中通过AVP属性值对携带更新后的终端信息,所携带IP地址为新分配给该远端用户终端的IP地址的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210101670.3A CN103227773B (zh) | 2012-03-31 | 2012-03-31 | 一种建立虚拟专用拨号网络连接的方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210101670.3A CN103227773B (zh) | 2012-03-31 | 2012-03-31 | 一种建立虚拟专用拨号网络连接的方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103227773A CN103227773A (zh) | 2013-07-31 |
| CN103227773B true CN103227773B (zh) | 2016-05-11 |
Family
ID=48838036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210101670.3A Active CN103227773B (zh) | 2012-03-31 | 2012-03-31 | 一种建立虚拟专用拨号网络连接的方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103227773B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104661A (zh) * | 2013-04-09 | 2014-10-15 | 中兴通讯股份有限公司 | 客户端、服务器、远程用户拨号认证能力协商方法及系统 |
| CN103685310B (zh) * | 2013-12-27 | 2017-01-04 | 恒为科技(上海)股份有限公司 | 一种用于虚拟专用拨号网中动态数据注入的装置及其方法 |
| CN104660472B (zh) * | 2015-03-12 | 2018-04-27 | 中国联合网络通信集团有限公司 | 二层隧道协议l2tp网络仿真系统的配号方法和装置 |
| CN106375376B (zh) * | 2016-08-25 | 2020-04-14 | 迈普通信技术股份有限公司 | 资源回收方法及装置 |
| CN107294831A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | 地址分配方法及装置 |
| CN107566476B (zh) * | 2017-08-25 | 2020-03-03 | 中国联合网络通信集团有限公司 | 一种接入方法、sdn控制器、转发设备及用户接入系统 |
| CN109600292B (zh) * | 2018-12-24 | 2021-09-28 | 安徽皖通邮电股份有限公司 | 一种lac路由器自拨号发起l2tp隧道连接的方法及系统 |
| CN113645236B (zh) * | 2021-08-10 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 一种报文处理方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272403A (zh) * | 2008-05-27 | 2008-09-24 | 华为技术有限公司 | 实现dhcp用户业务批发的方法、系统和设备 |
| CN102055639A (zh) * | 2009-11-10 | 2011-05-11 | 杭州华三通信技术有限公司 | 建立远程访问虚拟专用网连接的方法和访问集中器 |
| CN102111326A (zh) * | 2009-12-25 | 2011-06-29 | 杭州华三通信技术有限公司 | 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 |
| CN102148881A (zh) * | 2011-03-30 | 2011-08-10 | 华为技术有限公司 | 地址处理方法及装置 |
| CN102394889A (zh) * | 2011-11-15 | 2012-03-28 | 迈普通信技术股份有限公司 | 一种接入网络服务器的方法及接入系统 |
-
2012
- 2012-03-31 CN CN201210101670.3A patent/CN103227773B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272403A (zh) * | 2008-05-27 | 2008-09-24 | 华为技术有限公司 | 实现dhcp用户业务批发的方法、系统和设备 |
| CN102055639A (zh) * | 2009-11-10 | 2011-05-11 | 杭州华三通信技术有限公司 | 建立远程访问虚拟专用网连接的方法和访问集中器 |
| CN102111326A (zh) * | 2009-12-25 | 2011-06-29 | 杭州华三通信技术有限公司 | 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 |
| CN102148881A (zh) * | 2011-03-30 | 2011-08-10 | 华为技术有限公司 | 地址处理方法及装置 |
| CN102394889A (zh) * | 2011-11-15 | 2012-03-28 | 迈普通信技术股份有限公司 | 一种接入网络服务器的方法及接入系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103227773A (zh) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103227773B (zh) | 一种建立虚拟专用拨号网络连接的方法及其系统 | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| CN103685026A (zh) | 一种虚拟网络的接入方法和系统 | |
| CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
| WO2015085808A1 (zh) | 移动终端自动切换不同通道联网接口的安全应用系统 | |
| CN101228765B (zh) | 一种实现虚拟拨号接入网络的接入动态更新的方法 | |
| JP2014532368A (ja) | トラフィックエンジニアリングトンネルに基づく仮想プライベートネットワーク実行方法及びシステム | |
| CN103067416A (zh) | 一种虚拟私云接入认证方法及相关装置 | |
| CN103095654B (zh) | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 | |
| WO2009132594A1 (zh) | 实现私网之间转发数据的方法和系统 | |
| CN105025044A (zh) | 一种设备控制方法及系统 | |
| CN102724767B (zh) | 一种移动用户的虚拟专用网接入方法及其装置 | |
| WO2007141840A1 (ja) | 中継ネットワークシステム及び端末アダプタ装置 | |
| CN104811371A (zh) | 一种全新的即时通信系统 | |
| CN106789527A (zh) | 一种专线网络接入的方法及系统 | |
| CN107241454A (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
| WO2011147342A1 (zh) | 交换路由信息的方法、设备和系统 | |
| CN103634171A (zh) | 一种动态配置方法及装置、系统 | |
| CN110213148A (zh) | 一种数据传输的方法、系统及装置 | |
| CN103973569A (zh) | 一种数据报文转发方法、用户驻地设备和系统 | |
| CN104539902A (zh) | 一种ipc的远程访问方法和系统 | |
| CN105933235B (zh) | 数据通信方法及装置 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN103036757B (zh) | 一种网络架构及其配置方法 | |
| CN104113930B (zh) | 一种实现用户终结连接的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Park, Zhejiang province high tech Industrial Park, No. six and No. 310 HUAWEI Road, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |