CN103401752A - 访问虚拟专用网的方法和装置 - Google Patents
访问虚拟专用网的方法和装置 Download PDFInfo
- Publication number
- CN103401752A CN103401752A CN2013103118744A CN201310311874A CN103401752A CN 103401752 A CN103401752 A CN 103401752A CN 2013103118744 A CN2013103118744 A CN 2013103118744A CN 201310311874 A CN201310311874 A CN 201310311874A CN 103401752 A CN103401752 A CN 103401752A
- Authority
- CN
- China
- Prior art keywords
- vpn
- vrf
- property value
- message
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种访问虚拟专用网的方法及装置,涉及通信技术领域,能够实现单用户访问多个VPN并满足各个VPN之间路由隔离和信息隔离的要求。本发明的方法包括:用户设备根据用户的账户信息,确定需要访问的虚拟专用网VPN;向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值;当PE配置完成后,接收所述PE发送的确认消息;向所述VPN发送业务报文。本发明适用于虚拟专用网VPN。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种访问虚拟专用网的方法和装置。
背景技术
VPN(Virtual Private Network,虚拟专用网)是在公众网络上建立的虚拟的专用网络,它具有与专用网络同样卓越的安全性、可靠性和易管理性。随着VPN的发展,出现了MPLS(Multi-protocol Label Switching,多协议标签交换)VPN。在MPLS VPN模型中,把路由器分为三类:CE(Customer Edge Router,用户边缘路由器)、PE(Provider Edge Router,运营商边缘路由器)和P(Provider Router,运营商骨干路由器),其中CE是用户网络的一个组成部分,有接口直接与运营商骨干网网络中的PE相连,CE感知不到VPN的存在,也不需要维护VPN的整个路由信息;PE是运营商边缘设备,与用户的CE以及运营商骨干网中的P相连,负责VPN业务接入;P负责快速转发数据,不与CE直接相连。在MPLSVPN网络中,根据PE设备是否参与VPN路由处理又细分为二层VPN和三层VPN,一般而言,MPLS/BGP(Border Gateway Protocol,边界网关协议)VPN指的是三层VPN。
为了实现路由隔离和信息隔离,MPLS/BGP VPN中使用了VRF(VPNRouting&Forwarding Instance,虚拟路由转发实例)和LSP(Label Switching Path,标记交换路径)。在PE上存在有多个VRF表,这些VRF表是和PE上的一个或多个子接口相对应的,用于存放这些子接口所属VPN的路由信息。PE向CE转发报文时,由始发的VPN打上标记,这样PE在接收报文时可以根据这个标记进行转发。每个PE可以维护一个或多个VRF,同时维护一个公网的路由表(也叫全局路由表),多个VRF相互分离独立。各VRF和全局路由表之间的关系是通过在VRF中定义和VPN有关的参数RT(Route Target,路由目标)实现的。
RT本质是每个VRF表达自己的路由取舍及喜好的方式,主要用于控制VPN路由的发布和安装策略。它分为输入路由目标(import RT)和输出路由目标(export RT)两种属性,前者表示愿意接收什么属性的路由,而后者表示发出路由的属性。当PE发布路由时,设置路由所属VRF的输出路由目标属性值,直接发送给其他的PE设备,对端PE接收路由时,首先接收所有的路由,并根据自身的每个VRF设置的输入路由目标属性进行检查,如果与接收的路由中的输出路由目标属性值相一致,则将该路由传输给相应的用户设备。如此,每个用户设备只能对与各自VRF RT属性相同的VPN进行访问,实现了路由隔离和信息隔离。这种实现方案有一种局限性,由于VRF RT属性的限制,用户设备只能对一个与VRF RT属性相匹配的VPN进行访问。
为了实现用户设备能够对多个不同的VPN进行访问,现有技术中采取的方案是:为与用户设备相连的CE配置多个VRF的输入路由目标属性值,使该输入路由目标属性值与用户设备想要访问的多个VPN的VRF输出路由目标属性值相对应;用户设备根据配置的VRF的输入路由目标属性值来访问多个对应的VPN,接收想要访问的VPN的路由,从而实现对多个VPN的访问。
现有技术中至少存在如下问题:上述方案中,虽然用户设备能够对多个VPN进行访问,但是用户设备在访问时可以同时接收到多个VPN的路由信息,不能满足路由隔离和信息隔离的要求。
发明内容
本发明的实施例提供一种访问虚拟专用网的方法和装置,解决了当用户设备对多个不相同的VPN进行访问,不能满足各VPN之间路由隔离和信息隔离要求的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供一种访问虚拟专用网的方法,包括:
根据用户的账户信息,确定所述用户需要访问的虚拟专用网VPN;
向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值;
接收所述PE发送的确认消息,所述确认消息为所述PE根据所述配置报文完成相应配置后发送;
向所述VPN发送业务报文,访问所述VPN。
第二方面,本发明的实施例提供一种访问虚拟专用网的方法,包括:
接收用户设备发送的配置报文;
解析所述配置报文中的虚拟路由转发实例VRF属性值;
将接收所述配置报文的接口的VRF属性配置为所述报文中的VRF属性值;
向所述用户设备发送确认消息,以使得所述用户设备根据所述确认消息停止发送配置报文,并发送业务报文,访问与所述VRF属性值对应的虚拟专用网VPN。
第三方面,本发明的实施例提供一种访问虚拟专用网的装置,包括:
确定单元,用于根据用户的账户信息,确定所述用户需要访问的虚拟专用网VPN;
发送单元,用于向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述确定单元确定的VPN相对应的虚拟路由转发实例VRF属性值;
接收单元,用于接收所述PE发送的确认消息,所述确认消息为所述PE根据所述发送单元发送的配置报文完成相应配置后发送;
所述发送单元还用于向所述确定单元确定的VPN发送业务报文,访问所述VPN。
第四方面,本发明的实施例提供一种访问虚拟专用网的装置,包括:
接收单元,用于接收用户设备发送的配置报文;
解析单元,用于解析所述接收单元接收的所述配置报文中虚拟路由转发实例VRF属性值;
配置单元,用于将所述接收单元接收所述配置报文的接口的VRF属性配置为所述解析单元解析出的VRF属性值;
发送单元,用于向所述用户设备发送确认消息,以使得所述用户设备根据所述确认消息停止发送配置报文,并发送业务报文,访问与所述解析单元解析的VRF属性值对应的虚拟专用网VPN。
本发明实施例提供的一种访问虚拟专用网的方法和装置,与现有技术中,用户设备访问多个不同的VPN时,同时接收到多个VPN的信息,各信息之间不能相对独立的问题相比,本发明中通过用户设备登录不同的账户信息访问与账户信息绑定的VPN,实现对多个不同的VPN的访问,并且在用户设备访问每个VPN的过程中,只接收此VPN的信息,各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例提供的方法流程图;
图2为本发明又一实施例提供的方法流程图;
图3为本发明又一实施例提供的网络架构示意图;
图4为本发明又一实施例提供的方法流程图;
图5为本发明又一实施例提供的网络架构示意图;
图6为本发明又一实施例提供的方法流程图;
图7、图8为本发明又一实施例提供的装置结构示意图;
图9、图10为本发明又一实施例提供的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明一实施例提供一种访问虚拟专用网的方法,用于用户设备,如图1所示,所述方法包括:
101、用户设备根据用户的账户信息,确定用户需要访问的虚拟专用网VPN。
其中,用户设备已经将账户信息与VPN进行绑定,且为账户信息和VPN一一对应,采用的方法可以是在用户设备中建立账户信息和VPN的VRF属性值的数据库,当用户使用用户设备登录账户信息时,用户设备会自动在数据库内进行查询,找到与登录的账户信息所对应的VPN以及其VRF属性值。本发明实施例对将所述账户信息与所述VPN进行绑定的实现方式不做限定,可以是本领域技术人员所熟知的任意实现方式。
可选的,用户设备中的数据库建立时,可以加入用户设备所在全局网络中所有的VPN;或者,可以根据用户的需要或者习惯填充内容,将经常要访问的VPN添加到所述数据库。可选的,与各VPN相对应的账户信息也可由用户自己设定,只要满足账户信息和VPN为一一对应的关系即可。
可选的,用户设备可以是个人计算机、手机等可以访问VPN的终端设备。
102、用户设备向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值。
例如,用户设备与PE的端口直接相连,在用户设备查询到用户想要访问的VPN时,将带有此VPN对应的VRF属性值的配置报文封装,封装的配置报文具有固定的格式,内容主要包含目的IP地址和源IP地址,封装时报文增加附加字段,填充为所述VRF属性值。报文封装后,由于网络中可能会发生丢包问题,所以用户设备将封装的报文周期性的发送给PE。
103、用户设备接收PE发送的确认消息,所述确认消息为PE根据配置报文完成相应配置后发送。
104、用户设备向VPN发送业务报文,访问VPN。
其中,用户设备发送的业务报文与用户设备发送的配置报文是两种不同的报文,在用户设备接收到确认消息后,发送的业务报文会通过PE1传输给VPN1,无需再进行接口的VRF属性进行判断,则无需再发送配置报文,如此缩短网络带宽的浪费,并减少处理的过程。
需要说明的是,现有技术中是用户设备同时接收不同VPN的信息,如果不同的VPN中包含了相同的地址,用户设备接收后将无法分辨其来自哪个VPN,导致地址冲突;在本实施例中用户设备接收确认消息后,可对需要访问的VPN进行访问,若需要访问其他VPN,重新登录其所对应的账户信息即可,即使不同的VPN中包含了相同的地址,用户设备不会同时接收,避免了地址冲突。
与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比,本发明实施例中用户设备通过登录不同的账户信息访问与账户信息绑定的VPN,实现对多个不同的VPN的访问,并且在用户访问每个VPN的过程中,只接收此VPN的信息。解决了现有技术中用户设备需要访问不同VPN时,同时接收多个VPN的信息,各信息之间不能相对独立的问题。通过解决上述技术问题,能够使各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求。
本发明又一实施例提供一种访问虚拟专用网的方法,用于与用户设备相连的运营商边缘路由器PE,如图2所示,所述方法包括:
201、运营商边缘路由器接收用户设备发送的配置报文。
其中,在所述接收用户设备发送的配置报文之前,PE需要配置各VPN的属性,并配置PE与对端运营商边缘路由器之间运行的路由协议和各VPN下运行的路由协议。PE接收用户设备发送的配置报文后,对接收的报文进行识别,报文的类型与定义的类型匹配,执行步骤202。
202、运营商边缘路由器解析配置报文中的虚拟路由转发实例VRF属性值。
其中,所述解析所述配置报文是对配置报文进行处理得到其附加字段的值,根据附加字段的值得到需要访问的VPN的VRF属性值,进而可以得到需要访问的VPN。
203、运营商边缘路由器将接收配置报文的接口的VRF属性配置为配置报文中的VRF属性值。
其中,提取接口的VRF属性;对提取的接口的VRF属性和解析的报文中VRF属性进行比较,如果两者不相同时,将接口的VRF属性配置为报文中的VRF属性,由于在配置属性过程中,接口的IP地址会消失,所以需要将提取的IP地址重新配置给接口;如果两者相同,则不对接口进行处理。PE将接口地址传输给对端运营商边缘路由器,该对端运营商边缘路由器与要访问的VPN相连。
204、运营商边缘路由器向所述用户设备发送确认消息,以使得用户设备根据确认消息停止发送配置报文,并发送业务报文,访问与所述VRF属性值对应的虚拟专用网VPN。
可选的,由于用户设备与PE是直接相连,如果有多个用户设备需要通过PE访问不同的VPN,而PE的接口数量有限,则可以在用户设备与PE之间增加MCE(Multi-Custom Edge,多角色用户边缘设备),并对MCE进行配置,实现多用户设备同时访问各自需要访问的VPN。
与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比,本发明实施例中PE根据配置报文中的VRF属性,对接收配置报文的接口完成配置,使用户设备访问需要访问的VPN时,PE通过接口只能传输此VPN的信息,与其他VPN的信息相对独立。解决了现有技术中用户设备需要访问不同VPN时,PE同时接收多个VPN的信息,并将其传输给用户设备,各信息之间不能相对独立的问题。通过解决上述技术问题,能够使各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求。
本发明又一实施例提供一种访问虚拟专用网方法,网络连接如图3所示,用户设备PC与运营商边缘路由器PE1通过接口1直接相连,PE1通过接口2与运营商骨干路由器P相连,对端运营商边缘路由器PE2通过接口3与P相连,PE2通过其他接口与各VPN下用户边缘路由器CE相连,CE1属于VPN1,CE2属于VPN2,PE1与PE2之间运行边界网关协议BGP,VPN1和VPN2是全局网络中两个不同的虚拟专用网,最初始状态时,接口1属于全局接口,用户设备此时不能访问VPN1和VPN2,如图4所示,所述方法包括:
301、配置运营商边缘路由器PE1和PE2。
其中,在PE1和PE2配置虚拟专用网VPN1和VPN2,并配置BGP与各VPN下运行的路由协议。
302、用户设备PC建立数据库。
其中,用户设备中的数据库建立时,可以加入本全局网络中所有的VPN;或者,可以根据用户的需要或者习惯填充内容,将经常要访问的VPN添加到所述数据库。可选的,与各VPN相对应的账户信息也可由用户自己设定,只要满足账户信息和VPN为一一对应的关系即可。例如,在用户设备上建立账户信息与VPN1和VPN2一一对应的数据库,账户信息a与VPN1绑定,账户信息b与VPN2绑定。
303、用户设备根据账户信息,确定账户信息需要访问的虚拟专用网VPN。
需要说明的是,各VPN都有与之对应的VRF属性值,且为一一对应,例如,与VPN1对应的VRF1属性值为1,与VPN2对应的VRF2属性值为2。
在本实施例中,用户登录账户信息a之后,用户设备根据账户信息在数据库中进行查询,查询结果为与账户信息a对应的是VPN1,则可以确定用户想要访问的是VPN1,并得到VPN1的虚拟路由转发实例VRF1属性值为1。
304、用户设备向PE1发送包括VRF1属性值的配置报文。
例如,将带有VRF1属性值的配置报文封装,封装的配置报文具有固定的格式,内容主要包括目的IP地址和源IP地址,封装时报文增加附加字段,填充为所述VRF属性值。本实施例中,源IP地址为1.1.1.2,目的IP地址为1.1.1.1,则报文内容包括目的IP地址和源IP地址,增加附加字段填充为VRF1属性值1。报文封装后,用户设备将其周期性的发送给PE1。
305、运营商边缘路由器PE1解析接收的配置报文中的VRF1属性值。
其中,PE1接收用户设备发送的配置报文后,对接收的报文的类型进行识别,报文的类型与定义的类型匹配,对其进行解析。解析接收的配置报文是对配置报文进行处理,得到其附加字段的值,根据附加字段的值得到需要访问的VPN的VRF属性值,进而可以得到需要访问的VPN。
本实施例中,PE1对接收到的配置报文进行识别,报文类型正确,解析配置报文,得到附加字段为1,由于步骤301已经对PE1完成配置,则根据附加字段值可知用户需要访问的VPN的VRF属性值为1,即用户需要访问的VPN为VPN1。
306、运营商边缘路由器PE1将接口1的属性配置为解析配置报文的VRF属性值。
其中,PE1在配置接口1属性之前,提取接口1的属性。对提取的接口1属性和解析的报文中VRF属性进行比较,如果两者不相同时,由于PE1的各接口IP地址不同,则此时需要提取接口的IP地址,将所述接口的VRF属性配置为所述报文中的VRF属性;如果两者相同,则不对所述接口进行处理。例如,PE1提取接口1的属性,此时接口1的属性为全局接口,IP地址为1.1.1.1。PE1将接口1属性与VRF1属性进行比较,由于接口1的属性为全局接口属性,VRF1属性为VPN1的属性,两者不相同,则提取接口1的IP地址,将接口1的属性配置为VRF1属性,并将提取的IP地址重新配置给接口1。配置完成后,PE1将接口1地址通过BGP传输给PE2。
需要说明的是,由于在修改接口1属性的过程中,接口1的IP地址会消失,所以需要当提取的接口1属性和解析的报文中VRF属性不同时,需要提取接口1的IP地址,在属性配置完成后,将提取的IP地址重新配置给接口1。
307、运营商边缘路由器PE1向用户设备发送确认消息。
308、用户设备向VPN1发送业务报文。
其中,用户设备发送的业务报文与用户设备发送的配置报文是两种不同的报文,在用户设备接收到确认消息后,发送的业务报文会通过PE1传输给VPN1,无需再进行接口的VRF属性进行判断,则无需再发送配置报文,如此缩短网络带宽的浪费,并减少处理的过程。
需要说明的是,现有技术中是用户设备同时接收不同VPN的信息,如果不同的VPN中包含了相同的地址,用户接收后将无法分辨,导致地址冲突;在本实施例中用户设备接收确认消息后,可对需要访问的VPN进行访问,若需要访问其他VPN,重新登录其所对应的账户信息即可,即使不同的VPN中包含了相同的地址,用户设备不会同时接收,避免了地址冲突。
与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比,本发明实施例中通过用户设备登录不同的账户信息访问与账户信息绑定的VPN,实现对多个不同的VPN的访问;在用户访问每个VPN时,PE根据配置报文中的VRF属性,对接收配置报文的接口完成配置,使用户设备访问需要访问的VPN时,PE1只能通过接口传输此VPN的信息,用户设备只接收此VPN的信息,与其他VPN的信息相对独立。解决了现有技术中用户设备需要访问不同VPN时,同时接收多个VPN的信息,各信息之间不能相对独立的问题。通过解决上述技术问题,能够使各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求。
本发明又一实施例提供一种访问虚拟专用网方法,在用户设备PC和运营商边缘路由器PE1之间,加入多角色用户边缘设备MCE,MCE主要用于对PE1接口的扩展;由于PE1的接口数量有限,如果有多个PC需要通过PE1访问不同的VPN,则可以在PC与PE1之间增加MCE,并对MCE进行配置,实现多用户设备同时访问各自需要访问的VPN,网络连接如图5所示,PC与MCE通过接口1直接相连,MCE通过接口9与PE1相连,PE1通过接口2与运营商骨干路由器P相连,对端运营商边缘路由器PE2通过接口3与P相连,PE2通过其他接口与各VPN下用户边缘路由器CE相连,PE1与PE2之间运行边界网关协议BGP,VPN1和VPN2是全局网络中两个不同的虚拟专用网,CE1属于VPN1,CE2属于VPN2,最初始状态时,接口1属于全局接口,用户设备此时不能访问VPN1和VPN2,如图6所示,所述方法包括:
401、配置运营商边缘路由器PE1、PE2和多角色用户边缘设备MCE。
其中,在MCE、PE1和PE2配置虚拟专用网VPN1和VPN2,并在PE1和PE2上配置BGP与各VPN下运行的路由协议,在MCE上配置各VPN下运行的路由协议。
402、用户设备PC建立数据库。
其中,用户设备中的数据库建立时,可以加入本全局网络中所有的VPN;或者,可以根据用户的需要或者习惯填充内容,将经常要访问的VPN添加到所述数据库。可选的,与各VPN相对应的账户信息也可由用户自己设定,只要满足账户信息和VPN为一一对应的关系即可。例如,在用户设备上建立账户信息与VPN1和VPN2一一对应的数据库,账户信息a与VPN1绑定,账户信息b与VPN2绑定。
403、用户设备根据账户信息,确定账户信息需要访问的虚拟专用网VPN。
需要说明的是,各VPN都有与之对应的VRF属性值,且为一一对应,例如,与VPN1对应的VRF1属性值为1,与VPN2对应的VRF2属性值为2。
在本实施例中,用户登录账户信息a之后,用户设备根据账户信息在数据库中进行查询,查询结果为与账户信息a对应的是VPN1,则可以确定用户想要访问的是VPN1,并得到VPN1的虚拟路由转发实例VRF1属性值为1。
404、用户设备向MCE发送包括VRF1属性值的配置报文。
例如,将带有VRF1属性值的配置报文封装,封装的配置报文具有固定的格式,内容主要包括目的IP地址和源IP地址,封装时报文增加附加字段,填充为所述VRF属性值。本实施例中,源IP地址为1.1.1.2,目的IP地址为1.1.1.1,则报文内容包括目的IP地址和源IP地址,增加附加字段填充为VRF1属性值1。报文封装后,用户设备将其周期性的发送给MCE。
405、多角色用户边缘设备MCE解析接收的配置报文中的VRF1属性值。
其中,MCE接收用户设备发送的配置报文后,对接收的报文的类型进行识别,报文的类型与定义的类型匹配,对其进行解析。解析接收的配置报文是对配置报文进行处理,得到其附加字段的值,根据附加字段的值得到需要访问的VPN的VRF属性值,进而可以得到需要访问的VPN。
本实施例中,MCE对接收到的配置报文进行识别,报文类型正确,解析配置报文,得到附加字段为1,由于步骤401已经对MCE完成配置,则根据附加字段值可知用户需要访问的VPN的VRF属性值为1,即用户需要访问的VPN为VPN1。
406、多角色用户边缘设备MCE将接口1的属性配置为解析配置报文的VRF属性值。
其中,MCE在配置接口1属性之前,提取接口1的属性。对提取的接口1属性和解析的报文中VRF属性进行比较,如果两者不相同时,由于MCE的各接口IP地址不同,则此时需要提取接口的IP地址,将所述接口的VRF属性配置为所述报文中的VRF属性;如果两者相同,则不对所述接口进行处理。例如,MCE提取接口1的属性,此时接口1的属性为全局接口,IP地址为1.1.1.1。MCE将接口1属性与VRF1属性进行比较,由于接口1的属性为全局接口属性,VRF1属性为VPN1的属性,两者不相同,则提取接口1的IP地址,将接口1的属性配置为VRF1属性,并将提取的IP地址重新配置给接口1。配置完成后,MCE将接口1地址传输给PE1和PE2。
需要说明的是,由于在修改接口1属性的过程中,接口1的IP地址会消失,所以需要当提取的接口1属性和解析的报文中VRF属性不同时,需要提取接口1的IP地址,在属性配置完成后,将提取的IP地址重新配置给接口1。
407、多角色用户边缘设备MCE向用户设备发送确认消息。
408、用户设备向虚拟专用网VPN1发送业务报文。
其中,用户设备发送的业务报文与用户设备发送的配置报文是两种不同的报文,在用户设备接收到确认消息后,发送的业务报文会通过MCE传输给VPN1,无需再进行接口的VRF属性进行判断,则无需再发送配置报文,如此缩短网络带宽的浪费,并减少处理的过程。
需要说明的是,现有技术中是用户设备同时接收不同VPN的信息,如果不同的VPN中包含了相同的地址,用户接收后将无法分辨其来自哪个VPN,导致地址冲突;在本实施例中用户设备接收确认消息后,可对需要访问的VPN进行访问,若需要访问其他VPN,重新登录其所对应的账户信息即可,即使不同的VPN中包含了相同的地址,用户设备不会同时接收,避免了地址冲突。
与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比,本发明实施例中通过用户设备登录不同的账户信息访问与账户信息绑定的VPN,实现对多个不同的VPN的访问;在用户访问每个VPN时,MCE根据配置报文中的VRF属性,对接收配置报文的接口完成配置,使用户设备访问需要访问的VPN时,MCE通过接口只能传输此VPN的信息,用户设备只接收此VPN的信息,与其他VPN的信息相对独立;当多个用户同时访问各自想要访问的VPN时,MCE分别对各与用户设备相连的接口进行配置,使各用户设备访问需要访问的VPN时,MCE通过接口只能传输与其相应的VPN的信息。解决了现有技术中用户设备需要访问不同VPN时,同时接收多个VPN的信息,各信息之间不能相对独立的问题。通过解决上述技术问题,能够使用户设备访问不同的VPN时,各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求;并且通过MCE对PE1的接口进行扩展,实现多用户设备同时访问各自VPN的功能。
本发明又一实施例提供一种访问虚拟专用网装置50,如图7所示,所述装置50包括:
确定单元51,用于根据用户的账户信息,确定所述用户需要访问的虚拟专用网VPN;
发送单元52,用于向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述确定单元51确定的VPN相对应的虚拟路由转发实例VRF属性值;
接收单元53,用于接收所述PE发送的确认消息,所述确认消息为所述PE根据所述发送单元52发送的配置报文完成相应配置后发送;
所述发送单元52还用于向所述确定单元51确定的VPN发送业务报文,访问所述VPN。
进一步的,如图8所示,所述装置50还可以包括:
绑定单元54,用于将所述用户的账户信息与所述VPN进行绑定,所述用户的账户信息与所述VPN一一对应。
其中,所述绑定单元54将用户设备的账户信息与所述VPN进行绑定,所述账户信息和所述VPN一一对应,可以采用的方法在步骤101中有相应的描述,本发明实施例不在赘述。
需要说明的是,所述装置50可以为用户设备等,现有技术中是用户设备同时接收不同VPN的信息,如果不同的VPN中包含了相同的地址,用户设备接收后将无法分辨其来自哪个VPN,导致地址冲突;在本实施例中用户设备接收确认消息后,可对需要访问的VPN进行访问,若需要访问其他VPN,重新登录其所对应的账户信息即可,即使不同的VPN中包含了相同的地址,用户设备不会同时接收,避免了地址冲突。
与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比,本发明实施例中装置50通过登录不同的账户信息访问与账户信息绑定的VPN,实现对多个不同的VPN的访问,并且在用户访问每个VPN的过程中,只接收此VPN的信息。解决了现有技术中装置50需要访问不同VPN时,同时接收多个VPN的信息,各信息之间不能相对独立的问题。通过解决上述技术问题,能够使各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求。
本发明又一实施例提供一种访问虚拟专用网装置60,如图9所示,所述装置60包括:
接收单元61,用于接收用户设备发送的配置报文;
解析单元62,用于解析所述接收单元61接收的所述配置报文中虚拟路由转发实例VRF属性值;
配置单元63,用于将所述接收单元61接收所述配置报文的接口的VRF属性配置为所述解析单元62解析出的VRF属性值;
发送单元64,用于向所述用户设备发送确认消息,以使得所述用户设备根据所述确认消息停止发送配置报文,并发送业务报文,访问与所述解析单元62解析的VRF属性值对应的虚拟专用网VPN。
进一步的,所述配置单元63还用于:
配置各个VPN的路由目标RT属性,配置各路由协议,所述路由协议为与对端运营商边缘路由器之间的路由协议和所述VPN下的路由协议。
进一步的,如图10所示,所述配置单元63还可以包括:
获取子单元631,用于获取所述接收单元61接收的所述配置报文的接口的VRF属性值;
判断子单元632,用于判断所述获取子单元631获取的接口VRF属性值与所述解析单元62解析出的VRF属性值是否相同;
修改子单元633,用于当所述判断子单元632判定获取的接口的VRF属性值与所述解析单元62解析出的VRF属性值不相同时,提取所述接口的网络协议IP地址,将所述接口的VRF属性值修改为所述解析单元62解析出的VRF属性值,并将所述接口的IP地址配置为提取的IP地址;
则所述发送单元64还用于当所述判断子单元632判定所述接口的VRF属性值与所述解析单元62解析出的VRF属性值相同时,向所述用户设备发送确认消息。
与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比,本发明实施例中装置60根据配置报文中的VRF属性,对接收配置报文的接口完成配置,使用户设备访问需要访问的VPN时,装置60通过接口只能传输此VPN的信息,与其他VPN的信息相对独立。解决了现有技术中用户设备需要访问不同VPN时,装置60同时接收多个VPN的信息,并将其传输给用户设备,各信息之间不能相对独立的问题。通过解决上述技术问题,能够使各VPN信息之间相对独立,满足各VPN之间路由隔离和信息隔离的要求。
本发明实施例提供的一种访问虚拟专用网装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的一种访问虚拟专用网方法及装置可以适用于虚拟专用网,但不仅限于此。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种访问虚拟专用网的方法,其特征在于,包括:
根据用户的账户信息,确定所述用户需要访问的虚拟专用网VPN;
向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值;
接收所述PE发送的确认消息,所述确认消息为所述PE根据所述配置报文完成相应配置后发送;
向所述VPN发送业务报文,访问所述VPN。
2.根据权利要求1所述的方法,其特征在于,在所述根据用户的账户信息,确定所述用户账户需要访问的VPN之前,所述方法还包括:
将所述用户的账户信息与所述VPN进行绑定,所述用户的账户信息与所述VPN一一对应。
3.一种访问虚拟专用网的方法,其特征在于,包括:
接收用户设备发送的配置报文;
解析所述配置报文中的虚拟路由转发实例VRF属性值;
将接收所述配置报文的接口的VRF属性配置为所述VRF属性值;
向所述用户设备发送确认消息,以使得所述用户设备根据所述确认消息停止发送配置报文,并发送业务报文,访问与所述VRF属性值对应的虚拟专用网VPN。
4.根据权利要求3所述的方法,其特征在于,在所述接收用户设备发送的配置报文之前,所述方法还包括:
配置各个VPN的路由目标RT属性,配置各路由协议,所述路由协议为与对端运营商边缘路由器PE之间的路由协议和所述VPN下的路由协议。
5.根据权利要求3所述的方法,其特征在于,所述将接收所述配置报文的接口的VRF属性配置为所述VRF属性值包括:
获取所述接口的VRF属性值;
判断所述接口的VRF属性值与解析出的所述VRF属性值是否相同;
当所述接口的VRF属性值与解析出的所述VRF属性值相同时,直接向所述用户设备发送所述确认消息;
当所述接口的VRF属性值与解析出的所述VRF属性值不相同时,提取所述接口的网络协议IP地址,将所述接口的VRF属性值修改为解析出的所述VRF属性值,并将所述接口的IP地址配置为提取的所述IP地址。
6.一种访问虚拟专用网的装置,其特征在于,包括:
确定单元,用于根据用户的账户信息,确定所述用户需要访问的虚拟专用网VPN;
发送单元,用于向运营商边缘路由器PE发送配置报文,所述配置报文包括扩展字段,所述扩展字段中包括与所述确定单元确定的VPN相对应的虚拟路由转发实例VRF属性值;
接收单元,用于接收所述PE发送的确认消息,所述确认消息为所述PE根据所述发送单元发送的配置报文完成相应配置后发送;
所述发送单元还用于向所述确定单元确定的VPN发送业务报文,访问所述VPN。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
绑定单元,用于将所述用户的账户信息与所述VPN进行绑定,所述用户的账户信息与所述VPN一一对应。
8.一种访问虚拟专用网的装置,其特征在于,包括:
接收单元,用于接收用户设备发送的配置报文;
解析单元,用于解析所述接收单元接收的所述配置报文中虚拟路由转发实例VRF属性值;
配置单元,用于将所述接收单元接收所述配置报文的接口的VRF属性配置为所述解析单元解析出的VRF属性值;
发送单元,用于向所述用户设备发送确认消息,以使得所述用户设备根据所述确认消息停止发送配置报文,并发送业务报文,访问与所述解析单元解析的VRF属性值对应的虚拟专用网VPN。
9.根据权利要求8所述的装置,其特征在于,所述配置单元还用于:
配置各个VPN的路由目标RT属性,配置各路由协议,所述路由协议为与对端运营商边缘路由器之间的路由协议和所述VPN下的路由协议。
10.根据权利要求8所述的装置,其特征在于,所述配置单元包括:
获取子单元,用于获取所述接收单元接收的所述配置报文的接口的VRF属性值;
判断子单元,用于判断所述获取子单元获取的接口VRF属性值与所述解析单元解析出的VRF属性值是否相同;
修改子单元,用于当所述判断子单元判定所述接获取子单元获取的接口的VRF属性值与所述解析单元解析出的VRF属性值不相同时,提取所述接口的网络协议IP地址,将所述获取子单元获取的接口的VRF属性值修改为所述解析单元解析出的VRF属性值,并将所述接口的IP地址配置为提取的IP地址;
则所述发送单元还用于当所述判断子单元判定所述获取子单元获取的接口的VRF属性值与所述解析单元解析出的VRF属性值相同时,向所述用户设备发送确认消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310311874.4A CN103401752B (zh) | 2013-07-23 | 2013-07-23 | 访问虚拟专用网的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310311874.4A CN103401752B (zh) | 2013-07-23 | 2013-07-23 | 访问虚拟专用网的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103401752A true CN103401752A (zh) | 2013-11-20 |
| CN103401752B CN103401752B (zh) | 2017-11-17 |
Family
ID=49565281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310311874.4A Active CN103401752B (zh) | 2013-07-23 | 2013-07-23 | 访问虚拟专用网的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103401752B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283720A (zh) * | 2014-10-29 | 2015-01-14 | 迈普通信技术股份有限公司 | 一种应用于移动互联网的拨号方法、系统及用户设备 |
| CN104852923A (zh) * | 2015-05-26 | 2015-08-19 | 汉柏科技有限公司 | 一种基于用户的路由隔离方法及系统 |
| CN105812218A (zh) * | 2014-12-31 | 2016-07-27 | 中国电信股份有限公司 | 用于实现应用多vpn协议接入的方法、中间件和移动终端 |
| CN107171857A (zh) * | 2017-06-21 | 2017-09-15 | 杭州迪普科技股份有限公司 | 一种基于用户组的网络虚拟化方法和装置 |
| WO2018028676A1 (zh) * | 2016-08-12 | 2018-02-15 | 新华三技术有限公司 | 以太网虚拟私有网络evpn与公网互通 |
| CN111200549A (zh) * | 2018-11-16 | 2020-05-26 | 华为技术有限公司 | 一种获取路由信息的方法及装置 |
| CN112187638A (zh) * | 2020-09-22 | 2021-01-05 | 杭州迪普科技股份有限公司 | 网络访问方法、装置、设备及计算机可读存储介质 |
| CN116846692A (zh) * | 2023-09-01 | 2023-10-03 | 北京车与车科技有限公司 | 用于多人同时访问多个系统的方法、装置以及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1520101A (zh) * | 2003-01-22 | 2004-08-11 | ��Ϊ��������˾ | 一种确定客户边缘路由器与虚拟私有网络间关系的方法 |
| CN101471841A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 路由表维护方法及装置 |
| CN101631041A (zh) * | 2009-07-29 | 2010-01-20 | 中兴通讯股份有限公司 | 业务配置处理方法及配置关系管理模块 |
| CN101908996A (zh) * | 2010-08-24 | 2010-12-08 | 福建星网锐捷网络有限公司 | 接入私有网络的方法、数据传输方法及装置和系统 |
| CN103002445A (zh) * | 2012-11-08 | 2013-03-27 | 张维加 | 一种安全的提供应用服务的移动电子设备 |
| US8451837B1 (en) * | 2010-06-16 | 2013-05-28 | Cisco Technology, Inc. | Discovery of MPLS VPN links |
-
2013
- 2013-07-23 CN CN201310311874.4A patent/CN103401752B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1520101A (zh) * | 2003-01-22 | 2004-08-11 | ��Ϊ��������˾ | 一种确定客户边缘路由器与虚拟私有网络间关系的方法 |
| CN101471841A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 路由表维护方法及装置 |
| CN101631041A (zh) * | 2009-07-29 | 2010-01-20 | 中兴通讯股份有限公司 | 业务配置处理方法及配置关系管理模块 |
| US8451837B1 (en) * | 2010-06-16 | 2013-05-28 | Cisco Technology, Inc. | Discovery of MPLS VPN links |
| CN101908996A (zh) * | 2010-08-24 | 2010-12-08 | 福建星网锐捷网络有限公司 | 接入私有网络的方法、数据传输方法及装置和系统 |
| CN103002445A (zh) * | 2012-11-08 | 2013-03-27 | 张维加 | 一种安全的提供应用服务的移动电子设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283720A (zh) * | 2014-10-29 | 2015-01-14 | 迈普通信技术股份有限公司 | 一种应用于移动互联网的拨号方法、系统及用户设备 |
| CN105812218A (zh) * | 2014-12-31 | 2016-07-27 | 中国电信股份有限公司 | 用于实现应用多vpn协议接入的方法、中间件和移动终端 |
| CN104852923A (zh) * | 2015-05-26 | 2015-08-19 | 汉柏科技有限公司 | 一种基于用户的路由隔离方法及系统 |
| WO2018028676A1 (zh) * | 2016-08-12 | 2018-02-15 | 新华三技术有限公司 | 以太网虚拟私有网络evpn与公网互通 |
| CN107171857A (zh) * | 2017-06-21 | 2017-09-15 | 杭州迪普科技股份有限公司 | 一种基于用户组的网络虚拟化方法和装置 |
| CN111200549A (zh) * | 2018-11-16 | 2020-05-26 | 华为技术有限公司 | 一种获取路由信息的方法及装置 |
| CN111200549B (zh) * | 2018-11-16 | 2021-04-20 | 华为技术有限公司 | 一种获取路由信息的方法及装置 |
| CN112187638A (zh) * | 2020-09-22 | 2021-01-05 | 杭州迪普科技股份有限公司 | 网络访问方法、装置、设备及计算机可读存储介质 |
| CN116846692A (zh) * | 2023-09-01 | 2023-10-03 | 北京车与车科技有限公司 | 用于多人同时访问多个系统的方法、装置以及存储介质 |
| CN116846692B (zh) * | 2023-09-01 | 2023-10-31 | 北京车与车科技有限公司 | 用于多人同时访问多个系统的方法、装置以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103401752B (zh) | 2017-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103401752A (zh) | 访问虚拟专用网的方法和装置 | |
| CN103621025B (zh) | 具有增强学习方法和系统的在边缘路由器之间使用两种伪线的以太网树 | |
| CN103685026A (zh) | 一种虚拟网络的接入方法和系统 | |
| CN104468368B (zh) | 配置bgp邻居的方法及装置 | |
| JP2014532368A (ja) | トラフィックエンジニアリングトンネルに基づく仮想プライベートネットワーク実行方法及びシステム | |
| TWI437852B (zh) | 閘道設備 | |
| KR20120052981A (ko) | 적어도 하나의 가상 네트워크를 온더플라이 및 온디맨드 방식으로 배치하는 방법 및 시스템 | |
| CN104869042A (zh) | 报文转发方法和装置 | |
| CN104581419A (zh) | 基于android智能机顶盒的双网实现方法 | |
| CN101427523A (zh) | 一种业务绑定的方法和设备 | |
| WO2019091088A1 (zh) | 一种vxlan的配置方法、设备及系统 | |
| CN102098202B (zh) | 虚拟专用网拓扑控制方法、装置及系统 | |
| CN102845123A (zh) | 虚拟私云的连接方法及隧道代理服务器 | |
| CN111556110B (zh) | 一种用于私有云系统的不同物理业务网络自动化适配方法 | |
| EP3457640B1 (en) | Route establishment and message sending | |
| CN105704029A (zh) | 伪线建立方法、系统及设备 | |
| CN110351135B (zh) | 多dc中的网络设备配置方法及装置 | |
| US20200052928A1 (en) | Traffic Engineering Service Mapping | |
| CN103780585A (zh) | 一种基于互联网的多线路多ip服务器数据交换方法 | |
| CN108234518A (zh) | 一种终端通信的方法、装置、终端及存储介质 | |
| CN107547665A (zh) | 一种dhcp地址分配的方法、设备及系统 | |
| EP2897328B1 (en) | Method, system and apparatus for establishing communication link | |
| CN104092684A (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
| CN113206776A (zh) | 混合云网络连接方法、系统及控制器 | |
| CN102857429A (zh) | 在trill网络中承载路由的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |