CN1713603A - Ip电信网系统中实现虚拟专网的方法 - Google Patents

Ip电信网系统中实现虚拟专网的方法 Download PDF

Info

Publication number
CN1713603A
CN1713603A CN 200410062652 CN200410062652A CN1713603A CN 1713603 A CN1713603 A CN 1713603A CN 200410062652 CN200410062652 CN 200410062652 CN 200410062652 A CN200410062652 A CN 200410062652A CN 1713603 A CN1713603 A CN 1713603A
Authority
CN
China
Prior art keywords
vpn
network
data network
address
edge gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200410062652
Other languages
English (en)
Other versions
CN100359876C (zh
Inventor
蒋林涛
胡筑华
马玉发
刘文红
蒋林蔚
王英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
YUANCHUANG XINTONG TELECOMMUNICATION TECHNOLOGY (BEIJING) Co Ltd
Telecommunication Research Institute Ministry Of Information Industry
Original Assignee
YUANCHUANG XINTONG TELECOMMUNICATION TECHNOLOGY (BEIJING) Co Ltd
Telecommunication Research Institute Ministry Of Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by YUANCHUANG XINTONG TELECOMMUNICATION TECHNOLOGY (BEIJING) Co Ltd, Telecommunication Research Institute Ministry Of Information Industry filed Critical YUANCHUANG XINTONG TELECOMMUNICATION TECHNOLOGY (BEIJING) Co Ltd
Priority to CNB2004100626524A priority Critical patent/CN100359876C/zh
Priority to PCT/CN2005/000594 priority patent/WO2005107161A1/zh
Priority to US11/587,810 priority patent/US7894458B2/en
Priority to EP05752258A priority patent/EP1748600A4/en
Publication of CN1713603A publication Critical patent/CN1713603A/zh
Application granted granted Critical
Publication of CN100359876C publication Critical patent/CN100359876C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种在IP电信网系统中实现VPN的方法。该方法包括如下步骤:(1)用户提出建立VPN申请,并提交各节点之间的流量、流向表;(2)如果申请获得通过,为该VPN建立VPN编号,在地址映射设备处形成包含该虚拟专网编号的节点地址映射表;(3)向节点设备发送链路资源配置命令,设备根据自有资源情况作出响应;(4)如果节点设备接受该命令,则根据该命令配置链路资源,实现VPN。如果参与VPN的节点中包括I P网中节点,则该节点首先与边缘关口设备建立连接,并将VPN业务编号和节点地址映射表存放在地址映射设备中。如果VPN不再需要,则由用户提出撤消VPN申请,地址映射设备清除VPN地址映射表,节点设备释放已配置的资源。

Description

IP电信网系统中实现虚拟专网的方法
技术领域
本发明涉及一种在IP电信网系统中实现虚拟专网(Virtual PrivateNetwork,简称为VPN)的方法,属于通信技术领域。
背景技术
为了方便网络的运行和维护,降低网络的运营管理费用,获取良好的经济收益,VPN一直是运营商十分看重的技术。在现有技术中,X.25网中的闭合用户群、帧中继网中VPN、DDN中的VPN和ATM中的VPN一直是运营商使用的重要技术手段。运营商利用VPN一般用于两种场合:一是用于建设运营商自己的业务网,为了安全、资源保证和可靠性,运营商自己的业务网可建立在VPN的基础上;另一种场合是为大客户提供VPN,用于大客户建立其内部网,由于网络的运行和维护无须大客户自己管理。在方便了用户的同时,运营商也可有很好的经济效益。在目前使用最普遍的IP网中,VPN同样得到运营商的青睐,也一直是技术研究的重点。目前常用的VPN技术有MPLS VPN和IPSec VPN等。
在IP网中实现VPN的技术已经被国内外运营商普遍使用。目前,采用的主流技术是BGP MPLS VPN。但是,目前的IP网中所有的VPN技术都有两个致命的缺点:其一是只用优先级技术来调控资源,VPN的资源不能真正独立;其二是VPN的可扩展性差,VPN数量不多、其规模不大时可用,VPN数量多、其规模大时就不能实现。显然,这样的VPN技术不能满足运营商的要求。
电信网技术正处在根本性的转型过程之中。人们逐渐认识到下一代的电信网应该采用基于分组交换技术和不面向连接工作方式的IP网。为此,本发明人提出了IP电信网系统的技术构想,并且申请了发明专利(专利申请号:200410037641.0,专利申请日:2004年4月28日)。与现有的Internet相比,该IP电信网系统由网络本身提供信任度和安全机制,是一个安全的可信任的网络,并拥有电信网的高稳定性、可靠性和高度的可管理性。由于IP电信网系统采用特有的双地址技术,并引入复址无连结数据网(以下简称为NCT数据网)和实现双地址映射的地址映射设备ADT,从而导致新的VPN技术。因此,在IP电信网系统中实现VPN的技术手段与现有的在IP网中实现VPN的技术手段有很大的不同。本发明即提供一种在该IP电信网系统中实现VPN的技术方案。
发明内容
本发明的目的在于提供一种在IP电信网系统中实现VPN的方法。
为实现上述的发明目的,本发明采用下述的技术方案:
一种在IP电信网系统中实现虚拟专网的方法,该方法由IP电信网中的复址无连接数据网中的节点设备、网络管理设备、地址映射设备和边缘关口设备配合实现,其特征在于包括如下步骤:
用户向网络管理设备提出建立虚拟专网的申请,并提交建立该虚拟专网所需的流量、流向表;
网络管理设备为接受的申请确定虚拟专网编号;
所述地址映射设备生成包含该虚拟专网编号的节点地址映射表;
网络管理设备根据所述流量、流向表,向复址无连接数据网节点设备和与之连接的边缘关口设备发送配置命令,所述复址无连接数据网节点设备和边缘关口设备在资源情况允许的条件下,接受该配置命令,建立虚拟专网。
其中,在所述建立虚拟专网的过程中,网络管理设备根据所述流量、流向表计算出相应复址无连接数据网节点间链路资源需求表,并根据计算结果向复址无连接数据网中的节点设备发送包括虚拟专网编号在内的链路资源配置命令,据此建立虚拟专网。
更具体的,还包括如下步骤:
(1)所述建立虚拟专网的过程中,复址无连接数据网中的节点设备根据自有资源情况作出响应;
(2)资源情况是否许可?
(3)如果资源状况不足以支持建立虚拟专网,则复址无连接数据网中的设备拒绝该命令,本次配置无效;如果资源状况支持建立该虚拟专网,则复址无连接数据网中的节点设备接受该命令;
(4)节点设备按该命令参数要求配置链路资源,并向网络管理设备回发确认响应;
(5)网络管理设备收到所有相关节点设备的确认响应后,向地址映射设备发送包含有业务类别、虚拟专网编号参数在内的命令;
(6)地址映射设备收到该命令,回送确认响应;
(7)网络管理设备收到确认响应,虚拟专网建立。
或者,所述建立虚拟专网的过程中,网络管理设备根据流量、流向表向有关边缘关口设备发送虚拟专网配置命令,源端边缘关口设备根据复址无连接数据网的路由向目的端边缘关口设备发送虚拟专网配置请求,据此建立虚拟专网。
更具体的,还包括如下步骤:
(1)源端边缘关口设备根据复址无连接数据网路由向目的端边缘关口设备发送虚拟专网配置请求;
(2)途经的各复址无连接数据网节点设备收到该请求后根据自有的资源情况作出响应;
(3)资源情况是否许可?
(4)如果资源状况支持建立该虚拟专网,则复址无连接数据网节点设备根据该请求配置链路资源,并向下一节点转发该请求,直至目的端边缘关口设备,如果目的端边缘关口设备的资源状况支持建立该虚拟专网,则目的端边缘关口设备向源端边缘关口设备发送接受响应;否则,向源端边缘关口设备发拒绝响应,本次配置无效;
(5)源端边缘关口设备收到目的端边缘关口设备的接受响应,则立即向网络管理设备回送确认响应;
(6)网络管理设备收到所有边缘关口设备的确认响应,向地址映射设备设备发送包含业务类别、虚拟专网编号参数在内的命令;
(7)地址映射设备收到该命令,回送确认响应;
(8)网络管理设备收到确认响应,虚拟专网建立成功。
其中,如果源端边缘关口设备在设定的时间内尚未收到接收/拒绝响应,则认为本次配置无效。
所述步骤(1)中,源端边缘关口设备可以同时启动复址无连接数据网备用路由向目的端边缘关口设备发送虚拟专网配置请求。
在所述申请虚拟专网的过程中,如果用户是IP网中的用户,则提交的流量、流向表为IP网中节点的流量、流向表,所述网络管理设备通过地址映射设备获得各IP网节点连接的边缘关口设备地址,将该流量、流向表换算成各边缘关口设备之间的流量、流向表。
所述申请虚拟专网的过程中,如果用户是复址无连接数据网中的用户,则其提交的流量、流向表为边缘关口设备之间的流量、流向表。
在虚拟专网建立之后,如果用户是复址无连接数据网中的用户,则其通信过程包括如下步骤:
(1)源端边缘关口设备向目的端边缘关口设备发送复址无连接数据网分组,当该分组到达源端边缘关口设备时,源端边缘关口设备向地址映射设备发出包含有目的端边缘关口设备地址等参数的地址映射请求命令;
(2)地址映射设备收到地址映射请求命令,如源端边缘关口设备地址与目的端边缘关口设备地址同属一个虚拟专网,则向源端边缘关口设备发送包含有虚拟专网编号、业务类别和目的端边缘关口设备地址参数在内的响应命令;
(3)源端边缘关口设备收到该响应命令,生成包含有虚拟专网编号、业务类别参数在内的复址无连接数据网分组,并将它发向目的端边缘关口设备;
(4)复址无连接数据网内的节点设备根据该分组的虚拟专网编号、业务类别和目的端边缘关口设备地址,在虚拟专网约定指配的资源范围内进行传送;
(5)目的端边缘关口设备收到该复址无连接数据网分组,将它发往目的端。
在虚拟专网建立之后,如果用户是IP网中的用户,则其通信过程包括如下步骤:
(1)源端IP设备向目的端IP设备发送IP分组;
(2)当IP分组到达源端边缘关口设备时,源端边缘关口设备向地址映射设备发出包含有目的端IP地址在内的地址映射请求命令;
(3)地址映射设备收到该命令,如源端IP地址与目的端IP地址同属一个虚拟专网,则向源端边缘关口设备发送包含有虚拟专网编号、业务类别和目的端边缘关口设备地址参数在内的响应命令;
(4)源端边缘关口设备收到该响应命令,形成带有虚拟专网编号、业务类别的复址无连接数据网分组,并将它发向目的端边缘关口设备;
(5)复址无连接数据网内的节点设备按复址无连接数据网分组中的虚拟专网编号、业务类别、目的端边缘关口设备地址,在虚拟专网约定指配的资源范围内进行传送;
(6)目的端边缘关口设备收到该复址无连接数据网分组,将目的端IP地址恢复出来,重组成IP分组,将它发往目的端。
用户提出撤消虚拟专网申请,网络管理设备向复址无连接数据网节点设备与地址映射设备发送撤消虚拟专网命令,复址无连接数据网节点设备释放已配置的资源,地址映射设备清除虚拟专网地址映射表,虚拟专网撤消。
在复址无连接数据网的分组格式中为虚拟专网设有专用域:虚拟专网标识域和虚拟专网编号域。
所述虚拟专网编号在一个复址无连接数据网内是唯一的。
在由二个或二个以上的复址无连接数据网参与组成虚拟专网时,在不同的复址无连接数据网中虚拟专网的编号可以是不同的,由复址无连接数据网的核心层设备进行不同虚拟专网的编号之间的匹配。
在虚拟专网的用户是IP网中用户的情况下,该用户与相对应的边缘关口设备之间通过包括隧道技术在内的技术手段实现连接。
本发明所述的方法可以在IP电信网系统中实现完全的VPN功能。与现有的在IP网中实现VPN的方法相比,本方法使实现VPN的过程变得更加简单,通信质量可以做到可控,综合运行成本也可以降低。
附图说明
下面结合附图和具体实施方式对本发明作进一步的说明。
图1为IP电信网系统的组成结构示意图。
图2为本发明所述的IP电信网系统中实现VPN的方法流程图。
图3为建立NCT VPN的第一种技术方案的流程图。
图4为建立NCT VPN的第二种技术方案的流程图。
图5为NCT VPN中通信过程的流程图。
图6为IP VPN中通信过程的流程图。
图7为VPN撤消过程的流程图。
具体实施方式
在对本IP电信网系统中实现VPN的方法进行说明之前,首先对该IP电信网系统的结构和运行原理作一个简要的说明。IP电信网系统是本专利的发明人结合电信网技术转型的根本趋势,在深入研究电信网和Internet各自优缺点的前提下提出的一种电信网的技术实现方案。如图1所示,该IP电信网系统包括至少一个复址无连接数据网、多数个IP网,以及多数个边缘关口设备ED。这里所说的IP网包括但不限于IP城域网、接入网或用户驻地网,它通过边缘关口设备ED与NCT数据网相连接;每个NCT数据网中还包括至少一个地址映射设备ADT;NCT数据网中的所有设备与边缘关口设备都分配有一个NCT数据网地址,IP网中的所有设备和边缘关口设备ED都分配有IP地址,IP地址和NCT数据网地址之间的映射关系保存在地址映射设备ADT内的地址映射表之中;边缘关口设备ED经认证与地址映射设备ADT之间建立连接。NCT数据网作为“内网”,采用与现有电信网类似的层次型的体系结构,它由核心层设备CR、汇聚层设备MR、接入层设备AR、网络管理设备以及地址映射设备ADT组成,各个NCT数据网之间通过各自的核心层设备CR实现通信。在NCT数据网内部采用NCT数据网本身的地址来进行寻址,该数据网地址不同于IP网的IP地址。这种双地址结构是理解本IP电信网系统的关键所在。
在IP电信网系统中,IP网与NCT数据网在拓扑结构上严格分离。IP网与各自的NCT数据网建立连接,并且与该NCT数据网之间建立信任关系,如果该信任关系未能建立的话,IP网与NCT数据网之间不能进行通信;各NCT数据网之间也是这样。
地址映射设备ADT是网络上实现地址映射的设备,它保存地址映射表。边缘关口设备ED是IP网与NCT数据网连接的关口设备。它至少具有两方面的功能,其一是实现NCT数据网地址和IP地址的转换,使NCT数据网可以承载现有的IP分组;另一个功能是对IP网的业务流进行汇聚。
每一个边缘关口设备ED都有确定的NCT数据网地址和IP地址,并确知与其连接的网络节点的IP地址。边缘关口设备必须向相应的地址映射设备ADT进行注册,注册过程需要进行认证,以确认边缘关口设备ED与地址映射设备ADT之间的信任关系。通过这种认证,不面向连接的IP电信网系统也能实现安全通信。
上面是对本发明所依赖的IP电信网系统的结构和运行原理的简要说明。关于IP电信网系统的进一步说明可以参看该专利申请的说明书,在此就不赘述了。
如前所述,本IP电信网系统采用双地址结构,包括采用NCT数据网地址的NCT数据网和采用IP地址的IP网两部分。IP电信网系统的VPN有两类,一类是IP VPN,另一类是NCT VPN。其中的IP VPN是根据用户指定的一群IP地址以及这些IP地址之间的流量、流向关系,建立满足相应要求的VPN;NCT VPN则是根据一群NCT地址以及这些NCT地址之间的流量、流向关系,建立满足相应要求的VPN。NCT VPN主要用于提供透明专线服务的VPN。这两类VPN都需经过ED和ADT来实现。为了在IP电信网系统中建立VPN,在NCT分组中为实现VPN设有专用的域:VPN标识域和VPN编号域。VPN标识域表示在NCT网内传送的分组是否属于某一个VPN,VPN编号域则表示该分组属于哪一个VPN。这两个域为我们建立IP电信网系统的VPN提供了便利。
在IP电信网系统中实现VPN的总体流程图参照图2所示,包括如下的步骤:
(1)用户向网络管理设备提出建立VPN的申请,并提交建立该VPN所需的流量、流向表;
(2)根据流量、流向表判断是何种类型的VPN?
如果是NCT VPN,其流量、流向表是ED之间的流量、流向表,转入步骤(4);如果是IP VPN,则流量、流向表为IP网中节点的流量、流向表,转入步骤(3);
(3)网络管理设备通过ADT获得各IP网节点连接的ED的地址,将该流量、流向表换算成各ED之间的流量、流向表,转入步骤(4);
(4)是否由网络管理设备配置资源?
(5)如果是,则网络管理设备根据所述流量、流向表计算出相应NCT数据网节点间链路资源需求表,并根据计算结果向NCT数据网中的节点设备发送包括VPN编号在内的链路资源配置命令,据此建立VPN
(6)如果否,则网络管理设备根据流量、流向表向有关ED发送虚拟专网配置命令,源端ED根据NCT数据网的路由向目的端ED发送VPN配置请求,据此建立VPN。
下面对上述的整体过程分为在NCT数据网中实现的VPN和在IP网中实现的VPN分别加以详细的说明。
NCT数据网中实现VPN的过程包括如下的步骤:
1.申请VPN:
首先,请求建立VPN的用户向网络管理设备提出建立VPN的请求,并提供建立该VPN所需的流量、流向表。
2.建立VPN:
建立NCT VPN有两种技术方案。
第一种技术方案如图3所示,包括下列步骤:
网络管理设备根据用户提交的虚拟专网的ED间的流量、流向表,计算出NCT数据网内相应节点间链路资源需求表,网络管理设备根据上述计算结果,确定VPN编号,向NCT数据网的有关节点设备发送带有业务类别、VPN编号等参数的链路资源配置命令。
NCT数据网中的节点设备根据自有资源情况作出响应;如果资源状况支持建立该虚拟专网,则NCT数据网中的节点设备接受该命令,按该命令参数要求配置链路资源,并向网络管理设备返回确认响应。网络管理设备收到NCT数据网中相关的所有节点设备的确认响应后,向ADT发送带有业务类别、VPN编号等参数的命令。ADT收到来自网络管理设备的VPN命令,即回送确认响应。网络管理设备收到确认响应,虚拟专网建立成功。
如果资源状况不足以支持建立虚拟专网,则复址无连接数据网中的节点设备拒绝该命令,本次配置无效。虚拟专网建立不成功。
应用这种方案可以实现保证质量的VPN。由网络管理设备对VPN建立进行配置和控制,可以实现VPN资源的优化,易于建立固定的或者最优的VPN隧道,而且建立快速。
第二种技术方案如图4所示,包括下列步骤:
网络管理设备向需要建立VPN的该源端ED发送建立VPN命令,该命令应包含有VPN业务类别、VPN编号、源端ED地址/目的端ED地址等参数。
源端ED根据NCT的主路由向目的端ED发VPN配置请求,或者,同时启动NCT备用路由发VPN配置请求。途经的各NCT节点设备,收到该请求后根据自有的资源情况作出响应:如果资源状况支持建立该VPN,则NCT节点设备根据该VPN配置请求配置链路资源,并向下一节点转发该VPN配置请求,直至目的端ED;如果目的端ED的资源状况支持建立该VPN,则目的端ED向源端ED发送接受响应。
如果源端ED收到目的端ED的接受响应,则源端ED立即向网络管理设备回送确认响应。网络管理设备收到该VPN的所有相关ED的确认响应,网络管理设备向与源端ED相连接的ADT发送带有业务类别、VPN编号等参数的命令。
ADT收到来自网络管理设备的命令,建立VPN编号、业务类别和目的端ED地址映射表,然后回送确认响应。网络管理设备收到确认响应。VPN建立成功。
如果节点设备或目的端ED资源状况不支持建立该VPN,则NCT节点设备或目的端ED向源端ED发拒绝响应。本次配置无效。如果源端ED的启动计时超时,尚未收到接收/拒绝响应,源端ED也认为本次配置无效。上述两种情况均认为虚拟专网建立不成功。
这种由源端ED发出VPN配置请求后,由各节点转发来建VPN的方案,能够根据当前网络情况建立VPN。
3.通信过程:
NCT VPN中的通信过程如图5所示:
源端ED向目的端ED发送NCT分组,当NCT分组到达源端ED时,源端ED向ADT发出带有目的端ED地址、业务类别等参数的地址映射请求命令。
ADT收到地址映射请求命令,如判断源端ED地址与目的端ED地址同属一个VPN时,ADT即向源端ED发带有VPN编号、业务类别和目的端ED地址等参数响应命令。
源端ED收到带有VPN编号、业务类别和目的端ED地址等参数响应命令,形成带有VPN标记、VPN编号、业务类别、数据载荷等域的NCT分组,并将它发向目的端ED。
NCT网内的AR、MR、CR等节点设备,按NCT分组的VPN标记、VPN编号将NCT分组传送到目的端ED。
目的端ED收到NCT分组将它发往目的端。
由IP网用户参与的IP VPN的实现过程是这样的:
1.IP网内用户通过源端ED向网络管理设备提交该IP VPN的IP设备之间的流量、流向表。
2.网络管理设备接收到用户提交的该IP VPN的IP设备之间的流量、流向表,网络管理设备向ADT提出地址解析请求,解析出相应ED的NCT地址。然后,网络管理设备将IP设备之间的流量、流向表换算成相应ED间的流量、流向表。
3.对NCT数据网内的VPN建立过程与前述NCT VPN的建立过程相同。
4.该IP VPN的所有IP设备分别与相连接的边缘关口设备ED之间,通过隧道技术或者现有的VPN技术等建立连接,至此IPVPN建立完成。
5.IP VPN的通信过程:
该通信过程如图6所示,包括下列步骤:
源端IP设备向目的端IP设备发送IP分组。
当IP分组到达源端ED时,源端ED向ADT发出带有目的端IP地址等参数的地址映射请求命令。
ADT收到地址映射请求命令,如源端IP地址与目的端IP地址同属一个VPN时,ADT即向源端ED发送带有VPN编号、业务类别和目的端ED地址等参数响应命令。
源端ED收到带有VPN编号、业务类别和目的端ED地址等参数响应命令,形成带有VPN编号、业务类别的NCT分组,并将它发向目的端ED。
NCT网内的AR、MR、CR等节点设备,按NCT分组的VPN编号、业务类别、目的端ED地址等参数,在VPN约定指配的资源范围内进行传送。
目的端ED收到NCT分组,将目的端I P地址恢复出来,重组IP分组,将它发往目的端。
概括地说,IP VPN与NCT VPN相比,由于在IP VPN是根据IP网内IP设备之间的流量、流向表来建立IP设备间的虚拟专网,这里的IP设备可以是一个确定IP地址的IP设备,也可以是一个I P网中的一个用户驻地网(CPN)等,IP设备与相对应的ED间用隧道或现有VPN技术如MPLSVPN或者IPSec VPN等实现连接。IP VPN的接入点是IP网。NCT VPN的接入点是ED。
撤销VPN的过程如图7所示,包括下列步骤:用户提出撤消VPN申请,网络管理设备向复址无连接数据网节点设备与地址映射设备发送撤消VPN命令,复址无连接数据网节点设备释放已配置的资源,地址映射设备清除VPN地址映射表,VPN撤消。
在实际业务中,可能需要建立多个VPN,例如在一个较大规模的企业内部网中,根据业务需要,至少需要建立3个VPN,其中一个VPN用于内部的办公自动化,另外一个VPN用于建立企业内部的核心数据网,还有一个VPN用于召开视频会议。因此,不同的VPN业务有必要进行编号管理。这也就是前面所述的在分组内设置VPN编号位的目的端所在。该VPN编号在一个NCT数据网内是唯一的。在一个NCT数据网内,针对不同的业务类别,也可以有相同的VPN的编号,即在一个运行网内最多可有“VPN编号×业务类别”个VPN。
由二个或二个以上的NCT数据网组织VPN时,在不同NCT数据网中VPN的编号可以是不同的,由NCT数据网之间进行连接的核心层设备CR进行VPN的编号之间的匹配。
从上述的说明可以看出,本发明所述的在IP电信网系统中实现VPN的方法中,在NCT数据网内部实现VPN的过程是最核心的内容,对于NCT数据网外部的IP节点来说,如果要加入某个VPN,分组地址的转换工作是关键的技术内容。因此,对于ATM分组和帧中继(F.R.)分组而言,只要在ADT中设ATM地址或者帧中继地址与NCT地址的映射表,并在ED中完成地址转换的工作,同样可以实现有ATM或者帧中继的VPN。
上面对在IP电信网系统中实现VPN的方法进行了详细的说明,但显然本发明的具体实现形式并不局限于此。对于本技术领域的一般技术人员来说,在不背离本发明所述方法的精神和权利要求范围的情况下对它进行的各种显而易见的改变都在本发明的保护范围之内。

Claims (16)

1.一种在IP电信网系统中实现虚拟专网的方法,该方法由IP电信网中的复址无连接数据网中的节点设备、网络管理设备、地址映射设备和边缘关口设备配合实现,其特征在于包括如下步骤:
用户向网络管理设备提出建立虚拟专网的申请,并提交建立该虚拟专网所需的流量、流向表;
网络管理设备为接受的申请确定虚拟专网编号;
所述地址映射设备生成包含该虚拟专网编号的节点地址映射表;
网络管理设备根据所述流量、流向表,向复址无连接数据网节点设备或与之连接的边缘关口设备发送配置命令,所述节点设备和边缘关口设备在资源情况允许的条件下,接受该配置命令,建立虚拟专网。
2.如权利要求1所述的在I P电信网系统中实现虚拟专网的方法,其特征在于:
所述建立虚拟专网的过程中,网络管理设备根据所述流量、流向表计算出复址无连接数据网的相应节点间链路资源需求表,并根据计算结果向复址无连接数据网中的节点设备发送包括虚拟专网编号在内的链路资源配置命令,据此建立虚拟专网。
3.如权利要求2所述的在IP电信网系统中实现虚拟专网的方法,其特征在于还包括如下步骤:
(1)所述建立虚拟专网的过程中,复址无连接数据网中的节点设备根据自有资源情况作出响应;
(2)资源情况是否许可?
(3)如果资源状况不足以支持建立虚拟专网,则复址无连接数据网中的设备拒绝该命令,本次配置无效;如果资源状况支持建立该虚拟专网,则复址无连接数据网中的节点设备接受该命令;
(4)节点设备按该命令参数要求配置链路资源,并向网络管理设备回发确认响应;
(5)网络管理设备收到所有相关节点设备的确认响应后,向地址映射设备发送包含有业务类别、虚拟专网编号参数在内的命令;
(6)地址映射设备收到该命令,回送确认响应;
(7)网络管理设备收到确认响应,虚拟专网建立。
4.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
所述建立虚拟专网的过程中,网络管理设备根据流量、流向表向有关边缘关口设备发送虚拟专网配置命令,源端边缘关口设备根据复址无连接数据网的路由向目的端边缘关口设备发送虚拟专网配置请求,据此建立虚拟专网。
5.如权利要求4所述的在IP电信网系统中实现虚拟专网的方法,其特征在于还包括如下步骤:
(1)源端边缘关口设备根据复址无连接数据网路由向目的端边缘关口设备发送虚拟专网配置请求;
(2)途经的各复址无连接数据网节点设备收到该请求后根据自有的资源情况作出响应;
(3)资源情况是否许可?
(4)如果资源状况支持建立该虚拟专网,则复址无连接数据网节点设备根据该请求配置链路资源,并向下一节点转发该请求,直至目的端边缘关口设备,如果目的端边缘关口设备的资源状况支持建立该虚拟专网,则目的端边缘关口设备向源端边缘关口设备发送接受响应;否则,向源端边缘关口设备发拒绝响应,本次配置无效;
(5)源端边缘关口设备收到目的端边缘关口设备的接受响应,则立即向网络管理设备回送确认响应;
(6)网络管理设备收到所有边缘关口设备的确认响应,向地址映射设备设备发送包含业务类别、虚拟专网编号参数在内的命令;
(7)地址映射设备收到该命令,回送确认响应;
(8)网络管理设备收到确认响应,虚拟专网建立成功。
6.如权利要求5所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
如果源端边缘关口设备在设定的时间内尚未收到接收/拒绝响应,则认为本次配置无效。
7.如权利要求5所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
所述步骤(1)中,源端边缘关口设备可以同时启动复址无连接数据网备用路由向目的端边缘关口设备发送虚拟专网配置请求。
8.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
所述申请虚拟专网的过程中,如果用户是IP网中的用户,则提交的流量、流向表为IP网中节点的流量、流向表,所述网络管理设备通过地址映射设备获得各IP网节点连接的边缘关口设备地址,将该流量、流向表换算成各边缘关口设备之间的流量、流向表。
9.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
所述申请虚拟专网的过程中,如果用户是复址无连接数据网中的用户,则其提交的流量、流向表为边缘关口设备之间的流量、流向表。
10.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
在虚拟专网建立之后,如果用户是复址无连接数据网中的用户,则其通信过程包括如下步骤:
(1)源端边缘关口设备向目的端边缘关口设备发送复址无连接数据网分组,当该分组到达源端边缘关口设备时,源端边缘关口设备向地址映射设备发出包含有目的端边缘关口设备地址等参数的地址映射请求命令;
(2)地址映射设备收到地址映射请求命令,如源端边缘关口设备地址与目的端边缘关口设备地址同属一个虚拟专网,则向源端边缘关口设备发送包含有虚拟专网编号、业务类别和目的端边缘关口设备地址参数在内的响应命令;
(3)源端边缘关口设备收到该响应命令,生成包含有虚拟专网编号、业务类别参数在内的复址无连接数据网分组,并将它发向目的端边缘关口设备;
(4)复址无连接数据网内的节点设备根据该分组的虚拟专网编号、业务类别和目的端边缘关口设备地址,在虚拟专网约定指配的资源范围内进行传送;
(5)目的端边缘关口设备收到该复址无连接数据网分组,将它发往目的端。
11.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
在虚拟专网建立之后,如果用户是IP网中的用户,则其通信过程包括如下步骤:
(1)源端IP设备向目的端IP设备发送IP分组;
(2)当IP分组到达源端边缘关口设备时,源端边缘关口设备向地址映射设备发出包含有目的端IP地址在内的地址映射请求命令;
(3)地址映射设备收到该命令,如源端IP地址与目的端IP地址同属一个虚拟专网,则向源端边缘关口设备发送包含有虚拟专网编号、业务类别和目的端边缘关口设备地址参数在内的响应命令;
(4)源端边缘关口设备收到该响应命令,形成带有虚拟专网编号、业务类别的复址无连接数据网分组,并将它发向目的端边缘关口设备设备;
(5)复址无连接数据网内的节点设备按复址无连接数据网分组中的虚拟专网编号、业务类别、目的端边缘关口设备地址,在虚拟专网约定指配的资源范围内进行传送;
(6)目的端边缘关口设备收到该复址无连接数据网分组,将目的端IP地址恢复出来,重组成IP分组,将它发往目的端。
12.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于虚拟专网的撤销过程包括如下步骤:
用户提出撤消虚拟专网申请,网络管理设备向复址无连接数据网节点设备与地址映射设备发送撤消虚拟专网命令,节点设备释放已配置的资源,地址映射设备清除虚拟专网地址映射表,虚拟专网撤消。
13.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
在复址无连接数据网的分组格式中为虚拟专网设有专用域:虚拟专网标识域和虚拟专网编号域。
14.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
所述虚拟专网编号在一个复址无连接数据网内是唯一的。
15.如权利要求1所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
在由二个或二个以上的复址无连接数据网参与组成虚拟专网时,在不同的复址无连接数据网中虚拟专网的编号可以是不同的,由复址无连接数据网的核心层设备进行不同虚拟专网的编号之间的匹配。
16.如权利要求8或11所述的在IP电信网系统中实现虚拟专网的方法,其特征在于:
在虚拟专网的用户是IP网中用户的情况下,该用户与相对应的边缘关口设备之间通过包括隧道技术在内的技术手段实现连接。
CNB2004100626524A 2004-04-28 2004-07-08 Ip电信网系统中实现虚拟专网的方法 Expired - Fee Related CN100359876C (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CNB2004100626524A CN100359876C (zh) 2004-06-25 2004-07-08 Ip电信网系统中实现虚拟专网的方法
PCT/CN2005/000594 WO2005107161A1 (fr) 2004-04-28 2005-04-28 Systeme et procede de communications d'un reseau de telecommunications ip et leur application
US11/587,810 US7894458B2 (en) 2004-04-28 2005-04-28 System and communication method of IP telecommunication network and its application
EP05752258A EP1748600A4 (en) 2004-04-28 2005-04-28 SYSTEM AND COMMUNICATION METHOD OF AN IP TELECOMMUNICATIONS NETWORK AND APPLICATION THEREOF

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200410049743 2004-06-25
CN200410049743.4 2004-06-25
CNB2004100626524A CN100359876C (zh) 2004-06-25 2004-07-08 Ip电信网系统中实现虚拟专网的方法

Publications (2)

Publication Number Publication Date
CN1713603A true CN1713603A (zh) 2005-12-28
CN100359876C CN100359876C (zh) 2008-01-02

Family

ID=35719046

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100626524A Expired - Fee Related CN100359876C (zh) 2004-04-28 2004-07-08 Ip电信网系统中实现虚拟专网的方法

Country Status (1)

Country Link
CN (1) CN100359876C (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917228A (zh) * 2010-07-30 2010-12-15 武汉烽火网络有限责任公司 集团用户有线专网的实现方法
CN101114972B (zh) * 2006-07-26 2011-01-26 成都迈普产业集团有限公司 Ip电信网系统中建立虚拟专网的方法
CN101527668B (zh) * 2008-03-06 2011-10-12 原创信通电信技术(北京)有限公司 面向公众数据网的多数据平面实现方法
CN101594296B (zh) * 2008-05-30 2012-08-22 原创信通电信技术(北京)有限公司 基于公平算法的ip电信网边缘关口设备资源管理方法
CN101217458B (zh) * 2007-12-28 2012-09-05 华为技术有限公司 一种虚拟私有网上资源分配的方法
CN101582840B (zh) * 2008-05-14 2013-01-09 原创信通电信技术(北京)有限公司 Ip电信网系统路由/交换设备及其资源配置方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108632927B (zh) * 2017-03-24 2021-08-13 华为技术有限公司 移动网络切换方法和通信装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3937775B2 (ja) * 2001-09-10 2007-06-27 岩崎通信機株式会社 通信網のip−vpnアダプタ着信方法と装置
JP3868815B2 (ja) * 2002-01-10 2007-01-17 富士通株式会社 通信システム
US7467215B2 (en) * 2002-09-09 2008-12-16 Nortel Networks Limited SVC-L2.5 VPNs: combining Layer-3 VPNs technology with switched MPLS/IP L2VPNs for ethernet, ATM and frame relay circuits
US7386605B2 (en) * 2002-11-05 2008-06-10 Enterasys Networks, Inc. Methods and apparatus for automated edge device configuration in a heterogeneous network
CN1170397C (zh) * 2003-03-31 2004-10-06 中国科学院计算机网络信息中心 一种IPv4网络接入层次式交换网络的方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101114972B (zh) * 2006-07-26 2011-01-26 成都迈普产业集团有限公司 Ip电信网系统中建立虚拟专网的方法
CN101217458B (zh) * 2007-12-28 2012-09-05 华为技术有限公司 一种虚拟私有网上资源分配的方法
CN101527668B (zh) * 2008-03-06 2011-10-12 原创信通电信技术(北京)有限公司 面向公众数据网的多数据平面实现方法
CN101582840B (zh) * 2008-05-14 2013-01-09 原创信通电信技术(北京)有限公司 Ip电信网系统路由/交换设备及其资源配置方法
CN101594296B (zh) * 2008-05-30 2012-08-22 原创信通电信技术(北京)有限公司 基于公平算法的ip电信网边缘关口设备资源管理方法
CN101917228A (zh) * 2010-07-30 2010-12-15 武汉烽火网络有限责任公司 集团用户有线专网的实现方法
CN101917228B (zh) * 2010-07-30 2014-04-30 武汉烽火网络有限责任公司 集团用户有线专网的实现方法

Also Published As

Publication number Publication date
CN100359876C (zh) 2008-01-02

Similar Documents

Publication Publication Date Title
CN1856163A (zh) 一种具有会话边界控制器的通信系统及其传输信令的方法
CN1929398A (zh) 无线通信网安全设置方法、存储介质、网络系统和客户设备
CN1726676A (zh) 通信系统和传送设备
CN1960565A (zh) 演进的移动通信网络及终端向演进的3g接入网络注册方法
CN1801956A (zh) 一种资源分配策略系统及其控制通信资源分配的方法
CN101068196A (zh) 一种蓝牙手机接入蓝牙网关的业务接入控制方法
CN1925450A (zh) 一种防止媒体流迂回的通信方法
CN1859445A (zh) 一种移动终端ip地址分配方法
CN1913713A (zh) 公共数据网接入方法及系统
CN1658636A (zh) 实现3g网络与互联网交互的即时语音通信方法
CN1713603A (zh) Ip电信网系统中实现虚拟专网的方法
CN1863113A (zh) 局域网终端实现多用户接入的系统及方法
CN1848799A (zh) 实现虚拟专用网的方法
CN1870636A (zh) 一种客户端重定向的方法和系统
CN1642096A (zh) 多媒体会议召开方法
CN101060466A (zh) 多业务接入网的控制系统及控制方法
CN1848980A (zh) 确定话权分配方式的方法及集群通信系统
CN1516401A (zh) 基于虚拟局域网的实现多角色主机的方法
CN1158817C (zh) 实现企业接入业务的虚拟ggsn的实现方法及装置
CN101030882A (zh) 一种访问客户网络管理平台的方法
CN101047706A (zh) 一种接入网会话控制系统及方法
CN1711785A (zh) 用于管理通信网络到移动终端的接入的系统和方法
CN1852273A (zh) 一种从网关设备之间进行通信的方法和系统
CN1671096A (zh) 基于策略控制的组播接入控制方法
CN1725723A (zh) 提高虚拟专用网用户安全性的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20080102

Termination date: 20150708

EXPY Termination of patent right or utility model