WO2010135887A1

WO2010135887A1 - 移动虚拟专用网通信的方法、装置及系统

Info

Publication number: WO2010135887A1
Application number: PCT/CN2009/074976
Authority: WO
Inventors: 朱泉; 郭�东
Original assignee: 华为技术有限公司
Priority date: 2009-05-27
Filing date: 2009-11-17
Publication date: 2010-12-02
Also published as: JP2012528492A; CN101562807A; KR101313831B1; EP2426885B9; EP2426885A1; JP5412695B2; EP2426885B1; CN101562807B; KR20120014586A; US9084108B2; US20120079113A1; EP2426885A4

Description

移动虚拟专用网通信的方法、装置及系统本申请要求于 2009 年 05 月 27 日提交中国专利局、申请号为 200910143618. 2、发明名称为 "移动虚拟专用网通信的方法、装置及系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信领域，尤其涉及一种移动虚拟专用网通信的方法、装置及系统。背景技术

VPN ( Virtual Private Network, 虚拟专用网）是依靠 ISP ( Internet Service Provider, Internet服务提供商）和 NSP ( Network Service Provider, 网给服务提供商），在公用网络中建立专用的数据通信网络的技术。按照组网类型， VPN可以分为固网 VPN、移动 VPN等。固网 VPN是使用固定通信网络为用户提供 VPN接入，而移动 VPN通过 GPRS ( General Packet Radio Service, 通用无线分组业务 ) AVCDMA ( Wide-brand Code Division Multiplex Access, 宽带码分多址）/CDMA( Code Division Multiplex Access,码分多址）/LTE-SAE ( Long Term Evolution-System Architecture Evolution , 3 GPP长期演进-系统架构演进）等移动通信网络为用户提供 VPN接入。

在移动 VPN中， MS ( Mobile Subscriber, 移动终端 )可能需要作为 MS

Router (移动路由器）服务一个移动 VPN分支网络。在此情况下，移动分组网关除了需要获得该 MS 的 IP地址（网络地址 )外，还需要获得该 MS所服务的移动 VPN分支网络的网段 IP地址信息，因而可以将该 MS的 IP地址以及该移动 VPN分支网络的网段 IP地址，与同一个 PDP context ( Packet Data Protocol Context,分组数据协议上下文）关联，从而使该 MS以及该移动 VPN 分支网络的所有 Host, 分别使用各自的 IP地址通过相关联的 PDP context与外部设备交互 IP流量。

现有技术中 ,移动分组网关通过 AAA Server ( Authentication Authorization Accounting Server, 鉴权授权计费服务器）获得 MS的 IP地址以及其所服务的移动 VPN分支网络的网段 IP地址： MS在激活时，移动分组网关根据预先设定 ,向 AAA server发送鉴权请求 ( Radius Access Request )消息； AAA server 确定该 MS开通了 MS Router功能后，将预先存储的该 MS的 IP地址，以及该 MS所服务的移动 VPN分支网络的网段 IP地址添加在鉴权响应（Radius Access Accept ) 消息中，并返回给移动分组网关；移动分组网关从 Radius Access Accept消息中获得该 MS的 IP地址、该移动 VPN分支网络的网段 IP 地址。

在实现移动 VPN通信的过程中，发明人发现现有技术中至少存在如下问题：利用现有技术中的技术方案进行移动 VPN通信的话，由于 AAA Server 上存储的移动 VPN分支网络的网段 IP地址信息是预先配置好的，而 MS所服务的移动 VPN分支网络经常发生改变，因此，需要经常人工修改 AAA server 上存储的移动 VPN分支网络的网段 IP地址信息，才能使移动分组网关可以根据新的移动 VPN分支网络的网段 IP地址进行移动 VPN通信。因而，利用现有技术的网络维护的效率较低。

发明内容

本发明的实施例提供一种移动虚拟专用网通信的方法、装置及系统，可以提高网络维护的效率。

为达到上述目的，本发明的实施例采用如下技术方案：

一种移动虚拟专用网通信的方法，包括：

获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；

根据所述网关虚接口网络地址为移动终端的分组数据协议上下文创建虚接口；

将所述终端网络地址发送给所述移动终端；

根据动态路由协议通过所述虚接口从所述移动终端获取所述移动终端所服务的分支网络的网段地址。

一种移动虚拟专用网通信的装置，包括：

网络地址获取单元，用于获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；

接口创建单元，用于根据所述网络地址获取单元获取的网关虚接口网络地址，为移动终端的分组数据协议上下文创建虚接口；

网络地址发送单元，用于将所述网络地址获取单元获取的终端网络地址发送给所述移动终端；

分支地址获取单元，用于根据动态路由协议通过所述接口创建单元创建一种移动虚拟专用网通信的方法，包括：

从移动分组网关获取终端网络地址；网关虚接口网络地址与所述终端网络地址属于同一网段；

根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

一种移动终端，包括：

终端地址获取单元，用于从移动分组网关获取终端网络地址；

接口地址获取单元，用于根据所述终端地址获取单元获取的终端网络地址获取移动分组网关的网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；分支地址通知单元，用于根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

一种移动虚拟专用网通信的系统，包括至少一个移动终端和移动分组网关：

其中，所述移动分组网关，用于获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；居所述网关虚接口网络地址为所述移动终端的分组数据协议上下文创建虚接口；并将所述终端网络地址发送给所述移动终端；根据动态路由协议通过所述虚接所述移动终端，用于从移动分组网关获取终端网络地址；并居所述终端网络地址获取移动分组网关的网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；并根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

本发明实施例提供的移动虚拟专用网通信的方法、装置及系统，通过移动分组网关为移动终端的分组数据协议上下文创建虚接口，并且所述虚接口和所述移动终端分别配置同一网段的网络地址；所述移动分组网关根据动态路由协议，可以实时地通过所述虚接口从所述移动终端获取所述移动终端所服务的分支网络的最新的网段地址。因此，利用本发明实施例的技术方案，解决了需要在 MS所服务的移动 VPN分支网络的网段地址变化时，人工修改 AAA Server上的分支网络的网段地址的问题，进而达到了提高网络维护效率的效果。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的移动虚拟专用网通信的方法流程图；图 2为本发明实施例提供的另一种移动虚拟专用网通信的方法流程图；图 3为本发明实施例提供的另一种移动虚拟专用网通信的方法流程图；图 4为本发明实施例提供的另一种移动虚拟专用网通信的方法流程图；图 5为本发明实施例提供的另一种移动虚拟专用网通信的方法流程图；图 6 为本发明实施例提供的一种移动虚拟专用网通信的装置结构示意图；

图 7为本发明实施例提供的一种移动终端结构示意图；

图 8为本发明实施例提供的另一种移动虚拟专用网通信的系统构成示意图；

图 9为本发明实施例提供的另一种移动虚拟专用网通信的系统构成示意图；

图 10 为本发明实施例提供的另一种移动虚拟专用网通信的系统构成示意图；

图 11 为本发明实施例提供的移动虚拟专用网通信的方法采用第一种方案时的组网图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。为了提高网络维护的效率，本发明实施例提供了一种移动虚拟专用网通信的方法，如图 1所示，本发明实施例移动虚拟专用网通信的方法，包括：

101、移动分组网关获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段。

在此，对在本发明实施例中用到的几个概念做一下描述，其中 "终端网络地址"是指移动分组网关为移动终端分配的网络地址， "网关虚接口网络地址" 则是指移动分组网关为创建的虚接口分配的网络地址。

在此步骤中，移动分组网关可以在接收由 MS发送的激活请求后，同时获取终端网络地址和网关虚接口网络地址，也可以先按照现有技术从 AAA Server先获取终端网络地址以及 MS所服务的分支网络的网段地址，在后续过程中，再根据获取的终端网络地址获取属于同一网段的网关虚接口网络地址。

102、移动分组网关根据所述网关虚接口网络地址，为移动终端的分组数据协议上下文创建虚接口。

103、移动分组网关将所述终端网络地址发送给所述移动终端。

其中，步骤 102和 103可以同时进行，或者，也可以先进行步骤 102再进行步骤 103, 或者，还可以先进行步骤 103再进行步骤 102。

104、移动分组网关根据动态路由协议通过所述虚接口从所述移动终端获取所述移动终端所服务的分支网络的网段地址。

其中，由于网关虚接口网络地址与终端网络地址属于同一网段，故分别在移动分组网关的虚接口以及移动终端的接口上启动动态路由协议后，移动分组网关与所述移动终端可以通过所述虚接口和所述移动终端的接口交互动态路由协议报文，其中，所述移动终端向移动分组网关发送的动态路由协议报文包括所述分支网络的网段地址。因此，移动分组网关可以实时的从所述移动终端发送的动态路由协议报文中获取所述分支网络的网段地址。故当分支网络的网段地址有变化时，移动终端向移动分组网关发送的动态路由协议报文包括所述分支网络的网段地址也会随之变化，而移动分组网关可以通过所述虚接口接收移动终端发送的动态路由协议报文获取变化后分支网络的网段地址，从而可以实时获取分支网络的新的网段地址。

移动分组网关在根据动态路由协议通过所述虚接口从所述 MS获取分支网络的网段地址前，可以向所述 MS发送包括终端网络地址的激活响应，使所述 MS使用所述终端网络地址通过相关联的 PDP context转发 IP流量，并本发明实施例提供的移动虚拟专用网通信的方法，由于采用了移动分组网关根据动态路由协议，实时地通过所述虚接口从所述移动终端获取分支网络的最新的网段地址的技术方案，因此避免了需要在 MS所服务的移动 VPN 分支网络的网段地址变化时，人工修改 AAA Server上的分支网络的网段地址的问题，进而达到了提高网络维护效率的效果。

在上述实施例中，移动分组网关可以通过至少以下三种方案同时获取终端网络地址和网关虚接口网络地址：移动分组网关通过 AAA Server获取终端网络地址和网关虚接口网络地址；移动分组网关在本地获取终端网络地址和网关虚接口网络地址；移动分组网关通过 DHCP Server ( Dynamic Host Configuration Protocol Server, 动态主机分配协议服务器）获取终端网络地址和网关虚接口网络地址。以下分别根据上述三种方案，结合上述实施例进行进一步详细描述。

第一种方案、移动分组网关通过 AAA Server获取终端网络地址和网关虚接口网给地址。

如图 3所示，本发明实施例移动虚拟专用网通信的方法，包括：

301、移动终端向移动分组网关发送激活请求。

所述激活请求，即为 PDP context激活请求。举例而言，在实际应用中， MS向移动分组网关（例如 GGSN ( Gateway GPRS Support Nodes, 网关 GPRS 支持节点））发送激活请求的流程可以具体为：

( 1 ) MS向 SGSN ( Serving GPRS Support Nodes, 服务 GPRS支持节点）发送 PDP context激活请求，该激活请求中包括 APN(Access Point Name,接入点名称)。

( 2 ) SGSN根据该 APN判断 MS的可接入性，并通过 DNS Server ( Domain Name System Server, 域名系统服务器)得到相应的 GGSN地址，并向 GGSN转发该 MS的 PDP context激活请求。

302、移动分组网关接收所述移动终端的激活请求后，向鉴权授权计费服务器发送地址请求消息。

所述地址请求消息可以有多种实现方式，例如 Radius Access Request消息。

303、鉴权授权计费服务器向移动分组网关发送地址响应消息。

在本发明实施例的方法中， AAA Server预先存储终端网络地址，即所述 MS的 IP地址以及网络掩码。当 MS开通了 MS Router功能时， AAA Server 还存储对应的网关虚接口网络地址，该网关虚接口网络地址为移动分组网关的 IP地址中其中一个地址，其中，该网关虚接口网络地址用于与该 MS互连，并启动动态路由协议，并且所述网关虚接口网络地址与所终端网络地址属于同一网段。

在 MS开通了 MS Router功能时， AAA Server将存储的终端网络地址、对应的网关虚接口网络地址添加在地址响应消息中，向移动分组网关发送该地址响应消息。在 MS未开通 MS Router功能时， AAA Server将存储的终端网络地址添加在地址响应消息中，向移动分组网关发送该地址响应消息。

所述地址响应消息可以有多种实现方式，例如，地址请求消息通过 Radius Access Request消息实现时，地址响应消息可以通过 Radius Access Accept消息实现。并且， MS的 IP地址等信息在 Radius Access Accept消息中有多种方式：可以使用私有扩展属性，例如对 RFC2865 中定义的 "Vendor-Specific" 属性进行自定义来包含 MS的 IP地址等信息；也可以使用 RFC2865中已经定义的标准属生，例口 " Framed-IP- Address "、 " Framed- IP-Netmask " 和

"Framed- Route" 属性, 其中 " Framed- IP- Address，，、 "Framed- IP-Netmask" 分别包括 MS的 IP地址和网络掩码， "Framed-Route"中的 "Gateway address" 字段中包含网关虚接口网络地址，网关虚接口网络地址与

"Framed-IP- Address" , "Framed-IP-Netmask" 表示的移动终端 MS的 IP地址在相同的网段中。

304、移动分组网关解析所述地址响应消息，从所述地址响应消息中获取所述终端网络地址和所述网关虚接口网络地址。

移动分组网关解析所述地址响应消息，在确定所述 MS开通了 MS Router 功能时，从所述地址响应消息中获取所述终端网络地址和所述网关虚接口网络地址，在确定所述 MS未开通 MS Router功能时，从所述地址响应消息中获取终端网络地址。

在此步骤中，移动分组网关可以根据所述地址响应消息中是否包括网关虚接口网络地址，来判断 MS是否开通了 MS Router功能。例如，网关虚接口网给地址利用 Radius Access Accept消息的 "Framed-Route" 中的 "Gateway address"字段包含时 ,只有在 Radius Access Accept消息包含了 "Framed-Route" 时，移动分组网关才判定 MS开通了 MS Router功能。

另外，所述移动分组网关也可以根据所述地址响应消息中是否包括了 MS Router标志或包括的 MS Router标志的值，判断 MS是否开通了 MS Router 功能。

305、移动分组网关根据所述网关虚接口网络地址为移动终端的分组数据协议上下文创建虚接口。

在 MS开通了 MS Router功能时，移动分组网关获取与所述终端网络地址相关联的 PDP context,即 MS的 PDP context。移动分组网关为该 PDP context 创建一个虚接口，该虚接口的网络地址为所述网关虚接口网络地址。移动分组网关会对进出该虚接口的 IP报文，进行该 PDP context所对应的用户面隧道封装、解封装处理。

306、移动分组网关向所述移动终端发送激活响应，所述激活响应包括所述终端网络地址。

举例而言，在实际中，移动分组网关（例如 GGSN ) 向 MS发送激活响应的流程可以具体为： GGSN向 SGSN发送包括 MS的 IP地址及网络掩码的激活响应， SGSN将该激活响应转发给该 MS。

307、移动终端接收所述激活响应后，从所述激活响应中获取所述终端网络地址。络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段。移动终端根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。方式一：可以将分支网络的网段地址预先配置在 MS上；方式二：也可以在 MS 与其所服务的移动 VPN 分支网络的各主机之间启动动态路由协议，则 MS可以根据动态路由协议获取所服务的分支网络的网段地址。对于方式二具体来说，由于 MS与其所服务的移动 VPN分支网络的各主机之间都启动动态动态路由协议中，相邻节点之间会交互一些动态路由协议报文，这些动态路由协议报文中包括网络的路由信息。因此， MS会与其所服务的移动 VPN分支网络的各主机交互动态路由协议报文，并可以从所述报文中获得所述分支网络的路由信息，所述分支网络的路由信息包括所述分支网络的网段地址，即移动 VPN分支网络的网段 IP地址。

2 )移动分组网关创建的虚接口与 MS的终端网络地址属于同一网段，因此，可以在该虚接口以及 MS 的接口上分别启动动态路由协议，例如， OSPF(Open Shortest Path First, 开放式最短路径优先）或者 RIP ( Routing information Protocol, 路由信息协议）。之后，移动分组网关与 MS将分别发现彼此是相邻节点，从而 MS通过动态协议获知网关虚接口网络地址，进而可以进行路由信息的交互。

移动分组网关与 MS之间通过创建的虚接口和 MS的接口交互动态路由协议报文，在 MS从其服务的移动 VPN分支网络的主机发送的动态路由协议报文中或者根据预先的配置获得该分支网络的网段地址后， MS在向移动分组网关发送的动态路由协议报文中包括该分支网络的网段地址，由此移动分组网关可以从所述报文中获得该分支网络的网段地址。

移动分组网关在获得 MS所服务的移动 VPN分支网络的网段地址后，确定已同该 MS的网络地址相关联的 PDP context, 将该分支网络的网段地址与该 PDP context相关联。由此，移动分组网关可以对该网段地址的流量通过与其关联的 PDP context所对应的用户面隧道传输，实现该网段地址的流量的 VPN通信。其中，进出该虚接口的动态路由协议报文，移动分组网关也会对其进行相关联的 PDP context所对应的用户面隧道封装、解封装处理。

因此，移动分组网关可以在上行（Uplink ) 业务流量转发过程中，允许 IP流量的源地址是 MS的 IP地址或者移动 VPN分支网络的网段 IP地址时，通过相关联的 PDP context转发该 IP流量，并且，在下行（Downlink )业务流量转发过程中，允许 IP流量的目的地址是 MS的 IP地址或者移动 VPN分支网络的网段 IP地址时，通过相关联的 PDP context转发该 IP流量。

由于，现有技术中移动 VPN分支网络的网段 IP地址信息是预先配置的， VPN分支网络和总部网络无法获知彼此的网络拓朴。而本发明的实施例还可以进一步实现移动 VPN分支网络和总部网络可以分别获得彼此的网络拓朴，以便动态地调整 IP流量的流向。其中，具体为：还可以在移动分组网关与移动 VPN 总部网络之间也启动动态路由协议。这样，移动分组网关可以从与 MS交互的动态路由协议报文中，获取移动 VPN分支网络的网络拓朴，将获取的移动 VPN分支网络的网络拓朴，通过动态路由协议报文通知给移动 VPN 总部网络。并且，移动分组网关可以从与移动 VPN总部网络交互的动态路由协议报文中，获取移动 VPN总部网络的网络拓朴，将获取的移动 VPN总部网络的网络拓朴，通过动态路由协议报文通知给 MS,进而通过 MS通知给移动 VPN分支网络。

另外，移动分组网关还可以通过所述虚接口与移动终端交互网络监测信息，根据所述网络监测信息，检测与所述移动终端之间的网络质量，在检测到与所述移动终端之间的网络质量差时，可以及时地进行相应的调整。当然，还可以在移动分组网关与 MS之间启动其它标准的、或者非标准自定义的通信，用于传递其它信息。

在本实施例中，当 VPN分支网络的 IP地址发生变化时，可以将变化的地址信息配置在 MS上或者由 MS根据动态路由协议获得该信息。进一步的， MS 在向移动分组网关发送的动态路由协议 4艮文中包括该分支网络的变化后网段地址，由此移动分组网关可以从所述报文中获得该分支网络的变化后网段地址。

图 11 是本发明实施例提供的移动虚拟专用网通信的方法采用上述第一种方案实现时的组网图。移动分组网关为开通 MS Router功能的移动终端 1 和移动终端 2分别创建一个虚接口，移动终端 1和移动终端 2与移动分组网关之间的动态路由协议报文分别进出各自创建的虚接口，即所述动态路由协议才艮文分别通过移动终端 1和移动终端 2的 PDP context的用户面隧道传输。其中移动终端可以通过无线接入网与移动分组网关连接。

移动终端 1向移动分组网关发送动态路由协议文后，移动分组网关接收并解析该动态路由协议文，可以获知当后续移动分组网关收到的 IP 4艮文的目的 IP地址位于分支网络 1网段 A.B.C.x范围内时，则移动分组网关获知该 IP 文的下一跳地址是移动终端 1激活后分到的 IP地址。并且，移动终端 2向移动分组网关发送动态路由协议报文后，移动分组网关接收并解析该动态路由协议文，可以获知当后续移动分组网关收到的 IP 4艮文的目的 IP 地址位于分支网络 2网段 D.E.F.y范围内时，则移动分组网关获知该 IP 文的下一跳地址是移动终端 2激活后分到的 IP地址。

移动分组网关向移动终端 1发送动态路由协议报文后，移动终端 1接收并解析该动态路由协议^¾文，可以获知当后续移动终端 1收到的 "¾文的目的 IP地址位于总部网络 1网段范围内时，则移动终端 1获知该 IP报文的下一跳地址是与移动终端 1 网络地址位于同网段的移动分组网关虚接口 IP地址。并且，移动分组网关向移动终端 2发送动态路由协议文后，移动终端 2接收并解析该动态路由协议报文，获知当后续移动终端 2收到的 IP报文的目的 IP地址位于总部网络 2网段范围内时，则移动终端 2获知该 IP报文的下一跳地址是与移动终端 2网络地址位于同网段的移动分组网关虚接口 IP地址。

移动分组网关分别接收到移动终端 1和移动终端 2发送的动态路由协议报文后，可以分别从这些动态路由协议报文中获取分支网络 1和分支网络 2 的网段 IP地址信息 A.B.C.x和 D.E.F.y以及其他路由信息；而移动终端 1和移动终端 2分别接收移动分组网关发送的动态路由协议报文后，可以分别从这些动态路由协议报文中获取总部网络 1和总部网络 2的网段 IP地址信息以及其他路由信息。

并且，通过移动终端 1与移动分组网关之间、移动分组网关与总部网络 1的路由器 1之间交互路由协议报文，移动终端 1和总部网络 1的路由器 1 可以分别获得彼此的路由信息，因此，如图中移动终端 1和路由器 1之间的点划线所示，在逻辑上移动终端 1和总部网络 1的路由器 1之间可以彼此交换路由信息，进而动态调整业务流向。同理，如图中移动终端 2和路由器 2 之间的虚线所示，在逻辑上移动终端 2和总部网络 2的路由器 2之间也可以彼此交换路由信息，进而动态调整业务流向。可以理解，移动分组网关与总部网络路由器之间交互路由协议报文完全是现有技术实现，在此不再赘述。在获得路由信息后，移动分组网关允许以 A.B.C.x和 D.E.Ry为源地址的 IP流量分别经由移动终端 1和移动终端 2的 PDP context的用户面隧道传输，并且允许以 A.B.C.x和 D.E.F.y为目的地址的 IP流量分别经由移动终端 1和移动终端 2的 PDP context的用户面隧道传输，实现移动 VPN业务流量的正常转发。

可以理解，按照现有的路由技术，如果分支网络 1与分支网络 2属于同一个 VPN, 那么它们的网段地址不能相同。相应地，移动终端 1和移动终端 2的 IP地址不在同一个网段。

第二种方案、移动分组网关在本地获取终端网络地址和网关虚接口网络地址。

如图 4所示，本发明实施例移动虚拟专用网通信的方法，包括：步骤 401同步骤 301。

402、移动分组网关接收移动终端的激活请求后，在所述移动终端开通移动路由器功能时，从本地地址池中获取一个网段地址。

移动分组网关预先存储了 MS是否开通了 MS Router功能的配置信息，因此，移动分组网关接收 MS的激活请求后，根据存储的配置信息确定该 MS 是否开通了 MS Router功能，或者当用户向 AAA服务器鉴权时，移动分组网关从 AAA获知 MS开通了 MS Router功能。

移动分组网关在确定 MS开通了 MS Router功能时，从本地地址池中获取一个网段 IP地址，例如在 IPV4下，相应的网段掩码长度一般不超过 30, 或者，网段掩码长度可以预先约定。

403、移动分组网关从获取的网段地址中确定两个网络地址，将其中一个网络地址作为所述移动分组网关分配给移动终端的终端网络地址，将另一个网络地址作为网关虚接口网络地址。

步骤 404 ~ 407同步骤 305 ~ 308, 并且路由信息交互与实现移动 VPN业务流量正常转发的原理及过程与方案一相同。第三种方案、移动分组网关通过 DHCP Server获取终端网络地址和网关虚接口网络地址。

如图 5所示，本发明实施例移动虚拟专用网通信的方法，包括：步骤 501同步骤 301。

502、移动分组网关接收移动终端的激活请求后，向动态主机分配协议服务器发送地址请求消息。

所述地址请求消息可以有多种实现方式，例如，地址分配请求（DHCP REQUEST ) 消息。

503、动态主机分配协议服务器向移动分组网关发送地址响应消息。

在本方法中， DHCP Server预先存储终端网络地址，即所述 MS的 IP地址以及网络掩码，当 MS开通了 MS Router功能时， DHCP Server还存储对应的网关虚接口网络地址，即与该 MS互连的移动分组网关的 IP地址，并且所述网关虚接口网络地址与所终端网络地址属于同一网段。

在 MS开通了 MS Router功能时， DHCP Server将存储的终端网络地址、对应的网关虚接口网络地址添加在地址响应消息中，向移动分组网关发送该地址响应消息。在 MS未开通 MS Router功能时， DHCP Server将存储的终端网络地址添加在地址响应消息中，向移动分组网关发送该地址响应消息。

所述地址响应消息可以有多种实现方式，例如，地址请求消息通过地址分配请求消息实现时，地址响应消息可以通过地址分配响应（ DHCP OFFER/DHCP ACK ) 消息实现。并且， MS 的 IP 地址等信息在 DHCP OFFER/DHCP ACK消息中有多种包含方式，举例而言，可以使用私有扩展属性，例如对 RFC2131中定义的 "OPTIONS"属性进行自定义来包含 MS的 IP 地址等信息。

504、移动分组网关解析所述地址响应消息，从所述地址响应消息中获取所述终端网络地址和所述网关虚接口网络地址。

在此步骤中，移动分组网关可以根据所述地址响应消息中是否包括了网关虚接口网络地址，来判断 MS是否开通了 MS Router功能，也可以根据所述地址响应消息中是否包括了 MS Router标志或包括的 MS Router标志的值，判断 MS是否开通了 MS Router功能。

步骤 505 ~步骤 508同步骤 305 ~ 308,并且路由信息交互与实现移动 VPN 业务流量正常转发的原理及过程与方案一相同。

本发明实施例提供的移动虚拟专用网通信的方法，由于采用了移动分组网关根据动态路由协议，实时地通过所述虚接口从所述移动终端获取分支网络的最新的网段地址的技术方案，因此避免了需要在 MS所服务的移动 VPN 分支网络的网段地址变化时，人工修改 AAA Server上的分支网络的网段地址的问题，进而达到了提高网络维护效率的效果。

并且，移动分组网关随时都可以通过所述虚接口从所述移动终端获取分支网络的最新的网段地址，也解决了移动分组网关仅能在移动终端再次激活时，获取新的分支网络的网段地址的问题。从而进一步改善网络维护的操作另外，还可以采用移动分组网关和 MS之间、移动分组网关与移动 VPN 总部网络之间交互动态路由协议报文的技术方案，解决了无法及时根据网络拓朴的变化而调整移动 VPN分支网络和总部网络之间的 IP流量流向，导致流量配置不合理的问题，从而达到了移动 VPN分支网络和总部网络可以根据各自获得的网络拓朴，动态调整 IP流量的流向，使流量配置更加合理。

与上述实施例对应地，本发明实施例提供了另一种移动虚拟专用网通信的方法，如图 2所示，本发明实施例移动虚拟专用网通信的方法，包括：

201、移动终端从移动分组网关获取终端网络地址； MS可以向移动分组网关发送激活请求，并接收由所述移动分组网关发送的、包括终端网络地址的激活响应，从所述激活响应中获取所述终端网络地址。络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段。

203、移动终端根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

本发明实施例提供的移动虚拟专用网通信的方法，由于采用了移动终端根据动态路由协议，实时地通过所述虚接口将分支网络的最新的网段地址通知给对应的移动分组网关的技术方案，因此避免了需要在 MS所服务的移动 VPN分支网络的网段地址变化时，人工修改 AAA Server上的分支网络的网段地址的问题，进而达到了提高网络维护效率的效果。

与上文描述的方法相对应地，本发明实施例还提供了一种移动虚拟专用网通信的装置，如图 6所示，本发明实施例移动虚拟专用网通信的装置，包括：

网络地址获取单元 601 , 用于获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；

其中，所述网络地址获取单元 601进一步具体包括：地址请求发送子单元，用于向鉴权授权计费服务器或动态主机分配协议服务器发送地址请求消息；地址响应接收子单元，用于接收由所述鉴权授权计费服务器或所述动态主机分配协议服务器发送的地址响应消息；网络地址获取子单元，用于解析所述地址响应接收子单元接收的地址响应消息，从所述地址响应消息中获取所述终端网络地址和所述网关虚接口网络地址。

或者，所述网络地址获取单元 601进一步具体包括：网段地址获取子单元，用于在所述移动终端开通移动路由器功能时，从本地地址池中获取一个网段地址；网络地址确定子单元，用于从所述网段地址获取子单元获取的网段地址中确定两个网络地址，将其中一个网络地址作为所述终端网络地址，将另一个网络地址作为所述网关虚接口网络地址。

接口创建单元 602, 用于根据所述网络地址获取单元 601获取的网关虚接口网络地址，为移动终端的分组数据协议上下文创建虚接口；

网络地址发送单元 603 , 用于将所述网络地址获取单元 601获取的终端网络地址发送给所述移动终端；

其中，所述网络地址发送单元 603进一步具体包括：响应发送子单元，用于向所述移动终端发送激活响应，所述激活响应包括所述网络地址获取单元 601获取的终端网络地址。

分支地址获取单元 604, 用于根据动态路由协议通过所述接口创建单元网段地址。

其中，所述分支地址获取单元 604进一步具体包括：报文接收子单元，用于通过所述虚接口接收由移动终端发送的动态路由协议报文；网段地址获取子单元，用于从所述报文接收子单元接收的动态路由协议报文中获取所述分支网络的网段地址。另外，所述分支地址获取单元 604进一步还包括：地数据协议上下文关联。

另外，所述移动虚拟专用网通信的装置还包括请求接收单元，用于接收移动终端的激活请求

。所述移动虚拟专用网通信的装置进一步还包括：

分支拓朴获取单元，用于根据动态路由协议通过所述虚接口从所述移动终端获取所述分支网络的网络拓朴。

总部拓朴获取单元，用于根据动态路由协议获取总部网络的网络拓朴；总部拓朴通知单元，用于根据动态路由协议通过所述虚接口，将所述总部拓朴获取单元获取的网络拓朴通知所述移动终端。所述移动虚拟专用网通信的装置进一步还包括：

监测信息获取单元，用于通过所述虚接口从所述移动终端获取网络监测信息；

网络质量检测单元，用于根据所述监测信息获取单元获取的网络监测信息，检测与所述移动终端之间的网络质量。

本发明实施例提供的移动虚拟专用网通信的装置可以为移动分组网关，例如 GGSN。

本发明实施例提供的移动虚拟专用网通信的装置，由于采用了移动分组网关根据动态路由协议，实时地通过所述虚接口从所述移动终端获取分支网络的最新的网段地址的技术方案，因此避免了需要在 MS所服务的移动 VPN 分支网络的网段地址变化时，人工修改 AAA Server上的分支网络的网段地址的问题，进而达到了提高网络维护效率的效果。

与上文描述的装置相对应地，本发明实施例还提供了一种移动终端，如图 7所示，本发明实施例移动虚拟专用网通信的装置，包括：

终端地址获取单元 701 , 用于从移动分组网关获取终端网络地址；接口地址获取单元 702, 用于根据所述终端地址获取单元 701获取的终端网络地址，获取移动分组网关的网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；

分支地址通知单元 703 , 用于根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

其中，所述分支地址通知单元 703进一步具体包括：分支地址获取子单元，用于根据动态路由协议获取所述分支网络的网段地址，或者，获取预先配置的所述分支网络的网段地址；地址添加子单元，用于在动态路由协议才艮文中添加所述分支网络的网段地址；报文发送子单元，用于通过所述虚接口向所述移动分组网关发送所述动态路由协议报文。

所述终端地址获取单元 701进一步具体包括：请求发送单元，用于向所述移动分组网关发送激活请求；响应接收单元，用于接收由所述移动分组网关发送的激活响应，所述激活响应包括所述终端网络地址。

所述移动虚拟专用网通信的装置还可以包括：

分支拓朴获取单元，用于根据动态路由协议获取所述分支网络的网段地址；

分支拓朴通知单元，用于根据动态路由协议通过所述虚接口将所述分支网络的网段地址通知所述移动分组网关；

总部拓朴获取单元，用于根据动态路由协议通过所述虚接口从所述移动分组网关获取总部网络的网络拓朴。

所述移动虚拟专用网通信的装置还可以包括：

监测信息获取单元，用于通过所述虚接口从所述移动分组网关获取网络监测信息；

网络质量检测单元，用于根据所述监测信息获取单元获取的网络监测信息，检测与所述移动分组网关之间的网络质量。

本发明实施例提供的移动终端，由于采用了移动终端根据动态路由协议，实时地通过所述虚接口将分支网络的最新的网段地址通知给对应的移动分组网关的技术方案，因此避免了需要在 MS所服务的移动 VPN分支网络的网段到了提高网络维护效率的效果。

并且，移动终端随时都可以通过所述虚接口将分支网络的最新的网段地址通知给移动分组网关，也解决了移动分组网关仅能在移动终端再次激活时，获取新的分支网络的网段地址的问题。从而进一步改善网络维护的操作性，另外，还可以采用移动分组网关和 MS之间、移动分组网关与移动 VPN 总部网络之间交互动态路由协议报文的技术方案，解决了无法及时根据网络拓朴的变化而调整移动 VPN分支网络和总部网络之间的 IP流量流向，导致流量配置不合理的问题，从而达到了移动 VPN分支网络和总部网络可以根据各自获得的网络拓朴，动态调整 IP流量的流向，使流量配置更加合理。

本发明实施例还提供了一种移动虚拟专用网通信的系统，如图 8所示，本发明实施例移动虚拟专用网通信的系统，包括至少一个移动终端 801和移动分组网关 802:

其中，所述移动分组网关 802, 用于获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；居所述网关虚接口网络地址为所述移动终端 801的分组数据协议上下文创建虚接口；并将所述终端网络地址发送给所述移动终端 801 ; 根据动态路由协议通过所述虚接口从所述移动终端 801获取所述移动终端 801所服务的分支网络的网段地址；

所述移动终端 801 , 用于从所述移动分组网关 802获取终端网络地址；址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；并根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关 802。进一步地，如图 9所示，本发明实施例移动虚拟专用网通信的系统还可以包括鉴权授权计费服务器 803 , 存储所述终端网络地址和所述网关虚接口网络地址；

所述移动分组网关 802, 还用于从所述鉴权授权计费服务器 803获取所述终端网络地址和所述网关虚接口网络地址。

进一步地，如图 10所示，本发明实施例移动虚拟专用网通信的系统还可以包括动态主机分配协议服务器 804, 用于存储所述终端网络地址和所述网关虚接口网络地址；所述移动分组网关 802, 还用于从所述动态主机分配协议服务器 804获取所述终端网络地址和所述网关虚接口网络地址。

本发明实施例提供的移动虚拟专用网通信的系统，由于采用了移动分组网关根据动态路由协议，实时地通过所述虚接口从所述移动终端获取分支网络的最新的网段地址的技术方案，因此避免了需要在 MS所服务的移动 VPN 分支网络的网段地址变化时，人工修改 AAA Server上的分支网络的网段地址的问题，进而达到了提高网络维护效率的效果。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存^ ^己忆体 ( Random Access Memory, RAM )等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

权利要求

1、一种移动虚拟专用网通信的方法，其特征在于，包括：

将所述终端网络地址发送给所述移动终端；

2、根据权利要求 1所述的移动虚拟专用网通信的方法，其特征在于，所述获取终端网络地址和网关虚接口网络地址的步骤之前包括：

接收移动终端的激活请求；

L终端网络地址发送给所述移动

向所述移动终端发送激活响应，所述激活响应包括所述终端网络地址。

3、根据权利要求 1或 2所述的移动虚拟专用网通信的方法，其特征在于，所述获取终端网络地址和网关虚接口网络地址包括：

向鉴权授权计费服务器或动态主机分配协议服务器发送地址请求消息；接收由所述鉴权授权计费服务器或所述动态主机分配协议服务器发送的地址响应消息；

解析所述地址响应消息，从所述地址响应消息中获取所述终端网络地址和所述网关虚接口网络地址。

4、根据权利要求 1或 2所述的移动虚拟专用网通信的方法，其特征在于，所述获取终端网络地址和网关虚接口网络地址包括：

在所述移动终端开通移动路由器功能时，从本地地址池中获取一个网段地址；

从获取的网段地址中确定两个网络地址，将其中一个网络地址作为所述终端网络地址，将另一个网络地址作为所述网关虚接口网络地址。

5、根据权利要求 1或 2所述的移动虚拟专用网通信的方法，其特征在于，所述根据动态路由协议通过所述虚接口从所述移动终端获取所述移动终端所服务的分支网络的网段地址包括：

通过所述虚接口接收由移动终端发送的动态路由协议报文；

从所述动态路由协议报文中获取所述分支网络的网段地址。

6、根据权利要求 5所述的移动虚拟专用网通信的方法，其特征在于，所括：

将所述分支网络的网段地址与所述分组数据协议上下文关联。

7、根据权利要求 1或 2所述的移动虚拟专用网通信的方法，其特征在于，所述居所述终端网络地址和所述网关虚接口网络地址为移动终端的分组数据协议上下文创建虚接口的步骤之后还包括：

根据动态路由协议通过所述虚接口从所述移动终端获取所述分支网络的网络拓朴；或者，

根据动态路由协议获取总部网络的网络拓朴，并根据动态路由协议通过所述虚接口将所述总部网络的网络拓朴通知所述移动终端；或者，

通过所述虚接口从所述移动终端获取网络监测信息，并根据所述网络监测信息，检测与所述移动终端之间的网络质量。

8、一种移动虚拟专用网通信的方法，其特征在于，包括：

根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将获得的所服务的分支网络的网段地址通知所述移动分组网关。

9、根据权利要求 8所述的移动虚拟专用网通信的方法，其特征在于，所述根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关包括：

根据动态路由协议获取所述分支网络的网段地址，或者，获取预先配置的所述分支网络的网段地址；

通过所述虚接口向所述移动分组网关发送动态路由协议报文，所述报文包括所述分支网络的网段地址。

10、根据权利要求 8所述的移动虚拟专用网通信的方法，其特征在于，所述获取移动分组网关的网关虚接口网络地址的步骤之后还包括：

根据动态路由协议获取所述分支网络的网络拓朴，并根据动态路由协议通过所述虚接口将所述分支网络的网络拓朴通知所述移动分组网关；或者，根据动态路由协议通过所述虚接口从所述移动分组网关获取总部网络的网络拓朴；或者，

通过所述虚接口从所述移动分组网关获取网络监测信息，并根据所述网络监测信息，检测与所述移动分组网关之间的网络质量。

11、一种移动虚拟专用网通信的装置，其特征在于，包括：

分支地址获取单元，用于根据动态路由协议通过所述接口创建单元创建

12、根据权利要求 11所述的移动虚拟专用网通信的装置，其特征在于，还包括：

请求接收单元，用于接收移动终端的激活请求；则所述网络地址发送单元，用于向所述移动终端发送激活响应，所述激活响应包括所述网络地址获取单元获取的终端网络地址。

13、根据权利要求 11或 12所述的移动虚拟专用网通信的装置，其特征在于，所述网络地址获取单元包括：

地址请求发送子单元，用于向鉴权授权计费服务器或动态主机分配协议服务器发送地址请求消息；

地址响应接收子单元，用于接收由所述鉴权授权计费服务器或所述动态主机分配协议服务器发送的地址响应消息；

网络地址获取子单元，用于解析所述地址响应接收子单元接收的地址响应消息，从所述地址响应消息中获取所述终端网络地址和所述网关虚接口网络地址。

14、根据权利要求 11或 12所述的移动虚拟专用网通信的装置，其特征在于，所述网络地址获取单元包括：

网段地址获取子单元，用于在所述移动终端开通移动路由器功能时，从本地地址池中获取一个网段地址；

网络地址确定子单元，用于从所述网段地址获取子单元获取的网段地址中确定两个网络地址，将其中一个网络地址作为所述终端网络地址，将另一个网络地址作为所述网关虚接口网络地址。

15、根据权利要求 11或 12所述的移动虚拟专用网通信的装置，其特征在于，所述分支地址获取单元包括：

报文接收子单元，用于通过所述虚接口接收由移动终端发送的动态路由协议报文；

网段地址获取子单元，用于从所述报文接收子单元接收的动态路由协议报文中获取所述分支网络的网段地址。

16、根据权利要求 15所述的移动虚拟专用网通信的装置，其特征在于，所述分支地址获取单元还包括：述分组数据协议上下文关联。

17、根据权利要求 11或 12所述的移动虚拟专用网通信的装置，其特征在于，还包括：

分支拓朴获取单元，用于根据动态路由协议通过所述虚接口从所述移动终端获取所述分支网络的网络拓朴；或者，

总部拓朴获取单元，用于根据动态路由协议获取总部网络的网络拓朴；总部拓朴通知单元，用于根据动态路由协议通过所述虚接口，将所述总部拓朴获取单元获取的网络拓朴通知所述移动终端；或者，

18、一种移动终端，其特征在于，包括：

接口地址获取单元，用于根据所述终端地址获取单元获取的终端网络地址，获取移动分组网关的网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；

分支地址通知单元，用于根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

19、根据权利要求 18所述的移动终端，其特征在于，所述分支地址通知单元包括：

分支地址获取子单元，用于根据动态路由协议获取所述分支网络的网段地址，或者，获取预先配置的所述分支网络的网段地址；

地址添加子单元，用于在动态路由协议 4艮文中添加所述分支网络的网段地址；报文发送子单元，用于通过所述虚接口向所述移动分组网关发送所述动态路由协议报文。

20、根据权利要求 18所述的移动终端，其特征在于，还包括：分支拓朴获取单元，用于根据动态路由协议获取所述分支网络的网段地址；

分支拓朴通知单元，用于根据动态路由协议通过所述虚接口将所述分支网络的网段地址通知所述移动分组网关；或者，

总部拓朴获取单元，用于根据动态路由协议通过所述虚接口从所述移动分组网关获取总部网络的网络拓朴；或者，

21、一种移动虚拟专用网通信的系统，其特征在于，包括至少一个移动终端和移动分组网关：

其中，所述移动分组网关，用于获取终端网络地址和网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；居所述网关虚接口网络地址为所述移动终端的分组数据协议上下文创建虚接口；并将所述终端网络地址发送给所述移动终端；根据动态路由协议通过所述虚接所述移动终端，用于从移动分组网关获取终端网络地址；并居所述终端网络地址获取所述移动分组网关的网关虚接口网络地址，所述网关虚接口网络地址与所述终端网络地址属于同一网段；并根据动态路由协议通过具有所述网关虚接口网络地址的虚接口将所服务的分支网络的网段地址通知所述移动分组网关。

22、根据权利要求 21所述的移动虚拟专用网通信的系统，其特征在于，还包括鉴权授权计费服务器，用于存储所述终端网络地址和所述网关虚接口网络地址；或者，

动态主机分配协议服务器，用于存储所述终端网络地址和所述网关虚接口网给地址；

所述移动分组网关，还用于从所述鉴权授权计费服务器或者所述动态主机分配协议服务器获取所述终端网络地址和所述网关虚接口网络地址。