WO2011032472A1

WO2011032472A1 - 虚拟专用网络的实现方法及系统

Info

Publication number: WO2011032472A1
Application number: PCT/CN2010/076777
Authority: WO
Inventors: 晏祥彪; 孙翼舟
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-09-18
Filing date: 2010-09-09
Publication date: 2011-03-24
Also published as: CN102025591A; JP2013504959A; US20120173694A1; CN102025591B; EP2466817A4; KR20120055687A; KR101399002B1; EP2466817A1

Abstract

本发明公开一种虚拟专用网络的实现方法及系统，基于位置身份分离网络实现VPN，在身份标识与位置标识的映射关系中增加对应的VPN属性，在进行映射处理时，判断源端主机的VPN属性与目的端主机的VPN属性相同时，再查询目的端主机的位置标识，从而根据目的端主机的位置标识实现数据报文的转发；VPN属性不相同时，返回不可达信息，从而有效地实现了虚拟专用网络，保证了VPN端主机通信的便利性和安全性，满足了用户对虚拟专用网的需求。

Description

虚拟专用网络的实现方法及系统

技术领域本发明涉及位置身份分离技术，尤其涉及虚拟专用网络的实现方法及系统。

背景技术

关于下一代信息网络架构的研究是当前最热门的课题之一。这些研究课题的基本方向是以话音业务为代表的电信网、以视频业务为代表的电视网和以数据业务为代表的互联网进行业务上的无缝地融合为目的 , 以网络承载 IP 化为特点，典型的实例如提供语音业务的 VOIP ( Voice over Internet Protocol, IP电话）网络和提供电视业务的 IPTV网络、以 IP核心网络承载的 3G移动通信网络、以及大量对于超 3G或者 4G网络的研究项目等。

4G是第 4代移动通信系统的简称， 4G 的目标是为语音、数据和流媒体业务提供一个基于 IP承载网络的解决方案，使用户可以在 "任何时间、任何地点、任何业务" 获得一个更高速的通信环境。

NGN ( Next Generation Network, 下一代网络）是建立在电信网基础上的下一代网络，旨在建立一个统一的基于 IP分组交换的传输层面。在统一的序的应用范围。

3G 和 4G 是无线通信领域对下一代网络的研究核心，旨在基于全 IP 分组核心网提高无线移动通信的质量； NGN 和 NGI( Next-Generation Internet ，下一代互联网）分别是电信网和互联网领域对下一代网络融合的研究； CNGI ( China's Next Generation Internet,中国下一代互联网）旨在构建基于 IPv6 的下一代互联网；北方交大的 "一体化可信网络与普适服务体系基础研究" 希望能构建统一的新分组网络。虽然各种研究存在很大差异，但是各种研究普遍接受的观点是：未来网络是基于分组的统一承载网络。因此研究下一代网络构架将以互联网为主要参考对象。互联网从其诞生以来一直保持高速发展，已成为当前最成功、最具生命力的通信网络，其灵活可扩展性、高效的分组交换、终端强大的功能等特点非常符合新一代网络的设计需要，互联网将是新一代网络设计的主要参考蓝本。然而，互联网的结构还远远没有达到最优，存在很多重大的设计问题。除上述 IP地址空间无法满足应用需要外，还主要表现在以下方面：互联网发明于二十世纪七十年代，人们难以预计今天世界上将存在大量的移动终端和多家乡终端，因此当时的互联网协议栈主要是针对以"固定"方式连接的终端而设计。在当时的网络环境下，由于终端基本上不会从一个位置移动到其它位置，发送的地址就是接收的地址，路径是可逆的，所以具有身份和位置双重属性的 IP地址能够非常好的工作， IP地址的身份属性与位置属性之间没有产生任何冲突。 IP地址同时代表身份和位置恰恰满足了当时的网络需求。从当时的网络环境来看，这种设计方案筒单有效，简化了协议栈的层次结构。但毋庸置疑的是， IP 地址的身份属性与位置属性之间存在着内部矛盾。 IP 地址的身份属性要求任意两个 IP 地址都是平等的，虽然 IP 地址可以按照组织机构进行分配，但是连续编码的 IP 地址之间没有必然的关系，或者至少在拓朴位置上没有必然的关系； IP 地址的位置属性则要求 IP 地址基于网络拓朴（而不是组织机构）进行分配，处于同一个子网内的 IP 地址都应该处于一个连续的 IP 地址块中，这样才可以使网絡拓朴中的 IP 地址前缀聚合，从而减少路由器设备的路由表的条目，保证路由系统的可扩展性。伴随着网络规模和技术的发展，一些动态分配 IP 地址的技术逐步出现，如动态主机配置协议（DHCP, Dynamic Host Configuration Protocol ) , 这就开始打破 IP 地址唯一表示一个终端的假定。私有 IP 地址空间的使用和网络地址转换（ NAT , Network Address Translator )技术的诞生使得情况继续恶化。在这种情况下同时具有身份属性与位置属性的 IP 地址将难以继续胜任它的角色， IP 地址的双重属性问题已经凸显出来。除了技术层面的需求发生了显著变化以外，互联网的用户状况也已经发生了巨大的改变。在互联网诞生之后的最初几年中，互联网基本上被一些处于共同团体且相互信任的人员使用，传统互联网协议栈也是基于此种假设而设计的；而目前的互联网用户则是鱼龙混杂，人们难以继续互相信任。在这种情况下，缺乏内嵌安全性机制的互联网也需要发生变革。总的来说， IP 地址双重属性的内在矛盾将导致如下主要问题：

1. 路由可扩展问题。关于互联网路由系统的可扩展性存在一个基本的假定： "地址按照拓朴进行分配，或者拓朴按照地址进行部署，二者必选其一，，。 IP 地址的身份属性要求 IP 地址基于终端所属的组织机构（而不是网络拓朴）进行分配，而且这种分配要保持一定的稳定性，不能经常改变；而 IP 地址的位置属性要求 IP 地址基于网络拓朴进行分配，以便保证路由系统的可扩展性。这样， IP 地址的两种属性就产生了沖突，最终引发了互联网路由系统的可扩展问题。 2. 移动性问题。

IP 地址的身份属性要求 IP 地址不应该随着终端位置的改变而变化，这样才能够保证绑定在身份上的通信不中断，也能够保证终端在移动后，其它终端仍能够使用它的身份与之建立通信联系；而 IP 地址的位置属性则要求 IP 地址随着终端位置的改变而改变，以便 IP 地址能够在新的网络拓朴中聚合，否则网络就必须为移动后的终端保留单独的路由信息，从而造成路由表条目的急剧增长。

3. 多家乡问题。多家乡通常指终端或网络同时通过多个 ISP ( Internet Service Provider, 因特网服务提供商 ) 的网络接入到互联网。多家乡技术的优点包括增加网络的可靠性、支持多个 ISP 之间的流量负载均衡和提高总体可用带宽等。但是， IP 地址双重属性的内在矛盾使得多家乡技术难以实现。 IP 地址的身份属性要求一个多家乡终端始终对其它终端展现不变的身份，无论该多家乡终端是通过几个 ISP接入到互联网；而 IP 地址的位置属性则要求一个多家乡终端在不同的 ISP 网络中使用不同的 IP 地址通信，这样才能保证终端的 IP 地址能够在 ISP 网絡的拓朴中聚合。

4. 安全和位置隐私问题。由于 IP 地址同时包含终端的身份信息和位置信息，所以通信对端和恶意窃听者都可以根据一个终端的 IP 地址同时获得该终端的身份信息和拓朴位置信息。总的来说，自从传统互联网的体系结构建立以来，互联网的技术环境和用户群体都已经发生了翻天覆地的变化，互联网需要随之进行革新。

IP 地址的双重属性问题是困扰互联网继续发展的根本原因之一，将 IP 地址的身份属性和位置属性进行分离，是解决互联网所面临问题的一个很好的思路。新网络将基于这种思路进行设计，提出一种身份信息与位置信息分离映射的网络结构，以解决现有互联网存在的一些严重弊端。为了解决身份和位置的问题，业界进行了大量的研究和探索，所有身份与位置分离方案的基本思想都是将原本绑定在 IP 地址上的身份与位置双重属性分离。其中，有些方案采用应用层的 URL ( Uniform Resource Locator, 统一资源定位符， URL是用于完整地描述 Internet上网页和其他资源的地址的一种标识方法）或 FQDN ( Fully Qualified Domain Name, 合格域名）作为终端的身份标识等；有些方案引入了新的名字空间作为身份标识，如 HIP ( Host Identity Protocol, 主机标识协议）在以 IP地址为位置标识的网络层上增加主机标识；有些方案将 IP 地址进行分类，部分 IP作为身份标识，部分 IP作为位置标识，如 LISP ( Locator/ID Separation Protocol, 位置身份分离协议）中使用 EID ( endpoint ID, 终端标识）作为身份标识， RLOC ( outing Locator, 路由位置标识）作为位置标识等；在这些方案中尤其以 LISP的研究受到业界的关注，在 IETF成立 LISP 工作组， LISP 工作组的章程将致力于 LISP 基本协议 ( draft-farmacci-lisp-12.txt ) 、 LISP+ALT ( LISP Alternative Topology, LISP 可选拓朴）的映射系统（ draft-fuller-lisp-alt-05.txt ) 、 LISP 互操作性 ( draft-lewis-lisp-interworking-02.txt ) , LISP 映射月艮务器 ( draft-fuller-lisp-ms-OO.txt ) , LISP组播 ( draft-farinacci-lisp-multicast-01.txt ) 方面的工作。工作组将鼓励和支持为具有互操作的 LISP 实现和边界映射系统的需求定义的工作，工作组也致力于在 ALT或其他映射系统的安全配置方面的工作。

VPN ( virtual private network , 虚拟专用网络）可以实现不同网络的组件和资源之间的相互连接。 VPN能够利用 Internet网络或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

VPN有多种实现方式，具体可以分为用户管理的 VPN解决方案（CPE - VPN ) 和运营商实施的 VPN解决方案（ PP - VPN ) 。用户管理的 VPN解决方案（ CPE - VPN方案）其特点是用户自己设置、管理并维护 VPN网关设备，通过公共 IP 网在各个分支机构和公司总部之间建立基于标准 VPN隧道的连接，隧道协议通常采用二层隧道协议 ( L2TP ) 、点到点隧道协议 ( PPTP ) 、 IPsec (安全 IP ) 、 IP m IP ( IP里面封装 IP )和通用路由封装 ( GRE, Generic Routing Encapsulation )等，并且利用各种加密技术和网络地址转换 ( NAT )技术来保障数据传输的安全。 VPN 隧道连接的建立与管理完全由用户自己负责，提供商不需要调整或改变网络的结构与性能。这种方式也就是通常所说的 "自建 VPN" 方式。

VPN支持企业通过 Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越 Internet建立的 VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然 VPN通讯建立在公共互联网络的基础上，但是用户在使用 VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。使用 VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。

VPN的基本用途：通过 VPN实现远程用户访问， VPN支持以安全的方式通过公共互联网络远程访问企业资源，例如 VPN用户首先拨通本地接入服务提供商（ ISP ) 的网络接入服务器（ BRAS ) ，然后使用 VPN软件，利用与本地 ISP建立的连接在远程用户和企业 VPN服务器之间创建一个跨越 Internet或其它公共互联网洛的 VPN。使用 VPN连接远程局域网络，不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的 ISP连通 Internet, 或者拨号接入 ISP的宽带接入服务器连接 mtemet。使用 VPN软件，利用与当本地 ISP建立的连接和 Internet网络在分支机构和企业端路由器之间创建一个 VPN。

VPN技术釆用第 2 层隧道协议（L2TP ) ， L2TP协议允许对 IP， IPX ( Internetwork Packet Exchange protocol, 互联网分组交换协议 )或 NetBEUI ( NetBIOS Extend User Interface, NetBIOS用户扩展接口协议）数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如 IP, X.25, 桢中继或 ATM ( Asynchronous Transfer Mode, 异步传输模式）。安全 IP ( IPSec) 隧道模式， IPSec隧道模式允许对 IP负载数据进行加密，然后封装在 IP包头中通过企业 IP网络或公共 IP互联网络如 Internet发送。运营商实施的 VPN解决方案（PP - VPN )是指在运营商的公共数据通信网上设置 VPN网关设备，用于专线接入用户或远程拨号接入用户。利用该网关设备，可以在全网范围内根据具体的 VPN网络需求，通过隧道封装、虚拟路由器或 MPLS (多协议标签交换）等技术建立 VPN, 并且可以采用加密技术以保障数据传输的安全。 VPN连接的建立完全由运营商负责，对用户透明。这种方式也就是通常所说的 "外包 VPN" 方式。随着宽带接入网络的迅猛发展的同时，运营商为了高质量地拓展业务，必须要解决的一个问题是，如何对网络结构进行合理的分层规划，以实现对用户的定位以及业务治理。由于在接入网层面大量地釆用了以太网技术，目前基于以太网来实现网络划分的技术主要是虚拟局域网（ VLAN, Virtual Local Area Network)技术。 VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE ( IEEE (The Institute of Electrical and Electronics Engineers，国际电气和电子工程师协会 ) 于 1999年颁布了用以标准化 VLAN实现方案的 802.1Q协议标准草案。传统的以太网帧格式中定义了 4096个 VLAN, VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了 VLAN头，用 VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态治理网络。 VLAN隔离了广播风暴，同时也隔离了各个不同的 VLAN之间的通信，所以不同的 VLAN之间的通信是需要有路由来完成的。划分 VLAN的方法主要有几种。一是根据端口来划分 VLAN; 这种根据端口来划分 VLAN 的方式仍然是最常用的一种方式；二是根据 MAC ( Media Access Control, 媒体接入控制）地址划分 VLAN, 这种划分 VLAN 方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时， VLAN不用重新配置，缺点是初始化时所有的用户都必须进行配置，导致了交换机执行效率降低；三是根据网络层划分 VLAN, 这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型 (假如支持多协议)划分的而不是根据路由，因此即便用户物理位置改变了，不需要重新配置所属的 VLAN, 缺点是重新解析帧头将降低效率；四是根据 IP组播划分 VLAN, IP 组播实际上也是一种 VLAN的定义，即认为一个组播组就是一个 VLAN，这种划分的方法将 VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很轻易通过路由器进行扩展。

VLAN作为特定以太网通信环境下的 VPN技术在宽带接入上得到大规模的应用，核心网或者广域网中应用比较多的是基于多协议标签交换 ( MPLS, Multiprotocol Label Switching ) MPLS的 VPN。

MPLS技术的出现，使整个 Internet的体系结构都发生了变化。采用 MPLS 技术实现 VPN的技术方案将大大改善传统 IP网絡的缺陷，又能提供和帧中继或 ATM网络一样的安全性保证，可以艮好地适应 VPN业务的需求。

MPLS VPN的网络模型包括：客户边缘（CE, Customer Edge )设备可以是路由器或二层交换机，它位于客户端，提供到网络提供商的接入；提供商边缘（PE, Provider Edge )路由器主要维护与节点相关的转发表，与其他 PE路由器交换 VPN路由信息，使用 MPLS网络中的标记交换路径（LSP， Label Switched Path )转发 VPN业务，这就是 MPLS网络中的标记边缘路由器（LER, Label Edge Router ) ；提供商路由器（PR, Provider Router )使用已建立的 LSP对 VPN数据进行透明转发，不维护与 VPN有关的路由信息，这就是 MPLS网络中的标记交换路由器（ LSR, Label Switching Router ) 。

MPLS VPN的优点：安全性 MPLS VPN由于釆用了路由隔离、地址隔离和信息隐藏等多种手段，提供了抗攻击和标记欺骗的手段，因此 MPLS VPN 完全能够提供与 ATM/FR VPN相类似的安全保证。扩展性： MPLS VPN则具有很强的扩展性。一方面 MPLS网络中可以容纳的 VPN数目很大，另一方面在用户节点数目上由于借助于 BGP ( Border Gateway Protocol, 边界网关协议）进行成员的分配和管理，同一个 VPN中的用户节点数不受限制，容易扩充，并可以实现任何节点与任何其它节点的直接通信。特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路，用户侧只需要一个端口 /一条线路接入网络，避免了 N平方的扩展性问题。可靠性： MPLS VPN业务，自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网絡的可靠性。当互联网内部中继线中断时， MPLS VPN的流量与普通互联网流量一起依据 IGP ( Interior Gateway Protocol, 内部网关协议 ) 迂回到其它电路上，这一过程完全依靠 IGP的收敛自动完成，对用户完全透明，在广域网传输中不存在单点故障。

发明内容

上述的虚拟专用网络 VPN技术都 ^^于现有的数据通信网络，基于现有的网络架构下实现， IP地址具有身份和位置的双重含义，在位置身份分离协议 LISP技术架构下， IP地址仅仅具有位置属性，作为端主机三层网络地理位置的标识，新增一个端主机的身份标识用于通信传输的端身份标识，端主机的位置标识由端主机所处的地理位置和网络拓朴决定，在端主机移动的过程中，位置的变化导致端主机的位置标识改变，而端主机的身份标识属于终端身份唯一使用的标识，在端主机移动的过程中不会改变。同时还必须增加端主机身份标识和位置标识的映射，需要功能实体来完成这个映射关系。在位置身份分离的网絡架构下，给上述的 VPN技术实施带来影响，对运营商实施的 VPN解决方案（PP - VPN ) 的影响比较小，位置和身份分离主要涉及 VPN 的用户的身份和接入管理需要使用端主机的身份标识进行认证管理，需要对管理系统进行升级处理；而对于用户管理的 VPN解决方案（ CPE - VPN方案），位置和身份分离以后端主机不再使用 IP地址进行通信，需要使用端主机的身份标识 EID进行通信影响比较大一些，需要对 VPN软件进行升级处理支持端主机的身份标识。本发明要解决的技术问题是提供一种虚拟专用网络的实现方法和系统，以在位置身份分离网络中实现虚拟专用网络。为解决以上技术问题，本发明提供了一种虚拟专用网络的实现方法，所述方法基于位置身份分离协议（LISP ) 网络实现，所述 VPN 网络包括输入隧道路由器（ITR ) 、映射服务器及输出隧道路由器（ETR ) ，该方法包括： A、所述 ITR收到源端主机发送的数据报文后，向端主机 VPN属性存储网元发送映射请求消息，其中携带源端主机的 VPN属性及目的端主机的身份标识；

B、所述端主机 VPN属性存储网元接收所述映射请求消息，根据所述目的端主机的身份标识确定所述目的端主机的 VPN属性； C、所述端主机 VPN属性存储网元比较所述源端主机和目的端主机 VPN 属性是否相同，只有相同时，才进行映射查询并返回映射响应消息，其中携带目的端主机的位置标识，否则，返回不可达信息；

D、所述 ITR接收所述映射响应消息，根据所述目的端主机的位置标识向所述 ETR转发 LISP数据报文，所述 ETR将所述 LISP数据报文转发给目的端主机；其中 , 所述端主机 VPN属性存储网元为所述映射服务器或 ETR。优选地，步骤 A前，所述 ITR接收到所述源端主机发送的数据报文后，先查询本地映射关系，若查到目的端主机身份标识，且源端主机的 VPN属性与目的端主机的 VPN属性相同时，获取目的端主机的位置标识，并根据所述目的端主机的位置标识向所述 ETR转发数据报文，否则执行步骤 A。优选地，步骤 D中，所述 ETR源端主机和目的端主机 VPN属性相同时才将所述 LISP数据报文转发给目的端主机。优选地，步骤 Α、 C中，所述映射请求消息及映射响应消息是通过 LISP 控制报文路径发送的；步骤 D中，所述数据报文是通过 LISP数据报文路径发送的，且数据报文中包含 VPN属性。优选地，所述 VPN属性包括 VPN标识，不同的 VPN标识代表不同的 VPN网络。优选地，所述 VPN属性包括源端主机是否是 VPN端主机的信息。为解决以上技术问题，本发明还提供一种虚拟专用网络的实现系统，所述系统包括输入隧道路由器 (ITR；)、映射服务器及输出隧道路由器（ETR ) , 其中：

所述 ITR包括第一数据报文收发模块、报文处理模块、第一控制报文收发模块、第一本地映射表及映射查询模块，其中：

所述第一数据报文收发模块设置成：接收源端主机发送的数据报文，以及向所述 ETR转发 LISP数据报文；所述报文处理模块与所述第一数据报文收发模块连接，设置成解析收到的数据报文并通知映射查询模块，并根据映射查询模块的查询结果生成映射请求消息，其中携带源端主机的 VPN属性及目的端主机的身份标识；还设置成根据所述第一控制报文收发模块收到的映射响应消息生成转发到所述 ET 的 LISP数据报文；所述第一控制报文收发模块与所述报文处理模块连接，设置成向端主机 VPN属性存储网元发送所述映射请求消息，以及接收所述端主机 VPN属性存储网元发送的映射响应消息；所述端主机 VPN属性存储网元为所述映射服务器或 ETR; 所述第一本地映射表设置成：保存 VPN属性、身份标识与位置标识的映射关系；

所述映射查询模块与所述报文处理模块及第一本地映射表连接，设置成根据所述源端主机的身份标识查询源端主机的 VPN属性；所述映射服务器包括第二控制报文收发模块、第二本地映射表及第一映射处理模块，其中：所述第二控制报文收发模块设置成:接收所述 ITR发送的映射请求消息，以及向所述 ITR发送映射响应消息；所述第二本地映射表设置成：保存 VPN属性、身份标识与位置标识的映射关系；所述第一映射处理模块与所述第二控制报文收发模块及第二本地映射表连接，设置成根据目的端主机身份标识查询所述第二本地映射表获得目的端主机的 VPN属性，以及比较所述源端主机的 VPN属性与目的端主机的 VPN 属性是否相同，比较结果相同时，查询所述第二本地映射表获得目的端主机的位置标识；还设置成根据查询结果生成映射响应消息；所述 ETR包括第二数据报文收发模块、第三控制报文收发模块、第三本地映射表及第二映射处理模块；

所述第二数据报文收发模块设置成：接收所述 ITR发送的 LISP数据报文；

所述第三控制报文收发模块设置成:接收所述 ITR发送的映射请求消息，以及向所述 ITR发送映射响应消息；所述第三本地映射表设置成：保存 VPN属性、身份标识与位置标识的映射关系；

所述第二映射处理模块与所述第三控制报文收发模块及第三本地映射表连接，设置成根据目的端主机身份标识查询所述第三本地映射表获得目的端主机的 VPN属性，以及比较所述源端主机的 VPN属性与目的端主机的 VPN 属性是否相同，比较结果相同时，查询所述第三本地映射表获得目的端主机的位置标识；还设置成根据查询结果生成映射响应消息。优选地，所述 ITR的映射查询模块是设置成：根据目的端主机的身份标识查询所述第一本地映射表，以及比较所述源端主机的 VPN属性与目的端主机的 VPN属性是否相同，相同时，查询所述第一本地映射表获得目的端主机的位置标识；还设置成通知所述报文处理模块生成转发到所述 ETR的 LISP 数据报文；若未查到所述目的端主机的映射关系，还设置成通知所述报文处理模块生成所述映射请求消息。优选地，所述 ITR的第一控制报文收发模块还设置成：向所述映射服务器发送映射维护请求，其中携带维护操作类型及要维护的映射关系；所述 ETR的第三控制报文收发模块还设置成：向所述映射服务器发送映射维护请求，其中携带维护操作类型及要维护的映射关系；所述映射服务器的第二控制报文收发模块还设置成：接收所述 ITR或 ETR发送的映射维护请求；所述映射服务器的第一映射处理模块还设置成：根据所述映射维护请求对第二本地映射表进行维护，所述维护操作类型包括注册、注销及修改。优选地，所述映射请求消息及映射响应消息是通过 LISP控制报文路径发送的；所述数据报文是通过 LISP数据报文路径发送的，且数据报文中包含 VPN属性。优选地，所述 VPN属性包括 VPN标识，不同的 VPN标识代表不同的虚拟专用网。优选地，所述 VPN属性包括源端主机是否是 VPN端主机的信息。为解决以上技术问题，本发明还提供另一种虚拟专用网络的实现方法，所述方法基于位置身份分离协议（LISP ) 网络框架下的虚拟专用（VPN ) 网絡实现系统实现，所述 VPN网络实现系统保存 VPN属性、身份标识及位置标识的映射关系，该方法包括：报文接收步骤，所述 VPN网絡实现系统接收源端主机发送的报文；映射处理步骤，所述 VPN网络实现系统比较源端主机的 VPN属性和目的端主机的 VPN属性是否相同，相同时，查询所述映射关系，获得所述目的端主机的位置标识，不相同时产生不可达信息；报文处理步骤，所述 VPN网络实现系统根据所述目的端主机的位置标识进行报文转发或根据不可达信息结束流程。优选地，在所述报文处理步骤中，所述 VPN实现系统比较源端主机和目的端主机的 VPN属性相同时，再进行报文转发，否则流程结束。优选地，所述映射处理步骤由 LISP网络架构中的输入隧道路由器（ ITR )、映射服务器或输出隧道路由器（ETR ) 实现。优选地，所述 VPN属性包括 VPN标识，不同的 VPN标识代表不同的 VPN网络。优选地，所述 VPN属性包括源端主机是否是 VPN端主机的信息。为解决以上技术问题，本发明还提供了另一种虚拟专用网络的实现系统，该系统基于位置身份分离架构的网络实现，包括：报文接收装置，其设置成接收源端主机发送的报文，并通知映射处理装置进行映射处理；所述映射处理装置，其与所述报文接收装置连接，并设置成保存虚拟专用网（ VPN )属性、身份标识及位置标识的映射关系，以及进行映射处理，具体包括比较源端主机和目的端主机的 VPN属性是否相同，相同时，查询保存的映射关系，获得所述目的端主机的位置标识，不相同时产生不可达信息；还设置成将所述映射处理结果发送给"¾文处理装置；所述报文处理装置，其与所述映射处理装置连接，并设置成接收所述映射处理结果，以及根据所述映射处理进行报文处理，具体包括：根据目的端主机的位置标识进行报文转发以及根据不可达信息结束通信流程。优选地，所述报文处理装置还设置成比较源端主机和目的端主机的 VPN 属性是否相同，相同时，再进行报文转发，否则流程结束。优选地，所述映射处理装置由输入隧道路由器（ITR ) 、映射服务器或输出隧道路由器（ ETR )实现，所述报文接收装置及报文处理装置由所述 ITR 实现。优选地，所述 VPN属性包括 VPN标识，不同的 VPN标识代表不同的 VPN网络。优选地，所述 VPN属性包括源端主机是否是 VPN端主机的信息。本发明虚拟专用网络的实现方法和系统是基于位置身份分离网络实现

VPN,在身份标识与位置标识的映射关系中增加对应的 VPN属性，在进行映射处理时，判断源端主机的 VPN属性与目的端主机的 VPN属性相同时，再查询目的端主机的位置标识，从而根据目的端主机的位置标识实现数据艮文的转发； VPN属性不相同时，返回不可达信息，从而有效地实现了虚拟专用网络，保证了 VPN端主机通信的便利性和安全性，满足了用户对虚拟专用网的需求。

附图概述图 1是位置身份分离的 LISP网络架构的组成示意图。图 2 是 LISP+ALT网絡架构示意图。图 3是本发明实施例的虚拟专用网络的实现系统示意图。图 4是本发明实施例的虚拟专用网络的实现方法示意图。

本发明的较佳实施方式

LISP ( Locator/ID Separation Protocol, 位置身份分离协议）协议网络架构是一种基于网络的位置身份分离方案 (具体内容参见互联网工程任务论坛 IETF的 LISP工作组的技术文档的最新版本， draft-farinacci-lisp-l l.txt ) , 将现有互联网的 IP 地址分为身份标识 EID ( Endpoint identifier ) 和位置标识 RLOC ( Routing Locator ) , 方案的优点是不需要改变目前终端主机的协议栈，终端的兼容性好，重点在于解决网络路由规模的可扩展性、流量工程和移动性。 LISP的网络架构示意图见图 1 , 包括 EID标识的端主机（即第一端主机 100和第二端主机 110 ) 、输入隧道路由器 ITR ( ingress tunnel router ) 200和输出隧道路由器 ETR ( egress tunnel router ) 210, 其中 ITR 和 ETR通过 LISP 控制报文路径 300和 LISP数据报文路径 400连接，从图中可见这两条路径不相同，处理身份和位置映射的消息使用 LISP协议从 LISP控制报文路径 300 转发，而 LISP封装数据报文从 LISP数据报文路径 400转发。在 ITR和 ETR 的 LISP控制报文路径 300上，还设置映射服务器用于进行映射处理，图中未示出。

LISP 方案通过建立一种逻辑拓朴来实现身份标识 EID ( Endpoint identifier ) 和位置标识 RLOC ( Routing Locator ) 的映射管理，使用现有的 LISP协议，共有 4种发展路径，差别在于 LISP控制 · ^文的路径的不同，其中 LISP3 是一种发展的路径， EID不可路由，需要映射处理，其中 LISP+ALT ( LISP Alternative Topology, LISP可选拓朴，具体内容参见互联网工程任务论坛 IETF的 LISP工作组的技术文档的最新版本， draft-fuller-lisp-alt-05.txt ) 的研究比较多， LISP+ALT网络架构示意见图 2, LISP+ALT是使用 GRE和 BGP路由协议来构建一个基于现有网络架构的叠加网（Overlay Network ) , 构建 LISP控制报文路径，隧道路由器使用这个叠加网来查询和响应身份标识和位置标识的映射关系，映射关系存在于本地緩存 ( Cache )和分布的数据库( the distributed Endpoint Identifier-to-Routing Locator Mapping Database )中， LISP的两种接入控制路由器 ITR、 ETR以及映射服务器共同完成映射关系的处理。图 2中的 ALT rtr表示 ALT叠加网的路由器（ router ) 。本发明虚拟专用网络的实现方法和系统的主要思想 ^^于位置身份分离网络实现 VPN,在身份标识与位置标识的映射关系中增加对应的 VPN属性，在进行映射处理时，判断源端主机的 VPN属性与目的端主机的 VPN属性相同时，再查询目的端主机的位置标识，从而根据目的端主机的位置标识实现数据报文的转发； VPN属性不相同时，返回不可达信息，通信失败，从而保证 VPN端主机通信的安全性，满足了用户对虚拟专用网的需求。本发明虚拟专用网络的实现方法，所述方法基于位置身份分离协议 ( LISP ) 网络实现，该虚拟专用网络包括输入隧道路由器（ITR ) 、映射服务器及输出隧道路由器（ ETR ) , 所述 ITR、映射服务器及 ETR保存虚拟专用网（VPN )属性、身份标识及位置标识的映射关系，该方法包括：

A、所述 ITR收到源端主机发送的数据报文后，根据本地映射关系确定源端主机的 VPN属性，并向所述映射服务器或 ETR发送映射请求消息，其中携带源端主机的 VPN属性及目的端主机的身份标识；具体地，本步骤可以这样实现：输入隧道路由器 ITR接收源端主机发送的单层 LISP报文（没有 LISP的头），并发送映射请求消息，等待响应作 LISP 封装；

映射服务器或 ETR可称为端主机 VPN属性存储网元，通常情况下， ITR 向所述映射服务器发送映射请求消息，若 ITR已确定数据报文转发的对应的 ETR , 则也可以向该 ETR发送映射请求消息；

B、所述映射服务器或 ETR接收所述映射请求消息，根据所述目的端主机的身份标识确定所述目的端主机的 VPN属性；

C、所述映射服务器或 ETR比较所述源端主机和目的端主机 VPN属性是否相同，相同时，向所述 ITR返回映射响应消息，其中携带目的端主机的位置标识（RLOC ) ，否则，返回不可达信息，流程结束；

D、所述 ITR接收所述映射响应消息，根据所述目的端主机的位置标识向所述 ETR转发 LISP数据报文，所述 ETR将所述 LISP数据报文转发给目的端主机。 IT 接收到映射响应消息后，可以根据映射响应消息中隐含的或完整的、目的端主机的映射关系更新本地的映射关系，这样 ITR在接收到源端主机发送的后续的数据报文后，可以根据本地的映射关系直接进行映射处理及数据 4艮文转发， ITR的映射处理与映射服务器及 ETR的映射处理过程相同，即：查询本地映射关系，若查到目的端主机身份标识，且源端主机的 VPN属性与目的端主机的 VPN属性相同时，获取目的端主机的位置标识；在本地映射关系查询不到目的端主机的身份标识情况下，对于 ITR、映射服务器和 ETR有不同的处理方式：对于 ITR来说，如果在本地查询不到目的端主机的身份标识，则向映射服务器发送映射请求消息；对于映射服务器来说，如果在本地查询不到目的端主机的身份标识，则向 ETR转发映射请求消息；对于 ETR来说，如果在本地查询不到目的端主机的身份标识，则通过映射服务器向 ITR返回不可达信息。数据报文转发时， ITR先将数据报文进行 LISP封装， LISP协议封装报文的外层报文头（ outer header ) 的源和目的地址分别是 ITR和 ETP的 IP地址，即 RLOC, 将 LISP封装的数据报文通过数据报文路径转发到 ETR路由器， ETR进行 LISP解封装后，将数据报文发送给 EID终端。具体实现时，一个端主机的 EID可以映射一个或者几个 RLOC。

以上所说的映射请求消息及映射响应消息通过 LISP控制报文路径发送；而数据报文则通过 LISP数据报文路径发送。

在不同的实现方式下， VPN属性具有不同的含义，存在以下几种情况：

1、位置身份分离网络中包括多个 VPN 网络的端主机，则不同的 VPN 设置不同的 VPN标识， VPN属性指端主机的 VPN标识。 2、位置身份分离网络中包括 VPN网络的端主机和非 VPN网络的端主机，

VPN属性指端主机是否属于 VPN端主机。

3、位置身份分离网络中包括多个 VPN网络的端主机和非 VPN网络的端主机， VPN属性指端主机是否属于 VPN端主机，以及属于 VPN端主机时，所属的 VPN标识。对于 VPN端主机来说，只有 VPN标识相同，才能建立 VPN用户间的通信，否则不能建立通信，保证 VPN端主机不能和该 VPN以外的端主机建立通信， VPN以外的端主机也无法访问 VPN网络，保证 VPN网络安全性。

当映射关系发生变化时， ITR及 ETR通过 LISP控制报文路径向映射服务器发送的映射维护消息，其中携带维护操作类型及要维护的映射关系；所述映射服务器根据映射维护请求对本地映射表进行维护，所述维护操作类型包括注册、注销及修改。另外， ITR和映射服务器还可以根据映射响应消息中携带的映射关系对本地映射关系进行更新。应当理解的是，本发明所说的 ITR和 ETR是互为输入隧道路由器和输出隧道路由器的。为了便于说明，本发明根据数据报文的传输方向界定输入隧道路由器和输出隧道路由器。实施例：在 LISP ( Locator/ID Separation Protocol )协议网络架构下的实施本发明的虚拟专用网絡 VPN。在 LISP网络架构下实现 VPN时， VPN端主机的映射关系和非 VPN端主机的映射关系可以在不同映射表中保存，也可以在同一个映射表中保存，无论哪种实现方式，映射关系都可以体现 VPN属性、身份标识与位置标识的映射关系。以下以分表保存为例进行说明：首先为虚拟专用网络 VPN的身份标识为 EID的端主机设置 VPN标识，构建虚拟专用网络 VPN专用的映射表，包括 VPN标识和属于该 VPN的所有用户端主机的身份标识 EID和位置标识 RLOC的映射关系，这种情况下， VPN属性仅用 VPN标识即可体现。对于 VPN端主机和非 VPN端主机共存的情况， LISP网絡架构下有两种映射表，一种是 LISP映射表，没有 VPN标识，另一种就是有 VPN标识的 VPN映射表。 LISP映射表中，端主机的 VPN 属性即默认的非 VPN端主机。 LISP映射表和 VPN映射表统称为映射表。每个 VPN网络有一个 VPN标识 ( VPN— ID )进行标识，这样一个 LISP 网络架构下可以支持多个 VPN, 满足众多企业网的应用需要。

VPN映射表中的用户端主机的映射关系可以动态的加入或者删除。

IT 接收端主机 LISP报文后，如果该报文的源 EID属于 VPN，表示 ITR 接收处理该端主机报文的时候，只能查询该用户所属 VPN的 VPN映射表，就是说 VPN标识必须相同，才能建立 VPN用户间的通信，否则不能建立通信，保证不能和该 VPN映射表以外的用户建立通信， VPN映射表以外的用户不能查询 VPN映射表，无法访问 VPN网络，保证 VPN网络安全性。同样输出隧道路由器和映射服务器做映射处理的时候，也要比较双方的 VPN标识是否相同，保证只能在 VPN内部建立通信。

VPN映射表构建示例：第一个虚拟专用网络 VPN, 用户为 EID 1 , 。。。， kl ) , 分配 VPN 标识 VPN_ID— (1) ，可以构建 VPN映射表如下:

第二个虚拟专用网络，用户为 EID ( a2，。。。， k2 ) ，分配 VPN标识 VPN_ID_(2) ，其拥有的 VPN映射表如下：

由于 VPN间需要隔离，不能互通，因此 VPN标识 VPN_ID— (1)的映射表中的表项和 VPN标识 VPN_ID— (2)的映射表中的表项不能重叠。 VPN映射表在 LISP网络架构的设备中分布情况如下：输入隧道路由器 ITR,是源 EID终端接入 VPN网络的入口，为属于 VPN 的源 EID设置 VPN标识。输出隧道路由器 ETR, 存储目的 EID的映射数据库，为属于 VPN的目的 EID设置 VPN标识。

以下对 LISP数据报文、 LISP控制报文及 LISP消息的格式进行说明：

LISP数据报文头格式：本发明中 LISP数据报文头中携带 VPN标识，具体位置在 LISP消息的 Nonce—栏的后面， LISP VPN数据报文头格式如下： /s/u O /-/-/-isosld isoiAV

o

I Source EID |

+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+ I Destination EID |

+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+ 其中， IH ( inner header )表示内层报文头， OH ( outer header )表示夕卜层报文头， VPN-ID表示 VPN标识。

LISP控制报文头格式本发明中 LISP控制报文头中携带 VPN标识，具体位置在 LISP消息的

Nonce一栏的后面， LISP VPN控制艮文头格式如下：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

I I Source Port | Dest Port |

UDP +_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+ \ I UDP Length | UDP Checksum |

+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+_+ O

record ...

_ Nonce

++ + II II I

r t?each Bi

01231567890123156789012315678901... .. g LISP Messae- Mapping Protocol Data

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

LISP消息包括映射请求消息（type=l ) ，映射响应消息（type=2 ) ，映射注册（_type=3 ) 等等。当 ITR路由器需要 EID到 RLOC的映射时，发送映射请求消息。受到映射请求消息的触发， ETR回送包含映射请求的 EID匹配的 RLOC。映射注册消息用于向映射服务器注册 EID到 RLOC的映射关系，如 ETR向映射服务器发布 EID映射关系。报文中可以进一步增加端主机是否是 VPN终端的 VPN标志 , 当报文是

VPN 端主机的通信 4艮文时， VPN 标志为真（true ) , 同时表示报文中存在 VPN标识；当报文不是 VPN端主机的通信报文时， VPN标志为假（ false ) , 同时表示报文中没有 VPN标识。本发明在 LISP网络架构下实现 VPN具有以下特点： (― )为虚拟专用网络 VPN的身份标识为 EID的端主机设置 VPN属性，具体在输入隧道路由器 ITR、输出隧道路由器 ETR 的本地映射数据库 ( database ) 以及映射服务器（Map-server ) 中为身份标识 EID 的终端设置 VPN属性；

(二）在 LISP协议报文中增加 VPN属性，包括数据报文（LISP Data Message )和控制报文 ( LISP Control Plane Packet ) 。

IT 发送映射请求消息时，使用 LISP VPN控制报文头格式，其中 VPN 属性为源 EID的 VPN属性。

ETR向映射服务器发送映射注册消息时，使用 LISP VPN控制报文头格式，其中 VPN属性为 ETR管理的 EID的 VPN属性。 IT 路由器进行 LISP报文封装时，使用本发明的 LISP VPN数据报文头格式，含有 VPN属性。

(三） LISP 网络架构下所有映射处理（mapping ) 装置（包括 ITR、映射服务器及 ETR ) 进行映射处理时比较源 EID和目的 EID的 VPN属性是否相同，只有相同时进行映射处理，否则返回不可达信息。

ETR处理映射请求消息时，比较源 EID的 VPN属性和目的 EID的 VPN 属性，相同时进行 LISP 的映射处理，返回映射响应消息，否则返回不可达消息。映射服务器进行映射处理时，只有源 EID的 VPN属性和目的 EID的 VPN 属性相等，才进行映射消息的处理。其他 LISP VPN的映射消息的处理都需要比较 VPN标识，保证 VPN 通信的安全。映射消息共有以下 12种

Reserved: 保留 0 b'0000'

LISP Map-Request: 映射请求 1 b'OOOl'

LISP Map-Reply: 映射响应 2 b'0010'

LISP Map-Register: 映射注册 3

LISP-CONS Open Message: 打开 8 b'1000'

o o o

LISP-CONS Push-Add Message: 增力 p 9

LISP-CONS Push-Delete Message: 删除 10 b'1010'

LISP-CONS Unreachable Message 不可达 11 b'loir

ETR输出隧道路由器进行 LISP数据报文的解封装时，检查 LISP VPN 数据报文头中的 VPN属性与目的 EID的 VPN属性是否相同，相同时进行数据转发，否则进行丢弃等异常处理。对于 VPN端主机来说，只有 VPN标识相同，才能建立 VPN端主机间的通信，否则不能建立通信，保证不能和该 VPN以外的端主机建立通信， VPN 以外的端主机也无法访问 VPN网络，保证 VPN网络安全性。

为了实现以上方法，本发明还提供了一种虚拟专用网的实现系统，该系统包括输入隧道路由器 (ITR)、映射服务器及输出隧道路由器（ETR ) , 其中：所述 ITR包括第一数据报文收发模块、报文处理模块、第一控制报文收发模块、第一本地映射表及映射查询模块，其中：第一数据报文收发模块，设置成接收源端主机发送的数据报文，以及向所述 ETR转发 LISP数据报文；报文处理模块，与所述第一数据报文收发模块连接，设置成解析收到的数据报文并通知映射查询模块，并根据映射查询模块的查询结果生成映射请求消息，其中携带源端主机的 VPN属性及目的端主机的身份标识；还设置成根据所述第一控制报文收发模块收到的映射响应消息生成转发到所述 ETR 的 LISP数据报文；第一控制报文收发模块，与所述报文处理模块连接，设置成向端主机及接收所述端主机 VPN属性存储网元发送的映射响应消息；还设置成向所述映射服务器发送映射维护请求，其中携带维护操作类型及要维护的映射关系；第一本地映射表，设置成保存 VPN属性、身份标识与位置标识的映射关系；

映射查询模块，与所述报文处理模块及第一本地映射表连接，设置成根据所述源端主机的身份标识查询源端主机的 VPN属性；以及根据目的端主机的身份标识查询第一本地映射表,还设置成比较所述源端主机的 VPN属性与目的端主机的 VPN属性是否相同，比较结果相同时，再查询所述第一本地映射表获得目的端主机的位置标识；还设置成通知所述艮文处理模块生成转发到所述 ETR的 LISP数据■ ^文；未查到所述目的端主机的映射关系时，还设置成通知所述文处理模块生成所述映射请求消息。

所述映射服务器包括第二控制报文收发模块、第二本地映射表及第一映射处理模块，其中：第二控制报文收发模块，设置成接收所述 ITR发送的映射请求消息，以及向所述 ITR发送映射响应消息；第二本地映射表，设置成保存 VPN属性、身份标识与位置标识的映射关系；

第一映射处理模块，与所述第二控制报文收发模块及第二本地映射表连接，设置成根据目的端主机身份标识查询所述第二本地映射表获得目的端主机的 VPN属性，以及比较所述源端主机的 VPN属性与目的端主机的 VPN 属性是否相同，比较结果相同时，查询所述第二本地映射表获得目的端主机的位置标识；还设置成根据查询结果生成映射响应消息；所述 ETR包括第二数据报文收发模块、第三控制报文收发模块、第三本地映射表及第二映射处理模块；第二数据报文收发模块，设置成接收所述 ITR发送的 LISP数据报文；第三控制报文收发模块，设置成接收所述 ITR发送的映射请求消息，以及向所述 ITR发送映射响应消息；第三本地映射表，设置成保存 VPN属性、身份标识与位置标识的映射关系；第二映射处理模块 , 与所述第三控制报文收发模块及第三本地映射表连接，设置成根据目的端主机身份标识查询所述第三本地映射表获得目的端主机的 VPN属性，以及比较所述源端主机的 VPN属性与目的端主机的 VPN 属性是否相同，比较结果相同时，查询所述第三本地映射表获得目的端主机的位置标识；还设置成根据查询结果生成映射响应消息。所述映射请求消息及映射响应消息是通过 LISP控制■ ^文路径发送的；所述数据报文是通过 LISP数据报文路径发送的。

ETR的第三控制报文收发模块，还设置成向所述映射服务器发送映射维护请求，其中携带维护操作类型及要维护的映射关系；映射服务器的第二控制报文收发模块还设置成接收 ITR或 ETR发送的映射维护请求；映射服务器的第一映射处理模块还设置成根据所述映射维护请求对第二本地映射表进行维护，所述维护操作类型包括注册、注销及修改。根据报文的处理流程，本发明虚拟专用网络的实现系统和方法可以概括为以下内容：如图 3所示，本发明实施例的虚拟专用网络的实现系统基于位置身份分离架构的网络实现，包括：报文接收装置 31，设置成接收源端主机发送的报文，并通知映射处理装置 32进行映射处理；所述映射处理装置 32，与所述报文接收装置 31连接，保存虚拟专用网 ( VPN ) 属性、身份标识及位置标识的映射关系，设置成进行映射处理，具体包括比较源端主机和目的端主机的 VPN属性是否相同，相同时，查询保存的映射关系，获得所述目的端主机的位置标识，不相同时产生不可达信息；还设置成将所述映射处理结果发送给"¾文处理装置 33; 所述报文处理装置 33 , 与所述映射处理装置 32连接，设置成接收所述映射处理结果，以及根据所述映射处理进行报文处理，具体包括：根据目的端主机的位置标识进行报文转发以及根据不可达信息结束通信流程。具体的地，所述报文处理装置 33可设置成比较源端主机和目的端主机的 VPN属性是否相同，相同时，再进行报文转发，否则流程结束。才艮据前述内容可以看出，映射处理装置 32可以由输入隧道路由器（ ITR )、映射服务器或输出隧道路由器（ETR )实现，而报文接收装置 31及报文处理装置 33由所述 ITR实现。相应地，本发明实施例的虚拟专用网络的实现方法基于位置身份分离 ( LISP )框架下的虚拟专用（VPN ) 网络实现系统实现，所述 VPN 网络实现系统保存 VPN属性、身份标识及位置标识的映射关系，如图 4所示，该方法包括：步骤 401 : 才艮文接收步骤，所述 VPN网络实现系统接收源端主机发送的报文；

步骤 402: 映射处理步骤，所述 VPN网络实现系统比较源端主机的 VPN 属性和目的端主机的 VPN属性是否相同，相同时，查询所述映射关系，获得所述目的端主机的位置标识，不相同时产生不可达信息；步骤 403: 报文处理步骤，所述 VPN网络实现系统根据所述目的端主机的位置标识进行报文转发或根据不可达信息结束流程。

所述报文处理步骤中，所述报文处理装置比较源端主机和目的端主机的

VPN属性相同时，再进行报文转发，否则流程结束。本发明所说的 VPN属性包括 "VPN标识" 或 "是否是 VPN端主机的信息" 中的至少一个，不同的 VPN标识代表不同的虚拟专用网，在 LISP的数据报文和控制报文中增加 VPN属性。本发明虚拟专用网络的实现方法和系统基于位置身份分离的 LISP 网络架构，在身份标识与位置标识的映射关系中增加对应的 VPN属性，在进行映射处理时，判断源端主机的 VPN属性与目的端主机的 VPN属性相同时，再查询目的端主机的位置标识，从而根据目的端主机的位置标识实现数据艮文的转发建立通信； VPN属性不相同时，返回不可达信息，从而有效地实现了虚拟专用网络，保证了 VPN端主机通信的便利性和安全性，满足了用户对虚拟专用网的需求。本发明实现方法和系统避免了在位置身份分离的网络架构下实施现有的虚拟专用网络 VPN的影响，减少对实施 VPN对现有设备和软件的改动，特别是对运营商实施的 VPN解决方案（PP - VPN ) ，本发明可以作为运营商实施的 VPN解决方案的一种。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。尽管本发明结合特定实施例进行了描述，但是对于本领域的技术人员来说，可以在不背离本发明的精神或范围的情况下进行修改和变化。这样的修改和变化被视作在本发明的范围和附加的权利要求书范围之内。

工业实用性本发明提供一种虚拟专用网络的实现方法及系统，基于位置身份分离网络实现 VPN, 在身份标识与位置标识的映射关系中增加对应的 VPN属性，在进行映射处理时，判断源端主机的 VPN属性与目的端主机的 VPN属性相同时，再查询目的端主机的位置标识，从而才艮据目的端主机的位置标识实现数据报文的转发； VPN属性不相同时，返回不可达信息，从而有效地实现了虚拟专用网络，保证了 VPN端主机通信的便利性和安全性，满足了用户对虚拟专用网的需求。

Claims

权利要求书

1、一种虚拟专用网络（VPN )的实现方法，其特征在于：所述方法基于位置身份分离协议（LISP ) 网絡实现，所述 VPN 网絡包括输入隧道路由器

( IT ) 、映射服务器及输出隧道路由器（ETR ) , 该方法包括：所述 ITR收到源端主机发送的数据报文后，向端主机 VPN属性存储网元发送映射请求消息，其中携带源端主机的 VPN属性及目的端主机的身份标识；

所述端主机 VPN属性存储网元接收所述映射请求消息，根据所述目的端主机的身份标识确定所述目的端主机的 VPN属性；所述端主机 VPN属性存储网元比较所述源端主机和目的端主机 VPN属性是否相同，只有相同时，才进行映射查询并返回映射响应消息，其中携带目的端主机的位置标识，若所述源端主机和目的端主机 VPN属性不相同，则返回不可达信息；以及所述 ITR接收所述映射响应消息 , 根据所述目的端主机的位置标识向所述 ETR转发 LISP数据报文，所述 ETR将所述 LISP数据报文转发给目的端主机；

其中，所述端主机 VPN属性存储网元为所述映射服务器或 ETR。

2、如权利要求 1所述的方法，其中：所述 ITR收到源端主机发送的数据报文后，所述方法还包括：所述 ITR 先查询本地映射关系，若查到目的端主机身份标识，且源端主机的 VPN属性与目的端主机的 VPN属性相同时，获取目的端主机的位置标识，并根据所述目的端主机的位置标识向所述 ETR转发数据报文；若在本地映射关系中没有查到目的端主机身份标识，才向所述端主机 VPN属性存储网元发送映射请求消息。

3、如权利要求 1所述的方法，其中：在所述 ETR将所述 LISP数据报文转发给目的端主机的步骤中，当源端主机和目的端主机 VPN属性相同时，所述 ETR才将所述 LISP数据报文转发给目的端主机。

4、如权利要求 1所述的方法，其中：所述映射请求消息及映射响应消息是通过 LISP控制报文路径发送的；所述数据报文是通过 LISP数据报文路径发送的 ,且数据报文中包含 VPN 属性。

5、如权利要求 1至 4中任一项所述的方法，其中：所述 VPN属性包括 VPN标识和 /或源端主机是否是 VPN端主机的信息，不同的 VPN标识代表不同的 VPN。

6、一种虚拟专用网络（ VPN )的实现系统，所述系统包括输入隧道路由器 (ITR)、映射服务器及输出隧道路由器（ETR ) , 其中：所述 ITR包括第一数据报文收发模块、报文处理模块、第一控制报文收发模块、第一本地映射表及映射查询模块，其中：所述第一数据报文收发模块设置成：接收源端主机发送的数据报文，以及向所述 ETR转发位置身份分离协议（LISP )数据报文；所述报文处理模块与所述第一数据报文收发模块连接，设置成解析收到的源端主机发送的数据报文并通知映射查询模块，并根据映射查询模块的查询结果生成映射请求消息，其中携带源端主机的 VPN属性及目的端主机的身份标识；还设置成根据所述第一控制报文收发模块收到的映射响应消息生成转发到所述 ETR的 LISP数据报文；所述第一控制报文收发模块与所述报文处理模块连接，设置成向端主机 VPN属性存储网元发送所述映射请求消息，以及接收所述端主机 VPN属性存储网元发送的映射响应消息；所述端主机 VPN属性存储网元为所述映射服务器或 ETR; 所述第一本地映射表设置成：保存 VPN属性、身份标识与位置标识的映射关系；

所述第二映射处理模块与所述第三控制报文收发模块及第三本地映射表连接，设置成根据目的端主机身份标识查询所述第三本地映射表获得目的端主机的 VPN属性，以及比较所述源端主机的 VPN属性与目的端主机的 VPN 属性是否相同，比较结果相同时，查询所述第三本地映射表获得目的端主机的位置标识；还设置成根据查询结果生成映射响应消息。

7、如权利要求 6所述的系统，其中：所述 ITR的映射查询模块是设置成：根据目的端主机的身份标识查询所述第一本地映射表，以及比较所述源端主机的 VPN属性与目的端主机的 VPN 属性是否相同，相同时，查询所述第一本地映射表获得目的端主机的位置标识；还设置成通知所述报文处理模块生成转发到所述 ETR的 LISP数据报文；若未查到所述目的端主机的映射关系，还设置成通知所述 · ^文处理模块生成所述映射请求消息。

8、如权利要求 6所述的系统，其中：所述 ITR的第一控制报文收发模块还设置成：向所述映射服务器发送映射维护请求，其中携带维护操作类型及要维护的映射关系；所述 ETR的第三控制报文收发模块还设置成：向所述映射服务器发送映射维护请求，其中携带维护操作类型及要维护的映射关系；所述映射服务器的第二控制报文收发模块还设置成：接收 ITR 或 ETR 发送的映射维护请求；所述映射服务器的第一映射处理模块还设置成：根据所述映射维护请求对第二本地映射表进行维护，所述维护操作类型包括注册、注销及修改。

9、如权利要求 6至 8中任一项所述的系统，其中：所述 VPN属性包括 VPN标识和 /或源端主机是否是 VPN端主机的信息，不同的 VPN标识代表不同的虚拟专用网。

10、一种虚拟专用网络（ VPN ) 的实现方法，其特征在于，所述方法基于位置身份分离协议（ LISP ) 网絡框架下的 VPN实现系统实现，所述 VPN 实现系统保存 VPN属性、身份标识及位置标识的映射关系，该方法包括：报文接收步骤，所述 VPN实现系统接收源端主机发送的报文；映射处理步骤，所述 VPN实现系统比较源端主机的 VPN属性和目的端主机的 VPN属性是否相同，相同时，查询所述映射关系，获得所述目的端主机的位置标识，不相同时产生不可达信息；报文处理步骤，所述 VPN实现系统根据所述目的端主机的位置标识进行报文转发或根据不可达信息结束流程。

11、如权利要求 10所述的方法，其中：在所述报文处理步骤中 ,所述 VPN实现系统比较源端主机和目的端主机的 VPN属性相同时，再进行报文转发，否则结束流程。

12、如权利要求 10所述的方法，其中：所述映射处理步骤由 LISP网络架构中的输入隧道路由器（ITR ) 、映射服务器或输出隧道路由器（ETR ) 实现。

13、如权利要求 10至 12中任一项所述的方法，其中：所述 VPN属性包括 VPN标识和 /或源端主机是否是 VPN端主机的信息，不同的 VPN标识代表不同的 VPN。

14、一种虚拟专用网络（VPN ) 的实现系统，其中，该系统基于位置身份分离协议（LISP ) 架构的网络实现，包括：报文接收装置，其设置成接收源端主机发送的报文，并通知映射处理装置进行映射处理；所述映射处理装置，其与所述报文接收装置连接，并设置成保存 VPN 属性、身份标识及位置标识的映射关系，以及进行映射处理，所述映射处理包括比较源端主机和目的端主机的 VPN属性是否相同，相同时，查询保存的映射关系，获得所述目的端主机的位置标识，不相同时产生不可达信息；还设置成将所述映射处理结果发送给报文处理装置；所述报文处理装置，其与所述映射处理装置连接，并设置成接收所述映射处理结果，以及根据所述映射处理进行报文处理，所述报文处理包括：根据目的端主机的位置标识进行报文转发以及根据不可达信息结束通信流程。

15、如权利要求 14所述的系统，其中：所述报文处理装置还设置成比较源端主机和目的端主机的 VPN属性是否相同，相同时，再进行 4艮文转发，否则结束通信流程。

16、如权利要求 14所述的系统，其中：所述映射处理装置由输入隧道路由器（ITR ) 、映射服务器或输出隧道路由器（ ETR ) 实现，所述报文接收装置及报文处理装置由所述 ITR实现。

17、如权利要求 14至 16中任一项所述的系统，其中：所述 VPN属性包括 VPN标识和 /或源端主机是否是 VPN端主机的信息，不同的 VPN标识代表不同的 VPN。