WO2011032473A1

WO2011032473A1 - 虚拟专用网络的实现方法及系统

Info

Publication number: WO2011032473A1
Application number: PCT/CN2010/076788
Authority: WO
Inventors: 晏祥彪; 孙翼舟
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-09-18
Filing date: 2010-09-10
Publication date: 2011-03-24
Also published as: JP5579853B2; US20120180122A1; JP2013504960A; KR101340495B1; EP2466818A4; CN102025589B; CN102025589A; US8661525B2; KR20120100927A; EP2466818A1

Description

虚拟专用网络的实现方法及系统

技术领域本发明涉及身份位置分离技术，尤其涉及虚拟专用网絡在身份位置分离网络的实现方法及系统。

背景技术

关于下一代信息网絡架构的研究是当前最热门的课题之一。这些研究课题的基本方向是以话音业务为代表的电信网、以视频业务为代表的电视网和以数据业务为代表的互联网进行业务上的无缝地融合为目的，以网络承载 IP 化为特点，典型的实例如提供语音业务的 VOIP ( Voice over Internet Protocol, IP电话）网络和提供电视业务的 IPTV网络、以 IP核心网络承载的 3G移动通信网络、以及大量对于超 3G或者 4G网络的研究项目等。

4G是第 4代移动通信系统的简称， 4G 的目标是为语音、数据和流媒体业务提供一个基于 IP承载网络的解决方案 , 使用户可以在"任何时间、任何地点、任何业务"获得一个更高速的通信环境。

NGN ( Next Generation Network, 下一代网络）是建立在电信网基础上的下一代网络，旨在建立一个统一的基于 IP分组交换的传输层面。在统一的序的应用范围。由于目前 IP分组承载网是以 IPv4 为基础发展而来， IP技术最早产生于美国，因此美国等发达国家拥有大量的 IPv4 地址，相反给人口众多的发展中国家分配的 IP地址^ L少，导致发展中国家的 IP分组承载网络以及各种通信网络的发展受制于 IP地址的缺乏，比如目前我国的互联网用户已经超过了我国拥有的 IPv4 地址数，而且我国的网络用户数还在高速增加，不得不使用其他技术和设备来增加 IP地址的重复使用，因此 IP地址空间不够的问题严重的困扰我国未来 IP承载网絡和通信网络的发展。解决这个问题最理想的方法是使用 IPV6, 但是这种彻头彻尾的网络架构技术的改变，导致重新建设 IPv6的承载网络需要付出巨大的建设费用，以及需要更换数以亿计的终端，代价高昂，可见这不是一个适合当前的方案。

由以上技术回顾可以看出，由于技术基础、利益背景等差异造成了下一代网络架构的研究重点和方向选择有很大区别，但是面临的问题和困难是相同的。

3G 和 4G 是无线通信领域对下一代网络的研究核心，旨在基于全 IP 分组核心网提高无线移动通信的质量； NGN 和 NGI( Next-Generation Internet , 下一代互联网）分别是电信网和互联网领域对下一代网络融合的研究； CNGI ( China's Next Generation Internet,中国下一代互联网）旨在构建基于 IPv6 的下一代互联网；北方交大的"一体化可信网络与普适服务体系基础研究 "希望能构建统一的新分组网络。虽然各种研究存在很大差异，但是各种研究普遍接受的观点是：未来网絡½于分组的统一承载网络。因此研究下一代网络构架将以互联网为主要参考对象。互联网从其诞生以来一直保持高速发展，已成为当前最成功、最具生命力的通信网络，其灵活可扩展性、高效的分组交换、终端强大的功能等特点非常符合新一代网络的设计需要，互联网将是新一代网络设计的主要参考蓝本。然而，互联网的结构还远远没有达到最优，存在很多重大的设计问题。除上述 IP地址空间无法满足应用需要外，还主要表现在以下方面：互联网发明于二十世纪七十年代，人们难以预计今天世界上将存在大量的移动终端和多家乡终端 , 因此当时的互联网协议栈主要是针对以"固定"方式连接的终端而设计。在当时的网络环境下，由于终端基本上不会从一个位置移动到其它位置，发送的地址就是接收的地址，路径是可逆的，所以具有身份和位置双重属性的 IP地址能够非常好的工作， IP地址的身份属性与位置属性之间没有产生任何沖突。 IP地址同时代表身份和位置恰恰满足了当时的网络需求。从当时的网络环境来看，这种设计方案简单有效，简化了协议栈的层次结构。但毋庸置疑的是， IP 地址的身份属性与位置属性之间存在着内部矛盾。 IP 地址的身份属性要求任意两个 IP 地址都是平等的，虽然 IP 地址可以按照组织机构进行分配，但是连续编码的 IP 地址之间没有必然的关系，或者至少在拓朴位置上没有必然的关系； IP 地址的位置属性则要求 IP 地址基于网络拓朴（而不是组织机构）进行分配，处于同一个子网内的 IP 地址都应该处于一个连续的 IP 地址块中，这样才可以使网络拓朴中的 IP 地址前缀聚合，从而减少路由器设备的路由表的条目，保证路由系统的可扩展性。伴随着网絡规模和技术的发展，一些动态分配 IP 地址的技术逐步出现，如动态主机配置协议（DHCP, Dynamic Host Configuration Protocol ) , 这就开始打破 IP 地址唯一表示一个终端的定。私有 IP 地址空间的使用和网络地址转换（ NAT， Network Address Translator )技术的诞生使得情况继续恶化。在这种情况下同时具有身份属性与位置属性的 IP 地址将难以继续胜任它的角色， IP 地址的双重属性问题已经凸显出来。除了技术层面的需求发生了显著变化以外，互联网的用户状况也已经发生了巨大的改变。在互联网诞生之后的最初几年中，互联网基本上被一些处于共同团体且相互信任的人员使用，传统互联网协议栈也是基于此种假设而设计的；而目前的互联网用户则是鱼龙混杂，人们难以继续互相信任。在这种情况下，缺乏内嵌安全性机制的互联网也需要发生变革。总的来说， IP 地址双重属性的内在矛盾将导致如下主要问题：

1.路由可扩展问题。关于互联网路由系统的可扩展性存在一个基本的假定： "地址按照拓朴进行分配，或者拓朴按照地址进行部署，二者必选其一，，。 IP 地址的身份属性要求 IP 地址基于终端所属的组织机构（而不是网络拓朴）进行分配，而且这种分配要保持一定的稳定性，不能经常改变；而 IP 地址的位置属性要求 IP 地址基于网络拓朴进行分配，以便保证路由系统的可扩展性。这样， IP 地址的两种属性就产生了沖突，最终引发了互联网路由系统的可扩展问题。

2. 移动性问题。

IP 地址的身份属性要求 IP 地址不应该随着终端位置的改变而变化，这样才能够保证绑定在身份上的通信不中断，也能够保证终端在移动后，其它终端仍能够使用它的身份与之建立通信联系；而 IP 地址的位置属性则要求 IP 地址随着终端位置的改变而改变，以便 IP 地址能够在新的网络拓朴中聚合，否则网络就必须为移动后的终端保留单独的路由信息，从而造成路由表条目的急剧增长。

3. 多家乡问题。多家乡通常指终端或网络同时通过多个 ISP ( Internet Service Provider, 因特网服务提供商）的网絡接入到互联网。多家乡技术的优点包括增加网络的可靠性、支持多个 ISP 之间的流量负载均衡和提高总体可用带宽等。但是， IP 地址双重属性的内在矛盾使得多家乡技术难以实现。 IP 地址的身份属性要求一个多家乡终端始终对其它终端展现不变的身份，无论该多家乡终端是通过几个 ISP接入到互联网；而 IP 地址的位置属性则要求一个多家乡终端在不同的 ISP 网絡中使用不同的 IP 地址通信，这样才能保证终端的 IP 地址能够在 ISP 网络的拓朴中聚合。

4. 安全和位置隐私问题。由于 IP 地址同时包含终端的身份信息和位置信息，所以通信对端和恶意窃听者都可以根据一个终端的 IP 地址同时获得该终端的身份信息和拓朴位置信息。总的来说，自从传统互联网的体系结构建立以来，互联网的技术环境和用户群体都已经发生了翻天覆地的变化，互联网需要随之进行革新。 IP 地址的双重属性问题是困扰互联网继续发展的根本原因之一，将 IP 地址的身份属性和位置属性进行分离，是解决互联网所面临问题的一个很好的思路。新网络将基于这种思路进行设计，提出一种身份信息与位置信息分离映射的网络结构，以解决现有互联网存在的一些严重弊端。为了解决身份和位置的问题，业界进行了大量的研究和探索，所有身份与位置分离方案的基本思想都是将原本绑定在 IP 地址上的身份与位置双重属性分离。其中，有些方案釆用应用层的 URL ( Uniform Resource Locator, 统一资源定位符 , URL是用于完整地描述 Internet上网页和其他资源的地址的一种标识方法）或 FQDN ( Fully Qualified Domain Name, 合格域名）作为终端的身份标识，如 IPNL ( IP Next Layer, IP下一层，属于 NAT扩展架构的方式）、 TRIAD ( A Scalable Deployable NAT-based Internet Architecture, 一种可扩展易部署的基于 NAT的网络架构）等；有些方案引入了新的名字空间作为身份标识，如 HIP ( Host Identity Protocol , 主机标识协议）在以 IP 地址为位置标识的网络层上增加主机标识；有些方案将 IP 地址进行分类，部分 IP作为身份标识，部分 IP作为位置标识，如 LISP( Locator/ID Separation Protocol , 位置身份分离协议）等；公开于 2006年 7月 12日的中国专利申请 CN1801764，是由北方交通大学张宏科等人申请的 "一种基于身份与位置分离的互联网接入方法" ，该方法使用 IP地址作为主机的位置标识，引入端主机标识作为身份标识解决身份和位置分离的问题。在上述这些解决方案中基于主机的解决方案需要对主机协议栈进行修改，比如 HIP; 基于网络的解决方案则需要对特定位置的路由器进行改进。而且，同样作为基于网络的解决方案，完成身份与位置映射功能的路由器在网络中所处的位置也不尽相同。有的方案明确完成映射功能的路由器位于用户网络的边界，即映射功能路由器属于用户网络；有的（LISP、 TID ( Tunneled Inter-domain Routing, 隧道域间路由）和 Ivip( Internet Vastly Improved Plumbing，因特网巨力提升管道））没有限定完成映射功能的路由器在网络中所处的位置；有的明确解决路由可扩展问题以及保证身份与位置的映射信息只有网络管理者能够获知，严格限定了完成映射功能的路由器为核心网接入路由器，即映射功能路由器属于核心网络。在身份标识与位置标识同时位于网络层的解决方案中，如 LISP, 存在是否严格按照网絡拓朴的划分将身份与位置完全分离的设计区别。目前版本的 LISP 协议要求网络在没有提供映射解析服务之前，必须利用 EID ( Endpoint Identifier, 终端标识）将第一个数据包路由到对端，以便使通信双方的隧道路由器学习到 RLOC ( outing Locator,路由位置标识）和 EID 的映射关系，这就使得网络至少要有部分路由节点同时保留基于 RLOC 和 EID 的路由条目，从而影响了 LISP 解决路由可扩展性问题的能力。各种身份与位置分离方案提出的初衷不尽相同，因此最终实现的功能也各有差异。 IPNL 的设计目的是为了使 IPv4 网络获得更长寿命，避免 IPv6 协议替换 IPv4协议所引发的全面更新换代的难题。 TRIAD 的设计目的是解决 NAT 给互联网带来的各种问题，同时对移动性和策略路由等提供一定的支持。 HIP 最初提出是为了解决安全性问题，之后在移动性支持上面做了大量工作，并且进行了多家乡支持的研究。 SHIM6 ( Level 3 Shim for IPv6 )是主要为了解决 IPv6 网络能够支持多家乡问题而提出的。 LIN6 ( Location Independent Networking for IPv6 , 用于 IPv6的位置独立网絡）的设计目的是为 IPv6协议提出一种可供选择的移动性和多家乡解决方案。 ILNP ( Identifier Locator Network Protocol )的设计目标是提供一种能够解决移动性和多家乡问题的 IPv6 扩展机制。 GSE ( Global, Site and End- System Designator ) 试图改乡技术。 TIDR 的设计目标是增强现有互联网的路由和转发功能，解决全局路由表膨胀、域间路由的安全性以及多家乡等问题。 LISP 主要针对路由可扩展性问题而设计。上述的提案和方案都从问题的一些局部提出在现有的网络架构下实现身份与位置分离解决方案，位置与身份分离是未来数据通信网络的核心技术，特别是移动数据通信网络。

VPN ( virtual private network , 虚拟专用网络）可以实现不同网络的组件和资源之间的相互连接。 VPN能够利用 Internet网络或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

VPN有多种实现方式，具体可以分为用户管理的 VPN解决方案（CPE - VPN ) 和运营商实施的 VPN解决方案（ PP - VPN ) 。用户管理的 VPN解决方案（ CPE - VPN方案）其特点是用户自己设置、管理并维护 VPN网关设备，通过公共 IP 网在各个分支机构和公司总部之间建立基于标准 VPN隧道的连接，隧道协议通常釆用二层隧道协议 ( L2TP ) 、点到点隧道协议 ( PPTP ) 、 IPsec (安全 IP ) 、 IP in IP ( IP里面封装 IP )和 GRE ( Generic Routing Encapsulation, 通用路由封装）等，并且利用各种加密技术和 NAT技术来保障数据传输的安全。

VPN隧道连接的建立与管理完全由用户自己负责，提供商不需要调整或改变网絡的结构与性能。这种方式也就是通常所说的 "自建 VPN" 方式。

VPN支持企业通过 Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越 Internet建立的 VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然 VPN通讯建立在公共互联网络的基础上，但是用户在使用 VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。使用 VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。 VPN的基本用途：通过 VPN实现远程用户访问， VPN支持以安全的方式通过公共互联网络远程访问企业资源，例如 VPN用户首先拨通本地接入服务提供商（ ISP ) 的网络接入服务器（ BRAS ) , 然后使用 VPN软件，利用与本地 ISP建立的连接在远程用户和企业 VPN服务器之间创建一个跨越 Internet或其它公共互联网络的 VPN。使用 VPN连接远程局域网络，不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的 ISP连通 Internet, 或者拨号接入 ISP的宽带接入服务器连接 mtemet。使用 VPN软件，利用与当本地 ISP建立的连接和 Internet网络在分支机构和企业端路由器之间创建一个 VPN。运营商实施的 VPN解决方案（PP - VPN )是指在运营商的公共数据通信网上设置 VPN网关设备，用于专线接入用户或远程拨号接入用户。利用该网关设备，可以在全网范围内根据具体的 VPN网络需求，通过隧道封装、虚拟路由器或 MPLS (多协议标签交换）等技术建立 VPN, 并且可以采用加密技术以保障数据传输的安全。 VPN连接的建立完全由运营商负责，对用户透明。这种方式也就是通常所说的 "外包 VPN" 方式。随着宽带接入网络的迅猛发展的同时，运营商为了高质量地拓展业务，必须要解决的一个问题是，如何对网络结构进行合理的分层规划，以实现对用户的定位以及业务治理。由于在接入网层面大量地采用了以太网技术，目前基于以太网来实现网络划分的技术主要是虚拟局域网（VLAN， Virtual Local Area Network )技术。 VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE ( IEEE (The Institute of Electrical and Electronics Engineers，国际电气和电子工程师协会 ) 于 1999年颁布了用以标准化 VLAN实现方案的 802.1Q协议标准草案。传统的以太网帧格式中定义了 4096个 VLAN, VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了 VLAN头，用 VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态治理网络。 VLAN隔离了广播风暴，同时也隔离了各个不同的 VLAN之间的通信，所以不同的 VLAN之间的通信是需要有路由器来完成的。划分 VLAN的方法主要有几种。一是根据端口来划分 VLAN; 这种根据端口来划分 VLAN 的方式是最常用的一种方式；二是根据 MAC ( Media Access Control, 媒体接入控制）地址划分 VLAN, 这种划分 VLAN 方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时， VLAN不用重新配置，缺点是初始化时所有的用户都必须进行配置，导致了交换机执行效率降低；三是根据网络层划分 VLAN, 这种划分 VLAN 的方法是根据每个主机的网絡层地址或协议类型（假如支持多协议）划分的而不是根据路由，因此即便用户物理位置改变了，不需要重新配置所属的 VLAN, 缺点是重新解析帧头将降低效率；四是根据 IP组播划分 VLAN， IP 組播实际上也是一种 VLAN的定义，即认为一个组播组就是一个 VLAN，这种划分的方法将 VLAN扩大到了广域网，因此这种方法具有更大的灵活性 , 而且也很轻易通过路由器进行扩展。

VLAN作为特定以太网通信环境下的 VPN技术在宽带接入上得到大规模的应用，核心网或者广域网中应用比较多的是基于多协议标签交换 ( MPLS ) 的 VPN。多协议标记交换（ MPLS )技术的出现，使整个 Internet的体系结构都发生了变化。采用 MPLS技术实现 VPN的技术方案将大大改善传统 IP网络的缺陷，又能提供和帧中继或 ATM ( Asynchronous Transfer Mode，异步传输模式）网络一样的安全性保证，可以很好地适应 VPN业务的需求。

MPLS VPN的网络模型包括：客户边缘（CE, Customer Edge )设备，可以是路由器或二层交换机，它位于客户端，提供到网絡提供商的接入；提供商边缘（PE, Provider Edge )路由器，主要维护与节点相关的转发表，与其他 PE路由器交换 VPN路由信息，使用 MPLS网络中的标记交换路径（ LSP , Label Switched Path )转发 VPN业务，这就是 MPLS网络中的标记边缘路由器（LER, Label Edge Router ) ；提供商路由器（PR, Provider Router )使用已建立的 LSP对 VPN数据进行透明转发，不维护与 VPN有关的路由信息，这就是 MPLS网络中的标记交换路由器（ LSR , Label Switching Router ) 。

MPLS VPN的优点：安全性： MPLS VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段，提供了抗攻击和标记欺骗的手段，因此 MPLS VPN完全能够提供与 ATM/FR VPN相类似的安全保证。扩展性： MPLS VPN则具有很强的扩展性。一方面 MPLS网络中可以容纳的 VPN 数目很大，另一方面在用户节点数目上由于借助于 BGP ( Border Gateway Protocol , 边界网关协议）进行成员的分配和管理，同一个 VPN中的用户节点数不受限制，容易扩充，并可以实现任何节点与任何其它节点的直接通信。特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路，用户侧只需要一个端口 /一条线路接入网络，避免了 Ν 平方的扩展性问题。可靠性： MPLS VPN业务，自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时， MPLS VPN的流量与普通互联网流量一起依据 IGP ( Interior Gateway Protocol, 内部网关协议 ) 迂回到其它电路上，这一过程完全依靠 IGP的收敛自动完成，对用户完全透明，在广域网传输中不存在单点故障。

发明内容

在身份和位置分离的技术方案下，给上述的 VPN技术实施带来影响，对运营商实施的 VPN解决方案（PP - VPN )产生影响，特别是涉及三层 IP地址的方案影响比较大，位置和身份分离主要涉及 VPN的用户的身份标识及通信协议， VPN接入管理需要使用端主机的身份标识进行认证管理，需要对管理系统进行升级处理；而对于用户管理的 VPN解决方案（ CPE - VPN方案），位置和身份分离以后端主机不再使用 IP地址进行通信，需要使用端主机的身份标识 EID进行通信影响比较大一些，需要对 VPN软件进行升级处理支持端主机的身份标识。本发明要解决的技术问题是提供一种虚拟专用网络的实现该方法及系统，以在身份位置分离网络方便地实现虚拟专用网络。为解决以上技术问题，本发明提供一种虚拟专用网络的实现方法，所述虚拟专用网络基于身份位置分离网络实现，该方法包括：

A、身份位置分离网络的映射平面设置虚拟专用网络（ VPN )的 VPN专用映射表和普通映射表，所述 VPN专用映射表包括同一 VPN 网络的 VPN 端主机身份标识与位置标识的映射关系；所述普通映射表包括普通端主机身份标识与位置标识的映射关系；

B、所述映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN专用映射表或普通映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源端主机与目的端主机之间的通信，否则通信失败。优选地，所述属性指端主机是否属于 VPN端主机，步骤 B中，若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面查询所述 VPN 专用映射表，否则查询所述普通映射表。优选地，所述映射平面包括若干个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN网络，具有不同的 VPN标识；所述属性指端主机是否属于 VPN端主机，以及属于 VPN端主机时，所属的 VPN标识；步骤 B 中，若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面查询对应 VPN标识的 VPN专用映射表，否则查询所述普通映射表。优选地，步骤 B包括： Bl、接入业务节点 (ASN)接收源端主机发送的报文，其中携带源端主机身份标识和目的端主机身份标识；

B2、所述 ASN根据源端主机身份标识查询设置的属性表，获得源端主机属性，并向映射平面转发报文或发送查询请求，其中携带源端主机属性及目的端主机身份标识；

B3、映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN 专用映射表或普通映射表； B4、若查询结果中包括目的端主机的位置标识，则所述 ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发 · ^文实现通信，否则通信失败。优选地，步骤 B4之后，目的接入业务节点接收所述报文并转发给目的端主机的同时，将源端主机身份标识和位置标识的映射关系以及源端主机的 VPN属性记录在本地映射表；目的接入业务节点接收所述目的端主机回送的 4艮文后，查询本地映射表，判断源端主机与目的端主机的属性一致时，直接进行报文转发。为解决以上技术问题，本发明还提供另一种虚拟专用网络的实现方法，其特征在于：所述虚拟专用网络基于身份位置分离网络实现，该方法包括： A、身份位置分离网络的映射平面设置虚拟专用网络（VPN ) 专用映射表，所述 VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；

B、所述映射平面查询所述 VPN专用映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源端主机与目的端主机之间的通信，否则通信失败。优选地，所述映射平面同时设置多个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN, 具有不同的 VPN标识；步骤 B中 ,所述映射平面根据目的端主机身份标识查询与源端主机 VPN 标识一致的 VPN专用映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源端主机与目的端主机之间的通信，若没有查询到目的端主机的映射关系，则通信失败。

步骤 B包括： Bl、接入业务节点 (ASN)接收源端主机发送的报文，其中携带源端和目的端主机身份标识；

B3、映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN 专用映射表；

B4、若查询结果中包括目的端主机的位置标识，则所述 ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发文实现通信，否则通信失败。优选地，步骤 B4之后，目的接入业务节点接收所述报文并转发给目的端主机的同时，将源端主机身份标识和位置标识的映射关系以及源端主机的 VPN属性记录在本地映射表；目的接入业务节点接收所述目的端主机回送的 4艮文后，查询本地映射表，判断源、目的端主机的属性一致时，直接进行报文转发。为解决以上技术问题，本发明还提供一种虚拟专用网络的实现系统，所述系统基于身份位置分离架构网络实现，包括通过网络连接的业务接入节点 ( ASN )和映射平面，所述 ASN，包括第一收发模块、属性表及属性表查询模块，其中：

所述第一收发模块设置成：接收源端主机发送的报文，其中携带源端和目的端主机身份标识，并通知属性表查询模块；以及向映射平面转发报文或发送查询请求，其中携带源端主机属性及目的端主机身份标识；向所述映射平面发送查询请求时，还设置成接收所述映射平面发送的查询结果，若查询到目的端主机的映射关系，还设置成根据查询结果转发报文，否则通信失败；所述属性表设置成：保存端主机与其属性的对应关系；所述属性表查询模块，与所述第一收发模块、属性表连接，设置成根据所述源端主机身份标识查询所述属性表，获得源端主机属性，并通知所述第一收发模块；所述映射平面包括第二收发模块、映射数据库及数据库查询模块，其中：所述第二收发模块设置成：接收所述 ASN转发的报文或发送的查询请求，并通知数据库查询模块；接收到查询请求时，还设置成向所述 ASN发送查询结果；接收到转发报文时，若查询到目的端主机的映射关系，则根据查询结果转发报文，否则通信失败；所述映射数据库设置成：保存虚拟专用网络（VPN ) 专用映射表和普通映射表，所述 VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；所述普通映射表包括普通端主机身份标识与位置标识的映射关系；所述数据库查询模块，与所述第二收发模块及映射数据库连接，设置成根据目的端主机身份标识查询与源端主机属性一致的 VPN 专用映射表或普通映射表，并将查询结果通知所述第二收发模块。优选地，所述属性指端主机是否属于 VPN端主机，若源端主机的属性表明所述源端主机是 VPN端主机，则映射平面的数据库查询模块查询所述 VPN 专用映射表，否则查询所述普通映射表。优选地，所述映射平面的映射数据库包括若干个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN网络，具有不同的 VPN标识；所述属性指端主机是否属于 VPN端主机，以及属于 VPN端主机时，所属的 VPN标识；若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面的数据库查询模块查询对应 VPN标识的 VPN专用映射表，否则查询所述普通映射表。为解决以上技术问题，本发明还提供了又一种虚拟专用网络的实现方法，所述虚拟专用网络基于身份位置分离网络实现，该方法包括：

A、身份位置分离网络的映射平面设置虚拟专用网络（VPN ) 专用映射表，所述 VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；

B、当源端主机是 VPN端主机时，身份位置分离网络根据所述 VPN专用映射表实现所述 VPN内的 VPN端主机之间的通信。优选地，所述映射平面同时设置多个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN网络，具有不同的 VPN标识；步骤 B中，身份位置分离网络根据与源端主机 VPN 标识一致的 VPN 专用映射表，实现对应 VPN内的 VPN端主机之间的通信。本发明通过在身份位置分离网络的映射平面保存 VPN的 VPN专用映射表，并根据该 VPN专用映射表确定是否实现 VPN内的 VPN端主机用户之间的通信，从而在身份位置分离网络中很有效地实现了虚拟专用网，满足了用户对虚拟专用网的需求，消除了身份和位置分离的技术方案对传统虚拟专用网络 VPN业务的影响。

附图概述图 1 是本发明实施例的虚拟专用网络的实现方法示意图。

图 2是本发明实施例的用于实现虚拟专用网络的身份位置分离架构示意图。

图 3是在图 2所述的身份位置分离网络中实现虚拟专用网络的示意图。图 4 ^ ^于图 3的网络架构中实现数据包处理的应用实例流程图。图 5是本发明实施例的虚拟专用网实现系统的模块结构示意图。

本发明的较佳实施方式

身份和位置分离的数据通信网络具有这样一些特征，必然将传统 IP地址的身份属性和位置属性分离， IP地址仅仅具有位置属性，作为端主机地理位置的标识，新增一个端主机的身份标识用于通信传输的端身份标识，端主机的位置标识由端主机所处的地理位置和网络拓朴决定，在端主机移动的过程中，位置的变化导致端主机的位置标识改变，而端主机的身份标识属于终端身份唯一使用的标识，在端主机移动的过程中不会改变。同时还必须增加端主机身份标识和位置标识的映射，需要功能实体来完成这个映射关系，本发明称这个功能实体为映射平面。在各种身份和位置分离的方案中，这个映射平面的称呼也不同，例如在北京交通大学张宏科的专利 ZL200610001825.0是这样解释的，引入身份解析器，负责解析端主机标识符 EID和 IP地址间的映射关系，并动态的维护更新端主机标识 EID和 IP地址间的绑定。在 LISP的技术方案中， LISP3场景釆用映射数据库（ mapping database )提供身份标识 EID和位置标识 RLOC 现的映射数据库正在研究中。其他的方案中有的也称为映射服务器，在本发明中统一称为映射平面。本发明虚拟专用网络的实现方法和实现系统的主要思想在于，在身份位置分离网络的映射平面保存虚拟专用网络（ Virtual Private Network, VPN ) 的 VPN专用映射表，当源端主机是 VPN端主机时，身份位置分离网络根据所述 VPN专用映射表实现所述 VPN内的 VPN端主机之间的通信，从而在身份位置分离网络中很有效地实现了虚拟专用网，满足了用户对虚拟专用网的需求，消除了身份和位置分离的技术方案对传统虚拟专用网络 VPN业务的影响。如图 1所示，本发明实施例的虚拟专用网络的实现方法基于身份位置分离网络实现，该方法包括：步骤 101 : 身份位置分离网络的映射平面设置虚拟专用网络（VPN ) 的 VPN专用映射表和普通映射表，所述 VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；所述普通映射表包括普通端主机身份标识与位置标识的映射关系；

步骤 102: 所述映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN专用映射表或普通映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源、目的端主机之间的通信，否则通信失败。上述实施例实现了在同一身份位置分离网络中，同时实现普通通信和一个 VPN网絡通信。对于映射平面仅有一个 VPN专用映射表的情形，所述属性指端主机是否属于 VPN端主机，步骤 102中，若源端主机的属性表明所述源端主机是 VPN 端主机，则所述映射平面查询所述 VPN专用映射表，否则查询所述普通映射表。为了在同一身份位置分离网絡实现多个虚拟专用网，在映射平面设置多个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN网络，具有不同的 VPN标识；所述属性指端主机是否属于 VPN端主机，以及属于 VPN 端主机时，所属的 VPN标识；步骤 102中，若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面查询对应 VPN标识的 VPN专用映射表，否则查询所述普通映射表。当然本发明也适用于在映射平面设置多个 VPN专用映射表，而不设置普通映射表，以在身份位置分离网络中实现多个不同的 VPN, 这种情况下，本发明另一实施例的虚拟专用网络实现方法可以概括为：

A、身份位置分离网络的映射平面设置多个虚拟专用网络（VPN ) 专用映射表，每一 VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；不同的 VPN专用映射表对应不同的 VPN网络，具有不同的 VPN标识；

B、所述映射平面根据目的端主机身份标识查询与源端主机 VPN标识一致的 VPN专用映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源、目的端主机之间的通信，否则通信失败。

身份位置分离网络包括接入业务节点以及映射平面，步骤 102及步骤 B 在具体实现时，可以通过映射平面实现报文转发或通过映射平面之外的转发平面实现报文转发，具体包括： a、接入业务节点 (ASN)接收源端主机发送的报文，其中携带源端和目的端主机身份标识； b、所述 ASN根据源端主机身份标识查询设置的属性表，获得源端主机属性，并向映射平面转发 4艮文或发送查询请求，其中携带源端主机属性及目的端主机身份标识； c、映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN 专用映射表； d、若查询结果中包括目的端主机的位置标识，则所述 ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信，否则通信失败。

另外，作为上述实施例的变形，还可有如下实施例：一种虚拟专用网络的实现方法，所述虚拟专用网络基于身份位置分离网络实现，该方法包括： A、身份位置分离网络的映射平面设置虚拟专用网络（VPN ) 专用映射表，所述 VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；

B、当源端主机是 VPN端主机时，身份位置分离网络根据所述 VPN专用映射表实现所述 VPN内的 VPN端主机之间的通信。优选地，所述映射平面可同时设置多个 VPN专用映射表，不同的 VPN 专用映射表对应不同的 VPN网络，具有不同的 VPN标识；步骤 B中，身份位置分离网络根据与源端主机 VPN标识一致的 VPN专用映射表，实现对应 VPN内的 VPN端主机之间的通信。

下面结合附图以通过映射平面实现艮文转发为例对本发明实现方法作进一步的详细描述：身份位置分离网路的架构示意见图 2所示，用户的端主机（也即终端，如图 2中所示的第一端主机 100和第二端主机 110 )使用身份标识 EID进行通信，每个端主机具有一个唯一的身份标识；网络的接入业务节点 ASN ( Access Service Node ) (如图中所示的第一 ASN200和第二 ASN210 ) 负责封装、映射、转发终端发送或者接收的报文，并向映射平面 300查询端主机的身份标识和位置标识的映射；数据报文转发平面（简称转发平面） 400 负责转发接入业务节点 ASN映射处理后的 · ^文；映射平面 300维护端主机的身份标识和位置标识的映射关系并保持映射关系的适时更新，给 ASN提供映射查询，通过身份标识查询位置标识。映射平面 300保存有网络所有终端的身份标识 EID和位置标识 LID的对应关系，如下表所示：

接入业务节点 ASN对文的处理: 第一 ASN200接收到第一端主机 100给第二端主机 110的报文，发送的报文包含身份标识 EID ( 1 ) ，此时根据目的 EID ( 2 )查找本地映射关系表；如果查询到，则直接根据查询到的目的 LID ( 2 ) 与自己的 LID ( 1 ) 进行报文封装，封装后进行转发，发到转发平面；如果查询不到，则到映射平面进行查询 LID ( 2 ) 。通信对端第二 ASN210收到自己 LID ( 2 )地址封装的 4艮文，则进行解封装，将解封装后的 EID ( 2 )报文进行下行转发给第二端主机 110, 同时学习报文源 LID ( 1 )和 EID ( 1 )的映射关系；第二 ASN210 接收第二端主机 110 发送给第一端主机 100的> ^文，由于对端第二 ASN210在上述流程中已经学习了 EID ( 1 ) 和 LID ( 1 ) 的映射关系 , 所以在第二 ASN210本地查询映射关系一定可以查到，不用查询映射平面 300, 这时在第二 ASN210上直接封装 LID ( 1 )进行转发。报文通过转发平面 400回到 ASN1的时候，解封装之后，发给第一端主机 100。在图 2所示的网络架构下实现 VPN的方法如下: 首先，在映射平面 300设置虚拟专用网络 VPN专用的映射表，包括 VPN 的所有用户端主机的身份标识和位置标识的映射关系。此时映射平面有两种映射表，一种是普通映射表，另一种就是 VPN专用的映射表。其次，在接入服务节点 ASN上设置 VPN网络用户接入的 VPN属性表，表示 ASN处理该端主机报文的时候，只能查询该用户所属 VPN的 VPN专用映射表，建立 VPN用户间的通信，不能和该 VPN专用映射表以外的用户建立通信，同时 VPN专用映射表以外的用户不能查询 VPN专用映射表，无法访问 VPN网络，保证 VPN网络安全性。

VPN专用映射表可以有多个，每个 VPN专用映射表有一个 VPN标识： VPN ID, 这样一个网絡可以支持多个 VPN, 满足众多企业网的应用需要。

VPN专用映射表中的用户端主机的映射关系可以动态的加入或者删除。在 ASN上设置用户接入的 VPN属性的时候，应该包括所属 VPN的标识 VPNJD，方便查询映射平面具有 VPN的标识 VPN_ID的映射表。在 ASN上的用户接入 VPN属性可以固定配置，也可以从映射平面 300 获取。现有的运营商提供的 VPN技术方案可以在转发平面实施，例如 MPLS VPN技术，提供数据流的安全转发和 QOS保证，结合本发明的 VPN技术方案，通过对端用户的身份标识进行认证，可以防止传统方法的仿冒、篡改等攻击手段危害 VPN网络，可以提供更高的安全性，同时身份标识的唯一性，保证支持用户的移动接入，支持漫游用户可以随时的安全接入 VPN网絡，对出差的公司用户特别有好处。实现 VPN网络的身份位置分离网络架构的应用实例的示意图如图 3所示。

VPN专用映射表实例：第一个虚拟专用网络，分配 VPN标识 VPN— ID_(1) , 其拥有的 VPN专用映射表如下：身份标识 EID ( al ) 位置标识 LID ( al )

身份标识 EID( bl ) 位置标识 LID ( bl )

身份标识 EID( kl ) 位置标识 LID ( kl ) 第二个虚拟专用网络，分配 VPN标识 VPN— ID_(2) , 其拥有的 VPN专用映射表如下：

由于 VPN间需要隔离，不能互通，因此 VPN标识 VPN_ID— (1)的映射表中的表项和 VPN标识 VPN_ID— (2)的映射表中的表项不能重叠。数据报文的处理流程如下，如图 4所示：步骤 401 : 第一 ASN接收到第一端主机给第二端主机的报文，发送的报文包含第一端主机的身份标识 EID ( al ) ；步骤 402: 第一 ASN根据 VPN属性表确定第一端主机是 VPN用户，且属于 VPN标识 =VPN— ID_(1)的虚拟专用网络，第一 ASN向映射平面发送查询请求，其中携带第一端主机的 VPN属性（可仅包括 VPN标识）及目的身份标识；

步骤 403: 映射平面根据目的身份标识查询 VPN标识为 VPN— ID— (1)的

VPN专用映射表，并向第一 ASN返回查询结果；步骤 404: 第一 ASN根据查询结果进行报文处理；如果目的身份标识为 EID 2 ) ，从映射平面返回的查询结果为没有该对端，属无效对端，不能通信，保证只能和 VPN内部的用户通信；如果目的身份标识为 EID ( bl ) , 从映射平面返回的查询结果为位置标识 LID ( bl ) , 第一 ASN进行正常的转发处理，报文发送给转发平面，如果转发平面支持现有的 VPN技术，可以建立转发平面的 VPN标识（MPLS VPN1 ) 和本发明的 VPN标识 VPN— ID_(1) 的对应关系，提供数据报文在转发平面的安全和 QoS (服务质量）的质量保证。步骤 405: 通信对端第二 ASN收到自己 LID ( bl )地址封装的 4艮文,进行解封装，将解封装后的 EID ( bl )报文进行下行转发给第二端主机，同时学习报文源 LID ( bl )和 EID ( bl ) 的映射关系，以及 VPN属性；步骤 406: 第二 ASN接收第二端主机发送给第一端主机的报文；步骤 407: 由于对端第二 ASN在上述流程中已经学习了 EID ( bl )和

LID ( bl ) 的映射关系及 VPN属性，所以在第二 ASN本地查询映射关系一定可以查到，不用查询映射平面的 VPN标识 VPN_ID— ( 1 ) VPN专用映射表，这时在第二 ASN上直接封装 LID ( al ) 转发到第一 ASN; 步骤 408: 通过转发平面回到第一 ASN, 第一 ASN解封装之后，发给第一端主机。为实现以上方法，本发明还提供了一种虚拟专用网实现系统，如图 5所示 , 所述虚拟专用网（ VPN ) 实现系统包括通过网络连接的业务接入节点 ( ASN ) 500和映射平面 510 , 所述 ASN500, 包括第一收发模块 501、属性表 502及属性表查询模块 503 , 其中：所述第一收发模块 501设置成：接收源端主机发送的报文，其中携带源端和目的端主机身份标识，并通知属性表查询模块 503; 以及向映射平面 510 转发报文或发送查询请求，其中携带源端主机属性及目的端主机身份标识；向所述映射平面 510发送查询请求时，还设置成接收所述映射平面 510发送的查询结果，若查询到目的端主机的映射关系，则根据查询结果转发报文，否则通信失败；还设置成在映射关系变动时，向所述映射平面 510发送注册或注销请求；所述属性表 502设置成：保存端主机与其属性的对应关系；所述属性表查询模块 503 , 与所述第一收发模块 501、属性表 502连接，用于根据所述源端主机身份标识查询所述属性表 502, 获得源端主机属性，并通知所述第一收发模块 501 ; 所述映射平面 510包括第二收发模块 511、映射数据库 512、数据库查询模块 513及维护模块 514, 其中：所述第二收发模块 511设置成：接收所述 ASN500转发的报文或发送的查询请求，并通知数据库查询模块 513;接收到查询请求时，则向所述 ASN500 发送查询结果；接收到转发报文时，若查询到目的端主机的映射关系，则根据查询结果转发报文，否则通信失败；还设置成接收所述 ASN500的注册或注销请求；所述映射数据库 512设置成：保存 VPN专用映射表和普通映射表，所述

VPN专用映射表包括同一 VPN网络的 VPN端主机身份标识与位置标识的映射关系；所述普通映射表包括普通端主机身份标识与位置标识的映射关系；所述数据库查询模块 513，与所述第二收发模块 511及映射数据库 512 连接，设置成根据目的端主机身份标识查询与源端主机属性一致的 VPN专用映射表或普通映射表，还用于将查询结果通知所述第二收发模块 511。对于仅有一个 VPN专用映射表的情形，所述属性指端主机是否属于 VPN 端主机，若源端主机的属性表明所述源端主机是 VPN端主机，则映射平面的数据库查询模块查询所述 VPN专用映射表，否则查询所述普通映射表。对于有多个 VPN专用映射表的情形，不同的 VPN专用映射表对应不同的 VPN网絡，具有不同的 VPN标识；所述属性指端主机是否属于 VPN端主机，以及属于 VPN端主机时，所属的 VPN标识；若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面的数据库查询模块 513查询对应 VPN标识的 VPN专用映射表，否则查询所述普通映射表。维护模块 514，与所述映射平面的第二收发模块 511、普通映射表及 VPN 专用映射表（即映射数据库 512 ) 连接，设置成根据 ASN500的注册或注销请求，增加或删除所述普通映射表或 VPN专用映射表中的映射关系。本发明通过在身份位置分离网络的映射平面保存 VPN的 VPN专用映射表，并根据该 VPN专用映射表确定是否实现 VPN内的 VPN端主机用户之间的通信，从而在身份位置分离网络中很有效地实现了虚拟专用网，满足了用户对虚拟专用网的需求，消除了身份和位置分离的技术方案对传统 VPN业务的影响，减少对实施 VPN对现有设备和软件的改动，特别是对运营商实施的 VPN解决方案（PP - VPN ) , 本发明的方法是通过映射平面来实现的，属于运营商实施的 VPN解决方案的一种。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。尽管本发明结合特定实施例进行了描述，但是对于本领域的技术人员来说，可以在不背离本发明的精神或范围的情况下进行修改和变化。这样的修改和变化被视作在本发明的范围和附加的权利要求书范围之内。

工业实用性本发明提供一种虚拟专用网络的实现方法及系统，通过在身份位置分离网络的映射平面保存 VPN的 VPN专用映射表，并根据该 VPN专用映射表确定是否实现 VPN内的 VPN端主机用户之间的通信，从而在身份位置分离网络中很有效地实现了虚拟专用网，满足了用户对虚拟专用网的需求，消除了身份和位置分离的技术方案对传统 VPN业务的影响，减少对实施 VPN对现有设备和软件的改动。

Claims

权利要求书

1、一种虚拟专用网络（VPN ) 的实现方法，其特征在于：所述 VPN基于身份位置分离网络实现，该方法包括：身份位置分离网络的映射平面设置 VPN的 VPN专用映射表和普通映射表，所述 VPN专用映射表包括同一 VPN的 VPN端主机身份标识与位置标识的映射关系；所述普通映射表包括普通端主机身份标识与位置标识的映射关系；

所述映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN专用映射表或普通映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源端主机与目的端主机之间的通信，若没有查询到目的端主机的映射关系，则通信失败。

2、如权利要求 1所述的方法，其中：所述属性表明端主机是否属于 VPN端主机；在所述映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN专用映射表或普通映射表的步骤中，若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面查询所述 VPN专用映射表；若源端主机的属性表明所述源端主机不是 VPN端主机，则所述映射平面查询所述普通映射表。

3、如权利要求 1所述的方法，其中：所述映射平面包括多个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN , 具有不同的 VPN标识；所述属性表明端主机是否属于 VPN端主机，以及属于 VPN端主机时，所属的 VPN标识；在所述映射平面根据目的端主机身份标识查询与源端主机属性一致的 VPN专用映射表或普通映射表的步骤中，若源端主机的属性表明所述源端主机是 VPN端主机，则所述映射平面查询对应 VPN标识的 VPN专用映射表；若源端主机的属性表明所述源端主机不是 VPN端主机，则所述映射平面查询所述普通映射表。

4、如权利要求 1至 3中任一项所述的方法，其中：在所述映射平面根据目的端主机身份标识查询与源端主机属性一致的

VPN专用映射表或普通映射表的步骤之前，所述方法还包括：接入业务节点 (ASN)接收源端主机发送的报文，其中携带源端主机身份标识和目的端主机身份标识；所述 ASN根据源端主机身份标识查询属性表，获得源端主机属性，并向映射平面转发报文或发送查询请求，其中携带源端主机属性及目的端主机身份标识；在身份位置分离网络实现源端主机与目的端主机之间的通信的步骤中，所述 ASN 或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信。

5、如权利要求 4所述的方法，其中：在所述 ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信的步骤之后，所述方法还包括：所述目的接入业务节点接收所述报文并转发给目的端主机的同时，将源端主机身份标识和位置标识的映射关系以及源端主机的 VPN 属性记录在本地映射表；目的接入业务节点接收所述目的端主机回送的报文后，查询本地映射表，判断源端主机与目的端主机的属性一致时，直接进行报文转发。

6、一种虚拟专用网络（ VPN ) 的实现方法，其特征在于：所述 VPN基于身份位置分离网络实现，该方法包括：身份位置分离网络的映射平面设置 VPN专用映射表，所述 VPN专用映射表包括同一 VPN的 VPN端主机身份标识与位置标识的映射关系；所述映射平面查询所述 VPN专用映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源端主机与目的端主机之间的通信，若没有查询到目的端主机的映射关系，则通信失败。

7、如权利要求 6所述的方法，其中：所述映射平面同时设置多个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN , 具有不同的 VPN标识；所述映射平面根据目的端主机身份标识查询与源端主机 VPN 标识一致的 VPN专用映射表，若查询到目的端主机的映射关系，则身份位置分离网络实现源端主机与目的端主机之间的通信，若没有查询到目的端主机的映射关系，则通信失败。

8、如权利要求 7所述的方法，其中：在所述映射平面根据目的端主机身份标识查询与源端主机 VPN 标识一致的 VPN专用映射表的步骤之前，所述方法还包括：接入业务节点 (ASN)接收源端主机发送的报文，其中携带源端主机身份标识和目的端主机身份标识；所述 ASN根据源端主机身份标识查询设置的属性表，获得源端主机属性，并向映射平面转发报文或发送查询请求，其中携带源端主机属性及目的端主机身份标识；在身份位置分离网络实现源端主机与目的端主机之间的通信的步骤中，所述 ASN 或映射平面向所述目的位置标识对应的目的接入业务节点转发才艮文实现通信。

9、如权利要求 8所述的方法，其中：在所述 ASN或映射平面向所述目的位置标识对应的目的接入业务节点转发报文实现通信的步骤之后，所述方法还包括：

所述目的接入业务节点接收所述报文并转发给目的端主机的同时，将源端主机身份标识和位置标识的映射关系以及源端主机的 VPN 属性记录在本地映射表；目的接入业务节点接收所述目的端主机回送的报文后，查询本地映射表，判断源端主机与目的端主机的属性一致时，直接进行报文转发。

10、一种虚拟专用网络（VPN ) 的实现系统，其中，所述系统基于身份位置分离架构网络实现，包括通过网络连接的业务接入节点（ASN ) 和映射平面，所述 ASN，包括第一收发模块、属性表及属性表查询模块，其中：所述第一收发模块设置成：接收源端主机发送的报文，其中携带源端主机身份标识和目的端主机身份标识，并通知属性表查询模块；以及向映射平面转发报文或发送查询请求，其中携带源端主机属性及目的端主机身份标识；向所述映射平面发送查询请求时，还设置成接收所述映射平面发送的查询结果，若查询到目的端主机的映射关系，则根据查询结果转发报文，若没有查询到目的端主机的映射关系，则通信失败；所述属性表设置成：保存端主机与其属性的对应关系；所述属性表查询模块，与所述第一收发模块、属性表连接，设置成根据所述源端主机身份标识查询所述属性表，获得源端主机属性，并通知所述第一收发模块；所述映射平面包括第二收发模块、映射数据库及数据库查询模块，其中：所述第二收发模块设置成：接收所述 ASN转发的报文或发送的查询请求，并通知数据库查询模块；接收到查询请求时，还设置成向所述 ASN发送查询结果；接收到转发报文时，若查询到目的端主机的映射关系，则根据查询结果转发报文，若没有查询到目的端主机的映射关系，则通信失败；所述映射数据库设置成：保存 VPN专用映射表和普通映射表，所述 VPN 专用映射表包括同一 VPN的 VPN端主机身份标识与位置标识的映射关系；所述普通映射表包括普通端主机身份标识与位置标识的映射关系；所述数据库查询模块，与所述第二收发模块及映射数据库连接，设置成根据目的端主机身份标识查询与源端主机属性一致的 VPN 专用映射表或普通映射表，并将查询结果通知所述第二收发模块。

11、如权利要求 10所述的系统，其中：所述属性表明端主机是否属于 VPN端主机；所述映射平面的数据库查询模块是设置成：若源端主机的属性表明所述源端主机是 VPN端主机，则查询所述 VPN专用映射表；若源端主机的属性表明所述源端主机不是 VPN端主机，则查询所述普通映射表。

12、如权利要求 10所述的系统，其中：所述映射平面的映射数据库包括多个 VPN专用映射表，不同的 VPN专用映射表对应不同的 VPN, 具有不同的 VPN标识；所述属性表明端主机是否属于 VPN端主机，以及属于 VPN端主机时，所属的 VPN标识；所述映射平面的数据库查询模块是设置成：若源端主机的属性表明所述源端主机是 VPN端主机，则查询对应 VPN标识的 VPN专用映射表；若源端主机的属性表明所述源端主机不是 VPN端主机，则查询所述普通映射表。