WO2011103840A2

WO2011103840A2 - 虚拟私云的连接方法及隧道代理服务器

Info

Publication number: WO2011103840A2
Application number: PCT/CN2011/072990
Authority: WO
Inventors: 于德雷
Original assignee: 华为技术有限公司
Priority date: 2011-04-19
Filing date: 2011-04-19
Publication date: 2011-09-01
Also published as: CN102845123A; WO2011103840A3; CN102845123B

Description

虚拟私云的连接方法及 P遂道代理服务器

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种虚拟私云的连接方法及隧道代理服务器。背景技术

现有技术中，云服务提供商可以提供一种虚拟私云服务，这种虚拟私云服务允许用户通过登陆云服务提供商的网站，申请一系列虚拟主机，这些虚拟主机互相连接起来，作为一个虚拟私云（ Virtual Private Cloud, 简称为：

VPC ) 站点（Site ) 。云服务提供商还允许用户将自己的私有站点通过互联网与上述 VPC站点连接起来以进行彼此之间的通信。

其中，用户的私有站点与 VPC站点使用的是私网互联网协议（ Internet

Protocol, 简称为： IP ) 地址，而互联网使用的是公网 IP地址。使用私网 IP 地址的站点内任意两个 IP地址之间是可以通信的，但是私网 IP 艮文无法在公网内寻址（addressing ) , 用户的私有站点与 VPC站点之间无法通过互联网通信。这时可以在私有站点和 VPC站点上分别设一个网关，这两个网关具有公网 IP地址，可以通过公网彼此通信，在两个网关之间建立隧道，将私网

IP报文封装到公网 IP报文中实现两个站点之间的通信。

公网 IP地址是非常宝贵的，如果为了建立私有站点与 VPC站点之间的通信，每一个用户都要去设置网关并申请公网 IP地址的话，耗资巨大而且是对公网 IP地址的一种浪费。发明内容

本发明实施例提供一种虚拟私云的连接方法及隧道代理服务器，用以解决现有技术中每个用户站点均需独立设置网关、申请公网 IP地址，系统复杂，并造成公网 IP地址的不必要浪费。

本发明实施例提供一种虚拟私云的连接方法，包括：

隧道代理服务器接收用户站点发送的虚拟私云连接请求，所述虚拟私云连接请求包括所述用户站点的身份标识 ID, 以及待连接的对端网关的公网互联网协议 IP地址；

所述隧道代理服务器向与所述用户站点的 ID相对应的本端网关发送携带所述待连接的对端网关的公网 IP地址的隧道建立请求，以使所述本端网关根据所述对端网关的公网 IP地址建立向所述对端网关的隧道，所述隧道用于所述用户站点通过所述隧道与虚拟私云连接。

本发明实施例提供一种隧道代理服务器，包括：

接收器，用于接收用户站点发送的虚拟私云连接请求，所述虚拟私云连接请求包括所述用户站点的身份标识 ID , 以及待连接的对端网关的公网互联网协议 IP地址；

发送器，用于向与所述用户站点的 ID相对应的本端网关发送携带所述待连接的对端网关的公网 IP地址的隧道建立请求，以使所述本端网关根据所述对端网关的公网 IP地址建立向所述对端网关的隧道，所述隧道用于所述用户站点通过所述隧道与虚拟私云连接。

本发明实施例的虚拟私云的连接方法及隧道代理服务器，通过设置在网络运营商处的隧道代理服务器管理用户站点申请建立其对应的网络运营商的网关与虚拟私云服务提供商的网关之间的隧道，使得用户站点不必自行设置网关并申请公网 IP地址，而是使用其对应的网络运营商的网关及其公网 IP地址建立与虚拟私云服务提供商的网关之间的隧道连接，从而可以与虚拟私云进行通信。简化了系统，节约了公网 IP地址。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明一个实施例提供的虚拟私云的连接方法流程图；

图 2为本发明另一个实施例提供的虚拟私云的连接方法交互流程图；图 3为本发明一个实施例提供的隧道代理服务器的结构示意图。具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明实施例提供的虚拟私云的连接方法可以但不限于应用于如下所述的场景：用户站点通过网络运营商提供的网关接入互联网，虚拟私云服务提供商的网关与网络运营商提供的网关之间可以通过公网 IP地址彼此寻址。

图 1为本发明一个实施例提供的虚拟私云的连接方法流程图，如图 1所示，该方法包括：

步骤 101 : 隧道代理服务器接收用户站点发送的虚拟私云连接请求。

其中，虚拟私云连接请求中包括用户站点的身份标识（Identity, 简称为： ID ) 以及待连接的对端网关的公网 IP地址。其中的用户站点的 ID用于标识发送虚拟私云连接请求的用户站点，可以是用户站点的名称、编号、序列号等信息。待连接的对端网关的公网 IP地址用于唯一标识待连接的对端网关。可选的，本端网关的公网 IP地址可以是用户站点自对端的隧道代理服务器获取的。例如，在步骤 101之前，用户站点向对端的隧道代理服务器发送网关的公网 IP地址的获得请求，该获得请求中携带用户站点的 ID, 对端的隧道代理服务器根据用户站点的 ID, 向所述用户站点返回与用户站点的 ID对应的对端网关的公网 IP地址。又如，在步骤 101 之前，用户站点向对端的隧道代理服务器发送虚拟私云连接请求，该虚拟私云连接请求中携带用户站点的 ID, 对端的隧道代理服务器根据用户站点的 ID ,向所述用户站点返回与用户站点的 ID对应的对端网关的公网 IP地址。

这里需要说明的是，隧道代理服务器既可以为网络运营商（ Network Service Provider, 简称为： NSP ) 的隧道代理服务器，也可以为虚拟私云服务提供商的隧道代理服务器。当隧道代理服务器为网络运营商的隧道代理服务器时，本端网关为网络运营商的网关，对端网关为虚拟私云服务提供商的网关。当隧道代理服务器为虚拟私云服务提供商的隧道代理服务器时，本端网关为虚拟私云服务提供商的网关，对端网关为网络运营商的网关。网络运营商的网关可以有一个或者多个，虚拟私云服务提供商的网关可以有一个或者多个。某一个用户站点与网关之间可以存在一对一、一对多或者多对一的关系。优选的，多个用户站点对应于一个网关，可以节约公网 IP地址。

步骤 102: 隧道代理服务器根据虚拟私云连接请求向用户站点的 ID对应的本端网关发送携带有待连接的对端网关的公网 IP地址的隧道建立请求，以使本端网关根据上述对端网关的公网 IP地址建立向对端网关的隧道，该隧道用于用户站点通过该隧道与虚拟私云连接。

当隧道代理服务器为网络运营商的隧道代理服务器时，该隧道代理服务器向用户站点的 ID对应的本端网关发送隧道建立请求。换言之，用户站点的 ID 与网络运营商的网关之间存在对应关系，隧道代理服务器根据用户站点的 ID, 在对应关系中获得相应的本端网关，并将携带有对端网关的公网 IP地址的隧道建立请求发送给该相应的本端网关。上述用户站点的 ID与网络运营商的网关之间的对应关系可以保存在网络运营商的隧道代理服务器上，也可以由网络运营商的隧道代理服务器从其他网络设备获得。

当隧道代理服务器为虚拟私云服务提供商的隧道代理服务器时，该隧道代理服务器向用户站点的 ID对应的本端网关发送隧道建立请求。换言之，用户站点的 ID与虚拟私云服务提供商的网关之间存在对应关系，隧道代理服务器根据用户站点的 ID, 在对应关系中获得相应的本端网关，并将携带有对端网关的公网 IP地址的隧道建立请求发送给该相应的本端网关。上述用户站点的 ID与虚拟私云服务提供商的网关之间的对应关系可以保存在虚拟私云服务提供商的隧道代理服务器上，也可以由虚拟私云服务提供商的隧道代理服务器从其他网络设备处获得。

本发明实施例的虚拟私云的连接方法，通过设置在网络运营商处的隧道代理服务器管理用户站点申请建立其对应的网络运营商的网关与虚拟私云服务提供商的网关之间的隧道，使得用户站点不必自行设置网关并申请公网 IP地址，而是使用其所属网络运营商的网关及其公网 IP地址建立与虚拟私云服务提供商的网关之间的隧道连接，从而可以与虚拟私云进行通信。

图 2 为本发明另一个实施例提供的虚拟私云的连接方法交互流程图，该实施例为图 1所示实施例的一种具体应用场景。如图 2所示，该方法包括：

步骤 201：网络运营商的隧道代理服务器接收用户站点发送的虚拟私云连接请求。

该虚拟私云连接请求中包括用户站点的 ID , 以及待连接的虚拟私云服务提供商的网关的公网 IP地址。其中，虚拟私云服务提供商的网关的公网 IP地址，用户站点可以通过如下方式获得：

若步骤 201先于步骤 204执行，用户站点向虚拟私云服务提供商的隧道代理服务器发送网关的公网 IP地址的获得请求，获得请求中携带用户站点的 ID, 由虚拟私云服务提供商的隧道代理服务器根据用户站点的 ID将对应的网关的公网 IP地址返回给用户站点。

若步骤 204先于步骤 201执行，则在步骤 204之后，虚拟私云服务提供商的隧道代理服务器根据用户站点的 ID获得对应的虚拟私云服务提供商的网关的公网 IP地址，将该用户站点对应的虚拟私云服务提供商的网关的公网 IP地址反馈给用户站点。当然，这种情况下也可以釆用发送网关的公网 IP地址的获得请求的方式获取虚拟私云服务提供商的网关的公网 IP地址。

用户站点可以由多个用户设备组成。虚拟私云连接请求可以是用户站点中的用户设备自动发送的，也可以是用户站点中的用户设备根据用户的操作发送的。

步骤 202: 网络运营商的隧道代理服务器根据用户站点的 ID、以及用户站点的 ID与网络运营商的网关的对应关系，向对应的本端网关发送隧道建立请求。

该隧道建立请求中携带虚拟私云服务提供商的网关的公网 IP地址。本端网关为网络运营商的网关。网络运营商的隧道代理服务器中可以预设用户站点的 ID与网络运营商的网关之间的对应关系，根据用户站点的 ID可以直接获得其对应的网络运营商的网关的公网 IP地址。如表 1所示的内容：

表 1

上述对应关系也可以由网络运营商的隧道代理服务器从其他网络设备处获付。

步骤 203: 网络运营商的网关接收到网络运营商的隧道代理服务器发送的隧道建立请求，根据隧道建立请求中携带的虚拟私云服务提供商的网关的公网 IP 地址，创建一个网络运营商的网关向虚拟私云服务提供商的网关的隧道。

一种可选的实施方式下，网关建立了隧道之后，还可以保存隧道的 ID与用户站点之间的对应关系。用户站点与网关之间可以发送私网 IP报文，当一个网关为多个用户站点提供服务时，多个用户站点的私网 IP报文的地址可能是相同的。当网关收到一个从用户站点的 ID为 Sitel的用户站点发送的私网 IP 文时，将其封装到一个公网 IP报文中，该隧道 ID为隧道 1。当收到一个公网 IP报文时，去掉公网 IP报文头，得到私网 IP报文。并根据公网 IP报文头得到隧道 ID 为隧道 1 , 把私网 IP报文发送到用户站点的 ID为 Sitel的用户站点上。有效解决了上述可能存在的问题。当然还可以将隧道的 ID与用户站点之间的对应关系保存在隧道代理服务器上。

可扩展的实施方式下，用户站点发送给网络运营商的隧道代理服务器的虚拟私云连接请求中还可以包括服务质量 QoS参数，该参数可以为隧道流量限制、隧道带宽限制等等，以保障服务质量。当虚拟私云连接请求中携带 QoS参数时，网络运营商的隧道代理服务器会指示本端网关为用户站点提供相应的服务。

步骤 204:虚拟私云服务提供商的隧道代理服务器接收用户站点发送的虚拟私云连接请求。

该虚拟私云连接请求中包括用户站点的 ID、以及待连接的网络运营商的网关的公网 IP地址。用户站点在虚拟私云服务提供商处的 ID可能与在网络运营商处的 ID是彼此不同的，在发送虚拟私云连接请求时，如果该虚拟私云连接请求是发送给虚拟私云服务提供商的，携带的用户站点的 ID为虚拟私云服务提供商处标识该用户站点的 ID, 如果该虚拟私云连接请求发送给网络运营商的，携带的用户站点的 ID为网络运营商处标识该用户站点的 ID。其中，网络运营商的网关的公网 IP地址，用户站点可以通过如下方式获得：

若步骤 201先于步骤 204执行，网络运营商的隧道代理服务器在根据用户站点的 ID获得对应的网络运营商的网关的公网 IP地址后，将该用户站点对应的网络运营商的网关的公网 IP地址反馈给用户站点。当然，这种情况下也可以釆用下述的，发送网关的公网 IP地址的获得请求的方式获取网络运营商的网关的公网 IP地址。

若步骤 204先于步骤 201执行，则用户站点发送网关的公网 IP地址的获得请求给网络运营商的隧道代理服务器，获得请求中携带用户站点的 ID, 网络运营商的隧道代理服务器根据接收到的获得请求，根据用户站点的 ID, 在用户站点与网关之间的对应关系中获得用户站点对应的网络运营商的网关的公网 IP地址，并反馈给用户站点。

步骤 205: 虚拟私云服务提供商的隧道代理服务器根据用户站点的 ID, 以及用户站点的 ID与虚拟私云月良务提供商的网关的对应关系，向对应的本端网关发送隧道建立请求。

该隧道建立请求中携带网络运营商的网关的公网 IP地址。本端网关为虚拟私云服务提供商的网关。虚拟私云服务提供商的隧道代理服务器中可以预设用户站点的 ID与虚拟私云服务提供商的网关之间的对应关系，根据用户站点的 ID 可以直接获得其对应的虚拟私云服务提供商的网关的公网 IP地址，如表 2所示的内容：

表 2

上述对应关系也可以由虚拟私云服务提供商的隧道代理服务器从其他网络设备处获得。

步骤 206:虚拟私云服务提供商的网关接收到虚拟私云服务提供商的隧道代理服务器的隧道建立请求，根据隧道建立请求中携带的网络运营商的网关的公网 IP地址，创建一个虚拟私云服务提供商的网关向网络运营商的网关的隧道。

本发明实施例的虚拟私云的连接方法，通过设置在网络运营商处的隧道代理服务器管理用户站点申请建立其所属的网络运营商的网关与虚拟私云服务提供商的网关之间的隧道，使得用户站点不必自行设置网关并申请公网 IP地址，而是使用其所属网络运营商的网关及其公网 IP地址建立与虚拟私云服务提供商的网关之间的隧道连接，从而可以与虚拟私云进行通信。多个用户站点可以共用一个网关，共用一个公网 IP地址，每个用户站点不需要单独拥有公网 IP地址，避免了公网 IP地址的浪费。

图 3为本发明一个实施例提供的隧道代理服务器的结构示意图，如图 3所示，该隧道代理服务器包括：接收器 301和发送器 302。其中，接收器 301用于接收用户站点发送的虚拟私云连接请求，虚拟私云连接请求包括用户站点的身份标识 ID , 以及待连接的对端网关的公网互联网协议 IP地址；其中的用户站点的 ID用于标识发送虚拟私云连接请求的用户站点，可以是用户站点的名称、编号、序列号等信息。待连接的对端网关的公网 IP地址用于唯一标识待连接的对端网关。发送器 302用于向本端网关发送携带有对端网关的公网 IP地址的隧道建立请求，以使本端网关根据对端网关的公网 IP地址建立向对端网关的隧道，隧道用于用户站点通过隧道与虚拟私云连接。

一种实施方式下，在上述实施方式的基础上，该隧道代理服务器还可以包括： IP获得模块；该 IP获得模块用于在接收到用户站点发送携带用户站点的 ID 的网关的公网 IP地址的获得请求后，向用户站点返回用户站点的 ID对应的本端网关的公网 IP地址。

另一种实施方式下，在上述实施方式的基础上，该隧道代理服务器的发送器 302还可以用于：向用户站点返回与用户站点的 ID对应的本端网关的公网 IP 地址。

一种实施方式下，隧道代理服务器为网络运营商的隧道代理服务器，本端网关为网络运营商的网关，对端网关为虚拟私云服务提供商的网关。另一种实施方式下，该隧道代理服务器为虚拟私云服务提供商的隧道代理服务器，本端网关为虚拟私云服务提供商的网关，对端网关为网络运营商的网关。网络运营商的网关可以有一个或者多个，虚拟私云服务提供商的网关可以有一个或者多个。某一个用户站点与网关之间可以存在一对一、一对多或者多对一的关系。优选的，多个用户站点对应于一个网关，可以节约公网 IP地址。隧道代理月良务器中可以预设用户站点的 ID与网关之间的对应关系，根据用户站点的 ID可以直接获得其对应的网关的公网 IP地址。如表 3所示的内容:

表 3

上述对应关系也可以由虚拟私云服务提供商 /网络运营商的隧道代理服务器从其他网络设备处获得。

在上述实施方式的基础上，隧道代理服务器为网络运营商的隧道代理服务器，本端网关为网络运营商的网关，该接收器 301 接收到的虚拟私云连接请求中还可以包括： QoS 参数。相应的，隧道代理服务器还可以包括：指示模块，用于指示本端网关根据该 QoS参数为用户站点提供相应的服务。

一种可选的实施方式下，网关建立了隧道之后，还可以保存隧道的 ID与用户站点之间的对应关系。用户站点与网关之间可以发送私网 IP 艮文，当一个网关为多个用户站点提供服务时，多个用户站点的私网 IP报文的地址可能是相同的。当网关收到一个从用户站点的 ID为 Sitel的用户站点发送的私网 IP 文时，将其封装到一个公网 IP报文中，该隧道 ID为隧道 1。当收到一个公网 IP报文时，去掉公网 IP报文头，得到私网 IP报文。并根据公网 IP报文头得到隧道 ID 为隧道 1 , 4巴私网 IP 艮文发送到用户站点的 ID为 Site 1的用户站点上。有效解决了上述可能存在的问题。当然还可以将隧道的 ID与用户站点之间的对应关系保存在隧道代理服务器上。

本发明实施例的隧道代理服务器，通过设置在网络运营商处的隧道代理服务器管理用户站点申请建立其所属的网络运营商的网关与虚拟私云服务提供商的网关之间的隧道，使得用户站点不必自行设置网关并申请公网 IP地址，而是使用其所属网络运营商的网关及其公网 IP地址建立与虚拟私云服务提供商的网关之间的隧道连接，从而可以与虚拟私云进行通信。多个用户站点可以共用一个网关，共用一个公网 IP地址，每个用户站点不需要单独拥有公网 IP地址，避免了公网 IP地址的浪费。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求

1、一种虚拟私云的连接方法，其特征在于，包括：

所述隧道代理服务器根据所述虚拟私云连接请求向与所述用户站点的 ID 相对应的本端网关发送携带所述待连接的对端网关的公网 IP 地址的隧道建立请求，以使所述本端网关根据所述对端网关的公网 IP地址建立向所述对端网关的隧道，所述隧道用于所述用户站点通过所述隧道与虚拟私云连接。

2、根据权利要求 1所述的方法，其特征在于，所述待连接的对端网关的公网 IP地址为，对端的隧道代理服务器在接收到用户站点发送的携带用户站点的 ID的网关的公网 IP地址的获得请求后，向所述用户站点返回的与所述用户站点的 ID对应的对端网关的公网 IP地址。

3、根据权利要求 1所述的方法，其特征在于，所述待连接的对端网关的公网 IP地址为，对端的隧道代理服务器在接收到用户站点发送的携带用户站点的

ID的虚拟私云连接请求后，向所述用户站点返回的与所述用户站点的 ID对应的对端网关的公网 IP地址。

4、根据权利要求 1所述的方法，其特征在于，所述隧道代理服务器为网络运营商的隧道代理服务器，所述本端网关为网络运营商的网关，所述虚拟私云连接请求中还包括：服务质量 QoS参数；

相应的，所述本端网关根据所述对端网关的公网 IP地址建立向所述对端网关的隧道之后，所述方法还包括：

所述隧道代理服务器指示所述本端网关根据所述 QoS参数为所述用户站点提供相应的服务。

5、根据权利要求 1至 3任一所述的方法，其特征在于，所述隧道代理服务器为网络运营商的隧道代理服务器，所述本端网关为网络运营商的网关，所述对端网关为虚拟私云服务提供商的网关；或者，所述隧道代理服务器为虚拟私云服务提供商的隧道代理服务器，所述本端网关为虚拟私云服务提供商的网关，所述对端网关为网络运营商的网关。

6、一种隧道代理服务器，其特征在于，包括：

7、根据权利要求 6所述的隧道代理服务器，其特征在于，还包括： IP地址获得模块，用于在接收到所述用户站点发送的携带用户站点的 ID的网关的公网 IP地址的获得请求后，向所述用户站点返回与所述用户站点的 ID对应的本端网关的公网 IP地址。

8、根据权利要求 6所述的隧道代理服务器，其特征在于，所述发送器还用于：向所述用户站点返回与所述用户站点的 ID对应的本端网关的公网 IP地址。

9、根据权利要求 6所述的隧道代理服务器，其特征在于，所述隧道代理服务器为网络运营商的隧道代理服务器，所述本端网关为网络运营商的网关，所述接收器接收到的虚拟私云连接请求中还包括：服务质量 QoS参数；

相应的，所述隧道代理服务器还包括：指示模块，用于指示所述本端网关根据所述 QoS参数为所述用户站点提供相应的服务。

10、根据权利要求 6至 8中任一所述的隧道代理服务器，其特征在于，所述隧道代理服务器为网络运营商的隧道代理服务器，所述本端网关为网络运营商的网关，所述对端网关为虚拟私云服务提供商的网关；

或者，所述隧道代理服务器为虚拟私云服务提供商的隧道代理服务器，所述本端网关为虚拟私云服务提供商的网关，所述对端网关为网络运营商的网关。