WO2012094884A1 - 提高虚拟专用网中业务可靠性的方法及系统、接入装置 - Google Patents

Description

提高虚拟专用网中业务可靠性的方法及系统、 接入装置 技术领域

本发明涉及虚拟专用网 （VPN, Virtual Private Network )中宽带网络网 关宽带网络网关 （BNG, Broadband Network Gateway ) 的冗余技术， 尤其 涉及一种提高虚拟专用网 （VPN, Virtual Private Network )中业务可靠性的 方法及系统， 以及， 虚拟专用网中的接入装置。 背景技术

在传统的企业网络配置中， 要进行异地局域网之间的互连， 传统的方 法是租用数字数据网 （DDN, Digital Data Network )专线或帧中继， 这样的 通讯方案必然导致高昂的网络通讯 /维护费用。 虚拟专用网指的是依靠 Internet服务提供商（ ISP, Internet Service Provider )和其它网络服务提供商

( NSP, Network Service Provider ),在公用网络中建立专用的数据通信网络 的技术。 在虚拟专用网中， 任意两个节点之间的连接并没有传统专网所需 的端到端的物理链路， 而是利用某种公众网的资源动态组成。 因特网工程 任务组（IETF, Internet Engineering Task Force )将基于因特网协议 ( IP, Internet Protocol ) 的虚拟专用网 （ VPN, Virtual Private Network )定义为：

"使用 IP机制仿真出一个私有的广域网" 是通过私有的隧道技术在公共数 据网络上仿真一条点到点的专线技术。 所谓虚拟， 是指用户不再需要拥有 实际的长途数据线路， 而是使用 Internet公众数据网络的长途数据线路。 所 谓专用网络， 是指用户可以为自己制定一个最符合自己需求的网络。

对于移动办公人员与远端个人用户而言， 一般通过拨号方式接入就近 的运营商网关设备， 并进入企业的虚拟专用网， 该网关设备统称为宽带网 络网关（BNG, Broadband Network Gateway ), 包括宽带接入服务器（ B AS , Broadband Access Server )、宽带远程接入服务器（ BRAS , Broadband Remote Access Server ), 宽带网络接入服务器 （ BN AS , Broadband Network Access Server ), 二层隧道协议网络服务器 （LNS , L2TP Network Server )、 业务路 由器（SR, Service Router )、 LTE业务网关（ SGW, Serving Gateway )等设 备。 BNG在对用户的拨号请求进行认证、 授权之后， 将用户的路由加入该 用户对应的 VPN路由表中， 使该用户能够访问对应的 VPN网络。

VPN业务是运营商利润率较高的业务之一， 是需要重点保障高可靠性 的业务。 目前， 在三层 VPN网络中网络故障保护的手段有多种， 例如 VPN 快速重路由 （ FRR , Fast Reroute )等， 但在 VPN用户釆用拨号方式通过二 层网络接入 BNG的场景下， 目前 IETF并没有相应的标准。 现有技术中较 为可行的方式是设置两台 BNG并在两台 BNG间建立信息同步通道、 用以 同步 VPN用户信息， 包括用户路由、 服务质量（ QoS , Quality of Service ) 参数、 访问控制列表（ACL, Access Control List )、 策略路由等等， 同时在 两台 BNG上运营主备协商协议（如虚拟路由器冗余协议（VRRP, Virtual Router Redundancy Protocol )等）和快速检测机制（如双向路径检测（ BFD , Bidirectional Forwarding Detection )等）， 通过 BNG及时上下行链路的故障 快速检测来切换 BNG的主备状态， 以实现 VPN用户业务在故障情况下的 快速切换。备份 BNG需要在切换为主用状态后向上层网络刷新用户路由或 用户地址池路由， 在路由刷新生效之前上层网络发往用户的流量仍旧都发 往原主用 BNG, 产生短时间的流量中断。 当主用 BNG或其上行链路发生 故障时无法避免流量中断的问题， 而当主用 BNG下行链路故障发生时， 当 前的优化方案是主用 BNG将收到的从上层网络发往用户的流量转发到备用 BNG并经备用 BNG发往用户， 而 BNG可选是否向网络侧发布用户路由或 用户地址池路由， 即主用 BNG故障发生后的网络侧发往用户流量可以在路 由刷新之后改为直接经过备用 BNG发往用户或始终保持经主用 BNG、 备 用 BNG发往用户的方式转发。 这种主备 BNG间的用户流量转发的路径可 以釆用 BNG经上层网络的隧道（如通用路由封装（GRE, Generic Routing Encapsulation ) 隧道等）或 BNG间的直连物理链路。

为了实现在主备 BNG间基于隧道或直连链路的不同 VPN用户流量转 发， 目前釆用的方式是为每个 VPN配置静态路由， 即在每个 VPN的路由 表中加入一条隧道路由或直连路由作为默认路由，主用 BNG下行链路故障 导致用户路由不可达时， 通过默认路由将用户流量转发到备用 BNG, 但这 种方式配置维护复杂对维护人员要求较高且配置量大， 对每个 VPN都要单 独配置， 存在错配漏配的风险。 发明内容

有鉴于此， 本发明的主要目的在于提供一种提高虚拟专用网中业务可 靠性的方法及系统， 以及， 虚拟专用网中的接入装置， 能提高 VPN中的业 务可靠性， 保证了用户接入网络的成功率。

为达到上述目的， 本发明的技术方案是这样实现的：

一种提高虚拟专用网中业务可靠性的方法， 在 VPN 中设置主用 BNG 以及备用 BNG, 用户通过接入网络及主用 BNG接入 VPN; 所述方法包括： 在所述主用 BNG和所述备用 BNG之间备份 VPN用户信息；

所述备用 BNG根据 VPN用户信息生成 VPN用户的路由信息，并发送 给所述主用 BNG;

所述主用 BNG确认 VPN用户下行链路故障后，接收到 VPN用户的下 行流量时， 根据所述备用 BNG发布的 VPN用户路由信息， 将所述下行流 量发送给所述备用 BNG, 通过所述备用 BNG发送下行流量。

优选地，在所述主用 BNG和所述备用 BNG之间备份 VPN用户信息具 体为：

所述主用 BNG实时地、 或周期性地、 或确定自身的下行链路故障后， 将当前在线的 VPN用户信息发送给所述备用 BNG。

优选地， 所述主用 BNG确认自身下行链路故障后， 设置所接收到的所 述备用 BNG发布的 VPN用户路由信息的优先级， 高于自身本地的用户路 由信息的优先级。

优选地， 所述方法还包括：

所述备用 BNG转发所述主用 BNG的 VPN用户的下行流量时，向所述 VPN发布 VPN用户路由信息或 VPN用户地址池路由信息。

优选地， 所述方法还包括：

所述 VPN接收到所述备用 BNG发布的 VPN用户路由信息或 VPN用 户地址池路由信息后， 将所述下行流量发送给所述备用 BNG, 通过所述备 用 BNG直接发送 VPN用户的下行流量。

优选地， 所述备用 BNG通过多协议扩展边界网关协议 MG-BGP向所 述主用 BNG发布 VPN用户路由信息或 VPN用户地址池路由信息。

优选地，所述备用 BNG根据 VPN用户信息生成 VPN用户的路由信息 具体为：

所述备用 BNG根据所接收到的 VPN用户信息中的地址信息， 生成目 的地址为 VPN用户的地址的转发路由列表。

所述备用 BNG分别通过下层网络和 VPN网络、或下层网络和备用 BNG 与主用 BNG之间的直连链路， 与主用 BNG建立链路检测机制， 以区分主 用 BNG下行链路故障、 主用 BNG整机故障或主用设备上行链路故障。

一种提高虚拟专用网中业务可靠性的系统， 包括 VPN、 BNG和接入网 络， 其中， 用户通过接入网络以及 BNG接入到 VPN; 其特征在于， 所述系 统包括：

设置单元， 用于设置主用 BNG以及备用 BNG; 其中， 用户通过所述 接入网络及主用 BNG接入 VPN; 备份单元， 用于实现在所述主用 BNG和所述备用 BNG之间备份 VPN 用户信息；

备用 BNG, 用于根据 VPN用户信息生成 VPN用户的路由信息， 并发 送给所述主用 BNG;

主用 BNG, 用于确认 VPN用户下行链路故障后， 接收到 VPN用户的 下行流量时， 根据所述备用 BNG发布的 VPN用户路由信息， 将所述下行 流量发送给所述备用 BNG, 通过所述备用 BNG发送下行流量。

优选地， 所述主用 BNG还用于， 实时地、 或周期性地、 或确定自身的 下行链路故障后， 将当前在线的 VPN用户信息发送给所述备用 BNG。

优选地， 所述主用 BNG, 还用于在确认自身下行链路故障后， 设置所 接收到的所述备用 BNG发布的 VPN用户路由信息的优先级， 高于自身本 地的用户路由信息的优先级。

优选地， 所述备用 BNG还用于， 在转发所述主用 BNG的 VPN用户的 下行流量时， 向所述 VPN发布 VPN用户路由信息或 VPN用户地址池路由 信息。

优选地， 所述 VPN还用于， 在接收到所述备用 BNG发布的 VPN用户 路由信息或 VPN用户地址池路由信息后，通过所述备用 BNG直接发送 VPN 用户的下行流量。

一种虚拟专用网中的接入装置， 至少包括第一接入设备以及第二接入 设备； 所述第一接入设备以及所述第二接入设备之间实现 VPN用户信息的 备份；

第一接入设备， 用于根据 VPN用户信息生成 VPN用户的路由信息， 并发送给所述第二接入设备；

第二接入设备， 用于确认 VPN用户下行链路故障后， 接收到 VPN用 户的下行流量时， 根据所述第一接入设备发布的 VPN用户路由信息， 将所 述下行流量发送给所述第一接入设备， 通过所述第一接入设备发送下行流 量。

本发明釆用备用 BNG向主用 BNG发布用户 VPN路由的方式，以便在 主用 BNG的下行链路发生故障时， 用户的下行流量经由主用 BNG发往备 用 BNG, 并最终转发给 VPN用户， 从而实现了 VPN用户的业务连续性， 同时无需更改 VPN中的 VPN用户路由信息、 避免了路由震荡。 本发明中 设置的备用 BNG对用户不透明， 提升了用户体验。 附图说明

图 1为本发明提高虚拟专用网中业务可靠性的系统的结构示意图； 图 2为本发明实施例一的提高虚拟专用网中业务可靠性的方法的流程 图；

图 3 为本发明实施例二的提高虚拟专用网中业务可靠性的方法的流程 图。 具体实施方式

本发明实施例的基本思想为，釆用备用 BNG向主用 BNG发布用户 VPN 路由的方式， 以便在主用 BNG的下行链路发生故障时， 用户的下行流量经 由主用 BNG发往备用 BNG, 并最终转发给 VPN用户， 从而实现了 VPN 用户的业务连续性。

为使本发明的目的、 技术方案和优点更加清楚明白， 以下举实施例并 参照附图， 对本发明进一步详细说明。

图 1 为本发明提高虚拟专用网中业务可靠性的系统的结构示意图， 如 图 1所示，本发明提高虚拟专用网中业务可靠性的系统具体包括 VPN、BNG 和接入网络， 其中， 本发明中设置了主用 BNG以及备用 BNG, 用户通过 接入网络以及主用 BNG接入到 VPN, 主用 BNG和备用 BNG之间通过有 线或无线链路连接（为保证主用 BNG和备用 BNG之间的数据流量， 优选 使用有线线路连接）； 接入网络包括互联网等网络， 只要能实现与 BNG之 间的连接即可。 另外， 本发明提高虚拟专用网中业务可靠性的系统中还包 括设置单元以及备份单元等处理单元， 这些单元分布于系统中的相关网元 中， 并不限定这些处理单元的连接位置， 只要能实现本发明设定的相关功 能即可。

当主用 BNG以及备用 BNG之间的连接链路不足以支持 VPN到用户的 下行流量时，需要备用 BNG将自身存储的 VPN用户路由信息对 VPN公布， 由 VPN直接通过备用 BNG将发送给用户的下行流量发送给各用户。此时， 备用 BNG完全实现了主用 BNG的功能。

其中， 设置单元， 用于设置主用 BNG以及备用 BNG; 其中， 用户通 过所述接入网络及主用 BNG接入 VPN; 本发明中的设置单元，可通过相应 的主用及备用身 置的相关协议而实现对 BNG身份的配置。

备份单元，用于实现在主用 BNG和备用 BNG之间备份 VPN用户信息； 本发明中的备份单元只要能实现主用 BNG将通过自身接入 VPN的用户信 息发送给备用 BNG即可。

在本发明提高虚拟专用网中业务可靠性的系统中，备用 BNG以及主用 BNG执行下述功能。

备用 BNG, 用于根据 VPN用户信息生成 VPN用户的路由信息， 并发 送给所述主用 BNG;

主用 BNG, 用于确认 VPN用户下行链路故障后， 接收到 VPN用户的 下行流量时， 根据所述备用 BNG发布的 VPN用户路由信息， 将所述下行 流量发送给所述备用 BNG, 通过所述备用 BNG发送下行流量。

主用 BNG, 实时地、 或周期性地、 或确定自身的下行链路故障后， 将 当前在线的 VPN用户信息发送给备用 BNG。 需要说明的是， 本发明中， 主用 BNG只要在确认下行链路故障时或之 前将当前在线的 VPN用户信息同步到备用 BNG即可。 当然， 最好在确认 下行链路故障之前即实现备用 BNG、 主用 BNG之间的路由信息确认， 一 旦确认主用 BNG下行链路出现故障， 即可根据备用 BNG公布的路由信息 实现下行数据流的转发。

备用 BNG分别通过下层网络和 VPN网络、或下层网络和备用 BNG与 主用 BNG之间的直连链路， 与主用 BNG建立链路检测机制， 以区分主用 BNG下行链路故障、 主用 BNG整机故障或主用设备上行链路故障。

主用 BNG进一步确认自身下行链路故障后，设置所接收到的所述备用 BNG发布的 VPN用户路由信息的优先级，高于自身本地的用户路由信息的 优先级。

备用 BNG转发主用 BNG的 VPN用户的下行流量时，向 VPN发布 VPN 用户路由信息或 VPN用户地址池路由信息。

VPN,进一步在接收到备用 BNG发布的 VPN用户路由信息或 VPN用 户地址池路由信息后， 通过备用 BNG直接发送 VPN用户的下行流量。

备用 BNG 通过多协议扩展边界网关协议 ( BGP-Mp, Multi-protocol Extension for Border Gateway Protocol ) 向主用 BNG发布 VPN用户路由信 息或 VPN用户地址池路由信息。

备用 BNG根据所接收到的 VPN用户信息中的地址信息， 生成目的地 址为 VPN用户的地址的转发路由列表。

本领域技术人员应当理解， 本发明提高虚拟专用网中业务可靠性的系 统与现有网络结构的区别是增设了备用 BNG, 以下结合下述实施例， 进一 步阐明本发明技术方案的实质。

本发明还记载了一种虚拟专用网中的接入装置， 所述装置至少包括第 一接入设备以及第二接入设备； 所述第一接入设备以及所述第二接入设备 之间实现 VPN用户信息的备份；

第一接入设备， 用于根据 VPN用户信息生成 VPN用户的路由信息， 并发送给所述第二接入设备；

第二接入设备， 用于确认 VPN用户下行链路故障后， 接收到 VPN用 户的下行流量时， 根据所述第一接入设备发布的 VPN用户路由信息， 将所 述下行流量发送给所述第一接入设备， 通过所述第一接入设备发送下行流 量。

上述的第一接入设备的结构及其功能， 可参照本发明上文以及下文中 述及的备用 BNG的结构及其功能而理解， 第二接入设备的结构及其功能， 可参照本发明上文以及下文中述及的主用 BNG的结构及其功能而理解。这 里不再赘述。

实施例一

图 2为本发明实施例一的提高虚拟专用网中业务可靠性的方法的流程 图， 如图 2所示， 两台 BNG (主用 BNG和备用 BNG )之间以双向转发检 测 （BFD, Bidirectional Forwarding Detection )协议进行链路状态检测， 以 虚拟路由器冗余协议（ VRRP, Virtual Router Redundancy Protocol )协议进 行 BNG主备状态协商， 在主用设备与备用设备间进行用户信息备份， 其中 BNG1为主用设备， BNG2为备用设备。 本示例中， 备用 BNG在主用 BNG 的下行链路故障前对主用 BNG发布路由信息。本示例提高虚拟专用网中业 务可靠性的方法具体包括以下步骤：

步骤 201 , 在 BNG1 与 BNG2之间建立一个传输控制协议 ( TCP, Transmission Control Protocol )连接作为消息通道， 用以备份在线用户信息 (包括 VPN用户信息）；

步骤 202,分别在主备 BNG上运行 BFD协议，以检测主备 BNG之间、 BNG1设备与下层设备之间、 BNG2设备与下层设备之间、 两台 BNG与上 层网络设备之间的网络连通性；

步骤 203 , 在 BNG1与 BNG2之间运行 VRRP协议， 以协商 BNG1与 BNG2的主备状态， 配置 VRRP协议参数实现 BNG1为主用 BNG, BNG2 为备用 BNG。

步骤 204, BNG1通过上述消息通道将在线用户信息 （包括 VPN用户 信息）发送给 BNG2。

步骤 205 , BNG2根据 BNG1同步过来的 VPN用户信息，通过 MP-BGP 协议将 VPN用户的路由发送给向 BNG1。

步骤 206, BNG1通过 MP-BGP协议收到从 BNG2发来的路由之后， 将该路由作为用户的备份路由。

步骤 207 , 当 BNG1的下行链路故障时， BNG1上 VPN用户的主用路 由失效， BNG1匹配到上述用户备份路由， 将下行流量发送给 BNG2;

步骤 208, BNG2收到 BNG1发来的用户流量后，根据 BNG1同步过来 的用户信息， 将流量转发给对应的用户。

实施例二

图 3 为本发明实施例二的提高虚拟专用网中业务可靠性的方法的流程 图， 如图 3所示， 两台 BNG之间以 BFD协议进行链路状态检测， 以虚拟 路由器冗余协议（ VRRP, Virtual Router Redundancy Protocol )协议进行 BNG 主备状态协商， 在主用设备与备用设备间进行用户信息备份， 其中 BNG1 为主用设备， BNG2为备用设备。 本示例与上述示例的区别是， 备用 BNG 在主用 BNG的下行链路故障后对主用 BNG发布路由信息。 本示例提高虚 拟专用网中业务可靠性的方法具体包括以下步骤：

步骤 301 , 在 BNG1与 BNG2之间建立一个 TCP连接作为消息通道， 用以备份在线用户信息 （包括 VPN用户信息）；

步骤 302,分别在主备 BNG上运行 BFD协议，以检测主备 BNG之间、 BNGl设备与下层设备之间、 BNG2设备与下层设备之间、 两台 BNG与上 层网络设备之间的网络连通性。

步骤 303 , 在 BNG1与 BNG2之间运行 VRRP协议， 以协商 BNG1与 BNG2的主备状态， 配置 VRRP协议参数实现 BNG1为主用 BNG, BNG2 为备用 BNG。

步骤 304, BNG1通过上述消息通道将在线用户信息 （包括 VPN用户 信息）发送给 BNG2。

步骤 305 , 当 BNG1的下行链路故障时， BNG2根据 BNG1同步过来 的 VPN用户信息，通过 MP-BGP协议将 VPN用户的路由发送给向 BNG1。

步骤 306, BNG1通过 MP-BGP协议收到从 BNG2发来的路由之后， 将流量发送给 BNG2。

步骤 307, BNG2收到 BNG1发来的用户流量后，根据 BNG1同步过来 的用户信息， 将流量转发给对应的用户。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种提高虚拟专用网中业务可靠性的方法， 其特征在于， 在虚拟专 用网 VPN中设置主用宽带网络网关 BNG以及备用 BNG, 用户通过接入网 络及主用 BNG接入 VPN; 所述方法包括：

在所述主用 BNG和所述备用 BNG之间备份 VPN用户信息； 所述备用 BNG根据 VPN用户信息生成 VPN用户的路由信息， 并发送 给所述主用 BNG;

所述主用 BNG确认 VPN用户下行链路故障后，接收到 VPN用户的下 行流量时， 根据所述备用 BNG发布的 VPN用户路由信息， 将所述下行流 量发送给所述备用 BNG, 通过所述备用 BNG发送下行流量。

2、 根据权利要求 1所述的方法， 其特征在于， 在所述主用 BNG和所 述备用 BNG之间备份 VPN用户信息为：

所述主用 BNG实时地、 或周期性地、 或确定自身的下行链路故障后， 将当前在线的 VPN用户信息发送给所述备用 BNG。

3、 根据权利要求 1所述的方法， 其特征在于， 所述主用 BNG确认自 身下行链路故障后， 设置所接收到的所述备用 BNG发布的 VPN用户路由 信息的优先级， 高于自身本地的用户路由信息的优先级。

4、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 所述备用 BNG转发所述主用 BNG的 VPN用户的下行流量时，向所述 VPN发布 VPN用户路由信息或 VPN用户地址池路由信息。

5、 根据权利要求 4所述的方法， 其特征在于， 所述方法还包括： 所述 VPN接收到所述备用 BNG发布的 VPN用户路由信息或 VPN用 户地址池路由信息后， 将所述下行流量发送给所述备用 BNG, 通过所述备 用 BNG直接发送 VPN用户的下行流量。

6、 根据权利要求 4或 5所述的方法， 其特征在于， 所述备用 BNG通 过多协议扩展边界网关协议 MG-BGP向所述主用 BNG发布 VPN用户路由 信息或 VPN用户地址池路由信息。

7、根据权利要求 1所述的方法，其特征在于，所述备用 BNG根据 VPN 用户信息生成 VPN用户的路由信息为：

所述备用 BNG根据所接收到的 VPN用户信息中的地址信息， 生成目 的地址为 VPN用户的地址的转发路由列表。

8、 一种提高虚拟专用网中业务可靠性的系统， 所述系统包括 VPN、 BNG和接入网络， 其中， 用户通过接入网络以及 BNG接入到 VPN; 其特 征在于， 所述系统包括：

设置单元， 用于设置主用 BNG以及备用 BNG; 其中， 用户通过所述 接入网络及主用 BNG接入 VPN;

备份单元， 用于实现在所述主用 BNG和所述备用 BNG之间备份 VPN 用户信息；

备用 BNG, 用于根据 VPN用户信息生成 VPN用户的路由信息， 并发 送给所述主用 BNG;

主用 BNG, 用于确认 VPN用户下行链路故障后， 接收到 VPN用户的 下行流量时， 根据所述备用 BNG发布的 VPN用户路由信息， 将所述下行 流量发送给所述备用 BNG, 通过所述备用 BNG发送下行流量。

9、 根据权利要求 8所述的系统， 其特征在于， 所述主用 BNG还用于， 实时地、 或周期性地、 或确定自身的下行链路故障后， 将当前在线的 VPN 用户信息发送给所述备用 BNG。

10、 根据权利要求 8所述的系统， 其特征在于， 所述主用 BNG, 还用 于在确认自身下行链路故障后，设置所接收到的所述备用 BNG发布的 VPN 用户路由信息的优先级， 高于自身本地的用户路由信息的优先级。

11、根据权利要求 8所述的系统，其特征在于，所述备用 BNG还用于， 在转发所述主用 BNG的 VPN用户的下行流量时， 向所述 VPN发布 VPN 用户路由信息或 VPN用户地址池路由信息。

12、 根据权利要求 11所述的系统， 其特征在于， 所述 VPN还用于， 在接收到所述备用 BNG发布的 VPN用户路由信息或 VPN用户地址池路由 信息后， 通过所述备用 BNG直接发送 VPN用户的下行流量。

13、 一种虚拟专用网中的接入装置， 其特征在于， 所述装置至少包括 第一接入设备以及第二接入设备； 所述第一接入设备以及所述第二接入设 备之间实现 VPN用户信息的备份；

第一接入设备， 用于根据 VPN用户信息生成 VPN用户的路由信息， 并发送给所述第二接入设备；

第二接入设备， 用于确认 VPN用户下行链路故障后， 接收到 VPN用 户的下行流量时， 根据所述第一接入设备发布的 VPN用户路由信息， 将所 述下行流量发送给所述第一接入设备， 通过所述第一接入设备发送下行流 量。