WO2014029367A1 - 一种动态配置方法及装置、系统 - Google Patents

Abstract

本发明实施例公开了一种动态配置方法，所述方法包括：网络设备向动态配置服务器发起认证请求，携带可配置业务类型；所述动态配置服务器接收所述认证请求，对所述网络设备进行认证，并在认证成功时向所述网络设备发送认证成功消息；所述动态配置服务器通过授权消息向所述网络设备发送配置请求，在所述配置请求中携带动态配置信息；所述网络设备接收所述动态配置服务器返回的授权消息，根据所述授权消息中的动态配置信息进行相应的业务配置，并向所述动态配置服务器发送配置响应消息。本发明实施例还公开了一种配置为动态配置的网络设备及动态配置系统，解决了网络设备无法由业务请求触发动态配置而导致用户业务开通缓慢的问题，提高了用户业务开通的速度和效率。

Description

一种动态配置方法及装置、 系统 技术领域

本发明实施例涉及数据通信网络的云计算技术， 尤其涉及一种动态配 置方法及装置、 系统。 背景技术

随着互联网用户和业务规模的飞速发展， 提升网络和终端 /服务器的资 源利用率技能减排越发显得重要起来。 云计算概念是由 Google提出的， 狭 义云计算是指 IT基础设施的交付和使用模式， 指通过网络以按需、 易扩展 的方式获得所需的资源， 广义云计算是指服务的交付和使用模式， 指通过 网络以按需、 易扩展的方式获得所需的服务， 这种服务可以是 IT和软件、 互联网相关的， 也可以是任意其他的服务。 通过部署云计算网络可以实现 网络资源和终端 /月良务器资源的有效整合、 大幅度提升资源利用率同时实现 节能减排的目标。

现阶段使用云计算业务的客户很大一部分是运营商原有的企业 /集团用 户， 此类客户在使用云计算业务之后， 可以通过动态申请运营商的云计算 资源来大幅降低自身闲时的基础设置和能源投入， 实现企业效益的提升并 节约能源使用量。

而大多数当前的企业用户在运营商网络中使用的是虚拟专用网 （VPN, Virtual Private Network )业务。 VPN指的是在公用网络上建立的专用网络， VPN 的任意两个节点之间的连接并没有传统专网所需的端到端的物理链 路， 而是架构在公用网络服务商所提供的网络平台 （如互联网 （Internet ), 异步传输模式（ ATM )、 帧中继（ Frame Relay )等 )之上的逻辑链路， 用户 数据在该逻辑链路中传输。 现阶段， VPN用户在使用云计算资源时，运营支撑系统（ OSS , Operation Support System ) 向网络管理系统（NMS , Network Management System ) I 网元管理系统（EMS , Element Management System )发起配置请求并进一 步配置到对应的数据中心出口即运营商边缘 ( PE, Provider Edge )设备时， 由于实际网络中存在多个厂商 PE 设备并存且各个厂商有各自的 NMS/EMS、 以及可能通过网络配置人员手工操作 NMS/EMS甚至直接登陆 到对应的 PE设备上通过命令行的方式进行配置， 因此， 动态配置的过程相 对复杂很多， 导致 VPN用户云计算业务开通緩慢。

与此同时， 随着移动互联网业务的爆炸式发展， 移动网用户的数据流 量也随之呈几何级数增长， 移动网络的扩容和建设速度远远无法满足广大 用户的需求， 因此产生了移动网用户数据业务利用非移动网络承载的需求。 移动网用户通过非移动网络认证鉴权之后， 部分业务仍旧需要返回到移动 核心网络处理， 那么就需要在非移动网网关和移动网网关之间为每个移动 网用户建立隧道， 同时每个移动网用户可能还会有多个移动网连接同时存 在， 这就需要按需、 实时的建立起非移动网络和移动网络之间的数据通道， 也就是说， 移动网用户需要通过使用非移动网络的云计算资源来实现移动 网用户数据业务， 因此， 也就需要简化移动网用户使用云计算资源时的动 态配置过程， 使得移动网用户云计算业务能够及时开通， 以触发非移动网 网关和移动网网关之间隧道的建立。 发明内容

有鉴于此， 本发明实施例的主要目的在于提供一种动态配置方法及装 置、 系统， 以解决网络设备无法由业务请求触发动态配置而导致用户业务 开通緩慢的问题。

为达到上述目的， 本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种动态配置方法， 所述方法包括： 网络设备向动态配置服务器发起认证请求， 携带可配置业务类型； 所述动态配置服务器接收所述认证请求， 对所述网络设备进行认证， 并在认证成功时向所述网络设备发送认证成功消息；

所述动态配置服务器通过授权消息向所述网络设备发送配置请求， 在 所述配置请求中携带动态配置信息；

所述网络设备接收所述动态配置服务器返回的授权消息， 根据所述授 权消息中的动态配置信息进行相应的业务配置， 并向所述动态配置服务器 发送配置响应消息。

在上述方案中， 所述动态配置服务器在向所述网络设备发送的认证成 功消息中携带基本配置信息； 之后， 所述方法还包括： 所述网络设备接收 所述认证成功消息， 获取所述基本配置信息， 并将所述基本配置信息配置 到本地；

或者， 所述方法还包括： 所述动态配置服务器在所述网络设备上预先 配置所述基本配置信息。

在上述方案中， 所述携带基本配置信息的认证成功消息为远程用户拨 号认证 ( Radius , Remote Authentication Dial In User Service )协议的接入成 功 ( Access-Accept ) 消息；

所述携带动态配置信息的授权消息为终端访问控制器访问控制系统 ( Tacacs, Terminal Access Controller Access-Control System )十办议的授权消 息或者下一代认证授权计费协议 ( Diameter )协议的授权消息。

在上述方案中， 所述携带动态配置信息的授权消息为 Radius协议的属 性变更（CoA, Change of Attribute ) 消息或 Tacacs 协议的授权消息或者 Diameter协议的授权消息。

在上述方案中， 所述可配置业务类型为 VPN业务；

所述动态配置信息包括：所述网络设备与用户边缘 CE设备或数据中心 边缘 CE设备相连的物理端口或逻辑接口信息、 虚拟路由转发实例 （VRF, Virtual Routing & Forwarding Instance )信息、 虚拟交换实例 ( VSI, Virtual Switch Instance )信息。

在上述方案中， 所述基本配置信息为 PE设备的 VPN业务基本配置信 息， 包括： 建立 PE设备间互联的边界网关协议（BGP, Border Gateway Protocol )协议配置信息或标签分发协议 ( LDP, Label Distribution Protocol ) 协议配置信息、 以及二层 VPN的基本配置信息或三层 VPN的基本配置信 在上述方案中， 所述可配置业务类型为移动网用户接入业务， 所述动 态配置信息为移动网用户动态配置信息， 包括： 移动网用户的标识信息、 移动网网关信息、 接入点 （APN )信息、 介质访问控制层（MAC )地址。

在上述方案中， 所述基本配置信息为移动网用户公用配置信息， 包括： 通用分组无线服务技术隧道协议 （GTP , General Packet Radio Service Tunneling Protocol )协议基本配置信息、 移动网网关信息。

在上述方案中， 所述动态配置服务器为认证授权服务器或认证授权计 费服务器（AAA )或网元管理系统（EMS )或网络管理系统（NMS )。

本发明实施例还提供了一种配置为动态配置的网络设备， 所述网络设 备包括： 认证单元和配置单元， 其中，

认证单元， 配置为向动态配置服务器发起认证请求， 携带可配置业务 类型； 以及， 接收动态配置服务器返回的认证成功消息；

配置单元， 配置为接收动态配置服务器发送的携带有动态配置信息的 授权消息， 根据所述授权消息中的动态配置信息进行相应的业务配置， 并 向所述动态配置服务器发送配置响应消息。

在上述方案中， 所述认证单元， 还配置为接收所述动态配置服务器返 回的携带有基本配置信息的认证成功消息； 所述配置单元， 还配置为获取 所述认证单元所接收认证成功消息中携带的基本配置信息， 并将所述基本 配置信息配置到本地； 或者， 所述配置单元， 还配置为在所述动态配置服 务器的控制下， 预先配置所述基本配置信息。

在上述方案中， 所述授权消息为远程用户拨号认证 Radius协议的属性 变更（ CoA, Change of Attribute ) 消息或 Tacacs协议的授权消息或者下一 代认证授权计费协议 Diameter协议的授权消息。

在上述方案中， 所述网络设备为 PE设备、 或授信的无线局域网接入网 关（ TWAG, Trusted Wireless Access Gateway )、 或宽带网络网关（ BNG, Broadband Network Gateway ), 或增强的宽带网络网关 （eBNG, enhanced Broadband Network Gateway ), 或宽带远程接入服务器（BRAS , Broadband Remote Access Server )、 或业务路由器（ SR, Service Router )、 或网络接入 月良务器（NAS, Network Access Server )₀

本发明实施例还提供了一种动态配置系统， 所述系统包括： 网络设备 和动态配置服务器； 其中，

所述网络设备包括： 认证单元和配置单元， 其中， 认证单元， 配置为 向动态配置服务器发起认证请求， 携带可配置业务类型； 以及， 接收动态 配置服务器返回的认证成功消息； 配置单元， 配置为接收动态配置服务器 发送的携带有动态配置信息的授权消息， 根据所述授权消息中的动态配置 信息进行相应的业务配置， 并向所述动态配置服务器发送配置响应消息； 动态配置服务器， 配置为接收所述网络设备发起的认证请求， 对所述 网络设备进行认证， 并在认证成功时向所述网络设备发送认证成功消息； 以及， 配置为通过授权消息向所述网络设备发送配置请求， 在所述配置请 求中携带动态配置信息。

在上述方案中，所述网络设备为 PE设备、或 TWAG、或 BNG、或 eBNG、 或 BRAS、 或 SR、 或 NAS。 在上述方案中 ,所述动态配置服务器为 AAA或 EMS或 NMS或运营支 撑系统（OSS )。

本发明实施例的动态配置方法及装置、 系统， 网络设备通过从动态配 置服务器接收动态配置信息进行动态业务配置， 解决了网络设备无法由业 务请求触发动态配置而导致用户业务开通緩慢的问题， 提高了用户业务开 通的速度和效率。

此外， 本发明实施例的动态配置方法应用于 VPN使用云计算资源过程 中时， 能够实现快速将云计算资源加入用户 VPN的功能， 提升了用户云计 算业务的效率和服务体验；

此外， 本发明实施例的动态配置方法应用于移动网用户通过非移动网 接入移动核心网的过程时， 可以实现非移动网网关和移动网关间交互隧道 的动态建立， 提升了移动网用户通过非移动网接入的效率和服务体验。 附图说明

实施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员 来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附 图。

图 1为本发明实施例动态配置方法的实现流程图；

图 2为本发明实施例动态配置系统的组成结构示意图；

图 3为本发明实施例一 VPN使用云计算资源的场景示意图；

图 4为本发明实施例一动态配置过程的流程示意图；

图 5为实施例二 3GPP用户使用 WLAN接入 3GPP核心网的场景示意 图；

图 6为本发明实施例二动态配置过程的流程示意图。 具体实施方式

本发明实施例的动态配置方法， 如图 1所示， 主要可以包括如下步驟： 步驟 101 : 网络设备向动态配置服务器发起认证请求，携带可配置业务 类型；

步驟 102: 所述动态配置服务器接收所述认证请求，对所述网络设备进 行认证， 并在认证成功时向所述网络设备发送认证成功消息；

步驟 103:所述动态配置服务器通过授权消息向所述网络设备发送配置 请求， 在所述配置请求中携带动态配置信息；

步驟 104: 所述网络设备接收所述动态配置服务器返回的授权消息，根 据所述授权消息中的动态配置信息进行相应的业务配置， 并向所述动态配 置服务器发送配置响应消息。

在进行动态配置之后， 网络设备向所述动态配置服务器返回的响应消 息可以包含有配置结果， 所述配置结果为表示配置成功的配置成功信息或 表示配置失败的配置失败信息。

这里， 所述动态配置服务器在向所述网络设备发送的认证成功消息中 携带基本配置信息； 之后， 所述方法还包括： 所述网络设备接收所述认证 成功消息， 获取所述基本配置信息， 并将所述基本配置信息配置到本地； 或者， 所述方法还包括： 所述动态配置服务器在所述网络设备上预先 配置所述基本配置信息。

具体地， 所述携带基本配置信息的认证成功消息为 Radius 协议的 Access-Accept消息； 所述携带动态配置信息的授权消息为 Tacacs协议的授 权消息或者 Diameter协议的授权消息。

这里，所述携带动态配置信息的授权消息为 Radius协议的 CoA消息或 Tacacs协议的授权消息或者 Diameter协议 (是 Radius协议的升级版本）的 授权消息。

这里， 所述可配置业务类型为虚拟专用网 VPN业务； 所述动态配置信 息包括： 所述网络设备与用户边缘 CE设备或数据中心边缘 CE设备相连的 物理端口或逻辑接口信息、 虚拟路由转发实例 VRF信息、 虚拟交换实例 VSI信息。 其中， 所述基本配置信息为 PE设备的 VPN业务基本配置信息， 包括： 建立 PE设备间互联的 BGP协议配置信息或 LDP协议配置信息、 以 及二层 VPN的基本配置信息（包括 VSI等 )或三层 VPN的基本配置信息。

这里， 所述可配置业务类型为移动网用户接入业务， 所述动态配置信 息为移动网用户动态配置信息， 包括： 移动网用户的标识信息、 移动网网 关信息、 APN信息、 MAC地址。 所述基本配置信息为移动网用户公用配置 信息， 包括： GTP基本配置信息、 移动网网关信息。

这里， VPN使用云计算资源时， 动态配置 VPN参数的过程中， 所述授 权消息是在云计算管理系统独立或通过云计算虚拟机管理系统或其它系统 的协助完成用户申请的云计算资源的分配之后， 由动态配置服务器向与所 分配的云计算资源有连接关系的网络设备 (如 PE设备 )发送。 所述云计算 资源分布在一个或多个数据中心， 所述网络设备是相应 VPN中所有云计算 资源所在数据中心的出口 PE设备或与其所有站点下的 PE设备。 所述 VPN 包括多协议标签交换技术构建的虚拟二层专用网 （ MPLS L2VPN , Multi-Protocol Label Switching Layer 2 Virtual Private Network )、 多协议标签 交换技术构建的虚拟三层专用网 （MPLS L3 VPN , Multi-Protocol Label Switching Layer 3 Virtual Private Network ), 通用路由去†装 ( GRE, Generic Routing Encapsulation ) VPN, 因特网十办议安全 ( IPSec , Internet Protocol Security ) VPN等等。 所述公用配置信息为公用的 VPN公用配置信息； 所 述动态配置信息为 VPN动态配置信息， 包括： 网络设备与云计算资源所在 网络相连接的物理端口或逻辑接口信息 （包括物理端口或逻辑接口名称、 编号、 IP地址等）、 VPN实例 （包括虚拟路由和 VRF信息和 VSI信息）、 GRE隧道配置信息、 IPSec隧道配置信息等。

较佳的， 对于新增配置消息， 所述网络设备根据其中的配置参数进行 本地配置下发； 对于配置更新消息， 所述网络设备根据其中的配置参数信 息进行本地配置更新； 对于配置删除消息， 所述网络设备将本地对应的配 置进行删除。

其中、 所述网络设备可以是 PE设备、 TWAG、 BNG、 eBNG、 BRAS, SR、 NAS等设备中的任意一个， 所述动态配置服务器可以为 AAA或 EMS 或 NMS等。

相应的， 如图 2所示， 本发明实施例还提供了一种配置为动态配置的 网络设备 22, 所述网络设备包括： 认证单元 221和配置单元 222, 其中， 认证单元 221 , 配置为向动态配置服务器发起认证请求，携带可配置业务类 型； 以及， 接收动态配置服务器返回的认证成功消息； 配置单元 222, 配置 为接收动态配置服务器发送的携带有动态配置信息的授权消息， 根据所述 授权消息中的动态配置信息进行相应的业务配置， 并向所述动态配置服务 器发送配置响应消息。

这里， 所述认证单元 221 ,还配置为接收所述动态配置服务器返回的携 带有基本配置信息的认证成功消息； 所述配置单元， 还配置为获取所述认 证单元所接收认证成功消息中携带的基本配置信息， 并将所述基本配置信 息配置到本地；

或者， 所述配置单元 222, 还配置为在所述动态配置服务器的控制下， 预先配置所述基本配置信息。

实际应用 中 ， 所述认证单元 221 可以 由 网络设备中 的 中央处理器（CPU, Central Processing Unit ), 或路由器来实现， 所述配置 单元可以由网络设备中的 CPU或存储器实现。 相应的， 如图 2所示， 本发明实施例还提供了一种动态配置系统， 所 述系统包括： 上述的网络设备 22和动态配置服务器 21; 其中， 动态配置服 务器 21 , 配置为接收所述网络设备 22发起的认证请求， 对所述网络设备 22进行认证，并在认证成功时向所述网络设备 22发送认证成功消息；以及， 配置为通过授权消息向所述网络设备 22发送配置请求， 在所述配置请求中 携带动态配置信息。 实施例一

本实施例中， VPN用户使用云计算资源的网络拓朴结构如图 3所示， 其中， 包含有五个 PE设备， 分另' J是 PE_1、 PE_2、 PE_3、 PE_x、 PE_y, 其 中， PE_1、 PE—2归属于 VPN UE—l所在的第一 VPN, PE_3、 PE_x、 PE_y 归属于 VPN UE_2所在的第二 VPN。各 VPN用户终端发起云计算资源申请， 云计算管理系统（ Cloud Manager )与虚拟机管理系统（VM Manager )交互 完成资源分配、 并分别向数据中心管理系统（DC Manager )和动态配置服 务器（ AAA或 NMS或 EMS )发起网络配置请求， 动态配置服务器再向各 PE设备发起配置请求， 完成云计算的动态配置过程。

具体地， 如图 4所示， 图 3所示的网络场景下完成使用云计算资源之 前的动态配置的具体流程可以包括如下步驟：

步驟 401 , 各 PE设备向动态配置服务器发起认证请求， 携带可配置业 务类型；

本实施例中， 所述可配置业务类型具体是 VPN业务， 此外， 所述认证 请求中还通过用户名标识来表示所述 PE设备为参数可配置的 PE设备； 步驟 402,动态配置服务器接收各 PE设备发起的认证请求并进行认证， 认证通过的 PE设备具有接收来自动态配置服务器的配置消息的权限，动态 配置服务器将基本 VPN配置信息发送给认证通过的 PE设备， 完成各 PE 设备的基本 VPN配置；

这里，所述基本 VPN配置信息具体是指各 PE设备公用的一些 VPN配 置信息， 具体可以包括： DC侧物理端口信息及逻辑接口信息、 VPN实例配 置信息等。

步驟 403, 在所有 PE设备均完成基本 VPN配置之后， 第一 VPN内的 UE_1向云计算管理系统发起资源申请请求；

步驟 404, 云计算管理系统接收所述资源申请请求，发送给虚拟机管理 系统；

步驟 405: 虚拟机管理系统接收所述资源申请请求，根据当前的资源使 用状况进行资源分配处理， 如果资源分配成功， 则返回申请成功消息给所 述云计算管理系统， 并告知所分配云计算资源所在的数据中心（DC )信息； 这里， 所述 DC信息可以包括 DC的地址和 /或标识等。

步驟 406 , 云计算管理系统接收所述虚拟机系统返回的申请成功消息， 将虚拟机管理系统所分配的云计算资源接入到第一 VPN的云计算资源中， 并将相应 DC信息加入到第一 VPN中所有云计算资源所在的 DC列表中； 步驟 407: 云计算管理系统向 OSS发起查询请求， 该查询请求用于查 询第一 VPN中各 PE设备的相关信息， 并通告新申请的云计算资源的 DC 信息。

这里， 所述第一 VPN中各 PE设备包括第一 VPN下所有站点的 PE设 备和第一 VPN下所有云计算资源所在 DC列表的出口 PE设备信息。

其中， PE设备的相关信息可以包括： PE设备管理地址等信息。

步驟 408: OSS接收所述云计算管理系统发起的查询请求， 查询第一

VPN下各 PE设备的相关信息及 VPN动态配置参数， 并向所述云计算管理 系统返回查询结果， 所述查询结果包含有查询到的第一 VPN下各 PE设备 的相关信息和 VPN动态配置参数；

步驟 409,云计算管理系统接收 OSS返回的查询结果，获取到第一 VPN 下各 PE设备的相关信息及 VPN动态配置参数。 步驟 410: 云计算管理系统向动态配置服务器发起配置请求， 所述配置 请求中包含需进行动态配置的 PE设备的标识及 VPN动态配置参数；

这里，所述需进行动态配置的 PE设备为当前第一 VPN中的各 PE设备， 即包括当前第一 VPN中所有站点的 PE设备和第一 VPN下所有云计算资源 所在 DC列表的出口 PE设备。

步驟 411 , 动态配置服务器接收所述配置请求， 获取需进行动态配置的 PE设备的标识， 向需进行动态配置的 PE设备发送 Radius CoA消息， 携带 所述配置请求中的 VPN动态配置参数；

步驟 412，需进行动态配置的各 PE设备分别接收所述 Radius CoA消息， 获取所述 VPN动态配置参数并进行 VPN业务配置， 配置成功后向动态配 置服务器返回配置成功消息；

步驟 413 , 动态配置服务器接收各 PE设备返回的配置成功消息， 并向 云计算管理系统返回配置成功消息。 至此， VPN使用云计算资源时 PE设 备的动态配置完成。

步驟 414 , VPN UE_1用户离开第一 VPN, VPN UE_1向云计算管理系 统发起资源释放请求；

步驟 415 : 云计算管理系统接收所述资源释放请求，发送给虚拟机管理 系统；

步驟 416:虚拟机管理系统接收所述资源释放请求，进行资源释放处理， 并返回申请成功消息给所述云计算管理系统， 并告知所释放云计算资源所 在的 DC信息；

这里， 所述 DC信息可以包括 DC的地址和 /或标识等。

步驟 417 , 云计算管理系统接收所述虚拟机系统返回的申请成功消息， 将虚拟机管理系统所释放的云计算资源从第一 VPN的云计算资源中删除， 若同一 DC下已不存在第一 VPN的云计算资源，则在第一 VPN中所有云计 算资源所在的 DC列表中删除该 DC信息；

步驟 418: 云计算管理系统向 OSS发起查询请求， 该查询请求用于查 询第一 VPN中各 PE设备的相关信息， 并通告新释放的云计算资源的 DC 信息。

这里， 所述第一 VPN中各 PE设备包括第一 VPN下所有站点的 PE设 备和第一 VPN下所有云计算资源所在 DC列表的出口 PE设备。

步驟 419: OSS接收所述云计算管理系统发起的查询请求， 查询第一 VPN下各 PE设备的相关信息及 VPN动态配置参数， 并向所述云计算管理 系统返回查询结果， 所述查询结果包含有查询到的第一 VPN下各 PE设备 的相关信息和 VPN动态配置参数；

步驟 420,云计算管理系统接收 OSS返回的查询结果，接收到第一 VPN 下各 PE设备的相关信息及 VPN动态配置参数。

这里， 所述 VPN动态配置参数可以包括 PE设备与云计算资源所在网 络相连接的物理端口或逻辑接口信息 （包括物理端口或逻辑接口名称、 编 号、 IP地址等）、 VPN实例 （包括 VRF信息和 VSI信息）、 GRE隧道配置 信息、 IPSec隧道配置信息等。

步驟 421: 云计算管理系统向动态配置服务器发起配置请求， 所述配置 请求中包含需进行动态配置删除的 PE设备的标识及 VPN动态配置参数； 这里， 所述需进行动态配置删除的 PE设备为当前第一 VPN中的各 PE 设备，即包括当前第一 VPN中所有站点的 PE设备和第一 VPN下所有云计 算资源所在 DC的出口 PE设备。

步驟 422, 动态配置服务器接收所述配置请求， 获取需进行动态配置删 除的 PE设备的标识，向需进行动态配置删除的 PE设备发送 Radius CoA消 息， 携带所述配置请求中的 VPN动态配置参数；

步驟 423 , 需进行动态配置删除的各 PE设备分别接收所述 Radius CoA 消息， 删除相应的 VPN动态配置参数， 配置删除成功后向动态配置服务器 返回配置删除成功消息；

步驟 424， 动态配置服务器接收各 PE设备返回的配置删除成功消息， 并向云计算管理系统返回配置删除成功消息。 至此， VPN使用云计算资源 时 PE设备的动态配置删除的过程完成。

实施例二

本实施例中， 3GPP用户 （图 5中的 UE )使用云计算资源， 通过无线 局域网 （ WLAN, Wireless Local Area Networks ) 网络接入的场景如图 5所 示，其中，作为 3GPP用户的 UE通过宽带论坛定义的接入网络（ BBF Defined Access Network )和宽带家庭网络（ Broadband Home Network )接入到 3GPP 核心网， 需要在宽带论坛定义的接入网络的宽带业务网关（可以是 TWAG 或 BNG或 eBNG或 BRAS或 SR或 NAS )与 3GPP核心网的 3GPP网关之 间建立一个交互隧道，用于 UE通过宽带论坛定义的接入网络和宽带家庭网 络接入到 3GPP核心网的数据传输。其中，建立所述交互隧道的过程中包含 了将 3GPP用户配置信息动态配置到宽带业务网关上的过程。

如图 6所示， 在宽带业务网关与 3GPP 网关 （如图 5中的 PDN网关） 之间建立交互隧道的流程具体可以包括如下步驟：

步驟 601 : 宽带业务网关设备向 BBF AAA发起认证请求， 携带可配置 业务类型；

这里， 所述可配置业务类型具体是移动网用户接入业务， 此外， 所述 认证请求中还通过用户名标识所述宽带业务网关设备为参数可配置的宽带 业务网关设备；

步驟 602: BBF AAA对所述宽带业务网关设备发起的认证请求进行认 证， 认证通过， BBF AAA将 3GPP用户公用配置信息发送给宽带业务网关 设备； 所述公用配置信息可以预配置在 BBF AAA上， 也可以由 BBF AAA向 3GPP AAA获取。 所述公共配置信息可以包括 GTP协议基本配置信息、 移 动网网关信息等。

这里，只有认证通过的宽带业务网关设备具有接收来自 BBF AAA的配 置消息的权限， 因此， 只有在认证通过时， BBF AAA会将 3GPP用户公用 配置信息发送给宽带业务网关设备，宽带业务网关设备将所述 3GPP用户公 用配置信息配置到自身。

步驟 603, 3GPP用户 UE搜索到本地的 WLAN网络之后， 通过 EAP 协议发起接入认证请求；

步驟 604, RG/AP将 UE的接入认证请求发送给 BNG;

步驟 605 , BNG将所述接入认证请求发送给 BBF AAA;

步驟 606, BBF AAA识别出所述 UE是 3GPP用户， 向 3GPP AAA发 功消息；

步驟 607 , BBF AAA接收 3GPP AAA返回的认证成功消息后， 向 BNG 返回认证成功消息， 同时通过 Diameter协议的授权消息向宽带业务网关发 起配置请求， 所述配置请求中包含有 3GPP用户动态配置信息。

所述 3GPP用户动态配置信息包括 3GPP用户的标识信息、移动网网关 信息、 APN信息、 MAC地址等。

步驟 608, 宽带业务网关接收所述 Diameter协议的授权消息， 从中接 收到所述配置请求，并根据所述配置请求中包含的 3GPP用户动态配置信息 进行动态配置， 动态配置成功后， 向 3GPP网关发起隧道建立请求；

步驟 609, 3GPP网关接收所述隧道建立请求， 建立与所述宽带业务网 关之间的 GTP隧道， 并在隧道建立成功后， 返回隧道建立成功的消息给宽 带业务网关； 步驟 610:宽带业务网关接收所述 3GPP网关返回的隧道建立成功消息， 向 BBF AAA返回配置成功消息， 并在所述配置成功消息中携带自身与 3GPP网关之间 GTP隧道的隧道参数；

这里， 所述隧道参数为 GTP协议的隧道配置参数。

步驟 611 , 当 UE的签约信息（如带宽、 优先级等）发生动态变化时， BBF AAA 向宽带业务网关发送配置请求， 所述配置请求中包含变化后的 3GPP用户动态配置信息， 变化后的 3GPP用户动态配置信息包含更新后的 GTP隧道参数， 以更新该 UE的 GTP隧道参数（如带宽、 优先级等 );

步驟 612, 宽带业务网关接收到所述配置请求， 并根据所述配置请求中 包含的 3GPP用户动态配置信息（GTP隧道参数）进行动态配置， 动态配 置成功后， 向 3GPP网关发起隧道参数更新请求；

步驟 613, 3GPP网关接收所述隧道参数更新请求， 更新与所述宽带业 务网关之间 GTP隧道的 GTP隧道参数， 并在更新成功后，返回隧道参数更 新成功的消息给宽带业务网关；

步驟 614: 宽带业务网关接收所述 3GPP网关返回的隧道参数更新成功 消息， 向 BBF AAA返回配置成功消息， 并在所述配置成功消息中携带自身 与 3GPP网关之间 GTP隧道的隧道参数；

步驟 615 , UE离开 WLAN , BBF AAA向宽带业务网关发起配置请求， 携带需删除的 3GPP用户配置信息；

步驟 616, 宽带业务网关接收所述配置请求， 将所述需删除的 3GPP用 户配置信息从本地删除， 并向 3GPP 网关发起隧道拆除请求， 拆除自身与 3GPP网关之间的交互隧道， 在隧道拆除成功后， 向 BBF AAA返回配置成 功消息。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种动态配置方法， 所述方法包括：

网络设备向动态配置服务器发起认证请求， 携带可配置业务类型； 所述动态配置服务器接收所述认证请求， 对所述网络设备进行认证， 所述动态配置服务器通过授权消息向所述网络设备发送配置请求， 在 所述配置请求中携带动态配置信息；

所述网络设备接收所述动态配置服务器返回的授权消息， 根据所述授 权消息中的动态配置信息进行相应的业务配置， 并向所述动态配置服务器 发送配置响应消息。

2、 根据权利要求 1所述的动态配置方法， 其中，

所述动态配置服务器在向所述网络设备发送的认证成功消息中携带基 本配置信息； 之后， 所述方法还包括： 所述网络设备接收所述认证成功消 息， 获取所述基本配置信息， 并将所述基本配置信息配置到本地；

或者， 所述方法还包括： 所述动态配置服务器在所述网络设备上预先 配置所述基本配置信息。

3、 根据权利要求 2所述的动态配置方法， 其中，

所述携带基本配置信息的认证成功消息为远程用户拨号认证 Radius协 议的接入成功 Access-Accept消息；

所述携带动态配置信息的授权消息为终端访问控制器访问控制系统 Tacacs协议的授权消息或者下一代认证授权计费协议 Diameter协议的授权 消息。

4、 根据权利要求 1所述的动态配置方法， 其中，

所述携带动态配置信息的授权消息为远程用户拨号认证 Radius协议的 属性变更 CoA消息或 Tacacs协议的授权消息或者下一代认证授权计费协议 Diameter协议的授权消息。

5、 根据权利要求 1所述的动态配置方法， 其中，

所述可配置业务类型为虚拟专用网 VPN业务；

所述动态配置信息包括：所述网络设备与用户边缘 CE设备或数据中心 边缘 CE设备相连的物理端口或逻辑接口信息、 虚拟路由转发实例 VRF信 息、 虚拟交换实例 VSI信息。

6、 根据权利要求 2或 5所述的动态配置方法， 其中，

所述基本配置信息为 PE设备的虚拟专用网 VPN业务基本配置信息， 包括： 建立 PE设备间互联的边界网关协议 BGP协议配置信息或边界网关 协议 LDP协议配置信息、 以及二层 VPN的基本配置信息或三层 VPN的基 本配置信息。

7、 根据权利要求 1所述的动态配置方法， 其中，

所述可配置业务类型为移动网用户接入业务， 所述动态配置信息为移 动网用户动态配置信息， 包括： 移动网用户的标识信息、 移动网网关信息、 接入点 APN信息、 介质访问控制层 MAC地址。

8、 根据权利要求 2或 7所述的动态配置方法， 其中，

所述基本配置信息为移动网用户公用配置信息， 包括： 通用分组无线 服务技术隧道协议 GTP协议基本配置信息、 移动网网关信息。

9、 根据权利要求 1至 8任一项所述的动态配置方法， 其中， 所述动态 配置服务器为认证授权服务器或认证授权计费服务器 AAA 或网元管理系 统 EMS或网络管理系统 NMS。

10、 一种配置为动态配置的网络设备， 所述网络设备包括： 认证单元 和配置单元， 其中，

认证单元， 配置为向动态配置服务器发起认证请求， 携带可配置业务 类型； 以及， 接收动态配置服务器返回的认证成功消息； 配置单元， 配置为接收动态配置服务器发送的携带有动态配置信息的 授权消息， 根据所述授权消息中的动态配置信息进行相应的业务配置， 并 向所述动态配置服务器发送配置响应消息。

11、 根据权利要求 10所述配置为动态配置的网络设备， 其中， 所述认证单元， 还配置为接收所述动态配置服务器返回的携带有基本 配置信息的认证成功消息； 所述配置单元， 还配置为获取所述认证单元所 接收认证成功消息中携带的基本配置信息， 并将所述基本配置信息配置到 本地；

或者， 所述配置单元， 还配置为在所述动态配置服务器的控制下， 预 先配置所述基本配置信息。

12、 根据权利要求 11所述配置为动态配置的网络设备， 其中， 所述授 权消息为远程用户拨号认证 Radius协议的属性变更 CoA消息或终端访问控 制器访问控制系统 Tacacs 协议的授权消息或者下一代认证授权计费协议 Diameter协议的授权消息。

13、 根据权利要求 10至 12任一项所述配置为动态配置的网络设备， 其中， 所述网络设备为运营商边缘 PE设备、 或授信的无线局域网接入网关 TWAG、 或宽带网络网关 BNG、 或增强的宽带网络网关 eBNG、 或宽带远 程接入服务器 BRAS、 或业务路由器 SR、 或网络接入服务器 NAS。

14、 一种动态配置系统， 所述系统包括： 网络设备和动态配置服务器； 其中，

所述网络设备包括： 认证单元和配置单元， 其中， 认证单元， 配置为 向动态配置服务器发起认证请求， 携带可配置业务类型； 以及， 接收动态 配置服务器返回的认证成功消息； 配置单元， 配置为接收动态配置服务器 发送的携带有动态配置信息的授权消息， 根据所述授权消息中的动态配置 信息进行相应的业务配置， 并向所述动态配置服务器发送配置响应消息； 动态配置服务器， 配置为接收所述网络设备发起的认证请求， 对所述 网络设备进行认证， 并在认证成功时向所述网络设备发送认证成功消息； 以及， 配置为通过授权消息向所述网络设备发送配置请求， 在所述配置请 求中携带动态配置信息。

15、 根据权利要求 14所述的动态配置系统， 其中， 所述网络设备为运 营商边缘 PE设备、或授信的无线局域网接入网关 TWAG、或宽带网络网关 BNG、 或增强的宽带网络网关 eBNG、 或宽带远程接入服务器 BRAS、 或业 务路由器 SR、 或网络接入服务器 NAS。

16、 根据权利要求 14所述的动态配置系统， 其中， 所述动态配置服务 器为认证授权服务器或认证授权计费服务器 AAA或网元管理系统 EMS或 网络管理系统 NMS或运营支撑系统 OSS。