專利名稱:虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及位置身份分離技術(shù),尤其涉及虛擬專用網(wǎng)絡(luò)在身份位置分離網(wǎng)絡(luò)的 實現(xiàn)方法及系統(tǒng)。
背景技術(shù):
關(guān)于下一代信息網(wǎng)絡(luò)架構(gòu)的研究是當前最熱門的課題之一。這些研究課題的基 本方向是以話音業(yè)務(wù)為代表的電信網(wǎng)、以視頻業(yè)務(wù)為代表的電視網(wǎng)和以數(shù)據(jù)業(yè)務(wù)為代表 的互聯(lián)網(wǎng)進行業(yè)務(wù)上的無縫地融合為目的,以網(wǎng)絡(luò)承載IP化為特點,典型的實例如提供 語音業(yè)務(wù)的VOIP (Voice over Internet Protocol, IP電話)網(wǎng)絡(luò)和提供電視業(yè)務(wù)的IPTV網(wǎng) 絡(luò)、以IP核心網(wǎng)絡(luò)承載的3G移動通信網(wǎng)絡(luò)、以及大量對于超3G或者4G網(wǎng)絡(luò)的研究項 目等。
4G是第4代移動通信系統(tǒng)的簡稱,4G的目標是為語音、數(shù)據(jù)和流媒體業(yè)務(wù)提供 一個基于IP承載網(wǎng)絡(luò)的解決方案,使用戶可以在“任何時間、任何地點、任何業(yè)務(wù)”獲 得一個更高速的通信環(huán)境。
NGN(Next Generation Network,下一代網(wǎng)絡(luò))是建立在電信網(wǎng)基礎(chǔ)上的下一代網(wǎng)絡(luò),旨在建立一個統(tǒng)一的基于IP分組交換的傳輸層面。在統(tǒng)一的傳輸層面上各種應(yīng)用程 序的開發(fā)可以獨立于具體的傳輸技術(shù),擴展了應(yīng)用程序的應(yīng)用范圍。
3G和4G是無線通信領(lǐng)域?qū)ο乱淮W(wǎng)絡(luò)的研究核心,旨在基于全IP分組核心 網(wǎng)提高無線移動通信的質(zhì)量;NGN和NGI(Next-Generation Internet,下一代互聯(lián)網(wǎng))分 別是電信網(wǎng)和互聯(lián)網(wǎng)領(lǐng)域?qū)ο乱淮W(wǎng)絡(luò)融合的研究;CNGI (China ‘ s Next Generation Internet,中國下一代互聯(lián)網(wǎng))旨在構(gòu)建基于IPv6的下一代互聯(lián)網(wǎng);北方交大的“一體 化可信網(wǎng)絡(luò)與普適服務(wù)體系基礎(chǔ)研究”希望能構(gòu)建統(tǒng)一的新分組網(wǎng)絡(luò)。雖然各種研究存 在很大差異,但是各種研究普遍接受的觀點是未來網(wǎng)絡(luò)是基于分組的統(tǒng)一承載網(wǎng)絡(luò)。 因此研究下一代網(wǎng)絡(luò)構(gòu)架將以互聯(lián)網(wǎng)為主要參考對象?;ヂ?lián)網(wǎng)從其誕生以來一直保持高 速發(fā)展,已成為當前最成功、最具生命力的通信網(wǎng)絡(luò),其靈活可擴展性、高效的分組交 換、終端強大的功能等特點非常符合新一代網(wǎng)絡(luò)的設(shè)計需要,互聯(lián)網(wǎng)將是新一代網(wǎng)絡(luò)設(shè) 計的主要參考藍本。然而,互聯(lián)網(wǎng)的結(jié)構(gòu)還遠遠沒有達到最優(yōu),存在很多重大的設(shè)計問 題。除上述IP地址空間無法滿足應(yīng)用需要外,還主要表現(xiàn)在以下方面
互聯(lián)網(wǎng)發(fā)明于二十世紀七十年代,人們難以預計今天世界上將存在大量的移動 終端和多家鄉(xiāng)終端,因此當時的互聯(lián)網(wǎng)協(xié)議棧主要是針對以“固定”方式連接的終端而 設(shè)計。在當時的網(wǎng)絡(luò)環(huán)境下,由于終端基本上不會從一個位置移動到其它位置,發(fā)送的 地址就是接收的地址,路經(jīng)是可逆的,所以具有身份和位置雙重屬性的IP地址能夠非常 好的工作,IP地址的身份屬性與位置屬性之間沒有產(chǎn)生任何沖突。IP地址同時代表身份 和位置恰恰滿足了當時的網(wǎng)絡(luò)需求。從當時的網(wǎng)絡(luò)環(huán)境來看,這種設(shè)計方案簡單有效, 簡化了協(xié)議棧的層次結(jié)構(gòu)。但毋庸置疑的是,IP地址的身份屬性與位置屬性之間存在著 內(nèi)部矛盾。IP地址的身份屬性要求任意兩個IP地址都是平等的,雖然IP地址可以按照組織機構(gòu)進行分配,但是連續(xù)編碼的IP地址之間沒有必然的關(guān)系,或者至少在拓撲位置 上沒有必然的關(guān)系;IP地址的位置屬性則要求IP地址基于網(wǎng)絡(luò)拓撲(而不是組織機構(gòu)) 進行分配,處于同一個子網(wǎng)內(nèi)的IP地址都應(yīng)該處于一個連續(xù)的IP地址塊中,這樣才可以 使網(wǎng)絡(luò)拓撲中的IP地址前綴聚合,從而減少路由器設(shè)備的路由表的條目,保證路由系統(tǒng) 的可擴展性。
伴隨著網(wǎng)絡(luò)規(guī)模和技術(shù)的發(fā)展,一些動態(tài)分配IP地址的技術(shù)逐步出現(xiàn),如動態(tài) 主機配置協(xié)議(DHCP,Dynamic Host Configuration Protocol),這就開始打破IP地址唯一表示一個終端的假定。私有IP地址空間的使用和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddress Translator)技術(shù)的誕生使得情況繼續(xù)惡化。在這種情況下同時具有身份屬性與位置屬性的 IP地址將難以繼續(xù)勝任它的角色,IP地址的雙重屬性問題已經(jīng)凸顯出來。除了技術(shù)層面 的需求發(fā)生了顯著變化以外,互聯(lián)網(wǎng)的用戶狀況也已經(jīng)發(fā)生了巨大的改變。在互聯(lián)網(wǎng)誕 生之后的最初幾年中,互聯(lián)網(wǎng)基本上被一些處于共同團體且相互信任的人員使用,傳統(tǒng) 互聯(lián)網(wǎng)協(xié)議棧也是基于此種假設(shè)而設(shè)計的;而目前的互聯(lián)網(wǎng)用戶則是魚龍混雜,人們難 以繼續(xù)互相信任。在這種情況下,缺乏內(nèi)嵌安全性機制的互聯(lián)網(wǎng)也需要發(fā)生變革。
總的來說,IP地址雙重屬性的內(nèi)在矛盾將導致如下主要問題
1.路由可擴展問題。關(guān)于互聯(lián)網(wǎng)路由系統(tǒng)的可擴展性存在一個基本的假定
“地址按照拓撲進行分配,或者拓撲按照地址進行部署,二者必選其一”。IP 地址的身份屬性要求IP地址基于終端所屬的組織機構(gòu)(而不是網(wǎng)絡(luò)拓撲)進行分配,而 且這種分配要保持一定的穩(wěn)定性,不能經(jīng)常改變;而IP地址的位置屬性要求IP地址基于 網(wǎng)絡(luò)拓撲進行分配,以便保證路由系統(tǒng)的可擴展性。這樣,IP地址的兩種屬性就產(chǎn)生了 沖突,最終引發(fā)了互聯(lián)網(wǎng)路由系統(tǒng)的可擴展問題。
2.移動性問題。IP地址的身份屬性要求IP地址不應(yīng)該隨著終端位置的改變而變 化,這樣才能夠保證綁定在身份上的通信不中斷,也能夠保證終端在移動后,其它終端 仍能夠使用它的身份與之建立通信聯(lián)系;而IP地址的位置屬性則要求IP地址隨著終端位 置的改變而改變,以便IP地址能夠在新的網(wǎng)絡(luò)拓撲中聚合,否則網(wǎng)絡(luò)就必須為移動后的 終端保留單獨的路由信息,從而造成路由表條目的急劇增長。
3.多家鄉(xiāng)問題。多家鄉(xiāng)通常指終端或網(wǎng)絡(luò)同時通過多個ISP(InternetServiceProvider,因特網(wǎng)服務(wù)提供商)的網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)。多家鄉(xiāng)技術(shù)的優(yōu)點包括增加網(wǎng)絡(luò)的 可靠性、支持多個ISP之間的流量負載均衡和提高總體可用帶寬等。但是,IP地址雙重 屬性的內(nèi)在矛盾使得多家鄉(xiāng)技術(shù)難以實現(xiàn)。IP地址的身份屬性要求一個多家鄉(xiāng)終端始終 對其它終端展現(xiàn)不變的身份,無論該多家鄉(xiāng)終端是通過幾個ISP接入到互聯(lián)網(wǎng);而IP地 址的位置屬性則要求一個多家鄉(xiāng)終端在不同的ISP網(wǎng)絡(luò)中使用不同的IP地址通信,這樣 才能保證終端的IP地址能夠在ISP網(wǎng)絡(luò)的拓撲中聚合。
4.安全和位置隱私問題。由于IP地址同時包含終端的身份信息和位置信息,所 以通信對端和惡意竊聽者都可以根據(jù)一個終端的IP地址同時獲得該終端的身份信息和拓 撲位置信息。總的來說,自從傳統(tǒng)互聯(lián)網(wǎng)的體系結(jié)構(gòu)建立以來,互聯(lián)網(wǎng)的技術(shù)環(huán)境和用 戶群體都已經(jīng)發(fā)生了翻天覆地的變化,互聯(lián)網(wǎng)需要隨之進行革新。IP地址的雙重屬性問 題是困擾互聯(lián)網(wǎng)繼續(xù)發(fā)展的根本原因之一,將IP地址的身份屬性和位置屬性進行分離, 是解決互聯(lián)網(wǎng)所面臨問題的一個很好的思路。新網(wǎng)絡(luò)將基于這種思路進行設(shè)計,提出一種身份信息與位置信息分離映射的網(wǎng)絡(luò)結(jié)構(gòu),以解決現(xiàn)有互聯(lián)網(wǎng)存在的一些嚴重弊端。
為了解決身份和位置的問題,業(yè)界進行了大量的研究和探索,所有身份與位置 分離方案的基本思想都是將原本綁定在IP地址上的身份與位置雙重屬性分離。其中, 有些方案采用應(yīng)用層的URL(統(tǒng)一資源定位符UniformRescmrce Locator, URL是用于 完整地描述Internet上網(wǎng)頁和其他資源的地址的一種標識方法。)或FQDN(合格域名 Fully Qualified Domain Name)作為終端的身份標識等;有些方案引入了新的名字空間作 為身份標識,如HIP (Host Identity Protocol)在以IP地址為位置標識的網(wǎng)絡(luò)層上增加主機 標識;有些方案將IP地址進行分類,部分IP作為身份標識,部分IP作為位置標識,如 LISP (Locator/ID Separation Protocol)位置身份分離協(xié)議中使用 EID (endpoint ID)作為身份 標識,RLOC (Routing Locator)作為位置標識等;
在這些方案中尤其以LISP的研究受到業(yè)界的關(guān)注,在IETF成立LISP工作組, LISP 工作組的章程將致力于 LISP 基本協(xié)議(draft-farinacci-lisp-12.txt)、LISP+ALT 的 映射系統(tǒng)(draft-fuller_lisp-alt-05.txt)、LISP 互操作性(draft-lewis-lisp-interworking-O2. txt),LISP 映射服務(wù)器(draft-fuller-lisp-ms_OO.txt),LISP 組播(draft-farinacci-lisp-mult icast-01.txt)方面的工作。工作組將鼓勵和支持為具有互操作的LISP實現(xiàn)和邊界映射系 統(tǒng)的需求定義的工作,工作組也致力于在ALT或其他映射系統(tǒng)的安全配置方面的工作。
技術(shù)背景二虛擬專用網(wǎng)絡(luò)VPN(virtualprivatenetwork)可以實現(xiàn)不同網(wǎng)絡(luò)的組 件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet網(wǎng)絡(luò)或其它公共互聯(lián)網(wǎng)絡(luò)的基 礎(chǔ)設(shè)施為用戶創(chuàng)建隧道,并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。
VPN有多種實現(xiàn)方式,具體可以分為用戶管理的VPN解決方案(CPE-VPN)和 運營商實施的VPN解決方案(PP-VPN)。
首先介紹用戶管理的VPN解決方案CPE-VPN方案,特點是用戶自己設(shè)置、管 理并維護VPN網(wǎng)關(guān)設(shè)備,通過公共IP網(wǎng)在各個分支機構(gòu)和公司總部之間建立基于標準 VPN隧道的連接,隧道協(xié)議通常采用二層隧道協(xié)議(L2TP)、點到點隧道協(xié)議(PPTP)、 IPsec> IP in IP 和通用路由封裝(GRE,Generic Routing Encapsulation)等,并且利用各種加密技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?br>
VPN隧道連接的建立與管理完全由用戶自己負責,提供商不需要調(diào)整或改變網(wǎng) 絡(luò)的結(jié)構(gòu)與性能。這種方式也就是通常所說的“自建VPN”方式。
虛擬專用網(wǎng)絡(luò)支持企業(yè)通過Internet等公共互聯(lián)網(wǎng)絡(luò)與分支機構(gòu)或其它公司建立 連接,進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用 廣域網(wǎng)建立的連接。雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)上,但是用戶在使用VPN 時感覺如同在使用專用網(wǎng)絡(luò)進行通訊,所以得名虛擬專用網(wǎng)絡(luò)。使用VPN技術(shù)可以解 決在當今遠程通訊量日益增大,企業(yè)全球運作廣泛分布的情況下,員工需要訪問中央資 源,企業(yè)相互之間必須進行及時和有效的通訊的問題。
虛擬專用網(wǎng)絡(luò)VPN的基本用途
通過VPN實現(xiàn)遠程用戶訪問,虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng) 絡(luò)遠程訪問企業(yè)資源,例如虛擬專用網(wǎng)絡(luò)用戶首先撥通本地接入服務(wù)提供商ISP的網(wǎng)絡(luò) 接入服務(wù)器BRAS,然后使用VPN軟件,利用與本地ISP建立的連接在遠程用戶和企業(yè) VPN服務(wù)器之間創(chuàng)建一個跨越Internet或其它公共互聯(lián)網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)。
使用VPN連接遠程局域網(wǎng)絡(luò),不需要使用價格昂貴的長距離專用電路,分支機 構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet,或者撥號 接入ISP的寬帶接入服務(wù)器連接internet。使用VPN軟件,禾Ij用與當本地ISP建立的連接 和Internet網(wǎng)絡(luò)在分支機構(gòu)和企業(yè)端路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡(luò)。
虛擬專用網(wǎng)絡(luò)技術(shù),第2層隧道協(xié)議(L2TP),L2TP協(xié)議允許對IP,IPX或 NetBEUI數(shù)據(jù)流進行加密,然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送,如IP, X.25,楨中繼或ATM。安全IP (D^ec)隧道模式,IPSec隧道模式允許對IP負載數(shù)據(jù)進 行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。
運營商實施的VPN解決方案(PP-VPN),PP-VPN方案是指在運營商的公共數(shù) 據(jù)通信網(wǎng)上設(shè)置VPN網(wǎng)關(guān)設(shè)備,用于專線接入用戶或遠程撥號接入用戶。利用該網(wǎng)關(guān)設(shè) 備,可以在全網(wǎng)范圍內(nèi)根據(jù)具體的VPN網(wǎng)絡(luò)需求,通過隧道封裝、虛擬路由器或MPLS 等技術(shù)建立VPN,并且可以采用加密技術(shù)以保障數(shù)據(jù)傳輸?shù)陌踩?。VPN連接的建立完全 由運營商負責,對用戶透明。這種方式也就是通常所說的“外包VPN”方式。
隨著寬帶接入網(wǎng)絡(luò)的迅猛發(fā)展的同時,運營商為了高質(zhì)量地拓展業(yè)務(wù),必須要 解決的一個問題是,如何對網(wǎng)絡(luò)結(jié)構(gòu)進行合理的分層規(guī)劃,以實現(xiàn)對用戶的定位以及業(yè) 務(wù)治理。由于在接入網(wǎng)層面大量地采用了以太網(wǎng)技術(shù),目前基于以太網(wǎng)來實現(xiàn)網(wǎng)絡(luò)劃分 的技術(shù)主要是虛擬局域網(wǎng)(VLAN,VirtualLocal Area Network)技術(shù)。VLAN是一種通過 將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技 術(shù)。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.IQ協(xié)議標準草案。傳統(tǒng) 的以太網(wǎng)幀格式中定義了 4096個VLAN,VLAN是為解決以太網(wǎng)的廣播問題和安全性而 提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了 VLAN頭,用VLAN ID把用戶劃分為更小的工作 組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng) 的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態(tài)治理網(wǎng)絡(luò)。VLAN隔離了廣 播風暴,同時也隔離了各個不同的VLAN之間的通信,所以不同的VLAN之間的通信是 需要有路由來完成的。
劃分VLAN的方法主要有幾種。一是根據(jù)端口來劃分VLAN;這種根據(jù)端口來 劃分VLAN的方式仍然是最常用的一種方式;二是根據(jù)MAC地址劃分VLAN,這種劃分 VLAN方法的最大優(yōu)點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機 時,VLAN不用重新配置,缺點是初始化時所有的用戶都必須進行配置,導致了交換機 執(zhí)行效率降低;三是根據(jù)網(wǎng)絡(luò)層劃分VLAN,這種劃分VLAN的方法是根據(jù)每個主機的 網(wǎng)絡(luò)層地址或協(xié)議類型(假如支持多協(xié)議)劃分的而不是根據(jù)路由,因此即便用戶物理位 置改變了,不需要重新配置所屬的VLAN,缺點是重新解析幀頭將降低效率;四是根據(jù) IP組播劃分VLAN,IP組播實際上也是一種VLAN的定義,即認為一個組播組就是一個 VLAN,這種劃分的方法將VLAN擴大到了廣域網(wǎng),因此這種方法具有更大的靈活性, 而且也很輕易通過路由器進行擴展。
VLAN作為特定以太網(wǎng)通信環(huán)境下的VPN技術(shù)在寬帶接入上得到大規(guī)模的應(yīng) 用,核心網(wǎng)或者廣域網(wǎng)中應(yīng)用比較多的是基于多協(xié)議標簽交換(MPLS,Multiprotocol Label Switching) MPLS 的 VPN。
MPLS技術(shù)的出現(xiàn),使整個Internet的體系結(jié)構(gòu)都發(fā)生了變化。采用MPLS技術(shù)實現(xiàn)VPN的技術(shù)方案將大大改善傳統(tǒng)IP網(wǎng)絡(luò)的缺陷,又能提供和幀中繼或ATM網(wǎng)絡(luò)一 樣的安全性保證,可以很好地適應(yīng)VPN業(yè)務(wù)的需求。
MPLS VPN的網(wǎng)絡(luò)模型,其中客戶邊緣(CE,Customer Edge)設(shè)備可以是路由 器或二層交換機,它位于客戶端,提供到網(wǎng)絡(luò)提供商的接入;提供商邊緣(PE,Provider Edge)路由器主要維護與節(jié)點相關(guān)的轉(zhuǎn)發(fā)表,與其他PE路由器交換VPN路由信息,使 用MPLS網(wǎng)絡(luò)中的標記交換路徑(LSP,Label Switched Path)轉(zhuǎn)發(fā)VPN業(yè)務(wù),這就是 MPLS網(wǎng)絡(luò)中的標記邊緣路由器(LER,Label Edge Router);提供商路由器(PR,Provider Router)使用已建立的LSP對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā),不維護與VPN有關(guān)的路由信息, 這就是MPLS網(wǎng)絡(luò)中的標記交換路由器(LSR,Label Switching Router)。
MPLSVPN 的優(yōu)點
安全性MPLS VPN由于采用了路由隔離、地址隔離和信息隱藏等多種手段,提 供了抗攻擊和標記欺騙的手段,因此MPLS VPN完全能夠提供與ATM/FR VPN相類似的 安全保證。
擴展性MPLS VPN則具有很強的擴展性。一方面MPLS網(wǎng)絡(luò)中可以容納的 VPN數(shù)目很大,另一方面在用戶節(jié)點數(shù)目上由于借助于BGP(BorderGatewayProtocol,邊界網(wǎng)關(guān)協(xié)議)協(xié)議進行成員的分配和管理,同一個VPN中的用戶節(jié)點數(shù)不受限制,容易 擴充,并可以實現(xiàn)任何節(jié)點與任何其它節(jié)點的直接通信。特別是在實現(xiàn)用戶節(jié)點間的全 網(wǎng)狀通信時不需要逐條配置用戶節(jié)點間的電路,用戶側(cè)只需要一個端口/一條線路接入 網(wǎng)絡(luò),避免了 N平方的擴展性問題。
可靠性MPLS VPN業(yè)務(wù),自然就具有大帶寬、多節(jié)點、多路由、充裕的網(wǎng)絡(luò) 和傳輸資源來保證網(wǎng)絡(luò)的可靠性。當互聯(lián)網(wǎng)內(nèi)部中繼線中斷時,MPLSVPN的流量與普通 互聯(lián)網(wǎng)流量一起依據(jù)IGP (Interior Gateway Protocol,內(nèi)部網(wǎng)關(guān)協(xié)議)迂回到其它電路上,這一過程完全依靠IGP的收斂自動完成,對用戶完全透明,在廣域網(wǎng)傳輸中不存在單點 故障。
上述的虛擬專用網(wǎng)絡(luò)VPN技術(shù)都是基于現(xiàn)有的數(shù)據(jù)通信網(wǎng)絡(luò)的,基于現(xiàn)有的網(wǎng) 絡(luò)架構(gòu)下實現(xiàn)的,IP地址具有身份和位置的雙重含義,在位置身份分離協(xié)議LISP技術(shù)架 構(gòu)下,IP地址僅僅具有位置屬性,作為端主機三層網(wǎng)絡(luò)地理位置的標識,新增一個端主 機的身份標識用于通信傳輸?shù)亩松矸輼俗R,端主機的位置標識由端主機所處的地理位置 和網(wǎng)絡(luò)拓撲決定,在端主機移動的過程中,位置的變化導致端主機的位置標識改變,而 端主機的身份標識屬于終端身份唯一使用的標識,在端主機移動的過程中不會改變。同 時還必須增加端主機身份標識和位置標識的映射,需要功能實體來完成這個映射關(guān)系。
在位置身份分離的網(wǎng)絡(luò)架構(gòu)下,給上述的VPN技術(shù)實施帶來影響,對運營商實 施的VPN解決方案(PP-VPN)的影響比較小,位置和身份分離主要涉及VPN的用戶的 身份和接入管理需要使用端主機的身份標識進行認證管理,需要對管理系統(tǒng)進行升級處 理;而對于用戶管理的VPN解決方案CPE-VPN方案,位置和身份分離以后端主機不再 使用IP地址進行通信,需要使用端主機的身份標識EID進行通信影響比較大一些,需要 對VPN軟件進行升級處理支持端主機的身份標識。發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法和系統(tǒng),以在位 置身份分離網(wǎng)絡(luò)中實現(xiàn)虛擬專用網(wǎng)絡(luò)。
為解決以上技術(shù)問題,本發(fā)明提供了一種虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法,所述方法 基于位置身份分離網(wǎng)絡(luò)(LISP)實現(xiàn),包括輸入隧道路由器(ITR)、映射服務(wù)器及輸出隧 道路由器(ETR),該方法包括
A、所述ITR收到源端主機發(fā)送的數(shù)據(jù)報文后,向所述映射服務(wù)器或ETR發(fā)送映 射請求消息,其中攜帶源端主機的VPN屬性及目的端主機的身份標識;
B、所述映射服務(wù)器或ETR接收所述映射請求消息,根據(jù)所述目的端主機的身 份標識確定所述目的端主機的VPN屬性;
C、所述映射服務(wù)器或ETR比較所述源端主機和目的端主機VPN屬性是否相 同,只有相同時,才進行映射查詢并返回映射響應(yīng)消息,其中攜帶目的端主機的位置標 識,否則,返回不可達信息;
D、所述ITR接收所述映射響應(yīng)消息,根據(jù)所述目的端主機的位置標識向所述 ETR轉(zhuǎn)發(fā)LISP數(shù)據(jù)報文,所述ETR將所述LISP數(shù)據(jù)報文轉(zhuǎn)發(fā)給目的端主機。
進一步地,步驟A前,所述ITR接收到所述源端主機發(fā)送的數(shù)據(jù)報文后,先查 詢本地映射關(guān)系,若查到目的端主機身份標識,且源端主機的VPN屬性與目的端主機的 VPN屬性相同時,獲取目的端主機的位置標識,并根據(jù)所述目的端主機的位置標識向所 述ETR轉(zhuǎn)發(fā)數(shù)據(jù)報文,否則執(zhí)行步驟A。
進一步地,步驟D中,所述ETR源端主機和目的端主機VPN屬性相同時才將所 述LISP數(shù)據(jù)報文轉(zhuǎn)發(fā)給目的端主機。
進一步地,步驟A、C中,所述映射請求消息及映射響應(yīng)消息是通過LISP控制 報文路徑發(fā)送的;步驟D中,所述數(shù)據(jù)報文是通過LISP數(shù)據(jù)報文路徑發(fā)送的,且數(shù)據(jù)報 文中包含VPN屬性。
進一步地,所述VPN屬性包括VPN標識,不同的VPN標識代表不同的VPN網(wǎng)絡(luò)。
進一步地,所述VPN屬性包括源端主機是否是VPN端主機的信息。
為解決以上技術(shù)問題,本發(fā)明還提供一種虛擬專用網(wǎng)絡(luò)的實現(xiàn)系統(tǒng),所述系統(tǒng) 包括輸入隧道路由器(ITR)、映射服務(wù)器及輸出隧道路由器(ETR),其中
所述ITR包括數(shù)據(jù)報文收發(fā)模塊、報文處理模塊、控制報文收發(fā)模塊、本地映 射表、映射查詢模塊,其中
所述數(shù)據(jù)報文收發(fā)模塊,用于接收源端主機發(fā)送的數(shù)據(jù)報文,以及向所述ETR 轉(zhuǎn)發(fā)LISP數(shù)據(jù)報文;
所述報文處理模塊,與所述數(shù)據(jù)報文收發(fā)模塊連接,用于解析收到的數(shù)據(jù)報文 并通知映射查詢模塊,并根據(jù)映射查詢模塊的查詢結(jié)果生成映射請求消息,其中攜帶源 端主機的VPN屬性及目的端主機的身份標識;還用于根據(jù)所述控制報文收發(fā)模塊收到的 映射響應(yīng)消息生成轉(zhuǎn)發(fā)到所述ETR的數(shù)據(jù)報文;
所述控制報文收發(fā)模塊,與所述報文處理模塊連接,用于向所述映射服務(wù)器發(fā) 送所述映射請求消息,以及接收所述映射服務(wù)器發(fā)送的映射響應(yīng)消息;
所述本地映射表,用于保存VPN屬性、身份標識與位置標識的映射關(guān)系;
所述映射查詢模塊,與所述報文處理模塊及本地映射表連接,用于根據(jù)所述源 端主機的身份標識查詢源端主機的VPN屬性;
所述映射服務(wù)器及所述ETR包括控制報文收發(fā)模塊、本地映射表及映射處理模 塊,其中
控制報文收發(fā)模塊,用于接收所述ITR發(fā)送的映射請求消息,以及向所述ITR發(fā) 送映射響應(yīng)消息;
本地映射表,用于保存VPN屬性、身份標識與位置標識的映射關(guān)系;
映射處理模塊,與所述控制報文收發(fā)模塊及本地映射表連接,用于根據(jù)目的端 主機身份標識查詢所述本地映射表獲得目的端主機的VPN屬性,以及比較所述源端主機 的VPN屬性與目的端主機的VPN屬性是否相同,比較結(jié)果相同時,查詢所述本地映射表 獲得目的端主機的位置標識;還用于根據(jù)查詢結(jié)果生成映射響應(yīng)消息;
所述ETR還包括數(shù)據(jù)報文收發(fā)模塊,用于接收所述ITR發(fā)送的數(shù)據(jù)報文。
進一步地,所述ITR的映射查詢模塊還用于根據(jù)目的端主機的身份標識查詢所 述本地映射表,以及比較所述源端主機的VPN屬性與目的端主機的VPN屬性是否相同, 相同時,查詢所述本地映射表獲得目的端主機的位置標識;還用于通知所述報文處理模 塊生成轉(zhuǎn)發(fā)到所述ETR的數(shù)據(jù)報文;若未查到所述目的端主機的映射關(guān)系,還用于通知 所述報文處理模塊生成所述映射請求消息。
進一步地,所述ITR和所述ETR的控制報文收發(fā)模塊,還用于向所述映射服務(wù) 器發(fā)送映射維護請求,其中攜帶維護操作類型及要維護的映射關(guān)系;所述映射服務(wù)器的 控制報文收發(fā)模塊還用于接收所述映射維護請求;所述映射服務(wù)器的映射處理模塊還用 于根據(jù)所述映射維護請求對本地映射表進行維護,所述維護操作類型包括注冊、注銷及 修改。
進一步地,所述映射請求消息及映射響應(yīng)消息是通過LISP控制報文路徑發(fā)送 的;所述數(shù)據(jù)報文是通過LISP數(shù)據(jù)報文路徑發(fā)送的,且數(shù)據(jù)報文中包含VPN屬性。
進一步地,所述VPN屬性包括VPN標識,不同的VPN標識代表不同的虛擬專 用網(wǎng)。
進一步地,所述VPN屬性包括源端主機是否是VPN端主機的信息。
為解決以上技術(shù)問題,本發(fā)明還提供另一種虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法,所述方 法基于位置身份分離(LISP)框架下的虛擬專用(VPN)網(wǎng)絡(luò)實現(xiàn)系統(tǒng)實現(xiàn),所述VPN網(wǎng) 絡(luò)實現(xiàn)系統(tǒng)保存VPN屬性、身份標識及位置標識的映射關(guān)系,該方法包括
報文接收步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)接收源端主機發(fā)送的報文;
映射處理步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)比較源端主機的VPN屬性和目的端主機 的VPN屬性是否相同,相同時,查詢所述映射關(guān)系,獲得所述目的端主機的位置標識, 不相同時產(chǎn)生不可達信息;
報文處理步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)根據(jù)所述目的端主機的位置標識進行報 文轉(zhuǎn)發(fā)或根據(jù)不可達信息結(jié)束流程。
進一步地,所述報文處理步驟中,所述報文處理裝置比較源端主機和目的端主 機的VPN屬性相同時,再進行報文轉(zhuǎn)發(fā),否則流程結(jié)束。
進一步地,所述映射處理步驟由LISP網(wǎng)絡(luò)架構(gòu)中的輸入隧道路由器(ITR)、映射服務(wù)器或輸出隧道路由器(ETR)實現(xiàn)。
進一步地,所述VPN屬性包括VPN標識,不同的VPN標識代表不同的VPN網(wǎng)
進一步地,所述VPN屬性包括源端主機是否是VPN端主機的信息。
為解決以上技術(shù)問題,本發(fā)明還提供了另一種虛擬專用網(wǎng)絡(luò)的實現(xiàn)系統(tǒng),該系 統(tǒng)基于位置身份分離架構(gòu)的網(wǎng)絡(luò)實現(xiàn),包括
報文接收裝置,用于接收源端主機發(fā)送的報文,并通知映射處理裝置進行映射 處理;
所述映射處理裝置,與所述報文接收裝置連接,保存虛擬專用網(wǎng)(VPN)屬性、 身份標識及位置標識的映射關(guān)系,用于進行映射處理,具體包括比較源端主機和目的端 主機的VPN屬性是否相同,相同時,查詢保存的映射關(guān)系,獲得所述目的端主機的位置 標識,不相同時產(chǎn)生不可達信息;還用于將所述映射處理結(jié)果發(fā)送給報文處理裝置;
所述報文處理裝置,與所述映射處理裝置連接,用于接收所述映射處理結(jié)果, 以及根據(jù)所述映射處理進行報文處理,具體包括根據(jù)目的端主機的位置標識進行報文 轉(zhuǎn)發(fā)以及根據(jù)不可達信息結(jié)束通信流程。
進一步地,所述報文處理裝置還用于比較源端主機和目的端主機的VPN屬性是 否相同,相同時,再進行報文轉(zhuǎn)發(fā),否則流程結(jié)束。
進一步地,所述映射處理裝置由輸入隧道路由器(ITR)、映射服務(wù)器或輸出隧道 路由器(ETR)實現(xiàn),所述報文接收裝置及報文處理裝置由所述ITR實現(xiàn)。
進一步地,所述VPN屬性包括VPN標識,不同的VPN標識代表不同的VPN網(wǎng)
進一步地,所述VPN屬性包括源端主機是否是VPN端主機的信息。
本發(fā)明虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法和系統(tǒng)的主要思想是基于位置身份分離網(wǎng)絡(luò)實 現(xiàn)VPN,在身份標識與位置標識的映射關(guān)系中增加對應(yīng)的VPN屬性,在進行映射處理 時,判斷源端主機的VPN屬性與目的端主機的VPN屬性相同時,再查詢目的端主機的位 置標識,從而根據(jù)目的端主機的位置標識實現(xiàn)數(shù)據(jù)報文的轉(zhuǎn)發(fā);VPN屬性不相同時,返 回不可達信息,從而有效地實現(xiàn)了虛擬專用網(wǎng)絡(luò),保證了 VPN端主機通信的便利性和安 全性,滿足了用戶對虛擬專用網(wǎng)的需求。
圖1是位置身份分離的LISP網(wǎng)絡(luò)架構(gòu)的組成示意圖。
圖2是LISP+ALT網(wǎng)絡(luò)架構(gòu)示意圖。
圖3是本發(fā)明虛擬專用網(wǎng)絡(luò)的實現(xiàn)系統(tǒng)示意圖。
圖4是本發(fā)明虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法示意圖。
具體實施方式
LISP (Locator/ID Separation Protocol,位置身份分離協(xié)議)協(xié)議網(wǎng)絡(luò)架構(gòu)是一種基于網(wǎng)絡(luò)的位置身份分離方案(具體內(nèi)容參見互聯(lián)網(wǎng)工程任務(wù)論壇IETF的LISP工作組的 技術(shù)文檔的最新版本,draft-farinacci-lisp-ll.txt),將現(xiàn)有互聯(lián)網(wǎng)的IP地址分為身份標識EID (Endpoint identifier)和位置標識RLOC (Routing Locator),方案的優(yōu)點是不需要改變目前終端主機的協(xié)議棧,終端的兼容性好,重點在于解決網(wǎng)絡(luò)路由規(guī)模的可擴展性、流量 工程和移動性。LISP的網(wǎng)絡(luò)架構(gòu)示意圖見圖1,包括EID標識的端主機、輸入隧道路由 器 ITR (ingress tunnel router)和輸出隧道路由器 ETR (egress tunnelrouter),其中 ITR 和 ETR 通過LISP控制報文路徑和LISP數(shù)據(jù)報文路徑連接,從圖中可見這兩條路徑不相同,處理 身份和位置映射的消息使用LISP協(xié)議從LISP控制報文路徑轉(zhuǎn)發(fā),而LISP封裝數(shù)據(jù)報文 從LISP數(shù)據(jù)報文路徑轉(zhuǎn)發(fā)。在ITR和ETR的LISP控制報文路徑上,還設(shè)置映射服務(wù)器 用于進行映射處理,圖中未示出。
LISP方案通過建立一種邏輯拓撲來實現(xiàn)身份標識EID (Endpointidentifier)和位置 標識RLOC (Routing Locator)的映射管理,使用現(xiàn)有的LISP協(xié)議,共有4種發(fā)展路徑, 差別在于LISP控制報文的路徑的不同,其中LISP3是一種發(fā)展的路徑,EID不可路由, 需要映射處理,其中LISP+ALT (LISP Alternative Topology,具體內(nèi)容參見互聯(lián)網(wǎng)工程任 務(wù)論壇IETF的LISP工作組的技術(shù)文檔的最新版本,draft-foller-lisp-alt_05.txt)的研究比 較多,LISP+ALT網(wǎng)絡(luò)架構(gòu)示意見圖2,LISP+ALT是使用GRE和BGP路由協(xié)議來構(gòu)建 一個基于現(xiàn)有網(wǎng)絡(luò)架構(gòu)的疊加網(wǎng)(OverlayNetwork),構(gòu)建LISP控制報文路徑,隧道路由 器使用這個疊加網(wǎng)來查詢和響應(yīng)身份標識和位置標識的映射關(guān)系,映射關(guān)系存在于本地 緩存(Cache)禾口分布的數(shù)據(jù)庫(thedistributed Endpoint Identifier-to-Routing Locator Mapping Database)中,LISP的兩種接入控制路由器ITR、ETR以及映射服務(wù)器共同完成映射關(guān)系 的處理。
圖2中的ALT rtr表示ALT疊加網(wǎng)的路由器(router)。
本發(fā)明虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法和系統(tǒng)的主要思想是基于位置身份分離網(wǎng)絡(luò)實 現(xiàn)VPN,在身份標識與位置標識的映射關(guān)系中增加對應(yīng)的VPN屬性,在進行映射處理 時,判斷源端主機的VPN屬性與目的端主機的VPN屬性相同時,再查詢目的端主機的位 置標識,從而根據(jù)目的端主機的位置標識實現(xiàn)數(shù)據(jù)報文的轉(zhuǎn)發(fā);VPN屬性不相同時,返 回不可達信息,通信失敗,從而保證VPN端主機通信的安全性,滿足了用戶對虛擬專用 網(wǎng)的需求。
本發(fā)明虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法,所述方法基于位置身份分離網(wǎng)絡(luò)(LISP)實 現(xiàn),包括輸入隧道路由器(ITR)、映射服務(wù)器及輸出隧道路由器(ETR),所述ITR、映射 服務(wù)器及ETR保存虛擬專用網(wǎng)(VPN)屬性、身份標識及位置標識的映射關(guān)系,該方法包 括
A、所述ITR收到源端主機發(fā)送的數(shù)據(jù)報文后,根據(jù)本地映射關(guān)系確定源端主機 的VPN屬性,并向所述映射服務(wù)器或ETR發(fā)送映射請求消息,其中攜帶源端主機的VPN 屬性及目的端主機的身份標識;
輸入隧道路由器ITR接收源端主機發(fā)送的單層LISP報文(沒有LISP的頭),并 發(fā)送映射請求消息,等待響應(yīng)作LISP封裝;
B、所述映射服務(wù)器或ETR接收所述映射請求消息,根據(jù)所述目的端主機的身 份標識確定所述目的端主機的VPN屬性;
C、所述映射服務(wù)器或ETR比較所述源端主機和目的端主機VPN屬性是否相 同,相同時,向所述ITR返回映射響應(yīng)消息,其中攜帶目的端主機的位置標識(RLOC),否則,返回不可達信息,流程結(jié)束;
D、所述ITR接收所述映射響應(yīng)消息,根據(jù)所述目的端主機的位置標識向所述 ETR轉(zhuǎn)發(fā)數(shù)據(jù)報文,所述ETR將所述LISP數(shù)據(jù)報文轉(zhuǎn)發(fā)給目的端主機。
ITR接收到映射響應(yīng)消息后,可以根據(jù)映射響應(yīng)消息中隱含的或完整的、目的端 主機的映射關(guān)系更新本地的映射關(guān)系,這樣ITR在接收到源端主機發(fā)送的后續(xù)的數(shù)據(jù)報 文后,可以根據(jù)本地的映射關(guān)系直接進行映射處理及數(shù)據(jù)報文轉(zhuǎn)發(fā),ITR的映射處理與映 射服務(wù)器及ETR的映射處理過程相同,即查詢本地映射關(guān)系,若查到目的端主機身份 標識,且源端主機的VPN屬性與目的端主機的VPN屬性相同時,獲取目的端主機的位置 標識;
在本地映射關(guān)系查詢不到目的端主機的身份標識情況下,對于ITR、映射服務(wù) 器和ETR有不同的處理方式對于ITR來說,如果在本地查詢不到目的端主機的身份標 識,則向映射服務(wù)器發(fā)送映射請求消息;對于映射服務(wù)器來說,如果在本地查詢不到目 的端主機的身份標識,則向ETR轉(zhuǎn)發(fā)映射請求消息;對于ETR來說,如果在本地查詢不 到目的端主機的身份標識,則通過映射服務(wù)器向ITR返回不可達信息。
數(shù)據(jù)報文轉(zhuǎn)發(fā)時,ITR先將數(shù)據(jù)報文進行LISP封裝,LISP協(xié)議封裝報文的外層 報文頭(outer header)的源和目的地址分別是ITR和ETP的IP地址,即RLOC,將LISP 封裝的數(shù)據(jù)報文通過數(shù)據(jù)報文路徑轉(zhuǎn)發(fā)到ETR路由器,ETR進行LISP解封裝后,將數(shù)據(jù) 報文發(fā)送給EID終端。
具體實現(xiàn)時,一個端主機的EID可以映射一個或者幾個RLOC。
以上所說的映射請求消息及映射響應(yīng)消息通過LISP控制報文路徑發(fā)送;而數(shù)據(jù) 報文則通過LISP數(shù)據(jù)報文路徑發(fā)送。
在不同的實現(xiàn)方式下,VPN屬性具有不同的含義,存在以下幾種情況
1、位置身份分離網(wǎng)絡(luò)中包括多個VPN網(wǎng)絡(luò)的端主機,則不同的VPN設(shè)置不同 的VPN標識,VPN屬性指端主機的VPN標識。
2、位置身份分離網(wǎng)絡(luò)中包括VPN網(wǎng)絡(luò)的端主機和非VPN網(wǎng)絡(luò)的端主機,VPN 屬性指端主機是否屬于VPN端主機。
3、位置身份分離網(wǎng)絡(luò)中包括多個VPN網(wǎng)絡(luò)的端主機和非VPN網(wǎng)絡(luò)的端主機, VPN屬性指端主機是否屬于VPN端主機,以及屬于VPN端主機時,所屬的VPN標識。
對于VPN端主機來說,只有VPN標識相同,才能建立VPN用戶間的通信,否 則不能建立通信,保證VPN端主機不能和該VPN以外的端主機建立通信,VPN以外的 端主機也無法訪問VPN網(wǎng)絡(luò),保證VPN網(wǎng)絡(luò)安全性。
當映射關(guān)系發(fā)生變化時,ITR及ETR通過LISP控制報文路徑向映射服務(wù)器發(fā)送 的映射維護消息,其中攜帶維護操作類型及要維護的映射關(guān)系;所述映射服務(wù)器根據(jù)映 射維護請求對本地映射表進行維護,所述維護操作類型包括注冊、注銷及修改。
另外,ITR和映射服務(wù)器還可以根據(jù)映射響應(yīng)消息中攜帶的映射關(guān)系對本地映射 關(guān)系進行更新。應(yīng)當理解的是,本發(fā)明所說的ITR和ETR是互為輸入隧道路由器和輸出 隧道路由器的。為了便于說明,本發(fā)明根據(jù)數(shù)據(jù)報文的傳輸方向界定輸入隧道路由器和 輸出隧道路由器。
實施例在LISP (Locator/ID Separation Protocol)協(xié)議網(wǎng)絡(luò)架構(gòu)下的實施本發(fā)明的虛擬專用網(wǎng)絡(luò)VPN。
在LISP網(wǎng)絡(luò)架構(gòu)下實現(xiàn)VPN時,VPN端主機的映射關(guān)系和非VPN端主機的映 射關(guān)系可以在不同映射表中保存,也可以在同一個映射表中保存,無論哪種實現(xiàn)方式, 映射關(guān)系都可以體現(xiàn)VPN屬性、身份標識與位置標識的映射關(guān)系。
以下以分表保存為例進行說明
首先為虛擬專用網(wǎng)絡(luò)VPN的身份標識為EID的端主機設(shè)置VPN標識,構(gòu)建虛 擬專用網(wǎng)絡(luò)VPN專用的映射表,包括VPN標識和屬于該VPN的所有用戶端主機的身份 標識EID和位置標識RLOC的映射關(guān)系,這種情況下,VPN屬性僅用VPN標識即可體 現(xiàn)。對于VPN端主機和非VPN端主機共存的情況,LISP網(wǎng)絡(luò)架構(gòu)下有兩種映射表,一 種是LISP映射表,沒有VPN標識,另一種就是有VPN標識的VPN映射表。LISP映射 表中,端主機的VPN屬性即默認的非VPN端主機。LISP映射表和VPN映射表統(tǒng)稱為 映射表。
每個VPN網(wǎng)絡(luò)有一個VPN標識(VPN_ID)進行標識,這樣一個LISP網(wǎng)絡(luò)架構(gòu)下可以支持多個VPN,滿足眾多企業(yè)網(wǎng)的應(yīng)用需要。
VPN映射表中的用戶端主機的映射關(guān)系可以動態(tài)的加入或者刪除。
ITR接收端主機LISP報文后,如果該報文的源EID屬于VPN,表示ITR接收處 理該端主機報文的時候,只能查詢該用戶所屬VPN的VPN映射表,就是說VPN標識必 須相同,才能建立VPN用戶間的通信,否則不能建立通信,保證不能和該VPN映射表以 外的用戶建立通信,VPN映射表以外的用戶不能查詢VPN映射表,無法訪問VPN網(wǎng)絡(luò), 保證VPN網(wǎng)絡(luò)安全性。同樣輸出隧道路由器和映射服務(wù)器做映射處理的時候,也要比較 雙方的VPN標識是否相同,保證只能在VPN內(nèi)部建立通信。
VPN映射表構(gòu)建示例
第一個虛擬專用網(wǎng)絡(luò)VPN,用戶為EID(al,。。。,kl),分配VPN標識VPN_ ID_(1),可以構(gòu)建VPN映射表如下
權(quán)利要求
1.一種虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法,其特征在于所述方法基于位置身份分離網(wǎng)絡(luò) (LISP)實現(xiàn),包括輸入隧道路由器(ITR)、映射服務(wù)器及輸出隧道路由器(ETR),該方 法包括A、所述ITR收到源端主機發(fā)送的數(shù)據(jù)報文后,向所述映射服務(wù)器或ETR發(fā)送映射請 求消息,其中攜帶源端主機的VPN屬性及目的端主機的身份標識;B、所述映射服務(wù)器或ETR接收所述映射請求消息,根據(jù)所述目的端主機的身份標 識確定所述目的端主機的VPN屬性;C、所述映射服務(wù)器或ETR比較所述源端主機和目的端主機VPN屬性是否相同,只 有相同時,才進行映射查詢并返回映射響應(yīng)消息,其中攜帶目的端主機的位置標識,否 則,返回不可達信息;D、所述ITR接收所述映射響應(yīng)消息,根據(jù)所述目的端主機的位置標識向所述ETR轉(zhuǎn) 發(fā)LISP數(shù)據(jù)報文,所述ETR將所述LISP數(shù)據(jù)報文轉(zhuǎn)發(fā)給目的端主機。
2.如權(quán)利要求1所述的方法,其特征在于步驟A前,所述ITR接收到所述源端主 機發(fā)送的數(shù)據(jù)報文后,先查詢本地映射關(guān)系,若查到目的端主機身份標識,且源端主機 的VPN屬性與目的端主機的VPN屬性相同時,獲取目的端主機的位置標識,并根據(jù)所述 目的端主機的位置標識向所述ETR轉(zhuǎn)發(fā)數(shù)據(jù)報文,否則執(zhí)行步驟A。
3.如權(quán)利要求1所述的方法,其特征在于步驟D中,所述ETR源端主機和目的端 主機VPN屬性相同時才將所述LISP數(shù)據(jù)報文轉(zhuǎn)發(fā)給目的端主機。
4.如權(quán)利要求1所述的方法,其特征在于步驟A、C中,所述映射請求消息及映射 響應(yīng)消息是通過LISP控制報文路徑發(fā)送的;步驟D中,所述數(shù)據(jù)報文是通過LISP數(shù)據(jù) 報文路徑發(fā)送的,且數(shù)據(jù)報文中包含VPN屬性。
5.如權(quán)利要求1至4中任一項所述的方法,其特征在于所述VPN屬性包括VPN標 識,不同的VPN標識代表不同的VPN網(wǎng)絡(luò)。
6.如權(quán)利要求1至4中任一項所述的方法,其特征在于所述VPN屬性包括源端主 機是否是VPN端主機的信息。
7.—種虛擬專用網(wǎng)絡(luò)的實現(xiàn)系統(tǒng),其特征在于,所述系統(tǒng)包括輸入隧道路由器 (ITR)、映射服務(wù)器及輸出隧道路由器(ETR),其中所述ITR包括數(shù)據(jù)報文收發(fā)模塊、報文處理模塊、控制報文收發(fā)模塊、本地映射 表、映射查詢模塊,其中所述數(shù)據(jù)報文收發(fā)模塊,用于接收源端主機發(fā)送的數(shù)據(jù)報文,以及向所述ETR轉(zhuǎn)發(fā) LISP數(shù)據(jù)報文;所述報文處理模塊,與所述數(shù)據(jù)報文收發(fā)模塊連接,用于解析收到的數(shù)據(jù)報文并通 知映射查詢模塊,并根據(jù)映射查詢模塊的查詢結(jié)果生成映射請求消息,其中攜帶源端主 機的VPN屬性及目的端主機的身份標識;還用于根據(jù)所述控制報文收發(fā)模塊收到的映射 響應(yīng)消息生成轉(zhuǎn)發(fā)到所述ETR的數(shù)據(jù)報文;所述控制報文收發(fā)模塊,與所述報文處理模塊連接,用于向所述映射服務(wù)器發(fā)送所 述映射請求消息,以及接收所述映射服務(wù)器發(fā)送的映射響應(yīng)消息;所述本地映射表,用于保存VPN屬性、身份標識與位置標識的映射關(guān)系;所述映射查詢模塊,與所述報文處理模塊及本地映射表連接,用于根據(jù)所述源端主機的身份標識查詢源端主機的VPN屬性;所述映射服務(wù)器及所述ETR包括控制報文收發(fā)模塊、本地映射表及映射處理模塊, 其中控制報文收發(fā)模塊,用于接收所述ITR發(fā)送的映射請求消息,以及向所述ITR發(fā)送映 射響應(yīng)消息;本地映射表,用于保存VPN屬性、身份標識與位置標識的映射關(guān)系;映射處理模塊,與所述控制報文收發(fā)模塊及本地映射表連接,用于根據(jù)目的端主機 身份標識查詢所述本地映射表獲得目的端主機的VPN屬性,以及比較所述源端主機的 VPN屬性與目的端主機的VPN屬性是否相同,比較結(jié)果相同時,查詢所述本地映射表獲 得目的端主機的位置標識;還用于根據(jù)查詢結(jié)果生成映射響應(yīng)消息;所述ETR還包括數(shù)據(jù)報文收發(fā)模塊,用于接收所述ITR發(fā)送的數(shù)據(jù)報文。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于所述ITR的映射查詢模塊還用于根據(jù)目的 端主機的身份標識查詢所述本地映射表,以及比較所述源端主機的VPN屬性與目的端主 機的VPN屬性是否相同,相同時,查詢所述本地映射表獲得目的端主機的位置標識;還 用于通知所述報文處理模塊生成轉(zhuǎn)發(fā)到所述ETR的數(shù)據(jù)報文;若未查到所述目的端主機 的映射關(guān)系,還用于通知所述報文處理模塊生成所述映射請求消息。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于所述ITR和所述ETR的控制報文收發(fā)模 塊,還用于向所述映射服務(wù)器發(fā)送映射維護請求,其中攜帶維護操作類型及要維護的映 射關(guān)系;所述映射服務(wù)器的控制報文收發(fā)模塊還用于接收所述映射維護請求;所述映射 服務(wù)器的映射處理模塊還用于根據(jù)所述映射維護請求對本地映射表進行維護,所述維護 操作類型包括注冊、注銷及修改。
10.如權(quán)利要求7所述的系統(tǒng),其特征在于所述映射請求消息及映射響應(yīng)消息是通 過LISP控制報文路徑發(fā)送的;所述數(shù)據(jù)報文是通過LISP數(shù)據(jù)報文路徑發(fā)送的,且數(shù)據(jù)報 文中包含VPN屬性。
11.如權(quán)利要求7至10中任一項所述的系統(tǒng),其特征在于所述VPN屬性包括VPN 標識,不同的VPN標識代表不同的虛擬專用網(wǎng)。
12.如權(quán)利要求7至10中任一項所述的系統(tǒng),其特征在于所述VPN屬性包括源端 主機是否是VPN端主機的信息。
13.—種虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法,其特征在于,所述方法基于位置身份分離(LISP) 框架下的虛擬專用(VPN)網(wǎng)絡(luò)實現(xiàn)系統(tǒng)實現(xiàn),所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)保存VPN屬性、 身份標識及位置標識的映射關(guān)系,該方法包括報文接收步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)接收源端主機發(fā)送的報文;映射處理步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)比較源端主機的VPN屬性和目的端主機的 VPN屬性是否相同,相同時,查詢所述映射關(guān)系,獲得所述目的端主機的位置標識,不 相同時產(chǎn)生不可達信息;報文處理步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)根據(jù)所述目的端主機的位置標識進行報文轉(zhuǎn) 發(fā)或根據(jù)不可達信息結(jié)束流程。
14.如權(quán)利要求13所述的方法,其特征在于所述報文處理步驟中,所述報文處理 裝置比較源端主機和目的端主機的VPN屬性相同時,再進行報文轉(zhuǎn)發(fā),否則流程結(jié)束。
15.如權(quán)利要求13所述的方法,其特征在于所述映射處理步驟由LISP網(wǎng)絡(luò)架構(gòu)中 的輸入隧道路由器(ITR)、映射服務(wù)器或輸出隧道路由器(ETR)實現(xiàn)。
16.如權(quán)利要求13至15中任一項所述的方法,其特征在于所述VPN屬性包括VPN 標識,不同的VPN標識代表不同的VPN網(wǎng)絡(luò)。
17.如權(quán)利要求13至15中任一項所述的方法,其特征在于所述VPN屬性包括源端 主機是否是VPN端主機的信息。
18.—種虛擬專用網(wǎng)絡(luò)的實現(xiàn)系統(tǒng),其特征在于,該系統(tǒng)基于位置身份分離架構(gòu)的網(wǎng) 絡(luò)實現(xiàn),包括報文接收裝置,用于接收源端主機發(fā)送的報文,并通知映射處理裝置進行映射處理;所述映射處理裝置,與所述報文接收裝置連接,保存虛擬專用網(wǎng)(VPN)屬性、身 份標識及位置標識的映射關(guān)系,用于進行映射處理,具體包括比較源端主機和目的端主 機的VPN屬性是否相同,相同時,查詢保存的映射關(guān)系,獲得所述目的端主機的位置標 識,不相同時產(chǎn)生不可達信息;還用于將所述映射處理結(jié)果發(fā)送給報文處理裝置;所述報文處理裝置,與所述映射處理裝置連接,用于接收所述映射處理結(jié)果,以及 根據(jù)所述映射處理進行報文處理,具體包括根據(jù)目的端主機的位置標識進行報文轉(zhuǎn)發(fā) 以及根據(jù)不可達信息結(jié)束通信流程。
19.如權(quán)利要求18所述的系統(tǒng),其特征在于所述報文處理裝置還用于比較源端主 機和目的端主機的VPN屬性是否相同,相同時,再進行報文轉(zhuǎn)發(fā),否則流程結(jié)束。
20.如權(quán)利要求18所述的系統(tǒng),其特征在于所述映射處理裝置由輸入隧道路由器 (ITR)、映射服務(wù)器或輸出隧道路由器(ETR)實現(xiàn),所述報文接收裝置及報文處理裝置 由所述ITR實現(xiàn)。
21.如權(quán)利要求18至20中任一項所述的系統(tǒng),其特征在于所述VPN屬性包括VPN 標識,不同的VPN標識代表不同的VPN網(wǎng)絡(luò)。
22.如權(quán)利要求18至20中任一項所述的系統(tǒng),其特征在于所述VPN屬性包括源端 主機是否是VPN端主機的信息。
全文摘要
本發(fā)明虛擬專用網(wǎng)絡(luò)的實現(xiàn)方法,包括報文接收步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)接收源端主機發(fā)送的報文;映射處理步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)比較源端主機的VPN屬性和目的端主機的VPN屬性是否相同,相同時,查詢所述映射關(guān)系,獲得所述目的端主機的位置標識,不相同時產(chǎn)生不可達信息;報文處理步驟,所述VPN網(wǎng)絡(luò)實現(xiàn)系統(tǒng)根據(jù)所述目的端主機的位置標識進行報文轉(zhuǎn)發(fā)或根據(jù)不可達信息結(jié)束流程。本發(fā)明方法和系統(tǒng)可以在位置身份分離網(wǎng)絡(luò)中實現(xiàn)虛擬專用網(wǎng)絡(luò)。
文檔編號H04L12/46GK102025591SQ20091017678
公開日2011年4月20日 申請日期2009年9月18日 優(yōu)先權(quán)日2009年9月18日
發(fā)明者孫翼舟, 晏祥彪 申請人:中興通訊股份有限公司