本发明公开了一种实现VPN配置服务的方法、装置和系统。本发明中,网络收到VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;验证通过后,更新所述目录服务表,完成所述VPN配置。本发明通过目录服务器和目录服务表配置VPN策略信息和VPN成员信息,当VPN网络发生动态变化时,查询目录服务表快速实现VPN成员的增加、删除等操作,以及VPN策略的动态变化,提高了VPN服务的效率;通过VPN策略信息的设置,将用户的VPN连接请求限定在封闭用户组内并且对用户的VPN连接请求进行相应的控制,从而实现了灵活的管理方式。
1.一种实现VPN配置服务的方法,其特征在于,在目录服务器保存至少包含VPN ID以及VPN策略信息的目录服务表,用于验证VPN配置请求消息和/或用于设置所述VPN配置请求信息,所述方法包括:网络侧接收VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;
验证通过后,更新所述目录服务表,并根据更新后的目录服务表进行相应的VPN配置。
2.如权利要求1所述的方法,其特征在于,所述目录服务表保存在目录服务器上,目录服务器对所述VPN配置请求消息进行验证。
3.如权利要求1所述的方法,其特征在于,所述目录服务器驻留在网络边缘设备上,所述网络边缘设备对所述VPN配置请求消息进行验证。
4.如权利要求1所述的方法,其特征在于,对所述VPN配置请求消息进行验证具体包括:验证所述VPN配置请求消息是否符合相应的VPN策略信息。
5.如权利要求1所述的方法,其特征在于,所述VPN配置请求消息是用于请求添加VPN成员的消息,所述VPN配置请求消息包括VPN ID和VPN成员标识,所述更新目录服务表的步骤包括:当确定所述VPN ID存在于目录服务表中,则进一步验证所述VPN成员标识是否存在于所述VPN ID对应的表项中,否则,将所述VPN成员标识添加到目录服务表中;或者,当所述VPN ID存在于目录服务表中,则进一步验证所述VPN成员标识是否存在于所述VPN ID对应的表项中,否则进一步验证是否符合目录服务表中基于所述VPN的策略信息,若符合,则验证通过,将所述VPN成员标识添加到目录服务表中。
6.如权利要求1所述的方法,其特征在于,所述VPN配置请求消息是请求删除VPN成员的消息,所述VPN配置请求消息包括VPN ID和VPN成员标识,所述更新目录服务表的步骤包括:当确定所述VPN ID与所述VPN成员标识存在于目录服务表的一个表项中,则进一步验证所述表项中的策略信息是否允许VPN成员动态退出,若是,则验证通过,删除目录服务表中的所述表项。
7.如权利要求1所述的方法,其特征在于,所述VPN配置请求消息是请求修改VPN策略的消息,所述VPN配置请求消息包括VPN ID、VPN成员标识和基于CE的策略信息,所述更新目录服务表的步骤包括:当所述VPN ID与所述VPN成员标识存在于目录服务表的一个表项中,则进一步验证所述表项中的策略信息是否允许VPN成员动态修改VPN策略,若是,则验证通过,将目录服务表的所述表项中基于CE的策略信息更新为所述配置请求消息中的基于CE的策略信息。
8.如权利要求1所述的方法,其特征在于,所述VPN配置请求消息是修改VPN策略的请求消息,所述VPN配置请求消息包括VPN ID、VPN成员标识和基于VPN的策略信息,所述更新所述目录服务表具体包括步骤:当确定所述VPN ID与所述VPN成员标识存在于目录服务表的一个表项中,则进一步验证所述表项中的策略信息是否允许VPN成员动态修改VPN策略,若是,则验证通过,并将目录服务表的所述表项中基于VPN的策略信息更新为所述配置请求消息中的基于VPN的策略信息。
9.如权利要求1所述的方法,其特征在于,进一步包括:
更新所述目录服务表并进行相应的VPN配置后,用户之间需要建立VPN连接时,发送VPN连接请求消息,所述VPN连接请求消息中包括VPN ID、源VPN成员标识和目的VPN成员标识,网络根据所述目录服务表验证所述VPN连接请求消息,
10.一种实现VPN配置服务的系统,包括用户边缘设备、网络边缘设备和网络内部设备,网络边缘设备与至少一个用户边缘设备相连,且与其他的网络边缘设备或网络内部设备相连,其特征在于,还包括目录服务器,所述目录服务器上保存至少包含VPN ID以及VPN策略信息的目录服务表,用于验证VPN配置请求消息和/或用于设置所述VPN配置信息;
当网络侧收到VPN配置请求消息,所述目录服务器利用所述目录服务表对所述VPN配置请求消息进行验证;
验证通过后,所述目录服务器更新所述目录服务表,并根据更新后的目录服务表进行相应的VPN配置。
11.如权利要求10所述的系统,其特征在于,所述目录服务器包括验证程序模块、配置程序模块和存储单元,所述存储单元,用于存储所述目录服务表,所述目录服务表至少包含VPN ID以及VPN策略信息;
所述验证程序模块,用于在网络侧接收VPN配置请求消息时,根据所述目录服务表对所述VPN配置请求消息进行验证,若验证通过,则发送配置消息给配置程序模块;
所述配置程序模块,根据接收到的接收到所述配置请求消息,更新所述目录服务表,并根据更新后的目录服务表进行相应的VPN配置。
所述目录服务器驻留在网络边缘设备或网络内部设备上;或者
13.一种目录服务器,其特征在于,包括验证程序模块、配置程序模块和存储单元,所述存储单元,用于存储目录服务表,所述目录服务表至少包含VPN ID以及VPN策略信息;
所述验证程序模块,用于在网络侧接收VPN配置请求消息时,根据所述目录服务表对所述VPN配置请求消息进行验证,若验证通过,则发送配置请求消息给配置程序模块;
所述配置程序模块,用于根据接收到的所述配置请求消息,更新所述目录服务表,并根据更新后的目录服务表进行相应的VPN配置。
一种实现VPN配置服务的方法、装置和系统
[0001] 本申请要求于2006年06月02日提交中国专利局、申请号为200610060995.6、发明名称为“一种实现VPN配置服务的方法和系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
[0002] 本发明涉及网络与通信技术领域,具体涉及一种实现VPN配置服务的方法、装置和系统。
背景技术
[0003] VPN网络通常由用户边缘设备(CE,Customer Edge)、网络边缘设备(PE,Provider Edge)和P设备(Provider,网络内部设备)构成。其中CE设备是用户边缘节点,是在同一个站点的VPN用户端点的出/入口;PE设备是传送网络的边缘节点,作为传送网络负责向用户提供VPN服务的边缘设备,一个PE设备至少与一个CE设备相连,并且至少和另外一个传送网络设备,即PE或者P相连。P设备是传送网络内部的传送设备,P设备和传送网络内部其它的传送设备相连,但不直接和CE设备相连。
[0004] 现有技术提供的一种方案:
[0005] VPN服务通常由网络管理系统(NMS,Network Management System)来实现,如图1所示,通过NMS完成VPN网络的配置和用户VPN连接业务的建立,具体步骤如下:
[0006] 1、在NMS中手动配置VPN信息,包括VPN成员信息、VPN策略信息等;
[0007] 2、用户需要建立VPN连接时,用户向NMS发送VPN连接请求消息;
[0008] 3、NMS根据预先配置的VPN信息验证用户请求,验证通过后,建立网络连接。
[0009] 现有技术的另一方案:
[0010] 通过边界网关协议(BGP,Border Gateway Protocol)实现VPN成员的自动发现并提供VPN服务的方法。结合其中所描述的成员自动发现方法,网络提供VPN连接服务的具体步骤如下:
[0011] 1、在PE设备上配置所接入的VPN成员信息,并通过来标识该VPN成员,其中CPI为CE设备上接入网络设备的端口标识,PPI为PE设备上连接该CE设备的端口标识;
[0012] 2、PE设备通过配置VPN成员信息后,通过BGP协议与该VPN中的其它PE设备进行交互,通过这种BGP的自动发现机制最终会在VPN中所有的PE设备中形成VPN成员信息表PIT;
[0013] 3、当某个CE设备需要和VPN中的其它成员之间通讯时,PE设备根据VPN成员信息表PIT来验证用户VPN通讯请求,验证通过后,建立VPN网络连接。
[0014] 在上述现有技术方案中,VPN成员信息以及VPN策略信息都需要通过管理员在NMS或者PE设备上进行手动配置;当VPN成员发生动态变化时,对VPN网络配置信息的增加、删除和修改等操作的时延大,管理方式不灵活。
发明内容
[0015] 本发明提供一种实现VPN配置服务的方法、装置和系统,能够灵活配置VPN成员信息,并设置VPN策略信息,实现VPN成员的动态加入和退出处理。
[0016] 本发明实施例提供一种实现VPN配置服务的方法,包括:
[0017] 网络侧接收VPN配置请求消息,利用目录服务表对所述VPN配置请求消息进行验证;
[0018] 验证通过后,更新所述目录服务表,并根据更新后的目录服务表进行相应的VPN配置。
[0019] 本发明实施例提供一种实现VPN配置服务的系统,包括用户边缘设备、网络边缘设备和网络内部设备,网络边缘设备与至少一个用户边缘设备相连,且与其他的网络边缘设备或网络内部设备相连,还包括目录服务器,
[0020] 所述目录服务器上保存至少包含VPN ID以及VPN策略信息的目录服务表,用于验证VPN配置请求消息和/或用于设置所述VPN配置信息。
[0021] 当网络侧收到VPN配置请求消息,所述目录服务器利用所述目录服务表对所述VPN配置请求消息进行验证;
[0022] 验证通过后,所述目录服务器更新所述目录服务表,并根据更新后的目录服务表进行相应的VPN配置。
[0023] 本发明实施例提供一种目录服务器,包括验证模块、配置模块和存储单元,[0024] 所述存储单元,用于存储目录服务表;
[0025] 所述验证模块,根据所述目录服务表对所述VPN配置请求消息进行验证,若验证通过,则发送配置请求消息给配置模块;
[0026] 所述配置模块,用于根据接收到的所述配置请求消息,更新所述目录服务表。
[0027] 本发明提供的技术方案中,基于目录服务实现对VPN的配置服务,VPN成员信息以及VPN策略信息均由目录服务表存储,当用户请求对VPN配置信息进行改变时,通过查询目录服务表快速实现VPN成员的增加、删除,以及VPN策略信息的配置修改等操作,提高了VPN服务的效率,另外,可以通过设置VPN策略信息,将用户的VPN连接请求限定在封闭用户组内并且对用户的VPN连接请求进行控制。
附图说明
[0028] 图1为现有技术中网管系统实现VPN服务的示意图;
[0029] 图2为本发明中实现VPN配置服务的系统示意图;
[0030] 图3为本发明中目录服务器的结构示意图;
[0031] 图4为本发明中实现VPN配置服务的方法示意图。
具体实施方式
[0032] 下面结合说明书附图来说明本发明的具体实施方式。
[0033] 本发明通过目录服务来实现VPN配置。在本发明提供的系统中,网络包括目录服务器,该目录服务器可以驻留在网络之外单独的计算机上,也可以驻留在网络内部的某个传送设备,即PE设备或P设备上。目录服务器以目录形式维护一张VPN ID与VPN成员标识关系的列表,即目录服务表,通过目录服务实现VPN配置信息的自动注册和维护。通过CE-PE之间的交互处理传送用户用来维护VPN相关的信息,通过PE设备和目录服务器之间的交互来实现动态增加、删除、修改目录服务表中的VPN成员信息和VPN策略信息(包括基于CE的策略信息和基于VPN的策略信息)。当用户请求通过网络建立、删除或维护VPN连接时,首先通过查询目录服务表验证所述请求是否限定在对应的VPN成员之间以及请求的内容是否符合相应的VPN策略信息,所述VPN策略信息包括:请求的最大带宽值、服务等级协议(SLA,Service Level Agreement)属性值等,验证通过后,网络才会正确响应该请求,提供相应的VPN配置服务。从而实现VPN信息的灵活配置,达到快速提供VPN服务的目的。
[0034] 上述目录服务表中所述的VPN成员标识可以有如下两种标识方法:
[0035] 传输网络分配地址(TNA,Transport Network Assigned Address):也可以附加端口号,TNA地址是传送网络为用户设备接入网络的物理链路所分配的全球唯一地址,通过TNA地址,运营商可以标识用户设备接入网络的数据承载链路。当一个TNA地址对应多条数据承载链路时,通过TNA地址和端口号组合来标识用户设备接入网络的某一条数据承载链路。
[0036] :即组合来标识VPN的某个特定的成员,其中CPI为CE设备接入VPN网络的端口标识,PPI为PE设备连接CE设备的端口标识,这两个标识的组合可以唯一标识一个VPN成员。
[0037] 下面以VPN中动态维护VPN成员过程为例对本发明方案做进一步的详细说明。
[0038] 如图2所示,是实现VPN配置服务的系统示意图。其中CE1、CE2是同一个VPN网络的用户边缘设备CE,该CE设备可以是L1、L2或L3层设备,例如TDM交叉连接设备、二层交换设备和路由器等。网络节点PE1和PE2是该VPN网络中的网络边缘设备,这里的PE设备可以是一个TDM交换设备,一个光交叉连接系统(OXC,Optic Cross Connect System)设备,一个光纤交换(FXC,Fiber switch)设备,或者一个能够将以太帧信号映射到一层连接的以太网专线设备等。网络节点P1和P2是网络内部设备,设备P1和P2是一层的设备,可以是TDM交换设备、OXC设备或者FXC设备等。传送节点之间,即PE1、PE2、P1和P2之间通过TDM技术的线路连接,如SDH链路。系统中还包括目录服务器。整个网络的控制平面运行GMPLS协议,在CE1与PE1节点之间和PE2与CE2节点之间是用户和网络接口UNI,通过UNI来进行通信的相关规范可参考UNI 1.0标准。UNI定义了几类地址,内部传送网络地址是指运营商网络内部节点的地址,可以用来作内部路由,以及网络管理的目的,但是这些地址不会暴露给用户;用户地址指用户网络对用户节点的编址,这些地址一般不会暴露给运营商;TNA地址是由网络分配给连接UNI信令Agent-网络(UNI-N,UNI Signaling Agent-Network)和UNI信令Agent-用户(UNI-C,UNI Signaling Agent-Client)的一条或多条数据承载链路的全球唯一地址。图2中,网络给节点CE1分配的TNA地址是101,给节点CE2分配的TNA地址是102。
[0039] 图3所示为目录服务器的基本结构。包括验证程序模块301、配置程序模块302和存储器303。其中,验证验证程序模块301根据目录服务表对VPN配置请求消息进行验证,若验证通过,则发送配置消息给配置程序模块;配置程序模块302接收到所述配置消息后,对VPN配置请求消息进行处理,具体包括:添加VPN成员、删除VPN成员、修改VPN策略等,更新目录服务表;所述目录服务表存储于存储器中。目录服务表可以采用表1所示的格式。
[0040] 表1
[0041]
[0042] 当然,VPN成员标识可以仅仅是TNA地址,可以是TNA地址和端口号,也可采用的标识方法,表1仅仅是本发明的一个示例,其不应过度地限制本发明的范围。
[0043] 图4所示是本发明实施例中提供的VPN配置服务的方法示意图,具体步骤如下:
[0044] S401,网络收到VPN配置请求消息;
[0045] S402,利用目录服务表对所述VPN配置请求消息进行验证;
[0046] S403,验证通过后,更新所述目录服务表,完成所述VPN配置;
[0047] S404,若未通过验证,则返回否定应答。
[0048] 本发明实施例提供的实现VPN配置服务的方法中,在目录服务器中预先配置VPN ID和基于该VPN的部分或全部策略信息,包括:该VPN允许动态接入的最大成员节点数等。
[0049] 通过目录服务对VPN成员的动态维护有两种实现方法,下面分别对这两种方法进行详细描述。
[0050] 实施例一
[0051] 当CE设备发起VPN配置请求消息,即请求添加、删除VPN成员或修改VPN策略信息的时候,CE设备通过UNI接口向PE设备发出相应的请求消息,PE设备向目录服务器转发所述请求消息,目录服务器查询目录服务表验证所述请求消息,验证通过后,在目录服务器上更新相应的VPN信息,完成所述VPN配置。当两个CE设备之间需要通信的时候,PE设备根据CE设备发来的VPN连接请求消息查询目录服务器,对所述VPN连接请求消息进行验证,验证通过后,在上述请求的源和目的CE设备之间建立VPN连接,这样,源和目的CE设备只能在VPN确定的VPN成员之间以及相应VPN策略允许的前提下进行通讯。
[0052] 下面结合图2对动态维护VPN成员的各种情形进行详细的阐述。
[0053] 1、添加VPN成员,具体步骤如下:
[0054] (1)设备CE1通过UNI接口向设备PE1发送添加VPN成员的请求消息,该请求消息包括VPN ID 1、VPN成员标识101、基于设备CE1的VPN策略信息Policy 11,如,允许的最大带宽值BWmax等,其中,VPN ID和VPN成员标识为必须要包含的信息,基于设备CE1的策略信息为可选信息;
[0055] (2)PE1收到接入所述请求消息后,向目录服务器F转发该请求消息;
[0056] (3)目录服务器通过查询目录服务表,验证该请求消息是否合法,例如下述两种验证方法:
[0057] (a)验证目录服务表中是否存在VPN ID 1,
[0058] (a1)如果不存在,则返回否定应答,拒绝添加CE1为该VPN成员;
[0059] (a2)如果目录服务表中存在VPN ID 1,则进一步判断VPN ID 1对应的表项中是否存在VPN成员标识101,
[0060] (a21)若是,则返回否定应答,拒绝添加CE1,因为CE1已经存在于目录服务表中;
[0061] (a22)若否,则验证通过,将VPN成员标识101以及请求消息中包含的其他VPN信息,如基于设备CE1的策略信息等添加到目录服务表的相应表项中,返回肯定应答。
[0062] (b)验证目录服务表中是否存在VPN ID 1,
[0063] (b1)如果不存在,则返回否定应答,拒绝添加CE1为该VPN成员;
[0064] (b2)如果存在,则进一步判断VPN ID 1对应的表项中是否存在VPN成员标识101,[0065] (b21)若是,则返回否定应答,拒绝添加CE1,因为CE1已经存在于目录服务表中;
[0066] (b22)若否,则进一步验证是否符合目录服务表中相应表项的基于VPN的策略信息,譬如,该表项中基于该VPN的策略信息Policy1中指定该VPN允许动态接入的最大成员节点数是3,
[0067] (b221)如果该VPN中的已有成员数为0,1或2,则验证通过,将VPN成员标识101以及请求消息中包含的其他VPN信息,如基于设备CE1的策略信息等添加到目录服务表的相应表项中,返回肯定应答。
[0068] (b222)如果该VPN中已有成员数为3,则拒绝添加CE1为该VPN成员,返回否定应答。
[0069] 2、删除VPN成员,具体步骤如下:
[0070] (1)当CE1向PE1发送删除VPN成员的请求消息,其中包含等待删除的VPN ID 1、VPN成员标识101;
[0071] (2)PE1向目录服务器转发该请求消息,其中包含等待删除的VPNID 1和VPN成员标识101;
[0072] (3)目录服务器收到该请求消息后,验证该请求消息是否合法,即[0073] 验证目录服务表中是否存在VPN ID为1且VPN成员标识为101的表项,[0074] (a)如果该表项存在,则验证该表项中的策略信息是否允许VPN成员动态退出,[0075] (a1)若允许,则验证通过,首先发起删除与该节点相关的VPN连接,并在对应的目录服务表项中删除对应的项<1,100/10>;返回肯定应答;
[0076] (a2)若不允许,则返回否定应答。
[0077] (b)若该表项不存在,则返回否定应答。
[0078] 3、修改VPN策略,具体步骤如下:
[0079] (1)CE1向PE1发送修改VPN策略的请求消息,其中包含VPN ID 1、VPN成员标识101、基于CE的策略信息或者基于VPN的策略信息;
[0080] (2)PE1向目录服务器转发该请求消息,其中包含VPN ID 1、VPN成员标识和基于CE的策略信息或者基于VPN的策略信息;
[0081] (3)目录服务器接到该请求消息后,验证VPN ID和VPN成员标识的合法性,即验证目录服务表中是否存在VPN ID为1且VPN成员标识为101的表项,
[0082] (a)若存在,则进一步验证该表项中的策略信息是否允许VPN成员动态修改VPN策略,
[0083] (a1)若否,则返回否定应答;
[0084] (a2)若是,则验证通过,将目录服务表中的策略信息更新为请求消息中包含的策略信息,返回肯定应答
[0085] (b)若不存在,则返回否定应答。
[0086] 4、建立VPN连接,具体步骤如下:
[0087] (1)CE1向PE1发送建立VPN连接的请求消息,其中包含等待建立连接的VPN ID 1和源VPN成员标识101/10、目的VPN成员标识/102/10,以及相关的请求参数,如带宽、保护属性等;
[0088] (2)PE1向目录服务器转发该建立VPN连接的请求消息;
[0089] (3)目录服务器根据目录服务表验证VPN ID、源VPN成员标识和目的VPN成员标识,并根据基于CE的策略信息和基于VPN的策略信息验证相关的请求参数,若验证未通过,则返回否定应答;
[0090] 若验证通过,则建立CE1与CE2之间的VPN连接,返回肯定应答。
[0091] 综上,上述说明仅为单域的情况,多域的实现情况和单域类似。
[0092] 实施例二
[0093] 目录服务表不仅保存在目录服务器上,同时也下载到各个PE设备,PE设备不需要保存所有VPN的目录服务表项,只需要保存自身所在的VPN相关的目录服务表项。
[0094] 目录服务器在下面三种情况下对PE设备的目录服务表进行更新:
[0095] (1)通过网管系统设定的目录服务器更新时间间隔,目录服务器会定时更新各个PE节点的目录服务表;
[0096] (2)添加或删除VPN成员或者修改VPN策略信息时,目录服务器会立即更新各个PE设备的目录服务表;
[0097] (3)当PE设备向目录服务器请求更新目录服务表的时候,目录服务器会给该PE节点返回更新的目录服务表。
[0098] 建立VPN连接时,PE节点只需要查询本身的目录服务表即可,不需要再向目录服务器发送请求。如图2所示,
[0099] 添加VPN成员/删除VPN成员/修改VPN策略,具体步骤如下:
[0100] (1)设备CE1向设备PE2发送相应的VPN配置请求消息,其中包括相应的VPN信息,该过程与实施例一相同,只是请求的目的不是目录服务器,而是PE1;
[0101] (2)设备PE1查询其目录服务表,对该请求消息进行验证,具体的验证过程同实施例一,
[0102] 验证通过之后,完成相应的VPN配置;PE向目录服务器发送消息,更新目录服务器的目录服务表;
[0103] 否则,返回否定应答。
[0104] (3)目录服务器向其他相关PE发送更新目录服务表的消息。
[0105] 设备CE1与CE2之间需要建立VPN连接时,步骤如下:
[0106] 网络中的设备PE1收到来自设备CE1的VPN连接请求信息后,查询B中的目录服务表,验证该VPN连接请求消息,
[0107] 验证通过后,建立所述VPN连接;
[0108] 否则,返回否定应答。
[0109] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
