專利名稱:一種實(shí)現(xiàn)vpn配置服務(wù)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及VPN(Virtual Private Network�,虛擬專用網(wǎng))領(lǐng)域,具體是一種實(shí)現(xiàn)VPN配置服務(wù)的方法和系統(tǒng)�。
背景技術(shù):
VPN網(wǎng)絡(luò)通常由CE設(shè)備(Customer Edge,客戶邊緣設(shè)備)����、PE設(shè)備(Provider Edge,網(wǎng)絡(luò)邊緣設(shè)備)和P設(shè)備(Provider,網(wǎng)絡(luò)內(nèi)部設(shè)備)構(gòu)成�����。其中CE設(shè)備是客戶邊緣節(jié)點(diǎn)�,是在同一個(gè)站點(diǎn)的VPN客戶端點(diǎn)的出/入口;PE設(shè)備是傳送網(wǎng)絡(luò)的邊緣節(jié)點(diǎn)��,作為傳送網(wǎng)絡(luò)負(fù)責(zé)向客戶提供VPN服務(wù)的邊緣設(shè)備�����,一個(gè)PE設(shè)備至少與一個(gè)CE設(shè)備相連��,并且至少和另外一個(gè)傳送網(wǎng)絡(luò)設(shè)備�,即PE或者P相連。P設(shè)備是傳送網(wǎng)絡(luò)內(nèi)部的傳送設(shè)備�����,P設(shè)備和傳送網(wǎng)絡(luò)內(nèi)部其它的傳送設(shè)備相連���,但不直接和CE設(shè)備相連�。
現(xiàn)有技術(shù)一提供的VPN服務(wù)通常由網(wǎng)絡(luò)管理系統(tǒng)�����,即NMS(NetworkManagement System,網(wǎng)絡(luò)管理系統(tǒng))來實(shí)現(xiàn)�,如圖1所示,通過NMS完成VPN網(wǎng)絡(luò)的配置和客戶VPN連接業(yè)務(wù)的建立�����,具體步驟如下1����、在NMS中手動(dòng)配置VPN信息����,包括VPN成員信息、VPN策略信息等��;2�����、客戶需要建立VPN連接時(shí)��,客戶向NMS發(fā)送VPN連接請(qǐng)求消息��;3、NMS根據(jù)預(yù)先配置的VPN信息驗(yàn)證客戶請(qǐng)求�����,驗(yàn)證通過后����,建立網(wǎng)絡(luò)連接。
現(xiàn)有技術(shù)二是IETF草案draft-ietf-vpn-bgp-auto-discovery-00�,其中描述了通過BGP協(xié)議(Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)實(shí)現(xiàn)VPN成員的自動(dòng)發(fā)現(xiàn)并提供VPN服務(wù)的方法��。結(jié)合其中所描述的成員自動(dòng)發(fā)現(xiàn)方法�,網(wǎng)絡(luò)提供VPN連接服務(wù)的具體步驟如下1、在PE設(shè)備上配置所接入的CE成員信息����,并通過<CPI PPI>來標(biāo)識(shí)該VPN成員,其中CPI為CE設(shè)備上接入網(wǎng)絡(luò)設(shè)備的端口標(biāo)識(shí)�,PPI為PE設(shè)備上連接該CE設(shè)備的端口標(biāo)識(shí);2�、PE設(shè)備通過配置VPN成員信息后,通過BGP協(xié)議與該VPN中的其它PE設(shè)備進(jìn)行交互�����,通過這種BGP的自動(dòng)發(fā)現(xiàn)機(jī)制最終會(huì)在VPN中所有的PE設(shè)備中形成VPN成員信息表PIT;3��、當(dāng)某個(gè)CE設(shè)備需要和VPN中的其它成員之間通訊時(shí)���,PE設(shè)備根據(jù)VPN成員信息表PIT來驗(yàn)證客戶VPN通訊請(qǐng)求�����,驗(yàn)證通過后�,建立VPN網(wǎng)絡(luò)連接��。
在上述現(xiàn)有技術(shù)方案中�,VPN成員信息以及VPN策略信息都需要通過管理員在NMS或者PE設(shè)備上進(jìn)行手動(dòng)配置;當(dāng)VPN成員發(fā)生動(dòng)態(tài)變化時(shí)�,對(duì)VPN網(wǎng)絡(luò)配置信息的增加��、刪除和修改等操作的時(shí)延大���,管理方式不靈活�����。
發(fā)明內(nèi)容
本發(fā)明提供一種實(shí)現(xiàn)VPN配置服務(wù)的方法和系統(tǒng)���,能夠靈活配置VPN成員信息��,并設(shè)置VPN策略信息����,實(shí)現(xiàn)VPN成員的動(dòng)態(tài)加入和退出處理���。
本發(fā)明方法��,包括如下步驟(1)網(wǎng)絡(luò)收到VPN配置請(qǐng)求消息���,利用目錄服務(wù)表對(duì)所述VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證;(2)驗(yàn)證通過后�,更新所述目錄服務(wù)表,完成所述VPN配置��。
上述對(duì)VPN配置請(qǐng)求消息的驗(yàn)證由目錄服務(wù)器完成�,所述目錄服務(wù)表保存在所述目錄服務(wù)器上。
上述對(duì)VPN配置請(qǐng)求消息的驗(yàn)證也可由網(wǎng)絡(luò)邊緣設(shè)備完成���,所述目錄服務(wù)表保存在所述網(wǎng)絡(luò)邊緣設(shè)備上����。
其中,所述VPN配置請(qǐng)求消息是添加VPN成員的請(qǐng)求消息��,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)和VPN成員標(biāo)識(shí)����,所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)是否存在于目錄服務(wù)表中,若存在�,則進(jìn)一步驗(yàn)證所述VPN成員標(biāo)識(shí)是否存在于所述VPN標(biāo)識(shí)對(duì)應(yīng)的表項(xiàng)中,若不存在��,則驗(yàn)證通過���,將所述VPN成員標(biāo)識(shí)添加到目錄服務(wù)表中��;或者�����,驗(yàn)證所述VPN標(biāo)識(shí)是否存在于目錄服務(wù)表中�����,若存在,則進(jìn)一步驗(yàn)證所述VPN成員標(biāo)識(shí)是否存在于所述VPN標(biāo)識(shí)對(duì)應(yīng)的表項(xiàng)中���,若不存在����,則進(jìn)一步驗(yàn)證是否符合目錄服務(wù)表中基于所述VPN的策略信息,若符合�����,則驗(yàn)證通過����,將所述VPN成員標(biāo)識(shí)添加到目錄服務(wù)表中。
其中��,所述VPN配置請(qǐng)求消息是刪除VPN成員的請(qǐng)求消息����,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)和VPN成員標(biāo)識(shí),��,所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)與所述VPN成員標(biāo)識(shí)是否存在于目錄服務(wù)表的一個(gè)表項(xiàng)中�,若是,則進(jìn)一步驗(yàn)證所述表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)退出�,若是,則驗(yàn)證通過,刪除目錄服務(wù)表中的所述表項(xiàng)����。
其中,所述VPN配置請(qǐng)求消息是修改VPN策略的請(qǐng)求消息����,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)、VPN成員標(biāo)識(shí)和基于CE的策略信息�����,所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)與所述VPN成員標(biāo)識(shí)是否存在于目錄服務(wù)表的一個(gè)表項(xiàng)中�,若是,則進(jìn)一步驗(yàn)證所述表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)修改VPN策略����,若是,則驗(yàn)證通過����,將目錄服務(wù)表的所述表項(xiàng)中基于CE的策略信息更新為所述配置請(qǐng)求消息中的基于CE的策略信息。
其中��,所述VPN配置請(qǐng)求消息是修改VPN策略的請(qǐng)求消息�,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)、VPN成員標(biāo)識(shí)和基于VPN的策略信息��,所述步驟(2)具體包括步驟
驗(yàn)證所述VPN標(biāo)識(shí)與所述VPN成員標(biāo)識(shí)是否存在于目錄服務(wù)表的一個(gè)表項(xiàng)中��,若是�,則進(jìn)一步驗(yàn)證所述表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)修改VPN策略,若是�����,則驗(yàn)證通過��,將目錄服務(wù)表的所述表項(xiàng)中基于VPN的策略信息更新為所述配置請(qǐng)求消息中的基于VPN的策略信息�����。
本發(fā)明方法進(jìn)一步包括���,客戶之間需要建立VPN連接時(shí)����,發(fā)送VPN連接請(qǐng)求消息��,所述請(qǐng)求消息中包括VPN標(biāo)識(shí)�、源VPN成員標(biāo)識(shí)和目的VPN成員標(biāo)識(shí)��,網(wǎng)絡(luò)根據(jù)所述目錄服務(wù)表驗(yàn)證所述請(qǐng)求消息�,若驗(yàn)證通過�����,則建立VPN連接���。
本發(fā)明還提供了一種實(shí)現(xiàn)VPN配置服務(wù)的系統(tǒng)��,包括客戶邊緣設(shè)備�、網(wǎng)絡(luò)邊緣設(shè)備和網(wǎng)絡(luò)內(nèi)部設(shè)備�����,其中�����,一個(gè)網(wǎng)絡(luò)邊緣設(shè)備與一個(gè)或多個(gè)客戶邊緣設(shè)備相連��,且與其他的網(wǎng)絡(luò)邊緣設(shè)備或網(wǎng)絡(luò)內(nèi)部設(shè)備相連���,共同提供VPN服務(wù)����,還包括目錄服務(wù)器,所述目錄服務(wù)器駐留在網(wǎng)絡(luò)內(nèi)部的運(yùn)營商邊緣設(shè)備或運(yùn)營商內(nèi)部設(shè)備上�;或者駐留在網(wǎng)絡(luò)之外單獨(dú)的計(jì)算機(jī)上���,所述目錄服務(wù)器上保存目錄服務(wù)表����,用于驗(yàn)證VPN配置請(qǐng)求消息���。
其中��,所述目錄服務(wù)器包括CPU處理器�、驗(yàn)證程序模塊��、配置程序模塊和存儲(chǔ)器�����,其中�,驗(yàn)證程序模塊根據(jù)所述目錄服務(wù)表對(duì)所述VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證,若驗(yàn)證通過���,則發(fā)送配置消息給配置程序模塊��;配置程序模塊接收到所述配置消息后����,更新目錄服務(wù)表;所述目錄服務(wù)表存儲(chǔ)于存儲(chǔ)器中��。
本發(fā)明基于目錄服務(wù)實(shí)現(xiàn)對(duì)VPN的配置服務(wù)���,VPN成員信息以及VPN策略信息均由目錄服務(wù)表存儲(chǔ)���,當(dāng)客戶請(qǐng)求對(duì)VPN配置信息進(jìn)行改變時(shí),通過查詢目錄服務(wù)表快速實(shí)現(xiàn)VPN成員的增加��、刪除�����,以及VPN策略信息的配置修改等操作�,提高了VPN服務(wù)的效率,另外�����,可以通過設(shè)置VPN策略信息,將客戶的VPN連接請(qǐng)求限定在封閉用戶組內(nèi)并且對(duì)客戶的VPN連接請(qǐng)求進(jìn)行控制���。
圖1為現(xiàn)有技術(shù)中網(wǎng)管系統(tǒng)實(shí)現(xiàn)VPN服務(wù)的示意圖�;圖2為本發(fā)明中實(shí)現(xiàn)VPN配置服務(wù)的系統(tǒng)示意圖�;圖3為本發(fā)明中目錄服務(wù)器的結(jié)構(gòu)示意圖;圖4為本發(fā)明中實(shí)現(xiàn)VPN配置服務(wù)的方法示意圖����。
具體實(shí)施例方式
本發(fā)明通過目錄服務(wù)來實(shí)現(xiàn)VPN配置服務(wù)��。在本發(fā)明提供的系統(tǒng)中�����,網(wǎng)絡(luò)包括目錄服務(wù)器��,該目錄服務(wù)器可以駐留在網(wǎng)絡(luò)之外單獨(dú)的計(jì)算機(jī)上����,也可以駐留在網(wǎng)絡(luò)內(nèi)部的某個(gè)傳送設(shè)備,即PE設(shè)備或P設(shè)備上�。目錄服務(wù)器以目錄形式維護(hù)一張VPN ID與VPN成員標(biāo)識(shí)關(guān)系的列表,即目錄服務(wù)表�,通過目錄服務(wù)實(shí)現(xiàn)VPN配置信息的自動(dòng)注冊(cè)和維護(hù)�����。通過CE-PE之間的交互處理傳送客戶用來維護(hù)VPN相關(guān)的信息��,通過PE設(shè)備和目錄服務(wù)器之間的交互來實(shí)現(xiàn)動(dòng)態(tài)增加�����、刪除�、修改目錄服務(wù)表中的VPN成員信息和VPN策略信息(包括基于CE的策略信息和基于VPN的策略信息)�。當(dāng)客戶請(qǐng)求通過網(wǎng)絡(luò)建立、刪除或維護(hù)VPN連接時(shí)��,首先通過查詢目錄服務(wù)表驗(yàn)證所述請(qǐng)求是否限定在對(duì)應(yīng)的VPN成員之間以及請(qǐng)求的內(nèi)容是否符合相應(yīng)的VPN策略信息��,所述VPN策略信息包括請(qǐng)求的最大帶寬值��、SLA(Service LevelAgreement���,服務(wù)等級(jí)協(xié)議)屬性值等���,驗(yàn)證通過后,網(wǎng)絡(luò)才會(huì)正確響應(yīng)該請(qǐng)求,提供相應(yīng)的VPN配置服務(wù)�����。從而實(shí)現(xiàn)VPN信息的靈活配置����,達(dá)到快速提供VPN服務(wù)的目的。
上述目錄服務(wù)表中所述的VPN成員標(biāo)識(shí)可以有如下兩種標(biāo)識(shí)方法TNA(Transport Network Assigned Address��,傳輸網(wǎng)絡(luò)分配地址)地址也可以附加端口號(hào)�,TNA地址是傳送網(wǎng)絡(luò)為客戶設(shè)備接入網(wǎng)絡(luò)的物理鏈路所分配的全球唯一地址,通過TNA地址���,運(yùn)營商可以標(biāo)識(shí)客戶設(shè)備接入網(wǎng)絡(luò)的數(shù)據(jù)承載鏈路。當(dāng)一個(gè)TNA地址對(duì)應(yīng)多條數(shù)據(jù)承載鏈路時(shí)��,通過TNA地址和端口號(hào)組合來標(biāo)識(shí)客戶設(shè)備接入網(wǎng)絡(luò)的某一條數(shù)據(jù)承載鏈路�����。
<CPI����,PPI>即<CPI,PPI>組合來標(biāo)識(shí)VPN的某個(gè)特定的成員��,其中CPI為CE設(shè)備接入VPN網(wǎng)絡(luò)的端口標(biāo)識(shí),PPI為PE設(shè)備連接CE設(shè)備的端口標(biāo)識(shí)����,這兩個(gè)標(biāo)識(shí)的組合可以唯一標(biāo)識(shí)一個(gè)VPN成員。
下面以VPN中動(dòng)態(tài)維護(hù)VPN成員過程為例對(duì)本發(fā)明方案做進(jìn)一步的詳細(xì)說明�。
如圖2所示,是實(shí)現(xiàn)VPN配置服務(wù)的系統(tǒng)示意圖�����。其中�����,A和Z是同一個(gè)VPN網(wǎng)絡(luò)的客戶邊緣設(shè)備CE���,該CE設(shè)備可以是L1����、L2或L3層設(shè)備�,例如TDM交叉連接設(shè)備、二層交換設(shè)備和路由器等�����。網(wǎng)絡(luò)節(jié)點(diǎn)B和C是該VPN網(wǎng)絡(luò)中的網(wǎng)絡(luò)邊緣設(shè)備PE,這里的PE設(shè)備可以是一個(gè)TDM交換設(shè)備�,一個(gè)OXC(Optic Cross Connect System,光交叉連接系統(tǒng))設(shè)備�����,一個(gè)FXC(Fiberswitch�,光纖交換)設(shè)備,或者一個(gè)能夠?qū)⒁蕴珟盘?hào)映射到一層連接的以太網(wǎng)專線設(shè)備等����。網(wǎng)絡(luò)節(jié)點(diǎn)D和E是網(wǎng)絡(luò)內(nèi)部設(shè)備P,P設(shè)備是一個(gè)一層的設(shè)備�����,可以是TDM交換設(shè)備���、OXC設(shè)備或者FXC設(shè)備等。傳送節(jié)點(diǎn)之間�,即B、C��、D、E之間通過TDM技術(shù)的線路連接��,如SDH鏈路���。節(jié)點(diǎn)F是目錄服務(wù)器�。整個(gè)網(wǎng)絡(luò)的控制平面運(yùn)行GMPLS協(xié)議��,在A��、B節(jié)點(diǎn)之間和D�����、Z節(jié)點(diǎn)之間是客戶和網(wǎng)絡(luò)接口UNI�,通過UNI來進(jìn)行通信的相關(guān)規(guī)范可參考UNI 1.0標(biāo)準(zhǔn)。UNI定義了幾類地址�,內(nèi)部傳送網(wǎng)絡(luò)地址是指運(yùn)營商網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)的地址,可以用來作內(nèi)部路由�,以及網(wǎng)絡(luò)管理的目的,但是這些地址不會(huì)暴露給客戶����;客戶地址指客戶網(wǎng)絡(luò)對(duì)客戶節(jié)點(diǎn)的編址,這些地址一般不會(huì)暴露給運(yùn)營商�����;TNA地址是由網(wǎng)絡(luò)分配給連接UNI-N(UNI Signaling Agent-Network,UNI信令A(yù)gent-網(wǎng)絡(luò))和UNI-C(UNI Signaling Agent-Client��,UNI信令A(yù)gent-客戶)的一條或多條數(shù)據(jù)承載鏈路的全球唯一地址����。圖2中,網(wǎng)絡(luò)給節(jié)點(diǎn)A分配的TNA地址是101�,給節(jié)點(diǎn)Z分配的TNA地址是102。
圖3所示為目錄服務(wù)器的基本結(jié)構(gòu)���。包括驗(yàn)證程序模塊����、配置程序模塊和存儲(chǔ)器�。其中,驗(yàn)證驗(yàn)證程序模塊根據(jù)目錄服務(wù)表對(duì)VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證�,若驗(yàn)證通過,則發(fā)送配置消息給配置程序模塊�;配置程序模塊接收到所述配置消息后,對(duì)VPN配置請(qǐng)求消息進(jìn)行處理�,具體包括添加VPN成員���、刪除VPN成員�����、修改VNN策略等�,更新目錄服務(wù)表;所述目錄服務(wù)表存儲(chǔ)于存儲(chǔ)器中��。目錄服務(wù)表可以采用表1所示的格式����。
表1當(dāng)然,VPN成員標(biāo)識(shí)可以僅僅是TNA地址�,可以是TNA地址和端口號(hào),也可采用<CPI����,PPI>的標(biāo)識(shí)方法,表1僅僅是本發(fā)明的一個(gè)示例�����,其不應(yīng)過度地限制本發(fā)明的范圍�,本領(lǐng)域的一個(gè)普通技術(shù)人員應(yīng)該認(rèn)識(shí)到許多的變化、替換和更改����,均在本發(fā)明的權(quán)利要求范圍之內(nèi)���。
圖4所示是本發(fā)明中提供VPN配置服務(wù)的方法示意圖,具體步驟如下(1)網(wǎng)絡(luò)收到VPN配置請(qǐng)求消息���,利用目錄服務(wù)表對(duì)所述VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證��;(3)驗(yàn)證通過后��,更新所述目錄服務(wù)表���,完成所述VPN配置;否則���,返回否定應(yīng)答����。
本發(fā)明方法中��,在目錄服務(wù)器中預(yù)先配置VPN ID和基于該VPN的部分或全部策略信息�����,包括該VPN允許動(dòng)態(tài)接入的最大成員節(jié)點(diǎn)數(shù)等����。
通過目錄服務(wù)對(duì)VPN成員的動(dòng)態(tài)維護(hù)有兩種實(shí)現(xiàn)方法,下面分別對(duì)這兩種方法進(jìn)行詳細(xì)描述�。
實(shí)施例一當(dāng)CE設(shè)備發(fā)起VPN配置請(qǐng)求消息,即請(qǐng)求添加�、刪除VPN成員或修改VPN策略信息的時(shí)候,CE設(shè)備通過UNI接口向PE設(shè)備發(fā)出相應(yīng)的請(qǐng)求消息��,PE向目錄服務(wù)器轉(zhuǎn)發(fā)所述請(qǐng)求消息�,目錄服務(wù)器查詢目錄服務(wù)表驗(yàn)證所述請(qǐng)求消息,驗(yàn)證通過后�����,在目錄服務(wù)器上更新相應(yīng)的VPN信息���,完成所述VPN配置�。當(dāng)兩個(gè)CE設(shè)備之間需要通信的時(shí)候���,PE設(shè)備根據(jù)CE設(shè)備發(fā)來的VPN連接請(qǐng)求消息查詢目錄服務(wù)器����,對(duì)所述VPN連接請(qǐng)求消息進(jìn)行驗(yàn)證,驗(yàn)證通過后�,在上述請(qǐng)求的源和目的CE設(shè)備之間建立VPN連接,這樣���,源和目的CE設(shè)備只能在VPN確定的VPN成員之間以及相應(yīng)VPN策略允許的前提下進(jìn)行通訊���。
下面結(jié)合圖2對(duì)動(dòng)態(tài)維護(hù)VPN成員的各種情形進(jìn)行詳細(xì)的闡述。
1����、添加VPN成員,具體步驟如下(1)CE設(shè)備A通過UNI接口向PE設(shè)備B發(fā)送添加VPN成員的請(qǐng)求消息���,該請(qǐng)求消息包括VPN ID 1����、VPN成員標(biāo)識(shí)101��、基于CE設(shè)備A的VPN策略信息Policy 11��,如��,允許的最大帶寬值BWmax等,其中����,VPN ID和VPN成員標(biāo)識(shí)為必須要包含的信息,基于CE設(shè)備A的策略信息為可選信息����;(2)B收到接入所述請(qǐng)求消息后���,向目錄服務(wù)器F轉(zhuǎn)發(fā)該請(qǐng)求消息�����;(3)F通過查詢目錄服務(wù)表�����,驗(yàn)證該請(qǐng)求消息是否合法��,例如下述兩種驗(yàn)證方法(a)驗(yàn)證目錄服務(wù)表中是否存在VPN ID 1��,(a1)如果不存在����,則返回否定應(yīng)答,拒絕添加A為該VPN成員��;(a2)如果目錄服務(wù)表中存在VPN ID 1�����,則進(jìn)一步判斷VPN ID 1對(duì)應(yīng)的表項(xiàng)中是否存在VPN成員標(biāo)識(shí)101��,(a21)若是��,則返回否定應(yīng)答�����,拒絕添加A���,因?yàn)锳已經(jīng)存在于目錄服務(wù)表中����;
(a22)若否�����,則驗(yàn)證通過��,將VPN成員標(biāo)識(shí)101以及請(qǐng)求消息中包含的其他VPN信息,如基于CE設(shè)備A的策略信息等添加到目錄服務(wù)表的相應(yīng)表項(xiàng)中���,返回肯定應(yīng)答���。
(b)驗(yàn)證目錄服務(wù)表中是否存在VPN ID 1,(b1)如果不存在����,則返回否定應(yīng)答,拒絕添加A為該VPN成員�����;(b2)如果存在��,則進(jìn)一步判斷VPN ID 1對(duì)應(yīng)的表項(xiàng)中是否存在VPN成員標(biāo)識(shí)101�,(b21)若是���,則返回否定應(yīng)答�,拒絕添加A�,因?yàn)锳已經(jīng)存在于目錄服務(wù)表中;(b22)若否��,則進(jìn)一步驗(yàn)證是否符合目錄服務(wù)表中相應(yīng)表項(xiàng)的基于VPN的策略信息,譬如���,該表項(xiàng)中基于該VPN的策略信息Policy1中指定該VPN允許動(dòng)態(tài)接入的最大成員節(jié)點(diǎn)數(shù)是3�,(b221)如果該VPN中的已有成員數(shù)為0����,1或2,則驗(yàn)證通過���,將VPN成員標(biāo)識(shí)101以及請(qǐng)求消息中包含的其他VPN信息����,如基于CE設(shè)備A的策略信息等添加到目錄服務(wù)表的相應(yīng)表項(xiàng)中���,返回肯定應(yīng)答�����。
(b222)如果該VPN中已有成員數(shù)為3����,則拒絕添加A為該VPN成員�����,返回否定應(yīng)答。
2��、刪除VPN成員����,具體步驟如下(1)當(dāng)A向B發(fā)送刪除VPN成員的請(qǐng)求消息,其中包含等待刪除的VPNID 1�����、VPN成員標(biāo)識(shí)101���;(2)B向F轉(zhuǎn)發(fā)該請(qǐng)求消息,其中包含等待刪除的VPN ID 1和VPN成員標(biāo)識(shí)101�����;(3)F收到該請(qǐng)求消息后�����,驗(yàn)證該請(qǐng)求消息是否合法�����,即驗(yàn)證目錄服務(wù)表中是否存在VPN ID為1且VPN成員標(biāo)識(shí)為101的表項(xiàng),(a)如果該表項(xiàng)存在����,則驗(yàn)證該表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)退出,
(a1)若允許���,則驗(yàn)證通過�,首先發(fā)起刪除與該節(jié)點(diǎn)相關(guān)的VPN連接����,并在對(duì)應(yīng)的目錄服務(wù)表項(xiàng)中刪除對(duì)應(yīng)的<VPN ID,VPN成員標(biāo)識(shí)>項(xiàng)<1��,100/10>�;返回肯定應(yīng)答;(a2)若不允許��,則返回否定應(yīng)答��。
(b)若該表項(xiàng)不存在�,則返回否定應(yīng)答。
3���、修改VPN策略�,具體步驟如下(1)A向B發(fā)送修改VPN策略的請(qǐng)求消息,其中包含VPN ID 1����、VPN成員標(biāo)識(shí)101、基于CE的策略信息或者基于VPN的策略信息���;(2)B向F轉(zhuǎn)發(fā)該請(qǐng)求消息�,其中包含VPN ID 1��、VPN成員標(biāo)識(shí)和基于CE的策略信息或者基于VPN的策略信息�;(3)F接到該請(qǐng)求消息后,驗(yàn)證VPN ID和VPN成員標(biāo)識(shí)的合法性���,即驗(yàn)證目錄服務(wù)表中是否存在VPN ID為1且VPN成員標(biāo)識(shí)為101的表項(xiàng)��,(a)若存在,則進(jìn)一步驗(yàn)證該表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)修改VPN策略�,(a1)若否,則返回否定應(yīng)答�����;(a2)若是,則驗(yàn)證通過�,將目錄服務(wù)表中的策略信息更新為請(qǐng)求消息中包含的策略信息,返回肯定應(yīng)答(b)若不存在�,則返回否定應(yīng)答。
4�����、建立VPN連接��,具體步驟如下(1)A向B發(fā)送建立VPN連接的請(qǐng)求消息�,其中包含等待建立連接的VPNID 1和源VPN成員標(biāo)識(shí)101/10、目的VPN成員標(biāo)識(shí)/102/10����,以及相關(guān)的請(qǐng)求參數(shù),如帶寬����、保護(hù)屬性等;(2)B向目錄服務(wù)器F轉(zhuǎn)發(fā)該建立VPN連接的請(qǐng)求消息�����;(3)F根據(jù)目錄服務(wù)表驗(yàn)證VPN ID��、源VPN成員標(biāo)識(shí)和目的VPN成員標(biāo)識(shí),并根據(jù)基于CE的策略信息和基于VPN的策略信息驗(yàn)證相關(guān)的請(qǐng)求參數(shù)�,若驗(yàn)證未通過,則返回否定應(yīng)答�����;
若驗(yàn)證通過��,則建立A與Z之間的VPN連接��,返回肯定應(yīng)答���。
綜上�����,上述說明僅為單域的情況���,多域的實(shí)現(xiàn)情況和單域類似。
本發(fā)明還提供了另外一個(gè)實(shí)施例�,具體闡述如下。
實(shí)施例二目錄服務(wù)表不僅保存在目錄服務(wù)器F上�����,同時(shí)也下載到各個(gè)PE設(shè)備���,PE設(shè)備不需要保存所有VPN的目錄服務(wù)表項(xiàng)��,只需要保存自身所在的VPN相關(guān)的目錄服務(wù)表項(xiàng)����。
目錄服務(wù)器F在下面三種情況下對(duì)PE設(shè)備的目錄服務(wù)表進(jìn)行更新(1)通過網(wǎng)管系統(tǒng)設(shè)定的目錄服務(wù)器更新時(shí)間間隔�����,目錄服務(wù)器F會(huì)定時(shí)更新各個(gè)PE節(jié)點(diǎn)的目錄服務(wù)表��;(2)添加或刪除VPN成員或者修改VPN策略信息時(shí)�����,目錄服務(wù)器F會(huì)立即更新各個(gè)PE設(shè)備的目錄服務(wù)表�;(3)當(dāng)PE設(shè)備向目錄服務(wù)器F請(qǐng)求更新目錄服務(wù)表的時(shí)候,目錄服務(wù)器F會(huì)給該P(yáng)E節(jié)點(diǎn)返回更新的目錄服務(wù)表����。
建立VPN連接時(shí)��,PE節(jié)點(diǎn)只需要查詢本身的目錄服務(wù)表即可,不需要再向目錄服務(wù)器發(fā)送請(qǐng)求�����。如圖2所示�,添加VPN成員/刪除VPN成員/修改VPN策略����,具體步驟如下(1)CE設(shè)備A向PE設(shè)備B發(fā)送相應(yīng)的VPN配置請(qǐng)求消息,其中包括相應(yīng)的VPN信息�����,該過程與實(shí)施例一相同����,只是請(qǐng)求的目的不是目錄服務(wù)器F,而是B�;(2)PE設(shè)備B查詢其目錄服務(wù)表,對(duì)該請(qǐng)求消息進(jìn)行驗(yàn)證���,具體的驗(yàn)證過程同實(shí)施例一�,驗(yàn)證通過之后��,完成相應(yīng)的VPN配置;B向F發(fā)送消息����,更新F的目錄服務(wù)表�����;否則�����,返回否定應(yīng)答��。
(3)F向其他相關(guān)PE發(fā)送更新目錄服務(wù)表的消息��。
CE設(shè)備A與Z之間需要建立VPN連接時(shí)��,步驟如下
網(wǎng)絡(luò)中的PE設(shè)備B收到來自CE設(shè)備A的VPN連接請(qǐng)求信息后�,查詢B中的目錄服務(wù)表,驗(yàn)證該VPN連接請(qǐng)求消息�,驗(yàn)證通過后,建立所述VPN連接��;否則�����,返回否定應(yīng)答。
以上所述����,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�。因此����,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種實(shí)現(xiàn)VPN配置服務(wù)的方法�,其特征在于,(1)網(wǎng)絡(luò)收到VPN配置請(qǐng)求消息�����,利用目錄服務(wù)表對(duì)所述VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證;(2)驗(yàn)證通過后�,更新所述目錄服務(wù)表,完成所述VPN配置�����。
2.如權(quán)利要求1所述的方法���,其特征在于,對(duì)所述VPN配置請(qǐng)求消息的驗(yàn)證由目錄服務(wù)器完成����,所述目錄服務(wù)表保存在所述目錄服務(wù)器上。
3.如權(quán)利要求1所述的方法����,其特征在于,對(duì)所述VPN配置請(qǐng)求消息的驗(yàn)證由網(wǎng)絡(luò)邊緣設(shè)備完成����,所述目錄服務(wù)表保存在所述網(wǎng)絡(luò)邊緣設(shè)備上。
4.如權(quán)利要求1或2或3所述的方法����,其特征在于�����,所述VPN配置請(qǐng)求消息是添加VPN成員的請(qǐng)求消息�����,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)和VPN成員標(biāo)識(shí)���,所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)是否存在于目錄服務(wù)表中,若存在���,則進(jìn)一步驗(yàn)證所述VPN成員標(biāo)識(shí)是否存在于所述VPN標(biāo)識(shí)對(duì)應(yīng)的表項(xiàng)中��,若不存在��,則驗(yàn)證通過����,將所述VPN成員標(biāo)識(shí)添加到目錄服務(wù)表中�;或者,驗(yàn)證所述VPN標(biāo)識(shí)是否存在于目錄服務(wù)表中���,若存在�����,則進(jìn)一步驗(yàn)證所述VPN成員標(biāo)識(shí)是否存在于所述VPN標(biāo)識(shí)對(duì)應(yīng)的表項(xiàng)中���,若不存在����,則進(jìn)一步驗(yàn)證是否符合目錄服務(wù)表中基于所述VPN的策略信息�����,若符合��,則驗(yàn)證通過����,將所述VPN成員標(biāo)識(shí)添加到目錄服務(wù)表中�����。
5.如權(quán)利要求1或2或3所述的方法�����,其特征在于,所述VPN配置請(qǐng)求消息是刪除VPN成員的請(qǐng)求消息����,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)和VPN成員標(biāo)識(shí),所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)與所述VPN成員標(biāo)識(shí)是否存在于目錄服務(wù)表的一個(gè)表項(xiàng)中�,若是,則進(jìn)一步驗(yàn)證所述表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)退出���,若是���,則驗(yàn)證通過,刪除目錄服務(wù)表中的所述表項(xiàng)�����。
6.如權(quán)利要求1或2或3所述的方法����,其特征在于,所述VPN配置請(qǐng)求消息是修改VPN策略的請(qǐng)求消息�,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)、VPN成員標(biāo)識(shí)和基于CE的策略信息�,所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)與所述VPN成員標(biāo)識(shí)是否存在于目錄服務(wù)表的一個(gè)表項(xiàng)中,若是��,則進(jìn)一步驗(yàn)證所述表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)修改VPN策略,若是��,則驗(yàn)證通過�,將目錄服務(wù)表的所述表項(xiàng)中基于CE的策略信息更新為所述配置請(qǐng)求消息中的基于CE的策略信息。
7.如權(quán)利要求1或2或3所述的方法��,其特征在于�����,所述VPN配置請(qǐng)求消息是修改VPN策略的請(qǐng)求消息���,所述VPN配置請(qǐng)求消息包括VPN標(biāo)識(shí)�、VPN成員標(biāo)識(shí)和基于VPN的策略信息��,所述步驟(2)具體包括步驟驗(yàn)證所述VPN標(biāo)識(shí)與所述VPN成員標(biāo)識(shí)是否存在于目錄服務(wù)表的一個(gè)表項(xiàng)中�����,若是��,則進(jìn)一步驗(yàn)證所述表項(xiàng)中的策略信息是否允許VPN成員動(dòng)態(tài)修改VPN策略���,若是���,則驗(yàn)證通過,將目錄服務(wù)表的所述表項(xiàng)中基于VPN的策略信息更新為所述配置請(qǐng)求消息中的基于VPN的策略信息����。
8.如權(quán)利要求1或2或3所述的方法,其特征在于�,進(jìn)一步包括,客戶之間需要建立VPN連接時(shí)����,發(fā)送VPN連接請(qǐng)求消息,所述請(qǐng)求消息中包括VPN標(biāo)識(shí)���、源VPN成員標(biāo)識(shí)和目的VPN成員標(biāo)識(shí)��,網(wǎng)絡(luò)根據(jù)所述目錄服務(wù)表驗(yàn)證所述請(qǐng)求消息���,若驗(yàn)證通過,則建立VPN連接�����。
9.一種實(shí)現(xiàn)VPN配置服務(wù)的系統(tǒng),包括客戶邊緣設(shè)備���、網(wǎng)絡(luò)邊緣設(shè)備和網(wǎng)絡(luò)內(nèi)部設(shè)備�,其中����,一個(gè)網(wǎng)絡(luò)邊緣設(shè)備與一個(gè)或多個(gè)客戶邊緣設(shè)備相連,且與其他的網(wǎng)絡(luò)邊緣設(shè)備或網(wǎng)絡(luò)內(nèi)部設(shè)備相連�����,共同提供VPN服務(wù)�����,其特征在于�����,還包括目錄服務(wù)器�,所述目錄服務(wù)器駐留在網(wǎng)絡(luò)邊緣設(shè)備或網(wǎng)絡(luò)內(nèi)部設(shè)備上���;或者駐留在網(wǎng)絡(luò)之外單獨(dú)的計(jì)算機(jī)上��,所述目錄服務(wù)器上保存目錄服務(wù)表�����,用于驗(yàn)證VPN配置請(qǐng)求消息����。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于���,所述目錄服務(wù)器包括驗(yàn)證程序模塊��、配置程序模塊和存儲(chǔ)器��,其中�,驗(yàn)證程序模塊根據(jù)所述目錄服務(wù)表對(duì)所述VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證����,若驗(yàn)證通過,則發(fā)送配置消息給配置程序模塊��;配置程序模塊接收到所述配置消息后�,更新目錄服務(wù)表;所述目錄服務(wù)表存儲(chǔ)于存儲(chǔ)器中���。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)VPN配置服務(wù)的方法和系統(tǒng)�����。本發(fā)明方法中�����,網(wǎng)絡(luò)收到VPN配置請(qǐng)求消息��,利用目錄服務(wù)表對(duì)所述VPN配置請(qǐng)求消息進(jìn)行驗(yàn)證�;驗(yàn)證通過后,更新所述目錄服務(wù)表����,完成所述VPN配置。本發(fā)明通過目錄服務(wù)器和目錄服務(wù)表配置VPN策略信息和VPN成員信息��,當(dāng)VPN網(wǎng)絡(luò)發(fā)生動(dòng)態(tài)變化時(shí)��,查詢目錄服務(wù)表快速實(shí)現(xiàn)VPN成員的增加�、刪除等操作,以及VPN策略的動(dòng)態(tài)變化�,提高了VPN服務(wù)的效率;通過VPN策略信息的設(shè)置�����,將客戶的VPN連接請(qǐng)求限定在封閉用戶組內(nèi)并且對(duì)客戶的VPN連接請(qǐng)求進(jìn)行相應(yīng)的控制���,從而實(shí)現(xiàn)了靈活的管理方式���。
文檔編號(hào)H04L12/24GK101083549SQ20061006099
公開日2007年12月5日 申請(qǐng)日期2006年6月2日 優(yōu)先權(quán)日2006年6月2日
發(fā)明者許用梁, 高建華, 吳成慶 申請(qǐng)人:華為技術(shù)有限公司