專利名稱::一種vpn實例的劃分方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信
技術(shù)領(lǐng)域:
,特別涉及一種VPN實例的劃分方法和設(shè)備。
背景技術(shù):
:MPLS(MultiprotocolLabelSwitching,多協(xié)議標簽交換)用短而定長的標簽來封裝網(wǎng)絡(luò)層分組。MPLS從各種鏈路層得到鏈路層服務(wù),又為網(wǎng)絡(luò)層提供面向連接的服務(wù),例如PPP(PointtoPointProtocol,)>ATM(AsynchronousTransferMode,輸模式)、幀中繼、以太網(wǎng)等。MPLS能從IP(InternetProtocol,網(wǎng)絡(luò)之間互連的協(xié)議)路由協(xié)議和控制協(xié)議中得到支持,同時,還支持基于策略的約束路由,其路由功能強大、靈活,可以滿足各種新應(yīng)用對網(wǎng)絡(luò)的要求。這種技術(shù)起源于IPv4(InternetProtocolversion4,網(wǎng)際協(xié)議版本4),但其核心技術(shù)可擴展到多種網(wǎng)絡(luò)協(xié)議,例如IPv6(InternetProtocolversion6,網(wǎng)際協(xié)議版本6)、IPX(InternetworkPacketExchangeprotocol,互聯(lián)網(wǎng)分組交換協(xié)議)等。MPLS最初是為提高路由器的轉(zhuǎn)發(fā)速度而提出一個協(xié)議,但是,它的用途已不僅僅局限于此,而是廣泛地應(yīng)用于流量工程(TrafficEngineering,TE),VPN(VirtualPrivateNetwork,虛擬專用網(wǎng)絡(luò))、QoS(QualityofService,服務(wù)質(zhì)量)等方面,從而日益成為大規(guī)模IP網(wǎng)絡(luò)的重要標準。通過MPLS技術(shù)可以非常容易地實現(xiàn)基于IP技術(shù)的VPN業(yè)務(wù),而且可以滿足VPN可擴展性和管理的需求。利用MPLS構(gòu)造的VPN,通過配置,可將單一接入點形成多種VPN,每種VPN代表不同的業(yè)務(wù),使網(wǎng)絡(luò)能以靈活方式傳送不同類型的業(yè)務(wù)。每個物理上的路由器劃分為多個VR(VirtualRouter,虛擬路由器),每個VR稱為一個VPN實例,每個VPN實例存在一個單獨運行的路由表,報文根據(jù)每個VPN實例內(nèi)的路由表進行轉(zhuǎn)發(fā),多個VPN實例之間互相隔離;傳統(tǒng)的MPLSL3VPN技術(shù)均是將物理或者邏輯接口綁定到指定的VPN實例,基于接口的VPN劃分和報文轉(zhuǎn)發(fā)。如圖1所示,是現(xiàn)有技術(shù)中的一種MPLSL3VPN的典型應(yīng)用組網(wǎng)的結(jié)構(gòu)示意圖。如圖1所示,MPLSL3VPN模型中,包含三個組成部分CE、PE和P,具體說明如下CE(CustomerEdge)設(shè)備是用戶網(wǎng)絡(luò)邊緣設(shè)備,有接口直接與服務(wù)提供商相連,可以是路由器或是交換機等。CE“感知”不到VPN的存在。PE(ProviderEdge)路由器即運營商邊緣路由器,是運營商網(wǎng)絡(luò)的邊緣設(shè)備,與用戶的CE直接相連。MPLS網(wǎng)絡(luò)中,對VPN的所有處理都發(fā)生在PE路由器上。P(Provider)路由器運營商網(wǎng)絡(luò)中的骨干路由器,不和CE直接相連。P路由器需要支持MPLS能力,多個P路由器互聯(lián)組成骨干網(wǎng)絡(luò),繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。PE路由器連接CE設(shè)備的接口預(yù)先綁定到相應(yīng)的VPN實例,PE路由器該接口收到報文后查找相應(yīng)的VPN實例路由表進行轉(zhuǎn)發(fā)。如果PE連接的不是CE設(shè)備而是PC(PersonalComputer,個人計算機)或者遠端通過VPDN(VirtualPrivateDial-upNetwork,虛擬撥號專用網(wǎng))接入的用戶,需要根據(jù)不同的用戶實現(xiàn)接入不同的VPN實例,則需要配置策略路由、靜態(tài)路由或者防火墻進行報文轉(zhuǎn)發(fā)控制。在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題通過策略路由、靜態(tài)路由或防火墻控制用戶接入VPN實例配置復(fù)雜,需要預(yù)先知道MPLS網(wǎng)絡(luò)內(nèi)地址的規(guī)劃情況;通過上述方式控制用戶接入VPN實例不夠靈活,當網(wǎng)絡(luò)地址發(fā)生變化的情況下需要手動更新配置。
發(fā)明內(nèi)容本發(fā)明提供一種虛擬專用網(wǎng)絡(luò)VPN實例的劃分方法和設(shè)備,用于解決用戶接入PE路由器過程中,基于接入用戶綁定VPN實例,實現(xiàn)用戶報文在相應(yīng)VPN實例內(nèi)的轉(zhuǎn)發(fā)的問題。為達到上述目的,本發(fā)明一方面提供了一種虛擬專用網(wǎng)絡(luò)VPN實例的劃分方法,應(yīng)用于包括至少一個服務(wù)商網(wǎng)絡(luò)邊緣PE路由器和至少一個用戶網(wǎng)絡(luò)邊緣CE設(shè)備的網(wǎng)絡(luò)系統(tǒng)中,其中,所述CE設(shè)備組成一個或多個VPN實例,所述PE路由器中的三層接口與所述PE路由器上所有的VPN實例相綁定,所述PE路由器建立接口信息表記錄各接口所對應(yīng)的接入類型,并建立接入用戶信息表記錄各接入類型所對應(yīng)的接入信息,所述方法具體包括以下步驟當所述PE路由器的接口接收到發(fā)送給VPN實例的報文時,所述PE路由器查詢所述接口信息表,確定所述接口當前的接入類型;所述PE路由器根據(jù)所述接入類型,將所述報文中的報文信息與所述接入用戶信息表中的信息相比較,判斷是否存在相同的接入信息;如果存在相同的接入信息,所述PE路由器將所述報文轉(zhuǎn)發(fā)給所述接入信息相對應(yīng)的VPN實例。優(yōu)選的,所述PE路由器根據(jù)所述接入類型,將所述報文中的報文信息與所述接入用戶信息表中的信息相比較,判斷是否存在相同的接入信息,具體為所述PE路由器根據(jù)所述接入類型,將所述報文中的IP承載層信息與所述接入用戶信息表中的鏈接信息相比較,判斷是否存在相同的字段;如果存在相同的字段,進一步判斷該相同字段中的接口信息是否一致;如果一致,則所述PE路由器確認所述報文和所述接入用戶信息表中存在相同的接入信息。優(yōu)選的,如果不存在相同的接入信息,所述方法還包括所述PE路由器根據(jù)所述報文所對應(yīng)的接入用戶的認證結(jié)果進行處理,具體為所述認證過程具體為鏈路層認證,所述PE路由器在所述報文所對應(yīng)的接入用戶認證成功后,將所述接入用戶的認證信息加入所述接入用戶信息表,其中,如果所述接入用戶所對應(yīng)的報文的IP地址為固定地址,所述PE路由器直接將所述IP地址填入所述接入用戶信息表,如果所述接入用戶的IP地址需要另行獲取,所述PE路由器在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址填入所述接入用戶信息表;優(yōu)選的,如果不存在相同的接入信息,所述方法還包括所述PE路由器根據(jù)所述報文所對應(yīng)的接入用戶的認證結(jié)果進行處理,具體為所述認證過程具體為非鏈路層認證,所述PE路由器在公網(wǎng)地址池中選擇一個地址,分配給所述報文所對應(yīng)的接入用戶,在所述接入用戶認證成功后,所述PE路由器在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址和所述報文所對應(yīng)的接入用戶的其他認證信息填入所述接入用戶信息表。優(yōu)選的,所述報文所對應(yīng)的接入用戶認證成功后,還包括當所述PE路由器的接口的認證方式為本地認證時,所述PE路由器接收本地用戶數(shù)據(jù)庫發(fā)送的預(yù)先設(shè)置的所述報文所對應(yīng)的接入用戶所屬的VPN實例的信息;當所述PE路由器的接口的認證方式為遠程認證時,所述PE路由器接收認證服務(wù)器發(fā)送的預(yù)先設(shè)置的所述報文所對應(yīng)的接入用戶所屬的VPN實例的信息。優(yōu)選的,所述PE路由器接收本地用戶數(shù)據(jù)庫或認證服務(wù)器發(fā)送的預(yù)先設(shè)置的所述報文所對應(yīng)的接入用戶所屬的VPN實例的信息,具體為所述PE路由器接收通過Radius協(xié)議附在報文中傳輸?shù)乃鰣笪乃鶎?yīng)用戶所屬的VPN實例的信息。優(yōu)選的,所述的方法,還包括當所述PE路由器接收到所述VPN實例發(fā)送的報文時,所述PE路由器識別所述報文的類型;如果所述報文為廣播報文或組播報文,所述PE路由器查詢所述VPN實例所綁定的三層接口的接入用戶信息表中是否已經(jīng)存在所述報文所對應(yīng)的接入用戶的認證信息,如果有,則用IP承載層信息對所述報文進行封裝,通過廣播或組播形式發(fā)送給所述VPN的所有CE設(shè)備,如果沒有,則丟棄所述報文;如果所述報文為單播報文,所述PE路由器查詢所述VPN實例所綁定的三層接口的接入用戶信息表,將所述報文的目的地址與所述接入用戶信息表中的地址信息進行比較,如果相同,則用IP承載層信息對所述報文進行封裝,并將所述報文單播發(fā)送給所述目的地址,如果不同,則丟棄所述報文。另一方面,本發(fā)明還提供了一種PE路由器,應(yīng)用于包括至少一個PE路由器和至少一個CE設(shè)備的網(wǎng)絡(luò)系統(tǒng)中,其中,所述CE設(shè)備組成一個或多個VPN實例,具體包括設(shè)置模塊,用于設(shè)置各三層接口與所述PE路由器上所有的VPN實例之間的綁定關(guān)系,建立接口信息表記錄各接口所對應(yīng)的接入類型,并建立接入用戶信息表記錄各接入類型所對應(yīng)的接入信息;查詢模塊,與所述設(shè)置模塊相連接,用于當接口接收到發(fā)送給VPN實例的報文時,查詢所述設(shè)置模塊所設(shè)置的所述接口信息表,確定所述接口當前的接入類型;判斷模塊,與所述查詢模塊和所述設(shè)置模塊相連接,用于根據(jù)所述查詢模塊所確定的接入類型,將所述報文中的報文信息與所述接入類型所對應(yīng)的接入用戶信息表中的信息相比較,判斷是否存在相同的接入信息;通信模塊,與所述判斷模塊相連接,如果所述判斷模塊判斷存在相同的接入信息,用于將所述報文轉(zhuǎn)發(fā)給所述接入信息相對應(yīng)的VPN實例;處理模塊,與所述判斷模塊和所述設(shè)置模塊相連接,用于在所述判斷模塊判斷不存在相同的接入信息時,根據(jù)所述報文所對應(yīng)的接入用戶的認證結(jié)果進行處理。優(yōu)選的,所述判斷模塊,具體用于根據(jù)所述查詢模塊所查詢的接入類型,將所述報文中的IP承載層信息與所述接入用戶信息表中的鏈接信息相比較,判斷是否存在相同的字段;如果存在相同的字段,所述判斷模塊進一步判斷該相同字段中的接口信息是否一致;如果一致,則所述判斷模塊確認所述報文和所述接入用戶信息表中存在相同的接入fe息。優(yōu)選的,所述認證過程具體為鏈路層認證,所述處理模塊在所述報文所對應(yīng)的接入用戶認證成功后,將所述接入用戶的認證信息加入所述接入用戶信息表,其中,如果所述接入用戶所對應(yīng)的報文的IP地址為固定地址,所述處理模塊直接將所述IP地址填入所述接入用戶信息表,如果所述接入用戶的IP地址需要另行獲取,所述處理模塊在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址填入所述接入用戶信息表。優(yōu)選的,所述認證過程具體為非鏈路層認證,所述處理模塊在公網(wǎng)地址池中選擇一個地址,分配給所述報文所對應(yīng)的接入用戶,在所述接入用戶認證成功后,所述處理模塊在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址和所述報文所對應(yīng)的接入用戶的其他認證信息填入所述報文相對應(yīng)的接入用戶信息表。優(yōu)選的,所述的PE路由器,還包括識別模塊,用于當接口接收到所述VPN實例發(fā)送的報文時,識別所述報文的類型;如果所述報文為廣播報文或組播報文,所述查詢模塊查詢所述VPN實例所綁定的三層接口的接入用戶信息表中是否已經(jīng)存在所述報文所對應(yīng)的接入用戶的認證信息,如果有,則所述通信模塊用IP承載層信息對所述報文進行封裝,通過廣播或組播形式發(fā)送給所述VPN的所有CE設(shè)備,如果沒有,則丟棄所述報文;如果所述報文為單播報文,所述查詢模塊查詢所述VPN實例所綁定的三層接口的接入用戶信息表,將所述報文的目的地址與所述接入用戶信息表中的地址信息進行比較,如果相同,則所述通信模塊用IP承載層信息對所述報文進行封裝,并將所述報文單播發(fā)送給所述目的地址,如果不同,則丟棄所述報文。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案,實現(xiàn)了用戶接入PE設(shè)備的過程中,基于接入用戶綁定VPN實例,并實現(xiàn)用戶報文在相應(yīng)VPN實例內(nèi)的轉(zhuǎn)發(fā),降低了用戶接入VPN實例的配置過程的復(fù)雜度,并可以在用戶認證通過后動態(tài)分配用戶綁定的VPN實例。圖1為現(xiàn)有技術(shù)中一種MPLSL3VPN網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖2為本發(fā)明所提出的一種VPN實例的劃分方法的流程示意圖;圖3為本發(fā)明所提出的一種具體應(yīng)用場景下的VPN實例的劃分方法的流程示意圖;圖4為本發(fā)明所提出的一種PE路由器的結(jié)構(gòu)示意圖。具體實施例方式本發(fā)明技術(shù)方案的主要思路為指定PE設(shè)備上用于接入用戶的三層物理接口或者邏輯接口綁定到設(shè)備上所有VPN實例,用戶通過VPDN遠程接入或者其他認證方式接入后根據(jù)用戶的認證信息動態(tài)將此用戶綁定到預(yù)先定義的VPN實例,用戶后續(xù)發(fā)送的報文在查找相應(yīng)的VPN實例路由表進行轉(zhuǎn)發(fā)。基于上述思路,如圖2所示,為本發(fā)明所提出的一種VPN實例的劃分方法的流程示意圖,該方法應(yīng)用于包括至少一個服務(wù)商網(wǎng)絡(luò)邊緣PE路由器和至少一個用戶網(wǎng)絡(luò)邊緣CE設(shè)備的網(wǎng)絡(luò)系統(tǒng)中,其中,CE設(shè)備組成一個或多個VPN實例,PE路由器中的三層接口與PE路由器上所有的VPN實例相綁定,PE路由器建立接口信息表記錄各接口所對應(yīng)的接入類型,并建立接入用戶信息表記錄各接入類型所對應(yīng)的接入信息,該方法具體包括以下步驟步驟S201、當PE路由器的接口接收到發(fā)送給VPN實例的報文時,PE路由器查詢接口信息表,確定接口當前的接入類型。步驟S202、PE路由器根據(jù)接入類型,將報文中的報文信息與接入用戶信息表中的信息相比較,判斷是否存在相同的接入信息。其中,在具體的應(yīng)用場景中,本步驟具體為PE路由器根據(jù)接入類型,將報文中的IP承載層信息與接入用戶信息表中的鏈接信息相比較,判斷是否存在相同的字段;如果存在相同的字段,進一步判斷該相同字段中的接口信息是否一致;如果一致,則PE路由器確認報文和接入用戶信息表中存在相同的接入信息。反之,如果不存在相同的字段,或存在相同的字段,但字段中的接口信息不一致,則PE路由器確認報文和接入用戶信息表中不存在相同的接入信息?;谏鲜龅呐袛噙^程,那么如果判斷結(jié)果為存在,則執(zhí)行步驟S203;如果判斷結(jié)果為不存在,則執(zhí)行步驟S204。步驟S203、PE路由器將報文轉(zhuǎn)發(fā)給接入信息相對應(yīng)的VPN實例。步驟S204、PE路由器根據(jù)報文認證結(jié)果進行處理,具體為該認證過程為鏈路層認證,即PE路由器的接口已啟用鏈路層認證協(xié)議,PE路由器在該報文所對應(yīng)的接入用戶認證成功后,將接入用戶的認證信息加入接入用戶信息表,其中,如果接入用戶所對應(yīng)的報文的IP地址為固定地址,PE路由器直接將IP地址填入接入用戶信息表,如果接入用戶的IP地址需要另行獲取,PE路由器在報文的接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給接入用戶,并將地址填入接入用戶信息表;該認證過程為非鏈路層認證,PE路由器的接口啟用其他認證協(xié)議,PE路由器在公網(wǎng)地址池中選擇一個地址,分配給該報文所對應(yīng)的接入用戶,在報文認證成功后,PE路由器在報文的接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給接入用戶,并將地址和報文所對應(yīng)的接入用戶的其他認證信息填入接入用戶信息表。需要指出的是,在具體的應(yīng)用場景中,上述的鏈路層認證和其他認證(非鏈路層認證)的情況可以分別存在于不同的應(yīng)用場景下,也可以同時存在于同一個應(yīng)用場景下,這樣的變化并不影響本發(fā)明的保護范圍。需要進一步指出的是,報文認證成功后,該方法還包括當PE路由器的接口的認證方式為本地認證時,PE路由器接收本地用戶數(shù)據(jù)庫發(fā)送的預(yù)先設(shè)置的所對應(yīng)的接入用戶所屬的VPN實例的信息;當PE路由器的接口的認證方式為遠程認證時,PE路由器接收認證服務(wù)器發(fā)送的預(yù)先設(shè)置的所對應(yīng)的接入用戶所屬的VPN實例的信息。其中,PE路由器接收本地用戶數(shù)據(jù)庫或認證服務(wù)器發(fā)送的預(yù)先設(shè)置的報文所對應(yīng)的接入用戶所屬的VPN實例的信息,具體為PE路由器接收通過Radius協(xié)議附在報文中傳輸?shù)乃鶎?yīng)用戶所屬的VPN實例的信息ο上述過程是對PE路由器的接口接收到發(fā)送給VPN實例的報文時的過程描述,在具體的應(yīng)用場景中,PE路由器還可能接收到VPN實例發(fā)送的報文那么,在此時,相應(yīng)的處理過程如下PE路由器識別報文的類型;如果報文為廣播報文或組播報文,PE路由器查詢VPN實例所綁定的三層接口的接入用戶信息表中是否已經(jīng)存在該報文所對應(yīng)的接入用戶的認證信息,如果有,則用IP承載層信息對報文進行封裝,通過廣播或組播形式發(fā)送給VPN的所有CE設(shè)備,如果沒有,則丟棄報文;如果報文為單播報文,PE路由器查詢VPN實例所綁定的三層接口的接入用戶信息表,將報文的目的地址與接入用戶信息表中的地址信息進行比較,如果相同,則用IP承載層信息對報文進行封裝,并將報文單播發(fā)送給目的地址,如果不同,則丟棄報文。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案,實現(xiàn)了用戶接入PE設(shè)備的過程中,基于接入用戶綁定VPN實例,并實現(xiàn)用戶報文在相應(yīng)VPN實例內(nèi)的轉(zhuǎn)發(fā),降低了用戶接入VPN實例的配置過程的復(fù)雜度,并可以在用戶認證通過后動態(tài)分配用戶綁定的VPN實例。為了進一步闡述本發(fā)明的技術(shù)思想,現(xiàn)結(jié)合具體的應(yīng)用場景,對本發(fā)明的技術(shù)方案進行說明。PE路由器上用于用戶接入的三層接口默認綁定到設(shè)備上所有VPN實例,但是在用戶沒有通過認證并接入特定VPN實例的情況下則該接口收到的報文只上送到PE路由器公網(wǎng)路由模塊處理。首先,PE路由器上為各個接口創(chuàng)建如下的接口信息表和接入用戶信息表記錄相關(guān)fn息表1接口信息表<table>tableseeoriginaldocumentpage11</column></row><table>其中,if-index接口索引,每個啟用基于接入用戶劃分VPN實例功能的接口單獨對應(yīng)一個索引值;access-type接入類型,用戶接入方式,如L2TP、802.IX、PPPoE等,不同的接入類型對IP承載層信息也不相同;表2接入用戶信息表<table>tableseeoriginaldocumentpage11</column></row><table>其中,link-info:IP承載層信息,用來區(qū)分不同用戶發(fā)出的報文;username接入用戶的用戶名;if-index:接口索引,每個啟用基于接入用戶劃分VPN實例功能的接口單獨對應(yīng)一個索引值;VPN-instance接入用戶所屬的VPN實例;IPAddress接入用戶的IP地址?;谏鲜龅脑O(shè)定,如圖3所示,為本發(fā)明提出的一種具體應(yīng)用場景下的VPN實例的劃分方法的流程示意圖,具體包括以下步驟步驟S301、PE路由器的接口接收到報文。步驟S302、PE路由器查找接口信息表,獲取當前接口啟用的接入類型。不同的接入類型使用的IP承載層信息如下<table>tableseeoriginaldocumentpage11</column></row><table>802.Ix直接使用以太網(wǎng)報文的源MAC地址做為IP承載層信息,用于區(qū)分不同用戶發(fā)出的報文;PPPoE使用以太網(wǎng)報文的源MAC和PPPoE會話的SessionID信息做為IP承載層fn息;L2TP使用L2TP報文中的TunnelID和SessionID做為IP承載層信息;Portal使用以太網(wǎng)報文的源MAC地址做為IP承載層信息;其他接入類型的IP承載層信息在這里不做定義,以能夠區(qū)分不同用戶發(fā)送的報文為準。步驟S303、PE路由器根據(jù)接口的接入類型,將報文的IP承載層信息與接入用戶信息表中的link-info進行比較。如果有相同項并且該表項中的if-index與報文的接收接口一致,則說明該用戶已認證通過并且已劃分VPN實例,獲取當前表項的VPN-intstance的值,并執(zhí)行步驟S304;相反,如果沒有相同項則說明該用戶還沒有經(jīng)過認證,則執(zhí)行步驟S305。步驟S304、PE路由器將報文轉(zhuǎn)發(fā)到對應(yīng)的VPN實例。步驟S305、PE路由器將報文傳送給公網(wǎng)模塊處理,啟動認證處理流程。其中,如果用戶接入過程中已啟用鏈路層認證協(xié)議,如802.IX,PPP等,則按照已有認證流程處理。如果用戶接入過程中啟用了非鏈路層認證協(xié)議,由于是先獲取地址再進行認證,認證之前無法確認用戶所屬VPN實例,則建議使用二次地址分配處理機制,以DHCP為例認證之前用戶從公網(wǎng)地址池中獲取一個地址,以此進行相應(yīng)的認證過程。步驟S306、PE路由器判斷報文認證是否成功。具體的認證是指針對該報文所對應(yīng)的接入用戶所進行的身份認證,以下說明過程中所提及的認證也與此相類似,不再重復(fù)說明。如果成功,即確認該報文所對應(yīng)的接入用戶為合法的接入用戶,執(zhí)行步驟S307;如果不成功,則返回執(zhí)行步驟S305。需要進一步指出的是,在步驟S305中的認證可以是人工觸發(fā)的認證,即需要操作者進行確認后才會進行再次認證,也可以使自動進行的認證,這樣的認證需要設(shè)定相應(yīng)的認證機制,如果存在多種認證協(xié)議,則需要確定不同的認證協(xié)議所對應(yīng)的報文類型,或者確定不同的認證協(xié)議所對應(yīng)的認證優(yōu)先級,當有報文需要進行認證時,首先從具有最高優(yōu)先級的認證協(xié)議開始認證,如果失敗,則繼續(xù)使用下一個優(yōu)先級的認證協(xié)議進行認證,如果當前所有的認證協(xié)議都認證失敗或者認證失敗的次數(shù)達到一定的閾值,則重視該報文的認證過程,并發(fā)出相應(yīng)的認證告警等待處理或直接丟棄該報文。步驟S307、PE路由器將認證成功的報文信息添加入相應(yīng)的接入用戶信息表。相對于步驟S305中啟用鏈路層認證協(xié)議的認證場景,在報文認證通過后,PE路由器將接口索引、用戶名、IP承載層信息及設(shè)備本身已配置的該用戶所屬VPN實例信息,或者遠程認證服務(wù)器返回的該用戶的VPN實例信息,填入接入用戶信息表。在此種情況下,對于完成認證后用戶VPN實例信息下發(fā)的處理過程如下如果是采用本地認證的方式,可以在本地用戶數(shù)據(jù)庫中每個用戶預(yù)先設(shè)置用戶所屬的VPN實例信息,待認證通過后將用戶關(guān)聯(lián)的VPN實例信息下發(fā)到接入用戶信息表;如果用戶是采用的遠程認證方式,則需要在認證服務(wù)器上預(yù)先定義用戶所屬VPN實例的屬性信息,在認證通過后,認證服務(wù)器將用戶所屬VPN實例屬性下發(fā)。本發(fā)明的技術(shù)方案中可以定義利用Radius協(xié)議傳輸VPN實例屬性,相應(yīng)的格式如下012012345678901234567890+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-IType|Length|Value+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-其中,Type:類型字段;Length屬性長度,包括長度字段和vlaue字段的長度;Value=VPN實例信息,以字符串形式給出;Vpn實例屬性在Access-Accept報文中傳輸,Radius服務(wù)器檢查用戶的認證信息通過后將此屬性附到Access-Accept報文中發(fā)送給設(shè)備,設(shè)備通過讀取該屬性獲取用戶所屬VPN實例的信息。Vpn實例屬性也可以通過廠商私有屬性傳輸,在本方法中不再定義。用戶下線或者超時斷開口,將用戶信息從接入用戶信息表中刪除。另一方面,相對于步驟S305中沒有啟用鏈路層認證協(xié)議的認證場景,在報文完成相關(guān)的認證后(可以采用Portal認證或者其他認證方式),PE路由器獲取用戶所屬的VPN實例信息,并填入接入用戶信息表;由于先前是以公網(wǎng)IP地址進行的認證,所以,PE路由器通知用戶再次獲取IP地址,并最終從用戶所屬的VPN實例的地址池中向用戶分配地址,分配地址后,將重新分配的地址填入接入用戶信息表。步驟S308、PE路由器判斷是否為用戶動態(tài)分配地址。如果是,執(zhí)行步驟S309;如果不是,執(zhí)行步驟S310。步驟S309、PE路由器動態(tài)為用戶分配IP地址,并更新接入用戶信息表中相對應(yīng)的動態(tài)分配后的IP地址信息。如果用戶是通過DHCP(用戶通過802.IX認證可以通過DHCP協(xié)議獲取地址)或者PPP協(xié)商(用戶通過PPP認證后直接通過PPP協(xié)議本身獲取地址)獲取地址,則從用戶所屬VPN實例的地址池中向用戶分配地址,分配地址后將分配的地址填入接入用戶信息表。步驟S310、在報文完成認證后,如果用戶配置的是固定IP地址,則直接將用戶報文的源地址填入接入用戶信息表的IPAddress項。后續(xù)用戶發(fā)送報文根據(jù)步驟S309或步驟S310已經(jīng)建立的用戶信息表轉(zhuǎn)發(fā)。另一方面,對于由VPN實例發(fā)送到PE路由器的接口的報文,分為以下兩種情況情況一、如果是廣播或者組播報文,則查找接入用戶信息表中是否已有用戶接入。如果已有用戶接入,則對該VPN實例中所有用戶使用IP承載層信息封裝廣播或組播報文然后發(fā)送。如果該VPN實例沒有用戶通過認證并接入相應(yīng)的VPN實例,則報文被丟棄。情況二、如果是單播報文,查找接入用戶信息表,將報文的目的地址與表項中的IPAddress字段比較。如果字段內(nèi)容相同,則PE路由器根據(jù)該表項中的IP承載層信息字段封裝報文并發(fā)送;如果沒有查找到符合的內(nèi)容表項,則報文被丟棄。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案,實現(xiàn)了用戶接入PE設(shè)備的過程中,基于接入用戶綁定VPN實例,并實現(xiàn)用戶報文在相應(yīng)VPN實例內(nèi)的轉(zhuǎn)發(fā),降低了用戶接入VPN實例的配置過程的復(fù)雜度,并可以在用戶認證通過后動態(tài)分配用戶綁定的VPN實例。為了實現(xiàn)本發(fā)明的技術(shù)方案,本發(fā)明還提出了一種PE路由器,其結(jié)構(gòu)示意圖如圖4所示,應(yīng)用于包括至少一個PE路由器和至少一個CE設(shè)備的網(wǎng)絡(luò)系統(tǒng)中,其中,CE設(shè)備組成一個或多個VPN實例,具體包括設(shè)置模塊41,用于設(shè)置各三層接口與PE路由器上所有的VPN實例之間的綁定關(guān)系,建立接口信息表記錄各接口所對應(yīng)的接入類型,并建立接入用戶信息表記錄各接入類型所對應(yīng)的接入信息;查詢模塊42,與設(shè)置模塊41相連接,用于當接口接收到發(fā)送給VPN實例的報文時,查詢設(shè)置模塊41所設(shè)置的接口信息表,確定接口當前的接入類型;判斷模塊43,與查詢模塊42和設(shè)置模塊41相連接,用于根據(jù)查詢模塊42所確定的接入類型,將報文中的報文信息與該接入類型在接入用戶信息表中所對應(yīng)的信息相比較,判斷是否存在相同的接入信息;優(yōu)選的,判斷模塊43,具體用于根據(jù)查詢模塊42所查詢的接入類型,將報文中的IP承載層信息與接入用戶信息表中的鏈接信息相比較,判斷是否存在相同的字段;如果存在相同的字段,判斷模塊43進一步判斷該相同字段中的接口信息是否一致;如果一致,則判斷模塊43確認報文和接入用戶信息表中存在相同的接入信息。通信模塊44,與判斷模塊43相連接,如果判斷模塊43判斷存在相同的接入信息,用于將報文轉(zhuǎn)發(fā)給接入信息相對應(yīng)的VPN實例。處理模塊45,與判斷模塊43和設(shè)置模塊41相連接,用于在判斷模塊43判斷不存在相同的接入信息時,根據(jù)報文所對應(yīng)的接入用戶的認證結(jié)果進行處理,具體包括該認證過程為鏈路層認證,即PE路由器的接口已啟用鏈路層認證協(xié)議時,處理模塊45在報文所對應(yīng)的接入用戶認證成功后,將接入用戶的認證信息加入相對應(yīng)的接入用戶信息表,其中,如果接入用戶所對應(yīng)的報文的IP地址為固定地址,處理模塊45直接將IP地址填入接入用戶信息表,如果報文所對應(yīng)的接入用戶的IP地址需要另行獲取,處理模塊45在報文的接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給接入用戶,并將地址填入接入用戶信息表;該認證過程為非鏈路層認證,即PE路由器的接口啟用非鏈路層認證協(xié)議時,處理模塊45在公網(wǎng)地址池中選擇一個地址,分配給報文所對應(yīng)的接入用戶,在該接入用戶認證成功后,處理模塊45在報文的接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給接入用戶,并將地址和該報文所對應(yīng)的接入用戶的其他認證信息填入相對應(yīng)的接入用戶信息表。需要指出的是,在具體的應(yīng)用場景中,上述的鏈路層認證和其他認證(非鏈路層認證)的情況可以分別存在于不同的應(yīng)用場景下,也可以同時存在于同一個應(yīng)用場景下,這樣的變化并不影響本發(fā)明的保護范圍。進一步的,PE路由器還包括識別模塊46,用于當接口接收到VPN實例發(fā)送的報文時,識別報文的類型;如果報文為廣播報文或組播報文,查詢模塊42查詢VPN實例所綁定的三層接口的接入用戶信息表中是否已經(jīng)存在該報文所對應(yīng)的接入用戶的認證信息,如果有,則通信模塊44用IP承載層信息對報文進行封裝,通過廣播或組播形式發(fā)送給VPN的所有CE設(shè)備,如果沒有,則丟棄報文;如果報文為單播報文,查詢模塊42查詢VPN實例所綁定的三層接口的接入用戶信息表,將報文的目的地址與接入用戶信息表中的地址信息進行比較,如果相同,則通信模塊44用IP承載層信息對報文進行封裝,并將報文單播發(fā)送給目的地址,如果不同,則丟棄報文。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點通過應(yīng)用本發(fā)明的技術(shù)方案,實現(xiàn)了用戶接入PE設(shè)備的過程中,基于接入用戶綁定VPN實例,并實現(xiàn)用戶報文在相應(yīng)VPN實例內(nèi)的轉(zhuǎn)發(fā),降低了用戶接入VPN實例的配置過程的復(fù)雜度,并可以在用戶認證通過后動態(tài)分配用戶綁定的VPN實例。通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn),也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)。基于這樣的理解,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是⑶-ROM,U盤,移動硬盤等)中,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施場景所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施場景的示意圖,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實施場景中的裝置中的模塊可以按照實施場景描述進行分布于實施場景的裝置中,也可以進行相應(yīng)變化位于不同于本實施場景的一個或多個裝置中。上述實施場景的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。上述本發(fā)明序號僅僅為了描述,不代表實施場景的優(yōu)劣。以上公開的僅為本發(fā)明的幾個具體實施場景,但是,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍。權(quán)利要求一種虛擬專用網(wǎng)絡(luò)VPN實例的劃分方法,應(yīng)用于包括至少一個服務(wù)商網(wǎng)絡(luò)邊緣PE路由器和至少一個用戶網(wǎng)絡(luò)邊緣CE設(shè)備的網(wǎng)絡(luò)系統(tǒng)中,其中,所述CE設(shè)備組成一個或多個VPN實例,其特征在于,所述PE路由器中的三層接口與所述PE路由器上所有的VPN實例相綁定,所述PE路由器建立接口信息表記錄各接口所對應(yīng)的接入類型,并建立接入用戶信息表記錄各接入類型所對應(yīng)的接入信息,所述方法具體包括以下步驟當所述PE路由器的接口接收到發(fā)送給VPN實例的報文時,所述PE路由器查詢所述接口信息表,確定所述接口當前的接入類型;所述PE路由器根據(jù)所述接入類型,將所述報文中的報文信息與所述接入用戶信息表中的信息相比較,判斷是否存在相同的接入信息;如果存在相同的接入信息,所述PE路由器將所述報文轉(zhuǎn)發(fā)給所述接入信息相對應(yīng)的VPN實例。2.如權(quán)利要求1所述的方法,其特征在于,所述PE路由器根據(jù)所述接入類型,將所述報文中的報文信息與所述接入用戶信息表中的信息相比較,判斷是否存在相同的接入信息,具體為所述PE路由器根據(jù)所述接入類型,將所述報文中的IP承載層信息與所述接入用戶信息表中的鏈接信息相比較,判斷是否存在相同的字段;如果存在相同的字段,進一步判斷該相同字段中的接口信息是否一致;如果一致,則所述PE路由器確認所述報文和所述接入用戶信息表中存在相同的接入fn息ο3.如權(quán)利要求2所述的方法,其特征在于,如果不存在相同的接入信息,所述方法還包括所述PE路由器根據(jù)所述報文所對應(yīng)的接入用戶的認證結(jié)果進行處理,具體為所述認證過程具體為鏈路層認證,所述PE路由器在所述報文所對應(yīng)的接入用戶認證成功后,將所述接入用戶的認證信息加入所述接入用戶信息表,其中,如果所述接入用戶所對應(yīng)的報文的IP地址為固定地址,所述PE路由器直接將所述IP地址填入所述接入用戶信息表,如果所述接入用戶的IP地址需要另行獲取,所述PE路由器在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址填入所述接入用戶信息表。4.如權(quán)利要求2所述的方法,其特征在于,如果不存在相同的接入信息,所述方法還包括所述PE路由器根據(jù)所述報文所對應(yīng)的接入用戶的認證結(jié)果進行處理,具體為所述認證過程具體為非鏈路層認證,所述PE路由器在公網(wǎng)地址池中選擇一個地址,分配給所述報文所對應(yīng)的接入用戶,在所述接入用戶認證成功后,所述PE路由器在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址和所述報文所對應(yīng)的接入用戶的其他認證信息填入所述接入用戶信息表。5.如權(quán)利要求3所述的方法,其特征在于,所述報文所對應(yīng)的接入用戶認證成功后,還包括當所述PE路由器的接口的認證方式為本地認證時,所述PE路由器接收本地用戶數(shù)據(jù)庫發(fā)送的預(yù)先設(shè)置的所述報文所對應(yīng)的接入用戶所屬的VPN實例的信息;當所述PE路由器的接口的認證方式為遠程認證時,所述PE路由器接收認證服務(wù)器發(fā)送的預(yù)先設(shè)置的所述報文所對應(yīng)的接入用戶所屬的VPN實例的信息。6.如權(quán)利要求5所述的方法,其特征在于,所述PE路由器接收本地用戶數(shù)據(jù)庫或認證服務(wù)器發(fā)送的預(yù)先設(shè)置的所述報文所對應(yīng)的接入用戶所屬的VPN實例的信息,具體為所述PE路由器接收通過Radius協(xié)議附在報文中傳輸?shù)乃鰣笪乃鶎?yīng)用戶所屬的VPN實例的信息。7.如權(quán)利要求1所述的方法,其特征在于,還包括當所述PE路由器接收到所述VPN實例發(fā)送的報文時,所述PE路由器識別所述報文的類型;如果所述報文為廣播報文或組播報文,所述PE路由器查詢所述VPN實例所綁定的三層接口的接入用戶信息表中是否已經(jīng)存在所述報文所對應(yīng)的接入用戶的認證信息,如果有,則用IP承載層信息對所述報文進行封裝,通過廣播或組播形式發(fā)送給所述VPN的所有CE設(shè)備,如果沒有,則丟棄所述報文;如果所述報文為單播報文,所述PE路由器查詢所述VPN實例所綁定的三層接口的接入用戶信息表,將所述報文的目的地址與所述接入用戶信息表中的地址信息進行比較,如果相同,則用IP承載層信息對所述報文進行封裝,并將所述報文單播發(fā)送給所述目的地址,如果不同,則丟棄所述報文。8.一種PE路由器,應(yīng)用于包括至少一個PE路由器和至少一個CE設(shè)備的網(wǎng)絡(luò)系統(tǒng)中,其中,所述CE設(shè)備組成一個或多個VPN實例,其特征在于,具體包括設(shè)置模塊,用于設(shè)置各三層接口與所述PE路由器上所有的VPN實例之間的綁定關(guān)系,建立接口信息表記錄各接口所對應(yīng)的接入類型,并建立接入用戶信息表記錄各接入類型所對應(yīng)的接入信息;查詢模塊,與所述設(shè)置模塊相連接,用于當接口接收到發(fā)送給VPN實例的報文時,查詢所述設(shè)置模塊所設(shè)置的接口信息表,確定所述接口當前的接入類型;判斷模塊,與所述查詢模塊和所述設(shè)置模塊相連接,用于根據(jù)所述查詢模塊所確定的接入類型,將所述報文中的報文信息與所述接入類型在所述接入用戶信息表中所對應(yīng)的的信息相比較,判斷是否存在相同的接入信息;通信模塊,與所述判斷模塊相連接,如果所述判斷模塊判斷存在相同的接入信息,用于將所述報文轉(zhuǎn)發(fā)給所述接入信息相對應(yīng)的VPN實例;處理模塊,與所述判斷模塊和所述設(shè)置模塊相連接,用于在所述判斷模塊判斷不存在相同的接入信息時,根據(jù)所述報文所對應(yīng)的接入用戶的認證結(jié)果進行處理。9.如權(quán)利要求8所述的PE路由器,其特征在于,所述判斷模塊,具體用于根據(jù)所述查詢模塊所查詢的接入類型,將所述報文中的IP承載層信息與所述接入用戶信息表中的鏈接信息相比較,判斷是否存在相同的字段;如果存在相同的字段,所述判斷模塊進一步判斷該相同字段中的接口信息是否一致;如果一致,則所述判斷模塊確認所述報文和所述接入用戶信息表中存在相同的接入信肩、O10.如權(quán)利要求8所述的PE路由器,其特征在于,所述認證過程具體為鏈路層認證,所述處理模塊在所述報文所對應(yīng)的接入用戶認證成功后,將所述接入用戶的認證信息加入所述接入用戶信息表,其中,如果所述接入用戶所對應(yīng)的報文的IP地址為固定地址,所述處理模塊直接將所述IP地址填入所述接入用戶信息表,如果所述接入用戶的IP地址需要另行獲取,所述處理模塊在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址填入所述接入用戶信息表。11.如權(quán)利要求8所述的PE路由器,其特征在于,所述認證過程具體為非鏈路層認證,所述處理模塊在公網(wǎng)地址池中選擇一個地址,分配給所述報文所對應(yīng)的接入用戶,在所述接入用戶認證成功后,所述處理模塊在所述接入用戶歸屬的VPN實例所對應(yīng)的地址池中選擇一個地址,分配給所述接入用戶,并將所述地址和所述報文所對應(yīng)的接入用戶的其他認證信息填入所述報文相對應(yīng)的接入用戶信息表。12.如權(quán)利要求8所述的PE路由器,其特征在于,還包括識別模塊,用于當接口接收到所述VPN實例發(fā)送的報文時,識別所述報文的類型;如果所述報文為廣播報文或組播報文,所述查詢模塊查詢所述VPN實例所綁定的三層接口的接入用戶信息表中是否已經(jīng)存在所述報文所對應(yīng)的接入用戶的認證信息,如果有,則所述通信模塊用IP承載層信息對所述報文進行封裝,通過廣播或組播形式發(fā)送給所述VPN的所有CE設(shè)備,如果沒有,則丟棄所述報文;如果所述報文為單播報文,所述查詢模塊查詢所述VPN實例所綁定的三層接口的接入用戶信息表,將所述報文的目的地址與所述接入用戶信息表中的地址信息進行比較,如果相同,則所述通信模塊用IP承載層信息對所述報文進行封裝,并將所述報文單播發(fā)送給所述目的地址,如果不同,則丟棄所述報文。全文摘要本發(fā)明公開了一種VPN實例的劃分方法和設(shè)備,通過應(yīng)用本發(fā)明的技術(shù)方案,實現(xiàn)了用戶接入PE設(shè)備的過程中,基于接入用戶綁定VPN實例,并實現(xiàn)用戶報文在相應(yīng)VPN實例內(nèi)的轉(zhuǎn)發(fā),降低了用戶接入VPN實例的配置過程的復(fù)雜度,并可以在用戶認證通過后動態(tài)分配用戶綁定的VPN實例。文檔編號H04L29/12GK101808038SQ20101013448公開日2010年8月18日申請日期2010年3月29日優(yōu)先權(quán)日2010年3月29日發(fā)明者劉雄威申請人:杭州華三通信技術(shù)有限公司