專利名稱:一種虛擬專用網絡的實現方法
技術領域:
本發明涉及一種在通訊領域中采用虛擬專用網絡部署時,使得跨區域網、廣域網實現快速互聯互通的方法。
背景技術:
隨著全球互聯網的快速發展,國民的信息化水平也越來越高,跨區域的國家機關,大型企業也紛紛要求,在一個私有的安全網絡中實現跨地區互聯,實現員工遠程在家辦公,總部和分支機構共享報表數據等,而且這種需求是越來越強烈。
目前比較成熟的虛擬專用網絡VPN(virtual private network)技術主要有L2TP(Layer Two Tunnel Protocol,二層隧道協議)、MPLS(MultiprotocolLabel Switching多協議標記交換)虛擬專用網絡等,其中L2TP主要采用PPP(point to point點到點)隧道擴展技術,雖然適合員工在家辦公,但對于大型企業各分支機構之間、分支和總部之間的大量數據訪問并不合適;而MPLS虛擬專用網絡,在網絡層上進一步劃分業務,可以對不同業務采取不同的流量工程,但需要核心層網絡、匯聚層網絡支持MPLS協議,而且建構的成本比較高,而目前急需提供一種能快速部署,對現有網絡結構不做修改的前提下,提供一種能夠實現大型企業、各國家機關單位跨區域互聯的,而且是配置簡單、易于管理和維護、可靠的私有專用網絡方法。
發明內容
本發明所要解決的技術問題是提供了一種虛擬專用網絡的實現方法,利用該快速部署的私有專用網絡可十分方便地滿足國家機關單位、大型企業跨區域互聯、信息共享的需求。
為了實現上述目的,本發明提供了一種虛擬專用網絡的實現方法,包括步驟1,將需要接入虛擬專用網絡域的計算機接入客戶側邊緣設備;
步驟2,在客戶側邊緣設備上相應的端口處劃分標識是接入的虛擬專用網絡域用戶的特定的虛擬局域網;步驟3,在網絡側邊緣設備上配置所述虛擬專用網絡域,將接入的虛擬局域網電路中加入所述虛擬專用網絡域并在所述電路中配置接入速率限制;步驟4,在所述網絡側邊緣設備上配置通用路由器連接隧道(GRE,GenericRouting Encapsulation,以下簡稱GRE隧道),并將該通用路由器連接隧道作為一條電路加入到所述虛擬專用網絡域中。
上述的方法,還包括如下步驟步驟5,在虛擬專用網絡域中接入遠端,按照步驟2-步驟3進一步配置多個客戶側邊緣設備和網絡側邊緣設備,各網絡側邊緣設備之間通過所述GRE隧道連接;步驟6,在遠端將多個需要接入虛擬專用網絡域的計算機接入所述多個客戶側邊緣設備。
本發明所述方法需要一系列網絡設備共同完成,私有專用網絡組網,包括客戶側邊緣設備,網絡側邊緣設備和路由器,其中對客戶側邊緣設備和路由器設備,其實現功能需求和傳統意義上一致,客戶側邊緣設備實現二層MAC地址交換功能,路由器設備實現基于三層IP地址轉發功能。
上述網絡側邊緣設備所必須滿足的功能具體描述如下虛擬局域網電路作為私有專用網絡接入的唯一標識,在網絡側邊緣設備上進行控制,不是該虛擬專用網絡域中的虛擬局域網電路將不被接入,保證私有網絡接入的安全性,同時根據虛擬局域網電路進行接入限速,保證不會由于分支機構的網絡異常,如由網絡病毒等造成網絡風暴,而影響其他分支和總部的網絡運行。
網絡側邊緣設備根據二層MAC地址轉發,這就保證了虛擬專用網絡的接入不需要進行三層IP地址配置和控制,方便快速部署。網絡側邊緣設備將自動學習到所有內部虛擬專用網絡的二層MAC地址,并根據二層目的MAC地址轉發。
網絡側邊緣設備通過通用路由器連接隧道協議擴展虛擬專用網絡,實行跨域網絡、核心網絡的虛擬專用網絡互聯。通用路由器連結隧道中封裝的是二層以太網幀報文。
本發明所述的虛擬專用網絡實現方法,對現有網絡改造小,配置靈活、簡單,安全可靠,易于擴展,為國家機關單位、大型企業快速部署和實現虛擬專用網絡提供了一種強有力的手段。
圖1是本發明一種虛擬專用網絡接入流程圖;圖2是本發明一種虛擬專用網絡組網圖;圖3是本發明網絡側邊緣設備數據報文轉發流程圖;具體實施方式
為使本發明的目的、技術和優點更加清楚,下面結合附圖對本發明做進一步的詳細描述。
本發明的基本思想是,在現有網絡中已經存在的設備-路由器、交換機(作為客戶側邊緣設備CE)的基礎之上,提供一種虛擬專用網絡控制設備(作為網絡側邊緣設備PE),來完成虛擬私有網絡的安全控制,網絡擴展功能。該網絡側邊緣設備PE的基本特征有三點用虛擬局域網VLAN電路標識虛擬專用網絡VPN用戶,保證虛擬專用網絡VPN用戶接入的安全可控,并根據虛擬局域網VLAN電路進行流量限制,防止網絡風暴擴散;根據二層目的地址轉發、MAC地址自動學習,不需要另外配置和管理,極大的較少了設備維護的成本;采用通用路由器連接隧道技術進行虛擬專用網絡VPN域的延伸,同時把通用路由器連接隧道作為一種電路類型,方便控制,也大大降低了技術實現的難度,對現有網絡改動最少。
下面結合附圖和實施例進一步說明本發明是如何實現這種能夠快速部署的私有專用網絡方法的。
如圖1和圖2所示,本發明的接入步驟S101、S102、S105、S106是目前寬帶數據接入的一般流程,主要有多個PC計算機(虛擬專用網VPN用戶),客戶側邊緣設CE(可以是二層交換機,或者其他根據二層MAC地址轉發的設備),正常接入到虛擬專用網絡VPN域中。下面以PC計算機11和PC計算機13組成的具體虛擬專用網絡VPN域1為例子,說明該虛擬專用網絡VPN方法是如何實現的。
首先,流程中的步驟S101、S102,將PC計算機11、12連接到客戶側邊緣設備(CE)21上,并在客戶側邊緣設備(CE)1上將與PC計算機11、12相連的端口以及與網絡側邊緣設備(PE)31相連的端口設定為LAN100,并且在與網絡側邊緣設備(PE)31相連的端口打上(標出) vlan taged(圖中未示出);接著進行步驟S103,即在網絡側邊緣設備(PE)31上建立虛擬專用網絡VPN域1,并將與客戶側邊緣設備(PE)21相連的端口號和虛擬局域網(VLAN)100加到虛擬專用網絡(VPN)域1,同時配置流量限制參數;網絡側邊緣設備(PN)32同樣建立虛擬專用網絡VPN域1,將與客戶側邊緣設備(PE)22相連的端口號和虛擬局域網(VLAN)200加入到虛擬專用網絡(VPN)域1中;進行步驟S104,在網絡側邊緣設備(PE)31上配置與網絡側邊緣設備(PE)32相連的通用路由器連接隧道,并將該通用路由器連接隧道加入虛擬專用網絡VPN域1中;在網絡側邊緣設備(PE)32上配置與網絡側邊緣設備(PE)31相連的通用路由器連接隧道,將該通用路由器連接隧道加入到虛擬專用網絡VPN域1中。
進行步驟S105、S106,客戶側邊緣設備(PE)22如客戶側邊緣設備(PE)21配置一樣,將相應的端口配置為虛擬局域VLAN網200,與網絡側邊緣設備(PE)32相連的端口打上(標出)Vlan taged(圖中未示出);如此,本發明的虛擬專用網絡實現方法就已經實現,下面結合附圖3,說明虛擬專用網絡VPN域中數據報文的學習過程,PC計算機1發送一個單播或者廣播報文到客戶側邊緣設備(CE)l,客戶側邊緣設備(PE)l根據二層MAC地址轉發,經報文直接廣播到網絡側邊緣設備1,網絡側邊緣設備(PE)1端口收到報文(步驟S200)后,根據圖3的流程圖,將根據VLAN電路判斷該電路是否屬于虛擬專用網絡域1(步驟S201),如果不是則丟棄或者其他處理(步驟S400),其他處理可能包括根據二層地址轉發,或者三層路由轉發;如果發現是屬于虛擬專用網絡VPN域1后,網絡側邊緣設備(PE)1先進行源MAC地址學習(步驟S202),這時網絡側邊緣設備(PE)1上就記錄有PC1的二層MAC地址,然后根據目的MAC判斷(步驟S203),沒有對應的MAC記錄,將根據VLAN電路信息查找相應的虛擬專用網絡VPN域1(步驟S300),然后查找該虛擬專用網絡VPN域1所有的電路(步驟S301)上并進行復制轉發(步驟S302),包括通用路由器連接隧道1電路;通用路由器連接隧道1報文經過internet網上的眾多路由器(41、42)后,最終到達網絡側邊緣設備(PE)2(通用路由器連接隧道1填寫的目的地址為網絡側邊緣設備2);如果有對應的MAC記錄,則將根據目的MAC索引(S204),對于相應的電路進行限速(S205),然后根據目的MAC地址進行轉發(S206);網絡側邊緣設備(PE)32同樣根據電路信息(這時是通用路由器連接隧道電路),確定是虛擬專用網絡VPN域1用戶,網絡側邊緣設備(PE)32也進行源MAC地址學習,并判斷目的MAC地址,這時網絡側邊緣設備(PE)32上如果有計算機13的二層MAC記錄,將直接將報文發送到客戶側邊緣設備(PE)22,由客戶側邊緣設備(PE)22轉發到PC計算機13;如果網絡側邊緣設備(PE)沒有學習到計算機13的二層MAC地址,它將根據虛擬專用網絡VPN域1查找到該域內的所有電路(包括VLAN電路和隧道電路),在除通用路由器連接隧道之外的所有電路上進行多目復制轉發。
最后是數據報文直接轉發過程,PC計算機11發送單播報文給PC計算機13,經過的轉發路徑直接為客戶側邊緣設備(CE)21,網絡側邊緣設備(PE)31,經中間路由器到網絡側邊緣設備(PE)23,客戶側邊緣設備(CE)22,最后直接到達PC計算機13,沒有復制轉發過程。
對同一個網絡側邊緣設備(PE)下的同一個虛擬專用網絡VPN域用戶,其數據報文轉發過程基本相同,只是不經過通用路由器連接隧道,不再贅述。
本發明在實現時可能有多種不同的方案,本文中所涉及的具體實現方案只是其中一種。熟悉本領域的技術人員當可根據本發明作出各種相應的改變和變形,但這些相應的改變和變形都應屬于本發明所附的權利要求的保護范圍。
權利要求
1.一種虛擬專用網絡的實現方法,其特征在于,包括步驟1,將需要接入虛擬專用網絡域的計算機接入客戶側邊緣設備;步驟2,在客戶側邊緣設備上相應的端口劃分特定的虛擬局域網,以標識是接入的虛擬專用網絡域用戶;步驟3,在網絡側邊緣設備上配置所述虛擬專用網絡域,將接入的虛擬局域網電路加入所述虛擬專用網絡域,并在接入的所述虛擬局域網電路上配置接入速率限制;步驟4,在所述網絡側邊緣設備上配置通用路由器連接隧道,并將所述通用路由器連接隧道作為一條電路加入到所述虛擬專用網絡域中。
2.根據權利要求1所述虛擬專用網絡的實現方法,其特征在于,還進一步包括步驟5,在虛擬專用網絡域中接入遠端,依所述步驟2-步驟3配置相應的客戶側邊緣設備和網絡側邊緣設備;步驟6,在所述接入遠端將至少一個需要接入虛擬專用網絡域的計算機接入所述客戶側邊緣設備。
3.如權利要求1或2所述的方法,其特征在于,還包括所述網絡側邊緣設備在所述虛擬專用網絡域中進行數據報文轉發的步驟。
4.如權利要求3所述的方法,其特征在于,所述進行數據報文轉發的步驟還包括步驟71,所述計算機發送一報文到與之連接的客戶側邊緣設備中,該客戶側邊緣設備根據二層媒體接入控制MAC地址轉發,將該報文直接廣播到與之連接的網絡側邊緣設備;步驟72,所述與之連接的網絡側邊緣設備端口收到該報文后根據報文信息判斷其接入的虛擬局域網電路是否屬于所述虛擬專用網絡域;如果是,則所述與之連接的網絡側邊緣設備進行源MAC地址學習;步驟73,所述與之連接的網絡側邊緣設備判斷其是否記錄了所述計算機的目的MAC地址,如果有,則根據虛擬局域網電路進行限速,然后根據目的地址進行報文的復制和轉發;如果沒有,則根據所述虛擬局域網電路信息查找相應的虛擬專用網絡域,然后在該虛擬專用網絡域的包括通用路由器連接隧道電路、虛擬局域網電路的所有電路上進行報文的復制和轉發,經過互連網上的多個路由器最終到達目的地址所對應的網絡側邊緣設備。
5.如權利要求4所述的方法,其特征在于在步驟72中,當判斷接入的虛擬局域網電路不是屬于所述虛擬專用網絡域時,則丟棄收到的報文。
6.如權利要求4或5所述的方法,其特征在于,在步驟73中,所有的電路包括通用隧道電路。
7.如權利要求4或5所述的方法,其特征在于,還包括,所述多個網絡側邊緣設備進行MAC源地址學習后在包括通用路由器連接隧道電路和虛擬局域網電路的所有的電路上進行報文的多目復制轉發。
8.如權利要求4或5所述的方法,其特征在于對同一網絡側邊緣設備下的同一虛擬專用網絡域用戶,所述數據報文不經過通用路由器連接隧道而直接轉發。
9.一種采用權利要求1、2、4或5所述方法的虛擬專用網絡,其特征在于,包括多個接入端;一客戶側邊緣設備,用于將需要接入虛擬專用網絡域的所述接入端接入,在所述客戶側邊緣設備上相應的端口劃分特定的虛擬局域網,以標識是接入的虛擬專用網絡域用戶;一網絡側邊緣設備,在所述網絡側邊緣設備上配置所述虛擬專用網絡域,將接入的虛擬局域網電路加入所述虛擬專用網絡域,并在接入的所述虛擬局域網電路上配置接入速率限制;一通用路由器連接隧道,配置于所述網絡側邊緣設備上,并將所述通用路由器連接隧道作為一條電路加入到所述虛擬專用網絡域中。
全文摘要
本發明涉及一種虛擬專用網絡實行方法及其網絡,其中,該實現方法,包括將需要接入虛擬專用網絡域的計算機接入客戶側邊緣設備;在客戶側邊緣設備上相應的端口處劃分標識是接入的虛擬專用網絡域用戶的特定的虛擬局域網;在網絡側邊緣設備上配置所述虛擬專用網絡域,將接入的虛擬局域網電路中加入所述虛擬專用網絡域并在所述電路中配置接入速率限制;在所述網絡側邊緣設備上配置通用路由器連接隧道GRE,并將GRE隧道作為一條特殊電路加入到所述虛擬專用網絡域中。采用上述方法可以實現了虛擬專用網絡的快速部署。
文檔編號H04L12/46GK1878115SQ20051001188
公開日2006年12月13日 申請日期2005年6月7日 優先權日2005年6月7日
發明者秦遵明 申請人:中興通訊股份有限公司