一種虛擬專用撥號網絡的實現方法

2023-10-08 09:49:44 4

專利名稱：一種虛擬專用撥號網絡的實現方法
技術領域：
本發明屬於數據通訊技術領域，尤其涉及到一種虛擬專用撥號網絡的實現方法。
背景技術：
虛擬專用撥號網絡(VPDN)，是基於撥號用戶的虛擬專用撥號網業務。利用IP(網際協議)網絡的承載功能，結合相應的認證和授權機制，可以建立安全的虛擬專用網絡。遠程用戶採用PSTN(公共交換電話網)、ISDN(綜合業務數字網)、DSL(數字訂戶線路)、電纜或無線的方式，以撥號方式接入網際網路，利用公共網絡資源建立虛擬鏈路，訪問企業網內部數據資源。虛擬專用撥號網絡業務不僅為企業員工、企業用戶、企業合作夥伴提供遠程信息共享，而且也為企業員工在家或出差辦公、ICP/ISP專項服務、遠程報關、遠程報稅等提供解決方案。目前，中國電信已在全國進行了虛擬專用撥號網絡的建設，虛擬專用撥號網絡業務已擴展到全國所有的城市。
虛擬專用撥號網絡的核心是在網際協議上建立隧道。隧道由第二層隧道協議建立，主要類型有L2F(二層轉發協議)、PPTP(點對點隧道協議)、L2TP(二層隧道協議)三種，隧道協議由傳輸的載體、不同的封裝格式及傳輸的數據包組成，目前虛擬專用撥號網絡業務主要採用L2TP協議作為隧道協議。L2TP(二層隧道協議)是目前廣泛使用的一種虛擬專用撥號網絡標準。在L2TP協議中，虛擬專用撥號網絡用戶是通過「二層隧道協議訪問集中器」LAC(L2TP AccessConcentrator)與「二層隧道協議網絡伺服器」LNS(L2TP Network Server)建立L2TP隧道，將用戶接入私有網絡。
現有的電信虛擬專用撥號網絡組網方案如圖1所示。一般要求改造Radius(Remote Authentication Dial In User Service，遠程驗證用戶撥號服務)系統，然後部署二層隧道協議訪問集中器和二層隧道協議網絡伺服器，用戶訪問二層隧道協議訪問集中器時通過顯示地指定域名使二層隧道協議訪問集中器與二層隧道協議網絡伺服器建立隧道，並通過二層隧道協議網絡伺服器上網。上述方案在實際應用中存在如下幾個主要問題，嚴重地影響了方案的實用性a、現有虛擬專用撥號網絡組網方案為用戶登記域名時非常受限，現有系統的當前版本不能很好地支持這種設置；另外，用戶也經常不知道如何修改域名，或者感覺比較難以使用，從而影響電信業務的正常推廣。
b、現有系統，包括認證授權計費系統、BRAS(寬帶接入伺服器)現行版本也不能很好地支持或難以解決埠綁定、速率限制、規避單點故障風險等技術要求。
c、現有的系統可擴展性差，如在由於業務需要而調整二層隧道協議網絡伺服器時，割接麻煩，影響面廣，不能自動完成，甚至會影響到用戶的正常使用。

發明內容
本發明的目的在於提供一種可操作性、可管理性、可擴展性及可靠性都更好的虛擬專用撥號網絡的實現方法。
本發明的目的是這樣實現的，一種虛擬專用撥號網絡的實現方法，該方法的實現步驟如下一、在現有電信VPDN(虛擬專用撥號網絡，下同)中增設Radius轉發器(即認證授權計費轉發器)，處理來自LAC(二層隧道協議訪問集中器，下同)和LNS(二層隧道協議網絡伺服器，下同)的Radius請求(即認證授權計費請求)並轉發至Radius系統(即認證授權計費系統)；二、Radius轉發器確定建立撥號連接的用戶類型屬於L2TP(二層隧道協議，下同)撥號用戶；三、LAC與Radius轉發器指定的LNS為該用戶建立L2TP隧道和會話；四、在現有電信VPDN中增設至少一個業務網站，接受用戶訪問；五、用戶通過業務網站選擇業務類型；六、業務網站通過Radius轉發器確認用戶身份，並通知轉發器變更用戶可使用的業務類型。
所述步驟一中，在現有電信VPDN中增設多個Radius轉發器時，以實現容錯或負載均衡。
步驟一中所述的Radius轉發器通過重寫機制支持多種埠綁定、速率限制。
步驟一中所述的Radius轉發器支持用戶通過顯示指定域名訪問特定的業務。
步驟二和步驟三中所述的隧道協議支持L2F(二層轉發協議，下同)協議和其他隧道協議。
所述的步驟三中，當LNS有多個時，Radius轉發器從LAC的該業務類型的可用LNS列表中，基於一種負載均衡算法選擇一個LNS。
步驟四中所述的業務網站內設有LAC、業務類型、域名和LNS的配置信息，管理員可以管理這些信息。
步驟四中所述的業務網站為每種業務類型或域名指定一個或多個LNS，支持多業務接入。
步驟四中所述的業務網站定時監控LNS是否正常工作，發現某個LNS停止工作時，則發送請求給Radius轉發器，Radius轉發器將該LNS從可用LNS列表中移去，返回回應給業務網站，並通知其他Radius轉發器。
所述的步驟六中，當Radius轉發器為多個時，該轉發器將業務變更情況通知其它轉發器。
本發明虛擬專用撥號網絡的實現方法通過在現有電信虛擬專用撥號網絡中增設認證授權計費轉發器和業務網站兩種功能設備，創造了一種更為實用的虛擬專用撥號網絡技術方案，使其與現有技術相比，具有以下明顯的優點和積極效果1、便於使用，促進業務推廣本發明方法引入了業務網站和轉發器，便於用戶選擇業務類型，便於管理維護，能更好地促進業務的推廣。
2、技術成熟，可操作性好本發明方法技術成熟，可實際部署和操作。它兼容現網寬帶接入伺服器的各類現行版本，兼容現網認證授權計費系統，支持按用戶實現埠綁定，支持按用戶實現速率限制。現網用戶可直接接入，不需要調整客戶端。
3、具有良好的可擴展性，支持快速割接本發明方案具有良好的可擴展性，可隨業務的發展不斷增加二層隧道協議網絡伺服器，並可根據流量情況調整和優化二層隧道協議網絡伺服器的部署位置。同時它也支持快速割接，當需要快速割接時，如移去或加入某個二層隧道協議網絡伺服器時，只需要通過業務網站更改轉發器的配置文件；整個割接過程可迅速地自動完成，用戶感覺不到割接的過程。
4、具有良好的可調試性本發明方法具有良好的可調試性，如轉發器上可保留二層隧道協議訪問集中器和二層隧道協議網絡伺服器發送的認證授權計費報文的日誌，管理員可通過查詢日誌診斷用戶的連接問題；轉發器上可設置部分調試帳號，並指示二層隧道協議網絡伺服器按照點對點隧道協議方式實現接入，以便網管能方便地通過便攜筆記本遠程診斷問題，及滿足與網際協議地址綁定有關的業務遠程調試增值業務的需要。
5、能承載多業務本發明方案能承載多種業務，能支持這些業務不斷加入、調試和投入實際運營。管理員可通過業務網站為每種業務類型或域名指定一個或多個二層隧道協議網絡伺服器，從而支持多業務接入。


圖1為現有電信虛擬專用撥號網絡的典型組網圖；圖2為本發明虛擬專用撥號網絡的實現方法的虛擬專用撥號網絡的典型組網圖；圖3為本發明虛擬專用撥號網絡的實現方法的實現流程圖。
具體實施例方式
本發明虛擬專用撥號網絡的實現方法的典型組網形式如圖2所示。本發明基於二層隧道協議來組網，以現網寬帶接入伺服器作為二層隧道協議訪問集中器和二層隧道協議網絡伺服器，增設至少一個認證授權計費轉發器處理來自二層隧道協議訪問集中器和二層隧道協議網絡伺服器的認證授權計費請求並轉發至認證授權計費系統，另設立至少一個業務網站來接受用戶訪問。
本發明中的Radius轉發器、業務網站都可以配備多組，相應地LNS也可以配套成多個，這樣便可以實現負載均衡和容錯的功能。
根據各地電信實現埠綁定的方法不同，轉發器可支持靈活的欄位重寫機制以便支持各地電信的不同要求。
根據各地電信實現速率限制的方法不同，轉發器可支持靈活的欄位重寫機制以便支持各地電信的不同要求。
轉發器可支持用戶通過顯示指定域名訪問特定的業務，從而兼容現有方案。
本發明方法建立隧道的協議既可以支持L2TP，也可以支持L2F或其他隧道協議。
如果LNS有多個，則轉發器從該LAC的該業務類型的可用LNS列表中，基於一種負載均衡算法選擇一個LNS。
管理員可通過WEB在業務網站設置LAC、業務類型、域名和LNS等信息。
管理員可通過業務網站為每種業務類型或域名指定一個或多個LNS，從而支持多業務接入。
業務網站可定時監控LNS是否正常工作，若發現某個LNS停止工作時，則發送請求給轉發器，轉發器可將該LNS從可用LNS列表中移去，返回回應給業務網站，並通知其他轉發器。
如果轉發器有多個，則該轉發器可將業務變更情況通知其它轉發器。
本發明虛擬專用撥號網絡的實現方法的實現流程如圖3所示，按照本發明虛擬專用撥號網絡的實現方法，普通撥號的運行過程如下1、用戶向LAC發起撥號連接，LAC發送Access-Request給轉發器；2、轉發器檢查用戶類型及用戶是否顯式地給出了域名，發現用戶屬普通撥號用戶；3、轉發器轉發Access-Request至Radius系統；4、Radius系統返回Access-Accept或Access-Reject給轉發器；5、轉發器轉發Access-Accept或Access-Reject給LAC；6、LAC從本地的IP Pool中分配IP位址給用戶；7、LAC發送Accounting-Request給轉發器；8、轉發器記錄Accounting-Request中含有的IP-撥號用戶名對應關係，然後將Accounting-Request轉發至Radius系統，並將IP-撥號用戶名對應關係通知其他轉發器；
9、Radius系統返回Accounting-Response給轉發器；10、轉發器轉發Accounting-Response給LAC；11、LAC接受用戶上網；12、用戶請求斷開連接時，BRAS發送Accounting-Request給轉發器；13、轉發器轉發Accounting-Request給Radius系統；14、Radius系統返回Accounting-Response給轉發器；15轉發器轉發Accounting-Response給LAC；16、LAC斷開用戶。
按照本發明虛擬專用撥號網絡的實現方法，L2TP撥號的運行過程如下1、用戶向LAC發起撥號連接，LAC發送Accounting-Request給轉發器；2、轉發器檢查用戶類型及用戶是否顯式地給出了域名，發現用戶屬L2TP撥號用戶；3、轉發器從該BRAS/LAC的該業務類型的可用LNS列表中，基於一種負載均衡算法選擇一個LNS，並迅速返回Access-Accept給LAC，並在Access-Accept中指定建立L2TP所需要的Radius信息；4、LAC送Accounting-Request給轉發器；5、轉發器迅速返回Accounting-Response給LAC；6、LAC與Access-Accept中指定的LNS建立L2TP隧道和L2TP會話；7、LNS發送Access-Request給轉發器；8、轉發器對Access-Request進行修改，使請求符合Radius系統的要求，如埠綁定參數等，然後轉發給Radius系統；9、Radius返回Access-Accept或Accept-Reject給轉發器；10、轉發器對返回的結果進行修改，使結果符合LNS的要求，如速率限制參數等，然後轉發給LNS；11、LNS從本地IP Pool中給用戶分配IP位址；12、LNS發送Access-Request給轉發器；13、轉發器記錄Access-Request中含有的IP-撥號用戶名對應關係，對Access-Request進行修改，使請求符合Radius系統的要求，然後將Access-Request轉發給Radius，並將IP-撥號用戶名對應關係通知其他轉發器；
14、Radius系統返回Accounting-Response給轉發器；15、轉發器轉發Accounting-Response給LNS；16、LNS接受用戶上網；17、用戶請求斷開訪問時，LNS發送Accounting-Request給轉發器；18、轉發器對Accounting-Request進行修改，使請求符合Radius系統的要求，然後將Accounting-Request轉發給Radius；19、Radius返回Accounting-Response給轉發器；20、轉發器轉發Accounting-Response給LNS；21、LNS斷開用戶，斷開L2TP Session，若不存在其他Session則斷開L2TPTunnel；22、LAC發送Accounting-Request給轉發器；23、轉發器迅速返回Accounting-Response給LAC；24、LAC斷開用戶、L2TP Session及L2TP Tunnel；根據各地電信對埠綁定實現技術的不同，轉發器可採用僅LAC用戶認證/計費、僅LNS用戶認證/計費、LAC和LNS同時做用戶認證/計費這三種方案，上述過程描述的是僅LNS用戶認證/計費的方案。
按照本發明虛擬專用撥號網絡的實現方法，用戶選擇業務的過程如下1、用戶在撥號上網之後，向業務網站發出WEB請求，選擇一種業務類型；2、業務網站發送Access-Request給轉發器，要求轉發器根據用戶IP位址確認用戶身份，並通知轉發器變更業務類型；3、轉發器確認用戶身份，並記錄業務變更情況，發送Access-Accept或Access-Reject給業務網站，然後通知其他轉發器；4、業務網站通過WEB回應向用戶確認變更情況，並通知用戶斷線。
權利要求
1.一種虛擬專用撥號網絡的實現方法，其特徵在於該方法的實現步驟如下一、在現有電信虛擬專用撥號網絡中增設認證授權計費轉發器，處理來自二層隧道協議訪問集中器和二層隧道協議網絡伺服器的認證授權計費請求並轉發至認證授權計費系統；二、認證授權計費轉發器確定建立撥號連接的用戶類型屬於二層隧道協議撥號用戶；三、二層隧道協議訪問集中器與認證授權計費轉發器指定的二層隧道協議網絡伺服器為該用戶建立二層隧道協議隧道和會話；四、在現有電信虛擬專用撥號網絡中增設至少一個業務網站，接受用戶訪問；五、用戶通過業務網站選擇業務類型；六、業務網站通過認證授權計費轉發器確認用戶身份，並通知轉發器變更用戶可使用的業務類型。
2.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於所述步驟一中，在現有電信虛擬專用撥號網絡中增設多個認證授權計費轉發器時，可實現容錯或負載均衡。
3.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於步驟一中所述的認證授權計費轉發器通過重寫機制支持多種埠綁定、速率限制。
4.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於步驟一中所述的認證授權計費轉發器支持用戶通過顯示指定域名訪問特定的業務。
5.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於步驟二和步驟三中所述的隧道協議支持二層轉發協議和其他隧道協議。
6.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於所述的步驟三中，當二層隧道協議網絡伺服器有多個時，認證授權計費轉發器從二層隧道協議訪問集中器的該業務類型的可用二層隧道協議網絡伺服器列表中，基於一種負載均衡算法選擇一個二層隧道協議網絡伺服器。
7.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於步驟四中所述的業務網站內設有二層隧道協議訪問集中器、業務類型、域名和二層隧道協議網絡伺服器的配置信息，管理員可以管理這些信息。
8.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於步驟四中所述的業務網站為每種業務類型或域名指定一個或多個二層隧道協議網絡伺服器，支持多業務接入。
9.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於步驟四中所述的業務網站定時監控二層隧道協議網絡伺服器是否正常工作，發現某個二層隧道協議網絡伺服器停止工作時，則發送請求給認證授權計費轉發器，認證授權計費轉發器將該二層隧道協議網絡伺服器從可用二層隧道協議網絡伺服器列表中移去，返回回應給業務網站，並通知其他認證授權計費轉發器。
10.根據權利要求1所述的一種虛擬專用撥號網絡的實現方法，其特徵在於所述的步驟六中，當認證授權計費轉發器為多個時，該轉發器將業務變更情況通知其它轉發器。
全文摘要
本發明公開了一種虛擬專用撥號網絡的實現方法。該方法通過在現有電信虛擬專用撥號網絡中增設至少一個認證授權計費轉發器和至少一個業務網站，由認證授權計費轉發器處理來自二層隧道協議訪問集中器和二層隧道協議網絡伺服器的認證授權計費請求並轉發至認證授權計費系統，由業務網站接受用戶訪問，可實現一種更為實用的虛擬撥號網絡技術方案，便於管理、便於使用、可擴展性好，更能促進電信業務的推廣。
文檔編號H04L29/08GK1617541SQ200410066908
公開日2005年5月18日 申請日期2004年9月30日 優先權日2004年9月30日
發明者金波, 周晴傑, 金文軍, 孫紅星, 郝芃 申請人:上海金諾網絡安全技術發展股份有限公司