一种访问客户网络管理平台的方法

专利名称：一种访问客户网络管理平台的方法
技术领域：
本发明涉及虚拟专有网络技术，特别是涉及一种访问客户网络管理平台的方法。
背景技术：
虚拟专有网络(VPN，Virtual Private Network)是采用隧道技术、加密技术以及身份认证等方法在公共网络上构建私有网络的技术，如构建企业专有网络。对于运营商来说，公网包括公共的骨干网和运营商边缘(PE，ProviderEdge)设备；而地理上彼此分离的VPN成员站点通过客户驻地设备(CPE，Customer Premise Equipment)连接到相应的PE上，然后通过运营商的公网组成VPN网络。其中，一个VPN成员站点也就是一个VPN通讯场所，一般由多个用户工作站构成。VPN通讯场所通常被称为场所，用户工作站通常被称为工作站或VPN用户。由于在一个VPN中，不同的工作站可以直接利用自身所属VPN的私网地址进行通信，所以，从用户的角度看，VPN是一个专有网络。
图1是一个典型的VPN拓扑结构示意图。如图1所示，VPN中有3个场所，每一个场所都通过VPN网关成为VPN中的成员，而VPN网关则通过隧道相互连接，将多个场所连接起来，组成一个共同的VPN。其中，工作站为用户进行VPN体验的设备，如个人计算机等；场所为无需通过VPN网关就能实现网络互连互通的区域，如同一栋大楼的局域网等；VPN网关是负责将场所接入VPN的网络节点，为运营商边缘设备；隧道是公网基础设施上的一种逻辑连接，而实际上从源工作站发送的数据包可能需要经过公共网络的多次转发或路由，才能到达目的工作站。
如果场所1中的工作站1作为源工作站，将场所2中的工作站2作为目的工作站，下面将以源工作站访问目的工作站的过程来说明实现VPN的基本流程源工作站将自身的私网地址和目的工作站的私网地址分别作为源地址和目的地址，并将携带有源地址和目的地址的访问请求消息发送给VPN网关1，VPN网关1将接收到的数据包进行VPN处理，并确定该数据包需要到达的目的VPN网关地址，即VPN网关2，再将数据包通过隧道A发送给VPN网关2；VPN网关2将接收到的数据包进行解包处理，并发送给目的工作站。然后，目的工作站根据访问请求消息进行处理，并将处理结果返回给源工作站，其返回的方法与上述过程类似，此处不再赘述。
在现有技术中，为了加强对VPN的管理，一般还包括一个客户网络管理平台，一般包括客户网络管理(CNM，Customer Network Management)服务器及其所在子网中的其它设备。运营商向VPN用户提供CNM服务一般有两种方式一种是客户/服务器方式，另一种是浏览器/服务器方式。在实际应用中，工作站可以访问客户网络管理平台来了解自身所属VPN的拓扑结构、网络配置、网络状态和网络性能等信息。
这里，CNM服务器的功能可能非常简单，只提供一个接口功能，所有的VPN数据都通过VPN业务管理系统、运营支持系统等系统获得；CNM服务器也可能比较复杂，其VPN配置和性能等数据以一定的时间间隔或实时地与VPN业务管理系统、运营支持系统等系统保持一致；CNM服务器还可能非常复杂，其本身就是一个运营商VPN业务管理系统或运营支持系统等系统。
在现有技术中，工作站一般需要通过一个特殊的接口访问客户网络管理平台。由于客户网络管理平台位于公网中，具有公网地址，而工作站是VPN内部网元，只具有私网地址。当工作站需要访问客户网络管理平台时，工作站先向自身所在VPN网关发送携带有自身私网地址的业务请求消息；VPN网关将业务请求消息中工作站的私网地址转换为公网地址，并将修改后的业务请求消息发送给客户网络管理平台；客户网络管理平台处理该业务请求消息，并将处理后的结果携带于业务请求响应消息返回给VPN网关；VPN网关重新将业务请求响应消息中的公网地址转换为工作站的私网地址，并将该业务请求响应消息返回给工作站。
现有技术的缺点为由于客户网络管理平台是公网中的网元，不仅VPN中的工作站可以访问客户网络管理平台，而且所有公网中的用户也可以访问它，给客户网络管理平台带来极大的安全隐患。另外，由于VPN中的工作站需要通过公网对客户网络管理平台进行访问，该通信容易受到攻击，如信息被拦截、篡改和重放等。
由此可见，现有技术还不能由VPN中的工作站安全地访问客户网络管理平台。

发明内容
有鉴于此，本发明的主要目的在于提供一种访问客户网络管理平台的方法，以提高VPN中的工作站访问客户网络管理平台的安全性。为了达到上述目的，本发明提出的技术方案为一种访问客户网络管理平台的方法，为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址，将客户网络管理平台作为VPN内的一个场所后，VPN中的工作站根据客户网络管理平台的私网地址，并按照访问VPN内场所的访问方法对客户网络管理平台进行访问。
较佳地，所述VPN中的工作站根据客户网络管理平台的私网地址，并按照访问VPN内场所的访问方法对客户网络管理平台进行访问的方法为a、工作站根据自身的私网地址和客户网络管理平台的私网地址将业务请求消息发送给客户网络管理平台；b、客户网络管理平台进行业务处理过程，再根据自身的私网地址和工作站的私网地址将处理结果携带于业务响应消息返回给工作站。
较佳地，所述将客户网络管理平台作为VPN内的一个场所的方法为在与网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转发实例。
较佳地，所述与客户网络管理平台相连的VPN网关为已经存在于VPN中的VPN网关，或者为客户网络管理平台专门配置的VPN网关。
较佳地，当所述与客户网络管理平台相连的VPN网关为客户网络管理平台专门配置的VPN网关时，则所述为客户网络管理平台配置VPN地址范围内的私网地址，和所述在为客户网络管理平台新配置的VPN网关上为客户网络管理平台启动路由和转发实例之间进一步包括在为客户网络管理平台专门配置的VPN网关与已经存在于VPN中的一个或多个VPN网关之间建立隧道。
较佳地，所述步骤a为a1、工作站将客户网络管理平台私网地址作为目的地址，将自身的私网地址作为源地址，并将携带有源地址和目的地址的业务请求消息发送给工作站自身所在场所的VPN网关；a2、工作站自身所在场所的VPN网关将接收到的业务请求消息进行VPN处理，得到数据包，并将自身公网地址和为客户网络管理平台专门配置的VPN网关的公网地址分别作为数据包源地址和目的地址，再根据源地址和目的地址将数据包通过隧道发送给为客户网络管理平台专门配置的VPN网关；a3、为客户网络管理平台专门配置的VPN网关将接收到的数据包进行解包处理，得到业务请求消息，再根据业务请求消息中的目的地址将业务请求消息发送给客户网络管理平台。
较佳地，所述步骤b为b1、客户网络管理平台进行业务处理过程，将工作站的私网地址作为目的地址，将自身的私网地址作为源地址，再将携带有处理结果、源地址和目的地址的业务响应消息发送给为客户网络管理平台专门配置的VPN网关；b2、为客户网络管理平台专门配置的VPN网关将接收到的业务请求消息进行VPN处理，得到数据包，并将自身公网地址和工作站所在场所的VPN网关的公网地址分别作为数据包的源地址和目的地址，再根据源地址和目的地址将数据包通过隧道发送给工作站所在场所的VPN网关；b3、工作站所在场所的VPN网关将接收到的数据包进行解包处理，得到业务响应消息，再根据业务响应消息中的目的地址将业务响应消息发送给工作站。
较佳地，所述步骤a和步骤b之间进一步包括客户网络管理平台根据事先保存的用户访问控制信息判断工作站是否有权访问，如果有，则执行步骤b；否则，直接结束本流程。
较佳地，所述的客户网络管理平台为客户网络管理服务器CNM、CNM代理服务器、CNM服务器所在子网中的所有设备，或者为CNM和所在子网中的部分设备。
较佳地，当所述的客户网络管理平台为CNM服务器时，该CNM服务器为关闭了转发网络层报文功能，并且具有用于连接后台支撑系统接口的CNM服务器。
较佳地，当所述的客户网络管理平台为CNM代理服务器时，步骤b所述客户网络管理平台进行业务处理过程的方法为CNM代理服务器将业务请求消息发送给CNM服务器，然后接收由CNM服务器进行业务处理过程后得到的处理结果。
较佳地，当所述的VPN为多个提供不同业务的VPN时，所述为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址，将客户网络管理平台作为VPN内的一个场所的方法为为客户网络管理平台分别配置每一个VPN地址范围内的私网地址，并在每一个与客户网络管理平台相连的VPN网关上分别为客户网络管理平台启动路由和转发实例；所述步骤a和步骤b之间进一步包括客户网络管理平台根据业务请求消息确定工作站所属的VPN；所述的客户网络管理平台进行业务处理过程为客户网络管理平台根据工作站所属VPN的情况，并根据业务请求消息进行业务处理过程。
较佳地，所述客户网络管理平台根据业务请求消息确定工作站所属的VPN和步骤b之间进一步包括
客户网络管理平台根据事先保存的用户访问控制信息判断工作站是否有权访问，如果有，则执行步骤b；否则，直接结束本流程。
综上所述，本发明提出的一种访问客户网络管理平台的方法，由于给客户网络管理平台配置了VPN地址范围内的私网地址，可以使VPN内的工作站无需经过公网就可以直接访问客户网络管理平台，达到安全访问客户网络管理平台的目的。


图1是典型的虚拟专有网络的拓扑结构示意图；图2是本发明方案的流程图；图3是应用本发明方案的实施例一的流程图；图4是应用本发明方案的实施例二的网络拓扑结构示意图；图5是应用本发明方案的实施例二的流程图；图6是应用本发明方案的实施例三的网络拓扑结构示意图；图7是应用本发明方案的实施例三的流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步地详细描述。
本发明的基本思想是为客户网络管理平台配置虚拟专有网络(VPN)地址范围内的私网地址，将客户网络管理平台作为VPN内的一个场所，当VPN中的工作站要访问客户网络管理平台时，工作站利用网络管理平台的私网地址，将客户网络管理平台作为VPN内的一个场所直接进行访问。
图2是本发明方案实现访问客户网络平台的流程图。如图2所示，本发明包括以下步骤步骤201为客户网络管理平台配置VPN地址范围内的私网地址，并将客户网络管理平台作为VPN内的一个场所。
步骤202VPN中的工作站根据客户网络管理平台的私网地址，并按照访问VPN内场所的访问方法对客户网络管理平台进行访问。
在本发明中，客户网络管理平台指VPN中的工作站可以访问到的提供客户网络管理(CNM)服务的网元或子网。客户网络管理平台可以只是一个CNM服务器，可以是CNM服务器所在的子网中的所有设备，还可以是CNM服务器和所在场所中的部分设备。但不管是哪种情况，都应该为客户网络管理平台配置VPN地址范围内的私网地址，只要所配置的私网地址与VPN中已有的私网地址不相互冲突即可。如果客户网络管理平台是CNM服务器，则只需要为CNM服务器配置私网地址；如果客户网络管理平台是CNM服务器所在场所中的所有设备，则需要为包括CNM服务器的所有设备分别配置私网地址；而如果是CNM服务器和其它部分设备，则需要为CNM服务器和其它部分设备配置私网地址。
本发明中，将客户网络管理平台加入VPN中，作为VPN中的一个场所的方法为先为客户网络管理平台配置VPN地址范围内的私网地址；再利用VPN网关将客户网络管理平台接入VPN，即客户网络管理平台需要与一个VPN网关相连；之后，在与客户网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转发实例。这样，该客户网络管理平台可以成为VPN中的一个场所，可以被VPN其它场所中的工作站直接访问。
其中，将客户网络管理平台接入VPN中的VPN网关可以是已经存在于VPN中的VPN网关，也可以是专门为客户网络管理平台配置的VPN网关。如果采用已经存在于VPN中的VPN网关将客户网络管理平台接入VPN中，那么由于一个VPN网关可以将一个场所接入VPN中，也可以同时将多个场所接入VPN中，即多个场所可以共用一个VPN网关，所以，只需要在已经存在于VPN中并且与客户网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转发实例，就可以将客户网络管理平台接入VPN中。如果采用为客户网络管理平台专门配置VPN网关将客户网络管理平台接入VPN中，就需要在这个专门配置的VPN网关和其它的一个或多个VPN网关之间建立隧道，并在专门配置的VPN网关上为客户网络管理平台启动路由和转发实例，就可以将客户网络管理平台接入VPN中。
本发明中，在VPN网关之间建立隧道实际上就是在VPN网关之间建立逻辑连接，源VPN网关就可以通过建立的逻辑连接将数据包发送给目的VPN网关。之后，当在与客户网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转发实例以后，如果该VPN网关接收到由客户网络管理平台发出或由其它网络节点发送给网络管理平台的数据包时，该VPN网关就可以自动按照实现设定的路由转发数据包。另外，转发实例就是实现转发数据包功能的一个实例，可以是一个进程、一个线程，或为多个进程和线程的组合，用来处理来自VPN内节点发布的路由，利用获得的路由以及建立的隧道在VPN中不同的场所之间转发数据包。
在本发明中，所述的VPN可以是提供某种业务服务的一个VPN，也可以是提供不同业务的多个VPN。一般来说，多个VPN之间相互独立，但可以同时由一个客户网络管理平台服务。
另外，在本发明中所述的业务请求消息和业务响应消息是工作站实现访问客户网络管理平台的消息的总称。在实际应用中，业务请求消息可以是查询请求消息和查询响应消息等，是与实际业务相关的具体的消息名称。
实施例一应用本发明方案的实施例一的网络拓扑结构图仍然可以参考图1。如图1所示，本实施例中有一个VPN，该VPN包括3个场所，分别为场所1至场所3；场所之间通过隧道进行互连，分别为隧道A至隧道C；每一个场所中有若干工作站，并且都配置了相互不冲突的私网地址，工作站可以通过私网地址进行相互访问。
本实施例中的客户网络管理平台为一个CNM服务器，该CNM服务器直接与已经存在于VPN中的VPN网关1相连。为了实现工作站从VPN内部访问CNM服务器的目的，首先应该将CNM服务器加入VPN，作为VPN中的一个场所。在本实施例中，将CNM服务器加入VPN的方法为为CNM服务器配置一个VPN地址范围内的私网地址，再在VPN网关1上为CNM服务器启动路由和转发实例。
图3显示了本实施例的流程图。如图3所示，当场所1中的工作站1要访问CNM服务器时，本实施例包括以下步骤步骤301场所1中的工作站1将自身的私网地址和CNM服务器的私网地址分别作为源地址和目的地址，并将携带有源地址和目的地址的业务请求消息发送给网关1。
步骤302VPN网关1直接将业务请求消息转发给CNM服务器。
本实施例中，场所1和CNM服务器用同一个VPN网关进行连接，当VPN网关1接收到业务请求消息后，可以根据事先获得的路由信息确定CNM服务器为自身的一个场所，所以可以直接将业务请求消息发送给CNM服务器。
步骤303CNM服务器根据用户访问控制信息判断场所1中的工作站1是否有权访问，如果有，则执行步骤404；否则，退出本流程。
本实施例中，用户访问控制信息是CNM服务器用于对用户进行鉴权的信息，可以事先保存在CNM服务器中，也可以保存在CNM服务器所在场所的其它设备中，当有工作站访问CNM服务器时，再由CNM服务器从该设备中提取用户访问控制信息。一般来说，用户访问控制信息可以为表示工作站身份的用户标识。
本实施例中，当CNM服务器发现用户无权访问时，就直接结束本流程。在实际应用中，CNM服务器也可以向用户返回无权访问之类的消息之后，再结束本流程。
步骤304CNM服务器处理该业务请求消息，并得到处理结果。
在实际应用中，CNM服务器处理业务请求消息是与具体的业务相关的，每一种业务可能有不同的处理过程，CNM服务器将按照不同业务请求消息执行不同的业务处理过程。比如业务请求消息为状态查询消息，则CNM服务器根据状态查询消息获取记录有网络当前状态的相关信息，并将这些信息作为处理结果。
步骤305CNM服务器将自身的私网地址和场所1中的工作站1的私网地址分别作为源地址和目的地址，并将处理结果、源地址和目的地址携带于业务响应消息发送给网关1。
步骤306VPN网关1直接将业务响应消息转发给场所1的工作站1。
应用本实施例，场所1的工作站1可以从VPN内部直接访问CNM服务器。场所1中的其它工作站也可以如工作站1一样访问CNM服务器，而VPN其它场所中的工作站访问CNM服务器的方法与场所1访问CNM服务器方法的区别在于其它场所中的VPN网关不能直接将业务请求消息转发给CNM服务器，而是需要通过隧道到达VPN网关1，再由VPN网关1将业务请求消息发送给CNM服务器。
在实际应用中，也可以为CNM服务器专门配置一个VPN网关，并由这个新的VPN网关将CNM服务器接入VPN中。在这种情况下，CNM服务器加入VPN的方法为为CNM配置私网地址；将新配置的VPN网关与已经存在的VPN网关之间建立隧道；在新配置的VPN网关上为CNM服务器启动路由和转发实例。这样，VPN中任何一个工作站都可以通过隧道来访问CNM服务器。
本实施例中，虽然只有CNM服务器加入了VPN，但CNM服务器所在的子网仍然可能有其它设备存在。为了简便，图3中并没有画出CNM服务器所在子网的其它设备。在实际应用中，如果不允许工作站访问CNM服务器所在子网中的其它设备，则可以在CNM服务器上增加一个接口，该接口可以用于实现CNM服务器和后台系统的通讯，然后关闭CNM服务器转发来自网络层报文的功能。这样，CNM服务器可以通过该接口从其它设备获得与VPN相关的信息，而VPN中的工作站却无法访问到CNM服务器所在子网中的其它设备。其中，在CNM服务器增加的接口可以是一个物理接口，也可以是一个逻辑接口。
本实施例中，只有CNM服务器加入VPN，而实际应用中，也可以将CNM所在子网的部分或全部设备加入VPN。CNM所在子网的部分或全部设备加入VPN的方法与本实施例中的类似，只要为每一个需要加入VPN的设备配置私网地址，并且该地址不与其它的私网地址冲突即可。这样，VPN中的工作站不但可以访问CNM服务器，还可以访问CNM服务器所在子网中的其它设备。
实施例二图4是本实施例的网络拓扑结构图。本实施例将客户网络管理平台加入了多个VPN。为了多个VPN之间不相互影响，客户网络管理平台对多个VPN之间进行了隔离，即多个VPN中的隧道是不同的。本实施例中，客户网络管理平台同时加入3个VPN，分别为VPN1至VPN3。本实施例中，客户网络管理平台不但包括CNM服务器，也包括其所在子网中的所有的其它设备，所以，在本实施例中，不但为CNM服务器配置了私网地址，而且为其所在子网中的其它设备也分别配置了私网地址。由于本实施例中有3个不同的VPN，所以CNM服务器和所在子网的其它设备都分别拥有3个私网地址，每一个私网地址分别属于不同VPN地址范围内的地址。另外，本实施例为客户网络管理平台专门配置了VPN网关4，用于将客户网络管理平台接入VPN1至VPN3。
本实施例中，将客户网络管理平台接入VPN1至VPN3，分别作为VPN1至VPN3的方法为在VPN网关4与VPN网关1之间为客户网络管理平台加入3个VPN而分别建立3条不同的隧道，并在VPN网关4上根据VPN1至VPN3的情况为客户网络管理平台分别启动路由和转发实例。
在实际应用中，当客户网络管理平台加入某个VPN时，可以将VPN网关4与该VPN中其它任何一个或多个VPN网关之间建立隧道，而不仅仅是VPN网关1。
图5显示了本实施例的流程图。为了叙述简单，本实施例假设VPN1与实施例中的VPN相同。如图5所示，当VPN1中场所1的工作站1要访问客户网络管理平台的CNM服务器时，本实施例包括以下步骤步骤501VPN1中场所1的工作站1将自身的私网地址和CNM服务器的私网地址分别作为源地址和目的地址，并将携带有源地址和目的地址的业务请求消息发送给网关1。
步骤502VPN网关1将业务请求消息进行VPN处理，得到数据包，并将自身公网地址和VPN网关4的公网地址分别作为数据包源地址和目的地址，再根据源地址和目的地址将数据包通过隧道D发送给VPN网关4。
本步骤中，VPN处理实际上就是将消息进行打包处理，即将业务请求消息封装成数据包。
步骤503网关4将接收到的数据包进行解包处理，得到业务请求消息，并按照业务请求消息中的目的地址发送给CNM服务器。
步骤504CNM服务器确定发送业务请求消息的工作站所在的VPN为VPN1。
步骤505CNM服务器根据用户访问控制信息判断VPN1中场所1的工作站1是否有权访问，如果有，则执行步骤506；否则，退出本流程。
本实施例中，用户访问控制信息是CNM服务器用于对用户进行鉴权的信息，可以事先保存在CNM服务器中，也可以保存在CNM服务器所在场所的其它设备中，当有工作站访问CNM服务器时，再由CNM服务器从该设备中提取用户访问控制信息。一般来说，用户访问控制信息可以为表示工作站身份的用户标识。
本实施例中，当CNM服务器发现用户无权访问时，就直接结束本流程。在实际应用中，CNM服务器也可以向用户返回无权访问之类的消息之后，再结束本流程。
步骤506CNM服务器根据工作站VPN1对业务请求消息进行处理，并得到处理结果。
本实施例中，客户网络管理平台属于多个VPN中的场所，同一个客户网络管理平台可以同时为多个VPN提供业务服务。但需要注意的是，多个VPN彼此是独立的，客户网络管理平台需要确定发送业务请求消息的工作站属于哪个VPN，然后再根据所属的VPN对业务请求消息进行处理。
步骤507CNM服务器将自身的私网地址和VPN1中场所1的工作站1的私网地址分别作为源地址和目的地址，并将处理结果、源地址和目的地址携带于业务响应消息发送给网关4。
步骤508网关4将业务响应消息进行VPN处理，得到的数据包，并将自身公网地址和VPN网关1的公网地址分别作为数据包的源地址和目的地址，再根据源地址和目的地址将数据包通过隧道D发送给VPN网关1。
步骤509VPN网关1将接收的数据包进行解包处理，得到业务响应消息，并按照业务响应消息中的目的地址发送给VPN1中场所1的工作站1。
应用本实施例的方法，VPN1场所1的工作站1可以从VPN内部，利用隧道技术直接访问CNM服务器。当然，场所1中的其它工作站也可以如工作1一样利用隧道D访问CNM服务器，而场所2中的工作站则需要利用隧道E来访问CNM服务器。场所3所在的VPN网关3虽然没有与VPN网关4建立隧道，但是可以通过VPN网关1或VPN网关2进行转发，所以，也可以访问CNM服务器。VPN2和VPN3中的工作站同样可以访问CNM服务器，其方法类似，此处不再赘述。当然，工作站不仅仅可以访问CNM服务器，还可以访问CNM服务器所在子网的其它设备。
与实施例一一样，在实际应用中，如果客户网络管理平台在地理位置上离某一个VPN网关比较近，也可以不为其配置专门的VPN网关，而直接与某VPN网关相连，再在该VPN网关上为客户网络管理平台启动路由和转发实例即可。
实施例三图6是本实施例的网络拓扑结构图。如图6所示，本实施例有一个VPN，该VPN包括3个场所，分别为场所1至场所3；每一个场所通过隧道进行连接，该隧道分别为隧道A至隧道C；每一个场所包括若干工作站，均配置有该VPN地址范围内的私网地址。本实施例还包括一个CNM服务器、一个CNM代理服务器和CNM服务器所在子网的其它设备。为了简便，CNM服务器所在子网中的其它设备未在图6中画出。本实施例中，CNM服务器本身和其所在子网中的其它设备没有加入VPN，而是将CNM服务器的代理服务器加入VPN中，只为CNM服务器的代理服务器配置了VPN的私网地址。在本实施例中，CNM代理既有私网地址也有公网地址，而CNM服务器本身只有公网地址。另外，本实施例还为CNM代理服务器专门配置了VPN网关4，在VPN网关4与VPN网关1之间建立隧道D，并在VPN网关4上为CNM代理服务器启动路由和转发实例。
图7显示了本实施例的流程图。当场所1的工作站1要访问CNM服务器器时，本实施例包括以下步骤步骤701场所1的工作站1将自身的私网地址和CNM代理服务器的私网地址分别作为源地址和目的地址，并将携带有源地址和目的地址的业务请求消息发送给网关1。
步骤702VPN网关1将业务请求消息进行VPN处理，得到数据包，并将自身公网地址和VPN网关4的公网地址分别作为数据包源地址和目的地址，再根据源地址和目的地址将数据包通过隧道D发送给VPN网关4。
步骤703网关4将接收到的数据包进行解包处理，得到业务请求消息，并按照业务请求消息中的目的地址发送给CNM代理服务器。
步骤704CNM代理服务器根据自身的公网地址和CNM服务器的公网地址，将业务请求消息发送给CNM服务器。
步骤705CNM服务器根据用户访问控制信息判断场所1的工作站1是否有权访问，如果有，则执行步骤706；否则，退出本流程。
步骤706CNM服务器进行业务处理过程，得到处理结果，并根据自身的公网地址和CNM代理服务器的公网地址，将携带有处理结果的业务响应消息发送给CNM代理服务器。
步骤707CNM代理服务器将自身的私网地址作为源地址，将场所1的工作站1的私网地址作为目的地址，并将源地址、目的地址和处理结果携带于业务响应消息发送给VPN网关4。
步骤708VPN网关4将业务响应消息进行VPN处理，得到的数据包，并将自身公网地址和VPN网关1的公网地址分别作为数据包的源地址和目的地址，再根据源地址和目的地址将数据包通过隧道D发送给VPN网关1。
步骤709VPN网关1将接收的数据包进行解包处理，得到业务响应消息，并按照业务响应消息中的目的地址发送给VPN1中场所1的工作站1。
应用本实施例，工作站可以通过CNM代理服务器来达到从VPN内部来访问客户网络管理平台的目的。
本发明方案适用于基于PE的VPN，包括链路层VPN和网络层VPN。
综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种访问客户网络管理平台的方法，其特征在于，为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址，将客户网络管理平台作为VPN内的一个场所后，VPN中的工作站根据客户网络管理平台的私网地址，并按照访问VPN内场所的访问方法对客户网络管理平台进行访问。
2.根据权利要求1所述的方法，其特征在于，所述VPN中的工作站根据客户网络管理平台的私网地址，并按照访问VPN内场所的访问方法对客户网络管理平台进行访问的方法为a、工作站根据自身的私网地址和客户网络管理平台的私网地址将业务请求消息发送给客户网络管理平台；b、客户网络管理平台进行业务处理过程，再根据自身的私网地址和工作站的私网地址将处理结果携带于业务响应消息返回给工作站。
3.根据权利要求2所述的方法，其特征在于，所述将客户网络管理平台作为VPN内的一个场所的方法为在与网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转发实例。
4.根据权利要求3所述的方法，其特征在于，所述与客户网络管理平台相连的VPN网关为已经存在于VPN中的VPN网关，或者为客户网络管理平台专门配置的VPN网关。
5.根据权利要求4所述的方法，其特征在于，当所述与客户网络管理平台相连的VPN网关为客户网络管理平台专门配置的VPN网关时，则所述为客户网络管理平台配置VPN地址范围内的私网地址，和所述在为客户网络管理平台新配置的VPN网关上为客户网络管理平台启动路由和转发实例之间进一步包括在为客户网络管理平台专门配置的VPN网关与已经存在于VPN中的一个或多个VPN网关之间建立隧道。
6.根据权利要求5所述的方法，其特征在于，所述步骤a为a1、工作站将客户网络管理平台私网地址作为目的地址，将自身的私网地址作为源地址，并将携带有源地址和目的地址的业务请求消息发送给工作站自身所在场所的VPN网关；a2、工作站自身所在场所的VPN网关将接收到的业务请求消息进行VPN处理，得到数据包，并将自身公网地址和为客户网络管理平台专门配置的VPN网关的公网地址分别作为数据包源地址和目的地址，再根据源地址和目的地址将数据包通过隧道发送给为客户网络管理平台专门配置的VPN网关；a3、为客户网络管理平台专门配置的VPN网关将接收到的数据包进行解包处理，得到业务请求消息，再根据业务请求消息中的目的地址将业务请求消息发送给客户网络管理平台。
7.根据权利要求6所述的方法，其特征在于，所述步骤b为b1、客户网络管理平台进行业务处理过程，将工作站的私网地址作为目的地址，将自身的私网地址作为源地址，再将携带有处理结果、源地址和目的地址的业务响应消息发送给为客户网络管理平台专门配置的VPN网关；b2、为客户网络管理平台专门配置的VPN网关将接收到的业务请求消息进行VPN处理，得到数据包，并将自身公网地址和工作站所在场所的VPN网关的公网地址分别作为数据包的源地址和目的地址，再根据源地址和目的地址将数据包通过隧道发送给工作站所在场所的VPN网关；b3、工作站所在场所的VPN网关将接收到的数据包进行解包处理，得到业务响应消息，再根据业务响应消息中的目的地址将业务响应消息发送给工作站。
8.根据权利要求2至7任一项所述的方法，其特征在于，所述步骤a和步骤b之间进一步包括客户网络管理平台根据事先保存的用户访问控制信息判断工作站是否有权访问，如果有，则执行步骤b；否则，直接结束本流程。
9.根据权利要求2至7任一项所述的方法，其特征在于，所述的客户网络管理平台为客户网络管理服务器CNM、CNM代理服务器、CNM服务器所在子网中的所有设备，或者为CNM和所在子网中的部分设备。
10.根据权利要求9所述的方法，其特征在于，当所述的客户网络管理平台为CNM服务器时，该CNM服务器为关闭了转发网络层报文功能，并且具有用于连接后台支撑系统接口的CNM服务器。
11.根据权利要求9所述的方法，其特征在于，当所述的客户网络管理平台为CNM代理服务器时，步骤b所述客户网络管理平台进行业务处理过程的方法为CNM代理服务器将业务请求消息发送给CNM服务器，然后接收由CNM服务器进行业务处理过程后得到的处理结果。
12.根据权利要求2至7任一项所述的方法，其特征在于，当所述的VPN为多个提供不同业务的VPN时，所述为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址，将客户网络管理平台作为VPN内的一个场所的方法为为客户网络管理平台分别配置每一个VPN地址范围内的私网地址，并在每一个与客户网络管理平台相连的VPN网关上分别为客户网络管理平台启动路由和转发实例；所述步骤a和步骤b之间进一步包括客户网络管理平台根据业务请求消息确定工作站所属的VPN；所述的客户网络管理平台进行业务处理过程为客户网络管理平台根据工作站所属VPN的情况，并根据业务请求消息进行业务处理过程。
13.根据权利要求12所述的方法，其特征在于，所述客户网络管理平台根据业务请求消息确定工作站所属的VPN和步骤b之间进一步包括客户网络管理平台根据事先保存的用户访问控制信息判断工作站是否有权访问，如果有，则执行步骤b；否则，直接结束本流程。
全文摘要
本发明提供一种访问客户网络管理平台的方法，其关键在于，为客户网络管理平台配置虚拟专有网络(VPN)地址范围内的私网地址，将客户网络管理平台作为VPN内的一个场所，当VPN中的工作站要访问客户网络管理平台时，工作站根据自身的私网地址和网络管理平台的私网地址，采用访问VPN内一个场所的方法来对客户网络管理平台进行访问。应用本发明方案，可以从工作站所在的VPN的内部，对客户网络管理平台直接进行访问，可以提高VPN中工作站访问客户网络管理平台的安全性。
文档编号H04L12/46GK101030882SQ200610057919
公开日2007年9月5日 申请日期2006年2月27日 优先权日2006年2月27日
发明者苗福友 申请人:华为技术有限公司