一种基于二层隧道协议的业务访问方法及装置制造方法
【专利摘要】本发明公开了一种基于二层隧道协议L2TP的业务访问方法,该方法包括:L2TP访问集中器LAC作为网关接收远端设备发送的数据报文,判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。本发明还公开了一种LAC。采用本发明能够降低企业网LNS设备的负担,提高企业网的Internet带宽利用率。
【专利说明】一种基于二层隧道协议的业务访问方法及装置
【技术领域】
[0001]本发明涉及网络通信【技术领域】,特别涉及一种基于二层隧道协议的业务访问方法及装置。
【背景技术】
[0002]虚拟专用网(VPN)为出差流动员工、远程办公人员和远程小办公室提供通过公用网络与企业内部网络建立私有的网络连接,实现远程办公。VPDN(Virtual Private Dial-upNetwork,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。S卩,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。L2TP (Layer2Tunneling Protocol, 二层隧道协议)是一种对点对点协议(PPP)链路层数据包进行封装,并通过隧道进行传输的技术,是目前使用最为广泛的VPDN隧道协议。
[0003]采用L2TP协议构建的VPDN应用的典型组网如图1所示,主要包括:远端设备、LAC(L2TP Access Concentrator, L2TP 访问集中器)和 LNS (L2TP Network Server, L2TP 网络服务器)。其中,远端设备是要接入VPDN网络的远地用户和远地分支机构,通常是一个拨号用户的主机或私有网络的一台路由设备。LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地服务提供商(ISP)的NAS (Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。LAC作为L2TP隧道的端点,位于LNS和远端设备之间之间,用于在LNS和远端设备之间传递信息包。它把从远端设备收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端设备。VPDN应用中,LAC与远端设备之间通常采用PPP链路。LNS既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。在该组网中,通过在公网中建立L2TP隧道,将远端设备的PPP连接由原来的NAS在逻辑上延伸到了企业网内部的LNS,从而实现远端设备接入私有网络。
[0004]现有技术中,远端设备要访问公网时,携带公网目的IP地址的数据报文到达LAC后,LAC通过L2TP隧道将数据报文转发至LNS上,LNS对数据报文解隧道封装后解析该数据报文,根据该数据报文的目的IP将该数据报文转发至公网服务器上。这样,由于访问互联网(Internet)的流量在企业网的LNS上绕了一圈,大大增加了访问时延。而且,远端设备访问互联网时,从企业网LNS的公网接口进来,解封装后再从公网接口路由出去,占用了企业网有限的出口带宽,增加了 LNS的负担。
【发明内容】
[0005]本发明的目的在于提供一种基于二层隧道协议的业务访问方法及装置,能够降低企业网LNS设备的负担,提高企业网的Internet带宽利用率。
[0006]为实现上述发明目的,本发明提供了一种基于二层隧道协议L2TP的业务访问方法,该方法包括:
[0007]L2TP访问集中器LAC作为网关接收远端设备发送的数据报文,判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。
[0008]为实现上述发明目的,本发明还提供了一种L2TP访问集中器LAC,该LAC包括:
[0009]接收模块,用于接收远端设备发送的数据报文;
[0010]判断处理模块,用于判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。
[0011]综上所述,本发明实施例提供的基于L2TP的业务访问方法:LAC作为网关接收远端设备发送的数据报文,判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。这样,使得访问公网的数据报文不需要像现有技术那样在企业网的LNS上绕一圈,而是直接从LAC的公网出接口转发至公网服务器设备。本发明的方法降低了企业网LNS设备的负担,提高了企业网的Internet带宽的利用率;降低了 L2TP用户访问Internet的时延,提升了用户的上网体验。
【专利附图】
【附图说明】
[0012]图1为采用L2TP协议构建的VPDN应用的典型组网示意图。
[0013]图2为本发明实施例提供方法应用的一个组网示意图。
[0014]图3为本发明实施例基于L2TP的业务访问方法的流程示意图。
[0015]图4为本发明具体实施例中应用于上述方法的LAC的结构示意图。
【具体实施方式】
[0016]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。
[0017]本发明主要目的在于,实现在公网的LAC设备上分流用户访问Internet的流量,因此主要基于LAC设备进行设置。LAC设备上处理远端设备的数据报文时,在进入L2TP隧道之前,预先判断一下数据报文的目的IP地址,针对不同的IP地址进行区分处理。从而使得目的IP地址是公网地址的数据报文直接在公网出接口上转发给公网服务器,目的IP地址是企业网私网地址的数据报文仍然通过L2TP隧道转发至LNS上,大大降低了 LNS的负担,也降低了 L2TP用户访问Internet的时延,提升了用户的上网体验。
[0018]图2为本发明实施例提供方法应用的一个组网示意图。其中,图2只是为示图方便,仅示出了一个远端设备。从图2可以看出,远端设备访问Internet的流量(实线)不再像现有技术那样,在企业网的LNS上绕一圈再进入公网服务器,而是直接在公网出接口上转发给公网服务器;远端设备访问企业网的流量(点划线)通过L2TP隧道转发至LNS上。本发明实施例基于L2TP的业务访问方法包括以下步骤,其流程示意图如图3所示:
[0019]步骤301、LAC监听远端设备和LNS之间的因特网协议控制协议(IPCP)协商报文,从所述IPCP协商报文中获取远端设备的私网IP地址,并将该私网IP地址及对应出接口记录在 FIB (Forwarding Information Base,转发信息库)表项中;
[0020]具体地,远端设备向LNS发送IPCP协商报文,并接收LNS的IPCP协商确认报文。远端设备可以将自身配好的私网IP地址通过IPCP协商报文发送给LNS,LNS根据远端设备的IPCP协商报文,将携带有自身地址和远端设备地址的IPCP协商确认报文发送给远端设备;另外,远端设备还可以向LNS发送IPCP协商报文,请求LNS分配给远端设备一个私网IP地址。上述两种实现方式,LAC都可以从LNS发送给远端设备的IPCP协商确认报文中获取远端设备的私网IP地址。
[0021]步骤302、LAC作为网关接收远端设备发送的数据报文,判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。
[0022]需要说明的是,LAC接收到的远端设备发送的数据报文,是经过PPP封装的,如果判断将数据报文转发至该LAC的公网出接口上,则将数据报文去PPP封装,然后转发;如果判断将数据报文转发至LNS上,则将带有PPP封装的数据报文进行隧道封装,然后转发。其中,公网地址对应的公网路由表项是通过路由协议学习,或者静态配置得到,在此不再赘述。
[0023]数据报文路由到该LAC的公网出接口上后,该方法进一步包括:在LAC的公网出接口上进行NAT处理,将数据报文的源IP地址根据NAT策略由远端设备私网IP地址转换为选路公网地址,发送给公网服务器设备。具体地,NAT策略配置在LAC的公网出接口上,其中的私网IP地址对应有可在公网上选路的公网地址,即选路公网地址,主要用于实现私网访问公网的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
[0024]其中,LAC通过AAA授权属性下发用于区分数据报文目的IP地址是企业网私网地址还是公网地址的规则。AAA授权可以是远程授权,也可以是本地授权,具体实现可以为:通过与LAC连接的Radius服务器(图2中未示)授权一个ACL号码,将该授权的ACL号码发送给LAC,在LAC上配置对应的ACL规则,数据报文到达LAC进行判断时,就是匹配该ACL规贝U,从而确定将数据报文送到公网服务器上,还是透传到L2TP隧道对端的LNS上。
[0025]在步骤302进行NAT处理的同时,该方法进一步包括:在网络地址转换表中记录所述远端设备私网IP地址和选路公网地址的映射关系;
[0026]当LAC接收到来自公网的应答报文时,根据网络地址转换表中的记录,将应答报文的目的IP地址由选路公网地址转换为远端设备的私网IP地址;
[0027]根据远端设备的私网IP地址查找FIB表项,在FIB表项所指向的出接口,即用户接口上将应答报文发送给远端设备。[0028]进一步地,一个企业网对应一个LNS,同时对应该LNS下的多个远端设备,为了避免多个企业网的私网IP冲突,本发明优选实施例中LAC为不同的LNS分配不同的VPN ;LAC从远端设备和LNS之间的IPCP协商报文中获取远端设备的私网IP地址时,进一步确定该LNS对应的VPN,并将该私网IP地址及对应出接口记录在该VPN的FIB表项中;具体的,同一 LNS下的远端设备属于同一 VPN,不同LNS下的远端设备属于不同VPN。VPN可以用VPN标识来识别。
[0029]其中,LNSl对应的VPNl下FIB表项如下表1所示:
[0030]
【权利要求】
1.一种基于二层隧道协议L2TP的业务访问方法,该方法包括: L2TP访问集中器LAC作为网关接收远端设备发送的数据报文,判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。
2.如权利要求1所述的方法,其特征在于,在LAC接收所述数据报文之前,该方法还包括: LAC监听远端设备和LNS之间的因特网协议控制协议IPCP协商报文,从所述IPCP协商报文中获取远端设备的私网IP地址,并将该私网IP地址及对应出接口记录在转发信息库FIB表项中。
3.如权利要求2所述的方法,其特征在于,数据报文路由到该LAC的公网出接口上后,该方法进一步包括:在LAC的公网出接口上进行NAT处理,将数据报文的源IP地址根据NAT策略由远端设备私网IP地址转换为选路公网地址后发送出去。
4.如权利要求3所述的方法,其特征在于,进行NAT处理的同时,该方法进一步包括:在网络地址转换表中记录所述远端设备私网IP地址和选路公网地址的映射关系; 当LAC接收到来自公网的应答报文时,根据网络地址转换表中的记录,将应答报文的目的IP地址由选路公网地址转换为远端设备的私网IP地址; 根据远端设备的私网IP地址查找FIB表项,在FIB表项所指向的出接口上将应答报文发送给远端设备。
5.如权利要求4所述的方法,其`特征在于, LAC为不同的LNS分配不同的VPN ;LAC从远端设备和LNS之间的IPCP协商报文中获取远端设备的私网IP地址时,进一步确定该LNS对应的VPN,并将该私网IP地址及对应出接口记录在该VPN的FIB表项中; 在记录远端设备私网IP地址和公网地址的映射关系时,进一步记录所述远端设备的私网IP地址对应的VPN,其中,所述远端设备的私网IP地址对应的VPN是所述远端设备所属LNS对应的VPN ; 当LAC接收到来自公网的应答报文时,根据所述网络地址转换表,将应答报文的目的IP地址由选路公网地址转换为远端设备的私网IP地址,以及确定该远端设备的私网IP地址对应的第一 VPN,并通过查找第一 VPN的FIB表项,将应答报文转发给远端设备。
6.一种L2TP访问集中器LAC,该LAC包括: 接收模块,用于接收远端设备发送的数据报文; 判断处理模块,用于判断数据报文的目的IP地址是企业网地址还是公网地址,如果是企业网地址,则通过L2TP隧道将数据报文转发至L2TP网络接入服务器LNS上;如果是公网地址,则根据该公网地址对应的公网路由表项将数据报文路由到该LAC的公网出接口上。
7.如权利要求6所述的LAC,其特征在于,所述LAC还包括: 获取模块,用于在LAC接收所述数据报文之前,监听远端设备和LNS之间的因特网协议控制协议IPCP协商报文,从所述IPCP协商报文中获取远端设备的私网IP地址,并将该私网IP地址及对应出接口记录在转发信息库FIB表项中。
8.如权利要求7所述的LAC,其特征在于,所述LAC还包括:NAT处理模块,用于数据报文路由到该LAC的公网出接口上后,在LAC的公网出接口上进行NAT处理,将数据报文的源IP地址根据NAT策略由远端设备私网IP地址转换为选路公网地址后发送出去。
9.如权利要求8所述的LAC,其特征在于,所述NAT处理模块还用于,进行NAT处理的同时,在网络地址转换表中记录所述远端设备私网IP地址和选路公网地址的映射关系; 当LAC接收到来自公网的应答报文时,根据网络地址转换表中的记录,将应答报文的目的IP地址由选路公网地址转换为远端设备的私网IP地址; 根据远端设备的私网IP地址查找FIB表项,在FIB表项所指向的出接口上将应答报文发送给远端设备。
10.如权利要求9所述的LAC,其特征在于, 所述获取模块,还用于为不同的LNS分配不同的VPN ;从远端设备和LNS之间的IPCP协商报文中获取远端设备的私网IP地址时,进一步确定该LNS对应的VPN,并将该私网IP地址及对应出接口记录在该VPN的FIB表项中; 所述NAT处理模块,还用于在记录远端设备私网IP地址和公网地址的映射关系时,进一步记录所述远端设备的私网IP地址对应的VPN,其中,所述远端设备的私网IP地址对应的VPN是所述远端设备所属LNS对应的VPN ; 当LAC接收到来自公网的应答报文时,根据所述网络地址转换表,将应答报文的目的IP地址由选路公网地址转换为远端设备的私网IP地址,以及确定该远端设备的私网IP地址对应的第一 VPN, 并通过查找第一 VPN的FIB表项,将应答报文转发给远端设备。
【文档编号】H04L12/46GK103747116SQ201410033540
【公开日】2014年4月23日 申请日期:2014年1月24日 优先权日:2014年1月24日
【发明者】施鸿殊 申请人:杭州华三通信技术有限公司