专利名称:一种虚拟专用拨号网络的实现方法
技术领域:
本发明属于数据通讯技术领域,尤其涉及到一种虚拟专用拨号网络的实现方法。
背景技术:
虚拟专用拨号网络(VPDN),是基于拨号用户的虚拟专用拨号网业务。利用IP(网际协议)网络的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟专用网络。远程用户采用PSTN(公共交换电话网)、ISDN(综合业务数字网)、DSL(数字订户线路)、电缆或无线的方式,以拨号方式接入互联网,利用公共网络资源建立虚拟链路,访问企业网内部数据资源。虚拟专用拨号网络业务不仅为企业员工、企业用户、企业合作伙伴提供远程信息共享,而且也为企业员工在家或出差办公、ICP/ISP专项服务、远程报关、远程报税等提供解决方案。目前,中国电信已在全国进行了虚拟专用拨号网络的建设,虚拟专用拨号网络业务已扩展到全国所有的城市。
虚拟专用拨号网络的核心是在网际协议上建立隧道。隧道由第二层隧道协议建立,主要类型有L2F(二层转发协议)、PPTP(点对点隧道协议)、L2TP(二层隧道协议)三种,隧道协议由传输的载体、不同的封装格式及传输的数据包组成,目前虚拟专用拨号网络业务主要采用L2TP协议作为隧道协议。L2TP(二层隧道协议)是目前广泛使用的一种虚拟专用拨号网络标准。在L2TP协议中,虚拟专用拨号网络用户是通过“二层隧道协议访问集中器”LAC(L2TP AccessConcentrator)与“二层隧道协议网络服务器”LNS(L2TP Network Server)建立L2TP隧道,将用户接入私有网络。
现有的电信虚拟专用拨号网络组网方案如图1所示。一般要求改造Radius(Remote Authentication Dial In User Service,远程验证用户拨号服务)系统,然后部署二层隧道协议访问集中器和二层隧道协议网络服务器,用户访问二层隧道协议访问集中器时通过显示地指定域名使二层隧道协议访问集中器与二层隧道协议网络服务器建立隧道,并通过二层隧道协议网络服务器上网。上述方案在实际应用中存在如下几个主要问题,严重地影响了方案的实用性a、现有虚拟专用拨号网络组网方案为用户登记域名时非常受限,现有系统的当前版本不能很好地支持这种设置;另外,用户也经常不知道如何修改域名,或者感觉比较难以使用,从而影响电信业务的正常推广。
b、现有系统,包括认证授权计费系统、BRAS(宽带接入服务器)现行版本也不能很好地支持或难以解决端口绑定、速率限制、规避单点故障风险等技术要求。
c、现有的系统可扩展性差,如在由于业务需要而调整二层隧道协议网络服务器时,割接麻烦,影响面广,不能自动完成,甚至会影响到用户的正常使用。
发明内容
本发明的目的在于提供一种可操作性、可管理性、可扩展性及可靠性都更好的虚拟专用拨号网络的实现方法。
本发明的目的是这样实现的,一种虚拟专用拨号网络的实现方法,该方法的实现步骤如下一、在现有电信VPDN(虚拟专用拨号网络,下同)中增设Radius转发器(即认证授权计费转发器),处理来自LAC(二层隧道协议访问集中器,下同)和LNS(二层隧道协议网络服务器,下同)的Radius请求(即认证授权计费请求)并转发至Radius系统(即认证授权计费系统);二、Radius转发器确定建立拨号连接的用户类型属于L2TP(二层隧道协议,下同)拨号用户;三、LAC与Radius转发器指定的LNS为该用户建立L2TP隧道和会话;四、在现有电信VPDN中增设至少一个业务网站,接受用户访问;五、用户通过业务网站选择业务类型;六、业务网站通过Radius转发器确认用户身份,并通知转发器变更用户可使用的业务类型。
所述步骤一中,在现有电信VPDN中增设多个Radius转发器时,以实现容错或负载均衡。
步骤一中所述的Radius转发器通过重写机制支持多种端口绑定、速率限制。
步骤一中所述的Radius转发器支持用户通过显示指定域名访问特定的业务。
步骤二和步骤三中所述的隧道协议支持L2F(二层转发协议,下同)协议和其他隧道协议。
所述的步骤三中,当LNS有多个时,Radius转发器从LAC的该业务类型的可用LNS列表中,基于一种负载均衡算法选择一个LNS。
步骤四中所述的业务网站内设有LAC、业务类型、域名和LNS的配置信息,管理员可以管理这些信息。
步骤四中所述的业务网站为每种业务类型或域名指定一个或多个LNS,支持多业务接入。
步骤四中所述的业务网站定时监控LNS是否正常工作,发现某个LNS停止工作时,则发送请求给Radius转发器,Radius转发器将该LNS从可用LNS列表中移去,返回回应给业务网站,并通知其他Radius转发器。
所述的步骤六中,当Radius转发器为多个时,该转发器将业务变更情况通知其它转发器。
本发明虚拟专用拨号网络的实现方法通过在现有电信虚拟专用拨号网络中增设认证授权计费转发器和业务网站两种功能设备,创造了一种更为实用的虚拟专用拨号网络技术方案,使其与现有技术相比,具有以下明显的优点和积极效果1、便于使用,促进业务推广本发明方法引入了业务网站和转发器,便于用户选择业务类型,便于管理维护,能更好地促进业务的推广。
2、技术成熟,可操作性好本发明方法技术成熟,可实际部署和操作。它兼容现网宽带接入服务器的各类现行版本,兼容现网认证授权计费系统,支持按用户实现端口绑定,支持按用户实现速率限制。现网用户可直接接入,不需要调整客户端。
3、具有良好的可扩展性,支持快速割接本发明方案具有良好的可扩展性,可随业务的发展不断增加二层隧道协议网络服务器,并可根据流量情况调整和优化二层隧道协议网络服务器的部署位置。同时它也支持快速割接,当需要快速割接时,如移去或加入某个二层隧道协议网络服务器时,只需要通过业务网站更改转发器的配置文件;整个割接过程可迅速地自动完成,用户感觉不到割接的过程。
4、具有良好的可调试性本发明方法具有良好的可调试性,如转发器上可保留二层隧道协议访问集中器和二层隧道协议网络服务器发送的认证授权计费报文的日志,管理员可通过查询日志诊断用户的连接问题;转发器上可设置部分调试账号,并指示二层隧道协议网络服务器按照点对点隧道协议方式实现接入,以便网管能方便地通过便携笔记本远程诊断问题,及满足与网际协议地址绑定有关的业务远程调试增值业务的需要。
5、能承载多业务本发明方案能承载多种业务,能支持这些业务不断加入、调试和投入实际运营。管理员可通过业务网站为每种业务类型或域名指定一个或多个二层隧道协议网络服务器,从而支持多业务接入。
图1为现有电信虚拟专用拨号网络的典型组网图;图2为本发明虚拟专用拨号网络的实现方法的虚拟专用拨号网络的典型组网图;图3为本发明虚拟专用拨号网络的实现方法的实现流程图。
具体实施例方式
本发明虚拟专用拨号网络的实现方法的典型组网形式如图2所示。本发明基于二层隧道协议来组网,以现网宽带接入服务器作为二层隧道协议访问集中器和二层隧道协议网络服务器,增设至少一个认证授权计费转发器处理来自二层隧道协议访问集中器和二层隧道协议网络服务器的认证授权计费请求并转发至认证授权计费系统,另设立至少一个业务网站来接受用户访问。
本发明中的Radius转发器、业务网站都可以配备多组,相应地LNS也可以配套成多个,这样便可以实现负载均衡和容错的功能。
根据各地电信实现端口绑定的方法不同,转发器可支持灵活的字段重写机制以便支持各地电信的不同要求。
根据各地电信实现速率限制的方法不同,转发器可支持灵活的字段重写机制以便支持各地电信的不同要求。
转发器可支持用户通过显示指定域名访问特定的业务,从而兼容现有方案。
本发明方法建立隧道的协议既可以支持L2TP,也可以支持L2F或其他隧道协议。
如果LNS有多个,则转发器从该LAC的该业务类型的可用LNS列表中,基于一种负载均衡算法选择一个LNS。
管理员可通过WEB在业务网站设置LAC、业务类型、域名和LNS等信息。
管理员可通过业务网站为每种业务类型或域名指定一个或多个LNS,从而支持多业务接入。
业务网站可定时监控LNS是否正常工作,若发现某个LNS停止工作时,则发送请求给转发器,转发器可将该LNS从可用LNS列表中移去,返回回应给业务网站,并通知其他转发器。
如果转发器有多个,则该转发器可将业务变更情况通知其它转发器。
本发明虚拟专用拨号网络的实现方法的实现流程如图3所示,按照本发明虚拟专用拨号网络的实现方法,普通拨号的运行过程如下1、用户向LAC发起拨号连接,LAC发送Access-Request给转发器;2、转发器检查用户类型及用户是否显式地给出了域名,发现用户属普通拨号用户;3、转发器转发Access-Request至Radius系统;4、Radius系统返回Access-Accept或Access-Reject给转发器;5、转发器转发Access-Accept或Access-Reject给LAC;6、LAC从本地的IP Pool中分配IP地址给用户;7、LAC发送Accounting-Request给转发器;8、转发器记录Accounting-Request中含有的IP-拨号用户名对应关系,然后将Accounting-Request转发至Radius系统,并将IP-拨号用户名对应关系通知其他转发器;
9、Radius系统返回Accounting-Response给转发器;10、转发器转发Accounting-Response给LAC;11、LAC接受用户上网;12、用户请求断开连接时,BRAS发送Accounting-Request给转发器;13、转发器转发Accounting-Request给Radius系统;14、Radius系统返回Accounting-Response给转发器;15转发器转发Accounting-Response给LAC;16、LAC断开用户。
按照本发明虚拟专用拨号网络的实现方法,L2TP拨号的运行过程如下1、用户向LAC发起拨号连接,LAC发送Accounting-Request给转发器;2、转发器检查用户类型及用户是否显式地给出了域名,发现用户属L2TP拨号用户;3、转发器从该BRAS/LAC的该业务类型的可用LNS列表中,基于一种负载均衡算法选择一个LNS,并迅速返回Access-Accept给LAC,并在Access-Accept中指定建立L2TP所需要的Radius信息;4、LAC送Accounting-Request给转发器;5、转发器迅速返回Accounting-Response给LAC;6、LAC与Access-Accept中指定的LNS建立L2TP隧道和L2TP会话;7、LNS发送Access-Request给转发器;8、转发器对Access-Request进行修改,使请求符合Radius系统的要求,如端口绑定参数等,然后转发给Radius系统;9、Radius返回Access-Accept或Accept-Reject给转发器;10、转发器对返回的结果进行修改,使结果符合LNS的要求,如速率限制参数等,然后转发给LNS;11、LNS从本地IP Pool中给用户分配IP地址;12、LNS发送Access-Request给转发器;13、转发器记录Access-Request中含有的IP-拨号用户名对应关系,对Access-Request进行修改,使请求符合Radius系统的要求,然后将Access-Request转发给Radius,并将IP-拨号用户名对应关系通知其他转发器;
14、Radius系统返回Accounting-Response给转发器;15、转发器转发Accounting-Response给LNS;16、LNS接受用户上网;17、用户请求断开访问时,LNS发送Accounting-Request给转发器;18、转发器对Accounting-Request进行修改,使请求符合Radius系统的要求,然后将Accounting-Request转发给Radius;19、Radius返回Accounting-Response给转发器;20、转发器转发Accounting-Response给LNS;21、LNS断开用户,断开L2TP Session,若不存在其他Session则断开L2TPTunnel;22、LAC发送Accounting-Request给转发器;23、转发器迅速返回Accounting-Response给LAC;24、LAC断开用户、L2TP Session及L2TP Tunnel;根据各地电信对端口绑定实现技术的不同,转发器可采用仅LAC用户认证/计费、仅LNS用户认证/计费、LAC和LNS同时做用户认证/计费这三种方案,上述过程描述的是仅LNS用户认证/计费的方案。
按照本发明虚拟专用拨号网络的实现方法,用户选择业务的过程如下1、用户在拨号上网之后,向业务网站发出WEB请求,选择一种业务类型;2、业务网站发送Access-Request给转发器,要求转发器根据用户IP地址确认用户身份,并通知转发器变更业务类型;3、转发器确认用户身份,并记录业务变更情况,发送Access-Accept或Access-Reject给业务网站,然后通知其他转发器;4、业务网站通过WEB回应向用户确认变更情况,并通知用户断线。
权利要求
1.一种虚拟专用拨号网络的实现方法,其特征在于该方法的实现步骤如下一、在现有电信虚拟专用拨号网络中增设认证授权计费转发器,处理来自二层隧道协议访问集中器和二层隧道协议网络服务器的认证授权计费请求并转发至认证授权计费系统;二、认证授权计费转发器确定建立拨号连接的用户类型属于二层隧道协议拨号用户;三、二层隧道协议访问集中器与认证授权计费转发器指定的二层隧道协议网络服务器为该用户建立二层隧道协议隧道和会话;四、在现有电信虚拟专用拨号网络中增设至少一个业务网站,接受用户访问;五、用户通过业务网站选择业务类型;六、业务网站通过认证授权计费转发器确认用户身份,并通知转发器变更用户可使用的业务类型。
2.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于所述步骤一中,在现有电信虚拟专用拨号网络中增设多个认证授权计费转发器时,可实现容错或负载均衡。
3.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于步骤一中所述的认证授权计费转发器通过重写机制支持多种端口绑定、速率限制。
4.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于步骤一中所述的认证授权计费转发器支持用户通过显示指定域名访问特定的业务。
5.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于步骤二和步骤三中所述的隧道协议支持二层转发协议和其他隧道协议。
6.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于所述的步骤三中,当二层隧道协议网络服务器有多个时,认证授权计费转发器从二层隧道协议访问集中器的该业务类型的可用二层隧道协议网络服务器列表中,基于一种负载均衡算法选择一个二层隧道协议网络服务器。
7.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于步骤四中所述的业务网站内设有二层隧道协议访问集中器、业务类型、域名和二层隧道协议网络服务器的配置信息,管理员可以管理这些信息。
8.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于步骤四中所述的业务网站为每种业务类型或域名指定一个或多个二层隧道协议网络服务器,支持多业务接入。
9.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于步骤四中所述的业务网站定时监控二层隧道协议网络服务器是否正常工作,发现某个二层隧道协议网络服务器停止工作时,则发送请求给认证授权计费转发器,认证授权计费转发器将该二层隧道协议网络服务器从可用二层隧道协议网络服务器列表中移去,返回回应给业务网站,并通知其他认证授权计费转发器。
10.根据权利要求1所述的一种虚拟专用拨号网络的实现方法,其特征在于所述的步骤六中,当认证授权计费转发器为多个时,该转发器将业务变更情况通知其它转发器。
全文摘要
本发明公开了一种虚拟专用拨号网络的实现方法。该方法通过在现有电信虚拟专用拨号网络中增设至少一个认证授权计费转发器和至少一个业务网站,由认证授权计费转发器处理来自二层隧道协议访问集中器和二层隧道协议网络服务器的认证授权计费请求并转发至认证授权计费系统,由业务网站接受用户访问,可实现一种更为实用的虚拟拨号网络技术方案,便于管理、便于使用、可扩展性好,更能促进电信业务的推广。
文档编号H04L29/08GK1617541SQ200410066908
公开日2005年5月18日 申请日期2004年9月30日 优先权日2004年9月30日
发明者金波, 周晴杰, 金文军, 孙红星, 郝芃 申请人:上海金诺网络安全技术发展股份有限公司