一种基于端口信息表pit配置的用户可控l1ovpn接入方法

专利名称：：一种基于端口信息表pit配置的用户可控l1ovpn接入方法
技术领域：
：本发明涉及通信
技术领域：
，具体涉及用户可控网络的LIOVPN动态接入方法。
背景技术：
：虚拟专用网(VirtualPrivateNetwork,简称VPN)，是利用7〉共网络资源和设备建立的逻辑上的专用数据通道。对于VPN用户，使用VPN就如同使用传统的专线网络一样，保证其数据的私密性和安全性。传统的VPN技术有(对应OSI七层模型)第二层隧道技术如PPTP(RFC2637);第三层隧道4支术如IPSec与GRE(RFC2784);以及介于第二层与第三层间的MPLS技术，更高层的技术有如SSL等。随着光网络以及自动交换光网络(ASON)的发展，OVPN(OpticalVPN)受到越来越多服务提供商和用户的关注，其与传统VPN不同之处在于传送平面与控制平面相分离。在当前技术支持范围内，提供给用户的OVPN就是物理上的一条光纤或光波长或一个光端口，通常也称其为LIVPN。图1为现有OVPN结构示意图，CE(CustomerEdge)设备是用户网络边缘设备，它可以是路由器或其他不必具备VPN感知能力的设备。PE(ProviderEdge)是服务提供商边缘设备，必须具备VPN感知能力，且应该支持通用多协议标记交换(GMPLS)等协议，如光交叉连接i殳备(OXC)或SONET/SDH设备。P(Provider)是服务提供商核心设备，也应支持GMPLS协议，其上不保留任何VPN路由信息，只负责对网内业务流的转发，通常也为OXC或SONET/SDH。RFC5251提出了一种L1OVPN基本模型。该OVPN基本模型是基于端口的，PE上的每一端口最多只能与一个VPN关联。CE-PE及PE间都使用GMPLSRSVP-TE作为信令机制。位于CE与PE间的每一条链接，通过其两端端口地址在该VPN内进行唯一标识。RFC5251中对该两端端口地址关见定如下1.CE侧端口地址(CPI,CustomerPortIdentifier)在该VPN内具有唯一性，其属于用户侧地址域地址，不同VPN间该类地址可以覆盖或完全重叠。2.PE侧端口地址(PPI,ProviderPortIdentifier)要求在运营商网络内具有唯一性，其属于运营商侧地址域地址。3.PE端口除了拥有PPI外，还拥有一个用户侧地址域地址，要求该地址在该VPN中具有唯一性，称为VPN-PPI(VPN國ProviderPortIdentifier)。4.PPI由运营商分配；CPI与VPN-PPI由OVPN管理者分配，该OVPN管理者可能是运营商自身，或是与运营商达成协议的第三方，还可能是用户自己。CE只能理解用户侧地址域地址(CPI与VPN-PPI)，不能理解或不可见运营侧地址域地址(PPI)，所有端口地址格式可以是IPv4、IPv6或〈端口索引号，设备IPv4或IPv6、但有所限制，详见RFC5251。RFC5251还要求，对于每个VPN用户，在CE与PE间配置有与该VPN绑定的IP控制通道，用于传送OVPN用户控制信息。与该IP通道在CE端关联的端口地址称为CE-CC-Addr;在PE端关联的端口地址称为PE-CC-Addr。CE-CC-Addr与PE-CC-Addr在其所属VPN内具有唯一性，由OVPN管理者分配。RFC5251还提及了一个端口信息表(PortInformationTable,简称PIT)，用于存储OVPN用户端口地址CPI与PE端口地址PPI的对照表〈CPI，PPI〉。当某一用户加入某一OVPN时，运营商便在与该用户连接的PE上为该用户配置PIT项，并通过auto-discovery才几制在其他PE上同步更新PIT。在运营商完成配置PIT后，用户i更可以向运营商请求与所有属于该OVPN的其他成员间建立或拆除OVPN链接。但在RFC5251的OVPN基本模型中，PIT不能通过CE与PE间的信令进行配置，而是由服务提供商配置，因此，不能实现用户自己控制其所购L1VPN资源。基于用户可"^安需实时控制其L1VPN，设计了本发明。
发明内容本发明所要解决的问题是如何提供一种基于端口信息表PIT配置的用户可控LIOVPN接入方法，该方法能使用户直接通过信令按需实时配置PIT并建立OVPN、动态加入和退出OVPN。本发明所提出的技术问题是这样解决的提供一种基于端口信息表PIT配置的用户可控L10VPN接入方法，其特征在于，包括以下步骤①用户直接通过PE与CE间的信令实时配置PIT:用户通过一定的信令或加密形式向OVPN服务提供商发起配置PIT请求，该请求通过提供商网络计费系统或其他身份认证系统的认证，同时在得到该VPN用户端准入控制系统授权后，服务提供商根据该用户请求在其相连PE上为其进行PIT配置；②用户需要真正逻辑通道时，通过用户网络接口向网络服务商实时发起"建立OVPN逻辑通道"请求，按需建立VPN链路。按照本发明所提供的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，建立逻辑通道时，要求运营商在每个PE与与其相连的CE间选定一条链路作为该CE与PE间的公用IP控制通道，并向该CE公布其PE隱CC-Addr，称该地址为Public-PE-CC-Addr,要求Public-CE-CC-Addr与Public-PE-CC-Addr在该PE与CE上唯一，即使是属于同一OVPN中的其他PE与CE，该公用IP通道地址仍可完全重用，该公用IP控制通道中只限于传输"建立新OVPN请求"、"加入新OVPNi貪求"、"加入OVPN失败通告"、"加入OVPN成功通告"、"彻底拆除成功通告"、"彻底拆除失败通告"、"OVPN失效通告"和"VPN-ID通告"等属于配置PIT的相关请求或应答，不能传输OVPN控制请求(如建立OVPN连接请求，拆除OVPN连接请求，增加带宽等请求等)和彻底拆除OVPN请求，该类请求应通过与VPN-ID绑定的OVPN控制通道传输。按照本发明所提供的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，所述步骤①中配置PIT包括以下三种情况a、建立一个新OVPN:通过为用户边缘设备(CE)配置一个客户端软件，采用信令形式把用户的OVPN请求信息与用户CID信息通过该CE与PE间的公用IP控制通道发送到与此CE相邻的服务提供商边缘设备(PE)(下文称此PE为源PE,称该用户为源用户，称该CE为源CE)，此OVPN请求信息中包括带宽请求、用户端准入控制策略实现模式公告、用户端准入控制接口地址以及CID等信息，不包括目的地地址，该请求信息通过服务提供商认证后，PE为该OVPN用户返回一个带有时限的VPN-ID(或一个虛拟号，必须保证其在服务提供商网络内的唯一性)；服务提供商同时在此PE上为此CE配置端口信息表(PIT)，而且该PE通过BGP或者其他协议把此OVPN信息(包括VPN-ID、带宽、源PE服务提供商网络地址和用户端准入控制策略实现模式)公布给所有其他PE;所有PE都为此类OVPN信息建立一个临时数据库(TempleOVPNTable，简称T-OVPN-T),T-OVPN-T中的每一个记录包括四项内容1)VPN-ID,2)带宽，3)用户端准入控制策略实现模式，4)与此OVPN关联的源PE服务提供商侧网络地址；T-OVPN-T的建立是为了新成员能从任意PE上识别并加入该OVPN。在此VPN-ID的规定时限范围内，若有至少一个新用户加入该OVPN，则该VPN-ID将变为永久时限。若没有，则源PE向其他PE发送"超时通告"，收到此命令的PE将删除与该OVPN关联的T-OVPN-T信息库，与此同时，源PE发送"OVPN失效通告"给源CE，然后删除与该OVPN关联的PIT配置。b、用户加入到一个已有的OVPN:针对某用户拟加入到现有的OVPN,此用户必须通过OVPN以外的途径获得该VPN-ID以及一个客户端软件，此VPN-ID就如同现实生活中电话号码，任只要该用户得到了该OVPN用户端准入控制的准入许可，服务提供商将为该用户在其相邻的PE上配置PIT,该客户端软件能够识别用户端准入控制策略实现模式，能够根据具体实现模式需求对用户请求进行对应格式封装。c、用户彻底拆除或退出某个OVPN:I.针对用户不是源用户时，首先拆除其与该OVPN关联的物理或虚拟连接(如标记交换路径等)，然后再删除在其相连PE上的PIT配置信息。具体实施步骤为用户通过CE发起彻底拆除请求，PE接收到该请求后，检查是否有与该用户的虚拟连接或物理链路存在若有则PE发起拆除OVPN请求，拆除该虚拟或物理链路，然后再删除与该用户关联的且与该OVPN关联的PIT配置信息；若没有，则直接删除与该用户关联的且与该OVPN关联的PIT配置信息。触发自动发现(auto-discovery)过程，同步更新位于其他PE上的与该OVPN关联的PIT配置。n.针对用户是源用户时，要求该ovpN中没有成员(除源用户外)才能删除。具体实施步骤为源用户发起彻底拆除OVPN请求；源PE接收到请求后查询OVPN成员表，向所有该OVPN用户强行发起彻底拆除所有与该OVPN关联的物理或逻辑连接(标签交换路径)请求。该请求不需要取得用户的同意，只需通知该用户该OVPN已经被拆除。其实质就是由源PE代替所有CE发起彻底拆除OVPN请求；源PE向所有其他PE发送OVPN"超时通告"，其他PE收到该通告后从T-OVPN-T中删除与该OVPN关联的所有信息；源PE删除本地上与该OVPN关联的PIT配置信息以及其他信息，通知用户"彻底拆除成功通告"。按照本发明所提供的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，用户加入到一个已有的OVPN,具体实施步骤如下①用户获得VPN-ID以及客户端软件；②用户以该VPN-ID为参数向网络服务提供商发起加入该OVPN请求；③与该用户相连PE接收到该请求，并通过计费系统等认i正以后，在T-OVPN-T中查询该OVPN带宽与用户端准入控制策略实现^^莫式，首先纟笨测在该CE与PE间是否有满足该带宽的数据链路存在，若有则把该用户端准入控制策略实现模式信息返回给该用户CE客户端软件；④该CE客户端软件收到该模式信息后，根据该模式需求对用户加入请求进行再封装，并第二次发送加入请求到其相连PE。PE收到该请求后，在本地T-OVPN-T中查询该OVPN源PE的服务提供商侧网络地址，并向该源PE转发该力口入请求；源PE收到请求后，发现该请求是准入请求，则查询该OVPN的用户端准入控制接口地址，把该请求转发到该准入控制接口；⑥该准入控制系统接收到该请求后，才艮据其相应策略实现方式，对该用户请求进行策略决策，并向源PE发送请求应答消息。若该系统准许了该用户准入，则在其本地保存该用户信息，待第七步中的auto-discovery过程后进一步完善该用户信息；⑦若源PE收到准入控制的肯定应答，则该PE向加入端PE发送配置PIT请求，请求为该新用户配置PIT以及相关信息；当加入端PE收到请求并配置好PIT及相关信息后，便触发auto-discovery过程，同步更新位于其他PE上的与该OVPN关联的PIT配置，同时向该新用户发送"加入OVPN成功通告"；1.⑧若源PE收到否定应答，则源PE向加入端PE发送"失败通告"，加入端PE收到该信息后便向用户端发送"加入OVPN失败通告"，至此，新用户PIT配置充成。本发明集中阐述了PIT的配置与删除过程，结合现有的建立OVPN逻辑通道信令(如GMPLS)及接口(如UNI1.0/2.0)技术，使用户能够直接通过信令，按需实时地完成从配置PIT到最终建立OVPN逻辑链路一系列操作，也使OVPN用户能够通过信令动态实时的加入或退出OVPN。网络服务提供商除管理其计费认证系统外，不参与任何与OVPN相关的准入控制，准入控制全部移交给了OVPN用户，完全由用户才艮据其自身安全需求自主选择的用户端准入控制系统性，也给用户带来了极大的灵活性和自主性，使OVPN增值业务具有更大的吸引力。图1为OVPN结构示意图2为实施例整体结构图3为实施例建立与加入OVPN信令流程图。具体实施例方式下面结合附图以及实施例对本发明作进一步描述整体发明思路是把OVPN的建立过程分为以下两步1.配置PIT信息以及VPN-ID信息等虚拟信息，用于控制OVPN用户准入，仅在各PE上保存，并不为该用户在运营商内部建立OVPN逻辑通道(如标记交换路径)。在本发明中，用户直接通过PE与CE间的信令实时配置PIT。结合本发明中提及的用户根据其自身安全需求选择的用户端准入控制策略，使用户能够通过信令按需实时地完成从配置PIT到最终建立OVPN逻辑链路这一系列操作，也使欲加入此OVPN的用户能够通过信令动态实时的加入或退出该OVPN。本发明的所有内容都是归属于该"配置OVPN虚拟信息"范畴。2.在完成第一步后，当用户需要真正的逻辑通道时，可以通过如OIF提出的用户网络接口(UNI)或其他接口向网络服务提供商实时发起"建立OVPN逻辑通道"请求，真正地4姿需建立VPN链路。按需配置PIT的方法发明思想为用户直接通过PE与CE间的信令实时配置PIT。用户通过一定的信令或加密形式向OVPN服务提供商发起配置PIT请求，首先该请求需要通过提供商网络计费系统或其他身份认证系统的认证，同时在得到该VPN用户端准入控制系统授权后，服务提供商才根据该用户请求在其相连PE上为其进行PIT配置。该用户端准入控制系统构架为所有网络提供商边缘设备(PE)为访问控制执行点(PEP)，初始建立某OVPN的用户边缘设备(CE)为该VPN策略决策点(PDP)。用户可以根据该VPN的所需安全级别选择不同的策略实现方式。其实现方式可以借鉴现有IP网策略，可以通过设置VPN准入比例阀值或采用固定OVPN用户准入控制等，还可采用分布式或集中式，具体策略实现方式不在该发明范畴。加入式OVPN建立方法是一个完全的单端配置，不需要知道对方网络地址。当某一用户初始建立某一OVPN后，服务提供商向该用户返回一个具有时限的VPN-ID或一个虚拟数字(其在服务提供商内部具有唯一性)。在该加入式OVPN建立模式中，除初始该OVPN的那位用户外，所有其他成员都是通过加入方式加入到该OVPN。通过该发明，有效解决了用户在未成为OVPN成员前，不能通过服务提供商网络感知对方私有地址的问题。本发明需要运营商在每个PE与与其相连的CE间选定一条链路作为该CE与PE的公用IP控制通道，并向该CE公布其PE-CC-Addr,称该地址为Public-PE-CC-Addr。CE上的所有用户都可以通过该地址与运营商通信，该公用IP控制通道中只限于传输"建立新OVPN请求"、"加入新OVPN请求"、"加入OVPN失败通告"、"加入OVPN成功通告"、"彻底拆除成功通告"、"彻底拆除失败通告"、"OVPN失效通告"和"VPN-ID通告"等属于配置PIT的相关请求与通告，不能传输OVPN控制请求(如建立OVPN连接请求，拆除OVPN连接请求，12增加带宽请求等)和彻底拆除OVPN请求，该类请求应通过与VPN-ID绑定的OVPN控制通道传输。要求Public-CE-CC-Addr与Public-PE-CC-Addr在该PE与CE上唯一，即使是属于同一OVPN中的其他PE与CE，该专用IP通道地址仍可完全重用。一种实现该地址的标识方式为用<端口索引号，PE用户侧网络地址>标识Public-PE-CC-Addr,用<端口索引号，CE用户侧网络地址>标识Public曙CE-CC-Addr。本发明中配置PIT分以下三种情况1.建立一个新OVPN。2.用户加入到一个已有的OVPN。3.用户彻底拆除或退出某个OVPN。以上三种情况均假设用户已经通过了服务提供商的计费系统，同时，本发明假设用户都拥有了费用记录卡ID(ChargeID,简称CID)以及相关信息，这也合乎现有的电信运营;f莫式。A.当属于第一种情况时针对建立一个新OVPN,本发明通过为用户边缘设备(CE)配置一个客户端软件，采用信令形式把用户的OVPN请求信息与用户CID信息通过该CE与PE间的公用IP控制通道发送到与此CE相邻的服务提供商边缘设备(PE)(下文称此PE为源PE，称该用户为源用户，称该CE为源CE)。此OVPN请求信息中包括带宽请求、用户端准入控制策略实现模式公告、用户端准入控制接口地址以及CID等信息，不包括目的地地址。该请求信息通过服务提供商认证后，PE为该OVPN用户返回一个带有时限的VPN-ID(或一个虚拟号，必须保证其在服务提供商网络内的唯一性)；服务提供商同时在此PE上为此CE配置端口信息表(PIT)，而且该PE通过BGP或者其他协议把此OVPN信息(包括VPN-ID、带宽、源PE服务提供商网络地址和用户端准入控制策略实现模式)公布给所有其他PE。所有PE都为此类OVPN信息建立一个临时数据库(TempleOVPNTable,简称T-OVPN-T),T-OVPN-T中的每一个记录包括四项内容1)VPN-ID;2)带宽；3)用户端准入控制策略实现模式；4)与此OVPN关联的源PE服务提供商侧网络地址。T-OVPN-T的建立是为了新成员能从任意PE上识别并加入该OVPN。在此VPN-ID的规定时限范围内，若有至少一个新用户加入该OVPN,则该VPN-ID将变为永久时限。若没有，则源PE向其他PE发送"超时通告"，收到此命令的PE将删除与该OVPN关联的T-OVPN-T信息库，与此同时，源PE发送"OVPN失效通告"给源CE,然后删除与该OVPN关联的PIT配置。B.当属于第二种情况时针对某用户拟加入到现有的OVPN，此用户必须通过OVPN以外的途径获得该VPN-ID以及一个客户端软件。此VPN-ID就如同现实生活中电话号码，任何只要通过服务提供商认证的用户都可以通过此ID发起加入该OVPN的请求。只要该用户得到了该OVPN用户端准入控制的准入许可，服务提供商将为该用户在其相邻的PE上配置PIT。该客户端软件能够识别用户端准入控制策略实现模式，能够根据具体实现模式需求对用户请求进行对应格式封装。具体实施步骤如下1.用户获得VPN-ID以及客户端软件。2.用户以该VPN-ID为参数向网络服务提供商发起加入该OVPN请求(当然还有其他如CID计费信息等参数)。3.与该用户相连PE4妄收到该请求，并通过计费系统等i人i正以后，在T-OVPN-T中查询该OVPN带宽与用户端准入控制策略实现模式，首先探测在该CE与PE间是否有满足该带宽的数据链路存在，若有则把该用户端准入控制策略实现模式信息返回给该用户CE客户端软件。4.该CE客户端软件收到该模式信息后，根据该模式需求对用户加入请求进行再封装，并第二次发送加入请求到其相连PE。PE收到该请求后，在本地T-OVPN-T中查询该OVPN源PE的服务提供商侧网络地址，并向该源PE转发该力口入请求。5.源PE收到请求后，发现该请求是准入请求，则查询该OVPN的用户端准入控制接口地址，(该接口一般与源CE在同一局域网内，甚至与源CE位于同一物理主机上，对于分布式则有多个接口地址)，把该请求转发到该准入控制接口。6.该准入控制系统接收到该请求后，根据其相应策略实现方式，对该用户请求进行策略决策，并向源PE发送请求应答消息。若该系统准许了该用户准入，则在其本地保存该用户信息，待第七步中的自动发现(auto-discovery)过程后进一步完善该用户信息。7.若源PE收到准入控制的肯定应答，则该PE向加入端PE发送配置PIT请求，请求为该新用户配置PIT以及相关信息；当加入端PE收到请求并配置好PIT及相关信息后，便触发自动发现(auto-discovery)过程，同步更新位于其他PE上的与该OVPN关联的PIT配置，同时向该新用户发送"加入OVPN成功通告"。8.若源PE收到否定应答，则源PE向加入端PE发送"失败通告"，加入端PE收到该信息后便向用户端发送"加入OVPN失败通告"，至此，新用户PIT配置咒成。C.当属于第三种情况时I.针对用户不是源用户时，首先拆除其与该OVPN关联的物理或虚拟连接(如标记交换^各径等)，然后再删除在其相连PE上的PIT配置信息。具体实施步骤为用户通过CE发起彻底拆除请求，PE接收到该请求后，^r查是否有与该用户的虚拟连接或物理链路存在若有则PE发起拆除OVPN请求，拆除该虚拟或物理链路，然后再删除与该用户关联的且与该OVPN关联的PIT配置信息；若没有，则直接删除与该用户关if关的且与该OVPN关if关的PIT配置信息。触发自动发现(auto-discovery)过程，同步更新位于其他PE上的与该OVPN关联的PIT配置。II.针对用户是源用户时，要求该OVPN中没有成员(除源用户外)才能删除。具体实施步骤为1.源用户发起彻底拆除OVPN请求2.源PE接收到请求后查询OVPN成员表，向所有该OVPN用户强行发起彻底拆除所有与该OVPN关联的物理或逻辑连接(标签交换路径)请求。该请求不需要取得用户的同意，只需通知该用户该OVPN已经被拆除。其实质就是由源PE代替所有CE发起彻底拆除OVPN请求。3.源PE向所有其他PE发送OVPN"超时通告，，，其他PE收到该通告后从T-OVPN-T中删除与该OVPN关联的所有信息。4.源PE删除本地上与该OVPN关联的PIT配置信息以及其他信息，通知用户"彻底拆除成功通告"。以下为本发明的具体实施例在本实施例中，准入控制策略实现方式采用"OVPN准入比例阀值"方式，即只要在一定时限范围内，在该OVPN已有成员中，同意该新用户加入的成员数占总成员数的比例超过该比例阀值，策略决策点则授权该用户准入。当所需安全级别低时，则设置低阀值，高时则设置高阀值。本实施例整体结构图见图2，实施例建立与加入OVPN信令流程图见图3。此实施例中包含四个用户节点，分别为节点CE1、CE2、CE3、CE4;四个服务提供商网络边缘节点PE1、PE2、PE3、PE4;服务提供商核心网络节点P未画出，每个CE分别通过多端口连接到与其相邻的PE。根据RFC5251关于地址的规定-要求CPI、VPN-PPI、PE-CC-Addr以及CE-CC-Addr在所属VPN内地址具有唯一性，PPI在服务提供商网络内地址具有唯一性。在本实施例中，为了降低分析复杂性1.所有端口地址，都采用<端口索引号，设备IP地址〉标识。2.有支设从第三方分配到的用户侧网络地址为属于"220.210.20.0，，的地址网段，如图2中地址标识所示。同时假设运营商分配的网络侧地址为属于"192.168.48.0"的地址网段，如图2中地址标识所示，每个PE拥有了两个地址(一个为用户侧地址，为VPN-PPI中的设备IP地址；一个为运营商侧地址，为PPI中的设备IP地址)。3.假设第三方为每对CE与PE间所指定的公用IP控制通道端口都为1号端口。4.假设策略决策点与源CE位于同一物理主才几(通过TCP端口识别，该实施例中该端口假i殳为40000)。A.建立与加入OVPN:先假设由CE1发起建立一个新OVPN请求，流程图见图3，CE1配置好策略比例阀值后，通过CE1-PE1公用IP控制通道向PE1发送"建立新OVPN请求"，由如上j艮设，则该请求源地址Public-CE-CC-Addr为〈1，220.210.20.1>,目的地址Public-PE-CC-Addr为〈1，220.210.20.5>;该请求中包含带宽请求、用户端准入控制策略实现模式公告、用户端准入控制接口地址以及CID等信息，如表1所示<table>tableseeoriginaldocumentpage17</column></row><table>表1当该请求到达PE1，PE1把其相关计费信息如CID等送入管理系统通过i人证后1.PE1根据其带宽请求，在CE1与PE1间查询是否有满足该带宽需求的数据平面链路，(当同时需要多条数据链路才能满足其带宽需求时，可以采用链路绑定实现(见RFC4201),.但其只能有一个端口标识)，若有则为该请求分配一个具有时限的VPN-ID,并把该数据链路的CPI和VPN-PPI与该VPN-ID绑定；同时为该VPN在CE1与PE1间选定一条控制平面IP控制通道，并"J巴该控制通道CE-CC-Addr和PE-CC-Addr与该VPN-ID绑定，即为OVPN控制通道。2.通过公用IP控制通道向CE1发送"VPN-ID通告"，该通告中包括具有时限的VPN-ID、数据平面的CPI'与VPN-PPI以及IP控制通道CE-CC-Addr和PE-CC-Addr信息。在本实施例中，假设数据平面对应的CE与PE端口都为2号端口，与控制平面通道对应的都为3号端口(这需要根据实际端口连接情况而定)，则返回信息如表2所示(假设VPN-ID为200010)<table>tableseeoriginaldocumentpage17</column></row><table>表23.与此同时PE1在具本地为该用尸配置PIT,该PIT信恩〈CPI，PPI〉为^，220.210.20.1>,<2，192.168.48.1》，并把该VPN國ID、带宽和PEl的服务提供商侧网络地址以及该VPN的策略实现模式<200010,2.5G，192.168.48.1，准入比例阀值M言息通过BGP等协议发送给PE2、PE3和PE4，当PE2、PE3、PE4收到该消息后<更把该OVPN信息加入到各自本地的T-OVPN-T数据库中。至此，初始OVPN完毕。若在VPN-ID规定的时限范围内(24小时内)没有其他用户加入该OVPN,则PE1向PE2、PE3和PE4发送"超时通知"，然后删除本:l也上与该用户且与该OVPN相关联的PIT配置信息，以及取消链路绑定。同时通过公用IP控制通道向CE1发送"OVPN失效通告"。现假设CE2用户欲加入该OVPN且在该VPN-ID规定的时限内，则CE2用户首先需要通过OVPN以外的途径从CE1处获知该VPN-ID(200010)，然后以此为主要参数通过CE2-PE2公用IP控制通道向PE2发起"加入新OVPN请求"，其〈Public-CE-CC画Addr，Public-PE-CC-Addr〉为《1,220.210.20.2〉，<1，220.210.20.6;PE2接收到该请求后，把相关计费信息如CID等送入管理系统并获得认证后，根据该VPN-ID在本地T-OVPN-T数据库查询该OVPN的带宽与准入控制策略实现模式(该实施例中为2.5G与准入比例阀值模式)，PE2在本地探测在其与CE2间是否存在满足该带宽需求(2.5G)的数据平面链路，若有则把查询到的准入控制策略实现模式信息(准入比例阀值模式)返回给CE2客户端，该客户端根据该策略实现模式所需信息格式再次向PE2发起"加入该OVPN请求"；PE2查询该VPN-ID对应的源PE(PE1)服务提供商侧地址(该实施例中为192.168.48.1),并向该源PE转发用户CE2的加入请求；源PE(该实施例中为PE1)收到该请求后经查询该OVPN用户端准入控制接口地址(该实施例中为源CE1)，通过其已经绑定的OVPN控制平面通道向CE1转发该加入请求，即该CE-CC-Addr和PE-CC-Addr分别为<3,220.210.20.1>与<3，220.210.20.5>;CE1查询该请求格式发现其为加入请求，把该请求转发到其准入控制接口(该实施例中为220.210.20.1(40000)，其收到该请求后，根据其策略执行步骤，向所有属于该VPN的用户发送准入请求，只要准入比例大于已设定阀值，则准许该用户加入)；PE1等待用户端准入控制系统应答，若应答为肯定则PE1向PE2发送"配置PIT请求，，，且在PE1上把该VPN-ID时限改为永久时限，否则向PE2发送"失败通告"。若PE2收到"失败通告"，则其通过CE2-PE27>共IP控制通道向CE2发送"加入OVPN失败通告"；若PE2收到应答为"配置PIT请求"则1.PE2根据该OVPN带宽需求，在CE2与PE2间选定一条满足该带宽需求的数据平面链路，并把该数据链路的CPI和VPN-PPI与该VPN-ID绑定；同时为该VPN用户在CE2与PE2间选定一条控制平面IP控制通道，并把该控制通道CE-CC-Addr和PE-CC-Addr与该VPN-ID绑定，即为OVPN控制通道。2.同时通过公用IP控制通道向CE2用户发送"加入OVPN成功通告"，该通告中包含该数据平面的CPI与VPN-PPI以及IP控制通道CE-CC-Addr和PE-CC-Addr信息。在本实施例中，假设数据与控制两个通道端口分别都为3和2,则信息如表3:<table>tableseeoriginaldocumentpage19</column></row><table>表33.与此同时PE1在其本地为该用户配置PIT,该PIT信息〈CPI，PPI〉为〈《3，220.210.20.2>,<3，192.168.48.2〉〉，并触发自动发现(auto-discovery)过程，同步更新位于其他PE上的与该OVPN关联的PIT配置(不在该发明范围内)。至此，CE2用户PIT配置完毕。若此时CE3用户再名爻加入到该OVPN中(现在该OVPN已经有两个成员CE1与CE2)，其加入步骤与CE2加入步骤类似，不再阐述。以上几种情况只阐述了PIT的配置过程，在已经完成配置PIT的前提下，结合现有的建立OVPN逻辑通道信令(如GMPLS),用户便可以实时地通过CE与PE间绑定的OVPN控制通道向网络运营商发起建立OVPN逻辑链路请求。B.彻底拆除或退出OVPN:在已建OVPN的基础上(其有三个OVPN成员CEl、CE2与CE3)，若CE2欲彻底退出该OVPN，则该用户通过其绑定的OVPN控制通道，向PE2发送"彻底拆除OVPN请求"，此通道地址〈CE-CC-Addr，PE-CC-Addr>为《2,220.210.20.2〉，<2,220.210.20.6〉>,PE2收到该请求后，检查是否有与该用户在所述OVPN中关联的虚拟连接(如标签交换路径)存在，若存在则首先由PE2发起拆除OVPN连接请求，拆除其虚拟连接，然后再删除PE2上与该用户且与该OVPN关联的PIT配置信息，同时取消链路绑定，并触发自动发现(auto-discovery)过程。同时通过PE2-CE2公用IP控制通道，地址<Public-CE-CC-Addr，Public-PE-CC-Addr〉为《1,220.210.20.2〉，<1，220.210.20.6>>向该用户发送"彻底拆除成功通告"。但倘若CEl欲彻底拆除该OVPN,此种情况属于由源CE用户发起的彻底拆除OVPN,与上述情况有很大不同，当PEl收到由CEl发来的"彻底拆除OVPN请求，，后，其查询该OVPN成员列表，发现有CE1、CE2与CE3三个OVPN成员，则其首先向PE2与PE3发起"强制删除OVPN请求"，当PE2与PE3收到该请求后，若PE2与PE3上有虛拟连接，首先删除虚拟连接，然后删除各自本地上与该用户且与该OVPN关联的PIT配置信息，取消绑定，触发发自动发现(auto-discovery)过程，并通过公用IP控制通道向CE2与CE3发送"OVPN实效通告"。PEl再次查询其OVPN成员列表，此时只有其自身为该OVPN成员，其发送"超时通告"给PE2、PE3与PE4,然后删除本地与该OVPN关联的PIT配置及其他信息，并通知CE1"彻底拆除成功"。PE2、PE3与PE4收到"超时通告"后，删除与该OVPN相关的T-OVPN-T信息，至此，该VPN-ID失效，任何用户都不可能再加入到该OVPN,OVPN彻底删除完毕。通过本发明，结合现有的建立OVPN逻辑通道信令(如GMPLS)及接口(如UNI1.0/2.0)技术，使用户能够直接通过信令，按需实时地完成从配置PIT到最终建立OVPN逻辑链路一系列操作，也使欲加入OVPN的用户能够通过信令动态实时的加入或退出OVPN。克服了在传统模式中手动申请等非智能化的不足。本发明是针对基于端口的光虚拟专用网络，其较佳应用实例对象是大型公司以及大型企事业单位。该发明原理应用范围不局限于配置基于端口的光虚拟专用网络，随着光交换网络向更细粒度方向发展，其在PIT配置上也必定会向更细粒度发展，但该发明原理仍然适用，凡在本发明的精神和原则之内，对该原理修改或变相引申都应属于该发明的保护范围。权利要求1、一种基于端口信息表PIT配置的用户可控L1OVPN接入方法，其特征在于，包括以下步骤①用户直接通过PE与CE间的信令实时配置PIT用户通过一定的信令或加密形式向OVPN服务提供商发起配置PIT请求，该请求通过提供商网络计费系统或其他身份认证系统的认证，同时在得到该VPN用户端准入控制系统授权后，服务提供商根据该用户请求在其相连PE上为其进行PIT配置；②用户需要真正逻辑通道时，通过用户网络接口向网络服务商实时发起“建立OVPN逻辑通道”请求，按需建立VPN链路。2、根据权利要求1所述的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，建立逻辑通道时，要求运营商在每个PE与与其相连的CE间选定一条链路作为该CE与PE间的公用IP控制通道，并向该CE公布其PE-CC-Addr，称该地址为Public-PE-CC-Addr,要求Public-CE-CC-Addr与Public-PE-CC-Addr在该PE与CE上唯一，即使是属于同一OVPN中的其他PE与CE，该公用IP通道地址仍可完全重用，该公用IP控制通道中只限于传输"建立新OVPN请求"、"加入新OVPN请求"、"加入OVPN失败通告"、"加入OVPN成功通告"、"彻底拆除成功通告"、"彻底拆除失败通告"、"OVPN失效通告"和"VPN-ID通告"属于配置PIT的相关请求或应答，不能传输OVPN控制请求和彻底拆除OVPN请求，该类请求应通过与VPN-ID绑定的OVPN控制通道传输。3、根据权利要求1或2所述的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，包括以下三种情况a、建立一个新OVPN:通过为CE配置一个客户端软件，采用信令形式把用户的OVPN请求信息与用户CID信息通过该CE与PE间的公用IP控制通道发送到与此CE相邻的PE,此OVPN请求信息中包括带宽请求、用户端准入控制策略实现模式公告、用户端准入控制接口地址以及CID信息，不包括目的地地址，该请求信息通过服务提供商认证后，PE为该OVPN用户返回一个带有时限的VPN-ID;服务提供商同时在此PE上为此CE配置PIT,而且该PE通过BGP或者其他协议把此OVPN信息公布给所有其他PE;所有PE都为此类OVPN信息建立一个临时数据库T-OVPN-T，T-OVPN-T中的每一个记录包括四项内容1)VPN-ID，2)带宽，3)用户端准入控制策略实现模式，4)与此OVPN关联的源PE服务提供商侧网络地址；b、用户加入到一个已有的OVPN:针对某用户拟加入到现有的OVPN，此用户必须通过OVPN以外的途径获得该VPN-ID以及一个客户端软件，任何只要通过服务提供商认证的用户都可以通过此ID发起加入该OVPN的请求，只要该用户得到了该OVPN用户端准入控制的准入许可，服务提供商将为该用户在其相邻的PE上配置PIT，该客户端软件能够识别用户端准入控制策略实现模式，能够根据具体实现模式需求对用户请求进行对应格式封装；c、用户彻底拆除或退出某个OVPN:I.针对用户不是源用户时，首先拆除其与该OVPN关联的物理或虚拟连接，然后再删除在其相连PE上的PIT配置信息；II.针对用户是源用户时，要求该OVPN中没有成员才能删除。4、冲艮据权利要求3所述的基于端口信息表PIT配置的用户可控L10VPN接入方法，其特征在于，在建立一个新OVPN时，在VPN-ID的规定时限范围内，若有至少一个新用户加入该OVPN，则该VPN-ID将变为永久时限；若没有，则源PE向其他PE发送"超时通告"，收到此命令的PE将删除与该OVPN关联的T-OVPN-T信息库，与此同时，源PE发送"OVPN失效通告"给源CE，然后删除与该OVPN关联的PIT配置。5、根据权利要求3所述的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，在建立一个新OVPN时，在VPN-ID的规定时限范围内，若有至少一个新用户加入该OVPN，则该VPN-ID将变为永久时限；若没有，贝寸源PE向其他PE发送"超时通告"，收到此命令的PE将删除与该OVPN关联的T-OVPN-T信息库，与此同时，源PE发送"OVPN失效通告"给源CE，然后删除与该OVPN关耳关的PIT配置。6、根据权利要求3所述的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，在用户彻底拆除或退出某个OVPN时，针对用户不是源用户时，首先拆除其与该OVPN关联的物理或虚拟连接，然后再删除在其相连PE上的PIT配置信息，具体实施步骤为用户通过CE发起彻底拆除请求，PE接收到该请求后，4企查是否有与该用户的虚拟连接或物理链路存在若有则PE发起拆除OVPN请求，拆除该虚拟或物理链路，然后再删除与该用户关联的且与该OVPN关联的PIT配置信息；若没有，则直接删除与该用户关联的且与该OVPN关联的PIT配置信息，触发auto-discovery过程，同步更新位于其他PE上的与该OVPN关联的PIT配置。7、根据权利要求3所述的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，针对用户是源用户时，要求该OVPN中没有成员才能删除，具体实施步骤为源用户发起彻底拆除OVPN请求；源PE接收到请求后查询OVPN成员表，向所有该OVPN用户强行发起彻底拆除所有与该OVPN关联的物理或逻辑连接请求，该请求不需要取得用户的同意，只需通知该用户该OVPN已经被拆除；源PE向所有其他PE发送OVPN"超时通告"，其他PE收到该通告后从T-OVPN-T中>删除与该OVPN关联的所有信息；源PE删除本地上与该OVPN关联的PIT配置信息以及其他信息，通知用户"彻底拆除成功通告"。8、根据权利要求3所述的基于端口信息表PIT配置的用户可控LIOVPN接入方法，其特征在于，用户加入到一个已有的OVPN，具体实施步骤如下①用户获得VPN-ID以及客户端软件；②用户以该VPN-ID为参数向网络服务提供商发起加入该OVPN请求；③与该用户相连PE接收到该请求，并通过计费系统等认证以后，在T-OVPN-T中查询该OVPN带宽与用户端准入控制策略实现模式，首先探测在该CE与PE间是否有满足该带宽的数据链路存在，若有则把该用户端准入控制策略实现模式信息返回给该用户CE客户端软件；④该CE客户端软件收到该模式信息后，根据该模式需求对用户加入请求进行再封装，并第二次发送加入请求到其相连PE。PE收到该请求后，在本地T-OVPN-T中查询该OVPN源PE的服务提供商侧网络地址，并向该源PE转发该力口入请求；源PE收到请求后，发现该请求是准入请求，则查询该OVPN的用户端准入控制接口地址，把该请求转发到该准入控制接口；⑥该准入控制系统接收到该请求后，根据其相应策略实现方式，对该用户请求进行策略决策，并向源PE发送请求应答消息。若该系统准许了该用户准入，则在其本地保存该用户信息，待第七步中的auto-discovery过程后进一步完善该用户信息；⑦若源PE收到准入控制的肯定应答，则该PE向加入端PE发送配置PIT请求，请求为该新用户配置PIT以及相关信息；当加入端PE收到请求并配置好PIT及相关信息后，便触发auto-discoveiy过程，同步更新位于其他PE上的与该OVPN关联的PIT配置，同时向该新用户发送"加入OVPN成功通告"；⑧若源PE收到否定应答，则源PE向加入端PE发送"失败通告"，加入端PE收到该信息后^f更向用户端发送"加入OVPN失败通告"，至此，新用户PIT配置冗成。全文摘要本发明公开了一种基于端口信息表PIT配置的用户可控L1OVPN接入方法，步骤如下用户直接通过PE与CE间的信令实时配置PIT用户通过一定的信令或加密形式向OVPN服务提供商发起配置PIT请求，该请求通过提供商网络计费系统或其他身份认证系统的认证，同时在得到该VPN用户端准入控制系统授权后，服务提供商根据该用户请求在其相连PE上为其进行PIT配置；用户需要真正逻辑通道时，通过用户网络接口向网络服务商实时发起“建立OVPN逻辑通道”请求，按需建立VPN链路。该方法使用户能够直接通过信令按需实时地完成从配置PIT到最终建立OVPN逻辑链路一系列操作，通过信令动态实时地加入或退出OVPN。文档编号H04Q11/00GK101599964SQ20091005975公开日2009年12月9日申请日期2009年6月25日优先权日2009年6月25日发明者彭云峰,江坤俊,隆克平申请人:电子科技大学