说明书一种VPN业务的接入方法及网络设备
技术领域
本发明涉及通信技术,尤其是涉及一种VPN业务的接入方法及网络设备。
背景技术
虚拟专用网(英文:Virtual Private Network,简称:VPN)是在公共数 据网络上构建专用网络的技术,这些专用网络互相隔离,一个专用网络的数 据不会传输到另一个专用网络中。而为了使得用户站点之间利用VPN进行数 据传输,需要首先将用户站点接入VPN业务。
目前将用户站点接入VPN业务的通常做法是,运营商和用户人工协商出 需要接入所述VPN业务的所有用户站点,之后对每个所述用户站点分别连接 的边缘设备进行人工配置,从而将每个所述用户站点都接入所述VPN业务。
然而,由于用户站点接入VPN业务时需要对该用户站点连接的边缘设备 进行配置,必然会占用边缘设备的资源,而上述接入方式中,由于不能实现 用户站点按需接入VPN业务,也就是说即使用户站点接入VPN业务后无法 传输数据,所述运营商也仍然会将该用户站点接入VPN业务,从而造成了资 源浪费。
发明内容
本发明解决的技术问题在于提供一种VPN业务的接入方法及网络设备, 以实现用户站点按需接入VPN业务,从而减少资源浪费。
为此,本发明解决技术问题的技术方案是:
第一方面,本发明提供了一种虚拟专用网VPN业务的接入方法,包括:
网络设备接收第一边缘设备发送的第一接入请求,所述第一接入请求用 于请求将所述第一边缘设备连接的第一用户站点接入所述VPN业务;
所述网络设备确定出有第二用户站点请求接入所述VPN业务;
所述网络设备配置所述第一边缘设备和与所述第二用户站点连接的第二 边缘设备,以将所述第一用户站点和所述第二用户站点接入所述VPN业务。
在第一方面的第一种可能的实现方式中,所述网络设备配置所述第一边 缘设备和与所述第二用户站点连接的第二边缘设备,以将所述第一用户站点 和所述第二用户站点接入所述VPN业务,包括:
所述网络设备部署从所述第一边缘设备至所述第二边缘设备的第一VPN 隧道,以及部署从所述第二边缘设备至所述第一边缘设备的第二VPN隧道,所 述第一VPN隧道的头端与所述第一端口关联,所述第一VPN隧道的尾端与 所述第二端口关联,所述第二VPN隧道的头端与所述第二端口关联,所述第 二VPN隧道的尾端与所述第一端口关联,所述第一端口为所述第一边缘设备 上与所述第一用户站点连接的端口,所述第二端口为所述第二边缘设备上与 所述第二用户站点连接的端口。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实 现方式中,还包括:
所述网络设备接收第三边缘设备发送的第二接入请求,所述第二接入请 求用于请求将所述第三边缘设备连接的第三用户站点接入所述VPN业务;
所述网络设备确定出有所述第一用户站点和所述第二用户站点接入所述 VPN业务;
所述网络设备部署从所述第一边缘设备至所述第三边缘设备的第三VPN 隧道,以及部署从所述第三边缘设备至所述第一边缘设备的第四VPN隧道,所 述第三VPN隧道的头端与所述第一端口关联,所述第三VPN隧道的尾端与 第三端口关联,所述第四VPN隧道的头端与所述第三端口关联,所述第四 VPN隧道的尾端与所述第一端口关联,所述第三端口为所述第三边缘设备上 与所述第三用户站点连接的端口;
所述网络设备部署从所述第二边缘设备至所述第三边缘设备的第五VPN 隧道,以及部署从所述第三边缘设备至所述第二边缘设备的第六VPN隧道,所 述第五VPN隧道的头端与所述第二端口关联,所述第五VPN隧道的尾端与 所述第三端口关联,所述第六VPN隧道的头端与所述第三端口关联,所述第 六VPN隧道的尾端与所述第二端口关联。
结合第一方面的第一种或第二种可能的实现方式,在第一方面的第三种 可能的实现方式中,所述方法还包括:
所述网络设备为所述VPN业务分配VPN隧道标识;
所述网络设备部署从所述第一边缘设备至所述第二边缘设备的第一VPN 隧道,以及部署从所述第二边缘设备至所述第一边缘设备的第二VPN隧道,包 括:
所述网络设备向所述第一边缘设备发送第一配置参数,所述第一配置参 数包括:所述VPN隧道标识、所述第一端口的端口标识、和所述第二边缘设 备的设备标识;
所述网络设备向所述第二边缘设备发送第二配置参数,所述第二配置参 数包括:所述VPN隧道标识、所述第二端口的端口标识、和所述第一边缘设 备的设备标识。
结合第一方面的第一种或第二种可能的实现方式,在第一方面的第四种 可能的实现方式中,所述网络设备部署从所述第一边缘设备至所述第二边缘 设备的第一VPN隧道,以及部署从所述第二边缘设备至所述第一边缘设备的 第二VPN隧道,包括:
所述网络设备向控制器发送部署所述第一VPN隧道和所述第二VPN隧 道的请求,所述部署所述第一VPN隧道和所述第二VPN隧道的请求中包括 所述第一端口的端口标识、所述第二端口的端口标识、所述第一边缘设备的 设备标识以及所述第二边缘设备的设备标识。
结合第一方面的第一种至第四种任一种可能的实现方式,在第一方面的 第五种可能的实现方式中,还包括:
所述网络设备接收所述第一边缘设备发送的第一退出请求或者所述第二 边缘设备发送的第二退出请求,所述第一退出请求用于请求将所述第一用户 站点退出所述VPN业务,所述第二退出请求用于请求将所述第二用户站点退 出所述VPN业务;
所述网络设备撤销所述第一VPN隧道和所述第二VPN隧道。
结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实 现方式中,还包括:
所述网络设备获取用于表示所述第一VPN隧道和所述第二VPN隧道的 部署时间的相关信息;
所述网络设备将所述相关信息发送至计费设备。
结合第一方面的第一种至第六种任一种可能的实现方式,在第一方面的 第七种可能的实现方式中,所述第一接入请求还包括所述第一用户站点请求 接入所述VPN业务的账号;
所述方法还包括:
所述网络设备获取所述账号对应的服务质量QoS;
所述网络设备部署从所述第一边缘设备至所述第二边缘设备的第一VPN 隧道,包括:
所述网络设备基于所述账号对应的QoS,部署从所述第一边缘设备至所 述第二边缘设备的所述第一VPN隧道。
结合第一方面、第一方面的第一种至第七种任一种可能的实现方式,在 第一方面的第八种可能的实现方式中,还包括:
所述网络设备接收所述第一接入请求后,存储所述第一用户站点请求接入 所述VPN业务的信息;
所述网络设备确定出有第二用户站点请求接入所述VPN业务,包括:
所述网络设备确定出存储有所述第二用户站点请求接入所述VPN业务的 信息。
结合第一方面、第一方面的第一种至第八种任一种可能的实现方式,在 第一方面的第九种可能的实现方式中,还包括:
所述第一边缘设备在接收所述第一用户站点的上线请求后,向所述网络 设备发送所述第一接入请求。
第二方面,本发明提供了一种网络设备,包括:
接收单元,用于接收第一边缘设备发送的第一接入请求,所述第一接入 请求用于请求将所述第一边缘设备连接的第一用户站点接入虚拟专用网VPN 业务;
处理单元,用于当所述接收单元接收到所述第一接入请求时,确定出有 第二用户站点请求接入所述VPN业务,配置所述第一边缘设备和与所述第二 用户站点连接的第二边缘设备,以将所述第一用户站点和所述第二用户站点 接入所述VPN业务。
在第二方面的第一种可能的实现方式中,当配置所述第一边缘设备和与 所述第二用户站点连接的第二边缘设备,以将所述第一用户站点和所述第二 用户站点接入所述VPN业务时,所述处理单元具体用于部署从所述第一边缘 设备至所述第二边缘设备的第一VPN隧道,以及部署从所述第二边缘设备至 所述第一边缘设备的第二VPN隧道,所述第一VPN隧道的头端与所述第一端 口关联,所述第一VPN隧道的尾端与所述第二端口关联,所述第二VPN隧 道的头端与所述第二端口关联,所述第二VPN隧道的尾端与所述第一端口关 联,所述第一端口为所述第一边缘设备上与所述第一用户站点连接的端口, 所述第二端口为所述第二边缘设备上与所述第二用户站点连接的端口。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实 现方式中,所述接收单元还用于,接收第三边缘设备发送的第二接入请求, 所述第二接入请求用于请求将所述第三边缘设备连接的第三用户站点接入所 述VPN业务;
所述处理单元还用于,当所述接收单元接收到所述第二接入请求时,确 定出有所述第一用户站点和所述第二用户站点接入所述VPN业务,部署从所 述第一边缘设备至所述第三边缘设备的第三VPN隧道,部署从所述第三边缘 设备至所述第一边缘设备的第四VPN隧道,部署从所述第二边缘设备至所述 第三边缘设备的第五VPN隧道,以及部署从所述第三边缘设备至所述第二边 缘设备的第六VPN隧道;
所述第三VPN隧道的头端与所述第一端口关联,所述第三VPN隧道的 尾端与第三端口关联,所述第四VPN隧道的头端与所述第三端口关联,所述 第四VPN隧道的尾端与所述第一端口关联,所述第五VPN隧道的头端与所 述第二端口关联,所述第五VPN隧道的尾端与所述第三端口关联,所述第六 VPN隧道的头端与所述第三端口关联,所述第六VPN隧道的尾端与所述第二 端口关联,所述第三端口为所述第三边缘设备上与所述第三用户站点连接的 端口。
结合第二方面的第一种或第二种可能的实现方式,在第二方面的第三种 可能的实现方式中,还包括:发送单元;
所述处理单元还用于,为所述VPN业务分配VPN隧道标识;
当在部署从所述第一边缘设备至所述第二边缘设备的第一VPN隧道,以 及部署从所述第二边缘设备至所述第一边缘设备的第二VPN隧道时,所述处 理单元具体用于通过所述发送单元向所述第一边缘设备发送第一配置参数, 以及通过所述发送单元向所述第二边缘设备发送第二配置参数;
所述第一配置参数包括:所述VPN隧道标识、所述第一端口的端口标识、 和所述第二边缘设备的设备标识;所述第二配置参数包括:所述VPN隧道标 识、所述第二端口的端口标识、和所述第一边缘设备的设备标识。
结合第二方面的第一种或第二种可能的实现方式,在第二方面的第四种 可能的实现方式中,还包括:发送单元;
当在部署从所述第一边缘设备至所述第二边缘设备的第一VPN隧道,以 及部署从所述第二边缘设备至所述第一边缘设备的第二VPN隧道时,所述处 理单元具体用于通过所述发送单元向控制器发送部署所述第一VPN隧道和所 述第二VPN隧道的请求,所述部署所述第一VPN隧道和所述第二VPN隧道 的请求中包括所述第一端口的端口标识、所述第二端口的端口标识、所述第 一边缘设备的设备标识以及所述第二边缘设备的设备标识。
结合第二方面的第一种至第四种任一种可能的实现方式,在第二方面的 第五种可能的实现方式中,所述接收单元还用于,接收所述第一边缘设备发 送的第一退出请求或者所述第二边缘设备发送的第二退出请求,所述第一退 出请求用于请求将所述第一用户站点退出所述VPN业务,所述第二退出请求 用于请求将所述第二用户站点退出所述VPN业务;
所述处理单元还用于,所述接收单元接收到所述第一退出请求或者所述 第二退出请求时,撤销部署的所述第一VPN隧道和所述第二VPN隧道。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实 现方式中,还包括:发送单元;
所述处理单元还用于,获取用于表示所述第一VPN隧道和所述第二VPN 隧道的部署时间的相关信息;
所述发送单元,用于将所述相关信息发送至计费设备。
结合第二方面的第一种至第六种任一种可能的实现方式,在第二方面的 第七种可能的实现方式中,所述第一接入请求还包括所述第一用户站点请求 接入所述VPN业务的账号;
所述处理单元还用于,获取所述账号对应的服务质量QoS;
当部署从所述第一边缘设备至所述第二边缘设备的第一VPN隧道时,所 述处理单元具体用于基于所述账号对应的QoS,部署从所述第一边缘设备至 所述第二边缘设备的所述第一VPN隧道。
结合第二方面、第二方面的第一种至第七种任一种可能的实现方式,在 第二方面的第八种可能的实现方式中,所述处理单元还用于,当所述接收单 元接收所述第一接入请求时,存储所述第一用户站点请求接入所述VPN业务 的信息;
当确定出有第二用户站点请求接入所述VPN业务时,所述处理单元具体 用于确定出存储有所述第二用户站点请求接入所述VPN业务的信息。
结合第二方面、第二方面的第一种至第八种任一种可能的实现方式,在 第二方面的第九种可能的实现方式中,所述第一边缘设备为接收所述第一用 户站点的上线请求后,向所述网络设备发送所述第一接入请求的设备。
通过上述技术方案可知,本发明中网络设备接收用于请求将第一用户站 点接入VPN业务的第一接入请求时,并不直接将所述第一用户站点接入所述 VPN业务,而是确定出有与所述第一用户站点不同的第二用户站点请求接入 所述VPN业务,即说明所述第一用户站点接入所述VPN业务后能够与所述 第二用户站点传输数据时,配置与所述第一用户站点连接的第一边缘设备和 与所述第二用户站点连接的第二边缘设备,以将所述第一用户站点和所述第 二用户站点接入所述VPN业务。可见本发明中当确定出所述第一用户站点接 入VPN业务后能够与所述第二用户站点传输数据时,才将所述第一用户站点 和所述第二用户站点接入所述VPN业务,即实现了所述第一用户站点按需接 入所述VPN业务,从而尽可能地避免占用了所述第一边缘设备的资源但是所 述第一用户站点却不能传输数据的情况出现,因此减少了资源浪费。
附图说明
图1为本发明提供的一种方法实施例的流程示意图;
图2为本发明实施例用于的一种网络拓扑;
图3为本发明提供的另一种方法实施例的流程示意图;
图4为本发明实施例用于的另一种网络拓扑;
图5为控制器获取的第一VPN隧道的一种具体路径;
图6为本发明提供的网络设备的一种装置实施例的结构示意图;
图7为本发明提供的网络设备的另一种装置实施例的结构示意图;
图8为本发明提供的网络设备的另一种装置实施例的结构示意图。
具体实施方式
为了使得用户站点之间利用VPN进行数据传输,需要首先将用户站点接 入VPN业务。其中,用户站点是用户侧设备,每个用户站点一般都通过物理 连接方式与运营商的边缘设备进行连接,而运营商的边缘设备之间可以通过 骨干网络传输数据。
目前将用户站点接入VPN业务的通常做法是,运营商和用户人工协商出 需要接入所述VPN业务的所有用户站点,当所有用户站点确定后,对每个所 述用户站点分别连接的边缘设备进行人工配置,从而将每个所述用户站点都 接入所述VPN业务。
然而,发明人经过研究发现,由于用户站点接入VPN业务时需要对该用 户站点连接的边缘设备进行配置,必然会占用边缘设备的资源,而上述接入 方式中,由于不能实现用户站点按需接入VPN业务,也就是说即使用户站点 接入VPN业务也无法传输数据,所述运营商也仍然会将该用户站点接入VPN 业务。导致即使占用了该用户站点连接的边缘设备的资源,该用户站点也不 能传输数据,从而造成了资源浪费。下面通过一个例子加以说明,假设共有3 个用户站点:用户站点01、用户站点02和用户站点03,如果用户站点02 和用户站点03处于离线状态或者没有接入VPN业务,那么即使用户站点01 接入上述VPN业务,用户站点01也无法与用户站点02和用户站点03传输 数据,但是由于上述接入方式中仍然会对用户站点01连接的边缘设备进行配 置以使其接入上述VPN业务中,从而造成了资源浪费。
而在本发明实施例中,提供一种VPN业务的接入方法及网络设备,以实 现用户站点按需接入VPN业务,从而降低资源浪费。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创 造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三” “第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应 该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够 以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有” 以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列或 单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些或单元, 而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其 它或单元。
请参阅图1,本发明实施例提供了VPN业务的接入方法的一种方法实施 例。
为了更好的理解本发明实施例的技术方案,下面通过图2说明本实施例 所用于的一种可选的网络拓扑。需要说明的是,图2仅为一种示例性的说明, 其具体结构并不会对本发明实施例起到限制作用。
如图2所示,第一边缘设备和第二边缘设备属于运营商的边缘设备,通 过骨干网络相连。所述第一边缘设备通过物理连接的方式与第一用户站点连 接,在本领域中,也可以称所述第一用户站点附着在所述第一边缘设备上。 其中,所述第一边缘设备上与所述第一用户站点连接的第一端口可以称为所 述第一用户站点的接入端口。与之类似,所述第二边缘设备与第二用户站点 连接,所述第二边缘设备上与所述第二用户站点连接的第二端口可以称为所 述第二用户站点的接入端口。所述第一用户站点和所述第二用户站点的VPN 数据,需要利用所述第一边缘设备、所述骨干网络以及所述第二边缘设备进 行传输。需要说明的是,在本发明的图2和图4中,实线表示物理连接,虚 线表示逻辑关系,即表示设备之间交互的是控制信息。
本实施例的所述方法包括:
101:网络设备接收所述第一边缘设备发送的第一接入请求,所述第一接 入请求用于请求将所述第一边缘设备连接的所述第一用户站点接入所述VPN 业务。
在本发明实施例中,可以是由所述第一边缘设备确定出所述第一用户站 点需要接入所述VPN业务时,例如接收到所述第一用户站点的上线请求后, 向所述网络设备发送所述第一接入请求。其中,本实施例还可以包括所述第 一边缘设备接收所述第一用户站点的上线请求后,向所述网络设备发送所述 第一接入请求。
在具体实现时,用户可以预先申请开通所述VPN业务,例如用户可以在 运营商的网站上申请开通所述VPN业务。其中所述VPN业务可以对应一个 注册账号,也可以对应多个注册账号。所述网络设备保存开通的所述VPN业 务和注册账号的对应关系。当所述VPN业务开通后,用户可以向所述第一边 缘设备发送包括注册账号的上线请求,所述第一边缘设备根据所述上线请求 中的注册账号确定出所述第一用户站点需要接入所述VPN业务,从而向所述 网络设备发送所述第一接入请求。其中,所述第一边缘设备还可以将该注册 账号发送至认证设备进行认证,认证通过后再发送所述第一接入请求。
在本发明实施例中,所述第一接入请求中可以包括所述第一用户站点的 标识和所述VPN业务的标识。其中,所述第一用户站点的标识具体可以为所 述第一端口的端口标识。所述VPN业务的标识具体可以由所述网络设备进行 分配。其中第一接入请求可以包括在计费抄送信息中发生至所述网络设备。
102:所述网络设备确定出有所述第二用户站点请求接入所述VPN业务。 其中,所述第二用户站点为与所述第一用户站点不同的用户站点。
在本发明实施例中,当所述网络设备接收所述第一接入请求后,并不是 直接将所述第一用户站点接入所述VPN业务,而是进一步确定是否有与所述 第一用户站点不同的所述第二用户站点接入所述VPN业务,如果是,则表示 所述网络设备确定出有所述第二用户站点请求接入所述VPN业务。
若所述网络设备确定出有所述第二用户站点请求接入所述VPN业务,表 示所述第一用户站点和所述第二用户站点都请求接入所述VPN业务,此时说 明将所述第一用户站点和所述第二用户站点接入所述VPN业务后,所述第一 用户站点能够与所述第二用户站点传输数据。
需要说明的是,本发明实施例中,所述第二用户站点指的是与所述第一 用户站点不同的任一用户站点。即本中所述网络设备确定出有与所述第一用 户站点不同的任一用户站点接入所述VPN业务时,将所述任一用户站点作为 所述第二用户站点。
103:所述网络设备配置所述第一边缘设备和与所述第二用户站点连接的 所述第二边缘设备,以将所述第一用户站点和所述第二用户站点接入所述 VPN业务。
在本发明实施例中,当所述网络设备确定出有与所述第一用户站点不同 的所述第二用户站点请求接入所述VPN业务,能够进一步确定出所述第一用 户站点接入所述VPN业务后能够与所述第二用户站点传输数据,因此配置所 述第一边缘设备和所述第二边缘设备,从而将所述第一用户站点和所述第二 用户站点接入所述VPN业务。
可选的,本实施例中还包括:若所述网络设备确定出没有除所述第一用 户站点之外的用户站点接入所述VPN业务,说明所述第一用户站点接入所述 VPN业务后也不能传输数据时,则并不执行103,而是可以直接结束本实施 例的流程,也可以在预设周期之后,重新确定是否有与所述第一用户站点不 同的所述第二用户站点接入所述VPN业务。
通过上述技术方案可知,本发明实施例中的所述网络设备接收用于请求 将所述第一用户站点接入所述VPN业务的所述第一接入请求时,并不直接将 所述第一用户站点接入所述VPN业务,而是确定出有与所述第一用户站点不 同的所述第二用户站点请求接入所述VPN业务,即说明所述第一用户站点接 入所述VPN业务后能够与所述第二用户站点传输数据时,配置与所述第一用 户站点连接的所述第一边缘设备和与所述第二用户站点连接的所述第二边缘 设备,以将所述第一用户站点和所述第二用户站点接入所述VPN业务。可见 本发明中当确定出所述第一用户站点接入VPN业务后能够与所述第二用户站 点传输数据时,才将所述第一用户站点和所述第二用户站点接入所述VPN业 务,即实现了所述第一用户站点按需接入所述VPN业务,从而尽可能地避免 占用了所述第一边缘设备的资源但是所述第一用户站点却不能传输数据的情 况出现,因此减少了资源浪费。
在本发明实施例中,所述网络设备可以是协同设备、编排设备(英文: orchetrator)、网管设备等具有协同管理功能的设备。所述第一边缘设备和所 述第二边缘设备可以为宽带网络网关(英文:Broadband Network Gateway, 简称BNG)。所述第一用户站点和所述第二用户站点可以为用户驻地设备(简 称:CPE)。
在本发明实施例中,所述网络设备接收到所述第一边缘设备发送的所述 第一接入请求,还可以存储所述第一用户站点请求接入所述VPN业务的信息, 例如具体存储所述VPN业务和所述第一端口的端口标识的对应关系,当再次 接收其他边缘设备发送的接入请求后,就可以根据存储的所述信息确定出有 所述第一用户站点接入所述VPN业务的信息。因此,102中的所述网络设备 确定出有第二用户站点请求接入所述VPN业务,可以包括:所述网络设备确 定出存储有所述第二用户站点请求接入所述VPN业务的信息。
在本发明实施例中,所述网络设备接收所述第一接入请求,并且确定出 有所述第二用户站点请求接入所述VPN业务时,配置所述第一边缘设备和所 述第二边缘设备,以将所述第一用户站点和所述第二用户站点接入所述VPN 业务。其中所述网络设备在配置所述第一边缘设备和所述第二边缘设备时, 可以有两种配置方式,第一种配置方式是将所述第一用户站点和所述第二用 户站点独立接入所述VPN业务,即每个用户站点接入所述VPN业务后并不 获知其他接入所述VPN业务的用户设备。第二种配置方式是通过在所述第一 用户站点和所述第二用户站点之间部署VPN隧道的方式,将所述第一用户站 点和所述第二用户站点接入所述VPN业务。下面分别介绍这两种配置方式。
第一种配置方式:所述网络设备可以对所述第一边缘设备和所述第二边 缘设备分别配置,使得所述第一用户站点和所述第二用户站点独立接入所述 VPN业务。
例如,所述网络设备向所述第一边缘设备发送配置参数,该配置参数仅 包括用于将所述第一用户站点接入所述VPN业务的配置参数,例如所述第一 端口的端口标识,而不包括与所述第二用户站点相关的配置参数。其中所述 第一端口的端口标识可以从所述第一接入请求中获取。在一些场景下,所述 网络设备还可以向所述第一边缘设备发送:所述网络设备为所述第一用户站 点分配的第一路由目标参数(英文:Route Target,简称:RT)和第一路由区 分符参数(英文:Route Ditinguiher,简称:RD)。类似地,所述网络设备向 所述第二边缘设备发送的配置参数,也仅包括用于将所述第二用户站点接入 所述VPN业务的配置参数,例如第二端口的端口标识,而不包括与所述第一 用户站点相关的配置参数。其中所述第二端口的端口标识可以从用于请求将 所述第二用户站点接入所述VPN业务的接入请求中获取。在一些场景下,所 述网络设备还可以向所述第二边缘设备发送:所述网络设备为所述第二用户 站点分配的第二RT和第二RD。所述第一边缘设备和所述第二边缘设备根据 所述网络设备发送的配置参数,分别将所述第一边缘设备和所述第二边缘设 备独立接入所述VPN业务。
第二种配置方式:实际上,在一些场景下,例如用户申请所述VPN业务 时设定所述VPN业务为点到点的业务类型时,可以采用上述第二种配置方式, 即通过在所述第一边缘设备和所述第二边缘设备之间部署VPN隧道的方式接 入所述VPN业务。下面通过一个实施例加以具体说明。
请参阅图3,本发明实施例提供了VPN业务的接入方法的另一种方法实 施例。与其他实施例的不同的是,本实施例重点说明通过在所述第一边缘设 备和所述第二边缘设备之间部署VPN隧道的方式接入所述VPN业务。
本实施例的所述方法包括301至303,其中301和302与图1所示实施例 的101和102相类似,因此描述较为简单,相关之处请参见图1所示的实施 例。本实施例重点描述303。
301:所述网络设备接收所述第一边缘设备发送的第一接入请求,所述第 一接入请求用于请求将所述第一边缘设备连接的所述第一用户站点接入所述 VPN业务。
302:所述网络设备确定出有所述第二用户站点请求接入所述VPN业务, 所述第二用户站点为与所述第一用户站点不同的用户站点。
303:所述网络设备部署从所述第一边缘设备至所述第二边缘设备的第一 VPN隧道,以及部署从所述第二边缘设备至所述第一边缘设备的第二VPN隧 道。
其中,所述第一VPN隧道的头端与所述第一端口关联,所述第一VPN 隧道的尾端与所述第二端口关联,所述第二VPN隧道的头端与所述第二端口 关联,所述第二VPN隧道的尾端与所述第一端口关联。所述第一端口为所述 第一边缘设备上与所述第一用户站点连接的端口,即所述第一用户站点的接 入端口,所述第二端口为所述第二边缘设备上与所述第二用户站点连接的端 口,即所述第二用户站点的接入端口。
下面介绍本发明实施例中,VPN隧道的头端或者尾端与端口关联的一种 实现方式。所述第一VPN隧道的头端与所述第一端口关联,可以具体表现为 在所述第一边缘设备上存储所述第一端口和所述第一VPN隧道的映射关系, 从而使得所述第一边缘设备根据该映射关系,将从所述第一端口接收到的数 据通过所述第一VPN隧道进行传输。所述第一VPN隧道的尾端与所述第二 端口关联,可以具体表现为在所述第二边缘设备上存储所述第二端口和所述 第一VPN隧道的映射关系,从而使得所述第二边缘设备根据该映射关系,将 所述第一VPN隧道传输的数据向所述第二端口输出。
类似地,所述第二VPN隧道的头端与所述第二端口关联,所述第二VPN 隧道的尾端与所述第一端口关联也可以具体表现为上述实现方式,这里不再 赘述。
由于在本发明实施例中,所述网络设备接收到所述第一接入请求后,并 不是直接将所述第一用户站点接入所述VPN业务,而是确定是否有所述第二 用户站点请求接入所述VPN业务,如果是,则所述网络设备实际上获取到接 入所述VPN业务的两个用户站点,所述网络设备可以通过部署所述第一VPN 隧道和所述第二VPN隧道的方式将该两个用户站点接入所述VPN业务。
可见,本实施例介绍了所述第二种配置方式的实现方式,即通过在所述 第一边缘设备和所述第二边缘设备之间部署所述第一VPN隧道和所述第二 VPN隧道,将所述第一用户站点和所述第二用户站点接入了所述VPN业务。 实际上,所述第一VPN隧道和所述第二VPN隧道是所述第一用户站点和所 述第二用户站点之间,已知对端的点到点VPN隧道,因此相比于所述第一种 配置方式,即,将所述第一用户站点和所述第二用户站点独立接入所述VPN 业务,所述第二种配置方式无需自动发现站点,因此无需运行复杂的发现协 议,对边缘设备的设备要求较低,并且出错率较低。
在本实施例中,在所述第一边缘设备和所述第二边缘设备之间部署所述 第一VPN隧道和所述第二VPN隧道后,若有其他的用户站点请求接入所述 VPN业务,则可以将其他的用户站点所连接的边缘设备,分别与所述第一边 缘设备和所述第二边缘设备部署VPN隧道。具体实现方式是,所述网络设备 接收第三边缘设备发送的第二接入请求,所述第二接入请求用于请求将所述 第三边缘设备连接的第三用户站点接入所述VPN业务;所述网络设备确定出 有所述第一用户站点和所述第二用户站点接入所述VPN业务;所述网络设备 部署从所述第一边缘设备至所述第三边缘设备的第三VPN隧道,以及部署从 所述第三边缘设备至所述第一边缘设备的第四VPN隧道,所述第三VPN隧道 的头端与所述第一端口关联,所述第三VPN隧道的尾端与第三端口关联,所 述第四VPN隧道的头端与所述第三端口关联,所述第四VPN隧道的尾端与 所述第一端口关联,所述第三端口为所述第三边缘设备上与所述第三用户站 点连接的端口;所述网络设备部署从所述第二边缘设备至所述第三边缘设备 的第五VPN隧道,以及部署从所述第三边缘设备至所述第二边缘设备的第六 VPN隧道,所述第五VPN隧道的头端与所述第二端口关联,所述第五VPN 隧道的尾端与所述第三端口关联,所述第六VPN隧道的头端与所述第三端口 关联,所述第六VPN隧道的尾端与所述第二端口关联。其中,端口与隧道的 头端或尾端关联的具体表现方式,具体请参见所述第一VPN隧道的头端与所 述第一端口关联,以及所述第二VPN隧道的尾端与所述第二端口关联的具体 表现方式。这里不再赘述。
需要说明的是,所述网络设备可以是通过直接配置所述第一边缘设备和 所述第二边缘设备以实现部署所述第一VPN隧道和所述第二VPN隧道,例 如向所述第一边缘设备和所述第二边缘设备发送配置参数。所述网络设备还 可以间接配置所述第一边缘设备和所述第二边缘设备,例如通过向其他设备 发送请求的方式,由其他设备部署所述第一VPN隧道和所述第二VPN隧道。 下面分别说明。
首先说明直接配置的方式。本实施例还可以包括:所述网络设备为所述 VPN业务分配VPN隧道标识。本实施例的303包括3031和3032。其中, VPN隧道标识用于唯一的表示VPN隧道。VPN隧道指的是用于承载VPN业 务的VPN隧道,例如可以为MPLS的LSP隧道、MPLS的TE隧道、L2TP 隧道、GRE隧道、IPSEC隧道等等,本发明实施例对此并不加以限定。
3031:所述网络设备向所述第一边缘设备发送第一配置参数,所述第一 配置参数包括:所述VPN隧道标识、所述第一端口的端口标识、和所述第二 边缘设备的设备标识。所述第二边缘设备的设备标识具体可以为所述第二边 缘设备的IP地址。
3032:所述网络设备向所述第二边缘设备发送第二配置参数,所述第二 配置参数包括:所述VPN隧道标识、所述第二端口的端口标识、和所述第一 边缘设备的设备标识。所述第一边缘设备的设备标识具体可以为所述第一边 缘设备的IP地址。
可见,在向所述第一边缘设备发送的所述第一配置参数中包括与所述第 二用户站点相关的配置参数:所述第二边缘设备的设备标识,并且向所述第 二边缘设备发送的所述第二配置参数中包括与所述第一用户站点相关的配置 参数:所述第一边缘设备的设备标识。其中所述第一边缘设备和所述第二边 缘设备根据所述第一配置参数和所述第二配置参数部署所述第一VPN隧道和 所述第二VPN隧道,可以根据目前任一种VPN隧道部署方式,本发明实施 例对此并不加以限定。在某些场景下,所述网络设备还可以向所述第一边缘 设备发送为所述第一用户站点分配的第一RT和第一RD,并向所述第二边缘 设备发送为所述第二用户站点分配的第二RT和第二RD。
下面说明间接配置的方式,具体由通过向其他设备发送请求部署所述第 一VPN隧道和所述第二VPN隧道。请参阅图4所示,本实施例的303具体 可以包括:所述网络设备向控制器401发送在所述第一边缘设备和所述第二 边缘设备之间部署所述第一VPN隧道和所述第二VPN隧道的请求,所述部 署所述第一VPN隧道和所述第二VPN隧道的请求中包括所述第一端口的端 口标识、所述第二端口的端口标识、所述第一边缘设备的设备标识以及所述 第二边缘设备的设备标识。所述部署所述第一VPN隧道和所述第二VPN隧 道的请求中还可以包括所述VPN业务的标识。
所述控制器401在接收到所述请求后,根据所述请求在所述第一边缘设 备和所述第二边缘设备之间部署所述第一VPN隧道和所述第二VPN隧道。 其中所述控制器401在部署所述第一VPN隧道和所述第二VPN隧道时,可 以根据所述第一边缘设备的设备标识以及所述第二边缘设备的设备标识获取 所述第一VPN隧道和所述第二VPN隧道的具体路径,即确定所述第一VPN 隧道和所述第二VPN隧道的途径设备。之后根据所述路径、所述第一端口的 端口标识和所述第二端口的端口标识,生成并为每个所述途径设备下发转发 表项,以使得每个所述途径设备根据所述转发表项传输数据。所述控制器401 可以为SDN控制器。
所述转发表项中可以包括所述控制器401分配的标签以及输出端口。下 面通过一个具体例子说明对所述第一VPN隧道的部署方式。如图5所示,所 述控制器401获取的所述第一VPN隧道的途径设备依次包括:BNG1、路由 器Router1、路由器Router2和BNG2。其中所述BNG1和所述BNG2分别 为所述第一边缘设备和所述第二边缘设备。
所述网络设备向所述控制器401发送的所述请求为:
port1/BNG1-->port2/BNG2
所述控制器401向所述BNG1发送的转发表项为:
port1-->port3,with Label100
所述控制器401向所述Router1发送的转发表项为:
port4with label 100-->port5with label 200
所述控制器401向所述Router2发送的转发表项为:
port6with label 200-->port7with labe 100
所述控制器401向所述BNG2发送的转发表项为:
port8with label 100-->port2
其中,所述port1为所述第一端口,所述port2为所述第二端口,所述port3 和port4为所述BNG1和所述Router1连接的端口,所述port5和port6为所 述Router1和所述Router2连接的端口,所述port7和port8为所述Router2 和所述BNG2连接的端口。
可见,通过所述控制器401向每个所述途径设备下发所述转发表项,实 现了在所述第一边缘设备和所述第二边缘设备之间部署所述第一VPN隧道。 其中,所述途径设备包括所述第一边缘设备和所述第二边缘设备。对所述第 二VPN隧道的部署方式,与对所述第一VPN隧道的部署方式类似,这里不 再赘述。
可选的,在本实施例中,由于所述VPN业务可以对应一个或多个账号, 而每个账号可以对应不同的QoS,因此在部署所述第一VPN隧道时,还可以 基于用户所使用的账号所对应的Qos。具体地,所述第一接入请求还包括所 述第一用户站点请求接入所述VPN业务的账号;本实施例还可以包括:所述 网络设备获取所述账号对应的QoS;所述网络设备部署从所述第一边缘设备 至所述第二边缘设备的第一VPN隧道包括:所述网络设备基于所述账号对应 的QoS,部署从所述第一边缘设备至所述第二边缘设备的第一VPN隧道。其 中,还可以进一步获取所述第二用户站点请求接入所述VPN业务的账号,并 且根据该账号对应的QoS部署所述第二VPN隧道。最终部署的所述第一VPN 隧道和所述第二VPN隧道可以具有不同的QoS。
进一步可选的,在本实施例中,部署所述第一VPN隧道和所述第二VPN 隧道时,还可以为所述第一VPN隧道和所述第二VPN隧道预留带宽,而当 所述第一用户站点或者所述第二用户站点需要退出所述VPN业务时,比如所 述第一用户站点或者所述第二用户站点请求离线时,还可以进一步撤销所述 第一VPN隧道和所述第二VPN隧道,以释放为所述第一VPN隧道和所述第 二VPN隧道预留的带宽。具体实现时,所述网络设备接收所述第一边缘设备 发送的第一退出请求或者所述第二边缘设备发送的第二退出请求,所述第一 退出请求用于请求将所述第一用户站点退出所述VPN业务,所述第二退出请 求用于请求将所述第二用户站点退出所述VPN业务;所述网络设备撤销所述 第一边缘设备和所述第二边缘设备之间部署的所述第一VPN隧道和所述第二 VPN隧道。
目前在对VPN业务进行计费时,由于不能实现按需接入VPN业务,因 此一般是根据开通的VPN业务的QoS进行计费。进一步可选的,在本实施 例中,由于实现了按需部署和撤销所述第一VPN隧道和所述第二VPN隧道, 因此可以根据所述第一VPN隧道和所述第二VPN隧道的部署时间,即所述 第一用户站点的接入VPN业务的实际时间进行计费。具体实现时,本实施例 还包括:所述网络设备获取用于表示所述第一VPN隧道和所述第二VPN隧 道的部署时间的相关信息;所述网络设备将所述相关信息发送至计费设备, 所述计费设备可以根据所述相关信息获取到所述第一VPN隧道和所述第二 VPN隧道的部署时间,从而根据所述部署时间进行计费。其中,所述相关信 息,具体可以为所述第一VPN隧道和所述第二VPN隧道的部署时间,或者 也可以为部署所述第一VPN隧道和所述第二VPN隧道的时刻和撤销所述第 一VPN隧道和所述第二VPN隧道的时刻,由所述计费设备根据该两个时刻 计算出所述第一VPN隧道和所述第二VPN隧道的部署时间。
上面对本发明实施例中的VPN业务的接入方法的实施例进行了描述,下 面将从模块化功能实体的角度对本发明实施例中的网络设备的装置实施例进 行描述。
请参阅图6,本发明实施例提供了网络设备600的一种装置实施例。
为了更好的理解本发明实施例的技术方案,下面通过图2说明本实施例 的所述网络设备所用于的一种可选的网络拓扑。需要说明的是,图2仅为一 种示例性的说明,其具体结构并不会对本发明实施例起到限制作用。如图2 所示,网络设备分别与第一边缘设备和第二边缘设备连接,所述第一边缘设 备和所述第二边缘设备属于运营商的边缘设备,通过骨干网络相连。所述第 一边缘设备通过物理连接的方式与第一用户站点连接。所述第二边缘设备通 过物理连接的与第二用户站点连接。
本实施例的所述网络设备600包括:接收单元601和处理单元602。
所述接收单元601,用于接收所述第一边缘设备发送的第一接入请求, 所述第一接入请求用于请求将所述第一边缘设备连接的所述第一用户站点接 入VPN业务。
在本发明实施例中,可以是由所述第一边缘设备确定出所述第一用户站 点需要接入所述VPN业务时,例如接收到所述第一用户站点的上线请求后, 向所述网络设备600发送所述第一接入请求。其中,所述第一边缘设备可以 为接收所述第一用户站点的上线请求后,向所述网络设备600发送所述第一 接入请求的设备。
在具体实现时,用户可以预先申请开通所述VPN业务,例如用户可以在 运营商的网站上申请开通所述VPN业务。其中所述VPN业务可以对应一个 注册账号,也可以对应多个注册账号。所述网络设备600保存开通的所述VPN 业务和注册账号的对应关系。当所述VPN业务开通后,用户可以向所述第一 边缘设备发送包括注册账号的上线请求,所述第一边缘设备根据所述上线请 求中的注册账号确定出所述第一用户站点需要接入所述VPN业务,从而向所 述网络设备600发送所述第一接入请求。其中,所述第一边缘设备还可以将 该注册账号发送至认证设备进行认证,认证通过后再发送所述第一接入请求。
在本发明实施例中,所述第一接入请求中可以包括所述第一用户站点的 标识和所述VPN业务的标识。其中,所述第一用户站点的标识具体可以为所 述第一端口的端口标识。所述VPN业务的标识具体可以由所述网络设备600 进行分配。
所述处理单元602,用于当所述接收单元601接收到所述第一接入请求 时,确定出有第二用户站点请求接入所述VPN业务。其中,所述第二用户站 点为与所述第一用户站点不同的用户站点。
在本发明实施例中,当所述接收单元601接收所述第一接入请求后,所 述处理单元602并不是直接将所述第一用户站点接入所述VPN业务,而是进 一步确定是否有与所述第一用户站点不同的所述第二用户站点接入所述VPN 业务,如果是,则表示所述处理单元602确定出有所述第二用户站点请求接 入所述VPN业务。
若所述处理单元602确定出有所述第二用户站点请求接入所述VPN业 务,表示所述第一用户站点和所述第二用户站点都请求接入所述VPN业务, 此时说明将所述第一用户站点和所述第二用户站点接入所述VPN业务后,所 述第一用户站点能够与所述第二用户站点传输数据。
需要说明的是,本发明实施例中,所述第二用户站点指的是与所述第一 用户站点不同的任一用户站点。即所述处理单元602具体用于确定出有与所 述第一用户站点不同的任一用户站点接入所述VPN业务时,将所述任一用户 站点作为所述第二用户站点。
所述处理单元602还用于,当确定出有所述第二用户站点请求接入所述 VPN业务时,配置所述第一边缘设备和与所述第二用户站点连接的所述第二 边缘设备,以将所述第一用户站点和所述第二用户站点接入所述VPN业务。
在本发明实施例中,当所述处理单元602确定出有与所述第一用户站点 不同的所述第二用户站点请求接入所述VPN业务,能够进一步确定出所述第 一用户站点接入所述VPN业务后能够与所述第二用户站点传输数据,因此配 置所述第一边缘设备和所述第二边缘设备,从而将所述第一用户站点和所述 第二用户站点接入所述VPN业务。
所述处理单元602还可以用于:若确定出没有除所述第一用户站点之外 的用户站点接入所述VPN业务,说明所述第一用户站点接入所述VPN业务 后也不能传输数据时,则不将所述第一用户站点接入所述VPN业务,而是可 以结束工作,也可以在预设周期之后,重新确定是否有与所述第一用户站点 不同的所述第二用户站点接入所述VPN业务。
通过上述技术方案可知,本发明实施例中的所述接收单元601接收用于 请求将所述第一用户站点接入所述VPN业务的所述第一接入请求时,所述处 理单元602并不直接将所述第一用户站点接入所述VPN业务,而是确定出有 与所述第一用户站点不同的所述第二用户站点请求接入所述VPN业务,即说 明所述第一用户站点接入所述VPN业务后能够与所述第二用户站点传输数据 时,配置与所述第一用户站点连接的所述第一边缘设备和与所述第二用户站 点连接的所述第二边缘设备,以将所述第一用户站点和所述第二用户站点接 入所述VPN业务。可见本发明中当确定出所述第一用户站点接入VPN业务 后能够与所述第二用户站点传输数据时,才将所述第一用户站点和所述第二 用户站点接入所述VPN业务,即实现了所述第一用户站点按需接入所述VPN 业务,从而尽可能地避免占用了所述第一边缘设备的资源但是所述第一用户 站点却不能传输数据的情况出现,因此减少了资源浪费。
在本发明实施例中,所述网络设备600可以是协同设备、编排设备、网 管设备等具有协同管理功能的设备。所述第一边缘设备和所述第二边缘设备 可以为BNG,所述第一用户站点和所述第二用户站点可以为CPE。
在本发明实施例中,当所述接收单元601接收到所述第一边缘设备发送 的所述第一接入请求时,所述处理单元602还可以用于存储所述第一用户站 点请求接入所述VPN业务的信息,例如具体存储所述VPN业务和所述第一 端口的端口标识的对应关系,当所述接收单元601再次接收其他边缘设备发 送的接入请求后,所述处理单元602就可以根据存储的所述信息确定出有所 述第一用户站点接入所述VPN业务的信息。因此,当确定出有第二用户站点 请求接入所述VPN业务时,所述处理单元602可以具体用于确定出存储有所 述第二用户站点请求接入所述VPN业务的信息。
在本发明实施例中,所述接收单元601接收所述第一接入请求,并且所 述处理单元602确定出有所述第二用户站点请求接入所述VPN业务时,所述 处理单元602配置所述第一边缘设备和所述第二边缘设备,以将所述第一用 户站点和所述第二用户站点接入所述VPN业务。其中所述处理单元602在配 置所述第一边缘设备和所述第二边缘设备时,可以有两种配置方式,第一种 配置方式是将所述第一用户站点和所述第二用户站点独立接入所述VPN业 务,即每个用户站点接入所述VPN业务后并不获知其他接入所述VPN业务 的用户设备。第二种配置方式是通过在所述第一用户站点和所述第二用户站 点之间部署VPN隧道的方式,将所述第一用户站点和所述第二用户站点接入 所述VPN业务。下面分别介绍这两种配置方式。
第一种配置方式:所述处理单元602可以对所述第一边缘设备和所述第 二边缘设备分别配置,使得所述第一用户站点和所述第二用户站点独立接入 所述VPN业务。
例如,所述网络设备600还可以包括发送单元,所述处理单元602通过 所述发送单元向所述第一边缘设备发送配置参数,该配置参数仅包括用于将 所述第一用户站点接入所述VPN业务的配置参数,例如所述第一端口的端口 标识,而不包括与所述第二用户站点相关的配置参数。其中所述第一端口的 端口标识可以从所述第一接入请求中获取。在一些场景下,所述处理单元602 还可以通过所述发送单元向所述第一边缘设备发送:所述网络设备600为所 述第一用户站点分配的第一RT和第一RD。类似地,所述处理单元602通过 所述发送单元向所述第二边缘设备发送的配置参数,也仅包括用于将所述第 二用户站点接入所述VPN业务的配置参数,例如所述第二端口的端口标识, 而不包括与所述第一用户站点相关的配置参数。其中所述第二端口的端口标 识可以从用于请求将所述第二用户站点接入所述VPN业务的接入请求中获 取。在一些场景下,所述处理单元602还可以通过所述发送单元向所述第二 边缘设备发送:所述网络设备600为所述第二用户站点分配的第二RT和第二 RD。所述第一边缘设备和所述第二边缘设备根据所述网络设备600发送的配 置参数,分别将所述第一边缘设备和所述第二边缘设备独立接入所述VPN业 务。
第二种配置方式:实际上,在一些场景下,例如用户申请所述VPN业务 时设定所述VPN业务为点到点的业务类型时,可以通过在所述第一边缘设备 和所述第二边缘设备之间部署VPN隧道的方式接入所述VPN业务。下面通 过一个实施例加以具体说明。
请参阅图7,本发明实施例提供了网络设备700的另一种装置实施例。与 其他实施例的不同的是,本实施例重点说明通过在所述第一边缘设备和所述 第二边缘设备之间部署VPN隧道的方式接入所述VPN业务。
本实施例的网络设备700包括:接收单元701和处理单元702。
所述接收单元701用于,接收所述第一边缘设备发送的第一接入请求, 所述第一接入请求用于请求将所述第一边缘设备连接的所述第一用户站点接 入所述VPN业务。
所述处理单元702用于,当所述接收单元701接收所述第一接入请求时, 确定出有所述第二用户站点请求接入所述VPN业务,所述第二用户站点为与 所述第一用户站点不同的用户站点。
所述接收单元701和所述处理单元702的以上功能与图6所示的实施例 中的所述接收单元601和所述处理单元602的相关功能类似,因此描述较为 简单,相关之处请参见图6所示的实施例。
所述处理单元702还用于,当确定出有所述第二用户站点请求接入所述 VPN业务时,部署从所述第一边缘设备至所述第二边缘设备的第一VPN隧道, 以及部署从所述第二边缘设备至所述第一边缘设备的第二VPN隧道。
其中,所述第一VPN隧道的头端与所述第一端口关联,所述第一VPN 隧道的尾端与所述第二端口关联,所述第二VPN隧道的头端与所述第二端口 关联,所述第二VPN隧道的尾端与所述第一端口关联。所述第一端口为所述 第一边缘设备上与所述第一用户站点连接的端口,即所述第一用户站点的接 入端口,所述第二端口为所述第二边缘设备上与所述第二用户站点连接的端 口,即所述第二用户站点的接入端口。
下面介绍本发明实施例中,VPN隧道的头端或者尾端与端口关联的一种 实现方式。所述第一VPN隧道的头端与所述第一端口关联,可以具体表现为 在所述第一边缘设备上存储所述第一端口和所述第一VPN隧道的映射关系, 从而使得所述第一边缘设备根据该映射关系,将从所述第一端口接收到的数 据通过所述第一VPN隧道进行传输。所述第一VPN隧道的尾端与所述第二 端口关联,可以具体表现为在所述第二边缘设备上存储所述第二端口和所述 第一VPN隧道的映射关系,从而使得所述第二边缘设备根据该映射关系,将 所述第一VPN隧道传输的数据向所述第二端口输出。
类似地,所述第二VPN隧道的头端与所述第二端口关联,所述第二VPN 隧道的尾端与所述第一端口关联也可以具体表现为上述实现方式,这里不再 赘述。
由于在本发明实施例中,所述接收单元701接收到所述第一接入请求后, 所述处理单元702并不是直接将所述第一用户站点接入所述VPN业务,而是 确定是否有所述第二用户站点请求接入所述VPN业务,如果是,则所述处理 单元702实际上获取到接入所述VPN业务的两个用户站点,所述处理单元 702可以通过部署所述第一VPN隧道和所述第二VPN隧道的方式将该两个 用户站点接入所述VPN业务。
可见,本实施例介绍所述第二种配置方式的实现方式,即通过在所述第 一边缘设备和所述第二边缘设备之间部署所述第一VPN隧道和所述第二 VPN隧道,将所述第一用户站点和所述第二用户站点接入了所述VPN业务。 实际上,所述第一VPN隧道和所述第二VPN隧道是所述第一用户站点和所 述第二用户站点之间,已知对端的点到点VPN隧道,因此相比于所述第一种 配置方式,即,将所述第一用户站点和所述第二用户站点独立接入所述VPN 业务,所述第二种配置方式无需自动发现站点,因此无需运行复杂的发现协 议,对边缘设备的设备要求较低,并且出错率较低。
在本实施例中,在所述第一边缘设备和所述第二边缘设备之间部署所述 第一VPN隧道和所述第二VPN隧道后,若有其他的用户站点请求接入所述 VPN业务,则可以将其他的用户站点所连接的边缘设备,分别与所述第一边 缘设备和所述第二边缘设备部署VPN隧道。具体实现方式是,所述接收单元 701还用于,接收第三边缘设备发送的第二接入请求,所述第二接入请求用 于请求将所述第三边缘设备连接的第三用户站点接入所述VPN业务;所述处 理单元702还用于,当所述接收单元701接收到所述第二接入请求时,确定 出有所述第一用户站点和所述第二用户站点接入所述VPN业务,部署从所述 第一边缘设备至所述第三边缘设备的第三VPN隧道,部署从所述第三边缘设 备至所述第一边缘设备的第四VPN隧道,部署从所述第二边缘设备至所述第 三边缘设备的第五VPN隧道,以及部署从所述第三边缘设备至所述第二边缘 设备的第六VPN隧道。所述第三VPN隧道的头端与所述第一端口关联,所 述第三VPN隧道的尾端与第三端口关联,所述第四VPN隧道的头端与所述 第三端口关联,所述第四VPN隧道的尾端与所述第一端口关联,所述第五 VPN隧道的头端与所述第二端口关联,所述第五VPN隧道的尾端与所述第三 端口关联,所述第六VPN隧道的头端与所述第三端口关联,所述第六VPN 隧道的尾端与所述第二端口关联。其中,端口与隧道的头端或尾端关联的具 体表现方式,具体请参见所述第一VPN隧道的头端与所述第一端口关联,以 及所述第二VPN隧道的尾端与所述第二端口关联的具体表现方式。这里不再 赘述。
需要说明的是,处理单元702可以是通过直接配置所述第一边缘设备和 所述第二边缘设备以实现部署所述第一VPN隧道和所述第二VPN隧道,例 如向所述第一边缘设备和所述第二边缘设备发送配置参数。处理单元702还 可以间接配置所述第一边缘设备和所述第二边缘设备,例如通过向其他设备 发送请求的方式,由其他设备部署所述第一VPN隧道和所述第二VPN隧道。 下面分别说明。
首先说明直接配置的方式。本实施例的所述网络设备700还包括发送单 元。所述处理单元702还用于,为所述VPN业务分配VPN隧道标识。其中, VPN隧道标识唯一的表示一条VPN隧道,VPN隧道指的是用于承载VPN业 务的VPN隧道。
当在所述第一边缘设备和所述第二边缘设备之间部署所述VPN业务的第 一VPN隧道和所述第二VPN隧道时,所述处理单元702具体用于通过所述 发送单元向所述第一边缘设备发送第一配置参数,以及通过所述发送单元向 所述第二边缘设备发送第二配置参数;所述第一配置参数包括:所述VPN隧 道标识、所述第一端口的端口标识、和所述第二边缘设备的设备标识;所述 第二配置参数包括:所述VPN隧道标识、所述第二端口的端口标识、和所述 第一边缘设备的设备标识。
可见,在向所述第一边缘设备发送的所述第一配置参数中包括与所述第 二用户站点相关的配置参数:所述第二边缘设备的设备标识,并且向所述第 二边缘设备发送的所述第二配置参数中包括与所述第一用户站点相关的配置 参数:所述第一边缘设备的设备标识。其中所述第一边缘设备和所述第二边 缘设备根据所述第一配置参数和所述第二配置参数部署所述第一VPN隧道和 所述第二VPN隧道,可以根据目前任一种VPN隧道部署方式,本发明实施 例对此并不加以限定。在某些场景下,所述处理单元702还可以用于通过所 述发送单元向所述第一边缘设备发送为所述第一用户站点分配的第一RT和 第一RD,并向所述第二边缘设备发送为所述第二用户站点分配的第二RT和 第二RD。
下面说明间接配置的方式,具体由通过向其他设备发送请求部署所述第 一VPN隧道和所述第二VPN隧道。本实施例的所述网络设备700还包括发 送单元,当在所述第一边缘设备和所述第二边缘设备之间部署所述VPN业务 的第一VPN隧道和所述第二VPN隧道时,所述处理单元702具体用于通过 所述发送单元向控制器发送在所述第一边缘设备和所述第二边缘设备之间部 署所述第一VPN隧道和所述第二VPN隧道的请求,所述部署所述第一VPN 隧道和所述第二VPN隧道的请求中包括所述第一端口的端口标识、所述第二 端口的端口标识、所述第一边缘设备的设备标识以及所述第二边缘设备的设 备标识。所述部署所述第一VPN隧道和所述第二VPN隧道的请求中还可以 包括:所述VPN业务的标识。
所述控制器在接收到所述请求后,根据所述请求在所述第一边缘设备和 所述第二边缘设备之间部署所述第一VPN隧道和所述第二VPN隧道。其中 所述控制器在部署所述第一VPN隧道和所述第二VPN隧道时,可以根据所 述第一边缘设备的设备标识以及所述第二边缘设备的设备标识获取所述第一 VPN隧道和所述第二VPN隧道的具体路径,即确定所述第一VPN隧道和所 述第二VPN隧道的途径设备。之后根据所述路径、所述第一端口的端口标识 和所述第二端口的端口标识,生成并为每个所述途径设备下发转发表项,以 使得每个所述途径设备根据所述转发表项传输数据。其中所述转发表项中可 以包括所述控制器401分配的标签以及输出端口。所述控制器与所述网络设 备700的连接关系可以如图4所示。所述控制器具体可以为SDN控制器。
可选的,在本实施例中,由于所述VPN业务可以对应一个或多个账号, 而每个账号可以对应不同的QoS,因此在部署所述第一VPN隧道时,还可以 基于用户所使用的账号所对应的Qos。具体地,所述第一接入请求还包括所 述第一用户站点请求接入所述VPN业务的账号;所述处理单元702还用于, 获取所述账号对应的QoS;当在部署从所述第一边缘设备至所述第二边缘设 备的第一VPN隧道时,所述处理单元702具体用于基于所述账号对应的QoS, 部署从所述第一边缘设备至所述第二边缘设备的第一VPN隧道。其中,所述 处理单元702还可以用于获取所述第二用户站点请求接入所述VPN业务的账 号,并且根据该账号对应的QoS部署所述第二VPN隧道。最终部署的所述 第一VPN隧道和所述第二VPN隧道可以具有不同的QoS。
进一步可选的,在本实施例中,部署所述第一VPN隧道和所述第二VPN 隧道时,还可以为所述第一VPN隧道和所述第二VPN隧道预留带宽,而当 所述第一用户站点或者所述第二用户站点需要退出所述VPN业务时,比如所 述第一用户站点或者所述第二用户站点请求离线时,还可以进一步撤销所述 第一VPN隧道和所述第二VPN隧道,以释放为所述第一VPN隧道和所述第 二VPN隧道预留的带宽。具体实现时,所述接收单元701还用于,接收所述 第一边缘设备发送的第一退出请求或者所述第二边缘设备发送的第二退出请 求,所述第一退出请求用于请求将所述第一用户站点退出所述VPN业务,所 述第二退出请求用于请求将所述第二用户站点退出所述VPN业务;所述处理 单元702还用于,所述接收单元701接收到所述第一退出请求或者所述第二 退出请求时,撤销所述第一边缘设备和所述第二边缘设备之间部署的所述第 一VPN隧道和所述第二VPN隧道。
目前在对VPN业务进行计费时,由于不能实现按需接入VPN业务,因 此一般是根据开通的VPN业务的QoS进行计费。进一步可选的,在本实施 例中,由于实现了按需部署和撤销所述第一VPN隧道和所述第二VPN隧道, 因此可以根据所述第一VPN隧道和所述第二VPN隧道的部署时间,即所述 第一用户站点的接入VPN业务的实际时间进行计费。具体实现时,本实施例 的所述网络设备700,还包括:发送单元;所述处理单元702还用于,获取 用于表示所述第一VPN隧道和所述第二VPN隧道的部署时间的相关信息; 所述发送单元,用于将所述相关信息发送至计费设备。其中,所述相关信息, 具体可以为所述第一VPN隧道和所述第二VPN隧道的部署时间,或者也可 以为部署所述第一VPN隧道和所述第二VPN隧道的时刻和撤销所述第一 VPN隧道和所述第二VPN隧道的时刻,由所述计费设备根据该两个时刻计算 出所述第一VPN隧道和所述第二VPN隧道的部署时间。
上面从模块化功能实体的角度对本发明实施例中的网络设备的装置实施 例进行描述。下面将从硬件处理的角度对本发明实施例中的网络设备的装置 实施例进行描述。
请参考图8,本发明实施例提供了网络设备的另一种装置实施例。本实施 例的网络设备800可以是微处理计算机。例如:所述网络设备800可以是通 用计算机、客户定制机、手机终端或平板机等便携设备中的一种。所述网络 设备800包括:处理器804、存储器806、通信接口802和总线808。所述处 理器804、所述存储器806和所述通信接口802通过所述总线808连接并完成 相互间的通信。
所述总线808可以是工业标准体系结构(Industry Standard Architecture, 简称为ISA)总线或外部设备互连(Peripheral Component,简称为PCI)总线 或扩展工业标准体系结构(Extended Industry Standard Architecture,简称为 EISA)总线等。所述总线808可以分为地址总线、数据总线、控制总线中的 一种或多种。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根 总线或一种类型的总线。
所述存储器806用于存储可执行程序代码,该程序代码包括计算机操作 指令。当所述网络设备800执行该程序代码时,所述网络设备800可以完成 图1或者图3所示的实施例的,也可以实现图6或者图7所示的实施例中网 络设备的所有功能。存储器806可以包含高速RAM(Ramdom Access Memory) 存储器。可选地,所述存储器806还可以还包括非易失性存储器(non-volatile memory)。例如所述存储器806可以包括磁盘存储器。
所述处理器804可以是一个中央处理器(Central Processing Unit,简称为 CPU),或者所述处理器804可以是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者所述处理器804可以是被配置成实施 本发明实施例的一个或多个集成电路。
所述通信接口802,用于执行图1和图3所示的实施例中的接收第一边缘 设备发送的第一接入请求,所述第一接入请求用于请求将所述第一边缘设备 连接的第一用户站点接入所述VPN业务。
所述处理器804,用于读取存储器806中存储的指令,从而执行图1和图 3所示的实施例中的确定出有第二用户站点请求接入所述VPN业务,所述第 二用户站点为与所述第一用户站点不同的用户站点,配置所述第一边缘设备 和与所述第二用户站点连接的第二边缘设备,以将所述第一用户站点和所述 第二用户站点接入所述VPN业务。
值得说明的是,本发明提供的网络设备的各功能单元,可以是基于图1 或者图3所示实施例的方法和图6或者图7所示实施例的装置所具备的功能 的具体实现,术语的定义和说明与图1、图3、图6和图7所示的实施例保持 一致,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描 述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应 过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和 方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示 意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可 以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个 系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间 的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合 或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作 为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方, 或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或 者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中, 也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单 元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单 元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售 或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本 发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的 全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个 存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分。 而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光 盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应 当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其 中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案 的本质脱离本发明各实施例技术方案的范围。