IP電信網(wǎng)系統(tǒng)中實現(xiàn)虛擬專網(wǎng)的方法

暫無

技術(shù)領(lǐng)域\n本發(fā)明涉及一種在IP電信網(wǎng)系統(tǒng)中實現(xiàn)虛擬專網(wǎng)(Virtual?Private Network，簡稱為VPN)的方法，屬于通信技術(shù)領(lǐng)域。\n背景技術(shù)\n為了方便網(wǎng)絡(luò)的運行和維護，降低網(wǎng)絡(luò)的運營管理費用，獲取良好 的經(jīng)濟收益，VPN一直是運營商十分看重的技術(shù)。在現(xiàn)有技術(shù)中，X.25網(wǎng) 中的閉合用戶群、幀中繼網(wǎng)中VPN、DDN中的VPN和ATM中的VPN一直是 運營商使用的重要技術(shù)手段。運營商利用VPN一般用于兩種場合：一是 用于建設(shè)運營商自己的業(yè)務(wù)網(wǎng)，為了安全、資源保證和可靠性，運營商 自己的業(yè)務(wù)網(wǎng)可建立在VPN的基礎(chǔ)上；另一種場合是為大客戶提供VPN， 用于大客戶建立其內(nèi)部網(wǎng)，由于網(wǎng)絡(luò)的運行和維護無須大客戶自己管理。 在方便了用戶的同時，運營商也可有很好的經(jīng)濟效益。在目前使用最普 遍的IP網(wǎng)中，VPN同樣得到運營商的青睞，也一直是技術(shù)研究的重點。 目前常用的VPN技術(shù)有MPLS?VPN和IPSec?VPN等。\n在IP網(wǎng)中實現(xiàn)VPN的技術(shù)已經(jīng)被國內(nèi)外運營商普遍使用。目前，采 用的主流技術(shù)是BGP?MPLS?VPN。但是，目前的IP網(wǎng)中所有的VPN技術(shù)都 有兩個致命的缺點：其一是只用優(yōu)先級技術(shù)來調(diào)控資源，VPN的資源不能 真正獨立；其二是VPN的可擴展性差，VPN數(shù)量不多、其規(guī)模不大時可用， VPN數(shù)量多、其規(guī)模大時就不能實現(xiàn)。顯然，這樣的VPN技術(shù)不能滿足運 營商的要求。\n電信網(wǎng)技術(shù)正處在根本性的轉(zhuǎn)型過程之中。人們逐漸認識到下一代的 電信網(wǎng)應(yīng)該采用基于分組交換技術(shù)和不面向連接工作方式的IP網(wǎng)。為此， 本發(fā)明人提出了IP電信網(wǎng)系統(tǒng)的技術(shù)構(gòu)想，并且申請了發(fā)明專利(專利申 請?zhí)枺?00410037641.0，專利申請日：2004年4月28日)。與現(xiàn)有的Internet 相比，該IP電信網(wǎng)系統(tǒng)由網(wǎng)絡(luò)本身提供信任度和安全機制，是一個安全 的可信任的網(wǎng)絡(luò)，并擁有電信網(wǎng)的高穩(wěn)定性、可靠性和高度的可管理性。 由于IP電信網(wǎng)系統(tǒng)采用特有的雙地址技術(shù)，并引入復(fù)址無連結(jié)數(shù)據(jù)網(wǎng)(以 下簡稱為NCT數(shù)據(jù)網(wǎng))和實現(xiàn)雙地址映射的地址映射設(shè)備ADT，從而導(dǎo)致 新的VPN技術(shù)。因此，在IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的技術(shù)手段與現(xiàn)有的 在IP網(wǎng)中實現(xiàn)VPN的技術(shù)手段有很大的不同。本發(fā)明即提供一種在該IP 電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的技術(shù)方案。\n發(fā)明內(nèi)容\n本發(fā)明的目的在于提供一種在IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的方法。\n為實現(xiàn)上述的發(fā)明目的，本發(fā)明采用下述的技術(shù)方案：\n一種在IP電信網(wǎng)系統(tǒng)中實現(xiàn)虛擬專網(wǎng)的方法，該方法由IP電信網(wǎng) 系統(tǒng)中組成復(fù)址無連接數(shù)據(jù)網(wǎng)的節(jié)點設(shè)備、網(wǎng)絡(luò)管理設(shè)備、地址映射設(shè) 備和邊緣關(guān)口設(shè)備配合實現(xiàn)，其特征在于包括如下步驟：\n用戶向所述網(wǎng)絡(luò)管理設(shè)備提出建立虛擬專網(wǎng)的申請，并提交建立該 虛擬專網(wǎng)所需的流量、流向表；\n所述網(wǎng)絡(luò)管理設(shè)備為接收的申請確定虛擬專網(wǎng)編號；\n所述地址映射設(shè)備生成包含所述虛擬專網(wǎng)編號的節(jié)點設(shè)備地址映射 表；\n所述網(wǎng)絡(luò)管理設(shè)備根據(jù)所述流量、流向表，向復(fù)址無連接數(shù)據(jù)網(wǎng)中 的所述節(jié)點設(shè)備或與之連接的所述邊緣關(guān)口設(shè)備發(fā)送鏈路資源配置命令 和虛擬專網(wǎng)配置命令，所述節(jié)點設(shè)備和邊緣關(guān)口設(shè)備在資源狀況允許的 條件下，接受所述鏈路資源配置命令和虛擬專網(wǎng)配置命令，建立虛擬專 網(wǎng)。\n其中，建立虛擬專網(wǎng)的過程中，所述網(wǎng)絡(luò)管理設(shè)備根據(jù)所述流量、 流向表計算出復(fù)址無連接數(shù)據(jù)網(wǎng)的相應(yīng)節(jié)點設(shè)備之間鏈路資源需求表， 并根據(jù)計算結(jié)果向復(fù)址無連接數(shù)據(jù)網(wǎng)中的所述節(jié)點設(shè)備發(fā)送包括虛擬專 網(wǎng)編號在內(nèi)的所述鏈路資源配置命令，據(jù)此建立虛擬專網(wǎng)。\n更具體的，還包括如下步驟：\n(1)所述建立虛擬專網(wǎng)的過程中，復(fù)址無連接數(shù)據(jù)網(wǎng)中的所述節(jié)點設(shè) 備根據(jù)自有資源狀況作出響應(yīng)；\n(2)資源狀況是否許可？\n(3)如果資源狀況不足以支持建立虛擬專網(wǎng)，則復(fù)址無連接數(shù)據(jù)網(wǎng)中 的所述節(jié)點設(shè)備拒絕所述鏈路資源配置命令，本次配置無效；如果資源 狀況支持建立該虛擬專網(wǎng)，則復(fù)址無連接數(shù)據(jù)網(wǎng)中的所述節(jié)點設(shè)備接受 所述鏈路資源配置命令；\n(4)所述節(jié)點設(shè)備按所述鏈路資源配置命令的參數(shù)要求配置鏈路資 源，并向所述網(wǎng)絡(luò)管理設(shè)備回發(fā)第一確認響應(yīng)；\n(5)所述網(wǎng)絡(luò)管理設(shè)備收到所有相關(guān)節(jié)點設(shè)備的所述第一確認響應(yīng) 后，向所述地址映射設(shè)備發(fā)送包含有業(yè)務(wù)類別參數(shù)、虛擬專網(wǎng)編號在內(nèi) 的所述虛擬專網(wǎng)配置命令；\n(6)所述地址映射設(shè)備收到所述虛擬專網(wǎng)配置命令，回送第二確認響 應(yīng)；\n(7)所述網(wǎng)絡(luò)管理設(shè)備收到所述第二確認響應(yīng)，虛擬專網(wǎng)建立。\n或者，建立虛擬專網(wǎng)的過程中，所述網(wǎng)絡(luò)管理設(shè)備根據(jù)所述流量、 流向表向有關(guān)邊緣關(guān)口設(shè)備發(fā)送所述虛擬專網(wǎng)配置命令，位于源端的所 述邊緣關(guān)口設(shè)備根據(jù)復(fù)址無連接數(shù)據(jù)網(wǎng)的路由向位于目的端的所述邊緣 關(guān)口設(shè)備發(fā)送基于所述虛擬專網(wǎng)配置命令的資源配置請求，據(jù)此建立虛 擬專網(wǎng)。\n更具體的，還包括如下步驟：\n(1)源端的所述邊緣關(guān)口設(shè)備根據(jù)復(fù)址無連接數(shù)據(jù)網(wǎng)的所述路由向目的 端的所述邊緣關(guān)口設(shè)備發(fā)送所述資源配置請求；\n(2)途經(jīng)的各所述節(jié)點設(shè)備收到所述資源配置請求后，根據(jù)自身的資源 狀況作出響應(yīng)；\n(3)資源狀況是否許可？\n(4)如果資源狀況支持建立該虛擬專網(wǎng)，則所述節(jié)點設(shè)備根據(jù)所述資源 配置請求配置鏈路資源，并向下一節(jié)點設(shè)備轉(zhuǎn)發(fā)所述資源配置請求，直至目 的端的所述邊緣關(guān)口設(shè)備，如果目的端的所述邊緣關(guān)口設(shè)備的資源狀況支持 建立該虛擬專網(wǎng)，則目的端的所述邊緣關(guān)口設(shè)備向源端的所述邊緣關(guān)口設(shè)備 發(fā)送接受響應(yīng)；否則，向源端的所述邊緣關(guān)口設(shè)備發(fā)拒絕響應(yīng)，本次配置無 效；\n(5)源端的所述邊緣關(guān)口設(shè)備收到目的端的所述邊緣關(guān)口設(shè)備的所述接 受響應(yīng)，則立即向所述網(wǎng)絡(luò)管理設(shè)備回送第三確認響應(yīng)；\n(6)所述網(wǎng)絡(luò)管理設(shè)備收到與該虛擬專網(wǎng)相關(guān)的所有邊緣關(guān)口設(shè)備的所 述第三確認響應(yīng)，向地址映射設(shè)備發(fā)送包含業(yè)務(wù)類別參數(shù)、虛擬專網(wǎng)編號在 內(nèi)的所述虛擬專網(wǎng)配置命令；\n(7)所述地址映射設(shè)備收到所述虛擬專網(wǎng)配置命令，回送第四確認響應(yīng)；\n(8)所述網(wǎng)絡(luò)管理設(shè)備收到所述第四確認響應(yīng)，虛擬專網(wǎng)建立成功。\n其中，如果源端的所述邊緣關(guān)口設(shè)備在設(shè)定的時間內(nèi)尚未收到接受/拒 絕響應(yīng)，則認為本次配置無效。\n所述步驟(1)中，源端的所述邊緣關(guān)口設(shè)備可以同時啟動復(fù)址無連接數(shù)據(jù) 網(wǎng)備用路由向目的端的所述邊緣關(guān)口設(shè)備發(fā)送所述資源配置請求。\n在申請?zhí)摂M專網(wǎng)的過程中，如果用戶是IP網(wǎng)中的用戶，則提交的所述 流量、流向表為IP網(wǎng)中節(jié)點設(shè)備之間的流量、流向表，所述網(wǎng)絡(luò)管理設(shè)備 通過所述地址映射設(shè)備獲得各IP網(wǎng)節(jié)點設(shè)備所連接的所述邊緣關(guān)口設(shè)備的 地址，將所述IP網(wǎng)中節(jié)點設(shè)備之間的流量、流向表換算成各所述邊緣關(guān)口 設(shè)備之間的流量、流向表。\n所述申請?zhí)摂M專網(wǎng)的過程中，如果用戶是復(fù)址無連接數(shù)據(jù)網(wǎng)中的用戶， 則其提交的所述流量、流向表為所述邊緣關(guān)口設(shè)備之間的流量、流向表。\n在虛擬專網(wǎng)建立之后，如果用戶是復(fù)址無連接數(shù)據(jù)網(wǎng)中的用戶，則 其通信過程包括如下步驟：\n(1)源端的所述邊緣關(guān)口設(shè)備向目的端的所述邊緣關(guān)口設(shè)備發(fā)送第 一復(fù)址無連接數(shù)據(jù)網(wǎng)分組，當所述第一復(fù)址無連接數(shù)據(jù)網(wǎng)分組到達源端 的所述邊緣關(guān)口設(shè)備時，源端的所述邊緣關(guān)口設(shè)備向所述地址映射設(shè)備 發(fā)出包含目的端的所述邊緣關(guān)口設(shè)備地址在內(nèi)的地址映射請求命令；\n(2)所述地址映射設(shè)備收到所述地址映射請求命令，如果源端的所述 邊緣關(guān)口設(shè)備的地址與目的端的所述邊緣關(guān)口設(shè)備的地址同屬一個虛擬 專網(wǎng)，則向源端的所述邊緣關(guān)口設(shè)備發(fā)送包含有虛擬專網(wǎng)編號、業(yè)務(wù)類 別參數(shù)和目的端的所述邊緣關(guān)口設(shè)備地址在內(nèi)的響應(yīng)命令；\n(3)源端的所述邊緣關(guān)口設(shè)備收到所述響應(yīng)命令，生成包含有虛擬專 網(wǎng)編號、業(yè)務(wù)類別參數(shù)在內(nèi)的第二復(fù)址無連接數(shù)據(jù)網(wǎng)分組，并將所述第 二復(fù)址無連接數(shù)據(jù)網(wǎng)分組發(fā)向目的端的所述邊緣關(guān)口設(shè)備；\n(4)復(fù)址無連接數(shù)據(jù)網(wǎng)內(nèi)的所述節(jié)點設(shè)備根據(jù)所述第二復(fù)址無連接 數(shù)據(jù)網(wǎng)分組的虛擬專網(wǎng)編號、業(yè)務(wù)類別參數(shù)和目的端的所述邊緣關(guān)口設(shè) 備的地址，在虛擬專網(wǎng)約定指配的資源范圍內(nèi)進行傳送；\n(5)目的端的所述邊緣關(guān)口設(shè)備收到所述第二復(fù)址無連接數(shù)據(jù)網(wǎng)分 組，將所述第二復(fù)址無連接數(shù)據(jù)網(wǎng)分組發(fā)往目的端。\n在虛擬專網(wǎng)建立之后，如果用戶是IP網(wǎng)中的用戶，則其通信過程包 括如下步驟：\n(1)源端的IP設(shè)備向目的端的IP設(shè)備發(fā)送IP分組；\n(2)當所述IP分組到達源端的所述邊緣關(guān)口設(shè)備時，源端的所述邊 緣關(guān)口設(shè)備向所述地址映射設(shè)備發(fā)出包含有目的端IP地址在內(nèi)的地址映 射請求命令；\n(3)所述地址映射設(shè)備收到所述地址映射請求命令，如源端的IP地 址與目的端的IP地址同屬一個虛擬專網(wǎng)，則向源端的所述邊緣關(guān)口設(shè)備 發(fā)送包含有虛擬專網(wǎng)編號、業(yè)務(wù)類別參數(shù)和目的端的所述邊緣關(guān)口設(shè)備 的地址在內(nèi)的響應(yīng)命令；\n(4)源端的所述邊緣關(guān)口設(shè)備收到所述響應(yīng)命令，形成帶有虛擬專網(wǎng) 編號、業(yè)務(wù)類別參數(shù)的復(fù)址無連接數(shù)據(jù)網(wǎng)分組，并將所述復(fù)址無連接數(shù) 據(jù)網(wǎng)分組發(fā)向目的端的所述邊緣關(guān)口設(shè)備；\n(5)復(fù)址無連接數(shù)據(jù)網(wǎng)內(nèi)的所述節(jié)點設(shè)備按所述復(fù)址無連接數(shù)據(jù)網(wǎng) 分組中的虛擬專網(wǎng)編號、業(yè)務(wù)類別參數(shù)、目的端的所述邊緣關(guān)口設(shè)備地 址，在虛擬專網(wǎng)約定指配的資源范圍內(nèi)進行傳送；\n(6)目的端的所述邊緣關(guān)口設(shè)備收到所述復(fù)址無連接數(shù)據(jù)網(wǎng)分組，將 目的端IP地址恢復(fù)出來，重組成IP分組，將所述IP分組發(fā)往目的端。\n用戶提出撤消虛擬專網(wǎng)申請，所述網(wǎng)絡(luò)管理設(shè)備向復(fù)址無連接數(shù)據(jù) 網(wǎng)的所述節(jié)點設(shè)備與地址映射設(shè)備發(fā)送撤消虛擬專網(wǎng)命令，所述節(jié)點設(shè) 備釋放已配置的資源，所述地址映射設(shè)備清除虛擬專網(wǎng)地址映射表，虛 擬專網(wǎng)撤消。\n所述復(fù)址無連接數(shù)據(jù)網(wǎng)分組中為虛擬專網(wǎng)設(shè)有專用域：虛擬專網(wǎng)標識域 和虛擬專網(wǎng)編號域；\n所述虛擬專網(wǎng)標識域用于表示所述復(fù)址無連接數(shù)據(jù)網(wǎng)分組是否屬于某 一個虛擬專網(wǎng)，所述虛擬專網(wǎng)編號域用于表示所述復(fù)址無連接數(shù)據(jù)網(wǎng)分組屬 于哪一個虛擬專網(wǎng)。\n所述虛擬專網(wǎng)編號在一個復(fù)址無連接數(shù)據(jù)網(wǎng)內(nèi)是唯一的。\n在由二個或二個以上的復(fù)址無連接數(shù)據(jù)網(wǎng)參與組成一個虛擬專網(wǎng)時，在 不同的復(fù)址無連接數(shù)據(jù)網(wǎng)中分別賦予所述虛擬專網(wǎng)不同的虛擬專網(wǎng)編號，由 復(fù)址無連接數(shù)據(jù)網(wǎng)的核心層設(shè)備進行不同的虛擬專網(wǎng)編號之間的匹配。\n在虛擬專網(wǎng)的用戶是IP網(wǎng)中用戶的情況下，該用戶與相對應(yīng)的所述 邊緣關(guān)口設(shè)備之間通過包括隧道技術(shù)在內(nèi)的技術(shù)手段實現(xiàn)連接。\n本發(fā)明所述的方法可以在IP電信網(wǎng)系統(tǒng)中實現(xiàn)完全的VPN功能。與 現(xiàn)有的在IP網(wǎng)中實現(xiàn)VPN的方法相比，本方法使實現(xiàn)VPN的過程變得更 加簡單，通信質(zhì)量可以做到可控，綜合運行成本也可以降低。\n附圖說明\n下面結(jié)合附圖和具體實施方式對本發(fā)明作進一步的說明。\n圖1為IP電信網(wǎng)系統(tǒng)的組成結(jié)構(gòu)示意圖。\n圖2為本發(fā)明所述的IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的方法流程圖。\n圖3為建立NCT?VPN的第一種技術(shù)方案的流程圖。\n圖4為建立NCT?VPN的第二種技術(shù)方案的流程圖。\n圖5為NCT?VPN中通信過程的流程圖。\n圖6為IP?VPN中通信過程的流程圖。\n圖7為VPN撤消過程的流程圖。\n具體實施方式\n在對本IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的方法進行說明之前，首先對該IP電 信網(wǎng)系統(tǒng)的結(jié)構(gòu)和運行原理作一個簡要的說明。IP電信網(wǎng)系統(tǒng)是本專利的發(fā) 明人結(jié)合電信網(wǎng)技術(shù)轉(zhuǎn)型的根本趨勢，在深入研究電信網(wǎng)和Internet各自 優(yōu)缺點的前提下提出的一種電信網(wǎng)的技術(shù)實現(xiàn)方案。如圖1所示，該IP電 信網(wǎng)系統(tǒng)包括至少一個復(fù)址無連接數(shù)據(jù)網(wǎng)、多數(shù)個IP網(wǎng)，以及多數(shù)個邊緣 關(guān)口設(shè)備ED。這里所說的IP網(wǎng)包括但不限于IP城域網(wǎng)、接入網(wǎng)或用戶駐地 網(wǎng)，它通過邊緣關(guān)口設(shè)備ED與NCT數(shù)據(jù)網(wǎng)相連接；每個NCT數(shù)據(jù)網(wǎng)中還包 括至少一個地址映射設(shè)備ADT；NCT數(shù)據(jù)網(wǎng)中的所有設(shè)備與邊緣關(guān)口設(shè)備都 分配有一個NCT數(shù)據(jù)網(wǎng)地址，IP網(wǎng)中的所有設(shè)備和邊緣關(guān)口設(shè)備ED都分配 有IP地址，IP地址和NCT數(shù)據(jù)網(wǎng)地址之間的映射關(guān)系保存在地址映射設(shè)備 ADT內(nèi)的地址映射表之中；邊緣關(guān)口設(shè)備ED經(jīng)認證與地址映射設(shè)備ADT之間 建立連接。NCT數(shù)據(jù)網(wǎng)作為“內(nèi)網(wǎng)”，采用與現(xiàn)有電信網(wǎng)類似的層次型的體系 結(jié)構(gòu)，它由核心層設(shè)備CR、匯聚層設(shè)備MR、接入層設(shè)備AR、網(wǎng)絡(luò)管理設(shè)備 以及地址映射設(shè)備ADT組成，各個NCT數(shù)據(jù)網(wǎng)之間通過各自的核心層設(shè)備CR 實現(xiàn)通信。在NCT數(shù)據(jù)網(wǎng)內(nèi)部采用NCT數(shù)據(jù)網(wǎng)本身的地址來進行尋址，該數(shù) 據(jù)網(wǎng)地址不同于IP網(wǎng)的IP地址。這種雙地址結(jié)構(gòu)是理解本IP電信網(wǎng)系統(tǒng) 的關(guān)鍵所在。\n在IP電信網(wǎng)系統(tǒng)中，IP網(wǎng)與NCT數(shù)據(jù)網(wǎng)在拓撲結(jié)構(gòu)上嚴格分離。IP網(wǎng) 與各自的NCT數(shù)據(jù)網(wǎng)建立連接，并且與該NCT數(shù)據(jù)網(wǎng)之間建立信任關(guān)系，如 果該信任關(guān)系未能建立的話，IP網(wǎng)與NCT數(shù)據(jù)網(wǎng)之間不能進行通信；各NCT 數(shù)據(jù)網(wǎng)之間也是這樣。\n地址映射設(shè)備ADT是網(wǎng)絡(luò)上實現(xiàn)地址映射的設(shè)備，它保存地址映射表。 邊緣關(guān)口設(shè)備ED是IP網(wǎng)與NCT數(shù)據(jù)網(wǎng)連接的關(guān)口設(shè)備。它至少具有兩方面 的功能，其一是實現(xiàn)NCT數(shù)據(jù)網(wǎng)地址和IP地址的轉(zhuǎn)換，使NCT數(shù)據(jù)網(wǎng)可以 承載現(xiàn)有的IP分組；另一個功能是對IP網(wǎng)的業(yè)務(wù)流進行匯聚。\n每一個邊緣關(guān)口設(shè)備ED都有確定的NCT數(shù)據(jù)網(wǎng)地址和IP地址，并確知 與其連接的網(wǎng)絡(luò)節(jié)點設(shè)備的IP地址。邊緣關(guān)口設(shè)備必須向相應(yīng)的地址映射 設(shè)備ADT進行注冊，注冊過程需要進行認證，以確認邊緣關(guān)口設(shè)備ED與地 址映射設(shè)備ADT之間的信任關(guān)系。通過這種認證，不面向連接的IP電信網(wǎng) 系統(tǒng)也能實現(xiàn)安全通信。\n上面是對本發(fā)明所依賴的IP電信網(wǎng)系統(tǒng)的結(jié)構(gòu)和運行原理的簡要說明。 關(guān)于IP電信網(wǎng)系統(tǒng)的進一步說明可以參看該專利申請的說明書，在此就不 贅述了。\n如前所述，本IP電信網(wǎng)系統(tǒng)采用雙地址結(jié)構(gòu)，包括采用NCT數(shù)據(jù)網(wǎng)地 址的NCT數(shù)據(jù)網(wǎng)和采用IP地址的IP網(wǎng)兩部分。IP電信網(wǎng)系統(tǒng)的VPN有兩類， 一類是IP?VPN，另一類是NCT?VPN。其中的IP?VPN是根據(jù)用戶指定的一群 IP地址以及這些IP地址之間的流量、流向關(guān)系，建立滿足相應(yīng)要求的VPN； NCT?VPN則是根據(jù)一群NCT地址以及這些NCT地址之間的流量、流向關(guān)系， 建立滿足相應(yīng)要求的VPN。NCT?VPN主要用于提供透明專線服務(wù)的VPN。這兩 類VPN都需經(jīng)過ED和ADT來實現(xiàn)。為了在IP電信網(wǎng)系統(tǒng)中建立VPN，在NCT 分組中為實現(xiàn)VPN設(shè)有專用的域：VPN標識域和VPN編號域。VPN標識域表 示在NCT網(wǎng)內(nèi)傳送的分組是否屬于某一個VPN，VPN編號域則表示該分組屬 于哪一個VPN。這兩個域為我們建立IP電信網(wǎng)系統(tǒng)的VPN提供了便利。\n在IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的總體流程圖參照圖2所示，包括如下的 步驟：\n(1)用戶向網(wǎng)絡(luò)管理設(shè)備提出建立VPN的申請，并提交建立該VPN所 需的流量、流向表；\n(2)根據(jù)流量、流向表判斷是何種類型的VPN？\n如果是NCT?VPN，其流量、流向表是ED之間的流量、流向表，轉(zhuǎn)入步 驟(4)；如果是IP?VPN，則流量、流向表為IP網(wǎng)中節(jié)點設(shè)備的流量、流向 表，轉(zhuǎn)入步驟(3)；\n(3)網(wǎng)絡(luò)管理設(shè)備通過ADT獲得各IP網(wǎng)節(jié)點設(shè)備連接的ED的地址， 將該流量、流向表換算成各ED之間的流量、流向表，轉(zhuǎn)入步驟(4)；\n(4)是否由網(wǎng)絡(luò)管理設(shè)備配置資源？\n(5)如果是，則網(wǎng)絡(luò)管理設(shè)備根據(jù)所述流量、流向表計算出相應(yīng)NCT 數(shù)據(jù)網(wǎng)節(jié)點設(shè)備間鏈路資源需求表，并根據(jù)計算結(jié)果向NCT數(shù)據(jù)網(wǎng)中的 節(jié)點設(shè)備發(fā)送包括VPN編號在內(nèi)的鏈路資源配置命令，據(jù)此建立VPN\n(6)如果否，則網(wǎng)絡(luò)管理設(shè)備根據(jù)流量、流向表向有關(guān)ED發(fā)送虛擬專 網(wǎng)配置命令，源端ED根據(jù)NCT數(shù)據(jù)網(wǎng)的路由向目的端ED發(fā)送VPN配置請求， 據(jù)此建立VPN。\n下面對上述的整體過程分為在NCT數(shù)據(jù)網(wǎng)中實現(xiàn)的VPN和在IP網(wǎng)中實 現(xiàn)的VPN分別加以詳細的說明。\nNCT數(shù)據(jù)網(wǎng)中實現(xiàn)VPN的過程包括如下的步驟：\n1.申請VPN：\n首先，請求建立VPN的用戶向網(wǎng)絡(luò)管理設(shè)備提出建立VPN的請求， 并提供建立該VPN所需的流量、流向表。\n2.建立VPN：\n建立NCT?VPN有兩種技術(shù)方案。\n第一種技術(shù)方案如圖3所示，包括下列步驟：\n網(wǎng)絡(luò)管理設(shè)備根據(jù)用戶提交的虛擬專網(wǎng)的ED間的流量、流向表，計 算出NCT數(shù)據(jù)網(wǎng)內(nèi)相應(yīng)節(jié)點設(shè)備間鏈路資源需求表，網(wǎng)絡(luò)管理設(shè)備根據(jù) 上述計算結(jié)果，確定VPN編號，向NCT數(shù)據(jù)網(wǎng)的有關(guān)節(jié)點設(shè)備發(fā)送帶有業(yè) 務(wù)類別、VPN編號等參數(shù)的鏈路資源配置命令。\nNCT數(shù)據(jù)網(wǎng)中的節(jié)點設(shè)備根據(jù)自有資源狀況作出響應(yīng)；如果資源狀況 支持建立該虛擬專網(wǎng)，則NCT數(shù)據(jù)網(wǎng)中的節(jié)點設(shè)備接受該命令，按該命 令參數(shù)要求配置鏈路資源，并向網(wǎng)絡(luò)管理設(shè)備返回確認響應(yīng)。網(wǎng)絡(luò)管理 設(shè)備收到NCT數(shù)據(jù)網(wǎng)中相關(guān)的所有節(jié)點設(shè)備的確認響應(yīng)后，向ADT發(fā)送 帶有業(yè)務(wù)類別、VPN編號等參數(shù)的命令。ADT收到來自網(wǎng)絡(luò)管理設(shè)備的VPN 命令，即回送確認響應(yīng)。網(wǎng)絡(luò)管理設(shè)備收到確認響應(yīng)，虛擬專網(wǎng)建立成功。\n如果資源狀況不足以支持建立虛擬專網(wǎng)，則復(fù)址無連接數(shù)據(jù)網(wǎng)中的 節(jié)點設(shè)備拒絕該命令，本次配置無效。虛擬專網(wǎng)建立不成功。\n應(yīng)用這種方案可以實現(xiàn)保證質(zhì)量的VPN。由網(wǎng)絡(luò)管理設(shè)備對VPN建立 進行配置和控制，可以實現(xiàn)VPN資源的優(yōu)化，易于建立固定的或者最優(yōu) 的VPN隧道，而且建立快速。\n第二種技術(shù)方案如圖4所示，包括下列步驟：\n網(wǎng)絡(luò)管理設(shè)備向需要建立VPN的該源端ED發(fā)送建立VPN命令，該命令 應(yīng)包含有VPN業(yè)務(wù)類別、VPN編號、源端ED地址/目的端ED地址等參數(shù)。\n源端ED根據(jù)NCT的主路由向目的端ED發(fā)VPN配置請求，或者，同時啟 動NCT備用路由發(fā)VPN配置請求。途經(jīng)的各NCT節(jié)點設(shè)備，收到該請求后根 據(jù)自有的資源狀況作出響應(yīng)：如果資源狀況支持建立該VPN，則NCT節(jié)點設(shè) 備根據(jù)該VPN配置請求配置鏈路資源，并向下一節(jié)點設(shè)備轉(zhuǎn)發(fā)該VPN配置請 求，直至目的端ED；如果目的端ED的資源狀況支持建立該VPN，則目的端 ED向源端ED發(fā)送接受響應(yīng)。\n如果源端ED收到目的端ED的接受響應(yīng)，則源端ED立即向網(wǎng)絡(luò)管理設(shè) 備回送確認響應(yīng)。網(wǎng)絡(luò)管理設(shè)備收到該VPN的所有相關(guān)ED的確認響應(yīng)，網(wǎng) 絡(luò)管理設(shè)備向與源端ED相連接的ADT發(fā)送帶有業(yè)務(wù)類別、VPN編號等參數(shù)的 命令。\nADT收到來自網(wǎng)絡(luò)管理設(shè)備的命令，建立VPN編號、業(yè)務(wù)類別和目的端 ED地址映射表，然后回送確認響應(yīng)。網(wǎng)絡(luò)管理設(shè)備收到確認響應(yīng)。VPN建立 成功。\n如果節(jié)點設(shè)備或目的端ED資源狀況不支持建立該VPN，則NCT節(jié)點設(shè)備 或目的端ED向源端ED發(fā)拒絕響應(yīng)。本次配置無效。如果源端ED的啟動計 時超時，尚未收到接受/拒絕響應(yīng)，源端ED也認為本次配置無效。上述兩種 情況均認為虛擬專網(wǎng)建立不成功。\n這種由源端ED發(fā)出VPN配置請求后，由各節(jié)點設(shè)備轉(zhuǎn)發(fā)來建立VPN 的方案，能夠根據(jù)當前網(wǎng)絡(luò)情況建立VPN。\n3.通信過程：\nNCT?VPN中的通信過程如圖5所示：\n源端ED向目的端ED發(fā)送NCT分組，當NCT分組到達源端ED時，源 端ED向ADT發(fā)出帶有目的端ED地址、業(yè)務(wù)類別等參數(shù)的地址映射請求 命令。\nADT收到地址映射請求命令，如判斷源端ED地址與目的端ED地址同 屬一個VPN時，ADT即向源端ED發(fā)帶有VPN編號、業(yè)務(wù)類別和目的端ED 地址等參數(shù)響應(yīng)命令。\n源端ED收到帶有VPN編號、業(yè)務(wù)類別和目的端ED地址等參數(shù)響應(yīng)命 令，形成帶有VPN標記、VPN編號、業(yè)務(wù)類別、數(shù)據(jù)載荷等域的NCT分組， 并將它發(fā)向目的端ED。\nNCT網(wǎng)內(nèi)的AR、MR、CR等節(jié)點設(shè)備，按NCT分組的VPN標記、VPN 編號將NCT分組傳送到目的端ED。\n目的端ED收到NCT分組將它發(fā)往目的端。\n由IP網(wǎng)用戶參與的IP?VPN的實現(xiàn)過程是這樣的：\n1.IP網(wǎng)內(nèi)用戶通過源端ED向網(wǎng)絡(luò)管理設(shè)備提交該IP?VPN的IP設(shè) 備之間的流量、流向表。\n2.網(wǎng)絡(luò)管理設(shè)備接收到用戶提交的該IP?VPN的IP設(shè)備之間的流量、 流向表，網(wǎng)絡(luò)管理設(shè)備向ADT提出地址解析請求，解析出相應(yīng)ED的NCT 地址。然后，網(wǎng)絡(luò)管理設(shè)備將IP設(shè)備之間的流量、流向表換算成相應(yīng)ED 間的流量、流向表。\n3.對NCT數(shù)據(jù)網(wǎng)內(nèi)的VPN建立過程與前述NCT?VPN的建立過程相同。\n4.該IP?VPN的所有IP設(shè)備分別與相連接的邊緣關(guān)口設(shè)備ED之間， 通過隧道技術(shù)或者現(xiàn)有的VPN技術(shù)等建立連接，至此IPVPN建立完成。\n5.IP?VPN的通信過程：\n該通信過程如圖6所示，包括下列步驟：\n源端IP設(shè)備向目的端IP設(shè)備發(fā)送IP分組。\n當IP分組到達源端ED時，源端ED向ADT發(fā)出帶有目的端IP地址 等參數(shù)的地址映射請求命令。\nADT收到地址映射請求命令，如源端IP地址與目的端IP地址同屬一 個VPN時，ADT即向源端ED發(fā)送帶有VPN編號、業(yè)務(wù)類別和目的端ED地 址等參數(shù)響應(yīng)命令。\n源端ED收到帶有VPN編號、業(yè)務(wù)類別和目的端ED地址等參數(shù)響應(yīng)命 令，形成帶有VPN編號、業(yè)務(wù)類別的NCT分組，并將它發(fā)向目的端ED。\nNCT網(wǎng)內(nèi)的AR、MR、CR等節(jié)點設(shè)備，按NCT分組的VPN編號、業(yè)務(wù)類 別、目的端ED地址等參數(shù)，在VPN約定指配的資源范圍內(nèi)進行傳送。\n目的端ED收到NCT分組，將目的端IP地址恢復(fù)出來，重組IP分組， 將它發(fā)往目的端。\n概括地說，IP?VPN與NCT?VPN相比，由于在IP?VPN是根據(jù)IP網(wǎng)內(nèi)IP 設(shè)備之間的流量、流向表來建??IP設(shè)備間的虛擬專網(wǎng)，這里的IP設(shè)備 可以是一個確定IP地址的IP設(shè)備，也可以是一個IP網(wǎng)中的一個用戶駐 地網(wǎng)(CPN)等，IP設(shè)備與相對應(yīng)的ED間用隧道或現(xiàn)有VPN技術(shù)如MPLS VPN或者IPSec?VPN等實現(xiàn)連接。IP?VPN的接入點是IP網(wǎng)。NCT?VPN的 接入點是ED。\n撤銷VPN的過程如圖7所示，包括下列步驟：用戶提出撤消VPN申 請，網(wǎng)絡(luò)管理設(shè)備向復(fù)址無連接數(shù)據(jù)網(wǎng)節(jié)點設(shè)備與地址映射設(shè)備發(fā)送撤消 VPN命令，復(fù)址無連接數(shù)據(jù)網(wǎng)節(jié)點設(shè)備釋放已配置的資源，地址映射設(shè)備 清除VPN地址映射表，VPN撤消。\n在實際業(yè)務(wù)中，可能需要建立多個VPN，例如在一個較大規(guī)模的企業(yè)內(nèi) 部網(wǎng)中，根據(jù)業(yè)務(wù)需要，至少需要建立3個VPN，其中一個VPN用于內(nèi)部的 辦公自動化，另外一個VPN用于建立企業(yè)內(nèi)部的核心數(shù)據(jù)網(wǎng)，還有一個VPN 用于召開視頻會議。因此，不同的VPN業(yè)務(wù)有必要進行編號管理。這也就是 前面所述的在分組內(nèi)設(shè)置VPN編號位的目的端所在。該VPN編號在一個NCT 數(shù)據(jù)網(wǎng)內(nèi)是唯一的。在一個NCT數(shù)據(jù)網(wǎng)內(nèi)，針對不同的業(yè)務(wù)類別，也可以有 相同的VPN的編號，即在一個運行網(wǎng)內(nèi)最多可有“VPN編號×業(yè)務(wù)類別”個 VPN。\n由二個或二個以上的NCT數(shù)據(jù)網(wǎng)組織VPN時，在不同NCT數(shù)據(jù)網(wǎng)中VPN 的編號可以是不同的，由NCT數(shù)據(jù)網(wǎng)之間進行連接的核心層設(shè)備CR進行VPN 的編號之間的匹配。\n從上述的說明可以看出，本發(fā)明所述的在IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN 的方法中，在NCT數(shù)據(jù)網(wǎng)內(nèi)部實現(xiàn)VPN的過程是最核心的內(nèi)容，對于NCT數(shù) 據(jù)網(wǎng)外部的IP節(jié)點設(shè)備來說，如果要加入某個VPN，分組地址的轉(zhuǎn)換工作是 關(guān)鍵的技術(shù)內(nèi)容。因此，對于ATM分組和幀中繼(F.R.)分組而言，只要在 ADT中設(shè)ATM地址或者幀中繼地址與NCT地址的映射表，并在ED中完成地址 轉(zhuǎn)換的工作，同樣可以實現(xiàn)有ATM或者幀中繼的VPN。\n上面對在IP電信網(wǎng)系統(tǒng)中實現(xiàn)VPN的方法進行了詳細的說明，但顯然 本發(fā)明的具體實現(xiàn)形式并不局限于此。對于本技術(shù)領(lǐng)域的一般技術(shù)人員來 說，在不背離本發(fā)明所述方法的精神和權(quán)利要求范圍的情況下對它進行的各 種顯而易見的改變都在本發(fā)明的保護范圍之內(nèi)。