基于以太网上的点到点协议实现虚拟专网的方法

专利名称：基于以太网上的点到点协议实现虚拟专网的方法
技术领域：
本发明涉及一种数据通信领域中利用宽带接入服务器(BAS)实现虚拟专网的方法，尤其涉及一种基于以太网上的点到点协议(PPPoE)实现虚拟专网的方法。
背景技术：
PPPoE是基于以太网点到点的协议，PPPoE会话包含发现和PPP(点到点协议)会话两个阶段，发现阶段是无状态的Client/Server(客户端/服务器)模式，目的是获得PPPoE终结端的以太网MAC(媒介接入控制)地址，并建立一个唯一的PPPoE会话ID(标识)。发现阶段结束后，就进入PPP会话阶段。
虚拟专网(VPN)是BAS(宽带接入服务器)提供的一项重要业务，VPN通常基于L2TP(第二层隧道协议)协议来实现，L2TP是一种基于PPP协议的二层隧道协议。在由L2TP构建的VPN中，有两种类型的服务器，一种是LAC(L2TP访问集中器)，LAC一般就是BAS，用于为用户提供网络接入服务；另一种是LNS(L2TP网络服务器)，是LAC续接的PPP会话的终结端。在LNS和LAC之间存在着两种类型的连接，一种是隧道连接，它定义了一个LNS和LAC对；另一种是会话连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话。
目前BAS在实现VPN业务时，都是BAS端先完成PPP的认证阶段后，再进行建立L2TP隧道和会话的过程，然后用户在LNS端再进行一次认证，经过这样的几个步骤后用户才上线完成。上述的实现过程中，用户要进行两次认证(BAS端和LNS端)，如果不进行代理LCP(PPP链路控制协议)过程，还要进行两次LCP协商(BAS端和LNS端)。因此，现有方案会导致用户接入的速度比较慢，接入成功率也不高。IETF(互联网工程任务组)的协议标准RFC3817中，提出了一种L2TP中继PPPoE发现阶段会话的方法，此方法是增加一些L2TP属性对，将PPPoE分组封装进隧道，从而将PPPoE发现阶段的会话中继到LNS端。但是由于PPPoE广播的特性，这种方法存在安全问题。

发明内容
本发明需要解决的技术问题是提供一种基于以太网上的点到点协议实现虚拟专网的方法，通过使用这种方法，宽带接入服务器可以快速地接入基于以太网上的点到点协议的虚拟专网业务，并保证虚拟专网的安全性。
为了解决上述技术问题，本发明提供一种基于以太网上的点到点协议实现虚拟专网的方法，包括如下步骤(a)宽带接入服务器根据发布以太网上的点到点协议服务的电路，绑定第二层隧道协议的对端，实现以太网上的点到点协议会话和第二层隧道协议会话的绑定；(b)用户主机和宽带接入服务器进行以太网上的点到点协议的发现阶段的会话，其中，宽带接入服务器分配以太网上的点到点协议会话标识和第二层隧道协议会话实体，并根据以太网上的点到点协议会话和第二层隧道协议会话的绑定，建立以太网上的点到点协议会话标识和第二层隧道协议会话实体之间的映射关系；(c)宽带接入服务器启动与所述步骤(b)中以太网上的点到点协议的会话相绑定的第二层隧道协议会话；(d)用户主机与第二层隧道协议网络服务器进行端对端的点到点协议会话，建立所述以太网上的点到点协议会话的会话标识、第二层隧道协议会话的隧道标识、会话标识之间的映射关系；(e)用户主机与第二层隧道协议网络服务器进行点对点协议的数据传输，宽带接入服务器透明转发用户主机与第二层隧道协议网络服务器之间的数据。
进一步地，上述方法可具有如下特点所述步骤(a)中的电路为以太网端口上的虚拟局域网电路，或为异步传输模式端口的异步传输模式上永久虚链接。
进一步地，上述方法可具有如下特点所述步骤(a)中第二层隧道协议的对端的绑定形式为第二层隧道协议的对端名称，或为第二层隧道协议的对端的IP地址。
进一步地，上述方法可具有如下特点所述步骤(a)中的电路上可发布若干以太网上的点到点协议服务，宽带接入服务器根据同一电路上的不同以太网上的点到点协议服务分别绑定与各自服务相对应的第二层隧道协议的对端。
进一步地，上述方法可具有如下特点如果所述用户主机接入宽带接入服务器时，没有选择电路上发布的以太网上的点到点协议服务，则宽带接入服务器选定该用户主机所对应的第二层隧道协议的对端为默认的第二层隧道协议的对端，该默认的第二层隧道协议的对端可为电路上绑定的第一个第二层隧道协议的对端。
进一步地，上述方法可具有如下特点，所述步骤(b)可进一步分为如下步骤(b1)用户主机向宽带接入服务器发出以太网上的点到点协议主动发现启动分组；(b2)宽带接入服务器接收到以太网上的点到点协议主动发现启动分组后，向用户主机返回以太网上的点到点协议主动发现提供分组；(b3)用户主机接收到以太网上的点到点协议主动发现提供分组后，向宽带接入服务器发出以太网上的点到点协议主动发现请求分组；(b4)宽带接入服务器接收到以太网上的点到点协议主动发现请求分组后，分配以太网上的点到点协议会话标识和第二层隧道协议会话实体，并根据以太网上的点到点协议会话和第二层隧道协议会话的绑定，建立以太网上的点到点协议会话标识和第二层隧道协议会话实体之间的映射关系，然后给用户主机返回以太网上的点到点协议主动发现确认分组。
进一步地，上述方法可具有如下特点所述步骤(e)中宽带接入服务器接收来自用户主机的数据时，去除以太网上的点到点协议封装头的以太网上的点到点协议净荷封装进第二层隧道协议包中，上传至第二层隧道协议网络服务器；宽带接入服务器接收来自第二层隧道协议网络服务器的数据包时，去除第二层隧道协议封装头的第二层隧道协议净荷封装进以太网上的点到点协议包中，发送给用户主机。
进一步地，上述方法可具有如下特点，该方法还包括如下步骤以太网上的点到点协议的会话关闭时，关闭相应绑定的第二层隧道协议的会话，或者第二层隧道协议的会话关闭时，关闭相应绑定的以太网上的点到点协议的会话。
与现有技术相比，本发明基于以太网上的点到点协议实现虚拟专网的方法具有如下优点采用本发明所述方法，宽带接入服务器加快了基于以太网上的点到点协议的虚拟专网的接入速度和接入成功率，并保证了虚拟专网的安全性，从而保证宽带接入服务器能有效地提供基于以太网上的点到点协议的虚拟专网业务。


图1是本发明基于以太网上的点到点协议实现虚拟专网的方法中PPPoE实现VPN的操作流程示意图；图2是本发明基于以太网上的点到点协议实现虚拟专网的方法中PPPoE实现VPN的会话流程示意图。
具体实施例方式
为深入了解本发明，下面结合附图及具体实施例对本发明进行详细说明。
如图1、2所示，本发明基于以太网上的点到点协议实现虚拟专网的方法实施步骤包括有步骤一，宽带接入服务器发布以太网上的点到点协议(PPPoE)服务的电路来绑定第二层隧道协议(L2TP)的对端，通过在电路上进行配置来实现，从而完成PPPoE会话和L2TP会话的绑定；该电路可以是以太网端口上的VLAN(虚拟局域网)电路，也可以是ATM(异步传输模式)端口上的ATM PVC(异步传输模式上的永久虚链接)。当电路上没有发布PPPoE服务时，只是根据电路进行绑定；L2TP对端的绑定形式可以是L2TP对端的名称或者L2TP对端的IP地址，在本实例中，L2TP对端为第二层隧道协议网络服务器(LNS)；绑定后，该电路及电路上发布的PPPoE服务与L2TP会话建立起映射关系，并且同一条电路上可以发布多个PPPoE服务，因此可以动态选择不同的L2TP对端；如果电路上发布了PPPoE服务，但是PPPoE用户主机接入时没有选择PPPoE服务，则宽带接入服务器选定该用户主机所对应的L2TP对端为默认的L2TP对端，该默认的L2TP对端可以是电路上绑定的第一个L2TP对端。
步骤二，用户主机和宽带接入服务器进行PPPoE发现阶段的会话，首先，用户主机发出PADI(PPPoE主动发现启动)分组，当宽带接入服务器接收到PADI分组后，给用户主机回应PADO(PPPoE主动发现提供)分组，然后主机接收到PADO分组，并向宽带服务器发出PADR(PPPoE主动发现请求)分组；宽带接入服务器接收到PADR分组后，分配PPPoE会话ID(标识)和L2TP会话实体，并根据PPPoE会话和L2TP会话的绑定关系，建立PPPoE会话ID和L2TP会话实体之间的映射关系，最后给用户主机回应PADS(PPPoE主动发现确认)分组。
步骤三，PPPoE发现阶段的会话结束时，宽带接入服务器启动与步骤二中所述PPPoE会话相绑定的L2TP会话，建立L2TP隧道和会话。此时，宽带接入服务器不需要启动PPP会话的LCP协商过程，省略了用户主机和宽带接入服务器的LCP(PPP链路控制协议)协商过程和认证过程，加快了接入速度。
步骤四，L2TP隧道和会话建立完成后，用户主机与第二层隧道协议网络服务器(LNS)进行端到端的PPP会话过程，建立该PPPoE会话的会话ID、L2TP会话的隧道ID、会话ID的映射关系，为数据传输做准备。此时，对于宽带接入服务器来说，已经进入数据传输阶段，透明转发端到端的数据；对于用户主机和LNS来说，还要进行端到端的PPP会话过程，该过程包括有LCP协商、PPP认证和NCP(PPP网络控制协议)协商等步骤。
步骤五，用户主机与LNS进行PPP数据的传输，宽带接入服务器透明转发用户主机与LNS之间的数据，即宽带接入服务器接收到PPPoE用户传送来的数据时，将除掉PPPoE封装头的PPPoE净荷封装进L2TP包中，上传给LNS；接收到LNS发送来的数据包时，将除掉L2TP封装头的L2TP净荷封装进PPPoE包中，发送给PPPoE用户。
步骤六，当PPPoE会话关闭时，关闭相应的L2TP会话，即用户主机向宽带接入服务器发出PADT(PPPoE主动发现终止)分组，宽带接入服务器分别关闭PPPoE会话和拆除相应的L2TP隧道和会话，同样地，当L2TP会话关闭时，关闭相应的PPPoE会话。
权利要求
1.一种基于以太网上的点到点协议实现虚拟专网的方法，其特征在于，包括如下步骤(a)宽带接入服务器根据发布以太网上的点到点协议服务的电路，绑定第二层隧道协议的对端，实现以太网上的点到点协议会话和第二层隧道协议会话的绑定；(b)用户主机和宽带接入服务器进行以太网上的点到点协议的发现阶段的会话，其中，宽带接入服务器分配以太网上的点到点协议会话标识和第二层隧道协议会话实体，并根据以太网上的点到点协议会话和第二层隧道协议会话的绑定，建立以太网上的点到点协议会话标识和第二层隧道协议会话实体之间的映射关系；(c)宽带接入服务器启动与所述步骤(b)中以太网上的点到点协议的会话相绑定的第二层隧道协议会话；(d)用户主机与第二层隧道协议网络服务器进行端对端的点到点协议会话，建立所述以太网上的点到点协议会话的会话标识、第二层隧道协议会话的隧道标识、会话标识之间的映射关系；(e)用户主机与第二层隧道协议网络服务器进行点对点协议的数据传输，宽带接入服务器透明转发用户主机与第二层隧道协议网络服务器之间的数据。
2.根据权利要求1所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于所述步骤(a)中的电路为以太网端口上的虚拟局域网电路。
3.根据权利要求1所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于所述步骤(a)中的电路为异步传输模式端口的异步传输模式上永久虚链接。
4.根据权利要求2或3所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于所述步骤(a)中第二层隧道协议的对端的绑定形式为第二层隧道协议的对端名称。
5.根据权利要求2或3所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于所述步骤(a)中第二层隧道协议的对端的绑定形式为第二层隧道协议的对端的IP地址。
6.根据权利要求1所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于所述步骤(a)中的电路上可发布若干以太网上的点到点协议服务，宽带接入服务器根据同一电路上的不同以太网上的点到点协议服务分别绑定与各自服务相对应的第二层隧道协议的对端。
7.根据权利要求6所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于如果所述用户主机接入宽带接入服务器时，没有选择电路上发布的以太网上的点到点协议服务，则宽带接入服务器选定该用户主机所对应的第二层隧道协议的对端为默认的第二层隧道协议的对端，该默认的第二层隧道协议的对端可为电路上绑定的第一个第二层隧道协议的对端。
8.根据权利要求1所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于，所述步骤(b)可进一步分为如下步骤(b1)用户主机向宽带接入服务器发出以太网上的点到点协议主动发现启动分组；(b2)宽带接入服务器接收到以太网上的点到点协议主动发现启动分组后，向用户主机返回以太网上的点到点协议主动发现提供分组；(b3)用户主机接收到以太网上的点到点协议主动发现提供分组后，向宽带接入服务器发出以太网上的点到点协议主动发现请求分组；(b4)宽带接入服务器接收到以太网上的点到点协议主动发现请求分组后，分配以太网上的点到点协议会话标识和第二层隧道协议会话实体，并根据以太网上的点到点协议会话和第二层隧道协议会话的绑定，建立以太网上的点到点协议会话标识和第二层隧道协议会话实体之间的映射关系，然后给用户主机返回以太网上的点到点协议主动发现确认分组。
9.根据权利要求1所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于所述步骤(e)中宽带接入服务器接收来自用户主机的数据时，去除以太网上的点到点协议封装头的以太网上的点到点协议净荷封装进第二层隧道协议包中，上传至第二层隧道协议网络服务器；宽带接入服务器接收来自第二层隧道协议网络服务器的数据包时，去除第二层隧道协议封装头的第二层隧道协议净荷封装进以太网上的点到点协议包中，发送给用户主机。
10.根据权利要求1所述的基于以太网上的点到点协议实现虚拟专网的方法，其特征在于，该方法还包括如下步骤以太网上的点到点协议的会话关闭时，关闭相应绑定的第二层隧道协议的会话，或者第二层隧道协议的会话关闭时，关闭相应绑定的以太网上的点到点协议的会话。
全文摘要
本发明公开了一种基于以太网上的点到点协议实现虚拟专网的方法，包括如下步骤宽带接入服务器根据发布PPPoE服务的电路，绑定L2TP对端，实现PPPoE会话和L2TP会话的绑定；用户主机和宽带接入服务器进行PPPoE会话，宽带接入服务器分配PPPoE会话ID和L2TP会话实体，根据PPPoE会话和L2TP会话的绑定，建立PPPoE会话ID和L2TP会话实体之间的映射关系；宽带接入服务器启动与PPPoE会话相绑定的L2TP会话；用户主机与LNS进行端对端的PPP会话，建立PPPoE会话ID、L2TP会话的隧道ID、会话ID之间的映射关系；用户主机与LNS通过宽带接入服务器透明转发进行PPP数据传输。通过使用这种方法，宽带接入服务器可以快速地接入基于以太网上的点到点协议的虚拟专网业务，并保证虚拟专网的安全性。
文档编号H04L12/46GK1780294SQ20041009176
公开日2006年5月31日 申请日期2004年11月26日 优先权日2004年11月26日
发明者曹文利 申请人:中兴通讯股份有限公司