专利名称:建立远程访问虚拟专用网连接的方法和访问集中器的制作方法
技术领域:
本发明涉及网络通信技术,特别涉及一种建立远程访问虚拟专用网(Access VPN) 连接的方法和访问集中器(LAC)。
背景技术:
虚拟私有网(VPN)是今年随着hternet的广泛应用而迅速发展起来的一种新技 术,用以实现在共用网络上构建私人专用网络。二层隧道协议(L2TP,Layer Two Tunneling Protocol) VPN属于远程访问虚拟专用网(Access VPN),其向出差流动员工、远程办公人员 和远程小办公室提供了通过共用网络与企业内部网络antranet)建立私有的网络连接。Access VPN的连接存在两种类型,一种是用户发起的Access VPN连接,另一种是 接入服务器发起的Access VPN连接。其中,用户发起的Access VPN连接可以如图1所示, 远程用户通过某种接入技术接入到网络接入服务器(NAS)的访问集中器(LAC)上,当接入 的远程用户满足预设的条件时,即是合法用户时,LAC向二层隧道网络服务器(LNS)发起隧 道连接。通常为了保证网络的可靠性,会在htranet设置多个LNS,其中一个LNS作为主用 设备,其它LNS作为备用设备,LAC在向LNS发起隧道连接时,首先默认向主用LNS发起隧 道连接请求,如果主用LNS可用,则与主用LNS建立隧道连接使该远程用户接入htranet ; 如果主用LNS不可用,则按照预设的顺序向备用LNS发起隧道连接。可见上述建立Access VPN连接的方法中,如果主用LNS可用,则所有远程用户 在接入htranet时,LAC都与主用LNS建立隧道连接,由主用LNS为所有远程用户提供 Intranet的接入服务,显然这会造成主用LNS的处理负担,远程用户的接入服务质量会受 到主用LNS处理性能以及LAC与主用LNS之间的带宽影响,并且降低了网络资源的利用率。
发明内容
有鉴于此,本发明提供了一种建立Access VPN连接的方法和LAC,以便于实现多 个LNS之间的负载分担,提高远程用户的接入服务质量和网络资源的利用率。一种建立Access VPN的方法,该方法应用于包含LAC和该LAC所连接的两个以上 LNS的Access VPN,该方法包括所述LAC确定合法的远程用户需要接入htranet时,根据各LNS与所述LAC之间 的链路质量确定各LNS的隧道连接优先级,选择隧道连接优先级最高的LNS与所述LAC建 立隧道连接,由所述隧道连接优先级最高的LNS为所述远程用户提供htranet的接入服务。一种LAC,应用于包含该LAC和该LAC所连接的两个以上LNS的AccessVPN,该LAC 包括接入处理单元、优先级确定单元和第一连接建立单元;所述接入处理单元,用于确定合法的远程用户需要接入htranet时,向优先级确 定单元发送处理通知;所述优先级确定单元,用于接收到所述处理通知后,根据各LNS与所述LAC之间的链路质量确定各LNS的隧道连接优先级;所述第一连接建立单元,用于选择隧道连接优先级最高的LNS与所述LAC建立隧 道连接。由以上技术方案可以看出,本发明中LAC在确定合法的远程用户需要接入 Intranet时,根据各LNS与LAC之间的链路质量确定各LNS的隧道连接优先级,选择隧道连 接优先级最高的LNS与LAC建立隧道连接,由隧道连接优先级最高的LNS为该远程用户提 供^tranet的接入服务。也就是说,按照各LNS与LAC之间的链路质量实现在各LNS之间 的负载分担,从而均衡各LNS的处理负担以及各LNS链路的带宽占用率,提高远程用户的接 入服务质量和网络资源的利用率。
图1为现有技术中建立Access VPN连接的示意图;图2为本发明提供的详细方法流程图;图3为本发明提供的建立Access VPN连接的实例图;图4为本发明提供的LAC的结构示意图。
具体实施例方式为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对 本发明进行详细描述。本发明提供的方法主要包括LAC确定合法的远程用户需要接入htranet时,根 据该LAC所连接的各LNS与该LAC之间的链路质量确定各LNS的隧道连接优先级,选择隧 道连接优先级最高的LNS与该LAC建立隧道连接,由该隧道连接优先级最高的LNS为该远 程用户提供htranet的接入服务。由于在LAC选择建立隧道连接的LNS时,通常需要首先考虑的是LAC与LNS之间 的链路质量状况,例如流量状况,其可以通过带宽和实际带宽占用率等体现。在LAC确定合 法的远程用户需要接入htranet时,根据该链路质量状况,LAC可以实时地确定各LNS的 隧道连接优先级,从中选择隧道连接优先级最高的LNS建立隧道连接。下面对本发明提供 的上述方法进行详细描述。图2为本发明实施例提供的详细方法流程图,如图2所示,该方法可以包括以下步 骤步骤201 远程用户接入LAC,LAC对该远程用户进行合法性认证。远程用户可以采用拨号的方式接入LAC,例如,可以使用以太网承载点对点协议客 户端(PPPoE CLIENT)软件进行拨号接入LAC,在拨号过程中,远程用户输入用户名和密码 等用户认证信息,LAC利用该用户认证信息对该远程用户进行合法性认证,如果认证通过, 则确定该远程用户为合法用户,否则确定该远程用户为非法用户。步骤202 =LAC判断负载分担条件是否被满足,如果是,执行步骤203 ;否则,LAC直 接与主用LNS建立隧道连接,由该主用LNS为远程用户提供htranet的接入服务。在本发明中,可以预先设置负载分担条件,设置的负载分担条件可以采用多种方 式,例如可以设置主用LNS与LAC之间的链路上当前用户流量所占用的带宽状况是否达到预设的带宽状况阈值,如果是,则触发LAC开始在各LNS上针对当前需要接入^tranet的 远程用户进行负载分担,即继续执行步骤203,否则LAC仍与主用LNS建立隧道连接,由该主 用LNS为远程用户提供htranet的接入服务。步骤203 =LAC确定各LNS与该LAC之间的链路质量。本步骤中,标识为j的LNS与LAC之间链路(在后续简称为标识为j的链路)的链路质量化可以通过公式Q」=#计算,其中A为一个正的常数而为标识为j的链路中各链路质量参数值与该链路质量参数值所对应权值的乘积之和,即%与h成反比例关系,Sj 的值越小,链路质量%越高。上述链路质量参数值可以是各链路质量参数的绝对值,也可以是各链路质量参数 的等级值。链路质量参数值是绝对值的情况较容易理解,在此不再具体描述。下面对链路 质量对链路质量参数值采用链路质量参数的等级值的情况进行描述,此时的Sj可以为
权利要求
1.一种建立远程访问虚拟专用网Access VPN的方法,该方法应用于包含访问集中器 LAC和该LAC所连接的两个以上二层隧道网络服务器LNS的Access VPN,其特征在于,该方 法包括所述LAC确定合法的远程用户需要接入企业内部网络htranet时,根据各LNS与所述 LAC之间的链路质量确定各LNS的隧道连接优先级,选择隧道连接优先级最高的LNS与所述 LAC建立隧道连接,由所述隧道连接优先级最高的LNS为所述远程用户提供htranet的接 入服务。
2.根据权利要求1所述的方法,其特征在于,根据各LNS与所述LAC之间的链路质量 确定各LNS的隧道连接优先级包括所述LAC确定各LNS与所述LAC之间的链路质量,按照 链路质量越高的链路对应的LNS的隧道连接优先级越高的原则确定各LNS的隧道连接优先 级;或者,所述LAC确定各LNS与所述LAC之间的链路质量,并确定各LNS的包处理能力,综合考 虑链路质量和LNS的包处理能力确定各LNS的隧道连接优先级。
3.根据权利要求2所述的方法,其特征在于,所述确定各LNS与所述LAC之间的链路质量包括按照公式Qj = #确定标识为j的LNS与所述LAC之间的链路质量化,其中,A为一个正的常数,Sj为标识j的LNS与所述LAC之间的链路中每一个链路质量参数的值与该链 路质量参数所对应权值的乘积之和。
4.根据权利要求3所述的方法,其特征在于,所述链路质量参数的值包括链路质量参 数的绝对值或链路质量参数的等级值;其中,标识为j的LNS与所述LAC之间的链路的标识为i的链路质量参数的等级值 A..(x) —A.(min)Rankij为Ranky = u A(base)——,其中,^(x)为标识为j的LNS与所述LAC之间的链路上标识为i的链路质量参数的绝对值,Ai(Hiin)为各LNS与所述LAC之间的链路中标 识为i的链路质量参数的最小绝对值,Ai (base)为预设的经验值或者各LNS与所述LAC之 间的链路中标识为i的链路质量参数的绝对值的平均值。
5.根据权利要求3或4所述的方法,其特征在于,所述链路质量参数包括链路中的设 备跳数、报文返回时间、链路带宽或链路成本中的一个或任意组合。
6.根据权利要求1至4任一权项所述的方法,其特征在于,在根据各LNS与所述LAC之 间的链路质量确定各LNS的隧道连接优先级之前,还包括所述LAC判断预设的负载分担条 件是否被满足,如果是,继续执行根据各LNS与所述LAC之间的链路质量确定各LNS的隧道 连接优先级的步骤;否则,所述LAC与所述两个以上LNS中的主用LNS建立隧道连接,由所 述主用LNS为所述远程用户提供htranet的接入服务,结束流程。
7.根据权利要求6所述的方法,其特征在于,所述负载分担条件为所述主用LNS与所 述LAC之间的链路上当前用户流量所占用的带宽状况达到预设的带宽状况阈值。
8.一种LAC,应用于包含该LAC和该LAC所连接的两个以上LNS的Access VPN,其特征 在于,该LAC包括接入处理单元、优先级确定单元和第一连接建立单元;所述接入处理单元,用于确定合法的远程用户需要接入htranet时,向优先级确定单元发送处理通知;所述优先级确定单元,用于接收到所述处理通知后,根据各LNS与所述LAC之间的链路 质量确定各LNS的隧道连接优先级;所述第一连接建立单元,用于选择隧道连接优先级最高的LNS与所述LAC建立隧道连接。
9.根据权利要求8所述的LAC,其特征在于,所述优先级确定单元确定各LNS与所述 LAC之间的链路质量,按照链路质量越高的链路对应的LNS的隧道连接优先级越高的原则 确定各LNS的隧道连接优先级;或者,确定各LNS与所述LAC之间的链路质量,并确定各LNS 的包处理能力,综合考虑链路质量和LNS的包处理能力确定各LNS的隧道连接优先级。
10.根据权利要求9所述的LAC,其特征在于,所述优先级确定单元具体按照公式
11.根据权利要求10所述的LAC,其特征在于,所述链路质量参数的值包括链路质量 参数的绝对值或链路质量参数的等级值;其中,标识为j的LNS与所述LAC之间的链路的标识为i的链路质量参数的等级值 ■A Cx) —P^ Cmin)Rankij为
12.根据权利要求8至11任一权项所述的LAC,其特征在于,该LAC还包括负载分担 触发单元和第二连接建立单元;所述负载分担触发单元,用于接收所述接入处理单元发送的处理通知,判断预设的负 载分担条件是否被满足,如果是,则将所述处理通知发送给所述优先级确定单元;否则,将 所述处理通知发送给所述第二连接建立单元;所述第二连接建立单元,用于接收到处理通知后,与所述两个以上LNS中的主用LNS建 立隧道连接。
全文摘要
本发明提供了一种建立远程访问虚拟专用网(Access VPN)连接的方法和访问集中器(LAC),其中方法包括LAC在确定合法的远程用户需要接入Intranet时,根据各二层隧道网络服务器(LNS)与LAC之间的链路质量确定各LNS的隧道连接优先级,选择隧道连接优先级最高的LNS与LAC建立隧道连接,由隧道连接优先级最高的LNS为该远程用户提供Intranet的接入服务。本发明实现了各LNS之间的负载分担,提高了远程用户的接入服务质量和网络资源的利用率。
文档编号H04L12/46GK102055639SQ200910237358
公开日2011年5月11日 申请日期2009年11月10日 优先权日2009年11月10日
发明者刘洋, 徐庆伟 申请人:杭州华三通信技术有限公司