专利名称:一种访问虚拟私有云的vpn虚拟化方法和系统的制作方法
技术领域:
本发明涉及网络通信技术领域,特别涉及一种访问虚拟私有云的VPN虚拟化方法和系统。
背景技术:
虚拟私有云(VPC)是面向中小企业在共有云创建的企业私有的云网络,企业用户可以通过互联网上的虚拟专用网络(VPN)直接与共有云数据中心(IDC)内的虚拟服务器基础设施相连。目前VPC提供的VPN —般都采用IPSec VPN技术,该VPN技术只需要企业用户网关(以下简称网关)和IDC两端点出口网络设备支持IPSec就可以,不需要电信运营商提供任何服务,如图I所示,企业用户I通过网关I建立与IDC出口 CE (以下简称CE)之间的IPSec VPN通道I,通过该IPSec VPN通道I访问VPC1,企业用户2通过网关2建立与CE之间的IPSec VPN通道2,通过该IPSec VPN通道2访问VPC2。然而,采用这种技术IDC需·要与每个企业用户之间都建立IPSecVPN,一是占用资源造成资源浪费,二是成本较高。
发明内容有鉴于此,本发明提供了一种访问虚拟私有云的VPN虚拟化方法和系统,以便于节约资源,降低成本。具体技术方案如下一种访问VPC的VPN虚拟化方法,预先配置企业用户申请的QinQ VLAN与MPLS VPN之间的对应关系,该方法包括通过将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签的方式,在所述数据中心与BNG之间的MPLS VPN中进行所述数据流的传输。根据本发明一优选实施例,该方法还包括网络配置过程,具体包括云管理平台向网关管理平台发送包含企业用户申请的QinQ VLAN标签的配置请求;所述网关管理平台将所述配置请求下发给企业用户网关。根据本发明一优选实施例,该方法还包括网络配置过程,具体包括云管理平台向VPN管理平台发送包含企业用户申请的QinQ VLAN标签以及MPLSVPN信息的配置请求;所述VPN管理平台将所述配置请求下发给所述BNG和数据中心接口的边缘路由器PE0根据本发明一优选实施例,该方法还包括网络配置过程,具体包括云管理平台向数据中心出口 CE下发包括企业用户申请的QinQ VLAN标签以及对应的VPC信息的配置请求。根据本发明一优选实施例,所述将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签具体包括对于企业用户访问VPC的上行数据流,企业用户网关将所述上行数据流打上QinQ VLAN标签后转发至BNG ;该方法还包括对于来自所述VPC的下行数据流,所述企业用户网关将BNG转发来的所述下行数据流去掉QinQ VLAN标签后,转发给所述企业用户。根据本发明一优选实施例,在所述数据中心与BNG之间的MPLS VPN中进行所述数据流的传输具体包括对于企业用户访问VPC的上行数据流,BNG将所述上行数据流打上MPLS标签后,通过所述QinQ VLAN标签对应的MPLS VPN通道转发至数据中心接口的PE,所述PE去除所述上行数据流的MPLS标签后转发至CE ;对于来自所述VPC的下行数据流,所述PE将所述下行数据流打上MPLS标签后通过所述QinQ VLAN标签对应的MPLS VPN通道转发至所述BNG,所述BNG去除所述下行数据流的MPLS标签后转发至企业用户网关。 根据本发明一优选实施例,所述将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签具体包括对于来自所述VPC的下行数据流,数据中心出口 CE将所述下行数据流打上QinQ VLAN标签后转发至数据中心接口的PE ;对于企业用户访问VPC的上行数据流,所述CE将所述PE转发来的上行数据流去掉QinQ VLAN标签后,转发给对应VPC。根据本发明一优选实施例,所述配置请求中还包括QoS控制信息;该方法还包括BNG、数据中心接口的PE或者数据中心出口 CE依据所述QoS控制信息进行数据流的转发。一种访问虚拟私有VPC的VPN虚拟化系统,该系统包括QinQ VLAN标签处理设备,用于将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签;MPLS VPN传输设备,用于将打上QinQ VLAN标签的数据流在所述数据中心与宽带网网关BNG之间的MPLS VPN中进行传输。根据本发明一优选实施例,该系统还包括云管理平台,用于向网关管理平台发送包含企业用户申请的QinQ VLAN标签的配置请求;网关管理平台,用于将所述配置请求下发给企业用户网关。根据本发明一优选实施例,该系统还包括云管理平台,用于向VPN管理平台发送包含企业用户申请的QinQ VLAN标签以及MPLS VPN信息的配置请求;VPN管理平台,用于将所述配置请求下发给宽带网络网关BNG和数据中心接口的边缘路由器PE。根据本发明一优选实施例,该系统还包括云管理平台,用于向数据中心出口 CE下发包括企业用户申请的QinQ VLAN标签以及对应的VPC信息的配置请求。根据本发明一优选实施例,所述QinQ VLAN标签处理设备包括企业用户网关;对于企业用户访问VPC的上行数据流,所述企业用户网关将上行数据流打上QinQVLAN标签后转发至BNG ;
对于来自所述VPC的下行数据流,所述企业用户网关将BNG转发来的所述下行数据流去掉QinQ VLAN标签后,转发给所述企业用户。根据本发明一优选实施例,所述MPLS VPN传输设备包括BNG和数据中心接口的PE ;对于企业用户访问VPC的上行数据流,BNG将所述上行数据流打上MPLS标签后,通过所述QinQ VLAN标签对应的MPLS VPN通道转发至所述PE,所述PE去除所述上行数据流的MPLS标签后转发至CE ;对于来自所述VPC的下行数据流,所述PE将所述下行数据流打上MPLS标签后通过所述QinQ VLAN标签对应的MPLS VPN通道转发至所述BNG,所述BNG去除所述下行数据流的MPLS标签后转发至企业用户网关。根据本发明一优选实施例,所述QinQ VLAN标签处理设备包括数据中心出口 CE ; 对于来自所述VPC的下行数据流,数据中心出口 CE将所述下行数据流打上QinQVLAN标签后转发至数据中心接口的PE ;该方法还包括对于企业用户访问VPC的上行数据流,所述CE将所述PE转发来的上行数据流去掉QinQ VLAN标签后,转发给对应VPC。根据本发明一优选实施例,所述配置请求中还包括QoS控制信息;BNG、数据中心接口的PE或者数据中心出口 CE依据所述QoS控制信息进行数据流的转发。由以上技术方案可以看出,通过将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签的方式,在企业用户已申请的MPLS VPN中进行数据流的传输,通过这种方式数据中心只需要向运营商租用一个MPLSVPN便可以实现多个企业用户的VPC访问,降低了资源的占用,节约了成本。
图I为现有技术中的访问VPC的系统图;图2为本发明实施例提供的访问VPC的VPN虚拟化系统结构图;图3为本发明实施例一提供的配置过程的示意图;图4为本发明实施例二提供的上行数据转发过程的示意图;图5为本发明实施例二提供的下行数据转发过程的示意图。
具体实施方式为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。本发明基于如图2所示的系统,其核心思想在于,通过QinQ VLAN标签在数据中心与宽带网网关(BNG)之间实现多协议标签交互MPLS 二层VPN,即利用QinQ VLAN标签将数据中心与BNG之间的MPLS VPN虚拟化成若干个小带宽的MPLS VPN通道,来实现不同企业用户对VPC的访问。具体地,在BNG和IDC接口的边缘路由器PE (以下简称PE)上存储有QinQ VLAN标签对应的MPLS VPN信息,例如MPLS VPN ID,在CE设备上存储有QinQ VLAN标签对应的VPC信息,其中QinQ VLAN标签是针对企业用户配置的,通常一个企业对应一个QinQ VLAN标签,当然也不排除一个企业购买多个VLAN,这就存在一个企业对应多个QinQ VLAN标签。网关接收到来自企业用户的访问VPC的数据流时,在该数据流上打上该企业用户对应的QinQ VLAN标签,BNG接收到该数据流时,将该数据流打上该数据流携带的QinQ VLAN标签所对应的MPLS标签(可以采用MPLS VPNID标识)后转发至MPLS VPN, PE接收到该数据流时剥离MPLS标签并转发至CE,CE将该数据流转发至QinQ VLAN标签所对应的VPC。本发明提供的访问VPC的MPLS虚拟化包括两个过程网络配置过程和数据转发过程,下面分别通过两个实施例对这两部分内容分别进行详细描述。实施例一、如图2所示,为了实现网络配置过程,云管理平台增加了与VPN管理平台的接口以及与网关管理平台的接口。云管理平台是数据中心云资源的配置和管理平台,用于统一划分数据中心内VPC和网关的QinQ VLAN标签,在该云管理平台中包含企业用户租用的MPLS·VPN信息,包括MPLS ID ;将QinQ VLAN标签以及MPLS VPN ID作为配置信息发送给VPN管理平台,并将网关的QinQ VLAN标签作为QinQ参数发送给网关管理平台,将QinQVLAN标签以及对应的VPC信息下发给CE。CE为MPLS用户网络边缘设备,部署在数据中心出口,支持QinQ标签传送。网关管理平台将QinQ参数下发给对应的网关,网关完成QinQ VLAN标签的配置。此处的网关特指企业网关,即企业接入宽带网络的出口设备,本实施例中要求网关支持QinQ技术。在此对QinQ技术进行简单介绍QinQ技术出自IEEE 802. lad,其实现将用户私网VLAN标签封装在公网VLAN标签中,使得报文带着两层VLAN标签穿越运营商的骨干网络(公网)。在本发明实施例中QinQ VLAN标签和MPLS标签构成这两层VLAN标签穿越运营商网络。VPN管理平台将配置信息下发给BNG和PE,BNG和PE存储MPLS VPN信息和QinQVLAN标签之间的对应关系至转发表,BNG和PE以此完成转发表的配置。BNG是宽带接入城域网的网关设备,包括但不限于BRAS、SR等接入设备,要求支持QinQ技术和MPLS VPN技术。PE为MPLS服务提供商的边缘路由器,部署在数据中心出口接入运营商MPLS网络处,同样要求支持QinQ技术和MPLS VPN技术。优选地,云管理平台还可以将QinQ VLAN标签的QoS控制信息发送给VPN管理平台,由VPN管理平台下发给BNG和PE,供BNG和PE完成基于QinQ VLAN标签的QoS控制,另夕卜,云管理平台也可以将QoS控制信息发送给CE,供CE完成基于QinQ VLAN标签的QoS控制。其中QoS控制信息可以包括指定带宽信息、时延信息、优先级信息等QoS参数。下面通过图3对该配置过程进行详细描述,如图3所示,该配置过程主要包括企业用户已经预先向运营商申请了 IDC互联的MPLS VPN,即保证可以使用MPLSVPN通道,并且相关PE均已在电信网络中布设好。配置I :云管理平台向VPN管理平台发送配置请求,该配置请求中包括企业用户租用的MPLS VPN信息以及QinQ VLAN标签,其中MPLS VPN信息中可以包括MPLS ID与源IP、目的IP地址的捆绑关系,其中源IP、目的IP分别为网关IP和IDC对应IP,用于建立MPLS VPN通道。另外该配置请求中还可以包括指定带宽信息、时延信息、优先级信息等QoS控制信息。
VPN管理平台将配置请求下发给BNG和PE,BNG和PE将企业用户租用的MPLS VPN信息以及QinQ VLAN标签存储至转发表,另外还可以进一步存储QoS控制信息。这样,BNG和PE存储的内容就包括用户租用的MPLS VPN信息、QinQ VLAN标签、网关IP、IDC对应IP以及QoS参数。配置2 :云管理平台发送配置请求至网关管理平台,该配置请求中包括企业用户申请的QinQ VLAN标签。网关管理平台将配置请求下发给对应网关,网关将对应企业用户的QinQ VLAN标签进行存储。配置3 :云管理平台向CE下发配置请求,该配置请求中包括企业用户申请的QinQVLAN标签以及对应的VPC信息,还可以包括QoS控制信息。CE存储QinQ VLAN标签以及对应的VPC信息至转发表,还可以进一步存储QoS控制信息。这样CE存储的内容包括QinQ VLAN标签、VPC信息以及QoS参数。
上述配置I、配置2和配置3没有固定的先后顺序,图中仅为一种示例。企业用户租用的虚拟MPLS VPN通道是云管理平台通知VPN管理平台后,由VPN管理平台通知BNG和PE建立的,BNG和PE利用网关IP和IDC对应IP建立虚拟MPLS VPN通道。当企业用户不再租用VPC或者MPLS VPN时,云管理平台会经由VPN管理平台通知BNG和PE删除对应的配置,经由网关管理平台通知网关删除对应的配置,直接通知CE删除相应的配置,从而能够释放对应的资源供其他企业用户使用。实施例二、图4为本发明实施例二提供的上行数据转发过程的示意图,即企业用户访问VPC,如图4所示,包括以下流程步骤401 :网关将来自企业用户的访问VPC的数据流打上QinQ VLAN标签后转发至 BNG。由于在实施例一所述的配置过程中网关已经存储了对应企业用户的QinQ VLAN标签,因此当接收到来自企业用户的访问VPC的数据流后,将该数据流打上QinQ VLAN标签。步骤402 :BNG接收到该数据流后,将该数据流打上MPLS标签后通过QinQ VLAN标签对应的MPLS VPN转发。由于在实施例一所述的配置过程中BNG已经存储了 MPLS VPN信息、QinQ VLAN标签、网关IP、IDC对应IP以及QoS参数,因此接收到数据流后可以首先依据QinQ VLAN标签判断是否需要使用MPLS VPN,即判断是否能够查找到QinQ VLAN标签对应的MPLS VPN信息,另外还可以进一步判断数据流的源IP和目的IP是否与BNG中存储的绑定关系(网关IP、IDC对应IP与QinQ VLAN标签的绑定关系)一致,如果是,则将该数据流打上MPLS标签,该MPLS标签用来标识MPLS VPN,然后发送至对应的MPLSVPN通道。步骤403 PE通过MPLS VPN接收到该数据流后,去除MPLS标签后转发至CE。步骤404 CE去除数据流中的QinQ VLAN标签后将数据流发送至QinQVLAN标签对应的VPC。由于在实施例一所述的配置过程中CE已经存储了 QinQ VLAN标签、VPC信息以及QoS参数,因此,CE能够依据数据流中的QinQ VLAN标签确定出对应的VPC。另外,上述BNG、PE和CE在转发该数据流时,可以依据存储的QoS参数对数据流进行相应的QoS控制,例如按照QoS参数中指定的带宽、时延或优先级等进行转发。图5为本发明实施例二提供的下行数据转发过程的示意图,即IDC中VPC返回数据至企业用户,如图5所示,包括以下流程步骤501 :CE将来自VPC的数据流打上VPC对应的QinQ VLAN标签后转发至PE。由于在实施例一所述的配置过程中CE已经存储了 QinQ VLAN标签、VPC信息以及QoS参数,因此,CE能够依据数据流所来自的VPC确定出对应的QinQ VLAN标签。步骤502 PE接收到该数据流后,将该数据流打上MPLS标签后通过QinQ VLAN标签对应的MPLS VPN转发。由于在实施例一所述的配置过程中PE已经存储了 MPLS VPN信息、QinQ VLAN标签、网关IP、IDC对应IP以及QoS参数,因此接收到数据流后可以首先依据QinQ VLAN标签判断是否需要使用MPLS VPN,即判断是否能够查找到QinQ VLAN标签对应的MPLS VPN信息,另外还可以进一步判断数据流的源IP和目的IP是否与BNG中存储的绑定关系(网关IP、IDC对应IP与QinQ VLAN标签的绑定关系)一致,如果是,则将该数据流打上MPLS标签,该MPLS标签用来标识MPLS VPN,然后发送至对应的MPLSVPN通道。步骤503 =BNG通过MPLS VPN接收到该数据流后,去除MPLS标签后转发至网关。步骤504 :网关去除QinQ VLAN标签后将数据流发送给对应的企业用户。同样,上述BNG、PE和CE在转发该数据流时,可以进一步依据存储的QoS参数对数据流进行相应的QoS控制,例如按照QoS参数中指定的带宽、时延或优先级等进行转发。实际上,上述网关和CE是QinQ VLAN标签处理设备,用于将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签。BNG和PE是MPLS VPN传输设备,用于将打上QinQ VLAN标签的数据流在数据中心与BNG之间的MPLS VPN中进行传输。上述实施例不仅适用于单数据中心的访问,还适用于跨域私有云的访问。不仅适用于单企业用户的访问,还适用于多个分支机构的企业用户的访问,只要该多个分支机构的企业用户接入的BNG能够接入一个MPLS网络即可。由以上描述可以看出,本发明上述实施例提供的方法和系统具备以下优点I)IDC只需要向运营商租用一个MPLS VPN便可以实现多个企业用户的VPC访问,降低了资源的占用,节约了成本。2)由于使用了 MPLS VPN,可以很方便地在BNG、PE和CE等设备上实现QoS控制,使得企业用户的高QoS要求得到保证。3)数据传输过程中无需加密,相比较必须加密的IPSec VPN传输开销更少。4)在已有MPLS VPN基础上进行虚拟化,无需运营商的复杂配置,能够做到即开即通,例如客户在申请VPC的同时可申请租用QoS保证的VPN,然后通过云管理平台实现VPN的实时开通。另外在企业用户停止租用时,能够通过将对应配置删除的方式释放资源,供其他企业用户使用。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种访问虚拟私有云VPC的VPN虚拟化方法,其特征在于,预先配置企业用户申请的QinQ VLAN与MPLS VPN之间的对应关系,该方法包括 通过将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签的方式,在所述数据中心与宽带网网关BNG之间的MPLS VPN中进行所述数据流的传输。
2.根据权利要求I所述的方法,其特征在于,该方法还包括网络配置过程,具体包括 云管理平台向网关管理平台发送包含企业用户申请的QinQ VLAN标签的配置请求; 所述网关管理平台将所述配置请求下发给企业用户网关。
3.根据权利要求I所述的方法,其特征在于,该方法还包括网络配置过程,具体包括 云管理平台向VPN管理平台发送包含企业用户申请的QinQ VLAN标签以及MPLS VPN信息的配置请求; 所述VPN管理平台将所述配置请求下发给所述BNG和数据中心接口的边缘路由器PE。
4.根据权利要求I所述的方法,其特征在于,该方法还包括网络配置过程,具体包括 云管理平台向数据中心出口 CE下发包括企业用户申请的QinQ VLAN标签以及对应的VPC信息的配置请求。
5.根据权利要求I或2所述的方法,其特征在于,所述将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签具体包括对于企业用户访问VPC的上行数据流,企业用户网关将所述上行数据流打上QinQ VLAN标签后转发至BNG ; 该方法还包括对于来自所述VPC的下行数据流,所述企业用户网关将BNG转发来的所述下行数据流去掉QinQ VLAN标签后,转发给所述企业用户。
6.根据权利要求I或3所述的方法,其特征在于,在所述数据中心与BNG之间的MPLSVPN中进行所述数据流的传输具体包括 对于企业用户访问VPC的上行数据流,BNG将所述上行数据流打上MPLS标签后,通过所述QinQ VLAN标签对应的MPLS VPN通道转发至数据中心接口的PE,所述PE去除所述上行数据流的MPLS标签后转发至CE ; 对于来自所述VPC的下行数据流,所述PE将所述下行数据流打上MPLS标签后通过所述QinQ VLAN标签对应的MPLS VPN通道转发至所述BNG,所述BNG去除所述下行数据流的MPLS标签后转发至企业用户网关。
7.根据权利要求I或4所述的方法,其特征在于,所述将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN标签具体包括对于来自所述VPC的下行数据流,数据中心出口 CE将所述下行数据流打上QinQ VLAN标签后转发至数据中心接口的PE ; 该方法还包括对于企业用户访问VPC的上行数据流,所述CE将所述PE转发来的上行数据流去掉QinQ VLAN标签后,转发给对应VPC。
8.根据权利要求3或4所述的方法,其特征在于,所述配置请求中还包括QoS控制信息; 该方法还包括BNG、数据中心接口的PE或者数据中心出口 CE依据所述QoS控制信息进行数据流的转发。
9.一种访问虚拟私有VPC的VPN虚拟化系统,其特征在于,该系统包括 QinQ VLAN标签处理设备,用于将企业用户与数据中心的VPC之间交互的数据流打上QinQ VLAN 标签;MPLS VPN传输设备,用于将打上QinQ VLAN标签的数据流在所述数据中心与宽带网网关BNG之间的MPLS VPN中进行传输。
10.根据权利要求9所述的系统,其特征在于,该系统还包括 云管理平台,用于向网关管理平台发送包含企业用户申请的QinQ VLAN标签的配置请求; 网关管理平台,用于将所述配置请求下发给企业用户网关。
11.根据权利要求9所述的系统,其特征在于,该系统还包括 云管理平台,用于向VPN管理平台发送包含企业用户申请的QinQ VLAN标签以及MPLSVPN信息的配置请求; VPN管理平台,用于将所述配置请求下发给宽带网络网关BNG和数据中心接口的边缘路由器PE。
12.根据权利要求9所述的系统,其特征在于,该系统还包括 云管理平台,用于向数据中心出口 CE下发包括企业用户申请的QinQ VLAN标签以及对应的VPC信息的配置请求。
13.根据权利要求9或10所述的系统,其特征在于,所述QinQVLAN标签处理设备包括企业用户网关; 对于企业用户访问VPC的上行数据流,所述企业用户网关将上行数据流打上QinQVLAN标签后转发至BNG ; 对于来自所述VPC的下行数据流,所述企业用户网关将BNG转发来的所述下行数据流去掉QinQ VLAN标签后,转发给所述企业用户。
14.根据权利要求9或11所述的系统,其特征在于,所述MPLSVPN传输设备包括BNG和数据中心接口的PE ; 对于企业用户访问VPC的上行数据流,BNG将所述上行数据流打上MPLS标签后,通过所述QinQ VLAN标签对应的MPLS VPN通道转发至所述PE,所述PE去除所述上行数据流的MPLS标签后转发至CE ; 对于来自所述VPC的下行数据流,所述PE将所述下行数据流打上MPLS标签后通过所述QinQ VLAN标签对应的MPLS VPN通道转发至所述BNG,所述BNG去除所述下行数据流的MPLS标签后转发至企业用户网关。
15.根据权利要求9或12所述的系统,其特征在于,所述QinQVLAN标签处理设备包括数据中心出口 CE ; 对于来自所述VPC的下行数据流,数据中心出口 CE将所述下行数据流打上QinQ VLAN标签后转发至数据中心接口的PE ; 对于企业用户访问VPC的上行数据流,所述CE将所述PE转发来的上行数据流去掉QinQ VLAN标签后,转发给对应VPC。
16.根据权利要求11或12所述的系统,其特征在于,所述配置请求中还包括QoS控制信息; BNG、数据中心接口的PE或者数据中心出口 CE依据所述QoS控制信息进行数据流的转发。
全文摘要
本发明提供了一种访问虚拟私有云的VPN虚拟化方法和系统,预先配置企业用户申请的QinQ VLAN与MPLS VPN之间的对应关系,通过将企业用户与数据中心的虚拟私有云之间交互的数据流打上QinQ VLAN标签的方式,在所述企业用户已申请的MPLS VPN中进行所述数据流的传输。通过本发明提供的方法和系统只需要向运营商租用一个MPLS VPN便可以实现多个企业用户的虚拟私有云访问,降低了资源的占用,节约了成本;同时还能够保证企业用户的高QoS要求,无需加密从而节省了传输开销,另外无需复杂配置能够做到即开即通。
文档编号H04L12/46GK102891790SQ20121035663
公开日2013年1月23日 申请日期2012年9月21日 优先权日2012年9月21日
发明者谢朝阳, 侯光华, 广小明 申请人:中国电信股份有限公司云计算分公司