访问虚拟专用网的方法和装置与流程

本发明涉及通信技术领域，尤其涉及一种访问虚拟专用网的方法和装置。

背景技术：
VPN（VirtualPrivateNetwork，虚拟专用网）是在公众网络上建立的虚拟的专用网络，它具有与专用网络同样卓越的安全性、可靠性和易管理性。随着VPN的发展，出现了MPLS（Multi-protocolLabelSwitching，多协议标签交换）VPN。在MPLSVPN模型中，把路由器分为三类：CE（CustomerEdgeRouter,用户边缘路由器）、PE（ProviderEdgeRouter，运营商边缘路由器）和P（ProviderRouter，运营商骨干路由器），其中CE是用户网络的一个组成部分，有接口直接与运营商骨干网网络中的PE相连，CE感知不到VPN的存在，也不需要维护VPN的整个路由信息；PE是运营商边缘设备，与用户的CE以及运营商骨干网中的P相连，负责VPN业务接入；P负责快速转发数据，不与CE直接相连。在MPLSVPN网络中，根据PE设备是否参与VPN路由处理又细分为二层VPN和三层VPN，一般而言，MPLS/BGP（BorderGatewayProtocol，边界网关协议）VPN指的是三层VPN。为了实现路由隔离和信息隔离，MPLS/BGPVPN中使用了VRF(VPNRouting&ForwardingInstance，虚拟路由转发实例）和LSP（LabelSwitchingPath，标记交换路径）。在PE上存在有多个VRF表，这些VRF表是和PE上的一个或多个子接口相对应的，用于存放这些子接口所属VPN的路由信息。PE向CE转发报文时，由始发的VPN打上标记，这样PE在接收报文时可以根据这个标记进行转发。每个PE可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由表），多个VRF相互分离独立。各VRF和全局路由表之间的关系是通过在VRF中定义和VPN有关的参数RT（RouteTarget，路由目标）实现的。RT本质是每个VRF表达自己的路由取舍及喜好的方式，主要用于控制VPN路由的发布和安装策略。它分为输入路由目标(importRT)和输出路由目标（exportRT）两种属性，前者表示愿意接收什么属性的路由，而后者表示发出路由的属性。当PE发布路由时，设置路由所属VRF的输出路由目标属性值，直接发送给其他的PE设备，对端PE接收路由时，首先接收所有的路由，并根据自身的每个VRF设置的输入路由目标属性进行检查，如果与接收的路由中的输出路由目标属性值相一致，则将该路由传输给相应的用户设备。如此，每个用户设备只能对与各自VRFRT属性相同的VPN进行访问，实现了路由隔离和信息隔离。这种实现方案有一种局限性，由于VRFRT属性的限制，用户设备只能对一个与VRFRT属性相匹配的VPN进行访问。为了实现用户设备能够对多个不同的VPN进行访问，现有技术中采取的方案是：为与用户设备相连的CE配置多个VRF的输入路由目标属性值，使该输入路由目标属性值与用户设备想要访问的多个VPN的VRF输出路由目标属性值相对应；用户设备根据配置的VRF的输入路由目标属性值来访问多个对应的VPN，接收想要访问的VPN的路由，从而实现对多个VPN的访问。现有技术中至少存在如下问题：上述方案中，虽然用户设备能够对多个VPN进行访问，但是用户设备在访问时可以同时接收到多个VPN的路由信息，不能满足路由隔离和信息隔离的要求。

技术实现要素：
本发明的实施例提供一种访问虚拟专用网的方法和装置，解决了当用户设备对多个不相同的VPN进行访问，不能满足各VPN之间路由隔离和信息隔离要求的问题。为达到上述目的，本发明的实施例采用如下技术方案：第一方面，本发明的实施例提供一种访问虚拟专用网的方法，包括：根据用户的账户信息，确定所述用户需要访问的虚拟专用网VPN；向运营商边缘路由器PE发送配置报文，所述配置报文包括扩展字段，所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值；接收所述PE发送的确认消息，所述确认消息为所述PE根据所述配置报文完成相应配置后发送；向所述VPN发送业务报文，访问所述VPN。第二方面，本发明的实施例提供一种访问虚拟专用网的方法，包括：接收用户设备发送的配置报文；解析所述配置报文中的虚拟路由转发实例VRF属性值；将接收所述配置报文的接口的VRF属性配置为所述报文中的VRF属性值；向所述用户设备发送确认消息，以使得所述用户设备根据所述确认消息停止发送配置报文，并发送业务报文，访问与所述VRF属性值对应的虚拟专用网VPN。第三方面，本发明的实施例提供一种访问虚拟专用网的装置，包括：确定单元，用于根据用户的账户信息，确定所述用户需要访问的虚拟专用网VPN；发送单元，用于向运营商边缘路由器PE发送配置报文，所述配置报文包括扩展字段，所述扩展字段中包括与所述确定单元确定的VPN相对应的虚拟路由转发实例VRF属性值；接收单元，用于接收所述PE发送的确认消息，所述确认消息为所述PE根据所述发送单元发送的配置报文完成相应配置后发送；所述发送单元还用于向所述确定单元确定的VPN发送业务报文，访问所述VPN。第四方面，本发明的实施例提供一种访问虚拟专用网的装置，包括：接收单元，用于接收用户设备发送的配置报文；解析单元，用于解析所述接收单元接收的所述配置报文中虚拟路由转发实例VRF属性值；配置单元，用于将所述接收单元接收所述配置报文的接口的VRF属性配置为所述解析单元解析出的VRF属性值；发送单元，用于向所述用户设备发送确认消息，以使得所述用户设备根据所述确认消息停止发送配置报文，并发送业务报文，访问与所述解析单元解析的VRF属性值对应的虚拟专用网VPN。本发明实施例提供的一种访问虚拟专用网的方法和装置，与现有技术中，用户设备访问多个不同的VPN时，同时接收到多个VPN的信息，各信息之间不能相对独立的问题相比，本发明中通过用户设备登录不同的账户信息访问与账户信息绑定的VPN，实现对多个不同的VPN的访问，并且在用户设备访问每个VPN的过程中，只接收此VPN的信息，各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求。附图说明为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本发明一实施例提供的方法流程图；图2为本发明又一实施例提供的方法流程图；图3为本发明又一实施例提供的网络架构示意图；图4为本发明又一实施例提供的方法流程图；图5为本发明又一实施例提供的网络架构示意图；图6为本发明又一实施例提供的方法流程图；图7、图8为本发明又一实施例提供的装置结构示意图；图9、图10为本发明又一实施例提供的装置结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。本发明一实施例提供一种访问虚拟专用网的方法，用于用户设备，如图1所示，所述方法包括：101、用户设备根据用户的账户信息，确定用户需要访问的虚拟专用网VPN。其中，用户设备已经将账户信息与VPN进行绑定，且为账户信息和VPN一一对应，采用的方法可以是在用户设备中建立账户信息和VPN的VRF属性值的数据库，当用户使用用户设备登录账户信息时，用户设备会自动在数据库内进行查询，找到与登录的账户信息所对应的VPN以及其VRF属性值。本发明实施例对将所述账户信息与所述VPN进行绑定的实现方式不做限定，可以是本领域技术人员所熟知的任意实现方式。可选的，用户设备中的数据库建立时，可以加入用户设备所在全局网络中所有的VPN；或者，可以根据用户的需要或者习惯填充内容，将经常要访问的VPN添加到所述数据库。可选的，与各VPN相对应的账户信息也可由用户自己设定，只要满足账户信息和VPN为一一对应的关系即可。可选的，用户设备可以是个人计算机、手机等可以访问VPN的终端设备。102、用户设备向运营商边缘路由器PE发送配置报文，所述配置报文包括扩展字段，所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值。例如，用户设备与PE的端口直接相连，在用户设备查询到用户想要访问的VPN时，将带有此VPN对应的VRF属性值的配置报文封装，封装的配置报文具有固定的格式，内容主要包含目的IP地址和源IP地址，封装时报文增加附加字段，填充为所述VRF属性值。报文封装后，由于网络中可能会发生丢包问题，所以用户设备将封装的报文周期性的发送给PE。103、用户设备接收PE发送的确认消息，所述确认消息为PE根据配置报文完成相应配置后发送。104、用户设备向VPN发送业务报文，访问VPN。其中，用户设备发送的业务报文与用户设备发送的配置报文是两种不同的报文，在用户设备接收到确认消息后，发送的业务报文会通过PE1传输给VPN1，无需再进行接口的VRF属性进行判断，则无需再发送配置报文，如此缩短网络带宽的浪费，并减少处理的过程。需要说明的是，现有技术中是用户设备同时接收不同VPN的信息，如果不同的VPN中包含了相同的地址，用户设备接收后将无法分辨其来自哪个VPN，导致地址冲突；在本实施例中用户设备接收确认消息后，可对需要访问的VPN进行访问，若需要访问其他VPN，重新登录其所对应的账户信息即可，即使不同的VPN中包含了相同的地址，用户设备不会同时接收，避免了地址冲突。与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比，本发明实施例中用户设备通过登录不同的账户信息访问与账户信息绑定的VPN，实现对多个不同的VPN的访问，并且在用户访问每个VPN的过程中，只接收此VPN的信息。解决了现有技术中用户设备需要访问不同VPN时，同时接收多个VPN的信息，各信息之间不能相对独立的问题。通过解决上述技术问题，能够使各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求。本发明又一实施例提供一种访问虚拟专用网的方法，用于与用户设备相连的运营商边缘路由器PE，如图2所示，所述方法包括：201、运营商边缘路由器接收用户设备发送的配置报文。其中，在所述接收用户设备发送的配置报文之前，PE需要配置各VPN的属性，并配置PE与对端运营商边缘路由器之间运行的路由协议和各VPN下运行的路由协议。PE接收用户设备发送的配置报文后，对接收的报文进行识别，报文的类型与定义的类型匹配，执行步骤202。202、运营商边缘路由器解析配置报文中的虚拟路由转发实例VRF属性值。其中，所述解析所述配置报文是对配置报文进行处理得到其附加字段的值，根据附加字段的值得到需要访问的VPN的VRF属性值，进而可以得到需要访问的VPN。203、运营商边缘路由器将接收配置报文的接口的VRF属性配置为配置报文中的VRF属性值。其中，提取接口的VRF属性；对提取的接口的VRF属性和解析的报文中VRF属性进行比较，如果两者不相同时，将接口的VRF属性配置为报文中的VRF属性，由于在配置属性过程中，接口的IP地址会消失，所以需要将提取的IP地址重新配置给接口；如果两者相同，则不对接口进行处理。PE将接口地址传输给对端运营商边缘路由器，该对端运营商边缘路由器与要访问的VPN相连。204、运营商边缘路由器向所述用户设备发送确认消息，以使得用户设备根据确认消息停止发送配置报文，并发送业务报文，访问与所述VRF属性值对应的虚拟专用网VPN。可选的，由于用户设备与PE是直接相连，如果有多个用户设备需要通过PE访问不同的VPN，而PE的接口数量有限，则可以在用户设备与PE之间增加MCE（Multi-CustomEdge，多角色用户边缘设备），并对MCE进行配置，实现多用户设备同时访问各自需要访问的VPN。与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比，本发明实施例中PE根据配置报文中的VRF属性，对接收配置报文的接口完成配置，使用户设备访问需要访问的VPN时，PE通过接口只能传输此VPN的信息，与其他VPN的信息相对独立。解决了现有技术中用户设备需要访问不同VPN时，PE同时接收多个VPN的信息，并将其传输给用户设备，各信息之间不能相对独立的问题。通过解决上述技术问题，能够使各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求。本发明又一实施例提供一种访问虚拟专用网方法，网络连接如图3所示，用户设备PC与运营商边缘路由器PE1通过接口1直接相连，PE1通过接口2与运营商骨干路由器P相连,对端运营商边缘路由器PE2通过接口3与P相连，PE2通过其他接口与各VPN下用户边缘路由器CE相连，CE1属于VPN1，CE2属于VPN2，PE1与PE2之间运行边界网关协议BGP，VPN1和VPN2是全局网络中两个不同的虚拟专用网，最初始状态时，接口1属于全局接口，用户设备此时不能访问VPN1和VPN2，如图4所示，所述方法包括：301、配置运营商边缘路由器PE1和PE2。其中，在PE1和PE2配置虚拟专用网VPN1和VPN2，并配置BGP与各VPN下运行的路由协议。302、用户设备PC建立数据库。其中，用户设备中的数据库建立时，可以加入本全局网络中所有的VPN；或者，可以根据用户的需要或者习惯填充内容，将经常要访问的VPN添加到所述数据库。可选的，与各VPN相对应的账户信息也可由用户自己设定，只要满足账户信息和VPN为一一对应的关系即可。例如，在用户设备上建立账户信息与VPN1和VPN2一一对应的数据库，账户信息a与VPN1绑定，账户信息b与VPN2绑定。303、用户设备根据账户信息，确定账户信息需要访问的虚拟专用网VPN。需要说明的是，各VPN都有与之对应的VRF属性值，且为一一对应，例如，与VPN1对应的VRF1属性值为1，与VPN2对应的VRF2属性值为2。在本实施例中，用户登录账户信息a之后，用户设备根据账户信息在数据库中进行查询，查询结果为与账户信息a对应的是VPN1，则可以确定用户想要访问的是VPN1，并得到VPN1的虚拟路由转发实例VRF1属性值为1。304、用户设备向PE1发送包括VRF1属性值的配置报文。例如，将带有VRF1属性值的配置报文封装，封装的配置报文具有固定的格式，内容主要包括目的IP地址和源IP地址，封装时报文增加附加字段，填充为所述VRF属性值。本实施例中，源IP地址为1.1.1.2，目的IP地址为1.1.1.1，则报文内容包括目的IP地址和源IP地址，增加附加字段填充为VRF1属性值1。报文封装后，用户设备将其周期性的发送给PE1。305、运营商边缘路由器PE1解析接收的配置报文中的VRF1属性值。其中，PE1接收用户设备发送的配置报文后，对接收的报文的类型进行识别，报文的类型与定义的类型匹配，对其进行解析。解析接收的配置报文是对配置报文进行处理，得到其附加字段的值，根据附加字段的值得到需要访问的VPN的VRF属性值，进而可以得到需要访问的VPN。本实施例中，PE1对接收到的配置报文进行识别，报文类型正确，解析配置报文，得到附加字段为1，由于步骤301已经对PE1完成配置，则根据附加字段值可知用户需要访问的VPN的VRF属性值为1，即用户需要访问的VPN为VPN1。306、运营商边缘路由器PE1将接口1的属性配置为解析配置报文的VRF属性值。其中，PE1在配置接口1属性之前，提取接口1的属性。对提取的接口1属性和解析的报文中VRF属性进行比较，如果两者不相同时，由于PE1的各接口IP地址不同，则此时需要提取接口的IP地址，将所述接口的VRF属性配置为所述报文中的VRF属性；如果两者相同，则不对所述接口进行处理。例如，PE1提取接口1的属性，此时接口1的属性为全局接口，IP地址为1.1.1.1。PE1将接口1属性与VRF1属性进行比较，由于接口1的属性为全局接口属性，VRF1属性为VPN1的属性，两者不相同，则提取接口1的IP地址，将接口1的属性配置为VRF1属性，并将提取的IP地址重新配置给接口1。配置完成后，PE1将接口1地址通过BGP传输给PE2。需要说明的是，由于在修改接口1属性的过程中，接口1的IP地址会消失，所以需要当提取的接口1属性和解析的报文中VRF属性不同时，需要提取接口1的IP地址，在属性配置完成后，将提取的IP地址重新配置给接口1。307、运营商边缘路由器PE1向用户设备发送确认消息。308、用户设备向VPN1发送业务报文。其中，用户设备发送的业务报文与用户设备发送的配置报文是两种不同的报文，在用户设备接收到确认消息后，发送的业务报文会通过PE1传输给VPN1，无需再进行接口的VRF属性进行判断，则无需再发送配置报文，如此缩短网络带宽的浪费，并减少处理的过程。需要说明的是，现有技术中是用户设备同时接收不同VPN的信息，如果不同的VPN中包含了相同的地址，用户接收后将无法分辨，导致地址冲突；在本实施例中用户设备接收确认消息后，可对需要访问的VPN进行访问，若需要访问其他VPN，重新登录其所对应的账户信息即可，即使不同的VPN中包含了相同的地址，用户设备不会同时接收，避免了地址冲突。与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比，本发明实施例中通过用户设备登录不同的账户信息访问与账户信息绑定的VPN，实现对多个不同的VPN的访问；在用户访问每个VPN时，PE根据配置报文中的VRF属性，对接收配置报文的接口完成配置，使用户设备访问需要访问的VPN时，PE1只能通过接口传输此VPN的信息，用户设备只接收此VPN的信息，与其他VPN的信息相对独立。解决了现有技术中用户设备需要访问不同VPN时，同时接收多个VPN的信息，各信息之间不能相对独立的问题。通过解决上述技术问题，能够使各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求。本发明又一实施例提供一种访问虚拟专用网方法，在用户设备PC和运营商边缘路由器PE1之间，加入多角色用户边缘设备MCE，MCE主要用于对PE1接口的扩展；由于PE1的接口数量有限，如果有多个PC需要通过PE1访问不同的VPN，则可以在PC与PE1之间增加MCE，并对MCE进行配置，实现多用户设备同时访问各自需要访问的VPN，网络连接如图5所示，PC与MCE通过接口1直接相连，MCE通过接口9与PE1相连，PE1通过接口2与运营商骨干路由器P相连，对端运营商边缘路由器PE2通过接口3与P相连，PE2通过其他接口与各VPN下用户边缘路由器CE相连，PE1与PE2之间运行边界网关协议BGP，VPN1和VPN2是全局网络中两个不同的虚拟专用网，CE1属于VPN1，CE2属于VPN2，最初始状态时，接口1属于全局接口，用户设备此时不能访问VPN1和VPN2，如图6所示，所述方法包括：401、配置运营商边缘路由器PE1、PE2和多角色用户边缘设备MCE。其中，在MCE、PE1和PE2配置虚拟专用网VPN1和VPN2，并在PE1和PE2上配置BGP与各VPN下运行的路由协议，在MCE上配置各VPN下运行的路由协议。402、用户设备PC建立数据库。其中，用户设备中的数据库建立时，可以加入本全局网络中所有的VPN；或者，可以根据用户的需要或者习惯填充内容，将经常要访问的VPN添加到所述数据库。可选的，与各VPN相对应的账户信息也可由用户自己设定，只要满足账户信息和VPN为一一对应的关系即可。例如，在用户设备上建立账户信息与VPN1和VPN2一一对应的数据库，账户信息a与VPN1绑定，账户信息b与VPN2绑定。403、用户设备根据账户信息，确定账户信息需要访问的虚拟专用网VPN。需要说明的是，各VPN都有与之对应的VRF属性值，且为一一对应，例如，与VPN1对应的VRF1属性值为1，与VPN2对应的VRF2属性值为2。在本实施例中，用户登录账户信息a之后，用户设备根据账户信息在数据库中进行查询，查询结果为与账户信息a对应的是VPN1，则可以确定用户想要访问的是VPN1，并得到VPN1的虚拟路由转发实例VRF1属性值为1。404、用户设备向MCE发送包括VRF1属性值的配置报文。例如，将带有VRF1属性值的配置报文封装，封装的配置报文具有固定的格式，内容主要包括目的IP地址和源IP地址，封装时报文增加附加字段，填充为所述VRF属性值。本实施例中，源IP地址为1.1.1.2，目的IP地址为1.1.1.1，则报文内容包括目的IP地址和源IP地址，增加附加字段填充为VRF1属性值1。报文封装后，用户设备将其周期性的发送给MCE。405、多角色用户边缘设备MCE解析接收的配置报文中的VRF1属性值。其中，MCE接收用户设备发送的配置报文后，对接收的报文的类型进行识别，报文的类型与定义的类型匹配，对其进行解析。解析接收的配置报文是对配置报文进行处理，得到其附加字段的值，根据附加字段的值得到需要访问的VPN的VRF属性值，进而可以得到需要访问的VPN。本实施例中，MCE对接收到的配置报文进行识别，报文类型正确，解析配置报文，得到附加字段为1，由于步骤401已经对MCE完成配置，则根据附加字段值可知用户需要访问的VPN的VRF属性值为1，即用户需要访问的VPN为VPN1。406、多角色用户边缘设备MCE将接口1的属性配置为解析配置报文的VRF属性值。其中，MCE在配置接口1属性之前，提取接口1的属性。对提取的接口1属性和解析的报文中VRF属性进行比较，如果两者不相同时，由于MCE的各接口IP地址不同，则此时需要提取接口的IP地址，将所述接口的VRF属性配置为所述报文中的VRF属性；如果两者相同，则不对所述接口进行处理。例如，MCE提取接口1的属性，此时接口1的属性为全局接口，IP地址为1.1.1.1。MCE将接口1属性与VRF1属性进行比较，由于接口1的属性为全局接口属性，VRF1属性为VPN1的属性，两者不相同，则提取接口1的IP地址，将接口1的属性配置为VRF1属性，并将提取的IP地址重新配置给接口1。配置完成后，MCE将接口1地址传输给PE1和PE2。需要说明的是，由于在修改接口1属性的过程中，接口1的IP地址会消失，所以需要当提取的接口1属性和解析的报文中VRF属性不同时，需要提取接口1的IP地址，在属性配置完成后，将提取的IP地址重新配置给接口1。407、多角色用户边缘设备MCE向用户设备发送确认消息。408、用户设备向虚拟专用网VPN1发送业务报文。其中，用户设备发送的业务报文与用户设备发送的配置报文是两种不同的报文，在用户设备接收到确认消息后，发送的业务报文会通过MCE传输给VPN1，无需再进行接口的VRF属性进行判断，则无需再发送配置报文，如此缩短网络带宽的浪费，并减少处理的过程。需要说明的是，现有技术中是用户设备同时接收不同VPN的信息，如果不同的VPN中包含了相同的地址，用户接收后将无法分辨其来自哪个VPN，导致地址冲突；在本实施例中用户设备接收确认消息后，可对需要访问的VPN进行访问，若需要访问其他VPN，重新登录其所对应的账户信息即可，即使不同的VPN中包含了相同的地址，用户设备不会同时接收，避免了地址冲突。与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比，本发明实施例中通过用户设备登录不同的账户信息访问与账户信息绑定的VPN，实现对多个不同的VPN的访问；在用户访问每个VPN时，MCE根据配置报文中的VRF属性，对接收配置报文的接口完成配置，使用户设备访问需要访问的VPN时，MCE通过接口只能传输此VPN的信息，用户设备只接收此VPN的信息，与其他VPN的信息相对独立；当多个用户同时访问各自想要访问的VPN时，MCE分别对各与用户设备相连的接口进行配置，使各用户设备访问需要访问的VPN时，MCE通过接口只能传输与其相应的VPN的信息。解决了现有技术中用户设备需要访问不同VPN时，同时接收多个VPN的信息，各信息之间不能相对独立的问题。通过解决上述技术问题，能够使用户设备访问不同的VPN时，各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求；并且通过MCE对PE1的接口进行扩展，实现多用户设备同时访问各自VPN的功能。本发明又一实施例提供一种访问虚拟专用网装置50，如图7所示，所述装置50包括：确定单元51，用于根据用户的账户信息，确定所述用户需要访问的虚拟专用网VPN；发送单元52，用于向运营商边缘路由器PE发送配置报文，所述配置报文包括扩展字段，所述扩展字段中包括与所述确定单元51确定的VPN相对应的虚拟路由转发实例VRF属性值；接收单元53，用于接收所述PE发送的确认消息，所述确认消息为所述PE根据所述发送单元52发送的配置报文完成相应配置后发送；所述发送单元52还用于向所述确定单元51确定的VPN发送业务报文，访问所述VPN。进一步的，如图8所示，所述装置50还可以包括：绑定单元54，用于将所述用户的账户信息与所述VPN进行绑定，所述用户的账户信息与所述VPN一一对应。其中，所述绑定单元54将用户设备的账户信息与所述VPN进行绑定，所述账户信息和所述VPN一一对应，可以采用的方法在步骤101中有相应的描述，本发明实施例不在赘述。需要说明的是，所述装置50可以为用户设备等，现有技术中是用户设备同时接收不同VPN的信息，如果不同的VPN中包含了相同的地址，用户设备接收后将无法分辨其来自哪个VPN，导致地址冲突；在本实施例中用户设备接收确认消息后，可对需要访问的VPN进行访问，若需要访问其他VPN，重新登录其所对应的账户信息即可，即使不同的VPN中包含了相同的地址，用户设备不会同时接收，避免了地址冲突。与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比，本发明实施例中装置50通过登录不同的账户信息访问与账户信息绑定的VPN，实现对多个不同的VPN的访问，并且在用户访问每个VPN的过程中，只接收此VPN的信息。解决了现有技术中装置50需要访问不同VPN时，同时接收多个VPN的信息，各信息之间不能相对独立的问题。通过解决上述技术问题，能够使各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求。本发明又一实施例提供一种访问虚拟专用网装置60，如图9所示，所述装置60包括：接收单元61，用于接收用户设备发送的配置报文；解析单元62，用于解析所述接收单元61接收的所述配置报文中虚拟路由转发实例VRF属性值；配置单元63，用于将所述接收单元61接收所述配置报文的接口的VRF属性配置为所述解析单元62解析出的VRF属性值；发送单元64，用于向所述用户设备发送确认消息，以使得所述用户设备根据所述确认消息停止发送配置报文，并发送业务报文，访问与所述解析单元62解析的VRF属性值对应的虚拟专用网VPN。进一步的，所述配置单元63还用于：配置各个VPN的路由目标RT属性，配置各路由协议，所述路由协议为与对端运营商边缘路由器之间的路由协议和所述VPN下的路由协议。进一步的，如图10所示，所述配置单元63还可以包括：获取子单元631，用于获取所述接收单元61接收的所述配置报文的接口的VRF属性值；判断子单元632，用于判断所述获取子单元631获取的接口VRF属性值与所述解析单元62解析出的VRF属性值是否相同；修改子单元633，用于当所述判断子单元632判定获取的接口的VRF属性值与所述解析单元62解析出的VRF属性值不相同时，提取所述接口的网络协议IP地址，将所述接口的VRF属性值修改为所述解析单元62解析出的VRF属性值，并将所述接口的IP地址配置为提取的IP地址；则所述发送单元64还用于当所述判断子单元632判定所述接口的VRF属性值与所述解析单元62解析出的VRF属性值相同时，向所述用户设备发送确认消息。与现有技术中用户设备访问多个VPN时不能满足各VPN之间路由隔离和信息隔离的要求相比，本发明实施例中装置60根据配置报文中的VRF属性，对接收配置报文的接口完成配置，使用户设备访问需要访问的VPN时，装置60通过接口只能传输此VPN的信息，与其他VPN的信息相对独立。解决了现有技术中用户设备需要访问不同VPN时，装置60同时接收多个VPN的信息，并将其传输给用户设备，各信息之间不能相对独立的问题。通过解决上述技术问题，能够使各VPN信息之间相对独立，满足各VPN之间路由隔离和信息隔离的要求。本发明实施例提供的一种访问虚拟专用网装置可以实现上述提供的方法实施例，具体功能实现请参见方法实施例中的说明，在此不再赘述。本发明实施例提供的一种访问虚拟专用网方法及装置可以适用于虚拟专用网，但不仅限于此。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-OnlyMemory，ROM）或随机存储记忆体（RandomAccessMemory，RAM）等。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。