一种物理网关及其复用IP地址的方法与流程

本发明实施例涉及互联网通信领域，具体涉及一种物理网关及其复用ip地址的方法。

背景技术：

随着移动互联网的高速发展，用户浏览网站信息的途径已经从单一的pc端越来越多转变为移动端设备。与在pc端浏览网站信息不同的是，移动端用户在使用2/3/4g网络上网前都需要通过radius认证，从网关节点的私网终端地址池ippool中获取终端ip地址。因此，用户数量的高速发展促使对应的网络设备不断新建，其中就包括网关节点的大量建设。

手机/移动终端用户越来越多，而ipv4协议中预留的私网ip地址数量却非常有限，而且同一套网关下带的网关节点的私网终端地址池ippool中的地址不可重复，基于此需要对现网核心网的终端地址池ippool进行复用，即在不同网关之间复用私网终端地址池ippool，但网关的数量有限而且设备负荷不高，而继续新建网关则没有必要而且浪费投资。

基于现状，目前现网存在两种方案可以继续满足越来越多的新建的网关节点的对接需求：

1、继续优化不同网关之间的复用方案：尽量调整网关节点的ip地址池，使得同一个网关下的网关节点的ip地址池之间不冲突，并争取尽量达到网关可接入网关节点数量的理论最大值。

本方案的缺点在于：核心网ippool地址池复用后，根据同一个网关对于复用ip地址池的网关节点不能同时接入的原则，每次接入新建的网关节点都要进行终端ip地址池核对和调整，需要投入大量人力而且容易出错；另外，在现网网关数量有限的前提下，实际上现网已经接近网关可对接的网关节点的理论最大数量，面临无机会可调的情况，制约了业务开展。

2、优化apn融合方案：减少承载代理请求的网关节点的个数，将cmnet和cmwap的业务将完全区分开，将cmwapapn配置代理10.0.0.172的业务集中到少量的网关节点上，只需将该少量的网关节点对接wap网关；其余cmnet和cmwap不配代理的业务承载在其他网关节点上，该部分网关节点不用再对接wap网关，从而减少需要对接wap网关的网关节点的数量。

本方案的缺点在于：cmnetapn配置代理ip的业务将无法使用。

技术实现要素：

在不额外增加硬件、不改变网络架构及原有业务流程的情况下，为了解决私网ip地址短缺的问题，本发明提供一种物理网关及其复用ip地址的方法。

第一方面，本发明实施例提供一种物理网关，包括：路由器设备、防火墙设备、交换机设备及服务器；

所述路由器设备虚拟化为多个vpn组，每个vpn组包括至少一个gre隧道和至少一个vlan接口；

所述防火墙设备虚拟化多个虚拟防火墙组，每个虚拟防火墙组与所述每个vpn组通过所述vlan接口一一对应连接；

所述交换机设备虚拟化多个vlan组，每个vlan组与所述每个虚拟防火墙组一一对应连接；

所述服务器物理划分为多个网关组，每个网关组与所述vlan组一一对应连接。

第二方面，本发明实施例提供一种物理网关复用ip地址的方法，该方法包括：

每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；

每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；

每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

第三方面，本发明实施例提供一种电子设备，所述电子设备包括：存储器和处理器，所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

第四方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如下方法：每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

本发明实施例提供的物理网关及其复用ip地址的方法，通过将物理网关的gre路由器和防火墙通过划分为多组vpn进行逻辑隔离，交换机通过划分多组vlan进行逻辑隔离，网关服务器和存储设备不进行虚拟化，通过物理设备的划分成为对等组数的独立分组，每个分组均对应一个逻辑网关节点，也即通过将一套物理网关或者wap网关虚拟化为多套独立的逻辑网关，从而使每套逻辑网关节点均能独立接入终端ip地址池不重复的网关节点，达到终端私网ip地址复用的效果。

附图说明

图1为本发明实施例提供的物理网关的结构示意图；

图2为本发明实施例提供的物理网关进行复用ip地址的方法的流程示意图；

图3为本发明实施例提供的电子设备的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的物理网关的结构示意图。如图1所示，该物理网关包括：路由器设备、防火墙设备、交换机设备及服务器；

所述路由器设备虚拟化为多个vpn组，每个vpn组包括至少一个gre隧道和至少一个vlan接口；

所述防火墙设备虚拟化多个虚拟防火墙组，每个虚拟防火墙组与所述每个vpn组通过所述vlan一一对应连接；

所述交换机设备虚拟化多个vlan组，每个vlan组与所述每个虚拟防火墙组一一对应连接；

所述服务器物理划分为多个网关组，每个网关组与所述vlan组一一对应连接。

具体地，物理网关的路由器设备(简称gre设备)和防火墙设备(简称fw设备)通过划分为多组vpn进行逻辑隔离，交换机设备(包括三层交换机和四层交换机)通过划分多组vlan进行逻辑隔离，服务器和存储设备(图中未示出)不进行虚拟化，通过物理设备的划分成为多个独立的分组，每个分组均对应一个虚拟的逻辑网关。该物理网关通过vpn隔离为多组逻辑网关，每组逻辑网关包括一个vpn组、一个虚拟防火墙组、一个vlan组和一个网关组。需要说明的是，图1中仅以将一个物理网关分为3组逻辑网关作为示例，具体将物理网关分为几组逻辑网关，可根据物理设备的数量以及业务量的多少而决定。本实施例中的物理网关包括综合网关和wap网关，所谓综合网关为既能接入wap业务又能接入net业务的网关，wap业务和net业务均包括设置了代理ip和未设置代理ip的业务。

在上述实施例的基础上，该物理网关中的服务器包括：网关服务器和imdb服务器。

具体地，网关服务器用于将请求不同业务的用户请求分发到不同的功能服务器。imdb(inmemorydatabase)服务器(又称为imdb数据库)，用于存储radius数据，其中radius数据主要包括ip地址和手机号的对应关系；radius请求到达网关服务器，网关服务器将数据写入、更新或者删除到imdb数据库中。当用户请求到达各自网关组，该网关组中的网关服务器向imdb服务器发起查询，如果在imdb数据库中存在ip地址和该用户的手机号码之间的对应关系，该用户则可以进行上网业务；若没有查询到对应关系，该用户则无法进行上网业务。也即，imdb服务器用于对用户请求进行radius鉴权，若鉴权通过用户可以进行上网业务，若不通过用户则无法进行上网业务。此外，服务器还可包括话务服务器和业务服务器等其他功能的服务器。

本发明实施例提供的物理网关，将gre路由器和防火墙划分为多组vpn进行逻辑隔离，网关服务器和存储设备不进行虚拟化，通过物理设备的划分成为对等组数的独立网关组，每个网关组均对应一个逻辑网关，也即通过将一套物理网关或者wap网关虚拟化为多套独立的逻辑网关，从而使每套逻辑网关节点均能独立接入终端ip地址池不重复的网关节点，达到终端私网ip地址复用的效果。

一般地，用户终端获取终端ip地址的流程为：当ueinitialattach(第一次附着)2/3g/lte网络，ue向网关节点请求一个pdn连接，网关节点会从其配置的ip地址池中分配一个ip地址，然后向该网关节点所连接的物理网关发送含ip地址、msisdn、nas/ggsnid等信息的radius上线请求消息，物理网关接收到radius上线请求消息后，将数据写入imdb数据库，成功后向该网关节点转发radius上线响应消息，该网关节点在默认承载建立的同时将ip地址传送给ue。而ue获取该ip地址后，则可使用由pdn提供的服务。

图2为本发明实施例提供的物理网关进行复用ip地址的方法的流程示意图。在物理网关被vpn隔离为多组逻辑网关，每组逻辑网关组包括vpn组、虚拟防火墙组、vlan组和对应网关组的组网架构下，如图2所示，该方法包括以下步骤：

s201、每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；具体地，本实施例中，预先为复用ip地址池的网关节点绑定了不同的逻辑网关。ip地址池重复的网关节点通过各自对应的gre隧道接入gre路由器，每个vpn组通过gre隧道接收各自网关节点发送的用户请求，然后将该用户请求通过vlan接口发送给与该vlan接口对应的虚拟防火墙组。

s202、每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；

具体地，vpn组将用户请求路由至对应的虚拟防火墙组后，该虚拟防火墙组获取该用户请求(此时也可称为radius请求)中的初始ip地址，若初始ip地址为需要进行区分的预设radiusip地址，则需要对该初始ip地址进行翻译。若初始ip地址不是预设radiusip地址，虚拟防火墙组可将用户请求可直接通过vrf将用户请求发送至对应的vlan组。vpn路由转发表(virtualroutingforwarding；简称vrf)，也称vpn-instance(vpn实例)，通过所述vrf，每个虚拟防火墙组可以查询到与自己连接的vlan组。

例如，中国移动2/3/4g核心网中配置的radiusip为10.0.0.173，也即若该初始ip地址是10.0.0.173，则需要对目标地址进行翻译转换进行区分，为该用户请求重新分配一个新ip地址。例如，在物理网关被vpn隔离为三组逻辑网关的情况下，虚拟防火墙组1将目标10.0.0.173：1812/1813映射成10.0.0.172：1812/1813；虚拟防火墙组2不做翻译；虚拟组防火墙3，将目标10.0.0.173：1812/1813映射成10.0.0.174：1812/1813。然后，各虚拟防火墙组将用户请求通过vrf将具有新ip地址的用户请求发送至对应的vlan组。若该初始ip地址不是10.0.0.173，则该虚拟防火墙组则无需地址翻译，可直接通过vrf将用户请求发送至对应的vlan组。

s203、每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

具体地，每个网关组已预先连接至对应的vlan组，每个vlan组接收到用户请求后，则该用户请求发送至对应的网关组，之后网关组负责处理该用户请求的业务。

本发明实施例提供的物理网关复用ip地址的方法，通过将物理网关的gre路由器和防火墙通过划分为多组vpn进行逻辑隔离，网关服务器和存储设备不进行虚拟化，通过物理设备的划分成为对等组数的独立网关组，每个网关组均对应一个逻辑网关，也即通过将一套物理网关或者wap网关虚拟化为多套独立的逻辑网关，从而使每套逻辑网关节点均能独立接入终端ip地址池不重复的网关节点，达到终端私网ip地址复用的效果。

进一步地，上述各实施例中的网关节点包括ggsn节点和/或saegw节点。

具体地，ggsn(gatewaygprssupportnode)节点为网关gprs支持节点。ggsn节点具有封装和隧道传输功能，可以将来自外部数据网的pdp用gtp字头和tcp/ip或udp/ip字头进行分装的功能,并以这些字头中的相关地址信息作为标识，在gprs骨干网中,利用一条点对点的双向隧道来传输封装数据。saegw(sgw-pgw)节点，sgw(servinggateway)为服务网关，pgw(pdngateway)为pdn网关，二者为移动通信网络epc中的重要网元，sgw负责将接收到的用户请求转发给指定的pgw网元；pgw负责提供用户的会话管理和承载控制、数据转发、ip地址分配以及非3gpp用户接入等功能。sgw和pgw合设并被称为sae-gw。

图3为本发明实施例提供的电子设备的结构框图。如图3所示，该电子设备包括：如图3所示，该电子设备包括：存储器302和处理器301，所述处理器301和所述存储器302通过总线303完成相互间的通信；所述存储器302存储有可被所述处理器执行的程序指令，所述处理器301调用所述程序指令能够执行如下方法，例如包括：每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：每个vpn组通过gre隧道接收网关节点发送的用户请求，并将所述用户请求通过vlan接口发送至对应的虚拟防火墙组；每个虚拟防火墙组接收到所述用户请求后，根据所述用户请求中的初始ip地址，将所述用户请求通过vpn路由转发表发送至对应的vlan组；每个vlan组接收到所述用户请求后，将所述用户请求发送至对应的网关组。

本发明实施例提供的物理网关及其复用ip地址的方法，第一，在不额外增加硬件、不改变网络架构及原有业务流程的情况下解决了地址池冲突的问题，有利于提高手机端私有地址池复用率；第二，通过虚拟逻辑网关，使得各网关节点业务处理过程互不相关和互不影响，提高了物理网关业务处理能力和设备利用率；第三，无需核心网侧做大量割接、配置、调测等复杂工作，减少大量工作量，而且风险较低；第四，从业务层面看和现网无任何区别，不影响任何配置下的用户正常使用网络，不会因此改造增加无法上网的投诉。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。