一种VPN管理方法、装置及系统与流程

本发明实施例涉及通信
技术领域：
：，尤其涉及一种虚拟专用网络(virtualprivatenetwork，vpn)管理方法、装置及系统。
背景技术：
：：在通信
技术领域：
：，可以采用多协议标签交换(multiprotocollabelswitching，mpls)技术在骨干网络(即公用网络)上构建vpn，实现跨地域、安全、高速、可靠的业务通信。如图1所示，是目前常用的一种mplsl3vpn的组网示意图(其中，l3vpn指的是layer3vpn，即三层vpn)，图1所示的用户边缘(clientedge)设备，是用户网络(即vpn)边缘的设备(可以为主机或路由器等)，由运营商边缘(provideredge，pe)设备与运营商(provider，p)设备组成的网络为骨干网(即上述的公用网络)，pe设备与p设备均可以为路由器，并且均支持mpls功能，pe可以与至少一个ce连接，构建至少一种vpn。具体的，以如图1所示的vpn1为例，在构建vpn1(也可以理解为vpn1的实现或开通)的过程中，将pe设备1的某个端口接ce设备1，pe设备2的某一个端口接ce设备2，然后需要对骨网中的p设备、pe设备(包括pe设备1和pe设备2)进行配置，并且对vpn1中的ce设备(包括ce设备1和ce设备2)进行配置，例如，p设备的mpls能力配置(包括标签交换路由器(labelswitchingrouter，lsr)的标识(identity，id)的配置和标签分发协议(labeldistributionprotocol，ldp)的配置等)；pe设备的mpls能力配置，vpn路由转发表(vpnroutingandforwardingtables，vrf)的配置，pe设备与ce设备之间的路由配置，pe设备与pe设备之间的路由配置等；ce设备的路由协议配置，从而实现将用户的vpn1接入骨干网络，并根据上述对于各个设备的配置，采用隧道技术，实现vpn1中位于骨干网两端的用户设备之间的通信。然而，上述方法中，由于骨干网的复杂性，在每一次构建新的vpn时，运营商的多个部门需进行方案验证、评估、调试等，vpn的构建过程比较漫长，并且对于vpn的业务管理由骨干网中的设备负责，业务管理灵活性比较差。技术实现要素：本发明实施例提供一种vpn管理方法、装置及系统，能够快速构建vpn，并且能更加灵活地管理vpn的业务。为达到上述目的，本发明实施例采用如下技术方案：第一方面，提供一种vpn管理方法，应用于vpn管理系统包括的集中管控装置，该vpn管理系统还可以包括至少两个ce设备、至少两个pe设备和一个p设备，该至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中对应的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址，该vpn管理方法可以包括：接收vpn构建请求，该vpn构建请求中包括vpn需求；并且根据该vpn需求，从至少两个ce设备中确定构建第一vpn的目标ce设备；以及根据该vpn需求向目标ce设备发送隧道构建消息，以使目标ce设备之间建立隧道通信，构建第一vpn。第二方面，提供一种vpn管理方法，应用于vpn管理系统包括的至少两个ce设备中构建第一vpn的目标ce设备，该vpn管理系统还可以包括集中管控装置、至少两个pe设备和一个p设备，该至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中的对应的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址，该vpn管理方法可以包括：第一ce设备接收集中管控装置发送的隧道构建消息，该第一ce设备为目标ce设备中的一个ce设备；并且与目标ce设备中的其他ce设备建立隧道通信，以构建第一vpn。第三方面，提供一种vpn管理装置，应用于vpn管理系统包括的集中管控装置，该vpn管理系统还包括至少两个ce设备、至少两个pe设备和一个p设备，该至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中对应的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址；该vpn管理装置包括接收模块、确定模块和发送模块。其中，接收模块可以用于接收vpn构建请求，该vpn构建请求中包括vpn需求；确定模块可以用于根据vpn需求，从上述至少两个ce设备中确定构建第一vpn的目标ce设备；发送模块可以用于根据vpn需求向目标ce设备发送隧道构建消息，以使目标ce设备之间建立隧道通信，构建第一vpn。第四方面，提供一种vpn管理装置，应用于vpn管理系统包括的至少两个ce设备中构建第一vpn的目标ce设备，该vpn管理系统还包括集中管控装置、至少两个pe设备和一个p设备，该至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中对应的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址；该vpn管理装置可以包括接收模块和构建模块。其中，接收模块可以用于接收集中管控装置发送的隧道构建消息；构建模块可以用于与目标ce设备中的其他ce设备之间建立隧道通信，以构建第一vpn。第五方面，提供一种vpn管理装置，应用于vpn管理系统包括的集中管控装置，该集中管控装置可以包括处理器和与该处理器耦合连接的存储器。该存储器可以用于存储计算机指令。当该集中管控装置运行时，该处理器执行该存储器存储的该计算机指令，以使得该集中管控装置执行上述第一方面所述的vpn管理方法。第六方面，提供一种计算机可读存储介质，包括计算机指令，当该计算机指令在集中管控装置上运行时，使得该集中管控装置执行上述第一方面所述的vpn管理方法。第七方面，提供一种包括计算机指令的计算机程序产品，当该计算机程序产品在集中管控装置的上运行时，使得该集中管控装置的执行上述第一方面所述的vpn管理方法。第八方面，提供一种vpn管理装置，应用于vpn管理系统包括的至少两个ce设备中构建第一vpn的目标ce设备，该vpn管理装置所在的目标ce设备可以包括处理器和与该处理器耦合连接的存储器。该存储器可以用于存储计算机指令。当该vpn管理装置所在的目标ce设备运行时，该处理器执行该存储器存储的该计算机指令，以使得该vpn管理装置所在的目标ce设备执行上述第二方面所述的vpn管理方法。第九方面，提供一种计算机可读存储介质，包括计算机指令，当该计算机指令在ce设备上运行时，使得该ce设备执行上述第二方面所述的vpn管理方法。第十方面，提供一种包括计算机指令的计算机程序产品，当该计算机程序产品在ce设备的上运行时，使得该ce设备的执行上述第二方面所述的vpn管理方法。第十一方面，提供一种vpn管理系统，该vpn管理系统包括集中管控装置、至少两个ce设备、至少两个pe设备和一个p设备，该集中管控装置包括上述第三方面所述的vpn管理装置，该至少两个ce设备中用于构建第一vpn的目标ce设备包括上述第四方面所述的vpn管理装置，至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址。本发明实施例提供一种vpn管理方法、装置及系统，在vpn管理系统中，由于骨干网中的至少两个pe设备上配置至少一个vpn所需的带宽，骨干网中的至少两个ce设备具有至少一个vpn的公网ip地址，因此，在构建第一vpn时，该vpn管理系统中的集中管控装置接收到vpn构建请求时，可以根据vpn构建请求中的构建需求从至少两个ce设备中确定构建第一vpn的目标ce设备，并且根据vpn需求向目标ce设备发送隧道构建消息，以使目标ce设备之间建立隧道通信，构建第一vpn。与现有技术相比，在构建vpn的过程中，无需再经过现有技术的长期、复杂的构建过程，如此可以能够快速构建vpn。进一步的，由于集中管控装置可以向至少一个目标ce设备发送策略信息，以调整vpn的策略，并且集中管控装置可以接收至少一个目标ce设备发送的网络流量和链路异常通知消息，以监控vpn的网络流量，更新路由配置信息，如此，能更加灵活地管理vpn的业务。附图说明图1为本发明实施例提供的一种vpn管理系统架构示意图一；图2为本发明实施例提供的一种承载sdn控制器的服务器的硬件示意图；图3为本发明实施例提供的一种路由器的硬件示意图；图4为本发明实施例提供的一种vpn管理系统架构示意图二；图5为本发明实施例提供的一种vpn管理方法示意图一；图6为本发明实施例提供的一种vpn管理方法示意图二；图7为本发明实施例提供的一种vpn管理装置的结构示意图；图8为本发明实施例提供的另一种vpn管理装置的结构示意图。具体实施方式下面结合附图对本发明实施例提供的vpn管理方法、装置及系统进行详细描述。在本发明实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。在本发明实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。例如，多个处理单元是指两个或两个以上的处理单元；多个系统是指两个或两个以上的系统。此外，本发明的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。首先，对本发明实施例中涉及的一些概念做解释说明。骨干网：是用来连接多个区域或地区的高速网络，骨干网一般都是广域网，其覆盖的范围从几十公里到几千公里，不同的网络供应商都拥有自己的骨干网，用以连接其位于不同区域的网络。mpls：是新一代的高速骨干网络交换标准，用于数据包的快速交换和路由。mpls是利用标签(label)进行数据转发的。当数据报文进入网络时，要为其分配固定长度的短的标签，即将数据报文的互联网协议(internetprotocol，ip)地址映射为具有固定长度的标签，并将该标签与数据报文封装在一起，在数据报文转发过程中，交换设备可以根据数据报文的标签进行转发。vpn：指的是在公用网络(即骨干网)上，不用区域的设备建立虚拟专用网络。不同区域的任意两个设备之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。不同区域的设备之间可以采用了隧道技术、加解密技术、密钥管理技术等实现数据传输。隧道技术：隧道可以理解为点到点的连接通道，隧道技术的实质是采用隧道协议，用一种网络层的协议来传输另一种网络层协议，实现两个节点间的安全通信，也就是使数据报文在公共网络上的专用隧道内传输。例如，vpn一端的节点(节点1)采用隧道协议将其他协议的数据报文重新封装为另一种协议的数据报文，被重新封装的数据报文可以在两个节点之间的隧道中传输至vpn的另一个节点(节点2)，然后，节点2采用同样的隧道协议，将其接收到的数据报文解封装，从而完成数据报文的传输。基于
背景技术：
：存在的问题，本发明实施例提供的vpn管理方法、装置及系统，通过在骨干网的pe设备上配置好至少一个vpn(未来一段时间内可能需要构建的vpn)的带宽，并且配置好至少一个vpn的ce设备的公网ip地址，从而集中管控装置可以实现vpn的快速构建，并且在vpn构建完成之后，能更加灵活地管理vpn的业务。本发明实施例提供的vpn管理系统可以包括集中管控装置、ce设备、pe设备和p设备，对于本发明提供的vpn管理系统将在下述实施例中进行详细地介绍，下面对该vpn管理系统中涉及的各个设备的结构进行示例性描述。本发明实施例中，vpn管理系统的集中管控装置可为物理管控装置，也为虚拟的管控装置，随着通信技术的快速发展，为了节省硬件成本和资源，将物理设备虚拟化为软件应用越来越常见，本发明实施例以集中管控装置为虚拟的管控装置为例，该虚拟的管控装置可以为软件定义网络(softwaredefinednetwork，sdn)控制器，sdn控制器基于如开放流(openflow)等协议，规定了灵活地数据包处理规范，可以控制管理与其连接的交换设备或路由设备，例如控制交换设备按照转发规则转发数据包或数据报文等。上述sdn控制器为一种软件应用，其可以承载在服务器中，以实现该sdn控制器的功能。下面结合图2具体介绍本发明实施例提供的承载有sdn控制器的服务器的各个构成部件。如图2所示，该服务器可以包括：处理器10、存储器11和通信接口12等。处理器10：是服务器的核心部件，用于运行服务器的操作系统与服务器上的应用程序(包括系统应用程序和第三方应用程序，例如sdn控制器)。本发明实施例中，处理器10具体可以为中央处理器(centralprocessingunit，cpu)，通用处理器，数字信号处理器(digitalsignalprocessor，dsp)，专用集成电路(application-specificintegratedcircuit，asic)，现场可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合，其可以实现或执行结合本发明实施例公开的内容所描述的各种示例性的逻辑方框，模块和电路；处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等。存储器11：可用于存储软件程序以及模块，处理器10通过运行存储在存储器11里的软件程序以及模块，从而执行服务器的各种功能应用以及数据处理。存储器11可包含一个或多个计算机可读存储介质。存储器11包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等，存储数据区可存储服务器创建的数据等，本发明实施例中，存储器11中可以包括sdn控制器的应用程序，通过运行sdn控制器的应用程序以控制服务链拓扑结构中的其他设备(例如核心交换机和计算节点)，实现核心交换设备向各个服务节点引流。本发明实施例中，存储器11具体可以包括易失性存储器(volatilememory)，例如随机存取存储器(random-accessmemory，ram)；该存储器也可以包括非易失性存储器(non-volatilememory)，例如只读存储器(read-onlymemory，rom)，快闪存储器(flashmemory)，硬盘(harddiskdrive，hdd)或固态硬盘(solid-statedrive，ssd)；该存储器还可以包括上述种类的存储器的组合。通信接口12：用于服务器与其他设备进行通信的接口电路，通信接口可以为收发器、收发电路等具有收发功能的结构，通信接口包括串行通信接口和并行通信接口。可选的，上述通信接口12还可以包括用户接口，该用户接口可以实现服务器(承载sdn控制器的服务器)与用户之间的交互，例如接收用户构建vpn的指令等。本发明实施例中，上述vpn管理系统中的ce设备可以为主机或路由设备，以路由设备为路由器为例对路由设备的硬件结构进行示例性的说明。图3为本发明实施例提供的路由器的硬件示意图，如图3所示，本发明实施例提供的路由器包括：处理器20、存储器21和接口22等部件。下面对路由器的各个构成部件进行示例性的说明。处理器20：用于负责交换路由信息、路由表查找以及转发数据包，如处理维护路由器所需的各种表格以及路由运算等。存储器21：用于存储路由器的配置、操作系统、路由协议软件等。路由器中可以有多种内存，如rom，ram等。接口22：用于路由器发送和接收数据包。路由器中的接口22包括局域网接口和广域网接口，另外，路由器本身没有输入和终端显示设备，路由器接口中还包括控制端口，用于用户或管理员利用终端与路由器进行通信，完成路由器配置。本发明实施例提供一种vpn管理系统，该系统可以包括集中管控装置、至少两个ce设备、至少两个pe设备和一个p设备。其中，至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中的一个pe设备连接，至少两个pe设备上配置至少一个vpn所需的带宽，并且至少两个ce设备具有公网ip地址。示例性的，以构建一个vpn为例，该vpn是为实现三个地区(例如北京、上海和广州)基于骨干网建立通信的vpn，即该vpn中包括3个ce设备，假设vpn管理系统中的ce设备的数量为3，pe设备的数量为3，图4所示为本发明实施例提供的一种vpn管理系统的架构示意图。在图4中，vpn管理系统包括：集中管控装置100、3个ce设备(分别记为ce设备101、ce设备102和ce设备103)、3个pe设备(分别记为pe设备104、pe设备105和pe设备106)，以及p设备107。其中，pe设备104、pe设备105和pe设备106分别与p设备107连接，组成骨干网；ce设备101与pe设备104连接，ce设备102与pe设备105连接，ce设备103与pe设备106连接。在每个pe设备上已预先配置本次构建的vpn所需的带宽，并且已预先配置该vpn的ce设备(包括ce设备101、ce设备102和ce设备103)的公网ip地址，即pe设备104上预留与其连接的ce设备101的公网ip地址，pe设备105上预留与其连接的ce设备102的公网ip地址，pe设备106上预留与其连接的ce设备103的公网ip地址。需要说明的是，本发明实施例中，可以根据用户的需求构建多个vpn，在下述实施例中均以构建一个vpn为例，对本发明实施例提供的vpn管理方法、装置及系统进行示例性的说明。本发明实施例提供一种管理vpn的方法，可以应用于上述实施例提供的vpn管理系统，结合图4，如图5所示，该方法可以包括s101-s105：s101、集中管控装置接收vpn构建请求，该vpn构建请求中包括vpn需求。本发明实施例中，运营商可以通过市场调研等评估方式，预估某一地区未来一段时间内可能需要构建的vpn情况(例如vpn的数量、带宽等)，如此，在配置基于mpls技术的骨干网络的过程中，在骨干网络中进行相关资源配置，包括在骨干网的每个pe设备上预先配置至少一个vpn(即未来可能需要构建的至少一个vpn)所需的带宽，并且已预先配置ce设备的公网ip地址，从而在用户向运营商提出构建新的vpn的请求时，可以在每个地区对应的pe设备的端口上接入ce设备，并根据预先配置的ce设备的公网ip地址，设置ce设备的公网ip地址，使得ce设备与pe设备之间的通路可达。本发明实施例中，用户(例如网络管理员)可以通过集中管控装置中的用户接口向集中管控装置输入构建vpn的指令(即vpn构建请求)，该vpn构建请求中包括vpn需求，该vpn需求可以为vpn的数量、带宽、指定的vpn的标识等，从而集中管控装置可以将vpn管理系统中的指定数量的ce设备(即目标ce设备)构建为一个vpn。s102、集中管控装置根据vpn需求，从至少两个ce设备中确定构建第一vpn的目标ce设备。s103、集中管控装置根据vpn需求向目标ce设备发送隧道构建消息。其中，上述隧道构建消息中包括隧道协议，目标ce设备的数量大于或者等于2。本发明实施例中，集中管控装置接收vpn构建请求之后，可以根据vpn请求中的vpn需求，从vpn管理系统中的至少两个ce设备中确定构建第一vpn的目标ce设备，然后集中管控装置与目标ce设备中的每个ce设备建立连接，如此集中管控装置可以与目标ce设备中的每个ce设备通信，进一步的，集中管控装置根据vpn需求向目标ce设备发送隧道构建消息，以使目标ce设备之间建立隧道通信，从而完成第一vpn的构建。可选的，本发明实施例中，上述隧道协议可以包括下述协议中的任意一种：通用路由封装(genericroutingencapsulation，gre)协议、ipinip、ip安全性(internetprotocolsecurity，ipsec)、虚拟扩展局域网(virtualextensiblelocalareanetwork，vxlan)协议等，具体可以根据实际使用需求选择使用合适的隧道协议，本发明实施例不作具体限定。具体的，使用gre协议可以在任意一种网络层协议(例如ip协议)上封装任意一种其他网络层协议(例如，互联网控制消息协议(internetcontrolmessageprotocol，icmp))，使用ipinip可以在ip报文中封装ip报文，即将待封装的ip报文封装在外层ip报文中；使用ip协议安全性(internetprotocolsecurity，ipsec)可以将加密的报文内容封装在ip报文中传输，可以数据报文的安全传输；vxlan可以将二层报文封装在用户数据报协议(userdatagramprotocol，udp)中。需要说明的是，本发明实施例中，上述集中管控装置与目标ce设备建立连接，并且向目标ce设备发送隧道构建消息的动作均由该集中管控装置中的构建维护模块执行。可选的，上述集中管控装置的构建维护模块还可以维护集中管控装置与目标ce设备建立的连接，设置保活周期，监测该集中管控装置与目标ce设置之间建立的连接是否中断；该构建维护模块还可以集中管控装置与目标ce之间传输的消息或信息加密，从而提高传输的安全性。s104、目标ce设备中的每个ce设备接收集中管控装置发送的隧道构建消息。s105、目标ce设备中的每一个ce设备与目标ce设备中的其他ce设备建立隧道通信，以构建第一vpn。本发明实施例中，目标ce设备中的每一个ce设备接收集中管控装置发送的隧道构建消息，并且该目标ce设备中的每一个ce设备与该目标ce设备中的其他ce设备建立隧道通信。示例性的，以目标ce设备中的一个ce设备(以下均称为第一ce设备)为例，该第一ce设备可以与目标ce设备中的其他ce基于隧道构建消息中的隧道协议建立隧道通信，从而第一ce设备可以与其他目标ce设备通信。综上所述，目标ce设备接收集中管控装置发送的隧道构建消息，从而各个目标ce设备之间可以建立隧道通信，至此，该第一vpn构建成功，该第一vpn中的用户设备(或终端等设备)可以在基于骨干网构建的vpn中进行通信，实现业务往来。示例性的，如图4所示，构建包括ce设备101、ce设备102和ce设备103的vpn的过程中，在各个ce设备与对应的pe设备连接完成之后，集中管控装置100分别向ce设备101、ce设备102和ce设备103发送隧道构建消息，从而使得ce设备101、ce设备102和ce设备103之间建立隧道通信，即该三个ce设备中的任意两个ce设备可以互相通信，也可以理解为，该vpn的各个站点(vpn的各个站点，即指的是不同地区的vpn内部网络，例如，上述图4中，ce设备101所服务的地区的内部网络为vpn_a，ce设备102所服务的地区的内部网络为vpn_b，ce设备103所服务的地区的内部网络为vpn_c)中的用户设备可以通过经各自的ce设备路由，基于构建的vpn互相通信(即互相访问，传输数据等)。可选的，结合图5，如图6所示，在上述s105之后，本发明实施例提供的vpn管理方法还可以包括s106和s107：s106、集中管控装置向目标ce设备发送路由配置信息。其中，路由配置信息包括静态路由信息或者动态路由协议，该动态路由协议用于第一vpn的目标ce设备获取动态路由信息。本发明实施例中，上述第一vpn构建成功之后，为了保证第一vpn的各个站点之间可以互相访问，集中管控装置可以向所有目标ce设备发送路由配置信息，为第一vpn各个站点配置路由信息(即路由表)，从而目标ce设备接收到对应站点内的用户设备的数据报文之后，可以根据路由信息转发该数据报文，或者目标ce设备接收到pe设备发送的数据报文之后，可以根据路由信息将该数据报文转发给对应站点内的用户设备，实现各个站点内部的通信。可选的，本发明实施例中，集中管控装置配置第一vpn各个站点的路由信息可以通过静态配置和动态配置，若集中管控装置通过静态配置方式为第一vpn各个站点配置路由信息时，集中管控装置根据用户申请开通第一vpn时提交的各个站点内部网络的网段信息，配置路由信息，并将该路由信息发送给该第一vpn各个站点对应的ce设备(即上述目标ce设备)；若集中管控装置通过动态配置的方式为第一vpn各个站点配置路由信息时，集中管控装置向目标ce设备分别发送动态路由协议，目标ce设备之间可以互相学习对方的路由信息(即互相交换路由信息)，并根据动态路由协议中的路由算法、和学习的路由信息生成各自的路由信息。本发明实施例中，上述动态路由协议可以包括但不限于下述路由协议：开放式最短路径优先(openshortestpathfirst，ospf)协议、边界网关协议(bordergatewayprotocol，bgp)、路由信息协议(routinginformationprotocol，rip)、中间系统到中间系统(intermediatesystemtointermediatesystem，isis)路由协议等。具体可以根据实际使用需求选择合适的动态路由协议，本发明实施例不作具体限定。s107、目标ce设备接收集中管控装置发送的路由配置信息。可以理解的是，目标ce设备中的每一个ce设备均接收集中管控装置发送的路由配置信息。示例性的，以目标ce设备中的一个ce设备(例如第一ce设备)为例，第一ce设备接收到集中管控装置发送的路由配置信息，第一ce设备可以根据路由配置信息确定路由信息，从而根据路由信息实现数据地顺利路由或转发。本发明实施例中，上述完成第一vpn的构建之后，集中管控装置还可以管理第一vpn的业务，具体的，可以包括策略管理、网络流量管理、路由信息管理。本发明实施例中，集中管控装置对第一vpn进行策略管理具体为：集中管控装置向上述至少一个目标ce设备发送策略信息，该策略信息包括访问策略信息、带宽策略信息以及qos策略信息中的至少一项；上述至少一个目标ce设备接收集中管控装置发送的策略信息，该策略信息用于至少一个目标ce设备调整该第一vpn的策略。下面，以集中管控装置向一个目标ce设备(例如第一ce设备)发送策略信息为例，说明集中管控装置管理vpn的业务进行示例性的说明。可选的，集中管控装置向第一ce设备发送访问策略信息，该访问策略信息用于指示第一ce设备的访问权限，第一ce设备接收到该访问策略信息之后，可以根据访问策略信息指示的访问权限，访问目标ce设备中的其他ce。其中，上述集中管控装置可以根据第一vpn的各个站点的特征设置的访问策略信息。示例性的，上述vpn_a为某一企业的总部站点，该站点vpn_a的ce设备为ce_a，vpn_b和vpn_c为该企业的分支站点，站点vpn_b的ce设备为ce_b，站点vpn_c的ce设备为ce_c，集中管控装置可以设置：总部站点的ce_a有权限访问分支站点的ce_b和ce_c，但分支站点的ce_b和ce_c无权限访问总部站点的ce_a，而分支站点的ce_b和ce_c之间可以互相访问。上述集中管控装置也可以根据具体的业务类型设置访问策略信息。示例性的，上述vpn_a为某一企业的总部站点，vpn_b和vpn_c为该企业的分支站点，集中管控装置可以设置：分支站点vpn_b的ce_b和vpn_c的ce_c均有权限访问某一个文件服务器(例如，该文件服务器中存储有共享的数据等)，但是分支站点vpn_b的ce_b和vpn_c的ce_c没有权限访问该企业的企业资源计划系统、客户关系管理系统等(这些系统中可能存储一些商业机密)。上述集中管控装置还可以业务类型设置访问策略信息，具体可以包括根据下述至少一项设置第一vpn各个站点的访问权限：数据报文的目的ip地址、目的ip网段、源ip地址、源ip网段、目的端口、源端口等。可选的，本发明实施例中，上述集中管控装置可以通过下述方式中的任意一种向目标ce设备提供访问策略信息：接入控制列表(accesscontrollist，acl)、openflow流表、静态路由以及策略路由(policy-basedrouting，pbr)等。可选的，本发明实施例中，集中管控装置对第一vpn进行网络流量管理具体为：至少一个目标ce设备向集中管控装置上报该至少一个目标ce设备的网络流量；该集中管控装置接收至少一个目标ce设备上报的网络流量，以监控该第一vpn的网络流量。本发明实施例中，集中管控装置可以管理第一vpn的带宽，集中管控装置对第一vpn进行带宽管理可以包括静态带宽管理和弹性带宽管理(可以理解为动态带宽管理)。具体的，集中管控装置可以向至少一个目标ce设备发送带宽策略信息，以管理第一vpn的带宽，集中管控装置可以为该第一vpn配置固定带宽(即该第一vpn在骨干网中的可用带宽为固定值)；集中管控装置还可以根据第一vpn的业务情况，向至少一个目标ce设备发送带宽策略信息，指示至少一个目标ce设备进行带宽调整。示例性的，以目标ce设备中的一个ce设备(例如上述第一ce设备)为例，带宽调整可以包括：第一ce设备调整(增大或减小)该第一ce设备的上行接口的可用带宽，或调整指定数据报文的可用带宽。本发明实施例中，集中管控装置可以向至少一个目标ce设备发送qos策略信息，以指示不同客户的优先级或者业务的优先级，从而保障重要的用户的传输质量，或者保证重要的业务的传输质量。可选的，集中管控装置可以将骨干网中已有的qos策略，发送给至少一个目标ce设备。示例性的，以发送qos策略信息给第一ce设备为例，第一ce设备接收到集中管控装置发送的qos策略，在其接收到的第一vpn站点中的用户设备发送的数据报文之后，在该数据报文的ip地址的tos字段设置qos的值，然后第一ce设备将数据报文发送给对应的pe设备，该pe设备接收到该数据报文之后，对该数据报文进行mpls处理(将ip地址映射为固定标签)，数据报文的tos字段的值也映射到mpls报文的exp字段，可知，第一vpn中数据报文的qos策略与骨干网中的qos策略互相匹配，该数据报文可以基于骨干网顺利地传输。本发明实施例中，由于集中管控装置可以向至少一个目标ce设备发送策略信息，使得至少一个目标ce设备调整第一vpn的策略，提高通信质量。与现有技术相比，无需再在骨干网的pe设备上进行繁琐、长周期的策略调整，可以更加灵活地管理vpn的业务。可选的，本发明是实施例中，集中管控装置还可以对第一vpn中的网络流量进行监控。示例性的，以上述第一ce设备为例，第一ce设备可以向集中管控装置上报该第一ce设备的网络流量，该网络流量包括该第一ce设备的上行流量和下行流量，从而集中管控装置接收第一ce设备上报的网络流量，以监控第一vpn的网络流量。第一vpn的所有ce设备(即上述所有目标ce设备)向集中管控装置上报该目标ce设备输入端口和输出端口的网络流量，如此集中管控装置可以监控整个第一vpn的网络流量，以处理某些异常状况。与现有技术相比，由于目标ce设备可以向集中管控装置上报网络流量，可以实现流量可视化，解决现有技术中无法监控vpn的网络流量的问题。可选的，本发明实施例中，集中管控装置还可以对第一vpn进行路由信息管理，具体为：至少一个目标ce设备可以向集中管控装置发送链路异常通知消息，从而集中管控装置可以根据链路异常通知消息，更新路由配置信息，然后向至少一个目标ce设备发送更新后的路由配置信息。示例性的，在第一vpn的某个ce设备(例如第一ce设备)与第一vpn的其他ce设备(即第一ce设备与目标ce设备中的其他ce设备)之间的链路发生异常(例如连读中断或发生拥塞)时，该第一ce设备向集中管控装置发送链路异常通知消息；该集中管控装置接收到第一ce设备发送的链路异常通知消息，并且更新路由配置信息之后，集中管控装置向第一ce设备发送更新后的路由配置信息(包括上述实施例中提及的静态路由信息或动态路由协议)，从而根据该新的路由配置信息确定的新的路由信息(新的路由信息指示新的链路)，与第一vpn中的其他ce设备通信，例如，上述如图4所示的vpn管理系统中，在vpn_a、vpn_b和vpn_c之间的用户设备可以互相通信，若vpn_a的ce设备101与vpn_b的ce设备102之间的链路发生故障，ce设备101向集中管控装置100发送链路异常通知消息，然后集中管控装置100更新ce设备101的路由配置信息，然后向ce设备101发送更新后的路由配置信息，选择新的链路传输数据报文，例如，vpn_a将数据报文可以经vpn_c的中转发送至vpn_b，保证vpn_a与vpn_b之间的正常通信。需要说明的是，本发明实施例中，集中管控装置管理vpn的业务(包括上述实施例中描述的向至少一个目标ce设备发送策略信息、接收至少一个目标ce设备上报的网络流量、接收至少一个目标ce设备发送的链路异常通知消息、更新路由配置信息等)均由该集中管控装置中的管控模块执行。本发明实施例提供的vpn管理方法，可以应用于上述实施例提供的vpn管理系统，由于骨干网中的至少两个pe设备上配置至少一个vpn(未来一段时间内可能需要构建的vpn)所需的带宽，骨干网中的至少两个ce设备具有至少一个vpn的公网ip地址，因此，在构建第一vpn时，该vpn管理系统中的集中管控装置接收到vpn构建请求时，可以根据vpn构建请求中的构建需求从至少两个ce设备中确定构建第一vpn的目标ce设备，并且根据vpn需求向目标ce设备发送隧道构建消息，从而目标ce设备之间可以根据隧道构建消息建立隧道通信，构建第一vpn。与现有技术相比，在构建vpn的过程中，无需再经过现有技术的长期、复杂的构建过程，如此可以能够快速构建vpn。进一步的，由于集中管控装置可以向至少一个目标ce设备发送策略信息，以调整vpn的策略，并且集装管控装置可以接收至少一个目标ce设备发送的网络流量和链路异常通知消息，以监控vpn的网络流量，更新路由配置信息，如此，能更加灵活地管理vpn的业务。本发明实施例还提供一种vpn管理装置，该vpn管理装置应用于vpn管理系统包括的集中管控装置，该vpn管理系统还包括至少两个ce设备、至少两个pe设备和一个p设备，该至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中对应的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址。图7示出了上述实施例中所涉及的vpn管理装置的一种可能的结构示意图，如图7所示，该vpn管理装置可以包括接收模块30、确定模块31和发送模块32。接收模块30，用于接收vpn构建请求，该vpn构建请求中包括vpn需求；确定模块31，用于根据vpn需求，从至少两个ce设备中确定构建第一vpn的目标ce设备；发送模块32，用于根据vpn需求向目标ce设备发送隧道构建消息，以使目标ce设备之间建立隧道通信，构建第一vpn。可选的，发送模块32，还用于向目标ce设备发送路由配置信息，该路由配置信息包括静态路由信息或者动态路由协议，该动态路由协议用于目标ce设备获取动态路由信息。可选的，上述发送模块32，还用于向至少一个目标ce设备发送策略信息，该策略信息包括访问策略信息、带宽策略信息以及qos策略信息中的至少一项。可选的，上述接收模块30，用于接收至少一个目标ce设备上报的网络流量，以监控该第一vpn的网络流量，该网络流量包括至少一个目标ce设备的上行流量和下行流量；该接收模块30，还用于接收至少一个目标ce设备发送的链路异常通知消息。可选的，如图7所示，本发明实施例提供的vpn管理装置还包括更新模块33。该更新模块33，用于根据接收模块30接收的链路异常通知消息更新路由配置信息。上述发送模块32，还用于至少一个目标ce设备发送更新模块33更新后的路由配置信息。上述如图7所示的vpn管理装置可以应用于集中管控装置，该集中管控装置可以包括处理器，存储器，存储在存储器上并可在集中管控装置上运行的计算机程序，计算机程序被集中管控装置执行时，可以实现上述vpn管理方法实施例中集中管控装置的动作，且能达到相同的技术效果，为避免重复，这里不再赘述。本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时，可以实现上述vpn管理方法实施例集中管控装置的动作，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如rom、ram、磁碟或者光盘等。本发明实施例还提供另一种vpn管理装置，该vpn管理装置应用于vpn管理系统包括的至少两个ce设备中构建第一vpn的目标ce设备，该vpn管理系统还包括集中管控装置、至少两个pe设备和一个p设备，该至少两个pe设备分别与p设备连接，组成骨干网，该至少两个ce设备中的一个ce设备与该至少两个pe设备中对应的一个pe设备连接，该至少两个pe设备上配置至少一个vpn所需的带宽，该至少两个ce设备具有公网ip地址。图8示出了上述实施例中所涉及的另一种vpn管理装置可能的结构示意图，如图8所示，该vpn管理装置可以包括接收模块40和构建模块41。接收模块40，用于接收集中管控装置发送的隧道构建消息；构建模块41，用于与目标ce设备中的其他ce设备之间建立隧道通信，以构建第一vpn。可选的，上述接收模块40，还用于接收集中管控装置发送的路由配置信息，该路由配置信息包括静态路由信息或者动态路由协议，该动态路由协议用于vpn管理装置所在的目标ce设备获取动态路由信息。可选的，上述接收模块40，还用于接收集中管控装置发送的策略信息，该策略信息用于vpn管理装置所在的目标ce设备调整第一vpn的策略，该策略信息包括访问策略信息、带宽策略信息以及qos策略信息中的至少一项。可选的，如图8所示，本发明实施例提供的vpn管理装置还包括发送模块42，该发送模块42，用于向集中管控装置上报该vpn管理装置所在的目标ce设备的网络流量；该发送模块42，还用于在该vpn管理装置所在的目标ce设备与目标ce设备中的其他ce设备之间的链路发生异常时，向集中管控装置发送链路异常通知消息。上述如图8所示的vpn管理装置可以应用于vpn管理装置所在的目标ce设备(例如上述实施例中的第一ce设备)，该第一ce设备包括处理器，存储器，存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时，可以实现上述vpn管理方法实施例中第一ce设备的动作，且能达到相同的技术效果，为避免重复，这里不再赘述。本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时，可以实现上述vpn管理方法实施例中第一ce设备的动作，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，rom、ram、磁碟或者光盘等。本领域内的技术人员应明白，本发明实施例可提供为方法、系统、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
：的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。当前第1页12当前第1页12