VPN业务配置方法、系统、编排器以及存储介质与流程

本发明涉及云计算技术领域，尤其涉及一种vpn业务配置方法、系统、编排器以及存储介质。

背景技术：

近年来云网融合成为业界的一个热点，包括运营商和其它云商都在大力发展云网类产品，提供云和网组合产品并提供一站式配置开通服务。云网融合产品包括云网关产品，云网关产品的技术方案是从用户端网关上发起ipsecvpn，经原有互联网专线上公网的通道建立起到天翼云资源池ipsec防火墙(ipsecfw)的vpn业务，再经过云内网络导流对接用户在天翼云资源池的vpc(virtualprivatecloud)资源。在配置云端ipsecfw的时候，需要指定用户端网关的出口ip地址，ipsecfw按照该ip地址识别和区分来自用户本地网络的流量。但是，由于网关重启和重拨号等事件的存在，很多用户端网关出口ip会发生变化，从而限制了云网关业务只能适用于具有固定出口ip的用户。

技术实现要素：

有鉴于此，本发明要解决的一个技术问题是提供一种vpn业务配置方法、系统、编排器以及存储介质。

根据本公开的一个方面，提供一种vpn业务配置方法，包括：编排器获取用户侧网关的新ip地址；所述编排器获取所述用户侧网关的原ip地址，将所述新ip地址与所述原ip地址进行比对；如果所述新ip地址与所述原ip地址不相同，则所述编排器基于所述新ip地址配置云端侧网关和所述用户侧网关，并在所述云端侧网关和所述用户侧网关之间建立新隧道通路。

可选地，所述编排器获取用户侧网关的新ip地址包括：当所述用户侧网关发生引起ip地址变化的事件时，所述用户侧网关向终端综合管理系统上报包含有所述新ip地址的事件信息，其中，所述事件包括：重拨号、重启事件；所述编排器接收所述终端综合管理系统发送的与所述事件信息相对应的事件报告消息，根据所述事件报告消息获取所述新ip地址。

可选地，所述编排器获取所述用户侧网关的原ip地址包括：所述编排器获取预先存储的、与在所述云端侧网关和所述用户侧网关之间建立的原隧道通路相对应的配置信息；所述编排器基于所述配置信息获取与所述用户侧网关相对应的所述原ip地址。

可选地，所述编排器基于所述新ip地址配置云端侧网关和所述用户侧网关包括：所述编排器向云端管理平台发送所述新ip地址，所述云端管理平台基于所述新ip地址配置所述云端侧网关以及虚拟私有云网络；所述编排器接收所述云端管理平台返回的与所述云端侧网关相对应的新服务ip地址；所述编排器向所述终端综合管理系统发送所述新服务ip地址，所述终端综合管理系统根据所述新服务ip地址配置所述用户侧网关。

可选地，所述编排器基于所述新服务ip地址和所述新ip地址的对应关系更新所述配置信息。

根据本公开的另一方面，提供一种编排器，包括：地址获取模块，用于获取用户侧网关的新ip地址；地址比对模块，用于获取所述用户侧网关的原ip地址，将所述新ip地址与所述原ip地址进行比对；业务配置模块，用于如果所述新ip地址与所述原ip地址不相同，则基于所述新ip地址配置云端侧网关和所述用户侧网关，并在所述云端侧网关和所述用户侧网关之间建立新隧道通路。

可选地，当所述用户侧网关发生引起ip地址变化的事件时，所述用户侧网关向终端综合管理系统终端综合管理系统上报包含有所述新ip地址的事件信息，其中，所述事件包括：重拨号、重启事件；所述地址获取模块，用于接收所述终端综合管理系统发送的与所述事件信息相对应的事件报告消息，根据所述事件报告消息获取所述新ip地址。

可选地，所述地址比对模块，用于获取预先存储的、与在所述云端侧网关和所述用户侧网关之间建立的原隧道通路相对应的配置信息；基于所述配置信息获取与所述用户侧网关相对应的所述原ip地址。

可选地，所述业务配置模块，包括：云端配置单元，用于向云端管理平台发送所述新ip地址，以使所述云端管理平台基于所述新ip地址配置所述云端侧网关以及虚拟私有云网络；接收所述云端管理平台返回的与所述云端侧网关相对应的新服务ip地址；网关配置单元，用于向所述终端综合管理系统发送所述新服务ip地址，所述终端综合管理系统根据所述新服务ip地址配置所述用户侧网关。

可选地，信息处理模块，用于基于所述新服务ip地址和所述新ip地址的对应关系更新所述配置信息。

根据本公开的又一方面，提供一种vpn业务配置系统，包括：如上所述的编排器。

根据本公开的又一方面，提供一种vpn业务配置系统，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如上所述的方法。

根据本公开的再一方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行如上所述的方法。

本公开的vpn业务配置方法、系统、编排器以及存储介质，用于解决用户侧网关ip地址变化影响vpn业务可用性的问题，能够利用编排器对云端、网端进行自动化配置，按需对隧道通路分段进行配置刷新，实现业务快速可用，可以拓展业务的覆盖范围。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为根据本公开的vpn业务配置方法的一个实施例的流程示意图；

图2为根据本公开的vpn业务配置方法的一个实施例中的获取用户侧网关的新ip地址的流程示意图；

图3为根据本公开的vpn业务配置方法的一个实施例中的配置云端侧网关和用户侧网关的流程示意图；

图4为根据本公开的vpn业务配置方法的一个实施例的应用网络构架示意图；

图5a为根据本公开的编排器的一个实施例的模块示意图，图5b为根据本公开的编排器的另一个实施例的模块示意图

图6为根据本公开的编排器的一个实施例中的业务配置模块的模块示意图；

图7为根据本公开的vpn业务配置系统的又一个实施例的模块示意图。

具体实施方式

下面参照附图对本公开进行更全面的描述，其中说明本公开的示例性实施例。下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

现有的云网关产品能够提供企业本地网络和云端网络vpc的连接，用户侧网关经互联网专线上公网的通道建立起到云端ipsec防火墙(ipsecfw)的vpn业务。在配置云端ipsecfw时，需要指定用户侧网关的出口ip地址，ipsecfw按照该ip地址识别和区分来自用户本地网络的流量，如果是来自该ip的流量则认为是云网关业务的流量，并导入到对应的云内网络送入vpc，如果不是该ip的流量，则直接丢弃。

以某运营商的云网关业务配置为例：首先需要获取政企网关(用户侧网关)出口的ip地址ipa，使用ipa配置云端ipsecfw，云端将ipa配置到对应用户a的vpc，配置成功后返回服务该用户a的ipsec接入服务地址ips，然后使用ips继续配置政企网关。具备固定ip的用户占比非常小，导致业务的覆盖面非常有限。引起用户侧网关的ip地址变化的因素包括网关重启和重拨号等随时可能发生的事件，因此，需要提供一种技术方案，能够随时发现用户侧网关的ip地址变化，进而完成重新配置过程，以实现业务的快速恢复。

图1为根据本公开的vpn业务配置方法的一个实施例的流程示意图，如图1所示：

步骤101，编排器获取用户侧网关的新ip地址。用户侧网关可以为多种，例如为政企网关等。

步骤102，编排器获取用户侧网关的原ip地址，将新ip地址与原ip地址进行比对。

步骤103，如果新ip地址与原ip地址不相同，则编排器基于新ip地址配置云端侧网关和用户侧网关，并在云端侧网关和用户侧网关之间建立新隧道通路。

云端侧网关可以有多种，例如为ipsecfw、vxlan网关等；在云端侧网关和用户侧网关之间的原、新隧道通路可以为ipsec、vxlan隧道通路等。

在一个实施例中，从用户侧网关(政企网关)通过ipsec隧道穿过公网到天翼云3.0资源池的ipsecfw，然后经云内网络对接到用户vpc，ipsecfw依据用户侧政企网关的出口ip识别和区分用户流量。

如果用户侧网关的出口ip地址因重启等原因会发生变化，将导致ipsec隧道中断。基于用户侧网关的新ip地址配置云端侧网关和用户侧网关，并在云端侧网关和用户侧网关的之间建立新隧道通路，可以实现按需及时自动进行配置信息的更新，当用户侧网关的ip地址发生变化时依然能保证业务正常使用，从而拓展了业务适用范围。

图2为根据本公开的vpn业务配置方法的一个实施例中的获取用户侧网关的新ip地址的流程示意图，如图2所示：

步骤201，当用户侧网关发生引起ip地址变化的事件时，用户侧网关向终端综合管理系统终端综合管理系统上报包含有新ip地址的事件信息，其中，事件包括重拨号、重启事件等。

步骤202，编排器接收终端综合管理系统发送的与事件信息相对应的事件报告消息，根据事件报告消息获取新ip地址。

在一个实施例中，终端综合管理系统可以有多种，各个运营商或厂家可以使用各自的终端综合管理系统，例如，终端综合管理系统为itms+(增强型终端综合管理系统)平台等。

当控制器或itms+平台接收到用户侧网关重拨号或重启事件时，上报此事件给编排器，编排器向控制器或itms+平台采集用户侧网关的当前网关信息，包括：ipa’、网关型号、版本等。控制器或itms+平台可以向编排器发送与事件信息相对应的事件报告消息，事件报告消息中携带用户侧网关的新ip地址等。

编排器获取预先存储的、与在云端侧网关和用户侧网关之间建立的原隧道通路相对应的配置信息。编排器在建立云端侧网关和用户侧网关之间的原隧道通路后，存储与原隧道通路相对应的配置信息，配置信息包括：用户侧网关的原ip地址、原服务ip地址以及vpc信息的对应关系。编排器可以基于配置信息获取与用户侧网关相对应的原ip地址。

图3为根据本公开的vpn业务配置方法的一个实施例中的配置云端侧网关和用户侧网关的流程示意图，如图3所示：

步骤301，编排器向云端管理平台发送新ip地址，云端管理平台基于新ip地址配置云端侧网关以及虚拟私有云网络。

步骤302，编排器接收云端管理平台返回的与云端侧网关相对应的新服务ip地址。

步骤303，编排器向终端综合管理系统发送新服务ip地址，终端综合管理系统根据新服务ip地址配置用户侧网关。

步骤304，编排器基于新服务ip地址和新ip地址的对应关系更新配置信息。

在一个实施例中，如图4所示，通过编排器进行vpn业务的实时自动化开通、终止、变更等。由编排器对用户侧网关、云端ipsecfw和vpc等分段进行协同配置，建立端到端的隧道通路，将网端、云端各段配置数据存储在编排器的数据库(数据存储服务)中，供后续随时查询和使用。

例如，获取用户侧网关a的原ip地址ipa，以ipa配置云端；云管平台(云端管理平台)对云端ipsecfw和vpc等进行配置，返回提供ipsec的原服务地址ips，并存储(ipa，ips，vpca)的映射关系，供ipsecfw进行上下行流量的转发；以ips配置用户侧网关a，配置成功后建立用户侧网关a与云端ipsecfw之间的ipsec隧道。云端ipsecfw以ipa标识用户a的ipsec连接，当用户侧网关a的ip地址为ipa时，云端ipsecfw会接受连接并提供业务。

引起用户侧网关a的ip地址变化的原因可以为网关重启和重拨号等事件，通过编排器自动实现在用户侧网关a的ip地址变化时，对云端和网端的配置进行更新。

在一个实施例中，当用户侧网关a发生引起ip地址变化的事件(重拨号、重启等)时，将事件实时上报给itms+平台，由itms+平台进一步上报事件给编排器。

编排器通过itms+平台采集用户侧网关a当前的新ip地址ipa’,通过查询数据库(数据存储服务)获取之前在vpn业务开通时存储的配置信息(ipa、ips等)。编排器比较ipa和ipa’，判断用户侧网关a的ip地址是否发生了变化，如果用户侧网关a的ip地址没有发生变化，则不需要处理。

如果用户侧网关a的ip地址发生了变化，则编排器依次向云管平台和itms+平台下发指令，重新建立vpn隧道连接，实现业务持续可用。例如，编排器判断用户侧网关a的ip地址发生了变化，则以ipa’配置云端并返回服务地址ips’，以ips’配置网关，网关ping测建立起ipsec隧道，实现业务快速恢复，并更新业务信息数据库。

配置的具体流程为：编排器向云端管理平台发送新ip地址ipa’，云端管理平台基于ipa’配置云端ipsecfw以及虚拟私有云网络vpca；编排器接收云端管理平台返回的新服务ip地址ips’；编排器向itms+平台发送新服务ip地址ips’，itms+平台根据新服务ip地址ips’配置用户侧网关a。用户侧网关a通过ping指令检测并建立起新的ipsec通道。编排器基于新服务ip地址ips’和新ip地址ipa’的对应关系更新配置信息，新配置信息为(ipa’，ips’，vpca)。

通过探测和处理用户侧网关典型事件(重启、重拨号等)，当确定用户侧网关的ip地址发生变化时，进行配置更新操作，能够自动重写/刷新云端和网端配置而无需人工操作，自动实现vpn隧道业务仍然保持连通可用。

在一个实施例中，编排器具备信息存储和采集功能，能够存储云网关产品业务开通/变更时的完整业务信息的数据库，包括隧道类型、隧道标识(vpn-id)、用户侧网关逻辑id(loid)、网关地址ipa、云端ipsecfw提供服务的ip地址ips等，以及存储ipsec相关加密算法、加密参数等。

上述实施例中的vpn业务配置方法，用于解决用户侧网关ip地址变化影响vpn业务可用性的问题，能够利用编排器对云端、网端进行自动化配置，按需对隧道通路分段进行配置刷新，实现业务快速可用；适用于采用包括云网关业务的ipsecvpn、vxlan等vpn类业务，以及集团云网关业务、智能专线业务以及5g专线等，同样也适用于其他的类似ipsec、vxlan类业务；也可以应用于出口网关ip地址变化的vpn组网场景，以及同时包含入云、组网的混合应用场景等。

在一个实施例中，如图5a所示，本公开提供一种编排器50，包括：地址获取模块51、地址比对模块52和业务配置模块53。地址获取模块51获取用户侧网关的新ip地址。地址比对模块52获取用户侧网关的原ip地址，将新ip地址与原ip地址进行比对。如果新ip地址与原ip地址不相同，则业务配置模块53基于新ip地址配置云端侧网关和用户侧网关，并在云端侧网关和用户侧网关之间建立新隧道通路。

当用户侧网关发生引起ip地址变化的事件时，用户侧网关向itms上报包含有新ip地址的事件信息，其中，事件包括：重拨号、重启事件等。地址获取模块51接收终端综合管理系统发送的与事件信息相对应的事件报告消息，根据事件报告消息获取新ip地址。

地址比对模块52获取预先存储的、与在云端侧网关和用户侧网关之间建立的原隧道通路相对应的配置信息。地址比对模块52基于配置信息获取与用户侧网关相对应的原ip地址。

如图5b所示，编排器50还包括信息处理模块54，信息处理模块54基于新服务ip地址和新ip地址的对应关系更新配置信息。

在一个实施例中，如图6所示，业务配置模块53包括：云端配置单元531和网关配置单元532。云端配置单元531向云端管理平台发送新ip地址，以使云端管理平台基于新ip地址配置云端侧网关以及虚拟私有云网络。云端配置单元531接收云端管理平台返回的与云端侧网关相对应的新服务ip地址。网关配置单元532向终端综合管理系统发送新服务ip地址，终端综合管理系统根据新服务ip地址配置用户侧网关。

在一个实施例中，本公开提供一种vpn业务配置系统，包括如上任一实施例中的编排器。

图7为根据本公开的vpn业务配置系统的又一个实施例的模块示意图。如图7所示，该装置可包括存储器71、处理器72、通信接口73以及总线74。存储器71用于存储指令，处理器72耦合到存储器71，处理器72被配置为基于存储器71存储的指令执行实现上述的vpn业务配置方法。

存储器71可以为高速ram存储器、非易失性存储器(non-volatilememory)等，存储器71也可以是存储器阵列。存储器71还可能被分块，并且块可按一定的规则组合成虚拟卷。处理器72可以为中央处理器cpu，或专用集成电路asic(applicationspecificintegratedcircuit)，或者是被配置成实施本公开的vpn业务配置方法的一个或多个集成电路。

在一个实施例中，本公开提供一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如上任一个实施例中的方法。

上述实施例中的vpn业务配置方法、系统、编排器以及存储介质，用于解决用户侧网关ip地址变化影响vpn业务可用性的问题，能够利用编排器对云端、网端进行自动化配置，按需对隧道通路分段进行配置刷新，实现业务快速可用，可以拓展业务的覆盖范围，让大量不具备固定ip的客户也可以正常开通和使用此类业务。

上述实施例中的vpn业务配置方法、系统、编排器以及存储介质，通过处理可能引起ip变化的事件，实时检测用户网关ip地址，按需启动更新流程对云端和网端配置进行更新，以保证业务继续可用；能够应用于多种隧道类业务，当其中某一端点ip地址变化时，对相关vpn隧道配置进行自动刷新，可以保障业务的持续可用；使用的网关设备不限于运营商的自有网关，网络连接不限于运营商网络，可以扩展至其他专线网络、云内网络等，能够实现业务对于ip地址变化的自动适应，提高用户的使用感受。

可能以许多方式来实现本公开的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。

本公开的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用，并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。