技術領域

本發明涉及VPN(Virtual?Private?Network，虛擬專用網)領域，具體是一種實現VPN配置服務的方法和系統。

背景技術

VPN網絡通常由CE設備(Customer?Edge，客戶邊緣設備)、PE設備(Provider?Edge，網絡邊緣設備)和P設備(Provider，網絡內部設備)構成。其中CE設備是客戶邊緣節點，是在同一個站點的VPN客戶端點的出/入口；PE設備是傳送網絡的邊緣節點，作為傳送網絡負責向客戶提供VPN服務的邊緣設備，一個PE設備至少與一個CE設備相連，并且至少和另外一個傳送網絡設備，即PE或者P相連。P設備是傳送網絡內部的傳送設備，P設備和傳送網絡內部其它的傳送設備相連，但不直接和CE設備相連。

現有技術一提供的VPN服務通常由網絡管理系統，即NMS(NetworkManagement?System，網絡管理系統)來實現，如圖1所示，通過NMS完成VPN網絡的配置和客戶VPN連接業務的建立，具體步驟如下：

1、在NMS中手動配置VPN信息，包括VPN成員信息、VPN策略信息等；

2、客戶需要建立VPN連接時，客戶向NMS發送VPN連接請求消息；

3、NMS根據預先配置的VPN信息驗證客戶請求，驗證通過后，建立網絡連接。

現有技術二是IETF草案draft-ietf-vpn-bgp-auto-discovery-00，其中描述了通過BGP協議(Border?Gateway?Protocol，邊界網關協議)實現VPN成員的自動發現并提供VPN服務的方法。結合其中所描述的成員自動發現方法，網絡提供VPN連接服務的具體步驟如下：

1、在PE設備上配置所接入的CE成員信息，并通過<CPI?PPI>來標識該VPN成員，其中CPI為CE設備上接入網絡設備的端口標識，PPI為PE設備上連接該CE設備的端口標識；

2、PE設備通過配置VPN成員信息后，通過BGP協議與該VPN中的其它PE設備進行交互，通過這種BGP的自動發現機制最終會在VPN中所有的PE設備中形成VPN成員信息表PIT；

3、當某個CE設備需要和VPN中的其它成員之間通訊時，PE設備根據VPN成員信息表PIT來驗證客戶VPN通訊請求，驗證通過后，建立VPN網絡連接。

在上述現有技術方案中，VPN成員信息以及VPN策略信息都需要通過管理員在NMS或者PE設備上進行手動配置；當VPN成員發生動態變化時，對VPN網絡配置信息的增加、刪除和修改等操作的時延大，管理方式不靈活。

發明內容

本發明提供一種實現VPN配置服務的方法和系統，能夠靈活配置VPN成員信息，并設置VPN策略信息，實現VPN成員的動態加入和退出處理。

本發明方法，包括如下步驟：

(1)網絡收到VPN配置請求消息，利用目錄服務表對所述VPN配置請求消息進行驗證；

(2)驗證通過后，更新所述目錄服務表，完成所述VPN配置。

上述對VPN配置請求消息的驗證由目錄服務器完成，所述目錄服務表保存在所述目錄服務器上。

上述對VPN配置請求消息的驗證也可由網絡邊緣設備完成，所述目錄服務表保存在所述網絡邊緣設備上。

其中，所述VPN配置請求消息是添加VPN成員的請求消息，所述VPN配置請求消息包括VPN標識和VPN成員標識，所述步驟(2)具體包括步驟：

驗證所述VPN標識是否存在于目錄服務表中，若存在，則進一步驗證所述VPN成員標識是否存在于所述VPN標識對應的表項中，若不存在，則驗證通過，將所述VPN成員標識添加到目錄服務表中；

或者，

驗證所述VPN標識是否存在于目錄服務表中，若存在，則進一步驗證所述VPN成員標識是否存在于所述VPN標識對應的表項中，若不存在，則進一步驗證是否符合目錄服務表中基于所述VPN的策略信息，若符合，則驗證通過，將所述VPN成員標識添加到目錄服務表中。

其中，所述VPN配置請求消息是刪除VPN成員的請求消息，所述VPN配置請求消息包括VPN標識和VPN成員標識，，所述步驟(2)具體包括步驟：

驗證所述VPN標識與所述VPN成員標識是否存在于目錄服務表的一個表項中，若是，則進一步驗證所述表項中的策略信息是否允許VPN成員動態退出，若是，則驗證通過，刪除目錄服務表中的所述表項。