技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種DVPN大規(guī)模組網(wǎng)的方法和客戶端。

背景技術(shù)

越來越多的企業(yè)對利用公共網(wǎng)絡(luò)組建VPN的需求越來越多，但很多情況下，一個(gè)企業(yè)的分支是采用動(dòng)態(tài)地址接入公共網(wǎng)絡(luò)的，無法事先知道對端的公網(wǎng)地址，很難建立各分支機(jī)構(gòu)之間的直接互訪隧道。DVPN方案解決了企業(yè)網(wǎng)各分支機(jī)構(gòu)使用動(dòng)態(tài)地址接入公網(wǎng)的情況下可以在各分支機(jī)構(gòu)間建立直連隧道的需求。

DVPN解決方案由VAM協(xié)議、動(dòng)態(tài)點(diǎn)到多點(diǎn)隧道兩大部分組成。VAM協(xié)議是DVPN方案的主要協(xié)議，負(fù)責(zé)收集、維護(hù)、分發(fā)公網(wǎng)地址等信息，幫助用戶快捷、方便的建立起內(nèi)部的安全隧道。企業(yè)內(nèi)部子網(wǎng)之間轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文通過路由協(xié)議得到其私網(wǎng)下一跳地址，通過VAM協(xié)議查詢到私網(wǎng)下一跳地址對應(yīng)的公網(wǎng)地址，并利用該公網(wǎng)地址作為隧道的目的地址進(jìn)行封裝，最后交給已建立起的安全隧道發(fā)送到目的端用戶。

DVPN采用客戶端/服務(wù)器模式，工作在TCP/IP協(xié)議棧的應(yīng)用層。按照工作方式的不同，可將一個(gè)VPN域中的設(shè)備劃分為一個(gè)服務(wù)器和多個(gè)客戶端，服務(wù)器的公網(wǎng)地址為靜態(tài)地址，客戶端的公網(wǎng)地址既可以靜態(tài)配置也可以動(dòng)態(tài)獲取，而客戶端的私網(wǎng)地址則需要按照規(guī)劃靜態(tài)分配。在同一個(gè)VPN域內(nèi)，要求所有節(jié)點(diǎn)的私網(wǎng)地址在同一個(gè)網(wǎng)段內(nèi)。

每一個(gè)客戶端向服務(wù)器注冊自己的公網(wǎng)地址和私網(wǎng)地址的對應(yīng)關(guān)系。客戶端向服務(wù)器注冊成功之后，其他客戶端可以從服務(wù)器查詢到該客戶端的公網(wǎng)地址，以便在客戶端之間建立DVPN隧道。服務(wù)器與客戶端間通過VAM協(xié)議進(jìn)行消息傳遞，客戶端之間通過DVPN隧道協(xié)議進(jìn)行隧道的建立、維護(hù)和刪除。

在DVNP的解決方案中，客戶端的子網(wǎng)路由和下一跳地址是通過動(dòng)態(tài)路由協(xié)議來發(fā)布的。Spoke在向VAM服務(wù)器注冊成功后，需要和Hub建立永久的DVPN隧道，用于路由的學(xué)習(xí)和發(fā)布。Hub作為路由的中心節(jié)點(diǎn)負(fù)責(zé)收集所有Spoke的子網(wǎng)路由信息，然后發(fā)布給每個(gè)Spoke。這樣，Spoke間在有數(shù)據(jù)流量轉(zhuǎn)發(fā)時(shí)，就可以查詢本地的路由信息，獲取路由的下一跳地址，并向VAM服務(wù)器查詢對端的公網(wǎng)地址了。

現(xiàn)有方案中Hub需要和每一個(gè)Spoke建立路由鄰居，在大規(guī)模組網(wǎng)中，Hub端需要維護(hù)大量的路由鄰居和路由信息，系統(tǒng)開銷大，路由配置復(fù)雜，而且受限于動(dòng)態(tài)路由協(xié)議的規(guī)格。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供一種DVPN大規(guī)模組網(wǎng)的方法和客戶端，解除了DVPN隧道對動(dòng)態(tài)路由協(xié)議的依賴，提高DVPN組網(wǎng)的靈活性，降低了大規(guī)模組網(wǎng)中Hub的系統(tǒng)開銷和路由配置。

為解決上述技術(shù)問題，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種DVPN大規(guī)模組網(wǎng)的方法，所述組網(wǎng)中包括VAM客戶端和VAM服務(wù)器，所述VAM客戶端向所述VAM服務(wù)器注冊時(shí)攜帶私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段，所述方法包括：

源VAM客戶端接收到自身子網(wǎng)向目的VAM客戶端子網(wǎng)發(fā)送的報(bào)文時(shí)，根據(jù)該報(bào)文攜帶的目的地址向所述VAM服務(wù)器進(jìn)行子網(wǎng)下一跳地址解析，獲得所述VAM服務(wù)器根據(jù)所述目的地址下發(fā)的所述目的VAM客戶端的私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段，與所述目的VAM客戶端建立DVPN隧道。

一種客戶端，可應(yīng)用于DVPN大規(guī)模組網(wǎng)中，其中，所述組網(wǎng)中包括VAM客戶端和VAM服務(wù)器，所述客戶端包括：注冊解析單元、接收單元、和建立單元；

所述注冊解析單元，用于向所述VAM服務(wù)器注冊，其中，注冊時(shí)攜帶自身所在客戶端的私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段；用于根據(jù)所述接收單元接收的報(bào)文攜帶的目的地址向所述VAM服務(wù)器進(jìn)行子網(wǎng)下一跳地址解析，獲得所述VAM服務(wù)器根據(jù)所述目的地址下發(fā)的所述目的VAM客戶端的私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段；

所述接收單元，用于接收自身所在客戶端子網(wǎng)向目的VAM客戶端子網(wǎng)發(fā)送的報(bào)文；

所述建立單元，用于根據(jù)所述注冊解析單元獲得的目的VAM客戶端的私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段，與所述目的VAM客戶端建立DVPN隧道。

綜上所述，本發(fā)明在各VAM客戶端向VAM服務(wù)器注冊時(shí)攜帶自身的私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段，源VAM客戶端要訪問目的VAM客戶端時(shí)，向VAM服務(wù)器進(jìn)行子網(wǎng)下一跳地址解析獲得目的VAM客戶端的私網(wǎng)網(wǎng)關(guān)地址、公網(wǎng)地址和下掛子網(wǎng)網(wǎng)段，進(jìn)而建立動(dòng)態(tài)的DVPN隧道用來轉(zhuǎn)發(fā)報(bào)文。通過上述方法解除了DVPN隧道對動(dòng)態(tài)路由協(xié)議的依賴，提高DVPN組網(wǎng)的靈活性，減少了大規(guī)模組網(wǎng)中Hub的系統(tǒng)開銷和路由配置。

附圖說明

圖1為本發(fā)明實(shí)施例中DVPN大規(guī)模流程示意圖；