技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種路由自動(dòng)生成方法及其裝置。

背景技術(shù)

越來越多的企業(yè)希望利用公共網(wǎng)絡(luò)組建VPN(Virtual?Private?Network，虛擬專用網(wǎng)絡(luò))，連接地理位置不同的多個(gè)分支機(jī)構(gòu)。然而，企業(yè)分支機(jī)構(gòu)通常采用動(dòng)態(tài)地址接入公共網(wǎng)絡(luò)，通信一方無(wú)法事先知道對(duì)端的公網(wǎng)地址，這就為組建VPN提出了一個(gè)難題。

DVPN(Dynamic?Virtual?Private?Network，動(dòng)態(tài)虛擬專用網(wǎng)絡(luò))通過VAM(VPN?Address?Management，VPN地址管理)協(xié)議收集、維護(hù)和分發(fā)動(dòng)態(tài)變化的公網(wǎng)地址等信息，解決了無(wú)法事先獲得通信對(duì)端公網(wǎng)地址的問題。DVPN可以在企業(yè)網(wǎng)各分支機(jī)構(gòu)使用動(dòng)態(tài)地址接入公網(wǎng)的情況下，在各分支機(jī)構(gòu)間建立VPN。

DVPN把連接到公網(wǎng)上的各節(jié)點(diǎn)組成的網(wǎng)絡(luò)看作VPN網(wǎng)絡(luò)，公網(wǎng)作為VPN網(wǎng)絡(luò)的鏈路層，DVPN隧道作為企業(yè)內(nèi)部子網(wǎng)之間的虛通道，相當(dāng)于網(wǎng)絡(luò)層。企業(yè)各分支設(shè)備動(dòng)態(tài)接入到公網(wǎng)中，其公網(wǎng)地址對(duì)于通信的另一端來說是未知的，而對(duì)于建立端到端的安全隧道，公網(wǎng)地址是必須的條件之一。DVPN通過VAM獲取通信對(duì)端的公網(wǎng)地址。

VAM協(xié)議是DVPN方案的主要協(xié)議，負(fù)責(zé)收集、維護(hù)、分發(fā)公網(wǎng)地址等信息，幫助用戶快捷、方便的建立起內(nèi)部的安全隧道。企業(yè)內(nèi)部子網(wǎng)之間轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文通過路由協(xié)議得到其私網(wǎng)下一跳，通過VAM協(xié)議查詢到私網(wǎng)下一跳對(duì)應(yīng)的公網(wǎng)地址，并利用該公網(wǎng)地址作為隧道的目的地址進(jìn)行封裝，最后交給已建立起的安全隧道發(fā)送到目的端用戶。

DVPN方案中有以下幾個(gè)關(guān)鍵的角色：

1、DVPN節(jié)點(diǎn)

DVPN節(jié)點(diǎn)為動(dòng)態(tài)VPN隧道兩端的設(shè)備，可以是網(wǎng)絡(luò)設(shè)備或主機(jī)。DVPN節(jié)點(diǎn)參與隧道的建立，需要實(shí)現(xiàn)VAM的客戶端功能。

2、VAM?Server(服務(wù)器)

VAM?Server是接受DVPN節(jié)點(diǎn)向其注冊(cè)信息的服務(wù)器，負(fù)責(zé)管理、維護(hù)各DVPN節(jié)點(diǎn)的信息。目前VAM?Server一般運(yùn)行在較高性能的路由器設(shè)備上。

3、VAM?Client(客戶端)

VAM?Client向VAM?Server注冊(cè)自己的私網(wǎng)地址(DVPN隧道的接口地址)、公網(wǎng)地址等信息，向VAM?Server查詢其它VAM?Client的信息。DVPN節(jié)點(diǎn)上需要實(shí)現(xiàn)VAM?Client功能。

4、Hub節(jié)點(diǎn)

Hub節(jié)點(diǎn)是一種VAM?Client，一個(gè)VPN網(wǎng)絡(luò)的中心設(shè)備，它是路由信息交換的中心。在Hub-Spoke組網(wǎng)中，它也是數(shù)據(jù)轉(zhuǎn)發(fā)的中心。

5、Spoke節(jié)點(diǎn)

Spoke節(jié)點(diǎn)是一種VAM?Client，通常是企業(yè)分支機(jī)構(gòu)的網(wǎng)關(guān)設(shè)備，該節(jié)點(diǎn)不會(huì)轉(zhuǎn)發(fā)收到的其它DVPN節(jié)點(diǎn)的數(shù)據(jù)。

DVPN采用Client/Server模式，工作在TCP(Transmission?Control?Protocol，傳輸控制協(xié)議)/IP(Internet?Protocol，互聯(lián)網(wǎng)協(xié)議)協(xié)議棧的應(yīng)用層。DVPN支持UDP(User?Datagram?Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)和GRE(Generic?Routing?Encapsulation，通用路由封裝)兩種隧道封裝類型。按照工作方式的不同，可將一個(gè)VPN域中的設(shè)備劃分為一個(gè)Server和多個(gè)Client，Server的公網(wǎng)地址為靜態(tài)地址，Client的公網(wǎng)地址既可以靜態(tài)配置也可以動(dòng)態(tài)獲取，而Client的私網(wǎng)地址則需要按照規(guī)劃靜態(tài)分配。在同一個(gè)VPN域內(nèi)，要求所有節(jié)點(diǎn)的私網(wǎng)地址在同一個(gè)網(wǎng)段內(nèi)。

每一個(gè)Client向Server注冊(cè)自己的公網(wǎng)地址和私網(wǎng)地址(DVPN隧道的接口地址)的對(duì)應(yīng)關(guān)系。Client向Server注冊(cè)成功之后，其他Client可以從Server查詢到該Client的公網(wǎng)地址，以便在Client之間建立DVPN隧道。Server與Client間通過VAM協(xié)議進(jìn)行消息傳遞，Client之間通過DVPN隧道協(xié)議進(jìn)行隧道的建立、維護(hù)和刪除。任何節(jié)點(diǎn)退出或加入VPN都能自動(dòng)通知Server。

參見圖1和圖2，現(xiàn)有技術(shù)中DVPN具有兩種典型的組網(wǎng)結(jié)構(gòu)：

Full-Mesh(全互聯(lián))網(wǎng)絡(luò)：Spoke節(jié)點(diǎn)之間可以建立隧道直接通信；Hub節(jié)點(diǎn)主要作為路由信息交換的中心。作為Spoke節(jié)點(diǎn)的Client節(jié)點(diǎn)在向VAMServer注冊(cè)后獲得該VPN域中Hub節(jié)點(diǎn)的信息，并與Hub節(jié)點(diǎn)建立永久的隧道連接；任意的兩個(gè)Spoke節(jié)點(diǎn)之間也可以直接建立隧道。