一种VPDN多接入点备份接入方法和设备[发明专利]

*CN102523583A*

(10)申请公布号 CN 102523583 A(43)申请公布日 2012.06.27

(12)发明专利申请

(21)申请号 201110403250.6(22)申请日 2011.12.07

(71)申请人福建星网锐捷网络有限公司

地址350002 福建省福州市仓山区金山大道

618号桔园州工业园19＃楼(72)发明人郑颖

(74)专利代理机构北京同达信恒知识产权代理

有限公司 11291

代理人黄志华(51)Int.Cl.

H04W 12/06(2009.01)H04W 76/04(2009.01)H04L 12/56(2006.01)H04L 29/08(2006.01)H04L 29/06(2006.01)H04L 29/12(2006.01)

权利要求书 2 页 说明书 6 页 附图 4 页权利要求书2页 说明书6页 附图4页

(54)发明名称

一种VPDN多接入点备份接入方法和设备(57)摘要

本发明实施例提供一种VPDN多接入点备份接入方法和设备，包括：在VPDN组网环境中，利用接入端设备进行自身与一个LNS之间已建立的通信链路进行监测，在确定该通信链路上的通信发生异常时，断开已建立的通信链路，与另一个LNS之间建立连接，从而在LAC设备不支持至LNS链路检测的机制的情况下，为接入端设备提供一种接入另一个LNS的解决方案，提高了VPDN网络的可靠性和稳定性。

CN 102523583 ACN 102523583 A

权 利 要 求 书

1/2页

1.一种远程访问虚拟专网VPDN多接入点备份接入方法，其特征在于，所述方法包括：接入端设备向第二层隧道协议访问集中器LAC设备下发第一信息，通过该LAC设备接入第一第二层隧道协议网络服务器LNS；

接入端设备监测自身与第一LNS之间的通信链路，在确定该通信链路上的通信发生异常时，断开自身与所述第一LNS之间的第二层隧道协议L2TP隧道连接；

接入端设备向所述LAC设备下发第二信息，通过所述LAC设备接入第二LNS；其中：

所述第一信息包括第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名；或者，

所述第一信息包括第一LNS对应的第一接入点名称、第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二LNS对应的第二接入点名称、第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名。

2.如权利要求1所述的方法，其特征在于，接入端设备确定该通信链路上的通信发生异常，具体包括：

接入端设备向所述第一LNS发送探测报文，在设定时长内没有接收到第一LNS返回的响应报文时，确定该通信链路上的通信发生异常。

3.如权利要求2所述的方法，其特征在于，接入端设备向所述第一LNS发送探测报文，具体包括：

接入端设备定时向所述第一LNS发送探测报文。4.如权利要求1～3任一所述的方法，其特征在于，所述第一LNS为主LNS，所述第二LNS为备份LNS；或者，所述第一LNS为备份LNS，所述第二LNS为主LNS。

5.一种远程访问虚拟专网VPDN多接入点备份接入设备，其特征在于，所述设备包括第一链路建立模块、监测模块和第二链路建立模块，其中：

第一链路建立模块，用于向第二层隧道协议访问集中器LAC设备下发第一信息，通过该LAC设备接入第一第二层隧道协议网络服务器LNS；

监测模块，用于监测自身与第一LNS之间的通信链路，在确定该通信链路上的通信发生异常时，断开自身与所述第一LNS之间的第二层隧道协议L2TP隧道连接，并触发第二链路建立模块；

第二链路建立模块，用于向所述LAC设备下发第二信息，通过所述LAC设备接入第二LNS；

其中：

所述第一信息包括第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名；或者，

所述第一信息包括第一LNS对应的第一接入点名称、第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二LNS对应的第二接入点名称、第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名。

6.如权利要求5所述的设备，其特征在于，所述监测模块，具体用于向所述第一LNS发

2

CN 102523583 A

权 利 要 求 书

2/2页

送探测报文，在设定时长内没有接收到第一LNS返回的响应报文时，确定该通信链路上的通信发生异常。

7.如权利要求6所述的设备，其特征在于，所述监测模块，具体用于定时向所述第一LNS发送探测报文。

3

CN 102523583 A

说 明 书

一种VPDN多接入点备份接入方法和设备

1/6页

技术领域

[0001]

本发明涉及通信领域，尤其涉及一种VPDN多接入点备份接入方法和设备。

背景技术

在采用第二层隧道协议(L2TP，Layer 2 Tunneling Protocol)的虚拟专用网络

(VPN，Virtual Private Network)组网环境中，开设VPN服务所需的设备很少，只需要部署一台支持VPN的L2TP网络服务器(LNS，L2TP Network Server)，LNS通过专线的方式接入到运营商网络中，远程接入端可以通过拨号方式连入所在地运营商的L2TP访问集中器(LAC，L2TP Access Concentrator)后直接呼叫LNS路由器，从而实现远程访问虚拟专网(VPDN，Virtual Private Dialup Network)接入。而随着第三代移动通信技术(3G，3rd-generation)技术及业务的发展，其高速率、高安全性、覆盖广、机动性强的特性受到了越来越广泛的应用。通过3G进行VPDN接入的应用也越来越广，可以通过3G进行VPDN接入解决异地访问企业内部私有网的问题。

[0003] 如图1所示为一个典型的通过3G接入VPDN的组网模型示意图。接入端实现VPDN接入的过程如下：[0004] 第一步、接入端的3G路由器启动3G拨号连接，在拨号时3G路由器需向运营商网络下发接入点信息。[0005] 第二步、运营商网络中的LAC设备收到接入端3G路由器的拨号数据之后，通过LAC验证、授权和记账(AAA，Authentication、Authorization、Accounting)服务器对接入端进行认证，具体的，LAC AAA服务器可以根据接入端下发的接入点信息，判断该接入端请求接入的是否是VPDN，在确定该接入端请求接入的是VPDN时，LAC AAA服务器对接入端的认证通过。在认证通过后，LACAAA服务器根据接入端下发的接入点信息，向LAC设备返回该接入端所属的LNS地址，隧道属性等信息。

[0006] 本步骤是运营商网络确定接入VPDN的关键步骤，其接入VPDN的依据是接入端在3G拨号连接时，通过3G线路下发到运营商网络的接入点信息。[0007] 第三步、LAC设备接收到接入端对应的LNS的信息之后，向该LNS发起L2TP VPN连接。

[0008] 第四步、LAC设备与LNS之间的L2TP隧道建立之后，LNS会对接入端3G路由器再次进行认证，认证通过后给接入端分配VPDN内部地址。至此便完成了接入端接入VPDN的过程，接入端与LNS之间的L2TP隧道建立。[0009] 在如图1所示的网络中，当LNS发生故障时，用户的业务将被中断。为了解决这类问题，提高网络的稳定性和可靠性，可通过采用双LNS备份的方式，部署两个LNS路由器，一

在一个LNS出现故障时，利用另一个LNS执行业务。个作为主LNS，一个作为备份LNS，

[0010] 为了实现主LNS和备份LNS之间的切换，现有方案中，由运营商网络的LAC设备提供检测功能，检测LAC和当前的LNS之间的通信链路。当LAC设备确定该通信链路出现故障时，由LAC进行切换到备份LNS的动作。但该方案存在的问题是，当LAC设备不支持检测

[0002]

4

CN 102523583 A

说 明 书

2/6页

功能时，将无法通过LNS冗余备份的方式来解决网络的可靠性问题。发明内容

本发明实施例提供一种VPDN多接入点备份接入方法和设备，解决LAC设备不支持检测功能时，无法实现LNS切换，导致无法保证网络稳定性和可靠性的问题。[0012] 一种远程访问虚拟专网VPDN多接入点备份接入方法，所述方法包括：[0013] 接入端设备向第二层隧道协议访问集中器LAC设备下发第一信息，通过该LAC设备接入第一第二层隧道协议网络服务器LNS；

[0014] 接入端设备监测自身与第一LNS之间的通信链路，在确定该通信链路上的通信发生异常时，断开自身与所述第一LNS之间的第二层隧道协议L2TP隧道连接；[0015] 接入端设备向所述LAC设备下发第二信息，通过所述LAC设备接入第二LNS；[0016] 其中：

[0017] 所述第一信息包括第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名；或者，

[0018] 所述第一信息包括第一LNS对应的第一接入点名称、第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二LNS对应的第二接入点名称、第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名。[0019] 一种远程访问虚拟专网VPDN多接入点备份接入设备，所述设备包括第一链路建立模块、监测模块和第二链路建立模块，其中：[0020] 第一链路建立模块，用于向第二层隧道协议访问集中器LAC设备下发第一信息，通过该LAC设备接入第一第二层隧道协议网络服务器LNS；[0021] 监测模块，用于监测自身与第一LNS之间的通信链路，在确定该通信链路上的通信发生异常时，断开自身与所述第一LNS之间的第二层隧道协议L2TP隧道连接，并触发第二链路建立模块；

[0022] 第二链路建立模块，用于向所述LAC设备下发第二信息，通过所述LAC设备接入第二LNS；

[0023] 其中：

[0024] 所述第一信息包括第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名；或者，

[0025] 所述第一信息包括第一LNS对应的第一接入点名称、第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二LNS对应的第二接入点名称、第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名。[0026] 根据本发明实施例提供的方案，在VPDN组网环境中，利用接入端设备进行自身与一个LNS之间已建立的通信链路进行监测，在确定该通信链路上的通信发生异常时，断开已建立的通信链路，与另一个LNS之间建立连接，从而在LAC设备不支持至LNS链路检测的机制的情况下，为接入端设备提供一种接入另一个LNS的解决方案，提高了VPDN网络的可靠性和稳定性。

[0011]

5

CN 102523583 A

说 明 书

3/6页

附图说明

图1为现有技术中通过3G接入VPDN的组网模型示意图；

[0028] 图2为本发明实施例一提供的VPDN多接入点备份接入方法的步骤流程图；[0029] 图3为本发明实施例二提供的VPDN多接入点备份接入方法的步骤流程图；

[0027]

图4为本发明实施例二提供的第一LNS与接入端之间的通信链路示意图；

[0031] 图5为本发明实施例二提供的第二LNS与接入端之间的通信链路示意图；[0032] 图6为本发明实施例三提供的VPDN多接入点备份接入设备的结构示意图。

[0030]

具体实施方式

[0033] 在通常的VPDN组网环境中，一旦接入端至LNS端的链路出现问题，客户的业务将发生中断，因此在实际的应用中，一般会配备一个主LNS和一个备份LNS，一般的，优先接入主LNS，当主LNS出现故障时，可以切换到备份LNS上来。本发明实施例提供的方案正是通过在接入端检测接入端至主LNS端的链路，当检测到线路通信故障时，可以在接入端实现自动接入备份LNS的功能。当然，本发明实施例提供的方案同样适用于在接入端检测接入端至备份LNS端的链路，当检测到线路通信故障时，在接入端实现自动接入主LNS。[0034] 本发明各实施例方案实现的前提是，建网初期，向运营商申请不同的专线线路连接到不同的LNS。即针对主LNS和备份LNS，分别分配VPDN域名。当然，运营商为移动或联通时，针对主LNS和备份LNS，还会分别分配接入点名称(APN，Access Point Name)。[0035] 下面通过说明书附图和各实施例对本发明方案进行说明。具体的，以接入端设备为接入端路由器为例进行说明。[0036] 实施例一、

[0037] 本发明实施例一提供一种VPDN多接入点备份接入方法，该方法的步骤如图2所示，包括：

[0038] 步骤101、接入端路由器接入第一LNS。[0039] 本步骤包括：接入端路由器向运营商网络中的LAC设备下发第一信息，从而通过该LAC设备接入第一LNS，建立接入端路由器与第一LNS之间的通信链路。接入端路由器与第一LNS通过电信运营商网络建立通信链路时，所述第一信息包括第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名。接入端路由器与第一LNS通过移动或联通运营商网络建立通信链路时，所述第一信息还可以进一步包括第一LNS对应的第一接入点名称。

步骤102、接入端路由器监测所述通信链路。

[0041] 本步骤包括：接入端路由器监测自身与第一LNS之间的通信链路，在确定该通信链路上的通信发生异常时，断开自身与所述第一LNS之间的L2TP隧道连接。[0042] 具体的，接入端路由器可以向所述第一LNS发送探测报文，在设定时长内没有接收到第一LNS返回的响应报文时，确定该通信链路上的通信发生异常。较优的，接入端路由器可以定时地向所述第一LNS发送探测报文。[0043] 步骤103、接入端路由器接入第二LNS。[0044] 本步骤包括：接入端路由器向所述LAC设备下发第二信息，通过所述LAC设备接入

[0040]

6

CN 102523583 A

说 明 书

4/6页

第二LNS，建立接入端路由器与第二LNS之间的通信链路。接入端路由器通过电信运营商网络接入第二LNS时，所述第二信息包括第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名。接入端路由器通过移动或联通运营商网络接入第二LNS时，所述第二信息还可以进一步包括第二LNS对应的第二接入点名称。[0045] 在实施例一中，当第一LNS为VPDN组网环境中配备的主LNS时，所述第二LNS为VPDN组网环境中配备的备份LNS，当第一LNS为VPDN组网环境中配备的备份LNS时，所述第二LNS为VPDN组网环境中配备的主LNS。[0046] 由于通常的VPDN组网环境中，采用3G链路作为接入方式，下面以通过3G链路接入VPDN对本发明实施例一的方案进行具体说明。以实施例一中的第一LNS为主LNS，第二LNS为备份LNS，运营商网络为移动网络或联通网络为例进行说明。[0047] 实施例二、

[0048] 本发明实施例二提供一种VPDN多接入点备份接入方法，该方法的步骤如图3所示，包括：

[0049] 步骤201、接入端路由器注册连接。[0050] 本步骤包括：接入端路由器(接入端)通过3G卡搜索运营商通讯基站并注册连接。

[0051] 步骤202、接入端路由器下发第一信息并启动点对点协议(PPP，Point-to-Point Protocol)拨号。

[0052] 本步骤包括：接入端路由器在注册成功后下发第一信息，并启动PPP拨号向运营商网络发出连接请求。第一信息包括：[0053] 第一接入点名称(APN)、第一用户名、第一认证密码和第一VPDN域名，且具体的，第一用户名和第一VPDN域名可以通过如下形式下发：[0054] xxx@yyy，其中，xxx为第一用户名，yyy为第一VPDN域名。[0055] 步骤203、LAC AAA服务器进行认证。

[0056] LAC AAA服务器根据LAC设备接收到的接入端路由器下发的第一信息，具体的，可以根据第一接入点名称和第一VPDN域名对所述接入端路由器进行认证(在运营商网络为电信网络时，LAC AAA服务器可以根据第一VPDN域名对所述接入端路由器进行认证)，即LAC AAA服务器确定是否存在与所述第一接入点名称和第一VPDN域名对应的LNS的相关信息，若存在该相关信息，则认证通过，否则，认证不通过。在认证通过时，继续执行步骤204，否则，可以结束本流程。[0057] 步骤204、LAC AAA服务器返回相关信息。

[0058] LAC AAA服务器确定该接入端路由器请求连接的第一LNS，向所述LAC设备返回该第一LNS对应的地址，隧道属性等信息。[0059] 步骤205、LAC设备向第一LNS发出L2TP隧道建立请求。[0060] 步骤206、第一LNS建立与LAC设备之间的L2TP隧道。[0061] 第一LNS与LAC设备之间进行协商，并在协商成功后，建立第一LNS与LAC设备之间的L2TP隧道。[0062] 步骤207、第一LNS与接入端路由器建立连接。[0063] 在本步骤中，第一LNS可以对接入端路由器进行认证，其认证的依据可以是接入

7

CN 102523583 A

说 明 书

5/6页

端路由器发送的第一用户名和第一认证密码，具体的，可以采用点对点询问握手认证协议(CHAP，Challenge Handshake Authentication Protocol)或者密码认证协议(PAP，Password Authentication Protocol)方式对所述接入端路由器进行认证，并在认证通过后向接入端路由器下发因特网协议(IP，Internet Protocol)地址，从而实现接入端路由器接入第一LNS，第一LNS(总部网络)与接入端之间的通信链路示意图可以如图4所示，否则，在认证不通过时，可以结束本流程。[00] 步骤208、接入端路由器监测接入端至第一LNS端的链路。[0065] 具体的，接入端路由器可以定时向第一LNS发起探测报文，并在探测到第一LNS对应的目的地址不可达时，认为接入端和第一LNS之间的通信链路发生故障，则清除接入端到第一LNS路由器的L2TP隧道连接，并继续执行步骤209。[0066] 步骤209、接入端路由器下发第二信息。[0067] 接入端进行切换接入点的操作，将备份接入点的信息(第二信息)通过3G线路下发到LAC设备，下发的第二信息包括：[0068] 第二接入点名称(APN)、第二用户名、第二认证密码和第二VPDN域名，当然，第二用户名和第二VPDN域名也可以通过如下形式下发：[0069] mmm@nnn，其中，mmm为第二用户名，nnn为第二VPDN域名。[0070] 步骤210、接入端路由器重新启动PPP拨号。

[0071] 由于接入点的信息在步骤209中已经完成了切换，因此接入端重新发起拨号，LAC设备可以根据接入端下发的第二信息，建立到第二LNS的L2TP隧道连接。该L2TP隧道连接的建立过程与步骤203步骤206类似，在此不再赘述。[0072] 步骤211、第二LNS与接入端路由器建立连接。[0073] 在本步骤中，第二LNS路由器可以对接入端路由器进行认证，其认证的依据可以是第二用户名和第二认证密码，认证通过后第二LNS为接入端路由器分配IP地址，从而实现接入端路由器接入第二LNS，第二LNS(总部网络)与接入端之间的通信链路示意图可以如图5所示。

[0074] 至此便完成了主LNS故障时，接入端主动切换接入到备份LNS的过程。[0075] 根据本发明实施例一和实施例二提供的方案，针对VPDN组网，在接入端提供一种方法，实现接入端可以在主LNS故障的情况下，自动接入备份LNS，或者，实现接入端可以在备份LNS故障的情况下，自动接入主LNS，提高VPDN网络的可靠性和稳定性。[0076] 具体的，可以在接入端3G路由器通过主动监测3G路由器到LNS设备间的网络的可靠性，当检测到网络发生异常时执行主动切换接入点动作。在切换过程中实时下发新的接入点信息，保证接入端再次发起连接请求时可通过新的接入点信息，接入到备份LNS。[0077] 与本发明实施例一和实施例二基于同一发明构思，提供以下的设备。[0078] 实施例三、

[0079] 本发明实施例三提供一种VPDN多接入点备份接入设备，该设备可以用作本发明实施例一及实施例二中的接入端路由器，该设备的结构可以如图6所示，包括第一链路建立模块11、监测模块12和第二链路建立模块13，其中：

[0080] 第一链路建立模块11用于向第二层隧道协议访问集中器LAC设备下发第一信息，通过该LAC设备接入第一第二层隧道协议网络服务器LNS；监测模块12用于监测自身与第

8

CN 102523583 A

说 明 书

6/6页

一LNS之间的通信链路，在确定该通信链路上的通信发生异常时，断开自身与所述第一LNS之间的第二层隧道协议L2TP隧道连接，并触发第二链路建立模块；第二链路建立模块13用于向所述LAC设备下发第二信息，通过所述LAC设备接入第二LNS；[0081] 其中：

[0082] 所述第一信息包括第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名；或者，

[0083] 所述第一信息包括第一LNS对应的第一接入点名称、第一用户名、第一认证密码，以及为第一LNS分配的第一VPDN域名，所述第二信息包括第二LNS对应的第二接入点名称、第二用户名、第二认证密码，以及为第二LNS分配的第二VPDN域名。[0084] 所述监测模块12具体用于向所述第一LNS发送探测报文，在设定时长内没有接收到第一LNS返回的响应报文时，确定该通信链路上的通信发生异常。[0085] 所述监测模块12具体用于定时向所述第一LNS发送探测报文。[0086] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

9

CN 102523583 A

说 明 书 附 图

1/4页

图1

10

CN 102523583 A

说 明 书 附 图

2/4页

图2

11

说 明 书 附 图

3/4页

图3

12

CN 102523583 A

CN 102523583 A

说 明 书 附 图

4/4页

图4

图5

图6

13