一种访问客户网络管理平台的方法技术

技术编号:3545496 阅读:255 留言:0更新日期:2012-04-11 18:40
本发明专利技术提供一种访问客户网络管理平台的方法,其关键在于,为客户网络管理平台配置虚拟专有网络(VPN)地址范围内的私网地址,将客户网络管理平台作为VPN内的一个场所,当VPN中的工作站要访问客户网络管理平台时,工作站根据自身的私网地址和网络管理平台的私网地址,采用访问VPN内一个场所的方法来对客户网络管理平台进行访问。应用本发明专利技术方案,可以从工作站所在的VPN的内部,对客户网络管理平台直接进行访问,可以提高VPN中工作站访问客户网络管理平台的安全性。

【技术实现步骤摘要】
一种访问客户网络管理平台的方法
本专利技术涉及虚拟专有网络技术,特别是涉及一种访问客户网络管理平台的方法。
技术介绍
虚拟专有网络(VPN,Virtual Private Network)是采用隧道技术、加密技术以及身份认证等方法在公共网络上构建私有网络的技术,如构建企业专有网络。对于运营商来说,公网包括公共的骨干网和运营商边缘(PE,ProviderEdge)设备;而地理上彼此分离的VPN成员站点通过客户驻地设备(CPE,Customer Premise Equipment)连接到相应的PE上,然后通过运营商的公网组成VPN网络。其中,一个VPN成员站点也就是一个VPN通讯场所,一般由多个用户工作站构成。VPN通讯场所通常被称为场所,用户工作站通常被称为工作站或VPN用户。由于在一个VPN中,不同的工作站可以直接利用自身所属VPN的私网地址进行通信,所以,从用户的角度看,VPN是一个专有网络。图1是一个典型的VPN拓扑结构示意图。如图1所示,VPN中有3个场所,每一个场所都通过VPN网关成为VPN中的成员,而VPN网关则通过隧道相互连接,将多个场所连接起来,组成一个共同的VPN。其中,工作站为用户进行VPN体验的设备,如个人计算机等;场所为无需通过VPN网关就能实现网络互连互通的区域,如同一栋大楼的局域网等;VPN网关是负责将场所接入VPN的网络节点,为运营商边缘设备;隧道是公网基础设施上的一种逻辑连接,而实际上从源工作站发送的数据包可能需要经过公共网络的多次转发或路由,才能到达目的工作站。-->如果场所1中的工作站1作为源工作站,将场所2中的工作站2作为目的工作站,下面将以源工作站访问目的工作站的过程来说明实现VPN的基本流程:源工作站将自身的私网地址和目的工作站的私网地址分别作为源地址和目的地址,并将携带有源地址和目的地址的访问请求消息发送给VPN网关1,VPN网关1将接收到的数据包进行VPN处理,并确定该数据包需要到达的目的VPN网关地址,即VPN网关2,再将数据包通过隧道A发送给VPN网关2;VPN网关2将接收到的数据包进行解包处理,并发送给目的工作站。然后,目的工作站根据访问请求消息进行处理,并将处理结果返回给源工作站,其返回的方法与上述过程类似,此处不再赘述。在现有技术中,为了加强对VPN的管理,一般还包括一个客户网络管理平台,一般包括客户网络管理(CNM,Customer Network Management)服务器及其所在子网中的其它设备。运营商向VPN用户提供CNM服务一般有两种方式:一种是客户/服务器方式,另一种是浏览器/服务器方式。在实际应用中,工作站可以访问客户网络管理平台来了解自身所属VPN的拓扑结构、网络配置、网络状态和网络性能等信息。这里,CNM服务器的功能可能非常简单,只提供一个接口功能,所有的VPN数据都通过VPN业务管理系统、运营支持系统等系统获得;CNM服务器也可能比较复杂,其VPN配置和性能等数据以一定的时间间隔或实时地与VPN业务管理系统、运营支持系统等系统保持一致;CNM服务器还可能非常复杂,其本身就是一个运营商VPN业务管理系统或运营支持系统等系统。在现有技术中,工作站一般需要通过一个特殊的接口访问客户网络管理平台。由于客户网络管理平台位于公网中,具有公网地址,而工作站是VPN内部网元,只具有私网地址。当工作站需要访问客户网络管理平台时,工作站先向自身所在VPN网关发送携带有自身私网地址的业务请求消息;VPN网关将业务请求消息中工作站的私网地址转换为公网地址,并将修改后的业务请求消息发送给客户网络管理平台;客户网络管理平台处理该业务请求消-->息,并将处理后的结果携带于业务请求响应消息返回给VPN网关;VPN网关重新将业务请求响应消息中的公网地址转换为工作站的私网地址,并将该业务请求响应消息返回给工作站。现有技术的缺点为:由于客户网络管理平台是公网中的网元,不仅VPN中的工作站可以访问客户网络管理平台,而且所有公网中的用户也可以访问它,给客户网络管理平台带来极大的安全隐患。另外,由于VPN中的工作站需要通过公网对客户网络管理平台进行访问,该通信容易受到攻击,如信息被拦截、篡改和重放等。由此可见,现有技术还不能由VPN中的工作站安全地访问客户网络管理平台。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种访问客户网络管理平台的方法,以提高VPN中的工作站访问客户网络管理平台的安全性。为了达到上述目的,本专利技术提出的技术方案为:一种访问客户网络管理平台的方法,为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址,将客户网络管理平台作为VPN内的一个场所后,VPN中的工作站根据客户网络管理平台的私网地址,并按照访问VPN内场所的访问方法对客户网络管理平台进行访问。较佳地,所述VPN中的工作站根据客户网络管理平台的私网地址,并按照访问VPN内场所的访问方法对客户网络管理平台进行访问的方法为:a、工作站根据自身的私网地址和客户网络管理平台的私网地址将业务请求消息发送给客户网络管理平台;b、客户网络管理平台进行业务处理过程,再根据自身的私网地址和工作站的私网地址将处理结果携带于业务响应消息返回给工作站。较佳地,所述将客户网络管理平台作为VPN内的一个场所的方法为:在与网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转-->发实例。较佳地,所述与客户网络管理平台相连的VPN网关为:已经存在于VPN中的VPN网关,或者为客户网络管理平台专门配置的VPN网关。较佳地,当所述与客户网络管理平台相连的VPN网关为客户网络管理平台专门配置的VPN网关时,则所述为客户网络管理平台配置VPN地址范围内的私网地址,和所述在为客户网络管理平台新配置的VPN网关上为客户网络管理平台启动路由和转发实例之间进一步包括:在为客户网络管理平台专门配置的VPN网关与已经存在于VPN中的一个或多个VPN网关之间建立隧道。较佳地,所述步骤a为:a1、工作站将客户网络管理平台私网地址作为目的地址,将自身的私网地址作为源地址,并将携带有源地址和目的地址的业务请求消息发送给工作站自身所在场所的VPN网关;a2、工作站自身所在场所的VPN网关将接收到的业务请求消息进行VPN处理,得到数据包,并将自身公网地址和为客户网络管理平台专门配置的VPN网关的公网地址分别作为数据包源地址和目的地址,再根据源地址和目的地址将数据包通过隧道发送给为客户网络管理平台专门配置的VPN网关;a3、为客户网络管理平台专门配置的VPN网关将接收到的数据包进行解包处理,得到业务请求消息,再根据业务请求消息中的目的地址将业务请求消息发送给客户网络管理平台。较佳地,所述步骤b为:b1、客户网络管理平台进行业务处理过程,将工作站的私网地址作为目的地址,将自身的私网地址作为源地址,再将携带有处理结果、源地址和目的地址的业务响应消息发送给为客户网络管理平台专门配置的VPN网关;b2、为客户网络管理平台专门配置的VPN网关将接收到的业务请求消息进行VPN处理,得到数据包,并将自身公网地址和工作站所在场所的VPN网关的公网地址分别作为数据包的源地址和目的地址,再根据源地址和目的地址将-->数据包通过隧道发送给工作站所在本文档来自技高网
...

【技术保护点】
一种访问客户网络管理平台的方法,其特征在于,为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址,将客户网络管理平台作为VPN内的一个场所后,VPN中的工作站根据客户网络管理平台的私网地址,并按照访问VPN内场所的访问方法对客户网络管理平台进行访问。

【技术特征摘要】
1、一种访问客户网络管理平台的方法,其特征在于,为客户网络管理平台配置虚拟专有网络VPN地址范围内的私网地址,将客户网络管理平台作为VPN内的一个场所后,VPN中的工作站根据客户网络管理平台的私网地址,并按照访问VPN内场所的访问方法对客户网络管理平台进行访问。2、根据权利要求1所述的方法,其特征在于,所述VPN中的工作站根据客户网络管理平台的私网地址,并按照访问VPN内场所的访问方法对客户网络管理平台进行访问的方法为:a、工作站根据自身的私网地址和客户网络管理平台的私网地址将业务请求消息发送给客户网络管理平台;b、客户网络管理平台进行业务处理过程,再根据自身的私网地址和工作站的私网地址将处理结果携带于业务响应消息返回给工作站。3、根据权利要求2所述的方法,其特征在于,所述将客户网络管理平台作为VPN内的一个场所的方法为:在与网络管理平台相连的VPN网关上为客户网络管理平台启动路由和转发实例。4、根据权利要求3所述的方法,其特征在于,所述与客户网络管理平台相连的VPN网关为:已经存在于VPN中的VPN网关,或者为客户网络管理平台专门配置的VPN网关。5、根据权利要求4所述的方法,其特征在于,当所述与客户网络管理平台相连的VPN网关为客户网络管理平台专门配置的VPN网关时,则所述为客户网络管理平台配置VPN地址范围内的私网地址,和所述在为客户网络管理平台新配置的VPN网关上为客户网络管理平台启动路由和转发实例之间进一步包括:在为客户网络管理平台专门配置的VPN网关与已经存在于VPN中的一个或多个VPN网关之间建立隧道。6、根据权利要求5所述的方法,其特征在于,所述步骤a为:a1、工作站将客户网络管理平台私网地址作为目的地址,将自身的私网地址作为源地址,并将携带有源地址和目的地址的业务请求消息发送给工作站自身所在场所的VPN网关;a2、工作站自身所在场所的VPN网关将接收到的业务请求消息进行VPN处理,得到数据包,并将自身公网地址和为客户网络管理平台专门配置的VPN网关的公网地址分别作为数据包源地址和目的地址,再根据源地址和目的地址将数据包通过隧道发送给为客户网络管理平台专门配置的VPN网关;a3、为客户网络管理平台专门配置的VPN网关将接收到的数据包进行解包处理,得到业务请求消息,再根据业务请求消息中的目的地址将业务请求消息发送给客户网络管理平台。7、根据权利要求6所述的方法,其特征在于,所述步骤b为:b1、客户网络管理平台进行业务处理过程,将工作站的私网地址作为目的地址,将自身的私网地址作...

【专利技术属性】
技术研发人员:苗福友
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:94[中国|深圳]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1