基于NFV实现vCPE虚拟化企业网络的系统及方法

摘要

本发明涉及一种基于NFV实现vCPE虚拟化企业网络的系统及方法，其中包括vCPE模块和ThinPE模块，vCPE模块通过网关与网络进行通信，企业内网终端通过ThinPE模块与vCPE模块进行通信。采用该种结构的基于NFV实现vCPE虚拟化企业网络的系统及方法，NFV技术将软件和硬件进行分离，将软件运行的硬件环境由专有硬件变成通用的物理服务器硬件，节省和保护投资；底层的服务器引入云计算技术，非常容易进行scale up/down操作，可以按照业务需要进行扩容，而不需要考虑投资和扩容频率的平衡；企业可以不再需要购买昂贵不通用的硬件设备，只需要向运营商租用vCPE设备；vCPE引入新业务时，能更加平滑，企业内网用户无感知，提升体验和效率，具有更广泛的应用范围。

说明书

技术领域

本发明涉及网络技术领域，尤其涉及网络功能虚拟化技术领域，具体是指一种基于NFV实现vCPE虚拟化企业网络的系统及方法。

背景技术

传统的企业网分为三个部分：企业内部网络、与运营商相连的网络、以及移动办公远程接入网络。企业级CPE(客户端设备)作为企业的网关，负责企业内网接入管理、企业和外网之间的互联互通，以及远程用户接入的控制。

对于企业内部网络而言，CPE负责企业用户的接入管理。通常企业内部用户使用DHCP(Dynamic host configuration protocol，动态主机配置协议)获取地址，CPE开启DHCP relay或者DHCP server功能，参与用户地址分配过程。另外CPE还需控制用户对外部网络访问的权限。其次CPE还需要对用户流量进行正确的路由，内部访问直接转发，外部访问由CPE进行NAT44转换后进行。CPE还能对用户URL进行过滤(独立完成或者和其余IT系统配合完成)。

对于与运营商相连网络而言，CPE通过专线接入MSE，完成企业内部网络和外部网络的互通。CPE通过默认路由的方式将外部网络的网关指定为MSE的地址或者接入网邻接路由器的地址，当企业用户流量达到CPE时，CPE查找路由表，如果目的地址是内部网络则直接转发，如果目的地址是外部网络，则先进行NAT44转换，再将报文投递到下一跳路由器，完成企业用户内部流量的转发。另外CPE会向公网通告企业NAT公网地址池的路由，当流量需要从外部网络返回时，会查找到相应的路由，回到正确的CPE，再进行NAT44反向转换，流量转发给相应的用户，完成用户访问外部网络的整个流程。

对于企业移动办公远程接入网络而言，CPE需要作为外部接入网关。用户首先接入运营商的网络，然后向CPE发起呼叫，建立用户到CPE的隧道。CPE需要对用户进行认证和授权，认证完成后给用户分配内网地址，并按照授权信息控制用户对内部网络的访问权限。

传统政企网络的网关基于特定专用封闭设备实现，其本身的特点决定了基于传统CPE的企业网络架构存在以下不足。

CPE需要支持企业内网接入管理、企业和外网之间的互联互通，以及远程用户接入的控制，根据组网结构可能还需要支持NAT(Network Address Translator，网络地址转换)功能，功能相当复杂，需要专业的网络人员进行配置和维护。

随着企业规模的扩展，CPE需要扩容，并且需要考虑一定的冗余量，由于不能动态伸缩，在冗余量的设计上很难做到投资和扩容频率的平衡。

由于要进行硬件采购、调试安装，整个网络的建设需要很长的时间才能完成。

企业需要网络支持新的业务功能时，可能面临当前的设备的升级，或者设备不能支持，需要更换到其它型号的设备才能支持，不仅不利于投资保护，还有可能导致新的业务不能开展，或者需要很长的时间才能上线，极大的制约了企业的业务的开展，尤其是互联网公司。这些互联网企业需要企业网络能快速扩容，业务能快速上线，以及不需要网络维护，只是用网络提供的服务，只聚焦于业务的开展与发展。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现的节省和保护投资、可以按照业务需要进行扩容、提升体验和效率、具有更广泛应用范围的基于NFV实现vCPE虚拟化企业网络的系统及方法。

为了实现上述目的，本发明具有如下构成：

该基于NFV实现vCPE虚拟化企业网络的系统，其主要特点是，所述的包括vCPE模块和ThinPE模块，所述的vCPE模块通过网关与网络进行通信，企业内网终端通过所述的ThinPE模块与所述的vCPE模块进行通信。

较佳地，所述的系统还包括VPN服务模块，移动终端通过所述的VPN服务模块与所述的vCPE模块进行通信。

较佳地，所述的vCPE模块通过专线或PPPOE与所述的网关进行通信。

较佳地，所述的vCPE模块包括数个CPE单元、vXLAN服务单元、企业接入网关和NAT服务单元，各个CPE单元与所述的vXLAN服务单元相连接，所述的NAT服务单元通过所述的企业接入网关与所述的vXLAN服务单元相连接。

本发明还涉及一种基于NFV实现vCPE虚拟化企业网络的方法，其特征在于，所述的方法包括企业内网终端连接网络方法，该企业内网终端连接网络方法包括以下步骤：

(1-1)企业内网终端向ThinPE模块发起拨号；

(1-2)所述的ThinPE模块将拨号报文发送至所述的vCPE模块；

(1-3)所述的vCPE模块进行用户拨号认证并为企业内网终端分配地址；

(1-4)所述的企业内网终端发送上网请求报文至所述的ThinPE模块；

(1-5)所述的ThinPE模块将上网请求报文转发至所述的vCPE模块；

(1-6)所述的vCPE模块连接至网络并获取终端请求的数据；

(1-7)所述的vCPE模块将获取的数据通过所述的ThinPE模块发送至企业内网终端。

较佳地，所述的步骤(1-5)，包括以下步骤：

(1-5-1)所述的ThinPE模块判断所述的上网请求报文中的目的MAC地址是否已知，如果是，则继续步骤(1-5-2)，否则继续步骤(1-5-3)；

(1-5-2)所述的ThinPE模块将上网请求报文转发至所述的vCPE模块，然后继续步骤(1-6)；

(1-5-3)所述的ThinPE模块将上网请求报文进行vXLAN封装后转发至所述的vCPE模块。

较佳地，所述的步骤(1-6)包括以下步骤：

(1-6-1)所述的vCPE模块判断所述的上网请求报文中的目的地址的类型，如果是私网地址，则继续步骤(1-6-2)，如果是公网地址，则继续步骤(1-6-3)；

(1-6-2)所述的vCPE模块通过网关转发目的地址并获取终端请求的数据，然后继续步骤(1-7)；

(1-6-3)所述的vCPE模块对目的地址进行网络地址转换，然后继续步骤(1-6-2)。

较佳地，所述的系统还包括VPN服务模块，所述的方法还包括移动终端连接网络方法，该移动终端连接网络方法包括以下步骤：

(2-1)移动终端与所述的VPN服务模块建立连接并进行拨号认证；

(2-2)所述的VPN服务模块给所述的移动终端分配地址并将终端的相关信息写入内核；

(2-3)所述的VPN服务模块将移动终端的上网请求报文发送至所述的vCPE模块；

(2-4)所述的vCPE模块连接至网络并获取终端请求的数据；

(2-5)所述的vCPE模块将获取的数据通过所述的VPN服务模块发送至企业内网终端。

更佳地，所述的步骤(2-3)，具体为：

所述的VPN服务模块解掉上网请求报文的openVPE封装后通过静态路由发送至所述的vCPE模块

所述的步骤(2-5)包括以下步骤：

所述的VPN服务模块将从所述的vCPE接收的数据根据终端IP进行openVPN隧道封装后发送至所述的移动终端。

更佳地，所述的步骤(2-4)包括以下步骤：

(2-4-1)所述的vCPE模块判断所述的上网请求报文中的目的地址的类型，如果是私网地址，则继续步骤(2-4-2)，如果是公网地址，则继续步骤(2-4-3)；

(2-4-2)所述的vCPE模块通过网关转发目的地址并获取终端请求的数据，然后继续步骤(2-5)；

(2-4-3)所述的vCPE模块对目的地址进行网络地址转换，然后继续步骤(2-4-2)。

采用了该发明中的基于NFV实现vCPE虚拟化企业网络的系统及方法，具有如下有益效果：

(1)NFV技术将软件和硬件进行分离，将软件运行的硬件环境由专有硬件变成通用的物理服务器硬件，节省和保护投资；

(2)底层的服务器引入云计算技术，非常容易进行scale up/down操作，可以按照业务需要进行扩容，而不需要考虑投资和扩容频率的平衡；

(3)软硬件分离之后，设备商主要聚焦于软件功能的开发，由于不需要硬件的升级、安装、调试等工作，新的业务功能可以很快的投入市场；

(4)企业可以不再需要购买昂贵不通用的硬件设备，只需要向运营商租用vCPE设备，并将vCPE的配置维护交给运营商托管；

(5)vCPE引入新业务时，能更加平滑，企业内网用户无感知，提升体验和效率，具有更广泛的应用范围。

附图说明

图1为本发明的引入NFV之后大型企业(有多个分支)的网络架构。

图2为本发明的引入NFV之后中小型企业的网络架构。

图3为本发明的基于NFV实现vCPE虚拟化企业网络的系统的结构示意图。

图4为本发明的移动终端接入网络的流程图。

图5为本发明的企业内网终端接入网络的流程图。

图6为本发明的vCPE模块的结构示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

引入基于NFV技术的vCPE之后，大中型政企网络架构如图1所示：大型企业网络的多个分支网络通过运营商的网络连接到一起形成整个企业网络，每个分支机构都有一个ThinCPE(瘦客户端，客户端的一个硬件设备，一般是用于用户接入网络的硬件盒子)，负责将分支的用户流量汇聚到vCPE。vCPE负责企业内部用户接入管理、通过专线或者PPPOE(通过以太网传输点对点协议)接入到运营商网络，以及对远程用户接入企业内网进行控制。企业内网用户的拨号报文由ThinCPE通过二层隧道透传到vCPE上完成用户接入。不同区域的vCPE之间的连接通过租用运营商的L3VPN来完成，vCPE作为L3VPN的PE设备。分支机构之间的互访和分支机构内部的访问，对于企业内部用户来讲是没有区别的。移动办公远程接入一般采用就近接入的原则，用户通过隧道拨入到就近区域的vCPE，完成对内网资源的访问。根据使用场景可能需要提供NAT44转换服务，来完成企业内部用户对公网的访问。

中小型企业网络架构如图2所示，企业内部部署ThinCPE负责将分支的用户流量汇聚到vCPE。vCPE负责企业内部用户接入管理、通过专线或者PPPOE接入到运营商网络，以及对远程用户接入企业内网进行控制。企业内网用户的拨号报文由ThinCPE通过二层隧道透传到vCPE上完成用户接入。移动办公远程接入用户通过隧道拨入到企业vCPE，完成对内网资源的访问。根据使用场景可能需要提供NAT44转换服务，来完成企业内部用户对公网的访问。

在部署了vCPE之后，本发明的实现虚拟化企业网络的系统的结构如图3所示：

移动终端通过OpenVPN隧道接入到VPN服务模块，完成移动办公远程接入。

VPN服务模块和vCPE模块之间部署静态路由，完成移动终端对内网资源的访问。

Thin PE模块和vCPE模块之间建立VxLAN隧道，将企业内网用户的PPPOE拨号报文透传到vCPE上完成内网用户的接入。

vCPE模块通过专线或者PPPOE拨号连接运营商网络。

根据使用场景可能需要提供NAT44转换服务，来完成企业内部用户对公网的访问。

基于上述架构实现vCPE虚拟化企业网络的方法的流程图如图4和图5所示。

本发明中，政企网vCPE由FlexSW(vXLAN服务单元)、FlexENG(企业接入网关)、FlexNAT(NAT服务单元)共同组成，协同向企业提供定制化的虚拟企业网关服务，如图6所示。

企业通过FlexCPE接入外部网络，并经由vXLAN(virtual Extensible LAN，虚拟可扩展局域网)隧道将二层接入延伸到处于云端POP点内的FlexSW。FlexSW提供vXLAN管道服务，负责终结企业的vXLAN隧道。并在内部基于VSI，对不同企业进行业务隔离。

FlexSW上提供AC(Access Circuit)电路接口接入到FlexENG，不同企业使用不同的AC接口进行隔离。当FlexCPE上的企业用户使用Ethernet模式接入时，FlexSW能够将企业内部vlan信息透传到FlexENG上，FlexENG上对应的接入电路配置对应的vlan-range即可

FlexENG提供企业接入服务，负责企业用户IP地址的管理与分配，并可根据实际需求提供定制化的接入策略控制，如认证、授权、QoS、黑白名单等。

FlexNAT为企业接入提供NAT服务，负责将企业的私网地址转换为公网地址，从而达到节省公网IP的目的。同时FlexNAT上还提供NAT日志功能，为溯源需求提供基础数据。

企业网之间通过前文所述的互联方案进行组网，分布各地的企业网局部节点和位于中心机房的vCPE云平台构成了企业网的基本框架。移动端用户通过VPN技术，连接到同样位于中心机房的VPN终结服务器，由该服务器将用户业务报文分发到企业所属的vCPE。如果移动端用户访问企业内部资源，vCPE会帮助用户路由到对应的企业局点，并通过vxLan隧道转发用户报文；类似地，如果用户访问公网IP，vCPE则将报文转发给对用的网关(BRAS)。

基于这种架构的移动网接入具有下面几点优势：

安全性：位于中心机房的VPN服务器本身的安全性大大优于在企业局点直接启用VPN服务，同时移植自专业专用设备的VPN服务软件本身的安全性也大大高于大多数开源软件；集中的VPN接入点也更利于安全策略的部署。

性能：vCPE云与各企业局点之间是运营商级别的网内vxLan隧道互连，其性能可以直追传统设备引以为傲的MLPS VPN连接。移动端使用者无需担心企业网局点之间的网络互连性能，这是相对于非运营商提供的第三方VPN业务最大的优势。

灵活控制和定制业务：所有的用户都可以在vCPE上看到并进行集中管理控制，而CPE本身由于云的架构，在新功能开发、负载均衡和业务迭代的灵活性上具有天然的优势。

成本与业务推广：集中部署、快速迭代的软件接入方式可以节省成本，同时基于vXLAN方式的企业局点互联在业务开通和迁移时相对于MPLS(多协议标签转换)的解决方案更灵活，效率更高成本也更低。

采用了该发明中的基于NFV实现vCPE虚拟化企业网络的系统及方法，具有如下有益效果：

(1)NFV技术将软件和硬件进行分离，将软件运行的硬件环境由专有硬件变成通用的物理服务器硬件，节省和保护投资；

(2)底层的服务器引入云计算技术，非常容易进行scale up/down操作，可以按照业务需要进行扩容，而不需要考虑投资和扩容频率的平衡；

(3)软硬件分离之后，设备商主要聚焦于软件功能的开发，由于不需要硬件的升级、安装、调试等工作，新的业务功能可以很快的投入市场；

(4)企业可以不再需要购买昂贵不通用的硬件设备，只需要向运营商租用vCPE设备，并将vCPE的配置维护交给运营商托管；

(5)vCPE引入新业务时，能更加平滑，企业内网用户无感知，提升体验和效率，具有更广泛的应用范围。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。