虚拟专用拨号网业务数据包的转发方法

1.一种虚拟专用拨号网业务数据包的转发方法，其特征在于，包括以 下步骤：
a、将每一路会话的PPP随机端口号与VPDN的会话号绑定，生成不重 复的随机会话号；
b、当LAC端收到从LNS端传输到拨号客户端的VPDN数据包时，从 所述数据包中取出其会话号；
c、分解所述VPDN会话号，得到相应的端口号；
d、根据所述端口号找到VPDN会话所在PPP会话链路和相应的VPDN 会话区；
e、将VPDN数据包通过相应的PPP端口转发到拨号客户端。
2.根据权利要求1所述的方法，其特征在于，当采用分布式系统时，
在所述步骤a中，将会话所在的设备号也加入会话号，使端口号与设 备号结合起来，生成全局唯一的会话号；
在所述步骤c中，分解所述VPDN会话号，得到相应的设备号和端口 号；
在所述步骤d中，先根据所述设备号找到VPDN会话所在设备，再根 据所述端口号找到VPDN会话所在PPP会话链路和相应的VPDN会话区。
3.根据权利要求1或2所述的方法，其特征在于，在所述步骤b中， 还从所述数据包中取出其隧道号，相应地，在所述步骤d与步骤e之间， 还包括根据隧道号作会话合法性检验的步骤。

技术领域\n本发明涉及通讯领域，更具体地说，涉及用于虚拟专用拨号网中业务 数据包的转发方法。\n背景技术\n现有的VPDN(虚拟专用拨号网)业务已统一到L2TP(第二层隧道协 议)标准上，L2TP是PPP(点到点协议)协议的扩展，它综合了L2F(第 二层转发协议)和PPTP(点到点隧道协议)两个隧道协议的优点。其结构 如图1所示，在L2TP隧道的两端分别是L2TP接入集中器LAC和L2TP 网络服务器LNS，每个隧道中可以有多个会话。\n当建立了VPDN的隧道和会话后，就开始从拨号端(即用户端，例如 用户1)向LAN内部主机传送VPDN数据包。其流程如图2所示：\n(1)、从LNS到LAC的数据包到达LAC后，首先要根据数据包中的 隧道号确定L2TP数据包所在隧道；\n(2)、然后根据会话号在所在隧道中找到相应的会话；\n(3)、然后将数据包转发给拨号用户。\n从LAC到LNS的数据包到达LNS后，也是根据隧道号和会话号首先 找到相应的会话，然后将数据包转发给对应的局域网内部用户。这个过程 中数据包所在会话的查询是VPDN数据包转发效率高低的关键。\n在L2TP协议中，为了安全性并降低由于会话分配的可预测性导致受到 插入攻击的威胁，要求隧道号和会话号的分配具有随机性。而信息包的转 发是通过查询隧道号和会话号来实现的。如果采用通常的先查找隧道号、 再查找会话号方法来进行VPDN会话查找，要想一步到位地查找到相应的 数据区，则至少要占用4G的索引空间。之所以需要4G的索引空间，是因 为L2TP协议中VPDN的隧道号和会话号都占两个字节，隧道号和会话号 的取值范围均是从1到65535，而隧道号的取值方式是在这个范围内的不重 复随机数，因此，如果按照先查找隧道、再在隧道中查找会话的方法来查 找会话，要想一步定位到相应的会话数据区，就至少需要4G的索引空间。 如果没有足够的隧道、会话索引空间，会话查询速率就会与隧道中分配的 会话数、会话分配的会话号相关而变得不确定，并且当有大量VPDN会话 存在时，就可能导致VPDN的会话查询效率不高，这将直接导致VPDN业 务数据包的转发效率大大低于普通PPP数据包的转发效率，从而影响L2TP 业务的开展。\n发明内容\n本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种 虚拟专用拨号网业务数据包的转发方法，在保持L2TP会话号分配的随机性 的同时，能以最少的内存空间得到高速、稳定的VPDN数据包的处理速度。\n本发明可通过以下技术方案实现，一种虚拟专用拨号网业务数据包的 转发方法，其特征在于，包括以下步骤：\na、将每一路会话的PPP随机端口号与VPDN的会话号绑定，生成不重 复的随机会话号；\nb、当LAC端收到从LNS端传输到拨号客户端的VPDN数据包时，从 所述数据包中取出其会话号；\nc、分解所述VPDN会话号，得到相应的端口号；\nd、根据所述端口号找到VPDN会话所在PPP会话链路和相应的VPDN 会话区；\ne、将VPDN数据包通过相应的PPP端口转发到拨号客户端。\n根据本发明所述的方法，当采用分布式系统时，在所述步骤a中，将 会话所在的设备号也加入会话号，使端口号与设备号结合起来，生成全局 唯一的会话号；在所述步骤c中，分解所述VPDN会话号，得到相应的设 备号和端口号；在所述步骤d中，先根据所述设备号找到VPDN会话所在 设备，再根据所述端口号找到VPDN会话所在PPP会话链路和相应的 VPDN会话区。\n根据本发明所述的方法，在所述步骤b中，还从所述数据包中取出其 隧道号，相应地，在所述步骤d与步骤e之间，还包括根据隧道号作会话 合法性检验的步骤。\n本发明的方法具有以下优点：\n1、保持会话号分配的随机性：由于PPP链路的端口是随机分配的，当 为每个端口都绑定一块会话号的区间时，对每一条链路来说，会话号也就 有了一定的随机性；\n2、快速的转发：对于采用本发明中的VPDN的会话号分配方式分配的 VPDN会话号，本发明可以根据VPDN会话号，直接从会话号中分离出会 话所在设备号和端口号，从而不论有多少VPDN会话同时存在，都能根据 会话号快速查到相应的会话区，  然后再进行隧道号的检验，这样只要一次 通过会话号的快速定位，就能确定数据包所在链路，转发速度不低于普通 的PPP数据包的转发数率(LAC端)，IP数据包转发数率(LNS端)；\n3、最小的索引空间：由于信息含在会话号中，直接运算就可以确定， 所以不要任何会话索引表。\n下面将结合附图及实施例对本发明作进一步说明。\n附图说明\n图1是VPDN(L2TP)的体系结构图；\n图2是现有技术中VPDN数据包转发的流程图；\n图3是本发明中VPDN数据包转发的流程图；\n图4是本发明中会话号的一个实施例示意图。\n具体实施方式\n接入服务器为每一路PPP会话分配了不同的随机端口号，在VPDN会 话号的分配过程中，本发明将该端口号与VPDN的会话号绑定起来，从而 生成了不重复的随机会话号。如果采用的是分布式的系统，本发明将会话 所在设备号也加入会话号。本发明中，由于端口号分配的随机性，使以这 种方式分配的会话号也具有一定的随机性；并且由于设备号的全局唯一性， 以及同一设备上端口号的唯一性，使得这种方式分配的会话号具有全局唯 一性。\n会话号分配方法如图4所示，前8位为分配的随机端口号，后8位为 会话所在设备号，具体会话号的分配要根据具体的硬件设备而定，这里的 多少位只是为了说明方便而举的一个例子。\n利用本发明这种会话号可以大大提高VPDN会话查询效率，VPDN会 话的转发流程如图3所示，具体流程如下：\n(1)、LAC端收到从LNS端传输到拨号客户端的VPDN的数据包；\n(2)、从数据包中取出VPDN数据包的会话号和隧道号；\n(3)、分解VPDN会话号，得到相应的设备号和端口号；\n(4)、根据设备号可以一步找到VPDN会话所在设备；\n(5)、根据端口号可以一步找到VPDN会话所在PPP会话链路和相应 的VPDN会话区；\n(6)、根据隧道号作会话合法性检验，具体是指用从数据包中取出的 隧道号与会话数据区中保留的隧道号作比较，如果相同，则认为数据包合 法，否则视为不合法；\n(7)、将VPDN数据包通过相应的PPP端口转发到拨号客户端。\n利用本发明的会话号进行相应会话的快速查询，可以一步定位到相应 的VPDN数据区，故查询效率高。由于通过这种方式进行的VPDN会话的 查询效率与存在的隧道数、相应隧道中的会话数、分配的隧道号和分配的 会话号无关，所以查询具有效率稳定的特点。\n终上所述，通过采用这种特殊的VPDN会话的分配方法，从而使得基 于会话号的数据区查寻的查询效率稳定、高效，而与会话的数量无关，并 且不需要再专门分配额外的索引空间，其转发速率与普通的PPP数据包的 转发速率相当。