WO2014079335A1

WO2014079335A1 - Ip报文处理方法、装置及网络系统

Info

Publication number: WO2014079335A1
Application number: PCT/CN2013/087051
Authority: WO
Inventors: 胡寅亮; 陈�光; 陈建
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2012-11-26
Filing date: 2013-11-13
Publication date: 2014-05-30
Anticipated expiration: 2015-05-26
Also published as: CN103840995B; CN103840995A; US20150288651A1; JP6028269B2; EP2916499A1; JP2016503627A; EP2916499B1; KR101650831B1; EP2916499A4; KR20150086529A; US10454880B2

Abstract

本发明实施例提供一种IP报文处理方法、装置及网络系统，该方法包括：运营商业务网关为企业的第一内网分配IP地址；运营商业务网关根据IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理，本发明的技术方案，通过运营商业务网关为企业的第一内网分配IP地址，并且由运营商业务网关根据IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理，从而可以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

Description

IP报文处理方法、装置及网絡系统技术领域本发明实施例涉及通信技术，尤其涉及一种 IP报文处理方法、装置及网络系统。背景技术

随着企业市场规模的不断扩大，企业出现越来越多的分支机构，企业由单一地理位置扩展为多地协同办公，企业的网络管理和策略分发也变得越来越复杂，地理位置的扩展，进一步的要求企业部署更多的网络业务。

企业分支和总部、分支和分支之间需要实现互联互通时，由于专线业务价格昂贵，对于中小企业，往往通过互联网协议安全协议虚拟专用网络（Internet Protocol Security Virtual Private Network , 简称 IPSec VPN )来实现。

现有企业内部网络存在部署复杂的问题，并进一步导致企业内部网络的管理维护难度较大、成本较高，企业内部网络硬件设备更新投资成本较高的问题。发明内容本发明实施例提供一种 IP报文处理方法、装置及网络系统，用以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

第一方面，本发明实施例提供一种 IP报文处理方法，包括：

运营商业务网关为企业的第一内网分配 IP地址；

所述运营商业务网关根据所述 IP地址对所述第一内网与所述企业的第二内网之间交互的业务才艮文进行处理。

在第一方面的第一种可能的实现方式中，所述运营商业务网关为企业的第一内网分配 IP地址，包括：

所述运营商业务网关为所述第一内网分配公网 IP地址，并釆用所述公网 IP 地址与所述第二内网对应的运营商业务网关或路由器进行 IP安全协议 IPSec协商；

所述运营商业务网关为所述第一内网中的用户设备分配内网 IP地址，所述内网 IP地址与所述公网 IP地址具有对应关系。

在根据第一方面的第一种可能的实现方式的第二种可能的实现方式中，所述运营商业务网关为所述第一内网中的用户设备分配内网 IP地址，包括：所述运营商业务网关接收运营商接入设备转发的由所述用户设备发送的内网地址请求消息；

所述运营商业务网关向所述运营商接入设备发送包含所述内网 IP地址的内网地址响应消息，以使所述运营商接入设备将所述内网 IP地址发送给所述用户设备。

在根据第一方面的第一种或第二种可能的实现方式的第三种可能的实现方式中，所述运营商业务网关根据所述 IP地址对所述第一内网与所述企业的第二内网之间交互的业务 4艮文进行处理，包括：

所述运营商业务网关接收运营商接入设备转发的由所述用户设备发送的第一业务报文，所述第一业务报文中包含所述内网 IP地址；

所述运营商业务网关对所述第一业务文进行 IPSec封装， IPSec封装后的第一业务报文中包含所述公网 IP地址；

所述运营商业务网关向与所述第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文。

在根据第一方面的第三种可能的实现方式的第四种可能的实现方式中，所述向与所述第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文之后，还包括：

所述运营商业务网关接收与所述第二内网对应的运营商业务网关或路由器发送的包含所述第二内网的公网 IP地址的第二业务报文；

所述运营商业务网关对所述第二业务报文进行 IPSec解封装；

所述运营商业务网关向所述运营商接入设备发送 IPSec解封装后的第二业务报文，以使所述运营商接入设备将所述第二业务报文发送给所述第一内网的所述用户设备。

在根据第一方面的第二种可能的实现方式的第五种可能的实现方式中，所述内网地址请求消息和所述内网地址响应消息中包含虚拟局域网 VLAN标识，所述 VLAN标识与所述第一内网相对应。

第二方面，本发明实施例提供一种 IP报文处理方法，包括：

运营商接入设备接收企业的第一内网中的用户设备发送的内网地址请求消息；

所述运营商接入设备将所述内网地址请求消息发送给所述运营商业务网关，以使所述运营商业务网关为所述用户设备分配内网 IP地址。

在第二方面的第一种可能的实现方式中，所述运营商接入设备将所述内网地址请求消息发送给所述运营商业务网关之后，还包括：

所述运营商接入设备接收所述运营商业务网关发送的包含所述内网 IP地址的内网地址响应消息；

所述运营商接入设备将所述内网地址响应消息发送给所述用户设备。在根据第二方面的第一种可能的实现方式的第二种可能的实现方式中，所述运营商接入设备将所述内网地址请求消息发送给所述运营商业务网关之前，还包括：

所述运营商接入设备在所述内网地址请求消息中添加 VLAN标识，所述 VLAN标识与所述第一内网相对应；

所述运营商接入设备将所述内网地址响应消息发送给所述用户设备，包括：

所述运营商接入设备删除所述内网地址响应消息中包含的所述 VLAN标识，并将所述内网地址响应消息发送给与所述 VLAN标识对应的第一内网中的用户设备。

第三方面，本发明实施例提供一种运营商业务网关，包括：

分配模块，用于为企业的第一内网分配 IP地址；

处理模块，用于根据所述 IP地址对所述第一内网与所述企业的第二内网之间交互的业务 ^艮文进行处理。

在第三方面的第一种可能的实现方式中，所述分配模块，具体用于：为所述第一内网分配公网 IP地址，并釆用所述公网 IP地址与所述第二内网对应的运营商业务网关或路由器进行 IP安全协议 IPSec协商；

为所述第一内网中的用户设备分配内网 IP地址，所述内网 IP地址与所述公网 IP地址具有对应关系。

在根据第三方面的第一种可能的实现方式的第二种可能的实现方式中，所述分配模块，还用于：

接收运营商接入设备转发的由所述用户设备发送的内网地址请求消息；向所述运营商接入设备发送包含所述内网 IP地址的内网地址响应消息，以使所述运营商接入设备将所述内网 IP地址发送给所述用户设备。

在根据第三方面的第一种或第二种可能的实现方式的第三种可能的实现方式中，所述处理模块，具体用于：

接收运营商接入设备转发的由所述用户设备发送的第一业务报文，所述第一业务才艮文中包含所述内网 IP地址；

对所述第一业务报文进行 IPSec封装， IPSec封装后的第一业务报文中包含所述公网 IP地址；

向与所述第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文。

在根据第三方面的第三种可能的实现方式的第四种可能的实现方式中，所述处理模块，还用于：

向与所述第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文之后，接收与所述第二内网对应的运营商业务网关或路由器发送的包含所述第二内网的公网 IP地址的第二业务报文；

对所述第二业务报文进行 IPSec解封装；

向所述运营商接入设备发送 IPSec解封装后的第二业务报文，以使所述运营商接入设备将所述第二业务报文发送给所述第一内网的所述用户设备。

在根据第三方面的第二种可能的实现方式的第五种可能的实现方式中，所述内网地址请求消息和所述内网地址响应消息中包含虚拟局域网 VLAN标识，所述 VLAN标识与所述第一内网相对应。

第四方面，本发明实施例提供一种运营商接入设备，包括：

接收模块，用于接收企业的第一内网中的用户设备发送的内网地址请求消息；

发送模块，用于将所述内网地址请求消息发送给所述运营商业务网关，以使所述运营商业务网关为所述用户设备分配内网 IP地址。

在第四方面的第一种可能的实现方式中，所述接收模块，还用于在将所述内网地址请求消息发送给所述运营商业务网关之后，接收所述运营商业务网关发送的包含所述内网 IP地址的内网地址响应消息；所述发送模块，还用于将所述内网地址响应消息发送给所述用户设备。在根据第四方面的第一种可能的实现方式的第二种可能的实现方式中，还包括：

处理模块，用于在将所述内网地址请求消息发送给所述运营商业务网关之前，在所述内网地址请求消息中添加 VLAN标识 , 所述 VLAN标识与所述第一内网相对应；

所述处理模块，还用于删除所述内网地址响应消息中包含的所述 VLAN标识；

所述发送模块，具体用于将所述内网地址响应消息发送给与所述 VLAN标识对应的第一内网中的用户设备。

第五方面，本发明实施例提供一种网络系统，包括第三方面或第三方面的任一种可能的实现方式中所述的运营商业务网关和第四方面或第四方面的任一种可能的实现方式中所述的运营商接入设备。

本发明实施例提供的 IP报文处理方法、装置及网络系统，通过运营商业务网关为企业的第一内网分配 IP地址，并且由运营商业务网关根据 IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理，从而可以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明提供的 IP报文处理方法实施例一的流程图；

图 2为本发明提供的 IP报文处理方法实施例二的流程图；

图 3为本发明提供的 IP报文处理方法实施例三的流程图；

图 4为本发明提供的 IP报文处理方法实施例四的流程图；

图 5为本发明提供的运营商业务网关实施例一的结构示意图；

图 6为本发明提供的运营商业务网关实施例二的结构示意图；图 7为本发明提供的运营商接入设备实施例一的结构示意图；图 8为本发明提供的运营商接入设备实施例二的结构示意图；

图 9为本发明提供的运营商接入设备实施例三的结构示意图；

图 1 OA为本发明提供的网络系统实施例一的结构示意图；

图 10B为图 10A所示网络系统实现本发明提供的 IP报文处理方法实施例中

IP地址分配阶段的流程图；

图 10C为图 10A所示网络系统实现本发明提供的 IP报文处理方法实施例中报文收发阶段的流程图；

图 11 A为本发明提供的网络系统实施例二的结构示意图；

图 11B为图 11A所示网络系统实现本发明提供的 IP报文处理方法实施例中

IP地址分配阶段的流程图；

图 11C为图 11A所示网络系统实现本发明提供的 IP报文处理方法实施例中报文收发阶段的流程图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明提供的 IP报文处理方法实施例一的流程图，如图 1所示，本实施例的 ΙΡ· ^艮文处理方法，包括：

S101、运营商业务网关为企业的第一内网分配 IP地址。

具体来说，企业的第一内网可以是企业的总部机构的内部网络或企业的分支机构的内部网络，企业的分支机构和总部机构、分支机构和分支机构之间通过 IPSec VPN实现互联互通时，第一内网需要获取可以用于连接公网的 IP地址，而第一内网中的用户设备需要获取可以用于与其他内网中用户设备互通的内网 IP地址，本实施例可以由运营商业务网关为第一内网分配公网 IP地址，并且为第一内网中的用户设备分配与内网 IP地址，所分配的内网 IP地址与上述分配的公网地址具有对应关系。举例来说，上述运营商业务网关可以是运营商宽带网络业务网关

(Broadband Network Gateway , 简称 BNG)。

现有技术中，第一内网获取公网 IP地址的方式为：设置于第一内网中的接入路由器通过拨号向运营商业务网关请求公网 IP地址，运营商业务网关对请求进行认证后，再向第一内网中的接入路由器返回公网 IP地址，而本发明实施例中运营商业务网关在第一内网注册时就为第一内网分配了公网 IP地址，所以本发明实施例中的第一内网中的网络可以得到简化，例如可以不需要设置接入路由器，或者可以简化第一内网中的接入路由器或类似设备的功能。

S102、运营商业务网关根据 IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理。

以企业的第一内网中的用户设备和企业的第二内网之间的用户设备进行交互为例，运营商业务网关可以根据分别为企业的第一内网以及企业的第一内网中的用户设备分配的公网 IP地址以及内网 IP地址和分别为企业的第二内网以及企业的第二内网中的用户设备分配的公网 IP地址以及内网 IP地址，对第一内网中的用户设备和第二内网中的用户设备之间交互的 IP报文进行处理，以实现第一内网中的用户设备和第二内网中的用户设备之间的信息传输。

现有技术中第一内网与第二内网分别使用公网 IP进行 IPSec协商以及将报文发送到 IPSec隧道发送的操作是在分别设置于第一内网中的接入路由器和设置于第二内网中的接入路由器之间完成的，本发明实施例第一内网与第二内网分别使用公网 IP进行 IPSec协商以及将报文发送到 IPSec隧道发的操作送可以在第一内网对应的运营商业务网关和设置于第二内网中的接入路由器之间完成，也可以在第一内网对应的运营商业务网关和第二内网对应的运营商业务网关之间完成。

而由运营商业务网关为第一内网分配 IP地址，并根据 IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理，可以降低企业内部网络部署的复杂度，从而可以降低企业内部网络的管理维护的难度、成本，进一步地，若企业由于业务需求增加或者网络流量增加需要升级内部网络时，只需要对本实施例中用以执行 IP报文处理方法的运营商业务网关进行软件更新即可实现，可以减少现有技术中对企业内部网络硬件设备的替换，从而可以降低企业内部网络硬件设备更新投资成本。

本实施例提供的 ΙΡ· ^艮文处理方法，通过运营商业务网关为企业的第一内网分配 IP地址，并且由运营商业务网关根据 IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理，从而可以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

图 2为本发明提供的 ΙΡ·^艮文处理方法实施例二的流程图，如图 2所示，本实施例的 ΙΡ· ^艮文处理方法，包括：

5201、运营商业务网关为第一内网分配公网 IP地址，并釆用公网 IP地址与第二内网对应的运营商业务网关或路由器进行 IP安全协议 IPSec协商。

具体来说，运营商业务网关为第一内网分配公网 IP地址可以是静态的或动态的公网 IP地址，若第二内网中设置有接入路由器，则运营商业务网关釆用为第一内网分配的公网 IP地址与第二内网中的接入路由器进行 IPSec协商；若第二内网中未设置接入路由器，则运营商业务网关釆用为第一内网分配的公网 IP地址与第二内网对应的运营商业务网关进行 IPSec协商。

IPSec协商的结果可以包括传输信息所需的认证协议以及安全机制所需的加密密钥等信息。

5202、运营商业务网关为第一内网中的用户设备分配内网 IP地址，内网 IP 地址与公网 IP地址具有对应关系。

具体来说，若第一内网中的用户设备需要与其他内网中的用户设备进行交互，则需获取内网 IP地址。

本实施例中所述的用户设备可以是企业网中所可能使用的任意设备，例如个人计算机（personal computer, 简称 PC )等，本实施例不做限定。

进一步地， S202可以包括：

运营商业务网关接收运营商接入设备转发的由用户设备发送的内网地址请求消息；

第一内网中的用户设备需要获取内网 IP地址时，会向运营商接入设备发送内网地址请求消息，运营商接入设备接收到上述内网地址请求消息后，会将内网地址请求消息转发给运营商业务网关。

可以理解的是，若运营商业务网关为多个企业内网服务，则需要由运营商接入设备接收到上述内网地址请求消息后，根据入端口号为该内网地址请求消息添加虚拟局域网（ Virtual Local Area Network , 简称 VLAN )标识，该 VLAN 标识与第一内网相对应。运营商业务网关向运营商接入设备发送包含内网 IP地址的内网地址响应消息，以使运营商接入设备将内网 IP地址发送给用户设备。

运营商业务网关接收到内网地址请求消息后，向运营商接入设备发送包含内网 IP地址的内网地址响应消息，以使运营商接入设备将内网 IP地址发送给第一内网中的用户设备。

S203、运营商业务网关接收运营商接入设备转发的由用户设备发送的第一业务报文，第一业务报文中包含内网 IP地址。

以企业的第一内网中的用户设备和企业的第二内网中的用户设备进行交互为例，第一内网中的用户设备根据业务信息、内网 IP地址以及对端的第二内网中用户设备的内网 IP地址，生成第一业务报文，并将第一业务报文发送给运营商接入设备，同样的，若运营商业务网关为多个企业内网服务，则需要由运营商接入设备接收到上述第一业务报文后，根据入端口号为第一业务报文添加

VLAN标识，该 VLAN标识与第一内网相对应，运营商业务网关接收运营商接入设备转发的添加有 VLAN标识的第一业务报文。

5204、运营商业务网关对第一业务文进行 IPSec封装， IPSec封装后的第一业务 4艮文中包含公网 IP地址。

具体来说，若运营商业务网关接收到的第一业务报文中包含有 VLAN标识，则在对第一业务报文进行 IPSec封装之前，需去除 VLAN标识， IPSec封装后的第一业务才艮文中包含第一内网的公网 IP地址和对端第二内网的公网 IP地址。

5205、运营商业务网关向与第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务 "^文。

若第二内网中设置有接入路由器，则运营商业务网关向第二内网中的接入路由器发送 IPSec封装后的第一业务报文；若第二内网中未设置接入路由器，则运营商业务网关向第二内网对应的运营商业务网关发送 IPSec封装后的第一业务报文。

5206、运营商业务网关接收与第二内网对应的运营商业务网关或路由器发送的包含第二内网的公网 IP地址的第二业务报文。

第二内网对应的运营商业务网关或路由器接收到上述 IPSec封装后的第一业务报文后，对其进行解除 IPSec封装，并发送给第二内网中的用户设备，以使第二内网中的用户设备根据对第一业务报文的反馈业务信息、第二内网中的用户设备的内网 IP地址和第一内网中的用户设备的内网 IP地址生成第二业务才艮文，并将第二业务报文发送给第二内网对应的运营商业务网关或路由器，第二内网对应的运营商业务网关或路由器对接收到的第二业务报文进行 IPSec封装。

5207、运营商业务网关对第二业务文进行 IPSec解封装。

5208、运营商业务网关向运营商接入设备发送 IPSec解封装后的第二业务报文，以使运营商接入设备将第二业务报文发送给第一内网的用户设备。

进一步地，本实施例中的内网地址请求消息、内网地址响应消息中可以包含虚拟局域网 VLAN标识， VLAN标识与第一内网相对应。

本实施例提供的 ΙΡ·¾文处理方法，通过运营商业务网关分别为企业的第一内网及第一内网中的用户设备分配公网 IP地址和内网 IP地址，并且由运营商业务网关根据公网 IP地址和公内网 IP地址对第一内网中的用户设备发送的第一业务报文进行 IPSec封装，通过公网传送给第二内网对应的运营商业务网关或路由器，再向运营商接入设备发送 IPSec解封装后的第二业务报文，以使运营商接入设备将第二业务报文发送给第一内网的用户设备，从而可以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

图 3为本发明提供的 ΙΡ·^艮文处理方法实施例三的流程图，如图 3所示，本实施例的 ΙΡ· ^艮文处理方法，包括：

5301、运营商接入设备接收企业的第一内网中的用户设备发送的内网地址请求消息。

可以理解的是，若运营商业务网关为多个企业内网服务，则需要由运营商接入设备接收到上述内网地址请求消息后，根据入端口号为该内网地址请求消息添加 VLAN标识，该 VLAN标识与第一内网相对应。

5302、运营商接入设备将内网地址请求消息发送给运营商业务网关，以使运营商业务网关为用户设备分配内网 IP地址。

现有技术中，第一内网中的用户设备会通过与设置于第一内网中的接入路由器的交互得到内网 IP地址，而本发明实施例提供的 IP报文处理方法，通过运营商接入设备向运营商业务网关转发用户设备的内网地址请求消息，再将由运营商业务网关为用户设备分配的内网 IP地址转发给用户设备，以使用户设备分配到内网 IP地址。

本实施例提供的 IP报文处理方法，通过运营商接入设备接收企业的第一内网中的用户设备发送的内网地址请求消息，将内网地址请求消息发送给运营商业务网关，以使运营商业务网关为用户设备分配内网 IP地址，从而可以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

图 4为本发明提供的 ΙΡ·^艮文处理方法实施例四的流程图，如图 4所示，本实施例的 ΙΡ· ^艮文处理方法，包括：

S401、运营商接入设备接收企业的第一内网中的用户设备发送的内网地址请求消息。

5402、运营商接入设备将内网地址请求消息发送给运营商业务网关。

5403、运营商接入设备接收运营商业务网关发送的包含内网 IP地址的内网地址响应消息。

运营商业务网关发送的包含内网 IP地址的内网地址响应消息中包含有为第一内网用户设备分配的内网 IP地址。

5404、运营商接入设备将内网地址响应消息发送给用户设备。

进一步地，若运营商业务网关为多个企业内网服务，则上述 S402之前，还包括：运营商接入设备在内网地址请求消息中添加 VLAN标识， VLAN标识与第一内网相对应。

S404具体可以为：运营商接入设备删除内网地址响应消息中包含的 VLAN 标识，并将内网地址响应消息发送给与 VLAN标识对应的第一内网中的用户设备。

图 5为本发明提供的运营商业务网关实施例一的结构示意图，如图 5所示，本实施例的运营商业务网关，包括分配模块 51和处理模块 52, 其中，分配模块 51用于为企业的第一内网分配 IP地址；处理模块 52用于根据 IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理。

举例来说，本实施例提供的运营商业务网关可以是 BNG。

本实施例的装置，可以用于执行图 1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

本发明提供的运营商业务网关实施例二中，分配模块 51具体用于：为第一内网分配公网 IP地址，并釆用公网 IP地址与第二内网对应的运营商业务网关或路由器进行 IP安全协议 IPSec协商；

为第一内网中的用户设备分配内网 IP地址，内网 IP地址与公网 IP地址具有对应关系。

分配模块 51还用于：

接收运营商接入设备转发的由用户设备发送的内网地址请求消息；向运营商接入设备发送包含内网 IP地址的内网地址响应消息，以使运营商接入设备将内网 IP地址发送给用户设备。

处理模块 52具体用于：

接收运营商接入设备转发的由用户设备发送的第一业务报文，第一业务报文中包含内网 IP地址；

对第一业务报文进行 IPSec封装， IPSec封装后的第一业务报文中包含公网 IP地址；

向与第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文。

处理模块 52还用于：

向与第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文之后，接收与第二内网对应的运营商业务网关或路由器发送的包含第二内网的公网 IP地址的第二业务报文；

对第二业务报文进行 IPSec解封装；

向运营商接入设备发送 IPSec解封装后的第二业务报文，以使运营商接入设备将第二业务报文发送给第一内网的用户设备。

进一步地，上述内网地址请求消息、内网地址响应消息、 IPSec封装前的第一业务报文以及 IPSec解封装后的第二业务报文中包含虚拟局域网 VLAN标识， VLAN标识与第一内网相对应。

本实施例的装置，可以用于执行图 2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

如图 5所示的运营商业务网关可以执行图 1 -图 4中任一附图所对应的实施例中的运营商业务网关的全部操作或功能。

图 6为本发明提供的运营商业务网关实施例二的结构示意图，如图 6所示，本实施例的运营商业务网关，包括至少一个处理器 601 , 例如中央处理单元 ( Central Processing Unit, 简称 CPU ) , 至少一个网络接口 602以及其他用户接口 603 , 存储器 604, 至少一个通信总线 605以及操作系统 606。通信总线 605用于实现这些装置之间的连接通信。存储器 604可能包含高速 RAM存储器，也可能还包括非易失性存储器（ non-volatile memory ) , 例如至少一个磁盘存储器。存储器 604可选的可以包含至少一个位于远离前述处理器 601的存储装置。操作系统 606, 包含各种程序，用于实现各种基础业务以及处理基于硬件的任务。

处理器 601 , 用于为企业的第一内网分配 IP地址；

处理器 601 , 用于根据 IP地址对第一内网与企业的第二内网之间交互的业务报文进行处理。

进一步地，处理器 601 , 具体用于：

为第一内网分配公网 IP地址，并釆用公网 IP地址与第二内网对应的运营商业务网关或路由器进行 IP安全协议 IPSec协商；

进一步地，处理器 601 , 还用于：

进一步地，处理器 601 , 具体用于：

进一步地，处理器 601 , 还用于：向与第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文之后，接收与第二内网对应的运营商业务网关或路由器发送的包含第二内网的公网 IP地址的第二业务报文；

对第二业务报文进行 IPSec解封装；

本实施例中所涉及到的部分或全部消息，该消息的产生可以由运营商业务网关的处理器 601或由其他部件 /模块或由处理器 601结合其他部件 /模块来实现。

存储器 604可以保存有可读的计算机指令或计算机程序。所述至少一个处理器 601在本实施例中执行的各种操作可以是根据所述计算机指令或计算机程序完成的。

本实施例中的运营商业务网关中的至少一个处理器 601还可以根据存储器 604中保存的可读的计算机指令或计算机程序，执行图 1 -图 4中任一附图所对应的实施例中的运营商业务网关的全部操作或功能。

本实施例提供的运营商业务网关，可以用于执行图 1或图 2所示方法实施例的技术方案中运营商业务网关对应执行的部分，其实现原理和技术效果类似，此处不再赘述。图 6仅为本发明提供的运营商业务网关的结构的一种示意图，具体结构可根据实际进行调整。

图 7为本发明提供的运营商接入设备实施例一的结构示意图，如图 7所示，本实施例的运营商接入设备，包括接收模块 71和发送模块 72, 其中，接收模块 71用于接收企业的第一内网中的用户设备发送的内网地址请求消息；发送模块 72用于将内网地址请求消息发送给运营商业务网关，以使运营商业务网关为用户设备分配内网 IP地址。

本实施例的装置，可以用于执行图 3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图 8为本发明提供的运营商接入设备实施例二的结构示意图，如图 8所示，本实施例的运营商接入设备中，接收模块 71还用于在将内网地址请求消息发送给运营商业务网关之后，接收运营商业务网关发送的包含内网 IP地址的内网地址响应消息；

发送模块 72还用于将内网地址响应消息发送给用户设备。本实施例的运营商接入设备还包括：处理模块 73 , 处理模块 73用于在将内网地址请求消息发送给运营商业务网关之前，在内网地址请求消息中添加 VLAN标识 , VLAN标识与第一内网相对应；

处理模块 73还用于删除内网地址响应消息中包含的 VLAN标识；

发送模块 72具体用于将内网地址响应消息发送给与 VLAN标识对应的第一内网中的用户设备。

本实施例的装置，可以用于执行图 4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

如图 7或图 8所示的运营商接入设备可以执行图 1 -图 4中任一附图所对应的实施例中的运营商接入设备的全部操作或功能。

图 9为本发明提供的运营商接入设备实施例三的结构示意图，如图 9所示，本实施例的运营商接入设备，包括至少一个处理器 901 , 例如 CPU, 至少一个网络接口 902以及其他用户接口 903 , 存储器 904, 至少一个通信总线 905以及操作系统 906。通信总线 905用于实现这些装置之间的连接通信。存储器 904可能包含高速 RAM存储器，也可能还包括非易失性存储器，例如至少一个磁盘存储器。存储器 904可选的可以包含至少一个位于远离前述处理器 901的存储装置。操作系统 906, 包含各种程序，用于实现各种基础业务以及处理基于硬件的任务。

网络接口 902 , 用于接收企业的第一内网中的用户设备发送的内网地址请求消息；

网络接口 902, 用于将内网地址请求消息发送给运营商业务网关，以使运营商业务网关为用户设备分配内网 IP地址。

进一步地，网络接口 902, 还用于在将内网地址请求消息发送给运营商业务网关之后，接收运营商业务网关发送的包含内网 IP地址的内网地址响应消息；

进一步地，网络接口 902 , 还用于将内网地址响应消息发送给用户设备。处理器 901 , 用于在将内网地址请求消息发送给运营商业务网关之前，在内网地址请求消息中添加 VLAN标识 , VLAN标识与第一内网相对应；

处理器 901 , 还用于删除内网地址响应消息中包含的 VLAN标识；网络接口 902 ,具体用于将内网地址响应消息发送给与 VLAN标识对应的第一内网中的用户设备。本实施例中所涉及到的部分或全部消息，该消息的产生可以由运营商接入设备的处理器 901或其他部件 /模块或处理器 901结合其他部件 /模块来实现。

存储器 904可以保存有可读的计算机指令或计算机程序。所述至少一个处理器 901在本实施例中执行的各种操作可以是根据所述计算机指令或计算机程序完成的。

本实施例中的运营商业务网关中的至少一个处理器 901还可以根据存储器 904中保存的可读的计算机指令或计算机程序，执行图 1 -图 4中任一附图所对应的实施例中的运营商接入设备的全部操作或功能。

本实施例提供的运营商接入设备，可以用于执行图 3或图 4所示方法实施例的技术方案中运营商接入设备对应执行的部分，其实现原理和技术效果类似，此处不再赘述。图 9仅为本发明提供的运营商接入设备的结构的一种示意图，具体结构可根据实际进行调整。

本发明实施例提供的网络系统包括上述实施例中的任意一种运营商业务网关和上述实施例中的任意一种运营商接入设备。

以下以企业 A分支网络和企业 A总部网络的互通为例，企业 A分支网络可以为上述实施例中的第一内网，企业 A总部网络可以为上述实施例中的第二内网，结合本发明实施例提供的网络系统实施例的结构示意图和 IP报文处理方法的流程图，对本发明实施例的技术方案进行进一步详细说明：

图 10 A为本发明提供的网络系统实施例一的结构示意图，本实施例的网络系统，即为运营商网络 300, 该运营商网络 300中可以包括运营商业务网关 310 和运营商接入设备 320,企业 A可以包括一个企业 A分支网络 100和一个企业 A总部网络 200,企业 A分支网络 100中仅包含 PC和用于连接各 PC并连接网络的交换机， PC可以是上述实施例中第一内网或第二内网中的用户设备，企业 A总部网络 200除包含有 PC和用于连接各 PC并连接网络的交换机之外，还包括一个接入路由器 210。本实施例所针对的场景为，企业 A分支网络 100与企业 A总部网络 100处于相同的地域，接入相同的运营商业务网关的情况。

可以理解的是，本实施例中，除企业 A分支网络 100之外，还可以包括更多的企业 A分支网络，而且，除企业 A分支网络 100、企业 A总部网络 200以外，还可以在运营商网络中接入更多的企业网络，例如企业 B分支网络或企业 B总部网络等其他多个组织机构网络，本实施例中的运营商业务网关 310和运营商接入设备 320可同时为多个组织机构网络分配 IP地址、并才艮据分配的 IP地址对组织机构网络之间交互的业务 ^艮文进行处理 , 运营商业务网关 310和运营商接入设备 320例如可以通过各个组织机构网络对应的 VLAN标识对多个组织机构网络进行区分。

图 10B为图 10A所示网络系统实现本发明提供的 IP报文处理方法实施例中 IP地址分配阶段的流程图，如图 10B和图 10A所示，本实施例的 IP报文处理方法中 IP地址分配阶段，包括：

51001、运营商业务网关为企业 A分支网络分配公网 IP地址；

运营商业务网关为企业 A分支网络分配公网 IP地址可以是静态的或动态的公网 IP地址。

51002、运营商业务网关釆用公网 IP地址与企业 A总部网络对应的路由器进行 IP安全协议 IPSec协商。

上述企业 A总部网络对应的路由器的公网 IP地址为固定 IP地址。

51003、企业 A分支网络中的 PC向运营商接入设备发送内网 IP地址请求消息。

S 1004、运营商接入设备根据入端口号为该内网地址请求消息添加 VLAN 标识，该 VLAN标识与企业 A分支网络相对应。

若运营商业务网关为多个企业内网服务，则需要添加与企业 A分支网络相对应的 VLAN标识。

51005、运营商接入设备向运营商业务网关发送包含有 VLAN标识的内网地址请求消息。

51006、运营商业务网关向运营商接入设备发送包含内网 IP地址的内网地址响应消息，该内网地址响应消息中还携带有与企业 A分支网络相对应的 VLAN标识。

51007、运营商接入设备根据 VLAN标识，将内网地址响应消息发送给企业 A分支网络中的 PC, 同时去除 VLAN标识。

51008、企业 A分支网络中的 PC接收内网地址响应消息。

本实施例经过上述步骤，实现运营商业务网关为企业 A分支网络分配公网进一步地，图 10C为图 10A所示网络系统实现本发明提供的 IP报文处理方法实施例中 4艮文收发阶段的流程图，如图 10C和图 1 OA所示，本实施例的 IP^艮文处理方法中报文收发阶段，包括：

51009、企业 A分支网络中的 PC将第一业务报文发送给运营商接入设备。企业 A分支网络中的 PC根据业务信息、内网 IP地址以及对端的第二内网中用户设备的内网 IP地址，生成第一业务文。

51010、运营商接入设备根据入端口号为第一业务报文添加 VLAN标识，该 VLAN标识与第一内网相对应。

S 1011、运营商接入设备添加有 VLAN标识的第一业务报文发送给运营商业务网关。

51012、运营商业务网关对第一业务文去除 VLAN标识后进行 IPSec封装。 IPSec封装后的第一业务报文中除业务信息外，还包含企业 A分支网络和企业 A总部网络的公网 IP地址。

51013、运营商业务网关向企业 A总部网络的路由器发送去除 VLAN标识、 IPSec封装后的第一业务 "^文。

51014、企业 A总部网络的路由器对接收到的第一业务报文解封装后发送给企业 A总部网络中的 PC。

51015、企业 A总部网络中的 PC将第二业务报文发送给企业 A总部网络的路由器。

企业 A总部网络中的 PC根据对第一业务报文的反馈业务信息、第二内网中的用户设备的内网 IP地址和第一内网中的用户设备的内网 IP地址生成第二业务报文。

51016、企业 A总部网络的路由器对接收到的第二业务报文进行 IPSec封装，并将 IPSec封装后的第二业务文发送给运营商业务网关。

51017、运营商业务网关对接收到的第二业务报文解封装、添加与企业 A 分支网络相对应的 VLAN标识后发送给运营商接入设备。

51018、运营商接入设备根据 VLAN标识，将解封装后的第二业务报文发送给企业 A分支网络中的 PC, 同时去除 VLAN标识。

51019、企业 A分支网络中的 PC接收第二业务报文。

在上述图 10A~10C所示实施例的基础上，可以理解的是，企业 A总部网络 200中也可以不设置接入路由器，而由运营商业务网关 310为企业 A总部网络 200 以及企业 A总部网络 200中的 PC分配公网 IP地址和内网 IP地址，并根据 IP地址对企业 A总部网络 200中的 PC与企业 A分支网络 100中 PC之间交互的业务报文进行处理。

本实施例，通过运营商业务网关分别为企业 A分支网络及企业 A分支网络中的用户设备分配公网 IP地址和公内网 IP地址，并且由运营商业务网关根据公网 IP地址和公内网 IP地址对企业 A分支网络中的用户设备发送的第一业务 ^艮文进行 IPSec封装，通过公网传送给与企业 A总部网络对应的路由器，再向运营商接入设备发送 IPSec解封装后的第二业务报文，以使运营商接入设备将第二业务报文发送给企业 A分支网络的用户设备，从而可以降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

图 11 A为本发明提供的网络系统实施例二的结构示意图，本实施例的网络系统，即为运营商网络 700, 该运营商网络 700可以包括与企业 A分支网络 500 对应的第一运营商业务网关 710、与企业 A总部网络 600对应的第二运营商业务网关 720、与企业 A分支网络 500对应的第一运营商接入设备 730以及与企业 A总部网络 600对应的第二运营商接入设备 740 , 企业 A分支网络 600和企业 A总部网络 700中仅包含 PC和用于连接各 PC并连接网络的交换机， PC可以是上述实施例中第一内网或第二内网中的用户设备。本实施例所针对的场景为，企业 A分支网络 500与企业 A总部网络 600处于不同的地域，分别接入不同的运营商业务网关的情况。

可以理解的是，本实施例中，除企业 A分支网络 500之外，还可以包括更多的企业 A分支网络，而且，除企业 A分支网络 500、企业 A总部网络 600以外，还可以包括例如企业 B分支网络或企业 B总部网络等其他多个组织机构网络，本实施例中的第一运营商业务网关 710和第一运营商接入设备 730或第二运营商业务网关 720和第二运营商接入设备 740可同时为多个组织机构网络分配 IP地址、并根据分配的 IP地址对组织机构网络之间交互的业务报文进行处理，运营商业务网关和运营商接入设备例如可以通过各个组织机构网络对应的 VLAN标识对多个组织机构网络进行区分。

图 11B为图 11A所示网络系统实现本发明提供的 IP报文处理方法实施例中 IP地址分配阶段的流程图，如图 11B和图 11 A所示，包括：

51101、第一运营商业务网关为企业 A分支网络分配公网 IP地址。

51102、第一运营商业务网关釆用公网 IP地址与第二运营商业务网关进行 IP安全协议 IPSec协商。的 S1003 S1008相似，此处不再赘述。

进一步地，图 11C为图 11 A所示网络系统实现本发明提供的 ΙΡ·^艮文处理方法实施例中 4艮文收发阶段的流程图，如图 11 C和图 11 Α所示，本实施例的 IP^艮文处理方法中 4艮文收发阶段中 S1109~S1112与图 10C中的 S1009~S1012相似，此处不再赘述。

51113、第一运营商业务网关向第二运营商业务网关发送 IPSec封装后的第一业务报文。

51114、第二运营商业务网关对接收到的第一业务报文解封装、添加 VLAN 标识后发送给第二运营商接入设备，此处添加的 VLAN标识为与企业 A总部网络相对应的 VLAN标识。

51115、第二运营商接入设备根据 VLAN标识，将接收到的第一业务报文发送给企业 A总部网络中的 PC, 同时去除 VLAN标识。

51116、企业 A总部网络中的 PC接收第二运营商接入设备发送的第一业务报文。

51117、企业 A总部网络中的 PC将第二业务报文发送给第二运营商接入设备。

51118、第二运营商接入设备根据入端口号为该第二业务报文添加 VLAN 标识，该 VLAN标识为与企业 A总部网络相对应的 VLAN标识。

51119、第二运营商接入设备向第二运营商业务网关发送添加有 VLAN标识的第二业务报文。

51120、第二运营商业务网关对接收到的第二业务报文进行 IPSec封装，并将 IPSec封装后的第二业务报文发送给第一运营商业务网关。

S1121~S1123和图 10C中的 S1017~S1019相同, 此处不再赘述。

在上述图 11A 11C所示实施例的基础上，可以理解的是，企业 A分支网络 600和企业 A总部网络 700其中之一可以设置接入路由器，设置接入路由器的企业 A网络中 PC的内网地址则由接入路由器分配，并由接入路由器根据 IP地址对企业 A总部网络 700中的 PC与企业 A分支网络 600中 PC之间交互的业务报文进行处理。

本实施例，通过第一运营商业务网关分别为企业 A分支网络及企业 A分支网络中的用户设备分配公网 IP地址和公内网 IP地址，并且由运营商业务网关根据公网 IP地址和公内网 IP地址对企业 A分支网络中的用户设备发送的第一业务报文进行 IPSec封装，通过公网传送给第二运营商业务网关，再向运营商接入设备发送 IPSec解封装后的第二业务报文，以使运营商接入设备将第二业务报文发送给企业 A分支网络的用户设备，从而可以更近一步地降低企业内部网络部署的复杂度，降低企业内部网络的管理维护的难度、成本，降低企业内部网络硬件设备更新投资成本。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求书

1、一种 ΙΡ·¾文处理方法，其特征在于，包括：

运营商业务网关为企业的第一内网分配 IP地址；

2、根据权利要求 1所述的方法，其特征在于，所述运营商业务网关为企业的第一内网分配 IP地址，包括：

3、根据权利要求 2所述的方法，其特征在于，所述运营商业务网关为所述第一内网中的用户设备分配内网 IP地址，包括：

所述运营商业务网关接收运营商接入设备转发的由所述用户设备发送的内网地址请求消息；

4、根据权利要求 2或 3所述的方法，其特征在于，所述运营商业务网关根据所述 IP地址对所述第一内网与所述企业的第二内网之间交互的业务报文进行处理，包括：

5、根据权利要求 4所述的方法，其特征在于，所述向与所述第二内网对应的运营商业务网关或路由器发送 IPSec封装后的第一业务报文之后，还包括：所述运营商业务网关接收与所述第二内网对应的运营商业务网关或路由器发送的包含所述第二内网的公网 IP地址的第二业务报文；

所述运营商业务网关对所述第二业务报文进行 IPSec解封装；

6、根据权利要求 3所述的方法，其特征在于，所述内网地址请求消息和所述内网地址响应消息中包含虚拟局域网 VLAN标识，所述 VLAN标识与所述第一内网相对应。

7、一种 ΙΡ·¾文处理方法，其特征在于，包括：

8、根据权利要求 7所述的方法，其特征在于，所述运营商接入设备将所述内网地址请求消息发送给所述运营商业务网关之后，还包括：

所述运营商接入设备将所述内网地址响应消息发送给所述用户设备。

9、根据权利要求 8所述的方法，其特征在于，所述运营商接入设备将所述内网地址请求消息发送给所述运营商业务网关之前，还包括：

10、一种运营商业务网关，其特征在于，包括：

分配模块，用于为企业的第一内网分配 IP地址；处理模块，用于根据所述 IP地址对所述第一内网与所述企业的第二内网之间交互的业务 4艮文进行处理。

11、根据权利要求 10所述的运营商业务网关，其特征在于，所述分配模块，具体用于：

为所述第一内网分配公网 IP地址，并釆用所述公网 IP地址与所述第二内网对应的运营商业务网关或路由器进行 IP安全协议 IPSec协商；

12、根据权利要求 11所述的运营商业务网关，其特征在于，所述分配模块，还用于：

13、根据权利要求 11或 12所述的运营商业务网关，其特征在于，所述处理模块，具体用于：

14、根据权利要求 13所述的运营商业务网关，其特征在于，所述处理模块，还用于：

对所述第二业务报文进行 IPSec解封装；

15、根据权利要求 12所述的运营商业务网关，其特征在于，所述内网地址请求消息和所述内网地址响应消息中包含虚拟局域网 VLAN标识，所述 VLAN 标识与所述第一内网相对应。

16、一种运营商接入设备，其特征在于，包括：

17、根据权利要求 16所述的运营商接入设备，其特征在于，所述接收模块，还用于在将所述内网地址请求消息发送给所述运营商业务网关之后，接收所述所述发送模块，还用于将所述内网地址响应消息发送给所述用户设备。

18、根据权利要求 17所述的运营商接入设备，其特征在于，还包括：处理模块，用于在将所述内网地址请求消息发送给所述运营商业务网关之前，在所述内网地址请求消息中添加 VLAN标识 , 所述 VLAN标识与所述第一内网相对应；

19、一种网络系统，其特征在于，包括如权利要求 10~15任一项所述的运营商业务网关和如权利要求 16~18任一项所述的运营商接入设备。