[发明专利]一种隧道建立方法和网络设备

权利要求书

1.一种隧道建立方法，其特征在于，所述方法包括：

网络设备根据认证服务器下发的第一网络设备的地址信息获取第一网络设备的IP地址，所述第一网络设备为用户请求连接的目的端设备所在的网络设备；

所述网络设备以所述第一网络设备的IP地址为目的地址，建立所述网络设备与所述第一网络设备之间的隧道，并将所述用户与所述隧道绑定，以使得所述用户基于所述隧道访问所述目的端设备。

2.如权利要求1所述的方法，其特征在于，所述网络设备以所述第一网络设备的IP地址为目的地址，建立所述网络设备与所述第一网络设备之间的隧道具体包括：

所述网络设备判断是否已经建立了以所述第一网络设备的IP地址为目的地址的隧道，若是，则直接将所述用户与所述隧道绑定；若否，以所述第一网络设备的IP地址为目的地址，建立所述网络设备与所述第一网络设备之间的隧道，并将所述用户与所述隧道绑定。

3.如权利要求2所述的方法，其特征在于，所述方法还包括：

当所述网络设备检测到所述用户下线时，判断是否有其他用户与所述隧道绑定，若是，则解除所述用户与所述隧道的绑定；若否，则删除所述隧道。

4.如权利要求1-3任一项所述的方法，其特征在于，所述网络设备根据认证服务器下发的第一网络设备的地址信息获取第一网络设备的IP地址之前，所述方法还包括：

所述网络设备将用户发送的认证请求消息转发到所述认证服务器上，以使所述认证服务器基于所述认证请求消息对所述用户进行认证；

所述网络设备根据认证服务器下发的第一网络设备的地址信息获取第一网络设备的IP地址，具体包括：

所述网络设备接收所述认证服务器对所述用户认证通过后返回的授权应答报文，并获取所述授权应答报文中携带的所述第一网络设备的IP地址；或，所述网络设备在接收到所述认证服务器对用户认证通过后返回的授权应答报文之后，通过向所述认证服务器发送地址请求消息的方式，获取所述认证服务器基于所述地址请求消息下发的所述第一网络设备的IP地址，其中，所述地址请求消息用于请求所述用户所请求的目的端设备所在的网络设备。

5.如权利要求1所述的方法，其特征在于，所述网络设备以所述IP地址为目的地址，建立所述网络设备与所述第一网络设备之间的隧道之后，所述方法还包括：

当所述网络设备检测到所述用户下线时，删除所述隧道。

6.一种网络设备，其特征在于，包括：

地址获取模块，用于根据认证服务器下发的第一网络设备的地址信息获取第一网络设备的IP地址，所述第一网络设备为用户请求连接的目的端设备所在的网络设备；

隧道建立模块，用于以所述第一网络设备的IP地址为目的地址，建立所述网络设备与所述第一网络设备之间的隧道，并将所述用户与所述隧道绑定，以使得所述用户基于所述隧道访问所述目的端设备。

7.如权利要求6所述的设备，其特征在于，所述隧道建立模块，具体用于判断是否已经建立了以所述第一网络设备的IP地址为目的地址的隧道，若是，则直接将所述用户与所述隧道绑定；若否，以所述第一网络设备的IP地址为目的地址，建立所述网络设备与所述第一网络设备之间的隧道，并将所述用户与所述隧道绑定。

8.如权利要求7所述的设备，其特征在于，还包括：

第一隧道删除模块，用于当所述网络设备检测到所述用户下线时，判断是否有其他用户与所述隧道绑定，若是，则解除所述用户与所述隧道的绑定；若否，则删除所述隧道。

9.如权利要求6-8任一项所述的设备，其特征在于，还包括：

转发模块，用于将用户发送的认证请求消息转发到所述认证服务器上，以使所述认证服务器基于所述认证请求消息对所述用户进行认证；

所述地址获取模块，具体用于接收所述认证服务器对所述用户认证通过后返回的授权应答报文，并获取所述授权应答报文中携带的所述第一网络设备的IP地址；或，在接收到所述认证服务器对用户认证通过后返回的授权应答报文之后，通过向所述认证服务器发送地址请求消息的方式，获取所述认证服务器基于所述地址请求消息下发的所述第一网络设备的IP地址，其中，所述地址请求消息用于请求所述用户所请求的目的端设备所在的网络设备。

10.如权利要求6所述的设备，其特征在于，还包括：

第二隧道删除模块，用于当所述网络设备检测到所述用户下线时，删除所述隧道。