CN101136832A - 多协议标签交换虚拟专用网及其控制和转发方法 - Google Patents
多协议标签交换虚拟专用网及其控制和转发方法 Download PDFInfo
- Publication number
- CN101136832A CN101136832A CN200710149811.8A CN200710149811A CN101136832A CN 101136832 A CN101136832 A CN 101136832A CN 200710149811 A CN200710149811 A CN 200710149811A CN 101136832 A CN101136832 A CN 101136832A
- Authority
- CN
- China
- Prior art keywords
- route
- vpn
- layer
- private network
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及通信领域,公开了一种多协议标签交换虚拟专用网及其控制和转发方法,使得上层VPN不必介入下层VPN的管理,下层VPN能够独立地对内部VPN进行划分以及调整,由此增加了内部VPN之间流量的安全性;另一方面,有效降低上层PE设备的负担,以及客户使用上层VPN网络的费用。上层PE设备下,通过内部PE组建VPN下层内部VPN网络,在PE设备的私网下运营MBGP协议来传播私网的路由。
Description
本申请是是申请日为2004年7月13日、申请号为20041007170.0、发明名称为:多协议标签交换虚拟专用网及其控制和转发方法的申请的分案申请。
技术领域
本发明涉及通信领域,特别涉及多协议标签交换虚拟专用网组网技术。
背景技术
虚拟专用网(Virtual Private Networking,简称“VPN”)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的Internet(因特网),各地的机构就可以互相传递信息;同时,企业还可以利用Internet的拨号接入设备,让自己的用户拨号到Internet上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点。
多协议标签交换(Multi-protocol Label Switch,简称“MPLS”)是由思科公司(CISCO)的标记交换(Tag Switching)演变而来的国际互联网工程任务组(Internet Engineering Task Force,简称“IETF”)的标准协议。MPLS是基于标签的互联网协议(internet Protocol,简称“IP”)路由选择方法,它属于第三层交换技术,引入了基于标签的机制,把选路和转发分开,由标签来规定一个分组通过网络的路由,数据传输通过标签交换路径(LabelSwitch Path,简称“LSP”)完成,它将原本在IP网络的第三层的包交换转换成第二层的交换。
图1示出了MPLS网络结构。MPLS网络101由核心部分的标签交换路径器104(Label Switch Router,简称“LSR”)、边缘部分的标签边缘路由器103(Label Edge Router,简称“LER”)组成。其中LER103用于分析IP包头,执行第三层网络功能,决定相应的传送级别和标签交换路径(LabelSwitch Path,简称“LSP”),它与外部网络102相连接的,从外部网络102接收外部分组交换数据包105;LSR 104用于建立LSP,执行标签交换机制和服务质量保证(Quality of Service,简称“QoS”),转发MPLS网络101内部的分组数据包106,它由控制单元和交换单元组成,它处在网络内部,与LER103和其他LSR104相连。
MPLS的标签交换的工作流程如下:最初由标签分发协议(LabelDistribution Protocol,简称“LDP”)和传统路由协议,比如开发最短路优先协议(Open Shortest Path First,简称“OSPF”)等,在LSR中建立路由表和标签映射表;在网络运行中,首先在MPLS核心网入口处的LER接收外部网络的IP包,完成第三层网络功能,并给IP包加上标签;接着该数据包在LSP中传输,此时LSR不再对分组进行第三层处理,只是根据分组上的标签通过交换单元进行转发,最终达到网络另一端即出口处的LER;最后在MPLS出口处的LER将分组中的标签去掉后按照相应外部网络协议继续进行转发。
由于MPLS技术隔绝了标签分发机制与数据流的关系,因此,它的实现并不依赖于特定的数据链路层协议,可支持多种的物理层和数据链路层技术。目前实现了在帧中继(Frame Relay,简称“FR”)、异步传输模式(AsynchronousTransfer Mode,简称“ATM”)和点到点协议(Point-to-Point Protocol,简称“PPP”)链路以及国际电气电子工程师协会(Institute of Electrical andElectronics Engineers,简称“IEEE”)802.3协议的局域网上使用MPLS的业务。采用MPLS网络进行IP业务转发,可以简化层与层之间的路由转发过程,加快MPLS交换速度,提高网络效率,同时能满足不同等级业务的传送,所以说MPLS既有交换机的高速度与流量控制能力,又具备了路由器灵活的功能和服务质量保证机制。
MPLS已经被广泛应用于VPN的实现,借助MPLS实现的VPN被称为MPLS VPN。根据网络设备转发依据的用户信息,MPLS VPN可以划分为L3(层3,即网络层)VPN,L2(层2,即数据链路层)VPN,L1(层1,即物理层)VPN三种类型。 目前在互联网工程任务组(INTERNETENGINEERING TASK FORCE,简称“IETF”)标准组织中,有L3VPN工作组和L2VPN工作组,分别研究MPLS L3 VPN和MPLS L2 VPN。MPLS L3VPN的典型代表是基于RFC 2547bis的边界网关协议(Border GatewayProtocol,简称“BGP”)/MPLS VPN和基于虚拟路由器(Virtual Router,简称“VR”)的IP VPN。MPLSL2 VPN的典型代表是MARTINI,KOMPELLA,以及多种虚拟专用局域网子网段(Virtual Private LAN Segment,简称“VPLS”)实现方案。此外,国际电信联盟-电信标准部(International TelecommunicationUnion Telecommunication Standardization Sector,简称“ITU-T”)的SG13/Q11对L1 VPN的研究比较多,目前有Y.11vpnarch,Y.11vpnsdr等草案建议。他们的参考模型的结构都类似,对于VPN QoS问题的处理都类似,要么没有考虑,要么是利用网络自身的DiffServ(差异服务模式)能力,因此都不能解决VPN的QoS问题,而且不能解决该问题的原因也相同,在这方面可以将他们归为相同的技术。
下面以RFC2547bis作为这一类技术的代表对现有技术进行说明,由于他们和ITU-T,IETF的L2 VPN和L3 VPN的参考模型具有相同的结构,在解决QoS问题上的困难是相同的。
RFC2547bis所定义的MPLS L3VPN模型如图2所示,该模型包括三个组成部份:用户网边缘路由器(Custom Edge Router,简称“CE”)、骨干网边缘路由器(Provider Edge Router,简称“PE”)和路由器(P)。
CE设备是用户驻地网络的一个组成部分,有接口直接与运营商的网络相连,一般是路由器。CE“感知”不到VPN的存在,也不需要维护VPN的整个路由信息。
PE路由器即运营商边缘路由器,是运营商网络的边缘设备,与用户的CE直接相连。MPLS网络中,对VPN的所有处理都在PE路由器上完成。
路由器(P)是运营商网络中的骨干路由器,它不和CE直接相连。路由器(P)需要有MPLS基本信令能力和转发能力。
CE和PE的划分主要是从运营商与用户的管理范围来划分的,CE和PE是两者管理范围的边界。
CE与PE之间使用外部边界网关协议(Exterior Border Gateway Protocol,简称“EBGP”)或是内部网关协议(Interior Gateway Protocol,简称“IGP”)路由协议交换路由信息,也可以使用静态路由。CE不必支持MPLS,不需要感知VPN的整网路由,VPN的整网路由外包给运营商来完成。运营商PE设备之间通过多协议内部网关协议(Multi-protocol Internal Border GatewayProtocol,简称“MP-IBGP”)交换VPN的整网路由信息。
以下介绍RFC2547bis标准规定的MPLS L3VPN的相关属性:
VRF:
VPN是由多个站点(Site)组成的。在PE上,每个站点对应一个虚拟专用网路由/转发实例(VPN Routing/Forwarding instance,简称“VRF”),它主要包括:IP路由表、标签转发表、使用标签转发表的一系列接口以及管理信息(包括路由识别号、路由过滤策略、成员接口列表等)。
用户站点和VPN不存在一对一的关系,一个站点可以同时属于多个VPN。在实现中,每一个站点关联一个单独的VRF。VPN中站点的VRF实际上综合了该站点的VPN成员关系和路由规则。报文转发信息存储在每个VRF的IP路由表和标签转发表中。系统为每个VRF维护一套独立的路由表和标签转发表,从而防止了数据泄漏出VPN之外,同时防止了VPN之外的数据进入。
VPN-IPv4地址族:
PE路由器之间使用BGP来发布VPN路由,并使用了新的地址族——VPN-IPv4地址。
一个VPN-IPv4地址有12个字节,开始是8字节的路由识别号(RouteDistinguisher,简称“RD”),后面是4字节的IPv4地址。PE使用RD对来自不同VPN的路由信息进行标识。运营商可以独立地分配RD,但是需要把他们专用的自治系统(Autonomous System,简称“AS”)号作为RD的一部分来保证每个RD的全局唯一性。RD为零的VPN-IPv4地址同全局唯一的IPv4地址是同义的。通过这样的处理以后,即使VPN-IPv4地址中包含的4字节IPv4地址重叠,VPN-IPv4地址仍可以保持全局唯一。
PE从CE接收的路由是IPv4路由,需要引入VRF路由表中,此时需要附加一个RD。在通常的实现中,为来自于同一个用户站点的所有路由设置相同的RD。
Route Target(路由目标)属性:
Route Target属性标识了可以使用某路由的站点的集合,即该路由可以被哪些站点所接收,PE路由器可以接收哪些站点传送来的路由。与RouteTarget中指明的站点相连的PE路由器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后,将其加入到相应的路由表中。
PE路由器存在两个Route Target属性的集合:一个集合用于附加到从某个站点接收的路由上,称为Export Route Targets(输出路由目标);另一个集合用于决定哪些路由可以引入此站点的路由表中,称为Import RouteTargets(输入路由目标)。
通过匹配路由所携带的Route Target属性,可以获得VPN的成员关系。匹配Route Target属性可以用来过滤PE路由器接收的路由信息。
VPN报文的转发过程:
在RFC2547bis标准中,VPN报文转发使用两层标签方式。第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条LSP,VPN报文利用这层标签,就可以沿着LSP到达对端PE。从对端PE到达CE时使用第二层(内层)标签,内层标签指示了报文到达哪个站点,或者更具体一些,到达哪一个CE。这样,根据内层标签,就可以找到转发报文的接口。特殊情况下,属于同一个VPN的两个站点连接到同一个PE,则如何到达对方PE的问题不存在,只需要解决如何到达对端CE。
通过BGP发布VPN路由信息:
在RFC2547bis标准中,CE与PE之间通过IGP或EBGP来传播路由信息,PE得到该VPN的路由表,存储在单独的VRF中。各个PE之间通过IGP来保证通常IP的连通性,通过IBGP来传播VPN组成信息和路由,并完成各自VRF的更新。再通过与直接相连CE之间的路由交换来更新CE的路由表,由此完成各个CE之间的路由交换。
BGP通信在两个层次上进行:自治系统内部(IBGP)以及自治系统之间(EBGP)。PE-PE会话是IBGP会话,而PE-CE会话是EBGP会话。
BGP在PE路由器之间的VPN组成信息和路由传播,通过多协议扩展边界网关协议(Multiprotocol extensions BGP,简称“MBGP”)来实现。关于MBGP的详细内容可以参考IETF的文档RFC2283《Multiprotocol Extensionsfor BGP-4》(中文名称可译为《边界网关协议-4的多协议扩展》)。MBGP向下兼容,既可以支持传统的IPv4地址族,又可以支持其他地址族(比如VPN-IPv4地址族)。通过MBGP携带的route target确保了特定VPN的路由只能被这个VPN的其他成员知道,使BGP/MPLS VPN成员间的通信成为可能。
在现有技术中,在RFC2547中所有的PE设备都是一个层面的,都是属于运营商的网络组成部分,所有的PE设备之间都是直接的交互VPN路由,所有的PE设备都是在一个网络中,可以说是公网。在每个PE上根据用户的需求配置不同的VPN,并且运营商根据用户的需求,通过更改VPN的配置来做VPN划分,这些都是运营商来管理的,运营商提供用户一条链路(或是字节口),用户通过这条链路接入,就确定了他接入了哪个VPN,这个接口上接入的所有的用户都是相同的VPN.如果这条链路下接入的用户内部也有VPN划分的需求,比如说还要划分5个VPN,那就必须直接把这5个VPN直接让运营商配置到PE设备上。
在实际应用中,上述方案存在以下问题:非独立性以及安全问题——即客户不是以独立的VPN存在,而是以多个用户内部的小VPN在运营商的PE设备上存在;并且用户没有独立的权利调整自己的几个内部VPN之间的关系,必须由运营商来操作;另外,正是由于用户内部的几个VPN由运营商操作管理,会引发用户内部网络的安全问题,具体的说,运营商对用户VPN的错误配置,将导致用户的几个内部网络之间的流量错误转发。
负担大,成本高,费用大——运营商的PE设备上的VPN数量随着用户的内部VPN的划分而相应增加,导致运营商的PE设备负担增加,从而导致运营商的运营成本增加;另一方面,对于客户在运营商的PE设备上划分的每一个内部VPN,都需要独立的接入链路或者子链路,因此导致用户使用运营商VPN网络的费用增加。
发明内容
有鉴于此,本发明的主要目的在于提供一种多协议标签交换虚拟专用网及其控制和转发方法,使得运营商不必介入用户内部VPN的管理,用户能够独立地对内部VPN进行划分以及调整,由此增加了客户内部VPN之间流量的安全性;另一方面,有效降低运营商的PE设备的负担,以及客户使用运营商VPN网络的费用。
为实现上述目的,本发明提供了一种多协议标签交换虚拟专用网,包含包括第一层虚拟专用网和第二层虚拟专用网,所述第一层虚拟专用网包括第一层运营商边缘设备PE和对端第一层运营商边缘设备PE,所述第二层虚拟专用网包括至少一个第二层运营商边缘设备SU_BPE和至少一个对端第二层运营商边缘设备SUB_PE,所述第一层PE下连接所述第二层SUB_PE,所述对端第一层PE下连接所述对端第二层SUB_PE。
本发明还提供了一种多协议标签交换虚拟专用网的路由的控制和转发方法,包含以下步骤:
第二层虚拟专用网的第二层运营商边缘设备SUB_PE收到路由,加入第二层虚拟专用网的输出路由目标属性,转发所述路由;
第一层虚拟专用网的第一层运营商边缘设备PE收到所述路由,加入第一层虚拟专用网的输出路由目标属性,转发所述路由;
所述第一层PE的对端第一层运营商边缘设备PE收到所述路由;将所述路由中包含的第一层虚拟专用网的输出路由目标属性与自身的虚拟专用网的输入路由目标属性匹配,当匹配成功时,转发所述路由;
所述第二层SUB_PE的对端第二层运营商边缘设备SUB_PE收到所述路由;将所述路由中包含的第二层虚拟专用网的输出路由目标属性与自身的虚拟专用网的输入路由目标属性匹配,当匹配成功时,转发所述路由。
进一步,本发明还提供了一种运营商边缘设备,所述运营商边缘设备上配置有至少一个虚拟专用网,包括至少一个接口,用于连接下层虚拟局域网的运营商边缘设备SUB_PE。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,在运营商的PE设备中,将属于同一个用户的所有内部VPN网络站点的合集配置成一个VPN,同时,在与运营商PE设备对应的CE设备上配置SUB_PE(用户私网中的内部PE),用户可以在SUB_PE上配置私网中的内部VPN,SUB PE和PE之间通过MBGP协议来传播私网的路由。
这种技术方案上的区别,带来了较为明显的有益效果,即首先,VPN用户能够根据需要,独立组建自己内部的VPN网络,对其内部VPN拥有完全的管理权,并且值得一提的是,对VPN用户所连接的运营商来说,这些内部网络是不可见的,由此可见,本发明不再由运营商操作管理用户内部的VPN,避免了现有技术中用户内部网络的安全问题,即避免了运营商对用户VPN的错误配置,由此杜绝用户的内部网络之间的流量错误转发。
另外,当VPN用户有多个内部VPN的需求时,不会对运营商的网络产生影响,不需要在运营商的PE上为用户维护这些内部VPN,由此既有效降低了运营商PE设备的负担,也减少了客户使用运营商VPN网络的费用。
附图说明
图1是MPLS网络结构示意图;
图2是RFC2547bis所定义的MPLSL3VPN模型;
图3是根据本发明的一个实施例的MPLSVPN嵌套组网的网络构成示意图;
图4是根据本发明的一个实施例的嵌套组网的MPLS VPN路由转发流程示意图;
图5是根据本发明的一个较佳实施例的多层嵌套组网的MPLS VPN路由转发路径示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
首先介绍本发明的基本原理。
总的来说,本发明基于″嵌套的VPN组网″原理,换句话说,即在运营商的PE设备下,通过内部PE(SUB_PE)组建VPN用户内部VPN网络。并且,在PE设备的私网下运营MBGP协议来传播私网的路由。
在本发明中,PE设备通过私网接口收到了VPN地址族的路由,添加上该私网接口所属VPN的export target属性。在此基础上,根据该路由,在PE上的其他VPN之间继续做VPN匹配和转发,并将路由转化为IPV4的路由格式,发给这个接口所属VPN所相连的其它CE设备。
另外,当一个PE设备在收到MBGP传播来的VPN路由,并且在其私网下还有MBGP地址族的连接时,则将路由按照VPNV4的格式,不改变路由的export target属性,继续传送给这个MBGP地址族的边界网关协议(BorderGateway Protocol,简称″BGP″)连接。
下面详细介绍上述基本原理的具体实施方式。
如图3所示,在根据本发明的一个实施例的VPN嵌套组网中,配置有VPN1和VPN2。可以采用如下方式在PE1和PE2上进行配置:
VPN1:VPN import/export 100∶1
VPN2:VPN import/export 100∶2
其中100是自治系统号,1和2是一个人为定义的任意值。
熟悉本发明领域的技术人员会理解,这里举例的具体配置方式仅仅是众多可能的配置方式中的一种,其配置形式和参数都可以变化,只要能够完成配置两个独立VPN的工作就可以。
另一方面,如图3所示,PE1的VPN1下绑定了三个接口,分别用于与SUB PE11、SUB_PE12,以及CE1连接。需要说明的是SUB_PE是指用户私网中的PE,可以称为″内部骨干网边缘路由器″。SUB_PE也是配置在路由器上,该路由器还同时配置了与运营商PE相对应的CE。换句话说,本发明对原先配置CE的路由器进行了改造,在该路由器上同时配置了SUB_PE。熟悉本发明领域的技术人员可以知道,路由器一般包含多个端口,可以对路由器中与运营商PE设备对应的端口按照CE方式配置,使其完成CE的功能,也可以同时对该路由器的其他端口按照PE方式配置,使其成为用户私网中的PE,也就是SUB_PE。
图3中,在PE1下面连接的用户设备SUB_PE11,SUB_PE12上分别根据用户的需要配置SUB_VPN11、SUB_VPN12、SUB_VPN13、SUB_VPN14,详细配置如下:
SUB_VPN11:VPN import/export 1000∶1
SUB_VPN12:VPN import/export 1000∶2
SUB_VPN13:VPN import/expor 1000∶3
SUB_VPN14:VPN import/export 1000∶4
同理在PE2的SUB_PE21上做对应的配置,这样就形成了SUB_VPN11、SUB_vPN12、SUB_VPN13、SUB_VPN14四个用户私网内部的VPN。
需要指出的是,并不是所有与运营商PE对应的CE上都要配置SUB_PE,也可以在运营商PE下按照现有技术的方式直接配置CE。例如,在图3中,在PE1的VPN1下可以直接接入普通的CE设备--CE1,在PE2的VPN1先可以直接接入普通的CE设备--CE2。
SUB_PE和上层PE之间需要运行多协议扩展边界网关协议(Multiprotocol extensions BGP,简称″MBGP″)协议,SUB-PE相当于上层PE的CE设备,因此相当于是在私网下运行MBGP协议。
熟悉本发明领域的技术人员可以理解,在SUB_PE对应的每一个SUB_VPN中站点都需要有相应的SUB_CE(私网内部的CE),这一点和现有技术中PE和CE的关系是类似的。为了突出重点,SUB_CE没有画在图3中。
通过上面的描述可见,本发明提供的VPN嵌套组网分为两个层次:
第一个层次是运营商的层次。在运营商的PE设备中,将属于同一个用户的所有内部VPN网络站点的合集配置成一个VPN。例如VPN1就属于一个用户,其中包含了SUB_VPN11、SUB_VPN12、SUB_VPN13、SUB_VPN14的所有站点。采用本发明的技术方案后,运营商不需要对用户内部的VPN进行管理,只要管理一个VPN网络即可,而现有技术中运营商为了实现相同的VPN划分功能需要管理四个VPN网络。这样可以提高用户内部网络的安全性,有效降低了运营商PE设备的负担,减少客户使用运营商VPN网络的费用。
第二个层次是用户的层次。对用户来说运营商提供了基本的传输网络,实现了分散在各地的己方站点之间的通信。但是在这些站点中,内部VPN的配置是自己实现和管理的。用户所要做的就是在互相连通的多个内部站点中按照需要配置SUB_VPN,并进行有效管理。这样可以防止由于运营商对用户VPN的错误配置而导致的用户内部网络之间的流量错误转发。
上面说明了嵌套式的VPN网络结构,下面再参照图4,对根据本发明的VPN嵌套组网的控制和转发流程进行更加详细的描述。
根据本发明的原理可以理解,在PE1或PE2上既能够通过私网直接接入普通的CE设备,也能够通过私网接入用户内部的VPN,即SUB_VPN11、SUB_VPN12、SUB_VPN13以及SUB_VPN14,因此会产生不同的路由控制和转发流程。
在本发明的一个较佳实施例中,包含两层VPN,其中SUB_VPN11的路由控制流程如下:
首先,SUB_VPN1的一条路由:10.0.0.1/8在从SUB_PE11上发出,携带上自己的export target属性(例如1000∶1),并通过MBGP协议传送到PE1。
此后,PE1在一个VRF下的私网接口上收到了上述路由并将该路由通告给该VRF下的其它私网接口(如果该VRF下还有其它私网接口)后,将该路由添加上VPN1的export target属性(例如100∶1)。熟悉本领域的技术人员可以理解,完成这个步骤后,该条路由可以看作为包含了两层VPN的exporttarget属性的路由。如图3所示,在本发明的一个较佳实施例中,该路由的VPN标识的外层是运行商网络层次的VPN的export target属性(例如100;1),内层是用户网络层次的用户内部的VPN(SUB_vPN1)的export target属性(例如1000∶1)。
接着,该路由在PE1上进行本地VPN匹配,如果有其他的VRF和它匹配,就将该路由发送给相应的VRF;如果VPN1下还有普通的CE连接,将路由转化为普通的IPv4路由,发送给CE设备。例如在本发明的一个较佳实施例中,SUB_PE12上也配置了SUB_VPN11,则PE1将该路由通过MBGP协议发送给SUB_PE12;又如,在本发明的另一个较佳实施例中,还有VPN1的用户站点通过CE1连接到PE1上,则PE1将路由转化为普通IPv4路由,发送给CE1。
接着,这条路由继续传送到PE2,PE2对该路由的export target属性与PE2上的VPN1的import target属性进行匹配,确认是否属于VPN1的路由。
PE2匹配该路由确认属于VPN1的路由后,如果PE2连接的VPN1下面还有MBGP连接,则将路由向其下属的内部PE传送,即图3中的SUB_PE21传送;如果PE2下面还有直连的CE设备,只要直接将路由转化为普通的IPv4路由发给CE设备,例如图3中的CE2。
接着,SUB_PE21收到上述路由后,对该路由和本地的SUB_VPN进行匹配,确认是否属于本地的VPN。需要说明的是,该步骤中通过该路由的export target属性进行匹配。另外,熟悉本领域的技术人员可以理解,CE设备收到路由的处理和现有技术完全一样,在此不详细说明。
当SUB_PE21确认该路由是属于本地的VPN后,被本地SUB_VPN12接收,并传送到与SUB_VPN12对应的内部CE设备上。
在上述本发明的一个较佳实施例中,报文转发和普通的VPN拓扑下的流程基本相同。不同之处在于,每一个上层PE,即附图中的PE1和PE2,都要对私网的标签做一次替换操作。
需要说明的是,嵌套的VPN可以为多层,此时,每个上层PE收到从下层嵌套的内部VPN发来的路由之后,均需要添加相应的输出路由目标属性。如图5所示的根据本发明的一个较佳实施例的多层VPN嵌套,最底层的内部VPN路由从A发出,沿着A-B-C-D-E-F的路径发送,在A、B和C上均会添加export target属性,路由到了D后就不再添加export target属性,D、E和F使用自己的import target属性列表和接收的路由的export target属性列表匹配以决定是否接收。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (10)
1.一种多协议标签交换虚拟专用网,包括第一层虚拟专用网和第二层虚拟专用网,所述第一层虚拟专用网包括第一层运营商边缘设备PE和对端第一层运营商边缘设备PE,所述第二层虚拟专用网包括至少一个第二层运营商边缘设备SUB_PE和至少一个对端第二层运营商边缘设备SUB_PE,所述第一层PE下连接所述第二层SUB_PE,所述对端第一层PE下连接所述对端第二层SUB_PE。
2.根据权利要求1所述的多协议标签交换虚拟专用网,其特征在于,所述第二层虚拟专用网包括至少一个虚拟专用网,当所述第二层虚拟专用网包括两个以上虚拟专用网时,不同虚拟专用网之间独立运行。
3.根据权利要求1所述的多协议标签交换虚拟专用网,其特征在于,所述第一层PE、所述对端第一层PE、所述第二层SUB_PE或者所述对端第二层SUB_PE下连接至少一个用户边缘设备CE。
4.根据权利要求1至3中任一权利要求所述的多协议标签交换虚拟专用网,其特征在于,所述第一层PE与第二层SUB_PE之间、所述对端第一层PE与所述对端第二层SUB_PE之间通过多协议边界网关协议传播私网路由。
5.一种虚拟专用网路由的控制和转发方法,其特征在于,
第二层虚拟专用网的第二层运营商边缘设备SUB_PE收到路由,加入第二层虚拟专用网的输出路由目标属性,转发所述路由;
第一层虚拟专用网的第一层运营商边缘设备PE收到所述路由,加入第一层虚拟专用网的输出路由目标属性,转发所述路由;
所述第一层PE的对端第一层运营商边缘设备PE收到所述路由;将所述路由中包含的第一层虚拟专用网的输出路由目标属性与自身的虚拟专用网的输入路由目标属性匹配,当匹配成功时,转发所述路由;
所述第二层SUB_PE的对端第二层运营商边缘设备SUB_PE收到所述路由;将所述路由中包含的第二层虚拟专用网的输出路由目标属性与自身的虚拟专用网的输入路由目标属性匹配,当匹配成功时,转发所述路由。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:所述第一层PE或者所述第二层SUB_PE将路由转发给自身所属虚拟专用网的其它接口。
7.根据权利要求5所述的方法,其特征在于,当所述对端第一层或者所述对端第二层SUB_PE下连接用户边缘设备CE时,转发所述路由给所述CE的步骤之前,该方法进一步包括:转换所述路由为IPv4路由。
8.根据权利要求5至7中任一权利要求所述的方法,其特征在于,还包括:当匹配不成功时,不转发所述路由。
9.一种运营商边缘设备,所述运营商边缘设备上配置有至少一个虚拟专用网,其特征在于,包括至少一个接口,用于连接下层虚拟局域网的运营商边缘设备SUB_PE。
10.根据权利要求9所述的设备,其特征在于,还包括至少一个接口,用于连接用户边缘设备CE。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710149811.8A CN101136832A (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710149811.8A CN101136832A (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100717400A Division CN100372336C (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101136832A true CN101136832A (zh) | 2008-03-05 |
Family
ID=39160678
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710149811.8A Pending CN101136832A (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101136832A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651582B (zh) * | 2009-09-24 | 2011-12-07 | 中兴通讯股份有限公司 | 检测多协议标签交换网络链路连通性的方法及系统 |
| CN102394804A (zh) * | 2011-11-02 | 2012-03-28 | 中兴通讯股份有限公司 | 虚拟私有网络系统的构建方法及虚拟私有网络系统 |
| CN102624623A (zh) * | 2012-03-13 | 2012-08-01 | 杭州华三通信技术有限公司 | 一种vpn路由信息发布方法及设备 |
| CN103095578A (zh) * | 2013-01-29 | 2013-05-08 | 杭州华三通信技术有限公司 | Mpls l3vpn网络中的路由信息控制方法及pe设备 |
| CN107018056A (zh) * | 2015-09-30 | 2017-08-04 | 丛林网络公司 | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 |
| CN107547389A (zh) * | 2017-08-30 | 2018-01-05 | 新华三技术有限公司 | 网络接入方法、装置及机器可读存储介质 |
| CN107634893A (zh) * | 2017-09-25 | 2018-01-26 | 新华三技术有限公司 | 媒体访问控制mac地址通告路由的处理方法及装置 |
| CN111200549A (zh) * | 2018-11-16 | 2020-05-26 | 华为技术有限公司 | 一种获取路由信息的方法及装置 |
| CN113726651A (zh) * | 2020-05-25 | 2021-11-30 | 华为技术有限公司 | 一种路由管理方法、设备及系统 |
-
2004
- 2004-07-13 CN CN200710149811.8A patent/CN101136832A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651582B (zh) * | 2009-09-24 | 2011-12-07 | 中兴通讯股份有限公司 | 检测多协议标签交换网络链路连通性的方法及系统 |
| CN102394804A (zh) * | 2011-11-02 | 2012-03-28 | 中兴通讯股份有限公司 | 虚拟私有网络系统的构建方法及虚拟私有网络系统 |
| CN102624623A (zh) * | 2012-03-13 | 2012-08-01 | 杭州华三通信技术有限公司 | 一种vpn路由信息发布方法及设备 |
| CN102624623B (zh) * | 2012-03-13 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种vpn路由信息发布方法及设备 |
| CN103095578A (zh) * | 2013-01-29 | 2013-05-08 | 杭州华三通信技术有限公司 | Mpls l3vpn网络中的路由信息控制方法及pe设备 |
| CN103095578B (zh) * | 2013-01-29 | 2015-09-30 | 杭州华三通信技术有限公司 | Mpls l3vpn网络中的路由信息控制方法及pe设备 |
| CN107018056A (zh) * | 2015-09-30 | 2017-08-04 | 丛林网络公司 | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 |
| CN107018056B (zh) * | 2015-09-30 | 2021-03-19 | 瞻博网络公司 | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 |
| CN107547389A (zh) * | 2017-08-30 | 2018-01-05 | 新华三技术有限公司 | 网络接入方法、装置及机器可读存储介质 |
| CN107547389B (zh) * | 2017-08-30 | 2020-10-09 | 新华三技术有限公司 | 网络接入方法、装置及机器可读存储介质 |
| CN107634893A (zh) * | 2017-09-25 | 2018-01-26 | 新华三技术有限公司 | 媒体访问控制mac地址通告路由的处理方法及装置 |
| CN107634893B (zh) * | 2017-09-25 | 2020-05-12 | 新华三技术有限公司 | 媒体访问控制mac地址通告路由的处理方法及装置 |
| CN111200549A (zh) * | 2018-11-16 | 2020-05-26 | 华为技术有限公司 | 一种获取路由信息的方法及装置 |
| CN111200549B (zh) * | 2018-11-16 | 2021-04-20 | 华为技术有限公司 | 一种获取路由信息的方法及装置 |
| CN113726651A (zh) * | 2020-05-25 | 2021-11-30 | 华为技术有限公司 | 一种路由管理方法、设备及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100372336C (zh) | 多协议标签交换虚拟专用网及其控制和转发方法 | |
| CN100384172C (zh) | 基于网络的虚拟专用网中保证服务质量的系统及其方法 | |
| US7136374B1 (en) | Transport networks supporting virtual private networks, and configuring such networks | |
| US6789121B2 (en) | Method of providing a virtual private network service through a shared network, and provider edge device for such network | |
| US9124567B2 (en) | Methods and devices for converting routing data from one protocol to another in a virtual private network | |
| CN100372340C (zh) | 虚拟专用网的实现方法 | |
| US20070115913A1 (en) | Method for implementing the virtual leased line | |
| WO2006002598A1 (fr) | Systeme vpn de reseau federateur hybride a site hybride et son procede de mise en oeuvre | |
| US7467215B2 (en) | SVC-L2.5 VPNs: combining Layer-3 VPNs technology with switched MPLS/IP L2VPNs for ethernet, ATM and frame relay circuits | |
| WO2008011818A1 (fr) | Procédé de fourniture d'un service réseau local privé virtuel à hiérarchie et système réseau | |
| CN106936714A (zh) | 一种vpn的处理方法和pe设备以及系统 | |
| WO2005125103A1 (fr) | Systeme de reseau prive virtuel d'un site hybride et reseau de base hybride et procede de mise en oeuvre associe | |
| CN101136832A (zh) | 多协议标签交换虚拟专用网及其控制和转发方法 | |
| CN100502343C (zh) | 多协议标签交换虚拟专用网相互通信的方法 | |
| EP1540893B1 (en) | Network and method for providing switched virtual circuit layer-2 virtual private networks | |
| CN101304337A (zh) | 生成业务虚拟私有网络的接入拓扑的方法和装置 | |
| Semeria et al. | Rfc 2547bis: bgp/mpls vpn fundamentals | |
| CN100426804C (zh) | 实现混合站点虚拟专用网的方法 | |
| EP1702437B1 (en) | Apparatus and method for layer-2 and layer-3 vpn discovery | |
| Cisco | Spanning Multiple Autonomous Systems | |
| CN113630324A (zh) | 基于mpls-vpn的新型跨域互联方法 | |
| Joseph et al. | Network convergence: Ethernet applications and next generation packet transport architectures | |
| CN114205187B (zh) | 一种适用于OptionC跨域的MPLS-VPN的端到端路径计算方法及装置 | |
| KR100563655B1 (ko) | 멀티 프로토콜 레이블 교환망에서의 가상 사설망 서비스방법 및 이를 실현시키기 위한 프로그램을 기록한 컴퓨터판독 가능한 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080305 |