CN101582830A - 一种实现跨虚拟专用网互访的装置及方法 - Google Patents
一种实现跨虚拟专用网互访的装置及方法 Download PDFInfo
- Publication number
- CN101582830A CN101582830A CNA2009101481224A CN200910148122A CN101582830A CN 101582830 A CN101582830 A CN 101582830A CN A2009101481224 A CNA2009101481224 A CN A2009101481224A CN 200910148122 A CN200910148122 A CN 200910148122A CN 101582830 A CN101582830 A CN 101582830A
- Authority
- CN
- China
- Prior art keywords
- vpn
- interface
- flow
- equipment
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现跨虚拟专用网VPN互访的装置,包括提供商边缘路由器PE设备,且该PE设备连接至与存在互访需求的VPN绑定的用户边缘路由器CE设备,该装置还包括:插接在PE设备上的防火墙板卡;其中,PE设备上配置有绑定至各VPN的PE侧子接口,用于通过与源VPN对应的PE侧子接口接收来自CE设备的源VPN互访流量并转发至防火墙板卡;防火墙板卡则用于根据预设的静态路由将该互访流量发回PE上与目的VPN对应的PE侧子接口,以向目的VPN转发。本发明还对应公开一种应用该装置实现跨VPN互访的方法。本发明的技术方案通过采用防火墙板卡,与PE设备配合实现跨VPN的访问,其配置部署更为简单,同时大大降低了设备的负载压力。
Description
技术领域
本发明涉及VPN(Virtual Private Network,虚拟专用网)技术领域,尤其涉及一种实现跨VPN互访的装置及方法。
背景技术
目前VPN组网在金融、电力、政府、教育等行业的专网架构中应用越来越广泛,在这些应用里出现的包括公共VPN的多VPN组网结构中,进行跨VPN的访问不可避免。
现有技术中实现跨VPN的互访普遍包括两种方式,一种是在PE(Provider Edge Router,提供商边缘路由器)设备上配置多角色主机功能结合静态路由VPN渗透技术实现互访,下面以从本地VPN-A访问远端VPN-B的流量转发过程为例进行说明:
首先在本地PE隶属于各VPN的接口下部署多角色主机功能,定义ACL(Access Control List,访问控制列表)进行路由策略配置;当报文从隶属于VPN-A的VPN接口Interface-A进入PE设备时,根据报文的源、目的IP地址查询匹配的路由策略配置,从而得以访问本地PE的VPN-B路由表进行查表转发,这样流量就可以查找VPN-B路由表项通过远端PE到达目的地址。为了使从远端VPN-B到本地VPN-A的返回流量也可以顺利转发,还需要在本地PE设备上配置静态VPN渗透来配合多角色主机功能使用;其部署方式就是在本地PE的VPN-B路由表中部署一条下一跳与VPN-A出接口对应的静态路由项,并通过重分布方式将此静态路由发布到远端PE的VPN-B路由表中,这样当从远端VPN-B返回本端VPN-A的流量转发到本地PE的VPN-B中时,通过VPN-B路由表中的静态路由项就可以找到去往VPN-A的出接口下一跳,从而顺利返回到本地的VPN-A中。
现有技术中实现跨VPN互访的另一种方式是通过调整RT(RouterTarget,路由目标)收发属性达到路由在多VPN间互通。由现有技术可知,MPLS L3VPN(Multi-Protocol Label Switching Layer 3 VPN,多协议标签交换层三VPN)使用BGP(Border Gateway Protocol,扩展边界网关协议)扩展团体属性——RT属性来控制VPN路由信息的发布。而PE路由器上的VPN实例有两类RT属性:Export Target属性和Import Target属性;其中,在本地PE将从与自身直连的站点学到的VPN-IPv4路由发布给其它PE之前,需要为这些路由设置Export Target属性;而在接收到其它PE路由器发布的VPN-IPv4路由时,检查其Export Target属性,只有当此属性与PE上VPN实例的Import Target属性匹配时,才将路由加入到相应的VPN路由表中。也即,RT属性定义了一条VPN-IPv4路由可以为哪些站点所接收、以及PE路由器可以接收哪些站点发送来的路由。结合以上内容,下面仍以VPN-A访问远端VPN-B的流量转发过程为例进行说明:
首先在本端PE上配置VPN-A的Import Target属性值,添加一条值等于远端PE的VPN-B的Export Target属性值的项,这样本地PE的VPN-A就可以接收到远端PE的VPN-B路由表项,在本地PE的VPN-A路由表中可以查找到去往远端PE的VPN-B的路由;当流量从本端PE的VPN-A的接口收到时,查找路由表即可转发到远端PE的VPN-B中。处理返回流量的流程相同,需要在远端PE的VPN-B的Import Target添加一条本端PE的VPN-A的Export Target属性,这样本端的VPN-A的路由同样被远端PE的VPN-B所接收,从而使返回流量可以顺利转发回本地PE的VPN-A中。
上述现有技术的缺陷在于,无论是采用哪种方式,PE设备上都需要配置复杂的跨VPN互访规则,在有互访需求的VPN数量较多时,就会给处于关键节点的PE设备造成过重的负担,影响网络的稳定运行。
进一步,在跨VPN访问的同时通常还伴随着对互访流量进行安全控制的需求。现有技术中实现跨VPN访问并对互访流量进行安全控制的典型组网结构如图1所示,包括CE设备11、PE设备12及防火墙设备13。其中,PE设备12如上所述通过配置多角色主机功能结合静态路由VPN渗透技术、或者通过调整RT收发属性来实现VPN间的互访;而出于由硬件普遍配置较低而造成对MPLS标签处理支持能力较差的原因,防火墙设备13只能是应用在CE设备11与PE设备12之间,作为MCE(多角色CE)设备,通过启用多VPN实例实现对互访流量的安全控制。
在上述的组网结构中,PE与防火墙设备是各自独立运作,PE设备仍要为互访流量转发承担较重的负荷;而防火墙设备也需要支持VPN多实例并维持多张VPN路由表,同样造成资源消耗大、设备负担重。
发明内容
本发明的实施例旨在提供在MPLS L3 VPN环境下的一种实现跨VPN互访的装置及方法,以解决现有技术中实现VPN间互访的方案对设备造成负担较重的问题。
为实现上述目的,本发明的实施例提供了一种实现跨虚拟专用网VPN互访的装置,包括提供商边缘路由器PE设备,且所述PE设备连接至与存在互访需求的VPN绑定的用户边缘路由器CE设备,该装置还包括:插接在所述PE设备上的防火墙板卡,
所述PE设备,配置有与各VPN绑定的PE侧子接口,用于通过与源VPN对应的PE侧子接口接收来自所述CE设备的源VPN互访流量并转发至所述防火墙板卡;
所述防火墙板卡,用于根据预先配置的静态路由将所述源VPN互访流量发回PE设备上与目的VPN对应的PE侧子接口,以向目的VPN转发。
本发明的实施例还提出一种如上所述装置的实现跨VPN互访的方法,包括以下步骤:
S1、所述PE设备通过与源VPN对应的PE侧子接口接收来自所述CE设备的源VPN互访流量,并根据源VPN路由表中添加的缺省路由将该互访流量转发至所述防火墙板卡;
S2、所述防火墙板卡根据预先配置的静态路由,将所述源VPN互访流量发回所述PE设备上与目的VPN对应的PE侧子接口,以向目的VPN转发。
由上述技术方案可知,本发明的实施例采用防火墙板卡与PE设备配合实现跨VPN的互访,配置部署更为简单,同时大大降低了设备的负载压力。
附图说明
图1为现有技术中跨VPN互访的典型组网结构图;
图2为本发明实现跨VPN互访的装置实施例结构图;
图3为本发明实现跨VPN互访的方法实施例流程图;
图4为应用本发明实现跨VPN互访的装置及方法的组网结构示意图。
具体实施方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只用于举例说明,并不用于限制本发明。
图2为本发明实现跨VPN互访的装置实施例结构图,如图所示,本实施例的装置包括:与CE设备21连接的PE设备22及防火墙板卡23,其中:CE设备21与各VPN绑定,并与属于不同VPN的用户终端连接,用于进行用户终端与PE设备22之间的流量转发;PE设备22,配置有多个与各VPN绑定的PE侧子接口,用于通过与源VPN对应的PE侧子接口接收来自CE设备21的源VPN互访流量再转发至防火墙板卡23,随后将经过防火墙板卡23处理后发回的互访流量通过MP-BGP(Multiple Protocol-BGP,多协议扩展边界网关协议)网络发送至目的VPN;防火墙板卡23,通过PE设备22的背板接口与其插接,且配置有多个分别与PE侧子接口对应的防火墙侧子接口,并为存在互访需求的VPN配置有静态路由,防火墙板卡23则根据配置的静态路由将源VPN互访流量发回PE设备22上与目的VPN对应的PE侧子接口,以向目的VPN转发。
此处需要说明的是,目前以太网技术中子接口均约定俗成统称为vlan(virtual local area network,虚拟局域网)子接口,本说明书中上述PE侧子接口、防火墙侧子接口均意指vlan子接口,省去“vlan”而各加上“PE侧”或“防火墙侧”是仅为了行文简练并便于区分。
继续如图2所示,本实施例的PE设备22进一步包括PE子接口管理单元221及路由表项配置单元222,其中:
PE子接口管理单元221,用于在PE设备22上划分多个PE侧子接口,并将各PE侧子接口分别与不同VPN进行绑定,具体的绑定操作属于现有技术的内容,在本实施例中,可以是将PE设备的一个物理接口划分为多个虚拟的vlan子接口,然后在每个子接口上配置binding命令将其与各VPN的路由表项绑定;从而,来自CE设备21的源VPN互访流量的接收以及接续向防火墙板卡23的转发,可通过与源VPN对应的PE侧子接口进行;而经防火墙板卡23处理后的互访流量的接收以及接续向目的VPN的转发,则通过与目的VPN对应的PE侧子接口进行;
路由表项配置单元222,用于存储各VPN的路由表项,并在有互访需求的VPN路由表中添加一条缺省路由,该缺省路由用于将从与源VPN对应的PE侧子接口接收的互访流量转发至防火墙板卡23上与该PE侧子接口对应的防火墙侧子接口;这样,PE设备22通过与源VPN对应的PE侧子接口接收到来自CE设备21的源VPN访问流量后,可直接按现有方式处理通过查VPN路由表进行转发,如果是VPN内部访问流量则按正常VPN路由直接转发,如果是互访流量则匹配到添加的缺省路由上,从而指向对应的防火墙侧子接口,进而由PE子接口管理单元221将互访流量从与源VPN对应的PE侧子接口向该防火墙侧子接口发出。上述VPN内部访问流量与互访流量的区分可以在查路由时根据流量报文中自带的目的地址标识来实现。
上述本实施例的防火墙板卡23则具体包括防火墙子接口管理单元231、流量安全控制单元232、静态路由配置单元233、VPN实例维护单元234,其中:
防火墙子接口管理单元231用于在防火墙板卡23上划分多个防火墙侧子接口,各防火墙侧子接口分别与PE侧子接口对应,但不需要像PE设备配置的PE侧子接口那样与各VPN单独绑定;
静态路由配置单元233,用于根据VPN网段地址为存在互访需求的VPN配置静态路由,该静态路由所含的信息包括:目的VPN的网段地址、与目的VPN对应的收流量PE侧子接口、以及与该收流量PE侧子接口对应的出流量防火墙侧子接口,用于将PE设备22转发的源VPN互访流量转发至目的VPN对应的PE侧子接口。结合以上防火墙子接口管理子单元231的描述可以理解,防火墙侧子接口在收到由与源VPN对应的PE侧子接口发出的互访流量后,根据流量中携带的目的VPN网段地址在静态路由配置单元223中查询路由,能够得到该流量下一跳指向的目的VPN对应的收流量PE侧子接口。
另外,由上述内容可知,防火墙子接口管理单元231配置的所有防火墙侧子接口无需单独跟VPN进行绑定,而静态路由配置单元233配置的所有静态路由也都可以置于一个表项当中,从任一防火墙侧子接口接收的流量都可以直接根据其中的目的VPN网段地址在该表项中查询路由进行转发。然而,当网络中存在不同VPN的网段地址重叠情况时,根据静态路由配置单元233进行路由查询则会出现错误。因此,本实施例装置的防火墙板卡23还包括VPN实例维护单元234,其分别与防火墙子接口管理单元231及静态路由配置单元233连接,用于为网段地址重叠的多个VPN分别维护单独的静态路由表项,并将各表项分别与接收该VPN流量的防火墙侧子接口进行绑定,这样PE设备22转发的目的VPN网段地址重叠的VPN互访流量从对应的防火墙侧子接口进入时,直接查询与该子接口绑定的目的VPN静态路由表项进行转发,从而不会由于网段地址重叠而造成路由查询错误。
流量安全控制单元232,用于根据预设的安全规则对PE设备22转发的源VPN互访流量进行安全控制管理;具体的安全规则包括ACL设置的允许/禁止流量通过、或使能攻击防范功能等,安全控制单元232根据安全规则对互访流量进行检查,符合转发规则的才允许该流量发回PE设备22以向目的VPN转发,如果发现流量符合禁止规则或者含有攻击流量的特征等则将流量在本地丢弃,不予转发;该部分的具体实现与现有技术的防火墙设备完全相同,其也并非本方案的发明点所在,此处不再加以赘述。此处需要说明的是,由于防火墙板卡需要先得知流量的出接口及目标入接口才能够根据安全规则进行丢弃、允许通过的安全控制处理,因此互访流量进入防火墙板卡后,需要先经过查询静态路由表项配置单元233得到该流量下一跳指向的目的VPN对应的收流量PE侧子接口,再经过流量安全控制单元232进行安全控制管理,最后将符合安全规则的互访流量从对应的防火墙侧子接口向该PE侧子接口发出。
综上所述,本实施例的装置通过采用防火墙板卡,与PE设备配合可同时实现跨VPN的访问及对互访流量的安全控制,配置部署更为简单。同时,在PE设备上免去了复杂互访规则的配置,仅为存在互访需求的VPN增加了一条缺省路由配置;防火墙板卡上也无需再为每个VPN维护实例,而是通过静态路由的方式将经过安全控制的互访流量发回PE设备进行转发;因此大大降低了设备的负载压力。另外需要说明的是,在网络中出现网段地址重叠的VPN时,防火墙板卡还是要通过维护多个VPN实例的方式进行流量的区分,但只有在全网所有VPN的地址全部重叠的极端情形下,本实施例的防火墙板卡才会与现有技术中的防火墙设备维护同样数目的VPN实例,因此在绝大部分非极端的情形下,防火墙板卡的负载压力都比现有技术的防火墙设备要小。
结合上述装置实施例的说明,本发明实现VPN间互访安全控制的方法实施例流程如图3所示,包括以下步骤:
S301、在PE设备上划分多个PE侧子接口绑定至不同VPN,在防火墙板卡上划分多个防火墙侧子接口与PE侧子接口对应;
S302、在PE上为存在互访需求的VPN配置缺省路由,在防火墙板卡上根据网段地址为存在互访需求的VPN配置静态路由;
以上两个步骤属于配置阶段;
为实现跨VPN的访问,首先需要在PE设备上划分多个PE侧子接口并对应与各VPN进行绑定,具体的绑定操作可以是将PE设备的一个物理接口划分为多个虚拟的vlan子接口,然后在每个子接口上配置binding命令将其与各VPN的路由表项绑定;同时,防火墙板卡上也需划分多个防火墙侧子接口与PE侧子接口对应,但无需像PE侧子接口那样与各VPN进行绑定。
接下来,PE设备还需要在有互访需求的VPN的路由表中配置一条缺省路由,用于将源VPN的互访流量转发至对应的防火墙侧子接口;而防火墙板卡上则为有互访需求的所有目的VPN配置静态路由,该静态路由所含的信息包括:目的VPN的网段地址、与目的VPN对应的收流量PE侧子接口、以及与该PE侧子接口对应的出流量防火墙侧子接口,用于将PE设备转发的源VPN互访流量转发至目的VPN对应的PE侧子接口。
进一步地,在步骤S301中配置防火墙侧子接口时,如上所述一般情形下所有的防火墙侧子接口都无需单独与各VPN进行绑定;而步骤S302中防火墙板卡配置静态路由时,绝大多数情形下也只需将所有目的VPN对应的静态路由置于一个路由表项中进行维护;从而任一防火墙侧子接口接收的源VPN互访流量,都可根据流量中的目的VPN网段地址在该表项中查到转发路由。然而,在出现多个目的VPN网段地址重叠的情形时,如果所有流量均根据网段地址在一个路由表中进行查询转发则会出现错误。由于目前VPN网段地址通常是由用户手动进行配置,所以网段地址发生重叠的情形完全有可能发生,为解决这个问题,本实施例的方法还需要在上述步骤S301及S302的配置之后加入一个多VPN实例维护的步骤,即:为网段地址重叠的多个VPN分别维护单独的静态路由表项,并将各表项分别与接收该VPN流量的防火墙侧子接口进行绑定。这样,去往这些VPN的互访流量在从对应的防火墙侧子接口进入时,直接查询与该子接口绑定的目的VPN静态路由表项进行转发,从而不会由于网段地址重叠而造成路由查询错误。
同时,对于去往其他网段地址不冲突的目的VPN的互访流量,则仍然从属于公共VPN的对应防火墙侧子接口进入,并通过查询公共的静态路由表项进行转发。因此,以上多VPN实例维护的步骤应属于配置的可选步骤,在网络中不存在VPN网段地址重叠的情形时,此步骤可以省略。
S303、PE设备将来自CE设备的源VPN互访流量转发至防火墙板卡;
通过步骤S301~S302的配置,来自源VPN的流量进入PE设备的物理接口后,由PE设备根据流量自带的vlan标识分配进入对应的子接口,从而可以直接在与该子接口绑定的源VPN路由表项中查询转发路由。如果该流量是普通的VPN内部访问,则可以通过查路由进行正常转发;如果该流量是跨VPN访问的流量,则根据源VPN路由表项中增加的缺省路由,将该互访流量转发至防火墙板卡上与该PE侧子接口对应防火墙侧子接口。
S304、防火墙板卡对PE设备转发的源VPN互访流量进行安全控制;
S305、防火墙板卡将互访流量发回PE设备,以向目的VPN转发。
防火墙板卡收到上述PE设备转发的互访流量后,首先根据流量中携带的目的VPN网段地址查询静态路由表项得到下一跳指向的PE侧子接口,然后根据预设的安全规则对该互访流量进行安全控制管理,再将允许通过的流量由出接口打上与目的VPN对应的vlan标识后向上述PE侧子接口发出。这里,之所以先查路由再进行安全控制,是因为防火墙板卡需要先得知流量的出接口及目标入接口才能够根据安全规则进行丢弃、允许通过的安全控制处理;具体的安全控制管理属于现有技术的内容,并且已在上述装置实施例中提及,此处不再复述。
另外需要说明的是,一般情形下,上述防火墙板卡仅需直接根据流量中目的VPN网段地址查询公共配置的静态路由表项;但在有目的VPN网段地址发生重叠的情形时,去往这些目的VPN的流量通过对应的防火墙侧子接口进入后,会在单独为各目的VPN配置并与对应子接口绑定的静态路由表项中查询转发路由,该情形已在步骤S301~S302中详细说明,此处不再复述。
最后,PE设备收到由防火墙板卡发回的互访流量时,同样根据vlan标识查询与对应子接口绑定的目的VPN路由表项,进而通过查询路由得以正常转发。
关于上述方法实施例需要说明的是,由于步骤S302中在防火墙板卡配置静态路由需要根据VPN网段地址手动进行,因此要求事先能了解全网的IP地址规划情况。考虑到本发明技术方案主要针对金融、电力、政府和教育等行业专网对象提出,因此部署时都会详细规划全网IP地址,不会对本方法实施例的应用造成问题。
根据上述装置及方法实施例的内容,以下结合图4的组网结构对应用本发明装置及方法的跨VPN互访流程具体描述如下:
S401、由VPN-A去往VPN-B中终端IP6的流量首先通过CE设备41转发进入PE设备42中与VPN-A绑定的PE侧子接口G1/1.100(其中“G1/1”为物理接口的标识,而“100”即为VPN-A的vlan标识)
S402、PE设备42上预先配置有对应VPN-A的缺省路由,其下一跳指向防火墙板卡43上与同绑定至VPN-A的PE侧子接口G2/1.100对应的防火墙侧子接口地址IP3,从而去往IP6的流量根据此缺省路由通过PE侧子接口G2/1.100发往防火墙侧子接口int vlan 100
S403、防火墙板卡43收到该流量后,首先查询根据VPN网段地址配置的静态路由表,得到去往VPN-B的流量下一跳指向PE侧子接口G2/1.200(其中“200”即为VPN-B的vlan标识)的地址IP5,然后根据预设的安全规则对该流量进行安全访问控制管理,最后将符合安全规则的流量从对应的防火墙侧子接口int vlan 200发往PE侧子接口G2/1.200;
本步骤防火墙板卡在查询与互访流量匹配的静态路由时,如果该流量去往的VPN-B不存在与其他VPN网段地址发生重叠的情形,防火墙板卡从intvlan 100收到的互访流量会进入预先配置的公共静态路由表项中查询转发路由;如果该流量去往的VPN-B与其他VPN的网段地址存在重叠时,则由上述方法实施例步骤S301~S302的详细说明可知,防火墙板卡会预先为VPN-B维护单独的静态路由表项,并且接收该流量的防火墙侧子接口int vlan 100会直接与该表项绑定,从而防火墙板卡通过int vlan 100收到该流量后能够直接在与int vlan 100绑定的静态路由表项中查询转发路由。
S404、PE设备42收到防火墙板卡43发回的流量后,通过查询VPN-B的路由表,将该流量通过MP-BGP网络发往远端IP6地址对应的PE设备。
综上所述,本发明的实施例采用防火墙板卡,与PE配合同时实现跨VPN的访问,同时可完成对互访流量的安全控制。与现有技术比较,在配置方面:PE上减少了复杂的VPN互访规则配置,而为存在互访需求的VPN增加了一条缺省路由;防火墙板卡则避免了多VPN实例的维护,而增加了对应每个VPN网段地址的静态路由配置。在设备负载方面:PE设备不需要为源VPN引入目的VPN的对应路由,只需配置一条缺省路由指向防火墙板卡,路由条数大大减小;防火墙板卡则不需要维护多张VPN路由表,减轻了转发流量时的查表压力。因此本发明的装置及方法较现有技术而言,配置更为简单,并且大大减轻了设备的负载压力。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
Claims (11)
1、一种实现跨虚拟专用网VPN互访的装置,包括提供商边缘路由器PE设备,且所述PE设备连接至与存在互访需求的VPN绑定的用户边缘路由器CE设备,其特征在于,该装置还包括:插接在所述PE设备上的防火墙板卡,
所述PE设备,配置有与各VPN绑定的PE侧子接口,用于通过与源VPN对应的PE侧子接口接收来自所述CE设备的源VPN互访流量并转发至所述防火墙板卡;
所述防火墙板卡,用于根据预先配置的静态路由将所述源VPN互访流量发回PE设备上与目的VPN对应的PE侧子接口,以向目的VPN转发。
2、如权利要求1所述实现跨VPN互访的装置,其特征在于,所述PE设备具体包括:
PE子接口管理单元,用于配置分别与各VPN绑定的PE侧子接口,并通过所述PE侧子接口收发对应VPN的互访流量;
路由表项配置单元,用于存储各VPN的路由表项并为存在互访需求的VPN添加缺省路由,所述缺省路由用于将从与源VPN对应的PE侧子接口接收的互访流量转发至所述防火墙板卡。
3、如权利要求1所述实现跨VPN互访的装置,其特征在于,所述防火墙板卡具体包括:
静态路由配置单元,根据网段地址为存在互访需求的VPN配置静态路由,所述静态路由用于将所述PE设备转发的源VPN互访流量转发至目的VPN对应的PE侧子接口;
防火墙子接口管理单元,用于配置分别与各所述PE侧子接口对应的防火墙侧子接口,并通过对应的防火墙侧子接口接收由所述PE设备转发的源VPN互访流量,再根据查询所述静态路由配置单元配置的静态路由,将该互访流量转发至目的VPN对应的PE侧子接口。
4、如权利要求3所述实现跨VPN互访的装置,其特征在于,所述防火墙板卡还包括:
VPN实例维护单元,与所述防火墙子接口管理单元及静态路由配置单元连接,用于为网段地址重叠的多个目的VPN分别维护单独的静态路由表项,并将各表项分别与接收对应目的VPN的互访流量的防火墙侧子接口进行绑定,以对发往网段地址重叠的多个目的VPN的互访流量进行区分。
5、如权利要求3或4所述实现跨VPN互访的装置,其特征在于,所述防火墙板卡还包括:
流量安全控制单元,用于在所述防火墙子接口管理单元将源VPN互访流量发回目的VPN对应的PE侧子接口之前,根据预设的安全规则对所述源VPN互访流量进行安全控制管理。
6、一种应用如权利要求1所述装置实现跨VPN互访的方法,其特征在于,包括以下步骤:
S1、所述PE设备通过与源VPN对应的PE侧子接口接收来自所述CE设备的源VPN互访流量,并根据源VPN路由表中添加的缺省路由将该互访流量转发至所述防火墙板卡;
S2、所述防火墙板卡根据预先配置的静态路由,将所述源VPN互访流量发回所述PE设备上与目的VPN对应的PE侧子接口,以向目的VPN转发。
7、如权利要求6所述实现跨VPN互访的方法,其特征在于,所述步骤S1具体包括:
S11、所述PE设备根据流量中携带的与源VPN对应的vlan标识,将从物理接口收到的源VPN互访流量上传至对应的PE侧子接口;
S12、所述PE设备根据查询与该PE侧子接口绑定的源VPN路由表,得到预先添加入所述源VPN路由表中用于源VPN互访流量转发的缺省路由;
S13、所述PE设备根据查询得到的缺省路由将所述源互访流量转发至所述防火墙板卡上预先配置的对应防火墙侧子接口。
8、如权利要求6所述实现跨VPN互访的方法,其特征在于,所述步骤S2具体包括:
S21、所述防火墙板卡收到PE设备转发的源VPN互访流量后,根据流量中携带的目的VPN网段地址在预先配置用于互访流量转发的公共静态路由表项中查询匹配的静态路由;
S22、所述防火墙板卡根据查询得到的匹配静态路由,在所述源VPN互访流量中写入与目的VPN对应的vlan标识后,将该流量发回对应的PE侧子接口。
9、如权利要求8所述实现跨VPN互访的方法,其特征在于,预先为网段地址重叠的多个目的VPN分别维护单独的静态路由表项、并将各单独静态路由表项分别与接收对应目的VPN的互访流量的防火墙侧子接口进行绑定的步骤,则所述步骤S2具体包括:
S21’、防火墙板卡收到PE设备转发的源VPN互访流量时,如果该流量是接收自与某个单独静态路由表项绑定的防火墙侧子接口,则根据目的VPN网段地址在该单独静态路由表项中查询匹配的静态路由,之后转所述步骤S22;否则按所述步骤S21进行处理之后转步骤S22。
10、如权利要求8或9所述实现跨VPN互访的方法,其特征在于,所述步骤S2之后还包括:
S31、所述PE设备根据流量中携带的与目的VPN对应的vlan标识,将从物理接口收到的由防火墙板卡发回的源VPN互访流量上传至对应的PE侧子接口;
S32、所述PE设备根据查询与该PE侧子接口绑定的目的VPN路由表项将所述源VPN互访流量发往目的VPN。
11、如权利要求8或9所述实现跨VPN互访的方法,其特征在于,在所述步骤S21或S21’防火墙板查询匹配的静态路由与所述步骤S22防火墙板卡将互访流量发回PE设备之间还包括:
所述防火墙板卡根据预设的安全规则对所述源VPN互访流量进行安全控制管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101481224A CN101582830B (zh) | 2009-06-22 | 2009-06-22 | 一种实现跨虚拟专用网互访的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101481224A CN101582830B (zh) | 2009-06-22 | 2009-06-22 | 一种实现跨虚拟专用网互访的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582830A true CN101582830A (zh) | 2009-11-18 |
| CN101582830B CN101582830B (zh) | 2011-12-21 |
Family
ID=41364798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101481224A Expired - Fee Related CN101582830B (zh) | 2009-06-22 | 2009-06-22 | 一种实现跨虚拟专用网互访的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101582830B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011113357A1 (zh) * | 2010-03-18 | 2011-09-22 | 中兴通讯股份有限公司 | 路由映射的处理方法及运营商边界设备 |
| CN102970229A (zh) * | 2012-12-18 | 2013-03-13 | 网神信息技术(北京)股份有限公司 | 数据转发的方法及装置 |
| CN103716244A (zh) * | 2013-12-27 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种实现组播跨vpn转发的方法及装置 |
| CN103731348A (zh) * | 2012-10-15 | 2014-04-16 | 中国移动通信集团江苏有限公司 | 一种ims网络报文分发方法及装置 |
| CN106534153A (zh) * | 2016-11-30 | 2017-03-22 | 广东科达洁能股份有限公司 | 基于互联网建立桥接专线系统 |
| CN107040469A (zh) * | 2015-12-30 | 2017-08-11 | 丛林网络公司 | 网络设备及方法 |
| CN108965092A (zh) * | 2018-07-24 | 2018-12-07 | 新华三技术有限公司 | 一种数据报文传输方法和装置 |
| US20190013967A1 (en) * | 2015-07-17 | 2019-01-10 | Nec Corporation | Communication system, communication device, communication method, terminal, non-transitory medium |
| CN109412952A (zh) * | 2018-12-13 | 2019-03-01 | 北京华三通信技术有限公司 | 路由信息发布方法及装置 |
| CN114866467A (zh) * | 2022-05-27 | 2022-08-05 | 济南浪潮数据技术有限公司 | 一种集群通信方法、装置、系统、设备及可读存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003268533A1 (en) * | 2002-09-06 | 2004-03-29 | O2Micro, Inc. | Vpn and firewall integrated system |
| CN100417078C (zh) * | 2004-05-10 | 2008-09-03 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
-
2009
- 2009-06-22 CN CN2009101481224A patent/CN101582830B/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011113357A1 (zh) * | 2010-03-18 | 2011-09-22 | 中兴通讯股份有限公司 | 路由映射的处理方法及运营商边界设备 |
| CN103731348B (zh) * | 2012-10-15 | 2018-06-26 | 中国移动通信集团江苏有限公司 | 一种ims网络报文分发方法及装置 |
| CN103731348A (zh) * | 2012-10-15 | 2014-04-16 | 中国移动通信集团江苏有限公司 | 一种ims网络报文分发方法及装置 |
| CN102970229A (zh) * | 2012-12-18 | 2013-03-13 | 网神信息技术(北京)股份有限公司 | 数据转发的方法及装置 |
| CN103716244A (zh) * | 2013-12-27 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种实现组播跨vpn转发的方法及装置 |
| CN103716244B (zh) * | 2013-12-27 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种实现组播跨vpn转发的方法及装置 |
| US20190013967A1 (en) * | 2015-07-17 | 2019-01-10 | Nec Corporation | Communication system, communication device, communication method, terminal, non-transitory medium |
| US11870604B2 (en) * | 2015-07-17 | 2024-01-09 | Nec Corpoation | Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network |
| CN107040469A (zh) * | 2015-12-30 | 2017-08-11 | 丛林网络公司 | 网络设备及方法 |
| CN106534153A (zh) * | 2016-11-30 | 2017-03-22 | 广东科达洁能股份有限公司 | 基于互联网建立桥接专线系统 |
| CN108965092A (zh) * | 2018-07-24 | 2018-12-07 | 新华三技术有限公司 | 一种数据报文传输方法和装置 |
| CN108965092B (zh) * | 2018-07-24 | 2020-11-06 | 新华三技术有限公司 | 一种数据报文传输方法和装置 |
| CN109412952A (zh) * | 2018-12-13 | 2019-03-01 | 北京华三通信技术有限公司 | 路由信息发布方法及装置 |
| CN109412952B (zh) * | 2018-12-13 | 2019-09-06 | 北京华三通信技术有限公司 | 路由信息发布方法及装置 |
| CN114866467A (zh) * | 2022-05-27 | 2022-08-05 | 济南浪潮数据技术有限公司 | 一种集群通信方法、装置、系统、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582830B (zh) | 2011-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101582830B (zh) | 一种实现跨虚拟专用网互访的装置及方法 | |
| CN101599901B (zh) | 远程接入mpls vpn的方法、系统和网关 | |
| CN100505674C (zh) | 一种虚拟专用网内的报文转发方法、系统和边缘设备 | |
| US9485115B2 (en) | System and method for enabling conversational learning in a network environment | |
| CN101764752B (zh) | 远程集中镜像管理的方法和系统 | |
| CN100571197C (zh) | 一种结合网络地址转换的提供商边缘设备及其使用方法 | |
| CN102137024B (zh) | 报文处理方法、出口路由设备及边界路由设备 | |
| EP3633935B1 (en) | Devices, systems and methods for service chains | |
| CN108696434A (zh) | 一种转发数据报文的方法、设备和系统 | |
| CN108702328A (zh) | 用于穿越分段路由和mpls网络的业务的灵活路径拼接和选择的is-is扩展 | |
| US11108683B2 (en) | Techniques for preferred path local switching in EVPN-VPWS | |
| CN107547335A (zh) | 在evpn中信号通知ip地址移动的方法和网络设备 | |
| CN102611618B (zh) | 路由保护切换方法及装置 | |
| EP1811728B2 (en) | Method, system and device of traffic management in a multi-protocol label switching network | |
| CN102037685A (zh) | 通过链路状态协议控制的以太网的ip转发 | |
| CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
| CN100411381C (zh) | 跨不同自治系统的混合网络vpn站点间的通信方法和系统 | |
| US11516112B2 (en) | Optimized layer 3 VPN control plane using segment routing | |
| CN110050445A (zh) | 发送和接收消息的方法、设备和系统 | |
| US11627017B2 (en) | VPWS signaling using segment routing | |
| CN102891903B (zh) | 一种nat转换方法及设备 | |
| US8856274B2 (en) | Method for distributing of routing information for redundant connections | |
| CN103326940A (zh) | 在网络中转发报文的方法和运营商边缘设备 | |
| CN102739519B (zh) | 根基多点服务实现方法、装置和系统、运营商边缘设备 | |
| CN101557334A (zh) | Mpls vpn、其vpn多实例用户边缘设备及其实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111221 Termination date: 20200622 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |