CN103259724B - 一种mpls vpn的实现方法、系统及客户边缘设备 - Google Patents
一种mpls vpn的实现方法、系统及客户边缘设备 Download PDFInfo
- Publication number
- CN103259724B CN103259724B CN201210033633.3A CN201210033633A CN103259724B CN 103259724 B CN103259724 B CN 103259724B CN 201210033633 A CN201210033633 A CN 201210033633A CN 103259724 B CN103259724 B CN 103259724B
- Authority
- CN
- China
- Prior art keywords
- message
- route
- new message
- vpn
- routing iinformation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种MPLS VPN的实现方法、系统及客户边缘设备,所述方法包括:各相关的PE获知客户VPN网络站点的规划路由信息,并生成对应的VRF;在转发VPN内部报文到其他站点时,CE根据接收到的VPN内部报文的目的IP地址查找路由对照表,将源IP地址对应的规划路由及查找到的目的IP地址对应的规划路由分别作为新的源和目的IP地址进行报文封装,将原报文作为新报文的载荷后转发给PE;PE在收到新报文后,进行常规的MPLS VPN处理,根据本地VRF将所述新报文发送到对端PE,由对端PE根据对端PE的VRF将所述新报文发送给对应的对端CE;对端CE对接收到的新报文进行解封装,恢复出原报文,并进行报文转发。
Description
技术领域
本发明涉及通信领域,更具体地涉及一种MPLS(Multi-Protocol LabelSwitching,多协议标记交换)VPN(Virtual Private Network,虚拟专用网)的实现方法、系统及客户边缘设备。
背景技术
MPLS VPN由于其易于获得、广泛的接入措施,以及具有相对比较便宜、可靠、QoS(Quality of Service,服务质量)保证等特性,已经成为典型的网络业务。MPLS VPN主要用于实现不同站点网络间的连接。
如图1所示,站点网络通过客户路由器CE(Customer Edge,客户边缘设备)连接到运营商的边界路由器PE(Provider Edge,运营商边缘设备)上,以实现网络连接,并进行路由交互以及实现报文的转发。目前已经发展出多种VPN技术,常用的是MPLS/BGP(BorderGateway Protocol,边界网关协议)VPN。通过扩展BGP协议携带VPN的路由信息,并通过MPLSLSP(Label Switched Path,标记交换路径)来实现VPN的数据转发。
具体的,如图2所示,BGP/MPLS VPN的实现原理为:CE和PE之间通过静态路由(具体的,由PE的管理员手工配置到VRF(Virtual Routing Forwarding,VPN路由转发表))或者BGP、OSPF(Open Shortest Path First,开放式最短路径优先)、IS-IS(IntermediateSystem to Intermediate System Routing Protocol,中间系统到中间系统的路由选择协议)等路由协议进行路由交互。而PE之间通过MP-BGP(Multi-Protocol BGP,多协议BGP)协议来交互不同站点之间的本地路由,然后再将来自外地的路由扩散到本地的CE中去(对静态配置的情况,则不需要进行扩散)。具体的协议,仍然是前述的动态路由协议。这个过程根据网络部署情况的不同可以有不同的协议 配置需求,例如在自治域内使用I-BGP((Internal-BGP,内部BGP)协议。另外在大型网络部署情况下,进一步可能配置路由反射器(Route Reflector,简称为RR),各PE分别与RR通信,而不是各有关PE间的全互联,从而解决扩展性问题。而报文的转发则是通过现有MPLS VPN的机制,在路由交互的过程中进行标签分配工作,形成VRF,并通过2层标签的封装在MPLS网络中实现转发。
在MPLS VPN的发展过程中,曾经有过两种技术模型的竞争,一种是叠加模型,一种是对等模型。前者在竞争中失败,没有获得发展;而后者由于具有资源的优化使用、扩展性好等优点,已成为主流的MPLS VPN的实现方案。对等模型的VPN部署的前提条件是:客户认为运营商是可信的,因此可以将有关路由信息公开给运营商。
在现有技术的典型实现中,各个客户的VPN的路由可以通过显示命令来进行显示。因此,客户的路由信息实际上是完全暴露给VPN业务提供商的。
另外,不同PE之间在进行路由信息交互时,实际上在某种程度上来说基本上采用类似明文传输的方式,即运营商网络的管理员可以通过简单的工具或者手段截获这些路由信息。
显然,现有的MPLS VPN实现机制存在着严重的信息安全隐患。
发明内容
本发明的目的在于提供了一种MPLS VPN的实现方法、系统及客户边缘设备,以解决传统的MPLS VPN的信息安全的问题。
为解决上述问题,本发明提供了一种多协议标记交换虚拟专用网(MPLS VPN)的实现方法,包括:
各相关的运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息,并生成对应的路由转发表(VRF);
在转发VPN内部报文到其他站点时,客户边缘设备(CE)根据接收到的所述VPN内部报文的目的IP地址查找路由对照表,将源IP地址对应的规 划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给PE;其中,所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系;
所述PE在收到所述新报文后,进行常规的MPLS VPN处理,根据所述PE的VRF将所述新报文发送到对端PE,由所述对端PE根据所述对端PE的VRF将所述新报文发送给对应的对端CE;
所述对端CE对接收到的所述新报文进行解封装,恢复出原报文,并进行报文转发。
进一步地,
所述PE获知客户VPN网络站点的规划路由信息,具体包括:通过在PE中配置静态路由,或者通过CE与PE之间的路由协议进行路由交换获得。
进一步地,
所述MPLS VPN网络内的各CE通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到所述路由对照表中。
进一步地,
所述MPLS VPN网络内的各CE采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。
进一步地,
所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
进一步地,
所述CE封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述对端CE在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若所述对端CE接收到的报文中没有包含所述状态指示信息,则所述对端CE按照常规流程进行处理。
进一步地,所述方法还包括:
所述CE在进行所述新报文的封装时,使用安全协议对所述新报文进行加密传输,对应地,所述对端CE在收到所述新报文后,进行相应的解密处理;其中,所述安全协议包括:因特网协议安全性(IPsec)协议。
进一步地,
所述PE的VRF中包含不可见属性;若所述不可见属性的值被置位为不可见,则不向所述运营商管理员显示所述VRF的路由信息,而只显示所述VRF的摘要信息。
相应地,本发明还提供了一种多协议标记交换虚拟专用网(MPLS VPN)的实现系统,包括:
各相关的各运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息,并生成对应的路由转发表(VRF);
第一客户边缘设备(CE)用于在转发VPN内部报文到其他站点时,根据接收到的所述VPN内部报文的目的IP地址查找路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给第一PE;其中,所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系;
第一PE用于在收到所述新报文后,进行常规的MPLS VPN处理,根据 所述第一PE的VRF将所述新报文发送到对端的第二PE;
所述第二PE用于在收到所述新报文后,进行常规的MPLS VPN处理,根据其VRF将所述新报文发送给对应的第二CE;
所述第二CE用于对接收到的所述新报文进行解封装,恢复出原报文,并进行报文转发。
进一步地,
所述网络中的各PE获知客户VPN网络站点的规划路由信息,具体包括:通过在各PE中配置静态路由,或者通过CE与PE之间的路由协议进行路由交换获得。
进一步地,
所述网络内的各CE通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到所述路由对照表中。
进一步地,
所述VPN内的各CE采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。
进一步地,
所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
进一步地,
所述第一CE封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述第二CE用于在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若判断出未包含所述状态指示信息,则用于按照常规流程进行处理。
进一步地,
所述第一CE还用在进行所述新报文的封装时,使用安全协议对所述新报文进行加密传输;其中,所述加密协议包括:因特网协议安全性(IPsec)协议;
所述第二CE用于对收到的所述新报文进行相应的解密处理。
进一步地,
所述各相关PE的VRF中包含不可见属性;若所述不可见属性的值被置位为不可见,则表示不向所述运营商管理员显示所述VRF的路由信息,而只显示所述VRF的摘要信息。
相应地,本发明还提供了一种客户边缘设备,包括:
路由交换模块,用于通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到路由对照表中;
封装解封装模块,用于在转发VPN内部报文到其他站点时,根据接收到的所述VPN内部报文的目的IP地址在所述路由交换模块内查找所述路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给第一PE;还用于对运营商边缘设备发来的所述新报文进行解封装,恢复出原报文,并进行报文转发。
进一步地,
所述路由交换模块用于采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述路由交换模块在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设 置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系;
其中,所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
进一步地,
所述封装解封装模块封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述封装解封装模块用于在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若判断出未包含所述状态指示信息,则用于按照常规流程进行处理。
进一步地,所述客户边缘设备还包括加解密模块:
所述加解密模块用于在所述封装解封装模块完成所述新报文的封装或解封装时,使用安全协议对所述新报文进行加密或解密处理;其中,所述安全协议包括:因特网协议安全性(IPsec)协议。
采用本发明后,既能满足组网的需求,同时,在对业务进行了基本的配置后,运营商看不到用户的信息。并且,运营商在客户网络发生故障时,仍然可以对网络进行诊断。
附图说明
图1为现有技术中典型的MPLS VPN网络结构示意图;
图2为现有技术中典型的MPLS VPN网络路由交互和报文转发示意图;
图3为本发明实施例中MPLS VPN业务的实现流程图;
图4为本发明实施例中CE装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
下面结合附图和具体实施方式对本发明作进一步详细的说明。
本实施例使用的方法仍然是利用现有MPLS VPN的机制,但是采用对MPLS VPN中涉及的有关网元进行功能增强,并对CE-PE间的信息交互加以适当的限制的方式来实现。
具体的,向PE中公开少量的虚假路由,或者称之为规划路由,该规划路由信息可以是公网路由,也可以是私网路由,使用这些规划路由来实现VPN中不同站点间的报文的转发。这就好像CE只有一条路由信息的情形一样。少量是指,一般只有一条或者几条这样的路由,具体数量需要根据网络的规模或者有关策略来进行决策。
而站点内详细的路由信息,只有CE掌握。CE在转发报文时,将报文的IP地址转换成对应的规划路由,然后利用现有的MPLS VPN机制实现报文的转发,这样就可以避免将实际的路由信息向运营商网络公开。
如图3所示,在本实施例中,MPLS VPN业务实现的方法,包括以下步骤:
201,运营商网络管理员针对客户的具体要求配置相关PE,以形成一个基本的VPN,具体的生成对应的VRF;其中,配置PE所需的路由信息是客户提供的规划路由(这个情况运营商可能是不知道的,运营商可能以为用户的路由比较少),该规划路由可以由运营商侧的网络管理员通过静态配置,也可以通过动态路由协议获取。该被配置的PE通过MPLS VPN机制形成VRF;
由于规划路由条目一般都比较少,优选使用静态配置,而少用动态路由协议进行路由交互,从而降低实现的复杂性和成本。
202,CE需要建立一张路由对照表,即实际路由信息和规划路由信息的对照表。该路由对照表中包含通告给MPLS VPN骨干网络的规划路由和该站点网络内聚合路由的对应关系。具体的,CE之间通过路由交互以获知其他CE的路由信息,以此生成路由对照表。这个功能可以通过扩展路由协议进行路由通告实现,也可以通过手工配置来实现,主要是因为一般而言,企业VPN网络内不同站点的IP地址分配是有一定规律的。
203,CE在接收到同一VPN网络内的其他站点发来的报文后,首先查看该报文的目的IP地址,通过该目的IP地址查找路由对照表,获得该目的IP地址对应的规划路由信息,即通告给运营商的IP地址。CE重新封装该报文,使用源IP地址对应的规划路由地址及该查找到的通告给运营商的IP地址分别作为源地址和目的地址,形成一个新的IP报文头,而将原来的IP报文作为新封装的报文的载荷,然后将该新封装的报文发送给PE。该新封装的报文还设有一个指示位,用于指示说明该报文经过了一种特殊的封装。
其中,源IP地址对应的规划路由地址可预先配置在CE在,或者,CE可通过在路由对照表中根据源IP地址查找对应表项获得。
为进一步提高信息传输的安全性,CE可以进一步使用IPsec(因特网协议安全性)协议,或者其他加密协议,对该新封装的报文进行加密传输;
204,PE在接收到上述报文后,进行常规的MPLS VPN处理,主要是进行两层标签封装,并通过MPLS网络将有关的报文转发到对端PE;
205,对端PE在收到该报文后,进行常规的MPLS VPN处理,对有关标签进行解封装/剥离处理,根据本地的VRF将IP报文发送到对应的对端CE;
206,对端CE在接收到上述报文后,根据该报文中携带的指示位的状态,获知该报文是经过特殊封装的报文,因此需要进行解封装处理,具体的包括:去除封装报文头,还原出原来的IP报文,然后再将解封装后得到的IP报文转发出去。
如果对端CE收到的报文没有对应的指示状态信息,则该报文不是VPN内部信息,一般是PE-CE之间的路由交互信息,在支持PE-CE间动态路由 实现的情况下,将这些报文交由路由进程进行处理。如果不是路由交互信息,则可直接丢弃。
对返程的IP报文,由于CE和前述流程一样,已经获得有关路由信息,并形成其路由对照表,因此可以依照前述流程进行类似处理。采用上述方法后,可以使得客户的不同站点间实现VPN,但是有关准确的路由信息并不会被发布到运营商网络,从而可保证VPN的信息不被泄露。
对步骤201和202,需要做进一步的说明。
所述路由对照表中的其他站点的对应表项,可以通过配置来形成,或者通过专门设计的协议来进行规划路由和实际路由信息的传递。所述专门设计的协议,可以是对OSPF、IS-IS或者BGP的扩展来实现。
而这些专门设计的协议,具体的,是指在经过CE特别封装的报文中设置指示位,用于指示经过该特别封装的报文的有效载荷中传递的是有关规划路由与路由信息的对应关系。这里,首先CE需要获得本站点网络的路由信息,并进一步将该路由信息和规划路由信息一起发送给其他所有CE,使得其他CE能生成该CE对应的路由表项。
此外,在步骤201中,在配置PE的VRF时,可以赋予VRF一个新的属性,
即VRF详细路由不可见属性,简称不可见属性;所述不可见属性值根据客户的需求确定;若所述不可见属性的被置位为不可见,则不向所述运营商管理员显示具体的配置PE所需的路由信息,而只显示VRF的名称等摘要信息,例如VRF名称、网络连接接口信息和/或带宽参数等等可为运营商可见;
另外,PE的VRF不可见性属性,可以被复位或者清零,以使得VRF的详细路由信息对运营商可见。其值主要是根据用户的要求,公开这些信息给运营商,以帮助用户网络进行排除故障等处理功能。
当然,这个属性可以和上述方法一起使用,也可以独立于上述方法,直 接使用于现有MPLS VPN的实现机制。当独立使用时,也可以部分满足或者改善MPLS VPN的信息保密性要求。
一种CE装置,在实现基本的MPLS VPN CE功能(包括但不限于:路由模块及转发处理模块)的基础上,在本实施例中还增加了如下几个功能模块,如图4所示,包括:
一)、路由交换模块,通过静态配置或者前述专门设计的协议,和VPN中的其他CE实现路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,完成路由对照表;
二)、封装解封装模块,对VPN报文,实现封装和解封装,使得VPN报文通过现有MPLSVPN网络实现传输;具体地,用于在转发VPN内部报文到其他站点时,根据接收到的所述VPN内部报文的目的IP地址在所述路由交换模块内查找所述路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给第一PE;还用于对运营商边缘设备发来的所述新报文进行解封装,恢复出原报文,并进行报文转发;
此外,封装解封装模块封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;相应地,封装解封装模块用于在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若判断出未包含所述状态指示信息,则用于按照常规流程进行处理。
三)、可选的,加解密模块,使用IPsec协议,或者其他安全协议所支持的相关加密算法,实现对VPN内报文的加密和解密处理。
新增加模块和现有模块之间的关系、路由模块和路由交换模块之间,可能存在交互关系,但是在本发明中,一般不建议使用,或者通过这个交互获得的信息,会在CE路由交换模块和其他CE交互过程,也要获得这些信息,形成规划路由和实际路由的对照关系。
封装解封装模块,对报文进行封装处理,可选的,在进一步做了加密处理后,将报文交由转发模块,进行处理。
在本实施例中,一种MPLS VPN的实现系统,包括:
各相关的各运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息,并生成对应的路由转发表(VRF);
第一客户边缘设备(CE)用于在转发VPN内部报文到其他站点时,根据接收到的所述VPN内部报文的目的IP地址查找路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给第一PE;其中,所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系;
第一PE用于在收到所述新报文后,进行常规的MPLS VPN处理,根据所述第一PE的VRF将所述新报文发送到对端的第二PE;
所述第二PE用于在收到所述新报文后,进行常规的MPLS VPN处理,根据其VRF将所述新报文发送给对应的第二CE;
所述第二CE用于对接收到的所述新报文进行解封装,恢复出原报文,并进行报文转发。
较佳地,
所述网络中的各PE获知客户VPN网络站点的规划路由信息,具体包括:通过在各PE中配置静态路由,或者通过CE与PE之间的路由协议进行路由交换获得。
较佳地,
所述网络内的各CE通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到所述路由对照表中。
较佳地,
所述VPN内的各CE采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。
较佳地,
所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
较佳地,
所述第一CE封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述第二CE用于在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若判断出未包含所述状态指示信息,则用于按照常规流程进行处理。
较佳地,
所述第一CE还用在进行所述新报文的封装时,使用安全协议对所述新报文进行加密传输;其中,所述加密协议包括:因特网协议安全性(IPsec)协议;
所述第二CE用于对收到的所述新报文进行相应的解密处理。
较佳地,
所述各相关PE的VRF中包含不可见属性;若所述不可见属性的值被置位为不可见,则表示不向所述运营商管理员显示所述VRF的路由信息,而只显示所述VRF的摘要信息。
综上所述,采用本发明方法,通过MPLS VPN网络可以实现MPLS VPN的信息安全问题。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并非用于限定本发明的保护范围。根据本发明的发明内容,还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种多协议标记交换虚拟专用网(MPLS VPN)的实现方法,包括:
各相关的运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息,并生成对应的路由转发表(VRF);
在转发VPN内部报文到其他站点时,客户边缘设备(CE)根据接收到的所述VPN内部报文的目的IP地址查找路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给PE;其中,所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系;
所述PE在收到所述新报文后,进行常规的MPLS VPN处理,根据所述PE的VRF将所述新报文发送到对端PE,由所述对端PE根据所述对端PE的VRF将所述新报文发送给对应的对端CE;
所述对端CE对接收到的所述新报文进行解封装,恢复出原报文,并进行报文转发;
所述PE的VRF中包含不可见属性;若所述不可见属性的值被置位为不可见,则不向所述运营商管理员显示所述VRF的路由信息,而只显示所述VRF的摘要信息。
2.如权利要求1所述的方法,其特征在于:
所述PE获知客户VPN网络站点的规划路由信息,具体包括:通过在PE中配置静态路由,或者通过CE与PE之间的路由协议进行路由交换获得。
3.如权利要求1所述的方法,其特征在于:
所述MPLS VPN网络内的各CE通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到所述路由对照表中。
4.如权利要求3所述的方法,其特征在于:
所述MPLS VPN网络内的各CE采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。
5.如权利要求4所述的方法,其特征在于:
所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
6.如权利要求1所述的方法,其特征在于:
所述CE封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述对端CE在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若所述对端CE接收到的报文中没有包含所述状态指示信息,则所述对端CE按照常规流程进行处理。
7.如权利要求1~6中任意一项所述的方法,其特征在于,还包括:
所述CE在进行所述新报文的封装时,使用安全协议对所述新报文进行加密传输,对应地,所述对端CE在收到所述新报文后,进行相应的解密处理;其中,所述安全协议包括:因特网协议安全性(IPsec)协议。
8.一种多协议标记交换虚拟专用网(MPLS VPN)的实现系统,包括:
各相关的各运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息,并生成对应的路由转发表(VRF);
第一客户边缘设备(CE)用于在转发VPN内部报文到其他站点时,根据接收到的所述VPN内部报文的目的IP地址查找路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给第一PE;其中,所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系;
第一PE用于在收到所述新报文后,进行常规的MPLS VPN处理,根据所述第一PE的VRF将所述新报文发送到对端的第二PE;
所述第二PE用于在收到所述新报文后,进行常规的MPLS VPN处理,根据其VRF将所述新报文发送给对应的第二CE;
所述第二CE用于对接收到的所述新报文进行解封装,恢复出原报文,并进行报文转发;
所述各相关PE的VRF中包含不可见属性;若所述不可见属性的值被置位为不可见,则表示不向所述运营商管理员显示所述VRF的路由信息,而只显示所述VRF的摘要信息。
9.如权利要求8所述的系统,其特征在于:
所述网络中的各PE获知客户VPN网络站点的规划路由信息,具体包括:通过在各PE中配置静态路由,或者通过CE与PE之间的路由协议进行路由交换获得。
10.如权利要求8所述的系统,其特征在于:
所述网络内的各CE通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到所述路由对照表中。
11.如权利要求8所述的系统,其特征在于:
所述VPN内的各CE采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。
12.如权利要求11所述的系统,其特征在于:
所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
13.如权利要求8所述的系统,其特征在于:
所述第一CE封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述第二CE用于在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若判断出未包含所述状态指示信息,则用于按照常规流程进行处理。
14.如权利要求8~13中任意一项所述的系统,其特征在于:
所述第一CE还用在进行所述新报文的封装时,使用安全协议对所述新报文进行加密传输;其中,所述加密协议包括:因特网协议安全性(IPsec)协议;
所述第二CE用于对收到的所述新报文进行相应的解密处理。
15.一种客户边缘设备,包括:
路由交换模块,用于通过配置,或者与其他站点进行路由交互,获取其它站点的规划路由信息和实际路由信息的对应关系,并保存到路由对照表中;
封装解封装模块,用于在转发VPN内部报文到其他站点时,根据接收到的所述VPN内部报文的目的IP地址在所述路由交换模块内查找所述路由对照表,将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装,将原报文作为新报文的载荷,然后将封装后的新报文转发给第一PE;还用于对运营商边缘设备发来的所述新报文进行解封装,恢复出原报文,并进行报文转发;
所述各相关运营商边缘设备PE的路由转发表VRF中包含不可见属性;若所述不可见属性的值被置位为不可见,则表示不向所述运营商管理员显示所述VRF的路由信息,而只显示所述VRF的摘要信息。
16.如权利要求15所述的客户边缘设备,其特征在于:
所述路由交换模块用于采用专门设计的协议与其他站点进行路由交互;
所述专门设计的协议,是指所述路由交换模块在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中,设置指示位,用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系;
其中,所述专门设计的协议包括:开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。
17.如权利要求15所述的客户边缘设备,其特征在于:
所述封装解封装模块封装的所述新报文的报头中还包括状态指示信息,用于指示所述新报文是对所述原报文进行了再次封装;
所述封装解封装模块用于在接收到所述新报文后,根据所述新报文的报头中包括的状态指示信息进行处理,解封装所述新报文,恢复出所述原报文;若判断出未包含所述状态指示信息,则用于按照常规流程进行处理。
18.如权利要求15~17中任意一项所述的客户边缘设备,其特征在于,还包括加解密模块:
所述加解密模块用于在所述封装解封装模块完成所述新报文的封装或解封装时,使用安全协议对所述新报文进行加密或解密处理;其中,所述安全协议包括:因特网协议安全性(IPsec)协议。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210033633.3A CN103259724B (zh) | 2012-02-15 | 2012-02-15 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
PCT/CN2013/071440 WO2013120427A1 (zh) | 2012-02-15 | 2013-02-06 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210033633.3A CN103259724B (zh) | 2012-02-15 | 2012-02-15 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103259724A CN103259724A (zh) | 2013-08-21 |
CN103259724B true CN103259724B (zh) | 2017-12-29 |
Family
ID=48963435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210033633.3A Active CN103259724B (zh) | 2012-02-15 | 2012-02-15 | 一种mpls vpn的实现方法、系统及客户边缘设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103259724B (zh) |
WO (1) | WO2013120427A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607349B (zh) * | 2013-11-14 | 2017-02-22 | 华为技术有限公司 | 虚拟网络中确定路由的方法及运营商边缘设备 |
CN104702478B (zh) * | 2013-12-10 | 2019-06-11 | 中兴通讯股份有限公司 | 虚拟路由转发实例处理方法及装置 |
CN103746914B (zh) * | 2013-12-31 | 2017-08-18 | 华为技术有限公司 | 建立私网标签与原始vrf对应关系的方法、装置及系统 |
CN105122776B (zh) * | 2014-01-20 | 2019-01-18 | 华为技术有限公司 | 地址获取方法及网络虚拟化边缘设备 |
TW201611534A (zh) * | 2014-09-15 | 2016-03-16 | Chunghwa Telecom Co Ltd | 高速動態智慧型全光交換裝置 |
CN106230793A (zh) * | 2016-07-22 | 2016-12-14 | 安徽皖通邮电股份有限公司 | 一种实现mplsvpn运行在加密的ipvpn之上的方法 |
CN107872387B (zh) * | 2016-09-26 | 2020-10-13 | 中国电信股份有限公司 | 发送vpn路由的方法和系统 |
CN109218258B (zh) * | 2017-06-30 | 2021-01-05 | 华为技术有限公司 | 数据包传输方法及网关设备 |
CN109218200B (zh) * | 2018-11-26 | 2021-05-28 | 新华三技术有限公司 | 一种报文处理方法及装置 |
CN110247836A (zh) * | 2018-12-29 | 2019-09-17 | 锐捷网络股份有限公司 | 基于多运营商网络的通信方法及装置 |
CN110391984B (zh) * | 2019-07-26 | 2022-01-25 | 新华三大数据技术有限公司 | 一种报文转发方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1968184A (zh) * | 2005-11-18 | 2007-05-23 | 杭州华为三康技术有限公司 | 区域网络的链路层通信方法及其应用的网络设备 |
CN101252509A (zh) * | 2007-02-21 | 2008-08-27 | 华耀环宇科技有限公司 | 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法 |
CN101286919A (zh) * | 2007-04-11 | 2008-10-15 | 杭州华三通信技术有限公司 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
CN101471841A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 路由表维护方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8428057B2 (en) * | 2007-03-14 | 2013-04-23 | Cisco Technology, Inc. | Optimizing return traffic paths using network address translation |
CN101521631B (zh) * | 2009-04-14 | 2012-05-23 | 华为技术有限公司 | Vpls网络报文处理方法、设备及系统 |
-
2012
- 2012-02-15 CN CN201210033633.3A patent/CN103259724B/zh active Active
-
2013
- 2013-02-06 WO PCT/CN2013/071440 patent/WO2013120427A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1968184A (zh) * | 2005-11-18 | 2007-05-23 | 杭州华为三康技术有限公司 | 区域网络的链路层通信方法及其应用的网络设备 |
CN101252509A (zh) * | 2007-02-21 | 2008-08-27 | 华耀环宇科技有限公司 | 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法 |
CN101286919A (zh) * | 2007-04-11 | 2008-10-15 | 杭州华三通信技术有限公司 | 虚拟专用网间通过网络地址转换实现互访的方法及装置 |
CN101471841A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 路由表维护方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2013120427A1 (zh) | 2013-08-22 |
CN103259724A (zh) | 2013-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103259724B (zh) | 一种mpls vpn的实现方法、系统及客户边缘设备 | |
US20210314411A1 (en) | Service peering exchange | |
CN104219147B (zh) | 边缘设备的vpn实现处理方法及装置 | |
US7688829B2 (en) | System and methods for network segmentation | |
US9967372B2 (en) | Multi-hop WAN MACsec over IP | |
WO2019105462A1 (zh) | 报文的发送、处理方法及装置,pe节点,节点 | |
US7463597B1 (en) | Spanning tree protocol synchronization within virtual private networks | |
US8830834B2 (en) | Overlay-based packet steering | |
US11228573B1 (en) | Application programming interface exchange | |
CN109863725A (zh) | 基于最大分段标识符深度的分段路由 | |
CN107135133A (zh) | 多家庭pbb‑evpn网络中的水平分割数据包转发 | |
WO2008092357A1 (fr) | Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci | |
CN108702328A (zh) | 用于穿越分段路由和mpls网络的业务的灵活路径拼接和选择的is-is扩展 | |
WO2015165311A1 (zh) | 传输数据报文的方法和供应商边缘设备 | |
CN107070789A (zh) | 主动‑主动pbb‑evpn冗余的流量黑洞避免和快速融合 | |
WO2005122490A1 (fr) | Procede de mise eu place d'un reseau prive virtuel | |
CN102739501B (zh) | 二三层虚拟私有网络中的报文转发方法和系统 | |
CN109076018A (zh) | 利用is-is暴露最大节点和/或链路分段标识符深度的技术 | |
CN112422398B (zh) | 消息传输方法及通信装置 | |
CN103780470B (zh) | 一种is‑is的信息同步方法和装置 | |
CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
CN107018076A (zh) | 一种报文监控方法和装置 | |
CN107018057A (zh) | 通过城域接入网的快速路径内容传送 | |
CN108886494A (zh) | 使用中间系统到中间系统(is-is)的伪线建立和保持的方法和装置 | |
CN107959611A (zh) | 一种转发报文的方法,装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |