CN104219147B - 边缘设备的vpn实现处理方法及装置 - Google Patents

边缘设备的vpn实现处理方法及装置 Download PDF

Info

Publication number
CN104219147B
CN104219147B CN201310222321.1A CN201310222321A CN104219147B CN 104219147 B CN104219147 B CN 104219147B CN 201310222321 A CN201310222321 A CN 201310222321A CN 104219147 B CN104219147 B CN 104219147B
Authority
CN
China
Prior art keywords
vpn
mark
list item
information
edge device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201310222321.1A
Other languages
English (en)
Other versions
CN104219147A (zh
Inventor
廖婷
吴波
代雪会
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201310222321.1A priority Critical patent/CN104219147B/zh
Priority to PCT/CN2014/077585 priority patent/WO2014194749A1/zh
Priority to US14/896,024 priority patent/US20160134591A1/en
Publication of CN104219147A publication Critical patent/CN104219147A/zh
Application granted granted Critical
Publication of CN104219147B publication Critical patent/CN104219147B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/14Routing performance; Theoretical aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L41/122Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]

Abstract

本发明提供了一种边缘设备的VPN实现处理方法及装置,其中,该方法包括:获取VPN应用请求,其中,上述VPN应用请求中携带有VPN的属性配置信息;接收来自VPN下的各个边缘设备的VPN路由信息;向边缘设备发送VPN路由控制信息,其中,VPN路由控制信息为通过对属性配置信息和VPN路由信息进行集中计算处理得到的路由信息。采用本发明提供的上述方案,解决了相关技术中,VPN自动控制方案存在配置及表项内容较为复杂等技术问题,从而可以在统一控制平台下自动控制更简单的配置下发,更集中的表项管理和表项下发,减少了现有设备的配置及表项容量。

Description

边缘设备的VPN实现处理方法及装置
技术领域
本发明涉及通信领域,具体而言,具体涉及一种边缘设备的虚拟私有网(VirtualPrivate Network,简称为VPN)实现处理方法及装置。
背景技术
现在IETF标准组织新成立的一个路由系统接口(Interface to the RoutingSystem,简称为I2RS)工作组,致力于研究一种面向路由系统的接口,目的是为了给现有路由系统一个兼容的、对路由器的策略配置和路由信息库的路由信息表(RoutingInformation Base,简称为RIB)等可进行直接读写的接口。现有相关I2RS的个人草案中描述的大致I2RS模型如图1,其中下半图的虚线框内表示一个路由器内部实现元件。其中I2RS代理(Agent)是为了支持I2RS在路由器上新增的一个元件,以便I2RS客户端(Client)可以通过I2RS Agent获取路由器的配置管理、拓扑路由等相关信息,同时也要支持I2RS Client通过I2RS Agent给路由器下发配置、路由条目指定等信息。该工作组跟现在软件定义网络(Software Defined Network,简称为SDN)相关实现的标准组织开放网络组织(OpenNetwork Foundation,简称为ONF)的一个最大不同在于,I2RS不是直接下发数据面的转发信息库(Forwarding Information Base,简称为FIB)中的转发表,而是通过影响协议路由表的信息影响最终的转发表,如此能更好的跟现有的路由器实现兼容。
VPN是用于物理网络中的逻辑网络隔离技术,当前路由器的多协议标签交换(Multi-Protocol Label Switching,简称为MPLS)VPN的实现一般通过提供商向客户提供二层VPN业务或三层VPN业务来实现,这些业务一般通过MPLS及边界网关协议(BorderGateway Protocol,简称为BGP)来实现,具体包括:运营商向客户提供VPN业务相关的属性信息,客户可以自己根据这些信息来进行用户边缘设备(Customer Edge,简称为CE)配置或通过向运营商授权托管来由运营商代其在CE上进行配置,而运营商则负责打通为该客户提供的VPN业务所需的运营商网络的连通性,包括提供商(又称为运营商)边缘(ProviderEdge,简称为PE)设备及网络内部提供商(Provider,简称为P)设备上的VPN相关连接及配置。由于手动配置存在其配置不灵活、延时大的特性,想要通过自动配置方式来实现。当前的自动配置实现也是在现有配置的基础上通过后台远程下发的方式来实现。并且想要在现有路由器上实现PE表项条目的减少或策略功能,需要在BGP网络中提供集中的路由反射器(Router Reflector,简称为RR)功能,然后继续在反射器上进行复杂的策略配置来实现。而想要实现VPN的保护功能,则要在本地和远端都启用相应的保护功能,才能实现双向保护。
针对相关技术中的上述问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中,VPN自动控制方案存在配置及表项内容较为复杂等技术问题,本发明提供了一种边缘设备的VPN实现处理方法及装置,以至少解决上述问题。
根据本发明的一个方面,提供了一种边缘设备的VPN实现处理方法,包括:获取VPN应用请求,其中,上述VPN应用请求中携带有VPN的属性配置信息;接收来自VPN下的各个边缘设备的VPN路由信息;向边缘设备发送VPN路由控制信息,其中,VPN路由控制信息为通过对属性配置信息和VPN路由信息进行集中计算处理得到的路由信息。
上述VPN路由信息或路由控制信息包括以下至少之一:VPN Table ID、表项条目,其中,VPN Table ID用于在本地标识VPN路由信息生成的表项号。
上述表项条目包括以下至少之一:表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间。
上述VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全不同。
上述表项关键值包括:数据报文的目的地址。
上述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。
上述出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。
上述映射标识包括以下至少之一:远端边缘设备的标识;边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。
上述协议类型用于标识路由系统接口I2RS协议和/或除I2RS协议之外的其它路由协议。
上述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。
上述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用。
上述VPN标识为在控制面与VPN一一对应。
上述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
上述生效时间通过以下至少之一方式实现:根据边缘设备配置或默认的存活时间生效计时;根据网络管理系统下发的生效时间段在边缘设备上同步生效;通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
上述属性配置信息包括以下至少之一:VPN标识、路由目标(Route Target,简称为RT)值设置信息、需要开通VPN的PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。
上述策略信息包括以下至少之一:基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
上述边缘设备包括以下之一:提供商边缘PE设备、用户边缘CE设备。
根据本发明的另一个方面,提供了一种边缘设备的VPN实现处理方法,包括:向网络管理系统发送VPN路由信息;接收来自网络管理系统的VPN路由控制信息,其中,VPN路由控制信为通过对VPN路由信息和网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中计算处理得到的VPN路由信息;根据VPN路由控制信息对边缘设备进行配置。
上述VPN路由信息或路由控制信息包括以下至少之一:
VPN列表标识(Table ID)、表项条目,其中,VPN Table ID用于在本地标识VPN路由信息生成的表项号。
上述表项条目包括以下至少之一:表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,表项关键值包括:数据报文的目的地址;和/或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或协议类型用于标识路由系统接口I2RS协议和/或除I2RS之外的其它路由协议;和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或VPN标识为在控制面与VPN一一对应;和/或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
上述VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全不同。
上述映射标识包括以下至少之一:远端边缘设备的标识;边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。
上述生效时间通过以下至少之一方式实现:根据边缘设备配置或默认的存活时间生效计时;根据网络管理系统下发的生效时间段在边缘设备上同步生效;通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
上述属性配置信息包括以下至少之一:VPN标识、RT值设置信息、需要开通VPN的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。
上述策略信息包括以下至少之一:基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
根据本发明的又一个方面,提供了一种边缘设备的VPN实现处理装置包括:获取模块,用于获取VPN应用请求,其中,VPN应用请求中携带有VPN的属性配置信息;接收模块,用于接收来自VPN下的各个边缘设备的VPN路由信息;发送模块,用于向边缘设备发送VPN路由控制信息,其中,VPN路由控制信息为通过对属性配置信息和VPN路由信息进行集中计算处理得到的路由信息。
上述接收模块和发送模块,分别用于在VPN路由信息和/或VPN路由控制信息包括以下至少之一时接收VPN路由信息和发送VPN路由控制信息:VPN列表标识Table ID、表项条目,其中,VPN Table ID用于在本地标识VPN用户信息生成的表项号。
上述接收模块和发送模块分别用于在表项条目包括以下至少之一时,接收VPN路由信息和发送VPN路由控制信息:表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,表项关键值包括:数据报文的目的地址;和/或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或协议类型用于标识路由系统接口I2RS协议和/或除I2RS之外的其它路由协议;和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或VPN标识为在控制面与VPN一一对应;和/或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
根据本发明的再一个方面,提供了一种边缘设备的VPN实现处理装置,包括:发送模块,用于向网络管理系统发送VPN路由信息;接收模块,用于接收来自网络管理系统的VPN路由控制信息,其中,VPN路由控制信为通过对VPN路由信息和网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中计算处理得到的路由信息;配置模块,用于根据VPN路由控制信息对边缘设备进行配置。
上述接收模块和发送模块分别用于在VPN路由控制信息和/或VPN路由信息包括以下至少之一时,接收VPN路由控制信息和发送VPN路由信息:VPN列表标识Table ID、表项条目,其中,VPN Table ID用于在本地标识VPN路由信息生成的表项号。
上述接收模块和发送模块分别用于在表项条目包括以下至少之一时,接收VPN路由控制信息和发送VPN路由信息:表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,表项关键值包括:数据报文的目的地址;和/或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或协议类型用于标识路由系统接口I2RS协议和/或除I2RS之外的其它路由协议;和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或VPN标识为在控制面与VPN一一对应;和/或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
通过本发明,采用对VPN应用请求和边缘设备的VPN路由信息进行的集中计算处理,将得到的配置及路由控制信息进行下发的技术手段,解决了相关技术中,VPN自动控制方案存在配置及表项内容较为复杂等技术问题,从而可以在统一控制平台下自动控制更简单的配置下发,更集中的表项管理和表项下发,减少了现有设备的配置及表项容量。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为根据相关技术的I2RS模型示意图;
图2为根据本发明实施例的边缘设备的VPN实现处理方法的流程图;
图3为根据本发明实施例的边缘设备的VPN实现处理装置的结构框图;
图4为根据本发明实施例的边缘设备的VPN实现处理方法的另一流程图;
图5为根据本发明实施例的边缘设备的VPN实现处理装置的另一结构框图;
图6为根据本发明优选实施例的I2RS网络的拓扑示意图;
图7为根据本发明优选实施例的I2RS网络的另一拓扑示意图;
图8为根据本发明优选实施例的VPN网络自动控制实现的方法流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图2为根据本发明实施例的边缘设备的VPN实现处理方法的流程图。本实施例中的方法可以但不限于应用于网络管理系统(又称为网管系统,Network Management System,简称为NMS),如图2所示,该方法包括:
步骤S202,获取VPN应用请求,其中,该VPN应用请求中携带有VPN的属性配置信息。在具体实施时,获取VPN应用请求的方式有多种,例如可以通过接收来自VPN侧设备的上述VPN应用请求实现,还可以通过接收来自上层业务的上述VPN应用请求实现;
步骤S204,接收来自VPN下的各个边缘设备的VPN路由信息;此处路由信息一般包括但不限于来自于本地CE侧设备的路由,具体路由信息包括前缀、掩码、下一跳、出接口、路由协议类型、优先级、度量值、主用备用标识、负荷分担标识。
步骤S206,向边缘设备发送VPN路由控制信息,其中,该VPN路由控制信息为通过对上述属性配置信息和上述VPN路由信息进行集中计算处理得到的路由信息。
需要说明的是,上述步骤S202和步骤S204之间的执行顺序并不限于此,例如可以先执行步骤S204,再执行步骤S202。
通过上述各个处理步骤,由于对VPN应用请求和边缘设备的VPN用户信息进行了集中计算处理,即统一控制,因此,可以在统一控制平台下自动控制更简单的配置下发,更集中的表项管理和表项下发,减少了现有设备的配置及表项容量。
在本实施例中,在接收来自边缘设备的VPN用户信息(主要表现为路由信息)之前,还可以根据VPN应用请求和本地网络拓扑信息确定上述边缘设备。根据上述VPN应用请求和本地网络拓扑信息确定上述边缘设备之后,根据上述指定信息及网管系统已收集的拓扑信息,生成VPN配置信息;向上述边缘设备下发VPN配置信息,其中,上述边缘设备根据上述VPN配置信息生成上述VPN用户信息。
在本实施例中,VPN用户信息包括以下至少之一:VPN Table ID、表项条目,其中,VPN Table ID用于在本地标识VPN用户信息生成的表项号,以便I2RS Client直接读写所述VPN相关表项。
上述表项条目包括以下至少之一:表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间。
通过上述实施例可以看出,VPN路由控制信息为网管系统经由策略计算处理的VPN路由信息,可以表现为两者表项条目的变化。即上述VPN路由信息中的表项条目和上述路由控制信息中的表项条目部分相同或完全不同。
上述表项关键值包括:数据报文的目的地址。具体在L2VPN中表现为MAC地址,在L3VPN中表现为IP地址,当然也不局限于目的地址,还可以是根据需要由数据报文中解析出来的有效字段,如源地址,端口号等亦可支持。
上述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。对等体标识具体表现为和边缘设备建立邻居的发布该表项关键值的远端边缘设备的标识,一般为标识远端边缘设备的loopback的IP地址,或建链接口的IP地址。
上述出接口在边缘设备发送给上述网络管理系统时为上述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。上述映射标识包括以下至少之一:远端边缘设备的标识;边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。具体地,上述映射标识可以表现为本地隧道标识(ID),该本地隧道ID表明本地到远端边缘设备的端到端连接,可以为通用路由封装(Generic RoutingEncapsulation,简称为GRE)隧道ID、资源预留协议(Resource Reserve Protocol,简称为RSVP)流量工程(Traffic Engineering,简称为TE)隧道ID、标签交换路径(Label SwitchedPaths,简称为LSP)隧道ID。
上述协议类型用于标识I2RS协议和/或除该I2RS协议之外的其它路由协议。上述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。
上述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用,以便多个下一跳分别携带主用备用标识下发。
VPN标识为在控制面与VPN一一对应,即VPN标识用以在控制面全局唯一标识一个VPN,其包括但不限于用路由目标(Route Target,简称为RT)方式来实现。
负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识,以便同一表项关键值的多个下一跳能同时生效。
上述生效时间通过以下至少之一方式实现:
根据边缘设备配置或默认的存活时间生效计时,即以表项下发的存活时间生效记时,例如:利用PE设备自带的计时器,在表项生成后(如以保存时间倒数300s)计时,当为0时还没有接收更新时,则认为表项老化。
根据网管系统下发的生效时间段在边缘设备上同步生效表示。网管系统下发的时间段, 其中,在该时间段内(例如8:00-8:30)内表项生效,则在边缘设备同步的有效时间内将该条目放入RIB表。
通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送,其中,在网络管理系统的生效时间结束时,网络管理系统的I2RS Client下发撤销指定表项的信息,即计时管理在I2RS Client上维护,只需要时间生效的时候下发条目,不生效的时候撤销条目。
在本实施例中,上述应用请求包括上层业务和/或策略的开通请求:VPN业务、流量匹配过滤、负荷分担、时间值等策略请求。
上述属性配置信息包括以下至少之一:VPN标识、路由目标(RT)值设置信息、需要开通VPN的PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。其中,该策略信息包括以下至少之一:基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
上述转发设备包括以下之一:PE设备、CE设备。
上述VPN用户信息包括以下至少之一:VPN标识信息,路由目标RT值设置信息,VPN客户端侧CE的位置信息、CE接入的配置信息、策略请求。
图3为根据本发明实施例的边缘设备的VPN实现处理装置的结构框图。该装置可以但不限于应用于网络管理系统,如图3所示,包括:
获取模块30,连接至发送模块34,用于获取VPN应用请求,其中,该VPN应用请求中携带有VPN的属性配置信息;
接收模块32,连接至发送模块34,用于接收来自上述VPN下的各个边缘设备的VPN路由信息;
发送模块34,用于向上述边缘设备发送VPN路由控制信息,其中,该VPN路由控制信息为通过对上述属性配置信息和上述VPN路由信息进行集中计算处理得到的路由信息;
通过上述各个模块所实现的功能,同样可以在统一控制平台下自动控制更简单的配置下发,更集中的表项管理和表项下发,减少了现有设备的配置及表项容量。
优选地,上述接收模块32和上述发送模块34,分别用于在上述VPN路由信息和/或上述VPN路由控制信息包括以下至少之一时接收上述VPN路由信息和发送上述VPN路由控制信息:VPN列表标识Table ID、表项条目,其中,该VPN Table ID用于在本地标识所述VPN用户信息生成的表项号。
所述接收模块和所述发送模块分别用于在所述表项条目包括以下至少之一时,接收所述VPN路由信息和发送所述VPN路由控制信息:
表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,所述表项关键值包括:数据报文的目的地址;和/或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或所述出接口在边缘设备发送给所述网络管理系统 时为所述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或所述协议类型用于标识路由系统接口I2RS协议和/或除所述I2RS之外的其它路由协议;和/或所述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或所述VPN标识为在控制面与VPN一一对应;和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
需要说明的是,上述各个模块是可以通过相应的处理器实现的,例如可以分别对应一个处理器实现,当然也可以部分或全部集成于一个处理器实现,但不限于上述组合。
在本实施例中提供一种边缘设备的虚拟私有网VPN实现处理方法,如图4所示,该方法包括:
步骤S402,向网络管理系统发送VPN路由信息;
步骤S404,接收来自网络管理系统的VPN路由控制信息,其中,VPN路由控制信为通过对VPN路由信息和网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中计算处理得到的VPN路由信息;
步骤S406,根据VPN路由控制信息对边缘设备进行配置。
上述VPN路由信息或路由控制信息包括以下至少之一:VPN列表标识Table ID、表项条目,其中,VPN Table ID用于在本地标识VPN路由信息生成的表项号。
上述表项条目包括以下至少之一:表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;其中,表项关键值包括:数据报文的目的地址;和/或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或协议类型用于标识I2RS协议和/或除I2RS之外的其它路由协议;和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或VPN标识为在控制面与VPN一一对应;和/或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
上述VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全不同。上述映射标识包括以下至少之一:远端边缘设备的标识;边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。
上述生效时间通过以下至少之一方式实现:根据边缘设备配置或默认的存活时间生效计时;根据网络管理系统下发的生效时间段在边缘设备上同步生效;通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
上述属性配置信息包括以下至少之一:VPN标识、路由目标RT值设置信息、需要开通VPN的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。
上述策略信息包括以下至少之一:基于表项条目内容的过滤或更改策略、时间预置策略、 主备用策略、负荷分担策略。
为实现上述方法,本实施例还提供一种边缘设备的VPN实现处理装置,如图5所示,该装置包括:
发送模块50,连接至接收模块52,用于向网络管理系统发送VPN路由信息;
接收模块52,连接至配置模块54,用于接收来自网络管理系统的VPN路由控制信息,其中,所述VPN路由控制信为通过对所述VPN路由信息和所述网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中计算处理得到的路由信息;
配置模块54,用于根据所述VPN路由控制信息对所述边缘设备进行配置。
在本实施例中,发送模块50和接收模块52分别在上述VPN路由信息和/或路由控制信息包括以下至少之一时发送上述VPN路由信息和接收上述路由控制信息:VPN列表标识Table ID、表项条目,其中,该VPN Table ID用于在本地标识所述VPN路由信息生成的表项号。
上述接收模块52和所述发送模块50分别用于在所述表项条目包括以下至少之一时,接收所述VPN路由信息和发送所述VPN路由控制信息:
表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,所述表项关键值包括:数据报文的目的地址;和/或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或所述协议类型用于标识路由系统接口I2RS协议和/或除所述I2RS之外的其它路由协议;和/或所述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或所述VPN标识为在控制面与VPN一一对应;和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
为了更好地理解上述实施例,以下结合优选实施例和相关附图详细说明。
实施例1
一种IP/MPLS网络通过网管系统进行VPN业务动态建立和管理的方法,网管系统接收VPN业务的应用请求,通过接口对运营商边缘转发设备业务的表项进行统一控制,包括:
网管系统接收运营商边缘设备发送来的VPN路由信息后,将接收到的信息结合应用请求进行集中计算处理,生成计算处理后的信息下发给转发设备。
其中VPN路由信息包括VPN Table ID、表项条目,表项条目中的内容包括但不限于:表项关键值、下一跳、出接口、VPN标识、VPN转发面标识、协议类型、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。
上述网管系统包含转发设备信息交互模块、应用交互模块、计算模块和存储模块。其中转发设备信息交互模块用以对转发设备进行信息收集或信息下发的交互,可以为I2RSClient 模块。
上述转发设备包含网管系统交互模块,可以为I2RS Agent模块。其中运营商边缘转发设备可为PE或CE。
上述应用请求为上层业务及策略的开通请求,包括VPN业务、流量匹配过滤、负荷分担、时间值等策略请求。
上述集中计算处理包括根据应用请求,结合转发设备信息收集到的信息在计算及存储模块进行集中的计算处理并本地存储。
上述VPN转发面标识用于数据面报文的封装解封装,包括但不限于以label形式表现。
上述协议类型用于标识路由系统接口(I2RS)协议和/或除所述I2RS协议之外的其它路由协议,如bgp协议等。
上述主用备用标识主要用于同时下发最优次优路径标识,用于形成保护。
负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识,以便同一表项关键值的多个下一跳能同时生效,以使多条路径形成负荷分担。
本实施例中,还提供一种用于IP/MPLS网络的通信设备,包括网管系统交互模块。网管系统交互模块通过向网管系统发送本地接收到的VPN路由信息,并从网管系统接收远端的VPN路由信息,建立VPN用户连接。其中VPN路由信息由VPN Table ID、表项条目组成,表项条目中的内容包括但不限于:表项关键值、下一跳、出接口、VPN标识、VPN转发面标识、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。
该通信设备创建表项用以维护VPN路由信息。
上述创建表项包括生成本地唯一的VPN Table ID用以标识所述唯一VPN标识表项,表项条目由上述表项内容中的部分内容或全部内容组成;维护表项可以是本地实时更新或由客户端(Client)来通过代理(Agent)控制。
本实施例还提供一种网管系统:包含转发设备信息交互模块、应用交互模块、计算模块和存储模块。其中应用交互模块主要用于接收上层业务的应用请求,转发设备信息交互模块用以跟转发设备进行交互,可以为I2RS Client模块。通过应用请求信息和转发设备信息交互模块获取的信息进行集中计算,生成计算结果信息设备过来的信息通过集中计算,生成新的信息下发转发设备。其中新的信息主要由Table ID、表项条目组成,表项条目中的内容包括但不限于:表项关键值、下一跳、出接口、VPN标识、VPN转发面标识、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。
实施例2:L3VPN自动控制及相关表项下发
如图6所示,站点(site)1和站点3是同属于VPN1的,站点2和站点4是属于同一个VPN2的,在各PE上做VPN接入时,现有实现需要在各PE上手动配置VPN1和VPN2的信息,配置完成后VPN1的路由和VPN2的路由在各PE上通过不同的表项来维护,携带各有相匹配属性的RT导入导出到相应的VPN转发表中,以实现VPN的隔离。这般隔离在PE1、 PE2和PE3上,都会在BGP携带的VPN消息中将本地的所有生效的虚拟路由/转发情况(virtual Routing&Forwarding Instance,简称为VRF)路由发布出去,如PE1上的VPN1消息在PE2上也会收到,但该消息其实对于PE2来讲是完全无效且占用了带宽传输及协议报文过滤处理的时间的。
对比参考现有CE1和CE3打通VPN1的连通性配置为例,配置参考如下:
1.在CE1上配置loopback1和接口IF1的地址,与PE1建立外部边界网关协议(External Border Gateway Protocol,简称为EBGP)邻居,并将loopback在BGP中通告。
2.在PE1上配置vrf vpn1,将IF1绑定在vrf vpn1中并配置地址、配置loopback1、接口IF2的地址、配置开放式最短路径优先(Open Shortest Path First,简称为OSPF),通告IF2接口地址所在网段、与PE3起多协议边界网关协议(Multi-ProtocolBorderGatewayProtocol,简称为MPBGP)邻居、与CE1建立EBGP邻居、接口IF2起标记分发协议(Label Distribution Protocol,简称为LDP),指定loopback1为LDP的router-id。VPN相关配置包括:VRF实例配置中包括ip vrf vpn1,路由区分(Route Distinguisher,简称为RD)(用以唯一标识VPN)、RT(用以标识导入导出路由携带的标识);接口绑定VRF(表示该接口和CE侧相连,该接口学习到的路由为私网路由)、MPBGP邻居建立(用以判断邻居起来后给本地私网路由分发标签,并用该建链邻居ID来查找外层标签。)
3.在P上配置建链接口的地址;配置OSPF,通告接口地址所在网段;接口起LDP,配置loopback1,并指定loopback1为LDP的router-id。
4.在PE3上配置vrf vpn1、将IF1绑定在vrf vpn1中并配置地址、配置loopback1、IF2的地址、配置OSPF、通告公网地址所在网段、与PE1起MPBGP邻居、与CE3建立OSPF邻居、接口IF2起LDP。
5.在CE3上配置loopback1和接口的地址,配置OSPF,通告接口地址所在网段和loopback地址。
在I2RS的框架中,如图6,用户可以根据I2RS模型中提供的应用层提出所述需求,比如VPN1的用户通过应用层给网管系统提出需要通过VPN开通站点1和3的互通,网管系统通过拓扑收集,知道站点1和3连接的PE为PE1和PE3,那么网管系统返回PE1和PE3相关的接口及配置信息给用户(当然也可以是应用层根据CE侧的配置同步给网管系统),使其与直连的CE侧形成互联互通。同时通过配置模块给PE1和PE3的下发相应VPN1相关配置,包括:
1、VRF的启动:VRF实例的启用、实例下RD、RT(Route Target)属性(其import、export值设置)的配置(该步骤中的RD、RT配置为可选,当路由条目的导入导出完全由I2RSClient集中控制时,无需启用该步骤;当需要跟现有路由器兼容时,需要启用该步骤。该步骤涉及VRF路由的导入导出配置,当完全集中控制时,需要由Client下发一个该VPN标识的值,当有不同VPN之间需要通信时,携带不同RT标识发送,不同VPN之间通过策略知道相互之间可以通信。)
2、VRF接口的绑定
3、VRF接入路由协议配置
4、BGP下的相关VPN使能:添加VRF地址族,建立VPN邻居,通过BGP VPN邻居导入导出VRF路由(该步骤为可选,当导入导出完全由I2RS Client集中控制时,无需启用该步骤;当需要跟现有路由器兼容时,需要启用该步骤,该步骤的启用涉及到私网标签的分配,当VPN邻居建立成功,开始给本地CE侧路由分配私网标签,当完全集中控制时,则由Client来下发各路由的私网标签)
5、公网路由和标签链路的打通
同时给CE和P设备进行如上描述相关VPN实现接口、路由、标签协议所需配置。
同理VPN2的用户通过应用提出需求后,如VPN1的配置下发给相应设备。
各PE获取到VPN相关配置时,本地产生一个相应VRF路由的Table ID,用以存放该VPN用户的本地及远端通告过来的路由。
由于网管系统有来自于上层应用的需求可能需要直接改写相关VPN Table ID下的路由条目信息,故对于VPN标识和Table ID的映射关系,需要通过PE反馈给Client。Client由此可以学习到各PE上不同VRF的表项维护ID,并对具有相同RT值的表项内容进行直接读写。表项内容覆盖如下图中的表项关键值、出接口、VPN标识、路由协议类型,优先级,度量值。具体当如图6描述:站点1内有3个客户侧终端接入,其IP分别为IP1、IP2、IP3,站点3内只有两个终端接入,其IP分别为IP5、IP6,那么PE1上学习到的CE1侧路由的表项有:
表1
表项关键值 出接口 路由协议类型 优先级 度量值
IP1 IF1 EBGP 100 10
IP2 IF1 EBGP 100 10
IP3 IF1 EBGP 100 10
其中表项关键值表现为本地CE侧的用户路由,用于远端的数据报文发往用户的目的地址IP标识,出接口表示PE1跟CE1直连的接口,该表项存放在PE1上的Table ID为2,接入的VRF路由协议为EBGP,VPN设置的RT进出方向值均为:100:1。那么PE1将Table ID为2,RT的import export值均为100:1的信息协同该表项的具体条目信息通过本地Agent模块发送给Client。
同理,PE3上学习到的CE3侧路由的表项有:
表2
表项关键值 出接口 路由协议类型 优先级 度量值
IP5 IF1 ospf 110 10
IP6 IF1 ospf 110 10
其中表项关键值表现为本地CE侧的用户路由,出接口表示PE3跟CE3直连的接口。该表项存放在PE3上的Table ID为3,接入的VRF路由协议为OSPF,VPN设置的RT进出方向值均为:100:1。同样,PE3将Table ID为3,RT的import export值均为100:1的信息协同该表项的具体条目信息通过本地Agent模块发送给Client。
网管系统通过Client汇总该VPN1下的所有路由并给它们打上VPN转发面标识,出接口替换为该路由所接入PE的唯一标识,最好用PE的loopback地址:
表3
汇总之后网管系统通过Client向各PE通告远端PE侧的用户路由信息,表项内容的通告部分,若Client通告路由协议类型通过BGP实现方式来的,则表现为IBGP,优先级相应修改,此处的路由协议类型也可以是I2RS类型的,可能相应优先级可以为10,优先级的值越小越优。同时出接口可以是本地连接的远端PE的router-id标识,也可以是由Client经过查找后指定到远端PE的隧道,表明通过该隧道可直达对端PE,隧道可以通过指定的Tunnel ID表示。根据相同的RT值,Client将学习到的PE3侧的路由写入PE1的Table ID为2的表项中:
表4
同理,也会把相关表项内容下发给PE3的Table3,里面具体内容为将本地的两条路由携带Client给它分配的标签下发,远端PE1侧过来的路由条目:
表5
此处Tunnel100表示Client经过查找知道由PE3到PE1可以通过Tunnel100直达,该Tunnel可以是一个gre的tunnel,也可以是一个lsp te的tunnel,当然更可以是一条lsp。
在该集中配置并表项统一管理情况下,进一步的,由于各PE的路由信息都可以通过I2RS Client来下发,那么PE间无需再通过BGP来同步信息,通过将本地信息集中反馈给Client,Client根据RT属性情况,将属于同一个VPN用户的路由选择下发相应的PE,由此减少PE上的协议报文处理。由于表项可直接由Client进行读写,当有特殊应用申请时,如ACL的流量过滤,时间段要求、特殊场景部署如双归等,具体如下实施例,Client根据用户需求并网络动荡情况进行相关条目的修改,无需给PE上形成复杂配置,直接进行相关表条目的添加删除或下一跳指定改写。由此实现VPN相关的策略配置实现。
实施例3:在实施例1基础上客户提出带流量过滤及时间段要求的策略申请处理
如图6所示,在实施例1描述基础上,当用户提出带有流量过滤请求的VPN业务开通申请时。具体如VPN1的用户要求其不同站点间有部分客户端才可以提供直接访问,有部分客户端不可跨站点访问。如站点1内有3个客户侧终端接入,其IP分别为IP1、IP2、IP3,站点3内只有两个终端接入,其IP分别为IP5、IP6,要求IP1、IP2可以和IP5通信,IP3、IP6只能和同一站点内的成员通信,那么根据该流量过滤的请求,通过Client下发相关VPN条目,使站点1内的IP1、IP2在PE3上下发条目,以使在PE3上只学习到远端同一VPN下的PE1过来的IP1和IP2的地址前缀,使站点3内的IP5在PE1上下发条目,使PE1上只学习到远端PE3上的IP5前缀。该功能相比当前实现,不需要在各PE上进行相关ACL条目的配置并BGP协议进程对该策略的调用配置等即可实现。
在上实施例Client收集的基础上,根据应用可以形成的表项为:
表6
由此可知IP3和IP6不能往外通告,下发相应PE1的远端用户表项条目只包含IP5,如下:
表7
下发相应PE3的远端用户表项条目只有IP1和IP2:
表8
当该流量过滤只在上午或下午的工作时间生效时,上层Client可以根据Client上的定时器及时下发相应条目或删除条目。也可以在表项或相应配置中携带时间参数下发。具体比如该实例二第一段描述的流量过滤请求是附带了时间要求,即部分客户跨站点的访问只有在上班时间才可,非正常上班时间均不允许互访。因此要实现该有生效时间段的策略,Client可以在上班时间中下发相应可达远端的条目信息给本地,也可以在表项中携带有效时间戳标识,或可通过配置携带有效时间标识来实现。相对表项内容的整理,此处涉及到如图中表项条目的添加删除,表项中时间内容可选其中部分内容实现。
表9
表10
实施例4:在实施例1基础上客户提出双归接入请求,要求实现L3VPN保护功能
如图7所示,在实施例1描述基础上,当VPN1用户下的提出站点1的下的终端比较多,业务比较重要,需要带有双归请求的VPN业务开通申请时,应用给网管系统下发相应申请,网管系统根据网络拓扑情况给站点1提供附近的两个PE接入,由配置模块下发相应配置,具体表项管理由I2RS Client来进行管理。
表11
如表11所示,由于站点1下的终端多,业务繁忙并优先级较高,那么提供附近的两个PE,PE1和PE4给它提供双归接入,希望在两个PE上形成保护,当希望形成保护功能时,只需要在上层提出保护申请,Client感知整网拓扑后,给PE1和PE4都下发一个FRR(Fast-reroute)表项,表明存在一个次优路径的下一跳到形成双归绑定关系的PE节点,即在PE1上下发一条 到远端站点的下一跳为PE4的路由,该路由相比现有最优路由,通过在下发的表项中携带的主用、备用标识识别,两条表项同时下发,当主路径失效后,不需要重新计算路径。具体表项在PE1上如表12所示:
表12
此处目的地址前缀PE3表现为对端PE建立MPBGP的loopback地址,用于查找公网标签用。
最优下一跳是通过和P1直连的IF2到达远端PE3连接的CE3,此时要在PE1上下发一个次优路径到达远端PE3连接的CE3的下一跳为到PE4的,下一跳为P1的路由给打上主用标识,下一跳为PE4的给打上备用标识。当感知到最优路径失效时,PE1转发的流量可以通过次优路由通过PE4可达远端CE3。
相应的,当要求该场景下同一站点内的远端站点具备VPN FRR保护时,即返程流量PE3可以通过PE1和PE4返回。由于原有的默认实现方式,比如CE1双归接入PE1、PE4,PE3上学习到PE1和PE4传递过来的同一VPNV4路由信息时,会相应进行路由优先级比较,只选择最优的一条路由下发转发表,这样就导致无法提供返回流量的FRR保证,当返回的流量超出最优路径的链路带宽或最优路径失效时,从PE3感知失效,计算出新的路由,不可避免的会产生丢包。
在该情形下,想要实现返程流量的保护申请,Client需要根据申请要求,给PE3同时下发发布相同前缀IP1的CE1上路由的两个发布者,一个为PE1,一个为PE4,将这两个发布者发布的路由均写入路由表项中,启用VPN FRR功能,以使该返回流量通过保护方式快速切换,最终在下发转发表的时候,会根据这两个不同的下一跳用来查找不同的公网标签,当有到PE1的链路中断或PE1的节点失效,可以及时切换到PE4的链路上传输流量,以保证流量的及时可达性。该实现对于表项内容的主要在基础信息上增加了主用/备用标识。
表13
实施例5:在实施例1基础上客户提出双归接入请求,要求实现VPN负荷分担功能
如图7所示,在实施例1描述基础上,当VPN1用户下的提出站点1的下的终端比较多,业务比较重要,需要带有双归请求的VPN业务开通申请时,应用给网管系统下发相应申请,网管系统根据网络拓扑情况给站点1提供附近的两个PE接入,由配置模块下发相应配置,具体表项管理由I2RS Client来进行管理。
如表11所示,由于站点1下的终端多,业务繁忙并优先级较高,那么提供附近的两个PE,PE1和PE4给它提供双归接入,对于远端PE3站点来讲,是可以通过PE1和PE4同时到CE1的。因此当PE3有VPN的负荷分担申请时,即PE3可以同时通过PE1和PE4转发流量给CE1。由于原有的默认实现方式,比如CE1双归接入PE1、PE4,PE3上学习到PE1和PE4传递过来的同一VPNV4路由信息时,会相应进行路由优先级比较,只选择最优的一条路由下发转发表,这样就导致无法提供返回流量的负荷分担保证,当返回的流量超出最优路径的链路带宽或最优路径失效时,从PE3感知失效,计算出新的路由,不可避免的会产生丢包。
在该情形下,想要实现返程流量的负荷分担申请,Client需要根据申请要求,给PE3同时下发发布相同前缀IP1的CE1上路由的两个发布者,一个为PE1,一个为PE4,将这两个发布者发布的路由均写入路由表项中,启用负荷分担功能,最终在下发转发表的时候,会根据这两个不同的下一跳用来查找不同的公网标签,以使该返回流量可以两条链路可达CE1,这样当有超过单条链路带宽的流量传输时,不至于产生丢包。该实现对于表项内容的主要在基础信息上增加了负荷分担标识。
表14
实施例6:L2VPN自动控制及相关表项下发
相比实施例1的L3VPN实现描述,L2VPN的实现区别主要在于:
用户无需感知运营商网络的配置,直接通过二层接入。大致现有的L2VPN配置包括:
1.配置PE1和PE2之间直连接口或远程会话接口
2.配置路由协议
3.配置LDP协议
4.配置二层VPN实例,注意VPN传输伪线的neighbor要和ldp的neighbor一致。这其中主要包括AC侧接口的绑定和伪线邻居的配置。
由于现有的二层VPN实例配置也都是需要在全网的互通的PE上需要指定PW邻居的配置,和LDP邻居的配置或BGP邻居的配置又得兼容,配置量相当大并且需要精细配置,当出现手动配置错误的情况下,会使同一VPN的用户不能互通。
在I2RS的框架下,如图6,用户根据I2RS模型中提供的应用层提出所述需求,比如VPN1的用户通过应用层给网管系统提出需要通过VPN开通站点1和3的互通,网管系统通过拓扑收集,知道站点1和3连接的PE为PE1和PE3,那么网管系统返回PE1和PE3相关的接口配置。同时通过配置模块给PE1和PE3的下发相应VPN1相关配置主要包括:AC侧接口的绑定、其中原有的伪线的邻居建立,在现有环境下不再需要,因为伪线建立涉及的内层标签分配可以由Client来统一下发。中间传输路由和标签协议的配置,若中间P节点上面也都由Client来进行控制,外层标签也可以统一下发。
各PE获取到VPN相关配置后,本地产生一个相应VPN MAC的Table ID,用以存放该VPN用户的本地及远端通告过来的MAC。
由于I2RS Client有需求可能需要直接改写相关Table ID下的MAC条目信息,故对于VPN ID和Table ID的映射关系,需要通过PE反馈给Client。Client由此可以学习到各PE上的不同VPN的表项维护ID,并对同一个VPN ID的表项内容进行直接读写。表项内容覆盖如下图中的目的MAC地址、对端PE标识、私网标签、公网标签、本地出接口等。具体当如图6描述:站点1内有3个客户侧终端接入,其MAC分别为MAC1、MAC2、MAC3,站点3内只有两个终端接入,其MAC分别为MAC5、MAC6,那么PE1上学习到的CE1侧的MAC表项有:
表15
同样PE3上也会有这样一张表,当把表项携带VPN ID及表项ID都汇总给Client,并由Client给它们分配公私网标签,则汇总的VPN表项为:
表16
当Client给PE1下发同一VPN下的PE3过来的用户信息时,则给PE1的Table2写入如下表项信息:
表17
在有I2RS模型可能跟本发明内容不一致时,若其均为通过I2RS协议的外部设备(可覆盖服务器或超级路由器等设备)接口对路由系统进行的配置下发及表项下发或获取,外部本发明亦可覆盖。
实施例7
图8为根据本发明优选实施例的VPN网络自动控制实现的方法流程图。如图8所示,该方法包括:
步骤S802,VPN应用向网管系统发送VPN业务请求(携带了本VPN所有客户侧边界节点CE的位置及原始配置信息、策略请求等);
步骤S804,网管系统根据接收到的VPN业务请求信息、本地已收集到的网络拓扑信息确定相应的PE;
步骤S806,对所选PE执行VPN相关配置(包括VPN实例配置、接口ip及vrf绑定配置、客户接入侧vrf对接路由协议配置、公网标签路由相关配置及BGP VPN配置).在此分为两个流程,一个直接转入步骤S808,结束;另一个转入步骤S810,继续进行;
步骤S808,配置模块将PE接入侧相关配置返回给应用;
步骤S810,PE形成本地该vpn的转发表,表项ID和VPN中的RT在本地会有映射,当PE和CE成功对接后,可以学习到本地CE侧的相关私网路由;
步骤S812,PE将VPN转发表下的路由、RT和表项ID发送给I2RS Client;
步骤S814,转发设备信息交互模块获取到同一VPN的PE上送的所有本地CE侧路由;
步骤S816,根据策略请求,转发设备交互模块给PE上的该表下同一VPN下其它PE上送的VPN相关路由。
通过上述实施例可以看出,本发明实施例实现了以下有益效果:根据I2RS Client可以获取的拓扑信息资源,与手工配置相关实现相比,可以更便捷的提供自动化效果,更及时的实现策略控制请求,同时简化各PE设备所需配置,并能同时提供用户信息下发写表功能。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置 中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (31)

1.一种边缘设备的虚拟私有网VPN实现处理方法,其特征在于,包括:
获取VPN应用请求,其中,所述VPN应用请求中携带有VPN的属性配置信息;
接收来自所述VPN下的各个边缘设备的VPN路由信息;
向所述边缘设备发送VPN路由控制信息,其中,所述VPN路由控制信息为通过对所述属性配置信息和所述VPN路由信息进行集中计算处理得到的路由信息。
2.根据权利要求1所述的方法,其特征在于,所述VPN路由信息或所述路由控制信息包括以下至少之一:
VPN列表标识Table ID、表项条目,其中,所述VPN Table ID用于在本地标识所述VPN路由信息生成的表项号。
3.根据权利要求2所述的方法,其特征在于,所述表项条目包括以下至少之一:
表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间。
4.根据权利要求2所述的方法,其特征在于,所述VPN路由信息中的表项条目和所述路由控制信息中的表项条目部分相同或完全不同。
5.根据权利要求3所述的方法,其特征在于,所述表项关键值包括:数据报文的目的地址。
6.根据权利要求3所述的方法,其特征在于,所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。
7.根据权利要求3所述的方法,其特征在于,所述出接口在边缘设备发送给网络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。
8.根据权利要求7所述的方法,其特征在于,所述映射标识包括以下至少之一:
所述远端边缘设备的标识;
所述边缘设备到所述远端边缘设备的逻辑出接口标识或物理出接口标识。
9.根据权利要求3所述的方法,其特征在于,所述协议类型用于标识路由系统接口I2RS协议和/或除所述I2RS协议之外的其它路由协议。
10.根据权利要求3所述的方法,其特征在于,所述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。
11.根据权利要求3所述的方法,其特征在于,所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用。
12.根据权利要求3所述的方法,其特征在于,所述VPN标识为在控制面与VPN一一对应。
13.根据权利要求3所述的方法,其特征在于,所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
14.根据权利要求3所述的方法,其特征在于,所述生效时间通过以下至少之一方式实现:
根据所述边缘设备配置或默认的存活时间生效计时;
根据网络管理系统下发的生效时间段在边缘设备上同步生效;
通过在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
15.根据权利要求1所述的方法,其特征在于,所述属性配置信息包括以下至少之一:VPN标识、路由目标RT值设置信息、需要开通VPN的PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。
16.根据权利要求15所述的方法,其特征在于,所述策略信息包括以下至少之一:
基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
17.根据权利要求1-16任一项所述的方法,其特征在于,所述边缘设备包括以下之一:提供商边缘PE设备、用户边缘CE设备。
18.一种边缘设备的虚拟私有网VPN实现处理方法,其特征在于,包括:
向网络管理系统发送VPN路由信息;
接收来自网络管理系统的VPN路由控制信息,其中,所述VPN路由控制信息 为通过对所述VPN路由信息和所述网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中计算处理得到的VPN路由信息;
根据所述VPN路由控制信息对所述边缘设备进行配置。
19.根据权利要求18所述的方法,其特征在于,所述VPN路由信息或所述路由控制信息包括以下至少之一:
VPN列表标识Table ID、表项条目,其中,所述VPN Table ID用于在本地标识所述VPN路由信息生成的表项号。
20.根据权利要求19所述的方法,其特征在于,所述表项条目包括以下至少之一:
表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,所述表项关键值包括:数据报文的目的地址;和/或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或所述协议类型用于标识路由系统接口I2RS协议和/或除所述I2RS之外的其它路由协议;和/或所述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或所述VPN标识为在控制面与VPN一一对应;和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
21.根据权利要求19所述的方法,其特征在于,所述VPN路由信息中的表项条目和所述路由控制信息中的表项条目部分相同或完全不同。
22.根据权利要求20所述的方法,其特征在于,所述映射标识包括以下至少之一:
所述远端边缘设备的标识;
所述边缘设备到所述远端边缘设备的逻辑出接口标识或物理出接口标识。
23.根据权利要求20所述的方法,其特征在于,所述生效时间通过以下至少之一方式实现:
根据所述边缘设备配置或默认的存活时间生效计时;
根据所述网络管理系统下发的生效时间段在边缘设备上同步生效;
通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
24.根据权利要求18所述的方法,其特征在于,所述属性配置信息包括以下至少之一:VPN标识、路由目标RT值设置信息、需要开通VPN的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。
25.根据权利要求24所述的方法,其特征在于,所述策略信息包括以下至少之一:
基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
26.一种边缘设备的虚拟私有网VPN实现处理装置,其特征在于,包括:
获取模块,用于获取VPN应用请求,其中,所述VPN应用请求中携带有VPN的属性配置信息;
接收模块,用于接收来自所述VPN下的各个边缘设备的VPN路由信息;
发送模块,用于向所述边缘设备发送VPN路由控制信息,其中,所述VPN路由控制信息为通过对所述属性配置信息和所述VPN路由信息进行集中计算处理得到的路由信息。
27.根据权利要求26所述的装置,其特征在于,所述接收模块和所述发送模块,分别用于在所述VPN路由信息和/或所述VPN路由控制信息包括以下至少之一时接收所述VPN路由信息和发送所述VPN路由控制信息:
VPN列表标识Table ID、表项条目,其中,所述VPN Table ID用于在本地标识所述VPN用户信息生成的表项号。
28.根据权利要求27所述的装置,其特征在于,所述接收模块和所述发送模块分别用于在所述表项条目包括以下至少之一时,接收所述VPN路由信息和发送所述VPN路由控制信息:
表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,所述表项关键值包括:数据报文的目的地址;和/或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或所述出接口在边缘设备发送给网络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或所述协议类型用于标识路由系统接口I2RS协议和/或除所述I2RS之外的其它路由协议;和/或所述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或所述VPN标识为在控制面与VPN一一对应;和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
29.一种边缘设备的虚拟私有网VPN实现处理装置,其特征在于,包括:
发送模块,用于向网络管理系统发送VPN路由信息;
接收模块,用于接收来自网络管理系统的VPN路由控制信息,其中,所述VPN路由控制信息 为通过对所述VPN路由信息和所述网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中计算处理得到的路由信息;
配置模块,用于根据所述VPN路由控制信息对所述边缘设备进行配置。
30.根据权利要求29所述的装置,其特征在于,所述接收模块和所述发送模块分别用于在所述VPN路由控制信息和/或所述VPN路由信息包括以下至少之一时,接收所述VPN路由控制信息和发送所述VPN路由信息:
VPN列表标识Table ID、表项条目,其中,所述VPN Table ID用于在本地标识所述VPN路由信息生成的表项号。
31.根据权利要求30所述的装置,其特征在于,所述接收模块和所述发送模块分别用于在所述表项条目包括以下至少之一时,接收所述VPN路由控制信息和发送所述VPN路由信息:
表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷分担标识、生效时间;
其中,所述表项关键值包括:数据报文的目的地址;和/或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识;和/或所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识,在网络管理系统给边缘设备发送时为远端边缘设备的映射标识;和/或所述协议类型用于标识路由系统接口I2RS协议和/或除所述I2RS之外的其它路由协议;和/或所述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识;和/或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用;和/或所述VPN标识为在控制面与VPN一一对应;和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
CN201310222321.1A 2013-06-05 2013-06-05 边缘设备的vpn实现处理方法及装置 Expired - Fee Related CN104219147B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201310222321.1A CN104219147B (zh) 2013-06-05 2013-06-05 边缘设备的vpn实现处理方法及装置
PCT/CN2014/077585 WO2014194749A1 (zh) 2013-06-05 2014-05-15 边缘设备的vpn实现处理方法及装置
US14/896,024 US20160134591A1 (en) 2013-06-05 2014-05-15 VPN Implementation Processing Method and Device for Edge Device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310222321.1A CN104219147B (zh) 2013-06-05 2013-06-05 边缘设备的vpn实现处理方法及装置

Publications (2)

Publication Number Publication Date
CN104219147A CN104219147A (zh) 2014-12-17
CN104219147B true CN104219147B (zh) 2018-10-16

Family

ID=52007526

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310222321.1A Expired - Fee Related CN104219147B (zh) 2013-06-05 2013-06-05 边缘设备的vpn实现处理方法及装置

Country Status (3)

Country Link
US (1) US20160134591A1 (zh)
CN (1) CN104219147B (zh)
WO (1) WO2014194749A1 (zh)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
US10749711B2 (en) 2013-07-10 2020-08-18 Nicira, Inc. Network-link method useful for a last-mile connectivity in an edge-gateway multipath system
CN105897584B (zh) * 2014-06-09 2018-11-30 华为技术有限公司 路径规划方法和控制器
CN105871719B (zh) * 2015-01-22 2021-01-26 中兴通讯股份有限公司 路由状态和/或策略信息的处理方法及装置
US9774524B2 (en) * 2015-02-17 2017-09-26 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for fast reroute, control plane and forwarding plane synchronization
US10498652B2 (en) 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
US10135789B2 (en) 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
US10425382B2 (en) * 2015-04-13 2019-09-24 Nicira, Inc. Method and system of a cloud-based multipath routing protocol
CN106713098A (zh) * 2015-07-27 2017-05-24 中兴通讯股份有限公司 路由目标处理方法及装置
CN106712987A (zh) * 2015-08-12 2017-05-24 中兴通讯股份有限公司 网络控制的处理方法、装置及软件定义网络系统
CN111030929A (zh) * 2015-10-16 2020-04-17 华为技术有限公司 一种路由处理方法、设备及系统
CN105471735B (zh) * 2015-12-28 2018-07-13 迈普通信技术股份有限公司 数据流量路由控制方法和装置
CN106936714B (zh) * 2015-12-31 2020-12-08 华为技术有限公司 一种vpn的处理方法和pe设备以及系统
CN106470143A (zh) * 2016-08-26 2017-03-01 杭州迪普科技股份有限公司 一种mpls vpn流量过滤的方法和装置
CN107872387B (zh) * 2016-09-26 2020-10-13 中国电信股份有限公司 发送vpn路由的方法和系统
US20200036624A1 (en) 2017-01-31 2020-01-30 The Mode Group High performance software-defined core network
US11252079B2 (en) 2017-01-31 2022-02-15 Vmware, Inc. High performance software-defined core network
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US10778528B2 (en) 2017-02-11 2020-09-15 Nicira, Inc. Method and system of connecting to a multipath hub in a cluster
US10516550B2 (en) * 2017-02-27 2019-12-24 Futurewei Technologies, Inc. Traffic engineering service mapping
US10659352B2 (en) * 2017-05-31 2020-05-19 Juniper Networks, Inc. Signaling private context forwarding tables for a private forwarding layer
US10382333B2 (en) 2017-05-31 2019-08-13 Juniper Networks, Inc. Fabric path context-based forwarding for virtual nodes
US10476817B2 (en) 2017-05-31 2019-11-12 Juniper Networks, Inc. Transport LSP setup using selected fabric path between virtual nodes
US10389635B2 (en) 2017-05-31 2019-08-20 Juniper Networks, Inc. Advertising selected fabric paths for service routes in virtual nodes
US10432523B2 (en) 2017-05-31 2019-10-01 Juniper Networks, Inc. Routing protocol signaling of multiple next hops and their relationship
US10523539B2 (en) 2017-06-22 2019-12-31 Nicira, Inc. Method and system of resiliency in cloud-delivered SD-WAN
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10841131B2 (en) 2017-10-02 2020-11-17 Vmware, Inc. Distributed WAN security gateway
CN107566196A (zh) * 2017-10-20 2018-01-09 北京星河星云信息技术有限公司 组网方法和组网装置、用户边缘设备及可读存储介质
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
CN109104364B (zh) * 2017-11-27 2020-11-06 新华三技术有限公司 一种指定转发者选举方法和装置
CN108011759B (zh) * 2017-12-05 2021-06-18 锐捷网络股份有限公司 一种vpn管理方法、装置及系统
US10666461B2 (en) * 2018-06-07 2020-05-26 Adva Optical Networking Se VLAN reflection
CN110661701B (zh) * 2018-06-30 2022-04-22 华为技术有限公司 一种避免环路的通信方法、设备和系统
CN109257285B (zh) * 2018-10-31 2021-06-29 中国联合网络通信集团有限公司 路由存储方法及装置
US11252106B2 (en) 2019-08-27 2022-02-15 Vmware, Inc. Alleviating congestion in a virtual network deployed over public clouds for an entity
CN112671646B (zh) * 2019-10-16 2023-01-10 中国移动通信有限公司研究院 一种信息处理方法、装置、设备及计算机可读存储介质
US11611507B2 (en) 2019-10-28 2023-03-21 Vmware, Inc. Managing forwarding elements at edge nodes connected to a virtual network
US11394640B2 (en) 2019-12-12 2022-07-19 Vmware, Inc. Collecting and analyzing data regarding flows associated with DPI parameters
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11418997B2 (en) 2020-01-24 2022-08-16 Vmware, Inc. Using heart beats to monitor operational state of service classes of a QoS aware network link
CN116016315A (zh) * 2020-05-25 2023-04-25 华为技术有限公司 一种路由管理方法、设备及系统
CN111800338B (zh) * 2020-06-01 2022-09-16 锐捷网络股份有限公司 跨as的evpn路由交互方法及装置
US11477127B2 (en) 2020-07-02 2022-10-18 Vmware, Inc. Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN
CN114079670B (zh) * 2020-07-30 2023-07-11 华为技术有限公司 传输路由信息的方法、装置和通信系统
US11363124B2 (en) 2020-07-30 2022-06-14 Vmware, Inc. Zero copy socket splicing
US11444865B2 (en) 2020-11-17 2022-09-13 Vmware, Inc. Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN
US11575600B2 (en) 2020-11-24 2023-02-07 Vmware, Inc. Tunnel-less SD-WAN
US11601356B2 (en) 2020-12-29 2023-03-07 Vmware, Inc. Emulating packet flows to assess network links for SD-WAN
US11792127B2 (en) 2021-01-18 2023-10-17 Vmware, Inc. Network-aware load balancing
US11388086B1 (en) 2021-05-03 2022-07-12 Vmware, Inc. On demand routing mesh for dynamically adjusting SD-WAN edge forwarding node roles to facilitate routing through an SD-WAN
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US11489720B1 (en) 2021-06-18 2022-11-01 Vmware, Inc. Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics
US11375005B1 (en) 2021-07-24 2022-06-28 Vmware, Inc. High availability solutions for a secure access service edge application
CN115914094A (zh) * 2021-09-30 2023-04-04 华为技术有限公司 一种路由发布方法、报文转发方法、设备及系统
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102449964A (zh) * 2011-07-22 2012-05-09 华为技术有限公司 一种三层虚拟专有网路由控制方法、装置及系统
CN102611574A (zh) * 2012-02-23 2012-07-25 成都飞鱼星科技开发有限公司 Vpn自动配置系统及配置方法
CN102882758A (zh) * 2011-07-12 2013-01-16 华为技术有限公司 虚拟私云接入网络的方法、网络侧设备和数据中心设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3945297B2 (ja) * 2001-04-24 2007-07-18 株式会社日立製作所 システム及び管理システム
US7450598B2 (en) * 2003-12-15 2008-11-11 At&T Intellectual Property I, L.P. System and method to provision MPLS/VPN network
CN100384172C (zh) * 2004-01-20 2008-04-23 华为技术有限公司 基于网络的虚拟专用网中保证服务质量的系统及其方法
US7756998B2 (en) * 2004-02-11 2010-07-13 Alcatel Lucent Managing L3 VPN virtual routing tables
KR100693059B1 (ko) * 2005-01-24 2007-03-12 삼성전자주식회사 Mpls 기반의 vpn 제공 장치 및 방법
US7990888B2 (en) * 2005-03-04 2011-08-02 Cisco Technology, Inc. System and methods for network reachability detection
CN101355516B (zh) * 2008-09-09 2011-10-26 中兴通讯股份有限公司 一种为不同虚拟专用网提供服务质量策略的方法和系统
US8995446B2 (en) * 2009-12-21 2015-03-31 Cisco Technology, Inc. Efficient generation of VPN-based BGP updates
CN103095543B (zh) * 2011-11-07 2016-10-05 华为技术有限公司 用于域间虚拟专用网络对接的方法和设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882758A (zh) * 2011-07-12 2013-01-16 华为技术有限公司 虚拟私云接入网络的方法、网络侧设备和数据中心设备
CN102449964A (zh) * 2011-07-22 2012-05-09 华为技术有限公司 一种三层虚拟专有网路由控制方法、装置及系统
CN102611574A (zh) * 2012-02-23 2012-07-25 成都飞鱼星科技开发有限公司 Vpn自动配置系统及配置方法

Also Published As

Publication number Publication date
WO2014194749A1 (zh) 2014-12-11
US20160134591A1 (en) 2016-05-12
CN104219147A (zh) 2014-12-17

Similar Documents

Publication Publication Date Title
CN104219147B (zh) 边缘设备的vpn实现处理方法及装置
CN104471899B (zh) 通过ietf evpn的802.1aq支持
CN103546374B (zh) 一种边缘二层网络中转发报文的方法和装置
CN104518940B (zh) 实现nvo3网络与mpls网络之间通信的方法和装置
CN109861926A (zh) 报文的发送、处理方法及装置、pe节点、节点
CN107040469A (zh) 网络设备及方法
WO2008092357A1 (fr) Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci
CN102801625B (zh) 一种异构网络二层互通的方法及设备
CN102739501B (zh) 二三层虚拟私有网络中的报文转发方法和系统
CN107222449A (zh) 基于流规则协议的通信方法、设备和系统
WO2015165311A1 (zh) 传输数据报文的方法和供应商边缘设备
CN103259724B (zh) 一种mpls vpn的实现方法、系统及客户边缘设备
CN102611618B (zh) 路由保护切换方法及装置
CN101072238A (zh) 在mpls三层虚拟专用网中实现同一子网通信的方法
WO2006002598A1 (fr) Systeme vpn de reseau federateur hybride a site hybride et son procede de mise en oeuvre
CN107018076A (zh) 一种报文监控方法和装置
CN102891903B (zh) 一种nat转换方法及设备
WO2013139270A1 (zh) 实现三层虚拟专用网络的方法、设备及系统
CN107483311A (zh) Vpn实现方法和pe设备
CN106936714A (zh) 一种vpn的处理方法和pe设备以及系统
Chen Design and implementation of secure enterprise network based on DMVPN
CN104079466B (zh) 一种报文处理方法和设备
CN107959611A (zh) 一种转发报文的方法,装置及系统
CN102255762A (zh) 网络实例的创建方法和装置
CN104734929B (zh) 路由扩散的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20181016

Termination date: 20200605