CN107070793A - 确保自治系统间链路 - Google Patents
确保自治系统间链路 Download PDFInfo
- Publication number
- CN107070793A CN107070793A CN201610873593.1A CN201610873593A CN107070793A CN 107070793 A CN107070793 A CN 107070793A CN 201610873593 A CN201610873593 A CN 201610873593A CN 107070793 A CN107070793 A CN 107070793A
- Authority
- CN
- China
- Prior art keywords
- interface
- packet
- autonomous system
- forward table
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
- H04L45/502—Frame based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/68—Pseudowire emulation, e.g. IETF WG PWE3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3009—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/60—Software-defined switches
- H04L49/602—Multilayer or multiprotocol switching, e.g. IP switching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个示例中,自治系统边界路由器(ASBR)形成第一自治系统(AS)的一部分。ASBR在第一AS的第一供应商边缘(PE)路由器和不同的第二AS的第二PE路由器之间。第一PE路由器和第二PE路由器形成多协议标签交换(MPLS)路径。ASBR包括:接口,通信地耦接至第一AS外部的路由装置;存储器,配置为储存与接口相关联的转发表;以及一个或多个处理单元,配置为通过接口接收数据包,确定数据包由MPLS标签封装,基于通过其接收数据包的接口选择转发表,并且当转发表包括MPLS标签时,根据转发表的转发信息转发数据包。
Description
技术领域
本公开涉及计算机网络,并且更具体而言,涉及基于网络的流量的隧道。
背景技术
计算机网络是交换数据并分享资源的大量互连的计算装置。在基于数据包的网络(例如,互联网)中,计算装置通过将数据分成小块(称为数据包)传送数据。数据包从源装置通过网络单独路由至目标装置。目标装置从数据包中提取数据并且将数据组装成其原始形式。将数据分成数据包,使源装置能够仅仅重发在传输期间可能丢失的那些个别的数据包。
专用网络可以包括单个企业拥有或管理的多个装置,例如,计算机。这些装置可以分组成多个站点网络,这些站点网络相应地可以在地理上分布在广泛的区域上。每个站点网络可以包括一个或多个局域网(LAN)。随着虚拟专用网络(VPN)技术的出现,企业现在可以通过公共网络(例如,互联网)在站点网络之间安全地共享数据。在一个典型的实现方式中,通过中间网络设计一个或多个“网络隧道”,以在地理上分散的站点之间传输数据和其它网络通信。
VPN的一种形式通常称为“MPLS VPN”,其中,多协议标签交换(MPLS)隧道被用作为一种传输机制。MPLS是用于在互联网协议(IP)网络内设计流量模式的机制。通过使用MPLS,源装置可以请求通过网络到达目标装置的路径(即,标签交换路径(LSP)),以将MPLS数据包从源装置承载至目标装置。沿着LSP的每个路由器分配标签并将标签传播给沿着该路径最近的上游路由器,用于沿着该路径转发MPLS数据包。沿着该路径的路由器协作执行MPLS操作,以沿着已建立的路径转发MPLS数据包。
MPLS VPN将MPLS的隧道过程与虚拟路由和转发(VRF)以及边界网关协议(BGP)的特征相结合,以创建VPN。当在网络内建立了VPN时,用于VPN的装置的每个均包括VPN特有的VRF表。在E.Rosen和Y.Rekhter的在http://tools.ietf.org/html/rfc4364上可用的“BGP/MPLS IP Virtual Private Networks(VPNs),”RFC 4364、2006年2月,以及L.Andersson和T.Madsen的在tools.ietf.org/html/rfc4026上可用的“Provider Provisioned VirtualPrivate Network(VPN)Terminology,”RFC 4026、2005年3月中,讨论了关于VPN的、特别是使用BGP和MPLS实现VPN的更多细节,其每一个的全部内容均通过引用其各自的整体结合于此。
可以使用隧道的其它形式代替MPLS或者与MPLS相结合。例如,另一种常用的隧道协议是通用路由封装(GRE)协议,该协议通常用于在互联网协议(IP)隧道内封装数据包,从而在装置(例如,路由器)之间创建虚拟点对点链路。
RFC 4364描述了各种场景,其中,VPN的两个站点连接至不同的自治系统(AS)。例如,这两个站点可以连接至不同的服务供应商(SP)。在这种情况下,RFC 4364认识到与该VPN相关联的供应商边缘(PE)路由器不能保持彼此的内部BGP(IBGP)连接。因此,RFC 4364描述了使用外部BGP(EBGP)来分配VPN-IPv4地址和已标记的VPN-IPv4路由。
发明内容
通常,本公开描述了用于确保自治系统(AS)间链路的技术。例如,假设在不同的AS中存在多协议标签交换(MPLS)路径的供应商边缘(PE)路由器(例如,用于虚拟专用网络(VPN))。在这种情况下,自治系统边界路由器(ASBR)位于沿着MPLS路径的不同AS的边缘。ASBR可以使用外部边界网关协议(EBGP)交换已标记的路由(例如,已标记的VPN-IPv4路由)。然而,没有本公开的技术,这种已标记的路由公告可能是假冒的。本公开描述了ASBR可以防止假冒这种已标记的路由公告的技术。尤其的,ASBR可以实例化MPLS路径的转发表(储存分配的标签)。通过这种方式,在接收由标签(可以对应于由ASBR或路由公告转发的数据包)封装的数据包时,ASBR可以确定标签是否预先由ASBR分配(例如,通过核对转发表)。然后,ASBR可以仅在预先分配标签时安装路由(或者转发数据包)。
在一个示例中,第一自治系统(AS)的自治系统边界路由器(ASBR)装置执行一种方法。ASBR装置在第一AS的第一供应商边缘(PE)路由器和不同的第二AS的第二PE路由器之间。第一PE路由器和第二PE路由器形成多协议标签交换(MPLS)路径。该方法包括:通过ASBR装置的接口接收数据包,该ASBR装置的接口通信地耦接至该第一AS外部的路由装置;确定该数据包由MPLS标签封装;基于通过其接收该数据包的接口选择转发表;并且根据转发信息(转发表将MPLS标签映射到转发信息中),转发该数据包。
在另一个示例中,自治系统边界路由器(ASBR)装置包含在第一自主系统(AS)内,并且在第一AS的第一供应商边缘(PE)路由器与不同的第二AS的第二PE路由器之间。该第一PE路由器和该第二PE路由器形成多协议标签交换(MPLS)路径。该ASBR装置包括:接口,通信地耦接至该第一AS外部的路由装置;以及存储器,配置为储存与该接口相关联的转发表。ASBR装置还包括一个或多个处理单元,配置为:通过接口接收数据包,确定该数据包由MPLS标签封装,基于通过其接收该数据包的接口选择转发表;并且根据转发信息(转发表将MPLS标签映射到转发信息)转发该数据包。
在另一个示例中,一种非易失性计算机可读储存介质在其上储存了将由第一自治系统(AS)的自治系统边界路由器(ASBR)装置的处理器执行的指令。该ASBR装置在第一AS的第一供应商边缘(PE)路由器和不同的第二AS的第二PE路由器之间。该第一PE路由器和该第二PE路由器形成多协议标签交换(MPLS)路径。在执行时,该指令使ASBR装置的处理器:经由ASBR装置的接口接收数据包,该ASBR装置的接口通信地耦接至该第一AS外部的路由装置;确定该数据包由MPLS标签封装;基于经由其接收该数据包的接口选择转发表;并且根据转发信息(转发表将MPLS标签映射到转发信息中)转发该数据包。
在另一个示例中,第一自治系统(AS)包括:第一供应商边缘(PE)路由器,该第一PE路由器与不同的第二AS的第二PE路由器形成多协议标签交换(MPLS)路径;以及在第一PE路由器和第二PE路由器之间的自治系统边界路由器(ASBR)装置。第一AS的ASBR装置包括:接口,其通信地耦接至该第一AS外部的路由装置;存储器,配置为储存与该接口相关联的转发表;以及一个或多个处理单元,配置为经由接口接收数据包,确定该数据包由MPLS标签封装,基于经由其接收该数据包的接口选择转发表,并且根据转发信息(转发表将MPLS标签映射到转发信息),转发该数据包。
在附图和以下描述中陈述一个或多个示例的细节。通过描述和附图并且通过权利要求,其它特征、目标以及优点显而易见。
附图说明
图1是示出包括两个自治系统(AS)(包括各自的AS边界路由器(ASBR))的示例网络的方框图;
图2是示出ASBR的元件的示例设置的框图;
图3是示出用于确定如何处理从位于AS外部的装置接收的已标记数据的示例方法的流程图;
图4是示出根据本公开的技术的另一个示例方法的流程图。
具体实施方式
图1是示出包括两个自治系统(AS)110、120的示例网络100的框图。AS 110包括供应商边缘(PE)路由器112、路由器114以及自治系统边界路由器(ASBR)116。AS 120包括PE路由器126、路由器124以及ASBR 122。PE路由器112、126形成多协议标签交换(MPLS)路径140,该MPLS路径140包括例如ASBR 116、122。即,PE路由器112、126用作MPLS路径140的端点(例如,分别是入口和出口点)。
ASBR 116和ASBR 122由链路130通信地耦接。在该示例中,链路130直接耦接ASBR116和ASBR 122。
AS 110、120可以表示不同的服务供应商网络。即,AS 110、120可以由不同实体操作来提供业务。可以由AS 110、120提供的业务包括例如专用网络(VPN)业务、IP电话(VoIP)、访问异步传输模式(ATM)或帧中继通信、互联网协议(IP)数据业务以及多媒体分布业务,例如,视频流。由于AS 110、120是分离的,所以PE路由器112、126不能够与彼此保持内部边界网关协议(IBGP)连接。因此,PE路由器112、126(与ASBR 116、122一起)可以使用在例如RFC 4364中描述的技术来交换路由信息,例如,根据外部BGP(EBGP)公告已标记路由(在RFC 4364的部分10选项B和C中所描述的)。
由于AS 110、120表示不同的服务供应商网络,所以在AS 110、120之间提供的业务可以称为供应商间服务。例如,AS 110、120可以提供供应商间MPLS路径业务,由MPLS路径140表示。在一些示例中,MPLS路径140可以表示VPN的路径。因此,AS 110、120可以提供供应商间MPLS VPN业务。
在MPLS能够用于供应商间链路(例如,链路130)时,供应商间MPLS VPN业务的一个主要问题是数据面安全(主要是标签假冒)。供应商间MPLS使能的VPN服务模式的一个示例由RFC 4364的部分10选项B和C限定。RFC 4364的部分13增加了对数据面安全以减少标签假冒的要求。在tools.ietf.org/html/rfc4381上可获取到Behringer的“Analysis of theSecurity of BGP/MPLS IP Virtual Private Networks(VPNs),”Network WorkingGroup,RFC 4381、2006年2月,其中的部分4.2(b)和(c)详细分析了数据面安全问题。
本公开的技术可以防止数据平面标签假冒,从而为在RFC 4364部分13选项B中讨论的问题提供了解决方案。对于来自通过MPLS接口连接的、不可信的ASBR的MPLS数据流量,需要防标签假冒。例如,假设ASBR 116表示执行本公开的技术的ASBR装置,并且假设ASBR122表示通过MPLS接口连接至ASBR 116的不可信的ASBR。ASBR 116可以直接耦接至ASBR122。假设很好地保护了自治系统110(例如,PE路由器112和路由器114)的装置以避免标签假冒。进一步假设ASBR 116和ASBR 122使用BGP(例如,EBGP)交换标签。
通常,ASBR 116在多个也称为转发表的MPLS标签转发信息库(FIB)中保持上下文相关的标签空间。上下文可以对应于连接至AS 110外部的装置(例如,ASBR 122或链路130的另一个路由器)的网络接口(例如,网络接口卡)。因此,ASBR 116可以实例化与网络接口对应的新转发表(例如,路由信息库(RIB)),通过该网络接口,ASBR 116耦接至链路130。而且,ASBR 116包括将至链路130(在该示例中,供应商间链路)的网络接口与新转发表进行关联的数据。
ASBR 116根据相对于链路130执行的协议,在该新转发表内安装转发信息。ASBR116可以为AS间链路(例如,链路130)维护路由表。同样,ASBR 116为每个供应商间链路(虽然在图1的示例中仅仅示出了一个这种链路,链路130)实例化不同的转发表。分别地,ASBR116为AS 110维护路由表和转发表。通过这种方法,ASBR 116在AS 110的转发表中安装向朝向核心的接口(也称为可信接口)公告的标签,并且ASBR 116在相应的转发表中安装向供应商间链路接口公告的标签。
通过为不同的标签域维护这种不同的转发表,在其相应的转发表内仅仅安装供应商间链路公告的标签。因此,ASBR 116可以防止标签假冒,这是因为如果耦接至ASBR 116的一个接口的装置使用仅向ASBR 116的不同接口公告的标签,则ASBR 116确定该标签未安装在通过其接收标签的接口的路由表内。因此,ASBR 116可以例如丢弃由未在相应链路(经由其接收数据包)上分配的标签封装的数据包。因此,ASBR 116可以防止标签假冒。
例如,假设MPLS路径140的数据包由标签L1封装。进一步假设ASBR 116通信地耦接至多个不同的ASBR(包括ASBR 122)(在图1未示出其它ASBR)。而且,ASBR 116可以在与链路130相关联的路由表以及转发表内储存标签L1。因此,ASBR 116可以通过耦接至链路130的接口分配标签L1,并且ASBR 122可以相应地使用标签L1公告标签路由。作为回应,由于标签L1预先储存在与链路130相关联的路由表内,所以在使用标签L1标记路由时,ASBR 116可以在与链路130相关联的路由表内安装路由。同样,如果ASBR 116经由耦接至链路130的接口接收由标签L1封装的数据包,则ASBR 116可以确定在与链路130相关联的转发表内存在标签L1,因此,根据转发表的转发信息转发数据包(例如,至路由器114)。
然而,假设ASBR 116经由一个不同的接口接收使用L1标记的数据包。ASBR 116可以确定在与不同的接口相关联的转发表内是否存在L1。由于L1与链路130相关联(根据以上讨论),所以ASBR 116可以确定在与不同的接口相关联的转发表内不存在L1。因此,ASBR116可以丢弃数据包,从而防止标签假冒。这假设未通过不同的接口预先并且单独地分配标签L1,标签不需要在不同的标签空间之间唯一。
通过这种方式,ASBR 116的不可信对端(未包含在AS 110内的网络装置)的路由和转发信息可以与可信对端(即,AS 110的其它网络装置,例如,PE路由器112和路由器114)的路由和转发信息隔离。因此,ASBR 116可以维护MPLS家族的各个路由和转发表,仅通过与相应路由实例的对端交换的标签传播。实例先关的表还提供单独的路由域,这可以提供与IP流量的防火墙相似的保障。
图2是示出图1的ASBR 116的组件的示例设置的框图。ASBR 122可以包括相似的组件。在图2的示例中,ASBR 116包括朝向供应商间链路的接口卡174A–174N(朝向供应商间链路的IFC 174)和朝向核心的接口卡172A–172N(“朝向核心的IFC 172”),其中,接口卡174A–174N用于通过入站链路182A–182N(“入站链路182”)和出站链路180A–180N(“出站链路180”)传送数据包;接口卡172A–172N用于通过出站链路178A–178N(“出站链路178”)和入站链路176A–176N(“入站链路176”)传送数据包。通过多个接口端口(未示出),朝向核心的IFC172耦接至出站链路178和入站链路176,并且朝向供应商间链路的IFC 174耦接至入站链路182和出站链路180。每个朝向核心的IFC 172耦接至AS 110的相应网络装置,而每个朝向供应商间链路的IFC 174耦接至相应的客户边缘网络装置(任何或所有这些客户边缘网络装置可以属于不同的客户)或者耦接至AS 110外部的其它网络。应理解的是,字母“N”用于表示任意数量的装置,而且此外,虽然IFC 172和IFC 174的基数都使用变量“N”表示,但是IFC174的数量不必等于IFC 172的数量。
ASBR 116还包括处理单元150。处理单元150包括转发引擎164、转发信息库(FIB)162、路由引擎154以及路由信息库(RIB)152。转发信息库162包括AS转发表168和AS间转发表170,而路由信息库152包括AS路由表158和AS间路由表160。默认路由示例对应于AS路由表158和AS转发表168。AS间转发表170形成用于AS间链路的转发实例,例如,对应于IFC 174中相应的一个。
处理单元150可以在硬件、软件、固件或其任何组合内实现。在一个示例中,转发引擎164的指令在计算机可读储存介质内编码并且由处理单元150的处理器执行。在其它示例中,转发引擎164对应于离散硬件单元,例如,数字信号处理器(DSP)、特定用途集成电路(ASIC)、现场可编程门阵列(FPGA)、或任何其它等效的集成或离散逻辑电路或其组合。同样,路由引擎154包括硬件、软件和/或固件的任何组合,其执行一个或多个路由协议,以确定通过网络的路由。路由引擎154在RIB 152内储存了已知的并且计算的路由,其中,由ASBR116提供的用于不同VPN的客户路由储存在AS间路由表160内,用于在每个AS间转发表170内生成VPN特有的转发信息。AS转发表168将至单独的AS的链路(例如,链路130)的装置的隧道与一个朝向核心的IFC 172相关联。通过这种方式,不同的路由示例用于为不同的VPN在逻辑上分离路由和转发信息。
处理单元150还储存配置(config)数据156和映射数据166。配置数据156通常由管理员提供,以限定ASBR 116的配置数据,包括指定IFC 172、174。此外,ASBR 116可以生成配置数据156,以限定AS路由表158还是AS间路由表160是否对应于IFC 172、174的每一个。同样,映射数据166包括限定在AS路由表158、AS转发表168、AS间路由表160、AS间转发表170以及朝向核心的IFC 172和朝向供应商间链路的IFC 174之间的对应性的数据。
通常,在ASBR 116通过IFC 174中的一个(例如,IFC 174A)接收数据包时,IFC174A将数据包传送给转发引擎164。转发引擎164检查数据包,以确定数据包的目的地,例如,基于包括目的地的互联网协议(IP)地址或用于封装数据包的标签的数据包的报头信息或者基于用于封装数据包的标签。
根据本公开的技术,AS路由表158和AS转发表168与朝向核心的IFC 172相关联。即,处理单元150将AS路由表158的路由信息和AS转发表168的转发信息用于通过每个IFC172接收的数据包。换言之,处理单元150为朝向核心的IFC 172维护单个路由表和单个转发表。然而,每个朝向供应商间链路的IFC 174与AS间路由表160以及相应的一个AS间转发表170相关联。通过这种方式,在ASBR 116通过一个朝向供应商间链路的IFC 174接收数据包时,处理单元150将通过其接收数据包的一个朝向供应商间链路的IFC 174用作选择一个AS间转发表170的上下文。
例如,如果ASBR 116通过朝向供应商间链路的IFC 174A(例如,其规定ASBR 116是其目的地)接收已标记的路由公告,则路由引擎154可以确定已标记的路由公告的标签是否通过朝向供应商间链路的IFC 174A预先分配。即,路由引擎154可以选择与朝向供应商间链路的IFC 174A相关联的AS间路由表160(由配置数据156表示),并且确定该标签是否储存在所选的一个AS间转发表170内。如果标签储存在所选的一个AS间转发表170内,则转发引擎164可以将数据包转发给路由引擎154,该路由引擎将路由从已标记的路由公告中安装到AS间路由表160内,然后,将对应的一个AS间转发表170(即,与IFC 174A相关联的一个AS间转发表)的转发信息编程。然而,如果标签未储存在所选的一个AS间转发表170内,则转发引擎164可以丢弃已标记的路由公告。
同样,当ASBR 116通过一个朝向供应商间链路的IFC 174接收待转发的数据包(例如,指定除了ASBR 116以外的目标)时,转发引擎164可以确定与一个朝向供应商间链路的IFC 174对应(例如,基于映射数据166)的一个AS间转发表170。与已标记的路由公告一样,转发引擎164可以确定一个朝向供应商间链路的IFC 174(通过其接收已标记的数据包),并且将其用作选择一个AS间转发表170(在其内执行转发数据包的查找)的上下文。而且,转发引擎164可以确定在AS间转发表170内是否存在用于封装数据包的标签。如果存在该标签,则转发引擎164通过一个IFC 172转发数据包,所选择的一个AS间转发表170的转发信息将标签(或数据包的其它信息,例如,数据包的标签栈的不同标签或在数据包的报头信息内指定的目的地IP地址)映射到该IFC 172。然而,如果在所选择的一个AS间转发表170内不存在标签,则转发引擎164可以丢弃该数据包。
通过这种方式,ASBR 116表示在第一AS(AS 110)的第一PE路由器(PE路由器112)和不同的第二AS(AS 120)的第二PE路由器(PE路由器126)之间的第一AS的ASBR的示例,其中,第一PE路由器和第二PE路由器形成MPLS路径(MPLS路径140)。而且,在该示例中,ASBR116包括:接口,通信地耦接至该第一AS(例如,朝向供应商间链路的IFC 174)外部的路由装置;存储器,配置为储存与该接口相关联的转发表(例如,AS间转发表170);以及一个或多个处理单元(例如,处理单元150),配置为通过接口接收数据包,确定该数据包由MPLS标签封装,基于通过其接收该数据包的接口选择转发表,并且根据转发信息(该转发表将MPLS标签映射到转发信息中)转发该数据包。
图3是示出用于确定如何处理从位于AS外部的装置接收的已标记数据的示例方法的流程图。图3的方法可以由例如ASBR 116或ASBR 122执行。为了解释的目的,相对于ASBR116解释图3的方法。
首先,ASBR 116可以确定接口(例如,一个IFC 174)通信地耦接于至AS间装置的链路(200)。例如,管理员可以利用用于指示接口通信地耦合至AS 110外部的装置的信息配置ASBR 116。该接口可以耦接至最终到达单独的AS(例如,AS 120)的链路(例如,链路130)。
响应于该确定,ASBR 116可以实例化接口的转发表(202)。在接口耦接至AS 110(即,在其内包括ASBR 116的相同AS)的装置的示例中,ASBR 116可以使用共同转发表来储存接口的转发信息。然而,在图3的示例中,由于接口通信地耦接至AS 110外部的装置,所以ASBR 116实例化单独的转发表,例如,一个AS间转发表170。
ASBR 116还通过接口分配标签(204)。ASBR 116还在转发表内储存标签(206),即,为接口(通过其分配标签)实例化的转发表。而且,ASBR 116可以通过接口分配多个标签,并且在转发表内储存每个标签(并且还可以在接口的路由表内储存标签)。
随后,ASBR 116可以通过接口(208)接收已标记数据。即,数据可以由标签封装或者另外包括标签。标签不必与在步骤204中分配的标签相同。因此,ASBR 116可以基于包含数据的标签是否包含在转发表内来处理数据(210)。尤其是,如果包含数据的标签也包含在转发表内,则ASBR 116可以使用所接收的数据,而如果标签未包含在转发表内,则ASBR 116可以丢弃数据。
例如,如果所接收的数据是已标记的路由公告,并且标签包含在接口的转发表内,则ASBR 116可以在为接口实例化的路由表内安装路由。可替换地,如果所接收的数据是已标记的数据包(即,由包括标签的MPLS标签栈封装的数据包),且所接收的数据的目的地是一单独的装置,且标签包含在接口的转发表内,则ASBR 116可以根据为接口(通过其接收数据包)实例化的转发表的转发信息,转发数据包。
图4是示出根据本公开的技术的另一个示例方法的流程图。再次,为了示例的目的,虽然ASBR 122可以执行相似的方法,但是相对于ASBR 116解释图4的方法。
在该示例中,ASBR 116经由AS间接口(例如,一个朝向供应商间链路的IFC 174)接收数据包(220)。接口将数据包提供给转发引擎164。转发引擎164确定数据包由标签封装(222),例如,包括标签的MPLS标签栈。例如,转发引擎164可以处理数据包的报头,并且确定在数据包的以太网报头与IP报头之间具有MPLS报头。即,以太网报头的数据可以指定用于指示数据包包括MPLS报头的以太网类型值。
转发引擎164基于经由其接收数据包的接口选择转发表(224)。即,转发引擎164选择与该接口相关联的转发表(一个AS间转发表170)。因此,转发引擎164确定用于封装数据包的标签是否包含在转发表内(226)。如果标签包含在转发表内(226的“YES”分支),则转发引擎164使用转发表的数据转发数据包(228)。例如,转发表可以将数据包的目的地(可以由该标签、MPLS标签栈的另一个标签、数据包的IP报头或其它信息规定)映射到一个朝向核心的IFC 172。然而,如果该标签未包含在转发表内(226的“NO”分支),则转发引擎164可以丢弃数据包(230)。
通过这种方式,图4的方法可以由第一AS(例如,AS 110)的ASBR装置(例如,ASBR116)执行,其中,ASBR装置在第一AS的第一PE路由器(例如,PE路由器112)和不同的第二AS(例如,AS 120)的第二PE路由器(例如,PE路由器126)之间,并且其中,第一PE路由器和第二PE路由器形成MPLS路径(例如,MPLS路径140)。图4的方法还表示以下方法的示例,该方法包括:经由ASBR装置的接口接收数据包,该ASBR装置的接口通信地耦接至该第一AS外部的路由装置;确定该数据包由MPLS标签封装;基于经由其接收该数据包的接口选择转发表;并且当该转发表包括MPLS标签时,根据该转发表的转发信息,转发该数据包。
虽然图4的方法表示由ASBR 116转发的数据包的示例,但是在其它示例中,数据包可以传送至ASBR 116本身。例如,数据包可以指定ASBR 116作为其目的地,并且包括已标记的路由公告。在一些示例中,ASBR 116可以通过基本上相同的方式处理这种数据包,例如,确定标签是否包含在转发表内。然而,在确定数据包的标签是否通过接收数据包的接口分配之后,转发引擎164可以将数据包转发给路由引擎154,而不是通过一个朝向核心的IFC172转发数据包。
在本公开中描述的技术可以至少部分在硬件、软件、固件或其任何组合内实现。例如,所描述的技术的各个方面可以在一个或多个处理器内实现,包括一个或多个微处理器、数字信号处理器(DSP)、特定用途集成电路(ASIC)、现场可编程门阵列(FPGA)或任何其它等效的集成或离散逻辑电路以及这种元件的任何组合。术语“处理器”或“处理电路”可以笼统地涉及单独的或者与其它逻辑电路相结合的任何上述逻辑电路或者任何其它等效电路。包括硬件的控制单元还可以执行本公开的一个或多个技术。
这种硬件、软件以及固件可以在相同的装置内或者在单独的装置内实现,以支持在本公开中描述的各种操作和功能。此外,任何描述的单元、模块或组件可以共同实现或者作为离散但彼此协作的逻辑装置单独地实现。将不同的特征描述为模块或单元,旨在突出不同的功能方面并且,不是必然表示这种模块或单元必须由单独的硬件或软件组件实现。更确切地说,与一个或多个模块或单元相关联的功能可以由单独的硬件或软件组件执行,或者集成在共同的或单独的硬件或软件组件内。
在本公开中描述的技术还可以在包含指令的计算机可读介质中体现或编码,例如,计算机可读储存介质。在计算机可读介质内嵌入或编码的指令可以使可编程处理器或其它处理器执行该方法,例如,当执行指令时。计算机可读介质可以包括非易失性计算机可读储存介质和瞬时通信介质。有形并且非易失性计算机可读储存介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、盒式磁带、磁性介质、光学介质或其它计算机可读储存介质。应理解的是,术语“计算机可读储存介质”指的是物理储存介质,而非信号、载波或其它瞬时介质。
已经描述了各种示例。这些和其它示例在以下权利要求的范围内。
Claims (15)
1.一种方法,其中,自治系统边界路由器(ASBR)装置在第一自治系统(AS)的第一供应商边缘(PE)路由器和不同的第二自治系统的第二PE路由器之间,并且其中,所述第一供应商边缘路由器和所述第二供应商边缘路由器形成多协议标签交换(MPLS)路径,所述方法包括由所述第一自治系统的所述自治系统边界路由器装置:
经由通信地耦接至所述第一自治系统外部的路由装置的所述自治系统边界路由器装置的接口接收数据包;
确定所述数据包由多协议标签交换标签封装;
基于通过其接收所述数据包的所述接口选择转发表;以及
当所述转发表包括所述多协议标签交换标签时,根据所述转发表的转发信息,转发所述数据包。
2.根据权利要求1所述的方法,进一步包括:在接收所述数据包之前,实例化所述转发表并且将所述转发表与所述接口相关联。
3.根据权利要求1所述的方法,其中,所述数据包包括第一数据包并且所述多协议标签交换标签包括第一多协议标签交换标签,所述方法进一步包括:
经由所述接口接收第二数据包;
确定所述第二数据包由第二多协议标签交换标签封装;以及
响应于确定所述第二多协议标签交换数据包未包含在所述转发表内,丢弃所述数据包。
4.根据权利要求1所述的方法,其中,所述数据包包括第一数据包,所述接口包括第一接口,并且所述转发表包括第一转发表,所述方法进一步包括:
经由所述自治系统边界路由器装置的第二接口接收第二数据包,所述第二接口通信地耦接至所述第一自治系统内部的路由装置;
选择与所述第二接口相关联的第二转发表;以及
根据所述第二转发表的转发信息,转发所述第二数据包。
5.根据权利要求1所述的方法,其中,所述多协议标签交换路径与虚拟专用网络(VPN)相关联。
6.根据权利要求1所述的方法,其中,所述接口包括多个自治系统间接口的第一自治系统间接口,其中,所述转发表包括第一转发表,并且其中,所述多协议标签交换路径包括多个多协议标签交换路径的第一多协议标签交换路径,所述多个多协议标签交换路径中的每个与所述多个自治系统间接口中相应的一个相关联,所述方法进一步包括:维护每个与所述多个自治系统间接口中相应的一个相关联的多个转发表。
7.根据权利要求6所述的方法,进一步包括:维护与所述自治系统边界路由器装置的通信地耦接到所述第一自治系统内的装置的所有接口相关联的单个转发表,其中,所述单个转发表与和所述多个自治系统间接口相关联的多个转发表分离。
8.一种第一自治系统(AS)的自治系统边界路由器(ASBR)装置,其中,所述自治系统边界路由器装置在所述第一自治系统的第一供应商边缘(PE)路由器和不同的第二自治系统的第二供应商边缘路由器之间,并且其中,所述第一供应商边缘路由器和所述第二供应商边缘路由器形成多协议标签交换(MPLS)路径,所述自治系统边界路由器装置包括:
接口,通信地耦接至所述第一自治系统外部的路由装置;
存储器,被配置为储存与所述接口相关联的转发表;以及
一个或多个处理单元,被配置为:
经由所述接口接收数据包;
确定所述数据包由多协议标签交换标签封装;
基于通过其接收所述数据包的所述接口选择转发表;以及
当所述转发表包括所述多协议标签交换标签时,根据所述转发表的转发信息,转发所述数据包。
9.根据权利要求8所述的自治系统边界路由器装置,其中,所述一个或多个处理单元包括转发引擎。
10.根据权利要求8所述的自治系统边界路由器装置,其中,所述一个或多个处理单元被配置为在接收所述数据包之前,实例化所述转发表并且将所述转发表与所述接口相关联。
11.根据权利要求8所述的自治系统边界路由器装置,其中,所述数据包包括第一数据包并且所述多协议标签交换标签包括第一多协议标签交换标签,并且其中,所述一个或多个处理单元进一步被配置为:
经由所述接口接收第二数据包;
确定所述第二数据包由第二多协议标签交换标签封装;并且
响应于确定所述第二数据包未包含在所述转发表内,丢弃所述数据包。
12.根据权利要求8所述的自治系统边界路由器装置,其中,所述数据包包括第一数据包,所述接口包括第一接口,并且所述转发表包括第一转发表,进一步包括:
第二接口,通信地耦接至所述第一自治系统内部的路由装置,
其中,所述一个或多个处理单元进一步被配置为:
经由通信地耦接至所述第一自治系统内部的路由装置的所述自治系统边界路由器装置的接口接收第二数据包;
选择与所述第二接口相关联的第二转发表;以及
根据所述第二转发表的转发信息,转发所述第二数据包。
13.根据权利要求8所述的自治系统边界路由器装置,其中,所述接口包括多个自治系统间接口的第一自治系统间接口,其中,所述转发表包括第一转发表,其中,所述多协议标签交换路径包括多个多协议标签交换路径的第一多协议标签交换路径,所述多个多协议标签交换路径中的每个与所述多个自治系统间接口中相应的一个相关联,其中,所述存储器进一步被配置为存储包括所述第一转发表的多个转发表,并且其中,所述多个转发表中的每个与所述多个自治系统间接口中相应的一个相关联。
14.根据权利要求13所述的自治系统边界路由器装置,其中,所述存储器被配置为存储与所述自治系统边界路由器装置的通信地耦接至所述第一自治系统内的装置的所有接口相关联的单个转发表,其中,所述单个转发表与和所述多个自治系统间接口相关联的多个转发表分离。
15.一种包括指令的计算机可读储存介质,在执行时,所述指令使第一自治系统(AS)的自治系统边界路由器(ASBR)装置的处理器执行权利要求1-7中任一项所述的方法,其中,所述自治系统边界路由器装置在所述第一自治系统的第一供应商边缘(PE)路由器和不同的第二自治系统的第二供应商边缘路由器之间,并且其中,所述第一供应商边缘路由器和所述第二供应商边缘路由器形成多协议标签交换(MPLS)路径。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/871,044 US9860162B2 (en) | 2015-09-30 | 2015-09-30 | Securing inter-autonomous system links |
US14/871,044 | 2015-09-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107070793A true CN107070793A (zh) | 2017-08-18 |
CN107070793B CN107070793B (zh) | 2020-10-02 |
Family
ID=57003446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610873593.1A Active CN107070793B (zh) | 2015-09-30 | 2016-09-30 | 用于确保自治系统间链路的方法和装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9860162B2 (zh) |
EP (1) | EP3151484B1 (zh) |
CN (1) | CN107070793B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109728922A (zh) * | 2017-10-27 | 2019-05-07 | 上海乾廷网络科技有限公司 | 一种在自治网络中配置组播链路的方法和相关设备 |
CN111884929A (zh) * | 2020-07-23 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种数据转发方法及路由器 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10313494B2 (en) * | 2014-03-27 | 2019-06-04 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a VPN gateway |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1949779A (zh) * | 2005-10-12 | 2007-04-18 | 丛林网络公司 | 标签交换计算机网络中的欺骗检查 |
WO2007082405A1 (fr) * | 2006-01-16 | 2007-07-26 | Zte Corporation | Procédé d'exécution pour détecter la légitimité d'un chemin de message à étiquette |
US7394820B1 (en) * | 2004-01-28 | 2008-07-01 | Sprint Communications Company L.P. | Interworking unit (IWU) for interfacing a plurality of client devices to a multiprotocol label switching (MPLS) |
CN101931548A (zh) * | 2009-06-24 | 2010-12-29 | 华为技术有限公司 | 一种接入网络标签管理方法、装置和系统 |
CN103931147A (zh) * | 2011-11-14 | 2014-07-16 | 英特尔公司 | 面向连接的网络中的路径分集 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1933448A (zh) * | 2006-08-17 | 2007-03-21 | 华为技术有限公司 | 业务快速收敛的方法和网络设备 |
US8125926B1 (en) | 2007-10-16 | 2012-02-28 | Juniper Networks, Inc. | Inter-autonomous system (AS) virtual private local area network service (VPLS) |
CN101237376A (zh) * | 2008-01-24 | 2008-08-06 | 华为技术有限公司 | 一种虚拟专用网的标签获取方法和自主系统边界路由设备 |
JP5175562B2 (ja) | 2008-01-28 | 2013-04-03 | シャープ株式会社 | 人物位置検出装置および空気調和機 |
US9019962B1 (en) | 2009-12-03 | 2015-04-28 | Juniper Networks, Inc. | Tunneling from a provider edge routing device to a remote customer edge network device |
-
2015
- 2015-09-30 US US14/871,044 patent/US9860162B2/en active Active
-
2016
- 2016-09-27 EP EP16190810.8A patent/EP3151484B1/en active Active
- 2016-09-30 CN CN201610873593.1A patent/CN107070793B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7394820B1 (en) * | 2004-01-28 | 2008-07-01 | Sprint Communications Company L.P. | Interworking unit (IWU) for interfacing a plurality of client devices to a multiprotocol label switching (MPLS) |
CN1949779A (zh) * | 2005-10-12 | 2007-04-18 | 丛林网络公司 | 标签交换计算机网络中的欺骗检查 |
WO2007082405A1 (fr) * | 2006-01-16 | 2007-07-26 | Zte Corporation | Procédé d'exécution pour détecter la légitimité d'un chemin de message à étiquette |
CN101931548A (zh) * | 2009-06-24 | 2010-12-29 | 华为技术有限公司 | 一种接入网络标签管理方法、装置和系统 |
CN103931147A (zh) * | 2011-11-14 | 2014-07-16 | 英特尔公司 | 面向连接的网络中的路径分集 |
Non-Patent Citations (1)
Title |
---|
E. ROSEN,等: "《rfc4364》", 28 February 2006 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109728922A (zh) * | 2017-10-27 | 2019-05-07 | 上海乾廷网络科技有限公司 | 一种在自治网络中配置组播链路的方法和相关设备 |
CN111884929A (zh) * | 2020-07-23 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种数据转发方法及路由器 |
Also Published As
Publication number | Publication date |
---|---|
US9860162B2 (en) | 2018-01-02 |
US20170093701A1 (en) | 2017-03-30 |
CN107070793B (zh) | 2020-10-02 |
EP3151484A1 (en) | 2017-04-05 |
EP3151484B1 (en) | 2019-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE49485E1 (en) | Overlay management protocol for secure routing based on an overlay network | |
CN108702328B (zh) | 用于穿越分段路由和mpls网络的业务的灵活路径拼接和选择的is-is扩展 | |
EP3417577B1 (en) | Ospf extensions for flexible path stitching and selection for traffic transiting segment routing and mpls networks | |
US10164838B2 (en) | Seamless segment routing | |
US8488491B2 (en) | Compressed virtual routing and forwarding in a communications network | |
Lasserre et al. | Framework for data center (DC) network virtualization | |
US7486659B1 (en) | Method and apparatus for exchanging routing information between virtual private network sites | |
US7894450B2 (en) | Implementation of VPNs over a link state protocol controlled ethernet network | |
CN107547335A (zh) | 在evpn中信号通知ip地址移动的方法和网络设备 | |
EP1971084A1 (en) | MPLS Transport network scheme | |
EP3809641A1 (en) | Improved port mirroring over evpn vxlan | |
EP2698951A1 (en) | MPL P node replacement using a link state protocol controlled ethernet network | |
US20040017816A1 (en) | Managing traffic in a multiport network node using logical ports | |
CN107135133A (zh) | 多家庭pbb‑evpn网络中的水平分割数据包转发 | |
US9871675B2 (en) | Interconnecting virtual private networks | |
EP2087419B1 (en) | Supporting bgp based ip-vpn in a routed network | |
US12021744B2 (en) | Stitching Label-Switched Paths between autonomous systems with internet protocol | |
CN107070793A (zh) | 确保自治系统间链路 | |
US9407544B1 (en) | Network virtualization using IP map and encapsulation | |
CN100426804C (zh) | 实现混合站点虚拟专用网的方法 | |
USRE50148E1 (en) | Overlay management protocol for secure routing based on an overlay network | |
Bitar et al. | Internet Engineering Task Force (IETF) M. Lasserre Request for Comments: 7365 F. Balus Category: Informational Alcatel-Lucent |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
GR01 | Patent grant | ||
GR01 | Patent grant |