CN112468398B - 一种vpn的处理方法和pe设备以及系统 - Google Patents
一种vpn的处理方法和pe设备以及系统 Download PDFInfo
- Publication number
- CN112468398B CN112468398B CN202011308899.5A CN202011308899A CN112468398B CN 112468398 B CN112468398 B CN 112468398B CN 202011308899 A CN202011308899 A CN 202011308899A CN 112468398 B CN112468398 B CN 112468398B
- Authority
- CN
- China
- Prior art keywords
- vpn
- route
- network device
- vpn route
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种VPN的处理方法和PE设备以及系统,用于实现PE设备发送VPN数据报文时路由方向的控制。本发明实施例提供一种VPN的处理方法,包括:第一PE设备接收第一CE设备发布的第一IP路由,以及接收第二CE设备发布的第二IP路由,第一IP路由和第二IP路由携带的IP地址前缀相同;第一PE设备根据第一IP路由获得第一VPN路由,且根据第二IP路由获得第二VPN路由,第一VPN路由携带第一Sub RD和用于标识第一Sub RD的第一标签,第二VPN路由携带第二Sub RD和用于标识第二Sub RD的第二标签;第一PE设备将第一VPN路由发布给第二PE设备,且将第二VPN路由发布给第二PE设备。
Description
本申请是于2015年12月31日提交国家知识产权局、申请号为CN 201511032503.8、发明名称为“一种VPN的处理方法和PE设备以及系统”的中国专利申请的分案申请,申请号为CN201511032503.8的中国专利申请的全部内容通过引用结合在本申请中。
技术领域
本发明涉及计算机技术领域,尤其涉及一种虚拟专用网(英文全称:VirtualPrivate Network,英文简称:VPN)的处理方法和提供商边缘(英文全称:Provider Edge,英文简称:PE)设备以及系统。
背景技术
边界网关协议(英文全称:Border Gateway Protocol,英文简称:BGP)是一种用于自治系统(英文全称:Autonomous System,英文简称:AS)之间的动态路由协议。早期发布的三个版本分别是BGP-1(以编号排定的文件(英文全称:Request For Comments,英文简称:RFC)1105)、BGP-2(RFC1163)和BGP-3(RFC1267),主要用于交换AS之间的可达路由信息,构建AS域间的传播路径,防止路由环路的产生,并在AS级别应用一些路由策略。当前使用的版本是BGP-4(RFC4271)。
BGP作为事实上的互联网外部路由协议标准,被广泛应用于因特网服务提供商(英文全称:Internet Service Provider,英文简称:ISP)之间。传统的BGP-4只能管理互联网协议第四版(英文全称:Internet Protocol version 4,英文简称:IPv4)的单播路由信息,对于使用其它网络层协议(例如互联网协议第六版(英文全称:Internet Protocolversion 6,英文简称:IPv6)、组播等)的应用就受到一定限制。为了提供对多种网络层协议的支持,国际互联网工程任务组(英文全称:Internet Engineering Task Force,英文简称:IETF)对BGP-4进行了扩展,形成BGP多协议扩展(英文全称:Multiprotocol Extensionsfor Border Gateway Protocol,英文简称:MP-BGP),目前的MP-BGP标准是BGP-4的多协议扩展(英文名称:Multiprotocol Extensions for BGP-4),即RFC4760。
为保证内部边界网关协议(英文全称:Internal Border Gateway Protocol,英文简称:IBGP)对等体之间的连通性,需要在IBGP对等体之间建立全网状(英文名称:Full-mesh)关系。假设在一个AS内部有n台路由器,那么应该建立的IBGP连接数就为n(n-1)/2,n为自然数。当IBGP对等体数目很多时,对网络资源和中央处理器(英文全称:CentralProcessing Unit,英文简称:CPU)资源的消耗都很大,利用路由反射可以解决这一问题。在一个AS内,其中一台路由器作为路由反射器(英文全称:Route Reflector,英文简称:RR),其它路由器作为客户机(英文名称:Client)。客户机与路由反射器之间建立IBGP连接。
BGP/多协议标签交换(英文名称:Multiple Protocol Label Switch,英文简称:MPLS)IP VPN是一种三层(英文全称:Layer3,英文简称:L3)VPN。它使用BGP在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商的骨干网上转发VPN报文。这里的IP是指VPN承载的IP报文。BGP/MPLS IP VPN的基本模型由三部分组成:客户边缘(英文全称:CustomerEdge,英文简称:CE)设备、PE设备和提供商(英文全称:Provider,英文简称:P)设备。
在VPN中的站点(英文名称:site)是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过服务提供商网络实现。一个site中的设备可以属于多个VPN。site通过CE设备连接到服务提供商网络,一个site可以包含多个CE设备,但一个CE设备只属于一个site。对于多个连接到同一服务提供商网络的site,通过制定策略,可以将它们划分为不同的集合(英文名称:set),只有属于相同集合的site之间才能通过服务提供商网络进行相互访问,这种集合就是VPN。
VPN是一种私有网络,不同的VPN独立管理自己的地址范围,也称为地址空间(英文名称:Address Space)。不同VPN的地址空间可能会在一定范围内重合,例如,VPN1和VPN2都使用10.110.10.0/24网段地址,这就发生了地址空间的重叠(英文名称:Address SpacesOverlapping)。
CE设备属于用户设备,无需感知到公网和其他私网的存在,因此CE设备只需要将本地私网路由传输给PE设备即可。运营商的PE设备一般会与多个不同私网的CE设备相连,所以PE设备会收到来自不同私网的路由。由于各个私网可能会使用重叠的地址空间,导致这些私网路由会携带相同的目的地址。如果PE设备只维护一张路由转发表,将使这些地址重叠的路由相互覆盖造成路由丢失。因此为了避免这种情况发生,VPN技术中产生了VPN实例(英文名称:VPN-instance)。
在BGP/MPLS IP VPN的组网场景中,VPN路由的发布涉及CE设备和PE设备,P设备只维护骨干网的路由,不需要了解任何VPN路由。PE设备一般维护所有VPN路由。PE设备可以从多个绑定相同VPN实例的CE设备接收到相同的IP地址前缀,为了区分不同VPN中相同的IP地址前缀,BGP/MPLS IP VPN使用了VPN-IPv4地址族。VPN-IPv4地址共有12个字节,包括8个字节的主路由标识符(英文全称:Router Distinguisher,英文简称:RD)和4个字节的IPv4地址前缀。由于本端PE设备将相同的主RD和相同的IP地址前缀的VPN-IPv4路由向远端发布时,根据RFC4271规定的BGP路由优选规则,PE设备只能选择其中一条VPN-IPv4路由,因此在远端PE设备上也只能看到一条路由。因此从远端PE设备向本端RE设备返回VPN数据报文时,远端PE设备只能沿着本端PE设备采用的VPN-IPv4路由返回VPN数据报文。因此,现有技术中前述的远端PE设备作为进入(英文名称:Ingress)PE设备时,无法控制VPN数据报文的路由方向,也就无法实现网络流量的优化。
发明内容
本发明实施例提供了一种VPN的处理方法和PE设备以及系统,用于实现PE设备发送VPN数据报文时路由方向的控制,实现对网络流量的优化管理。
为解决上述技术问题,本发明实施例提供以下技术方案:
第一方面,本发明实施例提供一种VPN的处理方法,包括:
第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
所述第一PE设备根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一CE设备,所述第二Sub RD用于指示所述第二CE设备;
所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
在本发明实施例中,当第一PE设备连接的第一CE设备和第二CE设备分别发布的第一IP路由和第二IP路由具有相同IP地址前缀,第一PE设备可以根据第一IP路由和第二IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一CE设备,第二VPN路由中的第二Sub RD指示第二CE设备。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备连接的两个CE设备生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
结合第一方面,在第一方面的第一种可能的实现方式中,所述方法还包括:
所述第一PE设备将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;
所述第一PE设备将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第一PE设备可以通过出口目标属性控制VPN路由的发布。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
结合第一方面,在第一方面的第二种可能的实现方式中,所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,所述方法还包括:
所述第一PE设备接收所述第二PE设备发送的VPN数据报文;
所述第一PE设备确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述第一PE设备将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述第一PE设备将所述VPN数据报文转发给所述第二CE设备。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
结合第一方面或第一方面的第一种可能或第二种可能的实现方式中,在第一方面的第三种可能的实现方式中,所述第一VPN路由中还携带有所述IP地址前缀,所述第一SubRD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
在本发明实施例中,第一PE设备获得的第一VPN路由中第一Sub RD与IP地址前缀的位置相邻,第一PE设备获得的第二VPN路由中第二Sub RD与IP地址前缀的位置相邻,使得第二PE设备可以通过第一VPN路由获取到第一Sub RD,通过第二VPN路由获取到第二SubRD。
第二方面,本发明实施例还提供另一种VPN的处理方法,包括:
第二提供商边缘PE设备接收来自第一PE设备的第一VPN路由,以及接收来自所述第一PE设备的第二VPN路由,其中,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签;
所述第二PE设备根据所述第一Sub RD获取到第一标签,且根据所述第二Sub RD获取到第二标签,所述第一标签和所述第二标签用于所述第二PE设备配置给需要发送的VPN数据报文。
在本发明实施例中,第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
结合第二方面,在第二方面的第一种可能的实现方式中,所述方法还包括:
所述第二PE设备向所述第一PE设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述方法还包括:
所述第二PE设备从所述第一VPN路由中获取到第一出口目标属性,所述第二PE设备确定所述第一出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二PE设备的VPN路由表;
所述第二PE设备从所述第二VPN路由中获取到第二出口目标属性,所述第二PE设备确定所述第二出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二PE设备的VPN路由表。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表,从而第一PE设备可以实现对VPN路由表的维护。
第三方面,本发明实施例还提供另一种VPN的处理方法,包括:
第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由,所述第一PE设备和所述第一CE设备之间配置有第一链路和第二链路;
所述第一PE设备根据所述第一IP路由获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带与所述第二链路对应的第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一链路,所述第二Sub RD用于指示所述第二链路;
所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
本发明实施例中,第一PE设备和第一CE设备之间配置有第一链路和第二链路,第一PE设备可以根据第一IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一链路,第二VPN路由中的第二Sub RD指示第二链路。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备与第一CE设备的两条链路生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
结合第三方面,在第三方面的第一种可能的实现方式中,所述方法还包括:
所述第一PE设备接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
所述第一PE设备根据所述第二IP路由获得第三VPN路由,所述第三VPN路由携带第三Sub RD和用于标识所述第三Sub RD的第三标签,所述第三Sub RD用于指示所述第二CE设备;
所述第一PE设备将所述第三VPN路由发布给第二PE设备。
在本发明实施例中,第一PE设备除了连接有第一CE设备、第二CE设备之外,第一PE设备还连接有第三CE设备,第一PE设备向第二PE设备发布有三个VPN路由,则第二PE设备可以获取到第一VPN路由、第二VPN路由和第三VPN路由。第二PE设备可以从三个VPN路由中获取到三个标签(分别为第一标签、第二标签、第三标签),从而第二PE设备可以确定这三个标签中哪个标签用于配置给VPN数据报文,第二PE设备配置的具体标签指示了第一PE设备发送VPN数据报文的流量方向,从而实现第二PE设备对路由方向的控制。
结合第三方面,在第三方面的第二种可能的实现方式中,所述方法还包括:
所述第一PE设备将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;
所述第一PE设备将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第一PE设备可以通过出口目标属性控制VPN路由的发布。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
结合第三方面,在第三方面的第三种可能的实现方式中,所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,所述方法还包括:
所述第一PE设备接收所述第二PE设备发送的VPN数据报文;
所述第一PE设备确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述第一PE设备将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述第一PE设备将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
结合第三方面或第三方面的第一种可能或第二种可能或第三种可能的实现方式中,在第三方面的第四种可能的实现方式中,所述第一VPN路由中还携带有所述IP地址前缀,所述第一Sub RD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
在本发明实施例中,第一PE设备获得的第一VPN路由中第一Sub RD与IP地址前缀的位置相邻,第一PE设备获得的第二VPN路由中第二Sub RD与IP地址前缀的位置相邻,使得第二PE设备可以通过第一VPN路由获取到第一Sub RD,通过第二VPN路由获取到第二SubRD。
第四方面,本发明实施例还提供一种PE设备,所述PE设备具体为第一PE设备,所述第一PE设备包括:
收发模块,用于接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
VPN配置模块,用于根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一CE设备,所述第二Sub RD用于指示所述第二CE设备;
所述收发模块,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
在本发明实施例中,当第一PE设备连接的第一CE设备和第二CE设备分别发布的第一IP路由和第二IP路由具有相同IP地址前缀,第一PE设备可以根据第一IP路由和第二IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一CE设备,第二VPN路由中的第二Sub RD指示第二CE设备。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备连接的两个CE设备生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
结合第四方面,在第四方面的第一种可能的实现方式中,所述第一PE设备还包括:目标属性配置模块,用于将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第一PE设备可以通过出口目标属性控制VPN路由的发布。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
结合第四方面,在第四方面的第二种可能的实现方式中,所述第一PE设备,还包括:标签解析模块,其中,
所述收发模块,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,接收所述第二PE设备发送的VPN数据报文;
所述标签解析模块,用于确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述收发模块将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述收发模块将所述VPN数据报文转发给所述第二CE设备。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
结合第四方面或第四方面的第一种可能或第二种可能的实现方式中,在第四方面的第三种可能的实现方式中,所述第一VPN路由中还携带有所述IP地址前缀,所述第一SubRD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
在本发明实施例中,第一PE设备获得的第一VPN路由中第一Sub RD与IP地址前缀的位置相邻,第一PE设备获得的第二VPN路由中第二Sub RD与IP地址前缀的位置相邻,使得第二PE设备可以通过第一VPN路由获取到第一Sub RD,通过第二VPN路由获取到第二SubRD。
第五方面,本发明实施例还提供另一种PE设备,所述PE设备具体为第二PE设备,所述第二PE设备包括:
收发模块,用于接收来自第一PE设备的第一VPN路由,以及接收来自所述第一PE设备的第二VPN路由,其中,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签;
标签获取模块,用于根据所述第一Sub RD获取到第一标签,且根据所述第二SubRD获取到第二标签,所述第一标签和所述第二标签用于所述第二PE设备配置给需要发送的VPN数据报文。
在本发明实施例中,第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
结合第五方面,在第五方面的第一种可能的实现方式中,所述收发模块,还用于向所述第一PE设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
结合第五方面或第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述第二PE设备还包括:目标属性处理模块,用于从所述第一VPN路由中获取到第一出口目标属性,确定所述第一出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二PE设备的VPN路由表;从所述第二VPN路由中获取到第二出口目标属性,确定所述第二出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二PE设备的VPN路由表。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表,从而第一PE设备可以实现对VPN路由表的维护。
第六方面,本发明实施例还提供另一种PE设备,所述PE设备具体为第一PE设备,所述第一PE设备包括:
收发模块,用于接收第一客户边缘CE设备发布的第一互联网协议IP路由,所述第一PE设备和所述第一CE设备之间配置有第一链路和第二链路;
VPN配置模块,用于根据所述第一IP路由获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一子路由标识符Sub RD和用于标识所述第一SubRD的第一标签,所述第二VPN路由携带与所述第二链路对应的第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一链路,所述第二Sub RD用于指示所述第二链路;
所述收发模块,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
本发明实施例中,第一PE设备和第一CE设备之间配置有第一链路和第二链路,第一PE设备可以根据第一IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一链路,第二VPN路由中的第二Sub RD指示第二链路。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备与第一CE设备的两条链路生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
结合第六方面,在第六方面的第一种可能的实现方式中,
所述收发模块,还用于接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
所述VPN配置模块,还用于根据所述第二IP路由获得第三VPN路由,所述第三VPN路由携带第三Sub RD和用于标识所述第三Sub RD的第三标签,所述第三Sub RD用于指示所述第二CE设备;
所述收发模块,还用于将所述第三VPN路由发布给第二PE设备。
在本发明实施例中,第一PE设备除了连接有第一CE设备、第二CE设备之外,第一PE设备还连接有第三CE设备,第一PE设备向第二PE设备发布有三个VPN路由,则第二PE设备可以获取到第一VPN路由、第二VPN路由和第三VPN路由。第二PE设备可以从三个VPN路由中获取到三个标签(分别为第一标签、第二标签、第三标签),从而第二PE设备可以确定这三个标签中哪个标签用于配置给VPN数据报文,第二PE设备配置的具体标签指示了第一PE设备发送VPN数据报文的流量方向,从而实现第二PE设备对路由方向的控制。
结合第六方面,在第六方面的第二种可能的实现方式中,所述第一PE设备还包括:目标属性配置模块,用于将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第一PE设备可以通过出口目标属性控制VPN路由的发布。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
结合第六方面,在第六方面的第三种可能的实现方式中,所述第一PE设备,还包括:标签解析模块,其中,
所述收发模块,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,接收所述第二PE设备发送的VPN数据报文;
所述标签解析模块,用于确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述收发模块将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述收发模块将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
结合第六方面或第六方面的第一种可能或第二种可能或第三种可能的实现方式中,在第六方面的第四种可能的实现方式中,所述第一VPN路由中还携带有所述IP地址前缀,所述第一Sub RD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
在本发明实施例中,第一PE设备获得的第一VPN路由中第一Sub RD与IP地址前缀的位置相邻,第一PE设备获得的第二VPN路由中第二Sub RD与IP地址前缀的位置相邻,使得第二PE设备可以通过第一VPN路由获取到第一Sub RD,通过第二VPN路由获取到第二SubRD。
第七方面,本发明实施例还提供一种VPN的处理系统,
所述VPN的处理系统,包括:如第四方面中任意一项所述的第一PE设备、如第五方面中任意一项所述的第二PE设备;或,
所述VPN的处理系统,包括:如第六方面中任意一项所述的第一PE设备、如第五方面中任意一项所述的第二PE设备。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的VPN的处理方法应用的系统架构示意图;
图2为本发明实施例提供的一种VPN的处理方法的流程方框示意图;
图3为本发明实施例提供的VPN实例的示意图;
图4本发明实施例提供的VPN-IPv4地址结构示意图;
图5为本发明实施例提供的另一种VPN的处理方法的流程方框示意图;
图6为本发明实施例提供的另一种VPN的处理方法的流程方框示意图
图7为本发明实施例提供的一种VPN路由发布过程示意图;
图8-a为本发明实施例提供的一种第一PE设备的组成结构示意图;
图8-b为本发明实施例提供的另一种第一PE设备的组成结构示意图;
图8-c为本发明实施例提供的另一种第一PE设备的组成结构示意图;
图9-a为本发明实施例提供的一种第二PE设备的组成结构示意图;
图9-b为本发明实施例提供的另一种第二PE设备的组成结构示意图;
图10-a为本发明实施例提供的另一种第一PE设备的组成结构示意图;
图10-b为本发明实施例提供的另一种第一PE设备的组成结构示意图;
图10-c为本发明实施例提供的另一种第一PE设备的组成结构示意图;
图11为本发明实施例提供的另一种第一PE设备的组成结构示意图;
图12为本发明实施例提供的另一种第二PE设备的组成结构示意图;
图13为本发明实施例提供的一种VPN的处理系统的组成结构示意图。
具体实施方式
本发明实施例提供了一种VPN的处理方法和PE设备以及系统,用于实现PE设备发送VPN数据报文时路由方向的控制,实现对网络流量的优化管理。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本发明的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
本发明实施例提供的VPN的处理方法可以用于BGP/MPLS IP VPN模型中。如图1所示,本发明实施例提供的VPN的处理方法应用的系统架构示意图。接下来以同一个PE设备连接的多个CE设备配置有相同的VPN实例为例进行说明,图1中以一个PE设备连接两个CE设备为例,两个CE设备属于同一个VPN,该VPN配置有一个VPN实例,因此两个CE设备属于同一个VPN实例。本发明实施例提供的VPN的处理方法可以适用于BGP/MPLS IP VPN模型,该模型中可以包括:CE设备、PE设备和P设备。其中,CE设备是用户网络边缘设备,直接与服务提供商网络相连。CE设备可以是路由器或交换机,也可以是一台主机。其中,所述交换机可以是二层交换机或三层交换机。通常情况下,CE设备感知不到VPN的存在,也不需要支持MPLS。根据site的情况,CE设备的可选方案举例说明如下:如果site只是一台主机,则这台主机就作为CE设备。如果site是单个子网,则使用交换机或路由器作为CE设备。如果site是多个子网,则使用路由器或三层交换机作为CE设备。P设备是服务提供商网络中的骨干设备,P设备不与CE设备直接相连。P设备具备基本MPLS转发能力,不维护VPN信息。PE设备是服务提供商网络的边缘设备,PE设备与CE设备直接相连,多个PE设备之间可以通过P设备连接起来,多个PE设备可以属于同一个ISP,也可以分属于不同的ISP,此处不做限定。举例说明如下,在MPLS网络中,对VPN的所有处理都发生在PE设备上,因此对PE设备的性能要求较高。PE设备和P设备仅由ISP管理,CE设备仅由用户管理,但是CE设备的用户管理也可以由ISP实现。一台PE设备可以接入多台CE设备。一台CE设备也可以连接属于相同或不同ISP的多台PE设备。
MPLS无缝地集成了IP路由技术的灵活性和异步转移模式(英文全称:Asynchronous Transfer Mode,英文简称:ATM)标签交换技术的简捷性。MPLS在无连接的IP网络中增加了面向连接的控制平面,为IP网络增添了管理和运营的手段。在IP网络中,MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的服务质量(英文全称:Quality of Service,英文简称:QoS)的重要工具。因此,使用基于MPLS的IP网络作为骨干网的VPN(即MPLS VPN)成为在IP网络运营商提供增值业务的重要手段。
BGP与内部网关协议(英文全称:Internal Gateway Protocol,英文简称:IGP)不同,其着眼点不在于发现和计算路由,而在于控制路由传播和选择的最佳路由。VPN本身就是利用ISP传递VPN数据,而ISP通常已经应用IGP发现和计算自身的路由。构建VPN的关键在于控制VPN路由的传播,及如何在两个PE设备之间选择最佳的路由。
需要说明的是,本发明实施例提供的VPN的处理方法可以适用于BGP,但是并不局限于BGP,前述实施例中以VPN的处理方法适用于BGP为例进行说明,但是本发明实施例提供的VPN的处理方法同样适用于其它的路由协议方式,例如本发明实施例提供的VPN的处理方法可用于静态路由方式,也可以适用于IGP,例如适用于开放式最短路径优先(英文全称:Open Shortest Path First,英文简称:OSPF)。
以下分别从第一PE设备和第二PE设备的角度对本发明实施例提供的VPN的处理方法进行详细说明。其中,第一PE设备和第二PE设备互为远端PE设备和本端PE设备,即当第一PE设备作为本端PE设备时,第二PE设备就是第一PE设备的远端PE设备,当第一PE设备作为远端PE设备时,第二PE设备就是第一PE设备的本端PE设备。在实际应用中,第一PE设备和第二PE设备可以是处于同一个AS或者分属于不同AS内的两个PE设备。接下来先从第一PE设备侧对本发明实施例提供的VPN的处理方法进行说明,请参阅图2所示,本发明一个实施例提供的VPN的处理方法,可以包括:
201、第一PE设备接收第一CE设备发布的第一IP路由,以及接收第二CE设备发布的第二IP路由,第一IP路由和第二IP路由携带的IP地址前缀相同。
在本发明实施例中,CE设备和用户设备相连接,CE设备和用户设备可以处于同一个AS内,CE设备和用户设备也可以属于不同的AS。CE设备可以从用户设备获取到IP地址前缀,CE设备向与该CE设备连接的PE设备发布携带IP地址前缀的IP路由。例如,第一PE设备连接有两个CE设备(分别为第一CE设备和第二CE设备),第一CE设备向第一PE设备发布第一IP路由,第二CE设备向第一PE设备发布第二IP路由。这两个CE设备发布的第一IP路由和第二IP路由具有相同的IP地址前缀。第一PE设备可以从第一CE设备和第二CE设备接收到两个IP路由。例如,第一PE设备可以通过第一PE设备和第一CE设备的外部边界网关协议(英文名称:External Border Gateway Protocol,英文简称:EBGP)连接接收到第一IP路由,通过第一PE设备和第二CE设备的EBGP连接接收到第二IP路由。需要说明的是,在本发明实施例中,第一PE设备除了和第一CE设备和第二CE设备连接之外,第一PE设备还可以连接有更多的CE设备,这些CE设备都可以向第一PE设备发布IP路由,则第一PE设备可以接收到多个IP路由。
在本发明实施例中,PE设备和CE设备之间可以配置至少一条链路。例如第一PE设备和第一CE设备之间可以配置一条链路,第一PE设备和第二CE设备之间可以配置一条链路。不限定的是,本发明实施例中,第一PE设备和第一CE设备之间还可以配置两条或多于两条的链路,第一PE设备和第二CE设备之间也可以配置两条或多余两条的链路。举例说明,第一PE设备和第一CE设备之间可以建立有M个链路,M为非零自然数,第一PE设备具有M个接口,则第一PE设备可以通过一个接口与第一CE设备构成一条链路,第一PE设备可以通过多个接口与第一CE设备构成多条链路。本发明实施例中,第一PE设备和多个CE设备之间可以存在多条链路,这些链路都对应于同一个VPN实例。如图3所示,为本发明实施例提供的VPN实例的示意图。第一PE设备处于骨干网中,第一PE设备上配置有VPN路由转发表(英文全称:VPN Routing and Forwarding table,英文简称:VRF)和公网路由转发表。第一PE上有一个VPN实例,该VPN实例包括一个VPN路由转发表。VPN实例维护VPN路由,公网实例维护公网路由,这样防止了路由因目的地址重叠而在第一PE设备上丢失的问题。
具体的,公网路由转发表与VPN路由转发表存在以下不同:公网路由表包括所有PE设备和P设备的IP路由,由骨干网的路由协议或静态路由产生,而VPN路由表包括属于该VPN实例的所有site的路由,通过CE设备与PE设备之间或者两个PE设备之间的VPN路由交互获得。PE设备上的各VPN实例之间相互独立,并与公网路由转发表相互独立。可以将VPN实例看作一台虚拟的设备,维护独立的地址空间并有连接到该设备的接口。在RFC4364(即BGP/MPLS IP VPN)中,CE设备与PE设备的多条链路对应一个VPN实例,实现这种对应关系的方法是将VPN实例和PE设备上与CE设备直接相连的接口关联(或称为绑定)。
另外,本发明实施例中,VPN、Site和VPN实例的关系如下:VPN是多个site的组合,一个site可以属于多个VPN。每一个site在PE设备上都关联一个VPN实例。VPN实例综合了它所关联的site的VPN成员关系和路由规则。多个site根据VPN实例的规则组合成一个VPN。
202、第一PE设备根据第一IP路由获得第一VPN路由,且根据第二IP路由获得第二VPN路由,第一VPN路由携带第一子路由标识符(英文全称:Sub Route Distinguisher,英文简称:Sub RD)和用于标识第一Sub RD的第一标签,第二VPN路由携带第二Sub RD和用于标识第二Sub RD的第二标签。
其中,第一Sub RD用于指示第一CE设备,第二Sub RD用于指示第二CE设备。
在本发明实施例中,第一PE设备从第一CE设备和第二CE设备获取到两个IP路由,第一PE设备根据第一IP路由可以生成第一VPN路由,根据第二IP路由可以生成第二VPN路由。由于第一IP路由和第二IP路由具有相同的IP地址前缀,为了区分不同VPN中相同的IP地址前缀,本发明实施例中需要在生成的两个VPN路由中分别携带一个Sub RD,两个Sub RD分别表示为第一Sub RD和第二Sub RD,通过在两个VPN路由中携带不同的Sub RD可以区分相同的IP地址前缀。为了标识VPN路由的路由方向,第一VPN路由中配置的第一Sub RD可以用于指示第一CE设备,第二VPN路由中配置的第二Sub RD用于指示第二CE设备。本发明实施例中,第一PE设备接收到具有相同IP地址前缀的两个IP路由之后生成了两个VPN路由,这两个VPN路由中通过不同的Sub RD可以区分相同的IP地址前缀,并且两个VPN路由中的不同SubRD还指示了不同的CE设备。
在本发明的一些实施例中,本发明实施例提供的VPN的处理方法中Sub RD与主RD不相同,该Sub RD可以是主RD的下层RD。举例说明,第一PE设备连接有3个CE设备,其中两个CE设备位于第一VPN,第一VPN对应第一VPN实例,第三CE设备位于第二VPN,第二VPN对应第二VPN实例,那么本发明实施例中需要给第一VPN实例和第二VPN实例分配主RD1和主RD2,另外本发明实施例中还可以为第一VPN实例下的两个CE设备分别分配一个Sub RD。因此subRD可以是主RD的下层RD,主RD可以与Sub RD共存。在本发明的另一些实施例中,如果第一PE设备连接的所有CE设备都处于同一个VPN,即所有CE设备对应相同的VPN实例,则本发明实施例中也可以不使用主RD,只使用Sub RD,即第一PE设备生成的多个VPN路由分别携带SubRD。
在现有技术中,主RD是为了区分不同的VPN实例,不同的VPN实例中也存在前缀相同的IP地址,因此可以通过主RD可以避免地址重复。例如,第一PE设备上的每一个VPN实例均设置一个唯一的主RD值,例如为客户1设置一个6812:1,为客户2设置一个6812:2,然后当要把客户1的路由放进BGP发布给第二PE设备时,将IPv4的路由前缀10.1.1.0/24前面增加该VPN的主RD,得到6812:1:10.1.1.0/24,这样就构成了一个64比特再加32比特也就是96比特的新前缀,这个前缀称之为VPN IPv4前缀,客户2的站点路由在BGP中传递时就变成了6812:2:10.1.1.0/24,如此则可解决地址重叠的问题,保证所有客户路由的唯一性。但是在现有技术中,对于处于相同VPN实例的多个CE设备都配置有相同的主RD,因此无法区分配置相同主RD的多个CE设备,本发明实施例中对于配置相同主RD的多个CE设备可以生成多个VPN路由,每个VPN路由携带一个Sub RD,每个Sub RD用于指示一个CE设备,从而可以实现区分配置相同主RD的多个CE设备。
在本发明实施例中,第一PE设备生成的VPN路由中还携带有标签,具体的,第一PE设备在获得的第一VPN路由中携带有第一标签,在获得的第二VPN路由中携带有第二标签,其中,第一标签用于标识第一Sub RD,第二标签用于标识第二Sub RD,例如,第一PE设备对每个Sub RD配置一个标签。由于每个Sub RD可以指示一个CE设备,因此对应于每个标签,都可以通过Sub RD确定出该标签对应的CE设备。在实际应用中,第一PE设备为每个Sub RD配置的一个标签可以是MPLS标签,当然也是其它标签协议格式确定的标签格式,此处不做限定。接下来以第一PE设备为Sub RD配置MPLS标签为例进行说明。例如,MPLS可以使用标签分发协议(英文全称:Label Distribution Protocol,英文简称:LDP)分发标签,首先由IGP建立路由表,然后LDP协议根据路由条目自动分发标签,标签号是随机分配的,例如可以是每一条路由对应一个标签。标签可以分出标签和入标签,出标签是下行(指数据包转发的下行,和路由方向相反)路由器分配给自己用的,入标签是自己分给别的路由器的。
在本发明的一些实施例中,第一VPN路由中还携带有IP地址前缀,第一Sub RD在第一VPN路由中的位置与IP地址前缀在第一VPN路由中的位置相邻;第二VPN路由中还携带有IP地址前缀,第二Sub RD在第二VPN路由中的位置与IP地址前缀在第二VPN路由中的位置相邻。也就是说,本发明实施例中Sub RD可以与VPN路由中携带的IP地址前缀在位置上相邻。可选的,第一Sub RD在第一VPN路由中的位置与IP地址前缀在第一VPN路由中的位置相邻且第一Sub RD位于IP地址前缀之前,第二Sub RD在第二VPN路由中的位置与IP地址前缀在第二VPN路由中的位置相邻且第二Sub RD位于IP地址前缀之前。本发明实施例中,第一PE设备获得的第一VPN路由和第二VPN路由中都携带有一个Sub RD。该Sub RD可以配置在BGP/MPLSIP VPN使用的VPN-IPv4地址族中,例如,VPN-IPv4地址共有12个字节,可以包括8字节的SubRD和4字节的IPv4地址前缀。如图4所示,为本发明实施例提供的VPN-IPv4地址结构示意图。其中,Sub RD用于区分使用相同地址空间的IPv4前缀。为了在CE设备双归属的情况下保证路由正常,必须保证Sub RD全局唯一。增加了Sub RD的IPv4地址称为VPN-IPv4地址。第一PE设备从CE设备接收到IPv4路由后,转换为全局唯一的VPN-IPv4路由,并在公网上发布。另外,本发明实施例中生成的VPN路由也可以是VPN-IPv6地址,VPN-IPv6地址与VPN-IPv4相类似,只是将IPv4前缀替换成了IPv6前缀。
接下来对本发明实施例中MPLS/VPN Sub RD进行说明,请参阅如下表1所示,VPN实例通过Sub RD实现地址空间独立,Sub RD可以包括:类型域(英文名称:Type Field)、管理域(英文名称:Administrator Field)和(英文名称:Assigned Number Field)。
| 类型域(2字节) | 管理域 | 分配编号域 |
| 0 | 2字节ASN | 4字节分配编号 |
| 1 | 4字节IP地址 | 2字节分配编号 |
| 2 | 4字节ASN | 2字节分配编号 |
在主RD的结构中,按照如上的表1所示,Sub RD可以为如下的3种格式:
1、16位自治系统号(英文全称:Autonomous System Number,英文简称:ASN):32位用户自定义数,例如:100:1。
2、32位IP地址:16位用户自定义数,例如:172.1.1.1:1。
3、32位ASN:16位用户自定义数,例如:1000.1:1。
需要说明的是,VPN实例通过Sub RD实现地址空间独立,通过VPN目标(英文名称:Target)属性实现直连site及远端site的VPN成员关系和路由规则控制。公网和私网的区别如下:公网路由表由IGP路由产生,可能包含BGP-4(即IPv4)路由,但不会有VPN路由。VPN路由表包含特定VPN路由,可能有多协议内部边界网关协议(英文全称:Multi-ProtocolInternal Border Gateway Protocol,英文简称:MP-IBGP)路由引入到VPN路由表中的路由,也可能有VPN实例从CE设备获得的路由。
在本发明的一些实施例中,本发明实施例提供的VPN的处理方法还可以包括如下步骤:
A1、第一PE设备将第一VPN路由与第一出口目标属性(英文名称:Export Target)关联,第一PE设备发布给第二PE设备的第一VPN路由携带有第一出口目标属性,第一出口目标属性与第二PE设备的入口目标属性(英文名称:Import Target)进行匹配;
A2、第一PE设备将第二VPN路由与第二出口目标属性关联,第一PE设备发布给第二PE设备的第二VPN路由携带有第二出口目标属性,第二出口目标属性与第二PE设备的入口目标属性进行匹配。
其中,第一PE设备在生成第一VPN路由和第二VPN路由之后,第一PE设备可以使用VPN目标来控制VPN路由的发布。例如,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。接下来对出口目标属性和入口目标属性进行举例说明。
例如,出口目标可以是本地PE设备将IPv4路由转换为VPN-IPv4路由后为这些VPN路由设置的Export Target属性。Export Target属性作为BGP的扩展团体属性随VPN路由发布。当某个PE设备收到其它PE设备发布的VPN-IPv4路由时,检查其Export Target属性。当此属性与该PE设备上某个VPN实例的Import Target属性匹配时,PE设备就把匹配成功的Export Target属性对应的VPN路由加入到本PE设备的VPN路由表。也就是说,VPN Target属性定义了一条VPN路由可以为哪些site所接收,以及PE设备可以接收哪些site发送来的路由。当第一PE设备收到直连CE设备传过来的IP路由时,第一PE设备在该第一PE设备生成的VPN-IPv4路由与一个或多个Export Target属性关联。Export Target属性将和VPN-IPv4路由一起由BGP发布给其他相关的PE设备(例如第二PE设备)。当这些相关的PE设备收到该VPN-IPv4路由时,将其Export Target属性与本PE设备所有的VPN实例的Import Target属性值比较。如果相等,就将对应的VPN路由注入到该VPN路由表。
在本发明的一些实施例中,第一PE设备获取到两个IP路由之后,可以按照VPN实例来配置两个Sub RD,即得到的两个VPN路由需要在该VPN实例的范围下使能,使能可以指的是VPN路由的生效控制。另外,本发明实施例中,第一PE设备也可以按照预置范围内的CE设备来配置两个Sub RD,举例说明,若第一PE设备连接有3个CE设备(分别为第一CE设备、第二CE设备和第三CE设备),预置范围内CE设备包括:第一CE设备、第二CE设备,则第一PE设备生成的两个VPN路由可以只在第一CE设备和第二CE设备使能,对于不属于预置范围的CE设备(例如第三CE设备)下,则VPN路由不生效。
203、第一PE设备将第一VPN路由发布给第二PE设备,且将第二VPN路由发布给第二PE设备。
在本发明实施例中,第一PE设备向第二PE设备发布两个VPN路由,第一PE设备和第二PE设备可以处于同一个ISP中,或者处于不同的ISP中。第二PE设备可以从第一PE设备获取到两个VPN路由(即第一VPN路由和第二VPN路由)。例如第一PE设备和第二PE设备处于骨干网络中时,第一PE设备将两个VPN路由发布给P设备,再由P设备将两个VPN路由发送给第二PE设备。
在本发明的一些实施例中,步骤203、第一PE设备将第一VPN路由发布给第二PE设备,且将第二VPN路由发布给第二PE设备之后,本发明实施例提供的VPN的处理方法,还可以包括:
B1、第一PE设备接收第二PE设备发送的VPN数据报文;
B2、第一PE设备确定VPN数据报文携带标签是第一标签或者第二标签,若VPN数据报文携带第一标签,第一PE设备将VPN数据报文转发给第一CE设备;若VPN数据报文携带第二标签,第一PE设备将VPN数据报文转发给第二CE设备。
其中,第二PE设备根据第一PE设备发布的两个VPN路由获取到标识第一Sub RD的第一标签和标识第二Sub RD的第二标签,第一标签和第二标签中的任意一个都可以用于第二PE设备配置的VPN数据报文中。举例说明:第二PE设备可以从两个标签中选择出第一标签,第二PE设备确定出第一标签之后,第二PE设备可以将第一标签配置给VPN数据报文,然后第二PE设备向第一PE设备发送配置有第一标签的VPN数据报文。第一PE设备接收第二PE设备发送的VPN数据报文,然后从VPN数据报文中获取到第一标签并将第一标签从VPN数据报文中去除掉,第一PE设备将VPN数据报文转发给与第一标签对应的Sub RD指示的第一CE设备,由于第二PE设备可以配置VPN数据报文携带哪个标签,因此第二PE设备可以控制第一PE设备对VPN数据报文的转发流向,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
通过前述实施例对本发明的描述说明可知,当第一PE设备连接的第一CE设备和第二CE设备分别发布的第一IP路由和第二IP路由具有相同IP地址前缀,第一PE设备可以根据第一IP路由和第二IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一CE设备,第二VPN路由中的第二Sub RD指示第二CE设备。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备连接的两个CE设备生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
前述实施例从第一PE设备侧说明了本发明实施例提供的VPN的处理方法,接下来从第二PE设备进行说明。请参阅图5所示,本发明一个实施例提供的VPN的处理方法,可以包括:
501、第二PE设备接收来自第一PE设备的第一VPN路由,以及接收来自第一PE设备的第二VPN路由,第一VPN路由携带第一Sub RD和用于标识第一Sub RD的第一标签,第二VPN路由携带第二Sub RD和用于标识第二Sub RD的第二标签。
在本发明实施例中,第一PE设备将两个VPN路由发布给第二PE设备,第二PE设备可以从第一PE设备获取到该第一PE设备发布的第一VPN路由和第二VPN路由。例如第一PE设备和第二PE设备处于骨干网络中时,第一PE设备将两个VPN路由发布给P设备,再由P设备将两个VPN路由发送给第二PE设备,第二PE设备从P设备接收到第一PE设备发布的两个VPN路由。
502、第二PE设备根据第一Sub RD获取到第一标签,且根据第二Sub RD获取到第二标签,第一标签和第二标签用于第二PE设备配置给需要发送的VPN数据报文。
在本发明实施例中,第二PE设备接收到第一PE设备发布的两个VPN路由之后,第二PE设备根据第一VPN路由获取到第一标签,根据第二VPN路由获取到第二标签,第二PE设备获取到两个标签之后,第二PE设备可以使用两个标签中的其中一个配置给需要发送的VPN数据报文,从而可以实现第二PE设备对VPN数据报文的传输方向的控制。第二PE设备在VPN数据报文中携带不同的标签可以实现按照链路的通信能力和流量来分担VPN数据报文的负载。
在本发明的一些实施例中,步骤502根据第一Sub RD获取到第一标签,且根据第二Sub RD获取到第二标签之后,本发明实施例提供的VPN的处理方法,还可以包括如下步骤:
C1、第二PE设备向第一PE设备发送VPN数据报文,VPN数据报文携带有第一标签或第二标签。
其中,第二PE设备根据第一PE设备发布的两个VPN路由获取到标识第一Sub RD的第一标签和标识第二Sub RD的第二标签,第一标签和第二标签中的其中一个标签可以用于第二PE设备配置的VPN数据报文中。举例说明:第二PE设备可以从两个标签中选择出第一标签,第二PE设备确定出第一标签之后,第二PE设备可以将第一标签配置给VPN数据报文,然后第二PE设备向第一PE设备发送配置有第一标签的VPN数据报文。第二PE设备可以配置VPN数据报文携带哪个标签,因此第二PE设备可以控制第一PE设备对VPN数据报文的转发流向,第一PE设备在转发VPN数据报文时根据VPN数据报文中携带的具体标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备的要求实现流向控制。
在本发明的一些实施例中,步骤502第二PE设备根据第一PE设备发布的N个VPN路由中的N个子路由标识符Sub RD获取到N个标签之后,本发明实施例提供的VPN的处理方法,还可以包括如下步骤:
D1、第二PE设备从第一VPN路由中获取到第一出口目标属性,第二PE设备确定第一出口目标属性与第二PE设备的入口目标属性匹配成功,然后将第一出口目标属性对应的第一VPN路由加入第二PE设备的VPN路由表;
D2、第二PE设备从第二VPN路由中获取到第二出口目标属性,第二PE设备确定第二出口目标属性与第二PE设备的入口目标属性匹配成功,然后将第二出口目标属性对应的第二VPN路由加入第二PE设备的VPN路由表。
其中,第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
通过前述实施例对本发明的描述说明可知,第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
接下来从第一PE设备侧介绍本发明实施例提供的另一种VPN的处理方法,请参阅如图6所示,本发明一个实施例提供的VPN的处理方法,可以包括:
601、第一PE设备接收第一CE设备发布的第一IP路由,第一PE设备和第一CE设备之间配置有第一链路和第二链路。
在本发明实施例中,第一PE设备和第一CE设备之间可以配置至少一条链路。例如第一PE设备和第一CE设备之间可以配置两条链路,分别为第一链路和第二链路。例如,第一PE设备和第一CE设备之间具有两个接口,第一PE设备针对每个接口可以配置一条链路。第一CE设备从用户设备获取到IP地址前缀之后,CE设备向与该CE设备连接的PE设备发布携带IP地址前缀的IP路由。
602、第一PE设备根据第一IP路由获得第一VPN路由和第二VPN路由,第一VPN路由携带与第一链路对应的第一Sub RD和用于标识第一Sub RD的第一标签,第二VPN路由携带与第二链路对应的第二Sub RD和用于标识第二Sub RD的第二标签,第一Sub RD用于指示第一链路,第二Sub RD用于指示第二链路。
在本发明实施例中,第一PE设备从第一CE设备获取到第一IP路由,由于第一PE设备和第一CE设备之间配置有第一链路和第二链路,第一PE设备可以针对两条链路生成两个SubRD(分别为第一Sub RD和第二Sub RD),其中,第一Sub RD可以用于指示第一链路,第二Sub RD可以用于指示第二链路。本发明实施例中第一PE设备需要在生成的两个VPN路由中分别携带一个Sub RD,通过在两个VPN路由中携带不同的Sub RD以区分相同的IP地址前缀。并且Sub RD还可以用于标识VPN路由的路由方向,例如第一Sub RD用于指示第一链路,配置第二Sub RD用于指示第二链路。需要说明的是,在本发明实施例中,第一PE设备和第一CE设备之间除了存在第一链路和第二链路之外,第一PE设备和第一CE设备之间还可以存在更多的链路,第一PE设备需要根据每一条链路生成一个Sub RD。
在本发明实施例中,第一PE设备生成的两个VPN路由中都携带有标签,具体的,第一PE设备在获得的第一VPN路由中携带有第一标签,在获得的第二VPN路由中携带有第二标签。其中,第一标签用于标识第一Sub RD,第二标签用于标识第二Sub RD。由于每个Sub RD可以指示一个链路,因此对应于每个标签,都可以通过Sub RD确定出该标签对应的链路。
在本发明的一些实施例中,第一VPN路由中还携带有IP地址前缀,第一Sub RD在第一VPN路由中的位置与IP地址前缀在第一VPN路由中的位置相邻;第二VPN路由中还携带有IP地址前缀,第二Sub RD在第二VPN路由中的位置与IP地址前缀在第二VPN路由中的位置相邻。也就是说,本发明实施例中Sub RD可以与VPN路由中携带的IP地址前缀在位置上相邻。可选的,第一Sub RD在第一VPN路由中的位置与IP地址前缀在第一VPN路由中的位置相邻且第一Sub RD位于IP地址前缀之前,第二Sub RD在第二VPN路由中的位置与IP地址前缀在第二VPN路由中的位置相邻且第二Sub RD位于IP地址前缀之前。本发明实施例中,第一PE设备获得的第一VPN路由和第二VPN路由中分别携带有一个Sub RD。该Sub RD可以配置在BGP/MPLS IP VPN使用的VPN-IPv4地址族中。
603、第一PE设备将第一VPN路由发布给第二PE设备,且将第二VPN路由发布给第二PE设备。
在本发明实施例中,第一PE设备向第二PE设备发布两个VPN路由,例如第一PE设备和第二PE设备处于同一个ISP中,不限定的是,第一PE设备和第二PE设备也可以处于不同的ISP中。第二PE设备可以从第一PE设备获取到两个VPN路由(即第一VPN路由和第二VPN路由)。例如第一PE设备和第二PE设备处于骨干网络中时,第一PE设备将两个VPN路由发布给P设备,再由P设备将两个VPN路由发送给第二PE设备。
在本发明的一些实施例中,本发明实施例提供的VPN的处理方法还可以包括如下步骤:
E1、第一PE设备接收第二CE设备发布的第二IP路由,第一IP路由和第二IP路由携带的IP地址前缀相同;
E2、第一PE设备根据第二IP路由获得第三VPN路由,第三VPN路由携带第三Sub RD和用于标识第三Sub RD的第三标签,第三Sub RD用于指示第二CE设备;
E3、第一PE设备将第三VPN路由发布给第二PE设备。
例如,第一PE设备连接有两个CE设备(分别为第一CE设备和第二CE设备),第一CE设备向第一PE设备发布第一IP路由,第二CE设备向第一PE设备发布第二IP路由。这两个CE设备发布的第一IP路由和第二IP路由具有相同的IP地址前缀。则第二PE设备可以获取到第一VPN路由、第二VPN路由和第三VPN路由。第二PE设备可以从三个VPN路由中获取到三个标签(分别为第一标签、第二标签、第三标签),从而第二PE设备可以确定这三个标签中哪个标签用于配置给VPN数据报文,第二PE设备配置的具体标签指示了第一PE设备发送VPN数据报文的流量方向,从而实现第二PE设备对路由方向的控制。
在本发明的一些实施例中,本发明实施例提供的VPN的处理方法还可以包括如下步骤:
F1、第一PE设备将第一VPN路由与第一出口目标属性关联,第一PE设备发布给第二PE设备的第一VPN路由携带有第一出口目标属性,第一出口目标属性与第二PE设备的入口目标属性进行匹配;
F2、第一PE设备将第二VPN路由与第二出口目标属性关联,第一PE设备发布给第二PE设备的第二VPN路由携带有第二出口目标属性,第二出口目标属性与第二PE设备的入口目标属性进行匹配。
其中,第一PE设备在生成第一VPN路由和第二VPN路由之后,第一PE设备可以使用VPN目标来控制VPN路由的发布。例如,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。接下来对出口目标属性和入口目标属性进行举例说明。
在本发明的一些实施例中,步骤603第一PE设备将第一VPN路由发布给第二PE设备,且将第二VPN路由发布给第二PE设备之后,本发明实施例提供的VPN的处理方法,还可以包括:
G1、第一PE设备接收第二PE设备发送的VPN数据报文;
G2、第一PE设备确定VPN数据报文携带标签是第一标签或者第二标签,若VPN数据报文携带第一标签,第一PE设备将VPN数据报文转发给第一CE设备;若VPN数据报文携带第二标签,第一PE设备将VPN数据报文转发给第二CE设备。
其中,第二PE设备根据第一PE设备发布的两个VPN路由获取到标识第一Sub RD的第一标签和标识第二Sub RD的第二标签,第一标签和第二标签中的其中一个标签可以用于第二PE设备配置的VPN数据报文中。举例说明:第二PE设备可以从两个标签中选择出第一标签,第二PE设备确定出第一标签之后,第二PE设备可以将第一标签配置给VPN数据报文,然后第二PE设备向第一PE设备发送配置有第一标签的VPN数据报文。第一PE设备接收第二PE设备发送的VPN数据报文,然后从VPN数据报文中获取到第一标签并将第一标签从VPN数据报文中去除掉,第一PE设备将VPN数据报文转发给与第一标签对应的第一Sub RD指示的第一链路,由于第二PE设备可以配置VPN数据报文携带哪个标签,因此第二PE设备可以控制第一PE设备对VPN数据报文的转发流向,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择使用第一PE设备和第一CE设备之间的哪条链路,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
通过前述实施例对本发明的描述说明可知,第一PE设备和第一CE设备之间配置有第一链路和第二链路,第一PE设备可以根据第一IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一链路,第二VPN路由中的第二Sub RD指示第二链路。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备与第一CE设备的两条链路生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
为便于更好的理解和实施本发明实施例的上述方案,下面举例相应的应用场景来进行具体说明。接下来以BGP/MPLS IP VPN的组网为例进行说明,在基本的BGP/MPLS IPVPN组网中,VPN路由的发布涉及CE设备和PE设备,P设备只维护骨干网的路由,不需要了解任何VPN路由。PE设备一般维护所有VPN路由。VPN路由的发布过程包括本地CE设备到入口PE设备、入口PE设备到出口PE设备和出口PE设备到远端CE设备三个部分。完成这三部分后,本地CE设备与远端CE设备之间建立可达路由,VPN路由能够在骨干网上发布。本发明实施例可以实现对VPN分配标签的多种控制粒度,在入口PE(英文名称:Ingress PE)上可以灵活选择出口PE(英文名称:Egress PE)上的多个出口。
请参阅如图7所示,为本发明实施例提供的一种VPN路由发布过程示意图。PE1为前述实施例中描述的第一PE设备,PE2为前述实施例中描述的第二PE设备,假设PE1的IP地址为1.1.1.1,PE2的IP地址为2.2.2.2,PE1连接的CE设备为两个,分别为CE11和CE12,PE2连接的CE设备为CE21,PE1和PE2处于AS100中,CE11、CE12、用户1处于AS65512中,用户1产生的IP数据包具有前缀P1。
本发明实施例中,可以针对VPN实例来配置Sub RD,使一个VPN实例实现同时对多个Sub RD的支持。本发明实施例中通过一个VPN实例同时支持多个Sub RD,实现对VPN分配标签的多种控制粒度。具体的,VPN支持多个Sub RD,给VPN路由分配标签时,可以使用SubRD给VPN路由分组。例如可以按PE1的下一跳分配标签,每个下一跳对应一个Sub RD,也可以按照PE1的接口分配标签,每个连接CE的接口对应一个Sub RD,也可以按照用户的预配置要求,给VPN路由分组,每组VPN路由对应一个Sub RD。当PE1设备给VPN实例发布VPN路由时,可以选择如上某种分配标签的粒度,给每个Sub RD分配一个标签,然后携带在VPN-IPv4/6路由中发往远端PE。
接下来以BGP对等体级别(英文名称:Peer Level)分配Sub RD,按照BGP PeerLevel分配Sub RD是实现按下一跳分配标签的一个具体实施例,本发明将以此为例说明详细的实施过程。VPN实例支持多RD场景中按BGP Peer Level分配Sub RD。例如在如下应用场景中,引入BGP对等体级别的Sub RD。
PE1的关键配置如下:
其中,这里需要说明的是PE1连接CE11和CE12的EBGP邻居配置如下:
在PE1上,选择“32位IP地址+16位用户自定义数”形式的RD。其中,16位用户自定义数可以满足用户的自定义要求。针对PE1和CE11的自治系统之间的BGP(英文全称:ExternalBGP,英文简称:EBGP)邻居,选取邻居地址“192.168.1.2”,作为“32位IP地址+16位用户自定义数”形式的RD中的“32位IP地址”的值,再选一个16位用户自定义数,例如“2”,则为PE1和CE11的eBGP邻居分配Sub RD可以为:192.168.1.2:2。同理,为PE1和CE12的eBGP邻居分配Sub RD可以为:192.168.2.2:2。
下面结合如下VPN拓扑来说明按BGP Peer Level分配Sub RD,VPN相关的配置如下:其中,
PE1配置示例如下:
PE2配置示例如下:
具体的,VPN路由发布过程如下所示:
步骤1、前缀(英文名称:Prefix)的P1同时经由CE11和CE12发布给PE1。
步骤2、在PE1上vpn1私网路由表中存在两条路由,如下表2所示,为PE1上的路由表:
步骤3、在PE1上,vpn1私网路由表中的两条路由同时发送PE1上的VPN-IPv4路由表,分别带上各自对等体级别的Sub RD,在VPN-IPv4路由表中,两条路由都可以选择,分别分配标签(英文名称:Label):L2和L3,同时发往远端PE。其中,如表3所示,PE1选择出的路由表:
| Prefix | Nexthop | Label | RD |
| P1 | PE1 | L2 | 192.168.1.2:2 |
| P1 | PE1 | L3 | 192.168.2.2:2 |
在PE2上,对应入标签L2和L3的动作都是转发(英文名称:POPGO)。
步骤4、在PE2上,看到两条VPN-IPv4路由,该路由如下表4所示:
| Prefix | Nexthop | Label | RD |
| P1 | PE1 | L2 | 192.168.1.2:2 |
| P1 | PE1 | L3 | 192.168.2.2:2 |
在PE2上,就可以使用这两条路由来控制访问Prefix P1的流量是经过远端CE11还是远端CE12。
通过本发明方案的实施,在入口PE(英文名称:Ingress PE)上就可以看到对应出口PE(英文名称:Egress PE)上的多个出口的多条VPN路由。对应本实施例,在PE2上,就可以看到两条对应不同出口的VPN路由,使用这两条VPN路由,可以在PE上控制访问Prefix P1的流量是经过远端CE11还是远端CE12。在从PE2向PE1转发VPN数据报文时,当流量到达PE1的vpn1,弹去标签后,在PE1的vpn1中,通过查转发信息库(英文全称:ForwardingInformation Base,英文简称:FIB)表,可以在CE11和CE12两个方向上负载分担。
接下来对本发明实施例中功能的使能方式进行详细说明,例如:可以在VPN实例下使能,表示该VPN实例范围内实施本发明方案,也可以按照逐Peer使能,只在选定的一些EBGP邻居上使能,接下来分别进行详细说明。需要说明的是,在各种使能方式中,Sub RD的值可选择静态指定或系统自动分配。
接下来对本发明方案进行举例说明。
例如,实施本发明后的配置1:VPN实例使能VPN Sub RD功能如下:
通过上述的执行语句:enable sub-rd per-peer,VPN实例使能VPN Sub RD功能后,针对该VPN实例下的所有EBGP Peer,都使能了VPN Sub RD功能。
又如,实施本发明后的配置2:逐Peer使能VPN Sub RD功能如下:
通过上述的执行语句:peer 192.168.1.2sub-rd{auto|rd_vale}和peer192.168.2.2sub-rd{auto|rd_vale},逐Peer使能VPN Sub RD功能后,针对只在选定的一些EBGP邻居上使能。
通过前述举例说明可知,本发明实施例中可以实现对VPN分配标签的多种控制粒度:VPN支持多RD,一个主RD,多个Sub RD,给VPN路由分配标签时,可以使用RD给VPN路由分组。VPN实例发布VPN路由时,可以选择如上某种分配标签的粒度,给每个Sub RD分配一个标签,然后携带在VPN-IPv4/6路由中发往远端PE。本发明实施例中对VPNIPv4或VPNIPv6的路由格式没有修改,在中间的路由反射器(英文全称:Route Reflector,英文简称:RR)、自治系统边界路由器(英文全称:Autonomous System Boundary Router,英文简称:ASBR)上可以不感知这个变化。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
为便于更好的实施本发明实施例的上述方案,下面还提供用于实施上述方案的相关装置。
请参阅图8-a所示,本发明实施例提供的一种PE设备,所述PE设备具体为第一PE设备800,所述第一PE设备800包括:收发模块801和VPN配置模块802,其中,
收发模块801,用于接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
VPN配置模块802,用于根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一CE设备,所述第二Sub RD用于指示所述第二CE设备;
所述收发模块801,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
在本发明的一些实施例中,如图8-b所示,所述第一PE设备800还包括:目标属性配置模块803,用于将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明的一些实施例中,如图8-c所示,所述第一PE设备,还包括:标签解析模块804,其中,
所述收发模块801,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,接收所述第二PE设备发送的VPN数据报文;
所述标签解析模块804,用于确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述收发模块将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述收发模块将所述VPN数据报文转发给所述第二CE设备。
在本发明的一些实施例中,所述第一VPN路由中还携带有所述IP地址前缀,所述第一Sub RD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
通过前述实施例对本发明的描述说明可知,当第一PE设备连接的第一CE设备和第二CE设备分别发布的第一IP路由和第二IP路由具有相同IP地址前缀,第一PE设备可以根据第一IP路由和第二IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一CE设备,第二VPN路由中的第二Sub RD指示第二CE设备。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备连接的两个CE设备生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
请参阅图9-a所示,本发明实施例提供的一种PE设备,所述PE设备具体为第二PE设备900,所述第二PE设备900包括:收发模块901和标签获取模块902,其中,
收发模块901,用于接收来自第一PE设备的第一VPN路由,以及接收来自所述第一PE设备的第二VPN路由,其中,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二子路由标识符Sub RD和用于标识所述第二Sub RD的第二标签;
标签获取模块902,用于根据所述第一Sub RD获取到第一标签,且根据所述第二Sub RD获取到第二标签,所述第一标签和所述第二标签用于所述第二PE设备配置给需要发送的VPN数据报文。
在本发明的一些实施例中,所述收发模块901,还用于向所述第一PE设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。
在本发明的一些实施例中,请参阅如图9-b所示,所述第二PE设备900还包括:目标属性处理模块903,用于从所述第一VPN路由中获取到第一出口目标属性,确定所述第一出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二PE设备的VPN路由表;从所述第二VPN路由中获取到第二出口目标属性,确定所述第二出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二PE设备的VPN路由表。
通过前述实施例对本发明的描述说明可知,第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
请参阅图10-a所示,本发明实施例提供的一种PE设备,所述PE设备具体为第一PE设备1000,所述第一PE设备1000包括:收发模块1001和VPN配置模块1002,其中,
收发模块1001,用于接收第一客户边缘CE设备发布的第一互联网协议IP路由,所述第一PE设备和所述第一CE设备之间配置有第一链路和第二链路;
VPN配置模块1002,用于根据所述第一IP路由获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带与所述第二链路对应的第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD指示所述第一链路,所述第二Sub RD指示所述第二链路;
所述收发模块1001,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
在本发明的一些实施例中,所述收发模块1001,还用于接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
所述VPN配置模块1002,还用于根据所述第二IP路由获得第三VPN路由,所述第三VPN路由携带第三Sub RD和用于标识所述第三Sub RD的第三标签,所述第三Sub RD用于指示所述第二CE设备;
所述收发模块1001,还用于将所述第三VPN路由发布给第二PE设备。
在本发明的一些实施例中,请参阅如图10-b所示,所述第一PE设备1000还包括:目标属性配置模块1003,用于将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明的一些实施例中,请参阅如图10-c所示,所述第一PE设备1000,还包括:标签解析模块1004,其中,
所述收发模块1001,还用于将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,接收所述第二PE设备发送的VPN数据报文;
所述标签解析模块1004,用于确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述收发模块将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述收发模块将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。
在本发明的一些实施例中,所述第一VPN路由中还携带有所述IP地址前缀,所述第一Sub RD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
通过前述实施例对本发明的描述说明可知,第一PE设备和第一CE设备之间配置有第一链路和第二链路,第一PE设备可以根据第一IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一链路,第二VPN路由中的第二Sub RD指示第二链路。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备与第一CE设备的两条链路生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本发明前述所示的方法实施例中的叙述,此处不再赘述。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质存储有程序,该程序执行包括上述方法实施例中记载的部分或全部步骤。
接下来介绍本发明实施例提供的另一种PE设备,该PE设备为第一PE设备,请参阅图11所示,第一PE设备1100包括:
接收器1101、发射器1102、处理器1103和存储器1104(其中第一PE设备1100中的处理器1103的数量可以一个或多个,图11中以一个处理器为例)。在本发明的一些实施例中,输入装置1101、输出装置1102、处理器1103和存储器1104可通过总线或其它方式连接,其中,图11中以通过总线连接为例。
存储器1104可以包括只读存储器和随机存取存储器,并向处理器1103提供指令和数据。存储器1104的一部分还可以包括非易失性随机存取存储器(英文全称:Non-VolatileRandom Access Memory,英文缩写:NVRAM)。存储器1104存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器1103控制第一PE设备1100的操作,处理器1103还可以称为中央处理单元(英文全称:Central Processing Unit,英文简称:CPU)。具体的应用中,第一PE设备1100的各个组件通过总线系统耦合在一起,其中总线系统除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都称为总线系统。
上述本发明实施例揭示的方法可以应用于处理器1103中,或者由处理器1103实现。处理器1103可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1103中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1103可以是通用处理器、数字信号处理器(英文全称:digital signal processing,英文缩写:DSP)、专用集成电路(英文全称:Application Specific Integrated Circuit,英文缩写:ASIC)、现成可编程门阵列(英文全称:Field-Programmable Gate Array,英文缩写:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1104,处理器1103读取存储器1104中的信息,结合其硬件完成上述方法的步骤。
本发明实施例中,处理器1103用于执行前述第一PE设备侧执行的方法实施例,此处不再赘述。具体的,处理器1103,用于执行如下步骤:
接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一CE设备,所述第二Sub RD用于指示所述第二CE设备;
将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
在本发明实施例中,当第一PE设备连接的第一CE设备和第二CE设备分别发布的第一IP路由和第二IP路由具有相同IP地址前缀,第一PE设备可以根据第一IP路由和第二IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一CE设备,第二VPN路由中的第二Sub RD指示第二CE设备。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备连接的两个CE设备生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
在本发明的一些实施例中,处理器1103,还用于执行如下步骤:
将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;
将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第一PE设备可以通过出口目标属性控制VPN路由的发布。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
在本发明的一些实施例中,处理器1103,还用于执行如下步骤:
将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,接收所述第二PE设备发送的VPN数据报文;确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,将所述VPN数据报文转发给所述第二CE设备。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
在本发明的一些实施例中,存储器1140存储的所述第一VPN路由中还携带有所述IP地址前缀,所述第一Sub RD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
在本发明实施例中,第一PE设备获得的第一VPN路由中第一Sub RD与IP地址前缀的位置相邻,第一PE设备获得的第二VPN路由中第二Sub RD与IP地址前缀的位置相邻,使得第二PE设备可以通过第一VPN路由获取到第一Sub RD,通过第二VPN路由获取到第二SubRD。
本发明实施例中,处理器1103用于执行前述第一PE设备侧执行的方法实施例,此处不再赘述。具体的,处理器1103,用于执行如下步骤:
接收第一客户边缘CE设备发布的第一互联网协议IP路由,所述第一PE设备和所述第一CE设备之间配置有第一链路和第二链路;
根据所述第一IP路由获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带与所述第二链路对应的第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一链路,所述第二Sub RD用于指示所述第二链路;
将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。
本发明实施例中,第一PE设备和第一CE设备之间配置有第一链路和第二链路,第一PE设备可以根据第一IP路由获得两个VPN路由,第一VPN路由中的第一Sub RD指示第一链路,第二VPN路由中的第二Sub RD指示第二链路。与现有技术不同的是,本发明实施例中第一PE设备根据该第一PE设备与第一CE设备的两条链路生成两个VPN路由并向第二PE设备发布有两个VPN路由,每个VPN路由中都配置有Sub RD,第一VPN路由中的第一标签可以标识第一Sub RD,第二VPN路由中的第二标签可以标识第二Sub RD。第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
在本发明的一些实施例中,处理器1103,还用于执行如下步骤:
接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;
根据所述第二IP路由获得第三VPN路由,所述第三VPN路由携带第三Sub RD和用于标识所述第三Sub RD的第三标签,所述第三Sub RD用于指示所述第二CE设备;
将所述第三VPN路由发布给第二PE设备。
在本发明实施例中,第一PE设备除了连接有第一CE设备、第二CE设备之外,第一PE设备还连接有第三CE设备,第一PE设备向第二PE设备发布有三个VPN路由,则第二PE设备可以获取到第一VPN路由、第二VPN路由和第三VPN路由。第二PE设备可以从三个VPN路由中获取到三个标签(分别为第一标签、第二标签、第三标签),从而第二PE设备可以确定这三个标签中哪个标签用于配置给VPN数据报文,第二PE设备配置的具体标签指示了第一PE设备发送VPN数据报文的流量方向,从而实现第二PE设备对路由方向的控制。
在本发明的一些实施例中,处理器1103,还用于执行如下步骤:
将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;
将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第一PE设备可以通过出口目标属性控制VPN路由的发布。第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表。
在本发明的一些实施例中,处理器1103,还用于执行如下步骤:
将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,接收所述第二PE设备发送的VPN数据报文;确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
在本发明的一些实施例中,存储器1104存储的所述第一VPN路由中还携带有所述IP地址前缀,所述第一Sub RD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;所述第二VPN路由中还携带有所述IP地址前缀,所述第二Sub RD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。
在本发明实施例中,第一PE设备获得的第一VPN路由中第一Sub RD与IP地址前缀的位置相邻,第一PE设备获得的第二VPN路由中第二Sub RD与IP地址前缀的位置相邻,使得第二PE设备可以通过第一VPN路由获取到第一Sub RD,通过第二VPN路由获取到第二SubRD。
接下来介绍本发明实施例提供的另一种PE设备,该PE设备为第二PE设备,请参阅图12所示,第二PE设备1200包括:
接收器1201、发射器1202、处理器1203和存储器1204(其中第二PE设备1200中的处理器1203的数量可以一个或多个,图12中以一个处理器为例)。在本发明的一些实施例中,输入装置1201、输出装置1202、处理器1203和存储器1204可通过总线或其它方式连接,其中,图12中以通过总线连接为例。
存储器1204可以包括只读存储器和随机存取存储器,并向处理器1203提供指令和数据。存储器1204的一部分还可以包括NVRAM。存储器1204存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器1203控制第二PE设备1200的操作,处理器1203还可以称为CPU。具体的应用中,第二PE设备1200的各个组件通过总线系统耦合在一起,其中总线系统除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都称为总线系统。
上述本发明实施例揭示的方法可以应用于处理器1203中,或者由处理器1203实现。处理器1203可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1203中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1203可以是通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1204,处理器1203读取存储器1204中的信息,结合其硬件完成上述方法的步骤。
本发明实施例中,处理器1203用于执行前述第二PE设备执行的方法实施例。具体的,处理器1203,用于执行如下步骤:
接收来自第一PE设备的第一VPN路由,以及接收来自所述第一PE设备的第二VPN路由,其中,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签;
根据所述第一Sub RD获取到第一标签,且根据所述第二Sub RD获取到第二标签,所述第一标签和所述第二标签用于所述第二PE设备配置给需要发送的VPN数据报文。
在本发明实施例中,第二PE设备可以从第一PE设备接收到第一VPN路由和第二VPN路由,从而第二PE设备在发送VPN数据报文时可以根据第一标签或第二标签确定路由方向,因此第二PE设备发送VPN数据报文时可以实现路由方向的控制,实现对网络流量的优化管理。
在本发明的一些实施例中,处理器1203,用于执行如下步骤:
所述第二PE设备向所述第一PE设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。
在本发明实施例中,第二PE设备可以配置VPN数据报文携带第一标签或第二标签,第一PE设备在转发VPN数据报文时根据第一标签或第二标签来选择下一跳的CE设备,从而VPN数据报文可以按照第二PE设备使用的路由实现流向控制。
在本发明的一些实施例中,处理器1203,用于执行如下步骤:
从所述第一VPN路由中获取到第一出口目标属性,所述第二PE设备确定所述第一出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二PE设备的VPN路由表;
从所述第二VPN路由中获取到第二出口目标属性,所述第二PE设备确定所述第二出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二PE设备的VPN路由表。
在本发明实施例中,第一PE设备可以在VPN路由中关联出口目标属性,并在第一PE设备发布的VPN路由中携带该出口目标属性,第二PE设备从第一PE设备接收到VPN路由之后,第二PE设备可以从VPN路由中获取第一PE设备配置的出口目标属性,然后第二PE设备确定第一PE设备配置的出口目标属性是否与第二PE设备的入口目标属性匹配成功,在匹配成功的情况下,第二PE设备将出口目标属性对应的VPN路由加入第二PE设备的VPN路由表,从而第一PE设备可以实现对VPN路由表的维护。
请参阅如图13所示,本发明实施例还提供一种VPN的处理系统1300,包括:如前述图8-a、图8-b、图8-c中任意一个实施例所述的第一PE设备和如前述图9-a、图9-b中任意一个实施例所述的第二PE设备。
或,
VPN的处理系统1300,包括:如前述图10-a、图10-b、图10-c中任意一个实施例所述的第一PE设备和如前述图9-a、图9-b中任意一个实施例所述的第二PE设备。
或,
VPN的处理系统1300,包括:如前述图11任意一个实施例所述的第一PE设备和如前述图12中任意一个实施例所述的第二PE设备。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
综上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照上述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对上述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (30)
1.一种虚拟专用网VPN的处理方法,其特征在于,包括:
第一网络设备接收第一客户边缘CE设备发布的第一路由前缀,以及接收第二CE设备发布的第二路由前缀,所述第一路由前缀和所述第二路由前缀相同;
所述第一网络设备根据所述第一路由前缀获得第一VPN路由,且根据所述第二路由前缀获得第二VPN路由,所述第一VPN路由携带第一标识,所述第二VPN路由携带第二标识,所述第一标识用于指示所述一路由前缀来自所述第一CE设备,所述第二标识用于指示所述第二路由前缀来自所述第二CE设备,所述第一标识和所述第二标识关联到所述第一网络设备的同一个VPN实例;
所述第一网络设备将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备。
2.根据权利要求1所述的方法,其特征在于,
所述第一标识是第一子路由标识符Sub RD,所述第二标识是第二Sub RD,所述第一VPN路由还携带用于标识所述第一Sub RD的第一标签,所述第二VPN路由还携带用于标识所述第二Sub RD的第二标签。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述第一网络设备将所述第一VPN路由与第一出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二网络设备的入口目标属性进行匹配;
所述第一网络设备将所述第二VPN路由与第二出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二网络设备的入口目标属性进行匹配。
4.根据权利要求2所述的方法,其特征在于,所述第一网络设备将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备之后,所述方法还包括:
所述第一网络设备接收所述第二网络设备发送的VPN数据报文;
所述第一网络设备确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述第一网络设备将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述第一网络设备将所述VPN数据报文转发给所述第二CE设备。
5.根据权利要求1或2所述的方法,其特征在于,所述第一VPN路由中还携带有所述第一路由前缀,所述第一标识在所述第一VPN路由中的位置与所述第一路由前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述第二路由前缀,所述第二标识在所述第二VPN路由中的位置与所述第二路由前缀在所述第二VPN路由中的位置相邻。
6.一种虚拟专用网VPN的处理方法,其特征在于,包括:
第二网络设备接收来自第一网络设备的第一VPN路由,以及接收来自所述第一网络设备的第二VPN路由,其中,所述第一VPN路由携带第一标识,所述第二VPN路由携带第二标识,所述第一标识和所述第二标识关联到所述第一网络设备的同一个VPN实例,所述第一VPN路由中还携带有第一路由前缀,所述第一路由前缀是所述第一网络设备从第一客户边缘CE设备接收到的路由前缀,所述第二VPN路由中还携带有第二路由前缀,所述第二路由前缀是所述第一网络设备从第二CE设备接收到的路由前缀,所述第一路由前缀和所述第二路由前缀相同,所述第一标识用于指示所述一路由前缀来自所述第一CE设备,所述第二标识用于指示所述第二路由前缀来自所述第二CE设备;
所述第二网络设备根据所述第一标识和所述第二标识配置需要发送的VPN数据报文。
7.根据权利要求6所述的方法,其特征在于,所述第一标识是第一子路由标识符SubRD,所述第二标识是第二Sub RD,所述第一VPN路由还携带用于标识所述第一Sub RD的第一标签,所述第二VPN路由还携带用于标识所述第二Sub RD的第二标签,所述方法还包括:
所述第二网络设备根据所述第一Sub RD获取到第一标签,且根据所述第二Sub RD获取到第二标签,所述第一标签和所述第二标签用于所述第二网络设备配置给所述需要发送的VPN数据报文。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述第二网络设备向所述第一网络设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。
9.根据权利要求6至8中任一项所述的方法,其特征在于,所述方法还包括:
所述第二网络设备从所述第一VPN路由中获取到第一出口目标属性,所述第二网络设备确定所述第一出口目标属性与所述第二网络设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二网络设备的VPN路由表;
所述第二网络设备从所述第二VPN路由中获取到第二出口目标属性,所述第二网络设备确定所述第二出口目标属性与所述第二网络设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二网络设备的VPN路由表。
10.一种虚拟专用网VPN的处理方法,其特征在于,包括:
第一网络设备接收第一客户边缘CE设备发布的第一路由前缀,所述第一网络设备和所述第一CE设备之间配置有第一链路和第二链路;
所述第一网络设备根据所述第一路由前缀获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一标识,所述第二VPN路由携带与所述第二链路对应的第二标识,所述第一标识用于指示所述第一路由前缀经由所述第一链路来自所述第一CE设备,所述第二标识用于指示所述第一路由前缀经由所述第二链路来自所述第一CE设备,所述第一标识和所述第二标识关联到所述第一网络设备的同一个VPN实例;
所述第一网络设备将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备。
11.根据权利要求10所述的方法,其特征在于,
所述第一标识是第一子路由标识符Sub RD,所述第二标识是第二Sub RD,所述第一VPN路由还携带用于标识所述第一Sub RD的第一标签,所述第二VPN路由还携带用于标识所述第二Sub RD的第二标签。
12.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
所述第一网络设备接收第二CE设备发布的第二路由前缀,所述第一路由前缀和所述第二路由前缀相同;
所述第一网络设备根据所述第二路由前缀获得第三VPN路由,所述第三VPN路由携带第三标识,所述第三标识用于指示所述第二CE设备;
所述第一网络设备将所述第三VPN路由发布给第二网络设备。
13.根据权利要求10或11的方法,其特征在于,所述方法还包括:
所述第一网络设备将所述第一VPN路由与第一出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二网络设备的入口目标属性进行匹配;
所述第一网络设备将所述第二VPN路由与第二出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二网络设备的入口目标属性进行匹配。
14.根据权利要求11所述的方法,其特征在于,所述第一网络设备将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备之后,所述方法还包括:
所述第一网络设备接收所述第二网络设备发送的VPN数据报文;
所述第一网络设备确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述第一网络设备将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述第一网络设备将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。
15.根据权利要求10或11所述的方法,其特征在于,所述第一VPN路由中还携带有所述第一路由前缀,所述第一标识在所述第一VPN路由中的位置与所述第一路由前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有第二路由前缀,所述第二标识在所述第二VPN路由中的位置与所述第二路由前缀在所述第二VPN路由中的位置相邻。
16.一种网络设备,其特征在于,所述网络设备具体为第一网络设备,所述第一网络设备包括:
收发模块,用于接收第一客户边缘CE设备发布的第一路由前缀,以及接收第二CE设备发布的第二路由前缀,所述第一路由前缀和所述第二路由前缀相同;
VPN配置模块,用于根据所述第一路由前缀获得第一VPN路由,且根据所述第二路由前缀获得第二VPN路由,所述第一VPN路由携带第一标识,所述第二VPN路由携带第二标识,所述第一标识用于指示所述第一路由前缀来自所述第一CE设备,所述第二标识用于指示所述第二路由前缀来自所述第二CE设备,所述第一标识和所述第二标识关联到所述第一网络设备的同一个VPN实例;
所述收发模块,还用于将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备。
17.根据权利要求16所述的网络设备,其特征在于,
所述第一标识是第一子路由标识符Sub RD,所述第二标识是第二Sub RD,所述第一VPN路由还携带用于标识所述第一Sub RD的第一标签,所述第二VPN路由还携带用于标识所述第二Sub RD的第二标签。
18.根据权利要求16或17所述的网络设备,其特征在于,所述第一网络设备还包括:目标属性配置模块,用于将所述第一VPN路由与第一出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二网络设备的入口目标属性进行匹配;将所述第二VPN路由与第二出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二网络设备的入口目标属性进行匹配。
19.根据权利要求17所述的网络设备,其特征在于,所述第一网络设备,还包括:标签解析模块,其中,
所述收发模块,还用于将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备之后,接收所述第二网络设备发送的VPN数据报文;
所述标签解析模块,用于确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述收发模块将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述收发模块将所述VPN数据报文转发给所述第二CE设备。
20.根据权利要求16或17所述的网络设备,其特征在于,所述第一VPN路由中还携带有所述第一路由前缀,所述第一标识在所述第一VPN路由中的位置与所述第一路由前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有所述第二路由前缀,所述第二标识在所述第二VPN路由中的位置与所述第二路由前缀在所述第二VPN路由中的位置相邻。
21.一种网络设备,其特征在于,所述网络设备具体为第二网络设备,所述第二网络设备包括:
收发模块,用于接收来自第一网络设备的第一VPN路由,以及接收来自所述第一网络设备的第二VPN路由,其中,所述第一VPN路由携带第一标识,所述第二VPN路由携带第二标识,所述第一标识和所述第二标识关联到所述第一网络设备的同一个VPN实例,所述第一VPN路由中还携带有第一路由前缀,所述第一路由前缀是所述第一网络设备从第一客户边缘CE设备接收到的路由前缀,所述第二VPN路由中还携带有第二路由前缀,所述第二路由前缀是所述第一网络设备从第二CE设备接收到的路由前缀,所述第一路由前缀和所述第二路由前缀相同,所述第一标识用于指示所述一路由前缀来自所述第一CE设备,所述第二标识用于指示所述第二路由前缀来自所述第二CE设备;
配置模块,用于根据所述第一标识和所述第二标识配置需要发送的VPN数据报文。
22.根据权利要求21所述的网络设备,其特征在于,所述第一标识是第一子路由标识符Sub RD,所述第二标识是第二Sub RD,所述第一VPN路由还携带用于标识所述第一Sub RD的第一标签,所述第二VPN路由还携带用于标识所述第二Sub RD的第二标签,所述第二网络设备还包括:
标签获取模块,用于根据所述第一Sub RD获取到第一标签,且根据所述第二Sub RD获取到第二标签,所述第一标签和所述第二标签用于所述第二网络设备配置给所述需要发送的VPN数据报文。
23.根据权利要求22所述的网络设备,其特征在于,所述收发模块,还用于向所述第一网络设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。
24.根据权利要求21至23中任一项所述的网络设备,其特征在于,所述第二网络设备还包括:目标属性处理模块,用于从所述第一VPN路由中获取到第一出口目标属性,确定所述第一出口目标属性与所述第二网络设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二网络设备的VPN路由表;从所述第二VPN路由中获取到第二出口目标属性,确定所述第二出口目标属性与所述第二网络设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二网络设备的VPN路由表。
25.一种网络设备,其特征在于,所述网络设备具体为第一网络设备,所述第一网络设备包括:
收发模块,用于接收第一客户边缘CE设备发布的第一路由前缀,所述第一网络设备和所述第一CE设备之间配置有第一链路和第二链路;
VPN配置模块,用于根据所述第一路由前缀获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一标识,所述第二VPN路由携带与所述第二链路对应的第二标识,所述第一标识用于指示所述第一路由前缀经由所述第一链路来自所述第一CE设备,所述第二标识用于指示所述第一路由前缀经由所述第二链路来自所述第一CE设备,所述第一标识和所述第二标识关联到所述第一网络设备的同一个VPN实例;
所述收发模块,还用于将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备。
26.根据权利要求25所述的网络设备,其特征在于,
所述第一标识是第一子路由标识符Sub RD,所述第二标识是第二Sub RD,所述第一VPN路由还携带用于标识所述第一Sub RD的第一标签,所述第二VPN路由还携带用于标识所述第二Sub RD的第二标签。
27.根据权利要求25或26所述的网络设备,其特征在于,
所述收发模块,还用于接收第二CE设备发布的第二路由前缀,所述第一路由前缀和所述第二路由前缀相同;
所述VPN配置模块,还用于根据所述第二路由前缀获得第三VPN路由,所述第三VPN路由携带第三标识,所述第三标识用于指示所述第二CE设备;
所述收发模块,还用于将所述第三VPN路由发布给第二网络设备。
28.根据权利要求25或26所述的网络设备,其特征在于,所述第一网络设备还包括:目标属性配置模块,用于将所述第一VPN路由与第一出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二网络设备的入口目标属性进行匹配;将所述第二VPN路由与第二出口目标属性关联,所述第一网络设备发布给所述第二网络设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二网络设备的入口目标属性进行匹配。
29.根据权利要求26所述的网络设备,其特征在于,所述第一网络设备,还包括:标签解析模块,其中,
所述收发模块,还用于将所述第一VPN路由发布给第二网络设备,且将所述第二VPN路由发布给所述第二网络设备之后,接收所述第二网络设备发送的VPN数据报文;
所述标签解析模块,用于确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述收发模块将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述收发模块将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。
30.根据权利要求25或26所述的网络设备,其特征在于,所述第一VPN路由中还携带有所述第一路由前缀,所述第一标识在所述第一VPN路由中的位置与所述第一路由前缀在所述第一VPN路由中的位置相邻;
所述第二VPN路由中还携带有第二路由前缀,所述第二标识在所述第二VPN路由中的位置与所述第二路由前缀在所述第二VPN路由中的位置相邻。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011308899.5A CN112468398B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511032503.8A CN106936714B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
| CN202011308899.5A CN112468398B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511032503.8A Division CN106936714B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468398A CN112468398A (zh) | 2021-03-09 |
| CN112468398B true CN112468398B (zh) | 2022-03-25 |
Family
ID=59443692
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511032503.8A Active CN106936714B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
| CN202010105622.6A Active CN111355661B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
| CN202011308899.5A Active CN112468398B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511032503.8A Active CN106936714B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
| CN202010105622.6A Active CN111355661B (zh) | 2015-12-31 | 2015-12-31 | 一种vpn的处理方法和pe设备以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (3) | CN106936714B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579897B (zh) * | 2017-09-14 | 2018-11-09 | 广州西麦科技股份有限公司 | 一种基于OpenDaylight配置VPN的方法及装置 |
| CN109873760B (zh) * | 2017-12-01 | 2020-08-07 | 华为技术有限公司 | 处理路由的方法和装置、以及数据传输的方法和装置 |
| CN108011759B (zh) * | 2017-12-05 | 2021-06-18 | 锐捷网络股份有限公司 | 一种vpn管理方法、装置及系统 |
| CN107888489B (zh) * | 2017-12-28 | 2020-08-11 | 新华三技术有限公司 | 路由通告方法及装置 |
| CN114338518A (zh) * | 2020-09-30 | 2022-04-12 | 华为技术有限公司 | 一种路由处理方法及网络设备 |
| CN114244762B (zh) * | 2021-12-14 | 2023-07-14 | 乾讯信息技术(无锡)有限公司 | 基于无ip地址的网络vpn密码机的实现方法 |
| CN115277546B (zh) * | 2022-09-26 | 2022-11-29 | 北京金泰联创科技发展有限公司 | 一种基于bgp组网的路由快速切换方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820395A (zh) * | 2010-05-19 | 2010-09-01 | 杭州华三通信技术有限公司 | 基于mpls的路由信息配置和私网标签添加方法及装置 |
| CN102638413A (zh) * | 2012-05-14 | 2012-08-15 | 杭州华三通信技术有限公司 | 路由发布方法和运营商边缘设备 |
| CN103634217A (zh) * | 2013-11-13 | 2014-03-12 | 华为技术有限公司 | 路由信息发布的方法、传输报文的方法及装置 |
| CN103731347A (zh) * | 2012-10-10 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种基于嵌套vpn网络的vpnv4路由处理方法和设备 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100531136C (zh) * | 2006-06-08 | 2009-08-19 | 华为技术有限公司 | 在虚拟专用网的链路故障时传送报文的方法及系统 |
| US7626984B2 (en) * | 2006-10-25 | 2009-12-01 | At&T Corp. | Method and apparatus for providing congruent multicast and unicast routing |
| US8098663B2 (en) * | 2008-07-08 | 2012-01-17 | Cisco Technology, Inc. | Carrier's carrier without customer-edge-to-customer-edge border gateway protocol |
| CN101552727B (zh) * | 2009-05-12 | 2011-06-22 | 杭州华三通信技术有限公司 | 一种报文发送和接收方法及运营商边缘路由器 |
| CN102075446A (zh) * | 2011-03-01 | 2011-05-25 | 杭州华三通信技术有限公司 | 多链接透明互联网络异地互联方法及运营商边缘设备 |
| US8750099B2 (en) * | 2011-12-16 | 2014-06-10 | Cisco Technology, Inc. | Method for providing border gateway protocol fast convergence on autonomous system border routers |
| CN103475581B (zh) * | 2012-06-06 | 2017-08-25 | 华为技术有限公司 | 一种网络标签分配方法、设备与系统 |
| CN105245452B (zh) * | 2012-06-06 | 2018-11-16 | 华为技术有限公司 | 多协议标签交换流量工程隧道建立方法及设备 |
| CN104054305A (zh) * | 2012-12-26 | 2014-09-17 | 华为技术有限公司 | 一种ip数据包的发送方法及标签交换路由器 |
| CN104219147B (zh) * | 2013-06-05 | 2018-10-16 | 中兴通讯股份有限公司 | 边缘设备的vpn实现处理方法及装置 |
| CN103297338B (zh) * | 2013-06-20 | 2016-06-01 | 杭州华三通信技术有限公司 | 一种vpn路由通告方法和设备 |
| CN103607349B (zh) * | 2013-11-14 | 2017-02-22 | 华为技术有限公司 | 虚拟网络中确定路由的方法及运营商边缘设备 |
-
2015
- 2015-12-31 CN CN201511032503.8A patent/CN106936714B/zh active Active
- 2015-12-31 CN CN202010105622.6A patent/CN111355661B/zh active Active
- 2015-12-31 CN CN202011308899.5A patent/CN112468398B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820395A (zh) * | 2010-05-19 | 2010-09-01 | 杭州华三通信技术有限公司 | 基于mpls的路由信息配置和私网标签添加方法及装置 |
| CN102638413A (zh) * | 2012-05-14 | 2012-08-15 | 杭州华三通信技术有限公司 | 路由发布方法和运营商边缘设备 |
| CN103731347A (zh) * | 2012-10-10 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种基于嵌套vpn网络的vpnv4路由处理方法和设备 |
| CN103634217A (zh) * | 2013-11-13 | 2014-03-12 | 华为技术有限公司 | 路由信息发布的方法、传输报文的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111355661A (zh) | 2020-06-30 |
| CN106936714B (zh) | 2020-12-08 |
| CN112468398A (zh) | 2021-03-09 |
| CN106936714A (zh) | 2017-07-07 |
| CN111355661B (zh) | 2021-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108989213B (zh) | 使用虚拟节点之间的所选择的结构路径传输lsp设置 | |
| CN108989212B (zh) | 多个下一跳的路由协议信令及其关系 | |
| CN108989202B (zh) | 用于虚拟节点的基于结构路径上下文的转发 | |
| CN112468398B (zh) | 一种vpn的处理方法和pe设备以及系统 | |
| CN108989203B (zh) | 通告用于虚拟节点中的服务路由的选定结构路径 | |
| US11888651B2 (en) | Virtual private network VPN service optimization method and device | |
| CN108574630B (zh) | Evpn报文处理方法、设备及系统 | |
| CN105939257B (zh) | 通信方法以及路由器 | |
| WO2017162095A1 (zh) | 基于流规则协议的通信方法、设备和系统 | |
| US11290386B2 (en) | FlowSpec message processing method and system, and apparatus | |
| JP2023549797A (ja) | Bierパケット転送方法、デバイス、及びシステム | |
| CN112822097A (zh) | 报文转发的方法、第一网络设备以及第一设备组 | |
| WO2022166465A1 (zh) | 一种报文处理方法及相关装置 | |
| JP7273125B2 (ja) | BIERv6パケットを送信するための方法および第1のネットワークデバイス | |
| WO2022188530A1 (zh) | 一种路由处理方法及网络设备 | |
| WO2024007762A1 (zh) | 一种路由发布方法、通信方法及装置 | |
| WO2022012690A1 (zh) | 一种路由通告方法及相关设备 | |
| WO2023050981A1 (zh) | 虚拟专用网络业务标识的分配方法、报文处理方法及装置 | |
| CN117692384A (zh) | 一种实现虚拟专用网vpn本地互访的方法以及相关装置 | |
| CN118075186A (zh) | 用于sd-wan的通信方法、报文处理方法及网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |