CN113630324A - 基于mpls-vpn的新型跨域互联方法 - Google Patents
基于mpls-vpn的新型跨域互联方法 Download PDFInfo
- Publication number
- CN113630324A CN113630324A CN202110914271.8A CN202110914271A CN113630324A CN 113630324 A CN113630324 A CN 113630324A CN 202110914271 A CN202110914271 A CN 202110914271A CN 113630324 A CN113630324 A CN 113630324A
- Authority
- CN
- China
- Prior art keywords
- vpn
- network
- mpls
- route
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000008676 import Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 claims description 3
- 238000002955 isolation Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 2
- 230000003068 static effect Effects 0.000 claims 4
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
本发明基于MPLS‑VPN的新型跨域互联方法,所述方法包括如下步骤:步骤S1,通过OSPF路由协议,实现运营商网络内部的互联互通;步骤S2,运营商网络设备开启MPLS协议,通过LDP协议动态建立LSP隧道。步骤S3,在运营商与企业网络互联的设备PE上创建VPN实例;步骤S4,运营商边界设备PE与企业网边界设备CE之间建立BGP邻居关系;步骤S5,运营商内部的ASBR设备与PE设备建立MP‑IBGP邻居关系。步骤S6,不同运营商的ASBR设备之间建立MP‑EBGP邻居关系。步骤S7,运营商的ASBR设备上关闭RT值检查。本发明能够实现企业总部和分部之间通过不同运营商接入公网的远程互联,此时ASBR之间无需创建多个VPN实例,无需绑定任何接口,网络具有更强的安全性和扩展性。
Description
技术领域
本发明涉及数据通信领域,能够让处于不同运营商的企业网络,通过MPLS跨域VPNOptionB方案实现跨域互联,同时该互联方式具有较高的扩展性和安全性。
背景技术
VPN(virtual private network虚拟专用网络),通过在公网上架设一条隧道,从而实现对公网业务流量的隔离,也就是对于公网上的用户来说,隧道内部传递的数据时不可见的,从而确保了数据的安全性。校园网络的总校区和分校区之间,部署了VPN之后,相当于通过专用线路将不同的校区之间点到点的互联。
常用的VPN技术还有GRE-VPN、IPsec-VPN、SSL-VPN和MPLS-VPN。GRE-VPN虽然配置简单,但是数据包在转发的过程中安全性弱,不足以满足现在校园网络对数据传输安全性方面的要求。IPsec-VPN能够将特定的数据包匹配出来,进行加密处理,生成一个新的IP报头进行转发。但是,会修改原有报文中的内容,同时IPsec-VPN的部署需要在客户端网络的边界设备上进行配置,从而消耗客户端设备的性能。SSL-VPN工作在传输层,为应用层数据提供加密,但是只能实现两台主机之间的安全互访,适用于客户家庭办公、员工出差时的远程办公,无法实现两个企业网络之间的安全可靠的通信。
MPLS-VPN在运营商的骨干网上,通过MPLS标签交换来转发报文,由运营商直接管理,在实现过程中,可以用点到点的方式建立VPN隧道,也可以通过构建星型的VPN拓扑,从而减少需要建立的VPN连接数量。实现方式灵活,可以适用于各种场景。
发明内容
为克服上述现有技术存在的不足,本发明之目的在于提供一种基于MPLS-VPN的新型跨域互联方法,该方法能够让处于不同运营商的企业网络,通过MPLS-VPN实现跨域互联,同时搭建VPN具有较高的扩展性和安全性。
本发明的目的通过以下的技术方案实现:
步骤S1,通过OSPF路由协议,实现运营商网络内部的互联互通;
步骤S2,运营商网络设备开启MPLS协议,通过LDP协议动态建立LSP隧道;
步骤S3,在运营商与企业网络互联的设备PE上创建VPN实例;
步骤S4,运营商边界设备PE与企业网边界设备CE之间建立BGP邻居关系;
步骤S5,运营商内部的ASBR设备与PE设备之间建立MP-IBGP邻居关系。
步骤S6,不同运营商的ASBR设备之间建立MP-EBGP邻居关系;
步骤S7,运营商的ASBR设备上关闭RT值检查;
附图说明
图1为本发明一种基于MPLS-VPN的新型跨域互联方法的步骤流程图;
图2为本发明一种基于MPLS-VPN的新型跨域互联方法的网络拓扑结构图;
具体实施方式
以下通过特定的具体实例并结合附图说明本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本发明的精神下进行各种修饰与变更。
图2为本发明一种基于MPLS-VPN的新型跨域互联方法的网络拓扑结构图。如图2所示,本发明一种基于MPLS-VPN的新型跨域互联方法,包括如下步骤:
步骤S1,在运营商网络和企业网络内部运行OSPF协议,将接口所在的网段宣告进OSPF中。运行OSPF协议的设备之间会建立OSPF邻居关系,然后通过发送updata报文,将自身直连的网段信息发送给邻居;
步骤S2,运营商网络内部设备在系统视图下,配置LSR-ID,开启MPLS协议。在接口视图下,开启MPLS和MPLS LDP,通过LDP协议建立LSP隧道。运行LDP协议的设备之间会建立LDP邻居关系,然后,通过address报文,告知邻居的接口的网络信息。最后,通过labelmapping报文将网段信息和对应的标签信息发送给邻居设备;
步骤S3,在运营商与企业网络互联的设备PE上创建VPN实例,在网络设备的系统视图下,创建VPN实例,配置相应的RD和RT值。然后,将VPN实例与连接CE设备的接口绑定;
步骤S4,在运营商边界设备PE与企业网边界设备CE上开启BGP协议,互相指定对方为BGP对等体。运行BGP协议的网络设备,之间建立BGP邻居关系,通告BGP路由信息;
步骤S5,运营商内部的ASBR设备与PE设备之间,先建立单播的IBGP邻居关系,然后在VPNv4地址族下,开启MP-IBGP邻居关系的建立。PE和ASBR设备之间建立MP-IBGP邻居关系后,会增加MP-REACH-NLRI和MP-UNREACH-NLRI属性,MP-REACH-NLRI属性能够携带VPNv4路由和私网标签,MP-UNREACH-NLRI能够用于撤销不可达的VPNv4路由;
步骤S6,不同运营商的ASBR设备之间,先建立单播的EBGP邻居关系,然后在VPNv4地址族下,开启MP-EBGP邻居关系的建立。MP-EBGP邻居关系建立后,ASBR设备会为标签VPNv4路由重新分配标签,并通过updata报文发送给到对端ASBR设备;
步骤S7,为了确保ASBR设备收到标签VPNv4路由时,能够正常接收。需要进入运营商的ASBR设备的BGP协议视图,在VPNv4地址族中关闭RT值检查。
综上所述,本发明一种基于MPLS-VPN的新型跨域互联方法,通过MPLS协议的多层标签嵌套,在控制层面上,为私网路由分配多层标签。在数据层面上,中间的设备可以根据多层标签进行数据转发,实现私网数据的跨域通信。
与现有技术相比,本发明具有如下优点:
本发明相对于现有技术,MPLS-VPN在运营商的骨干网上,通过MPLS标签交换来转发报文,在实现过程中,我们可以用点到点的方式建立VPN隧道,也可以通过构建星型的VPN拓扑,实现方式灵活,可扩展性强。同时,MPLS-VPN技术通过RT值对私网路由的导入导出进行控制,通过VPN实例实现不同网络之间的流量隔离,极大的提高了网络的安全性。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与改变。因此,本发明的权利保护范围,应如权利要求书所列。
Claims (8)
1.一种基于MPLS-VPN的新型跨域互联方法,包括如下步骤:
步骤S1,通过OSPF路由协议,实现运营商网络内部的互联互通;
步骤S2,运营商网络设备开启MPLS协议,通过LDP协议动态建立LSP隧道;
步骤S3,在运营商与企业网络互联的设备PE上创建VPN实例;
步骤S4,运营商边界设备PE与企业网边界设备CE之间建立BGP邻居关系;
步骤S5,运营商内部的ASBR设备与PE设备之间建立MP-IBGP邻居关系;
步骤S6,不同运营商的ASBR设备之间建立MP-EBGP邻居关系;
步骤S7,运营商的ASBR设备上关闭RT值检查。
2.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S1中包括:
OSPF(Open Shortest Path First开发最短路径优先)协议,运行该协议的网络设备之间通过交互Hello报文,建立OSPF邻居关系,动态的发现路由信息,在运营商网络或者企业网络内部,路由器和三层交换机上运行OSPF协议实现全网路由可达。
3.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S2中包括:
MPLS(Multi-Protocol Label Switch多协议标签交换)工作在2.5层,在MPLS网络域中,设备会在网络数据包的数据链路层和网络层之间插入一个4字节的标签,形成MPLS报文,在早期的网络中,运行MPLS协议的设备在收到该MPLS报文时,根据2.5层的标签进行转发,不在需要根据目的IP地址查看路由表进行转发,从而提高设备的转发效率;
在MPLS网络域中,通过LSR-ID来唯一标识每一台运行MPLS协议的网络设备,IP数据进入到MPLS网络域,想要能够通过标签进行,非常关键的一步是LSP(Label Switch Path标签交换路径)的建立,LSP隧道建立方式有两种,分别是静态LSP隧道建立,和动态的LSP隧道建立,静态LSP隧道建立的方式,需要网络工程师,手工指定MPLS网络的入节点、转发节点和出节点,在大型网络中,使用静态方式建立LSP,配置量会非常的大,因此,本发明通过LDP(Label Distribution Protocol标签分发协议)动态的建立LSP隧道;
在运营商网络中运行LDP协议,运行MPLS协议的设备之间,建立LDP邻居关系,并为邻居设备分发标签,该标签也称公网标签,用于指导数据包在公网上的转发。
4.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S3中包括:
MPLS跨域VPN中,涉及以下重要角色,CE(customer Edge)用户网络边缘设备,有接口直接与服务提供商网络相连,CE可以是路由器或交换机,也可以是一台主机,通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS,PE(Provider Edge)是服务提供商网络的边缘设备,与CE直接相连,在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求较高,P(provider)服务提供商网络中的骨干设备,不与CE直接相连,P设备只需要具备基本MPLS转发能力,不维护VPN信息;
为了实现MPLS-VPN的远程互联,以及对不同VPN用户之间隔离,需要在PE设备上创建VPN实例,并将连接客户端网络的接口与相应的VPN实例进行绑定,VPN实例能够将不同的VPN用户之间路由信息,VPN路由和公网路由逻辑上隔离开,避免路由混乱,并且能够提高网络安全性;
在配置VPN实例时,需要配置的信息包括RD和RT,RD(Route Distinguisher,路由标识符)RD值由运营商统一分配,用于区分私网路由,当私网路由进入MPLS域时,PE设备会在私网路由前加上RD值,让私网路由变为VPNv4路由,即VPNv4路由=RD+ipv4私网路由,然后,PE设备为VPNv4路由分配私网标签,私网标签的作用是让PE在收到私网数据包时,根据私网标签将数据包转发到相应的VPN实例中;
RT(VPN Target)在MPLS-VPN中,使用BGP扩展团体属性-VPN Target来控制VPN路由信息的发布,有两类VPN Target属性:
1)Export Target:本地PE从直接相连Site学到IPv4路由后,转换为VPN-IPv4路由,并为这些路由设置Export Target属性,Export Target属性作为BGP的扩展团体属性随路由发布;
2)Import Target:PE收到其它PE发布的VPN-IPv4路由时,检查其Export Target属性,当此属性与PE上某个VPN实例的Import Target匹配时,PE就把路由加入到该VPN实例中;
PE或者ASBR设备在收到VPNv4路由时,会检查路由中的export target和本地的importtarget是否匹配,如果匹配,则接收路由,如果不匹配,则丢弃。
5.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S4中包括:
MPLS-VPN属于overload VPN技术,CE设备需要将路由信息传递给PE设备,PE设备上需要接收、存储和传递私网路由,为了实现CE和PE设备之间的路由传递,PE和CE之间需要运行动态路由协议,或者静态路由协议,如果允许动态路由协议,可以选择RIP(routinginformation protocol路由信息协议)、OSPF(open shortest path first最短路径优先)、ISIS(intermediate system-intermediate system中间系统到中间系统)和BGP(bordergateway protocol边界网关协议);
由于BGP协议可以承载的路由数量更多,路由控制更加灵活,在MPLS-VPN中,使用BGP传递路由不需要创建多个进程,不需要进行路由引入的操作,配置更加简单,因此,在本发明中使用BGP实现PE和CE设备之间的路由传递。
6.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S5中包括:
AS(Autonomous System自治系统)由一个管理机构管理的网络,ASBR(AutonomousSystem Boundary Router自治系统边界设备)负责连接其他AS的设备,用于实现不同AS之间的互联,为了实现跨域VPN互联,PE和ASBR之间需要对标签VPNv4路由进行传递,因此需要在PE和ASBR之间建立MP-IBGP邻居关系。
7.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S6中包括:
由于企业网络的总部和分部之间是通过不同的运营商接入到公网的,因此运营商之间需要对标签VPNv4路由进行传递,实现跨域网络的远程互通,在不同运营商的ASBR设备间建立MP-EBGP邻居关系,当ASBR设备收到来自PE的标签VPNv4路由时,会重新分配标签,并将标签VPNv4路由发送到对端ASBR。
8.根据权利要求1所述的一种基于MPLS-VPN的新型跨域互联方法,其特征在于,步骤S7中包括:
运行MP-BGP协议的设备,在收到标签VPNv4路由时,会进行RT(vpn-target)值检查,只有当路由中携带的Export Target和本地VPN实例中的import target存在相同时,才会接收路由,但是,ASBR设备下没有连接企业网络,没有配置任何的VPN实例,因此,我们需要在ASBR设备上关闭RT值检查,保证标签VPNv4路由的正常传递。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110914271.8A CN113630324A (zh) | 2021-08-10 | 2021-08-10 | 基于mpls-vpn的新型跨域互联方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110914271.8A CN113630324A (zh) | 2021-08-10 | 2021-08-10 | 基于mpls-vpn的新型跨域互联方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113630324A true CN113630324A (zh) | 2021-11-09 |
Family
ID=78384199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110914271.8A Pending CN113630324A (zh) | 2021-08-10 | 2021-08-10 | 基于mpls-vpn的新型跨域互联方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113630324A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338422A (zh) * | 2021-12-29 | 2022-04-12 | 盐城工学院 | 一种基于mpls的中大型企业网及其实现方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1960366A (zh) * | 2005-10-31 | 2007-05-09 | 中兴通讯股份有限公司 | 一种多协议标记交换虚拟专用网络跨域连接方法 |
-
2021
- 2021-08-10 CN CN202110914271.8A patent/CN113630324A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1960366A (zh) * | 2005-10-31 | 2007-05-09 | 中兴通讯股份有限公司 | 一种多协议标记交换虚拟专用网络跨域连接方法 |
Non-Patent Citations (5)
Title |
---|
刘在恒等: "跨域VPN实现网络互通", 《世界电信》 * |
唐景莲: "网络运营商部署MPLS VPN需考虑的问题及应用分析", 《电信建设》 * |
徐向辉: "MPLS运营商网间互联若干关键问题探讨", 《通信世界》 * |
林晓勇等: "基于MPLS VPN的跨域BGP研究", 《信息安全与通信保密》 * |
王焱: "Multi-AS BGP/MPLS VPN网络技术应用研究", 《福建电脑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338422A (zh) * | 2021-12-29 | 2022-04-12 | 盐城工学院 | 一种基于mpls的中大型企业网及其实现方法 |
CN114338422B (zh) * | 2021-12-29 | 2023-08-25 | 盐城工学院 | 一种基于mpls的中大型企业网及其实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112840625B (zh) | 网络计算环境中的第一跳迁网关冗余 | |
Kompella et al. | Virtual private LAN service (VPLS) using BGP for auto-discovery and signaling | |
US7733876B2 (en) | Inter-autonomous-system virtual private network with autodiscovery and connection signaling | |
US7660324B2 (en) | Virtual network construction method, system, and relaying apparatus | |
US9042271B2 (en) | Transport networks supporting virtual private networks, and configuring such networks | |
US8713185B2 (en) | Methods of establishing virtual circuits and of providing a virtual private network service through a shared network, and provider edge device for such network | |
US7266124B2 (en) | Method for setting up QoS supported bi-directional tunnel and distributing L2VPN membership information for L2VPN using extended LDP | |
US9166807B2 (en) | Transmission of layer two (L2) multicast traffic over multi-protocol label switching networks | |
JP3868815B2 (ja) | 通信システム | |
EP1816796B1 (en) | Bi-directional forwarding in ethernet-based service domains over networks | |
US7961738B2 (en) | Method for accessing virtual private network, virtual private system, virtual private network and provider edge device thereof | |
WO2007016839A1 (en) | Method and system for carrying out hierarchical virtual private switch services | |
JP2014532368A (ja) | トラフィックエンジニアリングトンネルに基づく仮想プライベートネットワーク実行方法及びシステム | |
WO2006005260A1 (fr) | Reseau prive virtuel et procede de commande et de transmission d'acheminement | |
WO2008011818A1 (fr) | Procédé de fourniture d'un service réseau local privé virtuel à hiérarchie et système réseau | |
CN109327374B (zh) | 实现三层vpn网络接入的系统及方法 | |
CN102739501A (zh) | 二三层虚拟私有网络中的报文转发方法和系统 | |
WO2013139270A1 (zh) | 实现三层虚拟专用网络的方法、设备及系统 | |
CN113630324A (zh) | 基于mpls-vpn的新型跨域互联方法 | |
Finlayson et al. | VPN Technologies-a comparison | |
WO2006056131A1 (fr) | Procede de realisation d'intercommunication entre les differents reseaux vpn l3 | |
Joseph et al. | Network convergence: Ethernet applications and next generation packet transport architectures | |
CN113037883A (zh) | 一种mac地址表项的更新方法及装置 | |
Wu et al. | Research on the application of cross-domain VPN technology based on MPLS BGP | |
JP2002290441A (ja) | Ip−vpnルータおよびip−vpn用パケット転送路自動設定方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211109 |