CN1317851C - 一种虚拟专用网中实现用户站点分级管理的方法 - Google Patents
一种虚拟专用网中实现用户站点分级管理的方法 Download PDFInfo
- Publication number
- CN1317851C CN1317851C CNB2003101239789A CN200310123978A CN1317851C CN 1317851 C CN1317851 C CN 1317851C CN B2003101239789 A CNB2003101239789 A CN B2003101239789A CN 200310123978 A CN200310123978 A CN 200310123978A CN 1317851 C CN1317851 C CN 1317851C
- Authority
- CN
- China
- Prior art keywords
- vpn
- user site
- routing iinformation
- local
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000008859 change Effects 0.000 claims abstract description 10
- 238000005192 partition Methods 0.000 abstract 2
- 238000005194 fractionation Methods 0.000 abstract 1
- 230000008676 import Effects 0.000 description 30
- 230000008878 coupling Effects 0.000 description 9
- 238000010168 coupling process Methods 0.000 description 9
- 238000005859 coupling reaction Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 230000006855 networking Effects 0.000 description 5
- 239000012467 final product Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 101150068276 ERT1 gene Proteins 0.000 description 1
- 108700027649 Mitogen-Activated Protein Kinase 3 Proteins 0.000 description 1
- 102100024193 Mitogen-activated protein kinase 1 Human genes 0.000 description 1
- 108700015928 Mitogen-activated protein kinase 13 Proteins 0.000 description 1
- 102100024192 Mitogen-activated protein kinase 3 Human genes 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种VPN(Virtual Private Network,虚拟专用网)中实现用户站点分级管理的方法。本发明在基于RFC2547的PP VPN的组网中,实现了VPN管理权限的分级,一个PE设备上的VPN划分可以完全由本地PE设备的网管独立管理,而整网的VPN划分则由整网的网管独立管理,从而使得本地PE设备上的VPN关系的变化不会影响到整个网络的VPN关系,以及其他PE设备上的用户站点间的VPN关系。例如,本发明的实现可以当使政府的办公网的一个PE设备上的用户站点间的VPN关系发生改变时,仅由该PE设备的网管通过本地VPN目标属性进行VPN关系的重新配置即可,而对于整个政府办公网以及网上的其他PE设备上的VPN关系不产生任何影响。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种VPN(Virtual PrivateNetwork,虚拟专用网)中实现用户站点分级管理的方法。
背景技术
VPN是企业或特定用户群体利用公共网络(如运营商的网络资源)来构建自己的私有网络、以满足自身应用需求;通过VPN,企业或特定用户群体可在其分支机构、远程用户、商业伙伴等之间建立安全、可靠的连接、低成本地传输数据。传统的VPN网络是建立在IP(互联网协议)技术基础上的,它使用IP网络设施对专用广域网仿真,是企业或特定用户群体利用公共IP网络来构建自己的私有网络。MPLS/BGP VPN则是一种在公共网络中使用MPLS(多协议标签交换)技术和BGP(边界网关协议)来提供IP VPN业务,以其为基础形成了RFC2547标准(RFC,请求注释协议,Internet的标准),该标准所述VPN是一种PP VPN(Provider Provide VPN,运营商提供的VPN),VPN设备位于网络侧,由运营商为用户提供VPN服务,用户设备不需要感知VPN,只要连接到运营商提供的PE设备即可。MPLS/BGP VPN的组网结构如图1所示,图中包括的设备分别为:
CE(Custom Edge,用户边缘)路由器或设备:是用户网络中的一个组成部分,可通过接口直接与运营商的骨干网络相连,用于将VPN的一个SITE(用户站点)连接到PE设备上。
PE(Provider Edge,骨干网边缘)路由器或设备:即运营商边缘路由器,是运营商网络的边缘设备,是MPLS/BGP VPN业务的实现主体,它为每一个VPN用户站点维护一个独立的路由表,与用户的CE设备直接相连;MPLS网络中,对VPN的所有处理都发生在PE设备上。
P(Provider,骨干网核心路由器):运营商网络中的骨干路由器,主要不和CE设备直接相连。P路由器具有MPLS基本转发能力。
所述的CE和PE设备主要是从运营商与用户的管理范围来划分的,CE设备和PE设备分别是两者管理范围的边界。CE与PE设备之间使用E-BGP(外部边界网关协议)或是IGP(内部网关协议)路由协议交换路由信息,当然也可以使用静态路由,CE设备不必支持MPLS或对VPN有感知,VPN内部PE设备之间通过MP-IBGP(多协议内部网关协议)交换路由信息。
前面描述了BGP/MPLS VPN的组网结构,下面再对BGP/MPLS VPN的相关属性分别进行介绍:
一个VPN通常由多个SITE组成,在PE设备上,每个SITE对应一个VRF(VPN routing/forwarding instance,VPN路由/转发实例),VRF主要包括:IP路由表、标签转发表、使用标签转发表的一系列接口以及管理信息,所述的管理信息包括RD(Route Distinguisher,路由分辨符)、路由过滤策略、成员接口列表等。
PE设备之间使用BGP和VPN-IPv4地址发布VPN路由信息。一个VPN-IPv4地址有12个字节,开始是8字节的RD,下面是4字节的IPv4地址,如图2所示。服务供应商可以独立地分配RD,通常将专用的AS(AutonomousSystem--自治系统)号作为RD的一部分来保证每个RD的全局唯一性。这样,即使VPN-IPv4地址中包含的4字节IPv4地址重叠,VPN-IPv4地址仍可以保持全局唯一。PE设备从CE接收的路由是IPv4路由信息,根据需要将其引入VRF路由表中,此时需要附加一个所述的RD。通常为来自于同一个SITE的所有路由信息设置相同的RD。
Vpn-Target(VPN目标)属性用于最终确定整个网络的VPN划分,由于MPLS/BGP VPN中没有明确的VPN标识,所以需要依靠Vpn-Target属性来确定不同SITE之间可以收到哪些SITE的路由,本SITE的路由可以被哪些SITE接收。具体的讲,PE设备存在两个Vpn-Target属性的集合:一个集合用于附加到从某个SITE接收的路由上,称为Export Vpn-Targets;另一个集合用于决定哪些路由可以引入此SITE的路由表中,称为Import Vpn-Targets。通过匹配路由所携带的Vpn-target(VPN目标)属性,可以获得VPN的成员关系。匹配Vpn-Target属性可以用来过滤PE设备接收的路由信息。如图2所示,当收到MPLS VPN路由时,如果其中的Export Vpn-Targets(即ERT1,ERT2,......,ERTn)集合与Import Vpn-Targets集合存在相同的项,则相应的路由有效,如果Export Vpn-Targets集合与Import Vpn-Targets集合不存在相同的项,则相应的路由将作为无效路由被拒绝。
CE设备与PE设备之间通过IGP或E-BGP来传播路由信息时,PE得到该VPN的路由表,存储在单独的VRF中。整个网络包括的各个PE之间通过IGP来保证内部的连通性,通过IBGP来传播VPN组成信息和路由信息,并完成各自VRF的更新。再通过与直接相连CE之间的路由交换来更新CE的路由表,由此完成各个CE之间的路由交换。
整个网络中完成了PE设备之间,以及PE设备与CE设备之间的路由交换后,便可以进行VPN报文的转发了。VPN报文转发使用两层标签方式。第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条LSP(标签交换路径),VPN报文利用这层标签,就可以沿着LSP到达对端PE。从对端PE到达CE时使用第二层(内层)标签,内层标签指示了报文到达哪个SITE即到达哪一个CE。这样,根据内层标签,就可以找到转发报文的接口。
由此可以看出,目前基于RFC2547的PP VPN(Provider ProvideVPN,简称PP VPN,运营商提供的VPN)解决方案中,VPN关系是通过一种策略匹配来形成的,也就是说没有显式的VPN标识。比如本地一个PE上有两个VRF:VRF1,VRF2,远端一个PE上也有对应的两个VRF:VRF1,VRF2,通过分别配置本地和远端的VRF的import vpn-target(输入VPN目标)属性和export vpn-target(输出VPN目标)属性,形成对应的匹配关系,这样就可以收发需要的的路由,形成最终的VPN关系。
因此,任何一个VRF的import vpn-target属性或是export vpn-target属性的变化都会影响到整网的VPN划分,导致整网VPN关系发生变化。在一些应用中,一个PE设备上通常配置有多个VRF,即分别连接了多个SITE,这些VRF分别和其它PE设备上的VRF分别形成了不同的VPN关系。而且,整个网络的VPN划分是由整个网络的网管来管理的,统一规划不同VRF的importvpn-target属性和export vpn-target属性,包括一个PE设备上不同VRF之间的VPN关系的划分管理。
由于一个网络拓扑通常是根据地域划分的,一个PE设备上连接的VPN客户都属于同一个区域,同时还因为他们在行政和管理上可能属于同一个管理者,因此,他们之间通常希望具有比较灵活的VPN关系,即希望一个PE设备上各个不同的VPN客户的VPN关系可以独立地进行管理,也就是说将一个PE设备上的VPN划分权限完全本地化,交由本地PE设备的管理员进行管理。例如,政府的办公网,每个城市有一个独立的PE设备,每个城市有几大职能部门,比如:财政,人事等,分别接入这个PE设备,各个城市之间的相同职能部门分别属于同一个VPN,不同的职能部门属于不同的VPN,不能互访。但是同一个城市内的几大职能部门之间可能会在一个VPN内,也可能一个PE上其中几个系统在一个VPN内,因此,这种VPN关系可能经常会发生变化,这种局部VPN关系的变化通常不希望影响到其它城市客户的VPN关系。
然而,目前任何一个VRF的VPN属性变化会影响到整个网络的VPN划分,这便给上述需求的实现带来了很大的局限性,即在上例中无法实现局部VPN关系的变化不影响到其它城市客户的VPN关系。
发明内容
鉴于上述现有技术所存在的缺点,本发明的目的是提供一种虚拟专用网中实现用户站点分级管理的方法,以实现将整个VPN中的成员管理权限进行分级管理,便于VPN中灵活地调整各个用户站点间的VPN关系。
本发明的目的是通过以下技术方案实现的:
所述的一种虚拟专用网中实现用户站点分级管理的方法,包括:
A、在VPN中,确定一组用户站点;
B、在各个确定的用户站点中,分别为其配置本地VPN目标属性,所述的本地VPN目标属性是指仅在确定的用户站点之间进行路由信息交换的属性;
C、各个确定的用户站点收到的路由信息中的本地VPN目标属性是否与本用户站点配置的本地VPN目标属性存在相同的项,如果存在,则引入该路由信息,否则,拒绝引入该路由信息;
D、确定的用户站点间根据引入的路由信息进行互访。
所述的步骤A包括:
在骨干网络的骨干网边缘PE设备上确定需要进行互访的用户站点作为所述一组用户站点。
所述的步骤B包括:
对所述确定的一组用户站点分别配置本地输入VPN目标属性和本地输出VPN目标属性。
所述的步骤C具体包括:
各个确定的用户站点判断收到的本地PE设备上的路由信息中的本地输出VPN目标属性集合是否与本用户站点配置的本地输入VPN目标属性集合存在相同的项,如果存在,则引入该路由信息,否则,拒绝引入该路由信息,所述的本地PE设备是指相应的用户站点所在的PE设备。
所述的步骤C进一步包括:
C1、用户站点对应的路由转发实例判断收到的路由信息中的输出VPN目标属性集合是否与本用户站点配置的输入VPN目标属性集合存在相同的项,如果存在,则引入该路由信息,否则,执行步骤C2;
C2、继续判断收到的路由信息是否为本地PE设备上的路由信息,如果是执行步骤C3,否则,拒绝引入该路由信息;
C3、继续判断收到的本地PE设备上的路由信息中的本地输出VPN目标属性集合是否与本用户站点配置的本地输入VPN目标属性集合存在相同的项,如果存在,则引入该路由信息,否则,拒绝引入该路由信息。
所述的步骤A具体包括:
E、在网络中,确定VPN中需要改变VPN关系的各个用户站点,并判断各个用户站点是否处于同一PE设备上,如果是,则确定各个用户站点为所述一组用户站点,并执行步骤B,否则,执行步骤F;
F、为所述的各个用户站点分别配置输入/输出VPN目标属性;
G、所述的各个用户站点根据各自配置的输入/输出VPN目标属性进行各个用户站点发出的路由信息的引入;
H、所述的各个用户站点间根据引入的路由信息进行互访。
所述的步骤B为:由确定的用户站点所在的PE设备的网管分别为确定的用户站点配置本地VPN目标属性;
所述的步骤F为:由整个网络的网管为所述的各个用户站点分别配置输入/输出VPN目标属性。
所述的用户站点发出的路由信息的处理包括:
当用户站点向所在的PE设备上的其他用户站点发送路由信息时,携带着为该用户站点配置的VPN目标属性和本地VPN目标属性;
当用户站点向所在的PE设备以外的其他用户站点发送路由信息时,则仅携带着为该用户站点配置的VPN目标属性。
步骤E所述的网络可以为基于多协议标签交换的VPN或基于边界网关协议的VPN或基于draft-kompella-ppvpn-l2vpn-ox.txt草案实现的二层VPN。
由上述本发明提供的技术方案可以看出,本发明在基于RFC2547的PPVPN的组网中,实现了VPN管理权限的分级,一个PE设备上的VPN划分可以完全由本地PE设备的网管独立管理,而整网的VPN划分则由整网的网管独立管理,从而使得本地PE设备上的VPN关系的变化不会影响到整个网络的VPN关系,以及其他PE设备上的用户站点间的VPN关系,有效地解决了现有技术所存在的无法实现局部VPN关系的变化不影响到其它城市客户的VPN关系问题。仍以背景技术中所描述的例子为例,本发明的实现,使得当政府的办公网的一个PE设备上的用户站点间的VPN关系发生改变时,仅由该PE设备的网管通过本地VPN目标属性进行VPN关系的重新配置即可,而对于整个政府办公网以及网上的其他PE设备上的VPN关系不产生任何影响。
附图说明
图1为BGP/MPLS VPN组网结构示意图;
图2为路由目标属性过滤路的示意图;
图3为本发明所述的方法的流程图;
图4为BGP/MPLS VPN组网结构实例示意图。
具体实施方式
本发明主要是通过令一个PE设备的管理员(即网管)对相应PE设备上接入的用户站点之间的VPN关系拥有独立的管理权限,以解决现有技术中所存在的问题,即在整个虚拟专用网中实现纵向(即整个网络)的VPN划分权限属于整个网络的网络管理员,横向(单个PE设备)的VPN划分权限属于一台PE设备的管理员,从而使VPN应用中,纵向VPN可以分别互通,横向VPN可以独立改变VPN关系。
由背景技术的描述可以知道,RFC2547的PP VPN解决方案中,一个VRF有import vpn-target属性和export vpn-target属性,这两个属性中,importvpn-target属性确定了一个VRF可以接收整网中哪些VPN路由,export vpn-target属性确定了本VRF的路由可以被整网中哪些VRF所接收。本发明是基于RFC2547的PP VPN解决方案提出了一种新的VPN属性:local Vpn-target(本地VPN目标)属性,所述的本地VPN目标属性为定义仅在确定需要进行分级管理的所有用户站点之间可以进行路由信息交换的属性信息,具体可以为定义仅在同一PE设备上的需要进行互访的CE设备间进行路由信息交换的属性,该属性包括local import vpn-target(本地输入VPN目标)属性和localexport vpn-target(本地输出VPN目标)属性,两属性在进行路由交换时的应用原理与现有VRF中的两属性的应用原理类似。
所述的local Vpn-target属性只作用于所在的PE设备上的VPN路由,具体描述如下:所述的local import vpn-target属性将只用来确定可以接收所在的PE设备上的哪些用户站点发出的VPN路由,不对其他PE设备发来的VPN路由起作用;所述的local export vpn-target属性不会附加在本用户站点对应的VRF的路由上发送给其它的PE设备,它只会在同一PE设备上的其他的VRF引入此VRF的路由时起作用,即与同一PE设备上的其他VRF的local importvpn-target属性列表匹配,以确定是否需要引入这个VRF中的路由。
本发明中,一个VRF的vpn-target属性和local vpn-target属性之间的关系如下:因为一个VRF的Vpn-target和Local vpn-target属性一般分别会有多个,因此分别用Vpn-target属性列表和Local vpn-target属性列表来表示。
前面对于发明的主要思想及主要采用的技术手段进行了描述,下面结合附图对本发明的述的方法的具体实施方式作进一步说明,参见图3,具体包括以下步骤:
步骤31:根据实际需要确定需要对整个虚拟专用网中的VPN关系进行调整,并进一步确定需要进行VPN关系的所有用户站点,例如,根据网络运营的需要将同一PE设备上本来无法互访的用户站点修改为可以进行互访,或者将不同PE设备上的本来无法互访的用户站点修改为可以互访等等;
步骤32:判断所述的所有的用户站点是否位于同一PE设备上,如果处于同一PE设备上,则执行步骤33,否则,执行步骤36;
步骤33:对各个用户站点进行本地VPN目标属性的配置,包括配置本地输入VPN目标属性和本地输出VPN目标属性;
步骤34:基于步骤33配置的本地VPN目标属性进行各个用户站点的VPN路由信息的引入,即基于步骤33配置的本地VPN目标属性更新各个用户站点的VRF中的路由信息;
步骤35:同一PE设备上的各个用户站点根据引入的路由信息进行互访,即经过步骤34的处理后,各个用户站点便可以基于更新后的路由信息进行互访,实现了基于各个用户站点的VPN关系的改变。
步骤36:对各个用户站点进行VPN目标属性的配置,包括配置输入VPN目标属性和输出VPN目标属性;
步骤37:基于步骤36配置的VPN目标属性进行各个用户站点的VPN路由信息的引入,即基于步骤36配置的VPN目标属性更新各个用户站点的VRF中的路由信息;
步骤38:不同PE设备上的各个用户站点根据引入的路由信息进行互访,即经过步骤37的处理后,各个用户站点便可以基于更新后VRF中的路由信息进行互访,实现了基于各个用户站点的VPN关系的改变。
其中步骤34和步骤37的处理过程中涉及的路由信息的引入的处理过程与前面描述的处理过程类似,均为根据VPN目标属性或本地VPN目标属性是否匹配确定是否引入相应的路由信息。在本发明中,当一个用户站点收到VPN路由信息并由对应的VRF判断是否引入所述的VPN路由信息时,可以分以下几种处理情况:
(1)如果路由信息是由其他PE设备发来的,则此VRF将使用用户站点的import vpn-target列表去匹配VPN路由所携带的export vpn-target属性列表,如果其中有一项匹配,则确定接收这条VPN路由,否则不接收;
(2)如果路由信息是本地PE设备其他用户站占发来的,则此VRF首先使用import vpn-target列表来匹配路由所携带的export vpn-target属性列表,如果匹配,则引入该路由信息,如果不匹配,则用此VRF的local import vpn-target属性列表来匹配这条路由携带的local export vpn-target属性列表,如果匹配,引入路由,否则拒绝引入该路由;所述的本地PE设备是指接收VPN路由信息的用户站点所在的PE设备。
上述两种情况在具体的实现过程中,可以首先判断出所述的路由信息是由其他PE设备发来的,还是由本地PE设备的其他用户站点发来的,然后,分别采用上述相应的处理过程进行处理;也可以首先使用用户站点的importvpn-target列表去匹配VPN路由所携带的export vpn-target属性列表,如果其中有一项匹配,则确定接收这条VPN路由(即引入该路由信息),否则继续判断所述的路由信息是由其他PE设备发来的,还是由本地PE设备的其他用户站点发来的,如果是其他PE设备发来的,则拒绝引入该路由信息,否则,继续用此VRF的local import vpn-target属性列表来匹配这条路由携带的localexport vpn-target属性列表,如果匹配,则引入该路由信息,否则,拒绝引入该路由信息。
本发明中,一个PE上的VRF之间的vpn-target属性列表和local vpn-target属性列表是否能彼此做匹配来确定是否引入路由的,也就是说VPN目标属性和本地VPN目标属性均为各自单独使用,且本地VPN目标属性权在同一PE设备上的用户站点间互相引入路由信息时使用。
下面再结合图4,对本发明所述的方法的具体应用加以说明,图4中骨干网有三个PE设备,每个PE设备上连接了三个SITE,分别对应着本区域的三个职能部门办公,财务,市场,通常三个区域中的三个相同的职能部门之间肯定是需要互通的,因此,需要为整个网络中的三种职能部门分别配置不同的VPN,可以分别为vpn_BanGong VPN,vpn_CaiWu VPN和vpn_ShiChang VPN,而不同地域的不同的职能部门之间是不能互访的。
对于整个网络上的VPN划分是由整网的管理员负责的,所以整网的管理员需要在三个PE设备上分别作如下的VPN配置,以实现三个VPN分别划分:
Ip vrf vpn_BanGong:创建一个名为vpn_BanGong的VPN;
Rd 100:1:将vpn_BanGong的RD配置为100:1;
Import vpn-target 100:1:将输入VPN目标属性配置为100:1;
Export vpn-target 100:1:将输出VPN目标属性配置为100:1;
Ip vrf vpn_CaiWu:创建一个名为vpn_CaiWu的VPN;
Rd 100:2:将vpn_CAIWU的RD配置为100:2;
Import vpn-target 100:2:将输入VPN目标属性配置为100:2;
Export vpn-target 100:2:将输出VPN目标属性配置为100:2;
Ip vrf vpn_ShiChang:创建一个名为vpn_ShiChang的VPN;
Rd 100:3:将vpn_ShiChang的RD配置为100:3;
Import vpn-target 100:3:将输入VPN目标属性配置为100:3;
Export vpn-target 100:3:将输出VPN目标属性配置为100:3;
经过上述配置,将三个区域的相同职能部门配置于同一个VPN内,便可以保证三个区域的相同职能部门的互通,而三个区域不同的职能部门却因为属于不同的VPN而不能互通。
同时,接入同一个PE设备的三个职能部门之间由于属于同一个区域分支的三个职能部门,所以通常也可能有不同的互通需求,比如办公要访问财务,这是实际应用中不可避免,而且同一个区域的各个部门之间可能是一种比较灵活多变的VPN关系,即本地VPN关系可能会经常变化的。通常一个PE设备上的各种特殊的VPN关系的需求不应该对其他PE设备上的职能部门有什么影响的。而且这种灵活的VPN关系的变化考虑到管理的简化及方便性通常也不应该由整网的管理员来管理的,只需要本PE设备上的管理员来管理即可,而且为保证网络的安全性和稳定性,本地PE设备的管理员在管理本地的职能部门的VPN关系时,任何操作(正确的或是误操作)都不应该对整网的VPN关系产生影响。
如图4中的分支1上的办公和财务职能部门要互访,只需要在前面的整网配置基础上增加如下的配置即可,具体为:
Ip vrf vpn_BanGong:创建一个名为vpn_BanGong的VPN;
Rd 100:1:将vpn_BanGong的RD配置为100:1;
Import vpn-target 100:1:将输入VPN目标属性配置为100:1;
Export vpn-target 100:1:将输出VPN目标属性配置为100:1;
Local import vpn-target 200:1:将本地输入VPN目标属性配置为200:1;
Local export vpn-target 200:1:将本地输出VPN目标属性配置为200:1;
Ip vrf vpn_CaiWu:创建一个名为vpn_CaiWu的VPN;
Rd 100:2:将vpn_CaiWu的RD配置为100:2;
Import vpn-target 100:2:将输入VPN目标属性配置为100:2;
Export vpn-target 100:2:将输出VPN目标属性配置为100:2;
Local import vpn-target 200:1:将本地输入VPN目标属性配置为200:1;
Local export vpn-target 200:1:将本地输出VPN目标属性配置为200:1;
通过vpn_BanGong和vpn_CaiWu上述Local vpn-target的配置,就形成了两者的互访,而且配置的local export vpn-target不会随路由发出,localimport vpn-target属性列表也不会作用于任何其他PE来的路由,只会作用于本地的VPN路由。因此新增的这样的配置不会对整网的VPN关系产生任何影响,只是根据本地PE设备的管理员的意愿,修改了本地的VPN关系。在其他的PE设备上也可能有相同的需求,比如分支2上需要财务VPN和市场VPN可以互访可以做如下配置:
Ip vrf vpn_CaiWu:创建一个名为vpn_CaiWu的VPN;
Rd 100:2:将vpn_CaiWu的RD配置为100:2;
Import vpn-target 100:2:将输入VPN目标属性配置为100:2;
Export vpn-target 100:2:将输出VPN目标属性配置为100:2;
Local import vpn-target 200:1:将本地输入VPN目标属性配置为200:1;
Local export vpn-target 200:1:将本地输出VPN目标属性配置为200:1;
Ip vrf vpn_ShiChang:创建一个名为vpn_ShiChang的VPN;
Rd 100:3:将vpn_ShiChang的RD配置为100:3;
Import vpn-target 100:3:将输入VPN目标属性配置为100:3;
Export vpn-target 100:3:将输出VPN目标属性配置为100:3;
Local import vpn-target 200:1:将本地输入VPN目标属性配置为200:1;
Local export vpn-target 200:1:将本地输出VPN目标属性配置为200:1;
可以看出,虽然两个分支上的vpn_ShiChang和vpn_CaiWu的配置中出现了Local vpn-target属性重叠,但是也不会导致两个分支上的不同职能部分的错误互访。
本发明除适用于MPLS/BGP VPN外,还适用于其他与MPLS/BGP VPN类似的VPN,例如基于draft-kompella-ppvpn-l2vpn-0x.txt(关于二层VPN的草案)实现的L2VPN。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内,如将本发明应用于其他与前所述网络类似的网络中等。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (9)
1、一种虚拟专用网中实现用户站点分级管理的方法,其特征在于包括:
A、在VPN中,确定一组用户站点;
B、在各个确定的用户站点中,分别为其配置本地VPN目标属性,所述的本地VPN目标属性是指仅在确定的用户站点之间进行路由信息交换的属性;
C、各个确定的用户站点收到的路由信息中的本地VPN目标属性是否与本用户站点配置的本地VPN目标属性存在相同的项,如果存在,则引入该路由信息,否则,拒绝引入该路由信息;
D、确定的用户站点间根据引入的路由信息进行互访。
2、根据权利要求1所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于所述的步骤A包括:
在骨干网络的骨干网边缘PE设备上确定需要进行互访的用户站点作为所述一组用户站点。
3、根据权利要求1或2所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于所述的步骤B包括:
对所述确定的一组用户站点分别配置本地输入VPN目标属性和本地输出VPN目标属性。
4、根据权利要求3所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于所述的步骤C具体包括:
各个确定的用户站点判断收到的本地PE设备上的路由信息中的本地输出VPN目标属性集合是否与本用户站点配置的本地输入VPN目标属性集合存在相同的项,如果存在,则引入该路由信息,否则,拒绝引入该路由信息,所述的本地PE设备是指相应的用户站点所在的PE设备。
6、根据权利要求5所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于所述的步骤C进一步包括:
C1、用户站点对应的路由转发实例判断收到的路由信息中的输出VPN目标属性集合是否与本用户站点配置的输入VPN目标属性集合存在相同的项,如果存在,则引入该路由信息,否则,执行步骤C2;
C2、继续判断收到的路由信息是否为本地PE设备上的路由信息,如果是执行步骤C3,否则,拒绝引入该路由信息;
C3、继续判断收到的本地PE设备上的路由信息中的本地输出VPN目标属性集合是否与本用户站点配置的本地输入VPN目标属性集合存在相同的项,如果存在,则引入该路由信息,否则,拒绝引入该路由信息。
7、根据权利要求1所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于所述的步骤A具体包括:
E、在网络中,确定VPN中需要改变VPN关系的各个用户站点,并判断各个用户站点是否处于同一PE设备上,如果是,则确定各个用户站点为所述一组用户站点,并执行步骤B,否则,执行步骤F;
F、为所述的各个用户站点分别配置输入/输出VPN目标属性;
G、所述的各个用户站点根据各自配置的输入/输出VPN目标属性进行各个用户站点发出的路由信息的引入;
H、所述的各个用户站点间根据引入的路由信息进行互访。
8、根据权利要求7所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于:
所述的步骤B为:由确定的用户站点所在的PE设备的网管分别为确定的用户站点配置本地VPN目标属性;
所述的步骤F为:由整个网络的网管为所述的各个用户站点分别配置输入/输出VPN目标属性。
9、根据权利要求1或7所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于所述的用户站点发出的路由信息的处理包括:
当用户站点向所在的PE设备上的其他用户站点发送路由信息时,携带着为该用户站点配置的VPN目标属性和本地VPN目标属性;
当用户站点向所在的PE设备以外的其他用户站点发送路由信息时,则仅携带着为该用户站点配置的VPN目标属性。
10、根据权利要求7所述的虚拟专用网中实现用户站点分级管理的方法,其特征在于步骤E所述的网络可以为基于多协议标签交换的VPN或基于边界网关协议的VPN或基于draft-kompella-ppvpn-I2vpn-Ox.txt草案实现的二层VPN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101239789A CN1317851C (zh) | 2003-12-19 | 2003-12-19 | 一种虚拟专用网中实现用户站点分级管理的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101239789A CN1317851C (zh) | 2003-12-19 | 2003-12-19 | 一种虚拟专用网中实现用户站点分级管理的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1630249A CN1630249A (zh) | 2005-06-22 |
| CN1317851C true CN1317851C (zh) | 2007-05-23 |
Family
ID=34844911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003101239789A Expired - Fee Related CN1317851C (zh) | 2003-12-19 | 2003-12-19 | 一种虚拟专用网中实现用户站点分级管理的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1317851C (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100420201C (zh) * | 2005-10-14 | 2008-09-17 | 华为技术有限公司 | 一种用户边缘设备管理方法和系统 |
| CN101312424B (zh) * | 2007-05-25 | 2011-11-16 | 杭州华三通信技术有限公司 | Vpn结构还原方法和装置 |
| CN101662412B (zh) * | 2008-08-26 | 2013-12-18 | 北京兴网汇通科技有限公司 | Ip电信网系统中基于控制平面的虚拟专网资源管理方法 |
| CN102104532B (zh) * | 2009-12-22 | 2014-02-12 | 杭州华三通信技术有限公司 | 一种故障切换的方法、系统和中心提供商边缘路由器 |
| CN102325072B (zh) * | 2011-05-17 | 2013-12-11 | 杭州华三通信技术有限公司 | 虚拟专用网自动发现的方法及设备 |
| CN102281533B (zh) * | 2011-08-03 | 2014-01-08 | 华为技术有限公司 | 基于rt建立lsp的方法、系统和路由器 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002166640A (ja) * | 2000-04-12 | 2002-06-11 | Oji Paper Co Ltd | インクジェット記録シート |
| CN1414749A (zh) * | 2002-08-23 | 2003-04-30 | 华为技术有限公司 | 一种三层虚拟私有网络及其构建方法 |
| CN1455560A (zh) * | 2003-05-22 | 2003-11-12 | 北京港湾网络有限公司 | 多协议标签交换虚拟专用网相互通信的方法 |
| KR20030088629A (ko) * | 2002-05-14 | 2003-11-20 | 한국전자통신연구원 | 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법 |
-
2003
- 2003-12-19 CN CNB2003101239789A patent/CN1317851C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002166640A (ja) * | 2000-04-12 | 2002-06-11 | Oji Paper Co Ltd | インクジェット記録シート |
| KR20030088629A (ko) * | 2002-05-14 | 2003-11-20 | 한국전자통신연구원 | 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법 |
| CN1414749A (zh) * | 2002-08-23 | 2003-04-30 | 华为技术有限公司 | 一种三层虚拟私有网络及其构建方法 |
| CN1455560A (zh) * | 2003-05-22 | 2003-11-12 | 北京港湾网络有限公司 | 多协议标签交换虚拟专用网相互通信的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1630249A (zh) | 2005-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1143663B1 (en) | System and method for selective LDAP database synchronisation | |
| US7032022B1 (en) | Statistics aggregation for policy-based network | |
| US6678835B1 (en) | State transition protocol for high availability units | |
| US6708187B1 (en) | Method for selective LDAP database synchronization | |
| CN1254059C (zh) | 一种多协议标签交换虚拟专用网的实现方法 | |
| WO2017162095A1 (zh) | 基于流规则协议的通信方法、设备和系统 | |
| US7272643B1 (en) | System and method for managing and provisioning virtual routers | |
| CN1610331A (zh) | 进行as间的路由控制的通信装置及其路由控制方法 | |
| CN1722698A (zh) | 多协议标签交换虚拟专用网及其控制和转发方法 | |
| US7500196B2 (en) | Method and system for generating route distinguishers and targets for a virtual private network | |
| CN1708031A (zh) | 虚拟专用网的实现方法 | |
| CN1849787A (zh) | 通过在具有资源管理的通信网络中预留资源来提供服务 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| CN1199405C (zh) | 用虚拟路由器构建的企业外部虚拟专网系统及方法 | |
| CN1323522C (zh) | 一种确定客户边缘路由器与虚拟专用网络间关系的方法 | |
| CN1317851C (zh) | 一种虚拟专用网中实现用户站点分级管理的方法 | |
| CN1180583C (zh) | 一种宽带网络虚拟专用网的实现方法 | |
| CN1716901A (zh) | 混合站点混合骨干网的虚拟专用网系统及其实现方法 | |
| KR20230051274A (ko) | 클라우드 리소스들에 대한 자동화된 접속성 | |
| CN1595890A (zh) | 与预订通知服务的虚拟连接 | |
| CN1647486A (zh) | 数据过滤器管理装置 | |
| CN101304337A (zh) | 生成业务虚拟私有网络的接入拓扑的方法和装置 | |
| CN101030882A (zh) | 一种访问客户网络管理平台的方法 | |
| CN101304338B (zh) | 发现多协议标签交换三层虚拟私有网中设备的方法、装置 | |
| CN1744541A (zh) | 一种在多层标签交换网络中实现虚拟专网业务的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070523 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |