CN1716901A - 混合站点混合骨干网的虚拟专用网系统及其实现方法 - Google Patents
混合站点混合骨干网的虚拟专用网系统及其实现方法 Download PDFInfo
- Publication number
- CN1716901A CN1716901A CN 200410069535 CN200410069535A CN1716901A CN 1716901 A CN1716901 A CN 1716901A CN 200410069535 CN200410069535 CN 200410069535 CN 200410069535 A CN200410069535 A CN 200410069535A CN 1716901 A CN1716901 A CN 1716901A
- Authority
- CN
- China
- Prior art keywords
- route
- edition
- network
- edge router
- autonomous territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及虚拟专用网技术,公开了一种混合站点混合骨干网的虚拟专用网系统及其实现方法,使得基于不同IP版本的站点可以通过基于不同IP版本的骨干网络进行相互访问并开展VPN业务,解决在过渡期间混合网络VPN业务的开展问题。这种混合站点混合骨干网的虚拟专用网系统及其实现方法对多域骨干网络的自治域划分主从,在自治域内根据本自治域的IP版本采用相应的MP-IBGP发布路由,在相邻自治域间采用Multi-hop MP-EBGP发布路由,同时在CE和PE上运行IPv4/IPv6双路由表,在自治域内依据其IP版本分配标签进行VPN数据的隧道转发,从而实现混合站点多域骨干网络的VPN。
Description
技术领域
本发明涉及虚拟专用网技术,特别涉及用户站点和骨干网络由网间互联协议第4版(Internet Protocol version 4,简称“IPv4”)向网间互联协议第6版(Internet Protocol version 6,简称“IPv6”)演进时的虚拟专用网技术。
背景技术
VPN是在公众网络上所建立的虚拟的专用网络,它具有与专用网络同样卓越的安全性、可靠性和易管理性。VPN替代了传统的拨号访问,利用因特网(Internet)公众网或者运营商网络资源作为企业专用网络的延续,节省昂贵的专线租用费用,同时VPN可以使用隧道协议、身份验证和数据加密等技术保证通信的安全性,受到企业用户的欢迎。
企业通过VPN的建设,可以带来很多好处,例如,通过使用VPN,企业可以节省大量企业日常通讯的费用;可以进行远程教学和远程监控以达到企业管理统一;还可以提高企业内部业务信息流通的安全性。可以预见,VPN是企业内部网络设计,信息管理、流通的必然趋势。
现有的VPN是基于IPv4网络的,即组成VPN的骨干网络和站点都处于IPv4网络中。作为其中的典型代表,请求评注(Request for Comments,简称“RFC”)标准2547bis定义的VPN实现方案对如何实现VPN作了具体描述,详细说明可以参照RFC 2547bis。下面对实现该方案的基本原理作简要介绍。
RFC2547bis所定义多协议标记交换(Multi-Protocol Label Switching,简称“MPLS”)三层(Layer 3,简称“L3”)VPN的模型的示意图如图1所示,该模型包括三个组成部份:用户网边缘(Custom Edge Router,简称“CE”)路由器、骨干网边缘(Provider Edge Router,简称“PE”)路由器和骨干网(Provider Router,简称“P”)路由器。其中,CE路由器是用户驻地网络的一个组成部分,有接口直接与运营商的网络相连,CE路由器感知不到VPN的存在,也不需要维护VPN的整个路由信息;PE路由器是运营商网络的边缘设备,与用户的CE路由器直接相连,在MPLS网络中,对VPN的所有处理都在PE路由器上完成;P路由器处于运营商网络中,不和CE路由器直接相连,P路由器需要有MPLS基本信令能力和转发能力。熟悉本领域的技术人员可以理解,CE和PE的划分主要是从运营商与用户的管理范围来划分的,CE和PE是两者管理范围的边界。
CE与PE之间可以使用外部边界网关协议(External BGP,简称“EBGP”)或是内部网关协议(Interior Gateway Protocol,简称“IGP”)等路由协议交换路由信息,也可以使用静态路由。CE不必支持MPLS,不需要感知VPN的整网路由,VPN的整网路外包给运营商来完成。PE之间通过多协议边界网关协议(Multi-Protocol Border Gateway Protocol,简称“MP-BGP”)交换VPN的整网路由信息。
如图1所示,VPN是由多个用户站点(Site)组成的,在PE上,每个站点对应一个VPN路由/转发实例(VPN Routing/Forwarding instance,简称“VRF”),它主要包括:网间互联协议(Internet Protocol,简称“IP”)路由表、标签转发表、使用标签转发表的一系列接口以及管理信息。其中,接口和管理信息包含路由区分符(Route Distinguisher,简称“RD”)、路由过滤策略、成员接口列表等。需要说明的是,用户站点和VPN不存在一对一的关系,一个站点可以同时属于多个VPN。在具体实现时,每一个站点关联一个单独的VRF。VPN中Site的VRF实际上综合了该站点的VPN成员关系和路由规则。报文转发信息存储在每个VRF的IP路由表和标签转发表中。系统为每个VRF维护一套独立的路由表和标签转发表,从而防止了数据泄漏出VPN之外,同时防止了VPN之外的数据进入。
路由器之间使用边界网关协议(Border Gateway Protocol,简称“BGP”)来发布VPN路由,BGP通信在两个层次上进行,自治系统(AutonomousSystem,简称“AS”)即自治域的内部采用内部边界网关协议(Internal BGP,简称“IBGP”),AS之间采用EBGP。例如,PE-PE会话是IBGP会话,而PE-CE会话是EBGP会话。BGP在PE路由器之间的VPN组成信息和路由传播,通过多协议扩展BGP(Multi-protocol extensions BGP,简称“MBGP”)来实现。MBGP向下兼容,既可以支持传统的IPv4地址族,又可以支持其它地址族,例如VPN-IPv4地址族。通过MBGP携带的路由目标(Route Target)确保了特定VPN的路由只能被这个VPN的其它成员知道,使BGP/MPLSVPN成员间的通信成为可能。其中,关于MBGP的详细说明请参见RFC2283。
在RFC2547bis标准中,CE与PE之间通过内部网关协议(Interior GatewayProtocol,简称“IGP”)或EBGP来传播路由信息,PE得到该VPN的路由表,存储在单独的VRF中。PE之间通过IGP来保证通常IP的连通性,通过IBGP来传播VPN组成信息和路由,并完成各自VRF的更新。PE再通过与直接相连CE之间的路由交换来更新CE的路由表,由此完成各个CE之间的路由交换。
其中,使用BGP来发布VPN路由时,使用了新的地址族-VPN-IPv4地址。一个VPN-IPv4地址有12个字节,开始是8字节的RD,后面是4字节的IPv4地址。PE使用RD对来自不同VPN的路由信息进行标识。运营商可以独立地分配RD,但是需要把他们专用的AS号作为RD的一部分来保证每个RD的全局唯一性。RD为零的VPN-IPv4地址同全局唯一的IPv4地址是同义的。这样处理以后,即使VPN-IPv4地址中包含的4字节IPv4地址重叠,VPN-IPv4地址仍可以保持全局唯一。其中,PE从CE接收的路由是IPv4路由,需要引入VRF路由表中,此时需要附加一个RD。在通常的实现中,为来自于同一个用户站点的所有路由设置相同的RD。
在RFC2547bis标准中,采用Route Target属性标识了可以使用某路由的站点的集合,即该路由可以被哪些站点所接收,PE路由器可以接收哪些站点传送来的路由。与Route Target中指明的站点相连的PE路由器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后,将其加入到相应的路由表中。PE路由器存在两个Route Target属性的集合:一个集合用于附加到从某个站点接收的路由上,称为Export Route Targets;另一个集合用于决定哪些路由可以引入此Site的路由表中,称为Import Route Targets。通过匹配路由所携带的Route Target属性,可以获得VPN的成员关系。匹配Route Target属性可以用来过滤PE路由器接收的路由信息。MPLS VPN路由信息进入PE路由器时,如果Export Route Targets集合与Import Route Targets集合存在相同项,则该路由被接收;如果Export Route Targets集合与ImportRoute Targets集合没有相同项,则该路由被拒绝。
在RFC2547bis标准中,VPN报文转发使用两层标签方式。第一层,即外层标签在骨干网内部进行交换,代表了从PE到对端(PEER)PE的一条标签交换路径(Label Switched Path,简称“LSP”),VPN报文利用这层标签,就可以沿着LSP到达对端PE。从对端PE到达CE时使用第二层,即内层标签,内层标签指示了报文到达哪个站点,或者更具体一些,到达哪一个CE。这样,根据内层标签,就可以找到转发报文的接口。特殊情况下,属于同一个VPN的两个站点连接到同一个PE,则如何到达对方PE的问题不存在,只需要解决如何到达对端CE。
而随着通信网络技术的发展,传统的IPv4网络暴露出了一系列缺点,体现在地址空间不足、移动性差、安全性差和配置复杂等方面,因此互联网工程任务组(Internet Engineer Task Force,简称“IETF”)提出了IPv6以解决这些问题。经过几年的发展,IPv6技术已经日渐成熟,较为成功的解决了IPv4所存在的问题,成为下一代互联网的标准。目前,IPv6的推广已经进入实质阶段,许多研究机构和公司正在进行IPv6网络产品的研究工作。
为了在从IPv4向IPv6演进的过程中继续提供IPv4环境下的各种业务,必须同步研究IPv6网络上的VPN解决方案。由于IPv6本身也还处于试验阶段,还没有正式大规模商用,更没有存在IPv6网络下的正式VPN业务应用。现在世界上对于IPv6下VPN业务的研究还处于初级阶段,IPv6 VPN还要适应IPv6的新特性,如IPv6下VPN业务的安全性、服务质量(Quality of Service,简称“QoS”)、移动性以及可管理性等,有很多的研究工作需要进行。
对于如何在骨干网络为IPv4网络,VPN站点全部为IPv6网络的情况下实现VPN,可以采用思科(CISCO)公司提出的6PE技术方案,该技术方案的网络组成示意图如图2所示。6PE方案实现的基本思想是:每个IPv6站点连接到IPv4骨干网络的至少一个双栈并且支持MP-BGP的PE路由器,即图3所示的6PE路由器。其中,6PE路由器称为双栈BGP(Double Stack BGP,简称“DS-BGP”)路由器,即DS-BGP路由器。DS-BGP路由器在IPv4侧至少有一个IPv4地址,在IPv6侧至少有一个IPv6地址,并且该IPv4地址必须在IPv4网络中可路由。IPv6站点中的路由遵循标准的IPv6路由协议,例如开放最短路径优先协议第3版(Open Shortest Path First Version3,简称“OSPFv3”),标准化发起信息学会第6版(Information Society Initiatives inStandardization version 6,简称“ISISv6”)或者下一代路由信息协议(RoutingInformation Protocol next generation,简称“RIPng”),不用向IPv4骨干网络发布,只需要在DS-BGP路由器通过BGP4+终结,但需要在DS-BGP路由器之间通过MP-BGP4交换IPv6的网络层可达信息(Network LayerReachability Information,简称“NLRI”),出口DS-BGP路由器在向入口DS-BGP路由器通告路由时将自己的地址作为这些路由的下一跳;在数据包转发时,从入口DS-BGP路由器将IPv6数据包通过MPLS隧道,即LSP,透传到出口DS-BGP路由器。而DS-BGP路由器通告自己的地址作为BGP路由下一跳时可以使用IPv4地址,并使用MPLS隧道或者其它基于IPv4地址的隧道,如通用路由封装(Generic Route Encapsulation,简称“GRE”)协议隧道,IP安全协议(IP Security Protocol,简称“IPsec)隧道;也可以使用IPv6地址,并使用相应的隧道,如6to4隧道,站点内自动隧道接入协议(Intra-Site Automatic Tunnel Access Protocol,简称”ISATAP“)隧道,并使用这些隧道要求的地址形式。
但是,IPv4向IPv6过渡是一个渐进的过程,过渡时期将同时存在IPv4网络和IPv6网络,用户网络和骨干网络都既可能是IPv4网络或IPv6网络,又可能是IPv4/IPv6混合网络。这就要求新一代网络下的VPN业务能够适应复杂的网络环境,可以正常应用于IPv4网络、IPv6网络或者是IPv4/IPv6混合网络。
在实际应用中,上述方案存在以下问题:现有的技术方案无法在用户站点同时包含IPv4站点和IPv6站点,以及骨干网络同时包含IPv4域和IPv6域时,提供VPN业务解决方案。
造成这种情况的主要原因在于,现有的技术方案是针对骨干网为IPv4网络,全部VPN站点为IPv6站点的情况,该方案中使用的DS-BGP无法支持IPv4的站点,如果简单地改用普通BGP路由器则无法实现NLRI的交换等功能,并且现有的技术方案中VPN的路由学习和发布是在IPv4网络中进行,无法支持混合骨干网中的路由器学习和发布,因此不支持基于混合骨干网的VPN的路由学习发布以及数据转发。
发明内容
有鉴于此,本发明的主要目的在于提供一种混合站点混合骨干网的虚拟专用网系统及其实现方法,使得基于不同IP版本的站点可以通过基于不同IP版本的骨干网络进行相互访问并开展VPN业务,解决在过渡期间混合网络VPN业务的开展问题。
为实现上述目的,本发明提供了一种混合站点混合骨干网的虚拟专用网系统,包含基于网间互联协议第4版或第6版的虚拟专用网用户站点、用户网边缘路由器、骨干网边缘路由器和骨干网,所述用户站点通过所述用户网边缘路由器和所述骨干网边缘路由器接入所述骨干网,所述骨干网络包含至少两个网间互联协议版本不同的自治域,所述自治域之间通过自治域边缘路由器连接;
其中,所述自治域划分为一个主自治域和至少一个从自治域,通过多跳多协议外部边界网关协议在所述自治域之间发布路由。
其中,一个所述主自治域和一个与所述主自治域相邻的所述从自治域构成基础混合网络,所述基础混合网络的所述主自治域的所述自治域边缘路由器和与该自治域边缘路由器连接的所述从自治域的所述骨干网边缘路由器之间运行多跳多协议外部边界网关协议;其它所述从自治域逐层叠加,并在每层新叠加的所述从自治域的所述骨干网边缘路由器和已有混合网络的所述自治域边缘路由器之间运行多跳多协议边界网关协议。
所述自治域内部根据所述自治域的网间互联协议版本运行相应的多协议内部边界网关协议在所述自治域内发布路由。
所述自治域之间建立跨域隧道进行所述虚拟专用网的数据转发,所述自治域内通过域内隧道进行所述虚拟专用网的数据转发。
所述用户网边缘路由器和所述骨干网边缘路由器在两个路由表中分别存储不同网间互联协议版本的路由。
所述骨干网边缘路由器向所述用户网边缘路由器发送路由时,运行基于网间互联协议第6版的路由协议,将a.b.c.d/n形式的网间互联协议第4版路由转换为0::a.b.c.d/(96+n)形式的伪网间互联协议第6版路由后发送,将网间互联协议第6版路由直接发送。
网间互联协议第4版的所述用户站点接收路由后将0::a.b.c.d/(96+n)形式的路由反变换为a.b.c.d/n形式的路由。
本发明还提供了一种实现混合站点混合骨干网的虚拟专用网的方法,包含以下步骤:
A在所述虚拟专用网内对基于网间互联协议第4版或第6版的用户站点进行编址;
B所述用户站点和基于网间互联协议第4版或第6版的骨干网运行多协议内部边界网关协议和多跳多协议外部边界网关协议进行路由的学习和发布;
C所述骨干网进行内层标签和外层标签的分发;
D所述用户站点的数据包依据所述步骤B中建立的路由,封装所述内层标签和所述外层标签通过所述骨干网进行转发。
其中,所述步骤A中,基于网间互联协议第4版的所述用户站点之间采用″路由区分符+网间互联协议第4版地址″的形式组成地址族标识符为1的虚拟专用网-网间互联协议第4版地址;基于网间互联协议第4版的所述用户站点与基于网间互联协议第6版的所述用户站点之间,基于网间互联协议第6版的所述用户站点之间采用″路由区分符+网间互联协议第6版地址″的形式组成地址族标识符为2的虚拟专用网-网间互联协议第6版地址。
和基于网间互联协议第6版的所述用户站点通信的,基于网间互联协议第4版的所述用户站点将网间互联协议第4版地址A.B.C.D映射成0::A:B:C:D形式的网间互联协议第6版地址后,与路由区分符进行组合组成虚拟专用网-网间互联协议第6版地址。
所述步骤B还包含以下子步骤:
B1对所述用户站点的地址进行聚合,形成相应的路由项;
B2所述用户站点的用户网边缘路由器根据所述用户站点的网间互联协议版本运行相应的路由协议向与之连接的骨干网边缘路由器发布路由;
B3运行多协议内部边界网关协议在所述骨干网的自治域内发布路由,运行多跳多协议外部边界网关协议在相邻的所述自治域之间发布路由;
B4所述骨干网边缘路由器向所述用户网边缘路由器发布路由。
所述步骤B3中,所述自治域划分为一个主自治域和至少一层可以逐层累加的从自治域,外层的所述自治域和与之连接的内层的所述自治域的自治域边缘路由器之间运行多跳多协议外部边界网关协议。
骨干网络共两个所述自治域,所述主自治域的所述自治域边缘路由器和所述从自治域的所述骨干网边缘路由器之间运行多跳多协议外部边界网关协议。
所述步骤B4中,所述用户站点和与之连接的所述骨干网边缘路由器间运行基于网间互联协议第6版的路由协议发布路由。
对于需要访问网间互联协议第6版的所述用户站点的网间互联协议第4版的所述用户站点,将所述骨干网边缘路由器的路由转发实例中的网间互联协议第4版路由a.b.c.d/n转换成0::a:b:c:d/(96+n)的网间互联协议第6版路由,通过网间互联协议第6版路由协议发布给所述用户站点的所述用户网边缘路由器,在所述用户网边缘路由器中将它还原成a.b.c.d/n的网间互联协议第4版路由;将网间互联协议第6版的所述用户站点的网间互联协议第6版路由,仍在所述用户网边缘路由器中保存为网间互联协议第6版路由;在该所述用户站点访问网间互联协议第4版的所述用户站点时,进行网间互联协议第4版路由的匹配;访问网间互联协议第6版的所述用户站点时,进行网间互联协议第6版路由的匹配。
对于需要访问网间互联协议第4版的所述用户站点的网间互联协议第6版的所述用户站点,将网间互联协议第4版的所述用户站点的路由,直接存储为0::a:b:c:d/(96+n)形式的网间互联协议第6版路由;将其它网间互联协议第6版的所述用户站点的路由,保存为原来的形式。
所述骨干网边缘路由器在接收到所述虚拟专用网的路由后,根据多协议边界网关协议的路由目标扩展团体属性决定是否学习并向所述用户站点发布。
所述步骤C中,所述内层标签用于区分同一个入口骨干网边缘路由器连接的不同所述用户站点,由所述入口骨干网边缘路由器分配,在发布路由时随路由发布给相应的所述骨干网边缘路由器;所述外层标签用于在所述骨干网中转发数据包,在一个所述自治域内通过运行标签分配协议、资源预留协议-流量工程或约束路由的标记分配协议分配,在不同所述自治域的自治域边界路由器之间通过多协议外部边界网关协议为所述自治域边界路由器的双向连接分配用于所述自治域边界路由器之间的转发。
所述步骤D还包含以下子步骤:
D1遵循普通的网间互联协议转发过程进行源用户站点到入口骨干网边缘路由器之间的网间互联协议数据转发;
D2进行所述入口骨干网边缘路由器到出口骨干网边缘路由器之间的标签数据转发;
D3所述出口骨干网边缘路由器依据所述内层标签和其存储的路由表进行所述出口骨干网到目的用户站点之间的网间互联协议数据转发。
所述步骤D2还包含以下步骤:
D21在所述入口骨干网边缘路由器上为数据包增加所述目的站点的所述内层标签后,再增加该所述入口骨干网边缘路由器所在的所述自治域中分配的外层标签;
D22将所述数据包根据外层标签转发到于当前所述自治域相邻的所述自治域的自治域边缘路由器;
D23根据所述自治域边缘路由器之间分配的外层标签将所述数据包转发到下一个相邻的所述自治域;
D24将所述数据包转发到所述出口骨干网边缘路由器。
所述用户站点之间的拓扑关系通过匹配路由目标实现。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,本发明方案对多域骨干网络的自治域划分主从,在自治域内根据本自治域的IP版本采用相应的MP-IBGP发布路由,在相邻自治域间采用Multi-hop MP-EBGP发布路由,同时在CE和PE上运行IPv4/IPv6双路由表,在自治域内依据其IP版本分配标签进行VPN数据的隧道转发,从而实现混合站点多域骨干网络的VPN。
这种技术方案上的区别,带来了较为明显的有益效果,即通过采用本发明实现混合站点混合骨干网的VPN的方案,可以在用户网络和骨干网络从IPv4向IPv6过渡的情况下组成VPN,使网络过渡时期的VPN的解决方案具有更大灵活性,减小网络设备升级的复杂性,使IPv4向IPv6的过渡升级更加平滑,大大提高了网络升级的经济性和可行性。
附图说明
图1为RFC2547bis所定义MPLS L3VPN的系统组成示意图;
图2为通过匹配Route Target属性过滤接收路由的示意图;
图3为根据本发明的一个较佳实施例的混合站点IPv4/IPv6双域混合骨干网络VPN的系统组成示意图;
图4为根据本发明的一个较佳实施例的以从自治域(Dependent AS,简称“DAS”)-DAS-主自治域(Primary AS,简称“PAS”)形式连接的混合站点混合骨干网的络VPN的系统组成示意图;
图5为根据本发明的一个较佳实施例的以DAS-PAS-DAS形式连接的混合站点混合骨干网的络VPN的系统组成示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
首先说明一下本发明的基本原理。本发明方案对于骨干网络中的不同自治域进行主从关系的划分,不同自治域存在分层关系。在本发明中,将多域中的其中一个自治域作为PAS,其它自治域作为DAS,在PAS中的自治系统边界路由器(Autonomous System Border Router,简称“ASBR”)和DAS中的PE之间建立多跳(Multi-hop)多协议外部边界网关协议(Multi-ProtocolExternal BGP,简称“MP-EBGP”)和跨域隧道分别进行跨域VPN的路由发布和VPN数据转发,而各自治域内部的PE之间的VPN路由发布和数据转发则分别在本自治域内部通过基于本自治域的IP协议版本(IPv4或IPv6)的多协议内部边界网关协议(Multi-Protocol Internal BGP,简称“MP-IBGP”)和域内隧道来完成。另外,为了实现不同版本地址的互通,还需要进行一定的地址和路由转换处理。
下面结合本发明的一个具体实施例来说明本发明方案。
根据本发明的一个较佳实施例的混合站点混合骨干网的VPN的系统组成示意图如图3所示。
为了说明的简便,该较佳实施例为两个自治域组成的骨干网络为混合站点提供VPN业务的情况,其中一个自治域是IPv4域,另一个自治域是IPv6域,且IPv4域和IPv6域都接入属于同一个VPN的IPv4站点和IPv6站点的情况下的技术方案。需要说明的是,当只有两个自治域(IPv4/IPv6)组成骨干网络时,该网络称为基础混合网络(Basic Hybrid Network,简称“BHN”),其它多自治域组成骨干网络的情况可以看成在BHN上逐层增加新的自治域形成。
需要说明的是,VPN A和VPN B仅用于表示一个同一个PE路由器可以同时接入多个VPN。
混合站点混合骨干网的VPN的系统由以下几个部分组成:骨干网,处于骨干网边缘的PE路由器和通过CE路由器与PE路由器连接的用户站点。
其中,骨干网还包含一个由一个PAS和一个DAS构成的BHN和若干个不属于BHN的DAS。自治系统之间通过处于自治系统边缘的ASBR连接。如图3所示,在本发明的一个较佳实施例中,骨干网只包含一个作为PAS的IPv6域和一个作为DAS的IPv4域,它们之间通过ASBR连接,该骨干网同时也是一个BHN。
骨干网用于在不同自治域之间运行Multi-hop MP-EBGP进行跨域VPN的路由发布,建立跨域隧道进行跨域VPN数据转发;在自治域内部通过基于本自治域的IP协议版本的MP-IBGP进行VPN路由发布,通过域内隧道完成自治域内部的PE之间的VPN数据转发。需要说明的是,Multi-hop MP-EBGP可以在BHN内的PAS域内的和DAS连接的ASBR和DAS域内的PE之间运行,也可以在不属于BHN的DAS内的PE和与该DAS连接的BHN内的ASBR之间运行。
用户站点既有IPv4站点也有IPv6站点,在CE路由器中保存从PE路由器学习到的VPN中其它用户站点的路由,在访问其它站点时进行路由的匹配。其中,需要访问IPv6站点的IPv4站点还需要支持IPv4/IPv6双协议栈,进行IPv6路由和地址到IPv4路由和地址的转换。在本发明的一个较佳实施例中,对于需要访问IPv6站点的IPv4站点,通过与PE路由器运行基于IPv6的路由协议来同时学习IPv6路由和IPv4路由,即通过将PE的VRF中的IPv4路由a.b.c.d/n转换成0::a:b:c:d/(96+n)的IPv6路由通过IPv6路由协议发布给CE路由器,在CE路由器中将它还原成a.b.c.d/n的IPv4路由,而对于其他IPv6站点的IPv6路由,则在CE中仍然保存为IPv6路由,在该站点访问IPv4站点时,进行IPv4路由的匹配,访问IPv6站点时,进行IPv6路由的匹配;
对于需要访问IPv4站点的IPv6站点,其CE路由器和PE路由器之间也运行基于IPv6的路由协议,学习其他站点的路由,对于其他IPv4站点的路由,直接存储为0::a:b:c:d/(96+n)形式的IPv6路由,对于其他IPv6站点的路由,则保存为原来的形式。其中,a.b.c.d为网段地址,n为掩码。需要说明的是,如果某些IPv4站点根据Route Target属性确定的拓扑关系中不需要访问其他IPv6站点,则其CE路由器和PE路由器之间只需要运行基于IPv4的路由协议,并仅学习和保存其他IPv4站点的IPv4路由,对于IPv6路由则进行丢弃。
需要说明的是,由于在网络中发布的路由既有IPv4路由也有IPv6路由,因此要求CE和PE支持IPv4/IPv6双路由表,即能够在两个路由表中分别存储IPv4路由和IPv6路由。
为了实现本发明方案,需要进行包含以下几个方面的处理:VPN的用户站点编址的处理;VPN站点的路由学习和发布的处理;标签分发的处理;VPN数据转发的处理。下文将对这些处理做详细说明。
下面首先说明在本发明的一个较佳实施例中,如何完成用户站点编址的处理。需要说明的是,在本发明中,只考虑VPN用户进行单播通信的情况,要求VPN各站点内的主机使用单播地址,即只采用一个IPv4地址或者一个IPv6地址。
由于在VPN中仍然存在IPv4站点,考虑到公有IPv4地址的紧缺,在本发明的一个较佳实施例中,允许VPN中的IPv4站点继续使用私有IPv4地址,并且允许不同VPN的站点使用相同的私有IPv4地址。
在VPN中,IPv4站点和IPv4站点之间的通信仍然采用IPv4地址,在MP-BGP中的地址族标识符(Address Family Identification,简称“AFI”)域使用RFC 1700为IPv4地址族分配的值1;IPv4站点与IPv6站点之间的相互通信以及两个IPv6站点之间的相互通信均采用IPv6地址,在MP-BGP中的AFI域可以使用RFC 1700为IPv6地址族分配的值2。需要说明的是,当IPv4站点和IPv6站点相互通信时,IPv4站点中的IPv4地址A.B.C.D映射成相应的0::A:B:C:D形式的IPv6地址。在MP-BGP路由发布过程中,后继的地址族标识符(Subsequence Address Family Identifier,简称“SAFI”)域使用128,表示VPN-IPv4/IPv6地址。
在本发明的一个较佳实施例中,由于使用了私有IPv4地址,为了保证在骨干网络中VPN路由和地址的唯一性,沿用RFC 2547bis中的RD的概念,即在IPv4站点和IPv4站点之间通过采用RD+(IPv4地址)的形式组成AFI为1的VPN-IPV4地址,在IPv4站点与IPv6站点之间或者两个IPv6站点之间通过采用RD+(IPv6地址)的形式组成AFI为2的VPN-IPv6地址。需要说明的是,和IPv6站点之间通信的IPv4站点中的IPv4地址A.B.C.D需要在映射成0::A:B:C:D形式的IPv6地址后,再与RD进行组合组成VPN-IPv6地址。
在本发明的一个较佳实施例中,路由发布和学习的处理可以按照下文所述的方法进行。
首先,在对VPN的各用户站点进行编址后,将各用户站点的地址进行聚合形成相应的路由项。熟悉本领域的技术人员可以理解,为了实现VPN中各用户站点之间的访问关系,接着需要将这些路由项发布给VPN中的所有站点。
接着,用户站点在CE路由器和与之连接的PE路由器之间运行相应的路由协议将路由发布给PE路由器。需要说明的是,运行的路由协议的版本由用户站点的IP版本决定,即当用户站点为IPv4站点时,和该用户站点连接的CE路由器和PE路由器之间运行基于IPv4的路由协议;当用户站点为IPv6站点时,和该用户站点连接的CE路由器和PE路由器之间运行基于IPv6的路由协议。
接着,出口(Egress)PE路由器为路由添加相应的内层标签。其中内层标签由Egress PE路由器为与其连接的用户站点分配,用以区分不同的用户站点。
接着,通过MP-IBGP在自治域内发布路由,通过Multi-hop MP-EBGP在自治域之间发布路由。在本发明的一个只由一个BHN组成骨干网络的较佳实施例中,通过Multi-hop MP-EBGP发布路由的情况有两种,当前自治域为DAS时,DAS内的PE路由器通过Multi-hop MP-EBGP向于与DAS连接的高层自治域的ASBR发布路由;当前自治域为PAS时,PAS内与DAS连接的ASBR通过Multi-hop MP-EBGP向DAS内的PE路由器发布路由。熟悉本领域的技术人员可以理解,依照此步骤的规则进行路由发布和扩散,最终所有的入口(Ingress)PE路由器都能够接收到属于VPN的所有用户站点的路由。
为了进一步详细的说明路由的发布和学习,下面分别说明在本发明的由一个作为PAS的IPv6域和一个作为DAS的IPv4域组成骨干网的一个较佳实施例中,DAS的PE路由器的路由发布和PAS路由发布。DAS域的PE路由器向PAS域的PE路由器发布路由时,需要DAS的PE路由器通过和PAS域的ASBR之间建立Multi-hop MP-EBGP将VPN路由发布给ASBR,然后通过该ASBR与PAS中的PE路由器之间的MP-IBGP将VPN路由发布给PAS中的PE路由器;PAS域的PE路由器向DAS域的PE路由器发布路由时,先通过PAS域中PE路由器和PAS域中ASBR之间建立的MP-IBGP将VPN路由发布给ASBR,然后通过该ASBR和DAS域中的Multi-hop MP-EBGP将这些VPN路由发布给DAS域中的PE路由器。熟悉本领域的技术人员可以理解,在该较佳实施例的PAS域的ASBR中,需要保留和其建立MP-EBGPPEER的DAS中PE路由器所属的VPN的跨域路由,由于IPv4域和IPv6域之间的ASBR以及IPv4自治域中的PE路由器都支持IPv4,因此PAS中ASBR和DAS中的PE路由器之间建立基于IPv4的Multi-hop MP-EBGP。另外,熟悉本领域的技术人员还可以理解,对于存在多个自治域的情况,对于新增的DAS(下文中称为“DAS-NEW”),接入现有网络可以通过在DAS-NEW中的PE和现有网络中的ASBR之间建立基于DAS-NEW所属的协议版本(IPv4或IPv6)的Multi-hop MP-EBGP来实现DAS-NEW中PE路由器和现有网络中PE路由器之间相互学习跨自治域的VPN路由,这样并不会影响本发明的实质。
最后,PE路由器将学习到的路由发布给与之连接的用户站点的CE路由器。需要说明的是,对于需要访问IPv6VPN用户站点的IPv4站点,通过和与之连接的PE路由器运行基于IPv6的路由协议来同时学习IPv6路由和IPv4路由,即通过将PE路由器的VRF中的IPv4路由a.b.c.d/n转换成0::a:b:c:d/(96+n)的IPv6路由,通过IPv6路由协议发布给CE路由器,在CE路由器中将它还原成a.b.c.d/n的IPv4路由,而对于其他IPv6站点的IPv6路由,则在CE中仍然保存为IPv6路由,在该用户站点访问IPv4用户站点时,进行IPv4路由的匹配,访问IPv6用户站点时,进行IPv6路由的匹配;而对于需要访问IPv4用户站点的IPv6用户站点,其CE路由器和PE路由器之间也运行基于IPv6的路由协议,学习其他站点的路由,对于其他IPv4用户站点的路由,直接存储为0::a:b:c:d/(96+n)形式的IPv6路由,对于其他IPv6用户站点的路由,则保存为原来的形式。熟悉本领域的技术人员可以理解,如果某些IPv4用户站点根据Route Target属性确定的拓扑关系中不需要访问其他IPv6用户站点,则其CE路由器和PE路由器之间可以只运行基于IPv4的路由协议,并仅学习和保存其他IPv4用户站点的IPv4路由,对于IPv6路由则进行丢弃
需要说明的是,由于不同IP版本用户站点发布不同IP版本的路由,因此在网络中需要同时发布由RD+IPv4路由组成的VPN-IPv4路由和RD+IPv6组成的VPN-IPv6路由,不同版本的VPN路由通过AFI来区分,因此需要各MP-BGP Speaker即CE和PE能够根据AFI去解析相应的IPv4/IPv6路由项,并支持同时存储IPv4/IPv6路由表,可以分别在不同的路由表中存储IPv4和IPv6的路由。
熟悉本领域的技术人员可以理解,现有的技术中,PE路由器在接收到VPN路由后决定是否学习并向相应的站点发布是通过使用MP-BGP的RouteTarget扩展团体属性来决定的,Egress PE在向其BGP PEER发布VPN路由时携带相应的Export Route Target和Egress PE为该VPN站点分配的内层标签,其BGP PEER在收到相应的路由,在与在该BGP PEER上配置的ImportRoute Target进行匹配,如果能够匹配成功,则接收该路由并向相应的VRF对应的站点发布,如果BGP PEER是两个自治域之间的ASBR,还需要将该路由发布给DAS域中的Multi-hop MP-EBGP PEER,以及PAS域中的MP-IBGP PEER,由这些PEER进行Route Target的匹配,以确定是否接受并向连接的站点发布这些跨域的VPN路由。在本发明中,路由器依然沿用上述规则匹配路由,决定是否学习并向相应站点发布。
在本发明的一个较佳实施例中,仍然使用VRF来保存不同VPN的路由。在VRF中针对每个VPN的不同的AFI来分别保存IPv4路由和IPv6路由,同时在VPN的IPv4用户站点中的CE路由器中也保存相应的IPv4路由和IPv6路由。并将CE路由器作为该VPN用户站点访问其他用户站点时的代理(Proxy),在进行路由匹配时,根据访问的目的站点是IPv4用户站点还是IPv6用户站点分别匹配IPv4路由或IPv6路由,但VPN中的IPv6用户站点只需要保存IPv6路由,接入该IPv6用户站点的PE路由器在将其他IPv4用户站点的路由发布给该站点之前,先将IPv4路由a.b.c.d/n转换成0::a:b:c:d/(96+n)的IPv6路由。
在本发明的一个较佳实施例中,标签分发的处理可以依照下文所述的规则进行。
同一个Egress PE连接的不同VPN站点通过Egress PE分配不同的内层标签来区分,该内层标签在通过MP-BGP发布路由时随路由发布给相应的PE,该内层标签在由PAS和DAS组成的骨干网络中转发时是不改变的。熟悉本领域的技术人员理解,在RFC 2547中,数据包在骨干网络中转发时是根据外层标签进行的。在本发明的一个较佳实施例中,相邻自治域之间的两个ASBR外层标签的分配通过自治域之间的BGP协议进行分配;而在PAS域内和DAS域内的外层标签则可以沿用标签分配协议(Label DistributionProtocol,简称“LDP”)或者资源预留协议(Reservation Protocol,简称“RSVP”)-流量工程(Traffic Engineering,简称“TE”)/约束路由的标记分配协议(Constraint-Routing Label Distribution Protocol,简称“CR-LDP”)等标签分配协议进行分配。
本发明采用标签转发,因此通过外层标签的交换关系在每个域内的PE路由器之间或PE路由器与ASBR之间以及相邻域之间的ASBR之间分别确定了一条隧道。其中,域内PE路由器连接的VPN站点之间的数据转发通过域内隧道完成,不同自治域的PE路由器连接的VPN站点之间的数据转发则通过Ingress PE和Egress PE所在的自治域的域内隧道和两个自治域之间的ASBR通过MP-BGP分配的标签确定的域间隧道完成。
在本发明的一个较佳实施例中,具体的数据转发处理包含以下几种转发:源用户站点到入口(Ingress)PE路由器之间的IP数据转发;Ingress PE路由器到Egress PE路由器之间的标签数据转发;Egress PE到目的用户站点之间的IP数据转发。下面分别叙述。
源用户站点到入口(Ingress)PE路由器之间的IP数据包转发遵循普通的IP转发过程。如上文所述,用户站点中保存了IPv4/IPv6两种类型的路由表,对于需要访问IPv4/IPv6目的用户站点的源用户站点在进行IP数据转发时,可以根据目的用户站点是IPv4站点还是IPv6站点查询相应的路由表,遵循相应的路由表将数据包转发到Ingress PE。
Ingress PE路由器到Egress PE路由器之间的标签数据转发有两种情况:
单个自治域内的VPN站点之间的访问,可以沿用现有技术中的域内数据转发方式进行转发,在Ingress PE上为数据包增加Egress PE为目的地所在站点的内层标签后,再增加该Ingress PE所在的自治域中的标签分配协议(LDP/RSVP-TE/CR-LDP)分配的外层标签,将数据包沿着LSP的LSR根据外层标签转发到Egress PE;不同自治域内的VPN站点之间的访问,需要在Ingress PE上为数据包增加Egress PE为目的地所在站点的内层标签后,再增加该Ingress PE所在的自治域中的标签分配协议(LDP/RSVP-TE/CR-LDP)分配的外层标签,将数据包沿着LSP的LSR根据外层标签转发到本自治域到达下一个相邻自治域的ASBR,然后根据下一个相邻自治域的ASBR与本ASBR之间的MP-EBGP分配的外层标签转发到下一个相邻自治域的ASBR,然后继续沿着下一个相邻自治域中LSP将数据包转发到Egress PE。
Egress PE到目的用户站点之间的IP数据转发需要Egress PE在接收到包含内层标签的数据包后,通过区分内层标签确定目的用户站点,并根据源用户站点和目的用户站点类型遵循相应的路由表转发到目的主机。其中,在该步骤中,仅当源用户站点和目的用户站点均为IPv4站点时才查询IPv4路由表,其他情况均查询IPv6路由表。
另外,需要说明的是,如果为了实现VPN的各站点之间的拓扑关系,如全网状组网、部分网状等拓扑形状的控制,仍然可以沿用RFC 2547bis中的方法,即通过Route Target来实现,这与上文所述的PE之间路由发布和学习的机制完全相同,即根据VPN的拓扑关系来确定是否学习路由表,根据路由表来实现VPN的拓扑关系。
在本发明的其它较佳实施例中,VPN骨干网络包含多个IPv4/IPv6自治域,地址的分配和标签的分发仍然依照上文所述方法进行。熟悉本领域的技术人员可以理解,骨干网络包含多个IPv4/IPv6自治域时,可以认为是在由两个自治域组成骨干网络的基础上新增DAS。
根据本发明的一个较佳实施例的DAS-DAS-PAS形式连接的混合站点混合骨干网的络VPN的系统组成示意图如图4所示;根据本发明的一个较佳实施例的以DAS-PAS-DAS形式连接的混合站点混合骨干网的络VPN的系统组成示意图如图5所示。
PE路由器与相邻的自治域(PAS或DAS)中与新增DAS之间建立Multi-hop MP-EBGP来学习跨域的VPN路由,并建立相应的逐段隧道进行跨域的转发,从而实现跨域的VPN网络,而对于新增的DAS内部PE路由器连接的VPN站点之间仍然可以通过PE之间的MP-IBGP进行路由学习。这种跨多个域的VPN站点之间的拓扑关系仍然沿用上文所述的方法,即通过这些DAS和PAS之间组成分层式的网络结构和分层式的Multi-hop MP-EBGP关系将VPN路由在跨越多个IPv4/IPv6自治域的PE之间进行发布,从而实现这些站点之间的VPN关系。对于更多个IPv4/IPv6混合自治域的情况,可以依此类推,通过增加这种分层关系来实现这些跨域多域的VPN。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (21)
1.一种混合站点混合骨干网的虚拟专用网系统,包含基于网间互联协议第4版或第6版的虚拟专用网用户站点、用户网边缘路由器、骨干网边缘路由器和骨干网,所述用户站点通过所述用户网边缘路由器和所述骨干网边缘路由器接入所述骨干网,其特征在于,所述骨干网络包含至少两个网间互联协议版本不同的自治域,所述自治域之间通过自治域边缘路由器连接;
其中,所述自治域划分为一个主自治域和至少一个从自治域,通过多跳多协议外部边界网关协议在所述自治域之间发布路由。
2.根据权利要求1所述的混合站点混合骨干网的虚拟专用网系统,其特征在于,一个所述主自治域和一个与所述主自治域相邻的所述从自治域构成基础混合网络,所述基础混合网络的所述主自治域的所述自治域边缘路由器和与该自治域边缘路由器连接的所述从自治域的所述骨干网边缘路由器之间运行多跳多协议外部边界网关协议;其它所述从自治域逐层叠加,并在每层新叠加的所述从自治域的所述骨干网边缘路由器和已有混合网络的所述自治域边缘路由器之间运行多跳多协议边界网关协议。
3.根据权利要求1所述的混合站点混合骨干网的虚拟专用网系统,其特征在于,所述自治域内部根据所述自治域的网间互联协议版本运行相应的多协议内部边界网关协议在所述自治域内发布路由。
4.根据权利要求1所述的混合站点混合骨干网的虚拟专用网系统,其特征在于,所述自治域之间建立跨域隧道进行所述虚拟专用网的数据转发,所述自治域内通过域内隧道进行所述虚拟专用网的数据转发。
5.根据权利要求1所述的混合站点混合骨干网的虚拟专用网系统,其特征在于,所述用户网边缘路由器和所述骨干网边缘路由器在两个路由表中分别存储不同网间互联协议版本的路由。
6.根据权利要求1所述的混合站点混合骨干网的虚拟专用网系统,其特征在于,所述骨干网边缘路由器向所述用户网边缘路由器发送路由时,运行基于网间互联协议第6版的路由协议,将a.b.c.d/n形式的网间互联协议第4版路由转换为0::a.b.c.d/(96+n)形式的伪网间互联协议第6版路由后发送,将网间互联协议第6版路由直接发送。
7.根据权利要求6所述的混合站点混合骨干网的虚拟专用网系统,其特征在于,网间互联协议第4版的所述用户站点接收路由后将0::a.b.c.d/(96+n)形式的路由反变换为a.b.c.d/n形式的路由。
8.一种实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,包含以下步骤:
A在所述虚拟专用网内对基于网间互联协议第4版或第6版的用户站点进行编址;
B所述用户站点和基于网间互联协议第4版或第6版的骨干网运行多协议内部边界网关协议和多跳多协议外部边界网关协议进行路由的学习和发布;
C所述骨干网进行内层标签和外层标签的分发;
D所述用户站点的数据包依据所述步骤B中建立的路由,封装所述内层标签和所述外层标签通过所述骨干网进行转发。
9.根据权利要求8所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤A中,基于网间互联协议第4版的所述用户站点之间采用″路由区分符+网间互联协议第4版地址″的形式组成地址族标识符为1的虚拟专用网-网间互联协议第4版地址;基于网间互联协议第4版的所述用户站点与基于网间互联协议第6版的所述用户站点之间,基于网间互联协议第6版的所述用户站点之间采用″路由区分符+网间互联协议第6版地址″的形式组成地址族标识符为2的虚拟专用网-网间互联协议第6版地址。
10.根据权利要求8所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,和基于网间互联协议第6版的所述用户站点通信的,基于网间互联协议第4版的所述用户站点将网间互联协议第4版地址A.B.C.D映射成0::A:B:C:D形式的网间互联协议第6版地址后,与路由区分符进行组合组成虚拟专用网-网间互联协议第6版地址。
11.根据权利要求8所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤B还包含以下子步骤:
B1对所述用户站点的地址进行聚合,形成相应的路由项;
B2所述用户站点的用户网边缘路由器根据所述用户站点的网间互联协议版本运行相应的路由协议向与之连接的骨干网边缘路由器发布路由;
B3运行多协议内部边界网关协议在所述骨干网的自治域内发布路由,运行多跳多协议外部边界网关协议在相邻的所述自治域之间发布路由;
B4所述骨干网边缘路由器向所述用户网边缘路由器发布路由。
12.根据权利要求11所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤B3中,所述自治域划分为一个主自治域和至少一层可以逐层累加的从自治域,外层的所述自治域和与之连接的内层的所述自治域的自治域边缘路由器之间运行多跳多协议外部边界网关协议。
13.根据权利要求12所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,骨干网络共两个所述自治域,所述主自治域的所述自治域边缘路由器和所述从自治域的所述骨干网边缘路由器之间运行多跳多协议外部边界网关协议。
14.根据权利要求11所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤B4中,所述用户站点和与之连接的所述骨干网边缘路由器间运行基于网间互联协议第6版的路由协议发布路由。
15.根据权利要求14所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,对于需要访问网间互联协议第6版的所述用户站点的网间互联协议第4版的所述用户站点,将所述骨干网边缘路由器的路由转发实例中的网间互联协议第4版路由a.b.c.d/n转换成0::a:b:c:d/(96+n)的网间互联协议第6版路由,通过网间互联协议第6版路由协议发布给所述用户站点的所述用户网边缘路由器,在所述用户网边缘路由器中将它还原成a.b.c.d/n的网间互联协议第4版路由;将网间互联协议第6版的所述用户站点的网间互联协议第6版路由,仍在所述用户网边缘路由器中保存为网间互联协议第6版路由;在该所述用户站点访问网间互联协议第4版的所述用户站点时,进行网间互联协议第4版路由的匹配;访问网间互联协议第6版的所述用户站点时,进行网间互联协议第6版路由的匹配。
16.根据权利要求14所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,对于需要访问网间互联协议第4版的所述用户站点的网间互联协议第6版的所述用户站点,将网间互联协议第4版的所述用户站点的路由,直接存储为0::a:b:c:d/(96+n)形式的网间互联协议第6版路由;将其它网间互联协议第6版的所述用户站点的路由,保存为原来的形式。
17.根据权利要求11所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述骨干网边缘路由器在接收到所述虚拟专用网的路由后,根据多协议边界网关协议的路由目标扩展团体属性决定是否学习并向所述用户站点发布。
18.根据权利要求8所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤C中,所述内层标签用于区分同一个入口骨干网边缘路由器连接的不同所述用户站点,由所述入口骨干网边缘路由器分配,在发布路由时随路由发布给相应的所述骨干网边缘路由器;所述外层标签用于在所述骨干网中转发数据包,在一个所述自治域内通过运行标签分配协议、资源预留协议-流量工程或约束路由的标记分配协议分配,在不同所述自治域的自治域边界路由器之间通过多协议外部边界网关协议为所述自治域边界路由器的双向连接分配用于所述自治域边界路由器之间的转发。
19.根据权利要求8所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤D还包含以下子步骤:
D1遵循普通的网间互联协议转发过程进行源用户站点到入口骨干网边缘路由器之间的网间互联协议数据转发;
D2进行所述入口骨干网边缘路由器到出口骨干网边缘路由器之间的标签数据转发;
D3所述出口骨干网边缘路由器依据所述内层标签和其存储的路由表进行所述出口骨干网到目的用户站点之间的网间互联协议数据转发。
20.根据权利要求19所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述步骤D2还包含以下步骤:
D21在所述入口骨干网边缘路由器上为数据包增加所述目的站点的所述内层标签后,再增加该所述入口骨干网边缘路由器所在的所述自治域中分配的外层标签;
D22将所述数据包根据外层标签转发到于当前所述自治域相邻的所述自治域的自治域边缘路由器;
D23根据所述自治域边缘路由器之间分配的外层标签将所述数据包转发到下一个相邻的所述自治域;
D24将所述数据包转发到所述出口骨干网边缘路由器。
21.根据权利要求8所述的实现混合站点混合骨干网的虚拟专用网的方法,其特征在于,所述用户站点之间的拓扑关系通过匹配路由目标实现。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100695350A CN100364292C (zh) | 2004-06-30 | 2004-06-30 | 混合站点混合骨干网的虚拟专用网系统及其实现方法 |
| PCT/CN2005/000959 WO2006002598A1 (fr) | 2004-06-30 | 2005-06-30 | Systeme vpn de reseau federateur hybride a site hybride et son procede de mise en oeuvre |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100695350A CN100364292C (zh) | 2004-06-30 | 2004-06-30 | 混合站点混合骨干网的虚拟专用网系统及其实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1716901A true CN1716901A (zh) | 2006-01-04 |
| CN100364292C CN100364292C (zh) | 2008-01-23 |
Family
ID=35782472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100695350A Expired - Fee Related CN100364292C (zh) | 2004-06-30 | 2004-06-30 | 混合站点混合骨干网的虚拟专用网系统及其实现方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100364292C (zh) |
| WO (1) | WO2006002598A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008098493A1 (fr) * | 2007-02-09 | 2008-08-21 | Huawei Technologies Co., Ltd. | Procédé d'agrégation de routes, procédé de réacheminement de messages et routeur de frontière de système autonome |
| WO2009059470A1 (fr) * | 2007-11-05 | 2009-05-14 | Zte Corporation | Routeur de périphérie et procédé d'accès permettant à un dispositif vrrp d'accéder à un réseau privé virtuel |
| CN101360037B (zh) * | 2007-08-03 | 2010-12-08 | 中国移动通信集团公司 | 数据业务网络系统及数据业务的访问方法 |
| CN101442468B (zh) * | 2007-11-20 | 2011-06-01 | 华为技术有限公司 | 虚拟私有网络路由本地交叉处理的方法及装置 |
| CN102457425A (zh) * | 2010-10-25 | 2012-05-16 | 北京系统工程研究所 | 大规模虚拟网络拓扑生成方法 |
| CN101499951B (zh) * | 2008-02-01 | 2012-05-23 | 华为技术有限公司 | 隧道配置方法、虚拟接入节点、虚拟边缘节点以及系统 |
| CN102696202A (zh) * | 2009-10-30 | 2012-09-26 | 法国电信公司 | 在因特网协议版本4与因特网协议版本6网络之间路由数据分组的方法和装置 |
| CN106713130A (zh) * | 2015-11-13 | 2017-05-24 | 华为技术有限公司 | 一种路由表更新方法、evpn控制设备及evpn系统 |
| CN108111417A (zh) * | 2013-08-15 | 2018-06-01 | 华为技术有限公司 | 一种转发mpls数据包的方法及装置 |
| CN111865786A (zh) * | 2020-06-30 | 2020-10-30 | 北京华三通信技术有限公司 | 传播链路标记的方法及装置 |
| CN113098750A (zh) * | 2021-03-11 | 2021-07-09 | 网宿科技股份有限公司 | 一种站点互连方法、系统及中转设备 |
| CN115941383A (zh) * | 2022-11-28 | 2023-04-07 | 北京神经元网络技术有限公司 | 宽带现场总线多域交换系统网络域分配方法、装置和设备 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209559B (zh) * | 2016-07-12 | 2019-05-07 | 华为技术有限公司 | 一种建立组播隧道的方法和装置 |
| CN111865698B (zh) * | 2020-07-30 | 2023-10-17 | 中国电子信息产业集团有限公司第六研究所 | 一种基于地理信息的自治域级互联网拓扑可视化方法 |
| CN114285778A (zh) * | 2021-11-23 | 2022-04-05 | 南瑞集团有限公司 | 一种电力调度数据网组网安全测试系统及测试方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4365998B2 (ja) * | 2000-07-21 | 2009-11-18 | 株式会社日立製作所 | マルチキャスト通信方法および通信装置 |
| JP3895173B2 (ja) * | 2001-12-27 | 2007-03-22 | Kddi株式会社 | プロトコル変換装置およびインタフェース装置 |
| CN100334858C (zh) * | 2003-07-14 | 2007-08-29 | 中国科学院计算技术研究所 | 一种利用双重隧道机制穿透nat的方法 |
-
2004
- 2004-06-30 CN CNB2004100695350A patent/CN100364292C/zh not_active Expired - Fee Related
-
2005
- 2005-06-30 WO PCT/CN2005/000959 patent/WO2006002598A1/zh active Application Filing
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008098493A1 (fr) * | 2007-02-09 | 2008-08-21 | Huawei Technologies Co., Ltd. | Procédé d'agrégation de routes, procédé de réacheminement de messages et routeur de frontière de système autonome |
| CN101360037B (zh) * | 2007-08-03 | 2010-12-08 | 中国移动通信集团公司 | 数据业务网络系统及数据业务的访问方法 |
| WO2009059470A1 (fr) * | 2007-11-05 | 2009-05-14 | Zte Corporation | Routeur de périphérie et procédé d'accès permettant à un dispositif vrrp d'accéder à un réseau privé virtuel |
| CN101159741B (zh) * | 2007-11-05 | 2012-07-04 | 中兴通讯股份有限公司 | 用于vrrp装置接入vpn的pe装置和接入方法 |
| CN101442468B (zh) * | 2007-11-20 | 2011-06-01 | 华为技术有限公司 | 虚拟私有网络路由本地交叉处理的方法及装置 |
| CN101499951B (zh) * | 2008-02-01 | 2012-05-23 | 华为技术有限公司 | 隧道配置方法、虚拟接入节点、虚拟边缘节点以及系统 |
| CN102696202B (zh) * | 2009-10-30 | 2016-09-28 | 法国电信公司 | 在因特网协议版本4与因特网协议版本6网络之间路由数据分组的方法和装置 |
| CN102696202A (zh) * | 2009-10-30 | 2012-09-26 | 法国电信公司 | 在因特网协议版本4与因特网协议版本6网络之间路由数据分组的方法和装置 |
| CN102457425A (zh) * | 2010-10-25 | 2012-05-16 | 北京系统工程研究所 | 大规模虚拟网络拓扑生成方法 |
| CN108111417A (zh) * | 2013-08-15 | 2018-06-01 | 华为技术有限公司 | 一种转发mpls数据包的方法及装置 |
| CN108111417B (zh) * | 2013-08-15 | 2022-12-27 | 华为技术有限公司 | 一种转发mpls数据包的方法及装置 |
| CN106713130A (zh) * | 2015-11-13 | 2017-05-24 | 华为技术有限公司 | 一种路由表更新方法、evpn控制设备及evpn系统 |
| CN106713130B (zh) * | 2015-11-13 | 2019-11-22 | 华为技术有限公司 | 一种路由表更新方法、evpn控制设备及evpn系统 |
| CN111865786A (zh) * | 2020-06-30 | 2020-10-30 | 北京华三通信技术有限公司 | 传播链路标记的方法及装置 |
| CN111865786B (zh) * | 2020-06-30 | 2022-07-12 | 北京华三通信技术有限公司 | 传播链路标记的方法及装置 |
| CN113098750A (zh) * | 2021-03-11 | 2021-07-09 | 网宿科技股份有限公司 | 一种站点互连方法、系统及中转设备 |
| CN115941383A (zh) * | 2022-11-28 | 2023-04-07 | 北京神经元网络技术有限公司 | 宽带现场总线多域交换系统网络域分配方法、装置和设备 |
| CN115941383B (zh) * | 2022-11-28 | 2023-12-22 | 北京神经元网络技术有限公司 | 宽带现场总线多域交换系统网络域分配方法、装置和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006002598A1 (fr) | 2006-01-12 |
| CN100364292C (zh) | 2008-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100372336C (zh) | 多协议标签交换虚拟专用网及其控制和转发方法 | |
| CN100372340C (zh) | 虚拟专用网的实现方法 | |
| Gleeson et al. | A framework for IP based virtual private networks | |
| US9225640B2 (en) | Intra-domain and inter-domain bridging over MPLS using MAC distribution via border gateway protocol | |
| US9843507B2 (en) | Enhanced hierarchical virtual private local area network service (VPLS) system and method for ethernet-tree (E-tree) services | |
| CN104471899B (zh) | 通过ietf evpn的802.1aq支持 | |
| Aggarwal et al. | BGP encodings and procedures for multicast in MPLS/BGP IP VPNs | |
| WO2006002598A1 (fr) | Systeme vpn de reseau federateur hybride a site hybride et son procede de mise en oeuvre | |
| US7856509B1 (en) | Transparently providing layer two (L2) services across intermediate computer networks | |
| CN1652542A (zh) | 实现虚拟租用线的方法 | |
| CN1649320A (zh) | 基于网络的虚拟专用网中保证服务质量的系统及其方法 | |
| CN1913523A (zh) | 实现层级化虚拟私有交换业务的方法 | |
| CN101047636A (zh) | 端到端伪线仿真虚拟租用线接入虚拟专用网的方法及系统 | |
| CN101047651A (zh) | 设置ip优先级的方法、系统和设备 | |
| WO2008011818A1 (fr) | Procédé de fourniture d'un service réseau local privé virtuel à hiérarchie et système réseau | |
| CN106936714A (zh) | 一种vpn的处理方法和pe设备以及系统 | |
| CN1323522C (zh) | 一种确定客户边缘路由器与虚拟专用网络间关系的方法 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| WO2005125103A1 (fr) | Systeme de reseau prive virtuel d'un site hybride et reseau de base hybride et procede de mise en oeuvre associe | |
| WO2005114944A1 (fr) | Procede de mise en place d'un reseau prive virtuel de sites ipv4 et ipv6 | |
| CN1625144A (zh) | 一种在二层虚拟专用网的骨干网中保证业务质量的方法 | |
| CN1870634A (zh) | 双归属/多归属逻辑组网方法和提供商设备 | |
| CN1455560A (zh) | 多协议标签交换虚拟专用网相互通信的方法 | |
| CN101304338B (zh) | 发现多协议标签交换三层虚拟私有网中设备的方法、装置 | |
| Gleeson et al. | RFC2764: A framework for IP based virtual private networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080123 Termination date: 20160630 |