CN1722698A - 多协议标签交换虚拟专用网及其控制和转发方法 - Google Patents
多协议标签交换虚拟专用网及其控制和转发方法 Download PDFInfo
- Publication number
- CN1722698A CN1722698A CNA2004100717400A CN200410071740A CN1722698A CN 1722698 A CN1722698 A CN 1722698A CN A2004100717400 A CNA2004100717400 A CN A2004100717400A CN 200410071740 A CN200410071740 A CN 200410071740A CN 1722698 A CN1722698 A CN 1722698A
- Authority
- CN
- China
- Prior art keywords
- route
- edge router
- network
- network edge
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000008878 coupling Effects 0.000 claims description 12
- 238000010168 coupling process Methods 0.000 claims description 12
- 238000005859 coupling reaction Methods 0.000 claims description 12
- 230000008676 import Effects 0.000 claims description 11
- 230000000644 propagated effect Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 5
- 230000006855 networking Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 238000000275 quality assurance Methods 0.000 description 2
- 235000012364 Peperomia pellucida Nutrition 0.000 description 1
- 240000007711 Peperomia pellucida Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/46—Cluster building
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信领域,公开了一种多协议标签交换虚拟专用网及其控制和转发方法,使得运营商不必介入用户内部VPN的管理,用户能够独立地对内部VPN进行划分以及调整,由此增加了客户内部VPN之间流量的安全性;另一方面,有效降低运营商的PE设备的负担,以及客户使用运营商VPN网络的费用。这种在运营商的PE设备下,通过内部PE组建VPN用户内部VPN网络,在PE设备的私网下运营MBGP协议来传播私网的路由。
Description
技术领域
本发明涉及通信领域,特别涉及多协议标签交换虚拟专用网组网技术。
背景技术
虚拟专用网(Virtual Private Networking,简称“VPN”)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的Internet(因特网),各地的机构就可以互相传递信息;同时,企业还可以利用Internet的拨号接入设备,让自己的用户拨号到Internet上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点。
多协议标签交换(Multi-protocol Label Switch,简称“MPLS”)是由思科公司(CISCO)的标记交换(Tag Switching)演变而来的国际互联网工程任务组(Internet Engineering Task Force,简称“IETF”)的标准协议。MPLS是基于标签的互联网协议(internet Protocol,简称“IP”)路由选择方法,它属于第三层交换技术,引入了基于标签的机制,把选路和转发分开,由标签来规定一个分组通过网络的路由,数据传输通过标签交换路径(LabelSwitch Path,简称“LSP”)完成,它将原本在IP网络的第三层的包交换转换成第二层的交换。
图1示出了MPLS网络结构。MPLS网络101由核心部分的标签交换路径器104(Label Switch Router,简称“LSR”)、边缘部分的标签边缘路由器103(Label Edge Router,简称“LER”)组成。其中LER 103用于分析IP包头,执行第三层网络功能,决定相应的传送级别和标签交换路径(LabelSwitch Path,简称“LSP”),它与外部网络102相连接的,从外部网络102接收外部分组交换数据包105;LSR 104用于建立LSP,执行标签交换机制和服务质量保证(Quality of Service,简称“QoS”),转发MPLS网络101内部的分组数据包106,它由控制单元和交换单元组成,它处在网络内部,与LER 103和其他LSR 104相连。
MPLS的标签交换的工作流程如下:最初由标签分发协议(LabelDistribution Protocol,简称“LDP”)和传统路由协议,比如开发最短路优先协议(Open Shortest Path First,简称“OSPF”)等,在LSR中建立路由表和标签映射表;在网络运行中,首先在MPLS核心网入口处的LER接收外部网络的IP包,完成第三层网络功能,并给IP包加上标签;接着该数据包在LSP中传输,此时LSR不再对分组进行第三层处理,只是根据分组上的标签通过交换单元进行转发,最终达到网络另一端即出口处的LER;最后在MPLS出口处的LER将分组中的标签去掉后按照相应外部网络协议继续进行转发。
由于MPLS技术隔绝了标签分发机制与数据流的关系,因此,它的实现并不依赖于特定的数据链路层协议,可支持多种的物理层和数据链路层技术。目前实现了在帧中继(Frame Relay,简称“FR”)、异步传输模式(AsynchronousTransfer Mode,简称“ATM”)和点到点协议(Point-to-Point Protocol,简称“PPP”)链路以及国际电气电子工程师协会(Institute of Electrical andElectronics Engineers,简称“IEEE”)802.3协议的局域网上使用MPLS的业务。采用MPLS网络进行IP业务转发,可以简化层与层之间的路由转发过程,加快MPLS交换速度,提高网络效率,同时能满足不同等级业务的传送,所以说MPLS既有交换机的高速度与流量控制能力,又具备了路由器灵活的功能和服务质量保证机制。
MPLS已经被广泛应用于VPN的实现,借助MPLS实现的VPN被称为MPLS VPN。根据网络设备转发依据的用户信息,MPLS VPN可以划分为L3(层3,即网络层)VPN,L2(层2,即数据链路层)VPN,L1(层1,即物理层)VPN三种类型。目前在互联网工程任务组(INTERNETENGINEERING TASK FORCE,简称“IETF”)标准组织中,有L3 VPN工作组和L2 VPN工作组,分别研究MPLS L3 VPN和MPLS L2 VPN。MPLS L3VPN的典型代表是基于RFC 2547bis的边界网关协议(Border GatewayProtocol,简称“BGP”)/MPLS VPN和基于虚拟路由器(Virtual Router,简称“VR”)的IP VPN。MPLS L2 VPN的典型代表是MARTINI,KOMPELLA,以及多种虚拟专用局域网子网段(Virtual Private LAN Segment,简称“VPLS”)实现方案。此外,国际电信联盟-电信标准部(International TelecommunicationUnion Telecommunication Standardization Sector,简称“ITU-T”)的SG13/Q11对L1 VPN的研究比较多,目前有Y.l1vpnarch,Y.l1vpnsdr等草案建议。他们的参考模型的结构都类似,对于VPN QoS问题的处理都类似,要么没有考虑,要么是利用网络自身的DiffServ(差异服务模式)能力,因此都不能解决VPN的QoS问题,而且不能解决该问题的原因也相同,在这方面可以将他们归为相同的技术。
下面以RFC2547bis作为这一类技术的代表对现有技术进行说明,由于他们和ITU-T,IETF的L2 VPN和L3 VPN的参考模型具有相同的结构,在解决QoS问题上的困难是相同的。
RFC2547bis所定义的MPLS L3VPN模型如图2所示,该模型包括三个组成部份:用户网边缘路由器(Custom Edge Router,简称“CE”)、骨干网边缘路由器(Provider Edge Router,简称“PE”)和路由器(P)。
CE设备是用户驻地网络的一个组成部分,有接口直接与运营商的网络相连,一般是路由器。CE“感知”不到VPN的存在,也不需要维护VPN的整个路由信息。
PE路由器即运营商边缘路由器,是运营商网络的边缘设备,与用户的CE直接相连。MPLS网络中,对VPN的所有处理都在PE路由器上完成。
路由器(P)是运营商网络中的骨干路由器,它不和CE直接相连。路由器(P)需要有MPLS基本信令能力和转发能力。
CE和PE的划分主要是从运营商与用户的管理范围来划分的,CE和PE是两者管理范围的边界。
CE与PE之间使用外部边界网关协议(Exterior Border Gateway Protocol,简称“EBGP”)或是内部网关协议(Interior Gateway Protocol,简称“IGP”)路由协议交换路由信息,也可以使用静态路由。CE不必支持MPLS,不需要感知VPN的整网路由,VPN的整网路由外包给运营商来完成。运营商PE设备之间通过多协议内部网关协议(Multi-protocol Internal Border GatewayProtocol,简称“MP-IBGP”)交换VPN的整网路由信息。
以下介绍RFC2547bis标准规定的MPLS L3VPN的相关属性:
VRF:
VPN是由多个站点(Site)组成的。在PE上,每个站点对应一个虚拟专用网路由/转发实例(VPN Routing/Forwarding instance,简称“VRF”),它主要包括:IP路由表、标签转发表、使用标签转发表的一系列接口以及管理信息(包括路由识别号、路由过滤策略、成员接口列表等)。
用户站点和VPN不存在一对一的关系,一个站点可以同时属于多个VPN。在实现中,每一个站点关联一个单独的VRF。VPN中站点的VRF实际上综合了该站点的VPN成员关系和路由规则。报文转发信息存储在每个VRF的IP路由表和标签转发表中。系统为每个VRF维护一套独立的路由表和标签转发表,从而防止了数据泄漏出VPN之外,同时防止了VPN之外的数据进入。
VPN-IPv4地址族:
PE路由器之间使用BGP来发布VPN路由,并使用了新的地址族——VPN-IPv4地址。
一个VPN-IPv4地址有12个字节,开始是8字节的路由识别号(RouteDistinguisher,简称“RD”),后面是4字节的IPv4地址。PE使用RD对来自不同VPN的路由信息进行标识。运营商可以独立地分配RD,但是需要把他们专用的自治系统(Autonomous System,简称“AS”)号作为RD的一部分来保证每个RD的全局唯一性。RD为零的VPN-IPv4地址同全局唯一的IPv4地址是同义的。通过这样的处理以后,即使VPN-IPv4地址中包含的4字节IPv4地址重叠,VPN-IPv4地址仍可以保持全局唯一。
PE从CE接收的路由是IPv4路由,需要引入VRF路由表中,此时需要附加一个RD。在通常的实现中,为来自于同一个用户站点的所有路由设置相同的RD。
Route Target(路由目标)属性:
Route Target属性标识了可以使用某路由的站点的集合,即该路由可以被哪些站点所接收,PE路由器可以接收哪些站点传送来的路由。与RouteTarget中指明的站点相连的PE路由器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后,将其加入到相应的路由表中。
PE路由器存在两个Route Target属性的集合:一个集合用于附加到从某个站点接收的路由上,称为Export Route Targets(输出路由目标);另一个集合用于决定哪些路由可以引入此站点的路由表中,称为Import RouteTargets(输入路由目标)。
通过匹配路由所携带的Route Target属性,可以获得VPN的成员关系。匹配Route Target属性可以用来过滤PE路由器接收的路由信息。
VPN报文的转发过程:
在RFC2547bis标准中,VPN报文转发使用两层标签方式。第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条LSP,VPN报文利用这层标签,就可以沿着LSP到达对端PE。从对端PE到达CE时使用第二层(内层)标签,内层标签指示了报文到达哪个站点,或者更具体一些,到达哪一个CE。这样,根据内层标签,就可以找到转发报文的接口。特殊情况下,属于同一个VPN的两个站点连接到同一个PE,则如何到达对方PE的问题不存在,只需要解决如何到达对端CE。
通过BGP发布VPN路由信息:
在RFC2547bis标准中,CE与PE之间通过IGP或EBGP来传播路由信息,PE得到该VPN的路由表,存储在单独的VRF中。各个PE之间通过IGP来保证通常IP的连通性,通过IBGP来传播VPN组成信息和路由,并完成各自VRF的更新。再通过与直接相连CE之间的路由交换来更新CE的路由表,由此完成各个CE之间的路由交换。
BGP通信在两个层次上进行:自治系统内部(IBGP)以及自治系统之间(EBGP)。PE-PE会话是IBGP会话,而PE-CE会话是EBGP会话。
BGP在PE路由器之间的VPN组成信息和路由传播,通过多协议扩展边界网关协议(Multiprotocol extensions BGP,简称“MBGP”)来实现。关于MBGP的详细内容可以参考IETF的文档RFC2283《Multiprotocol Extensionsfor BGP-4》(中文名称可译为《边界网关协议一4的多协议扩展》)。MBGP向下兼容,既可以支持传统的IPv4地址族,又可以支持其他地址族(比如VPN-IPv4地址族)。通过MBGP携带的route target确保了特定VPN的路由只能被这个VPN的其他成员知道,使BGP/MPLS VPN成员间的通信成为可能。
在现有技术中,在RFC2547中所有的PE设备都是一个层面的,都是属于运营商的网络组成部分,所有的PE设备之间都是直接的交互VPN路由,所有的PE设备都是在一个网络中,可以说是公网。在每个PE上根据用户的需求配置不同的VPN,并且运营商根据用户的需求,通过更改VPN的配置来做VPN划分,这些都是运营商来管理的,运营商提供用户一条链路(或是字节口),用户通过这条链路接入,就确定了他接入了哪个VPN,这个接口上接入的所有的用户都是相同的VPN.如果这条链路下接入的用户内部也有VPN划分的需求,比如说还要划分5个VPN,那就必须直接把这5个VPN直接让运营商配置到PE设备上。
在实际应用中,上述方案存在以下问题:非独立性以及安全问题——即客户不是以独立的VPN存在,而是以多个用户内部的小VPN在运营商的PE设备上存在;并且用户没有独立的权利调整自己的几个内部VPN之间的关系,必须由运营商来操作;另外,正是由于用户内部的几个VPN由运营商操作管理,会引发用户内部网络的安全问题,具体的说,运营商对用户VPN的错误配置,将导致用户的几个内部网络之间的流量错误转发。
负担大,成本高,费用大——运营商的PE设备上的VPN数量随着用户的内部VPN的划分而相应增加,导致运营商的PE设备负担增加,从而导致运营商的运营成本增加;另一方面,对于客户在运营商的PE设备上划分的每一个内部VPN,都需要独立的接入链路或者子链路,因此导致用户使用运营商VPN网络的费用增加。
发明内容
有鉴于此,本发明的主要目的在于提供一种多协议标签交换虚拟专用网及其控制和转发方法,使得运营商不必介入用户内部VPN的管理,用户能够独立地对内部VPN进行划分以及调整,由此增加了客户内部VPN之间流量的安全性;另一方面,有效降低运营商的PE设备的负担,以及客户使用运营商VPN网络的费用。
为实现上述目的,本发明提供了一种多协议标签交换虚拟专用网,包含骨干网络和用户网络,所述骨干网络的骨干网边缘路由器上为所述用户网络配置了虚拟专用网,所述用户网络还包含:内部骨干网边缘路由器;
所述内部骨干网边缘路由器和上层的所述内部骨干网边缘路由器或所述骨干网边缘路由器连接,在所述内部骨干网边缘路由器上可以配置内部虚拟专用网;
其中,所述内部虚拟专用网的路由在所述骨干网络中传播时包含多层输出路由目标属性。
其中,在所述内部骨干网边缘路由器上配置内部虚拟专用网的配置格式为:内部虚拟专用网名:VPN import/export内部虚拟专用网标识。
所述内部骨干网边缘路由器和与其连接的所述骨干网边缘路由器之间运行多协议边界网关协议传播私网路由。
处于上层的所述内部骨干网边缘路由器或所述骨干网路由器还用于在从一个虚拟路由/转发实例下的私网接口收到路由时,将所述路由传递给该虚拟路由/转发实例下的其它私网接口后,添加该虚拟专用网接口所属的虚拟专用网的输出路由目标属性,向其它匹配的虚拟路由/转发实例、其它所述内部骨干网边缘路由器和所述骨干网边缘路由器传播。
所述内部骨干网边缘路由器或所述骨干网路由器还用于在收到路由后,将该所述路由增加输出路由目标属性后,改变为VPN V4的路由传送给该所述虚拟专用网内的与其连接的所述用户网边缘路由器。
本发明还提供了一种多协议标签交换虚拟专用网的路由的控制和转发方法,包含以下步骤:
A所述路由携带内部虚拟专用网的输出路由目标属性,通过多协议边界网关协议从用户网络中的内部骨干网边缘路由器传送到上层的所述内部骨干网边缘路由器或所述骨干网边缘路由器;
B上层的所述内部骨干网边缘路由器或所述骨干网边缘路由器将从所述虚拟专用网的多协议边界网关协议连接上收到的所述路由添加该所述虚拟专用网的输出路由目标属性;
C所述内部骨干网边缘路由器或所述骨干网边缘路由器对于收到的非下层发送的所述路由,通过匹配路由目标决定是否接收并发送;
E其它所述骨干网边缘路由器收到所述路由后,匹配路由目标成功接收后向与其连接的用户网边缘路由器或内部用户网边缘路由器发送。
其中,所述内部骨干网边缘路由器或所述骨干网边缘路由器接收所述路由后,将该所述路由通告其对应的虚拟专用网的虚拟路由/转发实例的其它私网接口;将该所述路由添加输出路由目标属性后发送给其它所述虚拟路由/转发实例和其它所述内部骨干网边缘路由器或所述骨干网边缘路由器。
所述步骤E中,向所述用户网边缘路由器发送所述路由时,将所述路由转换为VPNV4的路由发送;向所述内部骨干网边缘路由器发送所述路由时,不改变所述路由将所述路由发送。
所述步骤E中,所述骨干网边缘路由器根据与之连接的路由器和该所述骨干网边缘路由器之间是否运行多协议边界网关协议判定与之连接的所述路由器是否为所述内部骨干网边缘路由器。
建立路由之后,数据报文传送时,所述数据报文在每一个所述骨干网边缘路由器上进行私网标签的替换。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,在运营商的PE设备中,将属于同一个用户的所有内部VPN网络站点的合集配置成一个VPN,同时,在与运营商PE设备对应的CE设备上配置SUB_PE(用户私网中的内部PE),用户可以在SUB_PE上配置私网中的内部VPN,SUB_PE和PE之间通过MBGP协议来传播私网的路由。
这种技术方案上的区别,带来了较为明显的有益效果,即首先,VPN用户能够根据需要,独立组建自己内部的VPN网络,对其内部VPN拥有完全的管理权,并且值得一提的是,对VPN用户所连接的运营商来说,这些内部网络是不可见的,由此可见,本发明不再由运营商操作管理用户内部的VPN,避免了现有技术中用户内部网络的安全问题,即避免了运营商对用户VPN的错误配置,由此杜绝用户的内部网络之间的流量错误转发。
另外,当VPN用户有多个内部VPN的需求时,不会对运营商的网络产生影响,不需要在运营商的PE上为用户维护这些内部VPN,由此既有效降低了运营商PE设备的负担,也减少了客户使用运营商VPN网络的费用。
附图说明
图1是MPLS网络结构示意图;
图2是RFC2547bis所定义的MPLS L3 VPN模型;
图3是根据本发明的一个实施例的MPLS VPN嵌套组网的网络构成示意图;
图4是根据本发明的一个实施例的嵌套组网的MPLS VPN路由转发流程示意图;
图5是根据本发明的一个较佳实施例的多层嵌套组网的MPLS VPN路由转发路径示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
首先介绍本发明的基本原理。
总的来说,本发明基于“嵌套的VPN组网”原理,换句话说,即在运营商的PE设备下,通过内部PE(SUB_PE)组建VPN用户内部VPN网络。并且,在PE设备的私网下运营MBGP协议来传播私网的路由。
在本发明中,PE设备通过私网接口收到了VPN地址族的路由,添加上该私网接口所属VPN的export target属性。在此基础上,根据该路由,在PE上的其他VPN之间继续做VPN匹配和转发,并将路由转化为IPV4的路由格式,发给这个接口所属VPN所相连的其它CE设备。
另外,当一个PE设备在收到MBGP传播来的VPN路由,并且在其私网下还有MBGP地址族的连接时,则将路由按照VPNV4的格式,不改变路由的export target属性,继续传送给这个MBGP地址族的边界网关协议(BorderGateway Protocol,简称“BGP”)连接。
下面详细介绍上述基本原理的具体实施方式。
如图3所示,在根据本发明的一个实施例的VPN嵌套组网中,配置有VPN1和VPN2。可以采用如下方式在PE1和PE2上进行配置:
VPN1:VPN import/export 100:1
VPN2:VPN import/export 100:2
其中100是自治系统号,1和2是一个人为定义的任意值。
熟悉本发明领域的技术人员会理解,这里举例的具体配置方式仅仅是众多可能的配置方式中的一种,其配置形式和参数都可以变化,只要能够完成配置两个独立VPN的工作就可以。
另一方面,如图3所示,PE1的VPN1下绑定了三个接口,分别用于与SUB_PE11、SUB_PE12,以及CE1连接。需要说明的是SUB_PE是指用户私网中的PE,可以称为“内部骨干网边缘路由器”。SUB_PE也是配置在路由器上,该路由器还同时配置了与运营商PE相对应的CE。换句话说,本发明对原先配置CE的路由器进行了改造,在该路由器上同时配置了SUB_PE。熟悉本发明领域的技术人员可以知道,路由器一般包含多个端口,可以对路由器中与运营商PE设备对应的端口按照CE方式配置,使其完成CE的功能,也可以同时对该路由器的其他端口按照PE方式配置,使其成为用户私网中的PE,也就是SUB_PE。
图3中,在PE1下面连接的用户设备SUB_PE11,SUB_PE12上分别根据用户的需要配置SUB_VPN11、SUB_VPN12、SUB_VPN13、SUB_VPN14,详细配置如下:
SUB_VPN11:VPN import/export 1000:1
SUB VPN12:VPN import/export 1000:2
SUB_VPN13:VPN import/export 1000:3
SUB_VPN14:VPN import/export 1000:4
同理在PE2的SUB_PE21上做对应的配置,这样就形成了SUB_VPN11、SUB_VPN12、SUB_VPN13、SUB_VPN14四个用户私网内部的VPN。
需要指出的是,并不是所有与运营商PE对应的CE上都要配置SUB_PE,也可以在运营商PE下按照现有技术的方式直接配置CE。例如,在图3中,在PE1的VPN1下可以直接接入普通的CE设备--CE1,在PE2的VPN1先可以直接接入普通的CE设备--CE2。
SUB_PE和上层PE之间需要运行多协议扩展边界网关协议(Multiprotocol extensions BGP,简称″MBGP″)协议,SUB_PE相当于上层PE的CE设备,因此相当于是在私网下运行MBGP协议。
熟悉本发明领域的技术人员可以理解,在SUB_PE对应的每一个SUB_VPN中站点都需要有相应的SUB_CE(私网内部的CE),这一点和现有技术中PE和CE的关系是类似的。为了突出重点,SUB_CE没有画在图3中。
通过上面的描述可见,本发明提供的VPN嵌套组网分为两个层次:
第一个层次是运营商的层次。在运营商的PE设备中,将属于同一个用户的所有内部VPN网络站点的合集配置成一个VPN。例如VPN1就属于一个用户,其中包含了SUB_VPN11、SUB_VPN12、SUB_VPN13、SUB_VPN14的所有站点。采用本发明的技术方案后,运营商不需要对用户内部的VPN进行管理,只要管理一个VPN网络即可,而现有技术中运营商为了实现相同的VPN划分功能需要管理四个VPN网络。这样可以提高用户内部网络的安全性,有效降低了运营商PE设备的负担,减少客户使用运营商VPN网络的费用。
第二个层次是用户的层次。对用户来说运营商提供了基本的传输网络,实现了分散在各地的己方站点之间的通信。但是在这些站点中,内部VPN的配置是自己实现和管理的。用户所要做的就是在互相连通的多个内部站点中按照需要配置SUB_VPN,并进行有效管理。这样可以防止由于运营商对用户VPN的错误配置而导致的用户内部网络之间的流量错误转发。
上面说明了嵌套式的VPN网络结构,下面再参照图4,对根据本发明的VPN嵌套组网的控制和转发流程进行更加详细的描述。
根据本发明的原理可以理解,在PE1或PE2上既能够通过私网直接接入普通的CE设备,也能够通过私网接入用户内部的VPN,即SUB_VPN11、SUB_VPN12、SUB_VPN13以及SUB_VPN14,因此会产生不同的路由控制和转发流程。
在本发明的一个较佳实施例中,包含两层VPN,其中SUB_VPN11的路由控制流程如下:
首先,SUB_VPN1的一条路由:10.0.0.1/8在从SUB_PE11上发出,携带上自己的export target属性(例如1000:1),并通过MBGP协议传送到PE1。
此后,PE1在一个VRF下的私网接口上收到了上述路由并将该路由通告给该VRF下的其它私网接口(如果该VRF下还有其它私网接口)后,将该路由添加上VPN1的export target属性(例如100:1)。熟悉本领域的技术人员可以理解,完成这个步骤后,该条路由可以看作为包含了两层VPN的exporttarget属性的路由。如图3所示,在本发明的一个较佳实施例中,该路由的VPN标识的外层是运行商网络层次的VPN的export target属性(例如100:1),内层是用户网络层次的用户内部的VPN(SUB_VPN1)的export target属性(例如1000:1)。
接着,该路由在PE1上进行本地VPN匹配,如果有其他的VRF和它匹配,就将该路由发送给相应的VRF;如果VPN1下还有普通的CE连接,将路由转化为普通的IPv4路由,发送给CE设备。例如在本发明的一个较佳实施例中,SUB_PE12上也配置了SUB_VPN11,则PE1将该路由通过MBGP协议发送给SUB_PE12;又如,在本发明的另一个较佳实施例中,还有VPN1的用户站点通过CE1连接到PE1上,则PE1将路由转化为普通IPv4路由,发送给CE1。
接着,这条路由继续传送到PE2,PE2对该路由的export target属性与PE2上的VPN1的import target属性进行匹配,确认是否属于VPN1的路由。
PE2匹配该路由确认属于VPN1的路由后,如果PE2连接的VPN1下面还有MBGP连接,则将路由向其下属的内部PE传送,即图3中的SUB_PE21传送;如果PE2下面还有直连的CE设备,只要直接将路由转化为普通的IPv4路由发给CE设备,例如图3中的CE2。
接着,SUB_PE21收到上述路由后,对该路由和本地的SUB_VPN进行匹配,确认是否属于本地的VPN。需要说明的是,该步骤中通过该路由的export target属性进行匹配。另外,熟悉本领域的技术人员可以理解,CE设备收到路由的处理和现有技术完全一样,在此不详细说明。
当SUB_PE21确认该路由是属于本地的VPN后,被本地SUB_VPN12接收,并传送到与SUB_VPN12对应的内部CE设备上。
在上述本发明的一个较佳实施例中,报文转发和普通的VPN拓扑下的流程基本相同。不同之处在于,每一个上层PE,即附图中的PE1和PE2,都要对私网的标签做一次替换操作。
需要说明的是,嵌套的VPN可以为多层,此时,每个上层PE收到从下层嵌套的内部VPN发来的路由之后,均需要添加相应的输出路由目标属性。如图5所示的根据本发明的一个较佳实施例的多层VPN嵌套,最底层的内部VPN路由从A发出,沿着A-B-C-D-E-F的路径发送,在A、B和C上均会添加export target属性,路由到了D后就不再添加export target属性,D、E和F使用自己的import target属性列表和接收的路由的export target属性列表匹配以决定是否接收。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (10)
1.一种多协议标签交换虚拟专用网,包含骨干网络和用户网络,所述骨干网络的骨干网边缘路由器上为所述用户网络配置了虚拟专用网,其特征在于,所述用户网络还包含:内部骨干网边缘路由器;
所述内部骨干网边缘路由器和上层的所述内部骨干网边缘路由器或所述骨干网边缘路由器连接,在所述内部骨干网边缘路由器上可以配置内部虚拟专用网;
其中,所述内部虚拟专用网的路由在所述骨干网络中传播时包含多层输出路由目标属性。
2.根据权利要求1所述的多协议标签交换虚拟专用网,其特征在于,在所述内部骨干网边缘路由器上配置内部虚拟专用网的配置格式为:内部虚拟专用网名:VPN import/export内部虚拟专用网标识。
3.根据权利要求1所述的多协议标签交换虚拟专用网,其特征在于,所述内部骨干网边缘路由器和与其连接的所述骨干网边缘路由器之间运行多协议边界网关协议传播私网路由。
4.根据权利要求1所述的多协议标签交换虚拟专用网,其特征在于,处于上层的所述内部骨干网边缘路由器或所述骨干网路由器还用于在从一个虚拟路由/转发实例下的私网接口收到路由时,将所述路由传递给该虚拟路由/转发实例下的其它私网接口后,添加该虚拟专用网接口所属的虚拟专用网的输出路由目标属性,向其它匹配的虚拟路由/转发实例、其它所述内部骨干网边缘路由器和所述骨干网边缘路由器传播。
5.根据权利要求1所述的多协议标签交换虚拟专用网,其特征在于,所述内部骨干网边缘路由器或所述骨干网路由器还用于在收到路由后,将该所述路由增加输出路由目标属性后,改变为VPN V4的路由传送给该所述虚拟专用网内的与其连接的所述用户网边缘路由器。
6.一种多协议标签交换虚拟专用网的路由的控制和转发方法,其特征在于,包含以下步骤:
A所述路由携带内部虚拟专用网的输出路由目标属性,通过多协议边界网关协议从用户网络中的内部骨干网边缘路由器传送到上层的所述内部骨干网边缘路由器或所述骨干网边缘路由器;
B上层的所述内部骨干网边缘路由器或所述骨干网边缘路由器将从所述虚拟专用网的多协议边界网关协议连接上收到的所述路由添加该所述虚拟专用网的输出路由目标属性;
C所述内部骨干网边缘路由器或所述骨干网边缘路由器对于收到的非下层发送的所述路由,通过匹配路由目标决定是否接收并发送;
E其它所述骨干网边缘路由器收到所述路由后,匹配路由目标成功接收后,向与其连接的用户网边缘路由器或所诉内部用户网边缘路由器发送。
7.根据权利要求6所述的多协议标签交换虚拟专用网的路由的控制和转发方法,其特征在于,所述内部骨干网边缘路由器或所述骨干网边缘路由器接收所述路由后,将该所述路由通告其对应的虚拟专用网的虚拟路由/转发实例的其它私网接口;将该所述路由添加输出路由目标属性后发送给其它所述虚拟路由/转发实例和其它所述内部骨干网边缘路由器或所述骨干网边缘路由器。
8.根据权利要求6所述的一种多协议标签交换虚拟专用网的路由的控制和转发方法,其特征在于,所述步骤E中,向所述用户网边缘路由器发送所述路由时,将所述路由转换为VPNV4的路由发送;向所述内部骨干网边缘路由器发送所述路由时,不改变所述路由将所述路由发送。
9.根据权利要求8所述的一种多协议标签交换虚拟专用网的路由的控制和转发方法,其特征在于,所述步骤E中,所述骨干网边缘路由器根据与之连接的路由器和该所述骨干网边缘路由器之间是否运行多协议边界网关协议判定与之连接的所述路由器是否为所述内部骨干网边缘路由器。
10.根据权利要求6所述的多协议标签交换虚拟专用网的路由的控制和转发方法,其特征在于,建立路由之后,数据报文传送时,所述数据报文在每一个所述骨干网边缘路由器上进行私网标签的替换。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100717400A CN100372336C (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
| EP05772889.1A EP1768335B1 (en) | 2004-07-13 | 2005-07-13 | A virtual private network and the method for the control and transmit of the route |
| PCT/CN2005/001035 WO2006005260A1 (fr) | 2004-07-13 | 2005-07-13 | Reseau prive virtuel et procede de commande et de transmission d'acheminement |
| US11/589,092 US20070133577A1 (en) | 2004-07-13 | 2006-10-30 | Virtual private network and method for controlling and forwarding route thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100717400A CN100372336C (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710149811.8A Division CN101136832A (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1722698A true CN1722698A (zh) | 2006-01-18 |
| CN100372336C CN100372336C (zh) | 2008-02-27 |
Family
ID=35783519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100717400A Expired - Lifetime CN100372336C (zh) | 2004-07-13 | 2004-07-13 | 多协议标签交换虚拟专用网及其控制和转发方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20070133577A1 (zh) |
| EP (1) | EP1768335B1 (zh) |
| CN (1) | CN100372336C (zh) |
| WO (1) | WO2006005260A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552710B (zh) * | 2008-03-31 | 2011-04-06 | 中国移动通信集团公司 | 实现虚拟专用网络跨域的方法、系统和路由器 |
| CN101051992B (zh) * | 2006-04-17 | 2011-04-13 | 华为技术有限公司 | 在多层网络中计算客户层业务路由的方法 |
| CN101442468B (zh) * | 2007-11-20 | 2011-06-01 | 华为技术有限公司 | 虚拟私有网络路由本地交叉处理的方法及装置 |
| CN101488925B (zh) * | 2009-03-03 | 2011-08-24 | 中兴通讯股份有限公司 | 一种利用网络流采集及统计虚拟专用网络流量的方法 |
| CN102821028A (zh) * | 2011-06-08 | 2012-12-12 | 上海贝尔股份有限公司 | 支持虚拟机在多协议标签网络中迁移的方法和相应的设备 |
| CN103731347B (zh) * | 2012-10-10 | 2017-06-23 | 新华三技术有限公司 | 一种基于嵌套vpn网络的vpnv4路由处理方法和设备 |
| CN107547389A (zh) * | 2017-08-30 | 2018-01-05 | 新华三技术有限公司 | 网络接入方法、装置及机器可读存储介质 |
| CN110324186A (zh) * | 2019-06-28 | 2019-10-11 | 迈普通信技术股份有限公司 | 网络配置方法、装置、服务器及计算机可读存储介质 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1214583C (zh) * | 2002-08-23 | 2005-08-10 | 华为技术有限公司 | 一种三层虚拟私有网络及其构建方法 |
| US7630310B2 (en) * | 2006-01-31 | 2009-12-08 | Alcatel-Lucent Usa Inc. | System and method for generating route target attributes |
| US8233395B2 (en) | 2007-02-21 | 2012-07-31 | At&T Intellectual Property I, Lp | System for advertising routing updates |
| US8194570B2 (en) * | 2007-03-21 | 2012-06-05 | Cisco Technology, Inc. | Configuration tool for MPLS virtual private network topologies |
| JP4803116B2 (ja) * | 2007-05-31 | 2011-10-26 | 富士ゼロックス株式会社 | 仮想ネットワーク接続装置及びプログラム |
| US8121118B2 (en) | 2008-10-31 | 2012-02-21 | At&T Intellectual Property I, L.P. | Methods and apparatus to dynamically control connectivity within virtual private networks |
| US8549616B2 (en) * | 2008-10-31 | 2013-10-01 | At&T Intellectual Property I, L.P. | Methods and apparatus to dynamically control access from virtual private networks to network-based shared resources |
| US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US9203747B1 (en) | 2009-12-07 | 2015-12-01 | Amazon Technologies, Inc. | Providing virtual networking device functionality for managed computer networks |
| US8995301B1 (en) | 2009-12-07 | 2015-03-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing cost information |
| US9036504B1 (en) | 2009-12-07 | 2015-05-19 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to associate network addresses with computing nodes |
| US7937438B1 (en) | 2009-12-07 | 2011-05-03 | Amazon Technologies, Inc. | Using virtual networking devices to manage external connections |
| US8705513B2 (en) * | 2009-12-15 | 2014-04-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks |
| US8224971B1 (en) * | 2009-12-28 | 2012-07-17 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to initiate external actions |
| US7991859B1 (en) | 2009-12-28 | 2011-08-02 | Amazon Technologies, Inc. | Using virtual networking devices to connect managed computer networks |
| US7953865B1 (en) | 2009-12-28 | 2011-05-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing communications between connected computer networks |
| US8473557B2 (en) | 2010-08-24 | 2013-06-25 | At&T Intellectual Property I, L.P. | Methods and apparatus to migrate virtual machines between distributive computing networks across a wide area network |
| CN103475581B (zh) * | 2012-06-06 | 2017-08-25 | 华为技术有限公司 | 一种网络标签分配方法、设备与系统 |
| CN103841013B (zh) * | 2012-11-21 | 2017-06-16 | 新华三技术有限公司 | Trill网络中的报文转发方法及设备 |
| US10193968B2 (en) | 2016-10-14 | 2019-01-29 | Google Llc | Virtual router with dynamic flow offload capability |
| US11115323B2 (en) | 2017-05-10 | 2021-09-07 | Saudi Arabian Oil Company | Securing Layer-3 virtual private network |
| US12113770B2 (en) * | 2020-01-08 | 2024-10-08 | Cisco Technology, Inc. | DHCP snooping with host mobility |
| CN114070778A (zh) * | 2020-08-06 | 2022-02-18 | 华为技术有限公司 | 路由引入方法、设备及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7369556B1 (en) * | 1997-12-23 | 2008-05-06 | Cisco Technology, Inc. | Router for virtual private network employing tag switching |
| US7450505B2 (en) * | 2001-06-01 | 2008-11-11 | Fujitsu Limited | System and method for topology constrained routing policy provisioning |
| CN1214583C (zh) * | 2002-08-23 | 2005-08-10 | 华为技术有限公司 | 一种三层虚拟私有网络及其构建方法 |
| CN100502343C (zh) * | 2003-05-22 | 2009-06-17 | 华为技术有限公司 | 多协议标签交换虚拟专用网相互通信的方法 |
| US7593395B2 (en) * | 2003-12-29 | 2009-09-22 | Nortel Networks Limited | Apparatus and method for distributing layer-2 VPN information |
| US7318108B2 (en) * | 2004-12-22 | 2008-01-08 | Cisco Technology, Inc. | Method and apparatus providing prioritized convergence in border gateway protocol |
-
2004
- 2004-07-13 CN CNB2004100717400A patent/CN100372336C/zh not_active Expired - Lifetime
-
2005
- 2005-07-13 EP EP05772889.1A patent/EP1768335B1/en active Active
- 2005-07-13 WO PCT/CN2005/001035 patent/WO2006005260A1/zh not_active Application Discontinuation
-
2006
- 2006-10-30 US US11/589,092 patent/US20070133577A1/en not_active Abandoned
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051992B (zh) * | 2006-04-17 | 2011-04-13 | 华为技术有限公司 | 在多层网络中计算客户层业务路由的方法 |
| CN101442468B (zh) * | 2007-11-20 | 2011-06-01 | 华为技术有限公司 | 虚拟私有网络路由本地交叉处理的方法及装置 |
| CN101552710B (zh) * | 2008-03-31 | 2011-04-06 | 中国移动通信集团公司 | 实现虚拟专用网络跨域的方法、系统和路由器 |
| CN101488925B (zh) * | 2009-03-03 | 2011-08-24 | 中兴通讯股份有限公司 | 一种利用网络流采集及统计虚拟专用网络流量的方法 |
| CN102821028A (zh) * | 2011-06-08 | 2012-12-12 | 上海贝尔股份有限公司 | 支持虚拟机在多协议标签网络中迁移的方法和相应的设备 |
| WO2012168795A1 (en) * | 2011-06-08 | 2012-12-13 | Alcatel Lucent | Methods for supporting migration of virtual machines across multiprotocol label switching network and corresponding devices |
| CN102821028B (zh) * | 2011-06-08 | 2016-03-30 | 上海贝尔股份有限公司 | 支持虚拟机在多协议标签网络中迁移的方法和相应的设备 |
| CN103731347B (zh) * | 2012-10-10 | 2017-06-23 | 新华三技术有限公司 | 一种基于嵌套vpn网络的vpnv4路由处理方法和设备 |
| CN107547389A (zh) * | 2017-08-30 | 2018-01-05 | 新华三技术有限公司 | 网络接入方法、装置及机器可读存储介质 |
| CN107547389B (zh) * | 2017-08-30 | 2020-10-09 | 新华三技术有限公司 | 网络接入方法、装置及机器可读存储介质 |
| CN110324186A (zh) * | 2019-06-28 | 2019-10-11 | 迈普通信技术股份有限公司 | 网络配置方法、装置、服务器及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006005260A1 (fr) | 2006-01-19 |
| EP1768335A1 (en) | 2007-03-28 |
| CN100372336C (zh) | 2008-02-27 |
| US20070133577A1 (en) | 2007-06-14 |
| EP1768335B1 (en) | 2013-09-11 |
| EP1768335A4 (en) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1722698A (zh) | 多协议标签交换虚拟专用网及其控制和转发方法 | |
| CN1254059C (zh) | 一种多协议标签交换虚拟专用网的实现方法 | |
| CN1214583C (zh) | 一种三层虚拟私有网络及其构建方法 | |
| US7136374B1 (en) | Transport networks supporting virtual private networks, and configuring such networks | |
| CN100384172C (zh) | 基于网络的虚拟专用网中保证服务质量的系统及其方法 | |
| WO2009086931A1 (en) | Setting up a virtual private network | |
| JP2005341591A (ja) | 仮想プライベートネットワーク、マルチサービスプロビジョニングプラットフォーム及び方法 | |
| WO2006002598A1 (fr) | Systeme vpn de reseau federateur hybride a site hybride et son procede de mise en oeuvre | |
| CN101047636A (zh) | 端到端伪线仿真虚拟租用线接入虚拟专用网的方法及系统 | |
| CN101047651A (zh) | 设置ip优先级的方法、系统和设备 | |
| WO2008014723A1 (fr) | Procédé et dispositif permettant la mise en oeuvre d'un réseau privé virtuel (vpn) fondé sur une structure d'adresse ipv6 | |
| US7467215B2 (en) | SVC-L2.5 VPNs: combining Layer-3 VPNs technology with switched MPLS/IP L2VPNs for ethernet, ATM and frame relay circuits | |
| WO2008011818A1 (fr) | Procédé de fourniture d'un service réseau local privé virtuel à hiérarchie et système réseau | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| CN1625144A (zh) | 一种在二层虚拟专用网的骨干网中保证业务质量的方法 | |
| WO2005125103A1 (fr) | Systeme de reseau prive virtuel d'un site hybride et reseau de base hybride et procede de mise en oeuvre associe | |
| CN100502343C (zh) | 多协议标签交换虚拟专用网相互通信的方法 | |
| CN101136832A (zh) | 多协议标签交换虚拟专用网及其控制和转发方法 | |
| CN101304337A (zh) | 生成业务虚拟私有网络的接入拓扑的方法和装置 | |
| CN1870634A (zh) | 双归属/多归属逻辑组网方法和提供商设备 | |
| CN1700683A (zh) | 实现混合站点虚拟专用网的方法 | |
| CN1538682A (zh) | 一种建立虚拟电路的方法 | |
| CN1744541A (zh) | 一种在多层标签交换网络中实现虚拟专网业务的方法 | |
| Cisco | Spanning Multiple Autonomous Systems | |
| CN101304338A (zh) | 发现多协议标签交换三层虚拟私有网中设备的方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20080227 |
|
| CX01 | Expiry of patent term |