WO2008031335A1

WO2008031335A1 - Procede et appareil d'implementation de reseau prive virtuel de couche 1 l1 vpn

Info

Publication number: WO2008031335A1
Application number: PCT/CN2007/070195
Authority: WO
Inventors: Qiliang Yi
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-09-13
Filing date: 2007-06-27
Publication date: 2008-03-20
Also published as: ATE549825T1; EP1924033A1; EP1924033A4; US20080181223A1; EP1924033B1; ES2383151T3; CN101146015A; US7864763B2; CN101146015B

Description

一种实现一层虚拟专用网的方法和装置本申请要求于 2006 年 09 月 13 日提交中国专利局、申请号为 200610062588.9、发明名称为 "一种实现一层虚拟专用网 LI VPN的方法和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及网络通信技术领域，尤其涉及一种实现虚拟专用网的方法和装置。背景技术

光虚拟专用网（ OVPN, Optical Virtual Private Network )是光网络向自动交换光网络（ ASON , Automatically Switched Optical Network )转型过程中出现的新业务应用， OVPN 在传输层为用户提供虚拟专用网（VPN, Virtual Private Network )业务，也称为一层虚拟专用网（ LI VPN, Layerl VPN )。 OVPN业务同传统的 VPN业务一样，使得用户在减少通信费用的情况下，能够在公网内部灵活组建自己的网络拓朴，并允许运营商对物理网络资源进行划分，提供给终端用户全面并安全地查看以及管理各自的 OVPN 的能力，如同每个用户拥有自己的光网络一样。同时， OVPN 能够使运营商优化带宽的利用率，通过较少的投资获得更多的商业机会从而增力口收入。

在 IETF的 draft-ietf-llvpn-framework中描述了实现 LI VPN的各种业务模型：基本模型（Basic Mode )和增强模型，增强模型中又包括：增强的重叠模型，虚节点模型（ Virtual Node ), 虚连接模型（ Virtual Link ) 以及 VPN 对等模型（Per VPN Peer )等。不同模型中，客户网络边沿设备（CE, Custom Edge )和运营商网络边沿设备 ( PE, Provider Edge )之间交互的信息以及其信令路由方式都有所差异。

另外，不同的模型对应不同的业务场景，例如在多业务骨干网

( Multi-service Backbone ), 运营商的运营商 ( Carrier's carrier )场景中 , 4艮可能给用户分配专用的资源，用户能够对运营商网络中的专用电路进行性能监控，此时要用到 Virtual Link或 Per VPN Peer模型；而在视频会议 ( VideoConference ), 内容分发 ( Content distribution )等场景中，运营商的链路资源由各 VPN共享，此时要用到 Basic Mode模型。不同的用户可能有不同的场景需求，一个运营商需要能够支持用户要求的所有场景；也即，一个运营商需要能够支持多种业务模型，从而支持不同应用场景的需求。发明内容

本发明实施例提供了一种实现一层虚拟专用网 LI VPN的方法，在运营商边缘设备 PE上创建至少一个虚拟 PE , 所述虚拟 PE与客户边缘设备 CE 进行信令和路由交互，支持至少一个 LI VPN业务模型。

本发明实施例提供一种实现一层虚拟专用网的方法，包括：

在运营商边缘设备 PE上创建至少一个虚拟 PE ,所述虚拟 PE与客户边缘设备 CE进行信令和路由交互，支持至少一个一层虚拟专用网 LI VPN业务模型。

本发明实施例提供一种实现一层虚拟专用网的运营商边缘设备 PE 装置，包括 VPN公共处理模块、至少一个虚拟 PE、存储器和中央处理器，所述 VPN公共处理模块，用于实现 PE上至少一个 LI VPN业务模型的公共功能，创建或删除所述 LI VPN业务模型对应的虚拟 PE;

所述存储器中保存所述 LI VPN业务模型的成员信息；

所述中央处理器根据所述存储器中保存的成员信息与所述 VPN公共处理模块进行交互，以支持所述 LI VPN业务模型。

本发明实施例还提供一种实现一层虚拟专用网 LI VPN的客户边缘设备 CE装置，包括 VPN公共处理模块、至少一个虚拟 CE、存储器和中央处理器；

所述 VPN公共处理模块用于实现 CE上至少一个 VPN业务模型的公共功能，创建或删除 LI VPN业务模型对应的虚拟 CE;

所述存储器保存所述 LI VPN业务模型的成员信息；

所述中央处理器根据所述存储器中保存的成员信息与所述 VPN公共处理模块进行交互，支持所述 LI VPN业务模型。

本发明实施例提供的方案中，根据用户对 LI VPN应用场景的需求，建立一个或多个 LI VPN业务模型，可以根据用户所需 LI VPN服务的要求不同，选择合适的业务模型，在 PE、 CE上动态建立 VPE、 VCE来支持一种或一种以上的业务模型，从而满足不同场景下不同用户对 LI VPN的应用需求。因不同 VPN的 VCE、 VPE之间信息是隔离的，还能够保证支持多种业务模型时信息的安全性以及资源使用的有效性。附图说明

图 1为本发明实施例中在一个物理 PE上创建多个 VPE的示意图；图 2为本发明实施例中在一个物理 CE上创建多个 VCE的示意图；图 3为本发明实施例中支持多种业务模型的示意图；

图 4为本发明实施例中创建 VPE和 VCE的过程示意图；

图 5为本发明实施例中删除 VPN1的过程示意图；

图 6为本发明的一个实施例中实现 LI VPN的多业务模型；

图 7为本发明的另一个实施例中实现 LI VPN的多业务模型；图 8为本发明又一个实施例中实现 LI VPN的多业务模型；

图 9为本发明的实施例中支持 VPE的 PE装置示意图；

图 10为本发明的实施例中支持 VCE的 CE装置示意图。具体实施方式

下面结合附图和具体实施例进行详细的说明。

图 1所示为在一个物理 PE上创建多个虚拟 PE ( VPE, Virtual PE )的示意图。本发明的实施例中，在一个物理 PE上可根据用户 VPN的应用场景及 VPN的个数动态创建多个不同类型的 VPE, 例如 VPE— BM (支持基本模型的虚拟 PE ), VPE VN (支持虚节点模型的虚拟 PE ), VPE— VL (支持虚链路模型的虚拟 PE)或其它模型的虚拟 PE等。

图 2所示为在一个物理 CE上创建多个虚拟 CE ( VCE, Virtual CE )的示意图。本发明的实施例中，在一个物理 CE上可根据用户 VPN的应用场景及 VPN的个数动态创建多个不同类型的 VCE: 例如， VCE— BM (支持基本模型的虚拟 CE ), VCE— VN (支持虚节点模型的虚拟 CE )、 VCE— VL (支持虚链路模型的虚拟 CE)或其它模型的虚拟 CE。

图 3所示为本发明的实施例中支持多种业务模型的示意图。其中， CE2 和 CE4之间组成了 VPN1 , 其中用到专用的链路，在与用户的 SLA (服务等级协定）中规定了用户可查看其专用链路的性能告警等信息，因此，要用到 Virtual Link模型对 VPNl 进行支持，创建 VPN时分配专用链路给 VPN1 , 这些链路只供 VPN1专用。 CE1、 CE2、 CE3间组成了 VPN2, 用于内容分发，没有分配专用的链路资源，其间通信链路是动态申请和删除的，对于 VPN2, 需通过 Basic Mode模型进行支持。根据用户的不同需求，通过创建 VPE和 VCE, 同时支持两个业务模型。

下面结合图 3、图 4和图 5对 VCE, VPE的动态创建和删除过程作进一步说明。如图 4所示为创建 VPE和 VCE的过程示意图，包括步骤：

PE1接收到创建釆用 Virtual Link模型的 VPNl的命令，创建 VPE1-1 ; PE2接收到创建釆用 Virtual Link模型的 VPN1的命令，创建 VPE2- 1；

CE2接收到创建釆用 Virtual Link模型的 VPNl的命令，创建 VCE2-1 ; CE4接收到创建釆用 Virtual Link模型的 VPNl的命令，创建 VCE4。上述步骤之间并不需要确定的先后顺序。所述命令，可以来自虚拟专用网管理器（ VPN Manager ), 即 VPN Manager分别向 PE和 CE下发创建虚拟 PE和虚拟 CE的命令；也可以由 VPN Manager向 PE下发创建虚拟 PE 的命令，然后通过 PE和 CE之间的接口， PE向 CE下发创建 VCE的命令。另外， VPE和 VCE的创建也可以通过 PE和 CE之间的信令完成。

如图 5所示为删除 VPN1的过程示意图，包括步骤：

PE1接收到删除 VPN1对应的 VPE的命令，删除对应的 VPE1-1 ;

PE2接收到删除 VPN1对应的 VPE的命令 , 删除对应的 VPE2- 1；

CE2接收到删除 VPN1对应的 VCE的命令，删除对应的 VCE2-1； CE4接收到删除 VPN1对应的 VCE的命令，删除对应的 VCE。

同理，可以对釆用基本模型的 VPN2进行创建和删除。

当 VPE、 VCE创建完成后，则可以利用二者之间的路由和信令交互，支持 L1 VPN业务。具体来说，实现 LI VPN业务有下述两种方式：

方式一：

如图 6所示，每个 VPE, VCE有自己独立的信令和路由部分，每个 PE 或 CE设备上的各个 VPE, VCE都是独立的实体，各自具有独立的信令处理模块和路由处理模块，其信令和路由处理模块没有共享部分，不管这些 VPE, VCE是否属于同一类业务模型的 VPE, VCE。

VCE和 VPE的路由处理模块间根据业务模型的不同决定是否有路由信息交互。如果是基本模型，则无路由信息交互；如果为增强模型，则有路由信息交互。

VPE和 VCE间的信令处理模块间进行信令的交互进行 LI VPN业务的建立，维护和删除。

方式二：

对于同类业务模型在 CE, PE上可建立一个统一的业务模型的 VPE, 用于同类业务模型中信令和路由公共部分的处理，各 VCE, VPE根据所属的业务模型，与业务模型实例进行交互。

如图 7所示，以基本模型为例，一个 PE上支持了两个基本模型的 L1 VPN, 一个 CE上支持了两个基本模型的 LI VPN。此时，在 PE上将建立一个 PE基本模型的 VPE, 其中包括 PE基本模型信令处理模块和 PE基本模型路由处理模块；在 CE上将建立一个 CE基本模型的 VCE, 其中包括 CE基本模型信令处理模块和 CE基本模型路由处理模块。

每个基本模型的 LI VPN对应的 VPE和 VCE中不包括信令和路由处理部分，只是维护其成员信息，这些信息的维护通过与 PE基本模型实例、 CE 基本模型实例进行交互完成。 CE基本模型信令处理模块和 PE基本模型信令处理模块进行信令交互，从而对 LI VPN中的业务进行建立，维护和删除。

如图 8所示，以增强模型中的虚链路模型为例，一个 PE上支持了两个虚链路模型的 LI VPN, 一个 CE上支持了两个虚链路模型的 LI VPN。此时，在 PE上将建立一个 PE虚链路模型的 VPE, 其中包括 PE虚链路模型信令处理模块和 PE虚链路模型路由处理模块；在 CE上将建立一个 CE虚链路模型的 VCE,其中包括 CE虚链路模型信令处理模块和 CE虚链路模型路由处理模块。

每个虚链路模型的 LI VPN对应的 VPE和 VCE中不包括信令和路由处理部分，只是维护其成员信息，这些信息的维护通过与 PE虚链路模型 VPE、 CE虚链路模型的 VCE进行交互来完成。 CE虚链路模型信令处理模块和 PE 虚链路模型信令处理模块进行信令交互从而对 L1VPN中的业务进行建立，维护和删除；同时， CE虚链路模型路由处理模块和 PE虚链路模型路由处理模块进行路由信息的交互，实现路由维护和管理功能。

一般而言，一个物理 CE上支持多种业务模型的可能性比较小，因此，一个 CE上通常只支持一种业务模型，也就是说，在本发明实施例中， CE 上支持 VCE不是必须的，大多数情况下，只在 PE上支持 VPE即可。

图 9所示为本发明的实施例中支持 VPE的 PE装置，包括 VPN公共处理模块、至少一个 VPE、存储器（Memory )和中央处理器（CPU )。

其中， VPN公共处理模块用于实现 PE上 LI VPN的公共功能，如自动发现，策略配置， VPE的创建删除，接收 VPN Manager下发的命令，将命令分发到对应的 VPE等； Memory中保存了当前 VPN的成员信息，其以成员信息表的形式存储，成员信息可通过自动查询得到，每个 VPE与其对应 VPN的 VPN成员信息表关联； CPU通过和 VPN公共处理模块及 Memory 中保存的内容交互，完成 PE上 VPN的功能； VPE的结构已经在上文中进行说明，此处不再赘述。当然，所述 VPE的结构存在图 6与图 7、图 8所示的两种不同情形。

图 10所示为支持 VCE的 CE装置，包括 VPN公共处理模块、至少一个 VPE、存储器（Memory )和中央处理器（ CPU )。

VPN公共处理模块用于实现 CE上 VPN的公共功能，如策略配置， VCE 的创建删除，接收 VPN Manager下发的命令，将命令分发到对应的 VCE等； Memory中保存了当前 VPN的成员信息，其以成员信息表的形式存储，成员信息可通过自动查询得到，每个 VCE与其对应 VPN的 VPN成员信息表关联； CPU通过和 VPN公共处理模块及内存中保存的内容交互，完成 CE 上 VPN的功能； VCE的结构已经在上文中进行说明，此处不再赘述。 VCE 的结构存在图 6与图 7、图 8所示的两种不同情形。

本发明的多个实施例，可以根据用户所需 LI VPN服务的要求不同，选择合适的业务模型，动态在 PE、 CE上建立 VPE、 VCE来支持多种业务模型以满足用户需求；因不同 VPN的 VCE、 VPE之间信息是隔离的，所以能够保证支持多种业务模型时信息的安全性以及资源使用的有效性。

本领域技术人员可以理解，上述实施例中的全部或部分模块或各步骤是可以通过程序来指令相关硬件来实现，所述程序可存储于计算机可读取存储介质中，所述存储介质，如 ROM/RAM、磁盘、光碟等。或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims

权利要求

1、一种实现一层虚拟专用网的方法，其特征在于，包括：

在运营商边缘设备 PE上创建至少一个虚拟 PE,所述虚拟 PE与客户边缘设备 CE进行信令和路由交互，支持至少一个一层虚拟专用网 LI VPN业务模型。

2、如权利要求 1所述的方法，其特征在于，还包括：

在所述 CE上创建至少一个虚拟 CE, 与所述虚拟 PE进行信令和路由交互，支持至少一个 LI VPN业务模型。

3、如权利要求 1所述的方法，其特征在于，所述在运营商边缘设备 PE 上创建至少一个虚拟 PE包括：

所述 PE接收到创建所述至少一个 LI VPN业务模型的命令，创建所述 LI VPN业务模型对应的虚拟 PE。

4、如权利要求 2所述的方法，其特征在于，所述在 CE上创建至少一个虚拟 CE, 包括：

所述 CE接收到创建所述至少一个 LI VPN业务模型的命令，创建所述

LI VPN业务模型对应的虚拟 CE。

5、如权利要求 2所述的方法，其特征在于，所述至少一个 L1 VPN业务模型的虚拟 PE和虚拟 CE之间分别独立地进行信令和路由交互，支持各自的 LI VPN业务模型。

6、如权利要求 2所述的方法，其特征在于，所述至少一个 L1 VPN业务模型的虚拟 PE和虚拟 CE利用 PE业务模型实例和 CE业务模型实例统一进行信令和路由交互，支持所述 LI VPN业务模型。

7、如权利要求 1或 2所述的方法，其特征在于，还包括：

删除所述 LI VPN业务模型时，删除所述 LI VPN业务模型对应的 VPE 和 /或 VCE。

8、一种实现一层虚拟专用网的运营商边缘设备 PE装置，其特征在于，包括 VPN公共处理模块、至少一个虚拟 PE、存储器和中央处理器，

所述 VPN公共处理模块，用于实现 PE上至少一个 LI VPN业务模型的公共功能，创建或删除所述 LI VPN业务模型对应的虚拟 PE; 所述存储器中保存所述 LI VPN业务模型的成员信息；

9、如权利要求 8所述的运营商边缘设备 PE装置，其特征在于，所述虚拟 PE包括信令处理模块和路由处理模块，分别进行信令和路由交互，支持各自的 LI VPN业务模型。

10、如权利要求 8所述的运营商边缘设备 PE装置，其特征在于，所述虚拟 PE中，支持相同的 PE业务模型的虚拟 PE统一进行信令和路由交互，并维护所述 LI VPN业务模型的成员信息。

11、一种实现一层虚拟专用网 LI VPN的客户边缘设备 CE装置，其特征在于，包括 VPN公共处理模块、至少一个虚拟 CE、存储器和中央处理哭口.？

所述存储器保存所述 LI VPN业务模型的成员信息；

12、如权利要求 11所述的客户边缘设备 CE装置，其特征在于，所述每个虚拟 CE都包括信令处理模块和路由处理模块，各自独立进行信令和路由交互，支持各自的 LI VPN业务模型。

13、如权利要求 11所述的运营商边缘设备 PE装置，其特征在于，所述虚拟 CE中，支持相同的 CE业务模型的虚拟 CE统一进行信令和路由交互，并维护所述 LI VPN业务模型的成员信息。