WO2010135957A1

WO2010135957A1 - Vpn报文的转发方法及其路由标签的分配、删除方法

Info

Publication number: WO2010135957A1
Application number: PCT/CN2010/072812
Authority: WO
Inventors: 胡志锋
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-05-27
Filing date: 2010-05-14
Publication date: 2010-12-02
Also published as: CN101572669A

Abstract

本发明公开了一种在MPLS VPN网络中的VPN报文的转发方法及其路由标签的分配、删除方法，以虚拟私有网VPN为FEC进行标签分配：根据MP-BGP协议从标签池中为创建的虚拟私有网VPN内的所有路由分配同一个路由标签。在转发过程中，公网边缘设备PE根据VPN报文中的路由标签判断虚拟私有网VPN，并取出其中的目的IP地址，然后在对应的路由表中进行路由最优匹配转发。标签删除时首先删除所有VPN路由，再删除PE上的VPN配置，回收路由标签。本发明使用尽可能少的标签空间实现 MPLS VPN功能，更加充分利用标签资源，使得标签转发表空间较小的设备上也可以配置VPN。

Description

VPN 艮文的转发方法及其路由标签的分配、删除方法技术领域本发明涉及网络通讯，尤其涉及一种在 MPLS (Multi-Protocol Label Switching, 多协议标记交换协议 ) VPN 网络中的 VPN(Virtual Private Network, 虚拟私有网）报文的转发方法及其路由标签分配、删除方法。背景技术

VPN 是利用公用网络构建的私人专用网络，以其独具特色的优势赢得了越来越广泛的应用。用户使用 VPN 可以缩减费用，方便管理。运营商推广使用 VPN, 可以利用现有的基础设施提供增值服务，扩大运营业务量的同时也创造了新的商业机会。多协议标记交换协议 (Multi-Protocol Label Switching, MPLS)是一种将具有相同转发处理方式的分组归为一类（即转发等价类， Forwarding Equivalent Class, FEC)的分类转发技术。 MPLS最初是用来提高路由器的转发速度而提出的一个协议，但是由于 MPLS在流量工程和 VPN这两个在目前 IP网络中非常关键的技术中的优越表现，使得 MPLS 已日益成为扩大 IP 网络规模的重要标准。 MPLS 协议的关键是引入了标签 (Label)交换概念，在 MPLS网络中， IP包在进入第一个 MPLS设备时， MPLS边缘路由器分析 IP 包的内容并为这些 IP包选择合适的标签。以后就是依据这个标签作为转发依据在 MPLS网络中传输这些 IP包，当 IP包离开 MPLS网络时标签被边缘路由器分离。在 MPLS网络中将网络设备分为边缘网络设备和核心网络设备，边缘网络设备提供流量分类和标签映射，标签移除的功能。核心网络设备提供标签交换和标签分发功能。

MPLS作为一种高效的 IP骨千网技术平台，为实现 VPN提供了一种灵活的并且具有可扩展性的技术基础。 MPLS VPN网络由三种网络设备组成： (1) CE(Custom Edge),用户网络中的边缘设备，直接与服务提供商相连；

(2) PE(Provider Edge) , 骨千网中的边缘设备，直接与用户的 CE相连；

(3) Ρ路由器 (Provider Router), 骨千网中不与 CE直接相连的设备。如图 1所示是一个典型的 MPLS VPN组网的网络架构模型图， MPLS VPN网络由运营商的骨千网与用户的各个站点（ site )组成， VPN就是对 site 集合的划分，一个 VPN对应由若千 site组成的集合。 MPLS VPN网络构造由服务提供商来完成，在这种网络构造中，由服务提供商向用户提供 VPN 服务，用户感觉不到公网的存在，就好像拥有独立的网络资源一样。所有的 VPN的构建，连接和管理工作都是在 PE上进行的。从 PE的角度来看，用户的一个连通的 IP系统被视为一个 site,每一个 site通过 CE与 PE相连， site 就构成了 VPN的基本单元。一个 VPN由多个 site组成，一个 site也可以同时属于不同的 VPN。任何两个没有共同的 site的 VPN 可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他 VPN 或公网的地址空间冲突，这就需要依赖于 VPN路由转发实例 (VPN Routing & Forwarding Instance, VRF)。图 2是在骨千网边缘路由器 PE中 VPN路由转发实例 VRF与各个 VPN 之间的关系图，图中骨千网边缘路由器 PE管理 VPN1、 VPN2和 VPN3 , 其中 VPN1包括两个 CE; PE中包括一张路由表，路由表中包括公网路由表和私网路由表，在私网路由表中 4十对每一个 VPN都有一个独立的 VRF。 VRF 只存在于 PE上，在 PE上 4十对每一个 site都创建一个与之对应的 VRF, 每个 VRF都包括一张路由表，一张转发表，一组使用这个 VRF的接口集合以及一组与之相关的策略。 VRF 可以被看作是一个虚拟的路由器。有关 MPLS VPN的详细描述见 RFC 2547。由于各个不同的 VPN都有独立的地址空间，那么在 MPLS VPN网络中 PE处理接收到数据报文时，如何区分该报文属于哪个 VPN呢？这就需要利用 MPLS支持多层标签嵌套的功能，也就是为 VPN内的路由通过 MP-BGP (多协议扩展 BGP ( Border Gateway Protocol, 边界网关协议 ) ) 来分配一个内层标签，这个标签与 VPN 路由一同发布出去。这样当有私网数据需要通过公网转发时会封装 2层标签，外层标签用于在公网进行数据转发，内层标签就用于指示往哪个 VPN转发。当该数据报文到达末端 PE时弹出外层标签，取出内层标签，由于这个内层标签是和 VPN 路由绑定的，那么就可以直接找到对应的下一跳出接口，然后直接将这个 VPN数据报文转发出去。图 3是一个最基本的 MPLS 网络组网示意图， VPN数据 4艮文在 MPLS VPN网络中转发包括：第一， CE1向 CE2发送数据报文，在 PE1上的处理： 1、根据报文入接口的 VRF属性获得 VPN的 ID号；

2、使用 VPN ID号和目的 IP地址查找 VRF表，得到出接口、内层出标签（即 VPN1标签）和外层出标签（即 P分配给 PE1的标签）；

3、将内外两层标签封装到 4艮文中；

4、将报文从出接口中转发出去。 £设此时查到的内层标签和外层标签分别是 17, 23 , 那么封装后 4艮文结构如下：

IP packet ( IP包） 17 23 第二， CE1向 CE2发送数据报文，在 P上的处理： 1、判断该数据包是一个标签包；

2、取出第一层 MPLS转发标签（本例中是 23 );

3、才艮据此标签查找标签转发表，得到出接口及下一跳及出标签；

4、如果出标签不是 3 , 那么说明下一跳不是 LSP的末节点，那么就需要去除该数据报文的外层标签，再封装新的外层标签；如果出标签是 3标签，那么说明下一跳是 LSP中的末节点，那么根据次末跳弹出规则需要将该报文的外层标签去除后直接转发，在本例中属于第二种情况，于是去除 23 这个外层标签，从出接口转发出去。转发的 4艮文结构如下所示:

IP packet ( IP包） 17 第三， CE1向 CE2发送数据报文，在 PE2上的处理：

1、判断该数据包是一个标签包；

2、取出第一层 MPLS转发标签（本例中是 17 );

4、对于 VPN数据 4艮文中的标签对应的出接口就是 VPN的出接口，并且出标签是空的，那么此时就会剥离报文中的出标签，将报文从出接口转发出去。在本例中就是将 17标签剥离后将报文转发给 CE2。转发的 4艮文结构如下所示：

IP packet ( IP包）标签分配是 MPLS网络中路由器设备的一个核心部分，尤其是对于 PE 设备，既要通过 LDP协议 ( Label Distribution Protocol 标签分发协议）为公网路由分配标签，还需要通过 MP-BGP协议为私网路由分配标签，当然还要包括其他静态分配的标签。而标签资源是有限的，尤其是在转发层面标签转发表空间也是有限的，不同的设备能够使用的标签转发表空间也不同，有的设备可以支持很大，有的设备能够支持的很小。为了能在标签转发表空间较小的 PE设备上支持 MPLS VPN功能，就有必要对标签分配进行优化，本发明提出了一种对 VPN 路由标签分配优化的方法，从而使得标签转发表空间较小的设备上能够正常运行 MPLS VPN功能。发明内容本发明的目的在于提供一种在 MPLS VPN网络中的 VPN报文的转发方法及其路由标签的分配、删除方法，使用尽可能少的标签空间实现 MPLS VPN 功能，从而可以更加充分效地利用标签资源，使得标签转发表空间较小的设备上也可以配置 VPN, 组建 MPLS VPN网络。本发明公开了一种 VPN报文的路由标签分配方法，包括：创建一个虚拟私有网 VPN; 才艮据 MP-BGP协议从标签池中分配一个路由标签给所述虚拟私有网 VPN; 为所述虚拟私有网 VPN内的所有路由啫分配这同一个路由标签。本发明公开的这种路由标签分配方法，还包括如下从属技术特征：才艮据 MP-BGP 协议从标签池中分配一个路由标签给所述虚拟私有网 VPN , 包括：当公网边缘设备 PE为私网边缘设备 CE创建有效的 VPN路由转发实例 VRF时，从标签池中分配一个路由标签给所述 VPN路由转发实例 VRF; 为所述 VPN内的所有路由都分配这同一个路由标签，包括：将所述私网边缘设备 CE分别与所述公网边缘设备 PE建立 EBGP邻居，再从所述私网边缘设备 CE分别向所述公网边缘设备 PE灌入 VPN路由，将分配给所述 VPN路由转发实例 VRF的路由标签分配给灌入的所述 VPN路由。将灌入的所述 VPN路由加入到 VRF标签反查双向链中，将所述路由标签写入驱动标签转发表，为所述路由标签打上二次路由查找标记。本发明还公开了一种 VPN报文的路由标签删除方法，包括：首先删除公网边缘设备 PE上对应于所述虚拟私有网 VPN的所有 VPN路由，再删除所述公网边缘设备 PE上的 VPN配置，随之将分配给该 VPN的路由标签回收。删除公网边缘设备 PE上对应所述虚拟私有网 VPN的所有 VPN路由包括：先删除对应于所述虚拟私有网 VPN转发实例 VRF中的所有路由，再删除该 VPN转发实例 VRF的配置。删除公网边缘设备 PE上对应所述虚拟私有网 VPN的所有 VPN路由包括：先删除一条 VPN路由，再将所述 VPN路由从 VRF标签反查双向链中摘除，再判断所述路由标签对应的标签反查双向链是否为空，若是则将所述路由标签从驱动标签转发表中删除。本发明还公开了一种 VPN 4艮文的转发方法，包括：步骤 1 , 所述 VPN报文通过公网进入公网边缘设备 PE , 所述公网边缘设备 PE取出路由标签，查找标签转发表；步骤 2 ,所述公网边缘设备 PE根据所述 VPN报文中的路由标签判断发出所述 VPN 4艮文的虚拟私有网 VPN, 并取出所述 VPN 4艮文中的目的 IP地址，然后在所述虚拟私有网 VPN对应的路由表中进行路由最优匹配转发；步骤 3 , 当所述 VPN报文离开所述 MPLS VPN网络时，边缘路由器分离所述路由标签。在所述步骤 2中：收到所述 VPN报文的所述公网边缘设备 PE先判断所述路由标签中是否有二次查找标记，如果有二次查找标记，则根据所述路由标签获取所述虚拟私有网 VPN的 ID号，再才艮据所述 VPN 4艮文中的目的地址进行路由匹配查找转发；如果没有二次路由查找标记，则根据所述路由标签直接查找到出接口进行报文转发。在所述步骤 1 中进一步包括：所述第一个公网边缘设备 PE才艮据所述 VPN 4艮文入接口的 VRF属性获得所述虚拟私有网 VPN的 ID号；使用所述虚拟私有网 VPN的 ID号和目的 IP地址查找 VRF表，得到出接口和所述路由标签，并作为内层出标签和外层出标签封装到所述 VPN报文中；并将所述 VPN报文从出接口中转发出去。在所述步骤 2中，收到所述 VPN 4艮文的路由器先取出所述外层出标签，才艮据此外层出标签查找标签转发表，得到出接口及下一跳及出标签；如果下一跳不是 LSP的末节点，则去除所述 VPN报文的外层标签，再为所述 VPN 艮文封装新的外层标签以后从出接口转发出去。本发明公开的一种在 MPLS VPN网络中的 VPN 4艮文的转发方法及其路由标签的分配、删除方法，通过在 MPLS网络中的边缘路由器 PE上对 VPN 路由釆用以 VPN为 FEC进行标签分配的方式，可以使用尽可能少的标签空间实现 MPLS VPN功能，使得标签资源得以充分地利用，尤其对于那些硬件资源有限，标签转发表空间较小的路由器或交换机设备更为适用，使得原先由于资源限制而不能实现 MPLS VPN功能的设备启用 MPLS VPN功能，可以大量地节约资源，使得有限的资源得到充分地利用。附图说明图 1是一个典型的 MPLS VPN网络的架构模型图；图 2是在骨千网边缘路由器中 VPN路由转发实例与各个 VPN之间的关系图；图 3是一个最基本的 MPLS网络组网示意图；图 4是釆用本发明中所描述的每 VPN每标签方式时标签分配管理的流程图；图 5是釆用本发明中所描述的每 VPN每标签方式时标签回收管理的流程图；图 6是本发明的为每条路由分配标签的流程图；图 7是釆用本发明中所描述的每 VPN每标签方式后每删除一条路由时为该路由条目进行标签回收管理的流程图。具体实施方式下面结合附图和具体实施方式对本发明故进一步详细说明。如图 3所示，是一个最基本的 MPLS 网络的实例，硬件部分由五台路由器组成，其中 2台作为私有网络客户端 CE, 二台作为边缘路由器 PE, — 台作为 P路由器，组网在 PE设备上釆用静态配置的方式，使用本发明实施例提供的方案进行 VPN路由标签分配，然后两端 CE互发 VPN数据报文，流量能够互通。软件部分的处理步 4聚如下：第 1步：在 PE1和 PE2之间开启 MPLS ,建立 MPLS标签交换通道 LSP。并建立 BGP邻居。第 2步：在 2台 PE路由器上，分别为 CE创建 VRF, 此时会从标签池中分配一个标签给该 VRF„ 标签分配流程如图 4所示：首先，创建 VRF, 再判断是否釆用本发明实施例的每 VPN 每标签方式，否则结束标签分配流程，是则继续判断标签池中是否有空闲标签，有则从标签池中分配一个标签给 VRF, 无则撤销该 VRF的配置，并给出告警 VRF失败，结束。第 3步：将 CE1、 CE2分别与 PE1和 PE2建立 EBGP邻居，并从 CE1、 CE2分别向 PE1和 PE2灌入 VPN路由。此时会为每一条 VPN路由进行标签分配，分配流程如图 6所示，包括：添加一条 VPN路由，判断是否釆用本发明实施例的为每个 VPN分配一个标签的方法，否则走普通标签分配流程，结束本次流程；是则继续判断针对当前的 VPN ID对应的 VRF是否已经分配了标签，是则进入下一步；否则说明标签分配异常，重新为该 VRF分配标签，如果标签分配不成功丢弃该路由，结束本次流程；是则进入下一步。将分配给 VRF的标签分配给添加的 VPN路由，再将添加的 VPN路由加入到 VRF标签反查双向链中，再判断当前分配给该路由的标签是否还没有写驱动，是则为该标签打上二次路由查找标记，并将该标签写入驱动标签转发表，结束；否则直接结束。第 4步：在 PE1和 PE2上可以看到为 CE1和 CE2灌入的 VPN路由都分配了一个相同的标签。第 5步： CE1和 CE2相互发包，流量可以互通。而此时 2台 PE设备中 VPN路由占用的标签转发表空间只有 1个。

CE1向 CE2发送数据报文的流程包括：第一，在 PE1上的处理：

1、根据报文入接口的 VRF属性获得 VPN的 ID号；

2、使用 VPN ID号和目的 IP地址查找 VRF表，得到出接口、内层出标签（即 VPN标签）和外层出标签（即 P分配给 PE1的标签）；

3、将内外两层标签封装到 4艮文中；

IP packet ( IP包） 17 23 第二，在 P上的处理:

1、首先，判断该数据包是一个标签包；

2、取出第一层 MPLS转发标签（本例中是 23 );

4、如果出标签不是 3 , 说明下一跳不是 LSP的末节点，需要去除该数据报文的外层标签，再封装新的外层标签；如果出标签是 3标签，那么说明下一跳是 LSP中的末节点，根据次末跳弹出规则需要将该报文的外层标签去除后直接转发，在本例中属于第二种情况，于是去除 23 这个外层标签，从出接口转发出去。转发的报文结构如下所示： IP packet( IP包） 17 第三，在 PE2上的处理:

1、判断该数据包是一个标签包；

2、取出第一层 MPLS转发标签（本例中是 17 );

3、由于釆用了本发明的标签分配技术，这里不能简单根据标签确定出接口，而是需要先判断是否有二次查找标记，如果有二次查找标记，那就需要根据该标签获取 VPN ID号，再根据报文中的目的 IP地址进行路由匹配查找转发，如果没有二次路由查找标记，那就可以根据标签直接查找到出接口进行报文转发；

4、根据查找到的出接口，将报文从出接口转发出去。在本例中就是将 17标签剥离后将 4艮文转发给 CE2。转发的 4艮文结构如下所示：

I IP packet ( IP包） | 第 6步：在 PE1和 PE2上删除若千条 VPN路由。在删除过程保持其他路由上的报文发送。此时可以发现没有丢包现象，说明 VPN 路由没有删除完时对应的标签转发表始终保持正常。路由删除时标签删除的流程如图 7所示，包括：开始后，删除一条 VPN路由，判断当前删除的 VPN路由的标签是否是按照本发明实施例的每个 VPN —个标签的方法分配的，否则走普通标签的删除流程；是则将分配待删除的 VPN路由从 VRF标签反查双向链中摘除，再判断当前该标签对应的标签反查双向链是否为空，否则结束，是则将该标签从驱动标签转发表中删除后结束。第 7步：在 PE1上删除所有 VPN路由，再查看标签转发表，可以看到该 VPN对应的标签已经从标签转发表中删除了。再删除 PE 1上的 VPN配置，并查看标签池，可以看到原先分配给该 VPN的标签被回收到标签池中。 VPN 标签回收流程如图 5所示，包括：开始后，先删除某个 VRF, 再删除该 VRF内的所有路由，然后判断当前是否釆用本发明实施例的每个 VPN 配置一个标签的方法，否则结束，是则进一步判断该 VRF是否被分配了标签，否则结束，是则删除分配给 VRF 的标签后结束。第 8步：在 PE2上先不删除 VPN内的路由，而是直接删除 VPN的配置，此时会发现在删除 VPN的配置时， VPN内的路由条目都是先被删除（此时标签删除流程如图 7所示；)，之后才 ^！夺 VPN的配置删除，同时分配给该 VPN 的标签从标签转发表中被删除。最后查看标签池也同样看到分配给该 VPN 的标签被回收（此时标签回收流程如图 5所示；)。从以上这些实施步骤可以证明本发明实施例是有效并且可行的。本发明实施例提供了在 MPLS网络中的边缘路由器 PE上为了更有效地利用有限的标签资源而使用的为 VPN 路由分配标签的方法，以及由此产生的相关的 VPN报文的转发方法及其路由标签的回收方法。如前所述在 MPLS VPN网络中 PE设备收到 VPN数据 4艮文时取出内层标签，这个内层标签是与 VPN 路由相绑定的，通过该标签可以确定出接口并进行转发。而一个 VPN 内可能存在大量路由，如果对每条路由都分配一个标签的话，这个标签占用量是非常巨大的。考虑到内层标签与 VPN 路由相绑定，通过内层标签可以确定出接口，当然也就能确定 VPN, 那么就可以让一个 VPN 内的所有路由共用一个标签，在数据 4艮文转发时内层标签不再用来确定出接口而是用来确定 VPN, 当 VPN确定后就可以取出 4艮文中的目的 IP地址，然后在该 VPN对应的路由表中进行路由最优匹配转发。这样做虽然由于需要二次路由查找转发而对转发效率有一定的影响，但是这种影响并不会降低网络性能，在实际实施中是可以接受的。这种 VPN 路由标签分配方式其实就是将 VPN 看成是一个 FEC ( Forwarding Equivalence Class, 转发等价类），所谓转发等价类就是在转发过程中以等价的方式处理的一组数据的分组，标签分配的原则就是对一个转发等价类分配相同的标签。将 VPN看作一个 FEC后就可以为每个 VPN分配一个标签，该 VPN内的所有路由条目都共用这个标签。之所以可以将 VPN 看作是一个转发等价类是因为对于同一 VPN 内的数据报文都可以通过标签确定 VPN, 然后通过 4艮文中的目的 IP地址进行路由匹配转发的方式处理，这样一来它们的处理方式是相同的，完全可以作为一个 FEC, 为这种 FEC分配的标签的作用也就仅仅是区分不同的 VPN, 并不能根据这个标签直接进行标签交换转发数据 4艮文，只能通过二次路由匹配查找转发。要实现这种按 VPN进行标签分配的功能需要考虑并解决以下几个问题：

1. 原先按照通常意义上的标签分配是按照路由条目作为 FEC进行分配的，每增加一个路由都会分配一个标签，那么现在同一个 VPN 内的所有路由共用一个标签，这样，就会存在这个标签何时分配给这个 VPN, 然后又如何分配给该 VPN 内的路由条目，又在什么时候被释放的问题，本发明实施例提供的方法是在创建一个 VPN后，根据 MP-BGP协议从标签池中分配一个标签给这个 VPN, 之后只要有属于该 VPN的路由就分配这个标签，对于从其他 VPN多导入到该 VPN内的路由就不再分配这个标签，因为这种多导入过来的路由只是被该 VPN接受，但是它实际是属于其他 VPN的，所以该路由标签已经在其他 VPN 内分配，在这里就不能再重复分配了。关于标签删除，则需要在该 VPN内路由都清除，并清除了该 VPN的配置时进行删除，因为此时该 VPN不再生效，分配给该 VPN的标签自然可以释放。

2. 虽然一个 VPN内的所有路由都共用一个标签，但是标签始终是要和路由相绑定的，这样就会出现一个标签对应大量的路由，这时，就会存在对这种标签的管理问题，本发明实施例提供的方案是釆用一个标签反查双向链解决这种管理问题的，也就是将标签对应的所有路由条目用双向链表链接在一起进行管理。由于以 VPN为 FEC分配的标签不再具有转发作用仅仅用于标识 VPN , 所以该标签一旦被 VPN路由使用时只能往转发层面的标签转发表写一次，不能每增加一条路由都往标签转发表中写，这样会带来很多不必要的操作，当有 VPN 路由删除时可以直接从这个标签对应的路由条目双向链表中直接摘除。当该双向链表中没有路由条目时就表明该标签已没有路由使用，此时就可以将该标签从转发层面的标签转发表中删除。通过这样一种方式就可以艮方便地对这种以 VPN为 FEC分配的标签进行有效地管理。

3. 由于现在一个 VPN内的所有路由共用一个标签，此时这个标签不能直接用于标签交换转发，而需要进行二次路由查找转发，但是对于公网路由标签是需要进行 MPLS标签交换转发的，而公网使用的标签与 VPN使用的标签在一个标签转发表中，这样，在转发时，就会存在如何确定该标签是需要二次路由查找转发还是直接进行标签交换转发的问题，本发明实施例提供的方案是通过控制层面和转发层面相互配合来实现的，因为以 VPN为 FEC 分配的标签仅仅用于标识 VPN 不再具有转发作用，当收到打上这种标签的报文不能直接从标签转发表中获取出接口转发，而是只能从标签转发表中获取 VPN ID, 然后取出该 4艮文的目的地 IP, 到 VPN ID对应的路由转发表中进行路由最优匹配查找转发。要做到这一步就需要在将标签写入标签转发表中时带入一个标志属性，用于区分该标签是以 VPN为 FEC分配的标签还是以其他方式分配的标签，在转发层面进行标签交换数据转发流程中每次在标签转发表中找到对应标签时首先获取该标签的属性字段判断该标签是否需要进行二次路由查找转发，如果是则不再继续进行标签交换转发流程而是取出该标签对应的 VPN ID, 然后进行二次路由查找转发，通过这种方式就使得以 VPN为 FEC分配标签方式真正可行。

Claims

权利要求书一种虚拟私有网 VPN报文的路由标签分配方法，其特征在于，包括：创建一个虚拟私有网 VPN;

才艮据 MP-BGP 协议从标签池中分配一个路由标签给所述虚拟私有网 VPN;

为所述虚拟私有网 VPN内的所有路由都分配所述路由标签。如权 1所述的路由标签分配方法，其特征在于，才艮据 MP-BGP协议从标签池中分配一个路由标签给所述虚拟私有网 VPN, 包括：

当公网边缘设备 PE为私网边缘设备 CE创建有效的 VPN路由转发实例 VRF时，从标签池中分配一个路由标签给所述 VPN路由转发实例 VRF;

为所述 VPN内的所有路由都分配所述路由标签，包括：将所述私网边缘设备 CE分别与所述公网边缘设备 PE建立 EBGP 邻居，再从所述私网边缘设备 CE分别向所述公网边缘设备 PE灌入 VPN路由，将分配给所述 VPN路由转发实例 VRF的路由标签分配给灌入的所述 VPN路由。如权 2所述的路由标签分配方法，其特征在于，还包括：

将灌入的所述 VPN路由加入到 VRF标签反查双向链中，将所述路由标签写入驱动标签转发表，为所述路由标签打上二次路由查找标记。一种 VPN报文的路由标签删除方法，其特征在于，包括：

删除公网边缘设备 PE 上对应于所述虚拟私有网 VPN 的所有 VPN路由；

删除所述公网边缘设备 PE上的 VPN配置；

将分配给该 VPN的路由标签回收。如权 4所述的路由标签删除方法，其特征在于，删除公网边缘设备 PE 上对应所述虚拟私有网 VPN的所有 VPN路由包括：删除对应于所述虚拟私有网 VPN转发实例 VRF中的所有路由；删除该 VPN转发实例 VRF的配置。

6. 如权 5所述的路由标签删除方法，其特征在于，删除公网边缘设备 PE 上对应于所述虚拟私有网 VPN的所有 VPN路由包括：

删除一条 VPN路由；

将所述 VPN路由从 VRF标签反查双向链中摘除；判断所述路由标签对应的标签反查双向链是否为空，若是则将所述路由标签从所述驱动标签转发表中删除。

7. —种 VPN 4艮文的转发方法，其特征在于，包括：

步骤 1 , 所述 VPN报文通过公网进入公网边缘设备 PE, 所述公网边缘设备 PE取出路由标签，查找标签转发表；

步骤 2, 所述公网边缘设备 PE根据所述 VPN报文中的路由标签判断发出所述 VPN 4艮文的虚拟私有网 VPN, 并取出所述 VPN 4艮文中的目的 IP地址，然后在所述虚拟私有网 VPN对应的路由表中进行路由最优匹配转发；

步骤 3 , 当所述 VPN报文离开所述 MPLS VPN网络时，所述边缘路由器分离所述路由标签。

8. 如权 7所述的方法，其特征在于，在所述步骤 2中：收到所述 VPN报文的所述公网边缘设备 PE 先判断所述路由标签中是否有二次查找标 ΐ己，如果有二次查找标 ΐ己，则才艮据所述路由标签获取所述虚拟私有网

VPN的 ID号，再根据所述 VPN报文中的目的地址进行路由匹配查找转发；如果没有二次路由查找标记，则才艮据所述路由标签直接查找到出接口进行报文转发。

9. 如权 8所述的方法，其特征在于，在所述步骤 1 中进一步包括：所述第一个公网边缘设备 PE根据所述 VPN报文入接口的 VRF属性获得所述虚拟私有网 VPN的 ID号；使用所述虚拟私有网 VPN的 ID号和目的 IP地址查找 VRF表，得到出接口和所述路由标签，并作为内层出标签和外层出标签封装到所述 VPN报文中；并将所述 VPN报文从出接口中转发出去。如权 9所述的方法，其特征在于，在所述步骤 2中，收到所述 VPN报文的路由器先取出所述外层出标签，根据此外层出标签查找标签转发表，得到出接口及下一跳及出标签；如果下一跳不是 LSP的末节点，则去除所述 VPN 4艮文的外层标签，再为所述 VPN 4艮文封装新的外层标签以后从出接口转发出去。