WO2011054263A1 - 一种三层虚拟专用网（vpn）的接入方法和接入系统 - Google Patents

Description

一种三层虚拟专用网 （VPN) 的接入方法和接入系统 技术领域

本发明涉及网络通信中的虚拟专用网 （VPN )接入技术， 尤其涉及一 种三层 VPN的接入方法和系统。 背景技术

虚拟专用网 （VPN, Virtual Private Network )技术已经在数据通信领域 广泛使用， 运营商通过 VPN技术为大型企业、 中小型企业、 政府、 教育行 业等提供专网业务。

当前普遍釆用的 VPN技术主要有两种， 分别是二层 VPN技术和三层 VPN技术， 二层 VPN技术为用户提供二层的连接， 三层 VPN技术则提供 三层的连接。 二层 VPN技术的安全性较高， 且对运营商来说管理复杂度较 低， 但对于用户对自身虚拟网络的维护能力的要求也较高， 其适用于有足 够能力自己维护 VPN内网络路由的专用客户， 如金融和公安等。 三层 VPN 技术适用于没有能力管理自己 VPN内网络的中小型企业， 运营商为客户维 护虚拟主干网络， 将客户的工作量减到最小， 将客户的设备降低到最简单， 同时出于安全考虑， 还可以为客户提供 Internet协议安全性（IP Sec )夕卜包 服务。 因此， 三层 VPN技术的应用已经越来越普遍， 不仅广泛应用于教育、 交通、 卫生、 能源等行业， 金融、 政府、 电信的行业的非核心业务也逐渐 釆用三层 VPN技术部署网络。

目前的三层 VPN技术主要应用在汇聚层或核心层， 而随着网络规模的 快速增长和网络安全威胁的日益严重， 接入网络的可扩展性和安全性显得 越发重要， 传统的二层网络已经不能满足需求； 如何解决接入网络的可扩 展性、 安全性及与汇聚网络的互通性， 已经成为接入网络规划时要重点考 虑的问题。 另外， 接入网络在各个历史时期所釆用的接入线路的介质类型 也多种多样， 如何釆用不同介质类型的接入线路组成 VPN也是一个需要重 点考虑的问题。

现有的解决方案是在接入网络中部署二层 VPN业务， 将二层 VPN业 务和三层 VPN业务通过一台或两台运营商边缘（ PE , Provider Edge )设备 衔接。

如图 1所示， 为通过两台 PE设备衔接的方式， 即一台 PE设备终结二 层 VPN, 另一台 PE设备发起三层 VPN。 这种方式需要的 PE设备数量多， 且两台 PE设备之间线路的介质类型仍然需要与二层 VPN的接入侧线路相 同， 这就要求三层 VPN边缘的 PE设备支持多种链路类型的接口， 整体方 案所需成本较大。

通过一台 PE设备衔接的方式，即同一台 PE设备终结二层 VPN并发起 三层 VPN。 这种方式又可以细分为两种， 第一种是 PE设备物理环回方式， 如图 2所示， 该 PE设备需要四个物理端口， 第一个端口接收并终结二层 VPN的报文， 第二个端口将还原出来的二层报文发送出来， 第三个端口接 收该报文并去除该报文的二层信息， 将三层信息封装进该报文并送入三层 VPN, 第四个端口将该重新封装后的报文向三层 VPN内部传送。 这种方式 类似两台 PE设备的情况， 虽然节省了一台 PE设备， 但并没有节约物理端 口数量， 而且仍然需要支持各种介质类型的物理端口。

第二种是 PE设备内部环回方式， 如图 3所示， 该 PE设备需要支持两 个物理端口和两个逻辑端口， 一个物理端口接收并终结二层 VPN的 4艮文， 并通过一个二层逻辑端口 （类似第一种方式的第二个端口）将还原出的二 层报文发送给一个三层逻辑端口 （类似第一种方式的第三个端口）， 该三层 逻辑端口接收该二层报文并去除该报文的二层信息， 将三层信息封装进该 文并送入三层 VPN, 另一个物理端口 （类似第一种方式的第四个端口） 将该重新封装后的报文向三层 VPN内部传送。 第二种方式既节约了 PE设 备的数量， 也节省了物理端口的数量， 但存在的问题是： 对两个逻辑端口 的要求很高， 二层逻辑端口需要支持二层报文的还原； 三层逻辑端口需要 支持对该报文二层信息的解封装， 即设备内部仍然需要支持对各种介质物 理网络对应的二层报文的解封装， 对 PE设备的处理能力要求仍然较高。

因此， 现有技术在实现接入网络连接到汇聚 /核心网络的三层 VPN时， 仍然存在接入网络的可扩展性较低， PE设备的复杂度较高等问题。 发明内容

有鉴于此， 本发明的主要目的在于提供一种三层 VPN的接入方法和系 统， 以提高接入网络的可扩展性， 降低 PE设备的复杂度。

为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种三层 VPN的接入方法，接入网络通过 IP伪线接入三 层 VPN, 该方法包括：

在衔接所述三层 VPN和接入网络的运营商边缘（ PE )设备上， 建立 IP 伪线与虚拟路由转发表（VRF ) 的映射关系， 并根据所述映射关系进行报 文转发。

所述根据映射关系进行 IP伪线与三层 VPN之间的报文转发， 具体为： 所述 PE设备从 IP伪线上接收到 IP报文时， 在所述映射关系中查找与 所述 IP伪线对应的 VRF, 并根据所述 IP报文的目的 IP地址， 将所述 IP报 文在三层 VPN中按照查找的 VRF进行转发；

所述 PE设备从三层 VPN接收到 IP报文时， 根据 IP报文的目的 IP地 址， 将所述 IP 转发到目的 IP地址对应的 IP伪线上。

该方法进一步包括：

在从 IP伪线上接收到 IP报文时， 对所述 IP报文进行解封装并去除伪 线信息； 在将解封装的 IP报文转发到三层 VPN之前， 对所述 IP报文进行 三层信息的封装；

在从三层 VPN接收到 IP报文时， 对所述 IP报文进行解封装并去除三 层信息； 在将解封装的 IP报文转发到 IP伪线之前， 对所述 IP报文进行伪 线信息的封装。

该方法进一步包括： 在 IP报文从三层 VPN转发到 IP伪线时所用到的 目的 IP地址与 IP伪线的对应关系， 通过动态学习或静态配置的方式建立。

所述衔接三层 VPN和接入网络的 PE设备， 为一台 PE设备、 或两台 PE设备； 当为两台 PE设备时， 所述两台 PE设备之间通过逻辑二层通道互 连， 且所述建立 IP伪线与 VRF的映射关系， 具体为：

在与接入网络直连的 PE设备一上建立 IP伪线与逻辑二层通道的映射 关系，在与三层 VPN直连的 PE设备二上建立逻辑二层通道与 VRF的映射 关系。

当衔接三层 VPN和接入网络的 PE设备为两台 PE设备时， IP报文从 IP伪线转发到三层 VPN具体为：

所述 PE设备一从 IP伪线上接收到 IP报文时，根据 IP伪线与逻辑二层 通道的映射关系， 将所述 IP报文通过逻辑二层通道转发到所述 PE设备二； 所述 PE设备二根据逻辑二层通道与 VRF的映射关系、 以及所述 IP报 文的目的 IP地址， 将所述 IP报文在三层 VPN中按照与所述逻辑二层通道 对应的 VRF进行转发。

当衔接三层 VPN和接入网络的 PE设备为两台 PE设备时， IP报文从 三层 VPN转发到 IP伪线具体为：

所述 PE设备二从三层 VPN接收到 IP 文时， 对所述 IP ^艮文进行解 封装并去除三层信息， 再封装逻辑二层信息， 将封装逻辑二层信息后的 IP 报文通过逻辑二层通道发送给所述 PE设备一；

所述 PE设备一对接收的 IP报文进行解封装并去除逻辑二层信息， 再 封装伪线信息，并根据所述 IP报文的目的 IP地址，将封装伪线信息后的 IP "^艮文转发到目的 IP地址对应的 IP伪线上。

本发明还提供了一种三层 VPN的接入系统， 该系统包括： 接入网络、 三层 VPN网络、 以及衔接所述三层 VPN和接入网络的 PE设备， 其中， 所述接入网络通过 IP伪线与所述 PE设备相连，用于通过所述 IP伪线， 以及 PE设备与所述三层 VPN进行 IP报文交互；

所述三层 VPN, 用于通过所述 PE设备， 以及 IP伪线与所述接入网络 进行 IP 艮文交互；

所述 PE设备， 用于建立 IP伪线与 VRF的映射关系， 并根据所述映射 关系进行报文转发。

所述 PE设备进一步用于， 从 IP伪线上接收到 IP报文时， 在所述映射 关系中查找与所述 IP伪线对应的 VRF,并才艮据所述 IP ^艮文的目的 IP地址， 将所述 IP报文在三层 VPN中按照查找的 VRF进行转发；从三层 VPN接收 到 IP报文时， 根据 IP报文的目的 IP地址， 将所述 IP报文转发到目的 IP 地址对应的 IP伪线上。

所述 PE设备进一步用于， 在从 IP伪线上接收到 IP报文时， 对所述 IP 报文进行解封装并去除伪线信息； 在将解封装的 IP报文转发到三层 VPN 之前， 对所述 IP报文进行三层信息的封装；

在从三层 VPN接收到 IP报文时， 对所述 IP报文进行解封装并去除三 层信息； 在将解封装的 IP报文转发到 IP伪线之前， 对所述 IP报文进行伪 线信息的封装。

所述 PE设备进一步用于，通过动态学习或静态配置的方式，建立在 IP 才艮文从三层 VPN转发到 IP伪线时所用到的目的 IP地址与 IP伪线的对应关 系。

所述衔接三层 VPN和接入网络的 PE设备， 由与接入网络直连的 PE 设备一， 以及与三层 VPN直连的 PE设备二组成， 所述 PE设备一与 PE设 备二通过逻辑二层通道互连； 所述 PE设备一上建立 IP伪线与逻辑二层通 道的映射关系， 所述 PE设备二上建立逻辑二层通道与 VRF的映射关系。

所述 PE设备一进一步用于， 从 IP伪线上接收到 IP报文时， 根据 IP 伪线与逻辑二层通道的映射关系， 将所述 IP报文通过逻辑二层通道转发到 所述 PE设备二；

相应的， 所述 PE设备二进一步用于， 根据逻辑二层通道与 VRF的映 射关系、 以及所述 IP报文的目的 IP地址， 将所述 IP报文在三层 VPN中按 照与所述逻辑二层通道对应的 VRF进行转发。

所述 PE设备二进一步用于，从三层 VPN接收到 IP报文时， 对所述 IP 报文进行解封装并去除三层信息， 再封装逻辑二层信息， 将封装逻辑二层 信息后的 IP报文通过逻辑二层通道发送给所述 PE设备一；

相应的， 所述 PE设备一进一步用于， 对接收的 IP报文进行解封装并 去除逻辑二层信息， 再封装伪线信息， 并根据所述 IP报文的目的 IP地址， 将封装伪线信息后的 IP报文转发到目的 IP地址对应的 IP伪线上。

本发明所提供的一种三层 VPN的接入方法和系统，通过 IP伪线方式接 入三层 VPN,并在衔接三层 VPN和接入网络的 PE设备上实现 IP伪线与虚 拟路由转发表（VRF ) 的映射， 使得各种类型的接入链路通过统一的接入 网络接入到三层 VPN, 在提高接入网络可扩展性和安全性的同时， 还能降 低建网成本和三层 VPN中用于衔接接入网络和三层 VPN的 PE设备的复杂 度， 简化了 PE设备的报文处理流程， 提高了处理效率。 附图说明

图 1为现有技术中通过两台 PE设备衔接二层 VPN与三层 VPN的拓朴 示意图；

图 2为现有技术中通过一台 PE设备物理环回方式衔接二层 VPN与三 层 VPN的拓朴示意图；

图 3为现有技术中通过一台 PE设备内部环回方式衔接二层 VPN与三 层 VPN的拓朴示意图；

图 4为本发明中实现三层 VPN接入的网络拓朴示意图；

图 5为本发明中通过两台 PE设备衔接 IP伪线和三层 VPN的网络拓朴 示意图；

图 6为本发明实施例一的网络拓朴示意图；

图 7为本发明实施例二的网络拓朴示意图；

图 8为本发明实施例三的网络拓朴示意图；

图 9为本发明实施例四的网络拓朴示意图。 具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。 为实现通过接入网络连接到汇聚 /核心网络的三层 VPN, 本发明基于二 层 VPN接入三层 VPN的机制， 针对节约成本和降低设备复杂性的需求， 提出一种通过 IP伪线接入三层 VPN的方法。 该方法通过 IP伪线方式接入 三层 VPN,并在衔接三层 VPN和接入网络的 PE设备上实现 IP伪线与虚拟 路由转发表 ( VRF , Virtual Routing and Forwarding ) 的映射， 由该 PE设备 根据 IP伪线与 VRF的映射进行报文的转发，从而使得各种类型的接入链路 通过统一的接入网络接入到三层 VPN, 在提高接入网络可扩展性和安全性 的同时， 还能降低建网成本和三层 VPN网络的复杂度， 简化 PE设备的报 文处理流程， 提高处理效率。 其中， IP伪线的类型为 OxOOOB, 互联网工程 任务组 ( IETF, Internet Engineering Task Force )请求评议 ( RFC, Request For Comments ) 4446。

如图 4所示， 为本发明中实现三层 VPN接入的网络拓朴示意图。 可以 看出， 接入网络通过 IP伪线接入三层 VPN, 各种类型的接入链路通过统一 的接入网络接入到三层 VPN。 接入链路可以为任意类型， 包括但不限于异 步传输模式（ ATM, Asynchronous Transfer Mode )、或时分复用（ TDM, Time Division Multiplexing )、 或以太网。

下面结合图 4所示的网络拓朴示意图， 对本发明三层 VPN的接入方法 进行详细阐述， 该方法主要包括以下步骤：

步骤 1 ,在衔接三层 VPN和接入网络的 PE设备上，建立 IP伪线与 VRF 的映射关系。

所谓衔接三层 VPN和接入网络的 PE设备，是指位于三层 VPN边缘的， 用于执行 IP报文在接入网络和三层 VPN之间转发的 PE设备。 例如， 在图 4所示的网络拓朴中， 衔接三层 VPN和接入网络的 PE设备即为 PE2。

在衔接三层 VPN和接入网络的 PE设备上建立 IP伪线与 VRF的映射 关系， 其目的是使该 PE设备能够根据建立的映射关系进行 IP伪线与三层 VPN之间的报文转发。

步骤 2, PE设备从 IP伪线上接收到 IP报文时， 在映射关系中查找与 IP伪线对应的 VRF, 并根据 IP报文的目的 IP地址， 将 IP报文在三层 VPN 中按照查找的 VRF进行转发。

在 IP报文从 IP伪线转发到三层 VPN时，衔接三层 VPN和接入网络的 PE设备接收到 IP报文后， 需要对该 IP报文进行解封装， 去除其中的伪线 信息， 然后在 IP报文中封装三层信息； 该 PE设备根据 IP伪线查找映射关 系， 获取与 IP伪线对应的 VRF, 并根据 IP报文的目的 IP地址， 将 IP报文 在三层 VPN中按照查找的 VRF进行转发。

步骤 2的操作应用于图 4所示的网络拓朴中， 即 PE1从接入链路上接 收 IP报文（其报文格式如图中帧格式 1 ) , 对该 IP报文进行解封装并执行 伪线信息封装后 （报文格式如图中帧格式 2 )通过接入网络的 IP伪线发送 给 PE2; PE2对接收的 IP报文执行伪线信息的解封装后 （报文格式如图中 帧格式 3 ), 再执行三层信息的封装（报文格式如图中帧格式 4 ); 然后， 根 据 IP伪线在建立的映射关系中查找对应的 VRF, 并根据 IP报文的目的 IP 地址， 将三层信息封装后的 IP报文在三层 VPN中按照查找的 VRF进行转 发。

步骤 3 , PE设备从三层 VPN接收到 IP报文时， 根据 IP报文的目的 IP 地址， 将 IP ^文转发到目的 IP地址对应的 IP伪线上。

在 IP报文从三层 VPN转发到 IP伪线时，衔接三层 VPN和接入网络的 PE设备接收到 IP报文后， 需要对该 IP报文进行解封装， 去除其中的三层 信息， 然后在 IP报文中封装伪线信息； 该 PE设备根据 IP报文的目的 IP 地址， 将 IP报文转发到目的 IP地址对应的 IP伪线上。 由此， 在 IP报文从 三层 VPN转发到 IP伪线时， 需要用到目的 IP地址与 IP伪线的对应关系， 该对应关系可以通过静态配置的方式在 PE设备上建立， 当然也可以通过动 态学习的方式在 PE设备上建立。 所谓动态学习， 是在 IP报文从 IP伪线转 发到三层 VPN时学习， 即当 IP报文从 IP伪线转发到三层 VPN时， 该 PE 设备记录下 IP 文的源 IP地址与 IP伪线的对应关系； 该源 IP地址与 IP 伪线的对应关系应用在 IP报文从三层 VPN转发到 IP伪线时， 即为上述所 指目的 IP地址与 IP伪线的对应关系。

步骤 3的操作应用于图 4所示的网络拓朴中， 即 PE3对 IP "^文进行三 层信息封装（报文格式如图中帧格式 4 )后通过对应的 VRF转发到 PE2; PE2对接收的 IP报文进行解封装去除三层信息（报文格式如图中帧格式 3 ), 并进行伪线信息的封装（报文格式如图中帧格式 2 ); PE2根据 IP报文的目 的 IP地址，将 IP报文转发到目的 IP地址对应的 IP伪线并由对端的 PE1接 收， PE1对接收的 IP报文进行解封装去除伪线信息并执行接入链路封装后 (报文格式如图中帧格式 1 ), 通过接入链路转发。

需要指出的是， 本发明中用于衔接三层 VPN和接入网络的 PE设备， 可以为一台 PE设备（如图 4中的 PE2 ), 也可以为两台 PE设备。 为两台 PE设备时的网络拓朴如图 5所示， PE2为与接入网络直连的 PE设备一， PE3为与三层 VPN直连的 PE设备二， PE2和 PE3之间通过逻辑二层通道 (如图中的衔接链路所示） 互连。 该衔接链路可以釆用任意类型的链路， 而无需与接入链路的类型一致。

相应的，对应图 5所示的网络拓朴，在建立 IP伪线与 VRF的映射关系 时， 具体为： 在与接入网络直连的 PE设备一（PE2 )上建立 IP伪线与逻辑 二层通道的映射关系， 在与三层 VPN直连的 PE设备二（PE3 )上建立逻辑 二层通道与 VRF的映射关系。

对应图 5所示的网络拓朴， 当 IP报文从 IP伪线转发到三层 VPN时， 具体操作为： PE设备一 ( PE2 )从 IP伪线上接收到 IP报文时， 根据 IP伪 线与逻辑二层通道的映射关系， 将 IP报文通过逻辑二层通道转发到 PE设 备二（ PE3 ); PE设备二（ PE3 )根据逻辑二层通道与 VRF的映射关系、 以 及 IP报文的目的 IP地址，将 IP报文在三层 VPN中按照与逻辑二层通道对 应的 VRF进行转发。 报文格式的变化如图 5中的帧格式所示。

对应图 5所示的网络拓朴， 当 IP报文从三层 VPN转发到 IP伪线时， 具体操作为： PE设备二（ PE3 )从三层 VPN接收到 IP报文时， 对 IP报文 进行解封装并去除三层信息 ,再封装逻辑二层信息 ,根据 IP报文在三层 VPN 转发的 VRF查找对应的逻辑二层通道，并将封装逻辑二层信息后的 IP报文 通过查找的逻辑二层通道发送给 PE设备一（PE2 ); PE设备一 ( PE2 )对 接收的 IP报文进行解封装并去除逻辑二层信息， 再封装伪线信息， 并根据 IP报文的目的 IP地址， 将封装伪线信息后的 IP报文转发到目的 IP地址对 应的 IP伪线上。 报文格式的变化如图 5中的帧格式所示。

下面再结合具体实施例对上述三层 VPN的接入方法进一步详细阐述。 本发明的实施例一为移动基站的回程场景， 如图 6所示， 移动基站通 过基站侧网关（PE1 )、 汇聚层设备（PE2 )和控制器侧网关（PE3 )与基站 控制器相连。 在图 6所示的网络拓朴中， 支持不同移动运营商移动回程流 量在同一网络中的传送， 支持不同运营商共享基站。

在 PE1与 PE2之间建立 IP伪线，且该实施例中可以为运营商的不同类 型的业务建立不同优先级的伪线， 在多运营商共享基站的场景下， 还可以 为不同运营商的业务建立不同的伪线。 PE2与 PE3同处于一个三层 VPN中。 在 PE2上建立 IP伪线与 VRF的映射关系， 例如， 将同一运营商的 IP伪线 映射到同一个 VRF。基站侧的 IP报文以 IP伪线的方式通过 PE1传送到 PE2; PE2根据 IP伪线从前述映射关系中查找对应的 VRF,并将 IP 4艮文按照查找 的 VRF发送到三层 VPN中的 PE3; PE3再通过上行链路将接收的 IP报文 发送给基站控制器。控制器侧的 IP报文在 PE3接入三层 VPN, 并通过对应 的 VRF转发到 PE2; PE2终结三层 VPN并封装对应的伪线信息， 然后根据 IP ·^艮文的目的 IP地址，将封装伪线信息后的 IP ·^艮文通过 IP伪线转发到 PE1 ; PE1再通过接入链路将接收的 IP报文发送给移动基站。

本发明的实施例二为企业网承载的场景， 如图 7 所示， 同一企业的各 地网关通过接入侧 PE设备 ( PE1 )、 汇聚层 PE设备（ PE2 )接入三层 VPN 网络， 通过三层 VPN来形成各地网关的互联。 其中， PE2可以是业务路由 器（ SR, Service Router )、或宽带远端接入服务器（ BRAS, Broadband Remote Access Server )等设备。

在 PE1与 PE2之间建立 IP伪线， PE2与 PE3处于同一个三层 VPN中。 在 PE2上建立 IP伪线与 VRF的映射关系， 例如， 将同一企业的 IP伪线映 射到同一个 VRF。 企业网关发出的 IP报文以 IP伪线的方式通过 PE1传送 到 PE2, PE2根据 IP伪线从前述映射关系中查找对应的 VRF, 并将 IP报文 按照查找的 VRF发送到三层 VPN中的 PE3。

本发明的实施例三为移动基站的回程场景， 与实施例一不同的是， 实 施例三中用于衔接接入网络和三层 VPN的 PE设备有两台，即 PE2和 PE3。 如图 8所示， 移动基站通过不同运营商网络或同一运营商的不同管理域与 基站控制器连接。 在图 8所示的网络拓朴中， 支持不同移动运营商移动回 程流量在同一网络中的传送， 支持不同运营商共享基站。

在 PE1与 PE2之间建立 IP伪线，且该实施例中可以为运营商的不同类 型的业务建立不同优先级的伪线， 在多运营商共享基站的场景下， 还可以 为不同运营商的业务建立不同的伪线。 在 PE2与 PE3之间建立逻辑二层通 道， 如虚拟局域网 （VLAN, Virtual Local Area Network ); 在 PE2上将该逻 辑二层通道与 IP伪线映射， 如： 同一移动运营商的 IP伪线对应到同一个 VLAN, 或釆用两层 VLAN的方式， 同一运营商伪线外层 VLAN相同， 内 层 VLAN与不同的伪线——对应； 并在 PE3上将该逻辑二层通道与 VRF 映射， 如： VLAN与 VRF——对应， 或上述两层 VLAN方式下外层 VLAN 与 VRF——对应。

基站侧的 IP报文以 IP伪线的方式通过 PE1传送到 PE2, PE2根据 IP 伪线与逻辑二层通道的映射关系， 将该 IP 报文通过逻辑二层通道转发到 PE3 , PE3根据上述逻辑二层通道与 VRF的映射关系接入三层 VPN, 在与 逻辑二层通道对应的 VRF中转发 IP报文。

基站控制器侧的 IP报文在 PE4接入三层 VPN, 并通过对应的 VRF转 发到 PE3 , PE3终结三层 VPN并将 IP报文封装对应的逻辑二层通道信息后 发往 PE2, PE2根据该逻辑二层通道或目的 IP地址找到对应的 IP伪线， 根 据该伪线信息封装 IP报文并发往 PE1。

本发明的实施例四为移动基站的回程场景中的传统基站时钟同步方 法， 如图 9所示， 移动基站通过接入设备（AN, Access Node )的基站侧网 关（ PE1 )、 汇聚层设备 ( PE2 )和控制器侧网关（ PE3 )与基站控制器相连， 其中 AN与 PE1可以是同一台设备， 同时时钟源与基站控制器和 /或控制器 侧网关相连。 在图 9所示的网络拓朴中， 支持通过 IP报文封装格式在网络 中传递时钟信号。

在 PE1与 PE2之间建立 IP伪线，该伪线可以是专为传递信号配置的伪 线， 或与数据报文共享的伪线并对时钟报文标记高优先级。 PE2与 PE3 同 处于一个三层 VPN中。 在 PE2上建立 IP伪线与 VRF的映射关系， 例如， 将共享同一时钟源的所有基站所对应的 IP伪线映射到同一个 VRF。 时钟源 发出的时钟信号经过基站控制器或控制器侧网关转换为 IP报文， 该报文在 PE3接入三层 VPN, 并通过对应的 VRF转发到 PE2; PE2终结三层 VPN 并封装对应的伪线信息， 然后根据 IP报文的目的 IP地址，将封装伪线信息 后的 IP 文通过 IP伪线转发到 PE1 ; PE1再通过接入链路将接收的 IP才艮 文发送给 AN, AN将该 IP报文转换为时钟信号发送给基站（在 PE1与 AN 合一的场景下， PE1直接将该 IP报文转换为时钟信号发给基站 )。

为实现本发明三层 VPN 的接入方法， 本发明所提供的一种三层 VPN 的接入系统， 由接入网络、 三层 VPN网络、 以及衔接三层 VPN和接入网 络的 PE设备组成。 接入网络通过 IP伪线与该 PE设备相连， 用于通过 IP 伪线， 以及 PE设备与三层 VPN进行 IP 文交互。 三层 VPN用于通过该 PE设备， 以及 IP伪线与接入网络进行 IP报文交互。 PE设备， 用于建立 IP 伪线与 VRF的映射关系， 并根据该映射关系进行报文转发， 具体的： 从 IP 伪线上接收到 IP报文时， 在映射关系中查找与 IP伪线对应的 VRF, 并根 据 IP报文的目的 IP地址， 将 IP报文在三层 VPN中按照查找的 VRF进行 转发； 从三层 VPN接收到 IP报文时， 根据 IP报文的目的 IP地址， 将 IP "^艮文转发到目的 IP地址对应的 IP伪线上。

该 PE设备进一步用于，在从 IP伪线上接收到 IP报文时 ,对 IP报文进 行解封装并去除伪线信息；在将解封装的 IP报文转发到三层 VPN之前，对 IP报文进行三层信息的封装； 在从三层 VPN接收到 IP报文时， 对 IP报文进行解封装并去除三层信 息； 在将解封装的 IP报文转发到 IP伪线之前， 对 IP报文进行伪线信息的 封装。

其中， 衔接三层 VPN和接入网络的 PE设备， 由与接入网络直连的 PE 设备一， 以及与三层 VPN直连的 PE设备二组成， PE设备一与 PE设备二 通过逻辑二层通道互连； PE设备一上建立 IP伪线与逻辑二层通道的映射关 系， PE设备二上建立逻辑二层通道与 VRF的映射关系。

PE设备一从 IP伪线上接收到 IP报文时，根据 IP伪线与逻辑二层通道 的映射关系， 将 IP报文通过逻辑二层通道转发到 PE设备二； 相应的， PE 设备二根据逻辑二层通道与 VRF的映射关系、以及 IP报文的目的 IP地址， 将 IP报文在三层 VPN中按照与逻辑二层通道对应的 VRF进行转发。

PE设备二从三层 VPN接收到 IP报文时，对 IP报文进行解封装并去除 三层信息， 再封装逻辑二层信息， 将封装逻辑二层信息后的 IP报文通过逻 辑二层通道发送给 PE设备一； 相应的， PE设备一对接收的 IP报文进行解 封装并去除逻辑二层信息，再封装伪线信息，并根据 IP报文的目的 IP地址， 将封装伪线信息后的 IP报文转发到目的 IP地址对应的 IP伪线上。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种三层虚拟专用网 （VPN ) 的接入方法， 其特征在于， 接入网络 通过 IP伪线接入三层 VPN , 该方法包括：

在衔接所述三层 VPN和接入网络的运营商边缘（ PE )设备上， 建立 IP 伪线与虚拟路由转发表（VRF ) 的映射关系， 并根据所述映射关系进行报 文转发。

2、 根据权利要求 1所述三层 VPN的接入方法， 其特征在于， 所述根 据映射关系进行报文转发， 具体为：

所述 PE设备从 IP伪线上接收到 IP报文时， 在所述映射关系中查找与 所述 IP伪线对应的 VRF, 并根据所述 IP报文的目的 IP地址， 将所述 IP报 文在三层 VPN中按照查找的 VRF进行转发；

所述 PE设备从三层 VPN接收到 IP报文时， 根据 IP报文的目的 IP地 址， 将所述 IP 转发到目的 IP地址对应的 IP伪线上。

3、 根据权利要求 1所述三层 VPN的接入方法， 其特征在于， 该方法 进一步包括：

在从 IP伪线上接收到 IP报文时， 对所述 IP报文进行解封装并去除伪 线信息； 在将解封装的 IP报文转发到三层 VPN之前， 对所述 IP报文进行 三层信息的封装；

在从三层 VPN接收到 IP报文时， 对所述 IP报文进行解封装并去除三 层信息； 在将解封装的 IP报文转发到 IP伪线之前， 对所述 IP报文进行伪 线信息的封装。

4、 根据权利要求 1、 2或 3所述三层 VPN的接入方法， 其特征在于， 该方法进一步包括： 在 IP报文从三层 VPN转发到 IP伪线时所用到的目的 IP地址与 IP伪线的对应关系， 通过动态学习或静态配置的方式建立。

5、 根据权利要求 1、 2或 3所述三层 VPN的接入方法， 其特征在于， 所述衔接三层 VPN和接入网络的 PE设备 , 为一台 PE设备、 或两台 PE设 备； 当为两台 PE设备时， 所述两台 PE设备之间通过逻辑二层通道互连， 且所述建立 IP伪线与 VRF的映射关系， 具体为：

在与接入网络直连的 PE设备一上建立 IP伪线与逻辑二层通道的映射 关系，在与三层 VPN直连的 PE设备二上建立逻辑二层通道与 VRF的映射 关系。

6、 根据权利要求 5所述三层 VPN的接入方法， 其特征在于， 当衔接 三层 VPN和接入网络的 PE设备为两台 PE设备时， IP报文从 IP伪线转发 到三层 VPN具体为：

所述 PE设备一从 IP伪线上接收到 IP报文时，根据 IP伪线与逻辑二层 通道的映射关系， 将所述 IP报文通过逻辑二层通道转发到所述 PE设备二； 所述 PE设备二根据逻辑二层通道与 VRF的映射关系、 以及所述 IP报 文的目的 IP地址， 将所述 IP报文在三层 VPN中按照与所述逻辑二层通道 对应的 VRF进行转发。

7、 根据权利要求 5所述三层 VPN的接入方法， 其特征在于， 当衔接 三层 VPN和接入网络的 PE设备为两台 PE设备时， IP报文从三层 VPN转 发到 IP伪线具体为：

所述 PE设备二从三层 VPN接收到 IP 文时， 对所述 IP ^艮文进行解 封装并去除三层信息， 再封装逻辑二层信息， 将封装逻辑二层信息后的 IP 报文通过逻辑二层通道发送给所述 PE设备一；

所述 PE设备一对接收的 IP报文进行解封装并去除逻辑二层信息， 再 封装伪线信息，并根据所述 IP报文的目的 IP地址，将封装伪线信息后的 IP "^艮文转发到目的 IP地址对应的 IP伪线上。

8、 一种三层 VPN的接入系统， 其特征在于， 该系统包括： 接入网络、 三层 VPN网络、 以及衔接所述三层 VPN和接入网络的 PE设备， 其中， 所述接入网络通过 IP伪线与所述 PE设备相连，用于通过所述 IP伪线， 以及 PE设备与所述三层 VPN进行 IP报文交互；

所述三层 VPN, 用于通过所述 PE设备， 以及 IP伪线与所述接入网络 进行 IP 艮文交互；

所述 PE设备， 用于建立 IP伪线与 VRF的映射关系， 并根据所述映射 关系进行报文转发。

9、 根据权利要求 8所述三层 VPN的接入系统， 其特征在于， 所述 PE 设备进一步用于，从 IP伪线上接收到 IP报文时， 在所述映射关系中查找与 所述 IP伪线对应的 VRF, 并根据所述 IP报文的目的 IP地址， 将所述 IP报 文在三层 VPN中按照查找的 VRF进行转发；从三层 VPN接收到 IP报文时， 根据 IP报文的目的 IP地址， 将所述 IP报文转发到目的 IP地址对应的 IP 伪线上。

10、根据权利要求 8所述三层 VPN的接入系统， 其特征在于， 所述 PE 设备进一步用于， 在从 IP伪线上接收到 IP报文时， 对所述 IP报文进行解 封装并去除伪线信息；在将解封装的 IP报文转发到三层 VPN之前，对所述 IP报文进行三层信息的封装；

在从三层 VPN接收到 IP报文时， 对所述 IP报文进行解封装并去除三 层信息； 在将解封装的 IP报文转发到 IP伪线之前， 对所述 IP报文进行伪 线信息的封装。

11、根据权利要求 8、 9或 10所述三层 VPN的接入系统， 其特征在于， 所述 PE设备进一步用于， 通过动态学习或静态配置的方式， 建立在 IP报 文从三层 VPN转发到 IP伪线时所用到的目的 IP地址与 IP伪线的对应关系。

12、根据权利要求 8、 9或 10所述三层 VPN的接入系统， 其特征在于， 所述衔接三层 VPN和接入网络的 PE设备，由与接入网络直连的 PE设备一， 以及与三层 VPN直连的 PE设备二组成， 所述 PE设备一与 PE设备二通过 逻辑二层通道互连； 所述 PE设备一上建立 IP伪线与逻辑二层通道的映射 关系， 所述 PE设备二上建立逻辑二层通道与 VRF的映射关系。

13、 根据权利要求 12所述三层 VPN的接入系统， 其特征在于， 所述 PE设备一进一步用于， 从 IP伪线上接收到 IP报文时， 根据 IP伪线与逻辑 二层通道的映射关系， 将所述 IP报文通过逻辑二层通道转发到所述 PE设 备二；

相应的， 所述 PE设备二进一步用于， 根据逻辑二层通道与 VRF的映 射关系、 以及所述 IP报文的目的 IP地址， 将所述 IP报文在三层 VPN中按 照与所述逻辑二层通道对应的 VRF进行转发。

14、 根据权利要求 12所述三层 VPN的接入系统， 其特征在于， 所述 PE设备二进一步用于， 从三层 VPN接收到 IP报文时， 对所述 IP报文进行 解封装并去除三层信息， 再封装逻辑二层信息， 将封装逻辑二层信息后的 IP报文通过逻辑二层通道发送给所述 PE设备一；

相应的， 所述 PE设备一进一步用于， 对接收的 IP报文进行解封装并 去除逻辑二层信息， 再封装伪线信息， 并根据所述 IP报文的目的 IP地址， 将封装伪线信息后的 IP报文转发到目的 IP地址对应的 IP伪线上。