WO2013067904A1 - 用于域间虚拟专用网络对接的方法和设备 - Google Patents

Abstract

本发明实施例公开了用于域间VPN对接的方法，所述方法包括：PE接收DCG发送的VDC接入VPN的请求消息，根据请求消息中的VPN User ID确定该User ID对应的RD/RT列表来配置VPN实例，根据请求消息中的AC的DCG端连接标识确定本端连接标识，并将本端连接标识中的逻辑端口与所述VPN实例绑定以便VDC接入VPN。相应地，本发明还提供了用于域间VPN对接的PE和DCG设备。实施本发明实施例提供的方法和设备，可以在Option A或Option D互连的前提下，通过带内信令的交互来实现VDC到VPN的接入，显著提高了VDC接入VPN的执行效率。

Description

用于域间虚拟专用网络对接的方法和设备 本申请要求于 2011年 11月 7 日提交、 申请号为 201110350020. 8的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域， 尤其涉及一种用于域间虚拟专用网络对接的方 法和设备。 背景技术

随着数据中心的普遍应用， 企业不需要去购买设备构建自己的信息技 术（ Information Technology, IT )中心。 企业可以在数据中心中申请一组 IT 资源， 为本企业提供云计算的服务， IT 资源由数据中心管理。 数据中心内 的硬件资源以虚拟化设备的形式为各个企业提供云计算的服务。 例如某企 业向数据中心申请 N台服务器， 数据中心不会物理上划分 N台服务器给该 企业使用， 而是根据该企业对服务器的要求（如 CPU、 内存、 硬盘大小） 等从硬件资源中虚拟出 N台服务器给该企业使用。 这些虚拟的服务器釆用 VPN ( Virtual Private Network, 虚拟专用网络）技术进行隔离， 构成虚拟数 据中心 （Virtual Data Centre, VDC )。

向数据中心申请 IT资源的企业用户期望在虚拟数据中心内加入自己的 虚拟专用网络 VPN, 安全访问虚拟数据中心 VDC内的资源。但是， 承载网 运营商需要对 VDC接入 VPN进行接纳控制。 为避免 VDC误接入 VPN, 例如， A企业的 VDC接入到 B企业的 VPN中， 这样就存在安全隐患。 另 一方面， VPN路由信息在未授权的情况下不应当散播到未知站点中。 跨域 VPN技术中的 Option A、 Option D方式在实际应用中经常使用。在 Option A 跨域 (即 VPN Routing and Forwarding Tables to VPN Routing and Forwarding Tables, VPN实例到 VPN实例）方式下， 自治系统边界路由器（ Autonomous System Border Router, ASBR ) 为每个 VPN实例建立各自的链路连接， 在 该链路连接上进行本 VPN的路由交互和数据转发。 MPLS VPN ( Multiple protocol Label Switching Virtual Private Network, 多协议标签交换虚拟专用 网络）与数据中心（Data Centre, DC )对接的运营商侧边缘设备（Provider Edge, PE )为 MPLS VPN域的 ASBR, 而 DC域的 ASBR为数据中心网关 ( Data Centre Gateway, DCG )。 现有技术中， MPLS VPN域与 DC域通过管 理层协商， 手工配置或通过各自网管进行配置的方式来实现 VDC到 VPN 的接入。 由于数据中心域和 MPLS VPN域属于不同的两个管理实体， 针对 每个 VDC接入 VPN的信息交互效率比较低， 无法满足应用要求。 发明内容

本发明实施例所要解决的技术问题在于， 提供一种用于域间虚拟专用 网络对接的方法和设备。可以在 PE-DCG间釆用 Option A或 Option D 方式 互连的前提下， 通过带内信令完成 VPN对接， 显著提高 VDC接入 VPN的 接入效率。

根据本发明的第一方面， 提供了一种用于域间虚拟专用网络对接的方 法， 所述方法包括：

运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连接发送 的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求 消息包括： 第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预先设置 的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标 识 RD/路由目标 RT列表以配置 VPN实例；

所述运营商侧边缘设备 PE根据所述 AC的 DCG端连接标识确定该 AC 的 PE端连接标识， 并将所确定的 PE 端连接标识中的逻辑端口与所配置 VPN实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

根据本发明的第二方面， 提供了一种用于域间虚拟专用网络对接的方 法， 所述方法包括：

运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连接发送 的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求 消息包括： 第一 VPN用户标识；

所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预先设置 的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标 识 RD/路由目标 RT列表以配置 VPN实例；

所述运营商侧边缘设备 PE为所配置的 VPN实例分配本地逻辑端口和 物理端口， 并将该逻辑端口与所述 VPN实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

根据本发明的第三方面， 提供了一种用于域间虚拟专用网络对接的运 营商侧边缘设备， 所述运营商侧边缘设备包括：

第一接收模块，用于接收数据中心网关 DCG通过第一链路连接发送的 虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求消 息包括： 第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

第一获取模块，用于根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例；

第一确定模块，用于根据所述 AC的 DCG端连接标识确定该 AC的 PE 端连接标识， 并将所确定的 PE端连接标识中的逻辑端口与所配置的 VPN 实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

根据本发明的第四方面， 提供了一种用于域间虚拟专用网络对接的运 营商侧边缘设备， 所述运营商侧边缘设备包括：

第二接收模块，用于接收数据中心网关 DCG通过第一链路连接发送的 虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求消 息包括： 第一 VPN用户标识；

第二获取模块，用于根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例；

第二确定模块， 用于为所配置的 VPN实例分配本地逻辑端口和物理端 口， 并将该逻辑端口与所述 VPN实例绑定， 以便所述虚拟数据中心 VDC 接入 VPN„ 根据本发明的第五方面， 提供了一种用于域间虚拟专用网络对接的方 法， 所述方法包括：

运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连接发送 的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求 消息包括第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预先设置 的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标 识 RD/路由目标 RT列表以配置 VPN实例；

所述运营商侧边缘设备 PE根据所述 AC的 DCG端连接标识确定该 AC 的 PE端连接标识， 并将所确定的 PE 端连接标识中的逻辑端口与所配置 VPN实例绑定；

所述运营商侧边缘设备 PE向 DCG发送 PE侧 VPN配置消息， 所述配 置消息包括所述 VPN实例的 RD/RT列表， 以便所述 DCG根据所述配置消 息完成所述 VDC与 DCG端逻辑接口的绑定。

根据本发明的第六方面， 提供了一种用于域间虚拟专用网络对接的运 营商侧边缘设备， 所述运营商侧边缘设备包括：

第三接收模块，用于接收数据中心网关 DCG通过第一链路连接发送的 虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求消 息包括第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

第三获取模块，用于根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例；

第三确定模块， 根据所述 AC的 DCG端连接标识确定该 AC的 PE端 连接标识， 并将所确定的 PE端连接标识中的逻辑端口与所配置 VPN实例 绑定；

第三发送模块， 用于向 DCG发送 PE侧 VPN配置消息， 所述配置消息 包括所述 VPN实例的 RD/RT列表， 以便所述 DCG根据所述配置消息完成 所述 VDC与 DCG端逻辑接口的绑定。

实施本发明实施例，具有如下有益效果：可以在 PE-DCG间釆用 Option A或 Option D 方式互连的场景下， 通过带内信令完成 VPN对接， 显著提 高 VDC接入 VPN的接入效率。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员 来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的 附图。 的第一流程示意图。 的第二流程示意图。 商侧边缘设备的第一结构示意图。 商侧边缘设备的第二结构示意图。 第三流程示意图。 商侧边缘设备的第三结构示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进 行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的 范围。 方法的第一流程示意图， 所述方法具体包括：

S100, 运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连 接发送的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所 述请求消息包括： 第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

S102, 所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预 先设置的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的 路由标识 RD/路由目标 RT列表以配置 VPN实例；

S104, 所述运营商侧边缘设备 PE根据所述 AC的 DCG端连接标识确 定该 AC的 PE端连接标识， 并将所确定的 PE端连接标识中的逻辑端口与 所配置 VPN实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

本发明实施例中， 运营商侧边缘设备 PE接收数据中心网关 DCG发送 的该 DCG创建的虚拟数据中心 VDC接入第一 VPN的请求消息，该请求消 息包括，第一 VPN用户标识，即 VDC要接入的 VPN的用户标识（ User ID ), 附属链路（ Attachment Circuit, AC )的 DCG端连接标识， 该连接标识包括 DCG本端的物理端口号（ Port ID )和逻辑端口号（ Vlan ID ) 。 本发明实施 方式中， 请求消息的报文格式可以如表 1所示。

表 1

所述虚拟数据中心 VDC接入 VPN的请求消息通过第一链路连接进行 发送，所述第一链路连接可包括 IPv4 BGP(Border Gateway Protocol,边界网 关协议)链路、 承载 802. IX的协议链路和 LDP ( Label Distribution Protocol, 标签分发协议）链路。例如，通过 BGP承载 VDC和 VPN对接的请求消息， 可以通过 Update报文交互来完成信令交互， 定义 BGP Update报文的一种 扩展团体属性（ Extend Community )来承载请求消息包含的信息。 再例如， 通过 BGP承载 VDC和 VPN对接的请求消息， 也可以通过 BGP动态能力 协商过程来完成信令交互，新定义一类 BGP Open 报文的能力参数 ( Capability Param. )来承载请求消息所包含的信息， 其中 Capability Param. 的报文格式可以如表 2所示， 其中包括能力代码（Capability Code ) 、 能力 长度（ Capability Length )、消息类型（ Type )、长度（ Length )以及值 ( Value ) , 消息类型可包括接入（ join ) 消息、 离开 （ leave ) 消息和通知（ Notify ) 消 息。

表 2

举例来说， 本发明的实施例中，在 PE接收 VDC接入 VPN的请求消息 之前， 在 DCG上进行预配置操作， 具体地， 包括在 DCG上根据用户请求 创建 VDC, VDC可看作是 DCG上的 VPN实例， 并给该 VDC分配对应的 附属链路 AC, 其中附属链路 AC包括物理端口和逻辑端口， 然后将所创建 的 VDC和分配给该 VDC的逻辑端口绑定。在 DCG上，还会根据用户请求 接入 VPN时给定的 VPN站点的 IP地址段为所述 VDC的 PE-DCG间的 AC 分配一对 IP地址， 还会在 DCG上配置 PE-DCG间的路由学习方式， 例如 EBGP ( External Border Gateway Protocol, 外部边界网关协议） 。 DCG发送 至 PE的 VDC接入 VPN的请求消息中还包括 DCG为该 VDC的 PE-DCG 间的 AC分配的一对 IP地址， 即附属链路 AC两端的 IP地址， 即表 1中的 本地 IP ( Local IP )和对端 IP ( Remote IP ) 。 本发明实施方式中的 PE和 DCG上均保存有双端物理端口和逻辑端口的连接关系表， 这样在已知对端 物理和逻辑端口信息的情况下， 通过查询相应的连接关系表即可确定本端 的物理和逻辑端口信息。 所述本端和对端的物理和逻辑端口连接关系表可 以由管理员人工创建， 也可以通过链路层自动发现协议 （Link Layer Discovery Protocol, LLDP ) 自动发现来创建。

举例来说， 在 PE接收 VDC接入 VPN的请求消息之前， 除了需要在 DCG上进行预配置之外， 还需要在 PE侧进行预配置， 在 PE侧设置附属链 路 AC处于阻塞 block状态。 具体地， 所述 block状态为： 附属链路 AC两 端的物理端口和逻辑端口正常， 在 PE侧阻塞端口， 阻塞 IP连接， 在 PE上 不配置 VPN实例， 不配置 VPN实例和物理端口 /逻辑端口的绑定关系 （也 可以配置 VPN实例而不将所配置的 VPN实例与物理端口 /逻辑端口绑定）， 不接收也不发布 PE的 VPN侧的 VPN路由。

PE根据所述第一 VPN用户标识查询预先设置的 VPN标识和 VPN配 置对应表获取所述第一 VPN用户标识对应的路由标识 RD/路由目标 RT列 表以配置 VPN实例 , 本发明实施方式中的 VPN标识和 VPN配置对应表可 以是 VPN User ID和 RD/RT(Route Distinguish/Route Target , 路由标识 /路由 目标)列表，其中 RD/RT列表可以存储在 ΡΕ上，通过查询获取 VPN User ID 对应的 RD/RT, 还可以存储在 PE设备之外的认证服务器或者 VPN管理器 ( Manager )上， PE 可以通过独立的认证过程获取 VPN User ID对应的 RD/RT。

本发明实施例中， PE根据请求消息中附属链路 AC的 DCG端连接标 识（包括物理端口和逻辑端口 )确定该 AC的 PE端的物理端口和逻辑端口 , 并将所确定出的逻辑端口与所配置的 VPN实例绑定，配置端口 IP地址，并 配置 PE-DCG间路由学习方式， 实现 VDC接入 VPN。 在 VDC成功接入 VPN后， PE会向 DCG发送接入成功消息。 如果 VDC未成功接入 VPN, PE也会向 DCG返回接入失败消息， 接入失败消息中会携带失败错误码标 识失败原因。

在 VDC接入 VPN后如需要离开 VPN, DCG向 PE发送该 VDC离开 第一 VPN 的请求消息， 该请求消息可通过第一链路连接进行发送。 VDC 离开第一 VPN的请求消息可包括第一 VPN用户标识、附属链路 AC的 DCG 端连接标识。 在本发明的另外一些实施例中， 所述 VDC离开 VPN的请求 消息可以不包括 VPN用户标识。 PE收到 DCG发送的 VDC离开 VPN的请 求消息后， 根据附属链路 AC的 DCG端连接标识确定 PE端的连接标识， 即 PE端的物理端口和逻辑端口，在确定出的物理端口和逻辑端口上删除与 对应的 VPN实例的绑定关系， 删除 IP地址配置， 删除上述该 VPN实例该 端口 PE-DCG间的路由控制协议， 阻塞该端口； 若该 VPN实例再没有和其 他任何端口绑定， 则可以将该 VPN实例的信息删除。 然后 PE将向 DCG回 应 VDC离开 VPN成功的消息。如果上述处理过程发生错误，则会导致 VDC 无法成功离开 VPN, 那么 PE会向 DCG回应 VDC离开 VPN失败的消息， 并在离开失败消息中携带失败错误码标识原因。 方法的第二流程示意图， 所述方法具体包括：

S200 , 运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连 接发送的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所 述请求消息包括： 第一 VPN用户标识；

S202, 所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预 先设置的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的 路由标识 RD/路由目标 RT列表以配置 VPN实例；

S204, 所述运营商侧边缘设备 PE为所配置的 VPN实例分配本地逻辑 端口和物理端口， 并将该逻辑端口与所述 VPN实例绑定， 以便所述虚拟数 据中心 VDC接入 VPN。

本发明实施例中， 运营商侧边缘设备 PE接收数据中心网关 DCG发送 的该 DCG创建的虚拟数据中心 VDC接入第一 VPN的请求消息，该请求消 息包括， 第一 VPN用户标识， 即 VDC要接入的 VPN的用户标识 User ID。 本发明实施方式中， 请求消息的报文格式可以如表 3所示。

表 3

举例来说， 所述虚拟数据中心 VDC接入 VPN的请求消息通过第一链 路连接进行发送， 所述第一链路连接可包括 IPv4 BGP链路、 承载 802. IX 的协议链路和 LDP链路。

本发明的实施例中， 在 PE接收 VDC接入 VPN的请求消息之前， 在 DCG上进行预配置操作，具体地， 包括在 DCG上根据用户请求创建 VDC, 根据用户请求加入 VPN时给定的 VPN站点的 IP地址段为所述 VDC的 PE-DCG间的附属链路 AC分配一对 IP地址， 配置 PE-DCG间的路由学习 方式。 DCG发送至 PE的 VDC接入 VPN的请求消息中还包括 DCG为该 VDC的 PE-DCG间的 AC分配的一对 IP地址， 即附属链路 AC两端的 IP 地址， 即表 3中的本地 IP地址（ Local IP )和对端 IP地址（ Remote IP ) 。 本发明实施方式中的 PE和 DCG上均保存有双端物理端口和逻辑端口的连 接关系表， 这样在已知对端物理和逻辑端口信息的情况下， 通过查询相应 的连接关系表即可确定本端的物理和逻辑端口信息。 所述本端和对端的物 理和逻辑端口连接关系表可以由管理员人工创建， 也可以通过链路层自动 发现协议 LLDP自动发现来创建。

在 PE接收 VDC接入 VPN的请求消息之前， 除了需要在 DCG上进行 预配置之外， 还需要在 PE侧进行预配置， 在 PE侧设置附属链路 AC处于 block状态。 具体地， 所述 block状态为： 附属链路 AC两端的物理端口和 逻辑端口正常， 在 PE侧阻塞端口， 阻塞 IP连接， 在 PE上不配置 VPN实 例， 不配置 VPN实例和物理端口 /逻辑端口的绑定关系 （也可以配置 VPN 实例而不将所配置的 VPN实例与物理端口 /逻辑端口绑定）， 不接收也不发 布 PE的 VPN侧的 VPN路由。

PE根据所述第一 VPN用户标识查询预先设置的 VPN标识和 VPN配 置对应表获取所述第一 VPN用户标识对应的 RD/ RT列表以配置 VPN实例 , 本发明实施方式中的 VPN标识和 VPN配置对应表可以是 VPN User ID和 RD/RT列表， 其中 RD/RT列表可以存储在 PE上， 通过查询获取 VPN User ID对应的 RD/RT, 还可以存储在 PE设备之外的认证服务器或者 VPN管理 器（Manager )上， PE可以通过独立的认证过程获取 VPN User ID对应的 RD/RT。

本发明实施方式中， PE在配置 VPN实例之后， 还为所配置的 VPN实 例分配一个本地逻辑端口和对应的物理端口， 然后将所配置的 VPN实例和 分配给该 VPN实例的逻辑端口绑定， 配置端口 IP地址， 并配置 PE-DCG 间的路由学习方式。 然后， PE会向 DCG发送 AC分配成功消息， 该 AC分 配成功消息中包括 PE所分配的本地逻辑端口和物理端口信息。本发明实施 方式 AC 分配成功消息的报文格式可以如表 4 所示， 其中包括通知类型 ( Notify Type ), AC分配成功消息的通知类型为 AC分配成功（ Allocated AC OK ), 还包括 PE所分配的本地逻辑端口 （ Vlan ID )和物理端口 （ Port ID ) 还可以包括 VPN用户标识（ User ID )。

表 4

数据中心网关 DCG在接收到 PE发送的 AC分配成功消息后， 根据该 消息中 PE端的逻辑端口和物理端口信息确定 AC的 DCG本端的逻辑端口 和物理端口连接信息， 从而将所确定出的 DCG端逻辑端口与 DCG所创建 的 VDC绑定，配置端口 IP地址，配置 PE-DCG间路由学习方式，实现 VDC 到 VPN的接入。 运营商侧边缘设备的第一结构示意图， 所述运营商侧边缘设备 300包括： 第一接收模块 302 , 用于接收数据中心网关 DCG通过第一链路连接发 送的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请 求消息包括： 第一 VPN用户标识、 附属链路 AC的 DCG端连接标识； 第一获取模块 304, 用于根据所述第一 VPN用户标识查询预先设置的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/路由目标 RT列表以配置 VPN实例；

第一确定模块 306, 用于根据所述 AC的 DCG端连接标识确定该 AC 的 PE端连接标识， 并将所确定的 PE端连接标识中的逻辑端口与所配置的 VPN实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

本发明实施方式的运营商侧边缘设备 PE的第一接收模块接收 DCG发 送的该 DCG创建的虚拟数据中心 VDC接入第一 VPN的请求消息，该请求 消息包括， 第一 VPN用户标识， 即 VDC要接入的 VPN的 User ID , 附属 链路的 DCG端连接标识，该连接标识包括 DCG本端的物理端口号（ Port ID ) 和逻辑端口号 （Vlan ID ) 。 本发明实施方式中的请求消息除了包括 VDC 要接入的 VPN的 User ID和附属链路 AC的 DCG端连接标识外，还包括附 属链路 AC两端的 IP地址，所述 IP地址是 DCG为所创建的 VDC的 PE-DCG 间的附属链路 AC分配的一对 IP地址。 所述 VDC接入 VPN的请求消息通 过第一链路连接进行发送， 所述第一链路连接可包括 IPv4 BGP链路、 承载 802. IX的协议链路和 LDP链路。本发明实施方式中的 PE和 DCG上均保存 有双端物理端口和逻辑端口的连接关系表， 这样在已知对端物理和逻辑端 口信息的情况下， 通过查询相应的连接关系表即可确定本端的物理和逻辑 端口信息。 所述本端和对端的物理和逻辑端口连接关系表可以由管理员人 工创建， 也可以通过链路层自动发现协议 LLDP自动发现来创建。

PE的第一获取模块根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例，本发明实施方式中的 VPN标识和 VPN 配置对应表可以是 VPN User ID和 RD/RT列表，其中 RD/RT列表可以存储 在 PE上， 通过查询获取 VPN User ID对应的 RD/RT , 还可以存在 PE设备 之外的认证服务器或者 VPN管理器（Manager )上， 第一获取模块可以通 过独立的认证过程获取 VPN User ID对应的 RD/RT。

本发明实施方式的 PE的第一确定模块根据请求消息中附属链路 AC的 DCG端连接标识（包括物理端口和逻辑端口 )确定该 AC的 PE端的物理 端口和逻辑端口， 并将所确定出的逻辑端口与所配置的 VPN实例绑定， 配 置端口 IP地址， 并配置 PE-DCG间路由学习方式， 实现 VDC接入 VPN。

本发明实施方式的 PE还可包括状态设置模块，状态设置模块在第一接 收模块接收请求消息之前， 将附属链路 AC的 PE侧设置处于阻塞 block状 态。 具体地， 所述 block状态为： 附属链路 AC两端的物理端口和逻辑端口 正常， 在 PE侧阻塞端口 , 阻塞 IP连接 , 在 PE上不配置 VPN实例 , 不配 置 VPN实例和物理端口 /逻辑端口的绑定关系 （也可以配置 VPN实例而不 将所配置的 VPN实例与物理端口 /逻辑端口绑定） ， 不接收也不发布 PE的 VPN侧的 VPN路由。 运营商侧边缘设备的第二结构示意图， 所述运营商侧边缘设备 400包括： 第二接收模块 402 , 用于接收数据中心网关 DCG通过第一链路连接发 送的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请 求消息包括： 第一 VPN用户标识；

第二获取模块 404, 用于根据所述第一 VPN用户标识查询预先设置的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/路由目标 RT列表以配置 VPN实例；

第二确定模块 406, 用于为所配置的 VPN实例分配本地逻辑端口和物 理端口， 并将该逻辑端口与所述 VPN 实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

本发明实施方式的运营商侧边缘设备 PE的第二接收模块接收 DCG发 送的该 DCG创建的虚拟数据中心 VDC接入第一 VPN的请求消息，该请求 消息包括， 第一 VPN用户标识， 即 VDC要接入的 VPN的 User ID。 本发 明实施方式中的请求消息还包括附属链路 AC两端的 IP地址，所述 IP地址 是 DCG为所创建的 VDC的 PE-DCG间的附属链路 AC分配的一对 IP地址。 所述 VDC接入 VPN的请求消息通过第一链路连接进行发送， 所述第一链 路连接可包括 IPv4 BGP链路、 承载 802. IX的协议链路和 LDP链路。 本发 明实施方式中的 PE和 DCG上均保存有双端物理端口和逻辑端口的连接关 系表， 这样在已知对端物理和逻辑端口信息的情况下， 通过查询相应的连 接关系表即可确定本端的物理和逻辑端口信息。 所述本端和对端的物理和 逻辑端口连接关系表可以由管理员人工创建， 也可以通过链路层自动发现 协议 LLDP自动发现来创建。

PE的第二获取模块根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例，本发明实施方式中的 VPN标识和 VPN 配置对应表可以是 VPN User ID和 RD/RT列表，其中 RD/RT列表可以存储 在 PE上， 通过查询获取 VPN User ID对应的 RD/RT , 还可以存在 PE设备 之外的认证服务器或者 VPN管理器（Manager )上， 第二获取模块可以通 过独立的认证过程获取 VPN User ID对应的 RD/RT。

PE的第二确定模块为第二获取模块中所配置的 VPN实例分配本地逻 辑端口和物理端口 ,并该逻辑端口与所述 VPN实例绑定，配置端口 IP地址， 并配置 PE-DCG间的路由学习方式。

本发明实施方式中的 PE除了包括上述第二接收模块、第二获取模块和 第二确定模块之外， 还包括第二发送模块 408, 第二发送模块 408在 PE成 功分配附属链路 AC (包括物理端口和逻辑端口）后， 向 DCG发送 AC分 配成功消息， 该消息中包括 PE所分配的本地逻辑端口和物理端口信息。

本发明实施方式的 PE还可包括状态设置模块，状态设置模块在第二接 收模块接收请求消息之前， 将附属链路 AC的 PE侧设置处于阻塞 block状 态。 具体地， 所述 block状态为： 附属链路 AC两端的物理端口和逻辑端口 正常， 在 PE侧阻塞端口 , 阻塞 IP连接 , 在 PE上不配置 VPN实例 , 不配 置 VPN实例和物理端口 /逻辑端口的绑定关系 （也可以配置 VPN实例而不 将所配置的 VPN实例与物理端口 /逻辑端口绑定） ， 不接收也不发布 PE的 VPN侧的 VPN路由。 法的第三流程示意图， 所述方法具体可包括：

S500 , 运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连 接发送的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所 述请求消息包括第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

S502, 所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预 先设置的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的 路由标识 RD/路由目标 RT列表以配置 VPN实例；

S504, 所述运营商侧边缘设备 PE根据所述 AC的 DCG端连接标识确 定该 AC的 PE端连接标识， 并将所确定的 PE端连接标识中的逻辑端口与 所配置 VPN实例绑定；

S506, 所述运营商侧边缘设备 PE向 DCG发送 PE侧 VPN配置消息， 所述配置消息包括所述 VPN实例的 RD/RT列表， 以便所述 DCG根据所述 配置消息完成所述 VDC与 DCG端逻辑接口的绑定。

举例来说， 本发明实施例可以应用在 Option D互连的场景下， 其中用 于传递请求消息的是 PE-DCG间配置的 IPv4 VPN BGP链路。在 DCG向 PE 发送 VDC接入 VPN的请求消息之前， 在 DCG上进行的预配置操作包括： 在 DCG上创建 VDC，即为用户在 DC内创建一个包括所需 DC资源的 VPN 实例， 分配与 VDC对应的附属链路 AC, 其中附属链路 AC包括物理端口 和逻辑端口。 DCG上的预配置操作还包括：根据用户请求接入 VPN时给定 举例来说， DCG发送至 PE的 VDC接入 VPN的请求消息还可以包括在 DCG 上为该 VDC的 PE-DCG间的 AC分配的一对 IP地址，即附属链路 AC两端 的 IP地址。

本发明实施方式中的 PE和 DCG上均保存有双端物理端口和逻辑端口 的连接关系表， 这样在已知对端物理和逻辑端口信息的情况下， 通过查询 相应的连接关系表即可确定本端的物理和逻辑端口信息。 所述本端和对端 的物理和逻辑端口连接关系表可以由管理员人工创建， 也可以通过链路层 自动发现协议 LLDP自动发现来创建。

在 PE接收 VDC接入 VPN的请求消息之前， 除了需要在 DCG上进行 预配置之外， 还需要在 PE侧进行预配置， 在 PE侧设置附属链路 AC处于 阻塞 block状态。 具体地， 所述 block状态为： 附属链路 AC两端的物理端 口和逻辑端口正常，在 PE侧阻塞端口 , 阻塞 IP连接，在 PE上不配置 VPN 实例，不配置 VPN实例和物理端口 /逻辑端口的绑定关系（也可以配置 VPN 实例而不将所配置的 VPN实例与物理端口 /逻辑端口绑定）， 不接收也不发 布 VPN侧的 VPN路由。

PE根据所述第一 VPN用户标识查询预先设置的 VPN标识和 VPN配 置对应表获取所述第一 VPN用户标识对应的 RD/ RT列表以配置 VPN实例 , 本发明实施方式中的 VPN标识和 VPN配置对应表可以是 VPN User ID和 RD/RT列表， 其中 RD/RT列表可以存储在 PE上， 通过查询获取 VPN User ID对应的 RD/RT, 还可以存储在 PE设备之外的认证服务器或者 VPN管理 器（Manager )上， PE可以通过独立的认证过程获取 VPN User ID对应的 RD/RT。

PE根据请求消息中的 AC的 DCG端连接标识确定 AC的 PE端的连接 标识， 其中连接标识包括物理端口和逻辑端口， 然后将确定出的逻辑端口 与所配置的 VPN实例绑定， 并配置端口 IP地址， 完成 PE侧 Option D相关 配置。 然后 PE向 DCG回应 PE端 VPN配置信息， 所述配置信息包括 PE 侧 VPN实例的 VPN配置信息， 具体地， 包括 RD和 RT列表信息。 PE向 DCG回应的 PE端 VPN配置消息的报文格式可以如表 5所示， 其中包括通 知类型 （Notify Type ), 本消息的通知类型为本地 VPN信息 （Local VPN Info ), 即 PE端 VPN配置信息 ,还包括 RD长度和 RD值信息以及 RT长度 和 RT值信息。

数据中心网关 DCG接收 PE发送的 PE侧 VPN配置消息， 根据所述配 置消息中的 RD和 RT列表配置 DCG端所创建的 VDC, 将该 VDC与 DCG 端的逻辑端口绑定， 完成 DCG端 Option D的相关配置。 运营商侧边缘设备的第三结构示意图， 所述运营商侧边缘设备 600包括： 第三接收模块 602 , 用于接收数据中心网关 DCG通过第一链路连接发 送的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请 求消息包括第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

第三获取模块 604, 用于根据所述第一 VPN用户标识查询预先设置的

VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识

RD/路由目标 RT列表以配置 VPN实例；

第三确定模块 606, 用于根据所述 AC的 DCG端连接标识确定该 AC 的 PE端连接标识， 并将所确定的 PE 端连接标识中的逻辑端口与所配置

VPN实例绑定；

第三发送模块 608, 用于向 DCG发送 PE侧 VPN配置消息， 所述配置 消息包括所述 VPN实例的 RD/RT列表， 以便所述 DCG根据所述配置消息 完成所述 VDC与 DCG端逻辑接口的绑定。

本发明实施例中， 第三接收模块接收 DCG通过第一链路连接发送的 VDC接入 VPN的请求消息，该请求消息包括第一 VPN标识，附属链路 AC 的 DCG端连接标识。 所述请求消息还可包括附属链路 AC两端的 IP地址， 所述 IP地址是 DCG为所述 VDC的 PE-DCG间附属链路 AC分配的一对 IP 地址。 第三获取模块根据所述第一 VPN用户标识查询预先设置的 VPN标 识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/路 由目标 RT列表以配置 VPN实例。 第三确定模块根据请求消息中的附属链 路 AC的 DCG端连接标识确定 PE端连接标识， 包括物理端口和逻辑端口， 将该逻辑端口和所配置的 VPN实例绑定， 然后配置端口 IP地址， 完成 PE 侧 Option D配置。 第三发送模块向 DCG回应 PE端 VPN配置消息， 所述 配置消息中包括 PE侧 VPN实例的 RD和 RT信息， 以便 DCG根据所述配 置消息中的 RD和 RT信息完成 DCG侧 VDC和逻辑端口的绑定。

本发明实施方式的 PE还可包括状态设置模块，状态设置模块在第三接 收模块接收请求消息之前， 将附属链路 AC的 PE侧设置处于阻塞 block状 态。 具体地， 所述 block状态为： 附属链路 AC两端的物理端口和逻辑端口 正常， 在 PE侧阻塞端口 , 阻塞 IP连接 , 在 PE上不配置 VPN实例 , 不配 置 VPN实例和物理端口 /逻辑端口的绑定关系 （也可以配置 VPN实例而不 将所配置的 VPN实例与物理端口 /逻辑端口绑定） ， 不接收也不发布 PE的 VPN侧的 VPN路由。

综上所述， 实施本发明提供的用于域间 VPN对接的方法和设备， 可以 在釆用 Option A或 Option D方式互连的前提下， 通过带内请求消息交互的 方式完成 VDC和 VPN的对接，显著提高了 VDC和 VPN对接的处理效率。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储 于一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的 实施例的流程。 其中， 所述的存储介质可为磁碟、 光盘、 只读存储记忆体

RAM )等。

以上所揭露的仅为本发明一种较佳实施例而已， 当然不能以此来限定本 发明之权利范围， 因此依本发明权利要求所作的等同变化， 仍属本发明所 涵盖的范围。

Claims

权利要求

1、 一种用于域间虚拟专用网络对接的方法， 其特征在于， 所述方法包 括：

运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连接发送 的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求 消息包括： 第一 VPN用户标识、 附属链路 AC的 DCG端连接标识；

所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预先设置 的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标 识 RD/路由目标 RT列表以配置 VPN实例；

所述运营商侧边缘设备 PE根据所述 AC的 DCG端连接标识确定该 AC 的 PE端连接标识， 并将所确定的 PE 端连接标识中的逻辑端口与所配置 VPN实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

2、 如权利要求 1所述的方法， 其特征在于， 所述第一链路连接包括边 界网关协议 BGP链路、承载 802. IX的协议链路或标签分发协议 LDP链路。

3、 如权利要求 2所述的方法， 其特征在于， 在所述运营商侧边缘设备 PE接收 VDC接入 VPN的请求消息之前， 所述方法还包括：

在 DCG上根据用户请求创建虚拟数据中心 VDC, 分配与所述 VDC对 应的附属链路 AC, 所述附属链路包括物理端口和逻辑端口，

将所述 VDC与所述逻辑端口绑定， 根据用户请求接入 VPN时给定的 VPN站点的 IP地址段为所述 VDC 的附属链路 AC分配 IP地址， 配置 PE-DCG间的路由学习方式。

4、 如权利要求 1至 3中任意一项所述的方法， 其特征在于， 所述预先 设置的 VPN标识和 VPN配置对应表存储于认证服务器或 VPN管理器， 所 述运营商侧边缘设备 PE通过认证过程获取第一 VPN用户标识对应的路由 标识 RD/路由目标 RT列表。

5、 如权利要求 1至 4中任意一项所述的方法， 其特征在于， 所述运营 商侧边缘设备 PE和数据中心网关 DCG均保存有双端物理端口和逻辑端口 的连接对应关系表。

6、 如权利要求 1至 5中任意一项所述的方法， 其特征在于， 在所述 运营商侧边缘设备 PE接收 VDC接入 VPN的请求消息之前，所述方法还包 括设置附属链路 AC的 PE侧处于阻塞 block状态。

7、 一种用于域间虚拟专用网络对接的方法， 其特征在于， 所述方法包 括：

运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连接发送 的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消息， 所述请求 消息包括： 第一 VPN用户标识；

所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预先设置 的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标 识 RD/路由目标 RT列表以配置 VPN实例；

所述运营商侧边缘设备 PE为所配置的 VPN实例分配本地逻辑端口和 物理端口， 并将该逻辑端口与所述 VPN实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

8、 如权利要求 7所述的方法， 其特征在于， 所述方法还包括： 所述运营商侧边缘设备 PE向所述数据中心网关 DCG发送包括所述本 地逻辑端口和物理端口信息的附属链路 AC分配成功消息，以便所述数据中 心网关 DCG根据所述 AC分配成功消息确定本端的物理端口和逻辑端口， 并将所述 VDC与确定出的逻辑端口绑定，以实现所述 VDC到 VPN的接入。

9、 如权利要求 7或 8所述的方法， 其特征在于， 所述第一链路连接包 括边界网关协议 BGP链路、 承载 802. IX的协议链路或标签分发协议 LDP 链路。

10、 如权利要求 7至 9任意一项所述的方法， 其特征在于， 在所述运 营商侧边缘设备 PE接收 VDC接入 VPN的请求消息之前，所述方法还包括： 根据用户请求在 DCG上创建 VDC,

根据用户请求加入 VPN时给定的 VPN站点的 IP地址段为所述 VDC 的附属链路 AC分配 IP地址， 配置 PE-DCG间的路由学习方式。

11、 如权利要求 7至 10任意一项所述的方法， 其特征在于， 所述预先 设置的 VPN标识和 VPN配置对应表存储于认证服务器或 VPN管理器， 所 述运营商侧边缘设备 PE通过认证过程获取第一 VPN用户标识对应的路由 标识 RD/路由目标 RT列表。

12、 如权利要求 7至 10任意一项所述的方法， 其特征在于， 所述运营 商侧边缘设备 PE和数据中心网关 DCG均保存有双端物理端口和逻辑端口 的连接对应关系表。

13、 如权利要求 7至 10任意一项所述的方法， 其特征在于， 在所述运 营商侧边缘设备 PE接收 VDC接入 VPN的请求消息之前，所述方法还包括 设置附属链路 AC的 PE侧处于阻塞 block状态。

14、 一种用于域间虚拟专用网络对接的运营商侧边缘设备， 其特征在 于， 所述运营商侧边缘设备包括：

第一接收模块，用于接收数据中心网关 DCG通过第一链路连接发送的 该 DCG创建的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消 息， 所述请求消息包括： 第一 VPN用户标识、 附属链路 AC的 DCG端连 接标识；

第一获取模块，用于根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例； 第一确定模块，用于根据所述 AC的 DCG端连接标识确定该 AC的 PE 端连接标识， 并将所确定的 PE端连接标识中的逻辑端口与所配置的 VPN 实例绑定， 以便所述虚拟数据中心 VDC接入 VPN。

15、 如权利要求 14所述的运营商侧边缘设备， 其特征在于， 所述运营 商侧边缘设备还包括：

状态设置模块， 用于设置附属链路 AC的 PE侧处于阻塞 block状态。

16、 一种用于域间虚拟专用网络对接的运营商侧边缘设备， 其特征在 于， 所述运营商侧边缘设备包括：

第二接收模块，用于接收数据中心网关 DCG通过第一链路连接发送的 该 DCG创建的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消 息， 所述请求消息包括： 第一 VPN用户标识；

第二获取模块，用于根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例；

第二确定模块， 用于为所配置的 VPN实例分配本地逻辑端口和物理端 口， 并将该逻辑端口与所述 VPN实例绑定， 以便所述虚拟数据中心 VDC 接入 VPN„

17、 如权利要求 16所述的运营商侧边缘设备， 其特征在于， 所述运营 商侧边缘设备还包括：

第二发送模块，用于向所述数据中心网关 DCG发送包括所述本地逻辑 端口和物理端口信息的附属链路 AC分配成功消息。

18、 如权利要求 16或 17所述的运营商侧边缘设备， 其特征在于， 所 述运营商侧边缘设备还包括：

状态设置模块， 用于设置附属链路 AC的 PE侧处于阻塞 block状态。

19、 一种用于域间虚拟专用网络对接的方法， 其特征在于， 所述方法 包括：

运营商侧边缘设备 PE接收数据中心网关 DCG通过第一链路连接发送 的该 DCG所创建的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求 消息， 所述请求消息包括第一 VPN用户标识、 附属链路 AC的 DCG端连 接标识；

所述运营商侧边缘设备 PE根据所述第一 VPN用户标识查询预先设置 的 VPN标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标 识 RD/路由目标 RT列表以配置 VPN实例；

所述运营商侧边缘设备 PE根据所述 AC的 DCG端连接标识确定该 AC 的 PE端连接标识， 并将所确定的 PE 端连接标识中的逻辑端口与所配置 VPN实例绑定；

所述运营商侧边缘设备 PE向 DCG发送 PE侧 VPN配置消息， 所述配 置消息包括所述 VPN实例的 RD/RT列表， 以便所述 DCG根据所述配置消 息完成所述 VDC与 DCG端逻辑接口的绑定。

20、 如权利要求 19所述的方法， 其特征在于， 所述第一链路连接包括 边界网关协议 BGP链路。

21、 如权利要求 19或 20所述的方法， 其特征在于， 在所述运营商侧 边缘设备 PE接收 VDC接入 VPN的请求消息之前， 所述方法还包括： 在 DCG上根据用户请求创建虚拟数据中心 VDC, 分配与所述 VDC对 应的附属链路 AC, 所述附属链路包括物理端口和逻辑端口，

根据用户请求接入 VPN时给定的 VPN站点的 IP地址段为所述 VDC 的附属链路 AC分配 IP地址。

22、 一种用于域间虚拟专用网络对接的运营商侧边缘设备， 其特征在 于， 所述运营商侧边缘设备包括：

第三接收模块，用于接收数据中心网关 DCG通过第一链路连接发送的 该 DCG所创建的虚拟数据中心 VDC接入第一虚拟专用网络 VPN的请求消 息， 所述请求消息包括第一 VPN用户标识、 附属链路 AC的 DCG端连接 标识；

第三获取模块，用于根据所述第一 VPN用户标识查询预先设置的 VPN 标识和 VPN配置对应表获取所述第一 VPN用户标识对应的路由标识 RD/ 路由目标 RT列表以配置 VPN实例；

第三确定模块， 根据所述 AC的 DCG端连接标识确定该 AC的 PE端 连接标识， 并将所确定的 PE端连接标识中的逻辑端口与所配置 VPN实例 绑定；

第三发送模块， 用于向 DCG发送 PE侧 VPN配置消息， 所述配置消息 包括所述 VPN实例的 RD/RT列表， 以便所述 DCG根据所述配置消息完成 所述 VDC与 DCG端逻辑接口的绑定。

23、 如权利要求 22所述的运营商侧边缘设备， 其特征在于， 所述运营 商侧边缘设备还包括：

状态设置模块， 用于设置附属链路 AC的 PE侧处于阻塞 block状态。