WO2014194749A1

WO2014194749A1 - 边缘设备的vpn实现处理方法及装置

Info

Publication number: WO2014194749A1
Application number: PCT/CN2014/077585
Authority: WO
Inventors: 廖婷; 吴波; 代雪会
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-06-05
Filing date: 2014-05-15
Publication date: 2014-12-11
Also published as: US20160134591A1; CN104219147A; CN104219147B

Abstract

本发明提供了一种边缘设备的VPN实现处理方法及装置，其中，该方法包括：获取VPN应用请求，其中，上述VPN应用请求中携带有VPN的属性配置信息；接收来自VPN下的各个边缘设备的VPN路由信息；向边缘设备发送VPN路由控制信息，其中，VPN路由控制信息为通过对属性配置信息和VPN路由信息进行集中计算处理得到的路由信息。采用本发明提供的上述方案，解决了相关技术中，VPN自动控制方案存在配置及表项内容较为复杂等技术问题，从而可以在统一控制平台下自动控制更简单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。

Description

边缘设备的 VPN实现处理方法及装置技术领域本发明涉及通信领域，具体而言，具体涉及一种边缘设备的虚拟私有网（Virtual Private Network, 简称为 VPN) 实现处理方法及装置。背景技术现在 IETF标准组织新成立的一个路由系统接口（Interface to the Routing System, 简称为 I2RS)工作组，致力于研究一种面向路由系统的接口，目的是为了给现有路由系统一个兼容的、对路由器的策略配置和路由信息库的路由信息表（Routing Information Base, 简称为 RIB)等可进行直接读写的接口。现有相关 I2RS的个人草案中描述的大致 I2RS模型如图 1，其中下半图的虚线框内表示一个路由器内部实现元件。其中 I2RS 代理（Agent)是为了支持 I2RS在路由器上新增的一个元件，以便 I2RS 客户端（Client) 可以通过 I2RS Agent获取路由器的配置管理、拓扑路由等相关信息，同时也要支持 I2RS Client通过 I2RS Agent给路由器下发配置、路由条目指定等信息。该工作组跟现在软件定义网络（Software Defined Network, 简称为 SDN) 相关实现的标准组织开放网络组织（Open Network Foundation, 简称为 0 F) 的一个最大不同在于， I2RS不是直接下发数据面的转发信息库（Forwarding Information Base,简称为 FIB) 中的转发表，而是通过影响协议路由表的信息影响最终的转发表，如此能更好的跟现有的路由器实现兼容。

VPN 是用于物理网络中的逻辑网络隔离技术，当前路由器的多协议标签交换 (Multi-Protocol Label Switching, 简称为 MPLS) VPN的实现一般通过提供商向客户提供二层 VPN业务或三层 VPN业务来实现，这些业务一般通过 MPLS及边界网关协议（Border Gateway Protocol, 简称为 BGP) 来实现，具体包括：运营商向客户提供 VPN业务相关的属性信息，客户可以自己根据这些信息来进行用户边缘设备 (Customer Edge, 简称为 CE) 配置或通过向运营商授权托管来由运营商代其在 CE上进行配置，而运营商则负责打通为该客户提供的 VPN业务所需的运营商网络的连通性，包括提供商（又称为运营商）边缘（Provider Edge,简称为 PE)设备及网络内部提供商（Provider, 简称为 P)设备上的 VPN相关连接及配置。由于手动配置存在其配置不灵活、延时大的特性，想要通过自动配置方式来实现。当前的自动配置实现也是在现有配置的基础上通过后台远程下发的方式来实现。并且想要在现有路由器上实现 PE表项条目的减少或策略功能，需要在 BGP网络中提供集中的路由反射器（Router Reflector, 简称为 RR) 功能，然后继续在反射器上进行复杂的策略配置来实现。而想要实现 VPN的保护功能，则要在本地和远端都启用相应的保护功能，才能实现双向保护。针对相关技术中的上述问题，目前尚未提出有效的解决方案。发明内容针对相关技术中， VPN自动控制方案存在配置及表项内容较为复杂等技术问题，本发明实施例提供了一种边缘设备的 VPN 实现处理方法及装置，以至少解决上述问题。根据本发明的一个实施例，提供了一种边缘设备的 VPN实现处理方法，包括：获取 VPN应用请求，其中，上述 VPN应用请求中携带有 VPN的属性配置信息；接收来自 VPN下的各个边缘设备的 VPN路由信息；向边缘设备发送 VPN路由控制信息，其中， VPN路由控制信息为通过对属性配置信息和 VPN路由信息进行集中计算处理得到的路由信息。上述 VPN路由信息或路由控制信息包括以下至少之一： VPN Table ID、表项条目，其中， VPN Table ID用于在本地标识 VPN路由信息生成的表项号。上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、 VPN 标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间。上述 VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全不同。上述表项关键值包括：数据报文的目的地址。上述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。上述出接口在边缘设备发送给网络管理系统时为边缘设备的本地 VPN 绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。上述协议类型用于标识路由系统接口 I2RS协议和 /或除 I2RS协议之外的其它路由协议。上述 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。上述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用。上述 VPN标识为在控制面与 VPN——对应。上述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间生效计时；根据网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。上述属性配置信息包括以下至少之一： VPN标识、路由目标（Route Target, 简称为 RT) 值设置信息、需要开通 VPN的 PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。上述策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。上述边缘设备包括以下之一：提供商边缘 PE设备、用户边缘 CE设备。根据本发明的另一个实施例，提供了一种边缘设备的 VPN实现处理方法，包括：向网络管理系统发送 VPN路由信息；接收来自网络管理系统的 VPN路由控制信息，其中， VPN路由控制信为通过对 VPN路由信息和网络管理系统从 VPN应用请求中获取的 VPN的属性配置信息进行集中计算处理得到的 VPN路由信息；根据 VPN路由控制信息对边缘设备进行配置。上述 VPN路由信息或路由控制信息包括以下至少之一：

VPN列表标识（Table ID)、表项条目，其中， VPN Table ID用于在本地标识 VPN 路由信息生成的表项号。上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、 VPN 标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，表项关键值包括：数据报文的目的地址；和 /或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或出接口在边缘设备发送给网络管理系统时为边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 /或协议类型用于标识路由系统接口 I2RS 协议和 /或除 I2RS之外的其它路由协议；和 /或 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或 VPN标识为在控制面与 VPN—一对应；和 /或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。上述 VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全不同。上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间生效计时；根据网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。上述属性配置信息包括以下至少之一： VPN标识、 RT值设置信息、需要开通 VPN 的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。上述策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。根据本发明的又一个实施例，提供了一种边缘设备的 VPN实现处理装置包括：获取模块，设置为获取 VPN应用请求，其中， VPN应用请求中携带有 VPN的属性配置信息；接收模块，设置为接收来自 VPN下的各个边缘设备的 VPN路由信息；发送模块，设置为向边缘设备发送 VPN路由控制信息，其中， VPN路由控制信息为通过对属性配置信息和 VPN路由信息进行集中计算处理得到的路由信息。上述接收模块和发送模块，分别设置为在 VPN路由信息和 /或 VPN路由控制信息包括以下至少之一时接收 VPN路由信息和发送 VPN路由控制信息： VPN列表标识 Table ID、表项条目，其中， VPN Table ID用于在本地标识 VPN用户信息生成的表项号。上述接收模块和发送模块分别用于在表项条目包括以下至少之一时，接收 VPN路由信息和发送 VPN路由控制信息：表项关键值、下一跳、出接口、协议类型、 VPN 标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，表项关键值包括：数据报文的目的地址；和 /或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或出接口在边缘设备发送给网络管理系统时为边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 /或协议类型用于标识路由系统接口 I2RS 协议和 /或除 I2RS之外的其它路由协议；和 /或 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或 VPN标识为在控制面与 VPN—一对应；和 /或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。根据本发明的再一个实施例，提供了一种边缘设备的 VPN实现处理装置，包括：发送模块，设置为向网络管理系统发送 VPN路由信息；接收模块，设置为接收来自网络管理系统的 VPN路由控制信息，其中， VPN路由控制信为通过对 VPN路由信息和网络管理系统从 VPN应用请求中获取的 VPN的属性配置信息进行集中计算处理得到的路由信息；配置模块，设置为根据 VPN路由控制信息对边缘设备进行配置。上述接收模块和发送模块分别设置为在 VPN路由控制信息和 /或 VPN路由信息包括以下至少之一时，接收 VPN路由控制信息和发送 VPN路由信息： VPN列表标识 Table ID、表项条目，其中， VPN Table ID用于在本地标识 VPN路由信息生成的表项号。上述接收模块和发送模块分别设置为在表项条目包括以下至少之一时，接收 VPN 路由控制信息和发送 VPN路由信息：表项关键值、下一跳、出接口、协议类型、 VPN 标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，表项关键值包括：数据报文的目的地址；和 /或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或出接口在边缘设备发送给网络管理系统时为边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 /或协议类型用于标识路由系统接口 I2RS 协议和 /或除 I2RS之外的其它路由协议；和 /或 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或 VPN标识为在控制面与 VPN—一对应；和 /或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。通过本发明实施例，采用对 VPN应用请求和边缘设备的 VPN路由信息进行的集中计算处理，将得到的配置及路由控制信息进行下发的技术手段，解决了相关技术中， VPN自动控制方案存在配置及表项内容较为复杂等技术问题，从而可以在统一控制平台下自动控制更简单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1为根据相关技术的 I2RS模型示意图；图 2为根据本发明实施例的边缘设备的 VPN实现处理方法的流程图；图 3为根据本发明实施例的边缘设备的 VPN实现处理装置的结构框图；图 4为根据本发明实施例的边缘设备的 VPN实现处理方法的另一流程图；图 5为根据本发明实施例的边缘设备的 VPN实现处理装置的另一结构框图；图 6为根据本发明优选实施例的 I2RS网络的拓扑示意图；图 7为根据本发明优选实施例的 I2RS网络的另一拓扑示意图；以及图 8为根据本发明优选实施例的 VPN网络自动控制实现的方法流程图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。图 2为根据本发明实施例的边缘设备的 VPN实现处理方法的流程图。本实施例中的方法可以但不限于应用于网络管理系统（又称为网管系统， Network Management System, 简称为 NMS)，如图 2所示，该方法包括：步骤 S202, 获取 VPN应用请求，其中，该 VPN应用请求中携带有 VPN的属性配置信息。在具体实施时，获取 VPN应用请求的方式有多种，例如可以通过接收来自 VPN侧设备的上述 VPN应用请求实现，还可以通过接收来自上层业务的上述 VPN应用请求实现；步骤 S204，接收来自 VPN下的各个边缘设备的 VPN路由信息；此处路由信息一般包括但不限于来自于本地 CE侧设备的路由，具体路由信息包括前缀、掩码、下一跳、出接口、路由协议类型、优先级、度量值、主用备用标识、负荷分担标识。步骤 S206, 向边缘设备发送 VPN路由控制信息，其中，该 VPN路由控制信息为通过对上述属性配置信息和上述 VPN路由信息进行集中计算处理得到的路由信息。需要说明的是，上述步骤 S202和步骤 S204之间的执行顺序并不限于此，例如可以先执行步骤 S204, 再执行步骤 S202。通过上述各个处理步骤，由于对 VPN应用请求和边缘设备的 VPN用户信息进行了集中计算处理，即统一控制，因此，可以在统一控制平台下自动控制更简单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。在本实施例中，在接收来自边缘设备的 VPN用户信息（主要表现为路由信息）之前，还可以根据 VPN应用请求和本地网络拓扑信息确定上述边缘设备。根据上述 VPN 应用请求和本地网络拓扑信息确定上述边缘设备之后，根据上述指定信息及网管系统已收集的拓扑信息，生成 VPN配置信息；向上述边缘设备下发 VPN配置信息，其中，上述边缘设备根据上述 VPN配置信息生成上述 VPN用户信息。在本实施例中， VPN用户信息包括以下至少之一： VPN Table ID、表项条目，其中， VPN Table ID用于在本地标识 VPN用户信息生成的表项号，以便 I2RS Client直接读写所述 VPN相关表项。上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、 VPN 标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间。通过上述实施例可以看出， VPN路由控制信息为网管系统经由策略计算处理的 VPN路由信息，可以表现为两者表项条目的变化。即上述 VPN路由信息中的表项条目和上述路由控制信息中的表项条目部分相同或完全不同。上述表项关键值包括：数据报文的目的地址。具体在 L2VPN 中表现为媒体接入控制（Media Access Control, 简称为 MAC)地址，在 L3 VPN中表现为 IP地址，当然也不局限于目的地址，还可以是根据需要由数据报文中解析出来的有效字段，如源地址，端口号等亦可支持。上述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。对等体标识具体表现为和边缘设备建立邻居的发布该表项关键值的远端边缘设备的标识，一般为标识远端边缘设备的 loopback的 IP地址，或建链接口的 IP地址。上述出接口在边缘设备发送给上述网络管理系统时为上述边缘设备的本地 VPN 绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。具体地，上述映射标识可以表现为本地隧道标识（ID)，该本地隧道 ID表明本地到远端边缘设备的端到端连接，可以为通用路由封装（Generic Routing Encapsulation,简称为 GRE)隧道 ID、资源预留协议（Resource Reserve Protocol, 简称为 RSVP)流量工程（Traffic Engineering, 简称为 TE)隧道 ID、标签交换路径（Label Switched Paths, 简称为 LSP) 隧道 ID。上述协议类型用于标识 I2RS协议和 /或除该 I2RS协议之外的其它路由协议。上述 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。上述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用，以便多个下一跳分别携带主用备用标识下发。

VPN标识为在控制面与 VPN——对应，即 VPN标识用以在控制面全局唯一标识一个 VPN，其包括但不限于用 RT方式来实现。负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识，以便同一表项关键值的多个下一跳能同时生效。上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间生效计时，即以表项下发的存活时间生效记时，例如：利用 PE设备自带的计时器，在表项生成后（如以保存时间倒数 300s) 计时，当为 0时还没有接收更新时，则认为表项老化。根据网管系统下发的生效时间段在边缘设备上同步生效表示。网管系统下发的时间段，其中，在该时间段内（例如 8:00-8:30) 内表项生效，则在边缘设备同步的有效时间内将该条目放入 RIB表。通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送，其中，在网络管理系统的生效时间结束时，网络管理系统的 I2RS Client下发撤销指定表项的信息，即计时管理在 I2RS Client上维护，只需要时间生效的时候下发条目，不生效的时候撤销条目。在本实施例中，上述应用请求包括上层业务和 /或策略的开通请求： VPN业务、流量匹配过滤、负荷分担、时间值等策略请求。上述属性配置信息包括以下至少之一： VPN标识、路由目标（RT) 值设置信息、需要开通 VPN的 PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。其中，该策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。上述转发设备包括以下之一： PE设备、 CE设备。上述 VPN用户信息包括以下至少之一： VPN标识信息，路由目标 RT值设置信息，

VPN客户端侧 CE的位置信息、 CE接入的配置信息、策略请求。图 3为根据本发明实施例的边缘设备的 VPN实现处理装置的结构框图。该装置可以但不限于应用于网络管理系统，如图 3所示，包括：获取模块 30，连接至发送模块 34，设置为获取 VPN应用请求，其中，该 VPN应用请求中携带有 VPN的属性配置信息；接收模块 32，连接至发送模块 34，设置为接收来自上述 VPN下的各个边缘设备的 VPN路由信息；发送模块 34，设置为向上述边缘设备发送 VPN路由控制信息，其中，该 VPN路由控制信息为通过对上述属性配置信息和上述 VPN路由信息进行集中计算处理得到的路由信息；通过上述各个模块所实现的功能，同样可以在统一控制平台下自动控制更简单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。优选地，上述接收模块 32和上述发送模块 34，分别设置为在上述 VPN路由信息和 /或上述 VPN路由控制信息包括以下至少之一时接收上述 VPN路由信息和发送上述 VPN路由控制信息： VPN列表标识 Table ID、表项条目，其中，该 VPN Table ID用于在本地标识所述 VPN用户信息生成的表项号。所述接收模块和所述发送模块分别设置为在所述表项条目包括以下至少之一时，接收所述 VPN路由信息和发送所述 VPN路由控制信息：表项关键值、下一跳、出接口、协议类型、 VPN标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，所述表项关键值包括：数据报文的目的地址；和 /或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 /或所述协议类型用于标识路由系统接口 I2RS协议和 /或除所述 I2RS之外的其它路由协议；和 /或所述 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或所述 VPN标识为在控制面与 VPN—一对应；和 /或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。需要说明的是，上述各个模块是可以通过相应的处理器实现的，例如可以分别对应一个处理器实现，当然也可以部分或全部集成于一个处理器实现，但不限于上述组合。在本实施例中提供一种边缘设备的虚拟私有网 VPN实现处理方法，如图 4所示，该方法包括：步骤 S402, 向网络管理系统发送 VPN路由信息；步骤 S404, 接收来自网络管理系统的 VPN路由控制信息，其中， VPN路由控制信为通过对 VPN路由信息和网络管理系统从 VPN应用请求中获取的 VPN的属性配置信息进行集中计算处理得到的 VPN路由信息；步骤 S406, 根据 VPN路由控制信息对边缘设备进行配置。上述 VPN路由信息或路由控制信息包括以下至少之一： VPN列表标识 Table ID、表项条目，其中， VPN Table ID用于在本地标识 VPN路由信息生成的表项号。上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、 VPN 标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，表项关键值包括：数据报文的目的地址；和 /或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或出接口在边缘设备发送给网络管理系统时为边缘设备的本地 VPN 绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 /或协议类型用于标识 I2RS协议和 /或除 I2RS之外的其它路由协议；和 /或 VPN 转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或 VPN标识为在控制面与 VPN—一对应；和 /或负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。上述 VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全不同。上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设备的逻辑出接口标识或物理出接口标识。上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间生效计时；根据网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。上述属性配置信息包括以下至少之一： VPN标识、路由目标 RT值设置信息、需要开通 VPN的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。上述策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。为实现上述方法，本实施例还提供一种边缘设备的 VPN 实现处理装置，如图 5 所示，该装置包括：发送模块 50，连接至接收模块 52，设置为向网络管理系统发送 VPN路由信息；接收模块 52，连接至配置模块 54，设置为接收来自网络管理系统的 VPN路由控制信息，其中，所述 VPN路由控制信为通过对所述 VPN路由信息和所述网络管理系统从 VPN应用请求中获取的 VPN的属性配置信息进行集中计算处理得到的路由信息；配置模块 54，设置为根据所述 VPN路由控制信息对所述边缘设备进行配置。在本实施例中，发送模块 50和接收模块 52分别在上述 VPN路由信息和 /或路由控制信息包括以下至少之一时发送上述 VPN路由信息和接收上述路由控制信息： VPN 列表标识 Table ID、表项条目，其中，该 VPN Table ID用于在本地标识所述 VPN路由信息生成的表项号。上述接收模块 52和所述发送模块 50分别设置为在所述表项条目包括以下至少之一时，接收所述 VPN路由信息和发送所述 VPN路由控制信息：表项关键值、下一跳、出接口、协议类型、 VPN标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，所述表项关键值包括：数据报文的目的地址；和 /或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 /或所述协议类型用于标识路由系统接口 I2RS协议和 /或除所述 I2RS之外的其它路由协议；和 /或所述 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或所述 VPN标识为在控制面与 VPN—一对应；和 /或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。为了更好地理解上述实施例，以下结合优选实施例和相关附图详细说明。实施例 1 一种 IP/MPLS网络通过网管系统进行 VPN业务动态建立和管理的方法，网管系统接收 VPN业务的应用请求，通过接口对运营商边缘转发设备业务的表项进行统一控制，包括：网管系统接收运营商边缘设备发送来的 VPN路由信息后，将接收到的信息结合应用请求进行集中计算处理，生成计算处理后的信息下发给转发设备。其中 VPN路由信息包括 VPN Table ID、表项条目，表项条目中的内容包括但不限于:表项关键值、下一跳、出接口、 VPN标识、 VPN转发面标识、协议类型、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。上述网管系统包含转发设备信息交互模块、应用交互模块、计算模块和存储模块。其中转发设备信息交互模块用以对转发设备进行信息收集或信息下发的交互，可以为 I2RS Client模块。上述转发设备包含网管系统交互模块，可以为 I2RS Agent模块。其中运营商边缘转发设备可为 PE或 CE。上述应用请求为上层业务及策略的开通请求，包括 VPN业务、流量匹配过滤、负荷分担、时间值等策略请求。上述集中计算处理包括根据应用请求，结合转发设备信息收集到的信息在计算及存储模块进行集中的计算处理并本地存储。上述 VPN转发面标识用于数据面报文的封装解封装，包括但不限于以 label形式表现。上述协议类型用于标识路由系统接口（I2RS) 协议和 /或除所述 I2RS协议之外的其它路由协议，如 bgp协议等。上述主用备用标识主要用于同时下发最优次优路径标识，用于形成保护。负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识，以便同一表项关键值的多个下一跳能同时生效，以使多条路径形成负荷分担。本实施例中，还提供一种用于 IP/MPLS网络的通信设备，包括网管系统交互模块。网管系统交互模块通过向网管系统发送本地接收到的 VPN路由信息，并从网管系统接收远端的 VPN路由信息，建立 VPN用户连接。其中 VPN路由信息由 VPN Table ID、表项条目组成，表项条目中的内容包括但不限于：表项关键值、下一跳、出接口、 VPN 标识、 VPN转发面标识、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。该通信设备创建表项用以维护 VPN路由信息。上述创建表项包括生成本地唯一的 VPN Table ID用以标识所述唯一 VPN标识表项，表项条目由上述表项内容中的部分内容或全部内容组成；维护表项可以是本地实时更新或由客户端（Client) 来通过代理（Agent) 控制。本实施例还提供一种网管系统：包含转发设备信息交互模块、应用交互模块、计算模块和存储模块。其中应用交互模块主要用于接收上层业务的应用请求，转发设备信息交互模块用以跟转发设备进行交互，可以为 I2RS Client模块。通过应用请求信息和转发设备信息交互模块获取的信息进行集中计算，生成计算结果信息设备过来的信息通过集中计算，生成新的信息下发转发设备。其中新的信息主要由 Table ID、表项条目组成，表项条目中的内容包括但不限于:表项关键值、下一跳、出接口、 VPN标识、 VPN转发面标识、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。实施例 2: L3 VPN自动控制及相关表项下发如图 6所示，站点（site) 1和站点 3是同属于 VPN1的，站点 2和站点 4是属于同一个 VPN2的，在各 PE上做 VPN接入时，现有实现需要在各 PE上手动配置 VPN1 和 VPN2的信息，配置完成后 VPM的路由和 VPN2的路由在各 PE上通过不同的表项来维护，携带各有相匹配属性的 RT导入导出到相应的 VPN转发表中，以实现 VPN 的隔离。这般隔离在 PE1、 PE2和 PE3上，都会在 BGP携带的 VPN消息中将本地的所有生效的虚拟路由 /转发情况（virtual Routing & Forwarding Instance, 简称为 VRF) 路由发布出去，如 PE1上的 VPN1消息在 PE2上也会收到，但该消息其实对于 PE2 来讲是完全无效且占用了带宽传输及协议报文过滤处理的时间的。对比参考现有 CE1和 CE3打通 VPN1的连通性配置为例，配置参考如下： 1. 在 CE1上配置 loopbackl和接口 IF1 的地址，与 PE1建立外部边界网关协议

(External Border Gateway Protocol,简称为 EBGP)邻居，并将 loopback在 BGP中通告。

2. 在 PE1上配置 vrf vpnl，将 IF1绑定在 vrf vpnl中并配置地址、配置 loopbackl、接口 IF2的地址、配置开放式最短路径优先（Open Shortest Path First, 简称为 OSPF)，通告 IF2 接口地址所在网段、与 PE3 起多协议边界网关协议（Multi-Protocol Border Gateway Protocol ，简称为 MPBGP)邻居、与 CE1建立 EBGP邻居、接口 IF2起标记分发协议（Label Distribution Protocol,简称为 LDP)，指定 loopbackl为 LDP的 router-id。 VPN相关配置包括： VRF实例配置中包括 ip vrfvpnl ,路由区分（Route Distinguisher, 简称为 RD) (用以唯一标识 VPN)、 RT (用以标识导入导出路由携带的标识）；接口绑定 VRF (表示该接口和 CE侧相连，该接口学习到的路由为私网路由）、 MPBGP邻居建立（用以判断邻居起来后给本地私网路由分发标签，并用该建链邻居 ID来查找外层标签。）

3.在 P上配置建链接口的地址；配置 OSPF,通告接口地址所在网段；接口起 LDP，配置 loopbackl，并指定 loopbackl为 LDP的 router-id。

4.在 PE3上配置 vrf vpnl、将 IF1绑定在 vrf vpnl中并配置地址、配置 loopbackl、 IF2的地址、配置 OSPF、通告公网地址所在网段、与 PE1起 MPBGP邻居、与 CE3 建立 OSPF邻居、接口 IF2起 LDP。

5.在 CE3上配置 loopbackl和接口的地址，配置 OSPF, 通告接口地址所在网段和 loopback地址。在 I2RS的框架中，如图 6，用户可以根据 I2RS模型中提供的应用层提出所述需求，比如 VPN1的用户通过应用层给网管系统提出需要通过 VPN开通站点 1和 3的互通，网管系统通过拓扑收集，知道站点 1和 3连接的 PE为 PE1和 PE3，那么网管系统返回 PE1和 PE3相关的接口及配置信息给用户（当然也可以是应用层根据 CE侧的配置同步给网管系统），使其与直连的 CE侧形成互联互通。同时通过配置模块给 PE1 和 PE3的下发相应 VPN1相关配置，包括： 1、 VRF的启动： VRF实例的启用、实例下 RD、 RT (Route Target)属性（其 import、 export值设置）的配置（该步骤中的 RD、 RT配置为可选，当路由条目的导入导出完全由 I2RS Client集中控制时，无需启用该步骤；当需要跟现有路由器兼容时，需要启用该步骤。该步骤涉及 VRF路由的导入导出配置，当完全集中控制时，需要由 Client 下发一个该 VPN标识的值，当有不同 VPN之间需要通信时，携带不同 RT标识发送，不同 VPN之间通过策略知道相互之间可以通信。）

2、 VRF接口的绑定

3、 VRF接入路由协议配置

4、 BGP下的相关 VPN使能：添加 VRF地址族，建立 VPN邻居，通过 BGP VPN 邻居导入导出 VRF路由（该步骤为可选，当导入导出完全由 I2RS Client集中控制时，无需启用该步骤；当需要跟现有路由器兼容时，需要启用该步骤，该步骤的启用涉及到私网标签的分配，当 VPN邻居建立成功，开始给本地 CE侧路由分配私网标签，当完全集中控制时，则由 Client来下发各路由的私网标签）

5、公网路由和标签链路的打通同时给 CE和 P设备进行如上描述相关 VPN实现接口、路由、标签协议所需配置。同理 VPN2的用户通过应用提出需求后，如 VPN1的配置下发给相应设备。各 PE获取到 VPN相关配置时，本地产生一个相应 VRF路由的 Table ID, 用以存放该 VPN用户的本地及远端通告过来的路由。由于网管系统有来自于上层应用的需求可能需要直接改写相关 VPN Table ID下的路由条目信息，故对于 VPN标识和 Table ID的映射关系，需要通过 PE反馈给 Client。 Client由此可以学习到各 PE上不同 VRF的表项维护 ID，并对具有相同 RT值的表项内容进行直接读写。表项内容覆盖如下图中的表项关键值、出接口、 VPN标识、路由协议类型，优先级，度量值。具体当如图 6描述：站点 1内有 3个客户侧终端接入，其 IP分别为 IP1、 IP2、 IP3，站点 3内只有两个终端接入，其 IP分别为 IP5、 IP6，那么 PE1上学习到的 CE1侧路由的表项有：表 1

其中表项关键值表现为本地 CE侧的用户路由，用于远端的数据报文发往用户的目的地址 IP标识，出接口表示 PE1跟 CE1直连的接口，该表项存放在 PE1上的 Table ID为 2，接入的 VRF路由协议为 EBGP, VPN设置的 RT进出方向值均为： 100: 1。那么 PE1将 Table ID为 2， RT的 import export值均为 100: 1的信息协同该表项的具体条目信息通过本地 Agent模块发送给 Client。同理， PE3上学习到的 CE3侧路由的表项有: 表 2

其中表项关键值表现为本地 CE侧的用户路由，出接口表示 PE3跟 CE3直连的接口。该表项存放在 PE3上的 Table ID为 3，接入的 VRF路由协议为 OSPF, VPN设置的 RT进出方向值均为： 100: 1。同样， PE3将 Table ID为 3， RT的 import export值均为 100: 1的信息协同该表项的具体条目信息通过本地 Agent模块发送给 Client。网管系统通过 Client汇总该 VPN1下的所有路由并给它们打上 VPN转发面标识，出接口替换为该路由所接入 PE的唯一标识，最好用 PE的 loopback地址：表 3

import: 100: 1

3 IP5 PE3 ospf 110 10 100

export: 100: 1

import: 100: 1

3 IP6 PE3 ospf 110 10 101

export: 100: 1 汇总之后网管系统通过 Client向各 PE通告远端 PE侧的用户路由信息，表项内容的通告部分，若 Client通告路由协议类型通过 BGP实现方式来的，则表现为 IBGP, 优先级相应修改，此处的路由协议类型也可以是 I2RS类型的，可能相应优先级可以为 10，优先级的值越小越优。同时出接口可以是本地连接的远端 PE的 router-id标识，也可以是由 Client经过查找后指定到远端 PE的隧道，表明通过该隧道可直达对端 PE，隧道可以通过指定的 Tunnel ID表示。根据相同的 RT值， Client将学习到的 PE3侧的路由写入 PE1的 Table ID为 2的表项中：表 4

同理，也会把相关表项内容下发给 PE3的 Table 3，里面具体内容为将本地的两条路由携带 Client给它分配的标签下发，远端 PE1侧过来的路由条目：表 5

此处 Tunnel 100表示 Client经过查找知道由 PE3到 PE1可以通过 Tunnel 100直达，该 Tunnel可以是一个 gre的 tunnel, 也可以是一个 lsp te的 tunnel, 当然更可以是一条 lsp。在该集中配置并表项统一管理情况下，进一步的，由于各 PE 的路由信息都可以通过 I2RS Client来下发，那么 PE间无需再通过 BGP来同步信息，通过将本地信息集中反馈给 Client, Client根据 RT属性情况，将属于同一个 VPN用户的路由选择下发相应的 PE，由此减少 PE上的协议报文处理。由于表项可直接由 Client进行读写，当有特殊应用申请时，如访问控制列表 (Access Control Lists, 简称为 ACL)的流量过滤，时间段要求、特殊场景部署如双归等，具体如下实施例， Client根据用户需求并网络动荡情况进行相关条目的修改，无需给 PE上形成复杂配置，直接进行相关表条目的添加删除或下一跳指定改写。由此实现 VPN相关的策略配置实现。实施例 3 : 在实施例 1基础上客户提出带流量过滤及时间段要求的策略申请处理如图 6所示，在实施例 1描述基础上，当用户提出带有流量过滤请求的 VPN业务开通申请时。具体如 VPN1的用户要求其不同站点间有部分客户端才可以提供直接访问，有部分客户端不可跨站点访问。如站点 1内有 3个客户侧终端接入，其 IP分别为 IP1、 IP2、 IP3 , 站点 3 内只有两个终端接入，其 IP分别为 IP5、 IP6, 要求 IP1、 IP2 可以和 IP5通信， IP3、 IP6只能和同一站点内的成员通信，那么根据该流量过滤的请求，通过 Client下发相关 VPN条目，使站点 1内的 IP1、 IP2在 PE3上下发条目，以使在 PE3上只学习到远端同一 VPN下的 PE1过来的 IP1和 IP2的地址前缀，使站点 3 内的 IP5在 PE1上下发条目，使 PE1上只学习到远端 PE3上的 IP5前缀。该功能相比当前实现，不需要在各 PE上进行相关 ACL条目的配置并 BGP协议进程对该策略的调用配置等即可实现。在上实施例 Client收集的基础上，根据应用可以形成的表项为：表 6

由此可知 IP3和 IP6不能往外通告，下发相应 PE1的远端用户表项条目只包含 IP5，如下：表 7

下发相应 PE3的远端用户表项条目只有 IP1和 IP2: 表 8

当该流量过滤只在上午或下午的工作时间生效时，上层 Client可以根据 Client上的定时器及时下发相应条目或删除条目。也可以在表项或相应配置中携带时间参数下发。具体比如该实例二第一段描述的流量过滤请求是附带了时间要求，即部分客户跨站点的访问只有在上班时间才可，非正常上班时间均不允许互访。因此要实现该有生效时间段的策略， Client可以在上班时间中下发相应可达远端的条目信息给本地，也可以在表项中携带有效时间戳标识，或可通过配置携带有效时间标识来实现。相对表项内容的整理，此处涉及到如图中表项条目的添加删除，表项中时间内容可选其中部分内容实现。表 9

表 10

实施例 4: 在实施例 1基础上客户提出双归接入请求，要求实现 L3 VPN保护功能如图 7所示，在实施例 1描述基础上，当 VPN1用户下的提出站点 1的下的终端比较多，业务比较重要，需要带有双归请求的 VPN业务开通申请时，应用给网管系统下发相应申请，网管系统根据网络拓扑情况给站点 1提供附近的两个 PE接入，由配置模块下发相应配置，具体表项管理由 I2RS Client来进行管理。

如表 11所示，由于站点 1下的终端多，业务繁忙并优先级较高，那么提供附近的两个 PE， PEl和 PE4给它提供双归接入，希望在两个 PE上形成保护，当希望形成保护功能时，只需要在上层提出保护申请， Client感知整网拓扑后，给 PE1和 PE4都下发一个 FRR (Fast -reroute)表项，表明存在一个次优路径的下一跳到形成双归绑定关系的 PE节点，即在 PE1上下发一条到远端站点的下一跳为 PE4的路由，该路由相比现有最优路由，通过在下发的表项中携带的主用、备用标识识别，两条表项同时下发，当主路径失效后，不需要重新计算路径。具体表项在 PE1上如表 12所示：表 12

此处目的地址前缀 PE3表现为对端 PE建立 MPBGP的 loopback地址，用于查找公网标签用。最优下一跳是通过和 P1直连的 IF2到达远端 PE3连接的 CE3，此时要在 PE1上下发一个次优路径到达远端 PE3连接的 CE3的下一跳为到 PE4的，下一跳为 P1的路由给打上主用标识，下一跳为 PE4的给打上备用标识。当感知到最优路径失效时， PE1 转发的流量可以通过次优路由通过 PE4可达远端 CE3。相应的，当要求该场景下同一站点内的远端站点具备 VPN FRR保护时，即返程流量 PE3可以通过 PE1和 PE4返回。由于原有的默认实现方式，比如 CE1双归接入

PE1、 PE4, PE3上学习到 PE1和 PE4传递过来的同一 VPNV4路由信息时，会相应进行路由优先级比较，只选择最优的一条路由下发转发表，这样就导致无法提供返回流量的 FRR保证，当返回的流量超出最优路径的链路带宽或最优路径失效时，从 PE3 感知失效，计算出新的路由，不可避免的会产生丢包。在该情形下，想要实现返程流量的保护申请， Client 需要根据申请要求，给 PE3 同时下发发布相同前缀 IP1的 CE1上路由的两个发布者，一个为 PE1，一个为 PE4，将这两个发布者发布的路由均写入路由表项中，启用 VPN FRR功能，以使该返回流量通过保护方式快速切换，最终在下发转发表的时候，会根据这两个不同的下一跳用来查找不同的公网标签，当有到 PE1的链路中断或 PE1的节点失效，可以及时切换到 PE4 的链路上传输流量，以保证流量的及时可达性。该实现对于表项内容的主要在基础信息上增加了主用 /备用标识。表 13

实施例 5: 在实施例 1基础上客户提出双归接入请求，要求实现 VPN负荷分担功能如图 7所示，在实施例 1描述基础上，当 VPN1用户下的提出站点 1的下的终端比较多，业务比较重要，需要带有双归请求的 VPN业务开通申请时，应用给网管系统下发相应申请，网管系统根据网络拓扑情况给站点 1提供附近的两个 PE接入，由配置模块下发相应配置，具体表项管理由 I2RS Client来进行管理。如表 11所示，由于站点 1下的终端多，业务繁忙并优先级较高，那么提供附近的两个 PE， PE1和 PE4给它提供双归接入，对于远端 PE3站点来讲，是可以通过 PE1 和 PE4同时到 CE1的。因此当 PE3有 VPN的负荷分担申请时，即 PE3可以同时通过 PE1和 PE4转发流量给 CE1。由于原有的默认实现方式，比如 CE1双归接入 PE1、PE4， PE3上学习到 PE1和 PE4传递过来的同一 VPNV4路由信息时，会相应进行路由优先级比较，只选择最优的一条路由下发转发表，这样就导致无法提供返回流量的负荷分担保证，当返回的流量超出最优路径的链路带宽或最优路径失效时，从 PE3感知失效，计算出新的路由，不可避免的会产生丢包。在该情形下，想要实现返程流量的负荷分担申请， Client 需要根据申请要求，给 PE3同时下发发布相同前缀 IP1的 CE1上路由的两个发布者，一个为 PE1，一个为 PE4，将这两个发布者发布的路由均写入路由表项中，启用负荷分担功能，最终在下发转发表的时候，会根据这两个不同的下一跳用来查找不同的公网标签，以使该返回流量可以两条链路可达 CE1，这样当有超过单条链路带宽的流量传输时，不至于产生丢包。该实现对于表项内容的主要在基础信息上增加了负荷分担标识。表 14

实施例 6: L2 VPN自动控制及相关表项下发相比实施例 1的 L3 VPN实现描述， L2 VPN的实现区别主要在于: 用户无需感知运营商网络的配置，直接通过二层接入。大致现有的 L2 VPN配置包括：

1.配置 PE1和 PE2之间直连接口或远程会话接口。

2.配置路由协议。

3.配置 LDP协议。 4.配置二层 VPN实例，注意 VPN传输伪线的 neighbor要和 ldp的 neighbor—致。这其中主要包括接入侧电路（Access Circuit, 简称为 AC)侧接口的绑定和伪线邻居的配置。 13951711825廖婷由于现有的二层 VPN实例配置也都是需要在全网的互通的 PE上需要指定 PW邻居的配置，和 LDP邻居的配置或 BGP邻居的配置又得兼容，配置量相当大并且需要精细配置，当出现手动配置错误的情况下，会使同一 VPN的用户不能互通。在 I2RS的框架下，如图 6，用户根据 I2RS模型中提供的应用层提出所述需求，比如 VPN1的用户通过应用层给网管系统提出需要通过 VPN开通站点 1和 3的互通，网管系统通过拓扑收集，知道站点 1和 3连接的 PE为 PE1和 PE3，那么网管系统返回 PE1和 PE3相关的接口配置。同时通过配置模块给 PE1和 PE3的下发相应 VPN1 相关配置主要包括： AC 侧接口的绑定、其中原有的伪线的邻居建立，在现有环境下不再需要，因为伪线建立涉及的内层标签分配可以由 Client来统一下发。中间传输路由和标签协议的配置，若中间 P节点上面也都由 Client来进行控制，外层标签也可以统一下发。各 PE获取到 VPN相关配置后，本地产生一个相应 VPN MAC的 Table ID, 用以存放该 VPN用户的本地及远端通告过来的 MAC。由于 I2RS Client有需求可能需要直接改写相关 Table ID下的 MAC条目信息，故对于 VPN ID和 Table ID的映射关系，需要通过 PE反馈给 Client。 Client由此可以学习到各 PE上的不同 VPN的表项维护 ID，并对同一个 VPN ID的表项内容进行直接读写。表项内容覆盖如下图中的目的 MAC地址、对端 PE标识、私网标签、公网标签、本地出接口等。具体当如图 6描述：站点 1 内有 3个客户侧终端接入，其 MAC分别为 MAC1、 MAC2、 MAC3 , 站点 3 内只有两个终端接入，其 MAC分别为 MAC5、 MAC6, 那么 PE1上学习到的 CE1侧的 MAC表项有：表 15

同样 PE3上也会有这样一张表，当把表项携带 VPN ID及表项 ID都汇总给 Client, 并由 Client给它们分配公私网标签，则汇总的 VPN表项为：表 16

当 Client给 PE1下发同一 VPN下的 PE3过来的用户信息时，则给 PE1的 Table 2 写入如下表项信息：表 17

在有 I2RS模型可能跟本发明内容不一致时，若其均为通过 I2RS协议的外部设备 (可覆盖服务器或超级路由器等设备）接口对路由系统进行的配置下发及表项下发或获取，外部本发明亦可覆盖。实施例 7 图 8为根据本发明优选实施例的 VPN网络自动控制实现的方法流程图。如图 8 所示，该方法包括：步骤 S802， VPN应用向网管系统发送 VPN业务请求（携带了本 VPN所有客户侧边界节点 CE的位置及原始配置信息、策略请求等）；步骤 S804, 网管系统根据接收到的 VPN业务请求信息、本地已收集到的网络拓扑信息确定相应的 PE; 步骤 S806, 对所选 PE执行 VPN相关配置（包括 VPN实例配置、接口 ip及 vrf 绑定配置、客户接入侧 vrf对接路由协议配置、公网标签路由相关配置及 BGP VPN配置） .在此分为两个流程，一个直接转入步骤 S808, 结束；另一个转入步骤 S810, 继续进行；步骤 S808, 配置模块将 PE接入侧相关配置返回给应用；步骤 S810， PE形成本地该 vpn的转发表，表项 ID和 VPN中的 RT在本地会有映射，当 PE和 CE成功对接后，可以学习到本地 CE侧的相关私网路由；步骤 S812， PE将 VPN转发表下的路由、 RT和表项 ID发送给 I2RS Client; 步骤 S814, 转发设备信息交互模块获取到同一 VPN的 PE上送的所有本地 CE侧路由；步骤 S816，根据策略请求，转发设备交互模块给 PE上的该表下同一 VPN下其它 PE上送的 VPN相关路由。通过上述实施例可以看出，本发明实施例实现了以下有益效果：根据 I2RS Client 可以获取的拓扑信息资源，与手工配置相关实现相比，可以更便捷的提供自动化效果，更及时的实现策略控制请求，同时简化各 PE设备所需配置，并能同时提供用户信息下发写表功能。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内工业实用性本发明提供的上述技术方案，可以应用于边缘设备的虚拟私有网 VPN实现处理过程中，采用对 VPN应用请求和边缘设备的 VPN路由信息进行的集中计算处理，将得到的配置及路由控制信息进行下发的技术手段，解决了相关技术中， VPN自动控制方案存在配置及表项内容较为复杂等技术问题，从而可以在统一控制平台下自动控制更简单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。

Claims

权利要求书

1. 一种边缘设备的虚拟私有网 VPN实现处理方法，包括：

获取 VPN应用请求，其中，所述 VPN应用请求中携带有 VPN的属性配置信息；

接收来自所述 VPN下的各个边缘设备的 VPN路由信息；

向所述边缘设备发送 VPN路由控制信息，其中，所述 VPN路由控制信息为通过对所述属性配置信息和所述 VPN路由信息进行集中计算处理得到的路由信息。

2. 根据权利要求 1所述的方法，其中，所述 VPN路由信息或所述路由控制信息包括以下至少之一：

VPN列表标识 Table ID、表项条目，其中，所述 VPN Table ID用于在本地标识所述 VPN路由信息生成的表项号。

3. 根据权利要求 2所述的方法，其中，所述表项条目包括以下至少之一：

表项关键值、下一跳、出接口、协议类型、 VPN标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间。

4. 根据权利要求 2所述的方法，其中，所述 VPN路由信息中的表项条目和所述路由控制信息中的表项条目部分相同或完全不同。

5. 根据权利要求 3所述的方法，其中，所述表项关键值包括：数据报文的目的地址。

6. 根据权利要求 3所述的方法，其中，所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。

7. 根据权利要求 3所述的方法，其中，所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。

8. 根据权利要求 7所述的方法，其中，所述映射标识包括以下至少之一：

所述远端边缘设备的标识；所述边缘设备到所述远端边缘设备的逻辑出接口标识或物理出接口标识。

9. 根据权利要求 3所述的方法，其中，所述协议类型用于标识路由系统接口 I2RS 协议和 /或除所述 I2RS协议之外的其它路由协议。

10 根据权利要求 3所述的方法，其中，所述 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。

11. 根据权利要求 3所述的方法，其中，所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用。

12. 根据权利要求 3所述的方法，其中，所述 VPN标识为在控制面与 VPN—一对应。

13. 根据权利要求 3所述的方法，其中，所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。

14. 根据权利要求 3所述的方法，其中，所述生效时间通过以下至少之一方式实现：根据所述边缘设备配置或默认的存活时间生效计时；

根据所述网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。

15. 根据权利要求 1所述的方法，其中，所述属性配置信息包括以下至少之一： VPN 标识、路由目标 RT值设置信息、需要开通 VPN的 PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。

16. 根据权利要求 15所述的方法，其中，所述策略信息包括以下至少之一：

基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。

17. 根据权利要求 1-16任一项所述的方法，其中，所述边缘设备包括以下之一：提供商边缘 PE设备、用户边缘 CE设备。

18. 一种边缘设备的虚拟私有网 VPN实现处理方法，包括：

向网络管理系统发送 VPN路由信息；接收来自网络管理系统的 VPN路由控制信息，其中，所述 VPN路由控制信为通过对所述 VPN路由信息和所述网络管理系统从 VPN应用请求中获取的 VPN的属性配置信息进行集中计算处理得到的 VPN路由信息；

根据所述 VPN路由控制信息对所述边缘设备进行配置。

19. 根据权利要求 18所述的方法，其中，所述 VPN路由信息或所述路由控制信息包括以下至少之一：

20. 根据权利要求 19所述的方法，其中，所述表项条目包括以下至少之一：

表项关键值、下一跳、出接口、协议类型、 VPN标识、 VPN转发面标识、主备用标识、负荷分担标识、生效时间；

其中，所述表项关键值包括：数据报文的目的地址；和 /或所述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或所述出接口在边缘设备发送给所述网络管理系统时为所述边缘设备的本地 VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和 / 或所述协议类型用于标识路由系统接口 I2RS协议和 /或除所述 I2RS之外的其它路由协议；和 /或所述 VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识；和 /或所述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用；和 /或所述 VPN标识为在控制面与 VPN—一对应；和 / 或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。

21. 根据权利要求 19所述的方法，其中，所述 VPN路由信息中的表项条目和所述路由控制信息中的表项条目部分相同或完全不同。

22. 根据权利要求 20所述的方法，其中，所述映射标识包括以下至少之一：

所述远端边缘设备的标识；

所述边缘设备到所述远端边缘设备的逻辑出接口标识或物理出接口标识。

23. 根据权利要求 20所述的方法，其中，所述生效时间通过以下至少之一方式实现：根据所述边缘设备配置或默认的存活时间生效计时；

24. 根据权利要求 18 所述的方法，其中，所述属性配置信息包括以下至少之一： VPN标识、路由目标 RT值设置信息、需要开通 VPN的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。

25. 根据权利要求 24所述的方法，其中，所述策略信息包括以下至少之一：

26. 一种边缘设备的虚拟私有网 VPN实现处理装置，包括：

获取模块，设置为获取 VPN应用请求，其中，所述 VPN应用请求中携带有 VPN的属性配置信息；

接收模块，设置为接收来自所述 VPN下的各个边缘设备的 VPN路由信息；发送模块，设置为向所述边缘设备发送 VPN路由控制信息，其中，所述 VPN路由控制信息为通过对所述属性配置信息和所述 VPN路由信息进行集中计算处理得到的路由信息。

27. 根据权利要求 26所述的装置，其中，所述接收模块和所述发送模块，分别设置为在所述 VPN路由信息和 /或所述 VPN路由控制信息包括以下至少之一时接收所述 VPN路由信息和发送所述 VPN路由控制信息：

VPN列表标识 Table ID、表项条目，其中，所述 VPN Table ID用于在本地标识所述 VPN用户信息生成的表项号。

28. 根据权利要求 27所述的装置，其中，所述接收模块和所述发送模块分别设置为在所述表项条目包括以下至少之一时，接收所述 VPN路由信息和发送所述 VPN 路由控制信息：

29. 一种边缘设备的虚拟私有网 VPN实现处理装置，包括：

发送模块，设置为向网络管理系统发送 VPN路由信息；

接收模块，设置为接收来自网络管理系统的 VPN路由控制信息，其中，所述 VPN路由控制信为通过对所述 VPN路由信息和所述网络管理系统从 VPN应用请求中获取的 VPN的属性配置信息进行集中计算处理得到的路由信息；配置模块，设置为根据所述 VPN路由控制信息对所述边缘设备进行配置。

30. 根据权利要求 29所述的装置，其中，所述接收模块和所述发送模块分别设置为在所述 VPN路由控制信息和 /或所述 VPN路由信息包括以下至少之一时，接收所述 VPN路由控制信息和发送所述 VPN路由信息：

31. 根据权利要求 30所述的装置，其中，所述接收模块和所述发送模块分别设置为在所述表项条目包括以下至少之一时，接收所述 VPN路由控制信息和发送所述 VPN路由信息：