专利名称:一种在多层标签交换网络中实现虚拟专网业务的方法
技术领域:
本发明通信技术领域,特别是指一种在多层标签交换(MPLS)网络中实现虚拟专网(VPN)业务的方法。
背景技术:
VPN是在公众网络上建立的虚拟专用网,它具有与专用网同样卓越的安全性、可靠性和易管理性。VPN替代了传统的拨号访问,利用互联(INTERNET)公网或者运营商提供的网络资源作为虚拟专用网的延续,节省昂贵的专线租用费用;同时VPN还可以使用隧道协议、身份验证和数据加密等技术保证VPN通信的安全性,受到企业用户的欢迎。
图1所示为RFC2547bis定义的VPN网络的典型应用,如图1所示,VPN服务是由骨干网路由器(P,Provider)通过骨干网边缘路由器(PE)向用户边缘设备(CE,Customer Edge)提供的,CE感觉不到骨干网的存在,就好像拥有了独立的网络资源一样。同样,对于骨干网内部的P而言,也不知道VPN的存在,仅仅负责骨干网内部的报文传输。所有VPN的构建、连接和管理都是在PE上进行的。从PE的角度看,一个站点(Site)为所管辖的CE连通VPN系统,Site是构成VPN的基本单元,VPN即为Site的集合。同一个VPN中的每个Site通过CE与骨干网中的PE连接,且每个VPN中的报文都是通过CE和PE在骨干网上传播。Site和VPN不存在一对一的对应关系,一个Site可以同时属于多个VPN,但是,报文只能在同一VPN中的不同Site上传输。
基于IPv4的VPN管理路由的过程包括路由的发布、路由的接收和路由的存储。
其中,路由的发布过程为根据RFC 2547标准,CE和PE之间通过内部网管协议(IGP)或私有网管协议(EBGP)来传播路由信息,各个PE之间通过IGP来保证IP的连续性,通过IBGP来传播VPN组成信息和路由。当PE之间发布路由时,所发布的路由携带VPN-IPv4地址和路由目标属性(Route Targets)中的输出路由目标属性(Export Route Targets),该VPN-IPv4地址有12个字节,前8个字节为路由标识(RD,Route Distinguisher),后4个字节为IPv4地址,IPv4地址为私有地址,不同的VPN下可能使用相同的IPv4地址;CE与PE之间发布路由的时候,所发布的路由携带IPv4地址和Export Route Targets。
所述的Route Targets是用来区分同一VPN下不同路由的拓扑结构的,它包括用于附加到所发布路由上的Export Route Targets和用于决定哪些路由可以引入该Site路由表中的输入路由目标属性(Import Route Targets)。
路由的接收过程为PE中预先存储有与其连接Site的VPN-IPv4地址和Route Targets,当PE接收到所发布的路由时,判断该路由携带的VPN-IPv4地址和Export Route Targets是否与自身所存储的VPN-IPv4地址和RouteTargets中的Import Route Targets相匹配,如果是,则接收该路由;否则,不接收该路由。如果该路由携带的为IPv4地址,则在判断VPN-IPv4地址是否匹配时,判断该IPv4地址是否与PE所存储的VPN-IPv4地址中的后四个字节相匹配。
当CE接收到与其连接的PE发布的路由时,判断路由携带的IPv4地址是否与自身的IPv4地址相同,如果是,则接收该路由,否则,不接收该路由。
路由的存储过程为PE为每一个与其相连的Site设置存储了该Site的VPN成员关系和路由规则的VPN路由/转发实例(VRF),VRF包括IP路由表、标签转发表以及管理信息,管理信息包括路由标识(RD)、路由过滤策略和VPN成员接口列表等。目前方案中PE将接收到的路由存储在相应Site的VRF的路由表中,并以RD区分不同VPN的路由。CE直接将接收的路由进行存储。
为了防止由于各个VPN中的IPv4地址有可能重复而导致在PE中无法根据IPv4地址区分路由,基于IPv4的VPN管理路由的方案在存储路由时,在PE中给与其相连的每个Site分别设置了VRF,用于存储相应Site的路由信息,并且在存储路由信息时为了区分不同VPN的路由,给路由附加上了RD。
事实上,IETF开发的RFC2547bis实际上采用的是一种带内信令的方案。也就是说,VPN路由的发布、VPN路由标签的发布等这些控制信令传播是通过PE和PE之间运行另外的MP-BGP实例实现的。这种基于RFC2547bis的VPN方案完全依赖于目前路由器的软件,而目前路由器的软件根本达不到电信要求的99.999%的可靠性水平。
而且,由于业务提供模式的不同,比如三层VPN业务是一种提供模式,二层VPN业务又是一种提供方式,NGN业务、3G业务在IP网络上的提供方式和VPN业务的提供方式也不一样,采用这种带内通讯方案,使得在IP网络上没法采用统一的业务提供模式来提供新业务,因此,网络每提供一个新业务,都需要升级PE路由器的软件,这对设备制造商来说,它的路由器设备软件开发永远没有尽头,对运营商来说,频繁的设备软件升级可能带来的网络不稳定性、对现有业务可能带来的冲击不可估量。
而在RFC2547bis方案中,PE设备不仅要完成普通Internet业务的路由处理任务,还需要完成VPN业务的路由处理任务,这样就增加了PE设备软件的复杂度,增加了不稳定的因素。而一旦P设备的控制单板出现故障,不仅VPN业务无法实现、Internet业务也不能正常运行。
发明内容
有鉴于此,本发明的目的在于提供一种在多层标签交换网络中实现虚拟专网业务的方法,使其不需要利用带内信令方式进行路由发布,从而避免带内信令方式带来的诸多不便。
为了达到上述目的,本发明提供了一种在多层标签交换网络中实现虚拟专网业务的方法,该方法是这样实现的a.源端PE1收到源端CE-1发送来的路由后,确定需要发布的对端PE2,并为该路由分配源端PE1与源端CE-1之间的隧道,然后通过入口CM逐跳将路由信息发送出口CM;b.出口CM确定当前PE1到对端PE2之间是否存在隧道,如果存在,则将执行步骤c,否则,建立源端PE1到对端PE2之间的隧道,再执行步骤c;c.出口CM将至所述路由信息发送至对端PE2,对端PE2更新该VPN业务的VRF中的路由信息,并将所述路由信息发布给对端CE-2;d.当PE2收到CE-2发送的含有路由标识的IP数据包时,根据该路由标识获取到对端PE1的隧道信息,并按照该隧道信息以及步骤a中所分配的隧道将IP数据包转发至对端VPN用户。
步骤a包括a1、源端PE1收到源端CE-1发送来的路由后,根据VPN业务用户数据和网络的局方数据确定对端PE2;a2、源端PE1为该路由分配源端PE1到源端CE-1的标签信息,并将该路由发送给入口CM,其中携带所述标签信息和路由;a3、入口CM通过根据对端PE2对应的loopback地址或RD,确定下一跳CM,并将包括携带标签信息和路由信息逐级转发至下一跳,经过逐跳转发,最后到达出口CM。
3、根据权利要求2所述的方法,其特征在于,所述路由信息至少包括对端PE2给该VPN分配的路由标识、源端PE1对应的loopback地址以及对端PE2对应的loopback地址。
步骤a3中所述入口CM是通过对端PE2对应的loopback地址或RD来确定下一跳CM的。
所述VPN业务用户数据包括RD/RT、拓扑数据、成员关系数据。
所述局方数据包括VPN标签的分配策略、PE的LoopBack地址。
所述VPN业务用户数据和/或局方数据预先设置在PE中或外部数据库中。
当所述VPN业务用户数据和/或局方数据预先设置在外部数据库中时,所述PE可以采用Radius、SIP、LDAP或COPS协议与外部数据库进行通讯。
步骤b中所述源端PE1到对端PE2之间的隧道是根据业务需求、业务优先级建立的。
步骤a中所述源端PE1与源端CE1之间的隧道是基于VRF、接口或每个VPN中的每条路由分配的。
本发明采用了带外方式的VPN路由定向/指定发布机制,在路由发布时,不需要PE通过MP-IBGP协议、运行MP-IBGP软件。本发明的方法对于不同的业务提供模式都是一样的,因此当网络提供新业务时,不需要升级PE路由器的软件,因此,减少了软件开发过程以及软件升级过程,从而避免了由软件升级过程带来的不稳定性。
并且,在网络中PE路由器不提供Internet业务时,PE就不需要运行Internet的那套路由软件,由于VPN业务数据也不需要存储在PE设备上,这样PE的软件大大减少,可靠性大为提高。当然,在网络中的PE设备不承载Internet业务时,那么在手工配置好参数后,可以不需要控制PE路由器对应的单板,此时网络的可靠性可以和传输设备相当。而如果PE设备承载Internet业务,即使控制单板出现故障,也只影响Internet业务,不会影响VPN业务。因此,应用本发明的方法,由于PE设备复杂度大大降低,可靠性高、成本低。
图1为VPN网络的典型应用示意图;图2为在MPLS网络上提供三层VPN业务的总体框架示意图;图3为实现本发明的方法的流程示意图;
图4为本发明的实施例中VPN路由发布过程和数据转发过程示意图;图5为图4实现路由发布和数据转发的流程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图2所示,本发明的组网结构包括业务控制层、承载控制层、逻辑承载网、基础物理网四个层次。其中,基础物理网是由目前运营商的基础IP网络构成;逻辑承载层是由通过MPLS流量工程技术在运营商的物理IP网络上预先规划和配置好的多个逻辑承载网络组成,每个逻辑承载网络分别对应于DiffServ标准规定的业务类别EF、AF1、AF2;承载控制层是由分层构建的多个资源管理器(CM)组成,负责管理和维护逻辑承载层的网络资源和拓扑结构信息,并为来自业务控制层的服务质量(QoS)请求建立符合严格QoS要求的端到端承载通路,在IP骨干网上这个承载通路是通过MPLS标签栈来表示;业务控制层是由处理用户业务申请的各种业务控制平台组成,它根据用户的业务请求,确定本次业务所需的参数QoS参数、IP五元组,即源IP地址、目的IP地址、协议号、源端口号、目的端口号,生成QoS请求命令,命令的格式为(QoS参数、IP五元组),然后向承载控制层申请业务流的承载通路。业务控制平台可以是SoftSwitch、VPN Manager、VOD控制服务器、视频会议MCU控制平台、协同工作的控制平台,业务控制平台可以是运营商的,也可以是运营商的签约ICP、ISP客户的。不同的业务有不同的业务控制平台,但是不同业务控制平台和承载控制层的接口是统一的。
为了使解决方案具有良好的扩展能力,借鉴动态路由协议OSPF、IS-IS分区分域的机制,这里将IP物理网络分成若干管理区,每个管理区由一个资源管理器CM统一管理网络资源,负责为经过本管理区的会话选择通路和分配资源,跨区的选路需要两个区的资源管理器CM相互交互才能完成。在实际应用中,一个管理区可以是一个城域网,可以是一个省骨干网,也可以是国家骨干网;管理区的划分也可以与路由区域的划分一致。
以下为方便起见,将路由发布方称为源端CE-1,简称CE-1,其对应的局端设备为源端PE1,简称PE1,将路由接受方称为对端CE-2,简称CE-2,其对应的局端设备为对端PE2,简称PE2。
参见图3所示,实现本发明的方法包括以下步骤步骤301PE1收到CE-1发送来的路由后,确定需要发布的PE2,并为该路由分配PE1与CE1之间的隧道,然后通过入口CM逐跳将路由信息发送至出口CM;步骤302出口CM确定当前PE1到PE2之间是否存在隧道,如果存在,则执行步骤303,否则,建立源端PE1到对端PE2之间的隧道;步骤303出口CM将至所述路由信息发送至PE2,PE2更新该VPN业务的VRF中的路由信息,并将所述路由信息发布给CE-2;步骤304当PE2收到CE-2发送的含有路由标识的IP数据包时,根据该路由标识获取到对端PE的隧道信息,并按照该隧道信息以及步骤301中所分配的隧道将IP数据包转发至对端CE-1。
下面结合图4举具体实施例对本发明作进一步详细说明。
参见图5所示,本实施例实现VPN路由发布以及数据转发的过程如下步骤501当PE1收到CE-1发布的路由时,根据预先配置的VPN业务用户数据和局方数据确定需要发布的PE2。
这里,路由是RD来表示的。并且,RD可以采用人们熟知的几种编号方案,例如E.164(如企业的800地址)、带有地理信息的Internet域名(huawei.bi.cn、huawei.shanghai.cn)、带有地理信息的Email地址(bj@huawei.com、shanghai@huawei.com)等。而且,RD的编号粒度和运营商希望达到的寻址对象大小有关,可以有以下几种方案(1)基于VRF分配RDRD和VRF之间建立了一种一一映射关系,此时RD可寻址到PE上的VPN;(2)基于接口分配RDRD和VPN的接口建立了一种一一映射关系,此时RD可寻址到PE上所连接的VPN站点。
并且,VPN业务用户数据可以包括RD/RT、拓扑数据、成员关系数据等。在实际应用过程中,可以按照RFC2547bis将VPN业务用户数据以及局方数据,如VPN标签的分配策略、PE的LoopBack地址等,直接存储在PE上。当然,为了集中管理、减少运营成本,也可以将VPN业务用户数据统一设置在外部服务器的数据库上,当PE需要使用这些数据时,可以从该数据库上查询获取。而且,该数据库可以考虑和运营商的Radius Server合并或单独设置。PE和这些数据库之间的通讯协议可以采用Radius、SIP、LDAP、COPS等。
步骤502PE1为该路由分配一个标签Lv1,表示从PE1到CE-1之间的隧道,并且将路由信息发给入口CM,其中包括路由、标签信息Lv1、对端PE2给该VPN分配的RD、PE1的LoopBack地址、PE2的LoopBack地址等。
步骤503入口CM收到该路由信息后,根据其中的PE2的LoopBack地址或RD查询路由表,确定下一跳CM,并将收到的路由信息转发给下一跳CM,经过这样的逐跳转发,最后这些信息到达出口CM。
步骤504出口CM判断当前是否存在PE2到PE1的LSP,如果存在,则执行步骤505,否则,建立PE2到PE1的LSP,然后执行步骤505。
步骤505出口CM将该路由信息发送至对端PE2。
步骤506PE2根据其中PE1的LoopBack地址,获得PE2到PE1标签栈信息L4/L3/L2/L1,PE2再根据RD+Dest/Mask、标签信息Lv1和标签栈信息更新该VPN对应的VRF实例的路由表和转发表,最后PE2将这条路由发布给CE-2。
步骤501~步骤506是完成路由发布过程。从上述过程可以看出,本发明改进了RFC2547bisVPN路由的发布机制,将广播发布方式改为定向/指定发布方式。而正是由于本发明中采用的是路由定向发布机制,所以目的PE不需要对路由进行过滤,因此不需要RT这个参数。
步骤507当PE2收到VPN用户的IP数据包时,根据RD查询VRF表,得到标签栈L4/L3/L2/L1/Lv1信息,并将标签栈L4/L3/L2/L1/Lv1信息封装在IP头上,然后根据标签栈信息将IP数据包转发至PE1,PE1根据VPN标签Lv1将IP报文转发给VPN用户。
在图4所示的实施例中,步骤402中是以基于路由分配VPN标签的方法为例来说明的,其实VPN标签的分配方法主要取决于VPN标签的分配粒度,对于PE来说,VPN标签的分配是局部方法,完全可以由每个PE自己决定。例如,VPN标签的分配方法可以包括以下几种分配粒度(1)基于VRF分配VPN标签在PE上仅为每个VRF分配一个VPN标签,这样每个VRF就有一个FIB表,在出口PE上,必须根据这个FIB表进行二次查找,得到出接口和相应的封装信息。
(2)基于接口分配VPN标签在PE上为VPN的每个接口电路分配一个标签,可避免在出口PE上的二次查找。
(3)基于路由分配VPN标签在PE上为VPN的每条路由分配一个标签。
本发明采用带外方式的体系架构来提供MPLS L3VPN,这个体系架构不仅可以MPLS L3VPN,也可以提供NGN、3G、视频等传统电信的电信业务。这样采用统一的体系架构来提供各种电信业务,运营商提供新的电信业务时不需要更新、升级路由器软件。
本发明采用了带外方式的VPN路由定向/指定发布机制,在路由发布时,不需要PE通过MP-IBGP协议、运行MP-IBGP软件。本发明的方法对于不同的业务提供模式都是统一的,因此,当网络提供一个新业务时,不需要升级PE路由器的软件,因此,减少了软件开发过程以及软件升级过程,从而避免了由软件升级过程带来的不稳定性,确保了业务控制平面的安全。
并且,如果PE路由器不提供Internet业务,PE就不需要运行Internet的那套路由软件,由于VPN业务数据也不需要存储在PE设备上,这样PE的软件大大减少,可靠性大为提高。当然,如果网络中的PE设备不承载Internet业务,那么在手工配置好参数后,可以不需要控制单板,此时网络的可靠性可以和传输设备相当。而如果PE设备承载Internet业务,即使控制单板出现故障,也只影响Internet业务,不会影响VPN业务。
而且,本发明对RD的编码寻址方式做了重大改进,取消了RT参数。RD采用人们熟知的编码方式,学习、培训、调试、故障定位、运营维护成本大大降低。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种在多层标签交换网络中实现虚拟专网业务的方法,其特征在于,该方法包括以下步骤a.源端PE1收到源端CE-1发送来的路由后,确定需要发布的对端PE2,并为该路由分配源端PE1与源端CE-1之间的隧道,然后通过入口CM逐跳将路由信息发送出口CM;b.出口CM确定当前PE1到对端PE2之间是否存在隧道,如果存在,则将执行步骤c,否则,建立源端PE1到对端PE2之间的隧道,再执行步骤c;c.出口CM将至所述路由信息发送至对端PE2,对端PE2更新该VPN业务的VRF中的路由信息,并将所述路由信息发布给对端CE-2;d.当PE2收到CE-2发送的含有路由标识的IP数据包时,根据该路由标识获取到对端PE1的隧道信息,并按照该隧道信息以及步骤a中所分配的隧道将IP数据包转发至对端VPN用户。
2.根据权利要求1所述的方法,其特征在于,步骤a包括a1、源端PE1收到源端CE-1发送来的路由后,根据VPN业务用户数据和网络的局方数据确定对端PE2;a2、源端PE1为该路由分配源端PE1到源端CE-1的标签信息,并将该路由发送给入口CM,其中携带所述标签信息和路由;a3、入口CM通过根据对端PE2对应的loopback地址或RD,确定下一跳CM,并将包括携带标签信息和路由信息逐级转发至下一跳,经过逐跳转发,最后到达出口CM。
3.根据权利要求2所述的方法,其特征在于,所述路由信息至少包括对端PE2给该VPN分配的路由标识、源端PE1对应的loopback地址以及对端PE2对应的loopback地址。
4.根据权利要求3所述的方法,其特征在于,步骤a3中所述入口CM是通过对端PE2对应的loopback地址或RD来确定下一跳CM的。
5.根据权利要求2所述的方法,其特征在于,所述VPN业务用户数据包括RD/RT、拓扑数据、成员关系数据。
6.根据权利要求2所述的方法,其特征在于,所述局方数据包括VPN标签的分配策略、PE的LoopBack地址。
7.根据权利要求2所述的方法,其特征在于,所述VPN业务用户数据和/或局方数据预先设置在PE中或外部数据库中。
8.根据权利要求7所述的方法,其特征在于,当所述VPN业务用户数据和/或局方数据预先设置在外部数据库中时,所述PE可以采用Radius、SIP、LDAP或COPS协议与外部数据库进行通讯。
9.根据权利要求2所述的方法,其特征在于,步骤b中所述源端PE1到对端PE2之间的隧道是根据业务需求、业务优先级建立的。
10.根据权利要求1所述的方法,其特征在于,步骤a中所述源端PE1与源端CE1之间的隧道是基于VRF、接口或每个VPN中的每条路由分配的。
全文摘要
本发明公开了在多层标签交换网络中实现虚拟专网业务的方法,该方法包括PE1收到源CE-1发送来的路由后,确定需要发布的PE2,并为该路由分配PE1与CE-1之间的隧道,通过入口CM逐跳将路由信息发送出口CM;出口CM确定当前PE1到对端PE2之间是否存在隧道,如果不存在,建立PE1到PE2之间的隧道,否则,直接将至所述路由信息发送至PE2,PE2更新该VPN业务的VRF中的路由信息,并将所述路由信息发布给CE-2;当PE2收到CE-2发送的含有路由标识的IP数据包时,根据该路由标识获取到PE1的隧道信息,将IP数据包转发至对端VPN用户。本发明采用带外信令方法发布VPN路由,PE不需要运行MP-IBGP软件,PE设备复杂度大为降低,可靠性提高、成本下降。
文档编号H04L29/06GK1744541SQ20041007412
公开日2006年3月8日 申请日期2004年8月31日 优先权日2004年8月31日
发明者李国平 申请人:华为技术有限公司