专利名称:一种实现不同种类的第三层虚拟个人网络互通的方法
技术领域:
本发明属于虚拟个人网络(VPN)技术,特别是一种实现不同种类的第三层(L3)VPN互通的方法。
背景技术:
VPN利用隧道、加密等技术为用户提供虚拟专用网络。VPN可以实现不同网络的组件和资源之间的相互连接,并提供与专用网络一样的安全和功能保障。L3 VPN作为一种通过运营商网络为分散的用户网络之间提供基于路由信息的互访关系的业务,在各种企业当中得到迅猛的发展。目前,实现L3 VPN的方法有两种。一种是基于RFC边界网关协议(BGP)/多协议标签交换(MPLS)bis标准的BGP/MPLS VPN;另一种是基于虚拟路由器(VR)技术的VR VPN。
BGP/MPLS VPN使用IP网络中的MPLS标记交换路径(LSP)。BGP/MPLS VPN通过扩展BGP,在多协议属性中复用路由信息、VPN成员信息以及VPN拓扑信息。BGP/MPLS VPN使用BGP在运营商边缘(PE)路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据。VRVPN则使用标准的L3路由技术,并利用隧道机制建立虚拟连接,实现在核心网络上的互相连接。
目前,无论是BGP/MPLS VPN还是VR VPN在网上都有相当数量的部署。但是,VR VPN中没有解决和BGP/MPLS VPN的互通,BGP/MPLS VPN中也没有解决和VR VPN的互通。例如当两个分别使用VR VPN方式和使用BGP/MPLS VPN方式而实现的VPN之间需要互通组建Extranet时,或者这两个VPN根据业务发展需要合并为一个VPN时,将无法解决BGP/MPLS VPN和VR VPN的互通问题,从而会影响原来的VR VPN和BGP/MPLS VPN中已有的各自站点之间的互访关系,并给VPN业务带来冲击。
发明内容
有鉴于此,本发明的主要目的是提出一种实现不同种类的L3 VPN互通的方法,以实现不同种类的L3 VPN之间的互通。
为达到上述目的,本发明的技术方案是这样实现的一种实现不同种类的L3 VPN互通的方法,包括以下步骤A、将第一L3 VPN站点的路由信息发布到第二L3 VPN站点,将第二L3VPN站点的路由信息发布到第一L3 VPN站点;B、根据获得的第二L3 VPN站点的路由信息,将第一L3 VPN站点中的数据发送到第二L3 VPN站点;或者根据获得的第一L3 VPN站点的路由信息,将第二L3 VPN站点中的数据发送到第一L3 VPN站点。
所述的第一L3 VPN为VR VPN,所述的第二L3 VPN为BGP/MPLS VPN。
步骤A所述的将BGP/MPLS VPN站点中的路由信息发布到VR VPN站点包括A11、BGP/MPLS VPN站点将该站点中的路由信息发布到BGP/MPLS VPN-运营商边缘路由器PE;A12、BGP/MPLS VPN-PE将该路由信息发布到BGP/MPLS VPN-互通功能IWF单元,所述路由信息中携带表示BGP/MPLS VPN拓扑关系的出口路由目标export route target属性和该BGP/MPLS VPN站点所在VPN的内层标签;A13、BGP/MPLS VPN-IWF单元将路由信息发布给VR VPN-IWF单元,并在VR VPN-IWF单元上完成export route target属性和该内层标签到VPN-ID的映射以及VR VPN-IWF单元和对端VR之间隧道的映射,并将所述路由信息分配到该隧道对应的对端VR;A14、对端VR获得到所述路由信息,并将所述路由信息发布到需要互通的VR VPN站点。
步骤A所述的将VR VPN站点中的路由信息发布到BGP/MPLS VPN站点包括A21、VR VPN站点将该站点中的路由信息发布到VR-PE;A22、VR-PE通过与VR VPN-IWF单元之间的隧道,将所述路由信息发布到VR VPN-IWF单元;A23、VR VPN-IWF单元将所述路由信息发布到BGP/MPLS VPN-IWF单元;A24、BGP/MPLS VPN-PE通过export route target属性有选择地获得所述路由消息,并发布所述获得到的路由信息。
步骤B所述的根据BGP/MPLS VPN站点中的路由信息,将VR VPN站点中的数据发送到BGP/MPLS VPN站点包括B11、VR VPN站点中的数据转发给VR VPN-IWF单元;B12、VR VPN-IWF单元根据Export Route Target属性和VPN内层标签与VPN IDTunnel-ID的映射关系为所述数据推上PUSH该VPN标签,并通过隧道转发到BGP/MPLS VPN-IWF;B13、BGP/MPLS VPN-IWF将数据转发到出口Egress PE;B14、Egress PE取出POP该VPN标签,并将数据转到相应的BGP/MPLSVPN中的CE。
所述的B13为BGP/MPLS VPN-IWF单元通过标签转发将数据转发到Egress PE。
所述的B13为BGP/MPLS VPN-IWF单元通过隧道转发将数据转发到Egress PE。
步骤B所述的根据VR VPN站点中的路由信息,将BGP/MPLS VPN站点中的数据发送到VR VPN站点包括B21、BGP/MPLS站点中的数据经过入口Ingress PE发送到BGP/MPLS VPN-IWF单元;B22、BGP/MPLS VPN-IWF单元将所述数据转发到VR VPN-IWF单元,VR VPN-IWF单元根据VPN-IDTunnel-ID的映射关系确定转发的隧道;B23、VR VPN-IWF单元从确定的隧道中将数据转发到相应的VR,由该VR将数据转发到相连的VR VPN站点的CE。
步骤B21为通过标签转发将BGP/MPLS站点中的数据经过Ingress PE发送到BGP/MPLS VPN-IWF单元。
步骤B21为通过隧道转发将BGP/MPLS站点中的数据经过Ingress PE发送到BGP/MPLS VPN-IWF单元。
所述的VR VPN-IWF单元在该VR VPN所在的AS中的ASBR上实现,所述的BGP/MPLS VPN-IWF单元在该BGP/MPLS VPN所在的AS中的ASBR上实现。
所述的VR VPN-IWF单元和BGP/MPLS VPN-IWF单元分别在尽量相邻的VR VPN PE和BGP/MPLS VPN PE之上。
从以上的技术方案可以看出,在本发明中,首先实现第一L3 VPN站点中的路由信息和第二L3 VPN站点之间的路由信息的相互发布,然后在需要互通的第一L3 VPN站点和第二站点之间实现数据转发,并因此而实现了第一L3 VPN和第二L3 VPN之间的互通。因此应用本发明后,当分别使用VR VPN方式和使用BGP/MPLS VPN方式而实现的VPN之间需要互通组建Extranet时、或者这两个VPN根据业务发展需要合并为一个VPN时,可以不影响原来的VR VPN和BGP/MPLS VPN中已有的各自站点之间的互访关系而实现这两种VPN之间的互通,并且避免了对VPN业务带来冲击,而且对VPN业务的平滑过渡提供了保证。
图1为本发明的实现不同种类的L3 VPN互通的方法流程图。
图2为本发明一实施例的实现VR VPN和BGP/MPLS VPN互通的系统结构图。
图3为本发明第一实施例的实现VR VPN和BGP/MPLS VPN互通的方法流程图。
图4为本发明第二实施例的实现VR VPN和BGP/MPLS VPN互通的方法流程图。
具体实施例方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的主要思想是首先实现第一L3 VPN站点中的路由信息和第二L3 VPN站点中的路由信息的双向发布,然后在需要互通的第一L3 VPN站点和第二L3 VPN站点之间实现数据转发。
图1所示为本发明实现不同种类的VPN互通的方法流程图。如图1所示,包括以下步骤步骤101将第一L3 VPN站点的路由信息发布到第二L3 VPN站点,将第二L3 VPN站点的路由信息发布到第一L3 VPN站点。
此处,第一L3 VPN可以为VR VPN,第二L3 VPN可以为BGP/MPLSVPN。相应地,第一L3 VPN还可以为BGP/MPLS VPN,第二L3 VPN也可以为VR VPN。为了实现VR VPN和BGP/MPLS VPN的互通,首先需要完成这两种VPN的路由信息的转换,即完成这两种VPN的路由信息的相互发布。
可以分别在组成VR VPN和BGP/MPLS VPN的PE中各选出一个PE,并在其上分别实现VPN-互通功能(IWF)。在VR VPN中实现VPN-IWF功能的为VR VPN-IWF单元,在BGP/MPLS VPN中实现VPN-IWF功能的为BGP/MPLS VPN-IWF单元。此时,优选地,在分别组成VR VPN和BGP/MPLS VPN的PE中各选出一个尽量相邻的PE,并在其上分别实现VPN-IWF功能。
同时,在VR VPN中,属于相同VPN的VR必须使用相同全球唯一的VPN-ID,根据RFC 2685定义,VPN-ID为7个字节,由三个字节的提供VPN的组织的唯一标识符和四个字节的VPN提供组织内部VPN索引组成。当VR VPN中的VR之间在骨干网使用BGP作为路由协议时,VPN-ID可以在NLRI中携带,这样由VPN-ID和VR地址就可以组成全球唯一的地址。BGP/MPLS VPN中使用RD+IPv4地址组成全局唯一的VPN-IPv4地址,其中RD是由8个字节组成,并且BGP/MPLS VPN使用BGP作为PE之间发布VPN路由消息的路由协议,同时使用BGP协议作为同一个VPN内PE的自动发现协议。优选地,VR VPN可以使用骨干网中的IGP进行VPN路由的发布,BGP/MPLS VPN可以使用MP-BGP进行VPN路由的发布,但VR VPN和BGP/MPLS VPN均使用BGP协议作为VPN成员关系和拓扑关系的自动发现协议。
由于互通前VR VPN和BGP/MPLS VPN可能存在地址重叠,在进行互通后,由于VR VPN和BGP/MPLS VPN站点之间存在互访关系,这样可能存在地址混淆。为避免需要互通的VPN重新进行地址规划,可以约定在VRVPN和BGP/MPLS VPN互通前已经解决了地址重叠问题,即需要互通的两个VPN采用不重叠的地址。
VR VPN和BGP/MPLS VPN具有很多不同点。首先,VR VPN和BGP/MPLS VPN的VPN路由消息发布方式不同。在VR VPN中,同一VPN的SPVR之间通过隧道相连并建立IGP邻居,用于发布VPN路由信息并转发VPN数据,而BGP/MPLS VPN则通过MP-BGP进行VPN路由消息发布。在BGP/MPLS VPN中,一对存在MP-BGP peer关系的PE有可能同时接入不同BGP/MPLS VPN的站点。为避免可能存在的这些不同VPN的地址重叠引起的路由重叠问题,在BGP/MPLS VPN中引入了RD。而在VR VPN中,由于骨干网络中PE设备透传路由信息,而且不同VR VPN使用不同的000000000隧道,因此并不存在路由重叠问题,所以也不需要RD。VR VPN和BGP/MPLSVPN的这些不同点使得VR VPN和BGP/MPLS VPN之间的互通需要在VRVPN-IWF单元和BGP/MPLS VPN-IWF单元上进行相应的转换。
实现VR VPN站点中的路由信息和BGP/MPLS站点中的路由信息的双向发布包括将VR VPN站点中的路由信息发布给BGP/MPLS VPN站点和将BGP/MPLS VPN站点中的路由信息发布给VR VPN站点。
首先说明将VR VPN站点中的路由信息发布给BGP/MPLS VPN站点。
连接VR VPN站点CE的VR(存在于VR-PE中)在获得到VR VPN站点中的路由信息后,通过该VR与VR VPN-IWF单元之间的隧道上运行的IGP将VR VPN站点中的VPN路由消息发布给VR VPN-IWF单元。可选地,连接VR VPN站点CE的VR也可以通过本VR-PE中的SPVR将VR VPN站点中的VPN路由消息发布给VR VPN-IWF单元。为区分和不同VR-PE中的VR建立的隧道,在VR VPN-IWF单元上对该隧道进行标识,标识号为Tunnel-ID。VR VPN-IWF单元上通过路由器中的Redistribute命令将IGP路由信息重新发布到BGP,然后通过该VR VPN-IWF单元和BGP/MPLS VPN-IWF单元之间的MP-IBGP关系将这些路由信息发布给BGP/MPLS VPN-IWF单元。BGP/MPLS VPN-IWF单元和BGP/MPLS VPN-PE之间存在全连接的MP-IBGP关系(或者通过路由反射器来代替MP-IBGP全连接),BGP/MPLS VPN-IWF单元将这些路由信息发布给所有的BGP/MPLS VPN-PE,并通过BGP/MPLS VPN-PE和BGP/MPLS-CE之间的路由协议进一步发布给所有的BGP/MPLS站点。不过这样可能导致某些不应该访问上述VR VPN站点的BGP/MPLS VPN站点也学习到了该VRVPN站点的路由,为避免出现这种后果,需要利用RFC BGP/MPLS中的Route Target属性。具体地,在VR VPN-IWF单元上对不同VR-PE上的不同VR之间的隧道有一个隧道标识Tunnel-ID,而每个VR VPN都有一个全局唯一的VPN标识VPN-ID,因此可以利用VPN-IDTunnel-ID组成一个Export Route Target属性。在VR VPN-IWF单元向BGP/MPLS VPN-IWF单元发布MP-BGP路由时,将从Tunnel-ID标识的隧道中获得的属于VPN-ID标识的VPN的路由消息携带上构造的Export Route Target属性VPN-IDTunnel-ID,而在BGP/MPLS VPN中和上述VR VPN站点存在访问关系的站点连接的PE上为该站点对应的VRF上配置Import RouteTarget属性,从而当BGP/MPLS VPN-IWF单元向BGP/MPLS VPN-PE发布学习到的VR VPN站点的路由消息时,BGP/MPLS VPN-PE可以通过匹配Route Target扩展团体属性来确定是否接收这些路由信息。从而保证了VR VPN中站点中的VPN路由能够正确发布到和它存在访问关系的BGP/MPLS VPN站点中。
实现VR VPN站点中的路由信息和BGP/MPLS站点中的路由信息的转换还包括将BGP/MPLS VPN站点中的路由信息发布给VR VPN站点。BGP/MPLS VPN站点中的路由信息通过BGP/MPLS VPN-PE和BGP/MPLS VPN-IWF单元之间的MP-BGP关系将VPN路由消息发布给BGP/MPLS VPN-IWF单元。为了区分BGP/MPLS VPN-PE连接的不同站点,BGP/MPLS VPN-PE在向BGP/MPLS VPN-IWF单元发布路由时还需要携带VPN标签,可以称为内层标签。而且为了构成需要的拓扑关系,这些路由信息还携带Export Route Target属性,BGP/MPLS VPN-IWF单元通过它和VR VPN-IWF单元之间的MP-BGP将这些VPN路由信息发布给VR VPN-IWF单元,由于在VR VPN中通过IGP发布VPN路由消息,所以可以在VR VPN-IWF单元上将BGP路由重发布到IGP中。但是,由于VRVPN-IWF单元可能和多个VR之间存在IGP关系,因此需要在VR VPN中进行VPN路由信息的定向发布。每个VR可能都连接一个VR VPN站点,但这些VR VPN站点不一定都和BGP/MPLS VPN站点存在访问关系。IGP不能处理BGP路由中的扩展团体属性Route Target和VPN标签,需要在VRVPN-IWF单元上完成从BGP/MPLS VPN-IWF单元学习到的MP-BGP路由的Route Target属性和VPN标签到特定VPN和特定隧道的映射。即由Export Route Target和VPN标签根据互通的关系映射到特定的VPN-ID和Tunnel-ID,并在由该VPN-ID和Tunnel-ID确定的隧道将VPN路由发布给IGP邻居VR,再由该VR进一步发布给VR VPN站点。
通过上述说明,即可完成VR VPN和BGP/MPLS VPN站点之间的VPN路由消息的定向发布,并完成了VPN的拓扑关系和成员关系的学习。并且,对于原来分别属于VR VPN或BGP/MPLS VPN中不需要在这两种VPN之间互通的同类VPN站点之间的路由发布过程,均遵循各自VPN标准的路由发布规则。
步骤102根据获得的第二L3 VPN站点的路由信息,将第一L3 VPN站点中的数据发送到第二L3 VPN站点;或者根据获得的第一L3 VPN站点的路由信息,将第二L3 VPN站点中的数据发送到第一L3 VPN站点。
在完成VPN路由消息的学习后,需要互通VPN站点之间的数据转发在不同部分就分别遵循各自VPN标准的数据转发流程,通过逐段转发来完成端到端的VPN数据转发。例如当不同种类的VPN分别为VR VPN和BGP/MPLSVPN时,则可以实现“从VR站点到VR VPN到BGP/MPLS VPN到BGP/MPLS站点”的数据转发过程,也可以实现“BGP/MPLS站点到BGP/MPLS VPN到VR VPN到VR站点”的数据转发过程。
在数据转发过程中,由于存在相互通信的站点原来分别属于VR VPN和BGP/MPLS VPN,而VR VPN和BGP/MPLS VPN的转发方式可能不同,BGP/MPLS VPN进行MPLS转发,需要支持MPLS,但VR VPN的数据转发则没有这些限制,可以采取纯粹的IP转发,也可以采用MPLS转发。当需要互通的VR VPN和BGP/MPLS VPN的转发方式不同时,例如VR VPN和BGP/MPLS VPN分别属于两个运营商、且VR VPN所在运营商在骨干网进行IP转发时,需要互通的两个VPN中的站点之间的数据转发在互通的不同网络部分,分别遵循其所在的VPN类型对应的转发方式。在VR VPN和BGP/MPLS VPN互通过程中需要考虑成员关系信息的互通,成员关系在VRVPN中是通过为相同VPN的站点配置相同的VPN-ID来实现,在发布路由过程中只有配置有相同的VPN-ID的VR之间进行路由学习,因此VPN-ID不在发布VR VPN路由消息的IGP中携带。但在BGP/MPLS VPN中成员关系信息和VPN路由信息存在耦合关系,PE在进行VPN路由信息发布时携带Export Route Target属性,对端PE在收到VPN路由时通过匹配本端配置的Import Route Target确定是否接收相应的路由。为实现VR VPN和BGP/MPLS VPN的互通,需要在VR VPN-IWF单元和BGP/MPLS VPN-IWF单元上完成两种VPN的成员关系信息的转换。为在VR VPN-IWF单元和BGP/MPLS VPN-IWF单元之间实现VR VPN和BGP/MPLS VPN互通,需要在VR VPN-IWF单元和BGP/MPLS VPN-IWF单元之间建立MP-BGP关系。
在“VR站点到R VPN到BGP/MPLS VPN到BGP/MPLS站点”的数据转发过程中,首先是VR VPN站点的数据通过与之相连的VR(或者在入口Ingress PE的SPVR)和VR VPN-IWF单元之间的隧道将VPN数据通过该隧道转发给VR VPN-IWF单元,在VR VPN-IWF单元上根据在路由发布过程中保存的Export Route Target和VPN标签与VPN-IDTunnel-ID的映射关系,为该数据PUSH该VPN标签,再通过隧道转发到BGP/MPLS VPN-IWF单元。在BGP/MPLS VPN-IWF单元和出口(Egress)PE之间通过标签转发将数据包转发到Egress PE,Egress PE根据数据包的内层标签确定数据包的出接口,POP掉内层标签,将数据包通过IP转发到相应的BGP/MPLS VPN中的CE。
在“BGP/MPLS站点到BGP/MPLS VPN到VR VPN到VR站点”的数据转发过程中,BGP/MPLS站点中的数据经过入口(Ingress)PE和标签转发到达BGP/MPLS VPN-IWF单元,然后通过隧道转发到VR VPN-IWF单元,接下来根据VR VPN-IWF单元中保存的路由关系对应的VPN-IDTunnel-ID的映射关系,确定转发的隧道和下一跳,再从确定的隧道中将VPN数据包转发到相应的VR,由该VR将数据包转发到相连的VR VPN站点的CE,从而完成“BGP/MPLS站点到BGP/MPLS VPN到VR VPN到VR站点”的数据转发。
对于VR VPN和BGP/MPLS VPN属于同一个运营商的情况下,VR VPN-IWF单元可以和BGP/MPLS VPN-IWF单元合并为同一个设备。此时就不存在VR VPN-IWF单元和BGP/MPLS VPN-IWF单元之间的MP-BGP,但需要在该设备上完成路由双向重发布的功能,并且完成Route Target与VPN标签到VPN-IDTunnel-ID之间的映射。
图2为本发明一实施例的实现VR VPN和BGP/MPLS VPN互通的系统结构图。其中,VR VPN使用在PE中的SPVR之间的隧道上运行IGP来发布VPN路由消息,而BGP/MPLS VPN使用MP-BGP协议作为骨干网中分发VPN路由消息的协议。VR-VPN中的VR-PE之间以及BGP/MPLSVPN的BGP/MPLSPE之间均构成MP-IBGP的全连接分别完成VR VPN和BGP/MPLS VPN各自的成员发现。图2中的双箭头线表示VPN中PE之间的MP-BGP关系,虚线表示VR VPN骨干网IGP链路。可选地,在实际部署中可以采用路由反射器来取代MP-BGP的全连接。对于分别属于不同运营商(这两个运营商存在邻接关系)的VR VPN和BGP/MPLS VPN之间的互通,VR VPN-IWF单元在该VR VPN所在的AS中的ASBR上实现,BGP/MPLS VPN-IWF单元在该BGP/MPLS VPN所在的AS中的ASBR上实现。
图3为本发明第一实施例的实现VR VPN和BGP/MPLS VPN互通的方法流程图。如图3所示,包括以下步骤步骤301将BGP/MPLS VPN站点中的路由信息通过PE-CE之间的路由协议发布给BGP/MPLS VPN-PE。
步骤302BGP/MPLS VPN-PE通过它与BGP/MPLS VPN-IWF单元之间的MP-BGP将获得的路由信息发布给BGP/MPLS VPN-IWF单元,并携带export route target属性和内层标签,分别表示VPN拓扑关系和所在VPN。
步骤303BGP/MPLS VPN-IWF单元通过它和VR VPN-IWF单元之间的MP-BGP将这些路由信息发布给VR VPN-IWF单元,在VR VPN-IWF单元上完成export route target和内层标签到VPN-ID以及VR VPN-IWF单元和相应的对端VR之间隧道的映射,并将BGP路由消息重新分布到该隧道相应的对端VR。
步骤304对端VR通过和VR VPN-IWF单元的隧道上建立的IGP获得到这些路由信息,并通过VR和需要互通的站点的CE之间的路由协议发布获得到的路由消息。
至此,完成了BGP/MPLS站点的路由信息发布到VR站点。下面的步骤305到步骤308可实现VR VPN站点到BGP/MPLS VPN站点的数据转发。
步骤305VR VPN站点的数据通过与之相连的VR和VR VPN-IWF单元之间的隧道将VPN数据通过隧道转发给VR VPN-IWF单元。在这里,VR VPN站点的数据也可通过在Ingress PE的SPVR和VR VPN-IWF单元之间的隧道将VPN数据通过该隧道转发给VR VPN-IWF单元。
步骤306VR VPN-IWF单元根据在路由消息发布过程中保存的ExportRoute Target和VPN标签与VPN-IDTunnel-ID的映射关系,为该数据包PUSH该VPN标签,通过隧道转发到BGP/MPLS VPN-IWF单元。
步骤307在BGP/MPLS VPN-IWF单元和Egress PE之间通过标签转发将数据包转发到Egress PE。在这里,也可以通过其它类型的隧道将数据包转发到Egress PE。如果是标签转发,则需要在BGP/MPLS VPN-IWF单元和BGP/MPLS VPN-PE之间运行LDP/CR-LDP/RSVP-TE。
步骤308Egress PE根据数据的内层标签确定数据的出接口,POP掉内层标签,将数据通过IP转发到相应的BGP/MPLS VPN中的CE。
图4为本发明第二实施例的实现VR VPN和BGP/MPLS VPN互通的方法流程图。如图4所示,包括以下步骤步骤401VR VPN站点将站点中的路由信息通过VR-CE之间的路由协议发布给VR-PE,在VR-PE上对应于所属VPN-ID。
步骤402VR-PE通过它与VR VPN-IWF单元(在VR VPN-IWF单元上对应存储VPN-ID信息)之间的隧道(对应于Tunnel-ID)上建立的IGP,将学习到的站点中的路由信息发布给VR VPN-IWF单元,VR VPN-IWF单元上将IGP路由信息重新发布到BGP路由。
步骤403VR VPN-IWF单元通过它和BGP/MPLS VPN-IWF单元之间的MP-BGP将这些BGP路由信息发布给BGP/MPLS VPN-IWF单元,在VR VPN-IWF单元上为这些路由信息分配内层标签,并进行对应的VPN-IDTunnel-ID到export route target和内层标签的映射,将其作为BGP路由属性发布给BGP/MPLS VPN-IWF单元。
步骤404BGP/MPLS VPN-PE通过它和BGP/MPLS VPN-PE之间的MP-IBGP通过route target属性匹配有选择地获得这些路由消息,并将这些路由信息通过BGP/MPLS VPN-PE和需要互通的站点的CE之间的路由协议发布获得的路由信息。
至此,完成了VR站点的路由信息发布到BGP/MPLS站点的过程。应用下面的步骤405到步骤407即可实现BGP/MPLS VPN站点的数据转发到VR VPN站点。
步骤405BGP/MPLS站点中数据经过Ingress PE和标签转发转发到达BGP/MPLS VPN-IWF单元,或者通过其他类型隧道转发到达BGP/MPLSVPN-IWF单元。
步骤406BGP/MPLS VPN-IWF单元通过隧道将数据转发到VR VPN-IWF单元,接下来根据VR VPN-IWF单元中保存的路由关系对应的VPN-IDTunnel-ID的映射关系,确定转发的隧道和下一跳。
步骤407VR VPN-IWF单元从确定的隧道中将VPN数据转发到相应的VR,由该VR将数据包转发到相连的VR VPN站点的CE。
以上过程中,以实现VR VPN和BGP/MPLS VPN之间的互通为例而对本发明进行了说明。但是本发明并不局限与此,只要在本发明的精神和原则之内,也包括以后可能出现的其它类型的L3 VPN之间的互通。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种实现不同种类的第三层虚拟个人网络L3VPN互通的方法,其特征在于,包括以下步骤A、将第一L3VPN站点的路由信息发布到第二L3VPN站点,将第二L3VPN站点的路由信息发布到第一L3VPN站点;B、根据获得的第二L3VPN站点的路由信息,将第一L3VPN站点中的数据发送到第二L3VPN站点;或者根据获得的第一L3VPN站点的路由信息,将第二L3VPN站点中的数据发送到第一L3VPN站点。
2.根据权利要求1所述的方法,其特征在于,所述的第一L3VPN为虚拟路由器VR VPN,所述的第二L3VPN为边界网关协议/多协议标签交换BGP/MPLS VPN。
3.根据权利要求2所述的方法,其特征在于,步骤A所述的将BGP/MPLSVPN站点中的路由信息发布到VR VPN站点包括A11、BGP/MPLS VPN站点将该站点中的路由信息发布到BGP/MPLS VPN-运营商边缘路由器PE;A12、BGP/MPLS VPN-PE将该路由信息发布到BGP/MPLS VPN-互通功能IWF单元,所述路由信息中携带表示BGP/MPLS VPN拓扑关系的出口路由目标export route target属性和该BGP/MPLS VPN站点所在VPN的内层标签;A13、BGP/MPLS VPN-IWF单元将路由信息发布给VR VPN-IWF单元,并在VR VPN-IWF单元上完成export route target属性和该内层标签到VPN-ID的映射以及VR VPN-IWF单元和对端VR之间隧道的映射,并将所述路由信息分配到该隧道对应的对端VR;A14、对端VR获得到所述路由信息,并将所述路由信息发布到需要互通的VR VPN站点。
4.根据权利要求2所述的方法,其特征在于,步骤A所述的将VR VPN站点中的路由信息发布到BGP/MPLS VPN站点包括A21、VR VPN站点将该站点中的路由信息发布到VR-PE;A22、VR-PE通过与VR VPN-IWF单元之间的隧道,将所述路由信息发布到VR VPN-IWF单元;A23、VR VPN-IWF单元将所述路由信息发布到BGP/MPLS VPN-IWF单元;A24、BGP/MPLS VPN-PE通过export route target属性有选择地获得所述路由消息,并发布所述获得到的路由信息。
5.根据权利要求2所述的方法,其特征在于,步骤B所述的根据BGP/MPLSVPN站点中的路由信息,将VR VPN站点中的数据发送到BGP/MPLS VPN站点包括B11、VR VPN站点中的数据转发给VR VPN-IWF单元;B12、VR VPN-IWF单元根据Export Route Target属性和VPN内层标签与VPN IDTunnel-ID的映射关系为所述数据推上PUSH该VPN标签,并通过隧道转发到BGP/MPLS VPN-IWF;B13、BGP/MPLS VPN-IWF将数据转发到出口Egress PE;B14、Egress PE取出POP该VPN标签,并将数据转到相应的BGP/MPLSVPN中的CE。
6.根据权利要求5所述的方法,其特征在于,所述的B13为BGP/MPLSVPN-IWF单元通过标签转发将数据转发到Egress PE。
7.根据权利要求5所述的方法,其特征在于,所述的B13为BGP/MPLSVPN-IWF单元通过隧道转发将数据转发到Egress PE。
8.根据权利要求2所述的方法,其特征在于,步骤B所述的根据VRVPN站点中的路由信息,将BGP/MPLS VPN站点中的数据发送到VR VPN站点包括B21、BGP/MPLS站点中的数据经过入口Inhtess PE发送到BGP/MPLS VPN-IWF单元;B22、BGP/MPLS VPN-IWF单元将所述数据转发到VR VPN-IWF单元,VR VPN-IWF单元根据VPN-IDTunnel-ID的映射关系确定转发的隧道;B23、VR VPN-IWF单元从确定的隧道中将数据转发到相应的VR,由该VR将数据转发到相连的VR VPN站点的CE。
9.根据权利要求8所述的方法,其特征在于,步骤B21为通过标签转发将BGP/MPLS站点中的数据经过Ingress PE发送到BGP/MPLS VPN-IWF单元。
10.根据权利要求8所述的方法,其特征在于,步骤B21为通过隧道转发将BGP/MPLS站点中的数据经过Ingress PE发送到BGP/MPLS VPN-IWF单元。
11.根据权利要求3或4所述的方法,其特征在于,所述的VR VPN-IWF单元在该VR VPN所在的AS中的ASBR上实现,所述的BGP/MPLS VPN-IWF单元在该BGP/MPLS VPN所在的AS中的ASBR上实现。
12.根据权利要求3或4所述的方法,其特征在于,所述的VR VPN-IWF单元和BGP/MPLS VPN-IWF单元分别在尽量相邻的VR VPN PE和BGP/MPLS VPN PE之上。
全文摘要
本发明提供了一种实现不同种类的第三层(L3)虚拟个人网络(VPN)互通的方法,包括步骤实现第一L3 VPN站点中的路由信息和第二L3 VPN站点中的路由信息的双向发布;根据分别获得的路由信息,实现第一L3 VPN站点中的数据和第二L3 VPN站点中的数据的转发。应用本发明后,可实现不同种类的L3 VPN之间的互通。例如当分别使用VR VPN方式和使用BGP/MPLS VPN方式而实现的VPN之间需要互通组建Extranet时、或者这两个VPN需要合并为一个VPN时,可以不影响原来的VR VPN和BGP/MPLS VPN已有的各自站点之间的互访关系而实现这两种L3 VPN之间的互通,避免对VPN业务带来冲击,对VPN业务的平滑过渡提供了保证。
文档编号H04L29/06GK1780249SQ20041009172
公开日2006年5月31日 申请日期2004年11月25日 优先权日2004年11月25日
发明者李德丰 申请人:华为技术有限公司