专利名称:在链路状态协议受控以太网网络上实现vpn的制作方法
技术领域:
本发明涉及以太网网络,更具体来说涉及在链路状态协议受控以太网网络上实现 VPN。
背景技术:
数据通信网络可以包括多种计算机、服务器、节点、路由器、交换机、网桥、集线器、 代理以及耦合且配置成彼此传递数据的其他网络装置。在本文中将这些装置称为“网络 单元”。通过利用网络单元之间的一个或多个通信链路在网络单元之间传递如因特网协议 (IP)分组、以太网帧、数据信元(cell)、片断或数据位/字节的其他逻辑关联的协议数据单 元来经由数据通信网络通信数据。当特定协议数据单元通过网络在源和目的地之间传播 时,特定协议数据单元可由多个网络单元进行处理并跨过多个通信链路。通信网络上的多种网络单元使用本文称为协议的预定义规则集彼此通信。使用不 同协议来监管通信的多个不同方面,如信号应该如何形成以供网络单元之间的传输,协议 数据单元应该像什么样、协议数据单元应该由网络单元如何处理或经由网络路由以及如路 由选择信息的信息应该如何在网络单元之间交流(exchange)的多个方面。以太网是公知的联网协议,它由电气和电子工程师协会(IEEE)定义为标准802. 3 以及用于以太网桥接功能性的802. 1。在以太网网络体系结构中,连接到网络的装置在任 何给定时间为使用共享通信路径能力而竞争。在使用多个网桥或节点来互连网络段的情况 中,常常存在到同一目的地的多个可能路径。此体系结构的好处在于,它提供网桥之间的路 径冗余性,并且允许以附加链路形式给网络增加容量。但是,为了防止形成回路(loop),一 般使用生成树来限制在网络上广播业务或洪泛(flood)业务的方式。生成树的特点在于, 网络中任何一对目的地之间只有一个路径,因此“获知”与分组所经过的给定生成树关联的 连通性是可能的。但是,生成树本身有局限性,并且常常导致生成树上链路的过度利用而不 是生成树一部分的链路未被利用。为了克服以太网网络中固有的一些局限性,在2006年10月2日提交的标题为 "Provider Link State Bridging”的申请号11/537,775中公开一种链路状态协议受控 以太网网络,因此将其内容通过引用结合于此。正如该申请中更详细描述的,并不在每个 节点通过使用与透明桥接组合的生成树协议(STP)算法来利用获知的网络视图(network view),而是在链路状态协议受控以太网网络中,形成网格网络的网桥交流链路状态公告 (advertisement)以使每个节点能够具有同步的网络拓扑视图。这通过链路状态路由选择 系统的公知机制实现。提供方链路状态桥接网络优选使用如IEEE 802. Iah中定义的MAC 中MAC(MAC-in-MAC)封装,以便完全将客户(C-MAC)地址空间与提供方(B-MAC)地址空间分离,使得链路状态路由选择系统仅暴露于在提供方控制下分配的B-MAC地址。通过使用 MAC中MAC封装,网络中的网桥拥有同步的网络拓扑视图,拥有必要的单播和多播连通性知 识,可以计算网络中任何一对网桥之间的最短路径连通性,并且可以单独根据计算的网络 视图填充(populate)其转发信息库(FIB forwarding information base),所有这些仅依 据提供方管理的B-MAC地址。当所有节点已经计算它们在同步视图中的角色并填充它们的FIB时,网络将拥有 从对等网桥集(出于无论哪种原因需要与任何给定网桥通信的那些网桥)到该任何给定网 桥的无回路单播树;以及按在任何给定网桥托管(host)的服务实例将拥有从该任何给定 网桥到同一对等网桥集或子集的全等且无回路的点到多点(P2MP)多播树。结果是给定网 桥对之间的路径不限于通过(transit)生成树的根网桥,而且总结果可以更好利用网格连 通性的宽度。本质上,每个网桥构成定义至该网桥的单播连通性和来自该网桥的多播连通 性的一个或多个树的根。当客户业务进入提供方网络时,客户MAC地址(C-MAC DA)被解析为提供方MAC地 址(B-MAC DA),使得提供方可以使用提供方MAC地址空间在提供方网络上转发业务。此外, 提供方网络上的网络单元配置成基于虚拟LAN ID(VID)转发业务,使得被寻址到同一目的 地地址但具有不同VID的不同帧可以经由网络通过不同路径转发。操作中,链路状态协议 受控以太网网络可以将一个VID范围与最短路径转发关联,使得单播和多播业务可以使用 该范围中的VID进行转发,而业务工程路径可以跨网络在最短路径以外的路径上创建,并 使用第二 VID范围进行转发。链路状态路由选择协议的两个示例包括开放式最短路径优先(0SPF:0pen Shortest Path First)禾口 中间系统至Ij 中间系统(IS—IS Jntermediate System to Intermediate System),但是还可以使用其他链路状态路由选择协议。IS-IS在例如ISO 10589和IETF RFC 1195中进行了描述,由此将其各个内容通过引用结合于此。除了安装最短路径单播转发状态外,节点还可以为网络上的多播树安装转发状 I。 2007 ρ 2 @ 5Implementation in a Link State Protocol Controlled Ethernet Network,,的美国专利申请号11/702,263中更详细地描述了在链路 状态协议受控以太网网络中实现多播的方法的示例,由此将其内容通过引用结合于此。正 如该申请中描述的,可以使用链路状态公告来公告多播组成员关系以使多播组的转发状态 被安装在网络上。具体来说,可以给给定多播组的每个源分配用于在网络上转发帧的目的 地MAC地址(DA)。如果网络上的节点确定它们在从多播源到通过链路状态协议公告多播组 中“兴趣”的目的地节点中至少之一的最短路径上,则它们安装源/组树的转发状态。多播中的兴趣可以基于如I-SID的兴趣标识符群体(community),使得网络上的 节点将在它位于均已在与多播组关联的兴趣标识符群体中公告兴趣的源与目的地之间的 最短路径上时为多播组安装转发状态。I-SID通常与802. Iah关联,且意味着附加的MAC 报头(客户源和目的地MAC地址)。本文中容易理解并假设采用没有C-MAC报头的I-SID。 但是,转发状态基于与多播关联的多播DA和VID。操作中,网络上的多个节点可以在特定 I-SID中公告兴趣。网络上的节点跟踪哪些节点在哪个I-SID中公告了兴趣,并将在它们位 于在特定I-SID中公告了兴趣的两个节点之间的最短路径上时为与I-SID关联的DA/VID 对安装转发状态。这允许在不要求在网络上洪泛帧的情况下为兴趣群体安装转发状态。
链路状态协议受控以太网网络工作在链路层(第2层)。S卩,入口(ingress)节 点创建可用于跨以太网网络、例如从节点A到节点E交换(switch)帧的MAC报头。其他网 络、如因特网协议(IP)网络工作在例如第3层(网络层)的更高层。IP网络基于与IP分 组关联的IP报头的IP地址转发分组。在常规IP网络中,在经由网络的每一跳(hop)执行 IP查询。S卩,每个节点将剥离外部以太网报头,读取IP报头,并进行IP查询以路由分组穿 过网络。然后节点将添加新以太网报头以便在网络上将分组转发到下一节点。图1示出多协议标签交换(MPLS :multi-protocol label switching)网络中如何 进行IP转发。MPLS网络减少了要求在网络中在各个路由器执行的IP查询的数量。在MPLS 网络中,将经由MPLS网络建立多个标签交换路径(LSP :Label Switched Path)。经由网络 确定并创建LSP的特定方式是公知的。在图1所示的示例中,将假定标签交换路径包括节 点A、B、C、D、E0当分组从网络X到达边缘路由器22A时,边缘路由器22A将执行IP查询 以确定应该使用哪个标签来将IP分组经由MPLS网络交换到LSP以到达网络Y。边缘路由 器22A还将确定分组在路径上的下一跳,并将MAC报头应用于分组以使分组被转发到在路 径上的下一跳(路由器22B)。路由器22B将剥离外部MAC报头并读取MPLS标签。当经由网络建立了 LSP时,标 签分配协议将已经创建路径上标签之间的关联,从而例如在特定IP转发等价类的标签100 与标签210之间形成关联。标签关联允许路由器使用标签来转发分组而不是执行IP查询。 因此,例如当路由器22B接收到具有MPLS标签100的分组时,它将用新MPLS标签210替换 标签,并将分组转发到出站(outbound)接口。在转发分组之前,路由器22B将给分组添加 新MAC报头,在本实例中新MAC报头是SA = J、DA = K以将源MAC地址识别为路由器22B 上的MAC J以及将目的地MAC地址识别为路由器22C上的MAC K。该过程将在沿标签交换 路径上的每一跳重复,直到分组到达标签边缘路由器(节点E)为止。MPLS因此允许在MPLS网络的边缘执行单次IP路由查询,并允许使用标签交换而 不是IP查询来跨MPLS网络转发分组。执行初始IP查询并将标签分配给分组以将分组置 于LSP的边缘路由器称为标签边缘路由器(LER)。MPLS网络上执行标签交换的中间路由器 一般称为标签交换路由器(LSR)。在每一跳通过在剥离MAC报头之后互换(swap)标签来实 现MPLS网络中的转发。MPLS转发仍要求在跨网络(当采用以太网链路时)的每一跳进行 MAC报头剥离,要求每个LSR执行标签查询和标签互换,并要求每个LSR然后添加另一 MAC 报头以将分组沿LSP递送到下一 LSR。此过程要求每个节点上的处理和智能,因此这导致成 本高的解决方案。此外,为使之有效,必须在开始时建立LSP,这本身是计算成本高的过程。2007年 12月 31 日提交的标题为“IP Forwarding Across A Link State Protocol Controlled Ethernet Network”的美国专利申请号12/006,258中公开了一种使链路状态 协议受控以太网网络能够实现网络层转发的方法,为此将其内容通过引用结合于此。此外, 2007年 12月 31 日提交的标题为“MPLS Node Replacement Using A Link State Protocol Controlled Ethernet Network”的美国专利申请号12/006,257中还公开了一种使链路状 态协议受控以太网网络能够替换MPLS网络中标签交换路由器的方法,由此同样将其内容 通过引用结合于此。因为许多客户可以共享提供方的网络,所以已经开发了多种技术来允许将一个客 户的数据与另一客户的数据隔离。按照惯例,这通过使用虚拟专用网络来实现。图2示出其中已经跨网络建立一个或多个虚拟专用网络(VPN)的示范MPLS网络。可以使用对IPv4VPN 的因特网工程任务组(IETF)请求评论(RFC) 4364或对IPv6VPN的RFC 4659中提出的过程 在MPLS网络上建立VPN。简言之,为了在MPLS网络上建立VPN,参与到VPN的每个LER将 实现虚拟路由选择和转发(VRF)表。VRF用于保存VPN的路由。在MPLS网络内使用如内部 边界网关协议(iBGP)的路由选择协议在VRF之间交流路由选择信息。当边缘节点从客户 例如经由外部BGP(e-BGP)获知路由时,VRF将根据VRF的路由导出(export)策略导出经 iBGP到VPN上其他VRF的路由。当VRF接收到路由时,它将根据它的路由导入(import)策 略导入路由。由此,VRF将安装要用于在VPN上转发业务的路由选择信息。当在至MPLS网络的入口接收到分组时,入口 LER将确定跨MPLS网络路由分组要 使用的正确VRF,并在VRF中执行IP查询确定分组的下一跳。入口 LER将获取分组的标签, 并经MPLS网络将分组转发到LSP。入口 LER还可以分配内部标签,内部标签将允许在出口 (egress) LER识别正确VRF。因为IP VPN在MPLS网络上盛行,并且能够集成链路状态协议 受控以太网网络以与IP或MPLS网络一起工作或替代IP或MPLS网络,所以允许IP VPN在 链路状态协议受控以太网网络上实现将是有利的。
发明内容
链路状态协议受控以太网网络上节点实现如中间系统至中间系统(IS-IS)的链 路状态路由选择协议。网络上的节点从也称为链路状态分组的IS-IS链路状态公告(LSA) 获知邻接性(adjacency),并计算网络上所有节点对之间的最短路径。每个参与节点填充 其转发信息库(FIB)以构造网络上各节点对之间的单播转发状态。还可以构造业务工程 (engineered)路径,并将TE路径的转发状态安装到网络上的节点FIB。IS-IS允许与特定网络单元中使用的交换或转发技术无关地交流拓扑信息以及第 2层和第3层地址至特定网络位置和接口的绑定。链路状态协议受控以太网网络上的节点 按VRF分配IP地址,然后在IS-IS链路状态公告(LSA)中公告与其VRF关联的IP地址。可 以创建类型长度值(TLV)以向节点指示LSA包含VRF的IP地址。当接收到分组时,至链路 状态协议受控以太网网络的入口节点识别分组的VRF,并在VRF中执行IP查询以确定下一 跳和网络上VRF的出口节点。入口节点创建具有源IP地址=入口 VRF IP地址及目的地IP 地址=出口 VRF IP地址的IP报头。入口节点还创建MAC报头以将分组置于至链路状态协 议受控以太网上出口节点的路径。链路状态协议受控以太网上的节点使用其FIB中的转发 状态将分组转发给DA/VID,而不在每一跳执行MAC剥离操作。当在出口节点接收到分组时, 从分组中剥离MAC报头,并使用IP报头识别出口 VRF。然后,通过使用客户端IP报头中的 信息来确定如何转发分组,在出口节点上在所识别VRF中执行IP查询。2007年11月6日 提交的标题为"Supporting BGPBased IP-VPN in a Routed Network”的美国专利申请号 11/935,563中公开了在以太网网络上实现IP-VPN关联的附加细节,因此将其内容通过引 用结合于此。在另一实施例中,给链路状态协议受控以太网网络上的节点所支持的每个VRF分 配I-SID。每个节点公告与其VRF关联的I-SID集。使用iBGP来在VRF之间交流路由,其 中iBGP交流还对I-SID进行编码或具有预先配置的I-SID以路由目标绑定,使得VRF能够 识别哪些路由受关注。在一个实施例中,使用RFC 4364以在VRF之间交流路由,并且根据实施例,不仅使用iBGP来交流路由,而且还交流用于识别VRF的I-SID值。当入口节点接 收到分组时,它识别入口 VRF并执行IP查询以确定分组的下一跳。入口节点将确定与VRF 关联的I-SID,并将I-SID添加到分组以使出口节点能够确定要用于将分组转发出网络的 正确VRF。入口节点还将创建MAC报头以将分组置于至链路状态协议受控以太网上出口节 点的路径。链路状态协议受控以太网上的节点使用其FIB中的转发状态将分组转发给DA/ VID,而不在每一跳执行MAC剥离操作。当在出口节点接收到分组时,从分组中剥离MAC报 头,并使用I-SID来识别出口 VRF。然后,通过使用客户端IP报头中的信息,在出口节点上 所识别VRF中执行IP查询以确定如何转发分组。在另一实施例中,与第二实施例中一样,给每个VRF分配I-SID,但是不使用iBGP 来在VRF之间交流路由。而是通过将路由信息包含在网络上交流的链路状态公告(LSA) 中,在链路状态协议受控以太网上的节点之间本地交流路由信息。可以创建新类型长度值 (TLV)以允许LSA基于按I-SID (按VRF)载送路由信息。当跨链路状态协议受控以太网网 络转发分组时,入口节点和出口节点以与前一实施例相同的方式使用路由选择信息。
在随附权利要求书中具体指出本发明的多个方面。附图中以示例方式图示本发 明,附图中相似引用指示相似单元。附图仅出于说明目的公开本发明的多种实施例,而无意 限制本发明的范围。为了清楚起见,并未在每个附图中标记每个组件。在附图中图1是示出可如何在MPLS网络中实现IP转发的功能框图;图2是示出在MPLS网络中交流路由选择信息的功能框图;图3是配置成根据本发明实施例实现IP VPN的示范链路状态协议受控以太网网 络的功能框图;图4是可根据本发明实施例能够在图3的链路状态协议受控以太网网络中实现IP VPN所实现的过程的流程图;图5是配置成根据本发明实施例实现IP VPN的示范链路状态协议受控以太网网 络的功能框图;图6是可根据本发明实施例能够在图5的链路状态协议受控以太网网络中实现IP VPN所实现的过程的流程图;图7是配置成根据本发明实施例实现IP VPN的示范链路状态协议受控以太网网 络的功能框图;图8是可根据本发明实施例能够在图7的链路状态协议受控以太网网络中实现IP VPN所实现的过程的流程图;图9是链路状态公告(LSA)可如何根据本发明实施例构造类型长度值(TLV)的一 个示例的功能框图,类型长度值将允许LSA在与IP VPN关联的VRF之间载送路由选择信息; 以及图10是配置成根据本发明实施例在链路状态协议受控以太网网络中使用的网络 单元的可能实现的示意表示。
具体实施例方式通过使至网络中交换域的入口节点将网络层地址映射到经由链路状态协议受控 以太网网络的路径,可使用链路状态协议受控以太网网络实现网络层路由选择和转发。虽 然本描述频繁地将IP地址称为示范网络层地址,但是本公开旨在同样应用于其他类型的 网络层地址。因此,本发明不限于依赖于网络层寻址的IPv4或IPv6的实现,而是同样应用 于其他形式的网络层寻址。将如IP地址的网络层地址映射到链路状态协议受控以太网网络中的路径,允许 通过使至交换网络的入口节点将IP地址映射到链路状态协议受控以太网网络上的端点以 太网MAC地址来进行在交换网络上的IP转发。当在链路状态协议受控以太网网络上的节 点获知网络层地址时,节点可以公告网络层地址知识。公告网络层地址允许入口节点在接 收到网络层分组时确定网络上哪个其他链路状态协议受控以太网网络节点能够到达该网 络层地址。至链路状态协议受控以太网网络的入口节点创建用于将网络层分组转发到网络 上端点MAC地址的MAC报头。如果入口节点是节点A,并且预期出口节点是节点E,则入口 节点A将创建被寻址到与节点E关联的MAC地址的MAC报头。因为中间节点将已经安装最 短路径转发状态以允许它们沿至该节点的最短路径转发被寻址到MAC E的分组,所以这些 中间节点仅在其转发信息库(FIB)中执行MAC查询,并将分组转发到网络上的正确目的地。 这些中间节点不要求在沿路径的每一跳剥离MAC报头也不要求创建新MAC报头。因此,链路 状态协议受控以太网网络路径可用于实现经链路状态协议受控以太网网络的网络层转发。可以使用以太网交换来实现其中可在分组到达交换域中的转发实体时对分组执 行单次网络层查询的网络层转发。可以将网络地址映射到MAC报头,MAC报头可用于跨交 换域传输分组而不要求在分组经过(traverse)交换域时进行进一步的网络层查询操作。 不同于传统的路由网络,交换域允许网络层业务在不执行网络层查询的情况下经由多个以 太网交换机进行转发。因此,能够获得不对所有节点要求网络层查询的MPLS功能目标。但 是,使用链路状态协议受控以太网网络转发网络层业务具有优于MPLS的其他优点它不要 求在中间节点剥离MAC报头,没有互换模拟交换行为而添加的标签,也没有管理链路本地 标签绑定所要求的关联信令开销。而是,可以在分组经过网络上的节点时使用同一 MAC报 头来经多个网络节点交换分组。图3是功能框图,示出根据本发明实施例示范选择形成经链路状态协议受控以太 网网络的路径的节点以及交流路由选择信息以允许网络实现IP VPN。在图3以及下文论 述的图5和图7所示的实施例中,将假定节点A-E正参与到链路状态协议受控以太网网络, 其中网络中的每个节点交流链路状态公告(LSA)以获知网络拓扑,并将最短路径转发状态 (多播和单播)安装到其转发信息库中。链路状态协议受控以太网网络可以包括为避免使 附图太复杂而未在这些示例中示出的众多其他节点。在图3所示的实施例中,通过使链路状态协议受控以太网网络上的入口和出口节 点为每个所支持IP VPN实现VRF,可以在链路状态协议受控以太网网络上实现IP VPN。具 体而言,要支持特定IP VPN的每个节点将为该IP VPN实现VRF,使得它可以保密方式为IP VPN维持路由选择信息。在IP VPN领域中VRF是公知实体。客户端(client)路由可仅配 置在VRF中,或使用如外部BGP的外部路由选择协议通过客户端公告来发现,然后由入口节
10点将其存储在IP VPN的VRF中。链路状态协议受控以太网网络中不同节点上的VRF以常 规方式交流路由,在本实施例中,使用如iBGP的内部路由选择协议。图4示出可用于允许在链路状态协议受控以太网网络上实现IPVPN的一个过程。 如图4所示,根据本发明实施例,链路状态协议受控以太网网络上的每个节点将给它支持 的每个VRF分配IP地址(从提供方的全局IP地址空间,与每个IP VPN内使用的客户IP地 址空间分离)(400)。链路状态协议受控以太网网络上的节点一般公告它们知道的IP地址, 并且根据本发明实施例还可以使用该同一机制公告分配给其VRF的全局IP地址(402)。可 选地,可以使用唯一 TLV来指定给VRF分配由LSA载送的IP地址而非普通IP地址。当其 他节点接收到包含与VPN关联或给VPN分配的IP地址的LSA时,它们将在其链路状态数据 库中把IP地址添加到其用于该节点的条目。因此,所有节点都知道与所有其他节点的VRF 关联的提供方全局IP地址。具有相同IP VPN的VRF的节点以常规方式使用iBGP来交流 路由以将VPN的路由选择信息填充到VRF(406)。当至链路状态协议受控以太网网络的入口节点(如图3中的节点A)在rai接口 上接收到IP分组(410)时,它将识别待用于执行IP查询的VRF以确定如何处理该IP分组 (412),这常常从到达的物理或虚拟端口进行推断。在确定VRF之后,入口节点将在VRF中 执行IP查询以确定分组的目的地(414)。假定出口节点是图3中的节点E,则VRF中的IP 查询将返回节点E作为分组下一跳。入口节点将通过把入口节点上VRF的IP地址用作源地址以及把出口节点上VRF 的IP地址用作目的地地址来添加IP报头302(416)。例如,在图3所示的网络中,IP报头 把节点A上VRF的IP地址用作源地址以及把节点E上VRF的IP地址用作目的地地址。IP 报头将允许出口节点当在出口节点E接收到分组时识别用于将分组转发出链路状态协议 受控以太网网络的正确VRF。入口节点还创建MAC报头以将分组置于经由链路状态协议受控以太网网络的交 换路径上(418)。正如上文提到的,链路状态受控以太网网络上的节点将安装转发状态以沿 至目的地MAC地址的最短路径交换分组。节点能够通过读取MAC报头的DA和VID,然后转 发分组而不要求在每一跳剥离和替换MAC报头来做到这一点。因此,可以跨链路状态协议 受控以太网网络转发分组以到达其在图3中的目的地(节点E)。当出口节点E接收到分组时,它将剥离外部MAC报头304,并使用外部IP报头302 来识别要用于转发分组的正确VRF(420)。然后,出口节点将使用所识别VRF中的内部客户 IP报头300执行IP查询以将分组转发到正确目的地(422)。图5和图6示出可以如何在链路状态协议受控以太网网络上实现IP VPN的另一 示例。如图5-6所示,在本实施例中,链路状态协议受控以太网网络上的边缘节点向在本地 例示为VRF的每个VPN分配I-SID (600)。边缘节点将I-SID包含在结合链路状态协议受控 以太网网络上使用的链路状态协议传送的链路状态公告(LSA)中。例如,如果正将IS-IS 用作链路状态协议,则边缘节点将生成包含给在该边缘节点支持的VPN分配的I-SID的 LSA(602)。因此,如果E支持特定VPN,则它将该VPN的I-SID分配给VRF,并生成将传送 到A的LSA。A将与节点E支持的VRF关联的I-SID添加到其对于节点E的链路状态数据 库(LSDB)条目(604)。通过以标准方式使用iBGP,交流多个网络节点上实现的相同VPN的 VRF 信息(606)。
当A接收到分组(610)时,它将识别要用于执行IP查询的VRF(612)并在VRF中 执行IP查询以确定下一跳。在此实例中,将假定查询为E中例示的此VPN返回经VRF可到 达的IP地址(614)。A将I-SID 502添加到分组以识别用于转发E上分组的VPN以及最终 VRF(616),并创建MAC报头504以将分组置于经链路状态协议受控以太网网络至E的路径 (618)。当E接收到分组时,它将剥离外部MAC报头504,并使用I-SID 502来为要用于转发 分组的那个VPN识别VRF(620)。E将在所识别的VRF中使用客户IP报头500执行IP查询 以将分组转发(622)到正确的面向客户接口。图7-8示出本发明的另一实施例,其中在用于链路状态协议受控以太网网络的 IS-IS协议中交流I-SID标记的客户路由选择信息。由此,本实施例以与图5-6所示的实施 例相似的方式工作,例外的是,在本实施例中使用链路状态路由选择协议在VRF之间交流 路由选择信息而不要求使用如iBGP的内部网关路由选择协议来交流路由。具体而言,如图7-8所示,边缘节点将识别VPN的I-SID绑定到边缘节点支持的每 个VRF(800),并在链路状态协议受控以太网网络上在LSA中公告I-SID(802)。当节点接收 到包含I-SID的LSA时,它将I-SID添加到其对于发出LSA的节点的LSDB条目(804)。当 节点获知与I-SID关联的新路由时,它将路由填充到正确VRF,且还生成包含路由的LSA。 可以使用新类型长度值(TLV)来在VRF之间载送路由选择信息,如下文结合图9所述。因 此,端节点之间交流的LSA包括VRF的路由信息(按I-SID的路由信息),使得边缘节点可 以避免运行iBGP (806)。当如节点A的边缘节点接收到分组时(810),它将识别要用于对分组执行IP查询 的VRF(812)。边缘节点然后将在VRF中执行IP查询以确定分组的下一跳。在此示例中,将 假定分组的下一跳是出口节点E(814)。入口节点(节点A)将I-SID 702添加到分组以在VPN的E上识别应该用于处理 分组的VRF(816)。A还将创建MAC报头704以将分组置于经链路状态协议受控以太网网络 至出口节点(节点E)的交换路径上(818)。当出口节点接收到分组时,它将剥离外部MAC报头704,并使用I-SID 702来识别 要用于转发分组的VRF(820)。出口节点然后将在所识别VRF中使用客户IP报头700执行 IP查询以将分组从链路状态协议受控以太网网络转发到正确的面向客户接口。正如上文结合图7-8提到的,可能有必要定义新类型长度值(TLV)以允许IS-IS 链路状态公告(LSA)按I-SID载送路由信息。TLV指定LSA的格式,以允许网络上的节点以 正确方式解释LSA的字段。基本上,TLV指定LSA的格式,并指定可以在LSA中运送的信息 的类型。IS-IS TLV的格式由ISO 10589定义。此标准规定TLV的第一个八位组(octet) 对提供信息范围和信息格式的类型或“码点”进行编码。图9图示可以用于允许IS-IS LSA基于按I-SID在VRF之间运送路由选择信息的 一个可能ISIS LSA (TLV)。已假定LSA TLV的第一个八位组将指定值,该值将允许链路状态 协议受控以太网网络上的系统理解LSA TLV中包含的字段的格式。在图9所示的示范TLV中,TLV 900包含作为常规TLV中标准字段的若干字段。例 如,TLV可以包含系统ID字段902、区域地址字段904以及与发出LSA的节点的相邻节点 (neighbor)有关的信息906。TLV还包含供节点指定其IPv4接口 908以及识别其知道的 IPv4地址908和IPv6地址910的字段。TLV还可以包含其知道的I-SID 914。
12
根据本发明的实施例,TLV还可以包含将允许节点指定可用于IPVPN、已分配给在 该节点例示的VRF的I-SID的字段(916)。如上文提到的,允许节点给VRF分配I-SID将 允许节点在跨链路状态协议受控以太网网络传送分组时将I-SID报头包含在分组上,使得 可以确定要由出口节点用于将分组转发出网络的正确VRF。因此,TLV允许节点通过公告分 配给那些VRF的IP VPN-I-SID知识来公告特定VRF知识。在图5_6所示的实施例以及图 7-8所示的实施例中,将使用IPVPN-I-SID字段916来公告VRF。TLV 900还包括允许LSA包含IPv4路由918和IPv6路由920的两个附加子字段。 按IP VPN-I-SID包含这两个子字段,使得可以基于按IP VPN-I-SID指定IPv4和IPv6。这 允许使用链路状态路由选择系统中实现的本地(native)LSA在VRF之间交流路由选择信 息,而不要求在VRF之间运行如iBGP的单独路由选择协议实例。VRF可以在导出路由时应 用VRF路由导出策略,并且还可以在决定是否将路由选择信息导入到其VRF中时应用标准 VRF导入策略。还可以使用其他TLV格式,图示的实施例旨在提供可以如何将LSA格式化以 载送与IP VPN关联的信息的示例。图10是如图3、5和7中网络单元A-E的网络单元的可能实现的示意表示,网络单 元配置成在链路状态协议受控以太网网络中使用。网络单元包括路由选择系统模块80,路 由选择系统模块80配置成使用链路状态路由选择协议来与链路状态协议受控以太网网络 中的对等方交流包含关于网络拓扑的路由选择和其他信息的控制消息。路由选择系统80 接收的信息可以存储在链路状态数据库88中或以其它方式存储。如前文论述的,信息交流 允许网络上的节点生成同步的网络拓扑视图,该视图允许路由选择系统模块80计算至网 络上其他节点的最短路径。将路由选择系统80计算的最短路径规划到FIB 82中,FIB 82 填充有适当条目以用于基于计算的最短路径、多播树、业务工程路径条目以及基于其他条 目来指引业务穿过网络。根据本发明的实施例,路由选择系统80可以交流包含网络层可达性信息的路由 更新。网络上的节点知道的网络层地址将被存储在网络单元上的链路状态数据库88中,以 允许出口节点在网络层分组到达时选择链路状态协议受控以太网网络上的正确出口节点。 网络层地址知识还允许在网络上实现多播转发状态,以便通过使节点安装相同IP多播组 中感兴趣的节点对之间的转发状态而允许网络层多播由网络上的节点进行处理。根据本发明实施例的网络单元还包括VRF 90,VRF 90配置成包含用于要在链路 状态协议受控以太网网络上实现的VPN的路由选择信息。VRF可以如图所示地单独实现,或 者可以作为FIB 82的指定部分实现。当接收帧时,如果分组的DA指示将分组寻址到节点,则节点将从分组剥离外部 MAC报头,并查看内部I-SID或IP报头以确定用于为分组执行IP查询的VRF。然后节点将 访问正确的VRF,基于客户IP报头执行IP查询,并将分组转发给客户IP报头的目的地地址。还应理解,正如本领域技术人员将理解的,所描述的模块仅出于说明目的,并且可 以通过在节点的模块之中组合或分配功能来实现所述模块。上述功能可以实现为存储在计算机可读存储器中并在计算机平台的一个或多个 处理器上执行的程序指令集。但是,对于本领域技术人员而言显而易见,本文描述的所有逻 辑可以通过使用分立组件、如专用集成电路(ASIC)的集成电路、结合如现场可编程门阵列(FPGA)或微处理器的可编程逻辑装置使用的可编程逻辑、状态机或包括它们的任何组合的 任何其他装置来体现。可编程逻辑可以暂时或永久固定在如只读存储器芯片、计算机存储 器、磁盘或其他存储媒体的有形媒体中。所有此类实施例应落入本发明的范围。
应该理解,可以在本发明的精神和范围内对附图所示以及说明书中描述的实施例 进行多种更改和修改。相应地,上文描述中包含以及附图中所示的所有内容应从说明而非 限制的意义来解释。本发明仅按随附权利要求书及其等效中定义的进行限定。
权利要求
一种在链路状态协议受控以太网网络上实现第3层虚拟专用网络(VPN)的方法,所述方法包括如下步骤给所述VPN分配VPN I SID;在所述链路状态协议受控以太网网络中第一节点上为所述VPN建立第一VRF;给所述第一VRF分配所述VPN I SID;由所述第一节点在第一链路状态协议链路状态公告中公告所述VPN I SID;在所述链路状态协议受控以太网网络中第二节点上为所述VPN建立第二VRF;给所述第二VRF分配所述VPN I SID;由所述第二节点在链路状态协议链路状态公告中公告所述I SID的第二附件;以及在所述链路状态协议受控以太网网络上传送数据分组时使用所述VPN I SID来允许接收所述分组的节点识别要用于所述分组的进一步处理的正确VRF。
2.如权利要求1所述的方法,所述方法还包括如下步骤在所述链路状态协议受控以太网网络中其他节点上为所述VPN建立多个附加VRF ; 给所述其他VRF分配所述VPN I-SID ;以及由所述其他节点在链路状态协议链路状态公告中向所述其他VRF公告所述I-SID的附件。
3.如权利要求1所述的方法,其中使用iBGP来在所述VRF之间交流用识别I-SID标记 的客户路由。
4.如权利要求3所述的方法,其中还通过iBGP交流识别所述VRF的I-SID。
5.如权利要求1所述的方法,其中使用链路状态协议公告来在所述VRF之间交流用识 别I-SID标记的客户路由。
6.如权利要求5所述的方法,其中还使用所述链路状态协议公告来交流所述链路状态 协议受控以太网网络的路由选择信息。
7.如权利要求6所述的方法,其中所述链路状态协议是中间系统到中间系统(IS-IS), 而所述链路状态协议公告具有类型长度值(TLV),所述类型长度值(TLV)向所述链路状态 协议受控以太网网络上的节点指定所述IS-IS链路状态公告载送与VPN关联的客户路由。
8.如权利要求7所述的方法,其中所述TLV使IPv4及IPv6客户路由能够在所述IS-IS 链路状态协议公告中载送。
9.一种在链路状态协议受控以太网网络上实现因特网协议(IP)虚拟专用网络(VPN) 的方法,所述方法包括如下步骤在所述链路状态协议受控以太网网络中第一节点上为所述IPVPN建立第一 VRF ; 在所述链路状态协议受控以太网网络内在链路状态公告中公告与所述第一节点的所 述第一 VRF和MAC地址关联的第一全局IP地址;在所述链路状态协议受控以太网网络的中间节点中建立至所述MAC地址的转发状态;以及在所述链路状态协议受控以太网网络上第二节点具有要传送到所述链路状态协议受 控以太网网络上所述第一节点的与所述VPN关联的分组时,由所述第二节点对所述分组预 先考虑第一报头,所述第一报头包含与所述第一 VRF关联的全局IP地址,然后由所述第二 节点对所述分组预先考虑第二报头,所述第二报头包含所述第一节点的MAC地址,并将具有所述第一和第二报头的分组转发到所述链路状态协议受控以太网网络。
10.如权利要求9所述的方法,其中所述链路状态协议受控以太网网络上的中间节点 使用所述第二报头的MAC地址根据所述链路状态协议受控以太网网络的节点中用于该MAC 地址的已安装转发状态转发所述IP分组。
11.如权利要求10所述的方法,其中当所述第一节点接收到所述分组时,它读取所述 MAC报头以获知所述MAC报头的目的地地址与其自身MAC地址匹配,然后读取所述第一报头 的IP地址以识别所述第一 VRF。
12.如权利要求11所述的方法,其中识别所述第一VRF的IP分组还包含第二客户端 IP报头,所述第二客户端IP报头包含可结合所述第一VRF中的路由选择信息用于确定所述 IP分组的客户面向接口的路由选择信息。
13.如权利要求9所述的方法,其中使用iBGP在所述第一VRF与和所述VPN关联的已 在所述链路状态协议受控以太网网络中其他节点上例示的其他VRF之间交流客户路由。
14.如权利要求9所述的方法,其中使用链路状态协议公告在所述第一VRF与和所述 VPN关联的已在所述链路状态协议受控以太网网络中其他节点上例示的其他VRF之间交流 客户路由。
15.一种在与IP VPN关联的VRF之间跨链路状态协议受控以太网网络交流路由选择信 息的方法,所述方法包括如下步骤在以太网网络上实现链路状态路由选择协议,所述链路状态路由选择协议设计成使所 述以太网网络上的节点能够交流包含与所述以太网网络的节点邻接性和链路状态有关的 信息的链路状态公告,并能够构建包含所述链路状态协议受控以太网网络的同步拓扑视图 的链路状态数据库;在所述节点的第一节点上实现与IP VPN有关的第一 VRF ;在所述节点的第二节点上实现与所述IP VPN有关的第二 VRF ;以及使用所述链路状态公告来实现所述第一 VRF与第二 VRF之间VPN路由选择信息的交流。
16.如权利要求15所述的方法,其中给所述第一VRF和所述第二 VRF分配共同I-SID, 也使用所述链路状态公告来公告所述共同I-SID。
17.如权利要求15所述的方法,其中给所述第一VRF和第二 VRF分配共同I-SID,以及 其中给与所述以太网网络上的VPN关联的业务预先考虑所述共同I-SID,以使接收到所述 业务的节点能够确定用于处理所述业务的正确VRF。
18.如权利要求17所述的方法,其中还给与所述VPN关联的业务预先考虑MAC报头,以 允许根据所述链路状态协议受控以太网网络上预先安装的转发状态将所述业务从入口节 点转发到出口节点,而不要求中间节点在所述网络的每一跳剥离所述MAC报头。
19.如权利要求16所述的方法,还包括以下步骤由所述以太网节点的第一节点接收与所述VPN关联的客户路由选择信息;用所述客户路由选择信息更新所述第一 VRF ;以及根据与所述第一 VRF关联的导出策略,将在链路状态公告中的客户路由选择信息导出 到所述第二 VRF。
20.如权利要求19所述的方法,还包括如下步骤3接收包含所导出客户路由选择信息的链路状态公告;以及根据与所述第二 VRF关联的导入策略,将所述客户路由选择信息导入到所述第二 VRF。
全文摘要
以太网网络上的节点实现链路状态路由选择协议。节点按VRF分配IP地址或I-SID值,并使用LSA公告IP地址或I-SID值。当要在VPN上转发分组时,入口节点识别分组的VPN,并在VRF的客户地址空间中执行IP查询以确定下一跳和出口节点上VRF的IP地址或I-SID值。入口节点预先考虑I-SID或IP报头以识别VRF,并创建MAC报头以允许将分组转发到以太网网络上的出口节点。当在出口节点接收到分组时,从分组中剥离MAC报头,并使用追加的I-SID或IP报头来识别出口VRF。
文档编号H04L12/28GK101960785SQ200880127873
公开日2011年1月26日 申请日期2008年12月30日 优先权日2007年12月31日
发明者B·格尔梅因, D·艾伦, M·阿努马拉, N·布拉格, P·昂贝哈根, R·拉普 申请人:北方电讯网络有限公司