专利名称:一种mpls/bgp三层虚拟专用网的部署方法和系统的制作方法
技术领域:
本发明涉及MPLS (Multiprotocol Label Switching,多协议标记交换)/BGP (Border Gateway Protocol,边界网关协议)VPN ( Virtual Private Network, 虚拟专用网)领域,尤其涉及一种MPLS/BGP三层虚拟专用网的部署方法和系统。
背景技术:
随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求, 主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其 独有的优势贏得了越来越多企业的青睐。利用公共网络来构建的私有专用网络 称为虚拟专用网络VPN。在公共网络上组建的VPN像企业现有的私有网络一样提 供安全性和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性 和灵活性,是目前发展最为迅速的VPN技术之一。
MPLS/BGP VPN是基于MPLS协议与BGP协议之上的三层虚拟专用网技术,该 类型网络包含的基本组件如下
PE (Provider Edge Router):骨干网边缘i 各由器,用于存储VRF ( Virtual Routing Forwarding Instance,虚拟路由转发)实例,处理VPN-IPv4 (VPN Internet Protocol version4)路由。
CE (Custom Edge Router,用户网边缘3各由器)用于发布用户网络路由。 P (Provider Router,骨干网核心路由器)'.负责MPLS标签转发。 VPN用户站点CE设备通常是VPN用户站点中的一台传输设备,VPN用户站 点通过一个单独的物理端口或逻辑端口连接到PE设备上,该物理端口或逻辑端 口通常是VLAN (Virtual Local Area Network,虚拟局域网)端口。如图1所示,MPLS/BGP VPN中的基本组件之间相互连接实现了三层虚拟专 用网内部的通信。用户接入MPLS/BGPVPN的方式是每个VPN用户站点提供一台 或多台CE设备,同骨干网的PE连接。在PE设备上配置VRF实例,将连接PE 设备和CE设备的物理接口、逻辑接口绑定在VRF实例上。在传统的三层虚拟专 用网中CE、 PE以及P设备的功能划分严格,通常情况下一台传输设备只能作为 一种设备角色存在于该类型网络中。CE作为用户设备只能用来接入PE设备,将 自己的路由信息通告到PE设备上的VRF路由表中,PE设备维护VRF路由表,P 设备进行MPLS标签交换。图1中有两个VPN用户站点,分别为第一VPN用户站 点VPN1与第二 VPN用户站点VPN2,两个VPN用户站点相互隔离,分别有两台 CE设备在每个VPN用户站点中互通,两个VPN用户站点共用 一台P设备和两台 PE设备。
PE设备和CE设备之间要交换路由信息一般是通过静态路由,也可以通过 RIP( Routing Information Protocol,路由信息协议)、0SPF( Open Shortest-Path First,开方文式最短^各径优先协议)、BGP、 IS-IS (Intermediate System-to-Intermediate System,链路状态协议)等路由协议交换路由信息。随着三层虚 拟专用网中接入的VPN用户站点的增多需要不断地添加CE设备,比如,如图2 所示,P设备侧另外要增加一台CE设备与第二 VPN用户站点VPN2中其他的CE 设备互通,而根据网络中传输设备身份功能的严格定义,组网时每添加一台CE 设备则必须要添加一台PE设备,这样会造成虚拟专用网过于庞大和复杂。
发明内容
本发明要解决的技术问题是,提供一种MPLS/BGP三层虚拟专用网的部署方 法和系统,简化了三层虚拟专用网的组织结构,提高了组网的灵活性。
本发明采用的技术方案是,所述MPLS/BGP三层虚拟专用网的部署方法,包 括如下步骤
步骤一、将传输设备上的命令节点划分为管理命令节点和配置命令节点,配置命令节点包括PE设备命令节点、P设备命令节点和CE设备命令节点;
步骤二、将管理命令节点、PE设备命令节点、P设备命令节点以及CE设备 命令节点的权限等级设置为依次降低;将用户分为与命令节点对应的四个权限
等级,用户的权限等级必须大于等于命令节点的权限等级才能登陆传输设备操 作该命令节点;
步骤三、统一分配和管理用户名和密码,不同的用户名和密码对应不同的 权限等级;
步骤四、判断用户输入的用户名和密码是否正确,如果是,则允许用户登 陆传输设备,否则不允许用户登陆传输设备;
步骤五、判断用户的权限等级,根据不同的权限等级判断用户操作的命令 节点是否与该用户的权限等级相适应,若是,则允许配置,否则拒绝配置。
一种MPLS/BGP三层虚拟专用网的部署系统,包括
命令节点划分模块,用于将传输设备上的命令节点划分为管理命令节点和 配置命令节点,配置命令节点包括PE设备命令节点、P设备命令节点和CE设备
命令节点;
权限等级分配模块,用于将管理命令节点、PE设备命令节点、P设备命令 节点以及CE设备命令节点的权限等级设置为依次降低;将用户分为与命令节点 对应的四个权限等级,用户的权限等级必须大于等于命令节点的权限等级才能 登陆传输设备操作该命令节点;
密码管理卩漠块,用于统一分配和管理用户名和密码,不同的用户名和密码 对应不同的权限等级;
判断模块,用于当用户登陆传输设备时,判断用户名与密码是否正确;当 用户配置命令节点时,判断用户的权限等级以及操作的命令节点是否与该用户 的权限等级相适应。
采用上述技术方案,本发明至少具有下列优点
本发明所述MPLS/BGP三层虚拟专用网的部署方法和系统基于MPLS/BGP VPN的三层虚拟专用网技术,通过对该类型网络中的传输设备实行分权管理,为不 同权限等级的用户开放相应的传输设备功能,该方法能在网络扩展的过程中有 效的减少三层虚拟专用网中传输设备的数量,更加充分地利用现有网络资源, 简化三层虚拟专用网的组织结构,同时还提高了三层虚拟专用网组网的灵活性。
图1为传统的基于MPLS/BGP三层虚拟专用网的组网示意图2为传统的基于MPLS/BGP三层虚拟专用网在进行网络扩展时的组网示意
图3为釆用本发明所述部署方法后对三层虚拟专用网进行网络扩展时的组 网示意图4为采用本发明所述部署方法后对三层虚拟专用网进行网络扩展时进一 步简化的组网示意图5为传输设备上命令节点的判断流程图; 图6为本发明所述部署方法流程图。
具体实施例方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结 合附图及较佳实施例,对本发明提出的一种MPLS/BGP三层虚拟专用网的部署方 法和系统详细il明如后。
本发明第一实施例中, 一种MPLS/BGP三层虚拟专用网的部署方法,如图6 所示,包括如下步骤
步骤一、将传输设备上的命令节点划分为管理命令节点和配置命令节点, 配置命令节点包括PE设备命令节点、P设备命令节点和CE设备命令节点,划分 的方式为将不包含VRF和MPLS字段命令的命令节点划分为CE设备命令节点; 将只包含MPLS字段命令的命令节点划分为P设备命令节点;将既包含MPLS字 段命令又包含VRF字段命令的命令节点划分为PE设备命令节点;剩下的命令节点就是管理命令节点;
步骤二、将管理命令节点、PE设备命令节点、P设备命令节点以及CE设备 命令节点的权限等级设置为依次降低,如各种命令节点与权限等级的对应关系 为管理命令节点的权限等级为4, PE设备命令节点的权限等级为3, P设备命 令节点命令权限等级为2, CE设备命令节点权限等级为1;
将用户分为与命令节点对应的四个权限等级,用户与权限等级的对应关系 为管理员具有最高的权限等级为4,每台传输设备上所有的命令节点都对管理 员开放,管理员通过操作传输设备上的管理命令节点设置各个命令节点的权限 等级,添加用户名与密码,为用户分配权限等级;
具有对应权限等级的用户才能登陆传输设备操作相应权限等级的命令节 点,将传输设备配置成CE设备,PE设备或者P设备。对于用户而言遵照"用户 的权限等级必须大于等于命令节点的权限等级才能够在传输设备上操作该命令 节点,,的原则,比如,权限等级为2的用户可以登陆传输设备操作权限等级为2 以及l的命令节点,满足向下兼容的规则;
步骤三、统一分配和管理用户名和密码,不同的用户名和密码对应不同的 权限等级;用户可以向管理员申请用户名和密码,管理员忘记密码则使用系统 的密码恢复功能取回密码,用户忘记密码通过管理员取回;
步骤四、判断用户输入的用户名和密码是否正确,如果是,则允许用户登 陆传输设备,否则提示用户名或者密码不正确,不允许用户登陆传输设备;
步骤五、判断用户的权限等级,如果用户权限等级为1,则允许该用户进行 CE设备命令节点的配置,如果用户权限等级为2,则允许该用户进行P设备命 令节点的配置,如果用户权限等级为3,则允许该用户进行PE设备命令节点的 配置;
进一步的,根据不同的权限等级判断用户操作的命令节点是否与该用户的 权限等级相适应,若是,则允许配置,否则拒绝配置。具体过程如下
1)根据用户在传输设备上输入的命令中包含的字段,判断该命令属于哪一种命令节点如图5所示,首先判断用户输入的命令是否包含MPLS或者VRF字 段,若否,则该命令属于CE设备命令节点,若是,则进一步判断用户输入的命 令是否包含VRF字段,若是,则该命令属于PE设备命令节点,否则属于P设备 命令节点。
2)判断用户输入的命令所属的命令节点是否与该用户的权限等级相适应, 若是,则允许配置,否则拒绝配置。
比如,当权限等级为1的用户操作了 P设备或者PE设备命令节点,则该传 输设备拒绝用户的配置,当权限等级为2的用户操作了 PE设备命令节点,则该 传输设备拒绝用户的配置,而权限等级为3的用户可以操作P设备、PE设备和 CE设备命令节点,即所有的配置命令节点。
采用上述部署方法,可以使三层虚拟专用网中的同 一台传输设备同时作为 PE设备与CE设备使用,即该传输设备作为一个VPN站点的CE设备使用,还可 以作为另一个VPN站点的PE设备使用。当三层虚拟专用网中同一台传输设备同 时作为CE与PE设备使用时,被称为C&PE设备;当三层虚拟专用网中同一台传 输设备同时作为PE与P设备使用时,被称为P&PE设备。
在传统的三层虚拟专用网中,如图1所示,CE, PE以及P设备的功能划分 严格。CE设备是用户设备只能用来接入PE设备,将自己的路由信息通告到PE 设备上的VRF路由表中,PE设备维护VRF路由表,P设备进行MPLS标签交换, 图1中的第一 VPN用户站点VPN1与第二 VPN用户站点VPN2相互隔离,分别有 两台CE设备在每个VPN用户站点中互通,两个VPN用户站点共用一台P设备和 两台PE设备。
如果P设备侧另外要增加一台CE设备与第二 VPN用户站点VPN2中其他的 CE设备互通,采用本发明所述方法组网时,每添加一台CE设备无须添加一台 PE设备,而是将CE直接接入P设备进行路由交互,如图3所示,通过对原P设 备所在的那台传输设备进行了分权管理,可以使其同时具备两种功能PE设备 功能与P设备功能,在第一 VPN用户站点VPN1的通信中,该传输设备为P设备;在第二 VPN用户站点VPN2的通信中,该传输设备为PE设备,由于本发明提供 了 P&PE设备,使管理员能根据需求随时配置传输设备在各VPN用户站点中的功 能,同时满足多个VPN用户站点的通信需求。
图4是对三层虚拟专用网的进一步简化将图3中左边的一台PE设备用C&PE 设备代替,C&PE设备通过分权管理兼具PE设备与CE设备的功能。在第二VPN 用户站点VPN2的通信中,当P&PE设备作为PE设备使用时,C&PE设备作为CE 设备使用;在第一 VPN用户站点VPN1的通信中,当P&PE设备作为P设备使用 时,C&PE设备作为PE设备使用。由于本发明提供了 P&PE设备、C&PE设备,使 管理员能根据需求随时配置传输设备在各VPN用户站点中的功能,同时满足多 个VPN用户站点的通信需求。显然,图4中的组网结构完全能实现与图3同样 的功能,同时还节省了一台传输设备,从而简化了虚拟专用网的组织结构,还 提高了组网的灵活性。
本发明的第二实施例, 一种MPLS/BGP三层虚拟专用网的部署系统,包括
命令节点划分模块,用于将传输设备上的配置命令节点划分为PE设备命令 节点、P设备命令节点和CE设备命令节点;
权限等级分配模块,用于将管理命令节点、PE设备命令节点、P设备命令 节点以及CE设备命令节点的权限等级设置为依次降低;将用户分为与命令节点 对应的四个权限等级,用户的权限等级必须大于等于命令节点的权限等级才能 登陆传输设备操作该命令节点;
密码管理模块,用于统一分配和管理用户名和密码,不同的用户名和密码 对应不同的权限等级;
判断模块,用于当用户登陆传输设备时,判断用户名与密码是否正确;当 用户配置命令节点时,判断用户的权限等级以及操作的命令节点是否与该用户 的4又限等级相适应。
通过具体实施方式
的说明,当可对本发明为达成预定目的所采取的技术手 段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
权利要求
1、一种多协议标记交换MPLS/边界网关协议BGP三层虚拟专用网的部署方法,其特征在于,包括如下步骤步骤一、将传输设备上的命令节点划分为管理命令节点和配置命令节点,配置命令节点包括PE设备命令节点、P设备命令节点和CE设备命令节点;步骤二、将管理命令节点、PE设备命令节点、P设备命令节点以及CE设备命令节点的权限等级设置为依次降低;将用户分为与命令节点对应的四个权限等级,用户的权限等级必须大于等于命令节点的权限等级才能登陆传输设备操作该命令节点;步骤三、统一分配和管理用户名和密码,不同的用户名和密码对应不同的权限等级;步骤四、判断用户输入的用户名和密码是否正确,如果是,则允许用户登陆传输设备,否则不允许用户登陆传输设备;步骤五、判断用户的权限等级,根据不同的权限等级判断用户操作的命令节点是否与该用户的权限等级相适应,若是,则允许配置,否则拒绝配置。
2、 根据权利要求1所述MPLS/BGP三层虚拟专用网的部署方法,其特征在 于步骤一中所述划分的方式为将不包含VRF和MPLS字段命令的命令节点划分 为CE设备命令节点;将只包含MPLS字段命令的命令节点划分为P设备命令节 点;将既包含MPLS字段又包含VRF字段命令的命令节点划分为PE设备命令节 点。
3、 根据权利要求2所述MPLS/BGP三层虚拟专用网的部署方法,其特征在 于步骤二中在用户的四个权限等级中管理员具有最高的权限等级,每台传输 设备上所有的命令节点都对管理员开放。
4、 根据权利要求3所述MPLS/BGP三层虚拟专用网的部署方法,其特征在 于步骤五中所述根据不同的权限等级判断用户操作的命令节点是否与该用户的权限等级相适应的具体过程如下1) 根据用户在传输设备上输入的命令中包含的字段,判断该命令属于哪一种命令节点;2) 判断用户输入的命令所属的命令节点是否与该用户的权限等级相适应, 若是,则允许配置,否则拒绝配置。
5、 一种MPLS/BGP三层虚拟专用网的部署系统,其特征在于包括 命令节点划分模块,用于将传输设备上的命令节点划分为管理命令节点和配置命令节点,配置命令节点包括PE设备命令节点、P设备命令节点和CE设备 命令节点;权限等级分配模块,用于将管理命令节点、PE设备命令节点、P设备命令 节点以及CE设备命令节点的权限等级设置为依次降低;将用户分为与命令节点 对应的四个权限等级,用户的权限等级必须大于等于命令节点的权限等级才能 登陆传输设备操作该命令节点;密码管理模块,用于统一分配和管理用户名和密码,不同的用户名和密码 对应不同的权限等级;判断模块,用于当用户登陆传输设备时,判断用户名与密码是否正确;当 用户配置命令节点时,判断用户的权限等级以及操作的命令节点是否与该用户 的权限等级相适应。
6、 根据权利要求5所述MPLS/BGP三层虚拟专用网的部署系统,其特征在 于将传输设备上的配置命令节点划分为PE设备命令节点、P设备命令节点和CE 设备命令节点的方式为将不包含VRF和MPLS字段命令的命令节点划分为CE 设备命令节点;将只包含MPLS字段命令的命令节点划分为P设备命令节点;将 既包含MPLS字段又包含VRF字段命令的命令节点划分为PE设备命令节点。
7、 根据权利要求6所述MPLS/BGP三层虚拟专用网的部署系统,其特征在 于在用户的四个权限等级中管理员具有最高的权限等级,每台传输设备上所 有的命令节点都对管理员开放。
8、 根据权利要求7所述MPLS/BGP三层虚拟专用网的部署系统,其特征在于在判断模块中根据不同的权限等级判断用户操作的命令节点是否与该用户的 权限等级相适应的具体过程如下1) 根据用户在传输设备上输入的命令中包含的字段,判断该命令属于哪一 种命令节点;2) 判断用户输入的命令所属的命令节点是否与该用户的权限等级相适应, 若是,则允许配置,否则拒绝配置。
9、 根据权利要求7所述MPLS/BGP三层虚拟专用网的部署系统,其特征在 于所述MPLS/BGP三层虚拟专用网中包括P&PE设备,管理员根据需求随时配置 P&PE设备在各VPN用户站点中的功能,同时满足多个VPN用户站点的通信需求。
10、 根据权利要求7所述MPLS/BGP三层虚拟专用网的部署系统,其特征在 于所述MPLS/BGP三层虚拟专用网中包括相连接的C&PE设备和P&PE设备,管理 员根据需求随时配置传输设备在各VPN用户站点中的功能,同时满足多个VPN 用户站点的通信需求当P&PE设备作为PE设备使用时,C&PE设备作为CE设备 使用,当P&PE设备作为P设备使用时,C&PE设备作为PE设备使用。
全文摘要
本发明公开了一种MPLS/BGP三层虚拟专用网的部署方法和系统,该方法包括步骤一、划分传输设备上的命令节点;步骤二、对划分后的四种命令节点设置不同的权限等级;将用户分为与命令节点对应的四个权限等级,用户的权限等级必须大于等于命令节点的权限等级才能登陆传输设备操作该命令节点;步骤三、统一分配和管理用户名和密码;步骤四、判断用户操作的命令节点是否与该用户的权限等级相适应。该装置包括命令节点划分模块、权限等级分配模块、密码管理模块和判断模块,本发明能在网络扩充的过程中有效的减少三层虚拟专用网中设备的数量,简化三层虚拟专用网的组织结构,提高组网的灵活性。
文档编号H04L12/46GK101478471SQ20091000859
公开日2009年7月8日 申请日期2009年2月4日 优先权日2009年2月4日
发明者飞 马 申请人:中兴通讯股份有限公司