专利名称:多协议标签交换虚拟专用网相互通信的方法
技术领域:
本发明涉及网络通信领域,尤其涉及一种网络通信领域中不同虚拟专用网用户间相互通信的方法。
背景技术:
在传统的MPLS(Multi Protocol Label Switching,多协议标签交换)VPN(Virtual Private Network,虚拟专用网)中通过HUB-SPOKE(轮状集线器)实现在不同网络用户间的通信时一般采用如图1所示的方式如VPN用户A(其使用的VPN称VPNA)欲与另一VPN用户B(其使用的VPN称VPNB)相互通信,对于控制流1、服务提供商的边缘设备HUB(PE)(PEProvider Edge(Device),提供商边缘设备,如三层交换机、路由器等)分别连接两用户的VPN,分别为VPNA和VPNB,VPNA对应的VRF(Virtual Route Forwarding,虚拟路由转发)名称为VRFA,VPNB对应VRF名称为VRFB,假设VPNA的RTT(RTTRoute Target,路由目标识)为RTTA,VPNB的RTT为RTTB;2、用户A的设备CE-A(CECustomer Edge(Device),用户端边缘设备)上学到的路由,通过IGP(内部网关协议)协议发布到设备SPOKE-A(PE);3、设备SPOKE-A(PE)通过IBGP(内部边界网关协议)协议将该路由发布到设备HUB(PE),引入到设备HUB(PE)的VRFA中;4、设备HUB(PE)通过VPNA的端口(该端口绑定VRFA)和IGP协议将该路由发布到设备CE-C(该CE为服务提供商提供的设备,如三层交换机或路由器);5、设备CE-C通过IGP协议将该路由发送到设备HUB(PE)中VPNB所在的端口(该端口绑定VRFB),引入到设备HUB(PE)的VRFB中;6、设备HUB(PE)通过IBGP协议将VRFB中新学到的路由发布到设备SPOKE-B(PE);7、设备SPOKE-B(PE)通过IGP协议将新学到的路由发布到设备CE-B。
即控制流的流程为从设备CE-A到设备CE-BCE-A----→SPOKE-A(PE)---→HUB(PE)---→CE-C----→HUB(PE)---→SPOKE-B(PE)---→CE-B对于数据流1、VPNB中用户B需要通过设备CE-B访问VPNA中用户A,用户A与设备CE-A相连;2、CE-B收到访问用户A的IP(Internet Protocol,互联网协议)报文后,查找路由表后将IP报文发给设备SPOKE-B(PE);3、设备SPOKE-B(PE)收到该IP报文后,查找LSP,转化成MPLS报文后转发给设备HUB(PE);4、设备HUB(PE)收到该MPLS报文后,转化成IP报文,通过与VPNB绑定的端口发给设备CE-C;5、设备CE-C通过查找路由,通过设备HUB(PE)中绑定VRFA的端口将IP报文发给设备HUB(PE);6、设备HUB(PE)收到该IP报文后,查找LSP(Label Switch Path,标签交换路径),转化成MPLS报文发给设备SPOKE-A(PE);7、设备SPOKE-A(PE)将MPLS报文转化成IP报文,发给CE-A,CE-A将报文转发给用户A。
即数据流的流程为从设备CE-B到设备CE-ACE-B-(ip报文)-→SPOKE-B(PE)-(mpls报文)-→HUB(PE)-(ip报文)-→CE-C-(ip报文)-→HUB(PE)-(mpls报文)-→SPOKE-A(PE)-(ip报文)-→CE-A上述方法存在以下一些缺陷1、需要在HUB(PE)上连接一个CE设备,需要HUB(PE)与该CE间运行IGP协议,浪费了PE的端口和CE设备,增加了设备的投资和管理,同时增加了HUB(PE)的负担;2、CE-A(VPNA)与CE-B(VPNB)之间进行数据流转发时需要通过CE-C,CE-C成了转发瓶颈,降低了效率;3、在转发过程中,HUB(PE)与CE-C之间采用IP包进行转发,在骨干网其它地方采用MPLS转发,降低了MPLS在转发中的优势,对于VPN的私密性也有一定影响。
4、存在着多条VPN时,上述缺陷将更明显。
发明内容
本发明的目的在于针对现有技术中的上述缺陷,提供一种降低成本,减少设备投入,提高转发效率的方法。
本发明的多协议标签交换虚拟专用网相互通信的方法,在服务商边缘设备HUB(PE)上连接相互需要通信的用户VPNA,VPNB,VPNA对应的VRF为VRFA,其RTT为RTTA;VPNB对应的VRF为VRFB,其RTT为RTTB;在VRFA中引入VPNB,将RTTB引入VRFA,通过MBGP(Multiprotocol Extensions forBGP,多协议扩展边界网关协议)协议发布到与用户端边缘设备CE-B相连的SPOKE-B(PE),同时生成MPLS转发需要的ILM(Incoming Label Map,入标签映射)和NHLFE(Next Hop Label Forwarding Entry,下一跳标签转发项);在VPNB中引入VRFA,将RTTA引入VPNB,通过MBGP协议发布到与用户端边缘设备CE-A相连的SPOKE-A(PE),同时生成MPLS转发需要的ILM和NHLFE。
各用户端边缘设备CE通过路由器与各SPOKE(PE)相连。
所述PE设备选自三层交换机、路由器。
本发明的另一种多协议标签交换虚拟专用网相互通信的方法,在服务商边缘设备HUB(PE)上连接各用户的VPN1,…,VPNn,n≥2,VPNn对应的VRF为VRFn,其RTT为RTTn;在HUB(PE)上创建新的VRFPE,其RTT为RTT1,...,RTTn;在各VRFn中分别引入VRFPE,将VRFPE的新路由引入,生成MPLS转发需要的ILM和NHLFE,同时通过MBGP协议发布到其他各与用户端边缘设备相连的SPOKE(PE)。
各用户端边缘设备CE通过路由器与各SPOKE(PE)相连。
所述PE设备选自三层交换机、路由器。
所述VRFPE支持route-map(路由图)、prefix-list(前辍链表)、ACL(访问控制链表)等路由策略功能,用户可以在VRFPE上配置符合VPN相互访问的路由策略,这样只有符合用户要求的路由才会加入到VRFPE,同时还可以查看VRFPE中的路由进行确认。
本发明对传统的VRF功能进行了扩充
1、一个VRF中可以引入(import)另一个VRF;2、对引入另一个VRF的路由生成新的ILM和NHLFE;3、VRF中支持丰富的路由策略(包括route-map(路由图)、prefix-list(前辍链表)、ACL(访问控制链表)等);4、扩充后的VRF支持原有VRF的所有功能。按照本发明方法,各网络用户间可实现相互通信控制流1、控制流发出端用户边缘设备CE上学到的路由,通过IGP协议发布到与该CE相连的设备SPOKE(PE)上;2、该设备SPOKE(PE)通过IBGP协议将该路由发布到设备HUB(PE)上,引入到设备HUB(PE)的对应的VRF和VRFPE,VRFPE通过路由策略将不需要的路由过滤掉;3、在控制流接收端的VRF中因引入VRFPE,VRFPE的路由将加入到该VRF中,同时生成ILM和NHLFE;4、设备HUB(PE)通过IBGP协议将VRF中新加入的路由发布到控制流接收端设备SPOKE(PE)中;5、控制流接收端设备SPOKE(PE)通过IGP协议新学到的路由发布到接收端设备CE,完成控制流的交换;数据流1、数据流发送端设备CE收到需要访问另一个VPN的IP报文后,通过查找路由按IP报文发给发送端设备SPOKE(PE);2、发送端设备SPOKE(PE)收到该IP报文后,查找LSP,转化成MPLS报文后发给设备HUB(PE);3、设备HUB(PE)收到该MPLS报文后,查找ILM,找到NHLFE,继续MPLS报文转发,到达数据流接收端设备SPOKE(PE);4、数据流接收端设备SPOKE(PE)将MPLS报文转化成IP报文,发给数据流接收端设备CE,由该CE转发给相关用户,完成数据流的通信。本发明有以下优点1、不需要在HUB(PE)上连接一个CE设备,减少了设备的投资和管理;
2、CE-A(VPNA)与CE-B(VPNB)之间进行控制流和数据流在HUB(PE)行切换,PE设备是骨干网或者高端设备,不会有瓶颈问题,同时也减少了控制流和数据流的消耗(原先控制流和数据流都需要转往CE,再从CE再转回来);3、在SPOKE-A(PE)与SPOKE-B(PE)之间的转发全部用MPLS转发,真正实现PE与PE设备间全程MPLS转发,充分发挥MPLS的优势,提高转发效率,也有利于VPN的私密性。
4、存在多条VPN时,以上改善将会得到更充分发挥。
图1传统的解决方案逻辑示意2本发明的解决方案逻辑示意3本发明的实施方案示意图实施方案如图3所示,假设路由器A与用户A(某公司)相连,属于VPNA,其网段路由为10.1.0.0/16,路由器B与用户B(另一公司)相连,属于VPNB,其网段路由为10.2.0.0/16,现在用户A与用户B需要实现互相访问。
1、在路由器A、路由器B上的配置常规配置,可通过RIP、OSPF、BGP将10.1.0.0/16、10.2.0.0/16分别发给路由器SPOKE-A和SPOKE-B。
2、在路由器SPOKE-A上的配置a、配置VRF创建VRFip vrfVPNA配置RD(路由区分符)和RTT(路由目标符)rd 100∶1route-target 1∶1在接口0上绑定VRFip vrf forwarding VPNAb、配置IBGProuter bg 200
neighbor A.B.C.D(路由器HUB上的IP地址)remote 200address-family vpn neighbor A.B.C.D acitive3、在路由器SPOKE-HUB上的配置a、配置VRFVPNA配置ip vrf VPNArd 100∶1router-target 1∶1import-vrf VPNC(也可以直接import-vrf VPNB)VPNB配置ip vrfVPNBrd 200∶1router-target 2∶2import-vrf VPNC(也可以直接import-vrf VPNA)VPNC配置ip vrfVPNCrd 100∶1router-target 1∶1 2∶2路由策略(该策略只引入10.1.0.0/16和10.2.0.0/16网段路由)b、配置IBGProuter bg 200neighbor A1.B1.C1.D1(路由器SPOKE-A上的IP地址)remote 200neighbor A2.B2.C2.D2(路由器SPOKE-B上的IP地址)remote 200address-family vpnneighbor A1.B1.C1.D1 acitive neighbor A2.B2.C2.D2 acitive4、在路由器SPOKE-B上的配置同SPOKE-A配置类似。
结果路由器A和路由器B上都有10.1.0.0/16和10.2.0.0/16网段的路由,用户A和用户B之间可以相互访问。
权利要求
1.一种多协议标签交换虚拟专用网相互通信的方法,在服务商边缘设备HUB(PE)上连接相互需要通信的用户VPNA,VPNB,VPNA对应的VRF为VRFA,其RTT为RTTA;VPNB对应的VRF为VRFB,其RTT为RTTB;在VRFA中引入VPNB,将RTTR引入VRFA,通过MBGP协议发布到与用户端边缘设备CE-B相连的SPOKE-B(PE),同时生成MPLS转发需要的ILM和NHLFE;在VPNB中引入VRFA,将RTTA引入VPNB,生成MPLS转发需要的ILM和NHLFE,同时通过MBGP协议发布到与用户端边缘设备CE-A相连的SPOKE-A(PE)。
2.如权利要求1所述的多协议标签交换虚拟专用网相互通信的方法,其特征在于各用户端边缘设备CE通过路由器与各SPOKE(PE)相连。
3.如权利要求1或2所述的多协议标签交换虚拟专用网相互通信的方法,其特征在于所述PE设备选自三层交换机、路由器。
4.一种多协议标签交换虚拟专用网相互通信的方法,在服务商边缘设备HUB(PE)上连接各用户的VPN1,…,VPNn,n≥2,VPNn对应的VRF为VRFn,其RTT为RTTn;在HUB(PE)上创建新的VRFPE,其RTT为RTT1,…,RTTn;在各VRFn中分别引入VRFPE,将VRFPE的新路由引入,生成MPLS转发需要的ILM和NHLFE,同时通过MBGP协议发布到其他各与用户端边缘设备相连的SPOKE(PE)。
5.如权利要求4所述的多协议标签交换虚拟专用网相互通信的方法,其特征在于各用户端边缘设备CE通过路由器与各SPOKE(PE)相连。
6.如权利要求4或5所述的多协议标签交换虚拟专用网相互通信的方法,其特征在于所述PE设备选自三层交换机、路由器。
7.如权利要求4所述的多协议标签交换虚拟专用网相互通信的方法,其特征在于所述VRFPE支持路由图、前辍链表、访问控制链表等VRFn的所有路由策略功能。
8.如权利要求7所述的多协议标签交换虚拟专用网相互通信的方法,其特征在于只有符合用户配置策略的路由才会加入到VRFPE。
全文摘要
本发明涉及一种多协议标签交换虚拟专用网相互通信的方法,在服务商边缘设备HUB(PE)上连接各用户的VPN
文档编号H04L12/46GK1455560SQ0313664
公开日2003年11月12日 申请日期2003年5月22日 优先权日2003年5月22日
发明者吕鸿 申请人:北京港湾网络有限公司