专利名称:虚拟专用网络中的路由的制作方法
技术领域:
本发明涉及TCP/IP路由及转发领域,尤其涉及虚拟专用网络(VPN)中的概念。
本发明的主要申请是带有高VPN可扩展性需求的IP路由器,例如GPRS(通用分组无线电服务)网络中的GGSN(网关GPRS交换节点)。本发明涉及WPP5.0(无线分组平台)。
背景技术:
虚拟专用网络(VPN)是被远程管理的网络的扩展。这种网络是用基于IP或不基于IP(例如ATM)的协议,通过隧道效应在局域网上实现的。在扩展这些网络到移动分组数据网中时,单个节点必须处理大量VPN。这暗示着所有这些对VPN的扩展的管理和配置必须由管理移动分组网络的管理员管理。在(例如)GPRS(通用分组无线电服务)中,GGSN(网关GPRS交换节点)连接移动网络到被远程管理的网络。
图1展示了这种带有GGSN的GPRS网络的示意性概观。
图2展示了在两个移动站之间有业务的例子。这个例子展示了GGSN的管理员不得不管理保护移动站免于相互干扰的分组过滤规则。移动站间的业务不能从远程管理的网络上监控。
一种已知的解决方案是基于进行分组转发的分组过滤的一种实现。通过定义从一个接口或隧道转发所有业务到另一接口或隧道的分组过滤器,转发表中的路由信息将不被考虑,并且业务也将被强制到远程网络。
对该问题另一已知的WPP解决方案是直接把来自一个接口/隧道的业务映射到另一接口或隧道中,而不根据目标IP地址进行转发决策。这种已知解决方案称为APN(访问点名)路由。
上述解决方案的缺点是冗余性差,因为分组过滤器(或映射表)不是被动态更新并且分组被转发去的接口或隧道可能由于链路或网络问题而不可用。
图3展示了两个节点A和B以及物理连接到以太网段ETH S的路由器R。两个虚拟专用网络VPN_1和VPN_2是在公共以太网段ETH_S上实现的。节点A包括第一个和第二个IP接口IP_IF1和IP_IF2.IP层3上的IP接口IP_F1和IP_IF2被通过ARP(自动请求协议)协议映射到给定的单一层2MAC(介质访问控制)以太网地址ETH_IF1。
同样地,接口IPIF3和IP_IF4被映射到节点B的以太网接口ETH_IF2。IP接口IP_IF5和IP_IF6被映射到路由器RT上的ETH_IF2。
节点A的IP_IF1和节点B的IP_IF3构成了第一个虚拟专用网络VPN_1。节点B的IP_IF4和路由器RT的IP_IF6构成了第二个虚拟专用网络VPN_2.可以在各个VPN上的各个IP接口之间传递IP分组。对各个VPN的不同IP接口来说,似乎以太网段是专有的。
图4展示了从图3所示的网络的VPN_1上的IP接口IP_IF3发送到IP_IF1的示例IP分组。该IP分组被封装在一个以太分组中,源地址是ETH_IF2,目标地址是ETH_IF1。它的以太网类型标识是“VLAN”类型-虚拟局域网-并携带对应的网络标识符VPN_1以及属于正在使用的IP协议版本的第二个以太网类型标识符Ipv4。在以太网有效载荷ETH_PL中,提供了上面提到的IP源和目标地址以及IP有效载荷。该分组由以太网循环冗余校验值ETH CRC结束。
图5中,所展示的示例性的现有技术的网络包括路由器RT,RT通过转发表VRF_1提供第一个虚拟专用网络VPN_1,VRF_1为IP接口IP_IF1、IP_IF2和IP_IF3提供互连性。路由器还通过转发表VRF_2提供第二个虚拟专用网络VPN_2,VRF_2为IP接口IP_IF5和IP_IF6提供互连性。
发明概述本发明的第一个目标是阐明允许根据业务方向有选择地路由的路由器。
这个目标已经由权利要求1实现。
第二个目标是给出允许在不同的专用网络之间通信的路由器。
这个目标已经由权利要求2实现。
第三个目标是给出允许在具体接口上强制业务的系统。
这个目标已经由权利要求6实现。
第四个目标是给出分组控制被延迟到公司网络的系统。
这个目标已经由权利要求7实现。
依照本发明的另一方面,为了提高VPN网络中的安全性,希望来自移动终端的所有业务(即IP分组)总会通过家庭网络而行。这就使得VPN管理员能够指定要施加到去往移动终端和来自移动终端的业务的分组过滤规则。这与分组去往与分组所来自的移动网络扩充相同或不同无关。不强制业务到家庭网络,则必须由VPN网络的移动扩展的管理员而不是由家庭网络的管理员配置分组过滤规则。
从下面对优选实施方案的详细描述可以看到本发明的更多优势。
附图概述图1展示了GPRS网络体系结构的总体图示。
图2展示了GPRS网络中执行路由的已知方法。
图3展示了在以太网段上实现虚拟专用网络(VPN)的已知方式。
图4展示了图3中所用的分组。
图5展示了提供两个VPN网络的现有技术的路由器。
图6展示了依照本发明的路由器的第一实施方案。
图7展示了依照本发明的VPN网络的第二实施方案,包括从节点A到节点B的分组流。
图8展示了与图7相同的VPN网络,包括从节点B到节点A的分组流。
图9展示了GPRS网络中本发明的应用,图10展示了依照本发明的第四实施方案。
本发明优选实施方案详述依照本发明,对每个IP接口使用多个VRF(VPN路由/转发实体)。例如,IP接口可以是双向IP-中-IP隧道或以太网上的IP接口。用于路由来自给定接口的业务的转发表不能路由业务到相同IP接口。这个区别使得能够让一个方向上的业务属于一个VRF而另一个方向上的业务属于另一VRF。此外,如果接口有多个对等实体,每个对等终点可以属于不同的VRF。
图6展示了本发明的第一实施方案,包括路由器RT,它包括路由表VRF_1和VRF_2以及IP接口IP_IF1,提供对GTP隧道GTP_A的访问,GTP_A连接到第一个移动站MS_A和IP接口IP_IF2,提供对第二个GTP隧道GTP_B的访问,GTP_B连接到移动站MS_B。该路由器还包括第三IP接口IP_IF3,它连接到GRE隧道GRE_RT,GRE_RT提供到VPN访问网(例如公司内部网)的连接。
如箭头所示,转发表VRF_1根据给定分组的目标移动站路由来自IP接口IP_IF3的分组到IP接口IP_IF1和IP_IF2。转发表VRF_2路由来自MS_A和MS_B的分组到IP接口IP_IF3并进而到VPN访问网。由此,移动站MS_A和MS_B之间的业务可以由VPN访问网控制。
图7展示了本发明的另一实施方案,其中第一个路由器RT通过IP接口IP_IF1、IP_IF2、IP_IF3连接到以太网段ETH_S,形成了各自的虚拟专用网络VLAN1、VLAN2和VLAN3,以及以太路由器接口ETH_IF。该第一路由器包括第一转发表VRF_1和转发表VRF_2。
节点A虚拟局域网VLAN1连接到路由器,节点B通过通过公共以太网段ETH_S上的虚拟局域网VLAN2连接到路由器。
第二路由器R包括连接公共以太网段ETH_S上的VLAN3的转发表。第二路由器还连接到互连网。
转发表VRF_1为目标A定义IP接口IP_IF1的下一次转发,为目标节点B定义IP接口IF2。转发表VRF_2定义接口IP_IF3为默认的下次转发地址。转发表VRF_R为目标A和B都定义了IP接口IPIF_3。
从移动站A发往B的分组被沿着箭头10经过IP接口IPIF_1转发到转发表VRF_2,并接着被转发到IP接口IPIF_3,再到路由器R,箭头20,然后再次回到IP接口IPIF_3,并到达转发表VRF_1。转发表VRF_1为目标B定义IP接口IPIF_2作为下次转发地址,接着分组被沿着箭头30传输到节点B。
路由器被配置为,在一个接口IP_IF1上的移动站正在和另一接口IP_IF2上的移动站通信时,业务被通过第二个接口IP_IF3路由。
在图8中如箭头40、50和60所示展示了传输分组的相反路径。
应该理解在数据链路层上可以使用许多其它技术。
如上所示,VRF的转发表只有到属于该VRF的流出方向的接口的路由。哪个VRF用于转发决策是从接收接口的进入方向的VRF配置选择的。流出和进入两个方向上的接口定义都可以扩展成还考虑源和目标对等体(例如通过链路级地址识别)以允许多访问链路上的不同远程对等体(例如路由器)的不同VRF。
进入和流出方向之间的差异提供了接口可由流出方向上的多个VRF使用的可能性。也就是说,若干个VRF可以使用相同的流出链路。图7中,展示了VRF_1和VRF_2怎样使用相同的流出链路,例如IPIF_3。这个特性与基于广播和多播的服务在一起特别有用。一个例子是,它使得能够有独立的多播VPN提供几个其它VPN能够使用的多播服务。来自多播网络的业务可以被转发到服务的终端用户所连接的另一VPN中。这样做的好处是,网络间的公共服务可以使用一个公共的能够更有效地利用传输链路的网络体系结构。多播网络这样被使用来得到更好的性能,但多播服务目前并不能在VPN之间共享,本发明为此提供了一个解决方案。
主发明所解决的WPP中的主要问题是它允许GGSN节点延迟到远程网络的分组过滤以降低GGSN节点的管理员对分组过滤配置的需要。本发明提供朝向外部网络的可扩展路由解决方案。
图9依照本发明展示了本发明的第三个优选实施方案,其中两个移动站MS#1和MS#2之间的业务,MS#1和MS#2属于与拥有VRF#23的路由器相同的公司网络。VRF#37和VRF#42用在GGSN中,VRF#23用在路由器中。本发明用在GGSN中。对来自移动站的业务使用VRF#42。对来自路由器的业务使用VRF#37。VRF#42有路由器作为转发表中所有路由的下一站。这意味着来自移动站的所有业务都被送往该路由器。VRF#37有SGSN(服务GPRS支持节点)作为两个移动站的下一站。这意味着来自路由器目标是移动站的业务被送往SGSN。来自路由器目标不是移动站的业务被送回到路由器,因为VRF#37的转发表有一个默认路由指出该路由器作为目标不是移动站的所有业务的下一站。该路由器仅有一个VRF(VRF#23)用于所有它的接口。该路由器是一个普通路由器。从某个移动站发出目标是另一移动站的分组被通过SSGN送往GGSN。GGSN执行转发查找(使用VRF#42的转发表)并接着把分组路由到路由器。路由器执行转发检查并将业务路由返回GGSN,因为VRF#23的转发表将GGSN指作移动站的下一跳转。该GGSN再一次进行转发查找(使用VRF#37的转发表)并随后把分组路由到SGSN。SGSN把分组发送到接收移动站。应该注意到,不属于公司网络的第三个移动站将不使用图3中所示的隧道。将设置另一平行组的隧道和转发表。
图9展示了怎样在不同的管理员之间划分网络管理责任。在这张图中,移动站MS#1、MS#2和拥有VRF#23的路由器属于相同的公司网络,称为“公司”,并且这个网络的所有管理都由该公司网络管理员负责。举例来说,第一运营商,运营商1控制SGSN节点,运营商2控制GGSN节点。在GPRS网络管理和公司网络的管理之间有明确的划分。这个例子还展示了,在适用时SGSN和GGSN运营商之间的划分。对运营商来说向公司网络提供服务是一个强烈的商业事件,使得公司网络管理员能够为移动站配置分组过滤器并监控所有进出移动站的业务。因为对GGSN销售商来说向运营商提供实现本发明的设备是一个强烈的商业事件。应该注意到转发表VRF#37和VRF#42由运营商2依照公司和运营商2之间存在的无论什么协议来控制。
已经实现了路由分组到接口的相反方向的VRF的功能。如果要支持ICMP消息的话,这是有必要实现的。相反方向的VRF容易找到,因为ICMP消息是为流出接口产生的,并且随后可以像分组已经到达了那个接口那样处理分组。VRF中的转发表可以由路由后台程序更新。
路由后台程序从不同的接口接收它们的路由信息并把这些接口看作属于不同的路由区域。通过分离这些接口的进入和流出方向,可以配置路由协议以过滤要发往不同接口的信息。由此,可以分离路由更新的方向;如果用于路由通知的路由协议支持双向链路的话。
本发明可以用于(例如)Ipv4和Ipv6.Ipv4和Ipv6接口都可以是双向或单向的。本发明为路由器(或主机)提供把双向接口看作两个同时的单向接口的能力,因为对等路由器(或主机)把路由器(或主机)上的接口看成双向接口。换句话说,如果不希望以这种方式处理的话,周围的网络环境并不受使用本发明的影响。
本发明有很高的潜力解决IP路由的不同领域中的许多现有的和将来的问题,因为它是对IP路由和转发环境中怎样对待接口的一种基础改变。
缩写
ATM异步传输模式APN在GPRS骨干网中,访问点名字(APN)是对GGSN的引用。为了支持PLMN内的漫游,内部GPRS DNS功能被用来转换APN到GGSN的IP地址。
GGSN网关GPRS支持节点GPRS通用分组无线电服务GSM全球数字移动电话系统ICMP互连网控制消息协议(RFC 792)IP互连网协议(RFC 791)IPIFIP接口SGSN服务GPRS支持节点TCP传输控制协议(RFC 793)TCP/IP协议组,包括IP、TCP UDP、ICMP和其它协议UDP用户数据报协议(RFC 768)UMTS通用移动电话系统VPN虚拟专用网络VRFVPN路由/转发实体WPP无线分组平台
权利要求
1.路由器(RT)包括至少两个IP接口(IPIF_1;IPIF_2;IPIF_3),由此每个IP接口与各自的虚拟专用网络(VPN1;VPN2;VPN3)相关,路由器还包括至少两个转发表(VPF_1;VPF_2)。由此第一张表(VPF_1;VPF_2)用于将分组路由到给定接口(IPIF_1;IPIF_2;IPIF_3),并且第二张表(VPF_1;VPF_2)用于路由自同一给定接口(IPIF_1;IPIF_2;IPIF_3)出现的分组。
2.权利要求2的路由器,其中在一个IP接口(IPIF_1;IPIF_2;IPIF_3)上接收到的分组以及涉及一个给定的虚拟专用网络(VPN1;VPN2;VPN3)的分组被转发到涉及另一虚拟专用网络(VPN1;VPN2;VPN3)的另一IP接口(IPIF_1;IPIF_2;IPIF_3)。
3.依照前述任一权利要求的路由器,由此第一个IP接口(IP_IF1)与第向移动站提供双向连接性的第一个隧道(GTP_A)相耦合,第二个IP接口(IP_IF3)与向公司网络提供双向连接性的隧道(GRE_RT)相耦合。
4.权利要求3的路由器,包括第三个接口(IP_IF2)向移动站提供双向连接,可配置路由以使在一个接口(IP_IF1)上的移动站与第三个接口(IP_IF2)上的移动站通信时,业务被通过第二个接口(IP_IF3)路由。
5.权利要求4的路由器,其中从一个移动站(MS_A)到另一移动站(MS_B)的分组被转发到远程路由器(R),该远程路由器适合进行策略决策,例如丢弃分组。
6.包括拥有至少两个IP接口(IPIF_1;IPIF_2;IP_IF3)的路由器(RT)的网络,由此每个IP接口与各自的虚拟专用网络(VPN1;VPN2;VPN3)相关,路由器还包括至少两个转发表(VPF_1;VPF_2)。由此第一张表(VPF_1;VPF_2)用于将业务路由到给定接口(IPIF_1;IPIF_2;IPIF_3),第二张表(VPF_1;VPF_2)用于路由自同一给定接口(IPIF_1;IPIF_2;IPIF_3)出现的业务。其中在一个IP接口(IPIF_1;IPIF_2;IPIF_3)上接收到并涉及给定的虚拟专用网络(VPN1;VPN2;VPN3)的分组被转发到另一涉及另一虚拟专用网络(VPN1;VPN2;VPN3)的另一IP接口(IPIF_1;IPIF_2;IPIF_3),由此第一个IP接口(IP_IF1)与向移动站提供双向连接的第一个隧道(GTP_A)相耦合,第二个IP接口(IP_IF3)与向公司网络提供双向连接的隧道(GRE_RT)相耦合,并且由此第三个接口(IP_IF2)向移动站提供双向连接,可配置路由器以使在一个接口(IP_IF1)上的移动站与第三个接口(IP_IF2)上的移动站通信时,业务被通过第二个接口(IP_IF3)路由。
7.包括一个远程网络的权利要求6的路由器,可以配置为从一个移动站(MS_A)到另一移动站(MS_B)的分组被转发到该远程路由器(R),该行程路由器有选择地进行策略决策,例如丢弃分组。
8.权利要求7的网络,其中远程路由器包括防火墙。
9.权利要求6的网络,其中路由器(RT)包括在GGSN节点中。
全文摘要
已经展示了包括服务至少一个虚拟专用网络(VPN)的网关GPRS支持节点(GGSN)的网络,由此网关GPRS支持节点对每个互连网协议(IP)接口展包括至少两个虚拟专用网络(VPN)路由/转发实体。此外还公开了带有方向特定属性的路由器。
文档编号H04L12/46GK1640073SQ03804854
公开日2005年7月13日 申请日期2003年2月27日 优先权日2002年2月28日
发明者J·贝克曼, K·诺尔伦德, A·恩斯特伦, L·芒努松, J·克普曼 申请人:艾利森电话股份有限公司