专利名称:用于在不连接方式下互连虚拟专用网的方法
技术领域:
本发明涉及一种在不连接方式下互连虚拟专用网的方法。
背景技术:
通常周知通过使互连系统透明的服务,连接同一公司不同地点上的网络。这种类型的利用操作员的资源的不同网络的透明互连称为虚拟专用网或VPN。
目前,虚拟专用网VPS主要存在两种大体系结构种类·这两种体系结构种类的第一类通过隧道(例如GRE,L2TP,IPsec)开始于并且结束于客户接入路由器(CPE-客户住宅设备)直接连接客户站点,按照定义该客户接入路由器是该客户点的最后一个的与一个或几个操作员连接的接入路由器。对于客户该方法具有一些灵活性,并且因为客户对他/她的设备保持控制安全性较高。但是,它可能相对难以管理,尤其因为-要管理的隧道数量大在包含N个客户接入路由器(CPE)的全网状型网络的情况下为 -要为客户接入路由器(CPE)配置的网络设备的数量和距离,在差的配置下这可能会涉及要求技术人员巡查。
·第二类体系结构提出的解决办法包括建立虚拟专用网(VPN)的链接,从操作员接入路由器(PE-住宅设备)到操作员接入路由器(PE)建立链接,而不是建立从客户接入路由器(CPE)到客户接入路由器的链接。为此,最常用的解决办法包括在核心网络使用标签交换网络技术(MPLS-多协议标签交换),这是一种连接方式类型的网络技术,利用它可以建立回路并且它的转发方式基于依赖标签的从一个网络到下个网络的交换。在此情况下,操作员接入路由器(PE)建立由LSP路径(标签交换路径)构成的网络,这些LSP为标签交换网络(MPLS)的隧道的形式。对于这种方式让我们记住,根据定义当存在链接状态时系统是在连接方式下互连的。这样,标签交换网络(MPLS)要求在网络的核心(核心网络)打开端路由器(MPLS)之间的路径。
可以看出第二种体系结构类型对构成操作员的第一边缘路由器的操作员接入路由器(PE-住宅设备)要求多得多的资源,其中客户的IP帧转发到该第一边缘路由器上。但是,它的管理成本较低,因为-操作员接入路由器(PE)的数量比客户接入路由器(CPE)的数量少得多,-通常在ISP(因特网服务供应商)按集中方式管理操作员接入路由器。
但是,由于以下事实这种第二类解决办法的主要缺点是·它不是因特网协议IP的天然解决办法,从而额外协议的添加增加了系统的复杂性。
·不是所有的网络都能使用该技术(MPLS),·不能全球地在不同的网络管理实体上使用该技术(MPLS)。
发明内容
从而,更具体地,本发明的目的是消除这些缺点。
为此,提出一种基于网络地址的格式的方法,其提供数据的自动封装以便在IP专用网络之间转发数据并且以便在客户接入路由器(CPE)和操作员接入路由器(PE)上对虚拟专用网VPN的问题得到简单的和自动的解决办法。
依据本发明,该方法包括在接入路由器(CPE或PE)设定简单的封装机制以允许对发送器站点Ai希望发送到接收器站点Aj的消息计算标题,该标题包括至少一个涉及该操作员提供的服务的PREFservice前缀、一个虚拟专用网(VPN)标识符、接收器站点Aj的网络前缀Ni以及一个由可取任何值的位字段构成的后缀Sx。
该方法可有益地采用在128个位上对地址编码的IPv6型寻址方法。在此情况下,可以得到以下优点·依据本发明的方法不会涉及从现有的IPv4专用网到IPv6网的迁移。相应地,客户可以继续透明地使用他们的IPv4基础设施和他们的专用寻址方式。
·由于这是标签交换技术(MPLS)情况,该方法不会使操作员更新核心网络的所有路由器。
·可以通过IPv6/IPv4迁移隧道实现各操作员的IPv6网络间的互连。
·该方法能只通过利用目前已在IPv6网络中存在的QoS(服务质量)机制(例如利用IPv6的流标签字段)提供和目前的标签交换虚拟(VPN-MPLS)网的服务相类似的网络业务工程服务。
作为MPLS类型的解决办法,依据本发明的解决办法的优点如下·通过核心网络可以在不连接方式下转发IP分组通量。因此,通过VPN虚拟专用网配置互连服务不那么费钱。通过依据本发明的方法得到的自动操作是一个明显的优点。
·出于同样的原因,通过适当的路由选择策略规则(eBGP)还可以超出操作员的行政管理实体(独立系统)但同时仍在某些独立系统之内转发IP分组通量。
·能选择两种转发方式,其中之一允许聚集发布的前缀的数量。
·存在多种应用依据本发明的方法的方式,方式的选择取决于不同的可用路由选择协议。在任何情况中,这些应用方式利用先前定义的地址格式的语义。
·当核心网络支持多播多跳寻址时,可以利用这种寻址在不必装入内部交换表的情况下于虚拟专用网VPN的终端路由器之间传播来自配对(专用网,用来接入该专用网的路由器)的信息。
·当不存在多播路由选择支持时,能使用单播路由选择表,利用这些表能继续在专用网之间提供转发服务。
·通过依赖IP安全性的技术(《IPsec》),这些不连接虚拟专用网VPN的安全性预期比采用加密和验证更加可靠。
可以在不作任何改变下再使用IP体系结构中存在的QoS(服务质量)服务。对于网络核心这是一种对标签交换网络的业务工程的替代。
下面参照附图按非限制性的例子说明本发明的实施例,附图中该唯一的附图是和依据本发明的方法相关的网络环境图。
具体实施例方式
更具体地,该唯一的图分别在虚线和点线下示出两个虚拟网VPNA和VPNB,分别包括n和n′个站点,即A1…An和B1…Bn′,以及m和m′个各具有恒定地址的局部网,即N1…Nm和N1′…Nm′′。这些局部网通过n个接口IFA1…IFAn和n′个接口IFB1、IFB2…IFBn′和p个PE或CPE型的路由器R1…Rp连接。接口IFA1和IFAn分别是站点A1和An的接口,而接口IFB1、IFB2和IFBn′分别是站点B1、B2和Bn′的接口。这些接口可以是虚拟的或物理的。几个接口(IFA1…IFAn-IFB1,IFB2…IFBn′)可以在同一个路由器上。另外,几个站点可以和同一个路由器连接路由器R1…Rp包括两个IPv4和IPv6因特网协议栈。
在依据本发明的方法的环境下,为了在站点A1、…An之间传送虚拟专用网VPNA的数据,在路由器R1…Rp的接口IFA1……IFAn之间采取根据IPv6协议的传输,应理解,为了满足尺度(可缩放性)和简单性准则,如同为标签交换(MPLS)情况,该传播既不采用静态连接隧道也不采用动态连接隧道。
事实上,可按如下描述本发明要解决的问题如果对站点Ai(1≤j≤n)希望按IP分组对其发送消息的站点Ak(1≤k≤n)分配等于Ni(1≤j≤m)的网络前缀,依据本发明的方法要完成的任务之一是使网络决定把到达接口IFAj的IP分组发送到接口IPAk上的途径。
本发明提出的解决该问题的办法包括从操作员提供的PREFservice服务的前缀、该虚拟专用网VPN的标识符以及目的地站点Ak的网络前缀Ni建立目的地址IFAk。该接着用来解决转发问题的地址是按如下形式出现的IFAk的地址PREFservice:PREFfeed:VPNA:Nj::Sx/(M+Mf+MVPN+Mi)其中PREFservice/M是操作员提供的服务使用的网络前缀,Ni/Mi是能通过目的地接口IFAk到达的目的地站点Ak的(IPv4或IPv6)前缀中的一个,VPNA是站点Aj和Ak属于的公用虚拟专用网的标识符,VPNA是在MvPN位上编码的,PREFfeed/Mf是一个固定的位字段,利用它可以调整地址的长度,Sx是一个可以取任何值的并且其为该地址的后缀的位字段。
该唯一的附图规定该体系结构中该机制所涉及的位置。该图示出IP分组在该网络中的行进并且揭示由和标题有关的ME机制提供的改变(以VPNB作为例子)。
该用来互连虚拟专用网的ME机制建立在位于核心网络(RC)的边缘的操作员接入路由器(PE)上,本文中为路由器R2。该ME机制封装PA分组并对封装的分组分配新标题。接着通过操作员接入路由器(PE),本文中为Rp,或者通过和目的地网络,本文中为Bn′相关的客户接入路由器(CPE)解封。
在本例中,希望向目的地局部网Bn′发送消息的局部网B1利用位于核心网络RC的边缘上的接入路由器R2封装分组。利用路由选择表TR通过互连机制进行封装,借助该路由选择表能够确定IP分组在该核心网络内要经过哪些节点。
利用该机制能使原始的IP分组和一个新标题关联起来,该标题包括发送器站点B1希望对其发送IP分组的站点(本文中为Bn′)的接口IFBn′的地址(@EDSTK)。
例I-VII说明采用IPv4型基础设施时确定IFAk地址的原理。
例I
构建IFAk接口的地址输入的条目如下PREFservice/M=2001:baba:1234::/48(操作员服务网络前缀)PREFfeed/Mf=0/0VPNA/MVPN=6100/16(公用虚拟专用风标识符)Nj/Mi=10.10.1.0/23(0a.0a:01.00/23)(站点Ak的前缀)依据本发明通过式(1)确定IFAk地址并表达为IFAk=2001:baba:1234:6100:0a0a:0100::/87例II在该例中,条目PREFservice/M、PREFfeed/Mf、VPNA/MVPN以及Ni/Mi表达如下PREFservice/M=2001:baba:1234::/48PREFfeed/Mf=0506:0708/32(=128-48-32-16)VPNA/MVPN=6100/16Ni/Mi=10.10.1.0/23(0a.0a.01.00/23)IFAk的表达则如下IFAk=2001:baba:1234:0506:0708:6100:0a0a:0100::/119在最坏情况下,利用条目PREFfeed例如能得到128位的IFAk地址。
例III该例涉及在IPv6型基础设施情况下确定IFAk地址。涉及到的条目如下PREFservice/M=2001:baba:1234::/48PREFfeed/Mf=0/0VPNA/MVPN=6100/16Ni/Mi=fec0:cafe:deca:c1c0::/64由此推导出IFAk=2001:baba:1234:06100:fec0:cafe当然在任何情况下M+Mf+MVPN+Mi的和应小于或等于128位。
例IV该例涉及把本发明应用到4in6或6in6型封装。
这种类型的封装包括把一个IPv4分组(4in6封装情况)或把一个IPv6分组(6in6封装情况)传送到一个IPv6分组中。
按下面的方式建立Nh网络源ESRCj和Ni网络目的地EDSTK的封装地址ESRCj=PREFservice:PREFfeed:VPNA:Nh::SxEDSTk=PREFservice:PREFfeed:VPNA:Ni::Sx表达式中-PREFservice/M是操作员提供的服务使用的网络前缀-Nh和Ni是站点Aj和Ak的二个终端之间的通量的源地址和目的地地址(IPv4下为整个地址或在IPv6下仅为前64位)-VPNA是站点Aj和Ak属于的公用虚拟专用网的标识符并且MVPN位。仅当和值M+Mf+MVPN+长度(Nx)小于或等于128位(x=h或i)时地址ESRCj和EDSTk才存在。
例V该例涉及从源地址为10.10.2.1的10.10.2.0/24IPv4专用网向10.10.1.0/24网中的地址为10.10.1.1的IPv4终端转发IPv4帧。
PREFservice/M=2001:baba:1234::/48PREFfeed/Mf=0/0VPNA/MVPN=6100/16Nh=10.10.2.1(0a.0a.02.01)Nj=10.10.1.1(0a.0a.01.01)封装地址则为ESRcj=2001:baba:1234:6100:0a0a:0201::
EDSTk=2001:baba:1234:6100:0a0a:0101::
例VI该例涉及例V类型的传输但其中在最坏情况下使用PREFfeed。
PREFservice/M=2001:baba:1234::/48PREFfeed/Mf=0506:0708/32(=128-48-32-16)VPNA/MVPN=6100/16Nh=10.10.2.1(0a.0a.02.01)Ni=10.10.1.1(0a.0a.01.01)
得出以下的封装地址ESRCj=2001:baba:1234:0506:0708:6100:0a0a:0201EDSTk=2001:baba:1234:0506:0708:6100:0a0a:0101例VII该例和例V类似涉及IPv6型虚拟专用网情况下的传输。
在此情况保持Nh和Ni的前64位就够了,这些位是有效位并且描述IPv6网络。
这里从fec0:cafe:deca:c2c0::/64IPv6专用网按源地址fec0:cafe:deca:c2c0::EUI64向fec0:cafe:deca:c1c0::/64网的地址为fec0:cafe:deca:c1c0::EUI64的IPv6终端转发IPv6帧。
从而封装地址表达为ESRCj=2001:baba:1234:6100:fec0:cafe:deca:c2c0EDSTk=2001:baba:1234:6100:fec0:cafe:deca:c1c0.
向目的地转发数据提出取决于要服务的虚拟专用网的数量的问题。这涉及建立路由选择表,该表可以利用操作员的现有路由选择或者利用带有多跳型分配的路由选择协议,已知使用操作员的路由选择的第一方案不允许任何聚集,而第二方案提及聚集办法。
下面例VIII和IX说明这种方案。
例VIII(利用操作员的现有路由选择)如果通过标准路由协议(例如BGP,OSPFv3,RiPng)重新分配路由器Pk的IFAk接口的前缀,则在其前缀中包含目的地地址EDSTK的帧自然会转发到该IFAk接口。
对于提供数量为N个的虚拟专用网的并且其中最大的虚拟专用网VPN具有M个站点的操作员,转发表则总共具有N乘M条备用路线。只要乘积N·M远远小于每年大约增加20个条目的IPv4路由选择表(即120,000个条目)该方案证明是可接受的。
例如如果操作员设置12个站点的10,000个虚拟专用网服务,则其v6内部路由选择表会装成象IPv4表那么大。
从而利用该方法能得到单个封装层次。
例IX该方案使用和用来在几个节点以上支持多节点广播的RIPng或OSPFv3路由协议修改版本对应的多跳分配路由协议。它们还可以包括专有协议或者称为MP-BGP4的协议。
在路由器Rj层次,该问题等同于发现路由器Rk的IFAk接口的地址以便对它发送有用负载。从而,如果使用多跳多播式或者单播全网格式IPv6路由选择协议,用路由器Rk的全局地址代替下个路程段就行了。这样,在不连接方式下不必装入内部路由器的转发表就可扩充同一个虚拟专用网VPNA的IFAj和IFAk间的可到达性。
从而该方法具有二个封装层次。
但是如果使用诸如目的地选项的IPv6标题选项,只需要单级封装。
通过依据本发明的方法施加的机制的一个重要优点在于,它能用于更方便地布署操作员提供的虚拟专用网(VPN)服务。另外它允许在数个操作员之间布署同一个虚拟专用网(由操作员设置)。
本发明提供的另一个优点在于,能使用用来聚集IPv4和IPv6寻址方式的布署方案以及使操作员避免在整个因特网上广播IFAk接口的前缀。
该方法尤其适宜对标签交换网(MPLS)提供IP型替代。
权利要求
1.一种在不连接方式下用于互连虚拟专用网的方法,从而为了在发送器站点(Aj)和接收器站点(Ak)之间传送数据通过操作员的接入路由器(PE)提供路由器的接口间的消息传输,其特征在于它包括在该路由器中或者通过客户接入路由器(CPE)建立适用于为发送器站点(Aj)希望发送到接收器站点(Ak)的消息计算标题的封装机制(ME),该标题包括至少一个和操作员提供的服务相关的前缀(PREFservice)、虚拟专用网标识符(VPN)、目的地站点(Ak)的网络前缀(Ni)以及由可取任何值的位字段组成的后缀(Sx)。
2.根据权利要求1所述的方法,其特征在于,使用在128位上编码地址的IPv6型寻址。
3.根据权利要求1或2所述的方法,其特征在于,通过迁移隧道(IPv6/IPv4)实现操作员的网络(IPv6)间的互连。
4.根据上述任一权利要求所述的方法,其特征在于,其利用网络(IPv6)中已有的服务质量(QoS)机制,以提供类似于标签交换虚拟专用网(VPN-MPLS)的服务的网络业务工程服务。
5.根据上述任一权利要求所述的方法,其特征在于,通过核心网络(RC)在不连接方式下转发分组流(IP)。
6.根据上述任一权利要求所述的方法,其特征在于,当核心网络提供对多播多跳型路由选择的支持时,利用这种类型的路由选择从专用网/接入路由器对在不必装入内部交换表的情况下在虚拟专用网的终端路由器之间将信息传播到该专用网上。
7.根据上述任一权利要求所述的方法,其特征在于,在不存在多播式路由选择支持的情况下,利用单播式路由选择表提供专用网间的转发服务。
8.根据上述任一权利要求所述的方法,其特征在于,其包括消息的加密和验证以便通过依赖于安全性的技术(IPsec)使这些不连接的虚拟专用网安全。
9.根据上述任一权利要求所述的方法,其特征在于,上述封装机制(ME)布置在操作员的接入路由器中或者布置在位于核心网络边缘上的客户接入路由器(R2)中,并且通过操作员的接入路由器(Rp)或者通过和目的地网络(Bn′)关联的客户接入路由器(“CPE”)解封由该机制(ME)封装的分组(PA)。
10.根据上述任一权利要求所述的方法,其特征在于,所述封装机制利用用于确定分组(IP)应在核心网络(RC)中经过哪些节点的路由选择表(TR)。
11.根据上述任一权利要求所述的方法,其特征在于,为了解决分组的转发问题,上述机制建立下述形式的目的地地址(IFAk):IFAk的地址=PREFservice:PREFfeed:VPNA:Ni::Sx/(M+Mf+MVPN+Mi)该表达式中PREFservice/M是操作员提供的服务使用的网络前缀,Ni/Mi是能通过目的地接口(IFAk)到达的目的地站点(Ak)的(IPv4或IPv6)前缀中的一个,VPNA是站点Aj和Ak属于的公用虚拟专用网的标识符,VPNA是在MVPN位上编码的,PREFfeed/Mf是一个固定的位字段,利用它可以调整地址的长度,Sx是一个可以取任何值的并且充当该地址的后缀的位字段。
全文摘要
本发明包括在操作员接入路由器中植入封装机制(ME),从而所述封装机制可以为发送器站点(B
文档编号H04L29/12GK1754350SQ200380109863
公开日2006年3月29日 申请日期2003年12月24日 优先权日2003年2月20日
发明者文森特·雅尔丹, 艾琳·瑞托克斯 申请人:6Wind公司