专利名称:将核心网接入多协议标记交换虚拟专用网的方法
技术领域:
本发明涉及一种MPLS VPN网络接入方法,尤其涉及一种将核心网接入MPLS VPN网络的方法。
背景技术:
当前企业网VPN(Virtual Private Network,虚拟专用网)技术方兴未艾,日益成为业界关注的焦点。其中MPLS(Multiprotocol Label Switching,多协议标记交换)VPN广泛应用于企业网络资源逻辑划分和安全隔离,将一个物理的企业网络划分为多个独立的″逻辑网络″,是目前比较理想的实现网络资源分配的技术。
MPLS VPN是一种基于MPLS技术的IP VPN,是利用结合传统路由技术的标记交换实现的IP虚拟专用网络,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序,而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。
MPLS VPN框架包括的组件P设备(运营商核心路由器)、PE(ProviderEdge,运营商边缘)设备、CE(Custom Edge,客户边缘)设备、VPN业务管理系统,其中最关键的是PE设备。
以图1为例,为MPLS VPN技术拓扑示意图,以VPN1数据为例,其具体转发过程如下当地市某一CE设备将VPN1数据发给入口PE路由器后,PE路由器查找该子接口对应的VRF表(虚拟路由表),从VRF表中得到VPN1标签、初始外层标签以及到出口PE路由器的输出接口。当VPN1分组数据被打上两层标签之后,就通过输出接口转发给出口PE路由器。出口PE路由器根据VPN1标签,查找MPLS路由表得到对应的输出接口,在弹出VPN1标签后通过该接口将VPN1分组数据发送给正确的CE设备,从而实现了整个数据转发过程。当出口PE路由器和入口PE路由器是同一个路由器时,PE路由器对收到的VPN1分组数据将不经过任何处理直接转发给目的CE路由器。
MPLS技术是一种新出现的技术,旨在解决当前分组转发技术中存在的许多问题。而MPLS VPN技术更是今后VPN发展的一个方向,因此将3G技术和MPLS VPN进行融合显得尤为重要。
GGSN(GPRS网关支持节点)是3G核心网的网关节点,负责将移动用户接入到外部分组数据网、Internet或者是企业的VPN网络。GGSN根据用户签约的APN(接入点名称)选择自己所要访问的网络,如果某个APN连接的是一个VPN网络,则签约了该APN的移动用户将通过GGSN访问相应的VPN,当然也包括MPLS VPN。
移动终端和GGSN接入点(AP)之间建立的连接是一个PDP(分组数据协议)上下文,通过此过程使移动台到GGSN之间建立一条逻辑通路。
移动用户要访问外部数据网络,必须发起PDP上下文激活过程,移动台在激活的PDP上下文中接收它的IP地址。
在3G网络中,GGSN的每一个APN都可以单独指定地址配置方式,其地址配置的协议过程,一般首先由移动终端向SGSN(GPRS服务支持节点)发起“激活PDP上下文请求”的消息,并在消息中将相关参数传给SGSN,然后SGSN接收到请求后,向GGSN发送带有上述参数的“创建PDP上下文请求”消息,GGSN收到请求后,为移动终端分配接口标识并创建一个链路本地地址,然后将相关信息封装在“创建PDP上下文请求”的应答消息中,发回给SGSN,SGSN收到应答消息后,将相关信息封装在“激活PDP上下文请求”接收消息中,发回给移动终端,移动终端得到地址信息后进行相应的配置,并将接口标识解析出来,然后按照配置发送一个“路由请求”消息给GGSN,GGSN执行完“激活PDP上下文请求”操作后,向移动终端发送一个“路由通告”。经过以上过程,由移动终端发出的IP数据包被3G网络中的节点直接转发到GGSN,再由GGSN路由到目标网络。
目前GGSN接入到外部网络一般是通过传统的IP路由方式来接入,GGSN网关设备的上下行转发都是通过路由来实现的,所有的APN处于相同的地址空间,如果要实现VPN,基本只能采用通用的隧道封装方式,而要接入到复杂的MPLS VPN网络,实现上比较有难度。MPLS VPN网络内部采用了MPLS特有的标签交换技术,和传统的IP技术存在较大的差异,因此在GGSN上很难直接将APN和MPLS标签建立起映射关系。
因此,能否提出一种简单易行的方法,将3G核心网中的GGSN接入MPLS VPN网络,已经成为业内亟待解决的问题。
发明内容
本发明所要解决的技术问题在于提供一种将核心网接入多协议标记交换虚拟专用网的方法,将3G核心网中的GGSN接入MPLS VPN网络。
本发明提供一种将核心网接入多协议标记交换虚拟专用网的方法,包括如下步骤在GGSN对外接口上配置VLAN逻辑子接口,在对端的PE设备上也配置VLAN逻辑子接口,使双方的IP与ARP互通;在GGSN上建立APN与VLAN的映射关系,同时在PE设备上建立VLAN与VPN之间的映射关系;在控制层面上,根据APN、VLAN与VPN的映射关系,建立起PDP上下文;在用户层面上,根据创建的PDP上下文和相应的VLAN信息,与MPLSVPN网络交互,将核心网接入MPLS VPN网络。
本发明通过VLAN技术,在GGSN里建立起APN、VLAN VPN中,解决了GGSN设备上移动技术和MPLS VPN技术融合的问题。和MPLS VPN的映射关系,通过这种映射关系将用户接入到相应的MPLS VPN网络。
图1为MPLS VPN技术拓扑示意图;图2为虚拟局域网拓扑示意图;
图3为利用本发明的GGSN通过VLAN逻辑子接口和MPLS VPN网络进行互通示意图;图4为利用本发明将核心网接入多协议标记交换虚拟专用网的一种组网示意图;图5为本发明的实施例流程图。
具体实施例方式
由于GGSN和外部网络的物理链路上承载了多个MPLS VPN的用户,因此必须引入一种技术在相同的物理链路上将不同VPN的用户区分开来,因此引入VLAN技术来实现这种接入方式是非常可行的,通过虚拟局域网标识(VLAN ID)来区分不同的MPLS VPN,同时在GGSN上建立起APN和VLAN的一种映射,这样就可以实现将归属于APN的用户灵活接入到MPLS VPN网络中。
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑的而不是物理的划分成一个个网段从而实现虚拟工作组的新兴技术。虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,相比较传统的局域网布局,VLAN技术更加灵活。如图2所示,为虚拟局域网拓扑示意图。
在中继线上传输不同的VLAN的数据时,目前一般使用的是帧标记法。数据帧在中继线上传输的时候,交换机在帧头的信息中加标记来指定相应的VLAN ID。当帧通过中继以后,去掉标记同时把帧交换到相应的VLAN端口。
因此,如果能在GGSN上使用VLAN技术,对需要接入到VPN的用户数据,在出口时打上VLAN帧头发出,同时在接收的时候需要剥离VLAN帧头,并根据VLAN ID找到正确的PDP(Packet Data Protocol,分组数据协议)上下文,就可以完整的实现接入流程。
如图3所示,为利用本发明的GGSN通过VLAN逻辑子接口和MPLSVPN网络进行互通示意图。MPLS VPN网络由边缘的PE(运营商边缘)设备以及核心交换的P(运营商核心路由器)设备组成,GGSN要接入到MPLSVPN网络,首先必须和PE设备进行互通,在PE设备上会根据VRF(虚拟路由表)区分出不同的VPN,进而在某一个VPN空间里面进行标签的快速转发。在具体实施的时候,GGSN必须将VPN信息带给对端的PE设备,这是通过VLAN逻辑链路来进行传递的。这样当3G用户接入到GGSN后,GGSN就根据映射关系查找到VLAN,通过查找到的VLAN将用户报文转发给PE设备,最终通过PE生成VRF,进行标签转发,以访问到企业的VPN网络。
如图4所示,为利用本发明将核心网接入多协议标记交换虚拟专用网的一种组网示意图,MPLS VPN网络由边缘的PE(运营商边缘)设备以及核心交换的P(运营商核心路由器)设备组成,GGSN要接入到MPLS VPN网络,首先必须和PE设备进行互通,在PE设备上会根据VRF(虚拟路由表)区分出不同的VPN,进而在某一个VPN空间里面进行标签的快速转发。在具体实施的时候,GGSN必须将VPN信息带给对端的PE设备,这是通过VLAN逻辑链路来进行传递的。这样当3G用户接入到GGSN后,GGSN就根据映射关系查找到VLAN,通过查找到的VLAN将用户报文转发给PE设备,最终通过PE生成VRF,进行标签转发,以访问到企业的VPN网络。
如图5所示,为本发明的实施例流程图,首先在GGSN对外接口上配置VLAN逻辑子接口,在对端的PE设备上也配置VLAN逻辑子接口,使双方的IP与ARP互通(步骤501);然后在GGSN上建立APN与VLAN的映射关系,同时在PE设备上建立VLAN与VPN之间的映射关系,以生成虚拟路由表(步骤502);用建立的映射关系创建PDP上下文,关联用户的地址空间(步骤503);判断用户数据的流程是上行数据还是下行数据(步骤504);如果是上行数据,则根据建立的映射关系封装VLAN报文发送给外部的多协议标记虚拟专用网络(步骤505),外部网络根据VLAN映射关系与虚拟路由表,经过多协议标签交换协议找到对应的VPN标签转发(步骤506);如果是下行数据,则根据VLAN标签的对应关系找到对应用户的专用地址空间(步骤507),并根据用户信息封装正确的隧道(步骤508)。
在GGSN对外接口上创建的VLAN逻辑子接口,每个逻辑子接口都具有一个VLAN ID,每个子接口和外部的MPLS网络接口形成对应关系,保证和外部网络能够正常进行的IP路由和ARP(地址解析协议)解析。
在建立起APN、VLAN和MPLS VPN网络的对应关系后,可以根据用户签约的APN,配置相应的VLAN逻辑子接口,二者之间可以通过APN ID和VLAN ID形成映射关系,通过VLAN ID进而对应上外部的MPLS VPN。
在控制层面上,可以根据用户签约的信息和VLAN、VPN的映射关系,建立起PDP上下文。在用户层面上,则根据创建的PDP上下文、相应的VLAN信息和MPLS VPN网络交互,最终将核心网正确接入到MPLS VPN网络。
对于上行移动用户数据,GGSN根据用户签约的APN信息查找到该APN对应的外部网络连接方式,GGSN通过这种连接方式来确定该APN用户所要访问的外部网络。
对于连接方式是普通的直连方式的,GGSN根据用户上行数据报文查找路由表进行转发,将用户接入到外部网络中。对于下行用户数据,GGSN根据用户报文查找到相应的PDP上下文,通过PDP上下文里保存的用户信息对用户数据进行进一步的处理,最终发送给SGSN(GPRS服务支持节点)。
而对于连接方式是接入MPLS VPN网络的,则利用本发明,需要对GGSN的出接口划分逻辑子接口,每个逻辑子接口就对应一条VLAN逻辑链路,每条VLAN逻辑链路上承载了某一个MPLS VPN的用户数据。
如果某个APN要接入MPLS VPN网络,则GGSN建立起VPN和VLAN的映射关系。
在用户激活过程中,GGSN必须根据映射关系创建PDP上下文,在创建上下文需要关联用户地址空间。具体过程可以包括如下步骤(1)手机需要访问分组域网络业务,首先发起S激活流程,并把手机签约的接入点带上来;(2)激活请求到达GGSN,GGSN判断该手机用户的接入点名称配置的接入方式;(3)判断接入方式是否是接入到多协议标签交换网络?如果是这种方式,则将手机地址和对应该接入点的虚拟专用网标签一起进行64位的hash(哈希)运算,创建PDP上下文;(4)手机激活成功后,发起访问分组域业务的上行数据业务;(5)GGSN向手机发起激活成功响应,控制面流程结束。
对于用户的上行数据报文,GGSN根据APN ID和VLAN ID的映射,查找到对应的VLAN逻辑子接口,并将VLAN信息封装到用户报文前面,通过VLAN逻辑子接口发送到MPLS网络。具体来说,可以包括如下步骤(1)手机发起分组域的上行业务数据包,数据包到达GGSN;(2)如果该手机的接入点配置了接入多协议标签交换网络,则取出配置的虚拟局域网标签;(3)在上行数据包前面封装虚拟局域网标签,并根据该接入点配置的接口信息和下一跳信息发给与GGSN相连的运营商边缘路由器;(4)运营商边缘路由器收到上行报文后,根据接收到的报文的虚拟局域网标签,运行多协议标签交换协议得到转发的标签;(5)边缘路由器根据转发标签将上行报文发给核心P路由器,P路由器直接根据标签转发到手机需要访问的虚拟专用网;(6)上行用户面流程结束。
对于从MPLS VPN网络来的下行报文,GGSN不能仅仅根据报文的信息来找到用户的PDP上下文,因为对于VPN用户来说,地址空间可以是重叠的,单纯通过报文信息可能无法定位哪个PDP上下文,因此这里必须加上VLAN ID同时进行索引,才能查找到正确的用户PDP上下文,进而再对报文进行后续处理,最终发给SGSN。具体来说,可以包括如下步骤(1)网络侧发起下行数据业务到手机时,通过多协议标签协议的标签,下行报文到达GGSN;(2)GGSN下行收到报文,首先判断报文的目的地址是否是手机地址?如果是手机地址,并且是带有虚拟局域网标签的报文,则去掉虚拟局域网的标签,并将报文和虚拟局域网标签带给用户面处理板;(3)在用户面处理板上,将手机地址和虚拟局域网标签一起进行64位的hash运算,根据hash索引查找是否存在PDP上下文?(4)如果存在PDP上下文,则根据找到的PDP上下文里记录的信息封装GPRS隧道协议头部,并发给SGSN,通过SGSN再发给手机;如果找不到PDP上下文,则丢弃报文;(5)下行用户面流程结束。
上述几个部分描述了移动用户接入MPLS VPN网络的一个基本流程,这几个基本部分是前后关联的。用户要接入MPLS VPN网络,总体步骤和普通接入是类似的,对于普通接入外部网络的移动用户来说,主要的流程就是首先创建PDP上下文,然后根据路由关系转发用户面报文,而对于要接入到MPLS VPN网络的用户,由于存在VPN,因此在激活流程和用户面流程上存在一定的差异,首先,GGSN要接入MPLS VPN网络,是通过VLAN的方式来进行的,因此必须对出去的GGSN接口划分不同的VLAN逻辑子接口,每个逻辑子接口对应一个VPN,当然,也可以是多个逻辑子接口共享同一个VPN的用户数据;其次,用户激活并创建PDP上下文的时候必须关联VLAN信息,对于VPN用户来说,最大的一个特点就是地址可以重叠,因此必须在某一个VLAN里面进行创建,这样能够保证用户的PDP上下文的唯一性。最后,就是在用户面的转发层面,通过建立起APN、VLAN和MPLS VPN之间的映射关系,根据这种映射关系,就可以在上下行数据转发时找到正确的PDP上下文,实现用户数据顺利接入MPLS VPN网络。
本发明所述的3G核心网通过VLAN技术接入MPLS VPN网络的方法的核心思想就是建立起用户的VPN和VLAN之间的映射关系,并将这种映射关系和用户的控制面流程和用户面流程结合起来,同时将VLAN的信息带给MPLS网络,由MPLS网络的边缘设备根据VLAN信息找到对应的VPN,以生成各自的标签转发表,通过GGSN和MPLS边缘设备共同协作,完成用户的接入。
GGSN创建上下文的时候,不仅要根据用户地址信息、TFT(中文名),而且还要根据VLAN信息来创建,并保证在同一个VPN空间里面,PDP上下文的唯一性,使得各个VPN用户的数据能够正确地找到各自的上下文信息进行处理。
GGSN管理很多APN,而某个APN或者多个APN又归属于某一个VPN,需要通过映射将VPN和VLAN关联起来,通过VLAN信息就可以唯一标识一个VPN。
GGSN上创建VLAN逻辑子接口后,对IP和ARP的协议处理必须做到GGSN和MPLS网络的正常通信。
采用本发明,能够比较方便地在现有技术的基础上,实现GGSN接入MPLS VPN的功能,为核心网的VPN组网提供了更加完备的商用解决方案。
权利要求
1.一种将核心网接入多协议标记交换虚拟专用网的方法,其特征在于包括如下步骤在GPRS网关支持节点对外接口上配置虚拟局域网逻辑子接口,在对端的运营商边缘设备上也配置虚拟局域网逻辑子接口,使双方的IP与地址解析协议互通;在GPRS网关支持节点上建立接入点名称与虚拟局域网的映射关系,同时在运营商边缘设备上建立虚拟局域网与虚拟专用网之间的映射关系;在控制层面上,根据接入点名称、虚拟局域网与虚拟专用网的映射关系,建立起分组数据协议上下文;在用户层面上,根据创建的分组数据协议上下文和相应的虚拟局域网信息,与多协议标记交换虚拟专用网网络交互,将核心网接入多协议标记交换虚拟专用网网络。
2.如权利要求1所述的方法,其特征在于所述逻辑子接口具有虚拟局域网标识,每个子接口与外部的虚拟专用网网络接口形成对应关系,与外部网络能够正常进行IP路由与地址解析协议解析。
3.如权利要求1所述的方法,其特征在于所述的配置虚拟局域网逻辑子接口是根据用户签约的APN来配置相应的虚拟局域网逻辑子接口,通过接入点名称标识与虚拟局域网标识形成映射关系,通过虚拟局域网标识进而对应外部网络的虚拟专用网。
4.如权利要求1所述的方法,其特征在于所述的创建分组数据协议上下文,是在某一个虚拟局域网空间内进行创建,以保证用户的分组数据协议上下文的唯一性。
5.如权利要求1所述的方法,其特征在于所述的在控制层面上,根据接入点名称、虚拟局域网与虚拟专用网的映射关系,建立起分组数据协议上下文,包括如下步骤(1)手机需要访问分组域网络业务,首先发起S激活流程,并把手机签约的接入点带上来;(2)激活请求到达GPRS网关支持节点,GPRS网关支持节点判断该手机用户的接入点名称配置的接入方式;(3)判断接入方式是否是接入到多协议标签交换网络?如果是这种方式,则将手机地址和对应该接入点的虚拟专用网标签一起进行64位的哈希运算,创建分组数据协议上下文;(4)手机激活成功后,发起访问分组域业务的上行数据业务;(5)GPRS网关支持节点向手机发起激活成功响应,控制面流程结束。
6.如权利要求1所述的方法,其特征在于所述的在用户层面上,根据创建的分组数据协议上下文和相应的虚拟局域网信息,与多协议标记交换虚拟专用网网络交互,将核心网接入多协议标记交换虚拟专用网网络,对于上行数据业务,包括如下步骤(1)手机发起分组域的上行业务数据包,数据包到达GPRS网关支持节点;(2)如果该手机的接入点配置了接入多协议标签交换网络,则取出配置的虚拟局域网标签;(3)在上行数据包前面封装虚拟局域网标签,并根据该接入点配置的接口信息和下一跳信息发给与GPRS网关支持节点相连的运营商边缘路由器;(4)运营商边缘路由器收到上行报文后,根据接收到的报文的虚拟局域网标签,运行多协议标签交换协议得到转发的标签;(5)边缘路由器根据转发标签将上行报文发给核心P路由器,P路由器直接根据标签转发到手机需要访问的虚拟专用网;(6)上行用户面流程结束。
7.如权利要求1所述的方法,其特征在于所述的在用户层面上,根据创建的分组数据协议上下文和相应的虚拟局域网信息,与多协议标记交换虚拟专用网网络交互,将核心网接入多协议标记交换虚拟专用网网络,对于下行数据业务,包括如下步骤(1)网络侧发起下行数据业务到手机时,通过多协议标签协议的标签,下行报文到达GPRS网关支持节点;(2)GPRS网关支持节点下行收到报文,首先判断报文的目的地址是否是手机地址?如果是手机地址,并且是带有虚拟局域网标签的报文,则去掉虚拟局域网的标签,并将报文和虚拟局域网标签带给用户面处理板;(3)在用户面处理板上,将手机地址和虚拟局域网标签一起进行64位的哈希运算,根据哈希索引查找是否存在分组数据协议上下文?(4)如果存在分组数据协议上下文,则根据找到的分组数据协议上下文里记录的信息封装GPRS隧道协议头部,并发给SGSN,通过SGSN再发给手机;如果找不到分组数据协议上下文,则丢弃报文;(5)下行用户面流程结束。
全文摘要
本发明公开了一种将核心网接入多协议标记交换虚拟专用网的方法,首先在GGSN对外接口上配置VLAN逻辑子接口,在对端的PE设备上也配置VLAN逻辑子接口,使双方的IP与ARP互通,然后在GGSN上建立APN与VLAN的映射关系,同时在PE设备上建立VLAN与VPN之间的映射关系,在控制层面上,根据APN、VLAN与VPN的映射关系,建立起PDP上下文,在用户层面上,根据创建的PDP上下文和相应的VLAN信息,与MPLS VPN网络交互,将核心网接入MPLS VPN网络。本发明通过VLAN技术,在GGSN里建立起APN、VLAN和MPLS VPN的映射关系,通过这种映射关系将用户接入到相应的MPLS VPN中。
文档编号H04L29/06GK1863127SQ20051006952
公开日2006年11月15日 申请日期2005年5月12日 优先权日2005年5月12日
发明者张帆 申请人:中兴通讯股份有限公司