专利名称:在多域虚拟专用网络中快速确定连接路径的方法
技术领域:
本发明通常涉及通信系统中的虚拟专用网络,尤其涉及在多域通信系统中确定虚拟专用网络的连接路径。
背景技术:
虚拟专用网(VPN)利用公共或专用通信网络来实施专用通信。传统上,想要建立广域网的公司或其它客户必须在每个节点之间提供它自己的专用线路以提供连通性。然而,这种解决方案通常昂贵且不灵活。在最近一些年中,VPN的概念快速演进。VPN提供一种解决方案,其中在许多客户之间共享通信网络,但是每个客户的通信实际上是分离的。VPN技术经常基于隧道(tunnelling)的思想。网络隧道包括建立和维护逻辑网络连接。在该连接上,在一些其它基站或载波协议内封装分组。然后在VPN客户和服务器之间发送它们,并最后在接收侧被解封装。认证和加密参与提供安全。
一种趋势是形成VPN的网络节点的数目增长快速,这导致巨大复杂网络结构和拓扑。这部分是由于VPN上增长的业务量,和部分由于要求VPN覆盖越来越大的地理区域。今天出现的是提供在所有陆地具有节点的VPN的通信网络。然而,节点越多以及要发送的业务量越多,VPN的配置也就变得越复杂。
通常,根据网络运营商和客户之间的协议创建VPN。对节点的位置、服务质量和其它条件达成一致,运营商处的程序设计师人工建立或由咨询配置辅助工具建立配置。当具有越来越复杂的通信网络时,这样的配置也变得越来越复杂和消耗时间。此外,当客户想要修改其VPN时,需要重复整个过程。
通信网络发展的常规趋向转向越来越灵活的解决方案。不仅仅在不同终端和网络之间也在不同网络方之间使用移动和无线通信技术。连接和分离整个部分网络的灵活性产生一些情况,其中网络连续将其外观改变得越来越普通。因为条件连续变化,在这样的动态网络中配置VPN变得极其困难。当使用人工配置时这尤其是困难的,因为必须将有关网络拓扑的任何变化及时更新给程序设计者。在这种动态网络中,更希望的是快速配置而非最佳配置,因为条件连续变化也改变了最佳的。
发明内容
因此,现有解决方案通常的一个问题是提供具有大的地理覆盖和/或具有大的业务量的虚拟专用网络的通信网络变得非常复杂。进一步的问题是,新VPN的配置或现有VPN的修改变得复杂且耗时,尤其在具有大的拓扑动态的网络中。进一步的问题是覆盖较小地理区域的网络运营商的通信资源通常不能用于广域VPN。
因此本发明的一个目的是改进确定VPN的连接路径的方法,以及提供一种适合该方法的系统和设备。本发明的一个进一步的目的是提供用于寻找利用多于一个网络域的VPN的连接路径的方法。本发明另一个进一步的目的是实现在多域网络中快速确定可用连接路径的方法和装置。
通过根据随附的专利权利要求书的方法和装置实现上述目的。通常来说,从第一个域发送有关一特定VPN的信息请求到邻近域。如果邻近域具有如何到达的所述VPN的可用信息,将这种连接路径信息返回至请求域。如果在该域中不能获得合适的连接路径信息,该请求被转发到其它邻近域,借此信息请求以级联方式通过通信网络传播。当找到合适的VPN或其连接路径信息时,该信息被返回到原始请求域,优选地沿着与转发请求相同的路径,但是以相反的方向。从而通过级联信息拉动机制(pull mechanism)获得连接路径。优选地,该方法和装置包括禁止网络域之间的信息请求的无穷循环的装置。连接路径信息最简单的形式是一个确认信息,表示被请求的VPN通过所述域可到达。然而,在优选实施例中,有关要使用的链路的信息包括在连接路径信息中。在具体的实施例中,当在域中可以获得有关于被请求的VPN的信息时,同样执行信息请求的转发。这使得能够发现到被请求的VPN的备选或附加路径,借此可以在稍后阶段执行重配置或附加配置。
本发明的一个重要优点是提供简单稳固的平台,在该平台上,不同域的运营商可以合作。可以在多域系统基本上所有的域中以一种快速方式获得域VPN信息来支持VPN配置,这在具有动态拓扑的网络中是必要的。
通过参考与附图结合在一起的下列说明,本发明与其进一步的目的和优点一起将得到最好理解,其中
图1是提供虚拟专用网络的多域通信网络的示意性说明;图2A是根据本发明实施例的VPN信息收集的示意性说明;图2B-D是根据本发明的其它实施例的VPN信息收集的示意性说明;图3A-D是域内VPN控制节点配置的根据本发明的实施例;图4是根据本发明实施例的信息请求转发和连接路径信息答复的示意性说明;图5是信息请求转发中无穷循环情况的示意性说明;图6是根据本发明的普通VPN控制节点的实施例的方框图;图7是根据本发明的一个实施例的VPN配置的示意性说明;以及图8是示出了根据本发明的方法实施例的主要步骤的流程图。
具体实施例方式
在图1中示出了普通VPN提供商结构的实施例。在该VPN提供商结构中,有5个VPN提供商域10A-E出现,它们通过域间数据连接12A-G彼此连接。一个运营商可以控制一个或多个这样的域10A-E,或者它们也可以由分开的运营商控制。通常根据所涉及的运营商之间的协议(例如VPN业务层协议(SLA))来规定域10A-E之间的关系,即,域间数据连接12A-G的控制。每个VPN提供商域10A包括VPN边缘节点14和核心节点16,这些节点可以是VPN知道的或不知道的,其中只有一些提供有参考数字。VPN边缘节点14是这样一些节点,不同客户的客户站点20通过这种节点连接到结构1中的不同VPN。VPN不知道的节点16是域内的中间节点,并且只用于在VPN边缘节点14之间转发消息和数据。客户不知道哪个VPN未知节点用于通信。唯一重要的是启动和结束VPN边缘节点14。因此连接在域中的VPN可以通过VPN边缘节点14之间的直接线路表示,即使实际通信可能通过一个或多个VPN未知节点16发生。在本发明公开的剩余部分,VPN未知节点的存在通常被忽略,因为根据本发明的基本过程上的步骤不直接依赖于任何VPN未知节点16是否存在。然而,在实际实施中,可能VPN未知节点16用于提供实际连接。
VPN提供商域10A-E经VPN边界节点18而在数据面中被连接,即域间数据连接12A-G在VPN边界节点18开始和结束。VPN边界节点18也可以在或不在同一时间充当VPN边缘节点14。客户站点20连接到一个VPN边缘节点14。相同客户的客户站点20此后可以通过VPN提供商域10A-E经VPN22A-C连接。一个客户可具有连接到不同VPN 22A-C的客户站点20。同样,多于一个的客户站点20可以连接到同一VPN边缘节点14,但是不知道其它客户站点20以及其它客户站点20被连接到的VPN的存在。
在当前的实施例中,示出了三个VPN 22A-C。然而本领域任何熟练技术人员明白实际系统中VPN的数目通常会更高。由虚线示出的第一VPN 22A延伸到三个域10A、10C、10D上,并连接在所有这些域中的客户站点20。由点线示出的第二VPN 22B在本实施例中延伸到所有域10A-E上。最后,由点划线示出的第三VPN 22C只连接在域10B内的客户站点20。每个客户站点20不知道其它客户的客户站点20的存在以及除了其连接到的之外的任何其它VPN的存在。以这样一种方式,保护了VPN的秘密特征,尽管他们都共享同一基本通信资源。本发明优选在该情况下操作。
在本发明公开中,讨论不同连接-域间、域内、用户面连接、控制面连接、重叠控制连接、节点和用户终端之间的连接等。在整个说明中假设这些连接可以是任何种类的。本发明的基本思想不依赖于实际连接技术。这意味着有线和无线技术都可以用于任何这些连接。尤其是,考虑无线连接的使用,用户终端可以相对于边缘节点移动。这些域内的节点可以相对于其它节点移动。甚至域可以是彼此相对移动的。现在,考虑新客户站点20’连接到域10E内的VPN边缘节点14’。如果客户站点20’想连接到VPN 22B,过程或许相对简单,因为VPN 22B已经在域10E内出现了。可以采用根据现有技术的人工或自动VPN重配置程序,以及它们之间的混合。然而,如果新客户站点20’想连接到VPN 22A或22C,情况变得更加困难。在现有技术中,没有普通域间VPN配置程序。
如果域10E的运营商具有有关图1的整个网络“映射”信息,包括不同域内和之间的可能链路,可以发现到被请求的VPN 22A或22C的路径。然而,在具有动态拓扑的网络中,即,其中域的数目和/或域之间的连接和/或域内的连接经常会改变,为了将现有拓扑通知给所有用户所需付出的努力会变得非常大。例如,当根据旧拓扑信息确定连接路径时,有关变化的信息也许还在传送中。在更实际的情况中,必须找到根据主要拓扑情况的连接路径。
本发明的一个基本思想是尽可能快地发现到被请求的VPN的第一充分连接路径。在稍后机会中,可以执行任何重配置或附加配置。必须通过通信网络域来扩展有关被请求的VPN的信息请求并且尽快返回路径信息。在本发明中,至少在域中没有足够信息可用时,信息请求被转发到邻近域。然后任何答复被基本上沿着与发送请求相同的路径返回。
首先,描述了一些示例,示出了如何收集域信息。这结合图2A-3D完成。随后是主要发明思想。
图2A示出了提供域VPN信息的初始阶段的实施例。每个VPN边缘14存储了反映其现有VPN配置的信息,该配置涉及至少哪些VPN在特定VPN边缘节点14连接客户站点。在特定实施例中,VPN边缘节点14也具有有关哪些客户连接到VPN边缘节点14以及在现有VPN和客户站点20之间的关联的信息。在一些实施例中,提供信息,诸如VPN地址空间和地址类型(本地或全局)、VPN服务质量等级,这些由需要指定,诸如带宽、延迟和抖动、和/或VPN建立,即提供隧道或滤波器的使用。同样,可以包括诸如加密特性、透明层特性、隧道特性和拓扑特性的信息。此外,VPN边界节点18存储了有关其所属VPN提供商域的身份的信息。
根据本发明的一个实施例,存储在每个VPN边缘节点14中的域VPN信息,或至少其中的部分,由在相同域10A-E中的每个边界节点18收集。这在图2A中由箭头直观化,其中一些使用参考数字24提供。以这种方式,用于自己域的收集的域节点信息在每个域10A-E的每个VPN边界节点18是可用的。通信的一种替换方式是使用类似于BGP(边界网关协议)的通信协议,将信息扩展到整个域上,而不需要有关哪里需要该信息的特定知识。然后,边界节点获得所有必须信息。这是一个分发域VPN信息的推进(push)机制的示例。
图2B示出了提供域VPN信息的另一个实施例,现在集中于一个域10C。如果VPN边界节点18已经存储有关哪些边缘节点14出现在同一域10C的信息,VPN边界节点18可以简单地请求23任何VPN边缘节点14返回其域节点信息24。以请求信息的最简单的形式,请求本身可以是一个问题,询问VPN边缘节点14是否与特定VPN关联,例如由域互连12F接收的。这种情况下,确认消息不包括任何那样的信息,但是在那个特定VPN边缘节点隐含地传送该特定VPN的信息。这是用于分发域VPN信息的拉动(pull)机制的一个实施例。
域VPN信息也可以在不同时序内收集。一个替换方式是连续或至少有规律地收集这样的信息到边界节点,以确保可用信息总是在更新。在这样的实施例中,信息优选地存储在边界节点或任何可从边界节点中获取的其它节点中,参见以下进一步描述的实施例。另一个替换是由某一事件触发信息收集。该事件可以是,例如来自边缘节点的广播消息,表示该边缘节点有某种变化,如上面正在描述的,用于查找特定VPN的请求。如果所有边缘节点具有关于哪些节点在域中可用的知识,当这样的变化发生时,该信息也被直接发送到所有边缘节点。倘若作为请求的触发检索信息以发现特定VPN,可以限定收集的信息到那个VPN,并且不需要为稍后使用被存储。
图2C示出了一个实施例,这里以集中方式收集VPN信息。提供存储器54以存储由不同边缘节点14提供的所有域VPN信息24。使用这种域VPN信息的任何功能可以从中央存储器54中检索该信息。
图2D示出了基于域VPN数据的集中收集的另一个实施例。这里,请求23或其它外部信号可以初始化将VPN数据24提供给存储器54。该请求23不是必须要来自存储器54本身。
作为一种在域节点之间收集域VPN信息的替换方式,替代地通过从数据存储器检索数据来提供域VPN信息。所存储的数据可以是,例如根据上述过程先前数据收集的结果,或可以是从其它地方提供的。
在先前描述的实施例中,通过边界节点或与其直接关联的节点来执行域内数据的提供。这样的情况也在图3A中被示出。这里更详细地示出了在多域系统中的一个域10A。边界节点18通过数据连接12A和12B负责到和来自其它域的数据业务。在该特定实施例中边界节点18包括用于收集域VPN信息的装置41,例如其形式为在边界节点18的处理器中的软件功能。域VPN信息可以存储在存储器54中。因此作为一个整体用于处理涉及域的域VPN信息的VPN控制节点43在该特定实施例中被实现为在每个边界节点18的本地装置41的分布。
在图3B中,示出了另一个特定实施例。这里,边界节点18仍然包括有关域VPN信息中的功能实体41。然而,在该特定实施例中分布式的VPN控制节点43包括用于提供位于或与边界节点18连接的域VPN信息的装置41,和中央数据库54。在中央数据库54中,存储实际更新的VPN信息,优选地还存储历史VPN信息。
在图3C中,示出了另一个特定实施例。这里,VPN控制节点43被集中并且包括用于提供域VPN信息的装置41和基本在同一位置提供的中央数据库54。在该实施例中,边界节点18仅仅用于处理VPN控制节点和邻居域之间的通信45。在涉及与实际数据业务关联的控制信令的边界节点18中的功能也可以以这种方式用于有关VPN配置的信号控制消息。
在图3D中,示出了具有VPN控制节点43的实施例,该控制节点实际上与系统中的边界节点分离。在该实施例中VPN控制节点43通过专用VPN控制信号连接47连接到其它域中的VPN控制节点,创建其自己的一个高级网络。
在图4中示出了本发明的一个特定实施例。第一步骤是在每个域内提供VPN信息。这由每个域中的VPN控制节点43执行。然而,VPN控制节点43的配置在不同域之间可以不同。在图4中示出了,域10A有与图3A中示出的示例相似的VPN控制节点43,域10C具有与与图3B中示出的示例相似的VPN控制节点43,以及域10B、10D和10E具有与图3C中示出的示例相似的VPN控制节点43。VPN控制节点43现在仅具有关于其自己域VPN的信息。当VPN控制节点43发起其自己域10E的VPN控制节点43的连接请求时,其仅具有易于在其自己的数据库中获得的关于在其自己域中的VPN的信息。然而,VPN控制节点43知道它连接到什么域,并可替代地在域间连接12A-G上发送信息请求到邻居、邻近域,所述信息请求涉及有关被请求的VPN的任何存在情况。这由箭头32示出。在域间连接上接收这样信息请求的VPN控制节点查找其自己的域VPN信息数据库,以判断是否有任何感兴趣的数据。如果比较发现被请求的VPN的任何连接路径信息,这样的连接路径信息被返回到发送该请求的域。
如果不是,将在域间连接上转发到其它邻近域,进行随后的比较、返回和转发动作,直到获得有关被请求的VPN的信息。该请求因此以级联方式一次一步(one step at a time)地遍及通信网络。然而,优选地,进一步的转发受制于其它条件,如以下进一步描述的。最后发现的信息然后被带回原始域10E的VPN控制节点。优选地,该连接路径信息的返回优选地与转发信息请求的路径相同,但是以相反方向。在可替换的实施例中,以和该请求类似的方式来执行连接路径信息的返回,即,连接路径信息被返回到邻近域。如果这些域不是发布该请求的域,则该连接路径信息被以级联方式转发到其它邻近域,直到到达原始域。
该特定实施例具有这样的优势,不必在每个单独VPN控制节点43更新整个系统1。
VPN SLA(c.f.有关图1的描述)可以包括有关邻居域应当可获得多少可用的协议。在通常情况下,VPN控制节点将可用域内VPN信息处理为编译的或处理的VPN信息,该VPN信息适合于作为连接路径信息返回到邻居域。如果域密切相关,例如,属于同一运营商,SLA在交换域VPN信息时整个是透明的。在其它情况中,在VPN控制节点43之间传送的被处理的信息28可以是编译的VPN信息,仅显示有关各个域VPN非常基本的事实。在本发明实施例中必须在域间连接12A-G上发送的最小化信息是被请求的VPN是否在返回信息的边界节点或域以外的某处可用。
在域间连接12A-G上返回的信息28导致在接收该答复的VPN控制节点的总共可用VPN信息情况的更新或扩展。VPN信息因此通过由其它邻近域返回的连接路径信息而被扩展。该VPN控制节点现在也具有例如那些VPN经域间连接可用的信息。如果更详尽的信息可用,VPN控制节点还可以确定,例如,这些不同VPN可用的边缘节点的标识,VPN服务质量等。如此获得的VPN信息现在也是邻居或邻近域的特性,并且如果SLA允许,可以用于那个域中的活动。存储在VPN控制节点43的存储器54中的信息等同于从邻居域接收的信息或其被处理后的版本,增加、移除或修改所接收的信息。例如,可以使用一个表示源自哪个域的指示来标记该信息。
如上所述,优选的是对于信息请求的进一步转发加以限制。在图5中,示出了一种情形,其潜在地会导致信息请求无穷循环的风险。通信网络1包括五个域10A-E。在域10E中,VPN 22A是可用的。现在考虑一种情况,域10A的客户想要连接到VPN 22A。域10A没有有关那个VPN的内在信息,并创建和发送一个信息请求到其邻近的两个域10B和10E。从域10E,获得一个回复,给出发起到VPN 22A的连接配置的必要信息。
然而,在域10B中,不能获得有关VPN 22A的信息。信息请求因此被转发到其它邻近域10C和10D。这些域中没有一个具有有关VPN 22A的任何信息,并执行信息请求的另一个转发。域10C发送请求到域10D,以及域10D发送该请求到域10C。该过程继续,信息请求的无限循环将在域10B-D之间循环。在本发明一个优选实施例中,提供用于禁止信息请求被无限循环转发的装置。优选地,与发送或接收这种信息请求相关地提供这种用于禁止信息请求循环的装置,即,它们被安排为禁止到新邻近域的实际转发或禁止接受所接收的信息请求。几个对转发的限制的实施例是可能的。它们中的一些在以下简要提到。
在循环禁止装置的一个实施例中,每个原始信息请求都提供有一个标识。该标识可以是,例如具有特定唯一标识数字的分开的字段。通过一个域接收的和接受的信息请求的标识被存储在一个存储器中。当新信息请求到达时,与存储的数据进行比较以显示是否信息请求以前已被接收。在这种情况下,该请求被忽略。否则接受该请求并将该标识添加到存储器中。
该请求的标识也可以由原始请求域的标识和被清求的VPN的标识组成。在这种情况下,不需要分离的请求标识。然而,在这种情况下,接收的信息请求的存储应该与特定生存期关联,这样在特定时间后可以允许对于同一域VPN对的新请求。
可以结合请求的实际转发执行比较。在这种情况下,请求标识可以存储在存储器中,并且转发该请求的额外条件是在数据库内应当不存在两个相同的请求标识。
循环禁止的另一个实施例基于有关转发路径的信息。通过在请求本身中增加有关在转发处理期间通过哪些域的信息,接收域可以在这些信息中容易地查找其自己的标识。如果自己的标识出现了,忽略该请求。否则,增加自己的标识,并转发该请求。比较也可以在发送侧完成。在将该请求转发到一个域之前,发送域为其邻近域的标识检索转发路径信息。对于在转发路径中已经出现的域,禁止转发。
另一个实施例基于生存期。当创建原始信息请求时,可以设置特定生命期,例如通过固定有效性期满时间。当接收和/或转发该请求时,如相对于系统时间检查该有效性期满时间,当有效性期满时,不再执行转发。生存期概念的一种变化是设置剩余生命期,此后伴随每次转发而降低该剩余生命期。当剩余生存期等于零,不再执行转发。然后也可以使用该方法,利用转发数目作为“时间”的量度,即,在初始化时指明允许转发的最大数目。对于每次转发,剩余数目减小一个单位。
发现到特定VPN的连接路径的处理典型地用于配置一个到VPN的新连接。返回的信息典型地在该配置期间使用。如果返回的连接路径信息包括关于该路径的全部信息,可以直接执行该配置。如果连接路径信息只揭示了特定邻近域之外的VPN的唯一存在,同样必须每次在一个域中执行该配置。
例如,如图7所示,示出了如何执行域间VPN配置。域10E中的新客户站点20’应该连接到VPN 22A。假设VPN隧道用于域内和域间的VPN连接。执行以下步骤。
域10E中的VPN控制节点获得连接路径信息可以经“下一跳”10B建立到VPN的连接。没有更多信息可用。域10E内的VPN控制节点为VPN22A建立从边缘节点14’到边界节点181的VPN隧道71,其中客户站点20’连接到边缘节点14,边界节点181经链路12D连接到域10B。域10E中的VPN控制节点发起与域10B中的VPN控制节点的通信,并为VPN 22A在链路12D上建立到边界节点182的VPN隧道72。因为VPN 22A不出现在域10B中,域10B中的VPN控制节点检查其VPN数据库,并发现VPN 22A可以在“下一跳”10A和10C中找到。
域10B中的VPN控制节点选择仅经“下一跳”10A建立VPN。为VPN 22A建立从边界节点182到边界节点183的VPN发送隧道73,其中边界节点182经链路12D连接到域10B,边界节点183经链路12A连接到域10A。域10B中的控制节点VPN发起与域10A中的控制节点的通信,并在链路12A上建立到边界节点184的VPN隧道74。因为VPN 22A在域10A中出现,域10A中的控制节点可以建立从一个经链路12A连接到域10B的边界节点,到连接到VPN 22A的边界节点185的隧道75。
如上描述的,本发明提供到VPN的可能连接的快速确定。然而,该路径可能不是最佳的,至少不是对所有可能情况都最佳。在这种情况下,连接路径的稍后修订是有益的。如果有可替换路径可用,定义这种可替换路径的随后回复被提供到原始域是可能的。此外,通过转发信息请求,不仅从缺乏有关被请求的VPN信息的域,而且从所有域,发现实际上可能的路径,并返回到始发域。
始发域因此可以估计有关替换路径的更多信息,优选地依据任何连接质量,并且可以基于此执行任何动作。如果发现更好的连接路径,一种替换是重配置VPN并切换到新路径,留下第一暂时连接路径。另一种替换是配置一个另外的连接。
根据本发明的功能被在不同域提供。接收、比较、返回应答和转发的功能优选地在所有可作为请求主题的域中可用。创建和发送原始请求以及执行实际配置的功能优选地在新节点会出现的所有域中可用。域协议典型地在域的VPN控制节点43中实施。
图6示出了根据本发明提供该连接路径发现辅助协议的一个相对普通的VPN控制节点43的特定实施例的方框图。VPN控制节点43包括用于提供域VPN信息的装置52。该信息可以通过连接62由域中的其它节点提供。提供主控制通信接口40以便与其它节点通信。该接口40可以结合域内连接62进行安排。接收机41连接到主控制通信接口40,并被安排为处理任何进入信息请求。接收机41进一步安排为接收从任何其它邻近域发送的任何连接路径信息。提供匹配单元49来检查被请求的VPN的标识是否域VPN信息匹配,作为比较装置。发射机42也连接到主控制通信接口40,用于从匹配单元49返回关于任何匹配的连接路径信息的信息到邻近域。该单元也负责在请求链中把从其它邻近域接收的任何答复向回转发。还提供转发单元44,其向其它邻近域转发任何非匹配请求。在本实施例中,循环禁止功能同样也包括在转发单元44中。发射机42和转发单元44优选地实施在一个共用单元中。
对于也作为请求发起节点的VPN控制节点43,提供信息请求单元45。优选地,此后利用转发单元44把信息请求发送到邻近域。提供配置机46,并将其安排为使用接收的连接路径信息,用于初始化VPN连接的配置。该配置机46优选地包括根据以上讨论用于执行估计和可替换连接路径配置的装置。
在图8中示出了根据本发明方法实施例的基本步骤。该程序在步骤200开始。在步骤210,创建关于特定VPN的任何存在的信息请求。该请求涉及连接在第一域的第一节点到第一域内现在不可用的VPN。在步骤212,发送信息请求到邻近域。在步骤214,将信息请求与邻近域中的可用域VPN信息进行比较。在步骤216,判断合适的连接路径是否可用。如果合适的连接路径可用,处理继续到步骤218,这里连接路径信息返回到发送该信息请求的域。该程序在步骤299结束。如果合适的连接路径不可用,处理继续到步骤220,这里信息请求被转发到更多邻近域。如果转发步骤成功,程序返回步骤214,如箭头250示出的,否则程序在步骤299结束。
以上描述的实施例应被理解为本发明的一些示意性示例。本领域的熟练技术人员应该理解,在不脱离本发明范围的基础上,可以对本实施例进行各种修改、合并和变化。尤其是,只要技术上允许,可以在其它配置中组合不同实施例中的不同部分解决方案。无论如何,本发明的范围由所附权利要求书定义。
权利要求
1.用于在具有至少两个互连域的通信网络内的多域虚拟专用网络VPN中确定第一域的第一节点和第一域中初始不可用的第一VPN之间的连接路径的方法,包括步骤从第一域发送关于第一VPN的任何存在情况的信息请求到邻近域;将信息请求与邻近域中可用的域VPN信息进行比较;如果关于到第一VPN的连接路径的信息在邻近域可用的域VPN信息中存在,从邻近域向第一域返回连接路径信息;以及如果关于到第一VPN的连接路径的信息没有在邻近域可用的域VPN信息中出现,将关于第一VPN存在的信息请求从该邻近域转发到其它邻近域。
2.根据权利要求1的确定连接路径的方法,其中以级联的方式在其它邻近域中重复比较、返回和转发步骤,在所述其它邻近域中的转发步骤受制于其它条件。
3.根据权利要求2的确定连接路径的方法,其中连接路径信息沿着与转发信息请求相同的路径返回第一域,但是以相反方向。
4.根据权利要求3的确定连接路径的方法,其中通过其它邻近域返回的连接路径信息来扩展当前域中可用的域VPN信息,借此从当前域中把扩展的连接路径信息依次返回到向当前域提供该信息请求的域。
5.根据权利要求2的确定连接路径的方法,其中通过级联所述连接路径信息到邻近域而将连接路径信息返回到第一域。
6.根据权利要求1至5中的任何一种确定连接路径的方法,其中如果有关到第一VPN的连接路径的信息出现在邻近域可用的域VPN信息中,执行所述转发步骤。
7.根据权利要求1至6中的任何一种确定连接路径的方法,其中所述连接路径信息包括验证第一节点和第一VPN之间可能路径的存在。
8.根据权利要求1至6中的任何一种确定连接路径的方法,其中所述连接路径信息包括第一节点和第一VPN之间所有可能路径的信息。
9.根据权利要求1至8中的任何一种确定连接路路径的方法,进一步包括步骤在通信网络中禁止以无穷循环转发信息请求。
10.根据权利要求9的确定连接路径的方法,其中在转发信息请求到其它邻近域之前执行所述禁止步骤。
11.根据权利要求9的确定连接路径的方法,其中在从另一个域接受所接收的信息请求之前执行禁止步骤。
12.根据权利要求9至11中的任何一种确定连接路径的方法,其中禁止步骤基于当前信息请求和代表更早信息请求的数据存储之间的比较。
13.根据权利要求9至11中的任何一种确定连接路径的方法,其中禁止步骤基于域标识和代表所接收的信息请求经过的域的数据之间的比较,所述数据被包含在该信息请求中。
14.根据权利要求9至11中任何一种确定连接路径的方法,其中禁止步骤基于信息请求的生命期。
15.配置多域虚拟专用网络的方法,包括步骤根据权利要求1-14中任何一个确定连接路径;沿着返回到第一域的信息中的连接路径配置第一节点到第一VPN的连接。
16.根据权利要求15的配置方法,进一步包括步骤在执行配置步骤后,从邻近域获取有关可替换连接路径的其它信息;相对于所配置的连接路径的连接质量,估计可替换连接路径的连接质量;如果可替换连接路径的连接质量高于原始配置的连接路径的连接质量,沿着可替连接换路径重配置第一节点到第一VPN的连接。
17.根据权利要求15的配置方法,进一步包括步骤在执行配置步骤后,从邻近域获得有关可替换连接路径的其它信息;沿着可替换连接路径配置第一节点到第一VPN的附加连接。
18.一种通信网络域装置,用于辅助在具有至少两个域的通信网络内的多域虚拟专有网络VPN中,在第一域的第一节点和在第一域中原始不可用的第一VPN之间提供连接路径,其中两个域中的一个是所述通信网络域,包括从第一域接收有关第一VPN的任何存在的信息请求的装置;以及将该信息请求与通信网络域中可用的域VPN信息进行比较的装置;如果有关到第一VPN的连接路径信息出现在通信网络域可用的域VPN信息中则将连接路径信息返回到第一域的装置;如果有关到第一VPN的连接路径的信息没有出现在通信网络域可用的域VPN信息中,则将有关第一VPN存在的信息请求从通信网络域转发到其它域的装置。
19.根据权利要求18的通信网络域装置,其中如果有关到第一VPN的连接路径的信息出现在通信网络域可用的域VPN信息中,所述用于转发的装置被安排用于执行所述转发。
20.根据权利要求18或19的通信网络域装置,进一步包括从其它域接收连接路径信息的装置;以及利用有关通信网络域的信息来扩展所接收的连接路径信息的装置;由此,用于返回连接路径信息的装置进一步安排为把扩展后的路径信息转发到第一域。
21.根据权利要求18至20中的任何一种通信网络域装置,其中所述连接路径信息包括第一节点和第一VPN之间可能路径的所有链路的信息。
22.根据权利要求18至21中的任何一种通信网络域装置,进一步包括在通信网络内禁止以无穷循环转发信息请求的装置。
23.通信网络(1),包括至少一个根据权利要求18至20中的任何一种的网络域装置;以及至少一个网络域包括创建有关第一VPN的任何存在的信息请求的装置;发送该信息请求到具有根据权利要求18至22中的任何一种网络域装置的通信网络域的邻近域的装置;从邻近域接收到第一VPN的返回的连接路径信息的装置;以及沿着从邻近域返回的信息的连接路径配置第一节点到第一VPN的连接的装置。
24.根据权利要求23的通信网络,其中用于接收返回的连接路径信息的装置进一步安排为从邻近域获取有关可替换连接路径的其它信息,由此所述通信网络域装置进一步包括相对于已配置的连接路径的连接质量估计可替换连接路径的连接质量的装置;如果可替换连接路径的连接质量高于原始配置的连接路径的连接质量,用于配置的装置进一步安排为沿着可替换连接路径重配置第一节点到第一VPN的连接。
25.根据权利要求23的通信网络,其中接收返回连接路径信息的装置进一步安排为从邻近域获取有关可替换连接路径的其它信息;由此,用于配置的装置进一步安排为沿着可替换连接路径配置第一节点到第一VPN的附加连接。
全文摘要
从第一域(10E)向邻近域(10B-D)发送有关特定VPN的信息请求。如果邻近域(10B-D)具有有关如何到达所述VPN的可用信息,将这样的连接路径信息返回请求域(10E)。如果合适的连接路径信息在该域中不可获得,该请求被转发到其它邻近域,由此以级联方式通过通信网络(1)传播信息请求。当发现合适的VPN或其连接路径信息时,该信息被返回到原始请求域(10E),优选地沿着与转发该请求相同的路径,但是以相反方向。从而以级联信息拉动机制实现连接路径。优选地,该方法和装置包括用于在网络域(10A-E)之间禁止信息请求的无穷循环的装置。
文档编号H04L12/56GK1998191SQ200580022181
公开日2007年7月11日 申请日期2005年6月23日 优先权日2004年6月30日
发明者J·-E·芒格斯, C·弗林塔 申请人:艾利森电话股份有限公司