专利名称:基于mpls/ops的虚拟专用网的实现方法
技术领域:
本发明属于光纤通信技术领域,特别涉及虚拟专用网(VPN)与多协议标签交换/光分组交换(MPLS/0PS)网络技术。
背景技术:
近年来,以互联网协议(IP)为基础的互联网业务,如远程教育、视频点播及高清 晰电视等持续增长,不但对现有网络的带宽容量提出了越来越高的要求,而且也导致了电 信业务中以语音为主的电路交换业务向以数据为主的分组交换业务转移。由数据业务所引 起的带宽需求快速增长,从而使电信网络从对语音业务最优网络向以IP业务为主的网络 转移。多协议标签交换(MPLS)技术进一步加强了 IP的功能,同时IP路由器端口速率和 汇聚能力的增长也使得IP路由器直接与WDM层的波长信道相链接。数据网络发展到现阶 段,已经在波分复用(WDM)层上将出现一个与WDM层无缝集成的光分组交换(OPS)层,来承 载IP业务,以此完成电层和光层(WDM)之间的适配,OPS与WDM传送层无缝的集成在一起, 不但继承了 WDM的高速率、大容量、透明性和可重构性,而且继承了光分组交换技术的独特 优点。典型的光分组交换网络(OPSN),它由边缘节点和核心节点组成,其基本功能包括 光分组产生、识别及写入、光分组路由、流量控制与冲突解决等。OPSN的边缘节点完成客 户层之间的接口,完成光域的OPSN与业务网络之间的适配,包括流量整形、净负荷压缩、复 用、光信号再生和端到端的传输监控以及多业务接入等。核心节点实现简单且具有高速处 理功能,可实现数据信息的透明交换,主要实现光分组的识别、更新与重新写入等。同步数 字体系(SDH)和异步传递模式(ATM)等传统的传输网络在网络层次上逐渐上移,连同当前 的IP网络一起成为OPSN的业务网络;IP协议无可置疑地成为语音、数据和视频等各种业 务的统一业务承载层;OPS层是电域的IP层与光域的WDM层之间的适配层;WDM提供最底层 的物理传输带宽资源。来自客户网络的业务数据在OPSN边缘节点处打包,然后加上光标签 或光信头构成光分组交换网络的基本传输单元-光分组。OPS核心网络以光分组的形式来 承载业务数据,所有光分组的净荷数据的传输和交换都在光域中进行,而光分组信头的处 理和控制可以全光或光/电/光处理完成。总之,光分组交换具备高速、高效、高度灵活性、 透明性、可重构性和控制管理简单等诸多优势,能有效解决网络电子瓶颈,并满足未来承载 多业务的要求。通过把大量的交换业务转移到光域中进行处理,使得交换容量与WDM传输 容量匹配,同时光分组交换技术可以与光交叉设备(OXC),MPLS等新技术相结合,实现网络 的优化与资源的合理利用。因而,光分组交换技术成为实现未来全光网络的有效技术之一。为了进一步提高网络的灵活性和可靠性,需要支持多协议标签交换/光分组交换 (MPLS/0PS)网络内部间的通信与组建全光的虚拟专用网(VPN)。VPN在现有网络资源基础 上,可以在较低成本投入情况下充分满足客户组建专用网络与保密信息传输的需求。在基 于MPLS/0PS网络中实现VPN是一种有效提高VPN网络业务吞吐量、降低时延和灵活性等方法,且结合了 MPLS/OPS和VPN的技术优势。在MPLS/0PS网络中实现VPN具有创新性,在目前技术方案中尚未见到文献报道 和专利申请。在文献[A Novel IP with MPLS over WDM-Based Broad-Bandffavelength Switched IP Network, R. Xu, Q. Gong, P. Ye, IEEE Journal of lightwavetechnology, Vol. 19, No. 5,May 2001],作者提出了基于MPLS的IP over WDM的宽带波长交换光网络,但 没有与虚拟专用网络巨大优势相结合。在文献[光分组交换网络中的若干关键技术研究, 季伟,北京邮电大学博士论文,2006],作者提出一种基于MPLS/0BS的VPN,但方案中是基于 第一层VPN,其提供的业务受限而且通信系统的容量有限,扩展性也有一定的限制,没能充 分地挖掘光纤通信和MPLS/0PS网络的技术优势。
发明内容
本发明提出了一种基于MPLS/0PS的虚拟专用网实现方法,该方法能突破传统 MPLS/0PS和VPN网络的一些缺陷,比如增加了更灵活性的路由,减轻了路由器在转发过程 的负担,同时提高了网络的吞吐率,数据传输过程中的安全性,还有利网络的可扩展性,提 高系统用户容量。为了方便描述本发明的内容,对一些专业术语进行描述CE(Customer Edge)客户边缘设备PE (Provider Edge)提供商网络核心设备P (Provider Routers)提供商网络边缘设备FEC (Forwarding Equivalence Class)转发等价类LSR(Label switching router)LSP (Label switching path)标签交换路径本发明详细技术方案基于MPLS/0PS的虚拟专用网络,其体系结构主要分成数据面和控制面,数据面主 要完成OPS网络数据业务的光包产生、识别与更新等,MPLS标签的汇聚与交换等处理及VPN 数据的转发等;控制面主要完成LSP的请求、建立等和VPN路由信息的分发等。本方法中的 技术是利用现有的公共网络,通过资源配置以及虚电路的建立,可采用如加密技术、隧道技 术及MPLS等技术。VPN技术是一种隧道技术,是一种封装,将待传输的原始信息经过协议加密处理和 封装后再嵌套入MPLS/0PS的协议中,然后进行传输,只有发送端和接受端的用户才能对嵌 入隧道中的信息进行解密认证,实现专用信道的信息传输。一种网络协议的数据传输到本 发明的MPLS/0PS网络协议,主要是利用网络协议来实现这种功能,是在MPLS/0PS网络上 实现VPN的核心技术之一。其主要有三种网络协议(1)网络隧道协议如第二层转发协议 (L2F)、点对点隧道协议(PPTP)、第二层隧道协议(L2TP)、Internet协议安全性(IPsec)等; (2)隧道协议下面的承载协议;(3)隧道协议所承载的被承载的协议。其中IPSec协议不是 一个单独的协议,它给出了网络数据安全的一整套体系结构,它包括网络安全协议、认证报 头(AH,Authentication Header)等封装安全负载、密匙管理协议和用于网络验证及加密的 一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密匙交换,向 上提供了访问流量、数据源验证、数据加密等网络协议安全服务。IPSec有两种操作模式传输模式和隧道模式,传输模式中认证和加密位于IP头部之后,保护上层载荷,隧道模式中认证和加密位于原IP头部之前,并生成新的头部。IPsec还为数据的传送提供两种类型 的安全服务AH和载荷安全封装(ESP)。认证报头利用MAC散乱函数对头部和载荷进行计 算一个固定长度的“数字指纹”并将其用私有密匙加密后连同原始数据包一同发送给接收 方,接收方使用对应的公共密匙解密,再利用散乱函数对收到的原始数据计算出原始数据 的“数据指纹”,将其与收到的“数字指纹”比较,对收到的数据进行数据认证和无连接的完 整性鉴别。ESP封装标准提供数据的加密性、身份认证、完整性和防止重复的服务。ESP对 数据的加密采用同步加密算法来保证各种用户间的互操作性。
图1MPLS/0PS网络的结构示意2基于MPLS/0PS的VPN网路层次结构图3基于MPLS/0PS的VPN网络结构图4数据和路由的转发过程图5标签的转发过程实例
具体实施例方式下面结合具体实施方式
,对本发明标签信号的全光处理识别方案作进一步详细的 说明。图1描述了 MPLS/0PS网络结构,该网络主要有边缘节点和核心节点组成,边缘节 点主要完成MPLS边缘标记处理和OPS光包产生处理,如通过边缘路由器分析IP包头,它结 合了交换机和传统路由器功能;核心节点主要完成MPLS的标记交换与路由和OPS光标签识 别与更新等处理。该网络结合了 MPLS和OPS优势,具有网络资源利用率高、节点信息处理 均衡和灵活性高等特点。图2是基于MPLS/0PS的VPN网络二层结构模型。MPLS作为网络的控制层,主要功 能是根据控制层面的自动资源发现、路由、连接管理等消息,完成物理传送层的‘连接建立’ 和‘连接释放’。当采用MPLS技术组建VPN时,要使用双层标签技术实现隧道技术。外标签 在骨干网内部进行交换,代表从PE达到对端PE的一条隧道,光分组打上这层标签以后就可 以沿着LSP达到对端PE,这时候就需要使用内层标签,该标签指示了到达的CE,根据内层标 签就可以找到转发的接口,即内层标签代表了通过骨干网相连的两个CE之间的一条隧道。图3是基于MPLS/0PS的VPN结构模型。数据的连接通过OPS网络完成,该网络 特征是由传输光纤和MPLS控制下的光分组交换节点等组成。边缘节点由客户边缘节点CE 和提供商边缘节点PE组成,其功能是用来向VPN的终端用户提供适配的接口,完成OPS光 分组包的拆装,同时完成MPLS的等价转发类、标签组装以及交换路径的聚合等功能。基于 MPLS/0PS的VPN主要包含用户边缘设备(CE),骨干网边缘设备(PE)和骨干网核心设备(P) 组成。其中,用户边缘设备(CE)包括路由器、光分组交换机、SDH设备与以太网交换机等; 骨干网边缘设备(PE)包括光边缘路由器、光分组处理单元、MPLS边缘标记路由器及SDH设 备等;骨干网核心设备(P)包括光核心路由器、光分组交换处理单元及SDH设备等;图4是基于MPLS/0PS的VPN数据和路由的转发过程,具体过程如下所述
1、数据信息的转发过程在MPLS/0PS网络中传输的VPN数据采用外标签(隧道标签)和内标签(VPN标 签)两层标签栈结构,它们分别对应于两个层面的路由域内路由和VPN路由。域内路由即 MPLS中的LSP是由PE路由器和P路由器通过运行标签分发协议(LDP,Label Distribution Protocol)或资源预留协议(RSVP, Resource ReservationProtocol)建立的,它所产 生的标签转发表用于VPN分组外层标签的交换。VPN路由是由PE路由器之间通过运行 MP-IBGP(Multiprotocol-Internal BorderGateway Protocol)建立的,该协议跨越骨干网 的P路由器分发VPN标签形成VPN路由。在PE路由器上除了虚拟路由转发表VRF (VPN Routing&Forwarding)外,还有MPLS 路由表,该表用于存放VPN标签和子接口的对应关系,为出口 PE路由器到CE路由器之间的 数据转发提供依据。具体数据转发过程如下用户边缘设备(CE)把通过运行网络隧道协议处理后的 用户VPN数据组装成OPS光包的净荷,然后加上相应的光包头生成OPS的光分组,客户边缘 设备提取分组包的路由信息按照一定的调度算法依次送入核心网中。根据到达的光分组, PE提取光分组的路由信息,MPLS将具有相同转发特性的一组光分组统一归为一类,成为转 发等价类(FEC)。属于相同转发等价类的光分组在核心网络中将获得完全相同的处理。MPLS 运用标签分发协议(LDP)将转发等价类(FEC)映射成一个出口标签,并据此建立标签交换 路径(LSP)。在核心网络中,来自不同边缘入口节点且携带不同入标签值,而去往同一个边 缘出口节点的多条数据流,在到达同一边缘出口节点的过程中,在网络内的某个节点处汇 合,并且从该节点开始直到网络边缘出口节点为止,它们的标签交换路径都是完全相同的, 那么就在该节点处将上述不同的数据流映射到同一个出标签,并沿同一条标签交换路径转 发到边缘出口节点。这样,MPLS中的LSP就呈现MP2P(Multipoint-to-Point)的树状结构, 树根是MPLS边缘出口节点,树的叶是MPLS边缘入口节点。LSP的建立跨越了多个路由器在 两个PE之间建立的通路。在转发的过程中,利用MPLS的层次化标签交换信令,进行旧标签 的擦除和新标签的写入。在出口处的边缘节点将执行OPS的光分组的拆装过程,以便取出 加密后的VPN数据,客户端边缘设备CE根据其路由信息将其转发到目的地接收端,接收方 对发送来的数据根据对应的密匙进行解密认证,得到原始的IP数据,从而实现整个的数据 转发过程。2、路由信息的转发过程在基于MPLS/0PS的VPN中,P路由器并不参与VPN路由信息的交互,客户路由器是 通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。(1). CE-PE路由器之间通过采用静态/缺省路由,或采用内部网关协议(IGP),或 建立外部边界网关协议(EBGP)连接等方式进行路由信息的交互。当入口 PE路由器从某个子接口接收到来自CE路由器的路由信息时,除了将该路 由导入对应的VRF表,PE路由器还要为该路由分配一个VPN标签。该VPN标签用以识别接 收路由信息的子接口,因此从同一个子接口接收到的路由信息将被分配同样的VPN标签, 从而PE路由器可以将收到VPN的OPS光分组转发到合适的子接口。(2). PE-PE之间通过采用MP-IBGP进行路由信息的交互。PE路由器通过维持外部 边界网关协议(IBGP)的网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。在基于MPLS/0PS的VPN中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了 VPN 地址族,引入了 RD (Route Distinguisher)和 RT (Route Target)等属 性。RD具有全局惟一性,通过将8字节的RD作为IP地址前缀的扩展,使不惟一的IP地址 转化为惟一的VPN地址。VPN地址对客户端设备来说是不可见的,它只用于骨干网络上路由 信息的分发。PE对等体之间需要发布基于VPN地址族的路由,这通常是通过MP-IBGP实现 的。正常的BGP能只传递IP的路由,MP-IBGP在BGP的基础上定义了新的属性。MP-IBGP 在邻居间传递VPN用户路由时会将IP地址打上RD前缀,这样VPN用户传来的IP路由就转 变为VPN路由,从而保证VPN用户的路由到了对端的PE上以后,S卩使存在地址空间重叠,对 端PE也能够区分开分属不同VPN的用户路由。RT使用了 BGP中扩展团体属性,用于路由 信息的分发,具有全局惟一性,同一个RT只能被一个VPN使用,它分成输入RT (Import RT) 和输出RT(Exp0rt RT),分别用于路由信息的导入和导出策略。在每个PE路由器上都维护 着一个虚拟路由转发表VRF(Virtual routing and forwarding),VRF为每个站点维护逻辑 上分离的路由表,每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN 路由时,要用Export RT对VPN路由进行标记;当PE收到VPN路由信息时,只有所带RT标 记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中,而不是全网所有VPN 的路由,从而形成不同的VPN,实现VPN的互访与隔离。3、标签的转发过程基于MPLS/0PS的VPN中MPLS为核心网业务承载能力和管理能力的提高提供了很 好的解决方案,利用标签交换技术大大提高了网络的吞吐率,提供了更多灵活的路由,良好 的流量工程控制是实现宽带IP网络最好的办法。图5是基于MPLS/0PS的VPN中标签转发 过程的示意图,具体过程如下1). CEl接收到10. 1. 1. 1发送的VPN数据,由OPS的边缘节点的光分组交换单元生 成光分组,并提取路由信息,把该OPS光分组发送到PEl。2). PEl从Sl 口上收到光分组后,根据Sl所在的VRF,通过MP-IBGP协议加入本地 标签即内层标签8,PE1获知要把数据发往10. 1. 1.0/8,必须先发送到PE2,而要发送到PE2, 则必须打上由Pl告知的标签2。所以OPS的光分组被加入两个标签。3). Pl接收到标签包后,分析顶层的标签,MPLS运行层次化标签交换把顶层标签 换成4,继续发送的P2。4). P2和Pl —样做同样的操作,P2去掉标签4,直接把只带有一个标签的标签包 发送的PE2。5). PE2收到标签包后,分析标签头,由于该标签8是它本地产生的,而且是本地唯 一的,所以PE2很容易查出带有标签8的标签包应该去掉标签,恢复光分组,从S2端口发
出ο6). CE2获得光分组包后,进行光分组的拆除,还原VPN数据,同时把数据发送到 10. 1. 1. 0/8 网段上。本发明的有益效果1、可提供面向连接和面向非连接的服务,在一定程度上满足客户多业务的需求, 并可以保证网络具备可靠性、动态灵活性、传输容量、节点吞吐率、可扩展性和稳定性等特点2、波长交换网络通过MPLS增加了更多灵活的路由,流量控制和明确的路线,是实 现宽带IP网络最好的办法;MPLS通过路由层次用于控制数据的转发,减轻了波长路由器在 转发过程中的负担;3、具有OPS网络具有高速、对数据速率和数据模式透明以及灵活性和可重构性等 特点,充分利用了 OPS技术优势;4、在MPLS/0PS网络基础实现VPN,具有在传统网络基础上升级 容易,成本较低,且 提供了专用网络,有效提高了信息的保密传输。
权利要求
基于多协议标签交换/光分组交换(MPLS/OPS)的虚拟专用网络(VPN),该方法结合了多项技术多协议标签交换(MPLS),光分组交换(OPS)和虚拟专用网(VPN)。其特征是,MPLS作为L3VPN的控制层,结合了IP流量控制和传统IP层的控制平面,从而执行所有的关键功能,减轻了OPS在交换转发过程中的负担,提高了网络的吞吐量,支持了在MPLS/OPS网络中实现VPN的隧道技术,实现了数据在MPLS/OPS网络中转发过程的保密性。基于MPLS/OPS的VPN方法,其特征是1)平面结构共分为数据面和控制面,网络层次结构由客户边缘设备、提供商网络边缘设备、提供商网络核心设备以及用于建立光线路的光纤组成;2)基于三层VPN结构,可提供面向连接和面向非连接的服务,在一定程度上满足客户多业务的需求,并可以保证网络具备可靠性,动态灵活性,可扩展性和稳定性等特点;3)VPN利用网络隧道协议对VPN数据进行加密封装,通过MPLS两层标签建立的隧道传输组装后的OPS光分组,在出口边缘节点执行OPS光分组的拆装,得到加密的VPN数据,接收端通过对应的密匙进行解密认证得到所需要的数据,从而保证了数据传输过程中的安全性、保密性以及服务质量(QoS),为保密通信提供了保障。
2.根据权利要求1所述的基于MPLS/0PS的VPN,其特征包括该方案是基于光电混合交 换技术,即传输和交换在光域完成,路由和转发在电域内对低速率的信息头进行处理,MPLS 技术的引入使更加良好地提高了整个网络的吞吐量和传输速率。
3.根据权利要求1所述的基于MPLS/0PS的VPN,其特征是MPLS作为控制层结合了IP 流量控制和传统IP层的控制平面,MPLS流量工程控制模块执行所有的关键功能,包括资源 发现,网络状态,路径计算和路由管理完成物理传送层的OPS光分组连接建立和连接释放, 从而使网络中数据的传输和转发更加智能化,效率更高。
4.根据权利要求1、2或3所述的基于MPLS/0PS的VPN,其特征是MPLS利用标签分发 协议将进入核心网络的OPS光分组包分成转发等价类(FEC),然后利用标签合并协议将其 映射成一个标签,建立标签转发路径(LSP),在转发的过程中利用层次化标签栈进行新标签 的擦除和新标签的写入。MPLS通过路由层次用于控制数据的转发,从而减轻了 OPS交换在 转发过程中的负担,使数据转发过程中更加灵活,效率更高。
5.根据权利要求1、3或4所述的基于MPLS/0PS的VPN,其特征是提供商边缘路由器支 持波分复用(WDM)传输和波长路由,它增强了各种网络功能,包括传输容量和节点吞吐量寸。
全文摘要
基于多协议标签交换/光分组交换(MPLS/OPS)的虚拟专用网络(VPN),该方法结合了多协议标签交换(MPLS),光分组交换(OPS)和虚拟专用网(VPN)。本方案是基于三层VPN的,结构主要包括数据面和控制面。其特征是网络隧道协议把用户数据进行加密封装成VPN数据,通过客户边缘设备CE组装成OPS光分组并送入核心网,利用MPLS的强大功能将其分类映射,在标签交换路由LSP转发过程中利用MPLS的层次化标签栈结构进行旧标签的擦除和新标签的写入进行转发。在出口边缘节点执行OPS光分组的拆装过程,得到VPN数据,接收端利用对应的密匙进行解密认证,从而得到原始的数据,实现了整个数据的转发过程。
文档编号H04B10/12GK101834793SQ20101016040
公开日2010年9月15日 申请日期2010年4月29日 优先权日2010年4月29日
发明者张崇富, 王正算 申请人:电子科技大学