专利名称:一种实现私有vpls的方法和系统的制作方法
技术领域:
本发明涉及通信领域,具体涉及一种实现私有虚拟专用网业务(VirtualPrivateLAN Service, VPLS)的方法和系统
背景技术:
随着电信技术的快速发展,通过网际协议/多协议标签交换(IP/MPLS)技术承载多业务已是大势所趋。网络流量的ALL-IP化及网络结构的扁平化,为MPLS技术从网络核心层、汇聚层下移到接入层提供了可能。随着VPLS技术在接入网(Access Network)的应用,需要考虑在多用户环境下如何实现用户流量的隔离和业务的安全性。另外,随着城域以太网技术的发展,运营商要求在VPLS网络中实现电子树(E-TREE)的功能,即叶子(leaf)节点之间互相隔离,leaf只能和根(root)节点通信。国际互联网工程任务组(TheInternet Engineering Task Force, IETF) RFC4762定义了基于标签分发协议(LDP)实现VPLS的技术规范。VPLS通过把用户边缘(CustomerEdge, CE)设备连接到运营商边缘(Provider Edge, PE)设备,PE再通过运营商的MPLS核心网络实现全网状(Full Mesh)连接,即用MPLS技术实现类似LAN的业务,用户设备通过这个LAN实现互联互通的功能。RFC5517定义了私有虚拟局域网(Private VLAN,PVLAN)的技术规范,通过PVLAN技术实现用户业务的隔离和提高安全性。目前已有相关IETF草案描述了在VPLS网络中实现E-TREE功能的需求、框架和具体实现。现有的基于VPLS网络实现E-TREE功能的实现主要有三种方式⑴通过控制字携带接入链路(AC)的Root/Leaf属性,这种方式的缺点是需要在伪线(PW)上使能控制字模式,并占用控制字来标识这个属性;(2)在一个虚拟交换实例(VSI)虚拟上分别建立RootPW和Leaf PW来实现用户业务的隔离,这种方式的缺点是需要建立更多的PW,增加了系统负担和管理的复杂度;(3)在VSI上配置Root VLAN和Leaf VLAN,VSI之间通告并建立VLAN映射,从而实现用户业务的隔离,这种方式的缺点是只支持root和leaf属性,即只能实现leaf和leaf节点之间的隔离,不支持同一 VSI实例下某些用户节点相互隔离,而某些用户团体能相互通信。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现私有VPLS的方法和系统,以保证灵活的VPLS组网应用,实现用户流量隔离并保证业务安全性。为达到上述目的,本发明的技术方案是这样实现的一种实现私有虚拟专用网业务Private VPLS的方法,该方法包括在运营商边缘PE的接入链路AC侧配置属性及相应的虚拟局域网标识VLAN ID ;扩展标签分发协议LDP,在PE上建立本地AC和远端AC的映射表;根据本地AC映射表对用户边缘CE业务进行流量隔离。 所述扩展LDP协议的过程包括
增加Private VPLS相关的接口参数次类型长度标量sub-TLV ;在会话建立阶段,协商伪线PW两端是否支持虚拟专用网业务;建立PW时,在PW标签映射Label Mapping消息中携带sub-TLV ;当修改AC配置时通知对端,以同步AC配置信息。所述进行流量隔离的过程包括本端PE的AC入口收到用户流量后,在从PW转发出去之前,根据建立的AC映射表进行转发过滤,在本端完成用户流量的隔离。该方法进一步包括
针对来自远端PE的用户流量,在剥离外层隧道标签和PW标签后,根据内部的VLANID检查本地的AC映射关系表,并据此进行转发过滤。该方法进一步包括在VPLS网络中配置路由协议,使所有设备三层路由可达;运行LDP协议,在公网内分发标签交换路径LSP标签,建立PE到PE的公网隧道;在PE设备上配置VPLS实例,运行目标Target-LDP,建立PE到PE的PW全连接,并在PW上使能标记tagged模式。一种实现私有VPLS的系统,该系统包括AC侧配置单元、协议扩展单元、流量隔离单元;其中,所述AC侧配置单元,用于在PE的AC侧配置属性及相应的VLAN ID ;所述协议扩展单元,用于扩展LDP协议,在PE上建立本地AC和远端AC的映射表;所述流量隔离单元,用于根据本地AC映射表对CE业务进行流量隔离。所述协议扩展单元在扩展LDP协议时,用于增加Private VPLS 相关的接口参数 sub-TLV ;在会话建立阶段,协商PW两端是否支持P-VPLS ;建立PW 时,在 PW Label Mapping 消息中携带 sub-TLV ;当修改AC配置时通知对端,以同步AC配置信息。所述流量隔离单元进行流量隔离时,用于在本端PE的AC入口收到用户流量后,在从PW转发出去之前,根据建立的AC映射表进行转发过滤,在本端完成用户流量的隔离。所述流量隔离单元,进一步用于针对来自远端PE的用户流量,在剥离外层隧道标签和PW标签后,根据内部的VLANID检查本地的AC映射关系表,并据此进行转发过滤。所述AC侧配置单元,进一步用于在VPLS网络中配置路由协议,使所有设备三层路由可达;运行LDP协议,触发公网内LSP标签的分发,触发PE到PE的公网隧道的建立;在PE设备上配置VPLS实例,触发Target-LDP的运行,触发PE到PE的PW全连接的建立,触发PW上tagged模式的使能。本发明方法和系统,在VPLS网络中实现了用户业务的隔离,能根据运营商的应用需求实现用户流量隔离,也能使特定组内的用户互通;并且,这些用户都可以和汇聚节点互通。另外,还能在VPLS网络中实现E-TREE的功能,从而可以根据运营商的要求实现灵活的组网应用并保证业务安全性。
图I为本发明实施例实现私有VPLS的组网应用示意图;图2为本发明实施例实现E-tree的组网应用示意图;图3为本发明一实施例实现私有VPLS的流程图;图4为本发明实施例实现私有VPLS的流程简图;图5为本发明实施例实现私有VPLS的系统图。
具体实施例方式在实际应用中,需要在VPLS接入多用户的网络环境下,在用户设备之间实现类似PVLAN业务,达到隔离用户流量和提高业务安全性的目的;另外,由于E-TREE是PVLAN的功能子集,所以也在VPLS网络中支持E-TREE功能。具体包括(I)在VPLS网络中接入多个用户,类似PVLAN,相互隔离的用户节点属性为隔离(isolated),互通的用户节点属性为团体(community),汇聚节点属性为混杂(promiscuous)。在PE设备AC接口上配置连接的CE节点属性,并配置相应的虚拟局域网标识(VLAN ID),即 Primary VLAN 或 SecondaryVLAN ;(2)在建立PW或修改AC配置时,扩展LDP协议,把VPLS的AC的属性信息和VLANID通告给对端,即在PE上建立本地AC和远端AC的映射关系;(3)本地用户流量从AC进入后,在转发到PW之前,根据AC映射表,检查相应的属性和VLAN是否匹配,如果符合PVLAN的过滤规则,则允许转发,否则在本地丢弃; (4)远端用户流量从PW进入后,在从本地AC转发出去之前,根据AC映射表检查是否符合PVLAN过滤规则,并决定是否允许转发。下面结合附图对在VPLS中实现CE-PVLAN的实现方法进行说明。如图I所示,在VPLS中建立一个L2VPN业务,在这个VPN中,PE1、PE2和PE3为运营商设备,PE设备之间建立全连接的VPLS。CE为用户设备,其中CE12和CE32需要隔离,CElU CE31、CE33和CE22属于团体1,CE21为汇聚的节点设备,所有CE都需要和这个设备互通。为了实现CE设备之间的PVLAN功能,需要在PE设备上建立本地AC和远端AC的映射关系,并根据映射关系及转发过滤规则来支持用户流量的转发行为,从而实现私有VPLS。因此,需要扩展现有的LDP协议,在PE之间通告AC的属性和私有VLAN ID,协议扩展如下(I)增加一个 Private VPLS 相关的接口参数(interface parameter)次类型长度标量(sub-TLV),其中P-VPLS字段为sub-TLV标识,属性用两位标识,00代表未用,01为isolated属性,10 为 community 属性,11 为promiscuous属性,VLAN ID标识AC对应的 VLANID值;(2)在会话建立阶段,需要协商PW两端是否支持P-VPLS,即虚拟专用网业务;(3)建立PW时,在PW标签映射(Label Mapping)消息中携带所述sub-TLV ;(4)当修改AC配置时,通过通知(Notification)消息通告给对端,以同步AC配置信息。本发明的具体处理流程如图3所示,具体步骤包括
310 :在VPLS网络中配置路由协议,使所有设备三层路由可达;320 :运行LDP协议,在公网内分发标签交换路径(LSP)标签,建立PE到PE的公网隧道;330 :在PE设备上配置VPLS实例,运行目标LDP (Target-LDP),建立PE到PE的PW全连接,并在PW上使能标记(tagged)模式;340 :在 PE 的 AC 侧配置 isolatecUcommunity 或 promiscuous 属性及相应的 VLANID值;350 :建立PW时,VPLS PE两端如果都支持Private VPLS,则相互通告本端的AC属 性和对应的VLAN ID,建立本地AC和远端AC的映射表;360 :本端PE的AC入口收到用户流量后,在从PW转发出去之前,需要先根据建立的AC映射表进行转发过滤,在本端完成用户流量的隔离。这样,来自远端PE的用户流量,在剥离外层隧道标签和PW标签后,就可以根据内部的VLAN ID检查本地的AC映射关系表,并据此进行转发过滤。在下面本发明实施例的具体实现中,图I为实施例I的组网示意图,描述了两个isolated用户、四个community和一个Promiscuous的应用场景;当然,可以在这个基础上进行进一步的扩展,以组成更灵活和可控的应用。实施例I参考图1,本实施例中CE12和CE32为isolated,即CE12和CE32相互隔离,CE12、CE32 只能和 CE21 通信;CE11、CE31、CE33 和 CE22 组成 community,即 CElI、CE31、CE33 和CE22之间可以互通,也能和CE21通信,但不能和Isolated节点CE12和CE32互通;PE21为Promiscuous,相当于汇聚节点,所有用户都可以和PE21通信,并通过PE21和上层的核心设备或服务器进行通信。例如针对PE1,PE1连接了 CEll和CE12,其中CE12的属性为isolated, CEll的属性为community。具体的处理流程如下(I)当PEl从CEll收到用户流量后,对应的AC属性为community,S卩PEl可以和本地PE或远端PE属性相同的AC进行通信,还可以和promiscuous互通,因此在本地PE, PEl需要根据AC映射表找到对应的出口。对本实施例,如果为非标记(untag)报文,则会在报文中添加VLAN = 200,以表示这个用户流量,否则,如果为tag报文,则进行vlan检查;如果通过了 vlan检查,则进行媒介访问控制(MAC)地址学习并根据目的媒介访问控制地址(DMAC)找到对应的出口,根据本地的AC映射表,VLAN200的出口有两个,分别为PWl和PW2 ;(2)当PEl从CE12收到流量,对应的属性为isolated,即PEl只能和本地或远端的promicuous设备进行通信,根据本地PE的AC映射表,在完成MAC地址学习后,再根据DMAC找到远端promicuous AC对应的出口为PWl ;(3)当PEl从PE2收到远端ACl的流量时,由于封装的VLAN ID = 200,因此根据本地的AC映射表,PEl只能和本地的ACl互通,而不能和本地AC2互通;(4)当PEl从PE2收到远端AC2的流量时,由于封装的VLAN ID = 100,因此根据本地的AC映射表,PEl可以和本地的ACl和AC2进行通信;另外,报文从ACl或AC2转发出去前,需要替换为本地AC的VLAN ID ;(5)当PEl收到远端PE3的AC2流量时,由于封装的VLAN ID = 300,因此根据本地的AC映射表,PEl只能和本地的AC2进行通信,通过二层的VLAN检查可以把远端AC2和本地ACl隔离开来。(6) PE2和PE3上的处理流程和上述相应处理流程类似。实施例2参考图2,本实施例是实施例I的子集。在本实施例中,CE21为Root节点(promicuous),其它AC都为leaf节点(isolated);例如在PEl设备,具体的处理流程如下(I)当PEl从CEll收到用户流量后,对应的AC属性为leaf (isolated),即PEl只能和远端PE2的AC2互通,和本地AC及其它PE的AC是相互隔离的;根据本地的AC映射表找到对应的出口为PWl ;另外,本地ACl和AC2需要隔离,可以在L2层通过VLAN检查进行隔离; (2)当PEl从PE2或PE3收到leaf AC流量时,根据本地的AC映射表,不能从本地AC转发出去,通过L2VLAN检查可以实现流量隔离;(3)当PEl从PE2收到远端rootAC的流量时,由于封装的VLAN ID = 100,因此根据本地的AC映射表,PEl可以和本地的AC1、AC2互通; (4) PE2和PE3上的处理流程和上述相应处理流程类似。结合以上技术描述可见,本发明实现私有VPLS的关键操作思路可以表示如图4所示的流程,该流程包括以下步骤步骤410 :在PE的AC侧配置属性及相应的VLAN ID。步骤420 :扩展LDP协议,在PE上建立本地AC和远端AC的映射表。步骤430 :根据本地AC映射表对CE业务进行流量隔离。为了保证上述技术描述以及操作思路能够顺利实现,可以进行如图5所示的设置。参见图5,图5为本发明实施例实现私有VPLS的系统图,该系统包括相连的AC侧配置单元、协议扩展单元、流量隔离单元。在实际应用中,AC侧配置单元能够在PE的AC侧配置属性及相应的VLANID。协议扩展单元能够扩展LDP协议,在PE上建立本地AC和远端AC的映射表。流量隔离单元能够根据本地AC映射表对CE业务进行流量隔离。综上所述可见,无论是方法还是系统,本发明实现私有VPLS的技术,在VPLS网络中实现了用户业务的隔离,能根据运营商的应用需求实现用户流量隔离,也能使特定组内的用户互通;并且,这些用户都可以和汇聚节点互通。另外,还能在VPLS网络中实现E-TREE的功能,从而可以根据运营商的要求实现灵活的组网应用并保证业务安全性。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种实现私有虚拟专用网业务Private VPLS的方法,其特征在于,该方法包括 在运营商边缘PE的接入链路AC侧配置属性及相应的虚拟局域网标识VLAN ID ; 扩展标签分发协议LDP,在PE上建立本地AC和远端AC的映射表; 根据本地AC映射表对用户边缘CE业务进行流量隔离。
2.根据权利要求I所述的方法,其特征在于,所述扩展LDP协议的过程包括 增加Private VPLS相关的接口参数次类型长度标量sub_TLV ; 在会话建立阶段,协商伪线PW两端是否支持虚拟专用网业务; 建立PW时,在PW标签映射Label Mapping消息中携带sub_TLV ; 当修改AC配置时通知对端,以同步AC配置信息。
3.根据权利要求I所述的方法,其特征在于,所述进行流量隔离的过程包括 本端PE的AC入口收到用户流量后,在从PW转发出去之前,根据建立的AC映射表进行转发过滤,在本端完成用户流量的隔离。
4.根据权利要求I至3任一项所述的方法,其特征在于,该方法进一步包括 针对来自远端PE的用户流量,在剥离外层隧道标签和PW标签后,根据内部的VLAN ID检查本地的AC映射关系表,并据此进行转发过滤。
5.根据权利要求4所述的方法,其特征在于,该方法进一步包括 在VPLS网络中配置路由协议,使所有设备三层路由可达; 运行LDP协议,在公网内分发标签交换路径LSP标签,建立PE到PE的公网隧道; 在PE设备上配置VPLS实例,运行目标Target-LDP,建立PE到PE的PW全连接,并在PW上使能标记tagged模式。
6.一种实现私有VPLS的系统,其特征在于,该系统包括AC侧配置单元、协议扩展单元、流量隔离单元;其中, 所述AC侧配置单元,用于在PE的AC侧配置属性及相应的VLAN ID ; 所述协议扩展单元,用于扩展LDP协议,在PE上建立本地AC和远端AC的映射表; 所述流量隔离单元,用于根据本地AC映射表对CE业务进行流量隔离。
7.根据权利要求6所述的系统,其特征在于,所述协议扩展单元在扩展LDP协议时,用于 增加Private VPLS相关的接口参数sub-TLV ; 在会话建立阶段,协商PW两端是否支持P-VPLS ; 建立PW时,在PW Label Mapping消息中携带sub-TLV ; 当修改AC配置时通知对端,以同步AC配置信息。
8.根据权利要求6所述的系统,其特征在于,所述流量隔离单元进行流量隔离时,用于 在本端PE的AC入口收到用户流量后,在从PW转发出去之前,根据建立的AC映射表进行转发过滤,在本端完成用户流量的隔离。
9.根据权利要求6至8任一项所述的系统,其特征在于,所述流量隔离单元,进一步用于 针对来自远端PE的用户流量,在剥离外层隧道标签和PW标签后,根据内部的VLAN ID检查本地的AC映射关系表,并据此进行转发过滤。
10.根据权利要求9所述的系统,其特征在于,所述AC侧配置单元,进一步用于 在VPLS网络中配置路由协议,使所有设备三层路由可达; 运行LDP协议,触发公网内LSP标签的分发,触发PE到PE的公网隧道的建立; 在PE设备上配置VPLS实例,触发Target-LDP的运行,触发PE到PE的PW全连接的建立,触发PW上tagged模式的使能。
全文摘要
本发明公开了一种实现私有VPLS的方法和系统,均可在PE的AC侧配置属性及相应的VLAN ID;扩展LDP协议,在PE上建立本地AC和远端AC的映射表;根据本地AC映射表对CE业务进行流量隔离。本发明方法和系统,在VPLS网络中实现了用户业务的隔离,能根据运营商的应用需求实现用户流量隔离,也能使特定组内的用户互通;并且,这些用户都可以和汇聚节点互通。另外,还能在VPLS网络中实现E-TREE的功能,从而可以根据运营商的要求实现灵活的组网应用并保证业务安全性。
文档编号H04L12/46GK102655468SQ20111005009
公开日2012年9月5日 申请日期2011年3月2日 优先权日2011年3月2日
发明者喻敬海, 张君辉 申请人:中兴通讯股份有限公司