专利名称:通过公用网络延伸mpls vpn接入的方法和pe设备的制作方法
技术领域:
本发明涉及网络通信领域,尤其是涉及通过公用网络延伸多协议标签交换(MPLS, Multi-protocol Label Switching)M (VPN,Virtual Private Network) _入白勺 方法和运营商边缘(PE,!Provider Edge)设备。
背景技术:
随着因特网的爆炸性增长以及电子商务的快速发展,人们开始考虑怎样在不安全 的因特网上进行安全的数据传输,于是就产生了 VPN技术,它是通过公有网络上构建私有 网络,将地理位置不同的多个专用局域网互联起来的一种专有网络。根据公有网络协议的 类型划分,VPN可能是基于MPLS网络的VPN,也可能是基于IP接入网络的VPN ;根据承载报 文的类型划分,VPN分为二层 VPN(L2 VPN, Layer 2 VPN)和三层 VPN(L3 VPN, Layer 3 VPN) 两种类型,承载二层链路报文的VPN属于L2 VPN,承载三层IP报文的VPN属于L3 VPN0在 现有的VPN网络应用中,骨干公用网络采用MPLS协议后,接入网络如果要与公用网络互联, 就需要接入网络的设备也采用MPLS协议栈;然而,接入网络的设备性能一般比较低下,其 能力有限且协议栈支持层次不全,甚至难以支持MPLS协议;为解决这一矛盾,目前使用伪 线(PW,Pseud0 Wire)技术来通过公用网络延伸MPLS VPN的接入。例如,如图1所示,在公 用网络中,使用伪线技术,在两台设备PEl和PE2之间建立伪线,可以将接入的客户端边缘 (CE, Customer Edge)设备(即CEl)中的数据透明传输到MPLS VPN的边缘设备PE3。在现有技术中,为了节省用户的投资,又提出了让MPLS边缘设备PE3来同时来承 担伪线建立和MPLS边缘接入功能。此功能通常需要利用虚拟路由器(VR,Virtual Router) 的技术来实现。VR技术是指将一台设备分成多个VR的使用功能,各个VR功能上具有 独立的路由信息,IP选路等各个协议(ARP、I CMP, EGP)对每个VR单独工作,提供多个路 由器类似的路由和转发功能。2000年9月发行的IETF RFC2917 "A Core MPLS IP VPN Architecture”(一种核心MPLS IP VPN体系结构)对此给与了详细的介绍。将一台物理 设备分割成多个VR后,有利于对物理设备的配置、管理、监视、调试等,同时各个VR可以分 别承担不同的角色。一个VR可以充当VPN的CE设备,而另一个VR则可以充当PE设备。 其中VR的划分可以通过指定接口的虚拟路由转发(VRF,virtual routing forward)来 实现,指定了某一 VRF的接口称为VRF接口,又称为L3 VRF接口 ;没有指定VRF的接口是 公网接口。如图2所示的现有技术中利用二层隧道协议第三版(L2TPv3,Layer 2 Tunnel Protocol-v3)协议建立伪线的网络示意图,在MPLS网络端PE设备PE3上,同时提供建立 PW和MPLS PE的功能,来实现节省用户投资和减少设备的目的,MPLS VPN需要将报文延伸 传输到接入网络的客户端设备CEl上,此时,将PE3的接口 g0接口指定为VRF接口,将接 口 gl指定为接入链路(AC,Access Circuit)接口,将gl和g0通过物理线路环绕起来形成 AC ;PE3并通过公网接口 g2建立到对端接入网络端PE设备PEl的PW ;在图2中,要将VRF 接口(即接口 g0)的数据透明传输到接入网络的CEl时,数据报文通过接口 g0发送到接口 gl上,根据协议控制协商的结果,封装成PW指定格式的报文,最后通过g2接口的路由转发出去。从上述过程不难看出,公用网络和MPLS VPN网络之间传输报文时,该报文在MPLS VPN网络的边缘设备(如图2中的PE3)上至少需要经过一条AC物理链路和两个物理接口, 这势必会影响报文的转发速率,增加报文的传输时延。
发明内容
本发明提供了一种通过公用网络延伸MPLS VPN接入的方法和PE设备,能够提高 报文的转发速率,降低报文的传输时延。本发明的技术方案是这样实现的一种通过公用网络延伸MPLS VPN接入的方法,应用于包括MPLS网络端PE设备和 接入网络端PE设备的公用网络,该方法包括在MPLS网络端PE设备上创建虚拟接口,为所述虚拟接口关联对应的VRF,并配置 IP地址;在虚拟接口上配置与接入网络端PE设备相同的封装协议,利用公用网络在MPLS 网络端PE设备和接入网络端PE设备之间建立PW,将虚拟接口与该PW绑定。一种PE设备,应用于包括MPLS网络端PE设备和接入网络端PE设备的公用网络, 该PE设备作为公用网络中的MPLS网络端PE设备,该PE设备包括虚拟接口创建模块,用于在所述PE上创建虚拟接口 ;VRF关联模块,用于为所述虚拟接口关联对应的VRF,并配置IP地址;Pff建立模块,用于在所述虚拟接口上配置与所述接入网络端PE设备相同的封装 协议,利用所述公用网络在MPLS网络PE和IP接入网络PE之间建立PW ;Pff绑定模块,用于将所述虚拟接口与所述PW绑定。可见,本发明提出的通过公用网络延伸MPLS VPN接入的方法和MPLS网络端PE设 备,在MPLS网络端PE设备上建立虚拟接口,并配置该虚拟接口同时承担建立PW和作为VRF 接口的功能,从而使报文通过该MPLS网络端PE设备向接入网络PE设备上传输时不再需要 经过物理接口和物理链路,因此能够提高报文的转发速率,降低报文的传输时延。
图1是现有技术中MPLS VPN技术传输的网络模型示意图;图2是现有技术中利用L2TPv3协议建立伪线的网络示意图;图3为本发明提出的通过公用网络延伸MPLS VPN接入的方法流程图;图4为本发明实施例一采用L2TPv3协议延伸MPLS VPN接入的方法流程图;图5为本发明实施例二采用VPWS协议延伸MPLS VPN接入的方法流程图;图6为本发明提出的PE设备的结构示意图。
具体实施例方式为了使本发明更容易的被本领域的技术人员理解和实现,现将结合附图对本发明 实施例进行详细说明。本发明提出一种通过公用网络延伸MPLS VPN接入的方法,应用于包括MPLS网络端PE设备和接入网络端PE设备的公用网络,如图3为本发明提出的通过公用网络延伸 MPLS VPN接入的方法流程图,包括以下步骤步骤301 在MPLS网络端PE设备上创建虚拟接口,为所述虚拟接口关联对应的 VRF,并配置IP地址;步骤302 在虚拟接口上配置与接入网络端PE设备相同的封装协议,利用公用网 络在MPLS网络端PE设备和接入网络端PE设备之间建立PW,将虚拟接口与该PW绑定。通过上述配置过程,使MPLS网络端PE设备的虚拟接口同时作为伪线的AC接口和 VRF接口。此虚拟接口的收发驱动与PW关联,即从PW接收报文时,完成解封装,根据PW确 定此虚拟接口后,直接将报文入到此虚拟接口的输入队列,从而完成将接入报文通过MPLS VPN网络的传输到对端CE设备;虚拟接口在发送报文时,在完成链路处理后,将报文放入PW 队列,之后执行与现有技术相同的PW封装发送流程,从而完成将从MPLS VPN网络接收的报 文传输给本端CE设备。上述过程中,PW的建立可以通过动态协商完成、也可以通过静态配 置完成。上述配置完成之后,可以执行报文的转发过程,具体如下MPLS网络端PE设备从PW接收报文方向步骤1 :MPLS网络端PE设备接收所述接入网络端PE设备通过PW发送的报文,对 所述报文进行解封装,确定所述报文对应的PW,并确定所述PW绑定的虚拟接口 ;步骤2 根据所述虚拟接口上配置的封装协议,将所述解封装后的报文发送到对 应封装协议的输入队列;步骤3 根据所述虚拟接口对应的VRF确定所述解封装后的报文的传输路由,为所 述解封装后的报文添加MPLS标签,并按照所述传输路由转发至MPLS VPN网络。至此,完成了 MPLS网络端PE设备的报文转发过程;之后,MPLS VPN网络中对端的 MPLS PE设备收到报文后,可以进一步执行步骤4 ;步骤4 对端的MPLS PE设备根据MPLS标签查找到VRF,在VRF中查找路由,再将 报文转发到相应的对端CE设备。MPLS网络端PE设备向PW发送报文方向步骤1 :MPLS网络端PE设备接收来自MPLS VPN网络的报文,弹出所述报文的MPLS 标签,根据该MPLS标签查找对应的VRF,根据所述VRF确定关联的虚拟接口 ;步骤2 确定所述虚拟接口绑定的PW,根据所述虚拟接口上配置的封装协议对所 述弹出MPLS标签后的报文进行封装,将封装后的报文通过所述PW发送至接入网络端PE设备。至此,完成了 MPLS网络端PE设备的报文转发过程;之后,接入网络端PE设备可以 进一步执行以下步骤;步骤3 =IP接入网络的PE设备收到报文后,进行解封装,确定对应的PW,进而确定 AC接口的映射关系;步骤4 根据AC链路信息将报文转发到对应的CE设备。从上述的方法中可以看出,所述的MPLS网络端PE设备是包含了一个虚拟接口的 设备,报文转发过程是经过虚拟接口,再到PW隧道转发的过程。即这个虚拟接口同时承载 T VRF接口和AC接口的功能。
以下举两个具体的实施例对本发明进行详细介绍。本发明实施例中的MPLS网络 端PE设备在网络中的位置参见图2中的PE3,接入网络端PE设备在网络中的位置参见图 2中的PEl。实施例一本实施例采用L2TPv3协议延伸MPLS VPN接入,如图4为本发明实施例一采用 L2TPv3协议延伸MPLS VPN接入的方法流程图,该处理过程包括如下步骤步骤401 在MPLS网络端PE设备上创建虚拟接口,为该虚拟接口关联对应的VRF, 并配置IP地址,此IP地址需和对端的接入网络端PE设备上所连接的CE设备的IP地址配 置在同一个网段,在虚拟接口上配置与对端的接入网络端PE设备相同的链路层封装协议;步骤402 在虚拟接口上绑定对应的PW。这一过程首先是通过L2TPv3控制协议协 商完成的,需要对端的接入网络端PE设备的AC接口和MPLS网络端PE设备的虚拟接口上 均配置相同的虚拟链路标识(VC ID)和链路层封装协议;在PW启动(UP)后,将虚拟接口的 收发驱动与此PW绑定;当延伸MPLS VPN报文通过L2TPv3伪线向接入网络转发时流程包括如下步骤步骤403 当报文选路到MPLS网络端PE设备的虚拟接口后,在完成链路协议处理 后,如果该虚拟接口绑定的PW不存在或者没有UP,则丢弃该报文;否则,将报文交给对应的 Pff进行发送,继续执行步骤404 ;步骤404 在PW的发送过程中,为该报文封装L2TPv3头部和IP头部,其中L2TPv3 头部携带有会话ID等信息,封装后的报文根据IP路由转发到对端PE设备;步骤405 对端的接入网络端PE设备根据L2TPv3头部的会话ID查询到相应的AC, 最终报文转发至相应的CE设备。同样,对端的接入网络端PE设备所连接的CE设备的报文传输到MPLS网络端PE 设备所在的公网MPLS VPN中的过程是上述过程的反向,与此类似,不再赘述。实施例二本实施例采用虚拟专用伪线服务(VPWS,Virtual Private Wire krvice)协议延 伸MPLS VPN接入,如图5为本发明实施例二采用VPWS协议延伸MPLS VPN接入的方法流程 图,该处理过程包括如下步骤步骤501 在MPLS网络端PE设备上创建虚拟接口,为该虚拟接口关联对应的VRF, 并配置IP地址,此IP地址需和对端的接入网络端PE设备上所连接的CE设备的IP地址配 置在同一个网段,在虚拟接口上配置与对端的接入网络端PE设备相同的链路层封装协议;步骤502 在虚拟接口上绑定对应的PW。这一过程首先是VPWS利用LDP协议协商 完成,需要对端的接入网络端PE设备的AC接口和MPLS网络端PE设备的虚拟接口上均配 置相同的VC ID和链路层封装协议;在PW UP后,将虚拟接口的收发驱动与此PW绑定;当延伸MPLS VPN报文通过VPWS伪线接入网络转发时流程包括如下步骤步骤503 当报文选路到MPLS网络的PE设备的虚拟接口后,在完成线路协议处理 后,如果该虚拟接口绑定的PW不存在或者没有UP,则丢弃该报文;否则,MPLS网络的PE设 备将报文交给对应的PW进行发送;步骤504 在PW的发送过程中,MPLS网络的PE设备根据VC ID封装MPLS标签(此 标签为VC标签),再根据PW的目的地址查找标签转发路径(LSP,Lable Switch Path),并封装全局标签和链路层信息,将封装后的报文根据LSP转发到对端PE设备;步骤505 对端PE设备根据标签栈顶的MPLS标签(VC标签),查询到相应的AC, 弹出标签和增加的链路头,将报文发送到相应的CE设备。同样,对端PE设备所连接的CE设备的报文传输到MPLS网络端PE设备所在的公 网MPLS VPN中的过程是上述过程的反向,与此类似,不再赘述。本发明还提出一种PE设备,应用于包括MPLS网络端PE设备和接入网络端PE设 备的公用网络,所述PE设备作为公用网络中的MPLS网络端PE设备,如图6为本发明提出 的PE设备的结构示意图,该MPLS网络端PE设备包括虚拟接口创建模块601,用于在所述PE设备上创建虚拟接口 ;VRF关联模块602,用于为所述虚拟接口关联对应的VRF,并配置IP地址;Pff建立模块603,用于在所述虚拟接口上配置与所述接入网络端PE设备相同的封 装协议,利用所述公用网络在MPLS网络端PE设备和接入网络端PE设备之间建立PW ;Pff绑定模块604,用于将所述虚拟接口与所述PW绑定。上述PE设备还可以进一步包括第一转发模块605,用于接收所述接入网络端PE设备通过PW发送的报文,对所述 报文进行解封装,确定所述报文对应的PW,并确定所述PW绑定的虚拟接口 ;根据所述虚拟 接口上配置的封装协议,将所述解封装后的报文发送到对应封装协议的输入队列;根据所 述虚拟接口对应的VRF确定所述解封装后的报文的传输路由,为所述解封装后的报文添加 MPLS标签,并按照所述传输路由转发至MPLS VPN网络。第二转发模块606,用于接收来自MPLS VPN网络的报文,弹出所述报文的MPLS标 签,根据该MPLS标签查找对应的VRF,根据所述VRF确定关联的虚拟接口 ;确定所述虚拟接 口绑定的PW,根据所述虚拟接口上配置的封装协议对所述报文进行封装,将封装后的报文 通过所述PW发送至对端的接入网络端PE设备。综上所述,本发明提出的通过公用网络延伸MPLS VPN接入的方法和MPLS网络端 PE设备,实现了利用虚拟接口及虚拟接入链路透明传输报文,至少能够达到以下技术效果 第一,节省了物理接口的占用,对于每条PW来说,MPLS网络端PE设备可以节省2个物理接 口,当PW的规模达到一定程度时,节省物理接口的数量相当可观;第二,由于传统的MPLS VPN延伸需要将VRF接口和公网接口进行物理线路环绕(如图2中的PE3),而本发明直接通 过虚拟AC链路进行转发,节省了这一传输时间,降低了时延,提高报文的转发速率,进而提 高网络的服务质量;第三,本发明只采用了一个虚拟接口,降低了配置复杂度,减少了设备 的配置,当PW的规模达到一定程度时,节省的配置会比较可观,进一步减轻了设备的负担。以上对一种利用虚拟接入链路传输报文的方法和设备做了详细的介绍,本文中应 用具体个例对本发明的原理以及实施方式进行解释,用于理解本发明的方法和核心思想, 不应理解为对本发明的限制,凡在本发明的精神和原则之内,所做的任何修改、等同替换、 改进等均应在本发明的保护范围之类。
权利要求
1.一种通过公用网络延伸多协议标签交换虚拟专用网接入的方法,应用于包括MPLS 网络端PE设备和接入网络端PE设备的公用网络,其特征在于,所述方法包括在MPLS网络端PE设备上创建虚拟接口,为所述虚拟接口关联对应的VRF,并配置IP地址;在所述虚拟接口上配置与所述接入网络端PE设备相同的封装协议,利用所述公用网 络在MPLS网络端PE设备和接入网络端PE设备之间建立伪线PW,将所述虚拟接口与所述 PW绑定。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括MPLS网络端PE设备接收所述接入网络端PE设备通过PW发送的报文,对所述报文进行 解封装,确定所述报文对应的PW,并确定所述PW绑定的虚拟接口 ;根据所述虚拟接口上配置的封装协议,将所述解封装后的报文发送到对应封装协议的 输入队列;根据所述虚拟接口对应的VRF确定所述解封装后的报文的传输路由,为所述解封装后 的报文添加MPLS标签,并按照所述传输路由转发至MPLS VPN网络。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括MPLS网络端PE设备接收来自MPLS VPN网络的报文,弹出所述报文的MPLS标签,根据 该MPLS标签查找对应的VRF,根据所述VRF确定关联的虚拟接口 ;确定所述虚拟接口绑定的PW,根据所述虚拟接口上配置的封装协议对所述弹出MPLS 标签后的报文进行封装,将封装后的报文通过所述PW发送至接入网络端PE设备。
4.根据权利要求1、2或3所述的方法,其特征在于,为所述虚拟接口配置的IP地址与 所述接入网络端PE设备所连接的客户端边缘CE设备的IP地址属于同一个网段。
5.根据权利要求1、2或3所述的方法,其特征在于,所述在MPLS网络端PE设备和接入 网络端PE设备之间建立PW的方式为在所述MPLS网络端PE设备的虚拟接口和接入网络 端PE设备的接入链路AC接口上配置相同的虚拟链路标识VC ID。
6.根据权利要求1、2或3所述的方法,其特征在于,所述将虚拟接口与PW绑定的方式 为在所述PW启动后,将所述虚拟接口的收发驱动与所述PW绑定。
7.根据权利要求3所述的方法,其特征在于,所述根据VRF确定关联的虚拟接口之后, 并在所述确定虚拟接口绑定的PW之前,进一步包括如果所述虚拟接口绑定的PW不存在、或者所述虚拟接口绑定的PW存在但未启动,则丢 弃所述报文。
8.一种PE设备,应用于包括MPLS网络端PE设备和接入网络端PE设备的公用网络,所 述PE设备作为公用网络中的MPLS网络端PE设备,其特征在于,所述PE设备包括虚拟接口创建模块,用于在所述PE设备上创建虚拟接口 ;VRF关联模块,用于为所述虚拟接口关联对应的VRF,并配置IP地址;PW建立模块,用于在所述虚拟接口上配置与所述接入网络端PE设备相同的封装协议, 利用所述公用网络在MPLS网络端PE设备和接入网络端PE设备之间建立PW ;PW绑定模块,用于将所述虚拟接口与所述PW绑定。
9.根据权利要求8所述的PE设备,其特征在于,所述PE设备进一步包括第一转发模块,用于接收所述接入网络端PE设备通过PW发送的报文,对所述报文进行解封装,确定所述报文对应的PW,并确定所述PW绑定的虚拟接口 ;根据所述虚拟接口上 配置的封装协议,将所述解封装后的报文发送到对应封装协议的输入队列;根据所述虚拟 接口对应的VRF确定所述解封装后的报文的传输路由,为所述解封装后的报文添加MPLS标 签,并按照所述传输路由转发至MPLS VPN网络。
10.根据权利要求8所述的PE设备,其特征在于,所述PE设备进一步包括 第二转发模块,用于接收来自MPLS VPN网络的报文,弹出所述报文的MPLS标签,根据 该MPLS标签查找对应的VRF,根据所述VRF确定关联的虚拟接口 ;确定所述虚拟接口绑定 的PW,根据所述虚拟接口上配置的封装协议对所述报文进行封装,将封装后的报文通过所 述PW发送至接入网络端PE设备。
全文摘要
本发明提出一种通过公用网络延伸多协议标签交换(MPLS)虚拟专用网(VPN)接入的方法和运营商边缘(PE)设备,应用于包括MPLS网络端PE设备和接入网络端PE设备的公用网络,其中方法包括在MPLS网络端PE设备上创建虚拟接口,为所述虚拟接口关联对应的虚拟路由转发(VRF),并配置IP地址;在所述虚拟接口上配置与所述接入网络端PE设备相同的封装协议,利用所述公用网络在MPLS网络端PE设备和接入网络端PE设备之间建立伪线(PW),将所述虚拟接口与所述PW绑定。本发明能够提高报文的转发速率,降低报文的传输时延。
文档编号H04L29/12GK102082738SQ201110062208
公开日2011年6月1日 申请日期2011年3月10日 优先权日2011年3月10日
发明者刘高锦, 徐海兵, 谯良刚 申请人:迈普通信技术股份有限公司