专利名称:虚拟私有网络系统的构建方法及虚拟私有网络系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,尤其涉及一种虚拟私有网络系统的构建方法及虚拟私有网络系统。
背景技术:
现有技术的虚拟私有网(Virtual Private Network,简称为VPN),是利用公用网络构建的私人专用网络。它以其独具特色的优势赢得了越来越广泛的应用,对于用户使用 VPN可以缩减费用,方便管理。对于运营商可以利用现有的基础设施提供增值服务,可以扩大运营业务量同时也创造了新的商业机会。现有技术的多协议标记交换协议(Multi-Protocol Label Switching,简称为MPLS)是一种将具有相同转发处理方式的分组归为一类(即转发等价类,Forwarding Equivalent Class)的分类转发技术。MPLS最初是用来提高路由器的转发速度而提出的一个协议,但是由于MPLS在流量工程和VPN这两个在目前IP网络中非常关键的技术中的优越表现使得MPLS已日益成为扩大IP网络规模的重要标准。MPLS协议的关键是引入了标签 (Label)交换概念,在MPLS网络中,IP报文在进入第一个MPLS设备时MPLS边缘路由器分析IP报文的内容并为这些IP报文选择合适的标签。以后就是依据这个标签作为转发依据在MPLS网络中传输,当IP报文离开MPLS网络时标签被边缘路由器分离。在MPLS网络中将网络设备分为边缘网络设备(PE)和核心网络设备(P),边缘网络设备提供流量分类和标签映射,标签移除的功能。核心网络设备提供标签交换和标签分发功能。在结合上述技术的MPLS VPN网络中,MPLS作为一种高效的IP骨干网技术平台, 为实现VPN提供了一种灵活的并且具有可扩展性的技术基础。上述MPLS VPN网络可以由以下三种网络设备组成(1) CE (Custom Edge)用户网络中直接与服务提供商相连的边缘设备;(2)PE (Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连;(3)P路由器(Provider Router)骨干网中不与CE直接相连的设备。图1根据现有相关技术的MPLS VPN网络架构示意图。如图1所示的MPLS VPN网络是由骨干网与用户的各个Site组成,VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。MPLS VPN网络构造由服务提供商来完成,在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公网的存在,就好像拥有独立的网络资源一样。所有的VPN的构建,连接和管理工作都是在PE上进行的。从PE的角度来看,用户的一个连通的IP系统被视为一个site,每一个site通过CE与PE相连,site就构成了 VPN 的基本单元。一个VPN由多个site组成,一个site也可以同时属于不同的VPN。对于任何两个没有共同的site的VPN都可以使用重叠的地址空间,即在用户的私有网络中使用自己独立的地址空间,而不用考虑是否与其他VPN或公网的地址空间冲突,这就需要依赖于VPN 路由转发实例(VPN Routing & Forwarding hstance,简称为 VRF)。图2是根据图1所示实施例骨干网边缘路由器中VPN路由转发实例与各个VPN之间的关系示意图。如图2所示,VRF只存在于PE上,在PE上针对每一个site都创建一个与之对应的VRF,每个VRF都包括一张路由表,一张转发表,一组使用这个VRF的接口集合以及一组与之相关的策略。VRF可以被看作是一个虚拟的路由器。有关MPLS VPN的详细描述见 RFC 2547。图3是根据图2所示实施例中的VPN路由发布的示意图。采用RFC2547的方式使用BGP协议进行L3VPN路由的发布和学习。PE学习到VRF中的路由后,添加上VRF的RD组成VPNv4路由。再构造路由的 Route-target、标签和其他属性后,使用BGP的多协议扩展发送给BGP邻居。邻居接收后根据路由的Route-target属性和VRF的Route-target配置的匹配情况,将路由发送到对应的VRF中。如图3所示,具体的VPN路由发布流程如下PEl上接收到BGP的VPNv4路由的处理1、从VPNv4路由中解出相应的路由,并根据路由的route-target属性,确定路由都要导出到哪些VRF中;2、路由中携带的标签Li,就是数据报文的内层标签;3、根据路由的下一跳信息,在标签交换通道中查询需要使用的标签,就是标签交换中的外层标签;4、将以上得到的信息下发到转发表,在转发中进行使用。PE2上形成BGP的VPNv4路由过程1、把路由前缀和所在VRF的RD形成VPNv4路由;2、为VPNv4路由分配入标签Ll ;3、根据路由所在的VRF的route-target配置,组织路由的route-targat属性;4、设置路由的下一跳为自己,并组织路由的其他属性,VPNv4路由形成。在VPN路由发布完成,即将路由发送到对应的VRF中之后,系统根据携带的标签情况进行数据报文的转发。图4是根据图2所示实施例中的VPN报文在MPLS VPN网络中的转发示意图。采用RFC2M7的方式实现的L3VPN网络中数据报文转发过程。如图4所示,具体的VPN报文转发流程如下CEl向CE2发送数据报文在PEl上的处理1、根据报文入接口的vrf属性获得vpn的ID号;2、使用vpnID号和目的IP地址查找vrf表,得到出接口、内层出标签(即VPN标签)和外层出标签(即P分配给PEl的标签);3、将内外两层标签封装到报文中;4、将报文从出接口中转发出去。假设此时查到的内层标签和外层标签分别是17,23,那么封装后报文结构如下
Ip 包 Τ]23"CEl向CE2发送数据报文在P上的处理1、判断该数据包是一个标签包;2、取出第一层MPLS转发标签(本例中是23);
3、根据此标签查找标签转发表,得到出接口及下一跳及出标签;4、如果出标签不是3,那么说明下一跳不是LSP的末节点,那么就需要去除该数据报文的外层标签,再封装新的外层标签;如果出标签是3标签,那么说明下一跳是LSP中的末节点,那么根据次末跳弹出规则需要将该报文的外层标签去除后直接转发,在本例中属于第二种情况,于是去除23这个外层标签,从出接口转发出去。转发的报文结构如下所示
~Ip 包17CEl向CE2发送数据报文在PE2上的处理1、判断该数据包是一个标签包;2、取出第一层MPLS转发标签(本例中是17);3、先判断是否有二次查找标记,如果有二次查找标记,那就需要根据该标签获取 vpnID号,再根据报文中的目的地址进行路由匹配查找转发,如果没有二次路由查找标记, 那就可以根据标签直接查找到出接口进行报文转发;4、根据查找到的出接口,将报文从出接接口转发出去。在本例中就是将17标签剥离后将报文转发给CE2。转发的报文结构如下所示
Ip包上述实施例中RFC2M7bis定义的L3VPN模型是一种平坦模型,网络中的所有PE 节点的地位都是对等的。典型情况下每一个PE都需要处理所有的VPN路由,同时作为业务接入节点,需要处理众多的用户接入请求,相应的PE设备需要有足够的端口,需要处理、转发用户的报文。网络的扩展性受到资源最紧张的PE的制约,随着网络的扩展和用户数的增加,原有的PE设备很容易成为网络扩展的瓶颈,需要扩容升级。针对上述现有技术的由于每个PE都需要处理所有的VPN路由,导致虚拟私有网络的扩展性较差的问题,目前还没有有效的解决方案。
发明内容
本发明的主要目的在于提供一种虚拟私有网络系统的构建方法及虚拟私有网络系统,以解决现有技术的由于每个PE都需要处理所有的VPN路由,导致网络的扩展性较差的问题。为了实现上述目的,根据本发明的一方面,提供了一种虚拟私有网络系统。根据本发明的虚拟私有网络系统包括中继边缘设备TPE,用于将虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络;骨干虚拟私有网络,包括一个或多个中继边缘设备TPE ;接入虚拟私有网络,通过边缘设备APE与其中一个中继边缘设备TPE建立通信,以获取路由信息;其中,中继边缘设备TPE用于维护从骨干虚拟私有网络或和/或接入虚拟私有网络中的边缘设备PE上接收到的VPN路由,并在重新分配内层标签之后转发VPN 路由至骨干虚拟私有网络和/或述接入虚拟私有网络中的边缘设备APE。优选地,在骨干虚拟私有网络中部署IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备TPE。
优选地,通过边缘设备APE与中继边缘设备TPE建立IBGP或EBGP通信,以将获取到的聚合路由标签信息作为内层标签封装在外层隧道中进行转发。优选地,在骨干虚拟私有网络中部署静态虚拟私有网络协议,以在任意两个中继边缘设备TPE之间建立静态网络通信。优选地,通过边缘设备APE与中继边缘设备TPE建立静态虚拟私有网络协议,来获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。优选地,在骨干虚拟私有网络中部署IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备TPE。优选地,通过边缘设备APE与中继边缘设备TPE建立静态虚拟私有网络协议,以获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。优选地,在骨干虚拟私有网络中部署静态虚拟私有网络协议,以在任意两个中继边缘设备TPE之间建立静态网络通信。优选地,通过边缘设备APE与中继边缘设备TPE建立IBGP或EBGP通信,来获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。优选地,系统还包括中间层边缘设备MPE,位于中继边缘设备TPE和边缘设备APE 之间。为了实现上述目的,根据本发明的另一个方面,提供了一种虚拟私有网络系统的构建方法。根据本发明的虚拟私有网络系统的构建方法包括通过中继边缘设备TPE将虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络;将骨干虚拟私有网络中的一个或多个中继边缘设备TPE建立通信关系,以维护从骨干虚拟私有网络和/或接入虚拟私有网络中的边缘设备PE上接收到的VPN路由;接入虚拟私有网络通过边缘设备APE与其中一个中继边缘设备TPE建立通信,以获取路由信息。优选地,中继边缘设备TPE还用于在重新分配内层标签之后转发VPN路由至骨干虚拟私有网络和接入虚拟私有网络中的边缘设备APE。优选地,骨干虚拟私有网络中的中继边缘设备TPE通过建立IBGP或EBGP通信来分发内层标签;或者骨干虚拟私有网络中的中继边缘设备TPE通过配置静态路由来配置并分发内层标签。优选地,接入虚拟私有网络通过边缘设备APE与中继边缘设备TPE建立IBGP或 EBGP通信来获取内层标签;或者,通过边缘设备APE与中继边缘设备TPE建立静态虚拟私有网络协议,来获取在边缘设备APE中配置完成的内层标签。为了实现上述目的,根据本发明的再一个方面,提供了一种虚拟私有网络。根据本发明的虚拟私有网络包括包括边缘网络设备PE,核心网络设备P和用户边缘设备CE,还包括一个或多个中继边缘设备TPE,连接于边缘网络设备PE和核心网络设备P之间,其中任意一个中继边缘设备TPE用于维护从边缘设备PE和/或其它中继边缘设备TPE上接收到的VPN路由,并在重新分配内层标签之后转发VPN路由至边缘设备PE和/ 或其它中继边缘设备TPE。优选地,边缘网络设备PE与其中一个中继边缘设备TPE建立通信,以获取路由信肩、ο优选地,中继边缘设备TPE之间建立IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备TPE。优选地,在边缘网络设备PE与中继边缘设备TPE之间建立IBGP或EBGP通信,以将获取到的聚合路由标签信息作为内层标签封装在外层隧道中进行转发。优选地,在任意两个中继边缘设备TPE之间建立静态网络通信。优选地,通过在边缘网络设备PE与中继边缘设备TPE之间建立静态虚拟私有网络协议,来获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。优选地,虚拟私有网络还包括中间层边缘设备MPE,位于中继边缘设备TPE和边缘网络设备PE之间。为了实现上述目的,根据本发明的再一个方面,提供了一种虚拟私有网络系统。根据本发明的虚拟私有网络系统包括虚拟私有网络,包括骨干虚拟私有网络; 一个或多个中继边缘设备TPE,设置于骨干私有网络之中,中继边缘设备TPE彼此之间建立通信关系O优选地,虚拟私有网络还包括接入虚拟私有网络,中继边缘设备TPE将接入虚拟私有网络中的vpn路由条目转发至骨干虚拟私有网络的任意一个或多个PE或TPE。为了实现上述目的,根据本发明的再一个方面,提供了一种虚拟私有网络系统。根据本发明的虚拟私有网络系统包括虚拟私有网络,包括接入虚拟私有网络; 一个或多个中继边缘设备TPE,设置于接入私有网络之中,边缘设备APE与其中一个中继边缘设备TPE建立通信,用于将所有的vpn路由条目转发给边缘设备APE。优选地,虚拟私有网络还包括骨干虚拟私有网络,中继边缘设备TPE将接入虚拟私有网络中的vpn路由条目再次转发至骨干虚拟私有网络的任意一个或多个PE或TPE。通过本发明,采用中继边缘设备TPE,用于将虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络;骨干虚拟私有网络,包括一个或多个中继边缘设备TPE ;接入虚拟私有网络,通过边缘设备APE与其中一个中继边缘设备TPE建立通信,以获取路由信息;其中,中继边缘设备TPE用于维护从骨干虚拟私有网络或接入虚拟私有网络中的边缘设备PE 上接收到的VPN路由,并在重新分配内层标签之后转发VPN路由。上述实施例通过弓丨入中继边缘设备(Trunk ΡΕ)的新角色,将虚拟私有网络划分为骨干L3VPN和接入L3VPN,即由于采用了中继PE的拼接而实现了端到端的L3VPN,解决了现有技术的由于每个PE都需要处理所有的VPN路由,导致虚拟私有网络的扩展性较差的问题,进而达到了提高大规模部署MPLS VPN扩展性的效果。
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据现有相关技术的MPLS VPN网络架构示意图;图2是根据图1所示实施例骨干网边缘路由器中VPN路由转发实例与各个VPN之间的关系示意图;图3是根据图2所示实施例中的VPN路由发布的示意图。图4是根据图2所示实施例中的VPN报文在MPLS VPN网络中的转发示意图;图5是根据本发明实施例的虚拟私有网络系统的分层L3VPN架构示意图;图6是根据本发明实施例的虚拟私有网络系统的构建方法的流程图;图7是根据本发明实施例的虚拟私有网络系统的分层L3VPN架构示意图;图8是根据图7所示实施例的分层的MPLS VPN静态配置示意图;图9是根据图8所示实施例的VPN报文在MPLS VPN网络中转发的关系示意图。
具体实施例方式为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。图5是本发明实施例的虚拟私有网络系统的分层L3VPN架构示意图。该典型的分层L3VPN网络的组网图,包括中继边缘设备TPE,用于将虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络;骨干虚拟私有网络,包括一个或多个中继边缘设备TPE;接入虚拟私有网络,通过边缘设备APE与其中一个中继边缘设备TPE建立通信,以获取路由信息。其中,中继边缘设备TPE用于维护从骨干虚拟私有网络和/或接入虚拟私有网络中的边缘设备PE上接收到的VPN路由,并在重新分配内层标签之后转发VPN路由至骨干虚拟私有网络和/或接入虚拟私有网络中的边缘设备APE。优选地,中继边缘设备TPE涉及到的维护工作包括聚合和过滤该VPN路由的处理。上述实施例提供了一种端到端L3VPN网络结构,通过引入中继边缘设备 TPE (Trunk ΡΕ)的新角色,将虚拟私有网络划分为骨干L3VPN和接入L3VPN,通过中继PE的拼接,实现端到端的L3VPN,并为用户提供端到端的L3VPN业务。这种网络架构很大程度上解决大规模部署MPLS VPN遇到的扩展性问题。运营商可以根据业务需要灵活的建设、部署 L3VPN业务,骨干L3VPN和接入L3VPN可以分别演进,同时保护现有设备投资。即实现通过简化L3VPN的部署方式提高网络的可可扩展性和可管理性。具体的如图5所示,该实施提供的端到端L3VPN网络架构,包括骨干L3VPN和接入 L3VPN网络,他们是由P设备,PE设备以及所接入用户设备(CE)和站点(Site)组成的,其中,上述PE设备可以APE和中继PE设备(TPE),TPE设备作为骨干L3VPN的边缘路由器接入所属的接入L3VPN网络。TPE设备是连接骨干L3VPN和接入L3VPN的边界,TPE设备在接入L3VPN—侧,维护从APE收到的路由及其内层标签;然后TPE设备要将从接入侧学习到的 VPN路由重新分配内层标签并发布到骨干L3VPN的其它PE/TPE设备。TPE设备在骨干侧,维护从骨干PE/TPE设备学习到的VPN路由,并通告VPN聚合路由或者默认路由给接入L3VPN 的PE设备,并分配标签。其中,该实施例中的上边缘节点(APE)功能等同于2547bis架构中的PE节点,为和TPE显著区分,命名为APE,主要侧重于用户接入功能,以及处理本地接入的VPN站点的路由。本申请中的VPN路由信息包括内层标签信息和下一跳信息。上述实施例中的虚拟私有网络系统在具体实施过程中,其上的虚拟私有网络可以包括边缘网络设备PE,核心网络设备P和用户边缘设备CE,还可以包括一个或多个中继边缘设备TPE,连接于边缘网络设备PE和核心网络设备P之间,其中任意一个中继边缘设备 TPE用于维护从边缘设备PE和/或其它中继边缘设备TPE上接收到的VPN路由,并在重新分配内层标签之后转发VPN路由至边缘设备PE和/或其它中继边缘设备TPE。优选地,上述边缘网络设备PE与其中一个中继边缘设备TPE建立通信,以获取路由fn息。根据上述实施例中部署的端到端L3VPN网络架构,接入L3VPN和骨干L3VPN的可以采用不同部署方式。可以分别采用各种IGP协议,可以分别采用现有的(以及将来的) 各种外层隧道技术;内层标签分配可以采用BGP协议也可以采用静态配置等其他方式。本发明上述实施例中,在骨干虚拟私有网络中部署IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备TPE。优选地,该实施例中,过边缘设备APE与中继边缘设备TPE建立 IBGP或EBGP通信,以将获取到的聚合路由标签信息作为内层标签封装在外层隧道中进行转发。本发明上述实施例中,骨干虚拟私有网络中部署静态虚拟私有网络协议,以在任意两个中继边缘设备TPE之间建立静态网络通信。优选地,上述实施例中,通过边缘设备 APE与中继边缘设备TPE建立静态虚拟私有网络协议,来获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。本发明上述实施例中,骨干虚拟私有网络中部署IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备TPE。优选地,上述实施例中,过边缘设备APE与中继边缘设备TPE建立静态虚拟私有网络协议,以获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。本发明上述实施例中,在骨干虚拟私有网络中部署静态虚拟私有网络协议,以在任意两个中继边缘设备TPE之间建立静态网络通信。优选地,上述实施例中,通过边缘设备 APE与中继边缘设备TPE建立IBGP或EBGP通信,来获取在边缘设备APE中配置完成的内层标签,并将配置好的内层标签封装在外层隧道中进行转发。具体的,在上述分层模型的MPLS L3VPN网络的实施过程中,通过增加一种类型的网络节点中继边缘设备节点(TPE)来达到虚拟私有网络分层的目的。通过在MPLS网络中部署中继节点(TPE)使得虚拟私有网络被划分为MPLS骨干区域和MPLS接入区域,骨干网由所有TPE和互联TPE的P设备组成。上述各个实施例中的中继节点(TPE)用来从逻辑上划分虚拟私有网络,将虚拟私有网络划分为骨干区域和接入区域。TPE节点主要侧重于转发功能,需要更多的报文处理和转发能力,以及更多的路由处理能力。作为骨干区域的节点,TPE需要处理整个网络的 L3VPN路由。上述各个实施例中的边缘节点(APE)功能等同于2547bis架构中的PE节点,为和
1TPE显著区分,命名为APE,主要侧重于用户接入功能,以及处理本地接入的VPN站点的路相应的L3VPN网络被划分为骨干L3VPN和接入L3VPN。TPE节点和P节点组成骨干L3VPN(T-L3VPN),TPE节点和互联APE组成接入L3VPN(A-L3VPN)。如果网络规模非常大, 需要划分更多的层次时,可以再增加一个中间层次MPE,相对骨干侧ΤΡΕ,ΜΡΕ角色是APE ;相对APE,MPE的角色是TPE。综上可知,本发明的核心在于通过扩展中继节点(TPE)的功能,对VPN路由进行汇聚、过滤等处理,仅仅通过边缘节点部署业务所必须的路由,从而减少对边缘节点的处理能力的要求。在网络升级改造时可以将从骨干L3VPN替换下来的设备部署到接入L3VPN的边缘节点,从而节省投资。在实际应用及部署过程中,例如可以采用2M7bis定义的L3VPN功能,该功能主要可以分为信令面和转发面。信令面主要是标签分发和LSP建立,使用BGP协议作为信令协议分发内层标签,外层隧道可以使用LDP隧道或者TE隧道,也可以使用静态隧道。转发层面,主要是根据分配好的标签路径转发业务报文。本发明主要通过对信令面的扩展和简化,提高L3VPN网络的可扩展性和可管理性,简化网络部署和管理的复杂度。转发面保持现有机制不变,对中继节点转发面要求能对通过TPE节点转发的VPN流量进行两层标签弹出,并查找vrf路由表,然后再次封装两层标签转发的能力。在控制面,通过在TPE节点对路由进行聚合,由骨干L3VPN导入并充新发布到接入 L3VPN的路由过滤了无关路由,减少APE节点的负担。从接入L3VPN学习到的路由不做过滤,全部发布到骨干L3VPN。TPE节点对L3VPN路由进行聚合、控制的方法,可以使用BGP协议提供的相应机制,也可以使用配置静态L3VPN路由的方式。保证仅有APE必须的路由才通告给APE。根据L3VPN路由聚合粒度的不同,从路由完全没有聚合(等价于2547bis)到最大程度聚合(仅通告每VRF—条默认路由),根据运营商的业务管理和控制粒度,可以对路由聚合的粒度根据需要控制。可以是每VRF每标签或者是每VRF每PEER每标签等。在转发面,对TPE节点需要的是,能够进行二次查找,根据收到的报文携带的标签确定VRF,然后再查一次VRF的路由表然后进行转发。对外层隧道没有特殊要求,现有的各种隧道机制均可使用。上述各种实施方式中,骨干虚拟私有网络和接入虚拟私有网络中可以部署不同的场景,或者混合使用,以适应各种应用场景。具体的,本发明上述实施例中,根据骨干L3VPN不同的TPE之间、接入L3VPN的TPE 和APE之间使用的标签分配方式不同可以实现如下四种实施方式实施例一统一使用BGP作为信令协议的场景,TPE节点之间运行IBGP协议,TPE和APE之间可以运行IBGP或者EBGP,取决于TPE和APE的AS是否属于同一个AS。具体的实施方式如下第一步在骨干L3VPN中部署IBGP协议,和2547bis方式完全相同。所有TPE对等,TPE之间建立邻居关系,相互通告L3VPN路由。骨干L3VPN部署IGP协议,可以是ospf、 isis 等。
第二步在接入L3VPN,APE和TPE建立IBGP或^GP邻居,APE向TPE通告所有本地L3VPN路由,TPE向APE通告聚合的路由。本例中采用IBGP方式,TPE作为本接入L3VPN 中所有APE的汇聚路由器,确保为所有从APE学习到的L3VPN路由分别重新分配一个标签, 将路由的下一跳修改为TPE自己,并将所有修改后的标签路由向其他TPE转发。APE之间不需要建立邻居关系。TPE向APE通告聚合路由,可以通告所有的VRF放入聚合路由,也可以通告指定VRF的聚合路由。各VRF通告的聚合路由粒度也可以不相同。在接入L3VPN部署 IGP协议,可以是ospf、isis等。上述步骤中,不同于传统路由通告中基本的RR角色,在本发明中TPE在向其他TPE 反射路由的同时必须为路由重新分配一个标签并修改路由下一跳为TPE自己。这样可以规避单纯的RR处理在本网络模型中可能带来的TE隧道跨域穿越问题和下行流量不经过MPE 时流量转发不通等问题。TPE设备在骨干侧和接入侧部署不同的IGP协议或者不同IGP协议实例。如果TPE 不支持多实例,也可以通过不同的area (ospf协议)或者level (isis)隔离,这种情况下, 网络扩展性受限于IGP的扩展性。第三步建立外层隧道,使骨干网TPE之间建立外层隧道,接入网TPE与APE之间建立外层隧道。每一段都可以配置静态隧道或者MPLS-TE隧道,在骨干L3VPN和接入L3VPN 区域,外层隧道是分段建立的,TPE在转发时会终结外层隧道并根据内层标签查找不同的 vrf路由表进行转发,所以隧道部署也可以简化,不需要部署隧道跨area域或者AS域。完成以上步骤后,构建过程中,APE以从TPE学习到的聚合路由标签为内层标签, 封装在隧道中进行转发。到TPE后,根据标签值就可以定位到对应的VRF中。然后根据数据报文的目的地进行查找路由表转发。根据目的地不同,可能会封装两层标签进行转发。实施例二统一使用静态标签分配,整个L3VPN模型退化为静态L3VPN,完全不需要部署BGP 协议。具体的实施方式如下第一步在骨干网TPE节点之间建立静态L3VPN。第二步在接入网TPE节点和APE节点之间建立静态L3VPN。在APE节点上配置去往远端TPE、APE的路由条目,包括使用的内层标签。第三步建立外层隧道,使骨干网和接入网部署外层隧道。完成以上步骤后,构建过程中,以配置的出标签为内层标签,封装在隧道中进行转发。到对端后,根据标签值就可以定位到对应的VRF中。然后根据数据报文的目的地进行查找路由表转发。实施例三骨干L3VPN使用BGP协议作为信令协议分配标签,接入L3VPN使用静态标签分配。 具体的实施方式如下骨干网L3VPN部署方式同实施例一,接入L3VPN部署方式同时实例二。在TPE节点上,需要配置静态路由导入BGP,把APE的路由通告给远端TPE邻居。实施例四骨干L3VPN使用静态标签分配,接入L3VPN使用BGP协议作为信令协议分配标签。 具体的实施方式如下
骨干网L3VPN部署方式同实施例二,接入L3VPN部署方式同实施例一。在TPE节点上,TPE节点骨干网侧使用静态配置保证L3VPN路由可达,TPE节点接入侧配置BGP路由协议通告默认路由给APE。这种场景下,各个接入L3VPN成为单独的BGP路由域,相互之间没有交互。本发明上述实施例中的网络系统还可以包括中间层边缘设备MPE,位于中继边缘设备TPE和边缘设备APE之间。具体实施过程中,该实施例应用在如果网络规模非常大, 需要划分更多的层次,可以再增加一个中间层次MPE,相对骨干侧ΤΡΕ,ΜΡΕ角色是APE;相对 APE, MPE的角色是TPE。实现了网络分层结构的进一步扩展,图6是根据本发明实施例的虚拟私有网络系统的构建方法的流程图。如图6所示, 该方法包括如下步骤步骤S102,通过中继边缘设备TPE将虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络。步骤S104,将骨干虚拟私有网络中的一个或多个中继边缘设备TPE建立通信关系,以维护从骨干虚拟私有网络和/或接入虚拟私有网络中的边缘设备PE上接收到的VPN路由。步骤S106,接入虚拟私有网络通过边缘设备APE与其中一个中继边缘设备TPE建立通信,以获取路由信息。优选地,在获取路由信息之后,接入虚拟私有网络将路由信息封装在外层隧道中进行转发,此处的路由信息可以是VPN路由。本发明上述实施例提供了一种端到端L3VPN的实现方式。通过对引入TPE角色, 将虚拟私有网络划分为骨干L3VPN和接入L3VPN,并为用户提供端到端的L3VPN业务,解决目前的MPLS VPN所遇到的扩展性问题。运营商可以根据业务需要灵活的建设、部署L3VPN 业务,骨干L3VPN和接入L3VPN可以分别演进,同时保护现有设备投资。上述实施例中,中继边缘设备TPE还用于在重新分配内层标签之后转发VPN路由至所述骨干虚拟私有网络和接入虚拟私有网络中的边缘设备APE。结合图5所示的网络架构图,本方法实施例中,TPE设备是连接骨干L3VPN和接入 L3VPN的边界,TPE设备在接入L3VPN —侧,维护从PE收到的路由及其内层标签;然后TPE 设备要将从接入侧学习到的VPN路由重新分配内层标签并发布到骨干L3VPN的其它PE/TPE 设备。TPE设备在骨干侧,维护从骨干PE/TPE设备学习到的VPN路由,并通告VPN聚合路由或者默认路由给接入L3VPN的PE设备,并分配标签。根据本发明部署的端到端L3VN中,接入L3VPN和骨干L3VPN的可以采用不同部署方式。可以分别采用各种IGP协议,可以分别采用现有的(以及将来的)各种外层隧道技术;内层标签分配可以采用BGP协议也可以采用静态配置等其他方式。优选地,上述实施例中,骨干虚拟私有网络中的中继边缘设备TPE通过建立IBGP 或EBGP通信来分发内层标签;或者骨干虚拟私有网络中的中继边缘设备TPE通过配置静态路由来配置并分发内层标签。优选地,上述实施例中,接入虚拟私有网络通过边缘设备APE与中继边缘设备TPE 建立IBGP或EBGP通信来获取内层标签;或者,通过边缘设备APE与中继边缘设备TPE建立静态虚拟私有网络协议,来获取在边缘设备APE中配置完成的内层标签。结合本发明图5所示实施例的四种网络部署实施方式,下面针对本发明的四种实施场景的方法实施流程做进一步的阐述。本发明可以包括如下几种方法实施例应用在实施例一场景中的实施例五,该方法流程如下具体的,本实施例采用如图7所示的网络结构,硬件部分由七台路由器组成,其中 2台作为私有网络客户端CE,二台作为接入边缘路由器APE,两台作为TPE路由器,一台作为P路由器。组网如图7所示。这里仅仅给出一个实例,组建一个最基本的基于BGP协议的分层L3VPN网络,在TPE和APE设备使用本发明所述的方式实现分层L3VPN网络,然后两端CE互发VPN数据报文,流量能够互通。软件部分的处理步骤如下第1步在骨干L3VPN,在TPEl节点和TPE2节点之间包括P节点开启MPLS,建立 MPLS标签交换通道LSP。保证L3VPN的外层隧道正常。IGP使用OSPF协议,TPE节点上使用ospf进程1处理骨干L3VPN路由。也可以使用ISIS协议。第2步在接入L3VPN,在TPE节点和APE节点上,分别为CE创建VRF。在APE节点和TPE节点之间开启MPLS,建立MPLS标签交换路径,保证L3VPN外层隧道正常。IGP使用 OSPF协议,在TPE节点上使用ospf进程2处理接入L3VPN路由。也可以使用ISIS协议。第3步在CE1,CE2上配置到达对端的路由,路由的下一跳指向各自相连的APE设备,APEl和APE2分别配置到CEl和CE2的路由。如图5所示的CEl上的ip route XXX2 XXXX2 APE1,APE1上ip route XXX2 XXXX2CE1。注APE和CE之间可以运行各种路由协议或者配置静态路由,本例使用静态路由。第4步在APEl和TPEl上分别配置VRF的。在APEl配置MP-BGP配置方式同 2547bis MPLS VPN配置。情况如图7所示在APEl上配置TPEl作为自己的IBGP邻居,并支持VPNv4地址族。在TPEl上配置MP-BGP,配置APEl作为自己的IBGP邻居,并支持VPNv4 地址族,并配置邻居为自己的APE (neighbor neighbor-id ape),配置向APE通告指定vrf 白勺I犬认各由(neighbor neighbor-id default-originate vrf vrf-name)。APE2 禾口 TPE2 做相同配置。第5步在TPEl和TPE2上配置IBGP邻居,并激活VPNv4路由。TPEl将为所有从 APEl学习到的VPN路由条目分别重新分配一个标签并修改下一跳为TPEl自己,并将修改后的标签路由通告到其他TPE,从而对其他TPE屏蔽了 APE的存在。TPEl从其他TPE学习到的VPN路由条目,根据配置的过滤策略向APE通告。本例中TPEl只向APEl通告一条vrf 内的默认路由。其他TPE也做相同配置。第6步配置完成后。CEl和CE2互相发包,流量可以互通。通过本发明所描述的方式建立的L3VPN网络能够正常使用。应用在实施例二场景中的实施例六,该方法流程如下 硬件组成及网络拓扑同与上述实施例五相同。这里仅仅给出一个实例,组建一个最基本分层静态L3VPN网络。在TPE和APE设备使用本发明所述的方式实现分层L3VPN网络,然后两端CE互发VPN数据报文,流量能够互通。软件部分的处理步骤如下第1步在骨干L3VPN,在TPEl节点和TPE2节点之间包括P节点开启MPLS,建立 MPLS标签交换通道LSP。保证骨干L3VPN的外层隧道正常。IGP协议同实施例五。第2步在接入L3VPN,在TPE节点和APE节点上,分别为CE创建VRF。在APE节点和TPE节点之间开启MPLS,建立MPLS标签交换路径,保证L3VPN外层隧道正常。IGP协议同实施例五。第3步在CE1,CE2上分配到达对端的路由,路由的下一跳指向各自相连的APE节点。如图5和图8所示的CEl上的ip route XXX2 XXXX2 APEl部分配置。CE2配置相同。第4步在APEl和TPEl上分别配置VRF的入标签值。配置情况如图5所示的APEl 上的 VRFl 中 h-label:Ll 配置,在 TPEl 上的 VRFl 中 h_label:L2 配置。APE2 和 TPE2 做同样配置。第5步在APEl和TPEl上分别配置去往对端使用的出标签值,需要和对端的入标签值相对应。配置情况如图5和图8所示中APEl上的VRFl中next-hop TPEl out-label L2 配置,在 TPEl 上的 VRFl 中 next-hop:TPEl out-label Ll 配置。APE2 和 TPE2 做同样配置。第6步在TPEl和TPE2上的VRF中分配配置去往对端VPN的静态路由。配置情况如图 5 和图 8 所示中 TPEl 上的 VRFl 中 ip route vrf VRFl XXX2 XXXX2 TPE2 global 部分的配置,TPEl 上的 VRFl 中 Ip route vrf VRFl XXX2XXXX2 TPEl global 部分的配置。第7步配置完成后,如图9所示,本发明实施例CEl和CE2互相发包,流量可以互通,具体的VPN报文在MPLS VPN网络中转发的具体方式如下CEl向CE2发送数据报文在PEl上的处理1、根据报文入接口的vrf属性获得vpn的ID号;2、使用vpnID号和目的IP地址查找vrf表,得到出接口、内层出标签(即VPN标签)和外层出标签(即P分配给PEl的标签);3、将内外两层标签封装到报文中;4、将报文从出接口中转发出去。假设此时查到的内层标签和外层标签分别是17,23,那么封装后报文结构如下
权利要求
1.一种虚拟私有网络系统,其特征在于,包括中继边缘设备TPE,用于将所述虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络;所述骨干虚拟私有网络,包括一个或多个所述中继边缘设备TPE ;所述接入虚拟私有网络,通过边缘设备APE与其中一个所述中继边缘设备TPE建立通信,以获取路由信息;其中,所述中继边缘设备TPE用于维护从所述骨干虚拟私有网络和/或所述接入虚拟私有网络中的边缘设备PE上接收到的VPN路由,并在重新分配内层标签之后转发所述VPN 路由至所述骨干虚拟私有网络和/或所述接入虚拟私有网络中的边缘设备APE。
2.根据权利要求1所述的系统,其特征在于,在所述骨干虚拟私有网络中部署IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备 TPE。
3.根据权利要求2所述的系统,其特征在于,通过所述边缘设备APE与所述中继边缘设备TPE建立IBGP或EBGP通信,以将获取到的所述聚合路由标签信息作为内层标签封装在外层隧道中进行转发。
4.根据权利要求1所述的系统,其特征在于,在所述骨干虚拟私有网络中部署静态虚拟私有网络协议,以在任意两个中继边缘设备 TPE之间建立静态网络通信。
5.根据权利要求4所述的系统,其特征在于,通过所述边缘设备APE与所述中继边缘设备TPE建立静态虚拟私有网络协议,来获取在所述边缘设备APE中配置完成的内层标签,并将配置好的所述内层标签封装在外层隧道中进行转发。
6.根据权利要求1所述的系统,其特征在于,在所述骨干虚拟私有网络中部署IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备 TPE。
7.根据权利要求6所述的系统,其特征在于,通过所述边缘设备APE与所述中继边缘设备TPE建立静态虚拟私有网络协议,以获取在所述边缘设备APE中配置完成的内层标签,并将配置好的所述内层标签封装在外层隧道中进行转发。
8.根据权利要求1所述的系统,其特征在于,包括在所述骨干虚拟私有网络中部署静态虚拟私有网络协议,以在任意两个中继边缘设备 TPE之间建立静态网络通信。
9.根据权利要求8所述的系统,其特征在于,包括通过所述边缘设备APE与所述中继边缘设备TPE建立IBGP或EBGP通信,来获取在所述边缘设备APE中配置完成的内层标签,并将配置好的所述内层标签封装在外层隧道中进行转发。
10.根据权利要求1-9中任意一项所述的系统,其特征在于,所述系统还包括中间层边缘设备MPE,位于所述中继边缘设备TPE和所述边缘设备APE之间。
11.一种虚拟私有网络系统的构建方法,其特征在于,包括通过中继边缘设备TPE将所述虚拟私有网络划分为骨干虚拟私有网络和接入虚拟私有网络;将所述骨干虚拟私有网络中的一个或多个所述中继边缘设备TPE建立通信关系,以维护从所述骨干虚拟私有网络和/或所述接入虚拟私有网络中的边缘设备PE上接收到的VPN 路由;所述接入虚拟私有网络通过边缘设备APE与其中一个所述中继边缘设备TPE建立通信,以获取路由信息。
12.根据权利要求11所述的方法,其特征在于,所述中继边缘设备TPE还用于在重新分配内层标签之后转发所述VPN路由至所述骨干虚拟私有网络和/或所述接入虚拟私有网络中的边缘设备APE。
13.根据权利要求12所述的方法,其特征在于,所述骨干虚拟私有网络中的中继边缘设备TPE通过建立IBGP或EBGP通信来分发内层标签;或者所述骨干虚拟私有网络中的中继边缘设备TPE通过配置静态路由来配置并分发内层标签。
14.根据权利要求12所述的方法,其特征在于,所述接入虚拟私有网络通过所述边缘设备APE与所述中继边缘设备TPE建立IBGP或EBGP通信来获取内层标签;或者,通过所述边缘设备APE与所述中继边缘设备TPE建立静态虚拟私有网络协议,来获取在所述边缘设备APE中配置完成的内层标签。
15.一种虚拟私有网络系统,其特征在于,包括虚拟私有网络,包括骨干虚拟私有网络;一个或多个中继边缘设备TPE,设置于所述骨干私有网络之中,所述中继边缘设备TPE 彼此之间建立通信关系。
16.根据权利要求15所述的系统,其特征在于,所述虚拟私有网络还包括接入虚拟私有网络,所述中继边缘设备TPE将所述接入虚拟私有网络中的vpn路由条目转发至所述骨干虚拟私有网络的任意一个或多个PE或TPE。
17.一种虚拟私有网络系统,其特征在于,包括虚拟私有网络,包括接入虚拟私有网络;一个或多个中继边缘设备TPE,设置于所述接入私有网络之中,边缘设备APE与其中一个所述中继边缘设备TPE建立通信,用于将所有的VPN路由条目转发给所述边缘设备APE。
18.根据权利要求17所述的系统,其特征在于,所述虚拟私有网络还包括骨干虚拟私有网络,所述中继边缘设备TPE将所述接入虚拟私有网络中的vpn路由条目再次转发至所述骨干虚拟私有网络的任意一个或多个PE或TPE。
19.一种虚拟私有网络,包括边缘网络设备PE,核心网络设备P和用户边缘设备CE, 其特征在于,还包括一个或多个中继边缘设备TPE,连接于所述边缘网络设备PE和所述核心网络设备P之间,其中任意一个中继边缘设备TPE用于维护从所述边缘设备PE和/或其它中继边缘设备 TPE上接收到的VPN路由,并在重新分配内层标签之后转发所述VPN路由至所述边缘设备 PE和/或其它中继边缘设备TPE。
20.根据权利要求19所述的虚拟私有网络,其特征在于,所述边缘网络设备PE与其中一个所述中继边缘设备TPE建立通信,以获取路由信息。
21.根据权利要求20所述的虚拟私有网络,其特征在于,所述中继边缘设备TPE之间建立IBGP协议,使用BGP协议作为信令协议将任意一个中继边缘设备TPE过滤后的聚合路由标签信息分发至其他与其相互对等的中继边缘设备TPE。
22.根据权利要求20所述的虚拟私有网络,其特征在于,在所述边缘网络设备PE与所述中继边缘设备TPE之间建立IBGP或EBGP通信,以将获取到的所述聚合路由标签信息作为内层标签封装在外层隧道中进行转发。
23.根据权利要求20所述的虚拟私有网络,其特征在于,在任意两个中继边缘设备TPE 之间建立静态网络通信。
24.根据权利要求20所述的虚拟私有网络,其特征在于,通过在所述边缘网络设备PE 与所述中继边缘设备TPE之间建立静态虚拟私有网络协议,来获取在所述边缘设备APE中配置完成的内层标签,并将配置好的所述内层标签封装在外层隧道中进行转发。
全文摘要
本发明公开了一种虚拟私有网络系统的构建方法及虚拟私有网络系统,其中,该虚拟私有网络系统包括中继边缘设备TPE,用于将网络划分为骨干虚拟私有网络和接入虚拟私有网络;骨干虚拟私有网络,包括一个或多个中继边缘设备TPE;接入虚拟私有网络,通过边缘设备APE与其中一个中继边缘设备TPE建立通信,以获取路由信息,上述实施例通过引入中继(Trunk PE)的新角色,将虚拟私有网络划分为骨干L3VPN和接入L3VPN,即由于采用了中继PE的拼接而实现了端到端的L3VPN。通过本发明,能够提高大规模部署MPLSVPN扩展性。
文档编号H04L12/56GK102394804SQ20111034175
公开日2012年3月28日 申请日期2011年11月2日 优先权日2011年11月2日
发明者张亚旭 申请人:中兴通讯股份有限公司