专利名称:用于域间虚拟专用网络对接的方法和设备的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种用于域间虚拟专用网络对接的方法和设备。
背景技术:
随着数据中心的普遍应用,企业不需要去购买设备构建自己的信息技术(Information Technology, IT)中心。企业可以在数据中心中申请一组IT资源,为本企业提供云计算的服务,IT资源由数据中心管理。数据中心内的硬件资源以虚拟化设备的形式为各个企业提供云计算的服务。例如某企业向数据中心申请N台服务器,数据中心不会物理上划分N台服务器给该企业使用,而是根据该企业对服务器的要求(如CPU、内存、硬盘大小)等从硬件资源中虚拟出N台服务器给该企业使用。这些虚拟的服务器采用VPN(VirtualPrivate Network,虚拟专用网络)技术进行隔离,构成虚拟数据中心(Virtual DataCentre, VDC)。向数据中心申请IT资源的企业用户期望在虚拟数据中心内加入自己的虚拟专用网络VPN,安全访问虚拟数据中心VDC内的资源。但是,承载网运营商需要对VDC接入VPN进行接纳控制。为避免VDC误接入VPN,例如,A企业的VDC接入到B企业的VPN中,这样就存在安全隐患。另一方面,VPN路由信息在未授权的情况下不应当散播到未知站点中。跨域VPN技术中的Option A、Option D方式在实际应用中经常使用。在Option A跨域(即VPN Routing and Forwarding Tables to VPN Routing and Forwarding Tables, VPN 实例到VPN实例)方式下,自治系统边界路由器(Autonomous System Border Router,ASBR)为每个VPN实例建立各自的链路连接,在该链路连接上进行本VPN的路由交互和数据转发。MPLS VPN (Multiple protocol Label Switching Virtual Private Network,多协议标签交换虚拟专用网络)与数据中心(Data Centre, DC)对接的运营商侧边缘设备(ProviderEdge, PE)为 MPLS VPN 域的 ASBR,而 DC 域的 ASBR 为数据中心网关(Data Centre Gateway,DCG)。现有技术中,MPLSVPN域与DC域通过管理层协商,手工配置或通过各自网管进行配置的方式来实现VDC到VPN的接入。由于数据中心域和MPLS VPN域属于不同的两个管理实体,针对每个VDC接入VPN的信息交互效率比较低,无法满足应用要求。
发明内容
本发明实施例所要解决的技术问题在于,提供一种用于域间虚拟专用网络对接的方法和设备。可以在PE-DCG间采用Option A或Option D方式互连的前提下,通过带内信令完成VPN对接,显著提高VDC接入VPN的接入效率。根据本发明的第一方面,提供了一种用于域间虚拟专用网络对接的方法,所述方法包括:运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识、附属链路AC的DCG端连接标识;
所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;所述运营商侧边缘设备PE根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。根据本发明的第二方面,提供了一种用于域间虚拟专用网络对接的方法,所述方法包括:运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识;所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;所述运营商侧边缘设备PE为所配置的VPN实例分配本地逻辑端口和物理端口,并将该逻辑端口与所述VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。根据本发明的第三方面,提供了一种用于域间虚拟专用网络对接的运营商侧边缘设备,所述运营商侧边缘设备包括:第一接收模块,用于接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识、附属链路AC的DCG端连接标识;第一获取模块,用于根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;第一确定模块,用于根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置的VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。根据本发明的第四方面,提供了一种用于域间虚拟专用网络对接的运营商侧边缘设备,所述运营商侧边缘设备包括:第二接收模块,用于接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识;第二获取模块,用于根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;第二确定模块,用于为所配置的VPN实例分配本地逻辑端口和物理端口,并将该逻辑端口与所述VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。根据本发明的第五方面,提供了一种用于域间虚拟专用网络对接的方法,所述方法包括:运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网关VPN的请求消息,所述请求消息包括第一 VPN用户标识、附属链路AC的DCG端连接标识;所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;所述运营商侧边缘设备PE根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定;所述运营商侧边缘设备PE向DCG发送PE侧VPN配置消息,所述配置消息包括所述VPN实例的RD/RT列表,以便所述DCG根据所述配置消息完成所述VDC与DCG端逻辑接口的绑定。根据本发明的第六方面,提供了一种用于域间虚拟专用网络对接的运营商侧边缘设备,所述运营商侧边缘设备包括:第三接收模块,用于接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网关VPN的请求消息,所述请求消息包括第一 VPN用户标识、附属链路AC的DCG端连接标识;第三获取模块,用于根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;第三确定模块,根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定;第三发送模块,用于向DCG发送PE侧VPN配置消息,所述配置消息包括所述VPN实例的RD/RT列表,以便所述DCG根据所述配置消息完成所述VDC与DCG端逻辑接口的绑定。实施本发明实施例,具有如下有益效果:可以在PE-DCG间采用Option A或OptionD方式互连的场景下,通过带内信令完成VPN对接,显著提高VDC接入VPN的接入效率。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1图示了根据本发明实施方式的用于域间虚拟专用网络对接的方法的第一流程不意图。图2图示了根据本发明实施方式的用于域间虚拟专用网络对接的方法的第二流程不意图。图3图示了根据本发明实施方式的用于域间虚拟专用网络对接的运营商侧边缘设备的第一结构示意图。图4图示了根据本发明实施方式的用于域间虚拟专用网络对接的运营商侧边缘设备的第二结构示意图。图5图示了根据本发明实施方式用于域间虚拟专用网络对接的方法的第三流程示意图。图6图示了根据本发明实施方式的用于域间虚拟专用网络对接的运营商侧边缘设备的第三结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。参见图1,图示了根据本发明实施方式的用于域间虚拟专用网络对接的方法的第一流程示意图,所述方法具体包括: S100,运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识、附属链路AC的DCG端连接标识;S102,所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例;S104,所述运营商侧边缘设备PE根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。本发明实施例中,运营商侧边缘设备PE接收数据中心网关DCG发送的该DCG创建的虚拟数据中心VDC接入第一 VPN的请求消息,该请求消息包括,第一 VPN用户标识,即VDC要接入的VPN的用户标识(User ID),附属链路(Attachment Circuit, AC)的DCG端连接标识,该连接标识包括DCG本端的物理端口号(Port ID)和逻辑端口号(Vlan ID)。本发明实施方式中,请求消息的报文格式可以如表I所示。表I
权利要求
1.一种用于域间虚拟专用网络对接的方法,其特征在于,所述方法包括: 运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识、附属链路AC的DCG端连接标识; 所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例; 所述运营商侧边缘设备PE根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定,以便所述虚拟数据中心VDC 接入 VPN。
2.按权利要求1所述的方法,其特征在于,所述第一链路连接包括边界网关协议BGP链路、承载802.1X的协议链路或标签分发协议LDP链路。
3.按权利要求2所述的方法,其特征在于,在所述运营商侧边缘设备PE接收VDC接入VPN的请求消息之前,所述方法还包括: 在DCG上根据用户请求创建虚拟数据中心VDC,分配与所述VDC对应的附属链路AC,所述附属链路包括物理端口和逻辑端口, 将所述VDC与所述逻辑端口绑定,根据用户请求接入VPN时给定的VPN站点的IP地址段为所述VDC的附属链路AC分配IP地址,配置PE-DCG间的路由学习方式。
4.按权利要求1至3中任意一项所述的方法,其特征在于,所述预先设置的VPN标识和VPN配置对应表存储于认证服务器或VPN管理器,所述运营商侧边缘设备PE通过认证过程获取第一 VPN用户标识对应的路由标识RD/路由目标RT列表。
5.按权利要求1至4中任意一项所述的方法,其特征在于,所述运营商侧边缘设备PE和数据中心网关DCG均保存有双端物理端口和逻辑端口的连接对应关系表。
6.按权利要求1至5中任意一项所述的方法,其特征在于,在所述运营商侧边缘设备PE接收VDC接入VPN的请求消息之前,所述方法还包括设置附属链路AC的PE侧处于阻塞block状态。
7.一种用于域间虚拟专用网络对接的方法,其特征在于,所述方法包括: 运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识; 所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例; 所述运营商侧边缘设备PE为所配置的VPN实例分配本地逻辑端口和物理端口,并将该逻辑端口与所述VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。
8.按权利要求7所述的方法,其特征在于,所述方法还包括: 所述运营商侧边缘设备PE向所述数据中心网关DCG发送包括所述本地逻辑端口和物理端口信息的附属链路AC分配成功消息,以便所述数据中心网关DCG根据所述AC分配成功消息确定本端的物理端口 和逻辑端口,并将所述VDC与确定出的逻辑端口绑定,以实现所述VDC到VPN的接入。
9.按权利要求7或8所述的方法,其特征在于,所述第一链路连接包括边界网关协议BGP链路、承载802.1X的协议链路或标签分发协议LDP链路。
10.按权利要求7至9任意一项所述的方法,其特征在于,在所述运营商侧边缘设备PE接收VDC接入VPN的请求消息之前,所述方法还包括: 根据用户请求在DCG上创建VDC, 根据用户请求加入VPN时给定的VPN站点的IP地址段为所述VDC的附属链路AC分配IP地址,配置PE-DCG间的路由学习方式。
11.按权利要求7至10任意一项所述的方法,其特征在于,所述预先设置的VPN标识和VPN配置对应表存储于认证服务器或VPN管理器,所述运营商侧边缘设备PE通过认证过程获取第一 VPN用户标识对应的路由标识RD/路由目标RT列表。
12.按权利要求7至10任意一项所述的方法,其特征在于,所述运营商侧边缘设备PE和数据中心网关DCG均保存有双端物理端口和逻辑端口的连接对应关系表。
13.按权利要求7至10任意一项所述的方法,其特征在于,在所述运营商侧边缘设备PE接收VDC接入VPN的请求消息之前,所述方法还包括设置附属链路AC的PE侧处于阻塞block状态。
14.一种用于域间虚拟专用网络对接的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备包括: 第一接收模块,用于接收数据中心网关DCG通过第一链路连接发送的该DCG创建的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识、附属链路AC的DCG端连接标识; 第一获取模块,用于根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例; 第一确定模块,用于根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置的VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。
15.按权利要求14所述的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备还包括: 状态设置模块,用于设置附属链路AC的PE侧处于阻塞block状态。
16.一种用于域间虚拟专用网络对接的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备包括: 第二接收模块,用于接收数据中心网关DCG通过第一链路连接发送的该DCG创建的虚拟数据中心VDC接入第一虚拟专用网络VPN的请求消息,所述请求消息包括:第一 VPN用户标识; 第二获取模块,用于根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例; 第二确定模块,用于为所配置的VPN实例分配本地逻辑端口和物理端口,并将该逻辑端口与所述VPN实例绑定,以便所述虚拟数据中心VDC接入VPN。
17.按权利要求16所述的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备还包括:第二发送模块,用于向所述数据中心网关DCG发送包括所述本地逻辑端口和物理端口信息的附属链路AC分配成功消息。
18.按权利要求16或17所述的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备还包括: 状态设置模块,用于设置附属链路AC的PE侧处于阻塞block状态。
19.一种用于域间虚拟专用网络对接的方法,其特征在于,所述方法包括: 运营商侧边缘设备PE接收数据中心网关DCG通过第一链路连接发送的该DCG所创建的虚拟数据中心VDC接入第一虚拟专用网关VPN的请求消息,所述请求消息包括第一 VPN用户标识、附属链路AC的DCG端连接标识; 所述运营商侧边缘设备PE根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例; 所述运营商侧边缘设备PE根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定; 所述运营商侧边缘设备PE向DCG发送PE侧VPN配置消息,所述配置消息包括所述VPN实例的RD/RT列表,以便所述DCG根据所述配置消息完成所述VDC与DCG端逻辑接口的绑定。
20.按权利要求19所述的方法,其特征在于,所述第一链路连接包括边界网关协议BGP链路。
21.按权利要求19或20所述的方法,其特征在于,在所述运营商侧边缘设备PE接收VDC接入VPN的请求消息之前,所述方法还包括: 在DCG上根据用户请求创建虚拟数据中心VDC,分配与所述VDC对应的附属链路AC,所述附属链路包括物理端口和逻辑端口, 根据用户请求接入VPN时给定的VPN站点的IP地址段为所述VDC的附属链路AC分配IP地址。
22.一种用于域间虚拟专用网络对接的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备包括: 第三接收模块,用于接收数据中心网关DCG通过第一链路连接发送的该DCG所创建的虚拟数据中心VDC接入第一虚拟专用网关VPN的请求消息,所述请求消息包括第一 VPN用户标识、附属链路AC的DCG端连接标识; 第三获取模块,用于根据所述第一 VPN用户标识查询预先设置的VPN标识和VPN配置对应表获取所述第一 VPN用户标识对应的路由标识RD/路由目标RT列表以配置VPN实例; 第三确定模块,根据所述AC的DCG端连接标识确定该AC的PE端连接标识,并将所确定的PE端连接标识中的逻辑端口与所配置VPN实例绑定; 第三发送模块,用于向DCG发送PE侧VPN配置消息,所述配置消息包括所述VPN实例的RD/RT列表,以便所述DCG根据所述配置消息完成所述VDC与DCG端逻辑接口的绑定。
23.按权利要求22所述的运营商侧边缘设备,其特征在于,所述运营商侧边缘设备还包括: 状态设置模块,用于设置附属链路AC的PE侧处于阻塞block状态。
全文摘要
本发明实施例公开了用于域间VPN对接的方法,所述方法包括PE接收DCG发送的VDC接入VPN的请求消息,根据请求消息中的VPN User ID确定该User ID对应的RD/RT列表来配置VPN实例,根据请求消息中的AC的DCG端连接标识确定本端连接标识,并将本端连接标识中的逻辑端口与所述VPN实例绑定以便VDC接入VPN。相应地,本发明还提供了用于域间VPN对接的PE和DCG设备。实施本发明实施例提供的方法和设备,可以在Option A或OptionD互连的前提下,通过带内信令的交互来实现VDC到VPN的接入,显著提高了VDC接入VPN的执行效率。
文档编号H04L12/749GK103095543SQ201110350020
公开日2013年5月8日 申请日期2011年11月7日 优先权日2011年11月7日
发明者曾晴, 于德雷 申请人:华为技术有限公司