边缘设备的vpn实现处理方法及装置制造方法

边缘设备的vpn实现处理方法及装置制造方法
【专利摘要】本发明提供了一种边缘设备的VPN实现处理方法及装置，其中，该方法包括：获取VPN应用请求，其中，上述VPN应用请求中携带有VPN的属性配置信息；接收来自VPN下的各个边缘设备的VPN路由信息；向边缘设备发送VPN路由控制信息，其中，VPN路由控制信息为通过对属性配置信息和VPN路由信息进行集中计算处理得到的路由信息。采用本发明提供的上述方案，解决了相关技术中，VPN自动控制方案存在配置及表项内容较为复杂等技术问题，从而可以在统一控制平台下自动控制更简单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。
【专利说明】边缘设备的VPN实现处理方法及装置

【技术领域】
[0001] 本发明涉及通信领域，具体而言，具体涉及一种边缘设备的虚拟私有网（Virtual Private Network，简称为VPN)实现处理方法及装置。

【背景技术】
[0002] 现在IETF标准组织新成立的一个路由系统接口（Interface to the Routing System，简称为MRS)工作组，致力于研究一种面向路由系统的接口，目的是为了给现 有路由系统一个兼容的、对路由器的策略配置和路由彳目息库的路由丨目息表（Routing Information Base，简称为RIB)等可进行直接读写的接口。现有相关URS的个人草案 中描述的大致I2RS模型如图1，其中下半图的虚线框内表示一个路由器内部实现元件。 其中I2RS代理（Agent)是为了支持I2RS在路由器上新增的一个元件，以便I2RS客户端 (Client)可以通过I2RS Agent获取路由器的配置管理、拓扑路由等相关信息，同时也要支 持I2RS Client通过I2RS Agent给路由器下发配置、路由条目指定等信息。该工作组跟现 在软件定义网络（Software Defined Network，简称为SDN)相关实现的标准组织开放网络 组织（Open Network Foundation，简称为0NF)的一个最大不同在于，I2RS不是直接下发数 据面的转发信息库（Forwarding Information Base，简称为FIB)中的转发表，而是通过影 响协议路由表的信息影响最终的转发表，如此能更好的跟现有的路由器实现兼容。
[0003] VPN是用于物理网络中的逻辑网络隔离技术，当前路由器的多协议标签交换 (Multi-Protocol Label Switching，简称为MPLS) VPN的实现一般通过提供商向客户提 供二层VPN业务或三层VPN业务来实现，这些业务一般通过MPLS及边界网关协议（Border Gateway Protocol，简称为BGP)来实现，具体包括：运营商向客户提供VPN业务相关的属性 信息，客户可以自己根据这些信息来进行用户边缘设备（Customer Edge，简称为CE)配置或 通过向运营商授权托管来由运营商代其在CE上进行配置，而运营商则负责打通为该客户 提供的VPN业务所需的运营商网络的连通性，包括提供商(又称为运营商）边缘（Provider Edge，简称为PE)设备及网络内部提供商（Provider，简称为P)设备上的VPN相关连接及配 置。由于手动配置存在其配置不灵活、延时大的特性，想要通过自动配置方式来实现。当前 的自动配置实现也是在现有配置的基础上通过后台远程下发的方式来实现。并且想要在现 有路由器上实现PE表项条目的减少或策略功能，需要在BGP网络中提供集中的路由反射器 (Router Ref lector，简称为RR)功能，然后继续在反射器上进行复杂的策略配置来实现。而 想要实现VPN的保护功能，则要在本地和远端都启用相应的保护功能，才能实现双向保护。
[0004] 针对相关技术中的上述问题，目前尚未提出有效的解决方案。


【发明内容】

[0005] 针对相关技术中，VPN自动控制方案存在配置及表项内容较为复杂等技术问题，本 发明提供了一种边缘设备的VPN实现处理方法及装置，以至少解决上述问题。
[0006] 根据本发明的一个方面，提供了一种边缘设备的VPN实现处理方法，包括：获取 VPN应用请求，其中，上述VPN应用请求中携带有VPN的属性配置信息；接收来自VPN下的 各个边缘设备的VPN路由信息；向边缘设备发送VPN路由控制信息，其中，VPN路由控制信 息为通过对属性配置信息和VPN路由信息进行集中计算处理得到的路由信息。
[0007] 上述VPN路由信息或路由控制信息包括以下至少之一 ：VPN Table ID、表项条目， 其中，VPN Table ID用于在本地标识VPN路由信息生成的表项号。
[0008] 上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、VPN标 识、VPN转发面标识、主备用标识、负荷分担标识、生效时间。
[0009] 上述VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全 不同。
[0010] 上述表项关键值包括：数据报文的目的地址。
[0011] 上述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。
[0012] 上述出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口 或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识。
[0013] 上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设 备的逻辑出接口标识或物理出接口标识。
[0014] 上述协议类型用于标识路由系统接口 I2RS协议和/或除I2RS协议之外的其它路 由协议。
[0015] 上述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。
[0016] 上述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备 用。
[0017] 上述VPN标识为在控制面与VPN--对应。
[0018] 上述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
[0019] 上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间 生效计时；根据网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管 理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
[0020] 上述属性配置信息包括以下至少之一：VPN标识、路由目标（Route Target，简称 为RT)值设置信息、需要开通VPN的PE站点标识信息、需要启用的路由协议类型信息、优先 级配置信息、策略信息。
[0021] 上述策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预 置策略、主备用策略、负荷分担策略。
[0022] 上述边缘设备包括以下之一：提供商边缘PE设备、用户边缘CE设备。
[0023] 根据本发明的另一个方面，提供了一种边缘设备的VPN实现处理方法，包括：向网 络管理系统发送VPN路由信息；接收来自网络管理系统的VPN路由控制信息，其中，VPN路 由控制信为通过对VPN路由信息和网络管理系统从VPN应用请求中获取的VPN的属性配置 信息进行集中计算处理得到的VPN路由信息；根据VPN路由控制信息对边缘设备进行配置。
[0024] 上述VPN路由信息或路由控制信息包括以下至少之一：
[0025] VPN列表标识（Table ID)、表项条目，其中，VPN Table ID用于在本地标识VPN路 由信息生成的表项号。
[0026] 上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、VPN标 识、VPN转发面标识、主备用标识、负荷分担标识、生效时间；
[0027] 其中，表项关键值包括：数据报文的目的地址；和/或下一跳为边缘设备的直连下 一跳标识或多跳邻居的对等体标识；和/或出接口在边缘设备发送给网络管理系统时为边 缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边 缘设备的映射标识；和/或协议类型用于标识路由系统接口 I2RS协议和/或除I2RS之外 的其它路由协议；和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标 识；和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用； 和/或VPN标识为在控制面与VPN--对应；和/或负荷分担标识用于对同一表项关键值 携带的多个下一跳进行标识。 '
[0028] 上述VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全 不同。
[0029] 上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设 备的逻辑出接口标识或物理出接口标识。
[0030] 上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间 生效计时；根据网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管 理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
[0031] 上述属性配置信息包括以下至少之一：VPN标识、RT值设置信息、需要开通VPN的 边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。
[0032] 上述策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预 置策略、主备用策略、负荷分担策略。
[0033] 根据本发明的又一个方面，提供了一种边缘设备的VPN实现处理装置包括：获取 模块，用于获取VPN应用请求，其中，VPN应用请求中携带有VPN的属性配置信息；接收模 块，用于接收来自VPN下的各个边缘设备的VPN路由信息；发送模块，用于向边缘设备发送 VPN路由控制信息，其中，VPN路由控制信息为通过对属性配置信息和VPN路由信息进行集 中计算处理得到的路由信息。
[0034] 上述接收模块和发送模块，分别用于在VPN路由信息和/或VPN路由控制信息包 括以下至少之一时接收VPN路由信息和发送VPN路由控制信息：VPN列表标识Table ID、表 项条目，其中，VPN Table ID用于在本地标识VPN用户信息生成的表项号。
[0035] 上述接收模块和发送模块分别用于在表项条目包括以下至少之一时，接收VPN路 由信息和发送VPN路由控制信息：表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转 发面标识、主备用标识、负荷分担标识、生效时间；
[0036] 其中，表项关键值包括：数据报文的目的地址；和/或下一跳为边缘设备的直连下 一跳标识或多跳邻居的对等体标识；和/或出接口在边缘设备发送给网络管理系统时为边 缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边 缘设备的映射标识；和/或协议类型用于标识路由系统接口 I2RS协议和/或除I2RS之外 的其它路由协议；和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标 识；和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用； 和/或VPN标识为在控制面与VPN -一对应；和/或负荷分担标识用于对同一表项关键值 携带的多个下~'跳进彳丁标识。
[0037] 根据本发明的再一个方面，提供了一种边缘设备的VPN实现处理装置，包括：发送 模块，用于向网络管理系统发送VPN路由信息；接收模块，用于接收来自网络管理系统的 VPN路由控制信息，其中，VPN路由控制信为通过对VPN路由信息和网络管理系统从VPN应 用请求中获取的VPN的属性配置信息进行集中计算处理得到的路由信息；配置模块，用于 根据VPN路由控制信息对边缘设备进行配置。
[0038]上述接收模块和发送模块分别用于在VPN路由控制信息和/或VPN路由信息包括 以下至少之一时，接收VPN路由控制信息和发送VPN路由信息：VPN列表标识Table ID、表 项条目，其中，VPN Table ID用于在本地标识VPN路由信息生成的表项号。
[0039] 上述接收模块和发送模块分别用于在表项条目包括以下至少之一时，接收VPN路 由控制信息和发送VPN路由信息：表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转 发面标识、主备用标识、负荷分担标识、生效时间；
[0040] 其中，表项关键值包括：数据报文的目的地址；和/或下一跳为边缘设备的直连下 一'跳标识或多跳邻居的对等体标识；和/或出接口在边缘设备发送给网络管理系统时为边 缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边 缘设备的映射标识；和/或协议类型用于标识路由系统接口 URS协议和/或除I2RS之外 的其它路由协议；和/或VPN转发面标识用于对进行封装或解封装后的数据面报文进行标 识；和/或主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备用； 和/或VPN标识为在控制面与VPN -一对应；和/或负荷分担标识用于对同一表项关键值 携带的多个下一跳进行标识。
[0041] 通过本发明，采用对VPN应用请求和边缘设备的VPN路由信息进行的集中计算处 理，将得到的配置及路由控制信息进行下发的技术手段，解决了相关技术中，VPN自动控制 方案存在配置及表项内容较为复杂等技术问题，从而可以在统一控制平台下自动控制更简 单的配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。

【专利附图】

【附图说明】
[0042] 此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： [0043] 图1为根据相关技术的I2RS模型示意图；
[0044]图2为根据本发明实施例的边缘设备的VPN实现处理方法的流程图；
[0045]图3为根据本发明实施例的边缘设备的VPN实现处理装置的结构框图；
[0046]图4为根据本发明实施例的边缘设备的VPN实现处理方法的另一流程图；
[0047]图5为根据本发明实施例的边缘设备的VPN实现处理装置的另一结构框图； [0048] 图6为根据本发明优选实施例的I2RS网络的拓扑示意图；
[0049]图7为根据本发明优选实施例的I2RS网络的另一拓扑示意图；
[0050] 图8为根据本发明优选实施例的VPN网络自动控制实现的方法流程图。

【具体实施方式】
[0051]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的 情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0052] 图2为根据本发明实施例的边缘设备的VPN实现处理方法的流程图。本实施 例中的方法可以但不限于应用于网络管理系统（又称为网管系统，Network Management System，简称为NMS)，如图2所示，该方法包括：
[0053] 步骤S202,获取VPN应用请求，其中，该VPN应用请求中携带有VPN的属性配置信 息。在具体实施时，获取VPN应用请求的方式有多种，例如可以通过接收来自VPN侧设备的 上述VPN应用请求实现，还可以通过接收来自上层业务的上述VPN应用请求实现；
[0054] 步骤S204,接收来自VPN下的各个边缘设备的VPN路由信息；此处路由信息一般 包括但不限于来自于本地CE侧设备的路由，具体路由信息包括前缀、掩码、下一跳、出接 口、路由协议类型、优先级、度量值、主用备用标识、负荷分担标识。
[0055] 步骤S206,向边缘设备发送VPN路由控制信息，其中，该VPN路由控制信息为通过 对上述属性配置信息和上述VPN路由信息进行集中计算处理得到的路由信息。
[0056] 需要说明的是，上述步骤S2〇2和步骤S204之间的执行顺序并不限于此，例如可以 先执行步骤S204,再执行步骤S202。
[0057] 通过上述各个处理步骤，由于对VPN应用请求和边缘设备的VPN用户信息进行了 集中计算处理，即统一控制，因此，可以在统一控制平台下自动控制更简单的配置下发，更 集中的表项管理和表项下发，减少了现有设备的配置及表项容量。
[0058] 在本实施例中，在接收来自边缘设备的VPN用户信息(主要表现为路由信息)之前， 还可以根据VPN应用请求和本地网络拓扑信息确定上述边缘设备。根据上述VPN应用请求 和本地网络拓扑信息确定上述边缘设备之后，根据上述指定信息及网管系统已收集的拓扑 信息，生成VPN配置信息；向上述边缘设备下发VPN配置信息，其中，上述边缘设备根据上述 VPN配置信息生成上述VPN用户信息。
[0059] 在本实施例中，VPN用户信息包括以下至少之一 ：VPN Table ID、表项条目，其中， VPN Table ID用于在本地标识VPN用户信息生成的表项号，以便I2RS Client直接读写所 述VPN相关表项。
[0060] 上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、VPN标 识、VPN转发面标识、主备用标识、负荷分担标识、生效时间。
[0061] 通过上述实施例可以看出，VPN路由控制信息为网管系统经由策略计算处理的 VPN路由信息，可以表现为两者表项条目的变化。即上述VPN路由信息中的表项条目和上述 路由控制信息中的表项条目部分相同或完全不同。
[0062] 上述表项关键值包括：数据报文的目的地址。具体在L2VPN中表现为MAC地址，在 L3VPN中表现为IP地址，当然也不局限于目的地址，还可以是根据需要由数据报文中解析 出来的有效字段，如源地址，端口号等亦可支持。
[0063] 上述下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识。对等体标识 具体表现为和边缘设备建立邻居的发布该表项关键值的远端边缘设备的标识，一般为标识 远端边缘设备的loopback的IP地址，或建链接口的IP地址。
[0064] 上述出接口在边缘设备发送给上述网络管理系统时为上述边缘设备的本地VPN 绑定接口或本地设备标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标 识。上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设备 的逻辑出接口标识或物理出接口标识。具体地，上述映射标识可以表现为本地隧道标 识（ID),该本地隧道ID表明本地到远端边缘设备的端到端连接，可以为通用路由封装 (Generic Routing Encapsulation，简称为GRE)隧道ID、资源预留协议（Resource Reserve Protocol，简称为RSVP)流量工程（Traffic Engineering，简称为TE)隧道ID、标签交换路 径（Label Switched Paths，简称为 LSP)燧道 ID。
[0065]上述协议类型用于标识I2RS协议和/或除该I2RS协议之外的其它路由协议。上 述VPN转发面标识用于对进行封装或解封装后的数据面报文进行标识。
[0066]上述主备用标识用于对同一表项关键值携带的多个下一跳分别标识为主用和备 用，以便多个下一跳分别携带主用备用标识下发。
[0067] VPN标识为在控制面与VPN-一对应，即VPN标识用以在控制面全局唯一标识一个 VPN，其包括但不限于用路由目标（Route Target，简称为RT)方式来实现。
[0068]负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识，以便同一表项 关键值的多个下一跳能同时生效。
[0069] 上述生效时间通过以下至少之一方式实现：
[0070]根据边缘设备配置或默认的存活时间生效计时，即以表项下发的存活时间生效记 时，例如：利用PE设备自市的计时器，在表项生成后(如以保存时间倒数3〇〇s)计时，当为〇 时还没有接收更新时，则认为表项老化。
[0071]根据网管系统下发的生效时间段在边缘设备上同步生效表示。网管系统下发的时 间段，其中，在该时间段内（例如8:00_8:30 )内表项生效，则在边缘设备同步的有效时间内 将该条目放入RIB表。
[0072]通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发 送，其中，在网络管理系统的生效时间结束时，网络管理系统的I2RS Client下发撤销指定 表项的信息，即计时管理在I2RS Client上维护，只需要时间生效的时候下发条目，不生效 的时候撤销条目。
[0073]在本实施例中，上述应用请求包括上层业务和/或策略的开通请求：VPN业务、流 量匹配过滤、负荷分担、时间值等策略请求。
[0074]上述属性配置信息包括以下至少之一 ：VPN标识、路由目标（RT)值设置信息、需要 开通VPN的PE站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信息。 其中，该策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预置策 略、主备用策略、负荷分担策略。
[0075] 上述转发设备包括以下之一 ：PE设备、CE设备。
[0076]上述VPN用户信息包括以下至少之一 ：VPN标识信息，路由目标RT值设置信息， VPN客户端侧CE的位置信息、CE接入的配置信息、策略请求。
[0077]图3为根据本发明实施例的边缘设备的VPN实现处理装置的结构框图。该装置可 以但不限于应用于网络管理系统，如图3所示，包括：
[0078]获取模块30,连接至发送模块34,用于获取VPN应用请求，其中，该VPN应用请求 中携带有VPN的属性配置信息；
[0079] 接收模块32,连接至发送模块34,用于接收来自上述VPN下的各个边缘设备的VPN 路由信息；
[0080]发送模块34,用于向上述边缘设备发送VPN路由控制信息，其中，该VPN路由控制 信息为通过对上述属性配置信息和上述VPN路由信息进行集中计算处理得到的路由信息；
[0081] 通过上述各个模块所实现的功能，同样可以在统一控制平台下自动控制更简单的 配置下发，更集中的表项管理和表项下发，减少了现有设备的配置及表项容量。
[0082] 优选地，上述接收模块32和上述发送模块34,分别用于在上述VPN路由信息和/ 或上述VPN路由控制信息包括以下至少之一时接收上述VPN路由信息和发送上述VPN路由 控制信息：VPN列表标识Table ID、表项条目，其中，该VPN Table ID用于在本地标识所述 VPN用户信息生成的表项号。
[0083] 所述接收模块和所述发送模块分别用于在所述表项条目包括以下至少之一时，接 收所述VPN路由信息和发送所述VPN路由控制信息 ：
[0084] 表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、 负荷分担标识、生效时间；
[0085] 其中，所述表项关键值包括：数据报文的目的地址；和/或所述下一跳为边缘设备 的直连下一跳标识或多跳邻居的对等体标识；和/或所述出接口在边缘设备发送给所述网 络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给 边缘设备发送时为远端边缘设备的映射标识；和/或所述协议类型用于标识路由系统接口 I2RS协议和/或除所述I2RS之外的其它路由协议；和/或所述VPN转发面标识用于对进 行封装或解封装后的数据面报文进行标识；和/或所述主备用标识用于对同一表项关键值 携带的多个下一跳分别标识为主用和备用；和/或所述VPN标识为在控制面与VPN -一对 应；和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
[0086] 需要说明的是，上述各个模块是可以通过相应的处理器实现的，例如可以分别对 应一个处理器实现，当然也可以部分或全部集成于一个处理器实现，但不限于上述组合。 [0087] 在本实施例中提供一种边缘设备的虚拟私有网VPN实现处理方法，如图4所示，该 方法包括：
[0088] 步骤S402,向网络管理系统发送VPN路由信息；
[0089] 步骤S404,接收来自网络管理系统的VPN路由控制信息，其中，VPN路由控制信为 通过对VPN路由信息和网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集 中计算处理得到的VPN路由信息；
[0090] 步骤S406,根据VPN路由控制信息对边缘设备进行配置。
[0091] 上述VPN路由信息或路由控制信息包括以下至少之一 ：VPN列表标识Table ID、表 项条目，其中，VPN Table ID用于在本地标识VPN路由信息生成的表项号。
[0092] 上述表项条目包括以下至少之一：表项关键值、下一跳、出接口、协议类型、VPN标 识、VPN转发面标识、主备用标识、负荷分担标识、生效时间；其中，表项关键值包括：数据报 文的目的地址；和/或下一跳为边缘设备的直连下一跳标识或多跳邻居的对等体标识；和 /或出接口在边缘设备发送给网络管理系统时为边缘设备的本地VPN绑定接口或本地设备 标识，在网络管理系统给边缘设备发送时为远端边缘设备的映射标识；和/或协议类型用 于标识I2RS协议和/或除I2RS之外的其它路由协议；和/或VPN转发面标识用于对进行 封装或解封装后的数据面报文进行标识；和/或主备用标识用于对同一表项关键值携带的 多个下一跳分别标识为主用和备用；和/或VPN标识为在控制面与VPN--对应；和/或负 荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
[0093] 上述VPN路由信息中的表项条目和路由控制信息中的表项条目部分相同或完全 不同。上述映射标识包括以下至少之一：远端边缘设备的标识；边缘设备到远端边缘设备 的逻辑出接口标识或物理出接口标识。
[0094]上述生效时间通过以下至少之一方式实现：根据边缘设备配置或默认的存活时间 生效计时；根据网络管理系统下发的生效时间段在边缘设备上同步生效；通过在在网络管 理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
[0095] 上述属性配置信息包括以下至少之一：VPN标识、路由目标RT值设置信息、需要开 通VPN的边缘设备站点标识信息、需要启用的路由协议类型信息、优先级配置信息、策略信 息。
[0096] 上述策略信息包括以下至少之一：基于表项条目内容的过滤或更改策略、时间预 置策略、主备用策略、负荷分担策略。
[0097]为实现上述方法，本实施例还提供一种边缘设备的VPN实现处理装置，如图5所 示，该装置包括：
[0098] 发送模块50,连接至接收模块52,用于向网络管理系统发送VPN路由信息；
[0099] 接收模块52,连接至配置模块54,用于接收来自网络管理系统的VPN路由控制信 息，其中，所述VPN路由控制信为通过对所述VPN路由信息和所述网络管理系统从VPN应用 请求中获取的VPN的属性配置信息进行集中计算处理得到的路由信息；
[0100] 配置模块54,用于根据所述VPN路由控制信息对所述边缘设备进行配置。
[0101] 在本实施例中，发送模块50和接收模块52分别在上述VPN路由信息和/或路由 控制信息包括以下至少之一时发送上述VPN路由信息和接收上述路由控制信息：VPN列表 标识Table ID、表项条目，其中，该VPN Table ID用于在本地标识所述VPN路由信息生成的 表项号。
[0102] 上述接收模块52和所述发送模块50分别用于在所述表项条目包括以下至少之一 时，接收所述VPN路由信息和发送所述VPN路由控制信息：
[0103] 表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、 负荷分担标识、生效时间；
[0104] 其中，所述表项关键值包括：数据报文的目的地址；和/或所述下一跳为边缘设 备的直连下一跳标识或多跳邻居的对等体标识；和/或所述出接口在边缘设备发送给所述 网络管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给 边缘设备发送时为远端边缘设备的映射标识；和/或所述协议类型用于标识路由系统接口 I2RS协议和/或除所述I2RS之外的其它路由协议；和/或所述VPN转发面标识用于对进 行封装或解封装后的数据面报文进行标识；和/或所述主备用标识用于对同一表项关键值 携带的多个下一跳分别标识为主用和备用；和/或所述VPN标识为在控制面与VPN -一对 应；和/或所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
[0105] 为了更好地理解上述实施例，以下结合优选实施例和相关附图详细说明。
[0106] 实施例1
[0107] 一种IP/MPLS网络通过网管系统进行VPN业务动态建立和管理的方法，网管系统 接收VPN业务的应用请求，通过接口对运营商边缘转发设备业务的表项进行统一控制，包 括：
[0108] 网管系统接收运营商边缘设备发送来的VPN路由信息后，将接收到的信息结合应 用请求进行集中计算处理，生成计算处理后的信息下发给转发设备。
[0109] 其中VPN路由信息包括VPN Table ID、表项条目，表项条目中的内容包括但不限 于：表项关键值、下一跳、出接口、VPN标识、VPN转发面标识、协议类型、主用备用标识、负荷 分担标识、生效时间等其中部分项或全部项内容。
[0110] 上述网管系统包含转发设备信息交互模块、应用交互模块、计算模块和存储模块。 其中转发设备信息交互模块用以对转发设备进行信息收集或信息下发的交互，可以为I2RS Client 模块。
[0111] 上述转发设备包含网管系统交互模块，可以为I2RS Agent模块。其中运营商边缘 转发设备可为PE或CE。
[0112] 上述应用请求为上层业务及策略的开通请求，包括VPN业务、流量匹配过滤、负荷 分担、时间值等策略请求。
[0113]上述集中计算处理包括根据应用请求，结合转发设备信息收集到的信息在计算及 存储模块进行集中的计算处理并本地存储。
[0114] 上述VPN转发面标识用于数据面报文的封装解封装，包括但不限于以label形式 表现。
[0115] 上述协议类型用于标识路由系统接口（I2RS)协议和/或除所述I2RS协议之外的 其它路由协议，如bgp协议等。
[0116]上述主用备用标识主要用于同时下发最优次优路径标识，用于形成保护。
[0117]负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识，以便同一表项 关键值的多个下一跳能同时生效，以使多条路径形成负荷分担。
[0118] 本实施例中，还提供一种用于IP/MPLS网络的通信设备，包括网管系统交互模块。 网管系统交互模块通过向网管系统发送本地接收到的VPN路由信息，并从网管系统接收远 端的VPN路由信息，建立VPN用户连接。其中VPN路由信息由VPN Table ID、表项条目组 成，表项条目中的内容包括但不限于：表项关键值、下一跳、出接口、VPN标识、VPN转发面标 识、主用备用标识、负荷分担标识、生效时间等其中部分项或全部项内容。
[0119] 该通信设备创建表项用以维护VPN路由信息。
[0120] 上述创建表项包括生成本地唯一的VPN Table ID用以标识所述唯一 VPN标识表 项，表项条目由上述表项内容中的部分内容或全部内容组成；维护表项可以是本地实时更 新或由客户端（Cl ient)来通过代理（Agent)控制。
[0121]本实施例还提供一种网管系统：包含转发设备信息交互模块、应用交互模块、计算 模块和存储模块。其中应用交互模块主要用于接收上层业务的应用请求，转发设备信息交 互模块用以跟转发设备进行交互，可以为I2RS Client模块。通过应用请求信息和转发设 备信息交互模块获取的信息进行集中计算，生成计算结果信息设备过来的信息通过集中计 算，生成新的信息下发转发设备。其中新的信息主要由Table ID、表项条目组成，表项条目 中的内容包括但不限于：表项关键值、下一跳、出接口、VPN标识、VPN转发面标识、主用备用 标识、负荷分担标识、生效时间等其中部分项或全部项内容。
[0122] 实施例2 :L3VPN自动控制及相关表项下发
[0123]如图6所示，站点（site) 1和站点3是同属于VPN1的，站点2和站点4是属于同 一个VPN2的，在各PE上做VPN接入时，现有实现需要在各PE上手动配置VPN1和VPN2的信 息，配置完成后VPN1的路由和VPN2的路由在各PE上通过不同的表项来维护，携带各有相 匹配属性的RT导入导出到相应的VPN转发表中，以实现VPN的隔离。这般隔离在PEI、PE2 和PE3上，都会在BGP携带的VPN消息中将本地的所有生效的虚拟路由/转发情况（virtual Routing&Forwarding Instance，简称为VRF)路由发布出去，如PE1上的VPN1消息在PE2 上也会收到，但该消息其实对于PE2来讲是完全无效且占用了带宽传输及协议报文过滤处 理的时间的。
[0124] 对比参考现有CE1和CE3打通VPN1的连通性配置为例，配置参考如下：
[0125] 1.在CE1上配置loopbackl和接口 IF1的地址，与PE1建立外部边界网关协议 (External Border Gateway Protocol,简称为 EBGP)邻居，并将 loopback在 BGP 中通告。
[0126] 2.在PE1上配置vrf vpnl,将IF1绑定在vrf vpnl中并配置地址、配置 loopbackl、接口 IF2的地址、配置开放式最短路径优先（Open Shortest Path First,简 称为OSPF)，通告IF2接口地址所在网段、与PE3起多协议边界网关协议（Multi-Protocol BorderGatewayProtocol，简称为MPBGP)邻居、与CE1建立EBGP邻居、接口 IF2起标记分发 协议（Label Distribution Protocol,简称为 LDP)，指定 loopbackl 为 LDP 的 router-id。 VPN相关配置包括：VRF实例配置中包括ip vrf vpnl,路由区分（Route Distinguisher，简 称为RD)(用以唯一标识VPN)、RT (用以标识导入导出路由携带的标识);接口绑定VRF (表 示该接口和CE侧相连，该接口学习到的路由为私网路由）、MPBGP邻居建立(用以判断邻居 起来后给本地私网路由分发标签，并用该建链邻居ID来查找外层标签。）
[0127] 3.在P上配置建链接口的地址；配置0SPF，通告接口地址所在网段；接口起LDP， 配置 loopbackl，并指定 loopbackl 为 LDP 的 router-id。
[0128] 4.在PE3上配置vrf vpnl、将IF1绑定在vrf vpnl中并配置地址、配置 loopbackl、IF2的地址、配置0SPF、通告公网地址所在网段、与PE1起MPBGP邻居、与CE3建 立0SPF邻居、接口 IF2起LDP。
[0129] 5.在CE3上配置loopbackl和接口的地址，配置0SPF，通告接口地址所在网段和 loopback 地址。
[0130] 在I2RS的框架中，如图6,用户可以根据I2RS模型中提供的应用层提出所述需求， 比如VPN1的用户通过应用层给网管系统提出需要通过VPN开通站点1和3的互通，网管系 统通过拓扑收集，知道站点1和3连接的PE为PE1和PE3,那么网管系统返回PE1和PE3相 关的接口及配置信息给用户（当然也可以是应用层根据CE侧的配置同步给网管系统)，使其 与直连的CE侧形成互联互通。同时通过配置模块给PE1和PE3的下发相应VPN1相关配置， 包括：
[0131] 1、VRF的启动：VRF实例的启用、实例下RD、RT (Route Target)属性（其import、 export值设置)的配置(该步骤中的RD、RT配置为可选，当路由条目的导入导出完全由I2RS Client集中控制时，无需启用该步骤；当需要跟现有路由器兼容时，需要启用该步骤。该步 骤涉及VRF路由的导入导出配置，当完全集中控制时，需要由Client下发一个该VPN标识 的值，当有不同VPN之间需要通信时，携带不同RT标识发送，不同VPN之间通过策略知道相 互之间可以通信。）
[0132] 2、VRF接口的绑定
[0133] 3、VRF接入路由协议配置
[0134] 4、BGP下的相关VPN使能：添加 VRF地址族，建立vpN邻居，通过BGp vpN邻居导入 导出VRF路由（该步骤为可选，当导入导出完全由I2RS Client集中控制时，无需启用该步 骤；当需要跟现有路由器兼容时，需要启用该步骤，该步骤的启用涉及到私网标签的分配， 当VPN邻居建立成功，开始给本地CE侧路由分配私网标签，当完全集中控制时，则由 Ciient 来下发各路由的私网标签）
[0135] 5、公网路由和标签链路的打通
[0136]同时给CE和P设备进行如上描述相关VPN实现接口、路由、标签协议所需配置。
[0137] 同理VPN2的用户通过应用提出需求后，如VPN1的配置下发给相应设备。
[0138] 各PE获取到VPN相关配置时，本地产生一个相应VRF路由的Table ID，用以存放 该VPN用户的本地及远端通告过来的路由。
[0139] 由于网管系统有来自于上层应用的需求可能需要直接改写相关VPN Table ID下 的路由条目信息，故对于VPN标识和Table ID的映射关系，需要通过PE反馈给client。 Client由此可以学习到各PE上不同VRF的表项维护ID,并对具有相同rt值的表项内容进 行直接读写。表项内容覆盖如下图中的表项关键值、出接口、VPN标识、路由协议类型，优先 级，度量值。具体当如图6描述：站点1内有3个客户侧终端接入，其 IP分别为IP1、IP2、 IP3,站点3内只有两个终端接入，其IP分别为IP5、IP6,那么PE1上学习到的CE1侧路由 的表项有：
[0140] 表 1
[0141]

【权利要求】
1. 一种边缘设备的虚拟私有网VPN实现处理方法，其特征在于，包括： 获取VPN应用请求，其中，所述VPN应用请求中携带有VPN的属性配置信息； 接收来自所述VPN下的各个边缘设备的VPN路由信息； 向所述边缘设备发送VPN路由控制信息，其中，所述VPN路由控制信息为通过对所述属 性配置信息和所述VPN路由信息进行集中计算处理得到的路由信息。
2. 根据权利要求1所述的方法，其特征在于，所述VPN路由信息或所述路由控制信息包 括以下至少之一： VPN列表标识Table ID、表项条目，其中，所述VPN Table ID用于在本地标识所述VPN 路由信息生成的表项号。
3. 根据权利要求2所述的方法，其特征在于，所述表项条目包括以下至少之一： 表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷 分担标识、生效时间。
4. 根据权利要求2所述的方法，其特征在于，所述VPN路由信息中的表项条目和所述路 由控制信息中的表项条目部分相同或完全不同。
5. 根据权利要求3所述的方法，其特征在于，所述表项关键值包括：数据报文的目的地 址。
6. 根据权利要求3所述的方法，其特征在于，所述下一跳为边缘设备的直连下一跳标 识或多跳邻居的对等体标识。
7. 根据权利要求3所述的方法，其特征在于，所述出接口在边缘设备发送给所述网络 管理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘 设备发送时为远端边缘设备的映射标识。
8. 根据权利要求7所述的方法，其特征在于，所述映射标识包括以下至少之一： 所述远端边缘设备的标识； 所述边缘设备到所述远端边缘设备的逻辑出接口标识或物理出接口标识。
9. 根据权利要求3所述的方法，其特征在于，所述协议类型用于标识路由系统接口 I2RS协议和/或除所述I2RS协议之外的其它路由协议。
10. 根据权利要求3所述的方法，其特征在于，所述VPN转发面标识用于对进行封装或 解封装后的数据面报文进行标识。
11. 根据权利要求3所述的方法，其特征在于，所述主备用标识用于对同一表项关键值 携带的多个下一跳分别标识为主用和备用。
12. 根据权利要求3所述的方法，其特征在于，所述VPN标识为在控制面与VPN -一对 应。
13. 根据权利要求3所述的方法，其特征在于，所述负荷分担标识用于对同一表项关键 值携带的多个下一跳进行标识。
14. 根据权利要求3所述的方法，其特征在于，所述生效时间通过以下至少之一方式实 现： 根据所述边缘设备配置或默认的存活时间生效计时； 根据所述网络管理系统下发的生效时间段在边缘设备上同步生效； 通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
15. 根据权利要求1所述的方法，其特征在于，所述属性配置信息包括以下至少之一： VPN标识、路由目标RT值设置信息、需要开通VPN的PE站点标识信息、需要启用的路由协议 类型信息、优先级配置信息、策略信息。
16. 根据权利要求15所述的方法，其特征在于，所述策略信息包括以下至少之一： 基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
17. 根据权利要求1-16任一项所述的方法，其特征在于，所述边缘设备包括以下之一： 提供商边缘PE设备、用户边缘CE设备。
18. -种边缘设备的虚拟私有网VPN实现处理方法，其特征在于，包括： 向网络管理系统发送VPN路由信息； 接收来自网络管理系统的VPN路由控制信息，其中，所述VPN路由控制信为通过对所述 VPN路由信息和所述网络管理系统从VPN应用请求中获取的VPN的属性配置信息进行集中 计算处理得到的VPN路由信息； 根据所述VPN路由控制信息对所述边缘设备进行配置。
19. 根据权利要求18所述的方法，其特征在于，所述VPN路由信息或所述路由控制信息 包括以下至少之一： VPN列表标识Table ID、表项条目，其中，所述VPN Table ID用于在本地标识所述VPN 路由信息生成的表项号。
20. 根据权利要求19所述的方法，其特征在于，所述表项条目包括以下至少之一： 表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷 分担标识、生效时间； 其中，所述表项关键值包括：数据报文的目的地址；和/或所述下一跳为边缘设备的直 连下一跳标识或多跳邻居的对等体标识；和/或所述出接口在边缘设备发送给所述网络管 理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘设 备发送时为远端边缘设备的映射标识；和/或所述协议类型用于标识路由系统接口 I2RS协 议和/或除所述I2RS之外的其它路由协议；和/或所述VPN转发面标识用于对进行封装或 解封装后的数据面报文进行标识；和/或所述主备用标识用于对同一表项关键值携带的多 个下一跳分别标识为主用和备用；和/或所述VPN标识为在控制面与VPN -一对应；和/或 所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
21. 根据权利要求19所述的方法，其特征在于，所述VPN路由信息中的表项条目和所述 路由控制信息中的表项条目部分相同或完全不同。
22. 根据权利要求20所述的方法，其特征在于，所述映射标识包括以下至少之一： 所述远端边缘设备的标识； 所述边缘设备到所述远端边缘设备的逻辑出接口标识或物理出接口标识。
23. 根据权利要求20所述的方法，其特征在于，所述生效时间通过以下至少之一方式 实现： 根据所述边缘设备配置或默认的存活时间生效计时； 根据所述网络管理系统下发的生效时间段在边缘设备上同步生效； 通过在在网络管理系统上根据本地生效时间进行路由信息的生效发送或撤销发送。
24. 根据权利要求18所述的方法，其特征在于，所述属性配置信息包括以下至少之一： VPN标识、路由目标RT值设置信息、需要开通VPN的边缘设备站点标识信息、需要启用的路 由协议类型信息、优先级配置信息、策略信息。
25. 根据权利要求24所述的方法，其特征在于，所述策略信息包括以下至少之一： 基于表项条目内容的过滤或更改策略、时间预置策略、主备用策略、负荷分担策略。
26. -种边缘设备的虚拟私有网VPN实现处理装置，其特征在于，包括： 获取模块，用于获取VPN应用请求，其中，所述VPN应用请求中携带有VPN的属性配置 信息； 接收模块，用于接收来自所述VPN下的各个边缘设备的VPN路由信息； 发送模块，用于向所述边缘设备发送VPN路由控制信息，其中，所述VPN路由控制信息 为通过对所述属性配置信息和所述VPN路由信息进行集中计算处理得到的路由信息。
27. 根据权利要求26所述的装置，其特征在于，所述接收模块和所述发送模块，分别用 于在所述VPN路由信息和/或所述VPN路由控制信息包括以下至少之一时接收所述VPN路 由信息和发送所述VPN路由控制信息： VPN列表标识Table ID、表项条目，其中，所述VPN Table ID用于在本地标识所述VPN 用户信息生成的表项号。
28. 根据权利要求27所述的装置，其特征在于，所述接收模块和所述发送模块分别用 于在所述表项条目包括以下至少之一时，接收所述VPN路由信息和发送所述VPN路由控制 信息： 表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷 分担标识、生效时间； 其中，所述表项关键值包括：数据报文的目的地址；和/或所述下一跳为边缘设备的直 连下一跳标识或多跳邻居的对等体标识；和/或所述出接口在边缘设备发送给所述网络管 理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘设 备发送时为远端边缘设备的映射标识；和/或所述协议类型用于标识路由系统接口 I2RS协 议和/或除所述I2RS之外的其它路由协议；和/或所述VPN转发面标识用于对进行封装或 解封装后的数据面报文进行标识；和/或所述主备用标识用于对同一表项关键值携带的多 个下一跳分别标识为主用和备用；和/或所述VPN标识为在控制面与VPN -一对应；和/或 所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
29. -种边缘设备的虚拟私有网VPN实现处理装置，其特征在于，包括： 发送模块，用于向网络管理系统发送VPN路由信息； 接收模块，用于接收来自网络管理系统的VPN路由控制信息，其中，所述VPN路由控制 信为通过对所述VPN路由信息和所述网络管理系统从VPN应用请求中获取的VPN的属性配 置信息进行集中计算处理得到的路由信息； 配置模块，用于根据所述VPN路由控制信息对所述边缘设备进行配置。
30. 根据权利要求29所述的装置，其特征在于，所述接收模块和所述发送模块分别用 于在所述VPN路由控制信息和/或所述VPN路由信息包括以下至少之一时，接收所述VPN 路由控制信息和发送所述VPN路由信息： VPN列表标识Table ID、表项条目，其中，所述VPN Table ID用于在本地标识所述VPN 路由fe息生成的表项号。
31.根据权利要求30所述的装置，其特征在于，所述接收模块和所述发送模块分别用 于在所述表项条目包括以下至少之一时，接收所述VPN路由控制信息和发送所述VPN路由 {胃息： 表项关键值、下一跳、出接口、协议类型、VPN标识、VPN转发面标识、主备用标识、负荷 分担标识、生效时间； 其中，所述表项关键值包括：数据报文的目的地址；和/或所述下一跳为边缘设备的直 连下一跳标识或多跳邻居的对等体标识；和/或所述出接口在边缘设备发送给所述网络管 理系统时为所述边缘设备的本地VPN绑定接口或本地设备标识，在网络管理系统给边缘设 备发送时为远端边缘设备的映射标识；和/或所述协议类型用于标识路由系统接口 12路协 议和/或除所述I2RS之外的其它路由协议；和/或所述VPN转发面标识用于对进行封装或 解封装后的数据面报文进行标识；和/或所述主备用标识用于对同一表项关键值携带的多 个下一跳分别标识为主用和备用；和/或所述VPN标识为在控制面与VPN -一对应；和/或 所述负荷分担标识用于对同一表项关键值携带的多个下一跳进行标识。
【文档编号】H04L12/46GK104219147SQ201310222321
【公开日】2014年12月17日 申请日期:2013年6月5日 优先权日:2013年6月5日
【发明者】廖婷, 吴波, 代雪会 申请人:中兴通讯股份有限公司