一种实现vpn网络报文转发的方法及设备的制作方法

一种实现vpn网络报文转发的方法及设备的制作方法
【专利摘要】本发明涉及网络通信领域中的数据转发技术，其公开了一种实现VPN网络报文转发的方法及设备，解决传统技术中转发方式需要通过查找VPN路由表进行转发，而带来的转发效率低和提高了设备硬件成本的问题。本发明在配置策略路由的转发策略时，如果配置的转发策略为匹配报文在指定VPN中转发，则在指定VPN后，指定下一跳或者出接口，指定的下一跳或者出接口属于之前指定的VPN。策略路由管理模块为对应的转发策略创建转发表时，需要在指定的下一跳或者出接口所属的VPN中查找相关的转发信息，并以此创建策略路由转发表。转发报文过程中，如果报文匹配了策略路由的匹配策略，则直接根据创建的转发表转发报文，而不再根据目的地址查找VPN转发表。本发明适用数据转发。
【专利说明】一种实现VPN网络报文转发的方法及设备

【技术领域】
[0001]本发明涉及网络通信领域中的数据转发技术，具体涉及一种基于策略路由实现VPN网络报文转发的方法及设备。

【背景技术】
[0002]策略路由是根据配置的报文处理(包括匹配、转发)策略对报文进行转发的技术。在转发数据报文时，首先根据配置的匹配策略对报文进行过滤，匹配成功则按照配置的转发策略进行转发。配置的匹配策略可以是基于标准和扩展访问控制列表，也可以基于报文的长度。而转发策略是控制报文按照指定的转发策略进行转发，同时，还可以修改报文的IP优先级等字段。总的来说，策略路由是对传统IP路由机制的有效增强。
[0003]VPN是在公用网络上建立的专用网络技术，相同VPN的多台设备通过共用网络互相连接，并且完全和其他的VPN隔离开。该技术具有降低网络部署成本、保证连接客户的传输数据安全和保密性、连接方便等优点。
[0004]当前VPN网络得到巨大发展，也被运营商广泛应用，策略路由作为对路由协议的补充，对于不同的网络环境、网络规模都有实际应用。将VPN和策略路由相结合，即可以满足对VPN业务的功能需求，又可以灵活的控制报文转发，对网络部署有较大的实际意义，并且对于某些网络需求是唯一的解决方案。
[0005]在配置策略路由时，配置报文匹配策略，并指定匹配报文在指定的VPN中转发。如果报文匹配，则根据报文的目的地址查找指定VPN的路由转发表，找到对应的转发表，则转发，否则，丢弃报文。
[0006]如果需要通过配置策略路由的方式让匹配报文在指定的VPN内转发，传统技术是将策略路由匹配报文的目的地址作为关键字查找指定VPN的路由转发表，而查找VPN转发表必然会影响转发效率，并且VPN转发表数量越多，对转发效率的影响越大；此外，该方式还需要设备为所有的VPN路由创建转发表，因此对设备的路由学习能力和路由表存储能力有较高要求，导致设备采购和维护成本较高。


【发明内容】

[0007]本发明所要解决的技术问题是:提出一种实现VPN网络报文转发的方法及设备，解决传统技术中转发方式需要通过查找VPN路由表进行转发，而带来的转发效率低和设备采购、维护成本高的问题。
[0008]本发明解决其技术问题所采用的技术方案是:一种实现VPN网络报文转发的方法，包括以下步骤:
[0009]A.配置策略路由的匹配策略和转发策略，并将其通告给策略路由管理模块；所述转发策略中包括匹配报文在指定VPN中转发，且为匹配报文指定下一跳或出接口 ；
[0010]B.策略路由管理模块对匹配策略和转发策略进行保存，并根据转发策略中指定的VPN信息创建VPN转发信息管理结构，且根据为匹配报文指定的下一跳或出接口创建策略路由转发表，将所述策略路由转发表记录到所述VPN转发信息管理结构中；
[0011]C.策略路由管理模块将所述策略路由转发表下发到策略路由转发模块；
[0012]D.当VPN设备收到报文后，判断该报文的入接口是否使能了策略路由，若是，则进入步骤E，否则，按照正常转发流程进行转发；
[0013]E.策略路由转发模块根据该报文的入接口上使能的策略路由查找匹配策略和转发策略，并根据匹配策略中的报文匹配规则对该报文进行匹配，若匹配成功，则查找策略路由转发表，进入步骤F，若匹配不成功，则丢弃该报文，结束流程；
[0014]F.策略路由转发模块根据策略路由转发表对该报文进行转发。
[0015]进一步，步骤A中，在配置策略路由时，可指定多个转发策略，不同的转发策略可配置相同的下一跳或出接口。
[0016]进一步，步骤B中，所述根据为匹配报文指定的下一跳或出接口创建策略路由转发表的方法包括:
[0017]在所述下一跳所属的VPN转发信息中查找该下一跳相关的转发信息，在找到该下一跳相关的转发信息后，以此创建所述下一跳对应的策略路由转发表；
[0018]判断转发出接口所属VPN是否与所述转发策略中指定的VPN相同，如果相同，则创建策略路由转发表，该转发表的出接口为所述转发出接口。
[0019]进一步，该方法还包括:
[0020]当路由信息发生变化时，更新已经创建的策略路由转发表，更新步骤包括:
[0021]I)策略路由管理模块收到路由信息变化消息时，根据所述路由信息变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理结构；
[0022]2)根据所述路由信息变化消息判断变化路由是否与转发策略中指定的下一跳相关，如果相关，则根据下一跳配置信息以及路由变化信息对策略路由转发表进行更新操作。
[0023]进一步，该方法还包括:
[0024]当出接口的状态发生变化时，更新已经创建的策略路由转发表，更新步骤包括:
[0025]I)策略路由管理模块收到出接口状态变化消息时，根据所述出接口状态变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理接口 ；
[0026]2)根据所述出接口状态变化消息判断状态发生变化的接口是否为策略路由中指定的出接口，如果是，则根据出接口配置信息及出接口状态变化消息对策略路由转发表进行更新操作。
[0027]此外，本发明还提供一种实现VPN网络报文转发的设备，包括:
[0028]策略路由配置模块，用于配置策略路由的匹配策略和转发策略，并将其通告给策略路由管理模块，所述转发策略中包括匹配报文在指定VPN中转发，且为匹配报文指定下一跳或出接口；
[0029]策略路由管理模块，用于对匹配策略和转发策略进行保存，并根据转发策略中指定的VPN信息创建VPN转发信息管理结构，且根据为匹配报文指定的下一跳或出接口创建策略路由转发表，将所述策略路由转发表记录到所述VPN转发信息管理结构中，将所述策略路由转发表下发到策略路由转发模块；
[0030]策略路由转发模块，策略路由转发模块根据该报文的入接口上使能的策略路由查找匹配策略和转发策略，并根据匹配策略中的报文匹配规则对该报文进行匹配，若匹配成功，则查找策略路由转发表，根据策略路由转发表对该报文进行转发。
[0031]进一步，所述策略路由配置模块在配置策略路由时，可指定多个转发策略，不同的转发策略可配置相同的下一跳或出接口。
[0032]进一步，所述策略路由管理模块根据为匹配报文指定的下一跳或出接口创建策略路由转发表的方法包括:
[0033]在所述下一跳所属的VPN转发信息中查找该下一跳相关的转发信息，在找到该下一跳相关的转发信息后，以此创建所述下一跳对应的策略路由转发表；
[0034]判断转发出接口所属VPN是否与所述转发策略中指定的VPN相同，如果相同，则创建策略路由转发表，该转发表的出接口为所述转发出接口。
[0035]进一步，所述策略路由管理模块还用于收到路由信息变化消息时，根据所述路由信息变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理结构；根据所述路由信息变化消息判断变化路由是否与转发策略中指定的下一跳相关，如果相关，则根据下一跳配置信息以及路由变化信息对策略路由转发表进行更新操作。
[0036]进一步，所述策略路由管理模块还用于在收到出接口状态变化消息时，根据所述出接口状态变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理接口 ；根据所述出接口状态变化消息判断状态发生变化的接口是否为策略路由中指定的出接口，如果是，则根据出接口配置信息及出接口状态变化消息对策略路由转发表进行更新操作。
[0037]本发明的有益效果是:
[0038]配置策略路由将匹配报文在指定的VPN中转发，避免匹配报文通过查找VPN转发表的方式确定转发路径，而是使用指定的路径转发，避免查找VPN转发表，提高转发效率；
[0039]不需要路由协议学习和维护大量的VPN路由，设备只需要保证策略路由配置的转发策略可以正确转发报文即可，这样可以大大降低网络节点对设备的要求，尤其对网络边界设备这类需要学习路由量较大的节点效果更为显著，从而降低采购和维护成本。

【专利附图】

【附图说明】
[0040]图1是本发明中的实现VPN网络报文转发的设备示意图；
[0041]图2是本发明中的实现VPN网络报文转发的方法流程图；
[0042]图3是路由信息发生变化时，更新已经创建的策略路由转发表的流程图；
[0043]图4是出接口状态发生变化时，更新已经创建的策略路由转发表的流程图；
[0044]图5是传统技术中在简单VPN环境下的数据转发示意图；
[0045]图6是本发明中在简单VPN环境下的数据转发示意图。

【具体实施方式】
[0046]本发明旨在提出一种实现VPN网络报文转发的方法及设备，解决传统技术中转发方式需要通过查找VPN路由表进行转发，而带来的转发效率低和提高了设备硬件成本的问题。本发明在配置策略路由的转发策略时，如果配置的转发策略为匹配报文在指定VPN中转发，则在指定VPN后，指定下一跳或者出接口，指定的下一跳或者出接口属于之前指定的VPNo策略路由管理模块为对应的转发策略创建转发表时，需要在指定的下一跳或者出接口所属的VPN中查找相关的转发信息，并以此创建策略路由转发表。转发报文过程中，如果报文匹配了策略路由的匹配策略，则直接根据创建的转发表转发报文，而不再根据目的地址查找VPN转发表。
[0047]如图1所示，本发明中的实现VPN网络报文转发的设备包括:
[0048]策略路由配置模块，用于配置策略路由的匹配策略和转发策略，并将其通告给策略路由管理模块，所述转发策略中包括匹配报文在指定VPN中转发，且为匹配报文指定下一跳或出接口；
[0049]策略路由管理模块，用于对匹配策略和转发策略进行保存，并根据转发策略中指定的VPN信息创建VPN转发信息管理结构，且根据为匹配报文指定的下一跳或出接口创建策略路由转发表，将所述策略路由转发表记录到所述VPN转发信息管理结构中，将所述策略路由转发表下发到策略路由转发模块；
[0050]策略路由转发模块，策略路由转发模块根据该报文的入接口上使能的策略路由查找匹配策略和转发策略，并根据匹配策略中的报文匹配规则对该报文进行匹配，若匹配成功，则查找策略路由转发表，根据策略路由转发表对该报文进行转发。
[0051]基于上述设备，本发明实现的VPN网络报文转发方法如图2所示，其包括以下步骤:
[0052]步骤201.配置策略路由的匹配策略和转发策略，并将其通告给策略路由管理模块；所述转发策略中包括匹配报文在指定VPN中转发，且为匹配报文指定下一跳或出接口 ；
[0053]策略路由业务的配置包括两类，一类是配置策略，包括报文匹配策略和转发策略，不同策略的集合使用策略路由名区分。另一类是在接口上使能策略路由功能，让所述接口收到的报文按照使能的策略路由处理。本发明主要涉及转发策略的配置、管理以及匹配报文的转发流程。
[0054]步骤202.策略路由管理模块对匹配策略和转发策略进行保存，并根据转发策略中指定的VPN信息创建VPN转发信息管理结构，且根据为匹配报文指定的下一跳或出接口创建策略路由转发表，将所述策略路由转发表记录到所述VPN转发信息管理结构中；
[0055]本步骤中，所述的下一跳和出接口属于转发策略中指定的VPN，配置策略路由时可以指定多个VPN转发策略，不同的VPN转发策略可以配置相同的下一跳和出接口。
[0056]其中，所述根据为匹配报文指定的下一跳或出接口创建策略路由转发表的方式为:
[0057]在所述下一跳所属的VPN的转发信息中查找该下一跳相关的转发信息，如果找到，则以此创建所述下一跳对应的策略路由转发表。如果未找到，则不创建策略路由转发表。所述VPN的转发信息为设备通过路由协议、静态配置等方式创建。
[0058]以及，判断所述转发出接口所属VPN是否同所述转发策略中指定的VPN相同，如果相同，则创建策略路由转发表，该转发表的出接口为所述的转发出接口，否则，不创建策略路由转发表。
[0059]步骤203.策略路由管理模块将所述策略路由转发表下发到策略路由转发模块；
[0060]尽管策略路由管理模块创建VPN管理结构并将下一跳和出接口的配置和转发信息记录到所述VPN管理结构中，为提高转发效率，策略路由转发模块不需要创建VPN管理结构，直接保存策略路由转发表即可，匹配报文直接使用策略路由转发表转发，不需要关心所属的VPN信息。
[0061]步骤204.当VPN设备收到报文后，判断该报文的入接口是否使能了策略路由，若是，则进入步骤205，否则，按照正常转发流程进行转发；
[0062]在VPN设备收到报文后，判断报文入接口是否使能了策略路由。如果入接口没有使能策略路由，则按照正常流程转发，如果使能了策略路由，则按照策略路由中的匹配策略和转发策略进行转发。
[0063]步骤205.策略路由转发模块根据该报文的入接口上使能的策略路由查找匹配策略和转发策略，并根据匹配策略中的报文匹配规则对该报文进行匹配，若匹配成功，则查找策略路由转发表，进入步骤F，若匹配不成功，则丢弃该报文，结束流程；
[0064]步骤206.策略路由转发模块根据策略路由转发表对该报文进行转发。
[0065]如果路由信息发生变化，就需要更新已经创建的策略路由转发表，处理流程如图3所示，包括:
[0066]步骤301:策略路由管理部分收到路由信息变化消息，路由信息变化消息中携带变化路由所属的VPN INDEX。
[0067]步骤302:遍历查找所有策略路由，根据路由信息变化消息携带的VPN INDEX查找策略路由的VPN管理结构，如果没有找到，则说明不需要执行更新操作，如果找到了，则执行步骤303。
[0068]步骤303:根据路由信息变化消息判断是否同策略路由指定的下一跳相关，如果是，则执行步骤304，否则，说明不需要执行更新操作。
[0069]步骤304:根据策略路由下一跳配置信息以及路由信息变化消息的内容，更新策略路由转发表，包括添加、删除操作。
[0070]此外，如果出接口的状态(接口 UP、接口 DOWN、接口 VPN修改)发生变化，也需要更新已经创建的策略路由转发表，处理流程如图4所示，其包括以下步骤:
[0071]步骤401:策略路由管理部分收到接口状态变化消息，接口状态变化消息中携带变化接口所属的VPN INDEX。
[0072]步骤402:遍历查找所有策略路由，根据变化接口所属的VPN INDEX查找策略路由的VPN管理结构，如果没有找到，则说明不需要执行更新操作，如果找到了，则执行步骤303。
[0073]步骤403:根据接口状态变化消息判断变化接口是否是策略路由指定的出接口，如果是，则执行步骤404，否则，说明不需要执行更新操作。
[0074]步骤404:根据找到的策略路由出接口配置信息以及接口状态变化消息的内容，更新策略路由转发表，包括添加、删除。
[0075]下面通过列举实例来对比本发明与传统技术中的数据转发方案:
[0076]如图5所示一种简单的VPN环境，图中VPN设备中有两个VPN接口连接其他两台设备(实际组网中，图中所述的设备也可以是网络域)，VPN设备有一个非VPN接口(也可以是VPN接口，VPN INDEX同其他接口的VPN INDEX不同)。其中，从非VPN接口收到报文，需要将报文在VPN中转发，其中目的设备为10.0.0.1o当前已有的实现为在非VPN接口配置策略路由，指定匹配报文在指定的VPN中转发，图中目的地址为10.0.0.1的匹配报文查找VPN转发表，并根据找到的VPN转发表将报文发给设备I。如此就需要VPN设备保存设备I和设备2的所有路由信息并创建转发表，转发时需要查找转发表，查找效率同转发表数量成反比。
[0077]如图6所示，环境同图5相同，在非VPN接口配置策略路由，指定匹配报文在指定VPN中转发，并使用本发明的方法，进一步指定匹配报文的转发下一跳(指向设备I)并创建策略路由转发表。VPN设备从非VPN接口收到报文后，目的地址为10.0.0.1的报文匹配策略路由的匹配策略后，直接使用之前创建的策略路由转发表转发，不需要再查找VPN转发表，提高了转发效率，并且，VPN设备也不需要维护设备I和设备2的所有路由信息，从而有效降低对设备的要求，降低采购和维护成本。
【权利要求】
1.一种实现VPN网络报文转发的方法，其特征在于，包括以下步骤: A.配置策略路由的匹配策略和转发策略，并将其通告给策略路由管理模块；所述转发策略中包括匹配报文在指定VPN中转发，且为匹配报文指定下一跳或出接口 ； B.策略路由管理模块对匹配策略和转发策略进行保存，并根据转发策略中指定的VPN信息创建VPN转发信息管理结构，且根据为匹配报文指定的下一跳或出接口创建策略路由转发表，将所述策略路由转发表记录到所述VPN转发信息管理结构中； C.策略路由管理模块将所述策略路由转发表下发到策略路由转发模块； D.当VPN设备收到报文后，判断该报文的入接口是否使能了策略路由，若是，则进入步骤E，否则，按照正常转发流程进行转发； E.策略路由转发模块根据该报文的入接口上使能的策略路由查找匹配策略和转发策略，并根据匹配策略中的报文匹配规则对该报文进行匹配，若匹配成功，则查找策略路由转发表，进入步骤F，若匹配不成功，则丢弃该报文，结束流程； F.策略路由转发模块根据策略路由转发表对该报文进行转发。
2.如权利要求1所述的一种实现VPN网络报文转发的方法，其特征在于，步骤A中，在配置策略路由时，可指定多个转发策略，不同的转发策略可配置相同的下一跳或出接口。
3.如权利要求1所述的一种实现VPN网络报文转发的方法，其特征在于，步骤B中，所述根据为匹配报文指定的下一跳或出接口创建策略路由转发表的方法包括: 在所述下一跳所属的VPN的路由转发信息中查找该下一跳相关的转发信息，在找到该下一跳相关的转发信息后，以此创建所述下一跳对应的策略路由转发表； 判断转发出接口所属VPN是否与所述转发策略中指定的VPN相同，如果相同，则创建策略路由转发表，该转发表的出接口为所述转发出接口。
4.如权利要求1-3任意一项所述的实现VPN网络报文转发的方法，其特征在于，该方法还包括: 当路由信息发生变化时，更新已经创建的策略路由转发表，更新步骤包括: 1)策略路由管理模块收到路由信息变化消息时，根据所述路由信息变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理结构； 2)根据所述路由信息变化消息判断变化路由是否与转发策略中指定的下一跳相关，如果相关，则根据下一跳配置信息以及路由变化信息对策略路由转发表进行更新操作。
5.如权利要求1-3任意一项所述的实现VPN网络报文转发的方法，其特征在于，该方法还包括: 当出接口的状态发生变化时，更新已经创建的策略路由转发表，更新步骤包括: 1)策略路由管理模块收到出接口状态变化消息时，根据所述出接口状态变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理接口 ； 2)根据所述出接口状态变化消息判断状态发生变化的接口是否为策略路由中指定的出接口，如果是，则根据出接口配置信息及出接口状态变化消息对策略路由转发表进行更新操作。
6.一种实现VPN网络报文转发的设备，其特征在于，包括: 策略路由配置模块，用于配置策略路由的匹配策略和转发策略，并将其通告给策略路由管理模块，所述转发策略中包括匹配报文在指定VPN中转发，且为匹配报文指定下一跳或出接口 ； 策略路由管理模块，用于对匹配策略和转发策略进行保存，并根据转发策略中指定的VPN信息创建VPN转发信息管理结构，且根据为匹配报文指定的下一跳或出接口创建策略路由转发表，将所述策略路由转发表记录到所述VPN转发信息管理结构中，将所述策略路由转发表下发到策略路由转发模块； 策略路由转发模块，策略路由转发模块根据该报文的入接口上使能的策略路由查找匹配策略和转发策略，并根据匹配策略中的报文匹配规则对该报文进行匹配，若匹配成功，则查找策略路由转发表，根据策略路由转发表对该报文进行转发。
7.如权利要求6所述的一种实现VPN网络报文转发的设备，其特征在于，所述策略路由配置模块在配置策略路由时，可指定多个转发策略，不同的转发策略可配置相同的下一跳或出接口。
8.如权利要求6所述的一种实现VPN网络报文转发的设备，其特征在于，所述策略路由管理模块根据为匹配报文指定的下一跳或出接口创建策略路由转发表的方法包括: 在所述下一跳所属的VPN的路由转发信息中查找该下一跳相关的转发信息，在找到该下一跳相关的转发信息后，以此创建所述下一跳对应的策略路由转发表； 判断转发出接口所属VPN是否与所述转发策略中指定的VPN相同，如果相同，则创建策略路由转发表，该转发表的出接口为所述转发出接口。
9.如权利要求6-8任意一项所述的一种实现VPN网络报文转发的设备，其特征在于，所述策略路由管理模块还用于收到路由信息变化消息时，根据所述路由信息变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理结构；根据所述路由信息变化消息判断变化路由是否与转发策略中指定的下一跳相关，如果相关，则根据下一跳配置信息以及路由变化信息对策略路由转发表进行更新操作。
10.如权利要求6-8任意一项所述的一种实现VPN网络报文转发的设备，其特征在于，所述策略路由管理模块还用于在收到出接口状态变化消息时，根据所述出接口状态变化消息中携带的VPN INDEX查找策略路由的VPN转发信息管理接口 ；根据所述出接口状态变化消息判断状态发生变化的接口是否为策略路由中指定的出接口，如果是，则根据出接口配置信息及出接口状态变化消息对策略路由转发表进行更新操作。
【文档编号】H04L12/46GK104486229SQ201410814647
【公开日】2015年4月1日 申请日期:2014年12月24日 优先权日:2014年12月24日
【发明者】孟庆超 申请人:迈普通信技术股份有限公司