基于分段路由和SDN技术的VPN方法、装置及系统与流程

本发明涉及数据通信中的SDN领域，尤其涉及一种SDN网络中基于分段路由的VPN数据传输方法、装置及系统。

背景技术：

三层VPN(Virtual Private Network，虚拟专用网络)是IP(Internet Protocol，互联网协议)技术的一个重要应用，当前最常用的技术方案是BGP(Border Gateway Protocol，边界网关协议)MPLS(Multi-Protocol Label Switch，多协议标签交换)VPN，但是现有技术中主要存在三个问题：需要存在专门的信令协议LDP(Label Distribution Protocol，标签分发协议)，并且核心节点需保存所有LSP(Label Switched Path，标签交换路径)状态，但是LSP状态与PE(Provider Edge，提供商边缘设备)数量相关，PE逐个配置工作量大，可扩展性差。如果使用MP-BGP协议通告用户路由，为保证BGP对等体之间的连通性，需要在BGP对等体之间建立全连接关系，配置过程中存在n平方问题，当BGP对等体数目很多时，对网络资源和CPU(Central Processing Unit，中央处理器)资源的消耗都很大。

因此，有必要提出一种SDN网络中的数据传输方法，提高网络的可扩展性，降低对网络资源和CPU资源的消耗。

技术实现要素：

本公开要解决的一个技术问题是如何提供一种提高网络的可扩展性、降低对网络资源和CPU资源的消耗的SDN网络中的数据传输方法。

本公开提供一种SDN网络中基于分段路由的VPN数据传输方法， 包括：入口提供商边缘设备PE根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包；入口PE将所述封装后的数据包发送给核心层设备P，所述核心层设备根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE，所述目标PE根据第二CE的标签将所述数据包中第一CE发送的信息路由给第二CE。

进一步地，所述入口提供商边缘设备PE根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包之前包括：控制器接收入口PE和目标PE基于邻接分段信息adj segment上报的接口信息，所述接口信息包括第一、第二CE的接口信息和入口PE、目标PE的接口信息；所述控制器根据接收到的接口信息，统一定义各PE的segment标签信息，以及CE的路由标识RD、路由目的RT的标签信息；所述控制器使用南向协议下发所述标签信息，其中，所述南向协议包括路径计算元素的PECP协议、边界网关协议链路状态BGP-LS、网络环境设置命令Netconfig。

进一步地，所述控制器接收入口PE和目标PE基于邻接分段信息adj segment上报的接口信息包括：在定义用户虚拟路由转发表VRF时绑定邻接分段信息adj-segment，一个标签对应一个虚拟路由转发表，并将所述标签存储在分段路由标签库中。

进一步地，所述入口提供商边缘设备PE根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包包括：入口PE将目标PE、第二CE的标签插入到第一CE发送的信息中，其中，将目标PE的标签放在接口标签的栈首，将第二CE的标签放到接口标签的栈底。

进一步地，通过采用扩展内部网关协议IGP协议实现域内设备的路由数据信息互通，各个设备无需保存任何状态信息，并且无需运行其他信令协议如LDP、RSVP-TE等。

本发明还提供一种SDN网络中基于分段路由的VPN数据传输装置，包括：封装模块，用于根据第二用户边缘设备CE的标签和目标 PE的标签将第一CE发送的信息封装成含有标签信息的数据包；转发模块，用于将所述封装后的数据包发送给核心层设备P，所述核心层设备根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE，所述目标PE根据第二CE的标签将第一CE发送的信息路由给第二CE。

进一步地，所述封装模块用于将目标PE、第二CE的标签插入到第一CE发送的信息中，其中，将目标PE的标签放在接口标签的栈首，将第二CE的标签放到接口标签的栈底。

本发明还提供一种SDN网络中基于分段路由的VPN数据传输系统，包括：包括上述SDN网络中基于分段路由的VPN数据传输装置的提供商边缘设备PE，以及核心层设备P、用户边缘设备CE、控制器；其中，控制器接收PE基于邻接分段信息adj segment上报的接口信息，所述接口信息包括CE的接口信息和PE的接口信息；所述控制器统一定义PE以及用户CE的路由标识RD、路由目的RT的标签信息；所述控制器使用南向协议下发所述标签信息，其中，所述南向协议包括路径计算元素的PECP协议、边界网关协议链路状态BGP-LS、网络环境设置命令Netconfig下发标签信息。

进一步地，所述PE包括入口PE和目标PE，所述CE包括第一CE、第二CE；其中，入口PE将所述封装后的数据包发送给核心层设备P，所述核心层设备P根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE，当存在多条转发路径时负载分担；所述目标PE根据第二CE的标签将第一CE发送的信息路由给第二CE。

进一步地，在定义用户虚拟路由转发表VRF时绑定邻接分段信息adj-segment，一个标签对应一个虚拟路由转发表，所述控制器将所述标签存储在分段路由标签库中。

进一步地，通过采用扩展内部网关协议IGP协议实现域内设备的路由信息互通，各个设备无需保存任何状态信息。这样，无需运行其他信令协议如LDP、RSVP-TE等。

本发明提供的SDN网络中基于分段路由的VPN数据传输方法、装置以及系统，使用集中部署方式的SDN控制器发布VPN路由信息进行转发，降低运维工作量，提升运营商业务运营效率提高网络的可扩展性，降低对网络资源和CPU资源的消耗。

附图说明

图1示出本发明一个实施例的SDN网络中基于分段路由的VPN数据传输方法的流程图。

图2示出本发明一个实施例的SDN网络控制器实现VPN路由信息分发的示意图。

图3示出本发明一个实施例的SDN网络中数据包传输的示意图。

图4示出本发明一个实施例的SDN网络中基于分段路由的VPN数据传输装置的结构示意图。

图5示出本发明一个实施例的一种SDN网络中基于分段路由的VPN数据传输系统的结构框图。

图6示出了本发明的另一个实施例的一种SDN网络中基于分段路由的VPN数据传输装置的结构框图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。

图1示出本发明一个实施例的SDN网络中基于分段路由的VPN数据传输方法的流程图。如图1所示，该方法主要包括：

步骤100，入口提供商边缘设备PE根据第二用户边缘设备CE(Customer Edge)的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包。

在一个实施例中，控制器接收入口PE和目标PE基于邻接分段信息(adj segment)上报的接口信息，所述接口信息包括第一、第二CE的接口信息和入口PE、目标PE的接口信息；所述控制器统一定义各 PE的segment标签信息以及CE的RD(route distinguisher，路由标识或路由区分符)、RT(Route Targets，路由目的)的标签信息；所述控制器使用南向协议下发所述标签信息，其中，所述南向协议包括路径计算元素的PECP协议、边界网关协议链路状态BGP-LS、网络环境设置命令Netconfig。

在一个实施例中，控制器接收入口PE和目标PE基于邻接分段信息adj segment上报的接口信息包括：在定义用户虚拟路由转发表VRF时绑定邻接分段信息adj-segment，一个标签对应一个虚拟路由转发表，并将所述标签存储在分段路由标签库中。

步骤102，入口PE将所述封装后的数据包发送给核心层设备P，所述核心层设备根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE，所述目标PE根据第二CE的标签将所述数据包中第一CE发送的信息路由给第二CE。

在一个实施例中，入口PE将目标PE、第二CE的标签插入到第一CE发送的信息中，其中，将目标PE的标签放在接口标签的栈首，将第二CE的标签放到接口标签的栈底。

在一个实施例中，通过采用扩展IGP(内部网关协议，Interior Gateway Protocol)协议实现域内设备的路由数据信息互通，各个设备无需保存任何状态信息。这样，无需运行其他信令协议如LDP、RSVP-TE等。

本发明实施例提供的SDN网络中基于分段路由的VPN数据传输方法，使用集中部署的SDN控制器发布VPN路由信息进行转发，降低运维工作量，提升运营商业务运营效率，提升运营商业务运营效率提高网络的可扩展性，降低对网络资源和CPU资源的消耗。

图2示出本发明一个实施例的SDN网络控制器实现VPN路由信息分发的示意图。如图2所示，该流程主要包括：

步骤201，PE 22向控制器21上报本地用户接口信息，该接口信息绑定有adj-segment标签。绑定adj-segment是在定义用户VRF(Virtual Routing Forwarding，虚拟路由转发表)时候做的，其中，绑 定示例为：Label a对应VRF A，Label b对应VRF B，其中，一个客户对应一个VRF，如laber a是存在segment routing标签库中，是本地有效的。

步骤202，控制器21使用PCEP/BGP-LS/Netconfig等南向协议下发用户标签信息，统一定义RD、RT的标签，控制器并记录各个PE、P设备的标签，在转发过程中选择最优转发路径，实现用户路由信息的交换以及VPN拓扑的构建。

具体地，定义RT、RD时，现有技术是由PE做然后通过BGP分发出去，但是全网的PE之间都要建立BGP连接(n平方个连接)或者通过RR。与现有技术相对比，采用控制器控制之后，这部分工作可以集中在控制器部分进行，将分布式管理改为集中式控制，可实现对用户数据的封装及转发。

使用分段路由技术，沿途设备无需进行标签转换，降低运维工作量，可以省去了其他信令协议如LDP，所以中间节点无需标签转换，只要根据标签栈转发就行，转发过程跟控制器无关，提升了运营商业务运营效率。

图3示出本发明一个实施例的SDN网络中数据包传输的示意图。如图3所示，该传输流程主要包括：PE 106需要发送数据包到PE87，首先将PE 87的客户标签9001放在标签栈底，再将PE87的标签87放在标签栈首，控制器设定该数据包的传输路径为通过核心网设备489、314传播，沿途核心网设备P设备无需改动标签，只需根据栈首标签进行转发，PE 87收到数据包后，将栈首标签87弹出，读取栈底标签9001，把数据包转给链路标签为9001的目标CE。

PE在收到路由请求后会查找路由表，找到目标PE及链路所在标签，然后将目标标签打上，其中，87是目标PE标签，9001是目标链路。相对于现有技术通过LDP技术来传播标签，需要沿途来改变的方式，本发明提供的数据传输方式，标签会沿途传播且不会被改变，一直到目标PE，这样，基于分段路由的信息传输方法不需要BGP和LDP协议，中间状态减少、无需端到端的控制协议，路径信息存储在数据包 中，减轻了设备负荷；集中式的路由传播方式，PE之间不需要建立连接，也不需要RR；三是集中式的方式可以更方便的做路径优化。

图4示出本发明一个实施例的SDN网络中基于分段路由的VPN数据传输装置的结构示意图，该装置400包括：

封装模块401，用于根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包；

转发模块402，用于将所述封装后的数据包发送给核心层设备P，所述核心层设备根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE，所述目标PE根据第二CE的标签将第一CE发送的信息路由给第二CE。

在一个实施例中，所述封装模块401用于将目标PE、第二CE的标签插入到第一CE发送的信息中，其中，将目标PE的标签放在接口标签的栈首，将第二CE的标签放到接口标签的栈底。

图5示出本发明一个实施例的一种SDN网络中基于分段路由的VPN数据传输系统的结构框图，如图5所示，该系统包括：包括基于分段路由的信息传输装置的提供商边缘设备PE 501，以及核心层设备P502、用户边缘设备CE 503、控制器504；其中，控制器504接收PE 501基于邻接分段信息adj segment上报的接口信息，所述接口信息包括CE的接口信息和PE的接口信息；所述控制器统一定义PE的segment标签信息以及用户CE的路由标识RD、路由目的RT的标签信息；所述控制器504使用南向协议下发所述标签信息，其中，所述南向协议包括路径计算元素的PECP(Path Computation Element Protocol)协议、边界网关协议链路状态BGP-LS(BGP Link-State)、网络环境设置命令Netconfig下发标签信息。

在一个实施例中，所述PE 501包括入口PE和目标PE，CE 503包括第一CE、第二CE；其中，入口PE将所述封装后的数据包发送给核心层设备P，所述核心层设备502根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE；所述目标PE根据第二CE的标签将第一CE发送的信息路由给第二CE。

在一个实施例中，在定义用户虚拟路由转发表VRF时绑定邻接分段信息adj-segment，一个标签对应一个虚拟路由转发表，所述控制器504将所述标签存储在分段路由标签库中。

在一个实施例中，通过采用扩展内部网关协议IGP协议实现域内设备的路由信息互通，各个设备无需保存任何状态信息。

图6示出了本发明的另一个实施例的一种SDN网络中基于分段路由的VPN数据传输装置的结构框图。基于分段路由的信息传输装置600可以是具备计算能力的主机服务器、个人计算机PC、或者可携带的便携式计算机、移动终端或其他终端等。本发明具体实施例并不对计算节点的具体实现做限定。

基于分段路由的信息传输装置600包括处理器(processor)601、通信接口(Communications Interface)602、存储器(memory)603和总线604。其中，处理器601、通信接口602、以及存储器603通过总线604完成相互间的通信。

通信接口602用于与网络设备通信，其中网络设备包括例如虚拟机管理中心、共享存储等。

处理器601用于执行程序。处理器601可以是一个中央处理器CPU，或者可以是专用集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器603用于存放文件。存储器603可以包含高速RAM存储器，也可还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器603也可以是存储器阵列。存储器603还可能被分块，并且块可按一定的规则组合成虚拟卷。

在一种实施方式中，上述程序可为包括计算机操作指令的程序代码。该程序具体可用于：根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包；将所述封装后的数据包发送给核心层设备P，所述核心层设备根据所述数据包中的目标PE的标签建立转发路径，将所述数据包路由给目标PE，所述目标PE根据第二CE的标签将所述数据包中第一CE发送的信息路由 给第二CE。

在一个实施例中，根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包之前包括：控制器接收入口PE和目标PE基于邻接分段信息adj segment上报的接口信息，所述接口信息包括第一、第二CE的接口信息和入口PE、目标PE的接口信息；所述控制器根据接收到的接口信息，统一定义各PE的segment标签信息以及CE的路由标识RD、路由目的RT的标签信息；所述控制器使用南向协议下发所述标签信息，其中，所述南向协议包括路径计算元素的PECP协议、边界网关协议链路状态BGP-LS、网络环境设置命令Netconfig。

在一个实施例中，所述控制器接收入口PE和目标PE基于邻接分段信息adj segment上报的接口信息包括：在定义用户虚拟路由转发表VRF时绑定邻接分段信息adj-segment，一个标签对应一个虚拟路由转发表，并将所述标签存储在分段路由标签库中。

在一个实施例中，所述入口提供商边缘设备PE根据第二用户边缘设备CE的标签和目标PE的标签将第一CE发送的信息封装成含有标签信息的数据包包括：入口PE将目标PE、第二CE的标签插入到第一CE发送的信息中，其中，将目标PE的标签放在接口标签的栈首，将第二CE的标签放到接口标签的栈底。

在一个实施例中，通过采用扩展内部网关协议IGP协议实现域内设备的路由数据信息互通，各个设备无需保存任何状态信息。

本领域普通技术人员可以意识到，本文所描述的实施例中的各示例性单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件形式来实现，取决于技术方案的特定应用和设计约束条件。专业技术人员可以针对特定的应用选择不同的方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

如果以计算机软件的形式来实现功能并作为独立的产品销售或使用时，则在一定程度上可认为本发明的技术方案的全部或部分(例如对现 有技术做出贡献的部分)是以计算机软件产品的形式体现的。该计算机软件产品通常存储在计算机可读取的非易失性存储介质中，包括若干指令用以使得计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各实施例方法的全部或部分步骤。而前述的存储介质包括U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。