载波间虚拟专用网的制作方法_2

钥的加密密钥数据结构。所 述识别模块通过存储在加密密钥数据结构中的密钥对加密后路由条目进行解密，并且将解 密后路由条目存储在局部表数据结构中。
[0047] 在第=方面本身的或根据第=方面的前述实施形式中任一者的第四可能的实施 形式中，所述系统进一步包含AAA模块，用于针对VPN端点执行认证、授权和计费交易。
[0048] 根据本发明的第四方面，提供一种用于通过多个载波建立虚拟专用网络的用户客 户端系统。所述用户客户端系统包含： W例 U网络接口，用于与VPN端点载波和证书颁发中屯、进行电通信；
[0050] n)硬件处理器，其与网络接口进行电通信拟及
[0051] III)非暂时性存储器，其与硬件处理器进行电通信。所述存储器存储：识别相应 虚拟专用网络（virtualprivatenetwork，VPN)的VPN标识符（VPNID);用于虚拟专用网 络的相应VPN加密密钥；识别用户客户端的通用标识符；W及用于通过硬件处理器执行指 令的程序模块。
[0052] 所述程序模块包含：
[0053]i)认证请求模块，用于将请求发送到用于虚拟专用网络的VPN标识符（VPNID)和 相应VPN加密密钥的证书颁发中屯、；W及用于从证书颁发中屯、接收相应VPNID和相应VPN 加密密钥；
[0054] ii)端点请求模块，用于将请求发送到多个载波W托管相应端点VPN。所述请求包 含通用标识符、相应VPN ID和相应加密密钥；W及 阳05引 iU)确认模块，用于从载波中接收建立相应VPN端点的确认，其中VPN通过VPN端 点的载波从相应VPNID和通用标识符的组合中识别。
[0056] 除非另外规定，否则本文中所用的所有技术和/或科学术语具有与本发明所属领 域的一般技术人员通常所理解相同的含义。尽管与本文所述的方法和材料类似或等效的材 料和方法可W用于本发明的实施例的实践或测试，但下文描述示例性方法和/或材料。倘 若有冲突，本专利说明书，包括定义，将为主。另外，材料、方法和实例仅为说明性的且不意 欲为必定限制性的。
【附图说明】
[0057] 本文中仅借助于实例参考附图描述本发明的一些实施例。现具体详细地参考附 图，强调细节借助于实例且出于对本发明的实施例的说明性论述的目的示出。就此而言，结 合附图进行的描述使可W如何实践本发明的实施例对所属领域的技术人员而言变得显而 易见。 W5引在图式中：
[0059]图1是根据本发明的实施例的分布在多个载波上的VPN的简化框图； W60]图2是根据本发明的实施例的在两个载波上具有VPN端点的网络的简化图；
[0061] 图3是根据本发明的实施例的用于建立多载波虚拟专用网络的端点的方法的简 化流程图；
[0062] 图4是根据本发明的实施例的用于通过多个载波建立VPN的方法的简化流程图；
[0063] 图5是根据本发明的实施例的用于在多个载波上建立VPN的方法的简化流程图；
[0064] 图6是根据本发明的实施例的用于建立多载波虚拟专用网络的端点的系统的简 化框图；W及
[0065] 图7是根据本发明的实施例的用于通过多个载波建立虚拟专用网络的用户客户 端系统的简化框图。
【具体实施方式】
[0066] 在本发明的一些实施例中，本发明设及在多个载波上建立虚拟专用网络，且更具 体来说但非排他地，设及在多个载波之间分布虚拟专用网络路由信息。
[0067] 虚拟专用网跨越多载波网络，例如，因特网扩展专用网络。用户在多个载波上建立 VPN端点。出于路由目的，需要公开和同步关于每用户和每载波的运些VPN端点的位置的信 息。
[0068] 如果VPN端点具有公共IP地址，那么关于其位置的信息可W使用标准边界网关协 议度order Gateway ProtocoLBGP)公开，但不公开关于其所位于的实际云或载波的信息。 如果VPN端点具有专用IP地址，那么VPN(Vi;rtual Private Networking,虚拟专用网）和 VRF(virtual routing and forwarding,虚拟路由转发）可W用于隔开地址空间。 !；00例然而在BGP下，如果VPN的两个站点连接到不同自治系统（Autonomous Systems, AS),那么需要使用外部BGP巧BGP)来分布VPN第四版因特网协议（IPv4)或VPN第六版因 特网协议（IPv6)地址的方式。例如，当站点连接到不同服务提供商（service provider, S巧时可能出现此情形。
[0070] 此外，BGP仅针对BGP实体且不针对资源和用户具有安全性。不存在用W通 过客户或专用拓扑信息执行认证、授权和计费（authentication,authorizationand accountin邑，AAA)的方式。
[0071] 目前，存在处理此情况的多个不同方式：
[0072] A)在AS(AutonomousSystem,自治系统）访界路由器处的VRF到VRF的连接 [007引通过此方法，在一个AS中的提供商边缘（ProviderEdge,阳）路由器直接连接到 另一AS中的PE路由器。两个PE路由器通过多个子接口、用于其路线需要从AS传递到AS 的VPN中的每一个的至少一个子接口连接。每一PE路由器处理另一者，如同所述PE路由 器是客户边缘（化StomerEdge,C巧路由器一样。也就是说，阳路由器使每一此种子接口 与VRF相关联，并且使用邸GP来将未标记IPv4地址分布到彼此。运是在自治系统之间的 边界处不需要多协议标记交换（MultiprotocolL油elSwitching,MF*L巧的过程。然而，它 并不按比例缩放并且下文论述的其它方法也是如此。
[0074] B)梳巧的YPN-IPv4的邸GP巧分巧从AS路由到巧邻AS
[0075] 通过运种方法，阳路由器使用内部BGP(IBGP)来将标记的VPN-IPv4路线重新分 布到自治系统边界路由器（AutonomousSystemBorderRouter,ASBR)或其中ASBR是客户 端的路由反射器。所述ASBR随后使用邸GP来将那些标记的VPN-IPv4路线重新分布到另 一AS中的ASBR。另一AS又将标记的VPN-IPV4路线分布到所述AS中的阳路由器，或分布 到可能又进一步分布所述标记的VPN-IPv4路线的另一ASBR等。
[0076] 当使用此过程时，仅在私有对等点处的邸GP连接上作为SP之间的可信布置的一 部分接受VPN-IPV4路线。VPN-IPV4路线未被分布到公共因特网，或不可信的任何BGP对等 体或未从公共因特网，或不可信的任何BGP对等体接受VPN-IPV4路线。ASBR并不从邸GP 对等体中接受标记包，除非它实际上已将顶部标签分布到所述对等体。如果存在具有附接 到不同自治系统的站点的多个VPN，那么在保持用于所有VPN的所有路线的AS之间不需要 单个ASBR。可W存在多个ASBR，其中每一个仅保持用于VPN的特定子集的路线。此过程需 要存在从包的入口PE导向其出口PE的标签交换路径。因此，合适的信任关系必须存在于 沿着路径的AS的集合之间和之中。此外，必须在SP的集合之中存在关于哪些边界路由器 需要接收具有哪些路由目标的路线的协定。
[0077] C)梳巧的VPN-IPv4路线在源与目的化AS.间的《跳邸GP巧分巧，Pi及梳巧的 IPv4路线从AS到巧邻AS的邸GP巧分巧
[0078] 通过此方法，不通过ASBR保持或分布VPN-IPv4路线。ASBR必须将标记的IPV4/32 路线保持到其AS内的PE路由器。ASBR使用邸GP来将运些路线分布到其它AS。在任何跨 越式AS中的ASBR还将必须使用邸GP来沿着标记的IPV4/32路线传递。运导致从入口阳 路由器到出口PE路由器的标签交换路径的形成。
[0079] 在形成所述路径之后，不同AS中的PE路由器能够建立到彼此的多跳邸GP连接并 且在那些连接上交换VPN-IPv4路线。如果阳路由器的IPV4/32路线是VPN内的每一AS通 信的PE路由器已知的，那么正常行进。如果PE路由器的IPV4/32路线不是PE路由器（除 ASBRW外）已知的，那么此过程需要包的入口PE将S标签堆放置于其上。底部标签通过 出口阳分配，其对应于特定VRF中的包的目的地地址。中间标签通过ASBR分配，其对应于 到出口阳的IPV4/32路线。顶部标签通过入口阳的IGP下一跳分配，其对应于到ASBR的 IPV4/32路线。为了改进可扩展性，多跳邸GP连接可W仅存在于一个AS中的路由反射器与 另一AS中的路由反射器之间。（然而，当路由反射器在此连接上分布路线时，它们并未修 改所述路线的BGP下一跳属性。）实际PE路由器随后仅具有到在其自身AS中的路由反射 器的IBGP连接。与前述过程一样，运需要存在从包的入口PE导向其出口PE的标签交换路 径。
[0080] 另外，当前VRF解决方案仍使每用户信息的手动配置成为必要并且仅存在于单个 网络运营商的情境内，因为路由标识通过每一载波独立地管理。（通过CE路由器播发到PE 路由器的IP子网通过64位前缀路由标识扩增W使其独特。）所得的96位地址随后使用多 协议BGP(MP-BG巧的特定地址族在阳路由器之间交换。每VPN路由信息到MP-BGP中的再 分布并不是自动的并且必须在每一VRF的路由器上手动地配置。
[0081] 在详细解释本发明的至少一个实施例之前，应理解，本发明在其应用中不必限于 在W下描述中阐述和/或在附图和/或实例中所说明的组件和/或方法的结构W及布置的 细节。本发明能够具有其它实施例或W各种方式实践或进行。
[0082] 本发明可W是系统、方法和/或计算机程序产品。计算机程序产品可W包含计算 机可读存储媒体（或媒体），其上具有计算机可读程序指令W使处理器执行本发明的方面。
[0083] 计算机可读存储媒体可W是有形装置，其可W保持和储存指令W供指令执行装置 使用。计算机可读存储媒