用於在ip網絡上實現l2vpn的方法和設備的製作方法

2023-07-13 18:12:21

專利名稱：用於在ip網絡上實現l2vpn的方法和設備的製作方法
技術領域：
本發明涉及通信網絡，並且更具體地涉及用於在網際協議(IP)網絡上實現第2層虛擬專用網的方法和設備。
背景技術：
數據通信網絡可包括連接在一起並且配置為相互傳送數據的各種計算機、伺服器、節點、路由器、交換機、網橋、集線器、代理和其它網絡設備。這些設備在這裡將被稱作為「網絡元件」。通過利用一條或多條通信鏈路在網絡元件之間傳送協議數據單元，例如數據幀、分組、單元或段，通過數據通信網絡來傳送數據。當特定的協議數據單元經由網絡在它的源和它的目的地之間移動時，它可由多個網絡元件處理並且跨越多條通信鏈路。通信網絡上的各種網絡元件使用預定義的規則組(這裡稱作為協議)相互通信。不同的協議被用於控制通信的不同方面，例如應當如何形成信號用於在網絡元件之間傳輸，協議數據單元應當看起來像什麼的各個方面，網絡元件應當如何處理分組或通過網絡路由分組，以及與路由信息相關的信息應當如何在網絡元件之間交換。企業合併和安全性考慮是虛擬化網絡的需求的驅動。網絡的虛擬化使得經由物理網絡創建虛擬網絡，以使得流量可對於形成虛擬網絡的部分的用戶和節點的子集保持為專用。基於第2層(即乙太網)虛擬區域網(VLAN)和第3層(網際協議)的VPN是支持網絡虛擬化的功能。存在許多類型的VPN，例如基於MPLS的VPN(使用IETF RFC 4364/2547建立)、虛擬專用LAN服務(VPLS)、偽線、和基於IP安全(IP-SEC)的VPN。也存在其它類型的VPN，並且該列表不旨在是窮盡的。雖然所有這些VPN具有特定的優點和適用性，但是每一個都需要專門的下層基礎結構來支持VPN。一個常見的VPN技術基於RFC 2547 (其現在已由IETF RFC 4364取代)。該標準被提出以使得VPN能夠被部署在MPLS網絡上。基於該標準的VPN已被詳盡地提出並且因此它們操作的方式是眾所周知的。不幸地，具有其自己的信令和控制面協議的MPLS基礎結構已被證明其實現和維護是昂貴的。為了減輕該VPN方案的某些複雜性，2007年11月6日提交的標題為「Supporting BGP Based IP-VPN in a Routed Network」的相關美國專利申請號11/935，563提出使用RFC 2547的VPN基礎結構結合IP封裝而不是結合MPLS網絡。如該申請中所述，PE節點創建虛擬路由和轉發表(即輸入路由目標/輸出路由目標屬性)的基本方式保持相同。然而，不是通告MPLS服務標籤，而是節點輸出要被用於在IP網絡上轉發流量的IP服務地址。因此，VPN方案能夠在任何IP網絡上使用並且不限於在MPLS網絡上使用。因為用於該基於IP的VPN方案的基本的基礎結構是基於使用MP-iBGP擴展的FC 4364/2547控制面原理的，所以僅僅需要VPN的端點支持該功能。IP網絡中間的節點作為普通的IP路由器操作，並且因此對於正在實施VPN的事實是不可知的。RFC 2547/4364的該前述擴展使得第3層(即IP層)VPN被構建在IP網絡上。還存在用戶想要有第2層VPN而不是第3層VPN的情況。因此，提供容易部署到現有網絡並且不需要MPLS基礎結構的L2VPN方案將是有利的。

發明內容
基於IETF RFC 4364/2547的MP-BGP VPN基礎結構被用於配置IP網絡上的第2層VPN。用於VPN的VRF被配置在乙太網交換機上並且服務IP位址關聯於每一個被配置的VRF。服務IP位址交互以使得被尋址的VPN流量能夠由IP網絡傳送。為了能夠在網絡上建立第2層VPN，為第2層VPN配置VPN-VLAN ID,並且在 作為VPN —部分的每一個VRF中設置用於VPN-VLAN的輸入/輸出路由目標。使用VPN-VLAN ID在網絡上實現VPN-VLAN以便建立第2層廣播域。使用MP-iBGP和為該VPN-VLAN設置的輸出路由目標向所有的PE宣告VPN-VLAN ID。如果輸入的RT與MP-iBGP控制面接收的輸出RT匹配，那麼PE的控制面在邏輯埠上得知VPN-VLAN。一旦在邏輯埠上得知VPN-VLAN ID,那麼PE將在該邏輯埠上的VLAN內執行MAC學習。作為VPN VLAN的一部分的PE可具有連接到客戶端網絡(例如客戶端區域網)的邏輯埠。術語用戶到網絡接口通常被用於指代服務提供商網絡與用戶網絡之間的分界點。如這裡所使用的，術語UNI-VLAN將被用於指代在PE上的埠處連接到PE的用戶VLAN。在本申請的上下文中，UNI-VLAN將被假設為是第2層VLAN。VPN-VLAN是UNI-VLAN經由中間路由網絡到其它PE網絡元件的邏輯擴展。VRF可連接到多個UNI-VLAN，並且類似地可連接到多個VPN-VLAN。VRF維持UNI-VLAN和VPN-VLAN之間的映射以使得UNI-VLAN廣播域能夠經由VPN-VLAN跨越路由網絡擴展。然後使用IP封裝來跨越路由網絡傳送流量，以使得L2VPN內的流量可通過網絡傳送。為了處理網絡上的數據，如果在PE處接收了具有未知MAC地址的乙太網幀，幀將被洪泛到作為VPN —部分的所有本地UNI VLAN埠並且也通過VPN-VLAN洪泛到所有遠端的VPN實例(邏輯接口)。如果目的地MAC已知並且駐留在連接的UNI-VLAN內，那麼幀將從連接到UNI-VLAN的埠發送出去。如果目的地MAC地址已知並且駐留在VPN-VLAN上(即駐留在遠端PE上)，那麼PE將讀取MAC地址以便確定用於在VPN-VLAN上轉發的邏輯埠(VPN-VLAN ID和遠端VRF的服務IP位址)。然後，乙太網幀將用包含VPN-VLAN ID的Q標記來標識並且被封裝到IP分組內以便在IP網絡上被傳輸。當在遠端PE上在IP網絡上接收了封裝有VPN-VLAN Mac-in_IP(IP內MAC)的分組時，外部IP頭部的目的地IP位址將被用於確定應當處理分組的目標VRF (分組的目的地IP位址是VRF的服務地址)。VRF將讀取內部乙太網分組的Q標記以便標識VPN-VLAN，並且所封裝的乙太網分組的用戶部分的目的地MAC地址將被用於根據邏輯轉發表確定用於分組的輸出埠。如果目的地MAC地址未知，那麼幀將從關聯於VPN-VLAN和UNI VLAN的所有UNI埠洪泛出去。如果端點想要加入L2VPN，它輸入/輸出用於L2VPN的VPN-VLANID路由目標。通過向用戶幀添加包括VPN-VLAN ID的802. IQ標記頭部並且然後用IP頭部封裝用戶乙太網幀來在VPN中轉發分組。如果用戶幀先前未被標識，標識處理根據IEEE 802. IQ添加Q標記。如果用戶巾貞已經有Q標記，該處理替換原始的Q標記或者添加如IEEE 802. Iad所提供的第二 Q標記。在幀為單播幀的情況下，將使用目的地VRF的服務IP位址對幀進行IP封裝，以使得幀可經由IP網絡被發送到目的地VRF的服務IP位址。如果幀為多播或廣播幀，那麼它可被多次單播，或者可使用IP多播目的地地址頭部經由IP多播被轉發(其中IP多播由IP網絡支持)。


在所附權利要求中，具體地指出本發明的各方面。在以下附圖中通過示例示出本發明，在附圖中相同的引用表示類似的元件。僅為了說明的目的，以下附圖公開了本發明的各個實施例並且不旨在限制本發明的範圍。為了清楚，不是每一個組件都在每一個圖形中被標記。在附圖中 圖I是參考網絡的功能框圖；圖2是根據本發明實施例示出網絡上L2 VPN的實現的圖I的網絡的功能框圖；圖3是根據本發明實施例示出可用於實現IP網絡上的L2 VPN的處理的流程圖；圖4是根據本發明實施例更詳細地示出一個PE節點的一部分參考網絡的功能框圖；並且圖5是根據本發明實施例更詳細地示出一個PE節點的一部分參考網絡的功能框圖。
具體實施例方式描述了第2層虛擬專用網(VPN)方案，其依賴於RFC 2547/4364進行信令但是其中IP封裝被用於在IP骨幹上傳送VPN流量。這使得慣用的VPN信令能夠被用於建立第2層VPN而不需要使用MPLS基礎結構實現IP骨幹。這是有利的，因為MPLS網絡具有它自己的信令和控制面協議，並且因此其建立和維護是更加昂貴的。儘管MPLS具有被服務提供商認為所期望的特定流量工程優點，但是在企業網絡中流量工程方面往往不是特別相關的。因此在企業場景下更簡單地實現VPN方案可能是特別期望的，其中企業可建立如通常部署在MPLS網絡上的相同種類的VPN，而不需要企業網絡運行MPLS信令和控制協議。圖I示出了包括多個路由器12和多個VPN路由器14的示例參考網絡10。VPN路由器支持網絡上關聯於VPN的VRF。在一個實施例中，VPN路由器被實現為IETF RFC4364/2547上下文中的普通PE設備。然而，PE設備交換將被用於在通信網絡上建立第2層VPN的VPN-VLAN ID,以使得網絡可被虛擬化以創建跨越網絡的VPN VLAN。例如，如圖2中所示，支持VRF I的節點可關聯於第一 VPN-VLAN X，並且支持VRF 2的節點可關聯於第二VPN-VLAN Y。VPN-VLAN ID被VRF用作為輸入/輸出路由目標以便控制7層OSI網絡參考模型的第2層處的路由信息的分發。這使得經由IP核心擴展的網絡鏈路能夠被視為普通的VLAN鏈路，以使得針對未知MAC地址的幀可經由VLAN被洪泛並且使得MAC學習能夠在那些埠上出現。因此，普通的第2層行為可在網絡上的VPN-VLAN內出現。在圖2中，每一個VRF被示出為關聯於特定的VPN-VLAN。本發明不限於該方式，因為特定的VRF可連接到多個VPN-VLAN。同樣，在圖2中，每個VRF被示出為連接到關聯於特定CE的一個特定UNI-VLAN。CE可支持多個UNI-VLAN，並且多個UNI-VLAN可連接到給定VRF。因此，UNI-VLAN是VRF的子集，使得VRF可具有多個UNI-VLAN。每一個UNI-VLAN可連接到特定的VPN-VLAN。VRF形成UNI-VLAN和VPN-VLAN之間的關聯，這使得UNI-VLAN能夠跨越路由網絡擴展。圖2被繪製為示出了簡化的示例，並且在操作中，可期望形成UNI-VLAN和VPN-VLAN之間的更複雜的互連。圖2示出了其中在網絡上建立了兩個VPN-VLAN的圖I的參考網絡。如圖2中所示，VPN路由器14A上的VRF :1、VPN路由器14B上的VRF2和VPN路由器14C上的VRF :3都成為VPN-VLAN X的一部分。類似地，VPN-VLAN路由器14A上的VRF 4和VPN-VLAN路由器14C上的VRF 5成為VPN-VLAN Y的一部分。將在下面結合圖3更詳細地描述VRF連接到VPN-VLAN的方式和VRF處理流量以使得VPN-VLAN能夠作為第2層VPN操作的方式。
圖3示出了可用於實現本發明實施例的示例處理。如圖3中所示，如果要在網絡上建立第2層VPN，那麼用於VPN的VRF將需要被配置在乙太網交換機(提供商邊緣或PE)網絡元件(100)上。配置用於VPN的VRF可使用IETF RFC 4364/2547來實現。另外，為了使得流量能夠在IP網絡上被傳輸，將為被配置為在VPN上操作的每一個VRF定義服務IP位址。如在 2007 年 11 月 6 日提交的標題為「Supporting BGP Based IP-VPN in a RoutedNetwork"的美國專利申請號11/935，563中所描述的，服務IP位址使得IP頭部能夠被創建，以使得VPN上的流量可被封裝以用於在IP網絡上傳輸。該相關專利具有與VPN的IP方面應當如何被實現相關的許多另外的細節。因此，該申請的內容通過引用合併在此。一旦已為VPN配置了 VRF，MP-BGP將被用於交換服務IP位址和乙太網交換機自治系統ID(AS-ID) (102)。服務IP位址和AS-ID將成為路由標識符，其將使得在從IP網絡接收分組時目的地節點能夠確定目標VRF。當在PE設備中支持第2層VPN時，MP-BGP對等體將交換跨越核心網絡提供第2層VPN的能力。當UNI-VLAN關聯於VPN-VLAN並且VPN-VLAN關聯於路由目標時，MP-BGP將用VPN-VLAN id和輸出路由目標更新它的對等體。該處理完成了第2層VPN的自動發現。儘管在特定位置中論述了 MP-iBGP，但是也可使用MP-eBGP (多協議外部邊界網關協議)。當用戶到網絡接口(UNI)VLAN成為VRF的成員時，UNI-VLAN將連接到VPN-VLAN(104) o作為在網絡上配置VPN-VLAN的一部分，VPN-VLAN ID將被分配到L2VPN，並且將在作為VPN —部分的每一個VRF中為VPN-VLAN ID設置輸入/輸出路由目標(RT)
(106)。具有為VPN VLANID設置的輸出路由目標的每一個VRF將使用MP-iBGP宣告VPN-VLANID(108)。因此，如果PE上的VRF的輸入RT與所宣告的VPN-VLAN ID的輸出RT匹配，那麼每一個PE的控制面將在邏輯埠上得知VPN-VLAN(110)。一旦控制面宣告了 VPN-VLAN以使得每一個PE可針對它的邏輯埠得知VPN-VLANID的MAC地址，每一個PE將針對物理和邏輯埠執行用於VPN的普通MAC學習以使得流量可在第2層VPN-VLAN上被傳輸(112)。如果在VLAN UNI埠上接收了用戶的乙太網幀，PE將試圖使用普通的第2層轉發技術在VLAN上朝向它的目的地轉發乙太網巾貞。因此，如果目的地未知，那麼PE將向所有的本地UNI VLAN埠洪泛分組並且還向關聯於UNI-VLAN的所有邏輯VPN埠洪泛分組。具體地，分組還將通過VPN-VLAN被洪泛到參加VPN-VLAN的所有遠端VPN實例(邏輯接口)
(120)。同樣，如果目的地MAC地址在UNI-VLAN內已知，那麼將讀取MAC地址來確定應當經由其轉發幀的本地UNI埠或邏輯埠。如果需要將分組在邏輯埠上洪泛或轉發，那麼PE將讀取VPN-VLAN ID、目標VRF的服務IP位址和下一跳(122)。因此，FDB將存儲用於邏輯埠的全部該信息，以使得分組可在VPN-VLAN上經由邏輯埠被洪泛/轉發。在朝向下一跳轉發幀之前，PE將添加包含VPN-VLAN ID的Q標記(124)。如果用戶幀當前未被標識，將使用IEEE 802. IQ將該Q標記添加到用戶乙太網幀。如果用戶乙太網幀已被標識，那麼用Q標記替換用戶的標記或者可使用IEEE 802. Iad將Q標記添加到用戶乙太網幀。在要在IP網絡上傳輸分組的情況下，用戶幀將被進一步封裝到IP分組(126)。封裝處理將通過使用目標VRF服務IP位址作為目的地IP位址來創建IP頭部並且將使用源VRF的服務IP位址作為源IP位址。因此，VPN-VLANID將被用於將Q標記添加到幀，服務IP位址將被用於對幀進行IP封裝，並且下一跳將被 用於確定應當經由其轉發進行了 IP封裝/Q標記的幀的實際物理埠。對於多點VPN，如果要在網絡上多播或廣播分組，那麼可通過使用遠端VRF的服務IP位址來將分組單播多次以便逐個地將分組發送到作為VPN成員的每一個遠端PE，或者如果IP網絡支持多播IP，那麼可使用多播IP位址在網絡上轉發IP分組。多播IP位址可以是表示VRF的IPVPN的多播服務IP組地址。然後，被封裝和標識的分組將從IP網絡上的下一跳(輸出埠 )轉發出去。外部IP頭部將被用於以普通方式在IP網絡上朝向它的目的地路由分組(140)。注意，不需要修改IP網絡一在這點上分組看起來就像普通IP分組一樣，其可像任何其它IP分組一樣以普通方式由IP路由器傳遞。與此有關，因為分組被封裝以便包括另外的IP頭部，所以應當檢查分組的整個大小以便確保所封裝的分組不超過IP網絡上的最大傳輸單元大小。一旦分組到達目的地PE，目的地PE將使用目的地IP位址來確定目標VRF (160)。如上所述，通過發送PE作為在封裝幀用於在IP網絡上傳輸時的目的地IP位址，來使用目標VRF的服務IP位址。因此，當分組被接收時，目的地PE可讀取目的地IP位址並且使用目的地IP位址來確定應當被用於處理分組的目標VRF。當目標VRF接收分組時，它將讀取Q標記以便標識VPN-VLAN(162)。如上所述，目標VRF將在關聯於VPN-VLAN的邏輯埠上執行本地MAC學習。另外，目標VRF將執行普通的第2層轉發以便將幀轉發到客戶端的VLAN。具體地，將使用本地轉發表來找到用於目的地MAC地址的匹配輸出埠(164)。如果目的地MAC地址未知，分組將被洪泛到關聯於VPN-VLAN 的所有 UNI-VLAN 埠。圖4示出了被配置為實現本發明實施例的示例VPN路由器。如圖4中所示，VPN路由器14具有用於VLAN :100的VRF 20。在埠 1/1、1/2、1/3和1/4上的UNI VLAN接口已連接到VLANL :100並且用於網絡元件A、B、C和D的MAC地址已經在這些接口上被得知並且存儲在轉發資料庫(FDB)50中。注意，在該上下文中，FDB 50具有用於MAC地址A-D中每一個的條目和用於相關聯的物理埠的相應條目。具體地，FDB表示網絡元件A在埠 1/1上可到達，網絡元件B在埠 1/2上可到達，網絡元件C在埠 1/3上可到達，並且網絡元件D在埠 1/4上可到達。在該示例中，將會假設節點2和3都加入了 VLAN :100並且具有到網絡元件E和F的UNI VLAN接口。為了使得第2層VLAN能夠跨越IP網絡10擴展，在配置期間將配置VPNVLAN，其將被分配VPN-VLAN ID。在該示例中，分配給VLAN的VPN-VLAN ID是VPN-VLAN ID:1000 (但是它可以是任何有效的VLAN ID)。VPN路由器14將使用MAC學習來得知在物理埠 5/1上被配置的邏輯埠 X上的網絡元件E。同樣，網絡元件F將在也在物理埠 5/1上被配置的邏輯埠 Y上被得知。邏輯埠 X和Y是分離的，即使它們被配置在相同的物理埠 5/1上，因為它們通向不同的網絡元件上的不同VRF，並且因此，將需要不同的服務IP位址來用於對流量進行IP封裝以便在IP網絡上到達這些節點。在該示例中，邏輯埠 X連接到節點2上的VRF，而邏輯埠 Y連接到節點3上的VRF。在VRF FDB 50內，用於網絡元件E的MAC地 址的條目指向邏輯埠 X。該條目包括標識網絡上的VPN-VLAN的VPN-VLAN ID :1000和關聯於VLAN :100的節點2上的VRF的服務IP位址(10. 1.2. I)。同樣，用於網絡元件F的FDB條目指向邏輯埠 Y。該條目也包括標識網絡上的VPN-VLAN的相同VPN-VLAN ID 1000和關聯於VLAN 100的節點3上的VRF的服務IP位址(10. I. 3. I)。VRF將在邏輯埠上以及其物理埠上執行普通的MAC學習。因為UNI-VLAN在VPN路由器上的物理埠上被註冊，所以VRF將針對於埠註冊UNI-VLAN並且在該埠上的VLAN 100內執行MAC學習以便得知經由該物理埠可到達的主機的MAC地址。類似地，因為其它VRF經由VPN-VLAN 1000向VRF 20註冊，所以VRF 20將針對邏輯埠(包括服務IP位址和VPN-VLAN ID)來註冊VRF，並且然後針對邏輯埠執行MAC學習以便得知經由邏輯埠可到達的主機的MAC地址。當要將客戶端的幀發送到未知MAC地址時，客戶端的幀將在關聯於VLAN的除了在其上接收到客戶端幀的埠之外的所有埠上廣播。因此，VRF將在物理埠上以及用邏輯埠廣播幀，以使得幀將經由VPN-VLAN發送到第2層VLAN上的其它VPN站點。如果MAC地址為已知地址，那麼輸出埠將根據轉發資料庫來確定並且由VRF用來朝向客戶端幀的期望目的來轉發它。如果輸出埠是邏輯埠，VRF將根據轉發資料庫獲得用於幀的邏輯埠信息。如上所述，一個實施例中的邏輯埠信息包括VPN-VLAN ID和目標VRF的服務IP位址。VPN-VLAN ID將由第2層封裝處理用於向客戶端的幀添加Q標記。VPN路由器還將使用目標VRF服務IP位址作為目的IP位址並且使用VRF的服務IP位址(10. I. I. I)作為源IP位址來創建用於分組的IP頭部。在用IP頭部封裝分組之後，分組將被發送到全局路由處理51，全局路由處理51使用服務IP位址來確定要被用於在IP網絡上發送分組的物理埠。在IP網絡內，IP頭部將被用於朝向客戶端幀的期望目的地轉發它。在目標節點處接收時，IP頭部的目的地IP位址將被用於標識目標VRF。目標VRF將根據Q標記讀取VPN-VLAN ID以標識關聯於VLAN的轉發資料庫。然後，將在轉發資料庫內使用MAC地址來確定目標VRF應當將幀發送到哪裡。在圖5中示出的另一個實施例中，配置代表要由PE支持的每一個第2層VPN的服務IP位址。在該實施例中，不是向每一個第2層VPN分配VLAN VPN ID,而是由PE將單獨的服務IP位址分配到每一個第2層VPN。全局路由引擎51使用分配給第2層VPN的服務IP位址來表示核心內的第2層VPN。一個UNI VLAN將連接到PE內的第2層VPN處理，並且要在第2層VPN上發送的分組將使用分配給第2層VPN的服務IP位址來封裝。如果多個UNI VLAN在特定PE處連接到第2層VPN，那麼可使用Q標記(VPN-VLAN ID)來對UNI-VLAN消除歧義，如上所述。在該實施例中，當全局路由引擎接收了分組時，全局路由引擎將讀取服務IP位址並且使用服務IP位址來確定應當被用於處理分組的第2層VPN處理。分組將被傳送到第2層VPN處理並且在第2層VPN處理的上下文中被交換到正確的UNI-VLAN埠。在另一個方向上，當從UNI-V LAN接收了分組時，第2層VPN處理將使用MAC地址來確定要被用於轉發分組的正確的輸出埠。如圖5中所示，第2層VPN將維護轉發表並且當接收了分組時將執行MAC查找以便確定如何交換分組。如果MAC地址未知，那麼第2層VPN處理將在關聯於第2層VPN的邏輯埠和關聯於所連接的UNI-VLAN的物理埠(除了在其上接收了分組的埠之外)上洪泛分組。如果MAC已知，那麼第2層VPN將從在其上MAC為已知的埠將分組轉發出去。L2 VPN處理將在邏輯埠和UNI-VLAN上執行MAC學習。在該實施例中，不是在邏輯埠上學習MAC與它的遠程服務IP和VPN-VLANID，L2 VPN處理將僅在邏輯埠上學習遠程MAC和它的服務IP位址。當分組需要在邏輯埠上被發送時，MAC查找將向第2層VPN處理返回服務IP位址。L2 VPN處理將使用服務IP位址以便使用邏輯埠的服務IP位址作為目的地IP位址來封裝分組。L2 VPN處理的服務IP位址將被用作為源IP位址。進行了 Mac-in-IP(IP內MAC)封裝的分組將被轉發到全局路由引擎，全局路由引擎將使用目的地IP位址來確定用於分組的輸出埠並且將分組在IP網絡上發送。每一個L2 VPN使用一個服務IP位址使得用於第2層VPN的分組能夠由全局路由弓丨擎消除歧義，以使得如果接收了分組，那麼分組的目的地IP位址可由全局路由引擎用於確定要用來處理分組的正確L2 VPN處理。如果L2 VPN處理表示單個UNI-VLAN，那麼L2VPN處理可將經由L2VPN接收的任何分組交換到UNI-VLAN上。在L2 VPN處理表示多個UNI-VLAN的情況下，用於單獨UNI-VLAN的分組應當被標識以便使得L2 VPN處理能夠確定應當使用哪個UNI-VLAN來轉發分組。上述功能可實現為計算機可讀存儲器中存儲的並且在計算機平臺上的一個或多個處理器上執行的一組程序指令。然而，對於熟練的技術人員來說明顯的是，這裡所述的所有邏輯可使用分離的組件、集成電路(例如專用集成電路(ASIC))、結合可編程邏輯器件(例如場可編程門陣列(FPGA)或微處理器))使用的可編程邏輯、狀態機、或包括其任意組合的任何其它設備來體現。可編程邏輯可臨時或永久地固定在有形介質中，例如只讀存儲晶片、計算機存儲器、磁碟或其它存儲介質。所有這些實施例旨在落入本發明的範圍內。應當理解，可在本發明的精神和範圍內對附圖中示出的和說明書中描述的實施例做出各種變化和修改。因此，旨在以說明性而非限制性的含意來解釋上面描述中包含的和附圖中示出的全部內容。所要求的是
權利要求
1.一種在路由網絡上實現第2層(L2)虛擬專用網(VPN)虛擬區域網(VLAN)的方法，所述方法包括以下步驟 在所述路由網絡上的網絡元件中配置虛擬路由和轉發(VRF)處理，所述VRF處理關聯於所述路由網絡上的所述VPN-VLAN並且具有定義好的服務IP位址，所述VPN-VLAN在所述路由網絡上具有VPN-VLANID ； 在所述網絡元件上的物理埠上得知一個或多個用戶到網絡接口虛擬區域網(UNI-VLAN)並且通過所述VRF將所述UNI-VLAN與所述VPN-VLAN關聯； 通過所述VRF得知一個或多個邏輯埠上的VPN-VLAN ID,每一個所述邏輯埠關聯於所述路由網絡上另一個網絡元件上的另一個VRF處理的服務IP位址。
2.根據權利要求I所述的方法，還包括以下步驟在關聯於所述VPN-VLAN的所述邏輯埠上執行MAC學習。
3.根據權利要求2所述的方法，其中在所述邏輯埠上執行MAC學習的所述步驟包括以下步驟在用於所述MAC地址的轉發資料庫中存儲邏輯埠，所述邏輯埠包括所述VPN-VLAN ID和關聯於所述邏輯埠的VRF的所述服務IP位址。
4.根據權利要求3所述的方法，還包括以下步驟接收要在邏輯埠上發送的幀並且根據所述轉發資料庫接收要被用於在所述路由網絡上發送所述幀的所述VPN-VLAN ID和服務IP位址。
5.根據權利要求4所述的方法，還包括以下步驟將所述VPN-VLANID添加到所述幀作為Q標記並且使用所述服務IP位址作為目的地IP位址來添加IP頭部。
6.根據權利要求5所述的方法，其中所述幀是未標識的並且其中向所述幀添加所述Q標記作為第一標記。
7.根據權利要求5所述的方法，其中所述幀用用戶Q標記來標識並且其中向所述幀添加所述VPN-VLAN ID作為所述Q標記的所述步驟包括用包含所述VPN-VLAN ID的Q標記替換所述用戶Q標記。
8.根據權利要求5所述的方法，其中所述幀用用戶Q標記來標識並且其中向所述幀添加所述VPN-VLAN ID作為所述Q標記的所述步驟包括向所述幀添加第二 Q標記，所述第二Q標記包含所述VPN-VLAN ID。
9.根據權利要求I所述的方法，還包括以下步驟在關聯於所述VPN-VLAN的所述邏輯埠上執行MAC學習。
10.根據權利要求I所述的方法，還包括以下步驟從去往未知MAC地址的所述UNI-VLAN接收幀，並且將所述幀從關聯於所述VPN-VLAN的所有其它UNI-VLAN埠和關聯於所述VPN-VLAN的所有邏輯埠洪泛出去。
11.根據權利要求I所述的方法，還包括以下步驟從關聯於所述VPN-VLAN並且去往未知MAC地址的邏輯埠接收幀，並且將所述幀從關聯於所述VPN-VLAN的所有UNI-VLAN埠洪泛出去。
12.根據權利要求I所述的方法，還包括以下步驟由所述網絡元件接收IP分組，使用關聯於所述IP分組的IP頭部中的目的地地址來確定要被用於處理所述IP分組的VRF，並且通過所述確定的VRF來讀取關聯於所述IP分組的Q標記以確定關聯於所述分組的VPN-VLANo
13.根據權利要求I所述的方法，其中配置所述VRF處理的所述步驟包括在所述VRF中為所述VPN-VLAN ID設置輸入/輸出路由目標。
14.根據權利要求13所述的方法，還包括以下步驟使用多協議邊界網關協議(MP-BGP)向具有為所述VPN-VLAN配置的輸出路由目標(RT)的所有PE宣告所述VPN-VLAN。
15.根據權利要求13所述的方法，還包括以下步驟如果邏輯埠上的輸入RT與MP-BGP控制面所接收的輸出RT匹配，那麼在所述邏輯埠上學習所述VPN-VLAN。
16.一種處理幀以用於通過提供商邊緣(PE)網絡元件在網際協議(IP)網絡上傳輸的方法，所述方法包括以下步驟 由所述PE網絡元件從用戶到網絡接口虛擬區域網(UNI-VLAN)接收幀，所述UNI-VLAN關聯於跨越所述IP網絡的第2層虛擬專用網虛擬區域網(VPN-VLAN)； 用包含所述IP網絡上的所述VPN-VLAN的VPN-VLAN標識符(VPN-VLAN ID)的Q標記來標識所述幀； 用IP頭部封裝所述幀，所述IP頭部包含所述IP網絡上的遠程提供商邊緣(PE)網絡元件上的VRF處理的服務IP位址作為目的地地址；以及 將所標識和所封裝的幀發送到所述IP網絡上。
17.根據權利要求16所述的方法，其中所述PE網絡元件具有其中例示的虛擬路由和轉發處理。
18.一種處理幀以用於通過提供商邊緣(PE)網絡元件在網際協議(IP)網絡上傳輸的方法，所述方法包括以下步驟 由所述PE網絡元件從用戶到網絡接口虛擬區域網(UNI-VLAN)接收幀，所述UNI-VLAN關聯於跨越所述IP網絡的第2層虛擬專用網(L2VPN)，所述PE網絡元件包括被用於處理關聯於所述L2VPN的幀的L2VPN處理，所述L2VPN處理經由第一服務IP位址被表示在所述IP網絡內； 確定關聯於所述幀的邏輯埠，所述邏輯埠包括在遠程PE上的L2VPN處理的第二服務IP位址； 用IP頭部對所述幀進行IP封裝，所述IP頭部包含所述第一服務IP位址作為所述源IP位址以及所述第二 IP位址作為所述目的地IP位址；以及 將進行了 IP封裝的幀發送到所述IP網絡上。
19.根據權利要求19所述的方法，還包括以下步驟 由所述PE網絡元件接收具有第二 IP頭部的第二進行了 IP封裝的幀，所述第二 IP頭部包括第二目的地IP位址； 讀取所述第二目的地IP位址以確定所述PE上的本地L2VPN處理；以及 將所述幀傳送到所述確定的本地L2VPN處理以使得所述幀能夠在所述L2VPN處理的上下文中被交換。
20.根據權利要求19所述的方法，其中所述第二IP頭部具有第二 IP源地址，並且其中所述第二 IP源地址被用於得知內部第2層分組的MAC地址。
全文摘要
基於IETF RFC 4364/2547的MP-BGP VPN基礎結構被用於在IP網絡上配置第2層VPN。用於VPN的VRF在乙太網交換機上被配置並且服務IP位址關聯於每一個所配置的VRF。服務IP位址被交換以使得VPN流量能夠被封裝以用於在IP網絡上傳輸。為了使得能夠建立第2層VPN，將為第2層VPN配置VPN-VLAN ID，並且將在VPN中包括的每一個VRF和UNI-VLAN中設置用於VPN-VLAN的輸入/輸出路由目標。將使用MP-iBGP與為該VPN-VLAN設置的輸出路由目標來向所有的PE宣告VPN-VLAN。一旦在邏輯埠上得知了VPN-VLAN，PE將在該邏輯埠上執行MAC學習並且將邏輯埠視為第2層VLAN的一部分。
文檔編號H04L29/06GK102804693SQ201080028782
公開日2012年11月28日 申請日期2010年6月23日 優先權日2009年6月26日
發明者羅格·勒普, 莫尼詩·俄紐姆拉 申請人:阿瓦雅公司