一種實現虛擬專用網訪問的方法

2023-12-02 21:20:51

專利名稱：一種實現虛擬專用網訪問的方法
技術領域：
本發明涉及BGP/MPLS虛擬專用網，尤其涉及實現BGP/MPLS虛擬專用網訪問的方法。
背景技術：
BGP(邊際網關協議)/MPLS(多協議標籤交換)三層VPN(虛擬專用網)利用BGP協議擴展進行VPN標籤路由通告，利用MPLS標籤交換進行數據轉發，它通過VPN實例來進行路由隔離從而限制不同VPN用戶之間的互相訪問。在實際的網絡規劃中，有時需要兩個VPN中某些地址網段中的用戶進行互通，或者VPN中某些地址網段中的用戶可以訪問公網。因此，為了更靈活的進行組網，需要提供一種不同VPN(或者VPN和公網)之間進行訪問的解決方案。
目前，已經開發了能夠實現不同VPN用戶之間訪問的方法。該方法主要是通過在多角色主機所在VPN站點所連接的PE(骨幹網邊緣路由器)上，設置多角色主機可以訪問的VPN報文轉發表的訪問控制策略。這樣，當PE接收到來自上述VPN站點的數據報文時，根據報文的源地址識別發出報文的主機身份，如果為多角色主機，再根據報文的源地址獲取要訪問的目的VPN的信息，根據該信息查找相應的VPN報文轉發表並轉發報文，否則，根據主機所接入的接口的VPN屬性來轉發報文。
上述解決方案可以實現不同VPN之間的訪問，它通過在PE上配置策略路由使來自CE(客戶端路由器)的報文可以訪問多個VPN，同時為使其它VPN的信息能夠從PE發送到CE，需要在其它VPN上配置靜態路由，並靜態指定連接CE的接口作為下一跳。
上述現有技術存在如下問題1、由於需要將目的VPN中到達目的網段的路由引入到源VPN轉發信息表中，並且下發到源VPN的FIB(轉發信息表)，因此在源VPN中要引入目的VPN中到達目的網段路由，需要佔用源VPN過多的轉發信息表和FIB存儲空間；2、這種技術不能夠實現BRAS(寬帶遠程接入伺服器)設備或其他無法靜態配置下一跳的設備上不同VPN用戶之間的訪問。因為它為使其它VPN的信息能夠從PE發送到用戶，需要在其它VPN上配置靜態路由，並指定BRAS設備用戶地址作為下一跳。對於BRAS設備來說，到達用戶的主機路由是在用戶上線時候動態添加的，只能配置出接口而不能靜態配置下一跳，所以該技術不能夠用於BRAS設備上用戶側VPN之間的訪問。

發明內容
基於上述理由，本發明提供了一種實現虛擬專用網訪問的方法，該方法包括在PE的源VPN中配置靜態路由，在靜態路由的出接口配置需要訪問的目的VPN，在轉發信息表中為靜態路由設置VPN訪問的標誌；當PE接收到源VPN發來的包含目的IP位址的數據報文時，則根據該目的IP位址查找該源VPN的轉發信息表；若轉發信息表中對應該目的IP位址的路由帶有VPN訪問標誌，則根據靜態路由的出接口查找需要訪問的目的VPN的轉發信息表；在目的VPN的轉發信息表中，根據該目的IP位址查找到真正的出接口，從而將報文轉發出去。
本發明進一步提供了一種實現虛擬專用網訪問的方法，該方法包括在PE的源VPN中配置靜態路由，在靜態路由的出接口配置需要訪問的目的VPN，在轉發信息表中為靜態路由設置VPN訪問的標誌；當其中一個PE接收到源VPN發來的包含目的IP位址的數據報文時，根據該目的IP位址查找該源VPN的轉發信息表；若轉發信息表中對應的路由是從另一個PE上通告過來的遠端路由，則將報文進行封裝發送給另一個PE；當另一個PE收到報文之後，查找源VPN的轉發信息表，若表中對應該目的IP位址的路由帶有VPN訪問標誌，則根據靜態路由的出接口查找需要訪問的目的VPN的轉發信息表；
在目的VPN的轉發信息表中，根據該目的IP位址查找到真正的出接口，從而將報文轉發出去。
通過本發明的訪問方法，不需要在源VPN路由表中存放所有到達目的VPN網段的路由，從而節省了大量的路由表項空間，並且可以靈活方便的實現BRAS設備等設備的用戶側VPN(或者用戶側VPN和公網)訪問，也可以實現網絡側VPN(或者網絡側VPN和公網)訪問。


圖1所示為BGP/MPLS VPN組網結構圖；圖2為不跨PE時根據本發明的VPN訪問數據轉發流程；圖3為跨PE時根據本發明的VPN訪問數據轉發流程。
具體實施例方式
在本發明的BGP/MPLS組網方案中，允許採用BRAS及其他只能靜態配置出接口而不能靜態配置下一跳的設備作為PE，BRAS用戶直接和PE設備進行連接，VPN1的用戶分別通過PE1和PE2接入，VPN2用戶只通過PE2接入，PE1和PE2之間通過IGP(內部網關協議)和MPLS信令協議建立LSP通道，PE1和PE2之間也可以採用GRE(Generic Routing Encapsulation，通用路由封裝協議)等類型隧道替代LSP通道。
通過本方案既可以實現同一PE上不同用戶側VPN(PE2上VPN1和VPN2)之間的訪問，也可以跨PE實現不同用戶側VPN(PE1上VPN1和PE2上的VPN2)之間的訪問。
如圖1所示，能夠實現在PE2上的VPN1和VPN2的用戶訪問，這屬於同一PE上不同用戶側VPN之間的訪問；還能夠實現PE1相連的VPN1、和PE2相連的VPN2的訪問，這屬於跨PE的VPN訪問。
由於本方案通過配置靜態路由方式實現VPN訪問，因此需要在PE2上配置一條靜態路由，在路由的出接口綁定目的VPN實例，同理如果在PE2上配置兩條靜態路由，一條用於去向路由，另外一條用於回程路由，則還可以實現VPN之間的互訪。
在配置完成之後，路由管理會將綁定目的VPN實例的靜態路由下發FIB(轉發信息表)，並在出接口設置標誌表明需要訪問另一VPN實例；
若先配置靜態路由，再在出接口下綁定目的VPN實例，則需要將以前配置的靜態路由標誌更新；若將目的VPN實例和靜態路由出接口解綁定，則需要將FIB中相應的標誌進行清除。
若支持微碼轉發，則需要將出接口標誌、目的VPN實例ID下發微碼。
數據轉發時，首先在源VPN實例的FIB中根據目的地址網段進行查找，若出接口配置了需要訪問另一VPN實例的標誌，則再根據目的VPN實例ID到該VPN實例的FIB表項中查找真正的出接口。
下面結合圖2詳細描述本發明的數據轉發流程1、路由器收到IP數據報文，查找源VPN(VPN1)實例FIB；2、在源VPN實例(VPN1)FIB中根據報文的目的地址命中一條用於VPN訪問的路由，即該條路由的出接口帶有用於VPN訪問的標誌；3、取出配置VPN訪問路由時存儲的目的VPN實例(VPN2)索引，查找目的VPN實例FIB；4、在目的VPN實例(VPN2)FIB中，根據報文的目的地址查找到真正的出接口，從而將報文轉發出去。
以上是同一PE上不同VPN之間的訪問，另外這種方案也可以實現跨PE的VPN訪問，如圖中和PE1相連的VPN1、和PE2相連的VPN2二者之間訪問，這種方案詳述如下在PE2上的配置和上面描述的基本相同，需要配置兩條靜態路由，在相應出接口下分別和對應的目的VPN實例綁定。但是由VPN2到達VPN1的那條靜態路由的目的網段需要配置為與PE1相連的VPN1中的地址網段。
表項下發和不跨PE的VPN訪問下發過程相同。
在PE2上需要將從VPN1到VPN2的這條靜態路由引入BGP，然後將這條路由通告給PE1。
PE2從VPN2收到報文之後，根據目的網段在VPN2的FIB中查找到出接口設有VPN訪問的標誌，則到VPN1的FIB中進行二次查找，這時出接口為到PE1的LSP通道，需要封裝兩層標籤進行MPLS轉發，最終將報文送到PE1。
在PE1上通過查找VPN1的FIB將報文從相應接口發送出去，到達VPN1中的用戶。
PE1收到VPN1中的用戶的回應報文，查找VPN1的FIB，出接口為到PE2的LSP通道，需要封裝兩層標籤進行MPLS轉發，最終將報文送到PE2。在PE2上查找VPN1的FIB，在出接口設置有VPN訪問標誌時，再到VPN2的FIB中進行二次查找，最終將報文從相應接口發送出去，到達VPN2中的用戶。
圖3為跨PE用戶訪問的流程，其能夠實現CE1與CE3之間的訪問。圖中的OL1、OL2為PE1-P-PE2之間LSP的標籤，即外層標籤。如圖3所示，跨PE用戶訪問的流程為1、從路由器PE1上收到IP數據報文，查找源VPN(VPN1)實例FIB；2、在源VPN實例(VPN1)FIB中根據報文的目的地址命中一條路由，該路由是從PE2上通告過來的遠端路由；3、將報文進行MPLS VPN封裝，即在PE1上首先封裝一層VPN標籤L1做為內層標籤，再封裝一層PE1和PE2之間的LSP隧道標籤OL1做為外層標籤發送出去；在P(骨幹路由器)設備上將外層標籤OL1交換為OL2發送出去(若沒有使用倒數第二跳彈出)；4、路由器PE2從LSP隧道收到報文之後，依次彈出外層標籤OL2和內層VPN標籤L1，查找源VPN(VPN1)實例FIB，剩下的過程和不跨PE的轉發流程一樣，最後將報文轉發到CE3從而到達最終用戶；5、從CE3到達CE1的回應報文流程和報文正向流程類似。
如上所述可以看出，本發明的訪問方法不需要在源VPN轉發信息表中存放所有到達目的VPN網段的路由，從而節省了大量的轉發信息表項空間，並且可以靈活方便的實現BRAS設備的用戶側VPN(或者用戶側VPN和公網)訪問，也可以實現網絡側VPN(或者網絡側VPN和公網)訪問。同時，本發明的訪問方法在對PE的靜態配置中，僅需要配置出接口而不需要靜態配置下一跳，因此允許採用BRAS或其他只能靜態配置出接口而無法靜態配置下一條的設備做為PE。
以上所述僅是本發明的優選實施方式，應當指出，對於本技術領域的普通技術人員來說，在不脫離本發明原理的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應視為本發明的保護範圍。
權利要求
1.一種實現虛擬專用網訪問的方法，該方法包括在PE的源VPN中配置靜態路由，在靜態路由的出接口配置需要訪問的目的VPN，在轉發信息表中為靜態路由設置VPN訪問的標誌；當PE接收到源VPN發來的包含目的IP位址的數據報文時，則根據該目的IP位址查找該源VPN的轉發信息表；若轉發信息表中對應該目的IP位址的路由帶有VPN訪問標誌，則根據靜態路由的出接口查找需要訪問的目的VPN的轉發信息表；在目的VPN的轉發信息表中，根據該目的IP位址查找到真正的出接口，從而將報文轉發出去。
2.根據權利要求1所述的方法，其特徵在於所述PE為BRAS設備。
3.根據權利要求1所述的方法，其特徵在於所述PE為僅需要配置出接口而不需要靜態配置下一跳的設備。
4.根據權利要求1至3任一項所述的方法，其特徵在於各PE之間通過建立LSP通道進行連接。
5.根據權利要求1至3任一項所述的方法，其特徵在於各PE之間通過GRE隧道進行連接。
6.一種實現虛擬專用網訪問的方法，該方法包括在PE的源VPN中配置靜態路由，在靜態路由的出接口配置需要訪問的目的VPN，在轉發信息表中為靜態路由設置VPN訪問的標誌；當其中一個PE接收到源VPN發來的包含目的IP位址的數據報文時，根據該目的IP位址查找該源VPN的轉發信息表；若轉發信息表中對應的路由是從另一個PE上通告過來的遠端路由，則將報文進行封裝發送給另一個PE；當另一個PE收到報文之後，查找源VPN的轉發信息表，若表中對應該目的IP位址的路由帶有VPN訪問標誌，則根據靜態路由的出接口查找需要訪問的目的VPN的轉發信息表；在目的VPN的轉發信息表中，根據該目的IP位址查找到真正的出接口，從而將報文轉發出去。
7.根據權利要求6所述的方法，其特徵在於所述PE為BRAS設備。
8.根據權利要求6所述的方法，其特徵在於所述PE為僅需要配置出接口而不需要靜態配置下一跳的設備。
9.根據權利要求6至8任一項所述的方法，其特徵在於各PE之間通過LSP通道進行連接。
10.根據權利要求6至8任一項所述的方法，其特徵在於各PE之間通過GRE隧道進行連接。
全文摘要
本發明提供一種實現虛擬專用網訪問的方法，該方法包括，在PE的源VPN中配置靜態路由，在靜態路由的出接口配置需要訪問的目的VPN，在轉發信息表中為靜態路由設置VPN訪問的標誌；當PE接收到源VPN發來的包含目的IP位址的數據報文時，則根據該目的IP位址查找該源VPN的轉發信息表；若轉發信息表中對應該目的IP位址的路由帶有VPN訪問標誌，則根據靜態路由的出接口查找需要訪問的目的VPN的轉發信息表；在目的VPN的轉發信息表中，根據該目的IP位址查找到真正的出接口，從而將報文轉發出去。本發明的訪問方法不需要在源VPN轉發信息表中存放所有到達目的VPN網段的路由，從而節省了大量的轉發信息表項空間。
文檔編號H04L29/06GK101051985SQ20061007319
公開日2007年10月10日 申請日期2006年4月12日 優先權日2006年4月12日
發明者管紅光 申請人:華為技術有限公司