虛擬專用網的方法和系統的製作方法

2023-05-05 00:24:51

專利名稱：虛擬專用網的方法和系統的製作方法
技術領域：
本發明通常涉及虛擬專用網，並尤其涉及在通信系統中穿過不同的自治系統來提供VPN服務。
背景技術：
自治系統(AS)通常被認為是路由器或可能地其它通信設備的集合，其在單個管理權限(administrative authority)下被管理。AS中的設備通常使用公共內部路由協議來路由通信業務。
虛擬專用網(VPN)代表連接到公共通信系統的通信設備或通常稱作「站點」的設備的子集。只有屬於相同子集或VPN的站點才具有通過公共通信系統的彼此的連通性。多協議標記交換(MPLS)和邊界網關協議(BGP)代表用來在通信系統中建立VPN服務的協議的例子。
VPN可以相對容易地在單個AS內被配置。儘管可以通過允許兩個或更多VPN站點連接到通信系統中所連接的不同AS來提供較大的VPN服務範圍，然而，如果站點屬於不同的AS，則VPN的配置更加困難。用於建立AS間的通信(具體地是VPN通信)的當前技術相對地受限於可縮放性。連接的彈性以及因此的通信系統的可用性對於傳統技術也很重要。
因此，仍然需要用於提供可縮放和有彈性的AS間的VPN的方法和系統。

發明內容
根據本發明的一方面，提供了一種用於提供包括網絡單元的VPN的方法，所述網絡單元提供到各個AS的接入，該方法包括在所述網絡單元之間建立標記籤交換路徑(LSP)、在AS的至少一個中維持用於LSP的資源的記錄、在所述網絡單元之間建立排除了用於所述LSP的資源的備用LSP，以及利用LSP或備用LSP將關聯於每個AS的標記路由重新分配給其它AS內的網絡單元。
本發明的另一方面涉及一種用於提供包括網絡單元的VPN的系統，所述網絡單元提供對各個自治系統(AS)的接入。該系統包括被配置用來在所述AS之一中進行通信的收發信機、連接AS的通信鏈路和通信控制模塊，該通信控制模塊被配置用來通過所述收發信機在所述網絡單元之間建立LSP、在所述AS的至少一個中維持用於LSP的資源的記錄、在所述網絡單元之間建立排除了用於LSP的資源的備用LSP，以及利用LSP或備用LSP將關聯於AS之一的標記路由重新分配給其它AS中的網絡單元。
根據本發明的另一個方面，提供了一種在網絡單元之間配置域間的VPN的方法，所述網絡單元提供到多個AS的接入。該方法包括在第一AS中分配多個VPN標記路由，該VPN標記路由是由在該第一AS中並且屬於VPN的第一網絡單元來使用的；將所述多個VPN標記路由的至少一個子集聚集成被聚集的AS間VPN標記路由；將被聚集的AS間VPN標記路由分配給第二AS；以及將被聚集的AS間VPN標記路由重新分配給屬於VPN的第二AS中的第二網絡單元。
提供了一種用於在提供到多個AS的接入的網絡單元之間配置域間VPN的系統，該系統包括適於在第一AS中進行通信並且與第二AS通信的收發信機，以及通信控制模塊。所述通信控制模塊被配置用來通過所述收發信機從在第一AS中且屬於VPN的第一網絡單元，接收由該第一網絡單元使用的多個VPN標記路由；將所述多個VPN標記路由的至少一個子集聚集成被聚集的AS間VPN標記路由；以及通過所述收發信機將該被聚集的AS間VPN標記路由分配給第二AS，用來由該第二AS將其重新分配給屬於所述VPN的第二AS中的第二網絡單元。
根據本發明的又一個方面，提供了一種數據結構，該數據結構包括存儲關聯於各個VPN標記路由的標識符的數據欄位，所述VPN標記路由是由在第一AS中並且屬於VPN的第一網絡單元來使用的，並且由該第一網絡單元在所述第一AS中來分配。所述數據結構還包括存儲被聚集的AS間VPN標記路由的標識符的數據欄位，其中所述多個VPN標記路由被聚集成所述被聚集的AS間VPN標記路由。如上所述，所述被聚集的AS間VPN標記路由被分配給第二AS，用來重新分配給屬於所述VPN的第二AS中的第二網絡單元。
通過閱讀下面對本發明的指定說明性實施例的描述，本發明實施例的其它方面和特徵對於本領域的技術人員而言將變得顯而易見。


現在將參考附圖詳細描述本發明的實施例的例子，其中圖1是通信系統的框圖，其中可以實現本發明的實施例；圖2是根據本發明實施例的方法的流程圖；圖3是示例性通信網絡單元或通信設備的框圖，其中可以實現根據本發明實施例的系統；和圖4是根據本發明又一個實施例的方法的流程圖。
具體實施例方式
圖1是通信系統的框圖，其中可以實現本發明的實施例。圖1中的通信系統包括兩個AS 10、14，其通過各個AS邊界路由器(ASBR)18、28而被連接到相同的公共骨幹通信網12。關聯於服務提供商的服務提供商邊緣通信設備向客戶邊緣(CE，customer edge)設備22、32提供到AS和骨幹通信網12的接入，所述邊緣通信設備表示為AS 10、14中的提供商邊緣(PE，Provider Edge)塊20、30，所述客戶邊緣設備還被連接到終端用戶設備24、25、34、35。每個AS 10、14還包括用於在AS中分配路由信息的路由反射器(RR)16、26。
儘管許多AS可以被連接到骨幹通信網12，但是為簡單起見，圖1中僅示出了兩個AS。在此描述的技術可以擴展到在不止兩個AS之間的通信。在這種情況下，AS可以包括被連接到不同骨幹通信網的AS。例如，AS 14還可以被連接到另一個AS所連接的另一個骨幹通信網。因此，根據本發明的實施例，通過AS 14和骨幹通信網二者在AS 10和另一個AS之間建立通信是有可能的。
一般地說，與圖1所示出的相比較，本發明可以在具有更少、更多或不同的部件的通信系統中被實現，所述部件具有不同的互連。例如，並不是所有類型的通信網絡都將採用RR。類似地，AS或其它類型的網絡中的通信業務可以通過在典型地是路由器的PE和ASBR之間的中間網絡單元來被交換。許多不同的CE到終端用戶設備的拓撲也是可能的。
另外，圖1所示的特定部件是作為通信設備類型的說明性例子，可以結合該通信設備類型來實現本發明的實施例。儘管ASBR、RR、PE和CE例如通常關聯於指定協議或傳輸機制，然而本發明並不受限於此。
因此，應當認識到，圖1的系統以及其它附圖的內容都僅是出於說明性的目的，並且本發明決不受限於在此描述的且在附圖中明確示出的特定實施例。
本領域的技術人員熟悉可以在圖1的通信系統中實現的各種類型的設備和通信網絡，以及與這種通信系統相關聯的一般操作。通常，通過CE 22、32和PE 20、30來向終端用戶設備24、25和34、35提供到AS 10、12的接入。CE 22、32代表說明性地是路由器的這樣的通信設備關聯於終端用戶設備24、25和34、35(說明性地是路由器)的所有者或操作員，例如僱員工作站(employee work station)的公司所有者，或關聯於例如橋接器、交換機等的其它網絡單元。關聯於例如通信服務的提供商、網際網路服務提供商(ISP)的通信設備，類似地由也可以是路由器的PE 20、30來代表。
如果業務是去往AS 10、14外部的地址或設備，則從CE 22、32所接收的進入通信業務在AS 10、14中的連接上、由PE 20、30路由到ASBR 18、28。PE 20、30也路由外出通信業務，該外出通信業務是去往CE 22、32或與之連接的終端用戶設備24、25或34、35的。中間通信設備或部件也可能涉及每個AS 10、14中的路由業務。在某些實施例中，例如PE 20、30和ASBR18、28的邊緣或邊界路由器，支持中間路由功能和進入/外出功能二者。儘管RR 16、18可能實際上不直接涉及交換或路由通信業務，然而這些功能可能取決於通信連接，其中RR 16、26針對該通信連接來分配地址或其它信息。
骨幹通信網12中的或通過該通信網的通信業務路由，可以利用邊界通信設備以及可能地中間通信設備、以基本上類似的方式來完成，所述骨幹通信網例如可以是網際網路協議(IP)網絡。
AS 10、14之間的通信可能涉及兩個可能的情景之一，同時AS 10、14彼此信任或不信任。例如，當通常AS的可信任網絡擁有、操作所述AS或該AS屬於該可信任網絡時，可能存在第一情景。然而，應當認識到，在AS 10、14之間不會總是建立信任。
在這些情景的任何一個中，關於如何提供可縮放的且有彈性的多域基於PE的VPN服務的問題仍然存在。參考圖1，例如，AS 10中的PE 20不能經由傳統的內部BGP來建立且維持到AS 14中的PE 30的安全VPN連接。儘管內部BGP及其它協議適合在單個AS的情況下建立VPN，然而這些協議無法簡單地被擴展至多個AS。
E.Rosen等人於1999年3月出版的網際網路協會的請求注釋文件RFC-2547，建議了處理多AS VPN的三種方法，其標題為「BGP/MPLSVPNs」。
RFC-2547中建議的第一選擇涉及在AS之間交換路由表。例如，VPN路由和轉發實例(VRF)可以被交換，以在圖1的ASBR 18、28處建立VRF到VRF的連接。儘管這個選擇可以通過在ASBR上提供VRF來避免錯誤的VPN路由，然而ASBR平臺資源影響可能十分顯著，這是由於在每個AS間的VPN處都需要VRF，並且因此每個ASBR都可能必須維持大量的路由。在ASBR要維持的路由數量也影響了可縮放性。
RFC-2547中建議的另一個選擇涉及利用外部BGP在ASBR之間重新分配標記VPN-IPv4路由。根據這個方案，說明性地是PE 20的PE例如利用內部多協議BGP(MBGP)，來向AS 10中的ASBR 18通告標記VPN-IPv4前綴X。然後，外部MBGP在ASBR 18處被用於將標記VPN-IPv4前綴X分配給AS 14中的ASBR 28。在這種情況下，僅分配BGP4標記(隧道標記)，而不分配標記分配協議(LDP)標記(VPN標記)。儘管ASBR 18可以參與VPN的控制平面和數據平面操作二者，然而在數據平面中，ASBR 18典型地僅對具有其本身分配的標記的標記分組進行交換。
由此，三個內部的標記交換路徑(LSP)段(segment)在同一級別、在PE 20和PE 30之間被建立。這些LSP路徑包括PE 30和ASBR 28之間、ASBR 28和ASBR 18之間以及ASBR 18和PE 20之間的路徑。
外部的LSP或隧道也被建立在PE 20、30之間。LDP可用來建立外部LSP的PE到ASBR部分。ASBR之間的直接對等可以是用於外部LSP或隧道的ASBR間部分的LSP的可選方案。
在這種標記分配選擇中，在ASBR所存儲的標記數量取決於橫跨AS的所有VPN所需要的內部標記數量。然而，由於ASBR涉及VPN路由以及標記重新分配方案中的數據平面操作，因此標記重新分配可能具有對ASBR平臺資源的顯著影響。
RFC-2547中建議的又一個選擇是使用PE之間的標記VPN-IPv4路由和ASBR之間的標記IPv4的多跳外部BGP重新分配。在這個方案中，RR或PE利用AS之間的多跳外部MBGP來通告VPN-IPv4信息。參考圖1，PE 20、30從ASBR 18、28學習彼此的路由或標記。儘管ASBR 18、28不能過濾不存在的VPN路由的BGP標記，然而每個PE 20、30或可能使用的RR應當過濾不存在的VPN路由。如果ASBR 18在其AS 10中重新分配AS 14的主機路由，則該ASBR可以將ASBR 28設置為下一跳(hop)。否則，如果ASBR 18不在其AS 10中重新分配AS 14的主機路由，則該ASBR可以將自身設置為下一跳。
在路由或標記分配之後，一個或多個外部LSP或隧道被建立在PE之間。如果使所謂的P路由器(AS 10、14中的中間路由器)知道PE路由，則在PE 20、30之間的一個外部LSP標記被建立，用於包括VRF的內部標記的數據平面中的共兩個標記棧。如果僅讓ASBR 18、28知道PE路由，則對於數據平面中的共三個標記棧僅使用兩個外部標記棧。
按照可縮放性，必須在每個ASBR被存儲的標記數量取決於PE的數量，這是由於其它AS的內部路由需要被置於每個AS中。因此，可縮放性和穩定性會成為問題。
因此，在RFC-2547中進一步詳細描述的上述選擇，通常既不能全局地縮放(scale)又不能單獨地提供有彈性的VPN服務。本發明的實施例規定了多AS VPN，同RFC-2547中建議的選擇相比較，其更加顯著地可縮放並且提供了QoS和彈性，這允許快速的恢復。例如，本發明的一個實施例提供了支持有彈性的VPN服務的機制。另一個實施例提供了一種說明性地通過聚集VPNID-IPv4標記狀態來全局地縮放基於PE的VPN的機制。本發明的又一個實施例有效地合併了這兩個實施例以提供這樣的機制通過聚集VPNID-IPv4標記狀態來縮放全局的VPN服務，並且提供有彈性的全局VPN服務。本發明的所述及其它實施例將在下面被進一步詳細描述。
根據一個實施例，如果知道VPN中對等遠程PE的網際網路協議(IP)地址或其它地址信息，則可以例如從圖1中的PE 20到PE 30來使用AS間的LSP。當LSP設置例如由PE 20來發起時，鬆散源路由(Loose sourcerouting)(ASBR 28、PE 30)優選地由ASBR 18來使用並且由AS 14中的ASBR 28來擴展。如果資源預留協議流量工程(RSVP-TE)被用於路由建立，則通過向AS 10中的明確路由對象(ERO，Explicit Route Object)添加鬆散源路由(ASBR 28、PE 30)，可以因而建立從PE 20到PE 30的AS間的LSP。根據本發明的一方面，將AS中的PE所使用的前綴路由或主機路由洩漏到具有對等PE的其它AS中，允許RSVP-TE信令消息從AS 10被路由到AS 14。
在利用RSVP-TE中的鬆散源路由來建立包括PE 20和PE 30的VPN的上述例子中，AS 14中的ASBR 28利用內部路由來擴展鬆散源路由，並且將RSVP-TE中的ERO中繼到AS 14中的下一跳。RSVP-TE信令隨後基本上按照現有規範一直進行到PE 30。
如果還將建立不同的後備路徑，則LSP的ID或ASBR 28的標記和地址被記錄在例如主路徑建立信令的記錄路由對象(RRO，Record，RouteObject)中。與AS 14相關聯的共享風險鏈路組(SRLG，Shared Risk LinkGroup)的記錄，對於建立不同的後備路徑而言可能用處較小，這是由於在不同AS中所使用的SRLG可能不相容。因此，AS 14中所使用的SRLG可能與AS 10中所使用的SRLG不相容。同樣，AS的所有者或操作員可能不希望向另一個AS洩漏內部IP節點和鏈路地址。當後備路徑隨後被建立時，ASBR 28優選地將LSP的被記錄ID或被記錄標記和ASBR地址，擴展到內部SRLG或鏈路/節點排除中。這個方法克服了使用SRLG來排除不同AS中的路由的現有建議中存在的問題。
一旦在PE 20和PE 30之間建立了LSP，標記VPN-IPv4路由就利用例如多跳外部BGP來在PE或RR之間被重新分配。用於相同乃至不同VPN的許多標記路由，可以通過單個AS間的LSP而被隧道化。
如果AS屬於相同的服務提供商或在AS之中存在某些信任，則上述實施例涉及洩漏AS之間的內部路由，並且同樣適合AS間的VPN。如果AS由不同的提供商所擁有，則一個或多個服務提供商由此能夠向跨越多個AS的VPN提供的特徵，與向一個AS區域中的VPN所提供的特徵基本上相同。
圖2是針對根據上述本發明實施例的提供VPN的方法來提供稍微寬泛的說明的流程圖。圖2的方法允許要在網絡單元之間被建立的VPN，說明性地是提供到各個AS的接入的提供商邊緣通信設備。
應該認識到，圖2僅是出於說明的目的，並且與圖2中明確示出的相比較，可以利用更少、更多或不同的操作和/或利用以不同順序所執行的操作，來實現本發明的實施例。
圖2的方法在40開始於這樣的操作在要被包括到VPN中的網絡單元之間建立LSP。如上所述，這個操作可能涉及在AS之一中發起LSP建立，以及在另一個AS中例如利用RSVP-TE來執行鬆散源路由。
在42，與AS的至少一個中的LSP相關聯的資源記錄被維持。儘管在圖2中示出為分離的操作，然而在42的操作可以例如通過記錄RRO中的資源信息而在40的LSP建立期間來被執行。
然後，不同的備用LSP在44被建立。所述備用LSP排除與LSP相關聯的資源，以由此改進VPN中的通信的彈性和可靠性。指定了被用於在40所建立的主LSP中的資源的資源信息，可以被擴展或被處理，從而在必要的情況下，在44的不同後備路徑建立期間確定適當的資源排除。2003年2月21日提交的共有美國專利申請序號10/369,567，提供了這樣的機制的例子其可以被用於例如利用RSVP-TE排除路由對象(XRO，RSVP-TE ExcludeRoute Obeject)來在44建立不同的後備路徑，所述美國專利申請於2004年8月26日以公布號2004/0165537被公開，其標題為「PROHIBIT OR AVOIDROUTE MECHANISM FOR PATH SETUP」。
在46，通過使用LSP或備用LSP，關聯於每個AS的標記路由說明性地利用BGP而被重新分配到其它AS中的網絡單元。如果AS的任一個或兩個中的多個網絡單元是同一VPN的一部分，則圖2所示的操作可以被重複，從而在不同AS中的所有網絡單元之間建立VPN連接。
上面就方法和方法步驟來主要描述了本發明的實施例。圖3是示例性通信網絡單元或通信設備的框圖，其中可以實現根據本發明實施例的系統。
在圖3中，僅明確示出了直接涉及提供如這裡公開的VPN功能的網絡單元或通信設備50的那些部件。網絡單元或通信設備可以包括執行其它功能的更多部件。
示例性網絡單元或通信設備50包括連接到通信控制模塊54的收發信機52，所述通信控制模塊還被連接到存儲器56並且可以如所示地那樣在處理器58中被實現。圖3所示的通用結構說明了圖1的不同AS部件的示例性結構，其包括PE、RR和ASBR。根據以下描述將變得顯而易見的是，通信控制模塊54可以在通信系統中的不同部件處被不同地配置。例如，PE和ASBR可以在結構上大體類似而執行不同的功能，並且因而可以被不同地配置。
例如，收發信機52可以在RR的情況下啟動在AS中的通信，在PE設備的情況下啟動在AS中的通信以及與客戶設備的通信，或者在例如ASBR的AS邊界設備的情況下啟動AS中的通信以及與另一個AS的通信。本領域的技術人員熟悉許多不同類型的收發信機及其操作，並且本發明決不限於任何指定類型的收發信機52。特定的部件、通信介質、協議以及收發信機52的操作，取決於網絡單元或通信設備50的特定類型。在本申請中給出了本發明實施例的詳細公開，本領域的技術人員因而能夠利用許多不同類型的收發信機52中的任一個來實現本發明。
通信控制模塊54可以作為例如專用集成電路(ASIC)的硬體部件來被實現、在存儲於存儲器56中的、由說明性地是微處理器的處理器58所執行的軟體中來被實現，或作為硬體和軟體二者的某種組合來被實現。在基於處理器的實施例中，處理器58不必是專用處理器。處理器58可以是通過執行存儲器56中的軟體來被配置的通用處理器，從而不僅執行通信控制模塊54的功能，而且還執行與其它模塊或網絡單元或通信設備50的操作相關聯的附加功能。
本領域的技術人員還熟悉適於作為存儲器56來實現的存儲設備，例如固態存儲裝置或與固定、活動乃至可拆卸的存儲介質相兼容的其它類型的存儲設備。根據要存儲在存儲器56中的信息，可以提供易失性、非易失性或這兩種類型的存儲設備。為了避免作業系統、VPN及其它重要軟體或信息的丟失，非易失性存儲器通常是優選的，儘管將這種軟體加載到較快的易失性存儲器中用來執行也相當普遍。存儲器56還可以包括多個存儲設備和/或多個類型的存儲設備。
考慮到上面詳細描述的ASBR操作，通信控制模塊54可以被配置用於通過收發信機52、在不同AS中的網絡單元之間建立LSP。通信控制模塊54還優選地維持與該通信控制模塊在其中操作的AS中的LSP相關聯的資源的記錄，以在網絡單元之間建立排除了關聯於該LSP的資源的備用LSP，並且利用LSP或備用LSP將關聯於其AS的標記路由重新分配給其它AS。如在上述例子中的ASBR 28的情況下，例如通過將被記錄的資源信息擴展到內部排除中，ASBR可以主動地參與建立不同的後備路徑，或者在不同的ASBR發起不同後備路徑的建立，其基本上擔當上述例子中的ASBR 18的角色。
通信控制模塊54還可以執行附加操作，包括在上文中參考本發明實施例的方法所描述的那些操作，和例如在網絡單元之間路由通信信號的通信信號處理操作。
如上所述，例如圖1中的PE 20、30的服務提供商設備還可以具有圖3所示的結構。然而，在這種網絡單元中，收發信機52啟動AS中的通信以及與客戶設備的通信。通信控制模塊54還可以被稍微不同地配置來執行這樣的操作發起LSP的建立、將VPN的標記路由分配給ASBR用於在另一個AS中重新分配、從ASBR接收與在另一個AS中並且屬於上述網絡單元也屬於的VPN的網絡單元相關聯的標記路由，以及處理通信信號用來發送到客戶設備或從客戶設備發送。
在RR中，收發信機52適於在AS中進行通信，並且通信控制模塊54被配置用於從例如PE和/或例如ASBR的邊界設備或網關設備的網絡單元接收路由，並且執行路由分配功能。
在本發明的另一個實施例中，通過將AS內的VPN標記路由聚集成較少的AS間VPN標記路由，ASBR減少了在AS的PE、RR和ASBR中所維持的狀態數量(VPN路由、標記)。例如在圖1中，ASBR 18可以將AS 10中使用的多個VPN標記路由聚集成AS 10和AS 14之間的單個AS間的VPN標記路由。ASBR 28可以類似地將AS 14中的多個標記AS內路由聚集成單個AS間的VPN標記路由。
如下面所詳細描述的，ASBR之間的被聚集標記VPN路由的重新分配可以例如利用單個的或多跳的外部MBGP來完成。
再次考慮建立包括圖1的PE 20、30的VPN的例子。PE 20將標記VPN-IPv4路由分配給AS 10中的ASBR 18。ASBR 18將由PE 20所分配的AS內標記VPN-IPv4路由聚集成一個或多個AS間的標記路由，並且將該被聚集的標記路由分配給ASBR 28。通過優選地將下一跳改成自身以避免必須將其主機路由分配給另一個AS，ASBR 28將這些被聚集的標記路由重新分配給相同VPN的成員PE，說明性地是AS 14中的PE 30。
當被聚集的路由已經由ASBR 28重新分配時，PE 30知道使用被聚集的內部標記來發送給AS 10中的特定VPN-IPv4標記路由。ASBR 28將接收自PE 30的被聚集的標記轉發給ASBR 18。ASBR 18取出該被聚集的標記並且檢查從ASBR 28接收的分組的IPv4目的地址。ASBR 18將所述分組映射到AS 10中對應的標記VPN-IPv4路由，並且推送該對應的內部VPN-IPv4標記。到PE 20的適當的外部標記接著被推送到標記棧上，並且該被標記分組被轉發。
在某些實施例中，被聚集的標記被替換為對應的內部VPN-IPv4標記。然後，被聚集的標記的VPN ID被匹配於所述分組的IP目的地址，並且外部標記被推送到該分組的標記棧上。
圖4是流程圖，其更一般地提供了在與多個AS相關聯的網絡單元之間配置域間VPN的方法的說明，該方法根據本發明的實施例採用了標記聚集。
圖4的方法在60開始於這樣的操作在第一AS中分配由在該第一AS中且屬於VPN的第一網絡單元所使用的VPN標記路由。這個操作可以由PE、RR或其某些組合來執行。例如，PE可以將其標記路由分配給RR，RR然後在AS中分配該路由。
在62，被分配的VPN標記路由或其至少一個子集，被聚集成被聚集AS間VPN標記路由。所有被分配VPN標記路由都可以被聚集成單個被聚集AS間VPN標記路由，或者被分配的VPN標記路由的子集可以被聚集成各個被聚集AS間標記路由。還可以設想聚集被分配的VPN標記路由中的一些，而不聚集其它。
在62，路由聚集有效地將被分配的VPN標記路由映射到一個或多個被聚集的AS間標記路由。例如，被分配的VPN標記路由和一個或多個被聚集的AS間標記路由的標識符，可以被存儲在存儲器的映射表或其它數據結構中，例如圖3中的存儲器56。例如與被分配的VPN標記路由相關聯的目標IP位址的其它信息，也可以被存儲並且被用來確定使用被分配VPN標記路由中的哪一個來轉發接收的通信信號，該通信信號說明性地是指定了被聚集AS間標記路由的分組。
在一個實施例中，通過至少存儲下列狀態而在ASBR聚集路由VPNID/聚集、IP前綴/聚集以及下一跳地址。例如根據專用網絡或VoIP服務的虛擬網絡的目標應用，VPN ID/聚集或IP前綴/聚集都可以在搜索匹配聚集路由時被用作主要的關鍵字。
方法在64繼續進行這樣的操作將被聚集的AS間VPN標記路由分配給第二AS。被聚集的AS間VPN標記路由然後在66被重新分配給第二AS中的第二網絡單元，該第二AS屬於與分配VPN標記路由的網絡單元相同的VPN。
在被聚集的AS間標記路由在66被重新分配之後，指定了重新分配的被聚集AS間標記路由的被接收通信信號被處理，並且利用被聚集成被聚集AS間標記路由的被分配的VPN標記路由之一而被轉發。如上所述，適當的VPN標記路由可以基於在通信信號中被指定的目的地而被確定，或根據該通信信號而被確定。
如果AS屬於不同的服務提供商，或者在其它情景中如果在AS之中幾乎不存在信任並且仍需要可縮放的VPN解決方案，則標記聚集和重新分配對於提供商之間的AS間VPN來說可能是最適當的選擇。例如一個AS中的ASBR的網絡單元不能接入任何其它AS的VPN-IPv4路由，並且不存在遠程PE或主機路由的洩漏。如果本地PE不知道對等的遠程PE(remote PE topeer with)，則使用標記聚集的實施例可能也是適當的。
應當認識到，上述標記聚集和重新分配操作可以針對AS 10、14中任一個或兩個中的多個PE來被執行，或者可以針對於多個AS間的VPN來被執行。還應當認識到，標記聚集也可以由ASBR 18、28中的任一個或兩個來採用。因此，AS 14中的PE 30和ASBR 28之間的多個AS內標記路由，也可以基本上如上所述地那樣被聚集成AS間的標記路由。
根據本發明的另一個實施例，RSVP-TE被用來在不同AS中的PE之間建立外部隧道和不同的路徑。再次參考圖1，在AS 10中，PE 20建立到其它PE和ASBR的外部RSVP-TE隧道，所述其它PE和ASBR可以例如經由內部MBGP(即下一跳)而被發現。
到另一個AS 14的RSVP-TE隧道也可以被建立。如果不知道遠程PE 30的IP位址，並且目的是減少網絡中的狀態以及避免洩漏主機路由給其它AS，則ASBR 18、28可以替代地交換VPN的VPN ID、作為VPN的成員的PE的PE ID以及對應的(一個或多個)下一跳。例如，ASBR 18可以在AS10中分配包括PE的VPN的VPN ID，並且將其本身設置為下一跳。然後，AS 14中的ASBR 28知道AS 10中的VPN ID，並且將相同的VPN ID重新分配給屬於對應VPN的、AS 14中的PE，但是將下一跳設置為本身。AS 14中的每個PE的VPN成員可以利用例如BGP VPN自動發現來被確定。
然後，在指定鬆散源路由(PE 30、ASBR 28、VPN ID)的情況下，PE 30可以建立到AS 10中的遠程PE 20的LSP。在假定ASBR 18可以直接或通過多跳而從ASBR 28到達的情況下，利用例如RSVP-TE和新的VPN類型長度值(TLV，type length value)來建立LSP。ASBR 28將RSVP-TE消息轉發給ASBR 18，這是因為它是鬆散源路由中指定VPN ID的下一跳。
標記路由一旦被建立，就可以在AS中利用AS內的RSVP-TE隧道被分配、被聚集、利用AS間RSVP-TE隧道和ASRS內的VP-TE隧道被重新分配，並且基本上如上所述地那樣被用於PE 20、30之間的通信。
如上所述的標記聚集增強了多域基於PE的VPN可縮放性，這是因為域或AS中的標記VPN ID-IPv4路由的總數，是所述域中的標記VPNID-IPv4路由的總數加上其它域中的被聚集標記VPN ID-IPv4路由的總數。在被聚集標記路由的其它實施例中，標記VPN-IPv4路由的總數取決於在所有域中對等的PE的總數。標記路由聚集和重新分配還避免洩漏AS之間的內部路由或標記信息。
標記聚集可以在ASBR或具有圖3所示的一般結構的通信設備處被實現。對於域間的VPN配置功能，通信控制模塊54優選地被配置用於從在第一AS中且屬於VPN的第一網絡單元接收由該第一網絡單元所使用的VPN標記路由、將VPN標記路由的至少一個子集聚集成被聚集AS間VPN標記路由，以及將被聚集的AS間VPN標記路由分配給第二AS，用於由第二AS重新分配給屬於VPN的第二AS中的第二網絡單元。
通信控制模塊54還可以被配置用於從另一個AS接收被聚集的AS間VPN標記路由，以及將接收到的被聚集AS間VPN標記路由重新分配給其擁有的AS中的網絡單元。因此，ASBR可以將內部路由聚集成被聚集AS間路由，並且將該被聚集AS間路由分配給一個或多個其它AS；從其它AS接收被聚集AS間路由並且在其AS中重新分配被聚集AS間路由，或二者皆可。
用於提供域間的VPN的技術已經在上面被詳細地描述。例如，這些解決方案可以在路由器或邊緣網絡單元中被提供，這允許運營商(carrier)/ISP以可縮放且有彈性的方式、穿過許多AS來提供基於PE的VPN。AS可能由一個提供商(即可信任網絡)或不同提供商(即不可信網絡)所擁有。
所描述的內容只是本發明原理的應用的說明。在不脫離本發明範圍的前提下，本領域的技術人員還可以實現其它安排和方法。
例如，用於配置AS間的VPN的本發明實施例的實現不必排除在AS中使用傳統技術。傳統技術可被用來配置在AS內的VPN或VPN的AS內部分，該VPN包括另一個AS的內部網絡單元和外部網絡單元二者。
另外，儘管就方法和系統進行了主要描述，然而還設想了本發明的其它實現，如存儲在機器可讀介質上的指令。
本發明的某些實施例中可以實現的另一個變型，是在ASBR處應用速率限制，以限制來自另一個AS的通信業務流。例如，這類控制可被用來確保能夠滿足來自另一個AS的先前議定的服務級別。
可以在被聚集的路由上所支持的服務級別，也可以在ASBR被確定並且被分配或通告給另一個ASBR。例如，AS然後可以自動地在兩個AS之間進行選擇，從而根據每個AS所提供的服務級別來向兩個AS之一轉發通信業務或向兩個AS轉發複製的通信業務。這種自動選擇的優點在於，AS的網絡管理員不需要提供或調整路由度量或其它參數，來加載平衡或選擇要向其轉發業務的AS。由AS所宣布的被聚集路由的服務級別由該AS來確保。另外或可選地，ASBR可以測量服務級別或獲得服務級別測量並且因而獲得所述域之間的加載平衡。
遇忙返回(crankback)是一項可以被用來在被聚集路由無法提供信令消息所需要的資源或服務級別時所使用的技術。信令消息可以有效地返回到任何先前的跳躍，並且因而可以進行嘗試以經由不同的下一跳來發送該信令消息。例如，當連接建立請求由於沿被選擇路徑的節點無法接受該請求而被阻塞時，該路徑被「退到」中間節點，該中間節點試圖發現到最終目的地的另一個路徑。
其它技術也可以被用來改進VPN的彈性。例如，ASBR可以向每個VPN-IP目的地安裝例如主路由和備用路由的多路由平面。2004年8月5日提交的美國專利申請序號10/911,692公開了一個可能的多路由平面機制，該美國專利申請的標題為「METHOD FOR FORWARDING TRAFFICHAVING A PREDETERMINED CATEGORY OF TRANSMISSIONSERVICE IN A CONNECTIONLESS COMMUNICATIONSNETWORK」。如果到ASBR的鏈路發生故障，則多路由平面允許VPN-IP業務被迅速路由到另一個ASBR。
不同的聚集選擇也可以被用於本發明的不同實施例。例如，屬於不同VPN的、具有全局地包括唯一IP位址IPA和IPB的IP-VPN ID標記的兩個路由IPA-VPN1和IPB-VPN2，可以被聚集成被聚集路由IPC-VPN1+2，其具有包括不同IP位址IPC的另一個IP-VPN ID標記。例如，這允許來自不同住宅網絡(residential network)中的不同基於IP的話音(VoIP)提供商的通信業務，被聚集成用於不同VPN的全局IP-VPN ID標記路由。
權利要求
1.一種提供包括網絡單元的虛擬專用網的方法，所述網絡單元提供到各個自治系統的接入，該方法包括在所述網絡單元之間建立標記交換路徑；在所述自治系統的至少一個中維持用於所述標記交換路徑的資源的記錄；在所述網絡單元之間建立備用標記交換路徑，該備用標記交換路徑排除了用於所述標記交換路徑的資源；和利用所述標記交換路徑或備用標記交換路徑，將與每個自治系統相關聯的標記路由重新分配給另一個自治系統中的網絡單元。
2.根據權利要求1的方法，其中，所述維持包括記錄(i)所述標記交換路徑的標識符，或(ii)與在至少一個自治系統中的通信設備的標記交換路徑和地址相關聯的標記。
3.根據權利要求1的方法，其中，所述維持包括維持資源預留協議流量工程標記交換路徑建立信令的記錄路由對象。
4.根據權利要求1到3中任何一個的方法，其中，所述建立備用標記交換路徑包括，在所述自治系統的至少一個中將所述資源記錄中的信息擴展到內部資源排除。
5.根據權利要求1到3中任何一個的方法，其中，所述重新分配包括利用邊界網關協議來重新分配所述標記路由。
6.一種用於提供包括網絡單元的虛擬專用網的系統，所述網絡單元提供到各個自治系統的接入，該系統包括收發信機，其被配置用於在所述自治系統之一與連接到該自治系統的通信鏈路中進行通信；和通信控制模塊，其被配置用於通過所述收發信機在所述網絡單元之間建立標記交換路徑；在所述自治系統的至少一個中維持用於所述標記交換路徑的資源的記錄；在所述網絡單元之間建立備用標記交換路徑，該備用標記交換路徑排除了用於所述標記交換路徑的資源；以及利用所述標記交換路徑或備用標記交換路徑，將關聯於所述自治系統之一的標記路由重新分配給另一個自治系統中的網絡單元。
7.根據權利要求6的系統，其中，所述通信控制模塊還被配置用於從所述自治系統之一中的網絡單元接收由該網絡單元所使用的前綴路由或主機路由；以及將所述前綴路由或主機路由洩漏給所述另一個自治系統。
8.根據權利要求6或7的系統，其中，所述通信控制模塊還被配置用於通過在所述自治系統之一中將所述資源記錄中的信息擴展到內部資源排除，來建立備用標記交換路徑。
9.一種自治通信系統，其包括邊界路由器，其包括根據權利要求6或7的系統；和服務提供商邊緣通信設備，其包括所述網絡單元之一。
10.一種通信系統，其包括根據權利要求9的多個自治通信系統；和骨幹通信網，其連接所述多個自治通信系統。
11.一種在網絡單元之間配置域間虛擬專用網的方法，所述網絡單元提供到多個自治系統的接入，該方法包括在第一自治系統中分配由第一網絡單元所使用的虛擬專用網標記路由，所述第一網絡單元在該第一自治系統中並且屬於虛擬專用網；將所述多個虛擬專用網標記路由的至少一個子集聚集成被聚集自治系統間的虛擬專用網標記路由；將所述被聚集自治系統間的虛擬專用網標記路由分配給第二自治系統；以及將所述被聚集自治系統間的虛擬專用網標記路由，重新分配給屬於所述虛擬專用網的第二自治系統中的第二網絡單元。
12.根據權利要求11的方法，其中，所述聚集包括將所述多個虛擬專用網標記路由的多個子集，聚集成各個被聚集自治系統間的標記路由。
13.根據權利要求11或12的方法，還包括接收指定了所述被聚集自治系統間的標記路由的通信信號；確定所述通信信號的目的地；以及利用對應於所述被確定目的地的所述多個虛擬專用網標記路由的子集之一，來轉發所述通信信號。
14.根據權利要求13的方法，其中，所述轉發包括將速率限制應用於所述接收的通信信號，該通信信號指定了所述被聚集自治系統間的標記路由。
15.根據權利要求11或12的方法，其中，所述多個虛擬專用網標記路由還包括，由所述第一自治系統中的多個網絡單元所使用的虛擬專用網標記路由。
16.一種用於在網絡單元之間配置域間的虛擬專用網的系統，所述網絡單元提供到多個自治系統的接入，該系統包括收發信機，其適於在第一自治系統中進行通信並且與第二自治系統通信；和通信控制模塊，其被配置用於通過所述收發信機從第一網絡單元接收由所述第一網絡單元所使用的多個虛擬專用網標記路由，所述第一網絡單元在所述第一自治系統中並且屬於虛擬專用網；將所述多個虛擬專用網標記路由的至少一個子集，聚集成被聚集自治系統間的虛擬專用網標記路由；以及通過所述收發信機將所述被聚集自治系統間的虛擬專用網標記路由分配給所述第二自治系統，用於由該第二自治系統將其重新分配給屬於所述虛擬專用網的第二自治系統中的第二網絡單元。
17.根據權利要求16的系統，還包括存儲器，其中，所述通信控制模塊還被配置用於通過將所述多個虛擬專用網標記路由和被聚集自治系統間的標記路由的標識符存儲在所述存儲器的映射表中，來將所述多個虛擬專用網標記路由的至少一個子集聚集成被聚集自治系統間的虛擬專用網標記路由。
18.根據權利要求16或17的系統，其中，所述通信控制模塊還被配置用於接收指定了所述被聚集自治系統間的標記路由的通信信號；確定所述通信信號的目的地；以及利用對應於所述被確定目的地的所述多個虛擬專用網標記路由的子集之一，轉發所述通信信號。
19.根據權利要求16或17的系統，其中，所述通信控制模塊還被配置用於，通過所述收發信機來接收在多個虛擬專用網中所使用的多個虛擬專用網標記路由。
20.一個存儲數據結構的機器可讀介質，其包括多個數據欄位，其存儲了與由第一網絡單元所使用的各個虛擬專用網標記路由相關聯的標識符，所述第一網絡單元在第一自治系統中並且屬於虛擬專用網，所述虛擬專用網標記路由在所述第一自治系統中由所述第一網絡單元來分配；和數據欄位，其存儲了被聚集自治系統間的虛擬專用網標記路由的標識符，其中所述多個虛擬專用網標記路由被聚集成該被聚集自治系統間的虛擬專用網標記路由，所述被聚集自治系統間的虛擬專用網標記路由被分配給第二自治系統，用於重新分配給屬於所述虛擬專用網的第二自治系統中的第二網絡單元。
全文摘要
公開了虛擬專用網的方法和系統。標記交換路徑(LSP)在網絡單元之間被建立，該網絡單元提供到不同的自治系統(AS)的接入。用於LSP的資源記錄被維持，並且備用LSP在網絡單元之間被建立。備用LSP排除了用於LSP的資源。與每個AS相關聯的標記路由然後利用LSP或備用LSP被重新分配給其它AS中的網絡單元。在另一個實施例中，由在第一AS中且屬於VPN的第一網絡單元所使用VPN標記路由，被聚集成被聚集AS間的VPN標記路由，其被分配給第二AS並且被重新分配給屬於VPN的第二AS中的第二網絡單元。此外，還公開了一種用於將VPN標記路由數據結構映射到被聚集AS間標記路由的數據結構。
文檔編號H04L12/46GK1794691SQ20051013234
公開日2006年6月28日 申請日期2005年12月21日 優先權日2004年12月22日
發明者李菁燕 申請人:阿爾卡特公司