專利名稱:實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬專用網(wǎng)技術(shù),特別涉及包含網(wǎng)間互聯(lián)協(xié)議第6版(InternetProtocol version 6,簡(jiǎn)稱“IPv6”)站點(diǎn)的虛擬專用網(wǎng)技術(shù)。
背景技術(shù):
虛擬專用網(wǎng)(Virtual Private Networking,簡(jiǎn)稱“VPN”)是在公眾網(wǎng)絡(luò)上所建立的虛擬的專用網(wǎng)絡(luò),它具有與專用網(wǎng)絡(luò)同樣卓越的安全性、可靠性和易管理性。VPN替代了傳統(tǒng)的撥號(hào)訪問,利用因特網(wǎng)(Internet)公眾網(wǎng)或者運(yùn)營(yíng)商網(wǎng)絡(luò)資源作為企業(yè)專用網(wǎng)絡(luò)的延續(xù),節(jié)省昂貴的專線租用費(fèi)用,同時(shí)VPN可以使用隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密等技術(shù)保證了通信的安全性,受到企業(yè)用戶的歡迎。
企業(yè)通過VPN的建設(shè),可以帶來很多好處,例如,通過使用VPN,企業(yè)可以節(jié)省大量企業(yè)日常通訊的費(fèi)用;可以進(jìn)行遠(yuǎn)程教學(xué)和遠(yuǎn)程監(jiān)控以達(dá)到企業(yè)管理統(tǒng)一;還可以提高企業(yè)內(nèi)部業(yè)務(wù)信息流通的安全性??梢灶A(yù)見,VPN是企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì),信息管理、流通的必然趨勢(shì)。
現(xiàn)有的VPN是基于網(wǎng)間互聯(lián)協(xié)議第4版(Internet Protocol version 4,簡(jiǎn)稱“IPv4”)網(wǎng)絡(luò)的,即組成VPN的骨干網(wǎng)絡(luò)和站點(diǎn)都處于IPv4網(wǎng)絡(luò)中。作為其中的典型代表,請(qǐng)求評(píng)注(Request for Comments,簡(jiǎn)稱“RFC”)標(biāo)準(zhǔn)2547bis定義的VPN實(shí)現(xiàn)方案對(duì)如何實(shí)現(xiàn)VPN作了具體描述,詳細(xì)說明可以參照RFC 2547bis。下面對(duì)實(shí)現(xiàn)該方案的基本原理作簡(jiǎn)要介紹。
RFC2547bis所定義多協(xié)議標(biāo)記交換(MultiProtocol Label Switching,簡(jiǎn)稱“MPLS”)三層(Layer 3,簡(jiǎn)稱“L3”)VPN的模型的示意圖如圖1所示,該模型包括三個(gè)組成部份用戶網(wǎng)邊緣(Custom Edge Router,簡(jiǎn)稱“CE”)路由器、骨干網(wǎng)邊緣(Provider Edge Router,簡(jiǎn)稱“PE”)路由器和骨干網(wǎng)(Provider Router,簡(jiǎn)稱“P”)路由器。其中,CE路由器是用戶駐地網(wǎng)絡(luò)的一個(gè)組成部分,有接口直接與運(yùn)營(yíng)商的網(wǎng)絡(luò)相連,CE路由器感知不到VPN的存在,也不需要維護(hù)VPN的整個(gè)路由信息;PE路由器是運(yùn)營(yíng)商網(wǎng)絡(luò)的邊緣設(shè)備,與用戶的CE路由器直接相連,在MPLS網(wǎng)絡(luò)中,對(duì)VPN的所有處理都在PE路由器上完成;P路由器處于運(yùn)營(yíng)商網(wǎng)絡(luò)中,不和CE路由器直接相連,P路由器需要有MPLS基本信令能力和轉(zhuǎn)發(fā)能力。熟悉本領(lǐng)域的技術(shù)人員可以理解,CE和PE的劃分主要是從運(yùn)營(yíng)商與用戶的管理范圍來劃分的,CE和PE是兩者管理范圍的邊界。
CE與PE之間可以使用外部邊界網(wǎng)關(guān)協(xié)議(External BGP,簡(jiǎn)稱“EBGP”)或是內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱“IGP”)等路由協(xié)議交換路由信息,也可以使用靜態(tài)路由。CE不必支持MPLS,不需要感知VPN的整網(wǎng)路由,VPN的整網(wǎng)路外包給運(yùn)營(yíng)商來完成。PE之間通過多協(xié)議邊界網(wǎng)關(guān)協(xié)議(Multi-Protocol Border Gateway Protocol,簡(jiǎn)稱“MP-BGP”)交換VPN的整網(wǎng)路由信息。
如圖1所示,VPN是由多個(gè)用戶站點(diǎn)(Site)組成的,在PE上,每個(gè)站點(diǎn)對(duì)應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例(VPN Routing/Forwarding instance,簡(jiǎn)稱“VRF”),它主要包括網(wǎng)間互聯(lián)協(xié)議(Internet Protocol,簡(jiǎn)稱“IP”)路由表、標(biāo)簽轉(zhuǎn)發(fā)表、使用標(biāo)簽轉(zhuǎn)發(fā)表的一系列接口以及管理信息。其中,接口和管理信息包含路由區(qū)分符(Route Distinguisher,簡(jiǎn)稱“RD”)、路由過濾策略、成員接口列表等。需要說明的是,用戶站點(diǎn)和VPN不存在一對(duì)一的關(guān)系,一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。在具體實(shí)現(xiàn)時(shí),每一個(gè)站點(diǎn)關(guān)聯(lián)一個(gè)單獨(dú)的VRF。VPN中Site的VRF實(shí)際上綜合了該站點(diǎn)的VPN成員關(guān)系和路由規(guī)則。報(bào)文轉(zhuǎn)發(fā)信息存儲(chǔ)在每個(gè)VRF的IP路由表和標(biāo)簽轉(zhuǎn)發(fā)表中。系統(tǒng)為每個(gè)VRF維護(hù)一套獨(dú)立的路由表和標(biāo)簽轉(zhuǎn)發(fā)表,從而防止了數(shù)據(jù)泄漏出VPN之外,同時(shí)防止了VPN之外的數(shù)據(jù)進(jìn)入。
路由器之間使用邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol,簡(jiǎn)稱“BGP”)來發(fā)布VPN路由,BGP通信在兩個(gè)層次上進(jìn)行,自治系統(tǒng)(AutonomousSystem,簡(jiǎn)稱“AS”)內(nèi)部采用內(nèi)部邊界網(wǎng)關(guān)協(xié)議(Internal BGP,簡(jiǎn)稱“IBGP”),AS之間采用EBGP。例如,PE-PE會(huì)話是IBGP會(huì)話,而PE-CE會(huì)話是EBGP會(huì)話。BGP在PE路由器之間的VPN組成信息和路由傳播,通過多協(xié)議擴(kuò)展BGP(Multiprotocol extensions BGP,簡(jiǎn)稱“MBGP”)來實(shí)現(xiàn)。MBGP向下兼容,既可以支持傳統(tǒng)的IPv4地址族,又可以支持其他地址族,例如VPN-IPv4地址族。通過MBGP攜帶的路由目標(biāo)(Route Target)確保了特定VPN的路由只能被這個(gè)VPN的其他成員知道,使BGP/MPLS VPN成員間的通信成為可能。其中,關(guān)于MBGP的詳細(xì)說明請(qǐng)參見RFC2283。
在RFC2547bis標(biāo)準(zhǔn)中,CE與PE之間通過內(nèi)部網(wǎng)關(guān)協(xié)議(Interior GatewayProtocol,簡(jiǎn)稱“IGP”)或EBGP來傳播路由信息,PE得到該VPN的路由表,存儲(chǔ)在單獨(dú)的VRF中。PE之間通過IGP來保證通常IP的連通性,通過IBGP來傳播VPN組成信息和路由,并完成各自VRF的更新。PE再通過與直接相連CE之間的路由交換來更新CE的路由表,由此完成各個(gè)CE之間的路由交換。
其中,使用BGP來發(fā)布VPN路由時(shí),使用了新的地址族-VPN-IPv4地址。一個(gè)VPN-IPv4地址有12個(gè)字節(jié),開始是8字節(jié)的RD,后面是4字節(jié)的IPv4地址。PE使用RD對(duì)來自不同VPN的路由信息進(jìn)行標(biāo)識(shí)。運(yùn)營(yíng)商可以獨(dú)立地分配RD,但是需要把他們專用的AS號(hào)作為RD的一部分來保證每個(gè)RD的全局唯一性。RD為零的VPN-IPv4地址同全局唯一的IPv4地址是同義的。這樣處理以后,即使VPN-IPv4地址中包含的4字節(jié)IPv4地址重疊,VPN-IPv4地址仍可以保持全局唯一。其中,PE從CE接收的路由是IPv4路由,需要引入VRF路由表中,此時(shí)需要附加一個(gè)RD。在通常的實(shí)現(xiàn)中,為來自于同一個(gè)用戶站點(diǎn)的所有路由設(shè)置相同的RD。
在RFC2547bis標(biāo)準(zhǔn)中,采用Route Target屬性標(biāo)識(shí)了可以使用某路由的站點(diǎn)的集合,即該路由可以被哪些站點(diǎn)所接收,PE路由器可以接收哪些站點(diǎn)傳送來的路由。與Route Target中指明的站點(diǎn)相連的PE路由器,都會(huì)接收到具有這種屬性的路由。PE路由器接收到包含此屬性的路由后,將其加入到相應(yīng)的路由表中。PE路由器存在兩個(gè)Route Target屬性的集合一個(gè)集合用于附加到從某個(gè)站點(diǎn)接收的路由上,稱為Export Route Targets;另一個(gè)集合用于決定哪些路由可以引入此Site的路由表中,稱為Import Route Targets。通過匹配路由所攜帶的Route Target屬性,可以獲得VPN的成員關(guān)系。匹配Route Target屬性可以用來過濾PE路由器接收的路由信息。
圖2所示為通過匹配Route Target屬性過濾接收路由的示意圖。MPLSVPN路由信息進(jìn)入PE路由器時(shí),如果Export Route Targets集合與ImportRoute Targets集合存在相同項(xiàng),則該路由被接收;如果Export Route Targets集合與Import Route Targets集合沒有相同項(xiàng),則該路由被拒絕。
在RFC2547bis標(biāo)準(zhǔn)中,VPN報(bào)文轉(zhuǎn)發(fā)使用兩層標(biāo)簽方式。第一層,即外層標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換,代表了從PE到對(duì)端PE的一條標(biāo)簽交換路徑(Label Switched Path,簡(jiǎn)稱“LSP”),VPN報(bào)文利用這層標(biāo)簽,就可以沿著LSP到達(dá)對(duì)端PE。從對(duì)端PE到達(dá)CE時(shí)使用第二層,即內(nèi)層標(biāo)簽,內(nèi)層標(biāo)簽指示了報(bào)文到達(dá)哪個(gè)站點(diǎn),或者更具體一些,到達(dá)哪一個(gè)CE。這樣,根據(jù)內(nèi)層標(biāo)簽,就可以找到轉(zhuǎn)發(fā)報(bào)文的接口。特殊情況下,屬于同一個(gè)VPN的兩個(gè)站點(diǎn)連接到同一個(gè)PE,則如何到達(dá)對(duì)方PE的問題不存在,只需要解決如何到達(dá)對(duì)端CE。
而隨著通信網(wǎng)絡(luò)技術(shù)的發(fā)展,傳統(tǒng)的IPv4網(wǎng)絡(luò)暴露出了一系列缺點(diǎn),體現(xiàn)在地址空間不足、移動(dòng)性差、安全性差和配置復(fù)雜等方面,因此互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineer Task Force,簡(jiǎn)稱“IETF”)提出了IPv6以解決這些問題。經(jīng)過幾年的發(fā)展,IPv6技術(shù)已經(jīng)日漸成熟,較為成功的解決了IPv4所存在的問題,成為下一代互聯(lián)網(wǎng)的標(biāo)準(zhǔn)。目前,IPv6的推廣已經(jīng)進(jìn)入實(shí)質(zhì)階段,許多研究機(jī)構(gòu)和公司正在進(jìn)行IPv6網(wǎng)絡(luò)產(chǎn)品的研究工作。
為了在從IPv4向IPv6演進(jìn)的過程中繼續(xù)提供IPv4環(huán)境下的各種業(yè)務(wù),必須同步研究IPv6網(wǎng)絡(luò)上的VPN解決方案。由于IPv6本身也還處于試驗(yàn)階段,還沒有正式大規(guī)模商用,更沒有存在IPv6網(wǎng)絡(luò)下的正式VPN業(yè)務(wù)應(yīng)用?,F(xiàn)在世界上對(duì)于IPv6下VPN業(yè)務(wù)的研究還處于初級(jí)階段,IPv6 VPN還要適應(yīng)IPv6的新特性,如IPv6下VPN業(yè)務(wù)的安全性、服務(wù)質(zhì)量(Quality of Service,簡(jiǎn)稱“QoS”)、移動(dòng)性以及可管理性等,有很多的研究工作需要進(jìn)行。
對(duì)于如何在骨干網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò),VPN站點(diǎn)全部為IPv6網(wǎng)絡(luò)的情況下實(shí)現(xiàn)VPN,可以采用思科(CISCO)公司提出的6PE技術(shù)方案,該技術(shù)方案的網(wǎng)絡(luò)組成示意圖如圖3所示。6PE方案實(shí)現(xiàn)的基本思想是每個(gè)IPv6站點(diǎn)連接到IPv4骨干網(wǎng)絡(luò)的至少一個(gè)雙棧并且支持MP-BGP的PE路由器,即圖3所示的6PE路由器。其中,6PE路由器稱為雙棧BGP(Double Stack BGP,簡(jiǎn)稱“DS-BGP”)路由器,即DS-BGP路由器。DS-BGP路由器在IPv4側(cè)至少有一個(gè)IPv4地址,在IPv6側(cè)至少有一個(gè)IPv6地址,并且該IPv4地址必須在IPv4網(wǎng)絡(luò)中可路由。IPv6站點(diǎn)中的路由遵循標(biāo)準(zhǔn)的IPv6路由協(xié)議,例如開放最短路徑優(yōu)先協(xié)議版本3(Open Shortest Path First Version3,簡(jiǎn)稱“OSPFv3”),標(biāo)準(zhǔn)化發(fā)起信息學(xué)會(huì)版本6(Information Society Initiatives inStandardization version 6,簡(jiǎn)稱“ISISv6”)或者下一代路由信息協(xié)議(RoutingInformation Protocol next generation,簡(jiǎn)稱“RIPng”),不用向IPv4骨干網(wǎng)絡(luò)發(fā)布,只需要在DS-BGP路由器通過BGP4+終結(jié),但需要在DS-BGP路由器之間通過MP-BGP4交換IPv6的網(wǎng)絡(luò)層可達(dá)信息(Network LayerReachability Information,簡(jiǎn)稱“NLRI”),出口DS-BGP路由器在向入口DS-BGP路由器通告路由時(shí)將自己的地址作為這些路由的下一跳;在數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí),從入口DS-BGP路由器將IPv6數(shù)據(jù)包通過MPLS隧道,即LSP,透?jìng)鞯匠隹贒S-BGP路由器。而DS-BGP路由器通告自己的地址作為BGP路由下一跳時(shí)可以使用IPv4地址,并使用MPLS隧道或者其他基于IPv4地址的隧道,如通用路由封裝(Generic Route Encapsulation,簡(jiǎn)稱“GRE”)協(xié)議隧道,IP安全協(xié)議(IP Securltv Protocol,簡(jiǎn)稱“IPsec)隧道;也可以使用IPv6地址,并使用相應(yīng)的隧道,如6to4隧道,站點(diǎn)內(nèi)自動(dòng)隧道接入?yún)f(xié)議(Intra-Site Automatic Tunnel Access Protocol,簡(jiǎn)稱”ISATAP)隧道,并使用這些隧道要求的地址形式。
但是,IPv4向IPv6過渡是一個(gè)漸進(jìn)的過程,過渡時(shí)期將同時(shí)存在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò),用戶網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)都既可能是IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò),又可能是IPv4/IPv6混合網(wǎng)絡(luò)。這就要求新一代網(wǎng)絡(luò)下的VPN業(yè)務(wù)能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境,可以正常應(yīng)用于IPv4網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)或者是IPv4/IPv6混合網(wǎng)絡(luò)。
在實(shí)際應(yīng)用中,上述方案存在以下問題現(xiàn)有的發(fā)明方案無法解決在IPv4用戶站點(diǎn)和IPv6站點(diǎn)混合組VPN網(wǎng)時(shí),如何提供VPN業(yè)務(wù)解決方案的問題。
造成這種情況的主要原因在于,現(xiàn)有的技術(shù)方案是針對(duì)骨干網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)、全部VPN站點(diǎn)為IPv6站點(diǎn)的情況,該方案中使用的DS-BGP路由器不支持IPv4的站點(diǎn),如果簡(jiǎn)單地改用普通BGP路由器則無法實(shí)現(xiàn)NLRI的交換等功能,因此對(duì)于混合站點(diǎn)即既有IPv4用戶站點(diǎn)又有IPv6用戶站點(diǎn)的情況,現(xiàn)有的技術(shù)方案無法提供解決方案。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,使得在VPN網(wǎng)絡(luò)過渡過程中,部分站點(diǎn)為IPv4網(wǎng)絡(luò)另一部分站點(diǎn)為IPv6網(wǎng)絡(luò)時(shí),可以提供通過單域或多域的IPv4骨干網(wǎng)絡(luò)組成VPN的業(yè)務(wù)解決方案。
為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的虛擬專用網(wǎng)用戶站點(diǎn)依次通過用戶網(wǎng)邊緣路由器和骨干網(wǎng)邊緣路由器接入基于網(wǎng)間互聯(lián)協(xié)議第4版的骨干網(wǎng),包含以下步驟A所述骨干網(wǎng)邊緣路由器為與其連接的每個(gè)所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)保存網(wǎng)間互聯(lián)協(xié)議第4版地址池并進(jìn)行地址分配;B所述骨干網(wǎng)邊緣路由器和所述用戶網(wǎng)邊緣路由器進(jìn)行路由的學(xué)習(xí)和發(fā)布;C所述用戶站點(diǎn)依照所述步驟B中建立的路由轉(zhuǎn)發(fā)數(shù)據(jù)。
其中,所述步驟B還包含以下子步驟B1所述骨干網(wǎng)邊緣路由器和所述用戶網(wǎng)邊緣路由器之間進(jìn)行路由的學(xué)習(xí)和發(fā)布;B2所述骨干網(wǎng)邊緣路由器采用多協(xié)議邊界網(wǎng)關(guān)協(xié)議發(fā)布路由給與其存在對(duì)等關(guān)系的其它所述骨干網(wǎng)邊緣路由器并接收路由信息進(jìn)行路由的學(xué)習(xí)。
所述多協(xié)議邊界網(wǎng)關(guān)協(xié)議包含以下擴(kuò)展在路由屬性中增加站點(diǎn)屬性,所述站點(diǎn)屬性包含用于標(biāo)識(shí)所述用戶站點(diǎn)是否是所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的類型域,用于標(biāo)識(shí)后續(xù)網(wǎng)間互聯(lián)協(xié)議第6版路由個(gè)數(shù)的長(zhǎng)度域和用于傳遞具體網(wǎng)間互聯(lián)協(xié)議第6版路由信息的值域。
所述類型域和所述長(zhǎng)度域均長(zhǎng)1個(gè)字節(jié),所述值域在所述路由為網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)路由時(shí)為0。
所述步驟B1還包含以下子步驟B11對(duì)于所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn),采用基于網(wǎng)間互聯(lián)協(xié)議第4版的路由協(xié)議在所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)連接的所述用戶網(wǎng)邊緣路由器與所述骨干網(wǎng)邊緣路由器之間學(xué)習(xí)并發(fā)布路由;
B12對(duì)于所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn),采用基于網(wǎng)間互聯(lián)協(xié)議第6版的路由協(xié)議,在所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)連接的所述用戶網(wǎng)邊緣路由器與所述骨干網(wǎng)邊緣路由器之間學(xué)習(xí)并發(fā)布路由。
所述步驟B11中,所述用戶網(wǎng)邊緣路由器向所述骨干網(wǎng)邊緣路由器發(fā)送路由的時(shí)候忽略該路由攜帶的所述站點(diǎn)屬性,對(duì)于所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn),僅發(fā)布所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)對(duì)應(yīng)的所述網(wǎng)間互聯(lián)協(xié)議第4版地址池表示的路由。
所述步驟B12中還包含以下子步驟B121當(dāng)所述骨干網(wǎng)邊緣路由器學(xué)習(xí)到的路由是所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)的路由時(shí),則將該網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)的路由加上前綴形成偽網(wǎng)間互聯(lián)協(xié)議第6版路由和地址后發(fā)布給與其連接的所述用戶網(wǎng)邊緣路由器;B122當(dāng)所述骨干網(wǎng)邊緣路由器學(xué)習(xí)到的路由是所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的路由時(shí),則將該所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的路由的站點(diǎn)屬性中攜帶的網(wǎng)間互聯(lián)協(xié)議第6版路由和地址發(fā)布給與其連接的所述用戶網(wǎng)邊緣路由器。
所述步驟B2中發(fā)布的路由形式是路由區(qū)分符和網(wǎng)間互聯(lián)協(xié)議第4版地址組成的虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第4版地址路由。
所述步驟C還包含以下子步驟C1依照RFC2547bis中的規(guī)范進(jìn)行所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā);C2依據(jù)所述步驟B中學(xué)習(xí)的路由,通過網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)和所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā);C3依據(jù)所述步驟B中學(xué)習(xí)的所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的路由,連接源網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的入口邊緣路由器將數(shù)據(jù)封裝標(biāo)簽后發(fā)送到所述骨干網(wǎng)進(jìn)行標(biāo)簽轉(zhuǎn)發(fā),出口邊緣路由器收到后解封標(biāo)簽后直接發(fā)送給目的網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)。
所述步驟C2中,當(dāng)源站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)的主機(jī),目的站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的主機(jī)時(shí),還包含以下子步驟C21在數(shù)據(jù)包的目的地址中填寫所述目的站點(diǎn)主機(jī)被分配的網(wǎng)間互聯(lián)協(xié)議第4版地址;C22所述數(shù)據(jù)包到達(dá)出口骨干網(wǎng)邊緣路由器后通過網(wǎng)絡(luò)地址轉(zhuǎn)換,將所述數(shù)據(jù)包的源地址增加前綴構(gòu)成偽網(wǎng)間互聯(lián)協(xié)議第6版地址,所述數(shù)據(jù)包的目的地址轉(zhuǎn)換為成所述目的站點(diǎn)主機(jī)的網(wǎng)間互聯(lián)協(xié)議第6版地址;C23所述數(shù)據(jù)包經(jīng)過所述目的站點(diǎn)內(nèi)的轉(zhuǎn)發(fā)到達(dá)所述目的站點(diǎn)主機(jī)。
所述步驟C2中,當(dāng)源站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn),目的站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)時(shí),還包含以下子步驟C24在數(shù)據(jù)包的目的地址中填寫所述目的站點(diǎn)主機(jī)的偽網(wǎng)間互聯(lián)協(xié)議第6版地址;C25所述數(shù)據(jù)包到達(dá)入口邊緣路由器時(shí)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,將源地址替換為所述源站點(diǎn)主機(jī)分配的網(wǎng)間互聯(lián)協(xié)議第4版地址,將目的地址替換為所述目的站點(diǎn)主機(jī)地址后轉(zhuǎn)發(fā);C26依照網(wǎng)間互聯(lián)協(xié)議第4版的路由轉(zhuǎn)發(fā)協(xié)議完成所述數(shù)據(jù)包的轉(zhuǎn)發(fā)。
所述步驟A中,如果所述地址池的地址數(shù)量大于其對(duì)應(yīng)的所述用戶站點(diǎn)的主機(jī)數(shù)量則采用靜態(tài)方式為每個(gè)所述主機(jī)分配一個(gè)地址,否則采用動(dòng)態(tài)方式分配為所述主機(jī)分配地址。
所述步驟A中的所述地址池是在一個(gè)所述虛擬專用網(wǎng)內(nèi)沒有重復(fù)但在不同所述虛擬專用網(wǎng)內(nèi)可以重復(fù)的私有地址池。
通過比較可以發(fā)現(xiàn),本發(fā)明的技術(shù)方案與現(xiàn)有技術(shù)的區(qū)別在于,通過在邊緣設(shè)備上完成IPv4與IPv6的地址和路由映射轉(zhuǎn)換,擴(kuò)展MP-BGP協(xié)議以區(qū)分IPv6站點(diǎn)和IPv4站點(diǎn)并傳遞IPv6路由,從而在IPv4骨干網(wǎng)絡(luò)的基礎(chǔ)上實(shí)現(xiàn)IPv4站點(diǎn)和IPv6站點(diǎn)混合VPN。
這種技術(shù)方案上的區(qū)別,帶來了較為明顯的有益效果,即通過采用本發(fā)明實(shí)現(xiàn)混合站點(diǎn)VPN的方案,可以在用戶網(wǎng)絡(luò)過渡過程中實(shí)現(xiàn)混合站點(diǎn)組成VPN,使用戶網(wǎng)絡(luò)過渡時(shí)期的VPN的解決方案具有更大靈活性,不需要VPN內(nèi)所有站點(diǎn)同時(shí)完成升級(jí),減少了一個(gè)VPN內(nèi)站點(diǎn)升級(jí)的復(fù)雜性,使VPN內(nèi)站點(diǎn)的升級(jí)更加經(jīng)濟(jì)和可行。
圖1為RFC2547bis所定義MPLS L3 VPN的系統(tǒng)組成示意圖;圖2為通過匹配Route Target屬性過濾接收路由的示意圖;圖3為6PE方案實(shí)現(xiàn)BGP/MPLS VPN的系統(tǒng)組成示意圖;圖4為根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的基于IPv4骨干網(wǎng)絡(luò)實(shí)現(xiàn)混合站點(diǎn)VPN的方案的系統(tǒng)組成示意圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述。
首先說明一下本發(fā)明的基本原理。本發(fā)明的主要思想是通過在邊緣設(shè)備上為IPv6站點(diǎn)分配私有IPv4地址,實(shí)現(xiàn)私網(wǎng)IPv4地址的網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換(Network Address Translation Protocol Translation,簡(jiǎn)稱“NAT”)。具體實(shí)現(xiàn)時(shí),系統(tǒng)為PE設(shè)備連接的每個(gè)站點(diǎn)分配一個(gè)地址池。通過NAT-PT地址池為IPv6站點(diǎn)中的主機(jī)進(jìn)行私網(wǎng)IPv4地址的分配,使得IPv6站點(diǎn)中各主機(jī)在和其他站點(diǎn)通信時(shí)均對(duì)應(yīng)一個(gè)在所屬VPN內(nèi)唯一的私有IPv4地址。其中,關(guān)于現(xiàn)有的NAT-PT技術(shù)的詳細(xì)說明可以參見RFC2766的定義。在涉及到VPN路由的時(shí)候,為了和其他IPv4站點(diǎn)兼容,將這些地址池作為該IPv6站點(diǎn)的IPv4 VPN路由,并通過MP-BGP通告到作為MP-BGP對(duì)等的對(duì)端PE上。為了區(qū)分VPN站點(diǎn)是IPv4站點(diǎn)還是IPv6站點(diǎn),本發(fā)明方案擴(kuò)展了MP-BGP協(xié)議,增加一個(gè)擴(kuò)展團(tuán)體屬性-If-V6-Site,用于在用MP-BGP在PE之間通告VPN路由時(shí)表示某路由是否來自于一個(gè)IPv6站點(diǎn)。在本發(fā)明方案中,對(duì)于IPv6站點(diǎn)的路由,除了通告其對(duì)應(yīng)的NAT-PT地址池對(duì)應(yīng)的IPv4路由,還在If-V6-Site擴(kuò)展團(tuán)體屬性中將該IPv6站點(diǎn)中的IPv6路由作為屬性值包含在其中,通告給對(duì)端PE,如果對(duì)端PE也連接了相同VPN的IPv6站點(diǎn),則接收這些IPv6路由并發(fā)布給自己連接的IPv6站點(diǎn),否則忽略該屬性。這樣當(dāng)同一VPN中兩個(gè)IPv6站點(diǎn)之間相互訪問時(shí),就能夠根據(jù)學(xué)習(xí)到的IPv6路由將IPv6數(shù)據(jù)包發(fā)送到入口(Ingress)PE,通過Ingress PE和出口(Egress)PE之間的IPv4隧道,例如MPLS隧道,將完整的IPv6數(shù)據(jù)包透?jìng)鞯綄?duì)端,而不用經(jīng)歷IPv6站點(diǎn)和IPv4站點(diǎn)之間的NAT-PT翻譯過程,減少了翻譯過程中的信息丟失以及設(shè)備開銷,并保證了IPv6通信過程的完整性。
需要說明的是,在本發(fā)明中,將沿用RFC 2547bis中關(guān)于RD,VRF,Route Target,VPN-IPv4地址的定義以及關(guān)于跨多個(gè)IPv4域的解決方案。
需要說明的是,本發(fā)明方案中的NAT-PT區(qū)別于現(xiàn)有的NAT-PT技術(shù)中使用公網(wǎng)地址池動(dòng)態(tài)映射給IPv6站點(diǎn)的實(shí)現(xiàn)方案,本發(fā)明方案中,當(dāng)NAT-PT私有地址池的地址數(shù)超過IPv6站點(diǎn)中的主機(jī)時(shí),NAT-PT私有地址池為IPv6站點(diǎn)中的主機(jī)進(jìn)行私網(wǎng)IPv4地址的靜態(tài)分配;當(dāng)NAT-PT私有地址池的地址數(shù)少于IPv6站點(diǎn)中的主機(jī)時(shí),NAT-PT私有地址池為IPv6站點(diǎn)中的主機(jī)進(jìn)行私網(wǎng)IPv4地址的動(dòng)態(tài)分配。
下面結(jié)合本發(fā)明的一個(gè)具體實(shí)施例來說明本發(fā)明方案。
根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的實(shí)現(xiàn)混合站點(diǎn)VPN的方案的系統(tǒng)組成示意圖如圖4所示。
在基于IPv4骨干網(wǎng)絡(luò)實(shí)現(xiàn)混合站點(diǎn)VPN的方案的系統(tǒng)由以下幾個(gè)部分組成骨干網(wǎng),處于骨干網(wǎng)邊緣的PE路由器和通過CE與PE路由器連接的用戶站點(diǎn)。
其中,骨干網(wǎng)為IPv4網(wǎng)絡(luò),用于建立交換路徑,完成數(shù)據(jù)的交換;用戶站點(diǎn)既有IPv4站點(diǎn)也有IPv6站點(diǎn),每個(gè)用戶站點(diǎn)包含多個(gè)具有不同地址的主機(jī);PE路由器為每個(gè)IPv6站點(diǎn)分配一個(gè)地址池并進(jìn)行NAT-PT;同時(shí),PE路由器和用戶站點(diǎn)的CE共同完成PE-CE之間的路由學(xué)習(xí),PE之間共同完成PE之間的路由學(xué)習(xí)和發(fā)布。需要說明的是,骨干網(wǎng)可以為單域也可以為多域。
為了實(shí)現(xiàn)本發(fā)明方案,需要進(jìn)行包含以下幾個(gè)方面的處理PE為用戶站點(diǎn)分配地址并進(jìn)行地址和路由格式的轉(zhuǎn)換;進(jìn)行路由的學(xué)習(xí)和發(fā)布的處理;應(yīng)用VPN隧道進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)處理。下文將對(duì)這些處理做詳細(xì)說明。
下面首先說明在本發(fā)明的一個(gè)較佳實(shí)施例中,PE如何完成地址的分配以及地址和路由格式的轉(zhuǎn)換。
PE路由器在進(jìn)行地址分配時(shí),由于VPN中部分站點(diǎn)為IPv4網(wǎng)絡(luò),考慮到IPv4地址的緊缺性,在本發(fā)明的一個(gè)較佳實(shí)施例中,在VPN的IPv4站點(diǎn)中盡可能使用IPv4私網(wǎng)地址,并允許不同VPN之間的私有IPv4地址重復(fù)。
對(duì)于VPN中的IPv6站點(diǎn),需要在該站點(diǎn)的CE連接的PE上為該站點(diǎn)維護(hù)一個(gè)IPv4地址池為IPv6站點(diǎn)中的主機(jī)分配地址。需要說明的是,一般地址池是私有地址池,在該站點(diǎn)所屬的VPN中不重復(fù),并且在同一個(gè)PE為不同的站點(diǎn)分配的地址池也不相同。在私有地址池地址足夠的情況下,可以為IPv6站點(diǎn)中每一個(gè)主機(jī)映射一個(gè)私有IPv4地址;在私有地址池地址不夠的情況下,為IPv6站點(diǎn)中的主機(jī)動(dòng)態(tài)分配私有IPv4地址。
由于IPv4站點(diǎn)和IPv6站點(diǎn)的地址和路由格式不同,因此PE需要運(yùn)行NAT-PT對(duì)地址和路由格式進(jìn)行轉(zhuǎn)換。IPv4路由和IPv4主機(jī)地址存儲(chǔ)在和該IPv6連接的PE中,由PE運(yùn)行NAT-PT進(jìn)行特殊處理后向該IPv6站點(diǎn)的CE通告。在本發(fā)明的一個(gè)較佳實(shí)施例中,在待通告的A.B.C.D的IPv4形式前加上前綴PREFIX::/96組成一個(gè)PREFIX::A:B:C:D形式的偽IPv6路由或IPv6地址通告到IPv6站點(diǎn),在該IPv6站點(diǎn)的主機(jī)向IPv4站點(diǎn)發(fā)出數(shù)據(jù)包時(shí)進(jìn)行偽IPv6路由的匹配,并在目的地址欄填寫IPv6形式的地址,數(shù)據(jù)包離開PE訪問其他站點(diǎn)時(shí),NAT-PT完成IPv6地址到IPv4地址的替換。其中,需要替換的包括源地址和目的地址。在其他IPv4站點(diǎn)訪問該IPv6站點(diǎn)的數(shù)據(jù)包中,目的地址中填寫IPv6站點(diǎn)中的目的IPv6地址在NAT-PT的映射IPv4地址,數(shù)據(jù)包穿過NAT-PT時(shí)進(jìn)行IPv4地址到IPv6地址的替換,即將源地址替換成PREFIX::A:B:C:D形式,目的地址替換成真正的IPv6目的地址。需要說明的是,PREFIX是因特網(wǎng)分址當(dāng)局(Internet Assigned Number Authority,簡(jiǎn)稱“IANA”)為NAT-PT專用的一個(gè)前綴。
需要說明的是,為了解決多個(gè)VPN內(nèi)部的IPv4地址可能重復(fù)的問題,仍然沿用RFC 2547中的RD,VRF等實(shí)體及其使用方法。在骨干網(wǎng)絡(luò)中發(fā)布路由時(shí)通過RD+A.B.C.D來組成VPN-IPv4路由,其中RD僅僅是用于在不同的VPN之間存在相同的IPv4地址時(shí)通過不同的RD來區(qū)分。而對(duì)于同一個(gè)PE連接不同VPN的站點(diǎn)的情況,通過為其連接的每個(gè)VPN站點(diǎn)對(duì)應(yīng)的RD維護(hù)一個(gè)VRF來實(shí)現(xiàn)VPN路由的隔離性。對(duì)于同一個(gè)PE連接的多個(gè)站點(diǎn)同屬于一個(gè)VPN的情況下,可以將這些站點(diǎn)的RD設(shè)置成相同,并將這些站點(diǎn)的VRF合并,得到該VPN在該P(yáng)E設(shè)備上的VRF。
在本發(fā)明一個(gè)較佳實(shí)施例中,實(shí)現(xiàn)混合站點(diǎn)VPN的方案中路由的學(xué)習(xí)和發(fā)布包含兩種情況PE-CE之間的路由學(xué)習(xí)和發(fā)布,PE之間的路由學(xué)習(xí)和發(fā)布。下面分別說明。
PE-CE之間的路由學(xué)習(xí)分站點(diǎn)為IPv4站點(diǎn)和站點(diǎn)為IPv6站點(diǎn)兩種情況。
當(dāng)站點(diǎn)為IPv4站點(diǎn)時(shí),遵循RFC 2547bis中對(duì)PE和CE之間路由學(xué)習(xí)的規(guī)定,PE和CE之間可以運(yùn)行基于IPv4的EBGP,OSPF,IS-IS,路由信息協(xié)議(Routing Information Protocol,簡(jiǎn)稱“RIP”)等路由協(xié)議以及配置靜態(tài)路由將CE連接的IPv4站點(diǎn)的IPv4聚合路由發(fā)布給PE;PE則將它學(xué)習(xí)到的同一個(gè)VPN的其他站點(diǎn)的IPv4路由發(fā)布給該CE,并忽略這些路由攜帶的If-V6-Site擴(kuò)展團(tuán)體屬性。其中,對(duì)于其他站點(diǎn)為IPv6站點(diǎn)的,僅僅發(fā)布該IPv6站點(diǎn)對(duì)應(yīng)的IPv4地址池表示的路由。需要說明的是,對(duì)于OSPF,IS-IS和RIP,當(dāng)PE連接多個(gè)站點(diǎn)時(shí)需要運(yùn)行多個(gè)實(shí)例。
當(dāng)站點(diǎn)為IPv6站點(diǎn)時(shí),CE需要向PE發(fā)布聚合的IPv6路由,PE和CE之間可以運(yùn)行基于IPv6的EBGP4+,OSPFv3,IS-ISv6和RIPng。PE將它學(xué)習(xí)到的同一個(gè)VPN的其他站點(diǎn)的路由發(fā)布給CE時(shí),對(duì)于其他站點(diǎn)為IPv4站點(diǎn)的情況,通過NAT-PT將IPv4路由變換成PREFIX(IPv4路由)的形式;對(duì)于其他站點(diǎn)為IPv6站點(diǎn)的,則可以直接將學(xué)習(xí)到的IPv4路由中If-V6-Site擴(kuò)展團(tuán)體屬性中攜帶的IPv6路由發(fā)布給連接該IPv6站點(diǎn)的CE,而不發(fā)布IPv6站點(diǎn)對(duì)應(yīng)的IPv4地址池表示的路由。其中,If-V6-Site擴(kuò)展團(tuán)體屬性為本發(fā)明方案中擴(kuò)充的MP-BGP屬性,將在下文詳細(xì)介紹。
在本發(fā)明一個(gè)較佳實(shí)施例中,實(shí)現(xiàn)混合站點(diǎn)VPN的方案中,PE從CE學(xué)習(xí)到VPN路由后,通過MP-BGP發(fā)布給其他與自己存在對(duì)等關(guān)系的PE。為了保證不同VPN的地址能夠重用,本發(fā)明方案中PE之間的路由學(xué)習(xí)和發(fā)布沿用了RFC 2547bis中定義的方法,通過MP-BGP發(fā)布的路由形式是RD+IPv4組成的VPN-IPV4路由。
為了實(shí)現(xiàn)同一個(gè)VPN內(nèi)的不同站點(diǎn)之間路由的不同拓?fù)浣Y(jié)構(gòu),本發(fā)明方案沿用MP-BGP路由協(xié)議的Route Target擴(kuò)展團(tuán)體屬性來實(shí)現(xiàn),即在連接VPN站點(diǎn)的PE設(shè)備上針對(duì)與VRF對(duì)應(yīng)的RD配置該VRF對(duì)應(yīng)的Import RouteTarget和Export Route Target擴(kuò)展團(tuán)體屬性值,在Egress PE發(fā)布VPN-IPv4路由時(shí),攜帶Export Route Target擴(kuò)展團(tuán)體屬性,而在Ingress PE接收到這些路由報(bào)文后,根據(jù)自身配置的與VRF對(duì)應(yīng)的RD的Import Route Target擴(kuò)展團(tuán)體屬性是否和與路由報(bào)文中的Export Route Target擴(kuò)展團(tuán)體屬性匹配,以確定在RD對(duì)應(yīng)的VRF中是否保存該路由。
本發(fā)明為了區(qū)分VPN站點(diǎn)是IPv4站點(diǎn)還是IPv6站點(diǎn),擴(kuò)展MP-BGP協(xié)議,增加一個(gè)擴(kuò)展團(tuán)體屬性-If-V6-Site,通過在VPN-IPv4路由屬性中增加該屬性來攜帶相關(guān)信息。其中,If-V6-Site是一個(gè)可選傳遞(optional andtransitive)MP-BGP屬性,在MP-BGP協(xié)議中通過類型(Type)、長(zhǎng)度(Length)、值(Value)三元組來表示。其中Type域?yàn)?字節(jié),用于表示路由所屬站點(diǎn)的類型是IPv4或者IPv6;Length域?yàn)?字節(jié),用于表示后續(xù)跟隨的IPv6路由的個(gè)數(shù);Value域?yàn)镮Pv6站點(diǎn)中具體的IPv6路由。需要說明的是,當(dāng)路由所屬站點(diǎn)的類型是IPv4時(shí),Length域的值為0。
0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | length | IPv6 Routel |+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|| IPv6 Route2 | … |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| IPv6 Routen | … |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+在本發(fā)明的一個(gè)較佳實(shí)施例中,在Egress PE發(fā)布路由時(shí),如果某路由來自于IPv4站點(diǎn),則If-V6-Site的Type域的Type值為4,Type域的長(zhǎng)度值為0,表示其他PE在接收到該路由時(shí)可以忽略該If-V6-Site擴(kuò)展團(tuán)體屬性,僅僅考慮VPN-IPv4路由部分;如果某路由來自于IPv6站點(diǎn),除了發(fā)布該IPv6站點(diǎn)在NAT-PT對(duì)應(yīng)的地址池確定的VPN-IPv4路由外,將If-V6-Site的Type域中的值設(shè)置為6,Type域的值設(shè)置為n用來表示后續(xù)將跟隨IPv6路由個(gè)數(shù),緊隨長(zhǎng)度域的是n條該IPv6站點(diǎn)的IPv6路由。
在Ingress PE接收路由時(shí),在接收完相應(yīng)的VPN-IPv4路由后,根據(jù)If-V6-Site擴(kuò)展團(tuán)體屬性的不同,確定是否接收IPv4路由中通過If-V6-Site擴(kuò)展團(tuán)體屬性包含的IPv6路由。需要說明的是,該過程是在匹配Route Target屬性之后完成的。
通過上述的介紹,熟悉本領(lǐng)域的技術(shù)人員可以理解,對(duì)于站點(diǎn)類型的判斷,PE可以通過PE和CE之間的鏈路上的IP地址是否是IPv6地址來判斷和該P(yáng)E相連的用戶站點(diǎn)是否為IPv6站點(diǎn),通過接收到的路由的If-V6-Site屬性的類型值來判斷和該P(yáng)E連接的遠(yuǎn)端用戶站點(diǎn)是否為IPv6站點(diǎn)。
在本發(fā)明的一個(gè)較佳實(shí)施例中,應(yīng)用VPN隧道進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)處理時(shí),由于本發(fā)明仍然在IPv4骨干網(wǎng)絡(luò)中進(jìn)行路由發(fā)布和數(shù)據(jù)轉(zhuǎn)發(fā),因此VPN隧道和安全性可以沿用RFC 2547BIS所定義的隧道,可以使用MPLS隧道,GRE隧道,也可以使用IP-in-IP隧道。需要說明的是,由于在本發(fā)明中IPv6站點(diǎn)和IPv6站點(diǎn)之間相互訪問時(shí),是直接透?jìng)鱅Pv6報(bào)文的,因此如果使用IP-in-IP隧道,因?yàn)楣歉删W(wǎng)絡(luò)是IPv4網(wǎng)絡(luò),必須使用IPv6-in-IPv4隧道。在安全性方面,可以通過IPsec對(duì)隧道進(jìn)行加密,來保證隧道的安全性。對(duì)于MP-BGP連接可以通過基于MD5的TCP連接來保證PE之間路由報(bào)文的安全性。
本發(fā)明方案中進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā)處理包含以下幾種情況IPv4站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā),IPv4站點(diǎn)和IPv6站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā),IPv6站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā)。
對(duì)于VPN中的IPv4站點(diǎn)與IPv4站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā),完全沿用RFC2547bis中定義的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制。在本發(fā)明的一個(gè)較佳實(shí)施例中,以骨干網(wǎng)采用MPLS轉(zhuǎn)發(fā)為例,在Egress PE上,在通告VPN-IPv4路由時(shí),為不同的站點(diǎn)分配不同的內(nèi)層標(biāo)簽通過MP-BGP通告給Ingress PE時(shí)攜帶,外層標(biāo)簽通過在Ingress PE和Egress PE之間運(yùn)行標(biāo)簽分配協(xié)議(Label DistributionProtocol,簡(jiǎn)稱“LDP”)或其他標(biāo)簽分配協(xié)議,如資源預(yù)留協(xié)議(ReservationProtocol,簡(jiǎn)稱“RSVP”)-流量工程(Traffic Engineering,簡(jiǎn)稱“TE”)約束路由的標(biāo)記分配協(xié)議(Constraint-Routing Label Distribution Protocol,簡(jiǎn)稱“CR-LDP”)分配。這樣當(dāng)IPv4數(shù)據(jù)包到達(dá)Ingress PE后,Ingress PE根據(jù)匹配的路由確定內(nèi)層標(biāo)簽,并根據(jù)LDP協(xié)議分配的外層標(biāo)簽,為數(shù)據(jù)包封裝兩層標(biāo)簽,在骨干網(wǎng)絡(luò)中根據(jù)外層標(biāo)簽,經(jīng)過MPLS轉(zhuǎn)發(fā),到達(dá)Egress PE,Egress PE根據(jù)內(nèi)層標(biāo)簽確定該報(bào)文目的地所屬站點(diǎn),發(fā)給連接該站點(diǎn)的CE,在站點(diǎn)內(nèi)完成普通數(shù)據(jù)包轉(zhuǎn)發(fā)。
對(duì)于VPN中的IPv4站點(diǎn)與IPv6站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā),有源為IPv4站點(diǎn)目的為IPv6站點(diǎn)和源為IPv6站點(diǎn)目的為IPv4站點(diǎn)兩種情況。當(dāng)源為IPv4站點(diǎn),目的為IPv6站點(diǎn)時(shí),因?yàn)镮Pv4站點(diǎn)已經(jīng)通過Ingress PE學(xué)習(xí)到IPv6站點(diǎn)在Egress PE上的NAT-PT上的IPv4地址池對(duì)應(yīng)的路由,目的地址中填寫IPv6站點(diǎn)中IPv6主機(jī)在該地址池中映射的IPv4地址,到達(dá)Egress PE上的NAT-PT,經(jīng)過NAT-PT后將IPv4數(shù)據(jù)包翻譯成IPv6數(shù)據(jù)包,其中源IPv4地址經(jīng)NAT-PT處理后轉(zhuǎn)換成PREFIX::(源IPv4地址)形式的偽IPv6地址,目的地址替換成IPv6目的主機(jī)對(duì)應(yīng)的真實(shí)IPv6地址,經(jīng)過IPv6站點(diǎn)內(nèi)的IPv6轉(zhuǎn)發(fā),到達(dá)IPv6目的主機(jī)。當(dāng)源為IPv6站點(diǎn),目的為IPv4站點(diǎn)時(shí),因?yàn)镮Pv6站點(diǎn)已經(jīng)通過Ingress PE上的NAT-PT將學(xué)習(xí)到IPv4站點(diǎn)轉(zhuǎn)換成PREFIX::(IPv4路由)形式的IPv6路由,在目的地址中填寫PREFIX::(目的IPv4地址)形式的IPv6地址,將IPv6數(shù)據(jù)包轉(zhuǎn)發(fā)到Ingress上的NAT-PT,NAT-PT根據(jù)該IPv6站點(diǎn)對(duì)應(yīng)的IPv4地址池中源IPv6地址的映射地址和PREFIX::(目的IPv4地址)分別替換源地址和目的地址,封裝成IPv4數(shù)據(jù)包,通過上述各種隧道透?jìng)鞯紼gress PE,完成IPv4轉(zhuǎn)發(fā)。
對(duì)于VPN中的IPv6站點(diǎn)與IPv6站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā),由于在本發(fā)明中通過在VPN-IPv4中增加If-V6-Site擴(kuò)展團(tuán)體屬性,并攜帶IPv6站點(diǎn)的IPv6路由,NAT-PT對(duì)于接收的IPv6路由都通過PE-CE之間的IPv6路由協(xié)議發(fā)送到IPv6站點(diǎn),根據(jù)這些路由,數(shù)據(jù)包到達(dá)NAT-PT后,檢測(cè)到這種數(shù)據(jù)包后,直接在數(shù)據(jù)包前封裝兩層標(biāo)簽,通過骨干網(wǎng)絡(luò)的隧道發(fā)送到對(duì)端,而不需要NAT-PT參與數(shù)據(jù)包的翻譯,實(shí)現(xiàn)一個(gè)完整的IPv6通信。
需要說明的是,在本發(fā)明的一個(gè)較佳實(shí)施例中,骨干網(wǎng)絡(luò)可以為多域,此時(shí)跨域問題完全遵循RFC 2547bis中對(duì)于跨域問題的集中解決方案。
在本發(fā)明的一個(gè)較佳實(shí)施例中,對(duì)于IPv4站點(diǎn)訪問Internet解決方案完全可以遵循RFC 2547BIS中對(duì)于VPN站點(diǎn)訪問Internet的機(jī)制;對(duì)于Ipv6站點(diǎn)訪問Ipv4 Internet,則完全可以通過公網(wǎng)NAT-PT實(shí)現(xiàn),具體的實(shí)現(xiàn)可以參考RFC 2766。對(duì)于一些特殊VPN業(yè)務(wù)應(yīng)用,IPv4站點(diǎn)和IPv6站點(diǎn)之間僅僅實(shí)現(xiàn)IPv4地址到IPv6地址的轉(zhuǎn)換是不夠的,此時(shí)需要相應(yīng)的應(yīng)用層網(wǎng)關(guān)(App-Layer Gateways,簡(jiǎn)稱“ALG”)來輔助完成,這部分內(nèi)容不在本發(fā)明范圍之內(nèi),在此不詳細(xì)說明。
雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施例,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白,可以在形式上和細(xì)節(jié)上對(duì)其作各種各樣的改變,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍。
權(quán)利要求
1.一種實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的虛擬專用網(wǎng)用戶站點(diǎn)依次通過用戶網(wǎng)邊緣路由器和骨干網(wǎng)邊緣路由器接入基于網(wǎng)間互聯(lián)協(xié)議第4版的骨干網(wǎng),其特征在于,包含以下步驟A所述骨干網(wǎng)邊緣路由器為與其連接的每個(gè)所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)保存網(wǎng)間互聯(lián)協(xié)議第4版地址池并進(jìn)行地址分配;B所述骨干網(wǎng)邊緣路由器和所述用戶網(wǎng)邊緣路由器進(jìn)行路由的學(xué)習(xí)和發(fā)布;C所述用戶站點(diǎn)依照所述步驟B中建立的路由轉(zhuǎn)發(fā)數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟B還包含以下子步驟B1所述骨干網(wǎng)邊緣路由器和所述用戶網(wǎng)邊緣路由器之間進(jìn)行路由的學(xué)習(xí)和發(fā)布;B2所述骨干網(wǎng)邊緣路由器采用多協(xié)議邊界網(wǎng)關(guān)協(xié)議發(fā)布路由給與其存在對(duì)等關(guān)系的其它所述骨干網(wǎng)邊緣路由器并接收路由信息進(jìn)行路由的學(xué)習(xí)。
3.根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述多協(xié)議邊界網(wǎng)關(guān)協(xié)議包含以下擴(kuò)展在路由屬性中增加站點(diǎn)屬性,所述站點(diǎn)屬性包含用于標(biāo)識(shí)所述用戶站點(diǎn)是否是所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的類型域,用于標(biāo)識(shí)后續(xù)網(wǎng)間互聯(lián)協(xié)議第6版路由個(gè)數(shù)的長(zhǎng)度域和用于傳遞具體網(wǎng)間互聯(lián)協(xié)議第6版路由信息的值域。
4.根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述類型域和所述長(zhǎng)度域均長(zhǎng)1個(gè)字節(jié),所述值域在所述路由為網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)路由時(shí)為0。
5.根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟B1還包含以下子步驟B11對(duì)于所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn),采用基于網(wǎng)間互聯(lián)協(xié)議第4版的路由協(xié)議在所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)連接的所述用戶網(wǎng)邊緣路由器與所述骨干網(wǎng)邊緣路由器之間學(xué)習(xí)并發(fā)布路由;B12對(duì)于所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn),采用基于網(wǎng)間互聯(lián)協(xié)議第6版的路由協(xié)議,在所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)連接的所述用戶網(wǎng)邊緣路由器與所述骨干網(wǎng)邊緣路由器之間學(xué)習(xí)并發(fā)布路由。
6.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟B11中,所述用戶網(wǎng)邊緣路由器向所述骨干網(wǎng)邊緣路由器發(fā)送路由的時(shí)候忽略該路由攜帶的所述站點(diǎn)屬性,對(duì)于所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn),僅發(fā)布所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)對(duì)應(yīng)的所述網(wǎng)間互聯(lián)協(xié)議第4版地址池表示的路由。
7.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟B12中還包含以下子步驟B121當(dāng)所述骨干網(wǎng)邊緣路由器學(xué)習(xí)到的路由是所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)的路由時(shí),則將該網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)的路由加上前綴形成偽網(wǎng)間互聯(lián)協(xié)議第6版路由和地址后發(fā)布給與其連接的所述用戶網(wǎng)邊緣路由器;B122當(dāng)所述骨干網(wǎng)邊緣路由器學(xué)習(xí)到的路由是所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的路由時(shí),則將該所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的路由的站點(diǎn)屬性中攜帶的網(wǎng)間互聯(lián)協(xié)議第6版路由和地址發(fā)布給與其連接的所述用戶網(wǎng)邊緣路由器。
8.根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟B2中發(fā)布的路由形式是路由區(qū)分符和網(wǎng)間互聯(lián)協(xié)議第4版地址組成的虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第4版地址路由。
9.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟C還包含以下子步驟C1依照RFC2547bis中的規(guī)范進(jìn)行所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā);C2依據(jù)所述步驟B中學(xué)習(xí)的路由,通過網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)和所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā);C3依據(jù)所述步驟B中學(xué)習(xí)的所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的路由,連接源網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的入口邊緣路由器將數(shù)據(jù)封裝標(biāo)簽后發(fā)送到所述骨干網(wǎng)進(jìn)行標(biāo)簽轉(zhuǎn)發(fā),出口邊緣路由器收到后解封標(biāo)簽后直接發(fā)送給目的網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)。
10.根據(jù)權(quán)利要求9所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟C2中,當(dāng)源站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)的主機(jī),目的站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn)的主機(jī)時(shí),還包含以下子步驟C21在數(shù)據(jù)包的目的地址中填寫所述目的站點(diǎn)主機(jī)被分配的網(wǎng)間互聯(lián)協(xié)議第4版地址;C22所述數(shù)據(jù)包到達(dá)出口骨干網(wǎng)邊緣路由器后通過網(wǎng)絡(luò)地址轉(zhuǎn)換,將所述數(shù)據(jù)包的源地址增加前綴構(gòu)成偽網(wǎng)間互聯(lián)協(xié)議第6版地址,所述數(shù)據(jù)包的目的地址轉(zhuǎn)換為成所述目的站點(diǎn)主機(jī)的網(wǎng)間互聯(lián)協(xié)議第6版地址;C23所述數(shù)據(jù)包經(jīng)過所述目的站點(diǎn)內(nèi)的轉(zhuǎn)發(fā)到達(dá)所述目的站點(diǎn)主機(jī)。
11.根據(jù)權(quán)利要求9所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟C2中,當(dāng)源站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第6版站點(diǎn),目的站點(diǎn)主機(jī)為所述網(wǎng)間互聯(lián)協(xié)議第4版站點(diǎn)時(shí),還包含以下子步驟C24在數(shù)據(jù)包的目的地址中填寫所述目的站點(diǎn)主機(jī)的偽網(wǎng)間互聯(lián)協(xié)議第6版地址;C25所述數(shù)據(jù)包到達(dá)入口邊緣路由器時(shí)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,將源地址替換為所述源站點(diǎn)主機(jī)分配的網(wǎng)間互聯(lián)協(xié)議第4版地址,將目的地址替換為所述目的站點(diǎn)主機(jī)地址后轉(zhuǎn)發(fā);C26依照網(wǎng)間互聯(lián)協(xié)議第4版的路由轉(zhuǎn)發(fā)協(xié)議完成所述數(shù)據(jù)包的轉(zhuǎn)發(fā)。
12.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟A中,如果所述地址池的地址數(shù)量大于其對(duì)應(yīng)的所述用戶站點(diǎn)的主機(jī)數(shù)量則采用靜態(tài)方式為每個(gè)所述主機(jī)分配一個(gè)地址,否則采用動(dòng)態(tài)方式分配為所述主機(jī)分配地址。
13.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,其特征在于,所述步驟A中的所述地址池是在一個(gè)所述虛擬專用網(wǎng)內(nèi)沒有重復(fù)但在不同所述虛擬專用網(wǎng)內(nèi)可以重復(fù)的私有地址池。
全文摘要
本發(fā)明涉及虛擬專用網(wǎng)技術(shù),公開了一種實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法,使得在VPN網(wǎng)絡(luò)過渡過程中,部分站點(diǎn)為IPv4網(wǎng)絡(luò)另一部分站點(diǎn)為IPv6網(wǎng)絡(luò)時(shí),可以提供通過單域或多域的IPv4骨干網(wǎng)絡(luò)組成VPN的業(yè)務(wù)解決方案。這種實(shí)現(xiàn)混合站點(diǎn)虛擬專用網(wǎng)的方法通過在邊緣設(shè)備上完成IPv4與IPv6的地址和路由映射轉(zhuǎn)換,擴(kuò)展MP-BGP協(xié)議以區(qū)分IPv6站點(diǎn)和IPv4站點(diǎn)并傳遞IPv6路由,從而在IPv4骨干網(wǎng)絡(luò)的基礎(chǔ)上實(shí)現(xiàn)IPv4站點(diǎn)和IPv6站點(diǎn)混合VPN。
文檔編號(hào)H04L29/12GK1700683SQ20041004431
公開日2005年11月23日 申請(qǐng)日期2004年5月21日 優(yōu)先權(quán)日2004年5月21日
發(fā)明者李德豐 申請(qǐng)人:華為技術(shù)有限公司