專利名稱:實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬專用網(wǎng)技術(shù)��,特別涉及用戶站點(diǎn)和骨干網(wǎng)絡(luò)由網(wǎng)間互聯(lián)協(xié)議第4版(Internet Protocol version 4����,簡稱“IPv4”)向網(wǎng)間互聯(lián)協(xié)議第6版(Internet Protocol version 6,簡稱“IPv6”)演進(jìn)時(shí)的虛擬專用網(wǎng)(VirtualPrivate Networking���,簡稱“VPN” )技術(shù)�����。
背景技術(shù):
VPN是在公眾網(wǎng)絡(luò)上所建立的虛擬的專用網(wǎng)絡(luò)�,它具有與專用網(wǎng)絡(luò)同樣卓越的安全性、可靠性和易管理性�����。VPN替代了傳統(tǒng)的撥號訪問���,利用因特網(wǎng)(Internet)公眾網(wǎng)或者運(yùn)營商網(wǎng)絡(luò)資源作為企業(yè)專用網(wǎng)絡(luò)的延續(xù)�����,可節(jié)省昂貴的專線租用費(fèi)用����,同時(shí)VPN可以使用隧道協(xié)議�、身份驗(yàn)證和數(shù)據(jù)加密等技術(shù)保證通信的安全性,受到企業(yè)用戶的歡迎���。
企業(yè)通過VPN的建設(shè)��,可以帶來很多好處�����,例如�����,通過使用VPN����,企業(yè)可以節(jié)省大量企業(yè)日常通訊的費(fèi)用��;可以進(jìn)行遠(yuǎn)程教學(xué)和遠(yuǎn)程監(jiān)控以達(dá)到企業(yè)管理統(tǒng)一��;還可以提高企業(yè)內(nèi)部業(yè)務(wù)信息流通的安全性��?�?梢灶A(yù)見���,VPN是企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)��,信息管理�����、流通的必然趨勢���。
現(xiàn)有的VPN是基于IPv4網(wǎng)絡(luò)的��,即組成VPN的骨干網(wǎng)絡(luò)和站點(diǎn)都處于IPv4網(wǎng)絡(luò)中��。作為其中的典型代表���,請求評注(Request for Comments,簡稱“RFC”)標(biāo)準(zhǔn)2547bis定義的VPN實(shí)現(xiàn)方案對如何實(shí)現(xiàn)VPN作了具體描述����,詳細(xì)說明可以參照RFC 2547bis。下面對實(shí)現(xiàn)該方案的基本原理作簡要介紹�。
RFC2547bis所定義多協(xié)議標(biāo)記交換(MultiProtocol Label Switching,簡稱“MPLS”)三層(Layer3����,簡稱“L3”)VPN的模型的示意圖如圖1所示,該模型包括三個(gè)組成部份用戶網(wǎng)邊緣(Custom Edge Router�,簡稱“CE”)路由器、骨干網(wǎng)邊緣(Provider Edge Router�����,簡稱“PE”)路由器和骨干網(wǎng)(Provider Router�,簡稱“P”)路由器�����。其中�,CE路由器是用戶駐地網(wǎng)絡(luò)的一個(gè)組成部分���,有接口直接與運(yùn)營商的網(wǎng)絡(luò)相連���,CE路由器感知不到VPN的存在,也不需要維護(hù)VPN的整個(gè)路由信息�����;PE路由器是運(yùn)營商網(wǎng)絡(luò)的邊緣設(shè)備��,與用戶的CE路由器直接相連���,在MPLS網(wǎng)絡(luò)中,對VPN的所有處理都在PE路由器上完成�;P路由器處于運(yùn)營商網(wǎng)絡(luò)中,不和CE路由器直接相連�����,P路由器需要有MPLS基本信令能力和轉(zhuǎn)發(fā)能力。熟悉本領(lǐng)域的技術(shù)人員可以理解�����,CE和PE的劃分主要是從運(yùn)營商與用戶的管理范圍來劃分的��,CE和PE是兩者管理范圍的邊界�。
CE與PE之間可以使用外部邊界網(wǎng)關(guān)協(xié)議(External BGP,簡稱“EBGP”)或是內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol��,簡稱“IGP”)等路由協(xié)議交換路由信息�,也可以使用靜態(tài)路由。CE不必支持MPLS�����,不需要感知VPN的整網(wǎng)路由����,VPN的整網(wǎng)路外包給運(yùn)營商來完成。PE之間通過多協(xié)議邊界網(wǎng)關(guān)協(xié)議(Multi-Protocol Border Gateway Protocol����,簡稱“MP-BGP” )交換VPN的整網(wǎng)路由信息。
如圖1所示����,VPN是由多個(gè)用戶站點(diǎn)(Site)組成的��,在PE上����,每個(gè)站點(diǎn)對應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例(VPN Routing/Forwarding instance����,簡稱“VRF”),它主要包括網(wǎng)間互聯(lián)協(xié)議(Internet Protocol�����,簡稱“IP”)路由表�、標(biāo)簽轉(zhuǎn)發(fā)表�����、使用標(biāo)簽轉(zhuǎn)發(fā)表的一系列接口以及管理信息����。其中,接口和管理信息包含路由區(qū)分符(Route Distinguisher���,簡稱“RD”)����、路由過濾策略、成員接口列表等�。需要說明的是,用戶站點(diǎn)和VPN不存在一對一的關(guān)系�����,一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN��。在具體實(shí)現(xiàn)時(shí)�,每一個(gè)站點(diǎn)關(guān)聯(lián)一個(gè)單獨(dú)的VRF。VPN中Site的VRF實(shí)際上綜合了該站點(diǎn)的VPN成員關(guān)系和路由規(guī)則�。報(bào)文轉(zhuǎn)發(fā)信息存儲在每個(gè)VRF的IP路由表和標(biāo)簽轉(zhuǎn)發(fā)表中。系統(tǒng)為每個(gè)VRF維護(hù)一套獨(dú)立的路由表和標(biāo)簽轉(zhuǎn)發(fā)表�,從而防止了數(shù)據(jù)泄漏出VPN之外,同時(shí)防止了VPN之外的數(shù)據(jù)進(jìn)入��。
路由器之間使用邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol��,簡稱“BGP”)來發(fā)布VPN路由���,BGP通信在兩個(gè)層次上進(jìn)行��,自治系統(tǒng)(AutonomousSystem���,簡稱“AS”)內(nèi)部采用內(nèi)部邊界網(wǎng)關(guān)協(xié)議(Internal BGP�����,簡稱“IBGP”)���,AS之間采用EBGP。例如��,PE-PE會話是IBGP會話�,而PE-CE會話是EBGP會話。BGP在PE路由器之間的VPN組成信息和路由傳播�,通過多協(xié)議擴(kuò)展BGP(Multiprotocol extensions BGP,簡稱“MBGP”)來實(shí)現(xiàn)�����。MBGP向下兼容�����,既可以支持傳統(tǒng)的IPv4地址族���,又可以支持其它地址族��,例如VPN-IPv4地址族�。通過MBGP攜帶的路由目標(biāo)(Route Target)確保了特定VPN的路由只能被這個(gè)VPN的其它成員知道���,使BGP/MPLS VPN成員間的通信成為可能����。其中�����,關(guān)于MBGP的詳細(xì)說明請參見RFC2283�。
在RFC2547bis標(biāo)準(zhǔn)中,CE與PE之間通過內(nèi)部網(wǎng)關(guān)協(xié)議(Interior GatewayProtocol�����,簡稱“IGP”)或EBGP來傳播路由信息��,PE得到該VPN的路由表����,存儲在單獨(dú)的VRF中�����。PE之間通過IGP來保證通常IP的連通性�,通過IBGP來傳播VPN組成信息和路由����,并完成各自VRF的更新。PE再通過與直接相連CE之間的路由交換來更新CE的路由表��,由此完成各個(gè)CE之間的路由交換���。
其中���,使用BGP來發(fā)布VPN路由時(shí),使用了新的地址族-VPN-IPv4地址�����。一個(gè)VPN-IPv4地址有12個(gè)字節(jié)��,開始是8字節(jié)的RD�����,后面是4字節(jié)的IPv4地址�。PE使用RD對來自不同VPN的路由信息進(jìn)行標(biāo)識。運(yùn)營商可以獨(dú)立地分配RD�����,但是需要把他們專用的AS號作為RD的一部分來保證每個(gè)RD的全局唯一性��。RD為零的VPN-IPv4地址同全局唯一的IPv4地址是同義的����。這樣處理以后,即使VPN-IPv4地址中包含的4字節(jié)IPv4地址重疊�����,VPN-IPv4地址仍可以保持全局唯一����。其中,PE從CE接收的路由是IPv4路由��,需要引入VRF路由表中��,此時(shí)需要附加一個(gè)RD。在通常的實(shí)現(xiàn)中�����,為來自于同一個(gè)用戶站點(diǎn)的所有路由設(shè)置相同的RD�。
在RFC2547bis標(biāo)準(zhǔn)中,采用Route Target屬性標(biāo)識了可以使用某路由的站點(diǎn)的集合��,即該路由可以被哪些站點(diǎn)所接收�,PE路由器可以接收哪些站點(diǎn)傳送來的路由。與Route Target中指明的站點(diǎn)相連的PE路由器��,都會接收到具有這種屬性的路由�。PE路由器接收到包含此屬性的路由后,將其加入到相應(yīng)的路由表中�。PE路由器存在兩個(gè)Route Target屬性的集合一個(gè)集合用于附加到從某個(gè)站點(diǎn)接收的路由上,稱為Export Route Targets�;另一個(gè)集合用于決定哪些路由可以引入此Site的路由表中,稱為Import Route Targets��。通過匹配路由所攜帶的Route Target屬性���,可以獲得VPN的成員關(guān)系�。匹配Route Target屬性可以用來過濾PE路由器接收的路由信息��。
圖2所示為通過匹配Route Target屬性過濾接收路由的示意圖。MPLSVPN路由信息進(jìn)入PE路由器時(shí)��,如果Export Route Targets集合與ImportRoute Targets集合存在相同項(xiàng)�����,則該路由被接收���;如果Export Route Targets集合與Import Route Targets集合沒有相同項(xiàng),則該路由被拒絕���。
在RFC2547bis標(biāo)準(zhǔn)中�����,VPN報(bào)文轉(zhuǎn)發(fā)使用兩層標(biāo)簽方式�。第一層�,即外層標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換,代表了從PE到對端(PEER)PE的一條標(biāo)簽交換路徑(Label Switched Path�,簡稱“LSP”),VPN報(bào)文利用這層標(biāo)簽����,就可以沿著LSP到達(dá)對端PE����。從對端PE到達(dá)CE時(shí)使用第二層�����,即內(nèi)層標(biāo)簽�����,內(nèi)層標(biāo)簽指示了報(bào)文到達(dá)哪個(gè)站點(diǎn)��,或者更具體一些��,到達(dá)哪一個(gè)CE�。這樣,根據(jù)內(nèi)層標(biāo)簽���,就可以找到轉(zhuǎn)發(fā)報(bào)文的接口��。特殊情況下��,屬于同一個(gè)VPN的兩個(gè)站點(diǎn)連接到同一個(gè)PE�,則如何到達(dá)對方PE的問題不存在��,只需要解決如何到達(dá)對端CE。
而隨著通信網(wǎng)絡(luò)技術(shù)的發(fā)展�����,傳統(tǒng)的IPv4網(wǎng)絡(luò)暴露出了一系列缺點(diǎn)�����,體現(xiàn)在地址空間不足��、移動性差����、安全性差和配置復(fù)雜等方面���,因此互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineer Task Force�,簡稱“IETF”)提出了IPv6以解決這些問題����。經(jīng)過幾年的發(fā)展,IPv6技術(shù)已經(jīng)日漸成熟�����,較為成功的解決了IPv4所存在的問題,成為下一代互聯(lián)網(wǎng)的標(biāo)準(zhǔn)��。目前�,IPv6的推廣已經(jīng)進(jìn)入實(shí)質(zhì)階段,許多研究機(jī)構(gòu)和公司正在進(jìn)行IPv6網(wǎng)絡(luò)產(chǎn)品的研究工作��。
為了在從IPv4向IPv6演進(jìn)的過程中繼續(xù)提供IPv4環(huán)境下的各種業(yè)務(wù)��,必須同步研究IPv6網(wǎng)絡(luò)上的VPN解決方案�。由于IPv6本身也還處于試驗(yàn)階段,還沒有正式大規(guī)模商用�����,更沒有存在IPv6網(wǎng)絡(luò)下的正式VPN業(yè)務(wù)應(yīng)用?�,F(xiàn)在世界上對于IPv6下VPN業(yè)務(wù)的研究還處于初級階段�,IPv6 VPN還要適應(yīng)IPv6的新特性,如IPv6下VPN業(yè)務(wù)的安全性���、服務(wù)質(zhì)量(Quality of Service��,簡稱“QoS”)����、移動性以及可管理性等,有很多的研究工作需要進(jìn)行��。
對于如何在骨干網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)�,VPN站點(diǎn)全部為IPv6網(wǎng)絡(luò)的情況下實(shí)現(xiàn)VPN,可以采用思科(CISCO)公司提出的6PE技術(shù)方案���,該技術(shù)方案的網(wǎng)絡(luò)組成示意圖如圖3所示�。6PE方案實(shí)現(xiàn)的基本思想是每個(gè)IPv6站點(diǎn)連接到IPv4骨干網(wǎng)絡(luò)的至少一個(gè)雙棧并且支持MP-BGP的PE路由器����,即圖3所示的6PE路由器����。其中,6PE路由器稱為雙棧BGP(Double Stack BGP���,簡稱“DS-BGP”)路由器����,即DS-BGP路由器��。DS-BGP路由器在IPv4側(cè)至少有一個(gè)IPv4地址,在IPv6側(cè)至少有一個(gè)IPv6地址�,并且該IPv4地址必須在IPv4網(wǎng)絡(luò)中可路由。IPv6站點(diǎn)中的路由遵循標(biāo)準(zhǔn)的IPv6路由協(xié)議��,例如開放最短路徑優(yōu)先協(xié)議第3版(Open Shortest Path First Version3���,簡稱“OSPFv3”)����,標(biāo)準(zhǔn)化發(fā)起信息學(xué)會第6版(Information Society Initiatives inStandardization version 6�,簡稱“ISISv6”)或者下一代路由信息協(xié)議(RoutingInformation Protocol next generation,簡稱“RIPng”)�����,不用向IPv4骨干網(wǎng)絡(luò)發(fā)布����,只需要在DS-BGP路由器通過BGP4+終結(jié),但需要在DS-BGP路由器之間通過MP-BGP4交換IPv6的網(wǎng)絡(luò)層可達(dá)信息(Network LayerReachability Information���,簡稱“NLRI”)����,出口DS-BGP路由器在向入口DS-BGP路由器通告路由時(shí)將自己的地址作為這些路由的下一跳;在數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)��,從入口DS-BGP路由器將IPv6數(shù)據(jù)包通過MPLS隧道�����,即LSP����,透傳到出口DS-BGP路由器。而DS-BGP路由器通告自己的地址作為BGP路由下一跳時(shí)可以使用IPv4地址���,并使用MPLS隧道或者其它基于IPv4地址的隧道����,如通用路由封裝(Generic Route Encapsulation����,簡稱“GRE”)協(xié)議隧道����,IP安全協(xié)議(IP Security Protocol,簡稱“IPsec)隧道�����;也可以使用IPv6地址,并使用相應(yīng)的隧道���,如6to4隧道�,站點(diǎn)內(nèi)自動隧道接入?yún)f(xié)議(Intra-Site Automatic Tunnel Access Protocol��,簡稱”ISATAP“)隧道���,并使用這些隧道要求的地址形式���。
但是,IPv4向IPv6過渡是一個(gè)漸進(jìn)的過程����,過渡時(shí)期將同時(shí)存在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò),用戶網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)都既可能是IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò)�,又可能是IPv4/IPv6混合網(wǎng)絡(luò)。這就要求新一代網(wǎng)絡(luò)下的VPN業(yè)務(wù)能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境�,可以正常應(yīng)用于IPv4網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)或者是IPv4/IPv6混合網(wǎng)絡(luò)�����。
在實(shí)際應(yīng)用中,上述方案存在以下問題現(xiàn)有的技術(shù)方案無法在用戶站點(diǎn)同時(shí)包含IPv4站點(diǎn)和IPv6站點(diǎn)���,以及骨干網(wǎng)絡(luò)同時(shí)包含IPv4域和IPv6域時(shí)����,提供VPN業(yè)務(wù)解決方案�。
造成這種情況的主要原因在于,現(xiàn)有的技術(shù)方案是針對骨干網(wǎng)為IPv4網(wǎng)絡(luò)�,全部VPN站點(diǎn)為IPv6站點(diǎn)的情況,該方案中使用的DS-BGP無法支持IPv4的站點(diǎn)�����,如果簡單地改用普通BGP路由器則無法實(shí)現(xiàn)NLRI的交換等功能�����,并且現(xiàn)有的技術(shù)方案中VPN的路由學(xué)習(xí)和發(fā)布是在IPv4網(wǎng)絡(luò)中進(jìn)行��,無法支持混合骨干網(wǎng)中的路由器學(xué)習(xí)和發(fā)布�����,因此不支持基于混合骨干網(wǎng)的VPN的路由學(xué)習(xí)發(fā)布以及數(shù)據(jù)轉(zhuǎn)發(fā)���。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的主要目的在于提供一種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)和方法�����,使得基于不同IP版本的站點(diǎn)可以通過基于不同IP版本的骨干網(wǎng)絡(luò)進(jìn)行相互訪問并開展VPN業(yè)務(wù)�����。
為實(shí)現(xiàn)上述目的����,本發(fā)明提供了一種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng),包含基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的虛擬專用網(wǎng)用戶站點(diǎn)�、用戶網(wǎng)邊緣路由器、骨干網(wǎng)邊緣路由器和骨干網(wǎng)�,所述用戶站點(diǎn)通過所述用戶網(wǎng)邊緣路由器和所述骨干網(wǎng)邊緣路由器接入所述骨干網(wǎng),所述骨干網(wǎng)還包含至少一個(gè)基于網(wǎng)間互聯(lián)協(xié)議第4版的自治系統(tǒng)和至少一個(gè)基于網(wǎng)間互聯(lián)協(xié)議第6版的自治系統(tǒng)���,所述自治系統(tǒng)之間通過自治系統(tǒng)邊緣路由器連接���;所述用戶網(wǎng)邊緣路由器和所述骨干網(wǎng)邊緣路由器共同完成網(wǎng)間互聯(lián)協(xié)議第4版路由和網(wǎng)間互聯(lián)協(xié)議第6版路由的轉(zhuǎn)換。
其中����,屬于網(wǎng)間互聯(lián)協(xié)議版本不同的自治系統(tǒng)并相互連接的所述自治系統(tǒng)邊緣路由器之間采用基于網(wǎng)間互聯(lián)協(xié)議第6版的多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議發(fā)布路由���。
所述用戶站點(diǎn)和所述自治系統(tǒng)的網(wǎng)間互聯(lián)協(xié)議版本不同時(shí),連接所述用戶站點(diǎn)和所述自治系統(tǒng)的所述用戶網(wǎng)邊緣路由器和所述骨干網(wǎng)邊緣路由器支持網(wǎng)間互聯(lián)協(xié)議第4/6版的雙協(xié)議棧�����。
基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)和基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)互通時(shí)���,網(wǎng)間互聯(lián)協(xié)議第4版路由A.B.C.D/n映射成0∷A:B:C:D/(96+n)形式的網(wǎng)間互聯(lián)協(xié)議第6版路由��。
本發(fā)明還提供了一種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法���,包含以下步驟A在所述虛擬專用網(wǎng)內(nèi)對基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的用戶站點(diǎn)進(jìn)行編址;B所述用戶站點(diǎn)和基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的骨干網(wǎng)進(jìn)行路由的學(xué)習(xí)和發(fā)布����;C所述骨干網(wǎng)進(jìn)行內(nèi)層標(biāo)簽和外層標(biāo)簽的分發(fā);D所述用戶站點(diǎn)的數(shù)據(jù)包依據(jù)所述步驟B中建立的路由�����,封裝所述內(nèi)層標(biāo)簽和所述外層標(biāo)簽通過所述骨干網(wǎng)進(jìn)行轉(zhuǎn)發(fā)�����。
其中��,所述步驟A中�,基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)之間采用“路由區(qū)分符+網(wǎng)間互聯(lián)協(xié)議第4版地址”的形式組成地址族標(biāo)識符為1的虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第4版地址;基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)與基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)之間����,基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)之間采用“路由區(qū)分符+網(wǎng)間互聯(lián)協(xié)議第6版地址”的形式組成地址族標(biāo)識符為2的虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第6版地址。
和基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)通信的�����,基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)將網(wǎng)間互聯(lián)協(xié)議第4版地址A.B.C.D映射成0∷A:B:C:D形式的網(wǎng)間互聯(lián)協(xié)議第6版地址后�����,與路由區(qū)分符進(jìn)行組合組成虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第6版地址�����。
所述步驟B還包含以下子步驟B1對所述用戶站點(diǎn)的地址進(jìn)行聚合�,形成相應(yīng)的路由項(xiàng);B2所述骨干網(wǎng)的自治系統(tǒng)內(nèi)部通過內(nèi)部邊界網(wǎng)關(guān)協(xié)議���,在該所述自治系統(tǒng)的骨干網(wǎng)邊緣路由器和自治系統(tǒng)邊緣路由器之間����,發(fā)布和該所述自治系統(tǒng)的所述骨干網(wǎng)邊緣路由器連接的所述用戶站點(diǎn)的路由;B3基于不同版本網(wǎng)間互聯(lián)協(xié)議的所述自治系統(tǒng)之間通過相連接的所述自治系統(tǒng)邊緣路由器�,采用基于網(wǎng)間互聯(lián)協(xié)議第6版的多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議發(fā)布路由;B4所述自治系統(tǒng)邊緣路由器將學(xué)習(xí)到的路由向該所述自治系統(tǒng)內(nèi)部的對端路由器發(fā)布����;B5所述骨干網(wǎng)的骨干網(wǎng)邊緣路由器與所述用戶站點(diǎn)的用戶網(wǎng)邊緣路由器之間運(yùn)行路由協(xié)議,向所述用戶網(wǎng)邊緣路由器發(fā)布路由����。
對于需要訪問基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn),所述步驟B5還包含以下子步驟B51該基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的所述用戶網(wǎng)邊緣路由器和與之連接的所述骨干網(wǎng)邊緣路由器�,運(yùn)行基于網(wǎng)間互聯(lián)協(xié)議第6版的路由協(xié)議學(xué)習(xí)路由;B52將所述骨干網(wǎng)邊緣路由器的保存的網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的路由A.B.C.D/n轉(zhuǎn)換成0∷A:B:C:D/(96+n)的網(wǎng)間互聯(lián)協(xié)議第6版路由����,通過網(wǎng)間互聯(lián)協(xié)議第6版路由協(xié)議將路由發(fā)布給所述用戶網(wǎng)邊緣路由器;B53所述用戶網(wǎng)邊緣路由器中將0∷A:B:C:D/(96+n)還原成A.B.C.D/n形式的網(wǎng)間互聯(lián)協(xié)議第4版路由�����,將基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的路由保存為網(wǎng)間互聯(lián)協(xié)議第6版路由。
對于需要訪問基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)��,所述步驟B5還包含以下子步驟B54該基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的所述用戶網(wǎng)邊緣路由器和與之連接的所述骨干網(wǎng)邊緣路由器����,運(yùn)行基于網(wǎng)間互聯(lián)協(xié)議第6版的路由協(xié)議學(xué)習(xí)路由���;B55所述用戶網(wǎng)邊緣路由器將基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的路由直接存儲為0∷A:B:C:D/(96+n)形式的網(wǎng)間互聯(lián)協(xié)議第6版路由�,將基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的路由保存為原來的形式�。
對于不需要訪問基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn),在所述步驟B中����,該基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的所述用戶網(wǎng)邊緣路由器和與其連接的所述骨干網(wǎng)邊緣路由器之間只運(yùn)行基于網(wǎng)間互聯(lián)協(xié)議第4版的路由協(xié)議,并僅學(xué)習(xí)和保存其它網(wǎng)間互聯(lián)協(xié)議第4版用戶站點(diǎn)的網(wǎng)間互聯(lián)協(xié)議第4版路由�,丟棄網(wǎng)間互聯(lián)協(xié)議第6版路由。
所述骨干網(wǎng)邊緣路由器在接收到所述虛擬專用網(wǎng)的路由后���,根據(jù)多協(xié)議邊界網(wǎng)關(guān)協(xié)議的路由目標(biāo)擴(kuò)展團(tuán)體屬性決定是否學(xué)習(xí)并向所述用戶站點(diǎn)發(fā)布��。
所述步驟C中����,所述內(nèi)層標(biāo)簽用于區(qū)分同一個(gè)入口骨干網(wǎng)邊緣路由器連接的不同所述用戶站點(diǎn),由所述入口骨干網(wǎng)邊緣路由器分配�����,在發(fā)布路由時(shí)隨路由發(fā)布給相應(yīng)的所述骨干網(wǎng)邊緣路由器���;所述外層標(biāo)簽用于在所述骨干網(wǎng)中轉(zhuǎn)發(fā)數(shù)據(jù)包��,在一個(gè)所述自治系統(tǒng)內(nèi)通過運(yùn)行標(biāo)簽分配協(xié)議���、資源預(yù)留協(xié)議-流量工程或約束路由的標(biāo)記分配協(xié)議分配,在不同所述自治系統(tǒng)的自治系統(tǒng)邊界路由器之間通過多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議為所述自治系統(tǒng)邊界路由器的雙向連接分配用于所述自治系統(tǒng)邊界路由器之間的轉(zhuǎn)發(fā)��。
所述步驟D還包含以下子步驟D1遵循普通的網(wǎng)間互聯(lián)協(xié)議轉(zhuǎn)發(fā)過程進(jìn)行源用戶站點(diǎn)到入口骨干網(wǎng)邊緣路由器之間的網(wǎng)間互聯(lián)協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)��;D2進(jìn)行所述入口骨干網(wǎng)邊緣路由器到出口骨干網(wǎng)邊緣路由器之間的標(biāo)簽數(shù)據(jù)轉(zhuǎn)發(fā)���;D3所述出口骨干網(wǎng)邊緣路由器依據(jù)所述內(nèi)層標(biāo)簽和其存儲的路由表進(jìn)行所述出口骨干網(wǎng)到目的用戶站點(diǎn)之間的網(wǎng)間互聯(lián)協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)��。
所述步驟D2還包含以下步驟D21在所述入口骨干網(wǎng)邊緣路由器上為數(shù)據(jù)包增加所述目的站點(diǎn)的所述內(nèi)層標(biāo)簽后�����,再增加該所述入口骨干網(wǎng)邊緣路由器所在的所述自治系統(tǒng)中分配的外層標(biāo)簽�;D22將所述數(shù)據(jù)包根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)到于當(dāng)前所述自治系統(tǒng)相鄰的所述自治系統(tǒng)的自治系統(tǒng)邊緣路由器;D23根據(jù)所述自治系統(tǒng)邊緣路由器之間分配的外層標(biāo)簽將所述數(shù)據(jù)包轉(zhuǎn)發(fā)到下一個(gè)相鄰的所述自治系統(tǒng)�;D24將數(shù)據(jù)包轉(zhuǎn)發(fā)到所述出口骨干網(wǎng)邊緣路由器。
所述用戶站點(diǎn)之間的拓?fù)潢P(guān)系通過采用路由目標(biāo)實(shí)現(xiàn)����。
通過比較可以發(fā)現(xiàn),本發(fā)明的技術(shù)方案與現(xiàn)有技術(shù)的區(qū)別在于�,本發(fā)明方案在CE路由器和PE路由器上運(yùn)行IPv4/IPv6雙路由表,根據(jù)CE路由器和PE路由器的網(wǎng)絡(luò)連接情況配置IPv4和IPv6的協(xié)議棧���,對VPN的用戶站點(diǎn)進(jìn)行VPN編址和必要的IPv4地址和IPv6地址轉(zhuǎn)換后進(jìn)行路由發(fā)布和分配,并通過使用多層標(biāo)簽實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)�,從而在混合站點(diǎn)混合骨干網(wǎng)的情況下實(shí)現(xiàn)VPN。
這種技術(shù)方案上的區(qū)別����,帶來了較為明顯的有益效果,即通過采用本發(fā)明實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)VPN的方案��,可以在用戶網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)從IPv4向IPv6過渡的情況下組成VPN�,使網(wǎng)絡(luò)過渡時(shí)期的VPN的解決方案具有更大靈活性,減小網(wǎng)絡(luò)設(shè)備升級的復(fù)雜性�,使IPv4向IPv6的過渡升級更加平滑,大大提高了網(wǎng)絡(luò)升級的經(jīng)濟(jì)性和可行性���。
圖1為RFC2547bis所定義MPLS L3 VPN的系統(tǒng)組成示意圖�����;圖2為通過匹配Route Target屬性過濾接收路由的示意圖�����;圖3為6PE方案實(shí)現(xiàn)BGP/MPLS VPN的系統(tǒng)組成示意圖�����;圖4為根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)VPN的系統(tǒng)組成示意圖��。
具體實(shí)施例方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合附圖對本發(fā)明作進(jìn)一步地詳細(xì)描述��。
下面結(jié)合本發(fā)明的一個(gè)具體實(shí)施例來說明本發(fā)明方案�。
根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)VPN的系統(tǒng)組成示意圖如圖4所示�����。
需要說明的是,VPN A和VPN B僅用于表示一個(gè)PE路由器可以同時(shí)接入多個(gè)VPN��。
實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)VPN的系統(tǒng)由以下幾個(gè)部分組成骨干網(wǎng)��,處于骨干網(wǎng)邊緣的PE路由器和通過CE路由器與PE路由器連接的用戶站點(diǎn)����。
骨干網(wǎng)絡(luò)用于發(fā)布VPN路由,建立交換路徑�����,完成數(shù)據(jù)的交換�。骨干網(wǎng)絡(luò)包含采用不同地址族的自治系統(tǒng)��,自治系統(tǒng)之間通過處于自治系統(tǒng)邊緣的自治系統(tǒng)邊界路由器(Autonomous System Border Router����,簡稱“ASBR”)連接。如圖4��,在本發(fā)明的一個(gè)較佳實(shí)施例中����,骨干網(wǎng)為雙域�����,一個(gè)IPv4自治系統(tǒng)(IPv4單域)和一個(gè)IPv6自治系統(tǒng)(IPv6單域)組成����。需要說明的是���,骨干網(wǎng)絡(luò)發(fā)布的路由包含VPN-IPv4路由和VPN-IPv6路由�����。在骨干網(wǎng)絡(luò)進(jìn)行路由學(xué)習(xí)以建立VPN交換路徑時(shí)��,首先在自治系統(tǒng)內(nèi)的PE和ASBR之間發(fā)布和該自治系統(tǒng)的PE路由器連接的用戶站點(diǎn)的路由�����,接著ASBR之間通過EBGP互相發(fā)布學(xué)習(xí)到的路由��,然后由ASBR通過IBGP向其所屬自治系統(tǒng)內(nèi)部的對端即PE路由器發(fā)布學(xué)習(xí)到的路由�����,最后由PE路由器向CE路由器發(fā)布路由��。關(guān)于路由發(fā)布的方法��,將在下文詳細(xì)敘述����。
用戶站點(diǎn)既有IPv4站點(diǎn)也有IPv6站點(diǎn),每個(gè)用戶站點(diǎn)包含多個(gè)具有不同地址的主機(jī)�����。其中����,用戶網(wǎng)絡(luò)中和骨干網(wǎng)絡(luò)連接的CE路由器根據(jù)該用戶網(wǎng)絡(luò)的IP版本以及和其連接的自治系統(tǒng)的IP版本支持相應(yīng)的協(xié)議棧。PE路由器根據(jù)其所屬的自治系統(tǒng)的IP版本以及其連接的用戶站點(diǎn)的IP版本支持相應(yīng)的協(xié)議棧��。例如�����,連接到IPv4骨干網(wǎng)的IPv4站點(diǎn)的CE路由器和對應(yīng)的PE路由器只需要支持IPv4協(xié)議棧����,連接到IPv6骨干網(wǎng)的IPv6站點(diǎn)的CE和對應(yīng)的PE只需要支持IPv6協(xié)議棧,連接到IPv4骨干網(wǎng)絡(luò)的IPv6站點(diǎn)的CE和連接到IPv6骨干網(wǎng)絡(luò)的IPv4站點(diǎn)的CE以及接入這些CE的PE設(shè)備則都需要支持IPv4/IPv6雙協(xié)議棧��。需要說明的是���,由于同一個(gè)VPN中的IPv4站點(diǎn)和IPv6站點(diǎn)可能存在互訪關(guān)系�����,因此對于需要訪問IPv6站點(diǎn)的IPv4站點(diǎn)中的路由器需要保存IPv6路由�����,即這些IPv4站點(diǎn)需要支持IPv4-IPv6混合地址方案���。
為了實(shí)現(xiàn)本發(fā)明方案,需要進(jìn)行包含以下幾個(gè)方面的處理VPN的用戶站點(diǎn)編址的處理�;VPN站點(diǎn)的路由學(xué)習(xí)和發(fā)布的處理;標(biāo)簽分發(fā)的處理�;VPN數(shù)據(jù)轉(zhuǎn)發(fā)的處理。下文將對這些處理做詳細(xì)說明����。
下面首先說明在本發(fā)明的一個(gè)較佳實(shí)施例中,如何完成用戶站點(diǎn)編址的處理。需要說明的是��,在本發(fā)明中���,只考慮VPN用戶進(jìn)行單播通信的情況�,要求VPN各站點(diǎn)內(nèi)的主機(jī)使用單播地址�����,即只采用一個(gè)IPv4地址或者一個(gè)IPv6地址����。
由于在VPN中仍然存在IPv4站點(diǎn),考慮到公有IPv4地址的緊缺��,在本發(fā)明的一個(gè)較佳實(shí)施例中��,允許VPN中的IPv4站點(diǎn)繼續(xù)使用私有IPv4地址�,并且允許不同VPN的站點(diǎn)使用相同的私有IPv4地址。
在VPN中���,IPv4站點(diǎn)和IPv4站點(diǎn)之間的通信仍然采用IPv4地址��,在MP-BGP中的地址族標(biāo)識符(Address Family Identifier,簡稱“AFI”)域使用RFC1700為IPv4地址族分配的值1���;IPv4站點(diǎn)與IPv6站點(diǎn)之間的相互通信以及兩個(gè)IPv6站點(diǎn)之間的相互通信均采用IPv6地址��,在MP-BGP中的AFI域可以使用RFC 1700為IPv6地址族分配的值2���。需要說明的是����,當(dāng)IPv4站點(diǎn)和IPv6站點(diǎn)相互通信時(shí)���,IPv4站點(diǎn)中的IPv4地址A.B.C.D映射成相應(yīng)的0∷A:B:C:D形式的IPv6地址��。在MP-BGP路由發(fā)布過程中��,后繼的地址族標(biāo)識符(Subsequence Address Family Identifier�����,簡稱“SAFI”)域使用128����,表示VPN-IPv4/IPv6地址����。
在本發(fā)明的一個(gè)較佳實(shí)施例中���,由于使用了私有IPv4地址,為了保證在骨干網(wǎng)絡(luò)中VPN路由和地址的唯一性����,沿用RFC 2547bis中的RD的概念,即在IPv4站點(diǎn)和IPv4站點(diǎn)之間通過采用RD+(IPv4地址)的形式組成AFI為1的VPN-IPV4地址��,在IPv4站點(diǎn)與IPv6站點(diǎn)之間或者兩個(gè)IPv6站點(diǎn)之間通過采用RD+(IPv6地址)的形式組成AFI為2的VPN-IPv6地址��。需要說明的是���,和IPv6站點(diǎn)之間通信的IPv4站點(diǎn)中的IPv4地址A.B.C.D需要在映射成0∷A:B:C:D形式的IPv6地址后���,再與RD進(jìn)行組合組成VPN-IPv6地址。
在本發(fā)明的一個(gè)較佳實(shí)施例中����,路由學(xué)習(xí)和發(fā)布的處理可以按照下文所述的方法進(jìn)行。
首先���,在對VPN的各用戶站點(diǎn)進(jìn)行編址后�,將各用戶站點(diǎn)的地址進(jìn)行聚合形成相應(yīng)的路由項(xiàng)。熟悉本領(lǐng)域的技術(shù)人員可以理解����,為了實(shí)現(xiàn)VPN中各用戶站點(diǎn)之間的訪問關(guān)系��,需要將這些路由項(xiàng)發(fā)布給相應(yīng)的站點(diǎn)�����。
接著��,骨干網(wǎng)的自治系統(tǒng)內(nèi)部通過IBGP在該自治系統(tǒng)的PE路由器和ASBR之間發(fā)布和該自治系統(tǒng)的PE路由器連接的VPN用戶站點(diǎn)的路由��。其中�,發(fā)布的路由包括IPv4路由和IPv6路由。需要說明的是���,由于骨干網(wǎng)絡(luò)存在IPv4自治系統(tǒng)和IPv6自治系統(tǒng)�����,該步驟在執(zhí)行時(shí)有兩種情況當(dāng)自治系統(tǒng)為IPv4網(wǎng)絡(luò)時(shí)�����,在IPv4網(wǎng)絡(luò)的PE路由器和ASBR之間通過基于IPv4的全連接的多協(xié)議內(nèi)部邊界網(wǎng)關(guān)協(xié)議(Multi-Protocol Internal BGP���,簡稱“MP-IBGP”)或者使用路由反射器發(fā)布和該IPv4網(wǎng)絡(luò)的PE連接的VPN用戶站點(diǎn)的路由���;當(dāng)自治系統(tǒng)為IPv6網(wǎng)絡(luò)時(shí),在IPv6網(wǎng)絡(luò)中的PE路由器和其ASBR之間通過基于IPv6的全連接的MP-IBGP或者適用路由反射器發(fā)布和該IPv6網(wǎng)絡(luò)的PE路由器連接的VPN站點(diǎn)的路由�����。
接著��,IPv4/IPv6網(wǎng)絡(luò)之間的ASBR之間通過基于IPv6的多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議(Multi-Protocol External BGP�,簡稱“MP-IBGP”)向?qū)Χ税l(fā)布相應(yīng)的路由。
接著��,根據(jù)BGP協(xié)議���,從EBGP對端學(xué)習(xí)到的路由需要向IBGP對端發(fā)布����。熟悉本領(lǐng)域的技術(shù)人員可以��,至此�,所有的PE路由器都能夠接收到屬于全部VPN用戶站點(diǎn)的路由���。
最后,PE路由器與CE路由器之間運(yùn)行路由協(xié)議向CE路由器發(fā)布相應(yīng)的路由���。在本發(fā)明的一個(gè)較佳實(shí)施例中�����,需要訪問IPv6 VPN用戶站點(diǎn)的IPv4用戶站點(diǎn)與PE路由器運(yùn)行基于IPv6的路由協(xié)議同時(shí)學(xué)習(xí)IPv6路由和IPv4路由,通過將PE路由器的VRF中的IPv4路由A.B.C.D/n轉(zhuǎn)換成0∷A:B:C:D/(96+n)的IPv6路由��,通過IPv6路由協(xié)議發(fā)布給CE路由器���,在CE路由器中將它還原成A.B.C.D/n的IPv4路由�����,對于其它IPv6用戶站點(diǎn)的IPv6路由�����,則在CE路由器中仍然保存為IPv6路由�����;在該IPv4用戶站點(diǎn)訪問IPv4站點(diǎn)時(shí)進(jìn)行IPv4路由的匹配��,訪問IPv6站點(diǎn)時(shí)進(jìn)行IPv6路由的匹配��。在本發(fā)明的一個(gè)較佳實(shí)施例中��,需要訪問IPv4 VPN用戶站點(diǎn)的IPv6用戶站點(diǎn)���,其CE路由器和PE路由器之間也運(yùn)行基于IPv6的路由協(xié)議��,學(xué)習(xí)其它站點(diǎn)的路由�,對于其它IPv4用戶站點(diǎn)的路由�����,直接存儲為0∷A:B:C:D/(96+n)形式的IPv6路由�����,對于其它IPv6用戶站點(diǎn)的路由��,則保存為原來的形式���。需要說明的��,是上文所述A.B.C.D/n中��,A.B.C.D為網(wǎng)段地址�,n為掩碼。
在本發(fā)明的一個(gè)較佳實(shí)施例中����,如果某些IPv4用戶站點(diǎn)根據(jù)RouteTarget屬性確定的拓?fù)潢P(guān)系中不需要訪問其它IPv6用戶站點(diǎn),則其CE路由器和PE路由器之間只需要運(yùn)行基于IPv4的路由協(xié)議���,并僅學(xué)習(xí)和保存其它IPv4用戶站點(diǎn)的IPv4路由,對于IPv6路由則進(jìn)行丟棄����。
需要說明的時(shí),在路由的學(xué)習(xí)和發(fā)布的處理中����,PE路由器在接收到VPN路由后,根據(jù)使用MP-BGP的Route Target擴(kuò)展團(tuán)體屬性決定是否學(xué)習(xí)并向相應(yīng)的用戶站點(diǎn)發(fā)布�����。在本發(fā)明的一個(gè)較佳實(shí)施例中���,出口(Egress)PE路由器在向其BGP對端發(fā)布VPN路由時(shí)��,攜帶相應(yīng)的Export Route Target和Egress PE為該VPN站點(diǎn)分配的內(nèi)層標(biāo)簽���。如果BGP對端不是ASBR�����,則將接收的VPN路由與在該BGP對端上配置的Import Route Target進(jìn)行匹配����,如果能夠匹配成功�����,則接收該路由并向相應(yīng)的VRF對應(yīng)的用戶站點(diǎn)發(fā)布�����;如果BGP對端是兩個(gè)自治系統(tǒng)之間的ASBR��,則通過EBGP發(fā)給對端ASBR����,對端ASBR將該路由發(fā)布給本域內(nèi)的IBGP對端�����,在IBGP對端進(jìn)行RouteTarget的匹配����,以確定是否接受并向相應(yīng)用戶站點(diǎn)發(fā)布該路由����。
在本發(fā)明的一個(gè)較佳實(shí)施例中,仍然使用VRF來保存不同VPN的路由�。在VRF中針對每個(gè)VPN的不同的AFI來分別保存IPv4路由和IPv6路由,同時(shí)在VPN的IPv4站點(diǎn)中的CE路由器中也保存相應(yīng)的IPv4路由和IPv6路由���,并將CE路由器作為該VPN站點(diǎn)訪問其它站點(diǎn)時(shí)的代理(Proxy),在進(jìn)行路由匹配時(shí)����,根據(jù)訪問的目的用戶站點(diǎn)是IPv4用戶站點(diǎn)還是IPv6用戶站點(diǎn)分別匹配IPv4路由或IPv6路由。需要說明的是��,由于VPN中的IPv6用戶站點(diǎn)只需要保存IPv6路由���,接入該IPv6站點(diǎn)的PE路由器在將其它IPv4站點(diǎn)的路由發(fā)布給該站點(diǎn)之前�,需要先將IPv4路由A.B.C.D/n轉(zhuǎn)換成0∷A:B:C:D/(96+n)的IPv6路由。
在本發(fā)明的一個(gè)較佳實(shí)施例中�����,標(biāo)簽分發(fā)的處理可以依照下文所述的規(guī)則進(jìn)行����。
同一個(gè)Egress PE連接的不同VPN站點(diǎn)通過Egress PE分配不同的內(nèi)層標(biāo)簽來區(qū)分,該內(nèi)層標(biāo)簽在通過MP-BGP發(fā)布路由時(shí)隨路由發(fā)布給相應(yīng)的PE�����。對于外層標(biāo)簽�����,在IPv4骨干網(wǎng)絡(luò)和IPv6骨干網(wǎng)絡(luò)內(nèi)均通過運(yùn)行標(biāo)簽分配協(xié)議(Label Distribution Protocol�,簡稱“LDP”)或者資源預(yù)留協(xié)議(Reservation Protocol,簡稱“RSVP”)-流量工程(Traffic Engineering��,簡稱“TE”)/約束路由的標(biāo)記分配協(xié)議(Constraint-Routing Label DistributionProtocol���,簡稱“CR-LDP”)進(jìn)行標(biāo)簽分配�����,但在兩個(gè)自治域的ASBR之間運(yùn)行MP-EBGP�,并通過MP-EBGP為ASBR的雙向連接分配這段LSP的外層標(biāo)簽,該外層標(biāo)簽僅僅用于這兩個(gè)ASBR之間的轉(zhuǎn)發(fā)�。其中,具體如何通過MP-EBGP為ASBR的雙向連接分配LSP的外層標(biāo)簽可以參照RFC3107��。
在本發(fā)明的一個(gè)較佳實(shí)施例中�,數(shù)據(jù)轉(zhuǎn)發(fā)的處理包含以下幾種轉(zhuǎn)發(fā)源用戶站點(diǎn)到入口(Ingress)PE路由器之間的IP數(shù)據(jù)轉(zhuǎn)發(fā);Ingress PE路由器到Egress PE路由器之間的標(biāo)簽數(shù)據(jù)轉(zhuǎn)發(fā)�;Egress PE到目的用戶站點(diǎn)之間的IP數(shù)據(jù)轉(zhuǎn)發(fā)。下面分別敘述���。
源用戶站點(diǎn)到入口(Ingress)PE路由器之間的IP數(shù)據(jù)包轉(zhuǎn)發(fā)遵循普通的IP轉(zhuǎn)發(fā)過程��。如上文所述�,用戶站點(diǎn)中保存了IPv4/IPv6兩種類型的路由表����,對于需要訪問IPv4/IPv6目的用戶站點(diǎn)的源用戶站點(diǎn)在進(jìn)行IP數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)�����,可以根據(jù)目的用戶站點(diǎn)是IPv4站點(diǎn)還是IPv6站點(diǎn)查詢相應(yīng)的路由表,遵循相應(yīng)的路由表將數(shù)據(jù)包轉(zhuǎn)發(fā)到Ingress PE��。
Ingress PE路由器到Egress PE路由器之間的標(biāo)簽數(shù)據(jù)轉(zhuǎn)發(fā)需要在IngressPE上為數(shù)據(jù)包增加Egress PE為目的地所在站點(diǎn)的內(nèi)層標(biāo)簽后��,再增加該Ingress PE所在的自治域中的標(biāo)簽分配協(xié)議(LDP/RSVP-TE/CR-LDP)分配的外層標(biāo)簽���,然后將數(shù)據(jù)包沿著LSP的LSR根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)到本自治系統(tǒng)到達(dá)下一個(gè)相鄰自治系統(tǒng)的ASBR���,然后根據(jù)下一個(gè)相鄰自治系統(tǒng)的ASBR與本ASBR之間的MP-EBGP分配的外層標(biāo)簽轉(zhuǎn)發(fā)到下一個(gè)相鄰自治系統(tǒng)的ASBR,然后繼續(xù)沿著下一個(gè)相鄰自治系統(tǒng)中LSP將數(shù)據(jù)包轉(zhuǎn)發(fā)到Egress PE�����。
Egress PE到目的用戶站點(diǎn)之間的IP數(shù)據(jù)轉(zhuǎn)發(fā)需要Egress PE在接收到包含內(nèi)層標(biāo)簽的數(shù)據(jù)包后�,通過區(qū)分內(nèi)層標(biāo)簽確定目的用戶站點(diǎn),并根據(jù)源用戶站點(diǎn)和目的用戶站點(diǎn)類型遵循相應(yīng)的路由表轉(zhuǎn)發(fā)到目的主機(jī)��。其中�����,在該步驟中����,僅當(dāng)源用戶站點(diǎn)和目的用戶站點(diǎn)均為IPv4站點(diǎn)時(shí)才查詢IPv4路由表����,其他情況均查詢IPv6路由表���。
另外���,需要說明的是,如果為了實(shí)現(xiàn)VPN的各站點(diǎn)之間的拓?fù)潢P(guān)系��,如全網(wǎng)狀組網(wǎng)����、部分網(wǎng)狀等拓?fù)湫螤畹目刂疲匀豢梢匝赜肦FC 2547bis中的方法����,即通過Route Target來實(shí)現(xiàn),這與2.2.3節(jié)中講述的PE之間路由發(fā)布和學(xué)習(xí)的機(jī)制完全相同�����,即根據(jù)VPN的拓?fù)潢P(guān)系來確定是否學(xué)習(xí)路由表�,根據(jù)路由表來實(shí)現(xiàn)VPN的拓?fù)潢P(guān)系。
熟悉本領(lǐng)域的技術(shù)人員可以理解��,對于VPN骨干網(wǎng)絡(luò)包含多個(gè)IPv4/IPv6自治系統(tǒng)的情況��,可以利用在上文中講述的原理進(jìn)行地址分配�、路由學(xué)習(xí)、數(shù)據(jù)包轉(zhuǎn)發(fā)以及VPN拓?fù)潢P(guān)系實(shí)現(xiàn)�,即通過在新增加的自治系統(tǒng)和現(xiàn)有網(wǎng)絡(luò)之間的ASBR之間通過MP-BGP在新增加的自治系統(tǒng)和現(xiàn)有網(wǎng)絡(luò)之間發(fā)布VPN路由,并分配外層標(biāo)簽來接續(xù)VPN骨干網(wǎng)絡(luò)中的標(biāo)簽轉(zhuǎn)發(fā)�。
雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施例,已經(jīng)對本發(fā)明進(jìn)行了圖示和描述�,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白,可以在形式上和細(xì)節(jié)上對其作各種各樣的改變�����,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍��。
權(quán)利要求
1.一種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)���,包含基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的虛擬專用網(wǎng)用戶站點(diǎn)�����、用戶網(wǎng)邊緣路由器�����、骨干網(wǎng)邊緣路由器和骨干網(wǎng)��,所述用戶站點(diǎn)通過所述用戶網(wǎng)邊緣路由器和所述骨干網(wǎng)邊緣路由器接入所述骨干網(wǎng)����,其特征在于,所述骨干網(wǎng)還包含至少一個(gè)基于網(wǎng)間互聯(lián)協(xié)議第4版的自治系統(tǒng)和至少一個(gè)基于網(wǎng)間互聯(lián)協(xié)議第6版的自治系統(tǒng)���,所述自治系統(tǒng)之間通過自治系統(tǒng)邊緣路由器連接��;所述用戶網(wǎng)邊緣路由器和所述骨干網(wǎng)邊緣路由器共同完成網(wǎng)間互聯(lián)協(xié)議第4版路由和網(wǎng)間互聯(lián)協(xié)議第6版路由的轉(zhuǎn)換�����。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)����,其特征在于����,屬于網(wǎng)間互聯(lián)協(xié)議版本不同的自治系統(tǒng)并相互連接的所述自治系統(tǒng)邊緣路由器之間采用基于網(wǎng)間互聯(lián)協(xié)議第6版的多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議發(fā)布路由。
3.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)���,其特征在于�,所述用戶站點(diǎn)和所述自治系統(tǒng)的網(wǎng)間互聯(lián)協(xié)議版本不同時(shí),連接所述用戶站點(diǎn)和所述自治系統(tǒng)的所述用戶網(wǎng)邊緣路由器和所述骨干網(wǎng)邊緣路由器支持網(wǎng)間互聯(lián)協(xié)議第4/6版的雙協(xié)議棧���。
4.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng),其特征在于�,基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)和基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)互通時(shí),網(wǎng)間互聯(lián)協(xié)議第4版路由A.B.C.D/n映射成0∷A:B:C:D/(96+n)形式的網(wǎng)間互聯(lián)協(xié)議第6版路由�。
5.一種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法,其特征在于�,包含以下步驟A在所述虛擬專用網(wǎng)內(nèi)對基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的用戶站點(diǎn)進(jìn)行編址;B所述用戶站點(diǎn)和基于網(wǎng)間互聯(lián)協(xié)議第4版或第6版的骨干網(wǎng)進(jìn)行路由的學(xué)習(xí)和發(fā)布��;C所述骨干網(wǎng)進(jìn)行內(nèi)層標(biāo)簽和外層標(biāo)簽的分發(fā)�����;D所述用戶站點(diǎn)的數(shù)據(jù)包依據(jù)所述步驟B中建立的路由�����,封裝所述內(nèi)層標(biāo)簽和所述外層標(biāo)簽通過所述骨干網(wǎng)進(jìn)行轉(zhuǎn)發(fā)�����。
6.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法��,其特征在于,所述步驟A中�,基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)之間采用“路由區(qū)分符+網(wǎng)間互聯(lián)協(xié)議第4版地址”的形式組成地址族標(biāo)識符為1的虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第4版地址;基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)與基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)之間��,基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)之間采用“路由區(qū)分符+網(wǎng)間互聯(lián)協(xié)議第6版地址”的形式組成地址族標(biāo)識符為2的虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第6版地址�����。
7.根據(jù)權(quán)利要求6所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法�����,其特征在于���,和基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)通信的�����,基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)將網(wǎng)間互聯(lián)協(xié)議第4版地址A.B.C.D映射成0∷A:B:C:D形式的網(wǎng)間互聯(lián)協(xié)議第6版地址后����,與路由區(qū)分符進(jìn)行組合組成虛擬專用網(wǎng)-網(wǎng)間互聯(lián)協(xié)議第6版地址���。
8.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法���,其特征在于����,所述步驟B還包含以下子步驟B1對所述用戶站點(diǎn)的地址進(jìn)行聚合���,形成相應(yīng)的路由項(xiàng);B2所述骨干網(wǎng)的自治系統(tǒng)內(nèi)部通過內(nèi)部邊界網(wǎng)關(guān)協(xié)議����,在該所述自治系統(tǒng)的骨干網(wǎng)邊緣路由器和自治系統(tǒng)邊緣路由器之間,發(fā)布和該所述自治系統(tǒng)的所述骨干網(wǎng)邊緣路由器連接的所述用戶站點(diǎn)的路由���;B3基于不同版本網(wǎng)間互聯(lián)協(xié)議的所述自治系統(tǒng)之間通過相連接的所述自治系統(tǒng)邊緣路由器�,采用基于網(wǎng)間互聯(lián)協(xié)議第6版的多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議發(fā)布路由����;B4所述自治系統(tǒng)邊緣路由器將學(xué)習(xí)到的路由向該所述自治系統(tǒng)內(nèi)部的對端路由器發(fā)布;B5所述骨干網(wǎng)的骨干網(wǎng)邊緣路由器與所述用戶站點(diǎn)的用戶網(wǎng)邊緣路由器之間運(yùn)行路由協(xié)議���,向所述用戶網(wǎng)邊緣路由器發(fā)布路由��。
9.根據(jù)權(quán)利要求8所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法���,其特征在于���,對于需要訪問基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn),所述步驟B5還包含以下子步驟B51該基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的所述用戶網(wǎng)邊緣路由器和與之連接的所述骨干網(wǎng)邊緣路由器��,運(yùn)行基于網(wǎng)間互聯(lián)協(xié)議第6版的路由協(xié)議學(xué)習(xí)路由���;B52將所述骨干網(wǎng)邊緣路由器的保存的網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的路由A.B.C.D/n轉(zhuǎn)換成0∷A:B:C:D/(96+n)的網(wǎng)間互聯(lián)協(xié)議第6版路由��,通過網(wǎng)間互聯(lián)協(xié)議第6版路由協(xié)議將路由發(fā)布給所述用戶網(wǎng)邊緣路由器����;B53所述用戶網(wǎng)邊緣路由器中將0∷A:B:C:D/(96+n)還原成A.B.C.D/n形式的網(wǎng)間互聯(lián)協(xié)議第4版路由�,將基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的路由保存為網(wǎng)間互聯(lián)協(xié)議第6版路由。
10.根據(jù)權(quán)利要求8所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法����,其特征在于,對于需要訪問基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)�����,所述步驟B5還包含以下子步驟B54該基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的所述用戶網(wǎng)邊緣路由器和與之連接的所述骨干網(wǎng)邊緣路由器,運(yùn)行基于網(wǎng)間互聯(lián)協(xié)議第6版的路由協(xié)議學(xué)習(xí)路由���;B55所述用戶網(wǎng)邊緣路由器將基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的路由直接存儲為0∷A:B:C:D/(96+n)形式的網(wǎng)間互聯(lián)協(xié)議第6版路由����,將基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的路由保存為原來的形式�����。
11.根據(jù)權(quán)利要求8所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法���,其特征在于,對于不需要訪問基于網(wǎng)間互聯(lián)協(xié)議第6版的所述用戶站點(diǎn)的基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)�����,在所述步驟B中�,該基于網(wǎng)間互聯(lián)協(xié)議第4版的所述用戶站點(diǎn)的所述用戶網(wǎng)邊緣路由器和與其連接的所述骨干網(wǎng)邊緣路由器之間只運(yùn)行基于網(wǎng)間互聯(lián)協(xié)議第4版的路由協(xié)議,并僅學(xué)習(xí)和保存其它網(wǎng)間互聯(lián)協(xié)議第4版用戶站點(diǎn)的網(wǎng)間互聯(lián)協(xié)議第4版路由�����,丟棄網(wǎng)間互聯(lián)協(xié)議第6版路由��。
12.根據(jù)權(quán)利要求8所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法,其特征在于�,所述骨干網(wǎng)邊緣路由器在接收到所述虛擬專用網(wǎng)的路由后,根據(jù)多協(xié)議邊界網(wǎng)關(guān)協(xié)議的路由目標(biāo)擴(kuò)展團(tuán)體屬性決定是否學(xué)習(xí)并向所述用戶站點(diǎn)發(fā)布�。
13.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法,其特征在于�����,所述步驟C中����,所述內(nèi)層標(biāo)簽用于區(qū)分同一個(gè)入口骨干網(wǎng)邊緣路由器連接的不同所述用戶站點(diǎn),由所述入口骨干網(wǎng)邊緣路由器分配�����,在發(fā)布路由時(shí)隨路由發(fā)布給相應(yīng)的所述骨干網(wǎng)邊緣路由器���;所述外層標(biāo)簽用于在所述骨干網(wǎng)中轉(zhuǎn)發(fā)數(shù)據(jù)包���,在一個(gè)所述自治系統(tǒng)內(nèi)通過運(yùn)行標(biāo)簽分配協(xié)議、資源預(yù)留協(xié)議-流量工程或約束路由的標(biāo)記分配協(xié)議分配�����,在不同所述自治系統(tǒng)的自治系統(tǒng)邊界路由器之間通過多協(xié)議外部邊界網(wǎng)關(guān)協(xié)議為所述自治系統(tǒng)邊界路由器的雙向連接分配用于所述自治系統(tǒng)邊界路由器之間的轉(zhuǎn)發(fā)。
14.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法�,其特征在于,所述步驟D還包含以下子步驟D1遵循普通的網(wǎng)間互聯(lián)協(xié)議轉(zhuǎn)發(fā)過程進(jìn)行源用戶站點(diǎn)到入口骨干網(wǎng)邊緣路由器之間的網(wǎng)間互聯(lián)協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)���;D2進(jìn)行所述入口骨干網(wǎng)邊緣路由器到出口骨干網(wǎng)邊緣路由器之間的標(biāo)簽數(shù)據(jù)轉(zhuǎn)發(fā)��;D3所述出口骨干網(wǎng)邊緣路由器依據(jù)所述內(nèi)層標(biāo)簽和其存儲的路由表進(jìn)行所述出口骨干網(wǎng)到目的用戶站點(diǎn)之間的網(wǎng)間互聯(lián)協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)�。
15.根據(jù)權(quán)利要求14所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法���,其特征在于����,所述步驟D2還包含以下步驟D21在所述入口骨干網(wǎng)邊緣路由器上為數(shù)據(jù)包增加所述目的站點(diǎn)的所述內(nèi)層標(biāo)簽后���,再增加該所述入口骨干網(wǎng)邊緣路由器所在的所述自治系統(tǒng)中分配的外層標(biāo)簽;D22將所述數(shù)據(jù)包根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)到于當(dāng)前所述自治系統(tǒng)相鄰的所述自治系統(tǒng)的自治系統(tǒng)邊緣路由器���;D23根據(jù)所述自治系統(tǒng)邊緣路由器之間分配的外層標(biāo)簽將所述數(shù)據(jù)包轉(zhuǎn)發(fā)到下一個(gè)相鄰的所述自治系統(tǒng)���;D24將數(shù)據(jù)包轉(zhuǎn)發(fā)到所述出口骨干網(wǎng)邊緣路由器。
16.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的方法�����,其特征在于,所述用戶站點(diǎn)之間的拓?fù)潢P(guān)系通過采用路由目標(biāo)實(shí)現(xiàn)���。
全文摘要
本發(fā)明涉及虛擬專用網(wǎng)技術(shù)����,公開了一種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)和方法�����,使得基于不同IP版本的站點(diǎn)可以通過基于不同IP版本的骨干網(wǎng)絡(luò)進(jìn)行相互訪問并開展VPN業(yè)務(wù)�。這種實(shí)現(xiàn)混合站點(diǎn)混合骨干網(wǎng)虛擬專用網(wǎng)的系統(tǒng)和方法在CE路由器和PE路由器上運(yùn)行IPv4/IPv6雙路由表,根據(jù)CE路由器和PE路由器的網(wǎng)絡(luò)連接情況配置IPv4和IPv6的協(xié)議棧�����,對VPN的用戶站點(diǎn)進(jìn)行VPN編址和必要的IPv4地址和IPv6地址轉(zhuǎn)換后進(jìn)行路由發(fā)布和分配�����,并通過使用多層標(biāo)簽實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)�����,從而在混合站點(diǎn)混合骨干網(wǎng)的情況下實(shí)現(xiàn)VPN。
文檔編號H04L12/28GK1710877SQ20041004947
公開日2005年12月21日 申請日期2004年6月16日 優(yōu)先權(quán)日2004年6月16日
發(fā)明者李德豐 申請人:華為技術(shù)有限公司