專利名稱:一種vpn路由信息發(fā)布方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種應(yīng)用于MPLSL3VPN組網(wǎng)的VPN路由信息發(fā)布方法及設(shè)備。
背景技術(shù):
MPLS (Multi-Protocol Label Switching,多協(xié)議標(biāo)簽交換)L3VPN (VirtualPrivate Network,虛擬專用網(wǎng)絡(luò))是服務(wù)提供商VPN解決方案中一種基于PE (ProviderEdge,運(yùn)營(yíng)商邊界設(shè)備)的L3VPN技術(shù),它使用BGP (Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由,使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)VPN報(bào)文。 CE (Customer Edge,用戶邊界設(shè)備)和PE的劃分主要是根據(jù)服務(wù)提供商與用戶的管理范圍,CE和PE是兩者管理范圍的邊界。CE設(shè)備通常是一臺(tái)路由器,當(dāng)CE與直接相連的PE建立鄰接關(guān)系后,CE把本站點(diǎn)的VPN路由發(fā)布給PE,并從PE學(xué)到遠(yuǎn)端VPN的路由。CE與PE之間使用BGP/IGP (InteriorGateway Protocol,內(nèi)部網(wǎng)關(guān)路由協(xié)議)交換路由信息,也可以使用靜態(tài)路由。PE從CE學(xué)到CE本地的VPN路由信息后,通過BGP與其它PE交換VPN路由信息。PE路由器只維護(hù)與它直接相連的VPN的路由信息,不維護(hù)服務(wù)提供商網(wǎng)絡(luò)中的所有VPN路由。在MPLS VPN中,不同VPN之間的路由隔離通過VPN實(shí)例(VPN-instance)實(shí)現(xiàn)。PE為直接相連的Site建立并維護(hù)VPN實(shí)例。VPN實(shí)例中包含對(duì)應(yīng)Site的VPN成員關(guān)系和路由規(guī)則。如果一個(gè)Site中的用戶同時(shí)屬于多個(gè)VPN,則該Site的VPN實(shí)例中將包括所有這些VPN的信息。為保證VPN數(shù)據(jù)的獨(dú)立性和安全性,PE上每個(gè)VPN實(shí)例都有相對(duì)獨(dú)立的路由表和LFIB (Label Forwarding Information Base,標(biāo)簽轉(zhuǎn)發(fā)表)。具體來說,VPN實(shí)例中的信息包括標(biāo)簽轉(zhuǎn)發(fā)表、IP路由表、與VPN實(shí)例綁定的接口以及VPN實(shí)例的管理信息。VPN實(shí)例的管理信息包括RD (Route Distinguisher,路由標(biāo)識(shí)符)、路由過濾策略、成員接口列表等。MPLS L3VPN 使用 BGP 擴(kuò)展團(tuán)體屬性-VPN Target (也稱為 Route Target,簡(jiǎn)稱
為RT)來控制VPN路由信息的發(fā)布。PE上的VPN實(shí)例有兩類VPN Target屬性Export Target屬性在本地PE將從與自己直接相連的Site學(xué)到的VPN_IPv4路由發(fā)布給其它PE之前,為這些路由設(shè)置Export Target屬性;Import Target屬性PE在接收到其它PE路由器發(fā)布的VPN-IPv4路由時(shí),檢查其Export Target屬性,只有當(dāng)此屬性與PE上VPN實(shí)例的Import Target屬性匹配時(shí),才把路由加入到相應(yīng)的VPN路由表中。也就是說,VPN Target屬性定義了一條VPN-IPv4路由可以為哪些Site所接收,PE路由器可以接收哪些Site發(fā)送來的路由。VPN Target 有三種格式
(l)16bits自治系統(tǒng)號(hào)32bits用戶自定義數(shù)字,例如100:1 ;(2)32bits IPv4 地址16bits 用戶自定義數(shù)字,例如172. I. I. 1:1 ;(3)32bits自治系統(tǒng)號(hào)16bits用戶自定義數(shù)字,其中的自治系統(tǒng)號(hào)最小值為65536,如65536: I。在基本的MPLS L3VPN模型中,由運(yùn)營(yíng)商經(jīng)營(yíng)MPLS VPN骨干網(wǎng),通過PE設(shè)備提供VPN服務(wù)。VPN用戶通過CE設(shè)備與運(yùn)營(yíng)商的PE設(shè)備互連,接入MPLS VPN網(wǎng)絡(luò),實(shí)現(xiàn)屬于用戶VPN的不同Site之間的通信。在這種情況下,用戶網(wǎng)絡(luò)是普通的IP網(wǎng)絡(luò),VPN用戶不能再劃分子VPN。實(shí)際組網(wǎng)中,VPN用戶網(wǎng)絡(luò)復(fù)雜多樣,繁簡(jiǎn)不同。當(dāng)VPN用戶內(nèi)部需要進(jìn)一步劃分多個(gè)VPN時(shí),傳統(tǒng)的解決方案是直接在運(yùn)營(yíng)商的PE設(shè)備上配置用戶內(nèi)部的VPN。這種方案實(shí)現(xiàn)簡(jiǎn)單,缺點(diǎn)是將導(dǎo)致PE上承載的VPN數(shù)量急劇增加,并且,如果用戶內(nèi)部需要調(diào)整VPN關(guān)系,也必須通過運(yùn)營(yíng)商操作。這不僅增加了網(wǎng)絡(luò)的運(yùn)營(yíng)成本,也帶來了管理和安全方面的問題。嵌套VPN是一種更為完善的解決方案,它的主要思想是在普通MPLSL3VPN的PE和CE之間傳遞VPNv4路由,由用戶管理自己內(nèi)部的VPN劃分,運(yùn)營(yíng)商不參與用戶內(nèi)部VPN的管理,但維護(hù)用戶內(nèi)部的VPN信息。VPN用戶的CE設(shè)備和運(yùn)營(yíng)商PE設(shè)備之間傳遞包括子VPN路由信息的VPNv4路由,從而實(shí)現(xiàn)用戶網(wǎng)絡(luò)內(nèi)部子VPN路由信息的傳遞。嵌套VPN中,路由信息的傳播過程為運(yùn)營(yíng)商的PE設(shè)備與VPN用戶的CE設(shè)備交互VPNv4路由,VPNv4路由攜帶用戶內(nèi)部的VPN信息;運(yùn)營(yíng)商的PE設(shè)備收到VPNv4路由后,保留用戶內(nèi)部的VPN信息,并附加用戶在運(yùn)營(yíng)商網(wǎng)絡(luò)上的MPLS VPN屬性,即將該VPNv4路由的RD更換為用戶所處運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的RD,同時(shí)將用戶所處運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的ERT (Export Route-target,引出路由標(biāo)識(shí))添加到路由的擴(kuò)展團(tuán)體屬性列表中;運(yùn)營(yíng)商的PE設(shè)備向其他運(yùn)營(yíng)商PE設(shè)備發(fā)布這些攜帶綜合VPN信息的VPNv4路由;其他的運(yùn)營(yíng)商PE設(shè)備收到VPNv4路由后,與本地的VPN進(jìn)行匹配,每個(gè)VPN接收屬于自己的路由,然后將路由擴(kuò)散到自己連接的子VPNCE設(shè)備,其中,如果運(yùn)營(yíng)商PE和CE設(shè)備之間是IPv4連接,直接擴(kuò)散IPv4路由,如果運(yùn)營(yíng)商PE設(shè)備和CE設(shè)備之間是VPNv4連接,表示通過私網(wǎng)連接的是一個(gè)用戶MPLS VPN網(wǎng)絡(luò),向CE擴(kuò)散VPNv4路由。圖I示出了一種嵌套VPN組網(wǎng)示意圖,這里配置舉例如下(這里若VPN名字相同,所攜帶的RT屬性也相同):設(shè)置VPNA的RT為100:1,VPNBl的RT為200:1,VPNB2的RT為300:1,VPNCl的RT為400:1,VPNC2的RT屬性為500:1。VPNCl過來的路由信息為 40. I. I. 1/24,此時(shí) PE-Al 為上行,路由傳播方向?yàn)?CE-Cl — CE-Bl — PE-Al — PE-A2,40. I. I. 1/24的ERT在PE-Al上便為100: 1,200: 1,400: 1,這樣,在對(duì)稱的嵌套VPN組網(wǎng)中,下行PE-A2在發(fā)布路由時(shí),只要IRT (Import Route-target,引入路由標(biāo)識(shí))滿足任一 ERT屬性,就會(huì)將路由向其CE端發(fā)送,所以下行方向的路由發(fā)送順序?yàn)镻E-A2 — CE-B2 — CE-C3。 若在圖I所示組網(wǎng)的基礎(chǔ)上,在PE-Al下還連接CE-C5,在PE-A2下還連接CE-C6,在CE-B2下還連接CE-C7,則形成了非對(duì)稱的組網(wǎng),如圖2所示,其中,相同的設(shè)備上路由信息及團(tuán)體屬性和以上舉例相同,那么剛才那條40. I. I. 1/24的路由,因?yàn)镮RT只要匹配任一單個(gè)ERT就會(huì)發(fā)布,所以除了沿PE-A2 — CE-B2 — CE-C3發(fā)布以外,還會(huì)從PE-Al向CE-C5發(fā)布、從PE-A2向CE-C6發(fā)布、從CE-B2向CE-C7發(fā)布。由此可見,當(dāng)嵌套VPN的層次增多,低層發(fā)來的路由就需要更加嚴(yán)格的全網(wǎng)規(guī)劃,以保證路由的安全性。但在具體應(yīng)用中,因規(guī)劃問題難免存在安全隱患。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種VPN路由信息發(fā)布方法及設(shè)備,應(yīng)用于MPLS L3VPN組網(wǎng)中的嵌套VPN路由發(fā)布過程,用以提高嵌套VPN路由發(fā)布的安全性。本發(fā)明實(shí)施例提供的VPN路由信息發(fā)布方法,應(yīng)用于MPLS L3VPN組網(wǎng)中的嵌套VPN路由信息發(fā)布過程,該方法包括邊界設(shè)備接收其上行邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)送來的路由發(fā)布報(bào)文,其中攜帶 有嵌套VPN路由信息及其VPN屬性信息;所述邊界設(shè)備將本地VPN的引入路由器標(biāo)識(shí)IRT,與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的引出路由器標(biāo)識(shí)ERT進(jìn)行匹配,若匹配,則根據(jù)所述VPN路由信息更新本地路由表,將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,并根據(jù)匹配成功的本地VPN的IRT,向相應(yīng)VPN發(fā)送攜帶所述嵌套VPN路由信息及其VPN屬性信息的路由發(fā)布報(bào)文。本發(fā)明實(shí)施例提供的邊界設(shè)備,應(yīng)用于MPLS L3VPN組網(wǎng),包括路由接收模塊、匹配判斷模塊、路由學(xué)習(xí)模塊和第一路由發(fā)布模塊,其中路由接收模塊,用于接收其上行邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)送來的路由發(fā)布報(bào)文,其中攜帶有嵌套VPN路由信息及其VPN屬性信息;匹配判斷模塊,用于將本地VPN的引入路由器標(biāo)識(shí)IRT,與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的引出路由器標(biāo)識(shí)ERT進(jìn)行匹配,若匹配,則將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,并指示所述路由學(xué)習(xí)模塊進(jìn)行路由學(xué)習(xí),指示所述第一路由發(fā)布模塊發(fā)送路由發(fā)布報(bào)文。路由學(xué)習(xí)模塊,用于按照所述匹配判斷模塊的指示,根據(jù)所述VPN路由信息更新本地路由表;第一路由發(fā)布模塊,用于按照所述匹配判斷模塊的指示,根據(jù)匹配成功的本地VPN的IRT,向相應(yīng)VPN發(fā)送攜帶所述嵌套VPN路由信息及其VPN屬性信息的路由發(fā)布報(bào)文。本發(fā)明的上述實(shí)施例,當(dāng)邊界設(shè)備在接收到其下掛的邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)布的VPN路由后,將本地VPN的IRT與接收到的VPN路由信息的屬性信息中相應(yīng)VPN的ERT進(jìn)行匹配判斷,以決定是否更新本地路由表以及進(jìn)一步向下行方向上的其它邊界設(shè)備擴(kuò)散,從而僅向相應(yīng)VPN對(duì)應(yīng)的邊界設(shè)備擴(kuò)散,提高了私網(wǎng)路由的安全性。
圖I為現(xiàn)有技術(shù)中嵌套VPN組網(wǎng)結(jié)構(gòu)示意圖;圖2為現(xiàn)有技術(shù)中非對(duì)稱嵌套VPN組網(wǎng)架構(gòu)示意圖;圖3為本發(fā)明實(shí)施例中的A、B、C類ERT相互轉(zhuǎn)移的示意圖;圖4為本發(fā)明實(shí)施例中的報(bào)文格式示意圖;圖5為本發(fā)明實(shí)施例提供的邊界設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為解決現(xiàn)有嵌套VPN路由發(fā)布機(jī)制中私網(wǎng)路由不安全的問題,本發(fā)明實(shí)施例中,當(dāng)邊界設(shè)備在接收到其下掛的邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)布的VPN路由后,將本地VPN的IRT與接收到的VPN路由信息的屬性信息中相應(yīng)VPN的ERT進(jìn)行匹配判斷,以決定是否更新本地路由表以及進(jìn)一步向下行方向上的其它邊界設(shè)備擴(kuò)散,并當(dāng)判斷需要向下行方向上的邊界設(shè)備擴(kuò)散時(shí),僅向相應(yīng)VPN對(duì)應(yīng)的邊界設(shè)備擴(kuò)散,從而提高了私網(wǎng)路由的安全性以MPLS L3VPN組網(wǎng)中某用戶網(wǎng)絡(luò)VPN嵌套有子VPN,且該用戶網(wǎng)絡(luò)VPN布部署于用戶網(wǎng)絡(luò)I和用戶網(wǎng)絡(luò)2為例,當(dāng)用戶網(wǎng)絡(luò)I中的底層用戶邊界設(shè)備從用戶子VPN學(xué)習(xí)到VNP路由后,將該VPN路由以及VPN屬性信息攜帶于路由發(fā)布報(bào)文沿上行方向發(fā)布給連接用戶網(wǎng)絡(luò)I的運(yùn)營(yíng)商邊界設(shè)備,在上行發(fā)布路徑上,接收到該VPN路由的用戶邊界設(shè)備更新本地VPN路由表,在VPN屬性中添加本地VPN(即接收路由發(fā)布報(bào)文的VPN,以下同)的ERT,然后將該VPN路由以及VPN屬性信息繼續(xù)向上行方向擴(kuò)散,直到擴(kuò)散到連接用戶網(wǎng)絡(luò)I的運(yùn)營(yíng)商邊界設(shè)備PEl。PEl根據(jù)該VPN路由更新本地VPN路由表,在VPN屬性中添加本地運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的ERT,然后將該VPN路由以及VPN屬性信息發(fā)送給對(duì)端運(yùn)營(yíng)商邊界設(shè)備。連接用戶網(wǎng)絡(luò)2的運(yùn)營(yíng)商邊界設(shè)備PE2接收到PEl發(fā)送的VPN路由信息和VPN屬性信息后,將本地運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的IRT與該VPN屬性信息中的運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的ERT進(jìn)行匹配,若匹配,則根據(jù)接收到的VPN路由信息更新本地VPN路由表,并根據(jù)匹配成功的ERT/IRT,向相應(yīng)VPN擴(kuò)散VPN路由信息和VPN屬性信息。用戶網(wǎng)絡(luò)2中的用戶邊界設(shè)備在接收到PE2發(fā)布的VPN路由信息和VPN屬性信息后,將本地用戶網(wǎng)絡(luò)VPN的IRT與該VPN屬性信息中同一層的用戶網(wǎng)絡(luò)VPN的ERT進(jìn)行匹配,若匹配,則根據(jù)該VPN路由信息更新本地VPN路由表,并根據(jù)匹配的IRT/ERT向相應(yīng)VPN擴(kuò)散該VPN路由信息和VPN屬性信息。同理,后續(xù)各層嵌套用戶邊界設(shè)備接收到上層用戶邊界設(shè)備發(fā)布的VPN路由信息和VPN屬性信息后,將本地用戶網(wǎng)絡(luò)VPN的IRT與該VPN屬性信息中同一層的用戶網(wǎng)絡(luò)VPN的ERT進(jìn)行匹配,若匹配,則根據(jù)該VPN路由信息更新本地VPN路由表,并根據(jù)匹配的IRT/ERT向相應(yīng)VPN擴(kuò)散VPN路由信息和VPN屬性信息,以此類推,直到擴(kuò)散到嵌套的最底層VPN。同理,連接其它用戶網(wǎng)絡(luò)的運(yùn)營(yíng)商邊界設(shè)備接收到PEl發(fā)送的VPN路由信息和VPN屬性信息后,其處理流程同上。進(jìn)一步的,如果PEl還連接了用戶網(wǎng)絡(luò)I中的其它用戶邊界設(shè)備(所述其它用戶邊界設(shè)備是指除了向PEl發(fā)布VPN路由的用戶邊界設(shè)備以外的用戶邊界設(shè)備),則還要將添加了 ERT的VPN屬性信息和VPN路由信息發(fā)布給該用戶邊界設(shè)備;該用戶邊界設(shè)備接收到VPN路由信息和VPN屬性信息之后的處理流程與上述所描述的VPN路由發(fā)布下行方向上的處理流程相同。進(jìn)一步的,運(yùn)營(yíng)商邊界設(shè)備判斷本地運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的IRT與接收到的VPN屬性信息中的運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的ERT相匹配之后,還可將運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的ERT從VPN屬性信息中刪除;用戶邊界設(shè)備判斷本地用戶網(wǎng)絡(luò)VPN的IRT與接收到的VPN屬性信息中同一層的用戶網(wǎng)絡(luò)VPN的ERT相匹配之后,還可將所述同一層的用戶網(wǎng)絡(luò)VPN的ERT從VPN屬性信息中刪除。這樣一方面可以減小向下層傳遞的ERT屬性的長(zhǎng)度,從而節(jié)省網(wǎng)絡(luò)傳輸開銷,另一方面還可以減輕下層邊界設(shè)備的計(jì)算開銷,降低ERT屬性信息長(zhǎng)度對(duì)邊界設(shè)備規(guī)格的要求。
通常情況下,在VPN路由信息發(fā)布過程的上行方向上,在VPN路由信息發(fā)布路徑上的各層用戶邊界設(shè)備以及運(yùn)營(yíng)商邊界設(shè)備,會(huì)按照順序在路由擴(kuò)展團(tuán)體屬性列表中添加ERT,因此,當(dāng)運(yùn)營(yíng)商邊界設(shè)備接收到對(duì)端運(yùn)營(yíng)商邊界設(shè)備發(fā)送的VPN路由信息和VPN屬性信息后,可依據(jù)該相應(yīng)順序識(shí)別出路由擴(kuò)展團(tuán)體屬性列表中的運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的ERT,以便與本地運(yùn)營(yíng)商網(wǎng)絡(luò)VPN的IRT進(jìn)行匹配;同理,用戶邊界設(shè)備在接收到VPN路由信息和VPN屬性信息后,也可依據(jù)該屬性識(shí)別出路由擴(kuò)展團(tuán)體屬性列表中與本地用戶網(wǎng)絡(luò)VPN同一層的用戶網(wǎng)絡(luò)VPN的ERT,以便與本地用戶網(wǎng)絡(luò)VPN的IRT進(jìn)行匹配。在具體實(shí)現(xiàn)時(shí),為了簡(jiǎn)化技術(shù)實(shí)現(xiàn),本發(fā)明實(shí)施例針對(duì)ERT屬性引入了 A、B、C三種類型,并在VPN路由發(fā)布過程中動(dòng)態(tài)設(shè)置隨VPN路由信息一通發(fā)布的VPN屬性信息中的ERT的類型,并在邊界設(shè)備根據(jù)本地VPN的IRT匹配VPN屬性信息中的ERT時(shí),以B類ERT為核心去匹配,A、C類用來輔助實(shí)現(xiàn)B類ERT的動(dòng)態(tài)變化,從而實(shí)現(xiàn)上述流程,達(dá)到提高用戶網(wǎng)絡(luò)VPN路由安全性的目的。下面以圖2所示的MPLS L3VPN組網(wǎng)架構(gòu)為例,并結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)描述。在圖2所示的MPLS L3VPN組網(wǎng)中,用戶網(wǎng)絡(luò)中的各CE以及連接該用戶網(wǎng)絡(luò)的PE上運(yùn)行BGP/IGP協(xié)議,用來發(fā)現(xiàn)和維護(hù)鄰接關(guān)系以及發(fā)布路由。該組網(wǎng)中的VPN配置如下(這里若VPN名字相同,所攜帶的RT屬性也相同)VPNA 內(nèi)嵌套有 VPNBl 和 VPNB2,VPNBl 內(nèi)嵌套有 VPNCl,VPNB2 內(nèi)嵌套有 VPNC3。PE-Al和PE-A2上配置VPNA并維護(hù)相應(yīng)VPNA實(shí)例,CE_B1、CE_B2上配置VPNBl和VPNB2并維護(hù)有相應(yīng)VPN實(shí)例,CE-CUCE-C3上配置VPNCl并維護(hù)有相應(yīng)VPN實(shí)例,CE_C2、CE_C4上配置VPNC2并維護(hù)有相應(yīng)VPN實(shí)例。CE-C5上配置VPNCl并維護(hù)有相應(yīng)VPN實(shí)例,CE-C6上配置VPNBl并維護(hù)有相應(yīng)VPN實(shí)例,CE-C7上配置VPNCl并維護(hù)有相應(yīng)VPN實(shí)例。VPNA的RT 為 100:1,VPNBl 的 RT 為 200:1,VPNB2 的 RT 為 300:1,VPNCl 的 RT 為 400:1,VPNC2 的RT 為 500:1。A、B、C類ERT的動(dòng)態(tài)變化規(guī)則以及各類ERT的作用說明如下B類ERT :在整套A、B、C類ERT中,B類是用以進(jìn)行匹配發(fā)送路由的ERT。如圖2所示,路由從VPNCl過來后,在上行發(fā)布路徑上的第一個(gè)邊界設(shè)備CE-Cl上,本地VPNCl的ERT被設(shè)置為B類ERT ;當(dāng)路由傳遞給上行發(fā)布路徑上的第二個(gè)邊界設(shè)備CE-Bl時(shí),B類ERT就會(huì)變化成VPNBl的ERT,而之前的B類ERT就會(huì)變成C類ERT。如此反復(fù)到頂層嵌套VPN后,路由再向下行方向傳遞,在PE-A2上,這條路由的B類ERT為VPNA的ERT,此時(shí)PE-A2將該B類ERT與本地VPNA的IRT匹配成功,則該路由向下發(fā)送,從PE-A2到CE-B2的過程中,B類ERT也會(huì)進(jìn)行變化,之前以VPNA為B類ERT,在CE-B2上會(huì)被設(shè)置為A類ERT,而在上行方向時(shí)作為第一層的C類ERT(即VPNCl的ERT)此時(shí)會(huì)被設(shè)置為B類ERT。C類ERT :該類ERT有產(chǎn)生和轉(zhuǎn)移到B類ERT兩個(gè)過程。在路由向上行方向傳遞時(shí),會(huì)隨著B類ERT的置換,將原B類ERT —層一層轉(zhuǎn)換為C類ERT,嵌套的越底層的邊界設(shè)備的B類ERT,在公網(wǎng)上會(huì)轉(zhuǎn)換為更高層的C類ERT。在下行方向上,由于B類ERT會(huì)移至A類ERT,而C類ERT會(huì)轉(zhuǎn)移到B類ERT,此時(shí)C類轉(zhuǎn)B類的ERT是從第一層開始轉(zhuǎn)移的。所以,上行方向,C類ERT在為B類所累加時(shí)是以棧的方式累加的,下行方向,C類ERT在被B類ERT所取用時(shí),是以隊(duì)列方式取用的。
A類ERT :該類ERT是在上層嵌套VPN向下層發(fā)布路由時(shí)產(chǎn)生的,每經(jīng)過一段,邊界設(shè)備將過期的B類ERT轉(zhuǎn)移為A類ERT。
圖3為A、B、C類ERT相互轉(zhuǎn)移的示意圖。如圖3所示,在VPN路由發(fā)布過程中,在路由發(fā)布路徑的上行方向上,嵌套的底層邊界設(shè)備在累加ERT屬性給上層邊界設(shè)備時(shí),該ERT作為上層邊界設(shè)備的C類ERT,上層ERT便作為下層ERT的B類ERT而存在,若繼續(xù)嵌套,則之前的C類ERT變?yōu)榈诙覥類ERT,B類ERT變?yōu)榈谝粚覥類ERT,而最上層的邊界設(shè)備的ERT作為B類ERT。在路由從嵌套底層向上層邊界設(shè)備發(fā)布的過程中,沒有A類ERT生成,B類ERT會(huì)不斷以棧的方式累加到C類ERT。在路由發(fā)布路徑的下行方向上,當(dāng)PE收到攜帶ABC類ERT的路由時(shí),首先判斷本地VPN的IRT是否匹配收到的B類ERT,若匹配,則向此VPN發(fā)布對(duì)應(yīng)路由,然后將其C類ERT的第一層提升為下一個(gè)邊界設(shè)備的B類ERT,之前的B類ERT成為第一層A類ERT,使其在下行邊界設(shè)備上不做優(yōu)先匹配,而是對(duì)新的B類ERT做優(yōu)先匹配,若繼續(xù)向下嵌套,此時(shí)的B類ERT會(huì)成為第二層A類ERT,則當(dāng)前的第一層C類ERT會(huì)成為B類ERT。在自頂向下嵌套VPN發(fā)布路由的過程中,A類不斷增加,A類層次的數(shù)量多少對(duì)優(yōu)先匹配意義不大,而C類ERT則以隊(duì)列方式,從第一層開始逐步轉(zhuǎn)換為B類ERT。接收到路由的邊界設(shè)備,若在用B類ERT與本地VPN的IRT進(jìn)行匹配時(shí)發(fā)現(xiàn)兩者不匹配,則不會(huì)學(xué)習(xí)對(duì)應(yīng)路由,也不會(huì)向其下行邊界設(shè)備傳遞或發(fā)布。下面以CE-Cl從用戶側(cè)VPNCl學(xué)習(xí)到40. I. I. 1/24路由后,該路由的發(fā)布過程為例,對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。當(dāng)CE-Cl從用戶VPNCl學(xué)習(xí)到40. I. I. 1/24這條路由后,根據(jù)該路由更新VPNCl所對(duì)應(yīng)的VPN實(shí)例中的路由表,在該條路由上附加VPN屬性,包括將該條路由的RD修改為VPNCl的RD,將VPNCl的ERT 400:1添加到該路由的擴(kuò)展團(tuán)體屬性列表中,并將VPNCl的ERT 400:1設(shè)置為B類。然后將該條路由和VPN屬性信息攜帶于BGP報(bào)文(如UPDATE報(bào)文)發(fā)送給嵌套的上層CE設(shè)備CE-Bl。CE-Bl接收到該BGP報(bào)文后,根據(jù)其中攜帶的VPN路由更新本地VPNBl所對(duì)應(yīng)的VPN實(shí)例中的路由表,在該條路由上附加VPN屬性,包括JfVPNCl的RD修改為VPNBl的RD,將VPNBl的ERT 200:1添加到該路由的擴(kuò)展團(tuán)體屬性列表中,并將VPNBl的ERT 200:1設(shè)置為B類,將VPNCl的ERT從B類修改為C類(此C類ERT為第一層C類ERT)。然后將該條路由和VPN屬性信息攜帶于BGP報(bào)文發(fā)送給CE-Bl的上層邊界設(shè)備PE-Al。PE-Al接收到該BGP報(bào)文后,根據(jù)其中攜帶的VPN路由更新本地VPNA所對(duì)應(yīng)的VPN實(shí)例中的路由表,在該條路由上附加VPN屬性,包括將VPNBl的RD修改為VPNA的RD,將VPNA的ERT 100:1添加到該路由的擴(kuò)展團(tuán)體屬性列表中,并將VPNA的ERT 100:1設(shè)置為B類,將VPNBl的ERT從B類修改為C類(此C類ERT為第二層C類ERT)。然后將該條路由和VPN屬性信息攜帶于BGP報(bào)文發(fā)送給對(duì)端PE設(shè)備PE-A2。PE-A2接收到PE-Al發(fā)送的BGP報(bào)文后,分別用本地VPNA和VPNBl的IRT與該報(bào)文中的B類ERT進(jìn)行匹配,其中,VPNA的IRT與B類ERT匹配成功,VPNBl的IRT與B類ERT匹配失敗,此后,PE-A2根據(jù)該路由更新VPNA所對(duì)應(yīng)的VPN實(shí)例中的路由表,更新該條路由的VPN屬性,即,將VPNA的ERT 100:1從B類修改為A類,將第二層C類ERT 200:1從C類修改為B類,然后將該條路由和VPN屬性信息攜帶于BGP報(bào)文發(fā)送給VPNA對(duì)應(yīng)的CE-B2。由于本地VPNBl的IRT與B類ERT匹配失敗,因此PE-A2不會(huì)將VPN路由發(fā)布到VPNBl對(duì)應(yīng)的CE-C6。CE-B2接收到PE-Al發(fā)送的BGP報(bào)文后,分別用本地VPNB1、VPNB2、VPNA的IRT與該報(bào)文中的B類ERT進(jìn)行匹配,其中,VPNBl的IRT與B類ERT匹配成功,VPNB2的IRT與B類ERT匹配失敗,VPNA的IRT與B類ERT匹配失敗,此后,CE-B2根據(jù)該路由更新VPNBl所對(duì)應(yīng)的VPN實(shí)例中的路由表,更新該條路由的VPN屬性,即,將第二層C類ERT 200:1從B類修改為A類,將第一層C類ERT從C類修改為B類,然后將該條路由和VPN屬性信息攜帶于BGP報(bào)文發(fā)送給VPNBl對(duì)應(yīng)的CE-C3。由于本地VPNB2和VPNA的IRT與B類ERT匹配失敗,因此CE-B2不會(huì)將VPN路由發(fā)布到VPNB2對(duì)應(yīng)的CE-C4,以及VPNA對(duì)應(yīng)的CE-C7。CE-C3接收到CE-B2發(fā)送的BGP報(bào)文后,用本地VPNCl的IRT與該報(bào)文中的B類ERT進(jìn)行匹配,由于兩者均為400:1,因此匹配成功,此后,CE-C3根據(jù)該路由更新VPNBl所對(duì)應(yīng)的VPN實(shí)例中的路由表。 由于PE-Al還連接有CE-C5,因此PE-Al在接收到BGP報(bào)文后,還將該報(bào)文發(fā)送給CE-C5。CE-C5接收到該報(bào)文后,用其中的B類ERT (200:1)與本地VPNCl的ERT (400:1)進(jìn)行匹配,兩者不相匹配,因此忽略該報(bào)文。上述40. I. I. 1/24的路由的發(fā)布路徑中,各邊界設(shè)備所接收到的ERT屬性情況可如表I所示。表I :路由發(fā)布路徑 CE-Cl — CE-Bl — PE-Al — PE-A2 — CE-B2 — CE-C3 上的各邊界設(shè)備所接收到的ERT屬性
類型~ CE-Cl CE-BI ~PE-Al~PE-A2CE-B2 CE-C3
~ 100:1 100:1,200:1~~400:1 200:1 100:1100:1200:1 400:1
~C400:1 200:1,400:1 200:1,400:1 400:1從以上實(shí)施例可以看出,A類ERT對(duì)于控制路由發(fā)布沒有什么意義,因此為了減少網(wǎng)絡(luò)傳輸開銷,本發(fā)明的另一實(shí)施例在上述實(shí)施例的基礎(chǔ)上,在VPN路由發(fā)布的下行方向上,當(dāng)邊界設(shè)備用本地VPN的ERT與接收到的B類ERT進(jìn)行匹配并匹配成功后,將VPN屬性信息中的該B類ERT刪除,而不是將其轉(zhuǎn)移為A類ERT,其它處理與前述實(shí)施例相同,在此不再贅述。如果嵌套VPN中每臺(tái)PE需要配置大量的RT屬性,會(huì)使得每一層嵌套的PE設(shè)備都會(huì)累加上一層VPN的ERT,如果嵌套層次非常多,ERT就會(huì)累加的非常多,而往往規(guī)格是有限的,這樣就十分容易出現(xiàn)破規(guī)格的情況。比如,64個(gè)RT屬性為滿規(guī)格,VPN嵌套層次為3層,最底層配置32個(gè)RT,第二層配置32個(gè)RT,第三層配置64個(gè)RT,這樣在第一層發(fā)布私網(wǎng)路由時(shí),所攜帶的團(tuán)體屬性ERT將會(huì)有128個(gè)ERT屬性,遠(yuǎn)超規(guī)格64個(gè),這樣不僅增加計(jì)算量,而且很容易造成設(shè)備出現(xiàn)問題??紤]到嵌套的下層VPN的路由傳給上層時(shí),ERT累加導(dǎo)致超設(shè)備規(guī)格的問題,本發(fā)明實(shí)施例可以在一定程度上緩解這個(gè)問題。例如,上述發(fā)布40. I. I. 1/24這條路由的過程中,如果VPNCl,VPNBI, VPNA攜帶的ERT為64個(gè),且值均不相等(為CE-Cl,CE-Bl,PE-Al的滿規(guī)格),那么在PE-Al上,按現(xiàn)有技術(shù)的方式,此時(shí)會(huì)攜帶64*3個(gè)ERT,發(fā)布出去甚至?xí)^64*3個(gè)ERT。在本發(fā)明實(shí)施例中,由于采用A、B、C類ERT的技術(shù),所以無論之前配置多少ERT,PE-Al上的B類ERT均為VPNA的ERT屬性,因此C類ERT再多也不會(huì)影響設(shè)備規(guī)格,因?yàn)榇藭r(shí)有效的ERT僅為B類ERT。在具體實(shí)現(xiàn)時(shí),可通過對(duì)現(xiàn)有報(bào)文結(jié)構(gòu)進(jìn)行改進(jìn),以達(dá)到降低ERT屬性對(duì)設(shè)備規(guī)格要求的目的。RT主要是帶在BGP的擴(kuò)展團(tuán)體屬性里,考慮到各運(yùn)營(yíng)商的支持情況,本發(fā)明實(shí)施例采用現(xiàn)有擴(kuò)展團(tuán)體TLV (Type, Length, Value)格式。對(duì)于不支持本發(fā)明實(shí)施例的設(shè)備,使用原TLV進(jìn)行RT的規(guī)則匹配,而支持本發(fā)明實(shí)施例的設(shè)備,只使用新增TLV的規(guī)則來匹配RT。因?yàn)镮RT是設(shè)備本地上的屬性,與報(bào)文無關(guān),這里不涉及,這里將主要介紹新增TLV的Value部分。 考慮到用戶操作的靈活性,以上發(fā)布及剝離ERT的操作,均可使用以下兩種配置進(jìn)行配置I :用戶可以在每層PE上的BGP里多實(shí)例視圖下指定路由發(fā)布規(guī)則,決定某個(gè)VPN是否需要首先匹配B類ERT,若需要,則不會(huì)將路由發(fā)布給不匹配B類ERT的VPN,若不需要,則按現(xiàn)有技術(shù)的規(guī)則,若VPN上IRT匹配任一 ERT,則將路由發(fā)布給該VPN。配置2 :用戶也可以靈活配置在下行方向的頂層嵌套VPN向下層發(fā)布私網(wǎng)路由時(shí),BGP里多實(shí)例視圖下EXPORT時(shí)是否剝離ERT的B類ERT (即即將成為A類的ERT),若是,則剝離發(fā)布路由時(shí)對(duì)應(yīng)VPN的ERT的B類ERT給下行方向,并將第一層C類ERT變?yōu)樾碌腂類ERT。若否,則將其B類ERT轉(zhuǎn)為A類ERT,并將第一層C類ERT變?yōu)樾碌腂類ERT。對(duì)于無C類ERT屬性的ERT,該配置無效。圖4示出了 NestingVpn Export vpn-target TLV的格式示意圖,其中各字段說明如下Export vpn-target attribute 字段標(biāo)識(shí) TLV 的類型,為 2 個(gè)字節(jié);Length字段為TLV的長(zhǎng)度,即Length字段之后的字段的長(zhǎng)度之和;Various length字段該字段由4. 5個(gè)字節(jié)組成,按順序每I. 5個(gè)字節(jié)用來表示A,B,C各個(gè)RT的個(gè)數(shù)。具體為,該字段前I. 5個(gè)字節(jié)表示A類RT的個(gè)數(shù),中間的I. 5個(gè)字節(jié)表示B類RT的個(gè)數(shù),最后I. 5個(gè)字節(jié)表示C類RT的個(gè)數(shù)。如A,B,C各類RT數(shù)量分別為1,1,2,則字段為 0010010020 ;Res字段保留字段,為0. 5個(gè)字節(jié),默認(rèn)為0 ;Type A, Type B Type C RT :Res字段后剩下的均為該字段,該字段為一個(gè)三元組,分別是Type A RT,Type B RT,Type C RT。每一個(gè)元組由N個(gè)部分組成,N為各類RT的個(gè)數(shù),如報(bào)文中存在A類ERT為3個(gè),則N為3。每個(gè)部分即為一個(gè)RT占據(jù)的字節(jié)大小,為8個(gè)字節(jié)。比如剛才舉出的A,B,C各類RT的數(shù)量分別為1,1,2的情況。該字段占據(jù)的字節(jié)數(shù)便為 1*8+1*8+2*8 = 32。對(duì)于Export vpn-target attribute字段,在發(fā)布對(duì)應(yīng)私網(wǎng)路由時(shí),該字段A, B,C即是以上所述A,B,C類ERT,而A,B,C每段的長(zhǎng)度是由Various length的值確定的。Various length字段和Reserved字段共占5個(gè)字節(jié),其中,前4. 5個(gè)字節(jié)用于標(biāo)識(shí)A、B、C類ERT所占據(jù)的長(zhǎng)度,最后0. 5個(gè)字節(jié)作為保留字段,默認(rèn)為O。給每類ERT可分配I. 5個(gè)字節(jié)作為RT個(gè)數(shù)標(biāo)識(shí),取值范圍0 4095。在現(xiàn)有技術(shù)中,一個(gè)vpn-target屬性占據(jù)8個(gè)字節(jié),上面結(jié)構(gòu)中,A、B、C類的每個(gè)RT也是占據(jù)8個(gè)字節(jié),但根據(jù)RT實(shí)際個(gè)數(shù),所占字節(jié)大小各有差異,但均為8的整數(shù)倍。實(shí)際數(shù)量表現(xiàn)在Various length里,如各類RT數(shù)量為1,1,2,則Various length字段為0010010020,來表示有 I個(gè)A類RT,I個(gè)B類RT,2個(gè)C類RT。通過以上描述可以看出,本發(fā)明實(shí)施例通過控制嵌套VPN RT策略的匹配方式,增強(qiáng)路由發(fā)布的安全性,另外還可進(jìn)一步保護(hù)設(shè)備免超規(guī)格。此外,通過嵌套VPN向下層VPN發(fā)布路由時(shí),選擇是否刪除即將產(chǎn)生的A類ERT的操作,節(jié)省ERT的資源,同時(shí)也可以增強(qiáng)下層私網(wǎng)路由發(fā)布時(shí)的安全性。在大型組網(wǎng)時(shí),如果使用嵌套VPN,需要嚴(yán)格規(guī)劃整個(gè)組網(wǎng)的RT,且每臺(tái)設(shè)備都需要考慮其RT屬性是否沖突,而采用本發(fā)明實(shí)施例,可以避免這樣的繁瑣,RT的配置更傾向于本地化。需要說明的是,以上優(yōu)選實(shí)施例是以對(duì)ERT進(jìn)行A、B、C類劃分為例描述的,本領(lǐng)域技術(shù)人員應(yīng)能夠理解,只要在VPN屬性信息中指示出B類ERT,以使邊界設(shè)備依據(jù)B類ERT進(jìn)行匹配,也可控制VPN路由信息的發(fā)布,以提高用戶網(wǎng)絡(luò)路由的安全性?;谙嗤募夹g(shù)構(gòu)思,本發(fā)明實(shí)施例還提供了一種應(yīng)用于MPLS L3VPN組網(wǎng)的邊界設(shè)備。參見圖4,為本發(fā)明實(shí)施例提供的邊界設(shè)備的結(jié)構(gòu)示意圖,該邊界設(shè)備通常為路由器,如圖所示,該邊界設(shè)備可包括路由接收模塊501、匹配判斷模塊502、路由學(xué)習(xí)模塊503和第一路由發(fā)布模塊504,其中路由接收模塊501,用于接收其上行邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)送來的路由發(fā)布報(bào)文,其中攜帶有嵌套VPN路由信息及其VPN屬性信息;匹配判斷模塊502,用于將本地VPN的引入路由器標(biāo)識(shí)IRT,與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的引出路由器標(biāo)識(shí)ERT進(jìn)行匹配,若匹配,則將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,并指示路由學(xué)習(xí)模塊503進(jìn)行路由學(xué)習(xí),指示第一路由發(fā)布模塊504發(fā)送路由發(fā)布報(bào)文。路由學(xué)習(xí)模塊503,用于按照匹配判斷模塊502的指示,根據(jù)所述VPN路由信息更新本地路由表;第一路由發(fā)布模塊504,用于按照匹配判斷模塊502的指示,根據(jù)匹配成功的本地VPN的IRT,向相應(yīng)VPN發(fā)送攜帶所述嵌套VPN路由信息及其VPN屬性信息的路由發(fā)布報(bào)文。具體的,匹配判斷模塊502可通過以下方式將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT :取消對(duì)匹配成功的ERT的指定類型的設(shè)置,將所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT設(shè)置為指定類型;或者,將匹配成功的ERT從所述VPN屬性信息中刪除,將所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT設(shè)置為指定類型。進(jìn)一步的,該邊界設(shè)備還可包括第二路由發(fā)布模塊505,用于在路由接收模塊501接收到其下行邊界設(shè)備發(fā)來的路由發(fā)布報(bào)文后,按照VPN嵌套順序在路由發(fā)布報(bào)文中攜帶的VPN屬性信息中添加接收所述路由發(fā)布報(bào)文的VPN的ERT,并將所添加的ERT設(shè)置為B類,將所述VPN屬性信息中其它VPN的ERT設(shè)置為C類,另外,路由學(xué)習(xí)模塊502還根據(jù)該路由發(fā)布報(bào)文進(jìn)行路由學(xué)習(xí),即更新本地相應(yīng)VPN的路由表。相應(yīng)的,匹配判斷模塊502可將本地VPN的IRT與該報(bào)文中攜帶的VPN屬性信息中設(shè)置為B類的ERT進(jìn)行匹配;以及,在本地VPN的IRT與該報(bào)文中攜帶的設(shè)置為B類的ERT匹配成功后,將所述VPN屬性信息中B類的ERT修改為A類或刪除,將原B類ERT的下一層嵌套ERT從C類修改為B類。所述邊界設(shè)備可以是運(yùn)營(yíng)商邊界設(shè)備,此種情況下,路由接收模塊501所接收到的路由發(fā)布報(bào)文是對(duì)端運(yùn)營(yíng)商邊界設(shè)備發(fā)送的。所述邊界設(shè)備可以是用戶邊界設(shè)備,此種情況下,路由接收模塊501所接收到的路由發(fā)布報(bào)文是與其連接的運(yùn)營(yíng)商邊界設(shè)備或其上層嵌套用戶邊界設(shè)備發(fā)送的。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī),個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種VPN路由信息發(fā)布方法,應(yīng)用于多協(xié)議標(biāo)簽交換三層虛擬局域網(wǎng)絡(luò)MPLS L3VPN組網(wǎng)中的嵌套VPN路由信息發(fā)布過程,其特征在于,該方法包括 邊界設(shè)備接收其上行邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)送來的路由發(fā)布報(bào)文,其中攜帶有嵌套VPN路由信息及其VPN屬性信息; 所述邊界設(shè)備將本地VPN的引入路由器標(biāo)識(shí)IRT,與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的引出路由器標(biāo)識(shí)ERT進(jìn)行匹配,若匹配,則根據(jù)所述VPN路由信息更新本地路由表,將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,并根據(jù)匹配成功的本地VPN的IRT,向相應(yīng)VPN發(fā)送攜帶所述嵌套VPN路由信息及其VPN屬性信息的路由發(fā)布報(bào)文。
2.如權(quán)利要求I所述的方法,其特征在于,所述將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,包括 取消對(duì)匹配成功的ERT的指定類型的設(shè)置,將所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT設(shè)置為指定類型; 或者,將匹配成功的ERT從所述VPN屬性信息中刪除,將所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT設(shè)置為指定類型。
3.如權(quán)利要求I所述的方法,其特征在于,所述路由發(fā)布報(bào)文中攜帶的VPN屬性信息,是所述VPN路由信息在上行發(fā)布路徑上所經(jīng)過的邊界設(shè)備按照VPN嵌套順序添加的;其中,邊界設(shè)備在VPN屬性信息中添加接收所述路由發(fā)布報(bào)文的VPN的ERT后將其設(shè)置為B類,并將所述VPN屬性信息中其它VPN的ERT設(shè)置為C類; 所述邊界設(shè)備將本地VPN的IRT與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的ERT進(jìn)行匹配,具體為將本地VPN的IRT與該報(bào)文中攜帶的VPN屬性信息中設(shè)置為B類的ERT進(jìn)行匹配; 本地VPN的IRT與該報(bào)文中攜帶的設(shè)置為B類的ERT匹配成功后,所述將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,具體為將所述VPN屬性信息中B類的ERT修改為A類或刪除,將原B類ERT的下一層嵌套ERT從C類修改為B類。
4.如權(quán)利要求1-3之一所述的方法,其特征在于,所述邊界設(shè)備為運(yùn)營(yíng)商邊界設(shè)備時(shí),其所接收到的路由發(fā)布報(bào)文是對(duì)端運(yùn)營(yíng)商邊界設(shè)備發(fā)送的; 所述邊界設(shè)備為用戶邊界設(shè)備時(shí),其所接收到的路由發(fā)布報(bào)文是與其連接的運(yùn)營(yíng)商邊界設(shè)備或其上層嵌套用戶邊界設(shè)備發(fā)送的。
5.一種邊界設(shè)備,應(yīng)用于多協(xié)議標(biāo)簽交換三層虛擬局域網(wǎng)絡(luò)MPLS L3VPN組網(wǎng),其特征在于,包括路由接收模塊、匹配判斷模塊、路由學(xué)習(xí)模塊和第一路由發(fā)布模塊,其中 路由接收模塊,用于接收其上行邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)送來的路由發(fā)布報(bào)文,其中攜帶有嵌套VPN路由信息及其VPN屬性信息; 匹配判斷模塊,用于將本地VPN的引入路由器標(biāo)識(shí)IRT,與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的引出路由器標(biāo)識(shí)ERT進(jìn)行匹配,若匹配,則將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,并指示所述路由學(xué)習(xí)模塊進(jìn)行路由學(xué)習(xí),指示所述第一路由發(fā)布模塊發(fā)送路由發(fā)布報(bào)文。
路由學(xué)習(xí)模塊,用于按照所述匹配判斷模塊的指示,根據(jù)所述VPN路由信息更新本地路由表;第一路由發(fā)布模塊,用于按照所述匹配判斷模塊的指示,根據(jù)匹配成功的本地VPN的IRT,向相應(yīng)VPN發(fā)送攜帶所述嵌套VPN路由信息及其VPN屬性信息的路由發(fā)布報(bào)文。
6.如權(quán)利要求5所述的邊界設(shè)備,其特征在于,所述匹配判斷模塊具體用于,取消對(duì)匹配成功的ERT的指定類型的設(shè)置,將所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT設(shè)置為指定類型;或者,將匹配成功的ERT從所述VPN屬性信息中刪除,將所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT設(shè)置為指定類型。
7.如權(quán)利要求5所述的邊界設(shè)備,其特征在于,還包括 第二路由發(fā)布模塊,用于在接收到其下行邊界設(shè)備發(fā)來的路由發(fā)布報(bào)文后,按照VPN嵌套順序在路由發(fā)布報(bào)文中攜帶的VPN屬性信息中添加接收所述路由發(fā)布報(bào)文的VPN的ERT,并將所添加的ERT設(shè)置為B類,將所述VPN屬性信息中其它VPN的ERT設(shè)置為C類; 所述匹配判斷模塊具體用于,將本地VPN的IRT與該報(bào)文中攜帶的VPN屬性信息中設(shè)置為B類的ERT進(jìn)行匹配;以及,在本地VPN的IRT與該報(bào)文中攜帶的設(shè)置為B類的ERT匹配成功后,將所述VPN屬性信息中B類的ERT修改為A類或刪除,將原B類ERT的下一層嵌套ERT從C類修改為B類。
8.如權(quán)利要求5-7之一所述的邊界設(shè)備,其特征在于,所述邊界設(shè)備為運(yùn)營(yíng)商邊界設(shè)備時(shí),所述路由接收模塊所接收到的路由發(fā)布報(bào)文是對(duì)端運(yùn)營(yíng)商邊界設(shè)備發(fā)送的; 所述邊界設(shè)備為用戶邊界設(shè)備時(shí),所述路由接收模塊所接收到的路由發(fā)布報(bào)文是與其連接的運(yùn)營(yíng)商邊界設(shè)備或其上層嵌套用戶邊界設(shè)備發(fā)送的。
全文摘要
本發(fā)明公開了一種應(yīng)用于MPLS L3VPN組網(wǎng)的VPN路由信息發(fā)布方法及設(shè)備,該方法包括邊界設(shè)備接收其上行邊界設(shè)備或?qū)Χ诉吔缭O(shè)備發(fā)送來的路由發(fā)布報(bào)文,其中攜帶有嵌套VPN路由信息及其VPN屬性信息;所述邊界設(shè)備將本地VPN的引入路由器標(biāo)識(shí)IRT,與該報(bào)文攜帶的VPN屬性信息中指定類型的VPN的引出路由器標(biāo)識(shí)ERT進(jìn)行匹配,若匹配,則根據(jù)所述VPN路由信息更新本地路由表,將指定類型變更到所述VPN屬性信息中原指定類型的ERT的下一層嵌套ERT,并根據(jù)匹配成功的本地VPN的IRT,向相應(yīng)VPN發(fā)送攜帶所述嵌套VPN路由信息及其VPN屬性信息的路由發(fā)布報(bào)文。。采用本發(fā)明可提高嵌套VPN路由發(fā)布的安全性。
文檔編號(hào)H04L12/46GK102624623SQ20121006456
公開日2012年8月1日 申請(qǐng)日期2012年3月13日 優(yōu)先權(quán)日2012年3月13日
發(fā)明者趙昌峰 申請(qǐng)人:杭州華三通信技術(shù)有限公司