虛擬私有網絡系統的構建方法及虛擬私有網絡系統的制作方法

專利名稱：虛擬私有網絡系統的構建方法及虛擬私有網絡系統的制作方法
技術領域：
本發明涉及通信領域，具體而言，尤其涉及一種虛擬私有網絡系統的構建方法及虛擬私有網絡系統。
背景技術：
現有技術的虛擬私有網(Virtual Private Network，簡稱為VPN)，是利用公用網絡構建的私人專用網絡。它以其獨具特色的優勢贏得了越來越廣泛的應用，對于用戶使用 VPN可以縮減費用，方便管理。對于運營商可以利用現有的基礎設施提供增值服務，可以擴大運營業務量同時也創造了新的商業機會。現有技術的多協議標記交換協議(Multi-Protocol Label Switching，簡稱為MPLS)是一種將具有相同轉發處理方式的分組歸為一類(即轉發等價類，Forwarding Equivalent Class)的分類轉發技術。MPLS最初是用來提高路由器的轉發速度而提出的一個協議，但是由于MPLS在流量工程和VPN這兩個在目前IP網絡中非常關鍵的技術中的優越表現使得MPLS已日益成為擴大IP網絡規模的重要標準。MPLS協議的關鍵是引入了標簽 (Label)交換概念，在MPLS網絡中，IP報文在進入第一個MPLS設備時MPLS邊緣路由器分析IP報文的內容并為這些IP報文選擇合適的標簽。以后就是依據這個標簽作為轉發依據在MPLS網絡中傳輸，當IP報文離開MPLS網絡時標簽被邊緣路由器分離。在MPLS網絡中將網絡設備分為邊緣網絡設備(PE)和核心網絡設備(P)，邊緣網絡設備提供流量分類和標簽映射，標簽移除的功能。核心網絡設備提供標簽交換和標簽分發功能。在結合上述技術的MPLS VPN網絡中，MPLS作為一種高效的IP骨干網技術平臺， 為實現VPN提供了一種靈活的并且具有可擴展性的技術基礎。上述MPLS VPN網絡可以由以下三種網絡設備組成(1) CE (Custom Edge)用戶網絡中直接與服務提供商相連的邊緣設備；(2)PE (Provider Edge)骨干網中的邊緣設備，它直接與用戶的CE相連；(3)P路由器(Provider Router)骨干網中不與CE直接相連的設備。圖1根據現有相關技術的MPLS VPN網絡架構示意圖。如圖1所示的MPLS VPN網絡是由骨干網與用戶的各個Site組成，VPN就是對site集合的劃分，一個VPN就對應一個由若干site組成的集合。MPLS VPN網絡構造由服務提供商來完成，在這種網絡構造中，由服務提供商向用戶提供VPN服務，用戶感覺不到公網的存在，就好像擁有獨立的網絡資源一樣。所有的VPN的構建，連接和管理工作都是在PE上進行的。從PE的角度來看，用戶的一個連通的IP系統被視為一個site，每一個site通過CE與PE相連，site就構成了 VPN 的基本單元。一個VPN由多個site組成，一個site也可以同時屬于不同的VPN。對于任何兩個沒有共同的site的VPN都可以使用重疊的地址空間，即在用戶的私有網絡中使用自己獨立的地址空間，而不用考慮是否與其他VPN或公網的地址空間沖突，這就需要依賴于VPN 路由轉發實例(VPN Routing & Forwarding hstance，簡稱為 VRF)。圖2是根據圖1所示實施例骨干網邊緣路由器中VPN路由轉發實例與各個VPN之間的關系示意圖。如圖2所示，VRF只存在于PE上，在PE上針對每一個site都創建一個與之對應的VRF，每個VRF都包括一張路由表，一張轉發表，一組使用這個VRF的接口集合以及一組與之相關的策略。VRF可以被看作是一個虛擬的路由器。有關MPLS VPN的詳細描述見 RFC 2547。圖3是根據圖2所示實施例中的VPN路由發布的示意圖。采用RFC2547的方式使用BGP協議進行L3VPN路由的發布和學習。PE學習到VRF中的路由后，添加上VRF的RD組成VPNv4路由。再構造路由的 Route-target、標簽和其他屬性后，使用BGP的多協議擴展發送給BGP鄰居。鄰居接收后根據路由的Route-target屬性和VRF的Route-target配置的匹配情況，將路由發送到對應的VRF中。如圖3所示，具體的VPN路由發布流程如下PEl上接收到BGP的VPNv4路由的處理1、從VPNv4路由中解出相應的路由，并根據路由的route-target屬性，確定路由都要導出到哪些VRF中；2、路由中攜帶的標簽Li，就是數據報文的內層標簽；3、根據路由的下一跳信息，在標簽交換通道中查詢需要使用的標簽，就是標簽交換中的外層標簽；4、將以上得到的信息下發到轉發表，在轉發中進行使用。PE2上形成BGP的VPNv4路由過程1、把路由前綴和所在VRF的RD形成VPNv4路由；2、為VPNv4路由分配入標簽Ll ；3、根據路由所在的VRF的route-target配置，組織路由的route-targat屬性；4、設置路由的下一跳為自己，并組織路由的其他屬性，VPNv4路由形成。在VPN路由發布完成，即將路由發送到對應的VRF中之后，系統根據攜帶的標簽情況進行數據報文的轉發。圖4是根據圖2所示實施例中的VPN報文在MPLS VPN網絡中的轉發示意圖。采用RFC2M7的方式實現的L3VPN網絡中數據報文轉發過程。如圖4所示，具體的VPN報文轉發流程如下CEl向CE2發送數據報文在PEl上的處理1、根據報文入接口的vrf屬性獲得vpn的ID號；2、使用vpnID號和目的IP地址查找vrf表，得到出接口、內層出標簽(即VPN標簽)和外層出標簽(即P分配給PEl的標簽)；3、將內外兩層標簽封裝到報文中；4、將報文從出接口中轉發出去。假設此時查到的內層標簽和外層標簽分別是17，23，那么封裝后報文結構如下
Ip 包 Τ]23"CEl向CE2發送數據報文在P上的處理1、判斷該數據包是一個標簽包；2、取出第一層MPLS轉發標簽(本例中是23)；
3、根據此標簽查找標簽轉發表，得到出接口及下一跳及出標簽；4、如果出標簽不是3，那么說明下一跳不是LSP的末節點，那么就需要去除該數據報文的外層標簽，再封裝新的外層標簽；如果出標簽是3標簽，那么說明下一跳是LSP中的末節點，那么根據次末跳彈出規則需要將該報文的外層標簽去除后直接轉發，在本例中屬于第二種情況，于是去除23這個外層標簽，從出接口轉發出去。轉發的報文結構如下所示
~Ip 包17CEl向CE2發送數據報文在PE2上的處理1、判斷該數據包是一個標簽包；2、取出第一層MPLS轉發標簽(本例中是17)；3、先判斷是否有二次查找標記，如果有二次查找標記，那就需要根據該標簽獲取 vpnID號，再根據報文中的目的地址進行路由匹配查找轉發，如果沒有二次路由查找標記， 那就可以根據標簽直接查找到出接口進行報文轉發；4、根據查找到的出接口，將報文從出接接口轉發出去。在本例中就是將17標簽剝離后將報文轉發給CE2。轉發的報文結構如下所示
Ip包上述實施例中RFC2M7bis定義的L3VPN模型是一種平坦模型，網絡中的所有PE 節點的地位都是對等的。典型情況下每一個PE都需要處理所有的VPN路由，同時作為業務接入節點，需要處理眾多的用戶接入請求，相應的PE設備需要有足夠的端口，需要處理、轉發用戶的報文。網絡的擴展性受到資源最緊張的PE的制約，隨著網絡的擴展和用戶數的增加，原有的PE設備很容易成為網絡擴展的瓶頸，需要擴容升級。針對上述現有技術的由于每個PE都需要處理所有的VPN路由，導致虛擬私有網絡的擴展性較差的問題，目前還沒有有效的解決方案。

發明內容
本發明的主要目的在于提供一種虛擬私有網絡系統的構建方法及虛擬私有網絡系統，以解決現有技術的由于每個PE都需要處理所有的VPN路由，導致網絡的擴展性較差的問題。為了實現上述目的，根據本發明的一方面，提供了一種虛擬私有網絡系統。根據本發明的虛擬私有網絡系統包括中繼邊緣設備TPE，用于將虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；骨干虛擬私有網絡，包括一個或多個中繼邊緣設備TPE ；接入虛擬私有網絡，通過邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信息；其中，中繼邊緣設備TPE用于維護從骨干虛擬私有網絡或和/或接入虛擬私有網絡中的邊緣設備PE上接收到的VPN路由，并在重新分配內層標簽之后轉發VPN 路由至骨干虛擬私有網絡和/或述接入虛擬私有網絡中的邊緣設備APE。優選地，在骨干虛擬私有網絡中部署IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備TPE。
優選地，通過邊緣設備APE與中繼邊緣設備TPE建立IBGP或EBGP通信，以將獲取到的聚合路由標簽信息作為內層標簽封裝在外層隧道中進行轉發。優選地，在骨干虛擬私有網絡中部署靜態虛擬私有網絡協議，以在任意兩個中繼邊緣設備TPE之間建立靜態網絡通信。優選地，通過邊緣設備APE與中繼邊緣設備TPE建立靜態虛擬私有網絡協議，來獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。優選地，在骨干虛擬私有網絡中部署IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備TPE。優選地，通過邊緣設備APE與中繼邊緣設備TPE建立靜態虛擬私有網絡協議，以獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。優選地，在骨干虛擬私有網絡中部署靜態虛擬私有網絡協議，以在任意兩個中繼邊緣設備TPE之間建立靜態網絡通信。優選地，通過邊緣設備APE與中繼邊緣設備TPE建立IBGP或EBGP通信，來獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。優選地，系統還包括中間層邊緣設備MPE，位于中繼邊緣設備TPE和邊緣設備APE 之間。為了實現上述目的，根據本發明的另一個方面，提供了一種虛擬私有網絡系統的構建方法。根據本發明的虛擬私有網絡系統的構建方法包括通過中繼邊緣設備TPE將虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；將骨干虛擬私有網絡中的一個或多個中繼邊緣設備TPE建立通信關系，以維護從骨干虛擬私有網絡和/或接入虛擬私有網絡中的邊緣設備PE上接收到的VPN路由；接入虛擬私有網絡通過邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信息。優選地，中繼邊緣設備TPE還用于在重新分配內層標簽之后轉發VPN路由至骨干虛擬私有網絡和接入虛擬私有網絡中的邊緣設備APE。優選地，骨干虛擬私有網絡中的中繼邊緣設備TPE通過建立IBGP或EBGP通信來分發內層標簽；或者骨干虛擬私有網絡中的中繼邊緣設備TPE通過配置靜態路由來配置并分發內層標簽。優選地，接入虛擬私有網絡通過邊緣設備APE與中繼邊緣設備TPE建立IBGP或 EBGP通信來獲取內層標簽；或者，通過邊緣設備APE與中繼邊緣設備TPE建立靜態虛擬私有網絡協議，來獲取在邊緣設備APE中配置完成的內層標簽。為了實現上述目的，根據本發明的再一個方面，提供了一種虛擬私有網絡。根據本發明的虛擬私有網絡包括包括邊緣網絡設備PE，核心網絡設備P和用戶邊緣設備CE，還包括一個或多個中繼邊緣設備TPE，連接于邊緣網絡設備PE和核心網絡設備P之間，其中任意一個中繼邊緣設備TPE用于維護從邊緣設備PE和/或其它中繼邊緣設備TPE上接收到的VPN路由，并在重新分配內層標簽之后轉發VPN路由至邊緣設備PE和/ 或其它中繼邊緣設備TPE。優選地，邊緣網絡設備PE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信肩、ο優選地，中繼邊緣設備TPE之間建立IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備TPE。優選地，在邊緣網絡設備PE與中繼邊緣設備TPE之間建立IBGP或EBGP通信，以將獲取到的聚合路由標簽信息作為內層標簽封裝在外層隧道中進行轉發。優選地，在任意兩個中繼邊緣設備TPE之間建立靜態網絡通信。優選地，通過在邊緣網絡設備PE與中繼邊緣設備TPE之間建立靜態虛擬私有網絡協議，來獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。優選地，虛擬私有網絡還包括中間層邊緣設備MPE，位于中繼邊緣設備TPE和邊緣網絡設備PE之間。為了實現上述目的，根據本發明的再一個方面，提供了一種虛擬私有網絡系統。根據本發明的虛擬私有網絡系統包括虛擬私有網絡，包括骨干虛擬私有網絡； 一個或多個中繼邊緣設備TPE，設置于骨干私有網絡之中，中繼邊緣設備TPE彼此之間建立通信關系O優選地，虛擬私有網絡還包括接入虛擬私有網絡，中繼邊緣設備TPE將接入虛擬私有網絡中的vpn路由條目轉發至骨干虛擬私有網絡的任意一個或多個PE或TPE。為了實現上述目的，根據本發明的再一個方面，提供了一種虛擬私有網絡系統。根據本發明的虛擬私有網絡系統包括虛擬私有網絡，包括接入虛擬私有網絡； 一個或多個中繼邊緣設備TPE，設置于接入私有網絡之中，邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，用于將所有的vpn路由條目轉發給邊緣設備APE。優選地，虛擬私有網絡還包括骨干虛擬私有網絡，中繼邊緣設備TPE將接入虛擬私有網絡中的vpn路由條目再次轉發至骨干虛擬私有網絡的任意一個或多個PE或TPE。通過本發明，采用中繼邊緣設備TPE，用于將虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；骨干虛擬私有網絡，包括一個或多個中繼邊緣設備TPE ；接入虛擬私有網絡，通過邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信息；其中，中繼邊緣設備TPE用于維護從骨干虛擬私有網絡或接入虛擬私有網絡中的邊緣設備PE 上接收到的VPN路由，并在重新分配內層標簽之后轉發VPN路由。上述實施例通過弓丨入中繼邊緣設備(Trunk ΡΕ)的新角色，將虛擬私有網絡劃分為骨干L3VPN和接入L3VPN，即由于采用了中繼PE的拼接而實現了端到端的L3VPN，解決了現有技術的由于每個PE都需要處理所有的VPN路由，導致虛擬私有網絡的擴展性較差的問題，進而達到了提高大規模部署MPLS VPN擴展性的效果。


此處所說明的附圖用來提供對本發明的進一步理解，構成本發明的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中圖1是根據現有相關技術的MPLS VPN網絡架構示意圖；圖2是根據圖1所示實施例骨干網邊緣路由器中VPN路由轉發實例與各個VPN之間的關系示意圖；圖3是根據圖2所示實施例中的VPN路由發布的示意圖。圖4是根據圖2所示實施例中的VPN報文在MPLS VPN網絡中的轉發示意圖；圖5是根據本發明實施例的虛擬私有網絡系統的分層L3VPN架構示意圖；圖6是根據本發明實施例的虛擬私有網絡系統的構建方法的流程圖；圖7是根據本發明實施例的虛擬私有網絡系統的分層L3VPN架構示意圖；圖8是根據圖7所示實施例的分層的MPLS VPN靜態配置示意圖；圖9是根據圖8所示實施例的VPN報文在MPLS VPN網絡中轉發的關系示意圖。
具體實施例方式為了使本發明所要解決的技術問題、技術方案及有益效果更加清楚、明白，以下結合附圖和實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。圖5是本發明實施例的虛擬私有網絡系統的分層L3VPN架構示意圖。該典型的分層L3VPN網絡的組網圖，包括中繼邊緣設備TPE，用于將虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；骨干虛擬私有網絡，包括一個或多個中繼邊緣設備TPE;接入虛擬私有網絡，通過邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信息。其中，中繼邊緣設備TPE用于維護從骨干虛擬私有網絡和/或接入虛擬私有網絡中的邊緣設備PE上接收到的VPN路由，并在重新分配內層標簽之后轉發VPN路由至骨干虛擬私有網絡和/或接入虛擬私有網絡中的邊緣設備APE。優選地，中繼邊緣設備TPE涉及到的維護工作包括聚合和過濾該VPN路由的處理。上述實施例提供了一種端到端L3VPN網絡結構，通過引入中繼邊緣設備 TPE (Trunk ΡΕ)的新角色，將虛擬私有網絡劃分為骨干L3VPN和接入L3VPN，通過中繼PE的拼接，實現端到端的L3VPN，并為用戶提供端到端的L3VPN業務。這種網絡架構很大程度上解決大規模部署MPLS VPN遇到的擴展性問題。運營商可以根據業務需要靈活的建設、部署 L3VPN業務，骨干L3VPN和接入L3VPN可以分別演進，同時保護現有設備投資。即實現通過簡化L3VPN的部署方式提高網絡的可可擴展性和可管理性。具體的如圖5所示，該實施提供的端到端L3VPN網絡架構，包括骨干L3VPN和接入 L3VPN網絡，他們是由P設備，PE設備以及所接入用戶設備(CE)和站點(Site)組成的，其中，上述PE設備可以APE和中繼PE設備(TPE)，TPE設備作為骨干L3VPN的邊緣路由器接入所屬的接入L3VPN網絡。TPE設備是連接骨干L3VPN和接入L3VPN的邊界，TPE設備在接入L3VPN—側，維護從APE收到的路由及其內層標簽；然后TPE設備要將從接入側學習到的 VPN路由重新分配內層標簽并發布到骨干L3VPN的其它PE/TPE設備。TPE設備在骨干側，維護從骨干PE/TPE設備學習到的VPN路由，并通告VPN聚合路由或者默認路由給接入L3VPN 的PE設備，并分配標簽。其中，該實施例中的上邊緣節點(APE)功能等同于2547bis架構中的PE節點，為和TPE顯著區分，命名為APE，主要側重于用戶接入功能，以及處理本地接入的VPN站點的路由。本申請中的VPN路由信息包括內層標簽信息和下一跳信息。上述實施例中的虛擬私有網絡系統在具體實施過程中，其上的虛擬私有網絡可以包括邊緣網絡設備PE，核心網絡設備P和用戶邊緣設備CE，還可以包括一個或多個中繼邊緣設備TPE，連接于邊緣網絡設備PE和核心網絡設備P之間，其中任意一個中繼邊緣設備 TPE用于維護從邊緣設備PE和/或其它中繼邊緣設備TPE上接收到的VPN路由，并在重新分配內層標簽之后轉發VPN路由至邊緣設備PE和/或其它中繼邊緣設備TPE。優選地，上述邊緣網絡設備PE與其中一個中繼邊緣設備TPE建立通信，以獲取路由fn息。根據上述實施例中部署的端到端L3VPN網絡架構，接入L3VPN和骨干L3VPN的可以采用不同部署方式。可以分別采用各種IGP協議，可以分別采用現有的(以及將來的) 各種外層隧道技術；內層標簽分配可以采用BGP協議也可以采用靜態配置等其他方式。本發明上述實施例中，在骨干虛擬私有網絡中部署IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備TPE。優選地，該實施例中，過邊緣設備APE與中繼邊緣設備TPE建立 IBGP或EBGP通信，以將獲取到的聚合路由標簽信息作為內層標簽封裝在外層隧道中進行轉發。本發明上述實施例中，骨干虛擬私有網絡中部署靜態虛擬私有網絡協議，以在任意兩個中繼邊緣設備TPE之間建立靜態網絡通信。優選地，上述實施例中，通過邊緣設備 APE與中繼邊緣設備TPE建立靜態虛擬私有網絡協議，來獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。本發明上述實施例中，骨干虛擬私有網絡中部署IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備TPE。優選地，上述實施例中，過邊緣設備APE與中繼邊緣設備TPE建立靜態虛擬私有網絡協議，以獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。本發明上述實施例中，在骨干虛擬私有網絡中部署靜態虛擬私有網絡協議，以在任意兩個中繼邊緣設備TPE之間建立靜態網絡通信。優選地，上述實施例中，通過邊緣設備 APE與中繼邊緣設備TPE建立IBGP或EBGP通信，來獲取在邊緣設備APE中配置完成的內層標簽，并將配置好的內層標簽封裝在外層隧道中進行轉發。具體的，在上述分層模型的MPLS L3VPN網絡的實施過程中，通過增加一種類型的網絡節點中繼邊緣設備節點(TPE)來達到虛擬私有網絡分層的目的。通過在MPLS網絡中部署中繼節點(TPE)使得虛擬私有網絡被劃分為MPLS骨干區域和MPLS接入區域，骨干網由所有TPE和互聯TPE的P設備組成。上述各個實施例中的中繼節點(TPE)用來從邏輯上劃分虛擬私有網絡，將虛擬私有網絡劃分為骨干區域和接入區域。TPE節點主要側重于轉發功能，需要更多的報文處理和轉發能力，以及更多的路由處理能力。作為骨干區域的節點，TPE需要處理整個網絡的 L3VPN路由。上述各個實施例中的邊緣節點(APE)功能等同于2547bis架構中的PE節點，為和
1TPE顯著區分，命名為APE，主要側重于用戶接入功能，以及處理本地接入的VPN站點的路相應的L3VPN網絡被劃分為骨干L3VPN和接入L3VPN。TPE節點和P節點組成骨干L3VPN(T-L3VPN)，TPE節點和互聯APE組成接入L3VPN(A-L3VPN)。如果網絡規模非常大， 需要劃分更多的層次時，可以再增加一個中間層次MPE，相對骨干側ΤΡΕ,ΜΡΕ角色是APE ；相對APE，MPE的角色是TPE。綜上可知，本發明的核心在于通過擴展中繼節點(TPE)的功能，對VPN路由進行匯聚、過濾等處理，僅僅通過邊緣節點部署業務所必須的路由，從而減少對邊緣節點的處理能力的要求。在網絡升級改造時可以將從骨干L3VPN替換下來的設備部署到接入L3VPN的邊緣節點，從而節省投資。在實際應用及部署過程中，例如可以采用2M7bis定義的L3VPN功能，該功能主要可以分為信令面和轉發面。信令面主要是標簽分發和LSP建立，使用BGP協議作為信令協議分發內層標簽，外層隧道可以使用LDP隧道或者TE隧道，也可以使用靜態隧道。轉發層面，主要是根據分配好的標簽路徑轉發業務報文。本發明主要通過對信令面的擴展和簡化，提高L3VPN網絡的可擴展性和可管理性，簡化網絡部署和管理的復雜度。轉發面保持現有機制不變，對中繼節點轉發面要求能對通過TPE節點轉發的VPN流量進行兩層標簽彈出，并查找vrf路由表，然后再次封裝兩層標簽轉發的能力。在控制面，通過在TPE節點對路由進行聚合，由骨干L3VPN導入并充新發布到接入 L3VPN的路由過濾了無關路由，減少APE節點的負擔。從接入L3VPN學習到的路由不做過濾，全部發布到骨干L3VPN。TPE節點對L3VPN路由進行聚合、控制的方法，可以使用BGP協議提供的相應機制，也可以使用配置靜態L3VPN路由的方式。保證僅有APE必須的路由才通告給APE。根據L3VPN路由聚合粒度的不同，從路由完全沒有聚合(等價于2547bis)到最大程度聚合(僅通告每VRF—條默認路由)，根據運營商的業務管理和控制粒度，可以對路由聚合的粒度根據需要控制。可以是每VRF每標簽或者是每VRF每PEER每標簽等。在轉發面，對TPE節點需要的是，能夠進行二次查找，根據收到的報文攜帶的標簽確定VRF，然后再查一次VRF的路由表然后進行轉發。對外層隧道沒有特殊要求，現有的各種隧道機制均可使用。上述各種實施方式中，骨干虛擬私有網絡和接入虛擬私有網絡中可以部署不同的場景，或者混合使用，以適應各種應用場景。具體的，本發明上述實施例中，根據骨干L3VPN不同的TPE之間、接入L3VPN的TPE 和APE之間使用的標簽分配方式不同可以實現如下四種實施方式實施例一統一使用BGP作為信令協議的場景，TPE節點之間運行IBGP協議，TPE和APE之間可以運行IBGP或者EBGP，取決于TPE和APE的AS是否屬于同一個AS。具體的實施方式如下第一步在骨干L3VPN中部署IBGP協議，和2547bis方式完全相同。所有TPE對等，TPE之間建立鄰居關系，相互通告L3VPN路由。骨干L3VPN部署IGP協議，可以是ospf、 isis 等。
第二步在接入L3VPN，APE和TPE建立IBGP或^GP鄰居，APE向TPE通告所有本地L3VPN路由，TPE向APE通告聚合的路由。本例中采用IBGP方式，TPE作為本接入L3VPN 中所有APE的匯聚路由器，確保為所有從APE學習到的L3VPN路由分別重新分配一個標簽， 將路由的下一跳修改為TPE自己，并將所有修改后的標簽路由向其他TPE轉發。APE之間不需要建立鄰居關系。TPE向APE通告聚合路由，可以通告所有的VRF放入聚合路由，也可以通告指定VRF的聚合路由。各VRF通告的聚合路由粒度也可以不相同。在接入L3VPN部署 IGP協議，可以是ospf、isis等。上述步驟中，不同于傳統路由通告中基本的RR角色，在本發明中TPE在向其他TPE 反射路由的同時必須為路由重新分配一個標簽并修改路由下一跳為TPE自己。這樣可以規避單純的RR處理在本網絡模型中可能帶來的TE隧道跨域穿越問題和下行流量不經過MPE 時流量轉發不通等問題。TPE設備在骨干側和接入側部署不同的IGP協議或者不同IGP協議實例。如果TPE 不支持多實例，也可以通過不同的area (ospf協議)或者level (isis)隔離，這種情況下， 網絡擴展性受限于IGP的擴展性。第三步建立外層隧道，使骨干網TPE之間建立外層隧道，接入網TPE與APE之間建立外層隧道。每一段都可以配置靜態隧道或者MPLS-TE隧道，在骨干L3VPN和接入L3VPN 區域，外層隧道是分段建立的，TPE在轉發時會終結外層隧道并根據內層標簽查找不同的 vrf路由表進行轉發，所以隧道部署也可以簡化，不需要部署隧道跨area域或者AS域。完成以上步驟后，構建過程中，APE以從TPE學習到的聚合路由標簽為內層標簽， 封裝在隧道中進行轉發。到TPE后，根據標簽值就可以定位到對應的VRF中。然后根據數據報文的目的地進行查找路由表轉發。根據目的地不同，可能會封裝兩層標簽進行轉發。實施例二統一使用靜態標簽分配，整個L3VPN模型退化為靜態L3VPN，完全不需要部署BGP 協議。具體的實施方式如下第一步在骨干網TPE節點之間建立靜態L3VPN。第二步在接入網TPE節點和APE節點之間建立靜態L3VPN。在APE節點上配置去往遠端TPE、APE的路由條目，包括使用的內層標簽。第三步建立外層隧道，使骨干網和接入網部署外層隧道。完成以上步驟后，構建過程中，以配置的出標簽為內層標簽，封裝在隧道中進行轉發。到對端后，根據標簽值就可以定位到對應的VRF中。然后根據數據報文的目的地進行查找路由表轉發。實施例三骨干L3VPN使用BGP協議作為信令協議分配標簽，接入L3VPN使用靜態標簽分配。 具體的實施方式如下骨干網L3VPN部署方式同實施例一，接入L3VPN部署方式同時實例二。在TPE節點上，需要配置靜態路由導入BGP，把APE的路由通告給遠端TPE鄰居。實施例四骨干L3VPN使用靜態標簽分配，接入L3VPN使用BGP協議作為信令協議分配標簽。 具體的實施方式如下
骨干網L3VPN部署方式同實施例二，接入L3VPN部署方式同實施例一。在TPE節點上，TPE節點骨干網側使用靜態配置保證L3VPN路由可達，TPE節點接入側配置BGP路由協議通告默認路由給APE。這種場景下，各個接入L3VPN成為單獨的BGP路由域，相互之間沒有交互。本發明上述實施例中的網絡系統還可以包括中間層邊緣設備MPE，位于中繼邊緣設備TPE和邊緣設備APE之間。具體實施過程中，該實施例應用在如果網絡規模非常大， 需要劃分更多的層次，可以再增加一個中間層次MPE，相對骨干側ΤΡΕ,ΜΡΕ角色是APE;相對 APE, MPE的角色是TPE。實現了網絡分層結構的進一步擴展，圖6是根據本發明實施例的虛擬私有網絡系統的構建方法的流程圖。如圖6所示， 該方法包括如下步驟步驟S102，通過中繼邊緣設備TPE將虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡。步驟S104，將骨干虛擬私有網絡中的一個或多個中繼邊緣設備TPE建立通信關系，以維護從骨干虛擬私有網絡和/或接入虛擬私有網絡中的邊緣設備PE上接收到的VPN路由。步驟S106，接入虛擬私有網絡通過邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信息。優選地，在獲取路由信息之后，接入虛擬私有網絡將路由信息封裝在外層隧道中進行轉發，此處的路由信息可以是VPN路由。本發明上述實施例提供了一種端到端L3VPN的實現方式。通過對引入TPE角色， 將虛擬私有網絡劃分為骨干L3VPN和接入L3VPN，并為用戶提供端到端的L3VPN業務，解決目前的MPLS VPN所遇到的擴展性問題。運營商可以根據業務需要靈活的建設、部署L3VPN 業務，骨干L3VPN和接入L3VPN可以分別演進，同時保護現有設備投資。上述實施例中，中繼邊緣設備TPE還用于在重新分配內層標簽之后轉發VPN路由至所述骨干虛擬私有網絡和接入虛擬私有網絡中的邊緣設備APE。結合圖5所示的網絡架構圖，本方法實施例中，TPE設備是連接骨干L3VPN和接入 L3VPN的邊界，TPE設備在接入L3VPN —側，維護從PE收到的路由及其內層標簽；然后TPE 設備要將從接入側學習到的VPN路由重新分配內層標簽并發布到骨干L3VPN的其它PE/TPE 設備。TPE設備在骨干側，維護從骨干PE/TPE設備學習到的VPN路由，并通告VPN聚合路由或者默認路由給接入L3VPN的PE設備，并分配標簽。根據本發明部署的端到端L3VN中，接入L3VPN和骨干L3VPN的可以采用不同部署方式。可以分別采用各種IGP協議，可以分別采用現有的(以及將來的)各種外層隧道技術；內層標簽分配可以采用BGP協議也可以采用靜態配置等其他方式。優選地，上述實施例中，骨干虛擬私有網絡中的中繼邊緣設備TPE通過建立IBGP 或EBGP通信來分發內層標簽；或者骨干虛擬私有網絡中的中繼邊緣設備TPE通過配置靜態路由來配置并分發內層標簽。優選地，上述實施例中，接入虛擬私有網絡通過邊緣設備APE與中繼邊緣設備TPE 建立IBGP或EBGP通信來獲取內層標簽；或者，通過邊緣設備APE與中繼邊緣設備TPE建立靜態虛擬私有網絡協議，來獲取在邊緣設備APE中配置完成的內層標簽。結合本發明圖5所示實施例的四種網絡部署實施方式，下面針對本發明的四種實施場景的方法實施流程做進一步的闡述。本發明可以包括如下幾種方法實施例應用在實施例一場景中的實施例五，該方法流程如下具體的，本實施例采用如圖7所示的網絡結構，硬件部分由七臺路由器組成，其中 2臺作為私有網絡客戶端CE，二臺作為接入邊緣路由器APE，兩臺作為TPE路由器，一臺作為P路由器。組網如圖7所示。這里僅僅給出一個實例，組建一個最基本的基于BGP協議的分層L3VPN網絡，在TPE和APE設備使用本發明所述的方式實現分層L3VPN網絡，然后兩端CE互發VPN數據報文，流量能夠互通。軟件部分的處理步驟如下第1步在骨干L3VPN，在TPEl節點和TPE2節點之間包括P節點開啟MPLS，建立 MPLS標簽交換通道LSP。保證L3VPN的外層隧道正常。IGP使用OSPF協議，TPE節點上使用ospf進程1處理骨干L3VPN路由。也可以使用ISIS協議。第2步在接入L3VPN，在TPE節點和APE節點上，分別為CE創建VRF。在APE節點和TPE節點之間開啟MPLS，建立MPLS標簽交換路徑，保證L3VPN外層隧道正常。IGP使用 OSPF協議，在TPE節點上使用ospf進程2處理接入L3VPN路由。也可以使用ISIS協議。第3步在CE1，CE2上配置到達對端的路由，路由的下一跳指向各自相連的APE設備，APEl和APE2分別配置到CEl和CE2的路由。如圖5所示的CEl上的ip route XXX2 XXXX2 APE1，APE1上ip route XXX2 XXXX2CE1。注APE和CE之間可以運行各種路由協議或者配置靜態路由，本例使用靜態路由。第4步在APEl和TPEl上分別配置VRF的。在APEl配置MP-BGP配置方式同 2547bis MPLS VPN配置。情況如圖7所示在APEl上配置TPEl作為自己的IBGP鄰居，并支持VPNv4地址族。在TPEl上配置MP-BGP，配置APEl作為自己的IBGP鄰居，并支持VPNv4 地址族，并配置鄰居為自己的APE (neighbor neighbor-id ape)，配置向APE通告指定vrf 白勺I犬認各由(neighbor neighbor-id default-originate vrf vrf-name)。APE2 禾口 TPE2 做相同配置。第5步在TPEl和TPE2上配置IBGP鄰居，并激活VPNv4路由。TPEl將為所有從 APEl學習到的VPN路由條目分別重新分配一個標簽并修改下一跳為TPEl自己，并將修改后的標簽路由通告到其他TPE，從而對其他TPE屏蔽了 APE的存在。TPEl從其他TPE學習到的VPN路由條目，根據配置的過濾策略向APE通告。本例中TPEl只向APEl通告一條vrf 內的默認路由。其他TPE也做相同配置。第6步配置完成后。CEl和CE2互相發包，流量可以互通。通過本發明所描述的方式建立的L3VPN網絡能夠正常使用。應用在實施例二場景中的實施例六，該方法流程如下 硬件組成及網絡拓撲同與上述實施例五相同。這里僅僅給出一個實例，組建一個最基本分層靜態L3VPN網絡。在TPE和APE設備使用本發明所述的方式實現分層L3VPN網絡，然后兩端CE互發VPN數據報文，流量能夠互通。軟件部分的處理步驟如下第1步在骨干L3VPN，在TPEl節點和TPE2節點之間包括P節點開啟MPLS，建立 MPLS標簽交換通道LSP。保證骨干L3VPN的外層隧道正常。IGP協議同實施例五。第2步在接入L3VPN，在TPE節點和APE節點上，分別為CE創建VRF。在APE節點和TPE節點之間開啟MPLS，建立MPLS標簽交換路徑，保證L3VPN外層隧道正常。IGP協議同實施例五。第3步在CE1，CE2上分配到達對端的路由，路由的下一跳指向各自相連的APE節點。如圖5和圖8所示的CEl上的ip route XXX2 XXXX2 APEl部分配置。CE2配置相同。第4步在APEl和TPEl上分別配置VRF的入標簽值。配置情況如圖5所示的APEl 上的 VRFl 中 h-label:Ll 配置，在 TPEl 上的 VRFl 中 h_label:L2 配置。APE2 和 TPE2 做同樣配置。第5步在APEl和TPEl上分別配置去往對端使用的出標簽值，需要和對端的入標簽值相對應。配置情況如圖5和圖8所示中APEl上的VRFl中next-hop TPEl out-label L2 配置，在 TPEl 上的 VRFl 中 next-hop:TPEl out-label Ll 配置。APE2 和 TPE2 做同樣配置。第6步在TPEl和TPE2上的VRF中分配配置去往對端VPN的靜態路由。配置情況如圖 5 和圖 8 所示中 TPEl 上的 VRFl 中 ip route vrf VRFl XXX2 XXXX2 TPE2 global 部分的配置，TPEl 上的 VRFl 中 Ip route vrf VRFl XXX2XXXX2 TPEl global 部分的配置。第7步配置完成后，如圖9所示，本發明實施例CEl和CE2互相發包，流量可以互通，具體的VPN報文在MPLS VPN網絡中轉發的具體方式如下CEl向CE2發送數據報文在PEl上的處理1、根據報文入接口的vrf屬性獲得vpn的ID號；2、使用vpnID號和目的IP地址查找vrf表，得到出接口、內層出標簽(即VPN標簽)和外層出標簽(即P分配給PEl的標簽)；3、將內外兩層標簽封裝到報文中；4、將報文從出接口中轉發出去。假設此時查到的內層標簽和外層標簽分別是17，23，那么封裝后報文結構如下
權利要求
1.一種虛擬私有網絡系統，其特征在于，包括中繼邊緣設備TPE，用于將所述虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；所述骨干虛擬私有網絡，包括一個或多個所述中繼邊緣設備TPE ；所述接入虛擬私有網絡，通過邊緣設備APE與其中一個所述中繼邊緣設備TPE建立通信，以獲取路由信息；其中，所述中繼邊緣設備TPE用于維護從所述骨干虛擬私有網絡和/或所述接入虛擬私有網絡中的邊緣設備PE上接收到的VPN路由，并在重新分配內層標簽之后轉發所述VPN 路由至所述骨干虛擬私有網絡和/或所述接入虛擬私有網絡中的邊緣設備APE。
2.根據權利要求1所述的系統，其特征在于，在所述骨干虛擬私有網絡中部署IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備 TPE。
3.根據權利要求2所述的系統，其特征在于，通過所述邊緣設備APE與所述中繼邊緣設備TPE建立IBGP或EBGP通信，以將獲取到的所述聚合路由標簽信息作為內層標簽封裝在外層隧道中進行轉發。
4.根據權利要求1所述的系統，其特征在于，在所述骨干虛擬私有網絡中部署靜態虛擬私有網絡協議，以在任意兩個中繼邊緣設備 TPE之間建立靜態網絡通信。
5.根據權利要求4所述的系統，其特征在于，通過所述邊緣設備APE與所述中繼邊緣設備TPE建立靜態虛擬私有網絡協議，來獲取在所述邊緣設備APE中配置完成的內層標簽，并將配置好的所述內層標簽封裝在外層隧道中進行轉發。
6.根據權利要求1所述的系統，其特征在于，在所述骨干虛擬私有網絡中部署IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備 TPE。
7.根據權利要求6所述的系統，其特征在于，通過所述邊緣設備APE與所述中繼邊緣設備TPE建立靜態虛擬私有網絡協議，以獲取在所述邊緣設備APE中配置完成的內層標簽，并將配置好的所述內層標簽封裝在外層隧道中進行轉發。
8.根據權利要求1所述的系統，其特征在于，包括在所述骨干虛擬私有網絡中部署靜態虛擬私有網絡協議，以在任意兩個中繼邊緣設備 TPE之間建立靜態網絡通信。
9.根據權利要求8所述的系統，其特征在于，包括通過所述邊緣設備APE與所述中繼邊緣設備TPE建立IBGP或EBGP通信，來獲取在所述邊緣設備APE中配置完成的內層標簽，并將配置好的所述內層標簽封裝在外層隧道中進行轉發。
10.根據權利要求1-9中任意一項所述的系統，其特征在于，所述系統還包括中間層邊緣設備MPE，位于所述中繼邊緣設備TPE和所述邊緣設備APE之間。
11.一種虛擬私有網絡系統的構建方法，其特征在于，包括通過中繼邊緣設備TPE將所述虛擬私有網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；將所述骨干虛擬私有網絡中的一個或多個所述中繼邊緣設備TPE建立通信關系，以維護從所述骨干虛擬私有網絡和/或所述接入虛擬私有網絡中的邊緣設備PE上接收到的VPN 路由；所述接入虛擬私有網絡通過邊緣設備APE與其中一個所述中繼邊緣設備TPE建立通信，以獲取路由信息。
12.根據權利要求11所述的方法，其特征在于，所述中繼邊緣設備TPE還用于在重新分配內層標簽之后轉發所述VPN路由至所述骨干虛擬私有網絡和/或所述接入虛擬私有網絡中的邊緣設備APE。
13.根據權利要求12所述的方法，其特征在于，所述骨干虛擬私有網絡中的中繼邊緣設備TPE通過建立IBGP或EBGP通信來分發內層標簽；或者所述骨干虛擬私有網絡中的中繼邊緣設備TPE通過配置靜態路由來配置并分發內層標簽。
14.根據權利要求12所述的方法，其特征在于，所述接入虛擬私有網絡通過所述邊緣設備APE與所述中繼邊緣設備TPE建立IBGP或EBGP通信來獲取內層標簽；或者，通過所述邊緣設備APE與所述中繼邊緣設備TPE建立靜態虛擬私有網絡協議，來獲取在所述邊緣設備APE中配置完成的內層標簽。
15.一種虛擬私有網絡系統，其特征在于，包括虛擬私有網絡，包括骨干虛擬私有網絡；一個或多個中繼邊緣設備TPE，設置于所述骨干私有網絡之中，所述中繼邊緣設備TPE 彼此之間建立通信關系。
16.根據權利要求15所述的系統，其特征在于，所述虛擬私有網絡還包括接入虛擬私有網絡，所述中繼邊緣設備TPE將所述接入虛擬私有網絡中的vpn路由條目轉發至所述骨干虛擬私有網絡的任意一個或多個PE或TPE。
17.一種虛擬私有網絡系統，其特征在于，包括虛擬私有網絡，包括接入虛擬私有網絡；一個或多個中繼邊緣設備TPE，設置于所述接入私有網絡之中，邊緣設備APE與其中一個所述中繼邊緣設備TPE建立通信，用于將所有的VPN路由條目轉發給所述邊緣設備APE。
18.根據權利要求17所述的系統，其特征在于，所述虛擬私有網絡還包括骨干虛擬私有網絡，所述中繼邊緣設備TPE將所述接入虛擬私有網絡中的vpn路由條目再次轉發至所述骨干虛擬私有網絡的任意一個或多個PE或TPE。
19.一種虛擬私有網絡，包括邊緣網絡設備PE，核心網絡設備P和用戶邊緣設備CE， 其特征在于，還包括一個或多個中繼邊緣設備TPE，連接于所述邊緣網絡設備PE和所述核心網絡設備P之間，其中任意一個中繼邊緣設備TPE用于維護從所述邊緣設備PE和/或其它中繼邊緣設備 TPE上接收到的VPN路由，并在重新分配內層標簽之后轉發所述VPN路由至所述邊緣設備 PE和/或其它中繼邊緣設備TPE。
20.根據權利要求19所述的虛擬私有網絡，其特征在于，所述邊緣網絡設備PE與其中一個所述中繼邊緣設備TPE建立通信，以獲取路由信息。
21.根據權利要求20所述的虛擬私有網絡，其特征在于，所述中繼邊緣設備TPE之間建立IBGP協議，使用BGP協議作為信令協議將任意一個中繼邊緣設備TPE過濾后的聚合路由標簽信息分發至其他與其相互對等的中繼邊緣設備TPE。
22.根據權利要求20所述的虛擬私有網絡，其特征在于，在所述邊緣網絡設備PE與所述中繼邊緣設備TPE之間建立IBGP或EBGP通信，以將獲取到的所述聚合路由標簽信息作為內層標簽封裝在外層隧道中進行轉發。
23.根據權利要求20所述的虛擬私有網絡，其特征在于，在任意兩個中繼邊緣設備TPE 之間建立靜態網絡通信。
24.根據權利要求20所述的虛擬私有網絡，其特征在于，通過在所述邊緣網絡設備PE 與所述中繼邊緣設備TPE之間建立靜態虛擬私有網絡協議，來獲取在所述邊緣設備APE中配置完成的內層標簽，并將配置好的所述內層標簽封裝在外層隧道中進行轉發。
全文摘要
本發明公開了一種虛擬私有網絡系統的構建方法及虛擬私有網絡系統，其中，該虛擬私有網絡系統包括中繼邊緣設備TPE，用于將網絡劃分為骨干虛擬私有網絡和接入虛擬私有網絡；骨干虛擬私有網絡，包括一個或多個中繼邊緣設備TPE；接入虛擬私有網絡，通過邊緣設備APE與其中一個中繼邊緣設備TPE建立通信，以獲取路由信息，上述實施例通過引入中繼(Trunk PE)的新角色，將虛擬私有網絡劃分為骨干L3VPN和接入L3VPN，即由于采用了中繼PE的拼接而實現了端到端的L3VPN。通過本發明，能夠提高大規模部署MPLSVPN擴展性。
文檔編號H04L12/56GK102394804SQ20111034175
公開日2012年3月28日 申請日期2011年11月2日 優先權日2011年11月2日
發明者張亞旭 申請人:中興通訊股份有限公司