CN100484080C - 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 - Google Patents
一种虚拟私有网的路由引入方法、系统和运营商边缘设备 Download PDFInfo
- Publication number
- CN100484080C CN100484080C CNB2007101177530A CN200710117753A CN100484080C CN 100484080 C CN100484080 C CN 100484080C CN B2007101177530 A CNB2007101177530 A CN B2007101177530A CN 200710117753 A CN200710117753 A CN 200710117753A CN 100484080 C CN100484080 C CN 100484080C
- Authority
- CN
- China
- Prior art keywords
- route
- vpn
- introducing
- equipment
- ert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟私有网的路由引入方法,包括:在发布引入路由的路由信息的运营商边缘PE设备中,将需要引入的路由加入本PE设备的引入该路由的VPN中,设置所述引入路由的ERT,并将引入路由的入口VPN设置为引入该路由的VPN;通过所述引入路由的VPN发布所述引入的路由。本发明还公开了一种PE设备和虚拟私有网的路由引入系统。应用本发明,能够保证在集中式VPN NAT组网等应用环境下,实现对报文在引入路由VPN下的相应处理。
Description
技术领域
本发明涉及虚拟私有网(VPN)技术,特别涉及一种VPN的路由引入方法、系统和运营商边缘(PE)设备。
背景技术
VPN具有在共享网络中通过多种技术(如隧道、加密等)实现专用网络的能力,并能够在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。MPLS VPN是目前普遍应用的一种VPN技术,它使用IP网络中的MPLS标记交换路径(LSP),在VPN站点之间传送数据。图1即为MPLS VPN的组网示意图。如图1所示,在MPLS VPN组网中,包括三个组成部分:用户网络边缘(CE)设备、PE设备和运营商(P)设备。其中,CE设备是用户驻地网络的一个组成部分,通过PE设备上的VPN路由转发(VRF)接口与PE设备互联,一般是路由器;PE设备是运营商网络的边缘设备;P设备是MPLS骨干网路由器,它不与CE直接相连,需要具备MPLS基本信令功能和转发功能。MPLS VPN的基本框架是两层的标签,公网的标签保证数据报文送到某个指定的PE设备,私网标签保证报文送到某个指定的VPN。
一般情况下,不同的VPN之间的网络通常是相互隔离的,而在某些特殊应用下,存在跨VPN访问的应用。例如,对于某个公司网络,一般会按部门划分为若干个VPN,各个部门VPN之间网络相互隔离,但仍然会有各个部门之间共享的服务器,因此必须提供跨VPN访问的功能。
例如,在图1所示的组网环境中,PE设备PE1上配置了VPN1和VPN2,PE设备PE2上配置了VPN1,由于CE设备CE3与CE设备CE2属于不同的VPN,因此若不采取VPN间路由引入等方式,CE3无法访问CE2。具体地,由于CE3、PE2和PE1均支持VPN1,所以CE3可以通过VPN1中的路由将报文发送至PE1,由于该路由属于VPN1,其私网标签为VPN1,因此报文沿该路由到达PE1后确定其入口VPN为VPN1,于是该报文被送入VPN1中。但是由于PE1的VPN1中并不存在PE1到CE2间的路由(因为CE2不支持VPN1),所以无法将被送入VPN1的报文发送至CE2。这时,通过跨VPN访问,则可以实现CE3访问CE2。
跨VPN访问可以通过VPN间路由引入、以及配置跨VPN静态路由等多种方式实现。由于配置VPN静态路由的方式配置复杂、且灵活性差,因此实际应用中,大多采用VPN间路由引入的方式实现跨VPN访问。
在图1所示的组网环境下,当CE3要访问CE2时,可以通过将VPN2中PE1与CE2间的路由R1引入VPN1来实现,在该引入过程中,VPN1为引入路由的VPN,VPN2为引出路由的VPN。具体路由引入过程包括以下步骤:
步骤1:在PE1、PE2上建立组播协议边界网关协议(MBGP)连接,在PE1设备上配置将路由R1引入到VPN1中。
步骤2:PE1将引出路由的VPN(即VPN2)设置为路由R1的入口VPN,将路由R1的ERT设置为VPN2下配置的ERT。
本步骤中,路由R1的入口VPN被设置为引出该路由的VPN,即VPN2。具体将路由R1的入口VPN设置为VPN2的方式为:生成属于VPN2的私网标签,并为路由R1加上生成的该私网标签。经过本步骤操作后,由于路由R1的入口VPN为VPN2,因此认为路由R1的属性并未改变,仍然属于VPN2。在路由发布过程中,涉及到路由的路由目标属性,该属性分为两种,一种是出口路由目标(ERT)属性,另一种是入口路由目标(IRT)属性。任意VPN下可以配置多个ERT和IRT属性。路由信息在发布时需要携带在某VPN下的ERT属性,当某PE设备接收到该路由信息后,会将自身保存的各个VPN下的IRT属性与路由携带的ERT属性进行匹配,匹配成功的VPN就可以接收该路由信息,将其加入到自身的路由表中。本步骤中,路由R1携带的ERT属性为VPN2下的ERT属性,也就是引出该路由的VPN下的ERT属性。
步骤3:PE1通过引出路由的VPN将路由R1发布给PE2。其中,PE1可以通过VPN2,采用边界网关协议(BGP)发布路由R1。
步骤4:PE2将路由R1引入PE2支持的引入路由的VPN(即VPN1)中。
本步骤中,为使PE2的引入路由的VPN(即VPN1)能够引入路由R1,在PE2预先配置VPN1下的其中一种IRT属性为与路由R1的ERT相匹配,也就是与VPN2下的ERT相匹配。这样,PE2收到通过BGP发布的路由R1后,根据该路由的ERT属性确定VPN1的IRT与该路由R1的ERT相匹配,于是将该路由R1引入VPN1对应的路由表中,形成VPN1对应的转发信息(FIB)表中的一条转发项,利用该转发项即可以查找到下一跳地址和相应信息。
经过上述路由引入过程后,CE3即可以访问CE2。具体地,CE3访问CE2的报文转发流程为:CE3将发给CE2的报文交给和它相连的PE2的VRF接口,由于在此之前PE2已将路由R1引入了VPN1中,因此可以在VPN1对应的FIB表查找到到达CE2的引入路由R1和R1的私网标签(即VPN2的私网标签)及公网下一跳地址;然后把报文封装上私网标签,并根据公网下一跳地址查找公网标签,再封装一层公网标签后将报文交给MPLS转发。当该报文根据公网标签转发到PE1后,根据其私网标签确定入口VPN,并被送入该入口VPN(即VPN2)中。在VPN2对应的FIB表中记录有到达CE2的路由,因此通过查找该FIB表即可以将报文转发到CE2。由上述可见,通过动态路由的引入,便能够实现CE3访问CE2的报文转发流程。
但是,该设置方式将导致进行跨VPN访问时无法对报文在引入路由的VPN中进行处理,从而在一些特殊的应用场合限制应用的实现。
例如,在集中式VPN网络地址转换(NAT)组网环境下(以图2为例),由于不同VPN间的报文可能存在网络地址不匹配的状况(例如VPN1下的网络地址为IPv4,在VPN2下的网络地址为IPv6),这时当进行跨VPN访问时,需要对网络地址进行转换后再进入其它VPN中。但是如果应用上述的路由引入方法,则无法对转发报文进行NAT转换处理。
具体来说,如图2所示,通常在集中式VPN NAT组网环境的网络配置状况为:PE1是一个集中完成NAT转换的PE设备,在其中利用一个公共VPN(VPN_PUB)保存所有的路由信息,并且在PE1的各个VPN(VPN1、VPN2等)内分别配置对应的NAT转换规则。当报文进入PE1的某VPN后,PE1根据在入口VPN中配置的NAT转换规则对该报文进行NAT转换。
以PE2访问PE3为例,要求PE2的报文首先到达PE1中利用VPN1对应的NAT转换规则进行NAT转换,然后再通过MPLS骨干网的P设备将报文转发到PE3。为实现上述目的,可以依照前述方法将PE1与PE3间的路由引入到PE2的VPN1中,于是便能实现将报文由PE2转发到PE1进而转发到PE3的目的。由前述可知,在引入路由的过程中,VPN_PUB即为引出路由的VPN,而VPN1即为引入路由的VPN。
在完成路由引入后,引入的路由的私网标签为引出路由VPN的私网标签(即VPN_PUB的私网标签)。当PE2要访问PE3时,具体流程为:PE2接收到转发给PE3的报文后,在引入路由的VPN(即VPN1)对应的FIB表中查找到引入路由的私网标签(即VPN_PUB的私网标签)及公网下一跳地址,然后将报文依次封装上私网标签和公网标签后将报文转发到PE1。由于该报文的私网标签为VPN_PUB的私网标签,因此报文到达PE1后确定的入口VPN为VPN_PUB,该报文即被送入VPN_PUB中处理。然而,对于来自于PE2的VPN1的报文,进行NAT转换的规则对应保存在PE1的VPN1中,而不同VPN间相互隔离,因此无法应用VPN1下的NAT转换规则对VPN_PUB下的报文进行NAT转换,那么由于VPN3无法识别VPN1下的网络地址,因此虽然该报文被转发到了PE1,但是由于不能进行NAT转换,也就无法在VPN3中被识别从而完成转发。
由上述可见,目前的VPN路由引入方法中,由于将引出路由的VPN设置为引入路由的入口VPN,导致对于集中式VPN NAT等组网环境下,无法在引入路由的VPN中对转发报文进行处理。
发明内容
有鉴于此,本发明提供一种VPN的路由引入方法,能够实现在集中式VPN NAT等组网环境下,在引入路由的VPN中对转发报文进行处理。
本发明还提供一种PE设备和VPN的路由引入系统,能够实现在集中式VPN NAT等组网环境下,在引入路由的VPN中对转发报文进行处理。
为实现上述目的,本发明采用如下的技术方案:
一种虚拟私有网VPN的路由引入方法,包括:
在发布引入路由的路由信息的运营商边缘PE设备中,将需要引入的路由加入到本PE设备的引入该路由的VPN中,设置所述引入路由的ERT与引入该路由的VPN下配置的IRT相匹配,并将引入路由的入口VPN设置为所述引入该路由的VPN;通过所述引入该路由的VPN发布所述引入的路由。
较佳地,所述将引入路由的入口VPN设置为引入该路由的VPN为:为所述引入的路由加上属于所述引入该路由的VPN的私网标签。
较佳地,所述设置引入路由的ERT为:将所述引入路由的ERT设置为所述引入该路由的VPN下配置的IRT相匹配。
较佳地,所述将需要引入的路由加入到本PE设备的引入该路由的VPN中为:将需要引入的路由加入到本PE设备保存的对应引入该路由的VPN的路由表中。
较佳地,在将需要引入的路由加入到本PE设备的引入该路由的VPN中之前,该方法进一步包括:根据当前的VPN组网环境和预先设定的路由引入策略,判断是否需要改变引入的路由的属性,若是,则继续执行所述将需要引入的路由加入引入该路由的VPN中的操作;
否则,将引出该路由的VPN设置为引入的路由的入口VPN,将所述引入的路由的ERT设置为引出路由的VPN下的ERT,并通过该引出路由的VPN发布该路由,并结束当前流程。
较佳地,所述路由引入策略为:在集中式VPN网络地址转换NAT的组网环境下,改变所述引入的路由的属性。
较佳地,所述发布引入路由的路由信息的PE设备为支持所述引入该路由的VPN的第一PE设备;
该方法进一步包括:
支持所述引入该路由VPN的第二PE设备接收所述第一PE设备发布的所述引入的路由,并将该引入的路由引入到第二PE设备的所述引入该路由的VPN中;第二PE设备将需要沿所述引入的路由转发的报文发送给第一PE设备;第一PE设备将该报文送入所述引入该路由的VPN处理。
一种PE设备,包括第一路由引入单元、第一VPN对应的路由信息单元和路由发布单元:
所述第一路由引入单元,用于将需要引入的路由加入到本PE设备的第一VPN对应的路由信息单元中,设置所述引入的路由的ERT与引入该路由的VPN下配置的IRT相匹配,并设置引入路由的入口VPN为引入该路由的VPN;
所述第一VPN对应的路由信息单元,用于保存所述引入路由的VPN下的路由信息;
所述路由发布单元,用于发布所述引入该路由的VPN对应的路由信息单元中完成设置的路由。
较佳地,所述第一路由引入单元包括设置子单元和私网标签生成子单元,
所述私网标签生成子单元,用于生成属于所述引入该路由的VPN的私网标签,发送给所述设置子单元;
所述设置子单元,用于将所述引入的路由加入第一VPN对应的路由信息单元中,将所述私网标签加入到所述引入的路由中,并设置所述引入的路由的ERT。
较佳地,所述设置子单元,用于将所述引入路由的ERT设置为所述引入路由的VPN下的ERT。
较佳地,该PE设备进一步包括策略判决单元、第二路由引入单元和引出路由的第二VPN对应的路由信息单元;
所述策略判决单元,用于根据当前组网环境和自身保存的路由引入策略,判断是否需要改变引入的路由的属性,当需要改变时,通知所述第一路由引入单元所述引入的路由和所述引入该路由的VPN信息;当不需要改变时,通知所述第二路由引入单元所述引入的路由和所述引入该路由的VPN信息;
所述第二路由引入单元,用于将保存在所述第二VPN对应的路由信息单元中的所述引入的路由的入口VPN设置为引出路由的VPN,并设置引入路由的ERT为引出路由的VPN下的ERT;
所述第二VPN对应的路由信息单元,用于保存引出路由的VPN下的路由信息;
所述路由发布单元,用于发布所述第二VPN对应的路由信息单元中完成设置的路由。
一种路由引入引出系统,包括第一PE设备和第二PE设备,
所述第一PE设备,用于将需要引入的路由加入到自身支持的引入路由的VPN中,设置所述引入路由的ERT与引入该路由的VPN下配置的IRT相匹配,并将所述引入路由的入口VPN设置为引入该路由的VPN,通过所述引入该路由的VPN发布所述引入路由;接收所述第二PE设备沿所述引入的路由转发来的报文,并将该报文送入本身的所述引入路由的VPN处理;
所述第二PE设备,用于接收所述第一PE设备发布的所述引入的路由,并将该引入的路由引入到第二PE设备的所述引入该路由的VPN中;将需要沿所述引入的路由转发的报文发送给第一PE设备。
由上述技术方案可见,本发明在进行VPN的路由引入时,首先在发布引入路由的路由信息的PE设备中,将需要引入的路由加入到本PE设备的引入该路由的VPN中;然后设置引入路由的ERT,并将引入路由的入口VPN设置为引入该路由的VPN;最后,通过引入路由的VPN发布引入的路由。通过上述流程发布的路由信息中将路由的入口VPN设置为引入该路由的VPN,这样,在报文沿引入的路由转发时,即被送入引入路由的VPN中,从而能够保证在集中式VPN NAT组网等应用环境下,于引入路由的VPN下对报文进行相应处理;另外,由于将引入的路由加入到引入路由的VPN中,从而在报文被送入引入该路由的VPN后,还可以在该VPN中正常进行下一跳转发。
更进一步地,发布引入路由的路由信息的PE设备中,还可以在将需要引入的路由加入到本PE设备的引入该路由的VPN前,根据网络环境和路由引入策略,判断是否需要改变引入的路由的属性,当确定需要改变(例如,在集中式VPN NAT组网环境下)时,将该引入的路由加入到本PE设备的引入该路由的VPN中,并设置引入路由的VPN为引入的路由的入口VPN,发布该路由;当确定不需要改变时,仍然沿用背景技术描述的方式,将引出路由的VPN设置为该引入的路由的入口VPN,发布该路由。这样,就可以根据不同的组网环境,灵活地应用本发明的方法进行VPN的路由引入。
附图说明
图1为目前通过路由引入引出方式实现跨VPN访问的示意图。
图2为集中式VPN NAT组网环境示意图。
图3为本发明提供的VPN路由引入方法的总体流程图。
图4为本发明提供的PE设备的总体结构图。
图5为本发明实施例一中VPN路由引入方法的具体流程图。
图6为本发明实施例一中PE设备的具体结构图。
图7为本发明实施例一中VPN路由引入系统的具体结构图。
图8为本发明实施例二中VPN路由引入方法的具体流程图。
图9为本发明实施例二中PE设备的具体结构图。
具体实施方式
为使本发明的目的、技术手段和优点更加清楚明白,以下结合附图对本发明作进一步详细描述。
本发明的基本思想是:在进行VPN的路由引入时,将引入的路由的入口VPN设置为引入该路由的VPN,以确保可以对沿该引入路由进入PE设备的报文在引入该路由的VPN下进行相应的处理。
图3为本发明提供的VPN路由引入方法的总体流程图。如图3所示,该方法包括:
步骤301,发布引入路由的路由信息的PE设备,将需要引入的路由加入到本PE设备的引入该路由的VPN中,设置引入路由的ERT,并将引入路由的入口VPN设置为引入该路由的VPN。
本步骤将引入的路由加入引入该路由的VPN中,且将该引入路由的入口VPN设置为引入该路由的VPN,则认为该引入的路由的属性已被改变,完全属于引入路由的VPN。
本发明中,设置引入路由的ERT时需要保证与接收路由信息的对端PE设备中引入路由的VPN下的IRT相匹配即可。既可以将该ERT设置为引入路由的VPN下的ERT,这时对端PE设备中引入路由的VPN自然可以引入该路由;或者,也可以设置为引出路由的VPN下的ERT,这时对端PE设备中需要将引入路由的VPN下的IRT属性预先配置为与引入路由的ERT相匹配。
步骤302,PE设备通过引入路由的VPN发布所述引入的路由。
在发布路由时,可以采用BGP协议发布。
应用上述流程后,由于引入的路由的入口VPN被设置为引入路由的VPN,因此在报文沿引入的路由转发时,会被送入引入路由的VPN,于是就能够在引入路由的VPN下对报文进行相应处理,并且由于将引入的路由加入到引入路由的VPN中,使得被送入引入路由VPN的报文可以通过查找该VPN对应的FIB表进行下一跳转发。
图4为本发明提供的PE设备的总体结构图。如图4所示,该PE包括第一路由引入单元、第一VPN对应的路由信息单元和路由发布单元。
在该PE设备中,第一路由引入单元,用于将需要引入的路由加入到本PE设备的引入该路由的第一VPN对应的路由信息单元中,设置引入路由的ERT,并设置引入路由的入口VPN为引入该路由的VPN。
第一VPN对应的路由信息单元,用于保存引入路由的VPN下的路由信息。
路由发布单元,用于发布第一VPN对应的路由信息单元中完成入口VPN设置的路由。
上述即为本发明的总体概述,下面通过具体实施例说明本发明的具体实施方式。
实施例一:
本实施例中,仍以图2所示的集中式VPN NAT组网环境为例进行说明。其中,PE1作为NAT转换设备,配置了VPN_PUB、VPN1和VPN3,在PE1的VPN_PUB上对应保存了所有的路由信息,并在VPN1和VPN3上配置了各自的NAT转换规则。在PE2上配置了VPN1,在PE3上配置了VPN3。要实现PE2和PE3的互相访问,需要在PE1和PE2间进行路由引入,并在PE1和PE3间也进行路由引入,并且由PEI发布引入的路由信息。
图5为本发明实施例一中VPN路由引入方法的具体流程图。如图5所示,该方法包括:
步骤501,PE1确定需要引入的路由和引入路由的VPN。
本步骤中,根据网络需求,在PE1中配置需要引入的路由,该路由可以是一条,也可以是多条。当需要引入多条路由时,针对每条路由,配置引入该路由的VPN。
本实施例中,需要引入两条路由,分别为PE1到PE3间的路由R1和PE1到PE2间的路由R2,并且将这两条路由分别引入PE2中的VPN1和PE3中的VPN3。根据PE1的配置可知,路由R1和R2均属于VPN_PUB,也就是说,VPN_PUB是引出路由R1和R2的VPN。而对于路由R1,引入该路由的VPN为VPN1;对于路由R2,引入该路由的VPN为VPN3。
步骤502,PE1将路由R1和R2分别加入其自身的引入该路由的VPN中。
本步骤中,将路由加入引入该路由的VPN具体可以是加入到相应VPN的路由表中,也就是说,PE1将路由R1加入到其自身保存的对应VPN1的路由表中;将路由R2加入到其自身保存的对应VPN3的路由表中。
步骤503,根据引入路由的VPN,设置路由R1和R2的ERT。
本步骤中,设置引入的路由的ERT的方式具体可以为:将引入的路由的ERT设置为与引入路由的VPN下的ERT。
步骤504,对路由R1和R2的入口VPN进行设置。
本步骤中,在设置路由的入口VPN时,将引入路由的入口VPN设置为引入该路由的VPN。具体设置方式可以为:为引入的路由生成属于引入该路由VPN的私网标签,在该引入的路由上加上生成的私网标签。
具体地,在本实施例中,为路由R1生成属于VPN1的私网标签,并在路由R1上加上该私网标签;为路由R2生成属于VPN3的私网标签,并在路由R2上加上该私网标签。
在实际应用中,可能会将一条路由加入多个VPN中,这时,在设置路由的入口VPN时,将该路由分别加入引入该路由的多个VPN中,并为各个路由分别加上引入该路由的VPN的私网标签。
上述步骤503和504间的执行顺序可以任意指定。
步骤505,通过引入路由的VPN,采用BGP发布路由。
本步骤中,分别通过VPN1和VPN3发布路由R1和R2。
步骤506,PE2和PE3接收到发布的路由,分别将R1和R2引入自身相应的VPN中。
由于在步骤503中已经将R1的ERT设置为与VPN1设置的IRT相匹配,于是当PE2接收到发布的路由R1后,根据其携带的ERT匹配到VPN1,于是将其加入VPN1对应的路由表中,形成FIB表中的一条转发项;同理,由于在步骤503中已经将R2的ERT设置为与VPN3设置的IRT相匹配,于是当PE3接收到发布的路由R2,将其匹配到VPN3,并加入VPN3对应的路由表中,形成FIB表中的一条转发项。
经过上述VPN路由引入后,若PE2要访问PE3,且要求报文到达PE1后进行NAT转换,则具体的访问流程可以如下进行:
步骤507,PE2接收到要发送给PE3的报文后,在VPN1内查找FIB表,找到引入的到达PE3的路由R1,并得到该路由的公网下一跳地址和私网标签。
由于在上述路由引入过程中,引入的路由R1的入口VPN为VPN1,因此这里查找到的路由R1的私网标签也就是VPN1的私网标签。
步骤508,将待转发的报文封装一层私网标签后,在公网的标签转发表中根据下一跳查找公网标签,再封装一层公网标签后将报文交给MPLS转发。
步骤509,当该报文到达PE1后,根据私网标签确定入口VPN,并将报文送入该入口VPN处理。
本步骤中,报文沿路由R1到达PE1,由于路由R1的私网标签为引入该路由VPN(即VPN1)的私网标签,因此确定入口VPN为VPN1,于是将该报文送入VPN1中。这样,报文可以根据VPN1下配置的策略进行NAT转换,完成处理后再查找VPN1对应的FIB表,进行报文的正常转发。可见,克服了背景技术中无法将报文在引入的VPN中进行处理的缺陷。
由上述过程可以看出,应用本发明的方法后,在跨VPN访问时,沿引入路由进入PE的报文,可以在引入该路由的VPN下进行相应的处理,对于集中式VPN NAT等组网环境,方便了应用业务的实施。
本实施例还提供了能够实施上述方法的PE设备,该PE是图4所示PE的一种具体实施方式。图6即为本发明实施例一提供的PE设备的具体结构图。如图6所示,该PE设备包括第一路由引入单元、第一VPN对应的路由表单元和路由发布单元。其中,第一路由引入单元包括设置子单元和私网标签生成子单元。第一VPN对应的路由表单元即为图4中第一VPN对应的路由信息单元的一种具体实现。
在该PE设备中,第一路由引入单元中的私网标签生成子单元,用于生成属于引入该路由VPN的私网标签,并发送给设置子单元。
设置子单元,用于将所述引入的路由加入本PE设备的引入该路由的第一VPN对应的路由表单元中,并设置所述引入的路由的ERT为引入路由的VPN下的ERT,接收私网标签生成子单元生成的私网标签,加入到所述引入的路由中。
第一VPN对应的路由表单元,用于保存引入路由的VPN下的路由信息。
路由发布单元,用于通过BGP发布第一VPN对应的路由表中完成设置的路由。
本实施例还提供了一种VPN的路由引入系统,其中包括发布路由信息的第一PE设备和接收并引入路由信息的第二PE设备。具体地,该系统结构如图7所示。
在该系统中,第一PE设备,用于将需要引入的路由加入到自身支持的引入路由的VPN中,设置引入路由的ERT,并将引入路由的入口VPN设置为引入该路由的VPN,通过该引入路由的VPN发布引入的路由;接收第二PE设备沿引入的路由转发来的报文,并将该报文送入引入路由的VPN处理。
第二PE设备,用于接收第一PE设备发布的引入的路由,并将该路由引入到第二PE设备支持的引入路由的VPN中;将需要沿引入的路由转发的报文发送给第一PE设备。
在上述系统中,用于发布引入路由的PE设备可以采用如图6所示的结构。
在实施例一中,设置引入路由的ERT属性时,将其设置为引入该路由的VPN下的ERT,这样该ERT能够与引入该路由的VPN的IRT相匹配,当路由信息被转发到对端PE设备时,对端PE设备将路由信息匹配到引入路由的VPN中,并将该路由信息引入。事实上,在设置引入路由的ERT属性时,也可以按照背景技术中介绍的方式进行,将其设置为引出该路由的VPN下的ERT,并且在对端PE设备引入路由时,预先配置引入路由VPN下的其中一个IRT与引入路由的ERT相匹配。
实施例二:
图8为本发明实施例二中VPN的路由引入方法的具体流程图。如图8所示,该方法包括:
步骤801,预先设定VPN的路由引入策略。
考虑到在某些跨VPN访问的应用中,在PE设备处不需要对报文在特定VPN内作应用处理,因此可以保留背景技术描述的路由引入方法进行路由引入,从而简化PE设备改造,兼容背景技术描述的处理方式。
因此,在本步骤中设定VPN的路由引入策略,规定:在PE设备中需要对报文于引入路由的VPN进行应用处理的组网环境(例如,集中式VPN NAT组网环境)下,进行VPN的路由引入时,改变引入的路由的属性;在其它的组网环境下,进行VPN的路由引入时,不改变引入的路由的属性,依然按照背景技术描述的方式进行路由引入。
步骤802,PE设备确定需要引入的路由和引入该路由的VPN。
步骤803,根据当前的组网环境和设定的路由引入策略,判断是否需要改变引入的路由的属性,若是,则对该引入的路由执行步骤804及其后续步骤,否则对该引入的路由执行步骤808及其后续步骤。
本步骤中,对于需要改变路由属性的引入路由,利用步骤804到806进行处理,对于不需要改变路由属性的引入路由,利用步骤808到步骤810进行处理,也就是按照背景技术描述的方式进行。
步骤804,PE设备将路由加入本身保存的对应引入该路由的VPN的路由表中。
步骤805,根据引出路由的VPN,设置路由的ERT。
本步骤中,设置引入的路由的ERT的方式具体可以为:将引入的路由的ERT设置为与引出路由的VPN下的ERT。也就是采用与背景技术中的相同设置方式。
步骤806,将引入路由的入口VPN设置为引入该路由的VPN。
步骤807,通过引入路由的VPN,发布该引入的路由,并结束当前流程。
至此,对需要改变路由属性的引入路由,完成了路由引入的流程。对端PE设备在引入路由时,预先配置引入路由VPN下的一个IRT与引入路由的ERT相匹配,根据引入路由携带的ERT属性将路由匹配到引入路由的VPN,并将其加入路由表中。
步骤808,根据引出路由的VPN,设置路由的ERT。
步骤809,将引入路由的入口VPN设置为引出该路由的VPN。
本步骤也就是将引入的路由加上属于引出路由VPN的私网标签。例如,将路由R1由VPN2引入到VPN1,则将该路由加上属于VPN2的私网标签。
步骤810,通过引出路由的VPN发布引入的路由,并结束当前流程。
至此,对于不需要修改属性的引入路由,依照背景技术介绍的方式完成了该路由的引入流程。接下来,引入的路由依照背景技术描述的方式在网络中转发,直到引入上述路由的PE设备的相应VPN接收到该路由,并将其加入路由表中。
本实施例还提供了一种PE设备,该设备是图4所示PE设备的一种具体实施方式,可以用于实施上述图8所示的方法流程。图9即为该PE设备的具体结构图。如图9所示,该PE设备包括:第一路由引入单元、第一VPN对应的路由表单元和第二VPN对应的路由表单元、路由发布单元、策略判决单元和第二路由引入单元。
策略判决单元,用于根据当前组网环境和自身保存的路由引入策略,判断是否需要改变引入的路由的属性,当需要改变时,通知第一路由引入单元引入的路由和引入路由的VPN信息;当不需要改变时,通知第二路由引入单元引入的路由和引入路由的VPN信息。
第一路由引入单元,用于将引入的路由加入第一VPN对应的路由表单元中,并设置所述引入的路由的ERT为引出路由的VPN下的ERT,设置引入路由的入口VPN为引入该路由的VPN。
第二路由引入单元,用于将第二VPN对应的路由表单元中保存的引入的路由的入口VPN设置为引出该路由的VPN,具体即,为该引入的路由加上属于引出路由VPN的私网标签;并设置所述引入的路由的ERT为引出路由的VPN下的ERT。
第一VPN对应的路由表单元,用于保存引入路由的VPN下的路由信息。
第二VPN对应的路由表单元,用于保存引出路由的VPN下的路由信息。
路由发布单元,用于通过BGP发布第一和第二VPN对应的路由表单元中完成设置的路由。
由上述本实施例的实施方式可以看出,在本实施例中,对于需要引入的VPN路由,可以根据配置的策略和当前组网环境,设置其引入方式。这样,对于如图1所示的组网环境,当不需要在引入路由的VPN对转发报文进行处理,只需要直接转发时,可以沿用背景技术中介绍的路由引入方式进行;当需要在引入路由的VPN对转发报文进行处理(如集中式VPN NAT环境中),然后才进行转发时,可以改变将引入路由改变为完全属于引入该路由的VPN,将路由的入口VPN设为引入路由的VPN。上述实施方式,可以适用于各类不同的网络环境,并能最大限度地兼容以往的设备。
以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1、一种虚拟私有网VPN的路由引入方法,其特征在于,该方法包括:
在发布引入路由的路由信息的运营商边缘PE设备中,将需要引入的路由加入到本PE设备的引入该路由的VPN中,设置所述引入路由的ERT与引入该路由的VPN下配置的IRT相匹配,并将引入路由的入口VPN设置为所述引入该路由的VPN;通过所述引入该路由的VPN发布所述引入的路由。
2、根据权利要求1所述的方法,其特征在于,所述将引入路由的入口VPN设置为引入该路由的VPN为:为所述引入的路由加上属于所述引入该路由的VPN的私网标签。
3、根据权利要求1所述的方法,其特征在于,所述设置引入路由的ERT为:将所述引入路由的ERT设置为与所述引入该路由的VPN下配置的IRT相匹配。
4、根据权利要求1所述的方法,其特征在于,所述将需要引入的路由加入到本PE设备的引入该路由的VPN中为:将需要引入的路由加入到本PE设备保存的对应引入该路由的VPN的路由表中。
5、根据权利要求1所述的方法,其特征在于,在将需要引入的路由加入到本PE设备的引入该路由的VPN中之前,该方法进一步包括:根据当前的VPN组网环境和预先设定的路由引入策略,判断是否需要改变引入的路由的属性,若是,则继续执行所述将需要引入的路由加入引入该路由的VPN中的操作;
否则,将引出该路由的VPN设置为引入的路由的入口VPN,将所述引入的路由的ERT设置为引出路由的VPN下的ERT,并通过该引出路由的VPN发布该路由,并结束当前流程。
6、根据权利要求5所述的方法,其特征在于,所述路由引入策略为:在集中式VPN网络地址转换NAT的组网环境下,改变所述引入的路由的属性。
7、根据权利要求1到6中任一所述的方法,其特征在于,所述发布引入路由的路由信息的PE设备为支持所述引入该路由的VPN的第一PE设备;
该方法进一步包括:
支持所述引入该路由VPN的第二PE设备接收所述第一PE设备发布的所述引入的路由,并将该引入的路由引入到第二PE设备的所述引入该路由的VPN中;第二PE设备将需要沿所述引入的路由转发的报文发送给第一PE设备;第一PE设备将该报文送入所述引入该路由的VPN处理。
8、一种PE设备,其特征在于,所述PE设备包括第一路由引入单元、第一VPN对应的路由信息单元和路由发布单元;
所述第一路由引入单元,用于将需要引入的路由加入到本PE设备的第一VPN对应的路由信息单元中,设置所述引入的路由的ERT与引入该路由的VPN下配置的IRT相匹配,并设置引入路由的入口VPN为引入该路由的VPN;
所述第一VPN对应的路由信息单元,用于保存所述引入路由的VPN下的路由信息;
所述路由发布单元,用于发布所述引入该路由的VPN对应的路由信息单元中完成设置的路由。
9、根据权利要求8所述的PE设备,其特征在于,所述第一路由引入单元包括设置子单元和私网标签生成子单元,
所述私网标签生成子单元,用于生成属于所述引入该路由的VPN的私网标签,发送给所述设置子单元;
所述设置子单元,用于将所述引入的路由加入第一VPN对应的路由信息单元中,将所述私网标签加入到所述引入的路由中,并设置所述引入的路由的ERT。
10、根据权利要求9所述的PE设备,其特征在于,所述设置子单元,用于将所述引入路由的ERT设置为所述引入路由的VPN下的ERT。
11、根据权利要求8到10中任一所述的PE设备,其特征在于,该PE设备进一步包括策略判决单元、第二路由引入单元和引出路由的第二VPN对应的路由信息单元;
所述策略判决单元,用于根据当前组网环境和自身保存的路由引入策略,判断是否需要改变引入的路由的属性,当需要改变时,通知所述第一路由引入单元所述引入的路由和所述引入该路由的VPN信息;当不需要改变时,通知所述第二路由引入单元所述引入的路由和所述引入该路由的VPN信息;
所述第二路由引入单元,用于将保存在所述第二VPN对应的路由信息单元中的所述引入的路由的入口VPN设置为引出路由的VPN,并设置引入路由的ERT为引出路由的VPN下的ERT;
所述第二VPN对应的路由信息单元,用于保存引出路由的VPN下的路由信息;
所述路由发布单元,用于发布所述第二VPN对应的路由信息单元中完成设置的路由。
12、一种路由引入引出系统,其特征在于,该系统包括第一PE设备和第二PE设备,
所述第一PE设备,用于将需要引入的路由加入到自身支持的引入路由的VPN中,设置所述引入路由的ERT与引入该路由的VPN下配置的IRT相匹配,并将所述引入路由的入口VPN设置为引入该路由的VPN,通过所述引入该路由的VPN发布所述引入路由;接收所述第二PE设备沿所述引入的路由转发来的报文,并将该报文送入本身的所述引入路由的VPN处理;
所述第二PE设备,用于接收所述第一PE设备发布的所述引入的路由,并将该引入的路由引入到第二PE设备的所述引入该路由的VPN中;将需要沿所述引入的路由转发的报文发送给第一PE设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101177530A CN100484080C (zh) | 2007-06-22 | 2007-06-22 | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101177530A CN100484080C (zh) | 2007-06-22 | 2007-06-22 | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101083598A CN101083598A (zh) | 2007-12-05 |
| CN100484080C true CN100484080C (zh) | 2009-04-29 |
Family
ID=38912881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007101177530A Active CN100484080C (zh) | 2007-06-22 | 2007-06-22 | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100484080C (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082782B (zh) * | 2009-11-30 | 2013-05-15 | 中国移动通信集团河南有限公司 | Ospf网络中引入外部路由的方法及相关设备 |
| CN102624623B (zh) * | 2012-03-13 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种vpn路由信息发布方法及设备 |
| CN106713098A (zh) * | 2015-07-27 | 2017-05-24 | 中兴通讯股份有限公司 | 路由目标处理方法及装置 |
| CN105530159B (zh) * | 2016-01-19 | 2018-12-18 | 武汉烽火网络有限责任公司 | 一种实现跨IPv6和IPv4的VPN互访的方法和系统 |
| CN107733795B (zh) * | 2016-08-12 | 2020-05-12 | 新华三技术有限公司 | 以太网虚拟私有网络evpn与公网互通方法及其装置 |
| CN106713140B (zh) * | 2016-12-22 | 2019-05-24 | 烽火通信科技股份有限公司 | 支持多种标签分配协议共同工作的转发方法及mpls设备 |
| CN108521377B (zh) * | 2018-06-26 | 2020-11-03 | 新华三技术有限公司合肥分公司 | 路由发布方法及装置 |
| CN111628923B (zh) * | 2020-07-28 | 2020-10-30 | 绿漫科技有限公司 | 一种共享型网络系统及其共享方法 |
| CN114070778A (zh) * | 2020-08-06 | 2022-02-18 | 华为技术有限公司 | 路由引入方法、设备及系统 |
-
2007
- 2007-06-22 CN CNB2007101177530A patent/CN100484080C/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101083598A (zh) | 2007-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100484080C (zh) | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 | |
| JP6189942B2 (ja) | 個別管理方式を使用する仮想転送インスタンスの遠端アドレスへのvlanタグ付きパケットのルーティング | |
| CN100550841C (zh) | 自治系统边界路由器路由发布方法及自治系统边界路由器 | |
| EP3211839A1 (en) | Split-horizon packet forwarding in a multi-home pbb-evpn network | |
| CN101626338B (zh) | 一种实现多虚拟专用网实例的方法和设备 | |
| CN100505674C (zh) | 一种虚拟专用网内的报文转发方法、系统和边缘设备 | |
| JP2003209562A (ja) | 通信システム | |
| CN103685022A (zh) | 报文转发方法及服务提供商网络边缘设备 | |
| CN105453513B (zh) | 报文转发方法、转发表项下发方法及网络设备 | |
| CN102035729A (zh) | 一种组播数据转发方法及其装置 | |
| CN101616014A (zh) | 一种实现跨虚拟专用局域网组播的方法 | |
| CN105591868A (zh) | 一种虚拟专用网络vpn的接入方法和装置 | |
| WO2013139270A1 (zh) | 实现三层虚拟专用网络的方法、设备及系统 | |
| CN108156067B (zh) | 一种实现基于以太网虚拟专用网络的方法和系统 | |
| CN102368726A (zh) | 一种应用于l2vpn的转发方法及装置 | |
| CN108141392A (zh) | 伪线负载分担的方法和设备 | |
| CN107547399A (zh) | 一种组播转发表项的处理方法和pe设备 | |
| CN112202670B (zh) | 一种SRv6段路由转发方法及装置 | |
| CN104283782A (zh) | 多协议标签交换网络中确定报文转发路径的方法和装置 | |
| CN102474451A (zh) | 连接内层和外层mpls标签 | |
| CN112822097A (zh) | 报文转发的方法、第一网络设备以及第一设备组 | |
| CN104780090A (zh) | Vpn组播传输的方法、装置、pe设备 | |
| CN113726653B (zh) | 报文处理方法及装置 | |
| CN100393062C (zh) | 将核心网接入多协议标记交换虚拟专用网的方法 | |
| CN102724126A (zh) | 一种E-tree业务报文转发方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |