CN100559772C - 混合型虚拟私有网络系统和骨干网边缘设备及其配置方法 - Google Patents

Abstract

一种基于MPLS的混合型VPN，包含配置相互独立的n个三层子VPN和m个二层子VPN，n和m均不小于0且两者不同时为0；其中PE设备的公网接入接口使能有MPLS功能，且各三层/二层子VPN分别配置有唯一与其对应的标签；所述PE设备的1个私网接入接口使能且同时最多只能使能1个三层子VPN和1个二层子VPN。一种PE设备，包括有私网接入接口、公网接入接口和混合型VPN单元；该混合型VPN单元中判断模块确定报文所属二层/三层VPN后，由其中相应二层/三层VPN单元进行报文转发；及该PE设备的配置方法。通过本发明用户可灵活配置自有VPN，既可进行二层数据转发，也可进行三层数据转发。

Description

混合型虚拟私有网络系统和骨干网边缘设备及其配置方法

技术领域

本发明涉及网络领域，特别涉及VPN(Virtual Private Network，虚拟私有网络)领域；更具体地说，本发明涉及基于MPLS(Multi-ProtocolLabel Switching，多协议标签交换)的VPN，尤其涉及基于MPLS的混合型VPN和组网该混合型VPN可采用的骨干网边缘设备，以及该骨干网边缘设备的配置方法。

背景技术

目前在运营商网络中，MPLS VPN(基于多协议标签交换的虚拟私有网络)运用得越来越广泛；其主要是通过在报文中增加MPLS标签以识别不同的VPN，在支持MPLS功能的骨干网中传输MPLS报文，从而在不同设备之间实现VPN的功能。大致来说，目前应用的MPLS VPN主要有两类：一类为MPLS L3VPN(基于多协议标签交换的三层虚拟私有网络)，其代表有MPLS/BGP VPN方案，其中BGP为边界网关协议(BorderGateway Protocol)的缩写；另一类为MPLS L2VPN(基于多协议标签交换的二层虚拟私有网络)，其代表有Matini和Kompella等草案。

如图1所示，在MPLS L2VPN组网方案中：处于同一个虚拟私有网络L2VPN#A的CE(Customer Edge，用户网边缘设备)(CE1、CE2、CE3、和CE4)，分别连接于不同的PE(Provider Edge，骨干网边缘设备)(PE1、PE2、PE3、和PE4)；上述PE及CE的IP(Internet Protocol，因特网协议)地址必须配置于同一网段中，并相互构成一个广播域；而其中PE上建立有MAC(Medium Access Control，媒体接入控制)地址表，其接收到所述CE发出的报文后，根据该报文目的MAC地址查找其上地址表进行转发，不存在该报文目的地址时则进行广播。也就是说，MPLS L2VPN本质上相当于给用户提了类似虚拟二层交换机的功能，其MPLS L2VPN本质上相当于给用户提了类似虚拟二层交换机的功能，其仅仅根据报文的目的地址二层透明传递用户数据，而对该报文中封装的报文类型并不知晓；这种VPN组网方案的缺点在于，对于组播和未知单播有可能在CE之间造成广播风暴，以至浪费带宽。

然而，如图2所示，在MPLS L3VPN组网方案中：处于同一个虚拟私有网络L3VPN#A的CE2、CE4、和CE5，分别连接于PE2、PE4和PE1上；这使得不同的所述CE之间必须配置不同的网段地址，但又要分别与其相连的PE处于同一网段中；同时所述PE上建立VRF(VPN Routing andForwarding table，私网路由表)，其接收到所述CE发出的报文后，如果报文的目的MAC是PE设备的虚MAC，则根据该报文携带的目的IP地址查找其上私网路由表进行转发，不存在该报文目的IP地址时则进行丢包；如果报文的MAC不是PE设备的虚MAC，则只能在与该PE本地相连的同一个VPN内转发，而不能跨设备转发。也就是说，MPLS L3VPN本质上相当于给用户提了类似虚拟路由器的功能，其只能根据报文的目的IP地址进行三层转发，而无法对报文进行二层转发。

如果CE设备想同时进行MPLS L2VPN和MPLS L3VPN转发，那么必须跟PE设备通过不同的私网接口相连，一个接口上配置MPLSL2VPN，一个接口上配置MPLS L3VPN。这样造成的问题在于不仅浪费了大量的接口资源，同时MPLS L2VPN和MPLS L3VPN之间的数据交互只能在CE用户网络完成，给VPN的组网配置造成很大的不便。

发明内容

针对上述现有技术的缺点，本发明目的在于提供一种基于多协议标签交换的混合型虚拟私有网络系统，该混合型虚拟私有网络系统本质相当于给用户提了类似虚拟三层交换机的功能，从而使得用户可通过灵活规划组网方案，配置能够最大满足自己实际需求的虚拟私有网络。

本发明另一目的在于提供一种可用于组网上述混合型虚拟私有网络系统的骨干网边缘设备及其配置方法，该骨干网边缘设备既可进行二层MPIS VPN数据转发，也可进行三层MPLS VPN数据转发。

为实现上述发明目的，本发明提供一种基于多协议标签交换的混合型虚拟私有网络系统(MPLS混合型VPN)；该混合型虚拟私有网络系统包含有配置相互独立的n个三层子虚拟私有网络(SubL3VPN)和m个二层子虚拟私有网络(SubL2VPN)，其中：n和m均为不小于0的整数且n和m不同时为0；当n等于0时，该混合型虚拟私有网络退化成MPLS L2VPN的集合；当m等于0时，该混合型虚拟私有网络退化成MPLS L3VPN的集合；而当n、m均不为零时，该混合型虚拟私有网络创建有至少一个MPLS混合型VPN实例，且绑定所述MPLS混合型VPN实例的骨干网边缘设备的接口允许同时绑定1个所述SubL3VPN和1个所述SubL2VPN，即该网络系统中骨干网边缘设备的至少1个私网接入接口同时使能有1个所述SubL3VPN和1个所述SubL2VPN；其中使能有所述三层子虚拟私有网络的私网接入接口配置有IP(Internet Protocol，因特网协议)地址和/或虚MAC(Medium Access Control，媒体接入控制)地址，且使能有同1个所述二层子虚拟私有网络的对应私网接入接口的三层子虚拟网络的IP地址配置在同一网段中，以及1个MPLS混合型VPN中2个所述私网接入接口，不能既同属于其中同1个MPLSSubL2VPN，又同属于同1个MPLS SubL3VPN。并且，该网络系统中骨干网边缘设备的公网接入接口使能有多协议标签交换(MPLS)功能，并且各所述三层/二层子虚拟私有网络(SubL3VPN/SubL2VPN)分别配置有至少1个唯一与其对应的标签。

对于上述基于多协议标签交换的混合型虚拟私有网络系统，当所述骨干网边缘设备自其上私网接入接口收到报文后，根据该私网接入接口的所述二层/三层子虚拟私有网络的使能状况，确定该报文所属的二层/三层子虚拟私有网络；如果该私网接入接口上没有配置虚MAC地址，则直接进行二层MPLS VPN报文转发；或者，如果该私网接入接口上配置有虚MAC地址，则判断该报文的目的MAC地址是否为该私网接入接口的虚MAC地址，是则查找其上私网路由表进行三层MPLS VPN(基于多协议标签交换的三层虚拟私有交换网络)报文转发，否则查找其上MAC地址表进行二层MPLS VPN(基于多协议标签交换的二层虚拟私有交换网络)报文转发。

对于上述基于多协议标签交换的混合型虚拟私有网络系统，当所述骨干网边缘设备自其公网接入接口收到报文后，根据该报文携带的标签，确定该报文所属的二层/三层子虚拟私有网络；如果该报文所属三层子虚拟私有网络，则进行三层MPLS VPN(基于多协议标签交换的三层虚拟私有网络)报文转发；如果该报文属于二层子虚拟私有网络，则进行二层MPLS VPN(基于多协议标签交换的二层虚拟私有网络)报文转发。

对于上述基于多协议标签交换的混合型虚拟私有网络系统，由于不同骨干网边缘设备可能会在同一个SubL2VPN(二层子虚拟私有交换网络)中，那么属于该SubL2VPN的不同私网接入接口必然会配置在同一个网段中；这样所述骨干网边缘设备上就有必要保留达到同一个目的网段的K条路由表项，其中K为不小于1的整数；该骨干网边缘设备确定其发送报文的目的IP地址后，从其上与该目的地址最长匹配的所述K条路由表项中选择优先级最高的私网路由进行报文转发；如果所述优先级最高的私网路由存在等价路由，则根据等价路由算法选择所述等价路由之一进行报文转发；其中，所述等价路由为，到达同一个目的网段的所述K条路由表项中优先级相等的L条私网路由，且L为不小于2的整数；此外，如果正在使用的私网路由被撤销，也就是说所选择的私网路由已不存在，则将该私网路由删除，并重新选择私网路由进行报文转发。

为了达到上述另一发明目的，本发明提供一种骨干网边缘设备，其可用于组网上述基于多协议标签交换的混合型虚拟私有网络系统。该骨干网边缘设备，包括有私网接入接口和公网接入接口，所述公网接入接口使能有多协议标签交换功能；至少1个所述私网接入接口同时使能1个二层子虚拟私有网络和1个三层子虚拟私有网络；其中使能有所述三层子虚拟私有网络的私网接入接口配置有IP地址和/或虚MAC地址，且使能有同1个所述二层子虚拟私有网络的所述私网接入接口的IP地址配置在同一网段中，以及1个MPLS混合型VPN中2个所述私网接入接口，不能既同属于其中同1个MPLS SubL2VPN，又同属于同1个MPLSSubL3VPN。

对于上述骨干网边缘设备，优选地，该骨干网边缘设备还包括有用于处理上述基于多协议标签交换的混合型虚拟私有网络数据的混合型虚拟私有网络单元，所述混合型虚拟私有网络单元与所述私网接入接口和所述公网接入接口相连，包括有判断模块、二层虚拟私有网络单元和三层虚拟私有网络单元。其中，所述混合型虚拟私有网络单元接收到自所述私网接入接口输入的报文后，如果所述输入报文的私网接入接口上没有配置虚MAC地址，则将该报文交由该私网接入接口使能的二层子虚拟私有网络对应的二层虚拟私有网络单元进行基于多协议标签交换的二层虚拟私有网络报文转发；如果所述输入报文的私网接入接口上配置有虚MAC地址，则首先由所述判断模块判断该报文的目的MAC地址是否为该私网接入接口的虚MAC地址，是则将该报文交由该私网接入接口使能的三层子虚拟私有网络对应的三层虚拟私有网络单元进行基于多协议标签交换的三层虚拟私有网络报文转发，否则将该报文交由该私网接入接口使能的二层子虚拟私有网络对应的二层虚拟私有网络单元进行基于多协议标签交换的二层虚拟私有网络报文转发。或者，所述混合型虚拟私有网络单元接收到自所述公网接入接口输入的报文后，首先由所述判断模块根据该报文携带的标签确定该报文所属的二层/三层子虚拟私有网络，再将该报文交由与该二层/三层子虚拟私有网络对应的所述二层/三层虚拟私有网络单元进行基于多协议标签交换的二层/三层虚拟私有网络报文转发。

对于上述骨干网边缘设备，优选地，所述三层虚拟私有网络单元保留有到达同一个IP网段的K条路由表项，其中K为大于等于1的整数；所述三层虚拟私有网络单元确定其发送报文的目的地址后，从其上与该目的地址最长匹配的所述K条路由表项中，选择优先级最高的私网路由进行报文转发。如果所述优先级最高的私网路由存在等价路由，则根据等价路由算法选择所述等价路由之一进行报文转发。此外，如果正在使用的私网路由被撤销，则将该私网路由删除，并重新选择私网路由进行报文转发。

同时，本发明还提供一种骨干网边缘设备的配置方法，应用于上述骨干网边缘设备，该方法包括有下列步骤：

步骤1，于所述骨干网边缘设备中创建混合型虚拟私有网络单元；

步骤2，配置所述骨干网边缘设备的公网接入接口，使该公网接入接口使能有多协议标签交换功能；

步骤3，配置所述骨干网边缘设备的至少1个私网接入接口的虚拟私有网络使能状况，使该私网接入接口同时使能有所述混合型虚拟私有网络单元覆盖的1个二层子虚拟私有网络和1个三层子虚拟私有网络，或者仅使能有所述二层子虚拟私有网络和所述三层子虚拟私有网络中任意一个；其中使能有所述三层子虚拟私有网络的私网接入接口配置有IP地址和/或虚MAC地址，且使能有同1个所述二层子虚拟私有网络的对应私网接入接口的三层子虚拟网络的IP地址配置在同一网段中，以及1个MPLS混合型VPN中2个所述私网接入接口，不能既同属于其中同1个MPLS SubL2VPN，又同属于同1个MPLS SubL3VPN。

对于上述骨干网边缘设备的配置方法，其中：

所述步骤3具体为步骤31，通过配置命令将所述私网接入接口绑定至1个所述二层子虚拟私有网络，使该私网接入接口使能有1个所述二层子虚拟私有网络；

或者所述步骤3具体为步骤32，通过配置命令将所述私网接入接口绑定至1个所述三层子虚拟私有网络，并为该私网接入接口配置IP地址和/或虚MAC地址，使该私网接入接口使能有1个所述三层子虚拟私有网络；

或者所述步骤3具体为步骤33，通过配置命令将所述私网接入接口同时绑定至1个所述三层子虚拟私有网络和1个所述二层子虚拟私有网络，并在确定所述二层子虚拟私有网络中其他私网接入接口所处网段后，为该私网接入接口配置处于该网段的IP地址和/或虚MAC地址，使该私网接入接口同时使能有1个所述二层子虚拟私有网络和1个所述三层子虚拟私有网络。

本发明优点在于：本发明提供的基于多协议标签交换的混合型虚拟私有网络系统，包含有MPLS L2VPN(基于多协议标签交换的二层虚拟私有网络)和MPLS L3VPN(基于多协议标签交换的三层虚拟私有网络)两种形式的子虚拟私有网络，使得处于该混合型虚拟私有网络系统中的用户之间，既可进行二层MPLS VPN数据转发，也可进行三层MPLS VPN数据转发；其本质相当于给用户提供了类似虚拟三层交换机的功能，进而使得用户可通过灵活规划组网方案，配置出能够最大满足自己实际需求的虚拟私有网络；而且，应用本发明提供的骨干网边缘设备组网所述基于多协议标签交换的混合型虚拟私有网络系统，因设计复杂度低而容易实现。

本发明另一优点在于：本发明技术方案通过其包含的所述MPLSL2VPN和MPLS L3VPN来实现协议交互，因此其可完全兼容目前公知/未来发展的各种MPLS L2VPN和MPLS L3VPN的类型和协议，使其具有很好地扩展性。

本发明再一优点在于：本发明提供的基于多协议标签交换的混合型虚拟私有网络系统，通过合理配置将其包含的MPLS L2VPN划分为多个广播域，每个广播域各自独立学习其广播域内的MAC地址表进行二层MPLS VPN数据转发；同时，通过合理配置其包含的MPLS L3VPN，在广播域之间实现三层MPLS VPN数据转发；这样，通过减少MPLS L2VPN的范围，既保证了所述广播域的私密性和安全性，又能保证该混合型虚拟私有网络系统中用户之间的正常IP通信不受干扰。

总之，应用本发明提供的技术方案，通过同一种虚拟私有网络接入方式就可为用户提供包括二层和三层在内的多种业务功能，从而丰富网络运营商的产品样式，并进而提高其用户满意度。

附图说明

图1：现有技术中MPLS L2VPN的组网方案示意图；

图2：现有技术中MPLS L3VPN的组网方案示意图；

图3：本发明MPLS混合型VPN的组网方案示意图；

图4：本发明MPLS混合型VPN实施例一的组网架构图；

图5：本发明MPLS混合型VPN中骨干网边缘设备自私网接入接口收到报文后的处理流程图；

图6：本发明MPLS混合型VPN中骨干网边缘设备自公网接入接口收到报文后的处理流程图；

图7：本发明骨干网边缘设备的示意框图；

图8：本发明骨干网边缘设备的配置方法的流程图。

具体实施方式

如上所述，本发明主要提供一种新型的MPLS VPN(基于多协议标签交换的虚拟私有网络)的组网方案，即MPLS混合型VPN(基于多协议标签交换的混合型虚拟私有网络系统)。所述MPLS混合型VPN的发明初衷在于：实现处于一个所述混合型虚拟私有网络系统的用户之间，既可进行二层MPLS VPN数据转发，也可进行三层MPLS VPN数据转发。而所述MPLS混合型VPN的实现方式在于：1、通过允许该虚拟私有交换网络系统中骨干网边缘设备PE的私网接入接口可以使能且同时最多只能使能1个MPLS L2VPN和1个MPLS L3VPN，将所述骨干网边缘设备的私网接入接口改进为混合型私网接入接口。对于所述混合型私网接入接口，使能有1个所述MPLS L3VPN的混合型私网接入接口配置有IP地址和/或虚MAC地址。同时，对于使能有同1个所述MPLS L2VPN的混合型私网接入接口，如果其中存在同时还使能有所述MPLS L3VPN的混合型私网接入接口，则所有这些同时还使能有所述MPLS L3VPN的混合型私网接入接口的IP地址均配置于一网段中。2、将所述PE的公网接入接口使能有多协议标签交换MPLS功能，把由所述混合型私网接入接口使能的MPLS L2VPN/MPLS L3VPN看作该MPLS混合型VPN包含的子虚拟私有网络MPLS SubL2VPN/MPLS SubL3VPN，为各子虚拟私有网络配置不同的标签。

对于上述本发明提供的MPLS混合型VPN，其根据其包含的各三层子虚拟私有网络MPLS SubL3VPN来学习并管理用于三层MPLS VPN数据转发的私网路由表VRF，根据其包含的各二层子虚拟私有网络MPLSSubL2VPN来学习并管理其上用于二层MPLS VPN数据转发的地址表；同时，其中各子虚拟私有网络MPLS SubL2VPN/MPLS SubL3VPN相互配置独立，互不影响各自的子虚拟私有网络内二层/三层MPLS VPN数据转发；并且，由于该MPLS混合型VPN改进的是MPLS VPN的网络架构，并未修改其协议实现，使得该MPLS混合型VPN可采用目前公知的任何一种MPLS L2VPN/MPLS L3VPN实施方式来实现其中包含的各子虚拟私有网络MPLS SubL2VPN/MPLS SubL3VPN，当然也能支持任何一种未来发展出MPLS L2VPN/MPLS L3VPN实施方式。

不过，对于上述本发明提供的MPLS混合型VPN，虽然所述骨干网边缘设备PE的1个私网接入接口允许同时使能1个MPLS SubL2VPN和1个MPLS SubL3VPN；但需要限制的是：1个使能了MPLS SubL3VPN的骨干网边缘设备PE的私网接入接口必然配置有私网IP地址，并且处于同1个MPLS SubL2VPN的所述骨干网边缘设备PE的私网接入接口的IP地址必须配置在同一网段中；此外，1个MPLS混合型VPN中2个所述私网接入接口，不能既同属于其中同1个MPLS SubL2VPN，又同属于同1个MPLS SubL3VPN；比如，MPLS混合型VPN(VPN#A)中的骨干网边缘设备之一(PE#1)的私网接入接口(I#1)和骨干网边缘设备之二(PE#2)的私网接入接口(I#2)，不允许它们既同时使能同1个MPLSSubL2VPN(SubL2VPN#1)，又同时使能同1个MPLS SubL3VPN(SubL3VPN#1)。

下面将首先参照图3和图4，对上述本发明提供MPLS混合型VPN的组网架构结合实例进行解释。

如图4所示：同处于MPLS混合型VPN(VPN#A)中的用户网边缘设备CE1、CE2、CE3、和CE4，分别经由接口1(I#1)、接口2(I#2)、接口3(I#3)、和接口4(I#4)，连接至骨干网边缘设备PE1、PE2、PE3、和PE4；并且，接口1(I#1)、接口2(I#2)、接口3(I#3)、和接口4(I#4)均为上述混合型私网接入接口，其中接口1(I#1)使能有二层子虚拟私有交换网络SubL2VPN#1和三层子虚拟私有交换网络SubL3VPN#1、接口2(I#2)使能有二层子虚拟私有交换网络SubL2VPN#1和三层子虚拟私有交换网络SubL3VPN#2、接口3(I#3)使能有二层子虚拟私有交换网络SubL2VPN#2和三层子虚拟私有交换网络SubL3VPN#1、以及接口4(I#4)使能有二层子虚拟私有交换网络SubL2VPN#2和三层子虚拟私有交换网络SubL3VPN#2。

在上述各子虚拟私有交换网络(SubL2VPN#1、SubL2VPN#2、SubL3VPN#1、SubL3VPN#2)均使能成功后，其相互之间的组网关系则如图3所示：CE1和CE2同处于SubL2VPN#1，CE1、CE2、PE1的接口1(I#1)、及PE2的接口2(I#2)分别配置有属于同一网段(比如，10.0.0.0/24)的IP地址；CE3和CE4同处于SubL2VPN#2，CE3、CE4、PE3的接口3(I#3)、及PE4的接口4(I#4)分别配置有属于另一同一网段(比如11.0.0.0/24)的IP地址；此外，CE1和CE3同处于SubL3VPN#1，而CE2和CE4同处于SubL3VPN#2。这样，CE1和CE3之间、以及CE2和CE4之间，分别均可进行三层MPLS VPN数据转发；而CE1和CE2之间、以及CE3和CE4之间分别形成一个广播域，均可进行二层MPLS VPN数据转发。

随后参照图5及图6，介绍本发明提供MPLS混合型VPN中骨干网边缘设备PE接收到报文后的处理流程。

如图5所示，所述骨干网边缘设备PE对来自私网侧的报文处理过程包含有以下几个步骤：

步骤S1，该PE自其上私网接入接口接收报文；

步骤S2，根据接收到该报文的私网接入接口配置确定该报文所属的MPLS SubL2VPN/MPLS SubL3VPN；

步骤S3，判断该报文的目的MAC地址是否为该私网接入接口的虚MAC地址，是则执行步骤S4Y以进行三层MPLS VPN数据转发，否则执行步骤S4N以进行二层MPLS VPN数据转发；而当该私网接入接口没有配置虚MAC地址时，则也执行步骤S4N以进行二层MPLS VPN数据转发。

其中，所述步骤S4Y又需要执行下列具体操作：

步骤S4Y1，该PE根据该报文目的IP地址查找其上该报文所属MPLSSubL3VPN的私网路由表VRF；

步骤S4Y2，判断是否存在到达该报文目的IP地址的路由，是则执行下述步骤S4Y3Y，否则执行下述步骤S4Y3N；

步骤S4Y3N，将不存在路由到达其目的IP地址的报文丢弃；

步骤S4Y3Y，判断所述到达该报文目的IP地址的路由是否为自远端学习到的路由，是则对该报文封装其所属MPLS SubL3VPN标签后将其从公网侧转发出去，否则将该报文直接从私网侧三层转发出去。

其中，所述步骤S4N又需要执行下列具体操作：

步骤S4N1，该PE根据该报文目的MAC地址查找其上该报文所属MPLS SubL2VPN的MAC地址表；

步骤S4N2，判断是否存在该报文目的MAC地址，是则执行下述步骤S4N3Y，否则执行下述步骤S4N3N；

步骤S4N3N，将不存在其目的MAC地址的报文在该报文所述MPLSSubL2VPN内广播；

步骤S4N3Y，判断所述报文目的MAC地址是否为自远端学习到的MAC地址，是则对该报文封装其所属MPLS SubL2VPN标签后将其从公网侧转发出去，否则将该报文直接从私网侧二层转发出去。

如图6所示，所述骨干网边缘设备PE对来自公网侧的报文处理过程包含有以下几个步骤：

步骤G1，该PE自其上公网接入接口接收报文；

步骤G2，根据该报文携带的MPLS标签确定该报文所属的MPLSSubL2VPN/MPLS SubL3VPN；

步骤G3，如果所述步骤G2确定该报文属于MPLS SubL3VPN，则首先把该报文中的MPLS标签剥掉，然后再根据标签内部的用户报文执行步骤G4Y以进行三层MPLS VPN数据转发；如果所述步骤G2确定该报文属于MPLS SubL3VPN，同上，仍首先把该报文中的MPLS标签剥掉，然后再根据标签内部的用户报文执行步骤G4N以进行二层MPLS VPN数据转发。

其中，所述步骤G4Y及步骤G4N的所需执行的具体操作与上述步骤S4Y及步骤S4N类似，故在此不再赘述两者的相同点，只着重介绍两者的区别点在于：图5所示步骤S4N3N中，进行所述报文广播的范围为，该报文所属的整个所述MPLS SubL2VPN；而图6所示步骤G4N3N中，进行所述报文广播的范围仅为，所述MPLS SubL2VPN中本地连接至该骨干网边缘设备PE的用户网边缘设备CE。

本领域技术人员通过阅读上述文字，结合自身专业常识应该得知，本发明提供MPLS混合型VPN本质上相当于三层交换机，且其协议交互完全通过其包含的MPLS SubL3VPN和MPLS SubL2VPN来实现；因此如前所述，MPLS混合型VPN中包含的MPLS SubL3VPN/MPLSSubL2VPN的协议实现跟目前普通的MPLS L3VPN/MPLS L2VPN的实现完全一致，并且各所述MPLS SubL3VPN/MPLS SubL2VPN之间相互独立；从而使得所述MPLS混合型VPN完全可以兼容目前所有的普通MPLS L3VPN/MPLS L2VPN类型和协议实现，基本上不需做任何修改。

但唯一需要注意的是，由于所述MPLS混合型VPN中不同的骨干网边缘设备PE可通过该MPLS混合型VPN所包含MPLS SubL2VPN配置有属于同一网段的IP地址，这就使得所述PE将从不同的其他PE处学习到到达同一个目的网段的多条私网路由，并且所述PE有必要保留所述达到同一个目的网段的多条路由表项；当所述骨干网边缘设备PE确定其发送报文的目的IP地址后，从其上与该目的地址最长匹配的所述多条路由表项中选择优先级最高的私网路由进行报文转发。如果所述优先级最高的私网路由存在等价路由，则根据等价路由算法选择所述等价路由之一进行报文转发；其中，所述等价路由为，到达同一个目的网段的所述多条路由表项中，优先级相等的L条私网路由，且L为不小于2的整数。并且，如果正在使用的私网路由被撤销，也就是说所选择的私网路由已不存在，则将该私网路由删除，并重新选择私网路由进行报文转发。

最后将以图3所示实施例一为例，详细解释本发明提供MPLS混合型VPN是如何进行报文转发的，以帮助进一步理解本发明技术方案。

1)、假设图3所示CE1要跟图3所示CE2进行通信，由于CE1跟CE2配置有属于同一网段的IP地址，因此CE1将首先发送一个ARP请求报文请求获取CE2的MAC地址；图3所示与CE1相连的PE1收到该ARP请求报文后，根据其接收该报文的私网接入接口确定该报文属于VPN#A，且获知CE1和CE2同处于该VPN#A所包含的SubL2VPN#1；于是，PE1将该ARP请求报文作为以太网报文对其封装标签，并将其发送至图3所示与CE2相连的PE2；而PE2把标签弹出后，将该ARP请求报文直接二层转发至CE2。

上述CE2收到上述ARP请求报文后，生成相应的ARP响应报文并将其发送至PE2；PE2则根据该ARP响应报文的目的MAC将其封装标签后发送至PE1，而PE1把标签弹出后将该ARP响应报文发送至CE1。

自此，CE1和CE2互相知晓对方MAC地址，从而能够直接进行数据转发。上述CE1与CE2之间的通信过程，与普通MPLS L2VPN类似。

2)、假设CE1要跟图3所示CE3进行三层IP通信，由于CE1跟CE3配置有不属于同一网段的IP地址，并且CE1发现其到CE3网段的路由是从PE1处学习到的，因此CE1将发送一个目的MAC地址为PE1、目的IP地址为CE3的报文至PE1；PE1收到该报文后，根据其接收该报文的私网接入接口确定该报文属于VPN#A，且判定该报文目的MAC地址为其虚MAC地址；于是，PE1查找该报文所属MPLS SubL3VPN#1的私网路由表选定1条私网路由，并对该报文封装相应标签使之成为MPLS报文后将其发送至上述所选定私网路由指定的PE3，而如图3所示PE3与CE3相连。

上述PE3收到上述MPLS报文，把标签弹出后根据标签(或者通过查找其上私网路由表)将其发送至CE3。

自此，CE1到CE3的单向通信就完成了。而且，如果CE3要回送信息给CE1，其处理流程跟上述从CE1到CE3的通信过程类似，故在此不再赘述。

3)、假设CE1要跟图3所示CE4进行三层IP通信，同样由于CE1跟CE4配置有不属于同一网段的IP地址，并且CE1发现其到CE4网段的路由是从PE 1处学习到的，因此CE1将发送一个目的MAC地址为PE1、目的IP地址为CE4的报文至PE1；PE1收到该报文后，根据其接收该报文的私网接入接口确定该报文属于VPN#A，且判定该报文目的MAC地址为其虚MAC地址；于是，PE1查找该报文所述MPLS SubL3VPN#1的私网路由表选定1条私网路由，并对该报文封装相应标签使之成为MPLS报文后将其发送至上述所选定私网路由指定的PE3。

上述PE3收到上述MPLS报文，把标签弹出后发现该报文目的IP地址是从图3所示PE4上学习到的主机路由，且PE4与PE3同处于VPN#A所包含的MPLS SubL2VPN#2；于是，PE3将对该报文进行二层转发，将该报文重新封装标签使之再次成为MPLS报文后，将其发送至PE4；而PE收到该MPLS报文后弹出标签，并根据该报文目的MAC地址将其发送至CE4。

自此，完成CE1到CE4的单向通信。而且，本领域技术人员通过学习前述关于等价路由处理的解释文字应该得知，实现CE1到CE4的单向通信，除经由上述“CE1--＞PE1--＞PE3--＞PE4--＞CE4”的私网路由外，还可经由另一条“CE1--＞PE1--＞PE2--＞PE4--＞CE4”的私网路由，此两者互为等价路由；而由于本发明提供MPLS混合型VPN能够处理到达同一目的IP地址的等价路由，因此PE1在转发过程中发现其发送报文目的IP地址存在等价私网路由时，将根据其上等价路由算法(依优先级选择或随机选择)确定一条等价私网路由，在把报文封装标签后将报文发送至等价路由的对端设备之一，由该对端设备来进行二次查找确定真正的接收者。

此外，本发明还提供一种骨干网边缘设备，其用于组网上述本发明提供基于多协议标签交换的混合型虚拟私有网络系统时，因设计复杂度低而易实现。

如图7所示，该骨干网边缘设备包括有私网接入接口(110)和公网接入接口(120)，还包括有用于处理所述基于多协议标签交换的混合型虚拟私有网络数据的混合型虚拟私有网络单元(200)。

其中所述公网接入接口(120)使能有多协议标签交换功能。同时，至少1个所述私网接入接口(110)同时使能1个二层子虚拟私有网络和1个三层子虚拟私有网络，而使能有所述三层子虚拟私有网络的私网接入接口配置有IP地址和/或虚MAC地址。并且，对于使能有同1个所述二层子虚拟私有网络的私网接入接口，如果其中存在同时还使能有所述三层子虚拟私有网络的私网接入接口，则这些同时还使能有所述三层子虚拟私有网络的私网接入接口的IP地址均配置于同一网段中。

此外，所述混合型虚拟私有网络单元(200)进一步包括判断模块(210)，二层虚拟私有网络单元(220)和三层虚拟私有网络单元(230)。由于一个所述混合型虚拟私有网络单元(200)对应一个上述本发明提供基于多协议标签交换的混合型虚拟私有网络系统，因此一个混合型虚拟私有网络单元(200)包括有配置相互独立的n个二层虚拟私有网络单元(220)和m个三层虚拟私有网络单元(230)，其中n和m均为不小于0的整数，且n和m不同时为0。并且，一般骨干网边缘设备都包括有不少于2个的私网接入接口(110)，因此该骨干网边缘设备可能被配置组网于k个上述基于多协议标签交换的混合型虚拟私有网络系统；这样，如图7所示该骨干网边缘设备相应地具有k个混合型虚拟私有网络单元(200)，其中k为大于等于1的整数。

对于图7所示骨干网边缘设备，相应地，本发明还提供一种骨干网边缘设备的配置方法，且图8示出了该骨干网边缘设备的配置方法的具体操作流程。

如图8所示，该方法主要包括有下列步骤：

步骤1，于图7所示骨干网边缘设备中创建混合型虚拟私有网络单元(图7中200)；

步骤2，配置该骨干网边缘设备的公网接入接口(图7中120)，使该公网接入接口(图7中120)使能有多协议标签交换功能；

步骤3，配置该骨干网边缘设备的至少1个私网接入接口(图7中110)的子虚拟私有网络使能状况，使该私网接入接口(图7中110)同时使能有所述混合型虚拟私有网络单元覆盖的1个二层子虚拟私有网络和1个三层子虚拟私有网络，或者仅使能有所述二层子虚拟私有网络和所述三层子虚拟私有网络中任意一个。

其中，根据所述私网接入接口(图7中110)实际所需的子虚拟私有网络使能状况不同，所述步骤3又可能分别具体为步骤31、或者步骤32、以及或者步骤33，下面逐一详细介绍之：

当该私网接入接口(图7中110)实际所需的子虚拟私有网络使能状况仅为1个所述二层子虚拟私有网络时，则执行图8所示步骤31，通过配置命令将该私网接入接口(图7中110)绑定至该二层子虚拟私有网络，使该私网接入接口(图7中110)使能有该二层子虚拟私有网络。

当该私网接入接口(图7中110)实际所需的子虚拟私有网络使能状况仅为1个所述三层子虚拟私有网络时，则首先执行图8所示步骤32-1，通过配置命令将该私网接入接口(图7中110)绑定至该三层子虚拟私有网络；然后再执行图8所示步骤32-2，为该私网接入接口(图7中110)配置IP地址和/或虚MAC地址，使该私网接入接口(图7中110)使能有该二层子虚拟私有网络；且所述步骤32-1和步骤32-2共同构成所述步骤32。

当该私网接入接口(图7中110)实际所需的子虚拟私有网络使能状况同时为1个所述三层子虚拟私有网络和1个所述二层子虚拟私有网络时，则首先执行图8所示步骤33-1，通过配置命令将该私网接入接口(图7中110)分别绑定至该三层子虚拟私有网络和该二层子虚拟私有网络；然后再执行图8所示步骤33-2，确定该二层子虚拟私有网络中其他私网接入接口(图7中110)所处网段；最后执行图8所示步骤33-3，为该私网接入接口(图7中110)配置处于该网段的IP地址和/或虚MAC地址，使该私网接入接口(图7中110)同时使能有该二层子虚拟私有网络和三层子虚拟私有网络；且所述步骤33-1、步骤33-2和步骤33-3共同构成所述步骤33。

应用图8所示骨干网边缘设备的配置方法对图7所示骨干网边缘设备进行相应配置，使得组网于本发明所提供基于多协议标签交换的混合型虚拟私有网络系统时，该骨干网边缘设备能够同时处理基于多协议标签交换的二层虚拟私有网络和三层虚拟私有网络的报文数据。简述图7所示骨干网边缘设备的具体报文处理过程如下：

所述混合型虚拟私有网络单元(200)接收到自所述私网接入接口(110)输入的报文后，其中判断模块(210)判断该报文的目的MAC地址是否为该私网接入接口(110)的虚MAC地址，是则交由该私网接入接口(110)使能的三层子虚拟私有网络对应的三层虚拟私有网络单元(220)进行基于多协议标签交换的三层虚拟私有网络报文转发，否则交由该私网接入接口(110)使能的二层子虚拟私有网络对应的二层虚拟私有网络单元(230)进行基于多协议标签交换的二层虚拟私有网络报文转发；同时，优选地，如果该私网接入接口(110)上没有配置虚MAC地址，则交由该私网接入接口(110)使能的二层子虚拟私有网络对应的二层虚拟私有网络单元(220)进行基于多协议标签交换的二层虚拟私有网络报文转发。

所述混合型虚拟私有网络单元(200)接收到自所述公网接入接口(120)输入的报文后，其中判断模块(210)根据该报文携带的标签确定该报文所属的二层/三层子虚拟私有网络，交由与该二层/三层子虚拟私有网络对应的所述二层/三层虚拟私有网络单元(220/230)进行基于多协议标签交换的二层/三层虚拟私有网络报文转发。

其中，所述三层虚拟私有网络单元保留有到达同一个IP网段的K条路由表项，其中K为大于等于1的整数；所述三层虚拟私有网络单元确定其发送报文的目的地址后，从其上与该目的地址最长匹配的所述K条路由表项中，选择优先级最高的私网路由进行报文转发。如果所述优先级最高的私网路由存在等价路由，则根据等价路由算法选择所述等价路由之一进行报文转发；此外，如果正在使用的私网路由被撤销，则将该私网路由删除，并重新选择私网路由进行报文转发。

需要声明的是，上述发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用，不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理内，当可作各种修改、等同替换、或改进。本发明的保护范围以所附权利要求书为准。

Claims (13)

1.一种基于多协议标签交换的混合型虚拟私有网络系统，其特征在于：该网络系统包含有配置相互独立的n个三层子虚拟私有网络和m个二层子虚拟私有网络；其中n和m均为不小于0的整数，且n和m不同时为零；

该网络系统中骨干网边缘设备的公网接入接口使能有多协议标签交换功能，且各所述三层/二层子虚拟私有网络分别配置有至少1个唯一与其对应的标签；

所述骨干网边缘设备的至少1个私网接入接口同时使能有1个所述三层子虚拟私有网络和1个所述二层子虚拟私有网络；其中

使能有所述三层子虚拟私有网络的私网接入接口配置有IP地址和/或虚MAC地址，且使能有同1个所述二层子虚拟私有网络的对应私网接入接口的三层子虚拟网络的IP地址配置在同一网段中，以及1个基于多协议标签交换的混合型虚拟私有网络系统中2个所述私网接入接口，不能既同属于同1个基于多协议标签交换的二层子虚拟私有网络，又同属于同1个基于多协议标签交换的三层子虚拟私有网络。

2.如权利要求1所述基于多协议标签交换的混合型虚拟私有网络系统，其特征在于：

所述骨干网边缘设备自其上私网接入接口收到报文后，根据该私网接入接口的所述二层/三层子虚拟私有网络的使能状况，确定该报文所属的二层/三层子虚拟私有网络；

如果所述收到报文的私网接入接口上没有配置虚MAC地址，则进行基于多协议标签交换的二层虚拟私有网络报文转发；或者

如果所述收到报文的私网接入接口上配置有虚MAC地址，则判断该报文的目的MAC地址是否为该私网接入接口的虚MAC地址，是则查找其上私网路由表进行基于多协议标签交换的三层虚拟私有网络报文转发，否则查找其上MAC地址表进行基于多协议标签交换的二层虚拟私有网络报文转发。

3.如权利要求1所述基于多协议标签交换的混合型虚拟私有网络系统，其特征在于：

所述骨干网边缘设备自其公网接入接口收到报文后，根据该报文携带的标签，确定该报文所属的二层/三层子虚拟私有网络；

如果该报文属于三层子虚拟私有网络，则进行基于多协议标签交换的三层虚拟私有网络报文转发；如果该报文属于二层子虚拟私有网络，则进行基于多协议标签交换的二层虚拟私有网络报文转发。

4.如权利要求1或2或3所述基于多协议标签交换的混合型虚拟私有网络系统，其特征在于：所述骨干网边缘设备上保留有到达同一个IP网段的K条路由表项，其中K为大于等于1的整数；

所述骨干网边缘设备确定其发送报文的目的地址后，从其上与该目的地址最长匹配的所述K条路由表项中，选择优先级最高的私网路由进行报文转发。

5.如权利要求4所述基于多协议标签交换的混合型虚拟私有网络系统，其特征在于：如果所述优先级最高的私网路由存在等价路由，则根据等价路由算法选择所述等价路由之一进行报文转发。

6.如权利要求4所述基于多协议标签交换的混合型虚拟私有网络系统，其特征在于：如果正在使用的私网路由被撤销，则将该私网路由删除，并重新选择私网路由进行报文转发。

7.一种骨干网边缘设备，包括有私网接入接口和公网接入接口；其特征在于：所述公网接入接口使能有多协议标签交换功能；至少1个所述私网接入接口同时使能有1个二层子虚拟私有网络和1个三层子虚拟私有网络；其中使能有所述三层子虚拟私有网络的私网接入接口配置有IP地址和/或虚MAC地址，且使能有同1个所述二层子虚拟私有网络的对应私网接入接口的三层子虚拟网络的IP地址配置在同一网段中，以及1个基于多协议标签交换的混合型虚拟私有网络系统中2个所述私网接入接口，不能既同属于同1个基于多协议标签交换的二层子虚拟私有网络，又同属于同1个基于多协议标签交换的三层子虚拟私有网络。

8.如权利要求7所述的骨干网边缘设备，其特征在于，该骨干网边缘设备还包括有混合型虚拟私有网络单元，用于处理基于多协议标签交换的混合型虚拟私有网络数据；

所述混合型虚拟私有网络单元与所述私网接入接口和所述公网接入接口相连，包括有判断模块、二层虚拟私有网络单元和三层虚拟私有网络单元；所述混合型虚拟私有网络单元接收到自所述私网接入接口输入的报文后，如果所述输入报文的私网接入接口上没有配置虚MAC地址，则将该报文交由该私网接入接口使能的二层子虚拟私有网络对应的二层虚拟私有网络单元进行基于多协议标签交换的二层虚拟私有网络报文转发；或者如果所述输入报文的私网接入接口上配置有虚MAC地址，则首先由所述判断模块判断该报文的目的MAC地址是否为该私网接入接口的虚MAC地址，是则将该报文交由该私网接入接口使能的三层子虚拟私有网络对应的三层虚拟私有网络单元进行基于多协议标签交换的三层虚拟私有网络报文转发，否则将该报文交由该私网接入接口使能的二层子虚拟私有网络对应的二层虚拟私有网络单元进行基于多协议标签交换的二层虚拟私有网络报文转发；以及

所述混合型虚拟私有网络单元接收到自所述公网接入接口输入的报文后，首先由所述判断模块根据该报文携带的标签确定该报文所属的二层/三层子虚拟私有网络，再将该报文交由与该二层/三层子虚拟私有网络对应的所述二层/三层虚拟私有网络单元进行基于多协议标签交换的二层/三层虚拟私有网络报文转发。

9.如权利要求8所述骨干网边缘设备，其特征在于：所述三层虚拟私有网络单元保留有到达同一个IP网段的K条路由表项，其中K为大于等于1的整数；

所述三层虚拟私有网络单元确定其发送报文的目的地址后，从其上与该目的地址最长匹配的所述K条路由表项中，选择优先级最高的私网路由进行报文转发。

10.如权利要求9所述骨干网边缘设备，其特征在于：如果所述优先级最高的私网路由存在等价路由，则根据等价路由算法选择所述等价路由之一进行报文转发。

11.如权利要求9所述骨干网边缘设备，其特征在于：如果正在使用的私网路由被撤销，则将该私网路由删除，并重新选择私网路由进行报文转发。

12.一种骨干网边缘设备的配置方法，应用于如权利要求9所述的骨干网边缘设备，其特征在于，该方法包括有下列步骤：

步骤1，于所述骨干网边缘设备中创建混合型虚拟私有网络单元；

步骤2，配置所述骨干网边缘设备的公网接入接口，使该公网接入接口使能有多协议标签交换功能；

步骤3，配置所述骨干网边缘设备的至少1个私网接入接口的虚拟私有网络使能状况，使该私网接入接口同时使能有所述混合型虚拟私有网络单元覆盖的1个二层子虚拟私有网络和1个三层子虚拟私有网络，或者仅使能有所述二层子虚拟私有网络和所述三层子虚拟私有网络中任意一个；其中使能有所述三层子虚拟私有网络的私网接入接口配置有IP地址和/或虚MAC地址，且使能有同1个所述二层子虚拟私有网络的对应私网接入接口的三层子虚拟网络的IP地址配置在同一网段中，以及1个基于多协议标签交换的混合型虚拟私有网络系统中2个所述私网接入接口，不能既同属于同1个基于多协议标签交换的二层子虚拟私有网络，又同属于同1个基于多协议标签交换的三层子虚拟私有网络。

13.如权利要求12所述骨干网边缘设备的配置方法，其特征在于：

所述步骤3具体为步骤31，通过配置命令将所述私网接入接口绑定至1个所述二层子虚拟私有网络；

或者所述步骤3具体为步骤32，通过配置命令将所述私网接入接口绑定至1个所述三层子虚拟私有网络，并为该私网接入接口配置IP地址和/或虚MAC地址；

或者所述步骤3具体为步骤33，通过配置命令将所述私网接入接口同时绑定至1个所述三层子虚拟私有网络和1个所述二层子虚拟私有网络，并在确定所述二层子虚拟私有网络中其他私网接入接口所处网段后，为该私网接入接口配置处于该网段的IP地址和/或虚MAC地址。

Images