一种VPN的处理方法和PE设备以及系统技术方案

技术编号:15794804 阅读:449 留言:0更新日期:2017-07-10 09:58
本发明专利技术公开一种VPN的处理方法和PE设备以及系统,用于实现PE设备发送VPN数据报文时路由方向的控制。本发明专利技术实施例提供一种VPN的处理方法,包括:第一PE设备接收第一CE设备发布的第一IP路由,以及接收第二CE设备发布的第二IP路由,第一IP路由和第二IP路由携带的IP地址前缀相同;第一PE设备根据第一IP路由获得第一VPN路由,且根据第二IP路由获得第二VPN路由,第一VPN路由携带第一Sub RD和用于标识第一Sub RD的第一标签,第二VPN路由携带第二Sub RD和用于标识第二Sub RD的第二标签;第一PE设备将第一VPN路由发布给第二PE设备,且将第二VPN路由发布给第二PE设备。

【技术实现步骤摘要】
一种VPN的处理方法和PE设备以及系统
本专利技术涉及计算机
,尤其涉及一种虚拟专用网(英文全称:VirtualPrivateNetwork,英文简称:VPN)的处理方法和提供商边缘(英文全称:ProviderEdge,英文简称:PE)设备以及系统。
技术介绍
边界网关协议(英文全称:BorderGatewayProtocol,英文简称:BGP)是一种用于自治系统(英文全称:AutonomousSystem,英文简称:AS)之间的动态路由协议。早期发布的三个版本分别是BGP-1(以编号排定的文件(英文全称:RequestForComments,英文简称:RFC)1105)、BGP-2(RFC1163)和BGP-3(RFC1267),主要用于交换AS之间的可达路由信息,构建AS域间的传播路径,防止路由环路的产生,并在AS级别应用一些路由策略。当前使用的版本是BGP-4(RFC4271)。BGP作为事实上的互联网外部路由协议标准,被广泛应用于因特网服务提供商(英文全称:InternetServiceProvider,英文简称:ISP)之间。传统的BGP-4只能管理互联网协议第四版(英文全称:InternetProtocolversion4,英文简称:IPv4)的单播路由信息,对于使用其它网络层协议(例如互联网协议第六版(英文全称:InternetProtocolversion6,英文简称:IPv6)、组播等)的应用就受到一定限制。为了提供对多种网络层协议的支持,国际互联网工程任务组(英文全称:InternetEngineeringTaskForce,英文简称:IETF)对BGP-4进行了扩展,形成BGP多协议扩展(英文全称:MultiprotocolExtensionsforBorderGatewayProtocol,英文简称:MP-BGP),目前的MP-BGP标准是BGP-4的多协议扩展(英文名称:MultiprotocolExtensionsforBGP-4),即RFC4760。为保证内部边界网关协议(英文全称:InternalBorderGatewayProtocol,英文简称:IBGP)对等体之间的连通性,需要在IBGP对等体之间建立全网状(英文名称:Full-mesh)关系。假设在一个AS内部有n台路由器,那么应该建立的IBGP连接数就为n(n-1)/2,n为自然数。当IBGP对等体数目很多时,对网络资源和中央处理器(英文全称:CentralProcessingUnit,英文简称:CPU)资源的消耗都很大,利用路由反射可以解决这一问题。在一个AS内,其中一台路由器作为路由反射器(英文全称:RouteReflector,英文简称:RR),其它路由器作为客户机(英文名称:Client)。客户机与路由反射器之间建立IBGP连接。BGP/多协议标签交换(英文名称:MultipleProtocolLabelSwitch,英文简称:MPLS)IPVPN是一种三层(英文全称:Layer3,英文简称:L3)VPN。它使用BGP在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商的骨干网上转发VPN报文。这里的IP是指VPN承载的IP报文。BGP/MPLSIPVPN的基本模型由三部分组成:客户边缘(英文全称:CustomerEdge,英文简称:CE)设备、PE设备和提供商(英文全称:Provider,英文简称:P)设备。在VPN中的站点(英文名称:site)是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过服务提供商网络实现。一个site中的设备可以属于多个VPN。site通过CE设备连接到服务提供商网络,一个site可以包含多个CE设备,但一个CE设备只属于一个site。对于多个连接到同一服务提供商网络的site,通过制定策略,可以将它们划分为不同的集合(英文名称:set),只有属于相同集合的site之间才能通过服务提供商网络进行相互访问,这种集合就是VPN。VPN是一种私有网络,不同的VPN独立管理自己的地址范围,也称为地址空间(英文名称:AddressSpace)。不同VPN的地址空间可能会在一定范围内重合,例如,VPN1和VPN2都使用10.110.10.0/24网段地址,这就发生了地址空间的重叠(英文名称:AddressSpacesOverlapping)。CE设备属于用户设备,无需感知到公网和其他私网的存在,因此CE设备只需要将本地私网路由传输给PE设备即可。运营商的PE设备一般会与多个不同私网的CE设备相连,所以PE设备会收到来自不同私网的路由。由于各个私网可能会使用重叠的地址空间,导致这些私网路由会携带相同的目的地址。如果PE设备只维护一张路由转发表,将使这些地址重叠的路由相互覆盖造成路由丢失。因此为了避免这种情况发生,VPN技术中产生了VPN实例(英文名称:VPN-instance)。在BGP/MPLSIPVPN的组网场景中,VPN路由的发布涉及CE设备和PE设备,P设备只维护骨干网的路由,不需要了解任何VPN路由。PE设备一般维护所有VPN路由。PE设备可以从多个绑定相同VPN实例的CE设备接收到相同的IP地址前缀,为了区分不同VPN中相同的IP地址前缀,BGP/MPLSIPVPN使用了VPN-IPv4地址族。VPN-IPv4地址共有12个字节,包括8个字节的主路由标识符(英文全称:RouterDistinguisher,英文简称:RD)和4个字节的IPv4地址前缀。由于本端PE设备将相同的主RD和相同的IP地址前缀的VPN-IPv4路由向远端发布时,根据RFC4271规定的BGP路由优选规则,PE设备只能选择其中一条VPN-IPv4路由,因此在远端PE设备上也只能看到一条路由。因此从远端PE设备向本端RE设备返回VPN数据报文时,远端PE设备只能沿着本端PE设备采用的VPN-IPv4路由返回VPN数据报文。因此,现有技术中前述的远端PE设备作为进入(英文名称:Ingress)PE设备时,无法控制VPN数据报文的路由方向,也就无法实现网络流量的优化。
技术实现思路
本专利技术实施例提供了一种VPN的处理方法和PE设备以及系统,用于实现PE设备发送VPN数据报文时路由方向的控制,实现对网络流量的优化管理。为解决上述技术问题,本专利技术实施例提供以下技术方案:第一方面,本专利技术实施例提供一种VPN的处理方法,包括:第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;所述第一PE设备根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签,所述第二VPN路由携带第二SubRD和用于标识所述第二SubRD的第二标签,所述第一SubRD用于指示所述第一CE设备,所述第二SubRD用于指示所述第二CE设备;所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。在本专利技术本文档来自技高网
...
一种VPN的处理方法和PE设备以及系统

【技术保护点】
一种虚拟专用网VPN的处理方法,其特征在于,包括:第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;所述第一PE设备根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签,所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签,所述第一Sub RD用于指示所述第一CE设备,所述第二Sub RD用于指示所述第二CE设备;所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。

【技术特征摘要】
1.一种虚拟专用网VPN的处理方法,其特征在于,包括:第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;所述第一PE设备根据所述第一IP路由获得第一VPN路由,且根据所述第二IP路由获得第二VPN路由,所述第一VPN路由携带第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签,所述第二VPN路由携带第二SubRD和用于标识所述第二SubRD的第二标签,所述第一SubRD用于指示所述第一CE设备,所述第二SubRD用于指示所述第二CE设备;所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述第一PE设备将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;所述第一PE设备将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。3.根据权利要求1所述的方法,其特征在于,所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,所述方法还包括:所述第一PE设备接收所述第二PE设备发送的VPN数据报文;所述第一PE设备确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述第一PE设备将所述VPN数据报文转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述第一PE设备将所述VPN数据报文转发给所述第二CE设备。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一VPN路由中还携带有所述IP地址前缀,所述第一SubRD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;所述第二VPN路由中还携带有所述IP地址前缀,所述第二SubRD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。5.一种虚拟专用网VPN的处理方法,其特征在于,包括:第二提供商边缘PE设备接收来自第一PE设备的第一VPN路由,以及接收来自所述第一PE设备的第二VPN路由,其中,所述第一VPN路由携带第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签,所述第二VPN路由携带第二SubRD和用于标识所述第二SubRD的第二标签;所述第二PE设备根据所述第一SubRD获取到第一标签,且根据所述第二SubRD获取到第二标签,所述第一标签和所述第二标签用于所述第二PE设备配置给需要发送的VPN数据报文。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:所述第二PE设备向所述第一PE设备发送VPN数据报文,所述VPN数据报文携带有所述第一标签或所述第二标签。7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:所述第二PE设备从所述第一VPN路由中获取到第一出口目标属性,所述第二PE设备确定所述第一出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第一出口目标属性对应的第一VPN路由加入所述第二PE设备的VPN路由表;所述第二PE设备从所述第二VPN路由中获取到第二出口目标属性,所述第二PE设备确定所述第二出口目标属性与所述第二PE设备的入口目标属性匹配成功,然后将所述第二出口目标属性对应的第二VPN路由加入所述第二PE设备的VPN路由表。8.一种虚拟专用网VPN的处理方法,其特征在于,包括:第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由,所述第一PE设备和所述第一CE设备之间配置有第一链路和第二链路;所述第一PE设备根据所述第一IP路由获得第一VPN路由和第二VPN路由,所述第一VPN路由携带与所述第一链路对应的第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签,所述第二VPN路由携带与所述第二链路对应的第二SubRD和用于标识所述第二SubRD的第二标签,所述第一SubRD用于指示所述第一链路,所述第二SubRD用于指示所述第二链路;所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备。9.根据权利要求8所述的方法,其特征在于,所述方法还包括:所述第一PE设备接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的IP地址前缀相同;所述第一PE设备根据所述第二IP路由获得第三VPN路由,所述第三VPN路由携带第三SubRD和用于标识所述第三SubRD的第三标签,所述第三SubRD用于指示所述第二CE设备;所述第一PE设备将所述第三VPN路由发布给第二PE设备。10.根据权利要求8所述的方法,其特征在于,所述方法还包括:所述第一PE设备将所述第一VPN路由与第一出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性,所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配;所述第一PE设备将所述第二VPN路由与第二出口目标属性关联,所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性,所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。11.根据权利要求8所述的方法,其特征在于,所述第一PE设备将所述第一VPN路由发布给第二PE设备,且将所述第二VPN路由发布给所述第二PE设备之后,所述方法还包括:所述第一PE设备接收所述第二PE设备发送的VPN数据报文;所述第一PE设备确定所述VPN数据报文携带标签是第一标签或者第二标签,若所述VPN数据报文携带所述第一标签,所述第一PE设备将所述VPN数据报文通过所述第一链路转发给所述第一CE设备;若所述VPN数据报文携带所述第二标签,所述第一PE设备将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。12.根据权利要求8至11中任一项所述的方法,其特征在于,所述第一VPN路由中还携带有所述IP地址前缀,所述第一SubRD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻;所述第二VPN路由中还携带有所述IP地址前缀,所述第二SubRD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。13.一种提供商边缘PE设备,其特征在于,所述PE设备具体为第一PE设备,所述第一PE设备包括:收发模块,用于接收第一客户边缘CE设备发布的第一互联网协议IP路由,以及接收第二CE设备发布的第二IP路由,所述第一IP路由和所述第二IP路由携带的...

【专利技术属性】
技术研发人员:庄顺万徐海军李振斌车佳王海波陈双龙
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1