一种VPN的处理方法和PE设备以及系统技术方案

本发明专利技术公开一种VPN的处理方法和PE设备以及系统，用于实现PE设备发送VPN数据报文时路由方向的控制。本发明专利技术实施例提供一种VPN的处理方法，包括：第一PE设备接收第一CE设备发布的第一IP路由，以及接收第二CE设备发布的第二IP路由，第一IP路由和第二IP路由携带的IP地址前缀相同；第一PE设备根据第一IP路由获得第一VPN路由，且根据第二IP路由获得第二VPN路由，第一VPN路由携带第一Sub RD和用于标识第一Sub RD的第一标签，第二VPN路由携带第二Sub RD和用于标识第二Sub RD的第二标签；第一PE设备将第一VPN路由发布给第二PE设备，且将第二VPN路由发布给第二PE设备。

【技术实现步骤摘要】
一种VPN的处理方法和PE设备以及系统
本专利技术涉及计算机
，尤其涉及一种虚拟专用网(英文全称：VirtualPrivateNetwork，英文简称：VPN)的处理方法和提供商边缘(英文全称：ProviderEdge，英文简称：PE)设备以及系统。
技术介绍
边界网关协议(英文全称：BorderGatewayProtocol，英文简称：BGP)是一种用于自治系统(英文全称：AutonomousSystem，英文简称：AS)之间的动态路由协议。早期发布的三个版本分别是BGP-1(以编号排定的文件(英文全称：RequestForComments，英文简称：RFC)1105)、BGP-2(RFC1163)和BGP-3(RFC1267)，主要用于交换AS之间的可达路由信息，构建AS域间的传播路径，防止路由环路的产生，并在AS级别应用一些路由策略。当前使用的版本是BGP-4(RFC4271)。BGP作为事实上的互联网外部路由协议标准，被广泛应用于因特网服务提供商(英文全称：InternetServiceProvider，英文简称：ISP)之间。传统的BGP-4只能管理互联网协议第四版(英文全称：InternetProtocolversion4，英文简称：IPv4)的单播路由信息，对于使用其它网络层协议(例如互联网协议第六版(英文全称：InternetProtocolversion6，英文简称：IPv6)、组播等)的应用就受到一定限制。为了提供对多种网络层协议的支持，国际互联网工程任务组(英文全称：InternetEngineeringTaskForce，英文简称：IETF)对BGP-4进行了扩展，形成BGP多协议扩展(英文全称：MultiprotocolExtensionsforBorderGatewayProtocol，英文简称：MP-BGP)，目前的MP-BGP标准是BGP-4的多协议扩展(英文名称：MultiprotocolExtensionsforBGP-4)，即RFC4760。为保证内部边界网关协议(英文全称：InternalBorderGatewayProtocol，英文简称：IBGP)对等体之间的连通性，需要在IBGP对等体之间建立全网状(英文名称：Full-mesh)关系。假设在一个AS内部有n台路由器，那么应该建立的IBGP连接数就为n(n-1)/2，n为自然数。当IBGP对等体数目很多时，对网络资源和中央处理器(英文全称：CentralProcessingUnit，英文简称：CPU)资源的消耗都很大，利用路由反射可以解决这一问题。在一个AS内，其中一台路由器作为路由反射器(英文全称：RouteReflector，英文简称：RR)，其它路由器作为客户机(英文名称：Client)。客户机与路由反射器之间建立IBGP连接。BGP/多协议标签交换(英文名称：MultipleProtocolLabelSwitch，英文简称：MPLS)IPVPN是一种三层(英文全称：Layer3，英文简称：L3)VPN。它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商的骨干网上转发VPN报文。这里的IP是指VPN承载的IP报文。BGP/MPLSIPVPN的基本模型由三部分组成：客户边缘(英文全称：CustomerEdge，英文简称：CE)设备、PE设备和提供商(英文全称：Provider，英文简称：P)设备。在VPN中的站点(英文名称：site)是指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过服务提供商网络实现。一个site中的设备可以属于多个VPN。site通过CE设备连接到服务提供商网络，一个site可以包含多个CE设备，但一个CE设备只属于一个site。对于多个连接到同一服务提供商网络的site，通过制定策略，可以将它们划分为不同的集合(英文名称：set)，只有属于相同集合的site之间才能通过服务提供商网络进行相互访问，这种集合就是VPN。VPN是一种私有网络，不同的VPN独立管理自己的地址范围，也称为地址空间(英文名称：AddressSpace)。不同VPN的地址空间可能会在一定范围内重合，例如，VPN1和VPN2都使用10.110.10.0/24网段地址，这就发生了地址空间的重叠(英文名称：AddressSpacesOverlapping)。CE设备属于用户设备，无需感知到公网和其他私网的存在，因此CE设备只需要将本地私网路由传输给PE设备即可。运营商的PE设备一般会与多个不同私网的CE设备相连，所以PE设备会收到来自不同私网的路由。由于各个私网可能会使用重叠的地址空间，导致这些私网路由会携带相同的目的地址。如果PE设备只维护一张路由转发表，将使这些地址重叠的路由相互覆盖造成路由丢失。因此为了避免这种情况发生，VPN技术中产生了VPN实例(英文名称：VPN-instance)。在BGP/MPLSIPVPN的组网场景中，VPN路由的发布涉及CE设备和PE设备，P设备只维护骨干网的路由，不需要了解任何VPN路由。PE设备一般维护所有VPN路由。PE设备可以从多个绑定相同VPN实例的CE设备接收到相同的IP地址前缀，为了区分不同VPN中相同的IP地址前缀，BGP/MPLSIPVPN使用了VPN-IPv4地址族。VPN-IPv4地址共有12个字节，包括8个字节的主路由标识符(英文全称：RouterDistinguisher，英文简称：RD)和4个字节的IPv4地址前缀。由于本端PE设备将相同的主RD和相同的IP地址前缀的VPN-IPv4路由向远端发布时，根据RFC4271规定的BGP路由优选规则，PE设备只能选择其中一条VPN-IPv4路由，因此在远端PE设备上也只能看到一条路由。因此从远端PE设备向本端RE设备返回VPN数据报文时，远端PE设备只能沿着本端PE设备采用的VPN-IPv4路由返回VPN数据报文。因此，现有技术中前述的远端PE设备作为进入(英文名称：Ingress)PE设备时，无法控制VPN数据报文的路由方向，也就无法实现网络流量的优化。
技术实现思路
本专利技术实施例提供了一种VPN的处理方法和PE设备以及系统，用于实现PE设备发送VPN数据报文时路由方向的控制，实现对网络流量的优化管理。为解决上述技术问题，本专利技术实施例提供以下技术方案：第一方面，本专利技术实施例提供一种VPN的处理方法，包括：第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由，以及接收第二CE设备发布的第二IP路由，所述第一IP路由和所述第二IP路由携带的IP地址前缀相同；所述第一PE设备根据所述第一IP路由获得第一VPN路由，且根据所述第二IP路由获得第二VPN路由，所述第一VPN路由携带第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签，所述第二VPN路由携带第二SubRD和用于标识所述第二SubRD的第二标签，所述第一SubRD用于指示所述第一CE设备，所述第二SubRD用于指示所述第二CE设备；所述第一PE设备将所述第一VPN路由发布给第二PE设备，且将所述第二VPN路由发布给所述第二PE设备。在本专利技术本文档来自技高网...

【技术保护点】
一种虚拟专用网VPN的处理方法，其特征在于，包括：第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由，以及接收第二CE设备发布的第二IP路由，所述第一IP路由和所述第二IP路由携带的IP地址前缀相同；所述第一PE设备根据所述第一IP路由获得第一VPN路由，且根据所述第二IP路由获得第二VPN路由，所述第一VPN路由携带第一子路由标识符Sub RD和用于标识所述第一Sub RD的第一标签，所述第二VPN路由携带第二Sub RD和用于标识所述第二Sub RD的第二标签，所述第一Sub RD用于指示所述第一CE设备，所述第二Sub RD用于指示所述第二CE设备；所述第一PE设备将所述第一VPN路由发布给第二PE设备，且将所述第二VPN路由发布给所述第二PE设备。

【技术特征摘要】
1.一种虚拟专用网VPN的处理方法，其特征在于，包括：第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由，以及接收第二CE设备发布的第二IP路由，所述第一IP路由和所述第二IP路由携带的IP地址前缀相同；所述第一PE设备根据所述第一IP路由获得第一VPN路由，且根据所述第二IP路由获得第二VPN路由，所述第一VPN路由携带第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签，所述第二VPN路由携带第二SubRD和用于标识所述第二SubRD的第二标签，所述第一SubRD用于指示所述第一CE设备，所述第二SubRD用于指示所述第二CE设备；所述第一PE设备将所述第一VPN路由发布给第二PE设备，且将所述第二VPN路由发布给所述第二PE设备。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一PE设备将所述第一VPN路由与第一出口目标属性关联，所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性，所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配；所述第一PE设备将所述第二VPN路由与第二出口目标属性关联，所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性，所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。3.根据权利要求1所述的方法，其特征在于，所述第一PE设备将所述第一VPN路由发布给第二PE设备，且将所述第二VPN路由发布给所述第二PE设备之后，所述方法还包括：所述第一PE设备接收所述第二PE设备发送的VPN数据报文；所述第一PE设备确定所述VPN数据报文携带标签是第一标签或者第二标签，若所述VPN数据报文携带所述第一标签，所述第一PE设备将所述VPN数据报文转发给所述第一CE设备；若所述VPN数据报文携带所述第二标签，所述第一PE设备将所述VPN数据报文转发给所述第二CE设备。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一VPN路由中还携带有所述IP地址前缀，所述第一SubRD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻；所述第二VPN路由中还携带有所述IP地址前缀，所述第二SubRD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。5.一种虚拟专用网VPN的处理方法，其特征在于，包括：第二提供商边缘PE设备接收来自第一PE设备的第一VPN路由，以及接收来自所述第一PE设备的第二VPN路由，其中，所述第一VPN路由携带第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签，所述第二VPN路由携带第二SubRD和用于标识所述第二SubRD的第二标签；所述第二PE设备根据所述第一SubRD获取到第一标签，且根据所述第二SubRD获取到第二标签，所述第一标签和所述第二标签用于所述第二PE设备配置给需要发送的VPN数据报文。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述第二PE设备向所述第一PE设备发送VPN数据报文，所述VPN数据报文携带有所述第一标签或所述第二标签。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：所述第二PE设备从所述第一VPN路由中获取到第一出口目标属性，所述第二PE设备确定所述第一出口目标属性与所述第二PE设备的入口目标属性匹配成功，然后将所述第一出口目标属性对应的第一VPN路由加入所述第二PE设备的VPN路由表；所述第二PE设备从所述第二VPN路由中获取到第二出口目标属性，所述第二PE设备确定所述第二出口目标属性与所述第二PE设备的入口目标属性匹配成功，然后将所述第二出口目标属性对应的第二VPN路由加入所述第二PE设备的VPN路由表。8.一种虚拟专用网VPN的处理方法，其特征在于，包括：第一提供商边缘PE设备接收第一客户边缘CE设备发布的第一互联网协议IP路由，所述第一PE设备和所述第一CE设备之间配置有第一链路和第二链路；所述第一PE设备根据所述第一IP路由获得第一VPN路由和第二VPN路由，所述第一VPN路由携带与所述第一链路对应的第一子路由标识符SubRD和用于标识所述第一SubRD的第一标签，所述第二VPN路由携带与所述第二链路对应的第二SubRD和用于标识所述第二SubRD的第二标签，所述第一SubRD用于指示所述第一链路，所述第二SubRD用于指示所述第二链路；所述第一PE设备将所述第一VPN路由发布给第二PE设备，且将所述第二VPN路由发布给所述第二PE设备。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：所述第一PE设备接收第二CE设备发布的第二IP路由，所述第一IP路由和所述第二IP路由携带的IP地址前缀相同；所述第一PE设备根据所述第二IP路由获得第三VPN路由，所述第三VPN路由携带第三SubRD和用于标识所述第三SubRD的第三标签，所述第三SubRD用于指示所述第二CE设备；所述第一PE设备将所述第三VPN路由发布给第二PE设备。10.根据权利要求8所述的方法，其特征在于，所述方法还包括：所述第一PE设备将所述第一VPN路由与第一出口目标属性关联，所述第一PE设备发布给所述第二PE设备的第一VPN路由携带有所述第一出口目标属性，所述第一出口目标属性与所述第二PE设备的入口目标属性进行匹配；所述第一PE设备将所述第二VPN路由与第二出口目标属性关联，所述第一PE设备发布给所述第二PE设备的第二VPN路由携带有所述第二出口目标属性，所述第二出口目标属性与所述第二PE设备的入口目标属性进行匹配。11.根据权利要求8所述的方法，其特征在于，所述第一PE设备将所述第一VPN路由发布给第二PE设备，且将所述第二VPN路由发布给所述第二PE设备之后，所述方法还包括：所述第一PE设备接收所述第二PE设备发送的VPN数据报文；所述第一PE设备确定所述VPN数据报文携带标签是第一标签或者第二标签，若所述VPN数据报文携带所述第一标签，所述第一PE设备将所述VPN数据报文通过所述第一链路转发给所述第一CE设备；若所述VPN数据报文携带所述第二标签，所述第一PE设备将所述VPN数据报文通过所述第二链路转发给所述第一CE设备。12.根据权利要求8至11中任一项所述的方法，其特征在于，所述第一VPN路由中还携带有所述IP地址前缀，所述第一SubRD在所述第一VPN路由中的位置与所述IP地址前缀在所述第一VPN路由中的位置相邻；所述第二VPN路由中还携带有所述IP地址前缀，所述第二SubRD在所述第二VPN路由中的位置与所述IP地址前缀在所述第二VPN路由中的位置相邻。13.一种提供商边缘PE设备，其特征在于，所述PE设备具体为第一PE设备，所述第一PE设备包括：收发模块，用于接收第一客户边缘CE设备发布的第一互联网协议IP路由，以及接收第二CE设备发布的第二IP路由，所述第一IP路由和所述第二IP路由携带的...

【专利技术属性】
技术研发人员：庄顺万，徐海军，李振斌，车佳，王海波，陈双龙，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44