專利名稱:一種虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域���,尤其涉及一種VPN(Virtual PrivateNetwork��,虛擬專用網(wǎng))中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�。
背景技術(shù):
VPN是企業(yè)或特定用戶群體利用公共網(wǎng)絡(luò)(如運(yùn)營商的網(wǎng)絡(luò)資源)來構(gòu)建自己的私有網(wǎng)絡(luò)、以滿足自身應(yīng)用需求����;通過VPN,企業(yè)或特定用戶群體可在其分支機(jī)構(gòu)、遠(yuǎn)程用戶、商業(yè)伙伴等之間建立安全���、可靠的連接�����、低成本地傳輸數(shù)據(jù)����。傳統(tǒng)的VPN網(wǎng)絡(luò)是建立在IP(互聯(lián)網(wǎng)協(xié)議)技術(shù)基礎(chǔ)上的�����,它使用IP網(wǎng)絡(luò)設(shè)施對專用廣域網(wǎng)仿真,是企業(yè)或特定用戶群體利用公共IP網(wǎng)絡(luò)來構(gòu)建自己的私有網(wǎng)絡(luò)�����。MPLS/BGP VPN則是一種在公共網(wǎng)絡(luò)中使用MPLS(多協(xié)議標(biāo)簽交換)技術(shù)和BGP(邊界網(wǎng)關(guān)協(xié)議)來提供IP VPN業(yè)務(wù),以其為基礎(chǔ)形成了RFC2547標(biāo)準(zhǔn)(RFC���,請求注釋協(xié)議����,Internet的標(biāo)準(zhǔn)),該標(biāo)準(zhǔn)所述VPN是一種PP VPN(Provider Provide VPN��,運(yùn)營商提供的VPN)���,VPN設(shè)備位于網(wǎng)絡(luò)側(cè)���,由運(yùn)營商為用戶提供VPN服務(wù),用戶設(shè)備不需要感知VPN��,只要連接到運(yùn)營商提供的PE設(shè)備即可。MPLS/BGP VPN的組網(wǎng)結(jié)構(gòu)如圖1所示���,圖中包括的設(shè)備分別為CE(Custom Edge,用戶邊緣)路由器或設(shè)備是用戶網(wǎng)絡(luò)中的一個(gè)組成部分����,可通過接口直接與運(yùn)營商的骨干網(wǎng)絡(luò)相連�,用于將VPN的一個(gè)SITE(用戶站點(diǎn))連接到PE設(shè)備上��。
PE(Provider Edge���,骨干網(wǎng)邊緣)路由器或設(shè)備即運(yùn)營商邊緣路由器���,是運(yùn)營商網(wǎng)絡(luò)的邊緣設(shè)備��,是MPLS/BGP VPN業(yè)務(wù)的實(shí)現(xiàn)主體����,它為每一個(gè)VPN用戶站點(diǎn)維護(hù)一個(gè)獨(dú)立的路由表�,與用戶的CE設(shè)備直接相連�;MPLS網(wǎng)絡(luò)中����,對VPN的所有處理都發(fā)生在PE設(shè)備上����。
P(Provider�,骨干網(wǎng)核心路由器)運(yùn)營商網(wǎng)絡(luò)中的骨干路由器���,主要不和CE設(shè)備直接相連���。P路由器具有MPLS基本轉(zhuǎn)發(fā)能力。
所述的CE和PE設(shè)備主要是從運(yùn)營商與用戶的管理范圍來劃分的��,CE設(shè)備和PE設(shè)備分別是兩者管理范圍的邊界。CE與PE設(shè)備之間使用E-BGP(外部邊界網(wǎng)關(guān)協(xié)議)或是IGP(內(nèi)部網(wǎng)關(guān)協(xié)議)路由協(xié)議交換路由信息�,當(dāng)然也可以使用靜態(tài)路由�����,CE設(shè)備不必支持MPLS或?qū)PN有感知,VPN內(nèi)部PE設(shè)備之間通過MP-IBGP(多協(xié)議內(nèi)部網(wǎng)關(guān)協(xié)議)交換路由信息��。
前面描述了BGP/MPLS VPN的組網(wǎng)結(jié)構(gòu)����,下面再對BGP/MPLS VPN的相關(guān)屬性分別進(jìn)行介紹一個(gè)VPN通常由多個(gè)SITE組成��,在PE設(shè)備上��,每個(gè)SITE對應(yīng)一個(gè)VRF(VPN routing/forwarding instance��,VPN路由/轉(zhuǎn)發(fā)實(shí)例),VRF主要包括IP路由表�����、標(biāo)簽轉(zhuǎn)發(fā)表����、使用標(biāo)簽轉(zhuǎn)發(fā)表的一系列接口以及管理信息�����,所述的管理信息包括RD(Route Distinguisher�����,路由分辨符)、路由過濾策略����、成員接口列表等。
PE設(shè)備之間使用BGP和VPN-IPv4地址發(fā)布VPN路由信息���。一個(gè)VPN-IPv4地址有12個(gè)字節(jié)�����,開始是8字節(jié)的RD���,下面是4字節(jié)的IPv4地址�����,如圖2所示���。服務(wù)供應(yīng)商可以獨(dú)立地分配RD�,通常將專用的AS(AutonomousSystem--自治系統(tǒng))號作為RD的一部分來保證每個(gè)RD的全局唯一性����。這樣����,即使VPN-IPv4地址中包含的4字節(jié)IPv4地址重疊,VPN-IPv4地址仍可以保持全局唯一�。PE設(shè)備從CE接收的路由是IPv4路由信息,根據(jù)需要將其引入VRF路由表中�,此時(shí)需要附加一個(gè)所述的RD����。通常為來自于同一個(gè)SITE的所有路由信息設(shè)置相同的RD����。
Vpn-Target(VPN目標(biāo))屬性用于最終確定整個(gè)網(wǎng)絡(luò)的VPN劃分����,由于MPLS/BGP VPN中沒有明確的VPN標(biāo)識�����,所以需要依靠Vpn-Target屬性來確定不同SITE之間可以收到哪些SITE的路由�,本SITE的路由可以被哪些SITE接收����。具體的講,PE設(shè)備存在兩個(gè)Vpn-Target屬性的集合一個(gè)集合用于附加到從某個(gè)SITE接收的路由上���,稱為Export Vpn-Targets�;另一個(gè)集合用于決定哪些路由可以引入此SITE的路由表中�,稱為Import Vpn-Targets���。通過匹配路由所攜帶的Vpn-target(VPN目標(biāo))屬性,可以獲得VPN的成員關(guān)系�����。匹配Vpn-Target屬性可以用來過濾PE設(shè)備接收的路由信息���。如圖2所示���,當(dāng)收到MPLS VPN路由時(shí)��,如果其中的Export Vpn-Targets(即ERT1,ERT2����,......,ERTn)集合與Import Vpn-Targets集合存在相同的項(xiàng)����,則相應(yīng)的路由有效�����,如果Export Vpn-Targets集合與Import Vpn-Targets集合不存在相同的項(xiàng)���,則相應(yīng)的路由將作為無效路由被拒絕��。
CE設(shè)備與PE設(shè)備之間通過IGP或E-BGP來傳播路由信息時(shí),PE得到該VPN的路由表�,存儲(chǔ)在單獨(dú)的VRF中���。整個(gè)網(wǎng)絡(luò)包括的各個(gè)PE之間通過IGP來保證內(nèi)部的連通性�����,通過IBGP來傳播VPN組成信息和路由信息,并完成各自VRF的更新��。再通過與直接相連CE之間的路由交換來更新CE的路由表�,由此完成各個(gè)CE之間的路由交換。
整個(gè)網(wǎng)絡(luò)中完成了PE設(shè)備之間�,以及PE設(shè)備與CE設(shè)備之間的路由交換后�,便可以進(jìn)行VPN報(bào)文的轉(zhuǎn)發(fā)了���。VPN報(bào)文轉(zhuǎn)發(fā)使用兩層標(biāo)簽方式��。第一層(外層)標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換�����,代表了從PE到對端PE的一條LSP(標(biāo)簽交換路徑)����,VPN報(bào)文利用這層標(biāo)簽,就可以沿著LSP到達(dá)對端PE�。從對端PE到達(dá)CE時(shí)使用第二層(內(nèi)層)標(biāo)簽,內(nèi)層標(biāo)簽指示了報(bào)文到達(dá)哪個(gè)SITE即到達(dá)哪一個(gè)CE���。這樣,根據(jù)內(nèi)層標(biāo)簽��,就可以找到轉(zhuǎn)發(fā)報(bào)文的接口��。
由此可以看出�����,目前基于RFC2547的PP VPN(Provider ProvideVPN�,簡稱PP VPN�����,運(yùn)營商提供的VPN)解決方案中���,VPN關(guān)系是通過一種策略匹配來形成的��,也就是說沒有顯式的VPN標(biāo)識�����。比如本地一個(gè)PE上有兩個(gè)VRFVRF1���,VRF2���,遠(yuǎn)端一個(gè)PE上也有對應(yīng)的兩個(gè)VRFVRF1,VRF2�����,通過分別配置本地和遠(yuǎn)端的VRF的import vpn-target(輸入VPN目標(biāo))屬性和export vpn-target(輸出VPN目標(biāo))屬性���,形成對應(yīng)的匹配關(guān)系�����,這樣就可以收發(fā)需要的的路由����,形成最終的VPN關(guān)系。
因此�����,任何一個(gè)VRF的import vpn-target屬性或是export vpn-target屬性的變化都會(huì)影響到整網(wǎng)的VPN劃分�,導(dǎo)致整網(wǎng)VPN關(guān)系發(fā)生變化�。在一些應(yīng)用中�,一個(gè)PE設(shè)備上通常配置有多個(gè)VRF��,即分別連接了多個(gè)SITE,這些VRF分別和其它PE設(shè)備上的VRF分別形成了不同的VPN關(guān)系�。而且,整個(gè)網(wǎng)絡(luò)的VPN劃分是由整個(gè)網(wǎng)絡(luò)的網(wǎng)管來管理的,統(tǒng)一規(guī)劃不同VRF的importvpn-target屬性和export vpn-target屬性�����,包括一個(gè)PE設(shè)備上不同VRF之間的VPN關(guān)系的劃分管理����。
由于一個(gè)網(wǎng)絡(luò)拓?fù)渫ǔJ歉鶕?jù)地域劃分的,一個(gè)PE設(shè)備上連接的VPN客戶都屬于同一個(gè)區(qū)域,同時(shí)還因?yàn)樗麄冊谛姓凸芾砩峡赡軐儆谕粋€(gè)管理者���,因此��,他們之間通常希望具有比較靈活的VPN關(guān)系���,即希望一個(gè)PE設(shè)備上各個(gè)不同的VPN客戶的VPN關(guān)系可以獨(dú)立地進(jìn)行管理��,也就是說將一個(gè)PE設(shè)備上的VPN劃分權(quán)限完全本地化�����,交由本地PE設(shè)備的管理員進(jìn)行管理����。例如,政府的辦公網(wǎng)���,每個(gè)城市有一個(gè)獨(dú)立的PE設(shè)備,每個(gè)城市有幾大職能部門�,比如財(cái)政,人事等���,分別接入這個(gè)PE設(shè)備����,各個(gè)城市之間的相同職能部門分別屬于同一個(gè)VPN�����,不同的職能部門屬于不同的VPN����,不能互訪�。但是同一個(gè)城市內(nèi)的幾大職能部門之間可能會(huì)在一個(gè)VPN內(nèi),也可能一個(gè)PE上其中幾個(gè)系統(tǒng)在一個(gè)VPN內(nèi)�,因此��,這種VPN關(guān)系可能經(jīng)常會(huì)發(fā)生變化,這種局部VPN關(guān)系的變化通常不希望影響到其它城市客戶的VPN關(guān)系�����。
然而���,目前任何一個(gè)VRF的VPN屬性變化會(huì)影響到整個(gè)網(wǎng)絡(luò)的VPN劃分�����,這便給上述需求的實(shí)現(xiàn)帶來了很大的局限性�����,即在上例中無法實(shí)現(xiàn)局部VPN關(guān)系的變化不影響到其它城市客戶的VPN關(guān)系�。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的缺點(diǎn)�,本發(fā)明的目的是提供一種虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法���,以實(shí)現(xiàn)將整個(gè)VPN中的成員管理權(quán)限進(jìn)行分級管理���,便于VPN中靈活地調(diào)整各個(gè)用戶站點(diǎn)間的VPN關(guān)系。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的所述的一種虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�����,包括A、確定需要進(jìn)行分級管理的所有用戶站點(diǎn)��;B、針對確定的用戶站點(diǎn)分別配置本地VPN(虛擬專用網(wǎng))目標(biāo)屬性��;C���、各個(gè)確定的用戶站點(diǎn)根據(jù)配置的本地VPN目標(biāo)屬性進(jìn)行各用戶站點(diǎn)發(fā)出的路由信息的引入��;D�、確定的用戶站點(diǎn)間根據(jù)引入的路由信息進(jìn)行互訪�。
所述的步驟A包括在骨干網(wǎng)絡(luò)的PE(骨干網(wǎng)邊緣)設(shè)備上確定需要進(jìn)行互訪的用戶站點(diǎn)作為需要進(jìn)行分級管理的用戶站點(diǎn)。
本發(fā)明中�,步驟B所述的本地VPN目標(biāo)屬性為定義僅在確定需要進(jìn)行分級管理的所有用戶站點(diǎn)之間可以進(jìn)行路由信息交換的屬性信息�����。
所述的步驟B包括對確定需要進(jìn)行互訪的用戶站點(diǎn)分別配置本地輸入VPN(虛擬專用網(wǎng))目標(biāo)屬性和本地輸出VPN目標(biāo)屬性。
所述的步驟C包括
各個(gè)確定的用戶站點(diǎn)判斷收到的本地PE設(shè)備上的路由信息中的本地輸出VPN目標(biāo)屬性集合是否與本用戶站點(diǎn)配置的本地輸入VPN目標(biāo)屬性集合存在相同的項(xiàng)���,如果存在�����,則引入該路由信息�,否則����,拒絕引入該路由信息�����,所述的本地PE設(shè)備是指相應(yīng)的用戶站點(diǎn)所在的PE設(shè)備����。
所述的步驟C進(jìn)一步包括C1�����、用戶站點(diǎn)對應(yīng)的路由轉(zhuǎn)發(fā)實(shí)例判斷收到的路由信息中的輸出VPN目標(biāo)屬性集合是否與本用戶站點(diǎn)配置的輸入VPN目標(biāo)屬性集合存在相同的項(xiàng)����,如果存在��,則引入該路由信息�����,否則�����,執(zhí)行步驟C2�����;C2、繼續(xù)判斷收到的路由信息是否為本地PE設(shè)備上的路由信息���,如果是執(zhí)行步驟C3,否則��,拒絕引入該路由信息���;C3����、繼續(xù)判斷收到的本地PE設(shè)備上的路由信息中的本地輸出VPN目標(biāo)屬性集合是否與本用戶站點(diǎn)配置的本地輸入VPN目標(biāo)屬性集合存在相同的項(xiàng),如果存在�����,則引入該路由信息,否則�����,拒絕引入該路由信息��。
所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法中�����,在于執(zhí)行所述的步驟A之前還包括步驟EE、在網(wǎng)絡(luò)中���,確定VPN中需要改變VPN關(guān)系的各個(gè)用戶站點(diǎn)�����,并判斷各個(gè)用戶站點(diǎn)是否處于同一PE設(shè)備上�,如果是�����,則執(zhí)行步驟A�����,否則���,執(zhí)行步驟F��;F�����、為所述的各個(gè)用戶站點(diǎn)分別配置輸入/輸出VPN目標(biāo)屬性;G����、所述的各個(gè)用戶站點(diǎn)根據(jù)配置的輸入/輸出VPN目標(biāo)屬性進(jìn)行各個(gè)用戶站點(diǎn)發(fā)出的路由信息的引入����;H����、所述的各個(gè)用戶站點(diǎn)間根據(jù)引入的路由信息進(jìn)行互訪�。
本發(fā)明所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法中所述的步驟B為由確定的用戶站點(diǎn)所在的PE設(shè)備的網(wǎng)管分別為確定的用戶站點(diǎn)配置本地VPN目標(biāo)屬性���;
所述的步驟F為由整個(gè)網(wǎng)絡(luò)的網(wǎng)管為所述的各個(gè)用戶站點(diǎn)分別配置輸入/輸出VPN目標(biāo)屬性���。
本發(fā)明中,步驟C和步驟G所述的各個(gè)用戶站點(diǎn)發(fā)出的路由信息的處理包括當(dāng)用戶站點(diǎn)向所在的PE設(shè)備上的其他用戶站點(diǎn)發(fā)送路由信息時(shí)���,攜帶著為該用戶站點(diǎn)配置的VPN目標(biāo)屬性和本地VPN目標(biāo)屬性;當(dāng)用戶站點(diǎn)向所在的PE設(shè)備以外的其他用戶站點(diǎn)發(fā)送路由信息時(shí)�,則僅攜帶著為該用戶站點(diǎn)配置的VPN目標(biāo)屬性。
本發(fā)明中是��,步驟E所述的網(wǎng)絡(luò)可以為MPLS/BGP VPN(基于多協(xié)議標(biāo)簽交換/邊界網(wǎng)關(guān)協(xié)議的VPN)或基于draft-kompella-ppvpn-l2vpn-Ox.txt(關(guān)于二層VPN的草案)草案實(shí)現(xiàn)的L2VPN���。
由上述本發(fā)明提供的技術(shù)方案可以看出����,本發(fā)明在基于RFC2547的PPVPN的組網(wǎng)中,實(shí)現(xiàn)了VPN管理權(quán)限的分級��,一個(gè)PE設(shè)備上的VPN劃分可以完全由本地PE設(shè)備的網(wǎng)管獨(dú)立管理����,而整網(wǎng)的VPN劃分則由整網(wǎng)的網(wǎng)管獨(dú)立管理,從而使得本地PE設(shè)備上的VPN關(guān)系的變化不會(huì)影響到整個(gè)網(wǎng)絡(luò)的VPN關(guān)系����,以及其他PE設(shè)備上的用戶站點(diǎn)間的VPN關(guān)系���,有效地解決了現(xiàn)有技術(shù)所存在的無法實(shí)現(xiàn)局部VPN關(guān)系的變化不影響到其它城市客戶的VPN關(guān)系問題����。仍以背景技術(shù)中所描述的例子為例,本發(fā)明的實(shí)現(xiàn)����,使得當(dāng)政府的辦公網(wǎng)的一個(gè)PE設(shè)備上的用戶站點(diǎn)間的VPN關(guān)系發(fā)生改變時(shí)���,僅由該P(yáng)E設(shè)備的網(wǎng)管通過本地VPN目標(biāo)屬性進(jìn)行VPN關(guān)系的重新配置即可,而對于整個(gè)政府辦公網(wǎng)以及網(wǎng)上的其他PE設(shè)備上的VPN關(guān)系不產(chǎn)生任何影響���。
圖1為BGP/MPLS VPN組網(wǎng)結(jié)構(gòu)示意圖;圖2為路由目標(biāo)屬性過濾路的示意圖�;
圖3為本發(fā)明所述的萬法的流程圖;圖4為BGP/MPLS VPN組網(wǎng)結(jié)構(gòu)實(shí)例示意圖����。
具體實(shí)施例方式
本發(fā)明主要是通過令一個(gè)PE設(shè)備的管理員(即網(wǎng)管)對相應(yīng)PE設(shè)備上接入的用戶站點(diǎn)之間的VPN關(guān)系擁有獨(dú)立的管理權(quán)限���,以解決現(xiàn)有技術(shù)中所存在的問題���,即在整個(gè)虛擬專用網(wǎng)中實(shí)現(xiàn)縱向(即整個(gè)網(wǎng)絡(luò))的VPN劃分權(quán)限屬于整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員��,橫向(單個(gè)PE設(shè)備)的VPN劃分權(quán)限屬于一臺PE設(shè)備的管理員,從而使VPN應(yīng)用中�,縱向VPN可以分別互通,橫向VPN可以獨(dú)立改變VPN關(guān)系��。
由背景技術(shù)的描述可以知道���,RFC2547的PP VPN解決方案中���,一個(gè)VRF有import vpn-target屬性和export vpn-target屬性,這兩個(gè)屬性中,importvpn-target屬性確定了一個(gè)VRF可以接收整網(wǎng)中哪些VPN路由���,export vpn-target屬性確定了本VRF的路由可以被整網(wǎng)中哪些VRF所接收�。本發(fā)明是基于RFC2547的PP VPN解決方案提出了一種新的VPN屬性local Vpn-target(本地VPN目標(biāo))屬性����,所述的本地VPN目標(biāo)屬性為定義僅在確定需要進(jìn)行分級管理的所有用戶站點(diǎn)之間可以進(jìn)行路由信息交換的屬性信息���,具體可以為定義僅在同一PE設(shè)備上的需要進(jìn)行互訪的CE設(shè)備間進(jìn)行路由信息交換的屬性��,該屬性包括local import vpn-target(本地輸入VPN目標(biāo))屬性和localexport vpn-target(本地輸出VPN目標(biāo))屬性���,兩屬性在進(jìn)行路由交換時(shí)的應(yīng)用原理與現(xiàn)有VRF中的兩屬性的應(yīng)用原理類似����。
所述的local Vpn-target屬性只作用于所在的PE設(shè)備上的VPN路由,具體描述如下所述的local import vpn-target屬性將只用來確定可以接收所在的PE設(shè)備上的哪些用戶站點(diǎn)發(fā)出的VPN路由����,不對其他PE設(shè)備發(fā)來的VPN路由起作用��;所述的local export vpn-target屬性不會(huì)附加在本用戶站點(diǎn)對應(yīng)的VRF的路由上發(fā)送給其它的PE設(shè)備����,它只會(huì)在同一PE設(shè)備上的其他的VRF引入此VRF的路由時(shí)起作用���,即與同一PE設(shè)備上的其他VRF的local importvpn-target屬性列表匹配�,以確定是否需要引入這個(gè)VRF中的路由��。
本發(fā)明中�����,一個(gè)VRF的vpn-target屬性和local vpn-target屬性之間的關(guān)系如下因?yàn)橐粋€(gè)VRF的Vpn-target和Local vpn-target屬性一般分別會(huì)有多個(gè),因此分別用Vpn-target屬性列表和Local vpn-target屬性列表來表示。
前面對于發(fā)明的主要思想及主要采用的技術(shù)手段進(jìn)行了描述���,下面結(jié)合附圖對本發(fā)明的述的方法的具體實(shí)施方式
作進(jìn)一步說明,參見圖3�����,具體包括以下步驟步驟31根據(jù)實(shí)際需要確定需要對整個(gè)虛擬專用網(wǎng)中的VPN關(guān)系進(jìn)行調(diào)整,并進(jìn)一步確定需要進(jìn)行VPN關(guān)系的所有用戶站點(diǎn),例如�����,根據(jù)網(wǎng)絡(luò)運(yùn)營的需要將同一PE設(shè)備上本來無法互訪的用戶站點(diǎn)修改為可以進(jìn)行互訪����,或者將不同PE設(shè)備上的本來無法互訪的用戶站點(diǎn)修改為可以互訪等等�;步驟32判斷所述的所有的用戶站點(diǎn)是否位于同一PE設(shè)備上����,如果處于同一PE設(shè)備上�����,則執(zhí)行步驟33,否則���,執(zhí)行步驟36��;步驟33對各個(gè)用戶站點(diǎn)進(jìn)行本地VPN目標(biāo)屬性的配置���,包括配置本地輸入VPN目標(biāo)屬性和本地輸出VPN目標(biāo)屬性���;步驟34基于步驟33配置的本地VPN目標(biāo)屬性進(jìn)行各個(gè)用戶站點(diǎn)的VPN路由信息的引入,即基于步驟33配置的本地VPN目標(biāo)屬性更新各個(gè)用戶站點(diǎn)的VRF中的路由信息�����;步驟35同一PE設(shè)備上的各個(gè)用戶站點(diǎn)根據(jù)引入的路由信息進(jìn)行互訪�����,即經(jīng)過步驟34的處理后,各個(gè)用戶站點(diǎn)便可以基于更新后的路由信息進(jìn)行互訪,實(shí)現(xiàn)了基于各個(gè)用戶站點(diǎn)的VPN關(guān)系的改變���。
步驟36對各個(gè)用戶站點(diǎn)進(jìn)行VPN目標(biāo)屬性的配置��,包括配置輸入VPN目標(biāo)屬性和輸出VPN目標(biāo)屬性�;
步驟37基于步驟36配置的VPN目標(biāo)屬性進(jìn)行各個(gè)用戶站點(diǎn)的VPN路由信息的引入�����,即基于步驟36配置的VPN目標(biāo)屬性更新各個(gè)用戶站點(diǎn)的VRF中的路由信息����;步驟38不同PE設(shè)備上的各個(gè)用戶站點(diǎn)根據(jù)引入的路由信息進(jìn)行互訪,即經(jīng)過步驟37的處理后���,各個(gè)用戶站點(diǎn)便可以基于更新后VRF中的路由信息進(jìn)行互訪,實(shí)現(xiàn)了基于各個(gè)用戶站點(diǎn)的VPN關(guān)系的改變�。
其中步驟34和步驟37的處理過程中涉及的路由信息的引入的處理過程與前面描述的處理過程類似����,均為根據(jù)VPN目標(biāo)屬性或本地VPN目標(biāo)屬性是否匹配確定是否引入相應(yīng)的路由信息�。在本發(fā)明中��,當(dāng)一個(gè)用戶站點(diǎn)收到VPN路由信息并由對應(yīng)的VRF判斷是否引入所述的VPN路由信息時(shí)����,可以分以下幾種處理情況(1)如果路由信息是由其他PE設(shè)備發(fā)來的���,則此VRF將使用用戶站點(diǎn)的import vpn-target列表去匹配VPN路由所攜帶的export vpn-target屬性列表��,如果其中有一項(xiàng)匹配,則確定接收這條VPN路由,否則不接收���;(2)如果路由信息是本地PE設(shè)備其他用戶站占發(fā)來的,則此VRF首先使用import vpn-target列表來匹配路由所攜帶的export vpn-target屬性列表,如果匹配,則引入該路由信息��,如果不匹配���,則用此VRF的local import vpn-target屬性列表來匹配這條路由攜帶的local export vpn-target屬性列表��,如果匹配,引入路由���,否則拒絕引入該路由;所述的本地PE設(shè)備是指接收VPN路由信息的用戶站點(diǎn)所在的PE設(shè)備。
上述兩種情況在具體的實(shí)現(xiàn)過程中�����,可以首先判斷出所述的路由信息是由其他PE設(shè)備發(fā)來的����,還是由本地PE設(shè)備的其他用戶站點(diǎn)發(fā)來的,然后���,分別采用上述相應(yīng)的處理過程進(jìn)行處理�;也可以首先使用用戶站點(diǎn)的importvpn-target列表去匹配VPN路由所攜帶的export vpn-target屬性列表��,如果其中有一項(xiàng)匹配����,則確定接收這條VPN路由(即引入該路由信息),否則繼續(xù)判斷所述的路由信息是由其他PE設(shè)備發(fā)來的,還是由本地PE設(shè)備的其他用戶站點(diǎn)發(fā)來的,如果是其他PE設(shè)備發(fā)來的��,則拒絕引入該路由信息��,否則�,繼續(xù)用此VRF的local import vpn-target屬性列表來匹配這條路由攜帶的localexport vpn-target屬性列表���,如果匹配,則引入該路由信息�,否則����,拒絕引入該路由信息�。
本發(fā)明中�,一個(gè)PE上的VRF之間的vpn-target屬性列表和local vpn-target屬性列表是否能彼此做匹配來確定是否引入路由的����,也就是說VPN目標(biāo)屬性和本地VPN目標(biāo)屬性均為各自單獨(dú)使用���,且本地VPN目標(biāo)屬性權(quán)在同一PE設(shè)備上的用戶站點(diǎn)間互相引入路由信息時(shí)使用����。
下面再結(jié)合圖4,對本發(fā)明所述的方法的具體應(yīng)用加以說明�����,圖4中骨干網(wǎng)有三個(gè)PE設(shè)備�,每個(gè)PE設(shè)備上連接了三個(gè)SITE�����,分別對應(yīng)著本區(qū)域的三個(gè)職能部門辦公�����,財(cái)務(wù)����,市場����,通常三個(gè)區(qū)域中的三個(gè)相同的職能部門之間肯定是需要互通的��,因此,需要為整個(gè)網(wǎng)絡(luò)中的三種職能部門分別配置不同的VPN����,可以分別為vpn_BanGong VPN,vpn_CaiWu VPN和vpn_ShiChang VPN���,而不同地域的不同的職能部門之間是不能互訪的����。
對于整個(gè)網(wǎng)絡(luò)上的VPN劃分是由整網(wǎng)的管理員負(fù)責(zé)的,所以整網(wǎng)的管理員需要在三個(gè)PE設(shè)備上分別作如下的VPN配置,以實(shí)現(xiàn)三個(gè)VPN分別劃分Ip vrf vpn_BanGong創(chuàng)建一個(gè)名為vpn_BanGong的VPN�;Rd 100∶1將vpn_BanGong的RD配置為100∶1��;Import vpn-target 100∶1將輸入VPN目標(biāo)屬性配置為100∶1�����;Export vpn-target 100∶1將輸出VPN目標(biāo)屬性配置為100∶1�;Ip vrf vpn_CaiWu創(chuàng)建一個(gè)名為vpn_CaiWu的VPN�����;Rd 100∶2將vpn_CAIWU的RD配置為100∶2�;Import vpn-target 100∶2將輸入VPN目標(biāo)屬性配置為100∶2����;Export vpn-target 100∶2將輸出VPN目標(biāo)屬性配置為100∶2���;
Ip vrf vpn_ShiChang創(chuàng)建一個(gè)名為vpn_ShiChang的VPN;Rd 100∶3將vpn_ShiChang的RD配置為100∶3�;Import vpn-target 100∶3將輸入VPN目標(biāo)屬性配置為100∶3;Export vpn-target 100∶3將輸出VPN目標(biāo)屬性配置為100∶3��;經(jīng)過上述配置�����,將三個(gè)區(qū)域的相同職能部門配置于同一個(gè)VPN內(nèi)�,便可以保證三個(gè)區(qū)域的相同職能部門的互通,而三個(gè)區(qū)域不同的職能部門卻因?yàn)閷儆诓煌腣PN而不能互通。
同時(shí),接入同一個(gè)PE設(shè)備的三個(gè)職能部門之間由于屬于同一個(gè)區(qū)域分支的三個(gè)職能部門��,所以通常也可能有不同的互通需求,比如辦公要訪問財(cái)務(wù)�����,這是實(shí)際應(yīng)用中不可避免���,而且同一個(gè)區(qū)域的各個(gè)部門之間可能是一種比較靈活多變的VPN關(guān)系���,即本地VPN關(guān)系可能會(huì)經(jīng)常變化的����。通常一個(gè)PE設(shè)備上的各種特殊的VPN關(guān)系的需求不應(yīng)該對其他PE設(shè)備上的職能部門有什么影響的��。而且這種靈活的VPN關(guān)系的變化考慮到管理的簡化及方便性通常也不應(yīng)該由整網(wǎng)的管理員來管理的,只需要本PE設(shè)備上的管理員來管理即可����,而且為保證網(wǎng)絡(luò)的安全性和穩(wěn)定性,本地PE設(shè)備的管理員在管理本地的職能部門的VPN關(guān)系時(shí),任何操作(正確的或是誤操作)都不應(yīng)該對整網(wǎng)的VPN關(guān)系產(chǎn)生影響����。
如圖4中的分支1上的辦公和財(cái)務(wù)職能部門要互訪�,只需要在前面的整網(wǎng)配置基礎(chǔ)上增加如下的配置即可���,具體為Ip vrf vpn_BanGong創(chuàng)建一個(gè)名為vpn_BanGong的VPN��;Rd 100∶1將vpn_BanGong的RD配置為100∶1��;Import vpn-target 100∶1將輸入VPN目標(biāo)屬性配置為100∶1����;Export vpn-target 100∶1將輸出VPN目標(biāo)屬性配置為100∶1;Localimport vpn-target 200∶1將本地輸入VPN目標(biāo)屬性配置為200∶1;Local export vpn-target 200∶1將本地輸出VPN目標(biāo)屬性配置為200∶1;
Ip vrf vpn_CaiWu創(chuàng)建一個(gè)名為vpn_CaiWu的VPN�;Rd 100∶2將vpn_CaiWu的RD配置為100∶2;Import vpn-target 100∶2將輸入VPN目標(biāo)屬性配置為100∶2;Export vpn-target 100∶2將輸出VPN目標(biāo)屬性配置為100∶2�;Local import vpn-target 200∶1將本地輸入VPN目標(biāo)屬性配置為200∶1;Local export vpn-target 200∶1將本地輸出VPN目標(biāo)屬性配置為200∶1���;通過vpn_BanGong和vpn_CaiWu上述Local vpn-target的配置�����,就形成了兩者的互訪����,而且配置的local export vpn-target不會(huì)隨路由發(fā)出,localimport vpn-target屬性列表也不會(huì)作用于任何其他PE來的路由���,只會(huì)作用于本地的VPN路由��。因此新增的這樣的配置不會(huì)對整網(wǎng)的VPN關(guān)系產(chǎn)生任何影響�����,只是根據(jù)本地PE設(shè)備的管理員的意愿��,修改了本地的VPN關(guān)系。在其他的PE設(shè)備上也可能有相同的需求,比如分支2上需要財(cái)務(wù)VPN和市場VPN可以互訪可以做如下配置Ip vrf vpn_CaiWu創(chuàng)建一個(gè)名為vpn_CaiWu的VPN�����;Rd 100∶2將vpn_CaiWu的RD配置為100∶2���;Import vpn-target 100∶2將輸入VPN目標(biāo)屬性配置為100∶2����;Export vpn-target 100∶2將輸出VPN目標(biāo)屬性配置為100∶2��;Local import vpn-target 200∶1將本地輸入VPN目標(biāo)屬性配置為200∶1;Local export vpn-target 200∶1將本地輸出VPN目標(biāo)屬性配置為200∶1;Ip vrf vpn_ShiChang創(chuàng)建一個(gè)名為vpn_ShiChang的VPN�����;Rd 100∶3將vpn_ShiChang的RD配置為100∶3���;Import vpn-target 100∶3將輸入VPN目標(biāo)屬性配置為100∶3;Export vpn-target 100∶3將輸出VPN目標(biāo)屬性配置為100∶3����;
Local import vpn-target 200∶1將本地輸入VPN目標(biāo)屬性配置為200∶1��;Local export vpn-target 200∶1將本地輸出VPN目標(biāo)屬性配置為200∶1�����;可以看出����,雖然兩個(gè)分支上的vpn_ShiChang和vpn_CaiWu的配置中出現(xiàn)了Local vpn-target屬性重疊,但是也不會(huì)導(dǎo)致兩個(gè)分支上的不同職能部分的錯(cuò)誤互訪�。
本發(fā)明除適用于MPLS/BGP VPN外,還適用于其他與MPLS/BGP VPN類似的VPN���,例如基于draft-kompella-ppvpn-l2vpn-Ox.txt(關(guān)于二層VPN的草案)實(shí)現(xiàn)的L2VPN���。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)��,可輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����,如將本發(fā)明應(yīng)用于其他與前所述網(wǎng)絡(luò)類似的網(wǎng)絡(luò)中等。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1.一種虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�����,其特征在于包括A、確定需要進(jìn)行分級管理的所有用戶站點(diǎn)����;B��、針對確定的用戶站點(diǎn)分別配置本地VPN(虛擬專用網(wǎng))目標(biāo)屬性�����;C�����、各個(gè)確定的用戶站點(diǎn)根據(jù)配置的本地VPN目標(biāo)屬性進(jìn)行各用戶站點(diǎn)發(fā)出的路由信息的引入;D、確定的用戶站點(diǎn)間根據(jù)引入的路由信息進(jìn)行互訪���。
2.根據(jù)權(quán)利要求1所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法,其特征在于所述的步驟A包括在骨干網(wǎng)絡(luò)的PE(骨干網(wǎng)邊緣)設(shè)備上確定需要進(jìn)行互訪的用戶站點(diǎn)作為需要進(jìn)行分級管理的用戶站點(diǎn)�。
3.根據(jù)權(quán)利要求1所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�,其特征在于步驟B所述的本地VPN目標(biāo)屬性為定義僅在確定需要進(jìn)行分級管理的所有用戶站點(diǎn)之間可以進(jìn)行路由信息交換的屬性信息����。
4.根據(jù)權(quán)利要求1�����、2或3所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�����,其特征在于所述的步驟B包括對確定需要進(jìn)行互訪的用戶站點(diǎn)分別配置本地輸入VPN(虛擬專用網(wǎng))目標(biāo)屬性和本地輸出VPN目標(biāo)屬性����。
5.根據(jù)權(quán)利要求4所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�����,其特征在于所述的步驟C包括各個(gè)確定的用戶站點(diǎn)判斷收到的本地PE設(shè)備上的路由信息中的本地輸出VPN目標(biāo)屬性集合是否與本用戶站點(diǎn)配置的本地輸入VPN目標(biāo)屬性集合存在相同的項(xiàng)�,如果存在,則引入該路由信息��,否則����,拒絕引入該路由信息,所述的本地PE設(shè)備是指相應(yīng)的用戶站點(diǎn)所在的PE設(shè)備��。
6.根據(jù)權(quán)利要求5所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�����,其特征在于所述的步驟C進(jìn)一步包括C1�����、用戶站點(diǎn)對應(yīng)的路由轉(zhuǎn)發(fā)實(shí)例判斷收到的路由信息中的輸出VPN目標(biāo)屬性集合是否與本用戶站點(diǎn)配置的輸入VPN目標(biāo)屬性集合存在相同的項(xiàng)���,如果存在��,則引入該路由信息���,否則�,執(zhí)行步驟C2��;C2��、繼續(xù)判斷收到的路由信息是否為本地PE設(shè)備上的路由信息�,如果是執(zhí)行步驟C3�,否則�����,拒絕引入該路由信息;C3、繼續(xù)判斷收到的本地PE設(shè)備上的路由信息中的本地輸出VPN目標(biāo)屬性集合是否與本用戶站點(diǎn)配置的本地輸入VPN目標(biāo)屬性集合存在相同的項(xiàng)����,如果存在,則引入該路由信息��,否則����,拒絕引入該路由信息。
7.根據(jù)權(quán)利要求1所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法���,其特征在于執(zhí)行所述的步驟A之前還包括步驟EE��、在網(wǎng)絡(luò)中,確定VPN中需要改變VPN關(guān)系的各個(gè)用戶站點(diǎn)����,并判斷各個(gè)用戶站點(diǎn)是否處于同一PE設(shè)備上,如果是���,則執(zhí)行步驟A��,否則�����,執(zhí)行步驟F��;F���、為所述的各個(gè)用戶站點(diǎn)分別配置輸入/輸出VPN目標(biāo)屬性�����;G����、所述的各個(gè)用戶站點(diǎn)根據(jù)配置的輸入/輸出VPN目標(biāo)屬性進(jìn)行各個(gè)用戶站點(diǎn)發(fā)出的路由信息的引入�����;H、所述的各個(gè)用戶站點(diǎn)間根據(jù)引入的路由信息進(jìn)行互訪�����。
8.根據(jù)權(quán)利要求7所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法���,其特征在于所述的步驟B為由確定的用戶站點(diǎn)所在的PE設(shè)備的網(wǎng)管分別為確定的用戶站點(diǎn)配置本地VPN目標(biāo)屬性��;所述的步驟F為由整個(gè)網(wǎng)絡(luò)的網(wǎng)管為所述的各個(gè)用戶站點(diǎn)分別配置輸入/輸出VPN目標(biāo)屬性�。
9.根據(jù)權(quán)利要求1或7所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法,其特征在于步驟C和步驟G所述的各個(gè)用戶站點(diǎn)發(fā)出的路由信息的處理包括當(dāng)用戶站點(diǎn)向所在的PE設(shè)備上的其他用戶站點(diǎn)發(fā)送路由信息時(shí)���,攜帶著為該用戶站點(diǎn)配置的VPN目標(biāo)屬性和本地VPN目標(biāo)屬性��;當(dāng)用戶站點(diǎn)向所在的PE設(shè)備以外的其他用戶站點(diǎn)發(fā)送路由信息時(shí),則僅攜帶著為該用戶站點(diǎn)配置的VPN目標(biāo)屬性���。
10.根據(jù)權(quán)利要求7所述的虛擬專用網(wǎng)中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法�,其特征在于步驟E所述的網(wǎng)絡(luò)可以為MPLS/BGP VPN(基于多協(xié)議標(biāo)簽交換/邊界網(wǎng)關(guān)協(xié)議的VPN)或基于draft-kompella-ppvpn-l2vpn-Ox.txt(關(guān)于二層VPN的草案)草案實(shí)現(xiàn)的L2VPN�。
全文摘要
本發(fā)明涉及一種VPN(Virtual Private Network,虛擬專用網(wǎng))中實(shí)現(xiàn)用戶站點(diǎn)分級管理的方法��。本發(fā)明在基于RFC2547的PP VPN的組網(wǎng)中�,實(shí)現(xiàn)了VPN管理權(quán)限的分級,一個(gè)PE設(shè)備上的VPN劃分可以完全由本地PE設(shè)備的網(wǎng)管獨(dú)立管理���,而整網(wǎng)的VPN劃分則由整網(wǎng)的網(wǎng)管獨(dú)立管理�����,從而使得本地PE設(shè)備上的VPN關(guān)系的變化不會(huì)影響到整個(gè)網(wǎng)絡(luò)的VPN關(guān)系����,以及其他PE設(shè)備上的用戶站點(diǎn)間的VPN關(guān)系。例如��,本發(fā)明的實(shí)現(xiàn)可以當(dāng)使政府的辦公網(wǎng)的一個(gè)PE設(shè)備上的用戶站點(diǎn)間的VPN關(guān)系發(fā)生改變時(shí),僅由該P(yáng)E設(shè)備的網(wǎng)管通過本地VPN目標(biāo)屬性進(jìn)行VPN關(guān)系的重新配置即可����,而對于整個(gè)政府辦公網(wǎng)以及網(wǎng)上的其他PE設(shè)備上的VPN關(guān)系不產(chǎn)生任何影響。
文檔編號H04L12/24GK1630249SQ200310123978
公開日2005年6月22日 申請日期2003年12月19日 優(yōu)先權(quán)日2003年12月19日
發(fā)明者董偉嗣 申請人:華為技術(shù)有限公司