專利名稱:Mpls虛擬專用網(wǎng)絡(luò)拓?fù)涞呐渲霉ぞ叩闹谱鞣椒?br>
技術(shù)領(lǐng)域:
本公開一般涉及虛擬專用網(wǎng)絡(luò)。
背景技術(shù):
虛擬專用網(wǎng)絡(luò)(VPN)是通過與其它VPN共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施彼此 通信的客戶站點(diǎn)的集合���。在VPN中�,站點(diǎn)共享共同的路由信息���。如果給 定站點(diǎn)保存了來自不同VPN的路由���,則它可以屬于多于一個(gè)VPN。這提 供了建立內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)以及任何其它拓?fù)涞哪芰?����。多協(xié)議標(biāo)簽交換 (MPLS) VPN使用由基于因特網(wǎng)協(xié)議(IP) MPLS/邊界網(wǎng)關(guān)協(xié)議 (BGP)的網(wǎng)絡(luò)提供的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。MPLS (多協(xié)議標(biāo)簽交換)用于通 過提供商或骨干網(wǎng)絡(luò)轉(zhuǎn)發(fā)分組�����,而BGP (邊界網(wǎng)關(guān)協(xié)議)用于通過網(wǎng)絡(luò)分 發(fā)路由�。MPLS/VPN體系結(jié)構(gòu)中的VPN可以被概念化為由站點(diǎn)將具有的 路由可見度所指定的利益共同體或閉合用戶組。MPLS VPN技術(shù)支持各種 VPN拓?fù)?��,例如軸輻式拓?fù)?hub and spoke topologies)�����、中央服務(wù)拓?fù)洹?全網(wǎng)狀拓?fù)湟约盎旌贤負(fù)?����。這些拓?fù)渲袑?shí)現(xiàn)最復(fù)雜并且還被廣泛開發(fā)的拓 撲是軸輻式拓?fù)?。軸輻式拓?fù)湓诳蛻粜枰渌械姆种?spoke )流量 (例如���,分支到軸心以及分支到分支)經(jīng)過軸心(hub)網(wǎng)絡(luò)時(shí)使用。
路由目標(biāo)(RT)用作將路由導(dǎo)入給定虛擬路由和轉(zhuǎn)發(fā)(VRF)表并將 路由從給定虛擬路由和轉(zhuǎn)發(fā)(VRF)表導(dǎo)出的過濾器��,以便建立VPN路 由��。RT的分配和管理通常是手動(dòng)執(zhí)行的,因此���,可能是耗時(shí)的并且容易 出錯(cuò)�����,尤其是當(dāng)VPN的復(fù)雜度增加時(shí)(例如��,當(dāng)加入VPN的站點(diǎn)數(shù)增加 時(shí))����。此外��,VRF中的路由的導(dǎo)入/導(dǎo)出時(shí)的錯(cuò)誤可能因引入不希望的額 外路由而致使VPN功能異常并且不安全�。
圖1圖示出了 MPLS VPN系統(tǒng)中的示例拓?fù)洹?br>
圖2圖示出了根據(jù)一個(gè)實(shí)施方式示出圖1的MPLS VPN系統(tǒng)的一部分 的簡(jiǎn)化示例。
圖3圖示出了可以用來實(shí)現(xiàn)VPN管理服務(wù)器的示例硬件系統(tǒng)�����。
圖4圖示出了軸輻式路由目標(biāo)組(RTG)的示例圖形表示�。
圖5圖示出了中央服務(wù)RTG的示例圖形表示。
圖6圖示出了全網(wǎng)狀RTG的示例圖形表示��。
圖7圖示出了可以用來配置軸輻式拓?fù)涞氖纠齊TG����。
圖8圖示出了可以用來配置全網(wǎng)狀拓?fù)涞氖纠齊TG���。
圖9圖示出了可以被組合來配置混合拓?fù)涞亩鄠€(gè)RTG的示例。
圖IO圖示出了用于處理RT配置信息的示例方法�。
圖11圖示出了用于生成RT配置集的示例方法。
具體實(shí)施方式
A.概述
特定實(shí)施方式輔助配置部署在提供商或核心網(wǎng)絡(luò)上的虛擬專用網(wǎng)絡(luò) (VPN)�。根據(jù)一個(gè)實(shí)施方式,VPN配置模塊從一個(gè)或多個(gè)路由目標(biāo)組 (RTG)生成VPN配置信息��,包括路由目標(biāo)導(dǎo)出和/或?qū)胝Z(yǔ)句 (statement)�。在一些特定實(shí)施方式中,RTG是模型的要素�,該模型輔助 對(duì)核心網(wǎng)絡(luò)的一個(gè)或多個(gè)路由要素的路由目標(biāo)信息進(jìn)行配置。在一些實(shí)施 方式中�,這種RTG參數(shù)可以包括VPN拓?fù)漕愋?例如,網(wǎng)狀��、軸輻式 等)��、RTG節(jié)點(diǎn)標(biāo)識(shí)符����、各個(gè)RTG節(jié)點(diǎn)的一個(gè)或多個(gè)角色,以及每個(gè)角 色所需的一個(gè)或多個(gè)路由目標(biāo)(RT)標(biāo)識(shí)符�����。例如����,RTG節(jié)點(diǎn)可以是連 接到給定客戶站點(diǎn)(例如,圣何塞)中的客戶邊緣節(jié)點(diǎn)的提供商邊緣節(jié) 點(diǎn)���。角色可以是所選網(wǎng)絡(luò)拓?fù)渲械慕巧蚬δ?���,例如���,軸輻式拓?fù)渲械妮S 心節(jié)點(diǎn)�����。如下面更加詳細(xì)描述的����,每個(gè)角色與一個(gè)或多個(gè)路由目標(biāo)(RT) 導(dǎo)入或?qū)С稣Z(yǔ)句相關(guān)聯(lián)����。在一個(gè)實(shí)施方式中�����,VPN配置模塊接收包括用于 從一個(gè)或多個(gè)RTG創(chuàng)建VPN的RTG參數(shù)的RTG信息���。
在一個(gè)實(shí)施方式中,RT通過控制向一個(gè)或多個(gè)RTG節(jié)點(diǎn)分發(fā)BGP信息(例如����,網(wǎng)絡(luò)可達(dá)性信息)以實(shí)行所希望VPN拓?fù)涠米鬟^濾器。換
言之�,BGP是路由器用來交換路由信息的協(xié)議的語(yǔ)言。在一個(gè)實(shí)施方式 中�,VPN配置模塊基于RTG參數(shù)生成并自動(dòng)分配RT配置集。這減少了 VPN配置期間的錯(cuò)誤并且除去了對(duì)用戶直接配置RT的需要����。為了生成 RT配置集,VPN配置模型標(biāo)識(shí)每個(gè)RTG的模型拓?fù)湟约霸撃P屯負(fù)涞?RT����。如下面更詳細(xì)描述的,在一些實(shí)施方式中����,模型拓?fù)淇赡苁禽S輻式拓 撲���、中央服務(wù)拓?fù)?、全網(wǎng)狀拓?fù)浠蚧旌贤負(fù)洹�;旌贤負(fù)涫莾蓚€(gè)或更多個(gè)模 型拓?fù)涞慕M合(例如,軸輻式拓?fù)浜腿W(wǎng)狀拓?fù)涞慕M合)�。VPN配置模型 隨后基于RTG節(jié)點(diǎn)的角色應(yīng)用配置規(guī)則以生成每個(gè)RTG節(jié)點(diǎn)處的VRF表 的導(dǎo)入和導(dǎo)出語(yǔ)句。在一個(gè)示例中�,如果給定RTG節(jié)點(diǎn)的角色是軸心節(jié) 點(diǎn),則該RTG節(jié)點(diǎn)可以具有兩個(gè)VRF表����,其中, 一個(gè)VRF表從一個(gè)或多 個(gè)分支節(jié)點(diǎn)導(dǎo)入路由而另一 VRF表將路由導(dǎo)出到一個(gè)或多個(gè)分支節(jié)點(diǎn)��。如 果角色是分支節(jié)點(diǎn)�����,則RTG節(jié)點(diǎn)可以具有將路由導(dǎo)出到分支節(jié)點(diǎn)并從分 支節(jié)點(diǎn)導(dǎo)入路由的一個(gè)VRF表���。VPN配置模塊隨后將RT配置集推到一個(gè) 或多個(gè)RTG節(jié)點(diǎn)�����,以配置或?qū)崿F(xiàn)所希望的VPN拓?fù)洹?一旦建立了VPN��, 成員RTG節(jié)點(diǎn)就可以經(jīng)由它們各自已建立的路由來路由IP流量����,并且根 據(jù)它們的己配置路由目標(biāo)來共享信息。
B.示例網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu) B丄網(wǎng)絡(luò)拓?fù)?br>
圖1圖示出了 MPLS VPN系統(tǒng)中的示例拓?fù)?��。在特定?shí)施例中�, MPLS VPN系統(tǒng)包括使客戶網(wǎng)絡(luò)72a�����、 72b�、 72c、 72d和72e互連的提供商 網(wǎng)絡(luò)70�����。為了容易說明�����,圖1圖示出了這樣的簡(jiǎn)單實(shí)施方式提供商網(wǎng)絡(luò) 70通過聯(lián)合(join)客戶站點(diǎn)中的五個(gè)(例如,舊金山站點(diǎn)��、圣何塞站 點(diǎn)��、洛杉磯站點(diǎn)�、拉斯維加斯站點(diǎn)以及西雅圖站點(diǎn))來為一個(gè)客戶提供 VPN。如在下面更詳細(xì)描述的����,在其它實(shí)施方式中���,提供商網(wǎng)絡(luò)70可以 為多個(gè)客戶提供VPN�����。 VPN還可以被配置來創(chuàng)建內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)���。在一 個(gè)實(shí)施方式中,提供商網(wǎng)絡(luò)70經(jīng)由提供商邊緣(PE)路由節(jié)點(diǎn)76a��、 76b��、 76c����、 76d和76e聯(lián)合客戶邊緣(CE)節(jié)點(diǎn)74a�����、 74b�����、 74c�����、 74d和
774e����。如圖1所示����,PE路由節(jié)點(diǎn)76a-e駐留在提供商網(wǎng)絡(luò)70的邊緣,并且 用作提供商網(wǎng)絡(luò)70與客戶網(wǎng)絡(luò)72a-e之間的接口�����。而且��,CE節(jié)點(diǎn)74a-e駐 留在它們各自的客戶網(wǎng)絡(luò)72a-e的邊緣,并且用作客戶網(wǎng)絡(luò)(子網(wǎng))(未 示出)和提供商網(wǎng)絡(luò)70之間的接口��。在一個(gè)實(shí)施方式中���,CE節(jié)點(diǎn)74a-e 是路由器�。
在一個(gè)實(shí)施方式中�����,MPLS VPN系統(tǒng)還包括VPN管理服務(wù)器77�����,其 通常安裝在MPLS VPN服務(wù)提供商的網(wǎng)絡(luò)操作中心(NOC)或數(shù)據(jù)中 心�����。在一個(gè)實(shí)施方式中�����,VPN管理服務(wù)器77包括輔助配置提供商網(wǎng)絡(luò)70 以提供一個(gè)或多個(gè)VPN的VPN配置模塊78��。 VPN配置模塊78可以駐留 在管理服務(wù)器或任何其它適當(dāng)?shù)木W(wǎng)絡(luò)基礎(chǔ)設(shè)施節(jié)點(diǎn)中�����。在一個(gè)實(shí)施方式 中�����,VPN配置模塊78可以是駐留在服務(wù)器或網(wǎng)絡(luò)操作中心上的獨(dú)立模 塊���,或者是集成網(wǎng)絡(luò)管理解決方案的一部分���。
在一個(gè)實(shí)施方式中,網(wǎng)絡(luò)70以及72a-e —般指可以包括一個(gè)或多個(gè)允 許傳輸消息的中間網(wǎng)絡(luò)設(shè)備(例如���,路由器�����、交換機(jī)等)����、基于分組的計(jì) 算機(jī)網(wǎng)絡(luò)�����。圖2圖示出了根據(jù)一個(gè)實(shí)施方式示出圖1的MPLS VPN系統(tǒng)的 一部分的簡(jiǎn)化示例。在一個(gè)實(shí)施方式中����,提供商網(wǎng)絡(luò)70包括可操作地 連接到San Francisco站點(diǎn)處的CE節(jié)點(diǎn)74a的PE路由節(jié)點(diǎn)76a,以及可操 作地連接到圣何塞站點(diǎn)處的CE節(jié)點(diǎn)74b的PE路由節(jié)點(diǎn)76b�。為了教導(dǎo)的 目的,圖l還示出了提供商核心路由節(jié)點(diǎn)80a�、 80b和80c。當(dāng)然��,網(wǎng)絡(luò)70 和72可以包括多種網(wǎng)絡(luò)段��、傳輸技術(shù)和組件���,例如地面有線鏈路�����、衛(wèi)星 鏈路、光纖鏈路以及蜂窩鏈路�。圖1圖示出了本發(fā)明可以進(jìn)行操作的一種 可能網(wǎng)絡(luò)環(huán)境;然而��,其它實(shí)施方式也是可能的����。
如在下面更詳細(xì)描述的�����,本發(fā)明可以被配置來向邊緣路由節(jié)點(diǎn)提供路 由目標(biāo)信息以實(shí)現(xiàn)所希望的VPN拓?fù)?�。提供商邊緣路由?jié)點(diǎn)74a-e可以包 括包含虛擬路由和轉(zhuǎn)發(fā)(VRF)功能的邊緣路由器平臺(tái)�����,可操作來容宿一 個(gè)到多個(gè)分離路由器實(shí)例和/或路由表實(shí)例����。在一個(gè)實(shí)施方式中����, 一個(gè)或多 個(gè)VRF表可以用作給定物理路由器內(nèi)的許多虛擬路由器之一。換言之�����, PE路由節(jié)點(diǎn)維護(hù)一個(gè)或多個(gè)"按站點(diǎn)轉(zhuǎn)發(fā)表"或"VRF表"�����。附接了 PE 路由器的每個(gè)站點(diǎn)與這些VRF表之一相關(guān)聯(lián)。僅當(dāng)特定分組是直接從與特定的按站點(diǎn)轉(zhuǎn)發(fā)表相關(guān)聯(lián)的站點(diǎn)到達(dá)時(shí)��,在該表中查找該分組的IP目的地 地址�。
這些虛擬路由器共同存在于同一物理路由器內(nèi)并且同時(shí)操作,并且跨
越多個(gè)路由平臺(tái)的一個(gè)或多個(gè)虛擬路由器可以被分配給給定客戶的VPN��。 這通過允許不用多個(gè)設(shè)備而將不同VPN的網(wǎng)絡(luò)路徑分段來增加每個(gè)物理 路由器的功能�。在一個(gè)實(shí)施方式中,VRF表確保IP流量存留在正確的 VPN中��。在一些特定實(shí)施方式中��,由于流量自動(dòng)被隔離���,因此�����,VRF還增 加了網(wǎng)絡(luò)安全性并且可以消除對(duì)加密和認(rèn)證的需要����。另外��,容宿在給定邊 緣路由器上的一個(gè)VRF實(shí)例可以對(duì)應(yīng)于第一客戶���,而容宿在該邊緣路由器 上的第二 VRF實(shí)例可以對(duì)應(yīng)于第二客戶����。此外��,多個(gè)VRF實(shí)例可以與給 定站點(diǎn)相關(guān)聯(lián)��。因此��,本發(fā)明可以總地結(jié)合提供商邊緣路由器進(jìn)行操作�����, 或者可以結(jié)合特定于給定客戶或其它實(shí)體的VRF實(shí)例進(jìn)行操作�。
在一個(gè)實(shí)施方式中,PE路由節(jié)點(diǎn)76a和76b是基于IP MPLS/BGP網(wǎng) 絡(luò)的一部分�,其中,BGP信息提供網(wǎng)絡(luò)層可達(dá)性信息(NLRI)(例如�, 通過給定路由節(jié)點(diǎn)可達(dá)的網(wǎng)絡(luò))。這樣��,各個(gè)站點(diǎn)處的VRF表存儲(chǔ)了來自 該站點(diǎn)是其成員的VPN的����、對(duì)該站點(diǎn)可用的所有路由�����。
VRF包括IP路由表�、得出的轉(zhuǎn)發(fā)表��、使用轉(zhuǎn)發(fā)表的一組接口��,以及 確定什么進(jìn)入轉(zhuǎn)發(fā)表的一組規(guī)則和路由協(xié)議��。 一般地�����,VRF包括定義了附 接到提供商邊緣(PE)路由器的客戶VPN站點(diǎn)的路由信息���。VRF是應(yīng)當(dāng) 可供連接到PE路由器的特定站點(diǎn)(或站點(diǎn)集)使用的路由集合���。
在BGP/MPLS IP VPN中,PE路由器使用路由目標(biāo)(RT )擴(kuò)展型共同 體來控制向VRF分發(fā)路由�。在給定iBGP網(wǎng)絡(luò)內(nèi),PE路由器僅需要保存 標(biāo)記有屬于具有本地CE附接關(guān)系的VRF的路由目標(biāo)的路由�����。接收到的路 由目標(biāo)成員資格信息隨后可以用來限制將VPN NLRI通告給己通告了它們 各自的路由目標(biāo)的對(duì)等體���,從而高效地建立路由分發(fā)圖表��。換言之�����,VPN NLRI路由裝置在路由目標(biāo)成員資格信息的相反方向上流動(dòng)�����。在一些實(shí)施 方式中���,當(dāng)VRF路由從VRF被導(dǎo)出(以提供給其它VRF)時(shí),其被標(biāo)記 有一個(gè)或多個(gè)路由目標(biāo)���。另外�����,路由目標(biāo)集可以與VRF相關(guān)聯(lián)����,并且被標(biāo) 記有這些路由目標(biāo)中的至少一個(gè)的所有路由被插入該VRF。換言之��,存在由PE路由器附加到從給定站點(diǎn)接收的路由的目標(biāo)VPN集���。并且��,存在這 樣的目標(biāo)VPN集�,被PE路由器用來判斷從另一 PE路由器接收的路由是 否應(yīng)當(dāng)被放在與站點(diǎn)相關(guān)聯(lián)的轉(zhuǎn)發(fā)表中�。兩個(gè)集是不同的,并且不需要是 相同的��。通過適當(dāng)?shù)嘏渲寐酚赡繕?biāo)�����,可以構(gòu)建不同種類的VPN��。例如��,假 設(shè)希望創(chuàng)建包含特定集的站點(diǎn)的網(wǎng)狀網(wǎng)絡(luò)拓?fù)?���。這可以通過創(chuàng)建表示網(wǎng)狀 網(wǎng)絡(luò)的特定路由目標(biāo)值來實(shí)現(xiàn)�。然后將該值與網(wǎng)狀網(wǎng)絡(luò)中的每個(gè)站點(diǎn)的按 站點(diǎn)轉(zhuǎn)發(fā)表和/或從網(wǎng)狀網(wǎng)絡(luò)中的站點(diǎn)得知的路由相關(guān)聯(lián)����。具有這種路由目 標(biāo)屬性的任何路由被重新分發(fā),以使得其到達(dá)附接于該網(wǎng)狀網(wǎng)絡(luò)中的站點(diǎn) 之一的每個(gè)PE路由器����?����;蛘?����,假設(shè)有人希望創(chuàng)建"軸輻式"網(wǎng)絡(luò)拓?fù)洹?這可以通過利用兩個(gè)路由目標(biāo)屬性值(一個(gè)對(duì)應(yīng)于"軸心"�,并且一個(gè)對(duì) 應(yīng)于"分支")來實(shí)現(xiàn)。然后����,來自分支的路由可以被分發(fā)給軸心,而不 用使來自軸心的路由被分發(fā)給分支���。
B.2. VPN管理服務(wù)器
圖3圖示出了可以用來實(shí)現(xiàn)VPN管理服務(wù)器的示例硬件系統(tǒng)200�。在 一個(gè)實(shí)施方式中,這里描述的VPN配置功能容宿在網(wǎng)絡(luò)可尋址服務(wù)器或 其它計(jì)算平臺(tái)上�����。用戶利用通用或?qū)S每蛻舳藨?yīng)用來訪問VPN配置功 能�����。在其它實(shí)施方式中���,VPN配置功能可以容宿在客戶端系統(tǒng)上�。在一個(gè) 實(shí)施方式中����,硬件系統(tǒng)200包括處理器202、緩存存儲(chǔ)器204以及針對(duì)這 里描述的功能的一個(gè)或多個(gè)軟件應(yīng)用(包括圖1所示的VPN配置模塊 78)和驅(qū)動(dòng)器�。另外,硬件系統(tǒng)200包括高性能輸入/輸出(I/O)總線206 和標(biāo)準(zhǔn)I/O總線208�。主橋接器210將處理器202耦合到高性能總線206, 而I/O總線橋接器212使兩條總線206和208互相耦合��。系統(tǒng)存儲(chǔ)器214 和網(wǎng)絡(luò)/通信接口 216耦合到總線206����。硬件系統(tǒng)200還可以包括視頻存儲(chǔ) 器(未示出)以及耦合到視頻存儲(chǔ)器的顯示設(shè)備��。海量存儲(chǔ)裝置218和 1/0端口 220耦合到總線208�����。硬件系統(tǒng)200可以選擇性地包括耦合到總線 208的鍵盤和點(diǎn)選設(shè)備(未示出)���。總而言之���,這些元件意圖代表廣泛種 類的計(jì)算機(jī)硬件系統(tǒng),包括但不限于基于加利福尼亞州圣克拉拉市的英特 爾公司制造的Pentium⑧處理器以及任何其它合適的處理器的通用計(jì)算機(jī)系統(tǒng)����。
下面將更詳細(xì)描述硬件系統(tǒng)200元件。具體地����,網(wǎng)絡(luò)接口216提供硬 件系統(tǒng)200與諸如以太網(wǎng)(例如,IEEE 802.3)網(wǎng)絡(luò)等之類的廣泛范圍網(wǎng) 絡(luò)之間的通信���。海量存儲(chǔ)裝置218提供對(duì)用來執(zhí)行在系統(tǒng)控制器中實(shí)現(xiàn)的 上述功能的數(shù)據(jù)和編程指令的永久性存儲(chǔ)��,而系統(tǒng)存儲(chǔ)器214 (例如�����, DRAM)提供對(duì)被處理器202執(zhí)行時(shí)的數(shù)據(jù)和編程指令的臨時(shí)存儲(chǔ)����。I/O 端口 220是提供可以耦合到硬件系統(tǒng)200的其它外圍設(shè)備之間的通信的一 個(gè)或多個(gè)串行和/或并行通信端口 。
硬件系統(tǒng)200可以包括多種系統(tǒng)體系結(jié)構(gòu)�;并且硬件系統(tǒng)200的各個(gè) 組件可以被重新排列。例如�,緩存204可以與處理器202 —起在片上?��;?者����,緩存204和處理器202可以被封裝在一起作為"處理器模塊"�,其 中,處理器202稱為"處理器核心"�����。此外�,本發(fā)明的某些實(shí)施方式可能 不需要也不包括所有上述組件。例如,被示為耦合到標(biāo)準(zhǔn)I/O總線208的 外圍設(shè)備可以耦合到高性能I/O總線206��。另外���,在一些實(shí)施方式中�����,可 能僅存在單條總線����,其中�,硬件系統(tǒng)200的組件都耦合到該單條總線。此 外�,硬件系統(tǒng)200可以包括另外的組件�,例如另外的處理器、存儲(chǔ)設(shè)備或 存儲(chǔ)器��。
如上所述��,在一個(gè)實(shí)施例中�����,這里描述的VPN管理模塊77的操作被 實(shí)現(xiàn)為由硬件系統(tǒng)200運(yùn)行的一系列軟件例程�。這些軟件例程包括將由硬 件系統(tǒng)中的諸如處理器202之類的處理器執(zhí)行的多條指令或者一系列指 令����。最初�, 一系列指令存儲(chǔ)在諸如海量存儲(chǔ)裝置208之類的存儲(chǔ)設(shè)備上。 然而��, 一系列指令還可以包括在載波中或者存儲(chǔ)在諸如磁盤���、CD-ROM��、 ROM�����、 EEPROM等之類的任何合適存儲(chǔ)介質(zhì)上�。此外�,指令序列不需要 本地存儲(chǔ),并且可以經(jīng)由網(wǎng)絡(luò)/通信接口 216從諸如網(wǎng)絡(luò)上的服務(wù)器之類的 遠(yuǎn)程存儲(chǔ)設(shè)備接收����。指令從諸如海量存儲(chǔ)裝置208之類的存儲(chǔ)設(shè)備被拷貝 到存儲(chǔ)器214中,并且隨后由處理器202訪問并執(zhí)行���。
操作系統(tǒng)管理并控制硬件系統(tǒng)200的操作�,包括將數(shù)據(jù)輸入軟件應(yīng)用 (未示出)以及從軟件應(yīng)用(未示出)輸出數(shù)據(jù)。操作系統(tǒng)提供了在系統(tǒng) 上執(zhí)行的軟件應(yīng)用與系統(tǒng)的硬件組件之間的接口��。根據(jù)本發(fā)明的一個(gè)實(shí)施例���,操作系統(tǒng)是可從Redmond, Wash的微軟公司獲得的Windows 95/98/NT/XP/Vista操作系統(tǒng)�����。然而���,本發(fā)明還可以與其它合適的操作系統(tǒng) 一起使用,例如可從Cupertino, Calif的蘋果電腦公司獲得的Apple Macintosh操作系統(tǒng)�����、UNIX操作系統(tǒng)����、LINUX操作系統(tǒng)等�。
C. VPN路由目標(biāo)組
如下面更詳細(xì)描述的,VPN配置模塊78利用一個(gè)或多個(gè)RTG作為構(gòu) 建塊來構(gòu)建所希望的VPN拓?fù)?����。在一個(gè)實(shí)施方式中,可以通過某些用戶 要求來定義RTG�����,某些用戶要求例如是拓?fù)漕愋汀?一個(gè)或多個(gè)RTG節(jié)點(diǎn) (與PE路由節(jié)點(diǎn)或關(guān)聯(lián)于各個(gè)站點(diǎn)的VRF實(shí)例相對(duì)應(yīng))��、每個(gè)RTG節(jié) 點(diǎn)的一個(gè)或多個(gè)RTG角色(例如�,軸心節(jié)點(diǎn)、分支節(jié)點(diǎn)�、網(wǎng)狀節(jié)點(diǎn) 等),以及一個(gè)或多個(gè)路由目標(biāo)標(biāo)識(shí)符��。如下面結(jié)合圖4���、 5和6更詳細(xì) 描述的�,每個(gè)RTG可以被配置有多個(gè)VPN拓?fù)渲?;另外,多個(gè)經(jīng)配置 的RTG可以被組合來構(gòu)建更復(fù)雜的拓?fù)洹?br>
圖4圖示出了軸輻式RTG的示例圖形表示�。圖4 (以及下面的圖5和 圖6)中的箭頭表示根據(jù)各種拓?fù)漕愋偷恼军c(diǎn)間的消息流動(dòng)。 一般地����,軸 輻式拓?fù)涫强捎猛負(fù)渲胁渴鹱顝V泛的拓?fù)?���。軸輻式拓?fù)湟彩菍?shí)現(xiàn)最復(fù)雜的 拓?fù)?需要更復(fù)雜的路由目標(biāo)配置)�����,這是因?yàn)樗械姆种Я髁?例如��, 分支到分支)都經(jīng)過中央的軸心節(jié)點(diǎn)�。在一個(gè)實(shí)施方式中,軸心節(jié)點(diǎn)通常 實(shí)行諸如安全性和訪問控制之類的策略�,并且還監(jiān)視所有的分支流量。在 一個(gè)實(shí)施方式中�,具有軸輻式拓?fù)涞腣PN通常使用中央軸心站點(diǎn)處的安 全性服務(wù)(過濾器)、流量登記和/或計(jì)費(fèi)系統(tǒng)�����、入侵檢測(cè)系統(tǒng)����,以及分支 站點(diǎn)因特網(wǎng)訪問。
圖5圖示出了中央服務(wù)RTG的示例圖形表示�����。中央服務(wù)拓?fù)渑c軸輻 式拓?fù)涞念愃浦幵谟诳蛻舳苏军c(diǎn)不能彼此通信�,而僅可以與一個(gè)中央站 點(diǎn)通信。圖6圖示出了全網(wǎng)狀RTG的示例圖形表示�����。如圖6所示����,任何一 個(gè)網(wǎng)狀節(jié)點(diǎn)都可以向任何其他網(wǎng)狀節(jié)點(diǎn)發(fā)送流量并從任何其它網(wǎng)狀節(jié)點(diǎn)接 收流量。如下面結(jié)合圖7和圖8更詳細(xì)描述的�����,RTG輔助構(gòu)建并部署 VPN�,而用戶不必直接配置RT。
圖7圖示出了根據(jù)一個(gè)實(shí)施方式可以用來配置軸輻式拓?fù)涞氖纠齊TG400���,軸輻式拓?fù)淇捎蒝PN配置模塊78用來構(gòu)建VPN����。如圖7所示�����, RTG 400 (例如,RTG1)包括被指派了 RTG 400的軸心節(jié)點(diǎn)(例如�����, RT1-H) RTG角色的節(jié)點(diǎn)402����。 RTG 400還包括每個(gè)都被指派了 RTG 400 的分支節(jié)點(diǎn)(例如,RTG-S) RTG角色的分支節(jié)點(diǎn)404a����、 404b、 404c�����、 404d和404e�。在一個(gè)實(shí)施方式中,如果VPN管理模塊78要向RTG 400 添加任何新的節(jié)點(diǎn)��,則VPN管理模塊78可以指派由RTG定義的RTG角 色之一 (例如���,軸心節(jié)點(diǎn)或分支節(jié)點(diǎn))��。因此���,在一個(gè)實(shí)施方式,類似于 圖4所示的拓?fù)涞哪繕?biāo)VPN拓?fù)鋵H需要一個(gè)RTG�����。
圖8圖示出了根據(jù)另一實(shí)施方式可以用來配置全網(wǎng)狀拓?fù)涞氖纠齊TG 500�����,全網(wǎng)狀拓?fù)淇捎蒝PN配置模塊78用來構(gòu)建VPN��。如圖8所示�����, RTG (例如���,RTG 2)包括節(jié)點(diǎn)502a���、 502b、 502c和502d����,其每個(gè)都被指 派了 RTG 500的網(wǎng)狀節(jié)點(diǎn)(例如���,RT2-M) RTG角色。因此�����,在一個(gè)實(shí) 施方式中�,類似于圖5所示的拓?fù)涞哪繕?biāo)VPN拓?fù)鋵H需要一個(gè)RTG。 在一個(gè)實(shí)施方式中�����,如果VPN管理模塊78要向RTG 500添加任何新的節(jié) 點(diǎn)��,則VPN管理模塊78可以指派由RTG定義的RTG角色之一 (例如�����, 網(wǎng)狀節(jié)點(diǎn))�����。
圖9圖示出了根據(jù)另一實(shí)施方式可以被組合來配置具有混合拓?fù)涞?VPN的多個(gè)RTG的示例�����。如圖9所示,混合拓?fù)浒≧TG的組合��。在一 個(gè)實(shí)施方式中���,VPN配置模塊78可以使用如下面的示例中的已創(chuàng)建的現(xiàn) 有RTG,或者可以根據(jù)需要?jiǎng)?chuàng)建新的RTG���。在此特定示例中����,這種混合 拓?fù)涫菆D7的RTG1與圖8的RTG2的組合�����。RTG 600包括每個(gè)都被指派 了 RTG 600的網(wǎng)狀節(jié)點(diǎn)(例如����,RT2-M) RTG角色的一組節(jié)點(diǎn)602a、 602b��、 602c和602d�����。 RTG 601包括被指派了軸心節(jié)點(diǎn)(例如,RTl陽(yáng)H) RTG角色的節(jié)點(diǎn)602c�,并且包括每個(gè)都被指派了分支節(jié)點(diǎn)(例如,RT1-S) RTG角色的節(jié)點(diǎn)604a和604b��。在一些實(shí)施方式中�,給定節(jié)點(diǎn)可以在 不同RTG上被指派多個(gè)RTG角色。例如���,如圖9所示����,節(jié)點(diǎn)602c相對(duì)于 一個(gè)RTG被指派了網(wǎng)狀節(jié)點(diǎn)(RT2-M)的RTG角色��,并且相對(duì)于另一 RTG還被指派了軸心節(jié)點(diǎn)(RT1-H)的RTG角色�。
D.RT配置的生成
13圖7、 8和9圖形化地圖示出了可以如何將RTG用來配置給定VPN�����, 結(jié)合圖10和11所示的處理示出了一個(gè)或多個(gè)VRF實(shí)例的路由目標(biāo)規(guī)則 (導(dǎo)入/導(dǎo)出語(yǔ)句)如何被配置來實(shí)現(xiàn)已配置的VPN拓?fù)?����。圖IO圖示出了 用于生成RT配置集信息的示例方法,RT配置集信息包括由提供商網(wǎng)絡(luò)的 PE路由節(jié)點(diǎn)容宿的一個(gè)或多個(gè)VRF實(shí)例的路由目標(biāo)規(guī)則�。如圖IO所示, VPN配置工具允許用戶創(chuàng)建新的RTG實(shí)例���,將站點(diǎn)添加(或重新配置) 到現(xiàn)有的或新創(chuàng)建的RTG實(shí)例中���,和/或生成RT配置集信息。
一般地����,VPN配置工具在可以訪問表征核心或提供商網(wǎng)絡(luò)的一個(gè)或多 個(gè)屬性的網(wǎng)絡(luò)管理信息的一個(gè)或多個(gè)源的聯(lián)網(wǎng)計(jì)算環(huán)境中操作���,網(wǎng)絡(luò)管理 信息例如是PE路由節(jié)點(diǎn)信息����、VRF信息以及客戶站點(diǎn)信息����。VPN配置工 具可以査閱的其它信息源包括核心或提供商網(wǎng)絡(luò)的BGP信息,以及可用路 由目標(biāo)標(biāo)識(shí)符和路由區(qū)分標(biāo)識(shí)符的一個(gè)或多個(gè)池��。
如圖IO所示�����,用戶可以創(chuàng)建新的RTG (1002)。在一些實(shí)例中����,新 的RTG可以被創(chuàng)建來將新的客戶VPN添加到網(wǎng)絡(luò),和/或?qū)⑿碌目蛻粽军c(diǎn) 添加到現(xiàn)有VPN (其中�,向客戶VPN添加站點(diǎn)需要混合RTG擴(kuò)展-例如 參見圖9)。例如���,為了實(shí)現(xiàn)圖9的VPN拓?fù)?,用戶可以訪問配置工具并 且配置兩個(gè)RTG實(shí)例(或者一個(gè)RTG實(shí)例����,如果一個(gè)現(xiàn)有RTG實(shí)例已經(jīng) 存在的話)。對(duì)于每個(gè)RTG�����, VPN配置工具接收RTG拓?fù)漕愋?��,以及?用路由目標(biāo)標(biāo)識(shí)符的名稱空間的標(biāo)識(shí)符(1004) ���。 VPN配置工具從所標(biāo)識(shí) 的名稱空間取回所選拓?fù)漕愋退璧亩鄠€(gè)路由目標(biāo)標(biāo)識(shí)符(1006)�����。例 如���,對(duì)于軸輻式拓?fù)漕愋停枰獌蓚€(gè)路由目標(biāo)標(biāo)識(shí)符�。其它拓?fù)漕愋涂赡?需要更少或更多的路由目標(biāo)標(biāo)識(shí)符。如圖IO所示��,VPN配置工具隨后在 數(shù)據(jù)庫(kù)或文件中創(chuàng)建RTG實(shí)例(1008)�����?��?梢葬槍?duì)任何所希望數(shù)目的新 RTG重復(fù)該處理。在RTG被創(chuàng)建之后�����,用戶可以將一個(gè)或多個(gè)站點(diǎn)關(guān)聯(lián) 到該RTG���。
在圖IO所示的實(shí)施方式中�����,VPN配置工具允許用戶向RTG添加或重 新配置站點(diǎn)�。例如,為了添加圖9中的站點(diǎn)604a����, VPN配置工具可以接收 站點(diǎn)604a的標(biāo)識(shí)、RTG的標(biāo)識(shí)��,以及站點(diǎn)在RTG中的角色(在圖9中為 軸心)��,并且將該站點(diǎn)添加到所標(biāo)識(shí)的RTG中(1012)���。站點(diǎn)的選擇或標(biāo)識(shí)定義了 PE路由節(jié)點(diǎn)���,以及由PE路由節(jié)點(diǎn)容宿的將被配置的VRF實(shí) 例。因此�,在一個(gè)實(shí)施方式中,VPN配置工具從可用網(wǎng)絡(luò)管理信息獲取所 需的必要信息�����,以標(biāo)識(shí)適當(dāng)?shù)腜E路由節(jié)點(diǎn)和VRF實(shí)例���。
在一些實(shí)施方式中�,VPN配置工具可以基于客戶標(biāo)識(shí)符提供用于站點(diǎn) 和RTG的具有有限選擇的一組下拉菜單。如圖IO所示���,當(dāng)用戶希望生成 用于站點(diǎn)和RTG的路由目標(biāo)配置集時(shí)(1014) �, VPN配置工具生成新配 置的站點(diǎn)的路由目標(biāo)配置集��,按需生成任何VRF實(shí)例的配置信息
(1016)��。當(dāng)生成了路由目標(biāo)配置集之后�����,VPN配置工具將路由目標(biāo)配置 推送到VPN拓?fù)渲械乃鑆RF (1018)�����。
圖11圖示出了用于生成路由目標(biāo)配置的示例處理流程�����。VPN配置模 塊78基于RTG節(jié)點(diǎn)的RTG角色應(yīng)用配置規(guī)則以在每個(gè)RTG節(jié)點(diǎn)處生成 VRF表的導(dǎo)入和導(dǎo)出語(yǔ)句�����。如圖11所示����,當(dāng)用戶希望創(chuàng)建新創(chuàng)建的實(shí)體 的路由目標(biāo)配置時(shí),VPN配置工具針對(duì)每個(gè)新站點(diǎn)和RTG的關(guān)聯(lián)
(1101)���,標(biāo)識(shí)RTG的拓?fù)漕愋?�、站點(diǎn)的角色和為RTG保留的路由目標(biāo) 標(biāo)識(shí)符(1102) �����。 VPN配置工具隨后基于角色和路由目標(biāo)標(biāo)識(shí)符生成針對(duì) 站點(diǎn)的一個(gè)或多個(gè)路由目標(biāo)規(guī)則(1104)��。如上面所討論的��,路由目標(biāo)配 置包括VRF實(shí)例的路由目標(biāo)規(guī)則或語(yǔ)句�,其定義了該VRF實(shí)例如何導(dǎo) 入并導(dǎo)出路由目標(biāo)以及路由目標(biāo)所屬的路由�����。如上面所討論的�,每個(gè)拓?fù)?類型都定義了如何在VRF間導(dǎo)入和導(dǎo)出路由目標(biāo)。在一個(gè)實(shí)施方式中�����, VPN配置工具包括定義了如何針對(duì)每個(gè)拓?fù)漕愋椭械母鱾€(gè)角色來導(dǎo)入和導(dǎo) 出路由目標(biāo)的邏輯。因此��,為了生成特定站點(diǎn)的路由目標(biāo)配置���,VPN配置 工具選擇為RTG保留的一個(gè)或多個(gè)路由目標(biāo)標(biāo)識(shí)符��,并且利用與針對(duì)站 點(diǎn)所標(biāo)識(shí)的角色相關(guān)聯(lián)的邏輯����,來創(chuàng)建定義如何導(dǎo)入和導(dǎo)出一個(gè)或多個(gè)路 由目標(biāo)的一個(gè)或多個(gè)規(guī)則�。在一個(gè)示例中,軸輻式拓?fù)淇梢跃哂邢旅娴囊?guī) 則�����。在一個(gè)實(shí)施方式中�, 一個(gè)規(guī)則可以是對(duì)于軸輻式拓?fù)洌S心站點(diǎn)可 以利用兩個(gè)VRF表來實(shí)現(xiàn)��,其中����, 一個(gè)VRF表用于導(dǎo)入路由(例如, HUB—INVRF)而一個(gè)用于導(dǎo)出路由(例如���,SPOKE—OUT VRF)���。在一 個(gè)實(shí)施方式中,VRF表可以是半雙工表�����。此外�,用于生成軸輻式拓?fù)涞穆?由目標(biāo)語(yǔ)句的規(guī)則邏輯可以包括-規(guī)則1:標(biāo)識(shí)RTG中的RT: RT1作為用于在軸心站點(diǎn)處導(dǎo)出的RT-h,并且RT2作為用于在分支站點(diǎn)處導(dǎo)出的RT-s�����。 規(guī)則2:如果角色=軸心站點(diǎn)
貝U HUBIN (入軸心)VRF-導(dǎo)入RT-s
SPOKEOUT (出分支)VRF-導(dǎo)出RT-h 如果角色=分支站點(diǎn)
貝廿 SPOKE (分支)VRF -導(dǎo)出RT-s��,導(dǎo)入RT-h 應(yīng)用這些規(guī)則產(chǎn)生了三個(gè)VRF;兩個(gè)VRF用于軸心站點(diǎn)并且一個(gè) VRF用于分支站點(diǎn)��,如下 VRF HUBIN (導(dǎo)入RT-s); VRF SPOKEOUT (導(dǎo)出RT-h);以及 VRF SPOKE (導(dǎo)出RT-s,導(dǎo)入RT-h)��。
可以針對(duì)其它基本拓?fù)漕愋投x類似規(guī)則�����。用于在VRF中生成導(dǎo)入/ 導(dǎo)出語(yǔ)句的這些規(guī)則可以程序化地來應(yīng)用。對(duì)于高級(jí)拓?fù)?通過組合多個(gè) RTG形成的)�����,通過利用站點(diǎn)依據(jù)其聯(lián)合RTG的規(guī)則來生成導(dǎo)入/導(dǎo)出 RT語(yǔ)句�。
在一個(gè)實(shí)施方式中,每個(gè)RTG節(jié)點(diǎn)將RT配置存儲(chǔ)在適當(dāng)?shù)腣RF表 或其它適當(dāng)?shù)臄?shù)據(jù)存儲(chǔ)裝置中���。結(jié)果�,每個(gè)站點(diǎn)的VRF表存儲(chǔ)了來自站點(diǎn) 是其成員的VPN的����、對(duì)該站點(diǎn)可用的所有路由。 一旦建立了 VPN��,成員 RTG節(jié)點(diǎn)就可以經(jīng)由它們各自的已建立路由利用BGP和路由因特網(wǎng)協(xié)議 (IP)流量來交換路由信息����。
如前面所示的,利用RTG為客戶簡(jiǎn)化了 VPN的創(chuàng)建�����,尤其是對(duì)于大 且復(fù)雜的VPN中的導(dǎo)入/導(dǎo)出RT的生成。利用RTG還通過消除手動(dòng)分配 和配置大型服務(wù)提供商網(wǎng)絡(luò)中的RT來使VPN部署安全(例如����,無差 錯(cuò))�。因此,這種解決方案降低了服務(wù)提供商的運(yùn)營(yíng)成本�����。
已參考特定實(shí)施例說明了本發(fā)明����。例如,雖然本發(fā)明的實(shí)施例被描述 為結(jié)合IEEE 802.il網(wǎng)絡(luò)進(jìn)行操作���,然而�����,還可以結(jié)合任何合適的無線網(wǎng) 絡(luò)環(huán)境來使用本發(fā)明�����。本領(lǐng)域技術(shù)人員容易想到其它實(shí)施例��。因此�����,不希 望本發(fā)明受到除所附權(quán)利要求所指示的以外的限制�。
權(quán)利要求
1.一種方法,包括訪問包括一個(gè)或多個(gè)路由對(duì)象組RTG的網(wǎng)絡(luò)拓?fù)渑渲眉?,其中,每個(gè)RTG包括拓?fù)漕愋蜆?biāo)識(shí)符���、一個(gè)或多個(gè)站點(diǎn)標(biāo)識(shí)符�����、與站點(diǎn)標(biāo)識(shí)符的各個(gè)相關(guān)聯(lián)的一個(gè)或多個(gè)角色標(biāo)識(shí)符���,以及一個(gè)或多個(gè)路由目標(biāo)標(biāo)識(shí)符;基于一個(gè)或多個(gè)RTG的所述拓?fù)漕愋蜆?biāo)識(shí)符和角色標(biāo)識(shí)符生成一個(gè)或多個(gè)路由目標(biāo)語(yǔ)句�����,從而定義虛擬專用網(wǎng)絡(luò)VPN拓?fù)渲械囊粋€(gè)或多個(gè)路由節(jié)點(diǎn)之間的網(wǎng)絡(luò)層可達(dá)性信息的導(dǎo)出或?qū)?;以及將所述一個(gè)或多個(gè)路由目標(biāo)語(yǔ)句發(fā)送到一個(gè)或多個(gè)路由節(jié)點(diǎn)。
2. 如權(quán)利要求1所述的方法�,其中���,角色標(biāo)識(shí)符可以標(biāo)識(shí)軸心節(jié)點(diǎn)、 分支節(jié)點(diǎn)或網(wǎng)狀節(jié)點(diǎn)�����。
3. 如權(quán)利要求1所述的方法��,還包括生成一個(gè)或多個(gè)新RTG����,以將 一個(gè)或多個(gè)新站點(diǎn)添加到現(xiàn)有虛擬專用網(wǎng)絡(luò)�����。
4. 如權(quán)利要求1所述的方法��,還包括將一個(gè)或多個(gè)新站點(diǎn)關(guān)聯(lián)到現(xiàn) 有RTG����,以將所述一個(gè)或多個(gè)新站點(diǎn)添加到現(xiàn)有虛擬專用網(wǎng)絡(luò)。
5. 如權(quán)利要求1所述的方法�,還包括修改一個(gè)或多個(gè)RTG,以重新 配置現(xiàn)有虛擬專用網(wǎng)絡(luò)中的一個(gè)或多個(gè)站點(diǎn)���。
6. 如權(quán)利要求1所述的方法�,還包括將所述路由目標(biāo)語(yǔ)句應(yīng)用到一 個(gè)或多個(gè)路由節(jié)點(diǎn)中的一個(gè)或多個(gè)虛擬轉(zhuǎn)發(fā)和路由實(shí)例。
7. 如權(quán)利要求1所述的方法��,其中����,所述拓?fù)漕愋蜆?biāo)識(shí)符是網(wǎng)狀拓 撲、軸輻式拓?fù)浠蛑醒敕?wù)拓?fù)渲械囊粋€(gè)�����。
8. 如權(quán)利要求1所述的方法�����,其中�����,所述一個(gè)或多個(gè)路由節(jié)點(diǎn)是容宿 在各個(gè)的提供商邊緣路由器上的虛擬路由和轉(zhuǎn)發(fā)VRF實(shí)例�����。
9. 如權(quán)利要求1所述的方法�,還包括接收與RTG相對(duì)應(yīng)的RTG標(biāo)識(shí)符以及拓?fù)錁?biāo)識(shí)符����; 基于所接收的拓?fù)錁?biāo)識(shí)符訪問路由目標(biāo)標(biāo)識(shí)符池以保留預(yù)定數(shù)目的路 由目標(biāo)標(biāo)識(shí)符�����。
10. 被編碼在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中并且當(dāng)被執(zhí)行時(shí)可操作來執(zhí)行以下操作的軟件訪問包括一個(gè)或多個(gè)路由對(duì)象組RTG的網(wǎng)絡(luò)拓?fù)渑渲眉?���,其中,?個(gè)RTG包括拓?fù)漕愋蜆?biāo)識(shí)符�、 一個(gè)或多個(gè)站點(diǎn)標(biāo)識(shí)符�����、與站點(diǎn)標(biāo)識(shí)符的 各個(gè)相關(guān)聯(lián)的一個(gè)或多個(gè)角色標(biāo)識(shí)符���,以及一個(gè)或多個(gè)路由目標(biāo)標(biāo)識(shí)符��;基于一個(gè)或多個(gè)RTG的所述拓?fù)漕愋蜆?biāo)識(shí)符和角色標(biāo)識(shí)符生成一個(gè) 或多個(gè)路由目標(biāo)語(yǔ)句���,從而定義虛擬專用網(wǎng)絡(luò)VPN拓?fù)渲械囊粋€(gè)或多個(gè) 路由節(jié)點(diǎn)之間的網(wǎng)絡(luò)層可達(dá)性信息的導(dǎo)出或?qū)耄灰约皩⑺鲆粋€(gè)或多個(gè)路由目標(biāo)語(yǔ)句發(fā)送到一個(gè)或多個(gè)路由節(jié)點(diǎn)���。
11. 如權(quán)利要求IO所述的軟件�,其中,所述軟件還可操作來生成一個(gè) 或多個(gè)新RTG����,以將一個(gè)或多個(gè)新站點(diǎn)添加到現(xiàn)有虛擬專用網(wǎng)絡(luò)。
12. 如權(quán)利要求IO所述的軟件����,其中,所述軟件還可操作來將一個(gè)或 多個(gè)新站點(diǎn)關(guān)聯(lián)到現(xiàn)有RTG��,以將所述一個(gè)或多個(gè)新站點(diǎn)添加到現(xiàn)有虛擬 專用網(wǎng)絡(luò)���。
13. 如權(quán)利要求IO所述的軟件���,其中,所述軟件還可操作來修改一個(gè) 或多個(gè)RTG�����,以重新配置現(xiàn)有虛擬專用網(wǎng)絡(luò)中的一個(gè)或多個(gè)站點(diǎn)����。
14. 如權(quán)利要求IO所述的軟件�,其中�����,所述軟件還可操作來將所述路 由目標(biāo)語(yǔ)句應(yīng)用到一個(gè)或多個(gè)路由節(jié)點(diǎn)中的一個(gè)或多個(gè)虛擬轉(zhuǎn)發(fā)和路由實(shí) 例��。
15. 如權(quán)利要求IO所述的軟件�����,其中�,所述拓?fù)漕愋蜆?biāo)識(shí)符是網(wǎng)狀拓 撲、軸輻式拓?fù)浠蛑醒敕?wù)拓?fù)渲械囊粋€(gè)���。
16. —種裝置���,包括 一個(gè)或多個(gè)處理器�����; 存儲(chǔ)器��;網(wǎng)絡(luò)接口����;以及管理應(yīng)用���,物理地存儲(chǔ)在所述存儲(chǔ)器中,所述管理應(yīng)用包括指令����,所 述指令可操作來使得所述一個(gè)或多個(gè)處理器和所述裝置訪問包括一個(gè)或多個(gè)路由對(duì)象組RTG的網(wǎng)絡(luò)拓?fù)渑渲眉渲?����,?個(gè)RTG包括拓?fù)漕愋蜆?biāo)識(shí)符����、 一個(gè)或多個(gè)站點(diǎn)標(biāo)識(shí)符、與站點(diǎn)標(biāo)識(shí)符的 各個(gè)相關(guān)聯(lián)的一個(gè)或多個(gè)角色標(biāo)識(shí)符�,以及一個(gè)或多個(gè)路由目標(biāo)標(biāo)識(shí)符;基于一個(gè)或多個(gè)RTG的所述拓?fù)漕愋蜆?biāo)識(shí)符和角色標(biāo)識(shí)符生成一個(gè) 或多個(gè)路由目標(biāo)語(yǔ)句�,從而定義虛擬專用網(wǎng)絡(luò)VPN拓?fù)渲械囊粋€(gè)或多個(gè) 路由節(jié)點(diǎn)之間的網(wǎng)絡(luò)層可達(dá)性信息的導(dǎo)出或?qū)耄灰约皩⑺鲆粋€(gè)或多個(gè)路由目標(biāo)語(yǔ)句發(fā)送到一個(gè)或多個(gè)路由節(jié)點(diǎn)����。
17. 如權(quán)利要求16所述的裝置,其中,所述管理應(yīng)用還包括可操作來 使得所述一個(gè)或多個(gè)處理器以及所述裝置生成一個(gè)或多個(gè)新RTG�����,以將一 個(gè)或多個(gè)新站點(diǎn)添加到現(xiàn)有虛擬專用網(wǎng)絡(luò)的指令�。
18. 如權(quán)利要求16所述的裝置,其中���,所述管理應(yīng)用還包括可操作來 使得所述一個(gè)或多個(gè)處理器以及所述裝置將一個(gè)或多個(gè)新站點(diǎn)關(guān)聯(lián)到現(xiàn)有 RTG����,以將所述一個(gè)或多個(gè)新站點(diǎn)添加到現(xiàn)有虛擬專用網(wǎng)絡(luò)的指令����。
19. 如權(quán)利要求16所述的裝置,其中����,所述管理應(yīng)用還包括可操作來 使得所述一個(gè)或多個(gè)處理器以及所述裝置修改一個(gè)或多個(gè)RTG,以重新配 置現(xiàn)有虛擬專用網(wǎng)絡(luò)中的一個(gè)或多個(gè)站點(diǎn)的指令�����。
20. 如權(quán)利要求16所述的裝置�����,其中����,所述管理應(yīng)用還包括可操作來 使得所述一個(gè)或多個(gè)處理器以及所述裝置將所述路由目標(biāo)語(yǔ)句應(yīng)用到一個(gè) 或多個(gè)路由節(jié)點(diǎn)中的一個(gè)或多個(gè)虛擬轉(zhuǎn)發(fā)和路由實(shí)例的指令。
21. 如權(quán)利要求16所述的裝置�����,其中���,所述拓?fù)漕愋蜆?biāo)識(shí)符是網(wǎng)狀拓 撲�����、軸輻式拓?fù)浠蛑醒敕?wù)拓?fù)渲械囊粋€(gè)�。
全文摘要
用于虛擬專用網(wǎng)絡(luò)(VPN)拓?fù)涞呐渲霉ぞ?��。在特定?shí)施方式中��,方法包括訪問包括一個(gè)或多個(gè)路由對(duì)象組(RTG)的網(wǎng)絡(luò)拓?fù)渑渲眉?��,其中��,每個(gè)RTG包括拓?fù)漕愋蜆?biāo)識(shí)符�、一個(gè)或多個(gè)站點(diǎn)標(biāo)識(shí)符���、與站點(diǎn)標(biāo)識(shí)符的各個(gè)相關(guān)聯(lián)的一個(gè)或多個(gè)角色標(biāo)識(shí)符�,以及一個(gè)或多個(gè)路由目標(biāo)標(biāo)識(shí)符�����;基于一個(gè)或多個(gè)RTG的拓?fù)漕愋蜆?biāo)識(shí)符和角色標(biāo)識(shí)符生成一個(gè)或多個(gè)路由目標(biāo)語(yǔ)句�����,從而定義虛擬專用網(wǎng)絡(luò)VPN拓?fù)渲械囊粋€(gè)或多個(gè)路由節(jié)點(diǎn)之間的網(wǎng)絡(luò)層可達(dá)性信息的導(dǎo)出或?qū)耄灰约皩⒁粋€(gè)或多個(gè)路由目標(biāo)語(yǔ)句發(fā)送到一個(gè)或多個(gè)路由節(jié)點(diǎn)。
文檔編號(hào)H04L12/56GK101641913SQ200880008591
公開日2010年2月3日 申請(qǐng)日期2008年3月20日 優(yōu)先權(quán)日2007年3月21日
發(fā)明者庫(kù)特斯瓦爾·饒·莫拉切爾弗, 蘇瑪拉簡(jiǎn)·C·拉馬克里斯南, 賈瑪路丁·努魯丁·穆罕木德 申請(qǐng)人:思科技術(shù)公司