一种三层虚拟私有网络及其构建方法

暂无

技术领域\n本发明涉及运营商提供的三层虚拟私有网络(PP VPN，Provider Provide VPN)的网络结构以及该网络的构建方法。\n背景技术\n现有的PP VPN在具体应用时有多种不同的形式，如BGP/MPLS VPN、 VR VPN和MPLS 12 VPN等。以基于边界网关协议的多协议标签交换 VPN(BGP/MPLS VPN)来说，PP VPN是种在公共网络中使用MPLS技术和 边界网关协议(BGP协议)来提供IP VPN业务的网络，它主要包括互联网 接入服务商(ISP)提供的由P设备和PE设备组成的骨干网络，以及用户的 虚拟私有网络(VPN)，所述VPN主要包括多个站点(Site)和CE设备。\n在上述设备中，P(Provider Router，骨干网核心路由器)设备，主要负 责MPLS转发。PE(Provider Edge Router，骨干网边缘路由器)设备，是 MPLS/BGP VPN业务的实现主体，它为每一个VPN用户Site维护一个独立 的路由表，通过BGP完成VPN拓扑的发现以及VPN内部路由的学习。CE (Custom Edge Router，用户边缘路由器)设备，是一台普通的路由器，将 VPN用户的Site连接至PE，无需支持任何MPLS或VPN的信令及协议。\n在BGP/MPLS VPN中，由于PE设备要汇聚多个VPN的路由，在大规模 部署时，尤其在PE设备容量较小的情况下，容易形成瓶颈。而且，目前的 MPLS VPN模型基本上是一种平面式模型，PE设备无论处于网络的哪个层 次，对其性能要求是相同的，由于路由逐层聚合，在PE向边缘方向扩展 时，要维护更多的路由。对于由核心—汇聚—接入三层模型的典型网络来 说，设备性能依次下降，网络规模依次扩大。这就为PE设备向网络边缘的 扩展带来了困难。为解决上述问题，有的公司提出了多VRF(VPN路由转 发实例)(Multi-VRF)方案，扩展CE的能力，使它具有VRF功能，这样 的设备称为VCE设备。在组网时，使用多个这样的VCE同PE组合来构成一 种分布式PE。参考图1，在VCE上配置多个VRF，对应多个VPN站点。在 每个VRF下，有若干个下行接口，它们连接VCE，同时有一个(也可以是多 个)上行接口，这个接口同PE连接。在PE上，对应的配置同样的VRF，每 个VRF有一个(也可以是多个)接口，这个接口同VCE连接。这样，一个具 有Multi-VRF特性的CE实际上模拟了多个CE，各个虚拟的CE相互隔离，可 以接入多个VPN用户，而PE设备是不会感知这是多个CE，还是一个VCE， 因而不需要做任何扩展。这种方案尽管在一定程度上解决了PE设备的可扩 展性问题，但其缺点也是明显的，主要在于：\n1)在PE和VCE之间上要需要大量的接口、子接口，因此它们消耗有限 的接口和IP地址资源；\n2)在PE、CE上需要配置多个VRF，配置工作量大，而且重复；\n3)PE和VCE之间交换路由时，如果使用动态路由协议，需要PE和 VCE都运行多个实例，如果使用静态路由，则配置工作量大；\n4)PE和VCE如果不是直接连接，而采用隧道接口时，每个VRF需要一 个隧道，消耗资源大；\n5)VCE之间要相互连接，传递VPN报文，从而减轻PE负担时，每个 VRF需要一个接口/子接口；\n发明内容\n本发明的目的在于提供一种资源耗费低、配置工作量小、可扩展 性强的三层虚拟私有网络，同时还提供一种构建上述网络的方法。\n为达到上述目的，本发明提供的三层虚拟私有网络，包括骨干网 络的P设备、PE设备，以及用户的虚拟私有网络(VPN)的多个站点(Site) 和CE设备，所述PE设备位于P设备与CE设备之间并分别相互连接，还包 括分层式PE设备(HoPE)，所述分层式PE设备用于作为骨干网络的边缘 路由器，与骨干网络的P设备以及VPN的Site、CE设备相连接；\n所述分层式PE设备包括相互连接的下层PE(UPE)和上层PE(SPE)， 所述UPE连接用户设备CE，其中，UPE用于维护与其直接连接的VPN Site 的路由，为与其直接连接的VPN Site的路由分配内层标签，并随VPN路 由发布这个标签给SPE；所述SPE连接骨干网核心路由器，SPE维护通过 UPE所连接的Site所在的VPN中的所有路由，发布VRF(VPN路由转发实例) 默认路由或聚合路由给UPE，并携带标签；\n所述UPE和SPE之间以及UPE之间通过一个接口或子接口连接，之间 的报文采用标签转发。\n所述分层式PE设备还包括若干个位于UPE和SPE之间的中层PE(MPE)；\n所述MPE维护通过UPE所连接的Site所在的VPN中的所有路由，发布 VRF(VPN路由转发实例)默认路由或聚合路由给UPE，MPE要对SPE发布 的VRF默认路由携带的标签进行替换，并发布给UPE，如果MPE已经为这 个VRF生成了默认路由，则在MPE上生成一个标签转发项(ILM)。\n本发明提供的一种三层虚拟私有网络的构建方法，包括：\n在骨干网络中设置分层式PE设备(HoPE)，将所述分层式PE设备作为 骨干网络的边缘路由器，与骨干网络的P设备以及VPN的Site、CE设备相连 接；所述分层式PE设备包括相互连接的下层PE(UPE)和上层PE(SPE)， 所述UPE连接用户设备CE，用于维护与其直接连接的VPN Site的路由， 为与其直接连接的VPN Site的路由分配内层标签，并随VPN路由发布这 个标签给SPE；所述SPE连接骨干网核心路由器，用于维护通过UPE所连 接的Site所在的VPN中的所有路由，发布VRF(VPN路由转发实例)默认 路由或聚合路由给UPE，并携带标签；\n所述UPE和SPE之间通过一个接口或子接口连接，之间的报文采用标 签转发。\n在HoPE中的SPE和UPE之间设置中层PE(MPE)，所述MPE维扩通过UPE 所连接的Site所在的VPN中的所有路由，发布VRF(VPN路由转发实例) 默认路由或聚合路由给UPE，MPE要对SPE发布的VRF默认路由携带的标签 进行替换，并发布给UPE，如果MPE已经为这个VRF生成了默认路由，则 在MPE上生成一个标签转发项(ILM)。\nHoPE中相互连接的SPE、MPE以及UPE之间运行MP-BGP(多协议边界 网关协议)协议交换报文。\n当HoPE中相互连接的SPE、MPE以及UPE属于同一个运营商管理时， 所述MP-BGP协议为MP-IBGP(多协议内部边界网关协议)；当HoPE中的 SPE、MPE以及UPE不属于同一个运营商管理时，所述MP-BGP协议为 MP-EBGP(多协议外部边界网关协议)。\n在HoPE中，位于较高层次的PE根据与其连接的较低层次PE的所有 VRF的入口路由目标集(import route-target list)的合集生成一个 全局入口路由目标集(import route-target list)，以过滤从其它PE 发布过来的路由。\n所述全局入口路由目标集(import route-target list)根据SPE和 UPE之间交换的信息动态生成，具体过程为：位于较低层次的PE通过BGP协 议的路由刷新(Route Refresh)消息发布外部路由过滤(ORF，Outbound Route Filter)信息给与其连接的位于较高层次的PE，在ORF中包含一个扩 展团体列表，其内容是较低层次PE上所有VRF的import route-target list的合集，所述位于较高层次的PE将所有与其连接的位于较低层次PE的 扩展团体列表合并起来，形成全局列表。\n在HoPE中，当一个位于较低层次的PE与多个较高层次的PE连接时， 多个较高层次的PE都向该位于较低层次的PE发布VRF默认路由，UPE选择其 中一个作为优选路由，或者选择多个路由进行负载分担；当位于较低层次 的PE向多个位于较高层次的PE发布其VPN路由时，将其VPN路由全部发布给 所有位于较高层次的PE，或者给每个位于较高层次的PE发布一部分VPN路 由，从而形成负载分担。\n在HoPE中，当两个UPE直接连接时，相互向对方发布各自所有的 VPN路由给对方，从而使两个UPE所连接的Site直接通信。\n本发明采用分层式PE作为骨干网络的边缘路由器，与现有的多VRF方 案相比，由于：\n1)在SPE和UPE之间只需要一个接口或子接口，可以节约有限的接口 和IP地址资源；\n2)在SPE不需要重复配置UPE上已经配置的VRF，配置工作量小；\n3)SPE和UPE通过动态路由协议MP-BGP交换路由、发布标签，每一个 UPE只要运行这样的一个对等体，协议开销小，配置工作量小；\n4)SPE和UPE可以通过任何形式的接口或子接口连接，如通过隧道接 口连接，从而可以跨越一个网络，尤其这可以是一个MPLS网络，这样在 分层部署MPLS VPN时，有良好的可扩展性；\n5)通过UPE之间的直接连接(后门连接)，可以减轻SPE的负担，并 且UPE之间只需要一个接口/子接口，同样节省接口和IP地址资源；\n6)MPLS VPN可以逐层部署。当HoPE中位于下层的PE的性能不够 时，可以添加一个MPE或SPE，将该下层PE的位置下移。当SPE的接入能 力不足的时候，可以为其添更上层的PE，从解决PE设备的瓶径问题。\n附图说明\n图1是现有MPLS VPN网络使用的多个VCE和PE组合来构成一种分布 式PE的使用环境示例图；\n图2是本发明所述网络使用的分层式PE的使用环境示例图；\n图3说明了从分层式PE所连接的Site1访问远程Site2的数据流和控制 流；\n图4说明了在图3的环境下从Site2访问Site1的数据流和控制流；\n图5是3层的分层式PE的示意图。\n具体实施方式\n以现有的运行BGP(边界网关协议)协议的MPLS VPN网络为例， CE和PE的划分主要是从运营商与用户的管理范围来划分的，CE和PE是两 者管理范围的边界。CE与PE之间使用E-BGP(外部边界网关协议)或是 IGP(内部网关协议)路由协议交换路由信息，也可以使用静态路由。 CE不必支持MPLS或对VPN有感知。PE之间通过MP-BGP(多协议边界网 关协议)交换路由信息。\n在BGP/MPLS VPN网络中，VPN是由多个Site(站点)组成的。在PE上， 每个Site对应一个VRF(VPN routing/forwarding instance-VPN路由/转发实 例)，它主要包括：IP路由表、标签转发表、使用标签转发表的一系列接 口以及管理信息(包括RD(Route Distinguisher，路由分辨符)、路由过 滤策略、成员接口列表等)。用户Site和VPN不存在一对一的关系；一个 Site可以同时属于多个VPN。在实现中，每一个Site关联一个单独的VRF。 VPN中Site的VRF实际上综合了该Site的VPN成员关系和路由规则。报文转 发信息存储在每个VRF的IP路由表和标签转发表中。系统为每个VRF维护 一套独立的路由表和标签转发表，从而防止了数据泄漏出VPN之外，同时 防止了VPN之外的数据进入。\n假设在VPN中使用VPN-IPv4地址族，则PE从CE接收的路由是IPv4路 由需要引入VRF路由表中，此时需要附加一个RD。在具体实现中，为来自 于同一个用户Site的所有路由设置相同的RD。\n在路由所携带的属性中，Route Target属性标识了可以使用该路由的 Site的集合，即该路由可以被哪些Site所接收，PE路由器可以接收哪些 Site传送来的路由。与Route Target中指明的Site相连的PE路由器，都会接 收到具有这种属性的路由。PE路由器接收到包含此属性的路由后，将其加 入到相应的路由表中。PE路由器存在两个Route Target属性的集合：一个集 合用于附加到从某个Site接收的路由上，称为出口目标(Export Targets )；另一个集合用于决定哪些路由可以引入此Site的路由表中，称为进口 目标(Import Targets)。通过匹配路由所携带的route target属性，可以获 得VPN的成员关系。匹配Route Target属性可以用来过滤PE路由器接收的路 由信息。\n由于PE设备要汇聚多个VPN的路由，在大规模部署时，尤其在PE设备 容量较小的情况下，容易形成瓶颈。为了解决这一问题，本发明采用多个 PE设备组成分层式PE(HoPE)，它们承担不同的角色，分担一个集中式 PE的功能。对处于较高层次的PE的路由和转发性能要求高，而对处于较低 层次的PE的路由和转发性能要求低，在分层部署MPLS VPN时，可以解决 可扩展性问题。\n下面结合附图对本发明作进一步详细的描述。\n本发明提供的运营商提供的三层虚拟私有网络，包括骨干网络的P设 备、PE设备，以及用户的虚拟私有网络(VPN)的多个站点(Site)和 CE设备，其特征在于：还包括分层式PE设备(HoPE)，所述分层式PE设备 用于作为骨干网络的边缘路由器，与骨干网络的P设备以及VPN的Site、 CE设备相连接。所述分层式PE设备包括相互连接的下层PE(UPE)和上层 PE(SPE)。在这种方案中，PE设备所连的不再仅仅是一个客户接入设备 CE，也可以是一个PE设备，更普遍的说可以是一个MPLS VPN的网络，参 考图2。这个网络中的PE同原来的PE形成一种层次关系，构成一种框架结 构，即PE的分层结构(HoPE，Hiberarchy of PE)。图2中，多个UPE同SPE构 成分层式PE，共同完成传统上一个PE的功能。它们之间的分工是：\nUPE维护其直接连接的VPN Site的路由，但不维护VPN中其它远程 Site的路由或仅维护它们的聚合路由；SPE维护其通过UPE所连接的Site所 在的VPN中的所有路由，包括本地和远程Site中的路由。\nUPE为其直接连接的Site的路由分配内层标签，并通过MP-BGP(多协 议边界网关协议)随VPN路由发布这个标签给SPE；SPE不发布远程Site中 的路由给UPE，而是只发布VRF默认路由或聚合路由给UPE，并携带标签。\nUPE和SPE之间可以采用MP-IBGP，也可以采用MP-EBGP。在采用 MP-IBGP时，SPE作为各个UPE的路由反射器(RR)，UPE作为路由反射器 的客户端(RR Client)，但SPE不作为其它PE的路由反射器。在采用 MP-EBGP时，UPE一般使用私有自治系统号。\nUPE和SPE之间采用标签转发，因而只需要一个接口或子接口相互连 接。这个接口可以是物理接口，子接口(如VLAN，PVC(永久虚通道))或 者隧道接口(如GRE(通用路由封装协议)、LSP(标签交换路径))。在采 用隧道接口的时候，SPE和UPE之间可以相隔一个IP网络或是MPLS网络。\n分层式PE从外部来看同传统上的PE没有任何区别，因此它可以同其它 PE在一个MPLS网络中共存。分层式PE可以作为UPE或SPE同其它一个PE设 备构成更大的分层式PE，并无限嵌套。\n图3说明了从分层式PE所连接的Site1访问远程Site2的数据流和控制 流。图3中，假设Site2中有一个路由Dest/Mask，CE2通过静态路由 /IGP/BGP等方法将它发布给PE2，PE2为它分配一个内层标签，通过 MP-IBGP发布给SPE1。SPE1上对应Site1有一个VRF路由表VRF1，它包含 了同Site1同属于一个VPN的所有Site的路由，在本例中包含了Site2的路 由.为了减少UPE上的路由，SPE1对VRF1中的路由进行聚合，一个特例是聚合 为默认路由，但这个默认路由是属于VRF1的，称为VRF默认路由。SPE1要 为每一个VRF都生成一个默认路由，并分配不同的内层标签。SPE1通过 MP-BGP将这些默认路由发布给UPE。UPE和CE1之间交换IPv4路由，方法 有静态路由、IGP和BGP，最简单的情况下，CE1通过默认路由访问UPE。\n报文转发时，报文到达UPE后，按照CE1所属的VRF，查找VRF默认路 由，PUSH(压栈)内层标签后，转发到SPE1，在SPE1上POP(出栈)这 个标签，查找标签对应的VRF路由表，匹配到一个具体路由后，按照普通 的BGP/MPLS VPN转发流程，PUSH内外层标签，进行转发。\n图4说明了在图3的环境下从Site2访问Site1的数据流和控制流。\nSite1中的目的地址Dest/Mask通过静态路由/IGP/BGP发布到UPE， UPE为其分配内层标签，通过MP-BGP作为VPN路由发布到SPE1，SPE1将这 个标签进行替换，这是因为标签是本地有效的。然后SPE1通过MP-IBGP将 携带标签的VPN路由发布到PE2，PE2还原为IPv4路由发布给CE2。\n报文转发时，从CE2来的报文在PE2上PUSH内外层标签，通过MPLS网 络转发到SPE1，这时候不像一般的转发流程，POP内层标签，而是对其进 行交换(SWAP)操作，发给UPE的报文带有1层标签，这个标签就是 UPE为这个路由分配的。UPE上POP内层标签后，转发给CE1。\n对比上面两个流程可以看出，UPE和SPE之间的路由交换和数据转发的 方式是不对称的.UPE上的所有VPN路由要发布给SPE，而SPE只需要发布聚 合后的VPN路由，甚至是VRF默认路由给UPE.UPE发送到SPE的报文要 POP标签并查找VRF转发表，而SPE发送到UPE的报文只需要标签转发就可 以了。\n在图2中，SPE和UPE之间运行的MP-BGP，可以是MP-IBGP，也可以 是MP-EBGP。这取决于SPE和UPE是否由同样的运营商管理。如果是同一 个运营商，采用MP-IBGP，这时候SPE作为多个UPE的路由反射器，但可 以不作为其它PE的路由反射器。为了拒绝从其它PE发布过来的不属于本分 层式PE所连接的Site的VPN中的路由，SPE上要根据各个UPE的所有VRF的 入口路由目标集(import route-target list)的合集生成一个全局import route-target list，用于过滤从其它PE发布过来的路由。这个全局列表可以根 据SPE和UPE之间交换的信息动态生成，也可以静态的加以配置。\n动态机制是这样的，UPE通过BGP的Route Refresh消息发布一个外部路 由过滤信息(ORF，Outbound Route Filter)给SPE，这个ORF中包含了一 个扩展团体列表，其内容是UPE上所有VRF的import route-target list的合 集。SPE将所有UPE的扩展团体列表合并起来，形成全局列表。静态列表 与动态列表的的生成规则是一样的。\n如果SPE和UPE属于不同的运营商，它们之间运行MP-EBGP。SPE上同 样需要生成一个全局Import route-target list。一般来说，UPE要采用私有自 治系统号，在SPE发布路由给其它PE时，要略去这个私有自治系统号。\n允许SPE同一部分UPE通过MP-IBGP连接，同另外一部分UPE通过 MP-EBGP连接。\nSPE发布给UPE的VRF默认路由可以是动态生成的，也可以静态的配 置。动态VRF默认路由应该为分层式PE所连接的所有Site所对应的VRF生 成，并发布给所有UPE。在发布时，可以根据上面所提到的ORF进行过 滤。\nSPE和UPE之间可以通过任何形式的接口或子接口连接，也可以通过隧 道接口连接，这时候SPE和UPE之间可以相隔一个IP网络或MPLS网络，由 于SPE和UPE通过MP-BGP对等，因而路由可以直接传递，无需做特殊处 理，MP-EBGP的情况下配置Multi-hop EBGP即可。在转发时，UPE或 SPE发出的标签报文要经过一个隧道传递。如果是GRE隧道，要求GRE支 持对MPLS报文的封装，如果是LSP，则需要中间的网络是一个MPLS网 络，UPE和SPE上运行LDP/RSVP-TE等协议。\n在本发明提供的网络中，所述分层式PE设备还包括若干个位于UPE和 SPE之间的中层PE(MPE)。也就是说，一个分层式PE还可以作为一个 UPE，同一个SPE组成新的分层式PE，同样一个分层式PE可以作为一个 SPE，同多个UPE组成新的分层式PE。这种嵌套可以是无穷的。一个SPE在 连接一个分层式PE作为UPE的同时，还可以连接单个的UPE设备。\n以图5所示的3层分层式PE的示意图为例，SPE和MPE，以及MPE和 UPE之间，均运行MP-BGP协议。如果是MP-IBGP协议，则SPE是各个 MPE的路由反射器，而MPE是各个UPE的路由反射器。MP-BGP为上层 PE发布下层PE上的所有VPN路由，而只为下层PE发布上层PE的VRF默认 路由或聚合路由。因此，SPE上维护了这个分层式PE所接入的所有Site的 VPN路由，路由数目最多；MPE上维护了一部分路由，数目较多；而 UPE上只维护它所直接连接的Site的VPN路由，数目最少。同典型网络中设 备的能力相匹配，具有良好的可扩展性。\nSPE发布的VRF默认路由携带了标签，在MPE上要对这个标签进行替 换，并发布给UPE。如果MPE已经为这个VRF生成了默认路由，则在 MPE上生成一个标签转发项(ILM)。\n同图2所示的2层的分层式PE一样，上层PE要为下层PE生成一个全局 import route-target list，过滤不需要的VPN路由。具体来讲，MPE以各个 UPE上所有VRF的import route-target list的合集生成一个全局import route-target list，SPE又以各个MPE的全局import route-target list的合集生成 一个全局import route-target list.生成方式可以是动态的或静态的。在动态的 情况下，MPE要将UPE通过ORF发送的import route-target list转发给SPE。\n在报文转发时，从VPN本地Site始发的报文，到达UPE后，查找相应的 VRF中的默认路由，PUSH标签，转发到MPE，POP标签后，查找相应的 VRF中的默认路由，转发到SPE，SPE上POP标签，查找VRF转发表， PUSH内外层标签，按照传统的BGP/MPLS VPN流程转发。\n从远程Site始发的报文，通过MPLS网络到达SPE后，由于MPE已经为 其目的地址分配了内层标签，因此对内层标签进行SWAP操作，转发到 MPE，同样的，UPE已经为这个目的地址分配了内层标签，POP标签后转 发给本地Site。\n在本发明提供的方案中，一个UPE可以同多个SPE连接，这时候这个 UPE被称为多归路的UPE。多个SPE都向UPE发布VRF默认路由，UPE选择 其中一个作为优选路由，或者选择多个路由进行负载分担。反过来， UPE向多个SPE发布其VPN路由，可以全部发布给所有SPE，也可以给每个 SPE发布一部分VPN路由，从而形成负载分担。\n在两个UPE之间还可以建立一种后门连接，从而使这两个UPE所连接 的Site之间可以直接通信，而不需要通过它们所连接的SPE。\n这两个UPE可以是连接在同一个SPE上，也可以连接到不同的SPE上。\nUPE之间通过MP-BGP发布各自所有的VPN路由给对方。如果是 MP-IBGP，则不应该将对方配置为路由反射器。这时，它们同普通的PE的功能 实际上是相同的，转发流程也相同。它们之间甚至可以跨越一个网络，报 文被封装在隧道中，如GRE隧道或LSP，但只需要一个这样的隧道接口。\n在特殊情况下，例如SPE连接两个UPE，假设称为UPE1和UPE2，这两 个UPE连接了属于同一个VPN的两个Site，分别是Site1和Site2。这时候， 这两个Site之间通过SPE来相互访问，这时的转发流程是这样的，Site1始发 的报文进入UPE1后，根据VRF1的默认路由转发到SPE，在SPE上POP标 签，查找VRF路由表，PUSH UPE2为这个目的地址所分配的内层标签，转 发到UPE2上，POP标签，转发到Site2。\n另外一种情况下，SPE连接一个CE，一个UPE，它们分别连接了属于同 一个VPN的两个Site，CE连接Site1，UPE连接Site2，它们通过SPE来相互 访问，这时的转发流程是这样的，Site1始发的报文通过CE到达SPE，不带 标签，查找VRF路由表，PUSH标签，这个标签是UPE为其分配的，转发到 UPE，POP标签，转发到Site2。Site2始发的报文到达UPE后，根据默认路 由到达SPE，POP标签，查找VRF路由表，作为IP报文转发到CE。\n上述描述以BGP/MPLS VPN为例，运营商提供的三层VPN有多种实现 方式，如隧道协议MPLS可以采用GRE、IPSec(IP安全协议)以及其它类似 协议来替代，VPN路由和标签分布协议MP-BGP可以采用LDP以及其它类 似协议来替代。本发明在这些情况下同样适用。