一种基于IPv6的虚拟专用网管理路由的方法转让专利
申请号 : CN200410037996.X
文献号 : CN1697408B
文献日 : 2010-04-28
发明人 : 李德丰
申请人 : 华为技术有限公司
摘要 :
本发明公开了一种在基于IPv6的虚拟专用网管理路由的方法,该方法包括:A、在基于IPv6的虚拟专用网中发布路由,该发布的路由携带其虚拟专用网标识属性和输出路由目标属性;B、骨干网边缘路由器接收到所发布的路由时,判断该路由携带的虚拟专用网标识属性和输出路由目标属性是否与自身相连接站点对应的虚拟专用网标识属性和路由目标属性中的输入路由目标属性相匹配,如果是,执行步骤C;否则,执行步骤D;C、骨干网边缘路由器接收该路由,将该路由及其对应的虚拟专用网标识属性和路由目标属性进行存储;D、不接收该路由,跳出本流程。
权利要求 :
1.一种基于IPv6的虚拟专用网管理路由的方法,其特征在于,给路由设置标识不同虚拟专用网的虚拟专用网标识属性和标识同一虚拟专用网的不同拓扑结构的输出路由目标属性,每个站点设置有虚拟专用网标识属性和路由目标属性;骨干网边缘路由器不设置虚拟专用网路由/转发实例,而将与自身连接站点的所有路由统一存储在一起,并使用虚拟专用网标识属性区分属于不同虚拟专用网的路由;该方法还包括:A、在基于IPv6的虚拟专用网中发布路由时,该发布的路由中携带其虚拟专用网标识属性和输出路由目标属性;
B、骨干网边缘路由器接收到所发布的路由后,判断该路由携带的虚拟专用网标识属性和输出路由目标属性是否与自身相连接站点对应的虚拟专用网标识属性和路由目标属性中的输入路由目标属性相匹配,如果是,执行步骤C;否则,不接收该路由,结束当前流程;
C、骨干网边缘路由器接收该路由,将该路由及其对应的虚拟专用网标识属性和路由目标属性进行存储。
2.如权利要求1所述的方法,其特征在于,步骤C还包括:骨干网边缘路由器将所存储的路由发布给与其相连的站点,使与其相连的站点中的用户学习到该路由并存储。
3.如权利要求2所述的方法,其特征在于,所述用户学习到该路由并存储之后该方法进一步包括:发送报文时根据报文携带的目的地址和源地址确定所存储的路由,将报文进行发送。
4.如权利要求3所述的方法,其特征在于,建立一层虚拟专用网隧道,所述的发送报文是通过建立的虚拟专用网隧道由确定的路由传输的。
5.如权利要求1所述的方法,其特征在于,所述的虚拟专用网标识属性为虚拟专用网标识扩展团体属性,该属性包括一个以上的虚拟专用网标识。
说明书 :
一种基于IPv6的虚拟专用网管理路由的方法
技术领域
[0001] 本发明涉及基于IPv6实现虚拟专用网的技术,特别涉及一种基于IPv6的虚拟专用网管理路由的方法。
背景技术
[0002] VPN是在公众网络上建立的虚拟专用网,它具有与专用网同样卓越的安全性、可靠性和易管理性。VPN替代了传统的拨号访问,利用互联(INTERNET)公网或者运营商提供的网络资源作为虚拟专用网的延续,节省昂贵的专线租用费用;同时VPN还可以使用隧道协议、身份验证和数据加密等技术保证VPN通信的安全性,受到企业用户的欢迎。
[0003] 当前VPN是基于IPv4网络的,但是,随着通信网络技术的发展,传统的IPv4网络暴露出了一系列缺点,体现在地址空间不足、移动性差、安全性差和配置复杂等方面,因此互联网工程任务组(IETF,Internet EngineerTask Force)提出了IPv6以解决这些问题。经过几年的发展,IPv6技术已经日渐成熟,较为成功的解决了IPv4所存在的问题,成为下一代互联网的标准。
[0004] 但是,目前却没有建立基于IPv6的VPN技术,当基于IPv6的VPN在管理路由时,只能按照基于IPv4的VPN管理路由的过程进行。
[0005] 图1所示为VPN网络的典型应用,如图1所示:由骨干网路由器(P,Provider)通过骨干网边缘路由器(PE)向用户边缘设备(CE,Customer Edge)提供VPN服务,CE感觉不到骨干网的存在,就好像拥有了独立的网络资源一样。同样,对于骨干网内部的P而言,也不知道VPN的存在,仅仅负责骨干网内部的报文传输。所有VPN的构建、连接和管理都是在PE上进行的。从PE的角度看,一个站点(Site)为所管辖的CE连通VPN系统,Site是构成VPN的基本单元,VPN即为Site的集合。同一个VPN中的每个Site通过CE与骨干网中的PE连接,且每个VPN中的报文都是通过CE和PE在骨干网上传播。Site和VPN不存在一对一的对应关系,一个Site可以同时属于多个VPN,但是,报文只能在同一VPN中的不同Site上传输。
[0006] 基于IPv4的VPN管理路由的过程包括路由的发布、路由的接收和路由的存储。
[0007] 其中,路由的发布过程为:根据RFC 2547标准,CE和PE之间通过内部网关协议(IGP)或私有网关协议(EBGP)来传播路由信息,各个PE之间通过IGP来保证IP的连续性,通过IBGP来传播VPN组成信息和路由。当PE之间发布路由的时候,所发布的路由携带VPN-IPv4地址和路由目标属性(Route Targets)中的输出路由目标属性(Export Route Targets),该VPN-IPv4地址有12个字节,前8个字节为路由标识(RD,RouteDistinguisher),后4个字节为IPv4地址,IPv4地址为私有地址,不同的VPN下可能使用相同的IPv4地址;CE与PE之间发布路由的时候,所发布的路由携带IPv4地址和Export Route Targets。
[0008] 所述的Route Targets是用来区分同一VPN下不同路由的拓扑结构的,它包括用于附加到所发布路由上的Export Route Targets和用于决定哪些路由可以引入该Site路由表中的输入路由目标属性(Import Route Targets)。
[0009] 路由的接收过程为:PE中预先存储有与其连接Site的VPN-IPv4地址和Route Targets,当PE接收到所发布的路由时,判断该路由携带的VPN-IPv4地址和Export Route Targets是否与自身所存储的VPN-IPv4地址和RouteTargets中的Import Route Targets相匹配,如果是,则接收该路由;否则,不接收该路由。如果该路由携带的为IPv4地址,则在判断VPN-IPv4地址是否匹配时,判断该IPv4地址是否与PE所存储的VPN-IPv4地址中的后四个字节相匹配。
[0010] 当CE接收到与其连接的PE发布的路由时,判断路由携带的IPv4地址是否与自身的IPv4地址相同,如果是,则接收该路由,否则,不接收该路由。
[0011] 路由的存储过程为:PE为每一个与其相连的Site设置存储了该Site的VPN成员关系和路由规则的VPN路由/转发实例(VRF),VRF包括:IP路由表、标签转发表以及管理信息,管理信息包括路由标识(RD)、路由过滤策略和VPN成员接口列表等。目前方案中PE将接收到的路由存储在相应Site的VRF的路由表中,并以RD区分不同VPN的路由。CE直接将接收的路由进行存储。
[0012] 为了防止由于各个VPN中的IPv4地址有可能重复而导致在PE中无法根据IPv4地址区分路由,基于IPv4的VPN管理路由的方案在存储路由时,在PE中给与其相连的每个Site分别设置了VRF,用于存储相应Site的路由信息,并且在存储路由信息时为了区分不同VPN的路由,给路由附加上了RD。目前针对IPv6VPN的技术方案采用上述方案完全相同的机制,只是将VPN Site中的地址空间从IPv4换成了IPv6,虽然这种方案实现了对路由的管理,但是实现方案复杂,并且由于给每一个Site分别设置了VRF并将该VRF存储在与其相连的PE,使PE中存储了多个VRF,多个VRF中的路由信息有可能重复,从而浪费了PE的资源,增加了网络的负担。
发明内容
[0013] 有鉴于此,本发明的主要目的在于提供一种基于IPv6的虚拟专用网管理路由的方法,该方法能够充分利用IPv6地址空间的特征,简化基于IPv6的VPN管理路由的方法,从而节省PE的资源,减轻IPv6网络的负担。
[0014] 根据上述目的,本发明的技术方案是这样实现的:
[0015] 一种基于IPv6的虚拟专用网管理路由的方法,给路由设置标识不同虚拟专用网的虚拟专用网标识属性和标识同一虚拟专用网的不同拓扑结构的输出路由目标属性,每个站点设置有虚拟专用网标识属性和路由目标属性;骨干网边缘路由器不设置虚拟专用网路由/转发实例,而将与自身连接站点的所有路由统一存储在一起,并使用虚拟专用网标识属性区分属于不同虚拟专用网的路由;该方法还包括:
[0016] A、在基于IPv6的虚拟专用网中发布路由时,该发布的路由中携带其虚拟专用网标识属性和输出路由目标属性;
[0017] B、骨干网边缘路由器接收到所发布的路由后,判断该路由携带的虚拟专用网标识属性和输出路由目标属性是否与自身相连接站点对应的虚拟专用网标识属性和路由目标属性中的输入路由目标属性相匹配,如果是,执行步骤C;否则,不接收该路由,结束当前流程;
[0018] C、骨干网边缘路由器接收该路由,将该路由及其对应的虚拟专用网标识属性和路由目标属性进行存储。
[0019] 步骤C还包括:骨干网边缘路由器将所存储的路由发布给与其相连的站点,使与其相连的站点中的用户学习到该路由并存储。
[0020] 所述用户学习到该路由并存储之后该方法进一步包括:发送报文时根据报文携带的目的地址和源地址确定所存储的路由,将报文进行发送。
[0021] 建立一层虚拟专用网隧道,所述的发送报文是通过建立的虚拟专用网隧道由确定的路由传输的。
[0022] 所述的虚拟专用网标识属性为虚拟专用网标识扩展团体属性,该属性包括一个以上的虚拟专用网标识。
[0023] 从上述方案可以看出,本发明提供的方法存储路由时,在PE中没有将路由针对每一个Site的VRF进行存储后,再用RD区分不同的VPN路由,而是将与其连接Site的所有路由存储在一起,用路由不同的VPN标识(VPN-ID)属性和Route Targets进行区分,从而本发明提供的方法充分利用IPv6地址空间的特征,简化基于IPv6的VPN管理路由的方法,减轻了IPv6网络的负担。
附图说明
[0024] 图1为VPN网络的典型应用示意图。
[0025] 图2为本发明基于IPv6的VPN管理路由过程的流程图。
[0026] 图3为VPN-ID扩展团体属性编码示意图。
[0027] 图4为VPN-ID扩展团体属性中的Type编码示意图。
具体实施方式
[0028] 为了使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进行进一步详细说明。
[0029] 本发明是在经过分析IPv6的地址结构和特征,以及IPv6VPN的业务需求后提出的。由于IPv6全局单播地址是严格聚合的,而且是即插即用的,不存在私有地址,因此在IPv4系统中为了避免地址重叠而使用私有地址的情况在IPv6系统中完全没有必要,相应的在IPv4VPN方案中利用RD和VRF使PE区分不同Site下的不同VPN路由也完全可以去掉。因此,本发明只需要在全IPv6VPN范围内的每个PE中维护一个全局变量:VPN标识(VPN-ID),对于属于同一个VPN的路由可以通过该变量唯一标识,对于不属于同一个VPN的路由也可以根据该变量进行VPN之间的隔离,以保证不同VPN之间的保密性和安全性,实现VPN的业务要求。
[0030] 本发明在PE中统一存储与其相连Site的路由,为了使PE区分不同路由所属的VPN,在PE中存储路由的同时,还附加存储了该路由的VPN-ID属性。为了在PE中实现同一VPN下的不同Site之间路由的拓扑结构,本发明可以通过使用多协议边界网关协议(MP-BGP)的Route Targets来保证,这一点可以继承IPv4VPN对于Route Targets的使用方法,即在连接Site的PE上针对具有同一VPN-ID的不同IPv6路由配置不同的Export RouteTargets和Import Route Targets。PE通过MP-BGP发布路由时,携带VPN-ID和Export Route Targets两个属性;MP-BGP的其他PE在接收路由后根据所连接Site所属的VPN-ID属性和对应的Import Route Targets的分别匹配情况确定是否接收路由,从而维护了不同VPN之间的成员关系和成员之间的拓扑结构和保密性。
[0031] 由于IPv6全网范围内均为公网路由,在IPv6VPN中CE和PE之间的接口也为公网接口,一个VPN可以作为一个独立的自治系统,该自治系统为和IPv4VPN保持一致,仍然使用私有自治系统号:64512~65535,CE和PE之间运行EBGP或IGP,CE通过PE学习自己所属的VPN中其他Site的路由,PE从CE学习该CE所属Site中的路由,通过MP-BGP发布给其他PE。
[0032] 如图2所示,图2为本发明基于IPv6的VPN管理路由的流程图,其具体步骤为:
[0033] 步骤200、当基于IPv6的VPN中的PE或CE发布路由时,携带VPN-ID属性和Export Route Targets;
[0034] 步骤201、当基于IPv6的VPN中的其他PE接收到发布的路由时,判断该路由携带的VPN-ID属性和Export Route Targets与预先存储的与自身连接Site所对应的VPN-ID属性和Import Route Targets是否匹配,如果匹配,转入步骤202;否则,转入步骤204;
[0035] 步骤202、步骤201所述的PE接收该路由并将该路由和对应的VPN-ID属性以及Export Route Targets和Import Targets进行存储;
[0036] 步骤203、步骤201所述的PE将接收到的路由根据该路由的VPN-ID属性发布给与其相连的具有相同VPN-ID属性的Site,用以使Site所管辖的具有相同VPN-ID属性的CE学习该路由;
[0037] 步骤204、不接收该路由,结束本流程。
[0038] 本发明中CE存储路由的过程与现有技术中基于IPv4的VPN的CE存储路由过程相同。
[0039] 当一个Site对应一个VPN时,该Site的路由只要具有VPN-ID属性即可,该VPN-ID属性即为一个VPN-ID,但是,由于同一个Site有可能属于多个VPN或一个Site内的CE有可能属于多个VPN,所以同一路由有时对应多个VPN-ID。因此,本发明给该路由设置一个VPN-ID扩展团体属性替代该路由的VPN-ID属性,用来覆盖路由对应多个VPN-ID的情况。
[0040] 图3为VPN-ID扩展团体属性编码示意图,如图3所示:VPN-ID扩展团体属性是一个可选传递(optional and transitive)BGP属性,一个VPN-ID扩展团体属性是一组VPN-ID串行在一起,表示带有该VPN-ID扩展团体属性的路由属于该团体属性中所有的VPN-ID。该VPN-ID扩展团体属性通过一个二元组,即(类型,值)(Type,Value)和Length域来表示,其中,Type域为二字节,表示一个扩展的扩展团体属性;Value域为四字节,由多个VPN-ID值组成,分别表示携带该VPN-ID扩展团体属性的路由属于哪些VPN;Length域,表示VPN-ID的个数以及空出的2字节补充位的长度,其值位为4n+2,其中,n为VPN-ID的个数。
[0041] 图4为VPN-ID扩展团体属性中的Type编码示意图,其中,高比特位表示类型值:当高比特位的值为“1”时,表示该类型值由IETF经过一致同意后确定;当高比特位的值为“0”时,表示该类型值由互联网地址和号码分配(IANA)经过一致同意后确定。次高比特位表示该VPN-ID扩展团体属性是否可以穿过自治系统,如果是,则次高比特位的值为“1”,否则次高比特位的值为“0”。Type中其他比特单位的值都为1。为了实现本发明,该VPN-ID扩展团体属性必须可以跨自治系统的IPv6VPN,所以,Type的值为“BF”。
[0042] 在应用所存储的路由进行报文传输的时候,由于本发明针对的IPv6VPN的地址和路由都是全局唯一的公有路由,因此如果仅仅从报文转发的可达性考虑,只需要通过公网隧道即可完成VPN数据的转发,而不需要再像IPv4VPN中那样,为了使PE区分私有地址建立独立的两层VPN隧道,分别用于对报文进行CE和PE之间的传送和PE之间的传送;如果考虑到VPN对安全性和保密性的要求,只需在VPN站点之间建立一层VPN隧道即可,即传输报文的时候,在报文增加IPv6自身的安全性扩展报头后通过PE之间建立的一层VPN隧道传输就可以满足IPv6VPN净荷的安全要求。在建立一层VPN隧道的情况下,为了增加IPv6VPN路由的安全性,还可以通过在使用MP-BGP的PE之间进行TCP连接的消息摘要加密版本(MD5)验证来加强VPN的安全性。
[0043] 由于在本发明针对的全网IPv6VPN中,不需要像IPv4VPN中那样使用内层标签来区分不同的Site,因此,本发明发送的报文遵循IPv6的数据转发流程和路径最大传送单元(MTU)发现协议,在PE对报文进行封装,如AH头,ESP头中安全参数索引SPI的确定,和报文目的地之间安全关联的建立,将封装后的报文发送给所确定对等体的PE。
[0044] 为了提高报文的转发效率,在骨干网络支持多协议标签交换(MPLS)的情况下,可以在PE之间建立标签交换路径(LSP)隧道,从而进行标准的标签转发,此时报文封装在单层标签中,该标签可以通过标准的标签分发协议分配和维护。
[0045] 本发明提供的方法不需要在PE上设置VRF,从而PE不需要分别为不同站点的VRF维护路由,减少了维护路由的数量,降低了对PE设备的路由容量要求;本发明提供的方法在发送报文的时候不需要为不同的站点分配两层标签,只需要一层标签或不需要标签即可,简化了发送报文的过程;本发明提供的方法在传输报文的时候不需要两层VPN隧道,只需要建立一层VPN隧道或直接利用公网的隧道传输报文即可,减少了传输IPv6VPN报文占用的公网系统资源。
[0046] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。