一种MPLS VPN的实现方法、系统及客户边缘设备技术方案

一种MPLS?VPN的实现方法、系统及客户边缘设备，所述方法包括：各相关的PE获知客户VPN网络站点的规划路由信息，并生成对应的VRF；在转发VPN内部报文到其他站点时，CE根据接收到的VPN内部报文的目的IP地址查找路由对照表，将源IP地址对应的规划路由及查找到的目的IP地址对应的规划路由分别作为新的源和目的IP地址进行报文封装，将原报文作为新报文的载荷后转发给PE；PE在收到新报文后，进行常规的MPLS?VPN处理，根据本地VRF将所述新报文发送到对端PE，由对端PE根据对端PE的VRF将所述新报文发送给对应的对端CE；对端CE对接收到的新报文进行解封装，恢复出原报文，并进行报文转发。

【技术实现步骤摘要】
一种MPLSVPN的实现方法、系统及客户边缘设备
本专利技术涉及通信领域，更具体地涉及一种MPLS(Multi-ProtocolLabelSwitching，多协议标记交换)VPN(VirtualPrivateNetwork，虚拟专用网)的实现方法、系统及客户边缘设备。
技术介绍
MPLSVPN由于其易于获得、广泛的接入措施，以及具有相对比较便宜、可靠、QoS(QualityofService，服务质量)保证等特性，已经成为典型的网络业务。MPLSVPN主要用于实现不同站点网络间的连接。如图1所示，站点网络通过客户路由器CE(CustomerEdge，客户边缘设备)连接到运营商的边界路由器PE(ProviderEdge，运营商边缘设备)上，以实现网络连接，并进行路由交互以及实现报文的转发。目前已经发展出多种VPN技术，常用的是MPLS/BGP(BorderGatewayProtocol，边界网关协议)VPN。通过扩展BGP协议携带VPN的路由信息，并通过MPLSLSP(LabelSwitchedPath，标记交换路径)来实现VPN的数据转发。具体的，如图2所示，BGP/MPLSVPN的实现原理为：CE和PE之间通过静态路由(具体的，由PE的管理员手工配置到VRF(VirtualRoutingForwarding，VPN路由转发表))或者BGP、OSPF(OpenShortestPathFirst，开放式最短路径优先)、IS-IS(IntermediateSystemtoIntermediateSystemRoutingProtocol，中间系统到中间系统的路由选择协议)等路由协议进行路由交互。而PE之间通过MP-BGP(Multi-ProtocolBGP，多协议BGP)协议来交互不同站点之间的本地路由，然后再将来自外地的路由扩散到本地的CE中去(对静态配置的情况，则不需要进行扩散)。具体的协议，仍然是前述的动态路由协议。这个过程根据网络部署情况的不同可以有不同的协议配置需求，例如在自治域内使用I-BGP((Internal-BGP，内部BGP)协议。另外在大型网络部署情况下，进一步可能配置路由反射器(RouteReflector，简称为RR)，各PE分别与RR通信，而不是各有关PE间的全互联，从而解决扩展性问题。而报文的转发则是通过现有MPLSVPN的机制，在路由交互的过程中进行标签分配工作，形成VRF，并通过2层标签的封装在MPLS网络中实现转发。在MPLSVPN的发展过程中，曾经有过两种技术模型的竞争，一种是叠加模型，一种是对等模型。前者在竞争中失败，没有获得发展；而后者由于具有资源的优化使用、扩展性好等优点，已成为主流的MPLSVPN的实现方案。对等模型的VPN部署的前提条件是：客户认为运营商是可信的，因此可以将有关路由信息公开给运营商。在现有技术的典型实现中，各个客户的VPN的路由可以通过显示命令来进行显示。因此，客户的路由信息实际上是完全暴露给VPN业务提供商的。另外，不同PE之间在进行路由信息交互时，实际上在某种程度上来说基本上采用类似明文传输的方式，即运营商网络的管理员可以通过简单的工具或者手段截获这些路由信息。显然，现有的MPLSVPN实现机制存在着严重的信息安全隐患。
技术实现思路
本专利技术的目的在于提供了一种MPLSVPN的实现方法、系统及客户边缘设备，以解决传统的MPLSVPN的信息安全的问题。为解决上述问题，本专利技术提供了一种多协议标记交换虚拟专用网(MPLSVPN)的实现方法，包括：各相关的运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息，并生成对应的路由转发表(VRF)；在转发VPN内部报文到其他站点时，客户边缘设备(CE)根据接收到的所述VPN内部报文的目的IP地址查找路由对照表，将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装，将原报文作为新报文的载荷，然后将封装后的新报文转发给PE；其中，所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系；所述PE在收到所述新报文后，进行常规的MPLSVPN处理，根据所述PE的VRF将所述新报文发送到对端PE，由所述对端PE根据所述对端PE的VRF将所述新报文发送给对应的对端CE；所述对端CE对接收到的所述新报文进行解封装，恢复出原报文，并进行报文转发。进一步地，所述PE获知客户VPN网络站点的规划路由信息，具体包括：通过在PE中配置静态路由，或者通过CE与PE之间的路由协议进行路由交换获得。进一步地，所述MPLSVPN网络内的各CE通过配置，或者与其他站点进行路由交互，获取其它站点的规划路由信息和实际路由信息的对应关系，并保存到所述路由对照表中。进一步地，所述MPLSVPN网络内的各CE采用专门设计的协议与其他站点进行路由交互；所述专门设计的协议，是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中，设置指示位，用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。进一步地，所述专门设计的协议包括：开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。进一步地，所述CE封装的所述新报文的报头中还包括状态指示信息，用于指示所述新报文是对所述原报文进行了再次封装；所述对端CE在接收到所述新报文后，根据所述新报文的报头中包括的状态指示信息进行处理，解封装所述新报文，恢复出所述原报文；若所述对端CE接收到的报文中没有包含所述状态指示信息，则所述对端CE按照常规流程进行处理。进一步地，所述方法还包括：所述CE在进行所述新报文的封装时，使用安全协议对所述新报文进行加密传输，对应地，所述对端CE在收到所述新报文后，进行相应的解密处理；其中，所述安全协议包括：因特网协议安全性(IPsec)协议。进一步地，所述PE的VRF中包含不可见属性；若所述不可见属性的值被置位为不可见，则不向所述运营商管理员显示所述VRF的路由信息，而只显示所述VRF的摘要信息。相应地，本专利技术还提供了一种多协议标记交换虚拟专用网(MPLSVPN)的实现系统，包括：各相关的各运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息，并生成对应的路由转发表(VRF)；第一客户边缘设备(CE)用于在转发VPN内部报文到其他站点时，根据接收到的所述VPN内部报文的目的IP地址查找路由对照表，将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装，将原报文作为新报文的载荷，然后将封装后的新报文转发给第一PE；其中，所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系；第一PE用于在收到所述新报文后，进行常规的MPLSVPN处理，根据所述第一PE的VRF将所述新报文发送到对端的第二PE；所述第二PE用于在收到所述新报文后，进行常规的MPLSVPN处理，根据其VRF将所述新报文发送给对应的第二CE；所述第二CE用于对接收到的所述新报文进行解封装，恢复出原报文，本文档来自技高网...

【技术保护点】
一种多协议标记交换虚拟专用网(MPLS?VPN)的实现方法，包括：各相关的运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息，并生成对应的路由转发表(VRF)；在转发VPN内部报文到其他站点时，客户边缘设备(CE)根据接收到的所述VPN内部报文的目的IP地址查找路由对照表，将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装，将原报文作为新报文的载荷，然后将封装后的新报文转发给PE；其中，所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系；所述PE在收到所述新报文后，进行常规的MPLS?VPN处理，根据所述PE的VRF将所述新报文发送到对端PE，由所述对端PE根据所述对端PE的VRF将所述新报文发送给对应的对端CE；所述对端CE对接收到的所述新报文进行解封装，恢复出原报文，并进行报文转发。

【技术特征摘要】
1.一种多协议标记交换虚拟专用网(MPLSVPN)的实现方法，包括：各相关的运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息，并生成对应的路由转发表(VRF)；在转发VPN内部报文到其他站点时，客户边缘设备(CE)根据接收到的所述VPN内部报文的目的IP地址查找路由对照表，将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装，将原报文作为新报文的载荷，然后将封装后的新报文转发给PE；其中，所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系；所述PE在收到所述新报文后，进行常规的MPLSVPN处理，根据所述PE的VRF将所述新报文发送到对端PE，由所述对端PE根据所述对端PE的VRF将所述新报文发送给对应的对端CE；所述对端CE对接收到的所述新报文进行解封装，恢复出原报文，并进行报文转发；所述PE的VRF中包含不可见属性；若所述不可见属性的值被置位为不可见，则不向所述运营商管理员显示所述VRF的路由信息，而只显示所述VRF的摘要信息。2.如权利要求1所述的方法，其特征在于：所述PE获知客户VPN网络站点的规划路由信息，具体包括：通过在PE中配置静态路由，或者通过CE与PE之间的路由协议进行路由交换获得。3.如权利要求1所述的方法，其特征在于：所述MPLSVPN网络内的各CE通过配置，或者与其他站点进行路由交互，获取其它站点的规划路由信息和实际路由信息的对应关系，并保存到所述路由对照表中。4.如权利要求3所述的方法，其特征在于：所述MPLSVPN网络内的各CE采用专门设计的协议与其他站点进行路由交互；所述专门设计的协议，是指所述CE在通过该协议在不同站点之间传输的包含本站点的规划路由和实际路由信息的对应关系的报文中，设置指示位，用于指示该报文的有效载荷中传递的是有关规划路由信息与实际路由信息的对应关系。5.如权利要求4所述的方法，其特征在于：所述专门设计的协议包括：开放式最短路径优先协议(OSPF)的扩展、中间系统到中间系统的路由选择协议(IS-IS)的扩展或者边界网关协议(BGP)的扩展。6.如权利要求1所述的方法，其特征在于：所述CE封装的所述新报文的报头中还包括状态指示信息，用于指示所述新报文是对所述原报文进行了再次封装；所述对端CE在接收到所述新报文后，根据所述新报文的报头中包括的状态指示信息进行处理，解封装所述新报文，恢复出所述原报文；若所述对端CE接收到的报文中没有包含所述状态指示信息，则所述对端CE按照常规流程进行处理。7.如权利要求1～6中任意一项所述的方法，其特征在于，还包括：所述CE在进行所述新报文的封装时，使用安全协议对所述新报文进行加密传输，对应地，所述对端CE在收到所述新报文后，进行相应的解密处理；其中，所述安全协议包括：因特网协议安全性(IPsec)协议。8.一种多协议标记交换虚拟专用网(MPLSVPN)的实现系统，包括：各相关的各运营商边缘设备(PE)获知客户VPN网络站点的规划路由信息，并生成对应的路由转发表(VRF)；第一客户边缘设备(CE)用于在转发VPN内部报文到其他站点时，根据接收到的所述VPN内部报文的目的IP地址查找路由对照表，将源IP地址对应的规划路由及查找到的所述目的IP地址对应的规划路由分别作为新的源IP地址和目的IP地址进行报文封装，将原报文作为新报文的载荷，然后将封装后的新报文转发给第一PE；其中，所述路由对照表中包含所述VPN网络中各站点的规划路由信息与实际路由信息的对应关系；第一PE用于在收到所述新报文后，进行常规的MPLSVPN处理，根据所述第一PE的VRF将所述新报文发送到对端的第二PE；所述第二PE用于在收到所述新报文后，进行常规的MPLSVPN处理，根据其VRF将所述新报文发送给对应的第二CE；所述第二CE用于对接收到的所述新报文进行解封装，恢复出原报文，并进行报文转发；所述各相关PE的VRF中包含不可见属性；若所述不可见属性的值被置位为不可见...

【专利技术属性】
技术研发人员：顾忠禹，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：