一种虚拟私有网的路由引入方法、系统和运营商边缘设备

摘要

本发明公开了一种虚拟私有网的路由引入方法，包括：在发布引入路由的路由信息的运营商边缘PE设备中，将需要引入的路由加入本PE设备的引入该路由的VPN中，设置所述引入路由的ERT，并将引入路由的入口VPN设置为引入该路由的VPN；通过所述引入路由的VPN发布所述引入的路由。本发明还公开了一种PE设备和虚拟私有网的路由引入系统。应用本发明，能够保证在集中式VPN NAT组网等应用环境下，实现对报文在引入路由VPN下的相应处理。

说明书

技术领域

本发明涉及虚拟私有网(VPN)技术，特别涉及一种VPN的路由引入方法、系统和运营商边缘(PE)设备。

背景技术

VPN具有在共享网络中通过多种技术(如隧道、加密等)实现专用网络的能力，并能够在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。MPLS VPN是目前普遍应用的一种VPN技术，它使用IP网络中的MPLS标记交换路径(LSP)，在VPN站点之间传送数据。图1即为MPLS VPN的组网示意图。如图1所示，在MPLS VPN组网中，包括三个组成部分：用户网络边缘(CE)设备、PE设备和运营商(P)设备。其中，CE设备是用户驻地网络的一个组成部分，通过PE设备上的VPN路由转发(VRF)接口与PE设备互联，一般是路由器；PE设备是运营商网络的边缘设备；P设备是MPLS骨干网路由器，它不与CE直接相连，需要具备MPLS基本信令功能和转发功能。MPLS VPN的基本框架是两层的标签，公网的标签保证数据报文送到某个指定的PE设备，私网标签保证报文送到某个指定的VPN。

一般情况下，不同的VPN之间的网络通常是相互隔离的，而在某些特殊应用下，存在跨VPN访问的应用。例如，对于某个公司网络，一般会按部门划分为若干个VPN，各个部门VPN之间网络相互隔离，但仍然会有各个部门之间共享的服务器，因此必须提供跨VPN访问的功能。

例如，在图1所示的组网环境中，PE设备PE1上配置了VPN1和VPN2，PE设备PE2上配置了VPN1，由于CE设备CE3与CE设备CE2属于不同的VPN，因此若不采取VPN间路由引入等方式，CE3无法访问CE2。具体地，由于CE3、PE2和PE1均支持VPN1，所以CE3可以通过VPN1中的路由将报文发送至PE1，由于该路由属于VPN1，其私网标签为VPN1，因此报文沿该路由到达PE1后确定其入口VPN为VPN1，于是该报文被送入VPN1中。但是由于PE1的VPN1中并不存在PE1到CE2间的路由(因为CE2不支持VPN1)，所以无法将被送入VPN1的报文发送至CE2。这时，通过跨VPN访问，则可以实现CE3访问CE2。

跨VPN访问可以通过VPN间路由引入、以及配置跨VPN静态路由等多种方式实现。由于配置VPN静态路由的方式配置复杂、且灵活性差，因此实际应用中，大多采用VPN间路由引入的方式实现跨VPN访问。

在图1所示的组网环境下，当CE3要访问CE2时，可以通过将VPN2中PE1与CE2间的路由R1引入VPN1来实现，在该引入过程中，VPN1为引入路由的VPN，VPN2为引出路由的VPN。具体路由引入过程包括以下步骤：

步骤1：在PE1、PE2上建立组播协议边界网关协议(MBGP)连接，在PE1设备上配置将路由R1引入到VPN1中。

步骤2：PE1将引出路由的VPN(即VPN2)设置为路由R1的入口VPN，将路由R1的ERT设置为VPN2下配置的ERT。

本步骤中，路由R1的入口VPN被设置为引出该路由的VPN，即VPN2。具体将路由R1的入口VPN设置为VPN2的方式为：生成属于VPN2的私网标签，并为路由R1加上生成的该私网标签。经过本步骤操作后，由于路由R1的入口VPN为VPN2，因此认为路由R1的属性并未改变，仍然属于VPN2。在路由发布过程中，涉及到路由的路由目标属性，该属性分为两种，一种是出口路由目标(ERT)属性，另一种是入口路由目标(IRT)属性。任意VPN下可以配置多个ERT和IRT属性。路由信息在发布时需要携带在某VPN下的ERT属性，当某PE设备接收到该路由信息后，会将自身保存的各个VPN下的IRT属性与路由携带的ERT属性进行匹配，匹配成功的VPN就可以接收该路由信息，将其加入到自身的路由表中。本步骤中，路由R1携带的ERT属性为VPN2下的ERT属性，也就是引出该路由的VPN下的ERT属性。

步骤3：PE1通过引出路由的VPN将路由R1发布给PE2。其中，PE1可以通过VPN2，采用边界网关协议(BGP)发布路由R1。

步骤4：PE2将路由R1引入PE2支持的引入路由的VPN(即VPN1)中。

本步骤中，为使PE2的引入路由的VPN(即VPN1)能够引入路由R1，在PE2预先配置VPN1下的其中一种IRT属性为与路由R1的ERT相匹配，也就是与VPN2下的ERT相匹配。这样，PE2收到通过BGP发布的路由R1后，根据该路由的ERT属性确定VPN1的IRT与该路由R1的ERT相匹配，于是将该路由R1引入VPN1对应的路由表中，形成VPN1对应的转发信息(FIB)表中的一条转发项，利用该转发项即可以查找到下一跳地址和相应信息。

经过上述路由引入过程后，CE3即可以访问CE2。具体地，CE3访问CE2的报文转发流程为：CE3将发给CE2的报文交给和它相连的PE2的VRF接口，由于在此之前PE2已将路由R1引入了VPN1中，因此可以在VPN1对应的FIB表查找到到达CE2的引入路由R1和R1的私网标签(即VPN2的私网标签)及公网下一跳地址；然后把报文封装上私网标签，并根据公网下一跳地址查找公网标签，再封装一层公网标签后将报文交给MPLS转发。当该报文根据公网标签转发到PE1后，根据其私网标签确定入口VPN，并被送入该入口VPN(即VPN2)中。在VPN2对应的FIB表中记录有到达CE2的路由，因此通过查找该FIB表即可以将报文转发到CE2。由上述可见，通过动态路由的引入，便能够实现CE3访问CE2的报文转发流程。

但是，该设置方式将导致进行跨VPN访问时无法对报文在引入路由的VPN中进行处理，从而在一些特殊的应用场合限制应用的实现。

例如，在集中式VPN网络地址转换(NAT)组网环境下(以图2为例)，由于不同VPN间的报文可能存在网络地址不匹配的状况(例如VPN1下的网络地址为IPv4，在VPN2下的网络地址为IPv6)，这时当进行跨VPN访问时，需要对网络地址进行转换后再进入其它VPN中。但是如果应用上述的路由引入方法，则无法对转发报文进行NAT转换处理。

具体来说，如图2所示，通常在集中式VPN NAT组网环境的网络配置状况为：PE1是一个集中完成NAT转换的PE设备，在其中利用一个公共VPN(VPN_PUB)保存所有的路由信息，并且在PE1的各个VPN(VPN1、VPN2等)内分别配置对应的NAT转换规则。当报文进入PE1的某VPN后，PE1根据在入口VPN中配置的NAT转换规则对该报文进行NAT转换。

以PE2访问PE3为例，要求PE2的报文首先到达PE1中利用VPN1对应的NAT转换规则进行NAT转换，然后再通过MPLS骨干网的P设备将报文转发到PE3。为实现上述目的，可以依照前述方法将PE1与PE3间的路由引入到PE2的VPN1中，于是便能实现将报文由PE2转发到PE1进而转发到PE3的目的。由前述可知，在引入路由的过程中，VPN_PUB即为引出路由的VPN，而VPN1即为引入路由的VPN。

在完成路由引入后，引入的路由的私网标签为引出路由VPN的私网标签(即VPN_PUB的私网标签)。当PE2要访问PE3时，具体流程为：PE2接收到转发给PE3的报文后，在引入路由的VPN(即VPN1)对应的FIB表中查找到引入路由的私网标签(即VPN_PUB的私网标签)及公网下一跳地址，然后将报文依次封装上私网标签和公网标签后将报文转发到PE1。由于该报文的私网标签为VPN_PUB的私网标签，因此报文到达PE1后确定的入口VPN为VPN_PUB，该报文即被送入VPN_PUB中处理。然而，对于来自于PE2的VPN1的报文，进行NAT转换的规则对应保存在PE1的VPN1中，而不同VPN间相互隔离，因此无法应用VPN1下的NAT转换规则对VPN_PUB下的报文进行NAT转换，那么由于VPN3无法识别VPN1下的网络地址，因此虽然该报文被转发到了PE1，但是由于不能进行NAT转换，也就无法在VPN3中被识别从而完成转发。

由上述可见，目前的VPN路由引入方法中，由于将引出路由的VPN设置为引入路由的入口VPN，导致对于集中式VPN NAT等组网环境下，无法在引入路由的VPN中对转发报文进行处理。

发明内容

有鉴于此，本发明提供一种VPN的路由引入方法，能够实现在集中式VPN NAT等组网环境下，在引入路由的VPN中对转发报文进行处理。

本发明还提供一种PE设备和VPN的路由引入系统，能够实现在集中式VPN NAT等组网环境下，在引入路由的VPN中对转发报文进行处理。

为实现上述目的，本发明采用如下的技术方案：

一种虚拟私有网VPN的路由引入方法，包括：

在发布引入路由的路由信息的运营商边缘PE设备中，将需要引入的路由加入到本PE设备的引入该路由的VPN中，设置所述引入路由的ERT，并将引入路由的入口VPN设置为所述引入该路由的VPN；通过所述引入路由的VPN发布所述引入的路由。

较佳地，所述将引入路由的入口VPN设置为引入该路由的VPN为：为所述引入的路由加上属于所述引入该路由的VPN的私网标签。

较佳地，所述设置引入路由的ERT为：将所述引入路由的ERT设置为所述引入该路由的VPN下配置的IRT相匹配。

较佳地，所述将需要引入的路由加入到本PE设备的引入该路由的VPN中为：将需要引入的路由加入到本PE设备保存的对应引入该路由的VPN的路由表中。

较佳地，在将需要引入的路由加入到本PE设备的引入路由的VPN中之前，该方法进一步包括：根据当前的VPN组网环境和预先设定的路由引入策略，判断是否需要改变引入的路由的属性，若是，则继续执行所述将需要引入的路由加入引入路由的VPN中的操作；

否则，将引出该路由的VPN设置为引入的路由的入口VPN，通过该引出路由的VPN发布该路由，并结束当前流程。

较佳地，所述路由引入策略为：在集中式VPN网络地址转换NAT的组网环境下，改变所述引入的路由的属性。

较佳地，所述发布引入路由的路由信息的PE设备为支持所述引入路由的VPN的第一PE设备；

该方法进一步包括：

支持所述引入路由VPN的第二PE设备接收所述第一PE设备发布的所述引入的路由，并将该引入的路由引入到第二PE设备的所述引入路由的VPN中；第二PE设备将需要沿所述引入的路由转发的报文发送给第一PE设备；第一PE设备将该报文送入所述引入路由的VPN处理。

一种PE设备，包括：

所述第一路由引入单元，用于将需要引入的路由加入到本PE设备的第一VPN对应的路由信息单元中，设置所述引入的路由的ERT，并设置引入路由的入口VPN为引入该路由的VPN；

所述第一VPN对应的路由信息单元，用于保存所述引入路由的VPN下的路由信息；

所述路由发布单元，用于发布所述引入路由的VPN对应的路由信息单元中完成设置的路由。

较佳地，所述第一路由引入单元包括设置子单元和私网标签生成子单元，

所述私网标签生成子单元，用于生成属于所述引入路由的VPN的私网标签，发送给所述设置子单元；

所述设置子单元，用于将所述引入的路由加入第一VPN对应的路由信息单元中，将所述私网标签加入到所述引入的路由中，并设置所述引入的路由的ERT。

较佳地，所述设置子单元，用于将所述引入路由的ERT设置为所述引入路由的VPN下的ERT。

较佳地，该PE设备进一步包括策略判决单元、第二路由引入单元和引出路由的第二VPN对应的路由信息单元；

所述策略判决单元，用于根据当前组网环境和自身保存的路由引入策略，判断是否需要改变引入的路由的属性，当需要改变时，通知所述第一路由引入单元所述引入的路由和所述引入路由的VPN信息；当不需要改变时，通知所述第二路由引入单元所述引入的路由和所述引入路由的VPN信息；

所述第二路由引入单元，用于将保存在所述第二VPN对应的路由信息单元中的所述引入的路由的入口VPN设置为引出路由的VPN，并设置引入路由的ERT为引出路由的VPN下的ERT；

所述第二VPN对应的路由信息单元，用于保存引出路由的VPN下的路由信息；

所述路由发布单元，用于发布所述第二VPN对应的路由信息单元中完成设置的路由。

一种路由引入引出系统，包括第一PE设备和第二PE设备，

所述第一PE设备，用于将需要引入的路由加入到自身支持的引入路由的VPN中，设置所述引入路由的ERT，并将所述引入路由的入口VPN设置为引入该路由的VPN，通过所述引入路由的VPN发布所述引入路由；接收所述第二PE设备沿所述引入的路由转发来的报文，并将该报文送入本身的所述引入路由的VPN处理；

所述第二PE设备，用于接收所述第一PE设备发布的所述引入的路由，并将该引入的路由引入到第二PE设备的所述引入路由的VPN中；将需要沿所述引入的路由转发的报文发送给第一PE设备。

由上述技术方案可见，本发明在进行VPN的路由引入时，首先在发布引入路由的路由信息的PE设备中，将需要引入的路由加入到本PE设备的引入该路由的VPN中；然后设置引入路由的ERT，并将引入路由的入口VPN设置为引入该路由的VPN；最后，通过引入路由的VPN发布引入的路由。通过上述流程发布的路由信息中将路由的入口VPN设置为引入该路由的VPN，这样，在报文沿引入的路由转发时，即被送入引入路由的VPN中，从而能够保证在集中式VPN NAT组网等应用环境下，于引入路由的VPN下对报文进行相应处理；另外，由于将引入的路由加入到引入路由的VPN中，从而在报文被送入引入该路由的VPN后，还可以在该VPN中正常进行下一跳转发。

更进一步地，发布引入路由的路由信息的PE设备中，还可以在将需要引入的路由加入到本PE设备的引入该路由的VPN前，根据网络环境和路由引入策略，判断是否需要改变引入的路由的属性，当确定需要改变(例如，在集中式VPN NAT组网环境下)时，将该引入的路由加入到本PE设备的引入该路由的VPN中，并设置引入路由的VPN为引入的路由的入口VPN，发布该路由；当确定不需要改变时，仍然沿用背景技术描述的方式，将引出路由的VPN设置为该引入的路由的入口VPN，发布该路由。这样，就可以根据不同的组网环境，灵活地应用本发明的方法进行VPN的路由引入。

附图说明

图1为目前通过路由引入引出方式实现跨VPN访问的示意图。

图2为集中式VPN NAT组网环境示意图。

图3为本发明提供的VPN路由引入方法的总体流程图。

图4为本发明提供的PE设备的总体结构图。

图5为本发明实施例一中VPN路由引入方法的具体流程图。

图6为本发明实施例一中PE设备的具体结构图。

图7为本发明实施例一中VPN路由引入系统的具体结构图。

图8为本发明实施例二中VPN路由引入方法的具体流程图。

图9为本发明实施例二中PE设备的具体结构图。

具体实施方式

为使本发明的目的、技术手段和优点更加清楚明白，以下结合附图对本发明作进一步详细描述。

本发明的基本思想是：在进行VPN的路由引入时，将引入的路由的入口VPN设置为引入该路由的VPN，以确保可以对沿该引入路由进入PE设备的报文在引入该路由的VPN下进行相应的处理。

图3为本发明提供的VPN路由引入方法的总体流程图。如图3所示，该方法包括：

步骤301，发布引入路由的路由信息的PE设备，将需要引入的路由加入到本PE设备的引入该路由的VPN中，设置引入路由的ERT，并将引入路由的入口VPN设置为引入该路由的VPN。

本步骤将引入的路由加入引入该路由的VPN中，且将该引入路由的入口VPN设置为引入该路由的VPN，则认为该引入的路由的属性已被改变，完全属于引入路由的VPN。

本发明中，设置引入路由的ERT时需要保证与接收路由信息的对端PE设备中引入路由的VPN下的IRT相匹配即可。既可以将该ERT设置为引入路由的VPN下的ERT，这时对端PE设备中引入路由的VPN自然可以引入该路由；或者，也可以设置为引出路由的VPN下的ERT，这时对端PE设备中需要将引入路由的VPN下的IRT属性预先配置为与引入路由的ERT相匹配。

步骤302，PE设备通过引入路由的VPN发布所述引入的路由。

在发布路由时，可以采用BGP协议发布。

应用上述流程后，由于引入的路由的入口VPN被设置为引入路由的VPN，因此在报文沿引入的路由转发时，会被送入引入路由的VPN，于是就能够在引入路由的VPN下对报文进行相应处理，并且由于将引入的路由加入到引入路由的VPN中，使得被送入引入路由VPN的报文可以通过查找该VPN对应的FIB表进行下一跳转发。

图4为本发明提供的PE设备的总体结构图。如图4所示，该PE包括第一路由引入单元、第一VPN对应的路由信息单元和路由发布单元。

在该PE设备中，第一路由引入单元，用于将需要引入的路由加入到本PE设备的引入该路由的第一VPN对应的路由信息单元中，设置引入路由的ERT，并设置引入路由的入口VPN为引入该路由的VPN。

第一VPN对应的路由信息单元，用于保存引入路由的VPN下的路由信息。

路由发布单元，用于发布第一VPN对应的路由信息单元中完成入口VPN设置的路由。

上述即为本发明的总体概述，下面通过具体实施例说明本发明的具体实施方式。

实施例一：

本实施例中，仍以图2所示的集中式VPN NAT组网环境为例进行说明。其中，PE1作为NAT转换设备，配置了VPN_PUB、VPN1和VPN3，在PE1的VPN_PUB上对应保存了所有的路由信息，并在VPN1和VPN3上配置了各自的NAT转换规则。在PE2上配置了VPN1，在PE3上配置了VPN3。要实现PE2和PE3的互相访问，需要在PE1和PE2间进行路由引入，并在PE1和PE3间也进行路由引入，并且由PE1发布引入的路由信息。

图5为本发明实施例一中VPN路由引入方法的具体流程图。如图5所示，该方法包括：

步骤501，PE1确定需要引入的路由和引入路由的VPN。

本步骤中，根据网络需求，在PE1中配置需要引入的路由，该路由可以是一条，也可以是多条。当需要引入多条路由时，针对每条路由，配置引入该路由的VPN。

本实施例中，需要引入两条路由，分别为PE1到PE3间的路由R1和PE1到PE2间的路由R2，并且将这两条路由分别引入PE2中的VPN1和PE3中的VPN3。根据PE1的配置可知，路由R1和R2均属于VPN_PUB，也就是说，VPN_PUB是引出路由R1和R2的VPN。而对于路由R1，引入该路由的VPN为VPN1；对于路由R2，引入该路由的VPN为VPN3。

步骤502，PE1将路由R1和R2分别加入其自身的引入该路由的VPN中。

本步骤中，将路由加入引入该路由的VPN具体可以是加入到相应VPN的路由表中，也就是说，PE1将路由R1加入到其自身保存的对应VPN1的路由表中；将路由R2加入到其自身保存的对应VPN3的路由表中。

步骤503，根据引入路由的VPN，设置路由R1和R2的ERT。

本步骤中，设置引入的路由的ERT的方式具体可以为：将引入的路由的ERT设置为与引入路由的VPN下的ERT。

步骤504，对路由R1和R2的入口VPN进行设置。

本步骤中，在设置路由的入口VPN时，将引入路由的入口VPN设置为引入该路由的VPN。具体设置方式可以为：为引入的路由生成属于引入该路由VPN的私网标签，在该引入的路由上加上生成的私网标签。

具体地，在本实施例中，为路由R1生成属于VPN1的私网标签，并在路由R1上加上该私网标签；为路由R2生成属于VPN3的私网标签，并在路由R2上加上该私网标签。

在实际应用中，可能会将一条路由加入多个VPN中，这时，在设置路由的入口VPN时，将该路由分别加入引入该路由的多个VPN中，并为各个路由分别加上引入该路由的VPN的私网标签。

上述步骤503和504间的执行顺序可以任意指定。

步骤505，通过引入路由的VPN，采用BGP发布路由。

本步骤中，分别通过VPN1和VPN3发布路由R1和R2。

步骤506，PE2和PE3接收到发布的路由，分别将R1和R2引入自身相应的VPN中。

由于在步骤503中已经将R1的ERT设置为与VPN1设置的IRT相匹配，于是当PE2接收到发布的路由R1后，根据其携带的ERT匹配到VPN1，于是将其加入VPN1对应的路由表中，形成FIB表中的一条转发项；同理，由于在步骤503中已经将R2的ERT设置为与VPN3设置的IRT相匹配，于是当PE3接收到发布的路由R2，将其匹配到VPN3，并加入VPN3对应的路由表中，形成FIB表中的一条转发项。

经过上述VPN路由引入后，若PE2要访问PE3，且要求报文到达PE1后进行NAT转换，则具体的访问流程可以如下进行：

步骤507，PE2接收到要发送给PE3的报文后，在VPN1内查找FIB表，找到引入的到达PE3的路由R1，并得到该路由的公网下一跳地址和私网标签。

由于在上述路由引入过程中，引入的路由R1的入口VPN为VPN1，因此这里查找到的路由R1的私网标签也就是VPN1的私网标签。

步骤508，将待转发的报文封装一层私网标签后，在公网的标签转发表中根据下一跳查找公网标签，再封装一层公网标签后将报文交给MPLS转发。

步骤509，当该报文到达PE1后，根据私网标签确定入口VPN，并将报文送入该入口VPN处理。

本步骤中，报文沿路由R1到达PE1，由于路由R1的私网标签为引入该路由VPN(即VPN1)的私网标签，因此确定入口VPN为VPN1，于是将该报文送入VPN1中。这样，报文可以根据VPN1下配置的策略进行NAT转换，完成处理后再查找VPN1对应的FIB表，进行报文的正常转发。可见，克服了背景技术中无法将报文在引入的VPN中进行处理的缺陷。

由上述过程可以看出，应用本发明的方法后，在跨VPN访问时，沿引入路由进入PE的报文，可以在引入该路由的VPN下进行相应的处理，对于集中式VPN NAT等组网环境，方便了应用业务的实施。

本实施例还提供了能够实施上述方法的PE设备，该PE是图4所示PE的一种具体实施方式。图6即为本发明实施例一提供的PE设备的具体结构图。如图6所示，该PE设备包括第一路由引入单元、第一VPN对应的路由表单元和路由发布单元。其中，第一路由引入单元包括设置子单元和私网标签生成子单元。第一VPN对应的路由表单元即为图4中第一VPN对应的路由信息单元的一种具体实现。

在该PE设备中，第一路由引入单元中的私网标签生成子单元，用于生成属于引入该路由VPN的私网标签，并发送给设置子单元。

设置子单元，用于将所述引入的路由加入本PE设备的引入该路由的第一VPN对应的路由表单元中，并设置所述引入的路由的ERT为引入路由的VPN下的ERT，接收私网标签生成子单元生成的私网标签，加入到所述引入的路由中。

第一VPN对应的路由表单元，用于保存引入路由的VPN下的路由信息。

路由发布单元，用于通过BGP发布第一VPN对应的路由表中完成设置的路由。

本实施例还提供了一种VPN的路由引入系统，其中包括发布路由信息的第一PE设备和接收并引入路由信息的第二PE设备。具体地，该系统结构如图7所示。

在该系统中，第一PE设备，用于将需要引入的路由加入到自身支持的引入路由的VPN中，设置引入路由的ERT，并将引入路由的入口VPN设置为引入该路由的VPN，通过该引入路由的VPN发布引入的路由；接收第二PE设备沿引入的路由转发来的报文，并将该报文送入引入路由的VPN处理。

第二PE设备，用于接收第一PE设备发布的引入的路由，并将该路由引入到第二PE设备支持的引入路由的VPN中；将需要沿引入的路由转发的报文发送给第一PE设备。

在上述系统中，用于发布引入路由的PE设备可以采用如图6所示的结构。

在实施例一中，设置引入路由的ERT属性时，将其设置为引入该路由的VPN下的ERT，这样该ERT能够与引入该路由的VPN的IRT相匹配，当路由信息被转发到对端PE设备时，对端PE设备将路由信息匹配到引入路由的VPN中，并将该路由信息引入。事实上，在设置引入路由的ERT属性时，也可以按照背景技术中介绍的方式进行，将其设置为引出该路由的VPN下的ERT，并且在对端PE设备引入路由时，预先配置引入路由VPN下的其中一个IRT与引入路由的ERT相匹配。

实施例二：

图8为本发明实施例二中VPN的路由引入方法的具体流程图。如图8所示，该方法包括：

步骤801，预先设定VPN的路由引入策略。

考虑到在某些跨VPN访问的应用中，在PE设备处不需要对报文在特定VPN内作应用处理，因此可以保留背景技术描述的路由引入方法进行路由引入，从而简化PE设备改造，兼容背景技术描述的处理方式。

因此，在本步骤中设定VPN的路由引入策略，规定：在PE设备中需要对报文于引入路由的VPN进行应用处理的组网环境(例如，集中式VPN NAT组网环境)下，进行VPN的路由引入时，改变引入的路由的属性；在其它的组网环境下，进行VPN的路由引入时，不改变引入的路由的属性，依然按照背景技术描述的方式进行路由引入。

步骤802，PE设备确定需要引入的路由和引入该路由的VPN。

步骤803，根据当前的组网环境和设定的路由引入策略，判断是否需要改变引入的路由的属性，若是，则对该引入的路由执行步骤804及其后续步骤，否则对该引入的路由执行步骤808及其后续步骤。

本步骤中，对于需要改变路由属性的引入路由，利用步骤804到806进行处理，对于不需要改变路由属性的引入路由，利用步骤808到步骤810进行处理，也就是按照背景技术描述的方式进行。

步骤804，PE设备将路由加入本身保存的对应引入该路由的VPN的路由表中。

步骤805，根据引出路由的VPN，设置路由的ERT。

本步骤中，设置引入的路由的ERT的方式具体可以为：将引入的路由的ERT设置为与引出路由的VPN下的ERT。也就是采用与背景技术中的相同设置方式。

步骤806，将引入路由的入口VPN设置为引入该路由的VPN。

步骤807，通过引入路由的VPN，发布该引入的路由，并结束当前流程。

至此，对需要改变路由属性的引入路由，完成了路由引入的流程。对端PE设备在引入路由时，预先配置引入路由VPN下的一个IRT与引入路由的ERT相匹配，根据引入路由携带的ERT属性将路由匹配到引入路由的VPN，并将其加入路由表中。

步骤808，根据引出路由的VPN，设置路由的ERT。

步骤809，将引入路由的入口VPN设置为引出该路由的VPN。

本步骤也就是将引入的路由加上属于引出路由VPN的私网标签。例如，将路由R1由VPN2引入到VPN1，则将该路由加上属于VPN2的私网标签。

步骤810，通过引出路由的VPN发布引入的路由，并结束当前流程。

至此，对于不需要修改属性的引入路由，依照背景技术介绍的方式完成了该路由的引入流程。接下来，引入的路由依照背景技术描述的方式在网络中转发，直到引入上述路由的PE设备的相应VPN接收到该路由，并将其加入路由表中。

本实施例还提供了一种PE设备，该设备是图4所示PE设备的一种具体实施方式，可以用于实施上述图8所示的方法流程。图9即为该PE设备的具体结构图。如图9所示，该PE设备包括：第一路由引入单元、第一VPN对应的路由表单元和第二VPN对应的路由表单元、路由发布单元、策略判决单元和第二路由引入单元。

策略判决单元，用于根据当前组网环境和自身保存的路由引入策略，判断是否需要改变引入的路由的属性，当需要改变时，通知第一路由引入单元引入的路由和引入路由的VPN信息；当不需要改变时，通知第二路由引入单元引入的路由和引入路由的VPN信息。

第一路由引入单元，用于将引入的路由加入第一VPN对应的路由表单元中，并设置所述引入的路由的ERT为引出路由的VPN下的ERT，设置引入路由的入口VPN为引入该路由的VPN。

第二路由引入单元，用于将第二VPN对应的路由表单元中保存的引入的路由的入口VPN设置为引出该路由的VPN，具体即，为该引入的路由加上属于引出路由VPN的私网标签；并设置所述引入的路由的ERT为引出路由的VPN下的ERT。

第一VPN对应的路由表单元，用于保存引入路由的VPN下的路由信息。

第二VPN对应的路由表单元，用于保存引出路由的VPN下的路由信息。

路由发布单元，用于通过BGP发布第一和第二VPN对应的路由表单元中完成设置的路由。

由上述本实施例的实施方式可以看出，在本实施例中，对于需要引入的VPN路由，可以根据配置的策略和当前组网环境，设置其引入方式。这样，对于如图1所示的组网环境，当不需要在引入路由的VPN对转发报文进行处理，只需要直接转发时，可以沿用背景技术中介绍的路由引入方式进行；当需要在引入路由的VPN对转发报文进行处理(如集中式VPN NAT环境中)，然后才进行转发时，可以改变将引入路由改变为完全属于引入该路由的VPN，将路由的入口VPN设为引入路由的VPN。上述实施方式，可以适用于各类不同的网络环境，并能最大限度地兼容以往的设备。

以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。