用于在自治系统之间提供虚拟专用网络服务的方法

摘要

本发明涉及在两个或更多自治系统(AS)之间提供虚拟专用网络(VPN)服务。在两个或更多自治系统(Asx，Asy)中提供了聚合边缘路由器(ASBR)。配置了聚合边缘路由器，以便在这些自治系统中的聚合边缘路由器之间进行两个或更多自治系统之间的路由配对。每一个聚合边缘路由器都是其自己的自治系统中的其他边缘路由器(PE)的路由对等方。在不同的自治系统之间使用多协议标记切换(MPLS)网络。

说明书

技术领域

本发明涉及虚拟专用网络(VPN)服务，具体来说，涉及在两个或更多自治系统(AS)之间提供VPN服务。

背景技术

虚拟专用网络(VPN)通常用于通过安全隧道在不受信任的(公共)主干网络上在受信任的各方或“站点”之间彼此进行连接。只有在有某种包含两个站点的VPN存在的情况下，这两个站点才能通过共同的主干网建立IP连接。不能共有VPN的两个站点不能在那个主干网上建立连接。如果VPN中的所有站点都被同一个企业拥有，则该VPN可以被视为公司“内部网”。如果VPN中的各个站点被不同的企业拥有，则该VPN可以被视为“外部网”。一个站点可以位于多个VPN上；例如，位于一个内部网上和多个外部网上。一般而言，当我们使用术语“VPN”时，我们将不会区别内部网和外部网。站点的所有者常常被称为“客户”。主干网的所有者/运营商常常被称为“服务提供商”(SP)。客户从SP获取“VPN服务”。客户可以是单个企业、一组企业、因特网服务提供商、应用程序服务提供商、向其自己的客户提供相同类型的VPN服务的另一个SP等等。

安全性和管理考虑可以使将大型网络细分为需要尽可能少地彼此了解的多个网络部分变得十分有利。在这些网络部分由不同的服务提供商进行管理的情况下，这一点特别重要。这些网络部分常常被称为“自治系统(AS)”。自治系统对应于诸如大学、公司、主干网络等等之类的管理域。

因特网工程任务组(IETF)定义了允许服务提供商向他们的客户提供虚拟专用网络(“VPN”)服务的概念。每一个VPN站点必须包含一个或多个客户边缘(CE)路由器。每一个CE路由器都通过某种连接电路连接到一个或多个提供商边缘(PE)路由器。CE路由器在逻辑上是客户的VPN的组成部分，而PE和P路由器在逻辑上是SP的网络的组成部分。当从CE传输到PE时数据包所经过的连接电路被称为该数据包的“进入连接电路”，PE被称为数据包的“进入PE”。当从PE传输到CE时数据包所经过的连接电路被称为该数据包的“外出连接电路”，PE被称为数据包的“外出PE”。如果一个PE路由器连接到CE路由器，而该CE路由器位于一个特定VPN的一个站点上，则我们将说，该PE路由器连接到该特定VPN。类似地，如果一个PE路由器连接到CE路由器，而该CE路由器位于一个站点上，则我们将说，该PE路由器连接到该特定站点。当CE路由器是路由器时，它是它所连接到的PE的路由对等方，而不是位于其他站点上的CE路由器的路由对等方。位于不同站点上的路由器不直接彼此交换路由信息；事实上，它们甚至根本彼此不需要认识。结果，客户没有主干网或“虚拟主干网”需要管理，不必处理任何站点之间的路由问题。每一个PE路由器都维护许多单独的转发表，包括VPN路由和转发表(VRF)。每个PE-CE连接电路都通过配置与一个或多个VRF关联。与VRF关联的连接电路被称为“VRF连接电路”。在最简单和最典型的情况下，PE-CE连接电路正好与一个VRF关联。当通过特定连接电路接收IP数据包时，在关联的VRF中查询其目标IP地址。该查询的结果确定如何路由数据包。由用于路由特定数据包的数据包的进入PE使用的VRF被称为该数据包的“进入VRF”。数据包的“外出VRF”位于数据包的外出PE。

自治系统AS具有用于连接到其他自治系统的自治系统边界路由器。边界网关协议(“BGP”)被用来跨提供商的IP(因特网协议)主干网络分布客户的路由，而多协议标记切换(“MPLS”)被用来跨提供商的主干网通过隧道传输客户的数据包。这被称为“BGP/MPLSIP VPN”。具体来说，如果VPN的两个站点连接到位于同一个自治系统中的PE，则PE可以通过它们之间的IBGP连接在彼此之间分布VPN-IPv4路由。术语“IBGP”是指当在同一个自治系统中的两个BGP说话者之间存在BGP连接时使用的一组协议和过程。它与“EBGP”不同，后者是在不同的自治系统中的两个BGP说话者之间使用的一组过程。或者，每一个都可以具有与路由反射器[BGP-RR]的IBGP连接。正如下面参考图3所描述的，在同一个AS内两个路由器之间使用MP-iBGP，在不同的AS系统中的路由器之间使用MP-eBGP。

RFC2547bis(draft-ietf-l3vpn-rfc2547bis-03.txt，InternetEngineering Task Force(IETF)：BGP/MPLS IP VPNs)，特别是第10章，定义了在客户站点连接到属于由不同服务提供商进行管理的不同自治系统(AS)的提供商边缘路由器PE的情况下，提供IP VPN服务的不同的方式。

图1显示了由RFC2547bis定义的第一AS间方案(inter-ASoption)(a)。在所显示的示例中，提供商边缘路由器PE1..4是数据包的进入/外出PE。CE路由器通常位于客户的设施中。PE具有通向CE路由器的并与VPN路由和转发表(VRF)关联的逻辑连接电路，该表实现了相应的客户的虚拟网络。在AS间方案(a)中，自治系统边界路由器ASBR直接互连起来(即，在其之间没有标记切换路径LSP或多协议标记切换MPLS网络)。VRF通过ASBR路由器之间的物理或逻辑连接彼此区别开来，以便实现了同一个VPN的VRF使用不同的物理连接或子连接(逻辑连接)彼此关联起来。在图1所示的示例中，ASBR1中的VRF1和ASBR2中的VRF1彼此关联起来。此方案(a)的VPN路由的路由过程如下。让我们考虑位于客户的站点中的路由器CE1通过eBGP会话将IP网络′10.0.0.0/24′广告到边缘路由器PE1。路由器PE1将网络′10.0.0.0/24′安装到合适的VRF(例如，VRF1)中，此后通过MP-iBGB协议将网络′10.0.0.0/24′进一步广告到同一个自治系统AS的MPLS网络内的其他PE路由器(如PE2，ASBR1)。结果，也是ASBR1接收广告，并将路由安装到VRF中。然后，ASBR1通过eBGP协议将路由作为正常的IPv4路由广告到ASBR2。ASBR2通过MP-iBGP协议将路由广告到其自己的自治系统AS内的其他PE路由器(例如，PE3，PE4)，然后，其他PE路由器将路由作为正常的IPv4路由广告到CE路由器。

此方案(a)的问题是，在ASBR路由器之间不能使用MPLS技术，但是需要以上文所描述的方式使用逻辑或物理连接。VPN路由的路由需要每一个VPN有一个会话，这也可以阻止缩放到大量的VPN。

图2显示了由RFC2547bis定义的第二AS间方案(b)。在此方案中，在ASBR路由器中没有维护实际的VRF。ASBR路由器必须维护VPN路由，但是，它们不安装到VRF中。使用MP-eGBP协议来分布VPN路由信息，该信息也包含用于相应的路由的标记(VPN标记)。通常，ASBR路由器重写BGP消息中的下一跳跃属性，以对ASBR路由器本身进行寻址。如此，在ASBR路由器之间传输的数据包被标记有VPN标记，但是，不包含数据包交换网络(PSN)标记，由于此，没有在ASBR路由器之间具有PSN隧道的MPLS网络。如果有两个以上的ASBR彼此互连起来，或如果ASBR路由器彼此分离，并在切换层使用MPLS技术，将会需要这一点。否则，VPN路由的路由类似于方案(a)的情况，只是在ASBR路由器之间使用单个MP-eBGP以分布VPN-IPv4地址，为该目的不需要多个eBGP会话。

此方案(b)中的问题是，在进入和外出PE之间需要标记切换路径，因为ASBR路由器将不会将标记切换路径结束到VRF实例。在此情况下，标记切换路径是用通过MP-BGP协议分布的VPN标记形成的。由于路由不安装在VRF中，由于安全原因，服务提供商必须处理RT属性的过滤。方案(b)不需要使用子连接来关联ASBR路由器之间的VRF，这是优于方案(a)的优点。

图3显示了由RFC2547bis定义的第三AS间方案(c)。在此方案中，在ASBR路由器之间使用eBGP协议，将进入边缘路由器(图3所示的示例中的PE1...PE4)的IPv4地址和对应的标记广告到其他自治系统AS。这样，在数据包的进入和外出PE之间提供了标记切换路径。在此情况下，有PSN隧道，在该PSN隧道内，传输VPN标记。通常通过VPN路由反射器分布VPN-IPv4路由和VPN标记。同一个自治系统AS中的每一个PE路由器(例如，PE1，PE2，ASBR1，或PE3，PE4，ASBR2)具有到特定AS的VPN路由反射器的MP-iBGP会话。不同的AS的VPN路由反射器使用MP-eBGP协议来交换VPN-IPv4。然而，不同的服务提供商的多个边缘路由器之间的标记切换路径会带来安全风险。方案(c)的优点是，ASBR路由器不需要维护VPN路由。

发明内容

本发明的目的是提供了用于在自治系统之间提供VPN服务的新方法。

根据本发明，在两个或更多不同的自主地管理的网络部分(这里被称为“自治系统”)中提供了聚合边缘路由器。配置了聚合边缘路由器，以便在这些自治系统中的聚合边缘路由器之间进行两个或更多自治系统之间的路由配对。每一个聚合边缘路由器都是其自己的自治系统中的其他边缘路由器的路由对等方。如此，自治系统中的其他边缘路由器必须知道只到同一个自治系统中的聚合边缘路由器的诸如标记切换路由之类的可达到性信息。一个自治系统中的进入边缘路由器不必知道另一个自动系统中的外出边缘路由器上的可达到性信息。一个自治系统中的聚合边缘路由器也必须只能够与另一个自治系统中的对等聚合边缘路由器进行接触。通过本发明的优点，改善了网络的可缩放性和安全性。本发明还允许在不同的自治系统之间使用多协议标记切换MPLS网络。如此，如现有技术中的方法那样，对于ASBR中的每一个VRF，不需要单独的逻辑或物理连接。

在本发明的实施例中，聚合边缘路由器充当自治系统边界路由器(ASBR)。

在本发明的实施例中，在聚合边缘路由器和同一个自治系统中的其他边缘路由器之间使用多协议内部边界网关协议，用于分布因特网协议-虚拟专用网络(IP-VPN)路由。

在本发明的实施例中，在不同自治系统中的聚合边缘路由器之间使用多协议外部边界网关协议(MP-eBGP)，用于分布IP-VPN路由。

在本发明的实施例中，当从同一个自治系统中的其他聚合边缘路由器接收IP-VPN路由时，聚合边缘路由器可以将VPN-IP路由导入到一个或多个合适的VPN路由和转发表(VRF)中。在IP-VPN路由之前，路由被再分布到另一个自治系统中的对等聚合边缘路由器，聚合边缘路由器可以进一步将路由的关联的路由区别符(RD)和路由目标(RT)属性替换为那些被配置为聚合边缘路由器中的对应的VRF的属性，并将下一跳跃设置为其本身，例如，通过将路由的下一跳跃属性替换为聚合边缘路由器的IP地址。

在本发明的实施例中，当从另一个自治系统中的聚合边缘路由器接收IP-VPN路由时，聚合边缘路由器可以将VPN-IP路由导入到一个或多个合适的VPN路由和转发表(VRF)中。在将IP-VPN路由重新广告到其自己的自治系统中的其他边缘路由器之前，聚合边缘路由器可以进一步将路由的关联的路由区别符(RD)和导出路由目标(RT)属性替换为那些被配置为聚合边缘路由器中的对应的VRF的属性，并将下一跳跃设置为其本身，例如，通过将路由的下一跳跃属性替换为聚合边缘路由器的IP地址。

替换路由区别符(RD)和路由目标(RT)属性的优点包括下面几个。当在重新广告聚合边缘路由器中将同一个路由导入到多个VRF时，它可以从具有不同的导出路由目标集的那些VRF中被导出到MP-BGP邻居中。如果被广告到MP-BGP邻居的路由具有相同的RD，那么，只有那些沿着最佳路由的RT在接收MP-BGP邻居时生效。如果多个聚合边缘路由器使用不同的路由区别符，如果数据包的外出边缘路由器连接到多个聚合边缘路由器(PE路由器的多宿主)，则其他边缘路由器可以使用负载平衡。

借助于本发明，在数据包的进入和外出路由器之间不需要可达到性信息。本发明不需要在数据包的进入和外出边缘路由器之间有标记切换路径。本发明既不需要进入和外出边缘路由器之间的BGP会话；甚至也不通过路由反射器。

附图说明

在下面的描述中，将参考附图，附图构成了本发明的一部分，并显示了本发明的多个实施例。在附图中：

图1显示了由RFC2547bis定义的第一AS间方案(a)的系统图；

图2显示了由RFC2547bis定义的第二AS间方案(b)的系统图；

图3显示了由RFC2547bis定义的第三AS间方案(c)的系统图；

图4显示了实现本发明的基本原理的示例方案的系统图。

具体实施方式

下面将通过显示示例比较详细地描述本发明的原理。在这些示例中，在自治系统边界路由器(ASBR)和在基本上符合RFC2547bis的“BGP/MPLS IP VPN”环境中实现了根据本发明的聚合边缘路由器。可以从位于http://www.ietf.org的Requests for Comment(RFC)和Internet-Drafts中获得“BGP/MPLS IP VPN”的细节，这里引述了一些内容作为参考。

然而，在本发明的实施例之前，简要地描述“BGP/MPLS IP VPN”的RT和RD属性，以便有助于对示例进行描述。

VPN-IPv4地址是12字节量，从8字节“路由区别符(RD)”开始，以4字节IPv4地址结尾。如果多个VPN使用相同的IPv4地址前缀，则提供商边缘路由器(PE)会将这些转换为唯一的VPN-IPv4地址前缀。这确保了，如果在多个不同的VPN中使用相同的地址，则BGP可以将多个完全不同的路由传送到该地址，每一个VPN一个路由。由于VPN-IPv4地址和IPv4地址是不同的地址家族，因此，BGP决不会将它们当作可比较的地址。RD只不过是一个编号，它不包含任何固有的信息；它不识别路由的起源或路由将要分布到其中的一组VPN。RD的目的只是允许创建到共同的IPv4地址前缀的不同的路由。使用其他手段来确定在哪里再分布路由。也可以使用RD来创建到完全相同的系统的多个不同路由。RD可以如此构成，以便每个服务提供商都可以管理其自己的“编号空间”(即，可以进行其自己的RD分配)，而不会与由任何其他服务提供商进行的RD分配有冲突。PE需要如此配置，以便通向特定客户边缘(CE)路由器的路由将与特定RD关联。该配置可以导致通向同一个CE的所有路由都与同一个RD关联，也可以导致不同的路由与不同的RD关联，即使它们通向同一个CE。

当创建VPN-IPv4时(根据PE已经从CE了解的IPv4路由)，它与一个或多个路由目标(RT)属性关联。这些属性作为路由的属性在BGP中携带。与路由目标RT关联的任何路由都必须分布到具有与路由目标RT关联的VRF的每个PE路由器。当由PE路由器接收到这样的路由时，它有资格安装在PE的与路由目标关联的那些路由器中。路由目标属性可以被视为标识一组站点，或一组VRF中。将特定路由目标属性与路由关联可以使该路由被置于用于路由从对应的站点接收到的流量的VRF中。有一组路由目标，PE路由器将它们附加到从站点S接收到的路由中，这些路由目标可以叫做“导出目标”。还有一组路由目标，PE路由器使用它们来判断从另一个PE路由器接收到的路由可以被置于与站点S关联的VRF；这些路由目标叫做“导入目标”。两组是不同的，也不必相同。

图4显示了实现本发明的基本原理的示例方案。在图4所显示的实施例中，提供商边缘路由器PE1...4是数据包的进入/外出边缘路由器。客户边缘(CE)路由器通常位于客户的设施中。PE具有通向CE路由器的并与VPN路由和转发表(VRF)关联的逻辑连接电路，该表实现了相应的客户的虚拟网络。在本发明的此实施例中，基本上根据RFC2547规范实现VPN站点之间的VPN，而不应用本发明的原理。在本发明的实施例中，ASBR路由器(自治系统ASx的ABRS1，自治系统ASy的ABRS2)还包括VPN路由和转发表(VRF)。在数据包的进入/外出边缘路由器之间(在所显示的示例中，自治系统ASx的PE1，PE2，自治系统ASy的PE3，PE4)提供了数据包交换网络(PSN)隧道。PSN隧道可以例如以标记切换路径(LSP)的形式来实现，或通过GRE，IPinIP或任何其他适用的技术来实现。所使用的PSN隧道的类型与基本发明不相关。

从自己的系统的ABSR中的PE路由器发出的PSN隧道PSN1，PSN2和PSN4，PSN5(以及相应的标记切换路径LSP1，LSP2，LSP4，以及LSP5)，即，路由器PE1，PE2和PE3，PE4分别在ABSR1和ABSR2中结束。自治系统ASx和ASy之间的PSN隧道PSN3(和相应的标记切换路径LSP3)在ABSR1和ABSR2中结束。结果，在位于不同自治系统ASx和ASy中的数据包的进入/外出边缘路由器之间没有建立标记切换PSN端对端隧道。

在自治系统ASx内，必须具有有关位于其他自治系统ASy内的边缘路由器的信息的唯一路由器是路由器ASBR1，甚至ASBR1必须只能够与ASy中的ASBR2进行接触。此外，由于ASBR路由器包含向其中安装了VPN路由的VPN路由和转发表(VRF)，因此，也没有建立VPN标记路径。这是因为在ABSR路由器中的IP级别进行切换，而不是在MPLS级别进行切换。当ABSR路由器通过MP-iBGP协议从ABRS路由器的自己的自治系统AS接收IP-VPN路由时，ABRS路由器将IP-VPN路由安装到合适的VRF中。可以通过将RT属性与设置为VRF的RT属性进行比较，基于路由广告中的RT属性，确定合适的VRF。此机制可以根据本RFC2547bis过程来进行。

根据本发明的原理，安装在VRF中的VPN路由通过MP-eBGP被重新广告到其他ASBR路由器，而路由属性被重写，以符合广告ASBR路由器的设置。在VPN-IPv4路由被安装一个以上的VRF的情况下，路由被从每一个VRF广告到其他ASBR路由器。

在所显示的示例中，通过根据本发明的ASBR1，在重新广告的路由中进行了下面的修改或更改：

-路由的RT属性被替换为为广告ASBR1路由器中的VRF设置的导出RT属性。

-路由的下一跳跃属性被替换为广告ASBR1路由器的IP地址。

-路由的RD被替换为为广告ASBR1路由器中的VRF设置的RD。

当ASBR2路由器接收如上文所描述的修改过的BGP消息时，ASBR2将广告的路由(假定RT属性匹配，路由是最佳路由，如果有一个以上可用)安装到ASBR2的自己的VRF，并在广告其自己的自治系统ASy中的路由之前对路由进行对应的改变。具体来说，ASBR2在根据本发明的重新广告的路由中进行下列修改或更改：

-路由的RT属性被替换为为ASBR2路由器中的VRF设置的导出RT属性。

-路由的下一跳跃属性被替换为ASBR2路由器的IP地址。

-路由的RD被替换为被设置为ASBR2路由器中的VRF的RD。

结果，自治系统ASx或ASy中的其他边缘路由器必须知道只到同一个自治系统AS中的另一个路由器的标记切换路由，即，分别到ASBR1或ASBR2的路由。在数据包的进入和外出边缘路由器之间不需要标记切换路径，这会改善网络的安全性和可缩放性。

上面的说明、示例和数据提供了实现和使用本发明的描述。由于在不偏离本发明的精神或范围的情况下，可以作出本发明的许多实施例，因此，本发明可以在下面所附的权利要求的范围和精神范围内变化。