專利名稱:基于mpls/ops的虛擬專用網(wǎng)的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于光纖通信技術(shù)領(lǐng)域��,特別涉及虛擬專用網(wǎng)(VPN)與多協(xié)議標(biāo)簽交換/光分組交換(MPLS/0PS)網(wǎng)絡(luò)技術(shù)����。
背景技術(shù):
近年來(lái)�����,以互聯(lián)網(wǎng)協(xié)議(IP)為基礎(chǔ)的互聯(lián)網(wǎng)業(yè)務(wù)�,如遠(yuǎn)程教育、視頻點(diǎn)播及高清 晰電視等持續(xù)增長(zhǎng)�����,不但對(duì)現(xiàn)有網(wǎng)絡(luò)的帶寬容量提出了越來(lái)越高的要求����,而且也導(dǎo)致了電 信業(yè)務(wù)中以語(yǔ)音為主的電路交換業(yè)務(wù)向以數(shù)據(jù)為主的分組交換業(yè)務(wù)轉(zhuǎn)移����。由數(shù)據(jù)業(yè)務(wù)所引 起的帶寬需求快速增長(zhǎng)���,從而使電信網(wǎng)絡(luò)從對(duì)語(yǔ)音業(yè)務(wù)最優(yōu)網(wǎng)絡(luò)向以IP業(yè)務(wù)為主的網(wǎng)絡(luò) 轉(zhuǎn)移���。多協(xié)議標(biāo)簽交換(MPLS)技術(shù)進(jìn)一步加強(qiáng)了 IP的功能���,同時(shí)IP路由器端口速率和 匯聚能力的增長(zhǎng)也使得IP路由器直接與WDM層的波長(zhǎng)信道相鏈接�。數(shù)據(jù)網(wǎng)絡(luò)發(fā)展到現(xiàn)階 段����,已經(jīng)在波分復(fù)用(WDM)層上將出現(xiàn)一個(gè)與WDM層無(wú)縫集成的光分組交換(OPS)層,來(lái)承 載IP業(yè)務(wù)�,以此完成電層和光層(WDM)之間的適配,OPS與WDM傳送層無(wú)縫的集成在一起�����, 不但繼承了 WDM的高速率���、大容量�、透明性和可重構(gòu)性,而且繼承了光分組交換技術(shù)的獨(dú)特 優(yōu)點(diǎn)�����。典型的光分組交換網(wǎng)絡(luò)(OPSN)��,它由邊緣節(jié)點(diǎn)和核心節(jié)點(diǎn)組成��,其基本功能包括 光分組產(chǎn)生��、識(shí)別及寫入�����、光分組路由�、流量控制與沖突解決等。OPSN的邊緣節(jié)點(diǎn)完成客 戶層之間的接口����,完成光域的OPSN與業(yè)務(wù)網(wǎng)絡(luò)之間的適配,包括流量整形���、凈負(fù)荷壓縮���、復(fù) 用��、光信號(hào)再生和端到端的傳輸監(jiān)控以及多業(yè)務(wù)接入等���。核心節(jié)點(diǎn)實(shí)現(xiàn)簡(jiǎn)單且具有高速處 理功能,可實(shí)現(xiàn)數(shù)據(jù)信息的透明交換����,主要實(shí)現(xiàn)光分組的識(shí)別、更新與重新寫入等�����。同步數(shù) 字體系(SDH)和異步傳遞模式(ATM)等傳統(tǒng)的傳輸網(wǎng)絡(luò)在網(wǎng)絡(luò)層次上逐漸上移����,連同當(dāng)前 的IP網(wǎng)絡(luò)一起成為OPSN的業(yè)務(wù)網(wǎng)絡(luò)���;IP協(xié)議無(wú)可置疑地成為語(yǔ)音�、數(shù)據(jù)和視頻等各種業(yè) 務(wù)的統(tǒng)一業(yè)務(wù)承載層�;OPS層是電域的IP層與光域的WDM層之間的適配層;WDM提供最底層 的物理傳輸帶寬資源����。來(lái)自客戶網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)在OPSN邊緣節(jié)點(diǎn)處打包�,然后加上光標(biāo)簽 或光信頭構(gòu)成光分組交換網(wǎng)絡(luò)的基本傳輸單元-光分組���。OPS核心網(wǎng)絡(luò)以光分組的形式來(lái) 承載業(yè)務(wù)數(shù)據(jù)���,所有光分組的凈荷數(shù)據(jù)的傳輸和交換都在光域中進(jìn)行,而光分組信頭的處 理和控制可以全光或光/電/光處理完成��??傊夥纸M交換具備高速�、高效、高度靈活性�、 透明性、可重構(gòu)性和控制管理簡(jiǎn)單等諸多優(yōu)勢(shì)���,能有效解決網(wǎng)絡(luò)電子瓶頸��,并滿足未來(lái)承載 多業(yè)務(wù)的要求���。通過(guò)把大量的交換業(yè)務(wù)轉(zhuǎn)移到光域中進(jìn)行處理,使得交換容量與WDM傳輸 容量匹配����,同時(shí)光分組交換技術(shù)可以與光交叉設(shè)備(OXC)���,MPLS等新技術(shù)相結(jié)合,實(shí)現(xiàn)網(wǎng)絡(luò) 的優(yōu)化與資源的合理利用����。因而,光分組交換技術(shù)成為實(shí)現(xiàn)未來(lái)全光網(wǎng)絡(luò)的有效技術(shù)之一��。為了進(jìn)一步提高網(wǎng)絡(luò)的靈活性和可靠性����,需要支持多協(xié)議標(biāo)簽交換/光分組交換 (MPLS/0PS)網(wǎng)絡(luò)內(nèi)部間的通信與組建全光的虛擬專用網(wǎng)(VPN)。VPN在現(xiàn)有網(wǎng)絡(luò)資源基礎(chǔ) 上���,可以在較低成本投入情況下充分滿足客戶組建專用網(wǎng)絡(luò)與保密信息傳輸?shù)男枨?����。在?于MPLS/0PS網(wǎng)絡(luò)中實(shí)現(xiàn)VPN是一種有效提高VPN網(wǎng)絡(luò)業(yè)務(wù)吞吐量、降低時(shí)延和靈活性等方法����,且結(jié)合了 MPLS/OPS和VPN的技術(shù)優(yōu)勢(shì)�。在MPLS/0PS網(wǎng)絡(luò)中實(shí)現(xiàn)VPN具有創(chuàng)新性����,在目前技術(shù)方案中尚未見(jiàn)到文獻(xiàn)報(bào)道 和專利申請(qǐng)。在文獻(xiàn)[A Novel IP with MPLS over WDM-Based Broad-Bandffavelength Switched IP Network, R. Xu, Q. Gong, P. Ye, IEEE Journal of lightwavetechnology, Vol. 19, No. 5,May 2001]�����,作者提出了基于MPLS的IP over WDM的寬帶波長(zhǎng)交換光網(wǎng)絡(luò)��,但 沒(méi)有與虛擬專用網(wǎng)絡(luò)巨大優(yōu)勢(shì)相結(jié)合�。在文獻(xiàn)[光分組交換網(wǎng)絡(luò)中的若干關(guān)鍵技術(shù)研究, 季偉�,北京郵電大學(xué)博士論文,2006]����,作者提出一種基于MPLS/0BS的VPN,但方案中是基于 第一層VPN����,其提供的業(yè)務(wù)受限而且通信系統(tǒng)的容量有限,擴(kuò)展性也有一定的限制��,沒(méi)能充 分地挖掘光纖通信和MPLS/0PS網(wǎng)絡(luò)的技術(shù)優(yōu)勢(shì)�。
發(fā)明內(nèi)容
本發(fā)明提出了一種基于MPLS/0PS的虛擬專用網(wǎng)實(shí)現(xiàn)方法��,該方法能突破傳統(tǒng) MPLS/0PS和VPN網(wǎng)絡(luò)的一些缺陷�����,比如增加了更靈活性的路由��,減輕了路由器在轉(zhuǎn)發(fā)過(guò)程 的負(fù)擔(dān)��,同時(shí)提高了網(wǎng)絡(luò)的吞吐率����,數(shù)據(jù)傳輸過(guò)程中的安全性���,還有利網(wǎng)絡(luò)的可擴(kuò)展性�����,提 高系統(tǒng)用戶容量�����。為了方便描述本發(fā)明的內(nèi)容,對(duì)一些專業(yè)術(shù)語(yǔ)進(jìn)行描述CE(Customer Edge)客戶邊緣設(shè)備PE (Provider Edge)提供商網(wǎng)絡(luò)核心設(shè)備P (Provider Routers)提供商網(wǎng)絡(luò)邊緣設(shè)備FEC (Forwarding Equivalence Class)轉(zhuǎn)發(fā)等價(jià)類LSR(Label switching router)LSP (Label switching path)標(biāo)簽交換路徑本發(fā)明詳細(xì)技術(shù)方案基于MPLS/0PS的虛擬專用網(wǎng)絡(luò)��,其體系結(jié)構(gòu)主要分成數(shù)據(jù)面和控制面,數(shù)據(jù)面主 要完成OPS網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)的光包產(chǎn)生�����、識(shí)別與更新等���,MPLS標(biāo)簽的匯聚與交換等處理及VPN 數(shù)據(jù)的轉(zhuǎn)發(fā)等����;控制面主要完成LSP的請(qǐng)求�����、建立等和VPN路由信息的分發(fā)等�。本方法中的 技術(shù)是利用現(xiàn)有的公共網(wǎng)絡(luò),通過(guò)資源配置以及虛電路的建立���,可采用如加密技術(shù)�����、隧道技 術(shù)及MPLS等技術(shù)����。VPN技術(shù)是一種隧道技術(shù),是一種封裝����,將待傳輸?shù)脑夹畔⒔?jīng)過(guò)協(xié)議加密處理和 封裝后再嵌套入MPLS/0PS的協(xié)議中,然后進(jìn)行傳輸���,只有發(fā)送端和接受端的用戶才能對(duì)嵌 入隧道中的信息進(jìn)行解密認(rèn)證�,實(shí)現(xiàn)專用信道的信息傳輸����。一種網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)傳輸?shù)奖?發(fā)明的MPLS/0PS網(wǎng)絡(luò)協(xié)議,主要是利用網(wǎng)絡(luò)協(xié)議來(lái)實(shí)現(xiàn)這種功能�����,是在MPLS/0PS網(wǎng)絡(luò)上 實(shí)現(xiàn)VPN的核心技術(shù)之一���。其主要有三種網(wǎng)絡(luò)協(xié)議(1)網(wǎng)絡(luò)隧道協(xié)議如第二層轉(zhuǎn)發(fā)協(xié)議 (L2F)�����、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)��、第二層隧道協(xié)議(L2TP)���、Internet協(xié)議安全性(IPsec)等; (2)隧道協(xié)議下面的承載協(xié)議����;(3)隧道協(xié)議所承載的被承載的協(xié)議。其中IPSec協(xié)議不是 一個(gè)單獨(dú)的協(xié)議�����,它給出了網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)����,它包括網(wǎng)絡(luò)安全協(xié)議、認(rèn)證報(bào) 頭(AH����,Authentication Header)等封裝安全負(fù)載、密匙管理協(xié)議和用于網(wǎng)絡(luò)驗(yàn)證及加密的 一些算法等�����。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議��、確定安全算法和密匙交換,向 上提供了訪問(wèn)流量�、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)協(xié)議安全服務(wù)�。IPSec有兩種操作模式傳輸模式和隧道模式,傳輸模式中認(rèn)證和加密位于IP頭部之后�����,保護(hù)上層載荷���,隧道模式中認(rèn)證和加密位于原IP頭部之前�����,并生成新的頭部���。IPsec還為數(shù)據(jù)的傳送提供兩種類型 的安全服務(wù)AH和載荷安全封裝(ESP)。認(rèn)證報(bào)頭利用MAC散亂函數(shù)對(duì)頭部和載荷進(jìn)行計(jì) 算一個(gè)固定長(zhǎng)度的“數(shù)字指紋”并將其用私有密匙加密后連同原始數(shù)據(jù)包一同發(fā)送給接收 方�����,接收方使用對(duì)應(yīng)的公共密匙解密�,再利用散亂函數(shù)對(duì)收到的原始數(shù)據(jù)計(jì)算出原始數(shù)據(jù) 的“數(shù)據(jù)指紋”,將其與收到的“數(shù)字指紋”比較���,對(duì)收到的數(shù)據(jù)進(jìn)行數(shù)據(jù)認(rèn)證和無(wú)連接的完 整性鑒別�����。ESP封裝標(biāo)準(zhǔn)提供數(shù)據(jù)的加密性�、身份認(rèn)證���、完整性和防止重復(fù)的服務(wù)��。ESP對(duì) 數(shù)據(jù)的加密采用同步加密算法來(lái)保證各種用戶間的互操作性�����。
圖1MPLS/0PS網(wǎng)絡(luò)的結(jié)構(gòu)示意2基于MPLS/0PS的VPN網(wǎng)路層次結(jié)構(gòu)圖3基于MPLS/0PS的VPN網(wǎng)絡(luò)結(jié)構(gòu)圖4數(shù)據(jù)和路由的轉(zhuǎn)發(fā)過(guò)程圖5標(biāo)簽的轉(zhuǎn)發(fā)過(guò)程實(shí)例
具體實(shí)施例方式下面結(jié)合具體實(shí)施方式
��,對(duì)本發(fā)明標(biāo)簽信號(hào)的全光處理識(shí)別方案作進(jìn)一步詳細(xì)的 說(shuō)明���。圖1描述了 MPLS/0PS網(wǎng)絡(luò)結(jié)構(gòu),該網(wǎng)絡(luò)主要有邊緣節(jié)點(diǎn)和核心節(jié)點(diǎn)組成��,邊緣節(jié) 點(diǎn)主要完成MPLS邊緣標(biāo)記處理和OPS光包產(chǎn)生處理�����,如通過(guò)邊緣路由器分析IP包頭,它結(jié) 合了交換機(jī)和傳統(tǒng)路由器功能�����;核心節(jié)點(diǎn)主要完成MPLS的標(biāo)記交換與路由和OPS光標(biāo)簽識(shí) 別與更新等處理����。該網(wǎng)絡(luò)結(jié)合了 MPLS和OPS優(yōu)勢(shì),具有網(wǎng)絡(luò)資源利用率高�、節(jié)點(diǎn)信息處理 均衡和靈活性高等特點(diǎn)。圖2是基于MPLS/0PS的VPN網(wǎng)絡(luò)二層結(jié)構(gòu)模型�。MPLS作為網(wǎng)絡(luò)的控制層,主要功 能是根據(jù)控制層面的自動(dòng)資源發(fā)現(xiàn)����、路由、連接管理等消息���,完成物理傳送層的‘連接建立’ 和‘連接釋放’��。當(dāng)采用MPLS技術(shù)組建VPN時(shí)��,要使用雙層標(biāo)簽技術(shù)實(shí)現(xiàn)隧道技術(shù)�。外標(biāo)簽 在骨干網(wǎng)內(nèi)部進(jìn)行交換���,代表從PE達(dá)到對(duì)端PE的一條隧道�,光分組打上這層標(biāo)簽以后就可 以沿著LSP達(dá)到對(duì)端PE,這時(shí)候就需要使用內(nèi)層標(biāo)簽�,該標(biāo)簽指示了到達(dá)的CE,根據(jù)內(nèi)層標(biāo) 簽就可以找到轉(zhuǎn)發(fā)的接口���,即內(nèi)層標(biāo)簽代表了通過(guò)骨干網(wǎng)相連的兩個(gè)CE之間的一條隧道����。圖3是基于MPLS/0PS的VPN結(jié)構(gòu)模型����。數(shù)據(jù)的連接通過(guò)OPS網(wǎng)絡(luò)完成�,該網(wǎng)絡(luò) 特征是由傳輸光纖和MPLS控制下的光分組交換節(jié)點(diǎn)等組成。邊緣節(jié)點(diǎn)由客戶邊緣節(jié)點(diǎn)CE 和提供商邊緣節(jié)點(diǎn)PE組成����,其功能是用來(lái)向VPN的終端用戶提供適配的接口,完成OPS光 分組包的拆裝���,同時(shí)完成MPLS的等價(jià)轉(zhuǎn)發(fā)類�����、標(biāo)簽組裝以及交換路徑的聚合等功能����。基于 MPLS/0PS的VPN主要包含用戶邊緣設(shè)備(CE)�����,骨干網(wǎng)邊緣設(shè)備(PE)和骨干網(wǎng)核心設(shè)備(P) 組成���。其中��,用戶邊緣設(shè)備(CE)包括路由器���、光分組交換機(jī)、SDH設(shè)備與以太網(wǎng)交換機(jī)等��; 骨干網(wǎng)邊緣設(shè)備(PE)包括光邊緣路由器�、光分組處理單元、MPLS邊緣標(biāo)記路由器及SDH設(shè) 備等��;骨干網(wǎng)核心設(shè)備(P)包括光核心路由器��、光分組交換處理單元及SDH設(shè)備等�����;圖4是基于MPLS/0PS的VPN數(shù)據(jù)和路由的轉(zhuǎn)發(fā)過(guò)程,具體過(guò)程如下所述
1����、數(shù)據(jù)信息的轉(zhuǎn)發(fā)過(guò)程在MPLS/0PS網(wǎng)絡(luò)中傳輸?shù)腣PN數(shù)據(jù)采用外標(biāo)簽(隧道標(biāo)簽)和內(nèi)標(biāo)簽(VPN標(biāo) 簽)兩層標(biāo)簽棧結(jié)構(gòu),它們分別對(duì)應(yīng)于兩個(gè)層面的路由域內(nèi)路由和VPN路由��。域內(nèi)路由即 MPLS中的LSP是由PE路由器和P路由器通過(guò)運(yùn)行標(biāo)簽分發(fā)協(xié)議(LDP����,Label Distribution Protocol)或資源預(yù)留協(xié)議(RSVP, Resource ReservationProtocol)建立的,它所產(chǎn) 生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組外層標(biāo)簽的交換��。VPN路由是由PE路由器之間通過(guò)運(yùn)行 MP-IBGP(Multiprotocol-Internal BorderGateway Protocol)建立的��,該協(xié)議跨越骨干網(wǎng) 的P路由器分發(fā)VPN標(biāo)簽形成VPN路由���。在PE路由器上除了虛擬路由轉(zhuǎn)發(fā)表VRF (VPN Routing&Forwarding)外,還有MPLS 路由表�����,該表用于存放VPN標(biāo)簽和子接口的對(duì)應(yīng)關(guān)系��,為出口 PE路由器到CE路由器之間的 數(shù)據(jù)轉(zhuǎn)發(fā)提供依據(jù)。具體數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程如下用戶邊緣設(shè)備(CE)把通過(guò)運(yùn)行網(wǎng)絡(luò)隧道協(xié)議處理后的 用戶VPN數(shù)據(jù)組裝成OPS光包的凈荷���,然后加上相應(yīng)的光包頭生成OPS的光分組��,客戶邊緣 設(shè)備提取分組包的路由信息按照一定的調(diào)度算法依次送入核心網(wǎng)中����。根據(jù)到達(dá)的光分組�, PE提取光分組的路由信息,MPLS將具有相同轉(zhuǎn)發(fā)特性的一組光分組統(tǒng)一歸為一類�����,成為轉(zhuǎn) 發(fā)等價(jià)類(FEC)��。屬于相同轉(zhuǎn)發(fā)等價(jià)類的光分組在核心網(wǎng)絡(luò)中將獲得完全相同的處理��。MPLS 運(yùn)用標(biāo)簽分發(fā)協(xié)議(LDP)將轉(zhuǎn)發(fā)等價(jià)類(FEC)映射成一個(gè)出口標(biāo)簽����,并據(jù)此建立標(biāo)簽交換 路徑(LSP)。在核心網(wǎng)絡(luò)中����,來(lái)自不同邊緣入口節(jié)點(diǎn)且攜帶不同入標(biāo)簽值�����,而去往同一個(gè)邊 緣出口節(jié)點(diǎn)的多條數(shù)據(jù)流����,在到達(dá)同一邊緣出口節(jié)點(diǎn)的過(guò)程中����,在網(wǎng)絡(luò)內(nèi)的某個(gè)節(jié)點(diǎn)處匯 合,并且從該節(jié)點(diǎn)開(kāi)始直到網(wǎng)絡(luò)邊緣出口節(jié)點(diǎn)為止����,它們的標(biāo)簽交換路徑都是完全相同的, 那么就在該節(jié)點(diǎn)處將上述不同的數(shù)據(jù)流映射到同一個(gè)出標(biāo)簽��,并沿同一條標(biāo)簽交換路徑轉(zhuǎn) 發(fā)到邊緣出口節(jié)點(diǎn)��。這樣��,MPLS中的LSP就呈現(xiàn)MP2P(Multipoint-to-Point)的樹(shù)狀結(jié)構(gòu)�����, 樹(shù)根是MPLS邊緣出口節(jié)點(diǎn)�����,樹(shù)的葉是MPLS邊緣入口節(jié)點(diǎn)�����。LSP的建立跨越了多個(gè)路由器在 兩個(gè)PE之間建立的通路����。在轉(zhuǎn)發(fā)的過(guò)程中,利用MPLS的層次化標(biāo)簽交換信令����,進(jìn)行舊標(biāo)簽 的擦除和新標(biāo)簽的寫入。在出口處的邊緣節(jié)點(diǎn)將執(zhí)行OPS的光分組的拆裝過(guò)程����,以便取出 加密后的VPN數(shù)據(jù),客戶端邊緣設(shè)備CE根據(jù)其路由信息將其轉(zhuǎn)發(fā)到目的地接收端����,接收方 對(duì)發(fā)送來(lái)的數(shù)據(jù)根據(jù)對(duì)應(yīng)的密匙進(jìn)行解密認(rèn)證,得到原始的IP數(shù)據(jù)����,從而實(shí)現(xiàn)整個(gè)的數(shù)據(jù) 轉(zhuǎn)發(fā)過(guò)程����。2���、路由信息的轉(zhuǎn)發(fā)過(guò)程在基于MPLS/0PS的VPN中��,P路由器并不參與VPN路由信息的交互����,客戶路由器是 通過(guò)CE和PE路由器之間���、PE路由器之間的路由交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?1). CE-PE路由器之間通過(guò)采用靜態(tài)/缺省路由��,或采用內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)���,或 建立外部邊界網(wǎng)關(guān)協(xié)議(EBGP)連接等方式進(jìn)行路由信息的交互。當(dāng)入口 PE路由器從某個(gè)子接口接收到來(lái)自CE路由器的路由信息時(shí)���,除了將該路 由導(dǎo)入對(duì)應(yīng)的VRF表���,PE路由器還要為該路由分配一個(gè)VPN標(biāo)簽。該VPN標(biāo)簽用以識(shí)別接 收路由信息的子接口�����,因此從同一個(gè)子接口接收到的路由信息將被分配同樣的VPN標(biāo)簽�����, 從而PE路由器可以將收到VPN的OPS光分組轉(zhuǎn)發(fā)到合適的子接口����。(2). PE-PE之間通過(guò)采用MP-IBGP進(jìn)行路由信息的交互。PE路由器通過(guò)維持外部 邊界網(wǎng)關(guān)協(xié)議(IBGP)的網(wǎng)狀連接或使用路由反射器來(lái)確保路由信息被分發(fā)給所有的PE路由器���。在基于MPLS/0PS的VPN中�����,對(duì)VPN的所有處理都發(fā)生在PE路由器上�����,為此���,PE路由器上起用了 VPN 地址族����,引入了 RD (Route Distinguisher)和 RT (Route Target)等屬 性�����。RD具有全局惟一性�,通過(guò)將8字節(jié)的RD作為IP地址前綴的擴(kuò)展,使不惟一的IP地址 轉(zhuǎn)化為惟一的VPN地址���。VPN地址對(duì)客戶端設(shè)備來(lái)說(shuō)是不可見(jiàn)的��,它只用于骨干網(wǎng)絡(luò)上路由 信息的分發(fā)�。PE對(duì)等體之間需要發(fā)布基于VPN地址族的路由���,這通常是通過(guò)MP-IBGP實(shí)現(xiàn) 的��。正常的BGP能只傳遞IP的路由�����,MP-IBGP在BGP的基礎(chǔ)上定義了新的屬性���。MP-IBGP 在鄰居間傳遞VPN用戶路由時(shí)會(huì)將IP地址打上RD前綴�,這樣VPN用戶傳來(lái)的IP路由就轉(zhuǎn) 變?yōu)閂PN路由��,從而保證VPN用戶的路由到了對(duì)端的PE上以后�����,S卩使存在地址空間重疊����,對(duì) 端PE也能夠區(qū)分開(kāi)分屬不同VPN的用戶路由���。RT使用了 BGP中擴(kuò)展團(tuán)體屬性����,用于路由 信息的分發(fā)��,具有全局惟一性�,同一個(gè)RT只能被一個(gè)VPN使用,它分成輸入RT (Import RT) 和輸出RT(Exp0rt RT)��,分別用于路由信息的導(dǎo)入和導(dǎo)出策略����。在每個(gè)PE路由器上都維護(hù) 著一個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(Virtual routing and forwarding)��,VRF為每個(gè)站點(diǎn)維護(hù)邏輯 上分離的路由表�,每個(gè)VRF都有Import RT和Export RT屬性�。當(dāng)PE從VRF表中導(dǎo)出VPN 路由時(shí),要用Export RT對(duì)VPN路由進(jìn)行標(biāo)記��;當(dāng)PE收到VPN路由信息時(shí)�����,只有所帶RT標(biāo) 記與VRF表中任意一個(gè)Import RT相符的路由才會(huì)被導(dǎo)入到VRF表中�����,而不是全網(wǎng)所有VPN 的路由����,從而形成不同的VPN,實(shí)現(xiàn)VPN的互訪與隔離���。3�����、標(biāo)簽的轉(zhuǎn)發(fā)過(guò)程基于MPLS/0PS的VPN中MPLS為核心網(wǎng)業(yè)務(wù)承載能力和管理能力的提高提供了很 好的解決方案��,利用標(biāo)簽交換技術(shù)大大提高了網(wǎng)絡(luò)的吞吐率���,提供了更多靈活的路由��,良好 的流量工程控制是實(shí)現(xiàn)寬帶IP網(wǎng)絡(luò)最好的辦法�。圖5是基于MPLS/0PS的VPN中標(biāo)簽轉(zhuǎn)發(fā) 過(guò)程的示意圖�����,具體過(guò)程如下1). CEl接收到10. 1. 1. 1發(fā)送的VPN數(shù)據(jù)�,由OPS的邊緣節(jié)點(diǎn)的光分組交換單元生 成光分組�,并提取路由信息,把該OPS光分組發(fā)送到PEl��。2). PEl從Sl 口上收到光分組后���,根據(jù)Sl所在的VRF����,通過(guò)MP-IBGP協(xié)議加入本地 標(biāo)簽即內(nèi)層標(biāo)簽8�,PE1獲知要把數(shù)據(jù)發(fā)往10. 1. 1.0/8,必須先發(fā)送到PE2��,而要發(fā)送到PE2, 則必須打上由Pl告知的標(biāo)簽2�。所以O(shè)PS的光分組被加入兩個(gè)標(biāo)簽。3). Pl接收到標(biāo)簽包后���,分析頂層的標(biāo)簽����,MPLS運(yùn)行層次化標(biāo)簽交換把頂層標(biāo)簽 換成4���,繼續(xù)發(fā)送的P2����。4). P2和Pl —樣做同樣的操作���,P2去掉標(biāo)簽4�,直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包 發(fā)送的PE2�����。5). PE2收到標(biāo)簽包后���,分析標(biāo)簽頭���,由于該標(biāo)簽8是它本地產(chǎn)生的�����,而且是本地唯 一的�����,所以PE2很容易查出帶有標(biāo)簽8的標(biāo)簽包應(yīng)該去掉標(biāo)簽���,恢復(fù)光分組�,從S2端口發(fā)
出ο6). CE2獲得光分組包后,進(jìn)行光分組的拆除��,還原VPN數(shù)據(jù)��,同時(shí)把數(shù)據(jù)發(fā)送到 10. 1. 1. 0/8 網(wǎng)段上����。本發(fā)明的有益效果1、可提供面向連接和面向非連接的服務(wù)�����,在一定程度上滿足客戶多業(yè)務(wù)的需求, 并可以保證網(wǎng)絡(luò)具備可靠性�����、動(dòng)態(tài)靈活性�、傳輸容量、節(jié)點(diǎn)吞吐率�、可擴(kuò)展性和穩(wěn)定性等特點(diǎn)2、波長(zhǎng)交換網(wǎng)絡(luò)通過(guò)MPLS增加了更多靈活的路由�����,流量控制和明確的路線���,是實(shí) 現(xiàn)寬帶IP網(wǎng)絡(luò)最好的辦法��;MPLS通過(guò)路由層次用于控制數(shù)據(jù)的轉(zhuǎn)發(fā)����,減輕了波長(zhǎng)路由器在 轉(zhuǎn)發(fā)過(guò)程中的負(fù)擔(dān)����;3、具有OPS網(wǎng)絡(luò)具有高速、對(duì)數(shù)據(jù)速率和數(shù)據(jù)模式透明以及靈活性和可重構(gòu)性等 特點(diǎn)�,充分利用了 OPS技術(shù)優(yōu)勢(shì);4�����、在MPLS/0PS網(wǎng)絡(luò)基礎(chǔ)實(shí)現(xiàn)VPN�����,具有在傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)上升級(jí) 容易�,成本較低,且 提供了專用網(wǎng)絡(luò)��,有效提高了信息的保密傳輸���。
權(quán)利要求
基于多協(xié)議標(biāo)簽交換/光分組交換(MPLS/OPS)的虛擬專用網(wǎng)絡(luò)(VPN),該方法結(jié)合了多項(xiàng)技術(shù)多協(xié)議標(biāo)簽交換(MPLS)����,光分組交換(OPS)和虛擬專用網(wǎng)(VPN)。其特征是���,MPLS作為L(zhǎng)3VPN的控制層���,結(jié)合了IP流量控制和傳統(tǒng)IP層的控制平面���,從而執(zhí)行所有的關(guān)鍵功能,減輕了OPS在交換轉(zhuǎn)發(fā)過(guò)程中的負(fù)擔(dān)��,提高了網(wǎng)絡(luò)的吞吐量��,支持了在MPLS/OPS網(wǎng)絡(luò)中實(shí)現(xiàn)VPN的隧道技術(shù)�����,實(shí)現(xiàn)了數(shù)據(jù)在MPLS/OPS網(wǎng)絡(luò)中轉(zhuǎn)發(fā)過(guò)程的保密性�����?��;贛PLS/OPS的VPN方法��,其特征是1)平面結(jié)構(gòu)共分為數(shù)據(jù)面和控制面����,網(wǎng)絡(luò)層次結(jié)構(gòu)由客戶邊緣設(shè)備��、提供商網(wǎng)絡(luò)邊緣設(shè)備、提供商網(wǎng)絡(luò)核心設(shè)備以及用于建立光線路的光纖組成����;2)基于三層VPN結(jié)構(gòu),可提供面向連接和面向非連接的服務(wù)��,在一定程度上滿足客戶多業(yè)務(wù)的需求��,并可以保證網(wǎng)絡(luò)具備可靠性����,動(dòng)態(tài)靈活性,可擴(kuò)展性和穩(wěn)定性等特點(diǎn)�����;3)VPN利用網(wǎng)絡(luò)隧道協(xié)議對(duì)VPN數(shù)據(jù)進(jìn)行加密封裝�,通過(guò)MPLS兩層標(biāo)簽建立的隧道傳輸組裝后的OPS光分組,在出口邊緣節(jié)點(diǎn)執(zhí)行OPS光分組的拆裝�����,得到加密的VPN數(shù)據(jù)�,接收端通過(guò)對(duì)應(yīng)的密匙進(jìn)行解密認(rèn)證得到所需要的數(shù)據(jù)���,從而保證了數(shù)據(jù)傳輸過(guò)程中的安全性���、保密性以及服務(wù)質(zhì)量(QoS)�,為保密通信提供了保障����。
2.根據(jù)權(quán)利要求1所述的基于MPLS/0PS的VPN,其特征包括該方案是基于光電混合交 換技術(shù)��,即傳輸和交換在光域完成����,路由和轉(zhuǎn)發(fā)在電域內(nèi)對(duì)低速率的信息頭進(jìn)行處理,MPLS 技術(shù)的引入使更加良好地提高了整個(gè)網(wǎng)絡(luò)的吞吐量和傳輸速率�。
3.根據(jù)權(quán)利要求1所述的基于MPLS/0PS的VPN,其特征是MPLS作為控制層結(jié)合了IP 流量控制和傳統(tǒng)IP層的控制平面��,MPLS流量工程控制模塊執(zhí)行所有的關(guān)鍵功能����,包括資源 發(fā)現(xiàn),網(wǎng)絡(luò)狀態(tài)����,路徑計(jì)算和路由管理完成物理傳送層的OPS光分組連接建立和連接釋放��, 從而使網(wǎng)絡(luò)中數(shù)據(jù)的傳輸和轉(zhuǎn)發(fā)更加智能化���,效率更高。
4.根據(jù)權(quán)利要求1���、2或3所述的基于MPLS/0PS的VPN���,其特征是MPLS利用標(biāo)簽分發(fā) 協(xié)議將進(jìn)入核心網(wǎng)絡(luò)的OPS光分組包分成轉(zhuǎn)發(fā)等價(jià)類(FEC),然后利用標(biāo)簽合并協(xié)議將其 映射成一個(gè)標(biāo)簽���,建立標(biāo)簽轉(zhuǎn)發(fā)路徑(LSP)�����,在轉(zhuǎn)發(fā)的過(guò)程中利用層次化標(biāo)簽棧進(jìn)行新標(biāo)簽 的擦除和新標(biāo)簽的寫入�。MPLS通過(guò)路由層次用于控制數(shù)據(jù)的轉(zhuǎn)發(fā)�,從而減輕了 OPS交換在 轉(zhuǎn)發(fā)過(guò)程中的負(fù)擔(dān),使數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中更加靈活�����,效率更高����。
5.根據(jù)權(quán)利要求1、3或4所述的基于MPLS/0PS的VPN����,其特征是提供商邊緣路由器支 持波分復(fù)用(WDM)傳輸和波長(zhǎng)路由,它增強(qiáng)了各種網(wǎng)絡(luò)功能�,包括傳輸容量和節(jié)點(diǎn)吞吐量寸。
全文摘要
基于多協(xié)議標(biāo)簽交換/光分組交換(MPLS/OPS)的虛擬專用網(wǎng)絡(luò)(VPN)�����,該方法結(jié)合了多協(xié)議標(biāo)簽交換(MPLS)���,光分組交換(OPS)和虛擬專用網(wǎng)(VPN)�。本方案是基于三層VPN的��,結(jié)構(gòu)主要包括數(shù)據(jù)面和控制面���。其特征是網(wǎng)絡(luò)隧道協(xié)議把用戶數(shù)據(jù)進(jìn)行加密封裝成VPN數(shù)據(jù)��,通過(guò)客戶邊緣設(shè)備CE組裝成OPS光分組并送入核心網(wǎng)����,利用MPLS的強(qiáng)大功能將其分類映射,在標(biāo)簽交換路由LSP轉(zhuǎn)發(fā)過(guò)程中利用MPLS的層次化標(biāo)簽棧結(jié)構(gòu)進(jìn)行舊標(biāo)簽的擦除和新標(biāo)簽的寫入進(jìn)行轉(zhuǎn)發(fā)��。在出口邊緣節(jié)點(diǎn)執(zhí)行OPS光分組的拆裝過(guò)程���,得到VPN數(shù)據(jù)��,接收端利用對(duì)應(yīng)的密匙進(jìn)行解密認(rèn)證��,從而得到原始的數(shù)據(jù)��,實(shí)現(xiàn)了整個(gè)數(shù)據(jù)的轉(zhuǎn)發(fā)過(guò)程��。
文檔編號(hào)H04B10/12GK101834793SQ20101016040
公開(kāi)日2010年9月15日 申請(qǐng)日期2010年4月29日 優(yōu)先權(quán)日2010年4月29日
發(fā)明者張崇富, 王正算 申請(qǐng)人:電子科技大學(xué)