CN101641913B - Mpls虚拟专用网络拓扑的配置工具 - Google Patents
Mpls虚拟专用网络拓扑的配置工具 Download PDFInfo
- Publication number
- CN101641913B CN101641913B CN200880008591XA CN200880008591A CN101641913B CN 101641913 B CN101641913 B CN 101641913B CN 200880008591X A CN200880008591X A CN 200880008591XA CN 200880008591 A CN200880008591 A CN 200880008591A CN 101641913 B CN101641913 B CN 101641913B
- Authority
- CN
- China
- Prior art keywords
- rtg
- vpn
- topology
- route
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
- H04L12/4679—Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
Abstract
用于虚拟专用网络(VPN)拓扑的配置工具。在特定实施方式中,方法包括:访问包括一个或多个路由对象组(RTG)的网络拓扑配置集,其中,每个RTG包括拓扑类型标识符、一个或多个站点标识符、与站点标识符的各个相关联的一个或多个角色标识符,以及一个或多个路由目标标识符;基于一个或多个RTG的拓扑类型标识符和角色标识符生成一个或多个路由目标语句,从而定义虚拟专用网络VPN拓扑中的一个或多个路由节点之间的网络层可达性信息的导出或导入;以及将一个或多个路由目标语句发送到一个或多个路由节点。
Description
技术领域
本公开一般涉及虚拟专用网络。
背景技术
虚拟专用网络(VPN)是通过与其它VPN共享的网络基础设施彼此通信的客户站点的集合。在VPN中,站点共享共同的路由信息。如果给定站点保存了来自不同VPN的路由,则它可以属于多于一个VPN。这提供了建立内联网和外联网以及任何其它拓扑的能力。多协议标签交换(MPLS)VPN使用由基于因特网协议(IP)MPLS/边界网关协议(BGP)的网络提供的网络基础设施。MPLS(多协议标签交换)用于通过提供商或骨干网络转发分组,而BGP(边界网关协议)用于通过网络分发路由。MPLS/VPN体系结构中的VPN可以被概念化为由站点将具有的路由可见度所指定的利益共同体或闭合用户组。MPLS VPN技术支持各种VPN拓扑,例如轴辐式拓扑(hub and spoke topologies)、中央服务拓扑、全网状拓扑以及混合拓扑。这些拓扑中实现最复杂并且还被广泛开发的拓扑是轴辐式拓扑。轴辐式拓扑在客户需要其所有的分支(spoke)流量(例如,分支到轴心以及分支到分支)经过轴心(hub)网络时使用。
路由目标(RT)用作将路由导入给定虚拟路由和转发(VRF)表并将路由从给定虚拟路由和转发(VRF)表导出的过滤器,以便建立VPN路由。RT的分配和管理通常是手动执行的,因此,可能是耗时的并且容易出错,尤其是当VPN的复杂度增加时(例如,当加入VPN的站点数增加时)。此外,VRF中的路由的导入/导出时的错误可能因引入不希望的额外路由而致使VPN功能异常并且不安全。
附图说明
图1图示出了MPLS VPN系统中的示例拓扑。
图2图示出了根据一个实施方式示出图1的MPLS VPN系统的一部分的简化示例。
图3图示出了可以用来实现VPN管理服务器的示例硬件系统。
图4图示出了轴辐式路由目标组(RTG)的示例图形表示。
图5图示出了中央服务RTG的示例图形表示。
图6图示出了全网状RTG的示例图形表示。
图7图示出了可以用来配置轴辐式拓扑的示例RTG。
图8图示出了可以用来配置全网状拓扑的示例RTG。
图9图示出了可以被组合来配置混合拓扑的多个RTG的示例。
图10图示出了用于处理RT配置信息的示例方法。
图11图示出了用于生成RT配置集的示例方法。
具体实施方式
A.概述
特定实施方式辅助配置部署在提供商或核心网络上的虚拟专用网络(VPN)。根据一个实施方式,VPN配置模块从一个或多个路由目标组(RTG)生成VPN配置信息,包括路由目标导出和/或导入语句(statement)。在一些特定实施方式中,RTG是模型的要素,该模型辅助对核心网络的一个或多个路由要素的路由目标信息进行配置。在一些实施方式中,这种RTG参数可以包括VPN拓扑类型(例如,网状、轴辐式等)、RTG节点标识符、各个RTG节点的一个或多个角色,以及每个角色所需的一个或多个路由目标(RT)标识符。例如,RTG节点可以是连接到给定客户站点(例如,圣何塞)中的客户边缘节点的提供商边缘节点。角色可以是所选网络拓扑中的角色或功能,例如,轴辐式拓扑中的轴心节点。如下面更加详细描述的,每个角色与一个或多个路由目标(RT)导入或导出语句相关联。在一个实施方式中,VPN配置模块接收包括用于从一个或多个RTG创建VPN的RTG参数的RTG信息。
在一个实施方式中,RT通过控制向一个或多个RTG节点分发BGP信息(例如,网络可达性信息)以实行所希望VPN拓扑而用作过滤器。换言之,BGP是路由器用来交换路由信息的协议的语言。在一个实施方式中,VPN配置模块基于RTG参数生成并自动分配RT配置集。这减少了VPN配置期间的错误并且除去了对用户直接配置RT的需要。为了生成RT配置集,VPN配置模型标识每个RTG的模型拓扑以及该模型拓扑的RT。如下面更详细描述的,在一些实施方式中,模型拓扑可能是轴辐式拓扑、中央服务拓扑、全网状拓扑或混合拓扑。混合拓扑是两个或更多个模型拓扑的组合(例如,轴辐式拓扑和全网状拓扑的组合)。VPN配置模型随后基于RTG节点的角色应用配置规则以生成每个RTG节点处的VRF表的导入和导出语句。在一个示例中,如果给定RTG节点的角色是轴心节点,则该RTG节点可以具有两个VRF表,其中,一个VRF表从一个或多个分支节点导入路由而另一VRF表将路由导出到一个或多个分支节点。如果角色是分支节点,则RTG节点可以具有将路由导出到分支节点并从分支节点导入路由的一个VRF表。VPN配置模块随后将RT配置集推到一个或多个RTG节点,以配置或实现所希望的VPN拓扑。一旦建立了VPN,成员RTG节点就可以经由它们各自己建立的路由来路由IP流量,并且根据它们的已配置路由目标来共享信息。
B.示例网络系统体系结构
B.1.网络拓扑
图1图示出了MPLS VPN系统中的示例拓扑。在特定实施例中,MPLS VPN系统包括使客户网络72a、72b、72c、72d和72e互连的提供商网络70。为了容易说明,图1图示出了这样的简单实施方式:提供商网络70通过联合(join)客户站点中的五个(例如,旧金山站点、圣何塞站点、洛杉矶站点、拉斯维加斯站点以及西雅图站点)来为一个客户提供VPN。如在下面更详细描述的,在其它实施方式中,提供商网络70可以为多个客户提供VPN。VPN还可以被配置来创建内联网或外联网。在一个实施方式中,提供商网络70经由提供商边缘(PE)路由节点76a、76b、76c、76d和76e联合客户边缘(CE)节点74a、74b、74c、74d和74e。如图1所示,PE路由节点76a-e驻留在提供商网络70的边缘,并且用作提供商网络70与客户网络72a-e之间的接口。而且,CE节点74a-e驻留在它们各自的客户网络72a-e的边缘,并且用作客户网络(子网)(未示出)和提供商网络70之间的接口。在一个实施方式中,CE节点74a-e是路由器。
在一个实施方式中,MPLS VPN系统还包括VPN管理服务器77,其通常安装在MPLS VPN服务提供商的网络操作中心(NOC)或数据中心。在一个实施方式中,VPN管理服务器77包括辅助配置提供商网络70以提供一个或多个VPN的VPN配置模块78。VPN配置模块78可以驻留在管理服务器或任何其它适当的网络基础设施节点中。在一个实施方式中,VPN配置模块78可以是驻留在服务器或网络操作中心上的独立模块,或者是集成网络管理解决方案的一部分。
在一个实施方式中,网络70以及72a-e一般指可以包括一个或多个允许传输消息的中间网络设备(例如,路由器、交换机等)、基于分组的计算机网络。图2图示出了根据一个实施方式示出图1的MPLS VPN系统的一部分的简化示例。在一个实施方式中,提供商网络70包括:可操作地连接到San Francisco站点处的CE节点74a的PE路由节点76a,以及可操作地连接到圣何塞站点处的CE节点74b的PE路由节点76b。为了教导的目的,图1还示出了提供商核心路由节点80a、80b和80c。当然,网络70和72可以包括多种网络段、传输技术和组件,例如地面有线链路、卫星链路、光纤链路以及蜂窝链路。图1图示出了本发明可以进行操作的一种可能网络环境;然而,其它实施方式也是可能的。
如在下面更详细描述的,本发明可以被配置来向边缘路由节点提供路由目标信息以实现所希望的VPN拓扑。提供商边缘路由节点74a-e可以包括包含虚拟路由和转发(VRF)功能的边缘路由器平台,可操作来容宿一个到多个分离路由器实例和/或路由表实例。在一个实施方式中,一个或多个VRF表可以用作给定物理路由器内的许多虚拟路由器之一。换言之,PE路由节点维护一个或多个“按站点转发表”或“VRF表”。附接了PE路由器的每个站点与这些VRF表之一相关联。仅当特定分组是直接从与特定的按站点转发表相关联的站点到达时,在该表中查找该分组的IP目的地地址。
这些虚拟路由器共同存在于同一物理路由器内并且同时操作,并且跨越多个路由平台的一个或多个虚拟路由器可以被分配给给定客户的VPN。这通过允许不用多个设备而将不同VPN的网络路径分段来增加每个物理路由器的功能。在一个实施方式中,VRF表确保IP流量存留在正确的VPN中。在一些特定实施方式中,由于流量自动被隔离,因此,VRF还增加了网络安全性并且可以消除对加密和认证的需要。另外,容宿在给定边缘路由器上的一个VRF实例可以对应于第一客户,而容宿在该边缘路由器上的第二VRF实例可以对应于第二客户。此外,多个VRF实例可以与给定站点相关联。因此,本发明可以总地结合提供商边缘路由器进行操作,或者可以结合特定于给定客户或其它实体的VRF实例进行操作。
在一个实施方式中,PE路由节点76a和76b是基于IP MPLS/BGP网络的一部分,其中,BGP信息提供网络层可达性信息(NLRI)(例如,通过给定路由节点可达的网络)。这样,各个站点处的VRF表存储了来自该站点是其成员的VPN的、对该站点可用的所有路由。
VRF包括IP路由表、得出的转发表、使用转发表的一组接口,以及确定什么进入转发表的一组规则和路由协议。一般地,VRF包括定义了附接到提供商边缘(PE)路由器的客户VPN站点的路由信息。VRF是应当可供连接到PE路由器的特定站点(或站点集)使用的路由集合。
在BGP/MPLS IP VPN中,PE路由器使用路由目标(RT)扩展型共同体来控制向VRF分发路由。在给定iBGP网络内,PE路由器仅需要保存标记有属于具有本地CE附接关系的VRF的路由目标的路由。接收到的路由目标成员资格信息随后可以用来限制将VPN NLRI通告给已通告了它们各自的路由目标的对等体,从而高效地建立路由分发图表。换言之,VPNNLRI路由装置在路由目标成员资格信息的相反方向上流动。在一些实施方式中,当VRF路由从VRF被导出(以提供给其它VRF)时,其被标记有一个或多个路由目标。另外,路由目标集可以与VRF相关联,并且被标记有这些路由目标中的至少一个的所有路由被插入该VRF。换言之,存在由PE路由器附加到从给定站点接收的路由的目标VPN集。并且,存在这样的目标VPN集,被PE路由器用来判断从另一PE路由器接收的路由是否应当被放在与站点相关联的转发表中。两个集是不同的,并且不需要是相同的。通过适当地配置路由目标,可以构建不同种类的VPN。例如,假设希望创建包含特定集的站点的网状网络拓扑。这可以通过创建表示网状网络的特定路由目标值来实现。然后将该值与网状网络中的每个站点的按站点转发表和/或从网状网络中的站点得知的路由相关联。具有这种路由目标属性的任何路由被重新分发,以使得其到达附接于该网状网络中的站点之一的每个PE路由器。或者,假设有人希望创建“轴辐式”网络拓扑。这可以通过利用两个路由目标属性值(一个对应于“轴心”,并且一个对应于“分支”)来实现。然后,来自分支的路由可以被分发给轴心,而不用使来自轴心的路由被分发给分支。
B.2.VPN管理服务器
图3图示出了可以用来实现VPN管理服务器的示例硬件系统200。在一个实施方式中,这里描述的VPN配置功能容宿在网络可寻址服务器或其它计算平台上。用户利用通用或专用客户端应用来访问VPN配置功能。在其它实施方式中,VPN配置功能可以容宿在客户端系统上。在一个实施方式中,硬件系统200包括处理器202、缓存存储器204以及针对这里描述的功能的一个或多个软件应用(包括图1所示的VPN配置模块78)和驱动器。另外,硬件系统200包括高性能输入/输出(I/O)总线206和标准I/O总线208。主桥接器210将处理器202耦合到高性能总线206,而I/O总线桥接器212使两条总线206和208互相耦合。系统存储器214和网络/通信接口216耦合到总线206。硬件系统200还可以包括视频存储器(未示出)以及耦合到视频存储器的显示设备。海量存储装置218和I/O端口220耦合到总线208。硬件系统200可以选择性地包括耦合到总线208的键盘和点选设备(未示出)。总而言之,这些元件意图代表广泛种类的计算机硬件系统,包括但不限于基于加利福尼亚州圣克拉拉市的英特尔公司制造的处理器以及任何其它合适的处理器的通用计算机系统。
下面将更详细描述硬件系统200元件。具体地,网络接口216提供硬件系统200与诸如以太网(例如,IEEE 802.3)网络等之类的广泛范围网络之间的通信。海量存储装置218提供对用来执行在系统控制器中实现的上述功能的数据和编程指令的永久性存储,而系统存储器214(例如,DRAM)提供对被处理器202执行时的数据和编程指令的临时存储。I/O端口220是提供可以耦合到硬件系统200的其它外围设备之间的通信的一个或多个串行和/或并行通信端口。
硬件系统200可以包括多种系统体系结构;并且硬件系统200的各个组件可以被重新排列。例如,缓存204可以与处理器202一起在片上。或者,缓存204和处理器202可以被封装在一起作为“处理器模块”,其中,处理器202称为“处理器核心”。此外,本发明的某些实施方式可能不需要也不包括所有上述组件。例如,被示为耦合到标准I/O总线208的外围设备可以耦合到高性能I/O总线206。另外,在一些实施方式中,可能仅存在单条总线,其中,硬件系统200的组件都耦合到该单条总线。此外,硬件系统200可以包括另外的组件,例如另外的处理器、存储设备或存储器。
如上所述,在一个实施例中,这里描述的VPN管理模块77的操作被实现为由硬件系统200运行的一系列软件例程。这些软件例程包括将由硬件系统中的诸如处理器202之类的处理器执行的多条指令或者一系列指令。最初,一系列指令存储在诸如海量存储装置208之类的存储设备上。然而,一系列指令还可以包括在载波中或者存储在诸如磁盘、CD-ROM、ROM、EEPROM等之类的任何合适存储介质上。此外,指令序列不需要本地存储,并且可以经由网络/通信接口216从诸如网络上的服务器之类的远程存储设备接收。指令从诸如海量存储装置208之类的存储设备被拷贝到存储器214中,并且随后由处理器202访问并执行。
操作系统管理并控制硬件系统200的操作,包括将数据输入软件应用(未示出)以及从软件应用(未示出)输出数据。操作系统提供了在系统上执行的软件应用与系统的硬件组件之间的接口。根据本发明的一个实施例,操作系统是可从Redmond,Wash的微软公司获得的95/98/NT/XP/Vista操作系统。然而,本发明还可以与其它合适的操作系统一起使用,例如可从Cupertino,Calif的苹果电脑公司获得的AppleMacintosh操作系统、UNIX操作系统、LINUX操作系统等。
C.VPN路由目标组
如下面更详细描述的,VPN配置模块78利用一个或多个RTG作为构建块来构建所希望的VPN拓扑。在一个实施方式中,可以通过某些用户要求来定义RTG,某些用户要求例如是拓扑类型、一个或多个RTG节点(与PE路由节点或关联于各个站点的VRF实例相对应)、每个RTG节点的一个或多个RTG角色(例如,轴心节点、分支节点、网状节点等),以及一个或多个路由目标标识符。如下面结合图4、5和6更详细描述的,每个RTG可以被配置有多个VPN拓扑之一;另外,多个经配置的RTG可以被组合来构建更复杂的拓扑。
图4图示出了轴辐式RTG的示例图形表示。图4(以及下面的图5和图6)中的箭头表示根据各种拓扑类型的站点间的消息流动。一般地,轴辐式拓扑是可用拓扑中部署最广泛的拓扑。轴辐式拓扑也是实现最复杂的拓扑(需要更复杂的路由目标配置),这是因为所有的分支流量(例如,分支到分支)都经过中央的轴心节点。在一个实施方式中,轴心节点通常实行诸如安全性和访问控制之类的策略,并且还监视所有的分支流量。在一个实施方式中,具有轴辐式拓扑的VPN通常使用中央轴心站点处的安全性服务(过滤器)、流量登记和/或计费系统、入侵检测系统,以及分支站点因特网访问。
图5图示出了中央服务RTG的示例图形表示。中央服务拓扑与轴辐式拓扑的类似之处在于客户端站点不能彼此通信,而仅可以与一个中央站点通信。图6图示出了全网状RTG的示例图形表示。如图6所示,任何一个网状节点都可以向任何其他网状节点发送流量并从任何其它网状节点接收流量。如下面结合图7和图8更详细描述的,RTG辅助构建并部署VPN,而用户不必直接配置RT。
图7图示出了根据一个实施方式可以用来配置轴辐式拓扑的示例RTG400,轴辐式拓扑可由VPN配置模块78用来构建VPN。如图7所示,RTG 400(例如,RTG1)包括被指派了RTG 400的轴心节点(例如,RT1-H)RTG角色的节点402。RTG 400还包括每个都被指派了RTG 400的分支节点(例如,RTG-S)RTG角色的分支节点404a、404b、404c、404d和404e。在一个实施方式中,如果VPN管理模块78要向RTG 400添加任何新的节点,则VPN管理模块78可以指派由RTG定义的RTG角色之一(例如,轴心节点或分支节点)。因此,在一个实施方式,类似于图4所示的拓扑的目标VPN拓扑将仅需要一个RTG。
图8图示出了根据另一实施方式可以用来配置全网状拓扑的示例RTG500,全网状拓扑可由VPN配置模块78用来构建VPN。如图8所示,RTG(例如,RTG 2)包括节点502a、502b、502c和502d,其每个都被指派了RTG 500的网状节点(例如,RT2-M)RTG角色。因此,在一个实施方式中,类似于图5所示的拓扑的目标VPN拓扑将仅需要一个RTG。在一个实施方式中,如果VPN管理模块78要向RTG 500添加任何新的节点,则VPN管理模块78可以指派由RTG定义的RTG角色之一(例如,网状节点)。
图9图示出了根据另一实施方式可以被组合来配置具有混合拓扑的VPN的多个RTG的示例。如图9所示,混合拓扑包括RTG的组合。在一个实施方式中,VPN配置模块78可以使用如下面的示例中的已创建的现有RTG,或者可以根据需要创建新的RTG。在此特定示例中,这种混合拓扑是图7的RTG1与图8的RTG2的组合。RTG 600包括每个都被指派了RTG 600的网状节点(例如,RT2-M)RTG角色的一组节点602a、602b、602c和602d。RTG 601包括被指派了轴心节点(例如,RT1-H)RTG角色的节点602c,并且包括每个都被指派了分支节点(例如,RT1-S)RTG角色的节点604a和604b。在一些实施方式中,给定节点可以在不同RTG上被指派多个RTG角色。例如,如图9所示,节点602c相对于一个RTG被指派了网状节点(RT2-M)的RTG角色,并且相对于另一RTG还被指派了轴心节点(RT1-H)的RTG角色。
D.RT配置的生成
图7、8和9图形化地图示出了可以如何将RTG用来配置给定VPN,结合图10和11所示的处理示出了一个或多个VRF实例的路由目标规则(导入/导出语句)如何被配置来实现已配置的VPN拓扑。图10图示出了用于生成RT配置集信息的示例方法,RT配置集信息包括由提供商网络的PE路由节点容宿的一个或多个VRF实例的路由目标规则。如图10所示,VPN配置工具允许用户创建新的RTG实例,将站点添加(或重新配置)到现有的或新创建的RTG实例中,和/或生成RT配置集信息。
一般地,VPN配置工具在可以访问表征核心或提供商网络的一个或多个属性的网络管理信息的一个或多个源的联网计算环境中操作,网络管理信息例如是PE路由节点信息、VRF信息以及客户站点信息。VPN配置工具可以查阅的其它信息源包括核心或提供商网络的BGP信息,以及可用路由目标标识符和路由区分标识符的一个或多个池。
如图10所示,用户可以创建新的RTG(1002)。在一些实例中,新的RTG可以被创建来将新的客户VPN添加到网络,和/或将新的客户站点添加到现有VPN(其中,向客户VPN添加站点需要混合RTG扩展-例如参见图9)。例如,为了实现图9的VPN拓扑,用户可以访问配置工具并且配置两个RTG实例(或者一个RTG实例,如果一个现有RTG实例已经存在的话)。对于每个RTG,VPN配置工具接收RTG拓扑类型,以及可用路由目标标识符的名称空间的标识符(1004)。VPN配置工具从所标识的名称空间取回所选拓扑类型所需的多个路由目标标识符(1006)。例如,对于轴辐式拓扑类型,需要两个路由目标标识符。其它拓扑类型可能需要更少或更多的路由目标标识符。如图10所示,VPN配置工具随后在数据库或文件中创建RTG实例(1008)。可以针对任何所希望数目的新RTG重复该处理。在RTG被创建之后,用户可以将一个或多个站点关联到该RTG。
在图10所示的实施方式中,VPN配置工具允许用户向RTG添加或重新配置站点。例如,为了添加图9中的站点604a,VPN配置工具可以接收站点604a的标识、RTG的标识,以及站点在RTG中的角色(在图9中为轴心),并且将该站点添加到所标识的RTG中(1012)。站点的选择或标识定义了PE路由节点,以及由PE路由节点容宿的将被配置的VRF实例。因此,在一个实施方式中,VPN配置工具从可用网络管理信息获取所需的必要信息,以标识适当的PE路由节点和VRF实例。
在一些实施方式中,VPN配置工具可以基于客户标识符提供用于站点和RTG的具有有限选择的一组下拉菜单。如图10所示,当用户希望生成用于站点和RTG的路由目标配置集时(1014),VPN配置工具生成新配置的站点的路由目标配置集,按需生成任何VRF实例的配置信息(1016)。当生成了路由目标配置集之后,VPN配置工具将路由目标配置推送到VPN拓扑中的所需VRF(1018)。
图11图示出了用于生成路由目标配置的示例处理流程。VPN配置模块78基于RTG节点的RTG角色应用配置规则以在每个RTG节点处生成VRF表的导入和导出语句。如图11所示,当用户希望创建新创建的实体的路由目标配置时,VPN配置工具针对每个新站点和RTG的关联(1101),标识RTG的拓扑类型、站点的角色和为RTG保留的路由目标标识符(1102)。VPN配置工具随后基于角色和路由目标标识符生成针对站点的一个或多个路由目标规则(1104)。如上面所讨论的,路由目标配置包括:VRF实例的路由目标规则或语句,其定义了该VRF实例如何导入并导出路由目标以及路由目标所属的路由。如上面所讨论的,每个拓扑类型都定义了如何在VRF间导入和导出路由目标。在一个实施方式中,VPN配置工具包括定义了如何针对每个拓扑类型中的各个角色来导入和导出路由目标的逻辑。因此,为了生成特定站点的路由目标配置,VPN配置工具选择为RTG保留的一个或多个路由目标标识符,并且利用与针对站点所标识的角色相关联的逻辑,来创建定义如何导入和导出一个或多个路由目标的一个或多个规则。在一个示例中,轴辐式拓扑可以具有下面的规则。在一个实施方式中,一个规则可以是:对于轴辐式拓扑,轴心站点可以利用两个VRF表来实现,其中,一个VRF表用于导入路由(例如,HUB_IN VRF)而一个用于导出路由(例如,SPOKE_OUT VRF)。在一个实施方式中,VRF表可以是半双工表。此外,用于生成轴辐式拓扑的路由目标语句的规则逻辑可以包括:
规则1:标识RTG中的RT:RT1作为用于在轴心站点处导出的RT-h,并且RT2作为用于在分支站点处导出的RT-s。
规则2:如果角色=轴心站点
则HUBIN(入轴心)VRF-导入RT-s
SPOKEOUT(出分支)VRF-导出RT-h
如果角色=分支站点
则SPOKE(分支)VRF-导出RT-s,导入RT-h
应用这些规则产生了三个VRF;两个VRF用于轴心站点并且一个VRF用于分支站点,如下:
VRF HUBIN(导入RT-s);
VRF SPOKEOUT(导出RT-h);以及
VRF SPOKE(导出RT-s,导入RT-h)。
可以针对其它基本拓扑类型定义类似规则。用于在VRF中生成导入/导出语句的这些规则可以程序化地来应用。对于高级拓扑(通过组合多个RTG形成的),通过利用站点依据其联合RTG的规则来生成导入/导出RT语句。
在一个实施方式中,每个RTG节点将RT配置存储在适当的VRF表或其它适当的数据存储装置中。结果,每个站点的VRF表存储了来自站点是其成员的VPN的、对该站点可用的所有路由。一旦建立了VPN,成员RTG节点就可以经由它们各自的已建立路由利用BGP和路由因特网协议(IP)流量来交换路由信息。
如前面所示的,利用RTG为客户简化了VPN的创建,尤其是对于大且复杂的VPN中的导入/导出RT的生成。利用RTG还通过消除手动分配和配置大型服务提供商网络中的RT来使VPN部署安全(例如,无差错)。因此,这种解决方案降低了服务提供商的运营成本。
已参考特定实施例说明了本发明。例如,虽然本发明的实施例被描述为结合IEEE 802.11网络进行操作,然而,还可以结合任何合适的无线网络环境来使用本发明。本领域技术人员容易想到其它实施例。因此,不希望本发明受到除所附权利要求所指示的以外的限制。
Claims (15)
1.一种用于配置虚拟专用网络拓扑的方法,包括:
访问包括一个或多个路由目标组RTG的网络拓扑配置集,其中,每个RTG包括拓扑类型标识符、一个或多个站点标识符、与站点标识符中的各个站点标识符相关联的一个或多个角色标识符,以及一个或多个路由目标标识符;
基于一个或多个RTG的所述拓扑类型标识符和角色标识符生成一个或多个路由目标语句,从而定义虚拟专用网络VPN拓扑中的一个或多个路由节点之间的网络层可达性信息的导出或导入;以及
将所述一个或多个路由目标语句发送到一个或多个路由节点。
2.如权利要求1所述的方法,其中,角色标识符能够标识轴心节点、分支节点或网状节点。
3.如权利要求1所述的方法,还包括:生成一个或多个新RTG,以将一个或多个新站点添加到现有虚拟专用网络。
4.如权利要求1所述的方法,还包括:将一个或多个新站点关联到现有RTG,以将所述一个或多个新站点添加到现有虚拟专用网络。
5.如权利要求1所述的方法,还包括:修改一个或多个RTG,以重新配置现有虚拟专用网络中的一个或多个站点。
6.如权利要求1所述的方法,还包括:将所述路由目标语句应用到一个或多个路由节点中的一个或多个虚拟转发和路由实例。
7.如权利要求1所述的方法,其中,所述拓扑类型标识符标识网状拓扑、轴辐式拓扑或中央服务拓扑中的一个。
8.如权利要求1所述的方法,其中,所述一个或多个路由节点容宿在各个的提供商边缘路由器上并具有虚拟路由和转发功能。
9.如权利要求1所述的方法,还包括:
接收与RTG相对应的RTG标识符以及拓扑类型标识符;
基于所接收的拓扑类型标识符访问路由目标标识符池以保留预定数目的路由目标标识符。
10.一种用于配置虚拟专用网络拓扑的装置,包括:
用于访问包括一个或多个路由目标组RTG的网络拓扑配置集的装置,其中,每个RTG包括拓扑类型标识符、一个或多个站点标识符、与站点标识符中的各个站点标识符相关联的一个或多个角色标识符,以及一个或多个路由目标标识符;
用于基于一个或多个RTG的所述拓扑类型标识符和角色标识符生成一个或多个路由目标语句,从而定义虚拟专用网络VPN拓扑中的一个或多个路由节点之间的网络层可达性信息的导出或导入的装置;以及
用于将所述一个或多个路由目标语句发送到一个或多个路由节点的装置。
11.如权利要求10所述的装置,还包括用于生成一个或多个新RTG,以将一个或多个新站点添加到现有虚拟专用网络的装置。
12.如权利要求10所述的装置,还包括用于将一个或多个新站点关联到现有RTG,以将所述一个或多个新站点添加到现有虚拟专用网络的装置。
13.如权利要求10所述的装置,还包括用于修改一个或多个RTG,以重新配置现有虚拟专用网络中的一个或多个站点的装置。
14.如权利要求10所述的装置,还包括用于将所述路由目标语句应用到一个或多个路由节点中的一个或多个虚拟转发和路由实例的装置。
15.如权利要求10所述的装置,其中,所述拓扑类型标识符标识网状拓扑、轴辐式拓扑或中央服务拓扑中的一个。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/688,948 US8194570B2 (en) | 2007-03-21 | 2007-03-21 | Configuration tool for MPLS virtual private network topologies |
US11/688,948 | 2007-03-21 | ||
PCT/US2008/057564 WO2008116030A2 (en) | 2007-03-21 | 2008-03-20 | Configuration tool for mpls virtual private network topologies |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101641913A CN101641913A (zh) | 2010-02-03 |
CN101641913B true CN101641913B (zh) | 2013-04-24 |
Family
ID=39766756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880008591XA Active CN101641913B (zh) | 2007-03-21 | 2008-03-20 | Mpls虚拟专用网络拓扑的配置工具 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8194570B2 (zh) |
EP (1) | EP2122937B1 (zh) |
CN (1) | CN101641913B (zh) |
WO (1) | WO2008116030A2 (zh) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8503334B2 (en) | 2007-12-14 | 2013-08-06 | Level 3 Communications, Llc | System and method for providing network services over shared virtual private network (VPN) |
US7764702B2 (en) * | 2007-12-19 | 2010-07-27 | At&T Intellectual Property I, L.P. | Method and apparatus for customer-controlled routing management |
US7894450B2 (en) * | 2007-12-31 | 2011-02-22 | Nortel Network, Ltd. | Implementation of VPNs over a link state protocol controlled ethernet network |
US8837491B2 (en) | 2008-05-27 | 2014-09-16 | Glue Networks | Regional virtual VPN |
US8422502B1 (en) | 2008-08-13 | 2013-04-16 | Packet Design, Inc. | System and method for identifying VPN traffic paths and linking VPN traffic and paths to VPN customers of a provider |
US8824331B1 (en) | 2008-08-13 | 2014-09-02 | Packet Design, Llc | System and method for identifying an ingress router of a flow when no IP address is associated with the interface from which the flow was received |
US7940784B2 (en) * | 2008-11-03 | 2011-05-10 | At&T Intellectual Property I, L.P. | Methods and apparatus to advertise network routes to implement a hybrid network topology |
US8068419B2 (en) * | 2008-11-13 | 2011-11-29 | Jeremy Dujardin | System and method for transmitting video, audio, and data content using a fiber optic network |
WO2010068698A2 (en) * | 2008-12-09 | 2010-06-17 | Glue Networks, Inc. | System and method for providing virtual private networks |
CN102263774B (zh) * | 2010-05-24 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种处理源角色信息的方法和装置 |
EP2582099B1 (en) * | 2010-06-09 | 2021-03-17 | Nec Corporation | Communication system, logic channel control device, communication method and program |
US9596271B2 (en) * | 2012-10-10 | 2017-03-14 | International Business Machines Corporation | Dynamic virtual private network |
US9397922B1 (en) * | 2013-02-28 | 2016-07-19 | EarthLink, LLC | Automated network testing platform |
US9065661B2 (en) * | 2013-03-06 | 2015-06-23 | Cisco Technology, Inc. | Scalable multicast route distribution in a multitenant data center fabric in a network environment |
US9760528B1 (en) | 2013-03-14 | 2017-09-12 | Glue Networks, Inc. | Methods and systems for creating a network |
US9928082B1 (en) | 2013-03-19 | 2018-03-27 | Gluware, Inc. | Methods and systems for remote device configuration |
CN103200106A (zh) * | 2013-04-12 | 2013-07-10 | 杭州华三通信技术有限公司 | 一种报文转发方法和设备 |
US9426069B2 (en) * | 2013-09-27 | 2016-08-23 | Verizon Patent And Licensing Inc. | System and method of cross-connection traffic routing |
US9450862B2 (en) * | 2014-03-11 | 2016-09-20 | Futurewei Technologies, Inc. | Virtual private network migration and management in centrally controlled networks |
US9785412B1 (en) | 2015-02-27 | 2017-10-10 | Glue Networks, Inc. | Methods and systems for object-oriented modeling of networks |
CN106713098A (zh) * | 2015-07-27 | 2017-05-24 | 中兴通讯股份有限公司 | 路由目标处理方法及装置 |
US10623474B2 (en) | 2016-06-27 | 2020-04-14 | International Business Machines Corporation | Topology graph of a network infrastructure and selected services status on selected hubs and nodes |
CN106452915B (zh) * | 2016-11-21 | 2020-03-13 | 迈普通信技术股份有限公司 | Mpls vpn网络拓扑发现的方法及装置 |
US11212210B2 (en) * | 2017-09-21 | 2021-12-28 | Silver Peak Systems, Inc. | Selective route exporting using source type |
US10728150B2 (en) * | 2018-04-02 | 2020-07-28 | Arista Networks, Inc. | Method and system segregating application traffic in a wide area network |
CN109474508B (zh) * | 2018-12-28 | 2022-04-29 | 深信服科技股份有限公司 | 一种vpn组网方法、系统、vpn主节点设备及介质 |
CN110324186A (zh) * | 2019-06-28 | 2019-10-11 | 迈普通信技术股份有限公司 | 网络配置方法、装置、服务器及计算机可读存储介质 |
CN112910667B (zh) * | 2019-11-19 | 2023-03-24 | 苏州至赛信息科技有限公司 | 网络拓扑模型的生成方法、装置、计算机设备和存储介质 |
US11456955B2 (en) * | 2020-04-16 | 2022-09-27 | Juniper Networks, Inc. | Tenant-based mapping for virtual routing and forwarding |
US11456917B2 (en) * | 2020-06-01 | 2022-09-27 | Cisco Technology, Inc. | Analyzing deployed networks with respect to network solutions |
CN114615108B (zh) * | 2020-11-23 | 2023-05-09 | 中国联合网络通信集团有限公司 | 虚拟专网专线开通方法、平台及设备 |
US11528166B2 (en) * | 2021-01-12 | 2022-12-13 | Hewlett Packard Enterprise Development Lp | Geo-location based optimized hub mesh |
US20220247663A1 (en) * | 2021-02-04 | 2022-08-04 | Nokia Solutions And Networks Oy | Service differentiation based on constrained network topology slicing |
CN113098750A (zh) * | 2021-03-11 | 2021-07-09 | 网宿科技股份有限公司 | 一种站点互连方法、系统及中转设备 |
CN113645116B (zh) * | 2021-06-21 | 2023-04-07 | 广西电网有限责任公司 | 一种mplsvpn自动开通方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1520101A (zh) * | 2003-01-22 | 2004-08-11 | ��Ϊ��������˾ | 一种确定客户边缘路由器与虚拟私有网络间关系的方法 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020184388A1 (en) * | 2001-06-01 | 2002-12-05 | Nimer Yaseen | Layered approach to virtual private routing |
US8014283B2 (en) * | 2001-06-01 | 2011-09-06 | Fujitsu Limited | System and method for topology constrained QoS provisioning |
US7450505B2 (en) * | 2001-06-01 | 2008-11-11 | Fujitsu Limited | System and method for topology constrained routing policy provisioning |
US7486659B1 (en) * | 2003-02-24 | 2009-02-03 | Nortel Networks Limited | Method and apparatus for exchanging routing information between virtual private network sites |
US20040255028A1 (en) * | 2003-05-30 | 2004-12-16 | Lucent Technologies Inc. | Functional decomposition of a router to support virtual private network (VPN) services |
US7075933B2 (en) * | 2003-08-01 | 2006-07-11 | Nortel Networks, Ltd. | Method and apparatus for implementing hub-and-spoke topology virtual private networks |
US7848259B2 (en) * | 2003-08-01 | 2010-12-07 | Opnet Technologies, Inc. | Systems and methods for inferring services on a network |
US7450598B2 (en) * | 2003-12-15 | 2008-11-11 | At&T Intellectual Property I, L.P. | System and method to provision MPLS/VPN network |
US7164679B2 (en) * | 2004-01-12 | 2007-01-16 | Ciena Corporation | Scalable abstraction of topology across domain boundaries |
US7400611B2 (en) * | 2004-06-30 | 2008-07-15 | Lucent Technologies Inc. | Discovery of border gateway protocol (BGP) multi-protocol label switching (MPLS) virtual private networks (VPNs) |
US7774500B1 (en) * | 2004-07-01 | 2010-08-10 | At&T Intellectual Property Ii, L.P. | Method and apparatus for flexible network management of multiple customer virtual private networks |
CN100372336C (zh) * | 2004-07-13 | 2008-02-27 | 华为技术有限公司 | 多协议标签交换虚拟专用网及其控制和转发方法 |
GB2426141A (en) * | 2005-05-12 | 2006-11-15 | 3Com Corporaton | Configuration of Virtual Private Networks (VPNs) |
US20070097991A1 (en) * | 2005-10-31 | 2007-05-03 | Tatman Lance A | Method and system for discovering and providing near real-time updates of VPN topologies |
US7630310B2 (en) * | 2006-01-31 | 2009-12-08 | Alcatel-Lucent Usa Inc. | System and method for generating route target attributes |
US20070226325A1 (en) * | 2006-03-23 | 2007-09-27 | Alcatel | Virtual private network service status management |
US7747954B2 (en) * | 2006-03-23 | 2010-06-29 | Alcatel Lucent | Method and system for virtual private network connectivity verification |
US7500196B2 (en) * | 2006-03-23 | 2009-03-03 | Alcatel Lucent | Method and system for generating route distinguishers and targets for a virtual private network |
EP2076874A4 (en) * | 2006-05-13 | 2011-03-09 | Sap Ag | DERIVED CONSISTENT SET OF INTERFACES DERIVED FROM A BUSINESS OBJECT MODEL |
US7593352B2 (en) * | 2006-06-02 | 2009-09-22 | Cisco Technology, Inc. | Discovering MPLS VPN services in a network |
-
2007
- 2007-03-21 US US11/688,948 patent/US8194570B2/en active Active
-
2008
- 2008-03-20 CN CN200880008591XA patent/CN101641913B/zh active Active
- 2008-03-20 WO PCT/US2008/057564 patent/WO2008116030A2/en active Application Filing
- 2008-03-20 EP EP08732508.0A patent/EP2122937B1/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1520101A (zh) * | 2003-01-22 | 2004-08-11 | ��Ϊ��������˾ | 一种确定客户边缘路由器与虚拟私有网络间关系的方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2008116030A2 (en) | 2008-09-25 |
EP2122937B1 (en) | 2017-12-20 |
CN101641913A (zh) | 2010-02-03 |
US20080232379A1 (en) | 2008-09-25 |
WO2008116030A3 (en) | 2008-12-31 |
US8194570B2 (en) | 2012-06-05 |
EP2122937A2 (en) | 2009-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101641913B (zh) | Mpls虚拟专用网络拓扑的配置工具 | |
EP1787435B1 (en) | Routing protocol support for half duplex virtual routing and forwarding instance | |
US7450598B2 (en) | System and method to provision MPLS/VPN network | |
CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
US7564802B2 (en) | Method for optimal assignment of customer edge (CE) routers to virtual private network route forwarding (VRF) tables | |
CN107592270B (zh) | FlowSpec消息的处理方法和装置以及系统 | |
US20100027549A1 (en) | Method and apparatus for providing virtual private network identifier | |
CN102739501B (zh) | 二三层虚拟私有网络中的报文转发方法和系统 | |
CN102804693A (zh) | 用于在ip网络上实现l2vpn的方法和设备 | |
CN107819663A (zh) | 一种实现虚拟网络功能服务链的方法和装置 | |
CN105721306A (zh) | 一种配置信息的传输方法和装置 | |
CN107547333B (zh) | 用于实现组合虚拟专用网vpn的方法与装置 | |
US20070177596A1 (en) | System and method for generating route target attributes | |
EP3682597B1 (en) | Modeling access networks as trees in software-defined network controllers | |
CN104396197A (zh) | 在802.1aq网络中使用分离的平局打破器在等成本最短路径之间选择 | |
CN110324159B (zh) | 链路配置方法、控制器和存储介质 | |
CN107959611B (zh) | 一种转发报文的方法,装置及系统 | |
US20060062211A1 (en) | System and method for designing a customized switched metro Ethernet data network | |
CN103209125B (zh) | 一种标签信息的传输方法和设备 | |
CN104283782A (zh) | 多协议标签交换网络中确定报文转发路径的方法和装置 | |
CN106027396B (zh) | 一种路由控制方法、装置和系统 | |
US20160366043A1 (en) | Dynamic detection of vpn sites | |
CN103795630A (zh) | 一种标签交换网络的报文传输方法和装置 | |
CN107426100B (zh) | 一种基于用户组的vpn用户接入方法及装置 | |
CN111385204A (zh) | 业务传输方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |