Трехуровневая виртуальная сеть vpn и способ ее построения

Область техники

Настоящее изобретение относится к архитектуре 3-уровневого провайдера, обслуживающего виртуальную сеть (РР VPN), и к способу его построения.

Уровень техники

Известны различные варианты реализации традиционной архитектуры РР VPN, такие как BGP/MPLS VPN, VR VPN, MPLS 12 VPN и т.п. В варианте BGP/MPLS VPN провайдер РР VPN является сетью, которая обеспечивает интернет-услуги в сетях общего доступа, использующих мульти-протокольный переключатель меток (MPLS), базирующийся на протоколе межсетевого интерфейса (BGP). Архитектура BGP/MPLS VPN включает в основном базовую сеть, состоящую из маршрутизаторов провайдера Р и концевых маршрутизаторов провайдера РЕ, снабженных разделителем информации ISP, и пользовательскую (абонентскую) сеть VPN, которая включает множество сайтов и концевых маршрутизаторов СЕ.

В указанных устройствах маршрутизаторы провайдера Р отвечают в основном за передачу данных коммутатора меток MPLS. Основными элементами, реализующими BGP/MPLS VPN сервис, являются РЕ-устройства. Они поддерживают независимые списки сайтов в пользовательских VPNs, выявляют VPN-топологии и идентифицируют (распознают) внутренние VPN-маршруты посредством протокола BGP. Концевые маршрутизаторы СЕ устанавливают связь сайтов пользовательских сетей VPNs с РЕ-устройствами провайдера, без поддержки MPLS, VPN-сигналов или протокола.

При создании разветвленных сетей, использующих BGP/MPLS VPN архитектуру, узким местом могут оказаться РЕ устройства, которые должны согласовывать маршруты из множества VPN сетей (особенно в случае, если производительность РЕ устройств невелика). Кроме того, поскольку традиционные MPLS VPN модели являются планарными и маршрутизаторы конвергируют слой за слоем, при наращивании сети должно поддерживаться большее количество маршрутов. В таких условиях производительность РЕ устройства должна соответствовать характеристикам других элементов сети, где бы в сети оно не находилось. Для 3-уровневой модели стандартной сети, использующей архитектуру согласования через центр (core-convergence-access), производительность устройств снижается при расширении сети, что вызывает дополнительные сложности при ее наращивании. Для решения этой проблемы предлагается мультипликативная схема маршрутизации/переадресации (VRF), позволяющая повысить производительность концевых маршрутизаторов СЕ. Устройства, реализующие эти функции, называются VCE устройствами. В работе сети несколько РЕ- и VCE-устройств объединяются и образуют рассредоточенное РЕ устройство. Как видно на фиг.1, в VCE конфигурируется несколько служб маршрутизации/переадресации (VRFs), причем эти VRFs соответствуют набору VPN-сайтов. Каждое VCE устройство имеет несколько нисходящих интерфейсов для подключения к VRFs и восходящий интерфейс для подключения к РЕ устройству. Аналогичные службы маршрутизации/переадресации (VRFs) включаются в конфигурацию на РЕ устройствах. Таким образом, мултипликативное VRF-CE устройство имитирует фактически группу СЕ устройств, причем каждое виртуальное СЕ изолировано от другого для того, чтобы обеспечить доступ множеству абонентских VPN сетей. При этом РЕ устройства «не знают», подключены ли они к нескольким СЕ- или к VCE-устройству. Однако несмотря на то, что эта схема решает в некоторой степени проблему расширения возможностей РЕ устройств, очевидны ее недостатки:

1) между РЕ- и СЕ-устройствами необходимо большое количество интерфейсов и суб-интерфейсов, что требует дополнительных ресурсов как по интерфейсам, так и по IP-адресам;

2) на РЕ- и СЕ-устройствах должно быть конфигурировано множество VRFs, что представляет достаточно трудоемкую работу;

3) если при обмене маршрутами между РЕ- и VCE-устройствами используется динамический протокол маршрутизации, PEs и VCEs должны обрабатывать множество VRF записей «маршрутизация/переадресация»; в случае же использования статических маршрутов конфигурирование такой схемы представляет трудоемкую работу;

4) если для соединения PEs с VCEs вместо их непосредственного соединения используются туннельные интерфейсы, для каждого VRF сообщения требуется туннель, а это ведет к серьезному расходованию ресурсов;

5) если различные VCEs соединяются друг с другом для передачи VPN сообщений, то для уменьшения нагрузки на PEs каждому VRF необходим интерфейс или суб-интерфейс.

СУЩЕСТВО ИЗОБРЕТЕНИЯ

Задачей настоящего изобретения является создание расширяемой (наращиваемой) 3-уровневой РР VPN сети, удовлетворяющей требованиям ограниченности необходимых ресурсов и минимизации конфигурации, и способ построения указанной сети.

Поставленная задача решается тем, что 3-уровневый РР VPN в настоящем изобретении включает Р и РЕ устройства в основной сети, сайты и СЕ устройства в пользовательских сетях, и иерархические РЕ устройства (НоРЕ). Указанные НоРЕ выполняют функции концевых маршрутизаторов в основной сети и подключается к Pустройствам в основной сети, к сайтам и к СЕ устройствам в VPNs;

указанные НоРЕ включают РЕ устройства нижнего уровня (UPEs) а верхнего уровня (SPEs) (Superior PEs), которые соединяются друг с другом, причем UPEs ответственны за обслуживание маршрутов к VPN - сайтам, непосредственно с ними связанным, за генерирование внутренних меток для маршрутов к VPN-сайтам и за передачу меток в SPEs через VPN маршруты; SPEs отвечают за обслуживание всех маршрутов в VPNs, где сайты соединяются через UPEs, за формирование VRF маршрутов по умолчанию или конвергентных VRF-маршрутов в UPEs и за перенос меток;

указанные UPEs и SPEs, как и различные UPEs, соединяются друг с другом посредством интерфейсов или суб-интерфейсов и сообщения между ними направляются с метками.

Указанные НоРЕ включают так же РЕ устройства промежуточного уровня (MPEs) между UPEs и SPEs;

указанные MPEs ответственны за обслуживание всех маршрутов в VPNs, где сайты соединяются через UPEs, за формирование (назначение) VRF маршрутов по умолчанию или конвергентных маршрутов в UPEs, за замену меток, переносимых VRF маршрутами, назначенными из SPEs, за передачу их в UPEs; если некоторое МРЕ устройство сгенерировало по умолчанию маршрут для VRF, оно сгенерирует на некоторую метку ILM на МРЕ.

Способ построения 3-уровневой виртуальной сети VPN в соответствии с настоящим изобретением включает:

размещение НоРЕ устройств в основной сети, при этом указанные НоРЕ устройства выполняют в основной (базовой) сети функции концевых маршрутизаторов и подключаются к Р устройствам в основной сети, к сайтам и к СЕ устройствам в пользовательских VPNs; указанные НоРЕ включают UPEs и SPEs, которые соединяются друг с другом; UPEs отвечают за формирование маршрутов к VPN сайтам, непосредственно связанным с ними, за генерирование внутренних меток для маршрутов к VPN сайтам, за передачу меток в SPEs через VPN-маршруты; SPEs отвечают за функционирование всех маршрутов в VPNs, в которых сайты связаны через UPEs, за назначение по умолчанию VRF-маршрутов или конвергентных маршрутов в UPEs и за выполнение меток;

указанные UPEs и SPEs соединяются друг с другом посредством интерфейсов или суб-интерфейсов и сообщения между ними направляются с метками.

Указанные НоРЕ включают так же PEs устройства промежуточного уровня (MPEs) между UPEs и SPEs; указанные MPEs ответственны за функционирование всех маршрутов в VPNs, где сайты соединяются через UPEs, за назначение VRF маршрутов по умолчанию или конвергентных маршрутов в UPEs, за замену меток, переносимых VRF маршрутами, назначенными из SPEs, за передачу их в UPEs; если некоторое МРЕ сгенерировало маршрут по умолчанию для VRF, оно сгенерирует метку ILM на МРЕ.

Указанные SPEs, MPEs и UPEs, которые соединены между собой посредством протокола MP-BGP, могут обмениваться между собой сообщениями.

Если указанные SPEs, MPEs и UPEs управляются одним и тем же оператором, указанный протокол MP-BGP является внутренним протоколом (MP-IBGP), однако, если они управляются разными операторами, указанный протокол MP-BGP является внешним протоколом (MP-EBGP).

В НоРЕ иерархии SPEs генерируют глобальные списки «импортируемый маршрут-цель«) (IRTL) (Import Roue-Target List) для фильтрации маршрутов из других PEs в соответствии с набором таких списков всех VRFs тех UPEs, которые к чему подключены.

Указанный глобальный IRTL-список генерируется динамически в соответствии с обменом информацией между SPEs и UPEs; процесс генерации происходит следующим образом: UPEs передают информацию фильтра отправляемых маршрутов (ORF) в подключенные к ним SPEs через обновленную маршрутную информацию по протоколу BGP, причем эта ORF-информация содержит расширенную группу списков, включающих набор IRTL-списков всех VRFs указанных UPEs; SPEs конвергируют эту расширенную группу списков связанных с ними UPEs для того, чтобы генерировать глобальные IRTL-списки.

В НоРЕ-иерархии, если некоторое UPE устройство соединяется с несколькими SPEs, все эти SPEs назначат по умолчанию маршруты к указанному UPE, UPE выберет один из них как предпочтительный маршрут или выберет несколько маршрутов для распределения нагрузки; когда UPE назначает VPN-маршруты в несколько SPEs, он назначает все VPN-маршруты во все SPEs или отдельные VPN-маршруты к каждому SPE для того, чтобы распределить нагрузку.

В НоРЕ два соединенных друг с другом UPEs формируют все VPN-маршруты между собой, что обеспечивает непосредственную взаимную коммуникацию сайтов, соединенных через эти два UPEs.

Использование в настоящем изобретении иерархических РЕ устройств в качестве концевых маршрутизаторов в основной (базовой) сети обеспечивает следующие преимущества по сравнению с традиционной схемой с несколькими VRFs:

1) между SPE- и UPE-устройствами требуется лишь один интерфейс или суб-интерфейс, что позволяет ограничить ресурсы по интерфейсам и IP-адресам;

2) исключается необходимость повторной реконфигурации VRFs на SPEs, если VRFs уже были конфигурированы на UPEs, что уменьшает объем работ по конфигурации;

3) так как для обмена маршрутами и назначения меток между SPEs и UPEs используется протокол MP-BGP, для каждого UPE устройства требуется лишь один сопряженный объект, что уменьшает затраты на протокол и работы по конфигурации;

4) для того чтобы обеспечить построение параллельных сетей (особенно MPLS), SPEs и UPEs устройства могут быть соединены друг с другом интерфейсами или субинтерфейсами любого типа, такими, например, как туннельные интерфейсы. Это свойство значительно расширяет возможности наращивания в иерархических MPLS VPN сетях;

5) затраты на SPEs могут быть уменьшены за счет непосредственных соединений (соединений типа «черного хода») между UPEs. Более того, между двумя UPEs требуется лишь один интерфейс/суб-интерфейс, что экономит ресурсы интерфейсов и IP адресов;

6) MPLS VPN сеть может разворачиваться слой за слоем. Если характеристики некоторых UPEs оказываются недостаточными, можно добавить МРЕ- или SPE-устройство. Если недостаточна производительность SPE, можно добавить еще один SPE. Таким образом, могут быть решены проблемы «узких мест», связанные с РЕ устройствами.

КРАТКОЕ ОПИСАНИЕ

На фиг.1 изображена диаграмма реализации в традиционных MPLS VPN сетях распределенного РЕ устройства, состоящего из комбинации нескольких VCEs- и PEs-устройств.

На фиг.2 приведена конфигурация иерархической НоРЕ схемы в соответствии с настоящим изобретением.

Фиг.3 иллюстрирует поток данных и контрольный поток из Сайта 1, подключенного к PEs, к удаленному Сайту 2.

4) Фиг.4 иллюстрирует поток данных и контрольный поток от Сайта 2 к Сайту 1 на фиг. 3.

5) На фиг.5 приведено упрощенное изображение 3-уровневой иерархической архитектуры НоРЕ устройств.

ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

В традиционной MPLS VPN сети, управляемой протоколом BGP, классификация СЕ- и РЕ-устройств строится а основном на основании организации разграничений между операторами и пользователями. СЕ- и РЕ-устройства являются концевыми устройствами, (входом и выходом) между операторами и пользователями. СЕ- и РЕ-устройства обмениваются маршрутной информацией, используя внешний (E-BGP) или внутренний (IGP) маршрутный протокол или стационарный маршрут. Не требуется, чтобы СЕ устройства поддерживали или «знали» сеть VPN. РЕ устройства обмениваются между собой маршрутной информацией посредством протокола MP-BGP.

В BGP/MPLS VPN виртуальная сеть VPN включает множество сайтов, каждый из которых соответствует некоторой записи «маршрутизация/переадресация» VRF. VRF-запись в основном включает: IP список маршрутов, список направляющих меток, набор интерфейсов, использующих список направляющих меток, и управленческую информацию (включающую маршрутные отличительные признаки (RDs), алгоритм фильтрации маршрутов, список интерфейсов и т.п.). Между пользовательскими сайгами и VPNs не существует никакого взаимно однозначного соответствия; например, сайт может принадлежать нескольким VPNs. На практике каждый сайт ассоциируется с некоторой независимой VRF записью. VRF запись, соответствующая сайгу в VPN, в действительности сочетает его принадлежность сети VPN и маршрутную политику для этого сайта. Передаваемая информация хранится в IP маршрутном списке и в списке направляющих меток каждой VRF. Система сохраняет для каждой VRF независимый набор маршрутных списков и списков направляющих меток для того, чтобы избежать потери как данных из VPN, гак и данных извне VPN.

Предположим, что VPN-IPv4-адреса используются в некоторой VPN, маршруты, которые PEs получили из CEs, являются IРv4-маршрутами и должны быть импортированы в VRF маршрутный список. В этом случае должен быть добавлен дополнительный отличительный признак RD. В реальных схемах всем маршрутам из одного и того же сайта присваивается один и тот же отличительный признак RD.

Среди функций, выполняемых маршрутом, функция «маршрута к цели» (RT) определяет набор всех сайтов, которые могут использовать данный маршрут, т.е. какие сайты могут получить этот маршрут и какие маршруты из сайтов могут быть получены РЕ маршрутизаторами. Все РЕ-маршрутизаторы, подключенные к сайтам, указанным в RT, будут получать эти маршруты. Когда РЕ-маршрутизаторы получают такие маршруты, они добавляют их в соответствующие маршрутные списки. Любой РЕ-маршрутизатор имеет два набора такой информации: один набор должен быть прикреплен к маршрутам, полученным из сайта, и этот набор называется «экспортируемыми целями» (ЕТ); другой набор используется для того, чтобы определить, какие маршруты могут быть импортированы в маршрутный список данного сайта, и он называется «импортируемыми целями» (IT). Принадлежность данной VPN может быть установлена путем сопоставления свойств RTs, доставленных маршрутами.

Так как РЕ устройства должны согласовывать маршруты из нескольких VPNs, они могут оказаться «узким местом» в крупномасштабных сетях, особенно в случае, когда используются РЕ устройства с малой производительностью. Для решения этой проблемы в настоящем изобретении используется несколько РЕ устройств с тем, чтобы создать иерархическое РЕ устройство (НоРЕ), которое будет выполнять различные функции и будет кооперироваться с другими РЕ и НоРЕ для того, чтобы обеспечить функционирование центрального РЕ-маршрутизатора. SPEs-маршрутизаторы верхнего иерархического уровня должны обеспечивать более высокое качество маршрутизации и передачи данных, в то время как соответствующие характеристики UPEs могут удовлетворять более низким требованиям. Такая архитектура может обеспечить наращиваемость в иерархических BGP/MPLS VPNs сетях.

Настоящее изобретение будет описано более детально в соответствии со следующими фигурами.

В соответствии с настоящим изобретением, провайдер РР VPN включает Р- и РЕ-устройства в основной сети, множество сайтов и СЕ устройства в пользовательских VPNs и НоРЕ устройства. Кроме того, РР VPN включает иерархию РЕ устройств (НоРЕ), при этом указанные НоРЕ устройства являются концевыми маршрутизаторами основной сети и подключаются к Р устройствам в основной сети и к сайтам и СЕ устройствам в VPN; кроме того, указанное НоРЕ устройство включает PEs устройства нижнего уровня (UPEs) и PEs устройства верхнего уровня (SPEs), соединенные друг с другом. В этой схеме PEs могут соединять не только CEs, но и PEs, такая схема называется сетью с мнокоротокольной коммутацией меток (MPLS VPN) и приведена на фиг.2. Соединенные сеть и основная сеть образуют каркасную конструкцию, т.е. Иерархию РЕ устройств (НоРЕ). На фиг.2 несколько UPEs and SPEs образуют НоРЕ для того, чтобы обеспечить функции традиционного РЕ, при этом: UPEs отвечают за формирование только тех маршрутов в VPN-сайты, которые непосредственно с ними связаны (но не маршрутов других удаленных сайтов пользовательской сети), или за формирование конвергентных маршрутов; SPE устройства отвечают за поддержание всех маршрутов, подключенных UPE устройствами (включая локальные маршруты и маршруты в удаленных сайтах) в VPNs.

UPEs распределяют внутренние метки для маршрутов, связанных непосредственно с сайтами, и передают указанные метки в SPEs через VPN-маршруты;

SPEs не назначают маршруты из удаленных сайтов в UPEs, вместо этого они лишь назначают VRF - по умолчанию маршруты или конвергентные маршруты в UPEs и передают метки.

Между UPEs и SPEs могут использоваться протоколы MP-EBGP или МР-IBGP. Если используется внутренний протокол MP-IBGP, SPE устройства являются для UPEs маршрутными отражателями (RR), и UPE устройства служат как отражатели маршрутов клиентов. Однако SPEs не являются отражателями маршрутов для других PEs. Если используется внешний протокол MP-EBGP, UPEs обычно используют индивидуальную автономную систему шифрования (кодировки).

Между UPEs и SPEs маршруты прокладываются с метками. Поэтому необходим лишь интерфейс или суб-интерфейс. Таким интерфейсом или суб-интерфейсом может быть как физический интерфейс или суб-интерфейс (например, перманентный виртуальный канал PVC), так и туннельный интерфейс (например, генеральный протокол формирования маршрутов GRE). Если используется туннельный интерфейс, между SPEs и UPEs могут существовать IP- или MPLS-сети.

Внешне НоРЕ устройство идентично традиционному РЕ устройству. Поэтому в MPLS- сети они могут сосуществовать с другими РЕ устройствами. Например, НоРЕ устройство может служить в качестве UPE или SPE при построении еще большей иерархии с другим РЕ устройством.

Фиг.3 иллюстрирует поток данных и контрольный поток из Сайта 1 (подключенного к PEs) в удаленный Сайт 2. Предположим, что имеется некоторый маршрут R в Сайте 2, СЕ2 устройство направляет его в РЕ2 по статическому маршруту в соответствии с протоколами IGP, BGP; затем РЕ2 устройство снабжает его внутренней меткой (L.) и направляет в SPE1 посредством протокола MP-IBGP. Пусть в SPE1 имеется VRF-маршрутный список VRF1, соответствующий Сайту 1. VRF1 список содержит маршруты всех сайтов, принадлежащих той же VPN, в которой находится Сайт 1. (В этом случае VRF1 содержит маршруты Сайта 2). Для того чтобы сократить маршруты на UPEs, SPE1 конвергирует маршруты списка VRF1. (Как исключение SPE1 конвергирует эти маршруты как некоторый маршрут по умолчанию, который принадлежит VRF1 и называется VRF маршрутом по умолчанию). SPE1 генерирует маршрут по умолчанию для каждой VRF записи и присваивает им различные внутренние метки. Затем SPE1 посылает эти маршруты по умолчанию в UPE устройства с помощью протокола МР-BGP. UPE- и СЕ1 устройства обмениваются IPv4 маршрутами через статические маршруты в соответствии с протоколами IGP, BGP. В самом простом случае СЕ1 связывается с UPEs через маршруты по умолчанию.

Когда сообщение поступает на UPE устройство, UPE находит VRF маршрут по умолчанию, соответствующий VRF записи для СЕ1, извлекает из стека внутреннюю метку и направляет сообщение в SPE1 устройство. SPE1 считывает метку, находит в VRF список маршрутов, соответствующий этой метке, и после отыскания соответствующего маршрута направляет этот поток в соответствии с протоколом BGP/MPLS VPN, извлекает из стека внутренние/внешние метки и передает их.

Фиг.4 иллюстрирует поток данных и контрольный поток из Сайта 1 в Сайт 2 на фиг.3.

Адрес назначения маршрута R в Сайте 1 передается в UPE по стационарному маршруту протоколов IGP, BGP. UPE назначает ему внутреннюю метку и передает эту метку как VPN-маршрут в SPE1 через протокол MP-BGP. SPE1 заменяет эту метку (так как эта метка имеет лишь локальное действие) и затем назначает VPN маршрут (с новой меткой) в РЕ2 в соответствии с протоколом MP-IBGP. PE2 запоминает этот маршрут как IPv4 маршрут и передает IPv4 маршрут в СЕ2.

При передаче сообщения PE2 извлекает из стека внутренние/внешние метки сообщения из СЕ2 и направляет это сообщение в SPE1 через MPLS сеть. SPE1 вместо назначения внутренней метки выполняет SWAP-преобразование сообщения. Затем он направляет сообщение (с некоторой меткой) в UPE. Эту метку маршруту присваивает UPE. Затем UPE вставляет внутреннюю метку в стек и направляет ее а СЕ1.

Заметим, что обмен маршрутами и данными между UPEs и SPEs, асимметричен. В то время как SPEs назначают в UPEs только конвергентные VPN маршруты (даже VRF маршруты по умолчанию), в SPEs должны быть назначены все VPN маршруты UPEs. Для сообщений, посланных из UPEs в SPEs, должны быть назначены метки и должен быть найден VRF список переадресаций; для сообщений же, посланных из SPEs в UPEs, необходима лишь передача метки.

На фиг.2 в качестве протокола MP-BGP между SPE и UPE могут быть использованы как внутренний MP-IBGP, так и внешний MP-EBGP протоколы, в зависимости от того, управляются ли SPEs и UPEs одним и тем же оператором или нет. Если они управляются одним оператором, используется внутренний протокол MP-IBGP, и SPE служит для UPEs в отличие от других PEs отражателем маршрутов. Для того чтобы исключить маршруты из других PEs, которые не принадлежат сайтам, подключенным к PEs в VPNs, SPEs должны генерировать глобальный список целей импортируемых маршрутов IRTL для того, чтобы отфильтровать маршруты, посланные из других PEs, в соответствии с каталогом IRTL списков всех VRFs для UPEs. Этот глобальный список может генерироваться динамически на основании обмена информацией между SPEs и UPEs или формироваться статистически.

Для динамической генерации указанного глобального списка UPE направляет в SPE часть информации фильтра отправляемых маршрутов ORF через обновленное маршрутное сообщение протокола BGP. Эта ORF-информация содержит расширенную группу списков, включающую IRTL списки всех VRFs. Для создания глобального списка SPE объединяет (консолидирует) все расширенные группы списков из UPEs. Алгоритм генерации статического списка идентичен алгоритму генерации динамического списка.

Если SPEs и UPEs обслуживаются различными операторами, между ними будет функционировать протокол MP-EBGP. В этом случае в SPEs так же должен генерироваться глобальный IRTL список. Обычно UPEs используют автономную систему индексов, эти системные индексы должны опускаться, когда SPE назначает маршруты в другие PEs.

Допускается подключение SPEs к одним UPEs через протокол MP-IBGP и к другим UPEs через протокол MP-EBGP.

Маршруты по умолчанию, направляемые из SPEs в UPEs, могут генерироваться динамически или формироваться статистически. Для VRFs, соответствующих всем сайтам, подключенным к НоРЕ элементам, VRF-маршруты по умолчанию должны генерироваться динамически и назначаться ко всем UPEs. При таких назначениях может осуществляться фильтрация маршрутов в соответствии с полученной ORF-информацией.

SPEs и UPEs могут быть соединены друг с другом интерфейсами или суб-интерфейсами любого типа или туннельными интерфейсами. Если такие соединения выполняются с помощью туннельных интерфейсов, между SPEs и UPEs могут располагаться IP- или MPLS-сети. В этом случае, так как SPEs и UPEs являются выходами MP-BGP-системы, маршруты могут прокладываться непосредственно между UPEs и SPEs, без специальной обработки. При передаче сообщения (с метками) из UPEs или из SPEs передаются через туннель. Если таким туннелем является GRE-туннель, он должен поддерживать (обеспечивать) формирование пакета данных для MPLS-сообщений; если туннелем является LSP-туннель, промежуточная сеть должна быть MPLS-сетью и на UPEs и SPEs должны работать такие протоколы как протокол распределения меток LDP/RSVP-TE.

В соответствии с настоящим изобретением, указанные НоРЕ устройства включают PEs устройства промежуточного уровня (MPEs) между UPEs и SPEs, иначе говоря, НоРЕ устройство может работать как UPE, может образовывать новое НоРЕ устройство с SPE, т.е. выполнять функции SPE, может образовывать новую иерархию НоРЕ с несколькими UPEs. Такие вложения могут быть бесконечными. Более того, SPE подключается к НоРЕ, чтобы выполнять функции UPE, и в то же время НоРЕ может подключаться к отдельным UPEs.

Возвратимся к представленному на фиг.5 схематическому изображению 3-уровневого НоРЕ устройства, в котором протокол MP-BGP функционирует как между SPEs и MPEs, так и между MPEs и UPEs. Если протокол MP-BGP является внутренним протоколом MP-IBGP, SPEs являются отражателями маршрутов для отдельных MPEs, и MPEs выполняют такую же функцию для отдельных UPEs. Протокол MP-BGP используется для того, чтобы назначить на UPEs все VPN-маршруты в SPEs и одновременно назначить на SPEs только VRF маршруты по умолчанию или конвергентные маршруты в UPEs. Таким образом, SPEs поддерживают VPN-маршруты для всех сайтов, доступных из НоРЕ, т.е. наибольшее количество маршрутов; MPEs поддерживают не все, но достаточно большое количество маршрутов, в то время как UPEs поддерживают только VPN-маршруты для сайтов, непосредственно с ними связанных. Такая архитектура позволяет согласовать характеристики используемых устройств и высокую степень наращиваемости сети.

VRF-маршруты по умолчанию, назначенные из SPEs, имеют метки, и эти метки должны быть заменены в MPEs и затем переданы в UPEs. Если МРЕ устройство сгенерировало по умолчанию некоторый маршрут для VRF сообщения, на МРЕ будет генерироваться и ILM.

Подобно двухуровневому НоРЕ устройству на фиг.2 SPEs должны генерировать глобальные списки адресов импортируемых маршрутов GIRTL для UPEs для того, чтобы отфильтровать посторонние VPN маршруты. Более подробно МРЕ генерирует GIRTL список в соответствии с набором списков адресов импортируемых маршрутов всех VRF сообщений на UPEs. SPE генерирует свой глобальный список адресов импортируемых маршрутов в соответствии с глобальными списками отдельных MPEs. Эта генерация может быть динамической или статической. В динамическом варианте. MPEs должны направлять списки адресов импортируемых маршрутов, полученные из UPEs, через ORF информацию в SPEs.

Если некоторое сообщение поступает в UPE устройство из локального VPN-сайта, это UPE отыскивает в соответствующем VRF списке маршрут по умолчанию, извлекает из стека метку и направляет это сообщение в МРЕ. МРЕ устройство вставляет эту метку в стек, находит в соответствующем VRF списке маршрутов маршрут по умолчанию и затем направляет сообщение в SPE. SPE вставляет метку в стек, находит в VRF список, извлекает из стека внутренние/внешние метки и направляет это сообщение в соответствии с обычным для протокола BGP/MPLS VPN алгоритмом направления потока.

Если некоторое сообщение из удаленного сайта поступает через MPLS на SPE, поскольку МРЕ устройство уже присвоило некоторую внутреннюю метку адресату назначения, SPE выполняет SWAP-преобразование этой внутренней метки и направляет сообщение в МРЕ. Аналогично, так как UPE уже сгенерировало внутреннюю метку для адресата, МРЕ включает метку в стек и направляет сообщение в локальный сайт.

В соответствии с настоящим изобретением, UPE устройство может быть подключено к нескольким SPEs. В этом случае несколько SPEs назначат по умолчанию VRF-маршруты в этот UPE. UPE выбирает из них один как предпочтительный или выбирает несколько маршрутов для того, чтобы распределить нагрузку. В противоположность этому, когда UPE направляет VPN-маршруты в несколько SPEs, оно может направить все маршруты во все SPEs или направить отдельные VPN-маршруты в каждый SPE.

Для того чтобы обеспечить непосредственную связь между сайтами, подключенными к UPEs без помощи SPEs, между двумя UPEs может быть установлена связь типа «черного хода».

Два UPEs могут быть подключены к одному или к различным SPE устройствам.

UPEs направляют все свои собственные VPN-маршруты друг другу через протокол MP-BGP. Если при этом используется протокол MP-IBGP, противоположное UPE устройство не должно быть конфигурировано как отражатель маршрута. В этом случае UPEs функционально идентичны обычным PEs. Между указанными UPEs может даже существовать некоторая сеть. Сообщения направляются в туннель (такой как GRE или LSP), и требуется лишь один туннель.

В одном случае SPE подключается к двум UPE устройствам (UPE1 и UPE2), эти два UPEs подключаются к двум сайтам (Сайт 1 и Сайт 2), принадлежащим одной и той же VPN, и эти два сайта могут сообщаться друг с другом через данное SPE. В этом случае передаваемый поток описывается как последовательность. После того как сообщение из Сайта 1 попадает в UPE1, UPE1 направляет это сообщение в SPE в соответствии с маршрутом по умолчанию из VRF1 сообщения. SPE включает метку в стек, находит в VRF список маршрутов, извлекает внутреннюю метку, назначенную в UPE2 для адреса назначения, и направляет в UPE2. Затем UPE2 включает метку в стек и направляет в Сайт 2.

В другом случае SPE подключается к СЕ и UPE, которые подключены соответственно к двум сайтам (СЕ: Site 1, UPE: Site 2), принадлежащим одной VPN сети. В этом случае Сайт 1 и Сайт 2 сообщаются друг с другом через SPE и передаваемый поток описывается как последовательность. Когда сообщение (без метки) из Сайта 1 попадает через СЕ в SPE, SPE находит в VRF маршрутный список, извлекает метку, назначенную для UPE, и направляет в UPE. UPE включает метку в стек и направляет в Сайт 2. Когда сообщение из Сайта 2 попадает в UPE, оно попадает в SPE в соответствии с маршрутом по умолчанию. SPE вставляет метку в стек, находит в VRF маршрутный список и направляет сообщение как IP сообщение в СЕ.

Приведенное описание соответствует протоколу BGP/MPLS VPN. Существует много способов реализации 3-уровневого провайдера РР VPN. Например, туннельный протокол MPLS может быть замещен протоколом формирования маршрутов GRE, протоколом IP защиты и другими подобными протоколами. VPN сеть и распределяющий метки протокол MP-BGP могут быть заменены протоколом LDP и другими подобными протоколами. Настоящее изобретение пригодно для всех указанных случаев.

Используемые в описании сокращенные обозначения:

1. РР VPN (Provider Provide VPN) - провайдер, обслуживающий виртуальную сеть.

2. BGP/MPLS VPN (Multi Protocol Label Switch based on Switch Border Gateway Protocol) - сеть с мультипротокольным переключателем меток, основанная на протоколе коммутации межсетевого интерфейса.

3. MPLS (Multi Protocol Label Switch) - мульти-протокольный переключатель меток.

4. BGP (Border Gateway Protocol) - протокол коммутации межсетевого интерфейса.

5. Р (Provider Router) - маршрутизаторов провайдера.

6. РЕ (Provider Edge Router) - концевой маршрутизатор провайдера.

7. СЕ (Custom Edge Router) - концевой маршрутизатор сети.

8. VRF (VPN routing/forwarding instance) - таблица (запись) ″маршрут/адрес" сети.

9. НоРЕ (hierarchy of PE devices) - иерархические РЕ устройства (иерархия РЕ).

10. UPE (understratum РЕ) - РЕ устройство нижнего уровня и верхнего уровня

11. SPE (Superior PE) - РЕ устройство верхнего уровня.

12. МРЕ (Middle-level РЕ) - РЕ устройство промежуточного уровня.

13.MP-BGP (Multi Protocol-Border Gateway Protocol)

14. MP-IBGP (Multi Protocol-Internal Border Gateway Protocol) - внутренний протокол.

15. MP-EBGP (Multi Protocol-External Border Gateway Protocol) - внешний протокол.

16. IRTL (Import Route-Target List) - импортируемый список «маршрут-цель».

17. ORF (Outbound Route Filter) - фильтр отправляемых маршрутов.

18. RD (Route Distinguisher) - отличительный признак маршрута.

19. RT ( Rote Target) - цель (назначение) маршрута.

20. ЕТ (Export Target) - цель (адрес назначения) из сайта.

21. IT (Import Target) - цель (адрес назначения) в сайт.

22. RR (Route Reflector) - отражатель маршрута.

23. GRE (General Route Encapsulation Protocol) - протокол формирования маршрутов.

24. LSP (Labels-Switching Path) - протокол переключения меток.

1. Трехуровневая виртуальная сеть (Virtual Private Network), (VPN) включающая маршрутизатор провайдера (Provider Router) (P) и концевой маршрутизатор провайдера (Provider Edge Router) (РЕ) в основной сети; множество сайтов и пользовательские концевые маршрутизаторы (Customer's Edge) (СЕ) в пользовательских VPN, отличающаяся тем, что

указанная VPN дополнительно включает иерархическое устройство (Hierarchy of РЕ) (НоРЕ), которое связано с устройство Р в основной сети и с сайтами и устройствами СЕ в сетях VPN и служит концевым маршрутизатором в основной сети;

НоРЕ включает концевой маршрутизатор нижнего уровня (Understrarum РЕ) (UPE) и концевой маршрутизатор верхнего уровня (Superior РЕ) (SPE), которые связаны друг с другом;

UPE используют для поддержания маршрутов сайтов VPN, подключенных непосредственно к данному UPE, для распределения внутренних меток для маршрутов сайтов VPN, для назначения меток в SPE через VPN маршруты;

SPE используют для поддержания всех маршрутов в тех VPN, в которых сайты соединены друг с другом через UPE, для назначения маршрутов по умолчанию VRF (VPN Routing/Forwarding instance) или альтернативных VRF маршрутов в UPE с метками перемещения;

связь между UPE и SPE и между соответствующими UPE устройствами осуществляют через интерфейсы или суб-интерфейсы, причем сообщение между этими устройствами передают с использованием меток.

2. Трехуровневая VPN по п.1, отличающаяся тем, что она дополнительно включает между UPE и SPE концевые маршрутизаторы промежуточного уровня (Middle-level РЕ) (МРЕ);

при этом МРЕ устройства используют для поддержания всех маршрутов в VPN, в которой сайты связаны друг с другом через UPE, для назначения маршрутов по умолчанию VRF или альтернативных маршрутов в UPE;

устройства МРЕ заменяют метки, связанные с VRF маршрутами, вышедшими из SPE, и формируют маршруты в UPE;

МРЕ устройства генерируют таблицу входящих меток (Incoming Label Map) (ILM), если один из МРЕ сформировал маршрут по умолчанию для VFR.

3. Способ построения трехуровневой VPN, включающий размещение НоРЕ в основной сети, отличающийся тем, что

НоРЕ подключают к устройству Р в основной сети, к сайтам и устройствам СЕ пользовательских сетей, так что НоРЕ служит концевым маршрутизатором в основной сети и включает связанные друг с другом UPE и SPE;

UPE используют для поддержания маршрутов сайтов VPN, подключенных непосредственно к UPE, для распределения внутренних меток для маршрутов сайтов VPN и для назначения меток VPN маршрутам в SPE;

SPE используют для поддержания всех маршрутов в тех VPN, в которых сайты соединены друг с другом через UPE, для назначения VRF маршрутов по умолчанию или альтернативных VRF маршрутов в UPE с использованием меток перемещения;

UPE связывают с SPE через интерфейс или суб-интерфейс, а сообщения между ними передаются в использованием меток.

4. Способ построения трехуровневой VPN по п.3, включающий дополнительное размещение между UPE и SPE нескольких МРЕ устройств промежуточного уровня (Middle-level РЕ), отличающийся тем, что

МРЕ используют для поддержания всех маршрутов в VPN, в которой сайты соединяются друг с другом через UPE, для назначения VRF маршрутов по умолчанию и альтернативных маршрутов в UPE;

устройства МРЕ заменяют метки, связанные с VRF маршрутам, заданными SPE, и формируют маршрут в UPE, при формировании одним из устройств МРЕ VRF маршрута по умолчанию, в VPE генерируется ILM.

5. Способ построения трехуровневой VPN по п.4, отличающийся тем, что мультипротокол - пограничный шлюзовый протокол (Multi Protocol-Border Gateway Pritocol) (MP-BGP) используют для обмена сообщениями между SPE и МРЕ устройствами, а также между устройствами UPE, связанными друг с другом.

6. Способ построения трехуровневой VPN по п.4, отличающийся тем, что протокол MP-BGP реализуют как мультипротокол - Внутренний шлюзовой протокол (Multi Protocol-Internal Border Gateway Protocol) (MP-IBGP) при обслуживании устройств SPE, МРЕ и UPE одним и тем же оператором, а при обслуживании устройств SPE, МРЕ и UPE различными операторами протокол MP-BGP реализуют как мультипротокол - Внешний шлюзовой протокол (Multi Protocol-External Border Gateway Protocol) (MP-EBGP).

7. Способ построения трехуровневой VPN по одному из пп.3-6, отличающийся тем, что устройство SPE, входящее в НоРЕ, генерирует глобальный маршрутный список для фильтрации маршрутов из других РЕ устройств в соответствии с набором импортируемых маршрутных списков всех VRF служб UPE устройства, подключенному к данному SPE.

8. Способ построения трехуровневой VPN по п.7, отличающийся тем, что глобальный маршрутный список генерируют динамически в соответствии с обменом информацией между SPE и UPE, и процесс динамической генерации дополнительно включает передачу сообщения фильтра исходящих маршрутов (Outbound Route Filter) (ORE) от UPE к SPE, подключенному к UPE посредством BGP через обновленное сообщение о маршруте; при этом ORF содержит расширенный маршрутный список, который включает маршрутные списки всех VRF данного UPE, и SPE генерирует глобальный список, преобразуя расширенный список всех UPE, подключенных к данному SPE.

9. Способ построения трехуровневой VPN по п.8, отличающийся тем, что в НоРЕ несколько SPE, связанных с одним UPE, назначают VRF маршруты по умолчанию к указанному UPE, и UPE отбирает один из этих маршрутов как предпочтительный или выбирает несколько маршрутов для того, чтобы обеспечить распределение нагрузки; при этом, назначая VPN маршруты из UPE во множество SPE, UPE формирует все VPN маршруты во все SPE или формирует часть VPN маршрутов в каждый SPE для распределения нагрузки.

10. Способ построения трехуровневой VPN по п.9, отличающийся тем, что в НоРЕ любое из двух непосредственно связанных между собой UPE устройств формирует все VPN маршруты в другое UPE устройство так, чтобы обеспечить непосредственную коммуникацию сайтов, подключенных через эти два UPE.