技術領域

本發明涉及通信領域，具體而言，尤其涉及一種虛擬私有網絡系統的構建方法及虛擬私有網絡系統。

背景技術

現有技術的虛擬私有網(Virtual?Private?Network，簡稱為VPN)，是利用公用網絡構建的私人專用網絡。它以其獨具特色的優勢贏得了越來越廣泛的應用，對于用戶使用VPN可以縮減費用，方便管理。對于運營商可以利用現有的基礎設施提供增值服務，可以擴大運營業務量同時也創造了新的商業機會。

現有技術的多協議標記交換協議(Multi-Protocol?Label?Switching，簡稱為MPLS)是一種將具有相同轉發處理方式的分組歸為一類(即轉發等價類，Forwarding?Equivalent?Class)的分類轉發技術。MPLS最初是用來提高路由器的轉發速度而提出的一個協議，但是由于MPLS在流量工程和VPN這兩個在目前IP網絡中非常關鍵的技術中的優越表現使得MPLS已日益成為擴大IP網絡規模的重要標準。MPLS協議的關鍵是引入了標簽(Label)交換概念，在MPLS網絡中，IP報文在進入第一個MPLS設備時MPLS邊緣路由器分析IP報文的內容并為這些IP報文選擇合適的標簽。以后就是依據這個標簽作為轉發依據在MPLS網絡中傳輸，當IP報文離開MPLS網絡時標簽被邊緣路由器分離。在MPLS網絡中將網絡設備分為邊緣網絡設備(PE)和核心網絡設備(P)，邊緣網絡設備提供流量分類和標簽映射，標簽移除的功能。核心網絡設備提供標簽交換和標簽分發功能。

在結合上述技術的MPLS?VPN網絡中，MPLS作為一種高效的IP骨干網技術平臺，為實現VPN提供了一種靈活的并且具有可擴展性的技術基礎。上述MPLS?VPN網絡可以由以下三種網絡設備組成：

(1)CE(Custom?Edge)用戶網絡中直接與服務提供商相連的邊緣設備；

(2)PE(Provider?Edge)骨干網中的邊緣設備，它直接與用戶的CE相連；

(3)P路由器(Provider?Router)骨干網中不與CE直接相連的設備。

圖1根據現有相關技術的MPLS?VPN網絡架構示意圖。如圖1所示的MPLS?VPN網絡是由骨干網與用戶的各個Site組成，VPN就是對site集合的劃分，一個VPN就對應一個由若干site組成的集合。MPLS?VPN網絡構造由服務提供商來完成，在這種網絡構造中，由服務提供商向用戶提供VPN服務，用戶感覺不到公網的存在，就好像擁有獨立的網絡資源一樣。所有的VPN的構建，連接和管理工作都是在PE上進行的。從PE的角度來看，用戶的一個連通的IP系統被視為一個site，每一個site通過CE與PE相連，site就構成了VPN的基本單元。一個VPN由多個site組成，一個site也可以同時屬于不同的VPN。對于任何兩個沒有共同的site的VPN都可以使用重疊的地址空間，即在用戶的私有網絡中使用自己獨立的地址空間，而不用考慮是否與其他VPN或公網的地址空間沖突，這就需要依賴于VPN路由轉發實例(VPN?Routing?&?Forwarding?Instance，簡稱為VRF)。

圖2是根據圖1所示實施例骨干網邊緣路由器中VPN路由轉發實例與各個VPN之間的關系示意圖。如圖2所示，VRF只存在于PE上，在PE上針對每一個site都創建一個與之對應的VRF，每個VRF都包括一張路由表，一張轉發表，一組使用這個VRF的接口集合以及一組與之相關的策略。VRF可以被看作是一個虛擬的路由器。有關MPLS?VPN的詳細描述見RFC?2547。

圖3是根據圖2所示實施例中的VPN路由發布的示意圖。采用RFC2547的方式使用BGP協議進行L3VPN路由的發布和學習。

PE學習到VRF中的路由后，添加上VRF的RD組成VPNv4路由。再構造路由的Route-target、標簽和其他屬性后，使用BGP的多協議擴展發送給BGP鄰居。鄰居接收后根據路由的Route-target屬性和VRF的Route-target配置的匹配情況，將路由發送到對應的VRF中。如圖3所示，具體的VPN路由發布流程如下：

PE1上接收到BGP的VPNv4路由的處理：

1、從VPNv4路由中解出相應的路由，并根據路由的route-target屬性，確定路由都要導出到哪些VRF中；

2、路由中攜帶的標簽L1，就是數據報文的內層標簽；

3、根據路由的下一跳信息，在標簽交換通道中查詢需要使用的標簽，就是標簽交換中的外層標簽；