本發明提供一種VPN報文轉發方法和裝置。所述方法包括：保存同一個VPN中不同的路由組對應的隧道轉發策略，所述路由組根據路由屬性設置而成；根據所述隧道轉發策略生成路由轉發表，所述路由轉發表中包括路由屬性和轉發路徑的對應關系；接收到用戶網絡邊緣CE設備發送的用戶報文后，查找所述路由轉發表，將所述用戶報文通過其路由屬性對應的轉發路徑進行轉發。通過本發明的技術方案實現同一個VPN中，不同的用戶報文可以走不同的路徑進行轉發，滿足了用戶對組網的需求。

技術領域

本發明涉及通信技術領域，尤其涉及一種VPN(Virtual Private Network，虛擬專用網)網絡中的報文轉發方法和裝置。

背景技術

通過VPN技術，可以在公用網絡上建立專用網絡，并進行加密通信。由于VPN技術具有成本低、易于使用等諸多優點，故在企業網絡中有著廣泛的應用。

請參考圖1所示的VPN網絡組網結構示意圖。其中，涉及的相關術語有：

CE(Customer Edge，用戶網絡邊緣設備)：通過接口與服務提供商邊緣設備相連。CE可以是二層接入設備，也可以是一臺主機。CE“感知”不到VPN的存在。

PE(Provider Edge，服務提供商邊緣設備)：服務提供商網絡的邊緣設備，與用戶的CE直接相連。在VPN網絡中，對VPN的所有處理都發生在PE上。

在圖1所示的組網結構中，可以在PE1和PE2上配置相同的VPN，比如：VPN1，CE1和CE2通過VPN1分別連接到PE1和PE2上，使得從CE1發送到CE2的用戶報文在VPN1內進行轉發。

請進一步參考圖1，從CE1發送到CE2的用戶報文可以通過路徑1：PE1—>PE3—>PE2到達CE2，也可以通過路徑2：PE1—>PE2到達CE2。PE1會根據配置的隧道轉發策略來轉發CE1發送到CE2的用戶報文，如果管理人員配置的隧道轉發策略是通過路徑1進行轉發，那么從CE1發送到CE2的用戶報文都會從路徑1進行轉發。只有在路徑1和路徑2是等價路徑時，才會根據配置選擇路徑1或路徑2進行轉發。

但是在實際應用中，路徑1和路徑2的帶寬、時延和穩定性等屬性可能不一樣，從CE1發送到CE2的用戶報文的重要性也不一樣，無法根據用戶報文不同的屬性走不同的路徑。比如：路徑1帶寬較大、穩定性相對較差，而路徑2帶寬較小、穩定性較好、且時延比較小，那么對于對實時性、穩定性要求高的用戶報文最理想的是走路徑2進行轉發，而其他報文走路徑1進行轉發即可。為了實現這樣的功能，在目前的技術中，通常使用的解決方案是通過設置ACL(Access Control List，訪問控制列表)規則來實現，配置較為復雜且浪費ACL資源。

發明內容

本發明提供一種VPN報文轉發的方法和裝置。通過本發明，可以實現同一VPN內的報文可以走不同的轉發路徑。

具體地，本發明是通過如下技術方案實現的：

一種VPN網絡的報文轉發方法，應用在服務提供商網絡邊緣PE設備上，所述方法包括：

保存同一個虛擬專用網VPN中不同的路由組對應的隧道轉發策略，所述路由組根據路由屬性設置而成；

根據所述隧道轉發策略生成路由轉發表，所述路由轉發表中包括路由屬性和轉發路徑的對應關系；

接收到用戶網絡邊緣CE設備發送的用戶報文后，查找所述路由轉發表，將所述用戶報文通過其路由屬性對應的轉發路徑進行轉發。

進一步地，所述路由屬性包括：VPN的ID、對應該VPN中的源IP地址網段和/或目的IP地址網段。

進一步地，所述隧道轉發策略包括：TE隧道轉發策略、LSP隧道轉發策略或GRE隧道轉發策略。