[发明专利]用于在自治系统之间提供虚拟专用网络服务的方法

说明书

技术领域

本发明涉及虚拟专用网络(VPN)服务，具体来说，涉及在两个或更多自治系统(AS)之间提供VPN服务。

背景技术

虚拟专用网络(VPN)通常用于通过安全隧道在不受信任的(公共)主干网络上在受信任的各方或“站点”之间彼此进行连接。只有在有某种包含两个站点的VPN存在的情况下，这两个站点才能通过共同的主干网建立IP连接。不能共有VPN的两个站点不能在那个主干网上建立连接。如果VPN中的所有站点都被同一个企业拥有，则该VPN可以被视为公司“内部网”。如果VPN中的各个站点被不同的企业拥有，则该VPN可以被视为“外部网”。一个站点可以位于多个VPN上；例如，位于一个内部网上和多个外部网上。一般而言，当我们使用术语“VPN”时，我们将不会区别内部网和外部网。站点的所有者常常被称为“客户”。主干网的所有者/运营商常常被称为“服务提供商”(SP)。客户从SP获取“VPN服务”。客户可以是单个企业、一组企业、因特网服务提供商、应用程序服务提供商、向其自己的客户提供相同类型的VPN服务的另一个SP等等。

安全性和管理考虑可以使将大型网络细分为需要尽可能少地彼此了解的多个网络部分变得十分有利。在这些网络部分由不同的服务提供商进行管理的情况下，这一点特别重要。这些网络部分常常被称为“自治系统(AS)”。自治系统对应于诸如大学、公司、主干网络等等之类的管理域。

因特网工程任务组(IETF)定义了允许服务提供商向他们的客户提供虚拟专用网络(“VPN”)服务的概念。每一个VPN站点必须包含一个或多个客户边缘(CE)路由器。每一个CE路由器都通过某种连接电路连接到一个或多个提供商边缘(PE)路由器。CE路由器在逻辑上是客户的VPN的组成部分，而PE和P路由器在逻辑上是SP的网络的组成部分。当从CE传输到PE时数据包所经过的连接电路被称为该数据包的“进入连接电路”，PE被称为数据包的“进入PE”。当从PE传输到CE时数据包所经过的连接电路被称为该数据包的“外出连接电路”，PE被称为数据包的“外出PE”。如果一个PE路由器连接到CE路由器，而该CE路由器位于一个特定VPN的一个站点上，则我们将说，该PE路由器连接到该特定VPN。类似地，如果一个PE路由器连接到CE路由器，而该CE路由器位于一个站点上，则我们将说，该PE路由器连接到该特定站点。当CE路由器是路由器时，它是它所连接到的PE的路由对等方，而不是位于其他站点上的CE路由器的路由对等方。位于不同站点上的路由器不直接彼此交换路由信息；事实上，它们甚至根本彼此不需要认识。结果，客户没有主干网或“虚拟主干网”需要管理，不必处理任何站点之间的路由问题。每一个PE路由器都维护许多单独的转发表，包括VPN路由和转发表(VRF)。每个PE-CE连接电路都通过配置与一个或多个VRF关联。与VRF关联的连接电路被称为“VRF连接电路”。在最简单和最典型的情况下，PE-CE连接电路正好与一个VRF关联。当通过特定连接电路接收IP数据包时，在关联的VRF中查询其目标IP地址。该查询的结果确定如何路由数据包。由用于路由特定数据包的数据包的进入PE使用的VRF被称为该数据包的“进入VRF”。数据包的“外出VRF”位于数据包的外出PE。

自治系统AS具有用于连接到其他自治系统的自治系统边界路由器。边界网关协议(“BGP”)被用来跨提供商的IP(因特网协议)主干网络分布客户的路由，而多协议标记切换(“MPLS”)被用来跨提供商的主干网通过隧道传输客户的数据包。这被称为“BGP/MPLSIP VPN”。具体来说，如果VPN的两个站点连接到位于同一个自治系统中的PE，则PE可以通过它们之间的IBGP连接在彼此之间分布VPN-IPv4路由。术语“IBGP”是指当在同一个自治系统中的两个BGP说话者之间存在BGP连接时使用的一组协议和过程。它与“EBGP”不同，后者是在不同的自治系统中的两个BGP说话者之间使用的一组过程。或者，每一个都可以具有与路由反射器[BGP-RR]的IBGP连接。正如下面参考图3所描述的，在同一个AS内两个路由器之间使用MP-iBGP，在不同的AS系统中的路由器之间使用MP-eBGP。