[发明专利]虚拟专用网络系统及其数据处理方法

说明书

技术领域

本发明涉及一种虚拟专用网络系统及其数据处理方法，特别是指IP网络中的虚拟专用网络系统及其数据处理方法。

背景技术

虚拟专用网络(Virtual Private Network，以下简称：VPN)技术是指在一个物理网络上通过相关技术划分出多个逻辑网络，这些逻辑网络之间彼此隔离，互不可见，每个用户使用一个逻辑网络。这样就为每个用户建立了一条相对安全的信息访问通道。

目前的IP网络使用多协议标记交换(Multi-Protocol Label Switching，以下简称：MPLS)实现VPN。如图1所示，首先在第一服务提供者边界路由器(Provider Edge，以下简称：PE)和第二PE所属的IP网络中启用MPLS功能，即第二PE采用逐跳分配标签的方式为从第一PE到第二PE的数据流分配一个标签：第二PE分配一个标签A给P2，P2分配一个标签B给P1，P1分配一个标签MPLSLabel1给第一PE。这样，第一PE向第二PE发送数据流时，第一PE对该数据流添加MPLS Label1，然后发送给P1；P1接收到携带MPLS Label1的数据流后，再对其增加标签B，然后发送给P2；P2接收到携带标签B的数据流后，再对其增加标签A并发送给第二PE。当在第一PE到第二PE之间建议一个MPLS VPN时，对于从第一PE到第二PE的数据流，首先第二PE为从第一PE到第二PE的MPLSVPN数据流分配一个标签MPLS Label2，以表示该数据流属于该VPN。PE1利用边界网关协议(Border Gateway Protocol，以下简称：BGP)将该标签发送给第一PE。这样在第一PE1属于该VPN，且目的地址为第二PE的数据流，从第一PE发送给P1时，要携带两层MPLS标签：最外层标签为MPLS Label1，用于能够正确地从第一PE到达第二PE；内层标签为MPLS Label2，用于在第二PE标识该数据包属于哪个VPN。

IP网络使用MPLS实现VPN时，网络中必须启用MPLS功能，对网络设备的要求较高，并且增加了运营成本。

发明内容

本发明的目的是针对现有技术的缺陷，提供一种虚拟专用网络系统及其数据处理方法，从而降低对网络设备的要求并减少运营成本。

为了实现上述目的，本发明提供了一种虚拟专用网络数据处理方法，该方法包括如下步骤：

第一服务提供者边界路由器接收到第一数据包，根据该第一数据包所属的虚拟专用网络查询该虚拟专用网络的虚拟路由转发表，在该虚拟路由转发表中根据第一数据包的目的IP地址确定该第二服务提供者边界路由器的IP地址，将该第一数据包封装上目的IP地址为该第二服务提供者边界路由器的IP地址的IP包头，并加入虚拟专用网络标识，构成第二数据包，将该第二数据包发送给该第二服务提供者边界路由器。

该第二服务提供者边界路由器接收到该第二数据包后，根据该第二数据包中的虚拟专用网络标识确定该第二数据包所属的虚拟专用网络，并进入该虚拟专用网络对应的虚拟路由转发表中进行路由查找，根据该路由查找结果转发第二数据包。

采用上述方法实现虚拟专用网络不需要在网络中启用MPLS协议，因此降低了对网络中设备的要求，同时减少了运营成本，并且在同一系统上，可以同时建立多个虚拟专用网络。

本发明还提出了一种虚拟专用网络系统，该系统包括：

第一服务提供者边界路由器，用于预先接收并保存第二服务提供者边界路由器发送的虚拟专用网络标识，在收到第一数据包并根据该第一数据包所属的虚拟专用网络进入该虚拟专用网络的虚拟路由转发表，在该虚拟路由转发表中根据第一数据包的目的IP地址确定该第二服务提供者边界路由器的IP地址，将该第一数据包封装上目的IP地址为该第二服务提供者边界路由器的IP地址的IP包头，并在加入该虚拟专用网络标识，构成第二数据包；

第二服务提供者边界路由器，与所述第一服务提供者边界路由器网络连接，用于在接收到所述第一服务提供者边界路由器发送的所述第二数据包后，根据该第二数据包中的虚拟专用网络标识确定该第二数据包所属的虚拟专用网络，并进入该虚拟专用网络对应的虚拟路由转发表中进行路由查找，根据该路由查找结果转发第二数据包。

采用上述系统实现虚拟专用网络，不需要在系统中启用MPLS协议，降低了对系统中设备的要求并减少了运营成本，网络结构简单，并且在同一系统上，可以同时建立多个虚拟专用网络。

附图说明

图1为现有IP网络使用多协议标记交换实现VPN的结构图；