[发明专利]访问虚拟专用网的方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种访问虚拟专用网的方法和装置。

背景技术

VPN（Virtual Private Network，虚拟专用网）是在公众网络上建立的虚拟的专用网络，它具有与专用网络同样卓越的安全性、可靠性和易管理性。随着VPN的发展，出现了MPLS（Multi-protocol Label Switching，多协议标签交换）VPN。在MPLS VPN模型中，把路由器分为三类：CE（Customer Edge Router,用户边缘路由器）、PE（Provider Edge Router，运营商边缘路由器）和P（Provider Router，运营商骨干路由器），其中CE是用户网络的一个组成部分，有接口直接与运营商骨干网网络中的PE相连，CE感知不到VPN的存在，也不需要维护VPN的整个路由信息；PE是运营商边缘设备，与用户的CE以及运营商骨干网中的P相连，负责VPN业务接入；P负责快速转发数据，不与CE直接相连。在MPLSVPN网络中，根据PE设备是否参与VPN路由处理又细分为二层VPN和三层VPN，一般而言，MPLS/BGP（Border Gateway Protocol，边界网关协议）VPN指的是三层VPN。

为了实现路由隔离和信息隔离，MPLS/BGP VPN中使用了VRF(VPN Routing&Forwarding Instance，虚拟路由转发实例）和LSP（Label Switching Path，标记交换路径）。在PE上存在有多个VRF表，这些VRF表是和PE上的一个或多个子接口相对应的，用于存放这些子接口所属VPN的路由信息。PE向CE转发报文时，由始发的VPN打上标记，这样PE在接收报文时可以根据这个标记进行转发。每个PE可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由表），多个VRF相互分离独立。各VRF和全局路由表之间的关系是通过在VRF中定义和VPN有关的参数RT（Route Target，路由目标）实现的。

RT本质是每个VRF表达自己的路由取舍及喜好的方式，主要用于控制VPN路由的发布和安装策略。它分为输入路由目标(import RT)和输出路由目标（export RT）两种属性，前者表示愿意接收什么属性的路由，而后者表示发出路由的属性。当PE发布路由时，设置路由所属VRF的输出路由目标属性值，直接发送给其他的PE设备，对端PE接收路由时，首先接收所有的路由，并根据自身的每个VRF设置的输入路由目标属性进行检查，如果与接收的路由中的输出路由目标属性值相一致，则将该路由传输给相应的用户设备。如此，每个用户设备只能对与各自VRF RT属性相同的VPN进行访问，实现了路由隔离和信息隔离。这种实现方案有一种局限性，由于VRF RT属性的限制，用户设备只能对一个与VRF RT属性相匹配的VPN进行访问。

为了实现用户设备能够对多个不同的VPN进行访问，现有技术中采取的方案是：为与用户设备相连的CE配置多个VRF的输入路由目标属性值，使该输入路由目标属性值与用户设备想要访问的多个VPN的VRF输出路由目标属性值相对应；用户设备根据配置的VRF的输入路由目标属性值来访问多个对应的VPN，接收想要访问的VPN的路由，从而实现对多个VPN的访问。

现有技术中至少存在如下问题：上述方案中，虽然用户设备能够对多个VPN进行访问，但是用户设备在访问时可以同时接收到多个VPN的路由信息，不能满足路由隔离和信息隔离的要求。

发明内容

本发明的实施例提供一种访问虚拟专用网的方法和装置，解决了当用户设备对多个不相同的VPN进行访问，不能满足各VPN之间路由隔离和信息隔离要求的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种访问虚拟专用网的方法，包括：

根据用户的账户信息，确定所述用户需要访问的虚拟专用网VPN；

向运营商边缘路由器PE发送配置报文，所述配置报文包括扩展字段，所述扩展字段中包括与所述VPN对应的虚拟路由转发实例VRF属性值；

接收所述PE发送的确认消息，所述确认消息为所述PE根据所述配置报文完成相应配置后发送；

向所述VPN发送业务报文，访问所述VPN。

第二方面，本发明的实施例提供一种访问虚拟专用网的方法，包括：

接收用户设备发送的配置报文；

解析所述配置报文中的虚拟路由转发实例VRF属性值；