[发明专利]一种转发报文的方法，装置及系统

说明书

本申请提供了一种L3VPN中转发报文的方法、装置和系统。该方法包括：在运营商边缘PE设备的VPN实例内配置策略路由，使得PE设备根据所述策略路由转发接收的报文。因此，本申请提供的报文转发方法能够引导报文通过拼接的L3VPN隧道通信，满足了跨越多个L3VPN隧道的通信需求。进而实现了租户对网络的访问控制，使得组网更加灵活。

技术领域

本申请涉及通信技术领域，尤其涉及一种转发报文的方法、装置及系统。

背景技术

VPN是运营商通过其公网向用户提供的虚拟专用网络(Virtual PrivateNetwork，VPN)，即在用户的角度，VPN是用户的一个专有网络。对于运营商来说，公网包括公共的骨干网和公共的运营商边界设备。地理上彼此分离的VPN成员站点通过用户边缘(Customer Edge，CE)设备连接到对应的运营商边缘(Provider Edge，PE)设备，通过运营商的公网组成客户的VPN网络。

三层VPN(Layer 3Virtual Private Network，L3VPN)应用于有L3需求的私网业务。L3VPN业务采用类似于传统路由的方式进行互联网协议(Internet Protocol，IP)分组的转发。在路由器接收到IP数据包后，在转发表中查找IP数据包的目的地址，使用预先建立的通道进行IP数据包的传送。

现有的L3VPN技术是一个虚拟网络的实现方案，L3VPN的信令协议是边界网关协议(Border Gateway Protocol，BGP)，PE设备之间是内部边界网关协议(Internal BorderGateway Protocol，IBGP)对等体(PEER)关系。为了防止路由黑洞，BGP协议规定，PE设备从一个IBGP对等体收到的路由不能再向另一个IBGP对等体发布。因此，PE设备只有自己IBGP对等体的路由，没有一跳之外的PE设备的路由。

对于采用L3VPN实现的用户的业务组网来说，如果业务节点之间通过L3VPN隧道通信，则没有建立直连L3VPN隧道的节点之间无法通信。

发明内容

本申请提供了一种L3VPN中转发报文的方法、装置和系统，能够满足跨越多个L3VPN隧道的节点之间的通信需求。

第一方面，本申请提供了一种L3VPN中转发报文的方法。该L3VPN包括第一网络设备、第二网络设备和第三网络设备，所述第一网络设备与所述第二网络设备之间建立第一L3VPN隧道，所述第二网络设备和所述第三网络设备之间建立第二L3VPN隧道。首先，该第一网络设备接收报文，然后根据接收所述报文的入接口以及所述报文的目的地址在与所述入接口绑定的VPN实例中查找与所述报文匹配的第一策略路由。所述第一策略路由用于指示到达所述报文的目的地址的下一跳为所述第二网络设备。查找到与所述报文匹配的所述第一策略路由后，根据所述第一策略路由的指示，该第一网络设备通过所述第一L3VPN隧道将所述报文发送给所述第二网络设备。其中，所述第二网络设备存储有到达所述报文的目的地址的转发表项，所述转发表项用于指示所述第二网络设备向所述第三网络设备转发所述报文，所述第二L3VPN隧道用于所述第二网络设备向所述第三网络设备发送所述报文。

结合第一方面，在第一方面的第一种可能的实现方式中，所述第一网络设备为PE设备，所述PE设备接收CE设备发送的所述报文。

结合第一方面，在第一方面的第二种可能的实现方式中，所述第一网络设备接收第四网络设备发送的所述报文。所述第四网络设备配置有第二策略路由，所述第二策略路由用于指示到达所述报文的目的地址的下一跳为所述第一网络设备。所述第四网络设备和所述第一网络设备之间建立有第三L3VPN隧道。所述第四网络设备通过所述第三L3VPN隧道向所述第一网络设备发送所述报文。

结合第一方面以及上述可能的方式，在第一方面的第三种可能的实现方式中，在所述第一网络设备接收所述报文之前，所述第一网络设备接收控制管理设备发送的配置消息。所述配置消息携带所述第一策略路由。所述第一网络设备，根据所述配置消息获取所述第一策略路由。