[发明专利]一种三层VPN的接入方法和系统

说明书

技术领域

本发明涉及网络通信中的虚拟专用网(VPN)接入技术，尤其涉及一种三层VPN的接入方法和系统。

背景技术

虚拟专用网(VPN，Virtual Private Network)技术已经在数据通信领域广泛使用，运营商通过VPN技术为大型企业、中小型企业、政府、教育行业等提供专网业务。

当前普遍采用的VPN技术主要有两种，分别是二层VPN技术和三层VPN技术，二层VPN技术为用户提供二层的连接，三层VPN技术则提供三层的连接。二层VPN技术的安全性较高，且对运营商来说管理复杂度较低，但对于用户对自身虚拟网络的维护能力的要求也较高，其适用于有足够能力自己维护VPN内网络路由的专用客户，如金融和公安等。三层VPN技术适用于没有能力管理自己VPN内网络的中小型企业，运营商为客户维护虚拟主干网络，将客户的工作量减到最小，将客户的设备降低到最简单，同时出于安全考虑，还可以为客户提供Internet协议安全性(IP Sec)外包服务。因此，三层VPN技术的应用已经越来越普遍，不仅广泛应用于教育、交通、卫生、能源等行业，金融、政府、电信的行业的非核心业务也逐渐采用三层VPN技术部署网络。

目前的三层VPN技术主要应用在汇聚层或核心层，而随着网络规模的快速增长和网络安全威胁的日益严重，接入网络的可扩展性和安全性显得越发重要，传统的二层网络已经不能满足需求；如何解决接入网络的可扩展生、安全性及与汇聚网络的互通性，已经成为接入网络规划时要重点考虑的问题。另外，接入网络在各个历史时期所采用的接入线路的介质类型也多种多样，如何采用不同介质类型的接入线路组成VPN也是一个需要重点考虑的问题。

现有的解决方案是在接入网络中部署二层VPN业务，将二层VPN业务和三层VPN业务通过一台或两台运营商边缘(PE，Provider Edge)设备衔接。

如图1所示，为通过两台PE设备衔接的方式，即一台PE设备终结二层VPN，另一台PE设备发起三层VPN。这种方式需要的PE设备数量多，且两台PE设备之间线路的介质类型仍然需要与二层VPN的接入侧线路相同，这就要求三层VPN边缘的PE设备支持多种链路类型的接口，整体方案所需成本较大。

通过一台PE设备衔接的方式，即同一台PE设备终结二层VPN并发起三层VPN。这种方式又可以细分为两种，第一种是PE设备物理环回方式，如图2所示，该PE设备需要四个物理端口，第一个端口接收并终结二层VPN的报文，第二个端口将还原出来的二层报文发送出来，第三个端口接收该报文并去除该报文的二层信息，将三层信息封装进该报文并送入三层VPN，第四个端口将该重新封装后的报文向三层VPN内部传送。这种方式类似两台PE设备的情况，虽然节省了一台PE设备，但并没有节约物理端口数量，而且仍然需要支持各种介质类型的物理端口。

第二种是PE设备内部环回方式，如图3所示，该PE设备需要支持两个物理端口和两个逻辑端口，一个物理端口接收并终结二层VPN的报文，并通过一个二层逻辑端口(类似第一种方式的第二个端口)将还原出的二层报文发送给一个三层逻辑端口(类似第一种方式的第三个端口)，该三层逻辑端口接收该二层报文并去除该报文的二层信息，将三层信息封装进该报文并送入三层VPN，另一个物理端口(类似第一种方式的第四个端口)将该重新封装后的报文向三层VPN内部传送。第二种方式既节约了PE设备的数量，也节省了物理端口的数量，但存在的问题是：对两个逻辑端口的要求很高，二层逻辑端口需要支持二层报文的还原；三层逻辑端口需要支持对该报文二层信息的解封装，即设备内部仍然需要支持对各种介质物理网络对应的二层报文的解封装，对PE设备的处理能力要求仍然较高。

因此，现有技术在实现接入网络连接到汇聚/核心网络的三层VPN时，仍然存在接入网络的可扩展性较低，PE设备的复杂度较高等问题。

发明内容

有鉴于此，本发明的主要目的在于提供一种三层VPN的接入方法和系统，以提高接入网络的可扩展性，降低PE设备的复杂度。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种三层VPN的接入方法，接入网络通过IP伪线接入三层VPN，该方法包括：

在衔接所述三层VPN和接入网络的运营商边缘(PE)设备上，建立IP伪线与虚拟路由转发表(VRF)的映射关系，并根据所述映射关系进行报文转发。

所述根据映射关系进行IP伪线与三层VPN之间的报文转发，具体为：