[发明专利]连接内层和外层MPLS标签

说明书

技术领域

本发明涉及连接内层和外层MPLS标签，并且特别地，但不限于，涉及在数据库中连接内层和外层MPLS标签以排除恶意分组的方法。

背景技术

本部分内容介绍可有助于更好理解本发明的方面。相应地，本部分内容的陈述是为了从这个角度来理解，而不应理解为承认关于什么是现有技术或者什么不是现有技术。

在电信领域，多协议标签交换(MPLS)指的是用于在网络中的电信网络设备单元之间携带数据的系统和方法。在其它实例中，这样的网络设备单元包括路由器和交换机，特别是执行标签边缘路由和标签交换路由功能的网络设备。

在IETF技术文档RFC-3031和RFC-3032中全面地描述了多协议标签交换功能。多协议标签交换可以被认为是运行在OSI模型层中的第二层(数据链路层)和第三层(网络层)之间的协议。因此，它用作提供统一的数据承载服务，这样的服务可以承载许多不同种类的业务，所述业务包括本地ATM(异步传输模式)、SONET、以及以太网帧和IP分组。

MPLS网络中的数据分组以MPLS报头为前缀，所述报头包含一个或多个标签。这就是所谓的标签栈并用于在关联的数据分组穿越MPLS网络时交换这些数据分组，而不是在例如互联网协议(IP)路由表中的查找。

分组通过标签边缘路由器(LER)进入和离开MPLS网络。标签边缘路由器在进入的分组进入网络时将MPLS标签推到进入的分组上，并且在外出的分组离开网络时将外出分组的MPLS标签弹出。

在MPLS网络内部是仅根据MPLS标签来执行路由的路由器，并且这些路由器被表示为标签交换路由器(LSR)。在某些应用中，到达LER的分组可能已经具有MPLS标签，并且在这种情况下LER可以将第二标签推到分组上。使用第二标签的两个服务实例是虚拟专用局域网业务(VPLS)和三层虚拟专用网(L3-VPN)。从在后描述中可以容易地看到，其他的业务也可以使用分组上的第二标签。

L3-VPN使用两级MPLS标签，其中内层标签携带从LER到LER的VPN特定信息。外层标签携带逐跳(hop-by-hop)的MPLS转发信息。MPLS网络中的LSR在分组通过网络传递时只读取和交换外层标签。它们不读取内层VPN标签或者根据内层VPN标签采取动作，并且内层VPN标签信息以隧道的方式经网络传送。

在L3-VPN中，LER和LSR路由器为IP路由对等体。LER路由器将在其后面的用户专用网络的路由信息提供给LSR。LSR路由器将专用路由信息存储在虚拟路由转发表(VRF)中；每个VRF实质上是专用IP网络。LSR路由器为每个VPN维护独立的VRF表，因此提供适当的隔离和安全性。VPN用户只能接入相同VPN中的站点和主机。除了VRF表之外，LSR路由器也存储其在公共互联网上发送业务所需的正常路由信息。

虚拟专用局域网业务(VPLS)是一种在IP/MPLS网络上提供基于以太网的多点到多点通信的方式，其通过伪线将站点连接起来从而允许地理上分散的站点共享以太网广播域。

在VPLS中，每个站点上的局域网(LAN)被扩展到运营商网络的边缘。然后，运营商网络仿真交换机或者网桥来连接所有的用户局域网以建立单个桥接局域网。

使用LDP，运营商网络中的每个LSR路由器必须被配置为加入特定的VPLS，另外还被给予加入相同VPLS的其它LSR的地址。接着，在这些LSR之间建立LDP会话的全网状网(full mesh)。然后，使用LDP创建这些LSR之间伪线的等价网状网。

VPLS MPLS分组具有两层标签栈。外层标签用来在业务提供商网络中的正常MPLS转发。如果使用边界网关协议(BGP)来建立VPLS，内层标签由LSR作为标签块的一部分进行分配。如果使用LDP，内层标签为当LDP第一次在参与的LSR之间建立网状网时分配由LDP分配的虚拟电路标ID。每一个LSR明了分配的内层标签，并将这些标签与VPLS实例相关联。

适当的安全性(以及是否为匹配另一个VPN上的内层标签的一个VPN上的内层标签提供支持的适当功能)要求应当仅在到达具有适当的外层标签的LER时才处理内层标签。

普遍地，接收L3-VPN或者VPLS分组的LER处理外层标签和内层标签，并不考虑外层标签和内层标签是否相关联。移除外层标签并且独立于外层标签来处理内层标签。这种处理的结果是，通过选择合适的外层标签可以将恶意分组发送到远端VLAN。

明显地，允许标记进入远端VLAN的恶意分组是这些协议的不利方面。

发明内容