用于在IP网络上实现L2VPN的方法和设备.pdf

《用于在IP网络上实现L2VPN的方法和设备.pdf》由会员分享，可在线阅读，更多相关《用于在IP网络上实现L2VPN的方法和设备.pdf（14页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102804693 A (43)申请公布日 2012.11.28 CN 102804693 A *CN102804693A* (21)申请号 201080028782.X (22)申请日 2010.06.23 12/492,548 2009.06.26 US H04L 12/28(2006.01) H04L 29/06(2006.01) (71)申请人 阿瓦雅公司 地址 美国新泽西州 (72)发明人 罗格勒普 莫尼诗俄纽姆拉 (74)专利代理机构 北京东方亿思知识产权代理 有限责任公司 11258 代理人 宋鹤 (54) 发明名称 用于在 IP 网络上实现 L2VPN。

2、 的方法和设备 (57) 摘要 基于 IETF RFC 4364/2547 的 MP-BGP VPN 基 础结构被用于在 IP 网络上配置第 2 层 VPN。用 于 VPN 的 VRF 在以太网交换机上被配置并且服务 IP 地址关联于每一个所配置的 VRF。服务 IP 地 址被交换以使得 VPN 流量能够被封装以用于在 IP 网络上传输。为了使得能够建立第 2 层 VPN， 将为第 2 层 VPN 配置 VPN-VLAN ID， 并且将在 VPN 中包括的每一个 VRF 和 UNI-VLAN 中设置用于 VPN-VLAN的输入/输出路由目标。 将使用MP-iBGP 与为该 VPN-VLAN 设。

3、置的输出路由目标来向所有 的 PE 宣告 VPN-VLAN。一旦在逻辑端口上得知了 VPN-VLAN， PE 将在该逻辑端口上执行 MAC 学习并 且将逻辑端口视为第 2 层 VLAN 的一部分。 (30)优先权数据 (85)PCT申请进入国家阶段日 2011.12.26 (86)PCT申请的申请数据 PCT/US2010/039622 2010.06.23 (87)PCT申请的公布数据 WO2010/151571 EN 2010.12.29 (51)Int.Cl. 权利要求书 2 页 说明书 7 页 附图 4 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 2 页。

4、 说明书 7 页 附图 4 页 1/2 页 2 1. 一种在路由网络上实现第 2 层 (L2) 虚拟专用网 (VPN) 虚拟局域网 (VLAN) 的方法， 所述方法包括以下步骤 ： 在所述路由网络上的网络元件中配置虚拟路由和转发 (VRF) 处理， 所述 VRF 处理关联 于所述路由网络上的所述 VPN-VLAN 并且具有定义好的服务 IP 地址， 所述 VPN-VLAN 在所述 路由网络上具有 VPN-VLANID ； 在所述网络元件上的物理端口上得知一个或多个用户到网络接口虚拟局域网 (UNI-VLAN) 并且通过所述 VRF 将所述 UNI-VLAN 与所述 VPN-VLAN 关联 ； 。

5、通过所述 VRF 得知一个或多个逻辑端口上的 VPN-VLAN ID， 每一个所述逻辑端口关联 于所述路由网络上另一个网络元件上的另一个 VRF 处理的服务 IP 地址。 2. 根据权利要求 1 所述的方法， 还包括以下步骤 ： 在关联于所述 VPN-VLAN 的所述逻辑 端口上执行 MAC 学习。 3. 根据权利要求 2 所述的方法， 其中在所述逻辑端口上执行 MAC 学习的所述步骤包 括以下步骤 ： 在用于所述 MAC 地址的转发数据库中存储逻辑端口， 所述逻辑端口包括所述 VPN-VLAN ID 和关联于所述逻辑端口的 VRF 的所述服务 IP 地址。 4. 根据权利要求 3 所述的方法。

6、， 还包括以下步骤 ： 接收要在逻辑端口上发送的帧并且 根据所述转发数据库接收要被用于在所述路由网络上发送所述帧的所述VPN-VLAN ID和服 务 IP 地址。 5. 根据权利要求 4 所述的方法， 还包括以下步骤 ： 将所述 VPN-VLAN ID 添加到所述帧 作为 Q 标记并且使用所述服务 IP 地址作为目的地 IP 地址来添加 IP 头部。 6. 根据权利要求 5 所述的方法， 其中所述帧是未标识的并且其中向所述帧添加所述 Q 标记作为第一标记。 7. 根据权利要求 5 所述的方法， 其中所述帧用用户 Q 标记来标识并且其中向所述帧添 加所述 VPN-VLAN ID 作为所述 Q 标。

7、记的所述步骤包括用包含所述 VPN-VLAN ID 的 Q 标记替 换所述用户 Q 标记。 8. 根据权利要求 5 所述的方法， 其中所述帧用用户 Q 标记来标识并且其中向所述帧添 加所述 VPN-VLAN ID 作为所述 Q 标记的所述步骤包括向所述帧添加第二 Q 标记， 所述第二 Q 标记包含所述 VPN-VLAN ID。 9. 根据权利要求 1 所述的方法， 还包括以下步骤 ： 在关联于所述 VPN-VLAN 的所述逻辑 端口上执行 MAC 学习。 10. 根据权利要求 1 所述的方法， 还包括以下步骤 ： 从去往未知 MAC 地址的所述 UNI-VLAN 接收帧， 并且将所述帧从关联于。

8、所述 VPN-VLAN 的所有其它 UNI-VLAN 端口和关联 于所述 VPN-VLAN 的所有逻辑端口洪泛出去。 11. 根据权利要求 1 所述的方法， 还包括以下步骤 ： 从关联于所述 VPN-VLAN 并且去往 未知 MAC 地址的逻辑端口接收帧， 并且将所述帧从关联于所述 VPN-VLAN 的所有 UNI-VLAN 端口洪泛出去。 12. 根据权利要求 1 所述的方法， 还包括以下步骤 ： 由所述网络元件接收 IP 分组， 使 用关联于所述 IP 分组的 IP 头部中的目的地地址来确定要被用于处理所述 IP 分组的 VRF， 并且通过所述确定的 VRF 来读取关联于所述 IP 分组的。

9、 Q 标记以确定关联于所述分组的 VPN-VLAN。 权 利 要 求 书 CN 102804693 A 2 2/2 页 3 13. 根据权利要求 1 所述的方法， 其中配置所述 VRF 处理的所述步骤包括 ： 在所述 VRF 中为所述 VPN-VLAN ID 设置输入 / 输出路由目标。 14. 根据权利要求 13 所述的方法， 还包括以下步骤 ： 使用多协议边界网关协议 (MP-BGP)向具有为所述VPN-VLAN配置的输出路由目标(RT)的所有PE宣告所述VPN-VLAN。 15. 根据权利要求 13 所述的方法， 还包括以下步骤 ： 如果逻辑端口上的输入 RT 与 MP-BGP 控制面所。

10、接收的输出 RT 匹配， 那么在所述逻辑端口上学习所述 VPN-VLAN。 16. 一种处理帧以用于通过提供商边缘 (PE) 网络元件在网际协议 (IP) 网络上传输的 方法， 所述方法包括以下步骤 ： 由所述 PE 网络元件从用户到网络接口虚拟局域网 (UNI-VLAN) 接收帧， 所述 UNI-VLAN 关联于跨越所述 IP 网络的第 2 层虚拟专用网虚拟局域网 (VPN-VLAN) ； 用包含所述 IP 网络上的所述 VPN-VLAN 的 VPN-VLAN 标识符 (VPN-VLAN ID) 的 Q 标记 来标识所述帧 ； 用 IP 头部封装所述帧， 所述 IP 头部包含所述 IP 网络。

11、上的远程提供商边缘 (PE) 网络 元件上的 VRF 处理的服务 IP 地址作为目的地地址 ； 以及 将所标识和所封装的帧发送到所述 IP 网络上。 17.根据权利要求16所述的方法， 其中所述PE网络元件具有其中例示的虚拟路由和转 发处理。 18. 一种处理帧以用于通过提供商边缘 (PE) 网络元件在网际协议 (IP) 网络上传输的 方法， 所述方法包括以下步骤 ： 由所述 PE 网络元件从用户到网络接口虚拟局域网 (UNI-VLAN) 接收帧， 所述 UNI-VLAN 关联于跨越所述 IP 网络的第 2 层虚拟专用网 (L2VPN)， 所述 PE 网络元件包括被用于处理 关联于所述 L2V。

12、PN 的帧的 L2VPN 处理， 所述 L2VPN 处理经由第一服务 IP 地址被表示在所述 IP 网络内 ； 确定关联于所述帧的逻辑端口， 所述逻辑端口包括在远程PE上的L2VPN处理的第二服 务 IP 地址 ； 用 IP 头部对所述帧进行 IP 封装， 所述 IP 头部包含所述第一服务 IP 地址作为所述源 IP 地址以及所述第二 IP 地址作为所述目的地 IP 地址 ； 以及 将进行了 IP 封装的帧发送到所述 IP 网络上。 19. 根据权利要求 19 所述的方法， 还包括以下步骤 ： 由所述 PE 网络元件接收具有第二 IP 头部的第二进行了 IP 封装的帧， 所述第二 IP 头 部。

13、包括第二目的地 IP 地址 ； 读取所述第二目的地 IP 地址以确定所述 PE 上的本地 L2VPN 处理 ； 以及 将所述帧传送到所述确定的本地L2VPN处理以使得所述帧能够在所述L2VPN处理的上 下文中被交换。 20.根据权利要求19所述的方法， 其中所述第二IP头部具有第二IP源地址， 并且其中 所述第二 IP 源地址被用于得知内部第 2 层分组的 MAC 地址。 权 利 要 求 书 CN 102804693 A 3 1/7 页 4 用于在 IP 网络上实现 L2VPN 的方法和设备 0001 相关申请的交叉引用 0002 本申请要求美国专利申请序号 12/492,548 的优先权， 。

14、其内容通过引用合并在此。 本申请还涉及2007年11月6日提交的标题为 “Supporting BGP Based IP-VPN in a Routed Network” 的美国专利申请序号 11/935,563， 其内容通过引用合并在此。 技术领域 0003 本发明涉及通信网络， 并且更具体地涉及用于在网际协议(IP)网络上实现第2层 虚拟专用网的方法和设备。 背景技术 0004 数据通信网络可包括连接在一起并且配置为相互传送数据的各种计算机、 服务 器、 节点、 路由器、 交换机、 网桥、 集线器、 代理和其它网络设备。 这些设备在这里将被称作为 “网络元件” 。通过利用一条或多条通信链路。

15、在网络元件之间传送协议数据单元， 例如数据 帧、 分组、 单元或段， 通过数据通信网络来传送数据。当特定的协议数据单元经由网络在它 的源和它的目的地之间移动时， 它可由多个网络元件处理并且跨越多条通信链路。 0005 通信网络上的各种网络元件使用预定义的规则组 ( 这里称作为协议 ) 相互通信。 不同的协议被用于控制通信的不同方面， 例如应当如何形成信号用于在网络元件之间传 输， 协议数据单元应当看起来像什么的各个方面， 网络元件应当如何处理分组或通过网络 路由分组， 以及与路由信息相关的信息应当如何在网络元件之间交换。 0006 企业合并和安全性考虑是虚拟化网络的需求的驱动。 网络的虚拟化使。

16、得经由物理 网络创建虚拟网络， 以使得流量可对于形成虚拟网络的部分的用户和节点的子集保持为专 用。基于第 2 层 ( 即以太网 ) 虚拟局域网 (VLAN) 和第 3 层 ( 网际协议 ) 的 VPN 是支持网 络虚拟化的功能。存在许多类型的 VPN， 例如基于 MPLS 的 VPN( 使用 IETF RFC 4364/2547 建立 )、 虚拟专用 LAN 服务 (VPLS)、 伪线、 和基于 IP 安全 (IP-SEC) 的 VPN。也存在其它类型 的 VPN， 并且该列表不旨在是穷尽的。虽然所有这些 VPN 具有特定的优点和适用性， 但是每 一个都需要专门的下层基础结构来支持 VPN。 。

17、0007 一个常见的 VPN 技术基于 RFC 2547( 其现在已由 IETF RFC 4364 取代 )。该标准 被提出以使得 VPN 能够被部署在 MPLS 网络上。基于该标准的 VPN 已被详尽地提出并且因 此它们操作的方式是众所周知的。不幸地， 具有其自己的信令和控制面协议的 MPLS 基础结 构已被证明其实现和维护是昂贵的。为了减轻该 VPN 方案的某些复杂性， 2007 年 11 月 6 日 提交的标题为 “Supporting BGP Based IP-VPN in a Routed Network” 的相关美国专利申 请号 11/935,563 提出使用 RFC 2547 的。

18、 VPN 基础结构结合 IP 封装而不是结合 MPLS 网络。 如该申请中所述， PE 节点创建虚拟路由和转发表 ( 即输入路由目标 / 输出路由目标属性 ) 的基本方式保持相同。然而， 不是通告 MPLS 服务标签， 而是节点输出要被用于在 IP 网络上 转发流量的 IP 服务地址。因此， VPN 方案能够在任何 IP 网络上使用并且不限于在 MPLS 网 络上使用。因为用于该基于 IP 的 VPN 方案的基本的基础结构是基于使用 MP-iBGP 扩展的 说 明 书 CN 102804693 A 4 2/7 页 5 FC 4364/2547 控制面原理的， 所以仅仅需要 VPN 的端点支持该。

19、功能。IP 网络中间的节点作 为普通的 IP 路由器操作， 并且因此对于正在实施 VPN 的事实是不可知的。 0008 RFC 2547/4364 的该前述扩展使得第 3 层 ( 即 IP 层 )VPN 被构建在 IP 网络上。还 存在用户想要有第 2 层 VPN 而不是第 3 层 VPN 的情况。因此， 提供容易部署到现有网络并 且不需要 MPLS 基础结构的 L2VPN 方案将是有利的。 发明内容 0009 基于 IETF RFC 4364/2547 的 MP-BGP VPN 基础结构被用于配置 IP 网络上的第 2 层 VPN。用于 VPN 的 VRF 被配置在以太网交换机上并且服务 I。

20、P 地址关联于每一个被配置的 VRF。服务 IP 地址交互以使得被寻址的 VPN 流量能够由 IP 网络传送。为了能够在网络上 建立第 2 层 VPN， 为第 2 层 VPN 配置 VPN-VLAN ID， 并且在作为 VPN 一部分的每一个 VRF 中 设置用于 VPN-VLAN 的输入 / 输出路由目标。使用 VPN-VLAN ID 在网络上实现 VPN-VLAN 以 便建立第 2 层广播域。使用 MP-iBGP 和为该 VPN-VLAN 设置的输出路由目标向所有的 PE 宣 告 VPN-VLAN ID。如果输入的 RT 与 MP-iBGP 控制面接收的输出 RT 匹配， 那么 PE 的控。

21、制面 在逻辑端口上得知 VPN-VLAN。一旦在逻辑端口上得知 VPN-VLAN ID， 那么 PE 将在该逻辑端 口上的 VLAN 内执行 MAC 学习。 0010 作为 VPN VLAN 的一部分的 PE 可具有连接到客户端网络 ( 例如客户端局域网 ) 的 逻辑端口。术语用户到网络接口通常被用于指代服务提供商网络与用户网络之间的分界 点。 如这里所使用的， 术语UNI-VLAN将被用于指代在PE上的端口处连接到PE的用户VLAN。 在本申请的上下文中， UNI-VLAN 将被假设为是第 2 层 VLAN。VPN-VLAN 是 UNI-VLAN 经由中 间路由网络到其它 PE 网络元件的逻。

22、辑扩展。VRF 可连接到多个 UNI-VLAN， 并且类似地可连 接到多个 VPN-VLAN。VRF 维持 UNI-VLAN 和 VPN-VLAN 之间的映射以使得 UNI-VLAN 广播域 能够经由 VPN-VLAN 跨越路由网络扩展。然后使用 IP 封装来跨越路由网络传送流量， 以使 得 L2VPN 内的流量可通过网络传送。 0011 为了处理网络上的数据， 如果在 PE 处接收了具有未知 MAC 地址的以太网帧， 帧将 被洪泛到作为 VPN 一部分的所有本地 UNI VLAN 端口并且也通过 VPN-VLAN 洪泛到所有远端 的 VPN 实例 ( 逻辑接口 )。如果目的地 MAC 已知并。

23、且驻留在连接的 UNI-VLAN 内， 那么帧将 从连接到 UNI-VLAN 的端口发送出去。如果目的地 MAC 地址已知并且驻留在 VPN-VLAN 上 ( 即驻留在远端 PE 上 )， 那么 PE 将读取 MAC 地址以便确定用于在 VPN-VLAN 上转发的逻辑 端口 (VPN-VLAN ID 和远端 VRF 的服务 IP 地址 )。然后， 以太网帧将用包含 VPN-VLAN ID 的 Q 标记来标识并且被封装到 IP 分组内以便在 IP 网络上被传输。 0012 当在远端 PE 上在 IP 网络上接收了封装有 VPN-VLAN Mac-in-IP(IP 内 MAC) 的分 组时， 外部。

24、 IP 头部的目的地 IP 地址将被用于确定应当处理分组的目标 VRF( 分组的目的地 IP 地址是 VRF 的服务地址 )。VRF 将读取内部以太网分组的 Q 标记以便标识 VPN-VLAN， 并 且所封装的以太网分组的用户部分的目的地 MAC 地址将被用于根据逻辑转发表确定用于 分组的输出端口。如果目的地 MAC 地址未知， 那么帧将从关联于 VPN-VLAN 和 UNI VLAN 的 所有 UNI 端口洪泛出去。 0013 如果端点想要加入 L2VPN， 它输入 / 输出用于 L2VPN 的 VPN-VLANID 路由目标。通 过向用户帧添加包括 VPN-VLAN ID 的 802.1Q。

25、 标记头部并且然后用 IP 头部封装用户以太网 说 明 书 CN 102804693 A 5 3/7 页 6 帧来在 VPN 中转发分组。如果用户帧先前未被标识， 标识处理根据 IEEE 802.1Q 添加 Q 标 记。如果用户帧已经有 Q 标记， 该处理替换原始的 Q 标记或者添加如 IEEE 802.1ad 所提供 的第二 Q 标记。在帧为单播帧的情况下， 将使用目的地 VRF 的服务 IP 地址对帧进行 IP 封 装， 以使得帧可经由 IP 网络被发送到目的地 VRF 的服务 IP 地址。如果帧为多播或广播帧， 那么它可被多次单播， 或者可使用 IP 多播目的地地址头部经由 IP 多播被。

26、转发 ( 其中 IP 多 播由 IP 网络支持 )。 附图说明 0014 在所附权利要求中， 具体地指出本发明的各方面。在以下附图中通过示例示出本 发明， 在附图中相同的引用表示类似的元件。 仅为了说明的目的， 以下附图公开了本发明的 各个实施例并且不旨在限制本发明的范围。为了清楚， 不是每一个组件都在每一个图形中 被标记。在附图中 ： 0015 图 1 是参考网络的功能框图 ； 0016 图 2 是根据本发明实施例示出网络上 L2 VPN 的实现的图 1 的网络的功能框图 ； 0017 图 3 是根据本发明实施例示出可用于实现 IP 网络上的 L2 VPN 的处理的流程图 ； 0018 图 。

27、4 是根据本发明实施例更详细地示出一个 PE 节点的一部分参考网络的功能框 图 ； 并且 0019 图 5 是根据本发明实施例更详细地示出一个 PE 节点的一部分参考网络的功能框 图。 具体实施方式 0020 描述了第 2 层虚拟专用网 (VPN) 方案， 其依赖于 RFC 2547/4364 进行信令但是其 中 IP 封装被用于在 IP 骨干上传送 VPN 流量。这使得惯用的 VPN 信令能够被用于建立第 2 层 VPN 而不需要使用 MPLS 基础结构实现 IP 骨干。这是有利的， 因为 MPLS 网络具有它自己 的信令和控制面协议， 并且因此其建立和维护是更加昂贵的。尽管 MPLS 具有。

28、被服务提供商 认为所期望的特定流量工程优点， 但是在企业网络中流量工程方面往往不是特别相关的。 因此在企业场景下更简单地实现 VPN 方案可能是特别期望的， 其中企业可建立如通常部署 在 MPLS 网络上的相同种类的 VPN， 而不需要企业网络运行 MPLS 信令和控制协议。 0021 图 1 示出了包括多个路由器 12 和多个 VPN 路由器 14 的示例参考网络 10。VPN 路由器支持网络上关联于 VPN 的 VRF。在一个实施例中， VPN 路由器被实现为 IETF RFC 4364/2547 上下文中的普通 PE 设备。然而， PE 设备交换将被用于在通信网络上建立第 2 层 VPN。

29、 的 VPN-VLAN ID， 以使得网络可被虚拟化以创建跨越网络的 VPN VLAN。例如， 如图 2 中 所示， 支持 VRF 1 的节点可关联于第一 VPN-VLAN X， 并且支持 VRF 2 的节点可关联于第二 VPN-VLAN Y。VPN-VLAN ID 被 VRF 用作为输入 / 输出路由目标以便控制 7 层 OSI 网络参考 模型的第 2 层处的路由信息的分发。这使得经由 IP 核心扩展的网络链路能够被视为普通 的 VLAN 链路， 以使得针对未知 MAC 地址的帧可经由 VLAN 被洪泛并且使得 MAC 学习能够在 那些端口上出现。因此， 普通的第 2 层行为可在网络上的 V。

30、PN-VLAN 内出现。 0022 在图2中， 每一个VRF被示出为关联于特定的VPN-VLAN。 本发明不限于该方式， 因 为特定的 VRF 可连接到多个 VPN-VLAN。同样， 在图 2 中， 每个 VRF 被示出为连接到关联于特 说 明 书 CN 102804693 A 6 4/7 页 7 定 CE 的一个特定 UNI-VLAN。CE 可支持多个 UNI-VLAN， 并且多个 UNI-VLAN 可连接到给定 VRF。因此， UNI-VLAN 是 VRF 的子集， 使得 VRF 可具有多个 UNI-VLAN。每一个 UNI-VLAN 可连 接到特定的 VPN-VLAN。VRF 形成 UN。

31、I-VLAN 和 VPN-VLAN 之间的关联， 这使得 UNI-VLAN 能够 跨越路由网络扩展。 图2被绘制为示出了简化的示例， 并且在操作中， 可期望形成UNI-VLAN 和 VPN-VLAN 之间的更复杂的互连。 0023 图 2 示出了其中在网络上建立了两个 VPN-VLAN 的图 1 的参考网络。如图 2 中所 示， VPN 路由器 14A 上的 VRF ： 1、 VPN 路由器 14B 上的 VRF2 和 VPN 路由器 14C 上的 VRF ： 3 都 成为 VPN-VLAN ： X 的一部分。类似地， VPN-VLAN 路由器 14A 上的 VRF ： 4 和 VPN-VLA。

32、N 路由器 14C 上的 VRF ： 5 成为 VPN-VLAN Y 的一部分。将在下面结合图 3 更详细地描述 VRF 连接到 VPN-VLAN 的方式和 VRF 处理流量以使得 VPN-VLAN 能够作为第 2 层 VPN 操作的方式。 0024 图 3 示出了可用于实现本发明实施例的示例处理。如图 3 中所示， 如果要在网络 上建立第 2 层 VPN， 那么用于 VPN 的 VRF 将需要被配置在以太网交换机 ( 提供商边缘或 PE) 网络元件 (100) 上。配置用于 VPN 的 VRF 可使用 IETF RFC 4364/2547 来实现。另外， 为了 使得流量能够在 IP 网络上被。

33、传输， 将为被配置为在 VPN 上操作的每一个 VRF 定义服务 IP 地址。如在 2007 年 11 月 6 日提交的标题为 “Supporting BGP Based IP-VPN in a Routed Network” 的美国专利申请号 11/935,563 中所描述的， 服务 IP 地址使得 IP 头部能够被创 建， 以使得 VPN 上的流量可被封装以用于在 IP 网络上传输。该相关专利具有与 VPN 的 IP 方面应当如何被实现相关的许多另外的细节。因此， 该申请的内容通过引用合并在此。 0025 一旦已为 VPN 配置了 VRF， MP-BGP 将被用于交换服务 IP 地址和以太。

34、网交换机自治 系统 ID(AS-ID)(102)。服务 IP 地址和 AS-ID 将成为路由标识符， 其将使得在从 IP 网络接 收分组时目的地节点能够确定目标 VRF。当在 PE 设备中支持第 2 层 VPN 时， MP-BGP 对等体 将交换跨越核心网络提供第 2 层 VPN 的能力。当 UNI-VLAN 关联于 VPN-VLAN 并且 VPN-VLAN 关联于路由目标时， MP-BGP 将用 VPN-VLAN id 和输出路由目标更新它的对等体。该处理完 成了第2层VPN的自动发现。 尽管在特定位置中论述了MP-iBGP， 但是也可使用MP-eBGP(多 协议外部边界网关协议 )。 00。

35、26 当 用 户 到 网 络 接 口 (UNI)VLAN 成 为 VRF 的 成 员 时， UNI-VLAN 将 连 接 到 VPN-VLAN(104)。作为在网络上配置 VPN-VLAN 的一部分， VPN-VLAN ID 将被分配到 L2VPN， 并且将在作为 VPN 一部分的每一个 VRF 中为 VPN-VLAN ID 设置输入 / 输出路由目标 (RT) (106)。 具有为VPN VLANID设置的输出路由目标的每一个VRF将使用MP-iBGP宣告VPN-VLAN ID(108)。因此， 如果 PE 上的 VRF 的输入 RT 与所宣告的 VPN-VLAN ID 的输出 RT 匹配，。

36、 那么 每一个 PE 的控制面将在逻辑端口上得知 VPN-VLAN(110)。 0027 一旦控制面宣告了VPN-VLAN以使得每一个PE可针对它的逻辑端口得知VPN-VLAN ID的MAC地址， 每一个PE将针对物理和逻辑端口执行用于VPN的普通MAC学习以使得流量 可在第 2 层 VPN-VLAN 上被传输 (112)。 0028 如果在 VLAN UNI 端口上接收了用户的以太网帧， PE 将试图使用普通的第 2 层转 发技术在 VLAN 上朝向它的目的地转发以太网帧。因此， 如果目的地未知， 那么 PE 将向所有 的本地 UNI VLAN 端口洪泛分组并且还向关联于 UNI-VLAN 。

37、的所有逻辑 VPN 端口洪泛分组。 具体地， 分组还将通过VPN-VLAN被洪泛到参加VPN-VLAN的所有远端VPN实例(逻辑接口) (120)。同样， 如果目的地 MAC 地址在 UNI-VLAN 内已知， 那么将读取 MAC 地址来确定应当经 说 明 书 CN 102804693 A 7 5/7 页 8 由其转发帧的本地 UNI 端口或逻辑端口。 0029 如果需要将分组在逻辑端口上洪泛或转发， 那么PE将读取VPN-VLAN ID、 目标VRF 的服务 IP 地址和下一跳 (122)。因此， FDB 将存储用于逻辑端口的全部该信息， 以使得分组 可在 VPN-VLAN 上经由逻辑端口被。

38、洪泛 / 转发。 0030 在朝向下一跳转发帧之前， PE 将添加包含 VPN-VLAN ID 的 Q 标记 (124)。如果用 户帧当前未被标识， 将使用IEEE 802.1Q将该Q标记添加到用户以太网帧。 如果用户以太网 帧已被标识， 那么用 Q 标记替换用户的标记或者可使用 IEEE 802.1ad 将 Q 标记添加到用户 以太网帧。在要在 IP 网络上传输分组的情况下， 用户帧将被进一步封装到 IP 分组 (126)。 封装处理将通过使用目标 VRF 服务 IP 地址作为目的地 IP 地址来创建 IP 头部并且将使用 源 VRF 的服务 IP 地址作为源 IP 地址。因此， VPN-V。

39、LANID 将被用于将 Q 标记添加到帧， 服 务 IP 地址将被用于对帧进行 IP 封装， 并且下一跳将被用于确定应当经由其转发进行了 IP 封装 /Q 标记的帧的实际物理端口。 0031 对于多点 VPN， 如果要在网络上多播或广播分组， 那么可通过使用远端 VRF 的服务 IP地址来将分组单播多次以便逐个地将分组发送到作为VPN成员的每一个远端PE， 或者如 果 IP 网络支持多播 IP， 那么可使用多播 IP 地址在网络上转发 IP 分组。多播 IP 地址可以 是表示 VRF 的 IPVPN 的多播服务 IP 组地址。 0032 然后， 被封装和标识的分组将从 IP 网络上的下一跳 (。

40、 输出端口 ) 转发出去。外部 IP 头部将被用于以普通方式在 IP 网络上朝向它的目的地路由分组 (140)。注意， 不需要修 改 IP 网络在这点上分组看起来就像普通 IP 分组一样， 其可像任何其它 IP 分组一样以普 通方式由 IP 路由器传递。与此有关， 因为分组被封装以便包括另外的 IP 头部， 所以应当检 查分组的整个大小以便确保所封装的分组不超过 IP 网络上的最大传输单元大小。 0033 一旦分组到达目的地 PE， 目的地 PE 将使用目的地 IP 地址来确定目标 VRF(160)。 如上所述， 通过发送 PE 作为在封装帧用于在 IP 网络上传输时的目的地 IP 地址， 来。

41、使用目 标 VRF 的服务 IP 地址。因此， 当分组被接收时， 目的地 PE 可读取目的地 IP 地址并且使用 目的地 IP 地址来确定应当被用于处理分组的目标 VRF。 0034 当目标 VRF 接收分组时， 它将读取 Q 标记以便标识 VPN-VLAN(162)。如上所述， 目 标 VRF 将在关联于 VPN-VLAN 的逻辑端口上执行本地 MAC 学习。另外， 目标 VRF 将执行普 通的第 2 层转发以便将帧转发到客户端的 VLAN。具体地， 将使用本地转发表来找到用于目 的地 MAC 地址的匹配输出端口 (164)。如果目的地 MAC 地址未知， 分组将被洪泛到关联于 VPN-VL。

42、AN 的所有 UNI-VLAN 端口。 0035 图 4 示出了被配置为实现本发明实施例的示例 VPN 路由器。如图 4 中所示， VPN 路 由器 14 具有用于 VLAN ： 100 的 VRF 20。在端口 1/1、 1/2、 1/3 和 1/4 上的 UNI VLAN 接口已 连接到 VLANL ： 100 并且用于网络元件 A、 B、 C 和 D 的 MAC 地址已经在这些接口上被得知并且 存储在转发数据库 (FDB)50 中。注意， 在该上下文中， FDB 50 具有用于 MAC 地址 A-D 中每 一个的条目和用于相关联的物理端口的相应条目。具体地， FDB 表示网络元件 A 在。

43、端口 1/1 上可到达， 网络元件 B 在端口 1/2 上可到达， 网络元件 C 在端口 1/3 上可到达， 并且网络元 件 D 在端口 1/4 上可到达。 0036 在该示例中， 将会假设节点 2 和 3 都加入了 VLAN ： 100 并且具有到网络元件 E 和 F 的 UNI VLAN 接口。为了使得第 2 层 VLAN 能够跨越 IP 网络 10 扩展， 在配置期间将配置 VPN 说 明 书 CN 102804693 A 8 6/7 页 9 VLAN， 其将被分配VPN-VLAN ID。 在该示例中， 分配给VLAN的VPN-VLAN ID是VPN-VLAN ID ： 1000( 但是。

44、它可以是任何有效的 VLAN ID)。 0037 VPN路由器14将使用MAC学习来得知在物理端口5/1上被配置的逻辑端口X上的 网络元件 E。同样， 网络元件 F 将在也在物理端口 5/1 上被配置的逻辑端口 Y 上被得知。逻 辑端口 X 和 Y 是分离的， 即使它们被配置在相同的物理端口 5/1 上， 因为它们通向不同的网 络元件上的不同 VRF， 并且因此， 将需要不同的服务 IP 地址来用于对流量进行 IP 封装以便 在 IP 网络上到达这些节点。在该示例中， 逻辑端口 X 连接到节点 2 上的 VRF， 而逻辑端口 Y 连接到节点 3 上的 VRF。 0038 在 VRF FDB 5。

45、0 内， 用于网络元件 E 的 MAC 地址的条目指向逻辑端口 X。该条目包 括标识网络上的 VPN-VLAN 的 VPN-VLAN ID ： 1000 和关联于 VLAN ： 100 的节点 2 上的 VRF 的 服务 IP 地址 (10.1.2.1)。同样， 用于网络元件 F 的 FDB 条目指向逻辑端口 Y。该条目也包 括标识网络上的VPN-VLAN的相同VPN-VLAN ID ： 1000和关联于VLAN ： 100的节点3上的VRF 的服务 IP 地址 (10.1.3.1)。 0039 VRF 将在逻辑端口上以及其物理端口上执行普通的 MAC 学习。因为 UNI-VLAN 在 VPN。

46、 路由器上的物理端口上被注册， 所以 VRF 将针对于端口注册 UNI-VLAN 并且在该端口上 的 VLAN 100 内执行 MAC 学习以便得知经由该物理端口可到达的主机的 MAC 地址。类似地， 因为其它 VRF 经由 VPN-VLAN 1000 向 VRF 20 注册， 所以 VRF 20 将针对逻辑端口 ( 包括服 务IP地址和VPN-VLAN ID)来注册VRF， 并且然后针对逻辑端口执行MAC学习以便得知经由 逻辑端口可到达的主机的 MAC 地址。 0040 当要将客户端的帧发送到未知MAC地址时， 客户端的帧将在关联于VLAN的除了在 其上接收到客户端帧的端口之外的所有端口上广。

47、播。因此， VRF 将在物理端口上以及用逻 辑端口广播帧， 以使得帧将经由 VPN-VLAN 发送到第 2 层 VLAN 上的其它 VPN 站点。如果 MAC 地址为已知地址， 那么输出端口将根据转发数据库来确定并且由 VRF 用来朝向客户端帧的 期望目的来转发它。如果输出端口是逻辑端口， VRF 将根据转发数据库获得用于帧的逻辑 端口信息。如上所述， 一个实施例中的逻辑端口信息包括 VPN-VLAN ID 和目标 VRF 的服务 IP 地址。VPN-VLAN ID 将由第 2 层封装处理用于向客户端的帧添加 Q 标记。VPN 路由器还 将使用目标 VRF 服务 IP 地址作为目的 IP 地址。

48、并且使用 VRF 的服务 IP 地址 (10.1.1.1) 作 为源 IP 地址来创建用于分组的 IP 头部。在用 IP 头部封装分组之后， 分组将被发送到全局 路由处理51， 全局路由处理51使用服务IP地址来确定要被用于在IP网络上发送分组的物 理端口。 0041 在 IP 网络内， IP 头部将被用于朝向客户端帧的期望目的地转发它。在目标节点 处接收时， IP 头部的目的地 IP 地址将被用于标识目标 VRF。目标 VRF 将根据 Q 标记读取 VPN-VLAN ID 以标识关联于 VLAN 的转发数据库。然后， 将在转发数据库内使用 MAC 地址来 确定目标 VRF 应当将帧发送到哪里。

49、。 0042 在图 5 中示出的另一个实施例中， 配置代表要由 PE 支持的每一个第 2 层 VPN 的服 务 IP 地址。在该实施例中， 不是向每一个第 2 层 VPN 分配 VLAN VPN ID， 而是由 PE 将单独 的服务 IP 地址分配到每一个第 2 层 VPN。全局路由引擎 51 使用分配给第 2 层 VPN 的服务 IP 地址来表示核心内的第 2 层 VPN。一个 UNI VLAN 将连接到 PE 内的第 2 层 VPN 处理， 并且 要在第 2 层 VPN 上发送的分组将使用分配给第 2 层 VPN 的服务 IP 地址来封装。如果多个 说 明 书 CN 102804693 A 9 7/7 页 10 UNI VLAN 在特定 PE 处连接到第 2 层 VPN， 那么可使用 Q 标记 (VPN-VLAN ID) 来对 UNI-VLAN 消除歧义， 如上所述。 0043 在该实施例中， 当全局路由引擎接收了分组时， 全局路由引擎将读取服务 IP 地址 并且使用服务 IP 地址来确定应当被用于处理分组的第 2 层 VPN 处理。分组将被传送到第 2 层 VPN 处理并且在第 2 层 VPN 处理的。