技术领域

本发明涉及虚拟专用网（ Virtual Private Network, VPN )技术领域， 尤其 涉及一种虚拟专用网报文的转发方法及装置。

背景技术

目前， MPLS ( Multiple protocol Label Switching, 多协议标签交换 ) 网络 已经是下一代核心网络的发展方向，在各类釆 用 MPLS技术的 VPN方式中最 具有竟争力的是 MPLS的二层 VPN和 MPLS三层 VPN。 MPLS二层 VPN就 是在 MPLS网络上透明传递客户的二层数据。

从客户的角度来看， MPLS 网络就是一个二层的交换网络， 通过这个网 络， 可以在不同节点之间建立二层的连接。 MPLS二层 VPN将网络的管理职 责分离， 网络运营商的 PE ( Provider Edge ) (运营商骨干网的边缘设备）仅 负责客户 CE ( Customer Edge ) (客户与运营商相连的边缘设备 )之间二层的 连接和转发， 而客户 CE实现三层以上的功能， 网络运营商基于 MPLS的城 域网向客户提供二层 VPN服务， 可以降低网络运营的管理成本。

同时， 釆用 MPLS三层 VPN技术可以将现有 IP ( Internet Protocol ) 网络 分解成逻辑上隔离的网络， 这种逻辑上隔离的网络的应用是多样的， 可以用 在解决企业和政府相同或不同部门的互连， 也可以用来提供新的业务， 如 IP 电话业务。

MPLS VPN无论是相对于传统的基于电路或者虚电路的 VPN组网技术， 还是相对于基于 IP隧道的 VPN技术，都有不可比拟的优势。随着 MPLS VPN 技术的不断成熟， 它在降低成本的同时， 也会满足用户对网络带宽、 服务质 量和接入的灵活性等方面不断增加的需求。 MPLS VPN将代表互联网络未来 的发展趋势。

在 LTE Aplication ( Long Term Evolution Aplication, 长期演进应用 )组网 环境中， 经常用到图 1所示的组网方式， 即 L2 VPN (二层 VPN )作为接入 层， 作为用户接入， L3 VPN (三层 VPN )作为汇聚层， PE的网络侧端口连 接 L3 VPN, 接入侧端口连接 L2 VPN, 基站通过 PW ( Pseudowire, 伪线）连 接到 PE1/PE2设备。 上行方向上， PE1/2设备需要提供二层 VPN终结， 并进 行三层 VPN转发； 下行方向上， 网络侧 L3 VPN报文在 PE1/2进行三层 VPN 终结， 并进行二层 VPN转发。

基站通过伪线接入 PE1/2, PE需要提供二层 VPN终结到三层 VPN转发 功能及反向功能， 目前 ASCI ( Application Specific Integrated Circuits , 专用集 成电路）芯片无法连续实现二层 VPN终结到三层 VPN转发及三层 VPN终结 到二层 VPN转发的功能。

目前实现二层 VPN终结到三层 VPN转发以及三层 VPN终结到二层 VPN 转发的功能主要是通过两台设备实现 PE1/2功能，一台设备进行二层 VPN终 结和转发功能， 再用一台设备进行三层 VPN转发和终结功能， 这种方案需要 使用两台设备， 成本较高。 发明内容

本发明实施例的目的是提供一种实现虚拟专用 网报文的转发方法及装 置，能够方便地实现二层 VPN终结到三层 VPN转发及三层 VPN终结到二层 VPN转发。

为达到上述目的， 本发明实施例的一种虚拟专用网报文的转发方 法， 包 括：

网络提供商边缘路由器 (PE)对从二层虚拟专用网（VPN)接收到的上行报 文进行二层 VPN终结， 将二层 VPN终结后的上行报文发送到配置为自环的 端口；

所述 PE接收所述配置为自环的端口环回的所述二层 VPN终结后的上行 报文， 对所述二层 VPN终结后的上行报文进行三层 VPN转发。

所述方法还包括：

所述 PE对从三层 VPN接收到的下行报文进行三层 VPN终结， 将三层 VPN终结后的下行报文发送给所述配置为自环的 端口； 所述 PE接收所述配置为自环的端口环回的所述三层 VPN终结后的下行 报文， 对所述三层 VPN终结后的下行报文进行二层 VPN转发。

所述配置为自环的端口为端口聚合 ( TRUNK ) 下的端口。

所述配置为自环的端口为所述 TRUNK下的多个端口的其中之一， 所述 TRUNK下的所述多个端口均配置为自环。

将二层 VPN终结后的上行 "^文发送到配置为自环的端口的步骤包括： 所述 PE将所述二层 VPN终结后的报文发送到所述 TRUNK, 通过所述 TRUNK下所述配置为自环的端口将所述二层 VPN终结后的上行报文环回到 所述 PE。

PE对从二层 VPN接收到的上行 文进行二层 VPN终结， 将二层 VPN 终结后的上行 >¾文发送到配置为自环的端口的步骤包括：

所述 PE对所述上行报文进行所述二层 VPN终结后 ,将所述二层 VPN终 结后的上行报文的虚拟局域网 (vlan)配置为接入所述三层 VPN的 vlan;

所述 PE对所述二层 VPN终结后的上行报文进行三层 VPN转发的步骤包 括：

才艮据所述 TRUNK和接入所述三层 VPN的所述 vlan查找对应的虚拟路由 和前向 (VRF), 4艮据所述 VRF和所述上行艮文的目的 IP地址查找对应的路由 条目；

从查找到的所述路由条目中获取出端口， 经所述出端口将所述上行报文 发送到所述三层 VPN。

所述 PE对从三层 VPN接收到的所述下行报文进行三层 VPN终结，将三 层 VPN终结后的下行报文发送给所述配置为自环的 端口的步骤包括：

所述 PE对所述下行报文进行所述三层 VPN终结后，将所述三层 VPN终 结后的报文的 vlan配置为接入所述二层 VPN的 vlan;

所述 PE对所述三层 VPN终结后的下行报文进行二层 VPN转发的步骤包 括：

才艮据所述 TRUNK和接入所述二层 VPN的所述 vlan查找对应的 VRF, 根据所述 VRF和所述下行 ^艮文的目的 IP地址查找对应的路由条目； 从查找到的所述路由条目中获取出端口， 经所述出端口将所述下行报文 发送到所述二层 VPN。

一种虚拟专用网报文的转发装置， 包括：二层 VPN终结单元和三层 VPN 转发单元， 其中：

所述二层 VPN终结单元设置成： 对从二层 VPN接收到的上行报文进行 二层 VPN终结， 将二层 VPN终结后的上行报文发送到配置为自环的端口 ； 所述三层 VPN转发单元设置成：接收所述配置为自环的端 口环回的所述 二层 VPN终结后的上行报文， 对所述二层 VPN终结后的上行报文进行三层 VPN转发。

所述装置还包括： 三层 VPN终结单元和二层 VPN转发单元， 其中： 所述三层 VPN终结单元设置成： 对从三层 VPN接收到的下行报文进行 三层 VPN终结， 将三层 VPN终结后的下行报文发送给所述配置为自环的 端 口； 所述二层 VPN转发单元设置成：接收所述配置为自环的端 口环回的所述 三层 VPN终结后的下行报文， 对所述三层 VPN终结后的下行报文进行二层 VPN转发。

所述配置为自环的端口为端口聚合 ( TRUNK ) 下的端口。

综上所述， 本发明实施例釆用端口聚合实现二层 VPN终结到三层 VPN 转发， 在二层 VPN和三层 VPN组网中， 只使用一个端口聚合就可以区分上 下行， 减少组网设备使用的台数， 降低了组网的复杂度， 节约了维护和管理 成本， 使组网也变得更加灵活。 同时在端口聚合的相关信息， 比如端口变化 时， 配置不需要重新更改， 提高了应用的灵活性， 并且在 ASIC等通用芯片 上都可以应用。

附图概述

图 1为相关技术中 LTE Aplication的组网示意图；

图 2为本实施方式的转发方法中转发上行"¾文的� �程图； 图 3为本实施方式的转发方法中转发下行"¾文的� �程图；

图 4为本实施方式的虚拟专用网报文的转发装置� �架构图。 本发明的较佳实施方式

本实施方式使用端口聚合 ( TRUNK ) ,将 TRUNK下的端口配置为自环， 实现上行二层 VPN终结到三层 VPN转发，以及下行的三层 VPN终结到二层 VPN转发， 本实施方式业务负载均衡， 很好地支持了二层 VPN和三层 VPN 常用组网应用。

本实施方式中上行报文（ L2VPN到 L3VPN )第一次进入交换芯片实现二 层 VPN终结， 并发送给 TRUNK, TRUNK下配置为内环的端口将二层终结 后的报文再次发往交换芯片进行三层 VPN转发；下行报文（ L3VPN到 L2VPN ) 第一次进入交换芯片实现三层 VPN终结， 并发送给 TRUNK, TRUNK下配 置为内环的端口将三层 VPN终结后的报文再次发往交换芯片进行二层 VPN 转发。 上、 下行报文可以使用同一个 TRUNK, TRUNK下的端口均设置为自 环。

端口聚合是指： 将一个或多个端口加入到一个聚合组里， 业务下发时使 用这个聚合组作为流量出端口。流量转发时根 据这个聚合组的负载均衡策略， 进行流量负荷分担。

自环是指： 报文从交换芯片一 >交换芯片， 交换芯片无需将报文发往出端 口， 而是在交换芯片内部实现的环回。

本实施方式中通过不同 vlan ( virtual local area network, 虚拟局域网）及 偏移量区分上下行业务， 比如， vlanO表示接入二层 VPN的 vlan, vlanO+2000 表示接入三层 VPN的 vlan。 对于多个桥接业务可以釆用同一个 TRUNK, 多 个桥接业务以 vlan 对进行区分， 如{ ( vlanl , vlanl+2000 ) , ( vlan ² , vlan2+2000 ) , ( vlan3 , vlan3+2000 ) , ( vlan4, vlan4+2000 ) .....}。

本实施方式不限于某一款交换芯片， 只要芯片厂商提供了端口聚合和端 口环回功能， 都可实现只使用端口聚合完成二层 VPN终结到三层 VPN转发 及三层 VPN终结到二层 VPN转发的功能。 为实现本实施方式虚拟专用网报文的转发需要 对交换芯片进行如下配 置， 包括以下步骤。

步骤 a: PE启动上层协议， 配置 VPN实例， 并向其内部的交换芯片下发 路由条目。

路由条目用于交换芯片查找路由。

交换芯片在对上行报文进行二层 VPN终结和三层 VPN转发， 以及对下 行才艮文进行三层 VPN终结和二层 VPN转发时，根据 VPN对应的 VRF( Virtual Routing and Forwarding, 虚拟路由和前向 )和 4艮文的目的 IP地址匹配对应的 路由条目， 从路由条目中获取出端口。

步骤 b:查找空闲端口（级联端口 ) ,将查找到的空闲端口加入到 TRUNK 中， 设置这些端口为内环。

在上行方向上， 内环使二层 VPN终结后的报文， 重新环回到交换芯片进 行三层 VPN转发， 发往 L3 VPN; 在下行方向上， 内环使三层 VPN终结的报 文， 重新环回到交换芯片进行二层 VPN转发， 发往用户伪线侧。

步骤 c: 在交换芯片上为每种业务配置在 L2VPN到 L3VPN方向上， 二 层 VPN终结后的报文的 vlan,并配置在 L3VPN到 L2VPN方向上，三层 VPN 终结后的报文的 vlan。

在 L2VPN到 L3VPN方向上， 二层 VPN终结后的报文的 vlan为接入三 层 VPN的 vlan ( L3VE vlan ) ， 即： 如果二层 VPN终结后的报文带有 vlan, 则将 vlan替换成 VLAN+2000; 若二层 VPN终结后的报文不带 vlan, 则添加 一个 vlan, 即： VLAN+2000。

在 L3VPN 到 L2VPN 方向上， 三层 VPN 终结后的报文的 vlan 为 VLAN+2000, 将 VLAN+2000替换为接入二层 VPN的 vlan。

L3VPN方向上转发上行报文的流程， 包括以下步骤。

步骤 201：交换芯片对从用户侧端口进入的上行报文 进行二层 VPN终结， 将二层 VPN终结后的 4艮文的 vlan配置为接入三层 VPN的 vlan。

步骤 202: 交换芯片将二层 VPN终结后的报文发送到 TRUNK, 通过 TRUNK下的级联端口将 TRUNK收到的报文， 环回到交换芯片。

TRUNK下的级联端口均已设置为自环， 因此，可由 TRUNK下的任一级 联端口将 TRUNK收到的报文环回到交换芯片。

步骤 203:交换芯片根据 TRUNK和接入三层 VPN的 vlan( VLAN+2000 ), 在硬件表项中查找对应的 VRF。

步骤 204:交换芯片根据 VRF和上行报文的目的 IP地址查找对应的路由 条目。

步骤 205: 交换芯片从查找到的路由条目中获取出端口， 出端口为网络 侧端口， 实现对该 ^艮文的三层 VPN转发。

L2VPN方向上转发下行报文的流程， 包括以下步骤。

步骤 301： 交换芯片对从网络侧端口接收到的下行报文进 行三层 VPN终 结， 将三层 VPN终结后的报文的 vlan配置为接入二层 VPN的 vlan。

步骤 302: 交换芯片将三层 VPN终结后的报文发送给 TRUNK, 通过 TRUNK下的级联端口将 TRUNK收到的报文， 环回到交换芯片。

步骤 303： 交换芯片根据 TRUNK和接入二层 VPN的 vlan在硬件表项中 查找对应的 VRF。

步骤 304:交换芯片根据 VRF和下行报文的目的 IP地址查找对应的路由 条目。

步骤 305: 交换芯片从查找到的路由条目中获取出端口， 出端口为用户 侧端口， 实现对该 ^艮文的二层 VPN转发。

图 4所示为本实施方式的虚拟专用网报文的转发� �置， 包括： 二层 VPN 终结单元、 三层 VPN转发单元、 三层 VPN终结单元、 二层 VPN转发单元和 端口聚合单元， 其中： 所述二层 VPN终结单元设置成： 对从二层 VPN接收到的上行报文进行 二层 VPN终结， 将二层 VPN终结后的报文的 vlan配置为接入三层 VPN的 vlan, 将所述二层 VPN终结后的上行 ^文发送到配置为自环的端口， 其中， 将所述二层 VPN终结后的上行 "^文发送到配置为自环的端口包括：将所述二 层 VPN终结后的艮文发送到 TRUNK, 通过所述 TRUNK下所述配置为自环 的端口将所述二层 VPN终结后的上行报文环回到所述三层 VPN转发单元。

所述配置为自环的端口为端口聚合下的多个端 口的其中之一。 TRUNK 下的所述多个端口均配置为自环。

所述三层 VPN转发单元设置成：接收所述配置为自环的端 口环回的所述 二层 VPN终结后的上行报文， 对所述二层 VPN终结后的上行报文进行三层 VPN转发， 其中， 对所述二层 VPN终结后的上行报文进行三层 VPN转发包 括： 根据所述 TRUNK和接入所述三层 VPN的所述 vlan查找对应的 VRF, 根据所述 VRF和所述上行报文的目的 IP地址查找对应的路由条目； 从查找 到的所述路由条目中获取出端口， 从所述出端口将所述上行报文发送到所述 三层 VPN。

所述三层 VPN终结单元设置成： 对从所述三层 VPN接收到的下行报文 进行三层 VPN终结， 将三层 VPN终结后的报文的 vlan配置为接入二层 VPN 的 vlan, 将所述三层 VPN终结后的下行报文发送给所述配置为自环的 端口， 其中， 将所述三层 VPN终结后的下行报文发送给所述配置为自环的 端口包 括： 将所述三层 VPN终结后的艮文发送到所述 TRUNK, 通过所述 TRUNK 下所述配置为自环的端口将所述三层 VPN终结后的下行 "^文环回到所述二 层 VPN转发单元。

所述二层 VPN转发单元设置成：接收所述配置为自环的端 口环回的所述 三层 VPN终结后的下行报文， 对所述三层 VPN终结后的下行报文进行二层 VPN转发， 其中， 对所述三层 VPN终结后的下行报文进行二层 VPN转发包 括： 才艮据所述 TRUNK和接入所述二层 VPN的所述 vlan查找对应的 VRF, 根据所述 VRF和所述下行报文的目的 IP地址查找对应的路由条目； 从查找 到的所述路由条目中获取出端口， 从所述出端口将所述下行报文发送到所述 二层 VPN。

所述端口聚合单元设置成： 将一个或多个端口加入到一个聚合组中， 对 上述一个或多个端口实现聚合， 并将端口聚合下的端口配置为自环。

显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执 行， 并 且在某些情况下， 可以以不同于此处的顺序执行所示出或描述的 步骤， 或者 将它们分别制作成各个集成电路模块， 或者将它们中的多个模块或步骤制作 成单个集成电路模块来实现。 这样， 本发明实施例不限制于任何特定的硬件 和软件结合。

以上所述仅为本发明的优选实施例而已，并不 用于限制本发明保护范围， 对于本领域的技术人员来说， 本发明实施例可以有各种更改和变化。 凡在本 发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在 本发明的保护范围之内。

工业实用性 本发明实施例釆用端口聚合实现二层 VPN终结到三层 VPN转发， 在二 层 VPN和三层 VPN组网中， 只使用一个端口聚合就可以区分上下行， 减少 组网设备使用的台数， 降低了组网的复杂度， 节约了维护和管理成本， 使组 网也变得更加灵活。