Procedimiento para la implementación de Operación en Red Privada Virtual.

Un procedimiento para la implementación de Operación en Red Privada Virtual, abreviada en lo que sigue como VPN, que se caracteriza por comprender: configurar una etiqueta estática para una instancia de Envío de Enrutamiento de VPN, abreviada en lo que sigue como VRF

(VR2, VRF3), correspondiente a un Borde de Usuario, abreviado en lo que sigue como CE (CE-2, CE-3), conectado con un primer Borde de Proveedor, abreviado en lo que sigue como PE (PE-2, PE-3) (201); configurar en un segundo PE (PE-1), una o más rutas estáticas para alcanzar una entidad de red conectada con el CE (CE-2, CE-3), siendo la dirección de destino de cualquiera de las una o más rutas estáticas la dirección (dest2, dest3) de la entidad de red conectada con el CE (CE-2, CE-3), siendo la dirección de salto siguiente de cualquiera de las una o más rutas estáticas la dirección (addr2, addr3) del primer PE (PE-2, PE-3), y siendo la etiqueta estática configurada para el VRF (VRF2, VRF3) tomada como la etiqueta para cualquiera de las una o más rutas estáticas (201); tras la recepción de un mensaje que ha de ser enviado, encontrar por parte del segundo PE (PE-1) una ruta estática que contenga la dirección de destino en el mensaje, insertar la etiqueta de la ruta estática encontrada en el mensaje como etiqueta interna, y seleccionar un túnel para enviar el mensaje hasta el primer PE (PE-2, PE-3) de acuerdo con la dirección de salto siguiente de la ruta estática (202), y con la recepción del mensaje, buscar mediante el primer PE (PE-2, PE-3) el VRF (VRF-2, VRF-3) de acuerdo con la etiqueta interna del mensaje, y enviar el mensaje hasta la entidad de red conectada con el CE (CE2, CE3) de acuerdo con el VRF (VRF2, VRF3) encontrado (203).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2005/000841.

Solicitante: HUAWEI TECHNOLOGIES CO., LTD..

Nacionalidad solicitante: China.

Dirección: Huawei Administration Building, Bantian, Longgang District Shenzhen, Guangdong 518129 CHINA.

Inventor/es: DONG,WEISI.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • H04L12/56
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Redes de datos de conmutación (interconexión o... > H04L12/28 (caracterizados por la configuración de los enlaces, p. ej. redes locales (LAN), redes extendidas (WAN) (redes de comunicación inalámbricas H04W))
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Redes de datos de conmutación (interconexión o... > H04L12/46 (Interconexión de redes)

PDF original: ES-2321213_T3.pdf

 

google+ twitter facebookPin it
Procedimiento para la implementación de Operación en Red Privada Virtual.

Fragmento de la descripción:

Procedimiento para la implementación de una red privada virtual.

Campo de la invención

La presente invención se refiere a una tecnología de Red Privada Virtual (VPN) , y más en particular, a un procedimiento para la implementación de una PVN basada en el protocolo de Conmutación de Etiquetas Multi-Protocolo (MPLS) .

Antecedentes de la invención

Una VPN del Protocolo de Acceso Marginal (BGP) /Conmutación de Etiquetas Multi-Protocolo (MPLS) fue propuesta en 1999, y ha constituido el estándar 2547 de Peticiones de Comentarios (RFC) .

Un modelo de de VPN BGP/MPLS incluye tres partes: Un dispositivo de Borde del Usuario (CE) , un enrutador de Borde del Proveedor (PE) de red principal, y un enrutador del Proveedor (P) de red principal. De ellos, el dispositivo CE es un componente de una red de usuario y posee una interfaz que conecta con una red de operador directamente, el cual es normalmente un enrutador y no puede percibir la existencia de la PVN; el enrutador PE es un dispositivo de borde de la red del operador que conecta con un CE de un usuario directamente, y en la red MPLS, todo el procesamiento relacionado con la VPN se completa en el enrutador PE; y el enrutador P está situado en la red del operador a modo de enrutador principal, que no conecta con el enrutador de CE directamente, y que necesita disponer de capacidades básicas de señalización y envío de MPLS.

La división del CE y del PE se realiza principalmente en términos de ámbitos de gestión del operador y de los usuarios. El CE y el PE son los límites de los dos ámbitos de gestión. La información de enrutamiento puede ser conmutada entre el CE y el PE utilizando el BGP Externo (E-BGP) , el Protocolo de Acceso Interior (IGP) , o rutas estáticas. No es necesario que el CE soporte el protocolo MPLS o que esté capacitado para percibir la VPN. Dentro de la VPN, se conmuta la información de enrutamiento entre los PEs en base al Protocolo de Acceso Marginal Multi-Protocolo (MP-BGP) .

La VPN de BGP//MPLS definida por el RFC 2547 va a ser descrita en lo que sigue con detalle.

1. Una instancia de Enrutamiento/Envío de VPN (VRF)

Una VPN de BGP/MPLS se compone de múltiples sitios de usuario. Múltiples VRFs están salvados en un PE. Cada VRF corresponde a un sitio de usuario, y el contenido de un VRF incluye principalmente: una tabla de rutas de IP (Protocolo de Internet) , una tabla de envío de etiquetas, y una serie de información de interfaz y de información de gestión que hace uso de la tabla de envío de etiquetas. De éstas, la información de interfaz y la información de gestión incluyen: un Distinguidor de Ruta (RD) , una política de filtrado de ruta, una lista de interfaz de miembros, etc. Un VRF de un sitio de usuario en la VPN, integra realmente la relación del miembro de la VPN y las normas de enrutamiento del sitio de usuario. La información de envío de mensajes es salvada en la tabla de rutas de IP y en la tabla de envío de etiquetas de cada VRF. El sistema mantiene un conjunto independiente de tabla de enrutamiento y tabla de envío de etiquetas para cada VRF, evitando con ello que los datos escapen de la VPN e impidiendo que los datos de fuera de la VPN entren.

2. Una familia de direcciones de VPN-Protocolo de Internet versión 4 (VPN- IPv4)

En una VPN de BGP/MPLS, el BGP se utiliza para distribuir rutas de VPN entre los enrutadores de PE adoptando la nueva familia de direcciones de VPN- IPv4. En éstas, una dirección de VPN-IPv4 contiene 12 bytes, empezando por un RD de 8 bytes, y terminando con una dirección IPv4 de 4 bytes. El operador puede distribuir un RD independiente; sin embargo, necesita hacer que su número privado de Sistema Autónomo (AS) forme parte del RD para asegurar la unicidad global de cada RD. La dirección de VPN- IPv4, de la que el RD sea cero, es sinónima con la dirección IPv4 globalmente única. Tras este procesamiento, incluso la dirección IPv4 de 4 bytes contenida en la dirección de VPN-IPv4 se solapa, pudiendo la dirección de VPN-IP4 mantener aún su unicidad global. Además, la ruta, que el enrutador de PE recibe desde el enrutador de CE, es una ruta IPv4, de modo que la ruta necesita ser introducida en la tabla de rutas de VRF con el fin de que un RD pueda ser vinculado a la ruta. En aplicaciones prácticas, todas las rutas del mismo sitio de usuario pueden estar configuradas con un RD idéntico.

3. Atributos de VPN-Objetivo

Los atributos de VPN-Objetivo determinan finalmente la división de la VPN en la red global. La VPN de MPLS/BGP no posee ninguna etiqueta explícita de VPN, por lo que depende principalmente del atributo de VPN-Objetivo para determinar las rutas de qué sitios entre los que un sitio puede recibir, y en qué sitio las rutas del sitio pueden ser recibidas. Existen dos conjuntos de atributos VPN-Objetivo en el enrutador de PE: un conjunto es para el comienzo vinculado a una ruta recibida desde un sitio, denominado Exportar VPN-Objetivos, mientras que el otro conjunto es para determinar qué ruta puede ser introducida en la tabla de rutas del sitio, denominado Importar VPN-Objetivos. Emparejando los atributos de Objetivo de Ruta transportados por la ruta, es posible obtener la relación de miembro de la VPN. Además, se puede utilizar también un emparejamiento de los atributos de Objetivo de Ruta para filtrar la información de enrutamiento recibida por el enrutador de PE, es decir, cuando la información de enrutamiento entra en el enrutador de PE, si existen unidades de información idénticas entre el conjunto de Exportar Objetivos de Ruta y el conjunto de Importar Objetivos de Ruta, la ruta será aceptada, y si no existen unidades de información idénticas entre el conjunto de Exportar Objetivos de Ruta y el conjunto de Importar Objetivos de Ruta, la ruta será rechazada.

4. Envío de mensaje de VPN

Con el fin de implementar el envío de mensaje de VPN en la VPN de BGP/MPLS, se aplica un método de etiqueta de 2 capas al envío de un mensaje de VPN. La etiqueta de la primera capa, es decir, la etiqueta de la capa externa conmutada en el interior de la red principal, representa una Trayectoria Conmutada de Etiqueta (LSP) desde un PE hasta un PE PEER, y utilizando la etiqueta de la primera capa, el mensaje puede alcanzar el PE PEER a lo largo de la LSP correspondiente a la etiqueta de la primera capa. La etiqueta de la segunda capa, es decir, una capa de etiqueta interior, utilizada cuando se transmite un mensaje desde el PE PEER hasta el CE, indica el sitio al que debe llegar el mensaje, o más en particular, a qué CE debe llegar el mensaje, y de acuerdo con la etiqueta de capa, es posible encontrar la interfaz destinada a enviar el mensaje al usuario. Si el sitio origen y el sitio destino del mensaje de VPN conectan ambos con el mismo PE, no existirá más el problema de cómo el mensaje alcanza al PE PEER, y el problema que debe ser resuelto consiste solamente en cómo llegar al CE que conecta con un sitio de destino.

5. Distribución de información de enrutamiento de VPN a través del BGP

La información de enrutamiento es transmitida entre el CE y el PE por medio del IGP o del EBGP. El PE obtiene la tabla de rutas de la VPN y la salva en un VRF independiente. Varios PEs adoptan el IGP para asegurar la conectividad de la red de operador, transferir la información de construcción de la VPN y las rutas a través del BGP Interno (IBGP) , y completar la actualización de sus propios VRFs, respectivamente. Y después, el PE actualiza la tabla de rutas de un CE conectando directamente con el PE mediante conmutación de las rutas con el CE, realizando con ello la conmutación de la ruta entre una diversidad de CEs.

Según se aprecia a partir de la descripción que antecede, en la técnica anterior, dos... [Seguir leyendo]

 


Reivindicaciones:

1. Un procedimiento para la implementación de Operación en Red Privada Virtual, abreviada en lo que sigue como VPN, que se caracteriza por comprender:

configurar una etiqueta estática para una instancia de Envío de Enrutamiento de VPN, abreviada en lo que sigue como VRF (VR2, VRF3) , correspondiente a un Borde de Usuario, abreviado en lo que sigue como CE (CE-2, CE-3) , conectado con un primer Borde de Proveedor, abreviado en lo que sigue como PE (PE-2, PE-3) (201) ;

configurar en un segundo PE (PE-1) , una o más rutas estáticas para alcanzar una entidad de red conectada con el CE (CE-2, CE-3) , siendo la dirección de destino de cualquiera de las una o más rutas estáticas la dirección (dest2, dest3) de la entidad de red conectada con el CE (CE-2, CE-3) , siendo la dirección de salto siguiente de cualquiera de las una o más rutas estáticas la dirección (addr2, addr3) del primer PE (PE-2, PE-3) , y siendo la etiqueta estática configurada para el VRF (VRF2, VRF3) tomada como la etiqueta para cualquiera de las una o más rutas estáticas (201) ;

tras la recepción de un mensaje que ha de ser enviado, encontrar por parte del segundo PE (PE-1) una ruta estática que contenga la dirección de destino en el mensaje, insertar la etiqueta de la ruta estática encontrada en el mensaje como etiqueta interna, y seleccionar un túnel para enviar el mensaje hasta el primer PE (PE-2, PE-3) de acuerdo con la dirección de salto siguiente de la ruta estática (202) , y

con la recepción del mensaje, buscar mediante el primer PE (PE-2, PE-3) el VRF (VRF-2, VRF-3) de acuerdo con la etiqueta interna del mensaje, y enviar el mensaje hasta la entidad de red conectada con el CE (CE2, CE3) de acuerdo con el VRF (VRF2, VRF3) encontrado (203) .

2. El procedimiento de acuerdo con la reivindicación 1, que se caracteriza porque comprende además: transferir información de enrutamiento de VPN entre los PEs (PE-1, PE-2, PE-3) por medio de un protocolo de acceso marginal de extensión de multi-protocolo.

3. El procedimiento de acuerdo con la reivindicación 2, que se caracteriza porque la información de enrutamiento de VPN es la información contenida en una o más rutas estáticas configuradas en el segundo PE (PE-1) .

4. El procedimiento de acuerdo con la reivindicación 1, que se caracteriza porque, cuando se encuentra una ruta estática que contiene la dirección de destino (dest2, dest3) en el mensaje, dicho procedimiento comprende además: si se encuentra la ruta estática, continuar el procedimiento; en otro caso, terminar el procedimiento.

5. El procedimiento de acuerdo con la reivindicación 1, que se caracteriza porque el túnel es un túnel de Encapsulamiento de Enrutamiento Genérico, o un Túnel Seguro de Protocolo de Internet.

6. El procedimiento de acuerdo con la reivindicación 1, que se caracteriza porque la dirección del primer PE (PE-2, PE-3) es una dirección pública del primer PE (PE-2, PE-3) .

7. El procedimiento de acuerdo con la reivindicación 1, que se caracteriza porque la dirección (addr2, addr3) de la entidad de red es la dirección del segmento de red de la entidad de red.

8. Un sistema para la implementación de Operación en Red Privada Virtual, abreviada en lo que sigue como VPN, que se caracteriza por comprender:

un Borde de Usuario, abreviado en lo que sigue como CE (CE-2, CE-3) , conectado con un Borde de Proveedor, abreviado en lo que sigue como PE (PE-2, PE-3) ;

una entidad de red, conectada con el CE (CE-2, CE-3) ;

correspondiendo el primer PE (PE-2, PE-3) , configurado con una etiqueta para una instancia de Envío de Enrutamiento de VPN, abreviada en lo que sigue como VRF (VRF2, VRF3) , con el CE (CE-2, CE-3) ; configurado para buscar el VRF (VRF-2, VRF-3) de acuerdo con una etiqueta interna del mensaje, y para enviar el mensaje a la entidad de red conectada con el CE (CE2, CE3) de acuerdo con el VRF (VRF2, VRF3) encontrado (203) , y

un segundo PE (PE-1) , configurado con una o más rutas estáticas para alcanzar una entidad de red conectada con el CE (CE-2, cE-3) , siendo la dirección de destino de cualquiera de las una o más rutas estáticas la dirección (dest2, dest3) de la entidad de red conectada con el CE (CE-2, CE-3) , siendo la dirección de salto siguiente de cualquiera de las una o más rutas estáticas la dirección (addr2, addr3) del primer PE (PE-2, PE-3) , y siendo una etiqueta configurada para el VRF (VRF2, VRF3) tomada como la etiqueta de cualquiera de las una o más rutas estáticas; estando configurado para encontrar una ruta estática que contenga la dirección de destino en un mensaje tras la recepción del mensaje, insertar la etiqueta en la ruta estática encontrada en el mensaje como etiqueta interna, y seleccionar un túnel para enviar el mensaje al primer PE (PE-2, PE-3) de acuerdo con la dirección de salto siguiente de la ruta estática.