专利名称:支持大规模多用户并发访问的mplsvpn在线实验方法
技术领域:
本发明涉及的是一种网络技术领域的方法,具体是一种支持大规模多用户并发访问的MPLS VPN在线实验方法。
背景技术:
MPLS VPN是一种基于MPLS(多协议标记交换)技术的IP VPN(IP虚拟专用网络),是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络。它可以满足多种灵活的业务需求,特别是通过MPLS VPN为企业用户提供语音、数据甚至视频业务在内的统一通信平台(即所谓的“三网合一”)。因此,MPLS VPN已成为网络安全研究和Internet应用的一个重要方向。根据调查,目前市场上的MPLS VPN产品是基于实际应用网络的需求研制的,不允许非管理员修改配置,也不能为非管理员用户保存各自的配置,尤其不适合开展MPLS VPN技术的教学实验。
经对现有技术的查新发现,IP Infusion公司的ZebOS Advanced RoutingSuite(ZebOS高级路由软件包)虽然支持虚拟路由器的MPLS VPN解决方案,但是MPLS VPN方案中的每一个路由器都需要在一台主机上运行ZebOS软件来仿真,而且由于其对MPLS及VPN模块的技术保密,不便于灵活进行内部模块的功能验证和MPLS VPN的集中管理与控制,同时也不便于实现实验的交互性。在进一步的检索中,尚未发现与本发明主题相同或者类似的文献报道。
发明内容
本发明目的在于克服现有技术的不足,提供一种基于虚拟路由器的支持大规模多用户并发访问的MPLS VPN在线实验方法,使其满足VPN教学实验的需要,同时也可以用于支持基于MPLS及VPN网络的各种实验、工程应用研究和工程仿真测试。
本发明是通过以下技术方案实现的,本发明首先分配独立的IP地址段,用于配置各个虚拟路由器;然后构建虚拟的系统拓扑结构;接着通过WEB技术在VPN服务器上启动CE(客户边缘)、PE(服务供应商边缘)、P(服务供应商)虚拟路由器进程,然后在虚拟路由器上启动OSPF(开放最短路径优先)、BGP(边缘网关协议)、MPLS模块来构建虚拟的MPLS网络,接着通过配置并启动PE路由器上的VRF模块来构建BGP/MPLS VPN网络,再验证MPLS VPN是否建立成功,最后生成实验结果,即通过WEB浏览器实现系统的交互性并显示和保存实验结果到数据库。
所述的分配独立的IP地址段实验者首先登录页面,系统自动分配实验者可用的IP地址段,用于配置各个虚拟路由器,而且各个实验者的地址段互不冲突。
所述的配置虚拟的系统拓扑结构首先实验者根据各自设计的拓扑来配置自治域(AS)内的虚拟拓扑,然后本组所有的区域都连接到系统自动生成的OSPF骨干区域Area 0,一起构成AS,从而生成虚拟的系统拓扑结构。这样使得所有用户看到的网络拓扑都是一致的,也就是两两之间都可以在同一个拓扑环境中进行数据的传送。这样既使得每个用户能独立配置自己的网络,又使得各个用户能共享一部分软件资源,有效地解决了来解决软件资源有限性和用户操作独立性之间的矛盾。配置自治域(AS)内的虚拟拓扑,通过以下方法来实施a)实验者添加所需的路由器;b)配置相应的接口;c)配置相邻路由器的物理连接。
所述的启动CE、PE、P虚拟路由器通过WEB页面在VPN服务器中利用多线程技术启动所添加的虚拟的CE、PE、P路由器进程。其中CE、PE、P路由器的主要功能如下CE路由器为客户端路由器,为用户提供到PE路由器的连接。PE路由器为MPLS网络中的标签边缘路由器(LER),存放着VRF表(虚拟路由转发表)和全局路由表,VRF中存放着VPN路由,全局路由表中存放着域内路由,它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;P路由器为核心路由器,也就是MPLS网络中的标签交换路由器(LSR),负责VPN分组外层标签的交换,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。
所述的构建虚拟的MPLS网络在基于虚拟路由器的基础上,启动高层的网络协议OSPF、BGP、MPLS模块,以实现高层虚拟交换。即在所有CE上启动标准BGP协议,在所有PE上启动扩展BGP协议、OSPF协议、LDP协议,在所有的P路由器上启动OSPF协议、LDP协议,从而构建虚拟的MPLS网络。OSPF、BGP、MPLS模块的主要功能如下OSPF模块即路由协议,负责路由的计算、数据分组的转发以及访问控制列表功能;BGP模块主要包括标准的BGP协议和扩展的BGP(MP-BGP)协议,前者是通过FSM状态机来控制BGP的路由和标签分发,后者负责PE路由器之间的VPN路由分发;MPLS模块主要包括控制部分(LDP协议)和转发部分(MPLS协议),LDP协议是MPLS的控制与信令协议,该协议部分主要完成更新出标签和分配入标签,MPLS协议主要完成数据的转发。
所述的配置并启动PE路由器上的VRF模块PE路由器要为每个CE路由器进行VRF表的配置,用于识别各CE所属的VPN。对于每一个VRF表,都具有路由区分符RD和路由目标RT两大属性。VPN中IP地址的规划是由客户自行制订的,所以会出现地址重叠现象,通过将8个字节的RD作为IPv4地址前缀的扩展,使不唯一的IPv4地址转化为唯一的VPN-IPv4地址。若PE路由器上的某个子接口属于多个VPN,此时,该子接口所对应的VRF表只能被分配一个RD,从而多个VPN共享一个RD。VRF模块的配置具体通过以下方法来实施a)指定VRF名称;b)选择PE路由器上执行VRF协议的接口;c)配置RD和RT两大属性。
所述的验证MPLS VPN是否建立成功实验者在实验机上Ping对方实验机,如果Ping通,说明VPN建立成功。相反,则表明VPN建立不成功,需要返回上一步骤重新开始。
本发明由于采用了虚拟技术,能够很简单的实现多用户并发控制。每个实验者可以根据自己的需求构建一个属于自己的虚拟网络,而在VPN服务器上,一个虚拟设备可以是只属于一个实验者的,也可以是属于多个实验者的,每个实验者拥有一个只属于自己的虚拟路由表,这样就实现了多用户并发控制而他们之间不会相互干扰。
本发明具有优点(1)支持多种形式的基于BGP/MPLS VPN实验。实验系统可以支持诸如MPLS网络配置实验,BGP和MP-BGP配置实验,及BGP/MPLS VPN综合实验等。(2)支持大规模性。为了同时满足众多实验参与者的实验需求,并充分地利用有限的网络资源,基于在PE路由器上不同的VRF配置,系统可以支持近百名学生同时进行VPN实验而互不影响,达到了多用户并发控制的要求。(3)支持交互性。通过WEB浏览器形式,管理中心WEB服务器根据实验者的请求,在VPN服务器上进行相关的配置,然后返回实验中的相关数据结果包括VPN配置结果,VPN隧道建立结果和VPN数据发送结果等等。系统最大程度的支持交互性,以实现实验者与VPN设备之间的互动。(4)支持集中式管理。经过管理中心身份认证后,实验者才能进行各种实验。同时管理中心记录实验者的身份ID,自动生成实验者相应的实验记录文件。集中式管理提高了实验环境的安全性,也便于对实验者的监督管理。
此外,传统的BGP/MPLS VPN大都是基于实际的Cisco路由器上的,由于实验需要多台路由器,而每台路由器的成本不菲,所以传统实验的成本非常高。本实验系统采用了虚拟交换技术,在一台服务器上可以启动多个虚拟路由器,所以成本大大降低。利用虚拟网络和虚拟交换技术,还可以进行其它网络新技术的研究。
图1本发明BGP/MPLS VPN多用户实验拓扑结构图具体实施方式
下面结合本发明在“BGP/MPLS VPN”实验中的应用,具体阐述其实施方式。在该实施例中,实验者首先登录页面,系统自动分配实验者可用的IP地址段,用于配置各个虚拟路由器,而且各个实验者的地址段互不冲突。所有的CE、PE和P虚拟路由器进程在同一台VPN服务器上运行。实验环境如图1所示。具体步骤如下(1)配置虚拟的系统拓扑结构首先实验者添加所需的路由器CE1、PE1、P1;然后为各路由器配置相应的接口;接着为路由器配置相邻路由器的物理连接。这样就生成自治域(Areal)内的虚拟拓扑。同样,本组其它实验者按照相同方法配置自治域(Area3)内的虚拟拓扑,最后本组所有的区域都连接到系统自动生成的OSPF骨干区域Area 0,一起构成AS,生成虚拟的系统拓扑结构。
(2)启动CE、PE、P虚拟路由器通过WEB页面在VPN服务器中启动所添加的CE、PE、P路由器。
(3)构建虚拟的MPLS网络搭建好网络拓扑后,在所有CE上启动标准BGP协议,在所有PE上启动扩展BGP协议、OSPF协议、LDP协议,在所有的P路由器上启动OSPF协议、LDP协议。
(4)配置并启动PE路由器上的VRF模块启动VRF后并进行VRF配置,即在PE1连向CE1的接口上配置VRF1(RD=1,RT=100),在PE3连向CE3的接口上配置VRF3(RD=i,RT=100)。
(5)验证MPLS VPN是否建立成功实验者在实验机上Ping对方实验机,如果Ping通,说明VPN建立成功。相反,则表明VPN建立不成功,需要返回上一步骤重新开始。
(6)生成实验结果通过WEB页面显示实验结果并把结果保存到管理中心的数据库中。
实例表明,采用以上方法能进行实时交互及集中管理功能的BGP/MPLS VPN实验。该方法提供了面向BGP/MPLS的VPN教学与科研环境,可以支持基于MPLS及VPN网络的各种实验、应用研究和仿真测试。
权利要求
1.一种支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征在于,首先分配独立的IP地址段,用于配置各个虚拟路由器;然后构建虚拟的系统拓扑结构;接着通过WEB技术在VPN服务器上启动CE、PE、P虚拟路由器进程,然后在虚拟路由器上启动OSPF、BGP、MPLS模块来构建虚拟的MPLS网络,接着通过配置并启动PE路由器上的VRF模块来构建BGP/MPLS VPN网络,再验证MPLS VPN是否建立成功,最后生成实验结果,即通过WEB浏览器实现系统的交互性并显示和保存实验结果到数据库。
2.根据权利要求1所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的分配独立的IP地址段,是指实验者登录页面,系统自动分配实验者可用的IP地址段,用于配置各个虚拟路由器,而且各个实验者的地址段互不冲突。
3.根据权利要求1所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的构建虚拟的系统拓扑结构,是指首先实验者根据各自设计的拓扑来配置AS内的虚拟拓扑,然后本组所有的区域都连接到系统自动生成的OSPF骨干区域Area 0,一起构成AS,生成虚拟的系统拓扑结构。
4.根据权利要求3所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,配置AS内的虚拟拓扑,通过以下方法来实施a)实验者添加所需的路由器;b)配置相应的接口;c)配置相邻路由器的物理连接。
5.根据权利要求1所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的启动CE、PE、P虚拟路由器,是指通过WEB页面在VPN服务器中利用多线程技术启动所添加的虚拟的CE、PE、P路由器进程,其中CE路由器为客户端路由器,为用户提供到PE路由器的连接;PE路由器为MPLS网络中的标签边缘路由器LER,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着域内路由,它根据存放的路由信息将来自CE路由器或标签交换路径LSP的VPN数据处理后进行转发,同时负责和另外的PE路由器交换路由信息;P路由器为核心路由器,也就是MPLS网络中的标签交换路由器LSR,负责VPN分组外层标签的交换,P路由器只维护到PE路由器的路由信息。
6.根据权利要求1所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的构建虚拟的MPLS网络,是指在基于虚拟路由器的基础上,启动高层的网络协议OSPF、BGP、MPLS模块,以实现高层虚拟交换,即在所有CE上启动标准BGP协议,在所有PE上启动扩展BGP协议、OSPF协议、LDP协议,在所有的P路由器上启动OSPF协议、LDP协议,从而构建虚拟的MPLS网络。
7.根据权利要求1或者6所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的OSPF模块即路由协议,负责路由的计算、数据分组的转发以及访问控制列表功能;BGP模块包括标准的BGP协议和扩展的BGP协议,前者是通过FSM状态机来控制BGP的路由和标签分发,后者负责PE路由器之间的VPN路由分发;MPLS模块包括控制部分即LDP协议和转发部分即MPLS协议,LDP协议是MPLS的控制与信令协议,该协议部分主要完成更新出标签和分配入标签,MPLS协议主要完成数据的转发。
8.根据权利要求1所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的配置并启动PE路由器上的VRF模块,是指PE路由器要为每个CE路由器进行VRF表的配置,用于识别各CE所属的VPN,对于每一个VRF表,都具有路由区分符RD和路由目标RT两大属性,VPN中IP地址的规划是由客户自行制订的,所以会出现地址重叠现象,通过将8个字节的RD作为IPv4地址前缀的扩展,使容易出现地址重叠的IPv4地址转化为唯一的VPN-IPv4地址,若PE路由器上的某个子接口属于多个VPN,此时,该子接口所对应的VRF表只能被分配一个RD,从而多个VPN共享一个RD。
9.根据权利要求8所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的VRF模块的配置,通过以下方法来实施a)指定VRF名称;b)选择PE路由器上执行VRF协议的接口;c)配置RD和RT两大属性。
10.根据权利要求1所述的支持大规模多用户并发访问的MPLS VPN在线实验方法,其特征是,所述的验证MPLS VPN是否建立成功,是指实验者在实验机上Ping对方实验机,如果Ping通,说明VPN建立成功;相反,则表明VPN建立失败,需要返回上一步骤重新开始。
全文摘要
一种网络技术领域的支持大规模多用户并发访问的MPLS VPN在线实验方法,首先系统自动分配实验者可用的IP地址段,用于配置各个虚拟路由器;然后构建虚拟的系统拓扑结构;接着通过WEB技术在VPN服务器上启动所需的CE、PE、P路由器,然后在虚拟路由器上启动OSPF、BGP、MPLS模块来构建虚拟的MPLS网络,接着通过配置并启动VRF模块来构建BGP/MPLS VPN网络,最后通过WEB浏览器实现系统的交互性。本发明在BGP/MPLS VPN领域内尚属首创,通过虚拟交换技术解决了目前大部分MPLS VPN产品不能运用到了大规模多用户并发控制的教学实验的问题。实例表明,该方法为MPLS VPN提供良好的教学实验平台,在此基础上,还可以进行工程仿真测试以及其它网络新技术的研究。因此,该方法具有很强的推广和使用价值。
文档编号H04L12/56GK1761253SQ20051003097
公开日2006年4月19日 申请日期2005年11月3日 优先权日2005年11月3日
发明者杨树堂, 陆松年, 李建华, 李铎锋, 赖德新 申请人:上海交通大学