PatentDe  


Dokumentenidentifikation DE102006037499A1 03.05.2007
Titel Verfahren und System zum Entdecken und Bereitstellen von Beinahe-Echtzeit-Aktualisierungen von VPN-Topologien
Anmelder Agilent Technologies, Inc. (n.d.Ges.d.Staates Delaware), Palo Alto, Calif., US
Erfinder Tatmann, Lance A., Loveland, Col., US
Vertreter Schoppe, Zimmermann, Stöckeler & Zinkler, 82049 Pullach
DE-Anmeldedatum 10.08.2006
DE-Aktenzeichen 102006037499
Offenlegungstag 03.05.2007
Veröffentlichungstag im Patentblatt 03.05.2007
IPC-Hauptklasse H04L 12/24(2006.01)A, F, I, 20060810, B, H, DE
IPC-Nebenklasse H04L 12/26(2006.01)A, L, I, 20060810, B, H, DE   
Zusammenfassung Jeder Anbieter-Kantenrouter in einem Anbieternetzwerk, der mit einem oder mehreren VPNs verbunden ist, wird identifiziert. Jeder identifizierte Anbieter-Kantenrouter wird dann abgefragt, um VPN-Konfigurations- und VPN-Richtlinien-Informationen für jedes VPN zu erhalten, das auf diesem Kantenrouter konfiguriert ist. Routingprotokollmitteilungen, wie z. B. Border-Gateway-Protokoll/Multiprotokoll-Label-Switching- (BGP/MPLS) und Interior-Gateway-Protokoll(IGP)-Mitteilungen werden dann von dem Anbieternetzwerk gesammelt. Unter Verwendung der entdeckten Richtlinien und Topologieinformationen können VPN-Routinginformationen, die in den Routingprotokollmitteilungen getragen werden, verwendet werden, um VPN-Topologie- und Status-Informationen in Beinahe-Echtzeit zu aktualisieren.

Beschreibung[de]

Ein virtuelles privates Netzwerk (VPN; VPN = Virtual Private Network) ist ein Netzwerkentwurf, der eine logisch isolierte Verbindung für Vorrichtungen durch ein ungesichertes oder öffentliches Netzwerk, wie z. B. das Internet, liefert. Typischerweise sind die Informationen, die über das VPN gesendet werden, verschlüsselt, was zu einem „virtuellen Netzwerk" führt, das privat ist und es Benutzern ermöglicht, vertrauenswürdige Informationen über das nicht gesicherte Netzwerk auszutauschen. Beispielsweise kann ein Unternehmen mit Büros in unterschiedlichen Städten ein VPN innerhalb des Internets erzeugen, um die Geräte in jedem Büro in einem privaten virtuellen Netzwerk zusammenfassen. Die Büros können dann firmeninterne und vertrauenswürdige Informationen über das sichere VPN austauschen.

1 ist eine schematische Darstellung eines Netzwerks und eines VPN gemäß dem Stand der Technik. Das Anbieternetzwerk 100 umfasst einen Anbieter-Router 102 und Anbieter-Kantenrouter 104, 106. Die Anbieter-Kantenrouter 104, 106 wirken als ein Eingangs- oder Ausgangspunkt für ein VPN, während der Anbieter-Router 102 dies nicht tut. Die Kundenstandorte 108, 110 umfassen Kunden-Kantenrouter 112 bzw. 114, die ebenfalls als ein Eingangs- oder Ausgangspunkt für ein VPN wirken. Der Kunden-Kantenrouter 112 ist über eine Verbindung 116 mit dem Anbieter-Kantenrouter 104 verbunden, während der Kunden-Kantenrouter 114 über eine Verbindung 118 mit einem Anbieter-Kantenrouter 106 verbunden ist. Das VPN 120 erzeugt ein virtuelles Netzwerk, das den Kundenstandort 108 über ein Anbieternetzwerk 100 mit dem Kundenstandort 110 verbindet.

SNMP-Mitteilungen (SNMP = Simple Network Management Protocol = einfaches Netzwerkverwaltungsprotokoll) werden verwendet, um Leistungs- und Konfigurationsinformationen für die Router 102, 104, 106 zu erhalten. Weil der Dienstanbieter, der in dem Anbieternetzwerk 100 arbeitet, keinen SNMP-Zugriff auf Kunden-Kantenrouter 112, 114 hat, müssen Anbieter-Kantenrouter 104, 106 abgefragt werden, um zu erfahren, ob einer oder beide Kantenrouter 104, 106 mit einem oder mehreren VPNs verbinden. Zustimmende Mitteilungen, die ansprechend auf jede Anfrage erzeugt werden, umfassen Informationen über jedes VPN, und diese Mitteilungen werden an die Vorrichtung zurückgesendet, die die Anfrage gestarttet hat. Das VPN 120 wird entdeckt, wenn die Router 104 und 106 abgefragt werden.

Der Bedarf, jede Vorrichtung abzufragen, erhöht die Last, die auf Netzwerkvorrichtungen auferlegt wird, weil jede Abfrage durch jede Vorrichtung verarbeitet werden muss und von jeder Vorrichtung eine Antwort formuliert und übertragen werden muss. Darüber hinaus erhöht sich die Zeitdauer, die benötigt wird, um Abfragen zu senden und zu empfangen, wenn sich die Anzahl von Vorrichtungen in einem Netzwerk erhöht. Beispielsweise führt ein Netzwerk mit tausend Routern zu zumindest tausend Abfragen und zumindest tausend Antworten. Und da Vorrichtungen regelmäßig abgefragt werden, wie z. B. alle fünf Minuten, kann es sein, dass jede Aktivität, die zwischen Abfrageperioden auftritt, für den Betreiber unsichtbar ist. Folglich können Topologieinformationen nicht in Echtzeit verfolgt werden, was dazu führt, dass Netzwerkverwaltungssysteme veraltete Topologieinformationen enthalten.

Es ist die Aufgabe der vorliegenden Erfindung, ein System zum Beibehalten einer Beinahe-Echtzeit-Topologie für ein oder mehrere virtuelle private Netzwerke, die einem Anbieternetzwerk zugeordnet sind, ein System zum Beibehalten einer Beinahe-Echtzeit-Topologie für ein oder mehrere virtuelle private Netzwerke in einem Anbieternetzwerk sowie ein Verfahren zum Bestimmen einer Topologie für ein oder mehrere virtuelle private Netzwerke mit verbesserten Charakteristika zu schaffen.

Diese Aufgabe wird durch ein System gemäß Anspruch 1 und 6 sowie ein Verfahren gemäß Anspruch 10 gelöst.

Gemäß der Erfindung werden ein Verfahren und System zum Entdecken und Aktualisieren von VPN-Topologien in Beinahe-Echtzeit geschaffen. Jeder Anbieter-Kantenrouter in einem Anbieternetzwerk, der mit einem oder mehreren VPN verbunden ist, wird identifiziert. Jeder identifizierte Anbieter-Kantenrouter wird dann abgefragt, um VPN-Konfiguration und VPN-Richtlinieninformationen für jedes VPN zu erhalten, das auf diesem Kantenrouter konfiguriert ist. Routing-Protokollmitteilungen, wie z. B. Border-Gateway-Protokoll/Multiprotokoll-Label-Switching-(BGP/MPLS-) und Interior-Gateway-Protokoll-(IGP-) Mitteilungen werden dann von dem Anbieternetzwerk gesammelt. Unter Verwendung der entdeckten Richtlinien und Topologieinformationen können VPN-Routing-Informationen, die in den Routing-Protokollmitteilungen getragen werden, verwendet werden, um VPN-Topologie- und -Status-Informationen in Beinahe-Echtzeit zu aktualisieren.

Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf beiliegende Zeichnungen näher erläutert. Es zeigen:

1 eine schematische Darstellung eines Netzwerks und eines VPN gemäß dem Stand der Technik;

2 eine schematische Darstellung eines Netzwerks und eines VPN bei einem ersten Ausführungsbeispiel gemäß der Erfindung;

3 ein Flussdiagramm eines Verfahrens zum Entdecken von VPN-Topologien bei einem Ausführungsbeispiel gemäß der Erfindung;

4 ein Flussdiagramm, das ein erstes Verfahren darstellt zum Identifizieren der P- und PE-Router, wie es in Block 302 von 3 gezeigt ist;

5 ein Flussdiagramm, das ein Verfahren zum Identifizieren der BGP-Router darstellt, wie sie in Block 400 von 4 gezeigt sind;

6 ein Flussdiagramm, das ein Verfahren zum Identifizieren der PE-Router darstellt, wie es in Block 402 von 4 gezeigt ist;

7 ein Flussdiagramm, das ein zweites Verfahren zum Identifizieren der P- und PE-Router darstellt, wie es in Block 302 von 3 gezeigt ist;

8 ein Flussdiagramm, das ein drittes Verfahren zum Identifizieren der P- und PE-Router darstellt, wie es in Block 302 von 3 gezeigt ist; und

9 eine schematische Darstellung eines Netzwerks und eines VPN bei einem zweiten Ausführungsbeispiel gemäß der Erfindung.

Die folgende Beschreibung wird präsentiert, um es zu ermöglichen, dass Ausführungsbeispiele der Erfindung durchgeführt und verwendet werden, und wird im Zusammenhang einer Patentanmeldung und ihrer Anforderungen bereitgestellt. Verschiedene Modifikationen der erörterten Ausführungsbeispiele gemäß der Erfindung sind ohne weiteres offensichtlich, und die allgemeinen Prinzipien hierin können auf andere Ausführungsbeispiele angewendet werden. Somit soll die Erfindung nicht auf die gezeigten Ausführungsbeispiele begrenzt sein, sondern den weitesten Schutzbereich eingeräumt bekommen, der mit den angehängten Ansprüchen und mit den hierin beschriebenen Prinzipien und Merkmalen übereinstimmt.

Mit Bezugnahme auf die Figuren und insbesondere mit Bezugnahme auf 2 ist eine schematische Darstellung eines Netzwerks und eines VPN in einem ersten Ausführungsbeispiel gemäß der Erfindung gezeigt. Das Anbieternetzwerk 200 umfasst Anbieter-(P-) Router 202, 204, Anbieter-Kanten-(PE-) Router 206, 208 und eine Netzwerküberwachungseinheit 210. Der Kundenstandort 212 umfasst einen Kunden-Kanten-(CE-) Router 214 und einen Kunden-(C-) Router 216. Der Kundenstandort 218 umfasst einen Kunden-Kanten-(CO-) Router 220 und einen Kunden-(C-) Router 222. Das VPN 224 verbindet den Kundenstandort 212 über das Anbieternetzwerk 200 mit dem Kundenstandort 218. Die Topologie des Anbieternetzwerks 200 ist als eine „BGP-Full-Mesh-" bzw. BGP-Vollständige-Vernetzung-Topologie bekannt, da sich Anbieter-Router 202, 204 und Anbieter-Kantenrouter 206, 208 mit jedem anderen BGP-sprechenden Router in dem Netzwerk 200 peermäßig verbinden.

Bei einem Ausführungsbeispiel gemäß der Erfindung unterstützen P-Router 202, 204 und PE-Router 206, 208 VPN SNMP MIBS. Eine MIB ist eine Management-Informationsbasis, die abgefragt werden kann, um zu identifizieren, welche Router Anbieter-Router und Provider-Kantenrouter sind, zusammen mit jeder VPN-Konfiguration und Richtlinie. Diese Informationen werden verwendet, um eine Topologieabbildung zu beginnen und Routing-Angeboten basierend auf Routerrichtlinien zu filtern.

Das VPN 224 wird gemäß einem Ausführungsbeispiel der Erfindung unter Verwendung des Border-Gateway-Protokoll/Multiprotokoll-Label-Switching-(BGP/MPLS) VPN-Standards erzeugt, der in RFC 2547bis beschrieben ist. BGP/MPLS überträgt VPN-Routinginformationen über Erweiterungen an das BGP-Protokoll. Ein Multiprotokoll-BGP wird verwendet, um bei dem Ausführungsbeispiel von 2 externe Routinginformationen auszutauschen.

P-Router 202, 204 in dem Netzwerk 200 sind anbietereigene BGP-sprechende Router, die nicht als ein Eingangs- oder Ausgangspunkt für ein VPN dienen. PE-Router 206, 208 sind anbietereigene BGP-sprechende Router, die entweder als Eingang oder Ausgang oder sowohl Eingang als auch Ausgang für ein VPN dienen. Der Router 214 an dem Kundenstandort 212 und der Router 220 an dem Kundenstandort 218 sind kundeneigene Router, die als ein Eingangs-, Ausgangs- oder sowohl als ein Eingangs- als auch ein Ausgangspunkt für Kundenstandorte 212 bzw. 218 dienen.

Wie es oben erörtert wurde, sind Router 202, 204, 206, 208 BGP-Peers in dem Netzwerk 200. Somit empfängt jeder Router 202, 204, 206, 208 Routingmitteilungen von den anderen Routern. Bei einem Ausführungsbeispiel gemäß der Erfindung entdeckt und überwacht eine Netzwerküberwachungseinheit 210 in Beinahe-Echtzeit die VPN-Topologie des Netzwerks 200. Die Netzwerküberwachungseinheit 210 ist bei einem Ausführungsbeispiel gemäß der Erfindung als ein Computer oder Server implementiert. Bei anderen Ausführungsbeispielen gemäß der Erfindung ist die Netzwerküberwachungseinheit als eine zweckgebaute Hardware implementiert, wie z. B. eine anwendungsspezifische integrierte Schaltung, ein feldprogrammierbares Gatterarray, Netzwerkprozessoren oder eine Kombination dieser Vorrichtungen.

Die Netzwerküberwachungseinheit 210 behält eine Beinahe-Echtzeit-Ansicht des Netzwerks 200 und der VLANs, die dasselbe unterstützt, bei, durch Einrichten von Peer-Sitzungen mit den Routern 202, 204, 206, 208, um die angebotenen Routinginformationen zu empfangen. Durch peermäßiges Verbinden mit den Routern 202, 204, 206, 208 werden der Netzwerküberwachungseinheit 210 die vollständigen VPN-Informationen geliefert, um unter Verwendung der angebotenen Routinginformationsmitteilungen eine Topologiedatenbank oder -abbildung aufzubauen und zu aktualisieren. Weil Routingaktualisierungen auftreten, während Änderungen geschehen, liefert die Topologiedatenbank oder -abbildung, die durch die Netzwerküberwachungseinheit 210 aufgebaut wird, eine Beinahe-Echtzeit-Darstellung des Netzwerkzustands und der betriebsfähigen VPN-Wege.

Bei anderen Ausführungsbeispielen gemäß der Erfindung kann die VPN-Topologie des Netzwerks 200 unter Verwendung anderer Techniken bestimmt und überwacht werden. Eine solche Technik umfasst das peermäßige Verbinden mit einem Routenreflektor, wie er in Verbindung mit 9 näher beschrieben ist.

3 ist ein Flussdiagramm eines Verfahrens zum Entdecken von VPN-Topologien in einem Ausführungsbeispiel gemäß der Erfindung. Anfangs wird die interne Topologie eines Netzwerks entdeckt, wie es in Block 300 gezeigt ist. Ein Verfahren zum Entdecken der internen Topologie ist das Verwenden einer Netzwerküberwachungseinheit, die die internen Routingmitteilungen, die in dem Netzwerk übertragen werden, empfängt oder „abhört". Ein Interior-Gateway-Protokoll (IGP) wird verwendet, um bei einem Ausführungsbeispiel gemäß der Erfindung interne Routingmitteilungen zu empfangen. Eine Topologiedatenbank oder -abbildung des Inneren des Netzwerks wird dann basierend auf diesen Routingmitteilungen aufgebaut.

Als Nächstes werden bei Block 302 die P- und PE-Router identifiziert. Techniken zum Identifizieren der P- und PE-Router sind in Verbindung mit 4, 7 und 8 näher beschrieben. Die PE-Router werden dann bei Block 304 abgefragt, um jedes VPN zu identifizieren, das mit einem PE-Router verbunden ist. Die VPNs, die mit jedem PE-Router verbunden sind, werden bei einem Ausführungsbeispiel gemäß der Erfindung unter Verwendung der „mplsVpnVrfTable" identifiziert. Die Felder, auf die von der Tabelle zugegriffen wird, umfassen, sind aber nicht begrenzt auf, die folgenden Management-Informationsbasen (MIBs):

mplsVpnVrfName

mplsVpnVrfDescription

mplsVpnVrfRouteDistinguisher

mplsVpnVrfOperStatus

mplsVpnVrfRctiveInterfaces

mplsVpnVrfAssociatedInterfaces

Diese MIBs identifizieren, welche VPNs von welchen PE-Routern getragen werden.

Nachdem ein oder mehrere VPNs identifiziert werden, werden die Routen in jedem VPN und die Routingrichtlinie für jedes VPN identifiziert (Block 306). Jede Route, die in einem VPN angeboten wird, umfasst ein Route-Zielfeld, das den Route-Zielwert identifiziert, der dem VPN zugeordnet ist. Die Routingrichtlinie wird bei einem Ausführungsbeispiel gemäß der Erfindung durch Abfragen jedes PE-Routers mit der „MplsVpnVrfRouteTargetType-SNMP-Abfrage erhalten. Eine Routingtabelle, Topologieabbildung oder Topologiedatenbank wird dann bei einem Ausführungsbeispiel gemäß der Erfindung bei Block 308 für jedes VPN erzeugt.

Mit Bezugnahme auf 4 ist ein Flussdiagramm gezeigt, das ein erstes Verfahren darstellt zum Identifizieren der P- und PE-Router, wie es in Block 302 von 3 gezeigt ist. Anfangs werden die Router, die Pakete entsprechend BGP austauschen, identifiziert, wie es bei Block 400 gezeigt ist. Dies identifiziert die Router in einem Netzwerk, die entweder P- oder PE-Router sein können. Eine Technik zum Identifizieren von BGP-Routern wird in Verbindung mit 5 näher erörtert. Als Nächstes werden bei Block 402 die PE-Router von den BGP-Routern identifiziert, die bei Block 400 identifiziert wurden. 6 zeigt eine Technik zum Identifizieren der PE-Router von den BGP-Routern.

Mit Bezugnahme auf 5 ist ein Flussdiagramm gezeigt, das ein Verfahren darstellt zum Identifizieren der BGP-Router, wie es in Block 400 von 4 gezeigt ist. Bei einem Ausführungsbeispiel gemäß der Erfindung wird eine rekursive SMNP-Tabellensuchoperation durchgeführt, um die BGP-Router zu identifizieren. Anfangs wird die BGP-MIB nach einem bekannten Keim-BGP-Router abgefragt, wie es bei Block 500 gezeigt ist. Dann wird bei Block 502 eine Bestimmung durchgeführt, ob irgendwelche Router in dem gleichen autonomen System (AS) sich mit dem BGP-Keimrouter peermäßig verbinden. Ein AS umfasst ein Netzwerk oder einen Satz von Netzwerken, die unter einer einzigen Verwaltungsdomain (AD; AD = administrative domain) arbeiten. Bei anderen Ausführungsbeispielen gemäß der Erfindung werden die Router, die sich mit dem BGP-Router in dem gleichen AD peermäßig verbinden, bei Block 502 bestimmt.

Falls es keine Router in dem gleichen AS gibt, die mit dem BGP-Keimrouter peermäßig verbunden sind, endet der Prozess. Falls es einen oder mehrere Router in dem gleichen AS gibt, die sich mit dem BGP-Router peermäßig verbinden, werden die Router bei Block 504 identifiziert. Die BGP-MIB für einen identifizierten Router in dem gleichen AS wird dann abgefragt (Block 506) und eine Bestimmung durchgeführt bezüglich dessen, welche Router sich mit dem identifizierten Router (Block 508) peermäßig verbinden. Falls sich andere Router in dem gleichen AS mit dem identifizierten Router peermäßig verbinden, kehrt der Prozess zu Block 504 zurück und wiederholt sich, bis die sich peermäßig verbindenden Router identifiziert sind.

Sobald alle Peering-Router identifiziert sind, wird bei Block 510 eine Bestimmung durchgeführt, ob es einen weiteren identifizierten Router in dem gleichen AS gibt, der nicht abgefragt wurde. Falls dies der Fall ist, kehrt das Verfahren zu Block 506 zurück und wiederholt sich, bis alle Peering-Router in dem gleichen AS bekannt sind. Als Nächstes werden bei Block 512 die BGP-Router in dem gleichen AS bestimmt durch Vergleichen der AS-Nummern für alle identifizierten BGP-Router. Router mit der gleichen AS-Zahl sind in dem gleichen autonomen System, und die P- und PE-Router sind bei einem Ausführungsbeispiel gemäß der Erfindung in dem AS enthalten.

6 ist ein Flussdiagramm, das ein Verfahren zum Identifizieren der PE-Router darstellt, wie es in Block 402 von 4 gezeigt ist. Anfangs wird ein BGP-Router unter Verwendung von SNMP abgefragt, um Informationen bezüglich irgendwelcher konfigurierter VRFs zu erhalten, die durch diesen Router getragen werden (Block 600). Eine VRF-(VRF = Virtual Routing and Forwarding) Tabelle in einem VPN ermöglicht es einem PE-Router, Pakete basierend auf der IP-Adresse des Pakets zu unterschiedlichen VPNs zu leiten, selbst wenn mehrere Kunden den gleichen Adressraum verwenden. Somit kann ein PE-Router mit einer VRF Informationen bezüglich eines oder mehrerer VPNs enthalten. Die SNMP-Abfrage greift auf die P- oder PE-Vorrichtung zu, um Informationen bezüglich jedes VPN zu erhalten. Die Antwort auf diese Abfrage identifiziert, welche Router zumindest ein konfiguriertes VPN haben. Der P- oder PE-Router wird bei einem Ausführungsbeispiel gemäß der Erfindung abgefragt unter Verwendung der „mplsVpnConfiguredVrfs"-Abfrage von PPVPN-MPLS-VPN MIB.

Dann wird bei Block 602 eine Bestimmung durchgeführt, ob es irgendwelche konfigurierten VPNs gibt, die durch den abgefragten Router getragen werden. Falls es ein oder mehrere VPNs gibt, wird der Router als ein PE-Router identifiziert (Block 604) und jedes konfigurierte VPN, das durch den PE-Router getragen wird, wird identifiziert (Block 606). Die VPNs werden bei einem Ausführungsbeispiel gemäß der Erfindung identifiziert unter Verwendung der mplsVpnVrfTable. Dann wird bei Block 608 eine Bestimmung durchgeführt, ob weitere BGP-Router abgefragt werden müssen. Falls dies der Fall ist, kehrt das Verfahren zu Block 600 zurück und wiederholt sich, bis keine weiteren BGP-Router abzufragen sind.

Die Topologieinformationen, die in den Blöcken 602 und 604 erhalten werden, umfassen den Namen und die Beschreibung jedes VPN, das durch einen PE-Router getragen wird, und einen Routenunterscheider für jedes bestimmte VPN. Die Anzahl von Schnittstellen und der Status der Schnittstellen (d. h. betriebsfähig oder nicht-betriebsfähig) für jedes VPN werden ebenfalls erhalten. Der Routenunterscheider wird später verwendet, wenn die Routen identifiziert werden, die jedem VPN zugeordnet sind (siehe Block 306 in 3). Die PE- und P-Router können nun verbunden werden, um unter Verwendung der Informationen, die bei Block 604 erhalten werden, und der internen Topologieinformationen, die bei Block 300 in 3 erhalten werden, mögliche Datenwege zu zeigen.

Mit Bezugnahme auf 7 ist ein Flussdiagramm gezeigt, das ein zweites Verfahren zeigt zum Identifizieren der P- und PE-Router, wie es in Block 302 von 3 gezeigt ist. Die Router, die einen Eingang und Ausgang oder sowohl einen Eingang als auch einen Ausgang in einen VPN liefern, werden bestimmt, wie es bei Block 700 gezeigt ist. Die MPLS-Label-Switched-Path-(LSP-) Entdeckung wird verwendet, um zu bestimmen, welche Router bei einem Ausführungsbeispiel gemäß der Erfindung einen Eingang oder Ausgang zu einem oder mehreren MPLS-Tunneln liefern. Weil die Router, die einen Eingang oder Ausgang zu einem oder mehreren MPLS-Tunneln liefern, PE-Router sein können, und die Router, die dies nicht tun, keine PE-Router sein können, reduziert die MPLS-LSP-Entdeckungstechnik die Anzahl von Kandidaten-PE-Routern, die nach VLAN-Konfigurationsinformationen abgefragt werden müssen.

8 ist ein Flussdiagramm, das ein drittes Verfahren zum Identifizieren der P- und PE-Router darstellt, wie es in Block 302 von 3 gezeigt ist. Die Router, die erweiterte BGP-Aktualisierungsmitteilungen übertragen, werden bestimmt, wie es bei Block 800 gezeigt ist. Die erweiterten BGP-Aktualisierungsmitteilungen verteilen die Routinginformationen in BGP, und können verwendet werden, um bestehende Routen zu entfernen, neue Routen anzubieten oder beides. Anders als eine Standard-BGP-Aktualisierungsmitteilung umfasst eine erweiterte BGP-Aktualisierungsmitteilung AFI- und SAFI-Felder, sowohl für Netzwerkschicht-Erreichbarkeits- und Netzwerkschicht-Unerreichbarkeitsdaten. Die AFI- und SAFI-Felder identifizieren die Adressen für die VPNs. Bei einem Ausführungsbeispiel gemäß der Erfindung erzeugen nur PE-Router erweiterte BGP-Aktualisierungsmitteilungen mit den geeigneten AFI- und SAFI-Feldern.

Mit Bezugnahme auf 9 ist eine schematische Darstellung eines Netzwerks und eines VPN bei einem zweiten Ausführungsbeispiel gemäß der Erfindung gezeigt. Das Anbieternetzwerk 900 umfasst einen Routenreflektor 902, Router 204, 206, 208 und eine Netzwerküberwachungseinheit 210. Der Kundenstandort 212 umfasst Router 214, 216. Anstatt sich peermäßig zu verbinden, wie es bei einer Full-Mesh-Topologie durchgeführt wird, verbinden sich die Router 204, 206, 208 nur peermäßig mit dem Routenreflektor 902. Folglich unterscheiden sich die Topologieinformationen bezüglich des Netzwerks 900 von der eines Full-Mesh-Netzwerks. Falls das Netzwerk 900 ein Full-Mesh-Netzwerk wäre, würden die Router 204, 206, 208 ihre Routen einander anbieten und Informationen bezüglich der Routen 904, 906 zu dem Kundenstandort 212 wären in allen drei Routern 204, 206, 208 enthalten. Aber mit dem Routenreflektor 902 bieten die Router 204, 206, 208 eine Route nur dem Routenreflektor 902 an.

Der Routenreflektor 902 wählt die beste Route zu dem Kundenstandort 212 aus und bietet die ausgewählte Route den Routern 204, 206, 208 an, es sei denn, die ausgewählte Route stammte von einem dieser Router. Folglich hat die Netzwerküberwachungseinheit 210 nur Kenntnis von einer der verfügbaren Routen zu dem Kundenstandort 212 zu einem Zeitpunkt, weil nur die beste Route, die durch den Routenreflektor ausgewählt wird, der Netzwerküberwachungseinheit 210 angeboten wird. Die Topologieinformationen, die unter Verwendung der Ausführungsbeispiele von 2 entdeckt werden, unterscheiden sich daher von den Topologieinformationen, die mit dem Ausführungsbeispiel von 9 entdeckt werden.

Falls beispielsweise die Route 904 von dem Routenreflektor 912 als die beste Route ausgewählt wird, nehmen die Router 204, 208 nur die Route 904 in ihre Routingtabellen auf, während der Router 206 beide Routen 904, 906 in seiner Routingtabelle aufnehmen würde. Der Routenreflektor 902 umfasst beide Routen 904, 906 in seiner Routingtabelle, bietet aber nur die Route 904 an. Unter Verwendung des Verfahrens von 9 mit dem Routenreflektor 902 liefert derselbe eine Topologietabelle oder -abbildung mit Informationen bezüglich der Route 904 an das VPN 210. Das Verfahren von 2 liefert bei einem Ausführungsbeispiel gemäß der Erfindung eine Topologietabelle oder -abbildung mit sowohl der ausgewählten Route (Route 904) und der Route 906.


Anspruch[de]
System zum Beibehalten einer Beinahe-Echtzeit-Topologie für ein oder mehrere virtuelle private Netzwerke (VPNs), die einem Anbieternetzwerk (200) zugeordnet sind, wobei das System folgende Merkmale umfasst:

einen oder mehrere Router, die mit zumindest einem VPN (224) verbunden sind; und

eine Netzwerküberwachungseinheit (210), die wirksam ist, um eine Topologie für jedes VPN (224) zu bestimmen, unter Verwendung von Topologieinformationen, die jedem VPN (224) zugeordnet sind, wobei die Topologieinformationen eine Routingrichtlinie für jeden Router umfassen, der mit einem VPN (224) verbunden ist.
System gemäß Anspruch 1, bei dem der eine oder die mehreren Router, die mit zumindest einem VPN (224) verbunden sind, Anbieter-Kantenrouter (206, 208) umfassen. System gemäß Anspruch 2, das ferner einen oder mehrere Anbieter-Router (202, 204) umfasst. System gemäß Anspruch 3, bei dem die Netzwerküberwachungseinheit (210) mit allen Anbieter- (202, 204) und Anbieter-Kantenroutern (206, 208) verbunden ist. System gemäß Anspruch 3 oder 4, das ferner einen Routenreflektor (902) umfasst, der mit der Netzwerküberwachungseinheit (210), allen Anbieter-Kantenroutern (206, 208) und allen Anbieter-Routern (204) verbunden ist. System zum Beibehalten einer Beinahe-Echtzeit-Topologie für ein oder mehrere virtuelle private Netzwerke (VPNs) in einem Anbieternetzwerk (200), wobei das System folgende Merkmale umfasst:

einen Anbieter-Kantenrouter, der mit einem VPN (224) verbunden ist;

eine Netzwerküberwachungseinheit (210), die wirksam ist, um die Topologie des VPN (224) zu bestimmen, unter Verwendung von Topologieinformationen, die dem VPN (224) zugeordnet sind, wobei die Topologieinformationen eine Routingrichtlinie für den Anbieter-Kantenrouter umfassen.
System gemäß Anspruch 6, das ferner einen Anbieter-Router umfasst. System gemäß Anspruch 7, bei dem die Netzwerküberwachungseinheit (210) mit allen Anbieter-Routern (202, 204) und Anbieter-Kantenroutern (206, 208) verbunden ist. System gemäß Anspruch 7 oder 8, das ferner einen Routenreflektor umfasst, der mit der Netzwerküberwachungseinheit (210), dem Anbieter-Kantenrouter und dem Anbieter-Router verbunden ist. Verfahren zum Bestimmen einer Topologie für ein oder mehrere virtuelle private Netze (VPNs), das folgende Schritte umfasst:

Identifizieren jedes Routers, der mit dem einen oder den mehreren VPNs (224) verbunden ist;

Erhalten von Topologieinformationen, die jedem VPN (224) zugeordnet sind, um die eine oder die mehreren Routen in jedem VPN (224) zu bestimmen, wobei die Topologieinformationen eine Routingrichtlinie für jedes VPN (224) umfassen; und

Aufbauen einer Routingtabelle für jedes VPN (224).
Verfahren gemäß Anspruch 10, das ferner das Identifizieren eines Routertyps für jeden Router umfasst. Verfahren gemäß Anspruch 11, bei dem der Routertyp entweder einen Anbieter-Router (202) oder einen Anbieter-Kantenrouter (206) umfasst. Verfahren gemäß Anspruch 12, bei dem das Identifizieren jedes Routers, der mit dem einen oder den mehreren VPNs (224) verbunden ist, das Identifizieren jedes Anbieter-Kantenrouters (206, 208) umfasst, der einen Eingangspunkt oder einen Ausgangspunkt zu dem einen oder den mehreren VPNs (224) liefert. Verfahren gemäß Anspruch 13, bei dem das Identifizieren jedes Anbieter-Kantenrouters (206, 208), der einen Eingangspunkt oder einen Ausgangspunkt zu dem einen oder den mehreren VPNs (224) liefert, das Identifizieren jedes Anbieter-Kantenrouters (206, 208), der einen Eingangspunkt oder einen Ausgangspunkt zu dem einen oder den mehreren VPNs (224) liefert, unter Verwendung von Multiprotokoll-Label-Switching-Label-Switched-Path (LSP) umfasst. Verfahren gemäß einem der Ansprüche 12 bis 14, bei dem das Identifizieren jedes Routers, der mit dem einen oder den mehreren VPNs (224) verbunden ist, das Bestimmen jedes Routers umfasst, der eine Border-Gateway-Protokoll-(BGP) erweiterte Aktualisierungsmitteilung überträgt. Verfahren gemäß einem der Ansprüche 12 bis 15, bei dem das Identifizieren jedes Routers in dem Anbieternetzwerk (200), der mit dem einen oder den mehreren VPNs (224) verbunden ist, folgende Schritte umfasst:

Bestimmen jedes Routers in dem Anbieternetzwerk (200), der Mitteilungen unter Verwendung von BGP überträgt; und

Bestimmen jedes Anbieter-Kantenrouters (206, 208) von dem einen oder den mehreren Routern, die Mitteilungen unter Verwendung von BGP übertragen.
Verfahren gemäß Anspruch 16, bei dem das Bestimmen jedes Routers in dem Anbieternetzwerk (200), der Mitteilungen unter Verwendung von BGP überträgt, das Durchführen einer rekursiven Einfaches-Netzwerkverwaltungsprotokoll-Tabellensuchoperation unter Verwendung einer BGP-Management-Informationsbasis (MIB) umfasst. Verfahren gemäß Anspruch 16 oder 17, bei dem das Bestimmen jedes Anbieter-Kantenrouters (206, 208) von dem einen oder den mehreren Routern, die Mitteilungen unter Verwendung von BGP übertragen, das Abfragen jedes BGP-Routers umfasst, um Identifizierungsinformationen zu erhalten, die jedem VPN (224) zugeordnet sind. Verfahren gemäß einem der Ansprüche 10 bis 18, das ferner das Aktualisieren der Routingtabelle für jedes VPN (224) umfasst. Verfahren gemäß einem der Ansprüche 10 bis 19, das ferner das Bestimmen einer internen Topologie für ein Anbieternetzwerk (200) umfasst.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com