虚拟专用网络(VPN)是被远程管理的网络的扩展。这种网络是 用基于IP或不基于IP(例如ATM)的协议，通过隧道效应在局域网 上实现的。在扩展这些网络到移动分组数据网中时，单个节点必须处 理大量VPN。这暗示着所有这些对VPN的扩展的管理和配置必须由管 理移动分组网络的管理员管理。在(例如)GPRS(通用分组无线电服 务)中，GGSN(网关GPRS交换节点)连接移动网络到被远程管理的 网络。图1展示了这种带有GGSN的GPRS网络的示意性概观。
图2展示了在两个移动站之间有业务的例子。这个例子展示了 GGSN的管理员不得不管理保护移动站免于相互干扰的分组过滤规 则。移动站间的业务不能从远程管理的网络上监控。
一种已知的解决方案是基于进行分组转发的分组过滤的一种实 现。通过定义从一个接口或隧道转发所有业务到另一接口或隧道的分 组过滤器，转发表中的路由信息将不被考虑，并且业务也将被强制到 远程网络。
对该问题另一已知的WPP解决方案是直接把来自一个接口/隧道 的业务映射到另一接口或隧道中，而不根据目标IP地址进行转发决 策。这种已知解决方案称为APN(访问点名)路由。
上述解决方案的缺点是冗余性差，因为分组过滤器(或映射表) 不是被动态更新并且分组被转发去的接口或隧道可能由于链路或网 络问题而不可用。
图3展示了两个节点A和B以及物理连接到以太网段ETH S的 路由器R。两个虚拟专用网络VPN_1和VPN_2是在公共以太网段ETH_S 上实现的。节点A包括第一个和第二个IP接口IP_IF1和IP_IF2.IP 层3上的IP接口IP_IF1和IP_IF2被通过ARP(自动请求协议)协 议映射到给定的单一层2MAC(介质访问控制)以太网地址ETH_IF1。
同样地，接口IPIF3和IP_IF4被映射到节点B的以太网接口 ETH_IF2。IP接口IP_IF5和IP_IF6被映射到路由器RT上的 ETH_IF2。
节点A的IP_IF1和节点B的IP_IF3构成了第一个虚拟专用网 络VPN_1。节点B的IP_IF4和路由器RT的IP_IF6构成了第二个虚 拟专用网络VPN_2.可以在各个VPN上的各个IP接口之间传递IP分 组。对各个VPN的不同IP接口来说，似乎以太网段是专有的。
图4展示了从图3所示的网络的VPN_1上的IP接口IP_IF3发送 到IP_IF1的示例IP分组。该IP分组被封装在一个以太分组中，源 地址是ETH_IF2，目标地址是ETH_IF1.它的以太网类型标识是“VLAN” 类型-虚拟局域网-并携带对应的网络标识符VPN_1以及属于正在使 用的IP协议版本的第二个以太网类型标识符Ipv4。在以太网有效载 荷ETH_PL中，提供了上面提到的IP源和目标地址以及IP有效载荷。 该分组由以太网循环冗余校验值ETH CRC结束。
图5中，所展示的示例性的现有技术的网络包括路由器RT，RT 通过转发表VRF_1提供第一个虚拟专用网络VPN_1，VRF_1为IP接口 IP_IF1、IP_IF2和IP_IF3提供互连性。路由器还通过转发表VRF_2 提供第二个虚拟专用网络VPN_2，VRF_2为IP接口IP_IF5和IP_IF6 提供互连性。

本发明的第一个目标是阐明允许根据业务方向有选择地路由的 路由器。
这个目标是这样实现的：
根据本发明的一种路由器，包括至少两个IP接口，由此每个IP 接口与各自的虚拟专用网络相关，所述路由器还包括至少两个转发 表，
由此所述转发表的第一张表用于将业务路由到给定的IP接口， 并且
所述转发表的第二张表用于路由自同一给定的IP接口出现的业 务。
第二个目标是给出允许在不同的专用网络之间通信的路由器。
这个目标是这样实现的，其中在一个IP接口上接收到的且涉及 一个给定的虚拟专用网络的分组被转发到涉及另一虚拟专用网络的 另一IP接口。
根据本发明的包括拥有至少两个IP接口的路由器的网络，由此 每个IP接口与各自的虚拟专用网络相关，路由器还包括至少两个转 发表，
其中所述转发表的第一张表用于将业务路由到第一IP接口，所 述转发表的第二张表用于路由自第一IP接口出现的业务，
其中在第一IP接口上接收到并涉及第一虚拟专用网络的分组被 转发到涉及第二虚拟专用网络的第二IP接口，
其中第一个IP接口与向移动站提供双向连接的第一个隧道相耦 合，第二个IP接口与向公司网络提供双向连接的隧道相耦合，并且
其中第三个IP接口向移动站提供双向连接，路由器被配置成， 以使在第一个IP接口上的移动站与第三个IP接口上的移动站通信 时，业务被通过第二个IP接口路由。
第三个目标是给出允许在具体接口上强制业务的系统。
这个目标是这样实现的，网络包括远程路由器，所述网络被配置 为使得从一个移动站到另一移动站的分组被转发到该远程路由器，该 远程路由器有选择地进行策略决策。
第四个目标是给出分组控制被延迟到公司网络的系统。
这个目标是这样实现的，其中所述路由器被配置为使得在第三个 IP接口上的移动站与第一个IP接口上的移动站通信时，业务也被通 过第二个IP接口路由。
依照本发明的另一方面，为了提高VPN网络中的安全性，希望来 自移动终端的所有业务(即IP分组)总会通过家庭网络而行。这就 使得VPN管理员能够指定要施加到去往移动终端和来自移动终端的 业务的分组过滤规则。这与分组去往与分组所来自的移动网络扩充相 同或不同无关。不强制业务到家庭网络，则必须由VPN网络的移动扩 展的管理员而不是由家庭网络的管理员配置分组过滤规则。
从下面对优选实施方案的详细描述可以看到本发明的更多优势。
附图说明
图1展示了GPRS网络体系结构的总体图示。
图2展示了GPRS网络中执行路由的已知方法。
图3展示了在以太网段上实现虚拟专用网络(VPN)的已知方式。
图4展示了图3中所用的分组。
图5展示了提供两个VPN网络的现有技术的路由器。
图6展示了依照本发明的路由器的第一实施方案。
图7展示了依照本发明的VPN网络的第二实施方案，包括从节点 A到节点B的分组流。
图8展示了与图7相同的VPN网络，包括从节点B到节点A的分 组流。
图9展示了GPRS网络中本发明的应用，
图10展示了依照本发明的第四实施方案。

依照本发明，对每个IP接口使用多个VRF(VPN路由/转发实体)。 例如，IP接口可以是双向IP-中-IP隧道或以太网上的IP接口。用 于路由来自给定接口的业务的转发表不能路由业务到相同IP接口。 这个区别使得能够让一个方向上的业务属于一个VRF而另一个方向 上的业务属于另一VRF。此外，如果接口有多个对等实体，每个对等 终点可以属于不同的VRF。
图6展示了本发明的第一实施方案，包括路由器RT，它包括路 由表VRF_1和VRF_2以及IP接口IP_IF1，提供对GTP隧道GTP_A的 访问，GTP_A连接到第一个移动站MS_A和IP接口IP_IF2，提供对第 二个GTP隧道GTP_B的访问，GTP_B连接到移动站MS_B。该路由器还 包括第三IP接口IP_IF3，它连接到GRE隧道GRE_RT，GRE_RT提供 到VPN访问网(例如公司内部网)的连接。
如箭头所示，转发表VRF_1根据给定分组的目标移动站路由采 自IP接口IP_IF3的分组到IP接口IP_IF1和IP_IF2。转发表VRF_2 路由来自MS_A和MS_B的分组到IP接口IP_IF3并进而到VPN访问网。 由此，移动站MS_A和MS_B之间的业务可以由VPN访问网控制。
图7展示了本发明的另一实施方案，其中第一个路由器RT通过 IP接口IP_IF1、IP_IF2、IP_IF3连接到以太网段ETH_S，形成了各 自的虚拟专用网络VLAN1、VLAN2和VLAN3，以及以太路由器接口 ETH_IF。该第一路由器包括第一转发表VRF_1和转发表VRF_2.
节点A虚拟局域网VLAN1连接到路由器，节点B通过通过公共以 太网段ETH_S上的虚拟局域网VLAN2连接到路由器。
第二路由器R包括连接公共以太网段ETH_S上的VLAN3的转发 表。第二路由器还连接到互连网。
转发表VRF_1为目标A定义IP接口IP_IF1的下一次转发，为 目标节点B定义IP接口IF2。转发表VRF_2定义接口IP_IF3为默认 的下次转发地址。转发表VRF_R为目标A和B都定义了IP接口 IPIF_3.
从移动站A发往B的分组被沿着箭头10经过IP接口IPIF_1转 发到转发表VRF_2，并接着被转发到IP接口IPIF_3，再到路由器R， 箭头20，然后再次回到IP接口IPIF_3，并到达转发表VRF_1。转发 表VRF_1为目标B定义IP接口IPIF_2作为下次转发地址，接着分组 被沿着箭头30传输到节点B。
路由器被配置为，在一个接口IP_IF1上的移动站正在和另一接 口IP_IF2上的移动站通信时，业务被通过第二个接口IP_IF3路由。
在图8中如箭头40、50和60所示展示了传输分组的相反路径。
应该理解在数据链路层上可以使用许多其它技术。
如上所示，VRF的转发表只有到属于该VRF的流出方向的接口的 路由。哪个VRF用于转发决策是从接收接口的进入方向的VRF配置选 择的。流出和进入两个方向上的接口定义都可以扩展成还考虑源和目 标对等体(例如通过链路级地址识别)以允许多访问链路上的不同远 程对等体(例如路由器)的不同VRF。
进入和流出方向之间的差异提供了接口可由流出方向上的多个 VRF使用的可能性。也就是说，若干个VRF可以使用相同的流出链路。 图7中，展示了VRF_1和VRF_2怎样使用相同的流出链路，例如 IPIF_3。这个特性与基于广播和多播的服务在一起特别有用。一个例 子是，它使得能够有独立的多播VPN提供几个其它VPN能够使用的多 播服务。来自多播网络的业务可以被转发到服务的终端用户所连接的 另一VPN中。这样做的好处是，网络间的公共服务可以使用一个公共 的能够更有效地利用传输链路的网络体系结构。多播网络这样被使用 来得到更好的性能，但多播服务目前并不能在VPN之间共享，本发明 为此提供了一个解决方案。
主发明所解决的WPP中的主要问题是它允许GGSN节点延迟到远 程网络的分组过滤以降低GGSN节点的管理员对分组过滤配置的需 要。本发明提供朝向外部网络的可扩展路由解决方案。
图9依照本发明展示了本发明的第三个优选实施方案，其中两个 移动站MS#1和MS#2之间的业务，MS#1和MS#2属于与拥有VRF#23 的路由器相同的公司网络。VRF#37和VRF#42用在GGSN中，VRF#23 用在路由器中。本发明用在GGSN中。对来自移动站的业务使用VRF#42. 对来自路由器的业务使用VRF#37。VRF#42有路由器作为转发表中所 有路由的下一站。这意味着来自移动站的所有业务都被送往该路由 器。VRF#37有SGSN(服务GPRS支持节点)作为两个移动站的下一站。 这意味着来自路由器目标是移动站的业务被送往SGSN。来自路由器 目标不是移动站的业务被送回到路由器，因为VRF#37的转发表有一 个默认路由指出该路由器作为目标不是移动站的所有业务的下一站。 该路由器仅有一个VRF(VRF#23)用于所有它的接口。该路由器是一 个普通路由器。从某个移动站发出目标是另一移动站的分组被通过 SSGN送往GGSN。GGSN执行转发查找(使用VRF#42的转发表)并接 着把分组路由到路由器。路由器执行转发检查并将业务路由返回 GGSN，因为VRF#23的转发表将GGSN指作移动站的下一跳转。该GGSN 再一次进行转发查找(使用VRF#37的转发表)并随后把分组路由到 SGSN。SGSN把分组发送到接收移动站。应该注意到，不属于公司网 络的第三个移动站将不使用图3中所示的隧道。将设置另一平行组的 隧道和转发表。
图9展示了怎样在不同的管理员之间划分网络管理责任。在这张 图中，移动站MS#1、MS#2和拥有VRF#23的路由器属于相同的公司网 络，称为“公司”，并且这个网络的所有管理都由该公司网络管理员 负责。举例来说，第一运营商，运营商1控制SGSN节点，运营商2 控制GGSN节点。在GPRS网络管理和公司网络的管理之间有明确的划 分。这个例子还展示了，在适用时SGSN和GGSN运营商之间的划分。 对运营商来说向公司网络提供服务是一个强烈的商业事件，使得公司 网络管理员能够为移动站配置分组过滤器并监控所有进出移动站的 业务。因为对GGSN销售商来说向运营商提供实现本发明的设备是一 个强烈的商业事件。应该注意到转发表VRF#37和VRF#42由运营商2 依照公司和运营商2之间存在的无论什么协议来控制。
已经实现了路由分组到接口的相反方向的VRF的功能。如果要支 持ICMP消息的话，这是有必要实现的。相反方向的VRF容易找到， 因为ICMP消息是为流出接口产生的，并且随后可以像分组已经到达 了那个接口那样处理分组。VRF中的转发表可以由路由后台程序更新。
路由后台程序从不同的接口接收它们的路由信息并把这些接口 看作属于不同的路由区域。通过分离这些接口的进入和流出方向，可 以配置路由协议以过滤要发往不同接口的信息。由此，可以分离路由 更新的方向；如果用于路由通知的路由协议支持双向链路的话。
本发明可以用于(例如)Ipv4和Ipv6.Ipv4和Ipv6接口都可以 是双向或单向的。本发明为路由器(或主机)提供把双向接口看作两 个同时的单向接口的能力，因为对等路由器(或主机)把路由器(或 主机)上的接口看成双向接口。换句话说，如果不希望以这种方式处 理的话，周围的网络环境并不受使用本发明的影响。
本发明有很高的潜力解决IP路由的不同领域中的许多现有的和 将来的问题，因为它是对IP路由和转发环境中怎样对待接口的一种 基础改变。
缩写
ATM异步传输模式
APN在GPRS骨干网中，访问点名字(APN)是对GGSN的引用。 为了支持PLMN内的漫游，内部GPRS DNS功能被用来转换APN到GGSN 的IP地址。
GGSN网关GPRS支持节点
GPRS通用分组无线电服务
GSM全球数字移动电话系统
ICMP互连网控制消息协议(RFC 792)
IP互连网协议(RFC 791)
IPIFIP接口
SGSN服务GPRS支持节点
TCP传输控制协议(RFC 793)
TCP/IP协议组，包括IP、TCP UDP、ICMP和其它协议
UDP用户数据报协议(RFC 768)
UMTS通用移动电话系统
VPN虚拟专用网络
VRFVPN路由/转发实体
WPP无线分组平台