CN101170514B - 实现接入电路接口间访问控制的方法和装置 - Google Patents
实现接入电路接口间访问控制的方法和装置 Download PDFInfo
- Publication number
- CN101170514B CN101170514B CN2007101952204A CN200710195220A CN101170514B CN 101170514 B CN101170514 B CN 101170514B CN 2007101952204 A CN2007101952204 A CN 2007101952204A CN 200710195220 A CN200710195220 A CN 200710195220A CN 101170514 B CN101170514 B CN 101170514B
- Authority
- CN
- China
- Prior art keywords
- interface
- message
- user
- identification information
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现接入电路AC接口间访问控制的方法,在每一个运营商边缘PE设备上维护包括源AC接口的标识信息与接口控制方式的对应关系的转发控制参数,该方法还包括:对应目的AC接口的远端PE设备接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带本地PE设备加入的源AC接口的标识信息;对应目的AC接口的远端PE设备,按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。本发明还公开了两种实现AC接口间访问控制的装置。应用本发明,可以实现远端AC接口和本地AC接口间的访问控制,有利于HUB&Spoke组网方式的应用,进而提高网络安全性。
Description
技术领域
本发明涉及虚拟专用局域网业务(VPLS,Virtual Private LAN Service)领域,特别涉及VPLS中实现接入电路(AC,Attachment Circuit)接口间访问控制的方法和装置。
背景技术
VPLS的主要目的是通过分组交换网络(PSN,Packet Switch Network)将不同的用户网络连接在一起,实现局域网仿真(Emulated LAN),使这些用户网络象一个网络那样工作。PSN网络有不同的实施方式,多协议标签交换(MPLS,Multiprotocol Label Switching)骨干网就是其中的一种。
图1为现有技术一种VPLS的基本结构示意图,即一个VPLS包括连接到运营商边缘(PE,Provider Edge)设备的多个站点(Site),每一个Site中包括用户边缘(CE,Customer Edge)设备。其中PE设备和CE设备之间存在AC接口,它可以是物理接口或者子接口,PE设备之间存在虚拟链路(PW,Pseudo Wire)。
在VPLS中转发用户报文时,如果用户报文的源AC接口和目的AC接口对应相同的PE设备,该用户报文的转发称为本地转发,该PE设备称为本地PE设备,本地PE设备对应的AC接口可以统称为本地AC接口;如果用户报文的源AC接口和目的AC接口对应不同的PE设备,该用户报文的转发称为远端转发,将对应源AC接口的PE设备称为本地PE设备,将对应目的AC接口的PE设备称为远端PE设备,远端PE设备对应的AC接口可以统称为远端AC接口。
在VPLS中,PE设备通过AC接口学习自身对应的MAC地址,即自身对应的AC接口所对应的MAC地址,并通过PW学习其他PE设备对应的MAC地址。PE设备在自身维护其他PE设备与其对应MAC地址的关系、以及自身对应MAC地址与所对应AC接口的关系。在转发用户报文时,如果PE设备收到自身对应的AC接口发送的广播报文,将向同一VPLS的所有其他PE设备以及自身对应的其他AC接口转发该广播报文;如果PE设备收到其他PE设备发来的广播报文,只向自身对应的AC接口转发该广播报文,而不会向其他PE设备转发;如果PE设备收到自身对应的AC接口发送的单播报文,当该单播报文的目的MAC地址为PE设备还没有学习的MAC地址时,PE设备将向同一VPLS的所有其他PE设备广播该报文,否则PE设备将直接按照目的MAC地址,将该单播报文转发到目的MAC地址所属的PE设备上,再由目的MAC地址所属的PE设备将该单播报文发送到对应的AC接口。
AC接口间的访问控制,主要指控制源AC接口到目的AC接口间用户报文的转发,一种AC接口间访问控制的典型应用,为L3VPN中中心和分支的组网方式,称为HUB&Spoke组网方式。简单来说,HUB&Spoke组网方式就是将网络划分为中心和分支,并限制分支之间的交互。分支对应的AC接口之间交互的用户报文,需要统一由中心来转发。这种组网方式有利于在中心实现安全访问控制等功能,从而提高网络安全性。
在VPLS中同样存在网络安全的需求,图2为现有技术VPLS中HUB&Spoke组网的一种具体应用结构,同样地,将网络划分为分支或中心,PE1上的两个AC接口分别对应分支1和分支2,PE2上的三个AC接口分别对应分支3、分支4和中心1,PE3上的两个AC接口分别对应分支5和中心2。目前应用的方案为在PE上配置报文转发规则,使PE按照配置的报文转发规则和AC接口对应的分支或中心,限制对应分支的本地AC接口之间用户报文的转发,实现本地AC接口间的访问控制。例如,可以在PE1上配置报文转发规则,当PE1接收到分支1与分支2交互的用户报文时,能够按照配置的报文转发规则限制用户报文的转发。但对于远端AC接口与本地AC接口之间的访问控制,由于远端PE无法获知本地PE发送的用户报文的源AC接口对应分支还是中心,因此目前还没有有效的方案。例如如果PE3向PE2发送单播用户报文,PE2从用户报文中可以获知目的MAC地址,假设目的MAC地址对应分支3,PE2根据自身维护的本地MAC地址和本地AC接口的关系,判定该用户报文的目的AC接口对应分支3,却无法获知该用户报文的源AC接口信息,即无法获知源AC接口对应PE2上的分支5还是中心2,也就无法控制是否将该报文转发到分支3,这样就无法实现对远端AC接口与本地AC接口间的访问控制。
可见现有技术中,在VPLS中无法实现对远端AC接口和本地AC接口间用户报文转发的控制,即无法实现远端AC接口和本地AC接口间的访问控制,从而限制了HUB&Spoke组网方式在VPLS中的应用,不利于提高网络安全性。
发明内容
本发明实施例提供一种实现AC接口间访问控制的方法,该方法能够在VPLS中实现远端AC接口和本地AC接口间的访问控制。
本发明实施例提供一种实现AC接口间访问控制的装置,该装置能够在VPLS中实现远端AC接口和本地AC接口间的访问控制。
本发明实施例提供另一种实现AC接口间访问控制的装置,该装置能够在VPLS中实现远端AC接口和本地AC接口间的访问控制。
本发明实施例的技术方案是这样实现的:
一种实现接入电路接口间访问控制的方法,应用于VPLS中,在每一个PE设备上维护包括源接入电路AC接口的标识信息与接口控制方式的对应关系的转发控制参数,该方法还包括:
对应目的AC接口的远端PE设备接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;
对应目的AC接口的远端PE设备按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
一种实现接入电路接口间访问控制的装置,应用于VPLS中,该装置包括:
收发模决,用于接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;
处理模块,用于按照所述标识信息在转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
一种实现接入电路接口间访问控制的装置,应用于VPLS中,该装置包括:
标识信息模块,用于在用户报文中加入源AC接口的标识信息;
发送模块,用于将所述标识信息模块加入标识信息的用户报文向对应目的AC接口的远端PE设备发送,使得对应目的AC接口的远端PE设备按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
可见,本发明实施例实现AC接口间访问控制的方法和装置,在每一个PE设备上维护包括源AC接口的标识信息与接口控制方式对应关系的转发控制参数,对应源AC接口的本地PE设备在发送的用户报文中加入源AC接口的标识信息,对应目的AC接口的远端PE设备接收到用户报文后,按照该标识信息在所维护的转发控制参数中对应的接口控制方式,可以控制用户报文向目的AC接口的转发,从而实现了远端AC接口和本地AC接口间的访问控制,因此有利于VPLS中HUB&Spoke组网方式的应用,进而提高网络安全性。
附图说明
图1为现有技术VPLS的基本结构示意图;
图2为现有技术VPLS中HUB&Spoke组网的一种具体应用结构示意图;
图3为本发明实施例实现AC接口间访问控制的方法流程图;
图4为本发明实施例中一种典型的组网结构示意图;
图5为本发明实施例实现AC接口间访问控制的方法较佳实施方式的组网结构示意图;
图6为本发明实施例第一种实现AC接口间访问控制的装置第一种结构示意图;
图7为本发明实施例第一种实现AC接口间访问控制的装置第二种结构示意图;
图8为本发明实施例第二种实现AC接口间访问控制的装置结构示意图。
具体实施方式
为使本发明实施例的目的和优点更加清楚,下面结合附图对本发明实施例作进一步详细的说明。
本发明实施例提供的方法,在每一个PE设备上维护包括源AC接口的标识信息与接口控制方式对应关系的转发控制参数。图3为本发明实施例实现AC接口间访问控制的方法流程图,该流程包括:
步骤301:对应目的AC接口的远端PE设备,接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息。
本步骤中,为使接收用户报文的远端PE设备获知发送用户报文的源AC接口信息,对应源AC接口的本地PE设备在用户报文中加入源AC接口的标识信息。加入标识信息的方式可以根据用户报文的不同类型而不同,例如对于不带虚拟局域网(VLAN)信息,可以为用户报文增加一层VLAN信息用来携带所述标识信息;或者对于只带一层VLAN信息的用户报文,可以在用户报文所带的VLAN信息外层增加一层VLAN信息,用来携带所述标识信息;或者对于带两层VLAN信息的报文,如QinQ的用户报文,可以将用户报文的最外层VLAN信息替换为所述标识信息,或者不采用VLAN的方式,还可以在用户报文中预设标识控制字段,在该标识控制字段中填写所述标识信息。
步骤302:对应目的AC接口的远端PE设备,按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
本步骤中,控制用户报文的转发可以为丢弃或转发该用户报文。
本发明实施例实现AC接口间访问控制的方法,在每一个PE设备上维护包括源AC接口的标识信息与接口控制方式对应关系的转发控制参数,对应源AC接口的本地PE设备在发送的用户报文中加入源AC接口的标识信息,对应目的AC接口的远端PE设备接收到用户报文后,按照标识信息在所维护的转发控制参数中对应的接口控制方式,控制用户报文向目的AC接口的转发,从而实现了远端AC接口和本地AC接口间的访问控制,因此有利于VPLS中HUB&Spoke组网方式的应用,进而提高网络安全性。
下面结合具体的应用场景,介绍本发明实施例中转发控制参数的两种具体应用实例。
图4为本发明实施例一种典型的组网结构示意图。
在图4所示的组网结构中,AC接口类型包括接入子接口和中继子接口,分别对应网络的分支和中心,可将该AC接口对应的分支和中心抽象为交换机中常用的入口(Access)和主干(Trunk)概念,在PE设备上配置AC接口时,指定AC接口的类型,即指定AC接口为Access或Trunk。指定AC接口为Access类型或Trunk类型,可以通过以下两条配置命令实现:
[FC-1-GigabitEthernet7/0/9.100]l2 vpls-access。
[FC-1-GigabitEthernet7/0/9.100]l2 vpls-trunk。
如果源AC接口的类型为Access,则可以使用access-pe-vid作为代表该类型的标识信息,如果源AC接口的类型为Trunk,则可以使用trunk-pe-vid作为代表该类型的标识信息。上述access-pe-vid和trunk-pe-vid必须不相同,在同一个虚拟交换实例中,所有PE设备对access-pe-vid和trunk-pe-vid均可识别。在虚拟交换实例中,配置是否使能AC接口的转发控制参数,和使用上述不相同的access-pe-vid和trunk-pe-vid可以使用如下配置命令实现:
[FC-10]vsi gu static;
[FC-10-vsi-gu]isolate access-pe-vid 100 trunk-pe-vid 200。
在上述配置命令中,isolate表示access-pe-vid和trunk-pe-vid使用不相同的值,其中access-pe-vid取值为100,而trunk-pe-vid取值为200。
对于不带VLAN信息的用户报文,可以为用户报文增加一层VLAN信息用于携带上述access-pe-vid或trunk-pe-vid;对于只带一层VLAN信息的用户报文,可以在用户报文所带的一层VLAN信息外层增加一层VLAN信息,用于携带上述access-pe-vid或trunk-pe-vid;对于带两层VLAN信息的用户报文,如QinQ的用户报文,则可以替换最外层VLAN信息为上述access-pe-vid或trunk-pe-vid。还可以在用户报文中预设标识控制字段,再在该标识控制字段中填写上述access-pe-vid或trunk-pe-vid。
基于上述组网结构,以限制类型为Access的AC接口之间的访问为例,本发明实施例转发控制参数的第一种具体实例如表一所示。
| 源AC接口类型的标识信息 | 接口控制方式 |
| access-pe-vid | 目的AC接口类型为Access时,丢弃报文目的AC接口类型为Trunk时,转发报文目的AC接口类型未指定时,丢弃报文 |
| trunk-pe-vid | 转发报文 |
表一
除了上述基于图4所示组网结构的转发控制参数具体举例之外,还可以为网络中的AC接口配置固定取值,加入用户报文的标识信息表明源AC接口的固定取值,在这种情况下,所述标识信息对应的接口控制方式包括:当用户报文目的AC接口的固定取值与源AC接口的固定取值之间配置有不允许访问关系时,丢弃用户报文,当用户报文目的AC接口的固定取值与源AC接口的固定取值之间配置有允许访问关系时,转发用户报文。
下面假设源AC接口固定取值为100,与固定取值200配置有允许访问关系,与固定取值300配置有不允许访问关系,则本发明实施例转发控制参数的第二种具体实例可以如表二所示。
| 源AC接口固定取值 | 接口控制方式 |
| 100 | 目的AC接口的固定取值为200时,转发报文目的AC接口的固定取值为300时,丢弃报文 |
| …… | …… |
表二
下面结合具体的应用场景,介绍本发明实施例方法的较佳实施方式,在该较佳实施方式中,使用上述本发明实施例中第一种转发控制参数的具体举例。图5为该较佳实施方式的组网结构示意图。
在本较佳实施方式中,AC接口类型包括接入子接口和中继子接口,同样地,可将AC接口对应的网络的分支和中心概念抽象为交换机中常用的Access和Trunk概念,在PE设备上配置AC接口时,指定AC接口类型为Access或Trunk。具体配置的情况包括:在虚拟交换实例inst-1中,将PE1设备对应的两个AC接口类型分别指定为Access-1和Access-2,将PE2设备对应的四个AC接口类型分别指定为Access-3、Access-4、Trunk-1和Trunk-2,将PE3设备对应的一个AC接口指定为Access-5。在该虚拟实例inst-1中,将代表Access类型的标识信息配置为Access-pe-vid=100,将代表Trunk类型的标识信息配置为Trunk-pe-vid=200。
假设用户报文为广播报文,并且该用户报文带一层VLAN信息。该用户报文的源AC接口对应分支1。
本较佳实施方式的流程包括:
1)用户报文从分支1发出到达PE1。
2)PE1在分支1发出的用户报文最外层加入Access-pe-vid=100,作为源AC类型的标识信息,然后向PE2和PE3分别发送该用户报文。
3)PE2和PE3接收到用户报文后,解析用户报文最外层标识信息Access-pe-vid=100,得出源AC接口类型为接入子接口,则只针对自身类型为中继子接口的AC接口转发该用户报文,即PE2将用户报文转发到中心1和中心2。
以上较佳实施方式只是一种具体的举例,如果本较佳实施方式中分支1发出的为单播用户报文,该单播用户报文的目的MAC地址对应PE3上分支5所对应的CE,且该目的MAC地址是PE1已经学习过的,则在上述第2)步中,PE1仅将该单播报文发送给PE3,PE3接收到用户报文后,同样可以得出源AC接口类型为接入子接口,且目的MAC地址对应的AC接口类型也为接入子接口,则PE3丢弃该报文。
图6为本发明实施例第一种实现AC接口访问控制的装置结构示意图,该装置应用于VPLS中,包括:
收发模块,用于接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带源AC接口的标识信息。
处理模块,用于按照所述标识信息在转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
本发明实施例第一种实现AC接口间访问控制的装置,可以位于远端PE设备中,从对应源AC接口的本地PE设备接收用户报文,再按照用户报文中携带的源AC接口的标识信息在转发控制参数中对应的接口控制方式,控制用户报文向目的AC接口的转发,从而实现了远端AC接口和本地AC接口间的访问控制,因此有利于HUB&Spoke组网方式的应用,进而提高网络安全性。
当所述标识信息表明源AC接口的类型时,上述处理模块包括:第一解析单元和第一控制处理单元。
第一解析单元,用于从所述标识信息中解析出源AC接口类型。
第一控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为接入子接口或未配置类型时,丢弃所述用户报文;在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为中继子接口时,转发所述用户报文。
上述处理模块中还可以进一步包括第二控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为中继子接口时,转发所述用户报文。
当每一个AC接口配置有固定取值,所述携带的标识信息为源AC接口的固定取值时,上述处理模块包括:第二解析单元和第三控制处理单元。图7示出了基于这种情况的本发明实施例的装置结构示意图。
第二解析单元,用于从所述标识信息中解析出源AC接口的固定取值。
第三控制处理单元,用于在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有允许访问关系时,转发所述用户报文;在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有不允许访问关系时,丢弃所述用户报文。
图8为本发明实施例第二种实现AC接口访问控制的装置结构示意图,该装置应用于VPLS中,包括:标识信息模块和发送模块。
标识信息模块,用于在用户报文中加入源AC接口的标识信息。
发送模块,用于将所述标识信息模块加入标识信息的用户报文向远端PE设备发送。
本发明实施例提供的第二种实现AC接口间访问控制的装置,可以位于本地PE设备中,在用户报文中加入源AC接口的标识信息,将加入标识信息后的用户报文向远端PE设备发送,使远端PE设备能够根据标识信息对用户报文向目的AC接口的转发实施控制,从而实现远端AC和本地AC间的访问控制,因此有利于HUB&Spoke组网方式的应用,进而提高网络安全性。
上述标识信息模块包括:加入执行单元、替换执行单元和填写执行单元。
加入执行单元,用于针对不带VLAN信息的用户报文,为所述用户报文增加一层VLAN信息携带所述标识信息;或者,针对带一层VLAN信息的用户报文,在所述用户报文所带VLAN信息的外层加入一层VLAN信息携带所述标识信息。
替换执行单元,用于针对带两层VLAN信息的用户报文,将用户报文的最外层VLAN信息替换为所述标识信息。
填写执行单元,用于针对包括标识控制字段的用户报文,在所述标识控制字段中填写所述标识信息。
本发明实施例两种实现AC接口间访问控制的装置,都可以位于PE设备中。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种实现接入电路接口间访问控制的方法,应用于虚拟专用局域网业务VPLS中,其特征在于,在每一个运营商边缘PE设备上维护包括源接入电路AC接口的标识信息与接口控制方式的对应关系的转发控制参数,该方法还包括:
对应目的AC接口的远端PE设备接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;
对应目的AC接口的远端PE设备按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
2.如权利要求1所述的方法,其特征在于,所述用户报文为广播报文时,所述目的AC接口为除所述本地PE设备外的所有远端PE设备对应的AC接口;所述用户报文为单播报文时,携带有目的媒体访问控制MAC地址,所述目的AC接口为所述目的MAC地址对应的AC接口。
3.如权利要求2所述的方法,其特征在于,所述标识信息表明源AC接口为接入子接口;所述与标识信息对应的接口控制方式包括:
当所述用户报文的目的AC接口为接入子接口时,丢弃该用户报文;当所述用户报文的目的AC接口未配置类型时,丢弃用户报文;当所述用户报文的目的AC接口为中继子接口时,转发用户报文。
4.如权利要求2所述的方法,其特征在于,所述标识信息表明源AC接口为中继子接口,所述标识信息对应的接口控制方式为转发用户报文。
5.如权利要求2所述的方法,其特征在于,每一个AC接口配置有固定取值,所述源AC接口的标识信息代表所述源AC接口的固定取值。
6.如权利要求5所述的方法,其特征在于,所述标识信息对应的接口控制方式包括:
当所述用户报文的目的AC接口的固定取值与源AC接口的固定取值之间配置有允许访问关系时,转发用户报文;当所述用户报文的目的AC接口的固定取值与源AC接口的固定取值之间配置有不允许访问关系时,丢弃用户报文。
7.如权利要求1至6任意一项所述的方法,其特征在于,所述用户报文为不带虚拟局域网VLAN信息的报文时,所述本地PE设备加入源AC接口的标识信息为:所述本地PE设备为所述用户报文增加一层VLAN信息,用于携带所述标识信息;
或者,所述用户报文为带一层VLAN信息的报文时,所述本地PE设备加入源AC接口的标识信息为:本地PE设备在所述用户报文所带VLAN信息的外层增加一层VLAN信息,用于携带所述标识信息。
8.如权利要求1至6任意一项所述的方法,其特征在于,所述用户报文为带两层VLAN信息的报文时;
所述本地PE设备加入源AC接口的标识信息为:本地PE设备将所述用户报文的外层VLAN信息替换为所述标识信息。
9.如权利要求1至6任意一项所述的方法,其特征在于,所述用户报文中包括标识控制字段;
所述本地PE设备加入源AC接口的标识信息为:本地PE设备在所述标识控制字段中填写所述标识信息。
10.一种实现接入电路接口间访问控制的装置,应用于虚拟专用局域网业务VPLS中,其特征在于,该装置包括:
收发模块,用于接收对应源接入电路AC接口的本地运营商边缘PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;
处理模块,用于按照所述标识信息在转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
11.如权利要求10所述的装置,其特征在于,所述标识信息表明源AC接口的类型;所述处理模块包括:
第一解析单元,用于从所述标识信息中解析出源AC接口类型;
第一控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为接入子接口或未配置类型时,丢弃所述用户报文;在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为中继子接口时,转发所述用户报文。
12.如权利要求11所述的装置,其特征在于,所述处理模块中进一步包括第二控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为中继子接口时,转发所述用户报文。
13.如权利要求10所述的装置,其特征在于,每一个AC接口配置有固定取值,所述携带的标识信息代表源AC接口的固定取值;所述处理模块包括:
第二解析单元,用于从所述标识信息中解析出源AC接口的固定取值;
第三控制处理单元,用于在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有允许访问关系时,转发所述用户报文;在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有不允许访问关系时,丢弃所述用户报文。
14.一种实现接入电路接口间访问控制的装置,应用于虚拟专用局域网业务VPLS中,其特征在于,该装置包括:
标识信息模块,用于在用户报文中加入源接入电路AC接口的标识信息;
发送模块,用于将所述标识信息模块加入标识信息的用户报文向对应目的AC接口的远端运营商边缘PE设备发送,使得对应目的AC接口的远端PE设备按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。
15.如权利要求14所述的装置,其特征在于,所述标识信息模块包括:
加入执行单元,用于针对不带虚拟局域网VLAN信息的用户报文,为所述用户报文增加一层VLAN信息,用于携带所述标识信息;或者,针对带一层VLAN信息的用户报文,在所述用户报文所带VLAN信息的外层增加一层VLAN信息,用于携带所述标识信息;
替换执行单元,用于针对带两层VLAN信息的用户报文,将用户报文的最外层VLAN信息替换为所述标识信息;
填写执行单元,用于针对包括标识控制字段的用户报文,在所述标识控制字段中填写所述标识信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101952204A CN101170514B (zh) | 2007-12-04 | 2007-12-04 | 实现接入电路接口间访问控制的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101952204A CN101170514B (zh) | 2007-12-04 | 2007-12-04 | 实现接入电路接口间访问控制的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101170514A CN101170514A (zh) | 2008-04-30 |
| CN101170514B true CN101170514B (zh) | 2010-06-02 |
Family
ID=39390987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101952204A Active CN101170514B (zh) | 2007-12-04 | 2007-12-04 | 实现接入电路接口间访问控制的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101170514B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101374110B (zh) * | 2008-10-22 | 2011-05-11 | 成都市华为赛门铁克科技有限公司 | 无线服务网络中报文的处理方法、系统和设备 |
| CN102347889B (zh) * | 2010-08-04 | 2014-08-13 | 杭州华三通信技术有限公司 | 一种分层虚拟专用局域网中的报文转发方法、系统和装置 |
| WO2014071864A1 (en) * | 2012-11-08 | 2014-05-15 | Hangzhou H3C Technologies Co., Ltd. | Identifiers for spoke-pes in hub-spoke networks |
| CN103312611B (zh) * | 2013-06-03 | 2016-12-28 | 华为技术有限公司 | 报文处理方法、设备标签处理方法及设备 |
| CN103532855A (zh) * | 2013-10-23 | 2014-01-22 | 深圳市晟思智能电网有限公司 | 一种实现电力线以太网数据交换的方法、载波设备及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1412996A (zh) * | 2002-04-15 | 2003-04-23 | 华为技术有限公司 | 网络设备中基于接口的网络访问控制方法 |
| CN1431833A (zh) * | 2003-01-16 | 2003-07-23 | 上海交通大学 | 自动交换光/传送网络中交换连接的信令级联方法 |
| CN1571374A (zh) * | 2003-07-23 | 2005-01-26 | 华为技术有限公司 | 一种控制私网用户访问权限的方法 |
| CN1617508A (zh) * | 2003-11-13 | 2005-05-18 | 华为技术有限公司 | 一种服务质量策略转换设备及方法 |
| CN1863147A (zh) * | 2005-09-07 | 2006-11-15 | 华为技术有限公司 | 在虚拟专用局域网业务中实现组播数据流转发的方法 |
| CN1929444A (zh) * | 2006-09-05 | 2007-03-14 | 华为技术有限公司 | 运营商边界节点、虚拟专用局域网服务通信方法及系统 |
-
2007
- 2007-12-04 CN CN2007101952204A patent/CN101170514B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1412996A (zh) * | 2002-04-15 | 2003-04-23 | 华为技术有限公司 | 网络设备中基于接口的网络访问控制方法 |
| CN1431833A (zh) * | 2003-01-16 | 2003-07-23 | 上海交通大学 | 自动交换光/传送网络中交换连接的信令级联方法 |
| CN1571374A (zh) * | 2003-07-23 | 2005-01-26 | 华为技术有限公司 | 一种控制私网用户访问权限的方法 |
| CN1617508A (zh) * | 2003-11-13 | 2005-05-18 | 华为技术有限公司 | 一种服务质量策略转换设备及方法 |
| CN1863147A (zh) * | 2005-09-07 | 2006-11-15 | 华为技术有限公司 | 在虚拟专用局域网业务中实现组播数据流转发的方法 |
| CN1929444A (zh) * | 2006-09-05 | 2007-03-14 | 华为技术有限公司 | 运营商边界节点、虚拟专用局域网服务通信方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2003-87337A 2003.03.20 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101170514A (zh) | 2008-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102804693B (zh) | 用于在ip网络上实现l2 vpn的方法和设备 | |
| CN101552727B (zh) | 一种报文发送和接收方法及运营商边缘路由器 | |
| CN101674249B (zh) | 运营商骨干桥pbb流量转发的方法及设备 | |
| CN110266592A (zh) | Srv6网络与ip mpls网络的通信方法及装置 | |
| CN101616014B (zh) | 一种实现跨虚拟专用局域网组播的方法 | |
| CN100514929C (zh) | 一种虚拟专用局域网的报文转发方法及装置 | |
| CN104869042A (zh) | 报文转发方法和装置 | |
| WO2008092357A1 (fr) | Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci | |
| CN101617305A (zh) | 使用基于以太网的隧道的、用于mpls和第2层vpn的边界网关协议过程 | |
| CN110022262B (zh) | 一种基于sdn网络实现平面分离的方法、系统和装置 | |
| CN101848161A (zh) | 一种mpls l2vpn和mpls l3vpn的通信方法和设备 | |
| CN103763207A (zh) | 软件定义网络中的带内控制连接建立方法及设备 | |
| CN102801625A (zh) | 一种异构网络二层互通的方法及设备 | |
| CN101170514B (zh) | 实现接入电路接口间访问控制的方法和装置 | |
| CN100484080C (zh) | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 | |
| CN103227745A (zh) | 最短路径桥网和三层虚拟专网互通方法及公共边缘设备 | |
| CN100559772C (zh) | 混合型虚拟私有网络系统和骨干网边缘设备及其配置方法 | |
| CN102045250B (zh) | Vpls中组播报文的转发方法和服务提供商边缘设备 | |
| CN103067278A (zh) | 一种数据帧的传输处理方法、设备及系统 | |
| CN101743722A (zh) | 经路由器将vlan系统连接至其它网络的方法 | |
| WO2011113357A1 (zh) | 路由映射的处理方法及运营商边界设备 | |
| CN102136981A (zh) | 以太网中实现以太树业务的方法和相关装置 | |
| CN101247334B (zh) | 虚拟专用局域网服务网络及实现方法和提供商边缘路由器 | |
| CN101557334B (zh) | Mpls vpn、其vpn多实例用户边缘设备及其实现方法 | |
| CN102238040B (zh) | 一种对ce进行监控的方法和路由设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |