CN101197762A - 虚拟专网服务中用户分组互通/隔离装置及方法 - Google Patents
虚拟专网服务中用户分组互通/隔离装置及方法 Download PDFInfo
- Publication number
- CN101197762A CN101197762A CNA2006101618651A CN200610161865A CN101197762A CN 101197762 A CN101197762 A CN 101197762A CN A2006101618651 A CNA2006101618651 A CN A2006101618651A CN 200610161865 A CN200610161865 A CN 200610161865A CN 101197762 A CN101197762 A CN 101197762A
- Authority
- CN
- China
- Prior art keywords
- vlan
- message
- intercommunication
- mac address
- fib
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟专网服务中的用户分组互通/隔离装置,包括:VLAN互通命令配置模块,用于解析用户配置的VLAN互通配置命令和VLAN互通删除命令;MAC地址学习和FIB管理模块,连接至VLAN互通命令配置模块,用于将VLAN中的MAC地址的转发条目拷贝到与VLAN互通的其他VLAN中,并将转发条目写入FIB中用于报文转发;以及报文转发模块,连接至所MAC地址学习和FIB管理模块,用于根据VLAN互通情况将报文向其他有互通关系的VLAN广播,并且在处理相关单播报文时根据转发条目替换报文的VLAN后再进行转发。本发明还公开了一种虚拟专网服务中的用户分组互通/隔离方法。
Description
技术领域
本发明涉及基于多协议标签交换网络(Multi Protocol LabelSwitch,简称MPLS)技术的二层虚拟专网(Layer 2 Virtual PrivateNetwork,简称L2VPN)中的虚拟专网服务(Virtual Private LANService,简称VPLS)技术,更具体地,涉及实现VPLS虚拟专网(Virtual Private Network,简称VPN)中用户分组之间互通/隔离的装置及方法。
背景技术
VPLS为用户提供的是虚拟的局域网(Local Area Network,简称LAN)服务,通过VPLS技术可以让所有的客户无论在物理上位于何处,都看似处于一个LAN之内,享受LAN所带来的便利和好处。在传统的LAN中为了增强网络的安全性而使用VLAN进行用户的隔离和访问控制,它通过分割多个广播域,使得在2层VLAN之间无法互访,避免一些潜在的安全隐患。
在VPLS VPN中,数据报文的可到达性信息是依靠数据层面的物理地址(即MAC地址)的学习功能而得到的。当有数据报文从一条伪线(Pseudo Wire,简称PW)上到达时,如果源MAC地址是未知MAC地址(即,在转发表中查找不到对应的转发条目),那么需要将该MAC地址和这条PW联系起来,这样当下次有到该MAC的数据报文时就可以从该条PW上发送出去,同样的,当有数据报文从一条本地连接电路(Attachment Circuits,简称AC)上到达时,也要把该报文的源MAC地址和该AC联系起来,下次有到该MAC的数据报文的时候就从该AC发送。所有的这些MAC地址和PW或是AC之间的映射关系保存到一起就形成了转发信息表(Forwarding Information Base,简称FIB)。
在VPLS中,MAC地址的学习方式有两种,一种是qualified(附条件)方式,另外一种是unqualified(无条件)方式。在unqualified方式中,所有的VLAN共享一个广播域和一个MAC地址空间,不同VLAN之间的用户的MAC地址不能重叠,也不能实现不同VLAN之间的隔离;在qualified方式中,同一VPLS VPN中的用户必须处于同一VLAN中,不允许一个VPLS VPN有多个VLAN,此时学习的对象不再仅仅是MAC,而是VLAN tag+MAC。
可以看出,在qualified学习方式中,一个VPLS VPN中的用户只能处于一个VLAN中,无法真正的发挥VLAN的作用,同样,在unqualified学习方式中,虽然多个VLAN可以处在同一个VPLSVPN中,但是VPLS VPN却无法区分这些VLAN。
因此,在现有的VPLS VPN中,无法利用VLAN实现用户的分组和隔离,更无法实现不同组之间用户的互通。
发明内容
本发明的主要目的在于提供一种虚拟专网服务中用户分组之间互通/隔离的装置及方法,其能够利用VLAN实现用户分组的隔离,同时能够实现不同组之间用户的互通。
根据本发明的用户分组互通/隔离装置包括:VLAN互通命令配置模块,用于解析用户配置的VLAN互通配置命令和VLAN互通删除命令;MAC地址学习和FIB管理模块,连接至VLAN互通命令配置模块,能够处理来自多个VLAN的报文,用于将VLAN中的MAC地址的转发条目拷贝到与VLAN互通的其他VLAN中,并将转发条目写入FIB中用于报文转发;以及报文转发模块,连接至所MAC地址学习和FIB管理模块,能够处理来自多个VLAN的报文,用于根据VLAN互通情况将报文向其他有互通关系的VLAN广播,并且在处理相关单播报文时根据转发条目替换报文的VLAN后再进行转发。
其中,VLAN互通命令配置模块用于将用户的配置命令解析后生成VLAN互通关系表,并将互通关系表下发给MAC地址学习和FIB管理模块用于后续的MAC地址学习。
MAC地址学习和FIB管理模块在学习MAC地址的同时根据需要查找VLAN互通关系表,在学习到的MAC地址的VLAN和其他VLAN有互通关系的情况下,将MAC地址复制有互通关系的VLAN中生成新的转发条目,在新的转发条目后加入源VLAN标记,然后下发到报文转发模块用于转发数据报文。其中,当报文转发模块接收到已知目的MAC的单播报文时,在出接口为本地AC的情况下,如果查找到的转发条目中没有源VLAN标记,则从出接口转发报文;如果查找到的转发条目中带有缘VLAN标记,则首先将报文中的VLAN替换为转发条目中对应的源VLAN,然后从对应的本地接口转发报文。
值得注意的是,VLAN互通命令配置模块用于解析用户的VLAN互通配置删除命令,将用户指定删除的VLAN互通关系从VLAN互通关系表中删除,同时通知MAC地址学习和FIB管理模块删除该VLAN互通关系,并删除FIB表中基于VLAN互通关系而复制成的转发条目。
至于报文转发模块,报文转发模块将从本地AC接收到的广播报文向与广播报文中的VLAN相同的本地VPN成员和所有PW广播;将从远端PW接收到的广播报文向与广播报文中的VLAN相同的本地VPN成员和spoke PW广播;将从本地AC接收到的未知MAC地址的单播报文向与单播报文中的VLAN相同的本地VPN成员和所有PW广播;将从远端PW接收到的未知目的MAC地址的单播报文向与单播报文中的VLAN相同的本地VPN成员和spokePW广播。其中,广播时不对报文中的VLAN进行替换,如果报文所属的VLAN与本地其他VLAN有互通关系,进一步向有互通关系的VLAN广播,且广播时将报文中的VLAN替换成有互通关系的VLAN。
根据本发明的用户分组互通方法使用根据本发明的用户分组互通/隔离装置,用于实现虚拟专网服务中的用户分组互通,其中,MAC地址学习和FIB管理模块在需要互通的VLAN之间拷贝转发表项,并且报文转发模块在进行报文转发时根据报文发送的目的地选择性的对报文中的VLAN进行处理。
具体而言,MAC地址学习和FIB管理模块把一个VLAN中的MAC地址拷贝到与其互通的VLAN中生成信息的带有源VLAN标记的转发表项。如果在进行报文转发时报文被通过PW发往远端,则报文转发模块不对报文中的VLAN进行处理,如果报文被发往本地AC并且对应的转发条目中有源VLAN标记存在,则报文转发模块将报文中的VLAN替换成源VLAN之后再转发。
根据本发明的用户分组隔离方法,使用根据本发明的用户分组互通/隔离装置,用于实现虚拟专网服务中的用户分组隔离,其中,MAC地址学习和FIB管理模块在对上送上来的报文MAC地址学习时,以MAC+VLAN tag作为关键字进行学习;报文转发模块在进行报文转发时以报文的目的MAC+VLAN tag作为关键字查找FIB表。
通过上述技术方案,本发明可以将传统LAN中的VLAN技术的优势在VPLS VPN中发挥出来,使得VPLS VPN的功能更加丰富和易用。具体而言,通过本发明实现了:(1)一个VPLS VPN内允许用户处于多个不同的VLAN中,默认状态下各个VLAN之间的用户是隔离的,通过VLAN实现了用户的分组隔离。(2)通过简单配置就可以实现不同VLAN间用户的互通,可以实施更加灵活的访问控制策略。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明的用户分组互通/隔离装置的结构框图;以及
图2是根据本发明的VPLS用户任意分组和隔离的组网图。
具体实施方式
下面将参考附图详细说明本发明。
首先,本发明实施例提供了一种分组用户互通/隔离装置。
如图1所示,该装置包括:VLAN互通命令配置模块102,用于解析用户配置的VLAN互通配置命令和VLAN互通删除命令;MAC地址学习和FIB管理模块104,连接至VLAN互通命令配置模块102,能够处理来自多个VLAN的报文,用于将VLAN中的MAC地址的转发条目拷贝到与VLAN互通的其他VLAN中,并将转发条目写入FIB中用于报文转发;以及报文转发模块106,连接至MAC地址学习和FIB管理模块104,能够处理来自多个VLAN的报文,用于根据VLAN互通情况将报文向其他有互通关系的VLAN广播,并且在处理相关单播报文时根据转发条目替换报文的VLAN后再进行转发。
在如图2所示的网络环境下,本发明的分组用户互通/隔离装置要实现的功能如下:(1)VLAN1、VLAN2、VLAN3中不同VLAN间的用户是互相隔离的;(2)VLAN1、VLAN2、VLAN3分别可以和VLAN4互通。
为了实现VLAN1、VLAN2、VLAN3分别与VLAN4之间的互通,需要在各个运营商设备(Provider Equipment,简称PE)上的VPLS内配置VLAN1和VLAN4互通,VLAN2和VLAN4互通以及VLAN3和VLAN4互通。
其中,VLAN互通命令配置模块102将用户的配置命令解析后生成VLAN互通关系表,并将互通关系表下发给MAC地址学习和FIB管理模块104用于后续的MAC地址学习。因此,VLAN互通命令配置模块102处理这些命令后生成形成VLAN互通表项,记为:VLAN1:VLAN4;VLAN2:VLAN4;VLAN3:VLAN4。同时,VLAN互通命令配置模块102在生成这些VLAN互通表项后将这些表项下发给MAC地址学习和FIB管理模块104。
MAC地址学习和FIB管理模块104在学习MAC地址的同时根据需要查找VLAN互通关系表,在学习到的MAC地址的VLAN和其他VLAN有互通关系的情况下,将MAC地址复制有互通关系的VLAN中生成新的转发条目,在新的转发条目后加入源VLAN标记,然后下发到报文转发模块106用于转发数据报文。当报文转发模块106接收到已知目的MAC的单播报文时,在出接口为本地AC的情况下,如果查找到的转发条目中没有源VLAN标记,则从出接口转发报文;如果查找到的转发条目中带有缘VLAN标记,则首先将报文中的VLAN替换为转发条目中对应的源VLAN,然后从对应的本地接口转发报文。
其中,用于解析用户的VLAN互通配置删除命令的VLAN互通命令配置模块102在将用户指定删除的VLAN互通关系从VLAN互通关系表中删除时,同时通知MAC地址学习和FIB管理模块104删除该VLAN互通关系,并删除FIB表中基于VLAN互通关系而复制成的转发条目。
至于报文转发模块106,其将从本地AC接收到的广播报文向与广播报文中的VLAN相同的本地VPN成员和所有PW广播;将从远端PW接收到的广播报文向与广播报文中的VLAN相同的本地VPN成员和spoke PW广播;将从本地AC接收到的未知MAC地址的单播报文向与单播报文中的VLAN相同的本地VPN成员和所有PW广播;将从远端PW接收到的未知目的MAC地址的单播报文向与单播报文中的VLAN相同的本地VPN成员和spoke PW广播。特别地,广播时不对报文中的VLAN进行替换,如果报文所属的VLAN与本地其他VLAN有互通关系,进一步向有互通关系的VLAN广播,且广播时将报文中的VLAN替换成有互通关系的VLAN。
另外,本发明的实施例还提供了一种用户分组互通方法,使用根据本发明实施例的用户分组互通/隔离装置,用于实现虚拟专网服务中的用户分组互通,其中,MAC地址学习和FIB管理模块104在需要互通的VLAN之间拷贝转发表项,并且报文转发模块106在进行报文转发时根据报文发送的目的地选择性的对报文中的VLAN进行处理。
具体而言,MAC地址学习和FIB管理模块104把一个VLAN中的MAC地址拷贝到与其互通的VLAN中生成信息的带有源VLAN标记的转发表项。对于报文转发过程而言,如果在进行报文转发时报文被通过PW发往远端,则报文转发模块106不对报文中的VLAN进行处理,如果报文被发往本地AC并且对应的转发条目中有源VLAN标记存在,则报文转发模块106将报文中的VLAN替换成源VLAN之后再转发。对于接收到的广播报文,在向本地VLAN的AC广播的同时,还向属于和本地VLAN互通的其他VLAN的本地AC广播。
这样,可以保证有互通关系的不同VLAN间的用户可以相互学习到MAC地址并且报文可以在互通的不同VLAN间被正确的转发。
本发明的实施例还提供了一种用户分组隔离方法,使用根据本发明实施例的用户分组互通/隔离装置,用于实现虚拟专网服务中的用户分组隔离,其中,MAC地址学习和FIB管理模块104在对上送上来的报文MAC地址学习时,以MAC+VLAN tag作为关键字进行学习;报文转发模块106在进行报文转发时以报文的目的MAC+VLAN tag作为关键字查找FIB表。
这样就相当于将一个VPLS VPN的FIB表又按照不同的VLAN划分成了多个子表。在不通过VLAN互通命令配置模块102配置VLAN互通的情况下,各个VLAN的MAC地址都处在不同子表当中,发往不同VLAN的某目的MAC的数据报文由于VLAN字段的不匹配而导致查找转发表失败从而不能被转发到不同VLAN的目的MAC,这样就实现了不同VLAN间的隔离。
以下将参照图2结合实例来描述通过本发明实施例的用户分组互通/隔离方法,借助于本发明实施例的用户分组互通/隔离装置来实现用户分组互通/隔离的具体操作实例。
实例1
实现不同PE上两个不同VLAN之间的互通(以实现Client2和Server1的互通为例说明)。
首先描述arp请求以及MAC地址学习过程:Client2需要访问Server1,首先Client2发送arp广播报文,在PE2上报文转发模块106发现转发表中没有该报文的源MAC+VLAN所对应的转发表项,就将该报文中的源MAC地址和VLAN以及入接口等信息上送给MAC地址学习和FIB管理模块104,MAC地址学习和FIB管理模块104根据报文转发模块106上送的信息学习到VLAN1+MAC2对应的出接口为1,生成的转发条目记为VLAN1+MAC2--1,然后再查找VLAN互通关系表,查找到存在VLAN互通关系VLAN1:VLAN4,就再生成一条新的转发条目记为VLAN4+MAC2--1:VLAN1,该转发条目带有源VLAN标记,MAC地址学习和FIB管理模块104完成学习后将两条转发条目下发给报文转发模块106。
此时,PE2上的FIB中的相关转发表相关条目为:VLAN1+MAC2--1;VLAN4+MAC2--1:VLAN1。
PE2上的报文转发模块106将有关需要学习的转发信息上送给MAC地址学习和FIB管理模块104后再检查该报文的目的MAC,发现该MAC为一个广播MAC,于是将该报文做广播处理。该arp报文通过PW1广播到PE1,PE1上的报文转发模块106同样将该报文的源MAC和VLAN以及入PW等信息上送给PE1上的MAC地址学习和FIB管理模块104,MAC地址学习和FIB管理模块104进行MAC地址学习,首先学习到VLAN1+MAC2对应的出口为PW1,由于存在VLAN互通关系VLAN1:VLAN4,所以再生成另外一条转发条目VLAN4+MAC2,对应出口为PW1,同时给这条转发条目作标记VLAN1,MAC地址学习和FIB管理模块104学习到两条转发条目VLAN1+MAC2--PW1,VLAN4+MAC2--PW1:VLAN1,并将这两条转发条目下发给报文转发模块106。
此时,PE1上的FIB中相关转发表相关条目为:VLAN1+MAC2--PW1;VLAN4+MAC2--PW1:VLAN1。
PE2上的报文转发模块106在完成上送后检查该报文的目的MAC,同样发现该MAC为一个广播MAC,然后对报文进行广播处理,由于VLAN4和VLAN1之间有互通关系,所以处于VLAN4种的Server1会收到该广播报文,但是VLAN3和VLAN1没有互通关系,所以Client1不会收到该广播报文。Server1收到该报文后发现自己应该回应这个arp报文,于是就发送一个目的地址为MAC2,源地址MACS1,VLAN标记为VLAN4的报文,这个报文到达PE1后同样由在PE1上的MAC地址学习和FIB管理模块104进行MAC地址学习,首先学习到VLAN4+MACS1--2,由于有VLAN互通关系VLAN1:VLAN4,所以又自动生成另外一条转发条目VLAN1+MACS1--2:VLAN4,MAC地址学习和FIB管理模块104完成学习后将两条转发条目下发给报文转发模块106。报文转发模块106按照报文的源MAC和VLAN即VLAN4+MAC2为关键字查找转发表,查到转发条目VLAN4+MAC2--PW1:VLAN1,将报文从PW1上转发出去。
此时,PE1上的FIB转发表又增加了两条表项,改变为:VLAN1+MAC2--PW1;VLAN4+MAC2--PW1:VLAN1;VLAN4+MACS1--2;VLAN1+MACS1--2:VLAN4。
该arp回复报文到达PE2后PE2上的MAC地址学习和FIB管理模块104同样进行MAC地址学习,学习到VLAN4+MACS1--PW1,同样由于存在VLAN互通关系VLAN1:VLAN4,生成另外一条转发条目VLAN4+MACS1--PW1:VLAN1;PE2上的报文转发模块106按照VLAN4+MAC2查找转发表查找到对应的转发条目VLAN4+MAC2--1:VLAN1,然后将该报文的VLAN替换为转发条目中所指示的VLAN1,最后从出口1转发给Client2。Client2完成了一个arp请求的过程,各个PE上也都学习到了Client2和Server的MAC地址的转发信息。
此时,PE2上的FIB转发表条目为:VLAN1+MAC2--1;VLAN4+MAC2--1:VLAN1;VLAN4+MACS1--PW1;VLAN1+MACS1--PW1:VLAN4。
之后,将进行数据报文转发过程:完成arp请求后,Client2和Server1之间开始正式交互数据报文,在Client2上向Server1发送数据报文的时候报文的目的MAC为MACS1,VLAN为VLAN1,该报文到达PE2的时候PE2上的报文转发模块106查找FIB表,以MACS1+VLAN1为关键字查找到转发条目VLAN1+MACS1--PW1:VLAN4,然后将数据报文从PW1转发到PE1,PE1上接收到该报文后报文转发模块106以MACS1+VLAN1查找FIB,查找到转发条目VLAN1+MACS1--2:VLAN4,将该数据报文中的VLAN替换为VLAN4,然后从2口转发到Server1。Server1向Client2发送报文的时候走的是同一个流程。
实例2
实现不同PE上的不同VLAN间的隔离(以实现Client2和Client1隔离为例来说明)。
Client2试图访问Client1,首先发送arp请求报文,报文中携带的VLAN为VLAN1,该报文为广播报文,所以会通过PW1广播到PE1,对于PE1来讲该报文是从PW上收到的广播报文,所以PE1上的报文转发模块106将该报文向与报文中VLAN相同的本地VPN成员和与该VLAN有互通关系的本地VLAN广播,本地无VLAN1成员,只有VLAN4与VLAN1有互通关系,所以该报文之会被广播到VLAN4中,即只有Server1可以收到该报文,Client1不能接收到该报文,Client1无法回复该arp请求,所以Client2的arp请求失败,无法与Client1互发报文。
相反,Client1试图访问Client2,arp请求广播报文中携带的报文为VLAN3,该报文到达PE2的时候对于PE2来说该报文是从PW上收到的广播报文,所以PE2上的报文转发模块106将该报文向与报文中VLAN相同的本地VPN成员和与该VLAN有互通关系的本地VLAN广播,本地有VLAN3成员,没有和VLAN1有互通关系的成员,所以该报文只会被广播到VLAN3中,所以只有Client3可以收到该arp请求报文,而Client2无法接收到该arp请求报文,所以Client1的arp请求失败,无法和Client1互发报文。
实例3
实现相同PE上的不同VLAN间的隔离(以实现Client2和Client3的隔离为例来说明)。
Client2的arp请求报文到达PE2,对于PE2来说,该报文是从本地AC上收到的广播报文,PE2上的报文转发模块106将该报文向本地同VLAN的VPN本地成员和有互通关系的VLAN的VPN本地成员和所有的PW广播,本地除了Client2外没有其他的VLAN1的成员,也没有和VLAN1有互通关系的VLAN4成员,所以Client3无法收到该arp请求报文,Client2的arp请求失败,无法继续向Client3发送报文。由于同样的原因,Client3的arp请求也会失败,无法继续向Client2发送报文。
实例4
实现不同PE上的相同VLAN间的互通(以实现Client1和Client3的互通为例来说明)。
Client1发送arp请求广播报文,到达PE1的时候该报文携带的VLAN是VLAN3,PE12上的报文转发模块106首先检查到该报文的源MAC是未知MAC,然后将相关信息上送给MAC地址学习和FIB管理模块104,由MAC地址学习和FIB管理模块104进行MAC地址学习,学习到转发条目MAC1+VLAN3--1,由于VLAN3和VLAN4存在互通关系,因此会再生成另外一条转发条目:MAC1+VLAN4--1:VLAN3,然后将这两条转发条目下发给报文转发模块106。
完成报文相关信息的上送后报文转发模块106对该报文作广播处理,通过PW1该报文被广播到PE2,PE2上接收到该报文后同样进行MAC地址学习,学习到转发条目MAC1+VLAN3--PW1和MAC1+VLAN4--PW1:VLAN3,之后PE2上的报文转发模块106将该报文向本地VLAN和有互通关系的VLAN广播,本地有同是VLAN3的成员Client3,但是没有和VLAN3有互通关系的VLAN4的成员,所以PE2上只有Client3可以收到该广播报文,然后Client3回复该arp请求,回复报文的源MAC为MAC3,目的MAC为MAC1,VLAN为VLAN3,该报文到达PE2后同样MAC地址学习和FIB管理模块104就该报文的相关信息进行MAC地址学习,通过学习PE2上的FIB中增加两个转发条目:MAC3+VLAN3--2、MAC3+VLAN4--2:VLAN3;之后PE2上的报文转发模块106按照MAC1+VLAN3查找到相应的转发条目MAC1+VLAN3--PW1,所以按照转发条目将该报文通过PW1发送到PE1,到达PE1后PE1上的MAC地址学习和FIB管理模块104同样进行MAC地址学习,学习到两个转发条目:MAC3+VLAN3--PW1、MAC3+VLAN4--PW1:VLAN3,接下来按照MAC1+VLAN3查找到转发条目MAC1+VLAN3--1,通过1接口将该报文转发给Client1,至此Client1完成了一个arp请求的过程,PE1和PE2上都相应的学习到了Clien1和Client3的转发条目,接下来就可以正确的转发Client1和Client3之间的报文了。
实例5
实现相同PE上的相同VLAN间的互通(以实现Client4和Client5的互通为例来说明)。
Clilent4试图访问Client5,发送arp请求报文,该报文到达PE3后PE3上MAC地址学习和FIB管理模块104首先对该报文进行MAC地址学习,学习到两个转发条目:MAC4+VLAN2--1;MAC4+VLAN4--1:VLAN2。
然后该报文被报文转发模块106广播到本地相同VLAN的成员和所有的PW上,Client5接收到了该arp请求报文,然后回复该arp请求,回复的报文的目的地址为MAC4,源地址为MAC5,VLAN为VLAN2。该报文到达PE3后同样进行MAC地址学习,学习到两个转发条目:MAC5+VLAN2--2;MAC5+VLAN4--2:VLAN2。
然后,报文转发模块106按照MAC4+VLAN2查找到转发条目:MAC4+VLAN2--1,然后将该报文从出接口1发送给Client4,Client4完成arp请求,PE3上学习到Client4和Client5的转发条目,就可以正确的转发Client5和Client4之间的报文了。
实例6
实现相同PE上的相同VLAN间的互通(以实现Client1和Server1的互通为例来说明)。
Clilent1试图访问Server1,发送arp请求报文,该报文到达PE1后,PE1上MAC地址学习和FIB管理模块104首先对该报文进行MAC地址学习,学习到两个转发条目:MAC1+VLAN3--1;MAC1+VLAN4--1:VLAN3。
然后,该报文被报文转发模块106广播到本地相同VLAN的成员和所有的PW上,由于VLAN3和VLAN4有互通关系,所以Server1可以接收到该arp请求报文,然后回复该arp请求,回复的报文的目的地址为MACS1,源地址为MAC1,VLAN为VLAN4。该报文到达PE3后同样进行MAC地址学习,学习到两个转发条目:MACS1+VLAN4--2;MACS1+VLAN3--2:VLAN4。
之后,报文转发模块106按照MAC1+VLAN4查找到转发条目:MAC1+VLAN4--1:VLAN3,由于出口为本地的AC而且转发表项中有源VLAN标记,所以将报文的VLAN4替换成VLAN3然后将该报文从出接口1发送给Client1,Client1完成arp请求,PE1上学习到Client1和Server1的转发条目,就可以正确的转发Client1和Server1之间的报文了。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用户分组互通/隔离装置,用于使虚拟专网服务中的用户分组互通/隔离,其特征在于,包括:
VLAN互通命令配置模块,用于解析用户配置的VLAN互通配置命令和VLAN互通删除命令,以及用于将用户的配置命令解析后生成VLAN互通关系表,并将所述互通关系表下发给所述MAC地址学习和FIB管理模块用于后续的MAC地址学习;
MAC地址学习和FIB管理模块,连接至所述VLAN互通命令配置模块,能够处理来自多个VLAN的报文,用于将VLAN中的MAC地址的转发条目拷贝到与所述VLAN互通的其他VLAN中,并将所述转发条目写入FIB中用于报文转发;以及
报文转发模块,连接至所述MAC地址学习和FIB管理模块,能够处理来自多个VLAN的报文,用于根据VLAN互通情况将报文向其他有互通关系的VLAN广播,并且在处理相关单播报文时根据转发条目替换报文的VLAN后再进行转发。
2.根据权利要求1所述的用户分组互通/隔离装置,其特征在于,在附条件模式下进行MAC地址学习,一个VPLS VPN中有多个VLAN,在其中的两个VLAN之间不互通的情况下,所述两个VLAN之间可以有相同的MAC,在两个VLAN之间互通的情况下,所述两个VLAN之间不能具有相同的MAC。
3.根据权利要求2所述的用户分组互通/隔离装置,其特征在于,所述MAC地址学习和FIB管理模块在学习MAC地址的同时根据需要查找VLAN互通关系表,在学习到的MAC地址的VLAN和其他VLAN有互通关系的情况下,将所述MAC地址复制有互通关系的VLAN中生成新的转发条目,在所述新的转发条目后加入源VLAN标记,然后下发到所述报文转发模块用于转发数据报文。
4.根据权利要求3所述的用户分组互通/隔离装置,其特征在于,当所述报文转发模块接收到已知目的MAC的单播报文时,在出接口为本地AC的情况下,如果查找到的转发条目中没有源VLAN标记,则从出接口转发所述报文;如果查找到的转发条目中带有缘VLAN标记,则首先将所述报文中的VLAN替换为转发条目中对应的源VLAN,然后从对应的本地接口转发所述报文。
5.根据权利要求1至4中任一项所述的用户分组互通/隔离装置,其特征在于,所述VLAN互通命令配置模块用于解析用户的VLAN互通配置删除命令,将用户指定删除的VLAN互通关系从VLAN互通关系表中删除,同时通知所述MAC地址学习和FIB管理模块删除该VLAN互通关系,并删除FIB表中基于所述VLAN互通关系而复制成的转发条目。
6.根据权利要求1所述的用户分组互通/隔离装置,其特征在于,所述报文转发模块将从本地AC接收到的广播报文向与所述广播报文中的VLAN相同的本地VPN成员和所有PW广播;
将从远端PW接收到的广播报文向与所述广播报文中的VLAN相同的本地VPN成员和spoke PW广播;将从本地AC接收到的未知MAC地址的单播报文向与所述单播报文中的VLAN相同的本地VPN成员和所有PW广播;将从远端PW接收到的未知目的MAC地址的单播报文向与所述单播报文中的VLAN相同的本地VPN成员和spoke PW广播。
7.一种用户分组互通方法,使用根据权利要求1至6中任一项所述的用户分组互通/隔离装置,用于实现虚拟专网服务中的用户分组互通,其特征在于,MAC地址学习和FIB管理模块在需要互通的VLAN之间拷贝转发表项,并且报文转发模块在进行报文转发时根据报文发送的目的地选择性的对报文中的VLAN进行处理。
8.根据权利要求7所述的用户分组互通方法,其特征在于,所述MAC地址学习和FIB管理模块把一个VLAN中的MAC地址拷贝到与其互通的VLAN中生成信息的带有源VLAN标记的转发表项。
9.根据权利要求7所述的用户分组互通方法,其特征在于,如果在进行报文转发时报文被通过PW发往远端,则所述报文转发模块不对报文中的VLAN进行处理,如果报文被发往本地AC并且对应的转发条目中有源VLAN标记存在,则所述报文转发模块将报文中的VLAN替换成源VLAN之后再转发。
10.一种用户分组隔离方法,使用根据权利要求1至6中任一项所述的用户分组互通/隔离装置,用于实现虚拟专网服务中的用户分组隔离,其特征在于,MAC地址学习和FIB管理模块在对上送上来的报文MAC地址学习时,以MAC+VLAN tag作为关键字进行学习;报文转发模块在进行报文转发时以报文的目的MAC+VLAN tag作为关键字查找FIB表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101618651A CN101197762A (zh) | 2006-12-05 | 2006-12-05 | 虚拟专网服务中用户分组互通/隔离装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101618651A CN101197762A (zh) | 2006-12-05 | 2006-12-05 | 虚拟专网服务中用户分组互通/隔离装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101197762A true CN101197762A (zh) | 2008-06-11 |
Family
ID=39547920
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006101618651A Withdrawn CN101197762A (zh) | 2006-12-05 | 2006-12-05 | 虚拟专网服务中用户分组互通/隔离装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101197762A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778035A (zh) * | 2010-03-09 | 2010-07-14 | 中兴通讯股份有限公司 | 一种虚拟专用局域网通信的方法及装置 |
CN102938866A (zh) * | 2012-11-27 | 2013-02-20 | 华为技术有限公司 | 传输vlan信息的方法、设备和系统 |
CN105379185A (zh) * | 2013-05-20 | 2016-03-02 | 茨特里克斯系统公司 | 用于创建和管理网络群组的方法和系统 |
CN106656788A (zh) * | 2016-12-30 | 2017-05-10 | 盛科网络(苏州)有限公司 | 优化mlag孤立口广播流量的芯片实现方法 |
CN107547286A (zh) * | 2017-09-25 | 2018-01-05 | 新华三技术有限公司 | 地址解析协议arp表的生成方法及装置 |
-
2006
- 2006-12-05 CN CNA2006101618651A patent/CN101197762A/zh not_active Withdrawn
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778035A (zh) * | 2010-03-09 | 2010-07-14 | 中兴通讯股份有限公司 | 一种虚拟专用局域网通信的方法及装置 |
CN101778035B (zh) * | 2010-03-09 | 2013-12-18 | 中兴通讯股份有限公司南京分公司 | 一种虚拟专用局域网通信的方法及装置 |
CN102938866A (zh) * | 2012-11-27 | 2013-02-20 | 华为技术有限公司 | 传输vlan信息的方法、设备和系统 |
CN105379185A (zh) * | 2013-05-20 | 2016-03-02 | 茨特里克斯系统公司 | 用于创建和管理网络群组的方法和系统 |
CN105379185B (zh) * | 2013-05-20 | 2019-10-25 | 茨特里克斯系统公司 | 用于创建和管理网络群组的方法和系统 |
CN106656788A (zh) * | 2016-12-30 | 2017-05-10 | 盛科网络(苏州)有限公司 | 优化mlag孤立口广播流量的芯片实现方法 |
CN106656788B (zh) * | 2016-12-30 | 2019-09-20 | 盛科网络(苏州)有限公司 | 优化mlag孤立口广播流量的芯片实现方法 |
CN107547286A (zh) * | 2017-09-25 | 2018-01-05 | 新华三技术有限公司 | 地址解析协议arp表的生成方法及装置 |
CN107547286B (zh) * | 2017-09-25 | 2020-10-09 | 新华三技术有限公司 | 地址解析协议arp表的生成方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3211839B1 (en) | Split-horizon packet forwarding in a mh-pbb-evpn network | |
CN103139037B (zh) | 用于实现灵活的虚拟局域网的方法和装置 | |
CN103685022B (zh) | 报文转发方法及服务提供商网络边缘设备 | |
CN101848129B (zh) | 网络系统、核心交换器、边缘交换器、数据中继方法 | |
CN103227843B (zh) | 一种物理链路地址管理方法及装置 | |
CN101765827B (zh) | 交叠传送虚拟化 | |
CN103795636B (zh) | 组播处理方法、装置及系统 | |
CN102333028B (zh) | 一种分层式二层虚拟专用网发送报文的方法及通信设备 | |
CN101197760B (zh) | 虚拟专网服务中用户分组互通/隔离装置 | |
CN102801625B (zh) | 一种异构网络二层互通的方法及设备 | |
CN101808042B (zh) | 一种多协议标签交换二层虚拟专用网的接入方法和装置 | |
CN102668463A (zh) | 在扩展子网内提供网关任意播虚拟mac可达性的方法 | |
CN101552727B (zh) | 一种报文发送和接收方法及运营商边缘路由器 | |
CN101110745A (zh) | 衔接二层网络和三层网络的方法、装置和系统 | |
AU2003286511A1 (en) | Modified spanning tree protocol for metropolitan area network | |
CN102739501B (zh) | 二三层虚拟私有网络中的报文转发方法和系统 | |
CN102932499A (zh) | Vpls网络中的mac地址学习方法及设备 | |
CN102185778A (zh) | 一种基于vll的数据传输方法及其装置 | |
CN104348717A (zh) | 报文转发方法和装置 | |
CN102316014B (zh) | 分层虚拟专用局域网服务环境下的负载分担方法及路由器 | |
CN109639552A (zh) | 一种三层转发方法及装置 | |
CN102064999B (zh) | 实现组播报文转发的方法和组播报文转发设备 | |
CN101197762A (zh) | 虚拟专网服务中用户分组互通/隔离装置及方法 | |
CN101621477A (zh) | 一种一对多端口镜像的方法和装置 | |
CN108540386A (zh) | 一种防止业务流中断方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C04 | Withdrawal of patent application after publication (patent law 2001) | ||
WW01 | Invention patent application withdrawn after publication |