CN101237378B - 虚拟局域网的映射方法和设备 - Google Patents
虚拟局域网的映射方法和设备 Download PDFInfo
- Publication number
- CN101237378B CN101237378B CN2008100849766A CN200810084976A CN101237378B CN 101237378 B CN101237378 B CN 101237378B CN 2008100849766 A CN2008100849766 A CN 2008100849766A CN 200810084976 A CN200810084976 A CN 200810084976A CN 101237378 B CN101237378 B CN 101237378B
- Authority
- CN
- China
- Prior art keywords
- vlan
- user terminal
- list item
- user
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 145
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000008569 process Effects 0.000 claims description 15
- 230000008878 coupling Effects 0.000 claims description 11
- 238000010168 coupling process Methods 0.000 claims description 11
- 238000005859 coupling reaction Methods 0.000 claims description 11
- 230000003068 static effect Effects 0.000 claims description 7
- 230000013011 mating Effects 0.000 claims description 5
- 230000001808 coupling effect Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 2
- 238000012217 deletion Methods 0.000 description 12
- 230000037430 deletion Effects 0.000 description 12
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 10
- 101150115300 MAC1 gene Proteins 0.000 description 10
- 101710101449 Alpha-centractin Proteins 0.000 description 6
- 102100040399 C->U-editing enzyme APOBEC-2 Human genes 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 3
- 102100039558 Galectin-3 Human genes 0.000 description 3
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 3
- 101150051246 MAC2 gene Proteins 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 102000004373 Actin-related protein 2 Human genes 0.000 description 2
- 108090000963 Actin-related protein 2 Proteins 0.000 description 2
- 102000003741 Actin-related protein 3 Human genes 0.000 description 2
- 108090000104 Actin-related protein 3 Proteins 0.000 description 2
- 101150082208 DIABLO gene Proteins 0.000 description 2
- 102100033189 Diablo IAP-binding mitochondrial protein Human genes 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 244000188472 Ilex paraguariensis Species 0.000 description 1
- MHABMANUFPZXEB-UHFFFAOYSA-N O-demethyl-aloesaponarin I Natural products O=C1C2=CC=CC(O)=C2C(=O)C2=C1C=C(O)C(C(O)=O)=C2C MHABMANUFPZXEB-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种虚拟局域网VLAN的映射方法和设备。该VLAN的映射方法包括以下步骤:设置VLAN映射关系,并获取用户终端的用户信息表项;根据所述VLAN映射关系以及用户终端的用户信息表项,生成与所述用户终端对应的表项;根据所述生成的表项对所述用户终端的上行报文和/或下行报文进行VLAN映射。通过使用本发明提供的方法和设备,获取用户终端的信息并生成对应的表项,并利用生成的表项实现了VLAN映射的动态管理,不需要在网络设备上配置大量的ACL,从而节省了网络设备的ACL资源,提高了网络设备的处理能力。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种VLAN(Virtual Local AreaNetwork虚拟局域网)的映射方法和设备。
背景技术
现有技术中,为了提高网络的安全性和可靠性,提出了VLAN技术。在同一物理上的LAN可以分成多个VLAN,VLAN之间不能直接访问,只能通过路由设备互相访问。例如图1所示的情况,VLAN1与VLAN2之间不能进行直接的二层通信,必须给每个VLAN接口配置IP地址与相应的MAC(Medium Access Control,媒体接入控制)地址。在静态配置或动态学习ARP(Address Resolution Protocol,地址解析协议)表项与路由表项之后,VLAN之间才可以进行通信。
目前的网络中,通常使用L3交换机(L3Switch)作为汇聚交换机,而这些设备具有三层路由转发的功能以及VLAN映射的功能。在VLAN映射前的组网中,用户接入的VLAN都需要透传到网关L3Switch上进行终结,当用户接入的VLAN数目较多时候,需要在L3Switch上进行大量的VLAN终结,每一个VLAN都需要消耗一个L3switch的路由接口资源,给L3switch设备处理造成了较大的压力,同样也造成了汇聚网络中VLAN资源的浪费与冲突。而汇聚交换机上启用VLAN汇聚以后,可以将用户接入的VLAN全部汇聚为一个上行的VLAN,有效降低了汇聚网络中VLAN资源消耗,同样,也降低了L3Swich设备VLAN路由接口数量。
现有技术中,为了实现VLAN映射,通常采用ACL(Access Control List,接入控制列表)将上行报文中的VLAN tag(VLAN标识)由用户侧VLAN修改为网络侧VLAN,对于网络侧的下行报文也是通过ACL将报文中的VLAN tag由网络侧VLAN修改为用户侧VLAN,这样就需要大量的ACL。而ACL资源对于低端交换机来说是非常紧缺的。
发明内容
本发明提供一种虚拟局域网的映射方法和设备,用于节省接入设备的ACL资源,实现VLAN映射的动态管理。
为达到上述目的,本发明提供一种VLAN的映射方法,包括以下步骤:
设置VLAN映射关系,并获取用户终端的用户信息表项;
根据所述VLAN映射关系以及用户终端的用户信息表项,生成与所述用户终端对应的表项;
根据所述生成的表项对所述用户终端的上行报文和/或下行报文进行VLAN映射。
其中,所述获取用户终端的用户信息表项的步骤具体为:
在所述用户终端初始接入网络的过程中,根据动态主机分配协议DHCP协议或者用户终端所在网络的静态配置,获取用户终端的用户信息表项;所述用户信息表项中包括:所述用户终端的媒体接入控制MAC地址、IP地址、用户侧VLAN以及接入端口。
其中,所述根据DHCP协议获取用户终端的用户信息表项的步骤具体为:
接收到用户终端的DHCP报文时,根据DHCP Snooping协议获取用户终端的MAC地址、用户侧VLAN以及接入端口,生成临时用户信息表项;
接收到网络侧对所述用户终端的DHCP响应报文,根据DHCP Snooping协议获取用户终端的IP地址,加入所述临时用户信息表项得到最终的用户信息表项。
其中,所述生成与所述用户终端对应的表项的步骤具体为:
生成与用户终端对应的ACL表项、和/或路由表项;所述ACL表项用于对用户终端上行报文的映射处理,所述路由表项用于对用户终端下行报文的处理。
其中,所述生成与所述用户终端对应的ACL具体为:
在用户终端的接入端口上设置ACL,用于对所述用户终端的上行报文进行VLAN映射;所述ACL的匹配规则具体为:判断接收到的上行报文中的MAC地址、IP地址以及用户侧VLAN是否与所述用户信息表项中对应的用户终端信息相同,所述ACL的匹配动作具体为:对于判断结果为相同的上行报文,根据VLAN映射关系将用户侧VLAN映射为网络侧VLAN。
其中,所述生成与所述用户终端对应的路由表项具体为:
设置地址解析协议ARP表项、路由MAC以及路由表项,用于对所述用户终端的下行报文进行VLAN映射;
所述ARP表项中包括所述用户终端的MAC地址、IP地址、用户侧VLAN以及接入端口;所述路由MAC中包括用户终端的MAC地址以及网络侧VLAN;所述路由表项中包括所述用户终端的IP地址、IP掩码全匹配设置以及所述用户终端的ARP表项。
其中,所述根据所述生成的表项对所述用户终端的上行报文进行VLAN映射前还包括:
接收到用户终端的上行ARP报文,对所述上行ARP报文进行映射并发送;所述上行ARP报文的映射具体包括:
根据上行ARP报文携带的MAC地址以及用户侧VLAN信息,从用户终端的用户信息表项中获取对应的户终端以及对应的网络侧VLAN;
根据所述网络侧VLAN对所述上行ARP报文中的用户侧VLAN进行VLAN映射。
其中,所述对所述上行ARP报文进行映射并发送后,还包括:接收网络侧下行ARP报文,对所述下行ARP报文进行映射并向对应的用户终端发送;所述下行ARP报文的映射具体包括:
根据下行ARP报文携带的目的MAC地址或IP地址,从用户终端的用户信息表项中获取对应的用户终端及其用户侧VLAN;
根据所述用户侧VLAN对所述下行ARP报文中的网络侧VLAN进行VLAN映射。
其中,所述报文为上行数据报文时,对所述用户终端的上行数据报文进行VLAN映射具体为:
根据所述上行数据报文中的MAC地址、IP地址、用户侧VLAN,与所述用户终端的接入端口上设置的ACL进行匹配,匹配成功时,根据所述ACL将所述上行数据报文中的用户侧VLAN映射为网络侧VLAN。
其中,所述报文为下行数据报文时,对所述用户终端的下行数据报文进行VLAN映射具体为:
根据所述下行数据报文的网络侧VLAN与目的MAC,匹配路由MAC;
匹配到对应的路由MAC时,根据所述下行数据报文的目的IP匹配路由表项;
获取匹配到的路由表项中的ARP表项,获取对应的用户侧VLAN;
将所述下行数据报文中的网络侧VLAN映射为用户侧VLAN。
其中,所述对用户终端的上行和下行报文进行VLAN映射后,还包括:
检测到用户终端释放地址时,删除所述用户终端的用户信息表项、ACL和路由表项。
本发明还提供一种虚拟局域网VLAN的映射设备,包括:
VLAN映射关系设置单元,用于设置VLAN映射关系;
用户信息表项获取单元,用于获取用户终端的用户信息表项;
表项生成单元,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的表项;
映射单元,用于根据所表项生成单元生成的表项,对所述用户终端的上行和/或下行报文进行VLAN映射。
其中,所述用户信息表项获取单元进一步包括:
第一获取子单元,用于根据动态主机分配协议DHCP协议,获取用户终端的用户信息表项;
第二获取子单元,用于根据用户终端所在网络的静态配置,获取用户终端的用户信息表项;
所述用户信息表项中包括:所述用户终端的媒体接入控制MAC地址、IP地址、用户侧VLAN以及接入端口。
其中,所述表项生成单元进一步包括:
ACL表项生成子单元,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的ACL;
路由表项生成子单元,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的路由表项。
其中,所述映射单元进一步包括:
上行ARP报文映射子单元,用于根据上行ARP报文携带的用户终端MAC地址以及用户侧VLAN信息,从用户终端的用户信息表项中获取对应的户终端以及对应的网络侧VLAN;根据所述网络侧VLAN对所述上行ARP报文中的用户侧VLAN进行VLAN映射。
下行ARP报文映射子单元,用于根据下行ARP报文携带的目的MAC地址或IP地址,从用户终端的用户信息表项中获取对应的用户终端及其用户侧VLAN;根据所述用户侧VLAN对所述下行ARP报文中的网络侧VLAN进行VLAN映射。
其中,所述映射单元进一步包括:
上行数据报文映射子单元,用于根据所述上行数据报文中的MAC地址、IP地址、用户侧VLAN,与所述ACL生成单元设置的ACL进行匹配,匹配成功时,根据所述ACL将所述上行数据报文中的用户侧VLAN映射为网络侧VLAN;
下行数据报文映射子单元,用于根据所述下行数据报文的网络侧VLAN与目的MAC,匹配路由MAC;匹配到对应的路由MAC时,根据所述下行数据报文的目的IP匹配路由表项;获取匹配到的路由表项中的ARP表项,获取对应的用户侧VLAN;将所述下行数据报文中的网络侧VLAN映射为用户侧VLAN。
其中,还包括:
删除单元,用于检测到用户终端释放地址时,删除所述用户信息表项获取单元中的用户终端的用户信息表项,以及所述表项生成单元生成的与用户终端对应的表项。
与现有技术相比,本发明具有以下优点:
通过使用本发明提供的方法和设备,获取用户终端的信息并生成对应的表项,并利用生成的表项实现了VLAN映射的动态管理,不需要在网络设备上配置大量的ACL,从而节省了网络设备的ACL资源,提高了网络设备的处理能力。
附图说明
图1是现有技术中不同VLAN接口的示意图;
图2是本发明中一种VLAN映射方法的流程图;
图3是本发明中一种VLAN映射设备的结构示意图。
具体实施方式
本发明的以下描述中,对需要进行映射的VLAN进行分类,具体包括用户侧VLAN与网络侧VLAN。其中,用户侧VLAN是指位于接入侧、需要进行映射处理的VLAN;网络侧VLAN是网络侧的VLAN。具体的,从用户侧VLAN上行的报文在通过VLAN映射处理后,报文中携带的VLAN tag由用户侧VLAN变换为网络侧VLAN;从网络侧VLAN下行的报文在通过VLAN映射处理后,报文中携带的VLAN tag由网络侧VLAN变换为相应的用户侧VLAN。
本发明中提供一种VLAN的映射方法,如图2所示,包括以下步骤:
步骤s101、设置VLAN映射关系,并获取用户终端的用户信息表项。
具体的,获取用户终端的用户信息表项的步骤具体为:在用户终端初始接入网络的过程中,根据DHCP(Dynamic Host Configuration Protocol,动态主机分配协议)协议或者用户终端所在网络的静态配置,获取用户终端的用户信息表项;用户信息表项中包括:用户终端的媒体接入控制MAC地址、IP地址、用户侧VLAN以及接入端口。
步骤s102、根据VLAN映射关系以及用户终端的用户信息表项,生成与用户终端对应的表项,对用户终端的上行和/或下行报文进行VLAN映射。
具体的,与用户终端对应的表项包括:ACL表项和路由表项,其中ACL表项用于对上行数据报文的映射处理,路由表项用于对下行数据报文的映射处理。
生成与用户终端对应的ACL表项具体为:在用户终端的接入端口上设置ACL,用于对用户终端的上行报文进行VLAN映射;ACL的匹配规则具体为:判断接收到的上行报文中的MAC地址、IP地址以及用户侧VLAN是否与用户信息表项中对应的用户终端信息相同,ACL的匹配动作具体为:对于判断结果为相同的上行报文,根据VLAN映射关系将用户侧VLAN映射为网络侧VLAN。
具体的,生成与用户终端对应的路由表项具体为:设置ARP表项、路由MAC以及路由表项,用于对用户终端的下行报文进行VLAN映射;ARP表项中包括用户终端的MAC地址、IP地址、用户侧VLAN以及接入端口;路由MAC中包括用户终端的MAC地址以及网络侧VLAN;路由表项中包括用户终端的IP地址、IP掩码全匹配设置以及用户终端的ARP表项。
其中,在对用户终端的数据报文进行处理的过程中,还需要涉及到对用户终端的ARP报文的映射处理。这是因为用户终端在获取到IP地址后,如果需要向某一目的IP地址发送上行数据报文,则必须获知相应的MAC地址,因此用户终端需要通过ARP报文的交互获取与目的IP对应的MAC地址。
对于对上行或下行的协议报文(DHCP以及ARP)的VLAN映射方法,以及对上行或下行数据报文的VLAN映射方法,以下分别进行描述。
步骤s103、检测到用户终端释放地址时,删除与用户终端对应的表项。
具体的,需要删除的与用户终端对应的表项包括:用户信息表项、ACL表项和路由表项。
以下对本发明中一种VLAN的映射方法的具体实施方式进行描述,其中一个网络侧VLAN对应多个用户侧VLAN。以下以图2所示的VLAN映射示意图说明本发明实施例中VLAN映射的方法。图2中,用户侧VLAN包括VLAN1、VLAN2和VLAN3,网络侧VLAN包括VLAN4,其映射关系为在上行方向将VLAN1、VLAN2和VLAN3映射为VLAN4,在下行方向根据对应关系将VLAN4映射为对应的VLAN1、VLAN2或VLAN3。并假设VLAN1中的地址为MAC1、IP1的用户终端1通过Port1接入交换机;VLAN2中的地址为MAC2、IP2的用户终端2通过Port2接入交换机;VLAN3中的地址为MAC3、IP3的用户终端3通过Port3接入交换机。
在用户终端接入网络侧的过程中,用户终端需要通过DHCP协议获取IP地址以接入网络。则用户终端需要向网络侧的DHCP服务器发送上行方向的DHCP报文。
在交换设备上,为了对用户终端初始的上行方向DHCP报文进行处理,实现用户侧VLAN到网络侧VLAN的映射变化,需要在交换机上配置策略对相关报文进行VLAN变换,具体的:在交换机上配置VLAN映射关系:例如,对于携带的VLAN tag为VLAN1、VLAN2、VLAN3的报文,将其VLAN tag替换为VLAN 4。
则交换设备对用户终端初始的上行方向DHCP报文进行处理的流程包括以下步骤:
(1)从用户侧端口接收到DHCP协议报文,截获到CPU。该DHCP协议报文可以为用户终端请求网络侧DHCP服务器为其分配IP地址的DHCP报文。
(2)记录用户侧发送的DHCP报文中携带的MAC地址、用户VLAN信息以及入端口信息,生成“临时绑定表项”。在后面的流程中,能够根据用户的MAC地址通过查询MAC地址表获得相应的用户侧VLAN。
(3)获取报文的入端口、SMAC(Source MAC,源MAC)、VLAN信息,根据VLAN映射关系获取网络侧VLAN;如果该VLAN不需要做映射,则根据VLAN映射关系获取到的网络侧VLAN即为原VLAN。
(4)根据配置的VLAN映射关系,将DHCP报文中的VLAN tag由用户侧VLAN转换为网络侧VLAN,向网络侧VLAN发送。例如对于VLAN1中的用户终端1发送的报文,将其VLAN tag由VLAN1转换为VLAN4。
在交换设备上,会接收到下行方向的DHCP报文,即网络侧DHCP服务器针对用户终端发送的请求IP地址的DHCP报文返回的DHCP响应报文,该报文中携带DHCP服务器为该用户终端分配的IP地址。则下行方向DHCP报文的处理流程包括以下步骤:
(1)从网络侧端口接收到DHCP协议报文,截获到CPU。
(2)获取DHCP报文携带的用户终端MAC地址,网络侧VLAN等信息,根据之前存储的VLAN映射关系、以及MAC地址与用户侧VLAN的对应关系,获取对DHCP报文进行VLAN映射时对应的用户侧VLAN。
(3)记录DHCP报文携带的MAC地址、用户侧端口、IP地址以及与用户侧VLAN的对应关系,增加到与该MAC地址相对应的“临时绑定表”中,通过此步骤,生成了完整的用户信息表项。
(4)根据步骤(2)中获取的用户侧VLAN,将DHCP报文中的VLAN tag由网络侧VLAN转换为用户侧VLAN,并将DHCP报文向用户侧VLAN发送。
通过以上步骤,可以通过DHCP snooping功能屏蔽VLAN映射查找,直接根据VLAN映射关系获取VLAN。如果用户终端合法从DHCP服务器上获取到IP地址或释放地址,那么DHCP snooping功能就会记录或删除该用户终端的用户信息表项,用户信息表项中包含用户MAC、IP、用户侧VLAN与接入端口等。
为了对上行或下行的报文进行VLAN映射,需要根据该用户信息表项维护相应的绑定表。具体的,为了对上行方向的报文进行VLAN映射处理,交换设备可以在有用户信息表项建立时,根据该用户信息表项在与用户终端对应的接口上生成ACL表项;在有用户信息表项删除时,将之前建立的ACL表项删除。为了对下行方向的报文进行VLAN映射处理,交换设备可以在有用户信息表项建立时,根据该用户信息表项建立对应的ARP表项、路由MAC以及路由表项,根据这些内容进行下行报文的VLAN映射和转发;在有用户信息表项删除时,将之前建立的对应的各表项删除。该部分内容在后文进行进一步介绍。
用户终端获得IP地址后,在交换设备上还可能接收到用户终端发送的上行ARP报文。这是因为用户终端在获取到IP地址后,如果需要向某一目的IP地址发送上行数据报文,则必须获知相应的MAC地址,因此用户终端需要通过ARP报文的交互获取与目的IP对应的MAC地址。交换设备接收到用户终端发送的上行ARP报文时,对上行ARP报文的处理流程包括以下步骤:
(1)从用户侧端口接收到ARP报文,截获到CPU。
(2)获取ARP报文携带的MAC地址、用户侧VLAN等信息,并根据VLAN映射关系获取网络侧VLAN。
(3)根据获取到的网络侧VLAN,将ARP报文中的VLAN tag由用户侧VLAN转换为网络侧VLAN,将ARP报文从网络侧VLAN发送。
在交换设备接收到网络侧对用户终端上行ARP报文返回的下行ARP报文时,交换设备对下行ARP报文的处理流程包括以下步骤:
(1)从网络侧端口收到ARP报文,截获到CPU。
(2)获取报文中携带的DIP(Destination IP,目标IP)信息,根据用户信息表项获取用户侧VLAN、用户接入端口等信息;
(3)根据获取的用户侧VLAN,将ARP报文中的VLAN tag由网络侧VLAN转换为用户侧VLAN,将ARP报文向用户侧VLAN发送。
至此,关于ARP协议报文的VLAN转换已经处理完毕。
在交换设备上,如前文所述,为了对上行方向的数据报文进行VLAN映射处理,交换设备可以在有用户信息表项建立时,根据该用户信息表项在与用户终端对应的接口上生成ACL表项;在有用户信息表项删除时,将之前建立的ACL表项删除。具体的,该处理流程包括以下步骤:
(1)接收到用户信息表项建立的消息。
以用户终端1的用户信息表项为例,其中包括用户MAC为MAC1,SIP为IP1,VLAN为VLAN1,接入端口为PORT1。
(2)在VLAN映射关系中获取用户侧VLAN所对应的网络侧VLAN,这里假设对于用户侧VLAN1,获取到的网络侧VLAN为VLAN4,如果VLAN4等于VLAN1,则结束该处理流程。
(3)在PORT1设置ACL表项。
匹配规则如下:“用户侧VLAN1、SMAC为MAC1、SIP为IP1”;
匹配动作如下:“将报文VLAN tag修改为VLAN4”;
如果收到的是绑定表删除消息,则将该表项相关的ACL表项删除;
这样,用户终端1的上行数据报文就会匹配ACL,将VLAN1转换为相应的网络侧VLAN4。ACL功能还可以加入缺省的拒绝动作,如果某数据报文没有匹配到任何表项,就执行缺省动作以实现安全功能,保证网络不被恶意用户进行攻击。
通过该方法,合法用户终端通过网络侧认证获取到接入网络的权限时,交换机上才会添加这个用户终端的所有信息,包括MAC,IP,VLAN与接入端口,然后在下行口下发ACL,严格按照这个用户终端的信息对上行的流量进行VLAN映射。而对于非法的用户终端是无法接入网络的;另外,如果某个用户终端打入一个MAC不同的攻击流量,但是交换机中没有这个MAC相关的信息,这个流量在端口上就会被丢弃,从而提高了网络的安全性。
在交换设备上,如前文所述,为了对下行方向的数据报文进行VLAN映射处理,交换设备可以在有用户信息表项建立时,根据该用户信息表项建立对应的ARP表项、路由MAC以及路由表项,根据这些内容进行下行报文的VLAN映射和转发。具体的,该处理流程包括以下步骤:
(1)接收到用户信息表项建立的消息。
以用户终端1的用户信息表项为例,其中包括用户MAC为MAC1,SIP为IP1,VLAN为VLAN1,接入端口为PORT1。
(2)在VLAN映射关系中获取用户侧VLAN所对应的网络侧VLAN,这里假设对于用户侧VLAN1,获取到的网络侧VLAN为VLAN4,如果VLAN4等于VLAN1,则结束该处理流程。
(3)设置ARP表项。
以用户终端1的用户信息表项为例,设置ARP表项1,其中MAC为MAC1,IP为IP1,VLAN为VLAN1,port为PORT1;
(4)设置路由MAC。
以用户终端1的用户信息表项为例,设置MAC1为网络侧VLAN4的路由MAC,匹配该MAC的IP报文会触发路由表项的查找与转发。
(5)设置路由表项。
以用户终端1的用户信息表项为例,设置路由表项1,其中DIP为IP1,掩码长度为32位(即IP地址全匹配),下一跳出口为步骤(2)中设置的ARP表项。
对于如图2的典型组网,用户终端1的ARP表项为ARP1{MAC1,IP1,VLAN1,PORT1},路由表项为{IP1,MASK length为32,出接口为ARP1},路由MAC为{MAC1,IVLAN4};用户终端2的ARP表项为ARP2{MAC2,IP2,VLAN2,PORT2},路由表项为{IP2,MASK length为32,出接口为ARP2},路由MAC为{MAC2,IVLAN4};用户终端3的ARP表项为ARP3{MAC3,IP3,VLAN3,PORT3},路由表项为{IP3,MASK length为32,出接口为ARP3},路由MAC为{MAC3,IVLAN4};如果收到的是绑定表删除消息,则将该表项相关的ARP表项与路由表项删除。
这样,网络侧的关于用户终端的下行数据报文就会自动匹配。例如对于下行到用户侧VLAN1的报文,其携带的VLAN为网络侧VLAN4。首先确认在网络侧VLAN4的路由MAC中存在对应的记录即MAC1。之后根据报文的目的MAC为MAC1、DIP为IP1触发路由,会精确匹配路由表项1,该路由表项指向的出接口为ARP1,因此报文会从ARP1中所指的端口转发出去,并将VLAN修改为ARP1中的VLAN1,目的MAC替换为ARP1中的MAC(与报文DMAC一致,相当于没有改变报文的目的MAC)。这样,下行报文就从网络侧VLAN转换到了用户侧VLAN。
本发明还提供一种虚拟局域网VLAN的映射设备,如图3所示,包括:
VLAN映射关系设置单元10,用于设置VLAN映射关系。
用户信息表项获取单元20,用于获取用户终端的用户信息表项。
该用户信息表项获取单元20进一步包括:第一获取子单元,用于根据动态主机分配协议DHCP协议,获取用户终端的用户信息表项;第二获取子单元,用于根据用户终端所在网络的静态配置,获取用户终端的用户信息表项;用户信息表项中包括:用户终端的媒体接入控制MAC地址、IP地址、用户侧VLAN以及接入端口。
表项生成单元30,用于根据VLAN映射关系设置单元10设置的VLAN映射关系以及用户信息表项获取单元20获取的用户信息表项,生成与用户终端对应的表项。
映射单元40,用于根表项生成单元30生成的表项,对所述用户终端的上行和/或下行报文进行VLAN映射。
删除单元50,用于检测到用户终端释放地址时,删除用户信息表项获取单元中的用户终端的用户信息表项、ACL生成单元生成的ACL、以及路由表项生成单元生成的路由表项。
具体的,该表项生成单元30进一步包括:
ACL表项生成子单元31,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的ACL;
路由表项生成子单元32,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的路由表项。具体的,路由表项生成子单元32根据用户信息表项生成ARP表项、路由MAC以及路由表项。ARP表项中包括用户终端的MAC地址、IP地址、用户侧VLAN以及接入端口;路由MAC中包括用户终端的MAC地址以及网络侧VLAN;路由表项中包括用户终端的IP地址、IP掩码全匹配设置以及用户终端的ARP表项。
具体的,该映射单元40进一步包括:
上行ARP报文映射子单元41,用于根据上行ARP报文携带的MAC地址以及用户侧VLAN信息,从用户终端的用户信息表项中获取对应的户终端以及对应的网络侧VLAN;根据网络侧VLAN对上行ARP报文中的用户侧VLAN进行VLAN映射。
下行ARP报文映射子单元42,用于根据下行ARP报文携带的目的MAC地址或IP地址,从用户终端的用户信息表项中获取对应的用户终端及其用户侧VLAN;根据用户侧VLAN对下行ARP报文中的网络侧VLAN进行VLAN映射。
上行数据报文映射子单元43,用于根据上行数据报文中的MAC地址、IP地址、用户侧VLAN,与ACL生成单元设置的ACL进行匹配,匹配成功时,根据ACL将上行数据报文中的用户侧VLAN映射为网络侧VLAN;
下行数据报文映射子单元44,用于根据下行数据报文的网络侧VLAN与目的MAC,匹配路由MAC;匹配到对应的路由MAC时,根据下行数据报文的目的IP匹配路由表项;获取匹配到的路由表项中的ARP表项,获取对应的用户侧VLAN;将下行数据报文中的网络侧VLAN映射为用户侧VLAN。
通过使用本发明提供的方法和设备,获取用户终端的信息并生成对应的表项(如ACL表项和/和路由表项),并利用生成的表项实现了VLAN映射的动态管理,不需要在网络设备上配置大量的ACL,从而节省了网络设备的ACL资源,提高了网络设备的处理能力。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (15)
1.一种虚拟局域网VLAN的映射方法,其特征在于,包括以下步骤:
设置VLAN映射关系,并获取用户终端的用户信息表项;
根据所述VLAN映射关系以及用户终端的用户信息表项,生成与所述用户终端对应的ACL表项,用于对所述用户终端的上行报文进行VLAN映射,和/或生成与所述用户终端对应的路由表项,用于对所述用户终端的下行报文进行VLAN映射;
其中,所述生成与所述用户终端对应的ACL表项,具体为:在用户终端的接入端口上设置ACL,用于对所述用户终端的上行报文进行VLAN映射;所述ACL的匹配规则具体为:判断接收到的上行报文中的MAC地址、IP地址以及用户侧VLAN是否与所述用户信息表项中对应的用户终端信息相同,所述ACL的匹配动作具体为:对于判断结果为相同的上行报文,根据VLAN映射关系将用户侧VLAN映射为网络侧VLAN。
2.如权利要求1所述VLAN的映射方法,其特征在于,所述获取用户终端的用户信息表项的步骤具体为:
在所述用户终端初始接入网络的过程中,根据动态主机分配协议DHCP协议或者用户终端所在网络的静态配置,获取用户终端的用户信息表项;所述用户信息表项中包括:所述用户终端的媒体接入控制MAC地址、IP地址、用户侧VLAN以及接入端口。
3.如权利要求2所述VLAN的映射方法,其特征在于,所述根据DHCP协议获取用户终端的用户信息表项的步骤具体为:
接收到用户终端的DHCP报文时,根据DHCP Snooping协议获取用户终端的MAC地址、用户侧VLAN以及接入端口,生成临时用户信息表项;
接收到网络侧对所述用户终端的DHCP响应报文,根据DHCP Snooping协议获取用户终端的IP地址,加入所述临时用户信息表项得到最终的用户信息表项。
4.如权利要求1或2所述VLAN的映射方法,其特征在于,所述生成与所述用户终端对应的路由表项具体为:
设置地址解析协议ARP表项、路由MAC以及路由表项,用于对所述用 户终端的下行报文进行VLAN映射;
所述ARP表项中包括所述用户终端的MAC地址、IP地址、用户侧VLAN以及接入端口;所述路由MAC中包括用户终端的MAC地址以及网络侧VLAN;所述路由表项中包括所述用户终端的IP地址、IP掩码全匹配设置以及所述用户终端的ARP表项。
5.如权利要求1或2所述VLAN的映射方法,其特征在于,所述对所述用户终端的上行报文进行VLAN映射前还包括:
接收到用户终端的上行ARP报文,对所述上行ARP报文进行映射并发送;所述上行ARP报文的映射具体包括:
根据上行ARP报文携带的MAC地址以及用户侧VLAN信息,从用户终端的用户信息表项中获取对应的户终端以及对应的网络侧VLAN;
根据所述网络侧VLAN对所述上行ARP报文中的用户侧VLAN进行VLAN映射。
6.如权利要求5所述VLAN的映射方法,其特征在于,所述对所述上行ARP报文进行映射并发送后,还包括:接收网络侧下行ARP报文,对所述下行ARP报文进行映射并向对应的用户终端发送;所述下行ARP报文的映射具体包括:
根据下行ARP报文携带的目的MAC地址或IP地址,从用户终端的用户信息表项中获取对应的用户终端及其用户侧VLAN;
根据所述用户侧VLAN对所述下行ARP报文中的网络侧VLAN进行VLAN映射。
7.如权利要求4所述VLAN的映射方法,其特征在于,所述报文为上行数据报文时,对所述用户终端的上行数据报文进行VLAN映射具体为:
根据所述上行数据报文中的MAC地址、IP地址、用户侧VLAN,与所述用户终端的接入端口上设置的ACL进行匹配,匹配成功时,根据所述ACL将所述上行数据报文中的用户侧VLAN映射为网络侧VLAN。
8.如权利要求1所述VLAN的映射方法,其特征在于,所述报文为下行数据报文时,对所述用户终端的下行数据报文进行VLAN映射具体为:
根据所述下行数据报文的网络侧VLAN与目的MAC,匹配路由MAC;
匹配到对应的路由MAC时,根据所述下行数据报文的目的IP匹配路由表项;
获取匹配到的路由表项中的ARP表项,获取对应的用户侧VLAN;
将所述下行数据报文中的网络侧VLAN映射为用户侧VLAN。
9.如权利要求1所述VLAN的映射方法,其特征在于,所述生成与所述用户终端对应的ACL表项,用于对所述用户终端的上行报文进行VLAN映射,和/或生成与所述用户终端对应的路由表项,用于对所述用户终端的下行报文进行VLAN映射后,还包括:
检测到用户终端释放地址时,删除所述用户终端的用户信息表项、ACL和路由表项。
10.一种虚拟局域网VLAN的映射设备,其特征在于,包括:
VLAN映射关系设置单元,用于设置VLAN映射关系;
用户信息表项获取单元,用于获取用户终端的用户信息表项;
表项生成单元,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的ACL表项,和/或生成与所述用户终端对应的路由表项;
映射单元,用于根据所表项生成单元生成的ACL表项,对所述用户终端的上行报文进行VLAN映射,和/或根据所表项生成单元生成的路由表项,对所述用户终端的下行报文进行VLAN映射;
其中,所述表项生成单元包括:ACL表项生成子单元,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的ACL。
11.如权利要求10所述VLAN的映射设备,其特征在于,所述用户信息表项获取单元进一步包括:
第一获取子单元,用于根据动态主机分配协议DHCP协议,获取用户终端的用户信息表项;
第二获取子单元,用于根据用户终端所在网络的静态配置,获取用户终 端的用户信息表项;
所述用户信息表项中包括:所述用户终端的媒体接入控制MAC地址、IP地址、用户侧VLAN以及接入端口。
12.如权利要求10所述VLAN的映射设备,其特征在于,所述表项生成单元进一步包括:
路由表项生成子单元,用于根据所述VLAN映射关系设置单元设置的VLAN映射关系以及用户信息表项获取单元获取的用户信息表项,生成与所述用户终端对应的路由表项。
13.如权利要求10或12所述VLAN的映射设备,其特征在于,所述映射单元进一步包括:
上行ARP报文映射子单元,用于根据上行ARP报文携带的用户终端MAC地址以及用户侧VLAN信息,从用户终端的用户信息表项中获取对应的户终端以及对应的网络侧VLAN;根据所述网络侧VLAN对所述上行ARP报文中的用户侧VLAN进行VLAN映射;
下行ARP报文映射子单元,用于根据下行ARP报文携带的目的MAC地址或IP地址,从用户终端的用户信息表项中获取对应的用户终端及其用户侧VLAN;根据所述用户侧VLAN对所述下行ARP报文中的网络侧VLAN进行VLAN映射。
14.如权利要求10或12所述VLAN的映射设备,其特征在于,所述映射单元进一步包括:
上行数据报文映射子单元,用于根据所述上行数据报文中的MAC地址、IP地址、用户侧VLAN,与ACL生成单元设置的ACL进行匹配,匹配成功时,根据所述ACL将所述上行数据报文中的用户侧VLAN映射为网络侧VLAN;
下行数据报文映射子单元,用于根据所述下行数据报文的网络侧VLAN与目的MAC,匹配路由MAC;匹配到对应的路由MAC时,根据所述下行数据报文的目的IP匹配路由表项;获取匹配到的路由表项中的ARP表项,获取对应的用户侧VLAN;将所述下行数据报文中的网络侧VLAN映射为用户侧 VLAN。
15.如权利要求10所述VLAN的映射设备,其特征在于,还包括:
删除单元,用于检测到用户终端释放地址时,删除所述用户信息表项获取单元中的用户终端的用户信息表项,以及所述表项生成单元生成的与用户终端对应的表项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100849766A CN101237378B (zh) | 2008-03-11 | 2008-03-11 | 虚拟局域网的映射方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100849766A CN101237378B (zh) | 2008-03-11 | 2008-03-11 | 虚拟局域网的映射方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101237378A CN101237378A (zh) | 2008-08-06 |
CN101237378B true CN101237378B (zh) | 2012-11-28 |
Family
ID=39920747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100849766A Expired - Fee Related CN101237378B (zh) | 2008-03-11 | 2008-03-11 | 虚拟局域网的映射方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101237378B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468359A (zh) * | 2014-11-27 | 2015-03-25 | 杭州华三通信技术有限公司 | 报文转发方法和设备 |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095654B (zh) * | 2011-10-31 | 2017-04-26 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
CN103795581B (zh) * | 2012-10-29 | 2018-05-11 | 新华三技术有限公司 | 地址处理方法和设备 |
CN103312580B (zh) * | 2013-06-04 | 2017-04-12 | 武汉烽火网络有限责任公司 | 一种用软件实现1:n vlan替换的方法 |
CN103441932B (zh) * | 2013-08-30 | 2016-08-17 | 福建星网锐捷网络有限公司 | 一种主机路由表项生成方法及设备 |
CN103595711A (zh) * | 2013-11-06 | 2014-02-19 | 神州数码网络(北京)有限公司 | 一种调整安全接入的方法及交换机 |
CN105490911A (zh) * | 2014-09-19 | 2016-04-13 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和装置 |
CN104618243B (zh) * | 2015-02-28 | 2017-11-17 | 华为技术有限公司 | 路由方法、装置及系统、网关调度方法及装置 |
CN106302043A (zh) * | 2016-08-12 | 2017-01-04 | 成都广达新网科技股份有限公司 | 一种c‑docsis局端实现多业务的arp处理方法 |
CN106357840B (zh) * | 2016-10-19 | 2019-12-06 | 新华三技术有限公司 | 一种支持端口迁移检测的方法及装置 |
CN109462609B (zh) * | 2018-12-24 | 2021-08-06 | 新华三技术有限公司 | 一种arp抑制表项生成方法和装置 |
CN111654485B (zh) * | 2020-05-26 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种客户端的认证方法以及设备 |
CN112073552B (zh) * | 2020-08-28 | 2022-03-11 | 烽火通信科技股份有限公司 | 一种arp表项索引方法及系统 |
CN113079076B (zh) * | 2021-03-23 | 2022-09-30 | 新华三软件有限公司 | 一种报文转发方法及装置 |
CN114978809B (zh) * | 2022-06-23 | 2024-01-12 | 惠州华阳通用电子有限公司 | 一种车载以太网vlan节点配置方法 |
-
2008
- 2008-03-11 CN CN2008100849766A patent/CN101237378B/zh not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468359A (zh) * | 2014-11-27 | 2015-03-25 | 杭州华三通信技术有限公司 | 报文转发方法和设备 |
CN104468359B (zh) * | 2014-11-27 | 2018-02-09 | 新华三技术有限公司 | 报文转发方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101237378A (zh) | 2008-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101237378B (zh) | 虚拟局域网的映射方法和设备 | |
CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
CN1146809C (zh) | 综合ip网络 | |
EP3461072B1 (en) | Access control in a vxlan | |
US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
CN107046506B (zh) | 一种报文处理方法、流分类器和业务功能实例 | |
CN1333617A (zh) | 基于mac地址的通信限制方法 | |
CN103227757A (zh) | 一种报文转发方法及设备 | |
JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
CN107094110B (zh) | 一种dhcp报文转发方法及装置 | |
CN101035012B (zh) | 基于dhcp和ip的以太网多层交换机安全防护方法 | |
CN110932890B (zh) | 一种数据传输方法、服务器及计算机可读存储介质 | |
CN103441932A (zh) | 一种主机路由表项生成方法及设备 | |
CN101674306A (zh) | 地址解析协议报文处理方法及交换机 | |
CN101800690A (zh) | 一种使用地址池实现源地址转换的方法和装置 | |
CN104270325A (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
US20120198091A1 (en) | Network system, control apparatus and network apparatus | |
CN103167049B (zh) | 按需分配的网络地址转换方法、设备和系统 | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
CN106031104A (zh) | 数据报文的转达方法、装置及设备 | |
CN1856967A (zh) | 与网络有关的设定的自动切换 | |
CN103442096B (zh) | 基于移动互联网的nat转换方法及系统 | |
CN105721487B (zh) | 信息处理方法及电子设备 | |
JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
KR20120055694A (ko) | 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121128 |