CN101316239B - 一种在虚拟专用局域网业务网络中控制访问及转发的方法 - Google Patents

Abstract

本发明涉及一种在虚拟专用局域网业务网络中控制访问及转发的方法，包括：定义并区分运营商边缘设备接入电路连接的服务器(server)属性和客户(client)属性；根据运营商边缘设备接收数据包的具体连接来源向该设备其他具体连接进行洪泛和转发时对所述server属性和client属性的接入电路连接进行不同对待；所述具体连接包括接入电路连接和伪线连接。这种方法较现有技术满足了更多的业务应用和用户需求，同时继承了现有的VPLS技术标准，不需要增加新的信令和协议，在部署新业务时更加灵活，并且对现有网络结构基本没有改动。

Description

一种在虚拟专用局域网业务网络中控制访问及转发的方法

技术领域

本发明涉及数据通信，具体涉及一种在虚拟专用局域网业务网络(VPLS-Virtual Private LAN Service)中控制访问及转发的方法。

背景技术

MPLS(Multi-Protocol Label Switching，多协议标签交换)技术已经成为IP(Internet Protocol，互联网协议)承载网主流技术之一。IP承载网通过使用MPLS的相关技术，如MPLS虚拟专用网(MPLS VPN)技术实现了IP承载网多业务和多用户的隔离，MPLS VPN涉及三层虚拟专用网(MPLS L3 VPN)和二层虚拟专用网(MPLS L2 VPN)等。

以太网技术在企业网中发展迅速并广泛应用，在运营商网络中，由于以太网的高带宽和低成本，城域网(MAN)日益增多，以太网技术已经逐渐成为最重要、最普遍的解决方案。

VPLS是一种基于MPLS技术和以太网技术的二层虚拟专用网(L2VPN)技术，能够在城域网(MAN)和广域网(WAN)上提供类似以太网的多点服务。

图1所示一个虚拟专用局域网业务的典型模型，VPLS网络就是一个仿真的LAN，从用户的角度看，VPLS网络就是一个二层交换网络，VPLS主要有以下组件：

CE(Customer Edge，用户边缘设备)：直接与服务提供商相连，CE可以是路由器、交换机或者电脑主机(注：本发明申请中表述的所有CE设备都是在同一IP子网)。

PE(Provider Edge，运营商边缘设备)：是服务提供商的边缘设备，与CE相连，主要负责VPN业务的接入(包含VPLS业务的接入)，PE完成数据报文从私网(用户网络)与公网(运营商网络)隧道的映射与转发。

AC(Attachment Circuit，接入电路)：是连接CE与PE的链路，可以是物理接口或者虚拟接口。

PW(Pseudowire，伪线)：是两个PE间的虚连接，由一对相向的MPLSVC组成，负责在两个PE间传输数据包，建立和维护PW的工作由PE利用信令完成，关于信令部分本专利不再具体阐述。

VFI(Virtual Forwarding Instance，虚拟转发实例)：通过VFI，PE可以将AC侧链路映射到各条虚连接(PW)上。不同的VPN用户通过VC标识(VC ID)进行区分，同一个VFI一般具有相同的VC ID。有些文档中，VFI又称VSI(Virtual Switch Instance，虚拟交换实例)。

PW连接类型，有hub和spoke两种类型。在有些文档中，hub类型也可以理解为mesh、full-mesh或者split-horizon类型，spoke类型也可以理解为no split-horizon类型。本文以hub和spoke类型进行定义和阐述。

VPLS网络的工作原理与以太网交换机类似，主要是PE设备上介质访问控制mac地址的学习与洪泛(flood)以及基于mac地址的数据包转发。PE设备对到达接入侧(AC)和网络侧(PW)的数据包源mac地址进行学习，每个PE设备为每个虚拟转发实例VFI维护一个转发信息库(FIB)，把学习到的mac地址加入到FIB中，形成mac地址和AC或PW的映射关系，所有流量基于mac地址进行交换，并在PE设备之间通过PW进行转发。

以图1为例，PE1接收到CE1发送的数据包，假定该数据包的源mac地址为mac1、目的mac地址为mac2，PE1在FIB中创建一个映射条目，使mac1与PE1-CE1间的AC对应。PE1对该数据包的目的mac地址(假定为CE2的mac地址mac2)进行FIB查找，如果此前PE1的FIB中没有mac2的映射表，PE1将对此数据包进行复制并洪泛，通过PE1-PE2和PE1-PE3的PW洪泛到PE2和PE3设备，PE2从PW收到数据包后，也会在FIB中创建一个映射条目，使mac1和PE1-PE2的PW对应，PE3也在FIB中创建一个mac1和PE1-PE3的PW对应的映射条目。接着，PE2和PE3的FIB如果没有目的地址mac2的映射表，会继续把该数据包往AC侧所有接口洪泛直至CE2和CE3，CE3接收到此数据包发现目的mac并非本身会进行丢弃，CE2接收到此数据包后，发现目的mac为自己，则进行回应。

图1中的PE1、PE2、PE3为全连接(full-mesh)网络，PE2和PE3收到PE1侧PW转发过来的数据包时，PE2除了往CE2洪泛外，还会往PE2-PE3的PW进行洪泛，PE3也同样会往PE3-PE2的PW进行洪泛，这样导致了流量在PE1-PE2-PE3之间被循环转发，引起洪泛环路。在相关的VPLS标准中，通过定义PW连接的两种类型属性集线器(hub)和辐(spoke)，采用hub属性的水平分割(split-horizon)功能进行洪泛环路的解决，两种属性在VPLS洪泛和转发的工作情形表述如下：

1、PE设备从AC接口收到数据包，可以往该PE设备的所有其他AC接口、hub PW和spoke PW进行洪泛和转发；

2、PE设备从hub PW收到数据包，可以往该PE设备的所有AC接口和spoke PW进行洪泛和转发，但是不能往其他hub PW进行洪泛和转发；

3、PE设备从spoke PW收到数据包，可以往该PE设备的所有AC接口、hub PW和其他spoke PW进行洪泛和转发。

其中上述第2种工作情形中的从hub PW收到数据包不能往其他hub PW进行洪泛和转发就是水平分割功能。上例中，如果把PE1、PE2、PE3之间所有PW都定义成hub属性，就可以有效解决洪泛环路的问题，也能保证CE1、CE2和CE3间的正常数据通信。

上述方案解决了PW间的洪泛环路，但是还存在一些问题。如图2所示，当PE3设备上存在多个CE设备，如CE3和CE4，在上述的工作过程中，PE3从PW收到数据包时，会往CE3和CE4都进行洪泛，即使CE3不想收到数据包，PE3还是会发送给它。如果想实现CE3和CE4的隔离(即不能互访)，上述方法同样不能实现。在实际应用中，可能还会存在这样的情形，CE2、CE3、CE4互相隔离，但是都要和CE1进行通信，这种情形在分支和总部的企业网络架构中会有一些需求，上述的方法同样不能实现此情形。

综上所述，如果VPLS网络要实现控制CE设备的相互访问会面临一些问题：

1、对于CE不想收到PE转发过来的报文无法实现；

2、对于CE设备要互相隔离的需求无法灵活实现；

3、对于CE设备要形成分支和总部的访问模式无法进行有效的控制；

发明内容

本发明需要解决的技术问题是如何提供一种在虚拟专用局域网业务网络中控制访问及转发的方法，使VPLS网络能够对AC侧的流量进行灵活和有效的控制，从而满足更多的业务应用和用户需求。

本发明的上述技术问题这样解决，提供一种在虚拟专用局域网业务网络中控制访问及转发的方法，包括以下步骤：

1.1)定义并区分运营商边缘设备接入电路连接的服务器(server)属性和客户(client)属性；

1.2)根据运营商边缘设备接收数据包的具体连接来源向该设备其他具体连接进行洪泛和转发时对来自所述server属性的接入电路的数据包和来自所述client属性的接入电路的数据包进行不同的洪泛和转发对待；所述具体连接包括接入电路连接和伪线连接。

按照本发明提供的方法，所述步骤1.1)还包括定义并区分运营商边缘设备伪线连接的集线器(hub)属性和辐(spoke)属性；所述步骤1.2)是根据运营商边缘设备接收数据包的具体连接来源在向该设备其他具体连接进行洪泛和转发时对来自所述hub属性的伪线连接的数据包和来自所述spoke属性的伪线连接的数据包进行不同的洪泛和转发对待。

按照本发明提供的方法，所述设备从server属性的接入电路连接收到数据包，则往该设备的所有client属性和其他server属性的接入电路连接以及hub属性和spoke属性的伪线连接进行洪泛和转发。

按照本发明提供的方法，所述设备从client属性的接入电路连接收到数据包，则往该设备的所有server属性的接入电路连接和spoke属性的伪线连接进行洪泛和转发，不能往其他client属性的接入电路连接和hub属性的伪线连接进行洪泛和转发。

按照本发明提供的方法，所述设备从hub属性的伪线连接收到数据包，则往该设备的所有server属性的接入电路连接和spoke属性的伪线连接进行洪泛和转发，但是不能往client属性的接入电路连接和其他hub属性的伪线连接进行洪泛和转发。

按照本发明提供的方法，所述设备从spoke属性的伪线连接收到数据包，则往该PE设备的所有client属性和其他server属性的接入电路连接以及hub属性和其他spoke属性的伪线连接进行洪泛和转发。

按照本发明提供的方法，所述接入电路连接的server属性和client属性根据实际需要在运营商边缘设备中灵活配置。

按照本发明提供的方法，所述伪线连接的hub属性和spoke属性根据连通网路和避免洪泛环路的需要在运营商边缘设备中配置。

本发明提供的一种在虚拟专用局域网业务网络中控制访问及转发的方法，在原有VPLS技术(文档资料“RFC4762”)的基础上，把AC接口类型定义成两种，在本地PE设备上可以进行灵活配置，实现VPLS网络对AC侧接口业务的灵活控制，满足了更多的业务应用和用户需求；此外，此发明继承了现有的VPLS技术标准，不需要增加新的信令和协议，在部署新业务时更加灵活，而且对现有网络结构基本没有改动。

附图说明

下面结合附图和具体实施例进一步对本发明进行详细说明。

图1是VPLS网络模型示意图；

图2是图1所示模型扩展示意图；

图3是本发明的VPLS工作流程示意图；

图4是单PE多CE情形示意图；

图5是针对图4的数据转发流程图；

图6是一个典型应用场景示意图；

图7是针对图6的数据转发流程图。

具体实施方式

首先，说明本发明关键措施和工作原理：

本发明在原VPLS相关标准和方案基础上，把PE设备的AC属性分为两种类型，server属性AC和client属性AC，增加两种AC属性后，PE设备对于数据包洪泛的四种工作情形表述如下，如图3所示，包括：

310)若PE设备从server AC收到数据包，则往该PE设备的所有其他server AC接口、client AC接口、hub PW和spoke PW进行洪泛和转发；

320)若PE设备从client AC收到数据包，则往该PE设备的所有server AC接口和spoke PW进行洪泛和转发，不能往其他client AC和hub PW进行洪泛和转发；

330)若PE设备从hub PW收到数据包，则往该PE设备的所有server AC接口和spoke PW进行洪泛和转发，但是不能往client AC和其他hub PW进行洪泛和转发；

340)若PE设备从spoke PW收到数据包，则往该PE设备的所有server AC接口、client AC接口、hub PW和其他spoke PW进行洪泛和转发。

这样：如图2所示，要实现CE3和CE4的隔离，可以通过把CE3-PE3和CE4-PE3的AC类型都定义成client属性，CE3和CE4就能实现相互隔离，不能互访。同样的，如果把PE3-PE1的PW定义成hub PW，则PE3从PE1收到的数据包将不会往CE3和CE4洪泛和转发。

进一步，如图2所示，要实现CE2、CE3、CE4互相隔离但是都能访问CE1，可以通过以下方案实现：把CE1-PE1之间的AC定义成server AC，PE1-＞PE2和PE1-＞PE3的PW定义成hub PW(即PE1上把往PE2和PE3的PW都定义成hub属性)，PE2-＞PE1和PE3-＞PE1的PW定义成spoke PW(即PE2和PE3上都把往PE1的PW定义成spoke属性)，PE2-CE2之间、PE3-CE3之间和PE3-CE4之间的AC定义成client AC，PE2和PE3之间不需定义PW。按照这些定义的属性，依据上述的情形A、B、C、D提及的工作过程即可满足要求。

第二步，结合本发明具体应用进行详细说明：

(一)如图4所示的为单个PE设备的情形，PE1设备上有多个CE设备相连，PE1和各个CE相连的AC都属于同一个VFI，假设CE1和CE5是服务器，CE6、CE7和CE8是客户机，要实现CE1、CE5都能对CE6、CE7和CE8进行访问，而CE6、CE7和CE8之间相互隔离，可以对PE1的AC侧接口定义如下：pE1和CE1、CE5相连的AC定义成server属性AC，PE1和CE6、CE7、CE8相连的AC都定义成client属性AC。依据本发明工作原理，各个CE设备的数据转发过程如下，见图5，包括：

510)CE1发送目的地址为CE6数据包，PE1会把CE1的mac地址加入到FIB中并把数据包洪泛到CE5、CE6、CE7、CE8，CE6会对数据包进行回应，实现CE1和CE6的通信，CE1和CE7、CE8的通信类似；

520)由于PE1上和CE1、CE5相连的AC都是sever属性AC，CE1和CE5能够互相通信与访问，CE5和CE6、CE7、CE8的通信与步骤510)中描述的CE1类似；

530)CE6发送目的地址为CE7的数据包，PE1会把CE6的mac地址加入FIB中并把数据包洪泛到CE1和CE5，但是不会洪泛到CE7和CE8，CE6无法与CE7的通信，实现了CE6和CE7的隔离，同样的，CE6、CE7、CE8之间都无法通信并实现了互相隔离。

(二)如图6所示的为多个PE设备和CE设备的情形，假设PE1上的CE1设备为中心服务器，PE2和PE3上的CE设备为客户机，要实现PE2和PE3上的CE设备都能够和CE1设备通信，而PE2和PE3的CE设备要互相隔离、不能互访，可以对图6所示网络的PW和AC的类型定义如下：

PE1上和PE2、PE3相连的PW都定义成hub属性PW，PE1和CE1相连的AC定义成server属性AC；

PE2和PE1相连的PW定义成spoke属性PW，PE2和CE2相连的AC定义成client属性AC；

PE3和PE1相连的PW定义成spoke属性PW，PE3和CE3、CE4相连的AC定义成client属性AC。

通过以上定义，本发明工作原理，图6的各个设备的数据转发如下，见图7，包括：

710)CE1发送目的地址为CE3的数据包，PE1收到数据包后，把CE1的mac地址加入到FIB然后复制数据包通过PW洪泛到PE2和PE3，PE2和PE3更新和查找FIB再把数据包洪泛到CE2、CE3和CE4，CE3对数据包进行回应，实现了CE1和CE3的通信，CE1和CE2、CE1和CE4的通信与之类似；

720)CE2发送目的地址为CE3的数据包，PE2收到数据包后，把CE2的mac地址加入到FIB然后通过PW转发到PE1，PE1更新和查找FIB再把数据包转发到CE1，CE1对此数据包进行丢弃，根据步骤C，PE1不再把数据包转发到PE3，CE2和CE3无法实现通信，同样，CE2也无法CE4互通；

730)CE3发送目的地址为CE4的数据包，PE3收到数据包后，把CE3的mac地址加入到FIB然后通过PW转发到PE1进而到达CE1，CE1丢弃该数据包，根据步骤B，PE3不会从CE3收到的数据包转发到CE4，CE3和CE4无法实现通信。

根据上述步骤710)-730)可以看出，通过对PW和AC的灵活定义，实现了CE2、CE3、CE4互相隔离但是都能和CE1互相通信。在实际的业务应用场景中，有些组网和应用也可以是图4和图6所示组网的结合与改变，这些组网都可以根据本发明工作原理所表述的工作方式，对PW属性和AC属性进行灵活组合，满足各种业务需求和应用，且实际业务应用的场景包括但不限于图4和图6所示的组网。

以上所述的实施例子和实施步骤仅为本发明较佳的具体实施方式，而非对本发明的范围做限制性理解。尽管参照上述实例对本发明进行了详细说明，任何熟悉本技术领域的技术人员可根据本发明的技术方案和较佳实施例的描述，做出各种可能的改变或者替换，这些改变和替换都应属于本发明的保护范围。因此，本发明的保护范围以权利要求的保护范围为准，并包括这些改变和替换。

Claims (4)

1.一种在虚拟专用局域网业务网络中控制访问及转发的方法，其特征在于，包括以下步骤：

1.1)定义并区分运营商边缘设备接入电路连接的服务器属性和客户属性；

1.2)根据运营商边缘设备接收数据包的具体连接来源向该设备其他具体连接进行洪泛和转发时对来自所述服务器属性的接入电路的数据包和来自所述客户属性的接入电路的数据包进行不同的洪泛和转发处理，具体为当运营商边缘设备从服务器属性的接入电路连接收到数据包，则往该设备的所有客户属性和其他服务器属性的接入电路连接以及集线器属性和辐属性的伪线连接进行洪泛和转发；当运营商边缘设备从客户属性的接入电路连接收到数据包，则往该设备的所有服务器属性的接入电路连接和辐属性的伪线连接进行洪泛和转发，不能往其他客户属性的接入电路连接和集线器属性的伪线连接进行洪泛和转发；所述具体连接包括接入电路连接和伪线连接。

2.根据权利要求1所述方法，其特征在于，所述步骤1.1)还包括定义并区分运营商边缘设备伪线连接的集线器属性和辐属性；所述步骤1.2)是根据运营商边缘设备接收数据包的具体连接来源向该设备其他具体连接进行洪泛和转发时对来自所述集线器属性的伪线连接的数据包和来自所述辐属性的伪线连接的数据包进行不同的洪泛和转发处理，具体为所述设备从集线器属性的伪线连接收到数据包，则向该设备的所有服务器属性的接入电路连接和辐属性的伪线连接进行洪泛和转发，但是不能向客户属性的接入电路连接和其他集线器属性的伪线连接进行洪泛和转发，所述设备从辐属性的伪线连接收到数据包，则向所述运营商边缘设备的所有客户属性和其他服务器属性的接入电路连接以及集线器属性和其他辐属性的伪线连接进行洪泛和转发。

3.根据权利要求1或2所述方法，其特征在于，所述接入电路连接的服务器属性和客户属性根据实际需要在运营商边缘设备中灵活配置。

4.根据权利要求2所述方法，其特征在于，所述伪线连接的集线器属性和辐属性根据连通网路和避免洪泛环路的需要在运营商边缘设备中配置。

Images