CN103109503B - 入口vlan vcl的出口处理 - Google Patents
入口vlan vcl的出口处理 Download PDFInfo
- Publication number
- CN103109503B CN103109503B CN201180038820.4A CN201180038820A CN103109503B CN 103109503 B CN103109503 B CN 103109503B CN 201180038820 A CN201180038820 A CN 201180038820A CN 103109503 B CN103109503 B CN 103109503B
- Authority
- CN
- China
- Prior art keywords
- vlan
- network packet
- source
- route
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5603—Access techniques
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
网络分组处理系统包括源和目的地虚拟局域网(VLAN),其通过网络路由设备非直接地连接。另外,网络分组处理系统包括元数据生成器,其被连接以对于将要在源和目的地VLAN之间路由的网络分组提供元数据,其中元数据从网络分组中获取预路由源VLAN信息。网络分组处理系统还包括访问控制列表(ACL),用于规定网络分组在源和目的地VLAN之间的路由,其使用来自元数据的预路由源VLAN信息和来自网络分组的后路由目的地VLAN信息。还包括了一种网络分组处理的方法。
Description
相关申请的交叉参考
本申请要求JosephF.Olakangil于2010年8月6日提交的序列号为No.61/371,254的美国临时申请“入口VLANVCL的出口处理”的优先权,该申请的名称同样被分配给本申请,并在此被结合以作为参考。
技术领域
本申请通常涉及虚拟局域网,更具体地,涉及网络分组处理系统和网络分组处理的方法。
背景技术
虚拟局域网(VLAN)通常是一组具有共同需求集合的局域网(LAN),其可进行通信就好像它们附着到相同的广播域,而不管它们的实际位置。某些VLAN能够直接与另一个公共VLAN进行通信,但不能够彼此直接进行通信。例如,工程和客户支持VLAN的每一个都能够将业务路由到因特网VLAN,但不能够在彼此之间直接路由业务。
VLAN的配置可以基本上使用访问控制列表(ACL)以软件来执行,其中ACL可提供分组过滤和业务流控制。用户想要以能够规定控制特定源和目的地VLAN之间的业务的策略的简单方式实现VLAN之间的访问控制。然而,源VLAN仅在预路由(pre-routing)查找阶段可用,而目的地VLAN仅在后路由(post-routing)查找阶段可用。因此,在实现ACL时桥接这些完全不同的信息的方式将会证明对本领域是有利的。
发明内容
本发明的实施例提供一种网络分组处理系统和网络分组处理的方法。在一个实施例中,网络分组处理系统包括源和目的地虚拟局域网(VLAN),其通过网络路由设备间接地连接。另外,网络分组处理系统包括元数据生成器,其被连接以对于将要在源和目的地VLAN之间路由的网络分组提供元数据,其中元数据从网络分组中获取预路由源VLAN信息。网络分组处理系统还包括访问控制列表(ACL),其用于指定网络分组在源和目的地VLAN之间的路由,其使用来自元数据的预路由源VLAN信息和来自网络分组的后路由目的地VLAN信息。
在另一个方面,网络分组处理的方法包括提供通过网络路由设备连接的间接链接的源和目的地虚拟局域网(VLAN),以及定义规定源和目的地VLAN之间的网络业务的访问控制列表(ACL)。该方法还包括对于将要在源和目的地VLAN之间路由的网络分组生成元数据,其中元数据从网络分组中获取预路由源VLAN信息。该方法还包括应用ACL以用于使用来自元数据的预路由源VLAN信息和来自网络分组的后路由目的地VLAN信息来路由网络分组。
前面已经概括了本发明的优选和可选特征,以使得本领域的普通技术人员可以更好地理解下面的本发明的详细说明。本发明的其它特征将在下文进行描述,其组成本发明的权利要求的主题。本领域的普通技术人员将知道他们能够容易地使用所公开的概念和特定的实施例作为基础以设计或修改其它实现本发明的相同目的的结构。
附图说明
现在参照以下结合附图的说明书,其中:
图1表示根据本发明的原理构建的网络分组处理系统的实施例的框图;
图2A、2B、2C和2D表示可在图1的网络分组处理系统中应用的所选择的路由实施例的例子;
图3表示根据本发明的原理实现的网络分组处理的方法的实施例的流程图。
具体实施方式
本发明的实施例向用户提供以更简单的方式实现虚拟局域网(VLAN)之间的访问控制的能力,其独立于VLAN的IP子网络或者网络分组中的IP地址,这两者的变化范围很大并且更难预测。另外,在配置ACL时,用户不需要知道VLAN的IP地址或者用户正在进行通信,从而考虑更实际和稳定的用户配置。
图1表示根据本发明的原理构建的网络分组处理系统(通常被标记为100)的实施例的框图。网络分组处理系统100包括源和目的地虚拟局域网(VLAN)105、110和网络路由设备115。通常,网络路由设备115可以是路由器或具有路由能力的交换机,其可以是互连VLAN的一部分。在所说明的实施例中,网络路由设备115是具有路由能力的交换机,并包括分组路由器120、元数据生成器125和访问控制列表(ACL)130。
源和目的地VLAN105、110通过网络路由设备115间接地连接。分组路由器120被用于在网络路由设备115内路由网络分组。虽然没有直接示出,但网络路由设备115可以连接到其它路由设备或VLAN。元数据生成器125被连接以对于将要在源和目的地VLAN105、110之间路由的网络分组提供元数据,其中,元数据从网络分组中获取预路由源VLAN信息。ACL130规定网络分组在源和目的地VLAN105、110之间的路由,其中,使用来自元数据的预路由源VLAN信息和来自网络分组的后路由目的地VLAN信息。
本发明的实施例提供了用于仅在预路由查找阶段可用的源VLAN和仅在后路由查找阶段可用的目的地VLAN的方案。预路由查找阶段通常可包括VLAN分配阶段、OSI第二层查找阶段、分类阶段和路由查找阶段。后路由查找阶段在分组路由完成之后发生,并涉及向哪里发送网络分组(例如,将被使用的出口端口、将被使用的目的地VLAN等)。
在所说明的实施例中,网络分组可以是因特网协议(IP)分组,其从用入口VLANID(识别号码)表示的源VLAN105进入,并出口到用出口VLANID表示的目的地VLAN110。在符合IEEE802.1Q规范的VLAN中,VLANID是在1到4094之间的数字。元数据是附加分组数据,其与网络分组一起被携带以做出有关网络分组在网络路由设备115内在其生命周期期间的适当决策。元数据不是在网络分组进入或离开网络路由设备115时进入或离开网络分组的信息。
元数据可以被包括在被映射在分组上的附加报头中。在一个例子中,在BroadcomASIC(专用集成电路)中使用的称为HiGig报头的报头用于在网络分组通过网络路由设备115时将元数据映射到网络分组上。
HiGig报头使用13比特字段的分类标记,它主要是HiGig报头中可以存储入口VLANID的字段。所有的网络分组遍历具有作为VLAN标准的一部分而附带的802.1QVLAN标记的HiGig。该VLAN标记实质上将出口VLAN添加在网络分组在此时是成员的网络路由设备115(或VLAN)上。VLAN标记使用4字节的长度。
分组路由器120包括分组处理器,其获取分组并执行VLAN分配(即,向分组分配VLAN),查找用于路由的层,根据ACL对分组进行其它策略分类,对分组进行路由,并且最后在出口VLAN上定义出口端口以用于将分组交换到该端口外。分组处理器主要通过对分组做出交换和路由决策来进行必须对该分组发生的修改。
分组处理器查看元数据,并使用可被应用于网络分组的出口策略(ACL),诸如ACL130。在该特定情况下,当对分组处理器应用这些ACL策略时,元数据正被检查以提取入口(源)VLAN信息,而目的地VLAN正从网络分组中确定。
图2A、2B、2C和2D表示所选择的路由实施例的例子,通常标记为200、220、230和240,可被用在图1的网络分组处理系统中。在图2A中,分组处理器205使用Triumph/Scorpion处理器,排队引擎和交换结构210使用SIRIUS芯片。所有的网络分组通过HiGig端口A、B从分组处理器205路由(交换)到排队引擎和交换结构210以及返回到分组处理器205。
分组遍历封装在HiGig报头中的HiGig端口A、B。TCAM(三态内容可寻址存储器)条目A提供与源VLAN的匹配,并在HiGiG报头分类标记字段中存储网络分组进入的源VLAN的入口VLANID。条目仅对分组处理器的输入和输出端口(即,前面板端口)起作用,而对从HiGig端口进入的分组不产生影响。
TCAM条目A匹配分类标记值A和存储在网络分组802.1QVLAN标记中的出口VLANIDB。TCAM条目B尝试仅匹配在HiGig端口B上从排队引擎和交换结构210进入的分组。然后,根据先前定义的ACL,与TCAM条目B相关联的策略条目B允许或丢弃业务。
图2B、2C和2D表示在各种处理阶段匹配网络分组所要求的TCAM条目配置的例子。对于在端口A处的网络分组(图2B),所要求的TCAM条目配置描述匹配入口上的网络分组所要求的TCAM键和值。对于在HiGig端口A和B处的网络分组(图2C),所要求的TCAM条目配置描述匹配出口上的网络分组所要求的TCAM键和值。对于在端口B处的网络分组(图2D),所要求的TCAM条目配置描述当匹配出口上的分组时的TCAM键和值。
图3表示根据本发明的原理实现的网络分组处理的方法的实施例(通常标记为300)的流程图。方法300在步骤305开始,并在步骤310,提供通过网络路由设备连接的非直接链接的源和目的地虚拟局域网(VLAN)。接着,在步骤315,定义访问控制列表(ACL),其规定源和目的地VLAN之间的网络业务。
在步骤320,对于将要在源和目的地VLAN之间路由的网络分组生成元数据,其中元数据从网络分组中获取预路由源VLAN信息。在步骤325,使用来自元数据的预路由源VLAN信息和来自网络分组的目的地VLAN信息,应用用于路由网络分组的ACL。
在一个实施例中,网络分组是因特网协议(IP)分组。在另一个实施例中,元数据被包括在映射到分组的附加报头中。在一个例子中,附加报头是HiGig报头。在又一个实施例中,元数据在网络分组的从入口到出口的时段的至少一部分中存在。在其它实施例中,元数据和ACL符合IEEE802.1Q规范。
在再一个实施例中,预路由源VLAN信息和后路由目的地VLAN信息分别包括源和目的地VLAN识别(ID)号码。源VLANID号码被存储在HiGig报头的分类标记中,目的地VLANID号码被存储在VLAN标记中。源和目的地VLANID号码的范围从1到4094。方法300在步骤330结束。
尽管参照以特定顺序执行的特定步骤描述和示出了在此公开的方法,但应当理解,在不脱离本发明的教导的情况下,这些步骤可以被组合、细分或者重新排序以形成等同方法。因此,除非在此特别指明,否则,这些步骤的顺序或组成不是本发明的限制。
通常,这些方案或方法还可以被扩展以涵盖其它情形,其中有关网络分组的互斥的入口和出口信息需要被结合。例如,这些方案可以被应用于源VLAN和出口端口、或者源VLAN和目的地MAC。也就是说,它们可用于在任何时候将输入信息与输出信息进行组合,网络分组可在网络路由设备或VLAN中在其生命周期内进行修改。
本申请所涉及的领域的普通技术人员将知道还可以对所描述的实施例进行其它和进一步的增加、删除、替换和修改。
Claims (10)
1.一种网络分组处理的方法,包括:
提供通过网络路由设备连接的非直接链接的源虚拟局域网VLAN和目的地虚拟局域网;
定义访问控制列表ACL,其规定所述源VLAN与所述目的地VLAN之间的网络业务的路由;
对于将要在所述源VLAN与所述目的地VLAN之间路由的网络分组生成元数据,其中所述元数据从所述网络分组中获取预路由源VLAN信息;以及
应用所述ACL以用于使用来自所述元数据的所述预路由源VLAN信息和来自所述网络分组的后路由目的地VLAN信息来路由所述网络分组。
2.如权利要求1所述的方法,其中,所述预路由源VLAN信息和所述后路由目的地VLAN信息分别包括源VLAN识别ID号码和目的地VLAN识别号码。
3.如权利要求2所述的方法,其中,所述源VLANID号码被存储在HiGig报头的分类标记中。
4.如权利要求2所述的方法,其中,所述目的地VLANID号码被存储在VLAN标记中。
5.如权利要求1所述的方法,其中,所述元数据和所述ACL符合IEEE802.1Q规范。
6.一种网络分组处理系统,包括:
源虚拟局域网VLAN和目的地虚拟局域网,其通过网络路由设备非直接地连接;
元数据生成器,其被连接以对于将要在所述源VLAN与所述目的地VLAN之间路由的网络分组提供元数据,其中所述元数据从所述网络分组中获取预路由源VLAN信息;以及
访问控制列表ACL,用于规定所述网络分组在所述源VLAN与所述目的地VLAN之间的路由,其使用来自所述元数据的所述预路由源VLAN信息和来自所述网络分组的后路由目的地VLAN信息。
7.如权利要求6所述的系统,其中,所述网络分组是因特网协议(IP)分组。
8.如权利要求6所述的系统,其中,所述元数据被包括在被映射在所述分组上的附加报头中。
9.如权利要求8所述的系统,其中,所述附加报头是HiGig报头。
10.如权利要求6所述的系统,其中,所述元数据在所述网络分组的从入口到出口的时段的至少一部分存在。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US37125410P | 2010-08-06 | 2010-08-06 | |
| US61/371,254 | 2010-08-06 | ||
| US13/196,782 US20120033670A1 (en) | 2010-08-06 | 2011-08-02 | EGRESS PROCESSING OF INGRESS VLAN ACLs |
| US13/196,782 | 2011-08-02 | ||
| PCT/US2011/046548 WO2012018984A1 (en) | 2010-08-06 | 2011-08-04 | Egress processing of ingress vlan acls |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103109503A CN103109503A (zh) | 2013-05-15 |
| CN103109503B true CN103109503B (zh) | 2016-03-16 |
Family
ID=44543804
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180038820.4A Expired - Fee Related CN103109503B (zh) | 2010-08-06 | 2011-08-04 | 入口vlan vcl的出口处理 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20120033670A1 (zh) |
| EP (1) | EP2601761A1 (zh) |
| JP (1) | JP5592012B2 (zh) |
| KR (1) | KR101530451B1 (zh) |
| CN (1) | CN103109503B (zh) |
| WO (1) | WO2012018984A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8687636B1 (en) * | 2010-06-02 | 2014-04-01 | Marvell Israel (M.I.S.L) Ltd. | Extended policy control list keys having backwards compatibility |
| CN104734986B (zh) * | 2013-12-19 | 2018-12-25 | 华为技术有限公司 | 一种报文转发方法和装置 |
| US9634927B1 (en) | 2015-03-13 | 2017-04-25 | Cisco Technology, Inc. | Post-routed VLAN flooding |
| CN112738081B (zh) * | 2020-12-28 | 2022-07-29 | 武汉长光科技有限公司 | 一种基于vxlan技术扩张pon局域网组群的通信协议的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| US20100054251A1 (en) * | 2008-08-28 | 2010-03-04 | Electronics And Telecommunications Research Institute | Method of processing packet for improving performance of ethernet switch |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6058429A (en) * | 1995-12-08 | 2000-05-02 | Nortel Networks Corporation | Method and apparatus for forwarding traffic between locality attached networks using level 3 addressing information |
| US6167052A (en) * | 1998-04-27 | 2000-12-26 | Vpnx.Com, Inc. | Establishing connectivity in networks |
| US7051334B1 (en) * | 2001-04-27 | 2006-05-23 | Sprint Communications Company L.P. | Distributed extract, transfer, and load (ETL) computer method |
| US7161948B2 (en) * | 2002-03-15 | 2007-01-09 | Broadcom Corporation | High speed protocol for interconnecting modular network devices |
| US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
| US7542476B2 (en) * | 2003-08-29 | 2009-06-02 | Flash Networks Ltd | Method and system for manipulating IP packets in virtual private networks |
| US7768918B2 (en) * | 2006-06-28 | 2010-08-03 | Via Technologies Inc. | Method for expanding the service VLAN space of a provider network |
| US8576840B2 (en) * | 2006-11-13 | 2013-11-05 | World Wide Packets, Inc. | Assigning packets to a network service |
-
2011
- 2011-08-02 US US13/196,782 patent/US20120033670A1/en not_active Abandoned
- 2011-08-04 JP JP2013523330A patent/JP5592012B2/ja not_active Expired - Fee Related
- 2011-08-04 EP EP11751695.5A patent/EP2601761A1/en not_active Withdrawn
- 2011-08-04 CN CN201180038820.4A patent/CN103109503B/zh not_active Expired - Fee Related
- 2011-08-04 KR KR1020137003033A patent/KR101530451B1/ko not_active IP Right Cessation
- 2011-08-04 WO PCT/US2011/046548 patent/WO2012018984A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| US20100054251A1 (en) * | 2008-08-28 | 2010-03-04 | Electronics And Telecommunications Research Institute | Method of processing packet for improving performance of ethernet switch |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120033670A1 (en) | 2012-02-09 |
| JP5592012B2 (ja) | 2014-09-17 |
| KR101530451B1 (ko) | 2015-06-19 |
| CN103109503A (zh) | 2013-05-15 |
| WO2012018984A1 (en) | 2012-02-09 |
| JP2013532933A (ja) | 2013-08-19 |
| KR20130032386A (ko) | 2013-04-01 |
| EP2601761A1 (en) | 2013-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9608833B2 (en) | Supporting multiple multicast trees in trill networks | |
| US9628293B2 (en) | Network layer multicasting in trill networks | |
| CN102238083B (zh) | 用于适配分组处理流水线的系统和方法 | |
| CN107040463B (zh) | 用于避免由于非对称mac获悉的流量泛洪的系统 | |
| US7813337B2 (en) | Network packet processing using multi-stage classification | |
| JP4511532B2 (ja) | パケット交換通信ネットワークにおけるコネクション指向の転送のための装置 | |
| CN103873374B (zh) | 虚拟化系统中的报文处理方法及装置 | |
| EP3278513B1 (en) | Transforming a service packet from a first domain to a second domain | |
| CA2484442C (en) | Processing packets based on context indications | |
| CN104854819B (zh) | 用于vlan接口路由的方法和设备 | |
| US20040255028A1 (en) | Functional decomposition of a router to support virtual private network (VPN) services | |
| US20020091795A1 (en) | Method and system of aggregate multiple VLANs in a metropolitan area network | |
| US20110299533A1 (en) | Internal virtual network identifier and internal policy identifier | |
| JP2003516029A (ja) | ワイヤ速度のipマルチキャスト転送のための方法および装置 | |
| JP2003218920A (ja) | Mplsネットワークシステム | |
| EP2997702B1 (en) | Compressing singly linked lists sharing common nodes for multi-destination group expansion | |
| JP2003526263A (ja) | リンクアグリゲーション | |
| JP2002164937A (ja) | ネットワーク及びエッジルータ | |
| TWI316803B (en) | Network switch and method for processing packets of a vlan in a network switch | |
| US9025601B2 (en) | Forwarding ASIC general egress multicast filter method | |
| CN103109503B (zh) | 入口vlan vcl的出口处理 | |
| CN102474451B (zh) | 连接内层和外层mpls标签 | |
| US20030210696A1 (en) | System and method for routing across segments of a network switch | |
| US7672319B1 (en) | Integrated router/switch-based mechanism for mapping COS value to QOS value for optimization of LAN-to-WAN traffic flow | |
| US20070124495A1 (en) | Methods and systems for policy based routing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160316 Termination date: 20160804 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |