CN103475560B - 一种用户报文处理方法及装置 - Google Patents

Abstract

本发明提供一种用户报文处理方法及装置，应用于EVI网络中的边缘设备ED上，该方法包括：在指定EVI实例中创建面向公共路由的II类EVI隧道以及至少一个面向VPN路由的EVI VPN隧道；查询用户路由协议报文所属VPN，若查询命中对应的VPN，则在该VPN内进行路由学习，否则在公共域内进行路由学习；在对用户数据报文进行IP转发时，查询该用户数据报文所属的VPN，若查询命中对应的VPN，则根据该VPN路由转发表对用户数据报文进行转发，否则根据公共路由转发表对该用户数据报文进行转发。本发明允许用户在自身的私有网络内进行更为灵活的规划，用户可以构建出不同的IP网络来满足自身的需求。

Description

一种用户报文处理方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种用户报文处理方法及装置。

背景技术

为了实现高可靠性和实现冗余部署，当今大多数企业网络及其数据中心跨越了多个位于不同地理位置的物理站点。企业可能在这些站点部署类似的业务服务。比如说同一个用户昨日在广东访问微博，今天在黑龙江访问微博，其获得的服务体验是一样的，但是实际上两次为用户服务的服务器却可能分布在不同的位置。

虚拟化的技术出现，允许数据中心中的虚拟机在不同的物理服务器上进行迁移。然而由于虚拟机迁移过程需要对用户透明，因此不能改变IP地址，这需要迁移必须局限在二层网络内。此时若需要将一个虚拟机从而一个物理站点迁移到另一个物理站点，则需要在这两个物理站点上实现二层互通。目前各种二层VPN技术可以将跨越公网（通常是运营商网络）实现两个物理站点之间的二层互通。EVI（Ethernet Virtual Interconnection）技术是一种面向数据中心不同站点二层互通的技术，它是一种“MAC in IP”的隧道技术；该技术最大的特点是对运营商网络以及企业用户网络都不需要做变化，仅仅需要改变边缘设备（Edge Device）即可实现VLAN在不同站点间的扩展功能，这些扩充的VLAN上构成独立的EVI网络实例，EVI实例使用Network ID来标识，全局统一编号，某个设备上不同EVI网络实例的VLAN内转发相互隔离。

发明内容

有鉴于此，本发明提供一种用户报文处理装置，应用于以太网虚拟互联EVI网络中的边缘设备ED上，该ED通过公网与其他ED建立EVI实例，其中该装置包括：控制管理单元、路由学习单元以及报文转发单元，其中：

控制管理单元，用于在指定EVI实例中创建面向公共路由的II类EVI隧道以及至少一个面向VPN路由的EVI VPN隧道；

路由学习单元，用于查询用户路由协议报文所属VPN，若查询命中对应的VPN，则在该VPN内根据该用户路由协议报文进行路由学习以更新该VPN路由转发表，否则在公共域内根据该用户路由协议报文进行路由学习以更新公共路由转发表；

报文转发单元，用于在对用户数据报文进行IP转发时，查询该用户数据报文所属的VPN，若查询命中对应的VPN，则根据该VPN的路由转发表对用户数据报文进行转发，否则根据公共路由转发表对该用户数据报文进行转发。

本发明还提供一种用户报文处理方法，应用于EVI网络中的边缘设备ED上，该ED用于通过公网与其他ED建立EVI实例，该方法包括如下步骤：

步骤A、在指定EVI实例中创建面向公共路由的II类EVI隧道以及至少一个面向VPN路由的EVI VPN隧道；

步骤B、查询用户路由协议报文所属VPN，若查询命中对应的VPN，则在该VPN内根据该用户路由协议报文进行路由学习以更新该VPN路由转发表，否则在公共域内根据该用户路由协议报文进行路由学习以更新公共路由转发表；

步骤C、在对用户数据报文进行IP转发时，查询该用户数据报文所属的VPN，若查询命中对应的VPN，则根据该VPN路由转发表对用户数据报文进行转发，否则根据公共路由转发表对该用户数据报文进行转发。

相较于现有技术而言，本发明允许用户在自身的私有网络内进行更为灵活的规划，用户可以构建出不同的IP网络来满足自身的需求。

附图说明

图1是一种典型的EVI组网示意图;

图2是本发明一种实施方式中用户报文处理装置的逻辑结构及基本运行硬件环境示意图;

图3是本发明一种实施方式中用户报文处理的流程示意图;

图4是本发明一种实施方式中EVI组网示意图;

图5是本发明一种实施方式中用户数据报文转发决策过程示意图。

具体实施方式

EVI网络中ED设备可以将用户网络中的二层报文作为载荷封装到一个IP报文内部，这样IP报文经过IP网络传输到达另一个物理站点的时候，可以从IP报文中获得二层报文，从而实现逻辑意义上的二层互通。事实上用户在自身网络中可能会规划出很多的二层网络，这些二层网络是依靠VLAN来进行区分的，不同VLAN之间不能二层互通，但可以在用户网络内实现三层互通。为了实现三层互通，EVI技术还可以支持用户使用ED作为用户接入设备的网关，包括目前已有的单网关方式和多网关方式。

请参考图1所示，当ED作为网关设备时，不同物理站点之间的IP转发是通过ED网关来实现的。站点1中的主机Host11属于VLAN 30范围内的主机，主机Host21属于VLAN40范围的主机。当两个主机相互访问时，Host11发出的用户报文在ED1上进行处理时，ED1首先去掉二层封装得到用户IP报文，将该用户IP报文封装EVI隧道（比如GRE隧道）后进入公网，此时隧道报文可以理解为一个“IP in IP”（或者说IP over IP）在公网上IP交换到对端ED2设备，ED2设备弹掉EVI隧道的GRE分装然后在IP域内对用户IP报文进行IP转发，最终实现报文转发给Host21。

对于一个企业用户来说，如果站点1和站点2中都运营不同的两种业务，比如社交服务以及在线游戏这两种不同的业务，企业则可能希望这两种业务之间是相互隔离的，同时又希望站点1和站点2之间相同的业务能够在同一个用户IP网络内，也就是说，用户希望能在两个站点之间构建出两张不同的用户IP网络，分别对应到社交服务以及在线游戏这两种不同的业务，目前的EVI技术无法支持这种合理用户需求。

本发明提出一种EVI解决方案来支持用户对网络规划灵活性的需求。以软件实现为例，在一种优选的实施方式，本发明提供一种可应用于EVI网络边缘设备ED上的用户报文处理装置。本发明并不排除硬件或者软硬件结合的实施方式。请参考图2所示，所述用户报文处理装置作为一个逻辑意义上的装置，其是通过ED设备的CPU将非易失性存储其中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，除了CPU、内存以及非易失性存储器之外，该设备通常还包括一些负责处理报文处理的硬件，比如转发芯片等等；从硬件结构上来讲该ED设备还可能是分布式的设备，其可能包括多个接口卡以在硬件层面进行报文处理的扩展。

请参考图2，所述用户报文处理装置包括控制管理单元、路由学习单元以及报文转发单元，在本实施方式中各个单元是逻辑意义上的，可以理解为一个Logic或者说一段程序指令。请参考图3，在一个基本的实施方式中，整个装置在业务配置以及业务运行过程中执行如下处理步骤。

步骤101，控制管理单元在指定EVI实例中创建面向公共路由的II类EVI隧道以及至少一个面向VPN路由的EVI VPN隧道；

所述的指定EVI实例可以是管理员通过控制终端或配置文件等方式配置的指定EVI实例。

步骤102，路由学习单元查询用户路由协议报文所属VPN，若查询命中对应的VPN，则在该VPN内根据该用户路由协议报文进行路由学习以更新该VPN路由转发表，否则在公共域内根据该用户路由协议报文进行路由学习以更新公共路由转发表；

步骤103，报文转发单元在对用户数据报文进行IP转发时，查询该用户数据报文所属的VPN，若查询命中对应的VPN，则根据该VPN路由转发表对用户数据报文进行转发，否则根据公共路由转发表对该用户数据报文进行转发。

请参考图4所示的一个示例性的EVI网络，该网络包括分别部署在用户站点A、用户站点B以及用户站点C的三个ED--ED1、ED2以及ED3。假设ED1、ED2以及ED3都实现了本发明的改进，以下以兼容现有EVI实现方案为例介绍数据层面与控制层面的详细实现。在进行描述之前，为了描述的简洁和方便，同时考虑本领域普通技术人员的技术常识。在本发明中，用户报文在不同的情形下有着不同的含义，比如说，如果是二层转发，那么转发的用户报文是二层用户报文，如果是IP转发，则转发的用户报文则是一个IP报文，两者的区别是前者有二层报文头封装，而后者没有；当然转发决策完成后从用户接口发出的时候会贴上对应的二层封装。由于本段所说的都是网络技术领域基本技术常识，以下不再特别区分用户报文是二层报文还是不带二层封装的IP报文。

为了让图4中ED1与ED2之间建立VPN服务允许用户构建相互隔离的IP网络，需要管理员先进行适当的配置操作。首先，管理员需要在隧道两端的ED上配置VPN1，其指定IP地址为1.1.1.2，该IP地址也是EVI VPN隧道接口的IP地址，将VPN1与EVI实例1关联。管理员完成配置并保存之后，控制管理单元可以相应通知路由学习单元将该指定IP地址的路由发布到公网上，路由学习单元收到该路由发布通知之后使用内部网关协议IGP将1.1.1.2地址的路由发布到公网中，此时公网中的其他ED设备，比如ED2以及ED3都会学习到ED1上VPN1的源IP地址的路由。同样的道理，管理员需要在ED2进行同样的配置，创建VPN1，其指定IP地址为2.1.1.2，并将VPN1与EVI实例1关联，使用IGP协议将2.1.1.2地址的路由发布到公网中，此时IP Network中的其他ED设备，比如ED1以及ED3都会学习到ED2上VPN1的源IP地址2.1.1.2的路由。路由的发布是确保隧道报文能够顺利在公网上进行路由转发，因为公网上转发的过程是依据报文外层目的IP来转发的。

在一个VPN内，每个ED设备都需要知道对端ED设备上配置的指定IP地址与VPN之间的对应关系，这样才能与对端设备建立隧道连接；因此每个ED设备需要将这种对应关系作为VPN信息扩散给其他ED设备。如果组网相对来说比较简单的话，管理员可以通过手动的方式来实现这一VPN信息的扩散。对于相对复杂的网络，或者说为了减少管理员的配置工作，本发明在一种优选的实施方式中使用自动扩散的机制。具体实现上，ED设备可以使用ENDP协议（EVI Neighbor Discovery Protocol，EVI邻居发现协议）的通告消息将EVI实例的VPN标识与源IP地址通告到EVI实例内的所有邻居ED。该通告消息携带的VPN信息包括EVI实例标识、VPN标识以及对应的指定IP地址。对于一个ED而言，其除了需要扩散上述VPN信息之外，其还需要保存其他ED扩散的上述VPN信息，具体来说，当ED接收从其他ED发过来的EVI的VPN信息，用接收到的EVI实例号、VPN标识以及对应的指定IP地址，在本地相同的EVI实例内进行VPN信息比较，若本地EVI实例中存在相同的VPN标识且对应的指定IP地址合法（也就是没有发生IP地址冲突的情况）时，则可以与对端ED创建相应的VPN隧道，ED会保存这些VPN信息。当然如果本地不存在相同的EVI实例，或者相同的EVI实例中不存在相同的VPN，又或者发现接收的VPN源IP地址不合法，则丢弃该ENDP协议消息。比如说，ED1发布的EVI实例为50，VPN标识为1，而ED2上没有EVI实例50，或者说ED2的EVI实例50中没有VPN1，则ED2会丢弃掉该ENDP报文。

值得注意的是，上述VPN的概念是在同一个EVI实例中实现的，因为按照现有的EVI技术来说，不同EVI实例之间是无法进行隧道通信的，比如说VLAN10到VLAN100属于EVI实例1，VLAN101到VLAN200在EVI实例2中，那么VLAN10与VLAN110是无法通过隧道的方式实现互通的，更无法谈及在此基础上的VPN互通，因此以下描述中特指同一EVI实例下的实现。

以上的配置过程，可以由管理员手动来静态配置，当然其中有些也可以自动发布和扩散机制。在实际实现的过程中，在上述配置准备好之后，ED就可以在自身与其他配置有相同VPN的ED之间创建EVI VPN隧道了。事实上，EVI实例中通常还会创建普通EVI隧道，这两种隧道的创建可以融合在一起实现。比如说，当一个EVI实例内的普通EVI隧道创建成功时，控制管理单元还可以进一步判断该EVI实例内是否有VPN隧道需要创建，其实也就是查看是否保存了VPN标识与其他ED指定IP地址的对应关系，如果有则需要使用自身的指定IP地址作为EVI VPN隧道接口IP地址与该其他ED建立EVI VPN隧道连接。显然，同一个EVI实例内可以存在多个VPN隧道，这取决于用户的配置。在本发明中普通EVI隧道有两种类型，在此根据其承载类型的不同做一个区分定义：I类EVI隧道是指用来承载用户以太网报文的普通EVI隧道，在用户的两个网络之间透明传输以太网报文（也就是二层报文）；II类EVI隧道是指用来承载用户IP报文的普通EVI隧道，在用户的两个网络之间透明传输IP文。II类EVI隧道主要是面向公共域路由的，而EVI VPN隧道则是面向VPN路由的，这是由路由学习和路由转发的区域来决定的。

同样的道理，当需要删除EVI实例的时候，除了删除ED设备之间的EVI隧道，还需要进一步判断是否存在VPN隧道，若存在则需要删除该VPN隧道。在VPN隧道创建完成之后，就可以在该VPN隧道上开展VPN服务，以下从数据层面和控制层面对VPN内的服务过程进行详述。

请参考图4以及图5，对于ED数据层面的处理而言，其包括三种类型的用户数据报文需要处理，在数据层面的描述中，用户数据报文是指ED角度来看需要其进行查表转发的用户报文。

情形一，用户数据报文的二层转发：

假设站点A的主机Host10与站点B的主机Host20为不同站点的相同VLAN（比如VLAN10）内的主机。由于两个主机在同一个VLAN内，因此主机Host10访问Host20的用户数据报文的目的MAC地址为Host20的MAC地址，源MAC地址为Host10的MAC地址，目的IP地址为Host20的IP地址，源IP为Host10的源IP地址。ED1接收到站点A内Host10发送的用户数据报文后，报文转发单元可以先检查用户数据报文的目的MAC地址，来决定如何处理该用户数据报文，由于此时用户数据报文的目的MAC不是本ED设备的MAC地址，说明这个报文是需要在二层透传的。此时针对该用户数据报文的转发处理可以按照既有的实现来进行，转发时在EVI实例内进行二层查表转发，也就是查询目的MAC和VLAN这个组合在MAC地址转发表中所对应的出接口，查表得到出接口肯定是I类EVI隧道。接下来在该I类EVI隧道上进行隧道封装，隧道封装的格式是Ethernet over IP格式的隧道报文，隧道封装的源IP地址为该EVI隧道接口的IP地址，目的IP地址为对端ED的I类EVI隧道接口的IP地址，封装后的隧道报文转发到公网然后被ED2收到。在ED2处解开隧道封装发现用户数据报文是一个以太网报文，此时再查MAC地址转发表转发给Host20。Host20到Host10的报文转发流程类似，不再赘述。

情形二，公共域内用户数据报文的路由转发:

假设主机Host11与Host21为不同站点的不同VLAN内的主机，比如分别属于VLAN30与VLAN40，并且这两台主机都属于公共域内的两台主机。主机Host11发出访问Host21的数据报文，由于Host21与自身不在同一个局域网，因此该报文的目的MAC地址为网关的MAC地址（也就是ED1的MAC），源MAC地址为Host11的MAC地址，目的IP地址为Host21的IP地址，源IP为Host11的源IP地址。ED1接收到该报文后，报文转发单元发现该报文目的MAC地址为本ED的MAC地址，确定后续需要进行路由转发。在本发明中，路由转发分为两种，一种是VPN内的路由转发，另一种公共域内的路由转发。

上述两种路由转发所使用的路由转发表是不一样的。因此在转发之前需要先确定转发所需要使用的路由转发表。由于该报文是用户方向进入的，报文转发单元可以根据报文的用户接入标识（比如以太网封装中的VLAN或者报文入端口标识）来查询该报文所属VPN，如果查询没有命中，则说明用户不属于任何VPN，此时该报文需要查找公共域中的路由转发表，这个路由转发表可以理解为ED的公共路由转发表或者叫默认路由转发表。报文转发单元在此公共路由转发表中查询主机Host21的目的IP地址，获得其出接口为II类EVI隧道，对应的隧道封装格式为IP over IP GRE格式，隧道封装中使用的源IP地址自然是该II类EVI隧道接口的IP地址，目的IP地址为对端ED的II类EVI隧道接口的IP地址。接下来ED1将封装好的隧道报文转发到公网进而到达ED2。ED2接收到的隧道报文是IP over IP GRE报文，根据隧道报文的隧道接口标识（比如隧道报文源IP地址以及目的IP地址）确定需要在公共路由转发表中进行查找，此时可以弹掉EVI隧道封装露出内部封装的用户数据报文，然后在公共路由转发表中查找该用户数据报文的目的IP地址得到出接口为连接Host21的用户接口，将IP报文通命中的用户接口转发到下挂的主机Host21，主机Host21接收到报文。主机Host21发送给Host11的报文转发流程类似，不再赘述。

情形三，VPN内用户数据报文的IP转发:

假设主机Host12与Host22为不同站点的不同VLAN内的主机，比如VLAN50与VLAN60，但Host12与Host22属于同一VPN（比如VPN1）内的两台主机。主机Host12发出访问Host22的报文，由于Host22与自身不在同一个局域网，因此该报文目的MAC地址为ED1的MAC地址，源MAC地址为Host12的MAC地址，目的IP地址为Host22的IP地址，源IP为Host12的源IP地址。ED1接收到该报文后，报文转发单元发现该报文目的MAC地址为本ED的MAC地址，确定后续需要进行路由转发。报文转发单元根据该报文的用户接入标识查找到对应的VPN标识1，此时需要在VPN1的VPN路由转发表中查询主机Host12的目的IP地址，查找VPN的路由转发表之后确定该报文的出接口为对应的EVI VPN隧道，对应的隧道封装格式为IP over IPGRE格式，此时隧道封装的源IP地址将使用该EVI VPN隧道的接口IP地址，目的IP地址为对端ED设备的EVI VPN隧道接口IP地址，也就是管理员初始配置的指定IP地址，然后将封装好的隧道报文转发到公网上进而传输到ED2。ED2接收到的报文是IP over IP GRE报文，根据隧道报文的隧道接口标识确定对应的VPN为VPN1，弹掉EVI VPN隧道封装获得其内封装的用户数据报文，在该VPN1的VPN路由转发表中查找用户数据报文的目的IP地址进行转发，获得对应的出接口为用户接口，从该用户接口将用户数据报文转发到下挂的主机Host22。主机Host22发送给Host12的报文转发流程类似，不再赘述。

以上是数据层面的各种转发处理，但对于数据层面的路由转发而言，路由转发表的生成是基于路由学习的。因此，本发明在VPN内传递的用户报文不仅仅有用户数据报文还有用户路由协议报文。所谓用户路由协议报文通常是在该VPN对应的用户IP网络内传播的路由协议报文，ED1和ED2需要参与到该VPN内的路由学习中来。无论是从用户方向收到用户路由协议报文，还是从隧道接口方向（也就是公网方向）收到用户路由协议报文。路由学习单元查询该用户路由协议报文所属的VPN，查询方式与报文转发单元的查询方式一致。对于用户方向收到的用户路由协议报文，可以根据用户报文原始以太网封装中的VLAN查询对应的VPN，而对于公网方向收到的用户路由协议报文，可以根据原始的隧道报文的源IP地址查询对应的VPN。若查询命中对应的VPN，则在该VPN内根据该用户路由协议报文进行路由学习，并相应更新VPN路由转发表；当然如果查询没有命中，则在公共域内根据该用户路由协议报文进行路由学习，并相应更新公共路由转发表。事实上，本发明对VPN内的路由学习机制并没有任何改变，从某种意义上说，本发明相当于在ED上生成为该VPN创建了一个逻辑意义上的“专用路由器”，该专用的路由器按照既定的路由协议进行路由学习，只不过该“专用路由器”对外的接口是与VPN的独立EVI VPN隧道接口而已，也就是说不同VPN的路由出接口在逻辑意义上是不同的，即便物理出接口相同，但对应的隧道报文的IP地址却是不同的。

从以上的描述中可以发现，现有的EVI技术可以在两个站点的用户网络之间实现二层透传，形象地来说，两个站点的局域网之间好像使用一根网线相连一样；当然现有EVI也可以在将两侧不同的局域网通过一个中间网关相连；本发明在这些实现的基础上，可以进一步将两个相互连接的不同局域网划分为一个独立的用户IP网络。用户可以随意根据业务需要来进行IP网络规划；比如说某个企业可以将在线游戏业务部门创建一个用户IP网络，为社交应用业务部分创建另一个用户IP网络，这两个用户IP网络是相互独立的，也就是说，在这两个用户IP网络内，IP地址是可以重复使用的，互不影响。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (10)

1.一种用户报文处理装置，应用于以太网虚拟互联EVI网络中的边缘设备ED上，该ED通过公网与其他ED建立EVI实例，其中该装置包括：控制管理单元、路由学习单元以及报文转发单元，其特征在于：

控制管理单元，用于在指定EVI实例中创建面向公共路由的II类EVI隧道以及至少一个面向VPN路由的EVI VPN隧道；

路由学习单元，用于查询用户路由协议报文所属VPN，若查询命中对应的VPN，则在该VPN内根据该用户路由协议报文进行路由学习以更新该VPN路由转发表，否则在公共域内根据该用户路由协议报文进行路由学习以更新公共路由转发表；

报文转发单元，用于在对用户数据报文进行IP转发时，查询该用户数据报文所属的VPN，若查询命中对应的VPN，则根据该VPN的路由转发表对用户数据报文进行转发，否则根据公共路由转发表对该用户数据报文进行转发。

2.如权利要求1所述的装置，其特征在于，所述控制管理单元在指定EVI实例中创建至少一个面向VPN路由的EVI VPN隧道的过程具体包括：

将EVI实例的上配置的VPN标识、VPN指定IP地址以及该VPN的用户接口标识对应保存在VPN信息表中，并通知路由学习单元进行路由发布；

将VPN标识与VPN指定IP地址对应关系发布给其他ED设备，并在VPN信息表中保存其他ED设备发布的VPN标识与VPN指定IP地址的对应关系；

使用所述VPN指定IP地址作为EVI VPN隧道接口的IP地址在本ED与其他配置有相同VPN的ED之间创建EVI VPN隧道；

所述路由学习单元，进一步用于根据路由发布通知向公网发布所述VPN指定IP地址的公网路由，并学习其他ED发布的VPN指定IP地址的公网路由。

3.如权利要求1所述的装置，其特征在于：其中查询该用户数据报文所属VPN或用户路由协议报文所属VPN的过程包括：若报文从用户方向进入，则根据该报文的用户接口标识查询该报文所属VPN；若报文从公网方向进入，则根据该报文进入的隧道接口标识查询该报文所属VPN。

4.如权利要求3所述的装置，其特征在于：所述用户接口标识为报文的VLAN，所述隧道接口标识为报文隧道封装的源IP地址和目的IP地址。

5.如权利要求1所述的装置，其特征在于：报文转发单元进一步在从用户方向收到用户数据报文时，判断该报文的目的MAC地址是否为本ED的MAC地址，如果不是，则对该根据该报文的目的MAC查找对应的I类EVI隧道接口，然后将该报文进行隧道封装后从该EVI隧道上发送出去，其中该隧道封装格式为Ethernet Over IP格式；如果是，则确定该报文需要进行路由转发；

其中查询VPN路由转发表对该报文进行转发时，对该报文进行隧道封装后从EVI VPN隧道上发送出去，该隧道封装格式为IP Over IP格式且隧道封装的源IP地址为EVI VPN隧道接口的IP地址，目的IP地址为对端ED的EVI VPN隧道的地址；查询公共路由转发表对该报文进行转发时，对该报文进行隧道封装后从II类EVI隧道上发送出去，该隧道封装格式为IPOver IP格式，隧道封装的源IP地址为该EVI隧道接口的IP地址，目的IP地址是对端ED的II类EVI公网隧道的IP地址。

6.一种用户报文处理方法，应用于EVI网络中的边缘设备ED上，该ED通过公网与其他ED建立EVI实例，其特征在于，该方法包括如下步骤：

步骤A、在指定EVI实例中创建面向公共路由的II类EVI隧道以及至少一个面向VPN路由的EVI VPN隧道；

步骤B、查询用户路由协议报文所属VPN，若查询命中对应的VPN，则在该VPN内根据该用户路由协议报文进行路由学习以更新该VPN路由转发表，否则在公共域内根据该用户路由协议报文进行路由学习以更新公共路由转发表；

步骤C、在对用户数据报文进行IP转发时，查询该用户数据报文所属的VPN，若查询命中对应的VPN，则根据该VPN路由转发表对用户数据报文进行转发，否则根据公共路由转发表对该用户数据报文进行转发。

7.如权利要求6所述的方法，其特征在于，根据管理员的配置在指定EVI实例中创建至少一个面向VPN路由的EVI VPN隧道的过程具体包括：

将在EVI实例的上配置的VPN标识、VPN指定IP地址以及该VPN的用户接口标识对应保存在VPN信息表中；

向公网发布所述VPN指定IP地址的公网路由，并学习其他ED发布的VPN指定IP地址的公网路由；

将VPN标识与VPN指定IP地址对应关系发布给其他ED设备，并在VPN信息表中保存其他ED设备发布的VPN标识与VPN指定IP地址的对应关系；

使用所述VPN指定IP地址作为EVI VPN隧道接口的IP地址在本ED与其他配置有相同VPN的ED之间创建EVI VPN隧道。

8.如权利要求6所述的方法，其特征在于：其中查询该用户数据报文所属VPN或用户路由协议报文所属VPN的过程包括：若报文从用户方向进入，则根据该报文的用户接口标识查询该报文所属VPN；若报文从公网方向进入，则根据该报文进入的隧道接口标识查询该报文所属VPN。

9.如权利要求8所述的方法，其特征在于：所述用户接口标识为报文的VLAN，所述隧道接口标识为报文隧道封装的源IP地址和目的IP地址。

10.如权利要求6所述的方法，其特征在于：其中步骤C进一步包括：

在从用户方向收到用户数据报文时，判断该报文的目的MAC地址是否为本ED的MAC地址，如果不是，则对该根据该报文的目的MAC查找对应的I类EVI隧道接口，然后将该报文进行隧道封装后从该EVI隧道上发送出去，其中该隧道封装格式为Ethernet Over IP格式；如果是，则确定该报文需要进行路由转发；

其中查询VPN路由转发表对该报文进行转发时，对该报文进行隧道封装后从EVI VPN隧道上发送出去，该隧道封装格式为IP Over IP格式且隧道封装的源IP地址为EVI VPN隧道接口的IP地址，目的IP地址为对端ED的EVI VPN隧道的地址；查询公共路由转发表对该报文进行转发时，对该报文进行隧道封装后从II类EVI隧道上发送出去，该隧道封装格式为IPOver IP格式，隧道封装的源IP地址为该EVI隧道接口的IP地址，目的IP地址是对端ED的II类EVI公网隧道的IP地址。