CN104104571A - 实现虚拟局域网域映射与访问控制的方法和装置 - Google Patents
实现虚拟局域网域映射与访问控制的方法和装置 Download PDFInfo
- Publication number
- CN104104571A CN104104571A CN201310123395.XA CN201310123395A CN104104571A CN 104104571 A CN104104571 A CN 104104571A CN 201310123395 A CN201310123395 A CN 201310123395A CN 104104571 A CN104104571 A CN 104104571A
- Authority
- CN
- China
- Prior art keywords
- vlan
- access control
- network interface
- user network
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2878—Access multiplexer, e.g. DSLAM
- H04L12/2879—Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
- H04L12/2885—Arrangements interfacing with optical systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q11/0067—Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q2011/0077—Labelling aspects, e.g. multiprotocol label switching [MPLS], G-MPLS, MPAS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟局域网域映射与访问控制的方法和装置,其方法包括:接收用户网络接口(上行方向时)或PON专用接口(下行方向时)发送的数据包;提取数据包的包头数据,对包头数据标记识别,获得数据包的VLAN ID,获取用户网络接口号;根据用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;根据数据包处理方式对数据包进行处理,根据VLAN域转换方式对VLAN域进行转换。本发明灵活地实现访问控制和VLAN域映射,有效减少芯片面积,降低生产成本,具有高效和功耗低特点,满足ONU或ONT芯片线速处理数据要求。
Description
技术领域
本发明涉及到网络技术领域,特别涉及到虚拟局域网域映射与访问控制的方法和装置。
背景技术
根据无源光网络(Passive Optical Network,PON)的多层虚拟局域网域(Virtual Local Area Network,VLAN)映射和访问控制的技术标准,光网络单元(Optical Network Unit,ONU)或光网络终端(Optical Network Termination,ONT)芯片应该具有对输入包虚拟局域网域标记域VLAN进行映射的功能,必须能够禁止/允许带有特定虚拟局域网域标记协议识别符(Tag Protocol Identifier,TPID)的用户接入,能够禁止/允许用户接入虚拟局域网域标号(VLANIdentifier ,VLAN ID)标识的某种业务,也能够根据数据包的输入输出端口以及数据的多种特征属性,比如目的MAC地址、源MAC地址、以太网类型、目的IP地址、源IP地址、TCP或UDP协议的源端口号、TCP或UDP协议的目的端口号、IP包的协议号、IP包的服务类型(Typeof Service,TOS)等灵活地进行VLAN域变换,也就是添加、删除、透明传送或修改包所带的虚拟局域网域标记的TPID、PCP(Priority Code Point,优先级)和VLAN ID。
目前,ONU或ONT芯片根据数据包的多种属性实现多层虚拟局域网域映射和访问控制的方式主要有三种:一种采用内嵌的精简指令集计算机(Reduced Instruction Set Computer,RISC),一种采用三态内容寻址存储器(Ternary Content Addressable Memory,TCAM),还有一种是同时运用RISC和TCAM,通过对报文进行检测,实现访问控制和多层虚拟局域网域映射。由于ONU或ONT芯片要求线速处理1到10G bit / s以上的数据包,如果采用RISC,往往需要多个RISC核结构,无疑增加芯片设计的复杂度、芯片占用的面积和功耗;如果采用TCAM,TCAM面积和功耗比较大,一般需要购买专门厂家的IP,这也会增加芯片的生产成本,增加功耗。
发明内容
本发明的主要目的为提供一种结构简单、低功耗、低成本的虚拟局域网域映射与访问控制的方法和装置。
本发明提出一种虚拟局域网域映射与访问控制的方法,包括步骤:
步骤A,当在上行方向时,接收用户网络接口发送的数据包,当在下行方向时,接收PON专用接口发送的数据包;所述上行方向的数据传输方向为从所述用户网络接口向所述PON专用接口传输,所述下行方向的数据传输方向为从所述PON专用接口向所述用户网络接口传输;
步骤B,提取所述数据包的包头数据,对所述包头数据进行标记识别,获得所述数据包的虚拟局域网域标号VLAN ID,获取所述用户网络接口的用户网络接口号;
步骤C,根据所述用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;
步骤D,根据所述数据包处理方式对所述数据包进行处理,根据所述VLAN域转换方式对所述VLAN域进行转换。
优选地,所述步骤C具体包括:
步骤C01,当所述用户网络接口的数据抽样使能时,根据所述用户网络接口号,查询抽样规则索引配置表,获得数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式,根据所述数据抽样规则编号查询抽样规则配置表,获得所述数据抽样规则编号对应的数据抽样规则;
步骤C02,根据所述数据抽样规则,对所述包头数据进行数据抽样;
步骤C03,根据所述抽样后的数据、上行/下行方向指示位、用户网络接口号和数据抽样规则编号,查询抽样数据配置表;
步骤C04,当在抽样数据配置表中查询到匹配的表项时,根据所述匹配的表项,获取访问控制表的查询地址,查询所述访问控制表,并根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表;
步骤C05,分别从所述访问控制表和VLAN转换配置表中获取数据包处理方式,当从所述访问控制表获取的数据包处理方式和从所述VLAN转换配置表获取的数据包处理方式同时有效时,优先选择从所述访问控制表获取的数据包处理方式,并在所述数据包处理方式为普通转发时,分别从所述访问控制表和VLAN转换配置表中获取对应的VLAN域转换方式。
优选地,所述步骤C03之后还包括:
步骤C06,当在抽样数据配置表中没有查询到匹配的表项时,将所述数据包缺省处理方式作为所述数据包处理方式,并在所述数据包处理方式为普通转发时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得对应的VLAN域转换方式。
优选地,所述步骤C具体还包括:
步骤C07,当所述用户网络接口的数据抽样不使能时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得数据包处理方式,并在所述数据包处理方式为普通转发时,从所述VLAN转换配置表中获取对应的VLAN域转换方式。
优选地,所述数据包处理方式包括数据转发、数据丢弃和上交CPU;所述数据转发包括透明转发和普通转发;
所述步骤D具体包括:
当所述数据包处理方式为普通转发时,根据所述VLAN域转换方式对所述VLAN域进行转换,并转发所述数据包;
当所述数据包处理方式为透明转发时,直接转发所述数据包,无需对所述VLAN域进行转换;
当所述数据包处理方式为上交CPU时,上交所述数据包至CPU;
当所述数据包处理方式为数据丢弃时,丢弃所述数据包。
优选地,所述当所述数据包处理方式为普通转发时,根据所述VLAN域转换方式对所述VLAN域进行转换的步骤之后还包括:
当所述访问控制表的VLAN域转换方式获得的转换结果与所述VLAN转换配置表的VLAN域转换方式获得的转换结果同时有效时,优先选择所述访问控制表的VLAN域转换方式获得的转换结果。
优选地,当在上行方向时,所述步骤D之后还包括:
将所述用户网络接口号、数据包的源MAC地址、VLAN域转换后的外层VLAN ID学习到MAC地址表中。
优选地,当在下行方向时,所述步骤B中获取所述用户网络接口的用户网络接口号的步骤具体包括:
根据所述数据包的目的MAC地址和外层VLAN ID,查询MAC地址表,获取所述用户网络接口的用户网络接口号。
本发明还提出一种虚拟局域网域映射与访问控制的装置,包括:
接收模块,用于当在上行方向时,接收用户网络接口发送的数据包,当在下行方向时,接收PON专用接口发送的数据包;所述上行方向的数据传输方向为从所述用户网络接口向所述PON专用接口传输,所述下行方向的数据传输方向为从所述PON专用接口向所述用户网络接口传输;
获取模块,用于提取所述数据包的包头数据;获取所述用户网络接口的用户网络接口号;
标记模块,用于对所述包头数据进行标记识别,获得所述数据包的虚拟局域网域标号VLAN ID;
查询模块,用于根据所述用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;
处理模块,用于根据所述数据包处理方式对所述数据包进行处理,根据所述VLAN域转换方式对所述VLAN域进行转换。
优选地,所述查询模块具体用于:
当所述用户网络接口的数据抽样使能时,根据所述用户网络接口号,查询抽样规则索引配置表,获得数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式,根据所述数据抽样规则编号查询抽样规则配置表,获得所述数据抽样规则编号对应的数据抽样规则;
根据所述数据抽样规则,对所述包头数据进行数据抽样;
根据所述抽样后的数据、上行/下行方向指示位、用户网络接口号和数据抽样规则编号,查询抽样数据配置表;
当在抽样数据配置表中查询到匹配的表项时,根据所述匹配的表项,获取访问控制表的查询地址,查询所述访问控制表,并根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表;
分别从所述访问控制表和VLAN转换配置表中获取数据包处理方式,当从所述访问控制表获取的数据包处理方式和从所述VLAN转换配置表获取的数据包处理方式同时有效时,优先选择从所述访问控制表获取的数据包处理方式,并在所述数据包处理方式为普通转发时,分别从所述访问控制表和VLAN转换配置表中获取对应的VLAN域转换方式。
优选地,所述查询模块具体还用于:
当在抽样数据配置表中没有查询到匹配的表项时,将所述数据包缺省处理方式作为所述数据包处理方式,并在所述数据包处理方式为普通转发时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得对应的VLAN域转换方式。
优选地,所述查询模块具体还用于:
当所述用户网络接口的数据抽样不使能时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得数据包处理方式,并在所述数据包处理方式为普通转发时,从所述VLAN转换配置表中获取对应的VLAN域转换方式。
优选地,所述数据包处理方式包括数据转发、数据丢弃和上交CPU;所述数据转发包括透明转发和普通转发;
所述处理模块具体用于:
当所述数据包处理方式为普通转发时,根据所述数据包处理方式对所述数据包进行处理,根据所述VLAN域转换方式对所述VLAN域进行转换;
当所述数据包处理方式为透明转发时,根据所述数据包处理方式对所述数据包进行处理,无需对所述VLAN域进行转换;
当所述数据包处理方式为上交CPU时,上交所述数据包至CPU;
当所述数据包处理方式为数据丢弃时,丢弃所述数据包。
优选地,所述处理模块具体还用于:
当所述访问控制表的VLAN域转换方式获得的转换结果与所述VLAN转换配置表的VLAN域转换方式获得的转换结果同时有效时,优先选择所述访问控制表的VLAN域转换方式获得的转换结果。
优选地,所述虚拟局域网域映射与访问控制的装置还包括学习模块,用于当在上行方向时,将所述用户网络接口号、数据包的源MAC地址、VLAN域转换后的外层VLAN ID学习到MAC地址表中。
优选地,所述获取模块还用于,当在下行方向时,根据所述数据包的目的MAC地址和外层VLAN ID,查询MAC地址表,获取所述用户网络接口的用户网络接口号。
本发明灵活方便地实现访问控制和VLAN域映射,能够实现输入和输出数据包之间四种类型的VLAN域映射(即VLAN域转换):(1)上行方向相同或不同用户网络接口输入至PON专用端口输出的1:1 VLAN映射,(2)上行方向不同用户网络接口输入至PON专用端口输出的N:1 VLAN映射,(3)下行方向PON专用端口输入和相同或不同用户网络接口输出的1:1 VLAN映射,(4)下行方向PON专用端口输入和不同用户网络接口输出的1:N VLAN映射;能够利用报文的二层、三层或四层的任意特征属性或特征属性的组合来实现访问控制或VLAN域转换。本发明不需要采用RISC核,也不需要采用TCAM核或外接TCAM,因而能大大减少芯片内部逻辑电路的门数,减少芯片占用的面积,降低芯片生产成本,具有高效和功耗低的特点,能满足ONU或ONT芯片1到10 G bit /s 以上线速处理数据要求。
附图说明
图1为本发明虚拟局域网域映射与访问控制的方法的第一实施例的流程图;
图2为本发明虚拟局域网域映射与访问控制的方法的第二实施例的流程图;
图3为本发明虚拟局域网域映射与访问控制的方法的第三实施例的流程图;
图4为本发明虚拟局域网域映射与访问控制的方法的第四实施例的流程图;
图5为本发明虚拟局域网域映射与访问控制的方法的第五实施例的流程图;
图6为本发明虚拟局域网域映射与访问控制的方法的第六实施例的流程图;
图7为本发明虚拟局域网域映射与访问控制的方法的第七实施例的流程图;
图8为本发明虚拟局域网域映射与访问控制的方法的第八实施例的流程图;
图9为本发明虚拟局域网域映射与访问控制的装置的第一实施例的结构示意图;
图10为本发明虚拟局域网域映射与访问控制的装置的第二实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在实际应用中虚拟局域网域区分为业务虚拟局域网域(Service VLAN,S-VLAN)和用户虚拟局域网域(Customer VLAN,C-VLAN)。S-VLAN用来区分数据、语音和IPTV等业务,由运行商提供;C-VLAN主要是用来区分用户及其端口。在实际应用中,有的数据包只包括S-VLAN数据包,也有的数据包只包括C-VLAN数据包,也有既含S-VLAN也含有C-VLAN的数据包。VLAN域由两部分组成:TPID和标记协议控制域(TagControl Information,TCI), 标记协议控制域TCI又由三部分组成:PCP、标准格式指示符(Canonical Format Indicator,CFI)和VLAN ID。根据数据包是否含有TPID、含有一个或两个TPID,数据包被区分成无标记(Un-Tagged)包、单层标记(Single-Tagged)包和双层标记(Double-Tagged)包。上行方向通过用户网络接口输入数据包,下行方向通过PON专用接口输入数据包。上行方向用户网络接口输入的数据包,当数据包的外层TPID等于S-TPID (Service Provider Tag Protocol Identifier),内层TPID等于C-TPID(Customer Tag Protocol Identifier),则该数据包为双层标记包;否则,如果数据包的外层TPID等于C-TPID,则该数据包为单层标记C-VLAN包;否则,如果数据包的外层TPID等于S-TPID,则该数据包为单层标记S-VLAN包;如果以上条件都不满足,则该数据包就是无标记包。下行方向PON专用接口输入的数据包,如果数据包的外层TPID等于S-TPID,内层TPID等于C-TPID,它为双层标记包,外层为S-VLAN,内层为C-VLAN;否则,如果数据包的外层TPID等于S-TPID,则该数据包为单层标记S-VLAN包;否则,如果数据包的外层TPID等于C-TPID,则该数据包为单层标记C-VLAN包;如果以上条件都不满足,则该数据包就是无标记包。S-VLAN对应的VLAN ID和PCP分别称为S-VLAN ID和S-PCP,C-VLAN对应的VLAN ID和PCP分别称为C-VLANID和C-PCP。单层标记包遵循电气电子工程师学会IEEE 802.1Q规范标准,双层标记包遵循IEEE 802.1AD规范标准。
如图1所示,图1为本发明虚拟局域网域映射与访问控制的方法的第一实施例的流程图。本实施例提到的虚拟局域网域映射与访问控制的方法,包括:
步骤A,当在上行方向时,接收用户网络接口发送的数据包,当在下行方向时,接收PON专用接口发送的数据包;
在上行方向时,数据包传输方向由用户网络接口(User node interface,UNI)向PON专用接口,即业务节点接口(Service node interface,SNI)传输。在下行方向时,数据包传输方向由PON专用接口向UNI传输。
步骤B,提取数据包的包头数据,对包头数据进行标记识别,获得数据包的虚拟局域网域标号VLAN ID,获取用户网络接口的用户网络接口号;
当数据包进入ONU或ONT时,解析以太网数据包帧头,识别出VLAN域为S-VLAN域或C-VLAN域,根据VLAN域将数据包区分成无标记包、单层标记包和双层标记包。标记识别提取以太网数据包帧头的前128字节,不足128字节帧的后续用0填充。不管接收的是无标记包、单层标记包还是双层标记包,标记识别先统一假设输入包是双层标记包,然后根据CPU配置的S-TPID或C-TPID对数据包进行识别。通过标记识别得到输入数据包的S-VLAN ID或C-VLAN ID、S-VLAN标记协议控制域的优先级S-PCP或C-VLAN标记协议控制域的优先级C-PCP。对于不存在的S-VLAN或C-VLAN域,相应的S-VLAN ID、S-PCP或C-VLAN ID和C-PCP的值取0。
步骤C,根据用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;
获得VLAN域转换方式(即VLAN域映射方式)和数据包处理方式的方案有两种,第一种是基于用户网络接口号,通过对数据包包头进行数据抽样,利用抽样数据查找抽样数据配置表,再利用抽样数据配置表的匹配表项和访问控制表表项的一一对应关系,得到查找访问控制表的地址,查找对应的访问控制表得到;第二种是基于用户网络接口号,利用数据包包头的VLAN域数据查找VLAN转换配置表得到。通过访问控制表和VLAN转换配置表都能分别得到数据包处理方式和VLAN域转换结果,VLAN域转换结果包括三个部分:TPID和TPID有效指示位、PCP和PCP有效指示位,VLAN ID和VLAN ID有效指示位。为了灵活实现用户的各种需求,通常对访问控制表和VLAN转换配置表的数据包处理方式和VLAN域转换方式进行灵活配置,某一个数据包的处理方式可能由访问控制表得到,也可能由VLAN转换配置表得到,同样它的VLAN域转换结果可能通过访问控制表得到,也可能通过VLAN转换配置表得到。
步骤D,根据数据包处理方式对数据包进行处理,根据VLAN域转换方式对VLAN域进行转换。
本实施例灵活方便地实现访问控制和VLAN域映射,不需要采用RISC核,也不需要采用TCAM核或外接TCAM,能大大减少芯片占用的面积,降低芯片生产成本,具有高效和功耗低的特点,能满足ONU或ONT芯片1到10 G bit / s 以上线速处理数据要求。
如图2所示,图2为本发明虚拟局域网域映射与访问控制的方法的第二实施例的流程图。本实施例在图1所示实施例的基础上,对步骤C的详细说明,步骤C具体包括:
步骤C01,当用户网络接口的数据抽样使能时,根据用户网络接口号,查询抽样规则索引配置表,获得数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式,根据数据抽样规则编号查询抽样规则配置表,获得数据抽样规则编号对应的数据抽样规则;
不论是在上行方向还是在下行方向,都为每个用户网络接口设置数据包抽样使能位,只有相应方向的端口抽样使能位使能的时候,才对数据包头进行抽样。通过读取相应方向的用户网络接口配置寄存器,获得该数据包是否需要进行数据抽样,如果端口数据抽样位使能,则对128字节包头数据进行抽样操作。数据抽样方法通过抽样规则定义,由于抽样规则比较多,为了区分不同抽样规则,定义了抽样规则索引配置表和抽样规则配置表。抽样规则索引配置表保存在一个RAM(Random Access Memory,随机存取存储器)中,在抽样规则索引配置表里定义每个用户网络接口使用的数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式,抽样规则索引配置表分为上行方向抽样规则索引配置表和下行方向抽样规则索引配置表,上行方向查上行方向抽样规则索引配置表,下行方向查下行方向抽样规则索引配置表。抽样规则配置表也保存在一个RAM存储器中,每个表项里存储不同的抽样规则,每个抽样规则的存储地址就是它的编号。
步骤C02,根据数据抽样规则,对包头数据进行数据抽样;
一个抽样规则可以定义多个数据抽样点,给出每个数据抽样点距离包头起始位的偏移距离和抽样掩码,偏移距离以字节为单位。本实施例偏移距离以字节为单位,从每个抽样点开始连续抽样N×8 比特数据,N为大于零的整常数,抽样数据和对应的N×8比特抽样掩码进行“与”逻辑运算,得到实际抽样数据。
步骤C03,根据抽样后的数据、上行/下行方向指示位、用户网络接口号和数据抽样规则编号,查询抽样数据配置表;
抽样数据配置表保存在RAM存储器中,一个表项占用一个存储单元,通过CPU为每一个表项配置上行/下行方向指示位、用户网络接口号、抽样规则编号和相应的抽样数据,每个抽样数据配置表的表项对应一个访问控制表(Access Control List)的表项,两者之间是一一对应的关系。完成包头数据抽样之后,利用上行/下行方向指示位、用户网络接口号、抽样规则编号和实际抽样数据,查询抽样数据配置表,如果查表得到的数据与实际的上行/下行方向指示位、用户网络接口号、抽样规则编号和抽样数据匹配,就说抽样数据配置表匹配成功,否则就说抽样数据配置表匹配失败。
步骤C04,当在抽样数据配置表中查询到匹配的表项时,根据匹配的表项,获取访问控制表的查询地址,查询访问控制表,并根据用户网络接口号和VLAN ID,查询VLAN转换配置表;
步骤C05,分别从访问控制表和VLAN转换配置表中获取数据包处理方式,当从访问控制表获取的数据包处理方式和从VLAN转换配置表获取的数据包处理方式同时有效时,优先选择从访问控制表获取的数据包处理方式,并在数据包处理方式为普通转发时,分别从访问控制表和VLAN转换配置表中获取对应的VLAN域转换方式。
访问控制表保存在一个存储器RAM中,如果抽样数据配置表匹配成功,就利用抽样数据配置表中各表项和访问控制表中各表项的一一对应关系,得到访问控制表的访问地址,进一步得到对应的访问控制表的表项,通过访问控制表的表项,得到VLAN域转换结果和数据包处理方式。同时,还需要查询VLAN转换配置表来获得数据包处理方式和VLAN域转换方式,VLAN转换配置表也保存在随机存储器RAM中,通过CPU配置VLAN转换配置表,每个存储单元保存有用户网络接口号、数据包的原始外层VLAN ID、原始内层VLAN ID、相应条件都匹配的VLAN域转换方式和数据包处理方式。利用用户网络接口号、数据包的原始外层VLAN ID和内层VLAN ID查询VLAN转换配置表,如果匹配成功,得到对应的VLAN域转换方式和包处理方式,利用VLAN域转换方式就可以得到新的VLAN域转换结果。通过访问控制表和VLAN转换配置表都能得到数据包处理方式,当访问控制表得到的数据包处理方式和VLAN转换配置表得到的数据包处理方式同时有效时,优先选择访问控制表获得的数据包处理方式。例如,如果通过访问控制表得到的数据包处理方式是数据丢弃,通过VLAN转换配置表得到的数据包处理方式是普通转发,则最终的数据包处理方式是数据丢弃。此外,VLAN转换配置表还可包括外层标记协议控制域TPID的优先级PCP,在查询VLAN转换配置表时,也可利用用户网络接口号、VLAN ID和PCP来查询。VLAN转换配置表还可配置为与PCP数据无关的查询方式,这样在查询VLAN转换配置表时,只需要利用用户网络接口号和VLAN ID来查询,不需要关心PCP的值。
本实施例对数据包的包头数据进行抽样,利用报文的二层、三层或四层的任意特征属性或特征属性的组合,和预先设置的抽样数据配置表进行匹配,根据匹配的结果查询访问控制表,得到虚拟局域网域VLAN域映射转换结果以及数据包的处理方式,同时根据用户网络接口号、数据包的原始外层VLAN ID、内层VLAN ID也能得到VLAN域转换结果和数据包处理方式,它能够灵活方便地实现访问控制,芯片占用面积小,芯片生产成本低,具有高效和功耗低的特点。
如图3所示,图3为本发明虚拟局域网域映射与访问控制的方法的第三实施例的流程图。本实施例在图2所示实施例的基础上,对步骤C的补充步骤,步骤C03之后还包括:
步骤C06,当在抽样数据配置表中没有查询到匹配的表项时,将数据包缺省处理方式作为所述数据包处理方式,并在数据包处理方式为普通转发时,根据用户网络接口号和VLAN ID,查询VLAN转换配置表,获得对应的VLAN域转换方式。
在抽样规则索引配置表中,也定义了实际抽样数据查询抽样数据配置表没有匹配的时候,数据包的缺省处理方式。当抽样数据配置表匹配失败时,就采用相应抽样规则查询失败对应的数据包缺省处理方式。当数据包处理方式为普通转发时,通过查询VLAN转换配置表来获得VLAN域转换方式。本实施例在抽样数据配置表匹配失败时,采用数据包缺省处理方式处理数据包,并根据包头数据的VLAN域,查找VLAN转换配置表,得到虚拟局域网域VLAN域映射转换结果,能够灵活方便地实现1:1、N:1和1:N的上下行方向用户网络接口之间四种类型VLAN域映射,实现简单方便,芯片占用面积小,芯片生产成本低,具有高效和功耗低的特点。
如图4所示,图4为本发明虚拟局域网域映射与访问控制的方法的第四实施例的流程图。本实施例在图1所示实施例的基础上,对步骤C的补充说明,步骤C具体还包括:
步骤C07,当用户网络接口的数据抽样不使能时,根据用户网络接口号和VLAN ID,查询VLAN转换配置表,获得数据包处理方式,并在数据包处理方式为普通转发时,从VLAN转换配置表中获取对应的VLAN域转换方式。
本实施例中,当数据包到达并获得包头数据后,通过读取用户网络接口配置寄存器,获知该数据包是否需要进行数据抽样,如果端口数据抽样位不使能,则不对128字节包头数据进行抽样操作,直接查询VLAN转换配置表,获得VLAN域转换方式和数据包处理方式,实现简单方便,芯片占用面积小,芯片生产成本低,具有高效和功耗低的特点。
如图5所示,图5为本发明虚拟局域网域映射与访问控制的方法的第五实施例的流程图。本实施例在图1所示实施例的基础上,对步骤D的详细说明,步骤D具体包括:
步骤D01,判断数据包处理方式为数据转发或上交CPU或数据丢弃;当数据包处理方式为上交CPU时,执行步骤D02;当数据包处理方式为数据丢弃时,执行步骤D03;当数据包处理方式为数据转发时,执行步骤D04;
步骤D02,上交数据包至CPU;
步骤D03,丢弃数据包。
步骤D04,判断数据包处理方式为普通转发或透明转发;当数据包处理方式为普通转发时,执行步骤D05;当数据包处理方式为透明转发时,执行步骤D06;
步骤D05,根据VLAN域转换方式对VLAN域进行转换,并转发数据包;
步骤D06,直接转发数据包,无需对VLAN域进行转换。
本实施例的数据包处理方式包括数据转发、数据丢弃和上交CPU;数据转发包括透明转发和普通转发。本实施例根据不同的数据包处理方式,处理数据包,实现方式简单,无需占用太多逻辑资源,芯片占用面积小,有效提高效率,降低功耗。
如图6所示,图6为本发明虚拟局域网域映射与访问控制的方法的第六实施例的流程图。本实施例在图5所示实施例的基础上,对步骤D05的详细说明,步骤D05具体包括:
步骤D051,根据VLAN域转换方式对VLAN域进行转换;
步骤D052,当访问控制表的VLAN域转换方式获得的转换结果与VLAN转换配置表的VLAN域转换方式获得的转换结果同时有效时,优先选择访问控制表的VLAN域转换方式获得的转换结果,转发数据包。
本实施例中,当分别根据访问控制表和VLAN转换配置表的VLAN域转换方式获得的转换结果都有效时,为了灵活实现用户的各种需求,优先选择访问控制表的查询结果。例如:a)如果访问控制表得到的TPID有效指示位有效,就选择访问控制表得到的TPID,否则选择VLAN转换配置表得到的TPID;b)如果访问控制表得到的VLAN ID有效指示位有效,就选择访问控制表得到的VLAN ID,否则选择VLAN转换配置表得到的VLAN ID;c)如果访问控制表得到的PCP有效指示位有效,就选择访问控制表得到的PCP,否则选择VLAN转换配置表得到的PCP。
如图7所示,图7为本发明虚拟局域网域映射与访问控制的方法的第七实施例的流程图。本实施例在图1所示实施例的基础上,对上行方向数据传输的补充步骤,当在上行方向时,步骤D之后还包括:
步骤E,将上行输入方向的用户网络接口号、数据包的源MAC地址、VLAN域转换后的外层VLAN ID学习到MAC地址表中。
本实施例在上行方向时,可通过步骤B从数据包的发送方直接获得数据包的源MAC地址。对数据包处理后,还需要将转换后的VLAN域信息和上行输入方向的用户网络接口号更新到MAC地址表中,以便于在下行方向数据包传输时,读取相关数据,获得对应的用户网络接口号,有效提高效率。
如图8所示,图8为本发明虚拟局域网域映射与访问控制的方法的第八实施例的流程图。本实施例在图1所示实施例的基础上,在下行方向数据传输时对步骤B的详细说明,当在下行方向时,步骤B具体包括:
步骤B01,提取数据包的包头数据,对包头数据进行标记识别,获得数据包的虚拟局域网域标号VLAN ID,并获取数据包的目的MAC地址;
步骤B02,根据数据包的目的MAC地址和外层VLAN ID,查询MAC地址表,获取下行输出方向的用户网络接口的用户网络接口号。
本实施例在下行方向时,由于数据传输方向为从PON专用接口向用户网络接口传输,无法从数据包的发送方直接获得用户网络接口号,因此需根据数据包的目的MAC地址和VLAN域信息,通过查询MAC地址表快速获取下行输出方向用户网络接口号。而对于上行方向的情况,可从数据包的发送方直接获得用户网络接口号,在此不作赘述。
如图9所示,图9为本发明虚拟局域网域映射与访问控制的装置的第一实施例的结构示意图。本实施例提出的虚拟局域网域映射与访问控制的装置,包括:
接收模块10,用于当在上行方向时,接收用户网络接口发送的数据包,当在下行方向时,接收PON专用接口发送的数据包;
获取模块20,用于提取数据包的包头数据;获取所述用户网络接口的用户网络接口号;
标记模块30,用于对包头数据进行标记识别,获得数据包的虚拟局域网域标号VLAN ID;
查询模块40,用于根据用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;
处理模块50,用于根据数据包处理方式对数据包进行处理,根据VLAN域转换方式对VLAN域进行转换。
本实施例在上行方向时,数据包传输方向由用户网络接口向PON专用接口,即业务节点接口传输。在下行方向时,数据包传输方向由PON专用接口向UNI传输。当数据包进入ONU或ONT时,解析以太网数据包帧头,识别出VLAN域为S-VLAN域或C-VLAN域,根据VLAN域将数据包区分成无标记包、单层标记包和双层标记包。标记识别提取以太网数据包帧头的前128字节,不足128字节帧的后续用0填充。不管接收的是无标记包、单层标记包还是双层标记包,标记识别先统一假设输入包是双层标记包,然后根据CPU配置的S-TPID或C-TPID对数据包进行识别。通过标记识别得到输入数据包的S-VLAN ID或C-VLAN ID、S-VLAN标记协议控制域的优先级S-PCP或C-VLAN标记协议控制域的优先级C-PCP。对于不存在的S-VLAN或C-VLAN域,相应的S-VLAN ID、S-PCP或C-VLAN ID和C-PCP的值取0。
获得VLAN域转换方式(即VLAN域映射方式)和数据包处理方式的方案有两种,第一种是基于用户网络接口号,通过对数据包包头进行数据抽样,利用抽样数据查找抽样数据配置表,再利用抽样数据配置表的匹配表项和访问控制表表项的一一对应关系,得到查找访问控制表的地址,查找对应的访问控制表得到;第二种是基于用户网络接口号,利用数据包包头的VLAN域数据查找VLAN转换配置表得到。通过访问控制表和VLAN转换配置表都能分别得到VLAN域转换结果,VLAN域转换结果包括三个部分:TPID和TPID有效指示位、PCP和PCP有效指示位,VLAN ID和VLAN ID有效指示位。为了灵活实现用户的各种需求,通常对访问控制表和VLAN转换配置表的数据包处理方式和VLAN域转换方式进行灵活配置,某一个数据包的处理方式可能由访问控制表得到,也可能由VLAN转换配置表得到,同样它的VLAN域转换结果可能通过访问控制表得到,也可能通过VLAN转换配置表得到。
本实施例灵活方便地实现访问控制和VLAN域映射,不需要采用RISC核,也不需要采用TCAM核或外接TCAM,能大大减少芯片占用的面积,降低芯片生产成本,具有高效和功耗低的特点,能满足ONU或ONT芯片1到10 G bit / s 以上线速处理数据要求。
本发明实施例中,查询模块40具体用于:
当用户网络接口的数据抽样使能时,根据用户网络接口号,查询抽样规则索引配置表,获得数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式;
根据所述数据抽样规则编号查询抽样规则配置表,获得所述数据抽样规则编号对应的数据抽样规则;
根据数据抽样规则,对包头数据进行数据抽样;
根据抽样后的数据、上行/下行方向指示位、用户网络接口号和数据抽样规则编号,查询抽样数据配置表;
当在抽样数据配置表中查询到匹配的表项时,根据匹配的表项,获取访问控制表的查询地址,查询访问控制表,并根据用户网络接口号和VLAN ID,查询VLAN转换配置表;
分别从访问控制表和VLAN转换配置表中获取数据包处理方式,当从访问控制表获取的数据包处理方式和从VLAN转换配置表获取的数据包处理方式同时有效时,优先选择从访问控制表获取的数据包处理方式,并在数据包处理方式为普通转发时,从所述访问控制表和VLAN转换配置表中获取对应的VLAN域转换方式。
本实施例中,不论是在上行方向还是在下行方向,都为每个用户网络接口设置数据包抽样使能位,只有相应方向的用户网络接口抽样使能位使能的时候,才对数据包头进行抽样。通过读取相应方向的用户网络接口配置寄存器,获得该数据包是否需要进行数据抽样,如果用户网络接口数据抽样位使能,则对128字节包头数据进行抽样操作。数据抽样方法通过抽样规则定义,可以配置每个用户网络接口使用的数据抽样规则编号。由于抽样规则比较多,为了区分不同抽样规则,定义了抽样规则索引配置表和抽样规则配置表。抽样规则索引配置表保存在一个RAM存储器中,在抽样规则索引配置表里定义每个用户网络接口使用的数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式,抽样规则索引配置表分为上行方向抽样规则索引配置表和下行方向抽样规则索引配置表,上行方向查上行方向抽样规则索引配置表,下行方向查下行方向抽样规则索引配置表。抽样规则配置表也保存在一个RAM存储器中,每个表项里存储不同的抽样规则,每个抽样规则的存储地址就是它的编号。
一个抽样规则可以定义多个数据抽样点,给出每个数据抽样点距离包头起始位的偏移距离和抽样掩码,偏移距离以字节为单位,从每个抽样点开始连续抽样N×8比特数据,N为大于零的整常数,抽样数据和对应的N×8比特抽样掩码进行“与”逻辑运算,得到实际抽样数据。抽样数据配置表保存在RAM存储器中,一个表项占用一个存储单元,通过CPU为每一个表项配置抽样规则编号、上行/下行方向指示位、用户网络接口号、和相应的抽样数据,每个抽样数据配置表的表项对应一个访问控制表(Access Control List)的表项,两者之间是一一对应的关系。完成包头数据抽样之后,利用上行/下行方向指示位、用户网络接口号、抽样规则编号和实际抽样数据,查询抽样数据配置表,如果查表得到的数据与实际的上行/下行方向指示位、用户网络接口号、抽样规则编号和抽样数据匹配,就说抽样数据配置表匹配成功,否则就说抽样数据配置表匹配失败。
访问控制表保存在一个存储器RAM中,如果抽样数据配置表匹配成功,就利用抽样数据配置表中各表项和访问控制表中各表项的一一对应关系,得到访问控制表的访问地址,进一步得到对应的访问控制表的表项,通过访问控制表的表项,得到VLAN域转换结果和数据包处理方式。同时,还需要查询VLAN转换配置表来获得数据包处理方式和VLAN域转换方式。VLAN转换配置表也保存在随机存储器RAM中,通过CPU配置VLAN转换配置表,每个存储单元保存有用户网络接口号、数据包的原始外层VLAN ID、原始内层VLAN ID、相应条件都匹配的VLAN域转换方式和数据包处理方式。利用用户网络接口号、数据包的原始外层VLAN ID和原始内层VLAN ID查询VLAN转换配置表,如果匹配成功,得到对应的VLAN域转换方式和包处理方式,利用VLAN域转换方式就可以得到新的VLAN域转换结果。通过访问控制表和VLAN转换配置表都能得到数据包处理方式,当访问控制表得到的数据包处理方式和VLAN转换配置表得到的数据包处理方式同时有效时,优先选择访问控制表获得的数据包处理方式。例如,如果通过访问控制表得到的数据包处理方式是数据丢弃,通过VLAN转换配置表得到的数据包处理方式是普通转发,则最终的数据包处理方式是数据丢弃。此外,VLAN转换配置表还可包括外层标记协议控制域TPID的优先级PCP,在查询VLAN转换配置表时,也可利用用户网络接口号、VLAN ID和PCP来查询。VLAN转换配置表还可配置为与PCP数据无关的查询方式,这样在查询VLAN转换配置表时,只需要利用用户网络接口号和VLAN ID来查询,不需要关心PCP的值。
本实施例对数据包的包头数据进行抽样,利用报文的二层、三层或四层的任意特征属性或特征属性的组合,和预先设置的抽样数据配置表进行匹配,根据匹配的结果查询访问控制表,得到虚拟局域网域VLAN域映射转换结果以及数据包的处理方式,同时根据用户网络接口号、数据包的原始外层VLAN ID、原始内层VLAN ID也能得到VLAN域转换结果和数据包处理方式,它能够灵活方便地实现访问控制,芯片占用面积小,芯片生产成本低,具有高效和功耗低的特点。
本发明实施例中,查询模块40具体还用于:
当在抽样数据配置表中没有查询到匹配的表项时,将数据包缺省处理方式作为所述数据包处理方式,并在所述数据包处理方式为普通转发时,根据用户网络接口号和VLAN ID,查询VLAN转换配置表,获得对应的VLAN域转换方式。
在本实施例的抽样规则索引配置表中,也定义了实际抽样数据查询抽样数据配置表没有匹配的时候,数据包的缺省处理方式。当抽样数据配置表匹配失败时,就采用相应抽样规则查询失败对应的数据包缺省处理方式。当数据包处理方式为普通转发时,通过查询VLAN转换配置表来获得VLAN域转换方式。本实施例在抽样数据配置表匹配失败时,采用数据包缺省处理方式处理数据包,并根据包头数据的VLAN域,查找VLAN转换配置表,得到虚拟局域网域VLAN域映射转换结果,能够灵活方便地实现1:1、N:1和1:N的上/下行方向用户网络接口之间四种类型VLAN域映射,实现简单方便,芯片占用面积小,芯片生产成本低,具有高效和功耗低的特点。
本发明实施例中,查询模块40具体还用于:
当用户网络接口的数据抽样不使能时,根据用户网络接口号和VLANID,查询VLAN转换配置表,获得数据包处理方式,并在数据包处理方式为普通转发时,从VLAN转换配置表中获取对应的VLAN域转换方式。
本实施例中,当数据包到达并获得包头数据后,通过读取用户网络接口配置寄存器,获知该数据包是否需要进行数据抽样,如果用户网络接口数据抽样位不使能,则不对128字节包头数据进行抽样操作,直接查询VLAN转换配置表,获得VLAN域转换方式和数据包处理方式,实现简单方便,芯片占用面积小,芯片生产成本低,具有高效和功耗低的特点。
本发明实施例中,处理模块50具体用于:
当数据包处理方式为普通转发时,根据VLAN域转换方式对VLAN域进行转换,并转发数据包;
当数据包处理方式为透明转发时,直接转发数据包,无需对VLAN域进行转换;
当数据包处理方式为上交CPU时,上交数据包至CPU;
当数据包处理方式为数据丢弃时,丢弃数据包。
本实施例的数据包处理方式包括数据转发、数据丢弃和上交CPU;数据转发包括透明转发和普通转发。本实施例根据不同的数据包处理方式,处理数据包,实现方式简单,芯片占用面积小,有效提高效率,降低功耗。
本发明实施例中,处理模块50具体还用于:
当访问控制表的VLAN域转换方式获得的转换结果与VLAN转换配置表的VLAN域转换方式获得的转换结果同时有效时,优先选择访问控制表的VLAN域转换方式获得的转换结果。
本实施例中,当分别根据访问控制表和VLAN转换配置表的VLAN域转换方式获得的转换结果都有效时,为了灵活实现用户的各种需求,优先选择访问控制表的查询结果。例如:a)如果访问控制表得到的TPID有效指示位有效,就选择访问控制表得到的TPID,否则选择VLAN转换配置表得到的TPID;b)如果访问控制表得到的VLAN ID有效指示位有效,就选择访问控制表得到的VLAN ID,否则选择VLAN转换配置表得到的VLAN ID;c)如果访问控制表得到的PCP有效指示位有效,就选择访问控制表得到的PCP,否则选择VLAN转换配置表得到的PCP。
如图10所示,图10为本发明虚拟局域网域映射与访问控制的装置的第二实施例的结构示意图。本实施例以图9所示实施例为基础,在上行方向数据传输时,增加了学习模块60,用于当在上行方向时,将上行输入方向的用户网络接口号、数据包的源MAC地址、VLAN域转换后的外层VLAN ID学习到MAC地址表中。
本实施例在上行方向时,可从数据包的发送方直接获得数据包的源MAC地址。对数据包处理后,还需要将转换后的VLAN域信息和用户网络接口号更新到MAC地址表中,以便于在下行方向数据包传输时,读取相关数据,获得对应的用户网络接口号,有效提高效率。
本发明实施例中,在下行方向数据传输时,获取模块20还用于,当在下行方向时,根据数据包的目的MAC地址和外层VLAN ID,查询MAC地址表,获取下行输出方向的用户网络接口的用户网络接口号。
本实施例在下行方向时,可通过获取模块20获取数据包的目标MAC地址。由于数据传输方向为从PON专用接口向用户网络接口传输,无法从数据包的发送方直接获得用户网络接口号,因此需根据数据包的目的MAC地址和VLAN域信息,通过查询MAC地址表快速获取下行输出方向用户网络接口号。而对于上行方向的情况,可从数据包的发送方直接获得用户网络接口号,在此不作赘述。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (16)
1.一种虚拟局域网域映射与访问控制的方法,其特征在于,包括步骤:
步骤A,当在上行方向时,接收用户网络接口发送的数据包,当在下行方向时,接收PON专用接口发送的数据包;所述上行方向的数据传输方向为从所述用户网络接口向所述PON专用接口传输,所述下行方向的数据传输方向为从所述PON专用接口向所述用户网络接口传输;
步骤B,提取所述数据包的包头数据,对所述包头数据进行标记识别,获得所述数据包的虚拟局域网域标号VLAN ID,获取所述用户网络接口的用户网络接口号;
步骤C,根据所述用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;
步骤D,根据所述数据包处理方式对所述数据包进行处理,根据所述VLAN域转换方式对所述VLAN域进行转换。
2.根据权利要求1所述的虚拟局域网域映射与访问控制的方法,其特征在于,所述步骤C具体包括:
步骤C01,当所述用户网络接口的数据抽样使能时,根据所述用户网络接口号,查询抽样规则索引配置表,获得数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式,根据所述数据抽样规则编号查询抽样规则配置表,获得所述数据抽样规则编号对应的数据抽样规则;
步骤C02,根据所述数据抽样规则,对所述包头数据进行数据抽样;
步骤C03,根据所述抽样后的数据、上行/下行方向指示位、用户网络接口号和数据抽样规则编号,查询抽样数据配置表;
步骤C04,当在抽样数据配置表中查询到匹配的表项时,根据所述匹配的表项,获取访问控制表的查询地址,查询所述访问控制表,并根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表;
步骤C05,分别从所述访问控制表和VLAN转换配置表中获取数据包处理方式,当从所述访问控制表获取的数据包处理方式和从所述VLAN转换配置表获取的数据包处理方式同时有效时,优先选择从所述访问控制表获取的数据包处理方式,并在所述数据包处理方式为普通转发时,分别从所述访问控制表和VLAN转换配置表中获取对应的VLAN域转换方式。
3.根据权利要求2所述的虚拟局域网域映射与访问控制的方法,其特征在于,所述步骤C03之后还包括:
步骤C06,当在抽样数据配置表中没有查询到匹配的表项时,将所述数据包缺省处理方式作为所述数据包处理方式,并在所述数据包处理方式为普通转发时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得对应的VLAN域转换方式。
4.根据权利要求2所述的虚拟局域网域映射与访问控制的方法,其特征在于,所述步骤C具体还包括:
步骤C07,当所述用户网络接口的数据抽样不使能时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得数据包处理方式,并在所述数据包处理方式为普通转发时,从所述VLAN转换配置表中获取对应的VLAN域转换方式。
5.根据权利要求2至4任一项所述的虚拟局域网域映射与访问控制的方法,其特征在于,所述数据包处理方式包括数据转发、数据丢弃和上交CPU;所述数据转发包括透明转发和普通转发;
所述步骤D具体包括:
当所述数据包处理方式为普通转发时,根据所述VLAN域转换方式对所述VLAN域进行转换,并转发所述数据包;
当所述数据包处理方式为透明转发时,直接转发所述数据包,无需对所述VLAN域进行转换;
当所述数据包处理方式为上交CPU时,上交所述数据包至CPU;
当所述数据包处理方式为数据丢弃时,丢弃所述数据包。
6.根据权利要求5所述的虚拟局域网域映射与访问控制的方法,其特征在于,所述当所述数据包处理方式为普通转发时,根据所述VLAN域转换方式对所述VLAN域进行转换的步骤之后还包括:
当所述访问控制表的VLAN域转换方式获得的转换结果与所述VLAN转换配置表的VLAN域转换方式获得的转换结果同时有效时,优先选择所述访问控制表的VLAN域转换方式获得的转换结果。
7.根据权利要求1至4任一项所述的虚拟局域网域映射与访问控制的方法,其特征在于,当在上行方向时,所述步骤D之后还包括:
将所述用户网络接口号、数据包的源MAC地址、VLAN域转换后的外层VLAN ID学习到MAC地址表中。
8.根据权利要求7所述的虚拟局域网域映射与访问控制的方法,其特征在于,当在下行方向时,所述步骤B中获取所述用户网络接口的用户网络接口号的步骤具体包括:
根据所述数据包的目的MAC地址和外层VLAN ID,查询MAC地址表,获取所述用户网络接口的用户网络接口号。
9.一种虚拟局域网域映射与访问控制的装置,其特征在于,包括:
接收模块,用于当在上行方向时,接收用户网络接口发送的数据包,当在下行方向时,接收PON专用接口发送的数据包;所述上行方向的数据传输方向为从所述用户网络接口向所述PON专用接口传输,所述下行方向的数据传输方向为从所述PON专用接口向所述用户网络接口传输;
获取模块,用于提取所述数据包的包头数据;获取所述用户网络接口的用户网络接口号;
标记模块,用于对所述包头数据进行标记识别,获得所述数据包的虚拟局域网域标号VLAN ID;
查询模块,用于根据所述用户网络接口号和VLAN ID,查询访问控制表或VLAN转换配置表,获得VLAN域转换方式和数据包处理方式;
处理模块,用于根据所述数据包处理方式对所述数据包进行处理,根据所述VLAN域转换方式对所述VLAN域进行转换。
10.根据权利要求9所述的虚拟局域网域映射与访问控制的装置,其特征在于,所述查询模块具体用于:
当所述用户网络接口的数据抽样使能时,根据所述用户网络接口号,查询抽样规则索引配置表,获得数据抽样规则编号和在查询抽样数据配置表匹配表项失败时对应的数据包缺省处理方式;
根据所述数据抽样规则编号查询抽样规则配置表,获得所述数据抽样规则编号对应的数据抽样规则;
根据所述数据抽样规则,对所述包头数据进行数据抽样;
根据所述抽样后的数据、上行/下行方向指示位、用户网络接口号和数据抽样规则编号,查询抽样数据配置表;
当在抽样数据配置表中查询到匹配的表项时,根据所述匹配的表项,获取访问控制表的查询地址,查询所述访问控制表,并根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表;
分别从所述访问控制表和VLAN转换配置表中获取数据包处理方式,当从所述访问控制表获取的数据包处理方式和从所述VLAN转换配置表获取的数据包处理方式同时有效时,优先选择从所述访问控制表获取的数据包处理方式,并在所述数据包处理方式为普通转发时,分别从所述访问控制表和VLAN转换配置表中获取对应的VLAN域转换方式。
11.根据权利要求10所述的虚拟局域网域映射与访问控制的装置,其特征在于,所述查询模块具体还用于:
当在抽样数据配置表中没有查询到匹配的表项时,将所述数据包缺省处理方式作为所述数据包处理方式,并在所述数据包处理方式为普通转发时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得对应的VLAN域转换方式。
12.根据权利要求10所述的虚拟局域网域映射与访问控制的装置,其特征在于,所述查询模块具体还用于:
当所述用户网络接口的数据抽样不使能时,根据所述用户网络接口号和VLAN ID,查询VLAN转换配置表,获得数据包处理方式,并在所述数据包处理方式为普通转发时,从所述VLAN转换配置表中获取对应的VLAN域转换方式。
13.根据权利要求10至12任一项所述的虚拟局域网域映射与访问控制的装置,其特征在于,所述数据包处理方式包括数据转发、数据丢弃和上交CPU;所述数据转发包括透明转发和普通转发;
所述处理模块具体用于:
当所述数据包处理方式为普通转发时,根据所述VLAN域转换方式对所述VLAN域进行转换,并转发所述数据包;
当所述数据包处理方式为透明转发时,直接转发所述数据包,无需对所述VLAN域进行转换;
当所述数据包处理方式为上交CPU时,上交所述数据包至CPU;
当所述数据包处理方式为数据丢弃时,丢弃所述数据包。
14.根据权利要求13所述的虚拟局域网域映射与访问控制的装置,其特征在于,所述处理模块具体还用于:
当所述访问控制表的VLAN域转换方式获得的转换结果与所述VLAN转换配置表的VLAN域转换方式获得的转换结果同时有效时,优先选择所述访问控制表的VLAN域转换方式获得的转换结果。
15.根据权利要求9至12任一项所述的虚拟局域网域映射与访问控制的装置,其特征在于,还包括学习模块,用于当在上行方向时,将所述用户网络接口号、数据包的源MAC地址、VLAN域转换后的外层VLAN ID学习到MAC地址表中。
16.根据权利要求15所述的虚拟局域网域映射与访问控制的装置,其特征在于,所述获取模块还用于,当在下行方向时,根据所述数据包的目的MAC地址和外层VLAN ID,查询MAC地址表,获取所述用户网络接口的用户网络接口号。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310123395.XA CN104104571B (zh) | 2013-04-10 | 2013-04-10 | 实现虚拟局域网域映射与访问控制的方法和装置 |
| PCT/CN2013/088580 WO2014166267A1 (zh) | 2013-04-10 | 2013-12-05 | 实现虚拟局域网域映射与访问控制的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310123395.XA CN104104571B (zh) | 2013-04-10 | 2013-04-10 | 实现虚拟局域网域映射与访问控制的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104104571A true CN104104571A (zh) | 2014-10-15 |
| CN104104571B CN104104571B (zh) | 2018-12-07 |
Family
ID=51672387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310123395.XA Active CN104104571B (zh) | 2013-04-10 | 2013-04-10 | 实现虚拟局域网域映射与访问控制的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104104571B (zh) |
| WO (1) | WO2014166267A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530156A (zh) * | 2014-10-22 | 2016-04-27 | 深圳市中兴微电子技术有限公司 | 一种onu虚拟局域网标记处理装置和方法 |
| CN105656784A (zh) * | 2014-11-13 | 2016-06-08 | 中兴通讯股份有限公司 | 一种vlan转换规则的查找方法及装置 |
| CN111147326A (zh) * | 2019-12-19 | 2020-05-12 | 芯创智(北京)微电子有限公司 | 一种网络包处理器及对数据包的处理方法 |
| CN107770072B (zh) * | 2016-08-18 | 2021-01-08 | 阿里巴巴集团控股有限公司 | 一种发送和接收报文的方法和设备 |
| WO2024139367A1 (zh) * | 2022-12-29 | 2024-07-04 | 中兴通讯股份有限公司 | 虚拟专用局域网vpls业务报文转发方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| US20070230481A1 (en) * | 2006-03-31 | 2007-10-04 | Hiroki Ikeda | Passive optical network system for supporting virtual ethernet service and method for the same |
| CN101257452A (zh) * | 2008-04-16 | 2008-09-03 | 中兴通讯股份有限公司 | 一种以太无源光网络接入设备发送下行数据报文的方法 |
| CN101325531A (zh) * | 2008-07-26 | 2008-12-17 | 中兴通讯股份有限公司 | 一种虚拟局域网转发方法和系统 |
| CN101895427A (zh) * | 2010-07-23 | 2010-11-24 | 中兴通讯股份有限公司 | 一种基于流的虚拟局域网处理方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4585479B2 (ja) * | 2006-03-30 | 2010-11-24 | 株式会社東芝 | サーバ装置および映像配信方法 |
| CN101119246B (zh) * | 2007-09-20 | 2010-08-18 | 杭州华三通信技术有限公司 | 数据包抽样统计的方法及装置 |
-
2013
- 2013-04-10 CN CN201310123395.XA patent/CN104104571B/zh active Active
- 2013-12-05 WO PCT/CN2013/088580 patent/WO2014166267A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070230481A1 (en) * | 2006-03-31 | 2007-10-04 | Hiroki Ikeda | Passive optical network system for supporting virtual ethernet service and method for the same |
| CN101022394A (zh) * | 2007-04-06 | 2007-08-22 | 杭州华为三康技术有限公司 | 一种实现虚拟局域网聚合的方法及汇聚交换机 |
| CN101257452A (zh) * | 2008-04-16 | 2008-09-03 | 中兴通讯股份有限公司 | 一种以太无源光网络接入设备发送下行数据报文的方法 |
| CN101325531A (zh) * | 2008-07-26 | 2008-12-17 | 中兴通讯股份有限公司 | 一种虚拟局域网转发方法和系统 |
| CN101895427A (zh) * | 2010-07-23 | 2010-11-24 | 中兴通讯股份有限公司 | 一种基于流的虚拟局域网处理方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530156A (zh) * | 2014-10-22 | 2016-04-27 | 深圳市中兴微电子技术有限公司 | 一种onu虚拟局域网标记处理装置和方法 |
| WO2016062035A1 (zh) * | 2014-10-22 | 2016-04-28 | 深圳市中兴微电子技术有限公司 | Onu虚拟局域网标记处理装置、方法及计算机存储介质 |
| CN105656784A (zh) * | 2014-11-13 | 2016-06-08 | 中兴通讯股份有限公司 | 一种vlan转换规则的查找方法及装置 |
| CN107770072B (zh) * | 2016-08-18 | 2021-01-08 | 阿里巴巴集团控股有限公司 | 一种发送和接收报文的方法和设备 |
| CN111147326A (zh) * | 2019-12-19 | 2020-05-12 | 芯创智(北京)微电子有限公司 | 一种网络包处理器及对数据包的处理方法 |
| WO2024139367A1 (zh) * | 2022-12-29 | 2024-07-04 | 中兴通讯股份有限公司 | 虚拟专用局域网vpls业务报文转发方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104104571B (zh) | 2018-12-07 |
| WO2014166267A1 (zh) | 2014-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104104571A (zh) | 实现虚拟局域网域映射与访问控制的方法和装置 | |
| CN101820392B (zh) | 一种实现多业务转发的方法和网络处理器 | |
| CN102238083B (zh) | 用于适配分组处理流水线的系统和方法 | |
| US5978378A (en) | Method and apparatus for VLAN support | |
| WO2015062529A1 (en) | Packet forwarding in data center network | |
| CN105830406A (zh) | 用于支持软件定义网络中的灵活查找关键字的方法、设备和系统 | |
| US20090201943A1 (en) | Method for transferring test messages and network element device | |
| EP1705840A1 (en) | User mac frame transfer method, edge transfer device, and program | |
| WO2017181757A1 (zh) | 报文转发方法及装置 | |
| CN103475559B (zh) | 一种根据报文内容对报文进行处理并转发的方法和系统 | |
| CN106416148A (zh) | 网络控制方法、网络系统、装置和程序 | |
| CN102857428A (zh) | 一种基于访问控制列表的报文转发方法和设备 | |
| CN107968749A (zh) | 实现QinQ路由终结的方法、交换芯片及交换机 | |
| CN106533943A (zh) | 基于网络交换芯片的微码和流表的实现方法 | |
| RU2517695C2 (ru) | Устройство и способ для обеспечения доступа путём сквозной эмуляции псевдопровода | |
| CN102857400B (zh) | 一种二层虚拟专用网中广播域的建立方法及装置 | |
| CN102325087B (zh) | 实现Vlan QinQ的方法及系统 | |
| CN102045607B (zh) | 一种EPON系统中增强QoS和VLAN处理能力的方法 | |
| CN110166361B (zh) | 一种报文转发方法及装置 | |
| CN103200126B (zh) | Xg-pon系统流量管理装置及方法 | |
| CN103457824A (zh) | 报文处理方法及装置 | |
| CN103795633B (zh) | 一种二层转发方法及转发设备 | |
| CA2590613C (en) | Method and system for forwarding an mpls packet | |
| CN105515995A (zh) | 报文处理方法、流表生成方法及装置 | |
| CN104202229A (zh) | 一种无源光网络olt设备qinq报文处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221028 Address after: 518000 Zhongxing Industrial Park, Liuxian Avenue, Xili Street, Nanshan District, Shenzhen, Guangdong Patentee after: SANECHIPS TECHNOLOGY Co.,Ltd. Address before: 518057 Ministry of justice, Zhongxing building, South Science and technology road, Nanshan District hi tech Industrial Park, Shenzhen, Guangdong Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right |