CN1838633A - 一种增强型vpn网络优化的方法及设备 - Google Patents
一种增强型vpn网络优化的方法及设备 Download PDFInfo
- Publication number
- CN1838633A CN1838633A CNA2005100564166A CN200510056416A CN1838633A CN 1838633 A CN1838633 A CN 1838633A CN A2005100564166 A CNA2005100564166 A CN A2005100564166A CN 200510056416 A CN200510056416 A CN 200510056416A CN 1838633 A CN1838633 A CN 1838633A
- Authority
- CN
- China
- Prior art keywords
- vpn
- vlan label
- user
- network
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种增强型VPN网络优化的方法,用于使得私网的VLAN从公网透传到需要连接的其他私网,该方法包括如下步骤:(1)在所述网络设备入端口,根据入物理端口将用户数据帧上的VLAN标签映射成VPN ID;(2)将经上述处理后的用户数据帧在运营商网络内部进行转发;(3)在所述网络设备出端口,根据出物理端口将携带有VPN ID的数据帧映射成携带用户VLAN标签的数据帧并进行转发。本发明可以实现4K*4K个VPN;可以做到将一个VPN内部的用户业务种类标记采用两层VLAN标签来表示;而且,不需要采用具有MPLS功能的交换机,并可以只在一台设备上集中配置。
Description
技术领域
本发明涉及网络通信技术领域,具体地说,涉及一种增强型VPN(Virtual Private Network,虚拟租用专线)网络优化的方法及设备。
背景技术
在同一物理形态上的局域网可以分成多个VLAN(VirtualLocal Area Network,虚拟局域网),各VLAN之间不能直接访问,只能通过路由设备来访问,这样可以提高网络的安全性和可靠性。VPN(Virtual Private Networks,虚拟专网)技术是一种通过公众网络来传递私有网络的技术,通过这种技术可以把不同地点的私用网络连接起来,是一种廉价高效的方法。目前常用的二层VPN技术有V-switch技术(VLAN交换技术,使用VLAN标签交换进行转发的一种技术)、QinQ技术(两层IEEE802.1Q标签封装技术,亦即,在一个数据包上打两层VLAN标签,又称802.1Q隧道技术)以及基于MPLS(Multi-Protocol LabelSwitch,多协议标签交换技术)的VPN技术。
其中,V-switch技术是一种简单的VPN技术,其实现的基本原理是通过对入端口以太网数据帧的一层或两层VLAN标签直接进行交换成出端口的对应VLAN标签实现。具体地说,就是二层交换设备通过将从入端口进来的数据帧携带的属于某一特定VPN的一层或两层VLAN标签换成为同属该特定VPN的另一局域网的新的一层或两层VLAN标签后,然后从输出端口发出,进而实现将处于不同地域VLAN标签不同的各局域网组成一个大的VPN网络。
然而,采用V-switch实现VPN存在如下缺点:(1)只能实现点到点的VPN;(2)需要靠手工配置来实现运营商的多跳穿越,这样,当需要穿越运营商的多个设备时,那么需要在每个设备上都进行配置,不能做到在运营商网络入口处配置完后,进行自路由转发;(3)不对VPN用户业务进行最终交换,也就是说不进行VPN用户的MAC地址学习和MAC地址转发
QinQ技术是另一种简单的VPN技术,它采用的L2层技术,通过两层IEEE802.1Q标准的标签封装技术,即在使用的私网VLAN标签外再封装一个公网的VLAN标签,使得私网的VLAN能够从公网透传到需要连接的其它私网。由于它不需要额外的信令支持就能实现简单的VPN功能,能够把分散的几个地域的LAN(LocalArea Network,局域网)组成一个大的VPLS(Virtual PrivateLAN Service,虚拟专用局域网服务),因此非常简单方便。
然而,该技术只能使用一层VLAN标签来标识用户VPN,当需要两层VLAN标签来确定一个用户VPN的情况则无法支持,而在实际的网络应用中,有很多地方是需要使用两层VLAN来标志一个用户;另外,利用QinQ技术封装的二层VLAN标签,其中外层的VLAN标签由运营商提供代表VPN的标识,内层VLNA标签由用户提供代表每个VPN内部业务的种类。这样,一个VPN及其业务种类的配置就必须由运营商和企业网共同完成,而不能由一方集中完成。还有就是每个VLAN标签由12位比特的二进制来定义是全局的,如此,带来的问题是每个端口只能实现4096个VPN。
而基于MPLS的VPN技术则是采用MPLS标签实现的。用户业务的数据帧在CE(Consumer Edge,用户边缘设备)内部是以普通的以太网数据帧传输,在进入运营商的PE(Provider Edge,供应商边缘)设备后,PE根据用户的VLAN信息和目的MAC信息,查找转发表后得到一个双层的MPLS标签,根据这个双层MPLS标签再得到一个下一跳的目的MAC和VLAN信息,封装后从本设备的相应发送端口发出,发到对端的PE设备。如下表1显示用户正常数据帧,表2显示MPLS数据帧。
表1用户正常数据帧
表2MPLS数据帧
这个MPLS封装的数据包到了对端PE设备以后,PE设备将两层MPLS的标签去掉,并且从这两层MPLS标签的内层标签得到该VPN用户业务在该设备上的最终出端口信息,将用户VPN的二层以太网数据帧原封不动地从相应出物理端口发出。
然而,基于MPLS的VPN技术要求设备必须支持MPLS标签,这就对设备提出了更高的要求;另外,它要求用户同一VPN内部标示同一种业务的标记必须是全局统一的,无法做到在不同的地点(意味着设备的不同出口)、业务标志形式的VLAN数值不同,进而给VPN网络实现带来了困难;最后,由于VPN标志及VPN内部的业务标志分别由运营商和企业客户配置,同样无法由一方集中完成。
发明内容
本发明的目的即是克服上述各种现有技术中存在的缺陷和不足,提供一种新的增强型VPN网络优化的方法及其设备。
为此本发明提供一种增强型VPN网络优化的方法,用于使得私网的VLAN从公网透传到需要连接的其他私网,其中所述公网上至少包括有一个网络设备入端口及一个网络设备出端口,该方法包括如下步骤:
(1)在所述网络设备入端口,根据入物理端口将用户数据帧上的VLAN标签映射成VPN ID;
(2)将经上述处理后的用户数据帧在运营商网络内部进行转发;
(3)在所述网络设备出端口,根据出物理端口将携带有VPNID的数据帧映射成携带用户VLAN标签的数据帧并进行转发。
其中,步骤(1)中所述的映射方法具体包括:
(11)在网络设备的入端口,配置一张映射表,使得VPN ID与用户VLAN标签、端口号对应;
(12)网络设备的入端口,接收到携带有用户VLAN标签的数据帧后,对上述映射表进行查询;
(13)根据查询的结果,替换数据帧中携带的用户VLAN标签为VPN ID。
其中,步骤(3)中所述的映射方法具体包括:
(31)在网络设备的出端口,配置一张映射表,使得VPN ID、出端口号与该VPN用户使用的VLAN标签相对应;
(32)网络设备的出端口,接收到携带有VPN ID的数据帧后,对上述映射表进行查询;
(33)根据查询的结果,替换数据帧中携带的VPN ID为用户VLAN标签。
其中,所述的VPN ID为新的一层或两层VLAN标签;所述网络设备可以是交换机或路由器。
本发明还提供一种为实施上述方法所制成的设备,具备现有设备通用的CPU及商用转发芯片等构件,并在现有设备商用转发芯片前进一步设置一块转换模块,其中:
该模块在每个入物理端口,根据配置的用户VLAN标签与VPNID的映射表,将数据帧中携带的用户VLAN标签替换成新的VPN ID后,交给商用转发芯片转发;然后重新计算CRC后交给后面的商用ASIC进行后续转发;
该模块在相应出物理端口,根据配置的VPN ID标签与该VPN下用户的VLAN标签的映射关系表,将携带有VPN ID的数据帧重新生成携带用户VLAN标签的数据帧后,交给商用转发芯片转发。
其中,所述VPN ID可以为新的一层或两层VLAN标签;在经处理的数据帧交给商用转发芯片转发前,该转换模块还需重新计算CRC;所述设备可以是交换机,也可以是路由器。与现有的技术相比,由于本发明支持在二层数据帧中采用两层VLAN标签来表示VPN ID,因此本发明可以实现4K*4K个VPN,极大的拓展了VPN的数量,为VPN用户的数量增加作了较好的支持。同时,分别在入端口和出端口配置映射表的方法可以改变用户VLAN标签的数值,从而可以使得一个VPN内部的用户业务种类标记在不同物理端口(对应不同物理位置)有不同的表现形式,并可以实现只在一台设备上集中配置,因此简化了网络布署。最后,本发明提供的点到多点VPN的方法,不需要采用具有MPLS功能的交换机,在当前众多的中低端设备上即可应用,因而可以大大降低网络运营商的成本。
附图说明
附图是采用本发明的设备内部硬件结构原理图。
具体实施方式
为了更好地理解本发明,下面结合具体实施例对本发明做进一步的说明,当然,本具体实施例只是本发明的示范和典型,并不能对本发明所要求保护的范围构成限制。
本发明提供的增强型VPN网络优化的方法,其典型的实施步骤包括运营商网络入端口处理、运营商网络内部转发和运营商网络出端口处理三个主要步骤。此处,以运营商为例是为了更好的结合实际情形来示范,这里的运营商网络可以是任何具有二层VPN功能的网络。同时此处网络运营商的入端口、出端口可以是在同一网络中不同网络设备上的物理端口,也可以是同一网络中同一网络设备上的不同物理端口,甚至可以是同一网络中同一网络设备上的同一物理端口,此处的网络设备一般为交换机或路由器。
首先,详细说明本发明中运营商网络入端口处理方法。
在运营商网络边缘与用户网络相连接的交换机的入物理端口方向,加入一张表来完成VPN用户的识别和VLAN标签的替换工作。这张表的输入是用户VPN数据帧的入端口和其携带的一层或两层VLAN标签,查表后的输出是代表VPN标志的运营商使用的另外一层或两层VLAN标签。需要说明的是,所述表可以是人工配置,也可以用其它方法实现,只要能实现上述逻辑映射功能即可。同时,如果被替换后的二层数据帧的VLAN标签为一层,那么支持4096个VPN;如果替换后的VLAN标签为两层,那么支持4K*4K个VPN。
表5是运营商入端口映射表一个示范例。
替换后的一层或两层VLAN标签代表VPN的VPN ID在运营商内部网络中必须是统一的,此处所指的VPN ID是一种逻辑概念,比如在表5中,入物理端口1的用户双VLAN标签被映射成代表VPN标志的301、302,301+302共同组成了VPN ID,假设为VPN1,可以得知,入物理端口3的双VLAN标签也被映射成了301+302的VPN1,因此在表5中,入物理端口1和3代表的用户属于同一个VPN用户。而替换前的VLAN标签由于是根据具体入端口配置来的,有多个不同端口的VLAN标签映射成一个相同VPN ID的情况。
然后,进行运营商网络内部的转发。在运营商网络内部的转发过程中,按照转换后的VLAN标志进行自学习转发,直到转发到运营商网络出口,这个过程和普通运营商提供的二层VPN内部的转发过程没有什么区别,此处不再赘述。
下面,详细描述运营商出端口处理方法。
在运营商双VLAN标签VPN交换机的出口方向,加入一张表来完成运营商使用的VPN标志与用户使用的VLAN标志的转换。这张表的输入是代表VPN ID标志的一层或两层VLAN标签,输出是该VPN在该输出端口的用户表现形式VLAN标签(一层或两层)。
表6是运营商出端口映射表的一个示范例。
输出方向的这张表也是按照具体出端口配置的,也就是说一个相同的VPN ID,在不同的物理输出端口,翻译后的两层用户VLAN标签可以不同。
需要说明的是,本发明提供的技术方案可以支持带有一层或两层VLAN标签的数据帧,如果在上述运营商网络入端口表替换后的标签只有一层,并且随后只是按照该层标签进行MAC地址学习和转发,那么只能支持4096个VPN,这是目前市场上的所有芯片都可以支持的。但如果在入端口表替换后的标签有两层,并且随后按照两层标签进行MAC地址学习和转发,那么就可以支持4096*4096个VPN,这就对运营商网络和用户网络相连的设备的转发芯片功能提出了更高的要求。这是一般普通网络数据交换设备,特别是具有商用L2/L3转发芯片的交换机所不能支持的。
为此,本发明提供一种专用于实施本发明提供的方法的设备。下面结合附图详细介绍实现本发明采用双VLAN标签提供点到多点二层VPN的方法的设备的内部构成原理。
目前的商用L2/L3层交换机转发芯片都支持基于VLAN的转发,因此如附图所示,本发明在转发芯片前面附加了一个转换模块,即可实现对带有双VLAN标签用户数据帧转发的支持,此处的转换模块可以用硬件也可以用软件的方法实现。
该模块实现的具体功能描述如下:在交换机每个物理端口入口方向,根据CPU配置的两层VLAN标签到一层(或两层)VLAN标签的映射表,映射成代表二层VPN ID的新VLAN,然后重新计算CRC后交给后面的商用ASIC进行后续转发;在每个GE(千兆以太网)的出口,再根据代表二层VPN ID的新VLAN标签,根据CPU配置在各个端口的映射表,重新生成两层标签,然后重新计算CRC后发出。
转换模块中的FPGA(Field program gate array,现场可编程门阵列)做简单的工作(映射和CRC),其成本较低。并且表格是配置在每个物理端口上的,所以FPGA可以根据需要只完成支持双VLAN标签VPN端口的入/出转换工作,而不是必须在所有端口上都实现。
综上所述,采用本发明提供的方法及设备,在较低成本的情况下就可以增强现有二层VPN网络提供的功能,特别是可以处理带有双VLAN标签的二层以太网数据帧,能够实现4K*4K个VPN,同时网络配置方法也更为灵活、简便。
Claims (9)
1.一种增强型VPN网络优化的方法,用于使得私网的VLAN从公网透传到需要连接的其他私网,其中所述公网上至少包括有一个网络设备入端口及一个网络设备出端口,其特征在于,该方法包括如下步骤:
(1)在所述网络设备入端口,根据入物理端口将用户数据帧上的VLAN标签映射成VPN ID;
(2)将经上述处理后的用户数据帧在运营商网络内部进行转发;
(3)在所述网络设备出端口,根据出物理端口将携带有VPNID的数据帧映射成携带用户VLAN标签的数据帧并进行转发。
2.根据权利要求1所述的方法,其特征在于,步骤(1)中所述的映射方法具体包括:
(11)在网络设备的入端口,配置一张映射表,使得VPN ID与用户VLAN标签、端口号对应;
(12)网络设备的入端口,接收到携带有用户VLAN标签的数据帧后,对上述映射表进行查询;
(13)根据查询的结果,替换数据帧中携带的用户VLAN标签为VPN ID。
3.根据权利要求1所述的方法,其特征在于,步骤(3)中所述的映射方法具体包括:
(31)在网络设备的出端口,配置一张映射表,使得VPN ID、出端口号与该VPN用户使用的VLAN标签相对应;
(32)网络设备的出端口,接收到携带有VPN ID的数据帧后,对上述映射表进行查询;
(33)根据查询的结果,替换数据帧中携带的VPN ID为用户VLAN标签。
4、根据权利要求2或3所述的方法,其特征在于,所述的VPNID为新的一层或两层VLAN标签。
5、根据权利要求1至3中所述的任意一项方法,其特征在于,所述网络设备可以是交换机或路由器。
6、一种根据上述方法制成的设备,具备现有设备通用的CPU及商用转发芯片等构件,其特征在于:在现有设备商用转发芯片前进一步设置一块转换模块,其中:该模块在每个入物理端口,根据配置的用户VLAN标签与VPN ID的映射表,将数据帧中携带的用户VLAN标签替换成新的VPN ID后,交给商用转发芯片转发;然后重新计算CRC后交给后面的商用ASIC进行后续转发;
该模块在相应出物理端口,根据配置的VPN ID标签与该VPN下用户的VLAN标签的映射关系表,将携带有VPN ID的数据帧重新生成携带用户VLAN标签的数据帧后,交给商用转发芯片转发。
7、根据权利要求6所述的设备,其特征在于,所述VPN ID可以为新的一层或两层VLAN标签。
8、根据权利要求6或7所述的设备,其特征在于,在经处理的数据帧交给商用转发芯片转发前,该转换模块还需重新计算CRC。
9、根据权利要求6或7所述的设备,其特征在于,所述设备可以是交换机,也可以是路由器。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100564166A CN100446503C (zh) | 2005-03-22 | 2005-03-22 | 一种增强型vpn网络优化的方法及设备 |
| PCT/CN2005/002067 WO2006094440A1 (fr) | 2005-03-08 | 2005-12-01 | Procede et dispositif d’echange de reseau local virtuel |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100564166A CN100446503C (zh) | 2005-03-22 | 2005-03-22 | 一种增强型vpn网络优化的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1838633A true CN1838633A (zh) | 2006-09-27 |
| CN100446503C CN100446503C (zh) | 2008-12-24 |
Family
ID=37015890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100564166A Active CN100446503C (zh) | 2005-03-08 | 2005-03-22 | 一种增强型vpn网络优化的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100446503C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087236B (zh) * | 2007-08-09 | 2010-06-02 | 杭州华三通信技术有限公司 | Vpn接入方法和设备 |
| CN101588305B (zh) * | 2009-06-30 | 2012-02-08 | 杭州华三通信技术有限公司 | 一种携带多层标签的报文处理方法和交换机 |
| CN101345711B (zh) * | 2008-08-13 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 一种报文处理方法、防火墙设备及网络安全系统 |
| WO2016000627A1 (en) * | 2014-07-02 | 2016-01-07 | Hangzhou H3C Technologies Co., Ltd. | Message processing |
| WO2016127567A1 (zh) * | 2015-02-12 | 2016-08-18 | 中兴通讯股份有限公司 | 端到端业务的传输处理方法及装置 |
| CN107968749A (zh) * | 2017-11-21 | 2018-04-27 | 锐捷网络股份有限公司 | 实现QinQ路由终结的方法、交换芯片及交换机 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3570349B2 (ja) * | 2000-06-30 | 2004-09-29 | 日本電気株式会社 | ルーティング装置及びそれに用いる仮想私設網方式 |
| CN1125545C (zh) * | 2001-12-31 | 2003-10-22 | 刘军民 | 实现局域网虚通道传送的数据转发方法 |
| US6789121B2 (en) * | 2002-02-08 | 2004-09-07 | Nortel Networks Limited | Method of providing a virtual private network service through a shared network, and provider edge device for such network |
| CN100440848C (zh) * | 2002-02-28 | 2008-12-03 | 威盛电子股份有限公司 | 数据包传送方法及应用此方法的网络交换机 |
| CN1260916C (zh) * | 2002-11-21 | 2006-06-21 | 华为技术有限公司 | 一种在atm网络上实现虚拟专用网的方法 |
-
2005
- 2005-03-22 CN CNB2005100564166A patent/CN100446503C/zh active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087236B (zh) * | 2007-08-09 | 2010-06-02 | 杭州华三通信技术有限公司 | Vpn接入方法和设备 |
| CN101345711B (zh) * | 2008-08-13 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 一种报文处理方法、防火墙设备及网络安全系统 |
| CN101588305B (zh) * | 2009-06-30 | 2012-02-08 | 杭州华三通信技术有限公司 | 一种携带多层标签的报文处理方法和交换机 |
| WO2016000627A1 (en) * | 2014-07-02 | 2016-01-07 | Hangzhou H3C Technologies Co., Ltd. | Message processing |
| WO2016127567A1 (zh) * | 2015-02-12 | 2016-08-18 | 中兴通讯股份有限公司 | 端到端业务的传输处理方法及装置 |
| CN107968749A (zh) * | 2017-11-21 | 2018-04-27 | 锐捷网络股份有限公司 | 实现QinQ路由终结的方法、交换芯片及交换机 |
| CN107968749B (zh) * | 2017-11-21 | 2021-04-20 | 锐捷网络股份有限公司 | 实现QinQ路由终结的方法、交换芯片及交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100446503C (zh) | 2008-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1832443A (zh) | 一种简化vpn网络布署的方法 | |
| US9967371B2 (en) | Metro ethernet network with scaled broadcast and service instance domains | |
| US8867555B2 (en) | Method and system for transparent LAN services in a packet network | |
| CN100542122C (zh) | 一种vlan交换隧道的复用方法和vlan交换域 | |
| US7924880B2 (en) | Method and system for establishing hierarchical network with provider backbone bridges | |
| CN1913523A (zh) | 实现层级化虚拟私有交换业务的方法 | |
| CN1708963A (zh) | 多网桥lan聚合 | |
| CN1863133A (zh) | 报文转发方法及装置 | |
| CN101160902A (zh) | 数据转发方法及交换设备 | |
| CN1791065A (zh) | 一种接入虚拟局域网的方法 | |
| CN1866923A (zh) | 一种实现捆绑接口边到边伪线仿真服务的方法及系统 | |
| WO2008019614A1 (fr) | Procédé et système pour le transfert de données entre plusieurs réseaux ethernet de fournisseurs | |
| CN101047636A (zh) | 端到端伪线仿真虚拟租用线接入虚拟专用网的方法及系统 | |
| CN1838633A (zh) | 一种增强型vpn网络优化的方法及设备 | |
| CN103326918A (zh) | 一种报文转发方法和设备 | |
| CN1878115A (zh) | 一种虚拟专用网络的实现方法 | |
| CN100358322C (zh) | 多层虚拟局域网交换的方法 | |
| CN103227745A (zh) | 最短路径桥网和三层虚拟专网互通方法及公共边缘设备 | |
| CN1863127A (zh) | 将核心网接入多协议标记交换虚拟专用网的方法 | |
| CN1838629A (zh) | 一种利用QinQ技术实现虚拟交换的方法 | |
| CN1863148A (zh) | 穿越二层隧道网络实现vlan设备间交互bpdu报文的方法 | |
| CN1897596A (zh) | 在以太网应用中使用虚拟媒体访问控制地址的方法和系统 | |
| CN1852254A (zh) | 实现mpls报文转发的以太交换设备和方法 | |
| CN1816003A (zh) | 一种异种链路协议的通信方法及其设备 | |
| CN1538682A (zh) | 一种建立虚拟电路的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |