WO2015158113A1

WO2015158113A1 - 跨虚拟局域网的报文转发方法、装置及系统

Info

Publication number: WO2015158113A1
Application number: PCT/CN2014/087475
Authority: WO
Inventors: 魏巍
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-04-16
Filing date: 2014-09-25
Publication date: 2015-10-22
Also published as: CN105024901A

Abstract

本发明公开了一种跨虚拟局域网的报文转发方法、装置及系统，其中，该系统包括：一个或多个虚拟桥、一个或多个转发VLAN及多个外部VLAN；其中，每个虚拟桥配置有一个转发VLAN和多个外部VLAN，同一个虚拟桥中的多个外部VLAN之间能够进行跨VLAN二层转发，且每个转发VLAN只属于一个虚拟桥，每个外部VLAN也只属于一个虚拟桥。

Description

跨虚拟局域网的报文转发方法、装置及系统

技术领域

本发明涉及数据通信领域，具体而言，涉及一种跨虚拟局域网的报文转发方法、装置及系统。

背景技术

目前针对跨虚拟局域网(Virtual Local Area Network，VLAN)二层转发的实现技术主要包括：配置trunk permit、SUPERVLAN、及通过IGMP Snooping协议实现等。其他厂商如通过配置trunk permit实现跨VLAN二层转发，主要是针对一对VLAN之间的报文转发，每对VLAN之间都需要配置，配置复杂，并且，一旦组网发生变化，需要重新进行大量的配置。

针对相关技术中跨VLAN二层转发存在的配置复杂的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中跨VLAN二层转发存在的配置复杂的问题，本发明提供了一种跨VLAN的报文转发方法、装置及系统，以至少解决上述问题。

根据本发明的一个方面，提供了一种跨虚拟局域网VLAN的报文转发系统，包括：一个或多个虚拟桥、一个或多个转发VLAN及多个外部VLAN；其中，每个所述虚拟桥配置有一个转发VLAN和多个外部VLAN，同一个所述虚拟桥中的多个所述外部VLAN之间能够进行跨VLAN二层转发，且每个所述转发VLAN只属于一个所述虚拟桥，每个所述外部VLAN也只属于一个所述虚拟桥。

优选地，所述系统包括多个所述虚拟桥时，多个所述虚拟桥之间不能通信。

优选地，所述虚拟桥包括：接收模块，设置为接收所述虚拟桥的第一外部VLAN发送的数据报文；修改模块，设置为将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的所述转发VLAN的VLAN TAG；转发模块，设置为在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。

优选地，所述虚拟桥还包括：判断模块，设置为判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。

根据本发明的另一个方面，还提供了一种跨虚拟局域网VLAN的报文转发装置，位于虚拟桥，包括：接收模块，设置为接收所述虚拟桥的第一外部VLAN发送的数据报文；修改模块，设置为将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG；转发模块，设置为在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。

优选地，所述装置还包括：断模块，设置为判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。

根据本发明的又一个方面，提供了一种跨虚拟局域网VLAN的转发方法，应用于上述的系统，所述方法包括：虚拟桥接收其第一外部VLAN发送的数据报文；所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG；在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。

优选地，虚拟桥接收其第一外部VLAN发送的数据报文之后，所述方法还包括：判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。

优选地，所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG之后，所述方法还包括：所述虚拟桥判断是否需要进行媒体介入控制层MAC地址学习，如果是，则进行MAC地址学习。

优选地，在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，包括：查询所述虚拟桥的地址解析协议ARP表项，查找所述数据报文的出接口；如果找到所述出接口，则将查找到的所述出接口作为所述数据报文的出接口；否则，查询所述虚拟桥配置，分别将所述虚拟桥的所有外部VLAN对应的出接口作为所述数据报文的出接口。

通过本发明，将需要进行通信的VLAN设置为同一虚拟桥的外部VLAN，配置方法简单，并且，在组网发生变化时，也能很方便的重新配置，解决了相关技术中跨VLAN二层转发存在的配置复杂的问题，满足了防火墙在透明模式下的跨VLAN二层转发需求。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的跨VLAN的报文转发系统的结构示意图；

图2是根据本发明实施例的一个实例的报文转发系统的结构示意图；

图3是根据本发明实施例的跨VLAN的报文转发装置结构示意图；

图4是根据本发明实施例的跨VLAN的报文转发方法的流程图；

图5是根据本发明实施例的一种可选实施方式的跨VLAN的报文转发方法的流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

针对防火墙透明模式的跨VLAN二层转发，本发明实施例提供了一种解决方案，即通过虚拟桥来实现跨VLAN的二层转发。

根据本发明实施例，提供了一种跨VLAN的报文转发系统，该系统可以设置在虚拟桥中执行跨VLAN的二层转发。

图1为根据本发明实施例的跨VLAN的报文转发系统的结构示意图，如图1所示，该系统一个或多个虚拟桥10(图中示出2个)、一个或多个转发VLAN 20(图中示出 2个)及多个外部VLAN 30(图中示出了5个)；其中，每个所述虚拟桥10配置有一个转发VLAN 20和多个外部VLAN 30，同一个所述虚拟桥10中的多个所述外部VLAN 30之间能够进行跨VLAN二层转发，且每个所述转发VLAN 20只属于一个所述虚拟桥10，每个所述外部VLAN 30也只属于一个所述虚拟桥10。

在本发明实施例中，防火墙可配置多个虚拟桥10，每个虚拟桥10只可以配置一个转发VLAN 20，但可以添加多个外部VLAN 30，同一个虚拟桥10中的外部VLAN 30可以进行跨VLAN二层转发。每个转发VLAN 20只可以属于一个虚拟桥10，每个外部VLAN 30也只可以属于一个虚拟桥10。通过这种方式，可以很方便的实现跨VLAN二层转发。

在本发明实施例中，如果该系统中包括多个虚拟桥，则不同虚拟桥的外部VLAN30不可进行跨VLAN二层转发。与现有技术相比较，不同的虚拟桥的外部VLAN 30之间不能进行跨VLAN二层转发，很好做到了VLAN隔离。

在本发明实施例的上述系统中，虚拟桥主要是解决防火墙透明模式下跨VLAN转发的二层流量，数据流在进入虚拟桥时有不同的VLAN TAG，但是进入虚拟桥后，均替换成虚拟桥自己本地VLAN的VLAN TAG，然后按照普通二层流量在虚拟桥本地VLAN中转发，当流量离开虚拟桥时，再根据出接口将VLAN TAG替换成对应的VLAN。防火墙上可建立多个虚拟桥，多个虚拟桥之间的不能通信。通过配置多个虚拟桥，既实现了跨VLAN的报文转发，又能实现VLAN隔离。在具体实施过程中，虚拟桥可以包括如图3所示的跨VLAN的报文转发装置，具体将下面进行介绍。

为了进一步理解，下面通过一个具体的实例来说明本发明实施例所提供的系统。如图2所示，在该实例中，系统共有三个虚拟桥vbrige 1，vbridge 2和vbridge 3，其中外部vlan1、vlan 2、vlan 3属于vbrige 1，其本地vlan为vlan 10，外部vlan4、vlan 5、vlan 6属于vbrige 2，其本地vlan为vlan 20，外部vlan7、vlan 8、vlan 9属于vbrige 3，其本地vlan为vlan 30。其中每个vbridge的外部vlan中的节点位于同一子网，可以互相通信，不同vbridge的外部vlan中的节点不在同一子网，不能互相通信。

具体配置如下：

ZXR10(config)#vbridge 1

ZXR10(config-vbridge)#native-vlan 10

ZXR10(config-vbridge)#forward-vlan 1-3

ZXR10(config-vbridge)#ex

ZXR10(config)#vbridge 2

ZXR10(config-vbridge)#native-vlan 20

ZXR10(config-vbridge)#forward-vlan 4-6

ZXR10(config-vbridge)#ex

ZXR10(config)#vbridge 3

ZXR10(config-vbridge)#native-vlan 30

ZXR10(config-vbridge)#forward-vlan 7-9

ZXR10(config-vbridge)#ex

通过本发明实施例提供的跨虚拟局域网VLAN的报文转发系统，配置简单，既实现了跨VLAN的二层转发，又可对不同VLAN进行隔离，满足了防火墙在透明模式下的各种需求。

图3是根据本发明实施例的跨VLAN的报文转发装置，该装置可以位于上述系统的虚拟桥10中。

如图3所示，根据本发明实施例的跨VLAN的报文转发装置主要包括：接收模块110，设置为接收虚拟桥的第一外部VLAN发送的数据报文；修改模块120，设置为将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG；转发模块130，设置为在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。

在本发明实施例的一个可选实施方式中，如图3所示，所述装置还可以包括：判断模块140，设置为判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。

通过本发明实施例提供的上述装置，可以实现防火墙透明模式下跨VLAN二层流量转发，且方便配置。

根据本发明实施例，还提供了一种跨虚拟局域网VLAN的转发方法，该方法可以通过上述系统或装置实现。

图4为根据本发明实施例的跨VLAN的报文转发方法的流程图，如图4所示，所述方法主要包括以下步骤：

步骤S402，虚拟桥接收其第一外部VLAN发送的数据报文；

步骤S404，虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG；

在该步骤中，在接收到数据报文后，虚拟桥还可以进一步判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。

步骤S406，在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。

在本发明实施例的一个可选实施方式中，在所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG之后，所述虚拟桥还可以判断是否需要进行媒体介入控制层MAC地址学习，如果是，则进行MAC地址学习。从而可以方便后续的数据报文转发。

在本发明实施例一个可选实施方式中，在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文时，可以查询所述虚拟桥的配置表项，查找所述数据报文的出接口；如果找到所述出接口，则将查找到的所述出接口作为所述数据报文的出接口；否则，查询所述虚拟桥配置，分别将所述虚拟桥的所有外部VLAN对应的出接口作为所述数据报文的出接口，即将数据报文在本虚拟桥的所有外部VLAN进行广播。

图5为本发明实施例的一个可选实施方案中，虚拟桥进行数据报文转发的流程图，如图5所示，主要包括以下步骤：

步骤S501，虚拟桥收到数据报文。

步骤S502，判断数据报文是否为untag报文，如果是，则执行步骤S503，否则，执行步骤S504。

步骤S503，根据入接口为报文添加tag标签，即添加与入接口对应的外部VLAN的VLAN TAG。

步骤S504，查询虚拟桥配置，将数据报文的外部vlan的VLAN TAG替换为转发vlan的VLAN TAG。

步骤S505，判断是否需要进行MAC地址学习，如果是，则执行步骤S506，否则执行步骤S507。

步骤S506，进行MAC地址学习。步骤S507，查询虚拟桥的地址解析协议(Address Resolution Protocol，ARP)表项，判断是否能够找到数据报文的出接口，如果能，则执行步骤S508，否则，执行步骤S510。

步骤S508，将数据报文的转发vlan标签替换为出接口所属的vlan的vlan tag。

步骤S509，转发报文，结束。

步骤S510，查询虚拟桥配置，将数据报文在本虚拟桥的所有外部vlan内广播。

步骤S511，查询虚拟桥配置，依次将数据报文中的转发vlan标签替换为对应的外部vlan标签。

步骤S512，依次转发数据报文，结束。

从以上的描述中，可以看出，采用本发明实施例提供的技术方案，通过配置一个或多个虚拟桥，既实现了跨VLAN的报文转发，又能实现VLAN隔离。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

如上所述，通过上述实施例及优选实施方式，解决了相关技术中跨VLAN二层转发存在的配置复杂的问题，满足了防火墙在透明模式下的跨VLAN二层转发需求。

Claims

一种跨虚拟局域网VLAN的报文转发系统，包括：一个或多个虚拟桥、一个或多个转发VLAN及多个外部VLAN；其中，每个所述虚拟桥配置有一个转发VLAN和多个外部VLAN，同一个所述虚拟桥中的多个所述外部VLAN之间能够进行跨VLAN二层转发，且每个所述转发VLAN只属于一个所述虚拟桥，每个所述外部VLAN也只属于一个所述虚拟桥。
根据权利要求1所述的系统，其中，所述系统包括多个所述虚拟桥时，多个所述虚拟桥之间不能通信。
根据权利要求1或2所述的系统，其中，所述虚拟桥包括：

接收模块，设置为接收所述虚拟桥的第一外部VLAN发送的数据报文；

修改模块，设置为将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的所述转发VLAN的VLAN TAG；

转发模块，设置为在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。
根据权利要求3所述的系统，其中，所述虚拟桥还包括：

判断模块，设置为判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。
一种跨虚拟局域网VLAN的报文转发装置，位于虚拟桥，包括：

接收模块，设置为接收所述虚拟桥的第一外部VLAN发送的数据报文；

修改模块，设置为将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG；

转发模块，设置为在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。
根据权利要求5所述的装置，其中，所述装置还包括：

判断模块，设置为判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。
一种跨虚拟局域网VLAN的转发方法，应设置为权利要求1至4中任一项所述的系统，所述方法包括：

虚拟桥接收其第一外部VLAN发送的数据报文；

所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG；

在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，并所述数据报文离开所述虚拟桥时，根据出接口对应的所述虚拟桥的第二外部VLAN，将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG，然后从所述出接口转发。
根据权利要求7所述的方法，其中，虚拟桥接收其第一外部VLAN发送的数据报文之后，所述方法还包括：

判断接收到的所述数据报文是否为非TAG报文，如果是，则根据所述数据报文的入接口，为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。
根据权利要求7所述的方法，其中，所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG之后，所述方法还包括：

所述虚拟桥判断是否需要进行媒体介入控制层MAC地址学习，如果是，则进行MAC地址学习。
根据权利要求7至9中任一项所述的方法，其中，在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文，包括：

查询所述虚拟桥的地址解析协议ARP表项，查找所述数据报文的出接口；

如果找到所述出接口，则将查找到的所述出接口作为所述数据报文的出接口；否则，

查询所述虚拟桥配置，分别将所述虚拟桥的所有外部VLAN对应的出接口作为所述数据报文的出接口。