Nothing Special   »   [go: up one dir, main page]

CN100514929C - 一种虚拟专用局域网的报文转发方法及装置 - Google Patents

一种虚拟专用局域网的报文转发方法及装置 Download PDF

Info

Publication number
CN100514929C
CN100514929C CNB2006101599580A CN200610159958A CN100514929C CN 100514929 C CN100514929 C CN 100514929C CN B2006101599580 A CNB2006101599580 A CN B2006101599580A CN 200610159958 A CN200610159958 A CN 200610159958A CN 100514929 C CN100514929 C CN 100514929C
Authority
CN
China
Prior art keywords
message
user
interface
virtual switch
switch instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2006101599580A
Other languages
English (en)
Other versions
CN1921441A (zh
Inventor
滕新东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2006101599580A priority Critical patent/CN100514929C/zh
Publication of CN1921441A publication Critical patent/CN1921441A/zh
Priority to PCT/CN2007/070735 priority patent/WO2008037210A1/zh
Application granted granted Critical
Publication of CN100514929C publication Critical patent/CN100514929C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种虚拟专用局域网的报文转发方法及装置,该方法包括步骤:在虚拟专用局域网中设置报文转发装置,该报文转发装置包括至少一个共享虚拟交换实例;配置所述共享虚拟交换实例的成员,该共享虚拟交换实例的成员为所述虚拟专用局域网中的多个不同的虚拟交换实例;当所述虚拟专用局域网中的用户发送请求时,通过所述报文转发装置进行转发。本发明通过设置共享虚拟交换实例,并根据需要启动arp代理功能及创建三层逻辑接口来完成该虚拟专用局域网内的不同虚拟交换实例的用户访问外网或互相访问的目的,而不必在运营商边缘设备上创建过多的虚拟交换实例,从而简化了虚拟专用局域网的配置和管理,更方便了虚拟专用局域网内的用户访问外网及互相隔离或互相访问。

Description

一种虚拟专用局域网的报文转发方法及装置
技术领域
本发明涉及虚拟专用局域网,尤其涉及一种通过设置共享虚拟交换实例实现多个虚拟交换实例共享的虚拟专用局域网的报文转发方法及装置。
背景技术
虚拟专用局域网业务(VPLS,Virtual Private LAN Services)是一种二层虚拟专用网(VPN,Virtual Private Network)技术,它通过在多协议标签交换(MPLS,Multi Protocol Label Switching)网络上提供类似局域网(LAN,Local Area Network)业务的功能,可以使用户从多个地理位置分散的点同时接入网络,相互访问,就像这些点直接接入到局域网上一样。VPLS的作用就是一台虚拟的LAN交换机。
图1是VPLS的典型组网图,如图所示,CE(Custom Edge)设备所在接口加入VPLS VSI(虚拟交换实例,Virtual Switch Instance),PE(运营商边缘设备,Provider Edge)之间通过PW(伪连线,Pseudo Wire)互相连接,对客户形成一个仿真局域网,每个运营商边缘设备在虚拟交换实例内进行用户MAC地址学习(包括CE侧和PW侧),建立转发表项,使得加入相同虚拟交换实例的CE用户可以在二层进行互相访问。VPLS PW通常使用MPLS隧道,也可以使用其他任何隧道,如GRE、L2TPV3、TE等,其作用是完成以太网报文的透传。
这里还需对QinQ(一种两层标签技术,802.1Q-in-802.1Q)技术进行简单介绍。QinQ又称VLAN-Stack,是一种对以太网报文进行两层VLAN TAG封装的技术,其总的思想都是将用户私网VLAN TAG封装在公网VLANTAG中,报文带着两层TAG穿越服务商的骨干网络,在服务商的骨干网络边缘剥离公网VLAN TAG,恢复用户私网VLAN TAG,从而为用户提供一种较为简单的二层VLAN TAG隧道。
在实际应用中,个人或企业用户可以通过虚拟专用局域网接入到远端接入认证设备BRAS(Broadband Remote Access Server,宽带接入服务器),访问Internet网络。个人或企业用户内部可以通过虚拟专用局域网在同一个虚拟交换实例内部进行二层访问,用户内部还可以划分VLAN(虚拟局域网)进行隔离,但是,因为不同用户之间不能互通,因此需要划分到不同的虚拟交换实例进行管理;同时,所有的用户可以访问同一个宽带接入服务器设备,宽带接入服务器设备可以为用户分配不同网段的IP地址,用户根据该IP地址接入到宽带接入服务器并且访问Internet网络。
如图2所示,属于同一虚拟交换实例(图中存在两个虚拟交换实例:VSI1和VSI2)的用户可以通过虚拟专用局域网互访,需要通过宽带接入服务器上网时,则需要在运营商边缘设备(PE)和宽带接入服务器设备(BRAS)上创建VLAN子接口,不同的子接口需要分别加入VSI1和VSI2,当用户数据携带用户VLAN时,PE设备到BRAS设备的用户数据成为QinQ报文(携带两层标签),宽带接入服务器需要终结该QinQ报文。
因此,不同虚拟交换实例用户通过运营商边缘设备接入宽带接入服务器上网时,运营商边缘设备上要创建许多虚拟交换实例,并且运营商边缘设备与宽带接入服务器之间要创建许多子接口,不同子接口加入到不同虚拟交换实例,配置和管理都很复杂。
发明内容
本发明的主要目的就是通过在虚拟专用局域网的运营商边缘设备上设置共享虚拟交换实例(Super-VSI),实现多个虚拟交换实例与一个共享虚拟交换实例进行互通,减小虚拟专用局域网接入到三层网络的配置和管理的复杂度。另外通过共享虚拟交换实例,实现不同虚拟交换实例用户在二层隔离,但可以方便地实现三层互访。
本发明上述目的是这样实现的:
一种虚拟专用局域网的报文转发方法,包括步骤:在虚拟专用局域网中设置报文转发装置,该报文转发装置包括至少一个共享虚拟交换实例;配置所述共享虚拟交换实例的成员,该共享虚拟交换实例的成员为所述虚拟专用局域网中的多个不同的虚拟交换实例;当所述虚拟专用局域网中的用户经其所属的虚拟交换实例发送报文时,通过所述共享虚拟交换实例进行转发。
其中,当所述虚拟专用局域网中的用户请求认证上网时,包括步骤:所述报文转发装置接收到用户发送的接入请求报文,检查所述用户所属的虚拟交换实例是否是所述共享虚拟交换实例的成员;如果检查结果为是,则该报文转发装置在所述共享虚拟交换实例及其所有的成员中查找MAC转发表项,找到相应出接口发送所述请求报文。
其中,所述出接口为该报文转发装置与接入服务器相连的接口,所述请求报文通过该接口转发给该接入服务器连接上网。
其中,如果所述转发表项是首包或者转发表项未找到,则包括下列步骤:所述报文转发装置在所述共享虚拟交换实例及除发送报文的用户所属的虚拟交换实例外的所有成员虚拟交换实例对应的接口内发送所述请求报文,同时进行MAC地址学习。
此外,本发明的方法还包括下列步骤:在报文转发装置上设置至少一个与共享虚拟交换实例相关的三层逻辑接口,并配置与成员虚拟交换实例的用户的IP地址属于同一网段的IP地址及配置MAC地址。
其中,当所述虚拟专用局域网中的用户请求进行三层访问时,包括步骤:报文转发装置接收到用户发送的arp请求报文,检查目的IP地址是否是要代理的IP地址,如果是,则查找目的用户MAC地址,回送包含有三层逻辑接口的MAC地址的arp响应消息。
其中,所述查找目的用户MAC地址的步骤包括:报文转发装置在所述共享虚拟交换实例及其配置的成员内查找。当所述MAC地址不存在时,则报文转发装置发送arp请求消息到所述共享虚拟交换实例及成员虚拟交换实例进行查找。
其中,如果目的IP地址不是要代理的IP地址,则检查该目的IP地址是否是三层逻辑接口的IP地址,如果是,则回送包含有三层逻辑接口的MAC地址的arp响应消息。
另外,上述方法还包括下列步骤:请求用户发送数据报文到报文转发装置,报文转发装置将所述数据报文上送到三层逻辑接口,查找路由表进行转发。
其中,如果目的IP地址为代理的IP地址,则该报文转发装置根据查找到的目的用户MAC地址通过所述三层逻辑接口将数据报文发送到目的用户,如此即实现了虚拟专用局域网的不同虚拟交换实例的用户的二层隔离、三层互访。
其中,如果目的IP地址为三层逻辑接口的IP地址,则该报文转发装置将数据报文通过该三层逻辑接口发送到三层网络,如此即实现了虚拟专用局域网的用户访问三层网络。
一种虚拟专用局域网的报文转发装置,包括:至少一个共享虚拟交换实例,配置有多个成员,该共享虚拟交换实例的成员为所述虚拟专用局域网中的多个不同的虚拟交换实例,其中,当所述虚拟专用局域网中的用户经其所属的虚拟交换实例发送报文时,通过所述共享虚拟交换实例进行转发。
其中,上述报文转发装置还包括:与一接入服务器相连的接口,用于转发所述虚拟专用局域网的用户的请求报文。
所述接口为QinQ接口或普通接口;当接口为QinQ接口时,在该接口上配置有虚拟交换实例到外层标签的对应关系;当接口为普通接口时,在该接口上配置有不带虚拟局域网的虚拟交换实例用户报文的缺省外层标签。
其中,上述报文转发装置还包括:arp代理单元,用于根据所述虚拟专用局域网的不同虚拟交换实例的用户的arp请求报文查找目的用户MAC地址。
其中,上述报文转发装置还包括:至少一个三层逻辑接口,配置有与所述虚拟专用局域网的请求用户属于同一网段的IP地址及MAC地址,用于虚拟专用局域网的用户进行三层访问。
本发明的有益效果为:
1、实现虚拟专用局域网中多个虚拟交换实例进行共享或聚合使用,减小配置和管理的复杂性;
2、共享虚拟交换实例可以实现不同虚拟交换实例内的二层隔离,但可以进行三层互访,其应用如基于安全的考虑,防止虚拟交换实例之间的二层攻击行为,但可以通过报文转发装置统一控制不同虚拟交换实例用户能否互访;
3、通过虚拟交换实例接口(VSI-interface),即三层逻辑接口实现虚拟专用局域网接入到三层网络,解决了如果接入时不通过共享虚拟交换实例的方式,对每个虚拟交换实例都建立一个相关的三层逻辑接口,并且配置IP地址,会消耗大量IP地址的问题。
附图说明
图1是现有技术中虚拟专用局域网典型的组网图;
图2是现有技术中用户通过虚拟专用局域网接入到宽带接入服务器上网的示意图;
图3是利用本发明,用户通过虚拟专用局域网接入到宽带接入服务器上网的示意图;
图4是利用本发明,不同虚拟交换实例用户通过虚拟专用局域网和共享虚拟交换实例实现三层访问的示意图。
具体实施方式
本发明的核心内容是,通过在虚拟专用局域网的报文转发装置上(例如运营商边缘设备PE)设置共享虚拟交换实例,实现多个虚拟交换实例与一个共享虚拟交换实例进行互通,减小虚拟专用局域网接入到三层网络的配置和管理的复杂度;另外通过在设置有共享虚拟交换实例的报文转发装置上启动arp代理功能及设置三层逻辑接口,实现不同虚拟交换实例用户在二层隔离、三层访问。
下面结合附图和实施例对本发明进行详细说明。
本发明提供的虚拟专用局域网的报文转发方法主要包括下列步骤:在虚拟专用局域网中设置报文转发装置,该报文转发装置包括至少一个共享虚拟交换实例;配置所述共享虚拟交换实例的成员,该成员虚拟交换实例为所述虚拟专用局域网中的多个虚拟交换实例;当所述虚拟专用局域网中的用户经其所属的虚拟交换实例发送报文时,通过所述共享虚拟交换实例进行转发。
下面以所述报文转发装置为该虚拟专用局域网中的运营商边缘设备为例进行说明,本发明所说的共享虚拟交换实例就是可以共享多个虚拟交换实例的一个超级VSI实例,我们称之为Super-VSI,该Super-VSI设置于报文转发装置上,即运营商边缘设备PE上,为了方便说明,这里将设置有Super-VSI的报文转发装置称为Super-PE。
接下来,为所述共享虚拟交换实例配置多个成员,称为成员虚拟交换实例(Sub-VSI),该成员即为所述虚拟专用局域网中的多个虚拟交换实例,可以将该虚拟专用局域网中的所有虚拟交换实例配置为共享虚拟交换实例的成员,也可以仅配置一部分。至于配置的方法,在本发明中不作限制,只要建立起Super-VSI与Sub-VSI的共享关系,使得在该虚拟专用局域网中,所有的成员虚拟交换实例都可以与共享虚拟交换实例进行互通即可。
根据上述设置,当所述虚拟专用局域网中的用户发送请求时,即可通过所述报文转发装置,进一步说,通过所述共享虚拟交换实例进行转发。下面根据用户的请求不同,结合附图分别进行说明。
范例一、虚拟专用局域网的用户请求认证上网:
图3为利用Super-VSI实现虚拟专用局域网用户通过宽带接入服务器上网的示意图。如图所示,Super-PE是虚拟专用局域网与宽带接入服务器相连的边缘设备,在Super-PE上配置Super-VSI,Super-VSI包含虚拟专用局域网中的VSI1和VSI2作为其成员虚拟交换实例,这里并不限定于此,可以包含所有的虚拟交换实例,此处仅以Super-VSI包括VSI1和VSI2为例进行说明,与宽带接入服务器相连的Super-PE上的接口加入到Super-VSI,这样VSI1和VSI2的用户都可以将报文发送到Super-PE的Super-VSI,并且转发给宽带接入服务器进行认证和上网。
因为不同客户端的用户通过虚拟交换实例连接认证接入服务器上网是现有技术的内容,而本发明只是以一个共享虚拟交换实例,即Super-VSI替代现有技术中与宽带接入服务器连接的虚拟交换实例而实现认证上网,因此,具体的接入过程在这里不再赘述。
注意,为了宽带接入服务器能区分不同的虚拟交换实例的用户,可以将与宽带接入服务器相连的Super-PE接口设为QinQ接口,不同虚拟交换实例的用户报文映射到不同的外层VLAN,宽带接入服务器进行QinQ终结并区分用户,注:可以区分到用户的不同VLAN。
一种特殊情况是,在Super-VSI处理时,对于从其它虚拟交换实例,即不属于Super-VSI的成员虚拟交换实例发来的所有不带VLAN的数据统一使用缺省的VLAN标签进行QinQ封装。而当网络规划中不允许用户VLAN通过虚拟专用局域网发送时,Super-PE与宽带接入服务器的接口就是普通物理接口。
具体的实现方法为:
步骤1:在Super-PE上配置Super-VSI,并且配置Super-VSI的成员Sub-VSI,在本实施例中,假设配置了VSI1和VSI2作为其成员虚拟交换实例;
步骤2:建立PE1、PE2和Super-PE的虚拟专用局域网的相关元素,这里,可以为该虚拟专用局域网中的全部PE,而不限于PE1、PE2,例如可以包括PE3,在此,仅以PE1和PE2为例进行说明;该过程具体包括建立相互的VPLS PW隧道,PE1、PE2上与用户PC1、PC2相关的接口加入到相应的VSI等,这个过程是VPLS的既有处理流程,在此不再赘述;
步骤3:用户PC2发送认证请求报文经该用户所属的虚拟交换实例VSI2发送到所述报文转发装置Super-PE;
步骤4:将与宽带接入服务器相连的接口加入到Super-VSI,根据需要,将接口类型配置为QinQ接口或普通接口,对于QinQ接口,需要配置VSI到外层标签的对应关系,另外还可以根据需要配置不带VLAN的VSI用户报文的缺省外层标签;
步骤5:当Super-PE收到虚拟专用局域网的用户PC2发送的认证请求报文后,检查其所属VSI2是否是Super-VSI的成员,如果是,则在该报文转发装置的Super-VSI及其配置的所有成员Sub-VSI(VSI1和VSI2)内查找MAC转发表项,找到相应出接口进行发送,在本实施例中,即为与接入服务器相连的接口;
如果出接口为QinQ接口,则所述请求报文使用缺省的虚拟局域网标签进行QinQ封装,再进行转发。
如果所述报文是首包或者转发表项未找到,则在Super-VSI及所有成员Sub-VSI对应的接口(包括PW,但去掉接收报文的那个接口)内发送;另外,还要在所属虚拟交换实例范围进行MAC地址学习,保存相关信息,这个过程也是虚拟专用局域网的既有处理流程,在此不再赘述。
本实施例将配置有Super-VSI的Super-PE与接入服务器,如宽带接入服务器(BRAS,Broadband Remote Access Server)相连的接口加入Super-VSI,并根据需要将接口类型配置为QinQ接口或普通接口。对于QinQ接口,需要配置VSI到外层标签的对应关系。对于普通接口,则可以配置不带VLAN的VSI用户报文的缺省外层标签。如此一来,VPLS网络不同虚拟交换实例的用户即可通过该Super-VSI实现轻松接入到BRAS而上网。
范例二、虚拟专用局域网中不同虚拟交换实例的用户请求互访:
本实施例是当不同虚拟交换实例的用户需要进行三层互访时,在报文转发装置,也即本实施例中的Super-PE处启动arp代理功能。
arp代理功能是指对被其隔离的不同广播域内的arp请求报文进行代理应答的过程,在本发明中,该arp代理功能需实现对Super-VSI的所有成员Sub-VSI内的用户进行代理,要求用户发送报文到本地,即该报文转发装置处,由本地进行转发。
如图4所示,正常情况下,VSI1和VSI2的用户不能互相访问,例如图中的PC1和PC2,IP地址分别为IP1和IP2,属于同一网段,PC1发出的arp请求报文不能到达PC2,因此PC1不会收到PC2的arp响应消息,因此就不能获取PC2的MAC地址,因此PC1不能向PC2发出IP报文。
当在Super-PE处配置Super-VSI时,同时配置与Super-VSI相关的三层逻辑接口,并配置该三层逻辑接口的IP地址和MAC地址,其中Super-VSI的成员包括VSI1和VSI2,此时PC1的arp请求报文(广播报文)可以发送到Super-PE,Super-PE启动arp代理功能,当检查到PC1的IP地址为其代理的IP地址时,则在Super-VSI的范围内(即VSI1和VSI2)发送arp请求消息查找PC2的MAC地址,该arp请求消息将通过PE2发送给PC2,PC2回送arp响应消息给Super-PE,然后Super-PE通过arp代理功能向PC1回送arp响应消息,告知“PC2的MAC地址”,请注意,此时,Super-PE告诉PC1的MAC地址并非是真正的PC2的MAC地址,而是三层逻辑接口的MAC地址,如此即完成了二层隔离,随后PC1向PC2发送IP数据报文,该IP数据报文将被本地收到并送到三层逻辑接口处理,通过查路由表转发到PC2,PC1和PC2实现了三层访问。
具体的实现方法为:
步骤1:在Super-PE上配置Super-VSI,并且配置Super-VSI的成员Sub-VSI,在本实施例中,假设配置了VSI1和VSI2作为其成员虚拟交换实例;
步骤2:设置与Super-VSI相关的至少一个三层逻辑接口,并配置该三层逻辑接口的IP地址和MAC地址;
步骤3:建立PE1、PE2和Super-PE的虚拟专用局域网的相关元素,这里,可以为该虚拟专用局域网中的全部PE,而不限于PE1、PE2,例如可以包括PE3,在此,仅以PE1和PE2为例进行说明;该过程具体包括建立相互的VPLS PW隧道,PE1、PE2上与用户PC1、PC2相关的接口加入到相应的VSI等,这个过程是VPLS的既有处理流程,在此不再赘述;
步骤4:虚拟专用局域网的用户PC1发送arp请求报文要求访问PC2,其中,PC1属于PE1处的VSI1,其IP地址为IP1,PC2属于PE2处的VSI2,其IP地址为IP2,所述arp请求报文经该用户PC1所属的虚拟交换实例VSI1发送到所述报文转发装置Super-PE;
步骤5:所述报文转发装置Super-PE检查所述用户PC2,即目的用户的IP地址是否是其代理的IP地址,即是否是成员虚拟交换实例的用户的IP地址,如果是,则进行后续步骤;
步骤6:Super-PE执行arp代理功能,该arp代理功能需实现对Super-VSI的所有成员Sub-VSI内的用户进行代理,所述报文转发装置Super-PE检查所述arp请求报文中目的用户PC2的IP地址对应的MAC地址,该过程可以通过在该共享虚拟交换实例及其配置的成员内进行查找,如果没有查到,则发送arp请求消息到所述共享虚拟交换实例Super-VSI及其所有的成员Sub-VSI(可以除了请求用户)进行查找;
步骤7:Super-PE向PC1回送arp响应消息,告知其PC2的MAC地址,这里,该MAC地址实际为三层逻辑接口的MAC地址;
步骤8:PC1发送数据报文到Super-PE,Super-PE将该数据报文上送到三层逻辑接口,再通过查找路由表转发到PC2。
在现有技术中,不同虚拟交换实例的用户在二层是隔离的,其互相之间不能进行三层互访,而利用本发明,进一步说,利用本发明设置的共享虚拟交换实例Super-VSI,即可方便地实现虚拟专用局域网中不同虚拟交换实例的用户在二层相互隔离,但在三层互相访问。
范例三、虚拟专用局域网中的用户请求接入到三层网络:
本范例与范例二类似,都是在三层进行访问,不同之处在于,报文转发装置在检查到目的用户IP地址为三层逻辑接口的IP地址时,直接回送arp响应消息,请求用户再发送数据报文时,则直接上送到三层逻辑接口通过查找路由表进行转发。
如图4所示,图中Super-PE设备右侧是IP网,左侧是虚拟专用局域网,虚拟专用局域网内不同虚拟交换实例的用户(例如为PC1和PC2)要访问IP网络中的用户时,可以在报文转发装置上创建三层逻辑接口(可称为VSI-interface),然后在VSI-interface上配置IP地址,该IP地址与IP1和IP2属于同一网段,这样PC1、PC2就可以访问三层IP网络中的用户了。
具体的实现方法为:
步骤1:在Super-PE上配置Super-VSI,并且配置Super-VSI的成员Sub-VSI,在本实施例中,假设配置了VSI1和VSI2作为其成员虚拟交换实例;
步骤2:建立PE1、PE2和Super-PE的虚拟专用局域网的相关元素,这里,可以为该虚拟专用局域网中的全部PE,而不限于PE1、PE2,例如可以包括PE3,在此,仅以PE1和PE2为例进行说明;该过程具体包括建立相互的VPLS PW隧道,PE1、PE2上与用户PC1、PC2相关的接口加入到相应的VSI等,这个过程是VPLS的既有处理流程,在此不再赘述;
步骤3:在报文转发装置上设置至少一个与Super-VSI相关的三层逻辑接口VSI-interface,在所述三层逻辑接口上配置与Sub-VSI用户的IP地址属于同一网段的IP地址以及配置MAC地址;另外Super-PE要实现路由功能,即可以通过目的地址如IP1找到其出接口为VSI-interface;
步骤4:虚拟专用局域网的用户,例如PC1发送数据报文经该用户所属的虚拟交换实例VSI1发送到所述报文转发装置Super-PE;该报文转发装置Super-PE判断所述报文目的MAC地址是否为上述三层逻辑接口的MAC地址;如果判断结果为是,则该报文转发装置将所述接入请求报文上送三层处理,查找路由表进行转发;
当出接口为三层逻辑接口时,报文转发装置Super-PE在Super-VSI和所有成员Sub-VSI范围内查找目的IP对应的MAC地址并且通过相应的VSI发送消息;当所述MAC地址不存在时,报文转发装置Super-PE发送arp请求报文到所述共享虚拟实例Super-VSI及其成员Sub-VSI,以查找所述MAC地址。
本范例通过在Super-PE上创建Super-VSI相关的三层逻辑接口VSI-interface,并在该接口上配置与所有Sub-VSI用户的IP地址属于同一网段的IP地址以及设置MAC地址,即可实现该虚拟专用局域网通过Super-VSI接入到三层网络。此时,Super-PE要实现路由功能,就可以通过目的地址找到其出接口VSI-interface。
这里需要说明的是,本发明的虚拟专用局域网可以在报文转发装置,例如运营商边缘设备上创建多个Super-VSI和多个VSI-interface,在单个Super-VSI和VSI-interface内应用上述规则,不同VSI-interface之间的访问则按照正常的三层接口的访问来处理,即进行一般的路由转发。
根据以上的说明可知,本发明另提供一种虚拟专用局域网的报文转发系统及报文转发装置,所述系统包括:多个客户端,该多个客户端可以分布于不同的地理位置,也可以位于同一地理位置,在每一个地理位置,所述客户端都通过至少一个运营商边缘设备连接虚拟专用局域网;至少一个报文转发装置,在本发明的实施例中为Super-PE,该报文转发装置包括至少一个共享虚拟交换实例Super-VSI,用于转发所述虚拟专用局域网中的用户请求报文,其中,所述共享虚拟交换实例Super-VSI配置有多个成员,该成员为所述虚拟专用局域网中的为区分不同用户的多个虚拟交换实例,用于与所述共享虚拟交换实例互通,在本实施例中为VSI1和VSI2。
其中,所述报文转发装置还包括一个与接入服务器相连的接口,所述虚拟专用局域网的用户的请求报文经由该报文转发装置的共享虚拟交换实例的处理通过所述接口转发给所述接入服务器进行认证上网,该接口可以配置为QinQ接口,在该接口上配置有虚拟交换实例到外层标签的对应关系,也可以配置为普通接口,在该接口上配置有不带虚拟局域网的虚拟交换实例用户报文的缺省外层标签。
另外,所述报文转发装置还包括对所述共享虚拟交换实例的所有成员进行代理的arp代理单元,用于根据所述虚拟专用局域网的不同虚拟交换实例的用户的arp请求报文在所述共享虚拟交换实例及其所有成员内查找目的用户MAC地址,在二层进行隔离,实现三层互访。
此外,所述报文转发装置还包括有至少一个三层逻辑接口,在该接口上配置有与所述虚拟专用局域网的用户属于同一网段的IP地址,以便所述虚拟专用局域网的用户实现三层访问。
综上所述,本发明是在虚拟专用局域网中的一个报文转发装置,例如运营商边缘设备上设置共享虚拟交换实例,并根据需要启动arp代理功能及创建三层逻辑接口来完成该虚拟专用局域网内的不同虚拟交换实例的用户访问外网或互相访问的目的,而不必在运营商边缘设备上创建过多的虚拟交换实例及在运营商边缘设备到外网之间创建许多子接口,从而简化了虚拟专用局域网的配置和管理,更方便了虚拟专用局域网内的用户访问外网及互相隔离或互相访问。
上述实施例只是为了说明本发明,而不是限定其应用仅限于此,任何根据本发明,应用共享虚拟交换实例所做的均等变化与修饰,都应包含于本发明的保护范围。

Claims (17)

1、一种虚拟专用局域网的报文转发方法,其特征在于,包括下列步骤:
在虚拟专用局域网中设置报文转发装置,该报文转发装置包括至少一个共享虚拟交换实例;
配置所述共享虚拟交换实例的成员,该共享虚拟交换实例的成员为所述虚拟专用局域网中的多个不同的虚拟交换实例;
当所述虚拟专用局域网中的用户经其所属的虚拟交换实例发送报文时,通过所述共享虚拟交换实例进行转发。
2、如权利要求1所述的方法,其特征在于,当所述虚拟专用局域网中的用户请求认证上网时,包括下列步骤:
所述报文转发装置接收到用户发送的接入请求报文,检查所述用户所属的虚拟交换实例是否是所述共享虚拟交换实例的成员;
如果检查结果为是,则该报文转发装置在所述共享虚拟交换实例及其所有的成员中查找MAC转发表项,找到相应出接口发送所述请求报文。
3、如权利要求2所述的方法,其特征在于,如果所述转发表项是首包或者转发表项未找到,则包括下列步骤:
所述报文转发装置在所述共享虚拟交换实例及除发送报文的用户所属的虚拟交换实例外的所有成员虚拟交换实例对应的接口内发送所述请求报文,同时进行MAC地址学习。
4、如权利要求2所述的方法,其特征在于,所述出接口为该报文转发装置与接入服务器相连的接口,所述请求报文通过该接口转发给该接入服务器连接上网。
5、如权利要求1所述的方法,其特征在于,还包括下列步骤:
在报文转发装置上设置至少一个与共享虚拟交换实例相关的三层逻辑接口,并配置与成员虚拟交换实例的用户的IP地址属于同一网段的IP地址及配置MAC地址。
6、如权利要求5所述的方法,其特征在于,当所述虚拟专用局域网中的用户请求进行三层访问时,包括下列步骤:
报文转发装置接收到用户发送的arp请求报文,检查目的IP地址是否是要代理的IP地址,如果是,则查找目的用户MAC地址,回送包含有三层逻辑接口的MAC地址的arp响应消息。
7、如权利要求6所述的方法,其特征在于,所述查找目的用户MAC地址的步骤包括:报文转发装置在所述共享虚拟交换实例及其配置的成员内查找。
8、如权利要求7所述的方法,其特征在于,当所述MAC地址不存在时,则报文转发装置发送arp请求消息到所述共享虚拟交换实例及成员虚拟交换实例进行查找。
9、如权利要求6所述的方法,其特征在于,如果目的IP地址不是要代理的IP地址,则检查该目的IP地址是否是三层逻辑接口的IP地址,如果是,则回送包含有三层逻辑接口的MAC地址的arp响应消息。
10、如权利要求6或9所述的方法,其特征在于,还包括步骤:
请求用户发送数据报文到报文转发装置,报文转发装置将所述数据报文上送到三层逻辑接口,查找路由表进行转发。
11、如权利要求10所述的方法,其特征在于,如果目的IP地址为代理的IP地址,则该报文转发装置根据查找到的目的用户MAC地址通过所述三层逻辑接口将数据报文发送到目的用户。
12、如权利要求10所述的方法,其特征在于,如果目的IP地址为三层逻辑接口的IP地址,则该报文转发装置将数据报文通过该三层逻辑接口发送到三层网络。
13、一种虚拟专用局域网的报文转发装置,其特征在于包括:
至少一个共享虚拟交换实例,配置有多个成员,该共享虚拟交换实例的成员为所述虚拟专用局域网中的多个不同的虚拟交换实例;其中
当所述虚拟专用局域网中的用户经其所属的虚拟交换实例发送报文时,通过所述共享虚拟交换实例进行转发。
14、如权利要求13所述的报文转发装置,其特征在于还包括:
与一接入服务器相连的接口,用于转发所述虚拟专用局域网的用户的请求报文。
15、如权利要求14所述的报文转发装置,其特征在于:
所述接口为QinQ接口或普通接口;
当接口为QinQ接口时,在该接口上配置有虚拟交换实例到外层标签的对应关系;
当接口为普通接口时,在该接口上配置有不带虚拟局域网的虚拟交换实例用户报文的缺省外层标签。
16、如权利要求14所述的报文转发装置,其特征在于还包括:
arp代理单元,用于根据所述虚拟专用局域网的不同虚拟交换实例的用户的arp请求报文查找目的用户MAC地址。
17、如权利要求16所述的报文转发装置,其特征在于还包括:
至少一个三层逻辑接口,配置有与所述虚拟专用局域网的请求用户属于同一网段的IP地址及MAC地址,用于虚拟专用局域网的用户进行三层访问。
CNB2006101599580A 2006-09-28 2006-09-28 一种虚拟专用局域网的报文转发方法及装置 Expired - Fee Related CN100514929C (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CNB2006101599580A CN100514929C (zh) 2006-09-28 2006-09-28 一种虚拟专用局域网的报文转发方法及装置
PCT/CN2007/070735 WO2008037210A1 (fr) 2006-09-28 2007-09-20 Procédé et dispositif servant à transférer un message dans un réseau local privé virtuel

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2006101599580A CN100514929C (zh) 2006-09-28 2006-09-28 一种虚拟专用局域网的报文转发方法及装置

Publications (2)

Publication Number Publication Date
CN1921441A CN1921441A (zh) 2007-02-28
CN100514929C true CN100514929C (zh) 2009-07-15

Family

ID=37779020

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2006101599580A Expired - Fee Related CN100514929C (zh) 2006-09-28 2006-09-28 一种虚拟专用局域网的报文转发方法及装置

Country Status (2)

Country Link
CN (1) CN100514929C (zh)
WO (1) WO2008037210A1 (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100466590C (zh) * 2007-03-26 2009-03-04 中兴通讯股份有限公司 一种V_Switch透传数据实现负荷分担的方法
CN101197779B (zh) * 2007-12-27 2012-10-17 华为技术有限公司 一种提升地址解析协议代理发包效率的方法、装置和系统
CN101631129B (zh) * 2009-08-18 2013-06-05 中兴通讯股份有限公司 组播数据转发方法及装置
CN102368735B (zh) * 2011-11-07 2014-10-29 杭州华三通信技术有限公司 一种vpls报文处理方法及设备
CN103812959B (zh) * 2012-11-15 2017-05-31 中国电信股份有限公司 集中管理ip地址的方法与系统
CN105684355A (zh) * 2013-08-29 2016-06-15 惠普发展公司,有限责任合伙企业 自动配置虚拟路由器
CN104702708B (zh) * 2013-12-06 2018-04-27 华为技术有限公司 获取地址解析协议信息的方法、设备、系统及网络虚拟化端点
CN104954255B (zh) * 2014-03-24 2019-12-24 中兴通讯股份有限公司 一种vpn报文处理方法及装置
CN113923162B (zh) * 2021-10-09 2023-04-18 新华三信息安全技术有限公司 一种报文转发方法、装置、设备及存储介质
CN115334045B (zh) * 2022-08-12 2023-12-19 迈普通信技术股份有限公司 报文转发方法、装置、网关设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1214583C (zh) * 2002-08-23 2005-08-10 华为技术有限公司 一种三层虚拟私有网络及其构建方法
US7872991B2 (en) * 2003-02-04 2011-01-18 Alcatel-Lucent Usa Inc. Methods and systems for providing MPLS-based layer-2 virtual private network services
US20050190757A1 (en) * 2004-02-27 2005-09-01 Cisco Technology Inc. Interworking between Ethernet and non-Ethernet customer sites for VPLS

Also Published As

Publication number Publication date
CN1921441A (zh) 2007-02-28
WO2008037210A1 (fr) 2008-04-03

Similar Documents

Publication Publication Date Title
CN100514929C (zh) 一种虚拟专用局域网的报文转发方法及装置
JP6189942B2 (ja) 個別管理方式を使用する仮想転送インスタンスの遠端アドレスへのvlanタグ付きパケットのルーティング
US8098656B2 (en) Method and apparatus for implementing L2 VPNs on an IP network
US9225640B2 (en) Intra-domain and inter-domain bridging over MPLS using MAC distribution via border gateway protocol
CN104135420B (zh) 一种报文转发的方法、设备及系统
US8565230B2 (en) Shared virtual tunnels supporting Mac learning in communication networks
EP2378720B1 (en) Extranet networking method, system and device for multicast virtual private network
CN107959654A (zh) 一种数据传输方法、装置及混合云系统
CN101110745A (zh) 衔接二层网络和三层网络的方法、装置和系统
CN102739501B (zh) 二三层虚拟私有网络中的报文转发方法和系统
WO2008092357A1 (fr) Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci
WO2007143952A1 (fr) Procédé d'accès à un réseau privé virtuel, système privé virtuel, réseau privé virtuel et équipement de bordure du fournisseur
CN109150685A (zh) 一种面向异构网络的智能互联方法及系统
CN112422398B (zh) 消息传输方法及通信装置
CN103795630B (zh) 一种标签交换网络的报文传输方法和装置
CN102571375B (zh) 组播转发方法、装置及网络设备
CN102098202A (zh) 虚拟专用网拓扑控制方法、装置及系统
CN102238057A (zh) 以太网根基多点服务实现方法、系统、装置及网络设备
CN101170514B (zh) 实现接入电路接口间访问控制的方法和装置
CN109547392B (zh) 一种在sdn网络中支持多用户隔离的加密接入方法及系统
CN101247334B (zh) 虚拟专用局域网服务网络及实现方法和提供商边缘路由器
CN103634210B (zh) 发现vpls实例的对端pe设备的方法及设备
CN106487677B (zh) 运营商边缘设备及数据转发方法
WO2020215657A1 (zh) 基于二维路由协议实现l3vpn的方法及系统
CN100413280C (zh) 用于互连异构的第2层vpn应用的系统和方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090715

Termination date: 20170928