专利名称:一种实现报文二层隔离的方法
技术领域:
本发明涉及一种实现报文二层隔离的方法,属网络数据传输技术领域。
背景技术:
在以太网交换机的主要应用环境——小区接入中,一般都要求对用户在二层进行隔离,因此用户之间实现互通,必须通过三层,使用IP地址才能进行通信。从技术上看,达到这一要求,并不困难,因为虚拟局域网的基本作用之一就是在二层隔离用户,只要将交换机上的一个端口提供给一个用户使用,将每一个端口划入不同的虚拟局域网就可以实现用户的二层隔离。如果交换芯片支持通过设置,同一虚拟局域网内的端口不能在二层互通的话,那么就可以实现多个用户处于同一个虚拟局域网的同时,满足用户隔离的需要。遗憾的是,由于与标准协议的实现不同,基本上没有芯片能做到这一点。
现有使用虚拟局域网对报文二层隔离的方法如图1所示,在接入用户的二层交换机上,一个用户端口属于一个虚拟局域网,用户在二层被虚拟局域网隔离。二层交换机的上行口必须设置为中继口(图1中端口P5和端口P7、端口P6和端口P8间的链路为中继链路),即此中继口必须允许交换机上的所有虚拟局域网内的报文通过,所有用户的报文都携带802.1Q标记(即表示虚拟局域网ID的标记)通过中继口上行到上一级设备。
为实现用户在网络层的互通,需要在三层设备上为每一个虚拟局域网划分一个网段。用户的报文送到三层设备上(三层设备可以是三层交换机,或者是支持802.1Q的路由器),通过三层路由转发实现互访。
图1所示的现有使用虚拟局域网对报文二层隔离的方法,采取一个用户端口划入一个虚拟局域网的方案,实现了在二层隔离用户的目的。但是,如果每个用户的报文都携带表示虚拟局域网号的标记送至三层设备,则必须在三层设备上为每一个虚拟局域网划分一个IP网段。上述系统的缺点是1)由于支持三层转发的虚拟局域网数目有限,因此浪费虚拟局域网资源和IP地址。现有所有厂商的交换芯片,可能会支持4K个虚拟局域网,但是并不是所有的虚拟局域网都能支持三层转发。一般的三层交换机使用的交换芯片所支持三层转发的虚拟局域网数目只有32个或是64个,远少于所能支持的虚拟局域网的数目。那么,一台三层交换机只能接入32个或64个用户,显然是难以接受的。而且,在三层交换机上需要为每一个虚拟局域网设置一个IP网段,耗费较多的IP地址。
2)要求三层转发设备支持802.1Q协议。由于接入用户的二层交换机的上层链路必须将用户所属虚拟局域网的信息传送给三层设备,所以三层设备收到的报文都是携带802.1Q标记的报文。这就要求三层设备必须支持802.1Q协议。而实际上,现有的路由器一般都不能支持802.1Q协议。因此,在组网中,只能考虑三层交换机或支持802.1Q协议的网络设备作为三层转发设备,对用户的组网提出了条件限制。
发明内容
本发明的目的是提出一种实现报文二层隔离的方法,以节约虚拟局域网数目以及相应的IP子网数目,并降低对用户组网的要求。
本发明提出的实现报文二层隔离的方法,包括以下各步骤1、在以太网交换机上配置主虚拟局域网,该主虚拟局域网包含一个上行端口和多个用户接入端口;
2、在以太网交换机上配置子虚拟局域网,并将子虚拟局域网分配给上述用户接入端口,所述的子虚拟局域网与上述所述的主虚拟局域网共享上行端口;3、用户报文上行时,在从用户接入端口进入以太网交换机的报文上加入相应子虚拟局域网的标识;4、从上行端口向上层设备转发报文时,将报文中子虚拟局域网的标识删除。
上述方法的步骤2中,在所述以太网交换机上,将一个子虚拟局域网分配给一个或多个所述主虚拟局域网所包含的用户接入端口。
上述方法还进一步的包括当上层设备将下行报文转发到下层以太网交换机的上行端口时,在下行报文上加入主虚拟局域网的标识的步骤。还可以进一步的包括将报文从用户接入端口转发至用户,并将报文中的主虚拟局域网标识删除的步骤。其中,将报文按照报文的目的链路层地址从所述的用户接入端口转发至用户。
上述方法中,上层设备为交换机或路由器。
本发明提出的在以太网交换机中实现报文二层隔离的方法,具有以下优点1、使用两层虚拟局域网隔离报文,对外只有一个虚拟局域网可见,因此相当于在一个虚拟局域网内实现了用户报文的隔离。
2、本方法中,一个接入用户划入一个虚拟局域网,相当于使用虚拟局域网标识来识别用户,因而大大降低了对虚拟局域网数目的要求,降低了整网成本。
3、在本发明的方法中,虚拟局域网中的标识不再承担用户认证任务,因此可以使用802.1x协议实现接入认证,还可以支持其它网页认证形式的以太网接入功能。
4、用户间的三层转发设备不但可以使用三层交换机,还允许用户使用不支持802.1Q协议的路由器,因而组网灵活。
图1是现有技术中使用虚拟局域网对报文二层隔离的组网示意图。
图2是本发明的私有虚拟局域网中对报文二层隔离组网示意图。
图3是本发明的私有虚拟局域网组网应用示意图。
具体实施例方式
本发明提出的在以太网交换机中实现报文二层隔离的方法,首先在以太网交换机上配置主虚拟局域网,该主虚拟局域网包含一个上行端口和多个用户接入端口;在以太网交换机上配置子虚拟局域网,并将子虚拟局域网分配给上述用户接入端口,所述的子虚拟局域网与上述所述的主虚拟局域网共享上行端口;用户报文上行时,在从用户接入端口进入以太网交换机的报文上加入相应子虚拟局域网的标识;从上行端口向上层设备转发报文时,将报文中子虚拟局域网的标识删除。
当上层设备将下行报文转发到下层以太网交换机的上行端口时,在下行报文上加入主虚拟局域网的标识;将报文从用户接入端口转发至用户,并将报文中的主虚拟局域网标识删除。其中,转发报文是按照报文的目的链路层地址从用户接入端口转发至用户的。
上述方法中,在以太网交换机上,可以将一个子虚拟局域网分配给一个用户接入端口,也可以将一个子虚拟局域网分配给多个用户接入端口。
上述方法中的上层设备为交换机或路由器。
从本发明的实现原理上看,主虚拟局域网功能是通过将一个端口划入多个虚拟局域网来实现的。如图2所示,其中,端口P9为上行端口,属于虚拟局域网5;端口P10、P11、P12分别为用户接入端口,分别属于虚拟局域网6、7、8,虚拟局域网5被称为主虚拟局域网,虚拟局域网6、7、8被称为子虚拟局域网。一个主虚拟局域网包含多个子虚拟局域网,形成两层虚拟局域网结构。为每一个用户分配一个子虚拟局域网,实现二层报文的隔离,每个子虚拟局域网中只包含用户接入端口和上行端口,用于管理从用户接入端口进入并发送到上行端口的报文。主虚拟局域网包含所有子虚拟局域网中包含的端口和上行端口,管理从上行端口进入的流量。上行的报文不再携带标识虚拟局域网的标记,上行链路只是普通链路,不必设置为中继链路。对上层交换机来说,可以认为下层交换机中只有一个主虚拟局域网,而不必关心主虚拟局域网中的端口所属的子虚拟局域网。这样,主虚拟局域网可以用来标识设备。上层交换机向主虚拟局域网标识的交换机接入的用户发送报文时,直接将报文通过二层交换机的上行口发送下来即可。这样,在上级的三层设备上,可以用一个虚拟局域网来标识主虚拟局域网设备上的所有用户,只需要配置一个IP网段来完成主虚拟局域网内用户的三层报文转发,大大的节省了三层设备上的虚拟局域网资源和IP网段资源。总而言之,私有虚拟局域网概念上存在,以主虚拟局域网访问。私有虚拟局域网仅是概念的,没有实体(无虚拟局域网标识),主虚拟局域网和子虚拟局域网都有实体(有虚拟局域网标识)。
图3是本发明方法的应用示意图。图中,主虚拟局域网13和主虚拟局域网14分别是标识两台二层交换机E和F的主虚拟局域网。子虚拟局域网9(图3中主虚拟局域网13、14;子虚拟局域网9、10、11、12)和子虚拟局域网10是主虚拟局域网13的子虚拟局域网,虚拟局域网11和虚拟局域网12是主虚拟局域网14的子虚拟局域网,每个端口的用户都被子虚拟局域网在二层隔离,三层报文的互通需要通过上接的上层设备即三层交换机D来转发。上层设备可以是交换机,也可以是路由器。交换机E和交换机F分别通过上行端口P17和P18连接至三层交换机D。在交换机D上,可以认为交换机E接入的所有用户都在虚拟局域网13中,而交换机F接入的所有用户都在虚拟局域网14中。在交换机D上,只需要为虚拟局域网13和虚拟局域网14配置相应的IP网段。
以图3为例,使用私有虚拟局域网对报文进行二层隔离的方法包括以下步骤1、在以太网交换机E上配置主虚拟局域网,包含上行端口P17和所有的接入用户端口P13、P14;2、配置子虚拟局域网9,包含上行端口P17和接入用户端口P13;配置子虚拟局域网10,包含上行端口P17和用户接入端口P14,本实施例是将一个子虚拟局域网分配给一个用户接入端口,也可以将一个子虚拟局域网分配给多个用户接入端口;3、在用户报文上行的过程中由用户接入端口P13进入交换机E的报文,被打上子虚拟局域网9的标识;而由用户接入端口P14进入交换机E的报文,被打上子虚拟局域网10的标识。在上送报文到交换机D的时候,报文被转发给端口P17,此时将子虚拟局域网9或者10的标识去掉,端口P17上送给交换机D的报文只是普通报文,因而上层设备可以是不支持802.1Q的网络设备。P13和P14两个端口接入的报文在转发到上层网络设备的过程中,由于端口P13和P14接入的报文在交换机E中携带的标识不同,因此达到了报文在二层隔离的目的。同时由于代表所属虚拟局域网的标识没有被报文携带出去,因而在上层设备看来,所有的报文都来自于同一个虚拟局域网,上层设备只需要提供对一个虚拟局域网的支持,而实际上支持了交换机E所接入的所有用户。
4、在交换机D将下行报文转发给交换机E的过程中下行报文从端口P17进入交换机E,被打上主虚拟局域网13的标识。由于端口P13、P14、P17都属于主虚拟局域网13,下行报文在几个端口间的转发就是在一个虚拟局域网内的通信,这时按照报文的目的MAC地址进行转发,将报文从用户的MAC地址所在的端口转发给用户。在上述的报文转发过程中,按照报文的转发机制,报文在用户间也实现了隔离,某个端口下的用户的报文也不能被另一个端口下的用户所收到。
如上所述,通过本发明的组网应用,既达到了在二层隔离用户的目的,又节约了三层交换机上的虚拟局域网资源,尤其是需要进行三层转发的虚拟局域网资源,并且节约了IP网段,可谓是一举多得。
权利要求
1.一种实现报文二层隔离的方法,其特征在于该方法包括以下各步骤(1)在以太网交换机上配置主虚拟局域网,该主虚拟局域网包含一个上行端口和多个用户接入端口;(2)在以太网交换机上配置子虚拟局域网,并将子虚拟局域网分配给上述用户接入端口,所述的子虚拟局域网与上述所述的主虚拟局域网共享上行端口;(3)用户报文上行时,在从用户接入端口进入以太网交换机的报文上加入相应子虚拟局域网的标识;(4)从上行端口向上层设备转发报文时,将报文中子虚拟局域网的标识删除。
2.如权利要求1所述的方法,其特征在于,在步骤(2)中,在所述以太网交换机上,将一个子虚拟局域网分配给一个或多个所述主虚拟局域网所包含的用户接入端口。
3.如权利要求1所述的方法,其特征在于该方法还进一步的包括当上层设备将下行报文转发到下层以太网交换机的上行端口时,在下行报文上加入主虚拟局域网的标识的步骤。
4.如权利要求3所述的方法,其特征在于该方法还进一步的包括将报文从用户接入端口转发至用户,并将报文中的主虚拟局域网标识删除的步骤。
5.如权利要求4所述的方法,其特征在于,将报文按照报文的目的链路层地址从所述的用户接入端口转发至用户。
6.如权利要求1和3所述的方法,其特征在于其中所述的上层设备为交换机或路由器。
全文摘要
本发明提出的实现报文二层隔离的方法,属网络数据传输技术领域。本方法首先在以太网交换机上配置主虚拟局域网,该主虚拟局域网包含一个上行端口和多个用户接入端口;在以太网交换机上为用户接入端口分配一个子虚拟局域网,子虚拟局域网与主虚拟局域网共享上行端口和用户接入端口;用户报文上行时,在报文上加入相应子虚拟局域网的标识;向上层设备转发报文时,将报文中子虚拟局域网的标识删除。本发明的方法,使用两层虚拟局域网隔离报文,对外只有一个虚拟局域网可见,因此在一个虚拟局域网内实现了用户报文的隔离,节约了三层交换机上的虚拟局域网资源,尤其是需要进行三层转发的虚拟局域网资源,并且节约了IP网段。
文档编号H04L12/28GK1507215SQ0215623
公开日2004年6月23日 申请日期2002年12月11日 优先权日2002年12月11日
发明者孟小虎, 徐进, 姚析 申请人:华为技术有限公司