一种虚拟交换机系统接入ip公网的方法

文档序号:7991008阅读:581来源:国知局
专利名称:一种虚拟交换机系统接入ip公网的方法
技术领域
本发明一般涉及网络通信技术,特别涉及一种使虚拟交换机系统接入IP公网的方法。
背景技术
虚拟交换机(VS)是一种虚拟私用网(VPN)的实现方法。虚拟交换机是在网络设备上通过配置生成的功能实体,它能够完成以太网交换机的功能。一台网络设备上可以划分出多个虚拟交换机,虚拟交换机可以用于组建虚拟私有局域网段(VPLS)以及提供用户流量汇聚。
虚拟交换机最初应用在ATM(异步传输模式)设备上提供虚拟私有局域网段业务。之后,虚拟交换机加入了以太接入以及在IP公网透传以太报文的GRE(通用路由封装)隧道接入功能。目前虚拟交换机搭建VPN的组网方式见图1。
虚拟交换机利用链路层(以太)信息进行数据包的转发,全部使用虚拟交换机搭建的网络类似于一个以太网。
目前VS和IP(网际协议)转发组件都位于电信局的边缘业务节点上,边缘业务节点的基本功能是满足用户的上网需求,IP转发组件是边缘业务节点的核心之一,功能类似于路由器。而VS是在边缘业务节点上为了满足企业组建VPN的需求,以及为电信局增加收入而添加的扩展组件。在边缘业务节点上,VS和IP转发组件是独立的功能模块。边缘业务节点只有加入VS组件才具有组建VPLS的能力。由于实现了虚拟交换机的网络设备还不具备把报文送往IP转发组件进行路由转发的能力,因此由虚拟交换机构成的企业私有网或汇聚的用户要访问IP网络必须添加显式的外部连接通道,如路由器或连线。
图2是现有技术一的技术方案示意图。如图2所示,企业使用VS来构建VPLS,但需在某个站点内部另外配置一台路由器与公网相连。VPLS内部的设备通过这一路由器访问公网。在该路由器之上或之内一般会配置地址转换和报文过滤规则,用于保证企业私有网的安全性。
在该方案中,VPLS内部网络设备把路由器的VPLS侧接口IP地址设置为网关。VPLS内部到IP公网的报文都被转发到路由器。路由器查找路由后,把报文送到IP公网,即图中电信局方的边缘业务节点的IP公网侧接口上。
从IP公网来的IP报文,即电信局方边缘业务节点公网侧接口来的报文到达路由器,企业路由器查找路由。如果目的地在VPLS内部,则把报文送到路由器的VPLS侧接口,在VPLS内部进行转发。
这种组网方案适用于具有较强技术实力和经济基础的企业用户。
该现有技术一的缺点是它需要添加路由设备,从而增加了用户的开销。而且,路由器与边缘业务节点连接还占用了边缘业务节点的宝贵的端口资源。另外,由于访问公网时使用的NAT(网络地址转换)和安全规则需要用户配置,从而增加用户的维护难度。
图3示出了与本发明相关的现有技术二。如图3所示,在边缘业务节点加一条外部连线,连接一个接入VS的端口和一个接入IP转发组件的端口。这样,接入VS的用户就可以通过该外部通道把数据发送到IP组件进行IP层转发了。
在该方案中,VPLS内部把与VS直连的IP转发组件的接口IP地址设置为网关。VPLS内部到IP公网的报文都被VS转发与它直连的IP转发组件的接口上。IP转发组件查找路由后,把报文送到IP公网。
从IP公网来的IP报文到达边缘业务节点的IP转发组件,IP转发组件查找路由。如果目的地在VPLS内部,则把报文送到与它直连的VPLS侧接口交给VS,之后报文在VPLS内部进行转发。
该方案常用于通过VS来汇聚访问公网的接入用户的数据流量,也可用于一些对安全性要求不高、资金有限的企业构建VPLS。
由于一般边缘业务节点是放在电信局的。电信部门为了获取大的利润,边缘业务节点为许多用户共享,边缘业务节点对外接口是稀缺资源,一个对外接口可以接入多个企业用户。该现有技术二要在电信局的边缘业务节点上进行,企业用户要占用一个外部接口(例如一个ATM口或一个以太物理接口),代价昂贵,并且对VPLS企业用户缺乏安全性。

发明内容
因此,本发明就是针对解决现有技术中的上述缺点而做出的,其一个目的是提供一种虚拟交换机系统接入IP公网的方法,使基于VS构建VPLS的企业用户在访问公网资源时既不占用宝贵的边缘业务节点的对外接口,又无须添加额外的路由设备。
本发明的另一个目的是提供一种虚拟交换机系统接入IP公网的方法,该方法可使基于VS构建VPLS的企业用户能够安全、便捷地访问公网资源为实现上述目的,本发明提供了一种虚拟交换机系统接入IP公网的方法,所述虚拟交换机系统包括虚拟交换机和IP转发组件,所述方法的特征在于包括以下步骤1)在所述虚拟交换机与所述IP转发组件之间建立虚拟接口;2)由所述虚拟接口对来自所述虚拟交换机侧用户的数据进行处理,并将经处理的数据交给所述IP转发组件以将其发送至IP公网;以及3)由所述虚拟接口对从所述IP转发组件传来的来自IP公网的数据进行处理,并将经处理的数据交给所述虚拟交换机以将其发送至虚拟交换机侧的用户。
所述步骤2)进一步包括以下步骤所述虚拟接口对来自所述虚拟交换机侧用户的数据进行解除以太链路封装的操作,然后将经过解除链路封装的数据交给所述IP转发组件查路由表以发送给IP公网。
所述步骤3)进一步包括以下步骤从IP公网进入的IP报文如果目的地是虚拟交换机侧的用户,则所述IP转发组件查路由表把报文交给与所述虚拟交换机相连的虚拟接口,所述虚拟接口查找ARP节点取得链路层封装信息,之后对IP报文进行链路层封装并将其传送给所述虚拟交换机。
在本发明的实施例中,所述虚拟接口与所述虚拟交换机之间的信息交换通过内部数据通道完成,所述内部数据通道是使用所述虚拟接口与所述虚拟交换机所在设备的总线的逻辑数据通道。另外,所述内部数据通道具有唯一标识,用来区分不同的虚拟交换机系统。
此外,所述虚拟接口与所述IP转发组件之间优选地设有存取控制表组件,用于对所述虚拟接口与所述IP转发组件之间往来的数据进行安全检测。所述虚拟接口与IP转发组件之间优选地设有网络地址转换组件,用于完成私网地址和公网地址的转换。
本发明为基于VS构建VPLS的企业用户访问公网资源提供一种安全、便捷的方法,由于数据在边缘业务节点内部进行传送,无需使用外部接口,可以减少VPLS用户访问公网时对边缘业务节点端口资源的占用。另外,相对现有技术二,本发明能够提供更安全地访问公网;而相对于现有技术一,本发明将原本设置在用户的路由器上、由用户配置NAT(网络地址转换)和安全规则的工作交给电信局,无需用户另行购置路由器,NAT(网络地址转换)和安全规则的配置在电信局的边缘业务节点上由电信局完成,降低了企业用户使用VS组建VPLS的成本和技术难度,减轻了企业的负担,又增加了电信局的利润。


图1是目前虚拟交换机搭建VPN的组网方式;图2是现有技术一的技术方案示意图;图3是现有技术二的技术方案示意图;图4是本发明的原理流程图;图5是本发明的建立内部数据通道的示意6是本发明的优选方案中用户侧向网络侧发送数据报文的流程图;图7是本发明的优选方案中网络侧向用户侧发送数据报文的流程图。
具体实施例方式
参照图4,在VS和IP转发组件之间建立一个虚拟接口。该虚拟接口具有与一般以太接口同样的功能,只是一般以太接口处理来自对外物理端口的数据,而“虚拟接口”则处理来自设备内部数据交换芯片的数据。
虚拟接口是一个软件模块。虚拟接口的设计与一般以太接口的设计是一致的。虚拟接口与一般以太接口的主要区别在于一般以太接口处理从物理以太端口收到的以太格式的帧。而虚拟接口则处理从设备内部的数据交换硬件单元收到的数据帧,这些数据帧的格式是设备内部定义的,例如固定长度的信元格式。通过内部数据通道发送的以太报文以设备自定义的格式承载在设备自定义的内部数据帧上。数据交换硬件单元负责按内部定义的格式组装这些数据帧,拆除内部格式封装后取出以太帧,然后送给虚拟接口进行链路层处理。在发送报文时,虚拟接口把标准以太格式的报文送交数据交换硬件单元,数据交换硬件单元按照设备自定义的格式拆分和封装以太报文,然后在内部数据通道上发送。
上述虚拟接口完成以下基本功能1.从内部数据通道接收以太包;2.解析输入的以太包,取出IP报文交给IP转发组件;3.接收IP转发组件送来的数据,进行以太链路层封装;4.将以太包送交内部数据通道发送;5.处理ARP (地址解析协议)报文,建立和维护本接口上的ARP节点,为新建的ARP节点上报路由。
另外,创建一条内部数据通道,即分配一条内部数据交换通路,它连接VS和虚拟接口。内部数据通道的建立方法与设备本身的设计密切相关。
如图5所示,在一个分布式转发体系结构的设备中,整个系统由各种实现不同功能的单板搭建而成。不同的单板之间的数据通信通过系统的信元总线完成。在该系统中,VS组件在单板A上实现,而虚拟接口、IP转发组件在单板B上实现。为了使单板A上的VS组件能够与单板B上的虚拟接口交换数据,本发明在VS和虚拟接口间分配一条信元通道。如果系统内部采用ATM信元,则该信元通道就是一条永久虚电路(PVC)。单板间传递的数据被封装成信元的格式在信元总线上进行交换。信元通道信息被封装在信元结构中,所述信元通道信息即每一信元通道的标识,在本实施例中,每一信元通道在系统内部具有唯一标识,用来区分不同的虚拟交换机系统,所述唯一标识是一个全局唯一的数字。IP组件根据该唯一标识把以太报文送到对应的VS系统。
单板A上的VS1和VS2与单板B上的虚拟接口分别建立了内部信元通道Path1和Path2。VS1通过Path1,在其MAC(媒体访问控制)地址学习表中记录虚拟接口的MAC地址。当接收到需发送给虚拟接口的数据包时,VS1就将Path1的通道信息以及以太包封装在信元中,送信元总线进行交换,发送到虚拟接口。虚拟接口根据PATH1通道信息建立VS1系统的ARP节点表,在该ARP节点表中记录VS1接入的用户的MAC地址。当虚拟接口收到目的MAC地址是VS1接入的用户的MAC地址的数据包时,虚拟接口将Path1的通道信息以及以太包封装在信元中,送信元总线进行交换。VS1从Path1接收信元,重组出以太包,再根据包中的目的MAC地址把包交换给最终用户。
如此构建的系统的报文转发流程如下VS把数据放上内部数据通道发送到虚拟接口,虚拟接口从内部数据通道的硬件单元取得数据,解除以太链路封装,然后交给IP转发组件查路由表发送到网络侧接口。从网络侧接口进入的IP报文如果目的地是VS侧用户,则IP转发组件查路由表把报文交给与VS相连的虚拟接口。虚拟接口查找ARP节点取得链路层封装信息,之后对IP报文进行链路层封装并将其放上内部数据通道。VS从内部数据通道收到数据,使用以太目的地址查找地址学习表把报文发往VS侧用户。
按上述方法构建的系统就可以使VS侧的用户访问公网资源了,也就是说实现了“现有技术方案二”的功能,而又没有占用宝贵的设备对外端口。但是该方案难以满足对安全性要求高的企业的需求,因为1.没有地址转换功能,因此要求VS侧用户使用公网地址,而不能使用私网地址,不能满足构建VPLS的要求。
2.没有防火墙,公网上的用户可以完全访问VS的用户资源,具有严重的安全漏洞。
为了满足VPLS企业用户使用私网地址的要求以及VPLS企业用户对网络安全方面的考虑,可对上述方法进行如下改进添加了NAT组件和ACL(接入控制表)组件。NAT组件完成私网地址和公网地址的转换;ACL组件可以配置生成多种安全策略,例如对进入数据包(源IP地址,目的IP地址,源端口,目的端口,协议)五元组匹配检测,以保证网络连接的安全性。图6、图7是本发明的改进示意图。
地址转换(NAT),又称地址代理,用来实现私有网络地址与公有网络地址之间的转换。当内部网络的主机访问因特网或与外部网络的主机通信时,需要用到地址转换。所述的NAT组件负责记录私网地址和公网地址的映射关系,对进出NAT组件的报文进行匹配,把满足已配置的映射关系的报文进行私网地址和公网地址的转换。
ACL是指为了过滤数据包而配置的一些规则,规定什么样的数据包可以通过,什么样的不能通过,所述的ACL组件记录配置的包过滤规则,对进出ACL组件的包按过滤规则逐条进行匹配,对于满足规律规则的包,按规则指定的动作进行处理,如允许通过或丢弃。
NAT和ACL都是目前网络设备上的成熟技术。NAT组件和ACL组件的实现方法有多种,在一般的关于网络安全的书籍,网页和文献上基本都有提到。本发明对NAT组件和ACL组件的实现并没有特殊要求,只要具备NAT和ACL功能的软件模块都可以被本发明使用。
参照图6所示,从VS侧私网用户来的数据发送到虚拟接口,报文随后交给ACL组件对报文进行五元组匹配等安全检查,不满足已经设定的安全策略的报文被丢弃,其余的报文送交NAT组件进行源地址私网到公网地址空间的转换,转换后的报文交给IP转发组件查路由表发送到公网。当然,也可以不使用NAT组件,这时,报文直接交给IP转发组件查路由表发送到公网,但此时用户无法使用私网地址。也可以不使用ACL组件,报文送交NAT组件进行源地址私网到公网地址空间的转换,转换后的报文交给IP转发组件查路由表发送到公网。
参照图7所示,网络侧接口接收到网络侧来的数据报文,首先交给ACL组件匹配配置的安全策略,非法报文被丢弃,其余报文交给IP转发组件查路由表。在没有设置ACL组件的情况下,报文直接交给IP转发组件查路由表。在路由表上,对于私网地址经NAT转换而生成的路由,路由表项会设一NAT属性标志,而对公网地址生成的路由,路由表项则不设NAT属性标志。这样经查路由表可以知道,报文的目的地是在私网内部的还是公网上。如果报文的目的地在私网内部,则报文目的地址能够匹配的路由项具有NAT标志,这类报文送交NAT组件进行目的地址的转换,转换后的报文再次查找路由送交虚拟接口,虚拟接口对报文进行链路封装后通过内部数据通道送给VS进行交换转发。在没有设置NAT组件的情况下,报文查找路由后直接送交虚拟接口,虚拟接口对报文进行链路封装后通过内部数据通道送给VS进行交换转发。
上面描述的本发明的优选实施例,仅仅是为了说明的目的,本领域的一般技术人员应该意识到,不同的改进、增减都是可能的,并且都不会脱离本发明的权利要求所限定的本发明的范围。
权利要求
1.一种虚拟交换机系统接入IP公网的方法,所述虚拟交换机系统包括由虚拟交换机组建的虚拟私有局域网段和IP转发组件,所述方法的特征在于包括以下步骤1)在所述虚拟交换机与所述IP转发组件之间建立虚拟接口;2)由所述虚拟接口对来自所述虚拟交换机侧用户的数据进行处理,并将经处理的数据交给所述IP转发组件以将其发送至IP公网;以及3)由所述虚拟接口对从所述IP转发组件传来的来自IP公网的数据进行处理,并将经处理的数据交给所述虚拟交换机以将其发送至虚拟交换机侧的用户。
2.根据权利要求1所述的方法,其特征在于,所述步骤2)进一步包括以下步骤所述虚拟接口对来自所述虚拟交换机侧用户的数据进行解除以太链路封装的操作,然后将经过解除链路封装的数据交给所述IP转发组件查路由表以发送给IP公网。
3.根据权利要求1所述的方法,其特征在于,所述步骤3)进一步包括以下步骤从IP公网进入的IP报文如果目的地是虚拟交换机侧的用户,则所述IP转发组件查路由表把报文交给与所述虚拟交换机相连的虚拟接口,所述虚拟接口查找ARP节点取得链路层封装信息,之后对IP报文进行链路层封装并将其传送给所述虚拟交换机。
4.根据权利要求1所述的方法,其特征在于,所述虚拟接口与所述虚拟交换机之间的信息交换通过内部数据通道完成,所述内部数据通道是使用所述虚拟接口与所述虚拟交换机所在设备的总线的逻辑数据通道。
5.根据权利要求4所述的方法,其特征在于,所述内部数据通道具有唯一标识,用来区分不同的虚拟交换机系统。
6.根据权利要求1至5中任何一项所述的方法,其特征在于,所述虚拟接口与所述IP转发组件之间还设有存取控制表组件,用于对所述虚拟接口与所述IP转发组件之间往来的数据进行安全检测。
7.根据权利要求6所述的方法,其特征在于,所述虚拟接口与IP转发组件之间还设有网络地址转换组件,用于将进入所述私有局域网段的报文的目的地址由公网地址转换为私网地址,以及将从所述私有局域网段发出的报文的源地址由私网地址转换为公网地址。
全文摘要
本发明公开了一种虚拟交换机系统接入IP公网的方法,该方法包括1)在虚拟交换机系统的虚拟交换机与IP转发组件之间建立虚拟接口;2)由虚拟接口对来自虚拟交换机侧用户的数据进行处理,并将经处理的数据交给IP转发组件以将其发送至IP公网;以及3)由虚拟接口对从所述IP转发组件传来的来自IP公网的数据进行处理,并将经处理的数据交给虚拟交换机以将其发送至虚拟交换机侧的用户。本发明扩展了虚拟交换机系统的业务范围,减少了VPLS用户访问公网时对设备端口资源的占用,进而增加了运营商的盈利手段,降低了企业用户使用VS组建VPLS的成本和技术难度。
文档编号H04L12/56GK1601996SQ0316005
公开日2005年3月30日 申请日期2003年9月26日 优先权日2003年9月26日
发明者熊宇 申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1