技术领域本发明涉及网络数据传输技术领域,尤其涉及一种实现路由接口二层隔离和三层互通的方法及网络设备。
背景技术:
路由接口功能是在现有的VLAN(VirtualLocalAreaNetwork,虚拟局域网)三层接口基础上增加路由接口(RoutedPort)和子接口(Subport)。RoutedPort是切换为三层属性且配置了IP地址的接口,只能进行三层转发,而不能进行二层转发,且其发送的报文VLAN标签需要剥离,因而只能转发处理untagged(未标记)报文。Subport在路由属性的接口上可以配置多个,每个Subport可以关联不同的VLAN。路由接口具有三层接口的路由功能,可以实现流量的二层隔离和三层互通。VLAN是一个广播域,但现有VLAN内隔离用户流量的技术,例如PVLAN,能够隔离VLAN内接口的二层流量,但是也会隔离三层流量;而MFF不适合实现路由接口功能。上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
技术实现要素:
本发明的主要目的在于提供一种实现路由接口二层隔离和三层互通的方法及网络设备,旨在基于VLAN和/或VFP来实现路由接口的二层隔离和三层互通。为实现上述目的,本发明提供的一种实现路由接口二层隔离和三层互通的方法,所述实现路由接口二层隔离和三层互通的方法包括以下步骤:获取路由接口信息;根据所述路由接口信息,确定目的路由接口;配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数,或者,配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数,以实现所述目的路由接口的二层隔离和三层互通。优选地,所述路由接口信息包括路由接口编号、MAC地址以及VLAN编号,所述配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数,以实现路由接口的二层隔离和三层互通的步骤包括:在预定VLAN编号的入方向检查端口位图配置入方向端口参数,在所述入方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的入口VLAN检查;配置VLAN域处理器VFP的匹配信息,使MAC地址为交换机地址的报文通过所述目的路由接口,以实现目的路由接口的三层互通;使MAC地址不是交换机地址的报文丢弃,以实现目的路由接口的二层隔离。优选地,所述配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数,以实现所述目的路由接口的二层隔离和三层互通的步骤包括:配置VLAN广播端口位图的广播端口参数,在所述广播端口参数中不包含目的路由接口,使报文不能到达目的路由接口,以实现目的路由接口的二层隔离;配置VLAN出方向检查端口位图的出方向端口参数,在所述出方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的出口VLAN检查,以实现目的路由接口的三层互通。优选地,所述路由接口信息包括路由接口编号以及VLAN编号。此外,为实现上述目的,本发明还提供一种网络设备,所述网络设备包括:获取模块,用于获取路由接口信息;确定模块,用于根据所述路由接口信息,确定目的路由接口;配置模块,用于配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数,或者,配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数,以实现所述目的路由接口的二层隔离和三层互通。优选地,所述路由接口信息包括路由接口编号、MAC地址以及VLAN编号,所述配置模块包括:第一配置单元,用于在预定VLAN编号的入方向检查端口位图配置入方向端口参数,在所述入方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的入口VLAN检查;第二设置单元,用于配置VLAN域处理器VFP匹配信息,使MAC地址为交换机地址的报文通过所述目的路由接口,以实现目的路由接口的三层互通;使MAC地址不是交换机地址的报文丢弃,以实现目的路由接口的二层隔离。优选地,所述配置模块还包括:第三配置单元,用于配置VLAN广播端口位图的广播端口参数,在所述广播端口参数中不包含目的路由接口,使报文不能到达目的路由接口,以实现目的路由接口的二层隔离;第四配置单元,用于配置VLAN出方向检查端口位图的出方向端口参数,在所述出方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的出口VLAN检查,以实现目的路由接口的三层互通。优选地,所述路由接口信息包括路由接口编号以及VLAN编号。本发明通过配置与所述目的路由接口对应的VLAN端口位图的属性参数,或者,配置与所述目的路由接口对应的VLAN端口位图及VFP的属性参数,不仅实现了路由接口的二层隔离,同时还能实现路由接口的三层互通。附图说明图1为本发明实现路由接口二层隔离和三层互通的方法一实施例的流程示意图;图2为图1中步骤S103的第一实施例细化流程示意图;图3为图1中步骤S103的第二实施例细化流程示意图;图4为本发明网络设备一实施例的功能模块示意图;图5为图4中配置模块第一实施例的细化功能模块示意图;图6为图4中配置模块第二实施例的细化功能模块示意图;图7为本发明网络设备中的路由接口组网示意图。本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明提供一种实现路由接口二层隔离和三层互通的方法,参照图1,在一实施例中,所述实现路由接口二层隔离和三层互通的方法包括以下步骤:步骤S101,获取路由接口信息;本优选实施例中,所述路由接口信息包括路由接口编号、MAC地址以及VLAN(VirtualLocalAreaNetwork,虚拟局域网)编号。如图7所示,设定路由接口为Port-A和Port-B,普通接口为Port-C和Port-D。步骤S102,根据所述路由接口信息,确定目的路由接口;本优选实施例中,可以根据获取的路由接口编号、MAC地址以及VLAN编号,确定目的路由接口,如确定需要匹配的目的路由接口信息为路由接口Port-A、MAC地址0000.0000.0200以及VLAN10。也可以根据获取的路由接口编号以及VLAN编号,确定目的路由接口,如路由接口Port-B以及VLAN10。当然,也可以根据实际需要获取其他目的路由接口信息。步骤S103,配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数,或者,配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数,以实现所述目的路由接口的二层隔离和三层互通。本优选实施例中,所述VLAN端口位图包括入方向检测端口位图ING_PORT_BITMAP、广播端口位图PORT_BITMAP以及出方向检查端口位图EGR_PORT_BITMAP等。若入方向检测端口位图包含有目的路由接口,则能使报文互通;若广播端口不包含目的路由接口,则广播报文不会到达目的接口从而实现二层隔离;若出方向检查端口包含有目的路由接口,则报文能通过所述目的路由接口实现三层互通。在第一实施例中,如图2所示,在上述图1的实施例的基础上,本实施例中,所述路由接口信息包括路由接口编号、MAC地址以及VLAN编号,所述步骤S103包括:步骤S1031,在预定VLAN编号的入方向检查端口位图配置入方向端口参数,在所述入方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的入口VLAN检查;步骤S1032,配置VLAN域处理器VFP(VlanFieldProcessor,VLAN域处理器)匹配信息,使MAC地址为交换机地址的报文通过所述目的路由接口,以实现目的路由接口的三层互通;使MAC地址不是交换机地址的报文丢弃,以实现目的路由接口的二层隔离。本优选实施例中,参照图7,以路由接口Port-A到路由接口Port-B和二层接口Port-D的二层隔离和三层互通为例说明。为实现路由接口Port-A到路由接口Port-B和普通二层接口Port-D的二层隔离和三层互通,可以通过在VLAN的入方向检查端口位图配置入方向端口参数和通过配置VFP匹配及动作信息来实现:在VLAN的入方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的入口VLAN检查;配置VFP匹配信息,允许目的MAC为交换机地址且VLAN为路由接口或子接口的报文通过,其它报文丢弃。具体地,如用户需要实现路由接口Port-A到路由接口Port-B和普通二层接口Port-D在VLAN=10的二层隔离和三层互通。第一步需要设置VLAN=10的入方向检查端口位图ING_PORT_BITMAP包含路由接口Port-A,这样,只有VLAN=10的报文可以通过Port-A的入口VLAN检查;第二步需要设置VFP使VLAN=10的目的MAC地址如0000.0000.0200为交换机地址的报文通过,其它则丢弃,从而达到二层隔离和三层互通。本实施例中,如若要取消实现路由接口到路由接口或二层接口的二层隔离和三层互通,则可以通过以下步骤实现:获取路由接口编号、MAC地址、VLAN编号等信息,如上例,确定为目的路由接口编号Port-A、MAC地址0000.0000.0200以及VLAN编号10;设置不包含有目的路由接口的入方向VLAN端口位图;找到对应的VFP的目的路由接口编号、MAC地址、VLAN编号信息并删除;如果没有别的子接口,则删除丢弃其它的路由信息。在第二实施例中,如图3所示,在上述图1的实施例的基础上,本实施例中,所述步骤S103包括:步骤S1033,配置VLAN广播端口位图的广播端口参数,在所述广播端口参数中不包含目的路由接口,使报文不能到达目的路由接口,以实现目的路由接口的二层隔离;步骤S1034,配置VLAN出方向检查端口位图的出方向端口参数,在所述出方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的出口VLAN检查,以实现目的路由接口的三层互通。本实施例中,参照图7,以二层接口Port-C到路由接口Port-B的二层隔离和三层互通为例说明。为实现二层接口Port-C到路由接口Port-B的二层隔离和三层互通,可以通过VLAN实现。通过配置VLAN的广播端口位图的广播端口参数PORT_BITMAP不包含目的路由接口Port-B,使其它接口的报文不会广播到路由接口Port-B,从而达到二层隔离;配置出方向检查端口位图的出方向端口参数EGR_PORT_BITMAP包含路由接口Port-B,使三层报文能够互通。具体地,如用户需要实现二层接口Port-C到路由接口Port-B在VLAN=10的二层隔离和三层互通。第一步需要设置VLAN=10的广播端口位图PORT_BITMAP不包含Port-B,这样Port-C收到广播或未知单播报文时,查询VLAN=10的广播端口位图PORT_BITMAP获取出接口组,将报文从这些接口发送出去,因为VLAN=10的PORT_BITMAP中没有路由接口Port-B,所以广播报文不会达到Port-B,从而实现了Port-C到Port-B的二层隔离;第二步需要设置VLAN=10的出方向检查端口位图EGR_PORT_BITMAP包含路由接口Port-B,这样三层报文在能够通过Port-B的出口VLAN检查,从而实现Port-C到Port-B的三层互通。本实施例中,如若要取消实现二层接口到路由接口的二层隔离和三层互通,则可以通过以下步骤实现:获取路由接口编号和VLAN编号等信息,如上例,确定为目的路由接口编号Port-B、MAC地址0000.0000.0200以及VLAN编号10;设置不包含有目的路由接口Port-B的VLAN广播端口位图;设置不包含目的路由接口Port-B的VLAN出方向检查端口位图。在一优选实施例中,所述路由接口信息包括路由接口编号以及VLAN编号。本优选实施例中,路由接口为Port-B,普通接口为Port-C。本发明还提供一种网络设备,参照图4,在一实施例中,在一优选实施例中,所述网络设备包括:获取模块101,用于获取路由接口信息;本优选实施例中,所述路由接口信息包括路由接口编号、MAC地址以及VLAN(VirtualLocalAreaNetwork,虚拟局域网)编号。如图7所示,设定路由接口为Port-A和Port-B,普通接口为Port-C和Port-D。确定模块102,用于根据所述路由接口信息,确定目的路由接口;本优选实施例中,可以根据获取的路由接口编号、MAC地址以及VLAN编号,确定目的路由接口,如确定需要匹配的目的路由接口信息为路由接口Port-A、MAC地址0000.0000.0200以及VLAN10。也可以根据获取的路由接口编号以及VLAN编号,确定目的路由接口,如路由接口Port-B以及VLAN10。当然,也可以根据实际需要获取其他目的路由接口信息。配置模块103,用于配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数,或者,配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数,以实现所述目的路由接口的二层隔离和三层互通。本优选实施例中,所述VLAN端口位图包括入方向检测端口位图ING_PORT_BITMAP、广播端口位图PORT_BITMAP以及出方向检查端口位图EGR_PORT_BITMAP等。若入方向检测端口位图包含有目的路由接口,则能使报文互通;若广播端口不包含目的路由接口,则广播报文不会到达目的接口从而实现二层隔离;若出方向检查端口包含有目的路由接口,则报文能通过所述目的路由接口实现三层互通。在第一实施例中,如图5所示,在上述图4的实施例的基础上,所述路由接口信息包括路由接口编号、MAC地址以及VLAN编号,所述配置模块包括103包括:第一配置单元1031,用于在预定VLAN编号的入方向检查端口位图配置入方向端口参数,在所述入方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的入口VLAN检查;第二配置单元1032,用于配置VLAN域处理器VFP匹配信息,使MAC地址为交换机地址的报文通过所述目的路由接口,以实现目的路由接口的三层互通;使MAC地址不是交换机地址的报文丢弃,以实现目的路由接口的二层隔离。本优选实施例中,参照图7,以路由接口Port-A到路由接口Port-B和二层接口Port-D的二层隔离和三层互通为例说明。为实现路由接口Port-A到路由接口Port-B和普通二层接口Port-D的二层隔离和三层互通,可以通过在VLAN的入方向检查端口位图配置入方向端口参数和通过配置VFP匹配及动作信息来实现:在VLAN的入方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的入口VLAN检查;配置VFP匹配信息,允许目的MAC为交换机地址且VLAN为路由接口或子接口的报文通过,其它报文丢弃。具体地,如用户需要实现路由接口Port-A到路由接口Port-B和普通二层接口Port-D在VLAN=10的二层隔离和三层互通。第一步需要设置VLAN=10的入方向检查端口位图ING_PORT_BITMAP包含路由接口Port-A,这样,只有VLAN=10的报文可以通过Port-A的入口VLAN检查;第二步需要设置VFP使VLAN=10的目的MAC地址如0000.0000.0200为交换机地址的报文通过,其它则丢弃,从而达到二层隔离和三层互通。本实施例中,如若要取消实现路由接口到路由接口或二层接口的二层隔离和三层互通,则可以通过以下步骤实现:获取路由接口编号、MAC地址、VLAN编号等信息,如上例,确定为目的路由接口编号Port-A、MAC地址0000.0000.0200以及VLAN编号10;设置不包含有目的路由接口的入方向VLAN端口位图;找到对应的VFP的目的路由接口编号、MAC地址、VLAN编号信息并删除;如果没有别的子接口,则删除丢弃其它的路由信息。在第二实施例中,如图6所示,在上述图4的实施例的基础上,本实施例中,所述配置模块103包括:第三配置单元1033,用于配置VLAN广播端口位图的广播端口参数,在所述广播端口参数中不包含目的路由接口,使报文不能到达目的路由接口,以实现目的路由接口的二层隔离;第四配置单元1034,用于配置VLAN出方向检查端口位图的出方向端口参数,在所述出方向端口参数中包含目的路由接口,使报文通过所述目的路由接口的出口VLAN检查,以实现目的路由接口的三层互通。本实施例中,参照图7,以二层接口Port-C到路由接口Port-B的二层隔离和三层互通为例说明。为实现二层接口Port-C到路由接口Port-B的二层隔离和三层互通,可以通过VLAN实现。通过配置VLAN的广播端口位图的广播端口参数PORT_BITMAP不包含目的路由接口Port-B,使其它接口的报文不会广播到路由接口Port-B,从而达到二层隔离;配置出方向检查端口位图的出方向端口参数EGR_PORT_BITMAP包含路由接口Port-B,使三层报文能够互通。具体地,如用户需要实现二层接口Port-C到路由接口Port-B在VLAN=10的二层隔离和三层互通。第一步需要设置VLAN=10的广播端口位图PORT_BITMAP不包含Port-B,这样Port-C收到广播或未知单播报文时,查询VLAN=10的广播端口位图PORT_BITMAP获取出接口组,将报文从这些接口发送出去,因为VLAN=10的PORT_BITMAP中没有路由接口Port-B,所以广播报文不会达到Port-B,从而实现了Port-C到Port-B的二层隔离;第二步需要设置VLAN=10的出方向检查端口位图EGR_PORT_BITMAP包含路由接口Port-B,这样三层报文在能够通过Port-B的出口VLAN检查,从而实现Port-C到Port-B的三层互通。本实施例中,如若要取消实现二层接口到路由接口的二层隔离和三层互通,则可以通过以下步骤实现:获取路由接口编号和VLAN编号等信息,如上例,确定为目的路由接口编号Port-B、MAC地址0000.0000.0200以及VLAN编号10;设置不包含有目的路由接口Port-B的VLAN广播端口位图;设置不包含目的路由接口Port-B的VLAN出方向检查端口位图。在一优选实施例中,所述路由接口信息包括路由接口编号以及VLAN编号。本优选实施例中,路由接口为Port-B,普通接口为Port-C。以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。