专利名称:一种虚拟交换机系统的制作方法
技术领域:
本发明一般涉及网络通信技术,特别涉及一种接入IP公网的虚拟交换 机系统。
背景技术:
虚拟交换机(VS)是一种虚拟私用网(VPN)的实现方法。虚拟交换 机是在网络设备上通过配置生成的功能实体,它能够完成以太网交换机的功 能。 一台网络设备上可以划分出多个虚拟交换机,虚拟交换机可以用于组建 虚拟私有局域网段(VPLS)以及提供用户流量汇聚。
虚拟交换机最初应用在ATM (异步传输模式)设备上提供虛拟私有局 域网段业务。之后,虚拟交换机加入了以太接入以及在IP公网透传以太报文 的GRE(通用路由封装)隧道接入功能。目前虚拟交换机搭建VPN的组网方 式见图l。
虚拟交换机利用链路层(以太)信息进行数据包的转发,全部使用虛拟 交换积j荅建的网络类似于一个以太网。
目前VS和IP (网际协议)转发组件都位于电信局的边缘业务节点上,边 缘业务节点的基本功能是满足用户的上网需求,IP转发组件是边缘业务节点 的核心之一,功能类似于路由器。而VS是在边缘业务节点上为了满足企业 组建VPN的需求,以及为电信局增加收入而添加的扩展组件。在边缘业务节 点上,VS和IP转发组件是独立的功能模块。边缘业务节点只有加入VS组件 才具有组建VPLS的能力。由于实现了虚拟交换机的网络设备还不具备把报 文送往IP转发组件进行路由转发的能力,因此由虚拟交换机构成的企业私有 网或汇聚的用户要访问IP网络必须添加显式的外部连接通道,如路由器或连 线。
图2是现有技术一的技术方案示意图。如图2所示,企业使用VS来构建 VPLS,但需在某个站点内部另外配置一台路由器与公网相连。VPLS内部的设备通过这一路由器访问公网。在该路由器之上或之内 一般会配置地址转换 和报文过滤规则,用于保证企业私有网的安全性。
在该方案中,VPLS内部网络设备把路由器的VPLS侧接口 IP地址设置为 网关。VPLS内部到IP公网的报文都被转发到路由器。路由器查找路由后, 把报文送到IP公网,即图中电信局方的边缘业务节点的IP公网侧接口上。
从IP公网来的IP报文,即电信局方边缘业务节点公网侧接口来的报文到 达路由器,企业路由器查找路由。如果目的地在VPLS内部,则把报文送到 路由器的VPLS侧接口,在VPLS内部进行转发。
这种组网方案适用于具有较强技术实力和经济基础的企业用户。
该现有技术一的缺点是它需要添加路由设备,从而增加了用户的开销。 而且,路由器与边缘业务节点连接还占用了边缘业务节点的宝贵的端口资 源。另外,由于访问公网时使用的NAT (网络地址转换)和安全规则需要用 户配置,/人而增加用户的维护难度。
图3示出了与本发明相关的现有技术二。如图3所示,在边缘业务节点 加一条外部连线,连接一个接入VS的端口和一个接入IP转发组件的端口。这 样,接入VS的用户就可以通过该外部通道把数据发送到IP组件进行IP层转发 了。
在该方案中,VPLS内部把与VS直连的IP转发组件的接口IP地址设置为 网关。VPLS内部到IP公网的报文都被VS转发与它直连的IP转发组件的接口 上。IP转发组件查找路由后,把报文送到IP公网。
从IP公网来的IP报文到达边缘业务节点的IP转发组件,IP转发组件查找 路由。如果目的地在VPLS内部,则把报文送到与它直连的VPLS侧接口交给 VS,之后报文在VPLS内部进行转发。
该方案常用于通过VS来汇聚访问公网的接入用户的数据流量,也可用 于一些对安全性要求不高、资金有限的企业构建VPLS。
由于一般边缘业务节点是放在电信局的。电信部门为了获取大的利润, 边缘业务节点为许多用户共享,边缘业务节点对外接口是稀缺资源, 一个对 外接口可以接入多个企业用户。该现有技术二要在电信局的边缘业务节点上 进4亍,企业用户要占用一个外部冲妄口 (例如一个ATM口或一个以太物理接 口),代价昂贵,并且对VPLS企业用户缺乏安全性。
发明内容
因此,本发明就是针对解决现有技术中的上述缺点而做出的,其一个目
的是提供一种虚拟交换机系统,使其接入IP公网时,基于VS构建VPLS的企 业用户在访问公网资源时既不占用宝贵的边缘业务节点的对外接口,又无须 添加额外的路由设备。
本发明提供了 一种虚拟交换机系统,所述虚拟交换机系统包括虚拟交换 机和IP转发组件,所述虚拟交换机用于组建虚拟私有局域网段,在所述虚 拟交换机与所述IP转发组件之间建立虚拟接口;所述虚拟接口用来对来自 所述虚拟交换机侧用户的数据进行处理,并将经处理的数据交给所述IP转 发组件以将其发送至IP公网,以及对从所述IP转发组件传来的来自IP公网 的数据进行处理,并将经处理的数据交给所述虚拟交换机以将其发送至虚拟 交换机侧的用户。
本发明为基于VS构建VPLS的企业用户访问公网资源提供一种安全、便 捷的方法,由于数据在边缘业务节点内部进行传送,无需使用外部接口,可 以减少VPLS用户访问公网时对边缘业务节点端口资源的占用。另外,相对 现有技术二,本发明能够提供更安全地访问公网;而相对于现有技术一,本 发明将原本设置在用户的路由器上、由用户配置NAT (网络地址转换)和安 全规则的工作交给电信局,无需用户另行购置路由器,NAT(网络地址转换) 和安全规则的配置在电信局的边缘业务节点上由电信局完成,降低了企业用 户使用VS组建VPLS的成本和技术难度,减轻了企业的负担,又增加了电信 局的利润。
图l是目前虚拟交换机搭建VPN的组网方式;
图2是现有技术一的技术方案示意图3是现有技术二的技术方案示意图4是本发明的原理流程图5是本发明的建立内部数据通道的示意图
图6是本发明的优选方案中用户侧向网络侧发送数据报文的流程图7是本发明的优选方案中网络侧向用户侧发送数据根据报文的流程图。
具体实施例方式
参照图4,在VS和IP转发组件之间建立一个虚拟接口。该虚拟接口具有 与一般以太接口同样的功能,只是一般以太接口处理来自对外物理端口的数 据,而"虚拟接口"则处理来自设备内部数据交换芯片的数据。
虚拟接口是一个软件模块。虚拟接口的设计与 一般以太接口的设计是一 致的。虚拟接口与一般以太接口的主要区别在于 一般以太接口处理从物理 以太端口收到的以太格式的帧。而虚拟接口则处理从设备内部的数据交换硬 件单元收到的数据帧,这些数据帧的格式是设备内部定义的,例如固定长度 的信元格式。通过内部数据通道发送的以太报文以设备自定义的格式承载在 设备自定义的内部数据帧上。数据交换硬件单元负责按内部定义的格式组装 这些数据帧,拆除内部格式封装后取出以太帧,然后送给虚拟接口进行链路 层处理。在发送报文时,虚拟接口把标准以太格式的报文送交数据交换硬件
在内部数据通道上发送。
上述虚拟接口完成以下基本功能
1. 从内部数据通道接收以太包;
2. 解析输入的以太包,取出IP报文交给IP转发组件;
3. 接收IP转发组件送来的数据,进行以太链路层封装;
4. 将以太包送交内部数据通道发送;
5. 处理ARP r地址解析协议J报文,建立和维护本接口上的ARP节点, 为新建的ARP节点上报路由。
另外,创建一条内部数据通道,即分配一条内部数据交换通路,它连接 VS和虚拟接口 。内部数据通道的建立方法与设备本身的设计密切相关。
如图5所示,在一个分布式转发体系结构的设备中,整个系统由各种实 现不同功能的单板搭建而成。不同的单板之间的数据通信通过系统的信元总 线完成。在该系统中,VS组件在单板A上实现,而虚拟接口、 IP转发组件在 单板B上实现。为了使单板A上的VS组件能够与单板B上的虚拟接口交换数 据,本发明在VS和虚拟接口间分配一条信元通道。如果系统内部采用ATM信元,则该信元通道就是一条永久虚电路(PVC)。单板间传递的数据被封 装成信元的格式在信元总线上进行交换。信元通道信息被封装在信元结构 中,所述信元通道信息即每一信元通道的标识,在本实施例中,每一信元通 道在系统内部具有唯一标识,用来区分不同的虚拟交换机系统,所述唯一标
识是一个全局唯一的数字。IP组件根据该唯一标识把以太报文送到对应的vs系统。
单板A上的VS1和VS2与单板B上的虚拟接口分别建立了内部信元通道 Pathl和Path2。 VSl通过Pathl,在其MAC (媒体访问控制)地址学习表中记 录虚拟接口的MAC地址。当接收到需发送给虚拟接口的数据包时,VS1就将 Pathl的通道信息以及以太包封装在信元中,送信元总线进行交换,发送到 虚拟接口。虚拟接口根据PATH1通道信息建立VS1系统的ARP节点表,在该 ARP节点表中记录VS1接入的用户的MAC地址。当虚拟接口收到目的MAC 地址是VS1接入的用户的MAC地址的数据包时,虚拟接口将Pathl的通道信 息以及以太包封装在信元中,送信元总线进行交换。VSl从Pathl接收信元, 重组出以太包,再根据包中的目的MAC地址把包交换给最终用户。
如此构建的系统的报文转发流程如下
VS把数据放上内部数据通道发送到虚拟接口 ,虚拟接口从内部数据通 道的硬件单元取得数据,解除以太链路封装,然后交给IP转发组件查路由表 发送到网络侧接口。从网络侧接口进入的IP报文如果目的地是VS侧用户,则 IP转发组件查路由表把报文交给与VS相连的虚拟接口 。虚拟接口查找ARP 节点取得链路层封装信息,之后对IP报文进行链路层封装并将其放上内部数 据通道。VS从内部数据通道收到数据,使用以太目的地址查找地址学习表 把报文发往VS侧用户。
按上述方法构建的系统就可以使VS侧的用户访问公网资源了 ,也就是 说实现了 "现有技术方案二"的功能,而又没有占用宝贵的设备对外端口。 但是该方案难以满足对安全性要求高的企业的需求,因为
1. 没有地址转换功能,因此要求VS侧用户使用公网地址,而不能使用私 网地址,不能满足构建VPLS的要求。
2. 没有防火墙,公网上的用户可以完全访问VS的用户资源,具有严重的 安全漏洞。
为了满足VPLS企业用户使用私网地址的要求以及VPLS企业用户对网 络安全方面的考虑,可对上述方法进行如下改进添加了NAT组件和ACL (接入控制表)组件。NAT组件完成私网地址和公网地址的转换;ACL组件 可以配置生成多种安全策略,例如对进入凄t据包(源IP地址,目的IP地址, 源端口,目的端口,协议)五元组匹配检测,以保证网络连接的安全性。图 6、图7是本发明的改进示意图。
地址转换(NAT),又称地址代理,用来实现私有网络地址与/>有网络 地址之间的转换。当内部网络的主机访问因特网或与外部网络的主机通信 时,需要用到地址转换。所述的NAT组件负责记录私网地址和公网地址的映 射关系,对进出NAT组件的报文进行匹配,把满足已配置的映射关系的报文 进行私网地址和/>网地址的转换。
ACL是指为了过滤数据包而配置的一些^见则,规定什么样的数据包可以 通过,什么样的不能通过,所述的ACL组件记录配置的包过滤规则,对进出 ACL组件的包按过滤规则逐条进行匹配,对于满足规律规则的包,按规则指 定的动作进行处理,如允许通过或丟弃。
NAT和ACL都是目前网络设备上的成熟4支术。NAT组件和ACL组件的实 现方法有多种,在一般的关于网络安全的书籍,网页和文献上基本都有提到。 本发明对NAT组件和ACL组件的实现并没有特殊要求,只要具备NAT和ACL 功能的软件模块都可以被本发明使用。
参照图6所示,从VS侧私网用户来的数据发送到虚拟接口 ,报文随后交 给ACL组件对报文进行五元组匹配等安全检查,不满足已经设定的安全策略 的报文被丢弃,其余的报文送交NAT组件进行源地址私网到公网地址空间的 转换,转换后的报文交给IP转发组件查路由表发送到公网。当然,也可以不 使用NAT组件,这时,报文直接交给IP转发组件查路由表发送到公网,但此 时用户无法使用私网地址。也可以不使用ACL组件,报文送交NAT组件进行 源地址私网到公网地址空间的转换,转换后的报文交给IP转发组件查路由表 发送到公网。
参照图7所示,网络侧接口接收到网络侧来的数据报文,首先交给ACL 组件匹配配置的安全策略,非法报文被丟弃,其余报文交给IP转发组件查路 由表。在没有设置ACL组件的情况下,报文直接交给IP转发组件查路由表。在路由表上,对于私网地址经NAT转换而生成的路由,路由表项会设一NAT 属性标志,而对公网地址生成的路由,路由表项则不设NAT属性标志。这样 经查路由表可以知道,净艮文的目的地是在私网内部的还是公网上。如果报文 的目的地在私网内部,则报文目的地址能够匹配的路由项具有NAT标志,这 类报文送交NAT组件进行目的地址的转换,转换后的报文再次查找路由送交
交换转发。在没有设置NAT组件的情况下,报文查找路由后直接送交虚拟接 口 ,虚拟接口对报文进行链路封装后通过内部数据通道送给VS进行交换转 发。
上面描述的本发明的优选实施例,仅仅是为了说明的目的,本领域的一 般技术人员应该意识到,不同的改进、增减都是可能的,并且都不会脱离本 发明的权利要求所限定的本发明的范围。
权利要求
1.一种虚拟交换机系统,其特征在于,所述虚拟交换机系统包括虚拟交换机和IP转发组件,所述虚拟交换机用于组建虚拟私有局域网段,在所述虚拟交换机与所述IP转发组件之间建立虚拟接口;所述虚拟接口用来对来自所述虚拟交换机侧用户的数据进行处理,并将经处理的数据交给所述IP转发组件以将其发送至IP公网,以及对从所述IP转发组件传来的来自IP公网的数据进行处理,并将经处理的数据交给所述虚拟交换机以将其发送至虚拟交换机侧的用户。
2. 根据权利要求1所述的系统,其特征在于,所述虚拟接口对来自所 述虚拟交换机侧用户的数据进行解除以太链路封装的操作,然后将经过解除 链路封装的数据交给所述IP转发组件查路由表以发送给IP公网。
3. 根据权利要求1所述的系统,其特征在于,从IP公网进入的IP报 文如果目的地是虚拟交换机侧的用户,则所述IP转发组件查路由表把报文 交给与所述虚拟交换机相连的虚拟接口,所述虚拟接口查找ARP节点取得 链路层封装信息,之后对IP报文进行链路层封装并将其传送给所述虚拟交 换机。
4. 根据权利要求1所述的系统,其特征在于,所述虚拟接口与所述虚 拟交换机之间的信息交换通过内部数据通道完成,所述内部数据通道是使用 所述虚拟接口与所述虚拟交换机所在设备的总线的逻辑数据通道。
5. 根据权利要求4所述的系统,其特征在于,所述内部数据通道具有 唯一标识,用来区分不同的虚拟交换机系统。
6. 根据权利要求1至5中任何一项所述的系统,其特征在于,所述虚 拟接口与所述IP转发组件之间还设有存取控制表组件,用于对所述虚拟接 口与所述IP转发组件之间往来的数据进行安全检测。
7.根据权利要求6所述的系统,其特征在于,所述虚拟接口与IP转发 组件之间还设有网络地址转换组件,用于将进入所述私有局域网段的报文的 目的地址由公网地址转换为私网地址,以及将从所述私有局域网#议出的报 文的源地址由私网地址转换为网地址。
全文摘要
本发明公开了一种虚拟交换机系统,所述虚拟交换机系统包括虚拟交换机和IP转发组件,所述虚拟交换机用于组建虚拟私有局域网段,在所述虚拟交换机与所述IP转发组件之间建立虚拟接口;所述虚拟接口用来对来自所述虚拟交换机侧用户的数据进行处理,并将经处理的数据交给所述IP转发组件以将其发送至IP公网,以及对从所述IP转发组件传来的来自IP公网的数据进行处理,并将经处理的数据交给所述虚拟交换机以将其发送至虚拟交换机侧的用户。本发明扩展了虚拟交换机系统的业务范围,减少了VPLS用户访问公网时对设备端口资源的占用,进而增加了运营商的盈利手段,降低了企业用户使用VS组建VPLS的成本和技术难度。
文档编号H04L12/24GK101202706SQ20071016779
公开日2008年6月18日 申请日期2003年9月26日 优先权日2003年9月26日
发明者宇 熊 申请人:华为技术有限公司