一种实现虚拟局域网聚合的方法及汇聚交换机的制作方法

专利名称：一种实现虚拟局域网聚合的方法及汇聚交换机的制作方法
技术领域：
本发明涉及计算机网络通信技术领域，尤其涉及一种实现虚拟局域网(Virtual Local Area Networks，简称VLAN)聚合的方法及其应用的汇聚交换机(Convergence Switch)。
背景技术：
目前，虚拟局域网VLAN技术得到了广泛的推广和应用，虚拟局域网VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个虚拟局域网VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中，从而使网络带宽得到充分利用，网络性能大大提高；此外，虚拟局域网VLAN交换机如同一道屏风，只有具备VLAN成员资格的分组数据才能通过，因此，虚拟局域网VLAN技术还增加了网络的安全性。
请参阅图1，图1为采用VLAN技术的三层组网系统的结构示意图；如图所示，在该组网系统中，四个客户端主机(PC#1、PC#2、PC#3、PC#4)分别与四个虚拟局域网(VLAN#100、VLAN#200、VLAN#300、VLAN#400)相连，并且，各个VLAN分别通过二层交换机和汇聚交换机透传到三层网关上进行终结。当用户接入的VLAN数目较多时候，需要在三层网关上进行大量的VLAN终结，每一个VLAN都需要占用一个三层网关的路由接口资源，给三层网关设备处理造成了较大的压力，同时，也造成了汇聚网络中VLAN资源的浪费与冲突。
鉴于上述汇聚网络中VLAN资源的浪费，目前已提出了多种实现VLAN映射(聚合)的方法，VLAN映射为通过聚合技术的手段，将多个用户侧VLAN映射成一个网络侧VLAN。
请参阅图2，图2为采用VLAN聚合技术的三层组网系统的结构示意图。现有技术中实现聚合技术的核心思想为设置多个用户侧虚拟局域网VLAN与一个网络侧VLAN的对应关系；所述的对应关系可以通过在汇聚交换机中设置相应的访问控制列表(Access Control List，简称ACL)中的MAC地址和VLAN标识间的关系来实现。其中，用户侧VLAN是指位于接入侧，即用户直接接入的VLAN；所述的网络侧VLAN是指位于网络侧，即汇聚交换机与网关设备之间的VLAN。
具体地说，从用户侧VLAN(VLAN#100、VLAN#200、VLAN#300、和/或VLAN#400)上行到汇聚交换机的报文，通过访问控制列表ACL的包过滤技术映射处理后，全部汇聚为一个上行的VLAN(VLAN#1000)发送至网关设备，即将报文中携带的VLAN标识变换为同一个网络侧VLAN标识；从网络侧VLAN下行的报文，根据所设置的对应关系以及下行报文所携带的目的媒介接入控制(Medium Access Control，简称MAC)地址，通过访问控制列表ACL所使用的包过滤技术映射处理后，将报文中所携带的VLAN标识变换为相应的用户侧VLAN标识，通过其所对应的用户侧VLAN将下行报文发送至对应的客户端主机。
从上述技术方案可以看出，在汇聚交换机与网关设备之间通过聚合后的同一个网络侧VLAN进行报文传输，有效地降低了汇聚网络中的VLAN资源消耗和三层网关设备VLAN路由接口的数量，同时，还适度增加了网络的安全性。
然而，用于影响网络安全的因素很多，例如，较常见的包括MAC地址的假冒、盗用或地址欺骗等。由于上述技术方案中所使用的MAC地址的合法性，直接影响了实现VLAN映射(聚合)方法的可靠性，使上述的聚合方法在安全方面还是有漏洞的。因此，如何提升VLAN汇聚技术在安全性方面的高度，是目前业界急需解决的问题。

发明内容
鉴于上述技术的不足，本发明的目的在于，提出一种实现虚拟局域网聚合的方法及汇聚交换机，其通过ACL与DHCP snooping技术相结合来实现多对一的VLAN映射，即在二层交换组网方式下的VLAN映射(或聚合)，以使在减少网络上游路由器(三层路由设备)所消耗接口数量的同时，大幅提升网络的安全性。
本发明的目的是通过如下的技术方案实现的一种实现虚拟局域网聚合的方法，包括步骤S1配置多个用户侧VLAN与一个网络侧VLAN对应关系的VLAN聚合映射表，以及建立由报文携带的用户信息所组成的绑定关系表；步骤S2根据用户信息绑定关系表，判断所接收到的报文携带的用户信息是否合法，如果合法，则执行步骤S3，如果不合法就丢弃报文；步骤S3将报文携带的VLAN标识按照VLAN聚合映射表进行修改，然后转发到相应的目的VLAN中。
对于上述的实现虚拟局域网聚合的方法，所述的报文为DHCP协议报文，所述的绑定关系表的表项信息为VLAN标识、MAC地址、端口地址和/或IP地址。
对于上述的实现虚拟局域网聚合的方法，所述的绑定关系表中的表项由手工静态配置和/或在接收上、下行报文时基于DHCP Snooping交互过程从报文中动态获取的用户信息生成。
上述的实现虚拟局域网聚合方法中的配置VLAN聚合映射表的具体步骤包括建立访问控制列表ACL中的表项，设置ACL表项中的匹配规则和匹配动作记录多个用户侧VLAN与一个网络侧VLAN的对应关系。
对于上述的实现虚拟局域网聚合的方法，在上行方向，所述访问控制列表ACL表项的匹配规则为所述报文所携带的源MAC地址和VLAN标识的信息，或者为所述报文所携带的源MAC地址、端口地址和VLAN标识的信息；所述访问控制列表ACL表项的匹配动作为将上行DHCP报文携带的用户侧VLAN标识替换为所述网络侧VLAN的标识；以及，在下行方向，所述访问控制列表ACL表项的匹配规则为所述报文所携带的IP地址、源MAC地址和VLAN标识的信息，或者为所述报文所携带的IP地址、目的MAC地址、端口地址和VLAN标识的信息；所述访问控制列表ACL表项的匹配动作为将下行DHCP报文携带的网络侧VLAN标识替换为所述的用户侧VLAN标识。
上述的实现虚拟局域网聚合方法中步骤S2的上行方向的具体流程包括
步骤S2-1接收并根据绑定关系表项中的内容，配置上行方向的访问控制列表ACL的表项；步骤S2-2根据所述上行DHCP协议报文携带的VLAN标识，查找所述访问控制列表ACL相应表项中所配置的VLAN聚合映射表信息，如果所述报文携带的VLAN标识等于网络侧VLAN所对应的用户侧VLAN，执行步骤S2-3，否则，执行步骤S2-4；步骤S2-3将所述上行DHCP协议报文中的VLAN标识替换成相应的网络侧VLAN标识，并且，将所述的报文通过网络侧VLAN发送至网关设备；步骤S2-4将所述的上行DHCP协议报文在原有VLAN中发送。
对于所述的实现虚拟局域网聚合方法中步骤S2的下行方向的具体流程包括步骤S2-1′接收并根据绑定关系表项中的内容，配置下行访问控制列表ACL的表项；步骤S2-2′根据所述下行DHCP协议报文携带的VLAN标识，查找所述下行访问控制列表ACL相应表项中所配置的VLAN聚合映射表信息，如果所述报文携带的VLAN标识等于网络侧VLAN，执行步骤S2-3′，否则，执行步骤S2-5′；步骤S2-3′根据绑定关系表项中的记录信息，找出所述报文携带的目的MAC地址所对应的用户侧VLAN；步骤S2-4′将所述下行DHCP协议报文携带的VLAN标识修改为用户主机所在的用户侧VLAN标识；并且，将所述的报文通过所述的用户侧VLAN发送至用户主机；步骤S2-5′所述的下行DHCP协议报文在原有VLAN中发送。
本发明还提供一种汇聚交换机，用于保存不同用户侧VLAN与一个网络侧VLAN对应关系的配置和建立由报文携带用户信息所组成的绑定关系表，所述的汇聚交换机用以接收上、下行报文，以及根据用户信息绑定关系表判断接收到报文所携带的用户信息的合法性，将合法报文携带的VLAN标识按照VLAN聚合映射表进行修改，并将所述报文转发到相应的目的VLAN中。
对于所述的汇聚交换机，进一步包括用户接口模块、DHCP侦听模块、ACL表项管理模块、上行收发处理模块和下行收发处理模块。
其中，用户接口模块，用以配置VLAN聚合映射表中的用户侧VLAN和网络侧VLAN的对应关系，并且将其发送至ACL表项管理模块；DHCP侦听模块，通过侦听用户主机与网关之间的DHCP交互过程，动态建立和维护绑定关系表，并且，将建立的绑定关系表发送至ACL表项管理模块；ACL表项管理模块，根据接收的VLAN聚合映射表和绑定关系表，动态配置访问控制列表ACL的表项；上行收发处理模块，用以接收上行DHCP报文，根据所配置的VLAN聚合映射表所配置的ACL表项的匹配规则和匹配动作，将上行DHCP报文发送至网关设备；下行收发处理模块，用以接收上行DHCP报文，根据绑定关系表和VLAN聚合映射表所配置的ACL表项的匹配规则和匹配动作，将下行DHCP协议报文发送至用户主机。
对于所述的汇聚交换机，所述访问控制列表ACL的表项分为上行访问控制列表ACL表项和下行访问控制列表ACL表项；其中，所述上行ACL表项的匹配规则为源MAC地址和VLAN标识，或者为源MAC地址、端口地址和VLAN标识的信息；所述上行ACL表项的匹配动作为将上行DHCP报文携带的用户侧VLAN标识替换为所述网络侧VLAN的标识；所述下行ACL表项的匹配规则为IP地址、源MAC地址和VLAN标识，或者为匹配规则为IP地址、目的MAC地址、端口地址和VLAN标识的信息，所述下行ACL表项的匹配动作为将下行DHCP报文携带的网络侧VLAN的标识替换为所述的用户侧VLAN标识。
对于所述的汇聚交换机中的DHCP侦听模块，用以通过侦听各用户主机与网关之间的DHCP交互过程，产生绑定表项添加与删除的消息，并将绑定表项添加与删除的消息发送至ACL表项管理模块。
从上述技术方案可以看出，本发明解决了通过ACL模块与DHCP侦听(DHCP snooping)模块相结合来实现多对一的VLAN映射技术，DHCPSnooping模块通过建立包括MAC地址、IP地址、端口号和VLAN ID绑定关系表，并且将绑定关系表中的信息全部或部分设置到ACL规则中，实现更加严格的绑定，在实现二层(Layer2)组网方式下的VLAN映射(或聚合)的同时，提升了VLAN汇聚技术在安全性方面的高度。


图1为采用VLAN技术的三层组网系统的结构示意图；图2为采用VLAN聚合技术的三层组网系统的结构示意图；图3为采用ACL与DHCP snooping技术相结合实现VLAN聚合的三层组网系统的结构示意图；图4为本发明实施例的汇聚交换机基本结构示意图；图5为本发明实施例的实现虚拟局域网聚合方法流程图；图6为本发明实施例的步骤S2(上行方向)的具体实施流程图；图7为本发明实施例的步骤S2(下行方向)的具体实施流程图。
具体实施例方式
下面将结合附图对本发明实现虚拟局域网聚合方法和汇聚交换机进行详细说明。
首先，请参阅图3，图3为采用ACL与DHCP snooping技术相结合实现VLAN聚合的三层组网系统的结构示意图。如图所示，8个用户主机(PC#11、PC#12、PC#21、PC#22、PC#31、PC#32、PC#41以及PC#42)，分别接入不同的用户侧VLAN(VLAN#1、VLAN#2、VLAN#3和VLAN#4)，4个用户侧VLAN通过同一个网络侧VLAN(VLAN#5)来实现VLAN聚合进行报文传输。
具体的说，汇聚交换机中所使用的VLAN标识可以分类定义为用户侧VLAN标识(例如，VLAN1、VLAN2、VLAN3、VLAN4)与网络侧VLAN标识(例如，VLAN5)；从用户侧VLAN上行的报文在通过汇聚交换机的映射处理后，报文中携带的VLAN标识变换为同一个网络侧VLAN标识；从网络侧VLAN下行的报文经过汇聚交换机处理后，报文携带的VLAN标识变换为相应用户侧的VLAN标识。
与图2中所示的不同之处在于，二层交换机上还连接有动态主机配置协议(Dynamic Host Configuration Protocol，简称DHCP)服务器。DHCP协议是一种用于简化用户主机IP配置管理的IP标准。通过采用DHCP标准，可以使用DHCP服务器为网络上启用了DHCP协议的用户主机设置网络IP地址、掩码、网关、域名解析服务器(Domain Name System，简称DNS)等网络参数，简化了用户网络设置。当汇聚交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP请求(DHCP Request)或DHCP应答(DHCP ACK)报文中提取并记录IP地址和MAC地址信息。通过获取到的DHCP信息，汇聚交换机在本地生成一个DHCP Snooping绑定表，满足该表中绑定关系的报文可以正常被汇聚交换机转发，不满足绑定关系的报文可以被交换机禁止。
请参阅图4，图4为本发明实施例的汇聚交换机基本结构示意图；图中所示的汇聚交换机位于汇聚层，可以为带VLAN聚合功能的二层交换机。在本发明的实施例中，该汇聚交换机的功能为用于保存不同用户侧VLAN与一个网络侧VLAN对应关系的配置建立由报文携带用户信息所组成的绑定关系表，以及根据用户信息绑定关系表判断接收到报文所携带的用户信息的合法性，将合法报文携带的VLAN标识按照VLAN聚合映射表进行修改，并转发到相应的目的VLAN中。具体地说，该汇聚交换机接收上、下行DHCP报文，以及根据上、下行DHCP协议报文携带的信息生成绑定关系表项；并且，根据用户信息绑定关系表，在上行方向，判断所接收到上行报文携带的用户信息是否合法，如果合法，将上行报文携带的用户侧VLAN标识按照VLAN聚合映射表进行修改，然后将上行DHCP报文通过相应的网络侧VLAN发送至网关设备，如果不合法就丢弃报文；在下行方向，判断所接收到下行报文携带的用户信息是否合法，如果合法，将下行报文携带的网络侧VLAN标识按照VLAN聚合映射表进行修改，然后将下行DHCP报文通过相应的用户侧VLAN发送至用户主机。
如图4所示，该汇聚交换机具体包括用户接口模块、DHCP侦听模块、ACL表项管理模块、上行收发处理模块和下行收发处理模块。
用户接口模块作为用户管理接口，通过该模块配置VLAN映射组中用户侧VLAN和网络侧VLAN的对应关系，生成VLAN聚合映射表，优选地，将该聚合映射表发送至ACL表项管理模块，以便在汇聚交换机上静态配置访问控制列表ACL，进而，对相关报文进行VLAN变换。
DHCP侦听模块通过侦听用户主机与网关之间的DHCP交互过程，可以动态建立和维护绑定关系表，以及产生DHCP Snooping绑定表项添加与删除的消息；该绑定表中一般包含如下的表项用户主机的IP地址、用户主机的MAC地址、用户主机所属端口以及用户主机所属VLAN。
优选地，DHCP侦听模块包括绑定关系表管理模块，用以通过侦听各用户主机与网关之间的DHCP交互过程，产生绑定表项添加与删除的消息，并将绑定表项添加与删除的消息发送至ACL表项管理模块。即DHCP侦听模块还可以进一步将DHCP Snooping绑定表项添加与删除的消息和DHCPSnooping绑定表发送至ACL表项管理模块。在采用专用芯片(ASIC)进行报文转发的汇聚交换机中，经过一个报文的完整收发步骤可以产生一条绑定关系表项，针对用户主机(例如，PC#11)经过一个完整的收发步骤，DHCP snooping侦听模块可以获得对于该用户主机(PC#11)的完整绑定关系表项，该条绑定关系表项是无法对用户发出的实际数据报文进行有效处理的，如果检查该绑定关系表合法，这就需要将生成的绑定关系表的表项信息下发到硬件芯片(ASIC)中，即给ACL表项管理模块发送DHCP snooping绑定表添加消息；同样，在DHCP snooping侦听模块认为需删除绑定表的时候，也需要给ACL表项管理模块发送DHCPsnooping绑定表删除消息。
ACL表项管理模块根据接收的VLAN聚合映射表和绑定关系表，动态配置访问控制列表ACL的表项。即上述的硬件芯片对报文按照如下原则处理判断报文携带的IP、MAC、VLAN信息以及报文来自的端口信息是否与某一条ACL表项相同，如果相同则将报文携带的VLAN标识进行修改，然后转发到相应的目的VLAN中，如果不相同就丢弃报文；如果是上行方向报文，检查的是用户侧VLAN，修改的目的VLAN是网络侧VLAN，如果是下行方向的报文，则检查的是网络侧VLAN，修改的目的VLAN是用户测VLAN。
所述访问控制列表ACL的表项分为上行访问控制列表ACL表项和下行访问控制列表ACL表项；其中，所述上行ACL表项的匹配规则为源MAC地址和VLAN标识，或者，也可以将DHCP snooping模块提供的源MAC地址、端口地址和VLAN标识等信息全部设置到ACL规则中，以实现更加严格的绑定；所述上行ACL表项的匹配动作为将上行DHCP报文携带的用户侧VLAN标识替换为所述网络侧VLAN的标识；所述下行ACL表项的匹配规则为IP地址、目的MAC地址和VLAN标识，或者，也可以将DHCPsnooping模块提供的源MAC地址、端口地址和VLAN标识等信息全部设置到ACL规则中，以实现更加严格的绑定；所述下行ACL表项的匹配动作为将下行DHCP报文携带的网络侧VLAN(例如，VLAN#5)的标识替换为所述的用户侧VLAN(例如，VLAN#1)标识。
上行收发处理模块，用以接收上行DHCP报文，根据所配置的VLAN聚合映射表所配置的ACL表项的匹配规则和匹配动作，将上行DHCP报文发送至网关设备；下行收发处理模块，用以接收上行DHCP报文，根据绑定关系表和VLAN聚合映射表所配置的ACL表项的匹配规则和匹配动作，将下行DHCP协议报文发送至用户主机。
根据上面的描述可以看出，在本发明的实施例中，汇聚交换机中的DHCP侦听模块和ACL表项管理模块还可以实现对用户主机的动态管理，即当一个用户主机接入用户侧VLAN和退出用户侧VLAN时，通过DHCP侦听模块和ACL表项管理模块的配合可以实现动态的更新相关ACL表项，从而保证可利用聚合后的网络侧VLAN准确地完成报文传输。
下面将结合附图3对图5至图7中所示的本发明实施例的实现虚拟局域网聚合的方法进行详细说明。
请参阅图5，图5为本发明实施例的实现虚拟局域网聚合方法流程图；在本实施例中的实现虚拟局域网聚合的方法包括如下步骤步骤S1配置多个用户侧VLAN与一个网络侧VLAN对应关系的VLAN聚合映射表，以及建立由报文携带的用户信息所组成的绑定关系表；步骤S2根据用户信息绑定关系表，判断所接收到的报文携带的用户信息是否合法，如果合法，则执行步骤S3，如果不合法就丢弃报文；步骤S3将报文携带的VLAN标识按照VLAN聚合映射表进行修改，然后转发到相应的目的VLAN中。
需要说明的是，配置多个用户侧VLAN与一个网络侧VLAN对应关系的VLAN聚合映射表的步骤，可以通过人机交互的方式进行。本发明同时提供了两种可选的技术方案用于生成与记录包括用户的IP地址、MAC地址、端口(PORT)、VLAN等信息的绑定关系表；一种技术方案可以是静态配置用户的IP、MAC、PORT、VLAN等信息，这种方式适用于用户终端通过静态配置IP地址的方式接入网络；另一种较佳的技术方案是基于DHCP Snooping交互过程获取用户的IP、 MAC、PORT、VLAN等信息。当然，上述两种方式也可以混合使用，例如，在同一网络中，对某些用户采用DHCP动态检测的方法，对某些用户采用手工配置的方式。
完成上述配置多个用户侧VLAN与一个网络侧VLAN对应关系的VLAN聚合映射表，以及建立由报文携带的用户信息所组成的绑定关系表后，就可以进行建立访问控制列表ACL中的表项，即设置ACL表项中的匹配规则和匹配动作记录多个用户侧VLAN与一个网络侧VLAN对应关系。
为了描述方便起见，在本实施例中，上行ACL表项的匹配规则为源MAC地址和VLAN标识；匹配动作为将上行DHCP报文携带的用户侧VLAN标识替换为所述网络侧VLAN的标识；下行ACL表项的匹配规则为IP地址、目的MAC地址和VLAN标识，下行ACL表项的匹配动作为将下行DHCP报文携带的网络侧VLAN的标识替换为所述的用户侧VLAN标识。
具体的说，请参阅图6，图6为本发明实施例的步骤S2(上行方向)的具体实施流程图；图中所示的步骤S2进一步包括如下步骤步骤S2-1接收并根据绑定关系表项中的内容，配置上行方向的访问控制列表ACL的表项；即ACL的表项规则为“报文源MAC等于MAC1”，并且“报文携带VLAN标识等于VLAN1”；步骤S2-2根据所述上行DHCP协议报文携带的VLAN标识，查找所述访问控制列表ACL相应表项中所配置的VLAN聚合映射表信息，如果所述报文携带的VLAN标识等于网络侧VLAN所对应的用户侧VLAN，执行步骤S2-3，否则，执行步骤S2-4；步骤S2-3将所述上行DHCP协议报文中的VLAN标识替换成相应的网络侧VLAN标识，即匹配动作为将上行DHCP报文VLAN标识修改为VLAN5；并且，将所述的报文通过网络侧VLAN发送至网关设备；步骤S2-4将所述的上行DHCP协议报文在原有VLAN中发送。
请参阅图7，图7为本发明实施例的S2(下行方向)的具体实施的流程图。图中所述的步骤S2进一步包括如下步骤步骤S2-1′接收并根据绑定关系表项中的内容，配置下行访问控制列表ACL的表项；步骤S2-2′根据所述下行DHCP协议报文携带的VLAN标识，查找所述下行访问控制列表ACL相应表项中所配置的VLAN聚合映射表信息，即表项规则为“报文目的MAC等于MAC1”，并且“报文携带VLAN标识等于VLAN 5”；如果所述报文携带的VLAN标识等于网络侧VLAN，执行步骤S2-3′，否则，执行步骤S2-5′；步骤S2-3′根据绑定关系表项中的记录信息，找出所述报文携带的目的MAC地址所对应的用户侧VLAN；步骤S2-4′基于上述的查表结果，将所述下行DHCP协议报文携带的VLAN标识修改为用户主机所在的用户侧VLAN标识，以及，将所述的报文通过所述的用户侧VLAN发送至用户主机；步骤S2-5′将所述的下行DHCP协议报文在原有VLAN中发送。
综上所述，本发明通过ACL与DHCP侦听(DHCP snooping)技术相结合来实现多对一的VLAN映射，DHCP Snooping技术通过建立包括MAC地址、IP地址、端口号和VLAN ID绑定关系表，并且将绑定关系表中的信息全部或部分设置到访问控制列表中的ACL规则中，实现更加严格的绑定，在实现二层(Layer2)组网方式下的VLAN映射(或聚合)的同时，提升了VLAN汇聚技术在安全性方面的高度。
需要声明的是，上述发明内容及具体实施方式
意在证明本发明所提供技术方案的实际应用，不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理内，当可作各种修改、等同替换、或改进。本发明的保护范围以所附权利要求书为准。
权利要求
1.一种实现虚拟局域网聚合的方法，其特征在于，所述的方法包括步骤S1配置多个用户侧VLAN与一个网络侧VLAN对应关系的VLAN聚合映射表，以及建立由报文携带的用户信息所组成的绑定关系表；步骤S2根据用户信息绑定关系表，判断所接收到的报文携带的用户信息是否合法，如果合法，则执行步骤S3，如果不合法就丢弃报文；步骤S3将报文携带的VLAN标识按照VLAN聚合映射表进行修改，然后转发到相应的目的VLAN中。
2.根据权利要求1所述的实现虚拟局域网聚合的方法，其特征在于，所述的报文为DHCP协议报文，所述的绑定关系表的表项信息为VLAN标识、MAC地址、端口地址和/或IP地址。
3.根据权利要求2所述的实现虚拟局域网聚合的方法，其特征在于，所述的绑定关系表中的表项由手工静态配置和/或在接收上、下行报文时基于DHCP Snooping交互过程从报文中动态获取用户信息来生成。
4.根据权利要求1-3任一所述的实现虚拟局域网聚合的方法，其特征在于，所述的配置VLAN聚合映射表步骤包括建立访问控制列表ACL中的表项，设置ACL表项中的匹配规则和匹配动作记录多个用户侧VLAN与一个网络侧VLAN的对应关系。
5.根据权利要求4所述的实现虚拟局域网聚合的方法，其特征在于，在上行方向，所述访问控制列表ACL表项的匹配规则为所述报文所携带的源MAC地址和VLAN标识的信息，或者为所述报文所携带的源MAC地址、端口地址和VLAN标识的信息；所述访问控制列表ACL表项的匹配动作为将上行DHCP报文携带的用户侧VLAN标识替换为所述网络侧VLAN的标识；以及在下行方向，所述访问控制列表ACL表项的匹配规则为所述报文所携带的IP地址、源MAC地址和VLAN标识的信息，或者为所述报文所携带的IP地址、目的MAC地址、端口地址和VLAN标识的信息；所述访问控制列表ACL表项的匹配动作为将下行DHCP报文携带的网络侧VLAN标识替换为所述的用户侧VLAN标识。
6.根据权利要求5所述的实现虚拟局域网聚合的方法，其特征在于，所述步骤S2的上行方向的具体流程包括步骤S2-1接收并根据绑定关系表项中的内容，配置上行方向的访问控制列表ACL的表项；步骤S2-2根据所述上行DHCP协议报文携带的VLAN标识，查找所述访问控制列表ACL相应表项中所配置的VLAN聚合映射表信息，如果所述报文携带的VLAN标识等于网络侧VLAN所对应的用户侧VLAN，执行步骤S2-3，否则，执行步骤S2-4；步骤S2-3将所述上行DHCP协议报文中的VLAN标识替换成相应的网络侧VLAN标识，并且，将所述的报文通过网络侧VLAN发送至网关设备；步骤S2-4将所述的上行DHCP协议报文在原有VLAN中发送。
7.根据权利要求5所述的实现虚拟局域网聚合的方法，其特征在于，所述步骤S2的下行方向的具体流程包括步骤S2-1′接收并根据绑定关系表项中的内容，配置下行访问控制列表ACL的表项；步骤S2-2′根据所述下行DHCP协议报文携带的VLAN标识，查找所述下行访问控制列表ACL相应表项中所配置的VLAN聚合映射表信息，如果所述报文携带的VLAN标识等于网络侧VLAN，执行步骤S4-3′，否则，执行步骤S2-5′；步骤S2-3′根据绑定关系表项中的记录信息，找出所述报文携带的目的MAC地址所对应的用户侧VLAN；步骤S2-4′将所述下行DHCP协议报文携带的VLAN标识修改为用户主机所在的用户侧VLAN标识，以及，将所述的报文通过所述的用户侧VLAN发送至用户主机；步骤S2-5′所述的下行DHCP协议报文在原有VLAN中发送。
8.一种汇聚交换机，用于保存不同用户侧VLAN与一个网络侧VLAN对应关系的配置和建立由报文携带用户信息所组成的绑定关系表，其特征在于，所述的汇聚交换机接收上、下行报文，以及根据用户信息绑定关系表判断接收到报文所携带的用户信息的合法性，将合法报文携带的VLAN标识按照VLAN聚合映射表进行修改，并将所述的报文转发到相应的目的VLAN中。
9.根据权利要求8所述的汇聚交换机，其特征在于，所述的汇聚交换机具体包括用户接口模块、DHCP侦听模块、ACL表项管理模块、上行收发处理模块和下行收发处理模块；其中，用户接口模块，用以配置VLAN聚合映射表中的用户侧VLAN和网络侧VLAN的对应关系，并且将其发送至ACL表项管理模块；DHCP侦听模块，通过侦听用户主机与网关之间的DHCP交互过程，动态建立和维护绑定关系表，并且，将建立的绑定关系表发送至ACL表项管理模块；ACL表项管理模块，根据接收的VLAN聚合映射表和绑定关系表，动态配置访问控制列表ACL的表项；上行收发处理模块，用以接收上行DHCP报文，根据所配置的VLAN聚合映射表所配置的ACL表项的匹配规则和匹配动作，将上行DHCP报文发送至网关设备；下行收发处理模块，用以接收上行DHCP报文，根据绑定关系表和VLAN聚合映射表所配置的ACL表项的匹配规则和匹配动作，将下行DHCP协议报文发送至用户主机。
10.根据权利要求9所述的汇聚交换机，其特征在于，所述访问控制列表ACL的表项分为上行访问控制列表ACL表项和下行访问控制列表ACL表项；其中，所述上行ACL表项的匹配规则为源MAC地址和VLAN标识，或者为源MAC地址、端口地址和VLAN标识的信息；所述上行ACL表项的匹配动作为将上行DHCP报文携带的用户侧VLAN标识替换为所述网络侧VLAN的标识；所述下行ACL表项的匹配规则为IP地址、目的MAC地址和VLAN标识，或者为匹配规则为IP地址、目的MAC地址、端口地址和VLAN标识的信息，所述下行ACL表项的匹配动作为将下行DHCP报文携带的网络侧VLAN的标识替换为所述的用户侧VLAN标识。
11.根据权利要求9-10任一所述的汇聚交换机，其特征在于，所述的DHCP侦听模块还包括绑定关系表管理模块，用以通过侦听各用户主机与网关之间的DHCP交互过程，产生绑定表项添加与删除的消息，并将绑定表项添加与删除的消息发送至ACL表项管理模块。
全文摘要
本发明提供了一种实现虚拟局域网聚合的方法及汇聚交换机，所述的方法包括所述的汇聚交换机保存不同用户侧VLAN与一个网络侧VLAN对应关系和由报文所携带的用户信息组成的绑定关系表的配置，接收上、下行报文，根据上、下行报文携带的用户信息生成绑定关系表项；以及，在上行方向，根据所配置的VLAN聚合映射表，将上行报文发送至网关设备，在下行方向，根据绑定关系表和所配置的VLAN聚合映射表，将下行报文发送至用户主机。本发明在实现二层(Layer2)组网方式下的VLAN映射(或聚合)的同时，提升了VLAN汇聚技术在安全性方面的高度。
文档编号H04L29/06GK101022394SQ20071009209
公开日2007年8月22日 申请日期2007年4月6日 优先权日2007年4月6日
发明者刘建锋, 宋建永, 李爱国 申请人:杭州华为三康技术有限公司