专利名称::实现接入电路接口间访问控制的方法和装置的制作方法
技术领域:
:本发明涉及虚拟专用局域网业务(VPLS,VirtualPrivateLANService)领域,特别涉及VPLS中实现接入电路(AC,AttachmentCircuit)接口间访问控制的方法和装置。
背景技术:
:VPLS的主要目的是通过分组交换网络(PSN,PacketSwitchNetwork)将不同的用户网络连接在一起,实现局域网仿真(EmulatedLAN),使这些用户网络象一个网络那样工作。PSN网络有不同的实施方式,多协议标签交换(MPLS,MultiprotocolLabelSwitching)骨干网就是其中的一种。图1为现有技术一种VPLS的基本结构示意图,即一个VPLS包括连接到运营商边缘(PE,ProviderEdge)设备的多个站点(Site),每一个Site中包括用户边缘(CE,CustomerEdge)设备。其中PE设备和CE设备之间存在AC接口,它可以是物理接口或者子4妄口,PE设备之间存在虚拟链^各(PW,PseudoWire)。在VPLS中转发用户报文时,如果用户报文的源AC接口和目的AC接口对应相同的PE设备,该用户报文的转发称为本地转发,该PE设备称为本地PE设备,本地PE设备对应的AC接口可以统称为本地AC接口;如果用户报文的源AC接口和目的AC接口对应不同的PE设备,该用户净艮文的转发称为远端转发,将对应源AC接口的PE设备称为本地PE设备,将对应目的AC接口的PE设备称为远端PE设备,远端PE设备对应的AC冲妄口可以统称为远端AC接口。在VPLS中,PE设备通过AC接口学习自身对应的MAC地址,即自身对应的AC接口所对应的MAC地址,并通过PW学习其他PE设备对应的MAC地址。PE设备在自身维护其他PE设备与其对应MAC地址的关系、以及自身对应MAC地址与所对应AC接口的关系。在转发用户报文时,如果PE设备收到自身对应的AC接口发送的广播报文,将向同一VPLS的所有其他PE设备以及自身对应的其他AC接口转发该广播报文;如果PE设备收到其他PE设备发来的广播报文,只向自身对应的AC接口转发该广播报文,而不会向其他PE设备转发;如果PE设备收到自身对应的AC接口发送的单播报文,当该单播报文的目的MAC地址为PE设备还没有学习的MAC地址时,PE设备将向同一VPLS的所有其他PE设备广播该报文,否则PE设备将直接按照目的MAC地址,将该单播报文转发到目的MAC地址所属的PE设备上,再由目的MAC地址所属的PE设备将该单播报文发送到对应的AC接口。AC接口间的访问控制,主要指控制源AC接口到目的AC接口间用户净艮文的转发,一种AC接口间访问控制的典型应用,为L3VPN中中心和分支的组网方式,称为HUB&Spoke组网方式。简单来说,HUB&Spoke组网方式就是将网络划分为中心和分支,并限制分支之间的交互。分支对应的AC接口之间交互的用户报文,需要统一由中心来转发。这种组网方式有利于在中心实现安全访问控制等功能,从而提高网络安全性。在VPLS中同样存在网络安全的需求,图2为现有技术VPLS中HUB&Spoke组网的一种具体应用结构,同样地,将网络划分为分支或中心,PE1上的两个AC接口分别对应分支1和分支2,PE2上的三个AC接口分别对应分支3、分支4和中心1,PE3上的两个AC接口分别对应分支5和中心2。目前应用的方案为在PE上配置报文转发规则,使PE按照配置的报文转发规则和AC接口对应的分支或中心,限制对应分支的本地AC接口之间用户报文的转发,实现本地AC接口间的访问控制。例如,可以在PE1上配置报文转发规则,当PE1接收到分支1与分支2交互的用户报文时,能够按照配置的报文转发规则限制用户报文的转发。但对于远端AC接口与本地AC接口之间的访问控制,由于远端PE无法获知本地PE发送的用户报文的源AC^妄口对应分支还是中心,因此目前还没有有效的方案。例如如果PE3向PE2发送单播用户报文,PE2从用户报文中可以获知目的MAC地址,假设目的MAC地址对应分支3,PE2根据自身维护的本地MAC地址和本地AC接口的关系,判定该用户报文的目的AC接口对应分支3,却无法获知该用户报文的源AC接口信息,即无法获知源AC接口对应PE2上的分支5还是中心2,也就无法控制是否将该报文转发到分支3,这样就无法实现对远端AC接口与本地AC接口间的访问控制。可见现有技术中,在VPLS中无法实现对远端AC4妄口和本地AC接口间用户报文转发的控制,即无法实现远端AC接口和本地AC接口间的访问控制,从而限制了HUB&Spoke组网方式在VPLS中的应用,不利于提高网络安全性。
发明内容本发明实施例提供一种实现AC接口间访问控制的方法,该方法能够在VPLS中实现远端AC接口和本地AC接口间的访问控制。本发明实施例提供一种实现AC接口间访问控制的装置,该装置能够在VPLS中实现远端AC接口和本地AC接口间的访问控制。本发明实施例提供另一种实现AC接口间访问控制的装置,该装置能够在VPLS中实现远端AC接口和本地AC接口间的访问控制。本发明实施例的技术方案是这样实现的一种实现接入电蹈"接口间访问控制的方法,应用于VPLS中,在每一个PE设备上维护包括源接入电路AC接口的标识信息与接口控制方式的对应关系的转发控制参数,该方法还包括对应目的AC接口的远端PE设备接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;对应目的AC接口的远端PE设备按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。一种实现接入电路接口间访问控制的装置,应用于VPLS中,该装置包括收发模块,用于接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;处理^t块,用于按照所述标识信息在转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。一种实现接入电鴻4妄口间访问控制的装置,应用于VPLS中,该装置包括标识信息才莫块,用于在用户^^艮文中加入源AC"I妻口的标识信息;发送模块,用于将所述标识信息模块加入标识信息的用户报文向远端PE设备发送。可见,本发明实施例实现AC接口间访问控制的方法和装置,在每一个PE设备上维护包括源AC接口的标识信息与接口控制方式对应关系的转发控制参数,对应源AC接口的本地PE设备在发送的用户报文中加入源AC接口的标识信息,对应目的AC接口的远端PE设备接收到用户报文后,按照该标识信息在所维护的转发控制参数中对应的接口控制方式,可以控制用户报文向目的AC接口的转发,从而实现了远端AC接口和本地AC接口间的访问控制,因此有利于VPLS中HUB&Spoke组网方式的应用,进而提高网络安全性。图1为现有技术VPLS的基本结构示意图2为现有技术VPLS中HUB&Spoke组网的一种具体应用结构示意图;图3为本发明实施例实现AC接口间访问控制的方法流程图;图4为本发明实施例中一种典型的组网结构示意图;图5为本发明实施例实现AC接口间访问控制的方法较佳实施方式的组网结构示意图6为本发明实施例第一种实现AC接口间访问控制的装置第一种结构示意图7为本发明实施例第一种实现AC接口间访问控制的装置第二种结构示意图8为本发明实施例第二种实现AC接口间访问控制的装置结构示意图。具体实施例方式为使本发明实施例的目的和优点更加清楚,下面结合附图对本发明实施例作进一步详细的说明。本发明实施例提供的方法,在每一个PE设备上维护包括源AC接口的标识信息与接口控制方式对应关系的转发控制参数。图3为本发明实施例实现AC接口间访问控制的方法流程图,该流程包括步骤301:对应目的AC4妄口的远端PEi殳备,接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息。本步骤中,为使接收用户报文的远端PE设备获知发送用户报文的源AC接口信息,对应源AC接口的本地PE设备在用户报文中加入源AC接口的标识信息。加入标识信息的方式可以才艮据用户报文的不同类型而不同,例如对于不带虚拟局域网(VLAN)信息,可以为用户报文增加一层VLAN信息用来携带所述标识信息;或者对于只带一层VLAN信息的用户报文,可以在用户报文所带的VLAN信息外层增加一层VLAN信息,用来携带所述标识信息;或者对于带两层VLAN信息的报文,如QinQ的用户报文,可以将用户报文的最外层VLAN信息替换为所述标识信息,或者不采用VLAN的方式,还可以在用户报文中预设标识控制字段,在该标识控制字段中填写所述标识信息。步骤302:对应目的AC接口的远端PE设备,按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。本步骤中,控制用户报文的转发可以为丢弃或转发该用户报文。本发明实施例实现AC接口间访问控制的方法,在每一个PE设备上维护包括源AC接口的标识信息与接口控制方式对应关系的转发控制参数,对应源AC接口的本地PE设备在发送的用户报文中加入源AC接口的标识信息,对应目的AC接口的远端PE设备接收到用户报文后,按照标识信息在所维护的转发控制参数中对应的接口控制方式,控制用户报文向目的AC接口的转发,从而实现了远端AC接口和本地AC接口间的访问控制,因此有利于VPLS中HUB&Spoke组网方式的应用,进而提高网络安全性。下面结合具体的应用场景,介绍本发明实施例中转发控制参数的两种具体应用实例。图4为本发明实施例一种典型的组网结构示意图。在图4所示的组网结构中,AC接口类型包括接入子接口和中继子接口,分别对应网络的分支和中心,可将该AC接口对应的分支和中心抽象为交换机中常用的入口(Access)和主干(Trunk)概念,在PE设备上配置AC接口时,指定AC接口的类型,即指定AC接口为Access或Trunk。指定AC接口为Access类型或Trunk类型,可以通过以下两条配置命令实现12vpls曙access。12vpls-trunk。如果源AC接口的类型为Access,则可以使用access-pe-vid作为代表该类型的标识信息,如果源AC接口的类型为Trunk,则可以使用trunk-pe-vid作为代表该类型的标识信息。上述access-pe-vid和trunk-pe-vid必须不相同,在同一个虚拟交换实例中,所有PE设备对access-pe-vid和trunk-pe-vid均可识别。在虚拟交换实例中,配置是否使能AC接口的转发控制参数,和使用上述不相同的access-pe-vid和trunk-pe-vid可以使用如下配置命令实现[FC-10]vsigustatic;isolateaccess-pe-vid100trunk-pe-vid200。在上述酉己置命令中,isolate表示access-pe-vid和trunk-pe-vid<吏用不相同的值,其中access-pe-vid取值为100,而trunk-pe-vid取值为200。对于不带VLAN信息的用户报文,可以为用户报文增加一层VLAN信息用于携带上述access-pe-vid或trunk-pe-vid;对于只带一层VLAN信息的用户报文,可以在用户报文所带的一层VLAN信息外层增加一层VLAN信息,用于携带上述access-pe-vid或trunk-pe-vid;对于带两层VLAN信息的用户报文,如QinQ的用户报文,则可以替换最外层VLAN信息为上述access-pe-vid或trunk-pe-vid。还可以在用户报文中预设标识控制字段,再在该标识控制字,殳中填写上述access-pe-vid或trunk-pe-vid。基于上述组网结构,以限制类型为Access的AC接口之间的访问为例,本发明实施例转发控制参数的第一种具体实例如表一所示。<table>tableseeoriginaldocumentpage11</column></row><table>表一除了上述基于图4所示组网结构的转发控制参数具体举例之外,还可以为网络中的AC接口配置固定取值,加入用户报文的标识信息表明源AC接口的固定取值,在这种情况下,所述标识信息对应的接口控制方式包括当用户报文目的AC接口的固定取值与源AC接口的固定取值之间配置有不允许访问关系时,丟弃用户报文,当用户报文目的AC接口的固定取值与源AC接口的固定取值之间配置有允许访问关系时,转发用户报文。下面假设源AC接口固定取值为100,与固定取值200配置有允许访问关系,与固定取值300配置有不允许访问关系,则本发明实施例转发控制参数的第二种具体实例可以如表二所示。<table>tableseeoriginaldocumentpage12</column></row><table>表二下面结合具体的应用场景,介绍本发明实施例方法的较佳实施方式,在该较佳实施方式中,使用上述本发明实施例中第一种转发控制参数的具体举例。图5为该较佳实施方式的组网结构示意图。在本较佳实施方式中,AC接口类型包括接入子接口和中继子接口,同样地,可将AC接口对应的网络的分支和中心概念抽象为交换机中常用的Access和Trunk概念,在PE设备上配置AC接口时,指定AC接口类型为Access或Trunk。具体配置的情况包括在虚拟交换实例inst-l中,将PE1设备对应的两个AC接口类型分别指定为Access-1和Access-2,将PE2设备3于应的四个AC4姿口类型分别指定为Access-3、Access-4、Trunk-1和Trunk-2,将PE3设备对应的一个AC接口指定为Access-5。在该虚拟实例inst-l中,将代表Access类型的标识信息配置为Access-pe-vid=100,将代表Trunk类型的标识信息配置为Trunk-pe-vid=200。假设用户报文为广播报文,并且该用户报文带一层VLAN信息。该用户报文的源AC接口对应分支1。本较佳实施方式的流程包括1)用户报文从分支1发出到达PEl。2)PE1在分支1发出的用户报文最外层加入Access-pe-vid=100,作为源AC类型的标识信息,然后向PE2和PE3分别发送该用户t艮文。3)PE2和PE3接收到用户报文后,解析用户报文最外层标识信息Access-pe-vid=100,得出源AC接口类型为接入子接口,则只针对自身类型为中继子接口的AC接口转发该用户报文,即PE2将用户报文转发到中心1和中心2。以上较佳实施方式只是一种具体的举例,如果本较佳实施方式中分支1发出的为单播用户报文,该单播用户报文的目的MAC地址对应PE3上分支5所对应的CE,且该目的MAC地址是PE1已经学习过的,则在上述第2)步中,PE1仅将该单播报文发送给PE3,PE3接收到用户报文后,同样可以得出源AC接口类型为接入子接口,且目的MAC地址对应的AC接口类型也为接入子接口,则PE3丟弃该净艮文。图6为本发明实施例第一种实现AC接口访问控制的装置结构示意图,该装置应用于VPLS中,包括收发模块,用于接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带源AC接口的标识信息。处理模块,用于按照所述标识信息在转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。本发明实施例第一种实现AC接口间访问控制的装置,可以位于远端PE设备中,从对应源AC接口的本地PE设备接收用户报文,再按照用户报文中携带的源AC接口的标识信息在转发控制参数中对应的接口控制方式,控制用户报文向目的AC接口的转发,从而实现了远端AC接口和本地AC接口间的访问控制,因此有利于HUB&Spoke组网方式的应用,进而提高网络安全性。当所述标识信息表明源AC接口的类型时,上述处理模块包括第一解析单元和第一控制处理单元。第一解析单元,用于从所述标识信息中解析出源AC接口类型。第一控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为接入子接口或未配置类型时,丢弃所述用户报文;在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为中继子接口时,转发所述用户报文。上述处理模块中还可以进一步包括第二控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为中继子接口时,转发所述用户报文。当每一个AC接口配置有固定取值,所述携带的标识信息为源AC接口的固定取值时,上述处理模块包括第二解析单元和第三控制处理单元。图7示出了基于这种情况的本发明实施例的装置结构示意图。第二解析单元,用于从所述标识信息中解析出源AC接口的固定取值。第三控制处理单元,用于在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有允许访问关系时,转发所述用户报文;在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有不允许访问关系时,丟弃所述用户报文。图8为本发明实施例第二种实现AC接口访问控制的装置结构示意图,该装置应用于VPLS中,包括标识信息模块和发送模块。标识信息模块,用于在用户报文中加入源AC接口的标识信息。发送模块,用于将所述标识信息模块加入标识信息的用户报文向远端PE设备发送。本发明实施例提供的第二种实现AC接口间访问控制的装置,可以位于本地PE设备中,在用户报文中加入源AC接口的标识信息,将加入标识信息后的用户报文向远端PE设备发送,使远端PE设备能够根据标识信息对用户报文向目的AC接口的转发实施控制,从而实现远端AC和本地AC间的访问控制,因此有利于HUB&Spoke组网方式的应用,进而提高网络安全性。上述标识信息模块包括加入执行单元、替换执行单元和填写执行单元。加入执行单元,用于针对不带VLAN信息的用户报文,为所述用户报文增加一层VLAN信息携带所述标识信息;或者,针对带一层VLAN信息的用户报文,在所述用户报文所带VLAN信息的外层加入一层VLAN信息携带所述标识信息。替换执行单元,用于针对带两层VLAN信息的用户报文,将用户报文的最外层VLAN信息替换为所述标识信息。填写执行单元,用于针对包括标识控制字段的用户报文,在所述标识控制字段中填写所述标识信息。本发明实施例两种实现AC接口间访问控制的装置,都可以位于PE设备中。综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1、一种实现接入电路接口间访问控制的方法,应用于虚拟专用局域网业务VPLS中,其特征在于,在每一个运营商边缘PE设备上维护包括源接入电路AC接口的标识信息与接口控制方式的对应关系的转发控制参数,该方法还包括对应目的AC接口的远端PE设备接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;对应目的AC接口的远端PE设备按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。2、如权利要求l所述的方法,其特征在于,所述用户报文为广播报文时,所述目的AC接口为除所述本地PE设备外的所有远端PE设备对应的AC接口;所述用户报文为单播报文时,携带有目的媒体访问控制MAC地址,所述目的AC4妻口为所述目的MAC地址对应的AC4妻口。3、如权利要求2所述的方法,其特征在于,所述标识信息表明源AC接口为接入子接口;所述与标识信息对应的接口控制方式包括当所述用户报文的目的AC接口为接入子接口时,丟弃该用户报文;当所述用户报文的目的AC接口未配置类型时,丟弃用户报文;当所述用户报文的目的AC接口为中继子接口时,转发用户"^艮文。4、如权利要求2所述的方法,其特征在于,所述标识信息表明源AC接口为中继子接口,所述标识信息对应的接口控制方式为转发用户报文。5、如权利要求2所述的方法,其特征在于,每一个AC接口配置有固定取值,所述源AC接口的标识信息代表所述源AC接口的固定取值。6、如权利要求5所述的方法,其特征在于,所述标识信息对应的接口控制方式包括当所述用户报文的目的AC接口的固定取值与源AC接口的固定取值之间配置有允许访问关系时,转发用户报文;当所述用户报文的目的AC接口的固定取值与源AC接口的固定取值之间配置有不允许访问关系时,丢弃用户报文。7、如权利要求1至6任意一项所述的方法,其特征在于,所述用户报文为不带虚拟局域网VLAN信息的报文时,所述本地PE设备加入源AC接口的标识信息为所述本地PE设备为所述用户报文增加一层VLAN信息,用于携带所述标识^f言息;或者,所述用户报文为带一层VLAN信息的报文时,所述本地PE设备力口入源AC接口的标识信息为本地PE设备在所述用户报文所带VLAN信息的外层增加一层VLAN信息,用于携带所述标识信息。8、如权利要求1至6任意一项所述的方法,其特征在于,所述用户报文为带两层VLAN信息的报文时;所述本地PE设备加入源AC接口的标识信息为本地PE设备将所述用户报文的外层VLAN信息替换为所述标识信息。9、如权利要求1至6任意一项所述的方法,其特征在于,所述用户报文中包括标识控制字段;所述本地PE设备加入源AC接口的标识信息为本地PE设备在所述标识控制字段中填写所述标识信息。10、一种实现接入电路接口间访问控制的装置,应用于VPLS中,其特征在于,该装置包括收发模块,用于接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带所述本地PE设备加入的源AC接口的标识信息;处理模块,用于按照所述标识信息在转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。11、如权利要求IO所述的装置,其特征在于,所述标识信息表明源AC接口的类型;所述处理冲莫块包括第一解析单元,用于从所述标识信息中解析出源AC接口类型;第一控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户4艮文的目的AC接口类型为接入子接口或未配置类型时,丟弃所述用户报文;在所述第一解析单元解析出的源AC接口类型为接入子接口,且用户报文的目的AC接口类型为中继子接口时,转发所述用户报文。12、如权利要求11所述的装置,其特征在于,所述处理模块中进一步包括第二控制处理单元,用于在所述第一解析单元解析出的源AC接口类型为中继子接口时,转发所述用户报文。13、如权利要求IO所述的装置,其特征在于,每一个AC接口配置有固定取值,所述携带的标识信息代表源AC接口的固定取值;所述处理模块包括第二解析单元,用于从所述标识信息中解析出源AC接口的固定取值;第三控制处理单元,用于在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有允许访问关系时,转发所述用户报文;在所述第二解析单元解析出的源AC接口的固定取值与用户报文的目的AC接口的固定取值配置有不允许访问关系时,丢弃所述用户报文。14、一种实现接入电路接口间访问控制的装置,应用于VPLS中,其特征在于,该装置包括标识信息模块,用于在用户报文中加入源AC接口的标识信息;发送模块,用于将所述标识信息模块加入标识信息的用户报文向远端PE设备发送。15、如权利要求14所述的装置,其特征在于,所述标识信息模块包括加入执行单元,用于针对不带VLAN信息的用户报文,为所述用户报文增加一层VLAN信息,用于携带所述标识信息;或者,针对带一层VLAN信息的用户报文,在所述用户报文所带VLAN信息的外层增加一层VLAN信息,用于携带所述标识信息;替换执行单元,用于针对带两层VLAN信息的用户报文,将用户报文的最外层VLAN信息替换为所述标识信息;填写执行单元,用于针对包括标识控制字段的用户报文,在所述标识控制字段中填写所迷标识信息。全文摘要本发明公开了一种实现接入电路AC接口间访问控制的方法,在每一个运营商边缘PE设备上维护包括源AC接口的标识信息与接口控制方式的对应关系的转发控制参数,该方法还包括对应目的AC接口的远端PE设备接收对应源AC接口的本地PE设备发送的用户报文,所述用户报文中携带本地PE设备加入的源AC接口的标识信息;对应目的AC接口的远端PE设备,按照所述标识信息在所维护的转发控制参数中对应的接口控制方式,控制所述用户报文向目的AC接口的转发。本发明还公开了两种实现AC接口间访问控制的装置。应用本发明,可以实现远端AC接口和本地AC接口间的访问控制,有利于HUB&Spoke组网方式的应用,进而提高网络安全性。文档编号H04L12/56GK101170514SQ200710195220公开日2008年4月30日申请日期2007年12月4日优先权日2007年12月4日发明者胡寿康,顾勤丰申请人:华为技术有限公司