专利名称:一种在mce中实现流量转发的方法、mce和接口板的制作方法
技术领域:
本发明涉及网络通信技术,特别涉及一种在虚拟专用网实例用户边缘设备(MCE) 中实现流量转发的方法、MCE和接口板。
背景技术:
随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络需要划分 成多个虚拟专用网(VPN),不同VPN之间的业务需要完全隔离。如果为每个VPN单独配置一 台用户边缘设备(CE)将加大设备开支和维护成本,如果多个VPN公用一台CE且使用同一 个路由表项,又无法保证数据的安全性。使用以太网交换机提供的多VPN实例用户边缘设备(MCE)功能,可以有效解决多 VPN网络带来的用户数据安全与网络成本之间的矛盾。现有MCE中,将MCE本身的VLAN接 口与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表。但是由于支持 MCE功能的单板很少,该种方式并不能够广泛地得以利用。针对以上情况,现有技术中提供了一种在MCE中实现代理的方式,具体为在MCE 中设置代理板,该代理板上维护有基于各VPN的路由转发表,由该代理板完成基于VPN的流 量转发。另外,在不支持MCE功能的接口板上配置匹配虚拟局域网(VLAN)标识的访问控制 列表(ACL),将该VLAN的所有流量都重定向到代理板进行基于VPN的流量转发。但是,由于 这种方式是通过在接口板上配置ACL将流量重定向到代理板,会使得无论是三层流量还是 二层流量都被重定向到代理板进行转发,使得原本接口板能够在本地进行转发的二层流量 也被重定向到代理板进行转发,势必会占用代理板的资源,影响转发性能。
发明内容
有鉴于此,本发明提供了一种在MCE中实现流量转发的方法、MCE和接口板,以便 于提高MCE中代理板的转发性能。一种在MCE中实现流量转发的方法,该MCE中包括接口板和具备基于VPN三层转 发功能的代理板;在对MCE的虚拟局域网VLAN接口进行VPN绑定时,将接口板上二层转发 表中所述VLAN接口的静态MAC地址删除,且在接口板上配置匹配所述VLAN接口的MAC地 址的访问控制表ACL,该ACL指向代理板;该方法包括A、MCE中的接口板接收到报文后,判断二层转发表中是否存在该报文的目的MAC 地址,如果否,执行步骤B;B、判断是否存在与所述目的MAC地址匹配的ACL,如果是,按照该匹配的ACL将报 文重定向至所述代理板进行转发。一种接口板,应用于包含所述接口板和具备基于VPN三层转发功能的代理板的 MCE ;所述MCE中与VPN绑定的VLAN接口的MAC地址从接口板上的二层转发表中被删除,且 所述接口板上配置有匹配所述VLAN接口的MAC地址的ACL,该ACL指向代理板;所述接口 板具体包括
二层查询单元,用于在该接口板接收到报文后,判断二层转发表中是否存在该报 文的目的MAC地址;ACL查询单元,用于在所述二层查询单元的判断结果为否时,判断是否存在与所述 目的MAC地址匹配的ACL ;重定向单元,在所述ACL查询单元的判断结果为是时,按照所述匹配的ACL将所述 报文重定向至所述代理板进行转发。一种MCE,该MCE包含上述接口板和具备基于VPN三层转发功能的代理板,所述 MCE中与VPN绑定的VLAN接口的MAC地址从接口板上的二层转发表中被删除,且所述接口 板上配置有匹配所述VLAN接口的MAC地址的ACL,该ACL指向代理板。由以上技术方案可以看出,本发明通过在对MCE的VLAN接口进行VPN绑定时,将 接口板上二层转发表中所述VLAN接口的静态MAC地址删除,且在接口板上配置匹配所述 VLAN接口的MAC地址的ACL,使该ACL指向代理板;从而使得MCE在接收到三层流量时,才 会将三层流量重定向到代理板进行转发,其它流量则通过本地进行转发,不会被重定向到 代理板,显然大大节约了代理板的资源,提高了代理板的转发性能。
图1为本发明实施例提供的详细方法流程图;图2为本发明实施例提供的实例组网图;图3为本发明实施例提供的MCE结构示意图。
具体实施例方式为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对 本发明进行详细描述。对于具有代理板的MCE设备来说,发明人发现其实只有三层流量才需要被重定向 到代理板,而二层流量是不需要被重定向到代理板的,因此,需要接口板实现对流量的识别 和转发规则上的区分。基于此,本发明提供的方法主要包括在对VLAN接口进行VPN绑定 时,将接口板上二层转发表中上述VLAN接口的静态MAC地址删除,且在接口板上配置匹配 VLAN接口 MAC地址的ACL,该ACL指向代理板;MCE中的接口板接收到报文后,判断二层转 发表中是否存在该报文的目的MAC地址,如果否,则判断是否存在与该目的MAC地址匹配的 ACL,如果是,则按照该匹配的ACL将报文重定向至代理板进行转发。下面结合具体实施例对上述方法进行详细描述。图1为本发明实施例提供的详细 方法流程图,如图1所示,该方法可以包括以下步骤步骤101 在VLAN接口绑定VPN时,在接口板上配置匹配该VLAN接口 MAC地址的 ACL,该ACL指向代理板,且将接口板上二层转发表中VLAN接口的静态MAC地址删除。对于三层流量来说,报文的目的MAC地址是VLAN接口的MAC地址,而二层流量来 说,报文的目的MAC地址不是VLAN接口的MAC地址,因此,对于三层流量和二层流量的初步 区分,可以通过将二层转发表中VLAN接口的静态MAC地址删除并配置匹配VLAN接口 MAC 地址的ACL来实现。MCE的接口板接收到报文后,首先查找二层转发表,对于在MCE设备上 已经学习到目的MAC的二层流量来说,在二层转发表中能够查找到相应的表项,即能够实现本地转发,对于三层流量来说,在二层转发表中查找不到相应的表项后,通过继续查找指 向代理板的ACL,将该三层流量重定向到代理板。对于交换机来说,通常可以将VLAN接口的MAC地址设置为MCE的MAC地址,这种 情况下,在MCE上仅需要在各不支持MCE功能的接口板上配置一条匹配VLAN接口 MAC地址 的ACL即可,可以大大节省ACL占用的资源。步骤102 =MCE的接口板接收到报文后,判断二层转发表中是否存在该报文的目的 MAC地址,如果是,执行步骤103 ;否则执行步骤106。步骤103 判断二层转发表中该报文的目的MAC地址对应的L3标志位是否被置 位,如果否,执行步骤104 ;如果是,执行步骤105。本步骤中,二层转发表如果存在报文的目的MAC地址,则说明该报文不需要上送 给代理板进行处理,此时包括两种情况第一种情况,该报文是二层流量且MCE已经学习到了该报文的目的MAC,此时,二 层转发表中该报文的目的MAC地址对应的L3标志位置0,说明该报文是二层流量,需要将该 报文按照二层转发表进行转发,即执行步骤104。第二种情况,该报文是三层流量但目的MAC地址是没有绑定VPN的VLAN接口 MAC, 此时,二层转发表中存在该报文的目的MAC地址,且对应的L3标志位被置1,仅需要将该报 文进行本地转发即可,即执行步骤105。需要说明的是,在本步骤中判断在二层转发表中该报文的目的MAC地址对应的L3 标志位是否被置位,实际上是为了判断该报文是三层流量还是二层流量,而判断报文是三 层流量还是二层流量也可以通过报文的目的MAC地址来区别,当报文的目的MAC地址不是 VLAN接口地址时,例如,是某个CE设备的MAC地址,则说明该报文是二层流量;当报文的目 的MAC地址是VLAN接口地址时,说明该报文是三层流量。因此,本步骤也可以通过判断该 报文的目的MAC地址是否为VLAN接口的MAC地址来实现。步骤104:通过二层转发表中该报文的目的MAC地址对应的出接口进行二层转发, 结束流程。步骤105 查找接口板本地的三层转发表,在接口板本地实现三层转发,结束流程。步骤106 判断是否存在于该报文的目的MAC地址匹配的ACL,如果是,执行步骤 107 ;否则,执行步骤108。在本步骤中,二层转发表中不存在该报文的目的MAC地址也可能存在两种情况第一种情况该报文为三层流量且目的MAC地址为绑定了 VPN的VLAN接口地址, 这种情况下,二层转发表中该目的MAC地址在VLAN接口绑定VPN时已被删除,且一定存在 与该MAC地址匹配的ACL,利用该ACL将该报文重定向到代理板进行三层转发,即执行步骤 107。第二种情况该报文为二层流量但MCE尚未学习到该报文的目的MAC地址,这种情 况下,该报文的目的MAC地址一定不是VLAN接口的MAC地址,也就不存在与该MAC地址匹 配的ACL,需要将该报文进行广播处理,即执行步骤108。步骤107 接口板按照该匹配的ACL将报文重定向至代理板进行转发,结束流程。由于在进行VPN绑定时,配置的ACL是指向代理板的,一旦存在与报文的目的MAC地址匹配的ACL,则接口板将该报文重定向至代理板。本发明中,代理板上创建并维护有基 于各VPN的路由转发表,能够将接收到的报文进行三层转发。步骤108 接口板将该报文进行二层广播,结束流程。在VLAN接口解除绑定VPN时,可以恢复二层转发表中该VLAN接口的静态MAC地 址,这样进入该接口板的报文首先会查找二层转发表,如果目的MAC地址为VLAN接口的MAC 地址,则找到目的MAC对应的二层转发表后,如果L3位置1,则表明要进行三层转发,而不会 进一步匹配ACL,报文也不会被重定向至代理板。下面举一个具体的实例,对上述方法中涉及到的几种情况进行说明。如图2所示, 如果MCE中绑定VPN的VLAN接口 1的MAC地址为MACl,则在对MCE进行VLAN接口 1的绑 定时,将二层转发表中静态MACl删除,并配置与该MACl匹配的ACL指向MCE中的代理板。MCE接收到CEl发送给CE2的报文时,由于CEl和CE2属于同一 VLAN,如果CEl已 经学习到CE2的MAC地址,则该报文的目的MAC地址为CE2的MAC地址,且CE2的MAC地址 已经存在于MCE上的二层转发表中,由于该流量为二层流量,必定对应二层转发表项的L3 位置0。MCE将该报文通过查找二层转发表进行本地二层转发。这种情况对应步骤103中 的第一种情况。MCE接收到CE1发送给CE2的报文时,如果CE1和MCE尚未学习到CE2的MAC地 址,则发送ARP请求报文。二层转发表中不存在ARP请求报文的广播MAC,且没有与之匹配 的ACL。MCE将该报文进行二层广播。这种情况对应步骤106中的第二种情况。MCE接收到CEl发送给CE3的报文时,由于CEl和CE3处于不同的VLAN,CEl发送 给CE3的报文的目的MAC地址为MCE的VLAN接口 1的MAC地址,即MACl。由于VLAN接口 1是绑定了 VPN的VLAN接口,查找二层转发表无法找到该MACl的MAC地址,此时,通过查找 与该MACl匹配的ACL,将该报文重定向至代理板进行三层转发。这种情况对应步骤106中 所述的第一种情况。还有一种情况,假设VLAN接口 1为没有绑定VPN的VLAN接口,则该MACl没有从 MCE的二层转发表中删除,MCE接收到CEl发送给CE3的报文的目的MAC地址为MACl。MCE 接收到该报文时,如果MCE已经学习到CE3的MAC地址,则查找二层转发表能够找到MAC1, 且MACl在二层转发表中对应的L3位被置1,直接进行本地的三层转发。这种情况对应步骤 103中所述的第二种情况。以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的MCE进行 详细描述。图3为本发明实施例提供的MCE结构示意图,如图3所示,该MCE包含接口板 300和具备基于VPN三层转发功能的代理板310。其中,MCE中可以包含一个或多个接口板, 在图3中仅示出其中一个接口板的结构,其它接口板的结构可以相同。该MCE中与VPN绑 定的VLAN接口的MAC地址从接口板300上的二层转发表中被删除,且接口板上配置有匹配 VLAN接口的MAC地址的ACL,该ACL指向代理板310。其中,接口板300可以具体包括二 层查询单元301、ACL查询单元302和重定向单元303。二层查询单元301,用于在该接口板300接收到报文后,判断二层转发表中是否存 在该报文的目的MAC地址。ACL查询单元302,用于在二层查询单元301的判断结果为否时,判断是否存在与 目的MAC地址匹配的ACL。
7
重定向单元303,在ACL查询单元302的判断结果为是时,按照匹配的ACL将报文 重定向至代理板进行转发。另外,接口板300还可以包括广播处理单元304,用于在ACL查询单元302的判 断结果为否时,将报文进行二层广播。这种情况针对于MCE尚未学习到目的MAC地址的二 层报文。针对于本地转发的情况,该接口板300还可以包括本地转发单元305,用于在二 层查询单元301的判断结果为是时,将报文在接口板本地进行转发。 具体地,本地转发单元305在二层查询单元301的判断结果为是时,判断二层转发 表中报文的目的MAC地址对应的L3标志位是否被置位,如果是,则利用接口板本地的三层 转发表转发报文,如果否,则利用二层转发表转发报文。较优地,上述MCE中绑定VPN的所有VLAN接口的MAC地址可以配置为统一的MAC 地址,这样在对VLAN接口进行VPN绑定时,可以仅下发一个ACL即可。由以上描述可以看出,本发明所提供的方法和MCE可以具备以下优点1)本发明通过在对MCE的VLAN接口进行VPN绑定时,将接口板上二层转发表中 所述VLAN接口的静态MAC地址删除,且在接口板上配置匹配所述VLAN接口的MAC地址的 ACL,使该ACL指向代理板;从而使得MCE接收到三层流量时,才会将该三层流量重定向到代 理板进行转发,其它流量则通过本地进行转发,不会被重定向到代理板,显然大大节约了代 理板的资源,提高了代理板的转发性能。2)现有技术中,配置的ACL是与VLAN标识进行匹配的,如果绑定VPN的VLAN接 口数目很多,例如常用的VPN规格为IOM个,VLAN接口的规格为IOM个,那么就必须在不 支持MCE的接口板上下发大量的ACLjfMCE的ACL资源造成极大的浪费。严重时,有可能 造成其它功能模块没有足够的ACL资源可用,导致其它功能模块的功能异常。而本发明中, ACL的匹配方式是与VLAN接口的MAC地址进行匹配,在VLAN接口数目较大时,可以采用将 所有绑定VPN的VLAN接口的MAC地址配置成统一的MAC地址的方式,就能够仅在MCE中配 置一条ACL来实现代理板转发。也就是说,本发明为大大节约MCE的ACL资源提供了便利。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种在多虚拟专用网实例用户边缘设备MCE中实现流量转发的方法,该MCE中包括 接口板和具备基于虚拟专用网VPN三层转发功能的代理板;其特征在于,在对MCE的虚拟局 域网VLAN接口进行VPN绑定时,将接口板上二层转发表中所述VLAN接口的静态MAC地址 删除,且在接口板上配置匹配所述VLAN接口的MAC地址的访问控制表ACL,该ACL指向代理 板;该方法包括A、MCE中的接口板接收到报文后,判断二层转发表中是否存在该报文的目的MAC地址, 如果否,执行步骤B;B、判断是否存在与所述目的MAC地址匹配的ACL,如果是,按照该匹配的ACL将报文重 定向至所述代理板进行转发。
2.根据权利要求1所述的方法,其特征在于,在步骤B中,如果判断出不存在与所述目 的MAC地址匹配的ACL,则所述接口板将所述报文进行二层广播,结束流程。
3.根据权利要求1所述的方法,其特征在于,在步骤A中,如果判断出二层转发表中存 在该报文的目的MAC地址,则将该报文在所述接口板本地进行转发。
4.根据权利要求3所述的方法,其特征在于,将该报文在所述接口板本地进行转发具 体包括所述接口板判断所述二层转发表中所述报文的目的MAC地址对应三层标志位是否 被置位,如果是,则利用所述接口板本地的三层转发表转发所述报文,结束流程;如果否,则 利用所述二层转发表转发所述报文,结束流程。
5.根据权利要求1至4任一权项所述的方法,其特征在于,所述MCE中绑定VPN的所有 VLAN接口的MAC地址配置为统一的MAC地址。
6.一种接口板,应用于包含所述接口板和具备基于VPN三层转发功能的代理板的MCE ; 其特征在于,所述MCE中与VPN绑定的VLAN接口的MAC地址从接口板上的二层转发表中被 删除,且所述接口板上配置有匹配所述VLAN接口的MAC地址的ACL,该ACL指向代理板;所 述接口板具体包括二层查询单元,用于在该接口板接收到报文后,判断二层转发表中是否存在该报文的 目的MAC地址;ACL查询单元,用于在所述二层查询单元的判断结果为否时,判断是否存在与所述目的 MAC地址匹配的ACL ;重定向单元,在所述ACL查询单元的判断结果为是时,按照所述匹配的ACL将所述报文 重定向至所述代理板进行转发。
7.根据权利要求6所述的接口板,其特征在于,所述接口板还包括广播处理单元,用于在所述ACL查询单元的判断结果为否时,将所述报文进行二层广播。
8.根据权利要求6所述的接口板,其特征在于,所述接口板还包括本地转发单元,用于在所述二层查询单元的判断结果为是时,将所述报文在所述接口 板本地进行转发。
9.根据权利要求8所述的接口板,其特征在于,所述本地转发单元在所述二层查询单 元的判断结果为是时,判断所述二层转发表中所述报文的目的MAC地址对应的三层标志位 是否被置位,如果是,则利用所述接口板本地的三层转发表转发所述报文,如果否,则利用 所述二层转发表转发所述报文。
10.一种MCE,其特征在于,该MCE包含如权利要求6至9任一权项所述的接口板和具 备基于VPN三层转发功能的代理板,所述MCE中与VPN绑定的VLAN接口的MAC地址从接口 板上的二层转发表中被删除,且所述接口板上配置有匹配所述VLAN接口的MAC地址的ACL, 该ACL指向代理板。
11.根据权利要求10所述MCE,其特征在于,所述MCE中绑定VPN的所有VLAN接口的 MAC地址配置为统一的MAC地址。
全文摘要
本发明提供了一种在多虚拟专用网实例用户边缘设备(MCE)中实现流量转发的方法、MCE和接口板。在对该MCE的虚拟局域网(VLAN)接口进行VPN绑定时,将该接口板上二层转发表中该VLAN接口的静态MAC地址删除,且在接口板上配置匹配该VLAN接口的MAC地址的访问控制表(ACL),该ACL指向代理板。MCE中的接口板接收到报文后,判断二层转发表中是否存在该报文的目的MAC地址,如果否,则当存在与该目的MAC地址匹配的ACL时,按照该ACL将报文重定向至代理板进行转发。本发明能够大大节约代理板的资源,提高代理板的转发性能。
文档编号H04L12/56GK102123074SQ201010002340
公开日2011年7月13日 申请日期2010年1月7日 优先权日2010年1月7日
发明者敖襄桥, 韩立峰 申请人:杭州华三通信技术有限公司