专利名称:Mce代理功能实现方法及其装置的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种MCE代理功能实现方法及其装置。
背景技术:
随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户 需要划分成多个VPN(Virtual Private Network,虚拟专用网络),不同VPN用户间的业务 需要完全隔离。此时,为每个VPN单独配置一台CE(客户端设备)将加大用户的设备开支 和维护成本;而多个VPN共用一台CE,使用同一个路由表项,又无法保证数据的安全性。使用以太网交换机提供的MCE (Multi-VPN-Instance CE,多实例CE)功能,使多个 用户可以共享一个CE,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛 盾。所谓MCE功能,即通过多实例在CE设备上提供逻辑独立的路由实例和地址空间,它使 用CE设备本身的VLAN(虚拟局域网)接口编号与网络内的VPN进行绑定,并为每个VPN创 建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文转发 路径,而且通过与PE (运营商边界设备)间的配合,能够将每个VPN的路由正确发布至对端 PE,保证VPN报文在公网内的传输,从而通过MCE实现用户业务功能的细化,以及对用户安 全性方面的保护,满足用户对业务细化和安全性的需求。但是,并不是所有交换机的单板都支持MCE功能,对于不支持MCE功能的单板需要 采用代理方式,即由能够支持MCE的单板代理不支持MCE的单板实现MCE功能。目前,对于不支持MCE功能的单板,可通过其Bridge 口实现MCE的代理功能。 具体做法可以是在不支持MCE的单板上,下发与VLAN ID匹配的ACL(Access Control List,访问控制列表)到该单板的Bridge 口,将下发到该单板的与该VLAV ID对应的VLAN 流量都通过Bridge 口的ACL重定向到代理板,然后代理板通过流量中的VLAN信息获取 VRF (VPNRouting Forwarding Table,VPN 路由和转发表),通过 VRF+DIP 进行报文转发。以上方法虽然可以实现将VLAN流量重定向到代理板,但是,是通过单板的Bridge 口实现的。在实际应用中,存在需要通过单板的路由口实现MCE的代理功能的需求,而目前 并没有通过单板的路由口实现MCE代理功能的相应解决方案。
发明内容
本发明提供了一种MCE代理功能实现方法及其装置,用以通过交换机单板的路由 口实现MCE的代理功能。本发明提供的MCE代理功能实现方法,应用于交换机设备中的支持MCE功能的单 板代理不支持MCE功能的单板实现MCE功能的过程,其中,所述不支持MCE功能的单板上设 置有与该不支持MCE功能的单板的路由口对应且用于指示将报文转发到所述支持MCE功能 的单板的指定端口的访问控制列表ACL;所述支持MCE功能的单板上设置有所述不支持MCE 功能的单板的路由口信息与虚拟专用网络路由和转发表VRF的映射关系,该方法包括所述不支持MCE功能的单板的路由口接收到报文后,获取与所述路由口对应的ACL,根据所述ACL、将所述路由口作为报文源端口转发所述报文;所述支持MCE功能的单板的指定端口接收到所述报文后,获取所述报文的源端口 信息,根据所述映射关系获取与该源端口信息对应的VRF,并根据获取到的VRF转发所述报 文。上述方法,还包括当所述不支持MCE功能的单板上的路由口加入聚 合组时,将所 述聚合组信息及其对应的VRF设置到所述映射关系表中;或者,当所述不支持MCE功能的单 板上的路由口均离开聚合组时,将所述聚合组信息及其对应的VRF从所述映射关系表中删 除。上述方法中,当所述支持MCE功能的单板为多个时,还包括所述不支持MCE功 能的单板将其路由口信息及其对应的VRF通过所述交换机设备的主控板,同步到所有支持 MCE功能的单板的所述映射关系表中。上述方法中,所述映射关系中还包括所述支持MCE功能的单板上的其他端口信息 与VRF的映射关系;所述支持MCE功能的单板的所述其他端口接收到报文后,还包括所述支持MCE功 能的单板根据所述映射关系获取与所述其他端口对应的VRF,并根据获取到的VRF转发所 述报文。上述方法中,在所述不支持MCE功能的单板上设置与该单板的路由口对应的ACL 的过程,包括针对所述不支持MCE功能的单板上的每个路由口的媒体接入控制MAC地址分 别设置对应的ACL;或者,设置MAC地址掩码以及与该地址掩码对应的ACL,所述地址掩码用 于匹配所述不支持MCE功能的单板上的路由口的MAC地址。本发明提供的交换机设备,包括支持MCE功能的单板,以及通过指定端口与其连 接的不支持MCE功能的单板;所述不支持MCE功能的单板上设置有与该单板的路由口对应且用于指示将报文 转发到所述支持MCE功能的单板的指定端口的访问控制列表ACL ;该不支持MCE功能的单 板用于在其路由口接收到报文后,获取与所述路由口对应的ACL,根据所述ACL、将所述路 由口作为报文源端口转发所述报文;所述支持MCE功能的单板上设置有所述不支持MCE功能的单板的路由口信息与虚 拟专用网络路由和转发表VRF的映射关系,该支持MCE功能的单板用于在指定端口接收到 报文后,获取所述报文的源端口信息,根据所述映射关系获取与该源端口信息对应的VRF, 并根据获取到的VRF转发所述报文。上述交换机设备中,所述支持MCE功能的单板还用于,当所述不支持MCE功能的 单板上的路由口加入聚合组时,将所述聚合组信息及其对应的VRF设置到所述映射关系表 中;或者,当所述不支持MCE功能的单板上的路由口均离开聚合组时,将所述聚合组信息及 其对应的VRF从所述映射关系表中删除。上述交换机设备中,所述支持MCE功能的单板为多个;所述不支持MCE功能的单板 还用于,将其路由口信息及其对应的VRF通过所述交换机设备的主控板,同步到所有支持 MCE功能的单板的所述映射关系表中。上述交换机设备中,所述支持MCE功能的单板上设置的所述映射关系中还包括所 述支持MCE功能的单板上的其他端口信息与VRF的映射关系;
所述支持MCE功能的单板还用于,在该单板的所述其他端口接收到报文后,根据 所述映射关系获取与所述其他端口对应的VRF,并根据获取到的VRF转发所述报文。上述交换机设备中,所述不支持MCE功能的单板具体用于,针对该单板上的每个 路由口的MAC地址分别设置对应的ACL ;或者,设置MAC地址掩码以及与该地址掩码对应的 ACL,所述地址掩码用于匹配该单板上的路由口的MAC地址。本发明的有益技术效果包括通过将不支持MCE功能的单板与支持MCE的单板通过指定端口互联,并通过ACL 将不支持MCE功能的单板的路由口接收到的报文转发到支持MCE功能的单板的指定端口, 使该支持MCE功能的单板能够根据预设的路由口与VRF的映射关系,将转发来的报文按照 相应的VRF进行转发,从而实现MCE代理功能。
图1为本发明实施例提供的交换机设备的结构示意图;图2为本发明实施例提供的通过路由口实现MCE代理功能的流程示意图。
具体实施例方式由于交换机单板的路由口没有设置VLAN的相应功能,因此无法通过下发与VLAN ID匹配的ACL到该单板的路由口,从而将下发到该单板的与该VLAV ID对应的VLAN流量都 通过路由口的ACL重定向到代理板,以实现MCE代理功能。针对现有交换机设备上无法实现路由口的MCE代理功能的问题,本发明实施例提 供了一种在交换机的路由口实现MCE代理功能的技术方案。该技术方案中,针对不支持MCE 功能的单板,在其路由口设置路由口 MAC(MediaACCesS Control,媒体接入控制)地址及其 对应的ACL,当该路由口接收到报文时,根据与该路由口 MAC地址对应的ACL将该报文重定 向到代理板,代理板通过预设的与该路由口(即不支持MCE功能的单板的路由口)对应的 VRF,对转发来的报文进行处理和转发。下面结合附图对本发明的实现过程进行详细描述。但本领域技术人员应该理解, 以下实施例并不限于交换机设备,还可适用于其他类型的包含有单板的计算机设备或网络 设备。本实施例中,如图1所示,交换机上存在不支持MCE功能的单板以及至少一个支持 MCE功能的单板,并都可与交换机的主控板连接。为描述方便,以下将不支持MCE功能的单 板称为第一单板,将支持MCE功能的单板称为第二单板,其中,第二单板作为第一单板的代 理板,采用MCE机制对从第一单板转发来的报文进行处理,从而代理第一单板实现MCE功 能。为实现由第二单板代理第一单板实现MCE功能,本发明实施例中,可对第一单板和第二单板进行以下设置将第一单板与第二单板通过第二单板的Hg 口连接,其中,Hg 口为交换机设备中的单板之间互联的接口,该Hg 口可支持高速率报文传输。针对第一单板的路由口进行如下设置根据第一单板的路由口的MAC地址设置对应的ACL,每个MAC对应一个ACL。该ACL用于强制将对应路由口收到的报文转发到第二单板的Hg 口,其中ACL中可设置有第二 单板的Hg 口信息(如MODID和P0RTID),以便根据该Hg 口信息将报文转发到Hg 口。针对第二单板的Hg 口进行如下设置设置映射关系表,该映射关系表中包括第一单板的路由口的信息(如MODID和 P0RTID)与相应VRF的映射关系,其中,某些路由口所对应的VRF可能不相同,即这些路由口 对应不同的VPN,从而形成隔离私网内不同VPN的报文转发路径;某些路由口所对应的VRF 可能相同,即这些路由口对应相同的VPN,从而实现在该VPN内进行报文转发。根据以上设置,第一单板通过路由口将报文转发到第二单板,从而由第二单板代 理第一单板实现MCE功能的过程,可如图2所示,包括步骤201、第一单板的路由口接收报文。步骤202、第一单板根据接收该报文的路由口的MAC地址,确定对应的ACL。步骤203、如果第一单板确定出对应该路由口设置有将报文强制转发到第二单板 的Hg 口的ACL,则执行步骤205 ;否则,执行步骤204。步骤204、第一单板按照常规方式处理该报文。步骤205、第一单板根据与接收该报文的路由口对应的ACL,将该报文转发到第二 单板的Hg 口,该转发出去的报文中的源端口信息为第一单板的路由口信息(即接收该报文 的路由口的信息)。步骤206、第二单板从Hg 口接收到报文后,根据该报文的源端口信息,通过查询预 设的映射关系表,获取与该报文的源端口信息对应的VRF。步骤207、第二单板根据获取到的VRF,对该报文进行处理和转发。上述流程的步骤204中,如果第一单板确定出对应该路由口设置有其它ACL,则可 根据该其他ACL的配置信息对接收到的报文进行处理;或者,如果对应该路由口没有设置 ACL,则第一单板根据默认设置进行处理。上述流程中,第二单板的映射关系表中还可包括其他口与相应VRF的映射关系, 如该单板的GE 口信息(如MODID和P0RTID)与相应VRF的映射关系。当第二单板的其他 口,如GE 口接收到报文后,可根据该GE 口的MODID和P0RTID,通过查询映射关系表获取对 应的VRF,并根据该VRF进行报文的处理和转发。较佳地,本发明实施例中,可在第二单板的 相应端口上设置操作标识,如Port_0peration = 3,以表示需要通常查询映射关系表获取 VRF。这样,通过设置Hg端口操作标识来指示如何获取VRF,可以使本板获取VRF和跨板获 取VRF的方法统一起来,即可以通过设置端口信息(M0DID和P0RTID)与VRF的映射关系实 现MCE代理功能以及本板的MCE功能。由于单板上的路由口的MAC地址可能各不相同,而且路由口 的数量较多,通常加 上入方向上的路由口可多达512个,因此,如果对应每个路由口设置对应的ACL,会导致ACL 的数量较多,ACL的配置操作较繁琐。为了解决该问题,本发明的另一实施例中,采用设置路由口 MAC地址掩码以及与 该掩码对应的ACL的方式,使第一单板可通过将接收到报文的路由口 MAC地址与该MAC地 址掩码进行匹配,从而确定该路由口的地址是否在预设的MAC地址范围之内,如果是则根 据与该MAC地址掩码对应的ACL将报文转发到第二单板的Hg 口。具体的,在为路由口分配 MAC地址时,可首先分配一个MAC地址初始值给一个路由口,然后其他路由口的MAC地址在此基础上递增。如,初始值为0,512个路由口依次递增1,这样在下发ACL的时候,可对应 MAC地址掩码(该掩码的低8位设置为全0,其余位设置为全1)下发一个ACL,相应的,第 一单板可将接收到报文的路由口的MAC地址与该掩码进行掩码运算,如果经过掩码运算后 的MAC地址在0 511之间,则表明需要根据与该MAC地址掩码对应的ACL转发报文到第 二单板的Hg 口。其余步骤的处理可与图1所示流程相似,在此不再赘述。可见,采用该种 方式,可减少ACL的数量,简化ACL的配置过程。当然,如果在初始对路由口分配MAC地址 时,所分配的地址为多段连续地址段,则在设置MAC地址掩码时,可设置相应数量的MAC地 址掩码,以匹配分配的MAC地址段,相应的,每个MAC地址掩码对应有各自的ACL。通过以上描述可以看出,通过将不支持MCE功能的单板与支持MCE的单板的Hg 口 连接,并强制该不支持MCE功能的单板将从路由口接收到的报文转发到支持MCE功能的单 板的Hg 口,使该支持MCE功能的单板能够根据预设的路由口与VRF的映射关系,将转发来 的报文按照相应的VRF转发,从而实现MCE代理功能。针对有端口加入或离开聚合组的场景,本发明的上述各实施例 ,可通过以下方式 响应端口加入或离开聚合事件在单端口(如第一单板上的路由口)加入聚合组的时候,说明该聚合组是 ACTIVE(激活状态)的,此时,可将聚合组的信息下发到映射关系表(即端口信息与VRF的 映射关系表)中,具体的,将聚合组的信息(包括对应的VRF),以及进一步可将单端口的信 息(如MODID和P0RTID)以及对应的VRF设置到映射关系表中,从而可以根据该映射关系 表实现对相应聚合组中的端口的报文采用相应的VRF进行转发;当聚合组中的最后一个单 端口离开该聚合组的时候(此时该聚合组是INACTIVE,即非激活状态),可直接将聚合组的 信息从映射关系表中删除(包括对应的VRF),从而不用处理单端口的信息,这样可以简化 处理流程。以上单端口加入聚合组以及从聚合组离开的操作,可通过作为MCE功能代理板 的单板执行。针对交换机中存在有多个单板都支持MCE功能,并可作为代理板使用的场景,本 发明的上述各实施例可采用以下方式适应代理板变化的情况首先,不支持MCE功能的单板分别将其单板信息,包括端口信息以及与该端口对 应的VRF同步到该交换机的主控板,使主控板拥有这些不支持MCE功能的单板的信息,该 同步过程可在单板插入交换机时进行,也可按照设定周期进行;然后,主控板将这些不支持 MCE功能的单板信息同步到所有支持MCE功能的单板,如在各支持MCE功能的单板上创建 这些不支持MCE功能的单板的表项,如在映射关系表中增加相应表项,这样,交换机中所有 支持MCE功能的单板就都拥有了该交换机中所有不支持MCE功能的单板的信息。当报文从 支持MCE功能的单板的Hg 口过来的时候,该单板就可以根据该单板配置的表项获取相应的 VRF。这样,当代理板发生变化的时候(如用另外一个支持MCE功能的单板代替当前的代理 板实现MCE的代理功能),由于所有潜在的代理板都配置有所有不支持MCE功能的单板的信 息,所以新的代理板可以根据其映射关系表获取到被代理的单板(即不支持MCE功能的单 板)的相关路由口信息和对应的VRF,从而实现报文的转发。较佳地,当有不支持MCE的单板从交换机拔出时,可通过信息同步,将所有支持 MCE功能的单板中配置的相关信息删除,如将该被拔出的单板的路由口信息及其对应的 VRF从映射关系表中删除,从而保证资源实时释放。
需要说明的是,本发明的以上实施例是以将第一单板的报文重定向到第二单板的 Hg 口为例表述的,事实上,该Hg 口可以是约定的单板之间的其他互联端口。综上所述,本发明的实现,有利于在交换机上实现路由口的MCE代理功能功能,从而使得在交换机对不支持MCE功能的单板进行了功能的扩展,对降低成本提供了一个可行 的方案。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的 部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若 干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行 本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视本发明的保护范围。
权利要求
一种多实例运营商边界设备MCE代理功能实现方法,应用于交换机设备中的支持MCE功能的单板代理不支持MCE功能的单板实现MCE功能的过程,其特征在于,所述不支持MCE功能的单板上设置有与该不支持MCE功能的单板的路由口对应且用于指示将报文转发到所述支持MCE功能的单板的指定端口的访问控制列表ACL;所述支持MCE功能的单板上设置有所述不支持MCE功能的单板的路由口信息与虚拟专用网络路由和转发表VRF的映射关系,该方法包括所述不支持MCE功能的单板的路由口接收到报文后,获取与所述路由口对应的ACL,根据所述ACL、将所述路由口作为报文源端口转发所述报文;所述支持MCE功能的单板的指定端口接收到所述报文后,获取所述报文的源端口信息,根据所述映射关系获取与该源端口信息对应的VRF,并根据获取到的VRF转发所述报文。
2.如权利要求1所述的方法,其特征在于,还包括当所述不支持MCE功能的单板上的路由口加入聚合组时,将所述聚合组信息及其对应 的VRF设置到所述映射关系表中;或者,当所述不支持MCE功能的单板上的路由口均离开聚合组时,将所述聚合组信息 及其对应的VRF从所述映射关系表中删除。
3.如权利要求1所述的方法,其特征在于,当所述支持MCE功能的单板为多个时,还包括所述不支持MCE功能的单板将其路由口信息及其对应的VRF通过所述交换机设备的主 控板,同步到所有支持MCE功能的单板的所述映射关系表中。
4.如权利要求1所述的方法,其特征在于,所述映射关系中还包括所述支持MCE功能的 单板上的其他端口信息与VRF的映射关系;所述支持MCE功能的单板的所述其他端口接收到报文后,还包括所述支持MCE功能的 单板根据所述映射关系获取与所述其他端口对应的VRF,并根据获取到的VRF转发所述报 文。
5.如权利要求1至4任一项所述的方法,其特征在于,在所述不支持MCE功能的单板上 设置与该单板的路由口对应的ACL的过程,包括针对所述不支持MCE功能的单板上的每个路由口的媒体接入控制MAC地址分别设置对 应的ACL ;或者,设置MAC地址掩码以及与该地址掩码对应的ACL,所述地址掩码用于匹配所述不 支持MCE功能的单板上的路由口的MAC地址。
6.一种交换机设备,其特征在于,包括支持MCE功能的单板,以及通过指定端口与其 连接的不支持MCE功能的单板;所述不支持MCE功能的单板上设置有与该单板的路由口对应且用于指示将报文转发 到所述支持MCE功能的单板的指定端口的访问控制列表ACL ;该不支持MCE功能的单板用 于在其路由口接收到报文后,获取与所述路由口对应的ACL,根据所述ACL、将所述路由口 作为报文源端口转发所述报文;所述支持MCE功能的单板上设置有所述不支持MCE功能的单板的路由口信息与虚拟专 用网络路由和转发表VRF的映射关系,该支持MCE功能的单板用于在指定端口接收到报文后,获取所述报文的源端口信息,根据所述映射关系获取与该源端口信息对应的VRF,并根 据获取到的VRF转发所述报文。
7.如权利要求6所述的交换机设备,其特征在于,所述支持MCE功能的单板还用于,当 所述不支持MCE功能的单板上的路由口加入聚合组时,将所述聚合组信息及其对应的VRF 设置到所述映射关系表中;或者,当所述不支持MCE功能的单板上的路由口均离开聚合组 时,将所述聚合组信息及其对应的VRF从所述映射关系表中删除。
8.如权利要求6所述的交换机设备,其特征在于,所述支持MCE功能的单板为多个; 所述不支持MCE功能的单板还用于,将其路由口信息及其对应的VRF通过所述交换机设备的主控板,同步到所有支持MCE功能的单板的所述映射关系表中。
9.如权利要求6所述的交换机设备,其特征在于,所述支持MCE功能的单板上设置的所 述映射关系中还包括所述支持MCE功能的单板上的其他端口信息与VRF的映射关系;所述支持MCE功能的单板还用于,在该单板的所述其他端口接收到报文后,根据所述 映射关系获取与所述其他端口对应的VRF,并根据获取到的VRF转发所述报文。
10.如权利要求6至9任一项所述的交换机设备,其特征在于,所述不支持MCE功能的 单板具体用于,针对该单板上的每个路由口的MAC地址分别设置对应的ACL;或者,设置MAC 地址掩码以及与该地址掩码对应的ACL,所述地址掩码用于匹配该单板上的路由口的MAC 地址。
全文摘要
本发明公开了一种MCE代理功能实现方法及其装置,应用于交换机设备中的支持MCE功能的单板代理不支持MCE功能的单板实现MCE功能的过程,不支持MCE功能的单板上设有ACL,该ACL与该单板的路由口对应且用于指示将报文转发到支持MCE功能的单板的指定端口;支持MCE功能的单板上设有所述不支持MCE功能的单板的路由口信息与VRF的映射关系,该方法包括不支持MCE功能的单板的路由口接收到报文后,根据对应的ACL、将该路由口作为报文源端口转发所述报文;支持MCE功能的单板的指定端口接收到所述报文后,获取该报文的源端口信息,根据映射关系获取对应的VRF,并根据该VRF转发所述报文。
文档编号H04L12/24GK101834800SQ20101017646
公开日2010年9月15日 申请日期2010年5月19日 优先权日2010年5月19日
发明者韩立峰 申请人:杭州华三通信技术有限公司