专利名称:一种应用于l2vpn的转发方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种应用于L2VPN的转发方法及装置。
背景技术:
MPLS L2VPN 提供基于 MPLS (Multiprotocol Label Switching,多协议标签交换)网络的二层VPN(Virtual Private Network Service,虚拟专用网络)服务,使运营商可以在统一的MPLS网络上提供基于不同数据链路层的二层VPN,包括ATM (Asynchronous Transfer Mode,异步传输模式)、FR(Frame Relay,帧中继)、VLAN(Virtual Local Area Network, JsIcN )、Ethernet (以i;网)、PPP (Point to Point Protocol,
议)等。MPLS L2VPN包括VPLS (Virtual Private LAN Service,虚拟专用局域网业务)和 VLL (Virtual Lease Line,虚拟租用线路)两种技术。其中,VPLS是一种在IP/MPLS网络中提供虚拟专用以太网桥接域的技术;VLL是指在PSN(Public Switched Network,分组交换网络)中尽可能真实地模仿ATM、帧中继、以太网、低速TDM(Time Division Multiplex,时分复用)电路等业务的基本行为和特征的一种二层业务承载技术,VLL适用于点到点的组网应用模式。PBB(Provider Backbone Bridge,运营商骨干桥),由 IEEE 802. Iah 标准草案定义,全称为运营商骨干桥接技术。PBB独立于电信自身的IP MAN (Metropolitan Area Network,城域网),基于运营商MAC (Media Access Control,媒体接入控制)地址,主要采用MAC-in-MAC技术来提供点对点专线业务。MPLS L2VPN技术广泛运用于运营商网络和企业网中,对于VPLS或PBB而言, 只要在 PE(Provider Edge,运营商边缘)设备上创建 VSI (Virtual Switch Instance, 虚拟交换实例),虚拟服务实例对用户而言和传统交换机完全相同,用户就可以通过 MAN (Metropolitan Area Network,) ^cffAN (Wide Area Network, Λ^Ν ) ^^M 自己的局域网互联。对于VLL而言,只要在PE设备上创建PW(Pseudo Wire,虚拟线路),虚拟线路和传统租用线路完全相同,用户就可以通过城域网或者广域网实现自己的点到点互联。图1示出了 L2VPN AC接入的示意图。在运营商PE设备上,需要为用户接入侧定义 AC (Attachment Circuit,接入电路)接口用以维护用户侧的接入信息,目前支持的接入类型包括 S-VID,Port-based,Tagged和 Untagged。其中,S-VID 是指基于 Service Tagged (服务标记)的接入类型,Port-based是指基于端口的接入类型,Tagged和Untagged是指基于报文Tag属性的接入类型。PE设备根据用户侧入报文的属性(外层义1^1沈Tag标记,入端口,Tag属性)来识别报文所属的L2VPN,并根据所属LAVPN对应的转发策略转发报文。根据接入类型的不同,解析报文的方式也不同,相应的识别出的AC以及VSI也有可能不同,进而所使用的转发策略也就不同。譬如,接入类型为S-VID的AC接口只能解析携带由S-VID的报文,而用户报文的 VID可以达到1-4095。因此,如果S-VID接入方式匹配报文所属的VSI,在物理端口上要配置4095个接入类型为S-VID的AC接口。可以看出,物理端口上AC扩展能力较差。另外,S-VID的报文经过VSI处理后需要修改一个VLAN TAG,而普通Taggged的报文不作修改,这样,如果报文的SID不能被解析,则无法识别出该报文所属的VSI。
发明内容
本发明提供了一种应用于L2VPN的转发方法及装置,用以在PE设备的同一个物理端口下同时支持不同接入类型。本发明提供的一种应用于L2VPN的转发方法,其中,边缘节点在任一物理端口上配置有两个以上的接入类型;该方法包括边缘节点通过物理端口接收来自于用户边界网络设备CE的以太网报文;边缘节点按照预设的接入解析次序解析转发所述以太网报文的接入电路AC,并根据解析的所述接入电路匹配所述以太网报文所属的虚拟交换实例VSI ;边缘节点在匹配到的VSI内对转发所述以太网报文的接入电路进行反向路径检查;边缘节点将通过反向路径检查的以太网报文在匹配到VSI内中进行转发。本发明提供的一种应用于二层虚拟专用网络的边缘节点,该边缘节点具有多个物理端口,该边缘节点包括第一配置单元,用于在任一物理端口上配置两个以上的接入类型;接收单元,用于通过物理端口接收到来自于用户边界网络设备CE的以太网报文;解析单元,用于按照预设的各接入类型解析次序解析转发所述以太网报文的AC, 并根据转发所述以太网报文的所述AC匹配所述以太网报文所属的VSI ;转发处理单元,在匹配到的VSI内对转发所述以太网报文的接入电路进行反向路径检查;将通过反向路径检查的以太网报文通过物理端口在匹配到VSI内中进行转发。本发明提供的一种应用于二层虚拟专用网络L2VPN的转发方法,其中,边缘节点在任一物理端口配置有两个以上的接入类型;该方法包括边缘节点通过物理端口接收来自于用户边界网络设备CE的以太网报文;边缘节点按照预设的接入解析次序解析转发所述以太网报文的接入电路AC ;边缘节点根据转发所述以太网报文的所述接入电路匹配所述以太网报文所属的虚拟专用网VPN ;边缘节点查找所述VPN的虚电路VC标签以及关联该VC标签的隧道标签,为以太网报文封装VC标签和隧道标签,并将封装报文通过隧道标签对应的PW转发到对端边缘节
点O本发明提供的一种应用于二层虚拟专用网络的边缘节点,该边缘节点具有多个物理端口,该边缘节点包括第一配置单元,用于在任一物理端口上配置有两个以上的接入类型;接收单元,用于通过物理端口接收到来自于用户边界网络设备CE的以太网报文;解析单元,用于按照预设的各接入类型解析次序解析转发所述以太网报文的接入电路AC ;匹配单元,用于根据转发所述以太网报文的所述接入电路匹配所述以太网报文所属的虚拟专用网VPN;;转发处理单元,用于查找所述VPN的虚电路VC标签以及关联该VC标签的隧道标签,为以太网报文封装VC标签和隧道标签,并将封装报文通过隧道标签对应的PW转发到对端边缘节点。本发明的有益技术效果包括通过在PE设备上的同一物理端口下配置多种用户接入类型及其优先级,各个用户接入类型并不是同时生效,而是按照优先级顺序依次生效。这样,当根据最高优先级的用户接入类型进行报文所属VSI/VPN的匹配命中失败时,根据次高优先级的用户接入类型进行报文所属VSI/VPN的匹配命中,如果还失败,则再根据更低优先级的用户接入类型继续进行报文所属VSI/VPN的匹配命中。其中,当采用当前优先级的用户接入类型进行匹配命中成功后,则不再触发后续根据更低优先级的用户接入类型进行匹配命中的处理,从而在一个物理端口上实现了多种AC接入方式,提高了 AC接入的灵活性。
图1为现有技术中L2VPN的AC接入的示意图;图2为本发明实施例中的VLL网络架构的示意图;图3为本发明实施例中的基于VLL网络架构的转发流程示意图;图4为本发明实施例提供的VPLS中作为边缘节点的PE转发报文流程示意图;图5为本发明实施例提供的引入使能开关标识后的转发流程示意图;图6A为本发明实施例中边缘节点在匹配到的VSI内对转发以太网报文进行反向路径检查的流程示意图;图6B为本发明实施例中边缘节点在匹配到的VSI内对转发封装报文进行反向路径检查的流程示意图;图7为本发明实施例中的VPLS网络的一种hub-spoken组网方式示意图;图8为本发明实施例提供的边缘节点设备结构示意图之一;图9为本发明实施例提供的边缘节点设备结构示意图之二。
具体实施例方式下面结合附图对本发明实施例进行详细描述。参见图2为本发明实施例中的VLL网络架构的示意图,参见图3为本发明实施例提供的基于VLL网络结构的转发流程示意图,如图所示,边缘节点在任一物理端口配置有两个以上的接入类型,该流程可包括步骤301,边缘节点通过物理端口接收来自于CE(用户边界网络设备)的以太网报文;步骤302,边缘节点按照预设的接入解析次序解析转发该以太网报文的AC ;步骤303,边缘节点根据转发该以太网报文的所述接入电路匹配以太网报文所属的 VPN ;步骤304,边缘节点查找该VPN的VC (虚电路)标签以及关联该VC标签的隧道标签(如已有方式中,根据VC标签与标签转发路径LSP的映射关系查找隧道标签),为以太网报文封装VC标签和隧道标签,并将封装报文通过隧道标签对应的PW转发到对端边缘节点。参见图4,为本发明实施例提供的VPLS中作为边缘节点的PE转发报文流程示意图。步骤401,PE在任一物理端口配置有两个以上的接入类型。接入类型至少包括服务虚拟局域网标识S-VID,服务界定符接入Tagged/非服务界定符接入Untagged,基于端口接入Port-based为例。步骤401,PE通过物理端口接收来自于用户边界网络设备CE的以太网报文。步骤403,PE按照预设的接入解析次序解析转发所述以太网报文的接入电路AC, 并根据解析的接入电路匹配所述以太网报文所属的虚拟转发实例VSI。本实施例所预设的接入解析次序依次为S_VID,Tagged/Untagged, Port-based。 本实施例通过在PE设备上的任一物理端口下配置多种接入类型及解析次序,以最简便方式实现了同一物理端口支持多种类型接入并避免了这多个接入类型同时生效的问题,使物理端口上配置的多种接入类型而是按照预设的解析次序依次生效,从而实现PE设备逐级解析转发以太网报文接入类型的技术方案。本步骤PE设备解析转发以太网报文的AC的方式以及匹配以太网报文所属VSI的方式与已有方式相同。在本步骤中,PE设备根据接入类型(S-VID接入类型)所对应接入方式,解析报文的外层krvice TAG,根据该krvice TAG以及以太网报文到达的物理端口解析AC,匹配以太网报文所属的VSI,若即匹配到该报文所属的VSI,则转入步骤404;若未匹配到所属的 VSI,则转入步骤403,继续匹配以太网报文所属的VSI。假设,PE设备根据S-VID类型解析失败,则PE设备根据下一级接入类型(Tagged/ Untagged接入类型)获取报文的VLAN Tag属性,根据获取的VLANTAG属性以及以太网报文到达的物理端口解析AC,根据解析的AC匹配以太网报文所属的,若即匹配到该报文所属的 VSI,则转入步骤404 ;若未匹配到所属的VSI,则转入步骤403。假设,PE设备根据Tagged/Untagged类型解析失败,则PE设备再次一级的接入类型(Port-based接入类型)进行解析,根据以太网报文到达的物理端口(入端口)的端口属性进行基于端口的查找匹配,若匹配到该报文所属的VSI,则转入步骤404 ;若未匹配到所属的VSI则丢弃以太网报文。具体的,对于S-VID接入类型,PE设备根据krvice TAG识别出该报文源属性为对应VSI实例的AC,即认为该报文来自于该VSI实例的AC入接口,则根据该VSI (可以是 VPLS/PBB)实例对应的FIB (转发信息库)转发该报文。对于Tagged/Untagged接入类型, PE设备将命中后的报文标识为VPLS网络的某个VSI实例内报文并根据入接口 AC属性获取出接口 AC信息,将报文转发到出接口。对于Port-based接入类型,PE设备根据报文的入端口号识别出该报文源属性为对应VSI实例的AC,即认为该报文来自于该VSI实例的AC 入接口,将根据该VSI(可以是VPLS/PBB)实例对应的FIB (转发信息库)转发该报文。以上流程是以S-VID,Tagged/Untagged, Port-based三种用户接入类型,且其优先级从高到低顺序排列为例描述的。本发明并不受上述用户接入类型种类、数量以及优先级顺序的限制。步骤404,PE在匹配到的VSI内对转发所述以太网报文的接入电路进行反向路径检查。
本步骤中,PE设备反向路径检查采用已有方式,S卩,PE确定转发收到的以太网报文的AC与转发表记录的以太网报文中源MAC地址的学习路径一致,则通过反向路径检查; 若不一致则反向路径检查失败,将转发以太网报文的路径记录为学习到以太网报文源MAC 地址的路径。PE设备在转发表中未查找到以太网报文的源MAC地址的学习路径,则进行源 MAC学习。PE设备完成以太网报文的源MAC地址学习后,根据通过反向路径检查的以太网报文的转发方法,在VSI内进行转发。步骤405,PE将通过反向路径检查的以太网报文在匹配到VSI内中进行转发。本步骤中,PE设备在VSI内转发以太网报文的方式采用已有方式,本文不再赘述。通过以上流程可以看出,本发明实施例在VPLS/VLL网络的PE设备上的同一个端口下配置多种用户接入类型及其优先级,各个用户接入类型并不是同时生效,而是按照优先级从高到低的顺序依次生效。当根据最高优先级的用户接入类型进行报文所属VSI/VPN 的匹配命中失败时,根据次高优先级的用户接入类型进行报文所属VSI/VPN的匹配命中, 如果还失败,则再根据更低优先级的用户接入类型继续进行报文所属VSI/VPN的匹配命中。其中,当采用当前优先级的用户接入类型进行匹配命中成功后,则不再触发后续根据更低优先级的用户接入类型进行匹配命中的处理,从而在一个端口上实现了多种AC接入方式,提高了 AC接入的灵活性。与现有技术相比,本发明实施例中,一方面,如果报文的S-VID不能匹配,则可以按照其他优先级最高的接入类型的AC接口解析报文,匹配报文所属的VSI ;另一方面,由于 S-VID的报文经过VSI处理后修改一个VLAN TAG,而普通taggged的报文不作修改,只有当 S-VID的不生效时才要求命中tagged方式,如果配置了多种接入AC,当报文的SID不能被生效的V-sid解析时,可以按照tagged解析,不必修改VLAN TAG。由此可见,与现有技术相比,本发明实施例可以提高端口接入类型的可扩展性和灵活性。进一步的,为了更好的控制各个不同优先级的接入类型,可以预先通过静态方式设置接入类型的使能开关标识,只有这个优先级接入类型的使能开关标识为“开”时才根据该优先级的接入类型进行报文所属VSI/VPN的查找,否则不根据该优先级的接入类型进行报文所属VSI/VPN的查找。具体的,PE设备在使能开关标识为“开”的各用户接入类型中, 按照用户接入类型的优先级从高到低的顺序,采用与用户接入类型对应的方式匹配该报文所属的VSI/VPN ;其中,如果采用当前AC接入方式匹配命中到该报文所属的VSI/VPN,则根据该VSI对应的转发策略转发该报文,并结束本流程。以VPLS网络中的PE设备为例,假设用户接入类型优先级从高到低的顺序依次为S_VID,Tagged/Untagged, Port-based为例,图5示出了一种引入使能开关标识的具体实现流程,其中,PLS网络中的PE设备上的同一个用户侧入端口下配置有S-VID,Tagged/ Untagged, Port-based的用户接入类型,且对应每个用户接入类型分别设置有使能开关标识,其值为“开”时,表示对应用户接入类型使能(即有效),即需要根据该用户接入类型进行报文所属VSI的匹配查找,否则表示对应用户接入类型未使能(即无效),即不需要根据该用户接入类型进行报文所属VSI的匹配查找。当该PE设备的该用户侧入端口接收到报文后,执行以下流程PE设备根据最高优先级的用户接入类型(S-VID)的使能开关标记判断该接入方式是否使能(步骤501),若使能,则PE设备根据S-VID接入类型进行报文所属VSI的匹配查找处理(步骤502,具体处理过程同前所述),若查找命中到该报文所属的VSI (步骤503), 则在匹配到的VSI内进行转发(步骤510,具体处理过程同前所述);若S-VID接入类型未使能,或者步骤503查找失败,则PE设备根据中优先级的用户接入类型(Tagged/Untagged)的使能开关标记判断该接入方式是否使能(步骤504),若使能,则PE设备根据Tagged/Untagged接入类型进行报文所属VSI的匹配查找处理(步骤 505,具体处理过程同前所述),若查找命中到该报文所属的VSI (步骤506),则在匹配到的 VSI内进行转发(步骤510,具体处理过程同前所述);若Tagged/Uitagged接入类型未使能,或者步骤506查找失败,则PE设备根据中优先级的用户接入类型(Port-based)的使能开关标记判断该接入方式是否使能(步骤 507),若使能,则PE设备根据Tagged/Untagged接入类型进行报文所属VSI的匹配查找处理(步骤508,具体处理过程同前所述),若查找命中到该报文所属的VSI (步骤509),则在匹配到的VSI内进行转发(步骤510,具体处理过程同前所述);若Tagged/Uitagged接入类型未使能,或者步骤506查找失败,则PE设备返回失败响应。在图2以及图3的实施例中,VLL网络的PE设备亦能引入上述VPLS网络中PE设备上的使能开关标识实现方法在图4以及图5的实施例中,PE设备转发来自对端PE设备的VPLS报文的方式与已有方式相同,PE通过物理端口上收到来自对端边缘节点的具有转发隧道标识的VPLS报文;PE弹出所述VPLS报文的所述转发隧道标识获取解封装以太网报文,根据弹出的所述转发隧道标识解析转发所述VPLS报文的虚链路PW,并根据解析的所述PW匹配解封装以太网报文所属的VSI ;PE在匹配到的VSI内对转发VPLS报文的PW进行反向路径检查;PE将通过反向路径检查(即,转发接收的VPLS报文的路径与VPLS报文解封装后的以太网报文中源MAC地址的学习路径一致,反之则反向路径检查失败。)的解封装以太网报文在匹配到的 VSI内转发解封装以太网报文。同样,图2以及图3实施例中的PE设备转发来自对端PE设备的VLL报文的方式与已有方式相同,本申请文件不再赘述。根据图4以及图5的实施例的技术启示,PBB网络中的BEB设备亦能实现相同的
转发方法。本发明的上述实施例中,在L2VPN中的作为服务提供商网络边缘设备(VPLS/VLL 网络的PE设备,PBB网络的BEB设备)的同一物理端口设置不同优先级的接入类型,从而实现在服务提供商网络边缘设备的同一个物理端口下同时支持各种用户接入类型。但是,在上述L2VPN中,VPLS/PBB网络的同一VSI内,由于各个AC或PW没有严格的优先级定义,导致用户MAC地址无法在VSI域内标识优先级,而在某些应用场景下(如数据中心,HUB-Spoken 拓扑)要求VSI域内实现优先级的MAC地址学习以防止非法攻击,而现有的实现方式则无法满足该需求。为解决上述问题,本发明的另一实施例中,边缘节点(VPLS网络的PE设备或PBB 网络中的BEB设备)还进一步配置每个VSI中各AC以及各PW关联的路径优先级。在前述实施例的基础上,边缘节点在匹配到的VSI内对转发以太网报文进行反向路径检查的过程 (步骤404),如图6A所示,可包括步骤601,边缘节点根据匹配到VSI对应的转发表查找学习到以太网报文的源MAC 地址的路径;
步骤602,边缘节点确定查找的AC/PW与转发以太网报文的AC是不同路径,且查找到的AC/PW的路径优先级是否低于转发该以太网报文的AC关联的路径优先级,并根据判断结果执行相应的步骤步骤603,若边缘节点确定查找的AC/PW与转发以太网报文的AC是不同路径,且查找到的AC/PW的路径优先级低于转发该以太网报文的AC关联的路径优先级,则通过反向路径检查并将查找的AC/PW替换为转发所述以太网报文的接入电路;步骤604,若边缘节点确定查找的AC/PW与收到所述以太网报文的AC是不同路径, 且查找到的AC/PW关联的路径优先级高于转发所述以太网报文的AC关联的路径优先级,则反向路径检查失败并丢弃收到的所述以太网报文。在前述实施例的基础上,边缘节点在匹配到的VSI内对转发报文进行反向路径检查的过程(步骤404),如图6B所示,可包括步骤610,边缘节点在匹配到VSI对应的转发表查找学习到解封装以太网报文的源MAC地址的路径;步骤611,边缘节点确定查找的AC/PW与转发所述封装报文的PW是否时不同路径, 且查找到的AC/PW关联的路径优先级是否低于转发所述封装报文的PW关联的路径优先级, 并根据判断结果执行相应的步骤步骤612,若边缘节点确定查找的AC/PW与转发所述封装报文的PW是不同路径,且查找到的AC/PW关联的路径优先级低于转发所述封装报文的PW关联的路径优先级,则通过反向路径检查并将查找的路径替换为转发所述封装报文的PW ;步骤613,若边缘节点确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的AC/PW关联的路径优先级高于转发所述封装报文的PW关联的路径优先级,则反向路径检查失败并丢弃所述解封装以太网报文。例如,在图7所示的VPLS网络的一种hub-spoken组网方式为例,PEU PE2和PE3 设备上都配置了 VPLS实例vsil,且每个PE设备上都有接入设备,其中PEl下挂了两个接入设备CEll和CE12,PE2下挂了三个接入设备CE21、CE22和CE23,PE3下挂了两个AC接入设备CE31和CE32,所有的AC接入方式都相同且为S-VID接入。在用户自己的组网中,CE21是用户网络的服务器,CE11、CE12、CE22、CE23、CE31、 CE32之间的互访都是通过CE21完成的,即所有报文都经过CE21转发。例如,当CEll要访问CE31时,报文转发过程是CE11-CE21-CE31,其它CE之间的互访过程类似。在这种情况下,CE21作为用户网络的服务器,其MAC地址在PE设备的VPLS域中是固定的,即CE21的MAC地址必须是挂接在PE2的指定端口下,VSI域中的其它PE设备不能发布该MAC地址。而倘若网络中的某个CE设备也发布了这个MAC地址,比如CE32向PE3发送报文时携带虚假源MAC地址为CE21,这样PE3会更新本地CE21的MAC地址为CE32连接的AC出接口上,同时该虚假报文转发到其它PE设备上时都会触发设备的源MAC更新,PE2 更新该MAC地址的出接口为远程的与PE3连接的PW23 (PE2到PE3之间的PW连接),PEl更新该MAC地址的出接口为远程的与PE3连接的PW13 (PEl到PE3之间的PW连接),此时网络中所有报文的转发路径都会经由CE21切换到CE32,导致用户报文转发错误。为解决该问题,本发明实施例引入了 VSI实例内的AC/PW (即AC或/和PW,以下同)优先级控制,即在VPLS实例内使用静态的方式指定AC或/和PW的优先级,用于指导源MAC地址学习的处理,以及指导基于目的MAC地址转发的处理。具体的,在PE设备的任一 VSI内,设置各该VSI内各AC以及各PW的优先级;其中,对于本地连接有用于转发高优先级报文的CE设备的PE设备,将与该CE设备连接的AC的优先级设置为高优先级,将与本地其它CE设备连接的AC的优先级设置为低优先级,将与其它PE设备连接的远程PW的优先级设置为低优先级;对于通过PW远程连接到所述用于转发高优先级报文的CE设备的PE 设备,将该远程PW的优先级设置为高优先级,将其它远程PW的优先级设置为低优先级,将与本地CE设备连接的AC的优先级设置为低优先级。针对图7所示的组网架构,各PE设备接口上的MAC地址优先级设置如下对于PE2 而言,将与CE21连接的AC设置成较高优先级,将与CE22、CE23连接的AC的优先级设置成较低优先级,将与PEl和PE3连接的远程PW的优先级设置成较低优先级,这样,与CE21连接的AC接口的源MAC地址学习和目的MAC地址转发的优先级较高,与CE22和CE23连接的 AC接口的源MAC地址学习和目的MAC地址转发的优先级较低,与其它PE设备连接的远程 PW接口的源MAC地址学习和目的MAC地址转发的优先级较低);对于PEl而言,将与本地CE 连接的AC的优先级设置成较低优先级,将与PE2连接的远程PW的优先级设置成较高优先级,将与PE3连接的远程PW的优先级设置成较低优先级,这样,本地CE连接的AC接口的源 MAC地址学习和目的MAC地址转发的优先级较低,与PE2设备连接的远程PW接口的源MAC 地址学习和目的MAC地址转发的优先级较高,与其它PE设备连接的远程PW接口的源MAC 地址学习和目的MAC地址转发的优先级较低。同理,对于PE3而言,将与本地CE连接的AC 的优先级设置成较低优先级,将与PE2连接的远程PW的优先级设置成较高优先级,将与PEl 连接的远程PW的优先级设置成较低优先级。在源MAC地址学习和根据目的MAC地址转发报文的过程中,遵循以下规则(1)若当前MAC地址已经学习到(即在MAC地址表中已经存在有该MAC地址),则比较当前AC/PW的优先级,以及MAC地址表中该MAC地址的AC/PW的优先级进行比较,若前者低于后者,则拒绝进行MAC地址学习,从而保证从低优先级AC/PW的接口学习的源MAC地址不能覆盖高优先级AC/PW的接口学习到的MAC地址;(2)从低优先级AC/PW的接口进入的报文,执行uRPF(unicast Reverse Path Forwarding,单播反向路径转发)检查时,若源MAC地址的AC/PW出接口优先级高于报文的 AC/PW入接口,则视为uRPF检查未通过,根据现有规则,对于uRPF检查未通过的报文则将其 Drop (丢弃)或者Trap (该报文即将报文上送到CPU,由控制模块去处理)。采用上述规则(1),保证了高优先级AC/PW的接口学习到的MAC地址,比如CE21设备的MAC地址不会被其它CE设备发布的虚假源MAC地址所覆盖;采用上述规则( ,保证了低优先级AC/PW的接口进入的虚假报文的异常处理,在不影响报文转发路径的情况下可以丢弃该报文,在有监测的要求的情况下,可以将该报文Trap上控制模块进行报文解析。需要说明的是,在实际运用环境下,可以集中服务器到固定的PE设备下,这样可以避免高优先级连接比较分散的情况,另外当这类重要的用户设备移动时,需要重新在PE 设备上配置相关的AC/PW连接的优先级。本实施例中PE设备学习MAC地址的方法同样适用于VPLS/PBB网络的其他组网方式。基于相同的技术构思,本发明实施例还提供了一种在VPLS/PBB网络能够应用于上述流程的PE/BEB设备。参见图8,为本发明实施例提供的应用于二层虚拟专用网络的边缘节点设备的结构示意图,该边缘节点具有多个物理端口,该边缘节点包括第一配置单元801,用于在任一物理端口上配置两个以上的接入类型;其中,接入类型至少包括服务虚拟局域网标识接入类型,服务界定符接入类型和无服务界定符接入类型,基于端口接入类型。接收单元802,用于通过物理端口接收到来自于用户边界网络设备CE的以太网报文;解析单元803,用于按照预设的各接入类型解析次序解析转发所述以太网报文的 AC,并根据转发所述以太网报文的所述AC匹配所述以太网报文所属的VSI ;转发处理单元804,在匹配到的VSI内对转发所述以太网报文的接入电路进行反向路径检查;将通过反向路径检查的以太网报文通过物理端口在匹配到VSI内中进行转发。进一步的,接收单元802通过物理端口上收到来自对端边缘节点的具有转发隧道标识的封装报文;解析单元803弹出所述封装报文的所述转发隧道标识获取解封装以太网报文,根据弹出的所述转发隧道标识解析转发所述封装报文的虚链路PW,并根据解析的所述PW匹配解封装以太网报文所属的VSI ;转发处理单元804在匹配到的VSI内对转发所述封装报文的PW进行反向路径检查,将通过反向路径检查的解封装以太网报文在匹配到的 VSI内转发解封装以太网报文。进一步的,上述边缘节点还包括第二配置单元805,用于配置每个VSI中各接入电路AC以及各虚链路PW关联的路径优先级;相应的,转发处理单元804进一步用于根据在匹配到VSI内查找学习到以太网报文的源MAC地址的路径,确定查找的AC/PW与转发所述以太网报文的AC是不同路径,且查找到的AC/PW的路径优先级低于转发所述以太网报文的 AC关联的路径优先级,则通过反向路径检查并将查找的AC/PW替换为转发所述以太网报文的接入电路。进一步的,转发处理单元803确定查找的AC/PW与收到所述以太网报文的AC是不同路径且查找到的AC/PW关联的路径优先级高于转发所述以太网报文的AC关联的路径优先级,则反向路径检查失败并丢弃收到的所述以太网报文。进一步的,转发处理单元803用于在匹配到VSI内查找学习到解封装以太网报文的源MAC地址的路,确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的 AC/PW关联的路径优先级低于转发所述封装报文的PW关联的路径优先级,则通过反向路径检查并将查找的路径替换为转发所述封装报文的PW。进一步的,转发处理单元803用于确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的AC/PW关联的路径优先级高于转发所述封装报文的PW关联的路径优先级,则反向路径检查失败并丢弃所述解封装以太网报文。基于与上述实施例提供的转发流程相同的技术构思,本发明实施例还提供了一种在VLL网络能够应用于上述流程的边缘节点设备。参见图9,为本发明实施例提供的应用于二层虚拟专用网络的边缘节点设备的结构示意图,该边缘节点具有多个物理端口,该边缘节点包括
配置单元901,用于在任一物理端口上配置有两个以上的接入类型;其中,接入类型至少包括服务虚拟局域网标识接入类型,服务界定符接入类型和无服务界定符接入类型,基于端口接入类型;接收单元902,用于通过物理端口接收到来自于用户边界网络设备CE的以太网报文;解析单元903,用于按照预设的各接入类型解析次序解析转发所述以太网报文的接入电路AC;匹配单元904,用于根据转发所述以太网报文的所述接入电路匹配所述以太网报文所属的虚拟专用网VPN;;转发处理单元905,用于查找所述VPN的虚电路VC标签以及关联该VC标签的隧道标签,为以太网报文封装VC标签和隧道标签,并将封装报文通过隧道标签对应的PW转发到对端边缘节点。综上所述,本发明实施例在L2VPN内实现基于优先级的接入技术,使得AC接入同时可兼容多种方式,从而提供灵活的优先级接入控制。进一步的,在L2VPN网络中的VPLS/ PBB网络架构下,由于VSI实例内存在MAC地址学习,本发明实施例能够实现基于优先级的 MAC地址的灵活控制。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
权利要求
1.一种应用于二层虚拟专用网络L2VPN的转发方法,其特征在于,边缘节点在任一物理端口上配置有两个以上的接入类型;该方法包括边缘节点通过物理端口接收来自于用户边界网络设备CE的以太网报文; 边缘节点按照预设的接入解析次序解析转发所述以太网报文的接入电路AC,并根据解析的所述接入电路匹配所述以太网报文所属的虚拟交换实例VSI ;边缘节点在匹配到的VSI内对转发所述以太网报文的接入电路进行反向路径检查; 边缘节点将通过反向路径检查的以太网报文在匹配到VSI内中进行转发。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括边缘节点通过物理端口上收到来自对端边缘节点的具有转发隧道标识的封装报文; 边缘节点弹出所述封装报文的所述转发隧道标识获取解封装以太网报文,根据弹出的所述转发隧道标识解析转发所述封装报文的虚链路PW,并根据解析的所述PW匹配解封装以太网报文所属的VSI ;边缘节点在匹配到的VSI内对转发所述封装报文的PW进行反向路径检查; 边缘节点将通过反向路径检查的解封装以太网报文在匹配到的VSI内转发解封装以太网报文。
3.如权利要求1或2所述的方法,其特征在于,边缘节点还进一步配置每个VSI中各接入电路AC以及各虚链路PW关联的路径优先级;边缘节点在匹配到的VSI内对转发所述以太网报文进行反向路径检查的步骤包括 边缘节点根据匹配到VSI对应的转发表查找学习到以太网报文的源MAC地址的路径; 边缘节点确定查找的AC/PW与转发所述以太网报文的AC是不同路径,且查找到的AC/ PW的路径优先级低于转发所述以太网报文的AC关联的路径优先级,则通过反向路径检查并将查找的AC/PW替换为转发所述以太网报文的接入电路。
4.如权利要求3所述的方法,其特征在于,边缘节点在匹配到的VSI内对转发所述以太网报文进行反向路径检查的步骤包括边缘节点确定查找的AC/PW与收到所述以太网报文的AC是不同路径且查找到的AC/ PW关联的路径优先级高于转发所述以太网报文的AC关联的路径优先级,则反向路径检查失败并丢弃收到的所述以太网报文。
5.如权利要求3所述的方法,其特征在于,所述方法包括边缘节点在匹配到的VSI内对转发所述封装报文的PW进行反向路径检查的步骤包括边缘节点在匹配到VSI对应的转发表查找学习到解封装以太网报文的源MAC地址的路径;边缘节点确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的AC/PW 关联的路径优先级低于转发所述封装报文的PW关联的路径优先级,则通过反向路径检查并将查找的路径替换为转发所述封装报文的PW。
6.如权利要求5所述的方法,其特征在于,所述方法包括边缘节点确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的AC/PW 关联的路径优先级高于转发所述封装报文的PW关联的路径优先级,则反向路径检查失败并丢弃所述解封装以太网报文。
7.如权利要求1所述的方法,其特征在于,接入类型至少包括服务虚拟局域网标识接入类型,服务界定符接入类型和无服务界定符接入类型,基于端口接入类型。
8.一种应用于二层虚拟专用网络的边缘节点,该边缘节点具有多个物理端口,其特征在于,该边缘节点包括第一配置单元,用于在任一物理端口上配置两个以上的接入类型;接收单元,用于通过物理端口接收到来自于用户边界网络设备CE的以太网报文;解析单元,用于按照预设的各接入类型解析次序解析转发所述以太网报文的AC,并根据转发所述以太网报文的所述AC匹配所述以太网报文所属的VSI ;转发处理单元,在匹配到的VSI内对转发所述以太网报文的接入电路进行反向路径检查;将通过反向路径检查的以太网报文通过物理端口在匹配到VSI内中进行转发。
9.如权利要求8所述的边缘节点,其特征在于,所述接收单元,进一步用于通过物理端口上收到来自对端边缘节点的具有转发隧道标识的封装报文;所述解析单元,进一步用于弹出所述封装报文的所述转发隧道标识获取解封装以太网报文,根据弹出的所述转发隧道标识解析转发所述封装报文的虚链路PW,并根据解析的所述PW匹配解封装以太网报文所属的VSI ;转发处理单元,进一步用于在匹配到的VSI内对转发所述封装报文的PW进行反向路径检查,将通过反向路径检查的解封装以太网报文在匹配到的VSI内转发解封装以太网报文。
10.如权利要求8或9所述的边缘节点,其特征在于,边缘节点还进一步包括,第二配置单元,用于配置每个VSI中各接入电路AC以及各虚链路PW关联的路径优先级;所述转发处理单元,进一步用于根据在匹配到VSI内查找学习到以太网报文的源MAC 地址的路径,确定查找的AC/PW与转发所述以太网报文的AC是不同路径,且查找到的AC/ PW的路径优先级低于转发所述以太网报文的AC关联的路径优先级,则通过反向路径检查并将查找的AC/PW替换为转发所述以太网报文的接入电路。
11.如权利要求10所述的边缘节点,其特征在于,所述转发处理单元,进一步用于边缘节点确定查找的AC/PW与收到所述以太网报文的AC是不同路径且查找到的AC/PW关联的路径优先级高于转发所述以太网报文的AC关联的路径优先级,则反向路径检查失败并丢弃收到的所述以太网报文。
12.如权利要求11所述的边缘节点,其特征在于,所述转发处理单元,进一步用于在匹配到VSI内查找学习到解封装以太网报文的源MAC地址的路,确定确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的AC/PW关联的路径优先级低于转发所述封装报文的PW关联的路径优先级,则通过反向路径检查并将查找的路径替换为转发所述封装报文的PW。
13.如权利要求10所述的边缘节点,其特征在于,所述转发处理单元,进一步用于确定查找的AC/PW与转发所述封装报文的PW是不同路径且查找到的AC/PW关联的路径优先级高于转发所述封装报文的PW关联的路径优先级,则反向路径检查失败并丢弃所述解封装以太网报文。
14.如权利要求11所述的边缘节点,其特征在于,接入类型至少包括服务虚拟局域网标识接入类型,服务界定符接入类型和无服务界定符接入类型,基于端口接入类型。
15.一种应用于二层虚拟专用网络L2VPN的转发方法,其特征在于,边缘节点在任一物理端口配置有两个以上的接入类型;该方法包括边缘节点通过物理端口接收来自于用户边界网络设备CE的以太网报文; 边缘节点按照预设的接入解析次序解析转发所述以太网报文的接入电路AC; 边缘节点根据转发所述以太网报文的所述接入电路匹配所述以太网报文所属的虚拟专用网VPN ;边缘节点查找所述VPN的虚电路VC标签以及关联该VC标签的隧道标签,为以太网报文封装VC标签和隧道标签,并将封装报文通过隧道标签对应的PW转发到对端边缘节点。
16.如权利要求15所述的方法,其特征在于,接入类型至少包括服务虚拟局域网标识接入类型,服务界定符接入类型和无服务界定符接入类型,基于端口接入类型。
17.一种应用于二层虚拟专用网络的边缘节点,该边缘节点具有多个物理端口,其特征在于,该边缘节点包括第一配置单元,用于在任一物理端口上配置有两个以上的接入类型;接收单元,用于通过物理端口接收到来自于用户边界网络设备CE的以太网报文;解析单元,用于按照预设的各接入类型解析次序解析转发所述以太网报文的接入电路AC ;匹配单元,用于根据转发所述以太网报文的所述接入电路匹配所述以太网报文所属的虚拟专用网VPN;;转发处理单元,用于查找所述VPN的虚电路VC标签以及关联该VC标签的隧道标签,为以太网报文封装VC标签和隧道标签,并将封装报文通过隧道标签对应的PW转发到对端边缘节点。
18.如权利要求17所述的边缘节点,其特征在于,接入类型至少包括服务虚拟局域网标识接入类型,服务界定符接入类型和无服务界定符接入类型,基于端口接入类型。
全文摘要
本发明公开了一种应用于L2VPN的转发方法及其装置,其中,边缘节点在任一物理端口上配置有两个以上的接入类型;该方法包括边缘节点通过物理端口接收来自于CE的以太网报文;边缘节点按照预设的接入解析次序解析转发所述以太网报文的AC,并根据解析的所述AC匹配所述以太网报文所属的VSI;边缘节点在匹配到的VSI内对转发所述以太网报文的AC进行反向路径检查;边缘节点将通过反向路径检查的以太网报文在匹配到VSI内中进行转发。本发明实施例在L2VPN内实现基于优先级的接入技术,使得AC接入同时可兼容多种方式,从而提供灵活的优先级接入控制,并且在VSI内实现基于优先级的MAC地址的灵活控制。
文档编号H04L12/56GK102368726SQ201110270758
公开日2012年3月7日 申请日期2011年9月14日 优先权日2011年9月14日
发明者宋小恒, 郑国良, 顾锦枫 申请人:杭州华三通信技术有限公司