一种实现用户设备二层隔离的方法、装置及路由设备的制作方法

一种实现用户设备二层隔离的方法、装置及路由设备的制作方法
【专利摘要】本发明实施例提供一种实现用户设备二层隔离的方法、装置及路由设备。所述方法包括：在获取到需要发送给第一用户设备的第一数据帧时，对所述第一数据帧添加第一标签，得到第一VLAN帧；向接入交换机发送所述第一VLAN帧，使得所述接入交换机能够将所述第一VLAN帧剥离所述第一标签后发送给所述第一用户设备；其中，所述路由设备对需要发送至任一用户设备的数据帧所打的标签均为所述第一标签，所述第一标签不同于所述接入交换机对来自任一用户设备的数据帧所打的标签。本发明实施例提供支持用户设备二层隔离的另一种实现方式。
【专利说明】-种实现用户设备二层隔罔的方法、装置及路由设备

【技术领域】
[0001] 本发明涉及传输与IP领域，尤其涉及一种实现用户设备二层隔离的方法、装置及 路由设备。

【背景技术】
[0002]IEEE802. 1Q标准对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字 段之间加入4字节的802.IQTag(以下简称Tag)。QinQ(802.lQ-in-802. 1Q)技术是一项 扩展VLAN空间的技术，通过在802. 1Q标签数据帧的基础上再增加一层802. 1Q的标签头来 达到扩展VLAN空间的功能。
[0003] 子接口（subinterface)是通过协议和技术将一个物理接口（interface)虚拟出 来的多个逻辑接口。
[0004] 终结子接口是指设备的子接口对数据帧的单层或者双层Tag进行识别，然后根据 后续的转发行为对单层或者双层Tag进行剥离或继续传送。如果路由子接口是对数据帧的 单层Tag终结，那么该子接口称为Dotlq终结子接口。如果路由子接口是对数据帧的双层 Tag终结，那么该子接口称为QinQ终结子接口。终结子接口具体的实现方法、功能和具体的 应用场景有一定关系。
[0005] 随着以太网技术在运营商网络中的大量部署，利用终结子接口和VLAN技术(特别 是QINQ技术）对用户设备进行隔离和标识得到很大应用。
[0006] 一般来说，无论是Dotlq终结子接口，还是为QinQ终结子接口，也即无论是采用单 层Tag或者双层Tag来隔离用户设备，都需要为每个用户设备分配独立的VLAN或QINQ资 源，因此十分消耗VLAN/QINQ资源，也增加了业务规划和管理复杂度。
[0007] 虽然也有采用VLAN端口隔离等技术来实现二层隔离，但此技术只对物理接口有 效，经过上层二层设备的汇聚后就实现不了二层隔离。
[0008] 相关背景知识还可参见IEEE802.IQ(IEEE局域和城域网标准：虚拟桥接局域网； IEEEstandardforlocalandmetropolitanareanetworks:VirtualBridgedLocal AreaNetworks)和IEEE802.lad(虚拟桥接局域网：提供者桥；VirtualBridgedLocal AreaNetworks:ProviderBridges)标准规范文本。


【发明内容】

[0009] 有鉴于此，本发明实施例的目的是提供一种实现用户设备二层隔离的方法、装置 及路由设备，以提供支持用户设备二层隔离的另一种实现方式。
[0010] 为解决上述技术问题，本发明实施例提供方案如下：
[0011] 本发明实施例提供一种实现用户设备二层隔离的方法，用于路由设备，包括：
[0012] 在获取到需要发送给第一用户设备的第一数据帧时，对所述第一数据帧添加第一 标签，得到第一VLAN帧；
[0013] 向接入交换机发送所述第一VLAN帧，使得所述接入交换机能够将所述第一VLAN 帧剥离所述第一标签后发送给所述第一用户设备；
[0014] 其中，所述路由设备对需要发送至任一用户设备的数据帧所打的标签均为所述第 一标签，所述第一标签不同于所述接入交换机对来自任一用户设备的数据帧所打的标签。
[0015] 优选地，所述接入交换机对来自任一用户设备的数据帧所打的标签均相同。
[0016] 优选地，所述第一数据帧由所述路由设备对第二用户设备发送给所述第一用户设 备的三层数据进行封装后获得。
[0017] 优选地，所述三层数据由所述路由设备从来自所述接入交换机的第二VLAN帧中 解封装得到，所述第二VLAN帧为所述接入交换机对接收到的来自所述第二用户设备的数 据帧添加第二标签后得到。
[0018] 优选地，所述接入交换机对来自所述第一用户设备的数据帧所打的标签为：所述 路由设备的终结子接口下，所述第一用户设备对应的终结VLAN属性的取值；
[0019] 所述第一标签为：所述路由设备的终结子接口下，所述第一用户设备对应的下行 VLAN属性的取值；
[0020] 其中，所述终结VLAN属性与所述下行VLAN属性配对。
[0021 ] 优选地，所述对所述第一数据帧添加第一标签，得到第一VLAN帧具体包括：
[0022] 判断所述终结VLAN属性是否配置为与所述下行VLAN属性配对，获取一判断结 果；
[0023] 当所述判断结果为是时，将所述下行VLAN属性的取值作为所述第一标签添加到 所述第一数据帧，得到所述第一VLAN帧；
[0024] 当所述判断结果为否时，将所述终结VLAN属性的取值作为第三标签添加到所述 第一数据帧，得到第三VLAN帧，并向所述接入交换机发送所述第三VLAN帧，使得所述接入 交换机能够从所述第三VLAN帧中解析出所述第三标签，并根据解析出的所述第三标签，丢 弃所述第三VLAN帧。
[0025] 本发明实施例还提供一种实现用户设备二层隔离的装置，用于路由设备，包括：
[0026] 添加模块，用于在获取到需要发送给第一用户设备的第一数据帧时，对所述第一 数据帧添加第一标签，得到第一VLAN帧；
[0027] 发送模块，用于向接入交换机发送所述第一VLAN帧，使得所述接入交换机能够将 所述第一VLAN帧剥离所述第一标签后发送给所述第一用户设备；
[0028] 其中，所述路由设备对需要发送至任一用户设备的数据帧所打的标签均为所述第 一标签，所述第一标签不同于所述接入交换机对来自任一用户设备的数据帧所打的标签。
[0029] 优选地，所述接入交换机对来自任一用户设备的数据帧所打的标签均相同。
[0030] 优选地，所述第一数据帧由所述路由设备对第二用户设备发送给所述第一用户设 备的三层数据进行封装后获得。
[0031] 优选地，所述三层数据由所述路由设备从来自所述接入交换机的第二VLAN帧中 解封装得到，所述第二VLAN帧为所述接入交换机对接收到的来自所述第二用户设备的数 据帧添加第二标签后得到。
[0032] 优选地，所述接入交换机对来自所述第一用户设备的数据帧所打的标签为：所述 路由设备的终结子接口下，所述第一用户设备对应的终结VLAN属性的取值；
[0033] 所述第一标签为：所述路由设备的终结子接口下，所述第一用户设备对应的下行 VLAN属性的取值；
[0034] 其中，所述终结VLAN属性与所述下行VLAN属性配对。
[0035] 优选地，所述添加模块具体包括：
[0036] 判断单元，用于判断所述终结VLAN属性是否配置为与所述下行VLAN属性配对，获 取一判断结果；
[0037] 第一添加单元，用于当所述判断结果为是时，将所述下行VLAN属性的取值作为所 述第一标签添加到所述第一数据帧，得到所述第一VLAN帧；
[0038] 第二添加单元，用于当所述判断结果为否时，将所述终结VLAN属性的取值作为第 三标签添加到所述第一数据帧，得到第三VLAN帧，并向所述接入交换机发送所述第三VLAN 帧，使得所述接入交换机能够从所述第三VLAN帧中解析出所述第三标签，并根据解析出的 所述第三标签，丢弃所述第三VLAN帧。
[0039] 本发明实施例还提供一种包括以上所述的实现用户设备二层隔离的装置的路由 设备。
[0040] 从以上所述可以看出，本发明实施例至少具有如下有益效果：
[0041] 通过在获取到需要发送给第一用户设备的第一数据帧时，对其添加第一标签得到 第一VLAN帧，向接入交换机发送第一VLAN帧，使得接入交换机能够将第一VLAN帧剥离所 述第一标签后发送给所述第一用户设备，又所述路由设备对需要发送至任一用户设备的数 据帧所打的标签均为所述第一标签，所述第一标签不同于所述接入交换机对来自任一用户 设备的数据帧所打的标签，从而使第一用户设备对其它用户设备的数据帧不可见，从而实 现了用户设备的二层隔离。

【专利附图】

【附图说明】
[0042]图1表示本发明实施例提供的一种实现用户设备二层隔离的方法的步骤流程图；
[0043] 图2表示本发明实施例的较佳实施方式提供的基于混合（hybrid)终结子接口实 现用户二层隔离的系统的结构图；
[0044] 图3表示本发明实施例提供的一种实现用户设备二层隔离的装置的结构示意图。

【具体实施方式】
[0045] 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图及具体实 施例对本发明实施例进行详细描述。
[0046] 图1表示本发明实施例提供的一种实现用户设备二层隔离的方法的步骤流程图， 参照图1，本发明实施例提供一种实现用户设备二层隔离的方法，用于路由设备，包括如下 步骤：
[0047] 步骤101，在获取到需要发送给第一用户设备的第一数据帧时，对所述第一数据帧 添加第一标签，得到第一VLAN帧；
[0048] 步骤102,向接入交换机发送所述第一VLAN帧，使得所述接入交换机能够将所述 第一VLAN帧剥离所述第一标签后发送给所述第一用户设备；
[0049] 其中，所述路由设备对需要发送至任一用户设备的数据帧所打的标签均为所述第 一标签，所述第一标签不同于所述接入交换机对来自任一用户设备的数据帧所打的标签。
[0050] 可见，通过在获取到需要发送给第一用户设备的第一数据帧时，对其添加第一标 签得到第一VLAN帧，向接入交换机发送第一VLAN帧，使得接入交换机能够将第一VLAN帧 剥离所述第一标签后发送给所述第一用户设备，又所述路由设备对需要发送至任一用户设 备的数据帧所打的标签均为所述第一标签，所述第一标签不同于所述接入交换机对来自任 一用户设备的数据帧所打的标签，从而使第一用户设备对其它用户设备的数据帧不可见， 从而实现了用户设备的二层隔离。
[0051]其中，标签例如：802.IQTag或QinQTag等。
[0052] 这里，所述接入交换机对于待剥离其带有的标签后发送给某用户设备的某VLAN 帧，会先判断该VLAN帧带有的标签是否为所述接入交换机对来自该用户设备之外的任一 其它用户设备的数据帧所打的标签，如果是，则丢弃该VLAN帧，否则，将该VLAN帧剥离其带 有的标签后发送给该用户设备。
[0053] 在本发明实施例中，所述接入交换机对来自不同用户设备的数据帧所打的标签可 以不同。或者，为了节省标签资源，提高VLAN/QINQ资源的利用率，可以有：
[0054] 所述接入交换机对来自任一用户设备的数据帧所打的标签均相同。
[0055] 在本发明实施例中，所述第一数据帧可以由所述路由设备对第二用户设备发送给 所述第一用户设备的三层数据进行封装后获得。
[0056] 进一步地，所述三层数据可以由所述路由设备从来自所述接入交换机的第二VLAN 帧中解封装得到，所述第二VLAN帧为所述接入交换机对接收到的来自所述第二用户设备 的数据帧添加第二标签后得到。
[0057] 在本发明实施例中，考虑到在现有路由器基础上的平滑过渡，减少路由器设计和 实现上的复杂度，可以有：
[0058] 所述接入交换机对来自所述第一用户设备的数据帧所打的标签为：所述路由设备 的终结子接口下，所述第一用户设备对应的终结VLAN属性的取值；
[0059] 所述第一标签为：所述路由设备的终结子接口下，所述第一用户设备对应的下行 VLAN属性的取值；
[0060] 其中，所述终结VLAN属性与所述下行VLAN属性配对。
[0061] 进一步地，所述对所述第一数据帧添加第一标签，得到第一VLAN帧具体可以包 括：
[0062] 判断所述终结VLAN属性是否配置为与所述下行VLAN属性配对，获取一判断结 果；
[0063] 当所述判断结果为是时，将所述下行VLAN属性的取值作为所述第一标签添加到 所述第一数据帧，得到所述第一VLAN帧；
[0064] 当所述判断结果为否时，将所述终结VLAN属性的取值作为第三标签添加到所述 第一数据帧，得到第三VLAN帧，并向所述接入交换机发送所述第三VLAN帧，使得所述接入 交换机能够从所述第三VLAN帧中解析出所述第三标签，并根据解析出的所述第三标签，丢 弃所述第三VLAN帧。
[0065] 为将本发明实施例阐述得更加清楚明白，下面提供本发明实施例的较佳实施方 式。
[0066] 本较佳实施方式提供了一种基于hybrid终结子接口实现用户设备二层隔离的方 法，实现了穿越多个二层设备的隔离，把VLAN/QINQ资源的利用率从以用户为单位提高到 以一组用户为单位，实现了同一组用户，无论用户多少，只需要2个公用VLAN/QINQ资源即 可隔离，提高了VLAN/QINQ资源的利用率，减轻了业务规划和管理复杂度。
[0067] 根据本较佳实施方式的方法，首先要在路由器上实现hybrid终结子接口功能。方 法是在普通终结子接口下增加一个新属性：下行VLAN，并且和终结VLAN呈配对关系。此时 对于下行数据流，Tag需要封装其终结VLAN对应的配对下行VLAN，然后发送给用户设备。
[0068] hybrid终结子接口下行VLAN配置规则如下：
[0069] 1) 一个终结VLAN，最多只能配置一个配对下行VLAN。
[0070] 2)不同终结VLAN，可以配置相同的配对下行VLAN。
[0071] 3)内层终结VLAN配对内层下行VLAN，外层终结VLAN配对外层下行VLAN。
[0072] hybrid终结子接口发送数据流给用户设备前，Tag需要封装其终结VLAN对应的配 对下行VLAN，封装规则如下：
[0073] 1)如果终结VLAN配置了配对下行VLAN，封装其配对下行VLAN。
[0074] 2)如果终结VLAN没有配置配对下行VLAN，封装该终结VLAN。
[0075] 3)此处的VLAN既可以是单层Tag也可以是双层Tag。
[0076] 和Dotlq终结子接口、QinQ终结子接口一样，hybrid终结子接口支持IP转发、支 持ARP代理等功能。
[0077] 本较佳实施方式还提供了基于hybrid终结子接口实现用户设备二层隔离的系 统，该系统包括：路由设备、交换机和用户设备(和用户设备直连的交换机称为接入交换 机)。其中，交换机通过自身的上行端口与路由设备的下行端口相连；接入交换机通过自身 不同的下行端口与多个用户设备相连、通过自身的上行端口与交换机或者路由设备的下行 端口相连。如图2所示（以单层Tag为例)。注意图中的交换机包括接入交换机和非接入交 换机，实际中可以没有非接入交换机，也可以是一台或者多台非接入交换机。
[0078] 具体实现方法是，在路由设备配置hybrid终结子接口，VLAN1是终结VLAN，VLAN2 是VLAN1的配对VLAN，且VLANUVLAN2数值不同。在接入交换机下行端口配置VLAN1为其 PVID。各个设备详细的端口配置见表1。
[0079]表1
[0080]

【权利要求】
1. 一种实现用户设备二层隔离的方法，用于路由设备，其特征在于，包括： 在获取到需要发送给第一用户设备的第一数据峽时，对所述第一数据峽添加第一标 签，得到第一 VLAN巾贞； 向接入交换机发送所述第一 VLAN峽，使得所述接入交换机能够将所述第一 VLAN峽剥 离所述第一标签后发送给所述第一用户设备； 其中，所述路由设备对需要发送至任一用户设备的数据峽所打的标签均为所述第一标 签，所述第一标签不同于所述接入交换机对来自任一用户设备的数据峽所打的标签。
2. 如权利要求1所述的方法，其特征在于，所述接入交换机对来自任一用户设备的数 据中贞所打的标签均相同。
3. 如权利要求1所述的方法，其特征在于，所述第一数据峽由所述路由设备对第二用 户设备发送给所述第一用户设备的H层数据进行封装后获得。
4. 如权利要求3所述的方法，其特征在于，所述H层数据由所述路由设备从来自所述 接入交换机的第二VLAN巾贞中解封装得到，所述第二VLAN巾贞为所述接入交换机对接收到的 来自所述第二用户设备的数据峽添加第二标签后得到。
5. 如权利要求1所述的方法，其特征在于，所述接入交换机对来自所述第一用户设 备的数据峽所打的标签为：所述路由设备的终结子接口下，所述第一用户设备对应的终结 VLAN属性的取值； 所述第一标签为：所述路由设备的终结子接口下，所述第一用户设备对应的下行VLAN 属性的取值； 其中，所述终结VLAN属性与所述下行VLAN属性配对。
6. 如权利要求5所述的方法，其特征在于，所述对所述第一数据峽添加第一标签，得到 第一 VLAN峽具体包括： 判断所述终结VLAN属性是否配置为与所述下行VLAN属性配对，获取一判断结果； 当所述判断结果为是时，将所述下行VLAN属性的取值作为所述第一标签添加到所述 第一数据峽，得到所述第一 VLAN峽； 当所述判断结果为否时，将所述终结VLAN属性的取值作为第H标签添加到所述第一 数据峽，得到第H VLAN峽，并向所述接入交换机发送所述第H VLAN峽，使得所述接入交换 机能够从所述第H VLAN峽中解析出所述第H标签，并根据解析出的所述第H标签，丢弃所 述第H化AN中贞。
7. -种实现用户设备二层隔离的装置，用于路由设备，其特征在于，包括： 添加模块，用于在获取到需要发送给第一用户设备的第一数据峽时，对所述第一数据 峽添加第一标签，得到第一 VLAN峽； 发送模块，用于向接入交换机发送所述第一 VLAN峽，使得所述接入交换机能够将所述 第一 VLAN峽剥离所述第一标签后发送给所述第一用户设备； 其中，所述路由设备对需要发送至任一用户设备的数据峽所打的标签均为所述第一标 签，所述第一标签不同于所述接入交换机对来自任一用户设备的数据峽所打的标签。
8. 如权利要求7所述的装置，其特征在于，所述接入交换机对来自任一用户设备的数 据峽所打的标签均相同。
9. 如权利要求7所述的装置，其特征在于，所述第一数据峽由所述路由设备对第二用 户设备发送给所述第一用户设备的H层数据进行封装后获得。
10. 如权利要求9所述的装置，其特征在于，所述H层数据由所述路由设备从来自所述 接入交换机的第二VLAN峽中解封装得到，所述第二VLAN峽为所述接入交换机对接收到的 来自所述第二用户设备的数据峽添加第二标签后得到。
11. 如权利要求7所述的装置，其特征在于，所述接入交换机对来自所述第一用户设 备的数据峽所打的标签为：所述路由设备的终结子接口下，所述第一用户设备对应的终结 VLAN属性的取值； 所述第一标签为：所述路由设备的终结子接口下，所述第一用户设备对应的下行VLAN 属性的取值； 其中，所述终结VLAN属性与所述下行VLAN属性配对。
12. 如权利要求11所述的装置，其特征在于，所述添加模块具体包括： 判断单元，用于判断所述终结VLAN属性是否配置为与所述下行VLAN属性配对，获取一 判断结果； 第一添加单元，用于当所述判断结果为是时，将所述下行VLAN属性的取值作为所述第 一标签添加到所述第一数据峽，得到所述第一 VLAN峽； 第二添加单元，用于当所述判断结果为否时，将所述终结VLAN属性的取值作为第H标 签添加到所述第一数据峽，得到第H VLAN峽，并向所述接入交换机发送所述第H VLAN峽， 使得所述接入交换机能够从所述第H VLAN峽中解析出所述第H标签，并根据解析出的所 述第H标签，丢弃所述第H VLAN峽。
13. -种路由设备，其特征在于，包括如权利要求7至12中任一项所述的实现用户设备 二层隔离的装置。
【文档编号】H04L12/771GK104348693SQ201310344688
【公开日】2015年2月11日 申请日期:2013年8月8日 优先权日:2013年8月8日
【发明者】张红欣, 陈毓锋, 余越, 何杰 申请人:中国移动通信集团广东有限公司