跨虚拟局域网的报文转发方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及数据通信领域,具体而言,涉及一种跨虚拟局域网的报文转发方法、装置及系统。
【背景技术】
[0002]目前针对跨虚拟局域网(Virtual Local Area Network, VLAN) 二层转发的实现技术主要包括:配置trunk permit、SUPERVLAN、及通过IGMP Snooping协议实现等。其他厂商如通过配置trunk permit实现跨VLAN二层转发,主要是针对一对VLAN之间的报文转发,每对VLAN之间都需要配置,配置复杂,并且,一旦组网发生变化,需要重新进行大量的配置。
[0003]针对相关技术中跨VLAN 二层转发存在的配置复杂的问题,目前尚未提出有效的解决方案。
【发明内容】
[0004]针对相关技术中跨VLAN 二层转发存在的配置复杂的问题,本发明提供了一种跨VLAN的报文转发方法、装置及系统,以至少解决上述问题。
[0005]根据本发明的一个方面,提供了一种跨虚拟局域网VLAN的报文转发系统,包括:一个或多个虚拟桥、一个或多个转发VLAN及多个外部VLAN ;其中,每个所述虚拟桥配置有一个转发VLAN和多个外部VLAN,同一个所述虚拟桥中的多个所述外部VLAN之间能够进行跨VLAN 二层转发,且每个所述转发VLAN只属于一个所述虚拟桥,每个所述外部VLAN也只属于一个所述虚拟桥。
[0006]优选地,所述系统包括多个所述虚拟桥时,多个所述虚拟桥之间不能通信。
[0007]优选地,所述虚拟桥包括:接收模块,用于接收所述虚拟桥的第一外部VLAN发送的数据报文;修改模块,用于将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的所述转发VLAN的VLAN TAG ;转发模块,用于在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文,并所述数据报文离开所述虚拟桥时,根据出接口对应的所述虚拟桥的第二外部VLAN,将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG,然后从所述出接口转发。
[0008]优选地,所述虚拟桥还包括:判断模块,用于判断接收到的所述数据报文是否为非TAG报文,如果是,则根据所述数据报文的入接口,为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。
[0009]根据本发明的另一个方面,还提供了一种跨虚拟局域网VLAN的报文转发装置,位于虚拟桥,包括:接收模块,用于接收所述虚拟桥的第一外部VLAN发送的数据报文;修改模块,用于将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLANTAG ;转发模块,用于在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文,并所述数据报文离开所述虚拟桥时,根据出接口对应的所述虚拟桥的第二外部VLAN,将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG,然后从所述出接口转发。
[0010]优选地,所述装置还包括:断模块,用于判断接收到的所述数据报文是否为非TAG报文,如果是,则根据所述数据报文的入接口,为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。
[0011]根据本发明的又一个方面,提供了一种跨虚拟局域网VLAN的转发方法,应用于上述的系统,所述方法包括:虚拟桥接收其第一外部VLAN发送的数据报文;所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG ;在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文,并所述数据报文离开所述虚拟桥时,根据出接口对应的所述虚拟桥的第二外部VLAN,将所述数据报文的目的VLAN TAG替换成所述第二外部VLAN的VLAN TAG,然后从所述出接口转发。
[0012]优选地,虚拟桥接收其第一外部VLAN发送的数据报文之后,所述方法还包括:判断接收到的所述数据报文是否为非TAG报文,如果是,则根据所述数据报文的入接口,为所述数据报文添加与所述入接口对应的所述第一外部VLAN的VLAN TAG。
[0013]优选地,所述虚拟桥将所述数据报文的目的VLAN标签TAG替换成所述虚拟桥本地的转发VLAN的VLAN TAG之后,所述方法还包括:所述虚拟桥判断是否需要进行媒体介入控制层MAC地址学习,如果是,则进行MAC地址学习。
[0014]优选地,在所述虚拟桥本地的所述转发VLAN中转发经所述修改模块修改后的所述数据报文,包括:查询所述虚拟桥的地址解析协议ARP表项,查找所述数据报文的出接口 ;如果找到所述出接口,则将查找到的所述出接口作为所述数据报文的出接口 ;否则,查询所述虚拟桥配置,分别将所述虚拟桥的所有外部VLAN对应的出接口作为所述数据报文的出接口。
[0015]通过本发明,将需要进行通信的VLAN设置为同一虚拟桥的外部VLAN,配置方法简单,并且,在组网发生变化时,也能很方便的重新配置,解决了相关技术中跨VLAN 二层转发存在的配置复杂的问题,满足了防火墙在透明模式下的跨VLAN 二层转发需求。
【附图说明】
[0016]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0017]图1是根据本发明实施例的跨VLAN的报文转发系统的结构示意图;
[0018]图2是根据本发明实施例的一个实例的报文转发系统的结构示意图;
[0019]图3是根据本发明实施例的跨VLAN的报文转发装置结构示意图;
[0020]图4是根据本发明实施例的跨VLAN的报文转发方法的流程图;
[0021]图5是根据本发明实施例的一种可选实施方式的跨VLAN的报文转发方法的流程图。
【具体实施方式】
[0022]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0023]针对防火墙透明模式的跨VLAN 二层转发,本发明实施例提供了一种解决方案,即通过虚拟桥来实现跨VLAN的二层转发。
[0024]根据本发明实施例,提供了一种跨VLAN的报文转发系统,该系统可以设置在虚拟桥中执行跨VLAN的二层转发。
[0025]图1为根据本发明实施例的跨VLAN的报文转发系统的结构示意图,如图1所示,该系统一个或多个虚拟桥10 (图中示出2个)、一个或多个转发VLAN20 (图中示出2个)及多个外部VLAN30 (图中示出了 5个);其中,每个所述虚拟桥10配置有一个转发VLAN20和多个外部VLAN30,同一个所述虚拟桥10中的多个所述外部VLAN30之间能够进行跨VLAN 二层转发,且每个所述转发VLAN20只属于一个所述虚拟桥10,每个所述外部VLAN30也只属于一个所述虚拟桥10。
[0026]在本发明实施例中,防火墙可配置多个虚拟桥10,每个虚拟桥10只可以配置一个转发VLAN20,但可以添加多个外部VLAN30,同一个虚拟桥10中的外部VLAN30可以进行跨VLAN 二层转发。每个转发VLAN20只可以属于一个虚拟桥10,每个外部VLAN30也只可以属于一个虚拟桥10。通过这种方式,可以很方便的实现跨VLAN 二层转发。
[0027]在本发明实施例中,如果该系统中包括多个虚拟桥,则不同虚拟桥的外部VLAN30不可进行跨VLAN 二层转发。与现有技术相比较,不同的虚拟桥的外部VLAN30之间不能进行跨VLAN 二层转发,很好做到了 VLAN隔离。
[0028]在本发明实施例的上述系统中,虚拟桥主要是解决防火墙透明模式下跨VLAN转发的二层流量,数据流在进入虚拟桥时有不同的VLAN TAG,但是进入虚拟桥后,均替换成虚拟桥自己本地VLAN的VLAN TAG,然后按照普通二层流量在虚拟桥本地VLAN中转发,当流量离开虚拟桥时,再根据出接口将VLAN TAG替换成对应的VLAN。防火墙上可建立多个虚拟桥,多个虚拟桥之间的不能通信。通过配置多个虚拟桥,既实现了跨VLAN的报文转发,又能实现VLAN隔离。在具体实施过程中,虚拟桥可以包括如图3所示的跨VLAN的报文转发装置,具体将下面进行介绍。
[0029]为了进一步理解,下面通过一个具体的实例来说明本发明实施例所提供的系统。如图2所示,在该实例中,系统共有三个虚拟桥vbrigel, vbridge2和vbridge3,其中外部vlanl、vlan2、vlan3 属于 vbrigel,其本地 vlan 为 vlanlO,外部 vlan4、vlan5、vlan6 属于 vbrige2,其本地 vlan 为 vlan20,外部 vlan7、vlan8、vlan9 属于 vbrige3,其本地 vlan为vlan30。其中每个vbridge的外部vlan中的节点位于同一子网,可以互相通信,不同vbridge的外部vlan中的节点不在同一子网,不能互相通信。
[0030]具体配置如下:
[0031]ZXRlO(config)Svbridgel
[0032]ZXRlO(config-vbridge)#native-vlanlO
[0033]ZXRlO(config-vbridge)#forward-vlanl-3
[0034]ZXRlO(config-vbridge) #ex
[0035]ZXRlO (conf ig) #vbridge2
[0036]ZXRlO(config-vbridge)#native-vlan20
[0037]ZXRlO(config-vbridge)#forward-vIan4~6
[0038]ZXRlO(config-vbridge)#ex
[0039]ZXRlO(config)#vbridge3
[0040]ZXRlO(config-vbridge)#native-vlan30
[0041]ZXRlO(config-vbridge)#forward-vlan7-9
[0042]ZXRlO(config-vbridge)#ex
[0043]通过本发明实施例提供的跨虚拟局域网VLAN的报文转发系统,配置简单,既实现了跨VLAN的二层转发,又可对不同VLAN进行隔离,满足了防火墙在透明模式下的各种需求。
[0044]图3是根据本发明