專利名稱:一種增強(qiáng)型vpn網(wǎng)絡(luò)優(yōu)化的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,具體地說�,涉及一種增強(qiáng)型VPN(Virtual Private Network,虛擬租用專線)網(wǎng)絡(luò)優(yōu)化的方法及設(shè)備��。
背景技術(shù):
在同一物理形態(tài)上的局域網(wǎng)可以分成多個(gè)VLAN(VirtualLocal Area Network��,虛擬局域網(wǎng))�,各VLAN之間不能直接訪問,只能通過路由設(shè)備來訪問��,這樣可以提高網(wǎng)絡(luò)的安全性和可靠性�。VPN(Virtual Private Networks,虛擬專網(wǎng))技術(shù)是一種通過公眾網(wǎng)絡(luò)來傳遞私有網(wǎng)絡(luò)的技術(shù)����,通過這種技術(shù)可以把不同地點(diǎn)的私用網(wǎng)絡(luò)連接起來,是一種廉價(jià)高效的方法��。目前常用的二層VPN技術(shù)有V-switch技術(shù)(VLAN交換技術(shù)��,使用VLAN標(biāo)簽交換進(jìn)行轉(zhuǎn)發(fā)的一種技術(shù))、QinQ技術(shù)(兩層IEEE802.1Q標(biāo)簽封裝技術(shù)���,亦即,在一個(gè)數(shù)據(jù)包上打兩層VLAN標(biāo)簽�����,又稱802.1Q隧道技術(shù))以及基于MPLS(Multi-Protocol LabelSwitch�����,多協(xié)議標(biāo)簽交換技術(shù))的VPN技術(shù)����。
其中,V-switch技術(shù)是一種簡(jiǎn)單的VPN技術(shù)���,其實(shí)現(xiàn)的基本原理是通過對(duì)入端口以太網(wǎng)數(shù)據(jù)幀的一層或兩層VLAN標(biāo)簽直接進(jìn)行交換成出端口的對(duì)應(yīng)VLAN標(biāo)簽實(shí)現(xiàn)�。具體地說����,就是二層交換設(shè)備通過將從入端口進(jìn)來的數(shù)據(jù)幀攜帶的屬于某一特定VPN的一層或兩層VLAN標(biāo)簽換成為同屬該特定VPN的另一局域網(wǎng)的新的一層或兩層VLAN標(biāo)簽后,然后從輸出端口發(fā)出���,進(jìn)而實(shí)現(xiàn)將處于不同地域VLAN標(biāo)簽不同的各局域網(wǎng)組成一個(gè)大的VPN網(wǎng)絡(luò)���。
然而�,采用V-switch實(shí)現(xiàn)VPN存在如下缺點(diǎn)(1)只能實(shí)現(xiàn)點(diǎn)到點(diǎn)的VPN��;(2)需要靠手工配置來實(shí)現(xiàn)運(yùn)營(yíng)商的多跳穿越���,這樣�,當(dāng)需要穿越運(yùn)營(yíng)商的多個(gè)設(shè)備時(shí)���,那么需要在每個(gè)設(shè)備上都進(jìn)行配置���,不能做到在運(yùn)營(yíng)商網(wǎng)絡(luò)入口處配置完后,進(jìn)行自路由轉(zhuǎn)發(fā)�;(3)不對(duì)VPN用戶業(yè)務(wù)進(jìn)行最終交換,也就是說不進(jìn)行VPN用戶的MAC地址學(xué)習(xí)和MAC地址轉(zhuǎn)發(fā)QinQ技術(shù)是另一種簡(jiǎn)單的VPN技術(shù)�,它采用的L2層技術(shù),通過兩層IEEE802.1Q標(biāo)準(zhǔn)的標(biāo)簽封裝技術(shù)���,即在使用的私網(wǎng)VLAN標(biāo)簽外再封裝一個(gè)公網(wǎng)的VLAN標(biāo)簽���,使得私網(wǎng)的VLAN能夠從公網(wǎng)透?jìng)鞯叫枰B接的其它私網(wǎng)�。由于它不需要額外的信令支持就能實(shí)現(xiàn)簡(jiǎn)單的VPN功能���,能夠把分散的幾個(gè)地域的LAN(LocalArea Network���,局域網(wǎng))組成一個(gè)大的VPLS(Virtual PrivateLAN Service�,虛擬專用局域網(wǎng)服務(wù)),因此非常簡(jiǎn)單方便����。
然而,該技術(shù)只能使用一層VLAN標(biāo)簽來標(biāo)識(shí)用戶VPN��,當(dāng)需要兩層VLAN標(biāo)簽來確定一個(gè)用戶VPN的情況則無法支持�����,而在實(shí)際的網(wǎng)絡(luò)應(yīng)用中��,有很多地方是需要使用兩層VLAN來標(biāo)志一個(gè)用戶�;另外,利用QinQ技術(shù)封裝的二層VLAN標(biāo)簽�����,其中外層的VLAN標(biāo)簽由運(yùn)營(yíng)商提供代表VPN的標(biāo)識(shí),內(nèi)層VLNA標(biāo)簽由用戶提供代表每個(gè)VPN內(nèi)部業(yè)務(wù)的種類�����。這樣�,一個(gè)VPN及其業(yè)務(wù)種類的配置就必須由運(yùn)營(yíng)商和企業(yè)網(wǎng)共同完成,而不能由一方集中完成��。還有就是每個(gè)VLAN標(biāo)簽由12位比特的二進(jìn)制來定義是全局的�����,如此�,帶來的問題是每個(gè)端口只能實(shí)現(xiàn)4096個(gè)VPN。
而基于MPLS的VPN技術(shù)則是采用MPLS標(biāo)簽實(shí)現(xiàn)的���。用戶業(yè)務(wù)的數(shù)據(jù)幀在CE(Consumer Edge��,用戶邊緣設(shè)備)內(nèi)部是以普通的以太網(wǎng)數(shù)據(jù)幀傳輸��,在進(jìn)入運(yùn)營(yíng)商的PE(Provider Edge���,供應(yīng)商邊緣)設(shè)備后,PE根據(jù)用戶的VLAN信息和目的MAC信息,查找轉(zhuǎn)發(fā)表后得到一個(gè)雙層的MPLS標(biāo)簽��,根據(jù)這個(gè)雙層MPLS標(biāo)簽再得到一個(gè)下一跳的目的MAC和VLAN信息���,封裝后從本設(shè)備的相應(yīng)發(fā)送端口發(fā)出��,發(fā)到對(duì)端的PE設(shè)備����。如下表1顯示用戶正常數(shù)據(jù)幀���,表2顯示MPLS數(shù)據(jù)幀。
表1用戶正常數(shù)據(jù)幀 表2MPLS數(shù)據(jù)幀這個(gè)MPLS封裝的數(shù)據(jù)包到了對(duì)端PE設(shè)備以后���,PE設(shè)備將兩層MPLS的標(biāo)簽去掉�����,并且從這兩層MPLS標(biāo)簽的內(nèi)層標(biāo)簽得到該VPN用戶業(yè)務(wù)在該設(shè)備上的最終出端口信息�����,將用戶VPN的二層以太網(wǎng)數(shù)據(jù)幀原封不動(dòng)地從相應(yīng)出物理端口發(fā)出���。
然而��,基于MPLS的VPN技術(shù)要求設(shè)備必須支持MPLS標(biāo)簽��,這就對(duì)設(shè)備提出了更高的要求�����;另外���,它要求用戶同一VPN內(nèi)部標(biāo)示同一種業(yè)務(wù)的標(biāo)記必須是全局統(tǒng)一的,無法做到在不同的地點(diǎn)(意味著設(shè)備的不同出口)����、業(yè)務(wù)標(biāo)志形式的VLAN數(shù)值不同,進(jìn)而給VPN網(wǎng)絡(luò)實(shí)現(xiàn)帶來了困難�����;最后��,由于VPN標(biāo)志及VPN內(nèi)部的業(yè)務(wù)標(biāo)志分別由運(yùn)營(yíng)商和企業(yè)客戶配置����,同樣無法由一方集中完成。
發(fā)明內(nèi)容
本發(fā)明的目的即是克服上述各種現(xiàn)有技術(shù)中存在的缺陷和不足,提供一種新的增強(qiáng)型VPN網(wǎng)絡(luò)優(yōu)化的方法及其設(shè)備����。
為此本發(fā)明提供一種增強(qiáng)型VPN網(wǎng)絡(luò)優(yōu)化的方法,用于使得私網(wǎng)的VLAN從公網(wǎng)透?jìng)鞯叫枰B接的其他私網(wǎng)����,其中所述公網(wǎng)上至少包括有一個(gè)網(wǎng)絡(luò)設(shè)備入端口及一個(gè)網(wǎng)絡(luò)設(shè)備出端口,該方法包括如下步驟(1)在所述網(wǎng)絡(luò)設(shè)備入端口��,根據(jù)入物理端口將用戶數(shù)據(jù)幀上的VLAN標(biāo)簽映射成VPN ID���;(2)將經(jīng)上述處理后的用戶數(shù)據(jù)幀在運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部進(jìn)行轉(zhuǎn)發(fā)��;(3)在所述網(wǎng)絡(luò)設(shè)備出端口,根據(jù)出物理端口將攜帶有VPNID的數(shù)據(jù)幀映射成攜帶用戶VLAN標(biāo)簽的數(shù)據(jù)幀并進(jìn)行轉(zhuǎn)發(fā)����。
其中,步驟(1)中所述的映射方法具體包括(11)在網(wǎng)絡(luò)設(shè)備的入端口�����,配置一張映射表����,使得VPN ID與用戶VLAN標(biāo)簽�����、端口號(hào)對(duì)應(yīng)�����;(12)網(wǎng)絡(luò)設(shè)備的入端口�����,接收到攜帶有用戶VLAN標(biāo)簽的數(shù)據(jù)幀后�����,對(duì)上述映射表進(jìn)行查詢��;(13)根據(jù)查詢的結(jié)果����,替換數(shù)據(jù)幀中攜帶的用戶VLAN標(biāo)簽為VPN ID�����。
其中,步驟(3)中所述的映射方法具體包括(31)在網(wǎng)絡(luò)設(shè)備的出端口�����,配置一張映射表�,使得VPN ID、出端口號(hào)與該VPN用戶使用的VLAN標(biāo)簽相對(duì)應(yīng)���;(32)網(wǎng)絡(luò)設(shè)備的出端口�,接收到攜帶有VPN ID的數(shù)據(jù)幀后�,對(duì)上述映射表進(jìn)行查詢;(33)根據(jù)查詢的結(jié)果�����,替換數(shù)據(jù)幀中攜帶的VPN ID為用戶VLAN標(biāo)簽�����。
其中����,所述的VPN ID為新的一層或兩層VLAN標(biāo)簽���;所述網(wǎng)絡(luò)設(shè)備可以是交換機(jī)或路由器��。
本發(fā)明還提供一種為實(shí)施上述方法所制成的設(shè)備����,具備現(xiàn)有設(shè)備通用的CPU及商用轉(zhuǎn)發(fā)芯片等構(gòu)件,并在現(xiàn)有設(shè)備商用轉(zhuǎn)發(fā)芯片前進(jìn)一步設(shè)置一塊轉(zhuǎn)換模塊�,其中該模塊在每個(gè)入物理端口,根據(jù)配置的用戶VLAN標(biāo)簽與VPNID的映射表���,將數(shù)據(jù)幀中攜帶的用戶VLAN標(biāo)簽替換成新的VPN ID后�����,交給商用轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)��;然后重新計(jì)算CRC后交給后面的商用ASIC進(jìn)行后續(xù)轉(zhuǎn)發(fā)����;該模塊在相應(yīng)出物理端口���,根據(jù)配置的VPN ID標(biāo)簽與該VPN下用戶的VLAN標(biāo)簽的映射關(guān)系表����,將攜帶有VPN ID的數(shù)據(jù)幀重新生成攜帶用戶VLAN標(biāo)簽的數(shù)據(jù)幀后,交給商用轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)�����。
其中���,所述VPN ID可以為新的一層或兩層VLAN標(biāo)簽���;在經(jīng)處理的數(shù)據(jù)幀交給商用轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)前,該轉(zhuǎn)換模塊還需重新計(jì)算CRC���;所述設(shè)備可以是交換機(jī)���,也可以是路由器。與現(xiàn)有的技術(shù)相比�����,由于本發(fā)明支持在二層數(shù)據(jù)幀中采用兩層VLAN標(biāo)簽來表示VPN ID�,因此本發(fā)明可以實(shí)現(xiàn)4K*4K個(gè)VPN,極大的拓展了VPN的數(shù)量����,為VPN用戶的數(shù)量增加作了較好的支持。同時(shí)�,分別在入端口和出端口配置映射表的方法可以改變用戶VLAN標(biāo)簽的數(shù)值,從而可以使得一個(gè)VPN內(nèi)部的用戶業(yè)務(wù)種類標(biāo)記在不同物理端口(對(duì)應(yīng)不同物理位置)有不同的表現(xiàn)形式���,并可以實(shí)現(xiàn)只在一臺(tái)設(shè)備上集中配置�����,因此簡(jiǎn)化了網(wǎng)絡(luò)布署���。最后,本發(fā)明提供的點(diǎn)到多點(diǎn)VPN的方法��,不需要采用具有MPLS功能的交換機(jī)����,在當(dāng)前眾多的中低端設(shè)備上即可應(yīng)用,因而可以大大降低網(wǎng)絡(luò)運(yùn)營(yíng)商的成本���。
附圖是采用本發(fā)明的設(shè)備內(nèi)部硬件結(jié)構(gòu)原理圖��。
具體實(shí)施例方式
為了更好地理解本發(fā)明��,下面結(jié)合具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步的說明����,當(dāng)然,本具體實(shí)施例只是本發(fā)明的示范和典型����,并不能對(duì)本發(fā)明所要求保護(hù)的范圍構(gòu)成限制。
本發(fā)明提供的增強(qiáng)型VPN網(wǎng)絡(luò)優(yōu)化的方法����,其典型的實(shí)施步驟包括運(yùn)營(yíng)商網(wǎng)絡(luò)入端口處理、運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部轉(zhuǎn)發(fā)和運(yùn)營(yíng)商網(wǎng)絡(luò)出端口處理三個(gè)主要步驟�����。此處��,以運(yùn)營(yíng)商為例是為了更好的結(jié)合實(shí)際情形來示范����,這里的運(yùn)營(yíng)商網(wǎng)絡(luò)可以是任何具有二層VPN功能的網(wǎng)絡(luò)。同時(shí)此處網(wǎng)絡(luò)運(yùn)營(yíng)商的入端口����、出端口可以是在同一網(wǎng)絡(luò)中不同網(wǎng)絡(luò)設(shè)備上的物理端口,也可以是同一網(wǎng)絡(luò)中同一網(wǎng)絡(luò)設(shè)備上的不同物理端口,甚至可以是同一網(wǎng)絡(luò)中同一網(wǎng)絡(luò)設(shè)備上的同一物理端口���,此處的網(wǎng)絡(luò)設(shè)備一般為交換機(jī)或路由器。
首先���,詳細(xì)說明本發(fā)明中運(yùn)營(yíng)商網(wǎng)絡(luò)入端口處理方法���。
在運(yùn)營(yíng)商網(wǎng)絡(luò)邊緣與用戶網(wǎng)絡(luò)相連接的交換機(jī)的入物理端口方向,加入一張表來完成VPN用戶的識(shí)別和VLAN標(biāo)簽的替換工作�����。這張表的輸入是用戶VPN數(shù)據(jù)幀的入端口和其攜帶的一層或兩層VLAN標(biāo)簽���,查表后的輸出是代表VPN標(biāo)志的運(yùn)營(yíng)商使用的另外一層或兩層VLAN標(biāo)簽����。需要說明的是�����,所述表可以是人工配置���,也可以用其它方法實(shí)現(xiàn)���,只要能實(shí)現(xiàn)上述邏輯映射功能即可�����。同時(shí)��,如果被替換后的二層數(shù)據(jù)幀的VLAN標(biāo)簽為一層�,那么支持4096個(gè)VPN�����;如果替換后的VLAN標(biāo)簽為兩層��,那么支持4K*4K個(gè)VPN�����。
表5是運(yùn)營(yíng)商入端口映射表一個(gè)示范例����。
替換后的一層或兩層VLAN標(biāo)簽代表VPN的VPN ID在運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)中必須是統(tǒng)一的,此處所指的VPN ID是一種邏輯概念���,比如在表5中����,入物理端口1的用戶雙VLAN標(biāo)簽被映射成代表VPN標(biāo)志的301、302�����,301+302共同組成了VPN ID�����,假設(shè)為VPN1���,可以得知,入物理端口3的雙VLAN標(biāo)簽也被映射成了301+302的VPN1���,因此在表5中����,入物理端口1和3代表的用戶屬于同一個(gè)VPN用戶����。而替換前的VLAN標(biāo)簽由于是根據(jù)具體入端口配置來的,有多個(gè)不同端口的VLAN標(biāo)簽映射成一個(gè)相同VPN ID的情況。
然后����,進(jìn)行運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部的轉(zhuǎn)發(fā)。在運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部的轉(zhuǎn)發(fā)過程中���,按照轉(zhuǎn)換后的VLAN標(biāo)志進(jìn)行自學(xué)習(xí)轉(zhuǎn)發(fā)��,直到轉(zhuǎn)發(fā)到運(yùn)營(yíng)商網(wǎng)絡(luò)出口��,這個(gè)過程和普通運(yùn)營(yíng)商提供的二層VPN內(nèi)部的轉(zhuǎn)發(fā)過程沒有什么區(qū)別��,此處不再贅述�����。
下面��,詳細(xì)描述運(yùn)營(yíng)商出端口處理方法�。
在運(yùn)營(yíng)商雙VLAN標(biāo)簽VPN交換機(jī)的出口方向����,加入一張表來完成運(yùn)營(yíng)商使用的VPN標(biāo)志與用戶使用的VLAN標(biāo)志的轉(zhuǎn)換。這張表的輸入是代表VPN ID標(biāo)志的一層或兩層VLAN標(biāo)簽�����,輸出是該VPN在該輸出端口的用戶表現(xiàn)形式VLAN標(biāo)簽(一層或兩層)。
表6是運(yùn)營(yíng)商出端口映射表的一個(gè)示范例��。
輸出方向的這張表也是按照具體出端口配置的�����,也就是說一個(gè)相同的VPN ID����,在不同的物理輸出端口�����,翻譯后的兩層用戶VLAN標(biāo)簽可以不同����。
需要說明的是,本發(fā)明提供的技術(shù)方案可以支持帶有一層或兩層VLAN標(biāo)簽的數(shù)據(jù)幀�����,如果在上述運(yùn)營(yíng)商網(wǎng)絡(luò)入端口表替換后的標(biāo)簽只有一層����,并且隨后只是按照該層標(biāo)簽進(jìn)行MAC地址學(xué)習(xí)和轉(zhuǎn)發(fā)���,那么只能支持4096個(gè)VPN,這是目前市場(chǎng)上的所有芯片都可以支持的����。但如果在入端口表替換后的標(biāo)簽有兩層,并且隨后按照兩層標(biāo)簽進(jìn)行MAC地址學(xué)習(xí)和轉(zhuǎn)發(fā)�����,那么就可以支持4096*4096個(gè)VPN����,這就對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)相連的設(shè)備的轉(zhuǎn)發(fā)芯片功能提出了更高的要求。這是一般普通網(wǎng)絡(luò)數(shù)據(jù)交換設(shè)備�����,特別是具有商用L2/L3轉(zhuǎn)發(fā)芯片的交換機(jī)所不能支持的����。
為此,本發(fā)明提供一種專用于實(shí)施本發(fā)明提供的方法的設(shè)備����。下面結(jié)合附圖詳細(xì)介紹實(shí)現(xiàn)本發(fā)明采用雙VLAN標(biāo)簽提供點(diǎn)到多點(diǎn)二層VPN的方法的設(shè)備的內(nèi)部構(gòu)成原理�����。
目前的商用L2/L3層交換機(jī)轉(zhuǎn)發(fā)芯片都支持基于VLAN的轉(zhuǎn)發(fā)��,因此如附圖所示����,本發(fā)明在轉(zhuǎn)發(fā)芯片前面附加了一個(gè)轉(zhuǎn)換模塊���,即可實(shí)現(xiàn)對(duì)帶有雙VLAN標(biāo)簽用戶數(shù)據(jù)幀轉(zhuǎn)發(fā)的支持�,此處的轉(zhuǎn)換模塊可以用硬件也可以用軟件的方法實(shí)現(xiàn)��。
該模塊實(shí)現(xiàn)的具體功能描述如下在交換機(jī)每個(gè)物理端口入口方向�,根據(jù)CPU配置的兩層VLAN標(biāo)簽到一層(或兩層)VLAN標(biāo)簽的映射表����,映射成代表二層VPN ID的新VLAN,然后重新計(jì)算CRC后交給后面的商用ASIC進(jìn)行后續(xù)轉(zhuǎn)發(fā)����;在每個(gè)GE(千兆以太網(wǎng))的出口��,再根據(jù)代表二層VPN ID的新VLAN標(biāo)簽��,根據(jù)CPU配置在各個(gè)端口的映射表����,重新生成兩層標(biāo)簽�,然后重新計(jì)算CRC后發(fā)出。
轉(zhuǎn)換模塊中的FPGA(Field program gate array����,現(xiàn)場(chǎng)可編程門陣列)做簡(jiǎn)單的工作(映射和CRC),其成本較低�。并且表格是配置在每個(gè)物理端口上的,所以FPGA可以根據(jù)需要只完成支持雙VLAN標(biāo)簽VPN端口的入/出轉(zhuǎn)換工作��,而不是必須在所有端口上都實(shí)現(xiàn)�����。
綜上所述�,采用本發(fā)明提供的方法及設(shè)備,在較低成本的情況下就可以增強(qiáng)現(xiàn)有二層VPN網(wǎng)絡(luò)提供的功能��,特別是可以處理帶有雙VLAN標(biāo)簽的二層以太網(wǎng)數(shù)據(jù)幀�,能夠?qū)崿F(xiàn)4K*4K個(gè)VPN�����,同時(shí)網(wǎng)絡(luò)配置方法也更為靈活���、簡(jiǎn)便。
權(quán)利要求
1.一種增強(qiáng)型VPN網(wǎng)絡(luò)優(yōu)化的方法�,用于使得私網(wǎng)的VLAN從公網(wǎng)透?jìng)鞯叫枰B接的其他私網(wǎng),其中所述公網(wǎng)上至少包括有一個(gè)網(wǎng)絡(luò)設(shè)備入端口及一個(gè)網(wǎng)絡(luò)設(shè)備出端口�,其特征在于,該方法包括如下步驟(1)在所述網(wǎng)絡(luò)設(shè)備入端口���,根據(jù)入物理端口將用戶數(shù)據(jù)幀上的VLAN標(biāo)簽映射成VPN ID���;(2)將經(jīng)上述處理后的用戶數(shù)據(jù)幀在運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部進(jìn)行轉(zhuǎn)發(fā);(3)在所述網(wǎng)絡(luò)設(shè)備出端口�����,根據(jù)出物理端口將攜帶有VPNID的數(shù)據(jù)幀映射成攜帶用戶VLAN標(biāo)簽的數(shù)據(jù)幀并進(jìn)行轉(zhuǎn)發(fā)����。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,步驟(1)中所述的映射方法具體包括(11)在網(wǎng)絡(luò)設(shè)備的入端口,配置一張映射表�,使得VPN ID與用戶VLAN標(biāo)簽、端口號(hào)對(duì)應(yīng)�����;(12)網(wǎng)絡(luò)設(shè)備的入端口���,接收到攜帶有用戶VLAN標(biāo)簽的數(shù)據(jù)幀后���,對(duì)上述映射表進(jìn)行查詢;(13)根據(jù)查詢的結(jié)果�����,替換數(shù)據(jù)幀中攜帶的用戶VLAN標(biāo)簽為VPN ID��。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟(3)中所述的映射方法具體包括(31)在網(wǎng)絡(luò)設(shè)備的出端口,配置一張映射表����,使得VPN ID、出端口號(hào)與該VPN用戶使用的VLAN標(biāo)簽相對(duì)應(yīng)����;(32)網(wǎng)絡(luò)設(shè)備的出端口,接收到攜帶有VPN ID的數(shù)據(jù)幀后�����,對(duì)上述映射表進(jìn)行查詢�;(33)根據(jù)查詢的結(jié)果,替換數(shù)據(jù)幀中攜帶的VPN ID為用戶VLAN標(biāo)簽���。
4.根據(jù)權(quán)利要求2或3所述的方法�����,其特征在于�����,所述的VPNID為新的一層或兩層VLAN標(biāo)簽�。
5.根據(jù)權(quán)利要求1至3中所述的任意一項(xiàng)方法����,其特征在于,所述網(wǎng)絡(luò)設(shè)備可以是交換機(jī)或路由器�����。
6.一種根據(jù)上述方法制成的設(shè)備��,具備現(xiàn)有設(shè)備通用的CPU及商用轉(zhuǎn)發(fā)芯片等構(gòu)件�,其特征在于在現(xiàn)有設(shè)備商用轉(zhuǎn)發(fā)芯片前進(jìn)一步設(shè)置一塊轉(zhuǎn)換模塊,其中該模塊在每個(gè)入物理端口���,根據(jù)配置的用戶VLAN標(biāo)簽與VPN ID的映射表���,將數(shù)據(jù)幀中攜帶的用戶VLAN標(biāo)簽替換成新的VPN ID后,交給商用轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)�����;然后重新計(jì)算CRC后交給后面的商用ASIC進(jìn)行后續(xù)轉(zhuǎn)發(fā)�����;該模塊在相應(yīng)出物理端口,根據(jù)配置的VPN ID標(biāo)簽與該VPN下用戶的VLAN標(biāo)簽的映射關(guān)系表�,將攜帶有VPN ID的數(shù)據(jù)幀重新生成攜帶用戶VLAN標(biāo)簽的數(shù)據(jù)幀后,交給商用轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)�����。
7.根據(jù)權(quán)利要求6所述的設(shè)備�,其特征在于,所述VPN ID可以為新的一層或兩層VLAN標(biāo)簽�����。
8.根據(jù)權(quán)利要求6或7所述的設(shè)備��,其特征在于�,在經(jīng)處理的數(shù)據(jù)幀交給商用轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)前,該轉(zhuǎn)換模塊還需重新計(jì)算CRC�。
9.根據(jù)權(quán)利要求6或7所述的設(shè)備,其特征在于����,所述設(shè)備可以是交換機(jī),也可以是路由器���。
全文摘要
本發(fā)明提供一種增強(qiáng)型VPN網(wǎng)絡(luò)優(yōu)化的方法��,用于使得私網(wǎng)的VLAN從公網(wǎng)透?jìng)鞯叫枰B接的其他私網(wǎng)��,該方法包括如下步驟(1)在所述網(wǎng)絡(luò)設(shè)備入端口����,根據(jù)入物理端口將用戶數(shù)據(jù)幀上的VLAN標(biāo)簽映射成VPN ID��;(2)將經(jīng)上述處理后的用戶數(shù)據(jù)幀在運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部進(jìn)行轉(zhuǎn)發(fā)�����;(3)在所述網(wǎng)絡(luò)設(shè)備出端口����,根據(jù)出物理端口將攜帶有VPN ID的數(shù)據(jù)幀映射成攜帶用戶VLAN標(biāo)簽的數(shù)據(jù)幀并進(jìn)行轉(zhuǎn)發(fā)。本發(fā)明可以實(shí)現(xiàn)4K*4K個(gè)VPN�;可以做到將一個(gè)VPN內(nèi)部的用戶業(yè)務(wù)種類標(biāo)記采用兩層VLAN標(biāo)簽來表示;而且��,不需要采用具有MPLS功能的交換機(jī)��,并可以只在一臺(tái)設(shè)備上集中配置�。
文檔編號(hào)H04L12/46GK1838633SQ20051005641
公開日2006年9月27日 申請(qǐng)日期2005年3月22日 優(yōu)先權(quán)日2005年3月22日
發(fā)明者于洋, 王瑋, 張海濤, 莊國(guó)強(qiáng), 張檢鋒, 彭昆成 申請(qǐng)人:杭州華為三康技術(shù)有限公司