專利名稱:隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法及其應(yīng)用的網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬局域網(wǎng)技術(shù)����,尤其涉及一種隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法以及應(yīng)用該方法的網(wǎng)絡(luò)設(shè)備���。
背景技術(shù):
商業(yè)以太網(wǎng)接入的快速發(fā)展對(duì)傳統(tǒng)的VLAN(Virtual Local Area Network,虛擬局域網(wǎng))網(wǎng)絡(luò)提出了挑戰(zhàn)����。出于對(duì)網(wǎng)絡(luò)安全的考慮,運(yùn)營商希望實(shí)現(xiàn)接入的用戶間互相隔離�����。通過VLAN實(shí)現(xiàn)用戶隔離是很自然的選擇�����,但是如果每個(gè)用戶一個(gè)VLAN��,由于當(dāng)前IEEE(Institute of Electrical and ElectronicEngineers�����,電氣與電子工程師協(xié)會(huì))802.1Q協(xié)議中VLAN標(biāo)識(shí)為12位��,最多支持4094個(gè)VLAN,對(duì)于運(yùn)營商來說這個(gè)數(shù)量遠(yuǎn)遠(yuǎn)不夠�����;而且�����,VLAN是需要三層終結(jié)的����,為每個(gè)只包含一個(gè)用戶的VLAN進(jìn)行三層終結(jié),運(yùn)營商也難以承受這樣的方案�。
隔離用戶VLAN(Isolated-User VLAN)技術(shù)將多個(gè)Secondary VLAN(次級(jí)虛擬局域網(wǎng))映射到一個(gè)Primary VLAN(主虛擬局域網(wǎng))。Secondary VLAN之間互相隔離����,用于連接下行接入的用戶,對(duì)上行連接的設(shè)備不可見�����;PrimaryVLAN用于連接上行設(shè)備���。理論上每個(gè)Primary VLAN可以包含4094個(gè)Secondary VLAN���,所以相當(dāng)于提供了4094×4094個(gè)VLAN,從而可以滿足運(yùn)營商的組網(wǎng)需求����。
在現(xiàn)有技術(shù)中,Isolated-User VLAN采用如下方式實(shí)現(xiàn)當(dāng)報(bào)文從Secondary VLAN端口進(jìn)入交換機(jī)后,報(bào)文中被加入Secondary VLAN的標(biāo)簽(tag);帶有Secondary VLAN標(biāo)簽的報(bào)文被轉(zhuǎn)發(fā)至Primary VLAN端口;在去掉報(bào)文中Secondary VLAN的標(biāo)簽后��,將其發(fā)送出Primary VLAN端口�����。而當(dāng)報(bào)文從Primary VLAN端口進(jìn)入交換機(jī)后��,報(bào)文中被加入Primary VLAN的標(biāo)簽���;帶有Primary VLAN標(biāo)簽的報(bào)文被轉(zhuǎn)發(fā)至對(duì)應(yīng)于其目的地址的SecondaryVLAN端口;在去掉報(bào)文中的Primary VLAN標(biāo)簽后,將其發(fā)送出SecondaryVLAN端口��。
可見�,在現(xiàn)有技術(shù)中��,從Primary VLAN和Secondary VLAN端口發(fā)送不帶有VLAN標(biāo)簽的報(bào)文使得Secondary VLAN對(duì)上行連接的設(shè)備不可見和Primary VLAN對(duì)下行連接的設(shè)備不可見,但同時(shí)也使得上行連接的設(shè)備得不到Primary VLAN的信息��,下行連接的設(shè)備得不到Secondary VLAN的信息��,這在相當(dāng)程度上限制了Isolated-User VLAN適用的組網(wǎng)環(huán)境�。
例如���,在圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)中���,在交換機(jī)130上配置Isolated-UserVLAN,用戶141����、142、143和144分別連接到交換機(jī)130的Secondary VLAN端口Sport1�����、Sport2�、Sport3和Sport4。交換機(jī)130上只有1個(gè)Primary VLAN端口Pport1與交換機(jī)120連接�����。交換機(jī)120上連接有服務(wù)器111和服務(wù)器112。如果希望用戶141和142在能夠訪問服務(wù)器111同時(shí)與服務(wù)器112隔離����,而用戶143和144在能夠訪問服務(wù)器112的同時(shí)與服務(wù)器111隔離,則在當(dāng)前的組網(wǎng)結(jié)構(gòu)中無法實(shí)現(xiàn)�����。
發(fā)明內(nèi)容
本發(fā)明要解決的是現(xiàn)有技術(shù)中與應(yīng)用Isolated-User VLAN的端口連接的設(shè)備得不到該端口VLAN信息的問題����。
本發(fā)明所述第一種包括主虛擬局域網(wǎng)Primary VLAN和至少一個(gè)次級(jí)虛擬局域網(wǎng)Secondary VLAN的隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法,包括以下步驟Secondry VLAN端口接收到以Primary VLAN端口為出端口的報(bào)文��;在將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前�,在報(bào)文中增加Priamry VLAN標(biāo)簽。
優(yōu)選地�,所述方法還包括當(dāng)從Primary VLAN端口接收到具有PrimaryVLAN標(biāo)簽的報(bào)文時(shí),根據(jù)報(bào)文中的目的地址直接進(jìn)行轉(zhuǎn)發(fā)�����。
優(yōu)選地����,所述將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前具體為在去掉報(bào)文中Secondary VLAN標(biāo)簽后���,從Primary VLAN端口發(fā)送報(bào)文前。
可選地�����,所述將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前具體為在去掉報(bào)文中Secondary VLAN標(biāo)簽前���;所述在報(bào)文中增加Primary VLAN的標(biāo)簽具體為在報(bào)文中SecondaryVLAN標(biāo)簽之后插入Primary VLAN標(biāo)簽。
優(yōu)選地�,設(shè)置從Primary VLAN端口發(fā)送的報(bào)文攜帶Primary VLAN標(biāo)簽。
優(yōu)選地�,所述方法還包括在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前,在報(bào)文中增加Secondary VLAN標(biāo)簽�����。
本發(fā)明所述第二種包括Primary VLAN和至少一個(gè)Secondary VLAN的隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法���,包括以下步驟Primary VLAN端口接收到以Secondary VLAN端口為出端口的報(bào)文���;在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前,在報(bào)文中增加Secondary VLAN標(biāo)簽����。
優(yōu)選地�����,所述方法還包括當(dāng)從Secondary VLAN端口接收到具有Secondary VLAN標(biāo)簽的報(bào)文時(shí)���,根據(jù)報(bào)文中的目的地址直接進(jìn)行轉(zhuǎn)發(fā)。
優(yōu)選地���,所述在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前具體為在去掉報(bào)文中Primary VLAN標(biāo)簽后��,從Secondary VLAN端口發(fā)送報(bào)文前���。
可選地,所述在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前具體為在去掉報(bào)文中Primary VLAN標(biāo)簽前�����;所述在報(bào)文中增加Secondary VLAN的標(biāo)簽具體為在報(bào)文中PrimaryVLAN標(biāo)簽之后插入Secondary VLAN標(biāo)簽�����。
優(yōu)選地,所述方法還包括設(shè)置從Secondary VLAN端口發(fā)送的報(bào)文具有Secondary VLAN標(biāo)簽��。
本發(fā)明提供的一種具有隔離用戶虛擬局域網(wǎng)功能的網(wǎng)絡(luò)設(shè)備���,包括至少一個(gè)Primary VLAN端口�����、Primary標(biāo)簽處理模塊����、Primary標(biāo)簽設(shè)置模塊和轉(zhuǎn)發(fā)模塊�����,其中Primary VLAN端口用來進(jìn)行隔離用戶虛擬局域網(wǎng)的上行報(bào)文收發(fā)���;Primary標(biāo)簽設(shè)置模塊用來配置從該P(yáng)rimary VLAN端口發(fā)送的報(bào)文中帶有或不帶有VLAN標(biāo)簽;Primary標(biāo)簽處理模塊用來根據(jù)Primary標(biāo)簽設(shè)置模塊的配置向該P(yáng)rimaryVLAN端口輸出攜帶或不攜帶Primary VLAN標(biāo)簽的發(fā)送報(bào)文�����;轉(zhuǎn)發(fā)模塊連接Primary標(biāo)簽處理模塊����,用來轉(zhuǎn)發(fā)報(bào)文��。
優(yōu)選地�����,當(dāng)從Primary VLAN端口接收的報(bào)文中具有VLAN標(biāo)簽時(shí)����,Primary標(biāo)簽處理模塊將其輸出至轉(zhuǎn)發(fā)模塊��;當(dāng)從Primary VLAN端口接收的報(bào)文中不具有VLAN標(biāo)簽時(shí)����,Primary標(biāo)簽處理單元在該報(bào)文中增加PriamryVLAN標(biāo)簽后將其輸出至轉(zhuǎn)發(fā)模塊。
優(yōu)選地�,所述網(wǎng)絡(luò)設(shè)備還包括至少一個(gè)Secondary VLAN端口、Secondary標(biāo)簽處理模塊和Secondary標(biāo)簽設(shè)置模塊�����,其中Secondary VLAN端口用來進(jìn)行隔離用戶虛擬局域網(wǎng)的下行報(bào)文收發(fā)��;Secondary標(biāo)簽設(shè)置模塊用來配置從該Secondary VLAN端口發(fā)送的報(bào)文中帶有或不帶有VLAN標(biāo)簽���;Secondary標(biāo)簽處理模塊連接轉(zhuǎn)發(fā)模塊����,用來根據(jù)Secondary標(biāo)簽設(shè)置模塊的配置向該Secondary VLAN端口輸出攜帶或不攜帶Secondary VLAN標(biāo)簽的發(fā)送報(bào)文。
優(yōu)選地�,當(dāng)從Secondary VLAN端口接收的報(bào)文中具有VLAN標(biāo)簽時(shí),Secondary標(biāo)簽處理模塊將其輸出至轉(zhuǎn)發(fā)模塊��;當(dāng)從Secondary VLAN端口接收的報(bào)文中不具有VLAN標(biāo)簽時(shí)���,Secondary標(biāo)簽處理單元在該報(bào)文中增加Secondary VLAN標(biāo)簽后將其輸出至轉(zhuǎn)發(fā)模塊�。
本發(fā)明通過在從Isolated-User VLAN的Primary VLAN端口和/或Secondary VLAN端口發(fā)送的報(bào)文中增加Primary VLAN標(biāo)簽或SecondaryVLAN標(biāo)簽����,使得Isolated-User VLAN的上行與下行報(bào)文中能夠帶有PrimaryVLAN或Secondary VLAN的標(biāo)簽,從而在不改變現(xiàn)有的轉(zhuǎn)發(fā)流程和轉(zhuǎn)發(fā)決策的條件下����,極大地?cái)U(kuò)展了Isolated-User VLAN的應(yīng)用��。
圖1為Isolated-User VLAN組網(wǎng)結(jié)構(gòu)示例圖�;圖2為本發(fā)明中實(shí)現(xiàn)Primary VLAN標(biāo)簽上行的方法實(shí)施例一的流程圖;圖3為本發(fā)明中實(shí)現(xiàn)Primary VLAN標(biāo)簽上行的方法實(shí)施例二的流程圖��;圖4為本發(fā)明中實(shí)現(xiàn)Secondary VLAN標(biāo)簽下行的方法實(shí)施例三的流程圖;圖5為本發(fā)明中實(shí)現(xiàn)Secondary VLAN標(biāo)簽下行的方法實(shí)施例四的流程圖���;圖6為本發(fā)明所述網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖����。
具體實(shí)施例方式
在網(wǎng)絡(luò)設(shè)備之間���,VLAN信息通過報(bào)文中的VLAN標(biāo)簽進(jìn)行傳遞���。VLAN標(biāo)簽中包括VLAN的標(biāo)識(shí),網(wǎng)絡(luò)設(shè)備可以通過VLAN標(biāo)簽識(shí)別出發(fā)送該報(bào)文的節(jié)點(diǎn)所在的VLAN����。例如,VLAN標(biāo)簽在以太網(wǎng)報(bào)文中的實(shí)現(xiàn)最為常見的有以下兩種第一種是IEEE 802.1Q協(xié)議規(guī)定的幀結(jié)構(gòu)�����,如下表所示
上表中���,在原以太網(wǎng)幀結(jié)構(gòu)的源MAC地址與幀類型之間�����,增加了包括2字節(jié)TPID(Tag protocol Identifier�,標(biāo)簽協(xié)議標(biāo)識(shí)符)和2字節(jié)TCI(Tag ControlInformation,標(biāo)簽控制信息)的VLAN標(biāo)簽�。其中,TPID固定為值0x8100�����,表明該幀中帶有802.1Q標(biāo)記信息���;TCI中包括12位VLAN標(biāo)識(shí)符VID����,VID唯一地標(biāo)識(shí)了該幀所屬的VLAN���;第二種是Cisco(思科)公司的ISL(Inter Switch Link)協(xié)議規(guī)定的幀結(jié)構(gòu)����,如下表所示
上表中�����,在原以太網(wǎng)幀結(jié)構(gòu)的前端增加了26字節(jié)的ISL Header(ISL包頭)作為VLAN標(biāo)簽�,其中包括唯一標(biāo)識(shí)該幀所屬VLAN的VLAN ID(VLAN標(biāo)識(shí)符)。
對(duì)應(yīng)于所發(fā)送的報(bào)文是否攜帶VLAN標(biāo)簽�,網(wǎng)絡(luò)設(shè)備上的端口分為以下三種A.Access(接入)端口當(dāng)某個(gè)端口對(duì)某個(gè)VLAN是Access端口時(shí),報(bào)文進(jìn)入該端口時(shí)�,會(huì)在報(bào)文中增加該VLAN的標(biāo)簽;而當(dāng)報(bào)文由該端口發(fā)送前����,會(huì)去掉報(bào)文中的VLAN標(biāo)簽;B.Trunk(匯聚)端口當(dāng)某個(gè)端口對(duì)某個(gè)VLAN是Trunk端口時(shí)�����,該端口通常屬于多個(gè)VLAN���,可以設(shè)置其中一個(gè)為該端口的缺省VLAN��;除了屬于該端口缺省VLAN的報(bào)文外��,由該端口發(fā)送的報(bào)文中攜帶有該報(bào)文所屬VLAN的標(biāo)簽��;C.Hybrid(混合)端口Hybrid端口比Trunk端口增加了一個(gè)功能����,即可以設(shè)置從Hybrid端口發(fā)送的報(bào)文攜帶或不攜帶VLAN標(biāo)簽�����。
在現(xiàn)有技術(shù)的實(shí)現(xiàn)中,所有的Isolated-User VLAN端口都只能是Access端口���。本發(fā)明要實(shí)現(xiàn)Primary VLAN和/或Secondary VLAN的信息對(duì)與其相連的設(shè)備可見���,即是要實(shí)現(xiàn)Primary VLAN標(biāo)簽上行和Secondary VLAN標(biāo)簽下行,換言之�,使得Isolated-User VLAN端口除了Access端口外,也可以是Trunk端口或Hybrid端口����。
需要說明的是,在不同公司的產(chǎn)品中Isolated-User VLAN有不同的名稱����,例如在Cisco公司的交換設(shè)備中稱之為Private VLAN(專用)。本發(fā)明可以應(yīng)用于所有能夠?qū)⒍鄠€(gè)VLAN映射為一個(gè)VLAN���,以實(shí)現(xiàn)隔離用戶功能的網(wǎng)絡(luò)設(shè)備�,本發(fā)明中采用隔離用戶VLAN作為此類實(shí)現(xiàn)的總稱��,而不應(yīng)將其作為對(duì)本發(fā)明應(yīng)用范圍的限定��。
本發(fā)明的實(shí)施例一中,實(shí)現(xiàn)Primary VLAN標(biāo)簽上行的報(bào)文發(fā)送方法的流程如圖2所示����。在步驟S210��,設(shè)置從Primary VLAN端口發(fā)送的報(bào)文是否攜帶Primary VLAN標(biāo)簽�。
通常,當(dāng)Primary VLAN端口只屬于一個(gè)Primary VLAN時(shí)�����,從該端口發(fā)送的報(bào)文不需要攜帶Primary VLAN標(biāo)簽����;而當(dāng)Primary VLAN端口為兩個(gè)或兩個(gè)以上的Primary VLAN提供上行連接時(shí),則至少一個(gè)Primary VLAN的報(bào)文從該端口發(fā)送時(shí)應(yīng)攜帶Primary VLAN標(biāo)簽�����。
為了使本發(fā)明盡可能與現(xiàn)有技術(shù)兼容�����,推薦采用將Primary VLAN端口設(shè)置為對(duì)某個(gè)Primary VLAN的Access端口��、Trunk端口或Hybrid端口來設(shè)置從該端口發(fā)送的報(bào)文是否攜帶VLAN標(biāo)簽。當(dāng)設(shè)置某個(gè)Primary VLAN端口對(duì)某個(gè)Primary VLAN為Access端口�����、或?yàn)镠ybrid端口且發(fā)送報(bào)文不攜帶VLAN標(biāo)簽時(shí)���,即設(shè)置從該P(yáng)rimary VLAN端口發(fā)送的該P(yáng)rimary VLAN報(bào)文中不攜帶VLAN標(biāo)簽��;當(dāng)設(shè)置某個(gè)Primary VLAN端口對(duì)某個(gè)Primary VLAN為Trunk端口����、或?yàn)镠ybrid端口且發(fā)送報(bào)文攜帶VLAN標(biāo)簽時(shí)����,通常即設(shè)置了從該P(yáng)rimary VLAN端口發(fā)送的該P(yáng)rimary VLAN報(bào)文中攜帶VLAN標(biāo)簽,例外的情況是該P(yáng)rimary VLAN為該Trunk端口的缺省VLAN��。
還可以將攜帶Primary VLAN標(biāo)簽或不攜帶Primary VLAN標(biāo)簽作為缺省工作模式��,在這種情況下����,當(dāng)工作于缺省工作模式時(shí),步驟S210可以省略。
在步驟S220�����,帶有Secondary VLAN標(biāo)簽的報(bào)文被轉(zhuǎn)發(fā)至Primary VLAN端口��。
在步驟S230����,去掉報(bào)文中的Secondary VLAN標(biāo)簽���。
步驟S220和步驟S230與現(xiàn)有技術(shù)中對(duì)以Secondary VLAN端口為入端口����、以Primary VLAN端口為出端口的報(bào)文的處理流程相同�,此處不再贅述。
在步驟S240�,判斷在步驟S210中是否設(shè)置為從Primary VLAN端口發(fā)送的報(bào)文攜帶VLAN標(biāo)簽,如果是���,執(zhí)行步驟S250�����;如果否�,則與現(xiàn)有技術(shù)中對(duì)報(bào)文的處理流程相同,轉(zhuǎn)步驟S260�。如果Primary VLAN端口發(fā)送攜帶VLAN標(biāo)簽的報(bào)文為唯一的工作模式,則步驟S240可以省略��。
在步驟S250����,在報(bào)文中增加其所屬Primary VLAN的標(biāo)簽。根據(jù)該報(bào)文采用的協(xié)議���,在協(xié)議規(guī)定的位置加入Primary VLAN標(biāo)簽�。
在步驟S260�����,將報(bào)文發(fā)送出Primary VLAN端口��。
對(duì)從Primary VLAN端口接收的報(bào)文��,判斷該報(bào)文中是否攜帶VALN標(biāo)簽����,如果否,則按照現(xiàn)有技術(shù)中的處理流程,在該報(bào)文中加入Primary VLAN標(biāo)簽并轉(zhuǎn)發(fā);如果是,則直接根據(jù)該報(bào)文的目的地址轉(zhuǎn)發(fā)����。
一些網(wǎng)絡(luò)設(shè)備不支持在從端口發(fā)送報(bào)文前,在去掉報(bào)文中的VLAN標(biāo)簽后再加入另一個(gè)VLAN標(biāo)簽�����,此時(shí)可以采用本發(fā)明實(shí)施例二中實(shí)現(xiàn)PrimaryVLAN標(biāo)簽上行的報(bào)文發(fā)送方法�����,其流程如圖3所示。
實(shí)施例二中的步驟S310和步驟S320分別與實(shí)施例一中的步驟S210和步驟S220相同�����,不再重復(fù)���。
在步驟S330����,判斷是否將從Primary VLAN端口發(fā)送的報(bào)文設(shè)置為攜帶VLAN標(biāo)簽��,如果是,執(zhí)行步驟S340�����;如果否���,則對(duì)報(bào)文的處理流程與現(xiàn)有技術(shù)中相同����,轉(zhuǎn)步驟S350�。
同樣,如果Primary VLAN端口發(fā)送攜帶VLAN標(biāo)簽的報(bào)文為唯一的工作模式���,則步驟S330可以省略���。
在步驟S340,在報(bào)文中Secondary VLAN標(biāo)簽之后插入Primary VLAN標(biāo)簽�。
該報(bào)文中Secondary VLAN標(biāo)簽所在的位置即是協(xié)議規(guī)定的VLAN標(biāo)簽位置,因此在Secondary VLAN標(biāo)簽后面���、與Secondary VLAN標(biāo)簽相鄰的位置插入Primary VLAN標(biāo)簽��,這樣在步驟S350按現(xiàn)有技術(shù)中報(bào)文處理流程去掉Secondary VLAN標(biāo)簽后�,該報(bào)文即成為攜帶Primary VLAN標(biāo)簽的報(bào)文。
以采用802.1Q協(xié)議的報(bào)文為例�����,在插入Primary VLAN標(biāo)簽后�,其幀結(jié)構(gòu)如下表所示
在步驟S350,去掉報(bào)文中的Secondary VLAN標(biāo)簽�。
在步驟S360,將報(bào)文發(fā)送出Primary VLAN端口���。
對(duì)從Primary VLAN端口接收的報(bào)文的處理流程與實(shí)施例一中相同��,不再重復(fù)�。
對(duì)應(yīng)于實(shí)施例一���,本發(fā)明的實(shí)施例三用來實(shí)現(xiàn)Secondary VLAN標(biāo)簽下行,其流程如圖4所示�。在步驟S410,設(shè)置從Secondary VLAN端口發(fā)送的報(bào)文是否攜帶Secondary VLAN標(biāo)簽���。
為了使本發(fā)明盡可能與現(xiàn)有技術(shù)兼容��,推薦采用將Secondary VLAN端口設(shè)置為對(duì)某個(gè)Secondary VLAN的Access端口�、Trunk端口或Hybrid端口來設(shè)置從該端口發(fā)送的報(bào)文是否攜帶VLAN標(biāo)簽。當(dāng)設(shè)置某個(gè)Secondary VLAN端口對(duì)某個(gè)Secondary VLAN為Access端口���、或?yàn)镠ybrid端口且發(fā)送報(bào)文不攜帶VLAN標(biāo)簽時(shí)�����,即設(shè)置從該Secondary VLAN端口發(fā)送的該SecondaryVLAN報(bào)文中不攜帶VLAN標(biāo)簽���;當(dāng)設(shè)置某個(gè)Secondary VLAN端口對(duì)某個(gè)Secondary VLAN為Trunk端口、或?yàn)镠ybrid端口且發(fā)送報(bào)文攜帶VLAN標(biāo)簽時(shí)�����,通常即設(shè)置了從該Secondary VLAN端口發(fā)送的該Secondary VLAN報(bào)文中攜帶VLAN標(biāo)簽�����,例外的情況是該Secondary VLAN為該Trunk端口的缺省VLAN����。
還可以將攜帶Secondary VLAN標(biāo)簽或不攜帶Secondary VLAN標(biāo)簽作為缺省工作模式,在這種情況下���,當(dāng)工作于缺省工作模式時(shí)��,步驟S410可以省略����。
在步驟S420,帶有Primary VLAN標(biāo)簽的報(bào)文被轉(zhuǎn)發(fā)至Secondary VLAN端口��。
在步驟S430�����,去掉報(bào)文中的Primary VLAN標(biāo)簽���。
步驟S420和步驟S430與現(xiàn)有技術(shù)中對(duì)以Primary VLAN端口為入端口�、以Secondary VLAN端口為出端口的報(bào)文的處理流程相同�����,此處不再贅述����。
在步驟S440���,判斷在步驟S410中是否設(shè)置為從Secondary VLAN端口發(fā)送的報(bào)文攜帶VLAN標(biāo)簽���,如果是�����,執(zhí)行步驟S450�;如果否���,則與現(xiàn)有技術(shù)中對(duì)報(bào)文的處理流程相同��,轉(zhuǎn)步驟S460�。
如果Secondary VLAN端口發(fā)送攜帶VLAN標(biāo)簽的報(bào)文為唯一的工作模式���,則步驟S440可以省略����。
在步驟S450����,在報(bào)文中增加其所屬Secondary VLAN的標(biāo)簽。根據(jù)該報(bào)文采用的協(xié)議����,在協(xié)議規(guī)定的位置加入Secondary VLAN標(biāo)簽�����。
在步驟S260�����,將報(bào)文發(fā)送出Secondary VLAN端口���。
對(duì)從Secondary VLAN端口接收的報(bào)文,判斷該報(bào)文中是否攜帶VLAN標(biāo)簽���,如果否���,則按照現(xiàn)有技術(shù)中的處理流程,在該報(bào)文中加入SecondaryVLAN標(biāo)簽并轉(zhuǎn)發(fā)�;如果是,則直接根據(jù)該報(bào)文的目的地址轉(zhuǎn)發(fā)����。
對(duì)應(yīng)于實(shí)施例二,對(duì)不支持在從端口發(fā)送報(bào)文前����,在去掉報(bào)文中的VLAN標(biāo)簽后再加入另一個(gè)VLAN標(biāo)簽的網(wǎng)絡(luò)設(shè)備,可以采用本發(fā)明實(shí)施例四的方法實(shí)現(xiàn)Secondary VLAN標(biāo)簽下行���。其流程如圖5所示���。
實(shí)施例四的步驟S510和步驟S520分別與實(shí)施例三中的步驟S410和步驟S420相同,不再重復(fù)���。
在步驟S530�,判斷是否將從Secondary VLAN端口發(fā)送的報(bào)文設(shè)置為攜帶VLAN標(biāo)簽��,如果是�,執(zhí)行步驟S540;如果否�,則對(duì)報(bào)文的處理流程與現(xiàn)有技術(shù)中相同,轉(zhuǎn)步驟S550��。
同樣����,如果Secondary VLAN端口發(fā)送攜帶VLAN標(biāo)簽的報(bào)文為唯一的工作模式,則步驟S530可以省略����。
在步驟S540���,在報(bào)文中Primary VLAN標(biāo)簽之后插入Secondary VLAN標(biāo)簽。
該報(bào)文中Primary VLAN標(biāo)簽所在的位置即是協(xié)議規(guī)定的VLAN標(biāo)簽位置��,因此在Primary VLAN標(biāo)簽后面���、與Primary VLAN標(biāo)簽相鄰的位置插入Secondary VLAN標(biāo)簽��,這樣在步驟S550按現(xiàn)有技術(shù)中報(bào)文處理流程去掉Primary VLAN標(biāo)簽后�����,該報(bào)文即成為攜帶Secondary VLAN標(biāo)簽的報(bào)文�����。
以采用802.1Q協(xié)議的報(bào)文為例�����,在插入Secondary VLAN標(biāo)簽后��,其幀結(jié)構(gòu)如下表所示
在步驟S550��,去掉報(bào)文中的Primary VLAN標(biāo)簽�����。
在步驟S560��,將報(bào)文發(fā)送出Secondary VLAN端口�。
對(duì)從Secondary VLAN端口接收的報(bào)文的處理流程與實(shí)施例三中相同�,不再重復(fù)。
不難理解�����,本發(fā)明的實(shí)施例一和實(shí)施例二可以分別與實(shí)施例三或?qū)嵤├慕M合應(yīng)用�����,使得用戶可以根據(jù)實(shí)際應(yīng)用的需要設(shè)置從Primary VLAN端口和Secondary VLAN端口發(fā)送的報(bào)文攜帶或不攜帶VLAN標(biāo)簽����。
圖6為應(yīng)用本發(fā)明的網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖。轉(zhuǎn)發(fā)模塊640分別與Primary標(biāo)簽處理模塊620����、Secondary標(biāo)簽處理模塊640連接,Primary標(biāo)簽處理模塊620分別與Primary VLAN端口610和Primary標(biāo)簽設(shè)置模塊630連接,Secondary標(biāo)簽處理模塊660分別與Secondary VLAN端口650和Secondary標(biāo)簽設(shè)置模塊670連接��。
Primary VLAN端口610用來收發(fā)Isolated-User VLAN的上行報(bào)文���,Secondary VLAN端口650用來收發(fā)Isolated-User VLAN的下行報(bào)文�。
Primary標(biāo)簽設(shè)置模塊630提供將從Primary VLAN端口610發(fā)送的報(bào)文配置為攜帶Primary VLAN標(biāo)簽或不攜帶Primary VLAN標(biāo)簽的功能���;同樣�,Secondary標(biāo)簽設(shè)置模塊670提供將從Secondary VLAN端口650發(fā)送的報(bào)文配置為攜帶Secondary VLAN標(biāo)簽或不攜帶Secondary VLAN標(biāo)簽的功能��。
轉(zhuǎn)發(fā)模塊640根據(jù)報(bào)文中的目的地址報(bào)文進(jìn)行轉(zhuǎn)發(fā)����。
當(dāng)Primary VLAN端口610接收到報(bào)文時(shí),將其輸出至Primary VLAN標(biāo)簽處理模塊620��。如果接收?qǐng)?bào)文中有VLAN標(biāo)簽�����,Primary VLAN標(biāo)簽處理模塊620直接將其輸出至轉(zhuǎn)發(fā)模塊640����;如果接收?qǐng)?bào)文中沒有VLAN標(biāo)簽���,Primary VLAN標(biāo)簽處理模塊620在其中加入Primary VLAN標(biāo)簽后,將其輸出至轉(zhuǎn)發(fā)模塊640����。
轉(zhuǎn)發(fā)模塊640將以Primary VLAN端口610為出端口的報(bào)文輸出至PrimaryVLAN標(biāo)簽處理模塊620。Primary VLAN標(biāo)簽處理模塊620向Primary標(biāo)簽設(shè)置模塊630查詢配置�,當(dāng)配置為發(fā)送報(bào)文攜帶VLAN標(biāo)簽時(shí)�����,Primary VLAN標(biāo)簽處理模塊620向Primary VLAN端口610輸出攜帶Primary VLAN標(biāo)簽的發(fā)送報(bào)文���;當(dāng)配置為發(fā)送報(bào)文不帶VLAN標(biāo)簽時(shí)�,Primary VLAN標(biāo)簽處理模塊620向Primary VLAN端口610輸出不攜帶Primary VLAN標(biāo)簽的發(fā)送報(bào)文�。
當(dāng)Secondary VLAN端口650接收到報(bào)文時(shí),將其輸出至Secondary VLAN標(biāo)簽處理模塊660�����。如果接收?qǐng)?bào)文中有VLAN標(biāo)簽��,Secondary VLAN標(biāo)簽處理模塊660直接將其輸出至轉(zhuǎn)發(fā)模塊640����;如果接收?qǐng)?bào)文中沒有VLAN標(biāo)簽�,Secondary VLAN標(biāo)簽處理模塊660在其中加入Secondary VLAN標(biāo)簽后��,將其輸出至轉(zhuǎn)發(fā)模塊640���。
轉(zhuǎn)發(fā)模塊640將以Secondary VLAN端口650為出端口的報(bào)文輸出至Secondary VLAN標(biāo)簽處理模塊660���。Secondary VLAN標(biāo)簽處理模塊660向Secondary標(biāo)簽設(shè)置模塊670查詢配置,當(dāng)配置為發(fā)送報(bào)文攜帶VLAN標(biāo)簽時(shí)�,Secondary VLAN標(biāo)簽處理模塊660向Secondary VLAN端口650輸出攜帶Secondary VLAN標(biāo)簽的發(fā)送報(bào)文;當(dāng)配置為發(fā)送報(bào)文不攜帶VLAN標(biāo)簽時(shí)����,Secondary VLAN標(biāo)簽處理模塊660向Secondary VLAN端口650輸出不攜帶Secondary VLAN標(biāo)簽的發(fā)送報(bào)文。
Primary VLAN標(biāo)簽處理模塊620和Secondary VLAN標(biāo)簽處理模塊660中可以采用本發(fā)明實(shí)施例一至四的方法進(jìn)行標(biāo)簽處理����。
在上述四個(gè)本發(fā)明實(shí)現(xiàn)方法的實(shí)施例和應(yīng)用本發(fā)明的網(wǎng)絡(luò)設(shè)備中,當(dāng)Primary VLAN端口配置為在發(fā)送報(bào)文中攜帶VLAN標(biāo)簽時(shí)���,如果該P(yáng)rimaryVLAN中有超過一個(gè)的Primary VLAN端口�����,則Primary VLAN端口之間攜帶VLAN標(biāo)簽的報(bào)文轉(zhuǎn)發(fā)方法與現(xiàn)有技術(shù)中相同���。同理���,在同屬一個(gè)SecondaryVLAN的Secondary VLAN端口之間轉(zhuǎn)發(fā)攜帶VLAN標(biāo)簽的報(bào)文也可以采用現(xiàn)有技術(shù)中的實(shí)現(xiàn)方法。
在應(yīng)用本發(fā)明后�����,設(shè)Primary VLAN的ID為Pvlan�,Secondary VLAN的ID為Svlan,Primary VLAN端口為Pport���,Secondary VLAN端口為Sport,在用戶配置將Svlan映射到Pvlan后�����,還可以通過以下命令設(shè)置VLAN標(biāo)簽的上行與下行
Pport Access Pvlan配置上行報(bào)文不攜帶VLAN標(biāo)簽��;Pport Trunk Pvlan配置上行報(bào)文攜帶VLAN標(biāo)簽���;Pport Hybrid Pvlan untagged配置上行報(bào)文不攜帶VLAN標(biāo)簽�;Ppot Hybrid Pvlan tagged配置上行報(bào)文攜帶VLAN標(biāo)簽;Sport Access Svlan配置下行報(bào)文不攜帶VLAN標(biāo)簽���;Sport Trunk Svlan配置下行報(bào)文攜帶VLAN標(biāo)簽����;Sport Hybrid Svlan untagged配置下行報(bào)文不攜帶VLAN標(biāo)簽���;Sport Hybrid Svlan tagged配置下行報(bào)文攜帶VLAN標(biāo)簽��。
在應(yīng)用本發(fā)明后��,對(duì)圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)中��,在交換機(jī)130上設(shè)置4個(gè)Secondary VLANSvlan1��、Svlan2�、Svlan3和Svlan4���,分別包端口括Sport1��、Sport2�、Sport3和Sport4�����;設(shè)置2個(gè)Primary VLAN包括Pport1和服務(wù)器111連接端口的Pvlan1和包括Pport1和服務(wù)器112連接端口的Pvlan2。將Svlan1和Svlan2映射到Pvlan1�,Svlan3和Svlan4映射到Pvlan2,配置從Pport1端口發(fā)送的報(bào)文攜帶Primary VLAN標(biāo)簽�����,則可以實(shí)現(xiàn)用戶141和142在訪問服務(wù)器111的同時(shí)與服務(wù)器112隔離���,并且用戶143和144在訪問服務(wù)器112的同時(shí)與服務(wù)器111隔離����。
本發(fā)明在不改變現(xiàn)有技術(shù)實(shí)現(xiàn)的前提下��,通過簡(jiǎn)單的處理即可方便地實(shí)現(xiàn)Isolate-User Vlan的VLAN標(biāo)簽上行和下行需求����,使得Isolated-User VLAN在組網(wǎng)中具有與其他VLAN相同的功能�����,擴(kuò)展了Isolated-User VLAN的應(yīng)用范圍��;同時(shí),本發(fā)明對(duì)現(xiàn)有的轉(zhuǎn)發(fā)流程和轉(zhuǎn)發(fā)流程與MAC表項(xiàng)處理沒有做任何改動(dòng)�����,保持了與現(xiàn)有技術(shù)的兼容性��。
以上所述的本發(fā)明實(shí)施方式���,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定����。任何在本發(fā)明的精神和原則之內(nèi)所作的任何修改���、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�,所述隔離用戶虛擬局域網(wǎng)包括主虛擬局域網(wǎng)Primary VLAN和至少一個(gè)次級(jí)虛擬局域網(wǎng)Secondary VLAN,其特征在于�����,包括以下步驟Secondary VLAN端口接收到以Primary VLAN端口為出端口的報(bào)文;在將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前�,在報(bào)文中增加Priamry VLAN標(biāo)簽。
2.如權(quán)利要求1所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�����,其特征在于���,所述方法還包括當(dāng)從Primary VLAN端口接收到具有Primary VLAN標(biāo)簽的報(bào)文時(shí)���,根據(jù)報(bào)文中的目的地址直接進(jìn)行轉(zhuǎn)發(fā)。
3.如權(quán)利要求1所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法���,其特征在于�����,所述將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前具體為在去掉報(bào)文中Secondary VLAN標(biāo)簽后���,從Primary VLAN端口發(fā)送報(bào)文前。
4.如權(quán)利要求1所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�,其特征在于����,所述將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前具體為在去掉報(bào)文中Secondary VLAN標(biāo)簽前���;所述在報(bào)文中增加Primary VLAN的標(biāo)簽具體為在報(bào)文中SecondaryVLAN標(biāo)簽之后插入Primary VLAN標(biāo)簽。
5.如權(quán)利要求1至4任意一項(xiàng)所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法���,其特征在于�����,所述方法還包括設(shè)置從Primary VLAN端口發(fā)送的報(bào)文攜帶Primary VLAN標(biāo)簽���。
6.如權(quán)利要求1至4任意一項(xiàng)所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法,其特征在于�����,所述方法還包括在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前��,在報(bào)文中增加Secondary VLAN標(biāo)簽�����。
7.一種隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法����,所述隔離用戶虛擬局域網(wǎng)包括Primary VLAN和至少一個(gè)Secondary VLAN�,其特征在于����,包括以下步驟Primary VLAN端口接收到以Secondary VLAN端口為出端口的報(bào)文;在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前�,在報(bào)文中增加Secondary VLAN標(biāo)簽。
8.如權(quán)利要求7所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�����,其特征在于����,所述方法還包括當(dāng)從Secondary VLAN端口接收到具有Secondary VLAN標(biāo)簽的報(bào)文時(shí),根據(jù)報(bào)文中的目的地址直接進(jìn)行轉(zhuǎn)發(fā)���。
9.如權(quán)利要求7所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�����,其特征在于�,所述在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前具體為在去掉報(bào)文中PrimaryVLAN標(biāo)簽后�����,從Secondary VLAN端口發(fā)送報(bào)文前�。
10.如權(quán)利要求7所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法,其特征在于�,所述在將報(bào)文轉(zhuǎn)發(fā)出Secondary VLAN端口前具體為在去掉報(bào)文中PrimaryVLAN標(biāo)簽前;所述在報(bào)文中增加Secondary VLAN的標(biāo)簽具體為在報(bào)文中PrimaryVLAN標(biāo)簽之后插入Secondary VLAN標(biāo)簽�����。
11.如權(quán)利要求7至10任意一項(xiàng)所述隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�����,其特征在于��,所述方法還包括設(shè)置從Secondary VLAN端口發(fā)送的報(bào)文具有Secondary VLAN標(biāo)簽�����。
12.一種具有隔離用戶虛擬局域網(wǎng)功能的網(wǎng)絡(luò)設(shè)備�,其特征在于,包括至少一個(gè)Primary VLAN端口�����、Primary標(biāo)簽處理模塊、Primary標(biāo)簽設(shè)置模塊和轉(zhuǎn)發(fā)模塊��,其中Primary VLAN端口用來進(jìn)行隔離用戶虛擬局域網(wǎng)的上行報(bào)文收發(fā)�����;Primary標(biāo)簽設(shè)置模塊用來配置從該P(yáng)rimary VLAN端口發(fā)送的報(bào)文中帶有或不帶有VLAN標(biāo)簽��;Primary標(biāo)簽處理模塊用來根據(jù)Primary標(biāo)簽設(shè)置模塊的配置向該P(yáng)rimaryVLAN端口輸出攜帶或不攜帶Primary VLAN標(biāo)簽的發(fā)送報(bào)文����;轉(zhuǎn)發(fā)模塊連接Primary標(biāo)簽處理模塊,用來轉(zhuǎn)發(fā)報(bào)文�。
13.如權(quán)利要求12所述具有隔離用戶虛擬局域網(wǎng)功能的網(wǎng)絡(luò)設(shè)備,其特征在于當(dāng)從Primary VLAN端口接收的報(bào)文中具有VLAN標(biāo)簽時(shí)��,Primary標(biāo)簽處理模塊將其輸出至轉(zhuǎn)發(fā)模塊���;當(dāng)從Primary VLAN端口接收的報(bào)文中不具有VLAN標(biāo)簽時(shí)���,Primary標(biāo)簽處理單元在該報(bào)文中增加Priamry VLAN標(biāo)簽后將其輸出至轉(zhuǎn)發(fā)模塊。
14.如權(quán)利要求12或13所述具有隔離用戶虛擬局域網(wǎng)功能的網(wǎng)絡(luò)設(shè)備�����,其特征在于,所述網(wǎng)絡(luò)設(shè)備還包括至少一個(gè)Secondary VLAN端口��、Secondary標(biāo)簽處理模塊和Secondary標(biāo)簽設(shè)置模塊����,其中Secondary VLAN端口用來進(jìn)行隔離用戶虛擬局域網(wǎng)的下行報(bào)文收發(fā)���;Secondary標(biāo)簽設(shè)置模塊用來配置從該Secondary VLAN端口發(fā)送的報(bào)文中帶有或不帶有VLAN標(biāo)簽��;Secondary標(biāo)簽處理模塊連接轉(zhuǎn)發(fā)模塊���,用來根據(jù)Secondary標(biāo)簽設(shè)置模塊的配置向該Secondary VLAN端口輸出攜帶或不攜帶Secondary VLAN標(biāo)簽的發(fā)送報(bào)文。
15.如權(quán)利要求14所述具有隔離用戶虛擬局域網(wǎng)功能的網(wǎng)絡(luò)設(shè)備���,其特征在于當(dāng)從Secondary VLAN端口接收的報(bào)文中具有VLAN標(biāo)簽時(shí)���,Secondary標(biāo)簽處理模塊將其輸出至轉(zhuǎn)發(fā)模塊;當(dāng)從Secondary VLAN端口接收的報(bào)文中不具有VLAN標(biāo)簽時(shí)����,Secondary標(biāo)簽處理單元在該報(bào)文中增加Secondary VLAN標(biāo)簽后將其輸出至轉(zhuǎn)發(fā)模塊。
全文摘要
本發(fā)明公開了一種包括Primary VLAN和至少一個(gè)Secondary VLAN的隔離用戶虛擬局域網(wǎng)的實(shí)現(xiàn)方法�,包括Secondary VLAN端口接收到以Primary VLAN端口為出端口的報(bào)文��;在將報(bào)文轉(zhuǎn)發(fā)出Primary VLAN端口前���,在報(bào)文中增加Priamry VLAN標(biāo)簽。本發(fā)明使得Isolated-User VLAN的上行與下行報(bào)文中能夠帶有Primary VLAN或Secondary VLAN的標(biāo)簽�����,從而在不改變現(xiàn)有的轉(zhuǎn)發(fā)流程和轉(zhuǎn)發(fā)決策的條件下��,極大地?cái)U(kuò)展了Isolated-User VLAN的應(yīng)用�����。
文檔編號(hào)H04L12/56GK1777150SQ20051013000
公開日2006年5月24日 申請(qǐng)日期2005年12月5日 優(yōu)先權(quán)日2005年12月5日
發(fā)明者周迪, 陳旭盛, 彭科 申請(qǐng)人:杭州華為三康技術(shù)有限公司