[发明专利]虚拟专网服务中用户分组互通/隔离装置及方法

说明书

技术领域

本发明涉及基于多协议标签交换网络(Multi Protocol LabelSwitch，简称MPLS)技术的二层虚拟专网(Layer 2 Virtual PrivateNetwork，简称L2VPN)中的虚拟专网服务(Virtual Private LANService，简称VPLS)技术，更具体地，涉及实现VPLS虚拟专网(Virtual Private Network，简称VPN)中用户分组之间互通/隔离的装置及方法。

背景技术

VPLS为用户提供的是虚拟的局域网(Local Area Network，简称LAN)服务，通过VPLS技术可以让所有的客户无论在物理上位于何处，都看似处于一个LAN之内，享受LAN所带来的便利和好处。在传统的LAN中为了增强网络的安全性而使用VLAN进行用户的隔离和访问控制，它通过分割多个广播域，使得在2层VLAN之间无法互访，避免一些潜在的安全隐患。

在VPLS VPN中，数据报文的可到达性信息是依靠数据层面的物理地址(即MAC地址)的学习功能而得到的。当有数据报文从一条伪线(Pseudo Wire，简称PW)上到达时，如果源MAC地址是未知MAC地址(即，在转发表中查找不到对应的转发条目)，那么需要将该MAC地址和这条PW联系起来，这样当下次有到该MAC的数据报文时就可以从该条PW上发送出去，同样的，当有数据报文从一条本地连接电路(Attachment Circuits，简称AC)上到达时，也要把该报文的源MAC地址和该AC联系起来，下次有到该MAC的数据报文的时候就从该AC发送。所有的这些MAC地址和PW或是AC之间的映射关系保存到一起就形成了转发信息表(Forwarding Information Base，简称FIB)。

在VPLS中，MAC地址的学习方式有两种，一种是qualified(附条件)方式，另外一种是unqualified(无条件)方式。在unqualified方式中，所有的VLAN共享一个广播域和一个MAC地址空间，不同VLAN之间的用户的MAC地址不能重叠，也不能实现不同VLAN之间的隔离；在qualified方式中，同一VPLS VPN中的用户必须处于同一VLAN中，不允许一个VPLS VPN有多个VLAN，此时学习的对象不再仅仅是MAC，而是VLAN tag+MAC。

可以看出，在qualified学习方式中，一个VPLS VPN中的用户只能处于一个VLAN中，无法真正的发挥VLAN的作用，同样，在unqualified学习方式中，虽然多个VLAN可以处在同一个VPLSVPN中，但是VPLS VPN却无法区分这些VLAN。

因此，在现有的VPLS VPN中，无法利用VLAN实现用户的分组和隔离，更无法实现不同组之间用户的互通。

发明内容

本发明的主要目的在于提供一种虚拟专网服务中用户分组之间互通/隔离的装置及方法，其能够利用VLAN实现用户分组的隔离，同时能够实现不同组之间用户的互通。

根据本发明的用户分组互通/隔离装置包括：VLAN互通命令配置模块，用于解析用户配置的VLAN互通配置命令和VLAN互通删除命令；MAC地址学习和FIB管理模块，连接至VLAN互通命令配置模块，能够处理来自多个VLAN的报文，用于将VLAN中的MAC地址的转发条目拷贝到与VLAN互通的其他VLAN中，并将转发条目写入FIB中用于报文转发；以及报文转发模块，连接至所MAC地址学习和FIB管理模块，能够处理来自多个VLAN的报文，用于根据VLAN互通情况将报文向其他有互通关系的VLAN广播，并且在处理相关单播报文时根据转发条目替换报文的VLAN后再进行转发。

其中，VLAN互通命令配置模块用于将用户的配置命令解析后生成VLAN互通关系表，并将互通关系表下发给MAC地址学习和FIB管理模块用于后续的MAC地址学习。