[发明专利]一种在虚拟专用局域网业务网络中控制访问及转发的方法

说明书

技术领域

本发明涉及数据通信，具体涉及一种在虚拟专用局域网业务网络(VPLS-Virtual Private LAN Service)中控制访问及转发的方法。

背景技术

MPLS(Multi-Protocol Label Switching，多协议标签交换)技术已经成为IP(Internet Protocol，互联网协议)承载网主流技术之一。IP承载网通过使用MPLS的相关技术，如MPLS虚拟专用网(MPLS VPN)技术实现了IP承载网多业务和多用户的隔离，MPLS VPN涉及三层虚拟专用网(MPLS L3 VPN)和二层虚拟专用网(MPLS L2 VPN)等。

以太网技术在企业网中发展迅速并广泛应用，在运营商网络中，由于以太网的高带宽和低成本，城域网(MAN)日益增多，以太网技术已经逐渐成为最重要、最普遍的解决方案。

VPLS是一种基于MPLS技术和以太网技术的二层虚拟专用网(L2VPN)技术，能够在城域网(MAN)和广域网(WAN)上提供类似以太网的多点服务。

图1所示一个虚拟专用局域网业务的典型模型，VPLS网络就是一个仿真的LAN，从用户的角度看，VPLS网络就是一个二层交换网络，VPLS主要有以下组件：

CE(Customer Edge，用户边缘设备)：直接与服务提供商相连，CE可以是路由器、交换机或者电脑主机(注：本发明申请中表述的所有CE设备都是在同一IP子网)。

PE(Provider Edge，运营商边缘设备)：是服务提供商的边缘设备，与CE相连，主要负责VPN业务的接入(包含VPLS业务的接入)，PE完成数据报文从私网(用户网络)与公网(运营商网络)隧道的映射与转发。

AC(Attachment Circuit，接入电路)：是连接CE与PE的链路，可以是物理接口或者虚拟接口。

PW(Pseudowire，伪线)：是两个PE间的虚连接，由一对相向的MPLSVC组成，负责在两个PE间传输数据包，建立和维护PW的工作由PE利用信令完成，关于信令部分本专利不再具体阐述。

VFI(Virtual Forwarding Instance，虚拟转发实例)：通过VFI，PE可以将AC侧链路映射到各条虚连接(PW)上。不同的VPN用户通过VC标识(VC ID)进行区分，同一个VFI一般具有相同的VC ID。有些文档中，VFI又称VSI(Virtual Switch Instance，虚拟交换实例)。

PW连接类型，有hub和spoke两种类型。在有些文档中，hub类型也可以理解为mesh、full-mesh或者split-horizon类型，spoke类型也可以理解为no split-horizon类型。本文以hub和spoke类型进行定义和阐述。

VPLS网络的工作原理与以太网交换机类似，主要是PE设备上介质访问控制mac地址的学习与洪泛(flood)以及基于mac地址的数据包转发。PE设备对到达接入侧(AC)和网络侧(PW)的数据包源mac地址进行学习，每个PE设备为每个虚拟转发实例VFI维护一个转发信息库(FIB)，把学习到的mac地址加入到FIB中，形成mac地址和AC或PW的映射关系，所有流量基于mac地址进行交换，并在PE设备之间通过PW进行转发。

以图1为例，PE1接收到CE1发送的数据包，假定该数据包的源mac地址为mac1、目的mac地址为mac2，PE1在FIB中创建一个映射条目，使mac1与PE1-CE1间的AC对应。PE1对该数据包的目的mac地址(假定为CE2的mac地址mac2)进行FIB查找，如果此前PE1的FIB中没有mac2的映射表，PE1将对此数据包进行复制并洪泛，通过PE1-PE2和PE1-PE3的PW洪泛到PE2和PE3设备，PE2从PW收到数据包后，也会在FIB中创建一个映射条目，使mac1和PE1-PE2的PW对应，PE3也在FIB中创建一个mac1和PE1-PE3的PW对应的映射条目。接着，PE2和PE3的FIB如果没有目的地址mac2的映射表，会继续把该数据包往AC侧所有接口洪泛直至CE2和CE3，CE3接收到此数据包发现目的mac并非本身会进行丢弃，CE2接收到此数据包后，发现目的mac为自己，则进行回应。