[发明专利]基于虚拟局域网的报文处理方法及交换设备

说明书

技术领域

本发明涉及以太网交换技术领域，具体涉及一种基于虚拟局域网(Virtual Local Area Network，VLAN)的报文处理方法及交换设备。

背景技术

随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要 求，要求保证网络用户通信的相对安全性，诸如防范黑客攻击、控制病毒传播 等。在协议栈每个层中，都有相应的防止攻击的技术。由于数据链路层(也称 第二层)存在广播、组播、泛洪等现象，容易造成带宽浪费及被用于攻击等， 因此提出了利用虚拟局域网VLAN(Virtual Local Area Network)技术解决这些 问题。传统的解决方法是给每个用户分配一个VLAN和相关的IP子网，通过 使用VLAN，每个客户被从第二层隔离开，可以防止相应的恶意行为和信息探 听。然而，这种分配每个客户单一VLAN和IP子网的模型造在可扩展性方面 具有很大的局限。这些局限主要有：交换机固有的VLAN数目的限制，根据 802.1Q协议规定，VLAN的标识号ID在报文中用12bit表示，最多只有4094 个可用；配置繁杂，需配置众多VLAN同端口的关系，再配置相应的IP地址 和网关，以及相关联的路由等配置。

针对这些局限，在报文传输时出现了一些端口隔离技术，如基于虚拟局域 网的私有虚拟局域网PVLAN(Private VLAN)、保护端口、用户端口隔离等。 这些技术具体特性不全相同，但其共同点都是让指定的部分端口相互间第二层 不能通信。如图1所示为普通小区的网络连接图，其中PC1到PC5都在同一 个VLAN中，交换机1、交换机2和交换机3相互间连接采用汇聚端口TRUNK PORT，TRUNK PORT用在不同的交换机之间进行连接，以保证在跨越多个交 换机上建立的同一个VLAN的成员能够相互通讯，具体为通过让从TRUNK

PORT输出的报文携带802.1Q TAG实现。标准网以太帧中具有标签Tag字段， Tag字段包括发送方所在VLAN的ID号VID，当报文通过交换机的时候，交 换机根据Tag字段的VID来识别发送方所在的VLAN，使同一个VLAN的成 员能够相互通讯。路由器起到小区网络跟互联网间的网管作用。在没有使用端 口隔离技术情况下，所有PC都能互现进行二层通信。但启用隔离VLAN后， 所有PC间两两不能二层通信。这样，让指定的部分端口相互间不能通信解决 VLAN数目限制，以及VLAN增多引发的其它一系列问题。

私有虚拟局域网PVLAN中包括主VLAN(Virtual Local Area Network)和 隔离VLAN(Virtual Local Area Network)，主VLAN下的端口属于非隔离端口， 非隔离端口不仅包括混杂端口(Promiscuous Port)，还包括汇聚端口TRUNK PORT，非隔离可以互相通信，也可以与隔离端口通信；隔离VLAN下的端口 属于隔离端口，隔离端口间互相不能通信。

一台PC机在交换机会有一个对应的端口号，但交换机的一个端口号下面 可能对应多台PC机。报文从入端口进入交换机后，交换机会将报文按它自己 的存储格式存储，并且会在它的格式中补上报文的入端口(该PC机对应的端 口)。通过查找报文的目的MAC地址，查找地址转发表FDB找到该报文的出 端口，那么就可以转发了。支持隔离VLAN的交换机中，设置有隔离端口表， 该隔离端口表中表项包括以下内容：端口号、端口所在VLAN的ID号VID及 是否为隔离端口等。报文在转发之前，通过查询预先设置的隔离端口表，以报 文中携带的VLAN标识号VID和入端口结合为索引，确定报文是从隔离端口 传输过来的还是从非隔离端口传输过来的，以报文的出端口为索引，确定报文 是要转发到隔离端口还是非隔离端口，从而能确定是否可以向出端口转发。只 有入端口和出端口都是隔离端口时，才不转发。