[发明专利]交换芯片及其实现方法

说明书

【技术领域】

本发明涉及一种网络通信技术，尤其涉及一种区分服务网络中基于用户级别的访问控制和带宽管理的芯片及其实现方法。

【背景技术】

以太网技术由于其结构简单、组网灵活、价格低廉以及在局域网的广泛应用被大多数人所熟悉和接受。近年来，随着以太网带宽的和传输性能的不断飞升，突破了传统局域网的应用局限，正在极大地推动以太网技术和业务向城域网和广域网的延伸和部署。而全球宽带服务业者整合推出的IP电话、远程视频以及数据传输组成的三合一(triple-play)业务又推动了城域网的发展。以太网在局域网表现出来的种种优势，使其也欲在城域网的发展中脱颖而出，逐步取得主导地位。

请参图1所示，一种城域以太网服务模型，其中，数据包通过客户端(CE)的用户侧-用户网络接口(UNI-C)及供应商端(PE)的网络侧-用户网络接口(UNI-N)进入服务商的城域以太网络进行处理，并最终通过另一端的UNI-C及UNI-N传出。

城域网提供的区分服务体系架构，极大地扩展了在以太网中实施安全可靠的用户管理和灵活可配置的用户带宽分配机制的能力。各设备厂商和组织正在积极筹划并展开对城域以太网标准和相关技术的讨论和制定，并且已经有了很多成果。目前，城域以太网论坛(MEF)、国际电信联盟-电信标准化部门(ITU-T)、Internet工程任务组(IETF)都对城域以太网业务进行了定义，虽然各个标准组织的具体定义不同，但是从业务的提供方式上来说都是基本相似的。

城域以太网作为城域数据承载网所能提供的业务主要有三类：点到点业务、点到多点业务和多点到多点业务。目前，许多运营商都已经采用了多协议标签交换(MPLS)技术提供虚拟专用网络(VPN)业务，在MPLS网络上可以为用户提供二层VPN业务，透明传送用户的二层业务流。运营商通过MPLS二层VPN技术可以提供两类业务：虚拟租用专线业务(VPWS)和虚拟专用局域网业务(VPLS)。MEF中明确提出城域以太网必须具有良好的服务质量(QoS)机制，应能提供分类服务和确保最小带宽服务。分类服务可针对某种服务类型，提供不同级别的服务。将分类服务和确保最小带宽结合起来，可以限定某个用户的确保带宽，从而将用户不同的业务进行分类，提供差异化服务。在MEF-10.1规范中规定了三种级别的带宽定制方案，即基于用户网络接口(UNI)的带宽配置(端口级别)、基于以太网虚连接(EVC)的带宽配置(用户级别)和基于EVC及CoS的带宽配置(用户业务级别)。这些带宽定制方案既可以单独使用，也可以联合在一起使用，以向用户提供更为高级的流量管理功能。显而易见，城域以太网的建设和发展，将对用户带宽的管理进一步细化到了对用户业务的带宽分配上，这就要求以太网交换设备能够在宽带接入网上承载丰富的业务并提供强大的QoS处理能力。

在用户访问控制上，虽然没有相关的规范和标准，但随着网络应用的爆炸式发展和业务类型的不断丰富，用户也提出存在越来越多的特定需求。例如，某些企业用户不希望其员工在工作时间内使用P2P应用而影响企业关键业务(如企业管理、视频会议)的正常运行。针对这些用户，基于用户级别的访问控制可以通过在服务商的接入设备上配置相应的访问控制策略，对P2P流量进行分时限制和封杀，确保企业关键业务的正常使用，并降低网络运营成本。

综上所述，城域以太网的QoS机制的最明确的要求就是服务区分并提供用户业务级别、用户级别以及端口级别的层次化QoS管理。网络管理要求交换设备能够区分出各个用户并提供基于用户级别的访问控制和带宽的精细化管理。

现有技术在实现用户级别的访问控制时，均是采用在访问控制列表(ACL)规则中加入各种复杂的特征属性以区分不同的用户，例如，在QinQ网络中基于C-VLAN(用户虚拟局域网)、S-VLAN(服务虚拟局域网)和端口号来唯一标识一个用户；在VPLS和VPWS网络中基于MPLS标签和端口号来标识一个用户。除此以外，当某个用户从多个端口接入时，还需要在该用户接入的所有端口上应用相同的ACL规则。类似地，现有技术在实现用户级别的流分类规则中也需要同时引入各种区分用户的特征属性。现有技术方案在实现区分服务的访问控制和服务质量管理时，存在以下不足：

(1)需要在每条规则中显式地配置区分用户的特征属性。在不同类型的网络中，标识用户的特征属性截然不同，这就增大了管理的复杂度。

(2)在某些网络中，区分用户的特征属性往往由交换路由设备动态分配，这些特征属性对于管理员是透明的。例如在VPLS/VPWS中，动态的MPLS标签分发机制将使得管理员无法确切获知分配给各个用户的标签，也就无法配置出基于用户的访问控制和流量分类规则。