[发明专利]实现路由接口二层隔离和三层互通的方法及网络设备

说明书

技术领域

本发明涉及网络数据传输技术领域，尤其涉及一种实现路由接口二层隔离和三层互通的方法及网络设备。

背景技术

路由接口功能是在现有的VLAN(VirtualLocalAreaNetwork，虚拟局域网)三层接口基础上增加路由接口(RoutedPort)和子接口(Subport)。RoutedPort是切换为三层属性且配置了IP地址的接口，只能进行三层转发，而不能进行二层转发，且其发送的报文VLAN标签需要剥离，因而只能转发处理untagged(未标记)报文。Subport在路由属性的接口上可以配置多个，每个Subport可以关联不同的VLAN。

路由接口具有三层接口的路由功能，可以实现流量的二层隔离和三层互通。VLAN是一个广播域，但现有VLAN内隔离用户流量的技术，例如PVLAN，能够隔离VLAN内接口的二层流量，但是也会隔离三层流量；而MFF不适合实现路由接口功能。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种实现路由接口二层隔离和三层互通的方法及网络设备，旨在基于VLAN和/或VFP来实现路由接口的二层隔离和三层互通。

为实现上述目的，本发明提供的一种实现路由接口二层隔离和三层互通的方法，所述实现路由接口二层隔离和三层互通的方法包括以下步骤：

获取路由接口信息；

根据所述路由接口信息，确定目的路由接口；

配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数，或者，配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数，以实现所述目的路由接口的二层隔离和三层互通。

优选地，所述路由接口信息包括路由接口编号、MAC地址以及VLAN编号，所述配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数，以实现路由接口的二层隔离和三层互通的步骤包括：

在预定VLAN编号的入方向检查端口位图配置入方向端口参数，在所述入方向端口参数中包含目的路由接口，使报文通过所述目的路由接口的入口VLAN检查；

配置VLAN域处理器VFP的匹配信息，使MAC地址为交换机地址的报文通过所述目的路由接口，以实现目的路由接口的三层互通；使MAC地址不是交换机地址的报文丢弃，以实现目的路由接口的二层隔离。

优选地，所述配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数，以实现所述目的路由接口的二层隔离和三层互通的步骤包括：

配置VLAN广播端口位图的广播端口参数，在所述广播端口参数中不包含目的路由接口，使报文不能到达目的路由接口，以实现目的路由接口的二层隔离；

配置VLAN出方向检查端口位图的出方向端口参数，在所述出方向端口参数中包含目的路由接口，使报文通过所述目的路由接口的出口VLAN检查，以实现目的路由接口的三层互通。

优选地，所述路由接口信息包括路由接口编号以及VLAN编号。

此外，为实现上述目的，本发明还提供一种网络设备，所述网络设备包括：

获取模块，用于获取路由接口信息；

确定模块，用于根据所述路由接口信息，确定目的路由接口；

配置模块，用于配置与所述目的路由接口对应的虚拟局域网VLAN端口位图的属性参数，或者，配置与所述目的路由接口对应的虚拟局域网VLAN端口位图及VLAN域处理器VFP的属性参数，以实现所述目的路由接口的二层隔离和三层互通。

优选地，所述路由接口信息包括路由接口编号、MAC地址以及VLAN编号，所述配置模块包括：

第一配置单元，用于在预定VLAN编号的入方向检查端口位图配置入方向端口参数，在所述入方向端口参数中包含目的路由接口，使报文通过所述目的路由接口的入口VLAN检查；

第二设置单元，用于配置VLAN域处理器VFP匹配信息，使MAC地址为交换机地址的报文通过所述目的路由接口，以实现目的路由接口的三层互通；使MAC地址不是交换机地址的报文丢弃，以实现目的路由接口的二层隔离。

优选地，所述配置模块还包括：

第三配置单元，用于配置VLAN广播端口位图的广播端口参数，在所述广播端口参数中不包含目的路由接口，使报文不能到达目的路由接口，以实现目的路由接口的二层隔离；