亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種虛擬交換機(jī)系統(tǒng)接入ip公網(wǎng)的方法

文檔序號(hào):7991008閱讀:584來源:國(guó)知局
專利名稱:一種虛擬交換機(jī)系統(tǒng)接入ip公網(wǎng)的方法
技術(shù)領(lǐng)域
本發(fā)明一般涉及網(wǎng)絡(luò)通信技術(shù),特別涉及一種使虛擬交換機(jī)系統(tǒng)接入IP公網(wǎng)的方法。
背景技術(shù)
虛擬交換機(jī)(VS)是一種虛擬私用網(wǎng)(VPN)的實(shí)現(xiàn)方法。虛擬交換機(jī)是在網(wǎng)絡(luò)設(shè)備上通過配置生成的功能實(shí)體,它能夠完成以太網(wǎng)交換機(jī)的功能。一臺(tái)網(wǎng)絡(luò)設(shè)備上可以劃分出多個(gè)虛擬交換機(jī),虛擬交換機(jī)可以用于組建虛擬私有局域網(wǎng)段(VPLS)以及提供用戶流量匯聚。
虛擬交換機(jī)最初應(yīng)用在ATM(異步傳輸模式)設(shè)備上提供虛擬私有局域網(wǎng)段業(yè)務(wù)。之后,虛擬交換機(jī)加入了以太接入以及在IP公網(wǎng)透?jìng)饕蕴珗?bào)文的GRE(通用路由封裝)隧道接入功能。目前虛擬交換機(jī)搭建VPN的組網(wǎng)方式見圖1。
虛擬交換機(jī)利用鏈路層(以太)信息進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā),全部使用虛擬交換機(jī)搭建的網(wǎng)絡(luò)類似于一個(gè)以太網(wǎng)。
目前VS和IP(網(wǎng)際協(xié)議)轉(zhuǎn)發(fā)組件都位于電信局的邊緣業(yè)務(wù)節(jié)點(diǎn)上,邊緣業(yè)務(wù)節(jié)點(diǎn)的基本功能是滿足用戶的上網(wǎng)需求,IP轉(zhuǎn)發(fā)組件是邊緣業(yè)務(wù)節(jié)點(diǎn)的核心之一,功能類似于路由器。而VS是在邊緣業(yè)務(wù)節(jié)點(diǎn)上為了滿足企業(yè)組建VPN的需求,以及為電信局增加收入而添加的擴(kuò)展組件。在邊緣業(yè)務(wù)節(jié)點(diǎn)上,VS和IP轉(zhuǎn)發(fā)組件是獨(dú)立的功能模塊。邊緣業(yè)務(wù)節(jié)點(diǎn)只有加入VS組件才具有組建VPLS的能力。由于實(shí)現(xiàn)了虛擬交換機(jī)的網(wǎng)絡(luò)設(shè)備還不具備把報(bào)文送往IP轉(zhuǎn)發(fā)組件進(jìn)行路由轉(zhuǎn)發(fā)的能力,因此由虛擬交換機(jī)構(gòu)成的企業(yè)私有網(wǎng)或匯聚的用戶要訪問IP網(wǎng)絡(luò)必須添加顯式的外部連接通道,如路由器或連線。
圖2是現(xiàn)有技術(shù)一的技術(shù)方案示意圖。如圖2所示,企業(yè)使用VS來構(gòu)建VPLS,但需在某個(gè)站點(diǎn)內(nèi)部另外配置一臺(tái)路由器與公網(wǎng)相連。VPLS內(nèi)部的設(shè)備通過這一路由器訪問公網(wǎng)。在該路由器之上或之內(nèi)一般會(huì)配置地址轉(zhuǎn)換和報(bào)文過濾規(guī)則,用于保證企業(yè)私有網(wǎng)的安全性。
在該方案中,VPLS內(nèi)部網(wǎng)絡(luò)設(shè)備把路由器的VPLS側(cè)接口IP地址設(shè)置為網(wǎng)關(guān)。VPLS內(nèi)部到IP公網(wǎng)的報(bào)文都被轉(zhuǎn)發(fā)到路由器。路由器查找路由后,把報(bào)文送到IP公網(wǎng),即圖中電信局方的邊緣業(yè)務(wù)節(jié)點(diǎn)的IP公網(wǎng)側(cè)接口上。
從IP公網(wǎng)來的IP報(bào)文,即電信局方邊緣業(yè)務(wù)節(jié)點(diǎn)公網(wǎng)側(cè)接口來的報(bào)文到達(dá)路由器,企業(yè)路由器查找路由。如果目的地在VPLS內(nèi)部,則把報(bào)文送到路由器的VPLS側(cè)接口,在VPLS內(nèi)部進(jìn)行轉(zhuǎn)發(fā)。
這種組網(wǎng)方案適用于具有較強(qiáng)技術(shù)實(shí)力和經(jīng)濟(jì)基礎(chǔ)的企業(yè)用戶。
該現(xiàn)有技術(shù)一的缺點(diǎn)是它需要添加路由設(shè)備,從而增加了用戶的開銷。而且,路由器與邊緣業(yè)務(wù)節(jié)點(diǎn)連接還占用了邊緣業(yè)務(wù)節(jié)點(diǎn)的寶貴的端口資源。另外,由于訪問公網(wǎng)時(shí)使用的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)和安全規(guī)則需要用戶配置,從而增加用戶的維護(hù)難度。
圖3示出了與本發(fā)明相關(guān)的現(xiàn)有技術(shù)二。如圖3所示,在邊緣業(yè)務(wù)節(jié)點(diǎn)加一條外部連線,連接一個(gè)接入VS的端口和一個(gè)接入IP轉(zhuǎn)發(fā)組件的端口。這樣,接入VS的用戶就可以通過該外部通道把數(shù)據(jù)發(fā)送到IP組件進(jìn)行IP層轉(zhuǎn)發(fā)了。
在該方案中,VPLS內(nèi)部把與VS直連的IP轉(zhuǎn)發(fā)組件的接口IP地址設(shè)置為網(wǎng)關(guān)。VPLS內(nèi)部到IP公網(wǎng)的報(bào)文都被VS轉(zhuǎn)發(fā)與它直連的IP轉(zhuǎn)發(fā)組件的接口上。IP轉(zhuǎn)發(fā)組件查找路由后,把報(bào)文送到IP公網(wǎng)。
從IP公網(wǎng)來的IP報(bào)文到達(dá)邊緣業(yè)務(wù)節(jié)點(diǎn)的IP轉(zhuǎn)發(fā)組件,IP轉(zhuǎn)發(fā)組件查找路由。如果目的地在VPLS內(nèi)部,則把報(bào)文送到與它直連的VPLS側(cè)接口交給VS,之后報(bào)文在VPLS內(nèi)部進(jìn)行轉(zhuǎn)發(fā)。
該方案常用于通過VS來匯聚訪問公網(wǎng)的接入用戶的數(shù)據(jù)流量,也可用于一些對(duì)安全性要求不高、資金有限的企業(yè)構(gòu)建VPLS。
由于一般邊緣業(yè)務(wù)節(jié)點(diǎn)是放在電信局的。電信部門為了獲取大的利潤(rùn),邊緣業(yè)務(wù)節(jié)點(diǎn)為許多用戶共享,邊緣業(yè)務(wù)節(jié)點(diǎn)對(duì)外接口是稀缺資源,一個(gè)對(duì)外接口可以接入多個(gè)企業(yè)用戶。該現(xiàn)有技術(shù)二要在電信局的邊緣業(yè)務(wù)節(jié)點(diǎn)上進(jìn)行,企業(yè)用戶要占用一個(gè)外部接口(例如一個(gè)ATM口或一個(gè)以太物理接口),代價(jià)昂貴,并且對(duì)VPLS企業(yè)用戶缺乏安全性。

發(fā)明內(nèi)容
因此,本發(fā)明就是針對(duì)解決現(xiàn)有技術(shù)中的上述缺點(diǎn)而做出的,其一個(gè)目的是提供一種虛擬交換機(jī)系統(tǒng)接入IP公網(wǎng)的方法,使基于VS構(gòu)建VPLS的企業(yè)用戶在訪問公網(wǎng)資源時(shí)既不占用寶貴的邊緣業(yè)務(wù)節(jié)點(diǎn)的對(duì)外接口,又無(wú)須添加額外的路由設(shè)備。
本發(fā)明的另一個(gè)目的是提供一種虛擬交換機(jī)系統(tǒng)接入IP公網(wǎng)的方法,該方法可使基于VS構(gòu)建VPLS的企業(yè)用戶能夠安全、便捷地訪問公網(wǎng)資源為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種虛擬交換機(jī)系統(tǒng)接入IP公網(wǎng)的方法,所述虛擬交換機(jī)系統(tǒng)包括虛擬交換機(jī)和IP轉(zhuǎn)發(fā)組件,所述方法的特征在于包括以下步驟1)在所述虛擬交換機(jī)與所述IP轉(zhuǎn)發(fā)組件之間建立虛擬接口;2)由所述虛擬接口對(duì)來自所述虛擬交換機(jī)側(cè)用戶的數(shù)據(jù)進(jìn)行處理,并將經(jīng)處理的數(shù)據(jù)交給所述IP轉(zhuǎn)發(fā)組件以將其發(fā)送至IP公網(wǎng);以及3)由所述虛擬接口對(duì)從所述IP轉(zhuǎn)發(fā)組件傳來的來自IP公網(wǎng)的數(shù)據(jù)進(jìn)行處理,并將經(jīng)處理的數(shù)據(jù)交給所述虛擬交換機(jī)以將其發(fā)送至虛擬交換機(jī)側(cè)的用戶。
所述步驟2)進(jìn)一步包括以下步驟所述虛擬接口對(duì)來自所述虛擬交換機(jī)側(cè)用戶的數(shù)據(jù)進(jìn)行解除以太鏈路封裝的操作,然后將經(jīng)過解除鏈路封裝的數(shù)據(jù)交給所述IP轉(zhuǎn)發(fā)組件查路由表以發(fā)送給IP公網(wǎng)。
所述步驟3)進(jìn)一步包括以下步驟從IP公網(wǎng)進(jìn)入的IP報(bào)文如果目的地是虛擬交換機(jī)側(cè)的用戶,則所述IP轉(zhuǎn)發(fā)組件查路由表把報(bào)文交給與所述虛擬交換機(jī)相連的虛擬接口,所述虛擬接口查找ARP節(jié)點(diǎn)取得鏈路層封裝信息,之后對(duì)IP報(bào)文進(jìn)行鏈路層封裝并將其傳送給所述虛擬交換機(jī)。
在本發(fā)明的實(shí)施例中,所述虛擬接口與所述虛擬交換機(jī)之間的信息交換通過內(nèi)部數(shù)據(jù)通道完成,所述內(nèi)部數(shù)據(jù)通道是使用所述虛擬接口與所述虛擬交換機(jī)所在設(shè)備的總線的邏輯數(shù)據(jù)通道。另外,所述內(nèi)部數(shù)據(jù)通道具有唯一標(biāo)識(shí),用來區(qū)分不同的虛擬交換機(jī)系統(tǒng)。
此外,所述虛擬接口與所述IP轉(zhuǎn)發(fā)組件之間優(yōu)選地設(shè)有存取控制表組件,用于對(duì)所述虛擬接口與所述IP轉(zhuǎn)發(fā)組件之間往來的數(shù)據(jù)進(jìn)行安全檢測(cè)。所述虛擬接口與IP轉(zhuǎn)發(fā)組件之間優(yōu)選地設(shè)有網(wǎng)絡(luò)地址轉(zhuǎn)換組件,用于完成私網(wǎng)地址和公網(wǎng)地址的轉(zhuǎn)換。
本發(fā)明為基于VS構(gòu)建VPLS的企業(yè)用戶訪問公網(wǎng)資源提供一種安全、便捷的方法,由于數(shù)據(jù)在邊緣業(yè)務(wù)節(jié)點(diǎn)內(nèi)部進(jìn)行傳送,無(wú)需使用外部接口,可以減少VPLS用戶訪問公網(wǎng)時(shí)對(duì)邊緣業(yè)務(wù)節(jié)點(diǎn)端口資源的占用。另外,相對(duì)現(xiàn)有技術(shù)二,本發(fā)明能夠提供更安全地訪問公網(wǎng);而相對(duì)于現(xiàn)有技術(shù)一,本發(fā)明將原本設(shè)置在用戶的路由器上、由用戶配置NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)和安全規(guī)則的工作交給電信局,無(wú)需用戶另行購(gòu)置路由器,NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)和安全規(guī)則的配置在電信局的邊緣業(yè)務(wù)節(jié)點(diǎn)上由電信局完成,降低了企業(yè)用戶使用VS組建VPLS的成本和技術(shù)難度,減輕了企業(yè)的負(fù)擔(dān),又增加了電信局的利潤(rùn)。


圖1是目前虛擬交換機(jī)搭建VPN的組網(wǎng)方式;圖2是現(xiàn)有技術(shù)一的技術(shù)方案示意圖;圖3是現(xiàn)有技術(shù)二的技術(shù)方案示意圖;圖4是本發(fā)明的原理流程圖;圖5是本發(fā)明的建立內(nèi)部數(shù)據(jù)通道的示意6是本發(fā)明的優(yōu)選方案中用戶側(cè)向網(wǎng)絡(luò)側(cè)發(fā)送數(shù)據(jù)報(bào)文的流程圖;圖7是本發(fā)明的優(yōu)選方案中網(wǎng)絡(luò)側(cè)向用戶側(cè)發(fā)送數(shù)據(jù)報(bào)文的流程圖。
具體實(shí)施例方式
參照?qǐng)D4,在VS和IP轉(zhuǎn)發(fā)組件之間建立一個(gè)虛擬接口。該虛擬接口具有與一般以太接口同樣的功能,只是一般以太接口處理來自對(duì)外物理端口的數(shù)據(jù),而“虛擬接口”則處理來自設(shè)備內(nèi)部數(shù)據(jù)交換芯片的數(shù)據(jù)。
虛擬接口是一個(gè)軟件模塊。虛擬接口的設(shè)計(jì)與一般以太接口的設(shè)計(jì)是一致的。虛擬接口與一般以太接口的主要區(qū)別在于一般以太接口處理從物理以太端口收到的以太格式的幀。而虛擬接口則處理從設(shè)備內(nèi)部的數(shù)據(jù)交換硬件單元收到的數(shù)據(jù)幀,這些數(shù)據(jù)幀的格式是設(shè)備內(nèi)部定義的,例如固定長(zhǎng)度的信元格式。通過內(nèi)部數(shù)據(jù)通道發(fā)送的以太報(bào)文以設(shè)備自定義的格式承載在設(shè)備自定義的內(nèi)部數(shù)據(jù)幀上。數(shù)據(jù)交換硬件單元負(fù)責(zé)按內(nèi)部定義的格式組裝這些數(shù)據(jù)幀,拆除內(nèi)部格式封裝后取出以太幀,然后送給虛擬接口進(jìn)行鏈路層處理。在發(fā)送報(bào)文時(shí),虛擬接口把標(biāo)準(zhǔn)以太格式的報(bào)文送交數(shù)據(jù)交換硬件單元,數(shù)據(jù)交換硬件單元按照設(shè)備自定義的格式拆分和封裝以太報(bào)文,然后在內(nèi)部數(shù)據(jù)通道上發(fā)送。
上述虛擬接口完成以下基本功能1.從內(nèi)部數(shù)據(jù)通道接收以太包;2.解析輸入的以太包,取出IP報(bào)文交給IP轉(zhuǎn)發(fā)組件;3.接收IP轉(zhuǎn)發(fā)組件送來的數(shù)據(jù),進(jìn)行以太鏈路層封裝;4.將以太包送交內(nèi)部數(shù)據(jù)通道發(fā)送;5.處理ARP (地址解析協(xié)議)報(bào)文,建立和維護(hù)本接口上的ARP節(jié)點(diǎn),為新建的ARP節(jié)點(diǎn)上報(bào)路由。
另外,創(chuàng)建一條內(nèi)部數(shù)據(jù)通道,即分配一條內(nèi)部數(shù)據(jù)交換通路,它連接VS和虛擬接口。內(nèi)部數(shù)據(jù)通道的建立方法與設(shè)備本身的設(shè)計(jì)密切相關(guān)。
如圖5所示,在一個(gè)分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)的設(shè)備中,整個(gè)系統(tǒng)由各種實(shí)現(xiàn)不同功能的單板搭建而成。不同的單板之間的數(shù)據(jù)通信通過系統(tǒng)的信元總線完成。在該系統(tǒng)中,VS組件在單板A上實(shí)現(xiàn),而虛擬接口、IP轉(zhuǎn)發(fā)組件在單板B上實(shí)現(xiàn)。為了使單板A上的VS組件能夠與單板B上的虛擬接口交換數(shù)據(jù),本發(fā)明在VS和虛擬接口間分配一條信元通道。如果系統(tǒng)內(nèi)部采用ATM信元,則該信元通道就是一條永久虛電路(PVC)。單板間傳遞的數(shù)據(jù)被封裝成信元的格式在信元總線上進(jìn)行交換。信元通道信息被封裝在信元結(jié)構(gòu)中,所述信元通道信息即每一信元通道的標(biāo)識(shí),在本實(shí)施例中,每一信元通道在系統(tǒng)內(nèi)部具有唯一標(biāo)識(shí),用來區(qū)分不同的虛擬交換機(jī)系統(tǒng),所述唯一標(biāo)識(shí)是一個(gè)全局唯一的數(shù)字。IP組件根據(jù)該唯一標(biāo)識(shí)把以太報(bào)文送到對(duì)應(yīng)的VS系統(tǒng)。
單板A上的VS1和VS2與單板B上的虛擬接口分別建立了內(nèi)部信元通道Path1和Path2。VS1通過Path1,在其MAC(媒體訪問控制)地址學(xué)習(xí)表中記錄虛擬接口的MAC地址。當(dāng)接收到需發(fā)送給虛擬接口的數(shù)據(jù)包時(shí),VS1就將Path1的通道信息以及以太包封裝在信元中,送信元總線進(jìn)行交換,發(fā)送到虛擬接口。虛擬接口根據(jù)PATH1通道信息建立VS1系統(tǒng)的ARP節(jié)點(diǎn)表,在該ARP節(jié)點(diǎn)表中記錄VS1接入的用戶的MAC地址。當(dāng)虛擬接口收到目的MAC地址是VS1接入的用戶的MAC地址的數(shù)據(jù)包時(shí),虛擬接口將Path1的通道信息以及以太包封裝在信元中,送信元總線進(jìn)行交換。VS1從Path1接收信元,重組出以太包,再根據(jù)包中的目的MAC地址把包交換給最終用戶。
如此構(gòu)建的系統(tǒng)的報(bào)文轉(zhuǎn)發(fā)流程如下VS把數(shù)據(jù)放上內(nèi)部數(shù)據(jù)通道發(fā)送到虛擬接口,虛擬接口從內(nèi)部數(shù)據(jù)通道的硬件單元取得數(shù)據(jù),解除以太鏈路封裝,然后交給IP轉(zhuǎn)發(fā)組件查路由表發(fā)送到網(wǎng)絡(luò)側(cè)接口。從網(wǎng)絡(luò)側(cè)接口進(jìn)入的IP報(bào)文如果目的地是VS側(cè)用戶,則IP轉(zhuǎn)發(fā)組件查路由表把報(bào)文交給與VS相連的虛擬接口。虛擬接口查找ARP節(jié)點(diǎn)取得鏈路層封裝信息,之后對(duì)IP報(bào)文進(jìn)行鏈路層封裝并將其放上內(nèi)部數(shù)據(jù)通道。VS從內(nèi)部數(shù)據(jù)通道收到數(shù)據(jù),使用以太目的地址查找地址學(xué)習(xí)表把報(bào)文發(fā)往VS側(cè)用戶。
按上述方法構(gòu)建的系統(tǒng)就可以使VS側(cè)的用戶訪問公網(wǎng)資源了,也就是說實(shí)現(xiàn)了“現(xiàn)有技術(shù)方案二”的功能,而又沒有占用寶貴的設(shè)備對(duì)外端口。但是該方案難以滿足對(duì)安全性要求高的企業(yè)的需求,因?yàn)?.沒有地址轉(zhuǎn)換功能,因此要求VS側(cè)用戶使用公網(wǎng)地址,而不能使用私網(wǎng)地址,不能滿足構(gòu)建VPLS的要求。
2.沒有防火墻,公網(wǎng)上的用戶可以完全訪問VS的用戶資源,具有嚴(yán)重的安全漏洞。
為了滿足VPLS企業(yè)用戶使用私網(wǎng)地址的要求以及VPLS企業(yè)用戶對(duì)網(wǎng)絡(luò)安全方面的考慮,可對(duì)上述方法進(jìn)行如下改進(jìn)添加了NAT組件和ACL(接入控制表)組件。NAT組件完成私網(wǎng)地址和公網(wǎng)地址的轉(zhuǎn)換;ACL組件可以配置生成多種安全策略,例如對(duì)進(jìn)入數(shù)據(jù)包(源IP地址,目的IP地址,源端口,目的端口,協(xié)議)五元組匹配檢測(cè),以保證網(wǎng)絡(luò)連接的安全性。圖6、圖7是本發(fā)明的改進(jìn)示意圖。
地址轉(zhuǎn)換(NAT),又稱地址代理,用來實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。當(dāng)內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問因特網(wǎng)或與外部網(wǎng)絡(luò)的主機(jī)通信時(shí),需要用到地址轉(zhuǎn)換。所述的NAT組件負(fù)責(zé)記錄私網(wǎng)地址和公網(wǎng)地址的映射關(guān)系,對(duì)進(jìn)出NAT組件的報(bào)文進(jìn)行匹配,把滿足已配置的映射關(guān)系的報(bào)文進(jìn)行私網(wǎng)地址和公網(wǎng)地址的轉(zhuǎn)換。
ACL是指為了過濾數(shù)據(jù)包而配置的一些規(guī)則,規(guī)定什么樣的數(shù)據(jù)包可以通過,什么樣的不能通過,所述的ACL組件記錄配置的包過濾規(guī)則,對(duì)進(jìn)出ACL組件的包按過濾規(guī)則逐條進(jìn)行匹配,對(duì)于滿足規(guī)律規(guī)則的包,按規(guī)則指定的動(dòng)作進(jìn)行處理,如允許通過或丟棄。
NAT和ACL都是目前網(wǎng)絡(luò)設(shè)備上的成熟技術(shù)。NAT組件和ACL組件的實(shí)現(xiàn)方法有多種,在一般的關(guān)于網(wǎng)絡(luò)安全的書籍,網(wǎng)頁(yè)和文獻(xiàn)上基本都有提到。本發(fā)明對(duì)NAT組件和ACL組件的實(shí)現(xiàn)并沒有特殊要求,只要具備NAT和ACL功能的軟件模塊都可以被本發(fā)明使用。
參照?qǐng)D6所示,從VS側(cè)私網(wǎng)用戶來的數(shù)據(jù)發(fā)送到虛擬接口,報(bào)文隨后交給ACL組件對(duì)報(bào)文進(jìn)行五元組匹配等安全檢查,不滿足已經(jīng)設(shè)定的安全策略的報(bào)文被丟棄,其余的報(bào)文送交NAT組件進(jìn)行源地址私網(wǎng)到公網(wǎng)地址空間的轉(zhuǎn)換,轉(zhuǎn)換后的報(bào)文交給IP轉(zhuǎn)發(fā)組件查路由表發(fā)送到公網(wǎng)。當(dāng)然,也可以不使用NAT組件,這時(shí),報(bào)文直接交給IP轉(zhuǎn)發(fā)組件查路由表發(fā)送到公網(wǎng),但此時(shí)用戶無(wú)法使用私網(wǎng)地址。也可以不使用ACL組件,報(bào)文送交NAT組件進(jìn)行源地址私網(wǎng)到公網(wǎng)地址空間的轉(zhuǎn)換,轉(zhuǎn)換后的報(bào)文交給IP轉(zhuǎn)發(fā)組件查路由表發(fā)送到公網(wǎng)。
參照?qǐng)D7所示,網(wǎng)絡(luò)側(cè)接口接收到網(wǎng)絡(luò)側(cè)來的數(shù)據(jù)報(bào)文,首先交給ACL組件匹配配置的安全策略,非法報(bào)文被丟棄,其余報(bào)文交給IP轉(zhuǎn)發(fā)組件查路由表。在沒有設(shè)置ACL組件的情況下,報(bào)文直接交給IP轉(zhuǎn)發(fā)組件查路由表。在路由表上,對(duì)于私網(wǎng)地址經(jīng)NAT轉(zhuǎn)換而生成的路由,路由表項(xiàng)會(huì)設(shè)一NAT屬性標(biāo)志,而對(duì)公網(wǎng)地址生成的路由,路由表項(xiàng)則不設(shè)NAT屬性標(biāo)志。這樣經(jīng)查路由表可以知道,報(bào)文的目的地是在私網(wǎng)內(nèi)部的還是公網(wǎng)上。如果報(bào)文的目的地在私網(wǎng)內(nèi)部,則報(bào)文目的地址能夠匹配的路由項(xiàng)具有NAT標(biāo)志,這類報(bào)文送交NAT組件進(jìn)行目的地址的轉(zhuǎn)換,轉(zhuǎn)換后的報(bào)文再次查找路由送交虛擬接口,虛擬接口對(duì)報(bào)文進(jìn)行鏈路封裝后通過內(nèi)部數(shù)據(jù)通道送給VS進(jìn)行交換轉(zhuǎn)發(fā)。在沒有設(shè)置NAT組件的情況下,報(bào)文查找路由后直接送交虛擬接口,虛擬接口對(duì)報(bào)文進(jìn)行鏈路封裝后通過內(nèi)部數(shù)據(jù)通道送給VS進(jìn)行交換轉(zhuǎn)發(fā)。
上面描述的本發(fā)明的優(yōu)選實(shí)施例,僅僅是為了說明的目的,本領(lǐng)域的一般技術(shù)人員應(yīng)該意識(shí)到,不同的改進(jìn)、增減都是可能的,并且都不會(huì)脫離本發(fā)明的權(quán)利要求所限定的本發(fā)明的范圍。
權(quán)利要求
1.一種虛擬交換機(jī)系統(tǒng)接入IP公網(wǎng)的方法,所述虛擬交換機(jī)系統(tǒng)包括由虛擬交換機(jī)組建的虛擬私有局域網(wǎng)段和IP轉(zhuǎn)發(fā)組件,所述方法的特征在于包括以下步驟1)在所述虛擬交換機(jī)與所述IP轉(zhuǎn)發(fā)組件之間建立虛擬接口;2)由所述虛擬接口對(duì)來自所述虛擬交換機(jī)側(cè)用戶的數(shù)據(jù)進(jìn)行處理,并將經(jīng)處理的數(shù)據(jù)交給所述IP轉(zhuǎn)發(fā)組件以將其發(fā)送至IP公網(wǎng);以及3)由所述虛擬接口對(duì)從所述IP轉(zhuǎn)發(fā)組件傳來的來自IP公網(wǎng)的數(shù)據(jù)進(jìn)行處理,并將經(jīng)處理的數(shù)據(jù)交給所述虛擬交換機(jī)以將其發(fā)送至虛擬交換機(jī)側(cè)的用戶。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟2)進(jìn)一步包括以下步驟所述虛擬接口對(duì)來自所述虛擬交換機(jī)側(cè)用戶的數(shù)據(jù)進(jìn)行解除以太鏈路封裝的操作,然后將經(jīng)過解除鏈路封裝的數(shù)據(jù)交給所述IP轉(zhuǎn)發(fā)組件查路由表以發(fā)送給IP公網(wǎng)。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟3)進(jìn)一步包括以下步驟從IP公網(wǎng)進(jìn)入的IP報(bào)文如果目的地是虛擬交換機(jī)側(cè)的用戶,則所述IP轉(zhuǎn)發(fā)組件查路由表把報(bào)文交給與所述虛擬交換機(jī)相連的虛擬接口,所述虛擬接口查找ARP節(jié)點(diǎn)取得鏈路層封裝信息,之后對(duì)IP報(bào)文進(jìn)行鏈路層封裝并將其傳送給所述虛擬交換機(jī)。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述虛擬接口與所述虛擬交換機(jī)之間的信息交換通過內(nèi)部數(shù)據(jù)通道完成,所述內(nèi)部數(shù)據(jù)通道是使用所述虛擬接口與所述虛擬交換機(jī)所在設(shè)備的總線的邏輯數(shù)據(jù)通道。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述內(nèi)部數(shù)據(jù)通道具有唯一標(biāo)識(shí),用來區(qū)分不同的虛擬交換機(jī)系統(tǒng)。
6.根據(jù)權(quán)利要求1至5中任何一項(xiàng)所述的方法,其特征在于,所述虛擬接口與所述IP轉(zhuǎn)發(fā)組件之間還設(shè)有存取控制表組件,用于對(duì)所述虛擬接口與所述IP轉(zhuǎn)發(fā)組件之間往來的數(shù)據(jù)進(jìn)行安全檢測(cè)。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述虛擬接口與IP轉(zhuǎn)發(fā)組件之間還設(shè)有網(wǎng)絡(luò)地址轉(zhuǎn)換組件,用于將進(jìn)入所述私有局域網(wǎng)段的報(bào)文的目的地址由公網(wǎng)地址轉(zhuǎn)換為私網(wǎng)地址,以及將從所述私有局域網(wǎng)段發(fā)出的報(bào)文的源地址由私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。
全文摘要
本發(fā)明公開了一種虛擬交換機(jī)系統(tǒng)接入IP公網(wǎng)的方法,該方法包括1)在虛擬交換機(jī)系統(tǒng)的虛擬交換機(jī)與IP轉(zhuǎn)發(fā)組件之間建立虛擬接口;2)由虛擬接口對(duì)來自虛擬交換機(jī)側(cè)用戶的數(shù)據(jù)進(jìn)行處理,并將經(jīng)處理的數(shù)據(jù)交給IP轉(zhuǎn)發(fā)組件以將其發(fā)送至IP公網(wǎng);以及3)由虛擬接口對(duì)從所述IP轉(zhuǎn)發(fā)組件傳來的來自IP公網(wǎng)的數(shù)據(jù)進(jìn)行處理,并將經(jīng)處理的數(shù)據(jù)交給虛擬交換機(jī)以將其發(fā)送至虛擬交換機(jī)側(cè)的用戶。本發(fā)明擴(kuò)展了虛擬交換機(jī)系統(tǒng)的業(yè)務(wù)范圍,減少了VPLS用戶訪問公網(wǎng)時(shí)對(duì)設(shè)備端口資源的占用,進(jìn)而增加了運(yùn)營(yíng)商的盈利手段,降低了企業(yè)用戶使用VS組建VPLS的成本和技術(shù)難度。
文檔編號(hào)H04L12/56GK1601996SQ0316005
公開日2005年3月30日 申請(qǐng)日期2003年9月26日 優(yōu)先權(quán)日2003年9月26日
發(fā)明者熊宇 申請(qǐng)人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1