專利名稱:一種實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法及匯聚交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,尤其涉及一種實(shí)現(xiàn)虛擬局域網(wǎng)(Virtual Local Area Networks,簡(jiǎn)稱VLAN)聚合的方法及其應(yīng)用的匯聚交換機(jī)(Convergence Switch)�����。
背景技術(shù):
目前�����,虛擬局域網(wǎng)VLAN技術(shù)得到了廣泛的推廣和應(yīng)用��,虛擬局域網(wǎng)VLAN是指在交換局域網(wǎng)的基礎(chǔ)上����,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)���。一個(gè)虛擬局域網(wǎng)VLAN組成一個(gè)邏輯子網(wǎng)�,即一個(gè)邏輯廣播域��,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中����,從而使網(wǎng)絡(luò)帶寬得到充分利用,網(wǎng)絡(luò)性能大大提高��;此外����,虛擬局域網(wǎng)VLAN交換機(jī)如同一道屏風(fēng)�,只有具備VLAN成員資格的分組數(shù)據(jù)才能通過(guò),因此���,虛擬局域網(wǎng)VLAN技術(shù)還增加了網(wǎng)絡(luò)的安全性�����。
請(qǐng)參閱圖1����,圖1為采用VLAN技術(shù)的三層組網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖�;如圖所示,在該組網(wǎng)系統(tǒng)中��,四個(gè)客戶端主機(jī)(PC#1、PC#2����、PC#3、PC#4)分別與四個(gè)虛擬局域網(wǎng)(VLAN#100�、VLAN#200、VLAN#300�、VLAN#400)相連,并且��,各個(gè)VLAN分別通過(guò)二層交換機(jī)和匯聚交換機(jī)透?jìng)鞯饺龑泳W(wǎng)關(guān)上進(jìn)行終結(jié)�。當(dāng)用戶接入的VLAN數(shù)目較多時(shí)候,需要在三層網(wǎng)關(guān)上進(jìn)行大量的VLAN終結(jié)���,每一個(gè)VLAN都需要占用一個(gè)三層網(wǎng)關(guān)的路由接口資源�����,給三層網(wǎng)關(guān)設(shè)備處理造成了較大的壓力���,同時(shí),也造成了匯聚網(wǎng)絡(luò)中VLAN資源的浪費(fèi)與沖突����。
鑒于上述匯聚網(wǎng)絡(luò)中VLAN資源的浪費(fèi)����,目前已提出了多種實(shí)現(xiàn)VLAN映射(聚合)的方法����,VLAN映射為通過(guò)聚合技術(shù)的手段,將多個(gè)用戶側(cè)VLAN映射成一個(gè)網(wǎng)絡(luò)側(cè)VLAN�。
請(qǐng)參閱圖2,圖2為采用VLAN聚合技術(shù)的三層組網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖?��,F(xiàn)有技術(shù)中實(shí)現(xiàn)聚合技術(shù)的核心思想為設(shè)置多個(gè)用戶側(cè)虛擬局域網(wǎng)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN的對(duì)應(yīng)關(guān)系��;所述的對(duì)應(yīng)關(guān)系可以通過(guò)在匯聚交換機(jī)中設(shè)置相應(yīng)的訪問(wèn)控制列表(Access Control List�,簡(jiǎn)稱ACL)中的MAC地址和VLAN標(biāo)識(shí)間的關(guān)系來(lái)實(shí)現(xiàn)����。其中��,用戶側(cè)VLAN是指位于接入側(cè)��,即用戶直接接入的VLAN�;所述的網(wǎng)絡(luò)側(cè)VLAN是指位于網(wǎng)絡(luò)側(cè),即匯聚交換機(jī)與網(wǎng)關(guān)設(shè)備之間的VLAN��。
具體地說(shuō),從用戶側(cè)VLAN(VLAN#100��、VLAN#200�����、VLAN#300����、和/或VLAN#400)上行到匯聚交換機(jī)的報(bào)文,通過(guò)訪問(wèn)控制列表ACL的包過(guò)濾技術(shù)映射處理后�����,全部匯聚為一個(gè)上行的VLAN(VLAN#1000)發(fā)送至網(wǎng)關(guān)設(shè)備���,即將報(bào)文中攜帶的VLAN標(biāo)識(shí)變換為同一個(gè)網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí)��;從網(wǎng)絡(luò)側(cè)VLAN下行的報(bào)文�,根據(jù)所設(shè)置的對(duì)應(yīng)關(guān)系以及下行報(bào)文所攜帶的目的媒介接入控制(Medium Access Control��,簡(jiǎn)稱MAC)地址�,通過(guò)訪問(wèn)控制列表ACL所使用的包過(guò)濾技術(shù)映射處理后,將報(bào)文中所攜帶的VLAN標(biāo)識(shí)變換為相應(yīng)的用戶側(cè)VLAN標(biāo)識(shí),通過(guò)其所對(duì)應(yīng)的用戶側(cè)VLAN將下行報(bào)文發(fā)送至對(duì)應(yīng)的客戶端主機(jī)���。
從上述技術(shù)方案可以看出��,在匯聚交換機(jī)與網(wǎng)關(guān)設(shè)備之間通過(guò)聚合后的同一個(gè)網(wǎng)絡(luò)側(cè)VLAN進(jìn)行報(bào)文傳輸���,有效地降低了匯聚網(wǎng)絡(luò)中的VLAN資源消耗和三層網(wǎng)關(guān)設(shè)備VLAN路由接口的數(shù)量,同時(shí)����,還適度增加了網(wǎng)絡(luò)的安全性。
然而����,用于影響網(wǎng)絡(luò)安全的因素很多,例如����,較常見(jiàn)的包括MAC地址的假冒���、盜用或地址欺騙等��。由于上述技術(shù)方案中所使用的MAC地址的合法性���,直接影響了實(shí)現(xiàn)VLAN映射(聚合)方法的可靠性��,使上述的聚合方法在安全方面還是有漏洞的����。因此����,如何提升VLAN匯聚技術(shù)在安全性方面的高度,是目前業(yè)界急需解決的問(wèn)題�����。
發(fā)明內(nèi)容
鑒于上述技術(shù)的不足��,本發(fā)明的目的在于��,提出一種實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法及匯聚交換機(jī)��,其通過(guò)ACL與DHCP snooping技術(shù)相結(jié)合來(lái)實(shí)現(xiàn)多對(duì)一的VLAN映射��,即在二層交換組網(wǎng)方式下的VLAN映射(或聚合)��,以使在減少網(wǎng)絡(luò)上游路由器(三層路由設(shè)備)所消耗接口數(shù)量的同時(shí)����,大幅提升網(wǎng)絡(luò)的安全性�����。
本發(fā)明的目的是通過(guò)如下的技術(shù)方案實(shí)現(xiàn)的一種實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法���,包括步驟S1配置多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的VLAN聚合映射表,以及建立由報(bào)文攜帶的用戶信息所組成的綁定關(guān)系表����;步驟S2根據(jù)用戶信息綁定關(guān)系表,判斷所接收到的報(bào)文攜帶的用戶信息是否合法��,如果合法����,則執(zhí)行步驟S3,如果不合法就丟棄報(bào)文�;步驟S3將報(bào)文攜帶的VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改,然后轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中�����。
對(duì)于上述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法����,所述的報(bào)文為DHCP協(xié)議報(bào)文,所述的綁定關(guān)系表的表項(xiàng)信息為VLAN標(biāo)識(shí)�����、MAC地址��、端口地址和/或IP地址�。
對(duì)于上述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法,所述的綁定關(guān)系表中的表項(xiàng)由手工靜態(tài)配置和/或在接收上�����、下行報(bào)文時(shí)基于DHCP Snooping交互過(guò)程從報(bào)文中動(dòng)態(tài)獲取的用戶信息生成���。
上述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合方法中的配置VLAN聚合映射表的具體步驟包括建立訪問(wèn)控制列表ACL中的表項(xiàng)�,設(shè)置ACL表項(xiàng)中的匹配規(guī)則和匹配動(dòng)作記錄多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN的對(duì)應(yīng)關(guān)系�����。
對(duì)于上述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法���,在上行方向����,所述訪問(wèn)控制列表ACL表項(xiàng)的匹配規(guī)則為所述報(bào)文所攜帶的源MAC地址和VLAN標(biāo)識(shí)的信息,或者為所述報(bào)文所攜帶的源MAC地址���、端口地址和VLAN標(biāo)識(shí)的信息�����;所述訪問(wèn)控制列表ACL表項(xiàng)的匹配動(dòng)作為將上行DHCP報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)替換為所述網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)�����;以及�,在下行方向����,所述訪問(wèn)控制列表ACL表項(xiàng)的匹配規(guī)則為所述報(bào)文所攜帶的IP地址、源MAC地址和VLAN標(biāo)識(shí)的信息���,或者為所述報(bào)文所攜帶的IP地址����、目的MAC地址�����、端口地址和VLAN標(biāo)識(shí)的信息�;所述訪問(wèn)控制列表ACL表項(xiàng)的匹配動(dòng)作為將下行DHCP報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí)替換為所述的用戶側(cè)VLAN標(biāo)識(shí)。
上述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合方法中步驟S2的上行方向的具體流程包括
步驟S2-1接收并根據(jù)綁定關(guān)系表項(xiàng)中的內(nèi)容��,配置上行方向的訪問(wèn)控制列表ACL的表項(xiàng)���;步驟S2-2根據(jù)所述上行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)�����,查找所述訪問(wèn)控制列表ACL相應(yīng)表項(xiàng)中所配置的VLAN聚合映射表信息����,如果所述報(bào)文攜帶的VLAN標(biāo)識(shí)等于網(wǎng)絡(luò)側(cè)VLAN所對(duì)應(yīng)的用戶側(cè)VLAN��,執(zhí)行步驟S2-3���,否則��,執(zhí)行步驟S2-4����;步驟S2-3將所述上行DHCP協(xié)議報(bào)文中的VLAN標(biāo)識(shí)替換成相應(yīng)的網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí),并且����,將所述的報(bào)文通過(guò)網(wǎng)絡(luò)側(cè)VLAN發(fā)送至網(wǎng)關(guān)設(shè)備;步驟S2-4將所述的上行DHCP協(xié)議報(bào)文在原有VLAN中發(fā)送�����。
對(duì)于所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合方法中步驟S2的下行方向的具體流程包括步驟S2-1′接收并根據(jù)綁定關(guān)系表項(xiàng)中的內(nèi)容����,配置下行訪問(wèn)控制列表ACL的表項(xiàng);步驟S2-2′根據(jù)所述下行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)�,查找所述下行訪問(wèn)控制列表ACL相應(yīng)表項(xiàng)中所配置的VLAN聚合映射表信息,如果所述報(bào)文攜帶的VLAN標(biāo)識(shí)等于網(wǎng)絡(luò)側(cè)VLAN���,執(zhí)行步驟S2-3′��,否則�,執(zhí)行步驟S2-5′���;步驟S2-3′根據(jù)綁定關(guān)系表項(xiàng)中的記錄信息����,找出所述報(bào)文攜帶的目的MAC地址所對(duì)應(yīng)的用戶側(cè)VLAN;步驟S2-4′將所述下行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)修改為用戶主機(jī)所在的用戶側(cè)VLAN標(biāo)識(shí)����;并且,將所述的報(bào)文通過(guò)所述的用戶側(cè)VLAN發(fā)送至用戶主機(jī)�����;步驟S2-5′所述的下行DHCP協(xié)議報(bào)文在原有VLAN中發(fā)送�。
本發(fā)明還提供一種匯聚交換機(jī)����,用于保存不同用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的配置和建立由報(bào)文攜帶用戶信息所組成的綁定關(guān)系表,所述的匯聚交換機(jī)用以接收上�、下行報(bào)文,以及根據(jù)用戶信息綁定關(guān)系表判斷接收到報(bào)文所攜帶的用戶信息的合法性��,將合法報(bào)文攜帶的VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改���,并將所述報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中���。
對(duì)于所述的匯聚交換機(jī),進(jìn)一步包括用戶接口模塊����、DHCP偵聽(tīng)模塊��、ACL表項(xiàng)管理模塊����、上行收發(fā)處理模塊和下行收發(fā)處理模塊�。
其中,用戶接口模塊�����,用以配置VLAN聚合映射表中的用戶側(cè)VLAN和網(wǎng)絡(luò)側(cè)VLAN的對(duì)應(yīng)關(guān)系���,并且將其發(fā)送至ACL表項(xiàng)管理模塊��;DHCP偵聽(tīng)模塊�,通過(guò)偵聽(tīng)用戶主機(jī)與網(wǎng)關(guān)之間的DHCP交互過(guò)程�,動(dòng)態(tài)建立和維護(hù)綁定關(guān)系表,并且�����,將建立的綁定關(guān)系表發(fā)送至ACL表項(xiàng)管理模塊;ACL表項(xiàng)管理模塊���,根據(jù)接收的VLAN聚合映射表和綁定關(guān)系表����,動(dòng)態(tài)配置訪問(wèn)控制列表ACL的表項(xiàng)��;上行收發(fā)處理模塊����,用以接收上行DHCP報(bào)文�����,根據(jù)所配置的VLAN聚合映射表所配置的ACL表項(xiàng)的匹配規(guī)則和匹配動(dòng)作����,將上行DHCP報(bào)文發(fā)送至網(wǎng)關(guān)設(shè)備;下行收發(fā)處理模塊��,用以接收上行DHCP報(bào)文����,根據(jù)綁定關(guān)系表和VLAN聚合映射表所配置的ACL表項(xiàng)的匹配規(guī)則和匹配動(dòng)作,將下行DHCP協(xié)議報(bào)文發(fā)送至用戶主機(jī)。
對(duì)于所述的匯聚交換機(jī)�����,所述訪問(wèn)控制列表ACL的表項(xiàng)分為上行訪問(wèn)控制列表ACL表項(xiàng)和下行訪問(wèn)控制列表ACL表項(xiàng)�����;其中�,所述上行ACL表項(xiàng)的匹配規(guī)則為源MAC地址和VLAN標(biāo)識(shí),或者為源MAC地址���、端口地址和VLAN標(biāo)識(shí)的信息��;所述上行ACL表項(xiàng)的匹配動(dòng)作為將上行DHCP報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)替換為所述網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)�����;所述下行ACL表項(xiàng)的匹配規(guī)則為IP地址��、源MAC地址和VLAN標(biāo)識(shí)�����,或者為匹配規(guī)則為IP地址�、目的MAC地址、端口地址和VLAN標(biāo)識(shí)的信息��,所述下行ACL表項(xiàng)的匹配動(dòng)作為將下行DHCP報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)替換為所述的用戶側(cè)VLAN標(biāo)識(shí)��。
對(duì)于所述的匯聚交換機(jī)中的DHCP偵聽(tīng)模塊����,用以通過(guò)偵聽(tīng)各用戶主機(jī)與網(wǎng)關(guān)之間的DHCP交互過(guò)程,產(chǎn)生綁定表項(xiàng)添加與刪除的消息�,并將綁定表項(xiàng)添加與刪除的消息發(fā)送至ACL表項(xiàng)管理模塊。
從上述技術(shù)方案可以看出����,本發(fā)明解決了通過(guò)ACL模塊與DHCP偵聽(tīng)(DHCP snooping)模塊相結(jié)合來(lái)實(shí)現(xiàn)多對(duì)一的VLAN映射技術(shù),DHCPSnooping模塊通過(guò)建立包括MAC地址�、IP地址、端口號(hào)和VLAN ID綁定關(guān)系表���,并且將綁定關(guān)系表中的信息全部或部分設(shè)置到ACL規(guī)則中,實(shí)現(xiàn)更加嚴(yán)格的綁定���,在實(shí)現(xiàn)二層(Layer2)組網(wǎng)方式下的VLAN映射(或聚合)的同時(shí)�,提升了VLAN匯聚技術(shù)在安全性方面的高度��。
圖1為采用VLAN技術(shù)的三層組網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖;圖2為采用VLAN聚合技術(shù)的三層組網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖����;圖3為采用ACL與DHCP snooping技術(shù)相結(jié)合實(shí)現(xiàn)VLAN聚合的三層組網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例的匯聚交換機(jī)基本結(jié)構(gòu)示意圖�;圖5為本發(fā)明實(shí)施例的實(shí)現(xiàn)虛擬局域網(wǎng)聚合方法流程圖;圖6為本發(fā)明實(shí)施例的步驟S2(上行方向)的具體實(shí)施流程圖��;圖7為本發(fā)明實(shí)施例的步驟S2(下行方向)的具體實(shí)施流程圖����。
具體實(shí)施例方式
下面將結(jié)合附圖對(duì)本發(fā)明實(shí)現(xiàn)虛擬局域網(wǎng)聚合方法和匯聚交換機(jī)進(jìn)行詳細(xì)說(shuō)明。
首先����,請(qǐng)參閱圖3,圖3為采用ACL與DHCP snooping技術(shù)相結(jié)合實(shí)現(xiàn)VLAN聚合的三層組網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖�����。如圖所示��,8個(gè)用戶主機(jī)(PC#11��、PC#12����、PC#21�、PC#22��、PC#31����、PC#32、PC#41以及PC#42)�,分別接入不同的用戶側(cè)VLAN(VLAN#1、VLAN#2�、VLAN#3和VLAN#4),4個(gè)用戶側(cè)VLAN通過(guò)同一個(gè)網(wǎng)絡(luò)側(cè)VLAN(VLAN#5)來(lái)實(shí)現(xiàn)VLAN聚合進(jìn)行報(bào)文傳輸���。
具體的說(shuō)��,匯聚交換機(jī)中所使用的VLAN標(biāo)識(shí)可以分類定義為用戶側(cè)VLAN標(biāo)識(shí)(例如���,VLAN1、VLAN2���、VLAN3、VLAN4)與網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí)(例如�����,VLAN5);從用戶側(cè)VLAN上行的報(bào)文在通過(guò)匯聚交換機(jī)的映射處理后�����,報(bào)文中攜帶的VLAN標(biāo)識(shí)變換為同一個(gè)網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí)�����;從網(wǎng)絡(luò)側(cè)VLAN下行的報(bào)文經(jīng)過(guò)匯聚交換機(jī)處理后���,報(bào)文攜帶的VLAN標(biāo)識(shí)變換為相應(yīng)用戶側(cè)的VLAN標(biāo)識(shí)����。
與圖2中所示的不同之處在于����,二層交換機(jī)上還連接有動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol,簡(jiǎn)稱DHCP)服務(wù)器����。DHCP協(xié)議是一種用于簡(jiǎn)化用戶主機(jī)IP配置管理的IP標(biāo)準(zhǔn)。通過(guò)采用DHCP標(biāo)準(zhǔn)�,可以使用DHCP服務(wù)器為網(wǎng)絡(luò)上啟用了DHCP協(xié)議的用戶主機(jī)設(shè)置網(wǎng)絡(luò)IP地址�、掩碼�����、網(wǎng)關(guān)���、域名解析服務(wù)器(Domain Name System�,簡(jiǎn)稱DNS)等網(wǎng)絡(luò)參數(shù)��,簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置���。當(dāng)匯聚交換機(jī)開(kāi)啟了DHCP-Snooping后�����,會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)��,并可以從接收到的DHCP請(qǐng)求(DHCP Request)或DHCP應(yīng)答(DHCP ACK)報(bào)文中提取并記錄IP地址和MAC地址信息�。通過(guò)獲取到的DHCP信息�����,匯聚交換機(jī)在本地生成一個(gè)DHCP Snooping綁定表���,滿足該表中綁定關(guān)系的報(bào)文可以正常被匯聚交換機(jī)轉(zhuǎn)發(fā)�,不滿足綁定關(guān)系的報(bào)文可以被交換機(jī)禁止���。
請(qǐng)參閱圖4��,圖4為本發(fā)明實(shí)施例的匯聚交換機(jī)基本結(jié)構(gòu)示意圖����;圖中所示的匯聚交換機(jī)位于匯聚層���,可以為帶VLAN聚合功能的二層交換機(jī)��。在本發(fā)明的實(shí)施例中�,該匯聚交換機(jī)的功能為用于保存不同用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的配置建立由報(bào)文攜帶用戶信息所組成的綁定關(guān)系表�����,以及根據(jù)用戶信息綁定關(guān)系表判斷接收到報(bào)文所攜帶的用戶信息的合法性���,將合法報(bào)文攜帶的VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改�����,并轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中���。具體地說(shuō)�����,該匯聚交換機(jī)接收上����、下行DHCP報(bào)文���,以及根據(jù)上����、下行DHCP協(xié)議報(bào)文攜帶的信息生成綁定關(guān)系表項(xiàng)��;并且��,根據(jù)用戶信息綁定關(guān)系表��,在上行方向�,判斷所接收到上行報(bào)文攜帶的用戶信息是否合法,如果合法,將上行報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改����,然后將上行DHCP報(bào)文通過(guò)相應(yīng)的網(wǎng)絡(luò)側(cè)VLAN發(fā)送至網(wǎng)關(guān)設(shè)備,如果不合法就丟棄報(bào)文��;在下行方向����,判斷所接收到下行報(bào)文攜帶的用戶信息是否合法�����,如果合法�����,將下行報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改��,然后將下行DHCP報(bào)文通過(guò)相應(yīng)的用戶側(cè)VLAN發(fā)送至用戶主機(jī)����。
如圖4所示,該匯聚交換機(jī)具體包括用戶接口模塊���、DHCP偵聽(tīng)模塊���、ACL表項(xiàng)管理模塊��、上行收發(fā)處理模塊和下行收發(fā)處理模塊��。
用戶接口模塊作為用戶管理接口��,通過(guò)該模塊配置VLAN映射組中用戶側(cè)VLAN和網(wǎng)絡(luò)側(cè)VLAN的對(duì)應(yīng)關(guān)系���,生成VLAN聚合映射表,優(yōu)選地�����,將該聚合映射表發(fā)送至ACL表項(xiàng)管理模塊��,以便在匯聚交換機(jī)上靜態(tài)配置訪問(wèn)控制列表ACL�����,進(jìn)而����,對(duì)相關(guān)報(bào)文進(jìn)行VLAN變換����。
DHCP偵聽(tīng)模塊通過(guò)偵聽(tīng)用戶主機(jī)與網(wǎng)關(guān)之間的DHCP交互過(guò)程����,可以動(dòng)態(tài)建立和維護(hù)綁定關(guān)系表,以及產(chǎn)生DHCP Snooping綁定表項(xiàng)添加與刪除的消息�����;該綁定表中一般包含如下的表項(xiàng)用戶主機(jī)的IP地址��、用戶主機(jī)的MAC地址�����、用戶主機(jī)所屬端口以及用戶主機(jī)所屬VLAN�。
優(yōu)選地�����,DHCP偵聽(tīng)模塊包括綁定關(guān)系表管理模塊�����,用以通過(guò)偵聽(tīng)各用戶主機(jī)與網(wǎng)關(guān)之間的DHCP交互過(guò)程,產(chǎn)生綁定表項(xiàng)添加與刪除的消息�,并將綁定表項(xiàng)添加與刪除的消息發(fā)送至ACL表項(xiàng)管理模塊。即DHCP偵聽(tīng)模塊還可以進(jìn)一步將DHCP Snooping綁定表項(xiàng)添加與刪除的消息和DHCPSnooping綁定表發(fā)送至ACL表項(xiàng)管理模塊�����。在采用專用芯片(ASIC)進(jìn)行報(bào)文轉(zhuǎn)發(fā)的匯聚交換機(jī)中����,經(jīng)過(guò)一個(gè)報(bào)文的完整收發(fā)步驟可以產(chǎn)生一條綁定關(guān)系表項(xiàng),針對(duì)用戶主機(jī)(例如�����,PC#11)經(jīng)過(guò)一個(gè)完整的收發(fā)步驟�����,DHCP snooping偵聽(tīng)模塊可以獲得對(duì)于該用戶主機(jī)(PC#11)的完整綁定關(guān)系表項(xiàng)���,該條綁定關(guān)系表項(xiàng)是無(wú)法對(duì)用戶發(fā)出的實(shí)際數(shù)據(jù)報(bào)文進(jìn)行有效處理的���,如果檢查該綁定關(guān)系表合法,這就需要將生成的綁定關(guān)系表的表項(xiàng)信息下發(fā)到硬件芯片(ASIC)中����,即給ACL表項(xiàng)管理模塊發(fā)送DHCP snooping綁定表添加消息�����;同樣���,在DHCP snooping偵聽(tīng)模塊認(rèn)為需刪除綁定表的時(shí)候,也需要給ACL表項(xiàng)管理模塊發(fā)送DHCPsnooping綁定表刪除消息���。
ACL表項(xiàng)管理模塊根據(jù)接收的VLAN聚合映射表和綁定關(guān)系表�,動(dòng)態(tài)配置訪問(wèn)控制列表ACL的表項(xiàng)�。即上述的硬件芯片對(duì)報(bào)文按照如下原則處理判斷報(bào)文攜帶的IP�����、MAC����、VLAN信息以及報(bào)文來(lái)自的端口信息是否與某一條ACL表項(xiàng)相同,如果相同則將報(bào)文攜帶的VLAN標(biāo)識(shí)進(jìn)行修改���,然后轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中�,如果不相同就丟棄報(bào)文;如果是上行方向報(bào)文���,檢查的是用戶側(cè)VLAN�,修改的目的VLAN是網(wǎng)絡(luò)側(cè)VLAN�����,如果是下行方向的報(bào)文�����,則檢查的是網(wǎng)絡(luò)側(cè)VLAN�����,修改的目的VLAN是用戶測(cè)VLAN��。
所述訪問(wèn)控制列表ACL的表項(xiàng)分為上行訪問(wèn)控制列表ACL表項(xiàng)和下行訪問(wèn)控制列表ACL表項(xiàng)���;其中���,所述上行ACL表項(xiàng)的匹配規(guī)則為源MAC地址和VLAN標(biāo)識(shí),或者�,也可以將DHCP snooping模塊提供的源MAC地址��、端口地址和VLAN標(biāo)識(shí)等信息全部設(shè)置到ACL規(guī)則中�,以實(shí)現(xiàn)更加嚴(yán)格的綁定���;所述上行ACL表項(xiàng)的匹配動(dòng)作為將上行DHCP報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)替換為所述網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)�;所述下行ACL表項(xiàng)的匹配規(guī)則為IP地址����、目的MAC地址和VLAN標(biāo)識(shí),或者����,也可以將DHCPsnooping模塊提供的源MAC地址、端口地址和VLAN標(biāo)識(shí)等信息全部設(shè)置到ACL規(guī)則中��,以實(shí)現(xiàn)更加嚴(yán)格的綁定����;所述下行ACL表項(xiàng)的匹配動(dòng)作為將下行DHCP報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN(例如�����,VLAN#5)的標(biāo)識(shí)替換為所述的用戶側(cè)VLAN(例如�,VLAN#1)標(biāo)識(shí)����。
上行收發(fā)處理模塊����,用以接收上行DHCP報(bào)文,根據(jù)所配置的VLAN聚合映射表所配置的ACL表項(xiàng)的匹配規(guī)則和匹配動(dòng)作�����,將上行DHCP報(bào)文發(fā)送至網(wǎng)關(guān)設(shè)備����;下行收發(fā)處理模塊,用以接收上行DHCP報(bào)文�����,根據(jù)綁定關(guān)系表和VLAN聚合映射表所配置的ACL表項(xiàng)的匹配規(guī)則和匹配動(dòng)作����,將下行DHCP協(xié)議報(bào)文發(fā)送至用戶主機(jī)。
根據(jù)上面的描述可以看出��,在本發(fā)明的實(shí)施例中,匯聚交換機(jī)中的DHCP偵聽(tīng)模塊和ACL表項(xiàng)管理模塊還可以實(shí)現(xiàn)對(duì)用戶主機(jī)的動(dòng)態(tài)管理����,即當(dāng)一個(gè)用戶主機(jī)接入用戶側(cè)VLAN和退出用戶側(cè)VLAN時(shí),通過(guò)DHCP偵聽(tīng)模塊和ACL表項(xiàng)管理模塊的配合可以實(shí)現(xiàn)動(dòng)態(tài)的更新相關(guān)ACL表項(xiàng)����,從而保證可利用聚合后的網(wǎng)絡(luò)側(cè)VLAN準(zhǔn)確地完成報(bào)文傳輸。
下面將結(jié)合附圖3對(duì)圖5至圖7中所示的本發(fā)明實(shí)施例的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法進(jìn)行詳細(xì)說(shuō)明�。
請(qǐng)參閱圖5,圖5為本發(fā)明實(shí)施例的實(shí)現(xiàn)虛擬局域網(wǎng)聚合方法流程圖��;在本實(shí)施例中的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法包括如下步驟步驟S1配置多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的VLAN聚合映射表�����,以及建立由報(bào)文攜帶的用戶信息所組成的綁定關(guān)系表����;步驟S2根據(jù)用戶信息綁定關(guān)系表,判斷所接收到的報(bào)文攜帶的用戶信息是否合法����,如果合法�����,則執(zhí)行步驟S3,如果不合法就丟棄報(bào)文��;步驟S3將報(bào)文攜帶的VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改��,然后轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中��。
需要說(shuō)明的是�,配置多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的VLAN聚合映射表的步驟,可以通過(guò)人機(jī)交互的方式進(jìn)行�����。本發(fā)明同時(shí)提供了兩種可選的技術(shù)方案用于生成與記錄包括用戶的IP地址��、MAC地址����、端口(PORT)、VLAN等信息的綁定關(guān)系表����;一種技術(shù)方案可以是靜態(tài)配置用戶的IP、MAC����、PORT����、VLAN等信息�����,這種方式適用于用戶終端通過(guò)靜態(tài)配置IP地址的方式接入網(wǎng)絡(luò)�;另一種較佳的技術(shù)方案是基于DHCP Snooping交互過(guò)程獲取用戶的IP、 MAC����、PORT、VLAN等信息����。當(dāng)然,上述兩種方式也可以混合使用��,例如��,在同一網(wǎng)絡(luò)中��,對(duì)某些用戶采用DHCP動(dòng)態(tài)檢測(cè)的方法����,對(duì)某些用戶采用手工配置的方式。
完成上述配置多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的VLAN聚合映射表���,以及建立由報(bào)文攜帶的用戶信息所組成的綁定關(guān)系表后�,就可以進(jìn)行建立訪問(wèn)控制列表ACL中的表項(xiàng)���,即設(shè)置ACL表項(xiàng)中的匹配規(guī)則和匹配動(dòng)作記錄多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系���。
為了描述方便起見(jiàn),在本實(shí)施例中���,上行ACL表項(xiàng)的匹配規(guī)則為源MAC地址和VLAN標(biāo)識(shí)��;匹配動(dòng)作為將上行DHCP報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)替換為所述網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)���;下行ACL表項(xiàng)的匹配規(guī)則為IP地址、目的MAC地址和VLAN標(biāo)識(shí)�����,下行ACL表項(xiàng)的匹配動(dòng)作為將下行DHCP報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)替換為所述的用戶側(cè)VLAN標(biāo)識(shí)�����。
具體的說(shuō),請(qǐng)參閱圖6�,圖6為本發(fā)明實(shí)施例的步驟S2(上行方向)的具體實(shí)施流程圖;圖中所示的步驟S2進(jìn)一步包括如下步驟步驟S2-1接收并根據(jù)綁定關(guān)系表項(xiàng)中的內(nèi)容����,配置上行方向的訪問(wèn)控制列表ACL的表項(xiàng);即ACL的表項(xiàng)規(guī)則為“報(bào)文源MAC等于MAC1”���,并且“報(bào)文攜帶VLAN標(biāo)識(shí)等于VLAN1”����;步驟S2-2根據(jù)所述上行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)��,查找所述訪問(wèn)控制列表ACL相應(yīng)表項(xiàng)中所配置的VLAN聚合映射表信息�,如果所述報(bào)文攜帶的VLAN標(biāo)識(shí)等于網(wǎng)絡(luò)側(cè)VLAN所對(duì)應(yīng)的用戶側(cè)VLAN,執(zhí)行步驟S2-3���,否則�����,執(zhí)行步驟S2-4����;步驟S2-3將所述上行DHCP協(xié)議報(bào)文中的VLAN標(biāo)識(shí)替換成相應(yīng)的網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí),即匹配動(dòng)作為將上行DHCP報(bào)文VLAN標(biāo)識(shí)修改為VLAN5��;并且���,將所述的報(bào)文通過(guò)網(wǎng)絡(luò)側(cè)VLAN發(fā)送至網(wǎng)關(guān)設(shè)備;步驟S2-4將所述的上行DHCP協(xié)議報(bào)文在原有VLAN中發(fā)送����。
請(qǐng)參閱圖7,圖7為本發(fā)明實(shí)施例的S2(下行方向)的具體實(shí)施的流程圖�����。圖中所述的步驟S2進(jìn)一步包括如下步驟步驟S2-1′接收并根據(jù)綁定關(guān)系表項(xiàng)中的內(nèi)容�����,配置下行訪問(wèn)控制列表ACL的表項(xiàng)�;步驟S2-2′根據(jù)所述下行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí),查找所述下行訪問(wèn)控制列表ACL相應(yīng)表項(xiàng)中所配置的VLAN聚合映射表信息���,即表項(xiàng)規(guī)則為“報(bào)文目的MAC等于MAC1”�,并且“報(bào)文攜帶VLAN標(biāo)識(shí)等于VLAN 5”;如果所述報(bào)文攜帶的VLAN標(biāo)識(shí)等于網(wǎng)絡(luò)側(cè)VLAN��,執(zhí)行步驟S2-3′���,否則��,執(zhí)行步驟S2-5′����;步驟S2-3′根據(jù)綁定關(guān)系表項(xiàng)中的記錄信息�����,找出所述報(bào)文攜帶的目的MAC地址所對(duì)應(yīng)的用戶側(cè)VLAN�;步驟S2-4′基于上述的查表結(jié)果,將所述下行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)修改為用戶主機(jī)所在的用戶側(cè)VLAN標(biāo)識(shí)�����,以及���,將所述的報(bào)文通過(guò)所述的用戶側(cè)VLAN發(fā)送至用戶主機(jī)�����;步驟S2-5′將所述的下行DHCP協(xié)議報(bào)文在原有VLAN中發(fā)送��。
綜上所述�����,本發(fā)明通過(guò)ACL與DHCP偵聽(tīng)(DHCP snooping)技術(shù)相結(jié)合來(lái)實(shí)現(xiàn)多對(duì)一的VLAN映射��,DHCP Snooping技術(shù)通過(guò)建立包括MAC地址��、IP地址��、端口號(hào)和VLAN ID綁定關(guān)系表��,并且將綁定關(guān)系表中的信息全部或部分設(shè)置到訪問(wèn)控制列表中的ACL規(guī)則中����,實(shí)現(xiàn)更加嚴(yán)格的綁定�,在實(shí)現(xiàn)二層(Layer2)組網(wǎng)方式下的VLAN映射(或聚合)的同時(shí),提升了VLAN匯聚技術(shù)在安全性方面的高度�����。
需要聲明的是����,上述發(fā)明內(nèi)容及具體實(shí)施方式
意在證明本發(fā)明所提供技術(shù)方案的實(shí)際應(yīng)用���,不應(yīng)解釋為對(duì)本發(fā)明保護(hù)范圍的限定。本領(lǐng)域技術(shù)人員在本發(fā)明的精神和原理內(nèi)����,當(dāng)可作各種修改、等同替換���、或改進(jìn)�。本發(fā)明的保護(hù)范圍以所附權(quán)利要求書(shū)為準(zhǔn)����。
權(quán)利要求
1.一種實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法,其特征在于���,所述的方法包括步驟S1配置多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的VLAN聚合映射表���,以及建立由報(bào)文攜帶的用戶信息所組成的綁定關(guān)系表;步驟S2根據(jù)用戶信息綁定關(guān)系表��,判斷所接收到的報(bào)文攜帶的用戶信息是否合法,如果合法�����,則執(zhí)行步驟S3�,如果不合法就丟棄報(bào)文;步驟S3將報(bào)文攜帶的VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改��,然后轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中�。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法,其特征在于���,所述的報(bào)文為DHCP協(xié)議報(bào)文���,所述的綁定關(guān)系表的表項(xiàng)信息為VLAN標(biāo)識(shí)��、MAC地址����、端口地址和/或IP地址。
3.根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法���,其特征在于����,所述的綁定關(guān)系表中的表項(xiàng)由手工靜態(tài)配置和/或在接收上、下行報(bào)文時(shí)基于DHCP Snooping交互過(guò)程從報(bào)文中動(dòng)態(tài)獲取用戶信息來(lái)生成���。
4.根據(jù)權(quán)利要求1-3任一所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法����,其特征在于�,所述的配置VLAN聚合映射表步驟包括建立訪問(wèn)控制列表ACL中的表項(xiàng),設(shè)置ACL表項(xiàng)中的匹配規(guī)則和匹配動(dòng)作記錄多個(gè)用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN的對(duì)應(yīng)關(guān)系����。
5.根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法,其特征在于�����,在上行方向���,所述訪問(wèn)控制列表ACL表項(xiàng)的匹配規(guī)則為所述報(bào)文所攜帶的源MAC地址和VLAN標(biāo)識(shí)的信息�����,或者為所述報(bào)文所攜帶的源MAC地址���、端口地址和VLAN標(biāo)識(shí)的信息��;所述訪問(wèn)控制列表ACL表項(xiàng)的匹配動(dòng)作為將上行DHCP報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)替換為所述網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)�;以及在下行方向�����,所述訪問(wèn)控制列表ACL表項(xiàng)的匹配規(guī)則為所述報(bào)文所攜帶的IP地址���、源MAC地址和VLAN標(biāo)識(shí)的信息�����,或者為所述報(bào)文所攜帶的IP地址���、目的MAC地址、端口地址和VLAN標(biāo)識(shí)的信息����;所述訪問(wèn)控制列表ACL表項(xiàng)的匹配動(dòng)作為將下行DHCP報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí)替換為所述的用戶側(cè)VLAN標(biāo)識(shí)���。
6.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法��,其特征在于����,所述步驟S2的上行方向的具體流程包括步驟S2-1接收并根據(jù)綁定關(guān)系表項(xiàng)中的內(nèi)容,配置上行方向的訪問(wèn)控制列表ACL的表項(xiàng)�����;步驟S2-2根據(jù)所述上行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)�����,查找所述訪問(wèn)控制列表ACL相應(yīng)表項(xiàng)中所配置的VLAN聚合映射表信息��,如果所述報(bào)文攜帶的VLAN標(biāo)識(shí)等于網(wǎng)絡(luò)側(cè)VLAN所對(duì)應(yīng)的用戶側(cè)VLAN��,執(zhí)行步驟S2-3���,否則����,執(zhí)行步驟S2-4�����;步驟S2-3將所述上行DHCP協(xié)議報(bào)文中的VLAN標(biāo)識(shí)替換成相應(yīng)的網(wǎng)絡(luò)側(cè)VLAN標(biāo)識(shí),并且�����,將所述的報(bào)文通過(guò)網(wǎng)絡(luò)側(cè)VLAN發(fā)送至網(wǎng)關(guān)設(shè)備���;步驟S2-4將所述的上行DHCP協(xié)議報(bào)文在原有VLAN中發(fā)送����。
7.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法�����,其特征在于�����,所述步驟S2的下行方向的具體流程包括步驟S2-1′接收并根據(jù)綁定關(guān)系表項(xiàng)中的內(nèi)容�����,配置下行訪問(wèn)控制列表ACL的表項(xiàng)�����;步驟S2-2′根據(jù)所述下行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)��,查找所述下行訪問(wèn)控制列表ACL相應(yīng)表項(xiàng)中所配置的VLAN聚合映射表信息���,如果所述報(bào)文攜帶的VLAN標(biāo)識(shí)等于網(wǎng)絡(luò)側(cè)VLAN�����,執(zhí)行步驟S4-3′����,否則��,執(zhí)行步驟S2-5′�����;步驟S2-3′根據(jù)綁定關(guān)系表項(xiàng)中的記錄信息���,找出所述報(bào)文攜帶的目的MAC地址所對(duì)應(yīng)的用戶側(cè)VLAN�����;步驟S2-4′將所述下行DHCP協(xié)議報(bào)文攜帶的VLAN標(biāo)識(shí)修改為用戶主機(jī)所在的用戶側(cè)VLAN標(biāo)識(shí)����,以及,將所述的報(bào)文通過(guò)所述的用戶側(cè)VLAN發(fā)送至用戶主機(jī)��;步驟S2-5′所述的下行DHCP協(xié)議報(bào)文在原有VLAN中發(fā)送�。
8.一種匯聚交換機(jī),用于保存不同用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系的配置和建立由報(bào)文攜帶用戶信息所組成的綁定關(guān)系表��,其特征在于�����,所述的匯聚交換機(jī)接收上��、下行報(bào)文���,以及根據(jù)用戶信息綁定關(guān)系表判斷接收到報(bào)文所攜帶的用戶信息的合法性���,將合法報(bào)文攜帶的VLAN標(biāo)識(shí)按照VLAN聚合映射表進(jìn)行修改,并將所述的報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的目的VLAN中����。
9.根據(jù)權(quán)利要求8所述的匯聚交換機(jī),其特征在于,所述的匯聚交換機(jī)具體包括用戶接口模塊����、DHCP偵聽(tīng)模塊�����、ACL表項(xiàng)管理模塊����、上行收發(fā)處理模塊和下行收發(fā)處理模塊;其中���,用戶接口模塊���,用以配置VLAN聚合映射表中的用戶側(cè)VLAN和網(wǎng)絡(luò)側(cè)VLAN的對(duì)應(yīng)關(guān)系,并且將其發(fā)送至ACL表項(xiàng)管理模塊��;DHCP偵聽(tīng)模塊�����,通過(guò)偵聽(tīng)用戶主機(jī)與網(wǎng)關(guān)之間的DHCP交互過(guò)程����,動(dòng)態(tài)建立和維護(hù)綁定關(guān)系表���,并且,將建立的綁定關(guān)系表發(fā)送至ACL表項(xiàng)管理模塊��;ACL表項(xiàng)管理模塊�,根據(jù)接收的VLAN聚合映射表和綁定關(guān)系表,動(dòng)態(tài)配置訪問(wèn)控制列表ACL的表項(xiàng)��;上行收發(fā)處理模塊��,用以接收上行DHCP報(bào)文�����,根據(jù)所配置的VLAN聚合映射表所配置的ACL表項(xiàng)的匹配規(guī)則和匹配動(dòng)作����,將上行DHCP報(bào)文發(fā)送至網(wǎng)關(guān)設(shè)備;下行收發(fā)處理模塊����,用以接收上行DHCP報(bào)文,根據(jù)綁定關(guān)系表和VLAN聚合映射表所配置的ACL表項(xiàng)的匹配規(guī)則和匹配動(dòng)作����,將下行DHCP協(xié)議報(bào)文發(fā)送至用戶主機(jī)�。
10.根據(jù)權(quán)利要求9所述的匯聚交換機(jī)��,其特征在于�,所述訪問(wèn)控制列表ACL的表項(xiàng)分為上行訪問(wèn)控制列表ACL表項(xiàng)和下行訪問(wèn)控制列表ACL表項(xiàng);其中����,所述上行ACL表項(xiàng)的匹配規(guī)則為源MAC地址和VLAN標(biāo)識(shí)���,或者為源MAC地址���、端口地址和VLAN標(biāo)識(shí)的信息;所述上行ACL表項(xiàng)的匹配動(dòng)作為將上行DHCP報(bào)文攜帶的用戶側(cè)VLAN標(biāo)識(shí)替換為所述網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)�;所述下行ACL表項(xiàng)的匹配規(guī)則為IP地址、目的MAC地址和VLAN標(biāo)識(shí)�,或者為匹配規(guī)則為IP地址、目的MAC地址���、端口地址和VLAN標(biāo)識(shí)的信息����,所述下行ACL表項(xiàng)的匹配動(dòng)作為將下行DHCP報(bào)文攜帶的網(wǎng)絡(luò)側(cè)VLAN的標(biāo)識(shí)替換為所述的用戶側(cè)VLAN標(biāo)識(shí)。
11.根據(jù)權(quán)利要求9-10任一所述的匯聚交換機(jī)��,其特征在于����,所述的DHCP偵聽(tīng)模塊還包括綁定關(guān)系表管理模塊,用以通過(guò)偵聽(tīng)各用戶主機(jī)與網(wǎng)關(guān)之間的DHCP交互過(guò)程��,產(chǎn)生綁定表項(xiàng)添加與刪除的消息���,并將綁定表項(xiàng)添加與刪除的消息發(fā)送至ACL表項(xiàng)管理模塊�。
全文摘要
本發(fā)明提供了一種實(shí)現(xiàn)虛擬局域網(wǎng)聚合的方法及匯聚交換機(jī)�,所述的方法包括所述的匯聚交換機(jī)保存不同用戶側(cè)VLAN與一個(gè)網(wǎng)絡(luò)側(cè)VLAN對(duì)應(yīng)關(guān)系和由報(bào)文所攜帶的用戶信息組成的綁定關(guān)系表的配置,接收上�����、下行報(bào)文�,根據(jù)上、下行報(bào)文攜帶的用戶信息生成綁定關(guān)系表項(xiàng)����;以及,在上行方向����,根據(jù)所配置的VLAN聚合映射表�,將上行報(bào)文發(fā)送至網(wǎng)關(guān)設(shè)備��,在下行方向�,根據(jù)綁定關(guān)系表和所配置的VLAN聚合映射表,將下行報(bào)文發(fā)送至用戶主機(jī)���。本發(fā)明在實(shí)現(xiàn)二層(Layer2)組網(wǎng)方式下的VLAN映射(或聚合)的同時(shí)�,提升了VLAN匯聚技術(shù)在安全性方面的高度�。
文檔編號(hào)H04L29/06GK101022394SQ20071009209
公開(kāi)日2007年8月22日 申請(qǐng)日期2007年4月6日 優(yōu)先權(quán)日2007年4月6日
發(fā)明者劉建鋒, 宋建永, 李愛(ài)國(guó) 申請(qǐng)人:杭州華為三康技術(shù)有限公司