一种基于虚拟局域网的二层虚拟专用网的实现方法,通过预留MAC地址池实现MAC地址转换,从而实现了二层地址转换,使本端用户和对端用户都认为它们是在和二层虚拟专用网进行通讯,在不需要增加设备的情况下,解决了现有技术的不足,使采用共享式虚拟局域网方式的局域网交换机和基于虚拟局域网的二层虚拟专用网结合可以实现二层虚拟专用网的功能,而且更加有效地实现了用户的二层隔离,使得二层虚拟专用网更安全。
【技术实现步骤摘要】
基于虚拟局域网的二层虚拟专用网的实现方法
本专利技术涉及通信
,尤其涉及一种基于虚拟局域网的二层虚拟专用网的实现方法。
技术介绍
目前LAN Switch(局域网交换机)等网络制造商为了在激烈的竞争中获得更多的商业优势,在芯片选型方面都尽可能选择价格低且功能满足的芯片,因此现在低端的局域网交换机只支持SVL(共享式虚拟局域网)方式的VLAN(虚拟局域网)交换方式。SVL(共享式虚拟局域网)和IVL(独立式虚拟局域网)的区别就在于MAC(介质访问控制)地址学习是否和VLAN相互独立:SVL是独立于VLAN的MAC学习,一个设备中有一张统一的MAC交换表,MAC学习和交换都依据这张表,MAC交换后再根据入端口和出端口是否位于同一个VLAN确定转发或丢弃报文;IVL则是为每个VLAN都建立一张独立的MAC交换表,每个VLAN独立进行MAC学习和交换,MAC交换后直接确定是否向出端口转发和丢弃报文。局域网交换机的采用SVL的VLAN交换方式,认为MAC地址只能在同一个端口接入并且是唯一的。这样,该类局域网交换机不实现按VLAN+MAC方式进行MAC学习,而是采用按全局MAC的学习方式(MAC信息表全局只有一份),并且其通过MAC交换先找到出端口,然后再按VLAN进行转发,代替VLAN+MAC的交换方式,但也实现-->了VLAN交换。随着商业的地域性被打破,不断渴望成长的企业不断将公司分支机构分布到全国乃至全球的不同城市或地区,这样产生了一个问题----如何让各个分支机构有效地进行互连呢?企业的“老板”们不断寻找一种既经济又高效的通讯方式,最终他们在Internet上找到了最佳解决方法,那就是二层VPN(虚拟专用网)功能----二层VPN通过MPLS(多协议标记交换)等技术构造一个可以跨地理限制的L2 VPN,从而实现不同地域的局域网互连。实际上,广泛使用的二层VPN都是建立在电信运营商的IP电信网的平台之上的,而IP电信网基于可运营、可管理的理念并不是为每个用户分配一个物理端口而是“逻辑端口”,从而实现网络资源利用的“最大化”。而这个“逻辑端口”就是VLAN,我们将电信运营商提供的此类二层VPN称为基于VLAN的二层VPN,后面将基于VLAN的二层VPN简称为VB L2VPN。然而,该VPN技术也不是“十全十美”的,如果局域网交换机或DSLAM(数字用户线接入复用器)只支持SVL的VLAN交换模式,而用户通过不同的VLAN接入局域网交换机,那么就可能存在无法实现VB L2VPN的问题,下面举例进行说明:如图1所示为基于VLAN的二层VPN组网结构图,图中局域网交换机和DSLAM(数字用户线接入复用器)都是通过VLAN接入用户,从而实现用户间的隔离,这样,同一个局域网交换机下的用户通过不同VLAN和端口接入电信二层VPN网络。由于采用SVL方式的局域网交换机无法实现用户完全的物理隔离,即MAC层还是不透明的,如图1所示,在该局域网交换机的两个用户(PC0、PC1)分别通过不同的VLAN(VLAN0、VLAN1)和不同的MAC地址(MAC0、MAC1)分别接入VB L2VPN情况下,当PC0用户想和PC1进行通讯时,步骤如下:-->1、首先PC0将广播ARP(地址解析协议)报文的源MAC填自己的MAC地址(即MAC0),目的IP地址填PC1的IP地址,然后连接到L2VPN的端口发送该报文;2、局域网交换机的Port0端口分析该ARP报文,学习到VLAN0的PC0的MAC地址MAC0,并再MAC交换表中增加一个交换表项,由于该ARP的目的MAC地址是广播的,因此向局域网交换机的所有端口进行广播,因为只有port10端口和port0是位于同一个VLAN的,所以局域网交换机将报文从Port10按VLAN0发送到VB L2VPN;3、此后,VB L2VPN终结该VLAN,并对ARP报文进行学习,将其源MAC地址保存到MAC交换表中,然后将广播ARP报文广播到包括局域网交换机VLAN1的PORT10在内的所有接口(这里需要注意:VB L2VPN将VLAN视为独立的物理接口);4、这样,当Port10接收到来自VB L2VPN的该ARP报文,也学习到了VLAN0的MAC0以后,将该报文广播到VLAN1的所有接口,因为局域网交换机进行源MAC学习,当同一个报文从同一个局域网交换机的两个端口接收到时,后接收到的报文会修改原来学习到的MAC所在的端口,因此MAC0的真实的物理位置已经被修改了;5、当PC1的用户收到该ARP报文,分析是有人在查找自己的MAC地址,于是构造ARP响应报文,其中源MAC的地址填PC1的MAC地址,而目的MAC地址填PC0的MAC地址,再将这个报文从接收到的接口发送出去;6、局域网交换机接收到ARP响应报文,根据源MAC地址MAC1进行学习,并根据目的MAC地址MAC0查找MAC交换表,确定出端口是在Port10,然后向VLAN1的Port10转发该报文;7、VB L2VPN从VLAN1的Port10收到报文后,先学习源MAC地址,然后根据目的MAC查找MAC交换表确定出端口,然后向局域网-->交换机VLAN0的Port10转发该报文;8、最后,局域网交换机的Port10收到该ARP响应报文,但是分析该报文发现其目的MAC就是本端口的MAC地址,直接将该报文丢弃了,这样PC0无法获得PC1的MAC地址无法和PC1进行通讯,也就无法实现VB L2VPN功能。该问题主要是由于局域网交换机的MAC学习方式导致的,而IVL方式的局域网交换机的MAC学习方式与SVL的不同,IVL方式下VLAN单独进行MAC地址学习,当同一个报文从同一个局域网交换机的两个端口接收到时,只要它们的VLAN不同,即便MAC地址相同也不会有影响。综上所述,现有技术采用SVL方式的局域网交换机和VB L2VPN结合可能无法实现二层VPN功能。
技术实现思路
本专利技术所要解决的技术问题是:克服现有技术采用SVL方式的局域网交换机和VB L2VPN结合无法实现二层VPN功能的不足,提供一种基于虚拟局域网的二层虚拟专用网的实现方法,从而使采用SVL方式的局域网交换机和VB L2VPN结合能够实现二层VPN的功能。本专利技术为解决上述技术问题所采用的技术方案为:这种基于虚拟局域网的二层虚拟专用网的实现方法,当用户分别通过不同的虚拟局域网和不同的MAC地址,通过同一个支持共享式虚拟局域网交换方式的二层接入设备,接入二层虚拟专用网进行通讯时,步骤如下:二层接入设备下的本端用户发送协议报文查找对端用户;二层接入设备与本端用户的连接端口分析该报文,学习到该本端用户的MAC地址,并再MAC交换表中增加交换表项,将报文发送到二层虚拟专用网;-->二层虚拟专用网终结该虚拟局域网后进行MAC交换,从预留的MAC地址池中取出一个MAC地址,将该报文的源MAC替换成新的MAC地址,并且建立报文原来的源MAC地址和新MAC地址的映射关系,再将转换后的报文广播到二层接入设备的所有端口;二层接入设备与二层虚拟专用网连接的端口学习到新MAC地址,后面对端用户的回应报文也就送给新MAC地址,即送回二层虚拟专用网;二层虚拟专用网接收到对端用户的回应报文,发现回应报文的MA本文档来自技高网...
【技术保护点】
一种基于虚拟局域网的二层虚拟专用网的实现方法,其特征在于:当用户分别通过不同的虚拟局域网和不同的MAC地址,通过同一个支持共享式虚拟局域网交换方式的二层接入设备,接入二层虚拟专用网进行通讯时,步骤如下:A、二层接入设备下的本端用户发 送协议报文查找对端用户,二层接入设备将该报文发送到二层虚拟专用网;B、二层虚拟专用网从预留的MAC地址池中取出一个MAC地址,将该报文的源MAC地址替换成新的MAC地址,并建立报文原来的源MAC地址和新MAC地址的对应关系,再将转换 后的报文发送出去;C、对端用户接收到该报文后,按新的MAC地址发送回应报文到二层虚拟专用网,二层虚拟专用网根据所述的对应关系查找到原来的MAC地址,将回应报文的目的MAC地址替换成原来的MAC地址,并将该回应报文的源MAC地址替换成 另一新的MAC地址,并且建立回应报文原来的源MAC地址和新MAC地址的对应关系,再将转换后的回应报文发送到本端用户;D、本端用户利用所述回应报文的另一新的源MAC地址,向对端用户发送报文,实现本端用户和对端用户的通讯。
【技术特征摘要】
1、一种基于虚拟局域网的二层虚拟专用网的实现方法,其特征在于:当用户分别通过不同的虚拟局域网和不同的MAC地址,通过同一个支持共享式虚拟局域网交换方式的二层接入设备,接入二层虚拟专用网进行通讯时,步骤如下:A、二层接入设备下的本端用户发送协议报文查找对端用户,二层接入设备将该报文发送到二层虚拟专用网;B、二层虚拟专用网从预留的MAC地址池中取出一个MAC地址,将该报文的源MAC地址替换成新的MAC地址,并建立报文原来的源MAC地址和新MAC地址的对应关系,再将转换后的报文发送出去;C、对端用户接收到该报文后,按新的MAC地址发送回应报文到二层虚拟专用网,二层虚拟专用网根据所述的对应关系查找到原来的MAC地址,将回应报文的目的MAC地址替换成原来的MAC地址,并将该回应报文的源MAC地址替换成另一新的MAC地址,并且建立回应报文原来的源MAC地址和新MAC地址的对应关系,再将转换后的回应报文发送到本端用户;D、本端用户利用所述回应报文的另一新的源MAC地址,向对端用户发送报文,实现本端用户和...
【专利技术属性】
技术研发人员:欧阳伟龙,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。