一種虛擬交換機系統接入ip公網的方法

2023-10-06 06:55:09 2

專利名稱：一種虛擬交換機系統接入ip公網的方法
技術領域：
本發明一般涉及網絡通信技術，特別涉及一種使虛擬交換機系統接入IP公網的方法。
背景技術：
虛擬交換機(VS)是一種虛擬私用網(VPN)的實現方法。虛擬交換機是在網絡設備上通過配置生成的功能實體，它能夠完成乙太網交換機的功能。一臺網絡設備上可以劃分出多個虛擬交換機，虛擬交換機可以用於組建虛擬私有區域網段(VPLS)以及提供用戶流量匯聚。
虛擬交換機最初應用在ATM(異步傳輸模式)設備上提供虛擬私有區域網段業務。之後，虛擬交換機加入了以太接入以及在IP公網透傳以太報文的GRE(通用路由封裝)隧道接入功能。目前虛擬交換機搭建VPN的組網方式見圖1。
虛擬交換機利用鏈路層(以太)信息進行數據包的轉發，全部使用虛擬交換機搭建的網絡類似於一個乙太網。
目前VS和IP(網際協議)轉發組件都位於電信局的邊緣業務節點上，邊緣業務節點的基本功能是滿足用戶的上網需求，IP轉發組件是邊緣業務節點的核心之一，功能類似於路由器。而VS是在邊緣業務節點上為了滿足企業組建VPN的需求，以及為電信局增加收入而添加的擴展組件。在邊緣業務節點上，VS和IP轉發組件是獨立的功能模塊。邊緣業務節點只有加入VS組件才具有組建VPLS的能力。由於實現了虛擬交換機的網絡設備還不具備把報文送往IP轉發組件進行路由轉發的能力，因此由虛擬交換機構成的企業私有網或匯聚的用戶要訪問IP網絡必須添加顯式的外部連接通道，如路由器或連線。
圖2是現有技術一的技術方案示意圖。如圖2所示，企業使用VS來構建VPLS，但需在某個站點內部另外配置一臺路由器與公網相連。VPLS內部的設備通過這一路由器訪問公網。在該路由器之上或之內一般會配置地址轉換和報文過濾規則，用於保證企業私有網的安全性。
在該方案中，VPLS內部網絡設備把路由器的VPLS側接口IP位址設置為網關。VPLS內部到IP公網的報文都被轉發到路由器。路由器查找路由後，把報文送到IP公網，即圖中電信局方的邊緣業務節點的IP公網側接口上。
從IP公網來的IP報文，即電信局方邊緣業務節點公網側接口來的報文到達路由器，企業路由器查找路由。如果目的地在VPLS內部，則把報文送到路由器的VPLS側接口，在VPLS內部進行轉發。
這種組網方案適用於具有較強技術實力和經濟基礎的企業用戶。
該現有技術一的缺點是它需要添加路由設備，從而增加了用戶的開銷。而且，路由器與邊緣業務節點連接還佔用了邊緣業務節點的寶貴的埠資源。另外，由於訪問公網時使用的NAT(網絡地址轉換)和安全規則需要用戶配置，從而增加用戶的維護難度。
圖3示出了與本發明相關的現有技術二。如圖3所示，在邊緣業務節點加一條外部連線，連接一個接入VS的埠和一個接入IP轉發組件的埠。這樣，接入VS的用戶就可以通過該外部通道把數據發送到IP組件進行IP層轉發了。
在該方案中，VPLS內部把與VS直連的IP轉發組件的接口IP位址設置為網關。VPLS內部到IP公網的報文都被VS轉發與它直連的IP轉發組件的接口上。IP轉發組件查找路由後，把報文送到IP公網。
從IP公網來的IP報文到達邊緣業務節點的IP轉發組件，IP轉發組件查找路由。如果目的地在VPLS內部，則把報文送到與它直連的VPLS側接口交給VS，之後報文在VPLS內部進行轉發。
該方案常用於通過VS來匯聚訪問公網的接入用戶的數據流量，也可用於一些對安全性要求不高、資金有限的企業構建VPLS。
由於一般邊緣業務節點是放在電信局的。電信部門為了獲取大的利潤，邊緣業務節點為許多用戶共享，邊緣業務節點對外接口是稀缺資源，一個對外接口可以接入多個企業用戶。該現有技術二要在電信局的邊緣業務節點上進行，企業用戶要佔用一個外部接口(例如一個ATM口或一個以太物理接口)，代價昂貴，並且對VPLS企業用戶缺乏安全性。

發明內容
因此，本發明就是針對解決現有技術中的上述缺點而做出的，其一個目的是提供一種虛擬交換機系統接入IP公網的方法，使基於VS構建VPLS的企業用戶在訪問公網資源時既不佔用寶貴的邊緣業務節點的對外接口，又無須添加額外的路由設備。
本發明的另一個目的是提供一種虛擬交換機系統接入IP公網的方法，該方法可使基於VS構建VPLS的企業用戶能夠安全、便捷地訪問公網資源為實現上述目的，本發明提供了一種虛擬交換機系統接入IP公網的方法，所述虛擬交換機系統包括虛擬交換機和IP轉發組件，所述方法的特徵在於包括以下步驟1)在所述虛擬交換機與所述IP轉發組件之間建立虛擬接口；2)由所述虛擬接口對來自所述虛擬交換機側用戶的數據進行處理，並將經處理的數據交給所述IP轉發組件以將其發送至IP公網；以及3)由所述虛擬接口對從所述IP轉發組件傳來的來自IP公網的數據進行處理，並將經處理的數據交給所述虛擬交換機以將其發送至虛擬交換機側的用戶。
所述步驟2)進一步包括以下步驟所述虛擬接口對來自所述虛擬交換機側用戶的數據進行解除以太鏈路封裝的操作，然後將經過解除鏈路封裝的數據交給所述IP轉發組件查路由表以發送給IP公網。
所述步驟3)進一步包括以下步驟從IP公網進入的IP報文如果目的地是虛擬交換機側的用戶，則所述IP轉發組件查路由表把報文交給與所述虛擬交換機相連的虛擬接口，所述虛擬接口查找ARP節點取得鏈路層封裝信息，之後對IP報文進行鏈路層封裝並將其傳送給所述虛擬交換機。
在本發明的實施例中，所述虛擬接口與所述虛擬交換機之間的信息交換通過內部數據通道完成，所述內部數據通道是使用所述虛擬接口與所述虛擬交換機所在設備的總線的邏輯數據通道。另外，所述內部數據通道具有唯一標識，用來區分不同的虛擬交換機系統。
此外，所述虛擬接口與所述IP轉發組件之間優選地設有存取控制表組件，用於對所述虛擬接口與所述IP轉發組件之間往來的數據進行安全檢測。所述虛擬接口與IP轉發組件之間優選地設有網絡地址轉換組件，用於完成私網地址和公網地址的轉換。
本發明為基於VS構建VPLS的企業用戶訪問公網資源提供一種安全、便捷的方法，由於數據在邊緣業務節點內部進行傳送，無需使用外部接口，可以減少VPLS用戶訪問公網時對邊緣業務節點埠資源的佔用。另外，相對現有技術二，本發明能夠提供更安全地訪問公網；而相對於現有技術一，本發明將原本設置在用戶的路由器上、由用戶配置NAT(網絡地址轉換)和安全規則的工作交給電信局，無需用戶另行購置路由器，NAT(網絡地址轉換)和安全規則的配置在電信局的邊緣業務節點上由電信局完成，降低了企業用戶使用VS組建VPLS的成本和技術難度，減輕了企業的負擔，又增加了電信局的利潤。


圖1是目前虛擬交換機搭建VPN的組網方式；圖2是現有技術一的技術方案示意圖；圖3是現有技術二的技術方案示意圖；圖4是本發明的原理流程圖；圖5是本發明的建立內部數據通道的示意6是本發明的優選方案中用戶側向網絡側發送數據報文的流程圖；圖7是本發明的優選方案中網絡側向用戶側發送數據報文的流程圖。
具體實施例方式
參照圖4，在VS和IP轉發組件之間建立一個虛擬接口。該虛擬接口具有與一般以太接口同樣的功能，只是一般以太接口處理來自對外物理埠的數據，而「虛擬接口」則處理來自設備內部數據交換晶片的數據。
虛擬接口是一個軟體模塊。虛擬接口的設計與一般以太接口的設計是一致的。虛擬接口與一般以太接口的主要區別在於一般以太接口處理從物理以太埠收到的以太格式的幀。而虛擬接口則處理從設備內部的數據交換硬體單元收到的數據幀，這些數據幀的格式是設備內部定義的，例如固定長度的信元格式。通過內部數據通道發送的以太報文以設備自定義的格式承載在設備自定義的內部數據幀上。數據交換硬體單元負責按內部定義的格式組裝這些數據幀，拆除內部格式封裝後取出以太幀，然後送給虛擬接口進行鏈路層處理。在發送報文時，虛擬接口把標準以太格式的報文送交數據交換硬體單元，數據交換硬體單元按照設備自定義的格式拆分和封裝以太報文，然後在內部數據通道上發送。
上述虛擬接口完成以下基本功能1.從內部數據通道接收以太包；2.解析輸入的以太包，取出IP報文交給IP轉發組件；3.接收IP轉發組件送來的數據，進行以太鏈路層封裝；4.將以太包送交內部數據通道發送；5.處理ARP (地址解析協議)報文，建立和維護本接口上的ARP節點，為新建的ARP節點上報路由。
另外，創建一條內部數據通道，即分配一條內部數據交換通路，它連接VS和虛擬接口。內部數據通道的建立方法與設備本身的設計密切相關。
如圖5所示，在一個分布式轉發體系結構的設備中，整個系統由各種實現不同功能的單板搭建而成。不同的單板之間的數據通信通過系統的信元總線完成。在該系統中，VS組件在單板A上實現，而虛擬接口、IP轉發組件在單板B上實現。為了使單板A上的VS組件能夠與單板B上的虛擬接口交換數據，本發明在VS和虛擬接口間分配一條信元通道。如果系統內部採用ATM信元，則該信元通道就是一條永久虛電路(PVC)。單板間傳遞的數據被封裝成信元的格式在信元總線上進行交換。信元通道信息被封裝在信元結構中，所述信元通道信息即每一信元通道的標識，在本實施例中，每一信元通道在系統內部具有唯一標識，用來區分不同的虛擬交換機系統，所述唯一標識是一個全局唯一的數字。IP組件根據該唯一標識把以太報文送到對應的VS系統。
單板A上的VS1和VS2與單板B上的虛擬接口分別建立了內部信元通道Path1和Path2。VS1通過Path1，在其MAC(媒體訪問控制)地址學習表中記錄虛擬接口的MAC地址。當接收到需發送給虛擬接口的數據包時，VS1就將Path1的通道信息以及以太包封裝在信元中，送信元總線進行交換，發送到虛擬接口。虛擬接口根據PATH1通道信息建立VS1系統的ARP節點表，在該ARP節點表中記錄VS1接入的用戶的MAC地址。當虛擬接口收到目的MAC地址是VS1接入的用戶的MAC地址的數據包時，虛擬接口將Path1的通道信息以及以太包封裝在信元中，送信元總線進行交換。VS1從Path1接收信元，重組出以太包，再根據包中的目的MAC地址把包交換給最終用戶。
如此構建的系統的報文轉發流程如下VS把數據放上內部數據通道發送到虛擬接口，虛擬接口從內部數據通道的硬體單元取得數據，解除以太鏈路封裝，然後交給IP轉發組件查路由表發送到網絡側接口。從網絡側接口進入的IP報文如果目的地是VS側用戶，則IP轉發組件查路由表把報文交給與VS相連的虛擬接口。虛擬接口查找ARP節點取得鏈路層封裝信息，之後對IP報文進行鏈路層封裝並將其放上內部數據通道。VS從內部數據通道收到數據，使用以太目的地址查找地址學習表把報文發往VS側用戶。
按上述方法構建的系統就可以使VS側的用戶訪問公網資源了，也就是說實現了「現有技術方案二」的功能，而又沒有佔用寶貴的設備對外埠。但是該方案難以滿足對安全性要求高的企業的需求，因為1.沒有地址轉換功能，因此要求VS側用戶使用公網地址，而不能使用私網地址，不能滿足構建VPLS的要求。
2.沒有防火牆，公網上的用戶可以完全訪問VS的用戶資源，具有嚴重的安全漏洞。
為了滿足VPLS企業用戶使用私網地址的要求以及VPLS企業用戶對網絡安全方面的考慮，可對上述方法進行如下改進添加了NAT組件和ACL(接入控制表)組件。NAT組件完成私網地址和公網地址的轉換；ACL組件可以配置生成多種安全策略，例如對進入數據包(源IP位址，目的IP位址，源埠，目的埠，協議)五元組匹配檢測，以保證網絡連接的安全性。圖6、圖7是本發明的改進示意圖。
地址轉換(NAT)，又稱地址代理，用來實現私有網絡地址與公有網絡地址之間的轉換。當內部網絡的主機訪問網際網路或與外部網絡的主機通信時，需要用到地址轉換。所述的NAT組件負責記錄私網地址和公網地址的映射關係，對進出NAT組件的報文進行匹配，把滿足已配置的映射關係的報文進行私網地址和公網地址的轉換。
ACL是指為了過濾數據包而配置的一些規則，規定什麼樣的數據包可以通過，什麼樣的不能通過，所述的ACL組件記錄配置的包過濾規則，對進出ACL組件的包按過濾規則逐條進行匹配，對於滿足規律規則的包，按規則指定的動作進行處理，如允許通過或丟棄。
NAT和ACL都是目前網絡設備上的成熟技術。NAT組件和ACL組件的實現方法有多種，在一般的關於網絡安全的書籍，網頁和文獻上基本都有提到。本發明對NAT組件和ACL組件的實現並沒有特殊要求，只要具備NAT和ACL功能的軟體模塊都可以被本發明使用。
參照圖6所示，從VS側私網用戶來的數據發送到虛擬接口，報文隨後交給ACL組件對報文進行五元組匹配等安全檢查，不滿足已經設定的安全策略的報文被丟棄，其餘的報文送交NAT組件進行源地址私網到公網地址空間的轉換，轉換後的報文交給IP轉發組件查路由表發送到公網。當然，也可以不使用NAT組件，這時，報文直接交給IP轉發組件查路由表發送到公網，但此時用戶無法使用私網地址。也可以不使用ACL組件，報文送交NAT組件進行源地址私網到公網地址空間的轉換，轉換後的報文交給IP轉發組件查路由表發送到公網。
參照圖7所示，網絡側接口接收到網絡側來的數據報文，首先交給ACL組件匹配配置的安全策略，非法報文被丟棄，其餘報文交給IP轉發組件查路由表。在沒有設置ACL組件的情況下，報文直接交給IP轉發組件查路由表。在路由表上，對於私網地址經NAT轉換而生成的路由，路由表項會設一NAT屬性標誌，而對公網地址生成的路由，路由表項則不設NAT屬性標誌。這樣經查路由表可以知道，報文的目的地是在私網內部的還是公網上。如果報文的目的地在私網內部，則報文目的地址能夠匹配的路由項具有NAT標誌，這類報文送交NAT組件進行目的地址的轉換，轉換後的報文再次查找路由送交虛擬接口，虛擬接口對報文進行鏈路封裝後通過內部數據通道送給VS進行交換轉發。在沒有設置NAT組件的情況下，報文查找路由後直接送交虛擬接口，虛擬接口對報文進行鏈路封裝後通過內部數據通道送給VS進行交換轉發。
上面描述的本發明的優選實施例，僅僅是為了說明的目的，本領域的一般技術人員應該意識到，不同的改進、增減都是可能的，並且都不會脫離本發明的權利要求所限定的本發明的範圍。
權利要求
1.一種虛擬交換機系統接入IP公網的方法，所述虛擬交換機系統包括由虛擬交換機組建的虛擬私有區域網段和IP轉發組件，所述方法的特徵在於包括以下步驟1)在所述虛擬交換機與所述IP轉發組件之間建立虛擬接口；2)由所述虛擬接口對來自所述虛擬交換機側用戶的數據進行處理，並將經處理的數據交給所述IP轉發組件以將其發送至IP公網；以及3)由所述虛擬接口對從所述IP轉發組件傳來的來自IP公網的數據進行處理，並將經處理的數據交給所述虛擬交換機以將其發送至虛擬交換機側的用戶。
2.根據權利要求1所述的方法，其特徵在於，所述步驟2)進一步包括以下步驟所述虛擬接口對來自所述虛擬交換機側用戶的數據進行解除以太鏈路封裝的操作，然後將經過解除鏈路封裝的數據交給所述IP轉發組件查路由表以發送給IP公網。
3.根據權利要求1所述的方法，其特徵在於，所述步驟3)進一步包括以下步驟從IP公網進入的IP報文如果目的地是虛擬交換機側的用戶，則所述IP轉發組件查路由表把報文交給與所述虛擬交換機相連的虛擬接口，所述虛擬接口查找ARP節點取得鏈路層封裝信息，之後對IP報文進行鏈路層封裝並將其傳送給所述虛擬交換機。
4.根據權利要求1所述的方法，其特徵在於，所述虛擬接口與所述虛擬交換機之間的信息交換通過內部數據通道完成，所述內部數據通道是使用所述虛擬接口與所述虛擬交換機所在設備的總線的邏輯數據通道。
5.根據權利要求4所述的方法，其特徵在於，所述內部數據通道具有唯一標識，用來區分不同的虛擬交換機系統。
6.根據權利要求1至5中任何一項所述的方法，其特徵在於，所述虛擬接口與所述IP轉發組件之間還設有存取控制表組件，用於對所述虛擬接口與所述IP轉發組件之間往來的數據進行安全檢測。
7.根據權利要求6所述的方法，其特徵在於，所述虛擬接口與IP轉發組件之間還設有網絡地址轉換組件，用於將進入所述私有區域網段的報文的目的地址由公網地址轉換為私網地址，以及將從所述私有區域網段發出的報文的源地址由私網地址轉換為公網地址。
全文摘要
本發明公開了一種虛擬交換機系統接入IP公網的方法，該方法包括1)在虛擬交換機系統的虛擬交換機與IP轉發組件之間建立虛擬接口；2)由虛擬接口對來自虛擬交換機側用戶的數據進行處理，並將經處理的數據交給IP轉發組件以將其發送至IP公網；以及3)由虛擬接口對從所述IP轉發組件傳來的來自IP公網的數據進行處理，並將經處理的數據交給虛擬交換機以將其發送至虛擬交換機側的用戶。本發明擴展了虛擬交換機系統的業務範圍，減少了VPLS用戶訪問公網時對設備埠資源的佔用，進而增加了運營商的盈利手段，降低了企業用戶使用VS組建VPLS的成本和技術難度。
文檔編號H04L12/56GK1601996SQ0316005
公開日2005年3月30日 申請日期2003年9月26日 優先權日2003年9月26日
發明者熊宇 申請人:華為技術有限公司