基於多歸屬接入的環路避免方法和邊緣設備的製作方法

2023-07-27 23:10:26 1

專利名稱：基於多歸屬接入的環路避免方法和邊緣設備的製作方法
技術領域：
本發明涉及網絡通信技術，特別涉及基於多歸屬接入的環路避免方法和邊緣設備。
背景技術：
為了保證高可靠性，實現負載分擔，目前，站點通常通過多歸屬接入運營商網絡。 圖1示出了站點通過雙歸屬接入運營商網絡的示意圖。在圖1中包含兩個站點，分別為站點1和站點2，站點1和站點2分別通過各自的兩個邊緣設備(ED)接入運營商網絡，實現互聯。為便於站點之間通信，站點之間的邊緣設備之間相互建立了點對點隧道，該點對點隧道可支持VPLS、GRE、TRILL、MacInMac等。如圖1所示，站點1的邊緣設備EDl和ED2、 以及站點2的邊緣設備ED3和ED4相互建立了點對點隧道。為了防止環路，現有技術提出了在站點的邊緣設備上使能水平分割技術，具體如圖2所示。但是，這僅適用於站點通過一個邊緣設備接入的情景。當站點通過多歸屬接入網絡時，即使站點的邊緣設備使能水平分割技術，異地站點的二層網絡之間也可能會形成大的環路，具體如圖3所示的環路(在圖3中用粗線表示)，這會導致廣播風暴。

發明內容
本發明提供了基於多歸屬接入的環路避免方法和邊緣設備，以避免異地站點二層網絡之間可能形成的環路。本發明提供的技術方案包括—種基於多歸屬接入的環路避免方法，該方法應用於包含兩個以上虛擬專用網絡 (VPN)站點的場景中，每一 VPN站點包含至少兩個邊緣設備，每一邊緣設備執行以下操作步驟A，與同一 VPN站點的其他邊緣設備交互以選舉出主設備；步驟B，作為主設備時，為同一 VPN站點中所有邊緣設備授權轉發實例，不作為主設備時，從選舉出的主設備中獲取被授權的轉發實例；步驟C，允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。一種應用於VPN站點中的邊緣設備，包括選舉單元，用於與同一 VPN站點的其他邊緣設備交互以選舉出主設備；分配單元，用於在所述選舉單元選舉的主設備為所述邊緣設備時，為所述站點中所有邊緣設備授權轉發實例；獲取單元，用於在所述選舉單元選舉的主設備不為所述邊緣設備時，從所述主設備獲取為所述邊緣設備分配的授權轉發實例；控制單元，用於允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。
由以上技術方案可以看出，本發明中，通過從同一站點的所有邊緣設備中選舉出主設備；所述主設備為同一站點中每一邊緣設備分配授權的轉發實例；每一邊緣設備允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網，能夠實現每個轉發實例的所有流量即出公網的所有流量集中在同一個邊緣設備，不會傳遞給其他轉發實例，這可以優化異地VPN站點互聯時可能出現的二層環路，並且，即使在轉發實例的流量出現轉發故障時，由於該轉發實例的流量集中在同一個邊緣設備，可以將故障限制在單個VPN站點內部，不會影響到其他VPN站點。


圖1示出了站點通過雙歸屬接入運營商網絡的示意圖；圖2為邊緣設備使能水平分割技術的示意圖；圖3為異地站點二層網絡之間可能形成的環路示意圖；圖4為本發明實施例提供的基本流程圖；圖5為本發明實施例提供的詳細流程圖；圖6為本發明實施例提供的各個站點中每一邊緣設備上的VLAN示意圖；圖7為本發明實施例提供的為邊緣設備授權VLAN的示意圖；圖8為本發明實施例提供的站點分離後為邊緣設備授權VLAN的示意圖；圖9為本發明實施例提供的裝置結構圖。
具體實施例方式為了使本發明的目的、技術方案和優點更加清楚，下面結合附圖和具體實施例對本發明進行詳細描述。參見圖4，圖4為本發明實施例提供的方法流程圖。該方法應用於包含兩個以上虛擬專用網絡(VPN)站點的場景。其中，VPN站點是針對用戶側的，其包含至少兩個邊緣設備。所謂邊緣設備，其用於將轉發實例的流量轉發至公網，終結轉發實例的從公網進入該 VPN站點的流量。為避免環路，本發明需要為邊緣設備授權轉發實例，保證邊緣設備僅將其授權的轉發實例的流量轉發至公網，終結其授權的轉發實例從公網進入VPN站點的流量， 具體參見圖4中的各個步驟。在圖4中，每一 VPN站點中的每一邊緣設備執行以下步驟步驟401，與同一 VPN站點的其他邊緣設備交互以選舉出主設備。步驟402，作為主設備時，為同一 VPN站點中所有邊緣設備授權轉發實例，不作為主設備時，從選舉出的主設備中獲取被授權的轉發實例。步驟403，允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。在上面描述中，轉發實例進出公網的流量具體可包括該轉發實例中從站點進入公網的流量和該轉發實例從公網出來進入站點的流量。可以看出，通過圖4所示的流程，能夠實現每個轉發實例進出公網流量集中在同一個邊緣設備。也就是說，通過圖4所示的流程，每一轉發實例進出公網的所有流量通過同一個邊緣設備進出公網，不會傳遞給其他轉發實例，這可以優化異地VPN站點互聯時可能出現的二層環路，並且，即使在轉發實例的流量出現轉發故障時，由於該轉發實例的流量集中在同一個邊緣設備，可以將故障限制在單個VPN站點內部，不會影響到其他VPN站點。下文為便於描述，將VPN站點稱為站點。另外，在上面描述中，轉發實例可為VLAN。下面對圖4所示的本發明流程進行詳細描述。在詳細描述本發明流程之前，先對邊緣設備維護的VLAN進行細分本地指定VLAN(LDV Local Designated VLAN)用來與本地站點交互協商報文如 Hello報文使用的VLAN，全局唯一，其為控制平面上的VLAN。其中，通過該VLAN中的協商報文能夠選舉出上述的主設備，具體見下文步驟601至步驟602的描述。本地配置的VLAN(LCV :Local Configured VLANs)邊緣設備本身帶有的VLAN，全局一份，用於幫助邊緣設備確定與異地站點進行協商的VLAN，具體見下文的LPV描述。本地需要擴充的VLAN (LEV Local Extended VLANs)通常，針對邊緣設備，為保證應用，除了其本身帶有的LCV外，還需要在該邊緣設備上擴充一些VLAN，該擴充的VLAN以列表形式被配置在本邊緣設備上，記為LEV，該LEV用於與異地站點中邊緣設備進行交互，本發明所述的為邊緣設備授權轉發實例，實質是為邊緣設備授權LEV。本地授權VLAN (LAV Local Authorized VLANs)當LEV授權給本邊緣設備時，該 LEV就稱為LAV，是本邊緣設備配置的LEV的子集，為控制平面上的LEV，全局保存一份。本地需要與對端進行協商的VLAN (LPV :Local Prepared VLANs)本邊緣設備準備好的需要與對端(這裡的對端為異地站點的邊緣設備)進行協商的VLAN，全局一份，是 and (LAV, LCV)的結果，其可通過P2P ISIS Hello報文通告至對端。對端需要與本邊緣設備進行協商的VLAN(RPV :Remote Prepared VLANs)對端準備好與本邊緣設備進行協商的VLAN，其由對端通過P2PISIS Hello報文通告給本邊緣設備。本地轉發VLAN(LFV :Local Forwarding VLANs)其為數據平面上的VLAN，用於在數據平面指導報文轉發，是and(LPV，RPV)的結果。為便於理解上述的各個VLAN，圖5給出了各個站點中每一邊緣設備上細分的VLAN 示意圖，具體如圖5所示。下面基於圖5，通過圖6對本發明流程進行詳細描述參見圖6，圖6為本發明實施例提供的詳細流程圖。如圖6所示，該流程可包括以下步驟步驟601，同一站點(以站點1為例)中的每一邊緣設備在啟動後發送協商報文。本步驟601中的協商報文可為ISIS Hello報文，其攜帶了發送該協商報文的邊緣設備的MAC地址和/或優先級。步驟602，站點1的所有邊緣設備根據ISIS Hello報文攜帶的邊緣設備的MAC地址和/或優先級選舉出一個來擔任主設備(DED designated Edge Device)。在每一邊緣設備啟動後，默認自己不是DED，必須經過重新選舉才能確定出DED。 至於步驟602中DED的選舉，其是以協商報文攜帶的邊緣設備MAC地址和優先級為依據的， 具體實現時可為同一站點的所有邊緣設備根據接收的協商報文攜帶的邊緣設備的優先級中選擇出優先級最高、最低或優先級為某一設定值的邊緣設備，如果選擇出多個邊緣設備，則再從選擇出的邊緣設備中選擇出MAC地址最大或者最小的邊緣設備，將再次選擇出的邊緣設備作為DED。而如果以邊緣設備的MAC地址或優先級為依據，這裡以優先級為例，MAC 地址原理類似，則步驟602中的選舉具體實現時可包括同一站點的所有邊緣設備根據接收的協商報文攜帶的邊緣設備的優先級中選擇出優先級最高、最低或優先級為某一設定值的邊緣設備，如果選擇出的邊緣設備的數量大於1，則可從選擇出的邊緣設備中協商出一個作為DED，如果僅選擇出一個邊緣設備，則將該被選擇出的邊緣設備作為DED。步驟603，DED為站點1中的每一邊緣設備分配授權的LAV。具體地，本步驟603具體實現時可包括DED針對每一邊緣設備配置的LEV (站點1 中的所有邊緣設備向主設備通告其配置的LEV)，如果該LEV僅被配置在該發送通告的邊緣設備，即該LEV沒有任何競爭關係，則授權該LEV為該發送通告的邊緣設備，而如果該LEV 也被配置在其他邊緣設備上(這可根據該其他邊緣設備通告的LEV確定)，即該LEV存在競爭關係，則按照以下步驟確定到底將該LEV授權給哪一個邊緣設備步驟1，對配置了該LEV的邊緣設備從初始值比如0開始編號。步驟2，用該LEV的標識除以配置了該LEV的邊緣設備的數量，得到餘數。本步驟 2具體可通過下式計算f (VLAN ID) = (VLAN ID) % Number of ED ；其中，VLAN ID為LEV的標識，Number of ED為配置了該LEV的邊緣設備的數量，％ 為取餘，f (VLAN ID)為得到的餘數。步驟3，從配置了該LEV的邊緣設備中選取出編號與所述餘數對應的邊緣設備。比如，步驟1是從0開始對配置了該LEV的邊緣設備進行編號，步驟2得到的餘數為1，則本步驟3可將該LEV配置為編號為1的邊緣設備。可以看出，通過上述步驟1至步驟3能夠分配有競爭關係的LEV給對應的邊緣設備。當然，在典型的雙歸屬情況下，則可簡單地按照LEV的奇偶分配LEV給對應的邊緣設備，具體在圖7中進行了體現。在圖7中，以站點3為例，奇數LEV的流量從站點3的邊緣設備1進出公網(用—表示)，而偶數LEV的流量從站點3的邊緣設備2進出公網(用
_表示)，而邊緣設備1和邊緣設備2之間的鏈路由於沒有VLAN通過，不承載流量
(用灰色鏈路表示)
如此，通過步驟603，即可實現DED為同一站點中每一邊緣設備分配LAV。為便於描述，可將被分配了 LAV的邊緣設備稱為該LAV的指定邊緣轉發器(AEF =Apointed Edge Forwarder)。該AEF可執行以下功能1，控制是否允許其分配的LAV的流量進出公網，承載該LAV的隧道流量；2，從解封裝的隧道報文中學習該LAV的MAC地址，以及偵聽該LAV的虛擬以太連結上的IGMP、MLD、MRD報文學習組播成員和路由器信息等。步驟604，每一邊緣設備利用其分配的LAV和自身維護的LCV計算LPV，通過P2P ISIS Hello報文通告該計算的LPV給異地站點的邊緣設備，以及根據異地站點的邊緣設備通過P2P ISIS Hello報文通告的RPV計算LFV，將計算的LFV下發至數據平面。本步驟604中LPV的計算可通過公式1實現LPV = and (LAV、LCV)；(公式 1)本步驟604中LFV的計算可通過公式2實現
9
LFV = and (LPV, RPV)。(公式 2)步驟605，每一邊緣根據該數據平面記載的LFV控制流量，具體為允許數據平面記載的LFV的流量進出公網，阻塞其他VLAN的流量進出公網。至此，完成圖6所示的流程。通常，邊緣設備的LAV並非固定不變，其會隨著網絡拓撲、業務需求等情況發生變化，當邊緣設備的LAV發生變化時，該邊緣設備按照上述公式1根據變化後的LAV重新計算 LPV，通過P2P ISIS Hello報文將計算的LPV(相對於該對端而言，該通告的LPV稱為RPV) 通告給異地站點的邊緣設備，並按照上述公式2根據對端通告的RPV和自身計算的LPV重新計算LFV，並用重新計算的LFV更新數據平面中的LFV。其中，用重新計算的LFV更新數據平面中的LFV具體可包括相比於數據平面中的LFV，在LFV增加時，允許該被增加的LFV 進出公網的流量通過，在數據平面添加被增加的LFV對應的MAC地址，並向異地站點的邊緣設備通告該被增加的LFV對應的MAC路由；在LFV減少時，阻塞該被減少的LFV進出公網的流量，在數據平面刪除該被減少的LFV對應的MAC地址，並向異地站點的邊緣設備通告刪除該被減少的LAV對應的MAC路由。優選地，上述的MAC路由可通過ISIS LSP通告。在本發明中，每一站點的所有邊緣設備用於周期性的發送協商報文如ISIS Hello 報文，以保證鄰居關係穩定。其中，當同一站點中除DED之外的邊緣設備在設定時間TO內沒有收到DED的ISIS Hello報文時，則對所有VLAN進出公網的流量阻塞設定時間Tl (該Tl 可根據經驗值設定，通常為2至3秒)，並根據已收到的來自其他邊緣設備的ISIS Hello報文所攜帶的邊緣設備的MAC地址和/或優先級重新選舉一個擔任DED，由該重新選舉的DED 為同一站點中每一邊緣設備分配授權的LAV，此時之前被選舉的DED不再為DED，每一邊緣設備在該重新選舉的主設備分配的LAV相比於之前被分配的LAV發生變化時，根據該發生變化的LAV在數據平面更新對應的LFV。該邊緣設備根據該發生變化的LAV更新LFV的操作具體如上所述，這裡不再贅述。另外，本發明中，當一站點被分裂成至少兩個站點時，則針對被分裂成的每一站點，該站點的每一邊緣設備對發生生成樹(STP)拓撲變化的LAV進出公網的流量阻塞設定時間T2(該Τ2可根據實際情況或者經驗設置，這裡可取30秒)，並在Tl內沒有收到來自 DED的ISIS Hello報文時，重新選舉主設備的操作，具體為如果該站點中僅有該邊緣設備，則重新選舉該邊緣設備為DED，繼續執行上述的重新選舉的DED為同一站點中每一邊緣設備分配LAV的操作，如果該站點還有其他邊緣設備，則繼續執行上述的重新選舉DED的操作。以圖7所示的站點3為例，如圖7所示，如果該站點3分裂成兩個站點，分別為站點4 和站點5，其中，邊緣設備1處於站點4中，邊緣設備2處於站點5中，則根據上面描述，由於站點3僅有邊緣設備1，站點4僅有邊緣設備2，則邊緣設備1和邊緣設備2都會成為其所處的站點的DED，此時，邊緣設備1和2到達公網側的所有虛擬連接都承載VLAN，包括圖 7中邊緣設備1和邊緣設備2之間的粗線，具體見圖8所示。而當兩個以上的站點融合成一個站點時，該新站點中的每一邊緣設備識別與自身處於同一站點的邊緣設備，並對有衝突的VLAN(即該VLAN在該新站點中同時被至少兩個邊緣設備確定為用於指導報文轉發)進出公網的流量阻塞設定時間T3(該Τ3可根據實際情況或經驗者設定，這裡可設定為30秒)；之後根據接收的協商報文如ISIS Hello報文所攜帶的邊緣設備的MAC地址和/或優先級重新選舉一個擔任DED，繼續執行上述的重新選舉的主設備為同一站點中每一邊緣設備分配LAV的操作。其中，上述的邊緣設備識別與自身處於同一站點的邊緣設備可包括根據來自其他邊緣設備發送的協商報文如ISIS Hello報文識別與自身處於同一站點的邊緣設備。通常，只有同一站點中的邊緣設備之間才發送協商報文如ISIS Hello報文，而不同站點的邊緣設備之間發送P2P ISIS Hello報文，因此，當一邊緣設備接收到其他邊緣設備發送的 ISIS Hello報文時，則確定自身和該發送了 ISIS Hello報文的邊緣設備處於同一站點，而當接收到其他邊緣設備發送的P2P ISIS Hello報文時，則確定自身和該發送了 P2P ISIS Hello報文的邊緣設備不處於同一站點。至此，完成本發明實施例提供的方法。下面對本發明實施例提供的裝置進行描述。參見圖9，圖9為本發明實施例提供的裝置結構圖。該裝置可為應用於站點中的邊緣設備，如圖9所示，該裝置可包括選舉單元，用於與同一 VPN站點的其他邊緣設備交互以選舉出主設備；其中，選舉單元在啟動後發送攜帶了所述邊緣設備MAC地址和/或優先級的協商報文，將所述邊緣設備的MAC地址和/或優先級，以及同一 VPN節點中其他邊緣設備發送的協商報文作為依據選舉主設備。分配單元，用於在所述選舉單元選舉的主設備為所述邊緣設備時，為所述站點中所有邊緣設備授權轉發實例；其中，本發明中，所述分配單元通過以下步驟為所述站點中所有邊緣設備授權轉發實例針對同一 VPN站點中每一邊緣設備配置的每一轉發實例，如果該轉發實例僅被配置在該邊緣設備上，則授權該轉發實例給該邊緣設備，如果該轉發實例還同時被配置在其他邊緣設備，則根據該轉發實例的標識和配置了該轉發實例的邊緣設備的數量確定出一個邊緣設備，授權該轉發實例給該確定的邊緣設備。獲取單元，用於在所述選舉單元選舉的主設備不為所述邊緣設備時，從所述主設備獲取為所述邊緣設備分配的授權轉發實例；控制單元，用於允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。 優選地，如圖9所示，所述邊緣設備還包括第一處理單元，用於周期性地發送協商報文，在設定時間TO內未收到來自主設備的協商報文時，對所有轉發實例進出公網的流量阻塞設定時間Tl，並根據其他邊緣設備發送的攜帶了 MAC地址和/或優先級的協商報文作為依據重新選舉一個擔任主設備；第二處理單元，用於在所述邊緣設備被重新選舉為主設備時，為同一 VPN站點中每一邊緣設備授權轉發實例；在不被重新選舉為主設備時，從重新選舉出的主設備中獲取被授權的轉發實例，並在該獲取的授權轉發實例相比於之前被授權的轉發實例發生變化時，更新該發生變化的授權轉發實例。第三處理單元，用於當所在的VPN站點被分裂成至少兩個站點時，對發生生成樹 STP拓撲變化的轉發實例進出公網的流量阻塞設定時間T2，並在設定時間TO內未收到來自主設備的協商報文時，返回所述第一處理單元重新選舉主設備的操作，其中，所述Tl小於 T2。第四處理單元，用於當所處的VPN站點與其他VPN站點融合成一個新的VPN站點時，識別新VPN站點中的其他邊緣設備，對有衝突的轉發實例進出公網的流量阻塞設定時間T3，返回所述第一處理單元重新選舉主設備的操作；其中，當轉發實例被同時授權給新 VPN站點中至少兩個邊緣設備時，確定該轉發實例為有衝突的轉發實例。優選地，如圖9所示，所述控制單元具體實現時可包括確定子單元，用於根據被授權的轉發實例確定用於在數據平面指導報文轉發的轉發實例；控制子單元，用於允許所述確定子單元確定的轉發實例的流量進出公網，阻塞其他轉發實例的流量進出公網。基於此，本實施例中，所述第二處理單元在更新發生變化的授權轉發實例時進一步根據發生變化的授權轉發實例重新確定用於在數據平面指導報文轉發的轉發實例，利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例。其中，所述第二處理單元根據發生變化的授權轉發實例確定用於在數據平面指導報文轉發的轉發實例包括根據發生變化的授權轉發實例確定用於與異地VPN站點中邊緣設備進行協商的轉發實例，將確定的用於與異地VPN站點中邊緣設備進行協商的轉發實例通告給異地VPN站點中的邊緣設備，以供異地VPN站點的邊緣設備根據通告的轉發實例更新已確定的用於在數據平面指導報文轉發的轉發實例，並根據確定的轉發實例確定用於在數據平面指導報文轉發的轉發實例。優選地，本實施例中，所述邊緣設備還包括第五處理單元，用於接收到異地VPN站點中邊緣設備通告的用於和自身進行協商的轉發實例，根據該通告的轉發實例重新確定用於在數據平面指導報文轉發的轉發實例， 利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例。其中，第二處理單元或者第五處理單元利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例具體可包括針對重新確定的轉發實例與之前已確定的用於在數據平面指導報文轉發的轉發實例進行比較，如果是增加，則在數據平面添加該被增加的轉發實例對應的MAC地址，並向異地站點的邊緣設備通告該被增加的轉發實例對應的MAC路由，如果是減少，則在數據平面刪除該被減少的轉發實例對應的MAC地址，並向異地站點的邊緣設備通告刪除該被減少的轉發實例對應的MAC路由。至此，完成本發明實施例提供的邊緣設備的描述。由以上技術方案可以看出，本發明中，通過從同一站點的所有邊緣設備中選舉出主設備；所述主設備為同一站點中每一邊緣設備分配授權的轉發實例；每一邊緣設備允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網，能夠實現每個轉發實例的所有流量即出公網的所有流量集中在同一個邊緣設備，不會傳遞給其他轉發實例，這可以優化異地VPN站點互聯時可能出現的二層環路，並且，即使在轉發實例的流量出現轉發故障時，由於該轉發實例的流量集中在同一個邊緣設備，可以將故障限制在單個VPN站點內部，不會影響到其他VPN站點。以上所述僅為本發明的較佳實施例而已，並不用以限制本發明，凡在本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明保護的範圍之內。
權利要求
1.一種基於多歸屬接入的環路避免方法，應用於包含兩個以上虛擬專用網絡VPN站點的場景中，每一 VPN站點包含至少兩個邊緣設備，其特徵在於，每一邊緣設備執行以下操作步驟A，與同一 VPN站點的其他邊緣設備交互以選舉出主設備； 步驟B，作為主設備時，為同一 VPN站點中所有邊緣設備授權轉發實例，不作為主設備時，從選舉出的主設備中獲取被授權的轉發實例；步驟C，允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。
2.根據權利要求1所述的方法，其特徵在於，步驟A中，邊緣設備在啟動後發送攜帶了自身MAC地址和/或優先級的協商報文，並將自身MAC地址和/或優先級、以及同一 VPN站點中其他邊緣設備發送的協商報文作為選舉主設備的依據。
3.根據權利要求1所述的方法，其特徵在於，步驟B中，為同一VPN站點中所有邊緣設備授權轉發實例包括針對同一 VPN站點中每一邊緣設備配置的每一轉發實例，如果該轉發實例僅被配置在該邊緣設備上，則授權該轉發實例給該邊緣設備，如果該轉發實例還同時被配置在其他邊緣設備，則根據該轉發實例的標識和配置了該轉發實例的邊緣設備的數量確定出一個邊緣設備，授權該轉發實例給該確定的邊緣設備。
4.根據權利要求3所述的方法，其特徵在於，所述根據轉發實例的標識和配置了轉發實例的邊緣設備的數量確定出一個邊緣設備包括對配置了該轉發實例的邊緣設備從初始值開始編號；用該轉發實例的標識除以配置了該轉發實例的邊緣設備的數量，得到餘數；從配置了該轉發實例的邊緣設備中選取出編號與所述餘數對應的邊緣設備。
5.根據權利要求1所述的方法，其特徵在於，所述每一邊緣設備還執行以下操作 步驟D，周期性地發送協商報文，並在設定時間TO內未收到來自主設備的協商報文時，對所有轉發實例進出公網的流量阻塞設定時間Tl，根據其他邊緣設備發送的攜帶了 MAC地址和/或優先級的協商報文作為依據重新選舉一個擔任主設備；步驟E，在被重新選舉為主設備時，為同一 VPN站點中每一邊緣設備授權轉發實例；在不被重新選舉為主設備時，從重新選舉出的主設備中獲取被授權的轉發實例，並在該獲取的授權轉發實例相比於之前被授權的轉發實例發生變化時，更新該發生變化的授權轉發實例。
6.根據權利要求5所述的方法，其特徵在於，所述每一邊緣設備還執行以下操作當所在的VPN站點被分裂成至少兩個站點時，對發生生成樹STP拓撲變化的轉發實例進出公網的流量阻塞設定時間T2，並在設定時間TO內未收到來自主設備的協商報文時，返回執行步驟D中重新選舉主設備的操作； 其中，所述Tl小於T2。
7.根據權利要求5所述的方法，其特徵在於，所述每一邊緣設備還執行以下操作當所處的VPN站點與其他VPN站點融合成一個新的VPN站點時，識別新VPN站點中的其他邊緣設備，對有衝突的轉發實例進出公網的流量阻塞設定時間T3，並返回步驟D中重新選舉主設備的操作；其中，當轉發實例被同時授權給新VPN站點中至少兩個邊緣設備時，確定該轉發實例為有衝突的轉發實例。
8.根據權利要求5至7任一所述的方法，其特徵在於，步驟C包括 根據其授權的轉發實例確定用於在數據平面指導報文轉發的轉發實例；允許其確定的轉發實例的流量進出公網，阻塞其他轉發實例的流量進出公網。
9.根據權利要求8所述的方法，其特徵在於，更新發生變化的授權轉發實例進一步包括根據發生變化的授權轉發實例重新確定用於在數據平面指導報文轉發的轉發實例； 利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例。
10.根據權利要求9所述的方法，其特徵在於，所述根據發生變化的授權轉發實例確定用於在數據平面指導報文轉發的轉發實例包括根據發生變化的授權轉發實例確定用於與異地VPN站點中邊緣設備進行協商的轉發實例；根據確定的轉發實例確定用於在數據平面指導報文轉發的轉發實例。
11.根據權利要求10所述的方法，其特徵在於，確定用於與異地VPN站點中邊緣設備進行協商的轉發實例進一步包括將確定的用於與異地VPN站點中邊緣設備進行協商的轉發實例通告給異地VPN站點中的邊緣設備，以供異地VPN站點的邊緣設備根據通告的轉發實例更新已確定的用於在數據平面指導報文轉發的轉發實例。
12.根據權利要求10所述的方法，其特徵在於，所述每一邊緣設備還執行以下操作 接收到異地VPN站點中邊緣設備通告的用於和自身進行協商的轉發實例，根據該通告的轉發實例重新確定用於在數據平面指導報文轉發的轉發實例，利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例。
13.根據權利要求9或13所述的方法，其特徵在於，利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例包括針對重新確定的轉發實例與之前已確定的用於在數據平面指導報文轉發的轉發實例進行比較，如果是增加，則在數據平面添加該被增加的轉發實例對應的MAC地址，並向異地站點的邊緣設備通告該被增加的轉發實例對應的MAC路由，如果是減少，則在數據平面刪除該被減少的轉發實例對應的MAC地址，並向異地站點的邊緣設備通告刪除該被減少的轉發實例對應的MAC路由。
14.一種應用於VPN站點中的邊緣設備，其特徵在於，所述邊緣設備包括 選舉單元，用於與同一 VPN站點的其他邊緣設備交互以選舉出主設備；分配單元，用於在所述選舉單元選舉的主設備為所述邊緣設備時，為所述站點中所有邊緣設備授權轉發實例；獲取單元，用於在所述選舉單元選舉的主設備不為所述邊緣設備時，從所述主設備獲取為所述邊緣設備分配的授權轉發實例；控制單元，用於允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。
15.根據權利要求14所述的邊緣設備，其特徵在於，所述選舉單元在啟動後發送攜帶了所述邊緣設備MAC地址和/或優先級的協商報文，並將所述邊緣設備的MAC地址和/或優先級，以及同一 VPN節點中其他邊緣設備發送的協商報文作為依據選舉主設備。
16.根據權利要求14所述的邊緣設備，其特徵在於，所述分配單元用於針對同一VPN站點中每一邊緣設備配置的每一轉發實例，如果該轉發實例僅被配置在該邊緣設備上，則授權該轉發實例給該邊緣設備，如果該轉發實例還同時被配置在其他邊緣設備，則根據該轉發實例的標識和配置了該轉發實例的邊緣設備的數量確定出一個邊緣設備，授權該轉發實例給該確定的邊緣設備。
17.根據權利要求14所述的邊緣設備，其特徵在於，所述邊緣設備還包括第一處理單元，用於周期性發送協商報文，並在設定時間TO內未收到來自主設備的協商報文時，則對所有轉發實例進出公網的流量阻塞設定時間Tl，並根據其他邊緣設備發送的攜帶了 MAC地址和/或優先級的協商報文作為依據重新選舉一個擔任主設備；第二處理單元，用於在所述邊緣設備被重新選舉為主設備時，為同一 VPN站點中每一邊緣設備授權轉發實例；在不被重新選舉為主設備時，從重新選舉出的主設備中獲取被授權的轉發實例，並在該獲取的授權轉發實例相比於之前被授權的轉發實例發生變化時，更新該發生變化的授權轉發實例。
18.根據權利要求17所述的邊緣設備，其特徵在於，所述邊緣設備進一步包括第三處理單元，用於當所在的VPN站點被分裂成至少兩個站點時，對發生生成樹STP拓撲變化的轉發實例進出公網的流量阻塞設定時間T2，並在設定時間TO內未收到來自主設備的協商報文時，返回所述第一處理單元重新選舉主設備的操作，其中，所述Tl小於T2。
19.根據權利要求17所述的邊緣設備，其特徵在於，所述邊緣設備進一步包括第四處理單元，用於當所處的VPN站點與其他VPN站點融合成一個新的VPN站點時，識別新VPN站點中的其他邊緣設備，對有衝突的轉發實例進出公網的流量阻塞設定時間T3， 返回所述第一處理單元重新選舉主設備的操作；其中，當轉發實例被同時授權給新VPN站點中至少兩個邊緣設備時，確定該轉發實例為有衝突的轉發實例。
20.根據權利要求17至19任一所述的邊緣設備，其特徵在於，所述控制單元包括確定子單元，用於根據被授權的轉發實例確定用於在數據平面指導報文轉發的轉發實例； 控制子單元，用於允許所述確定子單元確定的轉發實例的流量進出公網，阻塞其他轉發實例的流量進出公網。
21.根據權利要求20所述的邊緣設備，其特徵在於，所述第二處理單元在更新發生變化的授權轉發實例時進一步根據發生變化的授權轉發實例重新確定用於在數據平面指導報文轉發的轉發實例，利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例。
22.根據權利要求21所述的邊緣設備，其特徵在於，所述第二處理單元根據發生變化的授權轉發實例確定用於在數據平面指導報文轉發的轉發實例包括根據發生變化的授權轉發實例確定用於與異地VPN站點中邊緣設備進行協商的轉發實例，將確定的用於與異地VPN站點中邊緣設備進行協商的轉發實例通告給異地VPN站點中的邊緣設備，以供異地VPN站點的邊緣設備根據通告的轉發實例更新已確定的用於在數據平面指導報文轉發的轉發實例，並根據確定的轉發實例確定用於在數據平面指導報文轉發的轉發實例。
23.根據權利要求22所述的邊緣設備，其特徵在於，所述邊緣設備還包括 第五處理單元，用於接收到異地VPN站點中邊緣設備通告的用於和自身進行協商的轉發實例，根據該通告的轉發實例重新確定用於在數據平面指導報文轉發的轉發實例，利用重新確定的轉發實例更新之前已確定的用於在數據平面指導報文轉發的轉發實例。
全文摘要
本發明提供了基於多歸屬接入的環路避免方法和邊緣設備，在該方法中，每一邊緣設備執行以下操作步驟A，與同一VPN站點的其他邊緣設備交互以選舉出主設備；步驟B，作為主設備時，為同一VPN站點中所有邊緣設備授權轉發實例，不作為主設備時，從選舉出的主設備中獲取被授權的轉發實例；步驟C，允許其授權的轉發實例的流量進出公網，阻塞其未被授權的轉發實例的流量進出公網。
文檔編號H04L12/24GK102340434SQ201110190119
公開日2012年2月1日 申請日期2011年7月7日 優先權日2011年7月7日
發明者周萬 申請人:杭州華三通信技術有限公司