專利名稱:入口vlan vcl的出口處理的制作方法
技術(shù)領(lǐng)域:
本申請通常涉及虛擬局域網(wǎng)��,更具體地�,涉及網(wǎng)絡(luò)分組處理系統(tǒng)和網(wǎng)絡(luò)分組處理的方法。
背景技術(shù):
虛擬局域網(wǎng)(VLAN)通常是一組具有共同需求集合的局域網(wǎng)(LAN)�,其可進(jìn)行通信就好像它們附著到相同的廣播域����,而不管它們的實(shí)際位置����。某些VLAN能夠直接與另一個(gè)公共VLAN進(jìn)行通信,但不能夠彼此直接進(jìn)行通信����。例如,工程和客戶支持VLAN的每一個(gè)都能夠?qū)I(yè)務(wù)路由到因特網(wǎng)VLAN�����,但不能夠在彼此之間直接路由業(yè)務(wù)��。VLAN的配置可以基本上使用訪問控制列表(ACL)以軟件來執(zhí)行���,其中ACL可提供分組過濾和業(yè)務(wù)流控制�。用戶想要以能夠規(guī)定控制特定源和目的地VLAN之間的業(yè)務(wù)的策略的簡單方式實(shí)現(xiàn)VLAN之間的訪問控制��。然而�,源VLAN僅在預(yù)路由(pre-routing)查找階段可用,而目的地VLAN僅在后路由(post-routing)查找階段可用。因此��,在實(shí)現(xiàn)ACL時(shí)橋接這些完全不同的信息的方式將會(huì)證明對本領(lǐng)域是有利的����。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種網(wǎng)絡(luò)分組處理系統(tǒng)和網(wǎng)絡(luò)分組處理的方法�。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)分組處理系統(tǒng)包括源和目的地虛擬局域網(wǎng)(VLAN)���,其通過網(wǎng)絡(luò)路由設(shè)備間接地連接���。另外,網(wǎng)絡(luò)分組處理系統(tǒng)包括元數(shù)據(jù)生成器�,其被連接以對于將要在源和目的地VLAN之間路由的網(wǎng)絡(luò)分組提供元數(shù)據(jù),其中元數(shù)據(jù)從網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息��。網(wǎng)絡(luò)分組處理系統(tǒng)還包括訪問控制列表(ACL)���,其用于指定網(wǎng)絡(luò)分組在源和目的地VLAN之間的路由�,其使用來自元數(shù)據(jù)的預(yù)路由源VLAN信息和來自網(wǎng)絡(luò)分組的后路由目的地VLAN信息�。在另一個(gè)方面,網(wǎng)絡(luò)分組處理的方法包括提供通過網(wǎng)絡(luò)路由設(shè)備連接的間接鏈接的源和目的地虛擬局域網(wǎng)(VLAN)��,以及定義規(guī)定源和目的地VLAN之間的網(wǎng)絡(luò)業(yè)務(wù)的訪問控制列表(ACL)。該方法還包括對于將要在源和目的地VLAN之間路由的網(wǎng)絡(luò)分組生成元數(shù)據(jù)�,其中元數(shù)據(jù)從網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息。該方法還包括應(yīng)用ACL以用于使用來自元數(shù)據(jù)的預(yù)路由源VLAN信息和來自網(wǎng)絡(luò)分組的后路由目的地VLAN信息來路由網(wǎng)絡(luò)分組�。前面已經(jīng)概括了本發(fā)明的優(yōu)選和可選特征,以使得本領(lǐng)域的普通技術(shù)人員可以更好地理解下面的本發(fā)明的詳細(xì)說明����。本發(fā)明的其它特征將在下文進(jìn)行描述,其組成本發(fā)明的權(quán)利要求的主題��。本領(lǐng)域的普通技術(shù)人員將知道他們能夠容易地使用所公開的概念和特 定的實(shí)施例作為基礎(chǔ)以設(shè)計(jì)或修改其它實(shí)現(xiàn)本發(fā)明的相同目的的結(jié)構(gòu)��。
現(xiàn)在參照以下結(jié)合附圖的說明書��,其中:圖1表示根據(jù)本發(fā)明的原理構(gòu)建的網(wǎng)絡(luò)分組處理系統(tǒng)的實(shí)施例的框圖���;圖2A��、2B���、2C和2D表示可在圖1的網(wǎng)絡(luò)分組處理系統(tǒng)中應(yīng)用的所選擇的路由實(shí)施例的例子;圖3表示根據(jù)本發(fā)明的原理實(shí)現(xiàn)的網(wǎng)絡(luò)分組處理的方法的實(shí)施例的流程圖���。
具體實(shí)施例方式本發(fā)明的實(shí)施例向用戶提供以更簡單的方式實(shí)現(xiàn)虛擬局域網(wǎng)(VLAN)之間的訪問控制的能力��,其獨(dú)立于VLAN的IP子網(wǎng)絡(luò)或者網(wǎng)絡(luò)分組中的IP地址�,這兩者的變化范圍很大并且更難預(yù)測。另外�,在配置ACL時(shí),用戶不需要知道VLAN的IP地址或者用戶正在進(jìn)行通信�,從而考慮更實(shí)際和穩(wěn)定的用戶配置。圖1表示根據(jù)本發(fā)明的原理構(gòu)建的網(wǎng)絡(luò)分組處理系統(tǒng)(通常被標(biāo)記為100)的實(shí)施例的框圖����。網(wǎng)絡(luò)分組處理系統(tǒng)100包括源和目的地虛擬局域網(wǎng)(VLAN) 105��、110和網(wǎng)絡(luò)路由設(shè)備115���。通常��,網(wǎng)絡(luò)路由設(shè)備115可以是路由器或具有路由能力的交換機(jī)��,其可以是互連VLAN的一部分�����。在所說明的實(shí)施例中�����,網(wǎng)絡(luò)路由設(shè)備115是具有路由能力的交換機(jī)�����,并包括分組路由器120��、元數(shù)據(jù)生成器125和訪問控制列表(ACL) 130�����。源和目的地VLAN105U10通過網(wǎng)絡(luò)路由設(shè)備115間接地連接�。分組路由器120被用于在網(wǎng)絡(luò)路由設(shè)備115內(nèi)路由網(wǎng)絡(luò)分組。雖然沒有直接示出�����,但網(wǎng)絡(luò)路由設(shè)備115可以連接到其它路由設(shè)備或VLAN�。元數(shù)據(jù)生成器125被連接以對于將要在源和目的地VLAN105、110之間路由的網(wǎng)絡(luò)分組提供元數(shù)據(jù)����,其中,元數(shù)據(jù)從網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息���。ACL130規(guī)定網(wǎng)絡(luò)分組在源和目的地VLANl 05�、110之間的路由,其中��,使用來自元數(shù)據(jù)的預(yù)路由源VLAN信息和來自網(wǎng)絡(luò)分組的后路由目的地VLAN信息��。本發(fā)明的實(shí)施例提供了用于僅在預(yù)路由查找階段可用的源VLAN和僅在后路由查找階段可用的目的地VLAN的方案��。預(yù)路由查找階段通?���?砂╒LAN分配階段、OSI第二層查找階段���、分類階段和路由查找階段。后路由查找階段在分組路由完成之后發(fā)生���,并涉及向哪里發(fā)送網(wǎng)絡(luò)分組(例如��,將被使用的出口端口���、將被使用的目的地VLAN等)。在所說明的實(shí)施例中��,網(wǎng)絡(luò)分組可以是因特網(wǎng)協(xié)議(IP)分組��,其從用入口 VLAN ID(識別號碼)表示的源VLAN105進(jìn)入,并出口到用出口 VLAN ID表示的目的地VLAN110����。在符合IEEE802.1Q規(guī)范的VLAN中,VLAN ID是在I到4094之間的數(shù)字�����。元數(shù)據(jù)是附加分組數(shù)據(jù)��,其與網(wǎng)絡(luò)分組一起被攜帶以做出有關(guān)網(wǎng)絡(luò)分組在網(wǎng)絡(luò)路由設(shè)備115內(nèi)在其生命周期期間的適當(dāng)決策��。元數(shù)據(jù)不是在網(wǎng)絡(luò)分組進(jìn)入或離開網(wǎng)絡(luò)路由設(shè)備115時(shí)進(jìn)入或離開網(wǎng)絡(luò)分組的信息���。元數(shù)據(jù)可以被包括在被映射在分組上的附加報(bào)頭中�。在一個(gè)例子中��,在BroadcomASIC (專用集成電路)中使用的稱為HiGig報(bào)頭的報(bào)頭用于在網(wǎng)絡(luò)分組通過網(wǎng)絡(luò)路由設(shè)備115時(shí)將元數(shù)據(jù)映射到網(wǎng)絡(luò)分組上��。HiGig報(bào)頭使用13比特字段的分類標(biāo)記�,它主要是HiGig報(bào)頭中可以存儲(chǔ)入口VLAN ID的字段。所有的網(wǎng)絡(luò)分組遍歷具有作為VLAN標(biāo)準(zhǔn)的一部分而附帶的802.1Q VLAN標(biāo)記的HiGig��。該VLAN標(biāo)記實(shí)質(zhì)上將出口 VLAN添加在網(wǎng)絡(luò)分組在此時(shí)是成員的網(wǎng)絡(luò)路由設(shè)備115 (或VLAN)上�。VLAN標(biāo)記使用4字節(jié)的長度�。分組路由器120包括分組處理器����,其獲取分組并執(zhí)行VLAN分配(B卩,向分組分配VLAN)�,查找用于路由的層,根據(jù)ACL對分組進(jìn)行其它策略分類�����,對分組進(jìn)行路由����,并且最后在出口 VLAN上定義出口端口以用于將分組交換到該端口外。分組處理器主要通過對分組做出交換和路由決策來進(jìn)行必須對該分組發(fā)生的修改��。分組處理器查看元數(shù)據(jù)��,并使用可被應(yīng)用于網(wǎng)絡(luò)分組的出口策略(ACL)���,諸如ACL130。在該特定情況下���,當(dāng)對分組處理器應(yīng)用這些ACL策略時(shí)�����,元數(shù)據(jù)正被檢查以提取入口(源)VLAN信息�,而目的地VLAN正從網(wǎng)絡(luò)分組中確定。圖2A�����、2B�、2C和2D表示所選擇的路由實(shí)施例的例子,通常標(biāo)記為200��、220�、230和240,可被用在圖1的網(wǎng)絡(luò)分組處理系統(tǒng)中����。在圖2A中,分組處理器205使用Triumph/Scorpion處理器�,排隊(duì)引擎和交換結(jié)構(gòu)210使用SIRIUS芯片。所有的網(wǎng)絡(luò)分組通過HiGig端口 A����、B從分組處理器205路由(交換)到排隊(duì)引擎和交換結(jié)構(gòu)210以及返回到分組處理器 205。分組遍歷封裝在HiGig報(bào)頭中的HiGig端口 A、B��。TCAM(三態(tài)內(nèi)容可尋址存儲(chǔ)器)條目A提供與源VLAN的匹配�,并在HiGiG報(bào)頭分類標(biāo)記字段中存儲(chǔ)網(wǎng)絡(luò)分組進(jìn)入的源VLAN的入口 VLAN ID。條目僅對分組處理器的輸入和輸出端口(即���,前面板端口)起作用���,而對從HiGig端口進(jìn)入的分組不產(chǎn)生影響。TCAM條目A匹配分類標(biāo)記值A(chǔ)和存儲(chǔ)在網(wǎng)絡(luò)分組802.1Q VLAN標(biāo)記中的出口 VLANID B����。TCAM條目B嘗試僅匹配在HiGig端口 B上從排隊(duì)引擎和交換結(jié)構(gòu)210進(jìn)入的分組。然后���,根據(jù)先前定義的ACL��,與TCAM條目B相關(guān)聯(lián)的策略條目B允許或丟棄業(yè)務(wù)���。圖2B、2C和2D表示在各種處理階段匹配網(wǎng)絡(luò)分組所要求的TCAM條目配置的例子�。對于在端口 A處的網(wǎng)絡(luò)分組(圖2B)���,所要求的TCAM條目配置描述匹配入口上的網(wǎng)絡(luò)分組所要求的TCAM鍵和值��。對于在HiGig端口 A和B處的網(wǎng)絡(luò)分組(圖2C)�����,所要求的TCAM條目配置描述匹配出口上的網(wǎng)絡(luò)分組所要求的TCAM鍵和值����。對于在端口 B處的網(wǎng)絡(luò)分組(圖2D),所要求的TCAM條目配置描述當(dāng)匹配出口上的分組時(shí)的TCAM鍵和值���。圖3表示根據(jù)本發(fā)明的原理實(shí)現(xiàn)的網(wǎng)絡(luò)分組處理的方法的實(shí)施例(通常標(biāo)記為300)的流程圖�。方法300在步驟305開始��,并在步驟310�����,提供通過網(wǎng)絡(luò)路由設(shè)備連接的非直接鏈接的源和目的地虛擬局域網(wǎng)(VLAN)�����。接著�����,在步驟315,定義訪問控制列表(ACL)���,其規(guī)定源和目的地VLAN之間的網(wǎng)絡(luò)業(yè)務(wù)����。在步驟320����,對于將要在源和目的地VLAN之間路由的網(wǎng)絡(luò)分組生成元數(shù)據(jù),其中元數(shù)據(jù)從網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息���。在步驟325���,使用來自元數(shù)據(jù)的預(yù)路由源VLAN信息和來自網(wǎng)絡(luò)分組的目的地VLAN信息,應(yīng)用用于路由網(wǎng)絡(luò)分組的ACL����。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)分組是因特網(wǎng)協(xié)議(IP)分組��。在另一個(gè)實(shí)施例中��,元數(shù)據(jù)被包括在映射到分組的附加報(bào)頭中���。在一個(gè)例子中�,附加報(bào)頭是HiGig報(bào)頭����。在又一個(gè)實(shí)施例中,元數(shù)據(jù)在網(wǎng)絡(luò)分組的從入口到出口的時(shí)段的至少一部分中存在��。在其它實(shí)施例中����,元數(shù)據(jù)和ACL符合IEEE802.1Q規(guī)范。在再一個(gè)實(shí)施例中��,預(yù)路由源VLAN信息和后路由目的地VLAN信息分別包括源和目的地VLAN識別(ID)號碼�。源VLAN ID號碼被存儲(chǔ)在HiGig報(bào)頭的分類標(biāo)記中,目的地VLAN ID號碼被存儲(chǔ)在VLAN標(biāo)記中����。源和目的地VLAN ID號碼的范圍從I到4094。方法300在步驟330結(jié)束�。盡管參照以特定順序執(zhí)行的特定步驟描述和示出了在此公開的方法,但應(yīng)當(dāng)理解����,在不脫離本發(fā)明的教導(dǎo)的情況下����,這些步驟可以被組合�、細(xì)分或者重新排序以形成等同方法。因此�����,除非在此特別指明�,否則,這些步驟的順序或組成不是本發(fā)明的限制�����。通常��,這些方案或方法還可以被擴(kuò)展以涵蓋其它情形��,其中有關(guān)網(wǎng)絡(luò)分組的互斥的入口和出口信息需要被結(jié)合���。例如�,這些方案可以被應(yīng)用于源VLAN和出口端口���、或者源VLAN和目的地MAC�。也就是說,它們可用于在任何時(shí)候?qū)⑤斎胄畔⑴c輸出信息進(jìn)行組合���,網(wǎng)絡(luò)分組可在網(wǎng)絡(luò)路由設(shè)備或VLAN中在其生命周期內(nèi)進(jìn)行修改。本申請所涉及的領(lǐng)域的普通技術(shù)人員將知道還可以對所描述的實(shí)施例進(jìn)行其它和進(jìn)一步的增加���、刪除�����、替換和修改��。
權(quán)利要求
1.一種網(wǎng)絡(luò)分組處理的方法�����,包括: 提供通過網(wǎng)絡(luò)路由設(shè)備連接的非直接鏈接的源虛擬局域網(wǎng)(VLAN)和目的地虛擬局域網(wǎng)��; 定義訪問控制列表(ACL)��,其規(guī)定所述源VLAN與所述目的地VLAN之間的網(wǎng)絡(luò)業(yè)務(wù)��;對于將要在所述源VLAN與所述目的地VLAN之間路由的網(wǎng)絡(luò)分組生成元數(shù)據(jù)�����,其中所述元數(shù)據(jù)從所述網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息����;以及 應(yīng)用所述ACL以用于使用來自所述元數(shù)據(jù)的所述預(yù)路由源VLAN信息和來自所述網(wǎng)絡(luò)分組的后路由目的地VLAN信息來路由所述網(wǎng)絡(luò)分組。
2.如權(quán)利要求1所述的方法��,其中�,所述預(yù)路由源VLAN信息和所述后路由目的地VLAN信息分別包括源VLAN識別(ID)號碼和目的地VLAN識別號碼。
3.如權(quán)利要求2所述的方法����,其中,所述源VLANID號碼被存儲(chǔ)在HiGig報(bào)頭的分類標(biāo)記中���。
4.如權(quán)利要求2所述的方法�����,其中�����,所述目的地VLANID號碼被存儲(chǔ)在VLAN標(biāo)記中��。
5.如權(quán)利要求1所述的方法�,其中,所述元數(shù)據(jù)和所述ACL符合IEEE802.1Q規(guī)范���。
6.一種網(wǎng)絡(luò)分組處理系統(tǒng),包括: 源虛擬局域網(wǎng)(VLAN)和目的地虛擬局域網(wǎng)����,其通過網(wǎng)絡(luò)路由設(shè)備非直接地連接����; 元數(shù)據(jù)生成器�����,其被連接以對于將要在所述源VLAN與所述目的地VLAN之間路由的網(wǎng)絡(luò)分組提供元數(shù)據(jù)�,其中所述元數(shù)據(jù)從所述網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息;以及訪問控制列表(ACL)����,用于規(guī)定所述網(wǎng)絡(luò)分組在所述源VLAN與所述目的地VLAN之間的路由,其使用來自所述元數(shù)據(jù)的所述預(yù)路由源VLAN信息和來自所述網(wǎng)絡(luò)分組的后路由目的地VLAN信息�����。
7.如權(quán)利要求6所述的系統(tǒng),其中���,所述網(wǎng)絡(luò)分組是因特網(wǎng)協(xié)議(IP)分組�。
8.如權(quán)利要求6所述的系統(tǒng)���,其中�,所述元數(shù)據(jù)被包括在被映射在所述分組上的附加報(bào)頭中�。
9.如權(quán)利要求8所述的系統(tǒng),其中����,所述附加報(bào)頭是HiGig報(bào)頭。
10.如權(quán)利要求6所述的系統(tǒng)��,其中����,所述元數(shù)據(jù)在所述網(wǎng)絡(luò)分組的從入口到出口的時(shí)段的至少一部分存在。
全文摘要
網(wǎng)絡(luò)分組處理系統(tǒng)包括源和目的地虛擬局域網(wǎng)(VLAN)����,其通過網(wǎng)絡(luò)路由設(shè)備非直接地連接。另外,網(wǎng)絡(luò)分組處理系統(tǒng)包括元數(shù)據(jù)生成器�����,其被連接以對于將要在源和目的地VLAN之間路由的網(wǎng)絡(luò)分組提供元數(shù)據(jù)����,其中元數(shù)據(jù)從網(wǎng)絡(luò)分組中獲取預(yù)路由源VLAN信息。網(wǎng)絡(luò)分組處理系統(tǒng)還包括訪問控制列表(ACL)����,用于規(guī)定網(wǎng)絡(luò)分組在源和目的地VLAN之間的路由,其使用來自元數(shù)據(jù)的預(yù)路由源VLAN信息和來自網(wǎng)絡(luò)分組的后路由目的地VLAN信息���。還包括了一種網(wǎng)絡(luò)分組處理的方法。
文檔編號H04L12/46GK103109503SQ201180038820
公開日2013年5月15日 申請日期2011年8月4日 優(yōu)先權(quán)日2010年8月6日
發(fā)明者J·F·奧拉坎吉爾 申請人:阿爾卡特朗訊公司