CN1503514A - 一种在atm网络上实现虚拟专用网的方法 - Google Patents

Abstract

本发明涉及在以太网三层交换机设备上，在ATMPVC(永久虚链路)上实现VPN的一种实现方法。一种在ATM网络上实现VPN的方法，其特征在于在传送的报文中加上一个标识报文所在VLAN的报文标识，在接收报文侧，通过该报文标识识别该报文所在VLAN，将报文还原，以使不同的VLAN可以共享同一个ATM的传输链路。本发明扩充了RFC1483在以太网中的应用，尤其对于目前三层交换机中广泛使用的VLAN的组网应用，带来了极大方便。

Description

一种在ATM网络上实现虚拟专用网的方法

技术领域

本发明涉及网络设备协议实现领域，尤其涉及一种在ATM网络上，实现虚拟专用网(VPN)的方法。

技术背景

目前交换机、三层交换机、路由器等相关交换设备的接口卡上，大多集中提供以太网接口，如10M/100M的电口，千兆(GIGABIT)电口和光口，10GE光口等。随着三层交换机等在网络中的广泛应用，要求应用在汇聚层，骨干层的以太网交换机能够具有不同的接口类型，以适应目前网络环境中不同的接入设备的要求。目前在网络中运用比较多的设备有ATM交换机，所以在三层交换机、路由器等交换设备上提供ATM接口，能够运用ATM网络，实现与广域网的互连互通，是目前提高交换设备的竞争力，降低网络运营成本，拓展城域网的运营范围，具有非常大的意义。

如图1所示，是目前利用ATM实现VPN的连接示意图，主要是利用ATM永久虚电路(PVC)实现VPN，即在ATM网络中，根据VPN用户，创建一特定的PVC链接；利用ATM PVC承载特定的数据帧：在入口VPN边缘设备(ingress pe)侧，将用户用特定的PVC对应VPN用户的转发对等体(fec)，然后将报文封装成ATM信元，转发到ATM网络中；在p设备中，只进行普通的ATM转发；到出口VPN边缘侧(egress pe)中，根据信元的PVC，将报文转化成特定的VPN用户报文，然后经过ce设备将报文转发到指定的用户。

这种方法特点是：一个VPN用户对应一条PVC链接，对用户的识别就是通过对PVC的识别来确定；由于每个用户在ATM网络中映射特定的PVC链，并且使用IP与PVC进行映射，不是很方便，对以太网不能进行透传，组装报文比较麻烦。

这样利用PVC链接保证特定的VPN用户数据帧不受网络的干扰，保护用户的数据信息；但浪费PVC资源；对用户的标识也不太好；而且对于以太网的支持也不够好，需要进行ATM PVC与VPN用户对等体(FEC)的重新映射。

发明内容

本发明的目的就是为了解决在目前在交换设备上，利用ATM接口实现VPN的一种方法。

本发明的方案如下：

一种在ATM网络上实现VPN的方法，其特征在于在传送的报文中加上一个标识报文所在VLAN的报文标识，在接收报文侧，通过该报文标识识别该报文所在VLAN，将报文还原，以使不同的VLAN可以共享同一个ATM的传输链路。

所述的在ATM网络上实现VPN的方法，进一步包括以下步骤：

a、将数据报文发送到ATM网络中；

b、ATM网络根据所携带的报文标识，查找映射表，找到对应的PVC交叉联接；

c、将报文转发到对应的VLAN；

d、找到映射表对应的标签操作，还原报文。

所述的在ATM网络上实现VPN的方法，步骤b中，还包括一个添加二层或多层标签的步骤，所述的二层或多层标签用于进一步标识协议报文的VLAN，相对应在步骤d之前还包括一个处理所述二层或多层标签的步骤。

所述的在ATM网络上实现VPN的方法，步骤d中，对该二层标签的处理，是将该标签删除。

所述的在ATM网络上实现VPN的方法，步骤d中，对该二层标签的处理，是将该标签进行空操作。

所述的在ATM网络上实现VPN的方法，将数据报文发送到ATM网络的步骤，是由三层交换机来完成的。

所述的报文，为802.1q规定的格式。

本发明能够充分利用ATM的PVC和以太网802.1Q数据帧VLAN TAG的映射，实现对VPN用户的识别，保证不同用户在少建PVC的基础上，实现数据的安全、透明传输。

附图说明

图1是现有技术中VPN的实现方式；

图2是本发明的一个流程图；

图3是本发明报文的转发示意图；

图4是采用透传方式的转发示意图；

图5是本发明实施例的一个报文转发示意图；

图6是本发明实施例的报文的发送流程图；

图7是本发明实施例的报文的接收流程。

具体实施方式

下面结合说明书附图来说明本发明的具体实施方式。

本发明的目的就是为了解决在交换设备上，利用ATM接口实现VPN的一种方法。它能够充分利用ATM的PVC和以太网802.1Q数据帧VLAN TAG的映射，实现对VPN用户的识别，保证不同用户在少建PVC的基础上，实现数据的安全、透明传输。该映射主要是ATM的PVC(vpi/vci---vcc index)与802.1q的VLAN TAG之间的映射；这样就可以充分利用PVC为多个VLAN进行VPN的链接。

本发明在传送的报文中加上一个标识报文所在VLAN的报文标识，在接收报文侧，通过该报文标识识别该报文所在VLAN，将该报文还原，以使不同的VLAN可以共享同一个ATM的传输链路。

如表1所示，是本发明使用的一个报文，由该表中可见，本发明增加了一个标识TAG，根据rfc 1483的建议，我们的发明对此进行了扩展，可以利用ATM透明传输带TAG的802.1q协议报文；

0×aa-aa-03

0×00-80-c2

0×00-01或0×00-02

DEST-MAC-ADDRESS

SRC-MAC-ADDR

VLAN-TAG1

VLAN-TAGn

以太网帧

LANFCS

                                表一

其中带有TAG部分表示是扩充的部分，这样做就可以在ATM PVC中利用VLAN TAG区分不同VLAN，保证不同VLAN在同一的ATM传输链路中共享，实现了不同VLAN的数据透明传输。

如图2所示，是本发明在ATM上实现虚拟专用网方法的流程图，图3是在ATM上实现虚拟专用网的一个网络示意图。

本发明的具体实施方式，可以包括以下步骤：

a、将数据报文发送到ATM网络中；

该步骤可以通过各种不同的网络交换设备来完成，比如可以是路由器，也可以是交换机，还可以是目前使用较为广泛的三层交换机，带有ATM接口，可以支持目前通用的VPN业务的设备都可以。

b、ATM网络根据所携带的报文标识，查找映射表，找到对应的PVC交叉联接；

本步骤中，还可以包括一个添加二层或多层标签的步骤，该二层或多层标签用于进一步标识协议报文的VLAN，实际上就是在表中，对应的以太网数据帧中，再添加一或多层VLAN TAG；比如图3中的TAG7，之所以采用多重TAG，是为了可以实现双重/或多重TAG的携带，这样对于解决标签数目的空间限制有很重要的意义，因为802.1qTAG只有4k大小，通过携带多重TAG可以解决TAG空间的大小的问题。

c、将报文转发到对应的VLAN；

d、找到映射表对应的标签操作，并进行操作，还原报文。

数据帧完成重组后，以VPI/VCI形成索引，获取VLAN TAG；然后获取对TAG的处理操作。

该步骤d中包括的处理二层或多层标签的步骤，是与步骤b中添加二层或多层标签相对应的一个操作。其中，包括上述的三种操作：添加TAG，删除TAG，空操作。添加操作是在数据中添加TAG标识；删除操作是为了数据的还原与重组，删除前面添加的标识；该空操作是对二层或多层标签不做任何处理，直接透传数据。

该透传的意义在于完全接收来自用户设备输入的VLAN tag，不进行任何改动，直接透传。这可以保护用户自己的私有配置。在实际使用中用户可以针对自己的业务经营特点，划分若干VLAN，然后可以利用该空操作进行透传到远端节点，这样保证了通讯的可靠性，减少了配置的复杂性，举例如下：

如图4所示，在用户侧的交换机上，只要配置相同的VLAN(比如财务部/生产部/总裁办各自有相同的VLAN)，在用户两端配置(比如一家公司的两个机构，分布在北京，上海)就可以直接通讯。这样就符合vpn中用户自己定义自己的业务这个基本属性，利用公网(ATM网络)直接传输，到对端后由用户侧交换机(pe或ce)进行相应的转发。

以上所述的数据报文，为802.1q规定的格式。

下面结合我们在三层交换机上的实现，对本发明做进一步的说明和分析。

由于当前的三层交换机转发芯片(ASIC)目前主要集中在以太网接口上，许多广域网接口不能提供。所以我们为了实现ATM接口，如图5所示，本实施例采用了如下的转发方式：

在设计中，为了实现在ATM的AAL5的LLC/SNAP帧中实现TAG的VLANTAG的添加/删除/空操作，我们在转发流程上做了如下工作，步骤如下：

我们将报文从转发芯片发送到ATM物理接口的操作称为下行操作；将从ATM物理接口到转发芯片的操作称为上行操作，则该报文转发可以包括以下步骤：

a、通过转发芯片将以太网数据报文转发到ATM转发逻辑中；

在下行中，我们要求转发芯片能够将以太网数据帧，携带VLAN TAG经过GMII总线转发到ATM转发逻辑中。这种实现对大多数转发芯片来讲，比较容易办到，举例如下：

将ATM端口单独作为一个VLAN 3，在华为QUIDWAY系列交换机中配置如下：

<CONFIG>#>VLAN 3                      #(创建VLAN 3)

<VLAN 3>#SWITCH PORT ATM3/0/1(该VLAN包含端口ATM 3/0/1)

然后将ATM 3/0/1端口作为一个VLAN trunk端口。当设置别的VLAN的时候，需要使用ATM链路与远端的PVC进行通讯时，将ATM 3/0/1作为该VLAN的一个端口成员。示例如下：

<CONFIG>#>VLAN 1000#<创建VLAN 1000>

<VLAN 1000>#>switch port gi2/0/1 gi2/0/3 ATM3/0/1    #<将gi2/0/1 gi2/0/3，ATM 3/0/1作为VLAN 1000的端口成员>；

设置完后，利用芯片的MAC地址学习，就可以将报文转发到ATM端口，进行转发。

b、在ATM转发逻辑中，根据所携带的报文标识，查找映射表，找到对应的PVC交叉联接；

在ATM转发逻辑中，我们需要根据所携带的VLAN-TAG，查表VLAN-TAG---PVC映射表，来找到对应的VCC(PVC交叉联接)；同时根据该表找到对应的标签操作，也就是前面提到的添加/删除和空操作。其中：

添加TAG----就是在表中，对应的以太网数据帧中，再添加一或多层VLANTAG；这样就可以实现双重/或多重TAG的携带，这样对于解决标签数目的空间限制有很重要的意义，因为802.1qTAG只有4k大小，通过携带多重TAG可以解决TAG空间的大小的问题。组网应用如图2所示；

删除TAG-----在此接口下，进行标签的删除，或在没有标签支持的网络，去除标签，对以太网数据帧进行透传。

空操作------在此接口下，进行标签的空操作，这样透传802.1Q数据帧。实现一个PVC可以对应多个VLAN。尤其对于企业网的应用，非常方便，灵活。

c、通过ATM网络将报文转发到对应的VLAN；

d、找到映射表对应的标签操作，并进行操作，还原报文。

图6和图7是本实施例的流程图，从流程图中可以看到，本实施例在上行中，数据帧在ATM SAR单元完成重组后，以VPI/VCI形成索引，获取VLAN TAG；然后获取对TAG的操作，包括上述的三种操作：添加TAG，删除TAG，空操作。

在软件的实现上，我们进行了如下的设计：

1)我们将软件对于ATM的PVC和以太网的VLAN的配置，分成两个配置平面。ATM平面和以太网VLAN平面。

在ATM配置平面，我们将PVC单独进行配置；在VLAN配置平面，我们也单独配置VLAN，然后我们在将VLAN与PVC进行映射，将映射的结果配置到PVC-VLAN TAG表中。

本发明的实现方法扩充了RFC1483在以太网中的应用，尤其对于目前三层交换机中广泛使用的VLAN的组网应用，带来了极大方便，它使得ATM接口不仅可以应用在路由器设备或ATM交换机设备上，而且还可以运用在三层交换机上，扩充了三层交换机的应用范围，对于将ATM接口作为WAN接口，实现企业VPN之间互连，具有很大的现实意义。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (7)

1、一种在ATM网络上实现VPN(虚拟专用网)的方法，其特征在于在传送的报文中加上一个标识报文所在VLAN(虚拟局域网)的报文标识，在接收报文侧，通过该报文标识识别该报文所在VLAN，将报文还原，以使不同的VLAN可以共享同一个ATM的传输链路。

2、如权利要求1所述的在ATM网络上实现VPN的方法，其特征在于进一步包括以下步骤：

a、将数据报文发送到ATM网络中；

b、ATM网络根据所携带的报文标识，查找映射表，找到对应的PVC交叉联接；

c、将报文转发到对应的VLAN；

d、找到映射表对应的标签操作，还原报文。

3、如权利要求2所述的在ATM网络上实现VPN的方法，其特征在于所述的步骤b中，还包括一个添加二层或多层标签的步骤，所述的二层或多层标签用于进一步标识协议报文的VLAN，相对应在步骤d之前还包括一个处理所述二层或多层标签的步骤。

4、如权利要求3所述的在ATM网络上实现VPN的方法，其特征在于所述的步骤d中，对该二层标签的处理，是将该标签删除。

5、如权利要求3所述的在ATM网络上实现VPN的方法，其特征在于所述的步骤d中，对该二层标签的处理，是将该标签进行空操作。

6、如权利要求1-5任意一项所述的在ATM网络上实现VPN的方法，其特征在于所述的将数据报文发送到ATM网络的步骤，是由三层交换机来完成的。

7、如权利要求1-5任意一项所述的在ATM网络上实现VPN的方法，其特征在于所述的报文，为802.1q规定的格式。

Images