WO2009135422A1

WO2009135422A1 - 一种QinQ内广播的实现方法和装置

Info

Publication number: WO2009135422A1
Application number: PCT/CN2009/071568
Authority: WO
Inventors: 刘少伟; 陈大鹏
Original assignee: 华为技术有限公司
Priority date: 2008-05-04
Filing date: 2009-04-29
Publication date: 2009-11-12
Also published as: CN101572648A; CN101572648B

Description

一种 OinO内广播的实现方法和装置本申请要求于 2008 年 5 月 4 日提交中国专利局，申请号为 200810088747.1 , 发明名称为 "一种 QinQ内广播的实现方法和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明实施例涉及数据传输领域，特别是涉及一种 QinQ内广播的实现方法和装置。背景技术

在基于传统的 802.1Q协议的网络模型中，当两个用户的网络需要通过 ISP ( Internet Service Provider, 互联网服务提供商）互相访问时， ISP 必须为每个接入用户的不同 VLAN ( Virtual Local Area Network, 虚拟局域网 )分配不同的 VLAN ID ( Virtual Local Area Network IDentity , 虚拟局域网身份标识）。假设用户的网络 1和网络 2位于两个不同地点，并分别通过 ISP的节点 PE 1和 PE 2 ( Provider Edge, 服务商边缘节点）接入骨干网。当接入的用户数目很多时，可能使 ISP网络的 VLAN ID不够用（只允许有 4094个 VLAN ID )。

QinQ ( 802.1Q-in-802.1Q )技术是一项扩展 VLAN空间的技术，通过在 802.1Q标签报文的基础上再增加一层 802.1Q的标签头来达到扩展 VLAN空间的功能，可以使私网 VLAN透传公网，有效的解决了 VLAN ID不够用的问题。在 QinQ网络中， CE发送到 PE的报文带有不同的 Tag (标签）值。配置 QinQ, 可以节约公网 VLAN, 使在 QinQ网络中的报文在 ISP网络中传输时都使用相同的公网 VLAN。

QinQ协议是基于 IEEE 802.1 Q技术的一种二层隧道协议。由于在骨干网中传递的报文有两层 802.1Q Tag头（一层公网 Tag, —层私网 Tag ), 即 802.1Q-in-802.1Q所以称之为 QinQ协议。这样， ISP网络只需为来自在 QinQ网络中的不同 VLAN提供一个 VLAN ID, 节约了 ISP的 VLAN ID, 以解决日益紧张的 ISP网络 VLAN ID资源紧张的问题。

与 802.1Q的报文相比， QinQ的报文在 SA ( Source Address, 源地址）后面又增加了一层标签。外层的标签通常被称作公网 Tag, 用来携带公网的 VLAN ID。内层标签通常被称作私网 Tag, 用来携带私网的 VLAN ID。

在 QinQ网络中，源路由器下的源终端向目的路由器下的目的终端发送文的过程具体为：

源终端向上级的交换机发送仅包含原始以太帧的报文，交换机将该报文向源路由器上传，在上传过程中，由各级交换机添加 802.1Q 帧和 QinQ帧，生成包含 QinQ帧的报文，由源路由器发送给目的路由器。

目的路由器将该报文向其下的交换机下发，下发过程中，各级交换机依次剥除该报文的 QinQ帧和 802.1Q帧，最终，该报文被恢复为原始报文，即仅包含原始以太帧的报文，发送至目的终端。

从上述转发流程可以看出， QinQ协议无需专门的信令来维持隧道的建立，通过静态配置就可以实现。

在上述过程中，当目的路由器要将报文发给目的终端时，需要知道该目的终端的 ARP ( Address Resolution Protocol, 地址解析协议），这时目的路由器会发送一个 ARP请求报文（广播报文）。由于不知道该目的终端所对应的两层 Tag, 所以目的路由器会复制 ARP请求报文。一个外层标签对应的内层标签可以配置 4094个，目的路由器就会复制 4094份 ARP请求报文。如果同一接口下配置了多个外层标签，每个外层标签又对应很多内层标签，就需要复制大量的 ARP请求报文。如果同时有几个 ARP Miss产生，会出现大量的报文复制，导致通道堵塞或者模块处理不过来，从而引起正常的 ARP请求或者响应被丟弃，导致业务不通。

除了上述的方法外，在 QinQ网络中，为了达到向目的终端发送报文的要求，还可以采取另外一种方案，即要求路由器下的设备可以主动发起 ARP请求，而路由器则不再主动发送 ARP请求，这样的方案可以减少路由器复制大量报文的情况。但是，在本方案中，如果路由器下的设备中有服务器，或者其它无法主动发起 ARP请求的设备 (比如某些媒体设备），便会出现网络不通的情况，这种情况下，只能将该设备连接到一个单独的 QinQ设备下，这个 QinQ设备只能进行内部和外部标签唯一绑定。这样的组网结构不仅增加了网络管理的难度，同时，也不利于网络安全的监管，降低了网络的安全性。因此，上述方案并不是解决报文大量复制导致网络不畅的最佳方案。

发明内容

本发明实施例要解决的问题是提供一种 QinQ内广播的实现方法和装置，减少大量无用报文的复制。

为达到上述目的，本发明实施例一方面提出一种 QinQ内广播的实现方法，包括以下步骤：

检测路由设备下直接连接的交换设备的数量；

当所述路由设备下直接相连的交换设备只有一个时，生成含有一层外层标签的报文，所述外层标签与所述交换设备的外层标签相同；或，当所述路由设备下直接相连的交换设备有多个时，生成不带外层标签的报文；

根据所述路由设备下直接相连的交换设备的情况，将所述含有一另一方面，本发明实施例还提出一种路由设备，包括：

检测模块，用于检测路由设备下直接连接的交换设备的数量；生成模块，用于根据所述检测模块检测的所述交换设备的数量，生成含有一层外层标签或不含有外层标签的报文；

内广播模块，根据所述路由设备下直接相连的交换设备的情况，设备进行广播。另一方面，本发明实施例还提出一种 QinQ内广播的实现方法，包括以下步骤：

路由设备生成含有一层预设外层标签的报文；

所述路由设备将所述报文对所述路由设备下直接连接的各交换设备进行广播。

另一方面，本发明实施例还提出一种路由设备，包括：生成模块，用于生成含有一层预设外层标签的报文；

内广播模块，用于将所述生成模块生成的报文对所述路由设备下直接连接的各交换设备进行广播。

本发明实施例的技术方案具有以下优点，因为采用了 QinQ内的可控广播功能，对报文标签进行特殊处理，从而，解决了在路由器上复制大量的无用广播报文的问题，达到了节约网络资源，提高网络传输效率的效果，并进一步通过报文标签的识别，增强了网络安全性。附图说明

图 1为本发明实施例中 QinQ的典型组网示意图；

图 2为本发明一实施例中一种 QinQ内广播的实现方法的流程示意图；

图 3为本发明另一实施例中一种路由器的结构示意图；图 4为本发明另一实施例中一种 QinQ内广播的实现方法的流程示意图；

图 5为本发明另一实施例中一种 QinQ内广播的保护方法的流程示意图；

图 6为本发明另一实施例中一种 QinQ内广播的保护网络组网结构示意图；

图 7为本发明另一实施例中一种路由器的结构示意图。具体实施方式本发明实施例提供一种 QinQ内广播的实现方法和装置，用于在 QinQ网络中减少大量无用文的复制。

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述：

首先，如图 1 所示，为本发明技术方案的实施场景，包括源路由器 Rl、目的路由器 R2, 以及两个路由器下的交换机 Sl-x、 S2-x和终端。

需要指出的是，上述的实施场景仅为本发明的一种优选实施例，设备数量和网络层级均可以根据实际应用情况进行调整，这样的调整并不影响本发明的保护范围。

如图 2所示，为本发明一个实施例中一种 QinQ内广播的实现方法的流程示意图。

所谓内广播，是指向网内同一个路由器 QinQ子接口下的所有用户发送广播信息，即路由设备向其下直接连接的通信设备发送广播消息，为了实现上述发送，现有技术需要在广播消息即 ARP 请求消息中加入与目标设备相一致的外层标签，这样，使路由设备需要复制大量的报文，影响网络传输质量。为了避免这种情况出现，本发明实施例提出如下技术方案：

首先，在路由器 R2上设置两种新的广播报文的规则，路由器 R2可以根据该广播报文的规则生成 ARP请求报文，并向路由器下的设备进行广播，查询目的终端所对应的 ARP, 具体的，这两种广播报文的规则为：

一种是在网络中的路由设备对直接连接的交换设备进行内广播的情况，通过在网络中设置一个外层标签进行广播报文的规则，即在路由设备下仅直接连接一个交换设备的网络中进行广播报文的规则，在按照这种规则生成的报文中，目的 MAC为全 F的广播 MAC地址，带一层外层标签，该外层标签和上述交换设备的外层标签相一致；

另外一种是在网络中包含多个外层标签的情况进行向所有交换机进行内广播的规则，通过设置报文，使得报文不带有标签，即在路由设备下直接连接多个交换设备的网络中进行广播报文的规则，由于没有进行设置的网络中包含多个外层标签，如果对应生成多种报文，则会产生复制量过大、网络负担过重的弊端，所以，本发明实施例提出不带标签广播报文的规则，针对此种网络进行广播，这种报文用于在上述网络中由路由设备向所有与其直接相连的交换设备进行内广播。

需要进一步指出的是，为了便于说明，上述的与路由设备直接连接的交换设备在本发明实施例中指具有消息转发功能的路由器，这仅为本发明的优选实施例，在实际应用中，还可以包括，服务器，终端或其他网络组成节点或设备，这样的变化并不影响本发明的保护范围。

通过上述技术方案可以避免现有技术中两种 QinQ报文广播方程描述。

S201、路由器 R2从网络侧接收报文。

S202、 R2检测与其直接连接的交换机的数量，并根据检测结果对报文进行处理后，向下挂的交换机 Sl-x进行转发。

上述检测结果包括，与 R2直接连接的交换机数量是一个还是多个，当检测结果为与 R2 直接连接的交换机数量是一个时， R2 生成仅带有一个外层标签的 ARP请求报文，向上述的一个交换机进行内广播，该外层标签与该交换机的标签相一致；当检测结果为与 R2直接连接的交换机数量是多个时，生成不带有外层标签的 ARP请求报文，向上述所有交换机进行内广播。

具体的处理过程如下：

路由器 R2识别接收到的报文为 QinQ报文，需要转发给 QinQ 接口；

路由器 R2在 QinQ接口处查找 ARP表，如果发现在 ARP表中没有与该报文相对应的表项，即，找不到目的终端的 MAC地址，为保证转发的顺利进行，在 ARP表中生成假表项，同时向路由器 R2上4艮 ARP Miss , 请求查找目的终端对应的 ARP；

路由器 R2通过查看该 QinQ接口有几个外层 Tag来确定与 R2 连接的与外层 Tag对应的交换机数量：

如果查看结果为 QinQ接口中只包含一个外层 Tag, 即路由器 R2下直接连接的交换机数量为一个，则路由器 R2生成一个 ARP 请求报文，报文中的 Tag为上述的外层 Tag, 从与上述交换机对应的端口进行发送，例如，当 R2下直接相连的交换机仅有 S1-3时，生成以 S1-3的外层 Tag为 Tag的 ARP请求报文，从 S1-3对应的端口发送给 S1-3;

如果有两个或者两个以上的外层 Tag, 即路由器 R2下直接连接的交换机数量为两个或两个以上，则产生不带 Tag的 ARP请求报文，从对应端口发送给 Sl-x, 例如，当 R2下直接相连的交换机包括 S1-3和 S1-4时，路由器 R2生成不带 Tag的 ARP请求报文，从对应的端口发送给 S1-3和 Sl-4。

5203、 Sl-x处理收到的报文，并向下转发给 S2-x。

具体的，需要预先在 Sl-x交换机的上联接口进行相应配置，允许带一层标签或不带标签的 ARP请求报文复制到相应的下行接口。

如果接收到带一层标签或不带标签的广播报文， Sl-x 交换机将该报文在向下转发的对应端口复制，根据下挂 S2-x的数量，复制一份或多份，类似于二层组播的复制机制，从每个端口发送出去，以 S1-4为例， S1-4接收报文后，在对应端口复制两份，发送给 S2-7、 S2-8。

5204、 S2-x处理收到的报文，并向下转发给终端。

具体的，需要预先在 S2-x交换机的上联接口进行相应配置，允许带一层标签或不带标签的广播报文复制到相应的下行接口。

如果接收到带一层标签或不带标签的广播报文， S2-x 交换机将该报文在向下转发的对应端口复制，根据下挂终端的数量，复制一份或多份，类似于二层组播的复制机制，在每个端口对报文进行转发，将报文发送给所有的终端，以 S2-7为例， S2-7接收报文后，在这些向下转发的对应端口复制两份后，发送给下挂的两个终端。

需要进一步指出的是，上述的包含 Sl-x、 S2-x和终端的网络结构是为了便于说明而选择的优选网络结构，上述处理过程也仅为本发明的优选实施例，在实际技术实施过程中，网络中可以包含多层结构，如 S3-x、 S4-x等，本发明技术方案同样可以在上述多层网络结构中实现，具体为，路由器与 Sl-x之间的转发过程与本实施例的处理流程一致，而后续的与 S2-x、 S3-x、 S4-x等交换机的处理过程则与本实施例中的与 S2-x的处理流程相一致，这样的变化同样属于本发明的保护范围。

本发明实施例采用了 QinQ内的可控广播功能，根据下挂设备数量对报文标签进行特殊处理，从而解决了在路由器上复制大量的无用广播报文的问题，达到了节约网络资源，提高网络传输效率的效果。为了实现上述实施例所提供的 QinQ内广播的实现方法，本发明还提供了对应的装置，如图 3 所示，为本发明另一实施例中一种路由器的结构示意图，包括：

检测模块 31 , 用于检测路由器直接连接的交换机的数量。生成模块 32,用于在检测模块 31检测交换机的数量为一个时，生成含有一层外层标签的 ARP请求报文，或在检测模块 31检测交换机的数量为多个时，生成不含有外层标签的 ARP请求报文，具体包括：

第一生成子模块 321 , 用于当检测模块 31检测的交换机数量为一个时，生成含有一层外层标签的报文，报文的外层标签与交换机的外层标签相同；

第二生成子模块 322, 用于当检测模块 31检测的交换机数量为多个时，生成不带外层标签的报文。

需要指出的是，上述第一生成子模块 321 和第二生成子模块 322可以同时存在于生成模块 32中，也可以根据需要设置为不同的模块，这样的变化同样属于本发明的保护范围。

内广播模块 33 , 用于将生成模块 32生成的 ARP请求报文向与路由器直接连接的交换机进行内广播，请求查询目的终端的 ARP。如图 4所示，为本发明另一实施例中一种 QinQ内广播的实现方法的流程示意图。

首先，修改现有机制，在 QinQ中使用一个特殊的 Tag, 作为该 QinQ中的广播报文的标签，这样在路由器 R2上仅仅对每个端口发送一个包含该特殊的 Tag 的报文，类似于将以太网的广播报文在 QinQ中重新实现，这样就避免现有技术中两种方案带来的问题。例如可以使用 4095这个 VLAN标签作为广播报文标签。则报文转发过程可以用下面的过程描述。

S401、路由器 R2从网络侧接收报文。

5402. R2对报文进行处理后，向下挂的交换机 Sl-x进行转发。具体的处理过程包括： R2上 IP转发，查找 QinQ出接口，发现应该转发给 Tag所属的接口；

路由器 R2在接口查找 ARP表，发现 ARP表中没有表项，找不到 MAC地址，为保证转发顺利进行，在 ARP表中生成假表项，同时上才艮 ARP Miss;

路由器 R2产生特殊 Tag的报文，例如， Tag为 4095的报文；将生成的报文下发到对应端口，从对应端口发出给 Sl-x, 例如，复制为两份，发送给 S1-3和 Sl-4。

5403、 Sl-x处理收到的报文，并向下转发给 S2-x。

在 Sl-x交换机的上联接口，进行相应配置，允许接收含有上述预置的特殊 Tag的报文，例如，允许 Tag为 4095的广播报文复制到相应的下行接口。

接收到一个含有特殊 Tag (即 4095 ) 的报文，将该报文在向下转发的对应端口进行复制，根据下挂 S2-x的数量，采用类似于二层组播的复制机制，将该报文复制一份或多份，从每个端口发送出去，例如，对于 S1-4, 将 Tag为 4095的报文复制为两份，发给 S2-7和 S2-8。

S404、 S2-x处理收到的报文，并向下转发给终端。

在 S2-x交换机的上联接口，进行相应配置，允许接收含有上述预置的特殊 Tag的报文，例如，允许 Tag为 4095的广播报文复制到相应的下行接口。

如果接收到一个带有特殊 Tag 的报文，将该报文在对应端口复制，根据下挂终端的数量，复制一份或多份带有特殊 Tag 的广播报文，类似于二层组播的复制机制，在每个端口对报文进行转发，将带有特殊 Tag报文发送给相连的终端，以 S2-7为例， S2-7 接收报文后，在对应端口复制为两份，发送给下挂的两个终端。

本发明实施例采用了 QinQ内的可控广播功能，根据预设的特殊标签对报文进行处理，使得其只携带具有特殊的 Tag 的标签，减少了转发报文时携带标签的数量，从而解决了路由器上复制大量的无用广播报文的问题，达到了节约网络资源，提高网络传输效率的效果。如图 5所示，为本发明另一实施例中一种 QinQ内广播的保护方法的流程示意图。

为了进一步筒化本发明前述实施例中技术方案的操作流程，本发明实施例还提出了通过网管***进行路由设备配置的方法，具体的配置步骤与上述实施例的流程相同，但各配置步骤由网管 ***进行引导操作，网管***可以用筒单、直观的方式引导用户完成对路由器的配置工作。

另一方面，加入了网管***的 QinQ网络可以提高网络的安全性，识别网络中的危险报文并告警，避免广播报文对路由器的攻击。

在本发明上一实施例中，从安全角度来看，在接口上配置相应命令，允许 Tag为 4095的报文进入路由器，是一种特殊操作，如果没有配置这样的命令，网络上不应该存在这种报文。

本发明实施例的技术方案中，路由器实时检测网络中报文的标签，如果存在包含未经配置的标签的报文，路由器可以认为是受到网络攻击，通过管理信息库 MIB向网管***报警。具体为：

5501、路由器识别网络中报文的标签；

5502、将该报文的外层标签与预设的外层标签进行匹配；

5503、根据所述匹配的结果，判断所述报文是否为安全报文。当所述报文的标签与预设外层标签匹配时，判断所述报文为安全，完成本次流程，重新转入 S501 , 进入新一轮的保护流程；当所述报文的标签与预设外层标签不匹配时，判断所述报文为攻击报文，转入 S504。

5504、路由器通过 MIB向网管***才艮警。

基于上述方法的组网结构实施例如图 6所示，包含路由器 1、路由器 2和网管***，其中路由器 1、路由器 2用于检测报文标签，当检测到含有与网络中预设的外层标签不相匹配的外层标签的报文时，判断为网络攻击，向网管中心告警。

本发明实施例的技术方案进一步通过报文标签的识别，实现了对网络中报文的监控，并在检测到危险报文时进行告警，增强了网络的安全性。为了实现上述实施例所提供的 QinQ内广播的实现方法，本发明还提供了 QinQ内广播的实现方法的对应装置，如图 7所示，为本发明另一实施例中一种路由器的结构示意图，包括：

生成模块 71 , 用于生成含有一层预设外层标签的报文，还包括：标签设定子模块 711 ,用于设定与所述路由器下直接连接的各交换机的外层标签不同的特殊外层标签。

内广播模块 72,用于将所述生成模块 71生成的报文对所述路由设备下直接连接的各交换设备进行内广播。

其中，本路由器还包括安全模块 73 , 用于检测网络中的报文是否安全，具体包括：

识别子模块 731 , 用于识别网络中报文的标签；

匹配子模块 732,用于将所述识别子模块 731识别的报文的标签与预设的外层标签进行匹配；

判断子模块 733 , 用于根据所述匹配子模块 732的匹配结果，判断所述报文是否安全；

报警子模块 734,用于当所述判断子模块 733判断所述报文不安全时，通过 ΜΙΒ向网管中心报警。本发明实施例的技术方案具有以下优点，因为采用 QinQ内的可控广播功能，对报文标签的特殊处理，从而，解决了路由器上复制大量的广播报文的问题，达到了节约网络资源，提高网络传输效率的效果，并进一步通过报文标签的识别，增强了网络安全性。

需要进一步指出的是，目前本发明上述实施例提供的广播报文用于解决 ARP Miss带来的 ARP请求的问题，但不排除将本发明的广播报文用于其它类型的业务，基于本发明技术思想所作出的相应变化同样属于本发明的保护范围。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是 CD-ROM, U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1、一种 QinQ内广播的实现方法，其特征在于，包括以下步骤：检测路由设备下直接连接的交换设备的数量；

根据所述路由设备下直接相连的交换设备的情况，将所述含有一

2、如权利要求 1所述 QinQ内广播的实现方法，其特征在于，所述检测路由设备下直接连接的交换设备的数量，具体为：

检测所述路由器的接口中配置的外层标签数量。

3、如权利要求 1所述 QinQ内广播的实现方法，其特征在于，还包括：

所述路由设备根据下级交换设备的数量，复制所述报文；所述下级交换设备根据所述报文，继续复制并下发所述报文，直至下发至所述文的目的终端。

4、一种路由设备，其特征在于，包括：

内广播模块，根据所述路由设备下直接相连的交换设备的情况，设备进行广播。

5、如权利要求 4所述路由设备，其特征在于，所述生成模块包括：

第一生成子模块，用于当所述检测模块路由设备下直接连接的交换设备只有一个时，生成含有一层外层标签的报文，所述外层标签与所述交换设备的外层标签相同；

第二生成子模块，用于当所述检测模块检测的交换设备数量为多个时，生成不带外层标签的报文。

6、一种 QinQ内广播的实现方法，其特征在于，包括以下步骤：路由设备生成含有一层预设外层标签的报文；

7、如权利要求 6所述 QinQ内广播的实现方法，其特征在于，所述预设外层标签，与路由设备下待接收报文的交换设备的外层标签不同。

8、如权利要求 6所述 QinQ内广播的实现方法，其特征在于，还包括：

所述路由设备根据向下转发的对应端口数量，复制所述报文；所述对应端口下发所述^艮文，直至下发至所述"¾文的目的终端。

9、如权利要求 6所述 QinQ内广播的实现方法，其特征在于，还包括：

识别网络中报文的标签；

将所述文的标签与所述预设外层标签进行匹配；

根据所述匹配的结果，判断所述报文是否安全。

10、如权利要求 9所述 QinQ内广播的实现方法，其特征在于，所述根据匹配的结果，判断所述报文是否安全，具体为：

当所述文的标签与所述预设外层标签匹配时，判断所述文为安全艮文；

当所述文的标签与所述预设外层标签不匹配时，判断所述 >¾文为攻击报文。

11、如权利要求 10所述 QinQ内广播的实现方法，其特征在于，所述判断所述文为攻击^¾文后，所述方法还包括：

通过管理信息库 MIB向网管中心警。

12、一种路由设备，其特征在于，包括：生成模块，用于生成含有一层预设外层标签的报文；

13、如权利要求 12所述路由设备，其特征在于，所述生成模块，还包括：

标签设定子模块，用于设定与所述路由设备下待接收报文的交换设备的所述预设外层标签不同的外层标签。

14、如权利要求 12所述路由设备，其特征在于，还包括安全模块，用于检测网络中的报文是否安全，具体包括：

识别子模块，用于识别网络中报文的标签；

匹配子模块，用于将所述识别子模块识别的报文的标签与预设的外层标签进行匹配；

判断子模块，用于根据所述匹配子模块的匹配结果，判断所述报文是否安全；

报警子模块，用于当所述判断子模块判断所述报文不安全时，通过 MIB向网管中心报警。