專利名稱：：一種虛擬專用局域網成員間的通信方法及設備的制作方法
技術領域：
：本發明涉及網絡通信領域，尤其涉及一種VPLS(VirtualPrivateLANServices,虛擬專用局域網業務)網絡中的不同成員間進行互通或者隔離的通信方法及裝置。
背景技術：
：VPLS是一種基于MPLS(MultiprotocolLabelSwitch,多協議標簽交換)和以太網4支術的二層VPN(VirtualPrivateNetwork,虛擬專用網絡)4支術。VPLS可以實現多點到多點的VPN組網。目前的VPLS組網中，如果網絡需要擴展，增加一臺PE(ProviderEdge,標簽邊緣路由器)設備，那么該設備需要與網絡中所有PE再建立一次全互連。為了解決這種問題，產生了HVPLS(HierarchicalVirtualPrivateLANService,分層虛擬專用局域網服務)。HVPLS的核心思想是通過把網絡分級。HVPLS的基本才莫型中，可以把PE分為兩種UPE(User-endProviderEdge,用戶側標簽邊桑彖路由器)和NPE(NetworkProviderEdge,網絡標簽邊緣路由器)。UPE是用戶的匯聚設備，靠近用戶側的PE設備，主要作為用戶接入VPN的匯聚設備，只需要與基本VPLS全連接網絡的其中一臺PE建立連接。NPE是連結UPE,并位于基本VPLS全連接網絡內部的核心設備，也稱為上層PE。NPE與基本VPLS全連接網絡內部的其他設備都建立連接。參考圖l所示，圖l為現有HVPLS的基本結構示意圖。圖1中的PEl(用11表示)、PE2(用9表示)和PE3(用10表示)全互連。PE1、PE2、PE3建立的全互連核心虛擬鏈路為hub(集線器)性質，UPE與NPE之間的邊緣虛擬鏈路為spoke(車輪輻條)性質。將VPLS中(在VPLS中，PE2直接與CE(CustomerEdge,用戶邊緣設備)2a-l和CE2a-2連接)的PE2定義為NPE2(NetworkProviderEdge,網絡標簽邊緣路由器)。UPE2-1和UPE2-2只與NPE2建立連接。圖1中各設備標記CEla-l、CEla-2,分別用1、2表示；CE3a，用5表示；UPE2-1用12表示，CE2a-2用13表示，CE2a-l用14表示，UPE2-2用15表示。目前，圖1中的VPLS的同一個VPN內的各個成員(包括本地成員和遠端成員)之間是互通的，并沒有對每個成員的通信進行專門的控制。但是隨著VPLS開始廣泛應用，用戶的需求越來越呈現多樣化，例如，出于安全考慮，有些VPN成員不希望與其他的某些成員互通等。但是，目前的VPLS組網滿足不了用戶的這種需求。
發明內容本發明的目的是提供一種虛擬專用局域網成員間的通信方法及設備，以解決目前VPN成員間不能有選擇的進行通信的問題。本發明的虛擬專用局域網成員間的通信方法包括以下步驟獲取入口報文；獲取發送所述入口報文的成員的源組群號以及所述報文要到達的成員的目的組群號；判斷所述目的組群號和源組群號中是否包含相同的組群號，如果包含相同的組群號，則轉發所述報文，如果不包含，則丟棄所述報文。員的目的組群號的步驟具體包括判斷所述入口4艮文的發送方式和入口位置；根據所述報文的發送方式，從與所述報文的發送方式對應的發送表中，獲取所述報文要到達的成員的目的組群號，所述發送表預先保存有成員及對應的組群號；根據所述才艮文的入口位置，從入口表中獲取發送所述沖艮文的成員的源組群號，所述入口表預先保存有成員及對應的組群號。所述發送方式包括單播、廣播和組播；當所述發送方式為單播時，從媒體訪問控制表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為廣播時，從廣播表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為組播時，從組播表中獲取所述報文要到達的成員的目的組群號。所述才艮文入口位置包括本地入口和遠端入口；當才艮文從本地入口時，通過本地入口從入口表中獲取發送所述才艮文的成員的源組群號；當報文從遠端入口時，通過遠端入口從入口表中獲取發送所述報文的成員的源組群號。本發明還提供了一種虛擬專用局域網成員間的通信設備，包括獲取模塊，用于獲取發送入口報文的成員的源組群號以及所述報文要到達的成員的目的組群號；判斷模塊，用于根據判斷出的所述目的組群號和源組群號中是否包含相同的組群號，決定是否轉發所述^JL。所述獲f^莫塊具體包括第一判斷模塊，用于判斷所述入口報文的發送方式和入口位置；第一獲取模塊，用于根據所述報文的發送方式，從與所述報文的發送方式對應的發送表中獲取報文要到達的成員的目的組群號，所述發送表預先保存有成員及對應的組群號；第二獲取模塊，用于根據所述報文入口位置，從入口表中獲取發送報文的成員的源組群號，所述入口表預先保存有成員及對應的組群號。所述發送方式包括單播、廣播和組播；當所述發送方式為單播時，所述第一獲JK^莫塊從媒體訪問控制表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為廣播時，所述第一獲取模塊從廣播表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為組播時，所述第一獲取模塊從組播表中獲取所述報文要到達的成員的目的組群號。6所述報文入口位置包括本地入口和遠端入口；當報文從本地入口時，所述第二獲取模塊通過本地入口從入口表中獲取發送所述報文的成員的源組群號；當報文從遠端入口時，所述第二獲取模塊通過遠端入口從入口表中獲取發送所述報文的成員的源組群號。與現有技術相比，本發明具有以下有益效果本發明的VPLS成員間的通信方法為每個成員配置了一個組群號，在報文經過路由器時，只有在判斷出發送報文的成員的源組群號與報文要到達成員的目的組群號相同時，才允許繼續轉發報文，也就是說，只允許組群號相同的成員之間互通。通過這樣進行限制后，就能夠使需要通信的成員之間互通，而將不需要通信的成員隔離起來，提高了網絡的安全性，滿足了用戶多樣化的需求。同時，本發明不改變現有數據傳輸流程，實現起來很容易。圖1為現有HVPLS的基本結構示意圖；圖2為本發明的通信方法流程圖；圖3為本發明的方法實施的網絡示意圖；圖4為本發明的路由設備結構示意圖。具體實施例方式本發明的通信方法提出組群的概念，即，為VPN內的每個成員分配一個組群號(GROUPID),需要互通的成員的組群號相同，不互通的成員的組群號不相同，組群號相同的成員組成一個組群。根據用戶通信的需要，首先在路由設備上進行命令配置，將需要通信的成員的組群號設置為相同。在通信時，路由設備通過判斷源組群號和目的組群號是否相同，來決定成員間是否互通。下面結合附圖對本發明的具體實施方式作進一步詳細說明。參考圖2，圖2為本發明的通信方法流程圖，包括步驟判斷VPLS入口報文的發送方式是否是單播，如果不是，就是廣播；當然還可以是組播的方式，這里只以單播和廣播為例進行說明。判斷出發送方式后，判定報文從本地入口還是從遠端入口；如果判斷出是從本地入口，則從本地入口表獲取源組群號，并根據判斷出的發送方式從相應的表中獲取目的組群號。當發送方式是單4番時，從MAC(MediaAccessControl,4某體訪問控制)表中獲得目的組群號，當發送方式是廣播時，從廣播表中獲得目的組群號。如果判斷出是從遠端入口，則從遠端入口表中獲取源組群號，并根據判斷出的發送方式從相應的表中獲取目的組群號。當發送方式是單播時，從MAC表中獲得目的組群號，當發送方式是廣播時，從廣播表中獲得目的組群號。源和目的組群號都是預先保存在MAC表或廣播表中的。無論報文從本地入口還是從遠端入口，都要比較獲得的源組群號和目的組群號是否相同，如果相同，則繼續轉發報文，否則，丟棄該報文。參考圖3，圖3為本發明的方法實施的網絡示意圖。下面對圖3中各成員的組群號的分配進行說明。成員分兩類本地成員和遠端成員。CE側的成員為本地成員，PW(Pseudo-Wires,虛鏈路)側的成員為遠端成員。PE1(用11表示)上的該VPLS域內存在4個成員，兩個本地成員CEla-l、CEla-2，分別用1、2表示；兩個遠端成員PWl-3、PW1-2,分別用3、4表示。PE2(用9表示)上存在4個成員，PWl-2、PW2-3、PW2-22、PW2-21，分別用4、6、7、8表示，都是遠端成員。PE3(用IO表示)上存在3個成員一個本地成員CE3a，用5表示；兩個遠端成員PW2-3、PWl-3。在PE上為每個成員分配組群號，具體參見表l，表1為圖2中VPLS域內成員及其組群號。表1<table>tableseeoriginaldocumentpage8</column></row><table><table>tableseeoriginaldocumentpage9</column></row><table>轉發方向1~4為報文從本地入口1、本地一>本地(CEla腸l國畫—>PE1—〉CEla-2單播)PE1上存在兩個本地成員，CEla-l和CEla-2。CEla-l經過PE1到達CEla-2。通信方式為單播時，表l中的對應關系同時保存在入口表和MAC表中，入口源組群號從入口表中獲取，而出口目的組群號從MAC表中獲取。通信方式為廣播時，表l中的對應關系同時保存在入口表和廣播表中，入口源組群號從入口表中獲取，而出口目的組群號從MAC表中獲取。除了單播和廣播，還可以組播的方式通信，此時，表l中的對應關系同時保存在入口表和組播表中，入口源組群號從入口表中獲取，而出口目的組群號從組播表中獲取。下面以單播和廣播為例進行說明。步驟1PE1本地入口，查入口表取得入口源組群號(GROUPID)，對照表1可知CEla-l對應的組群號為A;步驟2PE1查VPLSMAC表，取得出口目的組群號(GROUPID)，對照表1可知CEla-2對應的組群號為B;步驟3PE1對比源組群號A與目的組群號B,如果一致，則按照出口轉發給CEla-2;如果不一致，則丟棄。2、本地一>本地(CEla-l--—>PE1—〉CEla-2廣播)步驟1PE1本地入口，查入口表取得入口源組群號(GROUPID)，對照表1可知CEla-l對應的組號A;步驟2PE1查廣播表，取得出口目的組群號(GROUPID),對照表1可知CEla-2對應的組號B;步驟3PE1對比源組群號A與目的組群號B，如果一致，則按照出口轉發給CEla-2;如果不一致，則丟棄。3、本地一>遠端(CEla-l——>PE1——〉PWl-2單播)PE1上收到來自CEla-l的本地成員的報文，并向PW1-2偽線轉發，最終到達PE2。步驟1PE1本地入口，查入口表取得入口源組群號(GROUPID),對照表1可知CEla-l對應的組號A;步驟2PE1查VPLSMAC表，取得出口目的組群號(GROUPID)，對照表1可知PW1-2對應的組號D;步驟3PE1對比源組群號A與目的組群號D，如果一致，則按照出口向PE2轉發；如果不一致，則丟棄。4、本地一>遠端(CEla-l——>PE1——〉PWl-2廣4番)PE1上收到來自CEla-l的本地成員的報文，并向PW1-2偽線轉發，最終到達PE2。步驟lPE1本地入口，查入口表取得入口源組群號(GROUPID),對照表1可知CEla-1對應的組號A;步驟2PEl查廣播表，取得出口目的組群號(GROUPID),對照表1可知PWl-2對應的組號D;步驟3PEl對比源組群號A與目的組群號D,如果一致，則按照出口向PE2轉發；如果不一致，則丟棄。本地—_>遠端也可以是CEla-1——>PEl——>PWl-3，或CEla-2——>PEl——>PWl-3，或CEla-2--—>PE1—畫>PWl-2。報文從遠端入口5、遠端國-畫>本地(PWl-3——>PE3——>CE3a單播)假設PE3收到從遠端PEl經過PWl-3偽線來的報文，發向本地CE3a。步驟1PE3遠端入口，查入口表取得入口源組群號(GROUPID),對照表1可知PWl-3對應的組號J;步驟2PE3查VPLSMAC表，取得出口目的組群號(GROUPID),對照表1可知CE3a對應的組號I;步驟3PE3對比源組群號J與目的組群號I，如果一致，則按照出口轉發給CE3a;如果不一致，則丟棄。6、遠端一>本地(PWl-3——>PE3——>CE3a廣播)步驟1PE3遠端入口，查入口表取得入口源組群號(GROUPID),對照表1可知PWl-3對應的組號J;步驟2PE3查廣播表，取得出口目的組群號(GROUPID)，對照表1可知CE3a對應的組號I;步驟3PE3對比源組群號J與目的組群號I，如果一致，則按照出口轉發給CE3a;如果不一致，則丟棄。遠端—>本地的方式除了5和6,還包括PW2-3——>PE3——>CE3a，其通信方法與PWl-3——>PE3——>CE3a相同，在入口時由PE3查入口表取得源組群號，然后由PE3查單播或組播或廣播表取得目的組群號，并通過對比源組群號和目的組群號是否相同來決定成員間是否互通。7、遠端—->遠端(PW2-21——>NPE2——>PW2-22單播)遠端一—〉遠端的方式只在HVPLS中存在。對于HVPLS結構，PE2定義為NPE2。NPE2收到來自UPE2-1經過PW2-21偽線來的才艮文，并向PW2-22偽線轉發，最終到達UPE2-2。步驟1NPE2遠端入口，查入口表取得入口源組群號(GROUPID)，對照表1可知PW2-21對應的組號H;步驟2NPE2查VPLSMAC表，取得出口目的組群號(GROUPID),對照表1可知PW2-22對應的組號G;步驟3NPE2對比源組群號H與目的組群號G，如果一致，則按照出口向UPE2-2轉發；如果不一致，則丟棄。8、遠端畫-畫>遠端(PW2-21——>NPE2——〉PW2-22廣4番)步驟1NPE2遠端入口，查入口表取得入口源組群號(GROUPID),對照表1可知PW2-21對應的組號H;步驟2NPE2查廣播表，取得出口目的組群號(GROUPID),對照表1可知PW2-22對應的組號G;步驟3NPE2對比源組群號H與目的組群號G,如果一致，則按照出口向UPE2-2轉發；如果不一致，則丟棄。對于遠端一>遠端的情況，除了第7和8中的情況外，還可以是PWl-2…>PW2-22,或PWl-2畫—>PW2-21，或PW1-2—〉PW2-3等，只要是NPE2的遠端成員之間都可利用上述方法通信。上文中描述的通信方式都是以經過單一的PE或NPE為例進行的說明，當要經過多個PE或NPE時，也是利用上述方法，逐一的判斷源組群號和目的組群號是否一致，如果一致，則允許互通，如果不一致，則放棄。下面以一個例子來具體說明。假設CEla-l要與CE2a-2以廣播的方式通信，則CEla-l為源，CE2a-2為目的。在CEla-l與CE2a-2通信的過程中，要依次經過PEl、NPE2和UPE2-2，步驟如下1、PE1本地入口，查入口表取得入口源組群號(GROUPID)，對照表l可知CEla-l對應的組號A;2、PE1查廣播表，取得出口目的組群號(GROUPID)，對照表1可知PW1-212對應的組號D;3、PE1對比源組群號A與目的組群號D,如果一致，則按照出口向NPE2轉發，并執行第4步；如果不一致，則丟棄。4、NPE2遠端入口，查入口表取得入口源組群號(GROUPID)，對照表1可知PW1-2對應的組號E;5、NPE2查廣播表，取得出口目的組群號(GROUPID)，對照表1可知PW2-22對應的組號G;6、NPE2對比源組群號E與目的組群號G,如果一致，則按照出口向UPE2-2轉發，并執行第7步；如果不一致，則丟棄。7、UPE2-2遠端入口，查入口表取得入口源組群號(GROUPID)，對照表1可知PW2-22對應的組號M;8、UPE2-2查廣播表，取得出口目的組群號(GROUPID),對照表1可知CE2a-2對應的組號L;9、UPE2-2對比源組群號M與目的組群號L,如果一致，則按照出口向CE2a-2轉發，如果不一致，則丟棄。VPLS中各成員之間的通信都是按照上文所述的方法實現的，這里不再一一說明。源和目的都是相對的，發出報文的一方稱之為源，而接收的一方稱之為目的。上述方法中，每個成員具有唯一的組群號，當然，在表項大小允許的情況下，也可以為每個成員分配多個組群號，這樣可以實現更加靈活的配置。例如，有3個成員1~3,成員1擁有組群號R和S,成員2擁有組群號R,成員3擁有組群號S。這時，成員1既可以與成員2互通，也可以和成員3互通。但是成員2和3的組群號不同，因此，這二者之間不能直接互通。也就是說，每個成員可以具有至少一個組群號，在至少一個組群號中，只要包含有相同的組群號，這兩個成員之間就可以直接互通。通信的方法見上文，這里不再贅述。本發明還提供了一種路由設備，用來實現VPLS成員間的通信。參考圖4，圖4為本發明的路由設備結構示意圖。本發明的路由設備包括判斷模塊l、判斷模塊2、第一獲取模塊、第二獲取模塊和判斷模塊3。判斷模塊l，用于判斷報文的發送方式。報文的發送方式包括單播、廣播和組播。判斷模塊2，用于判斷報文入口位置。報文入口位置包括本地入口和遠端入口。第一獲^f莫塊，用于從與所述報文的發送方式對應的發送表中獲取報文要到達的成員的目的組群號，該發送表中預先對應保存有成員及其組群號。發送方式包括單播、廣播和組播，發送表也相應為MAC表、廣播表和組播表。當發送方式是單播時，從MAC表中獲得目的組群號；當發送方式是廣播時，從廣播表中獲得目的組群號；當發送方式是組播時，從組播表中獲得目的組群號。第二獲取模塊，用于通過報文入口位置，從入口表中獲取發送報文的成員的源組群號。如果是從本地入口，則通過本地入口從入口表獲取源組群號；如果是從遠端入口，則通過遠端入口從入口表中獲取源組群號。判斷模塊3,用于判斷報文要到達的目的組群號和發送報文的源組群號是否相同，如果相同，則轉發該才艮文，如果不相同，則丟棄該才艮文。本發明的路由設備可以組成圖3所示的VPLS網絡，下面以在圖3的網絡中發送報文為例來詳細說明本發明的路由設備的功能。假設NPE2收到來自UPE2-1經過PW2-21偽線來的報文，并向PW2-22偽線轉發，最終到達UPE2-2。假設NPE2的判斷模塊1判斷出報文以單播方式發送。NPE2的判斷模塊2判斷出報文從遠端入口。NPE2的第一獲取模塊根據單播發送的發送方式，從MAC表中獲取報文要到達的成員的目的組群號，對照表1可知PW2-22對應的組號G。NPE2的第二獲取模塊根據報文從遠端入口，通過遠端入口從入口表獲取發送"^艮文的成員的源組群號，對照表1可知PW2-21對應的組號H。然后，NPE2的判斷模塊3比較獲取的目的組群號G與源組群號H是否相同，如杲相同，則允許按照出口向UPE2-2轉發該報文，如果不相同，則丟棄該凈艮文。VPLS所有成員間的通信都可以通過本發明的路由設備的上述功能實現，14這里不再——說明,送表中，以及保存在入口表中。當然也可以將成員及對應的組群號單獨保存，在通過入口位置獲取組群號時，可以從單獨保存的成員及對應的組群號中獲取。在通過發送方式獲取時，可以從與發送方式相應的發送表中獲取報文出口，再根據出口從成員及對應的組群號中獲取報文要到達的成員的目的組群號。以上所述僅是本發明的優選實施方式，應當指出，對于本
技術領域：
的普通技術人員來說，在不脫離本發明原理的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應視為本發明的保護范圍。權利要求1.一種虛擬專用局域網成員間的通信方法，其特征在于，包括以下步驟獲取入口報文；獲取發送所述入口報文的成員的源組群號以及所述報文要到達的成員的目的組群號；判斷所述目的組群號和源組群號中是否包含相同的組群號，如果包含相同的組群號，則轉發所述報文，如果不包含，則丟棄所述報文。2.如權利要求1所述的虛擬專用局域網成員間的通信方法，其特征在于，目的組群號的步驟具體包括判斷所述入口報文的發送方式和入口位置；根據所述報文的發送方式，從與所述報文的發送方式對應的發送表中，獲取所述報文要到達的成員的目的組群號，所述發送表預先保存有成員及對應的組群號；根據所述報文的入口位置，從入口表中獲取發送所述報文的成員的源組群號，所述入口表預先保存有成員及對應的組群號。3.如權利要求2所述的虛擬專用局域網成員間的通信方法，其特征在于，所述發送方式包括單播、廣播和組播；當所述發送方式為單播時，從媒體訪問控制表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為廣播時，從廣播表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為組播時，從組播表中獲取所述報文要到達的成員的目的組群號。4.如權利要求2所述的虛擬專用局域網成員間的通信方法，其特征在于，所述才艮文入口位置包括本地入口和遠端入口；當報文從本地入口時，通過本地入口從入口表中獲取發送所述報文的成員的源組群號；當報文從遠端入口時，通過遠端入口從入口表中獲取發送所述報文的成員的源組群號。5.—種虛擬專用局域網成員間的通信設備，其特征在于，包括獲取模塊，用于獲取發送入口報文的成員的源組群號以及所述報文要到達的成員的目的組群號；判斷模塊，用于根據判斷出的所述目的組群號和源組群號中是否包含相同的組群號，決定是否轉發所述報文。6.如權利要求5所述的虛擬專用局域網成員間的通信設備，其特征在于，所述獲取模塊具體包括第一判斷模塊，用于判斷所述入口報文的發送方式和入口位置；第一獲取模塊，用于根據所述報文的發送方式，從與所述報文的發送方式對應的發送表中獲取報文要到達的成員的目的組群號，所述發送表預先保存有成員及對應的組群號；第二獲取模塊，用于根據所述報文入口位置，從入口表中獲取發送報文的成員的源組群號，所述入口表預先保存有成員及對應的組群號。7.如權利要求6所述的虛擬專用局域網成員間的通信設備，其特征在于，所述發送方式包括單播、廣播和組播；當所述發送方式為單播時，所述第一獲取模塊從々某體訪問控制表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為廣播時，所述第一獲取模塊從廣播表中獲取所述報文要到達的成員的目的組群號；當所述發送方式為組播時，所述第一獲取模塊從組播表中獲取所述報文要到達的成員的目的組群號。8.如權利要求6所述的虛擬專用局域網成員間的通信設備，其特征在于，所述報文入口位置包括本地入口和遠端入口；當報文從本地入口時，所述第二獲取模塊通過本地入口從入口表中獲取發送所述報文的成員的源組群號；當報文從遠端入口時，所述第二獲取模塊通過遠端入口從入口表中獲取發送所述"R文的成員的源組群號。全文摘要本發明提供了一種虛擬專用局域網成員間的通信方法及設備，其中，虛擬專用局域網成員間的通信方法包括步驟獲取入口報文；獲取發送所述入口報文的成員的源組群號以及所述報文要到達的成員的目的組群號；判斷所述目的組群號和源組群號中是否包含相同的組群號，如果包含相同的組群號，則轉發所述報文，如果不包含，則丟棄所述報文。本發明的通信方法為每個成員配置了一個組群號，在報文經過路由器時，只允許組群號相同的成員之間互通。通過這樣進行限制后，就能夠使需要通信的成員之間互通，而將不需要通信的成員隔離起來，提高了網絡的安全性，滿足了用戶多樣化的需求。同時，不改變現有數據傳輸流程，實現起來很容易。文檔編號H04L29/06GK101459673SQ20081023927公開日2009年6月17日申請日期2008年12月8日優先權日2008年12月8日發明者汪朋軍申請人:中興通訊股份有限公司