專利名稱:經路由器將vlan系統連接至其它網絡的方法
技術領域:
本發明涉及用于借助路由器將包括多個虛擬局域網(VLAN)的系統連接至更廣域 網絡的技術。
背景技術:
圖1顯示用于向位于多個位置的用戶提供電話、互聯網和電視/視頻業務的寬帶 網絡的簡圖。 一系列的業務提供商通過常規接入點12將各種業務(SP1、SP2、SP3)提供給 網絡IO。網絡10提供借助位于用戶附近的路由器14的到用戶的連接。這些位置可以包括 商業區域和家庭用戶,該商業區域在商業設施16內具有路由器,該家庭用戶具有位于中央 局18的路由器,該路由器用于分離住宅(寓所17)的鄰里或者位于諸如公寓建筑的單體建 筑19內。網絡運營商通過使用控制和供應系統20管理網絡功能。 某些用戶,尤其是商業用戶,可能能夠使用局域網(LAN)。為了在具有到更廣域網 絡的連接的同時提供該操作,當前可以使用一系列產品和解決方案從而能夠提供層2 LAN 和虛擬LAN (VLAN) 。 VLAN允許在單個物理基礎設施內建立高效分離的LAN。簡單VLAN系統 在圖2中圖示并包括本地(層2)交換機,改交換機具有到連接至該VLAN的多個用戶的多 條連接4和連接到路由器14上的端口的物理連接6。該路由器將具有可用于這些連接的固 定數量的端口 。例如,Packetfront的ASR4K具有可以使用的32個端口 。路由器14提供 用于所連接VLAN的層3接口 8,并且連接至更廣域網絡10。本地交換機2、用戶連接4和到 接口 8的連接6定義了層2部分VLAN。 圖2的系統具有借助本地交換機2連接的一個VLAN。然而,通常可能希望自本地 交換機操作多個VLAN。在美國華盛頓州Spokane Valley的World Wide Packets公司2005 年12月發表的白皮書'Layer 2 Virtual PrivateNetwork'中可以發現此解決方案的常用 方法的細節(參見http://www. wwp. com/technology/white-p即ers/L2-VPN-WhiteP即er. pdf)。本地交換設備,例如World Wide Packets的LightningEdge設備,允許將若干VLAN 連接至路由器以訪問更廣域的網絡。根據合適的標準(IEEE 802. IQ),將標簽作為標識符 與每個VLAN關聯。最多4094個標簽(VLAN)可用于每個設備。當將這些設備連接至路由 器(例如圖1的路由器14)時,路由器通常為每個VLAN分配邏輯層3接口。因此,在數據 尋址中包括標簽允許將該數據被傳送至適當的VLAN。 已經提出了用于連接至VLAN的各種建議。在US2007/058638中,通過具有分段標 識的路由分配、用于給定VPN段的策略分配和使用代表VPN段(子網絡)的以太網VLAN— ID的用于每段的封裝/解除封裝,路由機制提供網絡分段保存。在消息分組內封裝的分段 信息識別下述內容,該內容就是哪個路由和轉發表會用于下一跳。普通的路由實例自公共 接口接收消息分組,并且從表示子網絡(例如分段)的VLAN—ID或者分段標識符索引相應 VRF表格。以這種方式,路由實例接收輸入消息分組,解封在輸入消息分組內的VLAN_ID,和 從該VLAN_ID中索引相應的VRF和策略ID,從而在用于耦合至特定轉發設備(例如VPN路 由器)的多個分段(子網絡)的公共子接口上使用公共路由實例。在US7200145中描述的
4系統使用2層交換機(L2交換機)或網橋,利用在交換機內定義的虛擬局域網(VLAN)分離 用戶的消息流量。定義了三種新的端口類型,"混雜"端口 (promiscuousport)、"獨立"端口 (isolated port)和"團體"端口 (community port)。三種類型VLAN在交換機內部得以定 義,該三種該類型的VLAN分別為"主"VLAN、"獨立"VLAN和"團體"VLAN。混雜端口連接至 層3或層4設備。獨立端口和團體端口連接至個人用戶的服務器等,并維持每個用戶的流 量與其它用戶隔離。主VLAN連接至全部混雜端口、全部獨立端口和全部團體端口。主VLAN 是自混雜端口至獨立或團體端口的單向連接。獨立VLAN連接至全部混雜端口和全部獨立 端口。獨立VLAN是自獨立端口至混雜端口的單向連接。將團體VLAN定義為連接至團體端 口組,并且還連接至全部混雜端口。該團體端口組被稱為團體端口"團體"。團體VLAN是自 端口團體至混雜端口的單向連接,但是允許將通過一個團體端口接收的分組通過連接至該 團體VLAN的其它團體端口發送出該交換機。 當前的用于連接多個VLAN系統的方法存在多個問題。 一個問題在于,將分離的邏 輯層3接口分配給每個VLAN會很快占用路由器的全部內存,尤其是具有較低存儲能力的低 端路由器。另一個問題在于,VLAN到VLAN的通信需要使用位于本地交換機和路由器之間 的層2交換機。這樣,通信路徑就規避了路由器,它也可以規避諸如過濾和防火墻等路由器 功能,這不是人們所期望的。 本發明的目的是提供一種在沒有這些問題的情況下允許全部VLAN直接訪問路由 器的技術。
發明內容
本發明的一個方面在于,提供一種用于通過路由器將本地系統連接至更廣域網絡
的方法,該本地系統包括連接至本地層2交換機的至少兩個VLAN,該方法包括-提供本地交換機和路由器端口之間的連接;-將單個邏輯層3接口分配給通過本地交換機連接的兩個VLAN ;-將VLAN標簽分配給每個連接的VLAN ;-通過本地交換機將來自連接至兩個所連接的VLAN之一的用戶的輸出數據傳送 給路由器,該輸出數據包括用戶在VLAN內的地址、該數據的預期接收者和分配給該用戶所 連接至的VLAN的VLAN標簽;- —旦在路由器上接收到該輸出數據,則將該用戶的地址和VLAN標簽復制到轉發 表;-將輸出數據從指定層3接口轉發到更廣域網絡以發送給預期接收者;
-在層3接口上接收預期發送給用戶的輸入數據,該數據包括用戶地址;
-查詢查找表以獲取與用戶地址關聯的VLAN標簽;
-將該VLAN標簽應用于輸入數據;禾口-將該輸入數據和VLAN標簽轉發給本地交換機以發送給用戶。 本發明的另一方面提供一種用于將在包括VLAN的本地系統內的用戶連接至更廣
域網絡的系統,包括 -VLAN連接至的本地層2交換機,該本地交換機具有與其連接的至少兩個VLAN和 配置以將VLAN標簽分配給每個所連接的VLAN ;禾口
-用于通過本地交換機接收來自連接至VLAN之一的用戶的輸出數據的路由器,該 輸出數據包括用戶在VLAN內的地址、數據的預期接收者和分配給該用戶連接至的VLAN的 VLAN標簽,該本地交換機連接至路由器上的端口 ; 其中路由器將單個層3接口分配給所連接的VLAN,并且一旦接收到輸出數據,將 用戶地址和VLAN標簽復制至轉發表和通過層3接口將輸出數據轉發給更廣域網絡以發送 給預期接收者;并且一旦在所分配的層3接口上接收到包括用戶地址的預期發送給用戶的 輸入數據,查詢查找表以獲得與用戶地址關聯的VLAN標簽,將該VLAN標簽應用于輸入數 據,和將該輸入數據和VLAN標簽轉發給本地交換機以發送給用戶。 在優選實施例中,提供了多個本地交換機,每個本地交換機具有與其連接的多個 VLAN。類似地,可以提供多個路由器。 每個本地交換機優選連接至該路由器上的單個邏輯端口 。 更廣域的網絡通常是可以為用戶提供互聯網、電視和電話連接的寬帶網絡。
圖1圖示本發明得以應用的普通網絡系統; 圖2圖示現有技術中用于連接至路由器的VLAN配置;禾口 圖3圖示根據本發明實施例的系統示意圖。
具體實施例方式
圖1圖示本發明得以運行的網絡系統。網絡10的運行由配置網絡的各個單元以 期望方式運行的控制和供應系統20控制。 對于控制和供應系統20的功能,可以以抽象方式將網絡視為包括核心22,該核心 22包括一個或多個單元24,每個單元具有一個或多個網絡單元26,如圖3所示。用戶28連 接至網絡單元26。此結構將不與構成網絡的物理單元混淆。根據所關注網絡的實際大小和 組成,功能模塊22、24、26可以全部或部分位于相同或不同物理單元內,盡管每個網絡單元 26將包括路由器。 在本發明的一種實施例中,用戶28包括本地(層2)交換機,其具有該用戶連接的 多個VLAN 30。每個VLAN通常將以常規方式具有多個個人用戶。 在使用中,本地交換機28具有到路由器26的單個物理連接,所述路由器具有分配 給該連接的一個或多個邏輯層3接口。通常,將一個層3接口分配給全部所連接的VLAN, 但是也可以將所連接的VLAN再分組,每組具有所分配的層3接口 。通過將單個層3地址分 配給多個VLAN,可以將許多VLAN連接至路由器,而不超過其存儲容量。通過以常規方式在 VLAN上發送包括其邏輯地址的數據,連接至VLAN之一的用戶與網絡通信。本地交換機提供 用于該數據的VLAN標簽以標識該用戶連接至的VLAN。 將包括VLAN標簽的輸出數據發送給路由器26上的所分配的層3接口 。 一旦接收 到輸出數據,路由器26讀取該地址并且將用戶地址和相關VLAN標簽裝載至轉發表32。隨 后,以通常方式使用接收者地址將該數據轉發給更廣域網絡。 輸入數據將尋址至具有普通邏輯地址的用戶,即不包括VLAN標簽的用戶。 一旦接 收到輸入數據,路由器26查詢查找表32以確定與用戶的邏輯目的地址關聯的VLAN標簽,并將其附加給數據。隨后,將該數據傳送給本地交換機,其又將該數據發送給用戶所處的適 當VLAN。 因為路由器26可以將單個層3接口分配給多個VLAN,可以使用較低規格的路由器 為大量用戶提供連接。因為路由器26還通常在網絡運營商的控制之下,還可以控制VLAN 的接口分配。從用戶的角度來看,可以通過路由器與其它VLAN通信,從而獲得全部路由器 功能(防火墻、過濾等)的益處。 在本發明的保護范圍之內可以對上述系統進行各種改變。兩個或更多本地交換機 28可以連接至路由器26。類似地,多個路由器可以具有以這種方式通過本地交換機連接的 多個VLAN。其它的此類改變也將是顯而易見的。
權利要求
一種用于通過路由器(26)將本地系統連接至更廣域網絡(10)的方法,該本地系統包括連接至本地層(2)交換機(28)的至少兩個VLAN(30),該方法包括-提供在本地層(2)交換機(28)和路由器(26)端口之間的連接;-將單個邏輯層(3)接口分配給通過本地層(2)交換機(28)連接的兩個VLAN(30);-將VLAN標簽分配給每個連接的VLAN(30);-通過本地層(2)交換機(28)將來自連接至兩個所連接的VLAN(30)之一的用戶的輸出數據傳送給路由器(26),該輸出數據包括用戶在VLAN(30)內的地址、該數據的預期接收者和分配給該用戶所連接至的VLAN(30)的VLAN標簽;-一旦在路由器(26)上接收到該輸出數據,則將該用戶的地址和VLAN標簽復制到轉發表(32);-將輸出數據從指定層(3)接口轉發到更廣域網絡(10)以發送給預期接收者;-在層(3)接口上接收預期發送給用戶的輸入數據,該數據包括用戶地址;-查詢查找表(32)以獲取與用戶地址關聯的VLAN標簽;-將該VLAN標簽應用于輸入數據;和-將該輸入數據和VLAN標簽轉發給本地層(2)交換機(28)以發送給用戶。
2. 如權利要求1要求保護的方法,其中提供多個本地層(2)交換機(28),分別具有與 之連接的多個VLAN(30)。
3. 如權利要求1或2要求保護的方法,包括將單個層(3)接口分配給連接至本地層(2) 交換機(28)的全部VLAN。
4. 如權利要求1、2或3要求保護的方法,包括分配多個層(3)接口,將其中至少之一分 配給多個VLAN(30)。
5. —種用于將在包括VLAN(30)的本地系統內的用戶連接至更廣域網絡(10)的系統, 包括-VLAN(30)連接至的本地層(2)交換機(28),該本地交換機(28)具有與其連接的至少 兩個VLAN(30)和配置以將VLAN標簽分配給每個所連接的VLAN(30);禾口-用于通過本地層(2)交換機(28)接收來自連接至VLAN(30)之一的用戶的輸出數據 的路由器(26),該輸出數據包括用戶在VLAN(30)內的地址、該數據的預期接收者和分配給 該用戶連接至的VLAN(30)的VLAN標簽,該本地層2交換機(28)連接至路由器(26)上的 端口 ;其中路由器(26)將單個層(3)接口分配給所連接的VLAN(30),一旦接收到輸出數據, 將用戶地址和VLAN標簽復制至轉發表和通過層(3)接口將輸出數據轉發給更廣域網絡 (10)以發送給預期接收者;一旦在所分配的層(3)接口上接收到包括用戶地址的預期發送 給用戶的輸入數據,查詢查找表(32)以獲得與用戶地址關聯的VLAN標簽,將該VLAN標簽 應用于輸入數據,和將該輸入數據和VLAN標簽轉發給本地層(2)交換機(28)以發送給用 戶。
6. 如權利要求4要求保護的系統,還包括連接至路由器(26)的多個本地層(2)交換機 (28),每個本地層(2)交換機(28)包括與之連接的多個VLAN(30)。
7. 如權利要求4或5要求保護的系統,包括多個路由器(26),分別具有與之連接的一 個或多個本地層(2)交換機(28)。
8.如權利要求4至6中任一權利要求要求保護的系統,其中每個本地層(2)交換機 (28)連接至在路由器(26)上的相應單個邏輯層(3)接口。
全文摘要
一種用于通過路由器將本地系統連接至更廣域網絡的方法,該本地系統包括連接至本地層(2)交換機的至少兩個VLAN,該方法包括在路由器上提供在本地交換機和端口之間的連接;將單個邏輯層(3)接口分配給通過本地交換機連接的兩個VLAN;將VLAN標簽分配給每個連接的VLAN;通過本地交換機將來自連接至兩個所連接的VLAN之一的用戶的輸出數據傳送給路由器,該輸出數據包括用戶在VLAN內的地址、該數據的預期接收者和分配給該用戶所連接至的VLAN的VLAN標簽;一旦在路由器上接收到該輸出數據,則將該用戶的地址和VLAN標簽復制到轉發表;將來自所分配層(3)接口的輸出數據轉發給更廣域網絡以發送給預期接收者;在層(3)接口上接收預期發送給用戶的輸入數據,該數據包括用戶地址;查詢查找表以獲取與用戶地址關聯的VLAN標簽;將該VLAN標簽應用于輸入數據;和將該輸入數據和VLAN標簽轉發給本地交換機以發送給用戶。
文檔編號H04L12/46GK101743722SQ200880017763
公開日2010年6月16日 申請日期2008年5月28日 優先權日2007年5月29日
發明者安德烈亞斯·厄曼 申請人:瑞典福拓信息系統有限公司