交換芯片及其實現方法

專利名稱：交換芯片及其實現方法
交換芯片及其實現方法
技術領域：
本發明涉及一種網絡通信技術，尤其涉及一種區分服務網絡中基于用戶級別的訪問控制和帶寬管理的芯片及其實現方法。
背景技術：
以太網技術由于其結構簡單、組網靈活、價格低廉以及在局域網的廣泛應用被大多數人所熟悉和接受。近年來，隨著以太網帶寬的和傳輸性能的不斷飛升，突破了傳統局域網的應用局限，正在極大地推動以太網技術和業務向城域網和廣域網的延伸和部署。而全球寬帶服務業者整合推出的IP電話、遠程視頻以及數據傳輸組成的三合一(triple-play) 業務又推動了城域網的發展。以太網在局域網表現出來的種種優勢，使其也欲在城域網的發展中脫穎而出，逐步取得主導地位。請參圖1所示，一種城域以太網服務模型，其中，數據包通過客戶端(CE)的用戶側-用戶網絡接口(UNI-C)及供應商端(PE)的網絡側-用戶網絡接口(UNI-N)進入服務商的城域以太網絡進行處理，并最終通過另一端的UNI-C及UNI-N傳出。城域網提供的區分服務體系架構，極大地擴展了在以太網中實施安全可靠的用戶管理和靈活可配置的用戶帶寬分配機制的能力。各設備廠商和組織正在積極籌劃并展開對城域以太網標準和相關技術的討論和制定，并且已經有了很多成果。目前，城域以太網論壇 (MEF)、國際電信聯盟-電信標準化部門(ITU-T) internet工程任務組(IETF)都對城域以太網業務進行了定義，雖然各個標準組織的具體定義不同，但是從業務的提供方式上來說都是基本相似的。城域以太網作為城域數據承載網所能提供的業務主要有三類點到點業務、點到多點業務和多點到多點業務。目前，許多運營商都已經采用了多協議標簽交換(MPLQ技術提供虛擬專用網絡(VPN)業務，在MPLS網絡上可以為用戶提供二層VPN業務，透明傳送用戶的二層業務流。運營商通過MPLS 二層VPN技術可以提供兩類業務虛擬租用專線業務 (VPffS)和虛擬專用局域網業務(VPLS)。MEF中明確提出城域以太網必須具有良好的服務質量(QM)機制，應能提供分類服務和確保最小帶寬服務。分類服務可針對某種服務類型， 提供不同級別的服務。將分類服務和確保最小帶寬結合起來，可以限定某個用戶的確保帶寬，從而將用戶不同的業務進行分類，提供差異化服務。在MEF-10. 1規范中規定了三種級別的帶寬定制方案，即基于用戶網絡接口(UNI)的帶寬配置(端口級別)、基于以太網虛連接(EVC)的帶寬配置(用戶級別)和基于EVC及CoS的帶寬配置(用戶業務級別)。這些帶寬定制方案既可以單獨使用，也可以聯合在一起使用，以向用戶提供更為高級的流量管理功能。顯而易見，城域以太網的建設和發展，將對用戶帶寬的管理進一步細化到了對用戶業務的帶寬分配上，這就要求以太網交換設備能夠在寬帶接入網上承載豐富的業務并提供強大的QoS處理能力。在用戶訪問控制上，雖然沒有相關的規范和標準，但隨著網絡應用的爆炸式發展和業務類型的不斷豐富，用戶也提出存在越來越多的特定需求。例如，某些企業用戶不希望其員工在工作時間內使用P2P應用而影響企業關鍵業務(如企業管理、視頻會議)的正常運行。針對這些用戶，基于用戶級別的訪問控制可以通過在服務商的接入設備上配置相應的訪問控制策略，對P2P流量進行分時限制和封殺，確保企業關鍵業務的正常使用，并降低網絡運營成本。綜上所述，城域以太網的QoS機制的最明確的要求就是服務區分并提供用戶業務級別、用戶級別以及端口級別的層次化QoS管理。網絡管理要求交換設備能夠區分出各個用戶并提供基于用戶級別的訪問控制和帶寬的精細化管理。現有技術在實現用戶級別的訪問控制時，均是采用在訪問控制列表(ACL)規則中加入各種復雜的特征屬性以區分不同的用戶，例如，在QinQ網絡中基于C-VLAN(用戶虛擬局域網)、S-VLAN(服務虛擬局域網)和端口號來唯一標識一個用戶；在VPLS和VPWS網絡中基于MPLS標簽和端口號來標識一個用戶。除此以外，當某個用戶從多個端口接入時，還需要在該用戶接入的所有端口上應用相同的ACL規則。類似地，現有技術在實現用戶級別的流分類規則中也需要同時引入各種區分用戶的特征屬性。現有技術方案在實現區分服務的訪問控制和服務質量管理時，存在以下不足(1)需要在每條規則中顯式地配置區分用戶的特征屬性。在不同類型的網絡中，標識用戶的特征屬性截然不同，這就增大了管理的復雜度。(2)在某些網絡中，區分用戶的特征屬性往往由交換路由設備動態分配，這些特征屬性對于管理員是透明的。例如在VPLS/VPWS中，動態的MPLS標簽分發機制將使得管理員無法確切獲知分配給各個用戶的標簽，也就無法配置出基于用戶的訪問控制和流量分類規則。(3)當用戶從多個端口接入到網絡時，管理員需要為該用戶在其各個接入端口上應用相同的管理策略。(4)現有技術在規則中配置了大量的屬性，進行規則匹配時需要更多的時間，整體上提高了規則查找的復雜度。

發明內容本發明所要解決的技術問題在于提供一種效率較高的交換芯片及其實現方法。為解決上述技術問題，本發明采用如下技術方案一種交換芯片，包括報文解析模塊、用戶標識模塊、ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊，所述報文解析模塊對進入其中的報文進行解析，然后再通過用戶標識模塊進行進一步解析以得到標識用戶的唯一服務標識符，并且后續的ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊均通過服務標識符對報文進行處理。作為本發明的進一步改進，所述報文解析模塊首先完成報文解析功能得到標識用戶的報文特征屬性字段及入端口號，然后用戶標識模塊根據報文特征屬性字段及入端口號對報文執行用戶識別，以得到標識用戶的唯一服務標識符。作為本發明的進一步改進，所述交換芯片包括存儲設備，所述ACL處理模塊根據服務標識符在交換芯片的存儲設備中查找與該報文其它各字段相匹配的訪問控制項，并得到與該訪問控制項相應的訪問控制執行動作。作為本發明的進一步改進，所述流分類處理模塊根據服務標識符在交換芯片的存儲設備中查找與該報文其它各字段相匹配的流分類項，并得到與該流分類項相應的帶寬管理執行策略項索引。作為本發明的進一步改進，所述流量監管處理模塊根據帶寬管理執行策略項索引在存儲設備中查找相應的流量監管策略，并根據得到的流量監管策略對該報文進行流量監管。作為本發明的進一步改進，所述用戶隊列管理模塊根據服務標識符和報文的優先級，選擇緩存隊列，每個服務標識符都分配一組緩存隊列，所述用戶隊列管理模塊根據報文的優先級在這一組緩存隊列中選取一個緩存報文。為解決上述技術問題，本發明還可以采用如下技術方案一種交換芯片的實現方法，所述交換芯片包括報文解析模塊、用戶標識模塊、ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊，所述交換芯片的實現方法包括如下步驟 (1).報文解析模塊對進入其中的報文進行解析，得到標識用戶的報文特征屬性字段及入端口號；(2).用戶標識模塊根據報文特征屬性字段及入端口號對報文執行用戶識別，得到標識用戶的唯一服務標識符；(3). ACL處理模塊根據服務標識符在交換芯片中查找與該報文其它各字段相匹配的訪問控制項，并得到與該訪問控制項相應的訪問控制執行動作；如果訪問控制執行動作定義丟棄該報文，則執行步驟(10)，否則繼續執行下一步操作；(4).流分類處理模塊根據服務標識符在交換芯片中查找與該報文其它各字段相匹配的流分類項，并得到與該流分類項相應的帶寬管理執行策略項索引；(5).流量監管處理模塊根據帶寬管理執行策略項索引在交換芯片中查找相應的流量監管策略，并根據得到的流量監管策略對該報文進行流量監管；如果流量監管的結果是丟棄該報文，則執行步驟(10)，否則對該報文進行標記并繼續執行下一步操作；(6).用戶隊列管理模塊根據該報文在用戶標識模塊得到的服務標識符和報文的優先級，選擇緩存隊列；(7).執行隊列管理，當隊列長度達到設定的門限值時，執行步驟(10)，否則繼續執行下一步操作；(8).報文入用戶隊列并執行用戶隊列流量整形；(9).報文出用戶隊列并執行后續的交換處理，最后從本交換芯片發送出去；(10).丟棄報文。作為本發明的進一步改進，所述交換芯片包括存儲設備，所述訪問控制項、流量監管策略及流分類項均是在存儲設備中查找而得到的。作為本發明的進一步改進，所述報文特征屬性字段包括虛擬局域網(VLAN)標簽。作為本發明的進一步改進，所述報文特征屬性字段包括多協議標簽交換(MPLS) 標簽。相較于現有技術，本發明通過在交換芯片內部為每個用戶分配一個唯一的服務標識符，交換芯片只需要做一次用戶識別后就可以得到其服務標識符，并根據服務標識符完成后續的交換處理，大大降低了在區分服務的訪問控制和QoS管理時的復雜度，提高了交換芯片的效率、增強了管理的靈活性及提升了網絡性能。
圖1是城域以太網服務模型原理圖。圖2是本發明交換機系統的交換芯片的處理原理圖。圖3是報文解析模塊和用戶標識模塊的工作流程圖。圖4是ACL處理模塊、流分類處理模塊及流量監管處理模塊的工作流程圖。圖5是用戶隊列管理模塊的工作流程圖。
具體實施方式圖2揭示了本發明區分服務網絡中基于用戶級別的訪問控制和QoS管理的交換芯片100及其實現方法，所述交換芯片100包括報文解析模塊6、用戶標識模塊1、ACL處理模塊2、流分類處理模塊3、流量監管處理模塊4、用戶隊列管理模塊5及存儲設備(未圖示)。 本發明交換芯片100實現方法的操作流程如下(1).請參圖3所示，報文解析模塊6對從用戶網絡接口(UNI)或者網間接口(NNI) 進入PE設備的報文進行解析，得到標識用戶的報文特征屬性字段(如VLAN標簽及MPLS標簽等)及入端口號；(2).用戶標識模塊1根據報文特征屬性字段及入端口號對報文執行用戶識別，得到標識用戶的唯一服務標識符；(3).請參圖4所示，ACL處理模塊2根據服務標識符在交換芯片100的存儲設備中查找與該報文其它各字段相匹配的訪問控制項，并得到與該訪問控制項相應的訪問控制執行動作；如果訪問控制執行動作定義丟棄該報文，則執行步驟(10)，否則繼續下一步操作；(4).流分類處理模塊3根據服務標識符在交換芯片100的存儲設備中查找與該報文其它各字段相匹配的流分類項，并得到與該流分類項相應的帶寬管理執行策略項索引；(5).流量監管處理模塊4根據帶寬管理執行策略項索引在存儲設備中查找相應的流量監管策略，并根據得到的流量監管策略對該報文進行流量監管；如果流量監管的結果是丟棄該報文，則執行步驟(10)，否則對該報文進行標記并送到下一個處理模塊繼續操作；(6).請參圖5所示，用戶隊列管理模塊5根據該報文在用戶標識模塊1得到的服務標識符和報文優先級，選擇緩存隊列，其中，每個用戶都可以擁有專用的一組隊列，報文進入的具體隊列號可以根據報文優先級進行選擇；(7).執行隊列管理，當隊列長度達到設定的門限值時，執行步驟(10)，否則繼續執行下一步操作；(8).報文入用戶隊列并執行用戶隊列流量整形；(9).報文出用戶隊列并執行后續的交換處理，最后從本交換芯片100發送出去；(10).丟棄報文；本發明交換芯片100支持所有常用的VPN服務模型，如QinQ、VPLS、VPWS等。軟件配置的操作流程如下(1).網絡管理員在設有交換芯片100的交換設備上創建一個用戶，軟件操作需要為該用戶分配一個唯一的用戶標識符，并下發一條用戶標識條目到交換芯片100的用戶標識模塊1 ；(2).網絡管理員為該用戶創建訪問控制規則來過濾來自該用戶的所有滿足訪問控制規則的報文；軟件操作需要將這些控制規則下發到交換芯片100的存儲設備上，并在這些控制規則中使用該用戶標識符作為一個屬性字段；(3).網絡管理員為該用戶創建帶寬管理策略來監管來自該用戶的所有流量；軟件操作需要將監管策略下發到交換芯片100的存儲設備上，并創建相應的流分類項下發存儲設備上；在流分類項中應使用該用戶標識符作為一個屬性字段，并將該分類項與管理員定義的帶寬管理策略關聯起來；(4).為該用戶分配一組專用的緩存隊列，軟件操作需要為該用戶的服務標識符和分配的隊列建立聯系，以便根據服務標識符便能直接計算出該用戶所使用的隊列號。本發明交換芯片100及其實現方法較現有技術存在如下優點(1).在交換芯片100內部為每個用戶分配一個唯一的服務標識符，交換芯片100 只需要做一次用戶識別后就可以得到其服務標識符，并根據服務標識符完成后續的交換處理。(2).在ACL規則中不再需要引入各種復雜的用戶特征屬性字段，所有這些特征屬性字段可以使用服務標識符來代替，減小了 ACL規則在存儲設備上的存儲空間，提高了規則查詢效率。(3).由于各種VPN服務所采用的標識用戶的特征屬性千差萬別，為各種服務提供相同的編程接口功能時，往往需要為各種VPN服務定義不同的接口。而本發明能夠基于服務標識符統一各種VPN服務模型的編程接口，相同功能的應用只需要定義一份接口就可以被各種VPN服務模塊調用，大大簡化了編程接口。(4).當用戶從多個端口接入到服務網絡情況下，本發明只需要下發一條ACL規則或流分類規則到存儲設備上。而現有技術需要為每個端口分別下發相同的規則。與現有技術相比，本發明大大節省了規則的存儲空間。綜上所述，以上僅為本發明的較佳實施例而已，不應以此限制本發明的范圍，即凡是依本發明權利要求書及發明說明書內容所作的簡單的等效變化與修飾，皆應仍屬本發明專利涵蓋的范圍內。
權利要求
1.一種交換芯片，包括報文解析模塊、用戶標識模塊、ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊，其特征在于所述報文解析模塊對進入其中的報文進行解析，然后再通過用戶標識模塊對報文進行進一步解析以得到標識用戶的唯一服務標識符，并且后續的ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊均通過服務標識符對報文進行處理。
2.如權利要求1所述的交換芯片，其特征在于所述報文解析模塊首先完成報文解析功能得到標識用戶的報文特征屬性字段及入端口號，然后用戶標識模塊根據報文特征屬性字段及入端口號對報文執行用戶識別，以得到標識用戶的唯一服務標識符。
3.如權利要求2所述的交換芯片，其特征在于所述交換芯片包括存儲設備，所述ACL 處理模塊根據服務標識符在交換芯片的存儲設備中查找與該報文其它各字段相匹配的訪問控制項，并得到與該訪問控制項相應的訪問控制執行動作。
4.如權利要求3所述的交換芯片，其特征在于所述流分類處理模塊根據服務標識符在交換芯片的存儲設備中查找與該報文其它各字段相匹配的流分類項，并得到與該流分類項相應的帶寬管理執行策略項索引。
5.如權利要求4所述的交換芯片，其特征在于所述流量監管處理模塊根據帶寬管理執行策略項索引在存儲設備中查找相應的流量監管策略，并根據得到的流量監管策略對該報文進行流量監管。
6.如權利要求5所述的交換芯片，其特征在于所述用戶隊列管理模塊根據服務標識符和報文的優先級，選擇緩存隊列，每個服務標識符都分配一組緩存隊列，所述用戶隊列管理模塊根據報文的優先級在這一組緩存隊列中選取一個緩存報文。
7.一種交換芯片的實現方法，所述交換芯片包括報文解析模塊、用戶標識模塊、ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊，所述交換芯片的實現方法包括如下步驟(1).報文解析模塊對進入其中的報文進行解析，得到標識用戶的報文特征屬性字段及入端口號；(2).用戶標識模塊根據報文特征屬性字段及入端口號對報文執行用戶識別，得到標識用戶的唯一服務標識符；(3).ACL處理模塊根據服務標識符在交換芯片中查找與該報文其它各字段相匹配的訪問控制項，并得到與該訪問控制項相應的訪問控制執行動作；如果訪問控制執行動作定義丟棄該報文，則執行步驟(10)，否則繼續執行下一步操作；(4).流分類處理模塊根據服務標識符在交換芯片中查找與該報文其它各字段相匹配的流分類項，并得到與該流分類項相應的帶寬管理執行策略項索引；(5).流量監管處理模塊根據帶寬管理執行策略項索引在交換芯片中查找相應的流量監管策略，并根據得到的流量監管策略對該報文進行流量監管；如果流量監管的結果是丟棄該報文，則執行步驟(10)，否則對該報文進行標記并繼續執行下一步操作；(6).用戶隊列管理模塊根據該報文在用戶標識模塊得到的服務標識符和報文的優先級，選擇緩存隊列；(7).執行隊列管理，當隊列長度達到設定的門限值時，執行步驟(10)，否則繼續執行下一步操作；(8).報文入用戶隊列并執行用戶隊列流量整形；(9).報文出用戶隊列并執行后續的交換處理，最后從本交換芯片發送出去；(10).丟棄報文。
8.如權利要求7所述的交換芯片的實現方法，其特征在于所述交換芯片包括存儲設備，所述訪問控制項、流量監管策略及流分類項均是在存儲設備中查找而得到的。
9.如權利要求7所述的交換芯片的實現方法，其特征在于所述報文特征屬性字段包括虛擬局域網(VLAN)標簽。
10.如權利要求7所述的交換芯片的實現方法，其特征在于所述報文特征屬性字段包括多協議標簽交換(MPLQ標簽。
全文摘要
本發明公開了一種交換芯片及其實現方法，所述交換芯片包括用戶標識模塊、ACL處理模塊、流分類處理模塊、流量監管處理模塊及用戶隊列管理模塊，所述用戶標識模塊設有將進入其中的報文進行解析以得到標識用戶的唯一服務標識符，并且后續的處理模塊均通過服務標識符對報文進行處理。如此設置，在后續的報文處理模塊中無需再次引入復雜的用戶特征屬性字段來處理該報文，大大降低了在區分服務的訪問控制和QoS管理時的復雜度，增強了管理的靈活性及提升了網絡性能。
文檔編號H04L29/06GK102377645SQ201010252239
公開日2012年3月14日 申請日期2010年8月12日 優先權日2010年8月12日
發明者張衛峰, 榮亮 申請人:盛科網絡(蘇州)有限公司