技術領域

本發明涉及基于多協議標簽交換網絡(Multi?Protocol?LabelSwitch，簡稱MPLS)技術的二層虛擬專網(Layer?2?Virtual?PrivateNetwork，簡稱L2VPN)中的虛擬專網服務(Virtual?Private?LANService，簡稱VPLS)技術，更具體地，涉及實現VPLS虛擬專網(Virtual?Private?Network，簡稱VPN)中用戶分組之間互通/隔離的裝置。

背景技術

VPLS為用戶提供的是虛擬的局域網(Local?Area?Network，簡稱LAN)服務，通過VPLS技術可以讓所有的客戶無論在物理上位于何處，都看似處于一個LAN之內，享受LAN所帶來的便利和好處。在傳統的LAN中為了增強網絡的安全性而使用VLAN進行用戶的隔離和訪問控制，它通過分割多個廣播域，使得在2層VLAN之間無法互訪，避免一些潛在的安全隱患。

在VPLS?VPN中，數據報文的可到達性信息是依靠數據層面的物理地址(即MAC地址)的學習功能而得到的。當有數據報文從一條偽線(Pseudo?Wire，簡稱PW)上到達時，如果源MAC地址是未知MAC地址(即，在轉發表中查找不到對應的轉發條目)，那么需要將該MAC地址和這條PW聯系起來，這樣當下次有到該MAC的數據報文時就可以從該條PW上發送出去，同樣的，當有數據報文從一條本地連接電路(Attachment?Circuits，簡稱AC)上到達時，也要把該報文的源MAC地址和該AC聯系起來，下次有到該MAC的數據報文的時候就從該AC發送。所有的這些MAC地址和PW或是AC之間的映射關系保存到一起就形成了轉發信息表(Forwarding?Information?Base，簡稱FIB)。

在VPLS中，MAC地址的學習方式有兩種，一種是qualified(附條件)方式，另外一種是unqualified(無條件)方式。在unqualified方式中，所有的VLAN共享一個廣播域和一個MAC地址空間，不同VLAN之間的用戶的MAC地址不能重疊，也不能實現不同VLAN之間的隔離；在qualified方式中，同一VPLS?VPN中的用戶必須處于同一VLAN中，不允許一個VPLS?VPN有多個VLAN，此時學習的對象不再僅僅是MAC，而是VLAN?tag+MAC。

可以看出，在qualified學習方式中，一個VPLS?VPN中的用戶只能處于一個VLAN中，無法真正的發揮VLAN的作用，同樣，在unqualified學習方式中，雖然多個VLAN可以處在同一個VPLSVPN中，但是VPLS?VPN卻無法區分這些VLAN。

因此，在現有的VPLS?VPN中，無法利用VLAN實現用戶的分組和隔離，更無法實現不同組之間用戶的互通。

發明內容

本發明的主要目的在于提供一種虛擬專網服務中用戶分組之間互通/隔離的裝置，其能夠利用VLAN實現用戶分組的隔離，同時能夠實現不同組之間用戶的互通。

根據本發明的用戶分組互通/隔離裝置包括：VLAN互通命令配置模塊，用于解析用戶配置的VLAN互通配置命令和VLAN互通刪除命令；MAC地址學習和FIB管理模塊，連接至VLAN互通命令配置模塊，能夠處理來自多個VLAN的報文，用于將VLAN中的MAC地址的轉發條目拷貝到與VLAN互通的其他VLAN中，并將轉發條目寫入FIB中用于報文轉發；以及報文轉發模塊，連接至所MAC地址學習和FIB管理模塊，能夠處理來自多個VLAN的報文，用于根據VLAN互通情況將報文向其他有互通關系的VLAN廣播，并且在處理相關單播報文時根據轉發條目替換報文的VLAN后再進行轉發。

其中，VLAN互通命令配置模塊用于將用戶的配置命令解析后生成VLAN互通關系表，并將互通關系表下發給MAC地址學習和FIB管理模塊用于后續的MAC地址學習。

另外，本發明提供的技術方案在附條件模式下進行MAC地址學習，一個VPLS?VPN中有多個VLAN，在其中的兩個VLAN之間不互通的情況下，兩個VLAN之間可以有相同的MAC，在兩個VLAN之間互通的情況下，兩個VLAN之間不能具有相同的MAC。