技術領域

本發明一般涉及網絡通信技術，特別涉及一種接入IP公網的虛擬交換機系統。

技術背景

虛擬交換機(VS)是一種虛擬私用網(VPN)的實現方法。虛擬交換機是在網絡設備上通過配置生成的功能實體，它能夠完成以太網交換機的功能。一臺網絡設備上可以劃分出多個虛擬交換機，虛擬交換機可以用于組建虛擬私有局域網段(VPLS)以及提供用戶流量匯聚。

虛擬交換機最初應用在ATM(異步傳輸模式)設備上提供虛擬私有局域網段業務。之后，虛擬交換機加入了以太接入以及在IP公網透傳以太報文的GRE(通用路由封裝)隧道接入功能。目前虛擬交換機搭建VPN的組網方式見圖1。

虛擬交換機利用鏈路層(以太)信息進行數據包的轉發，全部使用虛擬交換機搭建的網絡類似于一個以太網。

目前VS和IP(網際協議)轉發組件都位于電信局的邊緣業務節點上，邊緣業務節點的基本功能是滿足用戶的上網需求，IP轉發組件是邊緣業務節點的核心之一，功能類似于路由器。而VS是在邊緣業務節點上為了滿足企業組建VPN的需求，以及為電信局增加收入而添加的擴展組件。在邊緣業務節點上，VS和IP轉發組件是獨立的功能模塊。邊緣業務節點只有加入VS組件才具有組建VPLS的能力。由于實現了虛擬交換機的網絡設備還不具備把報文送往IP轉發組件進行路由轉發的能力，因此由虛擬交換機構成的企業私有網或匯聚的用戶要訪問IP網絡必須添加顯式的外部連接通道，如路由器或連線。

圖2是現有技術一的技術方案示意圖。如圖2所示，企業使用VS來構建VPLS，但需在某個站點內部另外配置一臺路由器與公網相連。VPLS內部的設備通過這一路由器訪問公網。在該路由器之上或之內一般會配置地址轉換和報文過濾規則，用于保證企業私有網的安全性。

在該方案中，VPLS內部網絡設備把路由器的VPLS側接口IP地址設置為網關。VPLS內部到IP公網的報文都被轉發到路由器。路由器查找路由后，把報文送到IP公網，即圖中電信局方的邊緣業務節點的IP公網側接口上。

從IP公網來的IP報文，即電信局方邊緣業務節點公網側接口來的報文到達路由器，企業路由器查找路由。如果目的地在VPLS內部，則把報文送到路由器的VPLS側接口，在VPLS內部進行轉發。

這種組網方案適用于具有較強技術實力和經濟基礎的企業用戶。

該現有技術一的缺點是它需要添加路由設備，從而增加了用戶的開銷。而且，路由器與邊緣業務節點連接還占用了邊緣業務節點的寶貴的端口資源。另外，由于訪問公網時使用的NAT(網絡地址轉換)和安全規則需要用戶配置，從而增加用戶的維護難度。

圖3示出了與本發明相關的現有技術二。如圖3所示，在邊緣業務節點加一條外部連線，連接一個接入VS的端口和一個接入IP轉發組件的端口。這樣，接入VS的用戶就可以通過該外部通道把數據發送到IP組件進行IP層轉發了。

在該方案中，VPLS內部把與VS直連的IP轉發組件的接口IP地址設置為網關。VPLS內部到IP公網的報文都被VS轉發與它直連的IP轉發組件的接口上。IP轉發組件查找路由后，把報文送到IP公網。

從IP公網來的IP報文到達邊緣業務節點的IP轉發組件，IP轉發組件查找路由。如果目的地在VPLS內部，則把報文送到與它直連的VPLS側接口交給VS，之后報文在VPLS內部進行轉發。

該方案常用于通過VS來匯聚訪問公網的接入用戶的數據流量，也可用于一些對安全性要求不高、資金有限的企業構建VPLS。

由于一般邊緣業務節點是放在電信局的。電信部門為了獲取大的利潤，邊緣業務節點為許多用戶共享，邊緣業務節點對外接口是稀缺資源，一個對外接口可以接入多個企業用戶。該現有技術二要在電信局的邊緣業務節點上進行，企業用戶要占用一個外部接口(例如一個ATM口或一個以太物理接口)，代價昂貴，并且對VPLS企業用戶缺乏安全性。

發明內容

因此，本發明就是針對解決現有技術中的上述缺點而做出的，其一個目的是提供一種虛擬交換機系統，使其接入IP公網時，基于VS構建VPLS的企業用戶在訪問公網資源時既不占用寶貴的邊緣業務節點的對外接口，又無須添加額外的路由設備。