技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是涉及一種MCE代理功能實現(xiàn)方法及其裝置。

背景技術(shù)

隨著用戶業(yè)務的不斷細化和安全需求的提高，很多情況下一個私有網(wǎng)絡(luò)內(nèi)的用戶需要劃分成多個VPN(Virtual?Private?Network，虛擬專用網(wǎng)絡(luò))，不同VPN用戶間的業(yè)務需要完全隔離。此時，為每個VPN單獨配置一臺CE(客戶端設(shè)備)將加大用戶的設(shè)備開支和維護成本；而多個VPN共用一臺CE，使用同一個路由表項，又無法保證數(shù)據(jù)的安全性。

使用以太網(wǎng)交換機提供的MCE(Multi-VPN-Instance?CE，多實例CE)功能，使多個用戶可以共享一個CE，可以有效解決多VPN網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾。所謂MCE功能，即通過多實例在CE設(shè)備上提供邏輯獨立的路由實例和地址空間，它使用CE設(shè)備本身的VLAN(虛擬局域網(wǎng))接口編號與網(wǎng)絡(luò)內(nèi)的VPN進行綁定，并為每個VPN創(chuàng)建和維護獨立的路由轉(zhuǎn)發(fā)表(Multi-VRF)。這樣不但能夠隔離私網(wǎng)內(nèi)不同VPN的報文轉(zhuǎn)發(fā)路徑，而且通過與PE(運營商邊界設(shè)備)間的配合，能夠?qū)⒚總€VPN的路由正確發(fā)布至對端PE，保證VPN報文在公網(wǎng)內(nèi)的傳輸，從而通過MCE實現(xiàn)用戶業(yè)務功能的細化，以及對用戶安全性方面的保護，滿足用戶對業(yè)務細化和安全性的需求。

但是，并不是所有交換機的單板都支持MCE功能，對于不支持MCE功能的單板需要采用代理方式，即由能夠支持MCE的單板代理不支持MCE的單板實現(xiàn)MCE功能。

目前，對于不支持MCE功能的單板，可通過其Bridge口實現(xiàn)MCE的代理功能。具體做法可以是：在不支持MCE的單板上，下發(fā)與VLAN?ID匹配的ACL(Access?Control?List，訪問控制列表)到該單板的Bridge口，將下發(fā)到該單板的與該VLAV?ID對應的VLAN流量都通過Bridge口的ACL重定向到代理板，然后代理板通過流量中的VLAN信息獲取VRF(VPNRouting?Forwarding?Table，VPN路由和轉(zhuǎn)發(fā)表)，通過VRF+DIP進行報文轉(zhuǎn)發(fā)。

以上方法雖然可以實現(xiàn)將VLAN流量重定向到代理板，但是，是通過單板的Bridge口實現(xiàn)的。在實際應用中，存在需要通過單板的路由口實現(xiàn)MCE的代理功能的需求，而目前并沒有通過單板的路由口實現(xiàn)MCE代理功能的相應解決方案。

發(fā)明內(nèi)容

本發(fā)明提供了一種MCE代理功能實現(xiàn)方法及其裝置，用以通過交換機單板的路由口實現(xiàn)MCE的代理功能。

本發(fā)明提供的MCE代理功能實現(xiàn)方法，應用于交換機設(shè)備中的支持MCE功能的單板代理不支持MCE功能的單板實現(xiàn)MCE功能的過程，其中，所述不支持MCE功能的單板上設(shè)置有與該不支持MCE功能的單板的路由口對應且用于指示將報文轉(zhuǎn)發(fā)到所述支持MCE功能的單板的指定端口的訪問控制列表ACL；所述支持MCE功能的單板上設(shè)置有所述不支持MCE功能的單板的路由口信息與虛擬專用網(wǎng)絡(luò)路由和轉(zhuǎn)發(fā)表VRF的映射關(guān)系，該方法包括：

所述不支持MCE功能的單板的路由口接收到報文后，獲取與所述路由口對應的ACL，根據(jù)所述ACL、將所述路由口作為報文源端口轉(zhuǎn)發(fā)所述報文；

所述支持MCE功能的單板的指定端口接收到所述報文后，獲取所述報文的源端口信息，根據(jù)所述映射關(guān)系獲取與該源端口信息對應的VRF，并根據(jù)獲取到的VRF轉(zhuǎn)發(fā)所述報文。

上述方法，還包括：當所述不支持MCE功能的單板上的路由口加入聚合組時，將所述聚合組信息及其對應的VRF設(shè)置到所述映射關(guān)系表中；或者，當所述不支持MCE功能的單板上的路由口均離開聚合組時，將所述聚合組信息及其對應的VRF從所述映射關(guān)系表中刪除。

上述方法中，當所述支持MCE功能的單板為多個時，還包括：所述不支持MCE功能的單板將其路由口信息及其對應的VRF通過所述交換機設(shè)備的主控板，同步到所有支持MCE功能的單板的所述映射關(guān)系表中。

上述方法中，所述映射關(guān)系中還包括所述支持MCE功能的單板上的其他端口信息與VRF的映射關(guān)系；

所述支持MCE功能的單板的所述其他端口接收到報文后，還包括：所述支持MCE功能的單板根據(jù)所述映射關(guān)系獲取與所述其他端口對應的VRF，并根據(jù)獲取到的VRF轉(zhuǎn)發(fā)所述報文。