[发明专利]一种VPLS中的网络隔离方法及其装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种VPLS中的网络隔离方法及其装置。

背景技术

VPLS(Virtual Private LAN Service，虚拟专用局域网服务)是在公用网络中提供的一种点到多点的L2VPN业务。VPLS使地域上隔离的用户站点能通过MAN(Metropolitan Area Network，城域网)或WAN(Wide Area Network，广域网)相连，并且使各个站点间的连接效果像在一个LAN(Local Area Network，局域网)中一样。

VPLS提供二层VPN服务，在VPLS中用户是由多点网络连接起来，在PE(Provider Edge，运营商边界网络设备)上创建一系列的虚拟交换机租借给用户，虚拟交换机的组网和传统交换机完全相同，这样，用户就可以通过MAN或WAN来实现自己的LAN。

在二层网络中，可以实现报文之间的二层隔离，将不同的端口加入不同的VLAN(Virtual LAN，虚拟局域网)，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

在VPLS网络中，当接入侧用户需要实现用户二层网络的隔离，可以在用户网络中在用户交换机上配置端口隔离。同一个VPLS实例内不会执行接入侧AC/PW的隔离，单播报文按照VPLS实例内的路径转发，广播报文在整个VPLS实例内广播。其中，AC(Attachment Circuit，接入链路)是指连接CE(Custom Edge，用户边界网络设备)与PE的链路，对应的接口可以是实际的物理接口，也可以是虚拟接口；PW(Pseudo Wire，虚链路)是在两个Layer2 VPN实例之间的一条双向的虚拟连接，它由一对单向的MPLS VC(Virtual Circuit，虚电路)构成。

目前还存在一些优化方案，在PE设备上将本地AC和PW划分群组，处于同一个群组的AC/PW之间相互访问，不同群组则不允许访问。

发明人在实现本发明的过程中，发现现有技术至少存在以下缺陷：

VPLS网络中不支持VPLS域内的AC之间的隔离，尤其是本地AC与远端AC之间的隔离。当需要对不同接入侧AC的用户进行隔离和限制时，单纯在一个独立的PE设备上进行AC/PW的群组划分也是无法实现的，也是没有意义的。从实际的组网运用中，只有对VPLS域内的AC之间实现了隔离和限制才能真正起到有效的接入控制和保护。而现有技术还无法达到这样的要求。

发明内容

本发明提供了一种VPLS中的网络隔离方法及其装置，用以实现在VPLS实例内进行灵活的接入控制。

本发明提供的VPLS中的网络隔离方法，其中，PE上配置有本地隔离组，其成员包括连接于该PE设备且属于同一VPLS实例但需要彼此隔离的AC，该方法包括：

PE设备从AC侧接收到报文后，根据转发表查找该报文的出接口；

PE设备判断该报文的出接口AC与该报文的入接口AC是否属于同一本地隔离组，若是则放弃从该出接口转发该报文，否则从该出接口转发该报文。

本发明提供的PE设备，包括：

隔离组配置模块，用于配置本地隔离组，其成员包括连接于该PE设备且属于同一VPLS实例但需要彼此隔离的AC；

转发处理模块，用于在本设备从AC侧接收到报文后，根据转发表查找该报文的出接口，判断该报文的出接口AC与该报文的入接口AC是否属于同一本地隔离钮，若是则放弃从该出接口转发该报文，否则从该出接口转发该报文。

本发明的有益技术效果包括：

在PE设备上配置本地隔离组，将PE设备本地的属于同一VPLS实例但又需要隔离的AC加入同一本地隔离组，这样，在进行报文转发处理时，可利用VPLS的源过滤原理，在该报文的出接口AC与该报文的入接口AC属于同一本地隔离组时，限制该报文的转发，从而实现了PE设备本地AC间的隔离。本发明实施例在VPLS网络中实现了整系统的接入侧隔离，支持本地AC之间的隔离，拓扑了VPLS的业务使用，使得VPLS域内的用户接入更加灵活。

本发明提供的另一种VPLS中的网络隔离方法，其中，PE设备上配置有全局隔离组，其成员包括连接于该PE设备和对端PE设备，且属于同一VPLS实例但需要彼此隔离的AC，该方法包括：