一种在ATM网络上实现虚拟专用网的方法

具体实施方式

下面结合说明书附图来说明本发明的具体实施方式。

本发明的目的就是为了解决在交换设备上，利用ATM接口实现VPN的一种方法。它能够充分利用ATM的PVC和以太网802.1Q数据帧VLAN TAG的映射，实现对VPN用户的识别，保证不同用户在少建PVC的基础上，实现数据的安全、透明传输。该映射主要是ATM的PVC(vpi/vci---vcc index)与802.1q的VLAN TAG之间的映射；这样就可以充分利用PVC为多个VLAN进行VPN的链接。

本发明在传送的报文中加上一个标识报文所在VLAN的报文标识，在接收报文侧，通过该报文标识识别该报文所在VLAN，将该报文还原，以使不同的VLAN可以共享同一个ATM的传输链路。

如表1所示，是本发明使用的一个报文，由该表中可见，本发明增加了一个标识TAG，根据rfc 1483的建议，我们的发明对此进行了扩展，可以利用ATM透明传输带TAG的802.1q协议报文；

                                表一

其中带有TAG部分表示是扩充的部分，这样做就可以在ATM PVC中利用VLAN TAG区分不同VLAN，保证不同VLAN在同一的ATM传输链路中共享，实现了不同VLAN的数据透明传输。

如图2所示，是本发明在ATM上实现虚拟专用网方法的流程图，图3是在ATM上实现虚拟专用网的一个网络示意图。

本发明的具体实施方式，可以包括以下步骤：

a、将数据报文发送到ATM网络中；

该步骤可以通过各种不同的网络交换设备来完成，比如可以是路由器，也可以是交换机，还可以是目前使用较为广泛的三层交换机，带有ATM接口，可以支持目前通用的VPN业务的设备都可以。

b、ATM网络根据所携带的报文标识，查找映射表，找到对应的PVC交叉联接；

本步骤中，还可以包括一个添加二层或多层标签的步骤，该二层或多层标签用于进一步标识协议报文的VLAN，实际上就是在表中，对应的以太网数据帧中，再添加一或多层VLAN TAG；比如图3中的TAG7，之所以采用多重TAG，是为了可以实现双重/或多重TAG的携带，这样对于解决标签数目的空间限制有很重要的意义，因为802.1qTAG只有4k大小，通过携带多重TAG可以解决TAG空间的大小的问题。

c、将报文转发到对应的VLAN；

d、找到映射表对应的标签操作，并进行操作，还原报文。

数据帧完成重组后，以VPI/VCI形成索引，获取VLAN TAG；然后获取对TAG的处理操作。

该步骤d中包括的处理二层或多层标签的步骤，是与步骤b中添加二层或多层标签相对应的一个操作。其中，包括上述的三种操作：添加TAG，删除TAG，空操作。添加操作是在数据中添加TAG标识；删除操作是为了数据的还原与重组，删除前面添加的标识；该空操作是对二层或多层标签不做任何处理，直接透传数据。

该透传的意义在于完全接收来自用户设备输入的VLAN tag，不进行任何改动，直接透传。这可以保护用户自己的私有配置。在实际使用中用户可以针对自己的业务经营特点，划分若干VLAN，然后可以利用该空操作进行透传到远端节点，这样保证了通讯的可靠性，减少了配置的复杂性，举例如下：    

如图4所示，在用户侧的交换机上，只要配置相同的VLAN(比如财务部/生产部/总裁办各自有相同的VLAN)，在用户两端配置(比如一家公司的两个机构，分布在北京，上海)就可以直接通讯。这样就符合vpn中用户自己定义自己的业务这个基本属性，利用公网(ATM网络)直接传输，到对端后由用户侧交换机(pe或ce)进行相应的转发。

以上所述的数据报文，为802.1q规定的格式。

下面结合我们在三层交换机上的实现，对本发明做进一步的说明和分析。

由于当前的三层交换机转发芯片(ASIC)目前主要集中在以太网接口上，许多广域网接口不能提供。所以我们为了实现ATM接口，如图5所示，本实施例采用了如下的转发方式：

在设计中，为了实现在ATM的AAL5的LLC/SNAP帧中实现TAG的VLANTAG的添加/删除/空操作，我们在转发流程上做了如下工作，步骤如下：

我们将报文从转发芯片发送到ATM物理接口的操作称为下行操作；将从ATM物理接口到转发芯片的操作称为上行操作，则该报文转发可以包括以下步骤：

a、通过转发芯片将以太网数据报文转发到ATM转发逻辑中；

在下行中，我们要求转发芯片能够将以太网数据帧，携带VLAN TAG经过GMII总线转发到ATM转发逻辑中。这种实现对大多数转发芯片来讲，比较容易办到，举例如下：

将ATM端口单独作为一个VLAN 3，在华为QUIDWAY系列交换机中配置如下：

<CONFIG>#>VLAN 3                      #(创建VLAN 3)

<VLAN 3>#SWITCH PORT ATM3/0/1(该VLAN包含端口ATM 3/0/1)

然后将ATM 3/0/1端口作为一个VLAN trunk端口。当设置别的VLAN的时候，需要使用ATM链路与远端的PVC进行通讯时，将ATM 3/0/1作为该VLAN的一个端口成员。示例如下：

<CONFIG>#>VLAN 1000#<创建VLAN 1000>

<VLAN 1000>#>switch port gi2/0/1 gi2/0/3 ATM3/0/1    #<将gi2/0/1 gi2/0/3，ATM 3/0/1作为VLAN 1000的端口成员>；

设置完后，利用芯片的MAC地址学习，就可以将报文转发到ATM端口，进行转发。

b、在ATM转发逻辑中，根据所携带的报文标识，查找映射表，找到对应的PVC交叉联接；

在ATM转发逻辑中，我们需要根据所携带的VLAN-TAG，查表VLAN-TAG---PVC映射表，来找到对应的VCC(PVC交叉联接)；同时根据该表找到对应的标签操作，也就是前面提到的添加/删除和空操作。其中：

添加TAG----就是在表中，对应的以太网数据帧中，再添加一或多层VLANTAG；这样就可以实现双重/或多重TAG的携带，这样对于解决标签数目的空间限制有很重要的意义，因为802.1qTAG只有4k大小，通过携带多重TAG可以解决TAG空间的大小的问题。组网应用如图2所示；

删除TAG-----在此接口下，进行标签的删除，或在没有标签支持的网络，去除标签，对以太网数据帧进行透传。

空操作------在此接口下，进行标签的空操作，这样透传802.1Q数据帧。实现一个PVC可以对应多个VLAN。尤其对于企业网的应用，非常方便，灵活。

c、通过ATM网络将报文转发到对应的VLAN；

d、找到映射表对应的标签操作，并进行操作，还原报文。

图6和图7是本实施例的流程图，从流程图中可以看到，本实施例在上行中，数据帧在ATM SAR单元完成重组后，以VPI/VCI形成索引，获取VLAN TAG；然后获取对TAG的操作，包括上述的三种操作：添加TAG，删除TAG，空操作。

在软件的实现上，我们进行了如下的设计：

1)我们将软件对于ATM的PVC和以太网的VLAN的配置，分成两个配置平面。ATM平面和以太网VLAN平面。

在ATM配置平面，我们将PVC单独进行配置；在VLAN配置平面，我们也单独配置VLAN，然后我们在将VLAN与PVC进行映射，将映射的结果配置到PVC-VLAN TAG表中。

本发明的实现方法扩充了RFC1483在以太网中的应用，尤其对于目前三层交换机中广泛使用的VLAN的组网应用，带来了极大方便，它使得ATM接口不仅可以应用在路由器设备或ATM交换机设备上，而且还可以运用在三层交换机上，扩充了三层交换机的应用范围，对于将ATM接口作为WAN接口，实现企业VPN之间互连，具有很大的现实意义。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。