VLAN状态的协商方法及边缘设备.pdf

1、(10)申请公布号 CN 102811153 A (43)申请公布日 2012.12.05 CN 102811153 A *CN102811153A* (21)申请号 201210293245.9 (22)申请日 2012.08.17 H04L 12/46(2006.01) H04L 12/56(2006.01) H04L 9/32(2006.01) (71)申请人 杭州华三通信技术有限公司 地址 310053 浙江省杭州市高新技术产业开 发区之江科技工业园六和路 310 号华 为杭州生产基地 (72)发明人 宋小恒 (74)专利代理机构 北京德琦知识产权代理有限 公司 11018 代理人 郑

2、红娟 宋志强 (54) 发明名称 VLAN 状态的协商方法及边缘设备 (57) 摘要 本发明公开了一种 VLAN 状态的协商方法及 边缘设备， 其中， 该方法包括 ： 第一边缘设备对站 点内同一 EVI 实例的邻居第二边缘设备进行身份 认证， 并在身份认证成功之后， 将该 EVI 实例对应 的 VLAN 的状态从初始状态切换到交换状态 ； 第一 边缘设备与第二边缘设备相互通告各自所确定的 VLAN 的最终状态 ； 且第一边缘设备判断自己与第 二边缘设备所确定的 VLAN 的最终状态是否相同 ； 若第一边缘设备判定出自己与第二边缘设备所确 定的 VLAN 的最终状态不同， 则第一边缘设备将 VL

3、AN 的状态从交换状态切换到自己所确定的最 终状态 ； 若第一边缘设备判定出自己与第二边缘 设备所确定的 VLAN 的最终状态相同， 则第一边缘 设备将 VLAN 的状态从交换状态切换到初始状态。 (51)Int.Cl. 权利要求书 5 页 说明书 16 页 附图 6 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 5 页 说明书 16 页 附图 6 页 1/5 页 2 1. 一种虚拟局域网 VLAN 状态的协商方法， 应用于以太网连接虚拟化 EVI 网络， 其特征 在于， 所述方法包括 ： 第一边缘设备对站点内同一 EVI 实例的邻居第二边缘设备进行身份认证， 并

4、在身份认 证成功之后， 将该EVI实例对应的VLAN的状态从初始状态切换到交换状态 ； 其中， 边缘设备 上VLAN的状态处于初始状态或交换状态时， 该边缘设备不允许转发该EVI实例对应的VLAN 中的报文， 边缘设备初始化后， 其上该 EVI 实例对应的 VLAN 的状态进入所述初始状态 ； 所述第一边缘设备与第二边缘设备相互通告各自所确定的 VLAN 的最终状态 ； 且所述 第一边缘设备判断自己与所述第二边缘设备所确定的 VLAN 的最终状态是否相同 ； 若所述第一边缘设备判定出自己与所述第二边缘设备所确定的 VLAN 的最终状态不 同， 则所述第一边缘设备将 VLAN 的状态从交换状态切

5、换到自己所确定的最终状态 ； 其中， 当该最终状态为激活状态时， 所述第一边缘设备允许转发该 VLAN 中的报文， 当该最终状态 为非激活状态时， 所述第一边缘设备不允许转发该 VLAN 中的报文 ； 若所述第一边缘设备判定出自己与所述第二边缘设备所确定的 VLAN 的最终状态相 同， 则所述第一边缘设备将 VLAN 的状态从所述交换状态切换到所述初始状态。 2. 根据权利要求 1 所述的方法， 其特征在于， 在所述第一边缘设备判定出自己与所述 第二边缘设备所确定的 VLAN 的最终状态不同之后， 以及在所述第一边缘设备将 VLAN 的状 态从交换状态切换到自己所确定的最终状态之前， 还包括

6、： 所述第一边缘设备向所述第二边缘设备发送确认消息， 其中， 所述确认消息中携带有 自己和所述第二边缘设备所确定的 VLAN 的最终状态 ； 在接收到所述第二边缘设备发来的确认消息之后， 所述第一边缘设备判定出接收的确 认消息中携带的所述第一边缘设备和所述第二边缘设备所确定的 VLAN 的最终状态分别与 本地保存的对应的最终状态一致。 3. 根据权利要求 2 所述的方法， 其特征在于， 在所述接收到所述第二边缘设备发来的 确认消息之后， 还包括 ： 若判定出接收的确认消息中携带的所述第一边缘设备或所述第二边缘设备所确定的 VLAN 的最终状态与本地保存的对应的最终状态不一致， 则所述第一边缘设

7、备将 VLAN 的状 态从所述交换状态切换到所述初始状态。 4.根据权利要求1至3中任一项所述的方法， 其特征在于， 若所述第一边缘设备对所述 第二边缘设备进行身份认证失败， 则所述第一边缘设备将 VLAN 的状态维持在所述初始状 态。 5.根据权利要求1至3中任一项所述的方法， 其特征在于， 所述第一边缘设备与第二边 缘设备相互通告各自所确定的 VLAN 的最终状态包括 ： 当 VLAN 的状态处于所述交换状态时， 所述第一边缘设备向所述第二边缘设备发送携 带有自己的以太网连接虚拟化EVI属性信息的VLAN状态消息， 以便所述第二边缘设备根据 所述第一边缘设备和所述第二边缘设备的 EVI 属

8、性信息确定所述第二边缘设备的 VLAN 的 最终状态 ； 所述第一边缘设备接收到所述第二边缘设备发来的携带有所述第二边缘设备的 EVI 属性信息的 VLAN 状态消息之后， 根据自己和所述第二边缘设备的 EVI 属性信息， 确定自己 的 VLAN 的最终状态， 并保存到本地 ； 权 利 要 求 书 CN 102811153 A 2 2/5 页 3 所述第一边缘设备将所确定的自己的 VLAN 的最终状态通告给所述第二边缘设备 ； 所述第一边缘设备接收所述第二边缘设备所确定的 VLAN 的最终状态， 并保存到本地。 6.根据权利要求5所述的方法， 其特征在于， 所述EVI属性信息包括 ： EVI实

9、例标识符、 EVI 实例优先级和要进行协商的 VLAN 的优先级 ； 所述第一边缘设备根据自己和所述第二边 缘设备的 EVI 属性信息， 确定自己的 VLAN 的最终状态包括 ： 所述第一边缘设备比较自己的 EVI 实例优先级与所述第二边缘设备的 EVI 实例优先 级 ； 若所述第一边缘设备与所述第二边缘设备的 EVI 实例优先级不同， 则所述第一边缘设 备在自己的 EVI 实例优先级高于所述第二边缘设备时， 确定自己的 EVI 实例中包含的要进 行协商的 VLAN 的最终状态为激活状态， 并在低于时， 确定自己的 EVI 实例中包含的要进行 协商的 VLAN 的最终状态为非激活状态 ； 若所

10、述第一边缘设备与所述第二边缘设备的 EVI 实例优先级相同， 则针对每一个要进 行协商的 VLAN， 比较自己与所述第二边缘设备上该 VLAN 的优先级 ； 若自己与所述第二边缘设备上该 VLAN 的优先级不同， 则所述第一边缘设备在自己的 该VLAN的优先级高于所述第二边缘设备时， 确定自己的该VLAN的状态为激活状态， 并在低 于时， 确定自己的该 VLAN 的状态为非激活状态 ； 若自己与所述第二边缘设备上该 VLAN 的优先级 VLAN 优先级相同， 则所述第一边缘设 备在自己的桥 MAC 的地址大于所述第二边缘设备时， 确定自己的该 VLAN 的状态为激活状 态， 并在小于时， 确定

11、自己的该 VLAN 的状态为非激活状态。 7. 根据权利要求 1 至 3 中任一项所述的方法， 其特征在于， 还包括 ： 当 VLAN 的状态处于最终状态时， 所述第一边缘设备在接收到所述第二边缘设备发来 的邻居发现 Hello 报文以及身份认证消息之后， 对所述第二边缘设备进行身份认证， 其中， 该身份认证消息是所述第二边缘设备在初始探测到站点内有同一 EVI 实例的邻居所述第 一边缘设备存在时发送的， 或者是所述第二边缘设备的 VLAN 处于最终状态时， 在所述第 二边缘设备的以下信息至少之一 ： EVI 属性信息、 身份识别信息、 桥 MAC 发生改变之后发送 的 ； 在身份认证成功之后

12、， 所述第一边缘设备将 VLAN 的状态从该最终状态切换到初始状 态。 8. 根据权利要求 1 至 3 中任一项所述的方法， 其特征在于， 还包括 ： 当 VLAN 的状态处于最终状态时， 在所述第一边缘设备的以下信息至少之一 ： EVI 属性 信息、 身份识别信息、 桥 MAC 发生改变之后， 所述第一边缘设备向所述第二边缘设备发送身 份认证消息， 之后将 VLAN 的状态从该最终状态切换到初始状态。 9. 根据权利要求 2 所述的方法， 其特征在于， 在所述第一边缘设备将 VLAN 的状态从交 换状态切换到自己所确定的最终状态之后， 还包括 ： 当 VLAN 的状态处于最终状态时， 在所述

13、第一边缘设备的 EVI 属性信息发生改变之后， 所述第一边缘设备将改变后的 EVI 属性信息携带在 VLAN 状态消息中发送给所述第二边缘 设备， 以便所述第二边缘设备根据所述第二边缘设备的 EVI 属性信息以及所述第一边缘设 备改变后的 EVI 属性信息， 重新确定所述第二边缘设备的 VLAN 的最终状态 ； 所述第一边缘设备根据自己改变后的EVI属性信息和所述第二边缘设备的EVI属性信 权 利 要 求 书 CN 102811153 A 3 3/5 页 4 息， 重新确定自己的 VLAN 的最终状态， 并通告给所述第二边缘设备 ； 在接收到所述第二边缘设备重新确定的 VLAN 的最终状态之后

14、， 所述第一边缘设备， 并 在判定出自己与所述第二边缘设备重新确定的 VLAN 的最终状态不同之后， 向所述第二边 缘设备发送确认消息， 其中， 本地保存的对应的最终状态分别更新为 ： 所述第一边缘设备重 新确定的 VLAN 的最终状态和接收到的所述第二边缘设备重新确定的 VLAN 的最终状态 ； 在接收到所述第二边缘设备发来的确认消息之后， 若所述第一边缘设备判定出接收的 确认消息中携带的所述第一边缘设备和所述第二边缘设备确定的 VLAN 的最终状态分别与 本地保存的对应的最终状态一致， 则所述第一边缘设备将自己的 VLAN 的最终状态更新为 重新确定的最终状态。 10. 一种边缘设备， 其

15、特征在于， 应用于以太网连接虚拟化 EVI 网络， 所述边缘设备包 括 ： 身份认证模块， 用于对本边缘设备所在的站点内与本边缘设备为同一 EVI 实例的邻居 第二边缘设备进行身份认证 ； VLAN 状态切换模块， 用于在所述身份认证模块对所述第二边缘设备进行身份认证成功 之后， 将本边缘设备的该 EVI 实例对应的 VLAN 的状态从初始状态切换到交换状态， 以及， 在判断模块判定出本边缘设备与所述第二边缘设备所确定的 VLAN 的最终状态不同时， 将 VLAN 的状态从所述交换状态切换到本边缘设备所确定的最终状态， 在所述判断模块判定 出本边缘设备与所述第二边缘设备所确定的 VLAN 的最

16、终状态相同时， 将 VLAN 的状态从所 述交换状态切换到所述初始状态 ； 其中， 边缘设备上 VLAN 的状态处于初始状态或交换状态 时， 该边缘设备不允许转发该 EVI 实例对应的 VLAN 中的报文， 边缘设备初始化后， 其上该 EVI 实例对应的 VLAN 的状态进入所述初始状态 ； 当本边缘设备所确定的 VLAN 的最终状态 为激活状态时， 本边缘设备允许转发该VLAN中的报文， 当本边缘设备所确定的VLAN的最终 状态为非激活状态时， 本边缘设备不允许转发该 VLAN 中的报文 ； 所述确定通告模块， 用于在所述 VLAN 状态切换模块将 VLAN 的状态从初始状态切换到 交换状态

17、之后， 与所述第二边缘设备相互通告各自所确定的 VLAN 的最终状态 ； 所述判断模块， 用于判断本边缘设备与所述第二边缘设备所确定的 VLAN 的最终状态 是否相同。 11. 根据权利要求 10 所述的设备， 其特征在于， 还包括 ： 确认模块， 其中 ： 所述确认模块用于在所述判断模块判定出本边缘设备与所述第二边缘设备所确定的 VLAN 的最终状态不同之后， 以及在所述 VLAN 状态切换模块将 VLAN 的状态从所述交换状态 切换到本边缘设备所确定的最终状态之前， 向所述第二边缘设备发送确认消息， 以及接收 所述第二边缘设备发来的确认消息， 其中， 所述确认消息中携带有本边缘设备和所述第

18、二 边缘设备所确定的 VLAN 的最终状态 ； 所述判断模块还用于判断所述确认模块接收的确认消息中携带的本边缘设备和所述 第二边缘设备所确定的 VLAN 的最终状态是否分别与本边缘设备中保存的对应的最终状态 一致， 并在一致时， 通知所述VLAN状态切换模块将VLAN的状态从所述交换状态切换到本边 缘设备所确定的最终状态。 12. 根据权利要求 11 所述的设备， 其特征在于， 所述 VLAN 状态切换模块还用于在所述判断模块判定出所述确认模块接收的确认消息 权 利 要 求 书 CN 102811153 A 4 4/5 页 5 中携带的本边缘设备或所述第二边缘设备所确定的 VLAN 的最终状态

19、与本边缘设备中保存 的对应的最终状态不一致时， 将 VLAN 的状态从所述交换状态切换到所述初始状态。 13. 根据权利要求 10 至 12 中任一项所述的设备， 其特征在于， 所述 VLAN 状态切换模块还用于在所述认证执行模块对所述第二边缘设备进行身份认 证失败之后， 将 VLAN 的状态维持在所述初始状态。 14. 根据权利要求 10 至 12 中任一项所述的设备， 其特征在于， 所述确定通告模块包 括 ： 第二收发模块， 用于在 VLAN 的状态处于所述交换状态时， 向所述第二边缘设备发送携 带有本边缘设备的以太网连接虚拟化EVI属性信息的VLAN状态消息， 以便所述第二边缘设 备根据

20、本边缘设备和所述第二边缘设备的 EVI 属性信息确定所述第二边缘设备的 VLAN 的 最终状态， 接收所述第二边缘设备发来的携带有所述第二边缘设备的 EVI 属性信息的 VLAN 状态消息， 将所述状态确定模块所确定的本边缘设备的 VLAN 的最终状态通告给所述第二 边缘设备， 以及， 接收所述第二边缘设备发来的所述第二边缘设备所确定的 VLAN 的最终状 态 ； 所述状态确定模块， 用于根据本边缘设备和所述第二边缘设备的 EVI 属性信息， 确定 本边缘设备的 VLAN 的最终状态 ； 保存模块， 用于保存所述状态确定模块所确定的本边缘设备的 VLAN 的最终状态， 以及 所述第二收发模块接

21、收到的所述第二边缘设备所确定的 VLAN 的最终状态。 15. 根据权利要求 14 所述的设备， 其特征在于， 所述 EVI 属性信息包括 ： EVI 实例标识 符、 EVI 实例优先级和要进行协商的 VLAN 的优先级 ； 所述状态确定模块包括 ： 第一比较单元， 用于比较本边缘设备的 EVI 实例优先级与所述第二边缘设备的 EVI 实 例优先级 ； 确定单元， 用于在所述第一比较单元比较出本边缘设备与所述第二边缘设备的 EVI 实 例优先级不同的情况下， 在本边缘设备的 EVI 实例优先级高于所述第二边缘设备时， 确定 本边缘设备的 EVI 实例中包含的要进行协商的 VLAN 的最终状态为

22、激活状态， 并在低于时， 确定本边缘设备的EVI实例中包含的要进行协商的VLAN的最终状态为非激活状态 ； 在所述 第二比较单元比较出本边缘设备与所述第二边缘设备上该 VLAN 的优先级不同的情况下， 在本边缘设备的该 VLAN 的优先级高于所述第二边缘设备时， 确定本边缘设备的该 VLAN 的 状态为激活状态， 并在低于时， 确定本边缘设备的该 VLAN 的状态为非激活状态 ； 在本边缘 设备与所述第二边缘设备上该 VLAN 的优先级 VLAN 优先级相同的情况下， 在本边缘设备的 桥 MAC 的地址大于所述第二边缘设备时， 确定本边缘设备的该 VLAN 的状态为激活状态， 并 在小于时，

23、确定本边缘设备的该 VLAN 的状态为非激活状态 ； 所述第二比较单元， 用于在所述第一比较单元比较出本边缘设备与所述第二边缘设备 的 EVI 实例优先级相同的情况下， 针对每一个要进行协商的 VLAN， 比较本边缘设备与所述 第二边缘设备上该 VLAN 的优先级。 16. 根据权利要求 10 至 12 中任一项所述的设备， 其特征在于， 还包括 ： 消息接收模块， 其中 ： 所述消息接收模块用于接收所述第二边缘设备发来的邻居发现 Hello 报文以及身份 认证消息， 并通知所述身份认证模块中的认证执行模块对所述第二边缘设备进行身份认 权 利 要 求 书 CN 102811153 A 5 5/

24、5 页 6 证， 其中， 该身份认证消息是所述第二边缘设备在初始探测到自己所在的站点内有与自己 为同一EVI实例的邻居本边缘设备存在时发送的， 或者是所述第二边缘设备的VLAN处于最 终状态时， 在所述第二边缘设备的以下信息至少之一 ： EVI 属性信息、 身份识别信息、 桥 MAC 发生改变之后发送的 ； 所述 VLAN 状态切换模块还用于在 VLAN 的状态处于最终状态时， 在所述消息接收模块 接收到所述第二边缘设备发来的 Hello 报文以及身份认证消息， 且所述认证执行模块对所 述第二边缘设备进行身份认证成功之后， 将 VLAN 的状态从该最终状态切换到初始状态。 17. 根据权利要求

25、 10 至 12 中任一项所述的设备， 其特征在于， 还包括 ： 消息发送模块， 其中 ： 所述消息发送模块用于在 VLAN 的状态处于最终状态时， 在本边缘设备的以下信息至 少之一 ： EVI 属性信息、 身份识别信息、 桥 MAC 发生改变之后， 向所述第二边缘设备发送身份 认证消息 ； 所述 VLAN 状态切换模块还用于在所述消息发送模块向所述第二边缘设备发送身份认 证消息之后， 将 VLAN 的状态从该最终状态切换到初始状态。 18. 根据权利要求 11 所述的设备， 其特征在于， 所述确认模块还用于在所述 VLAN 状态切换模块将 VLAN 的状态从所述交换状态切换 到最终状态之后，

26、 在本边缘设备的EVI属性信息发生改变时， 将改变后的EVI属性信息携带 在 VLAN 状态消息中发送给所述第二边缘设备， 以便所述第二边缘设备根据所述第二边缘 设备的 EVI 属性信息以及本边缘设备改变后的 EVI 属性信息， 重新确定所述第二边缘设备 的 VLAN 的最终状态， 以及， 在所述判断模块判定出本边缘设备与所述第二边缘设备重新确 定的 VLAN 的最终状态不同时， 向所述第二边缘设备发送确认消息， 以及接收所述第二边缘 设备发来的确认消息 ； 所述确定通告模块还用于根据本边缘设备改变后的 EVI 属性信息和所述第二边缘设 备的EVI属性信息， 重新确定本边缘设备的VLAN的最终

27、状态， 并通告给所述第二边缘设备， 以及， 接收所述第二边缘设备发来的所述第二边缘设备重新确定的 VLAN 的最终状态， 并通 知所述判断模块判断本边缘设备与所述第二边缘设备重新确定的 VLAN 的最终状态是否相 同， 其中， 本边缘设备中保存的对应的最终状态分别更新为 ： 本边缘设备重新确定的 VLAN 的最终状态和接收到的所述第二边缘设备重新确定的 VLAN 的最终状态 ； 所述判断模块还用于在所述确认模块接收到所述第二边缘设备发来的确认消息之后， 判断接收的确认消息中携带的本边缘设备和所述第二边缘设备重新确定的 VLAN 的最终状 态是否分别与本边缘设备中保存的对应的最终状态一致 ； 所

28、述 VLAN 状态切换模块还用于在所述判断模块判定出接收的确认消息中携带的本边 缘设备和所述第二边缘设备重新确定的 VLAN 的最终状态分别与本边缘设备中保存的对应 的最终状态一致时， 将 VLAN 的最终状态更新为本边缘设备重新确定的最终状态。 权 利 要 求 书 CN 102811153 A 6 1/16 页 7 VLAN 状态的协商方法及边缘设备 技术领域 0001 本发明涉及通信技术领域， 特别涉及一种 VLAN 状态的协商方法及边缘设备。 背景技术 0002 EVI（Ethernet Virtual Interconnection， 以太网连接虚拟化） 是一种以太网互 联的技术， 可

29、以在异地部署多个数据中心来实现负载分担和高可靠性， 并通过虚拟机在数 据中心之间进行自由迁移。一个大的数据中心可以由分布在不同地点的多个站点 （site） 组成。在利用 EVI 技术构建的数据中心网络 （称为 EVI 网络） 中， 站点通过边缘设备 （Edge Device， ED） 接入核心网时， 为了实现高可靠性， 防止网络中设备的单点故障， 通常使用两台 边缘设备以双归属方式 （即两台边缘设备归属一个站点） 接入核心网 （这两台边缘设备互为 同一 EVI 实例的邻居） 。在以双归属方式接入核心网的站点中， 可能会存在环路。为了防 止环路， 目前通常采用的解决方法是 ： 在一个站点内， 使

30、每一个 VLAN（Virtual Local Area Network， 虚拟局域网） 的数据流必须从同一个边缘设备进出核心网， 该 VLAN 即为该边缘设 备的激活 VLAN， 即， 每一个 VLAN 只能是站点内的一个边缘设备的激活 VLAN。边缘设备的激 活 VLAN 的集合是配置的扩展 VLAN（即， 私网 VLAN） 的子集， 从某个特定的扩展 VLAN 角度来 看， 网络仍然是单归属的， 从而不存在环路。 0003 在如图1所示的EVI双归属网络中， 站点1内的边缘设备ED1和ED2以双归属方式 接入核心网 （即图中的 EVI） ， ED1 和 ED2 通过 CE（Customer

31、 Edge， 用户边缘设备） 10 下挂了 大量的服务器和主机设备 ； 站点 2 内的边缘设备 ED3 和 ED4 以双归属方式接入核心网， ED3 和 ED4 通过 CE20 下挂了大量的服务器和主机设备。VLAN100 在 ED1 和 ED4 上为激活 VLAN， 在 ED2 和 ED3 上为非激活 VLAN， 从而 VLAN100 的数量流只会在 ED1 和 ED4 这两个边缘设备 之间进出核心网， 站点 1 内和站点 2 内不会存在环路。 0004 为了实现在一个站点内， 一个 VLAN 的数据流只从同一个边缘设备进出核心网， 同 一个站点内的各个边缘设备 （即归属于同一个站点的两台边

32、缘设备） 在站点内的网络上运 行站点内 ISIS（Intermediate System-to-Intermediate System， 中间系统到中间系统） 协议， 来协商各个边缘设备的激活VLAN与非激活VLAN。 必须保证同一个站点内的边缘设备 相互之间的可达性， 以完成站点内 ISIS 协议报文的交互过程， 在规划数据中心网络时要配 置独立的控制 VLAN 来承载站点内 ISIS 协议报文。在现有技术中， 每一个边缘设备的用户 VLAN 状态有两个 ： Active（激活） 和 Inactive（非激活） ， 只有用户 VLAN 的状态处于 Active 的边缘设备才会转发该 VLAN

33、 中的数据流， 具体的用户 VLAN 状态协商过程如下 ： 0005 边缘设备双方交互 Site ISIS Hello（站点内 ISIS 邻居发现） 报文来形成邻居关 系， 并且在初始化时双方中的用户 VLAN 的状态均为 Active ； 然后， 双方通过两者之间的连 接接口相互发送协议报文， 以相互通告各自配置的扩展 VLAN ； 之后， 双方在接收到对方发 送的协议报文之后， 各自独立地在本地按照某种算法进行运算， 以便从扩展 VLAN 中选择自 己的激活 VLAN 和非激活 VLAN， 其中， 针对每一个 VLAN 都按照相同的方式运算 ； 最后双方各 自按照自己选择的激活 VLAN

34、和非激活 VLAN 修改各个 VLAN 的属性。例如， 图 1 中的 ED1 和 说 明 书 CN 102811153 A 7 2/16 页 8 ED2 通过上述协商过程进行协商之后， 得到 ： VLAN100 对于 ED1 为 Active VLAN， 而对于 ED2 为 Inactive VLAN， 之后 ED1 和 ED2 各自修改 VLAN100 的属性。因此， 在站点 1 中， 仅由 ED1 来转发 VLAN100 的数据流。 0006 由上可知， 在边缘设备进行用户 VLAN 状态协商的过程中， 由于初始化时双方中的 用户 VLAN 的状态均为 Active， 这样， 在最终修改各

35、个 VLAN 的属性之前， 双方都认为自己的 VLAN 是 Active VLAN， 从而会导致在一定时间内某一个 VLAN 对于双方都是 Active VLAN 的 情况， 当一个 VLAN 对于同一站点内的两台双归属边缘设备都是 Active VLAN 时， 这两台边 缘设备都会转发该 VLAN 的数据流， 该站点内的网络中便会存在环路， 导致大量环路报文冲 击下挂的服务器和主机设备。并且， 协商双方在选择各自的激活 VLAN 和非激活 VLAN 时， 是 各自独立地在本地进行运算， 双方都不知道对方的选择结果， 这样可能会出现双方都选择 某一个 VLAN 为 Active VLAN 的情

36、况， 站点内的网络中同样存在环路。 发明内容 0007 有鉴于此， 本发明提供了一种 VLAN 状态的协商方法及边缘设备， 以至少解决现有 技术的协商导致的网络环路问题。 0008 本发明的技术方案如下 ： 0009 一方面， 提供了一种 VLAN 状态的协商方法， 该方法应用于 EVI 网络， 该方法包括 ： 第一边缘设备对站点内同一 EVI 实例的邻居第二边缘设备进行身份认证， 并在身份认证成 功之后， 将该 EVI 实例对应的 VLAN 的状态从初始状态切换到交换状态 ； 其中， 边缘设备上 VLAN 的状态处于初始状态或交换状态时， 该边缘设备不允许转发该 EVI 实例对应的 VLAN

37、 中的报文， 边缘设备初始化后， 其上该 EVI 实例对应的 VLAN 的状态进入初始状态 ； 第一边 缘设备与第二边缘设备相互通告各自所确定的 VLAN 的最终状态 ； 且第一边缘设备判断自 己与第二边缘设备所确定的 VLAN 的最终状态是否相同 ； 若第一边缘设备判定出自己与第 二边缘设备所确定的 VLAN 的最终状态不同， 则第一边缘设备将 VLAN 的状态从交换状态切 换到自己所确定的最终状态 ； 其中， 当该最终状态为激活状态时， 第一边缘设备允许转发该 VLAN 中的报文， 当该最终状态为非激活状态时， 第一边缘设备不允许转发该 VLAN 中的报 文 ； 若第一边缘设备判定出自己与

38、第二边缘设备所确定的 VLAN 的最终状态相同， 则第一边 缘设备将 VLAN 的状态从交换状态切换到初始状态。 0010 另一方面， 还提供了一种边缘设备， 应用于 EVI 网络， 边缘设备包括 ： 身份认证模 块， 用于对本边缘设备所在的站点内与本边缘设备为同一 EVI 实例的邻居第二边缘设备进 行身份认证 ； VLAN 状态切换模块， 用于在身份认证模块对第二边缘设备进行身份认证成功 之后， 将本边缘设备的该EVI实例对应的VLAN的状态从初始状态切换到交换状态， 以及， 在 判断模块判定出本边缘设备与第二边缘设备所确定的 VLAN 的最终状态不同时， 将 VLAN 的 状态从交换状态切

39、换到本边缘设备所确定的最终状态， 在判断模块判定出本边缘设备与第 二边缘设备所确定的VLAN的最终状态相同时， 将VLAN的状态从交换状态切换到初始状态 ； 其中， 边缘设备上 VLAN 的状态处于初始状态或交换状态时， 该边缘设备不允许转发该 EVI 实例对应的 VLAN 中的报文， 边缘设备初始化后， 其上该 EVI 实例对应的 VLAN 的状态进入 初始状态 ； 当本边缘设备所确定的 VLAN 的最终状态为激活状态时， 本边缘设备允许转发该 VLAN 中的报文， 当本边缘设备所确定的 VLAN 的最终状态为非激活状态时， 本边缘设备不允 说 明 书 CN 102811153 A 8 3/

40、16 页 9 许转发该 VLAN 中的报文 ； 确定通告模块， 用于在 VLAN 状态切换模块将 VLAN 的状态从初始 状态切换到交换状态之后， 与第二边缘设备相互通告本边缘设备与第二边缘设备所确定的 VLAN 的最终状态 ； 判断模块， 用于判断本边缘设备与第二边缘设备所确定的 VLAN 的最终状 态是否相同。 0011 本发明的以上技术方案， 协商的边缘设备双方 VLAN 初始化时即进入初始状态， 在 对对方进行身份认证成功后， 将 VLAN 从初始状态切换到交换状态， 在 VLAN 处于交换状态 时， 会将各自确定的 VLAN 的最终状态 （激活或非激活状态） 通告给对方， 在确定自己

41、与对方 确定的 VLAN 的最终状态不同时， 才会将 VLAN 从交换状态切换到自己所确定的最终状态。 由于边缘设备上的一个 VLAN 在初始状态或交换状态中时该边缘设备均不允许转发该 VLAN 中的报文， 因此， 在协商开始时以及协商过程中， 网络中均不可能存在环路， 而且， 边缘设备 在确定自己与对方确定的 VLAN 的最终状态不同时， 才会将 VLAN 从交换状态切换到自己所 确定的最终状态， 从而能够确保在 EVI 双归属网络中同一个 VLAN 在两台边缘设备上是处 于不同的最终状态， 即只会在一台边缘设备上是 Active 状态， 而在另一台边缘设备上是 Inactive 状态， 不

42、可能出现两台边缘设备上都是 Active 状态或者都是 Inactive 状态的情 况， 进一步消除了环路存在的可能性， 从而通过优化EVI双归属网络的VLAN状态协商机制， 从根本上消除了协商导致的网络环路， 维护了双归属网络的稳定性。 附图说明 0012 图 1 是现有技术的 EVI 双归属网络的架构示意图 ； 0013 图 2 是根据本发明的实施例一的 VLAN 状态的转移图 ； 0014 图 3 是按照如图 2 所示的状态转移图执行的 VLAN 状态协商方法的一种流程图 ； 0015 图 4 是按照如图 2 所示的状态转移图执行的 VLAN 状态协商方法的另一种流程图 ； 0016 图

43、 5 是根据本发明的实施例二的 VLAN 状态协商的方法的流程示意图 ； 0017 图 6 是根据本发明的实施例三的边缘设备的一种结构示意图 ； 0018 图 7 是根据本发明的实施例三的边缘设备的另一种结构示意图 ； 0019 图 8 是根据本发明的实施例三的边缘设备的又一种结构示意图 ； 0020 图 9 是根据本发明的实施例四的边缘设备的一种结构示意图 ； 0021 图 10 是根据本发明的实施例四的边缘设备的另一种结构示意图。 具体实施方式 0022 为了解决现有技术的 VLAN 状态协商方法所导致的网络环路问题， 本发明以下实 施例对现有技术进行了改进， 提供了一种可以应用于 EVI

44、 双归属网络中的 VLAN（也可称为 用户 VLAN） 状态协商的改进方法以及可以应用该方法的边缘设备， 能够避免在协商过程中 以及协商完成后网络中出现环路， 减少 EVI 双归属网络中的广播风暴。 0023 本发明以下实施例中， 为每一个 ED 设备的 VLAN 状态增加了两个中间状态 ： Initial（初始）状态和 Exchange（交换）状态， 即， VLAN 存在三个状态 ： Initial 状态、 Exchange状态和最终状态 （最终状态为Active状态或Inactive状态） 。 其中， Initial状态 用于标识VLAN的初始状态 （即VLAN初始化时的状态） ， Exc

45、hange状态用于标识ED设备开始 协商以及协商过程中 VLAN 的状态 （即 VLAN 在协商过程中的状态） ， Inactive 状态和 Active 说 明 书 CN 102811153 A 9 4/16 页 10 状态为最终的结果状态。一般情况下， 只有 Active 状态的 VLAN 才能保证公网侧和用户侧 之间的数据流互通， Inactive 状态的 VLAN 可以按照用户的配置要求选择性丢弃数据报文， 而中间状态Initial和Exchange则不允许进行数据报文转发， 在预防环路要求高的组网环 境下会优先选择丢弃数据报文， 也就是说， 边缘设备上的一个 VLAN 的状态处于 I

46、nitial 状 态、 Exchange 状态、 或 Inactive 状态时， 该边缘设备不允许转发该 VLAN 中的数据报文， 只 有处于 Active 状态时， 该边缘设备才允许转发该 VLAN 中的数据报文。并且， 边缘设备初始 化后， 其上 VLAN 的状态即进入 Initial 状态。 0024 实施例一 0025 图 2 是根据本发明的实施例一的 VLAN 状态的转移图， 在图 2 中示出了边缘设备上 的每一个 VLAN 在 Initial 状态、 Exchange 状态和最终状态这三个状态之间进行状态迁移 的情况。按照如图 2 所示的状态转移图， 本发明实施例一的 EVI 双归

47、属网络中的 VLAN 状态 协商方法如图3所示， 该方法可以由EVI双归属网络中的站点内的任意一台边缘设备 （可以 称为第一边缘设备） 执行。如图 3 所示， 该协商方法包括以下步骤 ： 0026 步骤 S302， 当 VLAN 处于 Initial 状态时， 第一边缘设备对站点内同一 EVI 实例 的邻居 ： 第二边缘设备进行身份认证， 若身份认证成功， 则进入步骤 S304， 否则， 进入步骤 S306 ； 0027 步骤S304， 第一边缘设备将该EVI实例对应的VLAN的状态从Initial状态切换到 Exchange 状态 ； 0028 在步骤 S302-S304 中， 当 VLAN

48、 的状态处于 Initial 状态时， 第一边缘设备向第 二边缘设备发送身份认证消息 ； 同样， 第二边缘设备也会向第一边缘设备发送身份认证消 息， 第一边缘设备在接收到第二边缘设备发来的身份认证消息之后， 就会对第二边缘设备 进行身份认证， 若身份认证成功， 则第一边缘设备将 VLAN 的状态从 Initial 状态切换到 Exchange 状态。例如 ： 身份认证消息中可以包含 ： 用于唯一标识一台边缘设备的桥 MAC （Media Access Control， 媒体访问控制） 和身份识别信息， 身份识别信息可以包括 ： 用户配 置的密码和加密算法 （如 MD5） ， 那么， 具体的身份

49、认证过程可以为 ： 第一边缘设备接收到第 二边缘设备发来的身份认证消息之后， 将该身份认证消息中携带的第二边缘设备的桥 MAC 与本地保存的相关列表中的桥 MAC 进行匹配， 若匹配到该列表中的一个桥 MAC， 则将该列表 中对应该桥 MAC 的密码以及该身份认证消息中携带的第二边缘设备的密码按照该身份认 证消息中携带的加密算法进行运算， 对运算得到的结果进行合法性检查， 若检查通过， 则身 份认证成功， 否则， 身份认证不成功。或者， 身份识别信息也可以仅包括密码， 此时， 身份认 证过程可以为 ： 第一边缘设备接收到第二边缘设备发来的身份认证消息之后， 将该身份认 证消息中携带的第二边缘设备的桥 MAC 与本地保存的相关列表中的桥 MAC 进行匹配， 若匹 配到该列表中的一个桥 MAC， 则对该身份认证消息中携带的密码进行合法性检查， 若检查通 过， 则身份认证成功， 否则， 身份认证不成功。显然， 也可以采用其他的具体的身份认证方 式， 本发明对此不做限定。 0029 一种应用场景中， 某一个站点内开始时可能只配备了第一边缘设备这一台 ED 设 备， 该第一边缘设备接入核心网， 负责转发该站点内的服务器和 PC（即第一边缘设备连接 的 CE 下挂的大量的服务器和