專利名稱:一種基于虛擬局域網(wǎng)的端口隔離方法
技術(shù)領(lǐng)域:
本發(fā)明涉及以太交換機設備交換技術(shù)����,實現(xiàn)一種基于虛擬局域網(wǎng)(vlan)的二層數(shù)據(jù)流的端口隔離方法����。
背景技術(shù):
隨著以太網(wǎng)技術(shù)的飛速發(fā)展,寬帶用戶增長迅速��。目前���,在接入層網(wǎng)絡運營商大量使用了二層交換設備為用戶提供服務��。為了網(wǎng)絡的安全性����,以及減小網(wǎng)絡風暴的風險�����,二層交換領(lǐng)域廣泛采用了vlan(虛擬局域網(wǎng))技術(shù)��,不同的用戶劃分到不同的vlan中����,從而隔離了用戶之間的二層的通訊���,避免了廣播風暴在用戶之間產(chǎn)生相互影響。
隨著用戶的增多���,vlan資源的限制日益明顯,vlan配置管理也很麻煩����,于是,一種基于端口的隔離技術(shù)被提了出來��。這種隔離方法的特點是隔離的端口即使在同一個vlan中���,也不能互相通訊(如圖1所示)���,接入端口即使vlan相同也不相互影響,從而節(jié)省了vlan資源�����。
互相隔離的端口稱為接入端口�����,可以和接入端口通信的端口稱為上聯(lián)端口。但是基于端口的隔離技術(shù)的缺點是���,隔離端口間所有的vlan的二層流都被隔離掉��,無法通訊�����。這樣網(wǎng)絡規(guī)劃的靈活性比較差��,對于接入端口���,用戶希望隔離的端口有的vlan隔離,有的vlan是互通的��,并且為了鏈路冗余的需要���,一個接入端口可以和多個上聯(lián)端口互通�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種端口隔離方法��,解決現(xiàn)有技術(shù)中隔離端口間所有的vlan的二層流都被隔離掉�����,無法通訊����,網(wǎng)絡規(guī)劃靈活性較差的問題。
為了解決上述技術(shù)問題��,本發(fā)明提出一種基于虛擬局域網(wǎng)的端口隔離方法��,首先建立查找表���,該表中保存該接入端口對應的隔離虛擬局域網(wǎng)即隔離vlan,及該接入端口對應的上聯(lián)端口��,當所述接入端口接收到數(shù)據(jù)包時����,進行如下處理根據(jù)查找表判斷該數(shù)據(jù)包是否要發(fā)送到該接入端口的隔離vlan中,如果不是��,按照正常的二層轉(zhuǎn)發(fā)處理該數(shù)據(jù)包。
進一步地���,上述方法還可具有以下特點如果該數(shù)據(jù)包要發(fā)送到所述接入端口的隔離vlan中�����,進行如下處理a����、判斷所述數(shù)據(jù)包是單播流還是廣播流���,如果是單播流����,轉(zhuǎn)入步驟b�����;如果是廣播流�����,在查找表中查找接入端口對應的上聯(lián)端口����,轉(zhuǎn)發(fā)該數(shù)據(jù)包����,結(jié)束����;b、檢查該數(shù)據(jù)包的目的地址是否是從接入端口對應的上聯(lián)端口學習而來����,不是則丟棄該數(shù)據(jù)包,否則����,轉(zhuǎn)發(fā)至相應的上聯(lián)端口�����,結(jié)束����。
進一步地,上述方法還可具有以下特點所述數(shù)據(jù)包攜帶一vlan標識��,在查找表中如果查找到與該vlan標識對應的vlan,則說明該數(shù)據(jù)包要發(fā)送到接入端口的隔離vlan中�����,否則���,該數(shù)據(jù)包不發(fā)送到接入端口的隔離vlan中��。
進一步地���,上述方法還可具有以下特點所述接入端口對應一個或多個上聯(lián)端口。
本發(fā)明提出一種基于vlan的一對多的端口隔離技術(shù)��,使用vlan+端口進行隔離���。通過設計一個vlan+端口轉(zhuǎn)發(fā)表���,將隔離vlan保存在該轉(zhuǎn)發(fā)表中,接入端口之間有的vlan隔離���,有的vlan可以互通����,一個接入端口可以對應多個上聯(lián)端口。這樣既節(jié)省了vlan資源�����,同時��,也給端口隔離帶來了更大的靈活性����,簡化了接入設備上vlan以及隔離端口的規(guī)劃,很好地滿足了接入層交換機用戶的隔離需求����。
圖1是現(xiàn)有技術(shù)中基于端口的隔離方法的示意圖;
圖2是本發(fā)明基于vlan的一對多的端口隔離方法流程圖��;圖3是本發(fā)明基于vlan的一對多的端口隔離方法示意圖��。
具體實施例方式
本發(fā)明提出一種基于vlan的一對多的端口隔離技術(shù)���,使用vlan+端口進行隔離。隔離端口上配置隔離的那個vlan稱為隔離vlan�����,接入端口之間只在隔離vlan中隔離,其他vlan不隔離����。
本發(fā)明方法中,首先對每個接入端口���,設計一個vlan+端口(port)轉(zhuǎn)發(fā)表���,如果接入端口在某個vlan配置了隔離,表中保存該隔離vlan��,且表中保存這個接入端口對應的上聯(lián)端口���,本發(fā)明方法見圖2���,步驟如下步驟210當接入端口收到數(shù)據(jù)包時,根據(jù)數(shù)據(jù)包帶的vlanId(vlan標識)���,查找vlan+端口轉(zhuǎn)發(fā)表�����,如果數(shù)據(jù)包攜帶的vlanId對應的vlan配置了隔離����,即該數(shù)據(jù)包要發(fā)送到該接入端口的隔離vlan中,轉(zhuǎn)入步驟220�����;如果沒有配置隔離�����,轉(zhuǎn)入步驟270��;步驟220判斷收到的數(shù)據(jù)包是廣播流還是單播��,如果隔離端口收到的是廣播流�����,轉(zhuǎn)入步驟230���;如果隔離端口收到的是單播��,轉(zhuǎn)入步驟240�����;步驟230從vlan+端口查找表中查找上聯(lián)端口��,向所有上聯(lián)端口轉(zhuǎn)發(fā)數(shù)據(jù)包�����,結(jié)束�����;步驟240查看數(shù)據(jù)包目的地址是否是從對應上聯(lián)端口學習過來的����,如果是����,轉(zhuǎn)入步驟250,否則����,轉(zhuǎn)入步驟260;當接入端口對應多個上聯(lián)端口時�����,檢查每個上聯(lián)端口,看目的地址是否是從所述上聯(lián)端口中學習過來的��。
步驟250將數(shù)據(jù)包轉(zhuǎn)發(fā)至對應的上聯(lián)端口�����,結(jié)束���;步驟260丟棄該數(shù)據(jù)包���,結(jié)束;步驟270按照正常的二層轉(zhuǎn)發(fā)處理所述數(shù)據(jù)包��,結(jié)束���。
這樣接入端口之間通訊與否可以通過配置的vlan來實現(xiàn)���,有的vlan隔離,有的vlan可以互通���,實現(xiàn)基于vlan的一對多的端口隔離��。從上聯(lián)端口收到的數(shù)據(jù)報文���,不需要隔離,只要按照正常的二層轉(zhuǎn)發(fā)就可以了��。
下面以圖3的配置說明方案實現(xiàn)過程假設接入端口customerA�����,customerB����,上聯(lián)端口有兩個分別是uplinkA,uplinkB��。他們都配置在vlan 10����,20中,其中vlan10中的數(shù)據(jù)流在接入端口隔離���,而vlan20中互通��。
上行的廣播報文(從接入端口收到的數(shù)據(jù)包)1)如果customerA端口中收到的是標簽為10的廣播����、未知或者組播數(shù)據(jù)包,則轉(zhuǎn)發(fā)時查找vlan+端口表��,發(fā)現(xiàn)配置了隔離��,則轉(zhuǎn)發(fā)廣播到上聯(lián)端口����,不向接入端口customerB廣播;2)如果customerA端口中收到的是標簽為20的廣播�����、未知或者組播數(shù)據(jù)包��,則轉(zhuǎn)發(fā)時查找vlan+端口表����,發(fā)現(xiàn)沒有配置隔離,則廣播到vlan20中所有的端口�����,既向上聯(lián)端口廣播�����,也向其他接入端口廣播。
上行的單播報文1)如果customerA端口收到的是標簽為10的單播包�����,則轉(zhuǎn)發(fā)時查找vlan+端口表����,發(fā)現(xiàn)配置了隔離���,則要進一步檢查目的媒體接入控制(mac)表中的出端口是不是上聯(lián)端口��,如果是則從該上聯(lián)端口轉(zhuǎn)發(fā)出去��。如果目的mac從customerB學習到��,則丟棄處理���,不向customerB端口轉(zhuǎn)發(fā),從而單播包在兩個接入端口間也實現(xiàn)了隔離�����;2)如果customerA端口收到的是標簽為20的單播包,則轉(zhuǎn)發(fā)時查找vlan+端口表��,發(fā)現(xiàn)沒有配置隔離���,則直接進行普通二層轉(zhuǎn)發(fā)��。
同樣���,customerB收到的廣播、未知組播或者單播包也進行同樣的處理�����。這樣就實現(xiàn)了接入端口之間按照vlan進行隔離�����,接入端口可以和多個上聯(lián)端口進行通信����。
權(quán)利要求
1.一種基于虛擬局域網(wǎng)的端口隔離方法,首先建立查找表����,該表中保存該接入端口對應的隔離虛擬局域網(wǎng)即隔離vlan��,及該接入端口對應的上聯(lián)端口��,當所述接入端口接收到數(shù)據(jù)包時�����,進行如下處理根據(jù)查找表判斷該數(shù)據(jù)包是否要發(fā)送到該接入端口的隔離vlan中����,如果不是��,按照正常的二層轉(zhuǎn)發(fā)處理該數(shù)據(jù)包��。
2.如權(quán)利要求1所述的方法���,其特征在于如果該數(shù)據(jù)包要發(fā)送到所述接入端口的隔離vlan中,進行如下處理a���、判斷所述數(shù)據(jù)包是單播流還是廣播流����,如果是單播流��,轉(zhuǎn)入步驟b;如果是廣播流����,在查找表中查找接入端口對應的上聯(lián)端口,轉(zhuǎn)發(fā)該數(shù)據(jù)包��,結(jié)束�����;b����、檢查該數(shù)據(jù)包的目的地址是否是從接入端口對應的上聯(lián)端口學習而來,不是則丟棄該數(shù)據(jù)包��,否則����,轉(zhuǎn)發(fā)至相應的上聯(lián)端口,結(jié)束��。
3.如權(quán)利要求1所述的方法����,其特征在于所述數(shù)據(jù)包攜帶一vlan標識�����,在查找表中如果查找到與該vlan標識對應的vlan����,則說明該數(shù)據(jù)包要發(fā)送到接入端口的隔離vlan中�����,否則��,該數(shù)據(jù)包不發(fā)送到接入端口的隔離vlan中����。
4.如權(quán)利要求1或2所述的方法���,其特征在于所述接入端口對應一個或多個上聯(lián)端口���。
全文摘要
本發(fā)明提出一種基于虛擬局域網(wǎng)的端口隔離方法,首先建立查找表���,該表中保存該接入端口對應的隔離虛擬局域網(wǎng)即隔離vlan�����,及該接入端口對應的上聯(lián)端口����,當所述接入端口接收到數(shù)據(jù)包時,進行如下處理根據(jù)查找表判斷該數(shù)據(jù)包是否要發(fā)送到該接入端口的隔離vlan中����,如果不是,按照正常的二層轉(zhuǎn)發(fā)處理該數(shù)據(jù)包���。采用本發(fā)明提出的方法�����,接入端口在有些vlan中隔離��,有些vlan中不隔離����,既節(jié)省了vlan資源����,同時�����,也給端口隔離帶來了更大的靈活性�����,簡化了接入設備上vlan以及隔離端口的規(guī)劃���,很好地滿足了接入層交換機用戶的隔離需求。
文檔編號H04L12/24GK101035052SQ200710098270
公開日2007年9月12日 申請日期2007年4月25日 優(yōu)先權(quán)日2007年4月25日
發(fā)明者張寶亞, 李新宇, 劉興銓 申請人:中興通訊股份有限公司