CN103780630B - 虚拟局域网端口隔离方法及*** - Google Patents
虚拟局域网端口隔离方法及*** Download PDFInfo
- Publication number
- CN103780630B CN103780630B CN201410056954.4A CN201410056954A CN103780630B CN 103780630 B CN103780630 B CN 103780630B CN 201410056954 A CN201410056954 A CN 201410056954A CN 103780630 B CN103780630 B CN 103780630B
- Authority
- CN
- China
- Prior art keywords
- keyword
- virtual lan
- port
- isolated
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据通信领域的端口隔离技术。本发明公开了一种虚拟局域网端口隔离方法,包括步骤:a、在每个交换芯片的入口处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址和是否经过路由字段;b、为每个交换芯片的所述关键字赋值,设置是否经过路由字段的值为未经过路由;c、报文进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作。本发明同时公开了虚拟局域网端口隔离***,包括关键字设置模块、关键字赋值模块、关键字匹配模块。本发明可以灵活配置隔离端口和被隔离端口在哪个虚拟局域网被隔离,解决了在一个虚拟局域网中被隔离的用户在其他虚拟局域网也被隔离的问题。
Description
技术领域
本发明涉及数据通信领域的端口隔离技术,尤其涉及采用IFP(IngressContentAware Processor,入口内容处理器)实现的基于VLAN(Virtual Local AreaNetwork,虚拟局域网)的端口隔离技术。
背景技术
随着内部网络用户数量的增加和对业务多样性要求的提高,交换机接入安全的问题日益突出。出于安全的考虑,必须保证只有合法的用户才能接入数据中心的网络***。
早期虚拟局域网的出现就是把一个局域网(LAN)划分成多个逻辑的局域网——虚拟局域网。每个虚拟局域网是一个广播域,虚拟局域网内的主机间通信就和在一个局域网内一样,而虚拟局域网间则不能直接互通,这样就可以把一个公司内部的不同部门划分不同虚拟局域网,相互隔离各个部门,提高安全性。
网络安全的问题日益突出,网络安全的要求越来越高,在各种虚拟局域网内部又要求更为严格的安全措施——对整个虚拟局域网内部的用户进行严格的隔离。
出于安全的考虑,在多种应用场景中都需要隔离指定虚拟局域网中的每个用户。现有交换芯片提供了基于端口的出口表项,设置该表项中的位图用于指定从该端口进来的报文不能从位图中指定的端口出去。该功能只是简单的实现了从隔离端口进来的报文不能从被隔离端口出去。在很多应用场景中,这种简单的隔离存在天然的缺陷——不管隔离端口和被隔离端口属于哪个虚拟局域网,在这些虚拟局域网中,隔离端口和被隔离端口都是被隔离的。这种粗犷的隔离方式不能满足用户的灵活需求,还会导致本来不需要被隔离的用户实际上被隔离起来了。egress表项不能实现基于虚拟局域网的端口隔离。
发明内容
针对上述现有技术的问题,本发明的目的是提供一种虚拟局域网端口隔离方法,这种基于虚拟局域网的端口隔离,保证了在一个虚拟局域网被隔离的用户在其他虚拟局域网不会被隔离,用户可以灵活配置隔离端口和被隔离端口在哪个虚拟局域网被隔离。
本发明解决所述技术问题,采用的技术方案是,虚拟局域网端口隔离方法,包括步骤:
a、在每个交换芯片的入口处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址和是否经过路由字段;
b、为每个交换芯片的所述关键字赋值,设置是否经过路由字段的值为未经过路由;
c、报文进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作。
具体的,步骤a中,所述关键字存储在入口内容处理器的三态内容寻址存储器中。
进一步的,所述端口地址通过出口掩码中的位图进行标识。
进一步的,步骤b中,每个交换芯片的所述关键字赋值相同或不相同。
具体的,步骤c中所述相应动作,是指入口内容处理器策略引擎中的数据流重定向动作。
本发明的另一个目的是,提供一种虚拟局域网端口隔离***包括关键字设置模块、关键字赋值模块、关键字匹配模块;
所述关键字设置模块,用于在每个交换芯片的入口内容处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址和是否经过路由字段;
所述关键字赋值模块,用于为每个交换芯片的所述关键字赋值,设置是否经过路由字段的值为未经过路由;
所述关键字匹配模块,用于报文进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作。
具体的,所述关键字存储在入口内容处理器的三态内容寻址存储器中。
具体的,所述端口地址通过出口掩码中的位图进行标识。
进一步的,所述关键字赋值模块为每个交换芯片的所述关键字赋值相同或不相同。
具体的,所述相应动作是指IFP策略引擎中的数据流重定向动作。
本发明的有益效果是,用户可以灵活配置隔离端口和被隔离端口在哪个虚拟局域网被隔离,解决了在一个虚拟局域网中被隔离的用户在其他虚拟局域网也被隔离的问题。本发明采用入口内容处理器来实现该方案,该部件在现有的任何交换芯片都支持,通用性好、应用广泛。
附图说明
图1为实施例的方法流程图;
图2为实施例的***结构示意图。
具体实施方式
下面结合附图及及具体实施方式,详细描述本发明的技术方案。
在交换芯片中都有IFP、EFP(Egress ContentAware Processor,出口内容处理器)、VFP(Vlan ContentAware Processor,虚拟局域网内容处理器)三个CAP(ContentAwareProcessor,内容处理器)部件,其中IFP部件对入方向的报文做匹配和过滤处理,EFP部件对出方向的报文做匹配和过滤处理,VFP部件对QINQ报文(一种VLAN报文)做添、删、改处理。VFP部件不能达到本发明的需求,不能选择。在IFP和EFP部件的选择上,结合该功能的特性——隔离端口和被隔离端口可能会处于不同的芯片中,这样如果选择EFP部件,由于EFP部件中不能支持隔离和被隔离端口不在同一芯片的情况,这样导致隔离端口和被隔离端口是跨芯片端口时不能达到隔离的目的,存在缺陷。而恰好在IFP中对隔离端口可以识别标识该端口属于哪个芯片的modId(芯片ID),这样在IFP中设置匹配隔离端口的srcPortId(源端口ID)加上该端口的modId就可以解决隔离端口和被隔离端口跨芯片的问题。
实施例
如图1所示,本发明实施例虚拟局域网端口隔离方法,主要步骤如下:
S101,在每个交换芯片的入口内容处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址。并将上述关键字存储在入口内容处理器的三态内容寻址存储器中。
选择了CAP中的IFP部件后,然后要决定匹配的字段,匹配的字段就是根据用户需求设定的能够满足场景需求的关键字。在本发明实施例中,由于要隔离虚拟局域网中的用户,匹配的字段首先必须要包括虚拟局域网的编号(VLAN ID),其次要包括隔离端口的端口地址(srcPort ID)和芯片编号(mod ID),通常还要将三层路由(L3route)字段设置为0,表示没有经过路由。
S102,为每个交换芯片的所述关键字赋值,设置是否经过路由字段的值为未经过路由。
为了达到隔离报文源端口和目的端口的目的,同时解决源端口和目的端口在不同芯片的问题,除了在交换机中每个交换芯片的IFP中的TCAM(ternary contentaddressable memory)设置如上所述的匹配字段外,还需要根据用户的需求差异为关键字设置相同或不同的值。如果需要在每个芯片中隔离相同的端口,即执行相同的动作,就可以为上述关键字设置相同的值,如果在不同芯片上匹配相同的字段,而需要执行不同的动作,即在不同芯片隔离不同的端口,就需要为上述关键字设置不同的值。
S103,进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作。
本发明实施例执行的动作采用了入口内容处理器策略引擎(IFP policy engine)中的redirect(数据流重定向)的动作,该动作本来用于对匹配的流做重定向动作,改变该条流的出端口。但是该动作中有一个egressMask(出口掩码)行为,通过该动作中的egressMask行为可以指定被隔离端口的位图,这样从一个端口进入的报文可以与多个端口隔离。如果从芯片0端口进来的报文需要与芯片1端口的报文进行隔离而不需要隔离芯片0上的端口,这时芯片0和芯片1上的关键字设置一样,芯片0上的egressMask动作是不隔离入端口的报文,而芯片1上的egressMask动作是隔离本芯片指定端口或者所有端口的报文,通过分别设置egressMask为0或者设置egressMask为指定端口来实现这个功能。
因为IFP中的匹配规则包括了VLAN ID,所以当一个报文从入口进入交换机,走到IFP处理流程时,只有完成匹配了如上规则包括VLAN ID才执行redirect动作来实现隔离,所以在不同的VLAN中由于VLAN ID不能匹配,不能实现隔离,这样本发明就真正实现了的基于虚拟局域网的隔离。
本发明实施例***结构如图2所示,包括关键字设置模块201、关键字赋值模块202、关键字匹配模块203。
所述关键字设置模块,用于在每个交换芯片的入口处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址,并将所述关键字存储在入口内容处理器的三态内容寻址存储器中。所述端口地址通过出口掩码中的位图标识。
所述关键字赋值模块,用于为每个交换芯片的所述关键字赋值,根据用户的不同需要,关键字赋值模块为每个交换芯片的所述关键字赋值可以相同或不相同。
所述关键字匹配模块,用于报文进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作,该相应动作是指入口内容处理器策略引擎中的数据流重定向动作。
Claims (8)
1.虚拟局域网端口隔离方法,包括步骤:
a、在每个交换芯片的入口内容处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址和是否经过路由字段;
b、为每个交换芯片的所述关键字赋值,设置是否经过路由字段的值为未经过路由;
c、报文进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作;
步骤b中,如果需要在每个芯片中隔离相同的端口,关键字设置相同的值;如果需要在不同芯片隔离不同的端口,上述关键字设置不同的值。
2.根据权利要求1所述的虚拟局域网端口隔离方法,其特征在于,步骤a中,所述关键字存储在入口内容处理器的三态内容寻址存储器中。
3.根据权利要求2所述的虚拟局域网端口隔离方法,其特征在于,所述端口地址通过出口掩码中的位图进行标识。
4.根据权利要求1所述的虚拟局域网端口隔离方法,其特征在于,步骤c中,所述相应动作是指入口内容处理器策略引擎中的数据流重定向动作。
5.虚拟局域网端口隔离***,包括关键字设置模块、关键字赋值模块、关键字匹配模块;
所述关键字设置模块,用于在每个交换芯片的入口处理器中设置关键字,所述关键字包括虚拟局域网编号、芯片编号、端口地址和是否经过路由字段;
所述关键字赋值模块,用于为每个交换芯片的所述关键字赋值,设置是否经过路由字段的值为未经过路由;
所述关键字匹配模块,用于报文进入交换机后,进行关键字匹配,根据所述关键字赋值执行相应动作;
所述关键字赋值模块为每个交换芯片的所述关键字赋值相同或不相同;
如果需要在每个芯片中隔离相同的端口,关键字设置相同的值;如果需要在不同芯片隔离不同的端口,上述关键字设置不同的值。
6.根据权利要求5所述的虚拟局域网端口隔离***,其特征在于,所述关键字存储在入口内容处理器的三态内容寻址存储器中。
7.根据权利要求5所述的虚拟局域网端口隔离***,其特征在于,所述端口地址通过出口掩码中的位图标识。
8.根据权利要求5所述的虚拟局域网端口隔离***,其特征在于,所述相应动作是指入口内容处理器策略引擎中的数据流重定向动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410056954.4A CN103780630B (zh) | 2014-02-18 | 2014-02-18 | 虚拟局域网端口隔离方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410056954.4A CN103780630B (zh) | 2014-02-18 | 2014-02-18 | 虚拟局域网端口隔离方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103780630A CN103780630A (zh) | 2014-05-07 |
| CN103780630B true CN103780630B (zh) | 2018-07-10 |
Family
ID=50572460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410056954.4A Active CN103780630B (zh) | 2014-02-18 | 2014-02-18 | 虚拟局域网端口隔离方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103780630B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743761A (zh) * | 2014-12-12 | 2016-07-06 | 中兴通讯股份有限公司 | 实现路由接口二层隔离和三层互通的方法及网络设备 |
| CN105991558B (zh) * | 2015-02-04 | 2019-09-17 | ***通信集团公司 | 一种移动网云化场景下安全模式协商方法、装置和设备 |
| CN106302263B (zh) * | 2015-05-22 | 2019-12-03 | 中兴通讯股份有限公司 | 一种路由口与非路由口二层隔离的方法、装置及交换机 |
| CN108696431B (zh) * | 2018-06-27 | 2021-09-17 | 深圳市普威技术有限公司 | 局域网端口配置方法及装置、交换芯片和路由交换设备 |
| CN111147399A (zh) * | 2018-11-06 | 2020-05-12 | ***通信有限公司研究院 | 一种交换机配置方法、交换机及控制器 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7095741B1 (en) * | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
| CN1297106C (zh) * | 2003-04-15 | 2007-01-24 | 华为技术有限公司 | 对以太网交换机的用户端口之间进行隔离的方法 |
| CN101166137B (zh) * | 2006-10-20 | 2011-04-06 | 华为技术有限公司 | 对不同虚拟局域网业务进行隔离的方法 |
| CN101335685B (zh) * | 2007-06-27 | 2012-03-07 | 上海博达数据通信有限公司 | 一种利用重定向技术实现特定报文优先处理的方法 |
| CN101123510B (zh) * | 2007-07-11 | 2011-03-02 | 中兴通讯股份有限公司 | 实现交换机端口隔离的方法、交换机及交换芯片 |
| CN100553220C (zh) * | 2007-08-22 | 2009-10-21 | 杭州华三通信技术有限公司 | 一种实现vlan内下行用户隔离的方法及设备 |
| CN101409677B (zh) * | 2008-11-27 | 2010-12-08 | 福建星网锐捷网络有限公司 | 一种接入控制方法及装置 |
| CN102480485B (zh) * | 2010-11-30 | 2014-09-24 | 杭州华三通信技术有限公司 | 实现同一vlan内端口跨设备隔离的***、方法和交换设备 |
| US9363207B2 (en) * | 2011-06-24 | 2016-06-07 | Cisco Technology, Inc. | Private virtual local area network isolation |
| CN102523164B (zh) * | 2011-12-19 | 2015-09-23 | 曙光信息产业(北京)有限公司 | 一种在网卡中实现复杂同源同宿分流的*** |
-
2014
- 2014-02-18 CN CN201410056954.4A patent/CN103780630B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| FP(Contentaware Processor);FeiXun;《百度文库》;20121114;正文第1-17页 * |
| FP(Contentaware Processor);FeiXun;《豆丁》;20121114;正文第1-17页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103780630A (zh) | 2014-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103780630B (zh) | 虚拟局域网端口隔离方法及*** | |
| CN103428094B (zh) | 开放流OpenFlow***中的报文转发方法及装置 | |
| US10069764B2 (en) | Ruled-based network traffic interception and distribution scheme | |
| CN112771820B (zh) | 服务网格内的区分式服务 | |
| US7813337B2 (en) | Network packet processing using multi-stage classification | |
| US7945941B2 (en) | Flexible access control policy enforcement | |
| CN102158421B (zh) | 创建三层接口的方法及单元 | |
| CN103475559B (zh) | 一种根据报文内容对报文进行处理并转发的方法和*** | |
| CN101558402B (zh) | 共享的虚拟装置端口 | |
| US8874838B2 (en) | Providing dynamic databases for a TCAM | |
| US8165125B2 (en) | Apparatus and method of classifying packets | |
| CN105706391A (zh) | 通过索引的本地化来增加组播规模 | |
| CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
| US20100135307A1 (en) | Switch | |
| CN105897493B (zh) | 一种sdn规则冲突的检测方法 | |
| US11588821B1 (en) | Systems and methods for access control list (ACL) filtering | |
| CA2520693A1 (en) | Programmable packet classification system using an array of uniform content-addressable memories | |
| US10623316B2 (en) | Scaling of switching tables with high bandwidth | |
| CN106453091B (zh) | 路由器转发平面的等价路由管理方法和装置 | |
| CN108683617A (zh) | 报文分流方法、装置及分流交换机 | |
| CN108683615A (zh) | 报文分流方法、装置及分流交换机 | |
| CN104660511A (zh) | 一种sdn网络中多播报文的传输方法和设备 | |
| CN104009924B (zh) | 一种基于tcam和fpga的报文处理方法及装置 | |
| US7394810B2 (en) | Layer 2 switch and method of processing expansion VLAN tag of layer 2 frame | |
| CN103346950B (zh) | 一种机架式无线控制器用户业务板间负载均摊方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |