CN106789921A - 一种支持vlan内成员端口隔离的交换方法及交换机 - Google Patents

一种支持vlan内成员端口隔离的交换方法及交换机 Download PDF

Info

Publication number
CN106789921A
CN106789921A CN201611061433.3A CN201611061433A CN106789921A CN 106789921 A CN106789921 A CN 106789921A CN 201611061433 A CN201611061433 A CN 201611061433A CN 106789921 A CN106789921 A CN 106789921A
Authority
CN
China
Prior art keywords
port
vlan
down going
mac address
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611061433.3A
Other languages
English (en)
Inventor
李渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Guangda New Network Technology Co Ltd
Original Assignee
Chengdu Guangda New Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Guangda New Network Technology Co Ltd filed Critical Chengdu Guangda New Network Technology Co Ltd
Priority to CN201611061433.3A priority Critical patent/CN106789921A/zh
Publication of CN106789921A publication Critical patent/CN106789921A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种支持VLAN内成员端口隔离的交换方法及交换机,涉及交换机技术,尤其涉及广电数据通信领域中二层交换机设备(L2 Switch)。本发明技术要点:设定交换机的上行口、多个下行口以及过滤端口;其中上行口与广电网络中的互动点播网络连接,多个下行口分别与各个局端设备连接,过滤端口悬空;多个下行口属于同一个VLAN功能域;为过滤端口分配固定的MAC地址;开启各个下行口的vlan tunnel功能;当报文的源地址为某个下行口的MAC地址,报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。

Description

一种支持VLAN内成员端口隔离的交换方法及交换机
技术领域
本发明涉及交换机技术,尤其是广电数据通信领域中二层交换机设备(L2Switch)。
背景技术
技术术语解释:
EOC:Ethernet Over Cable,以太网电缆。
CPE:Customer Premise Equipment,客户终端设备。
VOD:Video on Demand,视频点播。
VLAN:Virtual Local Area Network,虚拟局域网,是指一组逻辑上的设备和用户。
Internet:互联网。
OLT:Optical Line Terminal,光线路终端,用于连接光纤干线的终端设备。
ONU:Optical Network Unit,光网络单元。
CATV:Community Antenna Television,国内一般指广电有线电视***,或者广电有线电视网络。
HFC:Hybrid Fiber-Coaxial的缩写,即混合光纤同轴电缆网。
STB:Set Top Box,机顶盒。
参见图1,广电网络中的二层交换机设备(L2 Switch)一般位于小区楼道,下接有多个局端设备(EOC),局端设备分属于不同的住户,局端设备下接终端设备(CPE),终端设备(CPE)位于住户的家中。互动点播网络与交换机设备连接,将上网及点播业务数据通过交换机分发给各个用户的局端设备,且这些业务是按照不同的服务流进入其相应的VLAN。如图1中,上网业务对应VLAN B,点播业务对应VLAN A。交换机的一个上行口能收发多个VLAN的数据报文;交换机的多个下行口只能收发本下行端口所在VLAN的数据报文。***直播网络的电视直播业务数据直接传输到局端设备,局端设备提供给用户多种业务,比如:上网、高清VOD点播、电视直播等。
对于交换机,各个局端设备用报文携带不同的VLAN通过交换机一层一层传给互动点播网络中的上层业务通信服务器,如Internet网或VOD点播***,将用户的上网或点播请求告知上层业务通信服务器。上层业务通信服务器返回相应的上网、点播业务数据,交换机设备再将上网、点播业务数据分发到指定的局端设备上。可见交换机设备的工作主要就是承上启下。
现有的广电网络中的交换机设备具有一个上行口与多个下行口,参见图2,上行口接入ONU设备,下行口port1~8对应接入8户家庭的EOC局端设备,上行口与各个下行口之间可以进行数据交换。
如前所述,广电现网的上网、高清VOD点播和电视直播都是利用VLAN来划分各自的功能邻域,若图2中的port1和port2都开通了高清VOD点播,那么port1和port2都要加入高清VOD点播所在的VLAN组,例如VLAN A组。此时,port1和port2下接的用户即可以在高清VOD点播所在的VLAN A组里互访,图2中用虚线标示出了port1与port2之间的这种潜在的通信通道。然而出于网络安全的考虑,这是不允许的,必须把VLAN内成员端口进行隔离。
现有的交换机会用VLAN QinQ功能解决该问题,但具备VLAN QinQ功能的交换芯片的价格都不低。对二层交换机而言,稳定性和实现上述简单功能满足要求即可,所以在设计时都会尽量采用一些很低成本的交换芯片。
那么如何在这些低成本的交换机上实现VLAN内成员端口隔离是急需解决的问题。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种支持VLAN内成员端口隔离的交换方法及交换机。
其中方法包括:
步骤1:设定交换机的上行口、多个下行口以及过滤端口;其中上行口与广电网络中的互动点播网络连接,多个下行口分别与各个局端设备连接,过滤端口悬空;多个下行口属于同一个VLAN功能域;为过滤端口分配固定的MAC地址;
步骤2:开启各个下行口的vlan tunnel功能;
步骤3:建立交换机内部的端口映射机制:当报文源地址为上行口的MAC地址,报文目标地址为某下行口的MAC地址时按照目标地址转发报文;当报文源地址为下行口的MAC地址,报文的目标地址为上行口的MAC地址时按照目标地址转发报文;当报文的源地址为某个下行口的MAC地址,报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。
进一步,上行口与互动点播网络中的ONU设备连接。
进一步,下行口与EOC局端设备连接;各个EOC局端设备分属不同的住户。
进一步,所述交换机具备Qvaln模式。
进一步,所述上行口被配置为trunk vlan,下行口及过滤端口被配置为accessvlan。
本发明还提供了一种支持VLAN内成员端口隔离的交换机,包括上行口、多个下行口以及过滤端口;其中上行口与广电网络中的互动点播网络连接,多个下行口分别与各个局端设备连接,过滤端口悬空;多个下行口属于同一个vlan功能域;为过滤端口分配固定的MAC地址;各个下行口的vlan tunnel功能为开启状态;
所述交换机按照以下机制转发报文:当报文源地址为上行口的MAC地址,报文目标地址为某下行口的MAC地址时按照目标地址转发报文;当报文源地址为下行口的MAC地址,报文的目标地址为上行口的MAC地址时按照目标地址转发报文;当报文的源地址为某个下行口的MAC地址,报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明在原有交换机Qvaln模式上,利用端口的vlan tunnel功能,实现VLAN内成员端口的隔离。vlan tunnel功能原本是用于交换机端口垮不同VLAN组通信的一种方法手段,其目的是让分属不同VLAN的端口可以相互通信。
本发明将交换机上一端口悬空,即不连接任何设备,作为过滤端口(我们称它为黑洞端口,不呈现给用户),相当于在交换机上预留的一个空交换口,为过滤端口绑定一静态MAC地址,把交换机上下行口互访的报文通过Valn tunnel功能转向到过滤端口,由于黑洞端口是悬空的,所以报文被丢弃。从而无需增加VLAN QinQ功能的芯片,利用普通交换机原有的功能即可实现同VLAN中端口的隔离,有效防止某些用户对其他用户的恶意攻击。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为现有的广电网络拓扑图。
图2为现有的交换机连接及交换映射关系示意图。
图3为本发明中交换机各个端口连接及交换映射关系示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
参见图3,本发明在普通交换机的Qvlan模式上,启动下行口的vlan tunnel功能,并设定过滤端口实现了同VLAN功能域中端口之间的隔离,具体手段如下:
首先,设定交换机的上行口、多个下行口以及过滤端口,这些端口都是交换机上的通信端口,将不同的端口分别配置则可得到上述三类端口,优选的,将上行口配置为trunkvlan,那么上行口可以接收和发送不同VLAN功能域的报文,将下行口、过滤端口都设置为access vlan,本实施例中下行口port1、port2均属于高清VOD点播VLAN功能域,过滤端口不属于该VLAN功能域。其中上行口与广电网络中的互动点播网络连接,连接方式参见图1。多个下行口分别与各个局端设备连接,也参见如1。过滤端口悬空,并为过滤端口分配固定的MAC地址。
因为要建立下行口与过滤端口的跨VLAN数据交换,因此需要开启过滤端口及各个下行口的vlan tunnel功能。
建立交换机内部的端口映射机制:当报文源地址为上行口的MAC地址,报文目标地址为某下行口的MAC地址时按照目标地址转发报文;当报文源地址为下行口的MAC地址,报文的目标地址为上行口的MAC地址时按照目标地址转发报文;当报文的源地址为某个下行口的MAC地址,报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。原本是下行口之间交换的报文全部都定向到过滤端口,由于过滤端口是悬空的,那么定向到此端口的报文全部丢弃,从而达到了下行口之间不能交换数据的功能,达到隔离的效果。
更具体的,先收集各个局端设备的MAC地址,开启交换机的MAC学习功能,使交换机“记住”上述端口映射机制,然后关闭学习功能开启交换机的Qvaln模式,这样就设定好了上行口与下行口相通,下行口与过滤端口相通,下行口之间不相通。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims (10)

1.一种支持VLAN内成员端口隔离的交换方法,其特征在于,包括:
步骤1:设定交换机的上行口、多个下行口以及过滤端口;其中上行口与广电网络中的互动点播网络连接,多个下行口分别与各个局端设备连接,过滤端口悬空;多个下行口属于同一个VLAN功能域;为过滤端口分配固定的MAC地址;
步骤2:开启各个下行口的valn tunnel功能;
步骤3:建立交换机内部的端口映射机制:当报文源地址为上行口的MAC地址,报文目标地址为某下行口的MAC地址时按照目标地址转发报文;当报文源地址为下行口的MAC地址,报文的目标地址为上行口的MAC地址时按照目标地址转发报文;当报文的源地址为某个下行口的MAC地址,报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。
2.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法,其特征在于,上行口与互动点播网络中的ONU设备连接。
3.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法,其特征在于,下行口与EOC局端设备连接;各个EOC局端设备分属不同的住户。
4.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法,其特征在于,所述交换机具备Qvaln模式。
5.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法,其特征在于,所述上行口被配置为trunk vlan,下行口及过滤端口被配置为access vlan。
6.一种支持VLAN内成员端口隔离的交换机,其特征在于,包括上行口、多个下行口以及过滤端口;其中上行口与广电网络中的互动点播网络连接,多个下行口分别与各个局端设备连接,过滤端口悬空;多个下行口属于同一个VLAN功能域;为过滤端口分配固定的MAC地址;各个下行口的vlan tunnel功能为开启状态;
所述交换机按照以下机制转发报文:当报文源地址为上行口的MAC地址,报文目标地址为某下行口的MAC地址时按照目标地址转发报文;当报文源地址为下行口的MAC地址,报文的目标地址为上行口的MAC地址时按照目标地址转发报文;当报文的源地址为某个下行口的MAC地址,报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。
7.根据权利要求6所述的一种支持VLAN内成员端口隔离的交换机,其特征在于,上行口与互动点播网络中的ONU设备连接。
8.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换机,其特征在于,下行口与EOC局端设备连接;各个EOC局端设备分属不同的住户。
9.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换机,其特征在于,所述交换机具备Qvaln模式。
10.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换机,其特征在于,所述上行口被配置为trunk vlan,下行口及过滤端口被配置为access vlan。
CN201611061433.3A 2016-11-28 2016-11-28 一种支持vlan内成员端口隔离的交换方法及交换机 Pending CN106789921A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611061433.3A CN106789921A (zh) 2016-11-28 2016-11-28 一种支持vlan内成员端口隔离的交换方法及交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611061433.3A CN106789921A (zh) 2016-11-28 2016-11-28 一种支持vlan内成员端口隔离的交换方法及交换机

Publications (1)

Publication Number Publication Date
CN106789921A true CN106789921A (zh) 2017-05-31

Family

ID=58913269

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611061433.3A Pending CN106789921A (zh) 2016-11-28 2016-11-28 一种支持vlan内成员端口隔离的交换方法及交换机

Country Status (1)

Country Link
CN (1) CN106789921A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109257664A (zh) * 2018-10-26 2019-01-22 武汉长光科技有限公司 一种支持pon***端口隔离的方法
CN110149263A (zh) * 2019-04-17 2019-08-20 浪潮思科网络科技有限公司 一种vlan access端口功能扩展的装置及方法
CN112290989A (zh) * 2020-09-23 2021-01-29 中国空间技术研究院 一种星地通信的方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7095741B1 (en) * 2000-12-20 2006-08-22 Cisco Technology, Inc. Port isolation for restricting traffic flow on layer 2 switches
CN101035052A (zh) * 2007-04-25 2007-09-12 中兴通讯股份有限公司 一种基于虚拟局域网的端口隔离方法
CN101510845A (zh) * 2009-03-27 2009-08-19 北京星网锐捷网络技术有限公司 一种标签转发方法和装置
CN101702679A (zh) * 2009-11-26 2010-05-05 福建星网锐捷网络有限公司 基于虚拟局域网的报文处理方法及交换设备
CN102480485A (zh) * 2010-11-30 2012-05-30 杭州华三通信技术有限公司 实现同一vlan内端口跨设备隔离的***、方法和交换设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7095741B1 (en) * 2000-12-20 2006-08-22 Cisco Technology, Inc. Port isolation for restricting traffic flow on layer 2 switches
CN101035052A (zh) * 2007-04-25 2007-09-12 中兴通讯股份有限公司 一种基于虚拟局域网的端口隔离方法
CN101510845A (zh) * 2009-03-27 2009-08-19 北京星网锐捷网络技术有限公司 一种标签转发方法和装置
CN101702679A (zh) * 2009-11-26 2010-05-05 福建星网锐捷网络有限公司 基于虚拟局域网的报文处理方法及交换设备
CN102480485A (zh) * 2010-11-30 2012-05-30 杭州华三通信技术有限公司 实现同一vlan内端口跨设备隔离的***、方法和交换设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109257664A (zh) * 2018-10-26 2019-01-22 武汉长光科技有限公司 一种支持pon***端口隔离的方法
CN110149263A (zh) * 2019-04-17 2019-08-20 浪潮思科网络科技有限公司 一种vlan access端口功能扩展的装置及方法
CN110149263B (zh) * 2019-04-17 2021-08-06 浪潮思科网络科技有限公司 一种vlan access端口功能扩展的装置及方法
CN112290989A (zh) * 2020-09-23 2021-01-29 中国空间技术研究院 一种星地通信的方法及装置

Similar Documents

Publication Publication Date Title
CN102739436B (zh) 光纤同轴混合网络的统一网络管理***和方法
CN100461732C (zh) 一种以太技术交换和转发的方法、***和设备
CN102106122B (zh) 用于以太网网络上的dsl用户标识的方法和***
EP2355374B1 (en) Method, system and optical line terminal for message transmission in an optical communication system
CN100536399C (zh) 一种无源光网络分布式可控组播***及其实现方法
CN101697555B (zh) 一种vlan id收敛转换的解决方法
CN103957142B (zh) 一种实现pon***三网合一的***、方法及装置
JP5295273B2 (ja) データストリームフィルタリング装置及び方法
CN104767637B (zh) 一种eoc终端配置的方法
CN100586088C (zh) 实现虚拟局域网聚合的方法和汇聚交换机
CN102227137A (zh) 网络数字机顶盒及其实现多网接入的方法
CN103701679B (zh) 一种实现vlan转换的方法
CN106789921A (zh) 一种支持vlan内成员端口隔离的交换方法及交换机
CN106330724A (zh) 网络拓扑加入方法和装置
CN102104528B (zh) 一种应用于农村地区的网络***及业务报文的传送方法
US11968483B2 (en) Mutually secure optical data network and method
CN109121026A (zh) 一种基于逻辑端口实现volt的方法及***
CN100382491C (zh) 业务隔离传送方法
CN101488899B (zh) 用于1:1vlan接入网的mac地址学习限制方法和装置
CN101931831B (zh) 光网络单元和光网络单元的ip管理方法
CN102611591A (zh) 取代onu的光纤同轴混合接入***
CN104054303B (zh) 适于vod的网关
CN103595600B (zh) 一种适于eoc大规模组网的集群处理方法及光电双向网
KR20090097901A (ko) Ip 멀티캐스트 루트 모니터링 시스템 및 방법
CN110460917A (zh) Pon接入***中实现不同用户互通的方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170531