专利名称:控制边界设备通讯的方法、边界设备和网络管理模块的制作方法
技术领域:
本发明涉及对来自接入网络的边界设备的通讯进行控制的方法,该方法通过向该边界设备提供或不提供接入网络中至少一个其它边界节点的至少一个第2层目的地址实现。
背景技术:
这样的方法在现有技术中已经存在,例如在以太接入网的接入复用器中采用预配置的滤波器,其中出局边界节点的允许MAC地址被存储在这些滤波器中。现有技术的方法和系统要么在边界节点本身中采用预配置的滤波器,要么采用一种更集中的推送机制,其中网络管理模块中的中央控制服务器向每个边界节点提供其预先配置的允许网络设备的列表,边界节点可与这些网络设备通信。
在一些接入网络中,例如无连接聚合网络,如以太接入网,故障或者故障后网络的重新配置对于边界节点都是未知的。这就意味着,如果发生网络故障,且另一个MAC地址与另一个边界节点的相同的第3层地址相关,这个信息对于入局边界节点的滤波器来说是不可得的。现有的推送机制集中获知这些变化,但只有时向边界节点提供该信息,因此,推送机制的动态性不足以迅速向边界节点如接入复用器示意这些变化。另一种在启动时预先配置边界节点内的滤波器的机制根本不提供解决方案,因为采用这种方法,在边界设备如接入复用器的运行过程中,这些变化是根本不会知道的。
发明内容
本发明的一个目的是提供一种对来自上述已知类型接入网络的边界设备的通讯的控制方法,但该方法的动态性足以适应由于无法预料的环境例如网络故障而造成的第2层目的地址的变化。
根据本发明,该目的是这样实现的这些第2层目的地址只按照边界设备的请求传送。
这样,由于中央网络管理模块获知有关接入网络内边界设备的允许第2层目的地址的变化,因此,每当从一个边界设备收到有关与另一边界设备通讯的请求时,网络管理模块执行更新检查,并向边界节点发送最新的已知信息,于是该边界节点就获得了可用于进一步通讯的最新信息。
这样,当包括接入网络的目的边界节点的第2层目的地址的包到达后,以及当检查该第2层目的地址是否仍未存储在边界节点的通讯限制滤波器内后,在该边界节点内产生请求。这保证了对于还没有本地保存的目的地,总是从网络管理模块中获得最新信息。
根据本发明的另一个特征,附加的信息与所述边界设备中的所述至少一个第2层目的地址一起被传输和存储。
这是非常值得注意的情况如果网络故障,此时不仅要知道期望的MAC地址是否仍被使用或不用于目的地,而且通过提供附加的第2层转发信息如VLAN标签,提供服务映射和服务分离等级的可能。此外,通过提供更高OSI层的信息如OSI第3层或OSI第4层信息,能提供协议和应用控制的可能。例如能允许或阻止使用某一TPC端口的协议和应用。关于这些OSI层,会提到数据通讯中有名的7层OSI模型,其中第1层代表物理层,第2层代表数据层,第3层代表网络层,第4层代表传输层,第5层代表会话层,第6层代表表示层,第7层代表应用层。
根据本发明的进一步的特征,在超过预定的时间期限后,所述至少一个其它边界设备的所述至少一个第2层目的地址从所述边界设备的所述通讯限制滤波器中删除。
因此,对边界节点内保存允许MAC地址的滤波器引入时效。这再次保证了在正常的基础上,最新的信息被存储在滤波器中以保证动态的通讯控制。
根据本发明的另一特征,所述请求进一步包括有关所述包的发送者的用户信息。
通过获得包括有关包的发送者的附加的用户信息的请求,开放了计费的可能性。这进一步允许了对接入网内用户到用户通讯的控制,而这在正常运行的条件下一般是不被允许的,因为这些信息通常不存储在网络管理模块中。而通过提供在咨询计费设备时传输MAC地址的可能性,这种接入网络内的用户到用户通讯现在变为可能。
根据本发明,如果第2层目的地址,如包的MAC地址,没有存储在边界设备中或没有被所述边界设备从网络管理模块中收到,则通过接入网络入局的包的另外的通道被阻塞。
本发明也涉及一种边界节点和网络管理模块的通讯限制模块,均能够执行上述方法。
参考下面的实施例描述,结合附图,本发明的上述提到的和其他的目的和特征将更加明确,能更好地理解发明本身。
图1给出了具有若干边界设备、内部交换机、网络管理模块的接入网络AN和其它邻接网络的概括图,其中期望的通讯是从边界设备ED1到边界设备ED2;图2是执行本发明方法的边界设备ED1和网络管理模块NMM的详细示意图。
具体实施例方式
本发明涉及控制和限制到接入网络中允许的边界设备的通讯的方法。图1描述了这样一种接入网络,优选的是无连接聚合网络如以太接入网。该图示出了网络AN的4个边界设备ED1-ED4,其中ED1和ED2是接入复用器,用于聚合从若干用户(用小房子表示)耦合到这些接入复用器的业务。其它边界设备如ED3和ED4包括与一个或多个服务提供商网络之间的接口设备,如ED3提供到网络服务提供商NSP B和NSP C的接口,ED4提供到网络服务提供商NSP A的接口。
接入网络一般由网络管理模块管理,如图1中的模块NMM。一般地,网络管理模块的任务是通过分配带宽、计费和用户管理可能性来配置接入网络。对于本发明,网络管理的一个特别的方面对于每个用于包进入接入网络的边界设备来说是重要的,即存储器M1,用于存储允许目的边界设备对应的允许第2层地址的列表。
从图2所示的网络管理模块的详细结构,可以看出,除了列有所有的允许边界目的节点并存储对应的第2层目的地址的存储器M1外,网络管理模块还包括通讯限制模块(CRM),用于从存储器M1中取得第2层目的地址,并将其传输给边界节点,如ED1,但是仅在收到了来自ED1的有关特定目的地址的请求后传输。为实现该目的,边界设备ED1包括用于产生上述请求的通讯控制设备CCD。在一些实施例中,上述请求通常是在包到达后产生的。在本发明的一个优选实施例中,上述请求只在包括第2层目的地址的包到达后和在检查所述边界设备(ED1)内第2层目的地址仍未存储在内部的通讯限制滤波器(CRF)中后产生。所述检查在图2中用从CCD到CRF的标有“MAC2”的通讯箭头表示,说明CCD通知MAC2是否已在CRF中。CRF对CCD的回复用从CRF到CCD的标有“noMAC2”的箭头表示,说明第2层目的地址仍未存储在通讯限制滤波器中。可以注意的是,当边界设备初始化后,滤波器可预先配置一些预定的允许地址,或为空。
如果通讯控制设备CCD还没有在滤波器中发现第2层目的地址,则产生包括期望第2层目的地址的请求并转发给网络管理模块(NMM)中的通讯限制模块(CRM)。这通过标有“req MAC2”的箭头示意性地表示。当收到该请求后,CRM检查存储器M1是否允许ED1向第2层目的地址MAC2转发包。这用从CRM到M1的标有“MAC2/ED1”的箭头表示。如果该地址包含在M1中关于ED1设备的列表中,则从M1中取得该地址返回给CRM,并用从M1到CRM的标有“MAC2”的箭头表示。该信息接着被传输到边界节点ED1的通讯控制设备CCD,接着将地址MAC2转发给通讯限制滤波器CRF,如从CCD到CRF的标有“MAC2”的箭头所示。该地址在CRF中存放一段预定的时间,如120秒。当时间到达后,该条目从滤波器CRF中删除。这允许定期请求第2层目的地址是否仍被允许,如同对变化的定期更新。具有非常动态的机制的其它可能性包括每当一个新的包到达时请求通讯限制模块。然后每当这个包到达时,滤波器就更新,不依赖于第2层目的地址是否已经存在滤波器中。对于这些实现方式,甚至可从边界设备中省略一个滤波器。然而,这种实现方式需要边界节点与网络管理模块之间额外的通讯时间。
在请求的地址MAC2不允许被用于来自ED1的通讯的情况下,通讯限制模块CRM将不在M1中查找该地址,因此,不能向ED1返回该地址。该地址也不能存储在通讯限制滤波器中,这样当通讯控制设备CCD收到带有第2层地址作为目的的入局的包后,将阻塞该包进入接入网络中。
假设在目的边界节点ED2发生故障,而该边界节点ED2的MAC2是一个端口的第2层地址,则将使用一个新的带有新的MAC地址的端口。网络管理模块通过内部的ARP模块,直接或通过CRM向M1传输该最新信息。ARP是地址解析协议的缩写,是已有的处理最新地址分配的机制。然而这超出了本专利的范围,关于该机制的更多信息可在专业文献中获得。
图2通过ARP与M1之间标有MAC20的箭头示出了该机制。通过ARP机制也可通知包的发送方必须使用另一个具有如第2层地址MAC20的端口。M1现在包括用于ED1的最新列表,其中删除了MAC2而代之以MAC20。包的发送者现在被通知使用MAC20,在包头中插入新的第2层地址。接下来如果CRM询问M1是否允许MAC20用于ED1,则M1将提供MAC20确实被允许了的信息。
接着,地址MAC20被CRM提供给CCD,然后CCD将其存放在CRF中。因此,如果头部带有MAC20的新包到达CCD,则CCD从CRF中获取MAC20被允许了的信息。
除了取得允许第2层目的地址,如以太网络中的MAC地址,CRM还进一步从NMM中另一个名为VLANM的存储器中获取附加的第2层转发信息,如VLAN标签。VLAN是虚拟局域网的缩写,具有提供增强的性能和易管理、物理拓扑结构独立和增强的安全性的优点。上述优点能应用在以上描述的接入网络服务分离的情况中。
CRM从另一存储器,如图2中的M3,中获取与允许第2层MAC地址相关的第3层或更高层也是可能的。当必须限制某些协议或应用时,更高层的信息是有用的。
CRM可用网络管理模块中的通讯限制软件代理或硬件模块来实现。
在本发明方法和边界设备的一些实施例中,边界节点的通讯控制设备CCD也能在产生的请求中插入有关包的发送者的用户信息。该用户信息可包括物理层信息,如与用户连接的接入复用器的线路。然后该用户信息随请求进一步传递到网络管理模块的CRM。后者从请求中提取该用户信息,并提供给计费模块CM。于是CM通过向CRM提供一些计费信息作为响应。假如期望的第2层地址没有存储在M1中,这些信息是很有用的。这会发生在接入网络中的用户到用户通讯的情况下,但通常不被网络管理允许,因为这种通讯不能被正常地计费。然而采用本机制,在CRM收到这样的请求时咨询计费模块CM的情况下,计费模块会注意到这种通讯,这样就可以对此计费。然后,CM能进一步向CRM提供该信息,CRM使用该信息决定允许请求的第2层地址,然后响应来自ED1的包括第2层地址的请求提供该地址。而本发明的原理已在上面联系具体的设备描述了,可清楚理解的是,本说明仅采用实施例说明,但不限制本发明的范围。
权利要求
1.一种控制来自接入网络(AN)的边界设备(ED1)的通讯的方法,该方法是通过所述接入网(AN)的网络管理模块(NMM)向所述边界设备(ED1)提供或不提供所述接入网络(AN)的至少一个其它边界设备(ED2)的至少一个第2层目的地址(MAC2)实现的,其特征在于,所述至少一个第2层目的地址(MAC2)按照所述边界设备(ED1)的请求,传输到所述边界设备(ED1)。
2.根据权利要求1所述的方法,其中,当包括至少一个第2层目的地址的包到达后,所述边界设备(ED1)检查所述至少一个第2层目的地址是否存储在所述边界设备(ED1)的通讯限制滤波器(CRF)内;如果所述至少一个第2层目的地址没有存储在所述通讯限制滤波器(CRF)内,则产生包括所述至少一个第2层目的地址的所述请求。
3.根据权利要求1或2所述的方法,其中附加信息与所述边界设备(ED1)中的所述至少一个第2层目的地址(MAC2)一起被传输和存储。
4.根据权利要求3所述的方法,其中,所述附加信息包括第2层转发信息(VLAN标签)。
5.根据权利要求3所述的方法,其中,所述附加信息包括更高OSI层的信息。
6.根据权利要求2至5中任一个所述的方法,其中在超过预定的时间期限后,所述至少一个其它边界设备(ED2)的所述至少一个第2层目的地址(MAC2)从所述边界设备(ED1)的所述通讯限制滤波器(CRF)中被删除。
7.根据权利要求2至6任一所述的方法,其中所述请求进一步包括有关所述包的发送者的用户信息。
8.根据权利要求7所述的方法,其中所述网络管理模块(NMM)向计费模块(CM)提供所述用户信息。
9.根据权利要求8所述的方法,其中所述计费模块(CM)向所述网络管理模块(NMM)进一步提供有关所述包的发送者的计费信息,因此所述网络管理模块可向所述边界节点(ED1)传输所述至少一个第2层目的地址。
10.根据权利要求1至9任一个所述的方法,其中,如果所述至少一个第2层目的地址没有被存储在所述边界设备(ED1)内,或者没有被所述边界设备从网络管理模块(NMM)中收到,则所述边界设备(ED1)阻塞所述入局的包进一步经过所述接入网络(AN)。
11.一种接入网络(AN)的边界设备(ED1),所述边界设备(ED1)包括通讯限制滤波器(CRF),用于存储所述接入网络(AN)的至少一个其它边界设备(ED2)的至少一个第2层目的地址(MAC2),其特征在于,所述边界设备(ED1)进一步包括通讯控制设备(CCD),用于向位于所述接入网络外的网络管理模块(NMM)请求和接收所述至少一个第2层目的地址(MAC2),并进一步向所述通讯限制滤波器(CRF)提供所述至少一个第2层目的地址(MAC2)。
12.根据权利要求11所述的边界设备(ED1),其中所述通讯控制设备(CCD)在包括所述至少一个第2层目的地址(MAC2)的包到达后,以及在检查所述至少一个第2层目的地址(MAC2)没有存储在所述通讯限制滤波器(CRF)内后,进一步产生所述请求,其中在所述请求中插入所述至少一个第2层目的地址(MAC2)。
13.根据权利要求11或12所述的边界设备(ED1),其中所述通讯限制滤波器(CRF)能够存储与所述至少一个第2层目的地址相关的附加信息。
14.根据权利要求13所述的边界设备(ED1),其中所述附加信息包括第2层目的信息、路由信息或其它物理层信息。
15.根据权利要求11至14任一个所述的边界设备(ED1),其中所述通讯限制滤波器(CRF)适合于在超过预定的时间期限后,删除所述至少一个第2层目的地址。
16.根据权利要求12至15任一个所述的边界设备(ED1),其中,所述通讯控制设备(CCD)进一步适合于在所述请求中插入有关所述包的发送者的用户信息。
17.根据权利要求12至16任一个所述的边界设备(ED1),其中,如果所述至少一个第2层目的地址没有被存储在所述通讯限制滤波器(CRF)内或没有从所述网络管理模块(NMM)中被收到,则所述通讯控制设备(CCD)进一步适合于阻塞所述入局的包在所述接入网络(AN)内通过。
18.一种用于接入网络(AN)的网络管理模块(NMM)的通讯限制模块(CRM),用于从所述网络管理模块(NMM)的存储设备(M1)中获取至少一个第2层目的地址(MAC2),传输给所述接入网络(AN)的边界设备(ED1),其特征在于,所述通讯限制模块(CRM)适合于只在收到来自所述边界设备(ED1)的请求后,向所述边界设备(ED1)传输所述至少一个第2层目的地址(MAC2)。
19.根据权利要求18所述的通讯限制模块(CRM),其中所述通讯限制模块(CRM)只在从来自所述边界设备(ED1)的所述请求中取得所述至少一个第2层目的地址后,向所述边界设备(ED1)传输所述至少一个第2层目的地址(MAC2)
20.根据权利要求18或19所述的通讯限制模块(CRM),除了向所述边界设备(ED1)提供所述至少一个第2层目的地址(MAC2)外,进一步适合于取得和提供与所述至少一个第2层目的地址相关的附加信息给所述边界设备(ED1)。
21.根据权利要求20所述的通讯限制模块(CRM),进一步适合于从所述网络管理模块(NMM)的另一存储装置(VLANM)中获取附加的第2层目的信息,并提供所述附加的第2层目的信息给所述边界设备(ED1)。
22.根据权利要求20所述的通讯限制模块(CRM),进一步适合于从聚合资源平台模块(ARP)中获取关于所述至少一个第2层目的地址(MAC2)的更高OSI层信息,并将所述更高OSI层信息提供给所述边界设备(ED1)。
23.根据权利要求18至22任一个所述的通讯限制模块(CRM),进一步适合于从来自所述边界设备(ED1)的所述请求中提取出附加的用户信息,用于进一步提供给计费模块(CM)。
24.根据权利要求23所述的通讯限制模块(CRM),进一步适合于从所述计费模块(CM)中接收用户账单信息,即使当所述至少一个第2层目的地址不能从所述存储设备(M1)中取得,基于此信息,所述通讯限制模块(CM)适合于提供所述至少一个第2层目的地址。
全文摘要
控制来自接入网络(AN)的边界设备(ED1)的通讯的方法,通过所述接入网络(AN)的网络管理模块(NMM)向所述边界设备(ED1)提供或不提供所述接入网络(AN)的至少一个其它边界设备(ED2)的至少一个第2层目的地址(MAC2)实现,其特征在于,所述至少一个第2层目的地址(MAC2)在所述边界设备(ED1)请求时传输给所述边界设备(ED1)。在优选的实施例中,当包括至少一个第2层目的地址的包到达后,所述边界设备(ED1)检查所述至少一个第2层目的地址是否存储在所述边界设备(ED1)的通讯限制滤波器(CRF)内,如果所述至少一个第2层目的地址没有存储在所述通讯限制滤波器(CRF)内,则产生包括所述至少一个第2层目的地址的所述请求。
文档编号H04L12/24GK1601962SQ20041007805
公开日2005年3月30日 申请日期2004年9月20日 优先权日2003年9月22日
发明者J·E·R·德耶格拉, R·默尼绍尔, E·A·C·西克斯 申请人:阿尔卡特公司