专利名称:实现交换机端口隔离的方法、交换机及交换芯片的制作方法
技术领域:
本发明涉及以太网交换机领域,尤其涉及一种实现交换机端口隔离的方 法、交换机及交换芯片。
背景技术:
以太网交换机是以太网的核心设备之一,其被越来越广泛地应用到了小区 和企业中。随着网络规模的迅速发展和用户数目的不断增多,对网络安全管理 的要求也越来越高。为了隔离用户(终端),传统的做法是给每一个用户分配一个VLAN (Virtual Local Area Network,虚拟局域网)和相关的默认VLAN ID (VLAN标识),通过VLAN将用户从作为OSI网络结构第二层的数据链路 层隔离开,这样可以防止其他用户进行恶意的监听和攻击。但是,因为VLAN 的数目极其有限,只有4096个,当用户数目很多的时候,这种隔离方法占用 了大量VLAN资源,造成了可扩展性方面的局限。因此,另外一种新的用户隔离技术出现了,这就是虚拟端口隔离技术。在 这种机制下,交换设备的所有端口都可以在同一VLAN下,但是只有指定端 口之间可以互相通信。虚拟端口隔离技术可以保证同一个VLAN中的各个端 口相互之间不能通信,但可以穿过特定的安全端口来实现通讯。这样即使同一 VLAN中的用户,相互之间也不会受到广播的影响。上述端口隔离的实现需要交换机使用的交换芯片支持,一般需要高端的交 换芯片,该交换芯片应该有设置端口隔离属性的功能,一般有以下的实现方法1、 指定该端口是隔离端口或者安全端口。2、 在设置VLAN的时候将整个VLAN设置成隔离VLAN,并指定安全端 口,而其他端口都是隔离端口。3、 交换芯片对每个端口都有一张表格,指定可以通信的端口,和其他端 口之间都互相隔离。如果交换芯片不具备上述功能,则无法实现端口隔离。由于交换芯片的端 口隔离并不是VLAN标准协议802.3AD要求的必备功能,所以有一部分厂家 的交换芯片,特别是低端芯片并没有实现该功能,这给整个交换机系统的安全 管理策略造成了相当的困难。综上可知,现有在实现交换机端口隔离的技术在实际使用上显然存在不便 与缺陷,所以有必要加以改进。发明内容针对上述的缺陷,本发明的目的在于提供一种实现交换机端口隔离的方 法、交换机以及交换芯片,其不仅可实现良好的端口隔离效果,而且使交换机 在使用交换芯片上有了更大的选择余地。为了实现上述目的,本发明提供一种实现交换机端口隔离的方法,所述交换机包括有交换芯片,该方法包括如下步骤A、 将交换芯片的若干端口分别指定为安全端口和隔离端口;B、 将交换芯片的所有隔离端口都设置为链路聚合端口;C、 关闭所述链路聚合端口的流量均衡机制,以保证二层转发按照正常机 制进行。根据本发明的方法,所述交换机中使用交换芯片堆叠系统,所述步骤A 还包括根据交换芯片的端口属性确定交换芯片属性; 所述步骤C之后进一步包括-D、 设置交换芯片堆叠系统中各交换芯片的芯片关联组和虚拟局域网关联 芯片组;E、 修改交换芯片堆叠系统的隔离功能映射表。根据本发明的方法,所述步骤A中根据端口属性确定交换芯片属性的步 骤进一步包括若一交换芯片上所有端口都为隔离端口,将该交换芯片定义为隔离芯片; 若一交换芯片上所有端口都为安全端口,则将该交换芯片定义为上联芯片;若 一交换芯片上既有隔离端口又有安全端口,则将该交换芯片定义为上联芯片。根据本发明的方法,所述步骤D进一步包括对关联芯片组的设置步骤,在所述上联芯片上,将交换芯片堆叠系统中所 有交换芯片的芯片标识写入关联芯片组中;在所述隔离芯片上,只将上联芯片 的芯片标识写入关联芯片组中;对虚拟局域网关联芯片组的设置步骤,所述上联芯片上,将交换芯片堆叠 系统中所有交换芯片的芯片标识写入虚拟局域网关联芯片组中;在所述隔离芯 片上,只将上联芯片的芯片标识写入虚拟局域网关联芯片组中。根据本发明的方法,所述步骤C之后还包括打开交换芯片中所有安全端口和隔离端口的洪泛和转发广播包的机制。根据本发明的方法,所述步骤B中保证二层转发按照正常机制进行是指, 使交换芯片各个隔离端口根据二层转发表只转发目的端口为本端口的数据包。本发明还提供一种实现端口隔离的交换机,所述交换机包括有交换芯片, 所述交换芯片的若干端口分别被指定为安全端口和隔离端口,并且所有隔离端 口都设置成链路聚合端口,同时关闭该链路聚合端口的流量均衡机制,以保证 二层转发按照正常机制进行。根据本发明的交换机,所述交换机中使用交换芯片堆叠系统,该交换机根 据端口属性确定交换芯片属性,并设置交换芯片堆叠系统中各交换芯片的芯片 关联组和虚拟局域网关联芯片组,以及修改交换芯片堆叠系统的隔离功能映射 表。根据本发明的交换机,所述交换芯片打开所有安全端口和隔离端口的洪泛 和转发广播包的机制。本发明还提供一种实现交换机端口隔离的交换芯片,所述交换芯片用于交 换机中,所述交换芯片的若干端口分别被指定为安全端口和隔离端口,并且所 有隔离端口都设置为链路聚合端口 ,同时关闭该链路聚合端口的流量均衡机 制,以保证二层转发按照正常机制进行。本发明通过交换芯片的必备功能来实现端口隔离,具体而言是将交换芯片 的若干端口分别指定为安全端口和隔离端口 ,并将所有隔离端口都设置为链路 聚合端口,通过802.3AD标准协议要求的交换芯片必备的链路聚合功能来实 现端口隔离。借此,本发明不仅实现了良好的端口隔离效果,而且使交换机在 使用交换芯片上有了更大的选择余地,其利用低端交换芯片即可实现端口隔 离,从而节省了购买高端交换芯片所需的投入和成本,进而提高了产品的实用 性和稳定性。
图1是本发明提供的实现端口隔离的交换机的结构示意图; 图2是本发明提供的实现交换机端口隔离的方法流程图; 图3是本发明一实施例中实现交换机端口隔离的方法流程图; 图4是本发明另一实施例中所采用的网络结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅 仅用以解释本发明,并不用于限定本发明。802.3AD标准协议要求交换芯片必须具有链路聚合功能,该链路聚合功能 是指将两个或两个以上的物理端口绑定成为一个逻辑端口,从而可以对流量进 行均衡,关键的是这两个物理端口之间的流量互相是隔离的,而与其他端口之 间是互通的。本发明的基本思想就是,在低端交换芯片上可以利用所述链路聚合功能, 将一块交换芯片上的所有隔离端口都设置为链路聚合端口,使这些端口之间互 相隔离,同时关闭流量均衡机制,以保证二层转发仍然按照正常机制进行。本发明提供一种实现端口隔离的交换机,如图1所示,所述交换机1是用 于二层交换的以太网交换机,至少包括有一交换芯片10。该交换芯片10可以 为低端的交换芯片,其不仅具有通常的交换功能,而且具有802.3AD协议要 求的链路聚合功能。交换芯片IO的连接有若干端口 101 10n,其分别被指定 为安全端口和隔离端口,本实施例中将端口 101设置为安全端口,以及将端口 102 10n设置为隔离端口。并且所有隔离端口 102 10n都设置成链路聚合端 口,同时关闭该链路聚合端口的流量均衡机制,以保证二层转发按照正常机制 进行。所述隔离端口 102 10n之间不能互相通讯,但可以通过安全端口 101 通讯。图1中所示的安全端口和隔离端口只是一种实例设计,显然也可以将安 全端口设置为多个。本发明的交换机还可以使用交换芯片堆叠系统,也就是将多块交换芯片组 合起来共同工作,以便在有限的空间内提供尽可能多的端口。在这种结构方案 中,则还需要根据交换芯片的端口属性确定交换芯片属性若一交换芯片上所
有端口都为隔离端口,将该交换芯片定义为隔离芯片;若一交换芯片上所有端口都为安全端口,则将该交换芯片定义为上联芯片;若一交换芯片上既有隔离端口又有安全端口,则将该交换芯片定义为上联芯片。在实现交换芯片堆叠系统的端口隔离功能时,主要是交换芯片的关联芯片组和VLAN关联芯片组与普通设置方法有区别。对于关联芯片组设置,上联 芯片按照普通的不实现端口隔离的方法配置,将系统中所有交换芯片的芯片 ID写入关联芯片组中;在隔离芯片上,只将上联芯片的芯片ID写入关联芯片 组中。对于VLAN关联芯片组设置,在上联芯片中,也按照普通的不实现端 口隔离的方法配置,将系统中所有交换芯片的芯片ID写入VLAN关联芯片组 中;在隔离芯片上,只将上联芯片的芯片ID写入VLAN关联芯片组中。接下来,交换芯片堆叠系统还需要修改隔离功能映射表,即保存交换芯片 的相关配置。通过这种方式,隔离芯片只认为交换芯片堆叠系统中存在上联芯片,其他 交换芯片都不存在,所以所有的数据包转发都会发生在上联芯片和隔离芯片之 间或者上联芯片之间,而隔离芯片之间的所有数据流都被禁止。对于上联芯片 上的隔离端口, 一般有一些特殊用途,比如级联其他交换机同时级联交换机之 间不希望互相影响。相应地,本发明还提供一种用于实现交换机端口隔离的交换芯片,如图l 所示,所述交换芯片的若干端口分别被指定为安全端口 101和隔离端口 102 10n,并且所有隔离端口 102 10n都设置为链路聚合端口,同时关闭该链路聚 合端口 102 10n的流量均衡机制,以保证二层转发按照正常机制进行。图2示出了本发明实现交换机端口隔离的方法流程,所述交换机包括有交 换芯片,该方法包括如下步骤步骤S201,将交换芯片的若干端口分别指定为安全端口和隔离端口。本 步骤中交换芯片确定好哪些端口是安全端口,以及确定哪些是隔离端口,隔离 端口之间不能互相通讯,但可以通过安全端口通讯。步骤S202,将交换芯片的所有隔离端口都设置为链路聚合端口。由于链 路聚合端口之间的流量互相是隔离的,其相当于隔离端口的功能。步骤S203,关闭链路聚合端口的流量均衡机制,以保证二层转发按照正 常机制进行,即使交换芯片各个隔离端口根据二层转发表只转发目的端口为本
端口的数据包,从而将用户从OSI网络结构第二层的数据链路层隔离开。图3示出了本发明一实施例中实现交换机端口隔离的方法流程,该实施例的交换机中使用交换芯片堆叠系统,包括步骤如下步骤S301,将交换芯片堆叠系统中的交换芯片的若干端口分别指定为安 全端口和隔离端口。本步骤中还包括根据交换芯片的端口属性确定交换芯片属 性,若一交换芯片上所有端口都为隔离端口,则将该交换芯片定义为隔离芯片; 若一交换芯片上所有端口都为安全端口,则将该交换芯片定义为上联芯片;若 一交换芯片上既有隔离端口又有安全端口,则将该交换芯片定义为上联芯片。 步骤S302,将交换芯片的所有隔离端口都设置为链路聚合端口。 步骤S303,关闭链路聚合端口的流量均衡机制,以保证二层转发按照正 常机制进行。步骤S304,打开交换芯片中所有安全端口和隔离端口的洪泛和转发广播 包的机制,本步骤可根据具体的情况和配置来确定是否执行。步骤S305,设置交换芯片堆叠系统中各交换芯片的芯片关联组和VLAN 关联芯片组。本步骤进一步包括对关联芯片组的设置步骤,在上联芯片上将系统中所有交换芯片的芯片ID 写入关联芯片组中;在隔离芯片上只将上联芯片的芯片ID写入关联芯片组中。对VLAN关联芯片组的设置步骤,所述上联芯片上将系统中所有交换芯 片的芯片ID写入VLAN关联芯片组中;在隔离芯片上只将上联芯片的芯片ID 写入VLAN关联芯片组中。步骤S306,修改交换芯片堆叠系统的隔离功能映射表,即保存交换芯片 的相关配置。图4示出了本发明另一实施例中所采用的以太网网络结构,包括交换机 A E,所述交换机A、 B、 C使用了低端交换芯片来实现端口隔离技术。其中 交换机A的端口al作为上联口设置为安全端口,连接到以太网中,而交换机 A的端口 a2 a6设置为隔离端口 。交换机B的端口 bl设置为安全端口与交换 机A的端口a5相连,而交换机B的三个隔离端口b2 b4连接用户终端,该 实施例中的用户终端为计算机。同样,交换机C的端口cl设置为安全端口和 交换机A的端口 a6相连,而交换机C的三个隔离端口 c2 c4连接用户终端。 由此不难得出 1) 交换机A与用户终端连接的三个隔离端口 a2 a4互相隔离,但是可以 和安全端口 al互通,所以可以通过安全端口 al连接到以太网中。2) 交换机B的三个隔离端口 b2 b4互相之间不能通讯,但是可以和安全 端口 bl互通,而交换机A上的端口 a5可以和安全端口 al互通,所以端口 b2 b4可以通过级联和以太网之间收发数据。交换机C的三个隔离端口 c2 c4也 是同样的道理。3) 由于连接用户终端的端口 a2 a4、端口 b2 b4以及端口 c2 c4这九 个端口之间都不能通讯,所以图中不同交换机的用户终端之间也无法通讯,以 此实现了用户之间的完全隔离。综上所述,本发明通过交换芯片的必备功能来实现端口隔离,具体而言是 将交换芯片的若干端口分别指定为安全端口和隔离端口 ,并将所有隔离端口都 设置为链路聚合端口 ,通过VLAN标准协议802.3AD要求的交换芯片必备的 链路聚合功能来实现端口隔离。借此,本发明不仅实现了良好的端口隔离效果, 而且使交换机在使用交换芯片上有了更大的选择余地,其利用低端交换芯片即 可实现端口隔离,从而节省了购买高端交换芯片所需的投入和成本,进而提高 了产品的实用性和稳定性。当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情 况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但 这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、 一种实现交换机端口隔离的方法,所述交换机包括有交换芯片,其特 征在于,该方法包括如下步骤A、 将交换芯片的若干端口分别指定为安全端口和隔离端口;B、 将交换芯片的所有隔离端口都设置为链路聚合端口;C、 关闭所述链路聚合端口的流量均衡机制,以保证二层转发按照正常机 制进行。
2、 根据权利要求1所述的方法,其特征在于,所述交换机中使用交换芯 片堆叠系统,所述步骤A还包括根据交换芯片的端口属性确定交换芯片属性;所述步骤C之后进一步包括D、 设置交换芯片堆叠系统中各交换芯片的芯片关联组和虚拟局域网关联 芯片组;E、 修改交换芯片堆叠系统的隔离功能映射表。
3、 根据权利要求2所述的方法,其特征在于,所述步骤A中根据端口属 性确定交换芯片属性的步骤进一步包括若一交换芯片上所有端口都为隔离端口,将该交换芯片定义为隔离芯片; 若一交换芯片上所有端口都为安全端口,则将该交换芯片定义为上联芯片;若 一交换芯片上既有隔离端口又有安全端口 ,则将该交换芯片定义为上联芯片。
4、 根据权利要求3所述的方法,其特征在于,所述步骤D进一步包括 对关联芯片组的设置步骤,在所述上联芯片上,将交换芯片堆叠系统中所有交换芯片的芯片标识写入关联芯片组中;在所述隔离芯片上,只将上联芯片 的芯片标识写入关联芯片组中;对虚拟局域网关联芯片组的设置步骤,所述上联芯片上,将交换芯片堆叠 系统中所有交换芯片的芯片标识写入虚拟局域网关联芯片组中;在所述隔离芯 片上,只将上联芯片的芯片标识写入虚拟局域网关联芯片组中。
5、 根据权利要求1所述的方法,其特征在于,所述步骤C之后还包括 打开交换芯片中所有安全端口和隔离端口的洪泛和转发广播包的机制。
6、 根据权利要求1所述的方法,其特征在于,所述步骤B中保证二层转 发按照正常机制进行是指,使交换芯片各个隔离端口根据二层转发表只转发目 的端口为本端口的数据包。
7、 一种实现如权利要求1 6任一项方法的交换机,所述交换机包括有交 换芯片,其特征在于,所述交换芯片的若干端口分别被指定为安全端口和隔离 端口,并且所有隔离端口都设置成链路聚合端口,同时关闭该链路聚合端口的 流量均衡机制,以保证二层转发按照正常机制进行。
8、 根据权利要求7所述的交换机,其特征在于,所述交换机中使用交换 芯片堆叠系统,该交换机根据端口属性确定交换芯片属性,并设置交换芯片堆 叠系统中各交换芯片的芯片关联组和虚拟局域网关联芯片组,以及修改交换芯 片堆叠系统的隔离功能映射表。
9、 根据权利要求7所述的交换机,其特征在于,所述交换芯片打开所有 安全端口和隔离端口的洪泛和转发广播包的机制。
10、 一种实现如权利要求1 6任一项方法的交换芯片,所述交换芯片用 于交换机中,其特征在于,所述交换芯片的若干端口分别被指定为安全端口和 隔离端口,并且所有隔离端口都设置为链路聚合端口,同时关闭该链路聚合端 口的流量均衡机制,以保证二层转发按照正常机制进行。
全文摘要
本发明公开了一种实现交换机端口隔离的方法,所述方法包括步骤有将交换芯片的若干端口分别指定为安全端口和隔离端口;将交换芯片的所有隔离端口都设置为链路聚合端口;关闭所述链路聚合端口的流量均衡机制,以保证二层转发按照正常机制进行。相应地,本发明还提供一种实现端口隔离的交换机及其交换芯片。本发明不仅实现了良好的端口隔离效果,而且使交换机在使用交换芯片上有了更大的选择余地,其利用低端交换芯片即可实现端口隔离,从而节省了购买高端交换芯片所需的投入和成本,进而提高了产品的实用性和稳定性。
文档编号H04L12/46GK101123510SQ20071011865
公开日2008年2月13日 申请日期2007年7月11日 优先权日2007年7月11日
发明者何苑凌 申请人:中兴通讯股份有限公司