专利名称::多业务传送平台设备端口间的数据转发方法和转发设备的制作方法
技术领域:
:本发明涉及光传输网络
技术领域:
,尤其涉及一种多业务传送平台(MSTP)设备的端口间的数据转发方法和转发设备。技术背景在目前的MSTP设备网络应用中,MSTP设备以太网端口在接收到数据帧后,根据数据帧中的目的MAC地址查找数据地址转发表获得数据帧的目的端口,将数据帧转发到相应的目的端口,从而实现数据帧的转发过程。如果在数据地址转发表中找不到相应的目的MAC地址表项,则采取洪泛方式将该数据帧发送到除本端口外的所有端口。另外,如果端口收到的是广播数据帧,则也向除本端口外的所有端口发送该广播数据。这样,大量的转发数据不仅消耗大量的设备资源,而且由于数据帧的广播发送使得MSTP业务的安全性降低。现有技术中,在MSTP设备中通常利用虛拟专用网(VirtualLocalAreaNetwork,VLAN)来进行数据的隔离,但是利用VLAN的方式只能隔离数据链路层的广播,不能隔离网络层的广播,而在MSTP线路中存在大量的网络层广播包。当客户设备能配置VLAN但不把规划的VLAN告知运营商,并且要求端口完全隔离时,目前MSTP设备无法实现对该类型业务的承载。在当前客户对网络安全性要求越来越高的情况下,MSTP设备网络的以太网端口的隔离问题,越来越迫切需要得到解决,尤其是在国防、金融、政府等重要部门的网络应用中。
发明内容有鉴于此,本发明要解决的一个技术问题是提供一种MSTP设备的端口间的数据转发方法,能够提高数据传输的安全性。根据本发明的一个方面,提供一种MSTP设备的端口间的数据转发方法,在MSTP设备中存储端口隔离信息,该方法包括步骤多业务传送平台设备的端口接收到数据;根据所述端口隔离信息确定所述数据接收端口的隔离端口;拒绝所述接收的数据向所述数据接收端口的隔离端口的转发。根据本发明的数据转发方法的一个优选实施例,MSTP设备中还存储有与端口对应的全连通属性信息,在根据端口隔离信息确定所述数据接收端口的隔离端口的步骤之前还包括查询数据接收端口的全连通属性信息,如果该端口为全连通端口,则确定数据接收端口没有隔离端口,否则,根据所述端口隔离信息确定数据接收端口的隔离端口。进一步,该方法还包括步骤根据数据地址转发信息确定所述接收的数据的目的端口;判断所述目的端口是否为所述数据接收端口的隔离端口,如果是,则拒绝向所述目的端口转发所述接收的数据,否则向所述目的端口转发所述接收的数据。本发明要解决的另一个技术问题是提供一种多业务传送平台设备网络中的转发设备,能够提高数据传输的安全性。本发明提供一种多业务传送平台设备网络中的转发设备,包括信息存储模块,用于存储所述转发设备中端口的端口隔离信息;数据转发控制模块,用于接收来自端口的数据,从所述信息存储模块获取所述端口的端口隔离信息,确定所述端口的隔离端口,拒绝向所述隔离端口转发所述数据。进一步,信息存储模块还用于存储所述转发设备中端口的全连通属性信息;所述数据转发控制模块包括判断单元、隔离端口确定单元和转发控制单元。其中,判断单元,用于接收端口信息,根据从所述信息存储模块获取所述端口的全连通属性信息判断所述端口是否为全连通,如果是,则通知所述转发控制单元所述端口没有隔离端口,否则,向所述隔离端口确定单元发送所述端口信息;隔离端口确定单元,用于接收端口信息,根据从所述信息存储模块获取的端口隔离信息确定所述端口的隔离端口,将所述隔离端口发送给所述转发控制单元;转发控制单元,用于接收来自端口的数据,将所述端口信息发送给所述判断单元,接收隔离端口信息,拒绝向所述隔离端口转发所述数据。更进一步,信息存储模块还用于存储数据地址转发信息;所述数据转发控制模块还包括目的端口确定单元。目的端口确定单元,用于接收目的地址,根据所述数据地址转发信息获得所述目的地址的目的端口,将所述目的端口发送给所述转发控制单元;转发控制单元,还用于将所述接收的数据中的目的地址发送给所述目的端口确定单元,接收所述目的端口,向不属于所述隔离端口的目的端口转发所述数据,拒绝向属于所述隔离端口的目的端口转发所述数据。本发明提供的MSTP设备端口间的数据转发方法和转发设备,在设备中存储有端口隔离信息,当从端口接收到数据时,不向该端口的隔离端口转发数据,实现了端口之间的隔离,提高了数据传输的安全性。图1为示出根据本发明的数据转发方法的一个实施例的流程图;图2为示出根据本发明的数据转发方法的另一个实施例的流程图;图3为示出根据本发明的MTSP设备以太网板卡的结构示意图;图4为示出根据本发明的转发设备的一个实施例的结构示意图;图5为示出根据本发明的转发设备的另一个实施例的结构示意图。具体实施方式下面参照附图对本发明进行更全面的描述。在附图中的说明是示意性的,在不同的附图中相同或者相似的元素用相同的标号指示。本发明的基本思想是,在MTSP设备中配置并存储各个端口之间的端口隔离信息。数据进入某一端口时,根据端口隔离信息确定该端口的隔离端口,禁止向隔离端口转发数据。对于根据数据地址转发表获得的目的端口,只有当目的端口不是隔离端口时,才向该目的端口转发数据。图1示出根据本发明的数据转发方法的一个实施例的流程图。如图1所示,在步骤101,MTSP设备的某一端口接收到数据。在步骤103,查询在MTSP设备中存储的端口隔离信息,确定数据接收端口的隔离端口。端口隔离信息包含端口和其他端口的隔离关系。例如,对于有8个端口的MTSP设备,可以用8位二进制值来表示一个端口和所有端口的隔离关系,例如,如果8位中的一位取值为1,则表示该端口和该位对应的端口可以通信,而如果该位取值为0,则表示该端口和该位对应的端口隔离,不能向对应的端口发送数据帧。在步骤105,拒绝向数据接收端口的隔离端口转发接收的数据。根据本发明的数据转发方法的一个优选实施例,MTSP设备中还可以存储每个端口的全连通属性信息,用来指示该端口是否为全连通端口。所谓全连通端口是指没有隔离端口的端口。全连通属性信息可以存储在与端口对应的寄存器中,也可以存储在MTSP设备中的存储器中。该优选实施例在查询端口隔离信息之前,包括步骤查询数据接收端口的全连通属性信息,判断该端口是否为全连通端口,如果是,则确定该端口没有隔离端口,否则,继续查询该端口的端口隔离信息以确定该端口的隔离端口。图2示出根据本发明的数据转发方法的另一个实施例的流程图。如图2所示,在步骤201,MTSP设备的某一端口接收到数据。在步骤202,查询该端口的全连通属性信息,判断该端口是否为全连通端口,如果是,则执行步骤204,否则,继续步骤203。在步骤203,查询MTSP设备中存储该端口的端口隔离信息,确定该端口的非隔离端口。端口的非隔离端口指可以和该端口通信的端口,或者除了端口的隔离端口之外的端口。在步骤204,根据接收到的数据中包含的目的MAC地址,通过数据地址转发表获得该数据的目的端口;如果目的MAC地址在数据地址转发表中没有对应的表项,则确定其他的所有端口都是目的端口。在步骤205,判断数据的目的端口是否属于数据接收端口的非隔离端口,如果是,将该数据转发到该目的端口(步骤206),否则,则不向该目的端口转发该数据(步骤207)。需要注意,用于获取数据的目的端口的步骤204也可以在步骤203前执行,并不影响本发明的方法的结果。根据本发明的数据转发方法的一个实施例,在确定接收数据的端口的隔离端口后,可以通过数据中的目的MAC地址根据数据地址转发表判断该端口的非隔离端口是否为目的端口,如果该非隔离端口为目的端口,则向该非隔离端口转发接收的数据,否则,拒绝向该非隔离端口转发接收的数据。下面通过一个应用例来说明本发明的数据转发方法的具体实现。图3为示出根据本发明的MTSP设备以太网板卡的结构示意图。如图3所示,该以太网板卡包括外部端口31和4个内部端口32至35。在该应用例中,外部端口31可以分别和4个内部端口通信,而4个内部端口之间完全隔离,与此相对应,MTSP设备中存储的端口隔离信息如下面的表l所示<table>tableseeoriginaldocumentpage8</column></row><table>表l在表l中,行和列相交的项取值为1表示行和列对应的两个端口可以相互通信,而取值为0表示对应的两个端口相互隔离。此外,MTSP设备中还存储每个端口的全连通属性信息Pi(i-l,2,3,4,5)。与该应用例的情况相对应,各个端口的全连通属性信息的取值如表2所示<table>tableseeoriginaldocumentpage9</column></row><table>表2由于只有外部端口31为全连通端口,所有只有与外部端口31对应的Pl取值为1。其他的几个端口都有与其隔离的端口,所以对应的Pi取值为0。外部端口31从与其相连的路由器接收到发送到分别与端口32至35相连的路由器的数据,首先查询端口31的全连通属性信息Pl,Pl取值为1,所以确定端口31没有隔离端口。然后可以根据数据中的目的MAC地址通过查询MSTP设备中存储的数据地址转发表,获得该数据的目的端口,即端口32至35。目的端口32至35都不是端口31的隔离端口,将该数据分别转发到端口32至35。内部端口32从与其相连的路由器接收到发送到分别与端口31和35相连的路由器的数据,首先查询端口32的全连通属性信息P2,P2取值为0,则继续查询与端口32对应的端口隔离信息,查询结果如表3所示<table>tableseeoriginaldocumentpage9</column></row><table>表3从表3中可以看出,端口32和端口31可以通信,而端口32和端口35相互隔离。然后根据数据中的目的MAC地址通过查询MSTP设备中存储的数据地址转发表,获得该数据的目的端口,即端口31和端口35。目的端口31不是端口32的隔离端口,将数据转发到端口31;目的端口35是端口32的隔离端口,不向端口35转发该数据。内部端口33从与其相连的路由器接收到发送到分别与端口34相连的路由器的数据,首先查询端口33的全连通属性信息P3,P3取值为0,则继续查询与端口33对应的端口隔离信息,查询结果如表4所示<table>tableseeoriginaldocumentpage10</column></row><table>表4从表4中可以看出,端口34和端口34相互隔离。然后根据数据中的目的MAC地址通过查询MSTP设备中存储的数据地址转发表,获得该数据的目的端口,即端口34。目的端口34是端口33的隔离端口,不向端口34转发该数据。本发明提供的MSTP设备端口间的数据转发方法,在设备中预先设置有端口隔离信息,当从端口接收到数据时,不向该端口的隔离端口转发数据,实现了端口之间的隔离,降低网络资源的消耗,提升业务的安全性。图4为示出根据本发明的转发设备的一个实施例的结构示意图。如图4所示,该实施例中的转发设备包括信息存储模块41和数据转发控制模块42。其中,信息存储模块41用于存储转发设备中端口的端口隔离信息;数据转发控制模块42,用于接收来自端口的数据,从信息存储模块41获取该端口的端口隔离信息,确定该端口的隔离端口,拒绝向该端口的隔离端口转发接收到的数据。在根据本发明的转发设备的一个优选实施例中,信息存储模块41还用于存储转发设备中端口的全连通属性信息。数据转发控制模块42包括判断单元421、隔离端口确定单元422和转发控制单元420。转发控制单元420接收到来自端口的数据,向判断单元421发送该端口的信息;判断单元421接收端口信息,根据从信息存储模块41获取的端口的全连通属性信息判断该端口是否为全连通,如果是,则通知(例如通过发送消息的方式)转发控制单元420该端口没有隔离端口,否则,向隔离端口确定单元422发送该端口信息;隔离端口确定单元422接收该端口信息,根据从信息存储模块41获取的端口隔离信息确定该端口的隔离端口,将隔离端口发送给转发控制单元420;转发控制单元420接收到来自判断单元421的没有隔离端口信息或者来自隔离端口确定模块的隔离端口信息,拒绝向隔离端口转发接收的数据。图5为示出根据本发明的转发设备的另一个实施例的结构示意图。如图5所示,该实施例中的转发设备包括信息存储模块51和数据转发控制模块52。其中,数据转发控制模块包括判断单元421、隔离端口确定单元422、目的端口确定单元523和转发控制单元520。其中,信息存储模块51用于存储转发设备的端口隔离信息、各端口的全连通属性信息和数据地址转发表。判断单元421和隔离端口确定单元422的功能和图4中的相应单元的功能基本相同,可以参考上述图4中的说明,在此省略具体的描述。目的端口确定单元523,用于接收目的MAC地址,才艮据信息存储模块51中存储的数据地址转发表获得对应的目的端口,将目的端口发送给转发控制单元520。转发控制单元520,用于接收到来自端口的数据,将该端口信息发送给判断单元421,接收来自判断单元421的没有隔离端口信息或者来自隔离端口确定模块的隔离端口信息;还用于将接收的数据中的目的MAC地址发送给目的端口确定单元523,接收来自目的端口确定单元523的目的端口,向不属于隔离端口的目的端口转发数据,并拒绝向属于隔离端口的目的端口转发数据。本发明提供的MSTP设备端口间的数据转发方法和转发设备,在设备中存储有端口隔离信息,当从端口接收到数据时,不向该端口的隔离端口转发数据,实现了端口之间的隔离,提高了数据传输的安全性。该转发方法和转发设备既可隔离数据链路层的广播,也能隔离网络层的广播,降低了网络资源的消耗。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。权利要求1.一种多业务传送平台设备的端口间的数据转发方法,其特征在于,所述多业务传送平台设备中存储有端口隔离信息,所述方法包括步骤a,多业务传送平台设备的端口接收到数据;b,根据所述端口隔离信息确定所述数据接收端口的隔离端口;c,拒绝所述接收的数据向所述数据接收端口的隔离端口的转发。2.如权利要求1所述的数据转发方法,其特征在于,所述多业务传送平台设备中还存储有与端口对应的全连通属性信息,所述步骤b包括查询所述数据接收端口的全连通属性信息,如果所述数据接收端口为全连通端口,则确定所述数据接收端口没有隔离端口,否则,根据所述端口隔离信息确定所述数据接收端口的隔离端口。3.如权利要求1或2所述的数据转发方法,其特征在于,在所述步骤a之后和所述步骤c之前还包括根据数据地址转发信息确定所述接收的数据的目的端口;所述步骤c包括判断所述目的端口是否为所述数据接收端口的隔离端口,如果是,则拒绝向所述目的端口转发所述接收的数据,否则向所述目的端口转发所述接收的数据。4.如权利要求1或2所述的数据转发方法,其特征在于,在所述步骤c之后还包括根据数据地址转发信息判断非隔离端口是否为所述接收的数据的目的端口,如果是,则向所述非隔离端口转发所述接收的数据,否则,拒绝向所述非隔离端口转发所述接收的数据。5.—种多业务传送平台设备网络中的转发设备,其特征在于,包括信息存储模块,用于存储所述转发设备中端口的端口隔离信息;数据转发控制模块,用于接收来自端口的数据,从所述信息存储模块获取所述端口的端口隔离信息,确定所述端口的隔离端口,拒绝向所述隔离端口转发所述数据。6.如权利要求5所述的转发设备,其特征在于,所述信息存储模块还用于存储所述转发设备中端口的全连通属性信息;所述数据转发控制模块包括判断单元、隔离端口确定单元和转发控制单元,其中,判断单元,用于接收端口信息,根据从所述信息存储模块获取所述端口的全连通属性信息判断所述端口是否为全连通,如果是,则通知所述转发控制单元所述端口没有隔离端口,否则,向所述隔离端口确定单元发送所述端口信息;隔离端口确定单元,用于接收端口信息,根据从所述信息存储模块获取的端口隔离信息确定所述端口的隔离端口,将所述隔离端口发送给所述转发控制单元;转发控制单元,用于接收来自端口的数据,将所述端口信息发送给所述判断单元,接收隔离端口信息,拒绝向所述隔离端口转发所述数据。7.如权利要求6所述的转发设备,其特征在于,所述信息存储模块还用于存储数据地址转发信息;所述数据转发控制模块还包括目的端口确定单元;所述目的端口确定单元,用于接收目的地址,才艮据所述数据地址转发信息获得所述目的地址的目的端口,将所述目的端口发送给所述转发控制单元;所述转发控制单元,还用于将所述接收的数据中的目的地址发送给所述目的端口确定单元,接收所述目的端口,向不属于所述隔离端口的目的端口转发所述数据,拒绝向属于所述隔离端口的目的端口转发所述数据。全文摘要本发明公开一种多业务传送平台设备的端口间的数据转发方法和转发设备。该数据转发方法包括步骤多业务传送平台设备的端口接收到数据;根据预先设置的端口隔离信息确定所述数据接收端口的隔离端口;拒绝向所述数据接收端口的隔离端口转发所述接收的数据。通过本发明的数据转发方法和转发设备,实现了端口间的隔离,提供了数据传输的安全性。文档编号H04L12/46GK101217447SQ20081000094公开日2008年7月9日申请日期2008年1月9日优先权日2008年1月9日发明者飞吴,沈步阳,沙庆良,王利村,陈宏标,陈建义,烜韦,黄泉洲申请人:中国电信股份有限公司