专利名称:利用vlan技术实现ip软件路由的网络安全平台的方法
技术领域:
本发明涉及一种利用VLAN技术实现IP软件路由的嵌入式交换式网络安全平 台的方法,用于在二层以太网交换机上实现三层IP路由和包过滤防火墙等网络安 全功能。
技术背景传统的网络设备,如路由器、防火墙/VPN/IDS/UTM等网络安全设备,在实际 应用中,由于存在多个安全域以及多路接入通路,通常需要设计多个(IO个以上 甚至超过16、 24、 48个等)网络接口。若使用传统的X86技术设计,利用PCI扩 展技术,很难达到10个以上的网络接口。因为PCI可扩展的接口数目有限(通常 能扩展3到4个网口),而且成本又相当高(数倍交换技术),特别是对于中低端 产品而言,成本一高,将失去市场的竞争力。 发明内容本发明的目的是提供一种能够有效降低成本的利用VLAN技术实现IP软件路 由的网络安全平台的方法。为了达到上述目的,本发明的技术方案是提供一种利用VLAN技术实现IP软 件路由的网络安全平台的方法,其特征在于,步骤为步骤1、选择带网络管理功能的二层以太网交换芯片,将其一端与物理层芯片 相连接,另一端通过总线连接CPU,从而为CPU扩展出至少10个以太网接口,每 个以太网接口都是一个交换端口 ;步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交 换芯片之间的总线端口配置成同一个VLAN组,这样就得到与以太网接口数量相同 且与其一一对应的VLAN组,同时,将各个以太网络接口注册成独立的网络接口;步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止 了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理;当CPU从IP层接收到数据报文后,CPU先为该数据报文添加VLAN头,再根据 TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头,CPU将更新好VL緒 头的数据报文发送给二层以太网交换芯片,二层以太网交换芯片根据VLAN头找到 对应的交换端口后将VLAN头删除,最后由物理层芯片根据转发表将数据报文通过 交换端口转发给其他设备完成数据路由。本发明能在二层以太网交换机上实现三层IP路由和包过滤防火墙等网络安全 功能,在技术上,是利用VLAN技术和相关的底层软件技术,在Liruix或VxWorks 或者任何一种操作系统上都可以实现,本发明利用了 VLAN技术,提出了一种软件 方法,解决了二层交换芯片实现三层及以上的数据处理功能问题。同时,本发明 利用二层以太网交换芯片架构和设计诸如三层交换机、IP路由器、嵌入式防火墙 /VPN/IDS/UTM/防毒墙等网络设备。本发明的优点是能解决二层交换机实现三层及以上的数据处理问题,能将 所有二层以太网口配上独立网段的IP地址并工作,从而让用户以极低的硬件成本 获得多个独立网段的网络接口,解决网络安全设备多端口问题,并大大降低网络 安全设备的成本,而又具有高稳定性的特性。
图l为本发明提供的系统框图;图2为本发明提供的一种利用VLAN技术实现IP软件路由的网络安全平台的方法的数据流程和处理框架图。
具体实施方式
.以下结合实施例来具体说明本发明。实施例如图2所示,本发明提供的一种利用VLAN技术实现IP软件路由的网络安全平 台的方法的具体步骤为步骤l、选择带网络管理功能的二层以太网交换芯片,将其一端与物理层芯片 相连接,另一端通过总线连接CPU,该总线可以是MII百兆,GMII千兆或PCI接口,从而为CPU扩展出至少10个以太网接口,每个以太网接口都是一个交换端口, 在完成步骤1后便搭建出了如图1所示的框架,通过该图说明了交换芯片和CPU 的接口及其要求,在该图中,只要是具有网络管理功能的带VLAN的二层以太网交 换芯片都可以选用,例如VIA公司的,也可以是BroadCom公司的,还可以是Marvell 公司的芯片,在本实施例中选用九阳电子有限公司(IC Plus Corp.)的型号为IP178 二层以太网交换芯片,而对于CPU也没有任何要求,但一般使用如ARM之类的嵌 入式处理器;步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交 换芯片之间的总线端口配置成同一个VLAN组,这样就得到与以太网接口数量相同 且与其一一对应的VLAN组,同时,将各个以太网络接口注册成独立的网络接口, 注册完成之后可以配置成独立的IP地址;步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止 了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到 数据,递交到IP层进行后续处理;当CPU从IP层接收到数据报文后,CPU先为该数据报文添加VLAN头,再根据 TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头,CPU将更新好VLAN 头的数据报文发送给二层以太网交换芯片,二层以太网交换芯片根据VLAN头找到 对应的交换端口后将VLAN头删除,最后由物理层芯片根据转发表将数据报文通过 交换端口转发给其他设备完成数据路由。
权利要求
1.一种利用VLAN技术实现IP软件路由的网络安全平台的方法,其特征在于,步骤为步骤1、选择带网络管理功能的二层以太网交换芯片,将其一端与物理层芯片相连接,另一端通过总线连接CPU,从而为CPU扩展出至少10个以太网接口,每个以太网接口都是一个交换端口;步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交换芯片之间的总线端口配置成同一个VLAN组,这样就得到与以太网接口数量相同且与其一一对应的VLAN组,同时,将各个以太网络接口注册成独立的网络接口;步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理;当CPU从IP层接收到数据报文后,CPU先为该数据报文添加VLAN头,再根据TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头,CPU将更新好VLAN头的数据报文发送给二层以太网交换芯片,二层以太网交换芯片根据VLAN头找到对应的交换端口后将VLAN头删除,最后由物理层芯片根据转发表将数据报文通过交换端口转发给其他设备完成数据路由。
全文摘要
本发明提供一种利用VLAN技术实现IP软件路由的嵌入式交换式网络安全平台的方法,其特征在于,步骤为选择带网络管理功能的二层以太网交换芯片,将该芯片接入CPU系统中,通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交换芯片之间的总线端口配置成同一个VLAN组,当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理。本发明的优点是让用户以极低的硬件成本获得多个独立网段的网络接口,解决网络安全设备多端口问题,并大大降低网络安全设备的成本,而又具有高稳定性的特性。
文档编号H04L12/46GK101577711SQ20091005321
公开日2009年11月11日 申请日期2009年6月17日 优先权日2009年6月17日
发明者周耀华 申请人:上海吉盛网络技术有限公司