专利名称:一种交换机的制作方法
技术领域:
本实用新型属于网络数据通信领域,尤其涉及一种路由交換机。
背景技术:
随着IP数据通信网的规模越来越大,层次越来越多,运营维护成本也随之上涨,维护管理技术也更加复杂,运营商希望IP电信网更加简单、可靠、可维护,所以网络结构扁平化是运营商所希望的。路由交换机综合了交換机的高带宽和路由器复杂灵活的处理能力,可以代替他们,在网络部署中得到广泛的应用,大大地促进了网络结构的扁平化。网络病毒和攻击迫使防火墙成为企业网络的必需设备,普通防火墙一般作为企业 网络的出口,过滤病毒,防范攻击以及执行加密、解密等功能,保护企业信息安全。防火墙的引入増加了企业信息安全,但是增加了网络结构层次和维护复杂性,同时也降低了企业网络出口带宽,还增加了不少网络投资。企业网典型防火墙组网结构如图I所示,防火墙设备有内网接ロ,DMZ(非军事化区)和外网接ロ三种网络接ロ,防火墙主要功能是保护企业内部网络。防火墙和内部网络之间的连接成为网络出口的关键点,为了增强网络的可靠性和安全性,重要企业网络一股在出口部署冗余、备份防火墙,大大地増加了网络复杂度和成本。
实用新型内容在实用新型内容部分中引入了一系列简化形式的概念,这将在具体实施方式
部分中进ー步详细说明。本实用新型的实用新型内容部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。本实用新型的目的在于提供ー种集成防火墙的路由交换机,简化网络结构,减少网络设备,降低网络投资,增强网络的稳定性。本实用新型的交換机,包括路由交換机的主控制模块和背板,背板上设控制通道和数据通道;交换模块;和防火墙模块;其中交换模块设外网物理端口和内网端ロ ;防火墙模块设内网、DMZ和外网接ロ ;路由交換机的主控制模块通过背板的控制通道对交换模块的路由交換处理单元和防火墙模块的防火墙处理单元进行配置;交换模块和防火墙模块通过背板的数据通道传递数据。防火墙模块本身可不设内网、DMZ和外网接ロ,交换模块的外网物理端ロ定义为防火墙模块的内网、DMZ和外网接ロ。交换模块和防火墙模块各设CPU,路由交换机的主控制模块通过背板控制通道与各CPU连接,对交换模块的路由交換处理单元和防火墙模块的防火墙处理単元分别进行配置。[0013]本实用新型将防火墙作为机架交換机的ー个业务模块,将防火墙的控制平面和数据平面整合到交換机的控制平面和数据平面中(如图2所示),将路由交換功能和防火墙功能集成到一台设备中。集成了防火墙地路由交換机可以简化网络结构,減少网络设备,降低网络投资,由于没有了防火墙和内部网络的连接线路,減少了网络可能的关键故障点,增强了网络的稳定性。
本实用新型的下列附图在此作为本实用新型的一部分用于理解本实用新型。附图中示出了本实用新型的实施例及其描述,用来解释本实用新型的原理。在附图中,图I企业网典型防火墙组网结构示意图;图2本实用新型结构示意图;图3本实用新型逻辑结构框图;图4本实用新型防火墙处理单元配置示意图;图5本实用新型数据流、控制流示意图。图中1—路由器;2—路由交换机;3—防火墙;4—主用链路;5—备用链路;具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本实用新型更为彻底的理解。然而,对于本领域技术人员来说显而易见的是,本实用新型可以无需ー个或多个这些细节而得以实施。在其他的例子中,为了避免与本实用新型发生混淆,对于本领域公知的ー些技术特征未进行描述。如图3所示,为本实用新型逻辑框图。防火墙的控制通过本模块板的CPU来完成,管理者通过交换架构的控制结构通道登录到防火墙模块的CPU,从而对防火墙处理单元进行配置。防火墙的功能包括过滤、ACL、NAT、VPN、IDS和加密解密,配置管理命令非常多,而且其配置管理方式也和交換机不同,所以不宣将两种配置混合在一起,而是在同样界面下提供两个配置环境,分别来配置交換机和防火墙,如图4所示。为了简化管理和系统复杂性,防火墙模块本身对外不提供物理网络端ロ,但是防火墙依然有内部网、DMZ和外部网三种接ロ,这三种接ロ使用其他交换模块的物理网络端ロ,根据需要可以定义交换模块上的端ロ为防火墙的某种接ロ。如图5所示,来自外网Internet的数据包从外网端ロ进入交換机,通过转发芯片和背板上的高速数据通道,交换模块将数据包送给防火墙模块;防火墙模块对数据进行过滤等处理后,把安全的数据通过背板送到交換模块;交换模块通过内网端ロ把数据包送给企业网内网用户,通过这个流程防火墙对内、外网络的数据通讯起到了监控的作用,保护了企业内部网络的信息安全。本实用新型已经通过上述实施例进行了说明,但应当理解的是,上述实施例只是用于举例和说明的目的,而非意在将本实用新型限制于所描述的实施例范围内。此外本领域技术人员可以理解的是,本实用新型并不局限于上述实施例,根据本实用新型的教导还可以做出更多种的变型和修改,这些变型和修改均落在本实用新型所要求保护的范围以内。本实用新型的保护范围由附属的权利要求书及其等效范围所 界定。
权利要求1.一种交换机,包括路由交换机的主控制模块和背板,背板上设控制通道和数据通道;交换模块,设外网物理端口和内网端口 ;其特征在于还包括防火墙模块;防火墙模块设内网、DMZ和外网接口 ;路由交换机的主控制模块通过背板的控制通道对交换模块的路由交换处理单元和防火墙模块的防火墙处理单元进行配置;交换模块和防火墙模块通过背板的数据通道传递数据。
2.如权利要求I所述的交换机,其特征在于交换模块和防火墙模块各设CPU,路由交换机的主控制模块通过背板控制通道与各CPL连接,对交换模块的路由交换处理单元和防火墙模块的防火墙处理单元分别进行配置。
专利摘要本实用新型属于网络数据通信领域,尤其涉及一种交换机。它包括路由交换机的主控制模块和背板,背板上设控制通道、数据通道、交换模块和防火墙模块。本实用新型将防火墙作为机架交换机的一个业务模块,将防火墙的控制平面和数据平面整合到交换机的控制平面和数据平面中,将路由交换功能和防火墙功能集成到一台设备中,集成了防火墙的路由交换机可以简化网络结构,减少网络设备,降低网络投资,由于没有了防火墙和内部网络的连接线路,减少了网络可能的关键故障点,增强了网络的稳定性。
文档编号H04L29/06GK202406132SQ201120544028
公开日2012年8月29日 申请日期2011年12月23日 优先权日2011年12月23日
发明者彭海帆 申请人:汉柏科技有限公司