专利名称:用于在通信系统中进行业务过滤的装置和方法
用于在通信系统中进行业务过滤的装置和方法
背景
常常使用过程控制系统来管理处理设施。示例处理设施包4舌制造 厂、化工厂、原油精炼厂、以及矿石处理厂。除了其他操作以外,过程
控制系统通常还管理电动机、阀门、以及处理设施中的其他工业i殳备的 使用。
在一些过程控制系统中,各部件被分为级的分级结构,其被称作"网 络级"。不同网络级中的部件通常负责在过程控制系统中执行不同类型 的功能。例如,常规过程控制系统可以包括一个或多个第1级的网络级 以及一个或多个第2级的网络级。作为特定例子,第l级的网络级可以 包括控制器和用来控制工业设备的其他部件。第2级的网络级可以包括 服务器、个人计算机、以及用来与第1级的网络级中的部件进行交互并 对其进行控制的其他部件。保护过程控制系统中更关键的部件(例如第1级的网络级中的部件) 不受病毒攻击或其他破坏常常是重要的。先前的一种方法涉及为过程控 制系统中更关键的部件和不太关键的部件提供分开的交换机。然而,这 种方法常常会增加过程控制系统的复杂性和成本,因为需要多组交换 机。
概要
本公开内容提供一种用于在通信系统中进行业务过滤的装置和方法。
在第一实施例中, 一种方法包括在交换机处通过第一组接口中的第 一接口接收业务。笫一组接口与第一虚拟网络相关联。该方法还包括确 定该业务去往与第二虚拟网络相关联的目的地。该方法进一步包4舌在交 换机处将该业务转发至第二组接口中的第二接口 。第二组接口与第二虚 拟网络相关联。而且,该方法包括过滤在第二组接口中的第二接口处接 收到的业务。另外,该方法包括将过滤后的业务送往目的地。
在特定实施例中,该第 一和第二虛拟网络表示与过程控制系统的不 同网络级相关联的各虚拟局域网。至少一个所述网络级包括一个或多个
能够控制处理设施中的一个或多个处理元件的控制器。
在其他特定实施例中,将该业务转发至第二接口包括将该业务转发 至第一组接口中的第三接口。第三接口通过电缆被耦合至第二接口 。该 电缆可以表示交叉电缆。
在第二实施例中, 一种装置包括多个接口,所述多个接口包4舌与第 一虛拟网络相关联的第 一组接口和与第二虚拟网络相关联的第二组4妻 口。该装置还包括能够在这些接口之间传送业务的交换结构。该装置进 一步包括控制器,该控制器能够确定通过第 一组接口中的第 一接口接收 到的业务去往与第二虚拟网络相关联的目的地。该控制器还能够^使交换 结构将该业务转发至第二组接口中的第二接口。该控制器还能够过滤在 第二组接口中的第二接口接收到的业务。另外,该控制器能够使交换结 构将过滤后的业务转发至第二组接口中的第三接口 ,以便将过滤后的业 务送往目的地。
在第三实施例中, 一种系统包括能够便于多个端点之间的通信的多 个交换机。至少一个所述交换机包括多个接口,所述多个接口包4舌与第 一虚拟网络相关联的第 一组接口和与第二虚拟网络相关联的第二组接 口。至少一个所述交换机还包括能够在这些接口之间传送业务的交换结 构。至少一个所述交换机进一步包括控制器,该控制器能够确定通过第 一组接口中的第 一接口接收到的业务去往与笫二虚拟网络相关联的端 点。该控制器还能够使交换结构将该业务转发至第二组接口中的第二接 口 。该控制器还能够过滤在第二组接口中的第二接口处接收到的业务。 另外,该控制器能够使交换结构将过滤后的业务转发至第二组接口中的 第三接口 ,以便将过滤后的业务送往与第二虚拟网络相关联的端点。
根据下面的附图、说明书和权利要求书,其他技术特征对于本领域 技术人员而言可能很容易是显而易见的。
附图简述
为了更完全地理解本公开内容,现在参考下面结合附图所作出的描
述,其中
图1说明根据本公开内容的一个实施例的示例通信系统; 图2说明根据本公开内容的一个实施例的用于在通信系统中进行业 务过滤的示例交换机;以及
图3说明根据本公开内容的 一个实施例的用于在通信系统中进行业
务过滤的示例方法。
i羊细4苗述
图1说明根据本公开内容的一个实施例的示例通信系统100。图1 所示的通信系统100的实施例仅仅是用于说明。在不脱离本公开内容的 范围的情况下,也可以使用通信系统IOO的其他实施例。
在该示例实施例中,通信系统100表示包4舌处理元件102a-102d、 端点104a-104f、以及交换机106a-106f的过程控制系统。处理元件 102a-102d表示在处理环境中执行各种各样功能中的任何一种的部件。 例如,处理元件102a-102d可以表示电动机、阀门、以及处理环境中的 其他工业设备。处理元件102a-102d可以表示处理环境中的任4可其他或 附加的部件。处理元件102a-102d中的每一个包括用于在处理环境中冲丸 行一个或多个功能的任何硬件、软件、固件、或其组合。举例来il,处 理元件102a-102d可以表示能够在处理环境中操纵、改变、或以其他方 式处理一个或多个材料的任何部件、设备或系统。
端点104a-104f表示在通信系统100中能够控制处理元件102a-102d 的操作的部件。例如,端点104a-104d可能能够直接与处理元件 102a-102d进行交互,并且控制处理元件102a-102d的操作。端点 104e-104f可能能够通过端点104a-104d间接地控制处理元件102a-102d 的操作。端点104a-104f中的每一个包括用于控制通信系统100中的一 个或多个操作的任何硬件、软件、固件、或其组合。作为特定例子,端 点104a-104d可以包括或表示嵌入式控制器,例如来自HONEYWELL INTERNATIONAL INC.的C200、 C300、或C400控制器或者现场总线接 口模块(FIM)。端点104e-104f可以包括或表示服务器,例如来自 HONEYWELL INTERNATIONAL INC.的过程知识系统(PKS )月良务器或 者来自HONEYWELL INTERNATIONAL INC.的高级控制环境(ACE ) 服务器。端点104e-104f还可以包括或表示操作员站,例如台式计算机、 膝上型计算机、或个人数字助理。
交换机106a-106f在各个端点104a-104f之间传送信息。例如,交换 机106a可以从端点104a接收信息,并且通过交换机106e向端点104e 发送信息。取决于系统100的布局,交换机106a-106f中的每一个通常浮皮耦合至一个或多个所述端点104a-104f和/或一个或多个其他交换:才几。 交换机106a-106f中的每一个包括用于在系统100中传送信息的4壬何硬 件、软件、固件、或其组合。举例来说,交换机106a-106f可以表示来 自CISCO SYSTEMS INC.的2950系列交换机。
取决于端点104a-104f的功能,端点104a-104f可以通过交换机 106a-106f传送任何合适的信息。在系统中各部件之间传送的信息通常被 称作"业务"。在一些实施例中,从端点104e-104f发送给端点104a-104d 的业务的一部分表示用于控制端点104a-104d的操作的控制信息。这样, 端点104e-104f —般可以控制端点104a-104d如何控制处理元件 102a-102d的操作。此外,端点104a-104f可以使用任何合适的一个或多 个协议以用于传送信息,例如通过使用以太网上的传输控制协议/因特网 协议(TCP/IP)或用户数据报协议/因特网协议(UDP/IP)。另外,端点 104a-104f中的每一个可以:被固定在特定位置或者是可移动的,并且端点 104a-104f可以通过有线或无线连接与交换机106a-106f进行通信。
如图1所示,通信系统100被分为分级结构的网络级108a-108c, 其中包括第1级的网络级108a-108b和第2级的网络级108c。在该例子 中,网络级108a-108c中的每一个包括一个或多个所述端点104a-104f 和一个或多个所述交换机106a-106f。在特定实施例中,第1级的网络级 中的部件可以驻留在单个才几拒或其他结构中。通信系统IOO可以包括附 加网络级,例如用"第3级,,(包含非关键控制应用)和"第4级,,(包 含工厂范围或设施范围的应用)表示的级。
在一些实施例中,通信系统100表示冗余网络或容^l昔网络。例如, 通信系统100可以表示容错以太网(FTE)网络。FTE网络典型地包括 通常彼此独立的两个网络,其中在端点104a-104f中的任何两个端点之 间存在多条冗余路径。如图1所示,交换机106a-106f成对地工作,并 且每一对交换机106a-106f包括未加阴影的交换机和加阴影的交换机。 屏蔽区分不同的、通常是独立的网络。除其他方面以外,冗余网症各还可 以与不同的诊断消息相关联,这些消息周期性地进行广播或多播以便指 示这些部件正在工作,并且这些消息被用来路由业务和避免系统100中 的错误。
在这些类型的网络中,端点104a-104f中的每一个可以通过冗余网 络110 (例如两个以太网网络)^皮身禺合至一对交换:才几106a-106f。如果在
系统100中丢失了一对交换机当中的一个交换机,这对交换机中的另一 个交换机被用来路由业务。这有助于确保端点104a-104f即使在一个交 换机变得不起作用时,仍然可以继续正常工作。此外,每一对中的交换 机通过交叉电缆112相互耦合。交叉电缆112可以表示两个冗余网络之 间的唯一互连。这些特征尤其有助于确保在端点104a-104f中的4壬4可两 个之间存在至少四条冗余路径。
在操作的一个方面中,系统100中的交换才几106a-106f包括至少一 个"分裂交换机,,。分裂交换机表示起多个交换机作用的单个物理交换 机。在这些实施例中,分裂交换机可以既被耦合至第1级的网络级,又 被耦合至第2级的网络级。在一些实施例中,分裂交换机支持用于第1 级的网络级的虚拟局域网(VLAN)或其他虚拟网络,并且支持用于第 2级的网络级的分离的VLAN或其他虚拟网络。在特定实施例中,分裂 交换机为第1级的网络级创建VLAN,并且对于第2级的网络级使用FTE 社区VLAN。这尤其允许分裂交换机保持第l级的网络级中的业务与第 2级的网络级中的业务之间的分离。电缆被用来连接VLAN,以及分裂 交换机使用该电缆在VLAN之间传送业务。
分裂交换机还被配置成在去往第1级的VLAN的入口处提供业务过 滤。举例来说,分裂交换机可以使用一个或多个接入列表以允许特定 TCP或UDP端口的业务传递到第1级的VLAN中。接入列表还可以允 许维持系统100所需要传递的附加业务,例如地址解析协议(ARP)广 播业务、多播测试消息和网络定时协议(NTP)业务。所有其他业务可 以被封锁,并且被防止进入到第1级的VLAN中。在特定实施例中,分 裂交换机中的接入列表是可定制的或可变的,这取决于第l级的网络级 中各部件所需的业务类型。
通过使用虚拟网络和过滤功能,分裂交换机被虚拟地分为两个交换 机(一个用于第1级的网络级,另一个用于第2级的网络级),其中业 务过滤被提供给至少一个所述虚拟交换机。这样,分裂交换机可以有效 地保护第1级的网络级中的部件不被破坏,同时还允许控制和其^^必要 的业务进入到第1级的网络级中。此外,分裂交换机可以提供这种保护, 而不需要使用多个物理交换机,这可能有助于降低系统IOO的复杂性和 成本。图2中示出有关分裂交换机的附加细节,这在下文中进行描述。
尽管图1说明通信系统100的一个例子,但是可以对图1作出各种
变化。例如,通信系统可以包括任何数目的处理元件、端点、交换j几、 以及网络级。图l还说明一种操作环境,其中分裂交换机可以被用来提 供业务过滤。该分裂交换机可以被用在任何其他合适的过程控制或非过 程控制设备或系统中。
图2说明#^居本/>开内容的 一个实施例的用于在通信系统中进4亍业 务过滤的示例交换机200。举例来说,图2中的交换才几200可以表示图 1中所示的交换机106a-106f中的任何一个。交换机200还可以被用在任 何其他合适的系统中。此外,图2中所示的交换机200的实施例仅仅是 用于说明。在不脱离本公开内容的范围的情况下,也可以使用交换机200 的其他实施例。
在该例子中,交换机200包括多个接口 202、交换结构204、控制 器206、以及存储器208。接口 202便于在交换机200与各种外部部件 之间的通信。例如,接口 202可以通过网络电缆^皮耦合至一个或多个端 点和/或一个或多个其他交换机。接口 202表示用于便于与外部部件进行 通信的任何合适的一个或多个结构,例如能够接纳以太网电缆的RJ-45 插孔。
交换结构204便于在耦合至交换机200的各种外部部件之间的信息 的传送。例如,交换结构204可以在各个接口 202之间传送信息。这样, 交换结构204可以通过一个接口 202接收信息,并且通过一个或多个其 他接口 202提供该信息来进行传送。交换结构204包括用于在接口 202 之间传送信息的任何合适的 一 个或多个结构。
控制器206被耦合至交换结构204。控制器206控制交换机200的 整体操作。例如,控制器206可以控制交换结构204,从而控制接口 202 之间的信息路由。控制器206还可以执行各种操作以便支持多个VLAN 或其他虚拟网络的创建或使用。控制器206还可以执行各种操作以便支 持业务过滤,从而封锁或传递去往或来自一个或多个所述虚拟网络的业 务。另外,控制器206还可以执行其他功能,包括多播管制和加强广播 风暴限制(例如通过使用或强加lm bit/sec的限制)。控制器206包括 用于控制交换机200的任何硬件、软件、固件、或其组合。
存储器208被耦合至控制器206。存储器208存储控制器206所使 用的信息并便于该信息的检索,以便控制交换机200的操作。例如,存 储器208可以存储由控制器206执行的一个或多个控制程序。存储器208
还可以存储一个或多个接入列表,这些列表可以由控制器206用来提供 业务过滤。存储器208还可以存储一个或多个生成树,这些生成树被用 来在通信系统100中路由信息。另外,存储器208可以存储用来支持多 个虚拟网络的使用的信息。存储器208包括任何合适的一个或多个易失 性和/或非易失性存储和检索设备,例如随机存取存储器(RAM)、只 读存储器(ROM)、闪速存储器、或任何其他或附加类型的存储器。
如图2所示,接口 202被分为两组或两个子集210a-210b。每一个 子集210a-210b包括接口 202中的至少两个。在该例子中,每一个子集 210a-210b被耦合至通信系统中的一个不同网络级。例如,接口 202的 子集210a可以被耦合至第1级的网络级,而接口 202的子集210b可以 被耦合至第2级的网络级。在该例子中,接口 202的子集210a-210b还 与不同的VLAN或其他虚拟网络相关联。作为例子,接口 202的子集 210a可以与在第1级的网络级中使用的VLAN相关联,而接口 202的子 集210b可以与在第2级的网络级中使用的FTE社区VLAN相关联。另 外,不同的虚拟网络通过电缆212来连接,该电缆212耦合子集210a 中的一个接口 202与子集210b中的一个接口 202。电缆212表示4壬何合 适的连接,例如交叉以太网电缆。
在这些实施例中,交换机200支持多个虚拟网络的使用,并且隔离 各虚拟网络的业务。例如,交换机200可以仅仅将业务从一个子集的一 个接口 202路由到同一个子集的另一个接口 202。这样, 一个虚拟网络 内的业务通常停留在该虚拟网络内,除非该业务通过电缆212被发送给 与另一虚拟网络相关联的接口 202。此外,交换机200支持对至少一个 虚拟网络的业务过滤。作为例子,如果子集210a与第1级的网络级相 关联,而子集210b与第2级的网络级相关联,那么控制器206可以对 进入在子集210a中耦合至电缆212的接口 202的任何业务执行业务过 滤。这样,交换机200提供第1级的网络级的业务过滤,这可能有助于 保护第1级的网络级的部件免受由病毒或其他源引起的破坏。
在特定实施例中,交换才几200包括二十四个接口 202。前两个接口 202可以表示进入到第2级的网络级中的上行链路。紧接的十个接口 202 可以表示进入到第l级的网络级中的链路。随后的两个接口 202可以表 示使用电缆212进行耦合的接口 202。最后十个接口 202可以表示进入 到第2级的网络级中的链路。此外,在交换机200中还可以支持其他接
口 ,例如此时支持去往第2级的网络级的多个吉比特接口转换器(GBIC ) 上行链路。另外,交换机200的生成树可以被配置成防止接口 202的子 集210a-21 Ob之间的业务封锁。
尽管图2说明用于在通信系统中进行业务过滤的交换机200的一个 例子,但是可以对图2作出各种变化。例如,交换机200可以包括任何 合适数目的接口 202、交换结构204、控制器206和存储器208。此外, 交换机200被示出为包括接口 202的两个子集210a-210b,并且被描述 为耦合至两个网络级和支持两个虚拟网络。交换才几200可以包括任何合 适数目的接口子集,被耦合至任何合适数目的网络级,并且支持任何合 适数目的虚拟网络。如果使用多于两个的虚拟网络,那么对于交换才几200 而言可以使用多条电缆212,每一条电缆212耦合一对虚拟网络。
图3说明根据本公开内容的一个实施例的用于在通信系统中进行业 务过滤的示例方法300。为了易于解释,相对于在图1的系统100中工 作的图2的交换才几200来描述图3的方法300。方法300可以由任何其 他合适的设备并且在任何其他合适的系统中使用。
在步骤302,交换机200从第一网络级VLNA接收业务。举例来说, 这可以包括交换机200通过与第2级的网络级相关联的子集210b中的 第一接口 202,从第2级的网络级中的部件接收业务。该业务可以去往 第 一 网络级VLAN或第二网络级VLAN中的部件。
在步骤304,交换机200确定该业务是去往第一网络级VLAN还是 第二网络级VLAN中的部件。举例来说,这可以包括控制器206才企查与 所接收到业务相关联的目的地地址。这也可能包括控制器206确定所识 别的目的地地址是否与第一网络级VLAN中的部件相关联。
如果该业务是去往第一网络级VLAN中的部件,那么在步骤306, 交换机200将所接收到的业务转发至第一网络级VLAN中的部件。举例 来说,这可以包括交换结构204将通过子集210b中的第一接口 202接 收到的业务发送给同一个子集210b中第二接口 202。这还可能包括交换 机200通过子集210b中的第二接口 202向目的地部件转发所接收到的 业务。
如果该业务是去往第二网络级VLAN中的部件,那么在步骤308, 交换机200将所接收到的业务通过交叉电缆212发送给第二网络级 VLAN。举例来说,这可以包括交换结构204将来自子集210b中的第二
接口 202的业务发送给子集210a中的第一接口 202。子集210a可以与 第1级的网络级相关联。
交换机200在步骤310识别所接收业务的类型,并且在步骤312识 别与所接收业务相关联的接口。举例来说,这可以包括控制器206确定 所接收到的业务表示单播业务、广播业务、多播业务,还是NTP业务。 这也可能包括控制器206识别在所接收到业务的源地址或目的地址内的 TCP或UDP端口 。
在步骤314,交换机200执行业务过滤,并且确定所识别的业务类 型和接口是否是可接受的。举例来说,这可以包括控制器206确定所识 别的业务类型表示ARP广播业务、多播测试消息,还是NTP业务。这 也可能包括控制器206确定所识别的业务类型是否表示单播业务,并且 所识别的TCP或UDP端口是否属于可接受端口的范围内。
如果所识别的业务类型和接口是可接受的,那么在步骤316,交换 才几200将业务转发至第二网络级VLAN中的一个或多个部件。举例来说, 这可以包括交换结构204将来自子集210a中第一接口 202的业务发送 给子集210a中的一个或多个第二接口 202。否则,如果所识别的业务类 型或接口不是可接受的,那么在步骤318,交换机200封锁来自第二网 络级VLAN的业务。举例来说,这可以包括交换机200未能将业务转发 至第二网络级VLAN中的任何部件,并且从任何内部緩冲器中移除该业 务。
尽管图3说明用于在通信系统中进行业务过滤的方法300的一个例 子,但是可以对图3作出各种变化。例如,图3说明既确定所接收业务 的业务类型又确定所接收业务的接口。在其他实施例中,可以只确定这 二者当中的一个,例如当业务类型指示应当或不应当转发数据(无论该 接口是什么)时。此外,尽管被示出为一系列步骤,但是图3中的各个 步骤可以按照并行或不同的次序出现。另夕卜,尽管被示出为使用VLAN, 但是方法300可以包括任何合适类型的虚拟网络。
在一些实施例中,由交换机200执行的或者在交换机200内扭j亍的 各种功能由计算机程序来实施或者支持,所述计算机程序由计算机可读 程序代码构成,并且被包含在计算机可读介质中。短语"计算机可读程 序代码"包括任何类型的计算机代码,包括源代码、目标代码和可执行 代码。短语"计算机可读介质,,包括能够由计算机访问的任何类型的介
质,例如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动 器、光盘(CD)、数字视频盘(DVD)、或任何其他类型的存储器。
阐明在本专利文献中通篇使用的某些单词和短语的定义可能是有 利的。术语"耦合"及其派生词是指两个或更多个元件之间的任何直接 或间接的通信,而无论这些元件是否彼此物理接触。术语"应用"是指 一个或多个计算机程序、指令集、过程、函数、对象、类、实例、或者 适用于以合适的计算机语言实施的相关数据。术语"包含"和"包括" 及其派生词是指没有限制地包含。术语"或"是包含在内的,意思是"和 /或"。短语"与...相关联"和"与其相关联"及其派生词可以是指包 含,包含在…内,与…互连,含有,含在…内,连接至…或与…相连, 耦合至…或与…耦合,可与…通信,与…协作,交织,并置,接近于…, 界于…或以…为界,具有,具有…的特性,等等。术语"控制器,,是指 控制至少一个操作的任何设备、系统、或其一部分。控制器可以被实施 为硬件、固件、软件、或至少其中两个的某种组合。与任何特定控制器 相关联的功能可以是集中式的或分布式的,而无论是本地的还是远程 的。
尽管本公开内容已经描述了某些实施例和通常相关联的方法,但是 对这些实施例和方法的改变和置换对于本领域技术人员而言将是显而 易见的。因此,对示例实施例的上述描述并未限定或约束本公开内容。 在不脱离由后面的权利要求书所限定的本公开内容的精神和范围的情 况下,其他的变化、替换和改变也是可能的。
权利要求
1. 一种方法,包括:在交换机(200)处通过第一组(210b)接口(202)中的第一接口(202)接收业务,所述第一组(210b)接口(202)与第一虚拟网络相关联;确定所述业务去往与第二虚拟网络相关联的目的地;在所述交换机(200)处将所述业务转发至第二组(210a)接口(202)中的第二接口(202),所述第二组(210a)接口(202)与所述第二虚拟网络相关联;过滤在所述第二组(210a)接口(202)中的所述第二接口(202)处接收到的所述业务;以及将过滤后的所述业务送往与所述第二虚拟网络相关联的所述目的地。
2. 权利要求1所述的方法,其中过滤所述业务包括以下步骤中的 一个或多个确定与所述业务相关联的业务类型是否是可接受的;以及 确定与所述业务相关联的端口是否是可接受的。
3. 权利要求l所述的方法,其中将所述业务从所述第一接口 ( 202 ) 转发至所述第二接口 ( 202)包括将所述业务从所述第一接口 ( 202) 转发至所述第一组(201b)接口 (202)中的第三接口 ( 202),所述第 三接口 (202)通过电缆(212)被耦合至所述第二接口 ( 202)。
4. 权利要求3所述的方法,其中耦合所述第二和第三接口 ( 202) 的所述电缆(212)包括交叉电缆。
5. 权利要求l所述的方法,进一步包括通过所述第一组(210b)接口 ( 202)中的一个接口 ( 202 )接收第二业务;确定所述第二业务去往与所述第一虚拟网络相关联的第二目的地;以及将所述第二业务送往所述第二目的地,而不将所述第二业务转发至所述第二组(210a)接口 ( 202)。
6. 权利要求l所述的方法,其中所述第一虛拟网络包括与过程控制系统(100)中第2级的网络级 (108c)相关联的第一虚拟局域网;以及所述第二虛拟网络包括与所述过程控制系统(100)中第1级的网 络级(108a, 108b)相关联的第二虚拟局域网。
7. —种装置,包括多个接口 (202 ),其包括与第一虛拟网络相关联的第一组(210b) 接口 ( 202)和与第二虚拟网络相关联的第二组(210a)接口 ( 202 ); 交换结构(204),其能够在所述接口 ( 202 )之间传送业务;以及 控制器(206),其能够确定通过所述第一组(210b)接口 (202)中的第一接口 ( 202) 接收到的业务去往与所述第二虚拟网络相关联的目的地;使所述交换结构(204 )将所述业务转发至所述第二组(210a) 接口 ( 202 )中的第二接口 (202 );过滤在所述第二组(210a)接口 (202 )中的所述第二接口 ( 202) 处接收到的所述业务;以及使所述交换结构(204)将过滤后的所述业务转发至所述第二组 (210a)接口 ( 202)中的笫三接口 (202),以便将过滤后的所述业务 送往所述目的地。
8. 权利要求7所述的装置,其中所述控制器(206 )能够通过使所 述交换结构(204)将所述业务从所述第一接口 (202)转发至所述第一 组(210b)接口 ( 202)中的第四接口 ( 202 ),从而使所迷交换结构(204 ) 将所述业务从所述第一接口 ( 202 )转发至所述第二接口 ( 202),所述 第四接口 ( 202)通过电缆(212)被耦合至所述第二接口 ( 202)。
9. 权利要求7所述的装置,其中所述第一虚拟网络包括与过程控制系统(100)中第2级的网络级 (108c)相关联的第一虚拟局域网;以及所述第二虚拟网络包括与所述过程控制系统(100)中第1级的网 络级(108a, 108b)相关联的第二虚拟局域网。
10. —种系统,包括多个交换机(106a-106f),其能够便于在多个端点(104a-104f)之 间的通信,所述交换机中的至少一个包括多个接口 ( 202 ),其包括与第 一虚拟网络相关联的第 一组(210b ) 接口 ( 202)和与第二虚拟网络相关联的第二组(210a)接口 (202); 交换结构(204 ),其能够在所述接口 ( 202)之间传送业务;以及控制器(206),其能够确定通过所述第一组(210b )接口(202)中的第一接口( 202) 接收到的业务去往与所述第二虚拟网络相关联的端点;使所述交换结构(204 )将所述业务转发至所述第二组 (210a)接口 (202 )中的第二接口 (202 );过滤在所述第二组(210a)接口 ( 202)中的所述第二接口 (202)处接收到的所述业务;以及使所述交换结构(204)将过滤后的所述业务转发至所述第 二组(210a)接口 ( 202 )中的第三接口 (202 ),以便将过滤后的所述 业务送往与所述第二虚拟网络相关联的所述端点。
全文摘要
一种方法包括在交换机(200)处通过第一组(210b)接口(202)中的第一接口(202)接收业务。第一组(210b)接口(202)与第一虚拟网络相关联。该方法还包括确定该业务去往与第二虚拟网络相关联的目的地,并在交换机(200)处将该业务转发至第二组(210a)接口(202)中的第二接口(202)。第二组(210a)接口(202)与第二虚拟网络相关联。该方法还包括过滤在第二组(210a)接口(202)中的第二接口(202)处接收到的业务,并将过滤后的业务送往目的地。该第一和第二虚拟网络可以表示与过程控制系统(100)的不同网络级(108a-108c)相关联的各虚拟局域网。
文档编号H04L12/46GK101379778SQ200680053031
公开日2009年3月4日 申请日期2006年12月14日 优先权日2005年12月20日
发明者J·W·古斯丁, S·J·斯科特 申请人:霍尼韦尔国际公司