专利名称:网络设备之间的用户隔离的制作方法
技术领域:
本公开概括而言涉及计算机网络,更具体而言涉及例如环形拓扑(ringtopology)中的交换机之间的用户隔离。
背景技术:
诸如宽带订户(例如城域以太网)之类的订户(或用户)设备经常经由服务提供商的收集住宅和企业订户流量的接入网络连接到计算机网络,例如经常是环形拓扑。出于安全性目的,一般期望在接入网络中控制流量以防止订户到订户通信。服务提供商使用了各种方法以及各种技术和协议来隔离宽带订户。例如,某些设备可实现UNI/NNI功能,其中基于流量的类型来转发流量来自用户到网络接口(UNI)上的流量只被转发到网络到网络接口(NNI)。虽然这隔离了同一网络设备上的订户,但其不适用于多个设备之间的订户隔离。网络设备也可被配置为实现私有VLAN(虚拟局域网)功能以在多个设备之间提供期望的流量控制;然而,对于实现PVLAN施加了某些限制,例如某些硬件配置不允许使用PVLAN。
通过结合附图参考以下描述可更好地理解这里的实施例,附图中相似的标号指示相同的或功能上类似的元件,其中图I示出了示例性计算机网络;图2示出了示例性网络设备/节点;图3示出了根据这里的一个或多个实施例的具有NNI-ALT的示例性计算机网络;图4A-B示出了用于网络设备上的用户隔离的示例性流量转发模式;图5示出了具有检测到的故障的示例性计算机网络;并且图6示出了用户隔离的示例性过程。
具体实施例方式概述根据本公开的一个或多个实施例,网络设备可使其网络接口被识别为被配置为与第一计算机网络中的其他网络设备通信的网络到网络接口(NNI)或者被配置为为用户设备提供到第一计算机网络的服务的用户到网络接口(UNI)。基于确定用于将上行流量转发到第一网络的将第一网络连接到第二网络的聚集设备的至少一个NNI,未用于转发上行流量的任何NNI被认为是新颖的“NNI替代”(NNI-ALT)。通过拒绝UNI与NNI-ALT之间以及NNI-ALT与NNI-ALT之间的流量转发、而许可NNI与NNI-ALT之间的流量转发,可控制网络设备处流量的转发以在网络设备之间提供用户隔离。
描述计算机网络是用于在诸如个人计算机和工作站之类的末端节点之间传输数据的通信链路和网段所互连的节点的地理上分布的集合。有许多类型的网络可用,其类型从局域网(LAN)到广域网(WAN)不等。LAN通常通过专用私有通信链路来连接位于同一大体物理位置(例如一建筑物或校园)中的节点。另一方面,WAN通常通过诸如公共电信公司电话线路、光路径、同步光网络(SONET)或同步数字层级(SDH)链路之类的长距离通信链路来连接地理上分散的节点。因特网是WAN的一个示例,其连接全世界的不同网络,在各种网络的节点之间提供全球通信。节点通常通过根据诸如传输控制协议/因特网协议(TCP/IP)之类的预定协议交换离散的数据帧或分组来在网络上通信。在此上下文中,协议由定义节点如何与彼此交互的一组规则构成。计算机网络可由诸如路由器之类的中间网络节点进一步互连以扩展每个网络的有效“尺寸”。
城域以太网是基于已知的以太网技术的示例性计算机网络(例如通常部署在大城市区域中),并且常用于将订户和企业连接到更大的服务器网络或WAN(例如因特网)的接入网络。典型的接入网络是布置为环形(开放的或闭合的)的拓扑中的第2层和/或第3层交换机(和/或路由器)的集合,并且可通过聚集网络连接到WAN(或服务提供商核心网络)。图I是示例性的计算机网络100的示意性框图,该计算机网络100例如包括节点/设备,比如布置成例示性的闭合环形拓扑的一个或多个交换机(或路由器)A-D,其中交换机B-D (例如网络接入设备)可各自与一个或多个用户(或订户)设备110互连。交换机A例如是聚集设备,将接入网络120互连到WAN 130 (或如上所述的聚集网络)。本领域技术人员将会理解,在计算机网络中可使用任意数目的节点、设备、链路等等,并且这里示出的视图是出于简单起见的。另外,虽然例示性示例涉及以太网环形拓扑,但其他网络拓扑也可有利地利用这里的技术,例如具有通过接入设备互连的多个用户/订户和至少一个聚集设备的任何网络。可利用预定的网络通信协议在计算机网络100的节点/设备之间交换数据分组140 (例如流量),所述网络通信协议例如是传输控制协议/因特网协议(TCP/IP)、用户数据报协议(UDP)、异步传送模式(ATM)协议、帧中继协议、因特网分组交换(IPX)协议等等。尤其,服务提供商经常利用以太网技术(例如基于光纤链路)或数字订户线路(DSL)技术作为其宽带接入网络的基础。图2是例如作为交换机(或路由器)A-D的可有利地结合这里描述的一个或多个实施例使用的示例性节点/设备200的示意性框图。该设备包括由系统总线250互连的多个网络接口 210、一个或多个处理器220以及存储器240。网络接口 210包含机械、电气和信令电路,用于通过耦合到网络100的物理链路传输数据。网络接口可被配置为利用多种不同的通信协议来发送和/或接收数据,所述通信协议包括TCP/IP、UDP、ATM、同步光网络(SONET)、无线协议、帧中继、以太网、光纤分布数据接口(FDDI),等等。注意,物理网络接口210还可用于实现一个或多个虚拟网络接口,例如用于虚拟专用网(VPN)接入,这是本领域技术人员已知的。根据这里的一个或多个实施例,网络接口 210(特别是接入交换机的网络接口)可被分类(识别)为网络到网络接口(或网络-节点接口)“NNI”212或用户到网络接口“UNI” 216之一(注意,出于这里没有涉及但本领域技术人员可明白的各种原因,某些UNI或者可被配置为增强型网络接口或者说“ENI”)。对接口的类型的识别可通过各种措施来执行,例如手动地或响应于动态协议,或者可以是软件分类或硬接线的(例如基于物理端口的)区分。一般地,NNI 212被配置为与接入网络中的其他网络设备(例如交换机)通信,而UNI被配置为为用户设备110提供到接入网络的服务。UNI可被服务提供商在交换机上激活以允许用户/订户接入到网络,并且作为默认的行为,将同一交换机上的用户相互隔离。即,在交换机上拒绝UNI与UNI之间的流量转发。订户安全性帮助创建了客户之间的保护,因为对于多个客户使用共享的设备可允许客户相互影响。UNI/NNI区分从而创建了一种类似电路的行为以在同一交换机上将客户的流量相互分离,其中只在NNI与UNI之间许可流量转发(即从NNI到UNI的下行,和从UNI到NNI的上行)。设备的存储器240包括多个存 储单元,这些存储单元可被(一个或多个)处理器220和网络接口 210所寻址,用于存储与这里描述的实施例相关联的软件程序和数据结构。(一个或多个)处理器220可包括适合于执行这些软件程序和操纵这些数据结构的必要要素或逻辑。操作系统242(例如,思科系统公司的网间操作系统或者说I0S )的一些部分通常存在于存储器240中并且被该(一个或多个)处理器执行,其通过调用支持在该设备上运行的软件进程和/或服务的网络操作等等来在功能上组织该节点。这些软件进程和/或服务可包括环路防止进程244、新颖的用户隔离进程(例如转发引擎/控制)246以及其他进程(例如路由或交换/桥接进程,未示出)。对于本领域的技术人员来说很明显的,其他类型的处理器和存储器(包括各种计算机可读介质或硬件/软件模块)也可用于存储和执行与这里描述的发明技术有关的程序指令。环路防止进程/服务244包含由处理器220执行来执行诸如弹性以太网协议(REP)之类的一个或多个环路防止所提供的功能的计算机可执行指令。(注意,虽然REP是环路防止协议的一个示例,但根据这里的技术可使用本领域技术人员已知的其他协议,而REP只是一个例示性示例。)REP是提供快速收敛和环路避免的一种已知协议,例如用于开放或闭合环形拓扑网络,特别是用于以太网和第2层拓扑。REP通过交换协议消息(分组)以相应地确定一致同意的拓扑来控制沿着拓扑的哪些端口/接口被阻止(处于阻止状态中)。尤其,REP是一种网段协议,其定义了定向转发来到达聚集(或聚集器)设备“A”。一旦拓扑已收敛(获知了 MAC地址等等),进入接入网络120的订户流量从而就只在一个方向上朝着聚集设备A被转发以便到达网络130 (WAN等等)。转接节点(设备200)朝着面向聚集设备的NNI(例如边缘端口)而不是面向替代(被阻止)端口的NNI转发订户上行流量,其中端口的方向是由REP确定的。另外,如上所述,订户上行流量(在UNI上从订户/用户接收的要进入网络120/130中的流量)不应被转发到同一设备上的其他UNI端口。另一方面,订户流量下行流量(来自网络130经由聚集设备A到订户/用户)可被朝着任何UNI接口转发(例如,其中转发是基于存储在设备上的MAC表中的MAC地址条目的,这未示出),或者其也可在NNI接口上被朝着替代端口转发,例如被转发到另一接入设备以去往其UNI端口之一。此外,当在网络(例如环)中发生故障时,REP调整每个受影响的网络设备上的NNI状态以考虑到网络中的中断,从而确保每个网络设备仍具有到聚集设备的连通性。具体而言,在某些情形中,在某些网络设备上可切换NNI是面向聚集设备还是替代端口(远离聚集设备)以便对于那些受影响的设备将流量引向相反的方向。特别地,对于位于链路/节点故障和被阻止的端口之间的环中的设备,流量转发被反转,并且与中断前不同,上游流量应当绕着环在相反方向被仅发送到面向替代端口的NNI。如上所述,出于安全性目的,一般期望在接入网络中控制流量以防止订户到订户通信。虽然UNI/NNI功能隔离了同一网络设备200上的订户,但其不适用于多个设备之间的订户隔离。例如,再次参考图1,假定在交换机C上,第一用户设备110尝试连接到第二用户设备110。由于第一和第二用户设备都附接到UNI,所以交换机C如上所述可防止其通信。然而,现在假定交换机C上的第一用户设备尝 试连接到交换机B上的第二用户设备。因为来自交换机C上的第一用户的流量到达交换机B的NNI端口,所以当前没有机制来防止交换机C上的第一用户直接与交换机B上的第二用户通信。根据本公开的一个或多个实施例,用于数据平面流量的UNI/NNI转发原理可被扩展来在多个网络设备之间隔离订户(例如,控制平面流量控制可被禁止/解除激活)。例如,基于替代端口和边缘端口的位置,某些流量规则被应用到如这里所述必须被朝着聚集设备转发的订户流量。具体而言,为了控制与两个网络设备之间的链路相对应的NNI之间的流量转发,引入了一种新颖的不同接口识别,其被称为“NNI-ALT” (NNI替代)。S卩,通过确定用于将上行流量转发到聚集设备A的(一个或多个)NNI (例如边缘端口),不用于转发上行流量的那些NNI (替换端口)可被视为新颖的NNI-ALT。图3示出了图I的示例性计算机网络100(为了清晰没有网络130),其中每个NNI被区分为NNI (212)或NNI-ALT (214)。例如,由于在环形拓扑中的网络设备C和D之间示出了被阻止的接口,所以每个设备的背离该阻止并且面向聚集设备的每个端口是NNI,而相反方向上的那些(远离聚集设备并且朝着被阻止的接口)是NNI-ALT(从而,NNI-ALT始终面向网络设备的替代端口)。可操作地,NNI-ALT被当作好像它们是用于用户流量转发判决的UNI那样来对待,虽然NNI-ALT不是实际面向订户/用户设备的。具体而言,每个网络设备上对于与新颖的NNI-ALT有关的流量转发的规则如下-拒绝设备上UNI与NNI-ALT之间(即从UNI到NNI-ALT或从NNI-ALT到UNI)的流量转发;-拒绝设备上NNI-ALT与NNI-ALT之间(即从一NNI-ALT到另一 NNI-ALT)的流量转发;并且-许可NNI与NNI-ALT之间(即从NNI到NNI-ALT或从NNI-ALT到NNI)的流量转发。_(注意,从控制平面角度来看,可以像NNI那样对待NNI-ALT端口,从而允许第2层协议在这些接口上运行即,在NNI与NNI、NNI与NNI-ALT以及NNI-ALT与NNI-ALT之间许可控制平面协议流量转发)。所有其他流量转发保持相同,具体是如上所详述的UNI与NNI之间的流量处理。图4A示出了通过网络设备200的上行流量(即朝着聚集设备)的示例性流量模式,而图4B示出了通过网络设备200的下行流量(即来自聚集设备)的示例性流量模式。具体而言,在图4A中,用户上行流量410可被从UNI接收并且只被转发到NNI (即不转发到NNI-ALT)。在NNI-ALT上接收的(来自其他网络设备200的)网络流量415也可只被转发到NNI。相反,在图4B中,用户下行流量420(目的地是附接到特定网络设备的用户/订户设备110)可被在NNI上接收并被转发到适当的UNI。另外,网络下行流量425(目的地是另一网络设备或另一网络设备负责的用户/订户设备)可被在NNI上接收并被转发到适当的NNI-ALT。在网络(例如环)120中发生链路或节点故障的情况下,根据环路防止协议的收敛和相应的新边缘/替代端口(朝着/远离聚集设备A)来修改NNI状态。例如,如图5中所示,假定环路防止协议(例如REP)在设备和B之间检测到故障。REP消息可被从检测到故障的两个端口发送,并且由于每个网络设备已收敛到改变后的拓扑上(例如每个交换机在一网段上),所以替代端口的位置被相应地调整。例如,网络设备B和C交换其NNI区分(下划线示出)以便绕着例示性的环在相反方向转发流量以到达聚集设备(并且设备C和D之间的端口被解除阻止)。另一方面,网络设备D不需要改变其NNI区分,因为其转发方向保持不变。这样,对用于转发上行流量的NNI (面向边缘)的确定可响应于环路防止协议检测到网络故障而变化,并且NNI/NNI-ALT区分可相应地动态调整。另外,一旦发生故障的链路/节点被修复,就可发生重收敛(但不是必需的),其将面向替代的端口移回其原始位置,并且NNI-ALT可再次被调整(例如,一旦在网络中确认了阻止以防止环路)。注意,网络设备200的物理端口对于在该物理端口上配置的每个虚拟局域网(VLAN)可具有相应的端口状态。这样,对于特定端口上的每个相应VLAN(或VLAN群组),可按如上所述的方式从NNI、NNI-ALT和UUK中单独选择VLAN端口状态。另外,虽然为了简单示出了单个聚集设备A,但在接入网络120中可存在多个聚集设备。这样,网络设备可被配置为确定一个或多个活动NNI,用于将上行流量转发到每个聚集设备,以提供对这种冗余聚集层(例如,用于第3层因特网接入、BRAS功能、订户策略功能等等,这是本领域技术人员可明白的)的支持。例如,多个聚集设备可端接网段(例如不再是环),或者可进行其他布置,以使得面向聚集设备的任何NNI仍是NNI,而面向替代端口的任何NNI仍是NNI-ALT。图6示出了根据这里描述的一个或多个实施例的用于在网络设备之间提供用户隔离的简化示例性过程。过程600开始于步骤605,并且继续到步骤610和615,其中特定网络设备200 (例如“B”)的每个网络接口 210被识别为NNI 212或UNI 216,如上所述。另夕卜,网络设备在步骤620中可参与环路防止协议,例如REP。例如基于此环路防止协议(但也可使用其他技术),在步骤625中,设备可确定哪个NNI将要用于向聚集设备A转发上行流量,即面向聚集设备的NNI,并从而将不用于转发上行流量的NNI视为NNI-ALT,如上所述。(也要注意,如上所述,物理端口上可配置有数个VLAN,其中物理端口上的每个VLAN的相应端口状态可相应地从NNI、NNI-ALT和UNI中选择)。 一旦确定了网络接口(或VLAN端口状态),在步骤630中,网络设备就可实现这里描述的转发规则以在接入网络中隔离用户流量。例如,设备可拒绝UNI与NNI-ALT之间、NNI-ALT与其他NNI-ALT之间以及UNI与其他UNI之间的流量。相反,设备可许可NNI与NNI-ALT之间以及NNI与UNI之间的流量(如所述,NNI-ALT可被当作好像它们是用于控制平面协议流量的NNI那样来对待)。此外,如上所述,为了上述流量转发操作正确工作,可以禁止但不是必须禁止流量的控制平面控制。在通过设备在各种类型的接口之间转发流量的过程期间,如果在步骤635中发生改变对NNI是否是NNI-ALT的确定的事件,例如环路防止协议检测到故障,就如上所述重新指派面向聚集设备A的接口。在此情况下,过程600返回到步骤625以继续重新指派NNI对NNI-ALT识别,并且流量可被相应地转发。
例如,这里描述的技术可用硬件、软件和/或固件执行,例如根据用户隔离进程246,用户隔离进程246可包含由处理器220执行来执行与这里描述的新颖技术有关的功能的计算机可执行指令,例如结合环路防止进程244来确定面向聚集设备A的端口(边缘端口)和不面向聚集设备的端口(替代端口)。这里描述的新颖技术提供了计算机网络(例如环形拓扑订户网络)中的网络设备之间的用户隔离。通过定义新的接口类型,NNI-ALT,以及与之相关联的转发规则,该新颖技术不仅向单个设备、而且在整个接入网络间提供了订户接口,并且是在不使用有限可用的PVLAN技术的情况下做到这一点的。另外,这里描述的一个或多个实施例的动态方面、尤其是基于变化的网络拓扑来调整NNI/NNI-ALT确定的能力,减轻了对于麻烦且低效的手动配置的需要。 虽然已示出和描述了通过防止用户在(希望或要求用户隔离的)接入网络中相互通信来提供LAN安全性的例示性实施例,但要理解在这里描述的实施例的精神和范围内可作出各种其他适应性改变和修改。例如,这里示出和描述了结合宽带LAN使用、尤其是用于闭合环形拓扑的实施例。然而,这里的实施例在其更广泛意义上并不限于此,而是实际上可结合开放环、网段、树等等使用,只要有网络端口对用户端口的概念并且网络端口是定向的(例如具有“边缘”或“替代”识别)、因为某些网络端口向上面向聚集设备(并接收来自聚集设备的下行流量)而其他的则不,即可。此外,虽然REP被示为例示性的环路防止协议,但也可使用其他适当的协议,例如已知的生成树协议(STP),其中聚集设备A是STP的根设备。(换言之,面向根的网络接口是“NNI”,而那些不面向根端口的是“NNI-ALT”。)以上描述针对了特定实施例。但是,将会明白,可以对所描述的实施例作出其他变化和修改,获得其优点中的一些或全部。例如,明确地设想了这里描述的组件和/或元件可以实现为存储在有形计算机可读介质(例如盘/CD/等等)上的具有在计算机上执行的程序指令的软件、硬件、固件或其组合。因此,本说明书应当仅作为示例来理解,而不应当以其他方式限制这里的实施例的范围。因此,所附权利要求的一个目的是覆盖落在这里的实施例的真实精神和范围内的所有这种变化和修改。
权利要求
1.一种装置,包括 处理器; 多个网络接口,每个网络接口被配置为网络到网络接口(NNI)或用户到网络接口(UNI)之一,其中每个NNI被配置为与第一计算机网络中的网络设备通信,并且每个UNI被配置为为用户设备提供到所述第一计算机网络的服务;以及 存储器,该存储器被配置为存储进程,该进程当被所述处理器执行时可操作来 确定用于将上行流量转发到所述第一网络的将所述第一网络连接到第二网络的聚集设备的至少一个NNI,其中未用于转发上行流量的任何NNI是NNI替代(NNI-ALT); 拒绝UNI与NNI-ALT之间的流量转发; 拒绝NNI-ALT与NNI-ALT之间的流量转发;以及 许可NNI与NNI-ALT之间的流量转发。
2.如权利要求I中所述的装置,其中,所述进程当被执行时还可操作来 拒绝UNI与UNI之间的流量转发;以及 许可NNI与UNI之间的流量转发。
3.如权利要求I中所述的装置,其中,所述进程当被执行时还可操作来 改变对用于转发上行流量的NNI的确定。
4.如权利要求3中所述的装置,其中,所述改变是响应于环路防止协议检测到网络故障的。
5.如权利要求I中所述的装置,其中,所述进程当被执行时还可操作来 许可以下之间的控制平面协议流量转发=NNI与NNI之间;NNI与NNI-ALT之间;以及NNI-ALT 与 NNI-ALT 之间。
6.如权利要求I中所述的装置,其中,所述进程当被执行时还可操作来 禁止对流量的控制平面控制。
7.如权利要求I中所述的装置,其中,所述第一网络是环形拓扑网络。
8.如权利要求I中所述的装置,其中,在所述第一网络中有多个聚集设备,所述进程当被执行时还可操作来确定用于将上行流量转发到每个聚集设备的至少一个NNI。
9.如权利要求I中所述的装置,还包括 一个或多个物理端口,其中在物理端口上配置的每个虚拟局域网(VLAN)的相应端口状态是从NNI、NNI-ALT和UNI中选择的。
10.如权利要求I中所述的装置,其中,所述进程当被执行时还可操作来 与所述第一网络中的网络设备参与弹性以太网协议(REP)。
11.如权利要求I中所述的装置,其中,所述进程当被执行时还可操作来 与所述第一网络中的网络设备参与生成树协议(STP),其中所述聚集设备是STP的根设备。
12.—种方法,包括 将设备的一个或多个网络接口中的每一个识别为被配置为与第一计算机网络中的网络设备通信的网络到网络接口(NNI)或者被配置为为用户设备提供到所述第一计算机网络的服务的用户到网络接口(UNI)之一; 确定用于将上行流量从所述设备转发到所述第一网络的将所述第一网络连接到第二网络的聚集设备的至少一个NNI,其中未用于转发上行流量的任何NNI是NNI替代(NNI-ALT); 拒绝所述设备的UNI与NNI-ALT之间的流量转发; 拒绝所述设备的NNI-ALT与NNI-ALT之间的流量转发;以及 许可所述设备的NNI与NNI-ALT之间的流量转发。
13.如权利要求12中所述的方法,还包括 拒绝所述设备的UNI与UNI之间的流量转发;以及 许可所述设备的NNI与UNI之间的流量转发。
14.如权利要求12中所述的方法,还包括 改变对用于转发上行流量的NNI的确定。
15.如权利要求12中所述的方法,还包括 许可所述设备的以下之间的控制平面协议流量转发=NNI与NNI之间;NNI与NNI-ALT之间;以及NNI-ALT与NNI-ALT之间。
16.如权利要求12中所述的方法,还包括 为所述设备的一个或多个物理端口选择在物理端口上配置的每个虚拟局域网(VLAN)的相应端口状态,该端口状态是从NNI、NNI-ALT和UNI中选择的。
17.如权利要求12中所述的方法,还包括 与所述第一网络中的网络设备参与弹性以太网协议(REP)。
18.一种有形计算机可读介质,其上编码有软件,该软件当被执行时可操作来 将设备的一个或多个网络接口中的每一个识别为被配置为与第一计算机网络中的网络设备通信的网络到网络接口(NNI)或者被配置为为用户设备提供到所述第一计算机网络的服务的用户到网络接口(UNI)之一; 确定用于将上行流量从所述设备转发到所述第一网络的将所述第一网络连接到第二网络的聚集设备的至少一个NNI,其中未用于转发上行流量的任何NNI是NNI替代(NNI-ALT); 拒绝所述设备的UNI与NNI-ALT之间的流量转发; 拒绝所述设备的NNI-ALT与NNI-ALT之间的流量转发;以及 许可所述设备的NNI与NNI-ALT之间的流量转发。
19.如权利要求18中所述的有形计算机可读介质,其中,所述软件当被执行时还可操作来 拒绝所述设备的UNI与UNI之间的流量转发;以及 许可所述设备的NNI与UNI之间的流量转发。
20.如权利要求18中所述的有形计算机可读介质,其中,所述软件当被执行时还可操作来 改变对用于转发上行流量的NNI的确定。
21.如权利要求18中所述的有形计算机可读介质,其中,所述软件当被执行时还可操作来 为所述设备的一个或多个物理端口选择在物理端口上配置的每个虚拟局域网(VLAN)的相应端口状态,该端口状态是从NNI、NNI-ALT和UNI中选择的。
全文摘要
在一个实施例中,网络设备可使其网络接口被识别为被配置为与第一计算机网络中的其他网络设备通信的网络到网络接口(NNI)或者被配置为为用户设备提供到第一计算机网络的服务的用户到网络接口(UNI)。基于确定用于将上行流量转发到第一网络的将第一网络连接到第二网络的聚集设备的至少一个NNI,未用于转发上行流量的任何NNI被认为是新颖的“NNI替代”(NNI-ALT)。通过拒绝UNI与NNI-ALT之间以及NNI-ALT与NNI-ALT之间的流量转发、而许可NNI与NNI-ALT之间的流量转发,可控制网络设备处流量的转发以在网络设备之间提供用户隔离。
文档编号H04L12/56GK102640465SQ201080054569
公开日2012年8月15日 申请日期2010年11月24日 优先权日2009年12月1日
发明者尼克拉斯·布里顿, 帕里斯特·高赫尔, 萨恩德·那拉亚那瓦米 申请人:思科技术公司