一种支持VLAN内成员端口隔离的交换方法及交换机与流程

本发明涉及交换机技术，尤其是广电数据通信领域中二层交换机设备（L2 Switch）。

背景技术：

技术术语解释：

EOC：Ethernet Over Cable，以太网电缆。

CPE：Customer Premise Equipment，客户终端设备。

VOD：Video on Demand，视频点播。

VLAN：Virtual Local Area Network，虚拟局域网，是指一组逻辑上的设备和用户。

Internet：互联网。

OLT：Optical Line Terminal，光线路终端，用于连接光纤干线的终端设备。

ONU：Optical Network Unit，光网络单元。

CATV：Community Antenna Television，国内一般指广电有线电视系统，或者广电有线电视网络。

HFC：Hybrid Fiber－Coaxial的缩写，即混合光纤同轴电缆网。

STB：Set Top Box，机顶盒。

参见图1，广电网络中的二层交换机设备（L2 Switch）一般位于小区楼道，下接有多个局端设备（EOC），局端设备分属于不同的住户，局端设备下接终端设备（CPE），终端设备（CPE）位于住户的家中。互动点播网络与交换机设备连接，将上网及点播业务数据通过交换机分发给各个用户的局端设备，且这些业务是按照不同的服务流进入其相应的VLAN。如图1中，上网业务对应VLAN B，点播业务对应VLAN A。交换机的一个上行口能收发多个VLAN的数据报文；交换机的多个下行口只能收发本下行端口所在VLAN的数据报文。卫星电视直播网络的电视直播业务数据直接传输到局端设备，局端设备提供给用户多种业务，比如：上网、高清VOD点播、电视直播等。

对于交换机，各个局端设备用报文携带不同的VLAN通过交换机一层一层传给互动点播网络中的上层业务通信服务器，如Internet网或VOD点播系统，将用户的上网或点播请求告知上层业务通信服务器。上层业务通信服务器返回相应的上网、点播业务数据，交换机设备再将上网、点播业务数据分发到指定的局端设备上。可见交换机设备的工作主要就是承上启下。

现有的广电网络中的交换机设备具有一个上行口与多个下行口，参见图2，上行口接入ONU设备，下行口port1~8对应接入8户家庭的EOC局端设备，上行口与各个下行口之间可以进行数据交换。

如前所述，广电现网的上网、高清VOD点播和电视直播都是利用VLAN来划分各自的功能邻域，若图2中的port1和port2都开通了高清VOD点播，那么port1和port2都要加入高清VOD点播所在的VLAN组，例如VLAN A组。此时，port1和port2下接的用户即可以在高清VOD点播所在的VLAN A组里互访，图2中用虚线标示出了port1与port2之间的这种潜在的通信通道。然而出于网络安全的考虑，这是不允许的，必须把VLAN内成员端口进行隔离。

现有的交换机会用VLAN QinQ功能解决该问题，但具备VLAN QinQ功能的交换芯片的价格都不低。对二层交换机而言，稳定性和实现上述简单功能满足要求即可，所以在设计时都会尽量采用一些很低成本的交换芯片。

那么如何在这些低成本的交换机上实现VLAN内成员端口隔离是急需解决的问题。

技术实现要素：

本发明所要解决的技术问题是：针对上述存在的问题，提供一种支持VLAN内成员端口隔离的交换方法及交换机。

其中方法包括：

步骤1：设定交换机的上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个VLAN功能域；为过滤端口分配固定的MAC地址；

步骤2：开启各个下行口的vlan tunnel功能；

步骤3：建立交换机内部的端口映射机制：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。

进一步，上行口与互动点播网络中的ONU设备连接。

进一步，下行口与EOC局端设备连接；各个EOC局端设备分属不同的住户。

进一步，所述交换机具备Qvaln模式。

进一步，所述上行口被配置为trunk vlan，下行口及过滤端口被配置为access vlan。

本发明还提供了一种支持VLAN内成员端口隔离的交换机，包括上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个vlan功能域；为过滤端口分配固定的MAC地址；各个下行口的vlan tunnel功能为开启状态；

所述交换机按照以下机制转发报文：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明在原有交换机Qvaln模式上，利用端口的vlan tunnel功能，实现VLAN内成员端口的隔离。vlan tunnel功能原本是用于交换机端口垮不同VLAN组通信的一种方法手段，其目的是让分属不同VLAN的端口可以相互通信。

本发明将交换机上一端口悬空，即不连接任何设备，作为过滤端口（我们称它为黑洞端口，不呈现给用户），相当于在交换机上预留的一个空交换口，为过滤端口绑定一静态MAC地址，把交换机上下行口互访的报文通过Valn tunnel功能转向到过滤端口，由于黑洞端口是悬空的，所以报文被丢弃。从而无需增加VLAN QinQ功能的芯片，利用普通交换机原有的功能即可实现同VLAN中端口的隔离，有效防止某些用户对其他用户的恶意攻击。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为现有的广电网络拓扑图。

图2为现有的交换机连接及交换映射关系示意图。

图3为本发明中交换机各个端口连接及交换映射关系示意图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

参见图3，本发明在普通交换机的Qvlan模式上，启动下行口的vlan tunnel功能，并设定过滤端口实现了同VLAN功能域中端口之间的隔离，具体手段如下：

首先，设定交换机的上行口、多个下行口以及过滤端口，这些端口都是交换机上的通信端口，将不同的端口分别配置则可得到上述三类端口，优选的，将上行口配置为trunk vlan，那么上行口可以接收和发送不同VLAN功能域的报文，将下行口、过滤端口都设置为access vlan，本实施例中下行口port1、port2均属于高清VOD点播VLAN功能域，过滤端口不属于该VLAN功能域。其中上行口与广电网络中的互动点播网络连接，连接方式参见图1。多个下行口分别与各个局端设备连接，也参见如1。过滤端口悬空，并为过滤端口分配固定的MAC地址。

因为要建立下行口与过滤端口的跨VLAN数据交换，因此需要开启过滤端口及各个下行口的vlan tunnel功能。

建立交换机内部的端口映射机制：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。原本是下行口之间交换的报文全部都定向到过滤端口，由于过滤端口是悬空的，那么定向到此端口的报文全部丢弃，从而达到了下行口之间不能交换数据的功能，达到隔离的效果。

更具体的，先收集各个局端设备的MAC地址，开启交换机的MAC学习功能，使交换机“记住”上述端口映射机制，然后关闭学习功能开启交换机的Qvaln模式，这样就设定好了上行口与下行口相通，下行口与过滤端口相通，下行口之间不相通。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。