建立网络中的接续的制作方法

专利名称：建立网络中的接续的制作方法
背景技术：
本发明涉及网络，特别是涉及在网络中建立接续(connectivity)。
某些网络限制接续是因为安全的需要或者是为了减少网络的业务量。因而网络中的一些站点被允许相互通信，而另一些站点则不允许相互通信。通过在允许通信的站点(station)间建立物理通信链路和不在不允许通信的站点间提供物理链路可以实现允许接续或禁止接续。然而，这是不现实的，因为对于每一组接续限制需要物理链路的单独配置。因此，已经开发了一种通过向适当的网络设备发送命令来建立或改变网络接续的技术。
这种技术在

图1和图2中示出(这些附图还图示了本发明的某些方面，因而这些方面不是现有技术)。网络110是适合互连大机构(1argeorganization)的企业网络。网络110包含“层2域”116P,116Q,116R,116S,116T。(术语“层2”指D.Bierer等人所述的OSI(开放系统互连)参考模型的数据链路层，参见“NetWare 4 for profes sionals(专业网件4)”，1-9页，这里列入作为参考)。属于相同的层2域的116的站点124(例如，域116P中的站点124.1,124.2)可以使用它们的MAC地址(“层2”地址)相互通信。MAC(媒体访问控制器)地址是烧制(burn)在站点的网络接口卡(NIC)中的或者通过设置NIC交换机建立的一个物理地址。域116的部分或全部可以包括一个或多个网络交换机128(与NIC交换机不混同)。每个域116的交换机128使用站点的MAC地址在站点124之间发送业务量。
仅使用MAC地址，不同层2域中的站点(例如，站点124.1,124.3)是不能进行相互通信的。它们使用它们的为逻辑地址的IP地址进行通信。路由器130.1,130.2,130.3根据站点的IP地址在各个域116之间路由传送业务，必要时在IP地址与MAC地址之间进行转译。
在某些域116之内，使用虚拟LAN(或VLAN(虚拟局域网))可以限制接续。例如，域116P包含三个VLAN 140a、140b、140c(图2)。只有当域116P中的站点124属于相同的VLAN时，域116P中的站点124才可以在层2上相互通信(即，使用它们的层2地址)。因而，如图1所示，由于站点124.1、124.2属于VLAN 140a，因此可以通信。
VALN由LAN交换机128实现。具体地说，交换机128将仅在相同的VLAN内的站点之间发送包。(交换机128被称作“VLAN能用”，因为它们能够把业务限制在VLAN上。某些层2域，例如，域116S或116T，可以不包含VLAN能用交换机。)不同的层2域之间的接续由路由器130限制。路由器130根据IP地址来使用确定接续限制的存取控制表(ACL)。参见，例如，K.Siyan和C.Hare所著的“互联网防火墙和网络安全”，(1995)187-192页。
对于网络管理者来说，创建存取控制表和确定VLAN可能是一种容易混淆和费事的处理。该处理必需在动态网络环境下经常重复，在该环境中站点、用户和网络服务从一处移动到另一处，或从一个机构传递到另一个机构而不是物理地移动，或者增加或删除。
因此，人们希望更加方便地在网络中建立接续。
概述本发明提供了一种建立和限制网络接续的新方法和系统。一些实施例允许容易地创建VLAN和存取控制表。
在一些实施例中，存取控制表由一个管理站创建。管理站接收接续组的确定(definition)。每个接续组是一组子网络。业务(traffic)被限制(被允许)在每个组内。在一些实施例中，每个子网络被标识为IP子网络。管理站依据确定接续组的信息来创建存取控制表。
在一些实施例中，管理站还接收共享子网络的识别，并生成允许在任何接续组的任何共享子网络与任何子网络之间的业务的ACL(存取控制表)。
在一些实施例中，管理站通过适当地配置域来创建子域，比如VLAN。为了配置这些域，网络管理者为每个接续组输入确定属于该组的业务的信息。这种信息的实例是属于同一接续组的实体(比如，交换机的端口，或网络站点的MAC地址，或用户登录时指定的用户名)的列表。来自不同接续组的实体不允许进行通信。一个接续组可以包含来自不同的层2域的实体。可以把各实体分配给接续组，而不需要指定实体属于哪个VALN。管理站确定同一组中的那些实体属于一个单域，并把这些实体放入适当的VLAN中。
在一些实施例中，标识接续组中业务的信息包括层2包的比特值。
本发明不局限于层2域或者交换机或者路由器。本发明的其它特点和优点将在下文中说明。本发明由附带的权利要求书确定。
附图的简要说明图1是根据本发明建立接续的网络的方框图；图2是示出图1的网络中的VLAN和路由器接口的方框图。
优选实施例的详细说明网络110包括五个层2域116。这些域被称为“层2”，因为每个域内的包寻址是根据OSI参考模型层2(数字链路层)上的包内容执行的。路由器130基于层3(网络层)上的包内容路由发送业务。特别是，IP地址是层3地址。然而，本发明不局限于层2或层3或符合OSI参考模型的网络。
域116P包括根据MAC地址发送业务的VLAN能用交换机128.1、1 28.2。这些交换机通过干线(trunk)150.1相互连接。每个交换机具有一个或多个端口，其每一个与一个网络段相连接。因而，交换机128.1的端口160.1与包含站点124.1的网络段相连接。交换机128.2的端口160.2与包含站点124.2的网络段相连接。在图1中，每个网络段包含一个单站点。在一些实施例中，一个网络段包含多个站点。
交换机128.1的端口160M连接用来以下述方式创建接续的管理站124M。
交换机128.1通过干线150.2连接路由器130.1。路由器130.1连接路由器130.2、路由器130.3、和互联网170。路由器130.2连接路由器130.3。路由器130.2通过干线150.3连接域116Q的VLAN能用交换机128.3。域116Q还包括VLAN能用交换机128.4、128.5、128.6，它们与交换机128.1、128.2类似，其每一个与一个或多个网络段相连接。只有包含站点124.3的网络段被示出。域116Q的交换机128也相互连接。
路由器130.2与层2域116T相连接。
路由器130.3连接到域116R的VLAN能用交换机128.7以及连接层2域116S。交换机128.7类似于交换机128.1、128.2也连接网络段(未示出)。域116S、116T包括零个或多个交换机(未示出)。
在一些实施例中，一个或多个域116没有任何交换机或者有非VLAN能用交换机、网络集线器(hub)或集线器(concentrator)。
如上所述，不同域之间的通信使用IP地址。例如，为了把包发送给站点124.3，站点124.1分别把站点124.3的IP地址和路由器130.1的MAC地址插入该包中作为逻辑和物理目的地地址。路由器130.1用路由器130.2的MAC地址替代目的地MAC地址，并用路由器130.1的MAC地址替代站点124.1的源MAC地址。然后，路由器130.1把该包发送给路由器130.2。路由器130.1用它自己的MAC地址替代该包中的源MAC地址，并用站点124.3的MAC地址替代目的地MAC地址，并把该包发送给交换机124.3。交换机128.3经交换机128.5向站点124.3发送该包。
域116P包括不重叠的VLAN 140a、140b、140c(图2)；域116Q包括不重叠的VLAN 140d、140e、140f；域116R包括不重叠的VLAN 140g、140h、140i。VLAN中的站点成员由连接站点的交换机端口160、或者由站点的MAC地址、或者由用户在站点上登录的用户名确定。基于端口或MAC地址建立VLAN成员的技术在G.Held所著的“virtual LANsConstruction,Implementation,and Management(虚拟局域网结构，实施，和管理)”(1997)中公开，参见其中的233-249页。
用用户名建立VLAN成员的技术在附录A中公开。另外还可以参见J.Ekstrom等人于1997年4月提交的名为“User-Based Binding of NetworkStation to Broadcast Domains(基于用户的网络站点与广播域的连接)”的美国专利申请08/832,011，这里作为参考文件引出。在一些实施例中，VLAN140组合由端口标识的站点、由MAC地址标识的站点、和/或由用户名标识的站点。
域116S或116T可以包含或可以不包含任何VLAN。
管理站124M属于VLAN140b。站点124M可以与任意的交换机128和任意的路由器130通信。
在一些实施例中，(1)所有的交换机128是可以从位于加利福尼亚州的San Jose的Cisco(思科)有限公司得到的CatalystTM型交换机；(2)路由器130是可以从Cisco有限公司得到的路由器，并且记载在可以从Cisco有限公司得到的文件中，零件号为78-2040-01，这里作为参考引出。
网络110包含接续组，它可以包含处在不同的域116中的实体(非干线交换机端口160，MAC地址，或用户名)。例如，接续组可以由VLAN140a、140d、140g中的所有实体组成。允许在同一接续组中的实体之间进行通信，但禁止在不同接续组中实体之间进行接续。特别是，交换机128和路由器130将不从一个接续组中的站点124向另一个接续组中的站点124发送包。
众所周知，VLAN是广播域(这里，还称作“层2广播域”或“层2BD”)。与此相反，接续组不一定是广播域。因此，广播和多点广播(multicast)业务被限制为单VLAN。
这里，还把VLAN称作“虚拟广播域”或VBD。VBD是不必在网络中改变物理连接(例如，电缆连接)就可以确定的广播域。
管理站124M包含用于存储程序和数据的存储器192，还包含用户接口装置194，比如键盘、屏幕、和/或其它接口装置。
附录B示出了在某些实施例中创建接续组的处理(特别是创建VLAN 140和路由器存取控制表)。下面将依据图1的VLAN的实例和下列的三个接续组说明该处理组1由VLAN140a、140d和140g组成；组2由VLAN140b、140e和140h组成；该组将被指定为包含管理站124M的管理接续组；组3由VLAN40c、140f和140i组成。
在某些实施例中，层2域116S是广播域。附录B的处理使与116S形成为允许与任何接续组通信的共享IP子网。注意，每个层2广播域是IP子网或IP子网的组合。
附录B的处理留下层2域116T和关联的子网“不管理”，即，不为相应路由器的接口创建ACL，此外，未在由该处理创建的任何ACL中明示提及子网116T。因此，域116T可以接收来自任何接续组的业务，但从域116T到任何接续组的业务将被路由器130滤除(阻塞)。
在某些实施例中，单个的层2域包括管理和未管理的子网。
附录B的处理可以在任何VLAN或接续组已经在网络10中建立之前或之后执行。在某些实施例中，首先执行附录B的处理，以建立包含整个域116(也许，共享的和不管理的诸如域116T、116S的域除外)中的所有通信实体的单个的“管理接续组”。管理组使管理站124M能够与所有的交换机或路由器通信。然后执行附录B处理或附录G的维护处理，以建立上述的组1、2、3或任何其它的组。用能够与交换机或路由器通信的管理站建立这样的组是很方便的。
或者，只有交换机128和管理站124M被放入管理接续组中。在某些实施例中，只有交换机128的那些端口被放入需要的管理接续组中，以允许管理站124M与所有的VLAN能用交换机和所有的路由器通信。
在下述的实施例中，假定当附录B处理开始启动时没有管理接续组。
在附录B的处理开始启动之前，配置每一个路由器130，以便把一个或多个IP子网分配给每个路由器接口210(图2)。(需要说明的是，对于某些Cisco文件所称的“子接口”我们使用术语“接口”)。当附录B的处理完成之后，每个路由器130都将有连接路由器的域116中的每个VLAN的一个分离的接口。
需要说明的是，由于每个VLAN140是一个子网或诸多子网的组合，因此路由器基本上是根据VLAN作出发送的决定，即使路由器软件不明示地知晓VLAN。路由器经路由器的干线端口(例如干线端口220)连接域，每个接口是干线端口的逻辑子端口。
众所周知，交换机和路由器的干线端口(即，与互连交换机或交换机和路由器的干线150相连接的端口)传送多VLAN的业务。经过干线端口的业务使用中继(trunking)协议，其中每个包被封装在标有该包所分配到的VLAN标识的一个更大的包中。如果VLAN成员由端口确定而不是MAC地址确定，则VLAN标签允许接收交换机128识别包的VLAN。
路由器130理解中继协议，于是在相同的干线端口上处理来自不同VLAN的业务，就好像来自每个VLAN的业务已经到达分配给VLAN的分离端口。
某些实施例在路由器与层2域之间使用分离的物理连接来替代干线，以便传送分离的VLAN的业务。
每个接口具有由接口处理每个子网络中的网关地址。网关地址是子网中的路由器的网关地址。
附录C示出了在存储器192中由附录B的一些步骤创建的数据库。
在步骤M5(附录B)，网络管理器向管理站124M提供网络110的IP地址范围。在附录B的实例中，地址范围是10.0.0.0/8。在网络110中，每个子网具有255.255.255.0的子网掩码。
IP地址范围和子网具有格式10.0.0.0/8(子网掩码具有8个最高有效1’s，后面是所有的0’s)或者作为IP地址(10.0.0.0)和网络掩码(255.0.0.0)的组合。
管理站124M把网络110的IP地址范围输入它的数据库，如附录C中的I1所示。
如附录B所示，步骤M7由管理者(administrator)执行。站点124M创建数据结构I2(附录C)。附录C中的这一信息以及其它信息在不同的实施例中进行不同的组织。例如，在某些实施例中，条目I2-1(交换机地址)被存储作为用于每个域的地址表。在其它实施例中，同样的信息被存储为地址和相应域的对(偶)。其它的数据结构用于其它的实施例。
在步骤M10中，网络管理者确定VLAN 140。确定VLAN包含向站点124M和向相应域116中的每个交换机128提供VLAN标识符。VLAN标识符是交换机128可理解的标识符，即，VLAN号。交换机128.1、128.2的每一个接收VLAN140a、140b、140c的标识符；交换机128.7接收VLAN 140g、140h、140i的标识符，等等。对VLAN的确定不包含确定属于每个VLAN的实体(端口、MAC地址或用户名)。
在某些实施例中，管理者把VLAN标识符直接输入到每个交换机128中。在其它实施例中，管理者把VLAN标识符送入每个域116的控制交换机128中。该控制交换机把该标识符发送给同一域中的其它交换机(如果有的话)。在其它实施例中管理者使用(例如)远程网(Telnet)或SNMP协议从站点124M远程地向交换机128提供该信息。
站点124M把该信息存储到它的数据库中，如附录C中的I3所示。
在步骤M14，网络管理者把信息I4(附录C)送入站点124M。在图1和2中，分离的子网被分配给每个层2BD，以便在层2BD与IP子网之间有一对一的对应关系。子网在图2和下列的表1中示出
表1
在某些实施例中，多个子网被分配给层2BD。
使用子网地址/子网掩码符号或子网地址和掩码符号中的各个数字1向站点124M提供子网。
此外，在步骤M14中，网络110被配置为从相应的IP子网分配每个VLAN中的IP地址。因而，在某些Windows NTTM实施例中，DHCP服务器被配置为在相应子网中分配IP地址。(Windows NT在R.Sant’Angelo等人的“WindowsNT Server Survival Guide(视窗NT服务器生存指南)”(1996)中公开，这里作为参考引出)。在某些实施例中，DHCP服务器被连接到路由器130的一个子网上。路由器被配置为从直接连接该路由器的所有子网向该DHCP服务器发送DHCP请求。在其它实施例中，分离的DHCP服务器被设置在每个子网上。
在步骤M20，对于每个接续组，管理者把是该接续组成员的IP子网(即，是接续组成员的层2BD的部分的IP子网)输入到站点124M中。因而管理者输入用于接续组1的VLAN 140a、140d、140g中的子网；输入用于组2的VLAN 140b、140e、140h中的子网；和输入用于组3的VLAN 140c、140f、140i中的子网。或者，对于每个接续组，管理者输入接续组的层2BD成员的标识。在任一种情况下，为了产生可以从管理站124M到达的每个路由器，管理者可以输入将是管理接续组的成员的IP子网。在某些实施例中，每个路由器至少有一个共享子网中的网关IP地址或者一个管理接续组的子网号。
某些实施例不需要每个路由器是可从管理站到达的。因此，在某些实施例中，仅直接连接不管理的子网和其它路由器的路由器不必是可到达的(reachable)。
条目I5(附录C)在步骤M20上创建。
如果多个子网被分配给一个单层2BD，则它们全部被分配给同一接续组。
在步骤M30，管理者把属于每个接续组的实体输入站点124M。条目I6(附录C)被创建。例如，对于接续组1，管理者输入交换机端口160.1、160.2、160.3(假定连接端口160.3的站点124.3属于VLAN140d)，和其它端口，MAC地址，和/或属于VLAN140a、140d、140g的用户名。在一些实施例中，管理员不必记住这些端口、MAC地址或用户各是属于哪个域或VLAN的。
在站点124M中，用可以由管理者分配的标签来标识端口160，以便易于引用。例如，如果一个端口连接一个使用用户名Fred的站点124，则管理者可以把标签“Fred”分配给该端口，并且可以在步骤M30把分配该端口的“Fred”输入到接续组中。把MAC地址分配给接续组的情况也类似。
在步骤M40，管理者把信息I7和I8(附录C)输入到管理站124M中。
在步骤M45，站点124M创建VLAN140，把每个实体放入适当的VLAN中，如附录D所示。在附录D中，括号中的数字指出在附录D的相应步骤中使用的附录C的数据库条目。
在附录D中，如果接续组的实体E是VLAN能用交换机的端口160(步骤V1)，则该实体仅被放入端口归属的域116的VLAN中。与此相反，如果实体是MAC地址(步骤V2)或用户名(步骤V3)，则实体被放入接续组的每个VLAN中。在MAC地址的情况下，这允许具有该MAC地址的站点在任何一个域116中连接，该域116包含该接续组中的一个VLAN。因此，具有接续组1中的MAC地址的便携计算机(例如，膝上型计算机)可以连接域116P、116Q、116R。如果计算机连接到域116P，则接收含有该计算机的MAC地址作为源地址的包的交换机128.1、128.2将把该计算机放入VLAN 140a中。相似地，如果计算机连接到域116Q，则把它放入VLAN 140d中，等等。
同样地，用户名被放入接续组的每个VLAN 140中。如果用户在域116P中登录，则要求UBNC服务器将用户切换到适当的VLAN的一个请求将从域116P发出。例如，如果用户名在接续组1中，则VBNC服务器将分别在VLAN140d或140g中放置该用户。
在步骤V3，“实施例1”不要求让UBNC知道任何关于接续组的情况。站点124M告诉UBNC服务器把哪个VLAN分配给每个域116中的用户名(步骤V3-2)。在实施例2中，UBNC服务器知道VLAN属于哪个接续组(这一信息可以直接提供给UBNC服务器，或者远程地例如从站点124M提供给UBNC服务器)。因此，在实施例2的步骤V3-1上，站点124M不通知UBNC服务器把VLAN分配给用户。当用户登录时，UBNC服务器确定来自用户接续组的用户VLAN和来自登录发生的域116的用户VLAN。由于UBNC数据库包含与每个域116中的每个VLAN相关联的IP子网，因此域116依据用户的IP地址确定。在某些实施例中，UBNC服务器在管理站124M上运行。
在步骤M50(附录B)，站点124M通过执行附录E所示的程序创建路由器存取控制表。分离存取控制表是为接续组的子网成员所直接连接到的每个路由器接口创建的。下面将根据从路由器130.2到VLAN 140e的接口210的实例说明附录E的程序。
对于每个路由器接口，如果如果相应的子网属于一个接续组，则步骤A1至步骤A5创建诸如附录F所示的存取控制表。附录F中的线路号(例如，AL1-1)对应于附录E的步骤号。因而，步骤A1(附录E)创建线路AL1-1，步骤A2创建线路AL1-2a和AL1-2b，等等。
附录F使用可从Cisco有限公司(加尼福尼亚州，San jose)得到的某些路由器所采用的句法(syntax)。该句法在K.siyan和C.Hare的“互联网防火墙和网络安全”(1995)中公开，这里作为参考引出。线路号(比如AL1-1)不是存取控制表的部分。此外，开始于惊叹号(！)一直到行终点的正文是被路由器忽略的注释。这些注释在某些实施例中被省略。
步骤A1创建允许业务从每个共享子网比如子网116S到接口210的线路。程序向存取扩展表写入单词“存取表”，存取控制表号码(在某些实施例中由程序本身顺序生成)，单词“允许ip”，共享子网的IP地址，和0.0.0.225的通配符掩码。(与输入的包IP相比，通配符掩码中的0比特表示源IP地址的对应比特被路由器使用，通配符掩码中的1比特表示未被使用。)线路AL1-1中的通配符掩码0.0.0.225通过倒置子网掩码来确定。
步骤A2创建线路，比如线路AL1-2a、AL1-2b，以允许业务来自同一接续组中的每个其它子网(例如，层2BD)。线路AL1-2a允许业务来自子网10.1.2.0/24(VLAN 140b)。线路AL1-2b允许业务来自子网10.3.2.0/24(VLAN140h)。
步骤A3创建线路AL1-3，它拒绝来自网络110中所有其它站的业务。(需要说明的是，当路由器接收一个包时，路由器测试起始于存取控制表的开头的包。当适用于该包的线路被发现时，忽略该存取控制表的其余部分。)通配符掩码通过倒置网络110的IP地址范围掩码来获得。
步骤A4创建线路AL1-4，它允许业务来自网络110之外的任何站点，包括来自互联网170的业务。
在某些实施例中，在步骤M50之前，管理者为接续组中的每个子网表明管理站124M是否允许业务从互联网传送到子网。如果业务被拒绝，则省略用于相应接口的步骤A4，步骤A3创建“拒绝任何ip”线路，而不是创建线路AL1-3。
步骤A5的执行如附录E所示。
如果路由器接口不连接到接续组的BD成员，而是连接到共享或不管理子网(例如160S)或互联网170，则不创建ACL，使该子网或互联网可从任何其它子网访问。
在某些实施例中，在附录B的步骤M40上，管理者指定将要为每个共享子网提供什么样的访问，并且附录E的处理使用公知的方法创建适当的存取控制表。例如，如果共享子网仅仅是可从网络110内访问，则存取控制表将包括以下线路，诸如访问表1允许ip(access-list 1 permit ip)10.0.0.0 0.255.255.255访问表1拒绝ip任何(access-list 1 deny ip any)在其它实施例中，这种功能由路由器130.1或某些其它装置(未示出)中实施的企业级防火墙提供。
管理站124M指令每个路由器130删除现有的存取控制表并换上新的存取控制表。
某些实施例允许网络管理者把附加命令插入存取控制表中。因而，在某些实施例中，在步骤M50之前，管理者可以为每个子网指定要插入到对应接口的存取控制表中的附加项目(terms)。具体地说，管理者可以指定在步骤A1之前插入的项目、在步骤A2与A3之间插入的项目、在步骤A3与A4之间插入的项目、和在步骤A4之后插入的项目。在某些实施例中，该技术被用来将防火墙功能并入存取控制表中，从而消除使用分离的企业级防火墙的需要。
在某些实施例中，步骤M10和M20被省略。在步骤M45，对于每个接续组，管理站124M在具有VLAN能用交换机和具有一个或多个接续组实体的每个域116中创建一个VLAN，并把该实体放入VLAN中。(这样，如果域具有接续组中的端口，或者如果接续组包含MAC地址或用户名，则在域中创建一个VLAN。)站点124M还把IP子网(例如，10.1.1.0/24)分配给每个VLAN。
在某些实施例中，VLAN成员资格用端口、MAC地址或用户名之外的其它标准确定。因而在某些实施例中，VLAN成员资格根据包内容来确定，例如，根据层2包中的一定比特值来确定。当交换机128接收一个包，其中这样的比特值处于一预定组的一个或多个值中时，交换机把包的源MAC地址或包到达的端口160置入相应的VLAN中。当交换机128在连接到路由器的干线端口上传送包时，该交换机把包的VLAN号附加到该包上。在路由器130中，每个VLAN号与接口相关联。(这种关联是在接口被确定时建立的。)这样，如图2所示，具有用于每个IP子网的分离接口210，其中路由器直接连接到IP子网。接续组按类似于附录B-G的实施例的方式建立。特别是在步骤M30上，管理者为每个接续组指定规则，它确定什么包属于该接续组。例如，规则可以说明具有一定比特的一定值的包属于一定的接续组。
在某些实施例中，路由器130中存取控制表基于除了IP地址外的标准允许或拒绝业务。例如，某些标准涉及端口号。参见如W.Chenwick和S.BellovinD“防火墙和互联网安全”(1994),94-109页，这里作为参考引出。此外，某些标准规定业务来自接口而不是到达接口。在标准M50之前，管理者向站点124M提供足够的信息，以根据这种标准创建存取控制表。
在某些实施例中，为了冗余目的，VLAN 140可以连接到同一路由器的不同接口210。两个接口被分配给同一子网或两个不同的子网。各自ACL实行对两个接口的相同限制。
如果VLAN连接到不同路由器的接口，路由器之一能试图经VLAN把数据传送给其它路由器，可能把信息传送到可从另一路由器访问的其它站点。在此情况下，用于连接VLAN的接口的ACL被构成，不会不当地限制路由器之间的业务。在某些实施例中，VLAN子网被做成共享的或不管理的，并且不是任何接续组的成员。
附录G描述了在网络110中改变接续的维护处理。通过再运行附录B的处理可以完成任何改变(变化)。然而，附录G处理简化了某些实施例中的维护。
某些实施例省略了标准M50(不产生ACL)。
上述的实施例说明了本发明，但不是用于限制本发明。本发明不局限于任何特定的网络、层、交换机、路由器、操作系统、或任何其它硬件或软件。本发明不局限于企业网络。在某些实施例中，MAC地址不烧制到NIC中，而是由软件产生。在某些实施例中，附录B-G的管理软件运行在交换机128或路由器130上，而不是在站点124。在某些实施例中软件是分布式的。
在某些实施例中，域116使用不是层2协议的其它协议，路由器130根据不是层3协议的其它协议发送业务。每个域中的接续根据不是MAC地址或层2包内容的其它信息来确定，路由器130根据除IP地址外的其它信息来允许或拒绝业务。在某些实施例中，路由器130使用IPX地址。一些实施例使用D.Bierer等人的“NetWare 4 for professionals(专业网件4)”(1993)(作为参考引出)所公开的NetWare或AppleTalk网络。如所述权利要求所界定的那样，其它实施例和改进都落入本发明的范围内。
附录A基于用户的网络控制在某些实施例中，VLAN成员资格根据在站点上登录的用户来确定。在某些视窗NTTM实施例中，设置可以从所有的VLAN访问的UBNC服务器(例如，服务器是在共享子网中)。当一网络站点加电时，它被放在“缺省”VLAN中(缺省VLAN存在于每个层2域116中)。站点从服务于缺省VLAN的DHCP服务器得到IP地址。当用户登录在站点上时，该站点向UBNC服务器发送一个将该站点切换到与登录时给定的用户名相关联的VLAN上的请求。该请求包含用户名、站点的MAC地址、和站点的当前IP地址。UBNC服务器确定来自UBNC服务器数据库的相关VLAN。在某些实施例中，对于每个用户名，数据库含有相关VLAN的标识符。在其它实施例中，数据库含有由管理站提供的下列信息(A)用于每个用户名的接续组的标识符，其中用户名属于所述的接续组；(B)属于每个接续组的VLAN的标识符；(C)用于每个VLAN的相关子网。
当VBNC服务器接收到该请求时，服务器向请求站发送(1)站点是否将被切换到不同的VLAN的指示(如果用户在站点未处于缺省VLAN中时登录，则可能不要求切换；此外，如果用户在VLAN未被确定的层2BD中登录，将不执行切换)，和(2)分配给用户的VLAN的IP子网和子网掩码。然后，UBNC服务器等待站点释放它的DBCP租用。然后，UBNC服务器向交换机或包含该站点的层2域116中的交换机128发送适当的命令。这些交换机把该站点放入分配给用户的VLAN中。
在接收到来自UBNC服务器的响应之后，站点释放它的DHCP租用，然后等待一段时间以允许服务器把该站点切换到被指定的VLAN。在所述的一段时间之后，站点假定它已经被切换，于是发出用于新的DHCP租用的请求。在响应中，站点接收新的IP地址。站点对照从UBNC服务器接收的IP子网和子网掩码检查新IP。如果新IP不在子网中，则站点通过向UBNC服务器发出新的请求来重复该过程。如果在站点请求新IP时站点未被切换到指定的VLAN，则新的IP可能处在错误的子网中。
在某些实施例中，缺省VLAN被省略。在另一些实施例中，每个站点或一组地理上接近的站点被分配给分离的缺省VLAN，以限制通信直至UBNC服务器把用户切换到与它们关联的VLAN。当用户注销(Log off)时，用户站点被返回到适当的缺省VLAN。
附录B
创建接续组M5向管理站124M提供网络110的IP地址范围(例如，10.0.0.0/8)M7向管理站124M提供信息I2(附录C)。
M10确定VLANM14把IP子网分配给层2 BDM20对于每个接续组，向管理站提供该组的IP子网成员。把一个接续组制定为管理接续组。
M30把可管理的实体(端口，MAC地址和/或用户名)分配给接续组M40向管理站提供信息I7和I8。
M45管理站124M把实体放入适当的VLAN中(参见附录D)M50管理站124M创建用于路由器的存取控制表(参见附录E)附录C管理站数据库I1网络110的IP地址范围I2对于每个域116I2-1域116中的所有VLAN能用交换机128的IP地址I2-2每个交换机的非干线端口160的标识符I3用于每个域116的，域中的VLAN的标识符I4用于每个层2 BD的，BD是否为VLAN的指示，BD中所包含的IP子网。如果BD是VLAN，则是VLAN的标识符I5用于每个接续组的，属于该接续组的IP子网I6用于每个接续组的，属于该接续组的实体(端口，MAC地址，和/或用户名)I7用于每个路由器的，接口I7-1相关的子网，如果有的话I7-2指示接口是否连接VLAN能用层2域的标志I8网络110中所有共享子网的列表附录DVLAN创建对于每个接续组CG，对于接续组(I6)中的每个实体EV1如果实体E是VLAN能用交换机128的端口160V1-1发现该端口所属的域116-E(116P、116Q，116R之一)(I2-2,I2-1)V1-2发现处于接续组CG和域116-E之中的VLAN(I3,I4,I5)V1-3通过向域116-E的交换机128或者向域116-E的控制交换机128发送命令，将端口E放入VLAN中。
V2否则如果实体E是MAC地址，那么对于接续组CG中的每个VLAN(I4,I5)V2-1确定含有VLAN的域116-V(116P,116Q,116R之一)(I3)V2-2通过把适当的命令发送给域116-V的所有的交换机128或者控制交换机128，将MAC地址E放入VLAN中V3否则如果实体是用户名实施例1对于接续组CG中的每个VLAN(I4,I5)V3-1确定含有VLAN的域116-V(I3)V3-2向UBNC服务器发送VLAN标识符、域116-V的标识符、和用户名实施例2V3-1向UBNC服务器发送接续组CG的标识符和用户名附录E步骤M50创建路由器的存取控制表对于网络110中的每个路由器(I2-3)，对于路由器的每个接口(I7)，如果与接口相关联的子网属于一个接续组A1允许业务来自每个共享子网(I8)A2允许业务来自同一接续组中的每个其它子网(I5,I4)A3拒绝来自网络110中的所有其它子网的业务(I1)A4允许来自网络110外部的业务A5开放路由器上的Telnet会话，并向该路由器发送(1)取消现有的ACL的命令，如果有的话，它来自接口，即无存取组1(2)存取表；(3)命令
接口vlan_e存取组1输出这些命令使ACL分配给标签为“vlan_e”路由器接口附录F对VLAN 140e的路由器接口210的存取控制表AL1-1存取表1许可ip 10.3.4.00.0.0.255！共享子网AL1-2a存取表1许可ip 10.1.2.00.0.0.255！同样的子网！企业接续组AL1-2b存取表1许可ip 10.3.2.00.0.0.255！同样的子网！企业接续组AL1-3存取表1拒绝ip 10.0.0.00.255.255.255！网络10中的所有子网！在同一接续组之外AL1-4存取表1许可ip全部！允许访问！网络110之外附录G维护算法使子网从不管理的转换成接续组的成员如果子网具有一个以上的网关地址，则该子网不能成为一个接续组的成员。否则，如附录E所示，把子网加入到该接续组中，并且为每一个直接连接同一接续组中的子网的接口，重新产生存取控制表。
使子网从不管理的转换成共享的把子网加给共享子网的列表I8(附录C)。如附录E所示，重新产生任何接续组中一个子网所连接到的每个路由器接口的存取控制表。(将该子网加给每个ACL。)
使子网从共享的转换成不管理的从共享子网的列表I8中消除子网(附录C)。如附录E所述，重新产生任何接续组中一个子网所连接到的每个路由器接口的存取控制表。(将从每个ACL中消除该子网。)使子网从共享的转换成接续组的成员如果子网具有一个以上的网关地址，则子网不能成为接续组的一个成员。此外，从共享子网的列表I8中消除子网(附录C)，并把该子网加给接续组(附录C中的I4)。如附录E所述，重新产生任何接续组中一个子网所连接到的每个路由器接口的存取控制表。
使子网从接续组的一个成员转换成不管理的从接续组中消除子网(附录C中的I5)。消除直接连接子网的路由器接口的ACL。如附录E所述，重新产生每个直接连接同一接续组中一个子网的路由器接口的存取控制表。(该子网将从每个ACL中消除。)如果需要，消除和随后产生该子网直接连接的路由器接口的ACL，如附录E所述。(如果没有直接连接该接口的其它子网，将不产生ACL。如果有其它子网或诸多子网，则产生适当的ACL。)使子网从接续组的一个成员转换成共享的从接续组中消除子网(附录C中的I5)。消除子网直接连接的路由器接口的ACL。重新产生任何接续组中一个子网直接连接的每个路由器接口的存取控制表，如附录E所述。(子网将作为该组的成员从一些ACL中消除，但作为共享子网加给每个ACL。)消除从一个接续组(“老”组)到另一个接续组(“新”组)的子网从老组中消除子网并把它加给新组(附录C中的I5)。重新产生老的或新的接续组中子网直接连接的每个路由器接口的ACL，如附录E所述。
把新的通信实体(端口，MAC地址，用户，等等加给接续组(参见步骤M30)管理者指出新的实体应当归属的接续组。
端口160。该端口与交换机128相关联，交换机128是层2域116的自身部分。在给定的层2域中，选择的接续组与特定子网相关联，是对特定VLAN的自身限制。当端口被分配给接续组时，执行步骤V1(附录D)以把该端口放入是层2域中的接续组的一个成员的VLAN中。需要说明的是，通常随着当多端口模块被加到交换机上时或者当整个交换机被加到网络上时，各端口被加入到各组中。在这些情况下，整套新端口被加入到由管理者选择的一个接续组中。如果需要，管理者可以逐一改变端口的分配。
MAC地址。就具有一个端口的情况而言，在特定的层2域内，所选择的接续组与子网/VLAN对相关联。对于每个层2域，步骤V2(附录D)配置所有的交换机(或依赖各交换机容量的单个控制交换机)，使给定的MAC地址分配给指定的VLAN。
用户。参见附录D中的步骤V3。
消除从一个接续组(“老”组)到另一个接续组(“新”组)的通信实体(端口，MAC地址，用户)(参见步骤M30)端口160。端口与VLAN能用交换机128相关联，交换机128本身是层2域的部分。在层2域中，老的和新的接续组与特定子网相关联，它是对特定VLAN的自身限制。(如果在属于新接续组的层2域中没有子网，则不产生变化。)管理站124M改变对新VLAN的端口VLAN分配。
MAC地址。就具有一个端口的情况而言，在特定层2域内，新接续组与子网/VLAN对相关联。对于每个层2域，站点124M将配置所有的交换机(或依赖交换机容量配置单个控制交换机)，使给定的MAC地址分配给指定的VLAN。如果没有对应于特定层2域的期望接续组的子网，则不产生用于层2域的MAC地址的VLAN分配。如果作为移动结果或者由于MAC地址被分配给插入层2域的膝上型或移动计算机使MAC地址出现在层2域中，则该交换机采取当未知MAC地址出现时它通常所采取的任何操作。
用户。参见附录D中的步骤V3增加新的路由器接口/VLAN/子网如果新路由器接口210没有直接连接的子网(没有网关地址)，那么不需要操作。否则，接口具有一个或多个网关地址和相对应的直接连接的子网。对于每个直接连接的子网1．如果子网已经是接续组的成员(因而直接连接另一个路由器的接口)，那么该子网被转换成共享子网。参见上述的把子网从接续组成员转换成共享子网的处理。
2．否则(Else if)如果子网已经被指定为共享的或不管理的，则不需要操作。
3．否则，该子网是新子网。把子网加给共享子网的列表I8(附录C)。重新产生任何接续组中的一个子网直接连接的每个路由器接口的存取控制表，如附录E所述。(该子网将加到每个ACL上，作为一个共享子网。)如果子网是在包含VLAN能用交换机128的层2域中，则一个新子网在该域中创建并且与新子网相关联。
增加新路由器新路由器130可以有多个接口。对于每个路由器接口，执行上述的为新路由器接口所列举的操作。
增加新的VLAN能用交换机新的VLAN能用交换机128被附加到层2域中，在该层2域中有一个分配给管理接续组的子网和有一个对应该组的VLAN。
如果该交换机实施基于端口的VLAN，则交换机中所有的端口和交换机的管理堆栈(stack)被分配给与管理接续组中的子网相对应的VLAN。此外，交换机被分配一个来自该子网的IP地址。例如，如果子网10.50.3.0/24是指定给管理组的层2域中的子网，以及如果VLAN是与子网10.50.3.0/24相关联的VLAN，则某一个在Cisco Catalyst5000系列交换机的主机上发出下列各项命令，以便分配给它一个管理接续组中的地址。
设置接口sc0 3 10.50.3.200 255.255.255.0 10.50.3.255当sc0是交换机的管理堆栈的指示符时，3是对应子网10.50.3.0/24的VLAN，10.50.3.200指定给该交换机的管理堆栈的子网10.50.3.200/24中的IP地址，255.255.255.0是子网10.50.3.0/24的子网掩码，10.50.3.255是广播地址。
如果交换机实施基于MAC地址的VLAN，则管理堆栈的MAC地址被分配给与管理接续组中的子网相对应的VLAN。与基于端口的VLAN相同，交换机也被分配一个来自该子网的IP地址。
增加新的接续组新的(空的)接续组可以在任何时候增加。如何把一个子网加到接续组上已经在上文中进行了讨论。
权利要求
1．一种把网络站点连接到虚拟广播域(VBD)的方法，该方法包括在一个网络上，从一个网络站点接收标识所述网络站点的用户的信息；确定用户归属的接续组，其中所述接续组包含一个或多个VBD；确定所述网络站点将要连接的一个或多个VBD，其中一个或多个VBD是所述接续组的成员；和发出把所述站点与一个或多个VBD相连接的命令。
2．根据权利要求1所述的方法，其中每个VBD是能够把广播业务限制到产生该业务的VBD的一个域的子域；接续组包含至少来自两个域的VBD；和该网络站点将要连接的一个或多个VBD是基于包含网络站点的域确定的。
3．根据权利要求2所述的方法，其中每个VBD是VLAN，并且网络站点将连接属于该接续组和属于包含该网络站点的域的VLAN。
4．一种把网络站点连接到虚拟广播域(VBD)上的结构，该结构包括接收装置，在一个网络上接收来自一个网络站点的标识所述网络站点的用户的信息；确定用户归属的接续组的装置，其中所述接续组包含一个或多个VBD；确定所述网络站点将要连接的一个或多个VBD的装置，其中一个或多个VBD是所述接续组的成员；和发出把所述网络站点与一个或多个VBD相连接的命令的装置。
5．根据权利要求4所述的结构，其中每个VBD是能够把广播业务限制到产生业务的VBD上的一个域的子域；接续组包含至少来自两个域的VBD；和该网络站点将要连接的一个或多个VBD是基于包含站点的域确定的。
6．根据权利要求5所述的结构，其中每个VBD是VLAN，并且站点将连接属于该接续组和属于包含该网络站点的域的VLAN。
7．根据权利要求4所述的结构，其中所述结构包含(1)一个计算机系统，和(2)装载到所述计算机系统中的程序，所述计算机系统和所述程序包括每个所述的确定装置。
8．根据权利要求4所述的结构，其中所述的结构是计算机可读介质，其中每个装置包括一个或多个计算机指令，计算机可读数据，或一个或多个指令和数据的组合。
9．一种为在网络域间路由发送业务的一个或多个装置创建一个或多个存取控制表(ACL)的方法，其中如果ACL被提供给这样的一个装置，则该装置使用ACL去确定什么业务在各域之间被允许和/或被禁止，所述的方法包括确定一组或多组子网络，使业务被允许在每组子网络中，其中每个子网络是一部分网络域或整个网络域，并且为每个组提供属于该组的子网络的计算机系统标识符；所述计算机系统产生一个或多个ACL，它允许在所述组中的业务。
10．根据权利要求9所述的方法，包括确定多个所述的组，其中一个或多个ACL禁止在不同组中的子网络之间的业务
11．根据权利要求9所述的方法，进一步包括接收一个或多个共享子网络的标识符的计算机系统，其中业务将被允许在这样的共享子网与任何一个所述组中的任何其它子网之间传送，其中一个或多个ACL允许在任何一个共享子网与任何一个所述组中任何子网之间的业务。
12．根据权利要求9所述的方法，其中至少一个域是能够限制所述域中的业务；和所述方法包括对于一个或多个组的每一个，计算机系统接收用于识别所述组内允许和/或禁止的业务，其中所述信息将由限制业务的一个或多个域所使用；和计算机系统配置每个能够限制业务的域，以便允许和禁止由所述信息所指定的业务。
13．根据权利要求12所述的方法，其中识别一个组内允许和/或禁止的业务的信息包括一个或多个标识符(1)一个或多个交换机的端口，其每一个在能够限制业务的域内传送业务，其中，所述端口将在所述组内传送业务，(2)属于该组的实体的物理地址，和(3)允许发送或接收组内业务的用户名。
14．根据权利要求9所述的方法，其中每个子网络标识符是地址或地址范围。
15．根据权利要求9所述的方法，其中一个或多个装置基于IP地址路由传送业务，和其中，在基于物理地址的各站点之间传送每个域业务。
16．一种为在网络域间路由发送业务的一个或多个装置创建一个或多个存取控制表(ACL)的结构，其中如果ACL被提供给这样的一个装置，则该装置使用ACL去确定什么业务在域之间被允许和/或被禁止，所述的结构包括确定装置，为计算机系统确定一组或多组子网络，使业务被允许在每个组中，其中每个子网络是网络域的一部分或者是整个网络域，该装置还是由计算机系统进行阅读的装置，计算机系统为每个组读出属于所述组的子网络的标识符；产生装置，所述计算机系统产生一个或多个允许每个组内的业务的ACL。
17．根据权利要求16所述的结构，其中所述结构包括计算机系统和装载到计算机系统中的程序，包括确定装置和产生装置的计算机系统与程序的组合。
18．根据权利要求16所述的结构，其中所述结构是计算机可读介质，它包括实现确定装置和产生装置的指令。
19．根据权利要求16所述的结构，其中当确定装置确定了多个组时，一个或多个ACL禁止不同组中子网络之间的业务。
20．根据权利要求16所述的结构，进一步包括计算机系统读出装置，用于读出一个或多个共享子网络的标识符，其中允许在任何一个组中的每个共享子网络与任何其它子网络之间的业务，其中一个或多个ACL允许在任何一个组中的一个共享子网络与任何子网络之间的业务。
21．根据权利要求16所述的结构，其中至少一个域是能够限制所述域中的业务；和所述结构进一步包括计算机系统读出装置，为一个或多个组的每一个读出识别所述组内允许和/或禁止的业务的信息，其中所述信息将被限制业务的一个或多个域使用；和由计算机系统配置每个能够限制业务的域的装置，以便允许和/或限制由所述信息指定的业务。
22．根据权利要求21所述的结构，其中识别在一个组内允许和/或禁止的业务的信息包括一个或多个标识符(1)一个或多个交换机的端口，其每一个在能够限制业务的域内传送业务，其中，其中一个或多个端口将在所述组内传送业务，(2)属于该组的实体的物理地址，和(3)允许发送或接收组内业务的用户名。
23．根据权利要求16所述的结构，其中每个网络标识符是地址或地址范围。
24．根据权利要求16所述的结构，其中一个或多个装置路由传送基于IP地址的业务，其中每个域业务在基于物理地址的站点之间传送。
25．一种在包括多个域的网络中建立接续的方法，其中至少一个域可以有所述域中所确定的子域，使所述域允许单个子域内的业务而禁止子域之间的业务，所述的方法包括确定一个或多个接续组，使业务被允许在每个组内，并且对于至少一个接续组，向计算机系统提供确定属于接续组的业务的信息；对于至少一个接续组，向计算机系统提供是接续组成员的子域的标识符；和对于至少一个接续组，计算机系统配置每一个具有接续组中的一个子域的域，使得该子域允许接续组中的业务。
26．根据权利要求25所述的方法，其中确定业务的信息包括，用于至少一个组的，下列的一个或多个的标识符(1)一个或多个端口，其每个在一个单域内传送业务，其中一个或多个端口在所述组内传送业务，(2)是所述组成员的站点的物理地址，和(3)允许发送或接收所述组内的业务的用户名。
27．根据权利要求26所述的方法，其中每个域的配置包括，对于在具有所述组的子域的一个单域内传送业务的交换机，配置交换机以便(a)允许是所述组的成员的站点物理地址之间的业务，(b)禁止是不同组的成员的站点物理地址之间的业务。
28．一种建立包括多个域的网络中接续的结构，其中至少一个域能够有所述域中确定的子域，使所述域允许单个子域内的业务，但禁止子域之间的业务，该结构包括由一个计算机系统接收确定业务的信息的装置，该业务属于一组一个或多个接续组中的每个接续组，其中业务将被允许在每个组中由计算机系统为至少一个接续组接收是所述接续组的成员的子域的标识符的装置；和由计算机系统为至少一个接续组配置每个具有所述接续组的子域的域，所以该子域允许所述接续组中的业务。
29．根据权利要求28所述的结构，其中确定业务的信息包括，用于至少一个组的下列的一个或多个标识符(1)一个或多个交换机的端口，其每一个允许一个单域内的业务，其中一个或多个端口将传送所述组中的业务，(2)是所述组的成员的站点物理地址，和(3)允许发送或接收所述组内的业务的用户名。
30．根据权利要求28所述的结构，其中所述结构包括计算机系统和装载到所述计算机系统中的一个程序，包含所有所述的装置的计算机系统与程序的组合。
31根据权利要求28所述的结构，其中所述的结构是计算机可读介质，包括实现所有所述装置的标识符。
32．根据权利要求28所述的结构，其中每个域内的业务在基于站点物理地址的站点之间传递，域之间的业务基于站点的逻辑地址传送。
全文摘要
一个网络包括许多由路由器互连的域(“层2域”)。在每个域内,业务根据MAC地址(或其它数据链路层地址)传送。路由器根据IP地址或其它网络层地址传送业务,为了限制网络接续,网络管理者指定接续组,其每个是被允许通信的一组子网络。管理者还指定属于相同组的实体(MAC地址,端口或用户名)。该实体可以处在相同的或不同的域中。计算机系统自动地创建路由器的存取控制表,以便允许或拒绝管理者所指定的业务。计算机系统还创建VLAN以允许或拒绝所指定的业务,其中每个VLAN是域的一部分或者是整个域。每个域中的接续由VLAN限制,并且域之间的接续由存取控制表限制。
文档编号H04L12/46GK1298592SQ99805592
公开日2001年6月6日 申请日期1999年4月22日 优先权日1998年4月27日
发明者托马斯·G·麦克尼尔, 约瑟夫·J·埃克斯特龙, 斯蒂芬·S·莫斯 申请人:因特纳普网络服务公司