以太网交换芯片端口互访控制的方法 【技术领域】
本发明涉及数字信息的传输,尤其涉及一种以太网交换芯片端口互访控制的方法。背景技术
在多端口以太网交换设备中,人们希望能够灵活地控制交换芯片端口间的数据互通,以保证网络数据的安全访问,尤其在电信接入环境下,对各用户间的互通数据流量更应该严格控制,以保证用户的安全接入和使用网络,同时使计费管理更加方便。
以太网主要用于局域网,是完全共享地网络,其内部的各台计算机可以任意互访。
为了解决不同用户组间的数据隔离及完全共享网络中数据流量过大的问题,国际电子电气工程师协会在以太局域网协议802.3中提出了虚拟局域网的概念和方法:将局域网划分成多个不同的子局域网,每个子局域网为一个虚拟局域网并分配一个唯一的虚拟局域网编号,一个虚拟局域网可包含部分或全部局域网上的计算机,属于一个虚拟局域网的计算机具有相同的虚拟局域网编号,它们之间可以随意互访。反之,不属于一个虚拟局域网的计算机则具有不同的虚拟局域网编号,它们之间不能直接互访。
对于以太网电信接入环境来说,每个接入网络的终端用户都是互相独立的,网络设备必须保证每个用户都不受其他用户的干扰,保证用户的网络访问安全,因而提供用户间的数据访问隔离能力是以太网电信接入设备的必备功能,同时,用户间数据访问隔离还可以为计费提供方便。
对于上述电信接入环境下的用户隔离要求,目前比较常用的方法是直接使用虚拟局域网隔离,即将每个用户划分为一个虚拟局域网,分配唯一的虚拟局域网编号从而实现用户访问隔离。
但是,采用这种虚拟局域网隔离用户,却有以下缺点:
1、需要将一个局域网段划分成多个虚拟局域网,也即,一个电
信接入的局域网段最多可以支持多少个用户,就要划分多少个局域
网并分配给相应的虚拟局域网编号,而这需要消耗很多昂贵的硬件
资源,对于目前大多数为了降低成本的以太网交换机来说都无法满
足这个要求。
2、国际电子电气工程师协会在制订虚拟局域网协议时并没有考
虑到电信接入用户数据隔离的需求,他们制订的协议规定每个局域
网段最多划分成4095个局域网,由于世界上所有的以太网设备都
必须符合该协会的标准才能互通,因此直接使用这个协议隔离用
户,则无论网络带宽有多大,每个电信接入局域网段都最多只能接
入4095个用户,才能保证每个用户分配一个唯一的虚拟局域网编
号,这将大大制约电信接入组网方案的设计。发明内容
本发明的目的在于提供一种可简单、低成本地实现用户互访隔离的以太网交换芯片端口互访控制的方法。
本发明所采用的技术方案为:这种以太网交换芯片端口互访控制的方法,其特征在于包括如下步骤:
A:在多端口以太网交换芯片的每个端口上设置端口互访控制属性,用以反映以太网交换芯片各端口对于数据交换的允通级别,这种允通级别的作用为决定在数据的交换过程中,对数据帧是予以通过还是予以丢弃;
B:将这种端口互访控制属性附加在数据帧的控制信息中;
C:在交换芯片的转发流程中,接收数据帧;
D:查询源端口的端口互访控制属性的允通级别;
E:经过正常转发流程,获得目的端口并查询目的端口的端口互访控制属性的允通级别;
F:根据源端口的端口互访控制属性的允通级别和目的端口的端口互访控制属性的允通级别,决定将数据帧予以通过或予以丢弃。
其中,允通级别的设置可以有多种方式,但无论何种方式,在数据交换中,对于相对高允通级别之间的数据交换的数据帧予以通过;而对于相对低允通级别之间的数据交换的数据帧则予以丢弃。
当允通级别分为两级时,高允通级别为全通,低允通级别为独立,在数据交换中,对于涉及全通的交换芯片端口的数据交换的数据帧予以通过,对于源端口和目的端口均为独立的交换芯片端口之间的数据交换的数据帧予以丢弃。
还可在全通与独立之间设一中间级别:组通。此时,对于涉及相对低允通级别,即组通或独立的交换芯片端口的数据交换的数据帧予以丢弃,除对于源端口和目的端口均为组通的交换芯片端口之间的数据交换的数据帧予以通过。
不管允通级别分为几级,一般来讲,低允通级别的交换芯片端口是用于连接每个终端接入用户,高允通级别的交换芯片端口是用于交换机的上行接入链路。
如在允通级别为二级时,全通的交换芯片端口用于交换机的上行接入链路,独立的交换芯片端口用于连接每个终端接入用户。
如在全通与独立之间设一组通作为中间级别时,组通的交换芯片端口可以用于为群组用户提供接入,一个交换机中有多个群组用户,就用局域网的方式将组通端口隔离开。
另外,当交换芯片的转发流程支持堆叠处理时,在堆叠处理标签中增加有相应的端口互访控制属性标记,即把数据帧的源端口属性携带在堆叠标签中通过堆叠链路与数据帧一起传递到其他堆叠设备。
本发明的有益效果为:
1.由于定义了以太网交换机端口互访控制属性,从而提供了一种
不依赖于虚拟局域网就可以控制以太网交换机端口间数据互通
能力的技术,而且这种设置对芯片转发处理过程不会产生任何
冲突,只需获得数据帧源端口和目的端口的端口互访控制属性,
根据各自的允通级别决定是使数据帧通过还是丢弃,低允通级
别的端口之间的设备不会互相干扰;
2.允通级别是由控制软件简单地设置在每个端口的寄存器中以供
使用,因此其成本非常低;
3.端口互访控制属性与虚拟局域网划分没有直接联系,从而不限
制虚拟局域网的分配和设计,组网方式非常灵活;
4.在数据交换中,相对高允通级别之间的数据交换的数据帧予以
通过,对于相对低允通级别之间的数据交换的数据帧予以丢弃,
本发明就这样实现了简单、低成本地用户互访隔离;
5.当允通级别分为全通的高允通级别和独立的低允通级别,就可
以通过端口互访控制属性实现基本的用户互访隔离;
6.当允通级别在全通与独立之间还设有一组通作为中间级别时,
就可以灵活地控制各种类型的用户互访,提高本发明的实用性;
7.低允通级别的交换芯片端口用于连接每个终端接入用户,高允
通级别的交换芯片端口用于交换机的上行接入链路,这使得这
种自定义的端口互访控制属性的使用与现有的电信接入不会产
生任何冲突,使本发明更为可行,加上以组通的交换芯片端口
可以用于为群组用户提供接入,一个交换机中有多个群组用户,
就用局域网的方式将组通端口隔离开,使本发明与现有的以太
局域网协议兼容,并且使以太网接入管理设备可以用非常少的
虚拟局域网管理所有下属的以太网接入设备及其终端用户;
8.当交换芯片的转发流程支持堆叠处理时,在堆叠处理标签中增
加相应的端口互访控制属性标记,即把数据帧的源端口属性携
带在堆叠标签中通过堆叠链路与数据帧一起传递到其他堆叠设
备,这样就使本发明可以方便地支持堆叠扩展。
总之,本发明可简单、低成本地实现用户互访隔离,组网方式灵活,与现有的电信接入不会产生任何冲突,且支持堆叠扩展。附图说明
图1为本发明数据帧转发流程示意图;
图2为本发明组网示意图。具体实施方式
下面根据附图对本发明作进一步详细说明:
根据图1和图2,在一多端口以太网交换芯片的每个端口上设置端口互访控制属性,以反映以太网交换芯片各端口对于数据交换的允通级别,允通级别分为两级:高允通级别为全通,低允通级别为独立,独立的交换芯片端口用于连接每个终端接入用户,全通的交换芯片端口用于交换机的上行接入链路。终端接入用户X和终端接入用户Y分别连接以太网接入设备B和以太网接入设备C,以太网接入设备B和以太网接入设备C的相应端口均设置为独立的端口互访控制属性,以太网接入设备A为以太网接入设备B和以太网接入设备C的上行设备,以太网接入设备A中连接以太网接入设备B和以太网接入设备C的相应端口均设置为独立的端口互访控制属性,以太网接入设备B中连接以太网接入设备A的相应端口设置为全通的端口互访控制属性,以太网接入设备C中连接以太网接入设备A的相应端口设置为全通的端口互访控制属性,因为以太网接入管理设备作为以太网接入设备A的上行设备,所以,以太网接入设备A中连接以太网接入管理设备的端口设置为全通的端口互访控制属性。在数据交换中,对于涉及全通的交换芯片端口的数据交换的数据帧予以通过,对于源端口和目的端口均为独立的交换芯片端口之间的数据交换的数据帧予以丢弃,这种端口互访控制属性附加在数据帧的控制信息中。
在交换芯片的转发流程中,如图1所示,交换芯片接收数据帧后,查询源端口的端口互访控制属性的允通级别,经过正常转发流程,查询目的端口的端口互访控制属性的允通级别,再根据源端口的端口互访控制属性的允通级别和目的端口的端口互访控制属性的允通级别,决定将数据帧予以通过或予以丢弃。
在此实施例中,如图2所示,用户X和终端接入用户Y之间不会互相干扰,从而隔离了用户X和用户Y,而且,以太网接入设备B和以太网接入设备C之间也不会互相干扰。
允通级别在全通与独立之间还可设有一中间级别:组通,对于涉及相对低允通级别,即组通或独立的交换芯片端口的数据交换的数据帧予以丢弃,除对于源端口和目的端口均为组通的交换芯片端口之间的数据交换的数据帧予以通过,组通的交换芯片端口可以用于为群组用户提供接入,一个交换机中有多个群组用户,就用局域网的方式将组通端口隔离开。
另外,当交换芯片的转发流程支持堆叠处理时,在堆叠处理标签中增加相应的端口互访控制属性标记,即把数据帧的源端口属性携带在堆叠标签中通过堆叠链路与数据帧一起传递到其他堆叠设备,这样数据帧输出时就可以同样进行端口互访控制属性检查。