日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

網(wǎng)絡(luò)設(shè)備之間的用戶隔離的制作方法

文檔序號:7914870閱讀:342來源:國知局
專利名稱:網(wǎng)絡(luò)設(shè)備之間的用戶隔離的制作方法
技術(shù)領(lǐng)域
本公開概括而言涉及計算機網(wǎng)絡(luò),更具體而言涉及例如環(huán)形拓撲(ringtopology)中的交換機之間的用戶隔離。
背景技術(shù)
諸如寬帶訂戶(例如城域以太網(wǎng))之類的訂戶(或用戶)設(shè)備經(jīng)常經(jīng)由服務(wù)提供商的收集住宅和企業(yè)訂戶流量的接入網(wǎng)絡(luò)連接到計算機網(wǎng)絡(luò),例如經(jīng)常是環(huán)形拓撲。出于安全性目的,一般期望在接入網(wǎng)絡(luò)中控制流量以防止訂戶到訂戶通信。服務(wù)提供商使用了各種方法以及各種技術(shù)和協(xié)議來隔離寬帶訂戶。例如,某些設(shè)備可實現(xiàn)UNI/NNI功能,其中基于流量的類型來轉(zhuǎn)發(fā)流量來自用戶到網(wǎng)絡(luò)接口(UNI)上的流量只被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(NNI)。雖然這隔離了同一網(wǎng)絡(luò)設(shè)備上的訂戶,但其不適用于多個設(shè)備之間的訂戶隔離。網(wǎng)絡(luò)設(shè)備也可被配置為實現(xiàn)私有VLAN(虛擬局域網(wǎng))功能以在多個設(shè)備之間提供期望的流量控制;然而,對于實現(xiàn)PVLAN施加了某些限制,例如某些硬件配置不允許使用PVLAN。


通過結(jié)合附圖參考以下描述可更好地理解這里的實施例,附圖中相似的標(biāo)號指示相同的或功能上類似的元件,其中圖I示出了示例性計算機網(wǎng)絡(luò);圖2示出了示例性網(wǎng)絡(luò)設(shè)備/節(jié)點;圖3示出了根據(jù)這里的一個或多個實施例的具有NNI-ALT的示例性計算機網(wǎng)絡(luò);圖4A-B示出了用于網(wǎng)絡(luò)設(shè)備上的用戶隔離的示例性流量轉(zhuǎn)發(fā)模式;圖5示出了具有檢測到的故障的示例性計算機網(wǎng)絡(luò);并且圖6示出了用戶隔離的示例性過程。
具體實施例方式概述根據(jù)本公開的一個或多個實施例,網(wǎng)絡(luò)設(shè)備可使其網(wǎng)絡(luò)接口被識別為被配置為與第一計算機網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)設(shè)備通信的網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(NNI)或者被配置為為用戶設(shè)備提供到第一計算機網(wǎng)絡(luò)的服務(wù)的用戶到網(wǎng)絡(luò)接口(UNI)?;诖_定用于將上行流量轉(zhuǎn)發(fā)到第一網(wǎng)絡(luò)的將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)的聚集設(shè)備的至少一個NNI,未用于轉(zhuǎn)發(fā)上行流量的任何NNI被認為是新穎的“NNI替代”(NNI-ALT)。通過拒絕UNI與NNI-ALT之間以及NNI-ALT與NNI-ALT之間的流量轉(zhuǎn)發(fā)、而許可NNI與NNI-ALT之間的流量轉(zhuǎn)發(fā),可控制網(wǎng)絡(luò)設(shè)備處流量的轉(zhuǎn)發(fā)以在網(wǎng)絡(luò)設(shè)備之間提供用戶隔離。
描述計算機網(wǎng)絡(luò)是用于在諸如個人計算機和工作站之類的末端節(jié)點之間傳輸數(shù)據(jù)的通信鏈路和網(wǎng)段所互連的節(jié)點的地理上分布的集合。有許多類型的網(wǎng)絡(luò)可用,其類型從局域網(wǎng)(LAN)到廣域網(wǎng)(WAN)不等。LAN通常通過專用私有通信鏈路來連接位于同一大體物理位置(例如一建筑物或校園)中的節(jié)點。另一方面,WAN通常通過諸如公共電信公司電話線路、光路徑、同步光網(wǎng)絡(luò)(SONET)或同步數(shù)字層級(SDH)鏈路之類的長距離通信鏈路來連接地理上分散的節(jié)點。因特網(wǎng)是WAN的一個示例,其連接全世界的不同網(wǎng)絡(luò),在各種網(wǎng)絡(luò)的節(jié)點之間提供全球通信。節(jié)點通常通過根據(jù)諸如傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)之類的預(yù)定協(xié)議交換離散的數(shù)據(jù)幀或分組來在網(wǎng)絡(luò)上通信。在此上下文中,協(xié)議由定義節(jié)點如何與彼此交互的一組規(guī)則構(gòu)成。計算機網(wǎng)絡(luò)可由諸如路由器之類的中間網(wǎng)絡(luò)節(jié)點進一步互連以擴展每個網(wǎng)絡(luò)的有效“尺寸”。
城域以太網(wǎng)是基于已知的以太網(wǎng)技術(shù)的示例性計算機網(wǎng)絡(luò)(例如通常部署在大城市區(qū)域中),并且常用于將訂戶和企業(yè)連接到更大的服務(wù)器網(wǎng)絡(luò)或WAN(例如因特網(wǎng))的接入網(wǎng)絡(luò)。典型的接入網(wǎng)絡(luò)是布置為環(huán)形(開放的或閉合的)的拓撲中的第2層和/或第3層交換機(和/或路由器)的集合,并且可通過聚集網(wǎng)絡(luò)連接到WAN(或服務(wù)提供商核心網(wǎng)絡(luò))。圖I是示例性的計算機網(wǎng)絡(luò)100的示意性框圖,該計算機網(wǎng)絡(luò)100例如包括節(jié)點/設(shè)備,比如布置成例示性的閉合環(huán)形拓撲的一個或多個交換機(或路由器)A-D,其中交換機B-D (例如網(wǎng)絡(luò)接入設(shè)備)可各自與一個或多個用戶(或訂戶)設(shè)備110互連。交換機A例如是聚集設(shè)備,將接入網(wǎng)絡(luò)120互連到WAN 130 (或如上所述的聚集網(wǎng)絡(luò))。本領(lǐng)域技術(shù)人員將會理解,在計算機網(wǎng)絡(luò)中可使用任意數(shù)目的節(jié)點、設(shè)備、鏈路等等,并且這里示出的視圖是出于簡單起見的。另外,雖然例示性示例涉及以太網(wǎng)環(huán)形拓撲,但其他網(wǎng)絡(luò)拓撲也可有利地利用這里的技術(shù),例如具有通過接入設(shè)備互連的多個用戶/訂戶和至少一個聚集設(shè)備的任何網(wǎng)絡(luò)??衫妙A(yù)定的網(wǎng)絡(luò)通信協(xié)議在計算機網(wǎng)絡(luò)100的節(jié)點/設(shè)備之間交換數(shù)據(jù)分組140 (例如流量),所述網(wǎng)絡(luò)通信協(xié)議例如是傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)、用戶數(shù)據(jù)報協(xié)議(UDP)、異步傳送模式(ATM)協(xié)議、幀中繼協(xié)議、因特網(wǎng)分組交換(IPX)協(xié)議等等。尤其,服務(wù)提供商經(jīng)常利用以太網(wǎng)技術(shù)(例如基于光纖鏈路)或數(shù)字訂戶線路(DSL)技術(shù)作為其寬帶接入網(wǎng)絡(luò)的基礎(chǔ)。圖2是例如作為交換機(或路由器)A-D的可有利地結(jié)合這里描述的一個或多個實施例使用的示例性節(jié)點/設(shè)備200的示意性框圖。該設(shè)備包括由系統(tǒng)總線250互連的多個網(wǎng)絡(luò)接口 210、一個或多個處理器220以及存儲器240。網(wǎng)絡(luò)接口 210包含機械、電氣和信令電路,用于通過耦合到網(wǎng)絡(luò)100的物理鏈路傳輸數(shù)據(jù)。網(wǎng)絡(luò)接口可被配置為利用多種不同的通信協(xié)議來發(fā)送和/或接收數(shù)據(jù),所述通信協(xié)議包括TCP/IP、UDP、ATM、同步光網(wǎng)絡(luò)(SONET)、無線協(xié)議、幀中繼、以太網(wǎng)、光纖分布數(shù)據(jù)接口(FDDI),等等。注意,物理網(wǎng)絡(luò)接口210還可用于實現(xiàn)一個或多個虛擬網(wǎng)絡(luò)接口,例如用于虛擬專用網(wǎng)(VPN)接入,這是本領(lǐng)域技術(shù)人員已知的。根據(jù)這里的一個或多個實施例,網(wǎng)絡(luò)接口 210(特別是接入交換機的網(wǎng)絡(luò)接口)可被分類(識別)為網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(或網(wǎng)絡(luò)-節(jié)點接口)“NNI”212或用戶到網(wǎng)絡(luò)接口“UNI” 216之一(注意,出于這里沒有涉及但本領(lǐng)域技術(shù)人員可明白的各種原因,某些UNI或者可被配置為增強型網(wǎng)絡(luò)接口或者說“ENI”)。對接口的類型的識別可通過各種措施來執(zhí)行,例如手動地或響應(yīng)于動態(tài)協(xié)議,或者可以是軟件分類或硬接線的(例如基于物理端口的)區(qū)分。一般地,NNI 212被配置為與接入網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)設(shè)備(例如交換機)通信,而UNI被配置為為用戶設(shè)備110提供到接入網(wǎng)絡(luò)的服務(wù)。UNI可被服務(wù)提供商在交換機上激活以允許用戶/訂戶接入到網(wǎng)絡(luò),并且作為默認的行為,將同一交換機上的用戶相互隔離。即,在交換機上拒絕UNI與UNI之間的流量轉(zhuǎn)發(fā)。訂戶安全性幫助創(chuàng)建了客戶之間的保護,因為對于多個客戶使用共享的設(shè)備可允許客戶相互影響。UNI/NNI區(qū)分從而創(chuàng)建了一種類似電路的行為以在同一交換機上將客戶的流量相互分離,其中只在NNI與UNI之間許可流量轉(zhuǎn)發(fā)(即從NNI到UNI的下行,和從UNI到NNI的上行)。設(shè)備的存儲器240包括多個存 儲單元,這些存儲單元可被(一個或多個)處理器220和網(wǎng)絡(luò)接口 210所尋址,用于存儲與這里描述的實施例相關(guān)聯(lián)的軟件程序和數(shù)據(jù)結(jié)構(gòu)。(一個或多個)處理器220可包括適合于執(zhí)行這些軟件程序和操縱這些數(shù)據(jù)結(jié)構(gòu)的必要要素或邏輯。操作系統(tǒng)242(例如,思科系統(tǒng)公司的網(wǎng)間操作系統(tǒng)或者說I0S )的一些部分通常存在于存儲器240中并且被該(一個或多個)處理器執(zhí)行,其通過調(diào)用支持在該設(shè)備上運行的軟件進程和/或服務(wù)的網(wǎng)絡(luò)操作等等來在功能上組織該節(jié)點。這些軟件進程和/或服務(wù)可包括環(huán)路防止進程244、新穎的用戶隔離進程(例如轉(zhuǎn)發(fā)引擎/控制)246以及其他進程(例如路由或交換/橋接進程,未示出)。對于本領(lǐng)域的技術(shù)人員來說很明顯的,其他類型的處理器和存儲器(包括各種計算機可讀介質(zhì)或硬件/軟件模塊)也可用于存儲和執(zhí)行與這里描述的發(fā)明技術(shù)有關(guān)的程序指令。環(huán)路防止進程/服務(wù)244包含由處理器220執(zhí)行來執(zhí)行諸如彈性以太網(wǎng)協(xié)議(REP)之類的一個或多個環(huán)路防止所提供的功能的計算機可執(zhí)行指令。(注意,雖然REP是環(huán)路防止協(xié)議的一個示例,但根據(jù)這里的技術(shù)可使用本領(lǐng)域技術(shù)人員已知的其他協(xié)議,而REP只是一個例示性示例。)REP是提供快速收斂和環(huán)路避免的一種已知協(xié)議,例如用于開放或閉合環(huán)形拓撲網(wǎng)絡(luò),特別是用于以太網(wǎng)和第2層拓撲。REP通過交換協(xié)議消息(分組)以相應(yīng)地確定一致同意的拓撲來控制沿著拓撲的哪些端口/接口被阻止(處于阻止?fàn)顟B(tài)中)。尤其,REP是一種網(wǎng)段協(xié)議,其定義了定向轉(zhuǎn)發(fā)來到達聚集(或聚集器)設(shè)備“A”。一旦拓撲已收斂(獲知了 MAC地址等等),進入接入網(wǎng)絡(luò)120的訂戶流量從而就只在一個方向上朝著聚集設(shè)備A被轉(zhuǎn)發(fā)以便到達網(wǎng)絡(luò)130 (WAN等等)。轉(zhuǎn)接節(jié)點(設(shè)備200)朝著面向聚集設(shè)備的NNI(例如邊緣端口)而不是面向替代(被阻止)端口的NNI轉(zhuǎn)發(fā)訂戶上行流量,其中端口的方向是由REP確定的。另外,如上所述,訂戶上行流量(在UNI上從訂戶/用戶接收的要進入網(wǎng)絡(luò)120/130中的流量)不應(yīng)被轉(zhuǎn)發(fā)到同一設(shè)備上的其他UNI端口。另一方面,訂戶流量下行流量(來自網(wǎng)絡(luò)130經(jīng)由聚集設(shè)備A到訂戶/用戶)可被朝著任何UNI接口轉(zhuǎn)發(fā)(例如,其中轉(zhuǎn)發(fā)是基于存儲在設(shè)備上的MAC表中的MAC地址條目的,這未示出),或者其也可在NNI接口上被朝著替代端口轉(zhuǎn)發(fā),例如被轉(zhuǎn)發(fā)到另一接入設(shè)備以去往其UNI端口之一。此外,當(dāng)在網(wǎng)絡(luò)(例如環(huán))中發(fā)生故障時,REP調(diào)整每個受影響的網(wǎng)絡(luò)設(shè)備上的NNI狀態(tài)以考慮到網(wǎng)絡(luò)中的中斷,從而確保每個網(wǎng)絡(luò)設(shè)備仍具有到聚集設(shè)備的連通性。具體而言,在某些情形中,在某些網(wǎng)絡(luò)設(shè)備上可切換NNI是面向聚集設(shè)備還是替代端口(遠離聚集設(shè)備)以便對于那些受影響的設(shè)備將流量引向相反的方向。特別地,對于位于鏈路/節(jié)點故障和被阻止的端口之間的環(huán)中的設(shè)備,流量轉(zhuǎn)發(fā)被反轉(zhuǎn),并且與中斷前不同,上游流量應(yīng)當(dāng)繞著環(huán)在相反方向被僅發(fā)送到面向替代端口的NNI。如上所述,出于安全性目的,一般期望在接入網(wǎng)絡(luò)中控制流量以防止訂戶到訂戶通信。雖然UNI/NNI功能隔離了同一網(wǎng)絡(luò)設(shè)備200上的訂戶,但其不適用于多個設(shè)備之間的訂戶隔離。例如,再次參考圖1,假定在交換機C上,第一用戶設(shè)備110嘗試連接到第二用戶設(shè)備110。由于第一和第二用戶設(shè)備都附接到UNI,所以交換機C如上所述可防止其通信。然而,現(xiàn)在假定交換機C上的第一用戶設(shè)備嘗 試連接到交換機B上的第二用戶設(shè)備。因為來自交換機C上的第一用戶的流量到達交換機B的NNI端口,所以當(dāng)前沒有機制來防止交換機C上的第一用戶直接與交換機B上的第二用戶通信。根據(jù)本公開的一個或多個實施例,用于數(shù)據(jù)平面流量的UNI/NNI轉(zhuǎn)發(fā)原理可被擴展來在多個網(wǎng)絡(luò)設(shè)備之間隔離訂戶(例如,控制平面流量控制可被禁止/解除激活)。例如,基于替代端口和邊緣端口的位置,某些流量規(guī)則被應(yīng)用到如這里所述必須被朝著聚集設(shè)備轉(zhuǎn)發(fā)的訂戶流量。具體而言,為了控制與兩個網(wǎng)絡(luò)設(shè)備之間的鏈路相對應(yīng)的NNI之間的流量轉(zhuǎn)發(fā),引入了一種新穎的不同接口識別,其被稱為“NNI-ALT” (NNI替代)。S卩,通過確定用于將上行流量轉(zhuǎn)發(fā)到聚集設(shè)備A的(一個或多個)NNI (例如邊緣端口),不用于轉(zhuǎn)發(fā)上行流量的那些NNI (替換端口)可被視為新穎的NNI-ALT。圖3示出了圖I的示例性計算機網(wǎng)絡(luò)100(為了清晰沒有網(wǎng)絡(luò)130),其中每個NNI被區(qū)分為NNI (212)或NNI-ALT (214)。例如,由于在環(huán)形拓撲中的網(wǎng)絡(luò)設(shè)備C和D之間示出了被阻止的接口,所以每個設(shè)備的背離該阻止并且面向聚集設(shè)備的每個端口是NNI,而相反方向上的那些(遠離聚集設(shè)備并且朝著被阻止的接口)是NNI-ALT(從而,NNI-ALT始終面向網(wǎng)絡(luò)設(shè)備的替代端口)??刹僮鞯?,NNI-ALT被當(dāng)作好像它們是用于用戶流量轉(zhuǎn)發(fā)判決的UNI那樣來對待,雖然NNI-ALT不是實際面向訂戶/用戶設(shè)備的。具體而言,每個網(wǎng)絡(luò)設(shè)備上對于與新穎的NNI-ALT有關(guān)的流量轉(zhuǎn)發(fā)的規(guī)則如下-拒絕設(shè)備上UNI與NNI-ALT之間(即從UNI到NNI-ALT或從NNI-ALT到UNI)的流量轉(zhuǎn)發(fā);-拒絕設(shè)備上NNI-ALT與NNI-ALT之間(即從一NNI-ALT到另一 NNI-ALT)的流量轉(zhuǎn)發(fā);并且-許可NNI與NNI-ALT之間(即從NNI到NNI-ALT或從NNI-ALT到NNI)的流量轉(zhuǎn)發(fā)。_(注意,從控制平面角度來看,可以像NNI那樣對待NNI-ALT端口,從而允許第2層協(xié)議在這些接口上運行即,在NNI與NNI、NNI與NNI-ALT以及NNI-ALT與NNI-ALT之間許可控制平面協(xié)議流量轉(zhuǎn)發(fā))。所有其他流量轉(zhuǎn)發(fā)保持相同,具體是如上所詳述的UNI與NNI之間的流量處理。圖4A示出了通過網(wǎng)絡(luò)設(shè)備200的上行流量(即朝著聚集設(shè)備)的示例性流量模式,而圖4B示出了通過網(wǎng)絡(luò)設(shè)備200的下行流量(即來自聚集設(shè)備)的示例性流量模式。具體而言,在圖4A中,用戶上行流量410可被從UNI接收并且只被轉(zhuǎn)發(fā)到NNI (即不轉(zhuǎn)發(fā)到NNI-ALT)。在NNI-ALT上接收的(來自其他網(wǎng)絡(luò)設(shè)備200的)網(wǎng)絡(luò)流量415也可只被轉(zhuǎn)發(fā)到NNI。相反,在圖4B中,用戶下行流量420(目的地是附接到特定網(wǎng)絡(luò)設(shè)備的用戶/訂戶設(shè)備110)可被在NNI上接收并被轉(zhuǎn)發(fā)到適當(dāng)?shù)腢NI。另外,網(wǎng)絡(luò)下行流量425(目的地是另一網(wǎng)絡(luò)設(shè)備或另一網(wǎng)絡(luò)設(shè)備負責(zé)的用戶/訂戶設(shè)備)可被在NNI上接收并被轉(zhuǎn)發(fā)到適當(dāng)?shù)腘NI-ALT。在網(wǎng)絡(luò)(例如環(huán))120中發(fā)生鏈路或節(jié)點故障的情況下,根據(jù)環(huán)路防止協(xié)議的收斂和相應(yīng)的新邊緣/替代端口(朝著/遠離聚集設(shè)備A)來修改NNI狀態(tài)。例如,如圖5中所示,假定環(huán)路防止協(xié)議(例如REP)在設(shè)備和B之間檢測到故障。REP消息可被從檢測到故障的兩個端口發(fā)送,并且由于每個網(wǎng)絡(luò)設(shè)備已收斂到改變后的拓撲上(例如每個交換機在一網(wǎng)段上),所以替代端口的位置被相應(yīng)地調(diào)整。例如,網(wǎng)絡(luò)設(shè)備B和C交換其NNI區(qū)分(下劃線示出)以便繞著例示性的環(huán)在相反方向轉(zhuǎn)發(fā)流量以到達聚集設(shè)備(并且設(shè)備C和D之間的端口被解除阻止)。另一方面,網(wǎng)絡(luò)設(shè)備D不需要改變其NNI區(qū)分,因為其轉(zhuǎn)發(fā)方向保持不變。這樣,對用于轉(zhuǎn)發(fā)上行流量的NNI (面向邊緣)的確定可響應(yīng)于環(huán)路防止協(xié)議檢測到網(wǎng)絡(luò)故障而變化,并且NNI/NNI-ALT區(qū)分可相應(yīng)地動態(tài)調(diào)整。另外,一旦發(fā)生故障的鏈路/節(jié)點被修復(fù),就可發(fā)生重收斂(但不是必需的),其將面向替代的端口移回其原始位置,并且NNI-ALT可再次被調(diào)整(例如,一旦在網(wǎng)絡(luò)中確認了阻止以防止環(huán)路)。注意,網(wǎng)絡(luò)設(shè)備200的物理端口對于在該物理端口上配置的每個虛擬局域網(wǎng)(VLAN)可具有相應(yīng)的端口狀態(tài)。這樣,對于特定端口上的每個相應(yīng)VLAN(或VLAN群組),可按如上所述的方式從NNI、NNI-ALT和UUK中單獨選擇VLAN端口狀態(tài)。另外,雖然為了簡單示出了單個聚集設(shè)備A,但在接入網(wǎng)絡(luò)120中可存在多個聚集設(shè)備。這樣,網(wǎng)絡(luò)設(shè)備可被配置為確定一個或多個活動NNI,用于將上行流量轉(zhuǎn)發(fā)到每個聚集設(shè)備,以提供對這種冗余聚集層(例如,用于第3層因特網(wǎng)接入、BRAS功能、訂戶策略功能等等,這是本領(lǐng)域技術(shù)人員可明白的)的支持。例如,多個聚集設(shè)備可端接網(wǎng)段(例如不再是環(huán)),或者可進行其他布置,以使得面向聚集設(shè)備的任何NNI仍是NNI,而面向替代端口的任何NNI仍是NNI-ALT。圖6示出了根據(jù)這里描述的一個或多個實施例的用于在網(wǎng)絡(luò)設(shè)備之間提供用戶隔離的簡化示例性過程。過程600開始于步驟605,并且繼續(xù)到步驟610和615,其中特定網(wǎng)絡(luò)設(shè)備200 (例如“B”)的每個網(wǎng)絡(luò)接口 210被識別為NNI 212或UNI 216,如上所述。另夕卜,網(wǎng)絡(luò)設(shè)備在步驟620中可參與環(huán)路防止協(xié)議,例如REP。例如基于此環(huán)路防止協(xié)議(但也可使用其他技術(shù)),在步驟625中,設(shè)備可確定哪個NNI將要用于向聚集設(shè)備A轉(zhuǎn)發(fā)上行流量,即面向聚集設(shè)備的NNI,并從而將不用于轉(zhuǎn)發(fā)上行流量的NNI視為NNI-ALT,如上所述。(也要注意,如上所述,物理端口上可配置有數(shù)個VLAN,其中物理端口上的每個VLAN的相應(yīng)端口狀態(tài)可相應(yīng)地從NNI、NNI-ALT和UNI中選擇)。 一旦確定了網(wǎng)絡(luò)接口(或VLAN端口狀態(tài)),在步驟630中,網(wǎng)絡(luò)設(shè)備就可實現(xiàn)這里描述的轉(zhuǎn)發(fā)規(guī)則以在接入網(wǎng)絡(luò)中隔離用戶流量。例如,設(shè)備可拒絕UNI與NNI-ALT之間、NNI-ALT與其他NNI-ALT之間以及UNI與其他UNI之間的流量。相反,設(shè)備可許可NNI與NNI-ALT之間以及NNI與UNI之間的流量(如所述,NNI-ALT可被當(dāng)作好像它們是用于控制平面協(xié)議流量的NNI那樣來對待)。此外,如上所述,為了上述流量轉(zhuǎn)發(fā)操作正確工作,可以禁止但不是必須禁止流量的控制平面控制。在通過設(shè)備在各種類型的接口之間轉(zhuǎn)發(fā)流量的過程期間,如果在步驟635中發(fā)生改變對NNI是否是NNI-ALT的確定的事件,例如環(huán)路防止協(xié)議檢測到故障,就如上所述重新指派面向聚集設(shè)備A的接口。在此情況下,過程600返回到步驟625以繼續(xù)重新指派NNI對NNI-ALT識別,并且流量可被相應(yīng)地轉(zhuǎn)發(fā)。
例如,這里描述的技術(shù)可用硬件、軟件和/或固件執(zhí)行,例如根據(jù)用戶隔離進程246,用戶隔離進程246可包含由處理器220執(zhí)行來執(zhí)行與這里描述的新穎技術(shù)有關(guān)的功能的計算機可執(zhí)行指令,例如結(jié)合環(huán)路防止進程244來確定面向聚集設(shè)備A的端口(邊緣端口)和不面向聚集設(shè)備的端口(替代端口)。這里描述的新穎技術(shù)提供了計算機網(wǎng)絡(luò)(例如環(huán)形拓撲訂戶網(wǎng)絡(luò))中的網(wǎng)絡(luò)設(shè)備之間的用戶隔離。通過定義新的接口類型,NNI-ALT,以及與之相關(guān)聯(lián)的轉(zhuǎn)發(fā)規(guī)則,該新穎技術(shù)不僅向單個設(shè)備、而且在整個接入網(wǎng)絡(luò)間提供了訂戶接口,并且是在不使用有限可用的PVLAN技術(shù)的情況下做到這一點的。另外,這里描述的一個或多個實施例的動態(tài)方面、尤其是基于變化的網(wǎng)絡(luò)拓撲來調(diào)整NNI/NNI-ALT確定的能力,減輕了對于麻煩且低效的手動配置的需要。 雖然已示出和描述了通過防止用戶在(希望或要求用戶隔離的)接入網(wǎng)絡(luò)中相互通信來提供LAN安全性的例示性實施例,但要理解在這里描述的實施例的精神和范圍內(nèi)可作出各種其他適應(yīng)性改變和修改。例如,這里示出和描述了結(jié)合寬帶LAN使用、尤其是用于閉合環(huán)形拓撲的實施例。然而,這里的實施例在其更廣泛意義上并不限于此,而是實際上可結(jié)合開放環(huán)、網(wǎng)段、樹等等使用,只要有網(wǎng)絡(luò)端口對用戶端口的概念并且網(wǎng)絡(luò)端口是定向的(例如具有“邊緣”或“替代”識別)、因為某些網(wǎng)絡(luò)端口向上面向聚集設(shè)備(并接收來自聚集設(shè)備的下行流量)而其他的則不,即可。此外,雖然REP被示為例示性的環(huán)路防止協(xié)議,但也可使用其他適當(dāng)?shù)膮f(xié)議,例如已知的生成樹協(xié)議(STP),其中聚集設(shè)備A是STP的根設(shè)備。(換言之,面向根的網(wǎng)絡(luò)接口是“NNI”,而那些不面向根端口的是“NNI-ALT”。)以上描述針對了特定實施例。但是,將會明白,可以對所描述的實施例作出其他變化和修改,獲得其優(yōu)點中的一些或全部。例如,明確地設(shè)想了這里描述的組件和/或元件可以實現(xiàn)為存儲在有形計算機可讀介質(zhì)(例如盤/CD/等等)上的具有在計算機上執(zhí)行的程序指令的軟件、硬件、固件或其組合。因此,本說明書應(yīng)當(dāng)僅作為示例來理解,而不應(yīng)當(dāng)以其他方式限制這里的實施例的范圍。因此,所附權(quán)利要求的一個目的是覆蓋落在這里的實施例的真實精神和范圍內(nèi)的所有這種變化和修改。
權(quán)利要求
1.一種裝置,包括 處理器; 多個網(wǎng)絡(luò)接口,每個網(wǎng)絡(luò)接口被配置為網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(NNI)或用戶到網(wǎng)絡(luò)接口(UNI)之一,其中每個NNI被配置為與第一計算機網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備通信,并且每個UNI被配置為為用戶設(shè)備提供到所述第一計算機網(wǎng)絡(luò)的服務(wù);以及 存儲器,該存儲器被配置為存儲進程,該進程當(dāng)被所述處理器執(zhí)行時可操作來 確定用于將上行流量轉(zhuǎn)發(fā)到所述第一網(wǎng)絡(luò)的將所述第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)的聚集設(shè)備的至少一個NNI,其中未用于轉(zhuǎn)發(fā)上行流量的任何NNI是NNI替代(NNI-ALT); 拒絕UNI與NNI-ALT之間的流量轉(zhuǎn)發(fā); 拒絕NNI-ALT與NNI-ALT之間的流量轉(zhuǎn)發(fā);以及 許可NNI與NNI-ALT之間的流量轉(zhuǎn)發(fā)。
2.如權(quán)利要求I中所述的裝置,其中,所述進程當(dāng)被執(zhí)行時還可操作來 拒絕UNI與UNI之間的流量轉(zhuǎn)發(fā);以及 許可NNI與UNI之間的流量轉(zhuǎn)發(fā)。
3.如權(quán)利要求I中所述的裝置,其中,所述進程當(dāng)被執(zhí)行時還可操作來 改變對用于轉(zhuǎn)發(fā)上行流量的NNI的確定。
4.如權(quán)利要求3中所述的裝置,其中,所述改變是響應(yīng)于環(huán)路防止協(xié)議檢測到網(wǎng)絡(luò)故障的。
5.如權(quán)利要求I中所述的裝置,其中,所述進程當(dāng)被執(zhí)行時還可操作來 許可以下之間的控制平面協(xié)議流量轉(zhuǎn)發(fā)=NNI與NNI之間;NNI與NNI-ALT之間;以及NNI-ALT 與 NNI-ALT 之間。
6.如權(quán)利要求I中所述的裝置,其中,所述進程當(dāng)被執(zhí)行時還可操作來 禁止對流量的控制平面控制。
7.如權(quán)利要求I中所述的裝置,其中,所述第一網(wǎng)絡(luò)是環(huán)形拓撲網(wǎng)絡(luò)。
8.如權(quán)利要求I中所述的裝置,其中,在所述第一網(wǎng)絡(luò)中有多個聚集設(shè)備,所述進程當(dāng)被執(zhí)行時還可操作來確定用于將上行流量轉(zhuǎn)發(fā)到每個聚集設(shè)備的至少一個NNI。
9.如權(quán)利要求I中所述的裝置,還包括 一個或多個物理端口,其中在物理端口上配置的每個虛擬局域網(wǎng)(VLAN)的相應(yīng)端口狀態(tài)是從NNI、NNI-ALT和UNI中選擇的。
10.如權(quán)利要求I中所述的裝置,其中,所述進程當(dāng)被執(zhí)行時還可操作來 與所述第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備參與彈性以太網(wǎng)協(xié)議(REP)。
11.如權(quán)利要求I中所述的裝置,其中,所述進程當(dāng)被執(zhí)行時還可操作來 與所述第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備參與生成樹協(xié)議(STP),其中所述聚集設(shè)備是STP的根設(shè)備。
12.—種方法,包括 將設(shè)備的一個或多個網(wǎng)絡(luò)接口中的每一個識別為被配置為與第一計算機網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備通信的網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(NNI)或者被配置為為用戶設(shè)備提供到所述第一計算機網(wǎng)絡(luò)的服務(wù)的用戶到網(wǎng)絡(luò)接口(UNI)之一; 確定用于將上行流量從所述設(shè)備轉(zhuǎn)發(fā)到所述第一網(wǎng)絡(luò)的將所述第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)的聚集設(shè)備的至少一個NNI,其中未用于轉(zhuǎn)發(fā)上行流量的任何NNI是NNI替代(NNI-ALT); 拒絕所述設(shè)備的UNI與NNI-ALT之間的流量轉(zhuǎn)發(fā); 拒絕所述設(shè)備的NNI-ALT與NNI-ALT之間的流量轉(zhuǎn)發(fā);以及 許可所述設(shè)備的NNI與NNI-ALT之間的流量轉(zhuǎn)發(fā)。
13.如權(quán)利要求12中所述的方法,還包括 拒絕所述設(shè)備的UNI與UNI之間的流量轉(zhuǎn)發(fā);以及 許可所述設(shè)備的NNI與UNI之間的流量轉(zhuǎn)發(fā)。
14.如權(quán)利要求12中所述的方法,還包括 改變對用于轉(zhuǎn)發(fā)上行流量的NNI的確定。
15.如權(quán)利要求12中所述的方法,還包括 許可所述設(shè)備的以下之間的控制平面協(xié)議流量轉(zhuǎn)發(fā)=NNI與NNI之間;NNI與NNI-ALT之間;以及NNI-ALT與NNI-ALT之間。
16.如權(quán)利要求12中所述的方法,還包括 為所述設(shè)備的一個或多個物理端口選擇在物理端口上配置的每個虛擬局域網(wǎng)(VLAN)的相應(yīng)端口狀態(tài),該端口狀態(tài)是從NNI、NNI-ALT和UNI中選擇的。
17.如權(quán)利要求12中所述的方法,還包括 與所述第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備參與彈性以太網(wǎng)協(xié)議(REP)。
18.一種有形計算機可讀介質(zhì),其上編碼有軟件,該軟件當(dāng)被執(zhí)行時可操作來 將設(shè)備的一個或多個網(wǎng)絡(luò)接口中的每一個識別為被配置為與第一計算機網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備通信的網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(NNI)或者被配置為為用戶設(shè)備提供到所述第一計算機網(wǎng)絡(luò)的服務(wù)的用戶到網(wǎng)絡(luò)接口(UNI)之一; 確定用于將上行流量從所述設(shè)備轉(zhuǎn)發(fā)到所述第一網(wǎng)絡(luò)的將所述第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)的聚集設(shè)備的至少一個NNI,其中未用于轉(zhuǎn)發(fā)上行流量的任何NNI是NNI替代(NNI-ALT); 拒絕所述設(shè)備的UNI與NNI-ALT之間的流量轉(zhuǎn)發(fā); 拒絕所述設(shè)備的NNI-ALT與NNI-ALT之間的流量轉(zhuǎn)發(fā);以及 許可所述設(shè)備的NNI與NNI-ALT之間的流量轉(zhuǎn)發(fā)。
19.如權(quán)利要求18中所述的有形計算機可讀介質(zhì),其中,所述軟件當(dāng)被執(zhí)行時還可操作來 拒絕所述設(shè)備的UNI與UNI之間的流量轉(zhuǎn)發(fā);以及 許可所述設(shè)備的NNI與UNI之間的流量轉(zhuǎn)發(fā)。
20.如權(quán)利要求18中所述的有形計算機可讀介質(zhì),其中,所述軟件當(dāng)被執(zhí)行時還可操作來 改變對用于轉(zhuǎn)發(fā)上行流量的NNI的確定。
21.如權(quán)利要求18中所述的有形計算機可讀介質(zhì),其中,所述軟件當(dāng)被執(zhí)行時還可操作來 為所述設(shè)備的一個或多個物理端口選擇在物理端口上配置的每個虛擬局域網(wǎng)(VLAN)的相應(yīng)端口狀態(tài),該端口狀態(tài)是從NNI、NNI-ALT和UNI中選擇的。
全文摘要
在一個實施例中,網(wǎng)絡(luò)設(shè)備可使其網(wǎng)絡(luò)接口被識別為被配置為與第一計算機網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)設(shè)備通信的網(wǎng)絡(luò)到網(wǎng)絡(luò)接口(NNI)或者被配置為為用戶設(shè)備提供到第一計算機網(wǎng)絡(luò)的服務(wù)的用戶到網(wǎng)絡(luò)接口(UNI)?;诖_定用于將上行流量轉(zhuǎn)發(fā)到第一網(wǎng)絡(luò)的將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)的聚集設(shè)備的至少一個NNI,未用于轉(zhuǎn)發(fā)上行流量的任何NNI被認為是新穎的“NNI替代”(NNI-ALT)。通過拒絕UNI與NNI-ALT之間以及NNI-ALT與NNI-ALT之間的流量轉(zhuǎn)發(fā)、而許可NNI與NNI-ALT之間的流量轉(zhuǎn)發(fā),可控制網(wǎng)絡(luò)設(shè)備處流量的轉(zhuǎn)發(fā)以在網(wǎng)絡(luò)設(shè)備之間提供用戶隔離。
文檔編號H04L12/56GK102640465SQ201080054569
公開日2012年8月15日 申請日期2010年11月24日 優(yōu)先權(quán)日2009年12月1日
發(fā)明者尼克拉斯·布里頓, 帕里斯特·高赫爾, 薩恩德·那拉亞那瓦米 申請人:思科技術(shù)公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1