<Desc/Clms Page number 1>
Die Erfindung betrifft ein Verfahren zur Ubertragung von Daten einer Vielzahl von peripheren Teilnehmern über zwei oder mehrere diesen zugeordneten Zweidrahtleitungen zu einem Weitverkehrsnetz, z B Intemet, vorzugsweise gleichzeitig mit analogen Signalen, wie POTS (Plain Old Telephone Service) o ä oder digitalen Telephondiensten, wie z.B ISDN, wobei die Daten von den in einer Medienzugangsschicht (MAC) angeordneten peripheren Teilnehmern, die zumindest teilweise in einem oder mehreren lokalen Netzen (LAN) zusammengefasst sind, in welchen Anschlusspunkt (MAC)-Ziel- und Quellenadressen vergeben werden, zu einer in einer Vermittlungsschicht angeordneten, zentralen Vermittlungseinheit (ROUTER) gesendet werden, uber welche die Teilnehmer mit einem Weitverkehrsnetz, z.
B Internet, verbindbar sind, wobei die von den Teilnehmern gesendeten, in Datenpakete unterteilten Daten nacheinander jeweils über die zugeordnete Zweidrahtleitung und über ein zentrales LAN, z. B. mindestens einen zentralen Knotenverteiler (HUB), in welchem die Datenstrome der über die Zweidrahtleitungen übertragenen Daten zusammengefasst werden, zur zentralen Vermittlungseinheit (ROUTER) geleitet werden und wobei die Datenweiterleitung und -filterung in der Medienzugangsschicht (MAC) in an den Enden jeder Zweidrahtleitung jeweils angeordneten, zentralen und peripheren Datenbrücken durchgeführt wird, wobei die Datenpakete jeweils die Anschlusspunkt (MAC)-Ziel- und Quellenadresse und ein Weitverkehrsnetz-Protokollpaket mit Protokoll-Quellenadresse umfassen
Weiters betnfft die Erfindung ein Verfahren zur Übertragung von Daten aus einem Weitverkehrsnetz, z. B.
Internet, zu einer Vielzahl von peripheren Teilnehmern über zwei oder mehrere diesen zugeordneten Zweidrahtleitungen, vorzugsweise gleichzeitig mit analogen Signalen, wie POTS o.a. oder digitalen Telephondiensten, wie z. B. ISDN, wobei die Daten aus dem Weitverkehrsnetz von einer in einer Vermittlungsschicht angeordneten Vermittlungseinheit (ROUTER) zu den in einer Medienzugangsschicht (MAC) angeordneten peripheren Teilnehmern, die zumindest teilweise in einem oder mehreren lokalen Netzen (LAN) zusammengefasst sind, in welchen Anschlusspunkt (MAC)-Ziel- und Quellenadressen vergeben werden, gesendet werden, wobei die aus dem Weitverkehrsnetz gesendeten, in Datenpakete unterteilten Daten nacheinander über die zentrale Vermittungseinheit (ROUTER) und über ein zentrales LAN, z B mindestens einen zentralen Knoten Verteiler (HUB),
in welchem die Datenströme der über die Zweidrahtleitungen übertragenen Daten zusammengefasst werden, sowie jeweils über die dem Teilnehmer zugeordnete Zweidrahtleitung und zum Teilnehmer geleitet werden und wobei die Datenweiterleitung und -filterung in der Medienzugangsschicht (MAC) in an den Enden jeder Zweidrahtleitung jeweils angeordneten, zentralen und peripheren Datenbrücken durchgeführt wird, wobei die Datenpakete jeweils die Anschlusspunkt (MAC)-Ziel- und Quellenadresse, ein Weitverkehrsnetz-Protokollpaket mit Protokoll-Quellenadresse umfassen.
Bekannte Verfahren dieser Art weisen zwar gegenüber vergleichbaren Übertragungsverfahren mit Modem (28 800 bit/s) oder mit ISDN (64 kbit/s) den Vorteil einer weit höheren Übertragungsrate (bis zu 512 kbit/s) beispielsweise für einen Internet-Zugang auf, es besteht jedoch andererseits der gravierende Nachteil, dass die Sicherheit gegen einen unbefugten Datenzugriff oder eine missbräuchliche Umgehung der zentralen Vermittlungseinheit nicht gewährleistet ist.
Aufgabe der Erfindung ist es daher, ein Datenübertragungsverfahren zu schaffen, das eine hohe Übertragungsrate bei hoher Datensicherheit bietet.
Erfindungsgemäss wird dies bei einem eingangs genannten Verfahren für die Übertragung von Daten von peripheren Teilnehmern zu einem Weitverkehrsnetz dadurch erreicht, dass die Adressierung jedes Datenpakets jeweils in der zentralen und/oder peripheren Brücke überprüft wird, und dass ein Datenpaket nur dann uber das zentrale LAN, z. B. den zumindest einen zentralen Knoten Verteiler (HUB), zur zentralen Vermittlungseinheit (ROUTER) weitergeleitet wird, wenn eine eindeutige Zuordnung von Teilnehmer und zentraler Vermittlungseinheit (ROUTER) festgestellt wird.
Dadurch wird nur der direkte Datenverkehr zwischen peripheren Teilnehmern und der zentralen Vermittlungseinheit erlaubt und andere Seitenwege ausgeschlossen. Damit kann zum einen verhindert werden, dass ein anderer Teilnehmer sich unautorisiert Zugang zu den Daten anderer Teilnehmer verschafft und zum andern es unmöglich gemacht werden, dass ein Teilnehmer die in der zentralen Vermittlungseinheit untergebrachte Gebührenverrechnungsstelle umgehen kann Der direkte Datenverkehr zwischen den einzelnen Teilnehmer im zentralen LAN ist somit durch die erfindungsgemässe Funktion der Brücke verboten.
In weiterer Ausbildung der Erfindung kann vorgesehen sein, dass eine Weiterleitung zur zentralen Vermittlungseinheit (ROUTER) durchgeführt wird, entweder wenn die Anschlusspunkt (MAC)-Zieladresse der Adresse der zentralen Vermittlungseinheit (ROUTER) entspricht und das
<Desc/Clms Page number 2>
Weitverkehrsnetzprotokoll-(IP- Protocol)-Paket dem Protokoll der zentralen Vermittlungseinheit (ROUTER) entspricht und die Weitverkehrsnetzprotokoll(IP- Protocol)-Quellenadresse eine gültige Weitverkehrsnetzprotokolladresse des penpheren Teilnehmers für die zugeordnete Zweidrahtleitung ist oder wenn die Anschlusspunkt (MAC)-Zieladresse BROADCAST ist und die Anschlusspunkt (MAC)-Quellenadresse eine von der zentralen Vermittlungseinheit (ROUTER) verschiedene ist.
Durch diese Massnahmen ist es möglich, den Datenverkehr auf einfache Weise so zu beschränken, dass eine Umgehung der zentralen Vermittlungsstelle vermieden wird BROADCAST bedeutet das Aussenden eines Datenpakets von einer Datenquelle an alle empfangenden Stationen unabhängig von deren eigentlicher Adresse.
NICHT BROADCAST ist die logische Umkehrung von BROADCAST, gleichbedeutend mit einem Nichtvorliegen von BROADCAST
Weiters wird die vorstehend genannte Aufgabe bei einem Verfahren der eingangs genannten Art zur Übertragung von Daten zwischen einem Weitverkehrsnetz und peripheren Teilnehmern erfindungsgemäss dadurch gelöst, dass die Adressierung jedes Datenpakets jeweils in der zentralen und/oder peripheren Brücke überprüft wird, und dass ein Datenpaket nur dann zum Teilnehmer weitergeleitet wird, wenn eine eindeutige Zuordnung von zentraler Vermittlungseinheit (ROUTER) und Teilnehmer festgestellt wird
Dadurch wird nur der direkte Datenverkehr zwischen der zentralen Vermittlungseinheit und einem penpheren Teilnehmer erlaubt und andere Seitenwege ausgeschlossen Dadurch kann verhindert werden,
dass die vom Internet kommenden Daten einem falschen Teilnehmer zugewiesen werden
In weiterer Ausbildung der Erfindung kann vorgesehen sein, dass eine Weiterleitung des Datenpakets von der zentralen Vermittlungseinheit zu einem Teilnehmer durchgerührt wird, entweder, wenn die Anschlusspunkt (MAC)-Zieladresse NICHT BROADCAST ist und die Anschlusspunkt (MAC)-Quellenadresse der Adresse der zentralen Vermittlungseinheit (ROUTER) entspricht und das Weitverkehrsnetzprotokoll-(IP- Protocol)-Paket dem Protokoll der zentralen Vermittlungseinheit (ROUTER) entspricht und die Weitverkehrsnetzprotokoll(IP- Protocol)- Zieladresse eine gültige Weitverkehrsnetzprotokolladresse des peripheren Teilnehmers fur die zugeordnete Zweidrahtleitung ist oder, wenn die Anschlusspunkt (MAC)-Zieladresse BROADCAST ist und die Anschlusspunkt (MAC)
-Quellenadresse gleich der Adresse der zentralen Vermittlungseinheit (ROUTER) ist.
Durch diese Massnahmen ist es möglich, den Datenverkehr auf einfache Weise so zu beschränken, dass eine Umgehung der zentralen Vermittlungsstelle vermieden wird.
In weiterer Ausbildung der Erfindung kann vorgesehen sein, dass die Datenweiterleitung bzw - Filterung der zentralen und peripheren Brücken über ein vom Protokoll der Medienzugangsschicht verschiedenes Protokoll, vorzugsweise über eine separate Schnittstelle, eingestellt wird
Dadurch ist der Brücken-Manager für den Teilnehmer nicht durch das MAC- Protokoll erreichbar, wodurch ein Umgehen der zentralen Vermittlungseinheit noch sicherer ausgeschlossen werden kann.
Nachfolgend wird die Erfindung anhand eines Ausführungsbeispiels eingehend erläutert. Es zeigt dabei
Fig. 1 ein Blockschaltbild einer Anordnung zur Durchführung des erfindungsgemässen
Datenübertragungsverfahrens und
Fig. 2 ein Blockschaltbild für eine weitere erfindungsgemässe Ausführungsform
Das in Fig. 1 dargestellte Blockschaltbild zeigt eine Anordnung zur Datenübertragung von Daten zweier peripherer Teilnehmer 90 über zwei diesen zugeordneten Zweidrahtleitungen 12 zum Internet 95 dar.
Die in einer Medienzugangsschicht MAC angeordneten Teilnehmer 90, welche generell als Datenquellen jeglicher Art anzusehen sind, wie z. B. ein PC-Gerät, sind in einem lokalen Netz LAN zusammengefasst, in welchem für den Datenverkehr Anschlusspunkt (MAC)-Ziel- und Quellenadressen vergeben werden Die Datenübertragung findet in einer Richtung zu einer in einer Vermittlungsschicht angeordneten, zentralen Vermittlungseinheit ROUTER 10 statt, der eine Verbindung mit dem Weitverkehrsnetz 95, in diesem Beispiel das Internet, herstellt.
Die von den Teilnehmern 90 gesendeten, in Datenpakete unterteilten Daten werden dabei nacheinander jeweils über die zugeordnete Zweidrahtleitung 12 zu einem zentralen LAN geleitet, welches als Knotenverteiler HUB 20 ausgebildet ist, in welchem die Datenströme der beiden
<Desc/Clms Page number 3>
Zweidrahtleitungen 12 sternförmig zusammengefasst werden, und danach zum Router 10 weitergeleitet. Die Datenweiterleitung und -filterung wird in der Medienzugangsschicht (MAC) in an den Enden jeder Zweidrahtleitung 12 jeweils angeordneten, zentralen und peripheren Datenbrücken 40,70 durchgeführt, wobei die Datenpakete jeweils die Anschlusspunkt (MAC)-Ziel- und Quellenadresse und ein Weitverkehrsnetz-Protokollpaket mit Protokoll-Quellenadresse umfassen.
Damit die Umgehung des Routers 10 vermieden wird bzw. ein Datenfluss zwischen den Teilnehmern 90 über den Knoten 20 ohne Inanspruchnahme des Routers 10 erfolgen kann, ist erfindungsgemäss vorgesehen, dass die Adressierung jedes Datenpakets jeweils in der zentralen und/oder penpheren Brücke 40,70 überprüft wird und dass ein Datenpaket nur dann über den zentralen Knotenverteiler HUB 20 zum Router 10 weitergeleitet wird, wenn eine eindeutige Zuordnung von Teilnehmer 90 und ROUTER 10 festgestellt wird
Eine Weiterleitung zur zentralen Vermittlungseinheit 10 wird nur dann durchgeführt, entweder wenn die Anschlusspunkt (MAC)-Zieladresse der Adresse der zentralen Vermittlungseinheit 10 entspricht und das Weitverkehrsnetzprotokoll-(IP- Protocol)-Paket dem Protokoll der zentralen Vermittlungseinheit 10 entspricht und die Weitverkehrsnetzprotokoll(IP- Protocol)
-Quellenadresse eine gültige Weitverkehrsnetzprotokolladresse des peripheren Teilnehmers 90 für die zugeordnete Zweidrahtleitung 12 ist oder wenn die Anschlusspunkt (MAC)-Zieladresse BROADCAST ist und die Anschlusspunkt (MAC)-Quellenadresse eine von der zentralen Vermittlungseinheit ROUTER 10 verschiedene ist.
BROADCAST bedeutet dabei das Aussenden eines Datenpakets von einer Datenquelle an alle empfangenden Stationen unabhängig von deren eigentlicher Adresse. NICHT BROADCAST ist die logische Umkehrung von BROADCAST, gleichbedeutend mit einem Nichtvorliegen von BROADCAST.
In umgekehrter Richtung soll der Datenverkehr ebenso einer solchen Kontrolle unterliegen Es wird dabei die Adressierung des Datenpaketstroms, der aus dem Internet 95 über den Router 10 und über den HUB 20 zu den Brücken 40,70 geleitet wird, überprüft und festgestellt, ob eine eindeutige Zuordnung von ROUTER und Teilnehmer vorliegt.
Erst bei positivem Ergebnis der Überprüfung wird das Datenpaket von den Brücken 40 bzw. 70 weitergeleitet
Die Überprüfung der Adressierung wird so durchgeführt, dass eine Weiterleitung des Datenpakets von der zentralen Vermittlungsemheit 10 zu einem Teilnehmer 90 nur dann durchgeführt wird, entweder, wenn die Anschlusspunkt (MAC) - Zieladresse NICHT BROADCAST ist und die Anschlusspunkt (MAC)-Quellenadresse der Adresse der zentralen Vermittlungseinheit 10 entspricht und das Weitverkehrsnetzprotokoll-(IP- Protocol)- Paket dem Protokoll der zentralen Vermittlungseinheit (ROUTER) entspricht und die Weitverkehrsnetzprotokoll(IP- Protocol)- Zieladresse eine gültige Weitverkehrsnetzprotokolladresse des peripheren Teilnehmers 90 für die zugeordnete Zweidrahtleitung ist oder, wenn die Anschlusspunkt (MAC) - Zieladresse BROADCAST ist und die Anschlusspunkt (MAC)
- Quellenadresse gleich der Adresse der zentralen Vermittlungseinheit 10 ist.
Als weitere Sicherungsmassnahme gegen unbefugtes Manipulieren der Datenübertragung kann vorgesehen sein, dass die Datenweiterleitung bzw-Filterung der zentralen und peripheren Brücken 40,70 über ein vom Protokoll der Medienzugangsschicht (MAC) verschiedenes Protokoll, vorzugsweise über eine separate Schnittstelle 42,72, eingestellt wird. Dadurch ist es einem Teilnehmer nicht möglich innerhalb des ihm bekannten Protokolls eine Beeinflussung der Brücken vorzunehmen.
Das in Fig.2 gezeigte Ausführungsbeispiel beinhaltet eine Vielzahl von Teilnehmern 9,11, 13, welche Datenaus- und eingabeeinheiten darstellen und Daten aus einem Weitverkehrsnetz 95, das in diesem Beispiel durch das Internet repräsentiert ist, beziehen bzw. über dieses senden. Die peripheren Teilnehmer können dabei in einzelnen lokalen Netzen wie Token Ring, Ethernet o. ä organisiert sein Die Beschaffenheit des lokalen Netzes unterliegt dabei keiner Beschränkung. In Fig. 2 sind die Teilnehmer 9 in Ethernet-Konfiguration angeordnet, die an einen Verteiler (HUB) 8 sternförmig angeschlossen sind, welcher an seinem Ausgang mit einer Remote- Brücke 7 verbunden ist. Ebenso sind die Teilnehmer 11 bzw 13 in einem Ethemet zusammengefasst, wobei in jedem Netz jeweils beliebig viele Teilnehmer anschliessbar sind.
Es können aber auch Teilnehmer ohne lokales Netz direkt an eine Remote- Brücke angeschlossen sein. Die Remote- Brücken 7 dienen der Kopplung der Teilnehmer mit jeweils einer Zweidraht-Übertragungsleitung
12, über die die Daten mit einer Übertragungsrate mit beispielsweise bis zu 512 kbitls bidrektional und symmetrisch übertragbar sind Die Art der Daten oder der verwendete Übertragungsmodus
<Desc/Clms Page number 4>
sind jedoch im Rahmen der Erfindung keiner Beschränkung unterworfen Als Zweidrahtleitung 12 werden in diesem Ausführungsbeispiel die normalen Telephonleitungen verwendet, es können aber beliebig andere zweiadrige oder auch mehradrige Übertragungsleitungen Verwendung finden Die übertragenen digitalen Daten werden den analogen bzw.
digitalen Standard-Telephondiensten wie POTS oder ISDN überlagert. Zu diesem Zweck ist an den Enden der Zweidrahtleitung 12 jeweils ein Splitter-Filter 5,5' vorgesehen, der die Telephonbasisbandsignale von den Breitbanddatensignalen trennt. Der Splitter-Filter 5' der Zentral-Brücke 4 steht uber eine Leitung a, b mit herkömmlichen Teilnehmerschaltungen einer Vermittlungsstelle 3 (central office) zur Übermittlung der Telephonbasisbandsignale in Verbindung. Die Telephonteilnehmer 6 konnen somit zur gleichen Zeit wie die Datenübertragung ohne gegenseitige Beeinflussung ungehindert Gesprache führen.
Als Gegenstück zu jeder Remote- Brücke 7 ist am anderen Ende der Zweidrahtleitung 12 jeweils eine Zentral-Brücke 4 vorgesehen. Alle Zentral-Brücken 4 sind sternförmig in einem zentralen Verteiler HUB 2 zusammengerührt, der an seinem Ausgang mit dem Eingang eines zentralen Routers 1 verbunden ist, der die Verbindung mit dem Internet herstellt
Die auch schon zum Ausrührungsbeispiel von Fig.
1 angegebenen Sicherungsmassnahmen werden nachstehend in verkürzter Form wiedergegeben, so wie sie sich in logischer Abfolge darstellen lassen
Ein vom Internet über die zentrale Vermittlungseinheit bei der Brücke 4,7 eintreffendes Datenpaket wird zu einem peripheren Teilnehmer 9, 11, 13 übertragen, wenn entweder [die MAC- Zieladresse NICHT BROADCAST ist] UND [die MAC- Quellenadresse ROUTER ist] UND [IP Protocol packet] UND [die IP- Zieladresse eine gültige IP- Adresse des LAN für die zugeordnete Zweidrahtleitung ist] oder [die MAC- Ziel- Adresse BROADCAST ist] UND [die MAC- Quellenadresse ROUTER ist].
Ein von einem peripheren Teilnehmer 9, 11,13 in Richtung Internet abgeschicktes Datenpaket wird bei der Brücke 4,7 auf seine Adressierung überprüft und dann zur zentralen Vermittlungseinheit 1 weitergeleitet, wenn entweder [die MAC- Zieladresse ROUTER ist] UND [IP Protokollpaket] UND [die IP- Quellenadresse eine gültige IP- Adresse des LAN der zugeordneten Zweidrahtleitung ist] oder [die MAC- Zieladresse BROADCAST ist] UND [die MAC- Quellenadresse NICHT ROUTER ist]
Auch für das Ausführungsbeispiel gemäss Fig. 2 besteht die Möglichkeit, eine weitere Datensicherung vorzusehen, indem wie im Ausführungsbeispiel gemäss Fig. 1 ein anderes als das für die Teilnehmer bekannte MAC- Protokoll für den Zugang zu den Brücken 4,7 verwendet wird, und dass dafür der Brückenmanager über eine eigens ausgebildete Schnittstelle zugänglich ist
Bezugszeichenliste:
Fig. 1:
10 Router 42,72 Schnittstelle
12 Zweidrahtleitung 90 Teilnehmer
20 Knoten 95 Weitverkehrsnetz
40, 70 zentrale bzw. periphere Brücke
<Desc/Clms Page number 5>
Fig. 2.
<Desc / Clms Page number 1>
The invention relates to a method for transmitting data from a plurality of peripheral subscribers via two or more two-wire lines assigned to them to a wide area network, e.g. Internet, preferably simultaneously with analog signals such as POTS (Plain Old Telephone Service) or digital telephone services such as eg ISDN, whereby the data from the peripheral subscribers arranged in a media access layer (MAC), which are at least partially combined in one or more local area networks (LAN), into which connection point (MAC) destination and source addresses are assigned to one in a switching layer arranged, central switching unit (ROUTER) are sent, via which the subscriber with a wide area network, for.
B Internet, are connectable, the data sent by the participants, divided into data packets, one after the other, in each case via the assigned two-wire line and via a central LAN, for. B. at least one central node distributor (HUB), in which the data streams of the data transmitted over the two-wire lines are combined, are routed to the central switching unit (ROUTER), and the data forwarding and filtering in the media access layer (MAC) in at the ends of each two-wire line each arranged, central and peripheral data bridges is carried out, the data packets each comprising the connection point (MAC) destination and source address and a wide area network protocol packet with protocol source address
Furthermore, the invention relates to a method for the transmission of data from a wide area network, e.g. B.
Internet, to a large number of peripheral users via two or more two-wire lines assigned to them, preferably simultaneously with analog signals, such as POTS or the like. or digital telephone services, such as. B. ISDN, the data from the wide area network from a switching unit arranged in a switching layer (ROUTER) to the peripheral subscribers arranged in a media access layer (MAC), which are at least partially combined in one or more local area networks (LAN), in which connection point (MAC) destination and source addresses are assigned, are sent, the data sent from the wide area network and divided into data packets successively via the central switching unit (ROUTER) and via a central LAN, for example at least one central node distributor (HUB),
in which the data streams of the data transmitted over the two-wire lines are summarized, and in each case via the two-wire line assigned to the subscriber and routed to the subscriber, and wherein the data forwarding and filtering in the media access layer (MAC) are arranged in the central and peripheral data bridges is carried out, the data packets each comprising the connection point (MAC) destination and source address, a wide area network protocol packet with protocol source address.
Known methods of this type have the advantage of a much higher transmission rate (up to 512 kbit / s), for example for Internet access, compared to comparable transmission methods with modem (28 800 bit / s) or with ISDN (64 kbit / s) on the other hand, there is the serious disadvantage that security against unauthorized data access or improper circumvention of the central switching unit is not guaranteed.
The object of the invention is therefore to provide a data transmission method which offers a high transmission rate with high data security.
According to the invention, this is achieved in a method mentioned at the outset for the transmission of data from peripheral subscribers to a wide area network in that the addressing of each data packet is checked in each case in the central and / or peripheral bridge, and in that a data packet is then only via the central LAN, e.g. B. the at least one central node distributor (HUB) is forwarded to the central switching unit (ROUTER) if a clear assignment of subscriber and central switching unit (ROUTER) is found.
As a result, only direct data traffic between peripheral subscribers and the central switching unit is permitted and other side routes are excluded. On the one hand, this can prevent another subscriber from gaining unauthorized access to the data of other subscribers and, on the other hand, make it impossible for a subscriber to bypass the fee clearing house accommodated in the central switching unit is therefore prohibited by the function of the bridge according to the invention.
In a further embodiment of the invention, it can be provided that forwarding to the central switching unit (ROUTER) is carried out either when the connection point (MAC) destination address corresponds to the address of the central switching unit (ROUTER) and that
<Desc / Clms Page number 2>
Wide area network protocol (IP protocol) package corresponds to the protocol of the central switching unit (ROUTER) and the wide area network protocol (IP protocol) source address is a valid wide area network protocol address of the penpher participant for the assigned two-wire line or if the connection point (MAC) destination address is BROADCAST and the connection point (MAC) source address is a different one from the central switching unit (ROUTER).
These measures make it possible to limit the data traffic in a simple manner in such a way that circumvention of the central exchange is avoided. BROADCAST means sending a data packet from a data source to all receiving stations regardless of their actual address.
NOT BROADCAST is the logical inverse of BROADCAST, synonymous with the absence of BROADCAST
Furthermore, the above-mentioned object is achieved according to the invention in a method of the type mentioned at the outset for transmitting data between a wide area network and peripheral subscribers in that the addressing of each data packet is checked in each case in the central and / or peripheral bridge, and in that a data packet only then is forwarded to the subscriber if a clear assignment of the central switching unit (ROUTER) and subscriber is established
This allows only direct data traffic between the central switching unit and a penpher subscriber and excludes other side routes.
that the data coming from the Internet is assigned to a wrong subscriber
In a further embodiment of the invention, it can be provided that the data packet is forwarded from the central switching unit to a subscriber, either if the connection point (MAC) destination address is NOT BROADCAST and the connection point (MAC) source address of the address of the central switching unit (ROUTER) corresponds and the wide area network protocol (IP protocol) package corresponds to the protocol of the central switching unit (ROUTER) and the wide area network protocol (IP protocol) - destination address is a valid wide area network protocol address of the peripheral subscriber for the assigned two-wire line or if the connection point (MAC) destination address is BROADCAST and the connection point (MAC)
-Source address is equal to the address of the central switching unit (ROUTER).
These measures make it possible to restrict the data traffic in a simple manner so that circumvention of the central switching center is avoided.
In a further embodiment of the invention, it can be provided that the data forwarding or filtering of the central and peripheral bridges is set via a protocol that is different from the protocol of the media access layer, preferably via a separate interface
As a result, the bridge manager cannot be reached by the subscriber via the MAC protocol, which means that bypassing the central switching unit can be prevented even more reliably.
The invention is explained in detail below using an exemplary embodiment. It shows
Fig. 1 is a block diagram of an arrangement for performing the inventive
Data transfer procedure and
Fig. 2 is a block diagram for a further embodiment according to the invention
The block diagram shown in FIG. 1 shows an arrangement for the data transmission of data from two peripheral subscribers 90 to the Internet 95 via two two-wire lines 12 assigned to them.
The participants 90 arranged in a media access layer MAC, which are generally to be regarded as data sources of any kind, such as. B. a PC device, are combined in a local area network LAN, in which connection point (MAC) destination and source addresses are assigned for data traffic. The data transmission takes place in one direction to a central switching unit ROUTER 10 arranged in a switching layer, which connects to the wide area network 95, in this example the Internet.
The data sent by the subscribers 90 and subdivided into data packets are successively routed in each case via the assigned two-wire line 12 to a central LAN, which is designed as a node distributor HUB 20, in which the data streams of the two
<Desc / Clms Page number 3>
Two-wire lines 12 are combined in a star shape, and then forwarded to router 10. The data forwarding and filtering is carried out in the media access layer (MAC) in central and peripheral data bridges 40, 70 respectively arranged at the ends of each two-wire line 12, the data packets in each case the connection point (MAC) destination and source address and a wide area network protocol packet with protocol source address.
So that the bypassing of the router 10 is avoided or a data flow between the subscribers 90 can take place via the node 20 without using the router 10, the invention provides that the addressing of each data packet is checked in each case in the central and / or penpheric bridge 40, 70 and that a data packet is only forwarded to the router 10 via the central node distributor HUB 20 if a clear assignment of subscriber 90 and ROUTER 10 is found
Forwarding to the central switching unit 10 is only carried out either if the connection point (MAC) destination address corresponds to the address of the central switching unit 10 and the wide area network protocol (IP protocol) packet corresponds to the protocol of the central switching unit 10 and the wide area network protocol (IP - protocol)
Source address is a valid wide area network protocol address of the peripheral subscriber 90 for the assigned two-wire line 12 or if the connection point (MAC) destination address is BROADCAST and the connection point (MAC) source address is a different one from the central switching unit ROUTER 10.
BROADCAST means sending a data packet from a data source to all receiving stations regardless of their actual address. NOT BROADCAST is the logical inverse of BROADCAST, synonymous with the absence of BROADCAST.
In the opposite direction, the data traffic should also be subject to such control. The addressing of the data packet stream, which is routed from the Internet 95 via the router 10 and via the HUB 20 to the bridges 40, 70, is checked and ascertained whether there is a clear assignment from ROUTER and participants.
The data packet is only forwarded from the bridges 40 and 70 if the result of the check is positive
The addressing is checked in such a way that the data packet is only forwarded from the central switching unit 10 to a subscriber 90 either when the connection point (MAC) - destination address is NOT BROADCAST and the connection point (MAC) source address of the address corresponds to the central switching unit 10 and the wide area network protocol (IP protocol) packet corresponds to the protocol of the central switching unit (ROUTER) and the wide area network protocol (IP protocol) destination address is a valid wide area network protocol address of the peripheral subscriber 90 for the assigned two-wire line, or if the connection point (MAC) - destination address is BROADCAST and the connection point (MAC)
- Source address is equal to the address of the central switching unit 10.
As a further security measure against unauthorized manipulation of the data transmission, provision can be made for the data forwarding or filtering of the central and peripheral bridges 40, 70 to be set using a protocol different from the protocol of the media access layer (MAC), preferably via a separate interface 42, 72. As a result, it is not possible for a subscriber to influence the bridges within the protocol known to him.
The exemplary embodiment shown in FIG. 2 includes a large number of subscribers 9, 11, 13, which represent data output and input units and obtain data from a wide area network 95, which in this example is represented by the Internet, or send it via this. The peripheral subscribers can be organized in individual local networks such as Token Ring, Ethernet or the like. The nature of the local network is not subject to any restrictions. 2, the subscribers 9 are arranged in an Ethernet configuration, which are connected in a star shape to a distributor (HUB) 8, which is connected to a remote bridge 7 at its output. Likewise, subscribers 11 and 13 are combined in an ethemet, any number of subscribers being connectable to each network.
However, nodes without a local network can also be connected directly to a remote bridge. The remote bridges 7 are used to couple the participants, each with a two-wire transmission line
12, via which the data can be transmitted bidirectionally and symmetrically at a transmission rate of, for example, up to 512 kbitls. The type of data or the transmission mode used
<Desc / Clms Page number 4>
are not subject to any restrictions within the scope of the invention. In this exemplary embodiment, the normal telephone lines are used as the two-wire line 12, but any other two-wire or multi-wire transmission lines can be used as desired. The digital data transmitted are the analog or
superimposed on standard digital telephone services such as POTS or ISDN. For this purpose, a splitter filter 5,5 'is provided at the ends of the two-wire line 12, which separates the telephone baseband signals from the broadband data signals. The splitter filter 5 'of the central bridge 4 is connected via a line a, b to conventional subscriber circuits of a switching center 3 (central office) for the transmission of the telephone base band signals. The telephone subscribers 6 can thus conduct unimpeded conversations at the same time as the data transmission without mutual interference.
As a counterpart to each remote bridge 7, a central bridge 4 is provided at the other end of the two-wire line 12. All central bridges 4 are stirred together in a star shape in a central distributor HUB 2, which is connected at its output to the input of a central router 1, which establishes the connection to the Internet
The same as for the example of Fig.
1 The security measures specified are given below in abbreviated form, as they can be represented in a logical sequence
A data packet arriving from the Internet via the central switching unit at bridge 4.7 is transmitted to a peripheral subscriber 9, 11, 13 if either [the MAC destination address is NOT BROADCAST] AND [the MAC source address is ROUTER] AND [IP Protocol packet] AND [the IP destination address is a valid IP address of the LAN for the assigned two-wire line] or [the MAC destination address is BROADCAST] AND [the MAC source address is ROUTER].
A data packet sent by a peripheral subscriber 9, 11, 13 towards the Internet is checked for its addressing at bridge 4, 7 and then forwarded to the central switching unit 1 if either [the MAC destination address is ROUTER] AND [IP protocol packet] AND [the IP source address is a valid IP address of the LAN of the assigned two-wire line] or [the MAC destination address is BROADCAST] AND [the MAC source address is NOT ROUTER]
For the exemplary embodiment according to FIG. 2 there is also the possibility of providing a further data backup by using, as in the exemplary embodiment according to FIG. 1, a different MAC protocol than the one known to the participants for access to the bridges 4, 7, and that the bridge manager is accessible via a specially trained interface
Reference symbol list:
Fig. 1:
10 router 42.72 interface
12 two-wire line 90 participants
20 nodes 95 wide area network
40, 70 central or peripheral bridge
<Desc / Clms Page number 5>
Fig. 2.