CN100438477C - 用于业务分隔的过滤器和用于业务分隔的过滤器的方法 - Google Patents
用于业务分隔的过滤器和用于业务分隔的过滤器的方法 Download PDFInfo
- Publication number
- CN100438477C CN100438477C CNB038206293A CN03820629A CN100438477C CN 100438477 C CN100438477 C CN 100438477C CN B038206293 A CNB038206293 A CN B038206293A CN 03820629 A CN03820629 A CN 03820629A CN 100438477 C CN100438477 C CN 100438477C
- Authority
- CN
- China
- Prior art keywords
- layer
- address
- router
- packet
- destination apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2596—Translation of addresses of the same type other than IP, e.g. translation from MAC to MAC addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Filtering Materials (AREA)
- Filtering Of Dispersed Particles In Gases (AREA)
- Solid-Sorbent Or Filter-Aiding Compositions (AREA)
Abstract
本发明涉及一种用于网络(40)的至少一个访问交换路由器(42)中的开放式系统互连第2层业务量分隔的过滤器,在路由器(42,44)中具有配置到相同虚拟局域网的端口。过滤器过滤送往这些端口的数据包,进行模拟,如果源装置和目标装置在相同的第2层域中,则路由器第2层地址是源以及目标两种装置的实际目标地址。还进行模拟,如果源装置和目标装置不在相同的第2层域中,但在相同的第3层子网中,则路由器第2层地址是源对目的地的实际目标第2层地址。通过这种过滤来提供对一个IP子网的应用,将它遍布若干房屋和多个访问交换路由器及多个第2层域中的相同子网,从而覆盖更多客户。
Description
技术领域
本发明涉及用于在网络的至少一个路由器中的开放式系统接口第2层业务分隔的过滤器以及用于此目的的方法。
背景技术
在为基于Ethernet
的网络或类似网络安装网络装置(如路由器和交换机)时,运用MAC寻址(媒体访问控制寻址)的现行OSI第2层(开放式系统互连)技术使VLAN(虚拟局域网)能够用于分隔例如第2层上的路由器和交换机的装置中的物理端口,以及将多个装置上属于相同VLAN的端口绑定在一起,称作“中继”。
在通过路由器运用IP寻址的OSI第3层,每个VLAN要求不同的IP子网用于寻址。在过去的几年,在使用这种技术来安装宽带网络方面已经进行了若干尝试。
Ethernet是按照CSMA/CD(带有检测冲突的载波侦听多路存取)的共享媒体,它表示连接到同一个Ethernet
的所有主机获得全部业务,但它们依靠其MAC地址进行选取。
典型的宽带网络由安装在住宅区的多个交换机或路由器组成,以便把各个家庭连接到公共基础设施,即通常据说的服务提供商基础设施。
通过采用以太网技术来实现这个目的,立即引起一个如以太网所提供的把不同房屋、如家庭等连接到单个共享基础设施的安全问题。
服务提供商必需考虑:
-将每个客户连接到单独的VLAN-从而要求大量小IP子网,各VLAN一个,以保存第2层分隔。
-将客户连接到单个VLAN-从而要求单个更大的IP子网,但带来了允许不同客户之间的第2层访问、如Microsoft
文件共享的风险。
为了解决这种过滤问题,有些实现采用端口保护功能,其中,归入同一个VLAN的同一个装置中的两个端口之间的业务被阻止。这意味着连接在那些端口上的主机无法交换任何业务。对这种解决方案的其它增强包括将受保护端口之间的数据包转发给上游过滤装置,它判定是否应该准许数据包业务,假如是这样的话,则将该业务重新转发给其目的地。这无疑将增加交换机与过滤装置之间的主干链路的负荷。
随着目前到Ethernet
网络的连接计算机数量的增加,加大了有关数据业务冲突的问题。为了解决这个问题,发明了网桥,它把Ethernet分为若干段,并记住/了解不同的MAC地址驻留在哪些段中。此后,数据包的转发只对送往广播地址或者驻留在非发送它的另一个段中的MAC地址的数据包来完成。但是,不同段仍然是同一个广播域的一部分。
当前的交换机是网桥的进一步发展。据说它们在每个端口都有网桥。交换机记住/了解哪些MAC地址分别驻留在每个端口,并且仅当业务要送往不同端口的MAC地址时才实现端口之间的转发。因此,每个端口成为一段,但每个端口(a1段)仍然是同一个广播域的一部分,因为广播被传送给每个端口。采用交换机的一个优点在于以高速进行通信,它实现了多个端口可同时以最高速度相互通信。
交换技术例如通过引入VLAN、中继和生成树得到发展。
VLAN使得能够将交换机中的端口分组为不同的广播域。其中包括,包含在特定VLAN中的端口无法与不同的VLAN中的端口通信。至少不通过第2层,它要求路由器连接这类端口。
在RFC1027(IETF控制下的“请求注释”文档;因特网工程任务小组)中,描述了称作“代理ARP”的技术,在其中,路由选择装置响应本地连接主机请求的、对本地子网之外的任何地址的ARP请求,从而让主机向路由器发送全部业务,而不要求了解IP缺省路由。这在因特网初期在缺少对IP的全面了解时用来指导主机,采用IP协议进行通信。目前很少采用。
发明内容
本发明针对解决与OSI第2层广播以及对于多个VLAN将IP地址分为子网的有限能力有关的问题。
为了实现它的目标和目的,本发明提出一种用于在网络的至少一个访问交换路由器中的开放式系统互连第2层业务分隔的过滤器。路由器中的端口配置到同一个虚拟局域网。过滤器过滤送往这些端口的数据包业务。它还包括:
用于截取来自属于虚拟局域网的MAC地址的网络连接源装置的第2层业务并确定是否准许业务被转发到其它端口的部件;
用于不管目标装置第2层域是否与源装置第2层域相同、响应对源装置的广播而截取这种业务中的地址解析协议广播的部件,因而源装置确定广播已经确认所寻找的目标装置的第2层地址,从而源装置将数据包传送给目标装置,路由器接收所传送的数据包;
用于确定到目标装置的出口端的部件;
用于确定目标装置的第2层地址的部件;
用于从所接收数据包调整第2层首标的部件,该部件用于设置源第2层地址,设置数据包的路由器源地址,该部件用于确定目标装置的第2层地址,将目标第2层地址设置到目标装置的地址,将数据包传送给目标装置;以及
因此进行模拟,如果源装置和目标装置处于相同的第2层域,则路由器第2层地址为源以及目标两种装置的实际目标地址,或者进行模拟,如果源装置和目标装置不在相同的第2层域但在相同的第3层子网,则路由器第2层地址为源对目的地的实际目标第2层地址。
在本发明的一个实施例中,假定在对目标装置寻址时为驻留在子路由器中的端口提供了所述路由器第2层地址。
另一个实施例提出,路由器正调查源和/或目标地址,以便确定数据包的最佳出口端,确定该数据包是否处于速率限制的简档中,或者根据开放式系统互连第3层及更高协议层中的信息进行其它过滤。
另一个实施例提出,访问交换路由器是第2层交换机与第3层路由器的组合,将具有高级包控制的第2层交换和在第3层路由器中转发判定的能力进行结合。
又一个实施例提供对IP子网的应用,将它遍布若干房屋和多个访问交换路由器及多个第2层域中的相同子网,从而覆盖更多客户。又一个实施例让具有多台计算机的用户接收更多地址。
本发明还提出一种用于在网络的至少一个访问交换路由器中的开放式系统互连第2层业务分隔的过滤器的方法。路由器让路由器中的端口配置到同一个虚拟局域网。过滤器过滤送往这些端口的数据包业务。它还包括以下步骤:
截取来自属于虚拟局域网的媒体访问控制地址的网络连接源装置(主机A,主机B)的第2层业务,确定是否准许业务被转发到其它端口;
不管目标装置第2层域是否与源装置第2层域相同、响应对源装置的广播而截取这种业务中的地址解析协议广播,因而源装置确定广播已经确认所寻找的目标装置的第2层地址,从而源装置将数据包传送给目标装置,路由器接收所传送的数据包;
确定到目标装置的出口端;
确定目标装置的第2层地址;
用于从所接收数据包调整第2层首标,该部件用于设置源第2层地址,设置数据包的路由器源地址,该部件用于确定目标装置的第2层地址,将目标第2层地址设置到目标装置的地址,将数据包传送给目标装置;以及
因此进行模拟,如果源装置和目标装置处于相同的第2层域,则路由器第2层地址为源以及目标装置的实际目标地址,或者进行模拟,如果源装置和目标装置不在相同的第2层域但在相同的第3层子网,则路由器第2层地址为源对目的地的实际目标第2层地址。
大家知道,该方法能够执行符合上述实施例的所附从属方法权利要求集的步骤。
附图说明
此后,为了更好地理解本发明的给定实例和实施例,必需参照附图,附图包括:
图1示意说明连接到根据先有技术的宽带网络的住宅区;
图2示意说明连接在根据先有技术的两个宽带网络之间的网关;以及
图3示意说明根据本发明的宽带网络。
具体实施方式
根据本发明,为了能够理解对于与第2层数据业务相关的问题的解决方案,了解IP寻址的基本特征也是重要的。将Ethernet
用于IP通信的主要部分是使用ARP(地址解析协议)协议。ARP用于在OSI第2层与第3层地址之间进行解析。它使主机在已经知道第3层地址时能够确定另一个装置的第2层地址。这在IP子网中的主机要与同一个子网中的另一个主机通信时使用。因此,ARP用于第2层地址(Ethernet
MAC地址)与第3层地址(IP)之间的解释。
IP的主要部分在于,不是网络中的每个装置都需要了解所提供的全局路由选择表。如果某个装置有数据包要转发给未知目的地,则该装置可配置缺省路由,即用于没有明确路由的任何业务的路径。缺省路由始终为主机直接连接到的子网中的IP地址。缺省路由的第2层地址由ARP协议记住/了解,除非没有在主机中静态配置。
根据本发明,路由器被定义为一种装置,这种装置分析OSI第3层或更高层协议信息以便进行业务转发判定。
这包括但不限于,调查源和/或目标地址,以便确定数据包的最佳出口端,确定该数据包是否处于速率限制的简档中,或者根据OSI第3层及更高协议层中的信息进行其它过滤。
访问交换路由器(ASR)为第2层交换机与第3层路由器的组合。它把具有高级包控制的第2层交换和在第3层路由器中转发判定的能力进行结合。这个定义适合根据本发明的路由器的定义,并且还结合了本文所述的独立过滤特征。
本发明的优点使ASR中的所有Ethernet
端口能够配置到同一个VLAN,它使这些端口共享同一个IP子网。因此,不需要进行任何子网、如32位IP地址的分割。每次创建子网时,两个地址消失。它们是所谓的网址及作为子网广播地址的地址。当公司、因特网服务提供商等连接到因特网时,它们申请IP地址。地址的分配取决于连接到网络的计算机的数量、网络的设计方式及其将来的增长速度。
作为实例,为某个公司分配192.168.1.0/24作为地址,其中/24表示子网范围。由于IP地址具有32个二进制位,因此更易于以二进制表示来提供实例:
192.168.1.0=11000000 10101000 00000001 00000000/24等于一个十进制子网掩码255.255.255.0,二进制重组11111111 1111111111111111 00000000。
子网掩码为0、以下表示主机部分的子网的部分允许用于设置单个计算机的IP地址。子网掩码为1的部分必须始终相同。这个部分的两个地址绝不可用于计算机,它们在主机部分仅包含二进制0时实质上是网络编号,以及在主机部分仅包含二进制1时是广播地址。因此:
11000000 10101000 00000001 00000000 192.168.1.0
11000000 10101000 00000001 11111111 192.168.1.255
250台计算机连接到同一段是不太可能的。也许它由分为若干第2层广播域的数个段组成,因此每个第2层域需要它本身的一个IP子网。因此,需要将256个地址分为较小的子网。这通过进一步延长子网掩码、即包含二进制1的部分来实现。
实例1:
11000000 10101000 00000001 00000000 192.168.1.0
11111111 11111111 11111111 11000000 255.255.255.192
子网掩码这时正切入最后一个八位组中的两个位。这表示有6位保留用于主机地址,它以十进制方式重组为64。因此,256个地址已经变成各有64个地址的四个子网。
11000000 10101000 00000001 00000000 192.168.1.0
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 01000000 192.168.1.64
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 10000000 192.168.1.128
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 11000000 192.168.1.192
11111111 11111111 11111111 11000000 255.255.255.192
这四个子网的每一个都具有不允许使用的两个地址。以十进制表示,它们是:
子网192.168.1.0禁止192.168.1.0和192.168.1.63
子网192.168.1.64禁止192.168.1.64和192.168.1.127
子网192.168.1.128禁止192.168.1.128和192.168.1.191
子网192.168.1.192禁止192.168.1.192和192.168.1.255
二进制重组:
11000000 10101000 00000001 00000000 192.168.1.0
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 00111111 192.168.1.63
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 01000000 192.168.1.64
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 01111111 192.168.1.127
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 10000000 192.168.1.128
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 10111111 192.168.1.191
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 11000000 192.168.1.192
11111111 11111111 11111111 11000000 255.255.255.192
11000000 10101000 00000001 11111111 192.168.1.255
11111111 11111111 11111111 11000000 255.255.255.192
这时能够将这64个地址子网其中之一分为两个部分,接收32个地址的两个子网,但其中的每个包含两个禁止的地址:
11000000 10101000 00000001 11000000 192.168.1.192
11111111 11111111 11111111 11100000 255.255.255.224
11000000 10101000 00000001 11011111 192.168.1.223
11111111 11111111 11111111 11100000 255.255.255.224
11000000 10101000 00000001 11100000 192.168.1.224
11111111 11111111 11111111 11100000 255.255.255.224
11000000 10101000 00000001 11111111 192.168.1.255
11111111 11111111 11111111 11100000 255.255.255.224
在宽带网络中,32个地址对于单个家庭是过量的。连接到子网的每台计算机被认为具有一个地址,它也包含缺省网关路由器,需要至少两个地址用于每个家庭,一个用于计算机以及一个用于路由器。如果此家庭由一台以上计算机控制,则需要更大的子网。
因此,每个家庭两个地址要求最小的子网必需具有四个地址的范围。二进制:
11000000 10101000 00000001 10000000 192.168.1.0
11111111 11111111 11111111 11111100 255.255.255.252
由于两个地址被禁止:
11000000 10101000 00000001 00000000 192.168.1.0
11111111 11111111 11111111 11111100 255.255.255.252
11000000 10101000 00000001 00000011 192.168.1.3
11111111 11111111 11111111 11111100 255.255.255.252
保留使用的地址为192.168.1.1和192.168.1.2。在下一个子网中,地址192.168.1.4和192.168.1.7被禁用。可使用的地址为192.168.1.5和192.168.1.6等等。
在自开始的256个地址中,有256/4=64个子网或64个客户。这些种类的小子网中的地址的一半被保留作为广播地址及网址,以及地址空间的损失为50%。
如果在更大范围内设计子网,则地址空间的损失因广播地址和网址而减少(每个子网8个地址提供256/8=32个子网,25%的地址空间损失)。但每个子网有6个有用地址,如果为路由器提供一个,则每个家庭有5个地址。如果那5个地址没有完全被使用,则由于每个家庭中没有两台以上计算机,因此仍然存在地址损失,因为3个地址未被使用。
通过根据本发明的一个实施例的解决方案,使得能够使用子网中提供的256个地址其中的254个,并将它遍布若干房屋和多个ASR,从而覆盖更多客户。如果一个客户的计算机比另一个客户要多,则没有引起额外的地址空间损失,因为有更多数量的计算机的客户接收更多地址。因此,如果网络构建成优化地址空间,则采用本发明的地址空间的损失保持在几个百分点。
根据本发明,应用一种过滤器,除了其中的协议选项表明第2层数据包中携带的数据为IP、Ipv6或通信目的可接受的任何业务之外,它阻止属于VLAN的端口之间的其它第2层业务。这意味着,即使这些端口属于相同的第2层广播域,但根据它们的源和目标第2层地址来防止它们之间的业务被交换。
当连接到端口的客户机开始传送时,第一数据包将经过Ethernet
段,其中包括ASR。
每当客户机主机设法与另一个主机进行通信时,它将在目的地不是客户机主机的IP子网的一部分时发出缺省路由的ARP请求,或者在其目标地址处于客户机主机相同子网中时发出目的地自身。这个ARP请求为第2层广播,它通常经过整个VLAN。根据本发明,ARP消息由ASR截取,并被阻止转发给属于那个VLAN的任何其它端口。如果ARP请求针对ASR的任何其它端口中存在的目的地,或者如果已知目的地处于ASR第3层路由选择表中,则ASR采用其自身的MAC地址作为下一跳来响应ARP请求。这个过程使客户机主机认为(模拟)ASR第2层地址是要用来到达实际第3层目的地的目标第2层地址。因此,客户机主机将数据包传送给ASR第2层地址。
如果根据目标第3层地址和ASR路由选择表和/或地址解析表的内容确定该数据包将被转发到ASR端口的另一个,则该数据包的源MAC地址被改变为出口端上的ASR第2层地址。源IP地址将继续是原始客户机主机地址中的地址。因此,ASR中的接收机记住/了解,源客户机主机地址映射到ASR第2层地址,以及任何对源客户机主机的返回业务被导向ASR而不是直接送往源客户机MAC地址。这样,源以及目标客户机主机被模拟成认为ASR MAC地址是另外主机的地址,以及通信流被保持。
为了能够采用TCP/IP进行通信,主机必需配置:
-IP地址
-子网掩码
-缺省网关
-名称服务器
名称服务器用于在名称与因特网中的IP地址之间进行连接。
图1示意说明连接到根据先有技术的宽带网络10的住宅区。在交换12,示出具有连接到其中的所有端口14的VLAN,意味着邻居们在他们之间有第2层访问。这使一个邻居能够例如游览另一个邻居的硬盘驱动器。交换机16包括属于不同的VLAN的每个端口14,它要求每个VLAN较小的IP子网。这是地址空间的浪费,因为每个子网对网络和广播功能引起不可用的地址。具有两个可用地址的子网还要求两个不可用的地址,浪费50%的地址空间。图1中的装置18为路由器。
图2示意性示出连接在根据先有技术的两个宽带网络32、34之间的网关30,另外还示出主机A、主机B和主机C。
以下序列描述ARP路由选择协议的传统操作。
步骤1)-9)的第一序列提供一个实例,其中,主机A向主机B进行传送,参照图2:
1)主机A具有要发送的IP数据包
2)主机A将主机A地址+子网掩码与主机B地址进行比较
3)主机B与主机A处于同一个网络
4)主机A向网络1发送ARP广播,请求主机B第2层地址
5)主机B识别对其第2层地址的请求
6)主机B进行响应
7)主机A这时具有主机B第2层地址
8)主机A传送数据
9)主机B接收数据
步骤1)-17)的第二序列提供一个实例,其中,主机A向主机C进行传送,参照图2:
1)主机A具有要发送的IP数据包
2)主机A将主机A地址+子网掩码与主机C地址进行比较
3)主机C与主机A不在同一个网络
4)主机A向网络1发送ARP广播,请求网关第2层地址
5)网关识别对其第2层地址的请求
6)网关进行响应
7)主机A这时具有网关第2层地址
8)主机A传送数据
9)网关接收数据
10)网关从数据包中去掉第2层信息
11)网关在路由选择表中查找主机C地址,并确定出口接口
12)网关向网络2发送ARP广播,请求主机C第2层地址
13)主机C识别对其第2层地址的请求
14)主机C进行响应
15)网关这时具有主机C第2层地址
16)网关构建数据包的新的第2层首标并传送数据
17)主机C接收数据
如果网关30没有直接连接到网络2,则步骤12将是“把数据包转发到网络2”,在沿路径的每个网关中重复步骤9、10、11和新的步骤12,直至直接连接到网络2的网关接收数据包为止,其中将开始根据上述流程的步骤12-17。
图3示意说明根据本发明的宽带网络40,其中具有两个ASR路由器42、44。主机A和主机B连接到路由器42,以及主机C连接到路由器44。两个路由器42和44彼此之间具有直接连接,其中路由器42包括本发明的过滤器。图3还说明经由因特网连接到宽带网络的主机D。
本发明的过滤器被提供用于在宽带网络40的至少一个ASR路由器42中的开放式系统互连第2层业务分隔。路由器42、44中的A1端口(未示出)配置到同一个VLAN。ASR 44是对路由器42的子路由器或者只是被连接,提供根据本发明的相同过滤优点。数据包业务由包括过滤器的路由器42截取,它过滤送往端口的数据包业务。过滤器包括:
用于截取来自属于虚拟局域网的MAC地址的网络连接源装置(主机A,主机B)的第2层业务并确定是否准许业务被转发到其它端口的部件;
用于不管目标装置第2层域是否与源装置第2层域相同、响应对源装置的广播而截取这种业务中的地址解析协议广播的部件,因而源装置确定广播已经确认所寻找的目标装置的第2层地址,从而源装置将数据包传送给目标装置,路由器接收所传送的数据包;
用于确定到目标装置的出口端的部件;
用于确定目标装置的第2层地址的部件;
用于从所接收数据包调整第2层首标的部件,该部件用于设置源第2层地址,设置数据包的路由器源地址,该部件用于确定目标装置的第2层地址,将目标第2层地址设置到目标装置的地址,将数据包传送给目标装置。
因此,本发明的过滤器进行模拟,如果源装置和目标装置处于相同的第2层域,则路由器第2层地址为源以及目标两种装置的实际目标地址,或者进行模拟,如果源装置和目标装置不在相同的第2层域但在相同的第3层子网,则路由器第2层地址为源对目的地的实际目标第2层地址。
大家知道,本发明的部件最好是路由器中的软件构建块或者是硬件和软件的组合。
下面根据本发明并参照图3提供数据包流程的三种情况。
要注意,在IP路由选择中,IP数据包中第2层首标的封装和拆封是一种传统过程。具有IP源和目标地址的IP首标保持不变,而用于以太网、令牌环、帧中继、ATM或其它所使用的第2层技术的第2层首标发生变化。由于第2层协议不是可路由的,因此源地址始终设置为传送数据包的装置的地址。这是传统的。
具有序列步骤1)至3)的第一种情况描述从主机A到主机B的数据包传送。两个主机均连接到同一个ASR中的端口。这些端口配置成属于相同的广播域(VLAN),但根据本发明,在ASR上启用了具有附加功能的端口保护。
第一种情况
1)主机A具有要发送的IP数据包
2)主机A将它的地址+子网掩码与主机B进行比较,并确定它们在同一个子网中
3)主机A发送ARP广播以便获得主机B地址
4)由于ASR 42端口之间的过滤器的原因,广播无法到达主机B
5)ASR截取ARP广播,并确定它知道主机B所处的位置
6)ASR响应对于主机B的ARP请求,将它自身的第2层地址设置为主机B的地址
7)主机A接收ARP响应,并认为它这时知道主机B的第2层地址
8)主机A传送数据
9)ASR 42接收数据
10)ASR 42删除第2层信息,并确定对于主机B的出口端
11)ASR 42将它自身的第2层地址设置为数据包的源,并封装用于主机B的数据包
12)ASR 42传送数据
13)主机B接收来自主机A的数据
由于ASR 42第2层地址设置为源,因此主机B认为ASR 42的第2层地址是主机A的地址。同样,由于ARP响应,因此主机A将认为ARS 42的第2层地址是主机B的地址。
具有序列步骤1)至18)的第二种情况描述从主机A到主机C的数据包传送。这些主机均连接到不同的ASR中的端口。但是,ASR和中央管理系统的地址共享特征同意主机根据DHCP从相同的IP子网接收IP地址。ASR已经交换了相互通知关于已连接主机的路由选择信息。
第二种情况
1)主机A具有要发送的IP数据包
2)主机A将它的地址+子网掩码与主机C进行比较,并确定它们在同一个子网中
3)主机A发送ARP广播以便获得主机C地址
4)由于ASR 42端口之间的过滤器的原因,广播没有到达ASR中的任何其它端口
5)ASR 42截取ARP广播,并确定它知道主机C所处的位置
6)ASR 42响应对于主机C的ARP请求,将它自身的第2层地址设置为主机C的地址
7)主机A接收ARP响应,并认为它这时知道主机C的第2层地址
8)主机A传送数据包
9)ASR 42接收数据包
10)ASR 42删除第2层信息,并确定对于主机C的出口端
11)ASR 42采用适当的第2层首标封装数据包,用于到ASR 44的链路
12)ASR 42将数据包转发给ASR 44
13)ASR 44接收数据包
14)ASR 44删除来自ASR 42、在链路上使用的第2层封装
15)ASR 44确定送往主机C的数据包的出口端
16)ASR 44采用第2层首标封装数据包,将它自身的第2层地址设置为源
17)ASR 44传送数据
18)主机C接收来自主机A的数据
由于ARP 42对ARP请求的响应,因此主机A将认为ARS 42的第2层地址是主机C的地址,由于ASR 44在上述最后的步骤中将它自身的第2层地址设置为送往主机C的数据包的源,因此主机C认为ASR 44的第2层地址是主机A的地址。
具有序列步骤1)至15)的第三种情况描述从主机A到主机D的数据包传送。主机A连接到ASR 42中的端口。主机D连接到因特网的某个位置。
第三种情况
1)主机A具有要发送的IP数据包
2)主机A将它的地址+子网掩码与主机D进行比较,并确定它们不在相同子网中
3)主机A发送ARP广播以便获得缺省网关地址
4)由于ASR 42端口之间的过滤器的原因,广播无法到达ASR中的任何其它端口
5)ASR截取ARP广播,并确定它是缺省网关
6)ASR用它自身的第2层地址来响应对于缺省网关的ARP请求
7)主机A接收ARP响应,并认为它这时知道缺省网关的第2层地址
8)主机A传送数据
9)ASR 42接收数据
10)ASR 42删除第2层信息,并确定对于主机D的出口端
11)ASR 42采用适当的第2层首标封装数据包,用于到主机D的链路
12)沿ASR 42与主机D之间的路径的网关重复步骤9-11。
13)连接主机D的网关接收数据包
14)网关执行ARP查找,并根据因特网标准将数据包转发到主机D
15)主机D接收数据
已经通过不是用于限制本发明的范围的实例及实施例描述了本发明,从而本领域的技术人员能够根据所附权利要求集来得出其它实施例。
Claims (12)
1.一种用于网络(40)的至少一个访间交换路由器(42,44)中的开放式系统互连第2层业务分隔的过滤器,在所述路由器(42,44)中具有配置到相同虚拟局域网的端口,所述过滤器过滤到所述端口的数据包业务,其特征在于它包括:
用于截取来自属于所述虚拟局域网的媒体访问控制地址的网络连接源装置的第2层业务、确定是否准许业务被转发到其它端口的部件;
用于不管目标装置第2层域是否与源装置第2层域相同、响应对所述源装置的广播而截取这种业务中的地址解析协议广播的部件,因而所述源装置确定所述广播已经确认所寻找的目标装置的第2层地址,从而所述源装置将数据包传送给所述目标装置,所述路由器接收所述传送的数据包;
用于确定到所述目标装置的出口端的部件;
用于确定所述目标装置的第2层地址的部件;
用于从所述接收数据包调整第2层首标的部件,该部件用于设置所述源第2层地址,设置所述数据包的所述路由器源地址,所述部件用于确定目标装置的第2层地址,将所述目标第2层地址设置到所述目标装置的地址,将所述数据包传送给所述目标装置;以及
因此进行模拟,如果所述源装置和目标装置处于相同的第2层域,则所述路由器第2层地址为所述源装置和所述目标装置的实际目标地址,或者进行模拟,如果所述源装置和所述目标装置不在相同的第2层域但在相同的第3层子网,则所述路由器第2层地址为所述源对所述目的地的实际目标第2层地址。
2.如权利要求1所述的过滤器,其特征在于,所述目标装置由主机C和主机D组成;在对所述目标装置中的主机C寻址时,为驻留在子路由器(42,44)中的端口提供所述路由器(42,44)第2层地址。
3.如权利要求1或2所述的过滤器,其特征在于,所述路由器(42,44)正调查所述源和/或目标地址,以确定所述数据包的最佳出口端,确定所述数据包是否处于速率限制的简档中,或者根据所述开放式系统互连第3层及更高协议层中的信息进行其它过滤。
4.如权利要求1或2所述的过滤器,其特征在于,路由器(42,44)是第2层交换机与第3层路由器的组合,将具有高级包控制的第2层交换和在第3层路由器中转发判定的能力进行结合。
5.如权利要求1或2所述的过滤器,其特征在于,提供对一个IP子网的应用,将它遍布若干房屋和多个访问交换路由器及多个第2层域中的相同子网,从而覆盖更多客户。
6.如权利要求5所述的过滤器,其特征在于,让具有多台计算机的用户接收更多地址。
7.一种用于网络(40)的至少一个访问交换路由器(42,44)中的开放式系统互连第2层业务分隔的过滤器的方法,在所述路由器(42,44)中具有配置到相同虚拟局域网的端口,所述过滤器过滤到所述端口的数据包业务,其特征在于它包括:
截取来自属于所述虚拟局域网的媒体访问控制地址的网络连接源装置的第2层业务,确定是否准许业务被转发到其它端口;
不管目标装置第2层域是否与源装置第2层域相同,响应对所述源装置的广播而截取这种业务中的地址解析协议广播,因而所述源装置确定所述广播已经确认所寻找的目标装置的第2层地址,从而所述源装置将数据包传送给所述目标装置,所述路由器接收所述传送的数据包;确定到所述目标装置的所述出口端;
确定所述目标装置的第2层地址;
调整来自所述接收数据包的第2层首标,设置所述源第2层地址,设置所述数据包的所述路由器源地址,确定所述目标装置的第2层地址,将所述目标第2层地址设置到所述目标装置的地址,将所述数据包传送给所述目标装置;以及
因此进行模拟,如果所述源装置和所述目标装置处于相同的第2层域,则所述路由器第2层地址为所述源装置和所述目标装置的实际目标地址,或者进行模拟,如果所述源装置和所述目标装置不在相同的第2层域但在相同的第3层子网,则所述路由器第2层地址为所述源对所述目的地的实际目标第2层地址。
8.如权利要求7所述的用于过滤器的方法,其特征在于,所述目标装置由主机C和主机D组成;在对所述目标装置中的主机C寻址时,为驻留在子路由器(42,44)中的端口提供所述路由器(42,44)第2层地址。
9.如权利要求7或8所述的用于过滤器的方法,其特征在于,路由器(42,44)正调查所述源和/或目标地址,以确定所述数据包的最佳出口端,确定所述数据包是否处于速率限制的简档中,或者根据所述开放式系统互连第3层及更高协议层中的信息进行其它过滤。
10.如权利要求7或8所述的用于过滤器的方法,其特征在于,路由器(42,44)是第2层交换机与第3层路由器的组合,将具有高级包控制的第2层交换和在第3层路由器中转发判定的能力进行结合。
11.如权利要求7或8所述的用于过滤器的方法,其特征在于,提供对一个IP子网的应用,将它遍布若干房屋和多个访问交换路由器及多个第2层域中的相同子网,从而覆盖更多客户。
12.如权利要求11所述的用于过滤器的方法,其特征在于,让具有多台计算机的用户接收更多地址。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE0202125A SE523714C2 (sv) | 2002-07-05 | 2002-07-05 | Ett filter i ett gränssnitt inom ett öppet system av typ skikt2 för trafikseparation i minst en router för åtkomstomkoppling inom ett nät, och ett förfarande för detta |
| SE02021251 | 2002-07-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1679280A CN1679280A (zh) | 2005-10-05 |
| CN100438477C true CN100438477C (zh) | 2008-11-26 |
Family
ID=20288463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB038206293A Expired - Fee Related CN100438477C (zh) | 2002-07-05 | 2003-07-03 | 用于业务分隔的过滤器和用于业务分隔的过滤器的方法 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US20050232254A1 (zh) |
| EP (1) | EP1532773B1 (zh) |
| JP (1) | JP4289562B2 (zh) |
| KR (1) | KR20050051632A (zh) |
| CN (1) | CN100438477C (zh) |
| AT (1) | ATE372626T1 (zh) |
| AU (1) | AU2003243116B2 (zh) |
| CA (1) | CA2491423A1 (zh) |
| DE (1) | DE60316158T2 (zh) |
| NO (1) | NO20050558L (zh) |
| RU (1) | RU2310994C2 (zh) |
| SE (1) | SE523714C2 (zh) |
| WO (1) | WO2004006513A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100568178B1 (ko) * | 2003-07-18 | 2006-04-05 | 삼성전자주식회사 | 게이트웨이 장치 및 그 제어방법 |
| JP4545619B2 (ja) * | 2005-03-15 | 2010-09-15 | 富士通株式会社 | ネットワークシステム、レイヤ3通信装置、レイヤ2通信装置および経路選択方法 |
| WO2006125454A1 (en) * | 2005-05-23 | 2006-11-30 | Telefonaktiebolaget L.M. Ericsson (Publ.) | Traffic diversion in an ethernet-based access network |
| US7969966B2 (en) * | 2005-12-19 | 2011-06-28 | Alcatel Lucent | System and method for port mapping in a communications network switch |
| JP2010507387A (ja) | 2006-10-25 | 2010-03-11 | クアーク・ファーマスーティカルス、インコーポレイテッド | 新規のsiRNAおよびその使用方法 |
| KR101624868B1 (ko) * | 2008-08-06 | 2016-06-07 | 삼성전자주식회사 | 가상화 장치의 제어방법 및 가상화 장치 |
| CN102130824B (zh) * | 2010-10-30 | 2014-09-17 | 华为技术有限公司 | 网络联合优化方法和装置 |
| CN103188102B (zh) * | 2011-12-29 | 2016-01-27 | 中国移动通信集团广东有限公司 | 一种实现通信设备组网的方法、装置及系统 |
| US10038632B2 (en) * | 2015-07-23 | 2018-07-31 | Netscout Systems, Inc. | AIA enhancements to support L2 connected networks |
| CN109861926B (zh) * | 2017-11-30 | 2023-02-07 | 中兴通讯股份有限公司 | 报文的发送、处理方法、装置、节点、处理系统和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002019056A2 (en) * | 2000-08-31 | 2002-03-07 | Verizon Communications Inc. | Methods, apparatus and data structures for preserving address and service level information in a virtual private network |
| US20020052972A1 (en) * | 2000-08-29 | 2002-05-02 | Lg Electronics, Inc. | Communication method among a plurality of virtual LANs in an IP subnet |
| US6405248B1 (en) * | 1998-12-02 | 2002-06-11 | Micromuse, Inc. | Method and apparatus for determining accurate topology features of a network |
| US20020080800A1 (en) * | 2000-12-23 | 2002-06-27 | Lg Electronics Inc. | VLAN data switching method using ARP packet |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US2816323A (en) * | 1953-04-22 | 1957-12-17 | Charles G Munger | Method of making plastic lined concrete pipe and joints therein |
| FR2276914A1 (fr) * | 1974-07-04 | 1976-01-30 | Kroyer St Annes Ltd Karl | Appareil de moulage |
| DE3108972A1 (de) * | 1981-03-10 | 1982-09-23 | Steuler Industriewerke GmbH, 5410 Höhr-Grenzhausen | Verfahren zur herstellung von grossflaechigen, als verlorene schalung einsetzbaren auskleidungsplatten |
| EP0436058B1 (de) * | 1990-01-05 | 1993-10-20 | agru Alois Gruber G.m.b.H. | Verfahren zur Herstellung von Noppenplatten aus Kunststoff und Noppenplatte |
| US5920699A (en) * | 1996-11-07 | 1999-07-06 | Hewlett-Packard Company | Broadcast isolation and level 3 network switch |
| WO1998045995A1 (en) * | 1997-04-09 | 1998-10-15 | Alcatel Australia Limited | Internet closed user group |
| US6047325A (en) * | 1997-10-24 | 2000-04-04 | Jain; Lalit | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks |
| US6070187A (en) * | 1998-03-26 | 2000-05-30 | Hewlett-Packard Company | Method and apparatus for configuring a network node to be its own gateway |
| EP0978977A1 (en) * | 1998-08-07 | 2000-02-09 | International Business Machines Corporation | A method and system for improving high speed internetwork data transfers |
| US6343330B1 (en) * | 1999-05-25 | 2002-01-29 | Cisco Technology, Inc. | Arrangement for preventing looping of explorer frames in a transparent bridging domain having multiple entry points |
| GB2358760B (en) * | 2000-01-25 | 2003-06-25 | 3Com Corp | Network switch with self-learning routing facility |
-
2002
- 2002-07-05 SE SE0202125A patent/SE523714C2/sv not_active IP Right Cessation
-
2003
- 2003-07-03 JP JP2004519463A patent/JP4289562B2/ja not_active Expired - Fee Related
- 2003-07-03 WO PCT/SE2003/001161 patent/WO2004006513A1/en active IP Right Grant
- 2003-07-03 US US10/520,045 patent/US20050232254A1/en not_active Abandoned
- 2003-07-03 RU RU2005102830/09A patent/RU2310994C2/ru not_active IP Right Cessation
- 2003-07-03 CN CNB038206293A patent/CN100438477C/zh not_active Expired - Fee Related
- 2003-07-03 AT AT03762953T patent/ATE372626T1/de not_active IP Right Cessation
- 2003-07-03 KR KR1020057000214A patent/KR20050051632A/ko not_active Application Discontinuation
- 2003-07-03 CA CA002491423A patent/CA2491423A1/en not_active Abandoned
- 2003-07-03 AU AU2003243116A patent/AU2003243116B2/en not_active Ceased
- 2003-07-03 EP EP03762953A patent/EP1532773B1/en not_active Expired - Lifetime
- 2003-07-03 DE DE60316158T patent/DE60316158T2/de not_active Expired - Lifetime
-
2005
- 2005-02-01 NO NO20050558A patent/NO20050558L/no not_active Application Discontinuation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6405248B1 (en) * | 1998-12-02 | 2002-06-11 | Micromuse, Inc. | Method and apparatus for determining accurate topology features of a network |
| US20020052972A1 (en) * | 2000-08-29 | 2002-05-02 | Lg Electronics, Inc. | Communication method among a plurality of virtual LANs in an IP subnet |
| WO2002019056A2 (en) * | 2000-08-31 | 2002-03-07 | Verizon Communications Inc. | Methods, apparatus and data structures for preserving address and service level information in a virtual private network |
| US20020080800A1 (en) * | 2000-12-23 | 2002-06-27 | Lg Electronics Inc. | VLAN data switching method using ARP packet |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2005102830A (ru) | 2005-11-20 |
| DE60316158T2 (de) | 2008-06-05 |
| EP1532773A1 (en) | 2005-05-25 |
| AU2003243116B2 (en) | 2007-11-15 |
| JP2005532730A (ja) | 2005-10-27 |
| SE0202125L (sv) | 2004-01-06 |
| RU2310994C2 (ru) | 2007-11-20 |
| DE60316158D1 (de) | 2007-10-18 |
| WO2004006513A1 (en) | 2004-01-15 |
| ATE372626T1 (de) | 2007-09-15 |
| CN1679280A (zh) | 2005-10-05 |
| KR20050051632A (ko) | 2005-06-01 |
| JP4289562B2 (ja) | 2009-07-01 |
| US20050232254A1 (en) | 2005-10-20 |
| AU2003243116A1 (en) | 2004-01-23 |
| CA2491423A1 (en) | 2004-01-15 |
| NO20050558L (no) | 2005-04-04 |
| AU2003243116B8 (en) | 2004-01-23 |
| EP1532773B1 (en) | 2007-09-05 |
| SE0202125D0 (sv) | 2002-07-05 |
| SE523714C2 (sv) | 2004-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8638802B2 (en) | Network packet steering via configurable association of packet processing resources and network interfaces | |
| US6189042B1 (en) | LAN internet connection having effective mechanism to classify LAN traffic and resolve address resolution protocol requests | |
| AU2003243064B2 (en) | An arrangement and a method relating to ethernet access systems | |
| USRE43051E1 (en) | Enabling a service provider to provide intranet services | |
| EP1164754B1 (en) | Methods and arrangements in a telecommunications system | |
| US20060021001A1 (en) | Method and apparatus for implementing security policies in a network | |
| EP1701516B1 (en) | Method for facilitating application server functionality and access node comprising the same | |
| CN100438477C (zh) | 用于业务分隔的过滤器和用于业务分隔的过滤器的方法 | |
| US8437357B2 (en) | Method of connecting VLAN systems to other networks via a router | |
| EP1646188B1 (en) | A method for ethernet network service safety isolation | |
| KR20060059877A (ko) | 이더넷 접근 시스템에 관한 장치 및 방법 | |
| EP1686756B1 (en) | Communication system, method and apparatus for providing mirroring service in the communication system | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| US7969966B2 (en) | System and method for port mapping in a communications network switch | |
| KR20170001656A (ko) | 공인 ip와 사설 ip를 함께 제공하는 nfv 기반의 인터넷 서비스를 위한 서비스 펑션 체이닝을 통한 동적 서비스 구성 방법 | |
| WO2009058058A1 (en) | A method and a device for improved connectivity in a vpn | |
| JP2003046527A (ja) | 通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: PACKETFRONT INTERNATIONAL AB Free format text: FORMER OWNER: PACKETFRONT SWEDEN AB Effective date: 20111014 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20111014 Address after: The country of Sweden Patentee after: Puckett Frank International Ltd. Address before: The country of Sweden Patentee before: Packetfront Sweden AB |
|
| ASS | Succession or assignment of patent right |
Owner name: PACKETFRONT NETWORK PRODUCTS AB Free format text: FORMER OWNER: PACKETFRONT INTERNATIONAL AB Effective date: 20120809 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120809 Address after: The country of Sweden Patentee after: Puckett Frank Network Products Ltd. Address before: The country of Sweden Patentee before: Puckett Frank International Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081126 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |