CN101433029B - 用于使用第二层源地址的选择性的第二层端口阻塞的方法、系统 - Google Patents
用于使用第二层源地址的选择性的第二层端口阻塞的方法、系统 Download PDFInfo
- Publication number
- CN101433029B CN101433029B CN2007800135153A CN200780013515A CN101433029B CN 101433029 B CN101433029 B CN 101433029B CN 2007800135153 A CN2007800135153 A CN 2007800135153A CN 200780013515 A CN200780013515 A CN 200780013515A CN 101433029 B CN101433029 B CN 101433029B
- Authority
- CN
- China
- Prior art keywords
- layer
- frame
- port
- forwarded
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/60—Router architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/742—Route cache; Operation thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3009—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/351—Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
Abstract
本发明公开了一种使用第二层源地址的选择性的第二层端口阻塞的方法、系统和计算机程序产品。根据一种方法,接收第二层帧。基于该第二层帧中的第二层源地址来识别I/O端口阻塞列表。识别该第二层帧将要被转发到的端口的集合。阻止将帧转发到既在该集合中又在I/O端口阻塞列表中的端口。
Description
相关申请
本申请要求2006年2月17日提交的美国专利申请号11/356,614的权利,这里将以上公开完整引入本文作为参考。
技术领域
本文所述主题包括用于实现第二层端口阻塞的方法、系统和计算机程序产品。更具体地,本文所述主题包括用于使用第二层源地址来实现第二层端口阻塞的方法、系统和计算机程序产品。
背景技术
在第二层交换设备中,例如以太网交换机,当在端口接收分组或帧时,典型地在第二层转发表中执行查找。基于帧中的第二层目的地址执行该查找。如果在表中出现用于目的地址的条目,则可以将帧转发到输出端口或对应于该条目的端口。如果在表中没有出现用于该帧的条目,则帧可以泛洪到除了用于接收该帧的端口之外的所有输出端口。
可以使用虚拟局域网(VLAN)来限制帧的第二层泛洪域。例如,如果第二层帧包括VLAN标签,并且在转发表查找期间,未针对帧的第二层目的地址定位条目,则该帧仅泛洪到与该帧中所识别的VLAN标签相同的VLAN的成员端口。
另一种查找被称为学习阶段查找,该查找典型地发生在当帧到达第二层分组转发设备时。在该学习阶段期间,当帧到达第二层交换设备的端口处时,则读取帧中的第二层源地址。可以使用第二层源地址在第二层转发表中执行查找,以确定是否存在用于第二层源地址的转发表条目。如果在转发表中没有出现对应于第二层源地址的转发表条目,则通过将第二层源地址添加到转发表来对该地址进行学习,其中将条目的转发信息设置到用 于接收该帧的端口。该信息可以传递到交换中的其它端口,以便可以将具有与学习的源地址相对应的第二层目的地址的分组转发到正确的端口。如果第二层源地址已经出现在转发表中,则它已被学习,并且学习阶段结束。
在一些实例中,期望执行第二层端口阻塞。例如,期望允许端口A和B互相通信,但不与端口C通信,即便端口A-C都是同一VLAN的成员。用于执行这样的端口阻塞的一种方法是硬连线第二层交换设备,以便来自一个端口的帧仅去向允许与该端口通信的端口。这样的解决方案的精细度不够,并且缺乏弹性。例如,可能期望允许将来自端口A的一些分组转发到端口C,并且阻止其它分组从端口A转发到端口C。
本文所述主题的受让人将用于提供第二层端口阻塞的两个其它方法称为限制学习和MAC锁定。根据限制学习,一个VLAN接个VLAN地配置预定数量的可学习的MAC地址。一旦已经学习了该数量的MAC地址,如果新的MAC源地址的帧到达了,则将黑洞条目添加到用于该MAC源地址的转发表,以便丢弃所具有与该黑洞条目对应的MAC目的地址的任意接收分组。在MAC锁定特征中,操作者向第二层交换发出运行时间的命令以锁定第二层转发表,从而在命令之后不能学习额外的条目。将要尝试学习的后续MAC地址作为黑洞条目添加到该表,以便丢弃具有与该黑洞条目对应的MAC目的地址的分组。
尽管这些安全特征中的每一个都适合它们的预期目的,一直以来都需要一种用于使用第二层源地址来执行选择性的第二层端口阻塞的改进的方法、系统和计算机程序产品。
发明内容
根据一个方面,本文所述主题包括用于使用第二层源地址执行选择性的第二层端口阻塞的方法。该方法包括接收第二层帧,以及基于第二层帧中的第二层源地址来识别I/O端口阻塞列表。执行转发阶段查找,以识别该第二层帧所应该转发到的端口的集合。阻止将第二层帧转发到既在子集合中又在阻塞列表中的端口。
本文使用了可互换的术语“分组”和“帧”,并且其指的是在网络上发送的协议数据单元,其具有至少一个头部和有效载荷。术语“第二层”指 的是网络通信协议栈的媒体访问控制(MAC)层。适用于本文所述主题的第二层实现的实例是以太网层。术语“第三层”指的是网络通信协议栈的网络层。适用于本文所述主题的第三层实现的实例是因特网协议层。
可以使用包括了包含在计算机可读介质中的计算机可执行指令的计算机程序产品来实现本文所述的基于第二层源地址来实现的选择性的第二层端口阻塞的主题。适合实现本文所述主题的示例性计算机可读介质包括盘片存储设备、芯片存储设备、可编程的逻辑设备、专用集合成电路和可下载的电气信号。另外,可以将用于实现本文所述主题的计算机可读介质置于单个设备或者计算机平台上,或者交叉分布在多个物理设备和/或者计算机平台中。
附图说明
现在参考附图来解释本文所述主题的优选实施例,其中:
图1是根据本文所述主题的实施例,示出了用于基于第二层源地址来实现选择性的第二层端口阻塞的第二层/第三层分组转发设备的方框图;
图2是根据本文所述主题的实施例,示出了使用第二层源地址来实现选择性的第二层端口阻塞的示例性步骤的流程图;以及
图3是根据本文所述主题的实施例,示出了用于实现第二层和第三层分组的选择性的第二层端口阻塞的示例性步骤的流程图。
具体实施方式
可以在包括第二层交换能力的任意合适的处理平台上实现本文所述的使用第二层源地址来实现选择性的第二层端口阻塞的主题。这种平台的实例包括以太网交换机,以及包括了以太网交换能力的IP路由器。图1是示出了可用于实现本文所述主题的平台的实例的方框图。在图1中,第二层交换机/第三层路由器100执行第二层交换和第三层路由。在示出的实例中,交换机/路由器100包括多个输入/输出(I/O)模块102、交换结构104和交换管理模块106。每个I/O模块102包括一个或多个I/O端口108A-114B,用于将每个I/O模块102连接到外部网络,以将分组发送到网络以及从网络接收分组。为了执行第二层和第三层分组转发,每个I/O模块102包括 查找引擎116、第二层转发数据库118和第三层转发数据库120。查找引擎116基于第二层和第三层目的地址,在数据库118和120中执行查找,以确定将每个接收的分组转发到哪里。第二层转发数据库118包括第二层地址和对应的转发信息的表。第三层转发数据库120包括第三层地址和对应的转发信息的表。如下文将更详细的描述的,对于一些条目,第二层转发数据库118可以包括I/O端口阻塞列表。
虽然在图1中,单个查找引擎116执行第二层和第三层转发阶段查找两者,但是本文所述主题不限于这种实现。在可替换的实现中,可以使用分离的硬件、软件或者固件组件来实现第二层和第三层查找引擎。
另外,虽然在图1中显示了分离的第二层和第三层转发数据库,但是本文所述主题不限于这种实施例。在不脱离本文所述主题的范围的前提下,可以将第二层和第三层转发数据库实现为作为同一数据库的一部分的分离的表。
交换结构104在I/O模块102和交换管理模块106之间交换分组。交换管理模块106包括主第三层转发数据库122、软件查找引擎124和第三层路由协议软件126。主第三层转发数据库122包括第三层转发数据库120中的所有条目的拷贝,加上使用第三层路由协议来学习的任意额外的条目,其中第三层转发数据库120是由I/O模块所维护的,第三层路由协议是由软件126所实现的。软件查找引擎124在主第三层转发数据库122中查找I/O模块102所接收的不能使用第三层转发数据来转发的分组,其中第三层转发数据是通过每个I/O模块本地维护的。
在图1中示出的设备中,期望实现选择性的第二层端口阻塞。例如,期望基于每个第二层源地址,选择性地阻止分组在图1中示出的I/O端口的组之间发送。在一个实现中,I/O端口108A、108B、112A、112B、114A和114B可以是同一VLAN的成员。然而,可能期望阻止将到达端口108A和108B的特定分组转发到I/O端口114A和114B,并且阻止将其它的分组转发到端口112A和112B。为了实现这种需要,可以基于每个源地址来配置第二层阻塞表。下文显示的表1示出了根据本文所述主题用于实现选择性的第二层端口阻塞的示例性第二层转发表。
| MAC地址 | VLAN | 成员端口 | 端口阻塞列表 |
| MAC1 | 5 | 112A,112B,114A,114B | 114A,114B |
| MAC2 | 5 | 112A,112B,114A,114B | 112A,112B |
| MAC3 | 5 | 112A,112B,114A,114B | 112A,112B |
表1:具有通过端口阻塞列表来索引的源的第二层转发数据表1中的条目用于实现上文所述的阻塞实例,用于基于每个第二层源地址,选择性地阻止将到达在端口108A和108B的分组转发到端口112A、112B、114A或114B。在表1中,第一列包括MAC地址。随着MAC地址的学习,可以增加该列中的条目。通过交换操作者可以静态地配置一些条目。第二列包括VLAN识别码、第三列包括用于每个条目的转发信息,以及第四列包括I/O端口阻塞列表。
除了用于学习阶段查找之外,诸如表1的转发表也可以用于转发阶段查找。例如,如果在具有表1中的数据的端口处接收两个分组,将可以发生以下步骤。参考图2,在步骤200中,接收第二层帧。为了这个实例的目的,假设第一个第二层帧的MAC源地址(SA)=MAC1,MAC目的地址(DA)=MAC2以及VLAN标签为5。在步骤202中,可以基于第二层源地址来识别I/O端口阻塞列表。使用表1中的数据作为实例,如果MACSA=MAC1,则提取的I/O端口阻塞列表将包含端口114A、114B。
在步骤204中,执行转发阶段查找以识别该帧所应该被转发到的端口的集合。使用MAC DA=MAC2在表1中执行的查找,该帧所应该被转发到的成员端口是112A、112B、114A和114B。在步骤204中,阻止将该帧转发到既在集合中又在阻塞列表中的端口。使用当前实例,由于114A和114B在阻塞列表中,仅仅将帧转发到112A和112B。
可以通过另一个实例来示出端口阻塞的选择性,在该实例中接收MACSA=MAC3、MAC DA=MAC2以及VLAN=5的帧。如果接收了这种帧,则提取包含端口112A和112B的端口阻塞列表。目的地址用于定位与先前的实例中的端口相同的端口。然而,将帧转发到端口114A和114B,而不是 将帧转发到端口112A和112B,因为端口112A和112B在MAC SA=MAC3的I/O端口阻塞列表中。因此,通过使用MAC源地址作为鉴别符来选择端口阻塞列表,并且使用该列表以确定该帧所应该被转发到的端口,可以达到微量端口阻塞。另外,因为可以在学习阶段查找中定位I/O端口阻塞列表,所以第二层的安全应用减少了查找的数量,其中该应用需要学习之外的查找和转发阶段查找以实现安全特征。
虽然关于图2所描述的实例对仅基于第二层信息来转发的分组的第二层转发域进行限制,但是本文所述主题不限于这种实例。可以对使用任意协议来识别的第二层端口的集合,实现使用端口阻塞列表的选择性的第二层端口阻塞。图3是根据本文所述主题的实施例,示出了用于基于第二层和第三层帧的第二层源地址来执行选择性的第二层端口阻塞的示例性步骤的流程图。参考图3,在步骤300处,最初将用于接收的帧的I/O端口阻塞列表设置为空(NULL)。在步骤302中,基于接收的第二层帧中的第二层源地址来执行学习阶段查找。如上文所述,第二层学习阶段查找可以包括在用于接收帧或分组的端口处执行第二层转发表中的查找,以确定对应于第二层源地址的条目是否出现。在步骤304中,如果对应于第二层源地址的条目出现在转发数据库中,则不需要学习,并且控制前进到步骤306,在步骤306提取了对应于分组源地址的I/O端口阻塞列表,并且将其存储在称为PBL的变量中。
在步骤308中,确定分组是否是第三层组播分组。可以通过第二层目的地址0X01005E来识别第三层组播分组。如果出现了这个地址,则该帧是第三层组播帧,并且控制前进到步骤310,在步骤310执行第三层查找以识别该帧所应该被转发到的出站端口列表(EPL)。在步骤308中,如果确定该帧不是第三层组播帧,则控制前进到步骤312,在步骤312确定第二层分组目的地址是否出现在转发数据库中。如果第二层分组目的地址没有出现在转发数据库中,则控制前进到步骤314,在步骤314将出站端口列表设置给与接收分组相关联的VLAN的成员。
在步骤312中,如果第二层分组目的地址在转发数据库中,则控制前进到步骤315,在步骤315确定是否将分组寻址到接收路由器的MAC地址。如果将分组寻址到路由器的MAC地址,则控制前进到步骤316,在步骤 316确定分组是否是第三层单播分组。如果分组是第三层单播分组,则控制前进到步骤318,在步骤318基于第三层目的地址执行第三层查找,以识别该帧所应该被转发到的出站端口列表。在步骤315中如果不将分组寻址到路由器的MAC地址,或者在步骤316中如果确定分组不是第三层单播分组,则控制前进到步骤320,在步骤320从与分组中的第二层目的地址相匹配的第二层转发数据库中的条目提取出站端口列表。
一旦在步骤310、314、318或320中识别了出站端口列表,控制就前进到步骤322,在步骤322使用I/O端口阻塞列表来遮掩来自出站端口列表的条目。可以使用与出站端口列表和I/O端口阻塞列表相对应的位图来实现该步骤。出站端口列表位图可以包括一个与该分组所应该被转发到的每个端口相对应的1和用于余下的端口的零。类似地,I/O端口阻塞列表位图可以包括用于每个阻塞的端口的1和用于余下端口的零。相应地,为了针对该帧所应该被转发到的每个端口产生1s的位图,可以将I/O端口阻塞列表位图进行位反转,并且用出站端口列表位图来对它进行与(AND)操作。结果所得的位图包括与该帧所要被转发到的端口相对应的比特。使用简单计算,例如逻辑与操作,可以在硬件中轻易地识别最终的出站端口列表。
返回到步骤304,如果第二层源地址不出现在转发数据库中,则控制前进到步骤324,在步骤324在接收端口上学习MAC源地址。然后,控制前进到步骤308和310、312和314或者315-320,以识别了出站端口列表,然后到步骤322,在步骤322如上文所述对列表进行遮掩。因此,使用图3中示出的步骤,可以对基于第二层或第三层信息来转发的帧执行选择性的第二层端口阻塞。
要理解的是,可以在不脱离本发明的范围的前提下改变本发明的各种细节。此外,前述描述仅仅为了说明的目的,不是为了限制的目的。
Claims (22)
1.一种基于第二层源地址的选择性的第二层端口阻塞的方法,所述方法包括:
(a)接收第二层帧;
(b)基于所述第二层帧中的第二层源地址来识别输入/输出(I/O)端口阻塞列表,其中,基于所述第二层源地址来识别I/O端口阻塞列表的步骤包括:在第二层转发表中执行第二层学习阶段查找;
(c)执行转发阶段查找,以识别所述帧应该被转发到的端口的集合;以及
(d)阻止将所述第二层帧转发到既在所述集合中又在所述I/O端口阻塞列表中的端口。
2.如权利要求1所述的方法,其中,执行所述转发阶段查找的步骤包括:在第二层转发表中执行查找,以及识别包括与所述第二层帧中的VLAN标签相对应的VLAN成员的端口的集合。
3.如权利要求1所述的方法,其中,执行所述转发阶段查找的步骤包括:将分组识别为第三层组播分组,以及在第三层转发表中执行查找以确定所述帧应该被转发到的第二层端口的所述集合。
4.如权利要求1所述的方法,其中,执行所述转发阶段查找的步骤包括:将所述帧识别为第三层单播帧,并且在第三层转发表中执行查找以识别所述帧应该被转发到的端口的所述集合。
5.如权利要求1所述的方法,其中,所述I/O端口阻塞列表由具有用于指示所述第二层帧不应该被转发到的端口的位的位图来表示,其中,所述转发阶段查找期间识别的端口的所述集合由具有用于指示所述第二层帧应该被转发到的端口的所述集合的位的位图来表示,并且其中,阻止将所述第二层帧转发到既在所述集合中又在所述列表中的端口的步骤包括:使 用表示所述I/O端口阻塞列表的所述位图来遮掩用于表示所述帧应该被转发到的所述端口的所述位图。
6.如权利要求1所述的方法,其中,所述第二层帧包括以太网帧,并且其中,接收第二层帧的步骤包括:在以太网交换机接收所述第二层帧。
7.如权利要求1所述的方法,其中,所述第二层帧包括具有因特网协议(IP)有效载荷的以太网帧,其中,接收第二层帧的步骤包括:在IP路由器接收第二层帧。
8.一种使用第二层源地址的选择性的第二层端口阻塞的系统,所述系统包括:
(a)包括具有第二层转发信息的条目的转发数据库,其中,至少一个所述条目包括输入/输出(I/O)端口阻塞列表,用于指示接收的第二层帧不应该被转发到的端口;以及
(b)用于接收第二层帧的转发引擎,用于基于所述第二层帧中的第二层源地址来在所述转发数据库中定位所述I/O端口阻塞列表,用于确定帧应该被转发到的端口的集合,以及用于阻止将所述帧转发到既在所述集合中又在针对所述帧所定位的所述I/O端口阻塞列表中的端口;
其中,所述转发引擎通过在所述转发数据库中执行第二层学习阶段查找来识别所述I/O端口阻塞列表。
9.如权利要求8所述的系统,其中,所述转发引擎通过基于所述第二层帧中的第二层目的地址在所述转发数据库中执行查找,来识别所述帧应该被转发到的端口的所述集合。
10.如权利要求8所述的系统,其中,所述转发引擎将所述帧识别为第三层组播帧,并且所述转发引擎通过在所述转发数据库中的第三层转发表中执行查找来识别所述帧应该被转发到的端口的所述集合。
11.如权利要求8所述的系统,其中,所述转发引擎将所述帧识别为第三层单播帧,并且所述转发引擎通过在所述转发数据库中的第三层转发表中执行查找来识别所述帧应该被转发到的端口的所述集合。
12.如权利要求8所述的系统,其中,所述I/O端口阻塞列表由具有用于指示所述帧不应该被转发到的所述端口的位的位图来表示,其中,所述帧应该被转发到的端口的所述集合由具有用于指示所述帧应该被转发到的所述端口的位的位图来表示,并且其中,所述转发引擎通过用所述I/O端口阻塞列表位图遮掩与所述帧应该被转发到的端口的所述集合相对应的所述位图,来实施所述阻塞。
13.如权利要求8所述的系统,其中,所述转发引擎包括第二层转发引擎,并且其中,所述转发数据库包括第二层转发数据库。
14.如权利要求8所述的系统,其中,所述转发引擎包括第三层转发引擎,并且其中,所述转发数据库包括第三层转发数据库。
15.如权利要求8所述的系统,其中,所述转发引擎包括第二层和第三层转发引擎,并且其中,所述转发数据库包括第二层和第三层转发表。
16.一种基于第二层源地址的选择性的第二层端口阻塞的装置,所述装置包括:
(a)用于接收第二层帧的模块;
(b)用于基于所述第二层帧中的第二层源地址来识别输入/输出(I/O)端口阻塞列表的模块,其中,用于基于所述第二层源地址来识别I/O端口阻塞列表的模块包括:用于在第二层转发表中执行第二层学习阶段查找的模块;
(c)用于执行转发阶段查找,以识别所述帧应该被转发到的端口的集合的模块;以及
(d)用于阻止将所述第二层帧转发到既在所述集合中又在所述I/O端 口阻塞列表中的端口的模块。
17.如权利要求16所述的装置,其中,用于执行所述转发阶段查找的模块包括:用于在第二层转发表中执行查找的模块,以及用于识别包括与所述第二层帧中的VLAN标签相对应的VLAN成员的端口的集合的模块。
18.如权利要求16所述的装置,其中,用于执行所述转发阶段查找的模块包括:用于将分组识别为第三层组播分组的模块,以及用于在第三层转发表中执行查找以确定所述帧应该被转发到的第二层端口的所述集合的模块。
19.如权利要求16所述的装置,其中,用于执行所述转发阶段查找的模块包括:用于将所述帧识别为第三层单播帧的模块,以及用于在第三层转发表中执行查找以识别所述帧应该被转发到的端口的所述集合的模块。
20.如权利要求16所述的装置,其中,所述I/O端口阻塞列表由具有用于指示所述第二层帧不应该被转发到的端口的位的位图来表示,其中,所述转发阶段查找期间识别的端口的所述集合由具有用于指示所述第二层帧应该被转发到的端口的所述集合的位的位图来表示,并且其中,用于阻止将所述第二层帧转发到既在所述集合中又在所述列表中的端口的模块包括:用于使用表示所述I/O端口阻塞列表的所述位图来遮掩用于表示所述帧应该被转发到的所述端口的所述位图的模块。
21.如权利要求16所述的装置,其中,所述第二层帧包括以太网帧,并且其中,用于接收第二层帧的模块包括:用于在以太网交换机接收所述第二层帧的模块。
22.如权利要求16所述的装置,其中,所述第二层帧包括具有因特网协议(IP)有效载荷的以太网帧,其中,用于接收第二层帧的模块包括:用于在IP路由器接收第二层帧的模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/356,614 | 2006-02-17 | ||
| US11/356,614 US8705532B2 (en) | 2006-02-17 | 2006-02-17 | Methods, systems, and computer program products for selective layer 2 port blocking using layer 2 source addresses |
| PCT/US2007/003081 WO2007097908A2 (en) | 2006-02-17 | 2007-02-06 | Methods, systems, and computer program products for selective layer 2 port blocking using layer 2 source addresses |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101433029A CN101433029A (zh) | 2009-05-13 |
| CN101433029B true CN101433029B (zh) | 2013-02-06 |
Family
ID=38428123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800135153A Active CN101433029B (zh) | 2006-02-17 | 2007-02-06 | 用于使用第二层源地址的选择性的第二层端口阻塞的方法、系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8705532B2 (zh) |
| EP (1) | EP1985074B1 (zh) |
| JP (1) | JP4903231B2 (zh) |
| CN (1) | CN101433029B (zh) |
| WO (1) | WO2007097908A2 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006099540A2 (en) | 2005-03-15 | 2006-09-21 | Trapeze Networks, Inc. | System and method for distributing keys in a wireless network |
| US8638762B2 (en) | 2005-10-13 | 2014-01-28 | Trapeze Networks, Inc. | System and method for network integrity |
| US7724703B2 (en) | 2005-10-13 | 2010-05-25 | Belden, Inc. | System and method for wireless network monitoring |
| WO2007044986A2 (en) | 2005-10-13 | 2007-04-19 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
| US7573859B2 (en) | 2005-10-13 | 2009-08-11 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
| US8705532B2 (en) | 2006-02-17 | 2014-04-22 | Extreme Networks, Inc. | Methods, systems, and computer program products for selective layer 2 port blocking using layer 2 source addresses |
| US7558266B2 (en) * | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
| US8966018B2 (en) | 2006-05-19 | 2015-02-24 | Trapeze Networks, Inc. | Automated network device configuration and network deployment |
| US9191799B2 (en) | 2006-06-09 | 2015-11-17 | Juniper Networks, Inc. | Sharing data between wireless switches system and method |
| US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
| US9258702B2 (en) | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
| US8340110B2 (en) | 2006-09-15 | 2012-12-25 | Trapeze Networks, Inc. | Quality of service provisioning for wireless networks |
| US7873061B2 (en) | 2006-12-28 | 2011-01-18 | Trapeze Networks, Inc. | System and method for aggregation and queuing in a wireless network |
| US8027252B2 (en) * | 2007-03-02 | 2011-09-27 | Adva Ag Optical Networking | System and method of defense against denial of service of attacks |
| US8667155B2 (en) | 2007-03-02 | 2014-03-04 | Adva Ag Optical Networking | System and method for line rate frame processing engine using a generic instruction set |
| US20080212578A1 (en) * | 2007-03-02 | 2008-09-04 | Adva Ag Optical Networking | System and method for constrained machine address learning |
| US8902904B2 (en) | 2007-09-07 | 2014-12-02 | Trapeze Networks, Inc. | Network assignment based on priority |
| US8238942B2 (en) | 2007-11-21 | 2012-08-07 | Trapeze Networks, Inc. | Wireless station location detection |
| US8150357B2 (en) | 2008-03-28 | 2012-04-03 | Trapeze Networks, Inc. | Smoothing filter for irregular update intervals |
| US8978105B2 (en) | 2008-07-25 | 2015-03-10 | Trapeze Networks, Inc. | Affirming network relationships and resource access via related networks |
| US8238298B2 (en) | 2008-08-29 | 2012-08-07 | Trapeze Networks, Inc. | Picking an optimal channel for an access point in a wireless network |
| US8208418B1 (en) * | 2009-01-16 | 2012-06-26 | Extreme Networks, Inc. | Methods, systems, and computer readable media for conserving multicast port list resources in an internet protocol (IP) packet forwarding device |
| JP5251716B2 (ja) * | 2009-05-08 | 2013-07-31 | 富士通株式会社 | パケット中継装置 |
| US9008091B1 (en) | 2010-11-19 | 2015-04-14 | Extreme Networks, Inc. | Methods, systems, and computer readable media for improved multicast scaling through policy based redirection |
| US8923294B2 (en) * | 2011-06-28 | 2014-12-30 | Polytechnic Institute Of New York University | Dynamically provisioning middleboxes |
| US9008095B2 (en) * | 2012-10-02 | 2015-04-14 | Cisco Technology, Inc. | System and method for hardware-based learning of internet protocol addresses in a network environment |
| US9253140B2 (en) | 2012-11-20 | 2016-02-02 | Cisco Technology, Inc. | System and method for optimizing within subnet communication in a network environment |
| EP2789144B1 (en) * | 2012-11-21 | 2017-03-15 | Unify GmbH & Co. KG | Local port managing method and device, packet-oriented data network, digital storage media, and computer program product |
| US9723461B2 (en) * | 2014-02-24 | 2017-08-01 | Paypal, Inc. | Systems and methods for context based and socially aware call routing |
| US9118582B1 (en) * | 2014-12-10 | 2015-08-25 | Iboss, Inc. | Network traffic management using port number redirection |
| CN109379286B (zh) * | 2018-12-25 | 2020-12-01 | 中国科学院沈阳自动化研究所 | 一种基于Handle标识的数据转发系统 |
| US11956214B2 (en) * | 2020-07-06 | 2024-04-09 | Dell Products L.P. | Media access control address learning limit on a virtual extensible local area multi-homed network Ethernet virtual private network access port |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1333617A (zh) * | 2000-07-06 | 2002-01-30 | 三星电子株式会社 | 基于mac地址的通信限制方法 |
| CN1371202A (zh) * | 2002-02-28 | 2002-09-25 | 威盛电子股份有限公司 | 数据包传送方法及应用此方法的网络交换机 |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| US6977891B1 (en) * | 2001-06-30 | 2005-12-20 | Extreme Networks, Inc. | Method and system for multicast traffic reduction |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6707818B1 (en) * | 1999-03-17 | 2004-03-16 | Broadcom Corporation | Network switch memory interface configuration |
| EP1162795A3 (en) * | 2000-06-09 | 2007-12-26 | Broadcom Corporation | Gigabit switch supporting improved layer 3 switching |
| US6999455B2 (en) | 2000-07-25 | 2006-02-14 | Broadcom Corporation | Hardware assist for address learning |
| US7227862B2 (en) * | 2000-09-20 | 2007-06-05 | Broadcom Corporation | Network switch having port blocking capability |
| JP3641589B2 (ja) * | 2001-02-26 | 2005-04-20 | 日本電信電話株式会社 | ネットワーク監視方法および装置 |
| US7002936B2 (en) * | 2001-03-30 | 2006-02-21 | Telcordia Technologies, Inc. | Distributed soft handoff among IP-based base stations |
| US7031325B1 (en) * | 2001-04-04 | 2006-04-18 | Advanced Micro Devices, Inc. | Method and apparatus for enabling a network device to operate in accordance with multiple protocols |
| US6876656B2 (en) * | 2001-06-15 | 2005-04-05 | Broadcom Corporation | Switch assisted frame aliasing for storage virtualization |
| US7245620B2 (en) * | 2002-03-15 | 2007-07-17 | Broadcom Corporation | Method and apparatus for filtering packet data in a network device |
| US8225389B2 (en) * | 2003-04-11 | 2012-07-17 | Broadcom Corporation | Method and system to provide physical port security in a digital communication system |
| US7735114B2 (en) | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| JP4160004B2 (ja) * | 2004-03-03 | 2008-10-01 | 株式会社エヌ・ティ・ティ・データ | アクセス制御システム |
| US20050259589A1 (en) * | 2004-05-24 | 2005-11-24 | Metrobility Optical Systems Inc. | Logical services loopback |
| JP4368251B2 (ja) * | 2004-06-09 | 2009-11-18 | 富士通株式会社 | フレーム転送処理方法及び装置 |
| JP2006025121A (ja) * | 2004-07-07 | 2006-01-26 | Fujitsu Ltd | フレーム転送方法及びその装置 |
| JP2006279820A (ja) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | ブロードキャスト抑制機能を有するネットワークシステム |
| US7620043B2 (en) * | 2005-09-29 | 2009-11-17 | Fujitsu Limited | Using CRC-15 as hash function for MAC bridge filter design |
| US7756126B2 (en) * | 2005-09-30 | 2010-07-13 | Aruba Networks, Inc. | VLAN mobility |
| US8705532B2 (en) | 2006-02-17 | 2014-04-22 | Extreme Networks, Inc. | Methods, systems, and computer program products for selective layer 2 port blocking using layer 2 source addresses |
-
2006
- 2006-02-17 US US11/356,614 patent/US8705532B2/en active Active
-
2007
- 2007-02-06 CN CN2007800135153A patent/CN101433029B/zh active Active
- 2007-02-06 WO PCT/US2007/003081 patent/WO2007097908A2/en active Application Filing
- 2007-02-06 EP EP07749983.8A patent/EP1985074B1/en active Active
- 2007-02-06 JP JP2008555265A patent/JP4903231B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1333617A (zh) * | 2000-07-06 | 2002-01-30 | 三星电子株式会社 | 基于mac地址的通信限制方法 |
| US6977891B1 (en) * | 2001-06-30 | 2005-12-20 | Extreme Networks, Inc. | Method and system for multicast traffic reduction |
| CN1371202A (zh) * | 2002-02-28 | 2002-09-25 | 威盛电子股份有限公司 | 数据包传送方法及应用此方法的网络交换机 |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4903231B2 (ja) | 2012-03-28 |
| EP1985074B1 (en) | 2013-04-10 |
| EP1985074A2 (en) | 2008-10-29 |
| US8705532B2 (en) | 2014-04-22 |
| WO2007097908A3 (en) | 2008-07-31 |
| CN101433029A (zh) | 2009-05-13 |
| EP1985074A4 (en) | 2011-10-05 |
| JP2009527190A (ja) | 2009-07-23 |
| US20070195793A1 (en) | 2007-08-23 |
| WO2007097908A2 (en) | 2007-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101433029B (zh) | 用于使用第二层源地址的选择性的第二层端口阻塞的方法、系统 | |
| US8081633B2 (en) | Network node unit and method for forwarding data packets | |
| US9673999B2 (en) | Member device of stacked switches system | |
| EP2100406B1 (en) | Method and apparatus for implementing multicast routing | |
| CN104854819B (zh) | 用于vlan接口路由的方法和设备 | |
| CN101674249B (zh) | 运营商骨干桥pbb流量转发的方法及设备 | |
| CN107819682A (zh) | 防止与指定的转发器选择相关联的数据业务回路 | |
| CN101877671B (zh) | 镜像报文的发送方法、交换芯片及以太网路由器 | |
| CN103053138A (zh) | 利用网格标签进行外出分组转发的装置和方法 | |
| CN103329488A (zh) | 网络系统和路由控制方法 | |
| CN104506408A (zh) | 基于sdn的数据传输的方法及装置 | |
| CN103841023A (zh) | 数据转发的方法和设备 | |
| US20110110372A1 (en) | Systems and methods to perform hybrid switching and routing functions | |
| CN102318291A (zh) | 一种业务流处理的方法、装置及系统 | |
| CN102868614A (zh) | Trill网络中的报文转发方法和路由网桥 | |
| CN103858394A (zh) | 负载降低系统和负载降低方法 | |
| CN100484080C (zh) | 一种虚拟私有网的路由引入方法、系统和运营商边缘设备 | |
| CN104065582A (zh) | 一种报文传输方法和网关设备 | |
| CN105187311A (zh) | 一种报文转发方法及装置 | |
| WO2015127643A1 (en) | Method and communication node for learning mac address in a layer-2 communication network | |
| EP3534577B1 (en) | Forwarding multicast packets through an extended bridge | |
| EP3224996B1 (en) | Methods, routing device, further routing device, computer programs and carrier for managing data frames in switched networks | |
| CN105791048A (zh) | 环回检测方法,装置以及包含该装置的网络设备 | |
| CN104009919A (zh) | 报文转发方法及装置 | |
| CN102769567A (zh) | 一种多链接透明互联网络数据帧的转发方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |