CN101577711A - 利用vlan技术实现ip软件路由的网络安全平台的方法 - Google Patents
利用vlan技术实现ip软件路由的网络安全平台的方法 Download PDFInfo
- Publication number
- CN101577711A CN101577711A CNA2009100532159A CN200910053215A CN101577711A CN 101577711 A CN101577711 A CN 101577711A CN A2009100532159 A CNA2009100532159 A CN A2009100532159A CN 200910053215 A CN200910053215 A CN 200910053215A CN 101577711 A CN101577711 A CN 101577711A
- Authority
- CN
- China
- Prior art keywords
- cpu
- chip
- vlan
- ethernet
- layers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种利用VLAN技术实现IP软件路由的嵌入式交换式网络安全平台的方法,其特征在于,步骤为:选择带网络管理功能的二层以太网交换芯片,将该芯片接入CPU系统中,通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交换芯片之间的总线端口配置成同一个VLAN组,当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理。本发明的优点是:让用户以极低的硬件成本获得多个独立网段的网络接口,解决网络安全设备多端口问题,并大大降低网络安全设备的成本,而又具有高稳定性的特性。
Description
技术领域
本发明涉及一种利用VLAN技术实现IP软件路由的嵌入式交换式网络安全平台的方法,用于在二层以太网交换机上实现三层IP路由和包过滤防火墙等网络安全功能。
背景技术
传统的网络设备,如路由器、防火墙/VPN/IDS/UTM等网络安全设备,在实际应用中,由于存在多个安全域以及多路接入通路,通常需要设计多个(10个以上甚至超过16、24、48个等)网络接口。若使用传统的X86技术设计,利用PCI扩展技术,很难达到10个以上的网络接口。因为PCI可扩展的接口数目有限(通常能扩展3到4个网口),而且成本又相当高(数倍交换技术),特别是对于中低端产品而言,成本一高,将失去市场的竞争力。
发明内容
本发明的目的是提供一种能够有效降低成本的利用VLAN技术实现IP软件路由的网络安全平台的方法。
为了达到上述目的,本发明的技术方案是提供一种利用VLAN技术实现IP软件路由的网络安全平台的方法,其特征在于,步骤为:
步骤1、选择带网络管理功能的二层以太网交换芯片,将其一端与物理层芯片相连接,另一端通过总线连接CPU,从而为CPU扩展出至少10个以太网接口,每个以太网接口都是一个交换端口;
步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交换芯片之间的总线端口配置成同一个VLAN组,这样就得到与以太网接口数量相同且与其一一对应的VLAN组,同时,将各个以太网络接口注册成独立的网络接口;
步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理;
当CPU从IP层接收到数据报文后,CPU先为该数据报文添加VLAN头,再根据TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头,CPU将更新好VLAN头的数据报文发送给二层以太网交换芯片,二层以太网交换芯片根据VLAN头找到对应的交换端口后将VLAN头删除,最后由物理层芯片根据转发表将数据报文通过交换端口转发给其他设备完成数据路由。
本发明能在二层以太网交换机上实现三层IP路由和包过滤防火墙等网络安全功能,在技术上,是利用VLAN技术和相关的底层软件技术,在Linux或VxWorks或者任何一种操作系统上都可以实现,本发明利用了VLAN技术,提出了一种软件方法,解决了二层交换芯片实现三层及以上的数据处理功能问题。同时,本发明利用二层以太网交换芯片架构和设计诸如三层交换机、IP路由器、嵌入式防火墙/VPN/IDS/UTM/防毒墙等网络设备。
本发明的优点是:能解决二层交换机实现三层及以上的数据处理问题,能将所有二层以太网口配上独立网段的IP地址并工作,从而让用户以极低的硬件成本获得多个独立网段的网络接口,解决网络安全设备多端口问题,并大大降低网络安全设备的成本,而又具有高稳定性的特性。
附图说明
图1为本发明提供的系统框图;
图2为本发明提供的一种利用VLAN技术实现IP软件路由的网络安全平台的方法的数据流程和处理框架图。
具体实施方式
以下结合实施例来具体说明本发明。
实施例
如图2所示,本发明提供的一种利用VLAN技术实现IP软件路由的网络安全平台的方法的具体步骤为:
步骤1、选择带网络管理功能的二层以太网交换芯片,将其一端与物理层芯片相连接,另一端通过总线连接CPU,该总线可以是MII百兆,GMII千兆或PCI接口,从而为CPU扩展出至少10个以太网接口,每个以太网接口都是一个交换端口,在完成步骤1后便搭建出了如图1所示的框架,通过该图说明了交换芯片和CPU的接口及其要求,在该图中,只要是具有网络管理功能的带VLAN的二层以太网交换芯片都可以选用,例如VIA公司的,也可以是BroadCom公司的,还可以是Marvell公司的芯片,在本实施例中选用九阳电子有限公司(IC Plus Corp.)的型号为IP178二层以太网交换芯片,而对于CPU也没有任何要求,但一般使用如ARM之类的嵌入式处理器;
步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交换芯片之间的总线端口配置成同一个VLAN组,这样就得到与以太网接口数量相同且与其一一对应的VLAN组,同时,将各个以太网络接口注册成独立的网络接口,注册完成之后可以配置成独立的IP地址;
步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理;
当CPU从IP层接收到数据报文后,CPU先为该数据报文添加VLAN头,再根据TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头,CPU将更新好VLAN头的数据报文发送给二层以太网交换芯片,二层以太网交换芯片根据VLAN头找到对应的交换端口后将VLAN头删除,最后由物理层芯片根据转发表将数据报文通过交换端口转发给其他设备完成数据路由。
Claims (1)
1.一种利用VLAN技术实现IP软件路由的网络安全平台的方法,其特征在于,步骤为:
步骤1、选择带网络管理功能的二层以太网交换芯片,将其一端与物理层芯片相连接,另一端通过总线连接CPU,从而为CPU扩展出至少10个以太网接口,每个以太网接口都是一个交换端口;
步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交换芯片之间的总线端口配置成同一个VLAN组,这样就得到与以太网接口数量相同且与其一一对应的VLAN组,同时,将各个以太网络接口注册成独立的网络接口;
步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后,VLAN阻止了数据在交换芯片内部转发掉,从而全部发给CPU,并被CPU所接收,CPU接收到数据,递交到IP层进行后续处理;
当CPU从IP层接收到数据报文后,CPU先为该数据报文添加VLAN头,再根据TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头,CPU将更新好VLAN头的数据报文发送给二层以太网交换芯片,二层以太网交换芯片根据VLAN头找到对应的交换端口后将VLAN头删除,最后由物理层芯片根据转发表将数据报文通过交换端口转发给其他设备完成数据路由。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100532159A CN101577711B (zh) | 2009-06-17 | 2009-06-17 | 利用vlan技术实现ip软件路由的网络安全平台的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100532159A CN101577711B (zh) | 2009-06-17 | 2009-06-17 | 利用vlan技术实现ip软件路由的网络安全平台的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101577711A true CN101577711A (zh) | 2009-11-11 |
| CN101577711B CN101577711B (zh) | 2012-04-18 |
Family
ID=41272498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100532159A Active CN101577711B (zh) | 2009-06-17 | 2009-06-17 | 利用vlan技术实现ip软件路由的网络安全平台的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101577711B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010148923A1 (zh) * | 2009-12-21 | 2010-12-29 | 中兴通讯股份有限公司 | 以太网接口系统实现方法及实现装置 |
| CN102055625A (zh) * | 2010-12-31 | 2011-05-11 | 深圳市普联技术有限公司 | 一种网络驱动测试方法 |
| CN102377644A (zh) * | 2010-08-12 | 2012-03-14 | 盛科网络(苏州)有限公司 | 模拟以太网交换机系统及其网络拓扑 |
| DE102012008860A1 (de) | 2012-05-03 | 2013-11-07 | Udo H. Kalinna | Vorrichtung zur elektronischen Detektion von Anomalien in kabelgebundenen Ethernet- Netzwerken auf dem physikalischen Layer 1 des ISO/OSI-Modells |
| CN103634143A (zh) * | 2013-11-04 | 2014-03-12 | 天津汉柏信息技术有限公司 | 一种注册并管理交换芯片接口的方法 |
| CN106160227A (zh) * | 2016-07-28 | 2016-11-23 | 全球能源互联网研究院 | 一种智能变电站全站通信网络统一管理的方法 |
| CN106921672A (zh) * | 2017-03-28 | 2017-07-04 | 南京国电南自维美德自动化有限公司 | 一种基于交换芯片的多网口多cpu的规约转换装置 |
| CN106973053A (zh) * | 2017-03-29 | 2017-07-21 | 网宿科技股份有限公司 | 宽带接入服务器的加速方法和系统 |
| CN107241249A (zh) * | 2017-05-19 | 2017-10-10 | 闫晓峰 | 以太总线交换机、以太总线架构以及数据通讯方法 |
| CN107395479A (zh) * | 2017-05-19 | 2017-11-24 | 闫晓峰 | 无损环网交换机、无损自愈环网及其数据通讯方法 |
| CN107454021B (zh) * | 2017-07-13 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种通信方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159637A (zh) * | 2007-10-16 | 2008-04-09 | 中国移动通信集团福建有限公司 | 以太网网络组网装置和方法 |
-
2009
- 2009-06-17 CN CN2009100532159A patent/CN101577711B/zh active Active
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010148923A1 (zh) * | 2009-12-21 | 2010-12-29 | 中兴通讯股份有限公司 | 以太网接口系统实现方法及实现装置 |
| CN102377644A (zh) * | 2010-08-12 | 2012-03-14 | 盛科网络(苏州)有限公司 | 模拟以太网交换机系统及其网络拓扑 |
| CN102055625A (zh) * | 2010-12-31 | 2011-05-11 | 深圳市普联技术有限公司 | 一种网络驱动测试方法 |
| DE102012008860A1 (de) | 2012-05-03 | 2013-11-07 | Udo H. Kalinna | Vorrichtung zur elektronischen Detektion von Anomalien in kabelgebundenen Ethernet- Netzwerken auf dem physikalischen Layer 1 des ISO/OSI-Modells |
| CN103634143A (zh) * | 2013-11-04 | 2014-03-12 | 天津汉柏信息技术有限公司 | 一种注册并管理交换芯片接口的方法 |
| CN103634143B (zh) * | 2013-11-04 | 2016-08-31 | 天津汉柏信息技术有限公司 | 一种注册并管理交换芯片接口的方法 |
| CN106160227B (zh) * | 2016-07-28 | 2021-12-21 | 全球能源互联网研究院 | 一种智能变电站全站通信网络统一管理的方法 |
| CN106160227A (zh) * | 2016-07-28 | 2016-11-23 | 全球能源互联网研究院 | 一种智能变电站全站通信网络统一管理的方法 |
| CN106921672A (zh) * | 2017-03-28 | 2017-07-04 | 南京国电南自维美德自动化有限公司 | 一种基于交换芯片的多网口多cpu的规约转换装置 |
| CN106921672B (zh) * | 2017-03-28 | 2023-12-22 | 南京国电南自维美德自动化有限公司 | 一种基于交换芯片的多网口多cpu的规约转换装置 |
| CN106973053A (zh) * | 2017-03-29 | 2017-07-21 | 网宿科技股份有限公司 | 宽带接入服务器的加速方法和系统 |
| CN106973053B (zh) * | 2017-03-29 | 2019-10-11 | 网宿科技股份有限公司 | 宽带接入服务器的加速方法和系统 |
| WO2018210311A1 (zh) * | 2017-05-19 | 2018-11-22 | 闫晓峰 | 以太总线交换机、以太总线架构以及数据通讯方法 |
| WO2018210312A1 (zh) * | 2017-05-19 | 2018-11-22 | 闫晓峰 | 无损环网交换机、无损自愈环网及其数据通讯方法 |
| CN107395479B (zh) * | 2017-05-19 | 2019-12-31 | 闫晓峰 | 无损环网交换机、无损自愈环网及其数据通讯方法 |
| CN107241249B (zh) * | 2017-05-19 | 2020-05-22 | 闫晓峰 | 以太总线交换机、以太总线系统以及数据通讯方法 |
| CN107395479A (zh) * | 2017-05-19 | 2017-11-24 | 闫晓峰 | 无损环网交换机、无损自愈环网及其数据通讯方法 |
| CN107241249A (zh) * | 2017-05-19 | 2017-10-10 | 闫晓峰 | 以太总线交换机、以太总线架构以及数据通讯方法 |
| CN107454021B (zh) * | 2017-07-13 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101577711B (zh) | 2012-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101577711B (zh) | 利用vlan技术实现ip软件路由的网络安全平台的方法 | |
| US7636360B2 (en) | Dynamic VLAN ID assignment and packet transfer apparatus | |
| CN106936777B (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
| US8908704B2 (en) | Switch with dual-function management port | |
| EP2696538B1 (en) | Method, system and controlling bridge for obtaining port extension topology information | |
| CN108574616A (zh) | 一种处理路由的方法、设备及系统 | |
| CN102340447B (zh) | 一种远程端口镜像实现系统及方法 | |
| CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
| CN106230749B (zh) | 一种在虚拟可扩展局域网中转发报文的方法和汇聚交换机 | |
| CN110290045B (zh) | 一种云架构下网络靶场软硬结合模型构建方法 | |
| CN106034052B (zh) | 一种对虚拟机间二层流量进行监控的系统及方法 | |
| CN105530259A (zh) | 报文过滤方法及设备 | |
| US20070171904A1 (en) | Traffic separation in a multi-stack computing platform using VLANs | |
| TWI630488B (zh) | 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 | |
| JP2008147882A5 (zh) | ||
| JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
| CN107911297A (zh) | 一种sdn网络带内控制通道建立方法及设备 | |
| CN104092684A (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
| CN105978828B (zh) | 一种实现虚拟机报文转发的方法和交换机 | |
| CN104539539B (zh) | 一种ac设备多业务板数据转发方法 | |
| CN103595551A (zh) | 基于mqc实现网络虚拟化的网络管理方法和装置 | |
| EP2873196A1 (en) | Connectivity fault management in a communication network | |
| EP2892185B1 (en) | Network system and communication apparatuses | |
| WO2007104201A1 (fr) | Procédé d'acheminement de messages dans un tunnel de services | |
| JP3825332B2 (ja) | タグ変換によるlan間の接続方法及びタグ変換装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |