CN103281205B - 一种配置端口隔离信息的方法和网络设备 - Google Patents
一种配置端口隔离信息的方法和网络设备 Download PDFInfo
- Publication number
- CN103281205B CN103281205B CN201310196936.1A CN201310196936A CN103281205B CN 103281205 B CN103281205 B CN 103281205B CN 201310196936 A CN201310196936 A CN 201310196936A CN 103281205 B CN103281205 B CN 103281205B
- Authority
- CN
- China
- Prior art keywords
- message
- vlan
- port
- treated
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种配置端口隔离信息的方法和网络设备,所述网络设备用于接收第一配置信息并根据所述第一配置信息进行相应的配置,其中,所述第一配置信息用于请求使所述第四端口与第一端口组中的每个端口相互隔离,所述第一端口组包括所述第一端口和第二端口组,所述第二端口组包括所述第二端口和所述第三端口,所述第一配置信息还用于请求使所述第一端口分别与所述第二端口和所述第三端口互通,并请求使所述第二端口和所述第三端口相互隔离。由于第一配置信息包括具有多层嵌套关系的端口互通组和端口隔离组,因此能够通过一条配置信息实现对复杂的端口隔离策略的配置,具有非常高的效率。
Description
技术领域
本发明实施例涉及信息技术领域,尤其涉及一种配置端口隔离信息的方法和网络设备。
背景技术
网络中的一台网络设备可以包括多个端口,每个端口可以分别与其他设备相连。例如网络设备上包括端口1、端口2、端口3、端口4和端口5,这5个端口分别与不同的设备相连。目前的业务部署需求会要求为网络设备的多个端口配置比较复杂的端口隔离策略,以便控制与所述网络设备相连的其他设备之间的访问权限,提高网络的可管理程度。但在现有技术中还无法配置比较复杂的端口隔离策略。
发明内容
有鉴于此,本发明的实施例公开了一种配置端口隔离信息的方法和网络设备,以便于高效地实现复杂的端口隔离策略的配置。本发明提供一种配置端口隔离信息的方法,所述方法由网络设备执行,所述网络设备包括第一端口、第二端口、第三端口、第四端口和第五端口,所述第一端口与第一数据请求设备相连,所述第二端口与第二数据请求设备相连,所述第三端口与第三数据请求设备相连,所述第四端口与第四数据请求设备相连,所述第五端口与数据提供设备相连,所述第一端口、第二端口、第三端口、第四端口和第五端口均属于第一虚拟局域网VLAN,所述方法包括:
接收第一配置信息,其中,所述第一配置信息用于请求使所述第四端口与第一端口组中的每个端口相互隔离,所述第一端口组包括所述第一端口和第二端口组,所述第二端口组包括所述第二端口和所述第三端口,所述第一配置信息还用于请求使所述第一端口分别与所述第二端口和所述第三端口互通,并请求使所述第二端口和所述第三端口相互隔离;
执行第一操作,所述第一操作包括使所述第二端口退出所述第一VLAN,加入第二VLAN,使所述第三端口退出所述第一VLAN,加入第三VLAN,并使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通;
在执行完所述第一操作后执行第二操作,所述第二操作包括将所述第一端口退出所述第一VLAN,加入第四VLAN,并使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通;
在执行完所述第二操作后执行第三操作,所述第三操作包括将第四端口退出所述第一VLAN,加入第五VLAN,并使所述第五VLAN与所述第一VLAN互通。
本发明还提供一种网络设备,其中所述网络设备包括第一端口、第二端口、第三端口、第四端口和第五端口,所述第一端口用于与第一数据请求设备相连,所述第二端口用于与第二数据请求设备相连,所述第三端口用于与第三数据请求设备相连,所述第四端口用于与第四数据请求设备相连,所述第五端口用于与数据提供设备相连;
所述网络设备还包括:
第一处理单元,用于将所述第一端口、第二端口、第三端口、第四端口和第五端口均加入第一虚拟局域网VLAN;
配置信息接收单元,用于接收第一配置信息,其中,所述第一配置信息用于请求使所述第四端口与第一端口组中的每个端口相互隔离,所述第一端口组包括所述第一端口和第二端口组,所述第二端口组包括所述第二端口和所述第三端口,所述第一配置信息还用于请求使所述第一端口分别与所述第二端口和所述第三端口互通,并请求使所述第二端口和所述第三端口相互隔离;
第二处理单元,用于执行第一操作,所述第一操作包括使所述第二端口退出所述第一VLAN,加入第二VLAN,使所述第三端口退出所述第一VLAN,加入第三VLAN,并使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通;
第三处理单元,用于所述第一操作被执行后,执行第二操作,所述第二操作包括将所述第一端口退出所述第一VLAN,加入第四VLAN,并使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通;
第四处理单元,用于在所述第二操作被执行后,执行第三操作,所述第三操作包括将第四端口退出所述第一VLAN,加入第五VLAN,并使所述第五VLAN与所述第一VLAN互通。
在优选的实施方式中,由于第一配置信息实际上包括具有多层嵌套关系的端口互通组和端口隔离组,因此本实施例能够通过一条配置信息实现对复杂的端口隔离策略的配置,具有非常高的效率。
附图说明
图1所示为本发明的实施例中的网络示意图;
图2所示为本发明的实施例中的配置端口隔离信息的方法的流程图;
图3所示为本发明的实施例中的网络设备的示意图;
图4所示为本发明的实施例中的网络设备的示意图。
具体实施方式
本发明的实施例公开了一种配置端口隔离信息的方法。该方法可以由一个网络设备执行。在图1所示的网络中,该网络设备包括第一端口1、第二端口2、第三端口3、第四端口4和第五端口5。第一端口1与第一数据请求设备相连,第二端口2与第二数据请求设备相连,第三端口3与第三数据请求设备相连,第四端口4与第四数据请求设备相连,第五端口5与数据提供设备相连,数据提供设备可以是数字视频记录器(英文全称为DigitalVideoRecorder,英文缩写为DVR),数据提供设备同时也可以请求数据。此外,可选地,数据请求设备也可以提供数据。
如图2所示,本实施例中配置端口隔离信息的方法包括以下内容。
步骤110、接收第一配置信息,其中,所述第一配置信息用于请求使第四端口4与第一端口组中的每个端口相互隔离,第一端口组包括第一端口1和第二端口组,所述第二端口组包括第二端口2和第三端口3,所述第一配置信息还用于请求使第一端口1分别与第二端口2和第三端口3互通,并请求使第二端口2和第三端口3相互隔离。
根据上述对于第一配置信息的描述,可以确定以下内容。
所述第一配置信息实际上包括了第一端口隔离组。所述第一端口隔离组包括两个成员,分别为第四端口4和第一端口组,所述第四端口4和所述第一端口组中的每个端口均相互隔离。所述第一端口组是嵌套在所述第一端口隔离组中的第一端口互通组,所述第一端口互通组也包括两个成员,分别是第一端口1和第二端口组,第二端口组包括第二端口2和第三端口3这两个成员,所述第一端口互通组中的全部成员应当互通,也就是说第一端口1和第二端口组中的第二端口2和第三端口3均需要互通。所述第二端口组是第二端口隔离组,所述第二端口隔离组中的第二端口2和第三端口3之间需要相互隔离。由此可知,第一端口隔离组中嵌套有第一端口互通组,而第一端口互通组中又进一步嵌套有第二端口隔离组,因此所述第一配置信息包括了具有多层嵌套关系的端口互通组和端口隔离组。
如图1所示的网络设备在接收所述第一配置信息时,所述网络设备的第一端口1、第二端口2、第三端口3、第四端口4和第五端口5均属于第一虚拟局域网(英文全称为VirtualLocalAreaNetwork,英文缩写为VLAN)。所述第一VLAN可以为默认VLAN也可以为其他VLAN。可选地,所述第一VLAN的VLAN号小于或等于3999。所述第一VLAN的VLAN号也可以取大于或等于4000的值。
可选地,第一配置信息的具体形式可以通过表达式来体现,例如,当用圆括号表示隔离组,用方括号表示互通组时,第一配置信息的一个具体示例为([1,(2,3)],4)。在该具体示例中,(2,3)为所述第二端口组,即所述第二端口隔离组,表示请求将第二端口组中的第二端口2和第三端口3相互隔离;[1,(2,3)]为所述第一端口组,即所述第一端口互通组,表示请求将第一端口组中的第一端口1和第二端口组互通,即第一端口1分别与第二端口2和第三端口3互通,也就是说第一端口1与第二端口2互通,并且第一端口1与第三端口3互通;([1,(2,3)],4)为所述第一端口隔离组,表示请求将第四端口与第一端口组中每个端口都隔离,即将第四端口4与第一端口1隔离,第四端口4与第二端口2隔离,第四端口4与第三端口3隔离。
步骤115、执行第一操作,所述第一操作包括使所述第二端口退出所述第一VLAN,加入第二VLAN,使所述第三端口退出所述第一VLAN,加入第三VLAN,并使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通。
在本实施例中,端口间的互通或隔离是基于VLAN来实现的。当两个VLAN互通时,例如VLANx和VLANy互通时,那么VLANx中的端口和VLANy中的端口也就互通。当两个VLAN相互隔离时,例如VLANx和VLANy相互隔离时,那么VLANx中的端口和VLANy中的端口也就相互隔离。通常情况下,不同的VLAN是相互隔离的。
在第二端口2加入第二VLAN,第三端口3加入第三VLAN后,如果不做额外处理,第二端口2将会与属于第一VLAN中的端口都隔离,第三端口3也会与属于第一VLAN中的端口都隔离,并且第二端口2和第三端口3之间也会隔离。
由于第五端口5与数据提供设备相连,因此第二端口和第三端口仍需要分别和第五端口互通。由于端口间的互通是基于VLAN间的互通的,因此本实施中需要使第二端口所属的第二VLAN和第五端口所属的第一VLAN互通,使第三端口所属的第三VLAN也和第一VLAN互通。
由于本操作中进一步使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通,因此本操作使第二端口2和第三端口3之间隔离,但第二端口2和第三端口3均不与另三个端口中的任意一个隔离。
可选地,可以通过以下操作,实现使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通。
将第二VLAN的当前转发规则和第三VLAN的当前转发规则均配置为第一转发规则,第一转发规则包括:在接收到属于第一VLAN的第一报文后,去除第一报文的VLAN标签(英文为tag),得到经处理的第一报文,并根据第一报文的目的媒体接入控制(英文全称为MediaAccessControl,英文缩写为MAC)地址转发经处理的第一报文。可选地,本实施例中,所述经处理的第一报文的目的MAC地址与处理前的第一报文的目的MAC地址是相同的。
需要指出的是,在为一个VLAN配置一条转发规则时,实际上是要为属于该VLAN的每个端口均配置该转发规则。
将第一VLAN的当前转发规则配置为第二转发规则,第二转发规则包括:在接收到属于第二VLAN的第二报文后,去除第二报文的VLANtag,得到经处理的第二报文,并根据第二报文的目的MAC地址进行报文转发;在接收到属于第三VLAN的第四报文后,去除第四报文的VLANtag并根据第四报文的目的MAC地址转发经处理的第四报文。
经过上述操作便可以使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通。由于第二VLAN和第三VLAN之间没有执行使这两个VLAN互通的操作,因此第二VLAN和第三VLAN之间是相互隔离的。这样,属于第二VLAN的第二端口2分别与属于第一VLAN的第一端口1、第四端口4和第五端口5互通,属于第三VLAN的第三端口3分别与属于第一VLAN的第一端口1、第四端口4和第五端口5互通,但是第二端口2和第三端口3之间相互隔离。
步骤120、
第一配置信息用于请求在配置了第二隔离组的基础上再配置第一互通组,使第一端口1分别与第二端口2和第三端口3互通。
针对所述第一配置信息,网络设备将第一端口1加入第四VLAN,并使第四VLAN分别与第二端口2所属的第二VLAN和第三端口3所属的第三VLAN互通。
又由于第一端口1仍旧需要保持和与数据提供设备相连的端口5之间的互通,因此网络设备还需要将第四VLAN和第一VLAN互通。
可选地,可以通过以下操作,使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通。
将第二VLAN的当前转发规则和第三VLAN的当前转发规则由第一转发规则修改为第三转发规则,该第三转发规则包括:在接收到第一报文后,去除第一报文的VLANtag,得到经处理的第一报文,并根据第一报文的目的MAC地址转发经处理的第一报文,这里的第一报文是指第四端口4或第五端口5的报文;在接收到属于第四VLAN的第五报文后,去除第五报文的VLANtag,得到经处理的第五报文,并根据属于第五报文的目的MAC地址转发经处理的第五报文,这里的第五报文是指第一端口1的报文。
将第四转发规则配置为第四VLAN的当前转发规则,该第四转发规则包括:在接收到第一报文后,去除第一报文的VLANtag,得到经过处理的第一报文,并根据第一报文的目的MAC地址转发经过处理的第一报文;在接收到第二报文后,去除第二报文的VLANtag,得到经过处理的第二报文,并根据第二报文的目的MAC地址转发经过处理的第二报文;在接收到属于第三VLAN的第四报文后,去除第四报文的VLANtag,得到经处理的第四报文,并根据第四报文的目的MAC地址转发经处理的第四报文。第四VLAN包括第一端口1,因此第四转发规则就是第一端口1在加入第四VLAN后的当前转发规则。第一端口1在加入第四VLAN前使用的转发规则不再起作用。
将第一VLAN的当前转发规则由第二转发规则修改为第五转发规则,该第五转发规则包括:在接收到第二报文后,去除第二报文的VLANtag,得到经过处理的第二报文,并根据第二报文的目的MAC地址转发经处理的第二报文;在接收到第四报文后,去除第四报文的VLANtag,得到经处理的第四报文,并根据第四报文的目的MAC地址转发经过处理的第四报文;在接收到属于第四VLAN的第五报文后,去除第五报文的VLANtag,得到经过处理的第五报文,并根据第五报文的目的MAC地址转发经过处理的第五报文。
步骤125、在执行完所述第二操作后执行第三操作,所述第三操作包括将第四端口退出所述第一VLAN,加入第五VLAN,并使所述第五VLAN与所述第一VLAN互通。
第一配置信息用于请求在配置了第一互通组的基础上再配置第一隔离,使第一端口4分别与第一端口1、第二端口2和第三端口3相互隔离。
对于该请求,网络设备使第四端口4退出与第一端口、第二端口和第三端口均互通的第一VLAN,并加入了第五VLAN。由于没有执行使第五VLAN与第二VLAN、第三VLAN或第四VLAN进行互通的操作,因此第四端口便与第一端口、第二端口和第三端口分别实现了相互隔离。
由于第五端口5与数据提供设备相连,因此第四端口也需要与第五端口互通。所以,网络设备需要使所述第五VLAN与所述第一VLAN互通。可选地,可以通过以操作使所述第五VLAN与所述第一VLAN互通。
将第六转发规则配置为第五VLAN的当前转发规则,第六转发规则包括:在接收到第一报文后,去除第一报文的VLANtag,得到所述经过处理的第一报文,并根据第一报文的目的MAC地址转发经过处理的第一报文。这里的第一报文是指第五端口5的报文。由于第四端口是属于第五VLAN的端口,因此第四端口需要按照第六转发规则进行处理。第四端口在加入第五VLAN之前的转发规则不再起作用。
将第一VLAN的当前转发规则由第五转发规则修改为第七转发规则,第七转发规则包括:在接收到第二报文后,去除第二报文的VLANtag,得到所述经过处理的第二报文,并根据第二报文的目的MAC地址转发经过处理的第二报文;在接收到属于第五VLAN的第三报文后,去除第三报文的VLANtag,得到经过处理的第三报文,并根据第三报文的目的MAC地址转发经过处理的第三报文;在接收到第四报文后,去除第四报文的VLANtag,得到所述经过处理的第四报文,并根据第四报文的目的MAC地址转发经过处理的第四报文;在接收到第五报文后,去除第五报文的VLANtag,得到所述经过处理的第五报文,并根据第五报文的目的MAC地址转发经过处理的第五报文。
在完成步骤115、步骤120和步骤125之后,第一端口属于第四VLAN,第二端口属于第二VLAN,第三端口属于第三VLAN,第四端口属于第五VLAN,并且第五端口属于第一VLAN。这五个端口的转发规则包括如下内容。
第一端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发;在收到属于第二VLAN的报文后,去除接收到的报文中携带的第二VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第三VLAN的报文后,去除接收到的报文中携带的第三VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第一端口可以转发来自第二端口、第三端口和第五端口的报文,但不能转发来自第四端口的报文。
第二端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第四VLAN的报文后,去除接收到的报文中携带的第四VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第二端口可以转发来自第一端口和第五端口的报文,但不能转发来自第三端口和第四端口的报文。
第三端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第四VLAN的报文后,去除接收到的报文中携带的第四VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第三端口可以转发来自第一端口和第五端口的报文,但不能转发来自第二端口和第四端口的报文。
第四端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第四端口可以转发来自第一端口的报文,但不能转发来自第二端口、第三端口和第四端口的报文。
第五端口:在收到属于第二VLAN的报文后,去除接收到的报文中携带的第二VLAN的VLANtag并根据MAC转发表进行报文转发;在收到属于第三VLAN的报文后,去除接收到的报文中携带的第三VLAN的VLANtag并根据MAC转发表进行报文转发;在收到属于第四VLAN的报文后,去除接收到的报文中携带的第四VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第五VLAN的报文后,去除接收到的报文中携带的第五VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第四端口可以转发来自第一端口、第二端口、第三端口和第四端口的报文。
本实施例通过对第一配置信息进行逐层的解析并进行相应的处理,实现了端口隔离策略的配置。由于第一配置信息包括具有多层嵌套关系的端口互通组和端口隔离组,因此本实施例能够通过一条配置信息实现对复杂的端口隔离策略的配置,具有非常高的效率。
可选地,为了减少实现端口隔离过程中产生广播报文的情况,本实施例还可以进一步包括以下内容。
第一端口接收第一数据请求设备发送的第一数据请求报文;生成包括第一端口与第一数据请求报文的源MAC地址的对应关系的第一转发表项;将第一转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表、第三VLAN的转发表和第四VLAN的转发表中。这样,当与第四VLAN互通的第一VLAN、第二VLAN和第三VLAN需要查询到达第一数据请求设备的出端口时,就可以根据第一转发表项直接获得结果,不需要在网络中广播报文。
由于第一转发表项分别被保存在第一VLAN的转发表、第二VLAN的转发表、第三VLAN的转发表和第四VLAN的转发表中,因此,第一转发表项在第一VLAN、第二VLAN、第三VLAN和第四VLAN中均有效,均可以用于指导报文转发。当第一数据请求报文的目的地址为数据提供设备的MAC地址时,数据提供设备发送的以第一数据请求设备的MAC地址为目的地址的数据报文是属于第一VLAN的报文。这时可以使用第一VLAN的转发表中保存的第一转发表项对所述第一VLAN的报文进行转发,无需再第一VLAN内广播所述第一VLAN的报文,减少了广播报文的产生。
针对其他四个端口,也可以执行与第一端口类似的操作,以达到类似的效果。
具体的,第二端口接收第二数据请求设备发送的第二数据请求报文,生成包括第二端口和第二数据请求报文的源MAC地址的对应关系的第二转发表项,将第二转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表和第四VLAN的转发表中;
第三端口接收第三数据请求设备发送的第三数据请求报文,生成包括第三端口与第三数据请求报文的源MAC地址的对应关系的第三转发表项,将第三转发表项分别保存在第一VLAN的转发表、第三VLAN的转发表和第四VLAN的转发表中,将第三转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表和第四VLAN的转发表中;
第四端口接收第四数据请求设备发送的第四数据请求报文,生成包括第四端口与第四数据请求报文的源MAC地址的对应关系的第四转发表项,将第四转发表项分别保存在第一VLAN的转发表和第五VLAN的转发表中;
第五端口接收数据提供设备发送的报文,生成包括第五端口与数据提供设备发送的报文的源MAC地址的对应关系的第五转发表项,将第五转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表、第三VLAN的转发表、第四VLAN的转发表和第五VLAN的转发表中。
如图3所示,本发明的实施例公开了一种网络设备。所述网络设备包括第一端口1、第二端口2、第三端口3、第四端口4和第五端口5。第一端口1用于与第一数据请求设备相连,第二端口2用于与第二数据请求设备相连,第三端口3用于与第三数据请求设备相连,第四端口4用于与第四数据请求设备相连,第五端口5用于与数据提供设备相连。可选地,数据提供设备可以是数字视频记录器(英文全称为DigitalVideoRecorder,英文缩写为DVR),数据提供设备同时也可以请求数据。此外,可选地,数据请求设备也可以提供数据。
所述网络设备还包括配置信息接收单元7、第一处理单元6、第二处理单元8、第三处理单元9和第四处理单元10。可选地,所述网络设备还包括总线11。所述网络设备中的部分或全部单元可以通过所述总线11进行信息传递,也可以通过其他方式进行信息传递。
所述第一处理单元6用于将第一端口1、第二端口2、第三端口3、第四端口4和第五端口5均加入第一虚拟局域网(英文全称为VirtualLocalAreaNetwork,英文缩写为VLAN)。所述第一处理单元6可以主动执行上述操作,也可以在收到指示信息后执行上述操作。所述第一VLAN可以为默认VLAN也可以为其它VLAN。可选地,所述第一VLAN的VLAN号小于或等于3999。所述第一VLAN的VLAN号也可以取大于或等于4000的值。
所述配置信息接收单元7用于接收第一配置信息,其中,所述第一配置信息用于请求使第四端口4与第一端口组中的每个端口相互隔离,第一端口组包括第一端口1和第二端口组,所述第二端口组包括第二端口2和第三端口3,所述第一配置信息还用于请求使第一端口1分别与第二端口2和第三端口3互通,并请求使第二端口2和第三端口3相互隔离。
根据上述对于第一配置信息的描述,可以确定以下内容。
所述第一配置信息实际上包括了第一端口隔离组。所述第一端口隔离组包括两个成员,分别为第四端口4和第一端口组,所述第四端口4和所述第一端口组中的每个端口均相互隔离。所述第一端口组是嵌套在所述第一端口隔离组中的第一端口互通组,所述第一端口互通组也包括两个成员,分别是第一端口1和第二端口组,第二端口组包括第二端口2和第三端口3这两个成员,所述第一端口互通组中的全部成员应当互通,也就是说第一端口1和第二端口组中的第二端口2和第三端口3均需要互通。所述第二端口组是第二端口隔离组,所述第二端口隔离组中的第二端口2和第三端口3之间需要相互隔离。由此可知,第一端口隔离组中嵌套有第一端口互通组,而第一端口互通组中又进一步嵌套有第二端口隔离组,因此所述第一配置信息包括了具有多层嵌套关系的端口互通组和端口隔离组。
可选地,第一配置信息的具体形式可以通过表达式来体现,例如,当用圆括号表示隔离组,用方括号表示互通组时,第一配置信息的一个具体示例为([1,(2,3)],4)。在该具体示例中,(2,3)为所述第二端口组,即所述第二端口隔离组,表示请求将第二端口组中的第二端口2和第三端口3相互隔离;[1,(2,3)]为所述第一端口组,即所述第一端口互通组,表示请求将第一端口组中的第一端口1和第二端口组互通,即第一端口1分别与第二端口2和第三端口3互通,也就是说第一端口1与第二端口2互通,并且第一端口1与第三端口3互通;([1,(2,3)],4)为所述第一端口隔离组,表示请求将第四端口与第一端口组中每个端口都隔离,即将第四端口4与第一端口1隔离,第四端口4与第二端口2隔离,第四端口4与第三端口3隔离。
所述第二处理单元8用于执行第一操作,所述第一操作包括使所述第二端口退出所述第一VLAN,加入第二VLAN,使所述第三端口退出所述第一VLAN,加入第三VLAN,并使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通。
在本实施例中,端口间的互通或隔离是基于VLAN来实现的。当两个VLAN互通时,例如VLANx和VLANy互通时,那么VLANx中的端口和VLANy中的端口也就互通。当两个VLAN相互隔离时,例如VLANx和VLANy相互隔离时,那么VLANx中的端口和VLANy中的端口也就相互隔离。通常情况下,不同的VLAN是相互隔离的。
在第二端口2加入第二VLAN,第三端口3加入第三VLAN后,如果不做额外处理,第二端口2将会与属于第一VLAN中的端口都隔离,第三端口3也会与属于第一VLAN中的端口都隔离,并且第二端口2和第三端口3之间也会隔离。
由于第五端口5与数据提供设备相连,因此第二端口和第三端口仍需要分别和第五端口互通。由于端口间的互通是基于VLAN间的互通的,因此本实施中需要使第二端口所属的第二VLAN和第五端口所属的第一VLAN互通,使第三端口所属的第三VLAN也和第一VLAN互通。
由于本操作中进一步使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通,因此本操作使第二端口2和第三端口3之间隔离,但第二端口2和第三端口3均不与另三个端口中的任意一个隔离。
可选地,所述网络设备通过以下具体操作,实现使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通。
所述网络设备将第二VLAN的当前转发规则和第三VLAN的当前转发规则均配置为第一转发规则,第一转发规则包括:在接收到属于第一VLAN的第一报文后,去除第一报文的VLAN标签(英文为tag),得到经处理的第一报文,并根据第一报文的目的媒体接入控制(英文全称为MediaAccessControl,英文缩写为MAC)地址转发经处理的第一报文。可选地,本实施例中,所述经处理的第一报文的目的MAC地址与处理前的第一报文的目的MAC地址是相同的。
需要指出的是,在为一个VLAN配置一条转发规则时,实际上是要为属于该VLAN的每个端口均配置该转发规则。
所述网络设备将第一VLAN的当前转发规则配置为第二转发规则,第二转发规则包括:在接收到属于第二VLAN的第二报文后,去除第二报文的VLANtag,得到经处理的第二报文,并根据第二报文的目的MAC地址进行报文转发;在接收到属于第三VLAN的第四报文后,去除第四报文的VLANtag并根据第四报文的目的MAC地址转发经处理的第四报文。
经过上述操作便可以使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通。由于第二VLAN和第三VLAN之间没有做使这两个VLAN互通的操作,因此第二VLAN和第三VLAN之间是相互隔离的。这样,属于第二VLAN的第二端口2分别与属于第一VLAN的第一端口1、第四端口4和第五端口5互通,属于第三VLAN的第三端口3分别与属于第一VLAN的第一端口1、第四端口4和第五端口5互通,但是第二端口2和第三端口3之间相互隔离。
所述第三处理单元9用于在所述第一操作被执行后,执行第二操作,所述第二操作包括将所述第一端口退出所述第一VLAN,加入第四VLAN,并使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通。
第一配置信息用于请求在配置了第二隔离组的基础上再配置第一互通组,使第一端口1分别与第二端口2和第三端口3互通。
针对所述第一配置信息,第三处理单元将第一端口1加入第四VLAN,并使第四VLAN分别与第二端口2所属的第二VLAN和第三端口3所属的第三VLAN互通。
又由于第一端口1仍旧需要保持和与数据提供设备相连的端口5之间的互通,因此第三处理单元还将第四VLAN和第一VLAN互通。
可选地,第三处理单元9通过以下操作,使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通。
第三处理单元9将第二VLAN的当前转发规则和第三VLAN的当前转发规则由第一转发规则修改为第三转发规则,该第三转发规则包括:在接收到第一报文后,去除第一报文的VLANtag,得到经处理的第一报文,并根据第一报文的目的MAC地址转发经处理的第一报文,这里的第一报文是指第四端口4或第五端口5的报文;在接收到属于第四VLAN的第五报文后,去除第五报文的VLANtag,得到经处理的第五报文,并根据属于第五报文的目的MAC地址转发经处理的第五报文,这里的第五报文是指第一端口1的报文。
第三处理单元9将第四转发规则配置为第四VLAN的当前转发规则,该第四转发规则包括:在接收到第一报文后,去除第一报文的VLANtag,得到经过处理的第一报文,并根据第一报文的目的MAC地址转发经过处理的第一报文;在接收到第二报文后,去除第二报文的VLANtag,得到经过处理的第二报文,并根据第二报文的目的MAC地址转发经过处理的第二报文;在接收到属于第三VLAN的第四报文后,去除第四报文的VLANtag,得到经处理的第四报文,并根据第四报文的目的MAC地址转发经处理的第四报文。第四VLAN包括第一端口1,因此第四转发规则就是第一端口1在加入第四VLAN后的当前转发规则。第一端口1在加入第四VLAN前使用的转发规则不再起作用。
第三处理单元9将第一VLAN的当前转发规则由第二转发规则修改为第五转发规则,该第五转发规则包括:在接收到第二报文后,去除第二报文的VLANtag,得到经过处理的第二报文,并根据第二报文的目的MAC地址转发经处理的第二报文;在接收到第四报文后,去除第四报文的VLANtag,得到经处理的第四报文,并根据第四报文的目的MAC地址转发经过处理的第四报文;在接收到属于第四VLAN的第五报文后,去除第五报文的VLANtag,得到经过处理的第五报文,并根据第五报文的目的MAC地址转发经过处理的第五报文。
所述第四处理单元10在所述第二操作被执行后,执行第三操作。所述第三操作包括将第四端口退出所述第一VLAN,加入第五VLAN,并使所述第五VLAN与所述第一VLAN互通。
第一配置信息用于请求在配置了第一互通组的基础上再配置第一隔离,使第一端口4分别与第一端口1、第二端口2和第三端口3相互隔离。
针对所述第一配置信息,第四处理单元10使第四端口4退出与第一端口、第二端口和第三端口均互通的第一VLAN,并加入了第五VLAN。由于没有执行使第五VLAN与第二VLAN、第三VLAN或第四VLAN进行互通的操作,因此第四端口便与第一端口、第二端口和第三端口分别实现了相互隔离。
由于第五端口5与数据提供设备相连,因此第四端口4也需要与第五端口5互通。所以,网络设备需要使所述第五VLAN与所述第一VLAN互通。
可选地,第四处理单元10通过以操作使所述第五VLAN与所述第一VLAN互通。
将第六转发规则配置为第五VLAN的当前转发规则,第六转发规则包括:在接收到第一报文后,去除第一报文的VLANtag,得到所述经过处理的第一报文,并根据第一报文的目的MAC地址转发经过处理的第一报文。这里的第一报文是指第五端口5的报文。由于第四端口是属于第五VLAN的端口,因此第四端口需要按照第六转发规则进行处理。第四端口在加入第五VLAN之前的转发规则不再起作用。
所述第四处理单元10将第一VLAN的当前转发规则由第五转发规则修改为第七转发规则,第七转发规则包括:在接收到第二报文后,去除第二报文的VLANtag,得到所述经过处理的第二报文,并根据第二报文的目的MAC地址转发经过处理的第二报文;在接收到属于第五VLAN的第三报文后,去除第三报文的VLANtag,得到经过处理的第三报文,并根据第三报文的目的MAC地址转发经过处理的第三报文;在接收到第四报文后,去除第四报文的VLANtag,得到所述经过处理的第四报文,并根据第四报文的目的MAC地址转发经过处理的第四报文;在接收到第五报文后,去除第五报文的VLANtag,得到所述经过处理的第五报文,并根据第五报文的目的MAC地址转发经过处理的第五报文。
经过上述处理,第一端口属于第四VLAN,第二端口属于第二VLAN,第三端口属于第三VLAN,第四端口属于第五VLAN,并且第五端口属于第一VLAN。这五个端口的转发规则包括如下内容。
第一端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发;在收到属于第二VLAN的报文后,去除接收到的报文中携带的第二VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第三VLAN的报文后,去除接收到的报文中携带的第三VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第一端口可以转发来自第二端口、第三端口和第五端口的报文,但不能转发来自第四端口的报文。
第二端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第四VLAN的报文后,去除接收到的报文中携带的第四VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第二端口可以转发来自第一端口和第五端口的报文,但不能转发来自第三端口和第四端口的报文。
第三端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第四VLAN的报文后,去除接收到的报文中携带的第四VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第三端口可以转发来自第一端口和第五端口的报文,但不能转发来自第二端口和第四端口的报文。
第四端口:在收到属于第一VLAN的报文后,去除接收到的报文中携带的第一VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第四端口可以转发来自第一端口的报文,但不能转发来自第二端口、第三端口和第四端口的报文。
第五端口:在收到属于第二VLAN的报文后,去除接收到的报文中携带的第二VLAN的VLANtag并根据MAC转发表进行报文转发;在收到属于第三VLAN的报文后,去除接收到的报文中携带的第三VLAN的VLANtag并根据MAC转发表进行报文转发;在收到属于第四VLAN的报文后,去除接收到的报文中携带的第四VLAN的VLANtag并根据MAC转发表进行报文转发;并且,在收到属于第五VLAN的报文后,去除接收到的报文中携带的第五VLAN的VLANtag并根据MAC转发表进行报文转发。该转发规则使第四端口可以转发来自第一端口、第二端口、第三端口和第四端口的报文。
本实施例中的网络设备通过对第一配置信息进行逐层的解析并进行相应的处理,实现了端口隔离策略的配置。由于第一配置信息包括具有多层嵌套关系的端口互通组和端口隔离组,因此所述网络设备可以根据所述第一配置信息,实现对复杂的端口隔离策略的配置,具有非常高的效率。
可选地,所述网络设备还可以包括第一转发信息配置单元、第二转发信息配置单元、第三转发信息配置单元、第四转发信息配置单元和第五转发信息配置单元。这些转发信息配置单元能够帮助减少实现端口隔离过程中产生的广播报文。
所述第一端口还用于:接收第一数据请求设备发送的第一数据请求报文。
所述第一转发信息配置单元用于:生成包括第一端口与第一数据请求报文的源MAC地址的对应关系的第一转发表项;将第一转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表、第三VLAN的转发表和第四VLAN的转发表中。这样,当与第四VLAN互通的第一VLAN、第二VLAN和第三VLAN需要查询到达第一数据请求设备的出端口时,就可以根据第一转发表项直接获得结果,不需要在网络中广播报文。
由于第一转发表项分别被保存在第一VLAN的转发表、第二VLAN的转发表、第三VLAN的转发表和第四VLAN的转发表中,因此,第一转发表项在第一VLAN、第二VLAN、第三VLAN和第四VLAN中均有效,均可以用于指导报文转发。当第一数据请求报文的目的地址为数据提供设备的MAC地址时,数据提供设备发送的以第一数据请求设备的MAC地址为目的地址的数据报文是属于第一VLAN的报文。这时可以使用第一VLAN的转发表中保存的第一转发表项对所述第一VLAN的报文进行转发,无需再第一VLAN内广播所述第一VLAN的报文,减少了广播报文的产生。
类似地,第二端口还用于:接收第二数据请求设备发送的第二数据请求报文;所述第二转发信息配置单元用于:生成包括第二端口和第二数据请求报文的源MAC地址的对应关系的第二转发表项,将第二转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表和第四VLAN的转发表中。
第三端口还用于接收第三数据请求设备发送的第三数据请求报文;所述第三转发信息配置单元用于:生成包括第三端口与第三数据请求报文的源MAC地址的对应关系的第三转发表项,将第三转发表项分别保存在第一VLAN的转发表、第三VLAN的转发表和第四VLAN的转发表中,将第三转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表和第四VLAN的转发表中。
第四端口还用于:接收第四数据请求设备发送的第四数据请求报文;所述第四转发信息配置单元用于:生成包括第四端口与第四数据请求报文的源MAC地址的对应关系的第四转发表项,将第四转发表项分别保存在第一VLAN的转发表和第五VLAN的转发表中。
第五端口还用于:接收数据提供设备发送的报文;所述第三转发信息配置单元用于:生成包括第五端口与数据提供设备发送的报文的源MAC地址的对应关系的第五转发表项,将第五转发表项分别保存在第一VLAN的转发表、第二VLAN的转发表、第三VLAN的转发表、第四VLAN的转发表和第五VLAN的转发表中。在图3所示的网络设备中,所述第一处理单元、第二处理单元、第三处理单元和第四处理单元可以通过一个或多个处理器实现。
如图4所示的网络设备包括第一端口1、第二端口2、第三端口3、第四端口4、第五端口5、配置信息接收单元6、处理器7、总线11、处理器12和存储器13,其中所述存储器13用于存储计算机可执行指令,所述处理器12可以根据所述指令进行操作。如图4所示的网络设备中的各个部分相互配合,使如图4所示的网络设备能够执行与图1、2或3对应的实施例中的网络设备能够执行的全部操作。
如图4所示的网络设备中,所述配置信息接收单元并不是必须独立存在的,可以由所述五个端口中的一个或多个端口执行所述配置信息接收单元所执行的功能。所述第一端口1、第二端口2、第三端口3、第四端口4、第五端口5可以由一个或多个接口电路替换。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种配置端口隔离信息的方法,其特征在于,所述方法由网络设备执行,所述网络设备包括第一端口、第二端口、第三端口、第四端口和第五端口,所述第一端口与第一数据请求设备相连,所述第二端口与第二数据请求设备相连,所述第三端口与第三数据请求设备相连,所述第四端口与第四数据请求设备相连,所述第五端口与数据提供设备相连,所述第一端口、第二端口、第三端口、第四端口和第五端口均属于第一虚拟局域网VLAN,所述方法包括:
接收第一配置信息,其中,所述第一配置信息用于请求使所述第四端口与第一端口组中的每个端口相互隔离,所述第一端口组包括所述第一端口和第二端口组,所述第二端口组包括所述第二端口和所述第三端口,所述第一配置信息还用于请求使所述第一端口分别与所述第二端口和所述第三端口互通,并请求使所述第二端口和所述第三端口相互隔离;
执行第一操作,所述第一操作包括使所述第二端口退出所述第一VLAN,加入第二VLAN,使所述第三端口退出所述第一VLAN,加入第三VLAN,并使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通;
在执行完所述第一操作后执行第二操作,所述第二操作包括将所述第一端口退出所述第一VLAN,加入第四VLAN,并使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通;
在执行完所述第二操作后执行第三操作,所述第三操作包括将第四端口退出所述第一VLAN,加入第五VLAN,并使所述第五VLAN与所述第一VLAN互通。
2.根据权利要求1所述的方法,其特征在于,所述使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通包括:
将所述第二VLAN的当前转发规则和所述第三VLAN的当前转发规则均配置为第一转发规则,所述第一转发规则包括:在接收到属于所述第一VLAN的第一报文后,去除所述第一报文的VLAN标签tag,得到经处理的第一报文,并根据所述第一报文的目的媒体接入控制MAC地址转发所述经处理的第一报文;
将所述第一VLAN的当前转发规则配置为第二转发规则,所述第二转发规则包括:在接收到属于所述第二VLAN的第二报文后,去除所述第二报文的VLANtag,得到经处理的第二报文,并根据所述第二报文的目的MAC地址进行报文转发所述经处理的第二报文;在接收到属于所述第三VLAN的第四报文后,去除所述第四报文的VLANtag,得到经处理的第四报文,并根据所述第四报文的目的MAC地址进行报文转发所述经处理的第四报文。
3.根据权利要求2所述的方法,其特征在于,使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通包括:
将所述第二VLAN的当前转发规则和所述第三VLAN的当前转发规则由所述第一转发规则修改为第三转发规则,所述第三转发规则包括:
在接收到所述第一报文后,去除所述第一报文的VLANtag,得到所述经处理的第一报文,并根据第一报文的目的MAC地址转发所述经处理的第一报文;
在接收到属于第四VLAN的第五报文后,去除第五报文的VLANtag,得到经过处理的第五报文,并根据所述属于第五报文的目的MAC地址转发所述经过处理的第五报文;
将第四转发规则配置为第四VLAN的当前转发规则,所述第四转发规则包括:
在接收到所述第一报文后,去除第一报文的VLANtag,得到所述经过处理的第一报文,并根据所述第一报文的目的MAC地址转发所述经过处理的第一报文;
在接收到所述第二报文后,去除所述第二报文的VLANtag,得到所述经过处理的第二报文,并根据所述第二报文的目的MAC地址转发所述经过处理的第二报文;
在接收到所述第四报文后,去除所述第四报文的VLANtag,得到所述经过处理的的第四报文,并根据所述第四报文的目的MAC地址转发所述经过处理的第四报文;
将第一VLAN的当前转发规则由所述第二转发规则修改为第五转发规则,所述第五转发规则包括:
在接收到所述第二报文后,去除第二报文的VLANtag,得到经过处理的第二报文,并根据所述第二报文的目的MAC地址转发所述经过处理的第二报文;
在接收到所述第四报文后,去除第四报文的VLANtag,得到经过处理的第四报文,并根据所述第四报文的目的MAC地址转发所述经过处理的第四报文;
在接收到所述第五报文后,去除所述第五报文的VLANtag,得到经过处理的第五报文,并根据所述第五报文的目的MAC地址转发所述经过处理的第五报文。
4.根据权利要求3所述的方法,其特征在于,使所述第五VLAN与所述第一VLAN互通包括:
将第六转发规则配置为所述第五VLAN的当前转发规则,所述第六转发规则包括:
在接收到所述第一报文后,去除所述第一报文的VLANtag,得到所述经过处理的第一报文,并根据所述第一报文的目的MAC地址转发所述经过处理的第一报文;
将所述第一VLAN的当前转发规则由所述第五转发规则修改为第七转发规则,所述第七转发规则包括:
在接收到所述第二报文后,去除所述第二报文的VLANtag,得到所述经过处理的第二报文,并根据所述第二报文的目的MAC地址转发所述经过处理的第二报文;
在接收到属于第五VLAN的第三报文后,去除所述第三报文的VLANtag,得到经过处理的第三报文,并根据所述第三报文的目的MAC地址转发所述经过处理的第三报文;
在接收到所述第四报文后,去除所述第四报文的VLANtag,得到所述经过处理的第四报文,并根据所述第四报文的目的MAC地址转发所述经过处理的第四报文;
在接收到所述第五报文后,去除所述第五报文的VLANtag,得到所述经过处理的第五报文,并根据所述第五报文的目的MAC地址转发所述经过处理的第五报文。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述第一端口接收所述第一数据请求设备发送的第一数据请求报文;
生成包括所述第一端口与所述第一数据请求报文的源MAC地址的对应关系的第一转发表项;
将所述第一转发表项分别保存在所述第一VLAN的转发表、所述第二VLAN的转发表、所述第三VLAN的转发表和所述第四VLAN的转发表中;
所述第二端口接收所述第二数据请求设备发送的第二数据请求报文;
生成包括所述第二端口和所述第二数据请求报文的源MAC地址的对应关系的第二转发表项;
将所述第二转发表项分别保存在所述第一VLAN的所述转发表、所述第二VLAN的所述转发表和所述第四VLAN的所述转发表中;
所述第三端口接收所述第三数据请求设备发送的第三数据请求报文;
生成包括所述第三端口与所述第三数据请求报文的源MAC地址的对应关系的第三转发表项;
将所述第三转发表项分别保存在所述第一VLAN的所述转发表、所述第三VLAN的所述转发表和所述第四VLAN的所述转发表中;
所述第四端口接收所述第四数据请求设备发送的第四数据请求报文;
生成包括所述第四端口与所述第四数据请求报文的源MAC地址的对应关系的第四转发表项;
将所述第四转发表项分别保存在所述第一VLAN的所述转发表和所述第五VLAN的转发表中;
第五端口接收所述数据提供设备发送的报文;
生成包括所述第五端口与所述数据提供设备发送的报文的源MAC地址的对应关系的第五转发表项;
将所述第五转发表项分别保存在所述第一VLAN的所述转发表、所述第二VLAN的所述转发表、所述第三VLAN的所述转发表、所述第四VLAN的所述转发表和所述第五VLAN的所述转发表中。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一VLAN的VLAN号小于或等于3999,所述第二VLAN的VLAN号大于或等于4000,所述第三VLAN的VLAN号大于或等于4000,所述第三VLAN的VLAN号大于或等于4000,所述第四VLAN的VLAN号大于或等于4000并且所述第五VLAN的VLAN号大于或等于4000。
7.一种网络设备,其特征在于,所述网络设备包括第一端口、第二端口、第三端口、第四端口和第五端口,所述第一端口用于与第一数据请求设备相连,所述第二端口用于与第二数据请求设备相连,所述第三端口用于与第三数据请求设备相连,所述第四端口用于与第四数据请求设备相连,所述第五端口用于与数据提供设备相连;
所述网络设备还包括:
第一处理单元,用于将所述第一端口、第二端口、第三端口、第四端口和第五端口均加入第一虚拟局域网VLAN;
配置信息接收单元,用于接收第一配置信息,其中,所述第一配置信息用于请求使所述第四端口与第一端口组中的每个端口相互隔离,所述第一端口组包括所述第一端口和第二端口组,所述第二端口组包括所述第二端口和所述第三端口,所述第一配置信息还用于请求使所述第一端口分别与所述第二端口和所述第三端口互通,并请求使所述第二端口和所述第三端口相互隔离;
第二处理单元,用于执行第一操作,所述第一操作包括使所述第二端口退出所述第一VLAN,加入第二VLAN,使所述第三端口退出所述第一VLAN,加入第三VLAN,并使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通;
第三处理单元,用于所述第一操作被执行后,执行第二操作,所述第二操作包括将所述第一端口退出所述第一VLAN,加入第四VLAN,并使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通;
第四处理单元,用于在所述第二操作被执行后,执行第三操作,所述第三操作包括将第四端口退出所述第一VLAN,加入第五VLAN,并使所述第五VLAN与所述第一VLAN互通。
8.根据权利要求7所述的网络设备,其特征在于,所述第二处理单元使所述第二VLAN与第一VLAN互通,使所述第三VLAN与所述第一VLAN互通包括:
将所述第二VLAN的当前转发规则和所述第三VLAN的当前转发规则均配置为第一转发规则,所述第一转发规则包括:在接收到属于所述第一VLAN的第一报文后,去除所述第一报文的VLAN标签tag,得到经处理的第一报文,并根据所述第一报文的目的媒体接入控制MAC地址转发所述经处理的第一报文;
将所述第一VLAN的当前转发规则配置为第二转发规则,所述第二转发规则包括:在接收到属于所述第二VLAN的第二报文后,去除所述第二报文的VLANtag,得到经处理的第二报文,并根据所述第二报文的目的MAC地址进行报文转发所述经处理的第二报文;在接收到属于所述第三VLAN的第四报文后,去除所述第四报文的VLANtag,得到经处理的第四报文,并根据所述第四报文的目的MAC地址进行报文转发所述经处理的第四报文。
9.根据权利要求8所述的网络设备,其特征在于,所述第三处理单元使所述第四VLAN分别与所述第一VLAN、第二VLAN和第三VLAN互通包括:
将所述第二VLAN的当前转发规则和所述第三VLAN的当前转发规则由所述第一转发规则修改为第三转发规则,所述第三转发规则包括:
在接收到所述第一报文后,去除所述第一报文的VLANtag,得到所述经处理的第一报文,并根据第一报文的目的MAC地址转发所述经处理的第一报文;
在接收到属于第四VLAN的第五报文后,去除第五报文的VLANtag,得到经过处理的第五报文,并根据所述属于第五报文的目的MAC地址转发所述经过处理的第五报文;
将第四转发规则配置为第四VLAN的当前转发规则,所述第四转发规则包括:
在接收到所述第一报文后,去除第一报文的VLANtag,得到所述经过处理的第一报文,并根据所述第一报文的目的MAC地址转发所述经过处理的第一报文;
在接收到所述第二报文后,去除所述第二报文的VLANtag,得到所述经过处理的第二报文,并根据所述第二报文的目的MAC地址转发所述经过处理的第二报文;
在接收到所述第四报文后,去除所述第四报文的VLANtag,得到所述经过处理的的第四报文,并根据所述第四报文的目的MAC地址转发所述经过处理的第四报文;
将第一VLAN的当前转发规则由所述第二转发规则修改为第五转发规则,所述第五转发规则包括:
在接收到所述第二报文后,去除第二报文的VLANtag,得到经过处理的第二报文,并根据所述第二报文的目的MAC地址转发所述经过处理的第二报文;
在接收到所述第四报文后,去除第四报文的VLANtag,得到经过处理的第四报文,并根据所述第四报文的目的MAC地址转发所述经过处理的第四报文;
在接收到所述第五报文后,去除所述第五报文的VLANtag,得到经过处理的第五报文,并根据所述第五报文的目的MAC地址转发所述经过处理的第五报文。
10.根据权利要求9所述的网络设备,其特征在于,所述第四处理单元使所述第五VLAN与所述第一VLAN互通包括:
将第六转发规则配置为所述第五VLAN的当前转发规则,所述第六转发规则包括:
在接收到所述第一报文后,去除所述第一报文的VLANtag,得到所述经过处理的第一报文,并根据所述第一报文的目的MAC地址转发所述经过处理的第一报文;
将所述第一VLAN的当前转发规则由所述第五转发规则修改为第七转发规则,所述第七转发规则包括:
在接收到所述第二报文后,去除所述第二报文的VLANtag,得到所述经过处理的第二报文,并根据所述第二报文的目的MAC地址转发所述经过处理的第二报文;
在接收到属于第五VLAN的第三报文后,去除所述第三报文的VLANtag,得到经过处理的第三报文,并根据所述第三报文的目的MAC地址转发所述经过处理的第三报文;
在接收到所述第四报文后,去除所述第四报文的VLANtag,得到所述经过处理的第四报文,并根据所述第四报文的目的MAC地址转发所述经过处理的第四报文;
在接收到所述第五报文后,去除所述第五报文的VLANtag,得到所述经过处理的第五报文,并根据所述第五报文的目的MAC地址转发所述经过处理的第五报文。
11.根据权利要求10所述的网络设备,其特征在于,所述网络设备还包括第一转发信息配置单元、第二转发信息配置单元、第三转发信息配置单元、第四转发信息配置单元和第五转发信息配置单元:
所述第一端口还用于:
接收所述第一数据请求设备发送的第一数据请求报文;
所述第一转发信息配置单元用于:
生成包括所述第一端口与所述第一数据请求报文的源MAC地址的对应关系的第一转发表项;
将所述第一转发表项分别保存在所述第一VLAN的转发表、所述第二VLAN的转发表、所述第三VLAN的转发表和所述第四VLAN的转发表中;
所述第二端口还用于:
接收所述第二数据请求设备发送的第二数据请求报文;
所述第二转发信息配置单元用于:
生成包括所述第二端口和所述第二数据请求报文的源MAC地址的对应关系的第二转发表项;
将所述第二转发表项分别保存在所述第一VLAN的所述转发表、所述第二VLAN的所述转发表和所述第四VLAN的所述转发表中;
所述第三端口还用于:
接收所述第三数据请求设备发送的第三数据请求报文;
所述第三转发信息配置单元用于:
生成包括所述第三端口与所述第三数据请求报文的源MAC地址的对应关系的第三转发表项;
将所述第三转发表项分别保存在所述第一VLAN的所述转发表、所述第三VLAN的所述转发表和所述第四VLAN的所述转发表中;
所述第四端口还用于:
接收所述第四数据请求设备发送的第四数据请求报文;
所述第四转发信息配置单元用于:
生成包括所述第四端口与所述第四数据请求报文的源MAC地址的对应关系的第四转发表项;
将所述第四转发表项分别保存在所述第一VLAN的所述转发表和所述第五VLAN的转发表中;
所述第五端口还用于:
接收所述数据提供设备发送的报文;
所述第五转发信息配置单元用于:
生成包括所述第五端口与所述数据提供设备发送的报文的源MAC地址的对应关系的第五转发表项;
将所述第五转发表项分别保存在所述第一VLAN的所述转发表、所述第二VLAN的所述转发表、所述第三VLAN的所述转发表、所述第四VLAN的所述转发表和所述第五VLAN的所述转发表中。
12.根据权利要求6至11中任一项所述的网络设备,其特征在于,所述第一VLAN的VLAN号小于或等于3999,所述第二VLAN的VLAN号大于或等于4000,所述第三VLAN的VLAN号大于或等于4000,所述第三VLAN的VLAN号大于或等于4000,所述第四VLAN的VLAN号大于或等于4000并且所述第五VLAN的VLAN号大于或等于4000。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310196936.1A CN103281205B (zh) | 2013-05-23 | 2013-05-23 | 一种配置端口隔离信息的方法和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310196936.1A CN103281205B (zh) | 2013-05-23 | 2013-05-23 | 一种配置端口隔离信息的方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103281205A CN103281205A (zh) | 2013-09-04 |
| CN103281205B true CN103281205B (zh) | 2016-02-03 |
Family
ID=49063662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310196936.1A Active CN103281205B (zh) | 2013-05-23 | 2013-05-23 | 一种配置端口隔离信息的方法和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103281205B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065552B (zh) * | 2014-06-26 | 2017-06-23 | 福建星网锐捷网络有限公司 | 一种数据传输方法及设备 |
| CN105227363B (zh) * | 2015-10-08 | 2018-06-19 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的全网络端口隔离方法及装置 |
| CN106453093B (zh) * | 2016-12-14 | 2019-08-02 | 浙江宇视科技有限公司 | 端口隔离方法及装置 |
| CN109257664A (zh) * | 2018-10-26 | 2019-01-22 | 武汉长光科技有限公司 | 一种支持pon系统端口隔离的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035052A (zh) * | 2007-04-25 | 2007-09-12 | 中兴通讯股份有限公司 | 一种基于虚拟局域网的端口隔离方法 |
| US7660292B2 (en) * | 2002-06-27 | 2010-02-09 | Broadcom Corporation | System and method for isolating network clients |
| CN102255785A (zh) * | 2011-08-11 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpls中的网络隔离方法及其装置 |
| CN102480485A (zh) * | 2010-11-30 | 2012-05-30 | 杭州华三通信技术有限公司 | 实现同一vlan内端口跨设备隔离的系统、方法和交换设备 |
-
2013
- 2013-05-23 CN CN201310196936.1A patent/CN103281205B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7660292B2 (en) * | 2002-06-27 | 2010-02-09 | Broadcom Corporation | System and method for isolating network clients |
| CN101035052A (zh) * | 2007-04-25 | 2007-09-12 | 中兴通讯股份有限公司 | 一种基于虚拟局域网的端口隔离方法 |
| CN102480485A (zh) * | 2010-11-30 | 2012-05-30 | 杭州华三通信技术有限公司 | 实现同一vlan内端口跨设备隔离的系统、方法和交换设备 |
| CN102255785A (zh) * | 2011-08-11 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpls中的网络隔离方法及其装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103281205A (zh) | 2013-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102205882B1 (ko) | 팻-트리 라우팅에 기반하여 별개의 인피니밴드 서브넷들 사이에서 트래픽을 라우팅하기 위한 시스템 및 방법 | |
| CN103477588B (zh) | 刀片服务器中刀片间网络业务的分类和管理方法和系统 | |
| US7889748B1 (en) | Mapping a port on a packet switch appliance | |
| US9231849B2 (en) | Apparatus and method for controlling virtual switches | |
| JP5855630B2 (ja) | 仮想ローカルエリアネットワークのクラウドアプライアンスを管理するための管理サーバおよびその管理方法 | |
| CN111800326B (zh) | 报文传输方法及装置、处理节点及存储介质 | |
| US9819574B2 (en) | Concerted multi-destination forwarding in a joint TRILL fabric and VXLAN/IP fabric data center | |
| US8897138B2 (en) | Systems and methods for configuring a network switch appliance | |
| CN104202266A (zh) | 一种通信方法、交换机、控制器及通信系统 | |
| CN103944828A (zh) | 一种协议报文的传输方法和设备 | |
| US9112728B2 (en) | Implementing control planes for hybrid networks | |
| CN103281205B (zh) | 一种配置端口隔离信息的方法和网络设备 | |
| EP2924934B1 (en) | Ethernet switch and method for establishing forwarding patterns in an ethernet switch | |
| CN108028801B (zh) | 一种基于sdn的arp实现方法及装置 | |
| CN102368727A (zh) | 跨ip网络的trill网络通信方法、系统和设备 | |
| US11018896B2 (en) | Information processing apparatus and information processing method | |
| US20210234812A1 (en) | Traffic broker for routing data packets through sequences of in-line tools | |
| JP7046983B2 (ja) | パケット伝送方法及び装置 | |
| CN101827028B (zh) | 实现组播虚拟专用网vpn报文发送的方法及设备 | |
| WO2016152903A1 (ja) | 通信システム、制御装置、制御方法及びプログラム | |
| EP3253030B1 (en) | Method and device for reporting openflow switch capability | |
| CN107483341A (zh) | 一种跨防火墙报文快速转发方法及装置 | |
| CN103067304B (zh) | 报文保序的方法及装置 | |
| US10177935B2 (en) | Data transfer system, data transfer server, data transfer method, and program recording medium | |
| CN106209634B (zh) | 地址映射关系的学习方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |