CN109314706B - 网络隔离 - Google Patents
网络隔离 Download PDFInfo
- Publication number
- CN109314706B CN109314706B CN201780035216.3A CN201780035216A CN109314706B CN 109314706 B CN109314706 B CN 109314706B CN 201780035216 A CN201780035216 A CN 201780035216A CN 109314706 B CN109314706 B CN 109314706B
- Authority
- CN
- China
- Prior art keywords
- packet
- routing
- node
- gateway
- downstream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 69
- 238000011144 upstream manufacturing Methods 0.000 claims abstract description 56
- 238000000034 method Methods 0.000 claims abstract description 20
- 230000004044 response Effects 0.000 claims description 11
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 34
- 238000010586 diagram Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
- H04L45/247—Multipath using M:N active or standby paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/325—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the network layer [OSI layer 3], e.g. X.25
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/44—Star or tree networks
- H04L2012/445—Star or tree networks with switching in a hub, e.g. ETHERNET switch
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供用于网络隔离的一或多种技术和/或系统。举例来说,装置网内的节点可配置有例如层3网络层处的路由规则、主路由表和迂回路由表。所述路由规则可规定从下游接收的包将向上游路由到网关或回程装置以用于评估是否允许使用主路由表将此类包往回向下游传达到目的地接收方。隔离规则可被配置成规定是阻断还是允许包。在一实例中,所述网关可依据源装置和目的地装置是在同一虚拟局域网内还是在不同虚拟局域网内而阻断或允许包。以此方式,可例如在所述层3网络层处提供选择性装置隔离。
Description
相关申请案
本申请案主张2016年6月7日申请的标题为“网络隔离(NETWORK ISOLATION)”的美国专利申请案第15/175,100号的优先权,所述美国专利申请案并入本文中。
背景技术
一些类型的装置网使用具有虚拟局域网(VLAN)的层2网络层。层2网络层可包括数据链路,其中数据包编码或解码成位。媒体存取控制(MAC)子层控制装置如何存取数据,并且控制发射数据的权限,例如其中包基于目的地MAC地址发送到特定交换端口。层2网络层使用物理寻址,并且因此代替将包路由到本地对等点,通过地址解析协议(ARP)解析目的地MAC地址以与本地对等点通信。层2网络层的因特网协议(IP)包内携带的VLAN标签可用以提供装置之间的隔离。提供某些装置之间的隔离可改进装置网的安全性。举例来说,不同VLAN上的装置可与彼此隔离以改进层2网络层处的VLAN之间的安全性。
发明内容
提供此发明内容来以简化形式介绍下文在具体实施方式中进一步描述的概念选择。本发明内容并非意在识别所主张的标的物的关键要素或基本特征,也并非意在用于限制所主张的标的物的范围。
尤其是,本文提供用于网络隔离的一或多种系统和/或技术。举例来说,装置网可包括一或多个装置(例如,有线客户端装置或无线客户端装置)、一或多个节点(例如,具有无线连接性的节点无线的),以及可具有到回程装置(例如,交换机或路由器,其可用以将装置网连接到核心网络或主干网络)的连接性的网关。所述装置网可使用支持因特网协议(IP)路由的层3网络层。如本文所提供,装置网可被配置成在装置网的装置之间提供选择性隔离。举例来说,节点可配置有第一路由规则和第二路由规则。所述第一路由规则可规定当包(例如,未经标记包)是从节点的上游的装置接收时,将使用第一主路由表路由所述包。第一主路由表可使用基于目的地的路由,例如用以将包向下游路由到为包的目的地接收方的目的地装置的主路由。第二路由规则可规定当包是从节点的下游的装置接收(例如,源自节点的下游的源装置的经标记包)时,第一迂回路由表将用于所述包。第一迂回路由表可指示将向下游路由从下游接收的包。在一实例中,第二路由规则与第一路由规则相比可具有较高优先级,并且因此被评估为首先适用。
网关可配置有第三路由规则和第四路由规则。第三路由规则可规定当包是从网关的上游的装置例如从回程装置接收时,将使用第二主路由表路由所述包。第二主路由表可使用基于目的地的路由,例如用以将包向下游所述到目的地装置的主路由。第四路由规则可规定当包是从网关的下游的装置接收(例如,源自源装置的经标记包)时,第二迂回路由表将用于所述包。第二迂回路由表可指示将向上游路由从下游接收的包,以便到达回程装置。在一实例中,可针对个别虚拟局域网定义例如供网关使用的迂回路由表(例如,迂回路由表可包括用于同一虚拟局域网内的装置的路由条目,因此可使用所述迂回路由表在所述同一虚拟局域网内的装置之间路由包,否则在迂回路由表不具有用于目的地装置的条目的情况下,可默认地将包路由到回程装置)。在一实例中,第四路由规则与第三路由规则相比可具有较高优先级,且因此被评估为首先适用。在启用同一虚拟局域网(同一VLAN)路由的实例中,网关可配置有同一VLAN规则,其规定将允许网关针对在同一VLAN内的装置之间的通信将包往回向下游路由(例如,无需向上游路由到回程装置以用于使用隔离规则进行评估),以及不允许网关针对在不同VLAN内的装置之间的通信将包往回向下游路由。
隔离规则可被配置成规定是阻断还是允许包。举例来说,隔离规则可规定允许或不允许哪些装置为发送包到目的地装置的源装置进行的通信的目的地接收方。如果隔离规则规定允许源装置与目的地装置通信,那么包可往回向下游路由到目的地装置。如果隔离规则规定不允许源装置与目的地装置通信,那么阻断包。以此方式,包从源装置向上游路由通过装置网到达网关或回程装置(例如,依据使用迂回路由表),所述网关或回程装置将使用隔离规则确定是阻断包还是往回向下游路由所述包通过装置网到达目的地装置(例如,依据使用主路由表)。因此,通过在装置之间提供选择性隔离来改进装置网的安全性。
为了实现前述和相关目的,以下描述和附图阐述了某些说明性方面和实施方案。这些内容仅指示了可以使用一或多个方面的多种方式中的几种。当结合附图考虑时,根据以下详细描述将容易理解本发明的其它方面、优点和新颖特征。
附图说明
图1是说明提供网络隔离的示范性方法的流程图。
图2A是说明用于提供网络隔离的示范性系统的组件框图。
图2B是说明用于提供网络隔离的示范性系统的组件框图,其中界定路由规则、迂回路由表和主路由表。
图2C是说明用于提供网络隔离的示范性系统的组件框图,其中界定路由规则、迂回路由表、主路由表和隔离规则。
图2D是说明用于提供网络隔离的示范性系统的组件框图,其中使用迂回路由表将包向上游路由到回程装置,并且依据隔离规则允许所述包。
图2E是说明用于提供网络隔离的示范性系统的组件框图,其中使用主路由表将包向下游路由到目的地装置。
图2F是说明用于提供网络隔离的示范性系统的组件框图,其中使用迂回路由表将包向上游路由到回程装置,并且依据隔离路由规则阻断所述包。
图3A是说明用于提供网络隔离的示范性系统的组件框图。
图3B是说明用于提供网络隔离的示范性系统的组件框图,其中使用主路由表将包向下游路由到目的地。
图4是其中可包括被配置成实施本文中阐述的规定中的一或多个的处理器可执行指令的示范性计算装置可读媒体的说明。
图5说明其中可实施本文中阐述的规定中的一或多个的示范性计算环境。
具体实施方式
现在参考图式描述所主张的标的物,其中通篇总体上用相同的参考标号指代相同的元件。在以下描述中,出于解释的目的,陈述许多特定细节以便提供对所主张的标的物的理解。然而,可能显而易见的是可以在没有这些具体细节的情况下实践所主张的标的物。在其它情况下,用框图形式说明结构和装置以便于描述所主张的标的物。
提供用于提供网络隔离的一或多个计算装置和/或技术。举例来说,可定义用于装置网(例如使用具有因特网协议(IP)路由的层3网络层的装置无线网内)的节点的路由规则。路由规则可规定是主路由表还是迂回路由表将用于查找用于路由包的路由。举例来说,较高优先级路由规则可规定从下游接收的包(例如经标记包)将使用迂回路由表,其包括用以向上游路由包以供回程装置使用规定允许或不允许哪些装置彼此通信的隔离规则进行评估的迂回路由。较低优先级路由规则可规定从上游接收的包(例如未经标记的包)将使用主路由表,其包括用以将包向下游路由到目的地装置的主路由。
网关可配置有同一虚拟局域网(同一VLAN)路由规则以允许同一VLAN通信(例如,允许同一VLAN内的装置之间的通信)并且阻断不同VLAN之间的通信(例如,阻断不同VLAN内的装置之间的通信)。使用具有不同优先级的优先级规则促进包高效路由到被配置成用于选择性地允许或阻断此类包到达目的地的网关或回程节点,因此通过阻断原本可能破解敏感数据、装置可操作性和/或安全性的包来改进安全性。以此方式,可通过提供例如层3网络层内的选择性装置隔离和/或通过提供同一VLAN通信(原本可能通过对层3网络层不可用来实现),以高效方式改进装置网的安全性。否则,尝试使用包过滤和/或防火墙禁止包到达不同VLAN的子网是效率低下的并且阻止包进行VLAN间通信。选择性地提供层3网络层处的某些装置之间的隔离以高效方式改进网络安全,这是因为可阻断未经授权的通信,例如恶意装置(例如,尝试发送恶意指令到网络内的装置或尝试从装置提取敏感数据的恶意装置)的通信尝试。
图1的示范性方法100说明网络隔离的实施例。装置网可包括一或多个装置(例如,图2A的装置(1A)212、装置(1B)214、装置(2A)216和装置(2B))、节点(例如,图2A的第一节点208、第二节点210和第三节点206,和/或具有到回程装置(例如,图2A的回程装置202)例如回程交换机或路由器的连接性的的网关(例如,图2A的网关204)。在一实例中,装置网可包括使用支持IP路由的层3网络层的无线装置网。与层2网络层相比,层3网络层使用交换和路由技术并且使用用于将来自节点的数据发射到节点的逻辑路径。层3网络层负责逻辑寻址、网络互连以及IP的路由和转发。路由在层3网络层处操作,其中包依据目的地IP地址发送到特定下一跳(next-hop)IP地址。在一实例中,装置无线网可使用具有IP路由的层3网络层。然而,层3网络层可能不支持VLAN标签,且因此装置之间的隔离可能不可用。可使用用以阻断每个网格节点上的包以确保包无法到达不同VLAN的子网的包过滤和防火墙尝试提供层3网络层处的装置隔离,但此类技术是效率低下的并且不允许VLAN间通信。因此,如本文所提供的,可使用IP路由规则和迂回路由表提供装置隔离,所述IP路由规则和迂回路由表用以将包路由到回程交换机以供使用选择性地允许或阻断此类包的隔离规则进行评估。
在102处,隔离规则可配置于具有第一路由规则和第二路由规则的节点上。在一实例中,第二路由规则与第一路由规则相比可具有较高优先级,使得可首先评估第二路由规则以用于确定第二路由规则是否适用于包。第一路由规则可规定第一主路由表将用于路由从节点的上游的装置接收的包(例如,未经标记的包)。第一主路由表可包括用以使用标准目的地路由技术到达目的地装置的主路由。以此方式,回程装置(例如,依据允许此类通信的隔离规则)或网关装置(例如,依据允许此类通信的同一VLAN路由规则)批准的包可被节点使用第一路由规则和第一主路由表往回向下游路由到目的地装置。
第二路由规则可规定第一迂回路由表将用于从节点的下游的装置接收的包。第一迂回路由表可包括用以以下操作的迂回路由:与通过装置网到达目的地装置相反,向上游路由包,使得此类包可被回程装置使用隔离规则或被网关装置使用同一VLAN路由规则进行评估以提供选择性隔离。以此方式,隔离规则适用于节点和/或装置网内的任何其它节点,这是因为可使用第一迂回路由表评估包。
在一实例中,从节点的下游的装置接收(例如,从无线装置接收)的包可被例如与所述节点相关联的驱动器模块(例如,无线驱动器)标记,以指示第一迂回路由表将用于路由(例如,所述标记可触发第二路由规则的使用/适用性)。所述驱动器模块可被指示不标记从节点的上游的装置接收的包(例如,不存在标记可触发第一路由规则而非第二路由规则的使用/适用性)。在一实例中,所述节点可存储节点的上游的装置的指示,并且因此可使用所述指示确定所述包是否从所述节点的上游的装置接收。如果否,那么所述节点可确定包是从所述节点的下游的装置接收。在另一实例中,如果包是从有线装置接收,那么可评估接收包所通过的接口以确定包是从下游还是上游接收(例如,相较于对包进行标记)。以此方式,一或多个节点(例如,图2A的第一节点208、第二节点210和第三节点206)可配置有规定是使用具有用以到达下游目的地装置的主路由的主路由表还是使用用以路由上游包的迂回路由的迂回路由表的路由规则。
在104处,隔离规则可配置于具有第三路由规则和第四路由规则的网关上。在一实例中,第四路由规则与第三路由规则相比可具有较高优先级,使得可首先评估第四路由规则以用于确定第四路由规则是否适用于包。第三路由规则可规定第二主路由表将用于将从网关的上游的装置(例如回程装置)接收的包往回向下游路由所述目的地装置。第三主路由表可包括用以使用标准目的地路由技术到达目的地装置的主路由。以此方式,回程装置(例如,依据允许此类通信的隔离规则)或网关装置(例如,依据允许此类通信的同一VLAN路由规则)批准的包可被网关所述第三路由规则和第二主路由表往回向下游路由到目的地装置。
第四路由规则可规定第二迂回路由表将用于从网关的下游的装置接收的包。第二迂回路由表可包括用以相较于通过装置网到达目的地装置,向上游路由包例如到回程装置的迂回路由,使得此类包可被回程装置使用隔离规则进行评估以提供选择性隔离。在一实例中,网关可被配置成评估包到达所通过的接口以确定包是从上游还是下游接收。以此方式,隔离规则适用于网关,这是因为可使用第二迂回路由表评估包。
在一实例中,网关可配置有同一VLAN路由规则,其规定当包正在同一VLAN内的装置之间传达时,允许包被网关往回路由通过装置网到达目的地装置(例如,无需路由到回程装置),并且阻断用于在不同VLAN内的装置之间通信的包。
在106处,隔离规则可被配置于回程装置中。举例来说,回程装置可依据规定允许或不允许哪些装置为源装置进行的通信的目的地接收方的隔离规则,阻断或允许源自装置网内的源装置(例如,包到目的地装置的发送器)的包。举例来说,隔离规则可规定阻断源自源装置并且具有目的地装置作为目的地接收方的包路由到目的地装置。隔离规则可规定允许源自源装置并且具有第二装置作为目的地接收方的包往回向下游路由通过装置网到达第二装置。以此方式,隔离规则可提供于节点、网内的其它节点、网关和回程装置中(例如,在回程装置中提供用于VLAN间通信的隔离规则)。
在一实例中,隔离规则可提供对连接到装置网的装置无法与彼此通信,除非提供用于此类通信的隔离规则(例如,由网关实施的允许同一VLAN内的装置之间的通信的同一VLAN路由规则)的保证。举例来说,网关可发送包到回程装置。响应于回程装置确定目的地装置不在回程网络中(例如,目的地装置是装置网内的装置),回程装置可发送地址解析协议(ARP)消息到网关,询问谁具有目的地装置。网关可发送包将从回程装置往回路由到网关以提供VLAN间通信的ARP答复。在一实例中,回程装置可将包发送回到VLAN端口(例如,接口)。在一实例中,回程装置可决定不支持VLAN间通信(例如,依据回程装置内的隔离规则的实施),并且因此可能不将包发送回到网关。包可被例如回程装置辨别为来自回程网络的新包或最初来自网关的现有包。以此方式,选择性装置隔离可提供给装置网,例如提供给使用层3网络层的装置无线网。
图2A-2F说明用于提供网络隔离的系统200的实例。图2A说明包括第一节点208、第二节点210、第三节点206、网关204和/或一或多个装置的无线网状网络。可了解,无线网状网络可包括与所说明的不同或其它节点和/或装置。装置(1A)212可通过有线连接例如使用以太网连接性ETH(1)连接到第一节点208。装置(1B)214可通过无线连接例如使用无线局域网WLAN(0)连接到第一节点208。装置(2A)216可通过有线连接例如使用以太网连接性ETH(1)连接到第二节点210。装置(2B)218可通过无线连接例如使用无线局域网WLAN(0)连接到第二节点210。第一节点208和第二节点210可通过无线连接例如使用无线局域网WLAN(0)连接到第三节点206。第三节点206可通过无线连接例如使用无线局域网WLAN(0)连接到网关204。网关204可在有线连接上例如使用以太网连接性ETH(0)连接到回程装置202(例如,交换机或路由器)。
图2B说明被配置成供节点例如第一节点208和第三节点206使用的IP路由规则和路由表。可定义用于第一节点208的第一路由规则220。第一路由规则220可包括第一较高优先级规则220a,其规定从装置(1A)212接收(例如,从下游接收)的包将使用第一迂回路由表222,所述第一迂回路由表规定此类包将向上游路由到第三节点206。第一路由规则220可包括第二较高优先级规则220b,其规定包(例如,从装置(1B)214接收并且被第一节点208的无线驱动器标记的经标记包)将使用第一迂回路由表222,所述第一迂回路由表规定此类包将向上游路由到第三节点206。第一路由规则220可包括第一较低优先级规则220c,其规定从上游接收并且具有装置(1A)212作为目的地接收方的包将使用第一主路由表224,所述第一主路由表使用基于目的地的标准路由来路由包。第一路由规则220可包括第二较低优先级规则220d,其规定从上游接收并且具有装置(1B)214作为目的地接收方的包将使用第一主路由表224,所述第一主路由表使用基于目的地的标准路由来路由包。类似地,可定义用于第二节点210,例如用于路由与装置(2A)216和/或装置(2B)218相关联的包,规定是使第二主路由表还是第二迂回路由表用于路由的第二路由规则。
可定义用于第三节点206的第三路由规则226。第三路由规则226可包括第三较高优先级规则226a,其规定经标记包(例如,从下游接收并且被第三节点206的无线驱动器标记的包)将使用第三迂回路由表228,所述第三迂回路由表规定此类包将向上游路由到网关204。第三路由规则226可包括第三较低优先级路由规则226b,其规定从上游例如从网关204接收、源自任何装置以及具有任何其它装置作为目的地接收方的包将使用第三主路由表230,所述第三主路由表使用基于目的地的标准路由来路由包。
图2C说明为网关204定义的网关路由规则240。网关路由规则240可包括较高优先级规则,其规定经标记包(例如,从下游任何装置接收并且被网关204的无线驱动器标记的包)将使用用于第一VLAN的第一迂回路由表242、用于第二VLAN的第二迂回路由表243和/或用于VLAN的其它迂回路由表。如果迂回路由表包括用于目的地装置的条目(例如,因为目的地装置在同一VLAN内作为包的发送器),那么所述包可依据所述条目路由到目的地装置。如果否,那么包可默认地路由到回程装置202。网关路由规则240可包括较低优先级规则,其规定从上游例如从回程装置202接收、源自任何装置以及具有任何其它装置作为目的地接收方的包将使用主路由表244,所述主路由表使用基于目的地的标准路由来路由包。
当评估是阻断还是允许包往回路由通过网到达目的地接收方时,可定义供使用的隔离规则246。举例来说,可允许装置(1A)212仅与装置(2A)216通信,可允许装置(2A)216仅与装置(1A)212通信,可允许装置(1B)214仅与装置(2B)218通信,并且可允许装置(2B)218仅与装置(1B)214通信。可了解,可规定各个定制和选择性隔离规则(例如,可允许装置与3个装置通信,并且可阻断装置与8个其它装置通信)。
图2D说明在装置(2A)216作为目的地接收方的情况下装置(1A)212起始包250。装置(1A)212可将包250通过有线连接路由到第一节点208。第一节点208可确定包250不是从上游接收(例如,不从为第一节点208的上游的装置的第三节点206接收),且因此是从下游接收。因此,第一节点208可使用第一较高优先级规则220a确定第一迂回路由表222将用以路由包250。第一迂回路由表222指示包250应向上游路由到第三节点206,并且因此第一节点208可将包250路由到第三节点206。与第三节点206相关联的无线驱动器可用指示包250是从下游接收的标记来标记包250。因此,第三节点206可使用第三较高优先级规则226a确定第三迂回路由表228将用以路由包250。第三迂回路由表228指示包250应向上游路由到网关204,并且因此第三节点206可将包250路由到网关204。
网关204可评估接收包250所通过的接口以确定包250是从下游接收。因此,网关204可使用规定第一迂回路由表242将用以所述包250的较高优先级规则。在一实例中,第一迂回路由表242可包括用于装置(2A)216的条目(例如,这是因为装置(A1)212和装置(2A)216是在同一VLAN内),所述条目指示包250应路由到第三节点206。第三节点206可使用第三主路由表230依据第三较低优先级路由规则226b将包250路由到第二节点210。第二节点210可使用第二主路由表依据为第二节点210定义的较低优先级路由规则将包路由到装置(2A)216。以此方式,可使用隔离规则246选择性地允许某些装置之间的通信。
图2F说明在装置(2A)216作为目的地接收方的情况下装置(1B)214起始包260。装置(1B)214可将包260通过无线连接路由到第一节点208,并且因此与第一节点208相关联的无线驱动器可将包260标记为来自下游。因此,第一节点208可使用第二较高优先级规则220b确定第一迂回路由表222将用以路由包260。第一迂回路由表222指示包260应向上游路由到第三节点206,并且因此第一节点208可将包260路由到第三节点206。与第三节点206相关联的无线驱动器可用指示包260是从下游接收的标记来标记包260。因此,第三节点206可使用第三较高优先级规则226a确定第三迂回路由表228将用以路由包260。第三迂回路由表228指示包260应向上游路由到网关204,并且因此第三节点206可将包260路由到网关204。网关204可评估接收包260所通过的接口以确定包260是从下游接收。因此,网关204可使用规定第二迂回路由表243将用以路由包260的较高优先级规则。第二迂回路由表243指示包260应默认地向上游路由到回程装置202,这是因为第二迂回路由表243不包括用于装置(2A)216的条目,原因是装置(2A)216与装置(1B)214处于不同的VLAN中,且因此网关204可将包260路由到回程装置202。回程装置202可依据指示仅允许装置(1B)214与装置(2B)218通信并且因此隔离与装置(2A)216通信的隔离规则246,阻断包260。以此方式,可使用隔离规则246选择性地隔离某些装置之间的通信。
图3A-3B说明用于提供网络隔离的系统300的实例。图3A说明包括第一节点308、第二节点310、第三节点306、网关304和/或一或多个装置的无线网状网络。可了解,无线网状网络可包括不同或其它节点和/或装置。装置(1A)312可通过有线连接例如使用以太网连接性ETH(1)连接到第一节点308。装置(1B)314可通过无线连接例如使用无线局域网WLAN(0)连接到第一节点308。装置(2A)316可通过有线连接例如使用以太网连接性ETH(1)连接到第二节点310。装置(2B)318可通过无线连接例如使用无线局域网WLAN(0)连接到第二节点310。第一节点308和第二节点310可通过无线连接例如使用无线局域网WLAN(0)连接到第三节点306。第三节点306可通过无线连接例如使用无线局域网WLAN(0)连接到网关304。网关304可通过有线连接例如使用以太网连接性ETH(0)连接到回程装置302(例如,交换机或路由器)。
网关304可配置有同一虚拟局域网路由规则303,其规定允许网关304在同一虚拟局域网内的装置之间路由包以及不允许网关在不同虚拟局域网内的装置之间路由包。举例来说,装置(1A)312和装置(2A)316可在同一虚拟局域网内。装置(1A)312可产生具有装置(2A)316作为目的地接收方的包330。装置(1A)312可将包330通过有线连接路由到第一节点308。第一节点308可确定包330不是从上游接收(例如,不是从为第一节点308的上游的装置的第三节点306接收),且因此是在下游接收。因此,第一节点308可使用第一迂回路由表将包330路由到第三节点306。与第三节点306相关联的无线驱动器可用指示包330是从下游接收的标记来标记包330。因此,第三节点306可使用第二迂回路由表将包330路由到网关304。网关304可评估接收包330所通过的接口以确定包330是从下游接收。因此,网关304可使用同一虚拟局域网路由规则303评估包330以确定是否允许包330往回向下游路由到装置(2A)316。
图3B说明网关304依据同一虚拟局域网路由规则303将包330往回向下游路由到装置(2A)316,所述同一虚拟局域网路由规则指示允许此类通信,这是因为装置(1A)312和装置(2A)316是在同一虚拟局域网内。因此,网关304可使用主路由表将处于未标记状态下的包330向下游路由到第三节点306。因为包330是从上游接收并且未经标记,所以第三节点306可将包330路由到第二节点310。因为包330是从上游接收并且未经标记,所以第二节点310可将包330路由到装置(2A)316。
网关304可依据同一虚拟局域网路由规则303阻断在不同虚拟局域网内的装置之间传达的包。在一实例中,如果装置(1A)312和装置(2A)316在不同虚拟局域网中,那么网关304可已依据同一虚拟局域网路由规则303阻断包。在另一实例中,如果装置(1B)314是在第一虚拟局域网内并且装置(2A)是在第二虚拟局域网内,那么网关304可依据同一虚拟局域网路由规则303阻断从装置(2A)316发送到装置(1B)314的包。
图4是涉及实例非暂时性机器可读媒体402的情境400的说明。非暂时性机器可读媒体402可包括在由处理器416执行时致使本文中的规定中的至少一些的执行(例如,通过所述处理器416)的处理器可执行指令412。非暂时性机器可读媒体402可包括存储器半导体(例如,使用静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)和/或同步动态随机存取存储器(SDRAM)技术的半导体)、硬盘驱动器盘板、闪存存储器装置或磁性或光学光盘(例如光盘(CD)、数字通用盘(DVD)或软盘)。实例非暂时性机器可读媒体402存储计算机可读数据404,其在经历装置408的读取406(例如,硬盘驱动器的读取头,或固态存储装置上调用的读取操作)时表示处理器可执行指令412。在一些实施例中,处理器可执行指令412在被执行时致使例如图1的实例方法100中的至少一些的操作的执行。在一些实施例中,处理器可执行指令412被配置成致使例如图2A-2F的实例系统200中的至少一些和/或图3A-3B的实例系统300中的至少一些的系统的实施。
虽然已以特定地针对结构特征和/或方法动作的语言来描述标的物,但应理解,所附权利要求书中所界定的标的物未必限于上文所描述的特定特征或动作。相反地,上文所描述的具体特征和动作是被揭示作为实施权利要求中的至少一些的实例形式。
如本申请中所使用,术语“组件”、“模块”、“系统”、“接口”等通常意图指代计算机相关实体,即硬件、硬件与软件的组合、软件或执行中的软件。举例来说,组件可为但不限于在处理器上运行的进程、处理器、对象、可执行程序、执行线程、程序和/或计算机。作为说明,在控制器上运行的应用程序以及控制器两者都可以是组件。一或多个组件可驻留在进程和/或执行线程内,且组件可局部化于一个计算机上和/或分布在两个或更多个计算机之间。
此外,所主张的标的物可实施为使用标准编程和/或工程技术来产生控制计算机实施所揭示的标的物的软件、固件、硬件或其任何组合的方法、设备或制品。如本文所使用的术语“制品”意在包涵可从计算机可读装置、载体或媒体存取的计算机程序。当然,可在不脱离所主张的标的物的范围或精神的情况下对此配置做出许多修改。
图5和以下论述提供对实施本文中阐述的规定中的一或多个的实施例的适合计算环境的简要的一般性描述。图5的操作环境仅是合适的操作环境的实例,并且并不希望暗示关于操作环境的使用或功能性的范围的任何限制。实例计算装置包含但不限于个人计算机、服务器计算机、手持式或手提式计算机装置、移动装置(例如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子装置、微型计算机、大型主机计算机、包含任何上述系统或装置中的任一个的分布式计算环境等等。
虽然不是必需的,但在正被一或多个计算装置执行的“计算机可读指令”的一般情境中描述实施例。可以经由计算机可读媒体(下文论述)分配计算机可读指令。计算机可读指令可以实施为程序模块,例如功能、对象、应用程序编程接口(API)、数据结构等,其执行特定任务或实施特定抽象数据类型。通常,计算机可读指令的功能性可以按需要在多个环境中组合或分布。
图5说明包括被配置成实施本文中所提供的一或多个实施例的计算装置512的系统500的实例。在一个配置中,计算装置512包含至少一个处理器516和存储器518。取决于计算装置的精确配置和类型,存储器518可为易失性(例如RAM)、非易失性(例如ROM、闪存存储器等)或这两者的某种组合。在图5中通过虚线514说明此配置。
在其它实施方案中,装置512可包含额外特征和/或功能性。举例来说,装置512还可包含额外存储装置(例如,可装卸式和/或不可装卸式),包含但不限于磁性存储装置、光学存储装置等等。在图5中通过存储装置520说明此类额外存储装置。在一个实施例中,实施本文中所提供的的一或多个实施例的计算机可读指令可处于存储装置520中。存储装置520也可以存储实施操作系统、应用程序等等的其它计算机可读指令。举例来说,计算机可读指令可加载于存储器518内以供处理器516执行。
如本文所使用的术语“计算机可读媒体”包含计算机存储媒体。计算机存储媒体包含以用于存储例如计算机可读指令或其它数据等信息的任何方法或技术实施的易失性和非易失性、可装卸式和不可装卸式媒体。存储器518和存储装置520是计算机存储媒体的实例。计算机存储媒体包含但不限于RAM、ROM、EEPROM、快闪存储器或其它存储器技术、CD-ROM、数字通用光盘(DVD)或其它光学存储装置、盒式磁带、磁带、磁盘存储装置或其它磁性存储装置,或可用于存储所要信息且可由装置512存取的任何其它媒体。然而,计算机存储媒体不包含传播的信号。实际上,计算机存储媒体排除传播的信号。任何此类计算机存储媒体都可以是装置512的一部分。
装置512还可包含通信连接526,其允许装置512与其它装置通信。通信连接526可包含但不限于调制解调器、网络接口卡(NIC)、集成式网络接口、射频发射器/接收器、红外线端口、USB连接或其它用于将计算装置512连接到其它计算装置的接口。通信连接526可包含有线连接或无线连接。通信连接526可以发射和/或接收通信媒体。
术语“计算机可读媒体”可包含通信媒体。通信媒体通常在例如载波等“经调制数据信号”或其它传输机构中体现计算机可读指令或其它数据,并且包含任何信息传递媒体。术语“经调制数据信号”可包含具有其特征组中的一者或多者或以对信号中的信息进行编码的方式而改变的信号。
装置512可包含输入装置524,例如键盘、鼠标、笔、语音输入装置、触摸输入装置、红外线相机、视频输入装置和/或任何其它输入装置。输出装置522例如一或多个显示器、扬声器、打印机和/或任何其它输出装置也可包含在装置512中。输入装置524和输出装置522可经由有线连接、无线连接或其任何组合连接到装置512。在一个实施例中,来自另一计算装置的输入装置一种输出装置可用作用于计算装置512的输入装置524或输出装置522。
可通过各个互连件例如总线连接计算装置512的组件。此类互连件可包含外围组件互连(PCI)(例如PCI Express)、通用串行总线(USB)、火线(IEEE 1394)、光学总线结构等。在另一个实施例中,计算装置512的组件可以通过网络互连。举例来说,存储器518可以由位于不同物理位置的通过网络互连的多个物理存储器单元组成。
所属领域的技术人员将认识到,用于存储计算机可读指令的存储装置可以跨越网络分布。举例来说,可经由网络528存取的计算装置530可存储计算机可读指令以实施本文中所提供的一或多个实施例。计算装置512可存取计算装置530并且下载计算机可读指令的一部分或所有以供执行。替代地,计算装置512可以按需要下载多条计算机可读指令,或者可以在计算装置512处执行一些指令,并且在计算装置530处执行一些指令。
本文提供实施例的各种操作。在一个实施例中,描述的操作中的一或多个可构成存储于一或多个计算机可读媒体上的计算机可读指令,所述计算机可读指令如果由计算装置执行,那么将致使计算装置执行描述的操作。描述一些或所有所述操作的顺序不应解释为暗示这些操作必然依赖于顺序。得益于此描述的所属领域的技术人员将理解替代的排序。此外,应理解,并非全部操作都一定存在于本文中所提供的每一实施例中。此外,应理解,并非全部操作一定在一些实施例中。
此外,除非另外规定,否则“第一”、“第二”等并不意在暗示时间性、空间性、次序等。实际上,此类用语仅用作特征、元件、物件等的识别符、名称等。举例来说,第一对象和第二对象一般对应于对象A和对象B或两个不同的或两个相同的对象或同一对象。
此外,“示范性”在本文中使用意味着充当实例、例子、说明等,且不一定是有利的。如本文中所使用,“或”意在意味着包含性的“或”而不是排它性的“或”。此外,除非另外规定或根据指明是单数形式的上下文可知,否则如本申请中所使用的“一”一般解释为“一或多个”。并且,A和B等等中的至少一个一般意味着A或B和/或A和B。此外,至于在具体实施方式或权利要求书中使用的“包含”、“具有(having/has/with)”和/或其变化形式,此类用语意在以一种类似于用语“包括”的方式而具包含性。
并且,虽然已相对于一或多个实施方案示出和描述了本发明,但是所属领域的技术人员在阅读和理解了本说明书和附图后将想到等效的更改和修改。本发明包含所有此类修改和更改,并且只受到所附权利要求书的范围的限制。尤其对于通过上述组件(例如,元件、资源等)来执行的各种功能来说,除非另有指示,否则用于描述此类组件的用语意在对应于执行所描述组件的指定功能(例如,功能上等效)的任何组件,即使结构上不等效于所揭示的结构也是这样。此外,虽然可能已经相对于几个实施方案中的仅仅一个揭示了本发明的特定特征,但是此类特征可以与其它实施方案的一或多个其它特征组合,这可能对于任何给定或特定的应用来说是期望的且有利的。
Claims (20)
1.一种用于提供无线网状网络中的网络隔离的方法,其包括:
在连接到无线局域网的节点处通过无线局域网接收包;
响应于确定所述包是从所述节点的上游的装置接收:
使用第一路由规则确定主路由表将用于向下游路由所述包;和
使用所述主路由表内的主路由来向下游路由所述包以到达为所述包的目的地接收方的目的地装置;和
响应于确定所述包是从所述节点的下游的装置接收:
使用第二路由规则确定迂回路由表将用于向上游路由所述包;和
使用所述迂回路由表内的迂回路由将所述包向上游路由到所述节点的上游的所述装置,并且
其中,所述第一路由规则具有第一优先级,并且所述第二路由规则具有与所述第一优先级不同的第二优先级,并且其中,路由规则的优先级指示首先评估哪个路由规则从而确定所述路由规则是否适用于包。
2.根据权利要求1所述的方法,其包括:
在网关处接收所述包;
响应于确定所述包是从所述网关的上游的装置接收:
使用第三路由规则确定第二主路由表将用于向下游路由所述包;和
使用所述第二主路由表内的第二主路由来向下游路由所述包以到达所述目的地装置;和
响应于确定所述包是从所述网关的下游的装置接收:
使用第四路由规则确定第二迂回路由表将用于向上游路由所述包;和
使用所述第二迂回路由表内的第二迂回路由将所述包向上游路由到所述网关的上游的所述装置。
3.根据权利要求1所述的方法,其包括:
在网关处接收所述包;
响应于起始所述包的源装置与所述目的地装置在同一虚拟局域网内,响应于所述网关的第二迂回路由表包括用于所述目的地装置的条目,依据同一虚拟局域网路由规则,允许所述包从所述网关向下游路由到所述目的地装置;和
响应于所述源装置与所述目的地装置在不同虚拟局域网内,响应于所述第二迂回路由表不包括用于所述目的地装置的所述条目,阻断所述包向下游路由到所述目的地装置,其中依据默认路由将所述包路由到回程装置。
4.根据权利要求1所述的方法,其包括:
接收所述包;
响应于隔离规则规定允许起始所述包的源装置与所述目的地装置通信,将所述包向下游路由到所述目的地装置;和
响应于所述隔离规则规定阻断所述源装置与所述目的地装置通信,阻断所述包向下游路由到所述目的地装置。
5.根据权利要求1所述的方法,其包括:
存储对所述节点的上游的所述装置的指示;和
使用所述指示确定所述包是从所述节点的上游的所述装置接收还是从所述节点的下游的所述装置接收。
6.一种存储有处理器可执行指令的非暂时性机器可读媒体,所述处理器可执行指令在被执行时使操作得以执行,所述操作包括:
用第一路由规则和第二路由规则配置节点,所述第一路由规则规定当包是从所述节点的上游的装置接收时,将使用第一主路由表路由所述包,所述第二路由规则规定当所述包是从所述节点的下游的装置接收时,将使用第一迂回路由表路由所述包,其中,所述节点连接到无线局域网并且通过无线局域网接收包;
用第三路由规则和第四路由规则配置网关节点,所述第三路由规则规定当所述包是从所述网关的上游的装置接收时,将使用第二主路由表路由所述包,所述第四路由规则规定当所述包是从所述网关的下游的装置接收时,将使用第二迂回路由表路由所述包;和
配置隔离规则以规定是阻断还是允许源自源装置的所述包到目的地装置的路由,所述目的地装置为所述包的目的地接收方,并且
其中,所述第一路由规则具有第一优先级,并且所述第二路由规则具有与所述第一优先级不同的第二优先级,并且其中,路由规则的优先级指示首先评估哪个路由规则从而确定所述路由规则是否适用于包。
7.根据权利要求6所述的非暂时性机器可读媒体,其中所述操作包括:
当所述包是从所述节点的下游的所述装置接收时,指示与所述节点相关联的驱动器模块用指示将使用所述第一迂回路由表路由所述包的标记来标记所述包。
8.根据权利要求7所述的非暂时性机器可读媒体,其中所述操作包括:
当所述包是从所述节点的上游的所述装置接收时,指示与所述节点相关联的所述驱动器模块不用所述标记来标记所述包。
9.根据权利要求6所述的非暂时性机器可读媒体,其中所述第一主路由表包括用以将所述包向下游路由到所述目的地装置的主路由。
10.根据权利要求6所述的非暂时性机器可读媒体,其中所述第一迂回路由表包括用以将所述包从所述节点向上游路由到所述节点的上游的上游装置的第一迂回路由。
11.根据权利要求6所述的非暂时性机器可读媒体,其中所述操作包括:
配置所述第一路由规则和所述第二路由规则作为用于支持因特网协议IP路由的层3网络层的IP路由规则。
12.根据权利要求11所述的非暂时性机器可读媒体,其中所述层3网络层支持非虚拟局域网包但不支持虚拟局域网包。
13.根据权利要求6所述的非暂时性机器可读媒体,其中所述配置包括:
在所述隔离规则内规定阻断源自所述源装置并且具有所述目的地装置作为所述目的地接收方的所述包向下游路由到所述目的地装置。
14.根据权利要求6所述的非暂时性机器可读媒体,其中所述配置包括:
在所述隔离规则内规定源自所述源装置并且具有所述目的地装置作为目的地接收方的所述包将在未标记状态下向下游路由到所述目的地装置。
15.根据权利要求6所述的非暂时性机器可读媒体,其中所述配置节点包括:
为所述第一路由规则指配第一优先级并且为所述第二路由规则指配第二优先级,所述第一优先级与所述第二优先级相比具有较低优先级。
16.根据权利要求6所述的非暂时性机器可读媒体,其中所述配置网关包括:
配置所述网关以评估所述包已到达所通过的接口以用于确定所述包是从所述网关的上游的所述装置接收还是从所述网关的下游的所述装置接收。
17.根据权利要求6所述的非暂时性机器可读媒体,其中所述配置网关包括:
用同一虚拟局域网路由规则配置所述网关,所述同一虚拟局域网路由规则规定当所述源装置与所述目的地装置在同一虚拟局域网内时,允许所述包从所述网关向下游路由到所述目的地装置。
18.根据权利要求17所述的非暂时性机器可读媒体,其中所述同一虚拟局域网路由规则规定当所述源装置与所述目的地装置在不同虚拟局域网内时,阻断所述包从所述网关向下游路由到所述目的地装置。
19.一种计算装置,其包括:
处理器;和
包括处理器可执行指令的存储器,所述处理器可执行指令在由所述处理器执行时使操作得以执行,所述操作包括:
用第一路由规则和第二路由规则配置节点,所述第一路由规则规定当包是从所述节点的上游的装置接收时,将使用第一主路由表路由所述包,所述第二路由规则规定当所述包是从所述节点的下游的装置接收时,将使用第一迂回路由表路由所述包,其中,所述节点连接到无线局域网并且通过无线局域网接收包;和
用同一虚拟局域网路由规则配置网关,所述同一虚拟局域网路由规则规定:
当起始所述包的源装置与为所述包的目的地接收方的目的地装置在同一虚拟局域网内时,允许所述包从所述网关向下游路由到所述目的地装置;和
当所述源装置与所述目的地装置在不同虚拟局域网内时,阻断所述包从所述网关向下游路由到所述目的地装置,并且
其中,所述第一路由规则具有第一优先级,并且所述第二路由规则具有与所述第一优先级不同的第二优先级,并且其中,路由规则的优先级指示首先评估哪个路由规则从而确定所述路由规则是否适用于包。
20.根据权利要求19所述的计算装置,其中所述第一路由规则、所述第二路由规则和所述同一虚拟局域网路由规则被配置成用于支持因特网协议IP路由的层3网络层的IP路由规则。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/175,100 | 2016-06-07 | ||
| US15/175,100 US10148618B2 (en) | 2016-06-07 | 2016-06-07 | Network isolation |
| PCT/US2017/036080 WO2017214097A1 (en) | 2016-06-07 | 2017-06-06 | Network isolation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109314706A CN109314706A (zh) | 2019-02-05 |
| CN109314706B true CN109314706B (zh) | 2022-03-08 |
Family
ID=59054335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780035216.3A Active CN109314706B (zh) | 2016-06-07 | 2017-06-06 | 网络隔离 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10148618B2 (zh) |
| EP (1) | EP3466027A1 (zh) |
| CN (1) | CN109314706B (zh) |
| WO (1) | WO2017214097A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190141616A1 (en) * | 2017-11-08 | 2019-05-09 | Carrier Corporation | Mesh networking using peer to peer messages |
| CN110009767B (zh) | 2017-11-08 | 2023-04-28 | 开利公司 | 使用对等消息用于接待实体的网状联网 |
| US10855581B2 (en) * | 2017-11-10 | 2020-12-01 | Fabriscale Technologies AS | System and method of computing ethernet routing paths |
| US11212224B1 (en) | 2019-01-23 | 2021-12-28 | Palantir Technologies Inc. | Systems and methods for isolating network traffic of multiple users across networks of computing platforms |
| CN109981462B (zh) * | 2019-03-28 | 2021-06-22 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN111586041A (zh) * | 2020-05-07 | 2020-08-25 | 英赛克科技(北京)有限公司 | 工业单向隔离网闸系统和数据传输方法 |
| CN112631804B (zh) * | 2020-12-25 | 2024-05-24 | 杭州涂鸦信息技术有限公司 | 基于隔离环境的服务调用请求处理方法及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004090741A2 (en) * | 2001-08-14 | 2004-10-21 | Riverhead Networks Inc. | Selective diversion and injection of communication traffic |
| WO2012015410A1 (en) * | 2010-07-29 | 2012-02-02 | Hewlett-Packard Development Company, L. P. | A device and method for egress packet forwarding using mesh tagging |
| CN104348723A (zh) * | 2013-07-30 | 2015-02-11 | 华为技术有限公司 | 生成路由表项的方法和边界网关协议演讲者 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5920699A (en) | 1996-11-07 | 1999-07-06 | Hewlett-Packard Company | Broadcast isolation and level 3 network switch |
| US6741592B1 (en) | 2000-05-22 | 2004-05-25 | Cisco Technology, Inc. | Private VLANs |
| US7200145B1 (en) | 2000-05-22 | 2007-04-03 | Cisco Technology, Inc. | Private VLANs |
| US6914905B1 (en) | 2000-06-16 | 2005-07-05 | Extreme Networks, Inc. | Method and system for VLAN aggregation |
| US7095741B1 (en) | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
| US7660292B2 (en) | 2002-06-27 | 2010-02-09 | Broadcom Corporation | System and method for isolating network clients |
| US6996659B2 (en) * | 2002-07-30 | 2006-02-07 | Lsi Logic Corporation | Generic bridge core |
| JP4444834B2 (ja) | 2002-10-04 | 2010-03-31 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | アクセスネットワークに接続されるホストの分離 |
| WO2005112390A1 (en) | 2004-05-12 | 2005-11-24 | Alcatel | Automated containment of network intruder |
| US7808992B2 (en) | 2004-12-30 | 2010-10-05 | Cisco Technology, Inc. | Platform independent implementation of private VLANS |
| US7953089B1 (en) | 2006-05-16 | 2011-05-31 | Cisco Technology, Inc. | Systems and methods for multicast switching in a private VLAN |
| US20070274230A1 (en) * | 2006-05-23 | 2007-11-29 | Werber Ryan A | System and method for modifying router firmware |
| EP1998505B1 (en) | 2007-05-29 | 2010-05-12 | PacketFront Systems AB | Method of connecting VLAN systems to other networks via a router |
| RU2540017C2 (ru) | 2008-07-24 | 2015-01-27 | Мейдзи Сейка Фарма Ко,Лтд.,Jp | Выделенный полинуклеотид, кодирующий полипептид, вовлеченный в биосинтез пирипиропена а, вектор и клетка-хозяин содержащие такой полинуклеотид и способ получения предшественника пирипиропена а (варианты) |
| US8737398B2 (en) | 2008-12-31 | 2014-05-27 | Schneider Electric USA, Inc. | Communication module with network isolation and communication filter |
| US8369344B1 (en) | 2009-03-18 | 2013-02-05 | Extreme Networks, Inc. | Customer isolation using a common forwarding database with hardware learning support |
| US8341725B2 (en) | 2009-07-30 | 2012-12-25 | Calix, Inc. | Secure DHCP processing for layer two access networks |
| CN101883160B (zh) * | 2010-07-09 | 2013-03-20 | 杭州华三通信技术有限公司 | 多接口网络设备和多接口网络设备的报文发送方法 |
| US9363207B2 (en) | 2011-06-24 | 2016-06-07 | Cisco Technology, Inc. | Private virtual local area network isolation |
| IN2014DN06766A (zh) * | 2012-01-24 | 2015-05-22 | L3 Comm Corp | |
| CN104205943B (zh) * | 2012-03-05 | 2018-03-09 | 富士通株式会社 | 通信系统和通信方法 |
| CN103001877A (zh) * | 2012-12-11 | 2013-03-27 | 太仓市同维电子有限公司 | 一种用于家庭网关产品上的数据绑定方法 |
-
2016
- 2016-06-07 US US15/175,100 patent/US10148618B2/en active Active
-
2017
- 2017-06-06 CN CN201780035216.3A patent/CN109314706B/zh active Active
- 2017-06-06 WO PCT/US2017/036080 patent/WO2017214097A1/en unknown
- 2017-06-06 EP EP17729738.9A patent/EP3466027A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004090741A2 (en) * | 2001-08-14 | 2004-10-21 | Riverhead Networks Inc. | Selective diversion and injection of communication traffic |
| WO2012015410A1 (en) * | 2010-07-29 | 2012-02-02 | Hewlett-Packard Development Company, L. P. | A device and method for egress packet forwarding using mesh tagging |
| CN104348723A (zh) * | 2013-07-30 | 2015-02-11 | 华为技术有限公司 | 生成路由表项的方法和边界网关协议演讲者 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017214097A1 (en) | 2017-12-14 |
| EP3466027A1 (en) | 2019-04-10 |
| US10148618B2 (en) | 2018-12-04 |
| US20170353431A1 (en) | 2017-12-07 |
| CN109314706A (zh) | 2019-02-05 |
| WO2017214097A8 (en) | 2019-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109314706B (zh) | 网络隔离 | |
| CN110113291B (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
| US8874789B1 (en) | Application based routing arrangements and method thereof | |
| US9686194B2 (en) | Adaptive multi-interface use for content networking | |
| US9992106B2 (en) | Generating a host route | |
| US10263808B2 (en) | Deployment of virtual extensible local area network | |
| US10567345B2 (en) | Verifying firewall filter entries using rules associated with an access control list (ACL) template | |
| US10461958B2 (en) | Packet transmission method and apparatus | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| US20150326528A1 (en) | Enforcement of Network-Wide Context Aware Policies | |
| US20130223287A1 (en) | Layer two extensions | |
| US10122548B2 (en) | Services execution | |
| US11483379B2 (en) | Enhancing network services based on edge clouds | |
| CN107948150A (zh) | 报文转发方法及装置 | |
| CN115380516B (zh) | 基于lisp的软件定义网络中策略更改的通信 | |
| CN109218182B (zh) | 一种路由信息的同步方法及装置 | |
| US10333830B2 (en) | Passive routing in mesh network | |
| US9231862B2 (en) | Selective service based virtual local area network flooding | |
| CN107483334B (zh) | 一种报文转发的方法及装置 | |
| WO2015100644A1 (zh) | 一种处理报文的方法和装置 | |
| JP6256471B2 (ja) | 通信装置、通信方法、及びプログラム | |
| WO2023232071A1 (zh) | 一种源地址验证的方法、网络设备及通信系统 | |
| EP4191965A1 (en) | Preserving consistency of redundant border gateway protocol link state topology information | |
| CN111083144B (zh) | 一种服务质量策略配置方法及装置 | |
| US20220045956A1 (en) | Policy based routing in extranet networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210517 Address after: Baden, Switzerland Applicant after: ABB grid Switzerland AG Address before: Baden, Switzerland Applicant before: ABB Switzerland Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Swiss Baden Applicant after: Hitachi energy Switzerland AG Address before: Swiss Baden Applicant before: ABB grid Switzerland AG |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240104 Address after: Zurich, SUI Patentee after: Hitachi Energy Co.,Ltd. Address before: Swiss Baden Patentee before: Hitachi energy Switzerland AG |