CN201947294U - 实现相同子网不同vlan的终端设备之间通讯的系统 - Google Patents
实现相同子网不同vlan的终端设备之间通讯的系统 Download PDFInfo
- Publication number
- CN201947294U CN201947294U CN2011200435397U CN201120043539U CN201947294U CN 201947294 U CN201947294 U CN 201947294U CN 2011200435397 U CN2011200435397 U CN 2011200435397U CN 201120043539 U CN201120043539 U CN 201120043539U CN 201947294 U CN201947294 U CN 201947294U
- Authority
- CN
- China
- Prior art keywords
- vlan
- terminal equipment
- module
- communication
- same subnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本实用新型涉及网络通信控制领域,特别涉及相同子网不同VLAN的终端设备之间报文通讯进行控制和实现的系统。实现相同子网不同VLAN的终端设备之间通讯的系统,包括交换机、与交换机相连接的位于不同VLAN相同子网的请求的终端设备、应答的终端设备,还包括VLAN路由设备,所述的VLAN路由设备与交换机相连接。所述的VLAN路由设备包括对外网络接口模块、网络处理CPU模块、高速数据存储模块。本实用新型经过VLAN路由设备之后,使得不同VLAN之间的报文在两层时候即可进行通讯,解决了相同子网在不同VLAN之间无法通讯的问题,这个对于静态地址下面的802.1X来宾访问或者认证访问的意义重大。
Description
技术领域
本实用新型涉及网络通信控制领域,特别涉及对网络内部相同子网不同VLAN的终端设备之间报文通讯进行控制和实现的系统。
背景技术
VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网",VLAN是一种将局域网(LAN)设备从逻辑上划分成一个个网段(或者子网),从而实现虚拟工作组(单元)的数据交换技术。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
正是由于VLAN的隔离广播特性,使得不同VLAN之间如果要进行访问则必须进行三层的路由,这个在各个VLAN具有不同子网的时候可以正常通讯。但是当出现两个VLAN具有相同子网的时候,由于子网相同,这个时候将不会进行三层的路由,进而导致无法进行通讯。
下面举例一个实际的例子进行说明。在网络准入控制技术中,802.1X是一个非常普遍和安全的技术。802.1X进行认证的时候为了方便终端设备的使用,提供了来宾访问的guest-vlan功能,对于无法进行认证的终端设备可以进行接入端口VLAN的切换,这个对于动态地址(DHCP)环境可以很好的工作,但是对于静态地址环境则会存在问题,具体的流程是:
假设接入交换机的一个接入端口属于VLAN 2,该VLAN的子网为192.168.54.0/24,子网网关为192.168.54.1。进行来宾认证时候的guest-vlan 为VLAN 110,该VLAN的子网为192.168.110.0/24,子网网关为192.168.110.1。现在一台IP地址固定为192.168.54.57的终端电脑接入到该端口,由于该终端电脑不能成功进行802.1X的认证,认证服务器根据IEEE 802.1x的认证要求将
Tunnel-Medium-Type = IEEE-802
Tunnel-Pvt-Group-ID = 110
Tunnel-Type = VLAN
属性发送给交换机,通知交换机进行来宾vlan切换,使得交换机端口切换到vlan 110。按照IEEE当初的设计,这个时候终端电脑应该通过DHCP方式获取到110网段的地址,进而进行网络的通讯。但是在这个案例中,由于终端电脑已经配置了静态的地址,导致终端电脑不会获取新的地址而继续使用原有地址。这个时候终端电脑和其他设备进行通讯时候由于其子网和VLAN的子网不一致导致网络无法访问。
另外对于通用的CPU来说,由于企业的网络带宽急剧增大普通的软件解决方案或者X86解决方案已经无法满足带宽的要求。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,包处理能力得到了很大提升。网络处理器一般具有以下特点:
并行处理器: 采用多内核并行处理器结构。片内处理器按任务大致分为核心处理器和转发引擎。
专用硬件协处理器: 对要求高速处理的通用功能模块采用专用硬件实现以提高系统性能。
专用指令集: 转发引擎通常采用专用的精简指令集,并针对网络协议处理特点优化。
分级存储器组织: NP存储器一般包含多种不同性能的存储结构,对数据进行分类存储以适应不同的应用目的。
高速I/O接口: NP具有丰富的高速I/O接口,包括物理链路接口、交换接口、存储器接口、PCI总线接口等。通过内部高速总线连接在一起,提供很强的硬件并行处理能力。
可扩展性: 多个NP之间还可以互连,构成网络处理器簇,以支持更为大型高速的网络处理。
可以按照集成电路中NP设计的思想,设计出了高性能的硬件处理模块来提高路由的处理速度。
发明内容
针对现有技术存在位于两个不同的VLAN相同子网的终端设备无法进行通讯的缺陷,本实用新型提供一种可以实现位于相同子网不同VLAN的终端设备之间进行通讯的系统。
为实现上述发明目的,本实用新型采用如下的技术方案:
实现相同子网不同VLAN的终端设备之间通讯的系统,包括交换机、请求的终端设备、应答的终端设备,所述的请求的终端设备与应答的终端设备位于不同VLAN相同子网且均与交换机相连接,还包括VLAN路由设备,所述的VLAN路由设备与交换机相连接。VLAN路由设备可以将请求的终端设备发出的经过交换机处理的请求报文信息的TAG按照预先设置的VLAN路由映射关系,修改成需要进行通讯的应答的终端设备所在的VLAN的TAG,从而对应答的终端设备进行访问,同理,应答的终端设备发送的经交换机处理的带TAG的应答报文信息,VLAN路由设备也可按照预先设置的VLAN路由映射关系,修改成请求的终端设备所在的VLAN的TAG,从而将应答信息发送到请求的终端设备,通过这个过程,请求的终端设备和应答的终端设备之间即可以正常通讯了。所述的TAG就是通常所说的VLAN ID。
作为优选,所述的VLAN路由设备包括对外网络接口模块、网络处理CPU模块、高速数据存储模块,所述的对外网络接口模块一端与交换机相连接,对外网络接口模块另一端与网络处理CPU模块相连接,高速数据存储模块连接在网络处理CPU模块的另一端。网络处理CPU模块对网络报文进行分析和处理,可以避免通常X86架构的CPU瓶颈和总线问题。对外网络接口模块用于交换机和网络处理CPU模块之间的信息交换传递。高速数据存储模块用于对VLAN表进行大量的查表和更新操作,存贮VLAN路由映射关系,为网络处理CPU模块提供数据支持。
作为优选,:所述的VLAN路由设备还包括用于存储板载操作系统的Boot flash存储模块,所述的Boot flash存储模块与高速数据存储模块相连接。Boot flash存储模块为网络处理CPU模块提供操作系统。
作为优选,所述的VLAN路由设备还包括用于存储海量网络事件的iSCSI存储模块,所述的iSCSI存储模块与对外网络接口模块和网络处理CPU模块相连接。请求的终端设备发送的请求报文和应答的终端设备发送的应答报文就存储在iSCSI存储模块中。
作为优选,所述的VLAN路由设备还包括用于处理响应控制信息的PCI-E模块,所述的PCI-E模块包括相互连接的PCI-E总线和处理响应信息CPU,PCI-E总线与高速数据存储模块相连接。所述的响应控制信息是指根据各种认证要求,安全要求或者管理要求控制哪些报文需要进行VLAN路由,哪些报文不需要进行VLAN路由,可直接丢弃。这些响应控制信息从PCI-E模块写进并储存。
作为优选,所述的VLAN路由设备还包括电池供应模块,所述的电池供应模块与处理响应信息CPU相连接。电池供应模块为VLAN路由设备其他部分提供电源。
作为优选,所述的VLAN路由设备还包括二级缓存模块,所述的二级缓存模块与高速的数据存储模块相连接。二级缓存模块可扩大存储空间,加快网络处理CPU模块的处理速度。
本实用新型的实现相同子网不同VLAN的终端设备之间通讯的系统在报文经过VLAN路由设备之后,具有以下有效效果:
1)经过VLAN路由之后,使得不同VLAN之间的报文在两层时候即可进行通讯,解决了相同子网在不同VLAN之间无法通讯的问题,这个对于静态地址下面的802.1X来宾访问或者认证访问的意义重大。
2)由于可以在外部进行报文的VLAN路由,可以根据各种认证要求,安全要求或者管理要求等方式对报文进行路由判读和控制,扩充了交换机的功能,提高了企业内部网络的安全性,可以根据企业的业务需要开发出不同的安全系统。
3)对于子网数目或者IP资源紧张的企业,通过将不同的VLAN共用一个子网,可以极大地节省IP地址资源。
附图说明
图1为实施例的结构示意图。
图2为实施例VLAN路由设备的结构示意图。
具体实施方式
下面结合图1、图2与具体实施方式对本实用新型做进一步的说明。
实现相同子网不同VLAN的终端设备之间通讯的系统,如图1所示,包括交换机1、请求的终端设备21、应答的终端设备22,所述的请求的终端设备21与应答的终端设备22位于不同VLAN相同子网且均与交换机1相连接,还包括VLAN路由设备3,所述的VLAN路由设备3与交换机1相连接。
如图2所示,所述的VLAN路由设备3包括对外网络接口模块4、网络处理CPU模块5、高速数据存储模块6,所述的对外网络接口模块4一端与交换机1相连接,对外网络接口模块1另一端与网络处理CPU模块5相连接,高速数据存储模块6连接在网络处理CPU模块5的另一端。所述的对外网络接口模块4包含一对1G的千兆以太网接口和1对10G的万兆以太网接口,根据实际的情况可以只使用其中的一对或者是同时使用两对接口。网络处理CPU模块5采用Cavium的专用CPU。
所述的VLAN路由设备3还包括用于存储板载操作系统的Boot flash存储模块7,所述的Boot flash存储模块7与高速数据存储模块6相连接。
所述的VLAN路由设备3还包括用于存储海量网络事件的iSCSI存储模块8,所述的iSCSI存储模块8与与对外网络接口模块4和网络处理CPU模块5相连接。
所述的VLAN路由设备3还包括用于处理响应控制信息的PCI-E模块,所述的PCI-E模块包括相互连接的PCI-E总线10和处理响应信息CPU11,PCI-E总线10与高速数据存储模块6相连接。
所述的VLAN路由设备3还包括电池供应模块12,所述的电池供应模块12与处理响应信息CPU11相连接。
所述的VLAN路由设备3还包括二级缓存模块13,所述的二级缓存模块13与高速数据存储模块6相连接。
预先将响应控制信息写进并储存在PCI-E模块9,多条报文信息将储存在iSCSI存储模块8,VLAN路由映射关系存储在高速数据存储模块6,板载操作系统存贮在Boot flash存储模块7。
板载操作系统针对对802.1Q的TRUNK报文进行研究,分析出进行VLAN TAG修改的方法,使得不同VLAN之间可以进行路由和通讯。具体的操作方法为:
普通的以太网报文的格式为:
| DMAC(6bytes) | SMAC(6bytes) | Ether-Type(2bytes) | DATA |
根据IEEE 802.1Q的要求,带标签的报文格式为:
| DMAC(6bytes) | SMAC(6bytes) | Ether-Type(0x8100) | TAG(4bytes) | DATA |
其中TAG的格式为:
| PRI(3bits) | CFI(1bit) | TAG(12bits) | Ether-Type(2bytes) |
为了便于实施例说明,将配置了TRUNK的物理交换机逻辑的分为了两个交换机(VLAN110、VLAN54),假设与VLAN110相连接的请求的终端设备( 地址为:192.168.54.57/24,网关为:192.168.54.1,简称54.57)和与VLAN54相连接的应答的终端设备(地址为:192.168.54.250/24,网关为:192.168.54.1,简称54.250)进行通讯,根据通讯的一个原则,两个同网段设备要进行通讯的时候,必须先获取到对方的MAC地址,故54.57会发起一个ARP广播请求给54.250。按照报文的流程为:
(a)54.57发起一个正常的ARP广播请求,该报文会被交换机获取到,其报文格式是一个普通的报文格式。
(b)交换机获取到该报文之后,在110 VLAN 中进行ARP请求的广播,这个时候会发送一个带TAG(VLAN ID= 110)的报文给VLAN 路由设备。
(c)VLAN路由设备接收到交换机发送过来的带TAG报文,根据企业的安全策略判读是否要进行路由,对于不进行路由的报文直接丢弃,对于要进行路由的查询本设备的VLAN路由映射关系,将报文的TAG修改为54,然后发送给交换机。
(d)交换机接收到带TAG的报文,发现其属于VLAN 54,是一个ARP广播报文,则所有的端口都发送出去该报文,同时属于54.250设备连接的端口也会有一份转发的报文。
(e)54.250从交换机接收到一个正常的ARP请求报文,根据条件进行处理并应答一个正常的ARP应答到交换机。
(e)交换机接收到54.250的ARP应答之后,在VLAN54查找本身的MAC地址/端口对应表,发现目的MAC地址处于和VLAN路由设备对应的物理接口上,则将该ARP应答报文增加TAG(VLAN ID = 54)转发给路由设备。
(f)VLAN路由设备接收到交换机发送过来的带TAG报文,按照步骤(c)的反向流程进行操作,查找VLAN路由,将TAG修改为110,然后发送给交换机。
(g)交换机接收到带TAG的报文,发现其属于VLAN 110,在该VLAN里面搜索目的MAC对应的端口之后将报文发送给54.57。
通过上述的流程之后,54.57可以正常的获取到54.250的MAC地址,同时54.57也可以将应答报文正常的发送给54.57,故54.57已经可以正常通讯了。
综上所述仅为本实用新型的较佳实施例,并非用来限定本实用新型的实施范围,凡依本申请专利范围的内容所作的等效变化与修饰,都应为本实用新型的技术范畴。
Claims (7)
1.实现相同子网不同VLAN的终端设备之间通讯的系统,包括交换机(1)、请求的终端设备(21)、应答的终端设备(22),所述的请求的终端设备(21)与应答的终端设备(22)位于不同VLAN相同子网且均与交换机(1)相连接,其特征在于:还包括VLAN路由设备(3),所述的VLAN路由设备(3)与交换机(1)相连接。
2.根据权利要求1所述的实现相同子网不同VLAN的终端设备之间通讯的系统,其特征在于:所述的VLAN路由设备(3)包括对外网络接口模块(4)、网络处理CPU模块(5)、高速数据存储模块(6),所述的对外网络接口模块(4)一端与交换机(1)相连接,对外网络接口模块(1)另一端与网络处理CPU模块(5)相连接,高速数据存储模块(6)连接在网络处理CPU模块(5)的另一端。
3.根据权利要求2所述的实现相同子网不同VLAN的终端设备之间通讯的系统,其特征在于:所述的VLAN路由设备(3)还包括用于存储板载操作系统的Boot flash存储模块(7),所述的Boot flash存储模块(7)与高速数据存储模块(6)相连接。
4.根据权利要求2所述的实现相同子网不同VLAN的终端设备之间通讯的系统,其特征在于:所述的VLAN路由设备(3)还包括用于存储海量网络事件的iSCSI存储模块(8),所述的iSCSI存储模块(8)与对外网络接口模块(4)和网络处理CPU模块(5)相连接。
5.根据权利要求2所述的实现相同子网不同VLAN的终端设备之间通讯的系统,其特征在于:所述的VLAN路由设备(3)还包括用于处理响应控制信息的PCI-E模块,所述的PCI-E模块包括相互连接的PCI-E总线(10)和处理响应信息CPU(11),PCI-E总线(10)与高速数据存储模块(6)相连接。
6.根据权利要求5所述的实现相同子网不同VLAN的终端设备之间通讯的系统,其特征在于:所述的VLAN路由设备(3)还包括电池供应模块(12),所述的电池供应模块(12)与处理响应信息CPU(11)相连接。
7.根据权利要求2所述的实现相同子网不同VLAN的终端设备之间通讯的系统,其特征在于:所述的VLAN路由设备(3)还包括二级缓存模块(13),所述的二级缓存模块(13)与高速数据存储模块(6)相连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011200435397U CN201947294U (zh) | 2011-02-22 | 2011-02-22 | 实现相同子网不同vlan的终端设备之间通讯的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011200435397U CN201947294U (zh) | 2011-02-22 | 2011-02-22 | 实现相同子网不同vlan的终端设备之间通讯的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201947294U true CN201947294U (zh) | 2011-08-24 |
Family
ID=44474628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011200435397U Expired - Lifetime CN201947294U (zh) | 2011-02-22 | 2011-02-22 | 实现相同子网不同vlan的终端设备之间通讯的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201947294U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610737A (zh) * | 2016-01-25 | 2016-05-25 | 盛科网络(苏州)有限公司 | 基于OpenFlow的hairpin交换机实现方法及hairpin交换机系统 |
-
2011
- 2011-02-22 CN CN2011200435397U patent/CN201947294U/zh not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610737A (zh) * | 2016-01-25 | 2016-05-25 | 盛科网络(苏州)有限公司 | 基于OpenFlow的hairpin交换机实现方法及hairpin交换机系统 |
| CN105610737B (zh) * | 2016-01-25 | 2019-02-15 | 盛科网络(苏州)有限公司 | 基于OpenFlow的hairpin交换机实现方法及hairpin交换机系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20150172190A1 (en) | Packet forwarding | |
| US8761005B2 (en) | Multi-chassis link aggregation on network devices | |
| EP2086178B1 (en) | Link aggregation method and device, mac frame receiving/sending method and system | |
| US9655232B2 (en) | Spanning tree protocol (STP) optimization techniques | |
| CN1946041B (zh) | 基于arp侦听的vlan聚合方法、汇聚交换机及系统 | |
| CN107395532B (zh) | 一种基于sdn的多租户虚拟网络隔离方法 | |
| CN113381931B (zh) | 一种在vxlan网络中支持mlag双活接入的方法及装置 | |
| CN103841023B (zh) | 数据转发的方法和设备 | |
| US20150110111A1 (en) | Forward Packet with Edge Device | |
| CN102957616B (zh) | 在asic中转发trill网络报文的方法及系统 | |
| EP3200399B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN102025591A (zh) | 虚拟专用网络的实现方法及系统 | |
| WO2013029440A1 (en) | Method and apparatus for implementing layer-2 interconnection of data centers | |
| TWI759571B (zh) | 基於流表的資料傳送方法 | |
| CN101242370B (zh) | 实现以太网与帧中继互联的方法与协议转换设备 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN113992582B (zh) | 一种报文转发方法及设备 | |
| CN109639552A (zh) | 一种三层转发方法及装置 | |
| CN100413260C (zh) | 虚拟局域网从节点中虚拟局域网标识的配置方法 | |
| CN201947294U (zh) | 实现相同子网不同vlan的终端设备之间通讯的系统 | |
| WO2017036384A1 (zh) | 运营商边缘设备及数据转发方法 | |
| US20050021846A1 (en) | Method and apparatus for multi-chip address resolution lookup synchronization in a network environment | |
| CN111884922A (zh) | 跨设备链路聚合的本地转发系统 | |
| EP2908476B1 (en) | Method and apparatus for sending multi-link transparent interconnected data frame | |
| CN113794635B (zh) | 一种报文转发方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20110824 |