-
Technisches Gebiet
-
Die
vorliegende Erfindung betrifft eine Filtertrennung des Schicht-2-Verkehrs
nach OSI (Open System Interface) in mindestens einem Router in einem
Netz, und ein Verfahren hierzu.
-
Stand der Technik
-
Wenn
Netzvorrichtungen wie Router und Schaltvermittlungen für ein Ethernet®-basiertes
Netz oder ein ähnliches
Netz verwendet werden, ermöglicht
es die derzeitige OSI-Schicht-2-Technologie (Open
System Interconnection), die MAC-Adressierung
(Media Access Control-Adressierung) verwendet, das VLANs (Virtual
LOCAL Area Networks) befähigt
sind, verwendet zu werden zum Trennen physikalischer Ports in einer
Vorrichtung wie zum Beispiel einem Router und einer Schaltvermittlung
auf der Schicht 2, und zum Bündeln
von zu demselben VLAN gehörenden
Ports zusammen über
mehrere Vorrichtungen (sog. "Trunking" bzw. Bündelverkehr
oder Container-Verkehr).
-
Auf
der OSI-Schicht 3, die IP-Adressierung durch Router verwendet, erfordert
jedes VLAN ein unterschiedliches IP-Sub-Netz zur Adressierung. Über die
letzten Jahre sind einige Versuche gestartet worden, diese Technologie
zu verwenden zum Einsatz in einem Breitbandnetz.
-
Ethernet® ist
ein geteiltes Medium gemäß CSMA-CD
(Carrier Sense Multiple Access with Collision Detect bzw. Trägererfassungsmehrfachzugriff mit
Kollisionserfassung), was bedeutet, dass alle Hosts, die an demselben
Ethernet® den gesamten Verkehr
erhalten, aber sie ihn abhängig
von ihrer MAC-Adresse auswählen.
-
Ein
typisches Breitbandnetz besteht aus einer Anzahl von Schaltvermittlungen
oder Routern, die in einem Wohnbereich verwendet werden zum Verbinden
individueller Haushalte mit einer gemeinsamen Infrastruktur, der
sog. Service-Provider bzw. Diensteanbieter-Infrastruktur.
-
Durch
Verwendung von Ethernet-Technologie, um dies zu erreichen, wird
unmittelbar ein Sicherheitsproblem des Verbindens unterschiedlicher Einrichtungen
wie Haushalte und Ähnlichem
mit einer einzelnen geteilten Infrastruktur, wie sie Ethernet bereitstellt,
auf.
-
Ein
Diensteanbieter muss berücksichtigen:
- – Verbinden
jedes Kunden mit einem separaten VLAN – hierbei eine Vielzahl kleiner
IP-Sub-Netze benötigend,
eines für
jedes VLAN, um Schicht-2-Trennung zu wahren,
- – Verbinden
von Kunden mit einem einzelnen VLAN – hierbei ein einzelnes großes IP-Sub-Netz benötigend,
aber Einführen
des Risikos, Schicht-2-Zugriff zwischen unterschiedlichen Kunden,
beispielsweise Microsoft®-File-Sharing (Dateien
teilen) einführend.
-
Um
dieses Filterproblem zu lösen,
verwenden einige Implementierungen Port-Schutzmerkmale, bei denen
vermieden wird, dass Verkehr zwischen zwei Ports in derselben Vorrichtung
umfasst wird. Dies bedeutet, dass die an jenen Ports verbundenen Hosts
nicht imstande sind, irgendwelchen Verkehr auszutauschen. Fernere
Verbesserungen dieses Lösungstyps
haben das Weiterleiten von Paketen zwischen den geschützten Ports
zu einer Stromaufwärts-Filtervorrichtung
eingeschlossen, die eine Entscheidung trifft, ob Datenpaketverkehr
zugelassen werden sollte, und wenn ja, den Verkehr zurück zu seinem
Bestimmungsort weiterleitet. Dies wird eine größere Belastung auf die Verbindung
zum übergeordneten
Netz (Backbone Link) auferlegen, die zwischen der Schaltvermittlung
und der Filtereinrichtung verwendet wird.
-
Mit
einer derzeitigen Zunahme der Anzahl verbundener Computer zu Ethernet®-Netzen
ist das Problem in Bezug auf Datenverkehrskollision. Um dieses Problem
zu lösen,
wurden Bridges erfunden, welche ein Ethernet in einige Segmente
aufteilen und sich erinnern bzw. gelernt haben, in welchen Segmenten
die unterschiedlichen MAC-Adressen residieren. Daraufhin wird das
Weiterleiten von Paketen nur erreicht von Paketen, die dazu gedacht
waren, zu der Rundsendeadresse (Broadcast-Adresse) oder zu einer
MAC-Adresse gesendet zu werden, die in einem anderen Segment residiert
als in dem, von dem es gesendet worden ist. Aber die unterschiedlichen Segmente
sind noch Teil derselben Rundsende-Domain.
-
Derzeitige
Schaltvermittlungen sind Weiterentwicklungen von Bridges. Sie könnten als
eine Bridge an jedem Port habend bezeichnet werden. Die Vermittlung
erinnert sich bzw. lernt, welche MAC-Adressen an jedem Port jeweils
residieren und erzielt ein Weiterleiten zwischen Ports nur, wenn
der Verkehr für
eine MAC-Adresse eines abweichenden Ports gedacht ist. Jeder Port
wird demnach zu einem Segment, aber jeder Port (alle Segmente) sind
noch Teil derselben Rundsende-Domain, da eine Rundsendung zu jedem
Port übermittelt
wird. Ein Vorteil mit einer Vermittlung ist, dass sie in Hochgeschwindigkeit
kommuniziert, was dazu führt,
dass eine Anzahl von Ports miteinander gleichzeitig mit maximaler Geschwindigkeit
kommunizieren können.
-
Vermittlungstechnik
ist verbessert worden, z.B. durch das Einführen von VLAN, der Bündelung und
Spanning-tree (umspannender Baum).
-
VLAN
ermöglicht
es, Ports in einer Vermittlung zu unterschiedlichen Sende-Domains
zu gruppieren. Es bezieht ein, dass die in einem spezifischen VLAN
umfassten Ports nicht imstande sind, mit Ports in einem abweichenden
VLAN zu kommunizieren. Mindestens nicht über Schicht-2, die einen Router
erfordert, um solche Ports zu verbinden.
-
In
RFC1027 (Request for Comment document, kontrolliert von IETF; Internet
Engineering Task Force) ist eine Technik beschrieben worden, die
als "Proxy-ARP" bekannt ist, in
welcher eine Routing-Vorrichtung ARP-Anfrangen anspricht für irgendeine
Adresse außerhalb
lokalen Sub-Netzes, die durch einen lokal verbundenen Host angefordert wird,
hierbei den Host veranlassend, den gesamten Verkehr ohne das Erfordernis
des Verstehens des IP-Standardleitwegs zu routen. Dies wurde in
frühen Tagen
des Internet verwendet, um Hosts ohne das vollständige Verständnis von IP zu führen zum
Kommunizieren unter Verwendung des IP-Protokolls. Es wird heute
kaum verwendet.
-
Resümee der beschriebenen Erfindung
-
US-A1-202/0080800 offenbart
ein VLAN-Datenvermittlungsverfahren
unter Verwendung eines ARP-Pakets in VLAN, das mit einem IP-Sub-Netz aufgebaut
ist. Die Datenübertragungsverzögerungszeit
sowie die Router-Belastung werden reduziert.
-
WO-A2-02/19056 offenbart
Verfahren, Vorrichtungen und Datenstrukturen zum Bewahren von Adress-
und Dienstebeneninformation in einem VPN. Eine neue Schicht-3-Adresse wird verwendet,
um ein netzgebundenes Paket derart einzukapseln, dass seine Kontextinformation,
von der eine Schicht-2-Adresse hergeleitet werden kann, bewahrt wird.
-
US-A1-2002/0052972 offenbart
ein Kommunikationsverfahren zwischen einer Vielzahl von VLANs in
einem identischen IP-Sub-Netz.
Wenn ein Vermittlungs-Router ein Rundsendepaket von einem Quellen-Host
empfängt, übermittelt
er das Rundsendepaket an alle VLANs, zu denen der Quellen-Host eingeschlossen
ist, sowie an ein anderes VLAN, zu dem ein Ziel-Host eingeschlossen
ist, und demnach kann eine Rundsende-Domain gebildet werden.
-
US-B1-6405248 offenbart
ein Überwachungssystem
zum Bestimmen exakter Topologiemerkmale eines Netzes.
-
US-A-6047325 offenbart
eine Netzvorrichtung zum Unterstützen
der Konstruktion von VLANs auf beliebigen Lokal- und Weitbereichscomputernetzen.
-
Die
vorliegende Erfindung zielt darauf ab, die sich auf die OSI-Schicht-2-Rundsendung
und die beschränkten
Möglichkeiten
des Teilens von IP-Adressen in Sub-Sätze für eine Vielzahl von VLANs einhergehenden
Probleme zu lösen.
-
Um
ihre Ziele und Bestrebungen zu erfüllen, stellt die vorliegende
Erfindung ein Filter für
das Trennen des Schicht-2-Verkehrs
nach OSI (Open System Interconnection) in mindestens einem Access-Switching-Router
(ASR) in einem Netz beeit. Die Anschlüsse bzw. Ports in dem Router
sind zu demselben virtuellen Lokalnetz konfiguriert. Das Filter
filtert Datenpaketverkehr zu den Ports. Es umfasst ferner:
eine
Einrichtung zum Abfangen eines Schicht-2-Verkehrs von einer mit
dem Netz verbundenen Quellenvorrichtung für eine zu dem virtuellen Lokalnetz
gehörende
MAC-Adresse, bestimmtend, ob Verkehr weiterzuleiten zu anderen Ports
zulässig
ist; eine Einrichtung zum Abfangen von Adressauflösungsprotokoll-Rundsendungen (ARP-Rundsendungen
bzw. Address-Resolution-Protocol-Broadcasts)
in solchem Verkehr, ansprechend auf die Rundsendung zu der Quellenvorrichtung
unabhängig
davon, ob eine Zielvorrichtungs-Schicht-2-Domain dieselbe ist wie die
Quellenvorrichtungs-Schicht-2-Domain, wobei die Quellenvorrichtung
derart bestimmt, dass die Rundsendung die Schicht-2-Adresse einer
gesuchten Zielvorrichtung bestätigt
hat, wobei die Quellenvorrichtung Datenpakete zu der Zielvorrichtung
sendet, wobei der Router die gesendeten Datenpakete empfängt;
eine
Einrichtung zum Bestimmen des Eingangsports zu der Zielvorrichtung;
eine
Einrichtung zum Bestimmen der Schicht-2-Adresse der Zielvorrichtung;
eine
Einrichtung zum Anpassen des Schicht-2-Headers von dem empfangenen
Datenpaket, wobei die Einrichtung vorgesehen ist zum Festlegen der
Quellenschicht-2-Adresse, zum Festlegen einer Router-Quellen-Adresse
für die
Datenpakete, wobei die Einrichtung vorgesehen ist zum Bestimmen
der Schicht-2-Adresse
der Zielvorrichtung, zum Festlegen der Ziel-Schicht-2-Adresse zu der
der Zielvorrichtung, zum Senden des Datenpakets zu der Zielvorrichtung;
und
derart simulierend, dass, wenn die Quellenvorrichtung und
die Zielvorrichtung in derselben Schicht-2-Domain sind, die Router-Schicht-2-Adresse
die eigentliche Zieladresse sowohl für die Quellen als auch die
Zielvorrichtung ist, oder simulierend, dass wenn die Quellenvorrichtung
und die Zielvorrichtung nicht dieselbe Schicht-2-Domain sind, aber in
demselben Schicht-3-Sub-Netz, die Router-Schicht-2-Adresse die tatsächliche Ziel-Schicht-2-Adresse
für die
Quelle zu dem Ziel ist.
-
In
einer Ausführungsform
der vorliegenden Erfindung ist vorgesehen, dass ein Port, der sich
in einem Sub-Router befindet, mit der Router-Schicht-2-Adresse versehen
wird beim Adressieren der Zielvorrichtung.
-
Eine
andere Ausführungsform
sieht vor, dass ein Router die Quellen- und/oder Zieladresse ermittelt
zum Bestimmen des besten Ausgangsports für das Paket, zum Bestimmen,
ob das Paket sich in einem Profil für eine Ratenbeschränkung befindet
oder ein anderes Filtern vorzunehmen basierend auf Information in
der OSI-Schicht-3 und höheren
Protokollschichten.
-
Eine
weitere Ausführungsform
sieht vor, dass der Access-Switching-Router
eine Kombination einer Schicht-2-Vermittlung und eines Schicht-3-Routers
ist, die Fähigkeiten
von einer Schicht-2-Vermittlung mit der fortschrittlichen Paketsteuerung
und Weiterleitungsentscheidungen in einem Schicht-3-Router kombinierend.
-
Noch
eine weitere Ausführungsform
sieht die Verwendung von IP-Sub-Netz vor, das Ausdehnen davon über einige
Standorte und mehrere Access-Switching-Router und demselben Sub-Netz
in mehreren Schicht-2-Domains, derart mehr Kunden abdeckend. Noch
eine andere Ausführungsform sieht
einen Kunden mit mehreren Computern zum Empfangen mehrerer Adressen
vor.
-
Die
vorliegende Erfindung stellt auch ein Verfahren für ein Filter
zur Trennung des Schicht-2-Verkehrs nach OSI (Open System Interconnection)
in mindestens einem Access-Switching-Router in einem lokalen Netz. Ein Router
hat Ports in den für dasselbe
virtuelle Lokalnetz konfigurierten Routern. Das Filter filtert Datenpaketverkehr
zu den Ports. Das Verfahren umfasst ferner die Schritte:
Abfangen
von Schicht-2-Verkehr von einer mit dem Netz verbundenen Quellenvorrichtung
(HostA, HostB) für
eine Medienzugriffssteueradresse bzw. MAC-Adresse, die zum dem virtuellen
Lokalnetz gehört,
wobei bestimmt wird, ob der Verkehr an andere Ports weitergeleitet
werden darf;
Abfangen von Adressenauflösungsprotokollrundsendungen
(ARP – Broadcastsendungen)
in dem Verkehr, wobei an die Quellenvorrichtung (HostA, HostB) auch
die Rundsendung unabhängig
davon angesprochen wird, ob eine Zielvorrichtungs-Schicht-2-Domain
dieselbe ist wie die Quellenvorrichtungsschicht-2-Domain, wobei
die Quellenvorrichtung derart bestimmt, dass die Rundsendung die Schicht-2-Adresse
einer gesuchten Zielvorrichtung bestätigt hat, wobei die Quellenvorrichtung
Datenpakete zu der Zielvorrichtung sendet, und wobei ein Router
die gesendeten Datenpakete empfängt;
Bestimmen
des Ausgangsports zu der Zielvorrichtung;
Bestimmen der Schicht-2-Adresse
der Zielvorrichtung;
Anpassen des Schicht-2-Headers von dem
empfangenen Datenpaket, wobei die Einrichtung zum Festlegen der
Quellenschicht-2-Adresse die Router-Quellenadresse für die Datenpakete
festlegt; die Einrichtung zum Bestimmen der Schicht-2-Adresse der
Zielvorrichtung die Ziel-Schicht-2-Adresse auf die der Zielvorrichtung
festlegt, Senden des Datenpakets zu der Zielvorrichtung; und
derart
simulierend, dass wenn die Quellenvorrichtung und die Zielvorrichtung
in derselben Schicht-2-Domain sind, die Router-Schicht-2-Adresse
die tatsächliche
Zieladresse für
die Quellen- und Zielvorrichtung ist, oder simulierend, dass wenn
die Quellenvorrichtung und die Zielvorrichtung nicht in derselben
Schicht-2-Domain sind, aber in demselben Schicht-3-Sub-Netz, die Router-Schicht-2-Adresse die
tatsächliche
Ziel-Schicht-2-Adresse
für die
Quelle zu dem Ziel ist.
-
Es
wird vorgezogen, dass das Verfahren imstande ist, die Schritte des
beiliegenden Satzes abhängiger
Verfahrensansprüche
konform zu den oben beschriebenen Ausführungsformen ausführen kann.
-
Kurzbeschreibung der Zeichnungen
-
Von
jetzt an wird auf die beiliegenden Zeichnungen für ein besseres Verständnis der
dargebotenen Beispiele und Ausführungsformen
der vorliegenden Erfindung Bezug genommen, wobei zeigt:
-
1 schematisch
einen Wohnbereich, der mit einem Breitbandnetz in Übereinstimmung
mit dem Stand der Technik verbunden ist;
-
2 schematisch
ein zwischen zwei Breitbandnetzen in Übereinstimmung mit dem Stand
der Technik verbundenes Gateway; und
-
3 schematisch
ein Rundsendenetz in Übereinstimmung
mit der vorliegenden Erfindung.
-
Detaillierte Beschreibung
bevorzugter Ausführungsformen
-
Um
imstande zu sein, die Lösung
in Übereinstimmung
mit der vorliegenden Erfindung für
Probleme in Bezug auf Schicht-2-Datenverkehr
zu verstehen, ist es auch wichtig, die grundlegenden Merkmale der
IP-Adressierung zu verstehen. Ein grundlegender Teil der Verwendung
von Ethernet® für IP-Kommunikation ist
die Verwendung des ARP (Adressauflösungs-Protokolls). ARP wird zum Auflösen zwischen
OSI-Schicht-2- und
Schicht-3-Adressen verwendet. Dies befähigt Hosts, die Schicht-2-Adresse einer
anderen Vorrichtung zu bestimmen, wenn die Schicht-3-Adresse bereits
bekannt ist. Dies wird verwendet, wenn ein Host auf einem IP-Sub-Netz
dazu neigt, mit einem anderen Host auf demselben Sub-Netz zu kommunizieren.
Das ARP wird demnach verwendet zum Interpretieren zwischen Schicht-2-Adressen
(Ethernet®-MAC-Adressen) und Schicht-3-Adressen
(IP).
-
Ein
grundlegender Teil von IP ist, dass nicht jede Vorrichtung in einem
Netz eine bereitgestellte globale Routing-Tabelle kennen muss. Wenn
eine Vorrichtung ein Paket zu einem unbekannten Ziel weiterzuleiten
hat, kann die Vorrichtung mit einem Standardleitweg eines Pfades
konfiguriert sein zur Verwendung für irgendeinen Verkehr, für den es
keinen expliziten Leitweg gibt. Der Standardleitweg ist immer eine
IP-Adresse auf einem Sub-Netz, auf das der Host direkt zugreift.
Die Schicht-2-Adresse des Standardleitwegs wird durch das ARP-Protokoll
gemerkt/gelernt, solange sie nicht statisch in dem Host konfiguriert
ist.
-
In Übereinstimmung
mit der vorliegenden Erfindung ist ein Router definiert als eine
Vorrichtung, die OSI-Schicht-3-Information
oder höhere
Protokollinformation analysiert, um eine Verkehrsweiterleitungsentscheidung
zu treffen. Dies schließt
ein ohne darauf beschränkt
zu sein, die Quellen- und/oder Zieladresse
zu erforschen, um den besten Ausgangsport für das Paket zu bestimmen, zu
bestimmen, ob das Paket im Profil für eine Ratenbeschränkung ist,
oder einen anderen Filtervorgang basierend auf Information in der
OSI-Schicht-3 und
höheren Protokollschichten
auszuführen.
-
Der
Access-Switching-Router (ASR) ist eine Kombination einer Schicht-2-Vermittlung
und eines Schicht-3-Routers. Es kombiniert die Fähigkeit der Schicht-2-Vermittlung
mit fortgeschrittener Paketsteuerung und die Weiterleitungsentscheidung
in einem Schicht-3-Router. Diese Definition passt zu der Definition
eines Routers in Übereinstimmung
mit der vorliegenden Erfindung und enthält auch die hier beschriebenen
einzigartigen Filtermerkmale.
-
Die
Vorteile der vorliegenden Erfindung befähigen alle Ethernet®-Ports
auf dem ASR, zu demselben VLAN konfiguriert zu sein, was ermöglicht,
dass die Ports dasselbe IP-Sub-Netz teilen. Demnach braucht keine
Aufteilung des Sub-Netzes beispielsweise einer 32-Bit-IP-Adresse,
stattzufinden. Jedes Mal, wenn ein Sub-Netz erstellt wird, verschwinden zwei
Adressen. Jene sind die sog. Netzadresse und die Adresse, die die
Sub-Netz-Rundsendeadresse ist. Wenn Firmen, Internet-Diensteanbieter etc.
mit dem Internet verbunden sind, beantragen sie IP-Adressen. Eine
Zuordnung von Adressen hängt davon
ab, wie viele Computer mit dem Netz verbunden sind, wie das Netz
zu entwerfen ist und seine Wachstumsgeschwindigkeit in Folgejahren.
-
Um
ein Beispiel zu geben, wird einer Firma 192.168.1.0/24 als Adresse
vergeben, wobei /24 die Dimension des Sub-Netzes kennzeichnet. Da IP-Adressen
32 Binärbits
haben, ist es leicht, ein Beispiel in der Binärnotation anzugeben:
192.168.1.0
= 11000000 10101000 00000001 00000000 /24 gleich einer eindimensionalen Sub-Netz-Maske
von 255.255.255.0 binär
neu zusammenstellend
11111111 11111111 11111111 00000000
-
Der
Teil des Sub-Netzes, bei dem die Sub-Netz-Maske 0 ist, nachstehend
als Host-Teil gekennzeichnet, ist der Teil, der verwendet werden
darf zum Festlegen einer IP-Adresse für die einzelnen Computer. Der
Teil, bei dem die Sub-Netz-Maske 1 ist, muss immer derselbe sein.
Zwei Adressen in diesem Teil können
niemals für
Computer verwendet werden und jene sind die Netzzahl selbst, wenn
der Host-Teil nur binäre
0 umfasst, und die Rundsendeadresse des Host-Teils nur binäre 1 umfasst.
Demnach:
11000000 10101000 00000001 00000000 192.168.1.0
11000000
10101000 00000001 11111111 192.168.1.255
-
Es
ist nicht wahrscheinlich, dass 250 Computer mit ein- und demselben
Segment verbunden sind. Wahrscheinlich besteht es aus etlichen Segmenten,
die in einige Schicht-2-Rundsendedomains aufgeteilt
sind derart, dass jede Schicht-2-Domain IP-Sub-Netz
für sich
selbst benötigt.
Demnach ist es notwendig, die 256 Adressen in kleine Sub-Netze aufzuteilen.
Dies wird durch weiteres Verlängern
der Sub-Netz-Maske erreicht, d.h., den die Binäre 1 umfassenden Teil.
-
Beispiel:
-
- 11000000 10101000 00000001 00000000 192.168.1.0
11111111
11111111 11111111 11000000 255.255.255.192
-
Die
Sub-Netz-Maske wirkt nun auf zwei Bits in dem letzten Oktett. Dies
bedeutet, da 6 Bit übrig bleiben
für eine
Host-Adresse, die
dezimal 64 neu zusammenstellt. Demnach haben sich die 256 Adressen
in vier Sub-Netze von je 64 Adressen verteilt.
11000000 10101000
00000001 00000000 192.168.1.0
11111111 11111111 11111111 11000000 255.255.255.192
11000000
10101000 00000001 01000000 192.168.1.64
11111111 11111111 11111111
11000000 255.255.255.192
11000000 10101000 00000001 10000000 192.168.1.128
11111111
11111111 11111111 11000000 255.255.255.192
11000000 10101000
00000001 11000000 192.168.1.192
11111111 11111111 11111111
11000000 255.255.255.192
-
Absolut
jedes dieser vier Sub-Netze hat zwei Adressen, die nicht zur Benutzung
zugelassen ist. Dezimal sind sie:
Sub-Netz 192.168.1.0 verboten
192.168.1.0 und 192.168.1.63
Sub-Netz 192.168.1.64 verboten
192.168.1.64 und 192.168.1.127
Sub-Netz 192.168.1.128 verboten
192.168.1128 und 192.168.1.191
Sub-Netz 192.168.1.192 verboten
192.168.1.192 und 192.168.1.255
-
Binäres
Neu-Zusammenstellen:
-
- 11000000 10101000 00000001 00000000 192.168.1.0
11111111
11111111 11111111 11000000 255.255.255.192
11000000 10101000
00000001 00111111 192.168.1.63
11111111 11111111 11111111 11000000 255.255.255.192
11000000
10101000 00000001 01000000 192.168.1.64
11111111 11111111 11111111
11000000 255.255.255.192
11000000 10101000 00000001 01111111 192.168.1.127
11111111
11111111 11111111 11000000 255.255.255.192
11000000 10101000
00000001 10000000 192.168.1.128
11111111 11111111 11111111
11000000 255.255.255.192
11000000 10101000 00000001 10111111 192.168.1.191
11111111
11111111 11111111 11000000 255.255.255.192
11000000 10101000
00000001 11000000 192.168.1.192
11111111 11111111 11111111
11000000 255.255.255.192
11000000 10101000 00000001 11111111 192.168.1.255
11111111
11111111 11111111 11000000 255.255.255.192
-
Es
ist nun möglich,
eines dieser 60 Adress-Sub-Netze in zwei Teile aufzuteilen, zwei Sub-Netze
von 32 Adressen erhaltend, die aber jeweils vier verbotene Adressen
umfassen:
11000000 10101000 00000001 11000000 192.168.1.192
11111111
11111111 11111111 11100000 255.255.255.224
11000000 10101000
00000001 11011111 192.168.1.223
11111111 11111111 11111111
11100000 255.255.255.224
11000000 10101000 00000001 11100000 192.168.1.224
11111111
11111111 11111111 11100000 255.255.255.224
11000000 10101000
00000001 11111111 192.168.1.255
11111111 11111111 11111111
11100000 255.255.255.224
-
In
einem Breitbandnetz 32 gibt es überschüssige Adressen
für einen
Einpersonenhaushalt. Jeder mit einem Sub-Netz verbundene Computer scheint
eine Adresse zu haben, was auch den Standard-Gateway-Router einschließt, es gibt
einen Bedarf von mindestens zwei Adressen für jeden Haushalt, eine für jeden
Computer und eine für
den Router. Wenn der Haushalt mehr als einen Computer steuert, wird
ein größeres Sub-Netz
benötigt.
-
Daher
erfordert zwei Adressen pro Haushalt, dass das kleinste Sub-Netz
die Dimension von vier Adressen haben muss. Binär:
11000000 10101000 00000001
10000000 192.168.1.0
11111111 11111111 11111111 11111100 255.255.255.252
-
Da
zwei Adressen verboten sind:
11000000 10101000 00000001
00000000 192.168.1.0
11111111 11111111 11111111 11111100 255.255.255.252
11000000
10101000 00000001 00000011 192.168.1.3
11111111 11111111 11111111
11111100 255.255.255.252
sind die zum Benutzen verbleibenden
Adressen 192.168.1.1 und 192.168.1.2. In dem nächsten Sub-Netz sind 192. 168.1.4
und 192.168.1.7 verboten. Adressen, die benutzt werden können, sind 192.168.1.5
und 192.168.1.6 und so weiter.
-
Von
den 256 Adressen sind vom Anfang des 256/4 = 64 Sub-Netze oder 64
Kunden. Die Hälfte
der Adressen in dieser Art von kleinen Sub-Netzen wird als Rundsende-
und Netz-Adressen bewahrt, und der Verlust an Adressenraum ist 50%.
-
Wenn
Sub-Netze in größeren Dimensionen entworfen
werden, nimmt der durch Rundsende- und Netzadressen bedingten Verlust
an Adressenraum ab (8 Adressen pro Sub-Netz führt zu 256/8 = 32 Sub-Netzen,
einem 25%-igen Verlust des Adressenraums). Aber es gibt 6 Adressen
pro Sub-Netz und wenn der Router einer bereitgestellt wird, gibt
es 5 Adressen pro Haushalt. Wenn jene 5 Adressen nicht vollständig verwendet
werden, weil es nicht mehr als zwei Computer in jedem Haushalt gibt,
gibt es noch einen Adressenverlust, da 3 Adressen nicht benutzt werden.
-
Durch
die Lösung
in Übereinstimmung
mit einer Ausführungsform
der vorliegenden Erfindung wird es ermöglicht, 254 Adressen von 265
in dem Sub-Netz bereitgestellten zu verwenden und sie über einige
Haushalte und mehrere ASRs zu verteilen, hierdurch mehr Kunden abdeckend.
Wenn ein Kunde mehr Computer als ein anderer Kunde hat, wird kein zusätzlicher
Verlust an Adressenraum eingeführt,
da der Kunde mit der größeren Anzahl
an Computern mehr Adressen erhält.
Daher wird der Verlust an Adressenraum mit der vorliegenden Erfindung
bei einem geringen Prozentsatz bewahrt, wenn das Netz aufgebaut
ist zum Optimieren des Adressenraums.
-
In Übereinstimmung
mit der vorliegenden Erfindung wird ein Filter angewendet, welches
irgendwelchen Schicht-2-Verkehr zwischen den zu dem VLAN gehörenden Ports
verhindert mit Ausnahme des Verkehrs mit Protokolloptionen, die
angeben, dass der Datenträger
in dem Schicht-2-Paket IP ist, IPv6 oder irgendein anderer zum Zwecke
der Kommunikation akzeptierbarer Verkehr. Dies bedeutet, dass, selbst
wenn die Ports zu derselben Schicht-2-Rundsendedomain gehören, das
Vermitteln des Verkehrs zwischen ihnen basierend auf ihren Quellen-
und Ziel-Schicht-2-Adressen verhindert wird.
-
Wenn
ein an einen Port angebrachter Client mit dem Senden beginnt, wird
das erste Paket das Ethernet®-Segment einschließlich dem
ASR durchlaufen.
-
Jedes
Mal, wenn der Client-Host versucht, mit einem anderen Host zu kommunizieren,
wird er einer ARP-Anfrage für
entweder dem Standard-Leitweg ausgeben, wenn das Ziel nicht Teil
des Client-Host-IP-Sub-Netzes ist, oder das Ziel selbst, wenn seine
Zieladresse auf demselben Sub-Netz ist wie der Client-Host. Diese ARP-Anfrage
ist eine Schicht-2-Rundsendung, die typischerweise das gesamte VLAN
durchläuft.
Die ARP-Nachricht wird in Übereinstimmung
mit der vorliegenden Erfindung abgefangen durch den ASR und davon
abgehalten, zu irgendeinem anderen zu diesem VLAN gehörenden Port
weitergeleitet zu werden. Wenn die ARP-Anfrage für ein Ziel bestimmt ist, das
auf irgendeinem anderen Port des ASR liegt, oder wenn das Ziel in
der ASR-Schicht-3-Routing-Tabelle bekannt ist, antwortet der ASR
auf die ARP-Anfrage mit seiner eigenen MAC-Adresse als nächsten Sprung. Diese Prozedur lässt den
Client-Host glauben
bzw. simuliert, dass die ASR-Schicht-2-Adresse die Ziel-Schicht-2-Adresse ist,
die zu verwenden ist zum Erreichen des realen Schicht-3-Ziels. Demnach übermittelt
der Client-Host das Paket zu der ASR-Schicht-2-Adresse.
-
Wenn
das Paket basierend auf der Schicht-3-Adresse und dem Inhalt der
ASR-Routing-Tabelle und/oder Adressenauflösungstabelle als aus einem
anderen der ASR-Ports auszugebend bestimmt wird, wird die Quellen-MAC-Adresse
des Pakets zu der ASR-Schicht-2-Adresse des Ausgangsports geändert. Die
Quellen-IP-Adresse wird fortgesetzt die der ursprünglichen
Client-Host-Adresse sein. Hierdurch erinnert sich bzw. lernt der
Empfänger
in dem ASR, dass die Quellen-Client-Host-Adresse
auf die ASR-Schicht-2-Adresse abbildet und irgendwelcher Rückverkehr
zu dem Quellen-Client-Host wird zu dem ASR gerichtet statt zu der
Quellen-Client-MAC-Adresse. Auf diese Weise werden sowohl die Quellen-
als auch die Ziel-Client-Hosts
simuliert, um zu glauben, dass die ASR-MAC-Adresse die Adresse des anderen Hosts
ist und der Kommunikationsfluss wird aufrechterhalten.
-
Um
imstande zu sein, mit TCP/IP zu kommunizieren, muss ein Host konfiguriert
sein mit:
- – einer
IP-Adresse
- – einer
Sub-Netz-Maske
- – einem
Standard-Gateway
- – einem
Namensserver
-
Ein
Namensserver wird verwendet zum Verbinden zwischen Namen- und IP-Adressen
im Internet.
-
1 stellt
schematisch einen Wohnbereich dar, der mit einem Breitbandnetz 10 in Übereinstimmung
mit dem Stand der Technik verbunden ist. Bei der Vermittlung 12 wird
ein VLAN mit allen Ports 14 mit ihm verbunden dargestellt,
was bedeutet, dass Nachbarn Schicht-2-Zugriff zwischen sich haben. Dies
ermöglicht
es einem Nachbarn beispielsweise die Festplatte eines anderen Nachbarn
zu durchsuchen. Die Vermittlung 16 umfasst, dass jeder
Port 14 zu einem unterschiedlichen VLAN gehört, was
ein kleines IP-Sub-Netz pro VLAN erfordert. Dies ist eine Verschwendung
von Adressenraum, weil jedes Sub-Netz nicht nutzbare Adressen für das Netz
und das Rundsendemerkmal einführt.
Ein Sub-Netz mit zwei nutzbaren Adressen erfordert auch zwei nicht-nutzbare
Adressen, 50% des Adressenraums verschwendend. Die Vorrichtungen 18 in 1 sind Router.
-
2 zeigt
schematisch ein Gateway 30 zwischen zwei Rundsendenetzen 32, 34 in Übereinstimmung
mit dem Stand der Technik verbunden, zeigt auch einen HostA, HostB
und HostC.
-
Die
folgende Abfolge beschreibt den konventionellen Betrieb des ARP-Routing-Protokolls.
-
Die
erste Abfolge von Schritten 1)–9)
stellt ein Beispiel dar, bei dem HostA zu HostB sendet unter Bezugnahme
auf 2:
- 1) HostA hat ein IP-Paket
zum Senden
- 2) HostA vergleicht die Adresse und die Sub-Netz-Maske von HostA
mit der Adresse von HostB
- 3) HostB ist auf demselben Netz wie HostA
- 4) HostA sendet eine ARP-Rundsendung zu dem Netz 1, HostBs Schicht-2-Adresse
anfordernd.
- 5) HostB erkennt die Anfrage nach seiner Schicht-2-Adresse
- 6) HostB antwortet
- 7) HostA hat nun die Schicht-2-Adresse von HostB
- 8) HostA sendet Daten
- 9) HostB empfängt
Daten
-
Die
zweite Abfolge der Schritte 1)–17
stellt ein Beispiel dar, bei dem HostA an HostC sendet unter Bezugnahme
auf 2:
- 1) HostA hat IP-Paket
zum Senden
- 2) HostA vergleicht die Adresse und Sub-Netz-Maske von HostA
mit der Adresse von HostC
- 3) HostC ist nicht im selben Netz wie HostA
- 4) HostA sendet ARP-Rundsendung zum Netz 1, die Gateway-Schicht-2-Adresse
anfordernd
- 5) Das Gateway erkennt die Anfrage nach seiner Schicht-2-Adresse
- 6) Das Gateway antwortet
- 7) HostA hat nun die Gateway-Schicht-2-Adresse
- 8) HostA sendet Daten
- 9) Gateway empfängt
Daten
- 10) Gateway nimmt die Schicht-2-Information von den Daten weg
- 11) Das Gateway sieht nach der Adresse von HostC in der Routing-Tabelle
und bestimmt die Ausgangsschnittstelle
- 12) Das Gateway sendet eine ARP-Rundsendung zu Netz-Schicht-2-Adresse von HostC
anfordernd
- 13) HostC erkennt die Anfrage nach seiner Schicht-2-Adresse
- 14) HostC antwortet
- 15) Das Gateway hat nun die Schicht-2-Adresse von HostC
- 16) Das Gateway bildet einen neuen Schicht-2-Header für ein Paket
und sendet Daten
- 17) HostC empfängt
Daten
-
Wenn
das Gateway 30 nicht direkt an ein Netz 2 angeschlossen
wird, würde
Schritt 12 stattdessen "Weiterleiten
des Pakets in Richtung Netz 2" gewesen
sein, die Schritte 9, 10, 11 und der neue Schritt 12 in jedem Gateway
entlang des Pfades wiederholend, bis das Gateway direkt mit Netz
2 verbunden ist, das Paket empfangend, wo Schritte 12–17 in Übereinstimmung
mit dem oben beschriebenen Ablaufdiagramm beginnen würden.
-
3 stellt
schematisch ein Breitbandnetz 40 in Übereinstimmung mit der vorliegenden
Erfindung dar mit zwei ASR-Routern 42, 44. HostA
und HostB sind mit dem Router 42 verbunden und HostC ist
mit dem Router 44 verbunden. Beide Router 42 und 44 haben
eine direkte Verbindung zwischeneinander, wobei Router 42 das
Filter der vorliegenden Erfindung umfasst. 3 stellt
auch einen HostD mit dem Breitbandnetz über Internet verbunden dar.
-
Das
Filter der vorliegenden Erfindung wird für eine OSI-Schicht-2-Verkehrstrennung in mindestens
einem ASR-Router 42 in einem Breitbandnetz 40 verwendet.
Alle Ports (nicht dargestellt) in den Routern 42, 44 sind
zu demselben VLAN konfiguriert. Der ASR 44 ist ein Sub-Router
zu dem Router 42 oder gerade verbunden und stellt dieselben
Filtervorteile in Übereinstimmung
mit der vorliegenden Erfindung bereit. Datenpaketverkehr wird durch
den das Filter umfassenden Router 42 abgefangen, welcher Datenpaketverkehr
zu den Ports filtert. Das Filter umfasst:
eine Einrichtung
zum Abfangen von Schicht-2-Verkehr von einer netzverbundenen Source-Vorrichtung (HostA,
HostB) für
eine zu einem virtuellen lokalen Netz gehörenden MAC-Adresse, bestimmend,
ob Verkehr weiterzuleiten zu anderen Ports zulässig ist;
eine Einrichtung
zum Abfangen von Adressauflösungsprotokollrundsendungen
in solchem Verkehr, ansprechend auf die Rundsendung zu der Quellenvorrichtung
unabhängig
davon, ob eine Zielvorrichtungs-Schicht-2-Domgin dieselbe ist wie
die Quellenvorrichtung wie die Quellenvorrichtungs-Schicht-2-Domain,
wobei die Quellenvorrichtung derart bestimmt, dass die Rundsendung
die Schicht-2-Adresse einer gesuchten Zielvorrichtung bestätigt hat,
wobei die Quellenvorrichtung Datenpakete zu der Zielvorrichtung
sendet und der Router die gesendeten Datenpakete empfängt.
-
Eine
Einrichtung zum Bestimmen des Ausgangsports zu der Zielvorrichtung;
eine
Einrichtung zum Bestimmen der Schicht-2-Adresse der Zielvorrichtung;
eine
Einrichtung zum Anpassen des Schicht-2-Headers von dem empfangenen
Datenpaket, wobei die Einrichtung zum Festlegen der Quellenschicht-2-Adresse
die Router-Quellen-Adresse für die
Datenpakete festlegt, die Einrichtung zum Bestimmen der Schicht-2-Adresse
der Zielvorrichtung die Ziel-Schicht-2- Adresse auf die der Zielvorrichtung festlegt,
das Datenpaket zu der Zielvorrichtung sendend.
-
Das
Filter in der vorliegenden Erfindung simuliert demnach, dass wenn
die Quellenvorrichtung und die Zielvorrichtung in derselben Schicht-2-Domain
liegen, die Router-Schicht-2-Adresse
die tatsächliche
Zieladresse sowohl für
die Quellen als auch für
die Zielvorrichtung ist, oder simuliert, dass wenn die Quellenvorrichtung
und die Zielvorrichtung nicht in derselben Schicht-2-Domain sind,
aber in demselben Schicht-3-Sub-Netz
die Router-Schicht-2-Adresse die eigentliche Ziel-Schicht-2-Adresse
für die
Quelle zu dem Ziel ist.
-
Es
ist einzusehen, dass die Einrichtung der vorliegenden Erfindung
vorzugsweise Softwarebildungsblöcke
in einem Router sind oder eine Kombination aus Hardware und Software.
-
Im
Folgenden werden drei Szenarien für den Paketstrom in Übereinstimmung
mit der vorliegenden Erfindung und unter Bezugnahme auf 3 bereitgestellt.
-
Es
ist zu bemerken, dass beim IP-Routing (Leitweglenkung) das Einkapseln
und Entkapseln von Schicht-2-Headern auf einem IP-Paket eine konventionelle
Prozedur ist. Der IP-Header mit der IP-Quellen- und Zieladresse
wird unangetastet gelassen, während
der Schicht-2-Header für
Ethernet, TokenRing, FrameRelay, ATM oder andere Schicht-2-Technologie,
die verwendet wird, sich ändert.
Weil das Schicht-2-Protokoll nicht geroutet werden kann, ist die
Quellenadresse immer auf die der Vorrichtung festgelegt, die das
Paket sendet. Dies ist üblich.
-
Das
erste Szenario mit der Abfolge der Schritte 1) bis 13) beschreibt
die Paketübertragung von
dem HostA zum HostB. Beide Hosts sind mit Ports in demselben ASR
verbunden. Die Ports sind konfiguriert, um zu derselben Broadcast-Domain
zu gehören
(VLAN), aber der Port-Schutz mit zusätzlichen Merkmalen ist an dem
ASR zugelassen in Übereinstimmung
mit der vorliegenden Erfindung.
-
Erstes Szenario
-
- 1) HostA hat IP-Paket zum Senden
- 2) HostA vergleicht seine Adresse und Sub-Netz-Maske mit HostB
und bestimmt, dass sie von demselben Sub-Netz sind.
- 3) HostA sendet ARP-Rundsendung für HostBs Adresse
- 4) Wegen des Filterns zwischen den ASR 42 Ports kann
die Rundsendung HostB nicht erreichen.
- 5) Der ASR fängt
die ARP-Rundsendung ab und bestimmt, dass er weiß, wo HostB sich befindet.
- 6) Der ASR antwortet auf die ARP-Anfrage für HostB, seine eigene Schicht-2-Adresse
als die Adresse für
HostB einsetzend.
- 7) HostA empfängt
die ARP-Antwort und geht davon aus, dass er die Schicht-2-Adresse
für HostB kennt.
- 8) HostA sendet Daten
- 9) ASR 42 empfängt
Daten.
- 10) ASR 42 entfernt Schicht-2-Information und bestimmt
den Ausgangsport für
HostB
- 11) ASR 42 sendet seine eigene Schicht-2-Adresse als
Quelle für
da Paket und kapselt das Paket für
HostB ein.
- 12) ASR 42 sendet Daten.
- 13) HostB empfängt
die Daten von HostA.
-
Weil
die ASR 42-Schicht-2-Adresse als Quelle festgelegt wird,
glaubt HostB, dass die Schicht-2-Adresse des ASR 42 die
von HostA ist. In ähnlicher
Weise glaubt HostA bedingt durch die ARP-Antwort, dass die Schicht-2-Adresse
des ASR 42 die von HostB ist.
-
Das
zweite Szenario mit Abfolgeschritten 1) bis 18) beschreibt eine
Paketübertragung
von HostA zu HostC. Die Hosts sind an Ports unterschiedlicher ASRs
angeschlossen. Aber die Adressteilungsmerkmale des ASR und das zentrale
Managementsystem gestanden ein, dass die Host-IP-Adressen durch DHCP
von demselben IP-Sub-Netz empfangen. Die ASRs haben Routing-Information
ausgetauscht, einander über
verbundene Hosts informierend.
-
Zweites Szenario
-
- 1) HostA hat IP-Paket zum Senden
- 2) HostA vergleicht seine Adresse und Sub-Netz-Maske mit HostC
und bestimmt, dass sie von demselben Sub-Netz sind.
- 3) HostA sendet ARP-Rundsendung für HostCs Adresse
- 4) Wegen des Filterns zwischen den ASR 42 Ports erreicht
die Rundsendung keinerlei Port in dem ASR.
- 5) ASR 42 fängt
die ARP-Rundsendung ab und bestimmt, dass er weiß, wo HostC sich befindet.
- 6) ASR 42 antwortet auf die ARP-Anfrage für HostC,
seine eigene Schicht-2-Adresse als die Adresse für HostC einsetzend.
- 7) HostA empfängt
die ARP-Antwort und geht davon aus, dass er die Schicht-2-Adresse
für HostC kennt.
- 8) HostA sendet das Paket
- 9) ASR 42 empfängt
das Paket.
- 10) ASR 42 entfernt Schicht-2-Information und bestimmt
den Ausgangsport für
HostC
- 11) ASR 42 kapselt das Paket mit den geeigneten Schicht-2-Headern für die Verbindung
zu ASR 44 ein.
- 12) ASR 42 leitet das Paket in Richtung ASR 44
- 13) ASR 44 empfängt
das Paket.
- 14) ASR 44 empfängt
Schicht-2-Einkapselung, die für
die Verbindung von ASR 42 verwendet worden ist.
- 15) ASR 44 bestimmt den Ausgangsport für das Paket
in Richtung HostC.
- 16) ASR 44 kapselt das Paket mit Schicht-2-Headern
ein, seine eigene Schicht-2-Adresse als Quelle festlegend.
- 17) ASR 44 sendet Daten.
- 18) HostC empfängt
die Daten von HostA.
-
Weil
der ASR 42 auf die ARP-Anfrage antwortet, wird HostA glauben,
dass die Schicht-2-Adresse von ASR 42 die von HostC ist. Weil
ASR 44 seine Schicht-2-Adresse als Quellenadresse für das Paket
zu HostC in dem finalen Schritt oben sendet, glaubt HostC demnach,
dass die Schicht-2-Adresse von ASR 44 die von HostA ist.
-
Das
dritte Szenario mit Abfolgeschritten 1) bis 15) beschreibt Paketübertragung
von HostA zu HostD. HostA ist mit einem Port an ASR 42 verbunden.
HostD ist irgendwo im Internet verbunden.
-
Drittes Szenario
-
- 1) HostA hat ein IP-Paket zum Senden
- 2) HostA vergleicht seine Adresse und Sub-Netz-Maske mit HostD
und bestimmt, dass sie nicht von demselben Sub-Netz sind.
- 3) HostA sendet ARP-Rundsendung für die Standard-Gateway-Adresse
- 4) Wegen des Filterns zwischen den ASR 42 Ports kann
die Rundsendung keinen Port beim ASR erreichen.
- 5) Der ASR fängt
die ARP-Rundsendung ab und bestimmt, dass sie für das Standard-Gateway ist.
- 6) Der ASR antwortet auf die ARP-Anfrage nach dem Standard-Gateway mit seiner
eigenen Schicht-2-Adresse.
- 7) HostA empfängt
die ARP-Antwort und geht davon aus, dass er die Schicht-2-Adresse
des Standard-Gateways kennt.
- 8) HostA sendet Daten
- 9) ASR 42 empfängt
Daten.
- 10) ASR 42 empfängt
Schicht-2-Information und bestimmt den Ausgangsport für HostD.
- 11) ASR 42 kapselt das Paket mit den geeigneten Schicht-2-Headern ein für die Verbindung
in Richtung HostD.
- 12) Gateways entlang der Strecke zwischen ASR 42 und
HostD wiederholen Schritte 9–11.
- 13) Das den HostD verbindende Gateway empfängt das Paket.
- 14) Das Gateway führt
ARP-Nachschauen durch und leitet das Paket in Richtung von HostD
in Übereinstimmung
mit den Internet-Standards weiter.
- 15) HostD empfängt
die Daten.
-
Die
vorliegende Erfindung ist durch Beispiele und Ausführungsformen
beschrieben worden, die nicht dazu gedacht sind, den Schutzbereich
zu beschränken,
wobei ein Fachmann imstande ist, weitere Ausführungsformen aus den beiliegenden
Patentansprüchen
herzuleiten.