JP2019534652A - Vlan実現方法および端末装置 - Google Patents

Vlan実現方法および端末装置 Download PDF

Info

Publication number
JP2019534652A
JP2019534652A JP2019524023A JP2019524023A JP2019534652A JP 2019534652 A JP2019534652 A JP 2019534652A JP 2019524023 A JP2019524023 A JP 2019524023A JP 2019524023 A JP2019524023 A JP 2019524023A JP 2019534652 A JP2019534652 A JP 2019534652A
Authority
JP
Japan
Prior art keywords
layer
vlan
data stream
port
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019524023A
Other languages
English (en)
Other versions
JP6860663B2 (ja
Inventor
李暁竜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2019534652A publication Critical patent/JP2019534652A/ja
Application granted granted Critical
Publication of JP6860663B2 publication Critical patent/JP6860663B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/325Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the network layer [OSI layer 3], e.g. X.25

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本発明は、VLAN実現方法および端末装置を開示し、該方法は、各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーすることと、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定することと、前記レイヤ2ファイアウォールルールに従って各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定することとを含む。本発明は、端末装置のハードウェアコストを増加しない前提で、VLANの機能を実現し、端末装置の互換性を向上した。【選択図】図1

Description

本発明は、通信技術分野に関し、特にVLAN実現方法および端末装置に関する。
IOT(Internet of Things)技術の急速な発展に伴い、IOTにおける異なる端末装置を異なるVLANに割り当て、統合的に配置・管理するようになってきている。
現在、主に標準プロトコル802.1Qを採用してVLANの実現を行い、すなわち、レイヤ2プロトコルの一般的なメッセージに対してVLAN(VirtualLocalAreaNetwork、VLAN)メッセージヘッダを追加する方法によって、異なるVLANデータメッセージを分割し、例えば、ポート分割、MACアドレス分割、ネットワークレイヤ分割またはIPマルチキャスト分割を利用する。すなわち、LAN内のすべての装置でサポートされるVLANプロトコルによって装置に対してVLANの設定分割を行う。
全てのIOT端末装置が802.1Qプロトコルをサポートするわけではないから、上記方法は、実際の応用には限界がある。そして、flashの記憶容量、メモリ及びCPU効率に限られ、大量のプロトコルを追加してサポートすると、IOT端末装置のハードウェアコストが大幅に向上する。
本開示の主な目的は、各IOT端末のメーカーに対して統合した標準化プロトコルが存在せず、端末装置が相容れないという背景技術の技術問題を解決するためのVLAN実現方法及び端末装置を提供することである。
上記目的を実現するために、本開示は、
各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーするステップと、
予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定するステップと、
前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定するステップとを含む、VLAN実現方法を提供する。
予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定するステップは、
予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、各ポート間の接続性結果が含まれるVLANパラメータテーブルを作成することと、
前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定することとを含む。
予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、VLANパラメータテーブルを作成するステップは、
予め設定された少なくとも1つのVLANに従って、前記VLAN内の各ポートの接続性を取得し、各2つのポート間の接続性を1ビットのプリセット数値で示し、各ポートの接続性に対応するプリセット数値を符号化し、得られた符号値からなるパラメータテーブルを作成し、前記VLANパラメータテーブルを得ることを含む。
前記VLANパラメータテーブルに従って、前記レイヤ2ファイアウォールルールを設定するステップは、
前記VLANパラメータテーブルから符号値を抽出することと、
レイヤ2ファイアウォールEbtablesの転送forwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、廃棄DROP処理コマンドとによって各前記符号値を設定し、対応するレイヤ2ファイアウォールルールを得ることと、を含む。
各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーするステップの前に、
各LAN側ポートから入力されるすべてのデータストリームメッセージを監視し、レイヤ3データストリームメッセージ及びレイヤ2データストリームメッセージを含む前記データストリームメッセージのデータストリームメッセージタイプを判定することをさらに含む。
前記データストリームメッセージのデータストリームメッセージタイプを判定した後に、
前記データストリームメッセージタイプがレイヤ3データストリームメッセージであると判定する場合、プリセットのルーティングテーブルに従って、前記レイヤ3データストリームメッセージをデータ転送することをさらに含む。
各LAN側ポートから入力されるすべてのデータストリームメッセージを監視するステップは、
各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのフックHOOK機能によってキャプチャすることを含み、前記レイヤ2ファイアウォールがレイヤ2ファイアウォールEbtablesユーザ空間工具で設定される。
本開示の実施例は、さらに、
各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーするように構成されるコピーモジュールと、
予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定するように構成される設定モジュールと、
前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定するように構成されるメッセージ処理モジュールとを備える、端末装置を提供する。
前記設定モジュールは、さらに、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、各ポート間の接続性結果が含まれるVLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定するように構成される。
前記設定モジュールは、さらに、予め設定された少なくとも1つのVLANに従って、前記VLAN内の各ポートの接続性を取得し、各2つのポート間の接続性を1ビットのプリセット数値で示し、各ポートの接続性に対応するプリセット数値を符号化し、得られた符号値からなるパラメータテーブルを作成し、前記VLANパラメータテーブルを得るように構成される。
前記設定モジュールは、さらに、前記VLANパラメータテーブルから符号値を抽出し、レイヤ2ファイアウォールEbtablesの転送forwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、廃棄DROP処理コマンドとによって各前記符号値を設定し、対応するレイヤ2ファイアウォールルールを得るように構成される。
前記端末装置は、
各LAN側ポートから入力されるすべてのデータストリームメッセージを監視し、レイヤ3データストリームメッセージ及びレイヤ2データストリームメッセージを含む前記データストリームメッセージのデータストリームメッセージタイプを判定するように構成されるメッセージ監視モジュールをさらに備える。
前記端末装置は、
前記データストリームメッセージタイプがレイヤ3データストリームメッセージであると判定する場合、プリセットのルーティングテーブルに従って、前記レイヤ3データストリームメッセージをデータ転送するように構成される実行モジュールをさらに備える。
前記メッセージ監視モジュールは、さらに、各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのフックHOOK機能によってキャプチャするように構成され、前記レイヤ2ファイアウォールがレイヤ2ファイアウォールEbtablesユーザ空間工具で設定される。
本開示は、端末装置に固有のレイヤ2ファイアウォール機能によって、レイヤ2メッセージの伝送に対して指向性の修正を行い、各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーし、予め設定された少なくとも1つのVLANに従って、VLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定し、前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定し、判定結果に従って各LAN側ポートのデータストリームメッセージを通過または廃棄することができ、さらに、VLANの機能を実現した。本開示は、端末装置のハードウェアコストを増加しない前提で、VLANの機能を実現した。端末装置自身にとって、他の端末装置との互換性が向上でき、製品の競争力が大幅に上昇し、各IOT端末メーカーに対して統合した標準化プロトコルが存在せず、端末装置が相容れないという関連技術の問題を解決した。
本開示のVLAN実現方法の一実施例の概略フローチャートである。 図1における各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーすることの詳細化した概略フローチャートである。 本開示のVLAN実現方法の一実施例の概略フローチャートである。 本開示の端末装置の一実施例の機能モジュール概略図である。 本開示の端末装置の一実施例の機能モジュール概略図である。
本開示の目的の実現、機能特徴及び利点について、図面を参照しながら実施例とともにさらに説明する。
ここで記載される具体的な実施例は、本開示を解釈するものに過ぎず、本開示を限定するものではないことを理解すべきである。
本開示の実施例の主な解决手段は、端末装置の固有のレイヤ2ファイアウォール機能を利用してレイヤ2メッセージの伝送に対して指向性の修正を行い、例えば、異なるLAN側ポートに伝送されるデータストリームメッセージに対して、データストリームメッセージの廃棄を行うLAN側ポートが存在するが、データストリームメッセージの通過を行うLAN側ポートもある。そして、VLANの機能が実現される。これによって、各IOT端末メーカーに対して統合した標準化プロトコルが存在せず、端末装置が相容れないという関連技術の問題を解決した。
図1は、本開示のVLAN実現方法の一実施例の概略フローチャートであり、本開示の一実施例によるVLAN実現方法は、端末装置(本実施例では、顧客端末装置(CPE、CustomerPremiseEquipment)を指す)に用いられ、前記端末装置に複数のLAN側ポート及びファイアウォールフレームワークが配置されされ、前記ファイアウォールフレームワークは、レイヤ2ファイアウォールを含み、前記VLAN実現方法は、以下のステップを含む。
S101において、各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーする。
ここで、各LAN(ローカルエリアネットワーク)側ポートから入力されるすべてのデータストリームメッセージをファイアウォールフレームワークのHOOK(フック)機能によってキャプチャし、そこからレイヤ2データストリームメッセージを選択してコピーしでもよい。
ここで、レイヤ2データストリームメッセージは、レイヤ2プロトコルメッセージに基づくデータストリームメッセージであり、レイヤ3データストリームメッセージは、レイヤ3プロトコルメッセージに基づくデータストリームメッセージである。レイヤ2データストリームは、特別なプロトコルに基づくものではなく、すべてのレイヤ2メッセージが通常のレイヤ2メッセージ伝送プロトコルに基づき、同様に、レイヤ3データストリームとは、すべてのレイヤ3プロトコルメッセージであり、レイヤ3プロトコルに、IPプロトコル、TCPプロトコルなどが存在する。
S102において、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定する。
S102は、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、各ポート間の接続性結果が含まれるVLANパラメータテーブルを作成することと、前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定することとを含む。
本実施例において、レイヤ2ファイアウォールとレイヤ2データストリームメッセージとが対応関係を有し、実際に、レイヤ2ファイアウォールはレイヤ2メッセージの転送を制御するために用いられる。このため、レイヤ2ファイアウォールに基づいて、レイヤ2データストリームメッセージ転送を制御するレイヤ2ファイアウォールルールを設定する。
ここで、予め設定されたVLANは、ユーザが構築しようとするVLANの要求に応じて設定されてよい。例えば、ユーザは、VLAN1、VLAN2及びVLAN3を含む3つのVLANの組立てを要求し、CPE装置に3つのLAN側ポートが存在する。
一実例では、VLANパラメータテーブルを作成するときに、予め設定されたVLANに従って、VLAN内の各ポートの接続性を取得し、各2つのポート間の接続性を1ビットの2進数で示し、各ポートの接続性に対応する2進数により1つのパラメータテーブルを形成して前記VLANパラメータテーブルを得る。
上記のVLANパラメータテーブルに従って、Ebtables(レイヤ2ファイアウォール)のforward(転送)リンクと、ネットワークカード入力パラメータと、ネットワークカード出力パラメータ及びDROP(廃棄)処理コマンドとによって設定してイヤ2ファイアウォールルールを得る。
S103において、前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定する。
実際の適用において、通常、メッセージがどのLAN側ポートから入力されることを判断しておき、前記端末装置にLAN1、LAN2、LAN3及びLAN4の4つのポートがあれば、ユーザが作成しようとするVLANがVLAN1(LAN1、LAN2、LAN3)およびVLAN2(LAN2、LAN3、LAN4)である仮定する場合、LAN1から入力されるメッセージは、LAN1、LAN2、LAN3の間のみで転送可能であり、LAN4から入力されるメッセージは、LAN2、LAN3、LAN4の間のみで転送可能であり、LAN2及びLAN3から入力されるメッセージは、LAN1、LAN2、LAN3、LAN4の間で転送可能である。
本実施例では、まず、ユーザが作成しようとするVLANの要求に従ってVLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従って、前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定し、すなわち、該レイヤ2ファイアウォールルールは、ユーザが作成しようとするVLANの要求を反映する。そして、該ルールによってレイヤ2メッセージの伝送に対して指向性の修正を行う。2つのLAN側ポートがユーザの作成しようとする同じVLAN内に存在すれば、ポート間のレイヤ2データストリームメッセージの通過が許容され、そうではないと、放棄処理をし、ポート間のレイヤ2データストリームメッセージの通過が許容されない。これによって、ユーザが所望するレイヤ2VLANが作成される。
なお、本開示は、上記ステップの順に限定されなく、例えば、上記ステップはS102−S101−S103の順で行われてもよい。
一実例では、図2を参照する。図2は、図1における各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーすることの詳細化した概略フローチャートである。
図2に示すように、本開示のVLAN実現方法の他の実施例において、各LAN側ポートから入力されるすべてのレイヤ2データストリームメッセージをすべてのLAN側ポートにコピーするステップは、以下のステップを含む。
S1011において、各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのHOOK機能によってキャプチャする。
S1012において、前記ファイアウォールフレームワークは、すべてのデータストリームメッセージのうちのすべてのレイヤ2データストリームメッセージを前記端末装置の各LAN側ポートにコピーする。
本実施例では、上記2つのステップは、いずれもシステム自らのファイアウォールフレームワーク機能で実現され、作業量が低減し、コストが節約した。
一実例では、本開示のVLAN実現方法の他の実施例において、前記レイヤ2ファイアウォールがEbtablesユーザ空間工具で設定される。
一実例では、本開示のVLAN実現方法の他の実施例において、ユーザが作成しようとするVLANの要求に従ってVLANパラメータテーブルを作成するステップは、
ユーザが作成しようとするVLANの要求に従って各ポートの接続性を取得し、各2つのポート間の接続性を1ビットのプリセット数値で示す。本実施例は、2進数で示し、通常、0が切断を示し、1が接続を示すことを表示方式として採用するが、UPとdownの形式を採用して接続と切断を示してもよい。これによって、1つの2進数からなるパラメータテーブル、すなわちVLANパラメータテーブルを得る。例えば、端末装置が3つのLAN側ポートを有し、ユーザが3つのVLANを作成しようとすると仮定し、各ポート間の相互接続性がバイナリを用して示され、3ビットの2進数で、ポート1とポート2の相互接続性、ポート1とポート3の相互接続性、ポート2とポート3の相互接続性を左から右に順番に示す。1は相互接続していることを示し、0は接続していないことを示す。対応する符号化を000で表示し、ポート1とポート2が接続していなく、ポート1とポート3が接続していなく、ポート2とポート3が接続していないというVLANパラメータテーブルを形成する。このとき、3つのVLANVLAN1(ポート1)、VLAN2(ポート2)、VLAN3(ポート3)が組み立てられる。
前記VLANパラメータテーブルに従って前記レイヤ2ファイアウォールルールを設定するステップは、上記のVLANパラメータテーブルに従って、Ebtablesのforwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、DROP処理コマンドとによって、レイヤ2ファイアウォールルールを作成することを含む。
ここで、レイヤ2ファイアウォールEbtablesの特性によれば、メッセージフィルタテーブルが配置され、メッセージフィルタテーブルに、forward転送リンクパラメータ、ネットワークカード入力パラメータおよびネットワークカード出力パラメータが含まれ、VLANを組み立てるときに、2つのポートが接続されている場合、DROP処理コマンドを追加しないファイアウォールルールを採用し、2つのポートが接続されていない場合、DROP処理コマンドを追加するファイアウォールルールを採用する。それと同時に、これらポートが対応するパラメータテーブル情報に従ってファイアウォールルールを設定することを確保するために、いずれの2つのポート間に対してポート接続性のファイアウォールルール設定を行う必要がある。
一実例では、レイヤ2ファイアウォールルールを設定する時に、まず、前記VLANパラメータテーブルから符号値を抽出し、レイヤ2ファイアウォールEbtablesの転送forwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、廃棄DROP処理コマンドとによって各前記符号値を設定し、対応するレイヤ2ファイアウォールルールを得る。つまり、符号値ごとに、対応するレイヤ2ファイアウォールルールが対応付けられる。
レイヤ2ファイアウォールルールを設定するときに、ポートMとNの間の接続性結果が接続していない場合、フィルタテーブルの転送リンクに廃棄コマンドを追加し、すなわち、M−Nのメッセージを廃棄し、N−Mのメッセージを廃棄する。そのルール表現式は、以下のとおりである。
Figure 2019534652
上記表現式において、filterはフィルタテーブルを示し、FORWARDは転送リンクを示し、DROPは廃棄コマンドを示す。
ここで、符号値の各ビットは、2つのポート間の接続性結果を示す。例えば、ポート1、ポート2及びポート3の3つのポートを有する端末装置では、符号値000は、3つのポートのいずれも接続していないことを示す。
次に、レイヤ2ファイアウォールルールをいかに作成することを例示し、前記端末装置が3つのLAN側ポート(すなわち、ポート1、ポート2及びポート3)を有すると仮定すると、ユーザが作成しようとするVLANは、以下の8つの可能な形式を有する。
まず、符号化を行い、バイナリで各ポート間の接続性を示すことを例示し、各2つのポート間の接続性を1ビットの2進数で示す。これによって、各2つのポート間の接続性が1つの2進数からなる符号を取得し、これによって類推し、各ポートの間の2進数符号からなる1つのパラメータテーブルをVLANパラメータテーブルとして取得する。
一実例では、端末装置が3つのLAN側ポートを有し、各ポート間の相互接続性をバイナリで示し、ポート1とポート2の相互接続性、ポート1とポート3の相互接続性、ポート2とポート3の相互接続性を左から右に順番に3ビットの2進数で示す。1は相互接続していることを示し、0は接続していないことを示す。以下は、各設定に対応する符号化である。
●000は、ポート1とポート2が接続していなく、ポート1とポート3が接続していなく、ポート2とポート3が接続していないことを示す。3つのVLAN、すなわち、VLAN1(ポート1)、VLAN2(ポート2)、VLAN3(ポート3)が存在する。
●001は、ポート1とポート2が接続していなく、ポート1とポート3が接続していなく、ポート2とポート3が接続していることを示す。2つのVLAN、すなわち、VLAN1(ポート1)、VLAN2(ポート2、ポート3)が存在する。
●010は、ポート1とポート2が接続していなく、ポート1とポート3が接続していて、ポート2とポート3が接続していないことを示す。2つのVLAN、すなわち、VLAN1(ポート1、ポート3)、VLAN2(ポート2)が存在する。
●011は、ポート1とポート2が接続していなく、ポート1とポート3が接続していて、ポート2とポート3が接続していることを示す。2つのVLAN、すなわち、VLAN1(ポート1、ポート3)、VLAN2(ポート2、ポート3)が存在する。
●100は、ポート1とポート2が接続していて、ポート1とポート3が接続していなく、ポート2とポート3が接続していないことを示す。2つのVLANV、すなわち、LAN1(ポート1、ポート2)、VLAN2(ポート3)が存在する。
●101は、ポート1とポート2が接続していて、ポート1とポート3が接続していなく、ポート2とポート3が接続していることを示す。2つのVLAN、すなわち、VLAN1(ポート1、ポート2)、VLAN2(ポート2、ポート3)が存在する。
●110は、ポート1とポート2が接続していて、ポート1とポート3が接続していて、ポート2とポート3が接続していないことを示す。2つのVLAN。すなわち、VLAN1(ポート1、ポート2)、VLAN2(ポート1、ポート3)が存在する。
●111は、ポート1とポート2が接続していて、ポート1とポート3が接続していて、ポート2とポート3が接続していることを示す。1つのVLAN、すなわち、VLAN1(ポート1、ポート2、ポート3)が存在する。
上記から、VLANの組み立てに、以上の8種の設定が存在することが分かる。そのうち、最大3つのVLANを組み立て、少なくとも1つのLANを組み立てる。
これによって類推し、CPE製品は、通常、有線LANポートとして4つのポートを有し、対応して64種の設定が存在することが分かる。そのうち、最大4つのVLANを組み立て、少なくとも1つのLANを組み立てる。
上記の例(3つのLAN側ポート)に対応するebtablesルールは、以下のとおりである。
i.000符号に対応するebtablesルールは、下記の式に示す。
Figure 2019534652
ii.001符号に対応するebtablesルールは、下記の式に示す。
Figure 2019534652
iii.010符号に対応的するebtablesルールは、下記の式に示す。
Figure 2019534652
iv.011符号化に対応的するebtablesルールは、下記の式に示す。
Figure 2019534652
v.100符号に対応するebtablesルールは、下記の式に示す。
Figure 2019534652
vi.101符号に対応するebtablesルールは、下記の式に示す。
Figure 2019534652
vii.110符号に対応するebtablesルールは、下記の式に示す。
Figure 2019534652
viii.111符号に対応するebtablesルールは、ルール追加する必要がない。
本実施例は、上記手段で、端末装置に固有のレイヤ2ファイアウォール機能によって、レイヤ2メッセージの伝送に対して指向性の修正を行い、各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーしてデータ転送の準備をし、予め設定された少なくとも1つのVLANに従ってVLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従ってレイヤ2ファイアウォールルールを設定し、前記レイヤ2ファイアウォールルールに従って各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定し、判定結果に従って各LAN側ポートのデータストリームメッセージを通過または廃棄し、さらに、VLANの機能が実現した。本開示は、端末装置のハードウェアコストを増加しない前提で、VLANの機能を実現した。端末装置自身にとって、他の端末装置との互換性を向上でき、製品の競争力が大幅に上昇し、各IOT端末メーカーに対して統合した標準化プロトコルが存在せず、端末装置が相容れないという関連技術の問題を解決した。
図3を参照する。図3は、本開示のVLAN実現方法の一実施例の概略フローチャートである。
図2に示すように、本開示の1つの実施例によるVLAN実現方法が端末装置に用いられ、前記端末装置に、複数のLAN側ポート及びファイアウォールフレームワークが設定され、前記ファイアウォールフレームワークは、レイヤ2ファイアウォールを含み、前記VLAN実現方法は、以下のステップを含む。
S201において、各LAN側ポートから入力されるすべてのデータストリームメッセージを監視する。
S202において、レイヤ3データストリームメッセージ及びレイヤ2データストリームメッセージを含む前記データストリームメッセージのデータストリームメッセージタイプを判定し、すなわち、前記データストリームメッセージがレイヤ2データストリームメッセージであるか、またはレイヤ3データストリームメッセージであるかを判断し、レイヤ3データストリームメッセージであれば、ステップS203を実行し、レイヤ2データストリームメッセージであれば、ステップS204からステップS207を実行する。
S203において、プリセットのルーティングテーブルに従ってレイヤ3データストリームメッセージをデータ転送する。
ここで、予め設定されたルーティングテーブルは、現在のレイヤ3データストリームメッセージのMACアドレスとIPアドレスの対応関係、次のホッピングのレイヤ3データストリームメッセージのMACアドレスとIPアドレスの対応関係、およびIPアドレスに対応するポート情報を含む。
ルーティングテーブルに従って、前記レイヤ3データストリームメッセージをデータ転送することとは、レイヤ3データストリームメッセージの通常転送であり、すなわち、ルーティングテーブルにおけるIPアドレスに従って、対応するポートにメッセージを送信する。
S204において、すべてのレイヤ2データストリームメッセージを各LAN側ポートにコピーし、データ転送の準備をする。
S205において、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定する。
S206において、前記レイヤ2ファイアウォールルールに従って各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定する。
本実施例では、まず、ユーザが作成しようとするVLANの要求に従ってVLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従って、前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定し、すなわち、該レイヤ2ファイアウォールルールは、ユーザが作成しようとするVLANの要求を反映する。そして、該ルールによってレイヤ2メッセージの伝送に対して指向性の修正を行う。2つのLAN側ポートがユーザの作成しようとする同じVLAN内に存在すれば、ポート間のレイヤ2データストリームメッセージを通過が許容され、そうではないと、放棄処理をし、ポート間のレイヤ2データストリームメッセージの通過が許容されない。これによって、ユーザが所望するレイヤ2VLANが作成される。
なお、上記の複数の実施例の1つのVLAN実現方法に比べて、本VLAN実現方法は、レイヤ3メッセージの処理ステップが増加した。
なお、本実施例は、上記ステップの順に限定されなく、S204からS205の順をS205−S204−S206にしてもよい。
一実例では、本開示VLAN実現方法の他の実施例において、各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのHOOK機能によってキャプチャする。
前記ファイアウォールフレームワークは、すべてのレイヤ2データストリームメッセージを前記端末装置の各LAN側ポートにコピーし、データ転送の準備をする。
本実施例では、上記2つのステップは、いずれもシステム自らのファイアウォールフレームワーク機能で実現され、作業量が低減し、コストが節約した。
本開示VLAN実現方法の他の実施例では、前記レイヤ2ファイアウォールがEbtablesユーザ空間工具で設定される。
一実例では、本開示VLAN実現方法の他の実施例において、ユーザが作成しようとするVLANの要求に従ってVLANパラメータテーブルを作成するステップは、
ユーザが作成しようとするVLANの要求に従って各ポートの接続性を取得し、各2つのポート間の接続性を1ビットのプリセット数値で示すことで、1つの2進数からなるパラメータテーブル、すなわちVLANパラメータテーブルを得ることを含む。
前記VLANパラメータテーブルに従って前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定するステップは、
上記のVLANパラメータテーブルに従って、Ebtablesのforwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、DROP処理コマンドとによって、レイヤ2ファイアウォールルールを作成することを含む。
レイヤ2ファイアウォールルールをいかに作成することは上記のとおりであり、ここで説明しない。
本実施例の手段は、少なくともレイヤ2メッセージ及びレイヤ3メッセージを含む各LAN側ポートから入力されるすべてのデータストリームメッセージに対する処理を実現し、メッセージ処理の柔軟性を向上させ、レイヤ2メッセージに対するVLAN実現の需要を満足した。本実施例の手段は、CPEにだいてい備えるebtables機能を利用し、ebtables機能を利用することで、レイヤ2メッセージの伝送に対して指向性の修正を行い、異なるポートに伝送する場合、メッセージの廃棄を行う場合もあるし、メッセージの通過を行う場合もあるようにして、VLANの機能を実現し、CPEハードウェアコストを増加しない前提で、他の端末装置との互換性を向上させ、製品の競争力を大幅に上昇させた。
関連技術より、本開示実施例の端末装置は、CPELAN側ポートに可ebtablesを利用してVLANの機能を実現しでよい。
802.1Qは、標準化のVLANプロトコルであり、関連技術において、データメッセージに対してレイヤ2VLANヘッダを追加することで異なるVLANのメッセージに対してデータの区別と転送を行い、これは、VLANにおけるすべての装置を、このプロトコルをサポートするようにする必要があるが、小型の家庭用CPE製品またはIOT端末にとって、CPU、メモリ及びハードウェアコストの限制により、すべての端末が802.1Qプロトコルをサポートするわけではなく、制限性が非常に明らかである。また、現在の多数のIOT端末装置にとって、各メーカーに対して統合したプロトコル標準を要求することがありえなく、本開示によれば、端末装置の互換性が大幅に向上させ、CPEのようなIOTにおけるコア装置にとって、必ず競争力を大幅に上昇させることができる。
図4を参照する。図4は、本開示の端末装置の一実施例の機能モジュール概略図である。
図4に示すように、本開示の1つの実施例による端末装置は、複数のLAN側ポート及びファイアウォールフレームワークを備え、前記ファイアウォールフレームワークは、レイヤ2ファイアウォールを含み、前記端末装置は、コピーモジュール11、設定モジュール12及びメッセージ処理モジュール13をさらに備える。
コピーモジュール11は、各LAN側ポートから入力されるすべてのレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーすることに用いられる。ここで、レイヤ2データストリームメッセージは、レイヤ2プロトコルメッセージに基づくデータストリームメッセージであり、レイヤ3データストリームメッセージは、レイヤ3プロトコルメッセージに基づくデータストリームメッセージである。レイヤ2データストリームは、特別なプロトコルに基づくものではなく、すべてのレイヤ2メッセージが通常のレイヤ2メッセージ伝送プロトコルに基づき、同様に、レイヤ3データストリームとは、すべてのレイヤ3プロトコルメッセージであり、レイヤ3プロトコルに、IPプロトコル、TCPプロトコルなどが存在する。
設定モジュール12は、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って各ポート間の接続性結果が含まれるVLANパラメータテーブルを作成することと、前記VLANパラメータテーブルに従ってレイヤ2ファイアウォールルールを設定することとを含む前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定することに用いられる。
本実施例において、レイヤ2ファイアウォールとレイヤ2データストリームメッセージが対応関係が有し、実際に、レイヤ2ファイアウォールはレイヤ2メッセージの転送を制御するために用いられる。このため、レイヤ2ファイアウォールに基づいてレイヤ2データストリームメッセージ転送を制御するレイヤ2ファイアウォールルールを設定する。
メッセージ処理モジュール13は、前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定することに用いられる。
一実例では、本開示の端末装置の他の実施例において、前記コピーモジュールは、
各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのHOOK機能によってキャプチャすることに用いられるメッセージキャプチャユニットまたはモニターモジュールと、前記ファイアウォールフレームワークによって、すべてのデータストリームメッセージのうちのすべてのレイヤ2データストリームメッセージを前記端末装置の各LAN側ポートにコピーし、データ転送の準備をすることに用いられるコピーユニットとを備えてもよい。
本開示の端末装置の他の実施例では、前記レイヤ2ファイアウォールがEbtablesユーザ空間工具で設定される。
一実例では、本開示の端末装置の他の実施例において、前記設定モジュール12は、さらに、ユーザが作成しようとするVLANの要求に従ってVLANパラメータテーブルを作成し、ユーザが作成しようとするVLANの要求に従って各ポートの接続性を取得し、各2つのポート間の接続性を1ビットの2進数で示することで、1つの2進数からなるパラメータテーブルすなわちVLANパラメータテーブルを得ることに用いられる。
前記設定モジュール12は、さらに、前記VLANパラメータテーブルに従って前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定し、上記VLANパラメータテーブルに従って、Ebtablesのforwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、DROP処理コマンドとによって、レイヤ2ファイアウォールルールを作成することに用いられる。
本実施例は、上記手段で、端末装置に固有のレイヤ2ファイアウォール機能によって、レイヤ2メッセージの伝送に対して指向性の修正を行い、各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーし、予め設定された少なくとも1つのVLANに従って、VLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定し、前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定し、判定結果に従って各LAN側ポートのデータストリームメッセージを通過または廃棄することができ、さらに、VLANの機能を実現した。本開示は、端末装置のハードウェアコストを増加しない前提で、VLANの機能を実現した。端末装置自身にとって、他の端末装置との互換性が向上でき、製品の競争力が大幅に上昇し、各IOT端末メーカーに対して統合した標準化プロトコルが存在せず、端末装置が相容れないという関連技術の問題を解決した。
図5を参照する。図5は、本開示の端末装置の一実施例の機能モジュール概略図である。
図5に示すように、本開示の1つの実施例による端末装置は、複数のLAN側ポート及びファイアウォールフレームワークを備え、前記ファイアウォールフレームワークは、レイヤ2ファイアウォールを含み、前記端末装置は、さらに、
各LAN側ポートから入力されるすべてのデータストリームメッセージを監視し、レイヤ3データストリームメッセージ及びレイヤ2データストリームメッセージを含む前記データストリームメッセージのデータストリームメッセージタイプを判定することに用いられるメッセージ監視モジュール19と、
前記データストリームメッセージタイプがレイヤ3データストリームメッセージであると判定する場合、プリセットのルーティングテーブルに従って、前記レイヤ3データストリームメッセージをデータ転送することに用いられる実行モジュール20と、
すべてのレイヤ2データストリームメッセージを前記端末装置の各LAN側ポートにコピーし、データ転送の準備をすることに用いられるコピーモジュール21と、
予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定することに用いられる設定モジュール22と、
前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定することに用いられるメッセージ処理モジュール23とを備える。
本開示の端末装置の他の実施例において、前記メッセージ監視モジュール19は、各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのHOOK機能によってキャプチャする。
前記コピーモジュール21は、前記ファイアウォールフレームワークによって、すべてのデータストリームメッセージのうちのすべてのレイヤ2データストリームメッセージを前記端末装置の各LAN側ポートにコピーし、データ転送の準備をする。
本開示の端末装置の他の実施例において、前記レイヤ2ファイアウォールがEbtablesユーザ空間工具で設定される。
本開示の端末装置の他の実施例において、前記設定モジュール22は、ユーザが作成しようとするVLANの要求に従ってVLANパラメータテーブルを作成し、ユーザが作成しようとするVLANの要求に従って各ポートの接続性を取得し、各2つのポート間の接続性を1ビットの2進数で示することで、1つの2進数からなるパラメータテーブルすなわちVLANパラメータテーブルを得ることに用いられる。
前記設定モジュール12は、さらに、前記VLANパラメータテーブルに従って前記レイヤ2ファイアウォールのレイヤ2ファイアウォールルールを設定し、上記のVLANパラメータテーブルに従って、Ebtablesのforwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、DROP処理コマンドとによって、レイヤ2ファイアウォールルールを作成することに用いられる。
なお、上述端末装置は、上記対応するVLAN実現方法の各ステップを実行することに用いられる。
本実施例の手段は、少なくともレイヤ2メッセージ及びレイヤ3メッセージを含む各LAN側ポートから入力されるすべてのデータストリームメッセージに対する処理を実現し、メッセージ処理の柔軟性が向上させ、レイヤ2メッセージに対するVLAN実現の需要を満足した。本実施例の手段は、CPEにだいてい備えるebtables機能を利用し、ebtables機能を利用することで、レイヤ2メッセージの伝送に対して指向性の修正を行い、異なるポートに伝送する場合、メッセージの廃棄を行う場合もあるし、メッセージの通過を行う場合もあるようにして、VLANの機能を実現し、CPEハードウェアコストを増加しない前提で、他の端末装置との互換性を向上させ、製品の競争力を大幅に上昇させた。
以上説明したのは本開示の実施例にすぎず、本開示の特許請求の範囲を制限するものではなく、本開示の明細書及び図面の内容を利用して作成する均等構造または均等なフロー変換、または他の関連する技術分野に直接または間接的に適用することは、いずれも本開示の特許保護範囲内に含まれる。
本開示は通信技術分野に適用され、端末装置のハードウェアコストを増加しない前提でVLANの機能を実現し、かつ、端末装置と他の端末装置の互換性を向上でき、製品の競争力を大幅に上昇させ、各IOT端末メーカーに対して統合した標準化プロトコルが存在せず、端末装置が相容れないという関連技術の問題を解決した。

Claims (14)

  1. 各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーするステップと、
    予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定するステップと、
    前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定するステップと、を含む、
    VLAN実現方法。
  2. 予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定するステップは、
    予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、各ポート間の接続性結果が含まれるVLANパラメータテーブルを作成することと、
    前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定することと、を含む、
    請求項1に記載のVLAN実現方法。
  3. 予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、VLANパラメータテーブルを作成するステップは、
    予め設定された少なくとも1つのVLANに従って、前記VLAN内の各ポートの接続性を取得し、各2つのポート間の接続性を1ビットのプリセット数値で示し、各ポートの接続性に対応するプリセット数値を符号化し、得られた符号値からなるパラメータテーブルを作成し、前記VLANパラメータテーブルを得ることを含む、
    請求項2に記載のVLAN実現方法。
  4. 前記VLANパラメータテーブルに従って、前記レイヤ2ファイアウォールルールを設定するステップは、
    前記VLANパラメータテーブルから符号値を抽出することと、
    レイヤ2ファイアウォールEbtablesの転送forwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、廃棄DROP処理コマンドとによって各前記符号値を設定し、対応するレイヤ2ファイアウォールルールを得ることと、を含む、
    請求項3に記載のVLAN実現方法。
  5. 各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーするステップの前に、
    各LAN側ポートから入力されるすべてのデータストリームメッセージを監視し、レイヤ3データストリームメッセージ及びレイヤ2データストリームメッセージを含む前記データストリームメッセージのデータストリームメッセージタイプを判定することをさらに含む、
    請求項1から4のいずれか1項に記載のVLAN実現方法。
  6. 前記データストリームメッセージのデータストリームメッセージタイプを判定した後に、
    前記データストリームメッセージタイプがレイヤ3データストリームメッセージであると判定する場合、プリセットのルーティングテーブルに従って、前記レイヤ3データストリームメッセージをデータ転送することをさらに含む、
    請求項5に記載のVLAN実現方法。
  7. 各LAN側ポートから入力されるすべてのデータストリームメッセージを監視するステップは、
    各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのフックHOOK機能によってキャプチャすることを含み、
    前記レイヤ2ファイアウォールがレイヤ2ファイアウォールEbtablesユーザ空間工具で設定される、
    請求項5に記載のVLAN実現方法。
  8. 各LAN側ポートから入力されるレイヤ2データストリームメッセージを各LAN側ポートにそれぞれコピーするように構成されるコピーモジュールと、
    予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、レイヤ2ファイアウォールルールを設定するように構成される設定モジュールと、
    前記レイヤ2ファイアウォールルールに従って、各前記VLAN内の転送または廃棄する必要があるレイヤ2データストリームメッセージを判定するように構成されるメッセージ処理モジュールと、を備える、
    端末装置。
  9. 前記設定モジュールは、さらに、予め設定された少なくとも1つのVLAN及び各ポート間の接続性に従って、各ポート間の接続性結果が含まれるVLANパラメータテーブルを作成し、前記VLANパラメータテーブルに従って、レイヤ2ファイアウォールルールを設定するように構成される、
    請求項8に記載の端末装置。
  10. 前記設定モジュールは、さらに、予め設定された少なくとも1つのVLANに従って、前記VLAN内の各ポートの接続性を取得し、各2つのポート間の接続性を1ビットのプリセット数値で示し、各ポートの接続性に対応するプリセット数値を符号化し、得られた符号値からなるパラメータテーブルを作成し、前記VLANパラメータテーブルを得るように構成される、
    請求項9に記載の端末装置。
  11. 前記設定モジュールは、さらに、前記VLANパラメータテーブルから符号値を抽出し、レイヤ2ファイアウォールEbtablesの転送forwardリンクと、ネットワークカード入力パラメータ及びネットワークカード出力パラメータと、廃棄DROP処理コマンドとによって各前記符号値を設定し、対応するレイヤ2ファイアウォールルールを得るように構成される、
    請求項9に記載の端末装置。
  12. 各LAN側ポートから入力されるすべてのデータストリームメッセージを監視し、レイヤ3データストリームメッセージ及びレイヤ2データストリームメッセージを含む前記データストリームメッセージのデータストリームメッセージタイプを判定するように構成されるメッセージ監視モジュールをさらに備える、
    請求項8から11のいずれか1項に記載の端末装置。
  13. 前記データストリームメッセージタイプがレイヤ3データストリームメッセージであると判定する場合、プリセットのルーティングテーブルに従って、前記レイヤ3データストリームメッセージをデータ転送するように構成される実行モジュールをさらに備える、
    請求項12に記載の端末装置。
  14. 前記メッセージ監視モジュールは、さらに、各LAN側ポートから入力されるすべてのデータストリームメッセージを前記ファイアウォールフレームワークのフックHOOK機能によってキャプチャするように構成され、
    前記レイヤ2ファイアウォールがレイヤ2ファイアウォールEbtablesユーザ空間工具で設定される、
    請求項12に記載の端末装置。
JP2019524023A 2016-11-09 2017-11-01 Vlan実現方法および端末装置 Active JP6860663B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610988519.4A CN108063715B (zh) 2016-11-09 2016-11-09 虚拟局域网实现方法和终端设备
CN201610988519.4 2016-11-09
PCT/CN2017/108921 WO2018086475A1 (zh) 2016-11-09 2017-11-01 虚拟局域网实现方法和终端设备

Publications (2)

Publication Number Publication Date
JP2019534652A true JP2019534652A (ja) 2019-11-28
JP6860663B2 JP6860663B2 (ja) 2021-04-21

Family

ID=62109465

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019524023A Active JP6860663B2 (ja) 2016-11-09 2017-11-01 Vlan実現方法および端末装置

Country Status (4)

Country Link
US (1) US11171921B2 (ja)
JP (1) JP6860663B2 (ja)
CN (1) CN108063715B (ja)
WO (1) WO2018086475A1 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020085545A1 (en) 2000-12-28 2002-07-04 Maple Optical Systems, Inc. Non-blocking virtual switch architecture
US20030229810A1 (en) * 2002-06-05 2003-12-11 Bango Joseph J. Optical antivirus firewall for internet, LAN, and WAN computer applications
CN1315296C (zh) 2003-07-11 2007-05-09 华为技术有限公司 多端口虚拟局域网系统中的组播数据转发方法
CN100461732C (zh) 2006-06-16 2009-02-11 华为技术有限公司 一种以太技术交换和转发的方法、系统和设备
CN101267331A (zh) * 2008-04-23 2008-09-17 华为技术有限公司 一种组播转发表查找方法和装置
CN101494600B (zh) * 2008-11-21 2011-08-31 深圳市共进电子有限公司 Adsl终端镜像监控报文信息的网络配置方法及装置
EP2326129B1 (en) * 2009-11-20 2016-07-13 Alcatel Lucent Allocating an IP subnet address in a local network comprising a plurality of devices and connected to the internet
CN103763407A (zh) * 2014-01-28 2014-04-30 上海斐讯数据通信技术有限公司 二层虚拟局域网实现地址解析协议代理方法及局域网系统
CN106789425B (zh) * 2016-12-22 2019-08-02 北京东土科技股份有限公司 一种确定重复报文的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JOAKIM TJERNLUND: "[Bridge] RFC: Simple Private VLAN impl.", [ONLINE], JPN6020019299, June 2009 (2009-06-01), ISSN: 0004280769 *

Also Published As

Publication number Publication date
CN108063715B (zh) 2021-05-11
CN108063715A (zh) 2018-05-22
US20200304468A1 (en) 2020-09-24
US11171921B2 (en) 2021-11-09
WO2018086475A1 (zh) 2018-05-17
JP6860663B2 (ja) 2021-04-21

Similar Documents

Publication Publication Date Title
US8199753B2 (en) Forwarding frames in a computer network using shortest path bridging
US9742693B2 (en) Dynamic service insertion in a fabric switch
JP6106750B2 (ja) 仮想ネットワークおよび物理ネットワークを統合するための方法およびシステム
CN102804693B (zh) 用于在ip网络上实现l2 vpn的方法和设备
EP3240250B1 (en) Virtual router terminating an overlay tunnel in a storage area network
JP5054056B2 (ja) ネットワークシステム、コアスイッチ、エッジスイッチ、データ中継方法
KR101341272B1 (ko) 다지점 링크를 포함하는 지점간 통합 논리 데이터 링크
EP2202923A1 (en) Routing frames in a computer network using bridge identifiers
CN104937885A (zh) 用于结构交换机的全局vlan
WO2018149338A1 (zh) 基于sdn的远端流镜像控制方法、实现方法及相关设备
CN102469004A (zh) 虚拟机网络系统及其创建方法
US20160134513A1 (en) Concerted Multi-Destination Forwarding in a Joint TRILL Fabric and VXLAN/IP Fabric Data Center
WO2015106680A1 (zh) 堆叠实现方法及可堆叠设备
CN104092684A (zh) 一种OpenFlow协议支持VPN的方法及设备
WO2015196923A1 (zh) 一种发送信息的方法和网络装置
JP2010516136A (ja) プロバイダ・バックボーン・ブリッジによる制御フレーム処理
JP6860663B2 (ja) Vlan実現方法および端末装置
TWI575909B (zh) 網路分組系統及其網路分組方法
JP3825332B2 (ja) タグ変換によるlan間の接続方法及びタグ変換装置
JP7273125B2 (ja) BIERv6パケットを送信するための方法および第1のネットワークデバイス
JP5458340B2 (ja) ネットワーク中継装置
JP2006279771A (ja) パケット伝送方式およびパケット伝送プログラム
WO2023143186A1 (zh) 一种数据传输方法、系统及装置
WO2016192208A1 (zh) 虚拟局域网vlan过滤处理方法及装置
WO2024188167A1 (zh) 一种基于隧道技术的报文处理方法以及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190508

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210302

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210326

R150 Certificate of patent or registration of utility model

Ref document number: 6860663

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250