Claims (13)
1. Способ реализации защитного изолирования сервисов сети Ethernet, включающий следующие шаги:1. A method for implementing protective isolation of Ethernet network services, comprising the following steps:
1.1 добавление дополнительного сегмента в кадр Ethernet для идентификации разных сервисов пользователя, сегмент состоит из n байт, а n имеет значение, связанное с форматом сегмента;1.1 adding an additional segment to the Ethernet frame to identify different user services, the segment consists of n bytes, and n has a value associated with the format of the segment;
1.2 ввод сервиса пользователя в сети передачи данных провайдера и добавление идентификатора в дополнительный сегмент кадра Ethernet;1.2 entering the user service in the provider's data network and adding the identifier to the additional Ethernet frame segment;
1.3 обработка коммутации/маршрутизации; и1.3 switching / routing processing; and
1.4 удаление идентификатора пользователя и восстановление кадра Ethernet, когда сервис пользователя покидает сети передачи данных.1.4 deletion of the user ID and recovery of the Ethernet frame when the user service leaves the data network.
2. Способ по п.1, отличающийся тем, что на шаге 1.2 сервис пользователя, поступающий в физический интерфейс, маркируют в определенном формате идентификатором пользователя, назначенным физическому интерфейсу, подключающему данный сервис пользователя.2. The method according to claim 1, characterized in that in step 1.2, the user service arriving at the physical interface is marked in a specific format with the user identifier assigned to the physical interface connecting the given user service.
3. Способ по п.1 или 2, отличающийся тем, что на шаге 1.4, когда сервис пользователя обрабатывают в определенном физическом интерфейсе, идентификатор пользователя данного сервиса пользователя сравнивают с идентификатором пользователя физического интерфейса; если эти два идентификатора совпадают, то сервис пользователя проходит, в противном случае сервис отбрасывают.3. The method according to claim 1 or 2, characterized in that in step 1.4, when the user service is processed in a specific physical interface, the user identifier of this user service is compared with the user identifier of the physical interface; if these two identifiers match, then the user service passes, otherwise the service is discarded.
4. Способ по п.1 или 2, отличающийся тем, что на шаге 1.3: на основе идентификаторов пользователя поддерживают таблицу уникальных адресов MAC для каждого идентификатора пользователя посредством определения и поиска адресов MAC; для формирования действительного виртуального моста в физическом интерфейсе, включенном в каждый идентификатор пользователя, генерируют уникальное связующее дерево; причем в указанном виртуальном мосте одни и те же адреса MAC могут быть использованы в таблицах адресов MAC разных идентификаторов пользователя.4. The method according to claim 1 or 2, characterized in that in step 1.3: based on user identifiers, a table of unique MAC addresses for each user identifier is maintained by determining and searching for MAC addresses; to form a virtual virtual bridge in the physical interface included in each user identifier, generate a unique spanning tree; moreover, in the indicated virtual bridge the same MAC addresses can be used in the MAC address tables of different user identifiers.
5. Способ по п.3, отличающийся тем, что на шаге 1.3: на основе идентификаторов пользователя поддерживают таблицу уникальных адресов MAC для каждого идентификатора пользователя посредством определения и поиска адресов MAC; для формирования действительного виртуального моста в физическом интерфейсе, включенном в каждый идентификатор пользователя, генерируют уникальное связующее дерево; причем в указанном виртуальном мосте одни и те же адреса MAC могут быть использованы в таблицах адресов MAC разных идентификаторов пользователя.5. The method according to claim 3, characterized in that in step 1.3: based on user identifiers, a table of unique MAC addresses for each user identifier is maintained by determining and searching for MAC addresses; to form a virtual virtual bridge in the physical interface included in each user identifier, generate a unique spanning tree; moreover, in the indicated virtual bridge the same MAC addresses can be used in the MAC address tables of different user identifiers.
6. Способ по п.1, отличающийся тем, что на шаге 1.3 уникальное связующее дерево генерируют для каждого пользовательского идентификатора, чтобы избежать лавины пакетов с групповой адресацией.6. The method according to claim 1, characterized in that in step 1.3 a unique spanning tree is generated for each user identifier in order to avoid an avalanche of multicast packets.
7. Способ по п.1, отличающийся тем, что на шаге 1.3: использования идентификаторов VLAN для разных идентификаторов пользователя полностью изолированы, и пользователь использует идентификаторы VLAN для реализации изолирования внутренней сети.7. The method according to claim 1, characterized in that in step 1.3: the use of VLAN identifiers for different user identifiers is completely isolated, and the user uses VLAN identifiers to implement isolation of the internal network.
8. Способ по п.7, отличающийся тем, что на шаге 1.3: в физических интерфейсах, подключающих сервис пользователя, внутреннее изолирование сервиса задают в зависимости от того, используют или нет идентификатор VLAN, выбирая способы использования идентификатора VLAN через управление сетью.8. The method according to claim 7, characterized in that in step 1.3: in the physical interfaces connecting the user service, the internal isolation of the service is determined depending on whether or not the VLAN identifier is used, choosing how to use the VLAN identifier through network management.
9. Способ по п.1, отличающийся тем, что на шаге 1.3: для каждого идентификатора пользователя обеспечивают уникальный режим сервиса групповой адресации, в котором режим сервиса групповой адресации содержит режим протокола динамической групповой адресации и режим конфигурации статической групповой адресации; причем режим протокола динамической групповой адресации означает, что интерфейс сервиса в сервисе групповой адресации определяется протоколом динамической групповой адресации, а протокол динамической групповой адресации содержит протокол ICMP и протокол GMRP (согласно RFC 2236 и IEEE 802.1 q); режим конфигурации статической групповой адресации определяет интерфейс сервиса в сервисе групповой адресации через конфигурацию пользователя вручную посредством управления сетью.9. The method according to claim 1, characterized in that at step 1.3: for each user ID, a unique multicast service mode is provided, in which the multicast service mode includes a dynamic multicast protocol mode and a static multicast configuration mode; moreover, the dynamic multicast protocol mode means that the service interface in the multicast service is determined by the dynamic multicast protocol, and the dynamic multicast protocol contains ICMP and GMRP (according to RFC 2236 and IEEE 802.1 q); The static multicast configuration mode defines the service interface in the multicast service through manual configuration of the user through network management.
10. Способ по п.9, отличающийся тем, что на шаге 1.3 каждый идентификатор пользователя конфигурирует режим сервиса групповой адресации посредством управления сетью, а режим сервиса, который должен быть выбран, включает в себя режим протокола динамической групповой адресации и режим конфигурации статической групповой адресации.10. The method according to claim 9, characterized in that in step 1.3, each user identifier configures the multicast service mode through network management, and the service mode to be selected includes a dynamic multicast protocol mode and a static multicast configuration mode .
11. Способ по п.1, отличающийся тем, что на шаге 1.2 идентификатор пользователя назначают каждому физическому интерфейсу, при поступлении сервиса в интерфейс сервис маркируют идентификатором пользователя, который не изменяется во всей сети до тех пор, пока сервис не покинет интерфейс и не достигнет пользовательского устройства, затем идентификатор пользователя удаляют, и сервис окончательно достигает пользовательского устройства, посредством чего сервис передают прозрачным образом.11. The method according to claim 1, characterized in that in step 1.2, a user identifier is assigned to each physical interface, when a service arrives at the interface, the service is marked with a user identifier that does not change throughout the network until the service leaves the interface and reaches the user device, then the user ID is deleted, and the service finally reaches the user device, whereby the service is transmitted in a transparent manner.
12. Способ по п.1, отличающийся тем, что дополнительный сегмент в кадре Ethernet использует формат, включающий в себя совместимый формат MPLS, наращиваемый формат VLAN или специальный формат, чтобы реализовать соединение между множеством устройств.12. The method according to claim 1, characterized in that the additional segment in the Ethernet frame uses a format that includes a compatible MPLS format, a stackable VLAN format, or a special format to implement a connection between multiple devices.
13. Способ по п.12, отличающийся тем, что параметры конфигурации задают в физических интерфейсах посредством управления сетью, чтобы обеспечить для дополнительного сегмента в кадре Ethernet совместимый формат MPLS, наращиваемый формат VLAN и специальный формат.13. The method according to p. 12, characterized in that the configuration parameters are set on the physical interfaces by means of network management, in order to provide a compatible MPLS format, an extensible VLAN format and a special format for an additional segment in an Ethernet frame.