TWI279719B

TWI279719B - Network device for inter-domain communications

Info

Publication number: TWI279719B
Application number: TW094121526A
Authority: TW
Inventors: Tuyen Nguyen
Original assignee: Nokia Corp
Priority date: 2004-06-30
Filing date: 2005-06-28
Publication date: 2007-04-21
Also published as: BRPI0513201A; EP1766559A2; WO2006005995A3; US7296092B2; RU2357281C2; EP1766559A4; CN100472487C; KR20070034606A; WO2006005995A2; RU2007102692A; CN1981268A; US20060005185A1; KR100859529B1; TW200612335A; JP2008504777A

Description

1279719 九、發明說明：【發明所屬之技術領域】本發明是關於電腦網路，特別是關於安裝用於啟動網域間通訊的虛擬交換器。【先前技術】牆包防火牆通常被安裝用於防止對私人網路進行未授權的存取。防火牆可能藉由控制對私人網路内資源的存取 =將私人網路設置成與網際網路隔離。例如，防火牆可，禁止未授權的網際網路使用者對私人網路内資源進行 ^取。進入和離開私人網路的封包都必須先轉交給防火防火牆可能阻絕不符合所設定之安全檢查標準的封的部門防火牆再送到其他地方 -個組織可能有多個部門，每個部分具有自己的防 2。通常，要送到部門内某—台主機的封包在送到目的主機之前會先傳酬該朝的防火^同樣地， 2台主機送㈣-個封包通常也會先經由該主機所屬封包可能由防火牆傳火牆【發明内容】以下詳細說明，並參照圖同的部分及構件。所舉實圍，本發明的範圍是由所本發明的不同實施例將在示，其中相同的代號碼代表相施例並不代表限定本發明的範 1279719 • 附的專利申請範圍來界定。此外，此文件揭示的實施例並不意在限定而只是行示本發明範圍的諸多可能實施例中的一部份，簡言之，本發明是關於一種裝置，用於包含多個虛擬系統網域的多網域電腦系統，每個網域均具有一相關 ’ 的獨立的路由裝置。一虛擬交換器是用來轉送網域之間的封包。虛擬交換器可能設定為運作如同實質的第二声交換器一樣。虛擬交換器以及虛擬網域是由虛擬介面戶^ 連結，其中虛擬交換器，虛擬網域，以及虛擬介面可能 φ 都是以軟體來建立。此外，通訊協定如位址解析協定 (ARP) ’網際網路協定(IP)，以及/或者網際網路協定版本六(IPv6)，以及類似的協定，可能以在實際乙太網路上的相同方式運作於虛擬介面上。並且，每個網域可能包含與乙太網路驅動程式相同運作方式的軟體驅動程式，並具有一類似乙太網路的位址，用作實際的位址。在一實施例中，類似乙太網路的位址為48位元。【實施方式】，圖1顯示系統1⑼的方塊圖。系統100包含主機裝 •置 110-118，集線器 12ι_ΐ23，路由器 m-133 和 M1，以及^部網路110。系統100可能包含比圖i為說明所示的範例更多的元件。主機裝置110-118的每個可能虛擬地包含任何計算裝置，用來連接另一個計算裝置2 送並接收資訊。這樣的裝置組可能包含通常使用有線通訊媒介來作連接的裝置，例如個人電腦，多處理器系'統， 6 1279719 多處理器為基礎的或可程式的消費性電子裝置，網路 pc，以及類似之物。這樣的裝置組可能包含通常使用無線通訊媒介來作連接的裝置，例如行動電話，智慧型手機，呼叫器，對講機，射頻(RF)裝置，紅外線(IR)裝置， CBs，整合裝置包含前述的一種或多種裝置，以及類似之物。另外，用戶端裝置110_118中的一個或多個可能是任何可以經由有線或無線通訊媒介連接的裝置，如 PDA , POCKET PC，可穿戴式電腦，以及任何其他具備 ® 有線或無線通訊媒介的裝置。 ~ 集線器121_123為網路裝置，其中每個裝置是安排為提供其一個轉接器上接收的封包給其他的每個轉接器。集線器12M23在系統1〇〇中為選擇性的元件，如果使用其他的拓樸學則不一定需要。路由器13M33和141是被安排為基於一種或多種網路協定來轉送封包，包含但不限定於ARp，RARp， ^ IpvX(如1Pv4或1pv6)，以及類似之協定。再者，路由器 φ M1可能是閘道路由器。同時，路由器13M33可能二個都包含一防火牆。每個防火牆可能包含一個或多鼻裝置，設疋為保護某一資源，例如資源伺服器，在局部處理的安全週邊，不致遭外部的不受歡迎之存取每個防火牆可能實施為過濾器，閘道，網路位置^ 。 (NAT) ’以及其他類似物，用來最小化不受歡迎之^ 存取。 ^ 外部網路110可能虛擬地包含任何的外部網路，例 1279719 如網際網路。網路110可能採媒體用作一個電子裝置與另一任何形式的電腦可讀之時，網路110可包含區、域網d的通訊資訊。同 (WAN)，直接連線，例如經由一 =ANs)，廣域網路的電腦可讀之雜，或任_式 1料，其他型式區域網路(LANs)，包含那些基於不同；構=== 區域網路，-個路由器可能扮演LANs、之疋：將訊息由一個LAN送到另一個之間的連π，以邙徨缺，5杳勹入雒β括* 隹1 °同時’ LAN之間的通訊，結通*包含雙絞線或同軸電規，㈣網路之間的通 ”可能使用類比式電話線路，的二 VT2，T3*T4，___ (ISDNs) ’數位用戶迴路，無線連結包含衛星連線，或其他熟知本領域技術者已知的通訊連線。網路110可能進-步地採用多種無線存取技術，包含但不限定於，第二代蜂巢式無線電通訊(2G)，第三代蜂巢式無線電通訊(3G)技術，無線區域網路(WLAN)，無線路由器（WR)，以及類似之技術。存取技術如2(3，3(}，以及未來的存取網路可能達成廣域涵蓋的行動裝置以及不同等級的機動性(mobility)。例如，網路no可能經由一無線電網路存取如(GSM)，整合封包無線電服務技術 (GPRS)，增強型數據GSM環境(EDGE)，寬頻分碼多重存取(WCDMA)，以及類似的技術而能建立無線電連結。進一步地，遠端的電腦和其他相關的電子裝置可以由遠端經由一數據機及電話線路連接到LAN或WAN。 8 1279719

此外，網路110可能包含通訊媒介，通常是以電腦可讀的指令，資料結構，程式模組實現的通訊媒介，或是其他包含於調變資料訊號如載波，資料訊號，或其他傳送機制並包含任何資訊傳遞媒介。例如，通訊媒介包括有線媒介例如，但不僅限於，雙絞線，同轴電纔，光纖，波導，以及其他有線媒介以及無線媒介，例如，但不僅限於，聲音，RF，紅外線，以及其他無線媒介。系統100可能由一包含數個部門的商業或私人機構來實行。例如，主機1HM12可能屬於某個部門而主機 113-115可能屬於另一個部門，而主機116-116可能又是位於另一個部門。系統100可能包含比圖1所示的更多個部門’主機，路由器，以及其他網路元件。系統1〇〇 I能實施用作主機11(M18之間的通訊，與系統1〇〇内資源的通訊，與外部網路110之間的通訊。同時，路由器13丨可能包含一防火牆供主機110-112所屬的部門使用，路由器132可能包含一防火牆供主機113-115所屬的部門使用’路由器133可能包含—防火牆供主機 116七8所屬的部門使用，這些防火牆的使用可能是為安全的目的或類似的目的。圖2顯示系統200的方塊圖。系統2〇〇中的元件運 f可能與系統⑽中類似名稱的元件相同，也可能以些 dt方式運作。系統2〇0進一步地包含多網域電腦夕、、周域電腦系統250的實施例的細節將描述於下。 9 1279719 ί網域電腦系統250為一包含多個虛擬系統網域的電私系统，每個均具有一獨立的路由裝置。在此處的虛<擬系統網域也可被稱為“虛擬網路裝置，，。多網域，腦系統25〇可能虛擬地包含任何數目的虛擬網路裝 I網以有一些虛擬網路裝置或是數百個或更多的虛

、藉由實施多網域電腦系統250而非實體的路由器，防二:’路由網路裝置，以及類似物，可以節省可觀的。大量的實體網路裝置可以被多網域電腦系統。虛擬網路裝置的運作與實體的網路裝置相同且可此採行相同的通訊協定，但是以多網域電腦系統 250中的軟體來實施。圖3顯示多網域電腦系統35〇的一實施例之方塊圖，多網域電腦系統350的運作可能與圖2的多網域電腦系統250非常相似，也可能在某些方面不同。多網域電腦系統350包含轉接器371_373,處理器38〇,以及記憶體382。記憶體382包含程式例如多網域模組385。轉接器371-373可能分別連接到實體介面U-L3。多網域電腦系統350可能包含比圖中所顯示還多的元件。然而，所顯示的元件已足以用來說明本發明的範例實施例。記憶體382可能包含一大量記憶體如RAM, R〇M，以及一個或多個固定的大量儲存裝置，例如硬碟以及類似物。大量記憶體可能儲存包含程式段(e〇de segment) 或類似物的軟體程式。儲存於記憶體382的軟體程式可 10 1279719 能包含多網域模組385。在一竇絲加击々, 為單-個程式。在另一二Λ例中’多網域模組385 多個程式，彼此為獨立運作列I ’多網域模組385包含州亦w彼為獨運作。在任何情形，多網域模組 =5 包含用來建立虛_ 以及 =3;段’以及用來進行建立虚== 及虛擬交換器的功能的程式段，以下將有較

382ifi38G可能設定為進行由軟體程式如記憶體採51 ^ ’域模組385中取得和解碼程式段的運作。處 ii可能進一步設定為與轉接器ms之間通訊。轉接器371_373設定為在網路上傳送和接收封包。有時一個轉接器亦稱為傳收器(transceiver)，傳收裝置，驅動器或網路介面。 —、在由處理器380取得和解碼時，多網域模組385設疋為建立虛擬網路裝置，並提供虛擬網路裝置之間的通訊。多網域模組385也可能安排為提供虛擬網路裝置和實體網路之間的通訊，經由一個或多個轉接器來通訊，例如轉接器371-373。圖4顯示一個多網域電腦系統45〇的方塊圖。多網域電腦系統450中的元件的運作可能與多網域電腦系統 350中類似名稱的元件相似，也可能在某些方面不同。多網域電腦系統450包含虛擬網路裝置461-463，以及虛擬介面VL1-VL3。虛擬網路裝置461-463以及虛擬介面VL1_VL3可能建立並運作於軟體中，例如圖3中的多 11 1279719 網域模組385。電腦系統450中的虛擬介面(例* vli_vl3) 1 點對點連結，用來作多網域電腦系統 450中虛 .H f (例如461-463)之間的通訊。虛擬網路裝置 461-463中的每個可能有一對應的獨有路由裝置。在一實施例中，虛擬網路裝置461-463為虛擬路由^。 ”置461·463中的一個或多個可能包含防火踏。虛擬網路裝置461_463可能是分開的且彼此獨立運參作。此外，虛擬網路裝置461-463之間的通訊可能藉由在虛擬介面VL1-VL3上採用網路協定，包含但不限定於 ARP，RARP，ΙΡνΧ，以及類似的協定而達成。虛擬網路裝置461-463中的一個或多個也可能伴隨一實體介面，例如實體介面L1_L3。在虛擬介面（例如VLi-VL3) 上的封包傳輸以及實體介面（例如L1-L3)上的傳輸可能是以本質上相同的方式達成，並採用與實體路由器相同的網路協定。然而，虛擬介面VL1-VL3上的封包傳輸是 ⑩以軟體方式達成，然而其中實體介面L1-L3上的封包傳輸可能是以實體轉換器達成，如圖3上的轉換器 371-373 〇 "" 圖4所示的拓樸(topology)，採用點對點的虛擬介面，具有限的擴展性。一具有改進的擴展性之拓樸顯示於圖5。圖5列示一多網域電腦系統55〇的實施例之方塊 12 1279719 圖。多網域電腦系統550中的元件的運作可能與圖3中多網域電腦系統350中類似名稱的元件相似，也可能在某些方面不同。多網域電腦系統550包含虛擬網路裝置 561-563,以及虛擬介面VL4-VL6,以及虛擬交換器590。在多網域電腦系統550中的處理器（例如圖3中的處理器380)可能設定為使用指令(例如，由圖3中的多網域模組380)來建立並控制虛擬網路裝置561-563，虛擬介面VL4-VL6，以及虛擬交換器590的運作。在一實施例中，在建立新的虛擬網路裝置時（例如虛擬網路裝置 563)，一相關的虛擬介面（例如虛擬介面VL6)亦被建立，與新建立的虛擬網路裝置和虛擬交換器590結合。虛擬網路裝置561-563分別與虛擬介面VL4-VL6結合。虛擬網路裝置561-563也可能分別與實體介面L1-L3 結合。虛擬交換器590與虛擬介面VL4-VL6結合。虛擬網路裝置561-563與圖4中的虛擬網路裝置461-463相當類似，除虛擬網路裝置561-563是用來與虛擬交換器 590通訊，分別藉由使用虛擬介面VL4-VL5。再者，虛擬交換器590可能設定成運作為第二層交換器，第三層交換器，或類似者。在一實施例中，虛擬交換器590設定成運作為包含一鄰近快取表格的第二層交換器。在此實施例中，每當封包於虛擬交換器590由一相連介面(例如VL4，VL5或VL6)接收時，虛擬交換器590 可能加入一個項目。此項目可能包含一位址欄位，用來 13 1279719 指示接收封包的來源位址，以及介面欄位用來指示封包是由哪一個介面到達。此項目可能也包含一個時間攔位表示封包被接收的時間。若封包到達虛擬交換器59〇相連的介面之一，且封包的目的地位址與鄰近快取表格上的一位址攔位相同，則虛擬交換器59〇將此封包轉送到鄰近快取表格上的該項目的介面欄位中所指示的介面。若封包由虛擬交換器590轉送到一虛擬介面，處理器藉由使用指令(例如位於多網域模組38〇上的指令）來傳輸封包到虛擬介面。在一實施例中，每個虛擬網路裝置(例如561_563) 對與此虛擬網路裝置相連的虛擬介面，均有—相對應的虛擬轉。虛擬轉包含—軟體独，可能盘實體路由器上的乙太網路驅動程式的運作方式本質相同。在 -實施例中’虛擬轉換器有—對應的IP位址。同時，虛擬轉換器可能具有一對應的48位元實體位址。實=中，48位元實體位址為一乙太網路位址。在另-實_中，實體位址為—48位元的類似乙太網路的位址，本質是與乙太網路位址相同，除盆必須在多網域電腦系統550中為唯一但網 :是唯-的。在-實施例中，多網域電腦系=、= 母個虛擬網路裝置包含-個唯1 32位元網別碼’其中48位元實體位址的較低3 唯二 32位元網域識別碼。丨馮此唯的若封包由-個虛擬網路裝置傳到一虛擬介面，處理 14 1279719 器藉由使用指令(例如位於多網域模組38G上的指令)來傳輸封包到虛擬介面。若虛擬網路裝置（例如561_563) 中的-個裝置要傳送封包到實體介面，處理器(例如處理器36〇)啟動相連於實體連結的實體轉換器來傳輸封包到該實體介面，部分是基於某一網路協定。由上層的協定以及每個虛擬網路裝置(例如561_563) 上的應用程式來看，經由虛擬交換器590可連接到其他虛擬網路裝置。同時，由多網域電腦系統55〇外的網路裝置來看，虛擬網路裝置561-563以及虛擬交換器590 被視為實體的且為分開的裝置。在一實施例中，虛擬交換器590為一虛擬的VLAN 感知的（VLAN-aware)乙太網路交換器。乙太網路訊框 (Ethernet frame)可能被用再第二層封包傳輸中。每個乙太網路訊框可能使用乙太網路標頭格式，包含用在 VLAN的格式。每個乙太網路訊框的標頭包含目的地，來源，以及協定類型。使用VLAN可讓多組的虛擬裝置邏輯地連接在一起成為一個VLAN。虛擬網路裝置 461-463可能每個都屬於一個或多個VLAN。邏輯的 VLAN連結可能由標籤(tagging)明確地定義，或經由虛擬交換器590採用的會員規則來非明確地(impiicitiy)定義。使用VLAN感知的(VLAN_aware)交換器也可能允許一封包轉送到一組虛擬裝置而不廣播此封包到每一値連接到虛擬交換器590的裝置。前面的說明，範例以及資料，提供關於製造以及使 15 1279719 用本發明的描述。由於可以產生許多本發明的實施例且均不悖離本發明的精神及領域，本發明之範圍亦由後面所附的申請專利範圍來定義。【圖式簡單說明】圖1列示出經由網路通訊的一種系統之方塊圖；圖2顯示經由網路通訊的另一種系統之方塊圖，其 • 中包含一種多網域之電腦系統；圖3為一多網域電腦系統之實施例的方塊圖；圖4顯示一多網域電腦系統之方塊圖；圖5顯示一多網域電腦系統之另一實施例的方塊圖’其中依據本發明的觀點採用虛擬交換器。【主要元件符號說明】 100 系統 121-123集線器 131-133 、 141 、 241 210 網路 371-373 轉換器 382 記憶體 110-118 主機路由器 250 多網域電腦系統 380 處理器 385 多網域模組 461-463、561-563虛觀網路裝置 590 虛擬交換器 16

Claims

1279719 ‘申請專利範園：域間通訊用網路裝置’包含：和接收封包ur在部分从網路協定的、上偟 ^來進行運作處理器，包含. 傳輪收封 :封包，其中多個介面包含：2-個介面上接面中另一個介面上的封包。錢獻提供在這些介擬的2第的網路裝置’其中虛擬交換器為一虛擬項1的網路裝置’其中虛擬交換器為一虛擬的VLAN-感知的乙太網路交換器。 4. 如請求項1的網路裝置，其中牛擬網路裝置，其中多個虛擬網路ί/中的母個可用來接收並將接收的封包傳送到一分開的，部分基於網路協定的虛擬介面。 5. 如請求項4的網路裝置，其中網路龄包含至少一個網際網路協定以及一位址解析協定。 17 1279719 6.如請求項4的網路裝置，其中多個虛擬網路裝置中的每個是一虛擬路由器。 ’ 7.如請求項4的網路裝置，其中多個虛擬網路裝置中的至少一個為一防火踏。 8.如請求項4的網路裝置，其中多個虛擬網路裝置 ❿ 中的每個都具有一個唯一的實體位址。 9.如請求項8的網路裝置，其中每個唯一的實體位址為一 48位元的類似乙太網路的位址。 10如請求項1的網路裝置，其中虛擬交換器設定為藉由進行以下的運作來提供其他多個介面封包，包含：決定是否封包的目的地位址包含於虛擬交換器相連的鄰近快取表格，以及若封包的目的地位址包含於鄰近快取表格，提供封包於多個虛擬介面之其中一個上，其位址為鄰近快取表格上所指示的目的地位址。 1L如請求項10的網路裝置，其中虛擬交換器進一步地設定為：在鄰近快取表格上加入一個項目，此項目包含封包 18 1279719 20. —種網域間通訊用裝置，包含：用來建立虛擬交換器的裝置，此虛擬交換器能與包含至少三個虛擬介面的多個介面相連；以及若封包由虛擬交換器於多個介面中的一個接收時，使虛擬交換器能將封包提供給另一介面的裝置。 21