專(zhuān)利名稱(chēng):二層vlan端口隔離的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種二層VLAN(虛擬局域網(wǎng))����,尤其涉及一種二層VLAN的端口隔離方法。
背景技術(shù):
目前���,寬帶上網(wǎng)以其傳輸文件流量大��、穩(wěn)定倍受用戶(hù)歡迎���,其也正被越來(lái)越多的人接受,并獲得了大規(guī)模的商業(yè)應(yīng)用。寬帶技術(shù)主要是通過(guò)將用戶(hù)接入交換機(jī)而實(shí)現(xiàn)��,并且一般對(duì)用戶(hù)上網(wǎng)的控制方式是采用PPPOE(基于以太的點(diǎn)到點(diǎn)協(xié)議)認(rèn)證����,該協(xié)議能驗(yàn)證用戶(hù)帳號(hào)的合法性并同時(shí)對(duì)用戶(hù)計(jì)費(fèi)。
PPPOE認(rèn)證可以直接由接入交換機(jī)內(nèi)嵌的BRAS(寬帶認(rèn)證服務(wù)器)在本地提供認(rèn)證服務(wù)����,也可以通過(guò)將PPPOE數(shù)據(jù)包透?jìng)鞯竭h(yuǎn)程BRAS進(jìn)行認(rèn)證?;谠搮f(xié)議,VLAN在組網(wǎng)時(shí)��,用戶(hù)間的數(shù)據(jù)包可以透?jìng)?,但這些數(shù)據(jù)包包括用戶(hù)的ARP(地址解析協(xié)議)請(qǐng)求等,這樣�����,同一VLAN(虛擬局域網(wǎng))下的用戶(hù)就可以互通��,降低了網(wǎng)絡(luò)的安全性���,同時(shí)�,該組網(wǎng)方式會(huì)造成廣播域變大,既浪費(fèi)了用戶(hù)的帶寬���,又造成了用戶(hù)間的互通����,降低了安全性���、可靠性。尤其是對(duì)于機(jī)架式設(shè)備�����,隨著業(yè)務(wù)板卡的增多��,這些問(wèn)題就表現(xiàn)得越嚴(yán)重�。
發(fā)明內(nèi)容
針對(duì)上述VLAN寬帶網(wǎng)絡(luò)認(rèn)證中所存在的問(wèn)題和不足,本發(fā)明的目的是提供一種安全性高�����、網(wǎng)速更快��、組網(wǎng)更容易的二層VLAN的端口隔離方法���。
本發(fā)明是這樣實(shí)現(xiàn)的在該VLAN業(yè)務(wù)板上的FPGA(大型可編程門(mén)陣列)中增加用戶(hù)端口限制模塊�,該用戶(hù)端口限制模塊用于限制到用戶(hù)的下行廣播;業(yè)務(wù)板接收到從主控板下行的報(bào)文�,所述用戶(hù)端口限制模塊對(duì)該報(bào)文進(jìn)行判斷,若是廣播報(bào)文�,則將其丟棄;若是其他報(bào)文����,則放行。
進(jìn)一步地��,所述廣播報(bào)文具體為ARP請(qǐng)求���。
進(jìn)一步地�����,所述用戶(hù)端口限制模塊判斷報(bào)文具體是通過(guò)標(biāo)志VLAN端口位圖來(lái)實(shí)現(xiàn)的��。
進(jìn)一步地�����,所述標(biāo)志VLAN端口位圖即是將該端口的廣播域位置零�����。
進(jìn)一步地���,可根據(jù)需要將VLAN端口的廣播域位置零或一�����。
本發(fā)明通過(guò)在業(yè)務(wù)板上的FPGA中增加用戶(hù)端口限制模塊�,并通過(guò)該用戶(hù)端口限制模塊將FPGA數(shù)據(jù)結(jié)構(gòu)中的VLAN轉(zhuǎn)發(fā)表項(xiàng)中的端口位圖的標(biāo)志信息修改�����,將其廣播域關(guān)閉���,即可禁止該VLAN端口的下行廣播,即可實(shí)現(xiàn)用戶(hù)間的隔離�����,大大提高了用戶(hù)的安全性�����,并且,禁止下行廣播后�����,下行廣播將不再占用帶寬����,整個(gè)網(wǎng)絡(luò)的通信速率也會(huì)增大;并且���,該方法僅限制ARP請(qǐng)求等的廣播報(bào)文����,不影響其他報(bào)文的傳遞�����。
下面結(jié)合附圖����,對(duì)本發(fā)明作出詳細(xì)描述。
圖1為本發(fā)明VLAN的連接結(jié)構(gòu)示意圖��。
具體實(shí)施例方式本發(fā)明是這樣實(shí)現(xiàn)二層VLAN端口隔離的在VLAN業(yè)務(wù)板上的FPGA中增加用戶(hù)端口限制模塊����,該用戶(hù)端口限制模塊用于限制到用戶(hù)的下行廣播��;業(yè)務(wù)板接收到從主控板下行的報(bào)文��,若該報(bào)文為廣播報(bào)文(ARP請(qǐng)求等)則丟棄���;如為單播報(bào)文則放行。本發(fā)明的隔離用戶(hù)端口限制模塊判斷報(bào)文具體是通過(guò)標(biāo)志VLAN端口位圖來(lái)實(shí)現(xiàn)的���,即將該端口的廣播域位置零�,端口就會(huì)禁止下行廣播��。其他端口用戶(hù)到該端口用戶(hù)的ARP請(qǐng)求等廣播報(bào)文便被丟棄�,這樣既控制了無(wú)效廣播���,又實(shí)現(xiàn)了用戶(hù)間的隔離���。并且,本發(fā)明的用戶(hù)端口限制模塊不會(huì)影響別的報(bào)文通過(guò)��;在PPPOE撥號(hào)認(rèn)證過(guò)程中���,PADI為廣播報(bào)文����,其他報(bào)文如PADO,PADS均為已知單播報(bào)文��。而PADI為用戶(hù)發(fā)向BRAS的報(bào)文�����,為上行方向�����,用戶(hù)端口限制模塊不會(huì)阻止����,所以報(bào)文可以正常到達(dá)BRAS;從BRAS向用戶(hù)發(fā)送PADO報(bào)文時(shí)���,BRAS會(huì)從其PADI報(bào)文中提取MAC信息�����,然后單播該報(bào)文����,所以報(bào)文也可以正常到達(dá)用戶(hù),這樣就保證了整個(gè)PPPOE認(rèn)證正常通過(guò)��。
如圖1所示���,為PPPOE二層透?jìng)鞴δ艿臋C(jī)架式接入交換機(jī)的組網(wǎng)結(jié)構(gòu)����,0:2接Bras�����,2:1���,3:1為用戶(hù)端口���,分別接用戶(hù)A���,用戶(hù)B���,0:2����,2:1�,3:1包含在一個(gè)VLAN里。該交換機(jī)提供用作用戶(hù)PPP認(rèn)證的接入交換機(jī)��,上行端口0:2連接寬帶認(rèn)證服務(wù)器BRAS��,下面2槽�,3槽有兩塊業(yè)務(wù)板,每塊業(yè)務(wù)板有32個(gè)用戶(hù)端口�,端口號(hào)為2:1-2:32,3:1-3:32�����。
是這樣實(shí)現(xiàn)用戶(hù)間隔離的1�����、配置VLAN���,建立二層透?jìng)鹘M網(wǎng)模式�����;2�����、配置VLAN端口隔離屬性���,在用戶(hù)端口限制模塊中增加對(duì)VLAN隔離屬性的記錄功能�,用戶(hù)端口限制模塊根據(jù)該VLAN中包含的端口信息形成端口位圖分別刷新相關(guān)業(yè)務(wù)板FPGA中的VLAN下行廣播域控制表項(xiàng)��,禁止下行廣播�����。
設(shè)置用戶(hù)端口限制模塊并開(kāi)啟后�����,同一VLAN下的用戶(hù)A和B就不可互訪��,這大大增加了用戶(hù)的安全性���。
如果需要用戶(hù)可互訪,取消VLAN端口隔離屬性,用戶(hù)端口限制模塊根據(jù)該VLAN中包含的端口信息形成端口位圖分別刷新相關(guān)業(yè)務(wù)板FPGA中的VLAN下行廣播域控制表項(xiàng)��,允許下行廣播��,用戶(hù)A和B之間就可以互訪了�。
權(quán)利要求
1.一種二層VLAN端口隔離的方法,包括以下步驟在該VLAN業(yè)務(wù)板上的FPGA中增加用戶(hù)端口限制模塊��,該用戶(hù)端口限制模塊用于限制到用戶(hù)的下行廣播�;業(yè)務(wù)板接收到從主控板下行的報(bào)文,所述用戶(hù)端口限制模塊對(duì)該報(bào)文進(jìn)行判斷��,若是廣播報(bào)文���,則將其丟棄���;若是其他報(bào)文,則放行�����。
2.如權(quán)利要求1所述的二層VLAN端口隔離的方法���,其特征在于�,所述廣播報(bào)文具體為ARP請(qǐng)求。
3.如權(quán)利要求1所述的二層VLAN端口隔離的方法���,其特征在于��,所述用戶(hù)端口限制模塊判斷報(bào)文具體是通過(guò)標(biāo)志VLAN端口位圖來(lái)實(shí)現(xiàn)的���。
4.如權(quán)利要求3所述的二層VLAN端口隔離的方法,其特征在于�,所述標(biāo)志VLAN端口位圖即是將該端口的廣播域位置零。
5.如權(quán)利要求4所述的二層VLAN端口隔離的方法����,其特征在于,可根據(jù)需要將VLAN端口的廣播域位置零或一�����。
全文摘要
本發(fā)明公開(kāi)了一種二層VLAN的端口隔離方法��。該方法包括下列步驟在該VLAN業(yè)務(wù)板上的FPGA中增加用戶(hù)端口限制模塊��,該用戶(hù)端口限制模塊用于限制到用戶(hù)的下行廣播����;業(yè)務(wù)板接收到從主控板下行的報(bào)文�����,所述用戶(hù)端口限制模塊對(duì)該報(bào)文進(jìn)行判斷,若是廣播報(bào)文����,則將其丟棄;若是其他報(bào)文��,則放行�。本發(fā)明通過(guò)在業(yè)務(wù)板上的FPGA中增加用戶(hù)端口限制模塊,并通過(guò)該用戶(hù)端口限制模塊將FPGA數(shù)據(jù)結(jié)構(gòu)中的VLAN轉(zhuǎn)發(fā)表項(xiàng)中的端口位圖的標(biāo)志信息修改�����,將其廣播域關(guān)閉�����,即可禁止該VLAN端口的下行廣播��,即可實(shí)現(xiàn)用戶(hù)間的隔離����,大大提高了用戶(hù)的安全性���;禁止下行廣播后,下行廣播將不再占用帶寬��,整個(gè)網(wǎng)絡(luò)的通信速率也會(huì)增大��。
文檔編號(hào)H04L9/00GK1538685SQ20031010188
公開(kāi)日2004年10月20日 申請(qǐng)日期2003年10月23日 優(yōu)先權(quán)日2003年10月23日
發(fā)明者趙志旺 申請(qǐng)人:港灣網(wǎng)絡(luò)有限公司