一種基于業(yè)務類型的配置端口隔離交換設備及應用方法
【技術領域】
[0001]本發(fā)明涉及電力系統(tǒng)通信技術領域,具體涉及一種基于業(yè)務類型的配置端口隔離交換設備及應用方法。
【背景技術】
[0002]隨著智能電網(wǎng)建設深化推進,電力信息通信網(wǎng)絡上承載越來越多的業(yè)務。作為電力通信網(wǎng)的重要組成部分的終端通信接入網(wǎng)提供多種電力業(yè)務的接入功能。終端通信接入網(wǎng)采用的建設和運維模式是各個業(yè)務部門按業(yè)務系統(tǒng)獨自建網(wǎng),形成了多種業(yè)務、多張網(wǎng)絡、多種通信方式并存的接入網(wǎng)現(xiàn)狀。
[0003]為了隔離業(yè)務終端的接入,每個用戶一般分配一個VLAN(Virtual Local AreaNetwork虛擬局域網(wǎng)),通過VLAN隔離將用戶業(yè)務隔離,可以防止其他業(yè)務串擾或攻擊。但是,因為VLAN的數(shù)量只有4096個,數(shù)量有限,而使用靜態(tài)VLAN隔離需占用大量資源,因此在擴展性方面存在局限性。
【發(fā)明內容】
[0004]為彌補上述缺陷,本發(fā)明提供一種基于業(yè)務類型的配置端口隔離交換設備及應用方法,旨在解決當前接入網(wǎng)交換機設備靜態(tài)VLAN隔離的局限性,降低物理隔離卡規(guī)則的單一性,實現(xiàn)網(wǎng)絡資源靈活調度。
[0005]為了實現(xiàn)上述發(fā)明目的,本發(fā)明采取如下技術方案:
[0006]—種配置多業(yè)務承載接入的端口隔離交換設備,該設備包括:由交換芯片組成的交換模塊、管理模塊、關鍵功能分析模塊、日志模塊和存儲模塊;所述交換模塊和管理模塊之間通過PCI交換總線相互通信,以實現(xiàn)管理信息的交換;所述關鍵功能分析模塊分別與管理模塊、規(guī)則庫、存儲模塊和日志模塊相連。
[0007]優(yōu)選的,所述交換模塊,以實現(xiàn)非管理交換機的功能;
[0008]所述管理模塊,用于調用軟件功能,以實現(xiàn)VLAN或者MAC地址的轉換;
[0009]所述關鍵功能分析模塊,用于根據(jù)業(yè)務類型需求選擇關鍵業(yè)務功能,獲取關鍵業(yè)務流;
[0010]所述日志模塊,用于記錄設備運行數(shù)據(jù)和故障信息;
[0011 ] 所述存儲模塊,用于存放數(shù)據(jù)。
[0012]優(yōu)選的,所述管理模塊的控制芯片分別設有業(yè)務監(jiān)控單元和端口控制單元;其中,
[0013]所述業(yè)務監(jiān)控單元,用于讀取規(guī)則庫,監(jiān)控每個交換端口進入的數(shù)據(jù)包是否與規(guī)則庫相匹配;
[0014]所述端口控制單元,用于對數(shù)據(jù)包進行VLAN轉換和端口模式轉換。
[0015]優(yōu)選的,所述存儲模塊包括規(guī)則庫,該規(guī)則庫用于存放二分法尋址規(guī)則。
[0016]進一步地,所述端口控制單元包括:
[0017]第一端口控制子單元,用于對數(shù)據(jù)包進行處理,以實現(xiàn)VLAN轉換功能;
[0018]第二端口控制子單元,用于對接收的數(shù)據(jù)包端口進行轉換,將PVID變?yōu)镠ybrid模式。
[0019]—種配置多業(yè)務承載接入的端口隔離交換方法,所述方法包括:
[0020](1)根據(jù)業(yè)務類型需求選擇關鍵業(yè)務功能,獲取關鍵業(yè)務流功能集合cfa = {bj ;
[0021](2)對關鍵業(yè)務流功能集合cfa = {bj的數(shù)據(jù)進行分解,制定規(guī)則庫;
[0022](3)構建規(guī)則庫與數(shù)據(jù)包VLAN的動態(tài)映射關系,判斷規(guī)則庫與數(shù)據(jù)包之間是否相匹配;若是,進入下一步對該數(shù)據(jù)包的控制;若否,則直接丟棄;
[0023](4)自動進行VLAN動態(tài)分配;
[0024](5)對數(shù)據(jù)包進行VLAN轉換和端口模式轉換;
[0025](6)將控制結果更新至存儲模塊中,與規(guī)則庫相匹配的規(guī)則一一對應。
[0026]優(yōu)選的,所述制定規(guī)則庫包括,將所述集合cfa = {bj中的每一種關鍵業(yè)務功能b;用基本六元組<SI,SP, DI, DP, Type, User)表示,形成規(guī)則庫;其中,SI為源IP地址,SP為源端口號,DI為目的IP,DP為目的端口號,Type表示數(shù)據(jù)包的協(xié)議類型,User表示用戶。
[0027]優(yōu)選的,所述構建規(guī)則庫與VLAN的動態(tài)映射關系包括,將交換芯片的初始端口均設置為安全端口,端口類型為trunk模式,PVID= 1 ;為每一個輸入的數(shù)據(jù)包添加VLAN tagl標識;并通過關鍵業(yè)務流功能集合cfa = {bj中的六元組〈SI, SP, DI, DP, Type, User〉與數(shù)據(jù)包匹配;若數(shù)據(jù)包與規(guī)則庫中的任一規(guī)則相匹配,則對該數(shù)據(jù)包進行VLAN動態(tài)分配以及端口模式轉換。
[0028]優(yōu)選的,所述步驟(4)包括,采用設定的二分法尋址規(guī)則自動進行VLAN動態(tài)分配包括,當進入第一端口的數(shù)據(jù)包與規(guī)則一匹配時,其映射的VLAN范圍為2?4094,初始映射為 VLAN PVID!= (2+4094)/2。
[0029]優(yōu)選的,所述步驟(5)對數(shù)據(jù)包進行VLAN轉換和端口模式轉換包括,將該數(shù)據(jù)包的VLAN標識由tagl變?yōu)閠ag 2048后,再進行內部轉發(fā);將接收該數(shù)據(jù)包的第一端口的PVID變?yōu)镠ybrid模式,PVID = 2048,標記該端口為隔離端口。
[0030]進一步地,當?shù)诙丝诘臄?shù)據(jù)包進入后,監(jiān)控其匹配狀態(tài);若與規(guī)則一相匹配,則為該數(shù)據(jù)包添加VLAN 2048標識,并將其轉換為Hybrid模式,PVID = 2048 ;此時第一端口與第二端口之間的數(shù)據(jù)可以相互轉發(fā),形成同一隔離組;所述同一隔離組的隔離端口之間相互通信。
[0031]進一步地,若進入第三端口的數(shù)據(jù)包與規(guī)則一相匹配,則仍使用二分法進行VLAN動態(tài)分配;若?¥101= 2048已被占用,則PVID2= PVID1-1 ;若PVID 2同樣被占用,則PVID 3=PVID1+1 ;若?乂103被占用,則PVID 4向下使用二分法;若PVID 4被占用,則PVID 5向上使用二分法,以此類推。
[0032]進一步地,當?shù)谝欢丝跇I(yè)務流斷開時,設置老化時間為20s ;超過20s則自動釋放規(guī)則1與VLAN 2048之間的動態(tài)映射關系,第一端口轉換為trunk模式,PVID = 1 ;此時該端口為安全端口,退出隔離組。
[0033]與最接近的現(xiàn)有技術比,本發(fā)明提供的技術方案具有以下有益效果:
[0034]1、提出基于接入網(wǎng)的業(yè)務建立相應的數(shù)據(jù)模型,設計更加貼近符合多業(yè)務承載網(wǎng)的安全接入需求,從而增強接入網(wǎng)的整體安全性。
[0035]2、只需在交換設備的管理板中增加相應控制芯片進行設定,借鑒原有的VLAN技術,不必使用額外的隔離芯片與安全芯片,節(jié)省成本。
[0036]3、端口模式可以自動轉換,不拘泥于只能為隔離端口或安全端口,增加靈活性。
[0037]4、端口映射模式可根據(jù)老化時間動態(tài)釋放分配,VLAN ID可重復使用,解決了因靜態(tài)VLAN數(shù)量限制的資源局限性。
【附圖說明】
[0038]圖1為交換設備拓撲模型結構示意圖;
[0039]圖2為交換設備組成示意圖;
[0040]圖3為端口隔離方法流程圖。
【具體實施方式】
[0041]以下將結合附圖,對本發(fā)明的【具體實施方式】作進一步的詳細說明。
[0042]為了解決現(xiàn)有接入網(wǎng)技術中進行端口靜態(tài)隔離時由于需要占用大量資源而導致的擴展性差、以及靈活性差的問題,如圖1和圖2所示,提出一種配置多業(yè)務承載接入的端口隔離交換設備,包括:由交換芯片組成的交換模塊、管理模塊、關鍵功能分析模塊、日志模塊和存儲模塊;所述交換模塊和管理模塊之間通過PCI交換總線相互通信,以實現(xiàn)管理信息的交換;所述關鍵功能分析模塊分別與管理模塊、規(guī)則庫、存儲模塊和日志模塊相連。
[0043]本交換設備的管理模塊可在32位或64位的CPU中選擇,以相應的測試板為參照,經(jīng)過必要的裁減和調整,形成管理模塊。
[0044]該管理模塊,用于調用軟件功能,以實現(xiàn)VLAN或者MAC地址的轉換;交換模塊,以實現(xiàn)非管理交換機的功能;關鍵功能分析模塊,用于根據(jù)業(yè)務類型需求選擇關鍵業(yè)務功能,獲取關鍵業(yè)務流;日志模塊,用于記錄設備運行數(shù)據(jù)和故障信息;存儲模塊,用于存放數(shù)據(jù);其包括規(guī)則庫,該規(guī)則庫用于存放二分法尋址規(guī)則。
[0045]管理模塊的控制芯片分別設有業(yè)務監(jiān)控單元和端口控制單元;其中,
[0046]業(yè)務監(jiān)控單元,用于讀取規(guī)則庫,監(jiān)控每個交換端口進入的數(shù)據(jù)包是否與規(guī)則庫相匹配;
[0047]端口控制單元,用于對數(shù)據(jù)包進行VLAN轉換和端口模式轉換。包括:
[0048]第一端口控制子單元,用于對數(shù)據(jù)包的處理,以實現(xiàn)VLAN轉換功能;
[0049]第二端口控制子單元,用于對接收的數(shù)據(jù)包端口進行轉換,將PVID變?yōu)镠ybrid模式。
[0050]如圖3所示,一種配置多業(yè)務承載接入的端口隔離交換方法,其特征在于,所述方法包括:
[0051](1)根據(jù)業(yè)務類型需求選擇關鍵業(yè)務功能,獲取關鍵業(yè)務流功能集合cfa = {bj ;
[0052](2)對關鍵業(yè)務流功能集合cfa = {bj的數(shù)據(jù)進行分解,制定規(guī)則庫;包括,將所述集合cfa = {bj中每一種關鍵業(yè)務功能匕通過一個基本六元組<SI,SP,DI,DP, Type, User)表示,形成規(guī)則庫;其中,SI為源IP地址,SP為源端口號,DI為目的IP,DP為目的端口號,Type表示數(shù)據(jù)包的協(xié)議類型,User表示用戶。
[0053](3)構建規(guī)則庫與數(shù)據(jù)包VLAN的動態(tài)映射關系,判斷規(guī)則庫與數(shù)據(jù)包之間是否相匹配;若是,進入下一步對該數(shù)據(jù)包進行控制;若否,則直接丟棄;
[0054]構建規(guī)則庫與VLAN的動態(tài)映射關系包括,將交換芯片的初始端口均設置為安全端口,端口類型為trunk模式,PVID = 1 ;為每一個輸入的數(shù)據(jù)包添加VLAN tagl標識;并通過關鍵業(yè)務流功能集合cfa = {bj中的六元組〈SI, SP, DI, DP, Type, User〉與數(shù)據(jù)包進行匹配;若數(shù)據(jù)包與規(guī)則庫中的任一規(guī)則相匹配,則對該數(shù)據(jù)包進行VLAN動態(tài)