Область техники
Настоящее изобретение относится к способу защитного изолирования сервисов сети Ethernet, в частности к способу реализации виртуальной частной сети (Virtual Private Network - VPN) на Layer 2 Ethernet, который используется поставщиками телекоммуникационных услуг для предоставления сервисов сети Ethernet.
Уровень техники
Ethernet изначально применялась в локальной сети (LAN - local area network), пользователи которой являются, в основном, внутренними пользователями предприятия, что означает малое число пользователей. Когда число пользователей возрастает, для осуществления соединения большого числа сетей Ethernet применяют оборудование более высокого уровня.
С быстрым развитием и широким применением сети Ethernet ее также стали применять и в глобальных сетях (WAN - wide area network). Чтобы удовлетворить требованиям дальнейшего развития, в технологию Ethernet внедрили VLAN (VLAN, virtual local area network - виртуальная локальная сеть) (согласно IEEE 802.1Q). VLAN применяют для защитного изолирования с целью ограничения области групповой адресации.
Однако вновь внедренная технология VLAN ориентирована на предприятие, что является эффективным и целесообразным для сети Ethernet одного предприятия. Если провайдер применяет VLAN для осуществления защитного изолирования сервисов сети Ethernet, предоставляя сервисы нескольким предприятиям, то возникают следующие осложнения:
конфигурация VLAN, обеспечиваемая провайдером, может конфликтовать с изначальной конфигурацией VLAN предприятия;
предприятие пользуется большим числом сервисов VLAN, некоторые из которых изначально не имеют действительного идентификатора;
слишком большое число настроек VLAN может сделать администрирование слишком сложным или даже невозможным;
количество идентификаторов VLAN ограничено; теоретически устройство может одновременно поддерживать 4096 сетей VLAN, которые совместно используются всеми пользователями, что приводит к недостаточному количеству VLAN;
технология 1-2-коммутатора, использующая VLAN, выполняет только изолирование данных, но фактически не реализует полный виртуальный мост в таблице адресов MAC; и
два интерфейса в традиционных устройствах L2 не могут быть объединены в контур, что снижает измеримость.
Сущность изобретения
Целью настоящего изобретения является преодоление проблемы, заключающейся в ограниченности применения VLAN для сети Ethernet в рамках одного предприятия, решение проблемы защитного изолирования, с которой сталкиваются провайдеры при предоставлении сервисов сети Ethernet/VLAN большому числу предприятий, и предоставление способа реализации технологии VPN на Layer 2 Ethernet. При использовании этого способа данное изобретение может обеспечить полный виртуальный мост для обеспечения прозрачной передачи данных и улучшить работоспособность и измеримость сервисов Ethernet.
Согласно настоящему изобретению предложено следующее техническое решение.
Способ реализации защитного изолирования сервисов сети Ethernet включает в себя следующие шаги:
1) добавление дополнительного сегмента в кадр Ethernet для идентификации разных сервисов пользователя; причем этот сегмент состоит из n байт, а n имеет значение, связанное с форматом сегмента;
2) ввод сервиса пользователя в сети передачи данных провайдера и добавление идентификатора пользователя в дополнительный сегмент кадра Ethernet;
3) обработка коммутации/маршрутизации;
4) удаление идентификатора пользователя и восстановление кадра Ethernet, когда сервис пользователя покидает сети передачи данных.
На шаге 2) сервис пользователя, поступающий в физический интерфейс устройства связи сети передачи данных, маркируется в определенном формате идентификатором пользователя, назначенным физическому интерфейсу устройства связи сети передачи данных, подключающему сервис пользователя.
На шаге 4), когда сервис пользователя обрабатывают в определенном физическом интерфейсе устройства связи сети передачи данных, идентификатор пользователя данного сервиса пользователя сравнивают с идентификатором пользователя физического интерфейса устройства связи сети передачи данных. Данный сервис пользователя проходит, если эти два идентификатора совпадают, в противном случае сервис отбрасывают.
На шаге 3) на основе идентификатора пользователя поддерживают таблицу уникальных адресов MAC для каждого идентификатора пользователя посредством определения и поиска адресов MAC; для формирования действительного виртуального моста в физическом интерфейсе устройства связи сети передачи данных, включенном в каждый идентификатор пользователя, генерируют уникальное связующее дерево; причем в указанном виртуальном мосте одни и те же адреса MAC могут быть использованы в таблицах адресов MAC разных идентификаторов пользователя.
На шаге 3) уникальное связующее дерево генерируют для каждого идентификатора пользователя, чтобы избежать лавины пакетов с групповой адресацией.
На шаге 3) использования идентификаторов VLAN для разных идентификаторов пользователя полностью изолированы, и пользователь может также использовать идентификаторы VLAN для реализации изолирования внутренней сети.
На шаге 3) в физических интерфейсах устройств связи сети передачи данных, подключающих сервис пользователя, внутреннее изолирование сервиса задают в зависимости от того, используют или нет идентификатор VLAN, выбирая способы использования идентификатора VLAN через управление сетью.
На шаге 3) для каждого идентификатора пользователя может быть обеспечен уникальный режим сервиса групповой адресации, в котором режим сервиса групповой адресации содержит режим протокола динамической групповой адресации и режим конфигурации статической групповой адресации;
режим протокола динамической групповой адресации означает, что интерфейс сервиса в сервисе групповой адресации определяется протоколом динамической групповой адресации, а протокол динамической групповой адресации содержит протокол ICMP и протокол GMRP (согласно RFC 2236 и IEEE 802.1q);
режим конфигурации статической групповой адресации определяет интерфейс сервиса в сервисе групповой адресации через конфигурацию пользователя вручную посредством управления сетью.
На шаге 3) каждый идентификатор пользователя конфигурирует режим сервиса групповой адресации посредством управления сетью. Режим сервиса включает в себя режим протокола динамической групповой адресации и режим конфигурации статической групповой адресации.
На шаге 2) идентификатор пользователя назначают каждому физическому интерфейсу устройства связи сети передачи данных. При входе в интерфейс сервис маркируют идентификатором пользователя. Идентификатор пользователя не меняется во всей сети до тех пор, пока сервис не покинет интерфейс и не достигнет пользовательского устройства. Затем идентификатор пользователя удаляют, и сервис окончательно достигает пользовательского устройства. Таким способом, сервис передают прозрачным образом.
Дополнительный сегмент в кадре Ethernet может использовать следующий формат: совместимый формат MPLS, наращиваемый формат VLAN или изменяемый формат, чтобы реализовать соединение между множеством устройств.
Параметры конфигурации задают в физических интерфейсах устройств связи сети передачи данных посредством управления сетью, чтобы обеспечить для дополнительного сегмента в кадре Ethernet совместимый Формат MPLS, наращиваемый формат VLAN и изменяемый формат.
Способ изолирования сервиса согласно настоящему изобретению имеет следующие характеристики по сравнению с современными технологиями VLAN (IEEE 802.1Q): реализует полнофункциональный виртуальный мост безотносительно к VLAN в сервисе пользователя; уменьшает сложность администрирования и увеличивает независимость устройств; адаптируем к сервисам Ethernet, предоставляемым поставщиками телекоммуникационных услуг.
Этот способ имеет следующие преимущества:
1. Провайдеру не требуется знать конфигурацию исходной VLAN клиента. Нет необходимости менять исходную конфигурацию VLAN.
2. Клиент может свободно изменять конфигурации своей VLAN. Он может изменять или добавлять сервис без помощи провайдера. Сервису пользователя даже не требуется иметь идентификатор VLAN.
3. Провайдер конфигурирует только идентификатор пользователя, что легко выполнить.
4. Если для идентификатора пользователя используют n бит, можно обеспечить 2n пользователей. Каждый пользователь может независимо использовать 4096 VLAN, что решает проблему ограниченного числа VLAN.
5. Определение адреса MAC и идентификатора клиента позволяет реализовать полный виртуальный мост в таблице адресов MAC.
6. Различные сервисы групповой адресации могут быть сконфигурированы в соответствии с требованиями клиента.
7. Улучшается измеримость коммутирующих устройств L2. При реализации вышеупомянутого виртуального моста устройство может быть проверено посредством создания канала проверки сервиса между множеством виртуальных мостов.
Краткое описание чертежей
На фиг.1 приведена схема проверки сервиса с использованием способа согласно настоящему изобретению.
Фиг.2 представляет собой блок-схему одной реализации согласно настоящему изобретению.
Фиг.3 является схематическим изображением поддержки клиентской VLAN с использованием способа согласно настоящему изобретению.
Фиг.4 представляет собой схематическое изображение использования идентификатора пользователя для реализации изолирования сервиса.
На фиг.5 представлен формат кадра VLAN сети Ethernet.
На фиг.6 представлен наращиваемый формат кадра VLAN.
На фиг.7 представлен формат заголовка кадра MPLS.
Подробное описание изобретения
Способ изолирования сервисов Ethernet согласно настоящему изобретению включает в себя следующие шаги.
К кадру Ethernet добавляют дополнительный сегмент, и данные в сегменте задают в виде идентификатора пользователя, состоящего из n байтов, для идентификации сервиса пользователя. Когда сервис пользователя попадает в сеть передачи данных провайдера, кадр Ethernet изменяют соответствующим образом. Когда сервис пользователя покидает сеть передачи данных, кадр Ethernet восстанавливают до исходного формата.
Сначала идентификатор пользователя назначают физическому интерфейсу устройства связи сети передачи данных, подключающему сервис пользователя, чтобы отметить идентификатором пользователя сервис, поступающий в физический интерфейс устройства связи сети передачи данных. Затем, когда сервис поступает в физический интерфейс устройства связи сети передачи данных, идентификатор пользователя сервиса сравнивают с идентификатором пользователя интерфейса. Если эти два идентификатора совпадают, сервис проходит.
Посредством использования идентификатора пользователя одно устройство Ethernet превращается во множество виртуальных Ethernet, и все виртуальные Ethernet работают независимо, не мешая друг другу.
Благодаря наличию идентификатора пользователя таблицу уникальных адресов MAC можно вести для каждого клиента посредством определения и поиска комбинации идентификатор пользователя плюс адрес MAC. Между тем, уникальное связующее дерево используют в физическом интерфейсе устройства связи сети передачи данных, включенном в каждый идентификатор пользователя. Кроме того, независимая групповая адресация может быть использована для каждого идентификатора пользователя, что включает в себя динамическую групповую адресацию и статическую групповую адресацию. В результате генерируется действительный виртуальный мост. Посредством этого виртуального моста разные пользователи могут использовать один и тот же адрес MAC и разные протоколы динамической групповой адресации или конфигурации статической групповой адресации соответственно.
На фиг.1 показано выполнение проверки по шлейфу на двух устройствах. Здесь (а, b) обозначает интерфейсы, а - номер проверяемого устройства, в то время как b - номер интерфейса. (1, 1), (1, 2), (2, 1), (2, 2) - идентификатор пользователя N, (1, 3), (1, 4), (2, 3), (2, 4) - идентификатор пользователя М, N≠M. Сервис из проверяемого устройства поступает в (1, 1), здесь его маркируют идентификатором пользователя N; затем этот же сервис покидает (1, 2) и поступает в (2, 1); затем он покидает (2, 2), где идентификатор пользователя N удаляют. Сервис покидает (2, 2), затем поступает в (2, 4), где его маркируют идентификатором пользователя М; затем этот же сервис покидает (2, 3) и поступает в (1, 4); затем покидает (1, 3) и поступает в проверяемое устройство, где идентификатор пользователя М удаляют. Эта же функция может быть реализована в обратном направлении.
Как показано на фиг.2, сначала на входе сервис маркируют идентификатором пользователя; затем он проходит через коммутацию/маршрутизацию; одновременно определяют и находят комбинацию идентификатор пользователя плюс адрес MAC. Когда сервис, обработанный посредством коммутации/маршрутизации, доходит до выхода, идентификатор пользователя сервиса сравнивают с идентификатором пользователя интерфейса. Если два идентификатора не совпадают, то сервис отбрасывают.
На фиг.3 сеть сервиса клиента помечена идентификатором пользователя. Сервис VLAN n передают из 2, 3 в 1, тогда как сервис VLAN m передают из 1 в 2, 3. VLAN между интерфейсами 2 и 3 помогает изолировать данные, чтобы они не смешивались.
На фиг.4 представлено типичное соединение WAN. Разные линии обозначают разные сервисы, изолированные посредством идентификаторов пользователя. Сервисы с разными идентификаторами пользователей не смешиваются. Каждый идентификатор пользователя имеет уникальное связующее дерево, что помогает избежать лавины пакетов с групповой адресацией. Использование идентификатора VLAN среди других идентификаторов пользователя является совершенно изолированным. Клиент может выбрать, использовать ли идентификаторы VLAN для изолирования внутренних сервисов или не использовать их. DUT (device under test) - проверяемое устройство.
Ниже предложен вариант реализации согласно настоящему изобретению.
Шаг 1: Маркировка сервиса идентификатором пользователя.
Идентификатор пользователя может быть задан для каждого физического интерфейса устройства связи сети передачи данных. Когда сервис поступает в интерфейс, сначала его маркируют идентификатором пользователя, который остается неизменным в сети до тех пор, пока сервис не покинет интерфейс и не дойдет до пользовательского устройства. Затем идентификатор пользователя удаляют, и сервис доходит до пользовательского устройства. В результате сервис передается прозрачным образом.
Шаг 2: Изолирование сервиса.
Каждый физический интерфейс устройства связи сети передачи данных имеет идентификатор пользователя, сконфигурированный пользователем. Когда сервису необходимо покинуть интерфейс, идентификатор пользователя сервиса сравнивают с идентификатором пользователя интерфейса. Если эти два идентификатора не совпадают, сервис отбрасывают.
Шаг 3: Реализация действительного виртуального моста.
Если устройство является коммутирующим мостом, то добавление пользовательского идентификатора для определения и поиска адреса MAC создает таблицу уникальных адресов MAC для каждого идентификатора пользователя. Уникальное связующее дерево для каждого идентификатора пользователя и уникальная групповая адресация могут также быть запущены для каждого идентификатора пользователя. Уникальная групповая адресация включает в себя протокол динамической групповой адресации и конфигурацию статической групповой адресации. В результате интерфейс для каждого идентификатора пользователя работает как действительный виртуальный мост.
Блок-схема вышеописанной процедуры показана на фиг.2.
Шаг 4: Изолирование внутреннего сервиса пользователя посредством использования идентификатора VLAN.
Пользователь может реализовать VLAN на устройстве посредством конфигурации. С помощью идентификатора пользователя VLAN ограничивают интерфейсами в устройствах, помеченных идентификатором пользователя. В результате не будет взаимодействия с сервисом другого пользователя. Пользователь может также не использовать VLAN, а только прозрачным образом передавать сервис VLAN.
Блок-схема вышеупомянутой процедуры показана на фиг.3.
С помощью технологий, описанных выше, множество сервисов могут быть гибко изолированы, как показано на фиг.4.
Реализация формата кадра.
При изменении формата кадра Ethernet необходимо учитывать международный стандарт, поскольку необходимо позаботиться как о совместимости, так и взаимосвязанности. В противном случае устройства от разных производителей не смогут работать совместно. Если специального международного стандарта не существует, необходимо рассмотреть такие проблемы, как совместимый MPLS и наращиваемый формат VLAN. Если устройство может соединяться с множеством разных устройств, можно задать параметры конфигурации в интерфейсах для поддержки разных форматов. Параметры конфигурации для идентификаторов пользователя могут включать в себя: не использование, использование формата MPLS, использование наращиваемого формата VLAN и использование специального формата.
На фиг.5, 6 и 7 представлены возможные форматы кадров.
На фиг.5 показан формат кадра VLAN, определяемый IEEE 802.1Q, в котором 0х8100 - идентификатор кадра VLAN, 0хХХХХ- данные идентификатора VLAN, в которых Р, С и V, Р обозначают приоритеты от 0 до 7; С - тип LAN, 0 - Ethernet, 1 - Token-ring. V - идентификатор VLAN со значением от 0 до 4095.
На фиг.6 показан формат кадра, используемый наращиваемой VLAN. 0х9100 - идентификатор наращиваемой VLAN, a 0xXXXX - данные идентификатора VLAN, которые определяют так же, как идентификатор VLAN. Все другие установки точно такие же, как для IEEE 802.1q.
На фиг.7 показан формат кадра MPLS, определяемый RFC2236; ID -идентификатор MPLS. Ехр предназначено для хранения и используется для проверки. EOS показывает, является ли это концом пакета MPLS. TTL - time to live - «время жизни».
Изобретение относится к способу защитного изолирования сервисов сети Ethernet, в частности к способу реализации виртуальной частной сети (VPN) на Layer 2 Ethernet, который используется поставщиками телекоммуникационных услуг для предоставления сервисов сети Ethernet. Техническим результатом является преодоление проблемы ограниченности применения виртуальной локальной сети (VLAN) для сети Ethernet в рамках одного предприятия, решение проблемы защитного изолирования при предоставлении сервисов сети Ethernet/VLAN большому числу предприятий и предоставление способа реализации технологии VPN на Layer 2 Ethernet, a также обеспечение полного виртуального моста для обеспечения прозрачной передачи данных. Предложен способ защитного изолирования сервиса в сети Ethernet для удовлетворения потребности продавцов телекоммуникационных услуг по созданию второй виртуальной частной сети сервисов Ethernet, причем сначала распределяют идентификатор клиента для физического порта, подключающего сервис клиента; сервис, поступивший в физический порт, маркируют идентификатором клиента; после процедуры коммутации или маршрутизации сервиса выясняют, совпадает ли идентификатор клиента в сервисе с идентификатором клиента в порте, если речь идет о загрузке сервиса из определенного физического порта, и только после этого надлежащий сервис может быть загружен. 12 з.п. ф-лы, 7 ил.
УСОВЕРШЕНСТВОВАННЫЙ СПОСОБ И УСТРОЙСТВО ДЛЯ ДИНАМИЧЕСКОГО СМЕЩЕНИЯ МЕЖДУ ПАКЕТАМИ МАРШРУТИЗАЦИИ И КОММУТАЦИИ В СЕТИ ПЕРЕДАЧИ ДАННЫХ | 1997 |
|
RU2189072C2 |
US 6219699 B1, 17.04.2001 | |||
US 6577642 B1, 10.06.2003 | |||
Мотовило сельскохозяйственной уборочной машины | 1985 |
|
SU1400540A1 |
JP 2003078548 A1, 14.03.2003 | |||
US 6490280 B1, 03.12.2002 | |||
US 2002101870 A1, 01.08.2002 | |||
US 2003018787 A1, 23.01.2003 | |||
Cabletron's SecureFast VLAN Operational Model, Version 1.8, RFC 2643, Network Working Group, Cabletron Systems Inc, August 1999 С.Браун | |||
Виртуальные частные сети | |||
Лори | |||
- М., 2001, с.201-205, 288. |
Авторы
Даты
2008-03-10—Публикация
2003-06-20—Подача