一种支持VLAN内成员端口隔离的交换方法及交换机技术

本发明专利技术公开了一种支持VLAN内成员端口隔离的交换方法及交换机，涉及交换机技术，尤其涉及广电数据通信领域中二层交换机设备（L2 Switch）。本发明专利技术技术要点：设定交换机的上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个VLAN功能域；为过滤端口分配固定的MAC地址；开启各个下行口的vlan tunnel功能；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。

Switching method and switch for supporting port isolation of members in VLAN

The invention discloses a method for supporting VLAN exchange members in port isolation and switch, relates to switch technology, especially relates to a device two layer switch radio data communication domain (L2 Switch). Technical point of the invention: set the switch uplink port, a downlink port and port filtering; the interactive on-demand network uplink port and broadcasting network connection, a plurality of downstream ports are respectively connected with each terminal connection, a plurality of filter port suspended; downlink port belong to the same domain of VLAN; distribution of fixed MAC address filter port; open the mouth of the VLAN tunnel downlink function; when the source address message for a downlink port MAC address, destination address of the packet to another downlink port MAC address filtering port MAC address as the destination address of the new report is forwarded.

【技术实现步骤摘要】
一种支持VLAN内成员端口隔离的交换方法及交换机
本专利技术涉及交换机技术，尤其是广电数据通信领域中二层交换机设备（L2Switch）。
技术介绍
技术术语解释：EOC：EthernetOverCable，以太网电缆。CPE：CustomerPremiseEquipment，客户终端设备。VOD：VideoonDemand，视频点播。VLAN：VirtualLocalAreaNetwork，虚拟局域网，是指一组逻辑上的设备和用户。Internet：互联网。OLT：OpticalLineTerminal，光线路终端，用于连接光纤干线的终端设备。ONU：OpticalNetworkUnit，光网络单元。CATV：CommunityAntennaTelevision，国内一般指广电有线电视系统，或者广电有线电视网络。HFC：HybridFiber－Coaxial的缩写，即混合光纤同轴电缆网。STB：SetTopBox，机顶盒。参见图1，广电网络中的二层交换机设备（L2Switch）一般位于小区楼道，下接有多个局端设备（EOC），局端设备分属于不同的住户，局端设备下接终端设备（CPE），终端设备（CPE）位于住户的家中。互动点播网络与交换机设备连接，将上网及点播业务数据通过交换机分发给各个用户的局端设备，且这些业务是按照不同的服务流进入其相应的VLAN。如图1中，上网业务对应VLANB，点播业务对应VLANA。交换机的一个上行口能收发多个VLAN的数据报文；交换机的多个下行口只能收发本下行端口所在VLAN的数据报文。卫星电视直播网络的电视直播业务数据直接传输到局端设备，局端设备提供给用户多种业务，比如：上网、高清VOD点播、电视直播等。对于交换机，各个局端设备用报文携带不同的VLAN通过交换机一层一层传给互动点播网络中的上层业务通信服务器，如Internet网或VOD点播系统，将用户的上网或点播请求告知上层业务通信服务器。上层业务通信服务器返回相应的上网、点播业务数据，交换机设备再将上网、点播业务数据分发到指定的局端设备上。可见交换机设备的工作主要就是承上启下。现有的广电网络中的交换机设备具有一个上行口与多个下行口，参见图2，上行口接入ONU设备，下行口port1~8对应接入8户家庭的EOC局端设备，上行口与各个下行口之间可以进行数据交换。如前所述，广电现网的上网、高清VOD点播和电视直播都是利用VLAN来划分各自的功能邻域，若图2中的port1和port2都开通了高清VOD点播，那么port1和port2都要加入高清VOD点播所在的VLAN组，例如VLANA组。此时，port1和port2下接的用户即可以在高清VOD点播所在的VLANA组里互访，图2中用虚线标示出了port1与port2之间的这种潜在的通信通道。然而出于网络安全的考虑，这是不允许的，必须把VLAN内成员端口进行隔离。现有的交换机会用VLANQinQ功能解决该问题，但具备VLANQinQ功能的交换芯片的价格都不低。对二层交换机而言，稳定性和实现上述简单功能满足要求即可，所以在设计时都会尽量采用一些很低成本的交换芯片。那么如何在这些低成本的交换机上实现VLAN内成员端口隔离是急需解决的问题。
技术实现思路
本专利技术所要解决的技术问题是：针对上述存在的问题，提供一种支持VLAN内成员端口隔离的交换方法及交换机。其中方法包括：步骤1：设定交换机的上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个VLAN功能域；为过滤端口分配固定的MAC地址；步骤2：开启各个下行口的vlantunnel功能；步骤3：建立交换机内部的端口映射机制：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。进一步，上行口与互动点播网络中的ONU设备连接。进一步，下行口与EOC局端设备连接；各个EOC局端设备分属不同的住户。进一步，所述交换机具备Qvaln模式。进一步，所述上行口被配置为trunkvlan，下行口及过滤端口被配置为accessvlan。本专利技术还提供了一种支持VLAN内成员端口隔离的交换机，包括上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个vlan功能域；为过滤端口分配固定的MAC地址；各个下行口的vlantunnel功能为开启状态；所述交换机按照以下机制转发报文：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：本专利技术在原有交换机Qvaln模式上，利用端口的vlantunnel功能，实现VLAN内成员端口的隔离。vlantunnel功能原本是用于交换机端口垮不同VLAN组通信的一种方法手段，其目的是让分属不同VLAN的端口可以相互通信。本专利技术将交换机上一端口悬空，即不连接任何设备，作为过滤端口（我们称它为黑洞端口，不呈现给用户），相当于在交换机上预留的一个空交换口，为过滤端口绑定一静态MAC地址，把交换机上下行口互访的报文通过Valntunnel功能转向到过滤端口，由于黑洞端口是悬空的，所以报文被丢弃。从而无需增加VLANQinQ功能的芯片，利用普通交换机原有的功能即可实现同VLAN中端口的隔离，有效防止某些用户对其他用户的恶意攻击。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1为现有的广电网络拓扑图。图2为现有的交换机连接及交换映射关系示意图。图3为本专利技术中交换机各个端口连接及交换映射关系示意图。具体实施方式本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。参见图3，本专利技术在普通交换机的Qvlan模式上，启动下行口的vlantunnel功能，并设定过滤端口实现了同VLAN功能域中端口之间的隔离，具体手段如下：首先，设定交换机的上行口、多个下行口以及过滤端口，这些端口都是交换机上的通信端口，将不同的端口分别配置则可得到上述三类端口，优选的，将上行口配置为trunkvlan，那么上行口可以接收和发送不同VLAN功能域的报文，将下行口、过滤端口都设置为accessvlan，本实施例中下行口port1、port2均属于高清VOD点播VLAN功能域，过滤端口不属于该VLAN功本文档来自技高网...

【技术保护点】
一种支持VLAN内成员端口隔离的交换方法，其特征在于，包括：步骤1：设定交换机的上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个VLAN功能域；为过滤端口分配固定的MAC地址；步骤2：开启各个下行口的valn tunnel功能；步骤3：建立交换机内部的端口映射机制：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。

【技术特征摘要】
1.一种支持VLAN内成员端口隔离的交换方法，其特征在于，包括：步骤1：设定交换机的上行口、多个下行口以及过滤端口；其中上行口与广电网络中的互动点播网络连接，多个下行口分别与各个局端设备连接，过滤端口悬空；多个下行口属于同一个VLAN功能域；为过滤端口分配固定的MAC地址；步骤2：开启各个下行口的valntunnel功能；步骤3：建立交换机内部的端口映射机制：当报文源地址为上行口的MAC地址，报文目标地址为某下行口的MAC地址时按照目标地址转发报文；当报文源地址为下行口的MAC地址，报文的目标地址为上行口的MAC地址时按照目标地址转发报文；当报文的源地址为某个下行口的MAC地址，报文的目标地址为另一个下行口的MAC地址时将过滤端口的MAC地址作为该报文新的目标地址进行转发。2.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法，其特征在于，上行口与互动点播网络中的ONU设备连接。3.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法，其特征在于，下行口与EOC局端设备连接；各个EOC局端设备分属不同的住户。4.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法，其特征在于，所述交换机具备Qvaln模式。5.根据权利要求1所述的一种支持VLAN内成员端口隔离的交换方法，其特征在于，所述上行口被配置为trunkvlan，下行口及过滤端口被配置为a...

【专利技术属性】
技术研发人员：李渊，
申请(专利权)人：成都广达新网科技股份有限公司，
类型：发明
国别省市：四川,51