实现交换机端口隔离的方法、交换机及交换芯片

摘要

本发明公开了一种实现交换机端口隔离的方法，所述方法包括步骤有：将交换芯片的若干端口分别指定为安全端口和隔离端口；将交换芯片的所有隔离端口都设置为链路聚合端口；关闭所述链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行。相应地，本发明还提供一种实现端口隔离的交换机及其交换芯片。本发明不仅实现了良好的端口隔离效果，而且使交换机在使用交换芯片上有了更大的选择余地，其利用低端交换芯片即可实现端口隔离，从而节省了购买高端交换芯片所需的投入和成本，进而提高了产品的实用性和稳定性。

说明书

技术领域

本发明涉及以太网交换机领域，尤其涉及一种实现交换机端口隔离的方法、交换机及交换芯片。

背景技术

以太网交换机是以太网的核心设备之一，其被越来越广泛地应用到了小区和企业中。随着网络规模的迅速发展和用户数目的不断增多，对网络安全管理的要求也越来越高。为了隔离用户(终端)，传统的做法是给每一个用户分配一个VLAN(Virtual Local Area Network，虚拟局域网)和相关的默认VLAN ID(VLAN标识)，通过VLAN将用户从作为OSI网络结构第二层的数据链路层隔离开，这样可以防止其他用户进行恶意的监听和攻击。但是，因为VLAN的数目极其有限，只有4096个，当用户数目很多的时候，这种隔离方法占用了大量VLAN资源，造成了可扩展性方面的局限。

因此，另外一种新的用户隔离技术出现了，这就是虚拟端口隔离技术。在这种机制下，交换设备的所有端口都可以在同一VLAN下，但是只有指定端口之间可以互相通信。虚拟端口隔离技术可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过特定的安全端口来实现通讯。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

上述端口隔离的实现需要交换机使用的交换芯片支持，一般需要高端的交换芯片，该交换芯片应该有设置端口隔离属性的功能，一般有以下的实现方法：

1、指定该端口是隔离端口或者安全端口。

2、在设置VLAN的时候将整个VLAN设置成隔离VLAN，并指定安全端口，而其他端口都是隔离端口。

3、交换芯片对每个端口都有一张表格，指定可以通信的端口，和其他端口之间都互相隔离。

如果交换芯片不具备上述功能，则无法实现端口隔离。由于交换芯片的端口隔离并不是VLAN标准协议802.3AD要求的必备功能，所以有一部分厂家的交换芯片，特别是低端芯片并没有实现该功能，这给整个交换机系统的安全管理策略造成了相当的困难。

综上可知，现有在实现交换机端口隔离的技术在实际使用上显然存在不便与缺陷，所以有必要加以改进。

发明内容

针对上述的缺陷，本发明的目的在于提供一种实现交换机端口隔离的方法、交换机以及交换芯片，其不仅可实现良好的端口隔离效果，而且使交换机在使用交换芯片上有了更大的选择余地。

为了实现上述目的，本发明提供一种实现交换机端口隔离的方法，所述交换机包括有交换芯片，该方法包括如下步骤：

A、将交换芯片的若干端口分别指定为安全端口和隔离端口；

B、将交换芯片的所有隔离端口都设置为链路聚合端口；

C、关闭所述链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行。

根据本发明的方法，所述交换机中使用交换芯片堆叠系统，所述步骤A还包括根据交换芯片的端口属性确定交换芯片属性；

所述步骤C之后进一步包括：

D、设置交换芯片堆叠系统中各交换芯片的芯片关联组和虚拟局域网关联芯片组；

E、修改交换芯片堆叠系统的隔离功能映射表。

根据本发明的方法，所述步骤A中根据端口属性确定交换芯片属性的步骤进一步包括：

若一交换芯片上所有端口都为隔离端口，将该交换芯片定义为隔离芯片；若一交换芯片上所有端口都为安全端口，则将该交换芯片定义为上联芯片；若一交换芯片上既有隔离端口又有安全端口，则将该交换芯片定义为上联芯片。

根据本发明的方法，所述步骤D进一步包括：

对关联芯片组的设置步骤，在所述上联芯片上，将交换芯片堆叠系统中所有交换芯片的芯片标识写入关联芯片组中；在所述隔离芯片上，只将上联芯片的芯片标识写入关联芯片组中；

对虚拟局域网关联芯片组的设置步骤，所述上联芯片上，将交换芯片堆叠系统中所有交换芯片的芯片标识写入虚拟局域网关联芯片组中；在所述隔离芯片上，只将上联芯片的芯片标识写入虚拟局域网关联芯片组中。

根据本发明的方法，所述步骤C之后还包括：

打开交换芯片中所有安全端口和隔离端口的洪泛和转发广播包的机制。

根据本发明的方法，所述步骤B中保证二层转发按照正常机制进行是指，使交换芯片各个隔离端口根据二层转发表只转发目的端口为本端口的数据包。

本发明还提供一种实现端口隔离的交换机，所述交换机包括有交换芯片，所述交换芯片的若干端口分别被指定为安全端口和隔离端口，并且所有隔离端口都设置成链路聚合端口，同时关闭该链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行。

根据本发明的交换机，所述交换机中使用交换芯片堆叠系统，该交换机根据端口属性确定交换芯片属性，并设置交换芯片堆叠系统中各交换芯片的芯片关联组和虚拟局域网关联芯片组，以及修改交换芯片堆叠系统的隔离功能映射表。

根据本发明的交换机，所述交换芯片打开所有安全端口和隔离端口的洪泛和转发广播包的机制。

本发明还提供一种实现交换机端口隔离的交换芯片，所述交换芯片用于交换机中，所述交换芯片的若干端口分别被指定为安全端口和隔离端口，并且所有隔离端口都设置为链路聚合端口，同时关闭该链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行。

本发明通过交换芯片的必备功能来实现端口隔离，具体而言是将交换芯片的若干端口分别指定为安全端口和隔离端口，并将所有隔离端口都设置为链路聚合端口，通过802.3AD标准协议要求的交换芯片必备的链路聚合功能来实现端口隔离。借此，本发明不仅实现了良好的端口隔离效果，而且使交换机在使用交换芯片上有了更大的选择余地，其利用低端交换芯片即可实现端口隔离，从而节省了购买高端交换芯片所需的投入和成本，进而提高了产品的实用性和稳定性。

附图说明

图1是本发明提供的实现端口隔离的交换机的结构示意图；

图2是本发明提供的实现交换机端口隔离的方法流程图；

图3是本发明一实施例中实现交换机端口隔离的方法流程图；

图4是本发明另一实施例中所采用的网络结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

802.3AD标准协议要求交换芯片必须具有链路聚合功能，该链路聚合功能是指将两个或两个以上的物理端口绑定成为一个逻辑端口，从而可以对流量进行均衡，关键的是这两个物理端口之间的流量互相是隔离的，而与其他端口之间是互通的。

本发明的基本思想就是，在低端交换芯片上可以利用所述链路聚合功能，将一块交换芯片上的所有隔离端口都设置为链路聚合端口，使这些端口之间互相隔离，同时关闭流量均衡机制，以保证二层转发仍然按照正常机制进行。

本发明提供一种实现端口隔离的交换机，如图1所示，所述交换机1是用于二层交换的以太网交换机，至少包括有一交换芯片10。该交换芯片10可以为低端的交换芯片，其不仅具有通常的交换功能，而且具有802.3AD协议要求的链路聚合功能。交换芯片10的连接有若干端口101～10n，其分别被指定为安全端口和隔离端口，本实施例中将端口101设置为安全端口，以及将端口102～10n设置为隔离端口。并且所有隔离端口102～10n都设置成链路聚合端口，同时关闭该链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行。所述隔离端口102～10n之间不能互相通讯，但可以通过安全端口101通讯。图1中所示的安全端口和隔离端口只是一种实例设计，显然也可以将安全端口设置为多个。

本发明的交换机还可以使用交换芯片堆叠系统，也就是将多块交换芯片组合起来共同工作，以便在有限的空间内提供尽可能多的端口。在这种结构方案中，则还需要根据交换芯片的端口属性确定交换芯片属性：若一交换芯片上所有端口都为隔离端口，将该交换芯片定义为隔离芯片；若一交换芯片上所有端口都为安全端口，则将该交换芯片定义为上联芯片；若一交换芯片上既有隔离端口又有安全端口，则将该交换芯片定义为上联芯片。

在实现交换芯片堆叠系统的端口隔离功能时，主要是交换芯片的关联芯片组和VLAN关联芯片组与普通设置方法有区别。对于关联芯片组设置，上联芯片按照普通的不实现端口隔离的方法配置，将系统中所有交换芯片的芯片ID写入关联芯片组中；在隔离芯片上，只将上联芯片的芯片ID写入关联芯片组中。对于VLAN关联芯片组设置，在上联芯片中，也按照普通的不实现端口隔离的方法配置，将系统中所有交换芯片的芯片ID写入VLAN关联芯片组中；在隔离芯片上，只将上联芯片的芯片ID写入VLAN关联芯片组中。

接下来，交换芯片堆叠系统还需要修改隔离功能映射表，即保存交换芯片的相关配置。

通过这种方式，隔离芯片只认为交换芯片堆叠系统中存在上联芯片，其他交换芯片都不存在，所以所有的数据包转发都会发生在上联芯片和隔离芯片之间或者上联芯片之间，而隔离芯片之间的所有数据流都被禁止。对于上联芯片上的隔离端口，一般有一些特殊用途，比如级联其他交换机同时级联交换机之间不希望互相影响。

相应地，本发明还提供一种用于实现交换机端口隔离的交换芯片，如图1所示，所述交换芯片的若干端口分别被指定为安全端口101和隔离端口102～10n，并且所有隔离端口102～10n都设置为链路聚合端口，同时关闭该链路聚合端口102～10n的流量均衡机制，以保证二层转发按照正常机制进行。

图2示出了本发明实现交换机端口隔离的方法流程，所述交换机包括有交换芯片，该方法包括如下步骤：

步骤S201，将交换芯片的若干端口分别指定为安全端口和隔离端口。本步骤中交换芯片确定好哪些端口是安全端口，以及确定哪些是隔离端口，隔离端口之间不能互相通讯，但可以通过安全端口通讯。

步骤S202，将交换芯片的所有隔离端口都设置为链路聚合端口。由于链路聚合端口之间的流量互相是隔离的，其相当于隔离端口的功能。

步骤S203，关闭链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行，即使交换芯片各个隔离端口根据二层转发表只转发目的端口为本端口的数据包，从而将用户从OSI网络结构第二层的数据链路层隔离开。

图3示出了本发明一实施例中实现交换机端口隔离的方法流程，该实施例的交换机中使用交换芯片堆叠系统，包括步骤如下：

步骤S301，将交换芯片堆叠系统中的交换芯片的若干端口分别指定为安全端口和隔离端口。本步骤中还包括根据交换芯片的端口属性确定交换芯片属性，若一交换芯片上所有端口都为隔离端口，则将该交换芯片定义为隔离芯片；若一交换芯片上所有端口都为安全端口，则将该交换芯片定义为上联芯片；若一交换芯片上既有隔离端口又有安全端口，则将该交换芯片定义为上联芯片。

步骤S302，将交换芯片的所有隔离端口都设置为链路聚合端口。

步骤S303，关闭链路聚合端口的流量均衡机制，以保证二层转发按照正常机制进行。

步骤S304，打开交换芯片中所有安全端口和隔离端口的洪泛和转发广播包的机制，本步骤可根据具体的情况和配置来确定是否执行。

步骤S305，设置交换芯片堆叠系统中各交换芯片的芯片关联组和VLAN关联芯片组。本步骤进一步包括：

对关联芯片组的设置步骤，在上联芯片上将系统中所有交换芯片的芯片ID写入关联芯片组中；在隔离芯片上只将上联芯片的芯片ID写入关联芯片组中。

对VLAN关联芯片组的设置步骤，所述上联芯片上将系统中所有交换芯片的芯片ID写入VLAN关联芯片组中；在隔离芯片上只将上联芯片的芯片ID写入VLAN关联芯片组中。

步骤S306，修改交换芯片堆叠系统的隔离功能映射表，即保存交换芯片的相关配置。

图4示出了本发明另一实施例中所采用的以太网网络结构，包括交换机A～E，所述交换机A、B、C使用了低端交换芯片来实现端口隔离技术。其中交换机A的端口a1作为上联口设置为安全端口，连接到以太网中，而交换机A的端口a2～a6设置为隔离端口。交换机B的端口b1设置为安全端口与交换机A的端口a5相连，而交换机B的三个隔离端口b2～b4连接用户终端，该实施例中的用户终端为计算机。同样，交换机C的端口c1设置为安全端口和交换机A的端口a6相连，而交换机C的三个隔离端口c2～c4连接用户终端。由此不难得出：

1)交换机A与用户终端连接的三个隔离端口a2～a4互相隔离，但是可以和安全端口a1互通，所以可以通过安全端口a1连接到以太网中。

2)交换机B的三个隔离端口b2～b4互相之间不能通讯，但是可以和安全端口b1互通，而交换机A上的端口a5可以和安全端口a1互通，所以端口b2～b4可以通过级联和以太网之间收发数据。交换机C的三个隔离端口c2～c4也是同样的道理。

3)由于连接用户终端的端口a2～a4、端口b2～b4以及端口c2～c4这九个端口之间都不能通讯，所以图中不同交换机的用户终端之间也无法通讯，以此实现了用户之间的完全隔离。

综上所述，本发明通过交换芯片的必备功能来实现端口隔离，具体而言是将交换芯片的若干端口分别指定为安全端口和隔离端口，并将所有隔离端口都设置为链路聚合端口，通过VLAN标准协议802.3AD要求的交换芯片必备的链路聚合功能来实现端口隔离。借此，本发明不仅实现了良好的端口隔离效果，而且使交换机在使用交换芯片上有了更大的选择余地，其利用低端交换芯片即可实现端口隔离，从而节省了购买高端交换芯片所需的投入和成本，进而提高了产品的实用性和稳定性。

当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。