專利名稱：路由交換機的制作方法
技術(shù)領(lǐng)域：
本實用新型屬于數(shù)據(jù)通信領(lǐng)域，尤其涉及一種路由交換機。
背景技術(shù)：
隨著IP數(shù)據(jù)通信網(wǎng)的規(guī)模越來越大，層次越來越多，運營維護成本也隨之上漲，維護管理技術(shù)也更加復(fù)雜，運營商希望IP電信網(wǎng)更加簡單、可靠、可維護，所以網(wǎng)絡(luò)結(jié)構(gòu)扁平化是運營商所希望的。
路由交換機綜合了交換機的高帶寬和路由器復(fù)雜靈活的處理能力，可以代替他們，在網(wǎng)絡(luò)部署中得到廣泛的應(yīng)用，大大地促進了網(wǎng)絡(luò)結(jié)構(gòu)的扁平化。
網(wǎng)絡(luò)病毒和攻擊迫使防火墻成為企業(yè)網(wǎng)絡(luò)的必需設(shè)備，普通防火墻一般作為企業(yè)網(wǎng)絡(luò)的出口，過濾病毒，防范攻擊以及執(zhí)行加密、解密等功能，保護企業(yè)信息安全。
防火墻的引入增加了企業(yè)信息安全，但是增加了網(wǎng)絡(luò)結(jié)構(gòu)層次和維護復(fù)雜性，同時也降低了企業(yè)網(wǎng)絡(luò)出口帶寬，還增加了不少網(wǎng)絡(luò)投資。
企業(yè)網(wǎng)典型防火墻組網(wǎng)結(jié)構(gòu)如圖1所示，防火墻設(shè)備有內(nèi)網(wǎng)接口，DMZ(非軍事化區(qū))和外網(wǎng)接口三種網(wǎng)絡(luò)接口，防火墻主要功能是保護企業(yè)內(nèi)部網(wǎng)絡(luò)。
防火墻和內(nèi)部網(wǎng)絡(luò)之間的連接成為網(wǎng)絡(luò)出口的關(guān)鍵點，為了增強網(wǎng)絡(luò)的可靠性和安全性，如圖2所示，重要企業(yè)網(wǎng)絡(luò)一般在出口部署冗余、備份防火墻，大大地增加了網(wǎng)絡(luò)復(fù)雜度和成本。
實用新型內(nèi)容本實用新型的目的在于提供一種集成防火墻的路由交換機，簡化網(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)設(shè)備，降低網(wǎng)絡(luò)投資，增強網(wǎng)絡(luò)的穩(wěn)定性。
本實用新型的路由交換機，包括路由交換機的主控制模塊和背板，背板上設(shè)控制通道和數(shù)據(jù)通道；交換模塊；和防火墻模塊；其中交換模塊設(shè)外網(wǎng)物理端口和內(nèi)網(wǎng)端口；防火墻模塊設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口；路由交換機的主控制模塊通過背板的控制通道對交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元進行配置；交換模塊和防火墻模塊通過背板的數(shù)據(jù)通道傳遞數(shù)據(jù)。
防火墻模塊本身可不設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口，交換模塊的外網(wǎng)物理端口定義為防火墻模塊的內(nèi)網(wǎng)、DMZ和外網(wǎng)接口。
交換模塊和防火墻模塊各設(shè)CPU，路由交換機的主控制模塊通過背板控制通道與各CPU連接，對交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元分別進行配置。
本實用新型將防火墻作為機架交換機的一個業(yè)務(wù)模塊，將防火墻的控制平面和數(shù)據(jù)平面整合到交換機的控制平面和數(shù)據(jù)平面中(如圖3所示)，將路由交換功能和防火墻功能集成到一臺設(shè)備中。集成了防火墻的路由交換機可以簡化網(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)設(shè)備，降低網(wǎng)絡(luò)投資，由于沒有了防火墻和內(nèi)部網(wǎng)絡(luò)的連接線路，減少了網(wǎng)絡(luò)可能的關(guān)鍵故障點，增強了網(wǎng)絡(luò)的穩(wěn)定性。


圖1企業(yè)網(wǎng)典型防火墻組網(wǎng)結(jié)構(gòu)示意圖1---路由器；2---路由交換機；3---防火墻；圖2部署冗余、備份防火墻的企業(yè)網(wǎng)典型防火墻組網(wǎng)結(jié)構(gòu)示意圖4---主用鏈路；5---備用鏈路；圖3本實用新型結(jié)構(gòu)示意圖圖4本實用新型邏輯結(jié)構(gòu)框圖圖5本實用新型防火墻處理單元配置示意圖圖6本實用新型數(shù)據(jù)流、控制流示意圖具體實施方式
如圖4所示，為本實用新型邏輯框圖。
防火墻的控制通過本模塊板的CPU來完成，管理者通過交換架構(gòu)的控制結(jié)構(gòu)通道登錄到防火墻模塊的CPU，從而對防火墻處理單元進行配置。
防火墻的功能包括過濾、ACL、NAT、VPN、IDS和加密解密，配置管理命令非常多，而且其配置管理方式也和交換機不同，所以不宜將兩種配置混合在一起，而是在同樣界面下提供兩個配置環(huán)境，分別來配置交換機和防火墻，如圖5所示。
為了簡化管理和系統(tǒng)復(fù)雜性，防火墻模塊本身對外不提供物理網(wǎng)絡(luò)端口，但是防火墻依然有內(nèi)部網(wǎng)、DMZ和外部網(wǎng)三種接口，這三種接口使用其他交換模塊的物理網(wǎng)絡(luò)端口，根據(jù)需要可以定義交換模塊上的端口為防火墻的某種接口。
如圖6所示，來自外網(wǎng)Internet的數(shù)據(jù)包從外網(wǎng)端口進入交換機，通過轉(zhuǎn)發(fā)芯片和背板上的高速數(shù)據(jù)通道，交換模塊將數(shù)據(jù)包送給防火墻模塊；防火墻模塊對數(shù)據(jù)進行過濾等處理后，把安全的數(shù)據(jù)通過背板送到交換模塊；交換模塊通過內(nèi)網(wǎng)端口把數(shù)據(jù)包送給企業(yè)網(wǎng)內(nèi)網(wǎng)用戶，通過這個流程防火墻對內(nèi)、外網(wǎng)絡(luò)的數(shù)據(jù)通訊起到了監(jiān)控的作用，保護了企業(yè)內(nèi)部網(wǎng)絡(luò)的信息安全。
權(quán)利要求1.一種路由交換機，包括路由交換機的主控制模塊和背板，背板上設(shè)控制通道和數(shù)據(jù)通道；交換模塊，設(shè)外網(wǎng)物理端口和內(nèi)網(wǎng)端口；其特征在于還包括防火墻模塊；防火墻模塊設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口；路由交換機的主控制模塊通過背板的控制通道對交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元進行配置；交換模塊和防火墻模塊通過背板的數(shù)據(jù)通道傳遞數(shù)據(jù)。
2.如權(quán)利要求1所述的路由交換機，其特征在于防火墻模塊本身可不設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口，交換模塊的外網(wǎng)物理端口定位為防火墻模塊的內(nèi)網(wǎng)、DMZ和外網(wǎng)接口。
3.如權(quán)利要求1或2所述的路由交換機，其特征在于交換模塊和防火墻模塊各設(shè)CPU，路由交換機的主控制模塊通過背板控制通道與各CPU連接，對交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元分別進行配置。
專利摘要本實用新型涉及一種路由交換機，包括路由交換機的主控制模塊和背板，背板上設(shè)控制通道和數(shù)據(jù)通道；交換模塊，設(shè)外網(wǎng)物理端口和內(nèi)網(wǎng)端口；還包括防火墻模塊；防火墻模塊設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口；路由交換機的主控制模塊通過背板的控制通道對交換模塊的轉(zhuǎn)發(fā)芯片和防火墻模塊的處理單元進行配置；交換模塊和防火墻模塊通過背板的數(shù)據(jù)通道傳遞數(shù)據(jù)。交換模塊的外網(wǎng)物理端口定位為防火墻模塊的內(nèi)網(wǎng)、DMZ和外網(wǎng)接口。路由交換機的主控制模塊對交換模塊的轉(zhuǎn)發(fā)芯片和防火墻模塊的防火處理單元分別進行配置?？梢院喕W(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)設(shè)備，降低網(wǎng)絡(luò)投資，增強網(wǎng)絡(luò)的穩(wěn)定性?？蓮V泛應(yīng)用于數(shù)據(jù)通信領(lǐng)域。
文檔編號H04L12/04GK2669499SQ200320113709
公開日2005年1月5日 申請日期2003年12月30日 優(yōu)先權(quán)日2003年12月30日
發(fā)明者童劍, 范成龍, 劍 童 申請人:港灣網(wǎng)絡(luò)有限公司