專利名稱:建立網(wǎng)絡中的接續(xù)的制作方法
背景技術(shù):
本發(fā)明涉及網(wǎng)絡,特別是涉及在網(wǎng)絡中建立接續(xù)(connectivity)��。
某些網(wǎng)絡限制接續(xù)是因為安全的需要或者是為了減少網(wǎng)絡的業(yè)務量��。因而網(wǎng)絡中的一些站點被允許相互通信����,而另一些站點則不允許相互通信。通過在允許通信的站點(station)間建立物理通信鏈路和不在不允許通信的站點間提供物理鏈路可以實現(xiàn)允許接續(xù)或禁止接續(xù)����。然而����,這是不現(xiàn)實的��,因為對于每一組接續(xù)限制需要物理鏈路的單獨配置�。因此,已經(jīng)開發(fā)了一種通過向適當?shù)木W(wǎng)絡設備發(fā)送命令來建立或改變網(wǎng)絡接續(xù)的技術(shù)���。
這種技術(shù)在
圖1和圖2中示出(這些附圖還圖示了本發(fā)明的某些方面�����,因而這些方面不是現(xiàn)有技術(shù))�。網(wǎng)絡110是適合互連大機構(gòu)(1argeorganization)的企業(yè)網(wǎng)絡�����。網(wǎng)絡110包含“層2域”116P,116Q,116R,116S,116T���。(術(shù)語“層2”指D.Bierer等人所述的OSI(開放系統(tǒng)互連)參考模型的數(shù)據(jù)鏈路層����,參見“NetWare 4 for profes sionals(專業(yè)網(wǎng)件4)”,1-9頁����,這里列入作為參考)。屬于相同的層2域的116的站點124(例如��,域116P中的站點124.1,124.2)可以使用它們的MAC地址(“層2”地址)相互通信����。MAC(媒體訪問控制器)地址是燒制(burn)在站點的網(wǎng)絡接口卡(NIC)中的或者通過設置NIC交換機建立的一個物理地址���。域116的部分或全部可以包括一個或多個網(wǎng)絡交換機128(與NIC交換機不混同)�。每個域116的交換機128使用站點的MAC地址在站點124之間發(fā)送業(yè)務量�。
僅使用MAC地址,不同層2域中的站點(例如�����,站點124.1,124.3)是不能進行相互通信的�����。它們使用它們的為邏輯地址的IP地址進行通信�。路由器130.1,130.2,130.3根據(jù)站點的IP地址在各個域116之間路由傳送業(yè)務�����,必要時在IP地址與MAC地址之間進行轉(zhuǎn)譯���。
在某些域116之內(nèi),使用虛擬LAN(或VLAN(虛擬局域網(wǎng)))可以限制接續(xù)�。例如,域116P包含三個VLAN 140a���、140b���、140c(圖2)。只有當域116P中的站點124屬于相同的VLAN時���,域116P中的站點124才可以在層2上相互通信(即�����,使用它們的層2地址)�。因而�����,如圖1所示,由于站點124.1��、124.2屬于VLAN 140a���,因此可以通信��。
VALN由LAN交換機128實現(xiàn)�����。具體地說�����,交換機128將僅在相同的VLAN內(nèi)的站點之間發(fā)送包。(交換機128被稱作“VLAN能用”����,因為它們能夠把業(yè)務限制在VLAN上。某些層2域�����,例如�,域116S或116T�,可以不包含VLAN能用交換機���。)不同的層2域之間的接續(xù)由路由器130限制����。路由器130根據(jù)IP地址來使用確定接續(xù)限制的存取控制表(ACL)��。參見��,例如�,K.Siyan和C.Hare所著的“互聯(lián)網(wǎng)防火墻和網(wǎng)絡安全”,(1995)187-192頁�。
對于網(wǎng)絡管理者來說,創(chuàng)建存取控制表和確定VLAN可能是一種容易混淆和費事的處理�����。該處理必需在動態(tài)網(wǎng)絡環(huán)境下經(jīng)常重復����,在該環(huán)境中站點、用戶和網(wǎng)絡服務從一處移動到另一處�����,或從一個機構(gòu)傳遞到另一個機構(gòu)而不是物理地移動,或者增加或刪除����。
因此,人們希望更加方便地在網(wǎng)絡中建立接續(xù)��。
概述本發(fā)明提供了一種建立和限制網(wǎng)絡接續(xù)的新方法和系統(tǒng)����。一些實施例允許容易地創(chuàng)建VLAN和存取控制表。
在一些實施例中��,存取控制表由一個管理站創(chuàng)建�����。管理站接收接續(xù)組的確定(definition)�����。每個接續(xù)組是一組子網(wǎng)絡�。業(yè)務(traffic)被限制(被允許)在每個組內(nèi)��。在一些實施例中,每個子網(wǎng)絡被標識為IP子網(wǎng)絡�����。管理站依據(jù)確定接續(xù)組的信息來創(chuàng)建存取控制表���。
在一些實施例中�,管理站還接收共享子網(wǎng)絡的識別���,并生成允許在任何接續(xù)組的任何共享子網(wǎng)絡與任何子網(wǎng)絡之間的業(yè)務的ACL(存取控制表)���。
在一些實施例中,管理站通過適當?shù)嘏渲糜騺韯?chuàng)建子域���,比如VLAN�。為了配置這些域��,網(wǎng)絡管理者為每個接續(xù)組輸入確定屬于該組的業(yè)務的信息�。這種信息的實例是屬于同一接續(xù)組的實體(比如,交換機的端口�,或網(wǎng)絡站點的MAC地址,或用戶登錄時指定的用戶名)的列表����。來自不同接續(xù)組的實體不允許進行通信�����。一個接續(xù)組可以包含來自不同的層2域的實體���。可以把各實體分配給接續(xù)組����,而不需要指定實體屬于哪個VALN。管理站確定同一組中的那些實體屬于一個單域���,并把這些實體放入適當?shù)腣LAN中���。
在一些實施例中,標識接續(xù)組中業(yè)務的信息包括層2包的比特值���。
本發(fā)明不局限于層2域或者交換機或者路由器��。本發(fā)明的其它特點和優(yōu)點將在下文中說明�。本發(fā)明由附帶的權(quán)利要求書確定�。
附圖的簡要說明圖1是根據(jù)本發(fā)明建立接續(xù)的網(wǎng)絡的方框圖;圖2是示出圖1的網(wǎng)絡中的VLAN和路由器接口的方框圖��。
優(yōu)選實施例的詳細說明網(wǎng)絡110包括五個層2域116����。這些域被稱為“層2”,因為每個域內(nèi)的包尋址是根據(jù)OSI參考模型層2(數(shù)字鏈路層)上的包內(nèi)容執(zhí)行的��。路由器130基于層3(網(wǎng)絡層)上的包內(nèi)容路由發(fā)送業(yè)務����。特別是,IP地址是層3地址���。然而���,本發(fā)明不局限于層2或?qū)?或符合OSI參考模型的網(wǎng)絡。
域116P包括根據(jù)MAC地址發(fā)送業(yè)務的VLAN能用交換機128.1���、1 28.2�����。這些交換機通過干線(trunk)150.1相互連接���。每個交換機具有一個或多個端口�����,其每一個與一個網(wǎng)絡段相連接�。因而����,交換機128.1的端口160.1與包含站點124.1的網(wǎng)絡段相連接。交換機128.2的端口160.2與包含站點124.2的網(wǎng)絡段相連接���。在圖1中����,每個網(wǎng)絡段包含一個單站點���。在一些實施例中���,一個網(wǎng)絡段包含多個站點。
交換機128.1的端口160M連接用來以下述方式創(chuàng)建接續(xù)的管理站124M��。
交換機128.1通過干線150.2連接路由器130.1���。路由器130.1連接路由器130.2��、路由器130.3�����、和互聯(lián)網(wǎng)170���。路由器130.2連接路由器130.3。路由器130.2通過干線150.3連接域116Q的VLAN能用交換機128.3����。域116Q還包括VLAN能用交換機128.4、128.5�、128.6,它們與交換機128.1�、128.2類似,其每一個與一個或多個網(wǎng)絡段相連接�。只有包含站點124.3的網(wǎng)絡段被示出。域116Q的交換機128也相互連接��。
路由器130.2與層2域116T相連接�。
路由器130.3連接到域116R的VLAN能用交換機128.7以及連接層2域116S���。交換機128.7類似于交換機128.1�、128.2也連接網(wǎng)絡段(未示出)。域116S�����、116T包括零個或多個交換機(未示出)�����。
在一些實施例中���,一個或多個域116沒有任何交換機或者有非VLAN能用交換機�、網(wǎng)絡集線器(hub)或集線器(concentrator)�。
如上所述,不同域之間的通信使用IP地址����。例如,為了把包發(fā)送給站點124.3����,站點124.1分別把站點124.3的IP地址和路由器130.1的MAC地址插入該包中作為邏輯和物理目的地地址。路由器130.1用路由器130.2的MAC地址替代目的地MAC地址��,并用路由器130.1的MAC地址替代站點124.1的源MAC地址。然后���,路由器130.1把該包發(fā)送給路由器130.2����。路由器130.1用它自己的MAC地址替代該包中的源MAC地址��,并用站點124.3的MAC地址替代目的地MAC地址�����,并把該包發(fā)送給交換機124.3�。交換機128.3經(jīng)交換機128.5向站點124.3發(fā)送該包�����。
域116P包括不重疊的VLAN 140a�、140b、140c(圖2)��;域116Q包括不重疊的VLAN 140d�����、140e、140f�;域116R包括不重疊的VLAN 140g、140h��、140i��。VLAN中的站點成員由連接站點的交換機端口160���、或者由站點的MAC地址���、或者由用戶在站點上登錄的用戶名確定?�;诙丝诨騇AC地址建立VLAN成員的技術(shù)在G.Held所著的“virtual LANsConstruction,Implementation,and Management(虛擬局域網(wǎng)結(jié)構(gòu)��,實施�����,和管理)”(1997)中公開��,參見其中的233-249頁����。
用用戶名建立VLAN成員的技術(shù)在附錄A中公開�����。另外還可以參見J.Ekstrom等人于1997年4月提交的名為“User-Based Binding of NetworkStation to Broadcast Domains(基于用戶的網(wǎng)絡站點與廣播域的連接)”的美國專利申請08/832,011��,這里作為參考文件引出�����。在一些實施例中���,VLAN140組合由端口標識的站點���、由MAC地址標識的站點����、和/或由用戶名標識的站點�����。
域116S或116T可以包含或可以不包含任何VLAN�����。
管理站124M屬于VLAN140b。站點124M可以與任意的交換機128和任意的路由器130通信���。
在一些實施例中����,(1)所有的交換機128是可以從位于加利福尼亞州的San Jose的Cisco(思科)有限公司得到的CatalystTM型交換機���;(2)路由器130是可以從Cisco有限公司得到的路由器��,并且記載在可以從Cisco有限公司得到的文件中�����,零件號為78-2040-01���,這里作為參考引出。
網(wǎng)絡110包含接續(xù)組���,它可以包含處在不同的域116中的實體(非干線交換機端口160�,MAC地址���,或用戶名)�。例如,接續(xù)組可以由VLAN140a�����、140d�����、140g中的所有實體組成��。允許在同一接續(xù)組中的實體之間進行通信�����,但禁止在不同接續(xù)組中實體之間進行接續(xù)����。特別是���,交換機128和路由器130將不從一個接續(xù)組中的站點124向另一個接續(xù)組中的站點124發(fā)送包��。
眾所周知����,VLAN是廣播域(這里,還稱作“層2廣播域”或“層2BD”)�。與此相反,接續(xù)組不一定是廣播域��。因此�,廣播和多點廣播(multicast)業(yè)務被限制為單VLAN。
這里��,還把VLAN稱作“虛擬廣播域”或VBD���。VBD是不必在網(wǎng)絡中改變物理連接(例如��,電纜連接)就可以確定的廣播域�。
管理站124M包含用于存儲程序和數(shù)據(jù)的存儲器192�����,還包含用戶接口裝置194���,比如鍵盤�、屏幕��、和/或其它接口裝置。
附錄B示出了在某些實施例中創(chuàng)建接續(xù)組的處理(特別是創(chuàng)建VLAN 140和路由器存取控制表)���。下面將依據(jù)圖1的VLAN的實例和下列的三個接續(xù)組說明該處理組1由VLAN140a����、140d和140g組成��;組2由VLAN140b���、140e和140h組成�;該組將被指定為包含管理站124M的管理接續(xù)組�;組3由VLAN40c、140f和140i組成���。
在某些實施例中���,層2域116S是廣播域��。附錄B的處理使與116S形成為允許與任何接續(xù)組通信的共享IP子網(wǎng)�����。注意,每個層2廣播域是IP子網(wǎng)或IP子網(wǎng)的組合����。
附錄B的處理留下層2域116T和關(guān)聯(lián)的子網(wǎng)“不管理”,即�,不為相應路由器的接口創(chuàng)建ACL,此外���,未在由該處理創(chuàng)建的任何ACL中明示提及子網(wǎng)116T��。因此����,域116T可以接收來自任何接續(xù)組的業(yè)務�,但從域116T到任何接續(xù)組的業(yè)務將被路由器130濾除(阻塞)。
在某些實施例中�,單個的層2域包括管理和未管理的子網(wǎng)。
附錄B的處理可以在任何VLAN或接續(xù)組已經(jīng)在網(wǎng)絡10中建立之前或之后執(zhí)行����。在某些實施例中,首先執(zhí)行附錄B的處理��,以建立包含整個域116(也許�����,共享的和不管理的諸如域116T、116S的域除外)中的所有通信實體的單個的“管理接續(xù)組”��。管理組使管理站124M能夠與所有的交換機或路由器通信�����。然后執(zhí)行附錄B處理或附錄G的維護處理����,以建立上述的組1、2�、3或任何其它的組。用能夠與交換機或路由器通信的管理站建立這樣的組是很方便的����。
或者,只有交換機128和管理站124M被放入管理接續(xù)組中��。在某些實施例中�,只有交換機128的那些端口被放入需要的管理接續(xù)組中,以允許管理站124M與所有的VLAN能用交換機和所有的路由器通信�。
在下述的實施例中,假定當附錄B處理開始啟動時沒有管理接續(xù)組���。
在附錄B的處理開始啟動之前�����,配置每一個路由器130���,以便把一個或多個IP子網(wǎng)分配給每個路由器接口210(圖2)。(需要說明的是����,對于某些Cisco文件所稱的“子接口”我們使用術(shù)語“接口”)。當附錄B的處理完成之后�����,每個路由器130都將有連接路由器的域116中的每個VLAN的一個分離的接口�����。
需要說明的是����,由于每個VLAN140是一個子網(wǎng)或諸多子網(wǎng)的組合,因此路由器基本上是根據(jù)VLAN作出發(fā)送的決定,即使路由器軟件不明示地知曉VLAN��。路由器經(jīng)路由器的干線端口(例如干線端口220)連接域�����,每個接口是干線端口的邏輯子端口�。
眾所周知,交換機和路由器的干線端口(即�����,與互連交換機或交換機和路由器的干線150相連接的端口)傳送多VLAN的業(yè)務����。經(jīng)過干線端口的業(yè)務使用中繼(trunking)協(xié)議,其中每個包被封裝在標有該包所分配到的VLAN標識的一個更大的包中���。如果VLAN成員由端口確定而不是MAC地址確定����,則VLAN標簽允許接收交換機128識別包的VLAN����。
路由器130理解中繼協(xié)議,于是在相同的干線端口上處理來自不同VLAN的業(yè)務,就好像來自每個VLAN的業(yè)務已經(jīng)到達分配給VLAN的分離端口���。
某些實施例在路由器與層2域之間使用分離的物理連接來替代干線�����,以便傳送分離的VLAN的業(yè)務。
每個接口具有由接口處理每個子網(wǎng)絡中的網(wǎng)關(guān)地址�����。網(wǎng)關(guān)地址是子網(wǎng)中的路由器的網(wǎng)關(guān)地址�。
附錄C示出了在存儲器192中由附錄B的一些步驟創(chuàng)建的數(shù)據(jù)庫。
在步驟M5(附錄B)���,網(wǎng)絡管理器向管理站124M提供網(wǎng)絡110的IP地址范圍�。在附錄B的實例中�,地址范圍是10.0.0.0/8。在網(wǎng)絡110中�����,每個子網(wǎng)具有255.255.255.0的子網(wǎng)掩碼�。
IP地址范圍和子網(wǎng)具有格式10.0.0.0/8(子網(wǎng)掩碼具有8個最高有效1’s,后面是所有的0’s)或者作為IP地址(10.0.0.0)和網(wǎng)絡掩碼(255.0.0.0)的組合。
管理站124M把網(wǎng)絡110的IP地址范圍輸入它的數(shù)據(jù)庫�,如附錄C中的I1所示。
如附錄B所示��,步驟M7由管理者(administrator)執(zhí)行����。站點124M創(chuàng)建數(shù)據(jù)結(jié)構(gòu)I2(附錄C)。附錄C中的這一信息以及其它信息在不同的實施例中進行不同的組織�����。例如���,在某些實施例中���,條目I2-1(交換機地址)被存儲作為用于每個域的地址表。在其它實施例中�����,同樣的信息被存儲為地址和相應域的對(偶)�。其它的數(shù)據(jù)結(jié)構(gòu)用于其它的實施例。
在步驟M10中����,網(wǎng)絡管理者確定VLAN 140�����。確定VLAN包含向站點124M和向相應域116中的每個交換機128提供VLAN標識符�。VLAN標識符是交換機128可理解的標識符�,即�,VLAN號。交換機128.1�、128.2的每一個接收VLAN140a、140b����、140c的標識符;交換機128.7接收VLAN 140g����、140h、140i的標識符��,等等��。對VLAN的確定不包含確定屬于每個VLAN的實體(端口����、MAC地址或用戶名)�。
在某些實施例中����,管理者把VLAN標識符直接輸入到每個交換機128中。在其它實施例中�,管理者把VLAN標識符送入每個域116的控制交換機128中。該控制交換機把該標識符發(fā)送給同一域中的其它交換機(如果有的話)�����。在其它實施例中管理者使用(例如)遠程網(wǎng)(Telnet)或SNMP協(xié)議從站點124M遠程地向交換機128提供該信息��。
站點124M把該信息存儲到它的數(shù)據(jù)庫中�,如附錄C中的I3所示。
在步驟M14�,網(wǎng)絡管理者把信息I4(附錄C)送入站點124M。在圖1和2中�,分離的子網(wǎng)被分配給每個層2BD,以便在層2BD與IP子網(wǎng)之間有一對一的對應關(guān)系����。子網(wǎng)在圖2和下列的表1中示出
表1
在某些實施例中,多個子網(wǎng)被分配給層2BD�����。
使用子網(wǎng)地址/子網(wǎng)掩碼符號或子網(wǎng)地址和掩碼符號中的各個數(shù)字1向站點124M提供子網(wǎng)。
此外���,在步驟M14中����,網(wǎng)絡110被配置為從相應的IP子網(wǎng)分配每個VLAN中的IP地址����。因而,在某些Windows NTTM實施例中�����,DHCP服務器被配置為在相應子網(wǎng)中分配IP地址��。(Windows NT在R.Sant’Angelo等人的“WindowsNT Server Survival Guide(視窗NT服務器生存指南)”(1996)中公開���,這里作為參考引出)。在某些實施例中�����,DHCP服務器被連接到路由器130的一個子網(wǎng)上。路由器被配置為從直接連接該路由器的所有子網(wǎng)向該DHCP服務器發(fā)送DHCP請求���。在其它實施例中����,分離的DHCP服務器被設置在每個子網(wǎng)上����。
在步驟M20,對于每個接續(xù)組��,管理者把是該接續(xù)組成員的IP子網(wǎng)(即�,是接續(xù)組成員的層2BD的部分的IP子網(wǎng))輸入到站點124M中。因而管理者輸入用于接續(xù)組1的VLAN 140a�����、140d�、140g中的子網(wǎng);輸入用于組2的VLAN 140b����、140e、140h中的子網(wǎng)����;和輸入用于組3的VLAN 140c��、140f���、140i中的子網(wǎng)?���;蛘撸瑢τ诿總€接續(xù)組����,管理者輸入接續(xù)組的層2BD成員的標識。在任一種情況下��,為了產(chǎn)生可以從管理站124M到達的每個路由器���,管理者可以輸入將是管理接續(xù)組的成員的IP子網(wǎng)。在某些實施例中�����,每個路由器至少有一個共享子網(wǎng)中的網(wǎng)關(guān)IP地址或者一個管理接續(xù)組的子網(wǎng)號����。
某些實施例不需要每個路由器是可從管理站到達的�。因此�����,在某些實施例中���,僅直接連接不管理的子網(wǎng)和其它路由器的路由器不必是可到達的(reachable)���。
條目I5(附錄C)在步驟M20上創(chuàng)建。
如果多個子網(wǎng)被分配給一個單層2BD����,則它們?nèi)勘环峙浣o同一接續(xù)組。
在步驟M30����,管理者把屬于每個接續(xù)組的實體輸入站點124M。條目I6(附錄C)被創(chuàng)建�。例如,對于接續(xù)組1�,管理者輸入交換機端口160.1、160.2、160.3(假定連接端口160.3的站點124.3屬于VLAN140d)�����,和其它端口��,MAC地址����,和/或?qū)儆赩LAN140a、140d��、140g的用戶名���。在一些實施例中�,管理員不必記住這些端口��、MAC地址或用戶各是屬于哪個域或VLAN的���。
在站點124M中�,用可以由管理者分配的標簽來標識端口160��,以便易于引用����。例如,如果一個端口連接一個使用用戶名Fred的站點124��,則管理者可以把標簽“Fred”分配給該端口��,并且可以在步驟M30把分配該端口的“Fred”輸入到接續(xù)組中��。把MAC地址分配給接續(xù)組的情況也類似�����。
在步驟M40�����,管理者把信息I7和I8(附錄C)輸入到管理站124M中��。
在步驟M45�,站點124M創(chuàng)建VLAN140,把每個實體放入適當?shù)腣LAN中��,如附錄D所示�。在附錄D中,括號中的數(shù)字指出在附錄D的相應步驟中使用的附錄C的數(shù)據(jù)庫條目��。
在附錄D中,如果接續(xù)組的實體E是VLAN能用交換機的端口160(步驟V1)�,則該實體僅被放入端口歸屬的域116的VLAN中。與此相反�����,如果實體是MAC地址(步驟V2)或用戶名(步驟V3)���,則實體被放入接續(xù)組的每個VLAN中�。在MAC地址的情況下���,這允許具有該MAC地址的站點在任何一個域116中連接�����,該域116包含該接續(xù)組中的一個VLAN��。因此����,具有接續(xù)組1中的MAC地址的便攜計算機(例如���,膝上型計算機)可以連接域116P����、116Q���、116R���。如果計算機連接到域116P,則接收含有該計算機的MAC地址作為源地址的包的交換機128.1���、128.2將把該計算機放入VLAN 140a中���。相似地,如果計算機連接到域116Q�,則把它放入VLAN 140d中,等等����。
同樣地,用戶名被放入接續(xù)組的每個VLAN 140中�。如果用戶在域116P中登錄,則要求UBNC服務器將用戶切換到適當?shù)腣LAN的一個請求將從域116P發(fā)出�����。例如,如果用戶名在接續(xù)組1中�,則VBNC服務器將分別在VLAN140d或140g中放置該用戶。
在步驟V3���,“實施例1”不要求讓UBNC知道任何關(guān)于接續(xù)組的情況�。站點124M告訴UBNC服務器把哪個VLAN分配給每個域116中的用戶名(步驟V3-2)�����。在實施例2中����,UBNC服務器知道VLAN屬于哪個接續(xù)組(這一信息可以直接提供給UBNC服務器,或者遠程地例如從站點124M提供給UBNC服務器)���。因此����,在實施例2的步驟V3-1上�����,站點124M不通知UBNC服務器把VLAN分配給用戶�。當用戶登錄時���,UBNC服務器確定來自用戶接續(xù)組的用戶VLAN和來自登錄發(fā)生的域116的用戶VLAN。由于UBNC數(shù)據(jù)庫包含與每個域116中的每個VLAN相關(guān)聯(lián)的IP子網(wǎng)��,因此域116依據(jù)用戶的IP地址確定�����。在某些實施例中�����,UBNC服務器在管理站124M上運行����。
在步驟M50(附錄B)�����,站點124M通過執(zhí)行附錄E所示的程序創(chuàng)建路由器存取控制表�����。分離存取控制表是為接續(xù)組的子網(wǎng)成員所直接連接到的每個路由器接口創(chuàng)建的����。下面將根據(jù)從路由器130.2到VLAN 140e的接口210的實例說明附錄E的程序�����。
對于每個路由器接口��,如果如果相應的子網(wǎng)屬于一個接續(xù)組���,則步驟A1至步驟A5創(chuàng)建諸如附錄F所示的存取控制表。附錄F中的線路號(例如��,AL1-1)對應于附錄E的步驟號���。因而�����,步驟A1(附錄E)創(chuàng)建線路AL1-1���,步驟A2創(chuàng)建線路AL1-2a和AL1-2b,等等�����。
附錄F使用可從Cisco有限公司(加尼福尼亞州,San jose)得到的某些路由器所采用的句法(syntax)��。該句法在K.siyan和C.Hare的“互聯(lián)網(wǎng)防火墻和網(wǎng)絡安全”(1995)中公開���,這里作為參考引出�。線路號(比如AL1-1)不是存取控制表的部分���。此外,開始于驚嘆號(�����!)一直到行終點的正文是被路由器忽略的注釋�。這些注釋在某些實施例中被省略。
步驟A1創(chuàng)建允許業(yè)務從每個共享子網(wǎng)比如子網(wǎng)116S到接口210的線路���。程序向存取擴展表寫入單詞“存取表”����,存取控制表號碼(在某些實施例中由程序本身順序生成)��,單詞“允許ip”�����,共享子網(wǎng)的IP地址,和0.0.0.225的通配符掩碼�。(與輸入的包IP相比,通配符掩碼中的0比特表示源IP地址的對應比特被路由器使用���,通配符掩碼中的1比特表示未被使用����。)線路AL1-1中的通配符掩碼0.0.0.225通過倒置子網(wǎng)掩碼來確定��。
步驟A2創(chuàng)建線路�����,比如線路AL1-2a�����、AL1-2b�����,以允許業(yè)務來自同一接續(xù)組中的每個其它子網(wǎng)(例如,層2BD)�����。線路AL1-2a允許業(yè)務來自子網(wǎng)10.1.2.0/24(VLAN 140b)�����。線路AL1-2b允許業(yè)務來自子網(wǎng)10.3.2.0/24(VLAN140h)����。
步驟A3創(chuàng)建線路AL1-3,它拒絕來自網(wǎng)絡110中所有其它站的業(yè)務�。(需要說明的是,當路由器接收一個包時�����,路由器測試起始于存取控制表的開頭的包���。當適用于該包的線路被發(fā)現(xiàn)時,忽略該存取控制表的其余部分���。)通配符掩碼通過倒置網(wǎng)絡110的IP地址范圍掩碼來獲得����。
步驟A4創(chuàng)建線路AL1-4,它允許業(yè)務來自網(wǎng)絡110之外的任何站點�,包括來自互聯(lián)網(wǎng)170的業(yè)務。
在某些實施例中�����,在步驟M50之前����,管理者為接續(xù)組中的每個子網(wǎng)表明管理站124M是否允許業(yè)務從互聯(lián)網(wǎng)傳送到子網(wǎng)。如果業(yè)務被拒絕���,則省略用于相應接口的步驟A4�,步驟A3創(chuàng)建“拒絕任何ip”線路���,而不是創(chuàng)建線路AL1-3�。
步驟A5的執(zhí)行如附錄E所示��。
如果路由器接口不連接到接續(xù)組的BD成員���,而是連接到共享或不管理子網(wǎng)(例如160S)或互聯(lián)網(wǎng)170�����,則不創(chuàng)建ACL��,使該子網(wǎng)或互聯(lián)網(wǎng)可從任何其它子網(wǎng)訪問����。
在某些實施例中,在附錄B的步驟M40上���,管理者指定將要為每個共享子網(wǎng)提供什么樣的訪問�,并且附錄E的處理使用公知的方法創(chuàng)建適當?shù)拇嫒】刂票?����。例如�,如果共享子網(wǎng)僅僅是可從網(wǎng)絡110內(nèi)訪問,則存取控制表將包括以下線路���,諸如訪問表1允許ip(access-list 1 permit ip)10.0.0.0 0.255.255.255訪問表1拒絕ip任何(access-list 1 deny ip any)在其它實施例中,這種功能由路由器130.1或某些其它裝置(未示出)中實施的企業(yè)級防火墻提供��。
管理站124M指令每個路由器130刪除現(xiàn)有的存取控制表并換上新的存取控制表����。
某些實施例允許網(wǎng)絡管理者把附加命令插入存取控制表中�。因而���,在某些實施例中����,在步驟M50之前���,管理者可以為每個子網(wǎng)指定要插入到對應接口的存取控制表中的附加項目(terms)�。具體地說����,管理者可以指定在步驟A1之前插入的項目、在步驟A2與A3之間插入的項目��、在步驟A3與A4之間插入的項目����、和在步驟A4之后插入的項目。在某些實施例中�,該技術(shù)被用來將防火墻功能并入存取控制表中,從而消除使用分離的企業(yè)級防火墻的需要�����。
在某些實施例中,步驟M10和M20被省略�����。在步驟M45����,對于每個接續(xù)組,管理站124M在具有VLAN能用交換機和具有一個或多個接續(xù)組實體的每個域116中創(chuàng)建一個VLAN����,并把該實體放入VLAN中。(這樣�����,如果域具有接續(xù)組中的端口���,或者如果接續(xù)組包含MAC地址或用戶名��,則在域中創(chuàng)建一個VLAN。)站點124M還把IP子網(wǎng)(例如��,10.1.1.0/24)分配給每個VLAN。
在某些實施例中����,VLAN成員資格用端口、MAC地址或用戶名之外的其它標準確定��。因而在某些實施例中�,VLAN成員資格根據(jù)包內(nèi)容來確定,例如��,根據(jù)層2包中的一定比特值來確定��。當交換機128接收一個包���,其中這樣的比特值處于一預定組的一個或多個值中時�����,交換機把包的源MAC地址或包到達的端口160置入相應的VLAN中�����。當交換機128在連接到路由器的干線端口上傳送包時�����,該交換機把包的VLAN號附加到該包上��。在路由器130中���,每個VLAN號與接口相關(guān)聯(lián)����。(這種關(guān)聯(lián)是在接口被確定時建立的�����。)這樣���,如圖2所示���,具有用于每個IP子網(wǎng)的分離接口210,其中路由器直接連接到IP子網(wǎng)����。接續(xù)組按類似于附錄B-G的實施例的方式建立��。特別是在步驟M30上�,管理者為每個接續(xù)組指定規(guī)則���,它確定什么包屬于該接續(xù)組�����。例如����,規(guī)則可以說明具有一定比特的一定值的包屬于一定的接續(xù)組����。
在某些實施例中,路由器130中存取控制表基于除了IP地址外的標準允許或拒絕業(yè)務��。例如�,某些標準涉及端口號。參見如W.Chenwick和S.BellovinD“防火墻和互聯(lián)網(wǎng)安全”(1994),94-109頁�,這里作為參考引出。此外�,某些標準規(guī)定業(yè)務來自接口而不是到達接口。在標準M50之前��,管理者向站點124M提供足夠的信息���,以根據(jù)這種標準創(chuàng)建存取控制表�����。
在某些實施例中�����,為了冗余目的��,VLAN 140可以連接到同一路由器的不同接口210����。兩個接口被分配給同一子網(wǎng)或兩個不同的子網(wǎng)。各自ACL實行對兩個接口的相同限制��。
如果VLAN連接到不同路由器的接口��,路由器之一能試圖經(jīng)VLAN把數(shù)據(jù)傳送給其它路由器�����,可能把信息傳送到可從另一路由器訪問的其它站點��。在此情況下���,用于連接VLAN的接口的ACL被構(gòu)成�,不會不當?shù)叵拗坡酚善髦g的業(yè)務。在某些實施例中����,VLAN子網(wǎng)被做成共享的或不管理的,并且不是任何接續(xù)組的成員��。
附錄G描述了在網(wǎng)絡110中改變接續(xù)的維護處理��。通過再運行附錄B的處理可以完成任何改變(變化)���。然而,附錄G處理簡化了某些實施例中的維護��。
某些實施例省略了標準M50(不產(chǎn)生ACL)���。
上述的實施例說明了本發(fā)明���,但不是用于限制本發(fā)明。本發(fā)明不局限于任何特定的網(wǎng)絡�、層、交換機����、路由器�����、操作系統(tǒng)���、或任何其它硬件或軟件。本發(fā)明不局限于企業(yè)網(wǎng)絡�����。在某些實施例中���,MAC地址不燒制到NIC中��,而是由軟件產(chǎn)生��。在某些實施例中�����,附錄B-G的管理軟件運行在交換機128或路由器130上��,而不是在站點124�。在某些實施例中軟件是分布式的。
在某些實施例中�,域116使用不是層2協(xié)議的其它協(xié)議,路由器130根據(jù)不是層3協(xié)議的其它協(xié)議發(fā)送業(yè)務�。每個域中的接續(xù)根據(jù)不是MAC地址或?qū)?包內(nèi)容的其它信息來確定,路由器130根據(jù)除IP地址外的其它信息來允許或拒絕業(yè)務�。在某些實施例中,路由器130使用IPX地址��。一些實施例使用D.Bierer等人的“NetWare 4 for professionals(專業(yè)網(wǎng)件4)”(1993)(作為參考引出)所公開的NetWare或AppleTalk網(wǎng)絡�。如所述權(quán)利要求所界定的那樣,其它實施例和改進都落入本發(fā)明的范圍內(nèi)��。
附錄A基于用戶的網(wǎng)絡控制在某些實施例中����,VLAN成員資格根據(jù)在站點上登錄的用戶來確定��。在某些視窗NTTM實施例中�,設置可以從所有的VLAN訪問的UBNC服務器(例如,服務器是在共享子網(wǎng)中)��。當一網(wǎng)絡站點加電時�����,它被放在“缺省”VLAN中(缺省VLAN存在于每個層2域116中)。站點從服務于缺省VLAN的DHCP服務器得到IP地址����。當用戶登錄在站點上時,該站點向UBNC服務器發(fā)送一個將該站點切換到與登錄時給定的用戶名相關(guān)聯(lián)的VLAN上的請求�。該請求包含用戶名、站點的MAC地址��、和站點的當前IP地址�����。UBNC服務器確定來自UBNC服務器數(shù)據(jù)庫的相關(guān)VLAN�。在某些實施例中,對于每個用戶名�����,數(shù)據(jù)庫含有相關(guān)VLAN的標識符����。在其它實施例中,數(shù)據(jù)庫含有由管理站提供的下列信息(A)用于每個用戶名的接續(xù)組的標識符��,其中用戶名屬于所述的接續(xù)組���;(B)屬于每個接續(xù)組的VLAN的標識符�����;(C)用于每個VLAN的相關(guān)子網(wǎng)��。
當VBNC服務器接收到該請求時�����,服務器向請求站發(fā)送(1)站點是否將被切換到不同的VLAN的指示(如果用戶在站點未處于缺省VLAN中時登錄���,則可能不要求切換�;此外�����,如果用戶在VLAN未被確定的層2BD中登錄�,將不執(zhí)行切換)�,和(2)分配給用戶的VLAN的IP子網(wǎng)和子網(wǎng)掩碼。然后�,UBNC服務器等待站點釋放它的DBCP租用。然后�,UBNC服務器向交換機或包含該站點的層2域116中的交換機128發(fā)送適當?shù)拿?��。這些交換機把該站點放入分配給用戶的VLAN中。
在接收到來自UBNC服務器的響應之后���,站點釋放它的DHCP租用�����,然后等待一段時間以允許服務器把該站點切換到被指定的VLAN��。在所述的一段時間之后����,站點假定它已經(jīng)被切換��,于是發(fā)出用于新的DHCP租用的請求��。在響應中����,站點接收新的IP地址。站點對照從UBNC服務器接收的IP子網(wǎng)和子網(wǎng)掩碼檢查新IP�����。如果新IP不在子網(wǎng)中,則站點通過向UBNC服務器發(fā)出新的請求來重復該過程���。如果在站點請求新IP時站點未被切換到指定的VLAN�����,則新的IP可能處在錯誤的子網(wǎng)中����。
在某些實施例中�����,缺省VLAN被省略�。在另一些實施例中,每個站點或一組地理上接近的站點被分配給分離的缺省VLAN�,以限制通信直至UBNC服務器把用戶切換到與它們關(guān)聯(lián)的VLAN。當用戶注銷(Log off)時�,用戶站點被返回到適當?shù)娜笔LAN�。
附錄B
創(chuàng)建接續(xù)組M5向管理站124M提供網(wǎng)絡110的IP地址范圍(例如,10.0.0.0/8)M7向管理站124M提供信息I2(附錄C)��。
M10確定VLANM14把IP子網(wǎng)分配給層2 BDM20對于每個接續(xù)組�����,向管理站提供該組的IP子網(wǎng)成員。把一個接續(xù)組制定為管理接續(xù)組����。
M30把可管理的實體(端口,MAC地址和/或用戶名)分配給接續(xù)組M40向管理站提供信息I7和I8��。
M45管理站124M把實體放入適當?shù)腣LAN中(參見附錄D)M50管理站124M創(chuàng)建用于路由器的存取控制表(參見附錄E)附錄C管理站數(shù)據(jù)庫I1網(wǎng)絡110的IP地址范圍I2對于每個域116I2-1域116中的所有VLAN能用交換機128的IP地址I2-2每個交換機的非干線端口160的標識符I3用于每個域116的����,域中的VLAN的標識符I4用于每個層2 BD的,BD是否為VLAN的指示�,BD中所包含的IP子網(wǎng)。如果BD是VLAN��,則是VLAN的標識符I5用于每個接續(xù)組的����,屬于該接續(xù)組的IP子網(wǎng)I6用于每個接續(xù)組的,屬于該接續(xù)組的實體(端口�����,MAC地址,和/或用戶名)I7用于每個路由器的����,接口I7-1相關(guān)的子網(wǎng),如果有的話I7-2指示接口是否連接VLAN能用層2域的標志I8網(wǎng)絡110中所有共享子網(wǎng)的列表附錄DVLAN創(chuàng)建對于每個接續(xù)組CG���,對于接續(xù)組(I6)中的每個實體EV1如果實體E是VLAN能用交換機128的端口160V1-1發(fā)現(xiàn)該端口所屬的域116-E(116P��、116Q����,116R之一)(I2-2,I2-1)V1-2發(fā)現(xiàn)處于接續(xù)組CG和域116-E之中的VLAN(I3,I4,I5)V1-3通過向域116-E的交換機128或者向域116-E的控制交換機128發(fā)送命令����,將端口E放入VLAN中。
V2否則如果實體E是MAC地址����,那么對于接續(xù)組CG中的每個VLAN(I4,I5)V2-1確定含有VLAN的域116-V(116P,116Q,116R之一)(I3)V2-2通過把適當?shù)拿畎l(fā)送給域116-V的所有的交換機128或者控制交換機128,將MAC地址E放入VLAN中V3否則如果實體是用戶名實施例1對于接續(xù)組CG中的每個VLAN(I4,I5)V3-1確定含有VLAN的域116-V(I3)V3-2向UBNC服務器發(fā)送VLAN標識符���、域116-V的標識符�、和用戶名實施例2V3-1向UBNC服務器發(fā)送接續(xù)組CG的標識符和用戶名附錄E步驟M50創(chuàng)建路由器的存取控制表對于網(wǎng)絡110中的每個路由器(I2-3)���,對于路由器的每個接口(I7)����,如果與接口相關(guān)聯(lián)的子網(wǎng)屬于一個接續(xù)組A1允許業(yè)務來自每個共享子網(wǎng)(I8)A2允許業(yè)務來自同一接續(xù)組中的每個其它子網(wǎng)(I5,I4)A3拒絕來自網(wǎng)絡110中的所有其它子網(wǎng)的業(yè)務(I1)A4允許來自網(wǎng)絡110外部的業(yè)務A5開放路由器上的Telnet會話�����,并向該路由器發(fā)送(1)取消現(xiàn)有的ACL的命令��,如果有的話�����,它來自接口���,即無存取組1(2)存取表����;(3)命令
接口vlan_e存取組1輸出這些命令使ACL分配給標簽為“vlan_e”路由器接口附錄F對VLAN 140e的路由器接口210的存取控制表AL1-1存取表1許可ip 10.3.4.00.0.0.255�!共享子網(wǎng)AL1-2a存取表1許可ip 10.1.2.00.0.0.255!同樣的子網(wǎng)���!企業(yè)接續(xù)組AL1-2b存取表1許可ip 10.3.2.00.0.0.255����!同樣的子網(wǎng)!企業(yè)接續(xù)組AL1-3存取表1拒絕ip 10.0.0.00.255.255.255�!網(wǎng)絡10中的所有子網(wǎng)!在同一接續(xù)組之外AL1-4存取表1許可ip全部��!允許訪問����!網(wǎng)絡110之外附錄G維護算法使子網(wǎng)從不管理的轉(zhuǎn)換成接續(xù)組的成員如果子網(wǎng)具有一個以上的網(wǎng)關(guān)地址,則該子網(wǎng)不能成為一個接續(xù)組的成員�����。否則�,如附錄E所示,把子網(wǎng)加入到該接續(xù)組中�,并且為每一個直接連接同一接續(xù)組中的子網(wǎng)的接口,重新產(chǎn)生存取控制表���。
使子網(wǎng)從不管理的轉(zhuǎn)換成共享的把子網(wǎng)加給共享子網(wǎng)的列表I8(附錄C)���。如附錄E所示,重新產(chǎn)生任何接續(xù)組中一個子網(wǎng)所連接到的每個路由器接口的存取控制表����。(將該子網(wǎng)加給每個ACL�����。)
使子網(wǎng)從共享的轉(zhuǎn)換成不管理的從共享子網(wǎng)的列表I8中消除子網(wǎng)(附錄C)。如附錄E所述��,重新產(chǎn)生任何接續(xù)組中一個子網(wǎng)所連接到的每個路由器接口的存取控制表�����。(將從每個ACL中消除該子網(wǎng)�。)使子網(wǎng)從共享的轉(zhuǎn)換成接續(xù)組的成員如果子網(wǎng)具有一個以上的網(wǎng)關(guān)地址,則子網(wǎng)不能成為接續(xù)組的一個成員����。此外,從共享子網(wǎng)的列表I8中消除子網(wǎng)(附錄C)����,并把該子網(wǎng)加給接續(xù)組(附錄C中的I4)。如附錄E所述��,重新產(chǎn)生任何接續(xù)組中一個子網(wǎng)所連接到的每個路由器接口的存取控制表��。
使子網(wǎng)從接續(xù)組的一個成員轉(zhuǎn)換成不管理的從接續(xù)組中消除子網(wǎng)(附錄C中的I5)。消除直接連接子網(wǎng)的路由器接口的ACL�。如附錄E所述,重新產(chǎn)生每個直接連接同一接續(xù)組中一個子網(wǎng)的路由器接口的存取控制表���。(該子網(wǎng)將從每個ACL中消除����。)如果需要�,消除和隨后產(chǎn)生該子網(wǎng)直接連接的路由器接口的ACL,如附錄E所述����。(如果沒有直接連接該接口的其它子網(wǎng),將不產(chǎn)生ACL���。如果有其它子網(wǎng)或諸多子網(wǎng)���,則產(chǎn)生適當?shù)腁CL。)使子網(wǎng)從接續(xù)組的一個成員轉(zhuǎn)換成共享的從接續(xù)組中消除子網(wǎng)(附錄C中的I5)�����。消除子網(wǎng)直接連接的路由器接口的ACL��。重新產(chǎn)生任何接續(xù)組中一個子網(wǎng)直接連接的每個路由器接口的存取控制表,如附錄E所述�。(子網(wǎng)將作為該組的成員從一些ACL中消除,但作為共享子網(wǎng)加給每個ACL�����。)消除從一個接續(xù)組(“老”組)到另一個接續(xù)組(“新”組)的子網(wǎng)從老組中消除子網(wǎng)并把它加給新組(附錄C中的I5)���。重新產(chǎn)生老的或新的接續(xù)組中子網(wǎng)直接連接的每個路由器接口的ACL,如附錄E所述����。
把新的通信實體(端口,MAC地址����,用戶,等等加給接續(xù)組(參見步驟M30)管理者指出新的實體應當歸屬的接續(xù)組��。
端口160�。該端口與交換機128相關(guān)聯(lián),交換機128是層2域116的自身部分����。在給定的層2域中����,選擇的接續(xù)組與特定子網(wǎng)相關(guān)聯(lián)���,是對特定VLAN的自身限制�。當端口被分配給接續(xù)組時�����,執(zhí)行步驟V1(附錄D)以把該端口放入是層2域中的接續(xù)組的一個成員的VLAN中�����。需要說明的是�����,通常隨著當多端口模塊被加到交換機上時或者當整個交換機被加到網(wǎng)絡上時�����,各端口被加入到各組中��。在這些情況下��,整套新端口被加入到由管理者選擇的一個接續(xù)組中。如果需要�,管理者可以逐一改變端口的分配。
MAC地址��。就具有一個端口的情況而言���,在特定的層2域內(nèi)��,所選擇的接續(xù)組與子網(wǎng)/VLAN對相關(guān)聯(lián)�。對于每個層2域�,步驟V2(附錄D)配置所有的交換機(或依賴各交換機容量的單個控制交換機)�����,使給定的MAC地址分配給指定的VLAN���。
用戶���。參見附錄D中的步驟V3。
消除從一個接續(xù)組(“老”組)到另一個接續(xù)組(“新”組)的通信實體(端口�����,MAC地址,用戶)(參見步驟M30)端口160�����。端口與VLAN能用交換機128相關(guān)聯(lián)����,交換機128本身是層2域的部分。在層2域中�,老的和新的接續(xù)組與特定子網(wǎng)相關(guān)聯(lián),它是對特定VLAN的自身限制���。(如果在屬于新接續(xù)組的層2域中沒有子網(wǎng)��,則不產(chǎn)生變化�。)管理站124M改變對新VLAN的端口VLAN分配����。
MAC地址。就具有一個端口的情況而言����,在特定層2域內(nèi),新接續(xù)組與子網(wǎng)/VLAN對相關(guān)聯(lián)。對于每個層2域����,站點124M將配置所有的交換機(或依賴交換機容量配置單個控制交換機),使給定的MAC地址分配給指定的VLAN�����。如果沒有對應于特定層2域的期望接續(xù)組的子網(wǎng)�,則不產(chǎn)生用于層2域的MAC地址的VLAN分配。如果作為移動結(jié)果或者由于MAC地址被分配給插入層2域的膝上型或移動計算機使MAC地址出現(xiàn)在層2域中�,則該交換機采取當未知MAC地址出現(xiàn)時它通常所采取的任何操作。
用戶���。參見附錄D中的步驟V3增加新的路由器接口/VLAN/子網(wǎng)如果新路由器接口210沒有直接連接的子網(wǎng)(沒有網(wǎng)關(guān)地址)��,那么不需要操作�。否則���,接口具有一個或多個網(wǎng)關(guān)地址和相對應的直接連接的子網(wǎng)。對于每個直接連接的子網(wǎng)1.如果子網(wǎng)已經(jīng)是接續(xù)組的成員(因而直接連接另一個路由器的接口)��,那么該子網(wǎng)被轉(zhuǎn)換成共享子網(wǎng)��。參見上述的把子網(wǎng)從接續(xù)組成員轉(zhuǎn)換成共享子網(wǎng)的處理。
2.否則(Else if)如果子網(wǎng)已經(jīng)被指定為共享的或不管理的�,則不需要操作。
3.否則�����,該子網(wǎng)是新子網(wǎng)����。把子網(wǎng)加給共享子網(wǎng)的列表I8(附錄C)。重新產(chǎn)生任何接續(xù)組中的一個子網(wǎng)直接連接的每個路由器接口的存取控制表��,如附錄E所述���。(該子網(wǎng)將加到每個ACL上�,作為一個共享子網(wǎng)��。)如果子網(wǎng)是在包含VLAN能用交換機128的層2域中�����,則一個新子網(wǎng)在該域中創(chuàng)建并且與新子網(wǎng)相關(guān)聯(lián)���。
增加新路由器新路由器130可以有多個接口�。對于每個路由器接口,執(zhí)行上述的為新路由器接口所列舉的操作����。
增加新的VLAN能用交換機新的VLAN能用交換機128被附加到層2域中,在該層2域中有一個分配給管理接續(xù)組的子網(wǎng)和有一個對應該組的VLAN�。
如果該交換機實施基于端口的VLAN,則交換機中所有的端口和交換機的管理堆棧(stack)被分配給與管理接續(xù)組中的子網(wǎng)相對應的VLAN�。此外,交換機被分配一個來自該子網(wǎng)的IP地址�。例如,如果子網(wǎng)10.50.3.0/24是指定給管理組的層2域中的子網(wǎng)�,以及如果VLAN是與子網(wǎng)10.50.3.0/24相關(guān)聯(lián)的VLAN,則某一個在Cisco Catalyst5000系列交換機的主機上發(fā)出下列各項命令���,以便分配給它一個管理接續(xù)組中的地址����。
設置接口sc0 3 10.50.3.200 255.255.255.0 10.50.3.255當sc0是交換機的管理堆棧的指示符時�����,3是對應子網(wǎng)10.50.3.0/24的VLAN���,10.50.3.200指定給該交換機的管理堆棧的子網(wǎng)10.50.3.200/24中的IP地址,255.255.255.0是子網(wǎng)10.50.3.0/24的子網(wǎng)掩碼,10.50.3.255是廣播地址���。
如果交換機實施基于MAC地址的VLAN��,則管理堆棧的MAC地址被分配給與管理接續(xù)組中的子網(wǎng)相對應的VLAN���。與基于端口的VLAN相同,交換機也被分配一個來自該子網(wǎng)的IP地址���。
增加新的接續(xù)組新的(空的)接續(xù)組可以在任何時候增加���。如何把一個子網(wǎng)加到接續(xù)組上已經(jīng)在上文中進行了討論。
權(quán)利要求
1.一種把網(wǎng)絡站點連接到虛擬廣播域(VBD)的方法�,該方法包括在一個網(wǎng)絡上,從一個網(wǎng)絡站點接收標識所述網(wǎng)絡站點的用戶的信息����;確定用戶歸屬的接續(xù)組,其中所述接續(xù)組包含一個或多個VBD��;確定所述網(wǎng)絡站點將要連接的一個或多個VBD����,其中一個或多個VBD是所述接續(xù)組的成員���;和發(fā)出把所述站點與一個或多個VBD相連接的命令。
2.根據(jù)權(quán)利要求1所述的方法��,其中每個VBD是能夠把廣播業(yè)務限制到產(chǎn)生該業(yè)務的VBD的一個域的子域��;接續(xù)組包含至少來自兩個域的VBD����;和該網(wǎng)絡站點將要連接的一個或多個VBD是基于包含網(wǎng)絡站點的域確定的。
3.根據(jù)權(quán)利要求2所述的方法����,其中每個VBD是VLAN,并且網(wǎng)絡站點將連接屬于該接續(xù)組和屬于包含該網(wǎng)絡站點的域的VLAN����。
4.一種把網(wǎng)絡站點連接到虛擬廣播域(VBD)上的結(jié)構(gòu),該結(jié)構(gòu)包括接收裝置�����,在一個網(wǎng)絡上接收來自一個網(wǎng)絡站點的標識所述網(wǎng)絡站點的用戶的信息�����;確定用戶歸屬的接續(xù)組的裝置�����,其中所述接續(xù)組包含一個或多個VBD�����;確定所述網(wǎng)絡站點將要連接的一個或多個VBD的裝置����,其中一個或多個VBD是所述接續(xù)組的成員;和發(fā)出把所述網(wǎng)絡站點與一個或多個VBD相連接的命令的裝置�����。
5.根據(jù)權(quán)利要求4所述的結(jié)構(gòu)��,其中每個VBD是能夠把廣播業(yè)務限制到產(chǎn)生業(yè)務的VBD上的一個域的子域�����;接續(xù)組包含至少來自兩個域的VBD�����;和該網(wǎng)絡站點將要連接的一個或多個VBD是基于包含站點的域確定的。
6.根據(jù)權(quán)利要求5所述的結(jié)構(gòu)���,其中每個VBD是VLAN��,并且站點將連接屬于該接續(xù)組和屬于包含該網(wǎng)絡站點的域的VLAN��。
7.根據(jù)權(quán)利要求4所述的結(jié)構(gòu)�,其中所述結(jié)構(gòu)包含(1)一個計算機系統(tǒng)�����,和(2)裝載到所述計算機系統(tǒng)中的程序�,所述計算機系統(tǒng)和所述程序包括每個所述的確定裝置。
8.根據(jù)權(quán)利要求4所述的結(jié)構(gòu)�����,其中所述的結(jié)構(gòu)是計算機可讀介質(zhì)����,其中每個裝置包括一個或多個計算機指令,計算機可讀數(shù)據(jù)����,或一個或多個指令和數(shù)據(jù)的組合�。
9.一種為在網(wǎng)絡域間路由發(fā)送業(yè)務的一個或多個裝置創(chuàng)建一個或多個存取控制表(ACL)的方法�,其中如果ACL被提供給這樣的一個裝置,則該裝置使用ACL去確定什么業(yè)務在各域之間被允許和/或被禁止����,所述的方法包括確定一組或多組子網(wǎng)絡�,使業(yè)務被允許在每組子網(wǎng)絡中,其中每個子網(wǎng)絡是一部分網(wǎng)絡域或整個網(wǎng)絡域��,并且為每個組提供屬于該組的子網(wǎng)絡的計算機系統(tǒng)標識符��;所述計算機系統(tǒng)產(chǎn)生一個或多個ACL�����,它允許在所述組中的業(yè)務���。
10.根據(jù)權(quán)利要求9所述的方法���,包括確定多個所述的組,其中一個或多個ACL禁止在不同組中的子網(wǎng)絡之間的業(yè)務
11.根據(jù)權(quán)利要求9所述的方法�,進一步包括接收一個或多個共享子網(wǎng)絡的標識符的計算機系統(tǒng),其中業(yè)務將被允許在這樣的共享子網(wǎng)與任何一個所述組中的任何其它子網(wǎng)之間傳送��,其中一個或多個ACL允許在任何一個共享子網(wǎng)與任何一個所述組中任何子網(wǎng)之間的業(yè)務。
12.根據(jù)權(quán)利要求9所述的方法�����,其中至少一個域是能夠限制所述域中的業(yè)務�����;和所述方法包括對于一個或多個組的每一個����,計算機系統(tǒng)接收用于識別所述組內(nèi)允許和/或禁止的業(yè)務,其中所述信息將由限制業(yè)務的一個或多個域所使用����;和計算機系統(tǒng)配置每個能夠限制業(yè)務的域,以便允許和禁止由所述信息所指定的業(yè)務����。
13.根據(jù)權(quán)利要求12所述的方法,其中識別一個組內(nèi)允許和/或禁止的業(yè)務的信息包括一個或多個標識符(1)一個或多個交換機的端口�,其每一個在能夠限制業(yè)務的域內(nèi)傳送業(yè)務,其中�����,所述端口將在所述組內(nèi)傳送業(yè)務,(2)屬于該組的實體的物理地址�,和(3)允許發(fā)送或接收組內(nèi)業(yè)務的用戶名。
14.根據(jù)權(quán)利要求9所述的方法�����,其中每個子網(wǎng)絡標識符是地址或地址范圍���。
15.根據(jù)權(quán)利要求9所述的方法,其中一個或多個裝置基于IP地址路由傳送業(yè)務�����,和其中�,在基于物理地址的各站點之間傳送每個域業(yè)務。
16.一種為在網(wǎng)絡域間路由發(fā)送業(yè)務的一個或多個裝置創(chuàng)建一個或多個存取控制表(ACL)的結(jié)構(gòu)�,其中如果ACL被提供給這樣的一個裝置,則該裝置使用ACL去確定什么業(yè)務在域之間被允許和/或被禁止���,所述的結(jié)構(gòu)包括確定裝置�����,為計算機系統(tǒng)確定一組或多組子網(wǎng)絡���,使業(yè)務被允許在每個組中�,其中每個子網(wǎng)絡是網(wǎng)絡域的一部分或者是整個網(wǎng)絡域��,該裝置還是由計算機系統(tǒng)進行閱讀的裝置�����,計算機系統(tǒng)為每個組讀出屬于所述組的子網(wǎng)絡的標識符�����;產(chǎn)生裝置�����,所述計算機系統(tǒng)產(chǎn)生一個或多個允許每個組內(nèi)的業(yè)務的ACL�。
17.根據(jù)權(quán)利要求16所述的結(jié)構(gòu),其中所述結(jié)構(gòu)包括計算機系統(tǒng)和裝載到計算機系統(tǒng)中的程序���,包括確定裝置和產(chǎn)生裝置的計算機系統(tǒng)與程序的組合���。
18.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)��,其中所述結(jié)構(gòu)是計算機可讀介質(zhì)��,它包括實現(xiàn)確定裝置和產(chǎn)生裝置的指令�。
19.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)����,其中當確定裝置確定了多個組時,一個或多個ACL禁止不同組中子網(wǎng)絡之間的業(yè)務�。
20.根據(jù)權(quán)利要求16所述的結(jié)構(gòu),進一步包括計算機系統(tǒng)讀出裝置�,用于讀出一個或多個共享子網(wǎng)絡的標識符,其中允許在任何一個組中的每個共享子網(wǎng)絡與任何其它子網(wǎng)絡之間的業(yè)務���,其中一個或多個ACL允許在任何一個組中的一個共享子網(wǎng)絡與任何子網(wǎng)絡之間的業(yè)務。
21.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)����,其中至少一個域是能夠限制所述域中的業(yè)務;和所述結(jié)構(gòu)進一步包括計算機系統(tǒng)讀出裝置���,為一個或多個組的每一個讀出識別所述組內(nèi)允許和/或禁止的業(yè)務的信息����,其中所述信息將被限制業(yè)務的一個或多個域使用;和由計算機系統(tǒng)配置每個能夠限制業(yè)務的域的裝置���,以便允許和/或限制由所述信息指定的業(yè)務���。
22.根據(jù)權(quán)利要求21所述的結(jié)構(gòu),其中識別在一個組內(nèi)允許和/或禁止的業(yè)務的信息包括一個或多個標識符(1)一個或多個交換機的端口�,其每一個在能夠限制業(yè)務的域內(nèi)傳送業(yè)務,其中�,其中一個或多個端口將在所述組內(nèi)傳送業(yè)務,(2)屬于該組的實體的物理地址���,和(3)允許發(fā)送或接收組內(nèi)業(yè)務的用戶名����。
23.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)��,其中每個網(wǎng)絡標識符是地址或地址范圍�����。
24.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)��,其中一個或多個裝置路由傳送基于IP地址的業(yè)務�,其中每個域業(yè)務在基于物理地址的站點之間傳送�����。
25.一種在包括多個域的網(wǎng)絡中建立接續(xù)的方法���,其中至少一個域可以有所述域中所確定的子域,使所述域允許單個子域內(nèi)的業(yè)務而禁止子域之間的業(yè)務�����,所述的方法包括確定一個或多個接續(xù)組�����,使業(yè)務被允許在每個組內(nèi)��,并且對于至少一個接續(xù)組�����,向計算機系統(tǒng)提供確定屬于接續(xù)組的業(yè)務的信息�;對于至少一個接續(xù)組��,向計算機系統(tǒng)提供是接續(xù)組成員的子域的標識符��;和對于至少一個接續(xù)組,計算機系統(tǒng)配置每一個具有接續(xù)組中的一個子域的域���,使得該子域允許接續(xù)組中的業(yè)務�����。
26.根據(jù)權(quán)利要求25所述的方法���,其中確定業(yè)務的信息包括,用于至少一個組的��,下列的一個或多個的標識符(1)一個或多個端口����,其每個在一個單域內(nèi)傳送業(yè)務,其中一個或多個端口在所述組內(nèi)傳送業(yè)務���,(2)是所述組成員的站點的物理地址�����,和(3)允許發(fā)送或接收所述組內(nèi)的業(yè)務的用戶名����。
27.根據(jù)權(quán)利要求26所述的方法,其中每個域的配置包括����,對于在具有所述組的子域的一個單域內(nèi)傳送業(yè)務的交換機,配置交換機以便(a)允許是所述組的成員的站點物理地址之間的業(yè)務�,(b)禁止是不同組的成員的站點物理地址之間的業(yè)務。
28.一種建立包括多個域的網(wǎng)絡中接續(xù)的結(jié)構(gòu)�����,其中至少一個域能夠有所述域中確定的子域����,使所述域允許單個子域內(nèi)的業(yè)務,但禁止子域之間的業(yè)務��,該結(jié)構(gòu)包括由一個計算機系統(tǒng)接收確定業(yè)務的信息的裝置���,該業(yè)務屬于一組一個或多個接續(xù)組中的每個接續(xù)組��,其中業(yè)務將被允許在每個組中由計算機系統(tǒng)為至少一個接續(xù)組接收是所述接續(xù)組的成員的子域的標識符的裝置����;和由計算機系統(tǒng)為至少一個接續(xù)組配置每個具有所述接續(xù)組的子域的域���,所以該子域允許所述接續(xù)組中的業(yè)務���。
29.根據(jù)權(quán)利要求28所述的結(jié)構(gòu),其中確定業(yè)務的信息包括��,用于至少一個組的下列的一個或多個標識符(1)一個或多個交換機的端口����,其每一個允許一個單域內(nèi)的業(yè)務,其中一個或多個端口將傳送所述組中的業(yè)務�,(2)是所述組的成員的站點物理地址,和(3)允許發(fā)送或接收所述組內(nèi)的業(yè)務的用戶名�����。
30.根據(jù)權(quán)利要求28所述的結(jié)構(gòu)��,其中所述結(jié)構(gòu)包括計算機系統(tǒng)和裝載到所述計算機系統(tǒng)中的一個程序�,包含所有所述的裝置的計算機系統(tǒng)與程序的組合。
31根據(jù)權(quán)利要求28所述的結(jié)構(gòu)�����,其中所述的結(jié)構(gòu)是計算機可讀介質(zhì),包括實現(xiàn)所有所述裝置的標識符�����。
32.根據(jù)權(quán)利要求28所述的結(jié)構(gòu)��,其中每個域內(nèi)的業(yè)務在基于站點物理地址的站點之間傳遞���,域之間的業(yè)務基于站點的邏輯地址傳送��。
全文摘要
一個網(wǎng)絡包括許多由路由器互連的域(“層2域”)����。在每個域內(nèi),業(yè)務根據(jù)MAC地址(或其它數(shù)據(jù)鏈路層地址)傳送�����。路由器根據(jù)IP地址或其它網(wǎng)絡層地址傳送業(yè)務,為了限制網(wǎng)絡接續(xù),網(wǎng)絡管理者指定接續(xù)組,其每個是被允許通信的一組子網(wǎng)絡��。管理者還指定屬于相同組的實體(MAC地址,端口或用戶名)�����。該實體可以處在相同的或不同的域中�。計算機系統(tǒng)自動地創(chuàng)建路由器的存取控制表,以便允許或拒絕管理者所指定的業(yè)務。計算機系統(tǒng)還創(chuàng)建VLAN以允許或拒絕所指定的業(yè)務,其中每個VLAN是域的一部分或者是整個域。每個域中的接續(xù)由VLAN限制,并且域之間的接續(xù)由存取控制表限制��。
文檔編號H04L12/46GK1298592SQ99805592
公開日2001年6月6日 申請日期1999年4月22日 優(yōu)先權(quán)日1998年4月27日
發(fā)明者托馬斯·G·麥克尼爾, 約瑟夫·J·?��?怂固佚? 斯蒂芬·S·莫斯 申請人:因特納普網(wǎng)絡服務公司