專利名稱:建立網(wǎng)絡(luò)中的接續(xù)的制作方法
背景技術(shù):
本發(fā)明涉及網(wǎng)絡(luò)���,特別是涉及在網(wǎng)絡(luò)中建立接續(xù)(connectivity)。
某些網(wǎng)絡(luò)限制接續(xù)是因?yàn)榘踩男枰蛘呤菫榱藴p少網(wǎng)絡(luò)的業(yè)務(wù)量�。因而網(wǎng)絡(luò)中的一些站點(diǎn)被允許相互通信���,而另一些站點(diǎn)則不允許相互通信。通過在允許通信的站點(diǎn)(station)間建立物理通信鏈路和不在不允許通信的站點(diǎn)間提供物理鏈路可以實(shí)現(xiàn)允許接續(xù)或禁止接續(xù)���。然而��,這是不現(xiàn)實(shí)的�,因?yàn)閷?duì)于每一組接續(xù)限制需要物理鏈路的單獨(dú)配置�����。因此��,已經(jīng)開發(fā)了一種通過向適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備發(fā)送命令來建立或改變網(wǎng)絡(luò)接續(xù)的技術(shù)�。
這種技術(shù)在
圖1和圖2中示出(這些附圖還圖示了本發(fā)明的某些方面,因而這些方面不是現(xiàn)有技術(shù))����。網(wǎng)絡(luò)110是適合互連大機(jī)構(gòu)(1argeorganization)的企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)110包含“層2域”116P,116Q,116R,116S,116T�����。(術(shù)語(yǔ)“層2”指D.Bierer等人所述的OSI(開放系統(tǒng)互連)參考模型的數(shù)據(jù)鏈路層����,參見“NetWare 4 for profes sionals(專業(yè)網(wǎng)件4)”����,1-9頁(yè)�����,這里列入作為參考)�。屬于相同的層2域的116的站點(diǎn)124(例如,域116P中的站點(diǎn)124.1,124.2)可以使用它們的MAC地址(“層2”地址)相互通信�。MAC(媒體訪問控制器)地址是燒制(burn)在站點(diǎn)的網(wǎng)絡(luò)接口卡(NIC)中的或者通過設(shè)置NIC交換機(jī)建立的一個(gè)物理地址。域116的部分或全部可以包括一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)128(與NIC交換機(jī)不混同)���。每個(gè)域116的交換機(jī)128使用站點(diǎn)的MAC地址在站點(diǎn)124之間發(fā)送業(yè)務(wù)量。
僅使用MAC地址�,不同層2域中的站點(diǎn)(例如,站點(diǎn)124.1,124.3)是不能進(jìn)行相互通信的��。它們使用它們的為邏輯地址的IP地址進(jìn)行通信����。路由器130.1,130.2,130.3根據(jù)站點(diǎn)的IP地址在各個(gè)域116之間路由傳送業(yè)務(wù),必要時(shí)在IP地址與MAC地址之間進(jìn)行轉(zhuǎn)譯��。
在某些域116之內(nèi),使用虛擬LAN(或VLAN(虛擬局域網(wǎng)))可以限制接續(xù)��。例如�,域116P包含三個(gè)VLAN 140a、140b��、140c(圖2)����。只有當(dāng)域116P中的站點(diǎn)124屬于相同的VLAN時(shí),域116P中的站點(diǎn)124才可以在層2上相互通信(即�,使用它們的層2地址)。因而�����,如圖1所示��,由于站點(diǎn)124.1�、124.2屬于VLAN 140a,因此可以通信�����。
VALN由LAN交換機(jī)128實(shí)現(xiàn)�。具體地說�,交換機(jī)128將僅在相同的VLAN內(nèi)的站點(diǎn)之間發(fā)送包��。(交換機(jī)128被稱作“VLAN能用”���,因?yàn)樗鼈兡軌虬褬I(yè)務(wù)限制在VLAN上�。某些層2域��,例如�����,域116S或116T��,可以不包含VLAN能用交換機(jī)�����。)不同的層2域之間的接續(xù)由路由器130限制���。路由器130根據(jù)IP地址來使用確定接續(xù)限制的存取控制表(ACL)。參見��,例如���,K.Siyan和C.Hare所著的“互聯(lián)網(wǎng)防火墻和網(wǎng)絡(luò)安全”����,(1995)187-192頁(yè)。
對(duì)于網(wǎng)絡(luò)管理者來說���,創(chuàng)建存取控制表和確定VLAN可能是一種容易混淆和費(fèi)事的處理�。該處理必需在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境下經(jīng)常重復(fù)��,在該環(huán)境中站點(diǎn)�、用戶和網(wǎng)絡(luò)服務(wù)從一處移動(dòng)到另一處,或從一個(gè)機(jī)構(gòu)傳遞到另一個(gè)機(jī)構(gòu)而不是物理地移動(dòng)���,或者增加或刪除�����。
因此���,人們希望更加方便地在網(wǎng)絡(luò)中建立接續(xù)。
概述本發(fā)明提供了一種建立和限制網(wǎng)絡(luò)接續(xù)的新方法和系統(tǒng)���。一些實(shí)施例允許容易地創(chuàng)建VLAN和存取控制表����。
在一些實(shí)施例中,存取控制表由一個(gè)管理站創(chuàng)建��。管理站接收接續(xù)組的確定(definition)���。每個(gè)接續(xù)組是一組子網(wǎng)絡(luò)����。業(yè)務(wù)(traffic)被限制(被允許)在每個(gè)組內(nèi)����。在一些實(shí)施例中,每個(gè)子網(wǎng)絡(luò)被標(biāo)識(shí)為IP子網(wǎng)絡(luò)�。管理站依據(jù)確定接續(xù)組的信息來創(chuàng)建存取控制表。
在一些實(shí)施例中�,管理站還接收共享子網(wǎng)絡(luò)的識(shí)別���,并生成允許在任何接續(xù)組的任何共享子網(wǎng)絡(luò)與任何子網(wǎng)絡(luò)之間的業(yè)務(wù)的ACL(存取控制表)�����。
在一些實(shí)施例中�����,管理站通過適當(dāng)?shù)嘏渲糜騺韯?chuàng)建子域����,比如VLAN。為了配置這些域�����,網(wǎng)絡(luò)管理者為每個(gè)接續(xù)組輸入確定屬于該組的業(yè)務(wù)的信息��。這種信息的實(shí)例是屬于同一接續(xù)組的實(shí)體(比如�����,交換機(jī)的端口����,或網(wǎng)絡(luò)站點(diǎn)的MAC地址,或用戶登錄時(shí)指定的用戶名)的列表�。來自不同接續(xù)組的實(shí)體不允許進(jìn)行通信。一個(gè)接續(xù)組可以包含來自不同的層2域的實(shí)體���?�?梢园迅鲗?shí)體分配給接續(xù)組����,而不需要指定實(shí)體屬于哪個(gè)VALN。管理站確定同一組中的那些實(shí)體屬于一個(gè)單域�����,并把這些實(shí)體放入適當(dāng)?shù)腣LAN中�����。
在一些實(shí)施例中��,標(biāo)識(shí)接續(xù)組中業(yè)務(wù)的信息包括層2包的比特值�。
本發(fā)明不局限于層2域或者交換機(jī)或者路由器。本發(fā)明的其它特點(diǎn)和優(yōu)點(diǎn)將在下文中說明���。本發(fā)明由附帶的權(quán)利要求書確定�����。
附圖的簡(jiǎn)要說明圖1是根據(jù)本發(fā)明建立接續(xù)的網(wǎng)絡(luò)的方框圖�;圖2是示出圖1的網(wǎng)絡(luò)中的VLAN和路由器接口的方框圖。
優(yōu)選實(shí)施例的詳細(xì)說明網(wǎng)絡(luò)110包括五個(gè)層2域116��。這些域被稱為“層2”���,因?yàn)槊總€(gè)域內(nèi)的包尋址是根據(jù)OSI參考模型層2(數(shù)字鏈路層)上的包內(nèi)容執(zhí)行的。路由器130基于層3(網(wǎng)絡(luò)層)上的包內(nèi)容路由發(fā)送業(yè)務(wù)����。特別是,IP地址是層3地址��。然而�,本發(fā)明不局限于層2或?qū)?或符合OSI參考模型的網(wǎng)絡(luò)。
域116P包括根據(jù)MAC地址發(fā)送業(yè)務(wù)的VLAN能用交換機(jī)128.1�����、1 28.2�����。這些交換機(jī)通過干線(trunk)150.1相互連接���。每個(gè)交換機(jī)具有一個(gè)或多個(gè)端口����,其每一個(gè)與一個(gè)網(wǎng)絡(luò)段相連接。因而��,交換機(jī)128.1的端口160.1與包含站點(diǎn)124.1的網(wǎng)絡(luò)段相連接���。交換機(jī)128.2的端口160.2與包含站點(diǎn)124.2的網(wǎng)絡(luò)段相連接���。在圖1中,每個(gè)網(wǎng)絡(luò)段包含一個(gè)單站點(diǎn)��。在一些實(shí)施例中���,一個(gè)網(wǎng)絡(luò)段包含多個(gè)站點(diǎn)���。
交換機(jī)128.1的端口160M連接用來以下述方式創(chuàng)建接續(xù)的管理站124M。
交換機(jī)128.1通過干線150.2連接路由器130.1����。路由器130.1連接路由器130.2、路由器130.3�、和互聯(lián)網(wǎng)170。路由器130.2連接路由器130.3����。路由器130.2通過干線150.3連接域116Q的VLAN能用交換機(jī)128.3�。域116Q還包括VLAN能用交換機(jī)128.4�、128.5、128.6��,它們與交換機(jī)128.1����、128.2類似�����,其每一個(gè)與一個(gè)或多個(gè)網(wǎng)絡(luò)段相連接�����。只有包含站點(diǎn)124.3的網(wǎng)絡(luò)段被示出�。域116Q的交換機(jī)128也相互連接。
路由器130.2與層2域116T相連接����。
路由器130.3連接到域116R的VLAN能用交換機(jī)128.7以及連接層2域116S。交換機(jī)128.7類似于交換機(jī)128.1�、128.2也連接網(wǎng)絡(luò)段(未示出)��。域116S�����、116T包括零個(gè)或多個(gè)交換機(jī)(未示出)���。
在一些實(shí)施例中,一個(gè)或多個(gè)域116沒有任何交換機(jī)或者有非VLAN能用交換機(jī)�����、網(wǎng)絡(luò)集線器(hub)或集線器(concentrator)���。
如上所述��,不同域之間的通信使用IP地址�。例如�����,為了把包發(fā)送給站點(diǎn)124.3��,站點(diǎn)124.1分別把站點(diǎn)124.3的IP地址和路由器130.1的MAC地址插入該包中作為邏輯和物理目的地地址�。路由器130.1用路由器130.2的MAC地址替代目的地MAC地址���,并用路由器130.1的MAC地址替代站點(diǎn)124.1的源MAC地址。然后����,路由器130.1把該包發(fā)送給路由器130.2。路由器130.1用它自己的MAC地址替代該包中的源MAC地址����,并用站點(diǎn)124.3的MAC地址替代目的地MAC地址���,并把該包發(fā)送給交換機(jī)124.3�����。交換機(jī)128.3經(jīng)交換機(jī)128.5向站點(diǎn)124.3發(fā)送該包����。
域116P包括不重疊的VLAN 140a��、140b����、140c(圖2)�����;域116Q包括不重疊的VLAN 140d����、140e�、140f;域116R包括不重疊的VLAN 140g���、140h�、140i���。VLAN中的站點(diǎn)成員由連接站點(diǎn)的交換機(jī)端口160����、或者由站點(diǎn)的MAC地址�����、或者由用戶在站點(diǎn)上登錄的用戶名確定�。基于端口或MAC地址建立VLAN成員的技術(shù)在G.Held所著的“virtual LANsConstruction,Implementation,and Management(虛擬局域網(wǎng)結(jié)構(gòu),實(shí)施�����,和管理)”(1997)中公開����,參見其中的233-249頁(yè)。
用用戶名建立VLAN成員的技術(shù)在附錄A中公開��。另外還可以參見J.Ekstrom等人于1997年4月提交的名為“User-Based Binding of NetworkStation to Broadcast Domains(基于用戶的網(wǎng)絡(luò)站點(diǎn)與廣播域的連接)”的美國(guó)專利申請(qǐng)08/832,011����,這里作為參考文件引出。在一些實(shí)施例中�,VLAN140組合由端口標(biāo)識(shí)的站點(diǎn)����、由MAC地址標(biāo)識(shí)的站點(diǎn)、和/或由用戶名標(biāo)識(shí)的站點(diǎn)�����。
域116S或116T可以包含或可以不包含任何VLAN�。
管理站124M屬于VLAN140b。站點(diǎn)124M可以與任意的交換機(jī)128和任意的路由器130通信。
在一些實(shí)施例中�,(1)所有的交換機(jī)128是可以從位于加利福尼亞州的San Jose的Cisco(思科)有限公司得到的CatalystTM型交換機(jī);(2)路由器130是可以從Cisco有限公司得到的路由器���,并且記載在可以從Cisco有限公司得到的文件中����,零件號(hào)為78-2040-01����,這里作為參考引出。
網(wǎng)絡(luò)110包含接續(xù)組����,它可以包含處在不同的域116中的實(shí)體(非干線交換機(jī)端口160,MAC地址�,或用戶名)。例如���,接續(xù)組可以由VLAN140a���、140d、140g中的所有實(shí)體組成��。允許在同一接續(xù)組中的實(shí)體之間進(jìn)行通信,但禁止在不同接續(xù)組中實(shí)體之間進(jìn)行接續(xù)���。特別是���,交換機(jī)128和路由器130將不從一個(gè)接續(xù)組中的站點(diǎn)124向另一個(gè)接續(xù)組中的站點(diǎn)124發(fā)送包。
眾所周知���,VLAN是廣播域(這里��,還稱作“層2廣播域”或“層2BD”)�。與此相反�����,接續(xù)組不一定是廣播域�。因此,廣播和多點(diǎn)廣播(multicast)業(yè)務(wù)被限制為單VLAN�����。
這里��,還把VLAN稱作“虛擬廣播域”或VBD�����。VBD是不必在網(wǎng)絡(luò)中改變物理連接(例如����,電纜連接)就可以確定的廣播域。
管理站124M包含用于存儲(chǔ)程序和數(shù)據(jù)的存儲(chǔ)器192����,還包含用戶接口裝置194,比如鍵盤����、屏幕、和/或其它接口裝置����。
附錄B示出了在某些實(shí)施例中創(chuàng)建接續(xù)組的處理(特別是創(chuàng)建VLAN 140和路由器存取控制表)。下面將依據(jù)圖1的VLAN的實(shí)例和下列的三個(gè)接續(xù)組說明該處理組1由VLAN140a�����、140d和140g組成��;組2由VLAN140b�����、140e和140h組成;該組將被指定為包含管理站124M的管理接續(xù)組�����;組3由VLAN40c�����、140f和140i組成��。
在某些實(shí)施例中�����,層2域116S是廣播域�。附錄B的處理使與116S形成為允許與任何接續(xù)組通信的共享IP子網(wǎng)。注意����,每個(gè)層2廣播域是IP子網(wǎng)或IP子網(wǎng)的組合。
附錄B的處理留下層2域116T和關(guān)聯(lián)的子網(wǎng)“不管理”�����,即�����,不為相應(yīng)路由器的接口創(chuàng)建ACL��,此外�,未在由該處理創(chuàng)建的任何ACL中明示提及子網(wǎng)116T。因此����,域116T可以接收來自任何接續(xù)組的業(yè)務(wù),但從域116T到任何接續(xù)組的業(yè)務(wù)將被路由器130濾除(阻塞)���。
在某些實(shí)施例中���,單個(gè)的層2域包括管理和未管理的子網(wǎng)。
附錄B的處理可以在任何VLAN或接續(xù)組已經(jīng)在網(wǎng)絡(luò)10中建立之前或之后執(zhí)行��。在某些實(shí)施例中���,首先執(zhí)行附錄B的處理���,以建立包含整個(gè)域116(也許���,共享的和不管理的諸如域116T、116S的域除外)中的所有通信實(shí)體的單個(gè)的“管理接續(xù)組”���。管理組使管理站124M能夠與所有的交換機(jī)或路由器通信�。然后執(zhí)行附錄B處理或附錄G的維護(hù)處理�����,以建立上述的組1�、2、3或任何其它的組��。用能夠與交換機(jī)或路由器通信的管理站建立這樣的組是很方便的����。
或者,只有交換機(jī)128和管理站124M被放入管理接續(xù)組中�����。在某些實(shí)施例中�,只有交換機(jī)128的那些端口被放入需要的管理接續(xù)組中,以允許管理站124M與所有的VLAN能用交換機(jī)和所有的路由器通信。
在下述的實(shí)施例中�����,假定當(dāng)附錄B處理開始啟動(dòng)時(shí)沒有管理接續(xù)組�����。
在附錄B的處理開始啟動(dòng)之前�����,配置每一個(gè)路由器130�,以便把一個(gè)或多個(gè)IP子網(wǎng)分配給每個(gè)路由器接口210(圖2)����。(需要說明的是,對(duì)于某些Cisco文件所稱的“子接口”我們使用術(shù)語(yǔ)“接口”)���。當(dāng)附錄B的處理完成之后���,每個(gè)路由器130都將有連接路由器的域116中的每個(gè)VLAN的一個(gè)分離的接口。
需要說明的是���,由于每個(gè)VLAN140是一個(gè)子網(wǎng)或諸多子網(wǎng)的組合�����,因此路由器基本上是根據(jù)VLAN作出發(fā)送的決定�,即使路由器軟件不明示地知曉VLAN。路由器經(jīng)路由器的干線端口(例如干線端口220)連接域��,每個(gè)接口是干線端口的邏輯子端口���。
眾所周知�����,交換機(jī)和路由器的干線端口(即��,與互連交換機(jī)或交換機(jī)和路由器的干線150相連接的端口)傳送多VLAN的業(yè)務(wù)��。經(jīng)過干線端口的業(yè)務(wù)使用中繼(trunking)協(xié)議�����,其中每個(gè)包被封裝在標(biāo)有該包所分配到的VLAN標(biāo)識(shí)的一個(gè)更大的包中�����。如果VLAN成員由端口確定而不是MAC地址確定�,則VLAN標(biāo)簽允許接收交換機(jī)128識(shí)別包的VLAN。
路由器130理解中繼協(xié)議�����,于是在相同的干線端口上處理來自不同VLAN的業(yè)務(wù)��,就好像來自每個(gè)VLAN的業(yè)務(wù)已經(jīng)到達(dá)分配給VLAN的分離端口�����。
某些實(shí)施例在路由器與層2域之間使用分離的物理連接來替代干線��,以便傳送分離的VLAN的業(yè)務(wù)��。
每個(gè)接口具有由接口處理每個(gè)子網(wǎng)絡(luò)中的網(wǎng)關(guān)地址���。網(wǎng)關(guān)地址是子網(wǎng)中的路由器的網(wǎng)關(guān)地址。
附錄C示出了在存儲(chǔ)器192中由附錄B的一些步驟創(chuàng)建的數(shù)據(jù)庫(kù)���。
在步驟M5(附錄B)����,網(wǎng)絡(luò)管理器向管理站124M提供網(wǎng)絡(luò)110的IP地址范圍。在附錄B的實(shí)例中����,地址范圍是10.0.0.0/8。在網(wǎng)絡(luò)110中�����,每個(gè)子網(wǎng)具有255.255.255.0的子網(wǎng)掩碼��。
IP地址范圍和子網(wǎng)具有格式10.0.0.0/8(子網(wǎng)掩碼具有8個(gè)最高有效1’s�����,后面是所有的0’s)或者作為IP地址(10.0.0.0)和網(wǎng)絡(luò)掩碼(255.0.0.0)的組合��。
管理站124M把網(wǎng)絡(luò)110的IP地址范圍輸入它的數(shù)據(jù)庫(kù)�,如附錄C中的I1所示。
如附錄B所示�����,步驟M7由管理者(administrator)執(zhí)行�。站點(diǎn)124M創(chuàng)建數(shù)據(jù)結(jié)構(gòu)I2(附錄C)。附錄C中的這一信息以及其它信息在不同的實(shí)施例中進(jìn)行不同的組織�。例如��,在某些實(shí)施例中����,條目I2-1(交換機(jī)地址)被存儲(chǔ)作為用于每個(gè)域的地址表���。在其它實(shí)施例中�,同樣的信息被存儲(chǔ)為地址和相應(yīng)域的對(duì)(偶)���。其它的數(shù)據(jù)結(jié)構(gòu)用于其它的實(shí)施例�。
在步驟M10中���,網(wǎng)絡(luò)管理者確定VLAN 140。確定VLAN包含向站點(diǎn)124M和向相應(yīng)域116中的每個(gè)交換機(jī)128提供VLAN標(biāo)識(shí)符�����。VLAN標(biāo)識(shí)符是交換機(jī)128可理解的標(biāo)識(shí)符�,即,VLAN號(hào)����。交換機(jī)128.1���、128.2的每一個(gè)接收VLAN140a、140b��、140c的標(biāo)識(shí)符��;交換機(jī)128.7接收VLAN 140g����、140h、140i的標(biāo)識(shí)符���,等等����。對(duì)VLAN的確定不包含確定屬于每個(gè)VLAN的實(shí)體(端口���、MAC地址或用戶名)�����。
在某些實(shí)施例中�,管理者把VLAN標(biāo)識(shí)符直接輸入到每個(gè)交換機(jī)128中���。在其它實(shí)施例中���,管理者把VLAN標(biāo)識(shí)符送入每個(gè)域116的控制交換機(jī)128中�。該控制交換機(jī)把該標(biāo)識(shí)符發(fā)送給同一域中的其它交換機(jī)(如果有的話)��。在其它實(shí)施例中管理者使用(例如)遠(yuǎn)程網(wǎng)(Telnet)或SNMP協(xié)議從站點(diǎn)124M遠(yuǎn)程地向交換機(jī)128提供該信息�����。
站點(diǎn)124M把該信息存儲(chǔ)到它的數(shù)據(jù)庫(kù)中���,如附錄C中的I3所示�。
在步驟M14�,網(wǎng)絡(luò)管理者把信息I4(附錄C)送入站點(diǎn)124M�。在圖1和2中,分離的子網(wǎng)被分配給每個(gè)層2BD���,以便在層2BD與IP子網(wǎng)之間有一對(duì)一的對(duì)應(yīng)關(guān)系���。子網(wǎng)在圖2和下列的表1中示出
表1
在某些實(shí)施例中,多個(gè)子網(wǎng)被分配給層2BD��。
使用子網(wǎng)地址/子網(wǎng)掩碼符號(hào)或子網(wǎng)地址和掩碼符號(hào)中的各個(gè)數(shù)字1向站點(diǎn)124M提供子網(wǎng)。
此外���,在步驟M14中����,網(wǎng)絡(luò)110被配置為從相應(yīng)的IP子網(wǎng)分配每個(gè)VLAN中的IP地址�����。因而�,在某些Windows NTTM實(shí)施例中,DHCP服務(wù)器被配置為在相應(yīng)子網(wǎng)中分配IP地址�����。(Windows NT在R.Sant’Angelo等人的“WindowsNT Server Survival Guide(視窗NT服務(wù)器生存指南)”(1996)中公開����,這里作為參考引出)。在某些實(shí)施例中�����,DHCP服務(wù)器被連接到路由器130的一個(gè)子網(wǎng)上���。路由器被配置為從直接連接該路由器的所有子網(wǎng)向該DHCP服務(wù)器發(fā)送DHCP請(qǐng)求���。在其它實(shí)施例中����,分離的DHCP服務(wù)器被設(shè)置在每個(gè)子網(wǎng)上�����。
在步驟M20�����,對(duì)于每個(gè)接續(xù)組�����,管理者把是該接續(xù)組成員的IP子網(wǎng)(即�,是接續(xù)組成員的層2BD的部分的IP子網(wǎng))輸入到站點(diǎn)124M中。因而管理者輸入用于接續(xù)組1的VLAN 140a�����、140d�����、140g中的子網(wǎng)�����;輸入用于組2的VLAN 140b�、140e、140h中的子網(wǎng)��;和輸入用于組3的VLAN 140c��、140f��、140i中的子網(wǎng)�。或者���,對(duì)于每個(gè)接續(xù)組��,管理者輸入接續(xù)組的層2BD成員的標(biāo)識(shí)�。在任一種情況下�,為了產(chǎn)生可以從管理站124M到達(dá)的每個(gè)路由器,管理者可以輸入將是管理接續(xù)組的成員的IP子網(wǎng)。在某些實(shí)施例中�,每個(gè)路由器至少有一個(gè)共享子網(wǎng)中的網(wǎng)關(guān)IP地址或者一個(gè)管理接續(xù)組的子網(wǎng)號(hào)。
某些實(shí)施例不需要每個(gè)路由器是可從管理站到達(dá)的�。因此,在某些實(shí)施例中����,僅直接連接不管理的子網(wǎng)和其它路由器的路由器不必是可到達(dá)的(reachable)。
條目I5(附錄C)在步驟M20上創(chuàng)建��。
如果多個(gè)子網(wǎng)被分配給一個(gè)單層2BD��,則它們?nèi)勘环峙浣o同一接續(xù)組�����。
在步驟M30���,管理者把屬于每個(gè)接續(xù)組的實(shí)體輸入站點(diǎn)124M����。條目I6(附錄C)被創(chuàng)建�����。例如�,對(duì)于接續(xù)組1,管理者輸入交換機(jī)端口160.1���、160.2���、160.3(假定連接端口160.3的站點(diǎn)124.3屬于VLAN140d),和其它端口�,MAC地址,和/或?qū)儆赩LAN140a���、140d�����、140g的用戶名�����。在一些實(shí)施例中����,管理員不必記住這些端口�����、MAC地址或用戶各是屬于哪個(gè)域或VLAN的。
在站點(diǎn)124M中����,用可以由管理者分配的標(biāo)簽來標(biāo)識(shí)端口160,以便易于引用���。例如�����,如果一個(gè)端口連接一個(gè)使用用戶名Fred的站點(diǎn)124���,則管理者可以把標(biāo)簽“Fred”分配給該端口,并且可以在步驟M30把分配該端口的“Fred”輸入到接續(xù)組中�����。把MAC地址分配給接續(xù)組的情況也類似���。
在步驟M40��,管理者把信息I7和I8(附錄C)輸入到管理站124M中�����。
在步驟M45�����,站點(diǎn)124M創(chuàng)建VLAN140���,把每個(gè)實(shí)體放入適當(dāng)?shù)腣LAN中,如附錄D所示���。在附錄D中����,括號(hào)中的數(shù)字指出在附錄D的相應(yīng)步驟中使用的附錄C的數(shù)據(jù)庫(kù)條目�。
在附錄D中,如果接續(xù)組的實(shí)體E是VLAN能用交換機(jī)的端口160(步驟V1)���,則該實(shí)體僅被放入端口歸屬的域116的VLAN中�。與此相反����,如果實(shí)體是MAC地址(步驟V2)或用戶名(步驟V3)��,則實(shí)體被放入接續(xù)組的每個(gè)VLAN中����。在MAC地址的情況下�,這允許具有該MAC地址的站點(diǎn)在任何一個(gè)域116中連接,該域116包含該接續(xù)組中的一個(gè)VLAN�����。因此��,具有接續(xù)組1中的MAC地址的便攜計(jì)算機(jī)(例如�,膝上型計(jì)算機(jī))可以連接域116P、116Q�、116R。如果計(jì)算機(jī)連接到域116P��,則接收含有該計(jì)算機(jī)的MAC地址作為源地址的包的交換機(jī)128.1�����、128.2將把該計(jì)算機(jī)放入VLAN 140a中�。相似地,如果計(jì)算機(jī)連接到域116Q����,則把它放入VLAN 140d中����,等等�����。
同樣地����,用戶名被放入接續(xù)組的每個(gè)VLAN 140中���。如果用戶在域116P中登錄���,則要求UBNC服務(wù)器將用戶切換到適當(dāng)?shù)腣LAN的一個(gè)請(qǐng)求將從域116P發(fā)出。例如�,如果用戶名在接續(xù)組1中,則VBNC服務(wù)器將分別在VLAN140d或140g中放置該用戶���。
在步驟V3�����,“實(shí)施例1”不要求讓UBNC知道任何關(guān)于接續(xù)組的情況���。站點(diǎn)124M告訴UBNC服務(wù)器把哪個(gè)VLAN分配給每個(gè)域116中的用戶名(步驟V3-2)�。在實(shí)施例2中�����,UBNC服務(wù)器知道VLAN屬于哪個(gè)接續(xù)組(這一信息可以直接提供給UBNC服務(wù)器����,或者遠(yuǎn)程地例如從站點(diǎn)124M提供給UBNC服務(wù)器)。因此�,在實(shí)施例2的步驟V3-1上,站點(diǎn)124M不通知UBNC服務(wù)器把VLAN分配給用戶��。當(dāng)用戶登錄時(shí)���,UBNC服務(wù)器確定來自用戶接續(xù)組的用戶VLAN和來自登錄發(fā)生的域116的用戶VLAN�����。由于UBNC數(shù)據(jù)庫(kù)包含與每個(gè)域116中的每個(gè)VLAN相關(guān)聯(lián)的IP子網(wǎng)��,因此域116依據(jù)用戶的IP地址確定�����。在某些實(shí)施例中�����,UBNC服務(wù)器在管理站124M上運(yùn)行�����。
在步驟M50(附錄B)�����,站點(diǎn)124M通過執(zhí)行附錄E所示的程序創(chuàng)建路由器存取控制表�����。分離存取控制表是為接續(xù)組的子網(wǎng)成員所直接連接到的每個(gè)路由器接口創(chuàng)建的����。下面將根據(jù)從路由器130.2到VLAN 140e的接口210的實(shí)例說明附錄E的程序���。
對(duì)于每個(gè)路由器接口���,如果如果相應(yīng)的子網(wǎng)屬于一個(gè)接續(xù)組��,則步驟A1至步驟A5創(chuàng)建諸如附錄F所示的存取控制表�。附錄F中的線路號(hào)(例如�,AL1-1)對(duì)應(yīng)于附錄E的步驟號(hào)。因而����,步驟A1(附錄E)創(chuàng)建線路AL1-1,步驟A2創(chuàng)建線路AL1-2a和AL1-2b��,等等�。
附錄F使用可從Cisco有限公司(加尼福尼亞州,San jose)得到的某些路由器所采用的句法(syntax)��。該句法在K.siyan和C.Hare的“互聯(lián)網(wǎng)防火墻和網(wǎng)絡(luò)安全”(1995)中公開���,這里作為參考引出����。線路號(hào)(比如AL1-1)不是存取控制表的部分�。此外,開始于驚嘆號(hào)(!)一直到行終點(diǎn)的正文是被路由器忽略的注釋�。這些注釋在某些實(shí)施例中被省略。
步驟A1創(chuàng)建允許業(yè)務(wù)從每個(gè)共享子網(wǎng)比如子網(wǎng)116S到接口210的線路����。程序向存取擴(kuò)展表寫入單詞“存取表”,存取控制表號(hào)碼(在某些實(shí)施例中由程序本身順序生成)����,單詞“允許ip”,共享子網(wǎng)的IP地址���,和0.0.0.225的通配符掩碼�����。(與輸入的包IP相比����,通配符掩碼中的0比特表示源IP地址的對(duì)應(yīng)比特被路由器使用����,通配符掩碼中的1比特表示未被使用����。)線路AL1-1中的通配符掩碼0.0.0.225通過倒置子網(wǎng)掩碼來確定���。
步驟A2創(chuàng)建線路,比如線路AL1-2a�����、AL1-2b���,以允許業(yè)務(wù)來自同一接續(xù)組中的每個(gè)其它子網(wǎng)(例如�����,層2BD)���。線路AL1-2a允許業(yè)務(wù)來自子網(wǎng)10.1.2.0/24(VLAN 140b)。線路AL1-2b允許業(yè)務(wù)來自子網(wǎng)10.3.2.0/24(VLAN140h)�。
步驟A3創(chuàng)建線路AL1-3,它拒絕來自網(wǎng)絡(luò)110中所有其它站的業(yè)務(wù)���。(需要說明的是�,當(dāng)路由器接收一個(gè)包時(shí)�����,路由器測(cè)試起始于存取控制表的開頭的包。當(dāng)適用于該包的線路被發(fā)現(xiàn)時(shí)���,忽略該存取控制表的其余部分����。)通配符掩碼通過倒置網(wǎng)絡(luò)110的IP地址范圍掩碼來獲得����。
步驟A4創(chuàng)建線路AL1-4,它允許業(yè)務(wù)來自網(wǎng)絡(luò)110之外的任何站點(diǎn)���,包括來自互聯(lián)網(wǎng)170的業(yè)務(wù)���。
在某些實(shí)施例中,在步驟M50之前��,管理者為接續(xù)組中的每個(gè)子網(wǎng)表明管理站124M是否允許業(yè)務(wù)從互聯(lián)網(wǎng)傳送到子網(wǎng)���。如果業(yè)務(wù)被拒絕,則省略用于相應(yīng)接口的步驟A4����,步驟A3創(chuàng)建“拒絕任何ip”線路�,而不是創(chuàng)建線路AL1-3�����。
步驟A5的執(zhí)行如附錄E所示��。
如果路由器接口不連接到接續(xù)組的BD成員��,而是連接到共享或不管理子網(wǎng)(例如160S)或互聯(lián)網(wǎng)170���,則不創(chuàng)建ACL��,使該子網(wǎng)或互聯(lián)網(wǎng)可從任何其它子網(wǎng)訪問��。
在某些實(shí)施例中����,在附錄B的步驟M40上��,管理者指定將要為每個(gè)共享子網(wǎng)提供什么樣的訪問���,并且附錄E的處理使用公知的方法創(chuàng)建適當(dāng)?shù)拇嫒】刂票?��。例如����,如果共享子網(wǎng)僅僅是可從網(wǎng)絡(luò)110內(nèi)訪問�,則存取控制表將包括以下線路,諸如訪問表1允許ip(access-list 1 permit ip)10.0.0.0 0.255.255.255訪問表1拒絕ip任何(access-list 1 deny ip any)在其它實(shí)施例中�,這種功能由路由器130.1或某些其它裝置(未示出)中實(shí)施的企業(yè)級(jí)防火墻提供。
管理站124M指令每個(gè)路由器130刪除現(xiàn)有的存取控制表并換上新的存取控制表��。
某些實(shí)施例允許網(wǎng)絡(luò)管理者把附加命令插入存取控制表中�。因而,在某些實(shí)施例中��,在步驟M50之前�����,管理者可以為每個(gè)子網(wǎng)指定要插入到對(duì)應(yīng)接口的存取控制表中的附加項(xiàng)目(terms)���。具體地說�����,管理者可以指定在步驟A1之前插入的項(xiàng)目�、在步驟A2與A3之間插入的項(xiàng)目、在步驟A3與A4之間插入的項(xiàng)目�、和在步驟A4之后插入的項(xiàng)目���。在某些實(shí)施例中���,該技術(shù)被用來將防火墻功能并入存取控制表中,從而消除使用分離的企業(yè)級(jí)防火墻的需要�����。
在某些實(shí)施例中����,步驟M10和M20被省略。在步驟M45���,對(duì)于每個(gè)接續(xù)組�,管理站124M在具有VLAN能用交換機(jī)和具有一個(gè)或多個(gè)接續(xù)組實(shí)體的每個(gè)域116中創(chuàng)建一個(gè)VLAN�����,并把該實(shí)體放入VLAN中�����。(這樣,如果域具有接續(xù)組中的端口��,或者如果接續(xù)組包含MAC地址或用戶名�����,則在域中創(chuàng)建一個(gè)VLAN�����。)站點(diǎn)124M還把IP子網(wǎng)(例如����,10.1.1.0/24)分配給每個(gè)VLAN。
在某些實(shí)施例中����,VLAN成員資格用端口、MAC地址或用戶名之外的其它標(biāo)準(zhǔn)確定�����。因而在某些實(shí)施例中,VLAN成員資格根據(jù)包內(nèi)容來確定��,例如���,根據(jù)層2包中的一定比特值來確定�。當(dāng)交換機(jī)128接收一個(gè)包�,其中這樣的比特值處于一預(yù)定組的一個(gè)或多個(gè)值中時(shí)���,交換機(jī)把包的源MAC地址或包到達(dá)的端口160置入相應(yīng)的VLAN中��。當(dāng)交換機(jī)128在連接到路由器的干線端口上傳送包時(shí)����,該交換機(jī)把包的VLAN號(hào)附加到該包上����。在路由器130中,每個(gè)VLAN號(hào)與接口相關(guān)聯(lián)���。(這種關(guān)聯(lián)是在接口被確定時(shí)建立的����。)這樣��,如圖2所示,具有用于每個(gè)IP子網(wǎng)的分離接口210��,其中路由器直接連接到IP子網(wǎng)����。接續(xù)組按類似于附錄B-G的實(shí)施例的方式建立。特別是在步驟M30上�,管理者為每個(gè)接續(xù)組指定規(guī)則,它確定什么包屬于該接續(xù)組����。例如,規(guī)則可以說明具有一定比特的一定值的包屬于一定的接續(xù)組����。
在某些實(shí)施例中,路由器130中存取控制表基于除了IP地址外的標(biāo)準(zhǔn)允許或拒絕業(yè)務(wù)�。例如,某些標(biāo)準(zhǔn)涉及端口號(hào)����。參見如W.Chenwick和S.BellovinD“防火墻和互聯(lián)網(wǎng)安全”(1994),94-109頁(yè),這里作為參考引出�。此外,某些標(biāo)準(zhǔn)規(guī)定業(yè)務(wù)來自接口而不是到達(dá)接口。在標(biāo)準(zhǔn)M50之前���,管理者向站點(diǎn)124M提供足夠的信息����,以根據(jù)這種標(biāo)準(zhǔn)創(chuàng)建存取控制表��。
在某些實(shí)施例中����,為了冗余目的���,VLAN 140可以連接到同一路由器的不同接口210��。兩個(gè)接口被分配給同一子網(wǎng)或兩個(gè)不同的子網(wǎng)��。各自ACL實(shí)行對(duì)兩個(gè)接口的相同限制�。
如果VLAN連接到不同路由器的接口�,路由器之一能試圖經(jīng)VLAN把數(shù)據(jù)傳送給其它路由器,可能把信息傳送到可從另一路由器訪問的其它站點(diǎn)�����。在此情況下,用于連接VLAN的接口的ACL被構(gòu)成��,不會(huì)不當(dāng)?shù)叵拗坡酚善髦g的業(yè)務(wù)�����。在某些實(shí)施例中����,VLAN子網(wǎng)被做成共享的或不管理的,并且不是任何接續(xù)組的成員�����。
附錄G描述了在網(wǎng)絡(luò)110中改變接續(xù)的維護(hù)處理�。通過再運(yùn)行附錄B的處理可以完成任何改變(變化)。然而��,附錄G處理簡(jiǎn)化了某些實(shí)施例中的維護(hù)����。
某些實(shí)施例省略了標(biāo)準(zhǔn)M50(不產(chǎn)生ACL)。
上述的實(shí)施例說明了本發(fā)明���,但不是用于限制本發(fā)明���。本發(fā)明不局限于任何特定的網(wǎng)絡(luò)�����、層�、交換機(jī)�����、路由器�、操作系統(tǒng)、或任何其它硬件或軟件�����。本發(fā)明不局限于企業(yè)網(wǎng)絡(luò)�。在某些實(shí)施例中��,MAC地址不燒制到NIC中�����,而是由軟件產(chǎn)生�����。在某些實(shí)施例中,附錄B-G的管理軟件運(yùn)行在交換機(jī)128或路由器130上��,而不是在站點(diǎn)124��。在某些實(shí)施例中軟件是分布式的�。
在某些實(shí)施例中,域116使用不是層2協(xié)議的其它協(xié)議�,路由器130根據(jù)不是層3協(xié)議的其它協(xié)議發(fā)送業(yè)務(wù)。每個(gè)域中的接續(xù)根據(jù)不是MAC地址或?qū)?包內(nèi)容的其它信息來確定���,路由器130根據(jù)除IP地址外的其它信息來允許或拒絕業(yè)務(wù)����。在某些實(shí)施例中�����,路由器130使用IPX地址�。一些實(shí)施例使用D.Bierer等人的“NetWare 4 for professionals(專業(yè)網(wǎng)件4)”(1993)(作為參考引出)所公開的NetWare或AppleTalk網(wǎng)絡(luò)。如所述權(quán)利要求所界定的那樣��,其它實(shí)施例和改進(jìn)都落入本發(fā)明的范圍內(nèi)��。
附錄A基于用戶的網(wǎng)絡(luò)控制在某些實(shí)施例中,VLAN成員資格根據(jù)在站點(diǎn)上登錄的用戶來確定�����。在某些視窗NTTM實(shí)施例中��,設(shè)置可以從所有的VLAN訪問的UBNC服務(wù)器(例如�����,服務(wù)器是在共享子網(wǎng)中)�����。當(dāng)一網(wǎng)絡(luò)站點(diǎn)加電時(shí)���,它被放在“缺省”VLAN中(缺省VLAN存在于每個(gè)層2域116中)�。站點(diǎn)從服務(wù)于缺省VLAN的DHCP服務(wù)器得到IP地址�。當(dāng)用戶登錄在站點(diǎn)上時(shí)�,該站點(diǎn)向UBNC服務(wù)器發(fā)送一個(gè)將該站點(diǎn)切換到與登錄時(shí)給定的用戶名相關(guān)聯(lián)的VLAN上的請(qǐng)求。該請(qǐng)求包含用戶名��、站點(diǎn)的MAC地址���、和站點(diǎn)的當(dāng)前IP地址��。UBNC服務(wù)器確定來自UBNC服務(wù)器數(shù)據(jù)庫(kù)的相關(guān)VLAN�����。在某些實(shí)施例中����,對(duì)于每個(gè)用戶名,數(shù)據(jù)庫(kù)含有相關(guān)VLAN的標(biāo)識(shí)符����。在其它實(shí)施例中,數(shù)據(jù)庫(kù)含有由管理站提供的下列信息(A)用于每個(gè)用戶名的接續(xù)組的標(biāo)識(shí)符�����,其中用戶名屬于所述的接續(xù)組��;(B)屬于每個(gè)接續(xù)組的VLAN的標(biāo)識(shí)符���;(C)用于每個(gè)VLAN的相關(guān)子網(wǎng)�。
當(dāng)VBNC服務(wù)器接收到該請(qǐng)求時(shí)�,服務(wù)器向請(qǐng)求站發(fā)送(1)站點(diǎn)是否將被切換到不同的VLAN的指示(如果用戶在站點(diǎn)未處于缺省VLAN中時(shí)登錄����,則可能不要求切換����;此外,如果用戶在VLAN未被確定的層2BD中登錄���,將不執(zhí)行切換)��,和(2)分配給用戶的VLAN的IP子網(wǎng)和子網(wǎng)掩碼����。然后�����,UBNC服務(wù)器等待站點(diǎn)釋放它的DBCP租用��。然后�����,UBNC服務(wù)器向交換機(jī)或包含該站點(diǎn)的層2域116中的交換機(jī)128發(fā)送適當(dāng)?shù)拿?���。這些交換機(jī)把該站點(diǎn)放入分配給用戶的VLAN中。
在接收到來自UBNC服務(wù)器的響應(yīng)之后�����,站點(diǎn)釋放它的DHCP租用��,然后等待一段時(shí)間以允許服務(wù)器把該站點(diǎn)切換到被指定的VLAN�。在所述的一段時(shí)間之后,站點(diǎn)假定它已經(jīng)被切換��,于是發(fā)出用于新的DHCP租用的請(qǐng)求�。在響應(yīng)中,站點(diǎn)接收新的IP地址�。站點(diǎn)對(duì)照從UBNC服務(wù)器接收的IP子網(wǎng)和子網(wǎng)掩碼檢查新IP。如果新IP不在子網(wǎng)中��,則站點(diǎn)通過向UBNC服務(wù)器發(fā)出新的請(qǐng)求來重復(fù)該過程���。如果在站點(diǎn)請(qǐng)求新IP時(shí)站點(diǎn)未被切換到指定的VLAN�����,則新的IP可能處在錯(cuò)誤的子網(wǎng)中����。
在某些實(shí)施例中,缺省VLAN被省略���。在另一些實(shí)施例中���,每個(gè)站點(diǎn)或一組地理上接近的站點(diǎn)被分配給分離的缺省VLAN,以限制通信直至UBNC服務(wù)器把用戶切換到與它們關(guān)聯(lián)的VLAN��。當(dāng)用戶注銷(Log off)時(shí)�,用戶站點(diǎn)被返回到適當(dāng)?shù)娜笔LAN。
附錄B
創(chuàng)建接續(xù)組M5向管理站124M提供網(wǎng)絡(luò)110的IP地址范圍(例如��,10.0.0.0/8)M7向管理站124M提供信息I2(附錄C)���。
M10確定VLANM14把IP子網(wǎng)分配給層2 BDM20對(duì)于每個(gè)接續(xù)組����,向管理站提供該組的IP子網(wǎng)成員���。把一個(gè)接續(xù)組制定為管理接續(xù)組���。
M30把可管理的實(shí)體(端口�����,MAC地址和/或用戶名)分配給接續(xù)組M40向管理站提供信息I7和I8。
M45管理站124M把實(shí)體放入適當(dāng)?shù)腣LAN中(參見附錄D)M50管理站124M創(chuàng)建用于路由器的存取控制表(參見附錄E)附錄C管理站數(shù)據(jù)庫(kù)I1網(wǎng)絡(luò)110的IP地址范圍I2對(duì)于每個(gè)域116I2-1域116中的所有VLAN能用交換機(jī)128的IP地址I2-2每個(gè)交換機(jī)的非干線端口160的標(biāo)識(shí)符I3用于每個(gè)域116的�����,域中的VLAN的標(biāo)識(shí)符I4用于每個(gè)層2 BD的���,BD是否為VLAN的指示��,BD中所包含的IP子網(wǎng)�����。如果BD是VLAN�����,則是VLAN的標(biāo)識(shí)符I5用于每個(gè)接續(xù)組的�����,屬于該接續(xù)組的IP子網(wǎng)I6用于每個(gè)接續(xù)組的�,屬于該接續(xù)組的實(shí)體(端口,MAC地址���,和/或用戶名)I7用于每個(gè)路由器的���,接口I7-1相關(guān)的子網(wǎng),如果有的話I7-2指示接口是否連接VLAN能用層2域的標(biāo)志I8網(wǎng)絡(luò)110中所有共享子網(wǎng)的列表附錄DVLAN創(chuàng)建對(duì)于每個(gè)接續(xù)組CG���,對(duì)于接續(xù)組(I6)中的每個(gè)實(shí)體EV1如果實(shí)體E是VLAN能用交換機(jī)128的端口160V1-1發(fā)現(xiàn)該端口所屬的域116-E(116P����、116Q��,116R之一)(I2-2,I2-1)V1-2發(fā)現(xiàn)處于接續(xù)組CG和域116-E之中的VLAN(I3,I4,I5)V1-3通過向域116-E的交換機(jī)128或者向域116-E的控制交換機(jī)128發(fā)送命令����,將端口E放入VLAN中。
V2否則如果實(shí)體E是MAC地址�,那么對(duì)于接續(xù)組CG中的每個(gè)VLAN(I4,I5)V2-1確定含有VLAN的域116-V(116P,116Q,116R之一)(I3)V2-2通過把適當(dāng)?shù)拿畎l(fā)送給域116-V的所有的交換機(jī)128或者控制交換機(jī)128,將MAC地址E放入VLAN中V3否則如果實(shí)體是用戶名實(shí)施例1對(duì)于接續(xù)組CG中的每個(gè)VLAN(I4,I5)V3-1確定含有VLAN的域116-V(I3)V3-2向UBNC服務(wù)器發(fā)送VLAN標(biāo)識(shí)符����、域116-V的標(biāo)識(shí)符����、和用戶名實(shí)施例2V3-1向UBNC服務(wù)器發(fā)送接續(xù)組CG的標(biāo)識(shí)符和用戶名附錄E步驟M50創(chuàng)建路由器的存取控制表對(duì)于網(wǎng)絡(luò)110中的每個(gè)路由器(I2-3)��,對(duì)于路由器的每個(gè)接口(I7)���,如果與接口相關(guān)聯(lián)的子網(wǎng)屬于一個(gè)接續(xù)組A1允許業(yè)務(wù)來自每個(gè)共享子網(wǎng)(I8)A2允許業(yè)務(wù)來自同一接續(xù)組中的每個(gè)其它子網(wǎng)(I5,I4)A3拒絕來自網(wǎng)絡(luò)110中的所有其它子網(wǎng)的業(yè)務(wù)(I1)A4允許來自網(wǎng)絡(luò)110外部的業(yè)務(wù)A5開放路由器上的Telnet會(huì)話,并向該路由器發(fā)送(1)取消現(xiàn)有的ACL的命令�,如果有的話,它來自接口����,即無存取組1(2)存取表;(3)命令
接口vlan_e存取組1輸出這些命令使ACL分配給標(biāo)簽為“vlan_e”路由器接口附錄F對(duì)VLAN 140e的路由器接口210的存取控制表AL1-1存取表1許可ip 10.3.4.00.0.0.255���!共享子網(wǎng)AL1-2a存取表1許可ip 10.1.2.00.0.0.255���!同樣的子網(wǎng)!企業(yè)接續(xù)組AL1-2b存取表1許可ip 10.3.2.00.0.0.255���!同樣的子網(wǎng)�!企業(yè)接續(xù)組AL1-3存取表1拒絕ip 10.0.0.00.255.255.255�����!網(wǎng)絡(luò)10中的所有子網(wǎng)!在同一接續(xù)組之外AL1-4存取表1許可ip全部�!允許訪問!網(wǎng)絡(luò)110之外附錄G維護(hù)算法使子網(wǎng)從不管理的轉(zhuǎn)換成接續(xù)組的成員如果子網(wǎng)具有一個(gè)以上的網(wǎng)關(guān)地址����,則該子網(wǎng)不能成為一個(gè)接續(xù)組的成員。否則��,如附錄E所示��,把子網(wǎng)加入到該接續(xù)組中�,并且為每一個(gè)直接連接同一接續(xù)組中的子網(wǎng)的接口,重新產(chǎn)生存取控制表�。
使子網(wǎng)從不管理的轉(zhuǎn)換成共享的把子網(wǎng)加給共享子網(wǎng)的列表I8(附錄C)。如附錄E所示���,重新產(chǎn)生任何接續(xù)組中一個(gè)子網(wǎng)所連接到的每個(gè)路由器接口的存取控制表�。(將該子網(wǎng)加給每個(gè)ACL��。)
使子網(wǎng)從共享的轉(zhuǎn)換成不管理的從共享子網(wǎng)的列表I8中消除子網(wǎng)(附錄C)�����。如附錄E所述,重新產(chǎn)生任何接續(xù)組中一個(gè)子網(wǎng)所連接到的每個(gè)路由器接口的存取控制表����。(將從每個(gè)ACL中消除該子網(wǎng)。)使子網(wǎng)從共享的轉(zhuǎn)換成接續(xù)組的成員如果子網(wǎng)具有一個(gè)以上的網(wǎng)關(guān)地址����,則子網(wǎng)不能成為接續(xù)組的一個(gè)成員。此外���,從共享子網(wǎng)的列表I8中消除子網(wǎng)(附錄C)���,并把該子網(wǎng)加給接續(xù)組(附錄C中的I4)�。如附錄E所述,重新產(chǎn)生任何接續(xù)組中一個(gè)子網(wǎng)所連接到的每個(gè)路由器接口的存取控制表����。
使子網(wǎng)從接續(xù)組的一個(gè)成員轉(zhuǎn)換成不管理的從接續(xù)組中消除子網(wǎng)(附錄C中的I5)。消除直接連接子網(wǎng)的路由器接口的ACL���。如附錄E所述���,重新產(chǎn)生每個(gè)直接連接同一接續(xù)組中一個(gè)子網(wǎng)的路由器接口的存取控制表���。(該子網(wǎng)將從每個(gè)ACL中消除。)如果需要�,消除和隨后產(chǎn)生該子網(wǎng)直接連接的路由器接口的ACL,如附錄E所述����。(如果沒有直接連接該接口的其它子網(wǎng),將不產(chǎn)生ACL�。如果有其它子網(wǎng)或諸多子網(wǎng),則產(chǎn)生適當(dāng)?shù)腁CL��。)使子網(wǎng)從接續(xù)組的一個(gè)成員轉(zhuǎn)換成共享的從接續(xù)組中消除子網(wǎng)(附錄C中的I5)����。消除子網(wǎng)直接連接的路由器接口的ACL。重新產(chǎn)生任何接續(xù)組中一個(gè)子網(wǎng)直接連接的每個(gè)路由器接口的存取控制表���,如附錄E所述�。(子網(wǎng)將作為該組的成員從一些ACL中消除�,但作為共享子網(wǎng)加給每個(gè)ACL。)消除從一個(gè)接續(xù)組(“老”組)到另一個(gè)接續(xù)組(“新”組)的子網(wǎng)從老組中消除子網(wǎng)并把它加給新組(附錄C中的I5)�。重新產(chǎn)生老的或新的接續(xù)組中子網(wǎng)直接連接的每個(gè)路由器接口的ACL,如附錄E所述��。
把新的通信實(shí)體(端口,MAC地址��,用戶����,等等加給接續(xù)組(參見步驟M30)管理者指出新的實(shí)體應(yīng)當(dāng)歸屬的接續(xù)組。
端口160�����。該端口與交換機(jī)128相關(guān)聯(lián)���,交換機(jī)128是層2域116的自身部分����。在給定的層2域中��,選擇的接續(xù)組與特定子網(wǎng)相關(guān)聯(lián)�,是對(duì)特定VLAN的自身限制���。當(dāng)端口被分配給接續(xù)組時(shí)�����,執(zhí)行步驟V1(附錄D)以把該端口放入是層2域中的接續(xù)組的一個(gè)成員的VLAN中��。需要說明的是�,通常隨著當(dāng)多端口模塊被加到交換機(jī)上時(shí)或者當(dāng)整個(gè)交換機(jī)被加到網(wǎng)絡(luò)上時(shí),各端口被加入到各組中����。在這些情況下,整套新端口被加入到由管理者選擇的一個(gè)接續(xù)組中�。如果需要,管理者可以逐一改變端口的分配����。
MAC地址。就具有一個(gè)端口的情況而言�,在特定的層2域內(nèi),所選擇的接續(xù)組與子網(wǎng)/VLAN對(duì)相關(guān)聯(lián)�����。對(duì)于每個(gè)層2域���,步驟V2(附錄D)配置所有的交換機(jī)(或依賴各交換機(jī)容量的單個(gè)控制交換機(jī))��,使給定的MAC地址分配給指定的VLAN��。
用戶���。參見附錄D中的步驟V3�����。
消除從一個(gè)接續(xù)組(“老”組)到另一個(gè)接續(xù)組(“新”組)的通信實(shí)體(端口�,MAC地址����,用戶)(參見步驟M30)端口160。端口與VLAN能用交換機(jī)128相關(guān)聯(lián)�,交換機(jī)128本身是層2域的部分。在層2域中��,老的和新的接續(xù)組與特定子網(wǎng)相關(guān)聯(lián)��,它是對(duì)特定VLAN的自身限制����。(如果在屬于新接續(xù)組的層2域中沒有子網(wǎng)��,則不產(chǎn)生變化。)管理站124M改變對(duì)新VLAN的端口VLAN分配����。
MAC地址。就具有一個(gè)端口的情況而言���,在特定層2域內(nèi)����,新接續(xù)組與子網(wǎng)/VLAN對(duì)相關(guān)聯(lián)���。對(duì)于每個(gè)層2域�,站點(diǎn)124M將配置所有的交換機(jī)(或依賴交換機(jī)容量配置單個(gè)控制交換機(jī))�,使給定的MAC地址分配給指定的VLAN。如果沒有對(duì)應(yīng)于特定層2域的期望接續(xù)組的子網(wǎng)�����,則不產(chǎn)生用于層2域的MAC地址的VLAN分配�����。如果作為移動(dòng)結(jié)果或者由于MAC地址被分配給插入層2域的膝上型或移動(dòng)計(jì)算機(jī)使MAC地址出現(xiàn)在層2域中��,則該交換機(jī)采取當(dāng)未知MAC地址出現(xiàn)時(shí)它通常所采取的任何操作。
用戶�。參見附錄D中的步驟V3增加新的路由器接口/VLAN/子網(wǎng)如果新路由器接口210沒有直接連接的子網(wǎng)(沒有網(wǎng)關(guān)地址),那么不需要操作�。否則,接口具有一個(gè)或多個(gè)網(wǎng)關(guān)地址和相對(duì)應(yīng)的直接連接的子網(wǎng)����。對(duì)于每個(gè)直接連接的子網(wǎng)1.如果子網(wǎng)已經(jīng)是接續(xù)組的成員(因而直接連接另一個(gè)路由器的接口),那么該子網(wǎng)被轉(zhuǎn)換成共享子網(wǎng)�����。參見上述的把子網(wǎng)從接續(xù)組成員轉(zhuǎn)換成共享子網(wǎng)的處理����。
2.否則(Else if)如果子網(wǎng)已經(jīng)被指定為共享的或不管理的,則不需要操作���。
3.否則����,該子網(wǎng)是新子網(wǎng)���。把子網(wǎng)加給共享子網(wǎng)的列表I8(附錄C)����。重新產(chǎn)生任何接續(xù)組中的一個(gè)子網(wǎng)直接連接的每個(gè)路由器接口的存取控制表�����,如附錄E所述���。(該子網(wǎng)將加到每個(gè)ACL上��,作為一個(gè)共享子網(wǎng)�����。)如果子網(wǎng)是在包含VLAN能用交換機(jī)128的層2域中���,則一個(gè)新子網(wǎng)在該域中創(chuàng)建并且與新子網(wǎng)相關(guān)聯(lián)。
增加新路由器新路由器130可以有多個(gè)接口���。對(duì)于每個(gè)路由器接口�,執(zhí)行上述的為新路由器接口所列舉的操作��。
增加新的VLAN能用交換機(jī)新的VLAN能用交換機(jī)128被附加到層2域中����,在該層2域中有一個(gè)分配給管理接續(xù)組的子網(wǎng)和有一個(gè)對(duì)應(yīng)該組的VLAN��。
如果該交換機(jī)實(shí)施基于端口的VLAN�,則交換機(jī)中所有的端口和交換機(jī)的管理堆棧(stack)被分配給與管理接續(xù)組中的子網(wǎng)相對(duì)應(yīng)的VLAN���。此外�����,交換機(jī)被分配一個(gè)來自該子網(wǎng)的IP地址�。例如�����,如果子網(wǎng)10.50.3.0/24是指定給管理組的層2域中的子網(wǎng)��,以及如果VLAN是與子網(wǎng)10.50.3.0/24相關(guān)聯(lián)的VLAN�,則某一個(gè)在Cisco Catalyst5000系列交換機(jī)的主機(jī)上發(fā)出下列各項(xiàng)命令,以便分配給它一個(gè)管理接續(xù)組中的地址���。
設(shè)置接口sc0 3 10.50.3.200 255.255.255.0 10.50.3.255當(dāng)sc0是交換機(jī)的管理堆棧的指示符時(shí)��,3是對(duì)應(yīng)子網(wǎng)10.50.3.0/24的VLAN��,10.50.3.200指定給該交換機(jī)的管理堆棧的子網(wǎng)10.50.3.200/24中的IP地址�����,255.255.255.0是子網(wǎng)10.50.3.0/24的子網(wǎng)掩碼�����,10.50.3.255是廣播地址���。
如果交換機(jī)實(shí)施基于MAC地址的VLAN,則管理堆棧的MAC地址被分配給與管理接續(xù)組中的子網(wǎng)相對(duì)應(yīng)的VLAN�。與基于端口的VLAN相同,交換機(jī)也被分配一個(gè)來自該子網(wǎng)的IP地址�����。
增加新的接續(xù)組新的(空的)接續(xù)組可以在任何時(shí)候增加�。如何把一個(gè)子網(wǎng)加到接續(xù)組上已經(jīng)在上文中進(jìn)行了討論。
權(quán)利要求
1.一種把網(wǎng)絡(luò)站點(diǎn)連接到虛擬廣播域(VBD)的方法�����,該方法包括在一個(gè)網(wǎng)絡(luò)上�,從一個(gè)網(wǎng)絡(luò)站點(diǎn)接收標(biāo)識(shí)所述網(wǎng)絡(luò)站點(diǎn)的用戶的信息����;確定用戶歸屬的接續(xù)組����,其中所述接續(xù)組包含一個(gè)或多個(gè)VBD;確定所述網(wǎng)絡(luò)站點(diǎn)將要連接的一個(gè)或多個(gè)VBD�,其中一個(gè)或多個(gè)VBD是所述接續(xù)組的成員;和發(fā)出把所述站點(diǎn)與一個(gè)或多個(gè)VBD相連接的命令��。
2.根據(jù)權(quán)利要求1所述的方法��,其中每個(gè)VBD是能夠把廣播業(yè)務(wù)限制到產(chǎn)生該業(yè)務(wù)的VBD的一個(gè)域的子域��;接續(xù)組包含至少來自兩個(gè)域的VBD�;和該網(wǎng)絡(luò)站點(diǎn)將要連接的一個(gè)或多個(gè)VBD是基于包含網(wǎng)絡(luò)站點(diǎn)的域確定的。
3.根據(jù)權(quán)利要求2所述的方法����,其中每個(gè)VBD是VLAN,并且網(wǎng)絡(luò)站點(diǎn)將連接屬于該接續(xù)組和屬于包含該網(wǎng)絡(luò)站點(diǎn)的域的VLAN�。
4.一種把網(wǎng)絡(luò)站點(diǎn)連接到虛擬廣播域(VBD)上的結(jié)構(gòu),該結(jié)構(gòu)包括接收裝置�,在一個(gè)網(wǎng)絡(luò)上接收來自一個(gè)網(wǎng)絡(luò)站點(diǎn)的標(biāo)識(shí)所述網(wǎng)絡(luò)站點(diǎn)的用戶的信息;確定用戶歸屬的接續(xù)組的裝置�����,其中所述接續(xù)組包含一個(gè)或多個(gè)VBD;確定所述網(wǎng)絡(luò)站點(diǎn)將要連接的一個(gè)或多個(gè)VBD的裝置�,其中一個(gè)或多個(gè)VBD是所述接續(xù)組的成員;和發(fā)出把所述網(wǎng)絡(luò)站點(diǎn)與一個(gè)或多個(gè)VBD相連接的命令的裝置�����。
5.根據(jù)權(quán)利要求4所述的結(jié)構(gòu)��,其中每個(gè)VBD是能夠把廣播業(yè)務(wù)限制到產(chǎn)生業(yè)務(wù)的VBD上的一個(gè)域的子域�����;接續(xù)組包含至少來自兩個(gè)域的VBD���;和該網(wǎng)絡(luò)站點(diǎn)將要連接的一個(gè)或多個(gè)VBD是基于包含站點(diǎn)的域確定的。
6.根據(jù)權(quán)利要求5所述的結(jié)構(gòu)�����,其中每個(gè)VBD是VLAN��,并且站點(diǎn)將連接屬于該接續(xù)組和屬于包含該網(wǎng)絡(luò)站點(diǎn)的域的VLAN�。
7.根據(jù)權(quán)利要求4所述的結(jié)構(gòu)�����,其中所述結(jié)構(gòu)包含(1)一個(gè)計(jì)算機(jī)系統(tǒng)�,和(2)裝載到所述計(jì)算機(jī)系統(tǒng)中的程序��,所述計(jì)算機(jī)系統(tǒng)和所述程序包括每個(gè)所述的確定裝置�����。
8.根據(jù)權(quán)利要求4所述的結(jié)構(gòu)���,其中所述的結(jié)構(gòu)是計(jì)算機(jī)可讀介質(zhì)���,其中每個(gè)裝置包括一個(gè)或多個(gè)計(jì)算機(jī)指令,計(jì)算機(jī)可讀數(shù)據(jù)�,或一個(gè)或多個(gè)指令和數(shù)據(jù)的組合。
9.一種為在網(wǎng)絡(luò)域間路由發(fā)送業(yè)務(wù)的一個(gè)或多個(gè)裝置創(chuàng)建一個(gè)或多個(gè)存取控制表(ACL)的方法�,其中如果ACL被提供給這樣的一個(gè)裝置,則該裝置使用ACL去確定什么業(yè)務(wù)在各域之間被允許和/或被禁止����,所述的方法包括確定一組或多組子網(wǎng)絡(luò),使業(yè)務(wù)被允許在每組子網(wǎng)絡(luò)中,其中每個(gè)子網(wǎng)絡(luò)是一部分網(wǎng)絡(luò)域或整個(gè)網(wǎng)絡(luò)域����,并且為每個(gè)組提供屬于該組的子網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)標(biāo)識(shí)符;所述計(jì)算機(jī)系統(tǒng)產(chǎn)生一個(gè)或多個(gè)ACL����,它允許在所述組中的業(yè)務(wù)。
10.根據(jù)權(quán)利要求9所述的方法����,包括確定多個(gè)所述的組,其中一個(gè)或多個(gè)ACL禁止在不同組中的子網(wǎng)絡(luò)之間的業(yè)務(wù)
11.根據(jù)權(quán)利要求9所述的方法�,進(jìn)一步包括接收一個(gè)或多個(gè)共享子網(wǎng)絡(luò)的標(biāo)識(shí)符的計(jì)算機(jī)系統(tǒng),其中業(yè)務(wù)將被允許在這樣的共享子網(wǎng)與任何一個(gè)所述組中的任何其它子網(wǎng)之間傳送���,其中一個(gè)或多個(gè)ACL允許在任何一個(gè)共享子網(wǎng)與任何一個(gè)所述組中任何子網(wǎng)之間的業(yè)務(wù)。
12.根據(jù)權(quán)利要求9所述的方法��,其中至少一個(gè)域是能夠限制所述域中的業(yè)務(wù)��;和所述方法包括對(duì)于一個(gè)或多個(gè)組的每一個(gè)��,計(jì)算機(jī)系統(tǒng)接收用于識(shí)別所述組內(nèi)允許和/或禁止的業(yè)務(wù)��,其中所述信息將由限制業(yè)務(wù)的一個(gè)或多個(gè)域所使用;和計(jì)算機(jī)系統(tǒng)配置每個(gè)能夠限制業(yè)務(wù)的域�����,以便允許和禁止由所述信息所指定的業(yè)務(wù)�����。
13.根據(jù)權(quán)利要求12所述的方法�����,其中識(shí)別一個(gè)組內(nèi)允許和/或禁止的業(yè)務(wù)的信息包括一個(gè)或多個(gè)標(biāo)識(shí)符(1)一個(gè)或多個(gè)交換機(jī)的端口����,其每一個(gè)在能夠限制業(yè)務(wù)的域內(nèi)傳送業(yè)務(wù),其中����,所述端口將在所述組內(nèi)傳送業(yè)務(wù),(2)屬于該組的實(shí)體的物理地址�,和(3)允許發(fā)送或接收組內(nèi)業(yè)務(wù)的用戶名。
14.根據(jù)權(quán)利要求9所述的方法��,其中每個(gè)子網(wǎng)絡(luò)標(biāo)識(shí)符是地址或地址范圍����。
15.根據(jù)權(quán)利要求9所述的方法��,其中一個(gè)或多個(gè)裝置基于IP地址路由傳送業(yè)務(wù)��,和其中��,在基于物理地址的各站點(diǎn)之間傳送每個(gè)域業(yè)務(wù)�����。
16.一種為在網(wǎng)絡(luò)域間路由發(fā)送業(yè)務(wù)的一個(gè)或多個(gè)裝置創(chuàng)建一個(gè)或多個(gè)存取控制表(ACL)的結(jié)構(gòu)����,其中如果ACL被提供給這樣的一個(gè)裝置�����,則該裝置使用ACL去確定什么業(yè)務(wù)在域之間被允許和/或被禁止�,所述的結(jié)構(gòu)包括確定裝置��,為計(jì)算機(jī)系統(tǒng)確定一組或多組子網(wǎng)絡(luò)�,使業(yè)務(wù)被允許在每個(gè)組中,其中每個(gè)子網(wǎng)絡(luò)是網(wǎng)絡(luò)域的一部分或者是整個(gè)網(wǎng)絡(luò)域�����,該裝置還是由計(jì)算機(jī)系統(tǒng)進(jìn)行閱讀的裝置,計(jì)算機(jī)系統(tǒng)為每個(gè)組讀出屬于所述組的子網(wǎng)絡(luò)的標(biāo)識(shí)符����;產(chǎn)生裝置,所述計(jì)算機(jī)系統(tǒng)產(chǎn)生一個(gè)或多個(gè)允許每個(gè)組內(nèi)的業(yè)務(wù)的ACL�。
17.根據(jù)權(quán)利要求16所述的結(jié)構(gòu),其中所述結(jié)構(gòu)包括計(jì)算機(jī)系統(tǒng)和裝載到計(jì)算機(jī)系統(tǒng)中的程序���,包括確定裝置和產(chǎn)生裝置的計(jì)算機(jī)系統(tǒng)與程序的組合��。
18.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)�����,其中所述結(jié)構(gòu)是計(jì)算機(jī)可讀介質(zhì)����,它包括實(shí)現(xiàn)確定裝置和產(chǎn)生裝置的指令����。
19.根據(jù)權(quán)利要求16所述的結(jié)構(gòu),其中當(dāng)確定裝置確定了多個(gè)組時(shí)���,一個(gè)或多個(gè)ACL禁止不同組中子網(wǎng)絡(luò)之間的業(yè)務(wù)���。
20.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)�����,進(jìn)一步包括計(jì)算機(jī)系統(tǒng)讀出裝置�����,用于讀出一個(gè)或多個(gè)共享子網(wǎng)絡(luò)的標(biāo)識(shí)符���,其中允許在任何一個(gè)組中的每個(gè)共享子網(wǎng)絡(luò)與任何其它子網(wǎng)絡(luò)之間的業(yè)務(wù),其中一個(gè)或多個(gè)ACL允許在任何一個(gè)組中的一個(gè)共享子網(wǎng)絡(luò)與任何子網(wǎng)絡(luò)之間的業(yè)務(wù)�����。
21.根據(jù)權(quán)利要求16所述的結(jié)構(gòu)����,其中至少一個(gè)域是能夠限制所述域中的業(yè)務(wù);和所述結(jié)構(gòu)進(jìn)一步包括計(jì)算機(jī)系統(tǒng)讀出裝置���,為一個(gè)或多個(gè)組的每一個(gè)讀出識(shí)別所述組內(nèi)允許和/或禁止的業(yè)務(wù)的信息�����,其中所述信息將被限制業(yè)務(wù)的一個(gè)或多個(gè)域使用�;和由計(jì)算機(jī)系統(tǒng)配置每個(gè)能夠限制業(yè)務(wù)的域的裝置����,以便允許和/或限制由所述信息指定的業(yè)務(wù)。
22.根據(jù)權(quán)利要求21所述的結(jié)構(gòu)���,其中識(shí)別在一個(gè)組內(nèi)允許和/或禁止的業(yè)務(wù)的信息包括一個(gè)或多個(gè)標(biāo)識(shí)符(1)一個(gè)或多個(gè)交換機(jī)的端口�,其每一個(gè)在能夠限制業(yè)務(wù)的域內(nèi)傳送業(yè)務(wù)�,其中,其中一個(gè)或多個(gè)端口將在所述組內(nèi)傳送業(yè)務(wù)���,(2)屬于該組的實(shí)體的物理地址��,和(3)允許發(fā)送或接收組內(nèi)業(yè)務(wù)的用戶名���。
23.根據(jù)權(quán)利要求16所述的結(jié)構(gòu),其中每個(gè)網(wǎng)絡(luò)標(biāo)識(shí)符是地址或地址范圍�。
24.根據(jù)權(quán)利要求16所述的結(jié)構(gòu),其中一個(gè)或多個(gè)裝置路由傳送基于IP地址的業(yè)務(wù)�����,其中每個(gè)域業(yè)務(wù)在基于物理地址的站點(diǎn)之間傳送。
25.一種在包括多個(gè)域的網(wǎng)絡(luò)中建立接續(xù)的方法�����,其中至少一個(gè)域可以有所述域中所確定的子域����,使所述域允許單個(gè)子域內(nèi)的業(yè)務(wù)而禁止子域之間的業(yè)務(wù),所述的方法包括確定一個(gè)或多個(gè)接續(xù)組���,使業(yè)務(wù)被允許在每個(gè)組內(nèi)��,并且對(duì)于至少一個(gè)接續(xù)組��,向計(jì)算機(jī)系統(tǒng)提供確定屬于接續(xù)組的業(yè)務(wù)的信息����;對(duì)于至少一個(gè)接續(xù)組�����,向計(jì)算機(jī)系統(tǒng)提供是接續(xù)組成員的子域的標(biāo)識(shí)符;和對(duì)于至少一個(gè)接續(xù)組�,計(jì)算機(jī)系統(tǒng)配置每一個(gè)具有接續(xù)組中的一個(gè)子域的域,使得該子域允許接續(xù)組中的業(yè)務(wù)�。
26.根據(jù)權(quán)利要求25所述的方法����,其中確定業(yè)務(wù)的信息包括,用于至少一個(gè)組的���,下列的一個(gè)或多個(gè)的標(biāo)識(shí)符(1)一個(gè)或多個(gè)端口�����,其每個(gè)在一個(gè)單域內(nèi)傳送業(yè)務(wù)����,其中一個(gè)或多個(gè)端口在所述組內(nèi)傳送業(yè)務(wù)���,(2)是所述組成員的站點(diǎn)的物理地址����,和(3)允許發(fā)送或接收所述組內(nèi)的業(yè)務(wù)的用戶名��。
27.根據(jù)權(quán)利要求26所述的方法,其中每個(gè)域的配置包括��,對(duì)于在具有所述組的子域的一個(gè)單域內(nèi)傳送業(yè)務(wù)的交換機(jī)���,配置交換機(jī)以便(a)允許是所述組的成員的站點(diǎn)物理地址之間的業(yè)務(wù)�,(b)禁止是不同組的成員的站點(diǎn)物理地址之間的業(yè)務(wù)�。
28.一種建立包括多個(gè)域的網(wǎng)絡(luò)中接續(xù)的結(jié)構(gòu),其中至少一個(gè)域能夠有所述域中確定的子域����,使所述域允許單個(gè)子域內(nèi)的業(yè)務(wù),但禁止子域之間的業(yè)務(wù)��,該結(jié)構(gòu)包括由一個(gè)計(jì)算機(jī)系統(tǒng)接收確定業(yè)務(wù)的信息的裝置��,該業(yè)務(wù)屬于一組一個(gè)或多個(gè)接續(xù)組中的每個(gè)接續(xù)組��,其中業(yè)務(wù)將被允許在每個(gè)組中由計(jì)算機(jī)系統(tǒng)為至少一個(gè)接續(xù)組接收是所述接續(xù)組的成員的子域的標(biāo)識(shí)符的裝置�;和由計(jì)算機(jī)系統(tǒng)為至少一個(gè)接續(xù)組配置每個(gè)具有所述接續(xù)組的子域的域,所以該子域允許所述接續(xù)組中的業(yè)務(wù)�。
29.根據(jù)權(quán)利要求28所述的結(jié)構(gòu),其中確定業(yè)務(wù)的信息包括�����,用于至少一個(gè)組的下列的一個(gè)或多個(gè)標(biāo)識(shí)符(1)一個(gè)或多個(gè)交換機(jī)的端口,其每一個(gè)允許一個(gè)單域內(nèi)的業(yè)務(wù)��,其中一個(gè)或多個(gè)端口將傳送所述組中的業(yè)務(wù)�,(2)是所述組的成員的站點(diǎn)物理地址,和(3)允許發(fā)送或接收所述組內(nèi)的業(yè)務(wù)的用戶名���。
30.根據(jù)權(quán)利要求28所述的結(jié)構(gòu),其中所述結(jié)構(gòu)包括計(jì)算機(jī)系統(tǒng)和裝載到所述計(jì)算機(jī)系統(tǒng)中的一個(gè)程序���,包含所有所述的裝置的計(jì)算機(jī)系統(tǒng)與程序的組合����。
31根據(jù)權(quán)利要求28所述的結(jié)構(gòu)����,其中所述的結(jié)構(gòu)是計(jì)算機(jī)可讀介質(zhì),包括實(shí)現(xiàn)所有所述裝置的標(biāo)識(shí)符���。
32.根據(jù)權(quán)利要求28所述的結(jié)構(gòu)���,其中每個(gè)域內(nèi)的業(yè)務(wù)在基于站點(diǎn)物理地址的站點(diǎn)之間傳遞,域之間的業(yè)務(wù)基于站點(diǎn)的邏輯地址傳送�����。
全文摘要
一個(gè)網(wǎng)絡(luò)包括許多由路由器互連的域(“層2域”)。在每個(gè)域內(nèi),業(yè)務(wù)根據(jù)MAC地址(或其它數(shù)據(jù)鏈路層地址)傳送����。路由器根據(jù)IP地址或其它網(wǎng)絡(luò)層地址傳送業(yè)務(wù),為了限制網(wǎng)絡(luò)接續(xù),網(wǎng)絡(luò)管理者指定接續(xù)組,其每個(gè)是被允許通信的一組子網(wǎng)絡(luò)。管理者還指定屬于相同組的實(shí)體(MAC地址,端口或用戶名)�。該實(shí)體可以處在相同的或不同的域中。計(jì)算機(jī)系統(tǒng)自動(dòng)地創(chuàng)建路由器的存取控制表,以便允許或拒絕管理者所指定的業(yè)務(wù)����。計(jì)算機(jī)系統(tǒng)還創(chuàng)建VLAN以允許或拒絕所指定的業(yè)務(wù),其中每個(gè)VLAN是域的一部分或者是整個(gè)域。每個(gè)域中的接續(xù)由VLAN限制,并且域之間的接續(xù)由存取控制表限制��。
文檔編號(hào)H04L12/46GK1298592SQ99805592
公開日2001年6月6日 申請(qǐng)日期1999年4月22日 優(yōu)先權(quán)日1998年4月27日
發(fā)明者托馬斯·G·麥克尼爾, 約瑟夫·J·?���?怂固佚? 斯蒂芬·S·莫斯 申請(qǐng)人:因特納普網(wǎng)絡(luò)服務(wù)公司