專利名稱:集成防火墻的路由交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于數(shù)據(jù)通信領(lǐng)域,尤其涉及一種集成防火墻的路由交換機(jī)��。
背景技術(shù):
隨著IP數(shù)據(jù)通信網(wǎng)的規(guī)模越來越大��,層次越來越多����,運(yùn)營(yíng)維護(hù)成本也隨之上漲���,維護(hù)管理技術(shù)也更加復(fù)雜,運(yùn)營(yíng)商希望IP電信網(wǎng)更加簡(jiǎn)單���、可靠�����、可維護(hù)����,所以網(wǎng)絡(luò)結(jié)構(gòu)扁平化是運(yùn)營(yíng)商所希望的�����。
路由交換機(jī)綜合了交換機(jī)的高帶寬和路由器復(fù)雜靈活的處理能力����,可以代替他們,在網(wǎng)絡(luò)部署中得到廣泛的應(yīng)用�����,大大地促進(jìn)了網(wǎng)絡(luò)結(jié)構(gòu)的扁平化�����。
網(wǎng)絡(luò)病毒和攻擊迫使防火墻成為企業(yè)網(wǎng)絡(luò)的必需設(shè)備,普通防火墻一般作為企業(yè)網(wǎng)絡(luò)的出口��,過濾病毒�����,防范攻擊以及執(zhí)行加密��、解密等功能����,保護(hù)企業(yè)信息安全。
防火墻的引入增加了企業(yè)信息安全���,但是增加了網(wǎng)絡(luò)結(jié)構(gòu)層次和維護(hù)復(fù)雜性���,同時(shí)也降低了企業(yè)網(wǎng)絡(luò)出口帶寬�,還增加了不少網(wǎng)絡(luò)投資。
企業(yè)網(wǎng)典型防火墻組網(wǎng)結(jié)構(gòu)如圖1所示�,防火墻設(shè)備有內(nèi)網(wǎng)接口,DMZ(非軍事化區(qū))和外網(wǎng)接口三種網(wǎng)絡(luò)接口�����,防火墻主要功能是保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。
防火墻和內(nèi)部網(wǎng)絡(luò)之間的連接成為網(wǎng)絡(luò)出口的關(guān)鍵點(diǎn)����,為了增強(qiáng)網(wǎng)絡(luò)的可靠性和安全性,如圖2所示�,重要企業(yè)網(wǎng)絡(luò)一般在出口部署冗余、備份防火墻��,大大地增加了網(wǎng)絡(luò)復(fù)雜度和成本���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種集成防火墻的路由交換機(jī)�����,簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)����,減少網(wǎng)絡(luò)設(shè)備����,降低網(wǎng)絡(luò)投資,增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性�����。
本發(fā)明的集成防火墻的路由交換機(jī),包括路由交換機(jī)的主控制模塊和背板�����,背板上設(shè)控制通道和數(shù)據(jù)通道�����;交換模塊�;和防火墻模塊;其中交換模塊設(shè)外網(wǎng)物理端口和內(nèi)網(wǎng)端口�;防火墻模塊設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口��;路由交換機(jī)的主控制模塊通過背板的控制通道對(duì)交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元進(jìn)行配置�����;交換模塊和防火墻模塊通過背板的數(shù)據(jù)通道傳遞數(shù)據(jù)�����。
防火墻模塊本身可不設(shè)內(nèi)網(wǎng)�����、DMZ和外網(wǎng)接口�,交換模塊的外網(wǎng)物理端口定義為防火墻模塊的內(nèi)網(wǎng)、DMZ和外網(wǎng)接口�����。
交換模塊和防火墻模塊各設(shè)CPU����,路由交換機(jī)的主控制模塊通過背板控制通道與各CPU連接,對(duì)交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元分別進(jìn)行配置��。
本發(fā)明將防火墻作為機(jī)架交換機(jī)的一個(gè)業(yè)務(wù)模塊�,將防火墻的控制平面和數(shù)據(jù)平面整合到交換機(jī)的控制平面和數(shù)據(jù)平面中(如圖3所示),將路由交換功能和防火墻功能集成到一臺(tái)設(shè)備中�。集成了防火墻的路由交換機(jī)可以簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu),減少網(wǎng)絡(luò)設(shè)備���,降低網(wǎng)絡(luò)投資�,由于沒有了防火墻和內(nèi)部網(wǎng)絡(luò)的連接線路��,減少了網(wǎng)絡(luò)可能的關(guān)鍵故障點(diǎn),增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性�����。
圖1 企業(yè)網(wǎng)典型防火墻組網(wǎng)結(jié)構(gòu)示意圖1---路由器�;2---路由交換機(jī);3---防火墻�����;圖2 部署冗余��、備份防火墻的企業(yè)網(wǎng)典型防火墻組網(wǎng)結(jié)構(gòu)示意圖4---主用鏈路����;5---備用鏈路;圖3 本發(fā)明結(jié)構(gòu)示意4 本發(fā)明邏輯結(jié)構(gòu)框5 本發(fā)明防火墻處理單元配置示意6 本發(fā)明數(shù)據(jù)流����、控制流示意圖
具體實(shí)施例方式如圖4所示,為本發(fā)明邏輯框圖���。
防火墻的控制通過本模塊板的CPU來完成����,管理者通過交換架構(gòu)的控制結(jié)構(gòu)通道登錄到防火墻模塊的CPU,從而對(duì)防火墻處理單元進(jìn)行配置�����。
防火墻的功能包括過濾����、ACL�����、NAT��、VPN����、IDS和加密解密,配置管理命令非常多����,而且其配置管理方式也和交換機(jī)不同,所以不宜將兩種配置混合在一起��,而是在同樣界面下提供兩個(gè)配置環(huán)境����,分別來配置交換機(jī)和防火墻�����,如圖5所示�����。
為了簡(jiǎn)化管理和系統(tǒng)復(fù)雜性���,防火墻模塊本身對(duì)外不提供物理網(wǎng)絡(luò)端口,但是防火墻依然有內(nèi)部網(wǎng)��、DMZ和外部網(wǎng)三種接口���,這三種接口使用其他交換模塊的物理網(wǎng)絡(luò)端口��,根據(jù)需要可以定義交換模塊上的端口為防火墻的某種接口�����。
如圖6所示����,來自外網(wǎng)Internet的數(shù)據(jù)包從外網(wǎng)端口進(jìn)入交換機(jī),通過轉(zhuǎn)發(fā)芯片和背板上的高速數(shù)據(jù)通道�����,交換模塊將數(shù)據(jù)包送給防火墻模塊�;防火墻模塊對(duì)數(shù)據(jù)進(jìn)行過濾等處理后,把安全的數(shù)據(jù)通過背板送到交換模塊�����;交換模塊通過內(nèi)網(wǎng)端口把數(shù)據(jù)包送給企業(yè)網(wǎng)內(nèi)網(wǎng)用戶��,通過這個(gè)流程防火墻對(duì)內(nèi)����、外網(wǎng)絡(luò)的數(shù)據(jù)通訊起到了監(jiān)控的作用�,保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)的信息安全。
權(quán)利要求
1.一種集成防火墻的路由交換機(jī)�,包括路由交換機(jī)的主控制模塊和背板,背板上設(shè)控制通道和數(shù)據(jù)通道���;交換模塊�����,設(shè)外網(wǎng)物理端口和內(nèi)網(wǎng)端口�;其特征在于還包括防火墻模塊;防火墻模塊設(shè)內(nèi)網(wǎng)���、DMZ和外網(wǎng)接口����;路由交換機(jī)的主控制模塊通過背板的控制通道對(duì)交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元進(jìn)行配置���;交換模塊和防火墻模塊通過背板的數(shù)據(jù)通道傳遞數(shù)據(jù)��。
2.如權(quán)利要求1所述的集成防火墻的路由交換機(jī)���,其特征在于防火墻模塊本身可不設(shè)內(nèi)網(wǎng)、DMZ和外網(wǎng)接口����,交換模塊的外網(wǎng)物理端口定位為防火墻模塊的內(nèi)網(wǎng)、DMZ和外網(wǎng)接口��。
3.如權(quán)利要求1或2所述的集成防火墻的路由交換機(jī)�,其特征在于交換模塊和防火墻模塊各設(shè)CPU,路由交換機(jī)的主控制模塊通過背板控制通道與各CPU連接���,對(duì)交換模塊的路由交換處理單元和防火墻模塊的防火墻處理單元分別進(jìn)行配置�。
全文摘要
本發(fā)明涉及一種集成防火墻的路由交換機(jī),包括路由交換機(jī)的主控制模塊和背板�,背板上設(shè)控制通道和數(shù)據(jù)通道;交換模塊���,設(shè)外網(wǎng)物理端口和內(nèi)網(wǎng)端口��;還包括防火墻模塊���;防火墻模塊設(shè)內(nèi)網(wǎng)�����、DMZ和外網(wǎng)接口��;路由交換機(jī)的主控制模塊通過背板的控制通道對(duì)交換模塊的轉(zhuǎn)發(fā)芯片和防火墻模塊的處理單元進(jìn)行配置�;交換模塊和防火墻模塊通過背板的數(shù)據(jù)通道傳遞數(shù)據(jù)。交換模塊的外網(wǎng)物理端口定位為防火墻模塊的內(nèi)網(wǎng)����、DMZ和外網(wǎng)接口。路由交換機(jī)的主控制模塊對(duì)交換模塊的轉(zhuǎn)發(fā)芯片和防火墻模塊的防火處理單元分別進(jìn)行配置�?�?梢院?jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)���,減少網(wǎng)絡(luò)設(shè)備,降低網(wǎng)絡(luò)投資��,增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性���?����?蓮V泛應(yīng)用于數(shù)據(jù)通信領(lǐng)域�����。
文檔編號(hào)H04L12/24GK1556633SQ200310110330
公開日2004年12月22日 申請(qǐng)日期2003年12月30日 優(yōu)先權(quán)日2003年12月30日
發(fā)明者童劍, 范成龍, 童 劍 申請(qǐng)人:港灣網(wǎng)絡(luò)有限公司