專利名稱:保護定義在vlan上的以太網(wǎng)連通性故障管理域的系統(tǒng)和方法
技術領域:
本發(fā)明一般地涉及以太網(wǎng)VLAN(虛擬局域網(wǎng))網(wǎng)絡。更具體地,并且不以任何限制的方式,本發(fā)明針對一種采用以太網(wǎng)連通性故障管理(CFM)功能性來保護VLAN的系統(tǒng)和方法。
背景技術:
從用戶的觀點來看,目前的第一英里/最后一英里(first/last mile)接入網(wǎng)解決方案具有顯著的缺點,從性能瓶頸、固定帶寬設置、有限的可擴展性、缺少靈活性和設置復雜性,延伸到端到端服務質量(QoS)問題和成本高昂的結構。在第一英里中應用健壯而簡單的以太網(wǎng)技術,有希望從根本上改變接入網(wǎng),正如在企業(yè)網(wǎng)領域中運用的那樣,其中以用于在計算機和網(wǎng)絡之間進行通信的局域網(wǎng)(LAN)傳輸技術作為開始。作為接入技術,相對于傳統(tǒng)的第一英里技術,以太網(wǎng)提供三個顯著的優(yōu)點(i)用于數(shù)據(jù)、視頻和語音應用的能適應未來的傳輸;(ii)用于數(shù)據(jù)服務的成本有效的基礎設施;以及(iii)能確?;ゲ僮餍缘暮唵蔚摹⑷蛘J可的標準。
為了使以太網(wǎng)技術適用于載波級服務環(huán)境中,開發(fā)了各種標準,其目標是在整個網(wǎng)絡上從一端到另一端提供先進的操作、管理與維護(OAM)能力(也稱為以太網(wǎng)連通性和故障管理或以太網(wǎng)CFM)。由于端到端服務網(wǎng)絡環(huán)境典型地包括有可能屬于不同的組織、網(wǎng)絡運營商和服務提供商的形形色色組成網(wǎng)絡(component network)(例如采用多種技術的城域接入網(wǎng)和核心網(wǎng))的集合體(patchwork),因此將以太網(wǎng)CFM平面視為分級分層的域空間,其中對應于構成網(wǎng)絡(constituent network)基礎設施和設置來定義特定的CFM域(或同義地說是OAM域)。特別地,在此通過參考引入的專門著重于端到端以太網(wǎng)CFM的兩個標準IEEE 802.1ag和ITU-T(問題3,研究組13)在分級結構的最高級定義了用戶級的域,其包括一個或多個提供商域(占用了一個中間級),每個提供商域又依次包括部署在較低的分級結構的級的一個或多個運營商域。通過標準化的方式,可以將CFM域空間劃分為多個級,例如8個級,每個域對應于一個特定的級,其中根據(jù)流量點(flow point)來定義域。在IEEE 802規(guī)范系列的上下文中,流量點是包含于在相關標準文獻中所定義的媒體接入控制(MAC)“接口”和“端口”中的新實體。一個端口可以實現(xiàn)不同類型的多個流量點。CFM域邊緣的流量點稱為“維護端點”或MEP。在域內且對于MEP可見的流量點稱為“維護中間點”或MIP。在系統(tǒng)管理員將MEP節(jié)點用來發(fā)起和監(jiān)視CFM活動(通過發(fā)布適當?shù)腃FM幀)的同時,MIP節(jié)點被動地接收并響應于由MEP節(jié)點發(fā)起的CFM流。
具有一個或多個MIP節(jié)點的CFM域可以由多個MEP節(jié)點綁定。為了適當?shù)剡^濾CFM幀流,以便使這些幀流只由預期的域節(jié)點處理,需要適當?shù)嘏渲靡蕴W(wǎng)CFM網(wǎng)絡的MEP/MIP族。例如,根據(jù)當前的標準,可以提供整數(shù)值來表示以太網(wǎng)CFM分級結構的特定域級。
此外,還規(guī)定了多個標準以增強服務傳送技術,這使得數(shù)據(jù)鏈路層(即第2層或L2)以太網(wǎng)絡頂端上的虛擬LAN(VLAN)的設置可以用于為CFM網(wǎng)絡增加靈活性、可擴展性和安全性??梢栽诶缬脩艏墶⑻峁┥碳壍炔煌募壣隙xVLAN,并且VLAN可以包括任意數(shù)目的不相交的CFM域。在服務幀字段之前加上“C-”,例如C-VLAN ID,稱為用戶創(chuàng)建字段。同樣,在服務幀字段之前加上“P-”,例如P-VLANID,稱為提供商添加字段。通過實現(xiàn)VLAN,可以將端到端以太網(wǎng)CFM網(wǎng)絡劃分為多個服務實例,同時保留多個用戶C-VLAN,其中在給定的VLAN中的業(yè)務對于屬于不同VLAN的端主機是不可見的,從而減小了廣播域。
在采用VLAN時,需要正確配置適當?shù)挠布?即交換機和相關聯(lián)的端口),以便體現(xiàn)VLAN覆蓋的邊界。眾所周知,VLAN是邏輯分段的網(wǎng)絡,因此在末端站點移動時不需要重新配置交換機。為每個連接到以太網(wǎng)的末端站點指定一個配置在諸如端口或網(wǎng)絡接口單元之類的物理接口硬件中的唯一MAC地址,其中將單獨的VLAN映射為包括其域的一組MAC地址。
諸如自動配置VLAN和共享VLAN配置信息之類的公知技術提供了很多好處,例如即插即用功能性、VLAN標識符或VID的一致性等。然而,由于部署在VLAN域之外的外部端口能夠簡單地注冊其想要攻擊和加入的VLAN的VID以便獲得未授權的訪問,因此這些能力有可能使以太網(wǎng)CFM域出現(xiàn)潛在的安全漏洞。
發(fā)明內容
在一個方面中,本發(fā)明針對一種用于保護定義在VLAN上的以太網(wǎng)CFM/OAM域的方法,包括響應于外部端口注冊到VLAN,從而使VLAN擴展為包括該外部端口,由以太網(wǎng)CFM域的邊界MEP節(jié)點進行監(jiān)視,以確定在此是否觀察到了雙向控制幀流,例如連續(xù)性校驗(CC)幀流;并且響應于由邊界MEP節(jié)點確定沒有雙向控制幀流通過,生成表明以太網(wǎng)CFM域被外部端口潛在地破壞的警報。
在另一個方面中,本發(fā)明針對一種用于保護定義在VLAN上的以太網(wǎng)CFM域的系統(tǒng),包括與以太網(wǎng)CFM域的邊界MEP節(jié)點相關聯(lián)的裝置,該裝置響應于外部端口注冊到VLAN而操作,從而使VLAN擴展為包括該外部端口,該裝置可操作為監(jiān)視通過邊界MEP節(jié)點的幀流,以便確定在此是否觀察到了雙向控制幀流;以及響應于確定沒有雙向控制幀流通過邊界MEP節(jié)點,用于生成表明以太網(wǎng)CFM域被外部端口潛在地破壞的警報的裝置。
在又一個方面中,本發(fā)明針對一種可操作于定義在VLAN上的以太網(wǎng)CFM域中的網(wǎng)絡節(jié)點,包括可響應于外部端口注冊到VLAN而操作的結構,從而使VLAN擴展為包括該外部端口,該結構用于確定在網(wǎng)絡節(jié)點處是否觀察到了雙向的控制幀流;以及可響應于確定沒有雙向控制幀流通過邊界MEP節(jié)點而操作的結構,用于生成表明以太網(wǎng)CFM域被外部端口潛在地破壞的警報。
在本說明書中引入附圖并將其形成為本說明書的一部分,以說明本發(fā)明的一個或多個目前優(yōu)選的示例性實施例。根據(jù)以下與所附權利要求有關并參照附圖所進行的詳細描述,可以理解本發(fā)明的各種優(yōu)點和特征,其中圖1描述了作為VLAN布置的示例性以太網(wǎng)CFM域,其中可以實現(xiàn)本專利公開文件的實施例;圖2描述了圖1中示出的根據(jù)本發(fā)明的描述可操作于以太網(wǎng)CFM域中的示例性MEP節(jié)點;以及圖3描述了根據(jù)本發(fā)明的一個實施例用于保護基于VLAN的以太網(wǎng)CFM域的方案。
具體實施例方式
現(xiàn)在將參照如何最好地實現(xiàn)和使用本發(fā)明的各種示例來描述本發(fā)明的實施例。在整個說明書和附圖的幾個視圖中使用相同的參考標號來表示相同的或相應的部分,其中各種元件不一定是按比例繪出的。現(xiàn)在,參照附圖,并更具體地參照圖1,圖中所示的是包括基于VLAN的以太網(wǎng)CFM域的示例性網(wǎng)絡布置100。將多個邊緣端口配置為MEP節(jié)點,例如MEP-1 104-1至MEP-6 104-6,這些MEP節(jié)點綁定了以太網(wǎng)CFM域102,可以將以太網(wǎng)CFM域102部署在CFM分級布置的任意級上,例如將其部署為運營商級域、用戶級域或服務提供商級域。關于諸如CFM域102之類的以太網(wǎng)CFM域的實現(xiàn)、操作和布置以及其構成MIP節(jié)點和構成MEP節(jié)點的其他細節(jié)可見于以下共同所有共同未決的專利申請2004年12月22日提交的申請?zhí)枮?1/021,642的申請“SYSTEM AND METHOD FOR REDUCING OAM FRAMELEAKAGE IN AN ETHERNET OAM DOMAIN”(用于在以太網(wǎng)OAM域中減少OAM幀泄漏的系統(tǒng)和方法),通過參考將其內容引入本專利公開文件。
根據(jù)以太網(wǎng)CFM域102的一個實現(xiàn),可以將MEP節(jié)點104-1至104-6配置為多個VLAN實體,其中將分級結構的級信息提供為根據(jù)通用屬性注冊協(xié)議(GARP)生成和發(fā)送的幀中的屬性值。因此,實現(xiàn)以太網(wǎng)CFM域102的MEP端口的多個網(wǎng)元(即末端站點和網(wǎng)橋(或同義地說是交換機))可以包括GARP狀態(tài)機引擎的功能性,以便于進行域配置。關于采用GARP來配置以太網(wǎng)域的其他細節(jié)可見于以下共同所有共同未決的專利申請2004年12月28日提交的申請?zhí)枮?1/023,716的申請“DOMAIN CONFIGURATION IN AN ETHERNETOAM NETWORK HAVING MULTIPLE LEVELS”(具有多個級的以太網(wǎng)OAM網(wǎng)絡中的域配置),如上所述,通過參考將其內容引入本申請。
眾所周知,可以通過手動配置來靜態(tài)地配置VLAN成員(即被視為一個單一的VLAN的一部分的網(wǎng)橋端口)或通過GVRP或GARP VLAN注冊協(xié)議動態(tài)地配置和分配VLAN成員。形成IEEE 802.1p擴展到其802.1d(生成樹)規(guī)范的一部分的GARP定義了用于注冊和解注冊屬性值的體系結構、操作規(guī)則、狀態(tài)機以及變量。一般來說,網(wǎng)橋中的GARP參與者包括與該網(wǎng)橋的每個端口相關聯(lián)的一個GARP應用組件和一個GARP信息聲明(GID)組件。用于網(wǎng)橋中同一應用的GARP參與者之間的信息傳播由GARP信息傳播(GIP)組件來執(zhí)行。采用為所涉及的GARP應用所定義的組MAC地址和協(xié)議數(shù)據(jù)單元(PDU)格式,通過邏輯鏈路控制(LLC)類型1服務,GARP參與者之間發(fā)生協(xié)議交換。
GVRP是一種定義在IEEE 802.1p標準中的GARP應用,允許對802.1q VLAN進行控制,GVRP提供802.1q兼容的裁剪功能(pruning)和在802.1q干線端口上創(chuàng)建動態(tài)VLAN。同樣,利用GVRP,交換機可以與其他GVRP交換機交換VLAN配置信息,裁剪不必要的廣播業(yè)務和未知的單播業(yè)務,以及在通過802.1q端口連接的交換機上動態(tài)地創(chuàng)建和管理VLAN。盡管通過自動地向注冊到該網(wǎng)絡的所有GVRP感知(GVRP-aware)交換機提供VLAN ID(VID)(從而在整個網(wǎng)絡上確保了VID的一致性),這些能力能夠有助于減小在配置VLAN時出錯的可能性,但由于無意地擴展了現(xiàn)有的VLAN配置,因此外部端口有可能能夠破壞定義在VLAN上的以太網(wǎng)CFM域的安全。
本領域的普通技術人員應當認識到,對現(xiàn)有的VLAN配置的這種擴展還有可能發(fā)生在當采用諸如多注冊協(xié)議(MRP)和多VLAN注冊協(xié)議(MVRP)之類的其他相關注冊協(xié)議時。因此,此處所提出的描述和實施例適用于已作必要修正的基于GVRP以及MRP/MVRP配置的VLAN。
繼續(xù)參考圖1,參考標號106是指外部“欺騙”網(wǎng)橋端口(“rogue”bridge port),該端口原本不是以太網(wǎng)CFM VLAN 102的覆蓋范圍的一部分,但可操作為通過使用例如合成的或偽造的VID注冊到VLAN來加入該VLAN。一旦外部端口106加入現(xiàn)有的VLAN 102,VLAN域就會擴展,以便包括新加入的端口,從而由有可能包括其他外部端口(未示出)的擴展的VLAN部分108將該域的覆蓋范圍擴大。由于外部端口106現(xiàn)在已經變成擴展的VLAN的一部分,因此外部端口106可操作為接收從合法VLAN端口發(fā)布的GVRP/MVRP公告,該合法VLAN端口包括以太網(wǎng)CFM域102的MEP端口。因此,正如在本專利公開文件的“背景技術”部分所提到的那樣,外部端口106獲得了對與CFM域相關聯(lián)的廣播業(yè)務和多播業(yè)務(例如數(shù)據(jù)幀和控制幀)的未授權的訪問。
圖2描述了根據(jù)本發(fā)明的描述可操作于圖1的以太網(wǎng)CFM域102中的示例性MEP節(jié)點202。特別地,MEP節(jié)點202具有適當?shù)倪壿?,該邏輯用于在檢測到新的端口時,通過連接CFM功能性和GVRP/MVRP來保護以太網(wǎng)CFM域102。如圖1所示,當新的外部端口106加入現(xiàn)有的VLAN從而擴展其覆蓋范圍時,通過諸如MEP-4 104-4之類的邊界MEP端口,數(shù)據(jù)可以在CFM域102和未授權的VLAN擴展108之間流動。因此,在可操作為MEP-4的MEP節(jié)點202中提供邏輯結構206,當外部端口106注冊到該VLAN時,邏輯結構206對檢測到存在外部端口106做出響應。由于配置在特定CFM域中的合法MEP節(jié)點希望接收來自該域的其他合法MEP節(jié)點的控制幀(除生成可應用的控制幀本身之外),因此邏輯206還可操作為監(jiān)視流過該MEP的控制幀(例如連續(xù)性校驗(CC)幀),以便確定是否有雙向控制幀流。因此,邏輯結構206可操作為確定是否存在從CFM域102向擴展的VLAN部分108(包括外部端口106)的CC幀202A以及從擴展的VLAN部分108向CFM域節(jié)點的CC幀202B。在一個示例性實現(xiàn)中,可以將幀流監(jiān)視邏輯配置為在檢測到新的端口之后的一個時間段內檢查雙向的CC幀流,其中該時間段可以是可變的、固定的、預定的或配置的。
繼續(xù)參考圖2,監(jiān)視邏輯206與MEP節(jié)點202的數(shù)據(jù)過濾/轉發(fā)邏輯和數(shù)據(jù)庫208通過接口相連,以便基于由監(jiān)視邏輯206所做出的判定,適當?shù)卣{制數(shù)據(jù)幀流。特別地,僅當在MEP節(jié)點處觀察到雙向CC流時,該MEP節(jié)點才可以根據(jù)過濾邏輯和數(shù)據(jù)庫208將數(shù)據(jù)幀轉發(fā)到其他目的地。否則,該MEP節(jié)點就將該數(shù)據(jù)幀丟棄。此外,作為又一個變型,MEP節(jié)點可操作為生成并發(fā)送警報210到與部署該節(jié)點的CFM域相關聯(lián)的網(wǎng)絡管理節(jié)點212,以便通知存在可能的入侵者。因此,雖然加入現(xiàn)有VLAN的非法外部端口有可能仍保留為VLAN覆蓋范圍的一部分,但該端口已被拒絕給予機會靜靜地收聽該VLAN中的數(shù)據(jù)業(yè)務廣播。此外,還要防止外部端口將潛在的危害性的業(yè)務引入該VLAN/CFM域。
圖3描述了根據(jù)本發(fā)明的一個實施例用于保護基于VLAN的以太網(wǎng)CFM域的方案300。如上所述,外部端口/網(wǎng)橋可以注冊到定義了以太網(wǎng)CFM域的現(xiàn)有VLAN,從而擴展該VLAN的覆蓋范圍(方框302)。響應于該手動的或自動的注冊,以太網(wǎng)CFM域的邊界MEP檢測新的網(wǎng)橋端口的存在(方框304)。之后,邊界MEP監(jiān)視控制幀流并確定雙向控制幀(例如CC幀)是否正在通過(即從CFM域向新的端口的CC幀以及從CFM域之外向域MEP生成的CC幀)(方框306)。如果沒有觀察到雙向流,則邊界MEP生成表明以太網(wǎng)CFM域被新加入的外部端口潛在地破壞的警報并將該警報發(fā)送到網(wǎng)絡管理節(jié)點。此外,要防止任何雙向的數(shù)據(jù)業(yè)務(即到外部端口的數(shù)據(jù)幀或來自外部端口的數(shù)據(jù)幀)流過MEP節(jié)點。這些操作在方框308中示出。
基于前面的詳細描述,應當意識到,本發(fā)明有利地提供了一種簡單而有效的方案用于檢測對VLAN的未授權的訪問。本領域的普通技術人員應當認識到,此處所闡明的方法可以實現(xiàn)于包括與適當?shù)木W(wǎng)橋設備相關聯(lián)的軟件、硬件或固件的實現(xiàn),或其任意組合。另外,應當意識到,本發(fā)明的描述不一定需要對目前所使用的可應用標準和協(xié)議進行修改。
雖然已經參照某些示例性實施例描述了本發(fā)明,但應當理解,所示出和描述的本發(fā)明的形式僅作為示例性實施例。因此,在不脫離由所附權利要求所限定的本發(fā)明的實質和范圍的情況下,可以進行各種改變、替代和修改。
權利要求
1.一種用于保護定義在虛擬局域網(wǎng)(VLAN)上的以太網(wǎng)連通性故障管理(CFM)域的方法,包括響應于外部端口注冊到所述VLAN,從而使所述VLAN擴展為包括所述外部端口,由所述以太網(wǎng)CFM域的邊界維護端點(MEP)節(jié)點進行監(jiān)視,以確定在此是否觀察到了雙向控制幀流;以及響應于由所述邊界MEP節(jié)點確定沒有雙向控制幀流通過,生成表明所述以太網(wǎng)CFM域被所述外部端口潛在地破壞的警報。
2.根據(jù)權利要求1所述的用于保護定義在VLAN上的以太網(wǎng)CFM域的方法,其中所述外部端口經由多VLAN注冊協(xié)議(MVRP)和GARP(通用屬性注冊協(xié)議)VLAN注冊協(xié)議(GVRP)中的至少一個自動地注冊到所述VLAN。
3.根據(jù)權利要求1所述的用于保護定義在VLAN上的以太網(wǎng)CFM域的方法,其中所述外部端口手動地注冊到所述VLAN。
4.根據(jù)權利要求1所述的用于保護定義在VLAN上的以太網(wǎng)CFM域的方法,其中所述雙向控制幀流包括傳輸從所述以太網(wǎng)CFM域向所述外部端口發(fā)射的連續(xù)性校驗(CC)幀和傳輸從所述VLAN之外向部署在所述以太網(wǎng)CFM域中的MEP節(jié)點生成的CC幀。
5.一種用于保護定義在虛擬局域網(wǎng)(VLAN)上的以太網(wǎng)連通性故障管理(CFM)域的系統(tǒng),包括與所述以太網(wǎng)CFM域的邊界維護端點(MEP)節(jié)點相關聯(lián)的裝置,所述裝置響應于外部端口注冊到所述VLAN而操作,從而使所述VLAN擴展為包括所述外部端口,所述裝置用于監(jiān)視通過所述邊界MEP節(jié)點的幀流,以便確定在此是否觀察到了雙向控制幀流;以及響應于確定沒有雙向控制幀流通過所述邊界MEP節(jié)點,用于生成表明所述以太網(wǎng)CFM域被所述外部端口潛在地破壞的警報的裝置。
6.根據(jù)權利要求5所述的用于保護定義在VLAN上的以太網(wǎng)CFM域的系統(tǒng),其中所述外部端口經由多VLAN注冊協(xié)議(MVRP)和GARP(通用屬性注冊協(xié)議)VLAN注冊協(xié)議(GVRP)中的至少一個自動地注冊到所述VLAN。
7.根據(jù)權利要求5所述的用于保護定義在VLAN上的以太網(wǎng)CFM域的系統(tǒng),其中所述外部端口手動地注冊到所述VLAN。
8.根據(jù)權利要求5所述的用于保護定義在VLAN上的以太網(wǎng)CFM域的系統(tǒng),其中所述雙向控制幀流包括傳輸從所述以太網(wǎng)CFM域向所述外部端口發(fā)射的連續(xù)性校驗(CC)幀和傳輸從所述VLAN之外向部署在所述以太網(wǎng)CFM域中的MEP節(jié)點生成的CC幀。
9.一種可操作于定義在虛擬局域網(wǎng)(VLAN)上的以太網(wǎng)連通性故障管理(CFM)域中的網(wǎng)絡節(jié)點,包括可響應于外部端口注冊到所述VLAN而操作的結構,從而使所述VLAN擴展為包括所述外部端口,該結構用于確定在所述網(wǎng)絡節(jié)點處是否觀察到了雙向控制幀流;以及可響應于確定沒有雙向控制幀流通過所述邊界MEP節(jié)點而操作的結構,用于生成表明所述以太網(wǎng)CFM域被所述外部端口潛在地破壞的警報。
10.根據(jù)權利要求9所述的網(wǎng)絡節(jié)點,還包括用于確定是否在預定的時間段內在所述網(wǎng)絡節(jié)點處觀察到了所述雙向控制幀流的結構。
全文摘要
一種用于保護定義在虛擬局域網(wǎng)(VLAN)上的以太網(wǎng)連通性故障管理(CFM)域的系統(tǒng)和方法。在一個實施例中,該方案包括響應于外部端口注冊到VLAN,從而使該VLAN擴展為包括該外部端口,由以太網(wǎng)CFM域的邊界維護端點(MEP)節(jié)點進行監(jiān)視,以確定在此是否觀察到了雙向控制幀流(例如連續(xù)性校驗(CC)幀流);以及響應于由邊界MEP節(jié)點確定沒有雙向控制幀流通過,生成表明以太網(wǎng)CFM域被外部端口潛在地破壞的警報。
文檔編號H04L12/28GK1848762SQ200510103338
公開日2006年10月18日 申請日期2005年9月16日 優(yōu)先權日2004年9月16日
發(fā)明者戴維·伊利·迪特·科薩奎, 卡馬克希·斯里德哈, 馬阿坦恩·彼得勒斯·約瑟夫·維瑟斯, 杰西·魯耶 申請人:阿爾卡特公司