專利名稱:用于在通信系統(tǒng)中進(jìn)行業(yè)務(wù)過(guò)濾的裝置和方法
用于在通信系統(tǒng)中進(jìn)行業(yè)務(wù)過(guò)濾的裝置和方法
背景
常常使用過(guò)程控制系統(tǒng)來(lái)管理處理設(shè)施�。示例處理設(shè)施包4舌制造 廠����、化工廠、原油精煉廠�����、以及礦石處理廠�。除了其他操作以外,過(guò)程
控制系統(tǒng)通常還管理電動(dòng)機(jī)�、閥門、以及處理設(shè)施中的其他工業(yè)i殳備的 使用�����。
在一些過(guò)程控制系統(tǒng)中,各部件被分為級(jí)的分級(jí)結(jié)構(gòu)����,其被稱作"網(wǎng) 絡(luò)級(jí)"。不同網(wǎng)絡(luò)級(jí)中的部件通常負(fù)責(zé)在過(guò)程控制系統(tǒng)中執(zhí)行不同類型 的功能����。例如,常規(guī)過(guò)程控制系統(tǒng)可以包括一個(gè)或多個(gè)第1級(jí)的網(wǎng)絡(luò)級(jí) 以及一個(gè)或多個(gè)第2級(jí)的網(wǎng)絡(luò)級(jí)�。作為特定例子,第l級(jí)的網(wǎng)絡(luò)級(jí)可以 包括控制器和用來(lái)控制工業(yè)設(shè)備的其他部件����。第2級(jí)的網(wǎng)絡(luò)級(jí)可以包括 服務(wù)器、個(gè)人計(jì)算機(jī)��、以及用來(lái)與第1級(jí)的網(wǎng)絡(luò)級(jí)中的部件進(jìn)行交互并 對(duì)其進(jìn)行控制的其他部件�。保護(hù)過(guò)程控制系統(tǒng)中更關(guān)鍵的部件(例如第1級(jí)的網(wǎng)絡(luò)級(jí)中的部件) 不受病毒攻擊或其他破壞常常是重要的。先前的一種方法涉及為過(guò)程控 制系統(tǒng)中更關(guān)鍵的部件和不太關(guān)鍵的部件提供分開的交換機(jī)��。然而��,這 種方法常常會(huì)增加過(guò)程控制系統(tǒng)的復(fù)雜性和成本,因?yàn)樾枰嘟M交換 機(jī)��。
概要
本公開內(nèi)容提供一種用于在通信系統(tǒng)中進(jìn)行業(yè)務(wù)過(guò)濾的裝置和方法�。
在第一實(shí)施例中, 一種方法包括在交換機(jī)處通過(guò)第一組接口中的第 一接口接收業(yè)務(wù)����。笫一組接口與第一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)。該方法還包括確 定該業(yè)務(wù)去往與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的目的地�。該方法進(jìn)一步包4舌在交 換機(jī)處將該業(yè)務(wù)轉(zhuǎn)發(fā)至第二組接口中的第二接口 。第二組接口與第二虛 擬網(wǎng)絡(luò)相關(guān)聯(lián)����。而且��,該方法包括過(guò)濾在第二組接口中的第二接口處接 收到的業(yè)務(wù)���。另外���,該方法包括將過(guò)濾后的業(yè)務(wù)送往目的地。
在特定實(shí)施例中�����,該第 一和第二虛擬網(wǎng)絡(luò)表示與過(guò)程控制系統(tǒng)的不 同網(wǎng)絡(luò)級(jí)相關(guān)聯(lián)的各虛擬局域網(wǎng)�。至少一個(gè)所述網(wǎng)絡(luò)級(jí)包括一個(gè)或多個(gè)
能夠控制處理設(shè)施中的一個(gè)或多個(gè)處理元件的控制器��。
在其他特定實(shí)施例中����,將該業(yè)務(wù)轉(zhuǎn)發(fā)至第二接口包括將該業(yè)務(wù)轉(zhuǎn)發(fā) 至第一組接口中的第三接口�。第三接口通過(guò)電纜被耦合至第二接口 。該 電纜可以表示交叉電纜�。
在第二實(shí)施例中, 一種裝置包括多個(gè)接口�,所述多個(gè)接口包4舌與第 一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第 一組接口和與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第二組4妻 口。該裝置還包括能夠在這些接口之間傳送業(yè)務(wù)的交換結(jié)構(gòu)�。該裝置進(jìn) 一步包括控制器,該控制器能夠確定通過(guò)第 一組接口中的第 一接口接收 到的業(yè)務(wù)去往與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的目的地�。該控制器還能夠^使交換 結(jié)構(gòu)將該業(yè)務(wù)轉(zhuǎn)發(fā)至第二組接口中的第二接口。該控制器還能夠過(guò)濾在 第二組接口中的第二接口接收到的業(yè)務(wù)��。另外�����,該控制器能夠使交換結(jié) 構(gòu)將過(guò)濾后的業(yè)務(wù)轉(zhuǎn)發(fā)至第二組接口中的第三接口 ���,以便將過(guò)濾后的業(yè) 務(wù)送往目的地����。
在第三實(shí)施例中, 一種系統(tǒng)包括能夠便于多個(gè)端點(diǎn)之間的通信的多 個(gè)交換機(jī)�����。至少一個(gè)所述交換機(jī)包括多個(gè)接口��,所述多個(gè)接口包4舌與第 一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第 一組接口和與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第二組接 口��。至少一個(gè)所述交換機(jī)還包括能夠在這些接口之間傳送業(yè)務(wù)的交換結(jié) 構(gòu)����。至少一個(gè)所述交換機(jī)進(jìn)一步包括控制器,該控制器能夠確定通過(guò)第 一組接口中的第 一接口接收到的業(yè)務(wù)去往與笫二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的端 點(diǎn)��。該控制器還能夠使交換結(jié)構(gòu)將該業(yè)務(wù)轉(zhuǎn)發(fā)至第二組接口中的第二接 口 ����。該控制器還能夠過(guò)濾在第二組接口中的第二接口處接收到的業(yè)務(wù)�����。 另外����,該控制器能夠使交換結(jié)構(gòu)將過(guò)濾后的業(yè)務(wù)轉(zhuǎn)發(fā)至第二組接口中的 第三接口 ���,以便將過(guò)濾后的業(yè)務(wù)送往與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的端點(diǎn)。
根據(jù)下面的附圖��、說(shuō)明書和權(quán)利要求書���,其他技術(shù)特征對(duì)于本領(lǐng)域 技術(shù)人員而言可能很容易是顯而易見的�。
附圖簡(jiǎn)述
為了更完全地理解本公開內(nèi)容��,現(xiàn)在參考下面結(jié)合附圖所作出的描
述����,其中
圖1說(shuō)明根據(jù)本公開內(nèi)容的一個(gè)實(shí)施例的示例通信系統(tǒng); 圖2說(shuō)明根據(jù)本公開內(nèi)容的一個(gè)實(shí)施例的用于在通信系統(tǒng)中進(jìn)行業(yè) 務(wù)過(guò)濾的示例交換機(jī)�����;以及
圖3說(shuō)明根據(jù)本公開內(nèi)容的 一個(gè)實(shí)施例的用于在通信系統(tǒng)中進(jìn)行業(yè)
務(wù)過(guò)濾的示例方法����。
i羊細(xì)4苗述
圖1說(shuō)明根據(jù)本公開內(nèi)容的一個(gè)實(shí)施例的示例通信系統(tǒng)100。圖1 所示的通信系統(tǒng)100的實(shí)施例僅僅是用于說(shuō)明��。在不脫離本公開內(nèi)容的 范圍的情況下,也可以使用通信系統(tǒng)IOO的其他實(shí)施例����。
在該示例實(shí)施例中,通信系統(tǒng)100表示包4舌處理元件102a-102d��、 端點(diǎn)104a-104f���、以及交換機(jī)106a-106f的過(guò)程控制系統(tǒng)��。處理元件 102a-102d表示在處理環(huán)境中執(zhí)行各種各樣功能中的任何一種的部件����。 例如���,處理元件102a-102d可以表示電動(dòng)機(jī)��、閥門、以及處理環(huán)境中的 其他工業(yè)設(shè)備����。處理元件102a-102d可以表示處理環(huán)境中的任4可其他或 附加的部件。處理元件102a-102d中的每一個(gè)包括用于在處理環(huán)境中沖丸 行一個(gè)或多個(gè)功能的任何硬件�、軟件���、固件、或其組合�����。舉例來(lái)il,處 理元件102a-102d可以表示能夠在處理環(huán)境中操縱�、改變、或以其他方 式處理一個(gè)或多個(gè)材料的任何部件����、設(shè)備或系統(tǒng)。
端點(diǎn)104a-104f表示在通信系統(tǒng)100中能夠控制處理元件102a-102d 的操作的部件��。例如�,端點(diǎn)104a-104d可能能夠直接與處理元件 102a-102d進(jìn)行交互,并且控制處理元件102a-102d的操作�。端點(diǎn) 104e-104f可能能夠通過(guò)端點(diǎn)104a-104d間接地控制處理元件102a-102d 的操作。端點(diǎn)104a-104f中的每一個(gè)包括用于控制通信系統(tǒng)100中的一 個(gè)或多個(gè)操作的任何硬件��、軟件����、固件、或其組合���。作為特定例子�,端 點(diǎn)104a-104d可以包括或表示嵌入式控制器,例如來(lái)自HONEYWELL INTERNATIONAL INC.的C200����、 C300、或C400控制器或者現(xiàn)場(chǎng)總線接 口模塊(FIM)�。端點(diǎn)104e-104f可以包括或表示服務(wù)器,例如來(lái)自 HONEYWELL INTERNATIONAL INC.的過(guò)程知識(shí)系統(tǒng)(PKS )月良務(wù)器或 者來(lái)自HONEYWELL INTERNATIONAL INC.的高級(jí)控制環(huán)境(ACE ) 服務(wù)器���。端點(diǎn)104e-104f還可以包括或表示操作員站���,例如臺(tái)式計(jì)算機(jī)、 膝上型計(jì)算機(jī)���、或個(gè)人數(shù)字助理��。
交換機(jī)106a-106f在各個(gè)端點(diǎn)104a-104f之間傳送信息�����。例如�,交換 機(jī)106a可以從端點(diǎn)104a接收信息���,并且通過(guò)交換機(jī)106e向端點(diǎn)104e 發(fā)送信息�。取決于系統(tǒng)100的布局�����,交換機(jī)106a-106f中的每一個(gè)通常浮皮耦合至一個(gè)或多個(gè)所述端點(diǎn)104a-104f和/或一個(gè)或多個(gè)其他交換:才幾����。 交換機(jī)106a-106f中的每一個(gè)包括用于在系統(tǒng)100中傳送信息的4壬何硬 件、軟件����、固件、或其組合����。舉例來(lái)說(shuō),交換機(jī)106a-106f可以表示來(lái) 自CISCO SYSTEMS INC.的2950系列交換機(jī)�。
取決于端點(diǎn)104a-104f的功能,端點(diǎn)104a-104f可以通過(guò)交換機(jī) 106a-106f傳送任何合適的信息��。在系統(tǒng)中各部件之間傳送的信息通常被 稱作"業(yè)務(wù)"����。在一些實(shí)施例中�����,從端點(diǎn)104e-104f發(fā)送給端點(diǎn)104a-104d 的業(yè)務(wù)的一部分表示用于控制端點(diǎn)104a-104d的操作的控制信息�����。這樣����, 端點(diǎn)104e-104f —般可以控制端點(diǎn)104a-104d如何控制處理元件 102a-102d的操作���。此外�����,端點(diǎn)104a-104f可以使用任何合適的一個(gè)或多 個(gè)協(xié)議以用于傳送信息�,例如通過(guò)使用以太網(wǎng)上的傳輸控制協(xié)議/因特網(wǎng) 協(xié)議(TCP/IP)或用戶數(shù)據(jù)報(bào)協(xié)議/因特網(wǎng)協(xié)議(UDP/IP)��。另外����,端點(diǎn) 104a-104f中的每一個(gè)可以:被固定在特定位置或者是可移動(dòng)的,并且端點(diǎn) 104a-104f可以通過(guò)有線或無(wú)線連接與交換機(jī)106a-106f進(jìn)行通信。
如圖1所示�,通信系統(tǒng)100被分為分級(jí)結(jié)構(gòu)的網(wǎng)絡(luò)級(jí)108a-108c, 其中包括第1級(jí)的網(wǎng)絡(luò)級(jí)108a-108b和第2級(jí)的網(wǎng)絡(luò)級(jí)108c。在該例子 中�,網(wǎng)絡(luò)級(jí)108a-108c中的每一個(gè)包括一個(gè)或多個(gè)所述端點(diǎn)104a-104f 和一個(gè)或多個(gè)所述交換機(jī)106a-106f��。在特定實(shí)施例中����,第1級(jí)的網(wǎng)絡(luò)級(jí) 中的部件可以駐留在單個(gè)才幾拒或其他結(jié)構(gòu)中。通信系統(tǒng)IOO可以包括附 加網(wǎng)絡(luò)級(jí)�����,例如用"第3級(jí)����,,(包含非關(guān)鍵控制應(yīng)用)和"第4級(jí)�����,���,(包 含工廠范圍或設(shè)施范圍的應(yīng)用)表示的級(jí)���。
在一些實(shí)施例中���,通信系統(tǒng)100表示冗余網(wǎng)絡(luò)或容^l昔網(wǎng)絡(luò)。例如�, 通信系統(tǒng)100可以表示容錯(cuò)以太網(wǎng)(FTE)網(wǎng)絡(luò)。FTE網(wǎng)絡(luò)典型地包括 通常彼此獨(dú)立的兩個(gè)網(wǎng)絡(luò)���,其中在端點(diǎn)104a-104f中的任何兩個(gè)端點(diǎn)之 間存在多條冗余路徑��。如圖1所示���,交換機(jī)106a-106f成對(duì)地工作,并 且每一對(duì)交換機(jī)106a-106f包括未加陰影的交換機(jī)和加陰影的交換機(jī)����。 屏蔽區(qū)分不同的、通常是獨(dú)立的網(wǎng)絡(luò)�。除其他方面以外,冗余網(wǎng)癥各還可 以與不同的診斷消息相關(guān)聯(lián)����,這些消息周期性地進(jìn)行廣播或多播以便指 示這些部件正在工作,并且這些消息被用來(lái)路由業(yè)務(wù)和避免系統(tǒng)100中 的錯(cuò)誤��。
在這些類型的網(wǎng)絡(luò)中,端點(diǎn)104a-104f中的每一個(gè)可以通過(guò)冗余網(wǎng) 絡(luò)110 (例如兩個(gè)以太網(wǎng)網(wǎng)絡(luò))^皮身禺合至一對(duì)交換:才幾106a-106f��。如果在
系統(tǒng)100中丟失了一對(duì)交換機(jī)當(dāng)中的一個(gè)交換機(jī)�,這對(duì)交換機(jī)中的另一 個(gè)交換機(jī)被用來(lái)路由業(yè)務(wù)。這有助于確保端點(diǎn)104a-104f即使在一個(gè)交 換機(jī)變得不起作用時(shí)�,仍然可以繼續(xù)正常工作。此外�,每一對(duì)中的交換 機(jī)通過(guò)交叉電纜112相互耦合���。交叉電纜112可以表示兩個(gè)冗余網(wǎng)絡(luò)之 間的唯一互連�。這些特征尤其有助于確保在端點(diǎn)104a-104f中的4壬4可兩 個(gè)之間存在至少四條冗余路徑�。
在操作的一個(gè)方面中,系統(tǒng)100中的交換才幾106a-106f包括至少一 個(gè)"分裂交換機(jī)��,�,。分裂交換機(jī)表示起多個(gè)交換機(jī)作用的單個(gè)物理交換 機(jī)�����。在這些實(shí)施例中��,分裂交換機(jī)可以既被耦合至第1級(jí)的網(wǎng)絡(luò)級(jí)�����,又 被耦合至第2級(jí)的網(wǎng)絡(luò)級(jí)。在一些實(shí)施例中��,分裂交換機(jī)支持用于第1 級(jí)的網(wǎng)絡(luò)級(jí)的虛擬局域網(wǎng)(VLAN)或其他虛擬網(wǎng)絡(luò)���,并且支持用于第 2級(jí)的網(wǎng)絡(luò)級(jí)的分離的VLAN或其他虛擬網(wǎng)絡(luò)�。在特定實(shí)施例中�,分裂 交換機(jī)為第1級(jí)的網(wǎng)絡(luò)級(jí)創(chuàng)建VLAN,并且對(duì)于第2級(jí)的網(wǎng)絡(luò)級(jí)使用FTE 社區(qū)VLAN。這尤其允許分裂交換機(jī)保持第l級(jí)的網(wǎng)絡(luò)級(jí)中的業(yè)務(wù)與第 2級(jí)的網(wǎng)絡(luò)級(jí)中的業(yè)務(wù)之間的分離�����。電纜被用來(lái)連接VLAN,以及分裂 交換機(jī)使用該電纜在VLAN之間傳送業(yè)務(wù)�����。
分裂交換機(jī)還被配置成在去往第1級(jí)的VLAN的入口處提供業(yè)務(wù)過(guò) 濾���。舉例來(lái)說(shuō)���,分裂交換機(jī)可以使用一個(gè)或多個(gè)接入列表以允許特定 TCP或UDP端口的業(yè)務(wù)傳遞到第1級(jí)的VLAN中。接入列表還可以允 許維持系統(tǒng)100所需要傳遞的附加業(yè)務(wù)�,例如地址解析協(xié)議(ARP)廣 播業(yè)務(wù)��、多播測(cè)試消息和網(wǎng)絡(luò)定時(shí)協(xié)議(NTP)業(yè)務(wù)�����。所有其他業(yè)務(wù)可 以被封鎖����,并且被防止進(jìn)入到第1級(jí)的VLAN中�。在特定實(shí)施例中,分 裂交換機(jī)中的接入列表是可定制的或可變的���,這取決于第l級(jí)的網(wǎng)絡(luò)級(jí) 中各部件所需的業(yè)務(wù)類型。
通過(guò)使用虛擬網(wǎng)絡(luò)和過(guò)濾功能�����,分裂交換機(jī)被虛擬地分為兩個(gè)交換 機(jī)(一個(gè)用于第1級(jí)的網(wǎng)絡(luò)級(jí)�����,另一個(gè)用于第2級(jí)的網(wǎng)絡(luò)級(jí))�,其中業(yè) 務(wù)過(guò)濾被提供給至少一個(gè)所述虛擬交換機(jī)。這樣����,分裂交換機(jī)可以有效 地保護(hù)第1級(jí)的網(wǎng)絡(luò)級(jí)中的部件不被破壞��,同時(shí)還允許控制和其^^必要 的業(yè)務(wù)進(jìn)入到第1級(jí)的網(wǎng)絡(luò)級(jí)中��。此外��,分裂交換機(jī)可以提供這種保護(hù)���, 而不需要使用多個(gè)物理交換機(jī),這可能有助于降低系統(tǒng)IOO的復(fù)雜性和 成本�����。圖2中示出有關(guān)分裂交換機(jī)的附加細(xì)節(jié)�,這在下文中進(jìn)行描述。
盡管圖1說(shuō)明通信系統(tǒng)100的一個(gè)例子�,但是可以對(duì)圖1作出各種
變化。例如����,通信系統(tǒng)可以包括任何數(shù)目的處理元件、端點(diǎn)�����、交換j幾、 以及網(wǎng)絡(luò)級(jí)��。圖l還說(shuō)明一種操作環(huán)境��,其中分裂交換機(jī)可以被用來(lái)提 供業(yè)務(wù)過(guò)濾��。該分裂交換機(jī)可以被用在任何其他合適的過(guò)程控制或非過(guò) 程控制設(shè)備或系統(tǒng)中����。
圖2說(shuō)明#^居本/>開內(nèi)容的 一個(gè)實(shí)施例的用于在通信系統(tǒng)中進(jìn)4亍業(yè) 務(wù)過(guò)濾的示例交換機(jī)200。舉例來(lái)說(shuō)�,圖2中的交換才幾200可以表示圖 1中所示的交換機(jī)106a-106f中的任何一個(gè)。交換機(jī)200還可以被用在任 何其他合適的系統(tǒng)中���。此外��,圖2中所示的交換機(jī)200的實(shí)施例僅僅是 用于說(shuō)明。在不脫離本公開內(nèi)容的范圍的情況下��,也可以使用交換機(jī)200 的其他實(shí)施例���。
在該例子中�����,交換機(jī)200包括多個(gè)接口 202�、交換結(jié)構(gòu)204、控制 器206�����、以及存儲(chǔ)器208��。接口 202便于在交換機(jī)200與各種外部部件 之間的通信�����。例如���,接口 202可以通過(guò)網(wǎng)絡(luò)電纜^皮耦合至一個(gè)或多個(gè)端 點(diǎn)和/或一個(gè)或多個(gè)其他交換機(jī)����。接口 202表示用于便于與外部部件進(jìn)行 通信的任何合適的一個(gè)或多個(gè)結(jié)構(gòu)�����,例如能夠接納以太網(wǎng)電纜的RJ-45 插孔�。
交換結(jié)構(gòu)204便于在耦合至交換機(jī)200的各種外部部件之間的信息 的傳送。例如���,交換結(jié)構(gòu)204可以在各個(gè)接口 202之間傳送信息�����。這樣����, 交換結(jié)構(gòu)204可以通過(guò)一個(gè)接口 202接收信息,并且通過(guò)一個(gè)或多個(gè)其 他接口 202提供該信息來(lái)進(jìn)行傳送�。交換結(jié)構(gòu)204包括用于在接口 202 之間傳送信息的任何合適的 一 個(gè)或多個(gè)結(jié)構(gòu)。
控制器206被耦合至交換結(jié)構(gòu)204�。控制器206控制交換機(jī)200的 整體操作��。例如�����,控制器206可以控制交換結(jié)構(gòu)204,從而控制接口 202 之間的信息路由����?����?刂破?06還可以執(zhí)行各種操作以便支持多個(gè)VLAN 或其他虛擬網(wǎng)絡(luò)的創(chuàng)建或使用?�?刂破?06還可以執(zhí)行各種操作以便支 持業(yè)務(wù)過(guò)濾���,從而封鎖或傳遞去往或來(lái)自一個(gè)或多個(gè)所述虛擬網(wǎng)絡(luò)的業(yè) 務(wù)���。另外,控制器206還可以執(zhí)行其他功能�����,包括多播管制和加強(qiáng)廣播 風(fēng)暴限制(例如通過(guò)使用或強(qiáng)加lm bit/sec的限制)�。控制器206包括 用于控制交換機(jī)200的任何硬件��、軟件�����、固件��、或其組合�。
存儲(chǔ)器208被耦合至控制器206。存儲(chǔ)器208存儲(chǔ)控制器206所使 用的信息并便于該信息的檢索,以便控制交換機(jī)200的操作�����。例如����,存 儲(chǔ)器208可以存儲(chǔ)由控制器206執(zhí)行的一個(gè)或多個(gè)控制程序。存儲(chǔ)器208
還可以存儲(chǔ)一個(gè)或多個(gè)接入列表��,這些列表可以由控制器206用來(lái)提供 業(yè)務(wù)過(guò)濾���。存儲(chǔ)器208還可以存儲(chǔ)一個(gè)或多個(gè)生成樹���,這些生成樹被用 來(lái)在通信系統(tǒng)100中路由信息。另外�����,存儲(chǔ)器208可以存儲(chǔ)用來(lái)支持多 個(gè)虛擬網(wǎng)絡(luò)的使用的信息����。存儲(chǔ)器208包括任何合適的一個(gè)或多個(gè)易失 性和/或非易失性存儲(chǔ)和檢索設(shè)備,例如隨機(jī)存取存儲(chǔ)器(RAM)���、只 讀存儲(chǔ)器(ROM)����、閃速存儲(chǔ)器�����、或任何其他或附加類型的存儲(chǔ)器����。
如圖2所示,接口 202被分為兩組或兩個(gè)子集210a-210b�����。每一個(gè) 子集210a-210b包括接口 202中的至少兩個(gè)���。在該例子中���,每一個(gè)子集 210a-210b被耦合至通信系統(tǒng)中的一個(gè)不同網(wǎng)絡(luò)級(jí)。例如�����,接口 202的 子集210a可以被耦合至第1級(jí)的網(wǎng)絡(luò)級(jí),而接口 202的子集210b可以 被耦合至第2級(jí)的網(wǎng)絡(luò)級(jí)����。在該例子中,接口 202的子集210a-210b還 與不同的VLAN或其他虛擬網(wǎng)絡(luò)相關(guān)聯(lián)���。作為例子����,接口 202的子集 210a可以與在第1級(jí)的網(wǎng)絡(luò)級(jí)中使用的VLAN相關(guān)聯(lián)�����,而接口 202的子 集210b可以與在第2級(jí)的網(wǎng)絡(luò)級(jí)中使用的FTE社區(qū)VLAN相關(guān)聯(lián)�����。另 外����,不同的虛擬網(wǎng)絡(luò)通過(guò)電纜212來(lái)連接,該電纜212耦合子集210a 中的一個(gè)接口 202與子集210b中的一個(gè)接口 202���。電纜212表示4壬何合 適的連接���,例如交叉以太網(wǎng)電纜����。
在這些實(shí)施例中��,交換機(jī)200支持多個(gè)虛擬網(wǎng)絡(luò)的使用�,并且隔離 各虛擬網(wǎng)絡(luò)的業(yè)務(wù)���。例如��,交換機(jī)200可以僅僅將業(yè)務(wù)從一個(gè)子集的一 個(gè)接口 202路由到同一個(gè)子集的另一個(gè)接口 202����。這樣��, 一個(gè)虛擬網(wǎng)絡(luò) 內(nèi)的業(yè)務(wù)通常停留在該虛擬網(wǎng)絡(luò)內(nèi)���,除非該業(yè)務(wù)通過(guò)電纜212被發(fā)送給 與另一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的接口 202��。此外��,交換機(jī)200支持對(duì)至少一個(gè) 虛擬網(wǎng)絡(luò)的業(yè)務(wù)過(guò)濾�����。作為例子���,如果子集210a與第1級(jí)的網(wǎng)絡(luò)級(jí)相 關(guān)聯(lián)���,而子集210b與第2級(jí)的網(wǎng)絡(luò)級(jí)相關(guān)聯(lián),那么控制器206可以對(duì) 進(jìn)入在子集210a中耦合至電纜212的接口 202的任何業(yè)務(wù)執(zhí)行業(yè)務(wù)過(guò) 濾����。這樣,交換機(jī)200提供第1級(jí)的網(wǎng)絡(luò)級(jí)的業(yè)務(wù)過(guò)濾�,這可能有助于 保護(hù)第1級(jí)的網(wǎng)絡(luò)級(jí)的部件免受由病毒或其他源引起的破壞。
在特定實(shí)施例中���,交換才幾200包括二十四個(gè)接口 202�。前兩個(gè)接口 202可以表示進(jìn)入到第2級(jí)的網(wǎng)絡(luò)級(jí)中的上行鏈路�����。緊接的十個(gè)接口 202 可以表示進(jìn)入到第l級(jí)的網(wǎng)絡(luò)級(jí)中的鏈路��。隨后的兩個(gè)接口 202可以表 示使用電纜212進(jìn)行耦合的接口 202�����。最后十個(gè)接口 202可以表示進(jìn)入 到第2級(jí)的網(wǎng)絡(luò)級(jí)中的鏈路。此外�����,在交換機(jī)200中還可以支持其他接
口 ���,例如此時(shí)支持去往第2級(jí)的網(wǎng)絡(luò)級(jí)的多個(gè)吉比特接口轉(zhuǎn)換器(GBIC ) 上行鏈路。另外����,交換機(jī)200的生成樹可以被配置成防止接口 202的子 集210a-21 Ob之間的業(yè)務(wù)封鎖。
盡管圖2說(shuō)明用于在通信系統(tǒng)中進(jìn)行業(yè)務(wù)過(guò)濾的交換機(jī)200的一個(gè) 例子�,但是可以對(duì)圖2作出各種變化。例如�,交換機(jī)200可以包括任何 合適數(shù)目的接口 202、交換結(jié)構(gòu)204��、控制器206和存儲(chǔ)器208�。此外, 交換機(jī)200被示出為包括接口 202的兩個(gè)子集210a-210b,并且被描述 為耦合至兩個(gè)網(wǎng)絡(luò)級(jí)和支持兩個(gè)虛擬網(wǎng)絡(luò)����。交換才幾200可以包括任何合 適數(shù)目的接口子集�����,被耦合至任何合適數(shù)目的網(wǎng)絡(luò)級(jí)��,并且支持任何合 適數(shù)目的虛擬網(wǎng)絡(luò)�����。如果使用多于兩個(gè)的虛擬網(wǎng)絡(luò)��,那么對(duì)于交換才幾200 而言可以使用多條電纜212,每一條電纜212耦合一對(duì)虛擬網(wǎng)絡(luò)��。
圖3說(shuō)明根據(jù)本公開內(nèi)容的一個(gè)實(shí)施例的用于在通信系統(tǒng)中進(jìn)行業(yè) 務(wù)過(guò)濾的示例方法300��。為了易于解釋����,相對(duì)于在圖1的系統(tǒng)100中工 作的圖2的交換才幾200來(lái)描述圖3的方法300��。方法300可以由任何其 他合適的設(shè)備并且在任何其他合適的系統(tǒng)中使用��。
在步驟302����,交換機(jī)200從第一網(wǎng)絡(luò)級(jí)VLNA接收業(yè)務(wù)���。舉例來(lái)說(shuō), 這可以包括交換機(jī)200通過(guò)與第2級(jí)的網(wǎng)絡(luò)級(jí)相關(guān)聯(lián)的子集210b中的 第一接口 202,從第2級(jí)的網(wǎng)絡(luò)級(jí)中的部件接收業(yè)務(wù)�����。該業(yè)務(wù)可以去往 第 一 網(wǎng)絡(luò)級(jí)VLAN或第二網(wǎng)絡(luò)級(jí)VLAN中的部件��。
在步驟304,交換機(jī)200確定該業(yè)務(wù)是去往第一網(wǎng)絡(luò)級(jí)VLAN還是 第二網(wǎng)絡(luò)級(jí)VLAN中的部件���。舉例來(lái)說(shuō)��,這可以包括控制器206才企查與 所接收到業(yè)務(wù)相關(guān)聯(lián)的目的地地址。這也可能包括控制器206確定所識(shí) 別的目的地地址是否與第一網(wǎng)絡(luò)級(jí)VLAN中的部件相關(guān)聯(lián)��。
如果該業(yè)務(wù)是去往第一網(wǎng)絡(luò)級(jí)VLAN中的部件���,那么在步驟306, 交換機(jī)200將所接收到的業(yè)務(wù)轉(zhuǎn)發(fā)至第一網(wǎng)絡(luò)級(jí)VLAN中的部件�����。舉例 來(lái)說(shuō)�,這可以包括交換結(jié)構(gòu)204將通過(guò)子集210b中的第一接口 202接 收到的業(yè)務(wù)發(fā)送給同一個(gè)子集210b中第二接口 202���。這還可能包括交換 機(jī)200通過(guò)子集210b中的第二接口 202向目的地部件轉(zhuǎn)發(fā)所接收到的 業(yè)務(wù)�。
如果該業(yè)務(wù)是去往第二網(wǎng)絡(luò)級(jí)VLAN中的部件,那么在步驟308, 交換機(jī)200將所接收到的業(yè)務(wù)通過(guò)交叉電纜212發(fā)送給第二網(wǎng)絡(luò)級(jí) VLAN�����。舉例來(lái)說(shuō)��,這可以包括交換結(jié)構(gòu)204將來(lái)自子集210b中的第二
接口 202的業(yè)務(wù)發(fā)送給子集210a中的第一接口 202����。子集210a可以與 第1級(jí)的網(wǎng)絡(luò)級(jí)相關(guān)聯(lián)。
交換機(jī)200在步驟310識(shí)別所接收業(yè)務(wù)的類型����,并且在步驟312識(shí) 別與所接收業(yè)務(wù)相關(guān)聯(lián)的接口。舉例來(lái)說(shuō)�����,這可以包括控制器206確定 所接收到的業(yè)務(wù)表示單播業(yè)務(wù)����、廣播業(yè)務(wù)、多播業(yè)務(wù),還是NTP業(yè)務(wù)���。 這也可能包括控制器206識(shí)別在所接收到業(yè)務(wù)的源地址或目的地址內(nèi)的 TCP或UDP端口 ����。
在步驟314,交換機(jī)200執(zhí)行業(yè)務(wù)過(guò)濾�,并且確定所識(shí)別的業(yè)務(wù)類 型和接口是否是可接受的。舉例來(lái)說(shuō)�,這可以包括控制器206確定所識(shí) 別的業(yè)務(wù)類型表示ARP廣播業(yè)務(wù)、多播測(cè)試消息����,還是NTP業(yè)務(wù)。這 也可能包括控制器206確定所識(shí)別的業(yè)務(wù)類型是否表示單播業(yè)務(wù)��,并且 所識(shí)別的TCP或UDP端口是否屬于可接受端口的范圍內(nèi)��。
如果所識(shí)別的業(yè)務(wù)類型和接口是可接受的�����,那么在步驟316,交換 才幾200將業(yè)務(wù)轉(zhuǎn)發(fā)至第二網(wǎng)絡(luò)級(jí)VLAN中的一個(gè)或多個(gè)部件��。舉例來(lái)說(shuō)��, 這可以包括交換結(jié)構(gòu)204將來(lái)自子集210a中第一接口 202的業(yè)務(wù)發(fā)送 給子集210a中的一個(gè)或多個(gè)第二接口 202��。否則�,如果所識(shí)別的業(yè)務(wù)類 型或接口不是可接受的,那么在步驟318,交換機(jī)200封鎖來(lái)自第二網(wǎng) 絡(luò)級(jí)VLAN的業(yè)務(wù)���。舉例來(lái)說(shuō)�,這可以包括交換機(jī)200未能將業(yè)務(wù)轉(zhuǎn)發(fā) 至第二網(wǎng)絡(luò)級(jí)VLAN中的任何部件��,并且從任何內(nèi)部緩沖器中移除該業(yè) 務(wù)���。
盡管圖3說(shuō)明用于在通信系統(tǒng)中進(jìn)行業(yè)務(wù)過(guò)濾的方法300的一個(gè)例 子��,但是可以對(duì)圖3作出各種變化�����。例如��,圖3說(shuō)明既確定所接收業(yè)務(wù) 的業(yè)務(wù)類型又確定所接收業(yè)務(wù)的接口���。在其他實(shí)施例中,可以只確定這 二者當(dāng)中的一個(gè)����,例如當(dāng)業(yè)務(wù)類型指示應(yīng)當(dāng)或不應(yīng)當(dāng)轉(zhuǎn)發(fā)數(shù)據(jù)(無(wú)論該 接口是什么)時(shí)����。此外��,盡管被示出為一系列步驟���,但是圖3中的各個(gè) 步驟可以按照并行或不同的次序出現(xiàn)�����。另夕卜�,盡管被示出為使用VLAN, 但是方法300可以包括任何合適類型的虛擬網(wǎng)絡(luò)�。
在一些實(shí)施例中,由交換機(jī)200執(zhí)行的或者在交換機(jī)200內(nèi)扭j亍的 各種功能由計(jì)算機(jī)程序來(lái)實(shí)施或者支持�����,所述計(jì)算機(jī)程序由計(jì)算機(jī)可讀 程序代碼構(gòu)成�����,并且被包含在計(jì)算機(jī)可讀介質(zhì)中�����。短語(yǔ)"計(jì)算機(jī)可讀程 序代碼"包括任何類型的計(jì)算機(jī)代碼���,包括源代碼�、目標(biāo)代碼和可執(zhí)行 代碼�����。短語(yǔ)"計(jì)算機(jī)可讀介質(zhì)��,����,包括能夠由計(jì)算機(jī)訪問的任何類型的介
質(zhì),例如只讀存儲(chǔ)器(ROM)����、隨機(jī)存取存儲(chǔ)器(RAM)、硬盤驅(qū)動(dòng) 器��、光盤(CD)�����、數(shù)字視頻盤(DVD)、或任何其他類型的存儲(chǔ)器�。
闡明在本專利文獻(xiàn)中通篇使用的某些單詞和短語(yǔ)的定義可能是有 利的。術(shù)語(yǔ)"耦合"及其派生詞是指兩個(gè)或更多個(gè)元件之間的任何直接 或間接的通信����,而無(wú)論這些元件是否彼此物理接觸。術(shù)語(yǔ)"應(yīng)用"是指 一個(gè)或多個(gè)計(jì)算機(jī)程序�����、指令集��、過(guò)程����、函數(shù)、對(duì)象��、類����、實(shí)例、或者 適用于以合適的計(jì)算機(jī)語(yǔ)言實(shí)施的相關(guān)數(shù)據(jù)��。術(shù)語(yǔ)"包含"和"包括" 及其派生詞是指沒有限制地包含��。術(shù)語(yǔ)"或"是包含在內(nèi)的,意思是"和 /或"�����。短語(yǔ)"與...相關(guān)聯(lián)"和"與其相關(guān)聯(lián)"及其派生詞可以是指包 含�����,包含在…內(nèi)�����,與…互連���,含有,含在…內(nèi)�����,連接至…或與…相連��, 耦合至…或與…耦合�����,可與…通信,與…協(xié)作��,交織��,并置����,接近于…, 界于…或以…為界����,具有,具有…的特性�,等等。術(shù)語(yǔ)"控制器�����,����,是指 控制至少一個(gè)操作的任何設(shè)備、系統(tǒng)���、或其一部分�����?����?刂破骺梢员粚?shí)施 為硬件���、固件、軟件���、或至少其中兩個(gè)的某種組合��。與任何特定控制器 相關(guān)聯(lián)的功能可以是集中式的或分布式的�����,而無(wú)論是本地的還是遠(yuǎn)程 的��。
盡管本公開內(nèi)容已經(jīng)描述了某些實(shí)施例和通常相關(guān)聯(lián)的方法�,但是 對(duì)這些實(shí)施例和方法的改變和置換對(duì)于本領(lǐng)域技術(shù)人員而言將是顯而 易見的��。因此,對(duì)示例實(shí)施例的上述描述并未限定或約束本公開內(nèi)容����。 在不脫離由后面的權(quán)利要求書所限定的本公開內(nèi)容的精神和范圍的情 況下,其他的變化�����、替換和改變也是可能的�。
權(quán)利要求
1. 一種方法,包括:在交換機(jī)(200)處通過(guò)第一組(210b)接口(202)中的第一接口(202)接收業(yè)務(wù)����,所述第一組(210b)接口(202)與第一虛擬網(wǎng)絡(luò)相關(guān)聯(lián);確定所述業(yè)務(wù)去往與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的目的地��;在所述交換機(jī)(200)處將所述業(yè)務(wù)轉(zhuǎn)發(fā)至第二組(210a)接口(202)中的第二接口(202)�����,所述第二組(210a)接口(202)與所述第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)���;過(guò)濾在所述第二組(210a)接口(202)中的所述第二接口(202)處接收到的所述業(yè)務(wù)�;以及將過(guò)濾后的所述業(yè)務(wù)送往與所述第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的所述目的地��。
2. 權(quán)利要求1所述的方法,其中過(guò)濾所述業(yè)務(wù)包括以下步驟中的 一個(gè)或多個(gè)確定與所述業(yè)務(wù)相關(guān)聯(lián)的業(yè)務(wù)類型是否是可接受的����;以及 確定與所述業(yè)務(wù)相關(guān)聯(lián)的端口是否是可接受的。
3. 權(quán)利要求l所述的方法�����,其中將所述業(yè)務(wù)從所述第一接口 ( 202 ) 轉(zhuǎn)發(fā)至所述第二接口 ( 202)包括將所述業(yè)務(wù)從所述第一接口 ( 202) 轉(zhuǎn)發(fā)至所述第一組(201b)接口 (202)中的第三接口 ( 202),所述第 三接口 (202)通過(guò)電纜(212)被耦合至所述第二接口 ( 202)��。
4. 權(quán)利要求3所述的方法�,其中耦合所述第二和第三接口 ( 202) 的所述電纜(212)包括交叉電纜���。
5. 權(quán)利要求l所述的方法�����,進(jìn)一步包括通過(guò)所述第一組(210b)接口 ( 202)中的一個(gè)接口 ( 202 )接收第二業(yè)務(wù)���;確定所述第二業(yè)務(wù)去往與所述第一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第二目的地;以及將所述第二業(yè)務(wù)送往所述第二目的地����,而不將所述第二業(yè)務(wù)轉(zhuǎn)發(fā)至所述第二組(210a)接口 ( 202)。
6. 權(quán)利要求l所述的方法,其中所述第一虛擬網(wǎng)絡(luò)包括與過(guò)程控制系統(tǒng)(100)中第2級(jí)的網(wǎng)絡(luò)級(jí) (108c)相關(guān)聯(lián)的第一虛擬局域網(wǎng)���;以及所述第二虛擬網(wǎng)絡(luò)包括與所述過(guò)程控制系統(tǒng)(100)中第1級(jí)的網(wǎng) 絡(luò)級(jí)(108a, 108b)相關(guān)聯(lián)的第二虛擬局域網(wǎng)����。
7. —種裝置����,包括多個(gè)接口 (202 ),其包括與第一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第一組(210b) 接口 ( 202)和與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第二組(210a)接口 ( 202 ); 交換結(jié)構(gòu)(204),其能夠在所述接口 ( 202 )之間傳送業(yè)務(wù)���;以及 控制器(206)���,其能夠確定通過(guò)所述第一組(210b)接口 (202)中的第一接口 ( 202) 接收到的業(yè)務(wù)去往與所述第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的目的地;使所述交換結(jié)構(gòu)(204 )將所述業(yè)務(wù)轉(zhuǎn)發(fā)至所述第二組(210a) 接口 ( 202 )中的第二接口 (202 );過(guò)濾在所述第二組(210a)接口 (202 )中的所述第二接口 ( 202) 處接收到的所述業(yè)務(wù)���;以及使所述交換結(jié)構(gòu)(204)將過(guò)濾后的所述業(yè)務(wù)轉(zhuǎn)發(fā)至所述第二組 (210a)接口 ( 202)中的笫三接口 (202),以便將過(guò)濾后的所述業(yè)務(wù) 送往所述目的地��。
8. 權(quán)利要求7所述的裝置����,其中所述控制器(206 )能夠通過(guò)使所 述交換結(jié)構(gòu)(204)將所述業(yè)務(wù)從所述第一接口 (202)轉(zhuǎn)發(fā)至所述第一 組(210b)接口 ( 202)中的第四接口 ( 202 ),從而使所迷交換結(jié)構(gòu)(204 ) 將所述業(yè)務(wù)從所述第一接口 ( 202 )轉(zhuǎn)發(fā)至所述第二接口 ( 202),所述 第四接口 ( 202)通過(guò)電纜(212)被耦合至所述第二接口 ( 202)����。
9. 權(quán)利要求7所述的裝置�����,其中所述第一虛擬網(wǎng)絡(luò)包括與過(guò)程控制系統(tǒng)(100)中第2級(jí)的網(wǎng)絡(luò)級(jí) (108c)相關(guān)聯(lián)的第一虛擬局域網(wǎng)����;以及所述第二虛擬網(wǎng)絡(luò)包括與所述過(guò)程控制系統(tǒng)(100)中第1級(jí)的網(wǎng) 絡(luò)級(jí)(108a, 108b)相關(guān)聯(lián)的第二虛擬局域網(wǎng)��。
10. —種系統(tǒng)�����,包括多個(gè)交換機(jī)(106a-106f),其能夠便于在多個(gè)端點(diǎn)(104a-104f)之 間的通信�,所述交換機(jī)中的至少一個(gè)包括多個(gè)接口 ( 202 ),其包括與第 一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第 一組(210b ) 接口 ( 202)和與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的第二組(210a)接口 (202); 交換結(jié)構(gòu)(204 ),其能夠在所述接口 ( 202)之間傳送業(yè)務(wù)�����;以及控制器(206),其能夠確定通過(guò)所述第一組(210b )接口(202)中的第一接口( 202) 接收到的業(yè)務(wù)去往與所述第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的端點(diǎn)�����;使所述交換結(jié)構(gòu)(204 )將所述業(yè)務(wù)轉(zhuǎn)發(fā)至所述第二組 (210a)接口 (202 )中的第二接口 (202 );過(guò)濾在所述第二組(210a)接口 ( 202)中的所述第二接口 (202)處接收到的所述業(yè)務(wù)�����;以及使所述交換結(jié)構(gòu)(204)將過(guò)濾后的所述業(yè)務(wù)轉(zhuǎn)發(fā)至所述第 二組(210a)接口 ( 202 )中的第三接口 (202 ),以便將過(guò)濾后的所述 業(yè)務(wù)送往與所述第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的所述端點(diǎn)。
全文摘要
一種方法包括在交換機(jī)(200)處通過(guò)第一組(210b)接口(202)中的第一接口(202)接收業(yè)務(wù)��。第一組(210b)接口(202)與第一虛擬網(wǎng)絡(luò)相關(guān)聯(lián)�����。該方法還包括確定該業(yè)務(wù)去往與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的目的地�����,并在交換機(jī)(200)處將該業(yè)務(wù)轉(zhuǎn)發(fā)至第二組(210a)接口(202)中的第二接口(202)���。第二組(210a)接口(202)與第二虛擬網(wǎng)絡(luò)相關(guān)聯(lián)�����。該方法還包括過(guò)濾在第二組(210a)接口(202)中的第二接口(202)處接收到的業(yè)務(wù)����,并將過(guò)濾后的業(yè)務(wù)送往目的地�。該第一和第二虛擬網(wǎng)絡(luò)可以表示與過(guò)程控制系統(tǒng)(100)的不同網(wǎng)絡(luò)級(jí)(108a-108c)相關(guān)聯(lián)的各虛擬局域網(wǎng)。
文檔編號(hào)H04L12/46GK101379778SQ200680053031
公開日2009年3月4日 申請(qǐng)日期2006年12月14日 優(yōu)先權(quán)日2005年12月20日
發(fā)明者J·W·古斯丁, S·J·斯科特 申請(qǐng)人:霍尼韋爾國(guó)際公司