[发明专利]用于私有虚拟局域网隔离的方法和装置

说明书

技术领域

本发明总地涉及通信网络，并且更具体地涉及私有虚拟局域网(VLAN)隔离。

背景技术

虚拟局域网(VLAN)表示其中客户可以向同一VLAN中的任意其它客户发送帧的域。私有VLAN允许辅助VLAN上的客户在一个(主VLAN)上进行共享。辅助VLAN上的客户可以与彼此通信，除非该VLAN被配置为隔离的VLAN。利用传统网络，如果两个交换机结束使用私有VLAN，那么如果这两个交换机被配置为使用同一主VLAN，则应当被隔离的流量可能仍然会成功通过而到达另一交换机后面的主机。可以通过配置不同的主VLAN来防止上述情况的发生，但是这种方法存在很多缺点。例如，可能需要IP寻址改变。

附图说明

图1示出了这里所描述的实施例可以在其中被实现的网络的示例。

图2是示出了主虚拟局域网、隔离虚拟局域网和群体虚拟局域网的交换机的框图。

图3示出了用于实现这里所描述的实施例的网络设备的示例。

图4是示出了根据一个实施例的用于私有虚拟局域网隔离的过程的概览的流程图。

在整个这些附图中，相应的标号表示相应的部件。

具体实施例

概览

在一个实施例中，一种方法总地包括在交换机处获得端主机的地址，所述交换机被配置有主虚拟局域网和辅助虚拟局域网；创建包括被允许在所述辅助虚拟局域网上进行通信的端主机的地址的私有虚拟局域网访问列表；并且将私有虚拟局域网访问列表应用于被连接到所述被允许在辅助虚拟局域网上进行通信的端主机的接口。

在另一实施例中，一种装置总地包括主虚拟局域网和辅助虚拟局域网，用于存储包括被允许在辅助虚拟局域网上进行通信的端主机的地址的私有虚拟局域网访问列表的存储器，以及用于将所述私有虚拟局域网访问列表应用于被连接到所述被允许在辅助虚拟局域网上进行通信的端主机的接口的处理器。

示例实施例

以下描述被提供以使得本领域技术人员能够实现和使用实施例。对特定实施例和应用的描述仅作为示例被提供，并且各种修改对于本领域技术人员而言是很明显的。这里所描述的总的原则可以在不脱离实施例的范围的情况下被用于其它应用。因而，实施例不希望被限制为所显示的那些，而是希望根据与这里所描述的原则和特征相一致的最宽范围来理解。为了清楚起见，关于在与实施例相关的技术领域中已知的技术内容的细节没有被进行详细描述。

私有VLAN可以操作为三种相关的VLAN：主VLAN、隔离(isolated)VLAN和群体(community)VLAN。隔离VLAN和群体VLAN被称为辅助VLAN。当两个交换机结束使用私有VLAN时，如果这两个交换机被配置为使用同一主VLAN，则应当被隔离的流量仍然可能成功通过而到达在另一交换机后面的主机。此外，在只有一个交换机的情况下，也可能规避所提供的私有VLAN的隔离。例如，如果主机欺瞒其用于发送分组的MAC(介质访问控制)地址，该主机可以向位于被隔离的VLAN上的另一接口发送恶意帧。

不管上游物理交换机上的配置如何，这里所描述的实施例都可以提供在跨越若干交换机的同一主VLAN上的私有虚拟局域网隔离。如下所述，这些实施例提供管理接口，而不再需要管理者重新构建布局，为端主机重新分配IP地址，或者为每个端主机手动配置访问控制列表，这些需要由管理者执行的操作可能会容易出错并且很繁琐。这些实施例还允许管理者重复使用包括主VLAN的相同的配置，这减少了所需要的VLAN的数目并且还允许用户对于所有的VLAN的环境使用标准配置，进一步辅助实现自动化。这样便于管理访问列表构建并且提供在传统网络中所不存在的二级安全性能。

如下所述，私有VLAN被配置在交换机上。这里所使用的术语‘交换机’可以指物理交换机、安装在网络设备(例如服务器)上的虚拟交换机、交换机域(例如安装在不同服务器上的多个虚拟交换机)或者被配置为执行交换或转发操作的任何其它物理或逻辑实体。