[发明专利]网络隔离

说明书

本发明提供用于网络隔离的一或多种技术和/或系统。举例来说，装置网内的节点可配置有例如层3网络层处的路由规则、主路由表和迂回路由表。所述路由规则可规定从下游接收的包将向上游路由到网关或回程装置以用于评估是否允许使用主路由表将此类包往回向下游传达到目的地接收方。隔离规则可被配置成规定是阻断还是允许包。在一实例中，所述网关可依据源装置和目的地装置是在同一虚拟局域网内还是在不同虚拟局域网内而阻断或允许包。以此方式，可例如在所述层3网络层处提供选择性装置隔离。

相关申请案

本申请案主张2016年6月7日申请的标题为“网络隔离(NETWORK ISOLATION)”的美国专利申请案第15/175,100号的优先权，所述美国专利申请案并入本文中。

背景技术

一些类型的装置网使用具有虚拟局域网(VLAN)的层2网络层。层2网络层可包括数据链路，其中数据包编码或解码成位。媒体存取控制(MAC)子层控制装置如何存取数据，并且控制发射数据的权限，例如其中包基于目的地MAC地址发送到特定交换端口。层2网络层使用物理寻址，并且因此代替将包路由到本地对等点，通过地址解析协议(ARP)解析目的地MAC地址以与本地对等点通信。层2网络层的因特网协议(IP)包内携带的VLAN标签可用以提供装置之间的隔离。提供某些装置之间的隔离可改进装置网的安全性。举例来说，不同VLAN上的装置可与彼此隔离以改进层2网络层处的VLAN之间的安全性。

发明内容

提供此发明内容来以简化形式介绍下文在具体实施方式中进一步描述的概念选择。本发明内容并非意在识别所主张的标的物的关键要素或基本特征，也并非意在用于限制所主张的标的物的范围。

尤其是，本文提供用于网络隔离的一或多种系统和/或技术。举例来说，装置网可包括一或多个装置(例如，有线客户端装置或无线客户端装置)、一或多个节点(例如，具有无线连接性的节点无线的)，以及可具有到回程装置(例如，交换机或路由器，其可用以将装置网连接到核心网络或主干网络)的连接性的网关。所述装置网可使用支持因特网协议(IP)路由的层3网络层。如本文所提供，装置网可被配置成在装置网的装置之间提供选择性隔离。举例来说，节点可配置有第一路由规则和第二路由规则。所述第一路由规则可规定当包(例如，未经标记包)是从节点的上游的装置接收时，将使用第一主路由表路由所述包。第一主路由表可使用基于目的地的路由，例如用以将包向下游路由到为包的目的地接收方的目的地装置的主路由。第二路由规则可规定当包是从节点的下游的装置接收(例如，源自节点的下游的源装置的经标记包)时，第一迂回路由表将用于所述包。第一迂回路由表可指示将向下游路由从下游接收的包。在一实例中，第二路由规则与第一路由规则相比可具有较高优先级，并且因此被评估为首先适用。

网关可配置有第三路由规则和第四路由规则。第三路由规则可规定当包是从网关的上游的装置例如从回程装置接收时，将使用第二主路由表路由所述包。第二主路由表可使用基于目的地的路由，例如用以将包向下游所述到目的地装置的主路由。第四路由规则可规定当包是从网关的下游的装置接收(例如，源自源装置的经标记包)时，第二迂回路由表将用于所述包。第二迂回路由表可指示将向上游路由从下游接收的包，以便到达回程装置。在一实例中，可针对个别虚拟局域网定义例如供网关使用的迂回路由表(例如，迂回路由表可包括用于同一虚拟局域网内的装置的路由条目，因此可使用所述迂回路由表在所述同一虚拟局域网内的装置之间路由包，否则在迂回路由表不具有用于目的地装置的条目的情况下，可默认地将包路由到回程装置)。在一实例中，第四路由规则与第三路由规则相比可具有较高优先级，且因此被评估为首先适用。在启用同一虚拟局域网(同一VLAN)路由的实例中，网关可配置有同一VLAN规则，其规定将允许网关针对在同一VLAN内的装置之间的通信将包往回向下游路由(例如，无需向上游路由到回程装置以用于使用隔离规则进行评估)，以及不允许网关针对在不同VLAN内的装置之间的通信将包往回向下游路由。