專利名稱::用于以太網網絡的支持基于內容的橋接的基于內容的vlan分類和架構的制作方法
技術領域:
:通常地,此處做出的公開內容涉及電信產業。此處所討論的本發明涉及設備的通用分類以及用于基于業務內容將業務分類到虛擬局域網(VLAN)并且構建用于以業務的基于內容的橋接為基礎的網絡的框架的方法。
背景技術:
:本部分介紹可能有助于促進對本發明更好的理解的方面。因此,鑒于此而閱讀該部分的陳述,并且不應該將其理解為是對什么是現有技術或什么不是現有技術的認可。幾個技術術語和/或短語將在該申請的全文中使用,并且將得到簡要的解釋。虛擬局域網(VLAN)是一組客戶,所述客戶進行通信好像他們連接而與其實際的地理位置無關。VLAN與LAN類似,但是不需要VLAN成員位于相同的網絡交換機上。VLAN標簽(tag)是被插入到數據幀或分組中的電氣和電子工程師協會(IEEE)802.1Q標簽,其包括標簽協議標識符(TPI)、優先級代碼點(PCP)、規范格式指示器(CFI)以及VLAN標識符(VID)。VID指定該幀所屬的VLAN。因特網協議(IP)組播利用組播尋址以允許在單次傳輸中將IP分組發送到一組接收者,而不是從源分別地向每個接收者進行單播。接入控制列表(ACL)是指定準許哪些用戶接入目標以及允許在給定目標上進行什么操作的列表。服務質量(QoS)指在分組交換電信網絡中控制資源的機制,而不是所實現的服務質量。服務質量允許對來自不同用戶的不同數據流給出不同優先級,以確保來自給定用戶的數據流的特定性能級別。橋接準許通過因特網轉發分組并且橋接依賴于對廣播和接收的分組報頭中源地址的檢查以定位網絡中的設備。表(table)用來存儲所定位設備的MAC地址,以用于在接收分組時進行進一步使用。服務等級協定(SLA)是服務合同的一部分,其中在用戶和服務提供者之間正式地定義服務等級。文件傳輸協議(FTP)是用于通過因特網將文件從一個主機復制到另一個主機的網絡協議。超文本傳輸協議(HTTP)是作為萬維網的基礎的網絡協議。計算機向管理網站并存儲諸如超文本標記語言(HTML)文件的內容的服務器提交HTTP請求。安全套接層(SSL)是用于通過因特網提供安全的網絡協議。用戶數據報協議(UDP)是允許計算機程序在不建立預定數據路徑的情況下在網絡上向另一個主機發送數據報的網絡協議。傳輸控制協議(TCP)是準許從一個計算機到另一個計算機的比UDP更可靠的數據分組遞送的網絡協議。實時傳輸協議(RTP)是用于通過因特網傳遞音頻和視頻的網絡協議。統一資源標識符(URI)是用于在因特網上標識名稱或資源的字符串。統一資源定位符(URL)是標識可獲得資源的位置以及如何訪問資源的URI。網絡管理系統(匪S)涉及用于管理網絡的硬件和軟件兩者。橋接器和交換機是用于在網絡中連接其它網段的設備。交換機相比于橋接器具有更為大量的端口。路由器是連接兩個或更多網絡并且允許數據在網絡間交換的設備。家庭網關是用于將家庭中的設備連接到因特網的設備,并且可以包括調制解調器、交換機和路由器。網關路由器是作為到另一個網絡的接入點的路由器。傳統上,網絡設備使用以下的分類方法將接收的業務分類為基于VLAN的業務:(I)基于端口的VLAN或默認的VLAN分配(對于未進行標記的業務);(2)基于存儲在分組的VLAN標簽中的VLANID的分配(對于標記過的業務);(3)基于協議的VLAN分配;以及(4)基于IP子網的VLAN分配。這些VLAN分類方法基于固定策略。不考慮業務的內容,所有的客戶業務都是基于這些策略來進行分類的。傳統的以太網網絡于是建立橋接規則以建立用于用戶業務的拓撲路徑。在以太網云中,與第2層交換、安全和QoS有關的所有決策都基于被分配給入口(ingress)企業交換機上的業務的VLAN。邊緣交換機將基于前述VLAN分類技術對分組/業務進行分類。不會出現基于業務內容的客戶業務的進一步的子分類。因此,FTP業務、到服務器X的HTTP業務、到服務器Y的HTTP業務以及語音業務或者視頻業務可能全部在同一VALN進行分類。所有客戶業務然后基于在邊緣交換機上執行的VLAN分類通過客戶網絡進行交換。網絡管理者設備可能具有使用ACL以獨立于業務流來應用QoS和安全策略的能力,但是這些策略必須統一分布到所有邊緣交換機并且在某種程度上被分布到核心交換機,這對網絡管理者而言創建了增加的管理開銷。用戶策略中的任何改變都涉及管理工作,以對訂閱特定內容的業務流創建差別化行為。用戶業務常常為不同業務流(例如FTP、HTTP、IP組播和RTP)的混合。甚至在HTTP業務內,內容也可能去往不同路由網關,因此在以太網云中需要不同的橋接和QoS策略。當前的網絡解決方案不基于業務內容將業務分類到VLAN。網絡系統管理者沒有深入查看分組以及將業務(其可去往相同的目的地)子分類到單獨的VLAN的機制。因此,存在對有效地、可靠地并可負擔地準許基于業務內容將業務分類到虛擬局域網(VLAN)的以及準許構建用于以業務的基于內容橋接為基礎的網絡的框架的設備和方法的需要。
發明內容利用所提出的解決方案,網絡管理者能夠基于業務內容將客戶業務分類到不同VLAN。基于該VLAN分類,網絡管理者能夠分類、控制和管理可被應用到用戶業務內的每個子流的QoS策略;對在客戶業務內的不同子流應用不同安全配置文件(profile);為每個子流實施不同橋接行為;并且為子流制定不同的計費策略和SLA依從性(compliance)。例如,內容或子流可以與分組的屬性有關,用于將分組分類為依附于單端應用或依附于端應用和/或服務于單端應用的目的地網絡元件。優選的設備(邊緣交換機)包括:存儲器,含有指令集;處理器,用于處理所述指令集中的至少一部分;以及分組處理器或交換專用集成電路(ASIC),其作用于/處理由處理器提供給其的所述指令集中的至少一部分。所述指令集包括用于從網絡管理站接收對用于分組的指定內容的VLAN分配進行定義的策略的指令。所述指令集還可以包括用于在策略數據庫/數據儲存庫存儲策略以及用于從策略數據庫/數據儲存庫獲得策略的指令。所述指令集進一步包括:用于基于對分組內容的檢查以及從網絡管理站接收的策略向從節點接收的分組分配VLAN的指令;以及用于通過網絡中的其他節點發送帶有所分配的VLAN的分組以用于基于所分配的VLAN的操作的指令。用于基于對分組內容的檢查和從網絡管理站接收的策略向從節點接收的分組分配VLAN的指令以及用于通過網絡中的其他節點發送帶有所分配的VLAN的分組以用于基于所分配的VLAN的操作的指令,可以從處理器向用于處理/實現該些指令的分組處理器/ASIC發送。基于對分組內容的檢查以及從網絡管理站接收的策略為從節點接收的分組分配VLAN可以涉及:插入具有VLANID的VLAN標簽到分組處理器或ASIC處的分組中。優選的設備(網絡管理站)包括:存儲器,含有指令集;以及處理器,用于處理所述指令集。所述指令集包括用于從網絡管理站發送對分組的基于內容的VLAN分類進行定義的策略的指令。所述指令集可以進一步包括用于創建對分組的基于內容的VLAN分類進行定義的策略的指令。用于基于到達邊緣節點(例如邊緣交換機)的分組內容對VLAN進行分類的優選方法包括:從網絡管理站接收對分組的基于內容的VLAN分類進行定義的策略;基于對分組內容的檢查以及從網絡管理站接收的策略向從節點接收的分組分配VLAN;以及向網絡中的其他節點發送具有所分配的VLAN的分組,以用于基于分配的VLAN操作。在管理站處管理網絡的優選方法包括:發送對分組的基于內容的VLAN分類進行定義的策略到邊緣節點(例如,邊緣交換機);以及網絡管理者在基于分組內容對VLAN進行分類的管理站處創建/選擇策略,以提供不同QoS、通過網絡的不同橋接以及到對某些分組的不同安全測量(measure)中的一個。根據一些應用,實施例可以提供一種相對便宜地實現的方法,其準許基于業務的內容將業務分類到虛擬局域網(VLAN)并且以基于內容的業務橋接為基礎來構建用于網絡的架構。根據一些應用,實施例可以提供一種操作上不復雜的設備和方法,其準許基于業務內容將業務分類到虛擬局域網(VLAN),并且以基于內容的業務橋接為基礎來構建用于網絡的架構。根據一些應用,實施例可以提供一種設備和方法,其有效地準許基于業務內容將業務分類到虛擬局域網(VLAN),并且以基于內容的業務橋接為基礎來構建用于網絡的架構。根據一些應用,實施例可以提供一種可靠的設備和方法,其準許基于業務內容將業務分類到虛擬局域網(VLAN),并且以基于內容的業務橋接為基礎來構建用于網絡的架構。根據一些應用,實施例可以提供一種相對便宜地制造和部署的設備和系統,其準許基于業務內容將業務分類到虛擬局域網(VLAN),并且以基于內容的業務橋接為基礎來構建用于網絡的架構。根據一些應用,實施例可以對網絡管理者提供更好的控制,以設計用于基于業務內容對客戶業務提供差別化行為的網絡。根據一些應用,實施例可以提供分組的VLAN分類的更細化(granular)的控制,該VLAN分類對由客戶生成的實際業務模式(pattern)更有指示性,從而給網絡管理者更好的控制以處理客戶業務內的不同子流。現在僅通過示例的方式并且參照附圖來描述本發明的裝置和/或方法的一些實施例,其中:圖1描述了在邊緣交換機處執行的幾種當前VLAN分類方法。圖2描述了在邊緣交換機處執行的使用分組內容的VLAN分類方法的優選實施例。圖3描述了典型的企業網絡。圖4描述了使用涉及分組內容的優選VLAN分類的以太網網絡的優選實施例。圖5描述了邊緣交換機的優選實施例。圖6描述了管理站的優選實施例。圖7描述了用于基于到達邊緣交換機的業務內容對VLAN進行分類的優選方法。圖8描述了在管理站處管理網絡的優選方法。具體實施例方式本公開內容的優選實施例涉及以太網網絡,其中網絡管理者能夠基于業務內容將業務分類到隔離的VLAN。使用這些VLAN,網絡策略可以容易地應用在整個以太網網絡以控制適用于特定業務流的橋接、QoS或安全策略。本公開內容的優選實施例涉及:對從網絡管理站到邊緣交換機的策略進行分配,以支持基于內容的VLAN分類;基于對客戶業務的內容的檢查以及接收的策略,在邊緣交換機中進行VLAN分類/分配;以及基于客戶業務的VLAN在以太網云中執行策略行為,以提供差別服務(例如,橋接、QoS、安全)。圖1描述了在邊緣交換機處執行的幾種VLAN分類方法。邊緣交換機10使用以下的分類方法將接收的分組/業務11、12和13分類為基于VLAN的業務14、15和16:(1)基于端口的VLAN或默認的VLAN分配(對于未進行標記的業務)17;(2)基于存儲在分組的VLAN標簽中的VLANID進行分配(對于標記過的業務)18;(3)基于協議的VLAN分配以及基于IP子網的VLAN分配19。傳統的VLAN分類技術基于對由端用戶生成的不同業務流并不適用的策略對分組進行分類。由客戶終端設備(CPE)生成的業務常常為數據、視頻和電話(tel印hony)的混合。即使在數據業務內,通常存在不同數據流(例如FTP和HTTP)的混合,并且一些數據流(例如HTTP業務)去往企業邊緣的不同網關。圖2描述了在邊緣交換機處執行的使用分組內容的VLAN分類方法的優選實施例。在邊緣交換機20處接收數據分組或業務21。邊緣交換機20基于業務的內容將接收的業務21分類為基于VLAN的業務22、23和24。VLANX含有所有FTP業務。VLANY含有用于某個工資單網站的所有HTTP業務。VLANZ包含具有URL//check.com/query_string的所有業務。圖2僅描述了用于基于分組內容的VLAN分類的一個場景。基于內容的VLAN分類可以基于分組的至少以下內容/屬性:TCP/UDP端口信息;RTP報頭信息;HTTP內容;web主機規范;統一資源標識符(URI)域;以及路由協議。邊緣交換機20需要支持執行深度的分組檢查/分類的能力。通常地,網絡管理者將配置靜態以及自適應的策略,以將分組分配到不同VLAN。為分組定義基于內容的VLAN分類的策略是對使分組被分配到給定VLAN(例如,VLANZ)的該分組內的內容(例如URL//check.com/query_string)進行定義的策略。邊緣交換機20基于從網絡管理者接收的策略執行深度的分組檢查,并且取決于接收的分組是否具有策略中定義的分配給給定VLAN所需的屬性/內容,將進入的分組分配給給定的VLAN。然后,當分組流過以太網絡的余下部分時,根據所分配的VLAN來交換該分組。圖3描述了典型的企業網絡。電話30和計算機31連接橋接器32。橋接器32連接邊緣交換機33。邊緣交換機33還連接到包含服務器45的非軍事化區域44(DMZ)0邊緣交換機33允許來自服務器45、電話30和計算機31的業務進入以太網云34。以太網云34包含用于處理業務的橋接器35、36和46。邊緣交換機33、37和38基于傳統VLAN分類技術對分組/業務進行分類。不會發生基于業務內容對客戶業務進行進一步的子分類。因此,到第一服務器的FTP業務、HTTP業務、到第二服務器的HTTP業務以及語音業務和/或視頻業務可能全部被分類在相同的VLAN中。所有的客戶業務然后基于在邊緣交換機33、37和38處執行的VLAN分類通過客戶網絡進行交換。在此實例中,分配到VLANX43的業務通過橋接器46發送,而分配到VLANY42的業務通過橋接器36發送,并且分配到VLANZ41的業務通過橋接器35發送。然后,所有的業務被發送到邊緣交換機38并且被發送到網關路由器39上。在本實例中,沒有業務被發送到邊緣交換機37以及被發送到網關路由器40上。圖4描述了使用涉及分組內容的優選VLAN分類的以太網網絡的優選實施例。電話60以及計算機61連接橋接器62。橋接器62連接邊緣交換機48。邊緣交換機48還連接到包含服務器64的非軍事化區域(DMZ)63。邊緣交換機48允許來自服務器64、電話60和計算機61的業務進入以太網云54。以太網云54包含用于處理業務的橋接器51、52和53。在本實例中,用于URL=//bank,com的HTTP業務被分配到VLANX,并且通過邊緣交換機48發送到橋接器51并且發送到邊緣交換機50和網關路由器66之上。用于URL=//xyz.com的HTTP業務被分配到VLANY,并且通過邊緣交換機48發送到橋接器52并且發送到邊緣交換機49和網關路由器65之上。使用傳統VLAN分類方法將所有其他數據業務分類到VLANZ,并且將其從邊緣交換機48發送到橋接器53,并且發送到邊緣交換機49和網關路由器65之上。如結合圖2所描述的,在邊緣交換機48、49和50處完成VLAN分類和分配。然后,在以太網云54中的橋接器51、52和53處容易地完成VLAN的管理,以使用分配的VLAN基于業務內容提供差別服務。以太網云54核心中的橋接器51、52和53不需要知曉在邊緣交換機48、49和50上發生的VLAN分類所根據的內容和基礎。如圖4中所說明的,通過基于如圖2中所描述的內容將業務分類到不同VLAN,網絡管理者可以控制客戶業務內的子流。與客戶業務的其余部分相比,去往本地庫并且被分配到VLANX56的HTTP業務可以被路由到不同的網關路由器66。類似地,可以出于記賬的目的將去往URL=//xyz.com的所有客戶業務隔離到VLANY57中。使用傳統的VLAN分類方法可以將余下的業務分類到VLANZ58中。網絡管理者可以使用標準的聯網策略以對不同VLAN提供差別行為。這確保網絡管理者控制和管理客戶業務的不同子流。例如,網絡管理者可以對去往配對的搜索引擎的客戶業務提供差別化行為。通過進一步示例的方式,網絡管理者可以將來自使用不相稱數量的文件共享應用的給定客戶的業務進行降級或隔離。圖4還示出了從網絡管理站59到邊緣交換機的策略行為的分布。匪S應用控制將VLAN分類策略到邊緣交換機48、49和50的分布,其中在邊緣交換機48、49和50中下載VLAN分類策略以定義基于內容的分類策略。策略可以是基于客戶SLA的靜態策略或自適應策略。圖4中描述的系統提供對分組的VLAN分類的更細化(granular)的控制。該分類對由客戶生成的實際業務模式(pattern)更有指示性,從而給網絡管理者更好的控制以處理客戶業務內的不同子流。在業務被分類到不同VLAN之后,每個子流可以在網絡中具有獨立的安全、QoS和橋接配置文件(profile)。例如,網絡管理者可以給予去往美國在線(AOL)服務器的SSL業務更高優先級,或者可以將從辦公室去往到體育網站的所有業務與用于記賬的分離VLAN進行隔離。圖4中所描述的系統和方法對網絡管理者提供了更好的控制以設計基于業務內容對客戶業務提供差別化行為的網絡。由于端客戶應用成指數級地增長,希望網絡管理者基于業務內容向客戶提供差別的SLA。圖5描述了邊緣交換機的優選實施例。邊緣交換機68包括:存儲器71,包含指令集70;處理器69,用于處理該指令集70的至少一部分;以及分組處理器或交換專用集成電路(ASIC)72,其實現/處理由處理器69提供給它的該指令集的至少一部分。該指令集70包括用于從網絡管理站接收對用于分組的指定內容的VLAN分配進行定義的策略的指令。該指令集70還可以包括用于在策略數據庫/數據儲存庫存儲策略以及用于從策略數據庫/數據儲存庫獲得策略的指令。該指令集70進一步包括:用于基于對分組內容的檢查以及從網絡管理站接收的策略向從節點接收的分組分配VLAN的指令;以及用于通過網絡中的其他節點發送具有所分配的VLAN的分組以用于基于所分配的VLAN操作的指令。用于基于對分組內容的檢查和從網絡管理站接收的策略向從節點接收的分組分配VLAN的指令以及用于通過網絡中的其他節點發送具有所分配的VLAN的分組以用于基于分配的VLAN的操作的指令可以從處理器69發送到用于處理/實現該些指令的分組處理器/ASIC72。基于對分組內容的檢查以及從網絡管理站接收的策略向從節點接收的分組分配VLAN可以包括在分組處理器72處將具有VLANID的VLAN標簽插入到分組中。圖6描述了網絡管理站的優選實施例。網絡管理站75包括:存儲器76,包含指令集77;以及處理器78,用于處理該指令集77。該指令集77包括用于自網絡管理站發送對分組的基于內容的VLAN分類進行定義的策略的指令。該指令集可以進一步包括用于創建對分組的基于內容的VLAN分類進行定義的策略的指令。通過示例的方式,用于創建為分組的基于內容的VLAN分類進行定義的策略的該指令集可以包括用于基于TCP/UDP端口分配、RTP報頭信息、HTTP內容、web主機說明、統一資源標識符(URI)域以及路由協議中的至少一個為分組的VLAN進行分類的指令。圖7描述了用于基于到達邊緣交換機的分組內容對VLAN進行分類的優選方法。在邊緣交換機處,執行用于自網絡管理站接收對分組的基于內容的VLAN分類進行定義的策略的操作85。然后,執行基于對分組內容的檢查以及從網絡管理站接收的策略向從節點接收的分組分配VLAN的操作86。然后,執行用于向網絡中的其他節點發送具有所分配的VLAN的分組,以用于基于所分配的VLAN的操作的操作87。圖8描述了在管理站處管理網絡的優選實施例。在管理站處,執行用于發送對分組的基于內容的VLAN分類進行定義的策略的操作90。策略的創建可以包括:基于TCP/UDP端口分配、RTP報頭信息、HTTP內容、web主機說明、統一資源標識符(URI)域以及路由協議中的至少一個為VLAN進行分類。還可以執行操作,其用于由網絡管理者基于在網絡中管理和控制分組的需要在管理站處創建/選擇策略,以提供不同QoS、通過網絡的不同橋接以及到對某些分組的不同安全測量(measure)中的一個91。可以預期的是,在此所描述的方法可以實現為硬件、固件、包括具有在計算機上執行的程序指令的計算機可讀介質的軟件或者其組合。在此所描述的方法還可以在硬件和/或軟件上的各種組合中實現。本領域的技術人員易于認識到各種以上所描述的方法的步驟可以由編程計算機執行,并且步驟的次序不一定嚴格。在此,一些實施例旨在覆蓋諸如數字數據存儲媒體的程序存儲設備,其是指令的機器或計算機可讀的和編碼機器可執行的或計算機可執行的程序,其中,所述指令執行在此描述的方法的一些或全部步驟。程序存儲設備可以為例如數字存儲器、諸如磁盤和磁帶的磁性存儲介質、硬盤驅動器,或可選地為可讀數字數據存儲介質。實施例還旨在覆蓋被編程為執行在此所描述的方法的所述步驟的計算機。本領域的技術人員將認識到,在不脫離本發明寬泛的發明概念的情況下可以對以上描述的實施例進行改變或修改。因此應當理解,本發明不限于本文中描述的特定實施例,而是如權利要求中闡述的本發明。權利要求1.一種網絡中的設備,包括:存儲器中的數據儲存庫,用于存儲對用于指定的分組內容的VLAN分配進行定義的策略;分組處理器,用于從數據儲存庫獲得對用于指定的分組內容的VLAN分配進行定義的所述策略,并且基于對分組內容的檢查和對用于指定的分組內容的VLAN分配進行定義的所述策略,向從節點接收的分組分配VLAN。2.根據權利要求1所述的設備,其中所述設備從網絡管理站接收對用于指定的分組內容的VLAN分配進行定義的所述策略。3.根據權利要求1所述的設備,其中分組處理器向網絡中的另一個節點傳送具有分配的VLAN的分組以用于基于所述分配的VLAN的操作。4.根據權利要求2所述的設備,其中基于對分組內容的檢查和從網絡管理站接收的策略向從節點接收的分組分配VLAN包括:在分組處理器處將具有VLANID的VLAN標簽插入到分組中。5.根據權利要求4所述的設備,其中所述內容為TCP/UDP端口分配、RTP頭信息、HTTP內容、web主機規范、統一資源標識符(URI)域以及路由協議中的一種。6.一種基于到達網絡的邊緣節點的分組的內容對VLAN進行分類的方法,包括以下步驟:在存儲器中存儲對邊緣節點處的分組的基于內容的VLAN分類進行定義的策略;以及由分組處理器基于對分組的內容的檢查和所述策略,向從節點接收的分組分配VLAN。7.根據權利要求6所述的方法,進一步包括步驟:向網絡中的其它節點發送具有分配的VLAN的分組,以用于基于所述分配的VLAN的操作。8.根據權利要求6所述的方法,其中所述分組的內容為TCP/UDP端口分配、RTP頭信息、HTTP內容、web主機規范、統一資源標識符(URI)域以及路由協議中的一種。9.根據權利要求6所述的方法,進一步包括:從網絡管理站接收對基于內容的VLAN分類進行定義的所述策略。10.根據權利要求9所述的方法,其中所述策略基于所述分組的內容為某些分組提供不同的安全測量。全文摘要用于基于到達邊緣交換機的分組的內容對VLAN進行分類的優選方法包括從網絡管理站接收對分組的基于內容的VLAN分類進行定義的策略;基于對分組內容的檢查和從網絡管理站接收的策略,向從節點接收的分組分配VLAN;以及向網絡中的其他節點發送分配了VLAN的分組,以用于基于所述分配的VLAN的操作。文檔編號H04L12/46GK103190122SQ201180052188公開日2013年7月3日申請日期2011年10月26日優先權日2010年11月1日發明者A·辛哈申請人:阿爾卡特朗訊公司