[发明专利]用于在通信网络交换机中进行端口映射的系统和方法

说明书

技术领域

本发明一般地涉及通信网络。更特别地并且不以限制性的方式，本发明针对用于在此类网络的交换机中进行端口映射的系统和方法。

背景技术

在过去，使用路由器来分离属于不同用户的业务一直是普遍的通信网络工程习惯，路由器是一种第3层(“L3”)设备，它将每个用户分配到由唯一的第3层地址标识的不同子网。然后路由器将通过分配给用户子网的端口将每个用户的分组发送出去。考虑到第3层地址中只有有限数目的比特被用于子网掩码的事实，由单一路由器进行寻址的子网的数目是有限的。

应当认识到，在通信网络中，有很多网络用户要求他们的业务与其他用户的业务保持绝对分离。例如，因特网服务提供商(“ISP”)通常具有很多想要连接到服务器群的客户。接入ISP是通过连接到诸如因特网之类的公共外部计算机网络的路由器而完成的。该路由器必须以维持不同客户的数据的安全性和隐私性的方式将每个客户的业务路由到该客户的局域网(“LAN”)。ISP必须防止从一个客户的服务器发起的业务被另一个客户的服务器接收到。如前所述，对这种场景中子网的使用的限制是，只有有限数目的子网能根据标准的第3层地址来定义。在现代计算机网络系统中，这种数目上的限制严重制约了可被服务并且还使其数据业务被分别维护的单独用户的数目。此外，尤其是在网络中具有其分组业务必须保持分离的数以千计的客户的情况下，网管对大量子网的管理迅速变得繁重。

另一种可以保持用户业务分离的方法是通过使用在网络交换机或网桥内定义的专用虚拟局域网(VLAN)，其是第2层(“L2”)设备。专用VLAN是一种VLAN功能，其中交换机的接入端口只被允许与某些指定的路由器端口进行通信。利用专用VLAN的安全实现在硬件层进行，并且这种安全实现不允许在专用VLAN中的相邻接入端口之间传递任何种类的任何帧。专用VLAN提供了基于端口的安全性以及已分配的VLAN中的端口之间的隔离。下行链路端口上的数据业务只能被转发到上行链路端口或从上行链路端口转发。专用VLAN的缺点是难以对其进行配置以及在某些情况下其无法提供完整的解决方案。

发明内容

一个实施例是一种在通信网络的交换机中实现端口映射技术的方法，其中该交换机包括多个端口，这些端口包括用户端口和网络端口。该方法包括：将第一部分端口标识为用户端口；将第二部分端口标识为网络端口；将用户端口中的多个用户端口分配给第一会话；以及防止分配给第一会话的用户端口彼此交互。

另一个实施例是一种在通信网络的交换机中实现端口映射技术的方法，其中该交换机包括多个端口。该方法包括：将第一部分端口标识为用户端口；将第二部分端口标识为网络端口；将用户端口中的多个用户端口分配给第一会话；防止分配给第一会话的用户端口彼此交互；以及只要没有任何一个网络端口被分配给第一会话，就允许分配给第一会话的用户端口与未被分配给第一会话的端口彼此交互。

另一个实施例是一种用于在通信网络的交换机中实现端口映射技术的系统，其中该交换机包括用于连接到用户设备的用户端口和用于连接到网络设备的网络端口。该系统包括用于将用户端口中的多个用户端口分配给第一会话的装置；以及用于防止分配给第一会话的用户端口彼此交互的装置。

附图说明

参考以下结合附图而进行的详细描述，可以更全面地理解本发明，其中：

图1是其中实现了根据一个实施例的端口映射技术的交换机的框图；

图2是其中实现了根据一个实施例的端口映射技术的交换机的框图；

图3是其中实现了根据一个实施例的端口映射技术的通信网络的框图；

图4是其中实现了根据一个实施例的端口映射技术的通信网络的框图；

图5是其中实现了根据一个实施例的端口映射技术的通信网络的框图；

图6是其中实现了根据一个实施例的端口映射技术的通信网络的框图；

图7是根据一个实施例的用于配置交换机的端口映射技术的操作的流程图；并且

图8A和图8B说明了其中实现了根据一个实施例的端口映射技术的网络的各个交换机的端口位图表。

具体实施方式

现在将参考关于如何最好地实现并使用本发明的各种例子来描述本发明的实施例。贯穿整个描述和附图的多个视图，使用相同的参考标号来表示相同或相应的部分，其中各个单元并不一定是按比例绘出的。