[发明专利]利用VLAN技术实现IP软件路由的网络安全平台的方法

说明书

技术领域

本发明涉及一种利用VLAN技术实现IP软件路由的嵌入式交换式网络安全平 台的方法，用于在二层以太网交换机上实现三层IP路由和包过滤防火墙等网络安 全功能。

背景技术

传统的网络设备，如路由器、防火墙/VPN/IDS/UTM等网络安全设备，在实际 应用中，由于存在多个安全域以及多路接入通路，通常需要设计多个(10个以上 甚至超过16、24、48个等)网络接口。若使用传统的X86技术设计，利用PCI扩 展技术，很难达到10个以上的网络接口。因为PCI可扩展的接口数目有限(通常 能扩展3到4个网口)，而且成本又相当高(数倍交换技术)，特别是对于中低端 产品而言，成本一高，将失去市场的竞争力。

发明内容

本发明的目的是提供一种能够有效降低成本的利用VLAN技术实现IP软件路 由的网络安全平台的方法。

为了达到上述目的，本发明的技术方案是提供一种利用VLAN技术实现IP软 件路由的网络安全平台的方法，其特征在于，步骤为：

步骤1、选择带网络管理功能的二层以太网交换芯片，将其一端与物理层芯片 相连接，另一端通过总线连接CPU，从而为CPU扩展出至少10个以太网接口，每 个以太网接口都是一个交换端口；

步骤2、通过二层以太网交换芯片将各个交换端口单独和CPU与二层以太网交 换芯片之间的总线端口配置成同一个VLAN组，这样就得到与以太网接口数量相同 且与其一一对应的VLAN组，同时，将各个以太网络接口注册成独立的网络接口；

步骤3、当二层以太网交换芯片从物理层芯片接收到数据报文后，VLAN阻止 了数据报文在交换芯片内部转发掉，从而全部发给CPU，并被CPU所接收，CPU接 收到数据报文，递交到IP层进行后续处理；

当CPU从IP层接收到数据报文后，CPU先为该数据报文添加VLAN头，再根据 TCP/IP协议解析数据报文格式后确定目的端口并更新VLAN头，CPU将更新好VLAN 头的数据报文发送给二层以太网交换芯片，二层以太网交换芯片根据VLAN头找到 对应的交换端口后将VLAN头删除，最后由物理层芯片根据转发表将数据报文通过 交换端口转发给其他设备完成数据路由。

本发明能在二层以太网交换机上实现三层IP路由和包过滤防火墙等网络安全 功能，在技术上，是利用VLAN技术和相关的底层软件技术，在Linux或VxWorks 或者任何一种操作系统上都可以实现，本发明利用了VLAN技术，提出了一种软件 方法，解决了二层交换芯片实现三层及以上的数据处理功能问题。同时，本发明 利用二层以太网交换芯片架构和设计诸如三层交换机、IP路由器、嵌入式防火墙 /VPN/IDS/UTM/防毒墙等网络设备。

本发明的优点是：能解决二层交换机实现三层及以上的数据处理问题，能将 所有二层以太网口配上独立网段的IP地址并工作，从而让用户以极低的硬件成本 获得多个独立网段的网络接口，解决网络安全设备多端口问题，并大大降低网络 安全设备的成本，而又具有高稳定性的特性。

附图说明

图1为本发明提供的系统框图；

图2为本发明提供的一种利用VLAN技术实现IP软件路由的网络安全平台的方法 的数据流程和处理框架图。

具体实施方式

以下结合实施例来具体说明本发明。

实施例

如图2所示，本发明提供的一种利用VLAN技术实现IP软件路由的网络安全平 台的方法的具体步骤为：

步骤1、选择带网络管理功能的二层以太网交换芯片，将其一端与物理层芯片 相连接，另一端通过总线连接CPU，该总线可以是MII百兆，GMII千兆或PCI接 口，从而为CPU扩展出至少10个以太网接口，每个以太网接口都是一个交换端口， 在完成步骤1后便搭建出了如图1所示的框架，通过该图说明了交换芯片和CPU 的接口及其要求，在该图中，只要是具有网络管理功能的带VLAN的二层以太网交 换芯片都可以选用，例如VIA公司的，也可以是BroadCom公司的，还可以是Marvell 公司的芯片，在本实施例中选用九阳电子有限公司(IC Plus Corp.)的型号为IP178 二层以太网交换芯片，而对于CPU也没有任何要求，但一般使用如ARM之类的嵌 入式处理器；