技術(shù)領(lǐng)域

本發(fā)明總地涉及通信網(wǎng)絡(luò)，并且更具體地涉及私有虛擬局域網(wǎng)(VLAN)隔離。

背景技術(shù)

虛擬局域網(wǎng)(VLAN)表示其中客戶可以向同一VLAN中的任意其它客戶發(fā)送幀的域。私有VLAN允許輔助VLAN上的客戶在一個(主VLAN)上進行共享。輔助VLAN上的客戶可以與彼此通信，除非該VLAN被配置為隔離的VLAN。利用傳統(tǒng)網(wǎng)絡(luò)，如果兩個交換機結(jié)束使用私有VLAN，那么如果這兩個交換機被配置為使用同一主VLAN，則應(yīng)當被隔離的流量可能仍然會成功通過而到達另一交換機后面的主機。可以通過配置不同的主VLAN來防止上述情況的發(fā)生，但是這種方法存在很多缺點。例如，可能需要IP尋址改變。

附圖說明

圖1示出了這里所描述的實施例可以在其中被實現(xiàn)的網(wǎng)絡(luò)的示例。

圖2是示出了主虛擬局域網(wǎng)、隔離虛擬局域網(wǎng)和群體虛擬局域網(wǎng)的交換機的框圖。

圖3示出了用于實現(xiàn)這里所描述的實施例的網(wǎng)絡(luò)設(shè)備的示例。

圖4是示出了根據(jù)一個實施例的用于私有虛擬局域網(wǎng)隔離的過程的概覽的流程圖。

在整個這些附圖中，相應(yīng)的標號表示相應(yīng)的部件。

具體實施例

概覽

在一個實施例中，一種方法總地包括在交換機處獲得端主機的地址，所述交換機被配置有主虛擬局域網(wǎng)和輔助虛擬局域網(wǎng)；創(chuàng)建包括被允許在所述輔助虛擬局域網(wǎng)上進行通信的端主機的地址的私有虛擬局域網(wǎng)訪問列表；并且將私有虛擬局域網(wǎng)訪問列表應(yīng)用于被連接到所述被允許在輔助虛擬局域網(wǎng)上進行通信的端主機的接口。

在另一實施例中，一種裝置總地包括主虛擬局域網(wǎng)和輔助虛擬局域網(wǎng)，用于存儲包括被允許在輔助虛擬局域網(wǎng)上進行通信的端主機的地址的私有虛擬局域網(wǎng)訪問列表的存儲器，以及用于將所述私有虛擬局域網(wǎng)訪問列表應(yīng)用于被連接到所述被允許在輔助虛擬局域網(wǎng)上進行通信的端主機的接口的處理器。

示例實施例

以下描述被提供以使得本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)和使用實施例。對特定實施例和應(yīng)用的描述僅作為示例被提供，并且各種修改對于本領(lǐng)域技術(shù)人員而言是很明顯的。這里所描述的總的原則可以在不脫離實施例的范圍的情況下被用于其它應(yīng)用。因而，實施例不希望被限制為所顯示的那些，而是希望根據(jù)與這里所描述的原則和特征相一致的最寬范圍來理解。為了清楚起見，關(guān)于在與實施例相關(guān)的技術(shù)領(lǐng)域中已知的技術(shù)內(nèi)容的細節(jié)沒有被進行詳細描述。

私有VLAN可以操作為三種相關(guān)的VLAN：主VLAN、隔離(isolated)VLAN和群體(community)VLAN。隔離VLAN和群體VLAN被稱為輔助VLAN。當兩個交換機結(jié)束使用私有VLAN時，如果這兩個交換機被配置為使用同一主VLAN，則應(yīng)當被隔離的流量仍然可能成功通過而到達在另一交換機后面的主機。此外，在只有一個交換機的情況下，也可能規(guī)避所提供的私有VLAN的隔離。例如，如果主機欺瞞其用于發(fā)送分組的MAC(介質(zhì)訪問控制)地址，該主機可以向位于被隔離的VLAN上的另一接口發(fā)送惡意幀。

不管上游物理交換機上的配置如何，這里所描述的實施例都可以提供在跨越若干交換機的同一主VLAN上的私有虛擬局域網(wǎng)隔離。如下所述，這些實施例提供管理接口，而不再需要管理者重新構(gòu)建布局，為端主機重新分配IP地址，或者為每個端主機手動配置訪問控制列表，這些需要由管理者執(zhí)行的操作可能會容易出錯并且很繁瑣。這些實施例還允許管理者重復(fù)使用包括主VLAN的相同的配置，這減少了所需要的VLAN的數(shù)目并且還允許用戶對于所有的VLAN的環(huán)境使用標準配置，進一步輔助實現(xiàn)自動化。這樣便于管理訪問列表構(gòu)建并且提供在傳統(tǒng)網(wǎng)絡(luò)中所不存在的二級安全性能。

如下所述，私有VLAN被配置在交換機上。這里所使用的術(shù)語‘交換機’可以指物理交換機、安裝在網(wǎng)絡(luò)設(shè)備(例如服務(wù)器)上的虛擬交換機、交換機域(例如安裝在不同服務(wù)器上的多個虛擬交換機)或者被配置為執(zhí)行交換或轉(zhuǎn)發(fā)操作的任何其它物理或邏輯實體。