专利名称:路由交换机的制作方法
技术领域:
本实用新型属于数据通信领域,尤其涉及一种路由交换机。
背景技术:
随着IP数据通信网的规模越来越大,层次越来越多,运营维护成本也随之上涨,维护管理技术也更加复杂,运营商希望IP电信网更加简单、可靠、可维护,所以网络结构扁平化是运营商所希望的。
路由交换机综合了交换机的高带宽和路由器复杂灵活的处理能力,可以代替他们,在网络部署中得到广泛的应用,大大地促进了网络结构的扁平化。
网络病毒和攻击迫使防火墙成为企业网络的必需设备,普通防火墙一般作为企业网络的出口,过滤病毒,防范攻击以及执行加密、解密等功能,保护企业信息安全。
防火墙的引入增加了企业信息安全,但是增加了网络结构层次和维护复杂性,同时也降低了企业网络出口带宽,还增加了不少网络投资。
企业网典型防火墙组网结构如图1所示,防火墙设备有内网接口,DMZ(非军事化区)和外网接口三种网络接口,防火墙主要功能是保护企业内部网络。
防火墙和内部网络之间的连接成为网络出口的关键点,为了增强网络的可靠性和安全性,如图2所示,重要企业网络一般在出口部署冗余、备份防火墙,大大地增加了网络复杂度和成本。
实用新型内容本实用新型的目的在于提供一种集成防火墙的路由交换机,简化网络结构,减少网络设备,降低网络投资,增强网络的稳定性。
本实用新型的路由交换机,包括路由交换机的主控制模块和背板,背板上设控制通道和数据通道;交换模块;和防火墙模块;其中交换模块设外网物理端口和内网端口;防火墙模块设内网、DMZ和外网接口;路由交换机的主控制模块通过背板的控制通道对交换模块的路由交换处理单元和防火墙模块的防火墙处理单元进行配置;交换模块和防火墙模块通过背板的数据通道传递数据。
防火墙模块本身可不设内网、DMZ和外网接口,交换模块的外网物理端口定义为防火墙模块的内网、DMZ和外网接口。
交换模块和防火墙模块各设CPU,路由交换机的主控制模块通过背板控制通道与各CPU连接,对交换模块的路由交换处理单元和防火墙模块的防火墙处理单元分别进行配置。
本实用新型将防火墙作为机架交换机的一个业务模块,将防火墙的控制平面和数据平面整合到交换机的控制平面和数据平面中(如图3所示),将路由交换功能和防火墙功能集成到一台设备中。集成了防火墙的路由交换机可以简化网络结构,减少网络设备,降低网络投资,由于没有了防火墙和内部网络的连接线路,减少了网络可能的关键故障点,增强了网络的稳定性。
图1企业网典型防火墙组网结构示意图1---路由器;2---路由交换机;3---防火墙;图2部署冗余、备份防火墙的企业网典型防火墙组网结构示意图4---主用链路;5---备用链路;图3本实用新型结构示意图图4本实用新型逻辑结构框图图5本实用新型防火墙处理单元配置示意图图6本实用新型数据流、控制流示意图具体实施方式
如图4所示,为本实用新型逻辑框图。
防火墙的控制通过本模块板的CPU来完成,管理者通过交换架构的控制结构通道登录到防火墙模块的CPU,从而对防火墙处理单元进行配置。
防火墙的功能包括过滤、ACL、NAT、VPN、IDS和加密解密,配置管理命令非常多,而且其配置管理方式也和交换机不同,所以不宜将两种配置混合在一起,而是在同样界面下提供两个配置环境,分别来配置交换机和防火墙,如图5所示。
为了简化管理和系统复杂性,防火墙模块本身对外不提供物理网络端口,但是防火墙依然有内部网、DMZ和外部网三种接口,这三种接口使用其他交换模块的物理网络端口,根据需要可以定义交换模块上的端口为防火墙的某种接口。
如图6所示,来自外网Internet的数据包从外网端口进入交换机,通过转发芯片和背板上的高速数据通道,交换模块将数据包送给防火墙模块;防火墙模块对数据进行过滤等处理后,把安全的数据通过背板送到交换模块;交换模块通过内网端口把数据包送给企业网内网用户,通过这个流程防火墙对内、外网络的数据通讯起到了监控的作用,保护了企业内部网络的信息安全。
权利要求1.一种路由交换机,包括路由交换机的主控制模块和背板,背板上设控制通道和数据通道;交换模块,设外网物理端口和内网端口;其特征在于还包括防火墙模块;防火墙模块设内网、DMZ和外网接口;路由交换机的主控制模块通过背板的控制通道对交换模块的路由交换处理单元和防火墙模块的防火墙处理单元进行配置;交换模块和防火墙模块通过背板的数据通道传递数据。
2.如权利要求1所述的路由交换机,其特征在于防火墙模块本身可不设内网、DMZ和外网接口,交换模块的外网物理端口定位为防火墙模块的内网、DMZ和外网接口。
3.如权利要求1或2所述的路由交换机,其特征在于交换模块和防火墙模块各设CPU,路由交换机的主控制模块通过背板控制通道与各CPU连接,对交换模块的路由交换处理单元和防火墙模块的防火墙处理单元分别进行配置。
专利摘要本实用新型涉及一种路由交换机,包括路由交换机的主控制模块和背板,背板上设控制通道和数据通道;交换模块,设外网物理端口和内网端口;还包括防火墙模块;防火墙模块设内网、DMZ和外网接口;路由交换机的主控制模块通过背板的控制通道对交换模块的转发芯片和防火墙模块的处理单元进行配置;交换模块和防火墙模块通过背板的数据通道传递数据。交换模块的外网物理端口定位为防火墙模块的内网、DMZ和外网接口。路由交换机的主控制模块对交换模块的转发芯片和防火墙模块的防火处理单元分别进行配置。可以简化网络结构,减少网络设备,降低网络投资,增强网络的稳定性。可广泛应用于数据通信领域。
文档编号H04L12/04GK2669499SQ200320113709
公开日2005年1月5日 申请日期2003年12月30日 优先权日2003年12月30日
发明者童剑, 范成龙, 剑 童 申请人:港湾网络有限公司