专利名称::用于以太网网络的支持基于内容的桥接的基于内容的vlan分类和架构的制作方法
技术领域:
:通常地,此处做出的公开内容涉及电信产业。此处所讨论的本发明涉及设备的通用分类以及用于基于业务内容将业务分类到虚拟局域网(VLAN)并且构建用于以业务的基于内容的桥接为基础的网络的框架的方法。
背景技术:
:本部分介绍可能有助于促进对本发明更好的理解的方面。因此,鉴于此而阅读该部分的陈述,并且不应该将其理解为是对什么是现有技术或什么不是现有技术的认可。几个技术术语和/或短语将在该申请的全文中使用,并且将得到简要的解释。虚拟局域网(VLAN)是一组客户,所述客户进行通信好像他们连接而与其实际的地理位置无关。VLAN与LAN类似,但是不需要VLAN成员位于相同的网络交换机上。VLAN标签(tag)是被插入到数据帧或分组中的电气和电子工程师协会(IEEE)802.1Q标签,其包括标签协议标识符(TPI)、优先级代码点(PCP)、规范格式指示器(CFI)以及VLAN标识符(VID)。VID指定该帧所属的VLAN。因特网协议(IP)组播利用组播寻址以允许在单次传输中将IP分组发送到一组接收者,而不是从源分别地向每个接收者进行单播。接入控制列表(ACL)是指定准许哪些用户接入目标以及允许在给定目标上进行什么操作的列表。服务质量(QoS)指在分组交换电信网络中控制资源的机制,而不是所实现的服务质量。服务质量允许对来自不同用户的不同数据流给出不同优先级,以确保来自给定用户的数据流的特定性能级别。桥接准许通过因特网转发分组并且桥接依赖于对广播和接收的分组报头中源地址的检查以定位网络中的设备。表(table)用来存储所定位设备的MAC地址,以用于在接收分组时进行进一步使用。服务等级协定(SLA)是服务合同的一部分,其中在用户和服务提供者之间正式地定义服务等级。文件传输协议(FTP)是用于通过因特网将文件从一个主机复制到另一个主机的网络协议。超文本传输协议(HTTP)是作为万维网的基础的网络协议。计算机向管理网站并存储诸如超文本标记语言(HTML)文件的内容的服务器提交HTTP请求。安全套接层(SSL)是用于通过因特网提供安全的网络协议。用户数据报协议(UDP)是允许计算机程序在不建立预定数据路径的情况下在网络上向另一个主机发送数据报的网络协议。传输控制协议(TCP)是准许从一个计算机到另一个计算机的比UDP更可靠的数据分组递送的网络协议。实时传输协议(RTP)是用于通过因特网传递音频和视频的网络协议。统一资源标识符(URI)是用于在因特网上标识名称或资源的字符串。统一资源定位符(URL)是标识可获得资源的位置以及如何访问资源的URI。网络管理系统(匪S)涉及用于管理网络的硬件和软件两者。桥接器和交换机是用于在网络中连接其它网段的设备。交换机相比于桥接器具有更为大量的端口。路由器是连接两个或更多网络并且允许数据在网络间交换的设备。家庭网关是用于将家庭中的设备连接到因特网的设备,并且可以包括调制解调器、交换机和路由器。网关路由器是作为到另一个网络的接入点的路由器。传统上,网络设备使用以下的分类方法将接收的业务分类为基于VLAN的业务:(I)基于端口的VLAN或默认的VLAN分配(对于未进行标记的业务);(2)基于存储在分组的VLAN标签中的VLANID的分配(对于标记过的业务);(3)基于协议的VLAN分配;以及(4)基于IP子网的VLAN分配。这些VLAN分类方法基于固定策略。不考虑业务的内容,所有的客户业务都是基于这些策略来进行分类的。传统的以太网网络于是建立桥接规则以建立用于用户业务的拓扑路径。在以太网云中,与第2层交换、安全和QoS有关的所有决策都基于被分配给入口(ingress)企业交换机上的业务的VLAN。边缘交换机将基于前述VLAN分类技术对分组/业务进行分类。不会出现基于业务内容的客户业务的进一步的子分类。因此,FTP业务、到服务器X的HTTP业务、到服务器Y的HTTP业务以及语音业务或者视频业务可能全部在同一VALN进行分类。所有客户业务然后基于在边缘交换机上执行的VLAN分类通过客户网络进行交换。网络管理者设备可能具有使用ACL以独立于业务流来应用QoS和安全策略的能力,但是这些策略必须统一分布到所有边缘交换机并且在某种程度上被分布到核心交换机,这对网络管理者而言创建了增加的管理开销。用户策略中的任何改变都涉及管理工作,以对订阅特定内容的业务流创建差别化行为。用户业务常常为不同业务流(例如FTP、HTTP、IP组播和RTP)的混合。甚至在HTTP业务内,内容也可能去往不同路由网关,因此在以太网云中需要不同的桥接和QoS策略。当前的网络解决方案不基于业务内容将业务分类到VLAN。网络系统管理者没有深入查看分组以及将业务(其可去往相同的目的地)子分类到单独的VLAN的机制。因此,存在对有效地、可靠地并可负担地准许基于业务内容将业务分类到虚拟局域网(VLAN)的以及准许构建用于以业务的基于内容桥接为基础的网络的框架的设备和方法的需要。
发明内容利用所提出的解决方案,网络管理者能够基于业务内容将客户业务分类到不同VLAN。基于该VLAN分类,网络管理者能够分类、控制和管理可被应用到用户业务内的每个子流的QoS策略;对在客户业务内的不同子流应用不同安全配置文件(profile);为每个子流实施不同桥接行为;并且为子流制定不同的计费策略和SLA依从性(compliance)。例如,内容或子流可以与分组的属性有关,用于将分组分类为依附于单端应用或依附于端应用和/或服务于单端应用的目的地网络元件。优选的设备(边缘交换机)包括:存储器,含有指令集;处理器,用于处理所述指令集中的至少一部分;以及分组处理器或交换专用集成电路(ASIC),其作用于/处理由处理器提供给其的所述指令集中的至少一部分。所述指令集包括用于从网络管理站接收对用于分组的指定内容的VLAN分配进行定义的策略的指令。所述指令集还可以包括用于在策略数据库/数据储存库存储策略以及用于从策略数据库/数据储存库获得策略的指令。所述指令集进一步包括:用于基于对分组内容的检查以及从网络管理站接收的策略向从节点接收的分组分配VLAN的指令;以及用于通过网络中的其他节点发送带有所分配的VLAN的分组以用于基于所分配的VLAN的操作的指令。用于基于对分组内容的检查和从网络管理站接收的策略向从节点接收的分组分配VLAN的指令以及用于通过网络中的其他节点发送带有所分配的VLAN的分组以用于基于所分配的VLAN的操作的指令,可以从处理器向用于处理/实现该些指令的分组处理器/ASIC发送。基于对分组内容的检查以及从网络管理站接收的策略为从节点接收的分组分配VLAN可以涉及:插入具有VLANID的VLAN标签到分组处理器或ASIC处的分组中。优选的设备(网络管理站)包括:存储器,含有指令集;以及处理器,用于处理所述指令集。所述指令集包括用于从网络管理站发送对分组的基于内容的VLAN分类进行定义的策略的指令。所述指令集可以进一步包括用于创建对分组的基于内容的VLAN分类进行定义的策略的指令。用于基于到达边缘节点(例如边缘交换机)的分组内容对VLAN进行分类的优选方法包括:从网络管理站接收对分组的基于内容的VLAN分类进行定义的策略;基于对分组内容的检查以及从网络管理站接收的策略向从节点接收的分组分配VLAN;以及向网络中的其他节点发送具有所分配的VLAN的分组,以用于基于分配的VLAN操作。在管理站处管理网络的优选方法包括:发送对分组的基于内容的VLAN分类进行定义的策略到边缘节点(例如,边缘交换机);以及网络管理者在基于分组内容对VLAN进行分类的管理站处创建/选择策略,以提供不同QoS、通过网络的不同桥接以及到对某些分组的不同安全测量(measure)中的一个。根据一些应用,实施例可以提供一种相对便宜地实现的方法,其准许基于业务的内容将业务分类到虚拟局域网(VLAN)并且以基于内容的业务桥接为基础来构建用于网络的架构。根据一些应用,实施例可以提供一种操作上不复杂的设备和方法,其准许基于业务内容将业务分类到虚拟局域网(VLAN),并且以基于内容的业务桥接为基础来构建用于网络的架构。根据一些应用,实施例可以提供一种设备和方法,其有效地准许基于业务内容将业务分类到虚拟局域网(VLAN),并且以基于内容的业务桥接为基础来构建用于网络的架构。根据一些应用,实施例可以提供一种可靠的设备和方法,其准许基于业务内容将业务分类到虚拟局域网(VLAN),并且以基于内容的业务桥接为基础来构建用于网络的架构。根据一些应用,实施例可以提供一种相对便宜地制造和部署的设备和系统,其准许基于业务内容将业务分类到虚拟局域网(VLAN),并且以基于内容的业务桥接为基础来构建用于网络的架构。根据一些应用,实施例可以对网络管理者提供更好的控制,以设计用于基于业务内容对客户业务提供差别化行为的网络。根据一些应用,实施例可以提供分组的VLAN分类的更细化(granular)的控制,该VLAN分类对由客户生成的实际业务模式(pattern)更有指示性,从而给网络管理者更好的控制以处理客户业务内的不同子流。现在仅通过示例的方式并且参照附图来描述本发明的装置和/或方法的一些实施例,其中:图1描述了在边缘交换机处执行的几种当前VLAN分类方法。图2描述了在边缘交换机处执行的使用分组内容的VLAN分类方法的优选实施例。图3描述了典型的企业网络。图4描述了使用涉及分组内容的优选VLAN分类的以太网网络的优选实施例。图5描述了边缘交换机的优选实施例。图6描述了管理站的优选实施例。图7描述了用于基于到达边缘交换机的业务内容对VLAN进行分类的优选方法。图8描述了在管理站处管理网络的优选方法。具体实施例方式本公开内容的优选实施例涉及以太网网络,其中网络管理者能够基于业务内容将业务分类到隔离的VLAN。使用这些VLAN,网络策略可以容易地应用在整个以太网网络以控制适用于特定业务流的桥接、QoS或安全策略。本公开内容的优选实施例涉及:对从网络管理站到边缘交换机的策略进行分配,以支持基于内容的VLAN分类;基于对客户业务的内容的检查以及接收的策略,在边缘交换机中进行VLAN分类/分配;以及基于客户业务的VLAN在以太网云中执行策略行为,以提供差别服务(例如,桥接、QoS、安全)。图1描述了在边缘交换机处执行的几种VLAN分类方法。边缘交换机10使用以下的分类方法将接收的分组/业务11、12和13分类为基于VLAN的业务14、15和16:(1)基于端口的VLAN或默认的VLAN分配(对于未进行标记的业务)17;(2)基于存储在分组的VLAN标签中的VLANID进行分配(对于标记过的业务)18;(3)基于协议的VLAN分配以及基于IP子网的VLAN分配19。传统的VLAN分类技术基于对由端用户生成的不同业务流并不适用的策略对分组进行分类。由客户终端设备(CPE)生成的业务常常为数据、视频和电话(tel印hony)的混合。即使在数据业务内,通常存在不同数据流(例如FTP和HTTP)的混合,并且一些数据流(例如HTTP业务)去往企业边缘的不同网关。图2描述了在边缘交换机处执行的使用分组内容的VLAN分类方法的优选实施例。在边缘交换机20处接收数据分组或业务21。边缘交换机20基于业务的内容将接收的业务21分类为基于VLAN的业务22、23和24。VLANX含有所有FTP业务。VLANY含有用于某个工资单网站的所有HTTP业务。VLANZ包含具有URLhttp://check.com/query_string的所有业务。图2仅描述了用于基于分组内容的VLAN分类的一个场景。基于内容的VLAN分类可以基于分组的至少以下内容/属性:TCP/UDP端口信息;RTP报头信息;HTTP内容;web主机规范;统一资源标识符(URI)域;以及路由协议。边缘交换机20需要支持执行深度的分组检查/分类的能力。通常地,网络管理者将配置静态以及自适应的策略,以将分组分配到不同VLAN。为分组定义基于内容的VLAN分类的策略是对使分组被分配到给定VLAN(例如,VLANZ)的该分组内的内容(例如URLhttp://check.com/query_string)进行定义的策略。边缘交换机20基于从网络管理者接收的策略执行深度的分组检查,并且取决于接收的分组是否具有策略中定义的分配给给定VLAN所需的属性/内容,将进入的分组分配给给定的VLAN。然后,当分组流过以太网络的余下部分时,根据所分配的VLAN来交换该分组。图3描述了典型的企业网络。电话30和计算机31连接桥接器32。桥接器32连接边缘交换机33。边缘交换机33还连接到包含服务器45的非军事化区域44(DMZ)0边缘交换机33允许来自服务器45、电话30和计算机31的业务进入以太网云34。以太网云34包含用于处理业务的桥接器35、36和46。边缘交换机33、37和38基于传统VLAN分类技术对分组/业务进行分类。不会发生基于业务内容对客户业务进行进一步的子分类。因此,到第一服务器的FTP业务、HTTP业务、到第二服务器的HTTP业务以及语音业务和/或视频业务可能全部被分类在相同的VLAN中。所有的客户业务然后基于在边缘交换机33、37和38处执行的VLAN分类通过客户网络进行交换。在此实例中,分配到VLANX43的业务通过桥接器46发送,而分配到VLANY42的业务通过桥接器36发送,并且分配到VLANZ41的业务通过桥接器35发送。然后,所有的业务被发送到边缘交换机38并且被发送到网关路由器39上。在本实例中,没有业务被发送到边缘交换机37以及被发送到网关路由器40上。图4描述了使用涉及分组内容的优选VLAN分类的以太网网络的优选实施例。电话60以及计算机61连接桥接器62。桥接器62连接边缘交换机48。边缘交换机48还连接到包含服务器64的非军事化区域(DMZ)63。边缘交换机48允许来自服务器64、电话60和计算机61的业务进入以太网云54。以太网云54包含用于处理业务的桥接器51、52和53。在本实例中,用于URL=https://bank,com的HTTP业务被分配到VLANX,并且通过边缘交换机48发送到桥接器51并且发送到边缘交换机50和网关路由器66之上。用于URL=http://xyz.com的HTTP业务被分配到VLANY,并且通过边缘交换机48发送到桥接器52并且发送到边缘交换机49和网关路由器65之上。使用传统VLAN分类方法将所有其他数据业务分类到VLANZ,并且将其从边缘交换机48发送到桥接器53,并且发送到边缘交换机49和网关路由器65之上。如结合图2所描述的,在边缘交换机48、49和50处完成VLAN分类和分配。然后,在以太网云54中的桥接器51、52和53处容易地完成VLAN的管理,以使用分配的VLAN基于业务内容提供差别服务。以太网云54核心中的桥接器51、52和53不需要知晓在边缘交换机48、49和50上发生的VLAN分类所根据的内容和基础。如图4中所说明的,通过基于如图2中所描述的内容将业务分类到不同VLAN,网络管理者可以控制客户业务内的子流。与客户业务的其余部分相比,去往本地库并且被分配到VLANX56的HTTP业务可以被路由到不同的网关路由器66。类似地,可以出于记账的目的将去往URL=http://xyz.com的所有客户业务隔离到VLANY57中。使用传统的VLAN分类方法可以将余下的业务分类到VLANZ58中。网络管理者可以使用标准的联网策略以对不同VLAN提供差别行为。这确保网络管理者控制和管理客户业务的不同子流。例如,网络管理者可以对去往配对的搜索引擎的客户业务提供差别化行为。通过进一步示例的方式,网络管理者可以将来自使用不相称数量的文件共享应用的给定客户的业务进行降级或隔离。图4还示出了从网络管理站59到边缘交换机的策略行为的分布。匪S应用控制将VLAN分类策略到边缘交换机48、49和50的分布,其中在边缘交换机48、49和50中下载VLAN分类策略以定义基于内容的分类策略。策略可以是基于客户SLA的静态策略或自适应策略。图4中描述的系统提供对分组的VLAN分类的更细化(granular)的控制。该分类对由客户生成的实际业务模式(pattern)更有指示性,从而给网络管理者更好的控制以处理客户业务内的不同子流。在业务被分类到不同VLAN之后,每个子流可以在网络中具有独立的安全、QoS和桥接配置文件(profile)。例如,网络管理者可以给予去往美国在线(AOL)服务器的SSL业务更高优先级,或者可以将从办公室去往到体育网站的所有业务与用于记账的分离VLAN进行隔离。图4中所描述的系统和方法对网络管理者提供了更好的控制以设计基于业务内容对客户业务提供差别化行为的网络。由于端客户应用成指数级地增长,希望网络管理者基于业务内容向客户提供差别的SLA。图5描述了边缘交换机的优选实施例。边缘交换机68包括:存储器71,包含指令集70;处理器69,用于处理该指令集70的至少一部分;以及分组处理器或交换专用集成电路(ASIC)72,其实现/处理由处理器69提供给它的该指令集的至少一部分。该指令集70包括用于从网络管理站接收对用于分组的指定内容的VLAN分配进行定义的策略的指令。该指令集70还可以包括用于在策略数据库/数据储存库存储策略以及用于从策略数据库/数据储存库获得策略的指令。该指令集70进一步包括:用于基于对分组内容的检查以及从网络管理站接收的策略向从节点接收的分组分配VLAN的指令;以及用于通过网络中的其他节点发送具有所分配的VLAN的分组以用于基于所分配的VLAN操作的指令。用于基于对分组内容的检查和从网络管理站接收的策略向从节点接收的分组分配VLAN的指令以及用于通过网络中的其他节点发送具有所分配的VLAN的分组以用于基于分配的VLAN的操作的指令可以从处理器69发送到用于处理/实现该些指令的分组处理器/ASIC72。基于对分组内容的检查以及从网络管理站接收的策略向从节点接收的分组分配VLAN可以包括在分组处理器72处将具有VLANID的VLAN标签插入到分组中。图6描述了网络管理站的优选实施例。网络管理站75包括:存储器76,包含指令集77;以及处理器78,用于处理该指令集77。该指令集77包括用于自网络管理站发送对分组的基于内容的VLAN分类进行定义的策略的指令。该指令集可以进一步包括用于创建对分组的基于内容的VLAN分类进行定义的策略的指令。通过示例的方式,用于创建为分组的基于内容的VLAN分类进行定义的策略的该指令集可以包括用于基于TCP/UDP端口分配、RTP报头信息、HTTP内容、web主机说明、统一资源标识符(URI)域以及路由协议中的至少一个为分组的VLAN进行分类的指令。图7描述了用于基于到达边缘交换机的分组内容对VLAN进行分类的优选方法。在边缘交换机处,执行用于自网络管理站接收对分组的基于内容的VLAN分类进行定义的策略的操作85。然后,执行基于对分组内容的检查以及从网络管理站接收的策略向从节点接收的分组分配VLAN的操作86。然后,执行用于向网络中的其他节点发送具有所分配的VLAN的分组,以用于基于所分配的VLAN的操作的操作87。图8描述了在管理站处管理网络的优选实施例。在管理站处,执行用于发送对分组的基于内容的VLAN分类进行定义的策略的操作90。策略的创建可以包括:基于TCP/UDP端口分配、RTP报头信息、HTTP内容、web主机说明、统一资源标识符(URI)域以及路由协议中的至少一个为VLAN进行分类。还可以执行操作,其用于由网络管理者基于在网络中管理和控制分组的需要在管理站处创建/选择策略,以提供不同QoS、通过网络的不同桥接以及到对某些分组的不同安全测量(measure)中的一个91。可以预期的是,在此所描述的方法可以实现为硬件、固件、包括具有在计算机上执行的程序指令的计算机可读介质的软件或者其组合。在此所描述的方法还可以在硬件和/或软件上的各种组合中实现。本领域的技术人员易于认识到各种以上所描述的方法的步骤可以由编程计算机执行,并且步骤的次序不一定严格。在此,一些实施例旨在覆盖诸如数字数据存储媒体的程序存储设备,其是指令的机器或计算机可读的和编码机器可执行的或计算机可执行的程序,其中,所述指令执行在此描述的方法的一些或全部步骤。程序存储设备可以为例如数字存储器、诸如磁盘和磁带的磁性存储介质、硬盘驱动器,或可选地为可读数字数据存储介质。实施例还旨在覆盖被编程为执行在此所描述的方法的所述步骤的计算机。本领域的技术人员将认识到,在不脱离本发明宽泛的发明概念的情况下可以对以上描述的实施例进行改变或修改。因此应当理解,本发明不限于本文中描述的特定实施例,而是如权利要求中阐述的本发明。权利要求1.一种网络中的设备,包括:存储器中的数据储存库,用于存储对用于指定的分组内容的VLAN分配进行定义的策略;分组处理器,用于从数据储存库获得对用于指定的分组内容的VLAN分配进行定义的所述策略,并且基于对分组内容的检查和对用于指定的分组内容的VLAN分配进行定义的所述策略,向从节点接收的分组分配VLAN。2.根据权利要求1所述的设备,其中所述设备从网络管理站接收对用于指定的分组内容的VLAN分配进行定义的所述策略。3.根据权利要求1所述的设备,其中分组处理器向网络中的另一个节点传送具有分配的VLAN的分组以用于基于所述分配的VLAN的操作。4.根据权利要求2所述的设备,其中基于对分组内容的检查和从网络管理站接收的策略向从节点接收的分组分配VLAN包括:在分组处理器处将具有VLANID的VLAN标签插入到分组中。5.根据权利要求4所述的设备,其中所述内容为TCP/UDP端口分配、RTP头信息、HTTP内容、web主机规范、统一资源标识符(URI)域以及路由协议中的一种。6.一种基于到达网络的边缘节点的分组的内容对VLAN进行分类的方法,包括以下步骤:在存储器中存储对边缘节点处的分组的基于内容的VLAN分类进行定义的策略;以及由分组处理器基于对分组的内容的检查和所述策略,向从节点接收的分组分配VLAN。7.根据权利要求6所述的方法,进一步包括步骤:向网络中的其它节点发送具有分配的VLAN的分组,以用于基于所述分配的VLAN的操作。8.根据权利要求6所述的方法,其中所述分组的内容为TCP/UDP端口分配、RTP头信息、HTTP内容、web主机规范、统一资源标识符(URI)域以及路由协议中的一种。9.根据权利要求6所述的方法,进一步包括:从网络管理站接收对基于内容的VLAN分类进行定义的所述策略。10.根据权利要求9所述的方法,其中所述策略基于所述分组的内容为某些分组提供不同的安全测量。全文摘要用于基于到达边缘交换机的分组的内容对VLAN进行分类的优选方法包括从网络管理站接收对分组的基于内容的VLAN分类进行定义的策略;基于对分组内容的检查和从网络管理站接收的策略,向从节点接收的分组分配VLAN;以及向网络中的其他节点发送分配了VLAN的分组,以用于基于所述分配的VLAN的操作。文档编号H04L12/46GK103190122SQ201180052188公开日2013年7月3日申请日期2011年10月26日优先权日2010年11月1日发明者A·辛哈申请人:阿尔卡特朗讯公司