[发明专利]一种基于业务类型的配置端口隔离交换设备及应用方法

权利要求书

1.一种配置多业务承载接入的端口隔离交换设备，其特征在于，该设备包括：由交换芯片组成的交换模块、管理模块、关键功能分析模块、日志模块和存储模块；所述交换模块和管理模块之间通过PCI交换总线相互通信，以实现管理信息的交换；所述关键功能分析模块分别与管理模块、规则库、存储模块和日志模块相连。

2.如权利要求1所述的设备，其特征在于，所述交换模块，以实现非管理交换机的功能；

所述管理模块，用于调用软件功能，以实现VLAN或者MAC地址的转换；

所述关键功能分析模块，用于根据业务类型需求选择关键业务功能，获取关键业务流；

所述日志模块，用于记录设备运行数据和故障信息；

所述存储模块，用于存放数据。

3.如权利要求1所述的设备，其特征在于，所述管理模块的控制芯片分别设有业务监控单元和端口控制单元；其中，

所述业务监控单元，用于读取规则库，监控每个交换端口进入的数据包是否与规则库相匹配；

所述端口控制单元，用于对数据包进行VLAN转换和端口模式转换。

4.如权利要求1所述的设备，其特征在于，所述存储模块包括规则库，该规则库用于存放二分法寻址规则。

5.如权利要求3所述的设备，其特征在于，所述端口控制单元包括：

第一端口控制子单元，用于对数据包的处理，以实现VLAN转换功能；

第二端口控制子单元，用于对接收的数据包端口进行转换，将PVID变为Hybrid模式。

6.一种配置多业务承载接入的端口隔离交换方法，其特征在于，所述方法包括：

(1)根据业务类型需求选择关键业务功能，获取关键业务流功能集合cfa＝{b_i}；

(2)对关键业务流功能集合cfa＝{b_i}的数据进行分解，制定规则库；

(3)构建规则库与数据包VLAN的动态映射关系，判断规则库与数据包之间是否相匹配；若是，进入下一步对该数据包的控制；若否，则直接丢弃；

(4)自动进行VLAN动态分配；

(5)对数据包进行VLAN转换和端口模式转换；

(6)将控制结果更新至存储模块中，与规则库相匹配的规则一一对应。

7.如权利要求6所述的方法，其特征在于，所述制定规则库包括，所述集合cfa＝{b_i}中的每一种关键业务功能b_i用基本六元组<SI,SP,DI,DP,Type,User>表示，形成规则库；其中，SI为源IP地址，SP为源端口号，DI为目的IP，DP为目的端口号，Type表示数据包的协议类型，User表示用户。

8.如权利要求6所述的方法，其特征在于，所述构建规则库与VLAN的动态映射关系包括，将交换芯片的初始端口均设置为安全端口，端口类型为trunk模式，PVID＝1；为每一个输入的数据包添加VLANtag1标识；并对关键业务流功能集合cfa＝{b_i}中的六元组<SI,SP,DI,DP,Type,User>与数据包匹配；若数据包与规则库中的任一规则相匹配，则对该数据包进行VLAN动态分配以及端口模式转换。

9.如权利要求6所述的方法，其特征在于，所述步骤(4)包括，采用设定的二分法寻址规则自动进行VLAN动态分配包括，当进入第一端口的数据包与规则一匹配时，其映射的VLAN范围为2～4094，初始映射为VLANPVID₁＝(2+4094)/2。

10.如权利要求6所述的方法，其特征在于，所述步骤(5)对数据包进行VLAN转换和端口模式转换包括，将该数据包的VLAN标识由tag1变为tag2048后，再进行内部转发；将接收该数据包的第一端口的PVID变为Hybrid模式，PVID＝2048，标记该端口为隔离端口。

11.如权利要求9或10所述的方法，其特征在于，当第二端口的数据包进入后，监控其匹配状态；若与规则一相匹配，则为该数据包添加VLAN2048标识，并将其转换为Hybrid模式，PVID＝2048；此时第一端口与第二端口之间的数据可以相互转发，形成同一隔离组；所述同一隔离组的隔离端口之间相互通信。