本發(fā)明涉及交換機技術(shù)，尤其是廣電數(shù)據(jù)通信領(lǐng)域中二層交換機設(shè)備（L2 Switch）。

背景技術(shù)：

技術(shù)術(shù)語解釋：

EOC：Ethernet Over Cable，以太網(wǎng)電纜。

CPE：Customer Premise Equipment，客戶終端設(shè)備。

VOD：Video on Demand，視頻點播。

VLAN：Virtual Local Area Network，虛擬局域網(wǎng)，是指一組邏輯上的設(shè)備和用戶。

Internet：互聯(lián)網(wǎng)。

OLT：Optical Line Terminal，光線路終端，用于連接光纖干線的終端設(shè)備。

ONU：Optical Network Unit，光網(wǎng)絡(luò)單元。

CATV：Community Antenna Television，國內(nèi)一般指廣電有線電視系統(tǒng)，或者廣電有線電視網(wǎng)絡(luò)。

HFC：Hybrid Fiber－Coaxial的縮寫，即混合光纖同軸電纜網(wǎng)。

STB：Set Top Box，機頂盒。

參見圖1，廣電網(wǎng)絡(luò)中的二層交換機設(shè)備（L2 Switch）一般位于小區(qū)樓道，下接有多個局端設(shè)備（EOC），局端設(shè)備分屬于不同的住戶，局端設(shè)備下接終端設(shè)備（CPE），終端設(shè)備（CPE）位于住戶的家中?；狱c播網(wǎng)絡(luò)與交換機設(shè)備連接，將上網(wǎng)及點播業(yè)務(wù)數(shù)據(jù)通過交換機分發(fā)給各個用戶的局端設(shè)備，且這些業(yè)務(wù)是按照不同的服務(wù)流進入其相應(yīng)的VLAN。如圖1中，上網(wǎng)業(yè)務(wù)對應(yīng)VLAN B，點播業(yè)務(wù)對應(yīng)VLAN A。交換機的一個上行口能收發(fā)多個VLAN的數(shù)據(jù)報文；交換機的多個下行口只能收發(fā)本下行端口所在VLAN的數(shù)據(jù)報文。衛(wèi)星電視直播網(wǎng)絡(luò)的電視直播業(yè)務(wù)數(shù)據(jù)直接傳輸?shù)骄侄嗽O(shè)備，局端設(shè)備提供給用戶多種業(yè)務(wù)，比如：上網(wǎng)、高清VOD點播、電視直播等。

對于交換機，各個局端設(shè)備用報文攜帶不同的VLAN通過交換機一層一層傳給互動點播網(wǎng)絡(luò)中的上層業(yè)務(wù)通信服務(wù)器，如Internet網(wǎng)或VOD點播系統(tǒng)，將用戶的上網(wǎng)或點播請求告知上層業(yè)務(wù)通信服務(wù)器。上層業(yè)務(wù)通信服務(wù)器返回相應(yīng)的上網(wǎng)、點播業(yè)務(wù)數(shù)據(jù)，交換機設(shè)備再將上網(wǎng)、點播業(yè)務(wù)數(shù)據(jù)分發(fā)到指定的局端設(shè)備上?？梢娊粨Q機設(shè)備的工作主要就是承上啟下。

現(xiàn)有的廣電網(wǎng)絡(luò)中的交換機設(shè)備具有一個上行口與多個下行口，參見圖2，上行口接入ONU設(shè)備，下行口port1~8對應(yīng)接入8戶家庭的EOC局端設(shè)備，上行口與各個下行口之間可以進行數(shù)據(jù)交換。

如前所述，廣電現(xiàn)網(wǎng)的上網(wǎng)、高清VOD點播和電視直播都是利用VLAN來劃分各自的功能鄰域，若圖2中的port1和port2都開通了高清VOD點播，那么port1和port2都要加入高清VOD點播所在的VLAN組，例如VLAN A組。此時，port1和port2下接的用戶即可以在高清VOD點播所在的VLAN A組里互訪，圖2中用虛線標(biāo)示出了port1與port2之間的這種潛在的通信通道。然而出于網(wǎng)絡(luò)安全的考慮，這是不允許的，必須把VLAN內(nèi)成員端口進行隔離。

現(xiàn)有的交換機會用VLAN QinQ功能解決該問題，但具備VLAN QinQ功能的交換芯片的價格都不低。對二層交換機而言，穩(wěn)定性和實現(xiàn)上述簡單功能滿足要求即可，所以在設(shè)計時都會盡量采用一些很低成本的交換芯片。

那么如何在這些低成本的交換機上實現(xiàn)VLAN內(nèi)成員端口隔離是急需解決的問題。

技術(shù)實現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是：針對上述存在的問題，提供一種支持VLAN內(nèi)成員端口隔離的交換方法及交換機。

其中方法包括：

步驟1：設(shè)定交換機的上行口、多個下行口以及過濾端口；其中上行口與廣電網(wǎng)絡(luò)中的互動點播網(wǎng)絡(luò)連接，多個下行口分別與各個局端設(shè)備連接，過濾端口懸空；多個下行口屬于同一個VLAN功能域；為過濾端口分配固定的MAC地址；

步驟2：開啟各個下行口的vlan tunnel功能；

步驟3：建立交換機內(nèi)部的端口映射機制：當(dāng)報文源地址為上行口的MAC地址，報文目標(biāo)地址為某下行口的MAC地址時按照目標(biāo)地址轉(zhuǎn)發(fā)報文；當(dāng)報文源地址為下行口的MAC地址，報文的目標(biāo)地址為上行口的MAC地址時按照目標(biāo)地址轉(zhuǎn)發(fā)報文；當(dāng)報文的源地址為某個下行口的MAC地址，報文的目標(biāo)地址為另一個下行口的MAC地址時將過濾端口的MAC地址作為該報文新的目標(biāo)地址進行轉(zhuǎn)發(fā)。

進一步，上行口與互動點播網(wǎng)絡(luò)中的ONU設(shè)備連接。

進一步，下行口與EOC局端設(shè)備連接；各個EOC局端設(shè)備分屬不同的住戶。

進一步，所述交換機具備Qvaln模式。

進一步，所述上行口被配置為trunk vlan，下行口及過濾端口被配置為access vlan。

本發(fā)明還提供了一種支持VLAN內(nèi)成員端口隔離的交換機，包括上行口、多個下行口以及過濾端口；其中上行口與廣電網(wǎng)絡(luò)中的互動點播網(wǎng)絡(luò)連接，多個下行口分別與各個局端設(shè)備連接，過濾端口懸空；多個下行口屬于同一個vlan功能域；為過濾端口分配固定的MAC地址；各個下行口的vlan tunnel功能為開啟狀態(tài)；

所述交換機按照以下機制轉(zhuǎn)發(fā)報文：當(dāng)報文源地址為上行口的MAC地址，報文目標(biāo)地址為某下行口的MAC地址時按照目標(biāo)地址轉(zhuǎn)發(fā)報文；當(dāng)報文源地址為下行口的MAC地址，報文的目標(biāo)地址為上行口的MAC地址時按照目標(biāo)地址轉(zhuǎn)發(fā)報文；當(dāng)報文的源地址為某個下行口的MAC地址，報文的目標(biāo)地址為另一個下行口的MAC地址時將過濾端口的MAC地址作為該報文新的目標(biāo)地址進行轉(zhuǎn)發(fā)。

綜上所述，由于采用了上述技術(shù)方案，本發(fā)明的有益效果是：

本發(fā)明在原有交換機Qvaln模式上，利用端口的vlan tunnel功能，實現(xiàn)VLAN內(nèi)成員端口的隔離。vlan tunnel功能原本是用于交換機端口垮不同VLAN組通信的一種方法手段，其目的是讓分屬不同VLAN的端口可以相互通信。

本發(fā)明將交換機上一端口懸空，即不連接任何設(shè)備，作為過濾端口（我們稱它為黑洞端口，不呈現(xiàn)給用戶），相當(dāng)于在交換機上預(yù)留的一個空交換口，為過濾端口綁定一靜態(tài)MAC地址，把交換機上下行口互訪的報文通過Valn tunnel功能轉(zhuǎn)向到過濾端口，由于黑洞端口是懸空的，所以報文被丟棄。從而無需增加VLAN QinQ功能的芯片，利用普通交換機原有的功能即可實現(xiàn)同VLAN中端口的隔離，有效防止某些用戶對其他用戶的惡意攻擊。

附圖說明

本發(fā)明將通過例子并參照附圖的方式說明，其中：

圖1為現(xiàn)有的廣電網(wǎng)絡(luò)拓撲圖。

圖2為現(xiàn)有的交換機連接及交換映射關(guān)系示意圖。

圖3為本發(fā)明中交換機各個端口連接及交換映射關(guān)系示意圖。

具體實施方式

本說明書中公開的所有特征，或公開的所有方法或過程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。

本說明書中公開的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個特征只是一系列等效或類似特征中的一個例子而已。

參見圖3，本發(fā)明在普通交換機的Qvlan模式上，啟動下行口的vlan tunnel功能，并設(shè)定過濾端口實現(xiàn)了同VLAN功能域中端口之間的隔離，具體手段如下：

首先，設(shè)定交換機的上行口、多個下行口以及過濾端口，這些端口都是交換機上的通信端口，將不同的端口分別配置則可得到上述三類端口，優(yōu)選的，將上行口配置為trunk vlan，那么上行口可以接收和發(fā)送不同VLAN功能域的報文，將下行口、過濾端口都設(shè)置為access vlan，本實施例中下行口port1、port2均屬于高清VOD點播VLAN功能域，過濾端口不屬于該VLAN功能域。其中上行口與廣電網(wǎng)絡(luò)中的互動點播網(wǎng)絡(luò)連接，連接方式參見圖1。多個下行口分別與各個局端設(shè)備連接，也參見如1。過濾端口懸空，并為過濾端口分配固定的MAC地址。

因為要建立下行口與過濾端口的跨VLAN數(shù)據(jù)交換，因此需要開啟過濾端口及各個下行口的vlan tunnel功能。

建立交換機內(nèi)部的端口映射機制：當(dāng)報文源地址為上行口的MAC地址，報文目標(biāo)地址為某下行口的MAC地址時按照目標(biāo)地址轉(zhuǎn)發(fā)報文；當(dāng)報文源地址為下行口的MAC地址，報文的目標(biāo)地址為上行口的MAC地址時按照目標(biāo)地址轉(zhuǎn)發(fā)報文；當(dāng)報文的源地址為某個下行口的MAC地址，報文的目標(biāo)地址為另一個下行口的MAC地址時將過濾端口的MAC地址作為該報文新的目標(biāo)地址進行轉(zhuǎn)發(fā)。原本是下行口之間交換的報文全部都定向到過濾端口，由于過濾端口是懸空的，那么定向到此端口的報文全部丟棄，從而達到了下行口之間不能交換數(shù)據(jù)的功能，達到隔離的效果。

更具體的，先收集各個局端設(shè)備的MAC地址，開啟交換機的MAC學(xué)習(xí)功能，使交換機“記住”上述端口映射機制，然后關(guān)閉學(xué)習(xí)功能開啟交換機的Qvaln模式，這樣就設(shè)定好了上行口與下行口相通，下行口與過濾端口相通，下行口之間不相通。

本發(fā)明并不局限于前述的具體實施方式。本發(fā)明擴展到任何在本說明書中披露的新特征或任何新的組合，以及披露的任一新的方法或過程的步驟或任何新的組合。