一种BYPASS实现方法、设备和系统转让专利
申请号 : CN201010619821.5
文献号 : CN102064967B
文献日 : 2013-01-02
发明人 : 肇云波 , 靖文 , 祁广田
申请人 : 成都市华为赛门铁克科技有限公司
摘要 :
本发明实施例公开了一种BYPASS实现方法、设备和系统,其中,所述方法包括:在正常传输模式下,BYPASS设备的第一端口切换到与被保护设备的输入端口的端口类型相同的端口,将下行数据传输至所述被保护设备;BYPASS设备的第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,接收来自所述被保护设备的数据,并将所述接收的数据输出,其中,所述端口类型包括电端口和光端口;在BYPASS传输模式下,所述BYPASS设备将接收到的下行数据直接输出。通过本发明实施例,能够实现BYPASS设备与具有不同端口类型的被保护设备之间连接。
权利要求 :
1.一种BYPASS实现方法,其特征在于,所述方法包括:
在正常传输模式下,当BYPASS设备的第一端口与被保护设备的端口连接时,检测被保护设备的端口类型,BYPASS设备的第一端口切换到与被保护设备的输入端口的端口类型相同的端口,将下行数据传输至所述被保护设备;当BYPASS设备的第二端口与被保护设备的端口连接时,检测被保护设备的端口类型,BYPASS设备的第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,接收来自所述被保护设备的数据,并将所述接收的数据输出,其中,所述端口类型包括电端口和光端口;
在BYPASS传输模式下,所述BYPASS设备将接收到的下行数据直接输出。
2.根据权利要求1所述的BYPASS实现方法,其特征在于,通过设置物理层PHY芯片使得所述BYPASS设备上的PHY芯片同时具备光端口和电端口。
3.一种BYPASS设备,其特征在于,包括:
输入端口,用于接收下行数据;
输出端口,用于输出上行数据;
第一端口,用于连接被保护设备的输入端口;
第二端口,用于连接被保护设备的输出端口;
光电端口切换模块,用于在正常传输模式下,将所述第一端口切换到与所述被保护设备的输入端口的端口类型相同的端口,通过所述第一端口,将所述输入端口接收的下行数据传输至所述被保护设备;将所述第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,通过所述第二端口接收来自所述被保护设备的数据,并将所述接收的数据通过所述输出端口输出,其中,所述端口类型包括电端口和光端口;
所述光电端口切换模块还用于在BYPASS传输模式下,将所述输入端口和输出端口连接导通;
所述光电端口切换模块还用于当所述第一端口或第二端口与被保护设备的端口连接时,检测被保护设备的端口类型。
4.根据权利要求3所述的BYPASS设备,其特征在于,所述第一端口通过物理层PHY芯片实现,所述第一端口包括光端口和电端口。
5.根据权利要求3所述的BYPASS设备,其特征在于,所述第二端口通过物理层PHY芯片实现,所述第二端口包括光端口和电端口。
6.根据权利要求3所述的BYPASS设备,其特征在于,所述光电端口切换模块为现场可编程门阵列。
7.根据权利要求3所述的BYPASS设备,其特征在于,所述光电端口切换模块包括:媒体接入控制单元,用于实现媒体接入控制;
模拟开关单元,用于在正常传输模式下,将所述第一端口切换到与所述被保护设备的输入端口的端口类型相同的端口,通过所述第一端口,将所述输入端口接收的下行数据传输至所述被保护设备;将所述第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,通过所述第二端口接收来自所述被保护设备的数据,并将所述接收的数据通过所述输出端口输出。
8.一种BYPASS实现系统,其特征在于,所述系统包括:BYPASS设备和被保护设备,其中,所述被保护设备的端口为电端口或光端口;
所述BYPASS设备,包括:
输入端口,用于接收下行数据;
输出端口,用于输出上行数据;
第一端口,用于连接被保护设备的输入端口;
第二端口,用于连接被保护设备的输出端口;
光电端口切换模块,用于在正常传输模式下,将所述第一端口切换到与所述被保护设备的输入端口的端口类型相同的端口,通过所述第一端口,将所述输入端口接收的下行数据传输至所述被保护设备;将所述第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,通过所述第二端口接收来自所述被保护设备的数据,并将所述接收的数据通过所述输出端口输出,其中,所述端口类型包括电端口和光端口;
所述光电端口切换模块还用于在BYPASS传输模式下,将所述输入端口和输出端口连接导通;
所述光电端口切换模块还用于当所述第一端口或第二端口与被保护设备的端口连接时,检测被保护设备的端口类型。
9.根据权利要求8所述的BYPASS实现系统,其特征在于,所述BYPASS设备通过设置物理层PHY芯片以同时具备光端口和电端口。
10.根据权利要求8或9所述的BYPASS实现系统,其特征在于,所述BYPASS设备通过现场可编程门阵列进行光端口传输模式和电端口传输模式的切换。
说明书 :
一种BYPASS实现方法、设备和系统
技术领域
[0001] 本发明涉及网络通信技术领域,更具体地说,涉及一种BYPASS实现方法、设备和系统。
背景技术
[0002] 随着网络技术的广泛应用,网络安全成了制约互联网发展的瓶颈,这是由于互联的网络中时常出现非法信息的传播,例如:病毒、木马、垃圾邮件、黑客攻击等。
[0003] 为了有效消除网络的安全隐患,需要在各层面透明部署UTM(UnifiedThreat Management,统一威胁管理)、IPS(Intrusion Protection System,入侵防御系统)、DDOS(Distributed Denial of Service,分布式服务拒绝)、DPI(deep packet inspection,深度报文检测)等安全设备。这些直路设备部署在链路上,需要在对网络正常流量不造成影响的情况下,对该链路的流量进行检测、分析、过滤等安全业务处理。
[0004] 然而,上述直路设备可能引发以下问题:由于直路设备通常以串联方式连接在链路中,因此,当直路设备故障时,会造成正常通信链路中断,并引发路由振荡、负载均衡等一系列问题。
[0005] 目前,应用BYPASS(旁路)设备是解决直路设备安全隐患最好的方法之[0006] BYPASS是一种基于物理链路的保护方式,此时的物理链路通常有两种工作状态,即正常工作状态和旁路保护状态。正常工作状态下,BYPASS设备会通过切换开关将上下行链路指向被保护设备,上行流量会通过被保护设备处理后发给下行链路。当被保护设备异常时,BYPASS设备会切换到旁路状态,此时上行流量不通过被保护设备直接下发至下行链路。
[0007] 目前,BYPASS设备在板卡形态上分为内置BYPASS和外置BYPASS,从端口类型上分为电口BYPASS和光口BYPASS。通常,BYPASS设备的端口类型为固定的某种形态,可以为光端口或者电端口。
[0008] 被保护设备的端口也具有两种形态,光端口或者电端口,因此,BYPASS设备的端口类型需要与其连接的被保护设备的端口类型相同。然而在实际应用中,被保护设备更换时可能同时会出现设备端口类型的改变,如之前为电端口,现在改为光端口。此时,原有的BYPASS设备由于端口类型与变更后的被保护设备端口类型不匹配而无法应用,因此,用户需要重新购买BYPASS设备或购买BYPASS模块。
[0009] 此外,还可能存在的应用场景是被保护设备与BYPASS设备相连的端口分别为一个光端口和一个电端口,而现有的BYPASS设备由于具有单一形态的端口,将无法满足该种被保护设备的应用。
[0010] 可见,现有BYPASS设备在实现与具有不同端口类型的被保护设备连接时,仍存在一定的缺陷。
发明内容
[0011] 有鉴于此,本发明实施例提供一种BYPASS实现方法、设备和系统,能够实现BYPASS设备与具有不同端口类型的被保护设备之间连接。
[0012] 本发明实施例提供一种BYPASS实现方法,所述方法包括:
[0013] 在正常传输模式下,BYPASS设备的第一端口切换到与被保护设备的输入端口的端口类型相同的端口,将下行数据传输至所述被保护设备;BYPASS设备的第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,接收来自所述被保护设备的数据,并将所述接收的数据输出,其中,所述端口类型包括电端口和光端口;
[0014] 在BYPASS传输模式下,所述BYPASS设备将接收到的下行数据直接输出。
[0015] 本发明实施例还提供了一种BYPASS设备,包括:
[0016] 输入端口,用于接收下行数据;
[0017] 输出端口,用于输出上行数据;
[0018] 第一端口,用于连接被保护设备的输入端口;
[0019] 第二端口,用于连接被保护设备的输出端口;
[0020] 光电端口切换模块,用于在正常传输模式下,将所述第一端口切换到与所述被保护设备的输入端口的端口类型相同的端口,通过所述第一端口,将所述输入端口接收的下行数据传输至所述被保护设备;将所述第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,通过所述第二端口接收来自所述被保护设备的数据,并将所述接收的数据通过所述输出端口输出,其中,所述端口类型包括电端口和光端口;
[0021] 所述光电端口切换模块还用于在BYPASS传输模式下,将所述输入端口和输出端口连接导通。
[0022] 本发明实施例还提供了一种BYPASS实现系统,所述系统包括:BYPASS设备和被保护设备,其中,所述被保护设备的端口为电端口或光端口;
[0023] 所述BYPASS设备,用于在正常传输模式下,通过与所述被保护设备的输入端口的端口类型相同的端口,将下行数据传输至所述被保护设备;通过与所述被保护设备的输出端口的端口类型相同的端口,接收来自所述被保护设备的数据,并将所述接收的数据输出,其中,所述端口类型包括电端口和光端口;在BYPASS传输模式下,将接收到的下行数据直接输出。
[0024] 同现有技术相比,本发明实施例提供的技术方案通过在BYPASS设备上同时设置可切换的光端口和电端口,利用光电互斥特性,使得BYPASS设备能够根据被保护设备的端口类型,选择应用相同的端口与之相匹配,因此,使得同一台BYPASS设备能够满足被保护设备是光端口或是电端口时提供BYPASS保护的应用,充分提高BYPASS设备的利用率,降低由于BYPASS设备仅具备一种端口类型,而与被保护设备的端口类型不同时无法提供BYPASS保护应用的缺陷。
附图说明
[0025] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0026] 图1为本发明实施例提供的一种BYPASS实现方法流程示意图;
[0027] 图2为本发明实施例提供的另一种BYPASS实现方法流程示意图;
[0028] 图3为本发明实施例提供的又一种BYPASS实现方法流程示意图;
[0029] 图4为本发明实施例提供的BYPASS设备结构示意图;
[0030] 图5为图1中光电端口切换模块的一种实现方式结构示意图;
[0031] 图6为本发明实施例提供的一种光电互斥BYPASS设备的应用场景示意图示意图;
[0032] 图7为本发明实施例提供的另一种光电互斥BYPASS设备的应用场景示意图示意图;
[0033] 图8为本发明实施例提供的一种BYPASS实现系统结构示意图。
具体实施方式
[0034] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0035] 实施例一:
[0036] 如图1所示,本发明实施例提供了一种BYPASS实现方法,所述方法包括:
[0037] 步骤101、在正常传输模式下,BYPASS设备的第一端口切换到与被保护设备的输入端口的端口类型相同的端口,将下行数据传输至所述被保护设备;BYPASS设备的第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,接收来自所述被保护设备的数据,并将所述接收的数据输出,其中,所述端口类型包括电端口和光端口;
[0038] 步骤102、在BYPASS传输模式下,所述BYPASS设备将接收到的下行数据直接输出。
[0039] 上述步骤101中,当BYPASS设备的输入端口的端口类型为电端口或光端口时,BYPASS设备需要将与BYPASS设备的输入端口连接的端口切换为电端口或光端口;当BYPASS设备的输出端口的端口类型为电端口或光端口时,BYPASS设备需要将与BYPASS设备的输出端口连接的端口切换为电端口或光端口。
[0040] 其中,步骤101的切换过程,还包括检测的步骤:BYPASS设备的第一端口或第二端口与被保护设备的端口连接时,需要先检测被保护设备的端口类型,然后,BYPASS设备再进行端口的切换,例如:当检测到BYPASS设备的第一端口与之相连接的被保护设备的电端口处于在线状态时,BYPASS设备将第一端口切换到电端口类型。
[0041] 需要说明的是,上述步骤101和102之间的执行顺序并无严格限制,在具体实现时,也可能是被保护设备首先为BYPASS保护状态,即先执行步骤102,当被保护设备恢复正常状态时,再继续执行步骤101。本发明实施例在此,不进行严格限制。
[0042] 为了便于对本发明实施例技术方案的充分理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
[0043] 相应上述实施例,本发明实施例提供了一种BYPASS实现方法,如图2所示,所述方法包括:
[0044] 步骤201、当被保护设备是电端口时,将所述BYPASS设备接收到的下行数据通过自身电端口传输至所述被保护设备的电端口;
[0045] 步骤202、将所述BYPASS设备通过自身电端口接收到的所述保护设备的电端口输出的数据进行输出;
[0046] 或者,如图3所示,所述方法包括:
[0047] 步骤301、当被保护设备是光端口时,将所述BYPASS设备接收到的下行数据通过自身光端口传输至所述被保护设备的光端口;
[0048] 步骤302、将所述BYPASS设备通过自身光端口接收到的所述保护设备的光端口输出的数据进行输出;
[0049] 或者,
[0050] 在BYPASS传输模式下,将所述BYPASS设备接收到的下行数据直接输出。
[0051] 当被保护设备出现故障的状况下,原传输至被保护设备的数据无法流经被保护设备,因此,BYPASS设备通过自身的输入和输出端口实现这部分数据的转发。
[0052] 在技术实施过程中,可以通过设置物理层PHY芯片使得所述BYPASS设备上的PHY芯片同时具备光端口和电端口。
[0053] 本发明实施例实质是利用了端口的光电互斥特性。这里的光电互斥是指单板在物理形态上支持光端口和电端口这两种模式,但是工作时只支持一种端口模式,即插了电端口之后光端口不可用,插了光端口之后电端口不可用。本发明实施例中,通过在BYPASS设备上同时设置可切换的光端口和电端口,利用光电互斥特性,使得BYPASS设备能够根据被保护设备的端口类型,选择应用相同的端口与之相匹配,因此,使得同一台BYPASS设备能够满足被保护设备是光端口或是电端口时提供BYPASS保护的应用,充分提高BYPASS设备的利用率,降低由于BYPASS设备仅具备一种端口类型,而与被保护设备的端口类型不同时无法提供BYPASS保护应用的缺陷。
[0054] 实施例二:
[0055] 本发明实施例提供了一种BYPASS设备,如图4所示,该设备可以包括:
[0056] 输入端口401,用于接收下行数据;
[0057] 输出端口402,用于输出上行数据;
[0058] 第一端口403,用于连接被保护设备的输入端口;
[0059] 第二端口404,用于连接被保护设备的输出端口;
[0060] 光电端口切换模块405,用于在正常传输模式下,将所述第一端口403切换到与所述被保护设备的输入端口的端口类型相同的端口,通过所述第一端口403,将所述输入端口401接收的下行数据传输至所述被保护设备;将所述第二端口404切换到与所述被保护设备的输出端口的端口类型相同的端口,通过所述第二端口404接收来自所述被保护设备的数据,并将所述接收的数据通过所述输出端口402输出,其中,所述端口类型包括电端口和光端口;
[0061] 所述光电端口切换模块405,还用于在BYPASS传输模式下,将所述输入端口401和输出端口402连接导通。
[0062] 通过上述实施例可见,根据被保护设备的端口类型,由光电端口切换模块开启BYPASS设备上相应的电端口或是光端口,使得BYPASS设备提供的端口类型与被保护设备的端口类型相同。
[0063] 本发明实施例通过在BYPASS设备上同时设置可切换的光端口和电端口,利用光电互斥特性,使得BYPASS设备能够根据被保护设备的端口类型,选择应用相同的端口与之相匹配,因此,同一台BYPASS设备能够满足被保护设备是光端口或是电端口时提供BYPASS保护的应用,充分提高BYPASS设备的利用率,降低由于BYPASS设备仅具备一种端口类型,而与被保护设备的端口类型不同时无法提供BYPASS保护应用的缺陷。
[0064] 需要说明的是,光电端口切换模块应当具备端口类型检测的功能,BYPASS设备的第一端口或第二端口与被保护设备的端口连接时,能够检测到被保护设备的端口类型,然后,BYPASS设备再进行端口的切换,例如:当检测到BYPASS设备的第一端口与之相连接的被保护设备的电端口处于在线状态时,光电端口切换模块将第一端口切换到电端口类型。
[0065] 此外,BYPASS设备上的第一端口和第二端口可以通过物理层PHY芯片实现。具体实施过程中,物理层PHY芯片可以选择百兆或千兆以太网物理层PHY芯片等形式。
[0066] 物理层PHY芯片在上电时通常默认的电端口有效,自动启用电口传输模式,而当被保护设备是光端口,该太网物理层PHY芯片连接被保护设备上的光端口,光路通道建立,光电端口切换模块采集到光端口信号有效后,即可切换光口数据传输模式,保证光端口有效。
[0067] 此外,所述光电端口切换模块可以为现场可编程门阵列(Field-Programmable Gate Array,FPGA),或者如图5所示,FPGA50通过媒体接入控制(Media Access Control,MAC)501和模拟开关(Multiplexer,MUX)502实现功能的切换,可以包括:
[0068] 媒体接入控制模块501,用于实现媒体接入控制;
[0069] 模拟开关模块502,用于在正常传输模式下,将所述第一端口切换到与所述被保护设备的输入端口的端口类型相同的端口,通过所述第一端口,将所述输入端口接收的下行数据传输至所述被保护设备;将所述第二端口切换到与所述被保护设备的输出端口的端口类型相同的端口,通过所述第二端口接收来自所述被保护设备的数据,并将所述接收的数据通过所述输出端口输出。
[0070] 可见,模拟开关模块能够在媒体接入控制下,根据被保护设备的端口类型,将数据通道切换至电口传输模式或者光口传输模式。
[0071] 为了便于对本发明实施例技术方案的充分理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
[0072] 图6所示为本发明实施例提供的一种光电互斥BYPASS设备的应用场景示意图。图中,被保护设备的两个端口均为电端口,分别为输入端口C1和输出端口C2;BYPASS设备上的端口分别为连接公网的输入端口N1(假设为电端口),连接私网的输出端口N2(假设为电端口),除此之外,BYPASS设备上还设置有分别连接被保护设备输入端口和输出端口的电端口A1、A2以及光端口B1、B2,其中,根据光电互斥特性,电端口A1和光端口B1针对某一被保护设备仅应用一个端口,同理,电端口A2和光端口B2针对某一被保护设备也是仅应用一个端口,例如,如图6所示,当被保护设备上的输入端口C1和输出端口C2均为电端口时,则BYPASS设备上开启与被保护设备相连接的端口分别为电端口A1和A2,光端口B1和B2暂时不工作。BYPASS设备上端口的选择开启由光电端口切换模块控制进行。在被保护设备正常的状况下,BYPASS设备从公网接收到的数据流经光电端口切换模块传输至被保护设备,该数据经由被保护设备处理,经由BYPASS设备上相匹配的接口传输至光电端口切换模块,后经由BYPASS设备上的输出端口传输至私网,该状态下BYPASS设备和被保护设备之间的数据的传输方向为N1→光电端口切换模块→A1→C1→C2→A2→光电端口切换模块→N2。当被保护设备出现故障的状况下,公网传输至私网的数据无法流经被保护设备,此时,光电端口切换模块控制BYPASS设备上的输入端口N1和输出端口N2连接导通,数据直接由输入端口N1输出至输出端口N2,实现数据的转发,该状态下BYPASS设备内部数据的传输方向为N2→N1。
[0073] 相应地,当被保护设备上的输入端口C1和输出端口C2均为光端口时,则BYPASS设备内部光电端口切换模块将开启光端口B1和B2,而电端口A1和A2暂时不工作。此时,在被保护设备正常的状况下,BYPASS设备和被保护设备之间的数据的传输方向为N1→光电端口切换模块→B1→C1→C2→B2→光电端口切换模块→N2;当被保护设备出现故障的状况下,BYPASS设备内部数据的传输方向仍为N2→N1,上述数据传输路径如图7所示。
[0074] 可见,通过对BYPASS设备上的光电端口进行切换,使得BYPASS设备能够满足不同端口类型的被保护设备的应用,为不同端口类型的被保护设备提供BYPASS保护。
[0075] 实施例三:
[0076] 相应于上述实施例,本发明实施例还提供了一种BYPASS实现系统,如图8所示,所述系统包括:BYPASS设备801和被保护设备802,其中,所述被保护设备802的端口为电端口或光端口;
[0077] 所述BYPASS设备801,用于在正常传输模式下,通过与所述被保护设备的输入端口的端口类型相同的端口,将下行数据传输至所述被保护设备;通过与所述被保护设备的输出端口的端口类型相同的端口,接收来自所述被保护设备的数据,并将所述接收的数据输出,其中,所述端口类型包括电端口和光端口;在BYPASS传输模式下,将接收到的下行数据直接输出。
[0078] 其中,需要说明的是,BYPASS设备通过设置物理层PHY芯片以同时具备光端口和电端口。具体实施过程中,物理层PHY芯片可以选择百兆或千兆以太网物理层PHY芯片等形式。
[0079] 此外,所述BYPASS设备根据被保护设备的端口类型,可以通过现场可编程门阵列进行光端口传输模式和电端口传输模式之间的切换。
[0080] 本发明实施例中,通过在BYPASS设备上同时设置可切换的光端口和电端口,利用光电互斥特性,使得BYPASS设备能够根据被保护设备的端口类型,选择应用相同的端口与之相匹配,因此,使得同一台BYPASS设备能够满足被保护设备是光端口或是电端口时提供BYPASS保护的应用,充分提高BYPASS设备的利用率,降低由于BYPASS设备仅具备一种端口类型,而与被保护设备的端口类型不同时无法提供BYPASS保护应用的缺陷。
[0081] 对于系统实施例而言,由于其基本相应于方法、装置实施例,所以描述得比较简单,相关之处参见方法和装置实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0082] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0083] 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明实施例的精神或范围的情况下,在其它实施例中实现。因此,本发明实施例将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。