TWI773394B - 用於基於vlan id的單向傳輸的通訊方法及使用其的交換器裝置 - Google Patents
用於基於vlan id的單向傳輸的通訊方法及使用其的交換器裝置 Download PDFInfo
- Publication number
- TWI773394B TWI773394B TW110122755A TW110122755A TWI773394B TW I773394 B TWI773394 B TW I773394B TW 110122755 A TW110122755 A TW 110122755A TW 110122755 A TW110122755 A TW 110122755A TW I773394 B TWI773394 B TW I773394B
- Authority
- TW
- Taiwan
- Prior art keywords
- port
- data packet
- address
- programmable logic
- packet
- Prior art date
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000004891 communication Methods 0.000 title claims abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 65
- 238000001914 filtration Methods 0.000 claims abstract description 22
- 238000013507 mapping Methods 0.000 claims description 85
- 238000012856 packing Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Near-Field Transmission Systems (AREA)
- Transceivers (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種用於基於VLAN ID的單向傳輸的通訊方法及交換器裝置。通訊方法包含:由交換器的第一埠自第一外部裝置接收第一資料封包;用對應於第一路徑的第一VLAN ID封裝第一資料封包以產生第二資料封包;由第一PLD自交換器的第三埠接收第二資料封包;由第一PLD根據第一過濾規則過濾第二資料封包;回應於第二資料封包與第一過濾規則匹配,藉由對應於第二路徑的第二VLAN ID重寫第一VLAN ID以產生第三資料封包;以及由第一PLD經由第二路徑將第三資料封包傳輸至交換器的第二埠。
Description
本揭露針對一種用於基於虛擬區域網路識別符(virtual local area network identifier;VLAN ID)的單向傳輸的通訊方法及交換器裝置。
為了防止安全場域(或OT場域:維運技術站operation technology site)被來自網際網路的電腦病毒或駭客攻擊,單向傳輸技術通常用於在安全場域與非安全場域(或IT場域:資訊技術站information technology site)之間進行資料傳輸。單向鏈路可限制訊號的方向,使得訊號可僅自安全場域傳輸至非安全場域,而訊號不可自非安全場域傳輸至安全場域。
圖1示出單向鏈路裝置90的示意圖。單向鏈路裝置90包含交換器91及單向鏈路電路92,其中交換器91耦接至單向鏈路電路92。單向鏈路電路92可為例如可程式化邏輯裝置。安全場域81中用於進行常規診斷或韌體更新程序的裝置(例如,裝置A
或裝置B)可能感染病毒。因此,如何防止安全場域81中的裝置彼此感染是所屬技術領域的重要問題。為了防止安全場域81中的裝置彼此感染,單向鏈路裝置90可安置於安全場域81與非安全場域82之間。單向鏈路裝置90的交換器91包含埠A、埠B以及埠C,其中埠A耦接至安全場域81中的裝置A,埠B耦接至安全場域81中的裝置B,且埠C耦接至單向鏈路電路92的輸入端。單向鏈路電路92的輸出端耦接至裝置C。來自埠C的資料可經由單向鏈路電路92傳輸至裝置C,但來自裝置C的資料不可經由單向鏈路電路92傳輸至埠C。因此,來自裝置A的資料可經由單向鏈路裝置90傳輸至裝置C,但來自裝置C的資料不可經由單向鏈路裝置90傳輸至裝置A。來自裝置B的資料可經由單向鏈路裝置90傳輸至裝置C,但來自裝置C的資料不可經由單向鏈路裝置90傳輸至裝置B。單向鏈路裝置90可配置成將裝置A與裝置B分離。由於裝置A不可與裝置B通訊,故若裝置A已被感染,則裝置A將不會感染裝置B,因此病毒或惡意程式無法分佈在安全場域81上。然而,在一些情況下,裝置A可能需要與裝置B交換資料,而單向鏈路裝置90無法解決此類問題。由於無法將資料自裝置C傳輸至裝置A(或裝置B),故裝置A及裝置B無法經由裝置C來交換資料。
防止安全場域81中的裝置彼此感染的另一方法為配置具有分別連接至裝置A、裝置B以及裝置C的大量乙太網埠的高端電腦(亦即,防火牆)。裝置A可經由高端電腦將資料封包傳輸至裝置B。高端電腦將檢查資料封包是否安全。若資料封包安全,則高端電腦會將資料封包轉送至裝置B。此方法將延遲裝置A與裝
置B之間的通訊,此是因為高端電腦需要為資料封包執行TCP/IP協定軟體。此外高端電腦也需要被保護。
因此,本揭露針對一種用於基於VLAN ID的單向傳輸的方法及交換器裝置。本揭露可防止安全場域中的裝置受同一安全場域的裝置或受非安全場域中的裝置攻擊。
本揭露針對一種用於基於虛擬區域網路識別符的單向傳輸的交換器裝置。交換器裝置包含管理型交換器及第一可程式化邏輯裝置。交換器包含第一埠、第二埠、第三埠以及控制器。第三埠配置成經由第一路徑耦接至第一埠且經由第二路徑耦接至第二埠。控制器耦接至第一埠、第二埠以及第三埠。第一可程式化邏輯裝置耦接至第三埠,其中第一埠自第一外部裝置接收第一資料封包;控制器用對應於第一路徑的第一虛擬區域網路識別符封裝第一資料封包以產生第二資料封包;第一可程式化邏輯裝置自第三埠接收第二資料封包且根據第一過濾規則過濾第二資料封包;回應於第二資料封包與第一過濾規則匹配,第一可程式化邏輯裝置藉由對應於第二路徑的第二虛擬區域網路識別符重寫第一虛擬區域網路識別符以產生第三資料封包;且第一可程式化邏輯裝置經由第二路徑將第三資料封包傳輸至第二埠,以便經由第二埠輸出第三資料封包。
在本發明的例示性實施例中,第二資料封包包含目的地位址,其中第一可程式化邏輯裝置儲存映射表,其中第一可程式化邏輯裝置回應於目的地位址與第二虛擬區域網路識別符之間的映
射關係記錄於映射表中,而藉由第二虛擬區域網路識別符重寫第一虛擬區域網路識別符。
在本揭露的例示性實施例中,第一可程式化邏輯裝置回應於目的地位址與第二虛擬區域網路識別符之間的映射關係未記錄於映射表中而丢棄第二資料封包。
在本揭露的例示性實施例中,第二資料封包更包含框檢查順序,其中第一可程式化邏輯裝置回應於藉由第二虛擬區域網路識別符重寫第一虛擬區域網路識別符而更新框檢查順序以產生第三資料封包。
在本揭露的例示性實施例中,第一埠自第一外部裝置接收位址查詢封包且將位址查詢封包傳輸至第三埠,其中位址查詢封包包含網際網路協定(Internet protocol;IP)位址;第一可程式化邏輯裝置自第三埠接收位址查詢封包且產生對應於位址查詢封包的回應封包;且第一可程式化邏輯裝置經由第三埠將回應封包傳輸至第一埠。
在本揭露的例示性實施例中,第一可程式化邏輯裝置儲存映射表,其中第一可程式化邏輯裝置藉由以下產生回應封包:回應於IP位址與MAC位址之間的映射關係記錄於映射表中而將回應封包的源位址設定為與IP位址相關聯的媒體存取控制(media access control;MAC)位址。
在本揭露的例示性實施例中,第一可程式化邏輯裝置藉由以下產生回應封包:經由第二埠向第二外部裝置廣播IP位址;回應於廣播IP位址而經由第二埠自第二外部裝置接收媒體存取控制(MAC)位址;以及將回應封包的源位址設定為MAC位址。
在本揭露的例示性實施例中,第一可程式化邏輯裝置儲存映射表,其中第一可程式化邏輯裝置回應於自第二外部裝置接收MAC位址而將IP位址與MAC位址之間的映射關係添加至映射表。
在本揭露的例示性實施例中,第一可程式化邏輯裝置進一步藉由以下產生回應封包:將回應封包的目標硬體位址設定為MAC位址。
在本揭露的例示性實施例中,第一過濾規則對應於埠編號或傳輸協定中的至少一者,其中傳輸協定包含Modbus協定、IEC 60870-5-101協定、分散式網路協定以及可程式化邏輯控制器協定中的一者。
本揭露針對一種用於基於虛擬區域網路識別符的單向傳輸的通訊方法。通訊方法包含:經由第一路徑耦接交換器的第一埠與交換器的第三埠,經由第二路徑耦接交換器的第二埠與第三埠,以及耦接第一可程式化邏輯裝置與第三埠;由第一埠自第一外部裝置接收第一資料封包;用對應於第一路徑的第一虛擬區域網路識別符封裝第一資料封包以產生第二資料封包;由第一可程式化邏輯裝置自第三埠接收第二資料封包;由第一可程式化邏輯裝置根據第一過濾規則過濾第二資料封包;回應於第二資料封包與第一過濾規則匹配,藉由對應於第二路徑的第二虛擬區域網路識別符重寫第一虛擬區域網路識別符以產生第三資料封包;以及由第一可程式化邏輯裝置經由第二路徑將第三資料封包傳輸至第二埠,以便經由第二埠輸出第三資料封包。
鑒於前述內容,本揭露可過濾用於安全場域中的多個裝
置之間的傳輸的資料封包,因此可保證傳輸的安全性。
為使前述內容更容易理解,以下結合圖式詳細描述若干實施例。
10:交換器裝置
11、12、13、14、15、16、17:路徑
40:封包格式
41、42:閘道
43、44、45、50:裝置
61、62:儲存裝置
81:安全場域
82:非安全場域
90:單向鏈路裝置
91、100:交換器
92:單向鏈路電路
110:控制器
200、300:可程式化邏輯裝置
P1、P2、P3、P4、P5、P6、P7:埠
S301、S302、S303、S304、S305、S306、S307、S308、S309、S310、0S311、S312、S501、S502、S503、S504、S505、S506、S507:步驟
包含隨附圖式以提供對本揭露的進一步理解,且隨附圖式併入於本說明書中且構成本說明書的一部分。圖式示出本揭露的例示性實施例,且與描述一起用於解釋本揭露的原理。
圖1示出單向鏈路裝置的示意圖。
圖2示出根據本揭露的實施例的交換器裝置的示意圖。
圖3示出根據本揭露的實施例的基於VLAN ID的通訊方法的流程圖。
圖4示出根據本揭露的實施例的封包格式的示意圖。
圖5示出根據本揭露的實施例的用於基於VLAN ID的單向傳輸的通訊方法的流程圖。
為了使本揭露更容易理解,下文將若干實施例描述為本揭露的實施的實例。此外,在適當的情況下,具有相同附圖標號的元件/組件/步驟在圖式及實施例中用於表示相同或類似部分。
圖2示出根據本揭露的實施例的交換器裝置10的示意圖。交換器裝置10可包含交換器(或管理型交換器)100、可程式化邏輯裝置(programmable logic device;PLD)200以及PLD 300。
交換器100可包含控制器110、埠P1(亦稱為「第一埠」)、
埠P2(亦稱為「第二埠」)、埠P3、埠P4、埠P5、埠P6(亦稱為「第四埠」)以及埠P7(亦稱為「第三埠」)。控制器110可藉由為埠中的每一者配置埠VLAN ID(port VLAN ID;PVID)判定交換器100的埠之間的路由路徑。此外,控制器110可將埠指派至VLAN ID群組。屬於同一VLAN ID群組的埠可彼此通訊。具體言之,若資料封包通過具有特定PVID的埠,則資料封包可由控制器110用對應於特定PVID的VLAN ID標記。交換器100或控制器110可根據資料封包的VLAN ID決定資料封包的路由路徑。在資料封包由另一埠接收之後,若VLAN ID尚未移除,則另一埠可基於儲存於資料封包的VLAN標記欄中的VLAN ID識別資料封包來自的路徑。
舉例而言,預設PVID(例如,PVID 1)可指派給交換器100的所有埠,使得交換器100的所有埠可彼此通訊。亦即,控制器110可將所有埠配置為彼此耦接。然而,最終路由路徑可取決於儲存於交換器100中的MAC位址表的目的地MAC位址。對於另一實例,為了將埠P1及埠P6指派給對應於VLAN ID 16的VLAN ID群組,控制器110可將埠P1及埠P6的PVID配置為對應於VLAN ID 16的PVID 16。亦即,控制器110可將埠P1配置為經由路徑16耦接至埠P6。因此,通過埠P1的資料封包可用VLAN ID 16標記,且控制器110可經由對應於VLAN ID 16的路徑16將資料封包自埠P1傳輸至埠P6。通常,只有在交換器內部傳輸的資料封包才會用PVID標記。當資料封包自交換器輸出至外部裝置時,將移除PVID標記。
控制器110可將埠P1的PVID指派給VLAN ID 11,且
可將埠P6及埠P7配置為加入VLAN ID 11群組。亦即,埠P1可經由路徑16耦接至埠P6且可經由路徑11耦接至埠P7,其中路徑11及路徑16屬於VLAN ID 11群組。埠P1可耦接至安置於安全場域81中的裝置,諸如閘道41(或代理伺服器41)。控制器110可將埠P2的PVID指派給VLAN ID 12,且可將埠P6及埠P7配置為加入VLAN ID 12群組。亦即,埠P2可經由路徑17耦接至埠P6且可經由路徑12耦接至埠P7,其中路徑12及路徑17屬於VLAN ID 12群組。埠P2可耦接至安置於安全場域81中的裝置,諸如閘道42(或代理伺服器42)。控制器110可將埠P3的PVID指派給VLAN ID 13,且可將埠P7配置為加入VLAN ID 13群組。亦即,埠P3可經由對應於VLAN ID 13群組的路徑13耦接至埠P7。埠P3可耦接至安置於安全場域81中的裝置,諸如裝置43,其中裝置43可包含多個電子裝置或多個感測器。控制器110可將埠P4的PVID指派給VLAN ID 14,且可將埠P7配置為加入VLAN ID 14群組。亦即,埠P4可經由對應於VLAN ID 14群組的路徑14耦接至埠P7。埠P4可耦接至安置於安全場域81中的裝置,諸如裝置44,其中裝置44可包含多個電子裝置或多個感測器。控制器110可將埠P5的PVID指派給VLAN ID 15,且可將配置埠P7配置為加入VLAN ID 15群組。亦即,埠P5可經由對應於VLAN ID 15群組的路徑15耦接至埠P7。埠P5可耦接至安置於安全場域81中的裝置,諸如裝置45,其中裝置45可包含多個電子裝置或多個感測器。
埠P6可耦接至PLD 300,且埠P6可經由埠P1或埠P2由裝置(例如,閘道)存取。埠P7可耦接至PLD 200。在一個實
施例中,若VLAN ID儲存於資料封包的VLAN標記欄中,則在將資料封包輸入至交換器100時控制器可不標記資料封包(由輸入時的VLAN ID決定路徑)。舉例而言,假定自PLD 200傳輸至埠P7的資料封包儲存VLAN ID。因此,資料封包在通過埠P7時就不用另一VLAN ID標記。亦即,自埠P7傳輸至交換器100的其他埠的資料封包的VLAN ID就不會被控制器110所改變而能由PLD 200決定。因此,埠P7的PVID不會影響交換器100的資料路由。在一個實施例中,埠P6至少已指派給VLAN ID 11群組及VLAN ID 12群組。埠P7至少已指派給VLAN ID 11群組、VLAN ID 12群組、VLAN ID 13群組、VLAN ID 14群組以及VLAN ID 15群組。由於資料封包將不經由埠P6輸入至交換器100,故埠P6的PVID不會影響交換器100的資料路由。
控制器110可為例如中央處理單元(central processing unit;CPU)、可程式化微處理器、數位訊號處理器(digital signal processor;DSP)、可程式化控制器、特殊應用積體電路(application specific integrated circuit;ASIC)、圖形處理單元(graphics processing unit;GPU)、PLD或其他類似元件或其組合。控制器110可耦接至埠P1、埠P2、埠P3、埠P4、埠P5、埠P6以及埠P7。控制器110可包含儲存媒體,其中儲存媒體可包含例如任何類型的固定或可移除隨機存取記憶體(random access memory;RAM)、唯讀記憶體(read-only memory;ROM)、快閃記憶體、硬式磁碟機(hard disk drive;HDD)、固態磁碟機(solid state drive;SSD)或類似元件或其組合,其配置成記錄由控制器110執行的多個模組或各種應用程式。
PLD 200(或PLD 300)可包含例如光纖、二極體電路、RJ45連接器、可程式化陣列邏輯(programmable array logic;PAL)、通用陣列邏輯(generic array logic;GAL)、複雜PLD(complex PLD;CPLD)、場可程式化閘陣列(field programmable gate array;FPGA)或類似元件或其組合。
安全場域81中的裝置可經由PLD 300將資料封包傳輸至非安全場域82中的裝置。舉例而言,若閘道42想要將資料封包傳輸至裝置50,則閘道42可經由埠P2、路徑17以及埠P6將資料封包傳輸至PLD 300,其中埠P6可將資料封包輸出至PLD 300。PLD 300可回應於自埠P6接收資料封包而將資料封包轉送至裝置50。具體而言,PLD 300可儲存第二過濾規則,其中第二過濾規則可限制訊號通過PLD 300的方向。根據第二過濾規則,PLD 300可將資料封包自交換器100(或埠P6)傳輸至安置於非安全場域82中的裝置50,但PLD 300不可將資料封包自裝置50傳輸至交換器100,其中裝置50可為電子裝置或伺服器。因此,資料封包不可自非安全場域82發送至安全場域81,因此安全場域81中的裝置將不受非安全場域82中的裝置攻擊。
在自埠P6接收資料封包之後,PLD 300可根據第二過濾規則過濾資料封包。若資料封包與第二過濾規則匹配,則PLD 300可判定將資料封包輸出至裝置50。若資料封包與第二過濾規則不匹配,則PLD 300可判定丢棄資料封包,或PLD 300可判定將資料封包傳輸至儲存裝置62以用於進一步分析,其中儲存裝置62可耦接至PLD 300。在一個實施例中,第二過濾規則可能與UDP埠編號或傳輸協定相關聯。舉例而言,第二過濾規則可包含埠P6
的UDP埠編號。若PLD 300判定由PLD 300接收的資料封包不包含與埠P6的UDP埠編號匹配的埠編號,則PLD 300可丢棄資料封包或將資料封包傳輸至儲存裝置62。在一個實施例中,傳輸協定可為單向協定,諸如使用者資料報協定(user datagram protocol;UDP)、即時傳輸協定(real time transport protocol;RTP)、簡單網路管理協定(simple network management protocol;SNMP)或路由資訊協定(routing information protocol;RIP)。
安全場域81中的裝置可經由PLD 200將資料封包傳輸至安全場域81中的另一裝置。舉例而言,若閘道41想要查詢來自裝置44的資料,則閘道41可經由埠P1、路徑11以及埠P7將資料封包傳輸至PLD 200,其中埠P7可將資料封包輸出至PLD 200。PLD 200可回應於自埠P7接收資料封包而將資料封包轉送至裝置44。具體言之,PLD 200可預儲存第一過濾規則,其中PLD 200可根據第一過濾規則過濾通過PLD 200的資料封包。若來自源裝置(亦即,閘道41)的資料封包與第一過濾規則匹配,則PLD 200可判定將資料封包轉送至資料封包的目標裝置(亦即,裝置44)。若來自源裝置的資料封包與第一過濾規則不匹配,則PLD 200可丢棄資料封包,或PLD 200可判定將資料封包傳輸至儲存裝置61以用於進一步分析,其中PLD 200可耦接至儲存裝置61。
在一個實施例中,第一過濾規則可能與TCP/UDP埠編號或傳輸協定相關聯。在一個實施例中,傳輸協定可為雙向協定,例如但不限於諸如Modbus協定、IEC 60870-5-104協定、分散式網路協定(distributed network protocol;DNP)或可程式化邏輯控制器(programmable logic controller;PLC)協定。舉例而言,第一
過濾規則可包含資料封包的TCP/UDP埠編號。若PLD 200判定由PLD 200接收的資料封包不包含與來自埠P7的資料封包的TCP/UDP埠編號匹配的埠編號,則PLD 200可丢棄資料封包或將資料封包傳輸至儲存裝置61。對於另一實例,第一過濾規則可能與DNP協定相關聯,其中支持DNP協定的資料封包可具有前置碼0x27、標頭0x05以及標頭0x64。PLD 200可藉由檢查資料封包的前置碼及標頭判定自埠P7接收的資料封包是否支持DNP協定。若PLD 200判定自埠P7接收的資料封包不支持DNP協定,則PLD 200可丢棄資料封包或將資料封包傳輸至儲存裝置61。對於另一實例,第一過濾規則可能與IEC 60870-5-104協定相關聯,其中支持IEC 60870-5-104協定的資料封包可具有前置碼0x68及結束碼0x16。PLD 200可藉由檢查資料封包的前置碼及結束碼判定自埠P7接收的資料封包是否支持IEC 60870-5-104協定。若PLD 200判定自埠P7接收的資料封包不支持IEC 60870-5-104協定,則PLD 200可丢棄資料封包或將資料封包傳輸至儲存裝置61。
基於IEEE 802.1Q的交換器可動態更新MAC位址表且可根據MAC位址表進行交換器的內部資料傳輸。控制器110可儲存交換器100的MAC位址表,其中MAC位址表可記錄埠與對應於耦接至埠的裝置的MAC位址之間的映射關係。舉例而言,若埠P1耦接至閘道41,則自閘道41傳輸至埠P1的資料封包可包含源位址,其中源位址可為閘道41的MAC位址。控制器110可自通過埠P1的資料封包擷取閘道41的MAC位址。接著,控制器110可根據閘道41的MAC位址更新MAC位址表,其中更新後的位址表可記錄埠P1與閘道41的MAC位址之間的映射關係。
然而,由於在交換器100的不同埠之間傳輸的所有資料封包需要經由埠P7轉送,故上文所提及的方法不適合於交換器100。具體言之,具有相同源位址的兩個資料封包可分別經由兩個不同埠發送至交換器100中。控制器110可能需要更新MAC位址表的先前記錄,或將兩個資料封包中的一者處理為畸形封包,其中畸形封包可由交換器100丢棄。舉例而言,若裝置44想要將資料封包傳輸至裝置45,則資料封包可自裝置44傳輸至PLD 200,其中資料封包的源位址可為裝置44的MAC位址。控制器110可更新MAC位址表以記錄裝置44的MAC位址與埠P4之間的映射關係。回應於自裝置44接收資料封包,PLD 200可根據第一過濾規則過濾資料封包。若資料封包與第一過濾規則匹配,則PLD 200可將資料封包傳輸至裝置45。由於資料封包的源位址仍然為裝置44的MAC位址,故控制器110可更新MAC位址表以記錄裝置44的MAC位址與埠P7之間的映射關係。因此,交換器100可考慮將埠P4及埠P7耦接至具有相同MAC位址的裝置。因此,控制器110需要藉由裝置44的MAC位址與埠P7之間的映射關係重寫裝置44的MAC位址與埠4之間的映射關係,或丢棄自埠P7(或自埠P4)傳輸的資料封包。具有相同MAC位址的多於一個的裝置分別耦接至交換器100的不同埠將破壞交換器技術的基本概念。
為了解決上文所提及的問題,本發明揭露一種基於VLAN ID進行交換器的內部資料傳輸的方法。圖3示出根據本公開的實施例的基於VLAN ID的通訊方法的流程圖,其中通訊方法可由如圖2中所繪示的交換器裝置10實施。假定閘道41想要將第一資料封包傳輸至裝置44。亦即,閘道41可為源裝置,且裝置44可
為目標裝置。
在步驟S301中,交換器100可自源裝置接收第一資料封包。舉例而言,若閘道41想要將第一資料封包傳輸至裝置44,則交換器100可經由埠P1自閘道41接收第一資料封包。
在步驟S302中,交換器100的控制器110可用對應於第一路徑的第一VLAN ID(亦即,埠的PVID)封裝第一資料封包以產生第二資料封包,且可將第二資料封包傳輸至PLD 200。舉例而言,控制器110可用對應於路徑11(亦即,第一路徑)的VLAN ID 11(亦即,埠P1的第一VLAN ID或PVID)封裝第一資料封包,從而產生第二資料封包,且控制器110可經由埠P1、路徑11以及埠P7將第二資料封包傳輸至PLD 200。控制器110可自預設表獲得VLAN ID 11,其中預設表可預儲存於控制器110中,且可包含VLAN ID與交換器100的路徑之間的映射關係。表1為預設表的實例。若進入交換器100的資料封包不包含VLAN ID,則控制器110可根據預設表使用VLAN ID封裝資料封包,其中VLAN ID可對應於資料封包將通過的路徑。若要求資料封包傳遞至非安全場域82,則僅埠P1(或閘道41)或埠P2(或閘道42)可基於VLAN ID 11或VLAN ID 12將資料封包傳輸至非安全場域82。傳遞至非安全場域的資料封包需要滿足安全性準則。舉例而言,傳遞至非安全場域82的資料封包可由閘道41或閘道42自雙向協定轉變成單向協定。
圖4示出根據本公開的實施例的封包格式40(例如,標準乙太網框)的示意圖。在交換器100內部傳輸的任何資料封包可基於封包格式40形成。舉例而言,控制器110可基於封包格式40封裝第一資料封包以產生第二資料封包。封包格式40可包含目的地位址欄、源位址欄、VLAN標記欄(例如,802.1Q標記欄)、類型/長度值欄(例如,乙太類型/長度值欄)、資料欄(或有效負載欄)以及框檢查順序(frame check sequence;FCS)欄。目的地位址欄可儲存諸如目標裝置的MAC位址的目的地位址。舉例而言,由於第二資料封包的目標裝置為裝置44,故第二資料封包的目的地位址欄可儲存裝置44的MAC位址。源位址欄可儲存諸如源裝置的MAC位址的源位址。舉例而言,由於第二資料封包的源裝置為閘道41,故第二資料封包的源位址欄可儲存閘道41的MAC位址。VLAN標記欄可儲存標記協定識別符(tag protocol identifier;TPID)、優先順序(priority;PRI)、正準格式指示符(canonical format indicator;CFI)或VLAN ID(亦即,VID)。舉例而言,控制器110可藉由修改第一資料封包的VLAN標記欄以記錄VLAN ID 11產生第二資料封包。類型/長度值欄可儲存資料封包的類型。舉例而言,在圖4中,若封包格式40對應於位址解析協定(address resolution protocol;ARP)資料封包,則類型/長度值欄可儲存「0x0806」。資料欄可儲存發送端硬體位址(例如,源裝置的MAC位址)、發送端協定位址(例如,源裝置的IP位址)、目標硬體位址(例如,目標裝置的MAC位址)或目標協定位址(例如,目標
裝置的IP位址)。舉例而言,第二資料封包的資料欄可包含閘道41的作為發送端硬體位址的MAC位址,閘道41的作為發送端協定位址的IP位址、裝置44的作為目標硬體位址的MAC位址以及裝置44的作為目標協定位址的IP位址。在一個實施例中,目標協定位址可為空白的。舉例而言,ARP查詢的目標協定位址可為空白的且ARP查詢的目的地位址可為廣播位址(例如,0xFF)。FCS欄可儲存對應於資料欄的FCS值(或循環冗餘檢測(cyclic redundancy check,CRC)碼)。FCS值可根據資料欄計算。若資料欄中的資料改變,則FCS值可相應地改變。舉例而言,回應於產生第二資料封包,控制器110可將第一資料封包的資料欄修改為包含VLAN ID 11。亦即,第二資料封包的FCS值應不同於第一資料封包的FCS值。控制器110可根據經修改的資料欄計算第二資料封包的FCS值。
返回參考圖3,在步驟S303中,回應於接收第二資料封包,PLD 200可判定第二資料封包是否為位址查詢封包(或ARP封包),其中位址查詢封包可為例如ARP查詢。具體言之,第二資料封包的資料欄可進一步儲存操作欄中的ARP指示符(例如,乙太類型「0x0806」)。ARP指示符可指示第二資料封包是否為位址查詢封包。回應於自埠P7接收第二資料封包,PLD 200可根據第二資料封包的操作欄判定第二資料封包是否為位址查詢封包(或ARP封包)。若第二資料封包為位址查詢封包,則前進至步驟S308。若第二資料封包並非位址查詢封包(或ARP封包),則前進至步驟S304。
在步驟S304中,PLD 200可過濾第二資料封包且判定第
二資料封包是否與映射表匹配。若第二資料封包與映射表匹配,則前進至步驟S306。若第二資料封包與映射表不匹配,則前進至步驟S305。具體而言,PLD 200可根據第一過濾規則過濾第二資料封包。第一過濾規則可能與TCP/UDP埠編號或傳輸協定相關聯。此外,過濾規則可包含映射表,其中映射表可包含MAC位址與VLAN ID之間的映射關係。在一個實施例中,映射表可更包含對應於MAC位址及VLAN ID的IP位址。PLD 200可回應於第二資料封包的目的地位址與第二資料封包的VLAN ID之間的映射關係記錄於映射表中而判定第二資料封包與映射表匹配。PLD 200可回應於第二資料封包的目的地位址與第二資料封包的VLAN ID之間的映射關係未記錄於映射表中而判定第二資料封包與映射表不匹配。表2為儲存於PLD 200中的映射表的實例,映射表可記錄閘道41的MAC位址與VLAN ID 11之間的映射關係。假定第二資料封包的資料欄儲存VLAN ID 11。PLD 200可判定若第二資料封包的源位址為閘道41的MAC位址,則第二資料封包與映射表匹配,且PLD 200可判定若第二資料封包的源位址並非閘道41的MAC位址,則第二資料封包與映射表不匹配。
在步驟S305中,PLD 200可丢棄第二資料封包或可將第二資料封包傳輸至儲存裝置61以用於進一步分析。
在步驟S306中,PLD 200可藉由對應於第二路徑的第二VLAN ID重寫第二資料封包的第一VLAN ID,從而產生第三資料封包,其中第二VLAN ID可對應於PLD 200與目標裝置之間的路徑。亦即,PLD 200可根據第二資料封包的目的地位址自映射表選擇第二VLAN ID。舉例而言,PLD 200可由VLAN ID 14重寫第二資料封包中的VLAN ID 11以產生第三資料封包,其中VLAN ID 14可對應於PLD 200與裝置44(亦即,目標裝置)之間的路徑14。
回應於藉由第二VLAN ID重寫資料欄的第一VLAN ID,PLD 200可根據更新後的資料欄重新計算第三資料封包的FCS值。換言之,PLD 200可更新第二資料封包的FCS值以產生第三資料封包。
在步驟S307中,PLD 200可將第三資料封包傳輸至目標裝置。舉例而言,PLD 200可經由埠P7、路徑14以及埠P4將第三資料封包傳輸至裝置44。
在步驟S308中,PLD 200可判定第二資料封包是否與映射表匹配。若第二資料封包與映射表匹配,則前進至步驟S312。若第二資料封包與映射表不匹配,則前進至步驟S309。具體而言,PLD 200可儲存映射表,其中映射表可包含MAC位址、IP位址以及VLAN ID之間的映射關係。若第二資料封包為位址查詢封包,則第二資料封包的發送端硬體位址、發送端協定位址以及目標協定位址可由源裝置填充,且源裝置可將第二資料封包的目標硬體位址留白。換言之,目標裝置的MAC位址對於第二資料封包為未知的。PLD 200可檢查目標裝置的IP位址與MAC位址之間的映
射關係是否記錄於映射表中。PLD 200可回應於目標裝置的IP位址與MAC位址之間的映射關係記錄於映射表中而判定第二資料封包與映射表匹配,且PLD 200可回應於目標裝置的IP位址與MAC位址之間的映射關係未記錄於映射表中而判定第二資料封包與映射表不匹配。
表3為儲存於PLD 200中的映射表的實例。可回應於由PLD 200接收的資料封包而添加映射表。IP位址、VLAN ID以及MAC位址可記錄於映射表中。舉例而言,在連接至交換器100之後,網路裝置可將廣播封包(例如,ARP回應)發佈至內部網路裝置(例如,耦接至交換器100的裝置),從而告知內部網路裝置網路裝置的硬體位址及軟體位址。回應於接收廣播封包,PLD 200可將網路裝置的IP位址與網路裝置的MAC位址之間的映射關係添加至映射表。在一個實施例中,自閘道41傳輸至PLD 200的第二資料封包可包含閘道41的MAC位址、閘道41的IP位址以及目標裝置的IP位址。PLD 200可判定目標裝置的IP位址與MAC位址之間的映射關係是否記錄於表3中。由於目標裝置的IP位址與裝置44的MAC位址之間的映射關係記錄於表3中,故PLD 200可判定目標裝置的IP位址對應於裝置44。因此,PLD 200可判定第二資料封包與映射表匹配。
表4為儲存於PLD 200中的映射表的實例。自閘道41傳輸至PLD 200的第二資料封包可包含閘道41的MAC位址、閘道
41的IP位址以及目標裝置的IP位址。PLD 200可判定目標裝置的IP位址與MAC位址之間的映射關係是否記錄於表4中。由於目標裝置的IP位址與MAC位址之間映射關係未記錄於表4中,故PLD 200可判定第二資料封包與映射表不匹配。
在步驟S309中,PLD 200可將目標裝置的IP位址廣播至耦接至交換器100的一或多個外部裝置。舉例而言,PLD 200可複製第二資料封包以產生多個廣播資料封包,其中廣播資料封包中的每一者可包含目標裝置的IP位址及專用VLAN ID。亦即,不同廣播資料封包可具有不同VLAN ID。舉例而言,PLD 200可根據第二資料封包產生廣播資料封包且經由埠P4將廣播資料封包傳輸至裝置44,其中廣播資料封包可包含目標裝置的IP位址及VLAN ID 14。類似地,PLD 200可根據第二資料封包產生廣播資料封包且經由埠P3將廣播資料封包傳輸至裝置43,其中廣播資料封包可包含目標裝置的IP位址及VLAN ID 13。PLD 200可根據第二資料封包產生廣播資料封包且經由埠P2將廣播資料封包傳輸至閘道42,其中廣播資料封包可包含目標裝置的IP位址及VLAN ID 12。PLD 200可根據第二資料封包產生廣播資料封包且經由埠P5將廣播資料封包傳輸至裝置45,其中廣播資料封包可包含目標裝置的IP位址及VLAN ID 15。
在步驟S310中,PLD 200可回應於廣播目標裝置的IP位址而自目標裝置(亦即,裝置44)接收MAC位址,且PLD 200可
產生對應於第二資料封包(亦即,位址查詢封包)的回應封包,其中目標裝置為接收廣播資料封包的一或多個外部裝置中的一者。具體言之,假定包含於廣播資料封包中的目標的IP位址等於裝置44的IP位址。亦即,裝置44為第二資料封包的目標裝置。因此,裝置44可回應於接收廣播資料封包而經由埠P4、路徑14以及埠P7將裝置44的MAC位址傳輸至PLD 200。在接收裝置44的MAC位址之後,PLD 200可將回應封包的源位址設定為接收到的MAC位址。舉例而言,PLD 200可將回應封包的源位址設定為裝置44的MAC位址。另外,PLD 200可將回應封包的目的地位址設定為第二資料封包的源位址。舉例而言,第二資料封包可包含閘道41的作為源位址的MAC位址。PLD 200可將回應封包的目的地位址設定為閘道41的MAC位址。此外,PLD 200可將回應封包的目標硬體位址設定為接收到的MAC位址,其中目標硬體位址包含於回應封包的資料欄中,且目標硬體位址為尚未填充於第二資料封包中的資訊。舉例而言,PLD 200可將回應封包的目標硬體位址設定為裝置44的MAC位址,其中裝置44的MAC位址尚未儲存於第二資料封包中。
在一個實施例中,回應於自目標裝置接收MAC位址,PLD 200可將目標裝置的IP位址與目標裝置的MAC位址之間的映射關係添加至映射表。舉例而言,假定目前儲存於PLD 200中的映射表為表4。回應於自裝置44接收MAC位址作為廣播資料封包的反饋,PLD 200可判定目標裝置的IP位址對應於裝置44的MAC位址。因此,PLD 200可將目標裝置的IP位址與裝置44的MAC位址之間的關係添加至表4。因此,表4可由PLD 200修改
為表3。
在步驟S311中,PLD 200可將回應封包傳輸至源裝置(亦即,閘道41),其中回應封包可為對應於ARP查詢的ARP回應。具體言之,PLD 200可經由埠P7、路徑11以及埠P1將回應封包傳輸至閘道41。
在步驟S312中,PLD 200可根據映射表產生對應於第二資料封包(亦即,位址查詢封包)的回應封包。具體言之,PLD 200可將回應封包的源位址設定為與目標裝置的IP位址相關聯的MAC位址。以表3作為實例,回應於目標裝置的IP位址與裝置44的MAC位址之間的映射關係記錄於表3中,PLD 200可判定目標裝置的IP位址與裝置44的MAC位址相關聯。因此,PLD 200可根據映射表將回應封包的源位址設定為裝置44的MAC位址。亦即,目標裝置的IP位址可能不需要廣播至實際目標裝置(亦即,裝置44),從而獲得目標裝置的MAC位址。在自源裝置接收ARP查詢之後,PLD 200可基於所建立的映射表產生對應於ARP查詢的ARP回應。可省略複製ARP查詢或廣播ARP查詢的步驟。因此,源裝置可在較短時間內獲得目標裝置的IP位址。
另外,PLD 200可將回應封包的目的地位址設定為第二資料封包的源位址。舉例而言,第二資料封包可包含閘道41的作為源位址的MAC位址。PLD 200可將回應封包的目的地位址設定為閘道41的MAC位址。此外,PLD 200可將回應封包的目標硬體位址設定為與目標裝置的IP位址相關聯的MAC位址,其中目標硬體位址包含於回應封包的資料欄中,且目標硬體位址為尚未填充於第二資料封包中的資訊。舉例而言,PLD 200可判定裝置44
的MAC位址與目標裝置的IP位址相關聯。因此,PLD 200可將回應封包的目標硬體位址設定為裝置44的MAC位址。
圖5示出根據本公開的實施例的用於基於VLAN ID的單向傳輸的通訊方法的流程圖,其中通訊方法可由如圖1中所繪示的交換器裝置10實施。在步驟S501中,經由第一路徑耦接交換器的第一埠與交換器的第三埠,經由第二路徑耦接交換器的第二埠與第三埠以及耦接第一可程式化邏輯裝置與第三埠。在步驟S502中,由第一埠自第一外部裝置接收第一資料封包。在步驟S503中,用對應於第一路徑的第一虛擬區域網路識別符封裝第一資料封包以產生第二資料封包。在步驟S504中,由第一可程式化邏輯裝置自第三埠接收第二資料封包。在步驟S505中,由第一可程式化邏輯裝置根據第一過濾規則過濾第二資料封包。在步驟S506中,回應於第二資料封包與第一過濾規則匹配,藉由對應於第二路徑的第二虛擬區域網路識別符重寫第一虛擬區域網路識別符以產生第三資料封包。在步驟S507中,由第一可程式化邏輯裝置經由第二路徑將第三資料封包傳輸至第二埠,以便經由第二埠輸出第三資料封包。
綜上所述,本揭露可藉由將交換器裝置而不是高端電腦配置為連接安全場域及非安全場域來降低安全場域與非安全場域之間的單向傳輸的延遲。與高端電腦相比,當使用預先定義協定轉送資料封包時,交換器裝置可能不需要擷取資料封包的所有內容(例如,資料封包的通訊協定堆疊的每一層)。交換器裝置可包含可過濾用於安全場域中的裝置之間的傳輸的資料封包的PLD。在將經過濾的資料封包轉送至目的地之前,PLD可更新資料封包的
VLAN ID,從而防止資料封包破壞由交換器的位址表定義的規則。另一方面,PLD可建立或更新包含目標裝置的IP位址與MAC位址之間的映射關係的映射表(例如,ARP表)。若源裝置將ARP查詢傳輸至目標裝置,則PLD可向目標裝置的源裝置回覆ARP回應。因此,ARP查詢可能不需要轉送至目標裝置且源裝置可在較短時間內得到目標裝置的MAC位址。
用於本申請案的所揭露實施例的詳細描述中的元件、動作或指令不應被解釋為對本揭露來說為絕對關鍵或必要的,除非明確地如此描述。此外,如本文中所使用,不定冠詞「一(a)」及「一個(an)」中的每一者可包含多於一個項目。若僅預期一個項目,則將使用術語「單一」或類似語言。此外,如本文中所使用,在多個項目及/或多個項目類別的列表之前的術語「中的任一者」意欲包含所述項目及/或所述項目類別(個別地或結合其他項目及/或其他項目類別)「中的任一者」、「的任何組合」、「中的任何多個」及/或「中的多個的任何組合」。此外,如本文中所使用,術語「集合」意欲包含任何數目個項目,包含零個。此外,如本文中所使用,術語「數目」意欲包含任何數目,包含零個。
所屬技術領域中具通常知識者將顯而易見,可在不脫離本揭露的範疇或精神的情況下,對所揭露實施例作出各種修改及變化。鑒於前述,本揭露意欲涵蓋修改及變化,其限制條件為所述修改及變化在隨附申請專利範圍及其等效物內。
S501、S502、S503、S504、S505、S506、S507:步驟
Claims (11)
- 一種用於基於虛擬區域網路識別符的單向傳輸的交換器裝置,包括: 交換器,包括: 第一埠; 第二埠; 第三埠,配置成經由第一路徑耦接至所述第一埠且經由第二路徑耦接至所述第二埠;以及 控制器,耦接至所述第一埠、所述第二埠以及所述第三埠;以及 第一可程式化邏輯裝置,耦接至所述第三埠,其中 所述第一埠自第一外部裝置接收第一資料封包; 所述控制器用對應於所述第一路徑的第一虛擬區域網路識別符封裝所述第一資料封包以產生第二資料封包; 所述第一可程式化邏輯裝置自所述第三埠接收所述第二資料封包且根據第一過濾規則過濾所述第二資料封包; 回應於所述第二資料封包與所述第一過濾規則匹配,所述第一可程式化邏輯裝置藉由對應於所述第二路徑的第二虛擬區域網路識別符重寫所述第一虛擬區域網路識別符以產生第三資料封包;且 所述第一可程式化邏輯裝置經由所述第二路徑將所述第三資料封包傳輸至所述第二埠,以便經由所述第二埠輸出所述第三資料封包。
- 如請求項1所述的交換器裝置,其中所述第二資料封包包括目的地位址,其中所述第一可程式化邏輯裝置儲存映射表,其中 所述第一可程式化邏輯裝置回應於所述目的地位址與所述第二虛擬區域網路識別符之間的映射關係記錄於所述映射表中而藉由所述第二虛擬區域網路識別符重寫所述第一虛擬區域網路識別符。
- 如請求項2所述的交換器裝置,其中所述第一可程式化邏輯裝置回應於所述目的地位址與所述第二虛擬區域網路識別符之間的所述映射關係未記錄於所述映射表中而丟棄所述第二資料封包。
- 如請求項2所述的交換器裝置,其中所述第二資料封包更包括框檢查順序,其中所述第一可程式化邏輯裝置回應於藉由所述第二虛擬區域網路識別符重寫所述第一虛擬區域網路識別符而更新所述框檢查順序以產生所述第三資料封包。
- 如請求項1所述的交換器裝置,其中 所述第一埠自所述第一外部裝置接收位址查詢封包且將所述位址查詢封包傳輸至所述第三埠,其中所述位址查詢封包包括網際網路協定位址; 所述第一可程式化邏輯裝置自所述第三埠接收所述位址查詢封包且產生對應於所述位址查詢封包的回應封包;且 所述第一可程式化邏輯裝置經由所述第三埠將所述回應封包傳輸至所述第一埠。
- 如請求項5所述的交換器裝置,其中所述第一可程式化邏輯裝置儲存映射表,其中所述第一可程式化邏輯裝置藉由以下產生所述回應封包: 回應於所述網際網路協定位址與媒體存取控制位址之間的映射關係記錄於所述映射表中而將所述回應封包的源位址設定為與所述網際網路協定位址相關聯的所述媒體存取控制位址。
- 如請求項5所述的交換器裝置,其中所述第一可程式化邏輯裝置藉由以下產生所述回應封包: 經由所述第二埠將所述網際網路協定位址廣播至第二外部裝置; 回應於廣播所述網際網路協定位址而經由所述第二埠自所述第二外部裝置接收媒體存取控制位址;以及 將所述回應封包的源位址設定為所述媒體存取控制位址。
- 如請求項7所述的交換器裝置,其中所述第一可程式化邏輯裝置儲存映射表,其中所述第一可程式化邏輯裝置回應於自所述第二外部裝置接收所述媒體存取控制位址而將所述網際網路協定位址與所述媒體存取控制位址之間的映射關係添加至所述映射表。
- 如請求項6所述的交換器裝置,其中所述第一可程式化邏輯裝置進一步藉由以下產生所述回應封包: 將所述回應封包的目標硬體位址設定為所述媒體存取控制位址。
- 如請求項1所述的交換器裝置,其中所述第一過濾規則對應於埠編號或傳輸協定中的至少一者,其中所述傳輸協定包括Modbus協定、IEC 60870-5-104協定、分散式網路協定以及可程式化邏輯控制器協定中的一者。
- 一種基於虛擬區域網路識別符的單向傳輸的通訊方法,包括: 經由第一路徑耦接交換器的第一埠與所述交換器的第三埠,經由第二路徑耦接所述交換器的第二埠與所述第三埠以及耦接第一可程式化邏輯裝置與所述第三埠; 由所述第一埠自第一外部裝置接收第一資料封包; 用對應於所述第一路徑的第一虛擬區域網路識別符封裝所述第一資料封包以產生第二資料封包; 由所述第一可程式化邏輯裝置自所述第三埠接收所述第二資料封包; 由所述第一可程式化邏輯裝置根據第一過濾規則過濾所述第二資料封包; 回應於所述第二資料封包與所述第一過濾規則匹配,藉由對應於所述第二路徑的第二虛擬區域網路識別符重寫所述第一虛擬區域網路識別符以產生第三資料封包;以及 由所述第一可程式化邏輯裝置經由所述第二路徑將所述第三資料封包傳輸至所述第二埠,以便經由所述第二埠輸出所述第三資料封包。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163137761P | 2021-01-15 | 2021-01-15 | |
| US63/137,761 | 2021-01-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI773394B true TWI773394B (zh) | 2022-08-01 |
| TW202231031A TW202231031A (zh) | 2022-08-01 |
Family
ID=83782454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110122755A TWI773394B (zh) | 2021-01-15 | 2021-06-22 | 用於基於vlan id的單向傳輸的通訊方法及使用其的交換器裝置 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI773394B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020009083A1 (en) * | 2000-06-09 | 2002-01-24 | Broadcom Corporation | Gigabit switch with multicast handling |
| US7706433B2 (en) * | 2002-03-21 | 2010-04-27 | Broadcom Corporation | Physical layer device having an analog SERDES pass through mode |
| TW201519607A (zh) * | 2013-09-25 | 2015-05-16 | Cavium Inc | 具有虛擬化的計算資源和交換資源的半導體 |
-
2021
- 2021-06-22 TW TW110122755A patent/TWI773394B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020009083A1 (en) * | 2000-06-09 | 2002-01-24 | Broadcom Corporation | Gigabit switch with multicast handling |
| US7706433B2 (en) * | 2002-03-21 | 2010-04-27 | Broadcom Corporation | Physical layer device having an analog SERDES pass through mode |
| TW201519607A (zh) * | 2013-09-25 | 2015-05-16 | Cavium Inc | 具有虛擬化的計算資源和交換資源的半導體 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202231031A (zh) | 2022-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2735725C1 (ru) | Способ и устройство обработки и отправки пакетов, узел pe и узел | |
| US7996894B1 (en) | MAC address modification of otherwise locally bridged client devices to provide security | |
| TWI646804B (zh) | 用於經由封包中繼外部化網路功能之系統與方法 | |
| KR102251661B1 (ko) | 논리적 라우터 | |
| US10148459B2 (en) | Network service insertion | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| CN106713103B (zh) | 用于虚拟和物理网络集成的方法和系统 | |
| US9414136B2 (en) | Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCoE-to-FC gateway | |
| RU2544766C2 (ru) | Способ, устройство и система маршрутизации данных между сегментами сетей | |
| CN116032836A (zh) | 在公共云中智能地使用对等 | |
| US20170085478A1 (en) | Methods, systems and apparatus for the interconnection of fibre channel over ethernet devices | |
| US12166602B2 (en) | Methods and systems for processing network packets using a service device in a smart switch | |
| US11477048B2 (en) | Communication method for one-way transmission based on VLAN ID and switch device using the same | |
| WO2013063791A1 (en) | Nat/firewall accelerator | |
| US20150200848A1 (en) | Single Hop Overlay Architecture for Line Rate Performance in Campus Networks | |
| CN111083158B (zh) | 一种通过两单向网闸进行双向报文传输的处理方法及系统 | |
| TWI773394B (zh) | 用於基於vlan id的單向傳輸的通訊方法及使用其的交換器裝置 | |
| CN118041859B (zh) | 一种vxlan转发表自学习方法 | |
| CN109818869A (zh) | 组播流量转发端口的生成方法及相关设备 | |
| US20240129080A1 (en) | Methods and systems for selectively applying a transform to a packet | |
| US11637775B2 (en) | Methods and systems for location identifier based forwarding | |
| CN116962369A (zh) | 一种投屏控制方法、装置、投屏设备及播放设备 | |
| TW202218393A (zh) | 用於單向傳輸的交換裝置 | |
| US12381709B2 (en) | Systems and methods for flow configuration syncing between network infrastructure devices | |
| US20240354447A1 (en) | Methods and systems for running secure pipeline tasks and insecure pipeline tasks in the same hardware entities |