PROCEDIMIENTO PARA EL AISLAMIENTO DE SEGURIDAD DE SERVICIOS DE RED ETHERNET.

Procedimiento para el aislamiento de seguridad de servicios de red Ethernet Campo técnico La presente invención se refiere a un procedimiento para el aislamiento de seguridad de servicios de Ethernet, particularmente a la realización de una Red Privada Virtual (VPN) sobre Ethernet de Capa 2, que es utilizado por los proveedores de servicios de telecomunicaciones para proporcionar servicios de Ethernet. Antecedentes de la invención ES 2 367 629 T3 Ethernet se aplicó originalmente en red de área local (LAN), cuyos usuarios son principalmente usuarios los internos de una empresa, lo que significa que el número de usuarios es más bien pequeño. Cuando el número de usuarios es mayor, se utiliza mayor nivel de equipamiento para realizar la conexión de una pluralidad de redes Ethernet. Con el rápido desarrollo y la extensa aplicación de Ethernet, también se aplica a la red de área ancha (WAN). Para cumplir con la exigencia de un mayor desarrollo, VLAN (en referencia a IEEE 802.1Q) se introduce en la tecnología de Ethernet. VLAN se utiliza para el aislamiento de seguridad para restringir el área de difusión de los datos. El documento de solicitud de patente EP1318631A2 divulga los procedimientos de resolución de direcciones utilizados en la red privada virtual (VPN). Según este documento, se transmite un mensaje de petición de resolución de dirección por un primer dispositivo de borde cliente (CE) en los circuitos virtuales de capa 2 de su interfaz de borde proveedor (PE). El mensaje de petición de resolución de direcciones incluye la dirección de capa 3 asignada a un segundo dispositivo CE de la VPN. En respuesta a la recepción del mensaje de petición de este tipo en el segundo dispositivo CE, se devuelve un mensaje de respuesta de a resolución de dirección al primer dispositivo CE. En respuesta a la recepción de este mensaje de respuesta, el primer dispositivo CE cartografía la dirección de capa 3 asignada al segundo dispositivo CE a un identificador de LAN virtual del circuito virtual de capa 2 en el que se recibe el mensaje de respuesta. El documento US2003110268A1 divulga un servicio de red privada virtual (VPN) prestado a través de una infraestructura de red compartida que incluye dispositivos interconectados de borde proveedor (PE) que tienen interfaces de borde cliente (CE). Algunas de las interfaces CE se asignan a una VPN que soporta LAN virtuales. Una correspondencia entre una interfaz CE y una LAN virtual se aprende sobre la base de tramas etiquetadas recibida en esta interfaz CE y que incluye un identificador de esta LAN virtual. El proceso de aprendizaje permite la detección de pares de interfaces CE que corresponden a una LAN virtual común. Cuando se da tal detección, se establece un circuito virtual en la infraestructura de red compartida entre los dispositivos PE que tienen estas interfaces CE, y posteriormente se utiliza para las tramas de envío que incluyen el identificador de la VLAN virtual común El documento US2003037163A1 divulga un procedimiento de comunicación: el procesamiento para la designación de un proveedor de servicio, autenticación de usuarios y asignación de direcciones IP, se realiza intercambiando tramas de gestión entre un terminal de usuario y un proveedor de servicios a través de una red de acceso; y las principales tramas de señal tienen cada una una forma de IPOE y que contiene una dirección de fuente de capa 2 del terminal de usuario se intercambian entre el terminal del usuario y el proveedor de servicios a través de la red de acceso. Las tramas de gestión tienen una forma que puede ser objeto de discriminación por parte de las principales tramas de señal en la Capa 2, y la red de acceso contiene información sobre correspondencias entre direcciones de fuente de Capa 2 y redes privadas virtuales. La red de acceso reconoce una de las redes privadas virtuales conectadas al proveedor de servicios, sobre la base de la dirección fuente de capa 2 contenida en cada trama principal de señal, y transfiere las tramas principales de señal a la Capa 2 por puentes MAC. El documento EP1244254A divulga un sistema de clasificación VLAN y de etiquetado para un nodo de conmutación. Durante la clasificación VLAN, se asigna un paquete de entrada se asigna a una VLAN de acuerdo con un modo de clasificación seleccionable a partir de modos, PASO, FUERZA y PROTOCOLO. En el modo PASO, el paquete es asignado a una VLAN asociada con un ID de VLAN del paquete. En el modo FUERZA, el paquete es asignado a una VLAN asociada con un puerto de entrada. En el modo PROTOCOLO, el paquete es asignado a una VLAN asociada con un tipo de protocolo del paquete. Durante el etiquetado de VLAN, se modifica o no un identificador de VLAN en un paquete de salida de acuerdo con un modo de etiquetado seleccionable desde un modo PASO, FUERZA y ELIMINAR. En el modo de PASO, el ID de VLAN en el paquete se mantiene tal como se recibió. En el modo FUERZA, el ID de VLAN en el paquete se sustituye por un ID de VLAN en el cual se clasificó en el paquete entrante. En modo ELIMINAR, el ID de VLAN del paquete se elimina sin sustitución. Sin embargo, la reciente introducción de la tecnología VLAN está orientada hacia la empresa, la cual es eficaz y eficiente para la Ethernet de una empresa. Si un proveedor de servicios utiliza una VLAN para realizar aislamiento 2 de seguridad de los servicios de Ethernet en la prestación de servicios a varias empresas, se producirán los siguientes problemas: - la configuración de VLAN proporcionada por el proveedor de servicio puede configuración original de la empresa VLAN; - una empresa tiene muchos servicios VLAN, algunos de los cuales antemano; entrar en conflicto con la no tiene una identificación válida de - demasiados ajustes de VLAN podrían hacer que la administración fuese demasiado complicada o incluso no administrable; - hay un número limitado de ID simultáneamente, las cuales son insuficiente de VLAN; de VLAN, teóricamente, un dispositivo puede soportar 4.096 VLAN compartidas por todos los usuarios, dando como resultado un número - la tecnología de conmutación de capa 2 que emplea VLAN solamente lleva a cabo el aislamiento de datos, pero no aplica realmente todo el puente virtual en la tabla de direcciones MAC, y - dos interfaces en dispositivos tradicionales de capa 2 no se pueden conectar en bucle, lo cual es menos es menos mensurable. Sumario de la invención El objetivo de la presente invención es solucionar el problema de que la aplicación de VLAN se limita a Al servicio de Ethernet a una sola empresa, solucionar el problema de aislamiento de seguridad al que se enfrentan los proveedores de servicios cuando prestan servicios de Ethernet/VLAN a una pluralidad de empresas, y proporcionar un procedimiento para realizar tecnología VPN sobre Ethernet de capa 2. Con este procedimiento, la invención puede proporcionar un puente virtual completo para hacer que la transferencia de datos sea transparente y mejorar la capacidad operativa y la mensurabilidad de los servicios Ethernet. La solución técnica de la presente invención es como sigue: Un procedimiento para realizar aislamiento de seguridad de servicios de Ethernet, que comprende las siguientes etapas: 1) añadir un segmento adicional en una trama Ethernet para identificar diferentes servicios de usuario, el segmento consiste en n bytes y n tiene un valor ligado al formato del segmento; 2) introducir un servicio de usuario en las redes de datos de un proveedor de servicios, y añadir un ID de usuario al segmento adicional de la trama Ethernet que soporta el servicio de usuario; 3) procesar conmutación/ruta; ES 2 367 629 T3 4) borrar el ID de usuario y restablecer la trama Ethernet cuando el servicio de usuario sale de las redes de datos, en las cuales cuando el servicio de usuario es procesado en alguna interfaz física, el ID de usuario del servicio de usuario se compara con el ID de usuario de la interfaz física, si los dos ID coinciden, el servicio de usuario quedará garantizado, de otro modo se descartará el servicio. En la etapa 2), el servicio de usuario que entra en una interfaz física se marca con un cierto formato por un ID de usuario asignado a la interfaz física que conecta el servicio de usuario. En la etapa 3), basado en el ID de usuario, se mantiene una única tabla de direcciones MAC para cada ID de usuario mediante el aprendizaje y la búsqueda de direcciones MAC, se genera un único árbol de expansión en la interfaz física incluida en cada ID de usuario para formar un puente virtual real, en dichos puente virtual, las direcciones MAC idénticas se pueden utilizar en tablas de direcciones MAC de diferentes ID de usuario. En la etapa 3), se genera un único árbol de expansión para cada ID de usuario para evitar una tormenta de difusión. En la etapa 3), los usos de ID de VLAN para diferentes ID de usuario están completamente aislados, y un usuario... [Seguir leyendo]

1.- Procedimiento para realizar aislamiento de seguridad de servicios de Ethernet, caracterizado porque comprende: (1) añadir un segmento adicional en una trama Ethernet para identificar diferentes servicios de usuario, consistiendo el segmento en n bytes y teniendo n un valor ligado al formato del segmento; (2) introducir un servicio de usuario en redes de datos de un proveedor de servicios, y añadir un ID de usuario al segmento adicional de la trama Ethernet que soporta el servicio de usuario; (3) procesar conmutación/ruta; y ES 2 367 629 T3 (4) borrar el ID de usuario y restablecer la trama Ethernet cuando el servicio de usuario sale de las redes de datos, en las cuales cuando el servicio de usuario es procesado en alguna interfaz física, el ID de usuario del servicio de usuario se compara con el ID de usuario de la interfaz física, si los dos ID coinciden, el servicio de usuario quedará garantizado, de otro modo se descartará el servicio. 2.- Procedimiento según la reivindicación 2, en el cual el servicio de usuario que entra en una interfaz física se marca con un cierto formato por un ID de usuario asignado a la interfaz física que conecta el servicio de usuario. 3.- Procedimiento según la reivindicación 1 o 2, en el cual en la etapa (3): basado en los ID de usuario, se mantiene una única tabla de direcciones MAC para cada ID de usuario mediante el aprendizaje y la búsqueda de direcciones MAC; se genera un único árbol de expansión en la interfaz física incluida en cada ID de usuario para formar un puente virtual real; en dicho puente virtual, las direcciones MAC idénticas se pueden utilizar en tablas de direcciones MAC de diferentes ID de usuario. 4.- Procedimiento según la reivindicación 1, en el cual en la etapa 3): se genera un único árbol de expansión para cada ID de usuario para evitar una tormenta de difusión. 5.- Procedimiento según la reivindicación 1, en el cual en la etapa 3): los usos de ID de VLAN para diferentes ID de usuario están completamente aislados, y un usuario usa ID de VLAN para realizar el aislamiento de red interna. 6.- Procedimiento según la reivindicación 5, en el cual en la etapa 3): en las interfaces físicas que conectan el servicio de usuario, el aislamiento de servicio interno se fija según que el ID de VLAN sea o no utilizado mediante la elección de vías de utilización del ID de VLAN a través de la gestión de red. 7.- Procedimiento según la reivindicación 1, en el cual en la etapa 3): se proporciona un modo de servicio multidifusión única para cada ID de usuario, en el cual el modo de servicio de multidifusión comprende un modo de protocolo de multidifusión dinámica y un modo de configuración de multidifusión estática; el modo de protocolo de multidifusión dinámica significa que una interfaz de servicio en el servicio de multidifusión es determinado por el protocolo de multidifusión dinámica, y el protocolo de multidifusión dinámica comprende el protocolo ICMP y el protocolo GMRP( Véase RFC 2236 e IEEE 802.1q); el modo de configuración multidifusión estática determina la interfaz de servicios en el servicio de multidifusión por configuración manual del usuario mediante gestión de red. 8.- Procedimiento según la reivindicación 7, en el cual en la etapa 3) cada ID de usuario configura el modo de servicio de multidifusión por la gestión de red, y el modo de servicio a seleccionar incluye el modo de protocolo multidifusión dinámica y el modo de configuración multidifusión estática. 9.- Procedimiento según la reivindicación 1, en el cual en la etapa 2) un ID de usuario es asignado a cada interfaz física, cuando se introduce en la interfaz, se marca un servicio mediante un ID de usuario. El ID de usuario permanece sin cambios en toda la red hasta que el servicio salga de la interfaz y alcanza un dispositivo de usuario, y a continuación el ID se elimina y finalmente el servicio alcanza el dispositivo de usuario, con lo cual el servicio se transfiere de manera transparente. 7 ES 2 367 629 T3 10.- Procedimiento según la reivindicación 1, en el cual el segmento adicional en la trama de Ethernet usa un formato que incluye formato compatible con MPLS, formato VLAN apilable o formato personalizado para realizar una conexión entre una pluralidad de dispositivos. 11.- Procedimiento según la reivindicación 10, en el cual se establecen opciones de configuración en las interfaces 5 físicas a través de la gestión de red para proporcionar formatos compatibles con MPLS, VLAN apilable y personalizados al segmentos adicional en la trama Ethernet. 8 ES 2 367 629 T3 9 ES 2 367 629 T3 ES 2 367 629 T3 11