以太環網中防攻擊的方法、系統和交換設備的製作方法
2023-05-31 02:04:51
專利名稱:以太環網中防攻擊的方法、系統和交換設備的製作方法
技術領域:
本發明涉及網絡通信技術,特別涉及一種以太環網中防攻擊的方法、系 統和交換設備,屬於通信技術領域。
背景技術:
隨著乙太網技術的飛速發展以及應用的不斷提升,採用性價比極高的以 太網技術來構建大型的企業網、城域網已經成為一個不可阻擋的趨勢。在這 類規才莫大、業務多的網絡環境裡面,絕大部分都是部署環形拓樸結構的網絡, 圖1為現有環形拓樸網絡結構示意圖,如圖1所示,環形拓樸的特徵就是每 臺設備使用兩個埠和相鄰的設備互連,形成一條閉合鏈路。若使用乙太網 交換設備來構建這種環形拓樸結構的網絡,就將其稱為以太環網。在一個以 太環網裡面,最關鍵的兩個功能就是冗餘和故障恢復。
所謂冗餘是指在以太環網的環路完整的時候,必須有個埠阻塞數據轉
發,以避免數據在環路裡面不斷循環,形成廣播風暴。圖2為現有以太環網 的結構示意圖,如圖2所示,交換設備A把和交換設備B互連的埠阻塞住 (圖中的圓圈表示阻塞),這樣^J:將無法穿透交換設備A上阻塞的那個端 口,從而該以太環網不會形成廣播風暴。被阻塞的交換設備A和交換設備B 之間的鏈路被稱為備份鏈路,也就是說正常工作狀態下,該鏈路是不做數據 轉發的,而除此以外的其它鏈路都是可以轉發數據的,被稱為工作鏈路,如 圖2中交換設備A和交換設備D之間的鏈路就是工作鏈路。
所謂故障恢復是指以太環網的某條工作鏈路發生故障之後,數據轉發可 以從其它鏈路進行。如圖2所示,當交換設備D和交換設備C之間的工作鏈 路出現故障後,如圖2中的虛線"十叉,,所示,交換設備D和交換設備C之間的通信將中斷,由於圖2中交換設備A到交換設備B的埠是阻塞的,於 是交換設備D和交換設備C之間的鏈路故障後,交換設備D和交換設備C 將無法通信,即出現了通信故障。此時可以將交換設備A和交換設備B之間 的阻塞埠設置為可轉發數據的狀態,則圖2中的備份鏈路可變成工作鏈路,
行中轉。這種情況稱為故障恢復。但是,如果交換設備A和交換設備B之間 的鏈路也出現故障的話,交換設備D和交換設備C就將一直無法進行通信, 本發明中提到的故障都是指一個環路裡面只有一條鏈路出現故障的情況。
RFC3619定義了一種用於實現以太環網的技術,稱為乙太網自動保護切 換(Ethernet Automatic Protection switching,簡稱EAPs ) , EAPs包4舌了上述 的冗餘和故障恢復功能。圖3為現有EAPs的結構示意圖,如圖3所示,包 括主機設備(Master)和傳輸交換機。其中,主機設備上包括主埠和從端 口,主埠可以進行數據的轉發,從埠可以阻塞數據以避免數據轉發形成 環路。當環路中的某條鏈路出現故障時,例如圖3中的傳輸交換機D和傳輸 交換機C之間的鏈路出現斷裂,則傳輸交換機D和傳輸交換機C會分別向主 機設備發送一個down消息,告訴主機設備有鏈路出現斷裂。主機設備收到 down消息後,直接將從埠設置為可以轉發數據的埠,並發送flush消息 通知傳輸交換機D和傳輸交換機C,從而通過主機設備和傳輸交換才幾B完成 數據的轉發。
如圖3所示,當連接在傳輸交換機C上的一用戶X偽造了一個down消 息並發送到EAPs環網中時,當環網中的主機設備接收到該down消息之後, 將會錯誤地認為環網已經出現故障,而將其從埠設置為可轉發數據狀態, 從而導致鏈路形成環路,引發廣播風暴。為了解決該問題,現有技術採用在 以太環網的消息報文中攜帶認證信息的方式來鑑別非法的以太環網的消息報 文。具體為預先在發送報文的節點上保存認證信息,在接收報文的節點上 保存相同的認證信息;發送方在發送報文時,在報文中攜帶認證信息;接收方接收到報文後,讀取報文中的認證信息,與本地的認證信息進行比較,如 果一致,則處理所述才艮文,否則丟棄所述才艮文。
但是,上述方法會增加以太環網的協議的複雜性,需要預先在發送報文 的節點和接收報文的節點保存相同的認證信息,發送方需要在報文中攜帶認
證信息,接收方需要對接收到的報文進行鑑別。而且,由於認證信息是預先 保存的,並不是動態改變的,如果用戶通過某種途徑得到了這種認證信息或
獲得合法的帶認證信息的報文一一假設用戶X在傳輸交換機c和傳輸交換機 D之間的鏈路故障時,在傳輸交換機C的埠 Cd抓到了 一個down消息報文, 而在以太環網又恢復的情況下,將抓到的這個down消息報文向傳輸交換機C 的埠Cx發送,從而通過埠Cb發出去——這樣,主機設備在接收到該報 文之後, 一樣會錯誤地認為環網已經出現了故障,而將其從埠設置為可轉 發數據的狀態,從而導致鏈路形成環路,引發廣播風暴。
發明內容
本發明的目的是提供一種以太環網中防攻擊的方法、系統和交換設備, 以防止以太環網中的攻擊所引發的廣播風暴。
為實現上述目的,本發明提供了一種以太環網中防攻擊的方法,包括 記錄交換設備加入以太環網的埠信息;
當接收到所述以太環網的控制消息報文後,獲取所述控制消息報文中的 接收埠信息;
若所述接收埠信息與記錄的所述交換設備加入以太環網的埠信息不
相同,則丟棄所述控制消息報文。
本發明還提供了一種以太環網的交換設備,包括 記錄模塊,用於記錄所述交換設備加入以太環網的埠信息; 第一獲取模塊,用於當接收到所述以太環網的控制消息報文後,獲取所
述控制消息報文中的接收埠信息;處理模塊,用於若所述第一獲取模塊獲取的所述接收埠信息與所述記 錄模塊記錄的所述交換設備加入以太環網的埠信息不相同,則丟棄所述控 制消息報文。
本發明還提供了一種以太環網中防攻擊的系統,包括多個交換設備,所 述交換設備,用於記錄所述交換設備加入以太環網的埠信息,當接收到所 述以太環網的控制消息報文後,獲取所述控制消息報文中的接收埠信息, 若所述接收埠信息與記錄的所述交換設備加入以太環網的埠信息不相 同,則丟棄所述控制消息報文。
由上述技術方案可知,本發明提供的以太環網中防攻擊的方法、系統和 交換設備,通過對接收到消息報文的埠的判斷,來確定消息報文是否為偽 造的、影響以太環網的報文,從而使得在部署以太環網時就可以有效地阻止 偽造的消息報文對以太環網的攻擊,避免了以太環網的混亂以及產生鏈路振 蕩和環;洛的可能,增強了以太環網的安全性和穩定性。
圖1為現有環形拓樸網絡結構示意圖2為現有以太環網的結構示意圖3為現有EAPs的結構示意圖4為本發明EAPs環路結構示意圖5為本發明以太環網中防攻擊的方法實施例的流程示意圖6為本發明以太環網中的交換設備實施例的結構示意圖7為本發明以太環網中防攻擊的系統實施例的結構示意圖。
具體實施例方式
下面通過附圖和實施例,對本發明的技術方案做進一步的詳細描述。 圖4為本發明EAPs環^各結構示意圖。如圖4所示,該EAPs環^各定義了兩種設備,主機設備(Master)和傳輸交換機,其均為交換設備。在一個環 路完整的情況下,主機設備負責將一個埠阻塞,避免在該環路中傳輸的數 據形成循環,從而引發廣播風暴,這裡被阻塞的埠稱為從埠;另外一個 可轉發數據的埠叫主埠。而對於傳輸交換機來說,對其埠並不作區分, 都可以轉發數據,在本發明實施例中,對於傳輸交換機來說,例如傳輸交換 機C,其與環路連接的埠分為埠 Cd和埠 Ca。主機設備會周期性地向 它的主埠發送探測消息報文,如果環路是完整的,該探測消息報文將穿越 傳輸交換機D、傳輸交換機C和傳輸交換機B,回到主機設備的從埠。阻 塞的從埠雖然數據報文無法穿越,但可以接收控制消息報文,因此,主機 設備可以從它的從埠上接收到該探測消息報文,而仍然保持其從埠的阻 塞狀態。如果環路是不完整的,主機設備將無法在它的從埠處接收到該探 測消息報文,如果主機設備在一段連續時間內一直沒有收到這個探測消息報 文,則確認為環路已經斷裂,此時主機設備將它的從埠設置為可以轉發數 據的埠。其中所述的控制消息報文可以包括探測消息報文,還可以包括上 述的down消息報文、flush消息報文等,以太環網中的交換設備(包括主機 設備和傳輸交換機)上的用戶設備通過偽造這些控制消息報文可能會對以太 環網發起攻擊。
本發明的技術方案主要是,利用對以太環網中的各個交換設備接收控制 消息報文時的接收埠信息進行判別,從而對EAPs環路上的控制消息報文 進行過濾,可以有效地阻止偽造的控制消息報文對以太環網的攻擊,避免了 以太環網網絡的混亂以及產生鏈路振蕩和環路的可能,增強了以太環網的安 全性和穩定性。
圖5為本發明以太環網中防攻擊的方法實施例的流程示意圖。如圖5所 示,包括如下步驟
步驟501、記錄交換設備加入以太環網的埠信息;
步驟502、當接收到以太環網的控制消息報文後,獲取控制消息報文中的接收埠信息;
步驟503、若接收埠信息與記錄的交換設備加入以太環網的埠信息 不相同,則丟棄控制消息報文。
其中,在步驟501之前還可以包括步驟504、在交換設備上配置以太 環網時,獲取交換設備加入以太環網的埠信息。另外,當配置的以太環網 的交換設備的埠變更時,還可以更新記錄的交換設備加入以太環網的埠 信息。
具體地,結合圖4所示的EAPs環路結構,加入EAPs環路的四個交換設 備中,有一個主機設備,三個傳輸交換機,其中主機設備和傳輸交換機均可 連接用戶設備,即均有可能接收到偽造的以太環網的控制消息報文(如偽造 的探測消息報文、down消息報文、flush消息報文),其中以傳輸交換機C 上連接的用戶設備X向傳輸交換機C發送偽造的控制消息報文為例,該以太 環網中防攻擊的方法為傳輸交換機C的埠 Cd和埠 Cb加入EAPs環路, 連接用戶設備X的埠 Cx沒有加入到EAPs環路;傳輸交換機C會記錄端 口 Cd和埠 Cb為EAPs環路中的埠 ;假設此時連接在傳輸交換機C的端 口 Cx上的用戶設備X發送偽造的控制消息報文來對以太環網進行操作,由 於埠 Cx並沒有加入EAPs環路,傳輸交換機C在獲取到該控制消息才艮文時, 獲取其中的埠信息,即Cx埠,然後與其記錄的埠 (包括Cd和Cb) 比較,發現該控制消息報文的接收埠 Cx並非EAPs環路上的埠,則判斷 該控制消息報文為偽造的,並將此偽造的控制消息報文直接丟棄。這樣,可 以有效地防止非法的控制消息報文進入到EAPs環路中。
本實施例提供的以太環網中防攻擊的方法,通過對接收到控制消息報文 的埠的判斷,來確定控制消息報文是否為偽造的、影響以太環網的報文, 從而使得在部署以太環網時就可以有效地阻止偽造的控制消息報文對以太環 網的攻擊,避免了以太環網的混亂以及產生鏈路振蕩和環路的可能,增強了 以太環網的安全性和穩定性。圖6為本發明以太環網中的交換設備實施例的結構示意圖。如圖6所示, 該以太環網中的交換設備6包括記錄模塊61用於記錄該交換設備6加入以 太環網的埠信息;第一獲取模塊62用於當接收到以太環網的控制消息報文 後,獲取控制消息報文中的接收埠信息;處理模塊63用於若第一獲取^莫塊 62獲取的接收埠信息與記錄模塊61記錄的交換設備6加入以太環網的端 口 4言息不相同,則丟棄該控制消息才艮文。
其中,該以太環網中防攻擊的交換設備6還可以包括第二獲取模塊64 用於在該交換設備6上配置以太環網時,獲取交換設備6加入以太環網的端 口信息;更新模塊65用於當配置的以太環網中的交換設備埠變更時,更新 記錄模塊61中記錄的該交換設備6加入以太環網的埠信息。
本實施例中的交換設備6可以為EAPs環路中的主機設備或傳輸交換機。
本實施例提供的以太環網中防攻擊的裝置,通過對接收到控制消息報文 的埠的判斷,來確定控制消息報文是否為偽造的、影響以太環網的報文, 從而使得在部署以太環網時就可以有效地阻止偽造的控制消息報文對以太環 網的攻擊,避免了以太環網的混亂以及產生鏈路振蕩和環路的可能,增強了 以太環網的安全性和穩定性。
圖7為本發明以太環網中防攻擊的系統實施例的結構示意圖。如圖7所 示,該以太環網中防攻擊的系統包括多個交換設備,其中包括一主機設備71 和多個傳輸交換機72,其中主機設備71具有一個傳輸數據的主埠和一個 阻塞數據的從埠 ,該主機設備71用於控制數據報文在主機設備71與傳輸 交換機72之間的傳輸。
該以太環網中防攻擊的系統中的交換設備用於記錄該交換設備加入以太 環網的埠信息,當接收到以太環網的控制消息報文後,獲取控制消息報文 中的接收埠信息,若接收埠信息與記錄的交換設備加入以太環網的埠 信息不相同,則丟棄該控制消息報文。其中該交換設備可以為主機設備71或 傳輸交換一幾72。以傳輸交換機72為例,該傳輸交換才幾72具體可以包括記錄才莫塊721 用於記錄該傳輸交換機72加入以太環網的埠信息;第一獲取模塊722用於 當接收到以太環網的控制消息報文後,獲取控制消息報文中的接收埠信息; 處理模塊723用於若第一獲取模塊722獲取的接收埠信息與記錄模塊721 記錄的傳輸交換機72加入以太環網的埠信息不相同,則丟棄該控制消息報 文。
傳輸交換機72具體還可以包括第二獲取模塊724用於在該傳輸交換機 72上配置以太環網時,獲取該傳輸交換機72加入以太環網的埠信息;更 新模塊725用於當配置的以太環網中的交換設備埠變更時,更新記錄模塊 721中記錄的交換設備加入以太環網的埠信息,此處的交換設備可以為傳 輸交換機72本身,或是該以太環網中的其他交換設備。
本實施例提供的以太環網中防攻擊的系統,通過對接收到控制消息報文 的埠的判斷,來確定控制消息報文是否為偽造的、影響以太環網的報文, 從而使得在部署以太環網時就可以有效地阻止偽造的控制消息報文對以太環 網的攻擊,避免了以太環網的混亂以及產生鏈路振蕩和環路的可能,增強了 以太環網的安全性和穩定性。
最後應說明的是以上實施例僅用以說明本發明的技術方案而非對其進 行限制,儘管參照較佳實施例對本發明進行了詳細的說明,本領域的普通技 術人員應當理解其依然可以對本發明的技術方案進行修改或者等同替換, 而這些修改或者等同替換亦不能使修改後的技術方案脫離本發明技術方案的 精神和範圍。
權利要求
1、一種以太環網中防攻擊的方法,其特徵在於,包括記錄交換設備加入以太環網的埠信息;當接收到所述以太環網的控制消息報文後,獲取所述控制消息報文中的接收埠信息;若所述接收埠信息與記錄的所述交換設備加入以太環網的埠信息不相同,則丟棄所述控制消息報文。
2、 根據權利要求1所述的以太環網中防攻擊的方法,其特徵在於,在 所述記錄交換設備加入以太環網的埠信息之前還包括在所述交換設備上配置以太環網時,獲取所述交換設備加入以太環網的 所述埠信息。
3、 根據權利要求1或2所述的以太環網中防攻擊的方法,其特徵在於, 還包括當配置的所述以太環網中的交換設備埠變更時,更新記錄的所述交換 i殳備加入以太環網的埠信息。
4、 一種以太環網中的交換設備,其特徵在於,包括 記錄模塊,用於記錄所述交換設備加入以太環網的埠信息; 第一獲f^莫塊,用於當接收到所述以太環網的控制消息報文後,獲取所述控制消息報文中的接收埠信息;處理模塊,用於若所述第一獲取模塊獲取的所述接收埠信息與所述記 錄模塊記錄的所述交換設備加入以太環網的埠信息不相同,則丟棄所述控 制消息報文。
5、 根據權利要求4所述的以太環網中的交換設備,其特徵在於,還包 括第二獲取模塊,用於在所述交換設備上配置以太環網時,獲取所述交換 設備加入以太環網的所述埠信息。
6、 根據權利要求4或5所述的以太環網中的交換設備,其特徵在於,還包括更新模塊,用於當配置的所述以太環網中的交換設備埠變更時, 更新所述記錄模塊中記錄的所述交換設備加入以太環網的埠信息。
7、 一種以太環網中防攻擊的系統,包括多個交換設備,其特徵在於, 所述交換設備,用於記錄所述交換設備加入以太環網的埠信息,當接收到 所述以太環網的控制消息報文後,獲取所述控制消息報文中的接收埠信息, 若所述接收埠信息與記錄的所述交換設備加入以太環網的埠信息不相 同,則丟棄所述控制消息報文。
8、 根據權利要求7所述的以太環網中防攻擊的系統,其特徵在於,所 述交換設備包括記錄模塊,用於記錄所述交換設備加入所述以太環網的埠信息; 第一獲^^莫塊,用於當接收到所述以太環網的控制消息報文後,獲取所述控制消息報文中的接收埠信息;處理模塊,用於若所述第一獲取模塊獲取的所述接收埠信息與所述記錄^^莫塊記錄的所述交換設備加入以太環網的埠信息不相同,則丟棄所述控制消息報文。
9、 根據權利要求8所述的以太環網中防攻擊的系統,其特徵在於,所 述交換設備還包括第二獲取模塊,用於在所述交換設備上配置以太環網時,獲取所述交換 設備加入以太環網的所述埠信息;更新模塊,用於當配置的所述以太環網中的交換設備埠變更時,更新 所述記錄模塊中記錄的所述交換設備加入以太環網的埠信息。
10、 根據權利要求7、 8或9所述的以太環網中防攻擊的系統,其特徵 在於,所述多個交換設備中包括一主機設備和一個以上的傳輸交換機。
全文摘要
本發明公開了一種以太環網中防攻擊的方法、系統和交換設備。其中方法包括記錄交換設備加入以太環網的埠信息;當接收到以太環網的控制消息報文後,獲取控制消息報文中的接收埠信息;若接收埠信息與記錄的交換設備加入以太環網的埠信息不相同,則丟棄控制消息報文。本發明提供的以太環網中防攻擊的方法、系統和交換設備,通過對接收到控制消息報文的埠的判斷,來確定控制消息報文是否為偽造的、影響以太環網的報文,從而使得在部署以太環網時就可以有效地阻止偽造的控制消息報文對以太環網的攻擊,避免了以太環網的混亂以及產生鏈路振蕩和環路的可能,增強了以太環網的安全性和穩定性。
文檔編號H04L29/06GK101562614SQ20091008562
公開日2009年10月21日 申請日期2009年5月26日 優先權日2009年5月26日
發明者繆仕福, 鄭偉忠 申請人:北京星網銳捷網絡技術有限公司