專利名稱:一種基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信數(shù)據(jù)交換領(lǐng)域�,尤其涉及加強(qiáng)以太網(wǎng)交換機(jī)安全特性的安全過(guò)濾方法。
背景技術(shù):
以太網(wǎng)交換技術(shù)(LAN SWITCH)是在多端口網(wǎng)橋的基礎(chǔ)上于九十年代初發(fā)展起來(lái)的���,實(shí)現(xiàn)OSI模型的下兩層協(xié)議����。以太網(wǎng)交換機(jī)與電話交換機(jī)相似,除了提供存儲(chǔ)轉(zhuǎn)發(fā)(STORE ANG FORWORD)方式外還提供了其它的橋接技術(shù)�����,如直通方式(CUT THROUGH)���。標(biāo)準(zhǔn)的以太網(wǎng)交換機(jī)在同一個(gè)VLAN(虛擬局域網(wǎng))內(nèi)所有端口允許廣播報(bào)文互通����。
在以太網(wǎng)交換機(jī)工作過(guò)程中��,通過(guò)DHCP協(xié)議(動(dòng)態(tài)主機(jī)配置協(xié)議)提供主機(jī)IP地址的動(dòng)態(tài)租用配置�����、并將其他配置參數(shù)分發(fā)給合法網(wǎng)絡(luò)客戶端的網(wǎng)絡(luò)服務(wù)協(xié)議���。DHCP提供了簡(jiǎn)便的IP網(wǎng)絡(luò)配置�����,能避免地址沖突����,DHCP使用客戶端/服務(wù)器模型,通過(guò)這種模式����,DHCP服務(wù)器集中維持網(wǎng)絡(luò)上使用的IP地址的管理。然后��,支持DHCP的客戶端就可以向DHCP服務(wù)器請(qǐng)求和租用IP地址�,作為它們網(wǎng)絡(luò)啟動(dòng)過(guò)程的一部分。DHCP客戶端典型作為WINDOWS網(wǎng)絡(luò)協(xié)議的一部分����,DHCP協(xié)議通過(guò)初始化的廣播報(bào)文來(lái)尋找DHCP服務(wù)器。
通過(guò)NETBIOS和NETBEUI��,WINDOWS提供了方便的文件共享功能�����。NetBIOS為程序提供了請(qǐng)求低級(jí)服務(wù)的統(tǒng)一的命令集��,局域網(wǎng)上的程序可以使用的應(yīng)用程序編程接口(API)���。這些服務(wù)是管理名稱��、執(zhí)行會(huì)話和在網(wǎng)絡(luò)節(jié)點(diǎn)之間發(fā)送數(shù)據(jù)報(bào)所要求的����。NETBEUI是Microsoft網(wǎng)絡(luò)的本地網(wǎng)絡(luò)協(xié)議��。它通常用于小的�、有1到200個(gè)客戶的部門(mén)大小的局域網(wǎng)(LAN)。它是NetBIOS標(biāo)準(zhǔn)的Microsoft實(shí)現(xiàn)����。NETBEUI通過(guò)周期性的廣播報(bào)文獲取網(wǎng)絡(luò)信息。
但是���,共享與安全在一定程度上是相互矛盾的���,隨著以太局域網(wǎng)從單純的公司內(nèi)部網(wǎng)絡(luò)向開(kāi)放運(yùn)營(yíng)網(wǎng)絡(luò)的擴(kuò)展,安全問(wèn)題變得突出起來(lái)����。
其典型問(wèn)題是(1)用戶使用DHCP獲取IP地址,如果屬于同一VLAN內(nèi)的用戶有意或無(wú)意啟動(dòng)了DHCP服務(wù)器�����,例如PC機(jī)上流行的Wingate軟件,由于DHCP協(xié)議在2層網(wǎng)絡(luò)中的廣播機(jī)制和缺乏鑒權(quán)機(jī)制的原因�,很可能造成局域網(wǎng)用戶從錯(cuò)誤的DHCP服務(wù)器獲取錯(cuò)誤的IP地址,導(dǎo)致無(wú)法正常使用網(wǎng)絡(luò)���;(2)WINDOWS的文件共享機(jī)制在帶來(lái)共享的方便性的同時(shí)�,也帶來(lái)了安全性隱患��,在寫(xiě)字樓或開(kāi)放式局域網(wǎng)絡(luò)環(huán)境中�,WINDOWS網(wǎng)絡(luò)協(xié)議NETBEUI和NETBIOS的文件夾共享,可能由于用戶忘了設(shè)置共享密碼或密碼失竊帶來(lái)安全問(wèn)題����。例如,有種WINDOWS網(wǎng)絡(luò)病毒在發(fā)作時(shí)將WINDOWS所有文件夾設(shè)置無(wú)密碼可讀可寫(xiě)共享狀態(tài)�。
目前在現(xiàn)有技術(shù)中,有幾種解決方法�����,但都存在不足�。采用交換機(jī)2層隔離的方式,需要在上層設(shè)備進(jìn)行3層轉(zhuǎn)發(fā),在3層交換機(jī)需要支持ARP-Proxy功能��;但是���,有些L3設(shè)備不支持此功能;如果交換機(jī)采用VLAN隔離方法�,在組播復(fù)制時(shí),由于標(biāo)準(zhǔn)的以太網(wǎng)交換機(jī)只能在同一VLAN內(nèi)進(jìn)行組播報(bào)文復(fù)制�,組播的復(fù)制必須放在上層設(shè)備,對(duì)上層設(shè)備的性能和功能造成了額外的影響����。
發(fā)明內(nèi)容
本發(fā)明的目的就是提供一種在以太網(wǎng)交換機(jī)構(gòu)成的局域網(wǎng)絡(luò)中增強(qiáng)安全特性的過(guò)濾方法,可以有效地防止局域網(wǎng)絡(luò)中接入用戶相互干擾��。
一種基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法�,其中將以太網(wǎng)交換機(jī)的端口劃分為網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口,并將用戶側(cè)端口收到的特定協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā)�,以完成安全過(guò)濾。
所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法����,其中進(jìn)一步包括以下步驟a、確定以太網(wǎng)交換機(jī)在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口�����;b、由交換機(jī)處理CPU(以下簡(jiǎn)稱CPU)對(duì)用戶側(cè)端口收到的特定協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā)��。
所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法��,還包括步驟a1CPU向交換芯片配置特定報(bào)文的過(guò)濾規(guī)則�����,控制交換芯片在用戶側(cè)端口上把特定協(xié)議報(bào)文捕獲到CPU上�。
所述的步驟b,是指CPU配置交換芯片�,使其能夠?qū)⒂脩魝?cè)端口收到的特定協(xié)議報(bào)文捕獲到CPU,然后CPU再通過(guò)交換芯片將被捕獲的報(bào)文從網(wǎng)絡(luò)側(cè)端口發(fā)出����。所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法,進(jìn)一步包括以下步驟a�、確定以太網(wǎng)交換機(jī)在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口;b�����、由交換芯片對(duì)用戶側(cè)端口收到的特性協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā)��。
所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法,還包括步驟a1CPU按交換芯片的配置要求向交換芯片配置網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口并啟動(dòng)交換芯片的過(guò)濾和定向轉(zhuǎn)發(fā)功能��。
所述的步驟a中�����,可以為每一個(gè)VLAN確定一個(gè)獨(dú)立的網(wǎng)絡(luò)側(cè)端口�����。
所述的步驟b�,是指CPU配置交換芯片的用戶側(cè)端口和網(wǎng)絡(luò)側(cè)端口之后�,交換芯片自動(dòng)將用戶側(cè)端口收到的特定協(xié)議報(bào)文定向轉(zhuǎn)發(fā)至網(wǎng)絡(luò)側(cè)端口。
所述的步驟b中��,如果存在多個(gè)網(wǎng)絡(luò)側(cè)端口���,從中選擇激活的并且端口狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)的端口���。
所述的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法還包括步驟c、從網(wǎng)絡(luò)側(cè)端口到用戶側(cè)端口的特定協(xié)議報(bào)文通過(guò)交換芯片發(fā)送到相應(yīng)的用戶側(cè)端口��。
由于采用了本發(fā)明的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法�,在以太網(wǎng)交換機(jī)上實(shí)現(xiàn)了DHCP,NETBIOS,NETBEUI報(bào)文的過(guò)濾和定向功能�����,有效地解決了在以太網(wǎng)交換機(jī)構(gòu)成的局域網(wǎng)中接入用戶的相互干擾問(wèn)題�,減少了管理員維護(hù)管理工作量。
圖1是本發(fā)明的一個(gè)流程圖����;
圖2是本發(fā)明采用的一個(gè)組網(wǎng)圖。
具體實(shí)施例方式
下面結(jié)合說(shuō)明書(shū)附圖來(lái)說(shuō)明本發(fā)明的具體實(shí)施方式
�����。
如圖1所示�,是本發(fā)明的一個(gè)流程圖,從圖中可以看出���,本發(fā)明可以包括以下處理過(guò)程a�����、確定以太網(wǎng)交換機(jī)在一個(gè)VLAN內(nèi)的網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口���;該步驟中�,在每個(gè)確定的VLAN都可以有獨(dú)立的網(wǎng)絡(luò)側(cè)端口���,不同VLAN也可以共享TRUNK端口(同一端口屬于多個(gè)VLAN)��。例如在典型的樹(shù)型組網(wǎng)企業(yè)網(wǎng)應(yīng)用中��,一臺(tái)以太網(wǎng)交換機(jī)有24個(gè)10/100M以太網(wǎng)作為用戶側(cè)端口劃入同一個(gè)VLAN��,接入用戶PC機(jī)����,1個(gè)上行GE口確定為此設(shè)備的網(wǎng)絡(luò)側(cè)端口���。
劃分網(wǎng)絡(luò)側(cè)端口后的VLAN內(nèi)剩余的端口即為用戶側(cè)端口。
該步驟中�����,如果定向轉(zhuǎn)發(fā)功能由CPU實(shí)現(xiàn)���,則CPU需要向交換芯片配置特定報(bào)文的過(guò)濾規(guī)則��,控制交換芯片在用戶側(cè)端口上把特定協(xié)議報(bào)文捕獲到CPU上����。具體來(lái)說(shuō),就是首先把DHCP�,NETBIOS,NETBEUI報(bào)文頭的特征下發(fā)到交換芯片的規(guī)則表中���,例如DHCP Discover報(bào)文頭的特征Destination MAC域是ff ffff ff ff ff�����;Ethertype域是0x0800�;IP Protocol域是0x11(UDP)���;UDP Source port域是0x44�����;UDP Destination port域是0x43�;DHCP Message type域?yàn)?x01等等���。然后將這些規(guī)則的入端口設(shè)置為那些用戶側(cè)端口���,即表示只在用戶側(cè)端口上進(jìn)行報(bào)文的匹配��,最后將這些規(guī)則匹配后的動(dòng)作設(shè)置為“接收到CPU”���。這樣配置下來(lái),交換芯片就能夠在用戶側(cè)端口上按照規(guī)則表捕獲DHCP���,NETBIOS�,NETBEUI報(bào)文并轉(zhuǎn)發(fā)到CPU�����。
該步驟中�����,如果定向轉(zhuǎn)發(fā)功能由交換芯片自動(dòng)實(shí)現(xiàn)��,則CPU需要按交換芯片的配置要求做兩個(gè)設(shè)置1)向交換芯片配置網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口����,2)啟動(dòng)交換芯片的過(guò)濾和定向轉(zhuǎn)發(fā)功能�。
具體來(lái)說(shuō),就是首先把DHCP�,NETBIOS�����,NETBEUI報(bào)文頭的特征下發(fā)到交換芯片的規(guī)則表中��。然后將這些規(guī)則的入端口設(shè)置為那些用戶側(cè)端口���,即表示只在用戶側(cè)端口上進(jìn)行報(bào)文的匹配,最后將這些規(guī)則匹配后的動(dòng)作設(shè)置為“轉(zhuǎn)發(fā)至網(wǎng)絡(luò)側(cè)端口”�����。這樣配置下來(lái)�,交換芯片就能夠在用戶側(cè)端口上按照規(guī)則表過(guò)濾DHCP,NETBIOS����,NETBEUI報(bào)文并自動(dòng)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)側(cè)端口。
b��、將用戶側(cè)端口收到的特定協(xié)議報(bào)文定向轉(zhuǎn)發(fā)到網(wǎng)絡(luò)側(cè)端口��;該步驟中����,如果定向轉(zhuǎn)發(fā)功能由CPU實(shí)現(xiàn)�����,則在步驟a的配置下����,交換芯片會(huì)將所有用戶側(cè)端口收到的特定協(xié)議報(bào)文從交換芯片捕獲到CPU����,然后CPU再將捕獲到的報(bào)文通過(guò)交換芯片從網(wǎng)絡(luò)側(cè)端口發(fā)出,從而實(shí)現(xiàn)定向轉(zhuǎn)發(fā)���。
該步驟中��,如果定向轉(zhuǎn)發(fā)功能由交換芯片自動(dòng)實(shí)現(xiàn)����,則在步驟a的配置下���,交換芯片自動(dòng)完成特定協(xié)議報(bào)文從用戶側(cè)端口到網(wǎng)絡(luò)側(cè)端口的定向轉(zhuǎn)發(fā)功能,不需要CPU做特別的干預(yù)�。在此過(guò)程中,與前面CPU處理方式的相同的地方是從用戶側(cè)端口過(guò)濾出特定協(xié)議報(bào)文都是由交換芯片完成的�;不同的地方是定向轉(zhuǎn)發(fā)功能是否需要CPU參與�,由交換芯片自動(dòng)完成的定向轉(zhuǎn)發(fā)將具有更好的性能����。
如果存在多個(gè)網(wǎng)絡(luò)側(cè)端口,從中選擇激活的并且端口狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)的端口�。
端口轉(zhuǎn)發(fā)狀態(tài)由生成樹(shù)協(xié)議(spanning tree protocol)確定,生成樹(shù)協(xié)議通常在保護(hù)組網(wǎng)時(shí)啟動(dòng)����。
c、從網(wǎng)絡(luò)側(cè)端口到用戶側(cè)端口的協(xié)議報(bào)文通過(guò)交換芯片發(fā)送到相應(yīng)的用戶側(cè)端口�����;對(duì)于從網(wǎng)絡(luò)側(cè)端口到用戶側(cè)端口的協(xié)議報(bào)文不進(jìn)行捕獲�����,直接通過(guò)交換芯片轉(zhuǎn)發(fā)或廣播到相應(yīng)用戶側(cè)端口���。
如圖2所示�,是本發(fā)明協(xié)議過(guò)濾技術(shù)的典型的組網(wǎng)應(yīng)用圖����,可見(jiàn)通過(guò)步驟b�����,可以完成協(xié)議的過(guò)濾操作����。
本發(fā)明通過(guò)以上處理過(guò)程�,可以實(shí)現(xiàn)以下功能(1)用戶側(cè)端口的終端用戶即使在WINDOWS操作系統(tǒng)上共享文件夾,所有的用戶側(cè)端口用戶都不能瀏覽到用戶的共享文件夾�,也無(wú)法訪問(wèn);
(2)用戶側(cè)端口的終端用戶不受用戶側(cè)端口用戶設(shè)置的DHCP服務(wù)器影響�����;(3)用戶側(cè)端口的終端用戶可以從網(wǎng)絡(luò)側(cè)DHCP服務(wù)器獲得IP地址��,也可以訪問(wèn)網(wǎng)絡(luò)側(cè)服務(wù)器提供的共享文件夾��。
本發(fā)明技術(shù)在以太網(wǎng)交換機(jī)上實(shí)現(xiàn)了DHCP�����,NETBIOS����,NETBEUI報(bào)文的過(guò)濾和定向功能,有效地解決了在以太網(wǎng)交換機(jī)構(gòu)成的局域網(wǎng)中接入用戶的相互干擾問(wèn)題�,減少了管理員維護(hù)管理工作量。
以上所述���,僅為本發(fā)明較佳的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不局限于此���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭示的技術(shù)范圍內(nèi),可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書(shū)的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法�����,其特征在于將以太網(wǎng)交換機(jī)的端口劃分為網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口,并將用戶側(cè)端口收到的特定協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā)�,以完成安全過(guò)濾。
2.如權(quán)利要求1所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法����,其特征在于進(jìn)一步包括以下步驟a、確定以太網(wǎng)交換機(jī)在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口�����;b�����、由交換機(jī)處理CPU(以下簡(jiǎn)稱CPU)對(duì)用戶側(cè)端口收到的特定協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā)�。
3.如權(quán)利要求2所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法,其特征在于還包括步驟a1CPU向交換芯片配置特定報(bào)文的過(guò)濾規(guī)則��,控制交換芯片在用戶側(cè)端口上把特定協(xié)議報(bào)文捕獲到CPU上�。
4.如權(quán)利要求2所述的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法,其特征在于所述的步驟b���,是指CPU配置交換芯片�����,使其能夠?qū)⒂脩魝?cè)端口收到的特定協(xié)議報(bào)文捕獲到CPU�����,然后CPU再通過(guò)交換芯片將被捕獲的報(bào)文從網(wǎng)絡(luò)側(cè)端口發(fā)出�����。
5.如權(quán)利要求1所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法����,其特征在于進(jìn)一步包括以下步驟a����、確定以太網(wǎng)交換機(jī)在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口;b���、由交換芯片對(duì)用戶側(cè)端口收到的特性協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā)����。
6.如權(quán)利要求5所述的以太網(wǎng)交換機(jī)的安全過(guò)濾方法����,其特征在于還包括步驟a1CPU按交換芯片的配置要求向交換芯片配置網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口并啟動(dòng)交換芯片的過(guò)濾和定向轉(zhuǎn)發(fā)功能��。
7.如權(quán)利要求2或5所述的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法�����,其特征在于所述的步驟a中����,可以為每一個(gè)VLAN確定一個(gè)獨(dú)立的網(wǎng)絡(luò)側(cè)端口��。
8.如權(quán)利要求5所述的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法�,其特征在于所述的步驟b,是指CPU配置交換芯片的用戶側(cè)端口和網(wǎng)絡(luò)側(cè)端口之后�����,交換芯片自動(dòng)將用戶側(cè)端口收到的特定協(xié)議報(bào)文定向轉(zhuǎn)發(fā)至網(wǎng)絡(luò)側(cè)端口���。
9.如權(quán)利要求2或5所述的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法���,其特征在于所述的步驟b中,如果存在多個(gè)網(wǎng)絡(luò)側(cè)端口����,從中選擇激活的并且端口狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)的端口���。
10.如權(quán)利要求2或5所述的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法,其特征在于還包括步驟c�、從網(wǎng)絡(luò)側(cè)端口到用戶側(cè)端口的特定協(xié)議報(bào)文通過(guò)交換芯片發(fā)送到相應(yīng)的用戶側(cè)端口。
全文摘要
本發(fā)明涉及一種加強(qiáng)以太網(wǎng)交換機(jī)安全特性的過(guò)濾方法��。一種基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法����,其特征在于將以太網(wǎng)交換機(jī)的端口劃分為網(wǎng)絡(luò)側(cè)端口和用戶側(cè)端口����,并將用戶側(cè)端口收到的DHCP,NETBIOS����,NETBEUI協(xié)議報(bào)文進(jìn)行定向轉(zhuǎn)發(fā),以完成安全過(guò)濾�����。由于采用了本發(fā)明的基于以太網(wǎng)交換機(jī)的安全過(guò)濾方法�,在以太網(wǎng)交換機(jī)上實(shí)現(xiàn)了DHCP,NETBIOS�,NETBEUI報(bào)文的過(guò)濾和定向功能����,有效地解決了在以太網(wǎng)交換機(jī)構(gòu)成的局域網(wǎng)中接入用戶之間的相互干擾問(wèn)題�����,減少了管理員維護(hù)管理工作量����。
文檔編號(hào)H04L12/28GK1518289SQ0310065
公開(kāi)日2004年8月4日 申請(qǐng)日期2003年1月17日 優(yōu)先權(quán)日2003年1月17日
發(fā)明者盧瑞昕, 馮磊 申請(qǐng)人:華為技術(shù)有限公司