專利名稱:橋接網(wǎng)絡(luò)生成樹異常探測的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及橋接的計(jì)算機(jī)網(wǎng)絡(luò),更具體地專注于探測例如在網(wǎng)絡(luò)生成樹中的某些異常。
背景技術(shù):
橋接網(wǎng)絡(luò)由于各種原因在網(wǎng)絡(luò)產(chǎn)業(yè)中的很多應(yīng)用中得到了偏愛。一個橋接網(wǎng)絡(luò)通常包括多個節(jié)點(diǎn),其中一些節(jié)點(diǎn)是橋節(jié)點(diǎn),它們具有到網(wǎng)絡(luò)中其他節(jié)點(diǎn)的連通性。在網(wǎng)絡(luò)學(xué)習(xí)期間,每個橋節(jié)點(diǎn)典型地在其全部端口上廣播,也就是,該橋節(jié)點(diǎn)從其全部端口向外發(fā)送相同的消息數(shù)據(jù),其中這樣的消息數(shù)據(jù)典型地包括網(wǎng)絡(luò)拓?fù)湫畔ⅰR源朔绞?,?dāng)另一個橋節(jié)點(diǎn)收到一個包含拓?fù)湫畔⒌南r,該接收節(jié)點(diǎn)不轉(zhuǎn)發(fā)該消息;取而代之的是,它比較其到根的距離并決定是否將具有它自己ID的這個新信息通知給其他橋節(jié)點(diǎn)。因此,該拓?fù)湎㈩愃朴诰哂羞m當(dāng)?shù)谋镜匦畔⒌母碌南?,其中那些更新的消息可以向其他橋?jié)點(diǎn)轉(zhuǎn)發(fā)。在以許多消息重復(fù)這個過程后,且在各種橋節(jié)點(diǎn)之間時,每個橋節(jié)點(diǎn)被告知它到其他鄰接橋節(jié)點(diǎn)的連通性,其中在這個文檔中,術(shù)語鄰居(或鄰接)節(jié)點(diǎn)用來表示每個都有一個端口直接連接到另一個的兩個橋節(jié)點(diǎn)。這個連通性信息由每個橋節(jié)點(diǎn)在一個或更多相應(yīng)的表中維護(hù),該表記錄在學(xué)習(xí)過程期間從答復(fù)的橋節(jié)點(diǎn)接收或得出的信息。除了橋節(jié)點(diǎn),橋接網(wǎng)絡(luò)包括其他節(jié)點(diǎn),這些節(jié)點(diǎn)以不同的名稱被提及,例如用戶站或客戶節(jié)點(diǎn)。由于橋節(jié)點(diǎn)和客戶節(jié)點(diǎn)的連通性,一個或更多橋節(jié)點(diǎn)將兩個或更多客戶節(jié)點(diǎn)連接到一起,并在客戶節(jié)點(diǎn)之間轉(zhuǎn)發(fā)消息。因此,客戶節(jié)點(diǎn)與每個其他節(jié)點(diǎn)通信,就像它們直接附于同一個物理網(wǎng)絡(luò)并且對它們之間的橋節(jié)點(diǎn)透明。
在一個橋接網(wǎng)絡(luò)內(nèi),可以強(qiáng)加一個另外的路由層。作為一個例子,用一個或更多生成樹強(qiáng)加這樣的路由,上述生成樹定義了消息沿其可以在橋接網(wǎng)絡(luò)中通信的路徑。因此,每個生成樹強(qiáng)加了一個用于消息沿著該樹通信的另外的路由約束層。典型地,強(qiáng)加這樣的約束來避免網(wǎng)絡(luò)消息的環(huán)回,就是說,避免同一個消息的多個拷貝到達(dá)同一個橋節(jié)點(diǎn),因?yàn)榉駝t如果在網(wǎng)絡(luò)的物理連通性中存在一個環(huán)路就會發(fā)生。例如,考慮一個橋節(jié)點(diǎn)的環(huán),其中每個橋節(jié)點(diǎn)連接到另一個橋節(jié)點(diǎn),全部橋節(jié)點(diǎn)形成了一個環(huán)。如果沒有一個另外的約束,如果環(huán)中的一個橋節(jié)點(diǎn)廣播一個消息,假設(shè)全部節(jié)點(diǎn)沿著該環(huán)向前傳遞該廣播消息,那么將會有兩個該廣播消息的拷貝到達(dá)(或“環(huán)回”到)該環(huán)中的目的節(jié)點(diǎn)。一個生成樹,然而,定義了作為橋節(jié)點(diǎn)之間的路由,并可以在環(huán)中實(shí)現(xiàn)為僅一個在環(huán)上兩個橋節(jié)點(diǎn)之間的強(qiáng)加的阻塞。因此,當(dāng)一個和該阻塞相鄰的橋節(jié)點(diǎn)接收到一個消息時,阻止它在該阻塞的方向上向前發(fā)送該消息。結(jié)果,僅有一個該廣播消息的拷貝可以到達(dá)目的節(jié)點(diǎn)。
作為另外的背景,在先技術(shù)包括一個分配給每個橋節(jié)點(diǎn)的不同的橋優(yōu)先級,當(dāng)在該橋接網(wǎng)絡(luò)中發(fā)生故障(例如,斷路)時該優(yōu)先級影響重新收斂的時間。通常,當(dāng)發(fā)生故障時,在一個被稱為是重新收斂的過程中,在生成樹中仍舊連接著的橋節(jié)點(diǎn)之間通信控制消息。例如,在一個方法中的每個控制消息被稱為是一個橋協(xié)議數(shù)據(jù)單元(“BPDU”),它是一個跨越橋節(jié)點(diǎn)交換的消息并含有這樣的信息,該信息包括端口、地址和優(yōu)先級,所有這些用于指引該消息到達(dá)正確的目的地。因此,在在先技術(shù)中當(dāng)一個橋節(jié)點(diǎn)接收到一個BPDU時,該節(jié)點(diǎn)可以更新它的表信息,從而在網(wǎng)絡(luò)配置中做出改變。實(shí)際上,一旦完成了重新收斂,基于由在重新收斂期間收到BPDU的橋節(jié)點(diǎn)所做出的改變建立一個新的生成樹。結(jié)果,另外的消息可以沿著該新生成樹傳遞,至少到解決了造成該重新收斂的故障為止。
作為進(jìn)一步的背景,BPDU也典型地包括生成該BPDU的橋節(jié)點(diǎn)的所謂的端口路徑代價(“PPC”)。PPC是一個沿著從產(chǎn)生該BPDU的橋節(jié)點(diǎn)的指定端口到該生成樹中的“根”橋節(jié)點(diǎn)的路徑的傳輸?shù)拇鷥r的效率度量標(biāo)準(zhǔn)。這個代價典型地由從所討論的該端口到該根橋節(jié)點(diǎn)的跳距離的值來表示,也就是,所討論的該端口和該根之間的橋節(jié)點(diǎn)的數(shù)目。因此,如果所討論的該端口直接地連接到該根橋節(jié)點(diǎn),那么該跳距離是1,然而如果所討論的該端口通過一個中間橋節(jié)點(diǎn)連接到該根橋節(jié)點(diǎn),那么該跳距離是2,等等。同樣在這點(diǎn)上,該根橋節(jié)點(diǎn)是一個典型地給予控制該生成樹的某些級別的節(jié)點(diǎn),例如通過識別該根節(jié)點(diǎn)具有該生成樹中最高的優(yōu)先級,以及為了各種檢查該生成樹的目的,該根節(jié)點(diǎn)有權(quán)訪問一個網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫。
作為更進(jìn)一步的背景,注意在網(wǎng)絡(luò)學(xué)習(xí)或重新收斂期間,每個橋節(jié)點(diǎn)從網(wǎng)絡(luò)服務(wù)器接收到到根橋節(jié)點(diǎn)的橋節(jié)點(diǎn)的相應(yīng)PPC(或跳距離)。然而,在隨后的操作期間,同一個橋節(jié)點(diǎn)可以再次從一個鄰接橋節(jié)點(diǎn)接收到一個BPDU,其中該鄰接橋節(jié)點(diǎn)在它自己的PPC中指示了一個改變。例如,該鄰接橋節(jié)點(diǎn)可以向該接收橋節(jié)點(diǎn)指示該鄰接橋節(jié)點(diǎn)已經(jīng)成為生成樹的根,例如通過指示一個為0的PPC。作為響應(yīng),因此,該接收橋節(jié)點(diǎn)可能改變它自己的配置,在本質(zhì)上探測到它現(xiàn)在直接連接到根橋節(jié)點(diǎn),由此對于那個現(xiàn)在是根的鄰接橋節(jié)點(diǎn)給它自己一個為1的跳距離。更進(jìn)一步,那同一個接收橋節(jié)點(diǎn)可以傳遞它自己的BPDU到網(wǎng)絡(luò)中的其他橋節(jié)點(diǎn),通告它們現(xiàn)在察覺的到根橋節(jié)點(diǎn)的直接連接,因此可能那些其他橋節(jié)點(diǎn)的某些可以關(guān)于每個這樣的節(jié)點(diǎn)的PPC依次改變它們自己的網(wǎng)絡(luò)信息。實(shí)際上,該改變的PPC可以導(dǎo)致網(wǎng)絡(luò)生成樹配置的全部的改變。
雖然上述技術(shù)已經(jīng)在許多應(yīng)用中證明是有好處的,本發(fā)明人已經(jīng)認(rèn)識到在上面描述的與某些網(wǎng)絡(luò)異常類型有關(guān)的操作中可以出現(xiàn)缺陷。例如,一個當(dāng)代計(jì)算的不幸事實(shí)是用戶常常尋求未授權(quán)訪問計(jì)算機(jī),以及這樣的用戶被認(rèn)為嘗試在網(wǎng)絡(luò)環(huán)境中進(jìn)行“欺騙”,就是說,連接到網(wǎng)絡(luò)并且使他們的站提供為一個授權(quán)的網(wǎng)絡(luò)節(jié)點(diǎn)而事實(shí)上它不是。實(shí)際上,這樣一個作惡者可以尋求作為一個用戶站來連接,但是假裝一個根網(wǎng)絡(luò)橋的行為,以具有通常提供給真正的根網(wǎng)絡(luò)橋的訪問和控制。為了促進(jìn)這樣一個結(jié)果,該作惡者可以使它的用戶站發(fā)出一個BPDU以斷言它是一個橋節(jié)點(diǎn)并且它已經(jīng)獲得了根橋節(jié)點(diǎn)的地位,因此將其放入一個來從其他橋節(jié)點(diǎn)接收各種信息的位置。作為另一個例子,BPDU中的錯誤,例如由于真實(shí)的橋節(jié)點(diǎn)造成的錯誤而插入的,也可以造成錯誤的信息向其他橋節(jié)點(diǎn)傳播。在任一種情況中,因此,網(wǎng)絡(luò)的其他橋節(jié)點(diǎn)接收到該BPDU,作為響應(yīng)可以改變它們自己的表信息,以及作為相應(yīng)也可以引起網(wǎng)絡(luò)配置的改變。無疑地,這樣的改變在響應(yīng)錯誤信息而造成網(wǎng)絡(luò)改變的程度上是不希望的,無論它是由錯誤的或是非法的意圖而傳播的。
由于上述的缺陷,某些改善生成樹協(xié)議的解決方案已經(jīng)在在先技術(shù)中被提出。例如,BPDU保護(hù)增強(qiáng)已經(jīng)被引入以通過明確地定義域邊界來增強(qiáng)STP安全。一旦該BPDU保護(hù)在一個端口被激活,如果從該端口接收到一個BPDU該端口將變?yōu)榻?disabled)。這種方式,任何在該具有BPDU保護(hù)激活的端口后面的設(shè)備都不允許參與STP。結(jié)果,激活的以太網(wǎng)拓?fù)涫欠€(wěn)定的。作為另一個例子,存在一種根保護(hù)技術(shù)。在這種技術(shù)中,根保護(hù)被基于每個端口配置,并且不允許該端口成為一個STP根端口。這意味著端口總是STP指定的,并且如果在這個端口上接收到了更好的BPDU,BPDU保護(hù)禁止該端口,而不是考慮該BPDU和選擇一個新的STP根。根保護(hù)需要在不應(yīng)該出現(xiàn)根橋的地方的全部端口上被激活。作為另一個例子,能夠在以太網(wǎng)中使用加密算法(例如,MAC安全)。為了實(shí)現(xiàn)一個安全的STP,BPDU消息需要被加密。
雖然上述的方法在各種環(huán)境中可以有幫助,它們不保護(hù)STP免于橋故障。端口保護(hù)僅保護(hù)用戶端口。根保護(hù)需要手工設(shè)置并且不靈活或不可擴(kuò)展。MAC安全方法需要昂貴的加密和網(wǎng)絡(luò)范圍的升級。因此,需要更好的優(yōu)化和應(yīng)用,如由以下進(jìn)一步描述的優(yōu)選實(shí)施方式所實(shí)現(xiàn)的。
發(fā)明內(nèi)容
在一個優(yōu)選實(shí)施方式中,存在一個橋接網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)包含多個橋節(jié)點(diǎn)。該多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)都被連接為與該多個節(jié)點(diǎn)的至少一個其他鄰接橋節(jié)點(diǎn)通信。該多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)包含用于和該多個節(jié)點(diǎn)的另一個橋節(jié)點(diǎn)或一個網(wǎng)絡(luò)服務(wù)器這兩者中的至少一個進(jìn)行通信的電路。該多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)進(jìn)一步包含用于存儲至少一個鄰接橋節(jié)點(diǎn)的生成樹參數(shù)的電路,該參數(shù)從該多個節(jié)點(diǎn)的另一個橋節(jié)點(diǎn)和該網(wǎng)絡(luò)服務(wù)器這兩者中的至少一個接收到。
也描述和要求了其他的方面。
圖1示出了一個總體上指定為10并作為優(yōu)選實(shí)施方式的一個例子的網(wǎng)絡(luò)系統(tǒng)。
圖2示出了一個根據(jù)一個優(yōu)選實(shí)施方式的描述包括在系統(tǒng)10中的功能的流程圖方法20。
圖3示出了一個與圖1的系統(tǒng)10相同的且具有一處修改的系統(tǒng)10’。
圖4示出了一個描述包括在上面介紹的系統(tǒng)10或10’中的另外的功能的流程圖方法40。
具體實(shí)施例方式
圖1示出了一個總體上指定為10并作為優(yōu)選實(shí)施方式的一個例子的網(wǎng)絡(luò)系統(tǒng)??傮w上在圖1中所示的層次上,系統(tǒng)10中的每個項(xiàng)在本領(lǐng)域中都是公知的,其中所示的節(jié)點(diǎn)可以使用各種形式的硬件和軟件編程來構(gòu)造以執(zhí)行與在這個文檔中的討論相一致的步。然而,如隨后詳細(xì)描述的,該操作方法和某些添加到橋節(jié)點(diǎn)的功能為優(yōu)選實(shí)施方式提供,并工作為總體上改進(jìn)系統(tǒng)10,這樣的方法和功能可以容易地添加到已經(jīng)存在的如系統(tǒng)10的系統(tǒng)的硬件和軟件編程中。實(shí)際上,結(jié)果,優(yōu)選實(shí)施方式是靈活的并且可擴(kuò)展到不同大小的網(wǎng)絡(luò)。系統(tǒng)10總體上代表一個橋接網(wǎng)絡(luò),例如包括許多城域節(jié)點(diǎn)的城域以太網(wǎng)網(wǎng)絡(luò),它也被稱為以太網(wǎng)交換機(jī)。注意在系統(tǒng)10中節(jié)點(diǎn)之間的物理連接可以以各種方式被提及并且可以以各種方式實(shí)現(xiàn),但無論如何它們允許每兩個相連的節(jié)點(diǎn)組之間的雙向通信。通過數(shù)據(jù)塊來通信,該數(shù)據(jù)塊經(jīng)常被稱作消息、幀或分組。此外,在核心網(wǎng)絡(luò)內(nèi)并且如本領(lǐng)域內(nèi)所公知的,可以強(qiáng)加一個另外的路由層,例如利用一個或更多生成樹,其定義了消息在核心網(wǎng)絡(luò)內(nèi)沿其通信的路徑,用于沿著給定的生成樹通信。實(shí)際上,圖1的連通性是為了舉例說明這樣一個生成樹,同時理解這樣的連通性因此在形式上是物理和邏輯這兩者的,其中可以存在另外的物理的連接但沒有表示出來,因?yàn)樗鼈儾皇钱?dāng)前生成樹的組成部分。
然后總體上參看系統(tǒng)10,它包括五個橋節(jié)點(diǎn)BRN0到BRN4,其中橋節(jié)點(diǎn)BRN0在所示的本例子中假定為根橋節(jié)點(diǎn)。典型地,因此,作為一個根節(jié)點(diǎn),橋節(jié)點(diǎn)BRN0應(yīng)該具有最高的優(yōu)先級,通常通過使每個橋節(jié)點(diǎn)具有相應(yīng)的橋ID或橋優(yōu)先級數(shù)字來將優(yōu)先級呈現(xiàn)給系統(tǒng)10內(nèi)的全部節(jié)點(diǎn),其中該ID或數(shù)字代表每個節(jié)點(diǎn)的相應(yīng)優(yōu)先級,包含因此識別哪個橋節(jié)點(diǎn)為根的一個ID(或優(yōu)先級)。無論如何,作為根,橋節(jié)點(diǎn)BRN0連接到一個網(wǎng)絡(luò)服務(wù)器NS,它由于以下中更加清楚的原因而有時被稱為認(rèn)證服務(wù)器,并且它連接到一個數(shù)據(jù)庫DB。以虛線的方式示出了從橋節(jié)點(diǎn)BRN0到網(wǎng)絡(luò)服務(wù)器NS的連接,因?yàn)閷?shí)際上在系統(tǒng)10內(nèi)的全部橋節(jié)點(diǎn)可以和網(wǎng)絡(luò)服務(wù)器NS通信,盡管在圖1中示出了到橋節(jié)點(diǎn)BRN0的明確連接,僅僅因?yàn)樵谀莻€例子中橋節(jié)點(diǎn)BRN0是根節(jié)點(diǎn)。另外,雖然沒有示出,網(wǎng)絡(luò)管理員(或“網(wǎng)絡(luò)管理者”)由于各種原因也可以有權(quán)訪問網(wǎng)絡(luò)服務(wù)器NS,包括輸入某些生成樹參數(shù)的能力,例如根ID和可供選擇的根ID,用于認(rèn)證使用,如以下進(jìn)一步可理解的。無論如何,橋優(yōu)先級,一旦存儲在每個節(jié)點(diǎn)中,在系統(tǒng)10中故障之后提供控制。
在系統(tǒng)10中,每個橋節(jié)點(diǎn)BRNx也經(jīng)由相應(yīng)的端口連接到一個或更多其他橋節(jié)點(diǎn)。例如,橋節(jié)點(diǎn)BRN0經(jīng)由端口BP0.0連接到橋節(jié)點(diǎn)BRN1,橋節(jié)點(diǎn)BRN0也經(jīng)由端口BP0.1連接到橋節(jié)點(diǎn)BRN4。注意所示的橋節(jié)點(diǎn)的連接可以通過直接的連接或存在僅作為路由節(jié)點(diǎn)而沒有橋節(jié)點(diǎn)功能的中間節(jié)點(diǎn),其中典型地,這樣的中間節(jié)點(diǎn)不包括在橋節(jié)點(diǎn)之間的跳距離的度量標(biāo)準(zhǔn)中。無論如何,從圖1的圖示中,本領(lǐng)域熟練的人員會認(rèn)識到圖1中橋節(jié)點(diǎn)之間的其余的連接,這些連接連同以上討論過的連接總結(jié)在下面的表1中
表1繼續(xù)關(guān)于系統(tǒng)10,為了舉例,也示出了多個橋節(jié)點(diǎn)連接到用戶站節(jié)點(diǎn)USy.z,它們可以通過其他名稱被提及,例如客戶節(jié)點(diǎn)或客戶站。用戶站節(jié)點(diǎn)是可以在全球互聯(lián)網(wǎng)內(nèi)或在位于遠(yuǎn)處的網(wǎng)絡(luò)處-例如在一個商業(yè)實(shí)體的不同物理位置-實(shí)現(xiàn)的節(jié)點(diǎn)的例子。典型地,因此,對于某些用戶站節(jié)點(diǎn)是希望和其他節(jié)點(diǎn)通信的,因此一個橋節(jié)點(diǎn)的關(guān)鍵功能是以不侵入的或甚至對于用戶節(jié)點(diǎn)可辨別的方式,促進(jìn)這樣的通信。結(jié)果,在系統(tǒng)10中的一個用戶站可以跨越很遠(yuǎn)的距離與系統(tǒng)10中的另一個用戶站通信,而對它們之間的網(wǎng)絡(luò)層次和節(jié)點(diǎn)透明。圖1中用戶站的例子的連通性總結(jié)在下面的表2中
表2系統(tǒng)10也包括阻塞BLKx以強(qiáng)加一個另外的路由控制層,如以上在這個文檔的背景技術(shù)部分中所介紹的。在本例子中,讓那個路由控制是一個生成樹,其定義了消息沿其可以在橋接網(wǎng)絡(luò)中通信的路徑。例如,在橋節(jié)點(diǎn)BRN2和BRN3之間示出了一個阻塞BLK1。作為阻塞BLK1的結(jié)果,沒有經(jīng)過系統(tǒng)10中的至少一個其他橋節(jié)點(diǎn),橋節(jié)點(diǎn)BRN2不可以和BRN3通信。例如,從橋節(jié)點(diǎn)BRN2到BRN3的通信路徑經(jīng)由BRN1、BRN0、BRN4到BRN3跨越四個橋節(jié)點(diǎn)的跳距離。以相似的方式,在橋節(jié)點(diǎn)BRN1和BRN4之間示出了一個阻塞BLK2。作為阻塞BLK2的結(jié)果,沒有經(jīng)過系統(tǒng)10中的至少一個其他橋節(jié)點(diǎn),橋節(jié)點(diǎn)BRN1不可以和BRN4通信。例如,從橋節(jié)點(diǎn)BRN1到BRN4的通信路徑經(jīng)由BRN0到BRN4跨越兩個橋節(jié)點(diǎn)的跳距離。
現(xiàn)在已經(jīng)介紹了系統(tǒng)10,注意在正確的操作下,通過控制消息(例如,橋協(xié)議數(shù)據(jù)單元-“BPDU”)在橋節(jié)點(diǎn)中的協(xié)商,創(chuàng)建該生成樹拓?fù)?,?dāng)它們正在啟動或重新復(fù)位時。如在系統(tǒng)10中所示,一個橋節(jié)點(diǎn)(例如,BRN0)被選擇作為根。同樣在這個過程期間,其余的橋節(jié)點(diǎn)每個發(fā)現(xiàn)到達(dá)根節(jié)點(diǎn)的最低代價路徑并阻塞其他冗余的數(shù)據(jù)路徑(例如,阻塞BLK1和BLK2),從而創(chuàng)建全部的生成樹。然而,各種原因可以導(dǎo)致生成樹協(xié)議的一個異常,例如通過橋節(jié)點(diǎn)故障或通過在BPDU中斷言虛假信息來欺騙系統(tǒng)10的惡意用戶。關(guān)于前者的例子,假如用戶站US3.1的用戶尋求未授權(quán)訪問網(wǎng)絡(luò)信息,這樣的訪問可以通過使用戶站以支持的BPDU的形式發(fā)布虛假的數(shù)據(jù)的方式來尋求,其中用戶站US3.1提供自己作為根橋節(jié)點(diǎn),而事實(shí)上它是一個用戶站。如果這個嘗試成功了,其他橋節(jié)點(diǎn)會重新收斂并且很有可能該生成樹會被改變,例如通過重新定位阻塞BLK1和BLK2中的一個或兩個,也將訪問權(quán)給予不旨在用于正確的和授權(quán)的網(wǎng)絡(luò)操作的用戶站US3.1。因此,作為這樣一個嘗試或橋節(jié)點(diǎn)故障的結(jié)果,當(dāng)生成樹協(xié)議沒有正確地收斂,在網(wǎng)狀網(wǎng)絡(luò)中會形成環(huán)回或攻擊者能夠利用該情形在網(wǎng)絡(luò)業(yè)務(wù)量上進(jìn)行竊聽和發(fā)動拒絕服務(wù)(“DoS”)攻擊。該優(yōu)選實(shí)施方式,然而,尋求減少或消除這些可能性,如下面進(jìn)一步所探究的。
圖2示出了一個根據(jù)一個優(yōu)選實(shí)施方式的描述包括在系統(tǒng)10中的功能的流程圖方法20,也通過結(jié)合圖3的例子進(jìn)行解釋,圖3示出了一個與圖1中的系統(tǒng)10相同且具有一處修改的系統(tǒng)10’。具體地,在圖3中,示出了一個另外的橋節(jié)點(diǎn)BRN5連接到系統(tǒng)10,具有多種牽連,涉及如本文檔中其余部分中所描述的。在這個增加節(jié)點(diǎn)的例子中,因此,橋節(jié)點(diǎn)BRN2和BRN5如先前所定義的是鄰居或鄰接節(jié)點(diǎn),其中在這個例子中,它們是這樣因?yàn)闃蚬?jié)點(diǎn)端口BP2.4直接連接到橋節(jié)點(diǎn)端口BP5.0,所以這些橋節(jié)點(diǎn)可以直接地彼此傳送消息,而不需要經(jīng)過一個或更多中間橋節(jié)點(diǎn)。
作為介紹,注意除了方法20之外,本領(lǐng)域中所公知的各種其他功能可以通過系統(tǒng)10作為一個整體或通過它的一個或更多組件來實(shí)現(xiàn),其中方法20因此沒有示出這樣的另外步驟以便聚焦于本優(yōu)選實(shí)施方式的新穎的方面。
在方法20中,第一步驟30應(yīng)用于每個橋節(jié)點(diǎn)BRNX,其中相應(yīng)的節(jié)點(diǎn)等候一個到可信網(wǎng)絡(luò)的新的橋接。通過使用術(shù)語可信網(wǎng)絡(luò),假設(shè)已經(jīng)到達(dá)了某一穩(wěn)定狀態(tài),由此例如系統(tǒng)10的網(wǎng)絡(luò)具有確定數(shù)目的橋節(jié)點(diǎn),每個橋節(jié)點(diǎn)經(jīng)由一個或更多端口經(jīng)由相應(yīng)的鏈路連接到在網(wǎng)絡(luò)中的其他節(jié)點(diǎn),其中每個那些連接都在一個過程中核實(shí)為許可,該過程經(jīng)常被稱為“認(rèn)證”,如下面所進(jìn)一步詳細(xì)描述的。作為例子,因此,在圖1中假設(shè)每個圖示出的橋節(jié)點(diǎn)已經(jīng)認(rèn)證,以及因此,那時那些橋節(jié)點(diǎn)的全部組成可信網(wǎng)絡(luò)。
當(dāng)建立了一條新的橋節(jié)點(diǎn)鏈路時,那么方法20從步驟30繼續(xù)到步驟32。當(dāng)通過多于一條鏈路已經(jīng)在網(wǎng)絡(luò)中的一個橋節(jié)點(diǎn)為了尋求建立到另一個已經(jīng)在網(wǎng)絡(luò)中的橋節(jié)點(diǎn)的另一個鏈路的時候,或其中一個先前沒有連接到網(wǎng)絡(luò)的新的橋節(jié)點(diǎn)第一次連接到網(wǎng)絡(luò)時,這可以發(fā)生。作為舉例說明這后者的例子,回想起在圖3中的橋節(jié)點(diǎn)BRN5是在系統(tǒng)10和10’之間新近加入的節(jié)點(diǎn)并且已經(jīng)建立了一個從它的端口BP5.0到橋節(jié)點(diǎn)BRN2的端口BP2.4的新的鏈路。作為響應(yīng),步驟32如本領(lǐng)域所公知的操作。具體地,當(dāng)一個新的橋節(jié)點(diǎn)鏈路連接到一個已經(jīng)存在的橋節(jié)點(diǎn)時,開始以上介紹的認(rèn)證過程,由此核實(shí)新連接的真實(shí)性。特別地,新鏈路所連接的已存在的橋節(jié)點(diǎn)成為關(guān)于該新橋節(jié)點(diǎn)的認(rèn)證者,該新橋節(jié)點(diǎn)或新鏈路的橋節(jié)點(diǎn)上的端口是請求者。該請求者,實(shí)際上,向認(rèn)證者請求認(rèn)證,如果被批準(zhǔn),將允許該請求者鏈路加入可信網(wǎng)絡(luò)。作為對該請求者的請求的響應(yīng),認(rèn)證者開始和網(wǎng)絡(luò)服務(wù)器NS進(jìn)行通信。因此,在圖3的例子中,橋節(jié)點(diǎn)BRN2的端口BP2.4成為橋節(jié)點(diǎn)BRN5的請求者端口BP5.0的認(rèn)證者,因此,橋節(jié)點(diǎn)BRN2沿著不同的端口向網(wǎng)絡(luò)服務(wù)器NS和數(shù)據(jù)庫DS(經(jīng)由一個或更多中間橋節(jié)點(diǎn),在這個例子中例如經(jīng)由BRN0)發(fā)送響應(yīng)請求。假設(shè)各種信息正確地呈現(xiàn)在這個請求中,那么網(wǎng)絡(luò)服務(wù)器NS根據(jù)在先技術(shù)確定用于新鏈路的生成樹參數(shù),就是說,充分的信息以包括新鏈路,該新鏈路包括在當(dāng)前或新收斂的生成樹中的請求節(jié)點(diǎn)端口。這些參數(shù)包括一個識別當(dāng)前的根橋節(jié)點(diǎn)的當(dāng)前根ID的標(biāo)識,其中此處是節(jié)點(diǎn)BRN0,也包括生成該請求的橋節(jié)點(diǎn)端口的端口路徑代價(“PPC”),其中此處請求端口是橋節(jié)點(diǎn)BRN5的端口BP5.0。從這個文檔的背景技術(shù)部分回想起PPC是一個在該生成樹中沿著從產(chǎn)生該BPDU的橋節(jié)點(diǎn)的指定端口到一個確定位置例如“根”橋節(jié)點(diǎn)的路徑的傳輸?shù)拇鷥r的效率度量標(biāo)準(zhǔn)。因此,假設(shè)每個圖示的端口到端口鏈路都有長度1的PPC,那么會為橋節(jié)點(diǎn)BRN5的請求者端口BP5.0確定該P(yáng)PC等于3。
在步驟32中完成PPC的確定之后,方法20繼續(xù)到步驟34。此處,根據(jù)在先技術(shù),包括那個PPC和當(dāng)前根節(jié)點(diǎn)ID的生成樹參數(shù)從網(wǎng)絡(luò)服務(wù)器NS傳送給請求者橋節(jié)點(diǎn),該節(jié)點(diǎn)為了將來網(wǎng)絡(luò)操作的目的存儲那個PPC。注意最好經(jīng)由一個認(rèn)證者橋節(jié)點(diǎn)傳送這個信息,在圖3的例子中認(rèn)證者橋節(jié)點(diǎn)是橋節(jié)點(diǎn)BRN2。對本優(yōu)選實(shí)施方式的進(jìn)一步,然而,請求者橋節(jié)點(diǎn)的PPC信息和當(dāng)前根節(jié)點(diǎn)ID不僅通過認(rèn)證者向請求者傳遞,而且最好該相同信息也由認(rèn)證者橋節(jié)點(diǎn)存儲和維護(hù)。換句話說,根據(jù)本優(yōu)選實(shí)施方式,將被給新鏈路請求橋節(jié)點(diǎn)端口的生成樹參數(shù)不僅由該P(yáng)PC所適用的請求橋節(jié)點(diǎn)存儲,在某種程度上,也由作為認(rèn)證者操作的鄰接節(jié)點(diǎn)存儲,該鄰接節(jié)點(diǎn)可以歸結(jié)或跟蹤那些關(guān)于該新鏈路請求橋節(jié)點(diǎn)的參數(shù),在本文檔中為了參考和一致性的目的但沒有限制,假設(shè)由鄰接節(jié)點(diǎn)進(jìn)行的存儲被稱為在鄰居跟蹤表中的存儲,就是說,這些被存儲在一個節(jié)點(diǎn)(例如,認(rèn)證者)的存儲器等中的信息跟蹤最初事實(shí)上屬于并發(fā)送給該鄰接(例如,請求者)節(jié)點(diǎn)的信息。每個橋節(jié)點(diǎn)的真正的物理鄰居跟蹤表為了簡化說明而沒有示出,但本領(lǐng)域熟練的人員會容易的認(rèn)識到這種設(shè)備的硬件容易有權(quán)訪問存儲器的存儲。無論如何,另外,其他旨在用于請求請求者橋節(jié)點(diǎn)的信息也可以由該鄰接認(rèn)證者橋節(jié)點(diǎn)存儲。這個存儲信息的原因和使用將在隨后詳細(xì)描述。
已經(jīng)說明了請求者橋節(jié)點(diǎn)和認(rèn)證該請求者橋節(jié)點(diǎn)的認(rèn)證者節(jié)點(diǎn)的生成樹參數(shù)的通信和存儲,注意方法20最好當(dāng)每個橋節(jié)點(diǎn)或節(jié)點(diǎn)端口連接添加到可信網(wǎng)絡(luò)時應(yīng)用。結(jié)果,每次建立一個新的鏈路時,經(jīng)由新鏈路請求連接的橋節(jié)點(diǎn)端口會得到它的PPC和當(dāng)時存在的根節(jié)點(diǎn)ID的通知,它的鄰接橋(即,直接地連接到請求橋節(jié)點(diǎn)的認(rèn)證者橋節(jié)點(diǎn))也一樣會得到通知。因此,隨著時間過去,以及當(dāng)網(wǎng)絡(luò)中的鏈路數(shù)目隨同本優(yōu)選實(shí)施方式的執(zhí)行而增長,那么每個橋節(jié)點(diǎn)將會存儲有它自己的PPC值和那些用于任何它直接連接的鄰接節(jié)點(diǎn),其中這樣的直接連接包括中間橋到橋連接,或此時一個橋節(jié)點(diǎn)通過一個或更多透明的非橋節(jié)點(diǎn)連接到另一個橋節(jié)點(diǎn),在這種情況下在后者中,兩個橋節(jié)點(diǎn)邏輯上還是直接連接的。從PPC和根節(jié)點(diǎn)ID信息的分發(fā)產(chǎn)生了各種好處,如下面進(jìn)一步展現(xiàn)的。
圖4示出了一個描述包括在以上介紹的系統(tǒng)10或10’中的另外的功能的流程圖方法40,那也將通過結(jié)合圖3例子來解釋,同時應(yīng)當(dāng)理解它同樣適用于圖1。由于具有方法20的一部分,方法40最好應(yīng)用于系統(tǒng)10和10’中的每個橋節(jié)點(diǎn)。在橋節(jié)點(diǎn)已經(jīng)加入可信網(wǎng)絡(luò)和生成樹收斂發(fā)生之后,預(yù)期在未來的某個時刻那個橋節(jié)點(diǎn)會再次發(fā)送一個具有斷言作為生成樹參數(shù)的控制消息(例如,BPDU),就是說,它會包括聲明或提議作為網(wǎng)絡(luò)根節(jié)點(diǎn)ID和它自己PPC。因此,方法40的步驟42代表一個等待狀態(tài),其中每個橋節(jié)點(diǎn)可以提供其他功能例如路由網(wǎng)絡(luò)業(yè)務(wù)量等,同時也等待來自網(wǎng)絡(luò)中任何其他橋節(jié)點(diǎn)的這樣的BPDU。
當(dāng)由橋節(jié)點(diǎn)從鄰接橋節(jié)點(diǎn)接收到BPDU時,那么方法40從步驟42繼續(xù)到步驟44。作為步驟44響應(yīng)的介紹,注意可以由于各種原因接收到這樣的BPDU。作為第一組例子,可以出現(xiàn)某些普通的和正確的事件并可以導(dǎo)致BPDU的發(fā)布,例如可以在系統(tǒng)10和10’中尋求新的鏈路,或可能已經(jīng)發(fā)生故障,例如失敗的鏈路。然而,作為第二組和相反的例子,可以發(fā)生不正確的事件,例如其中BPDU代表節(jié)點(diǎn)的非法嘗試以獲取不正確的對系統(tǒng)10或10’的資源的部分的訪問或控制。無論如何,如當(dāng)前說明的,步驟44開始了一個過程來從第二個例子組區(qū)別和辨別第一個例子組。通常,步驟44基于它察覺到由接收到的BPDU所代表的這兩組中的哪一個來指引流程,其中通過檢查接收到的BPDU中的一個或更多生成樹參數(shù)實(shí)現(xiàn)確定。在本優(yōu)選實(shí)施方式中,通過查詢關(guān)于兩個生成樹參數(shù)發(fā)展了這個察覺,以及至少為了易于當(dāng)前的解釋,下面分別討論每個查詢。
在第一查詢中,在BPDU接收節(jié)點(diǎn)處步驟44將接收到的BPDU中的PPC與預(yù)先存儲的(來自步驟34)用于那個鄰接節(jié)點(diǎn)的PPC相比較,就是說,和先前存儲在接收橋節(jié)點(diǎn)的鄰居跟蹤表中的PPC的值比較。換句話說,回想起來自圖2的步驟34的先前發(fā)生的事情中的接收橋節(jié)點(diǎn)在它自己的鄰居跟蹤表中存儲了最初傳送給該橋節(jié)點(diǎn)的PPC值(和根節(jié)點(diǎn)ID)。因此,在步驟44中,接收橋節(jié)點(diǎn)參考這個表來將那先前存儲的PPC值,先前給予并由此歸于該鄰居節(jié)點(diǎn),與現(xiàn)在從該鄰居節(jié)點(diǎn)接收到的值相比較。對本優(yōu)選實(shí)施方式的進(jìn)一步,如果當(dāng)前接收到的PPC值小于對應(yīng)鄰居跟蹤表的PPC值,那么該較小的PPC值代表一種情況,其中會觸發(fā)生成樹的改變;換句話說,該鄰居節(jié)點(diǎn)當(dāng)前發(fā)送的實(shí)際上是提議的PPC的減小,這典型地會觸發(fā)生成樹重新收斂同時節(jié)點(diǎn)將尋求最優(yōu)化路徑以利用好像現(xiàn)在可用的全部較低的PPC。如果這樣的提議是正確的,那么當(dāng)然按照它行動會是有利的,但是它是不正確的,因此它可能不必要引起生成樹改變和實(shí)際上將授權(quán)給予不需要真正授權(quán)的地方。結(jié)果,當(dāng)步驟44進(jìn)行它的PPC比較時,如果該當(dāng)前接收到的PPC值小于相對應(yīng)的鄰居跟蹤表PPC值,那么步驟44將方法40的控制繼續(xù)向前到步驟46,但是如果該當(dāng)前接收到的PPC值等于或大于相對應(yīng)的鄰居跟蹤表PPC值,那么步驟44將方法40的控制向前繼續(xù)到步驟48。兩個可選擇的結(jié)果步驟46和步驟48在后面論述。
在第二查詢中,在BPDU接收節(jié)點(diǎn)處步驟44將接收到的BPDU中的根節(jié)點(diǎn)ID與用于該鄰接節(jié)點(diǎn)的存儲在接收橋節(jié)點(diǎn)的鄰居跟蹤表中的根節(jié)點(diǎn)ID相比較?;叵肫鹩糜谠撪徑庸?jié)點(diǎn)的并存儲在接收橋節(jié)點(diǎn)的鄰居跟蹤表中的根節(jié)點(diǎn)ID在圖2的步驟34的在先發(fā)生的事件中被存儲,或者,作為選擇,如果已經(jīng)經(jīng)由網(wǎng)絡(luò)管理者等對根ID進(jìn)行了合法的改變,那么在本優(yōu)選實(shí)施方式中在該過程期間,每個橋節(jié)點(diǎn)用該改變的ID更新對應(yīng)于其鄰接節(jié)點(diǎn)的它的鄰居跟蹤表。無論如何,在步驟44中,該接收橋節(jié)點(diǎn)參考這個表來將先前存儲的根節(jié)點(diǎn)ID值和現(xiàn)在從該鄰接節(jié)點(diǎn)接收到的值相比較。對本優(yōu)選實(shí)施方式的進(jìn)一步,如果這兩個節(jié)點(diǎn)值不同,那么這也代表一種情況,其中會觸發(fā)生成樹的改變。因此,如果接收的BPDU的根節(jié)點(diǎn)ID值不同于鄰居跟蹤表中相對應(yīng)的一個,那么步驟44將方法40的控制向前繼續(xù)到步驟46。相反地,如果相比較的根節(jié)點(diǎn)ID值相同,那么步驟44將方法40的控制向前繼續(xù)到步驟48。
在步驟46中,由于探測到PPC的減小或根節(jié)點(diǎn)ID的改變而到達(dá)該步驟,接收橋節(jié)點(diǎn)向發(fā)送鄰接節(jié)點(diǎn)請求授權(quán)檢查,其中最好通過網(wǎng)絡(luò)服務(wù)器NS滿足該授權(quán)檢查。因此,響應(yīng)這個授權(quán)檢查請求,現(xiàn)在發(fā)送引起在步驟44中識別的BPDU的橋節(jié)點(diǎn)的同一個端口被請求通過與網(wǎng)絡(luò)服務(wù)器NS的通信和提供某些形式的認(rèn)證來證明它的授權(quán),僅在如果核實(shí)了該橋節(jié)點(diǎn)端口在系統(tǒng)10或10’內(nèi)的情況下,網(wǎng)絡(luò)服務(wù)器NS大概會將所述認(rèn)證提供給該橋節(jié)點(diǎn)。例如,這樣的認(rèn)證可以以提供網(wǎng)絡(luò)密鑰或授權(quán)令牌的形式出現(xiàn)。因此,在來自步驟46的授權(quán)請求之后,方法40繼續(xù)到步驟50。
步驟50描述了用于在步驟46中發(fā)布授權(quán)請求的橋節(jié)點(diǎn)的等待狀態(tài),其中在一定時間段之后,步驟50確定是否已經(jīng)由在步驟46中發(fā)送請求的端口返回有效的授權(quán)。如果沒有收到該授權(quán),那么方法40從步驟50繼續(xù)到步驟52。如果接收到該授權(quán),那么方法40從步驟50繼續(xù)到步驟54。
步驟52,由于在步驟46中請求的授權(quán)沒有正確的返回而到達(dá)該步驟,描述了一個對于該授權(quán)缺乏的優(yōu)選反應(yīng)。具體地,在步驟52中,發(fā)布警報(bào)來向網(wǎng)絡(luò)管理者等表明接收到了可疑的BPDU(在先前的步驟42中)。另外,注意步驟52表明阻止接收到的BPDU在系統(tǒng)10和10’中向前轉(zhuǎn)發(fā)。因此,除了該警報(bào),網(wǎng)絡(luò)管理者可以得知關(guān)于所討論的BPDU的各種詳細(xì)信息,并且他或她同樣會得知該BPDU沒有在所討論的生成樹中被向前轉(zhuǎn)發(fā)。在步驟52之后,方法40返回步驟42,就是說,剛才接收到BPDU的接收橋節(jié)點(diǎn),確定它為可疑的,報(bào)告一個警報(bào),并且不轉(zhuǎn)發(fā)它,然后返回到等待狀態(tài),因此它可以接收下一個BPDU并且基于該下一個BPDU中的生成樹參數(shù)與方法40的步驟相一致地行動,這個類型的操作反復(fù)用于系統(tǒng)10或10’中的全部橋節(jié)點(diǎn)并用于未來有關(guān)的BPDU。
現(xiàn)在返回步驟48,回想起當(dāng)不滿足步驟44時到達(dá)該步驟,就是說,當(dāng)接收到的BPDU不包括發(fā)送鄰接橋節(jié)點(diǎn)的較低的PPC或根節(jié)點(diǎn)ID的改變時。在步驟48中,接收節(jié)點(diǎn)更新存儲在接收橋節(jié)點(diǎn)的鄰居跟蹤表中的發(fā)送鄰接橋節(jié)點(diǎn)的PPC的值。換句話說,回想起圖2的方法20為每個橋節(jié)點(diǎn)建立鄰居跟蹤表,其中特定的橋節(jié)點(diǎn)存儲任何鄰接節(jié)點(diǎn)的PPC。因此,注意當(dāng)由發(fā)送鄰接橋節(jié)點(diǎn)在BPDU中表明一個較大(或相同)的PPC值時,到達(dá)步驟44,那么接收橋節(jié)點(diǎn)因此更新它的存儲的用于該發(fā)送鄰接橋節(jié)點(diǎn)的PPC值。接下來,方法40從步驟48繼續(xù)到步驟54。
在步驟54中,步驟48之后或?qū)τ诓襟E50的肯定的判定之后到達(dá)此步驟,每個橋節(jié)點(diǎn)操作為允許正常的生成樹協(xié)議(“STP”)收斂。因此,由橋節(jié)點(diǎn)在步驟42中接收到的且在步驟44中引起否定的判定的BPDU,或經(jīng)由步驟50返回授權(quán)的BPDU,會由接收橋節(jié)點(diǎn)繼續(xù)向前轉(zhuǎn)發(fā),其他節(jié)點(diǎn)會按照STP技術(shù)做出響應(yīng)。此外,注意收斂過程可以重新創(chuàng)建鏈路以便調(diào)用方法20,由此在各個鄰居跟蹤表中存儲根ID和PPC值的新值。之后,方法40返回到步驟42,因此每個橋節(jié)點(diǎn),收斂之后,再次等待另一個BPDU,并且方法40以以上描述的方式重復(fù)。
為了進(jìn)一步認(rèn)識方法40,現(xiàn)在考慮一些它的應(yīng)用的例子。注意這樣的例子不意在是窮盡的,但它們說明了優(yōu)選實(shí)施方式發(fā)明范圍的各個方面的靈活性和好處。因此,考慮如下情況(i)合法的新橋節(jié)點(diǎn)加入網(wǎng)絡(luò);(ii)向網(wǎng)絡(luò)加入新鏈路,包括失敗的鏈路恢復(fù);或(iii)非法的STP攻擊。下面進(jìn)一步探究這些例子的每一個。
當(dāng)合法的新橋節(jié)點(diǎn)加入網(wǎng)絡(luò)系統(tǒng)10或10’時,根據(jù)以上討論的優(yōu)選實(shí)施方式,該新橋節(jié)點(diǎn)從其端口沿著將它連接到系統(tǒng)的鏈路發(fā)布BPDU。例如在圖3的系統(tǒng)10’中,當(dāng)橋節(jié)點(diǎn)BRN5加入系統(tǒng)10’,它向橋節(jié)點(diǎn)BRN2的端口BP2.4發(fā)送BPDU。作為新橋,節(jié)點(diǎn)BRN5到此時為止不會斷言其PPC或根節(jié)點(diǎn)ID,因此,當(dāng)橋節(jié)點(diǎn)BRN2將步驟44應(yīng)用于接收到的BPDU時,既不涉及該P(yáng)PC也不涉及該根ID,因此,流程繼續(xù)到步驟48。由于在當(dāng)前BPDU中沒有提供新PPC,方法40繼續(xù)到步驟54,其中正常的收斂會將該新節(jié)點(diǎn)(即,BRN5)的BPDU向根節(jié)點(diǎn)傳遞。一旦該BPDU到達(dá)根節(jié)點(diǎn),該根節(jié)點(diǎn)確定用于該新加入的節(jié)點(diǎn)的PPC,并且連同根節(jié)點(diǎn)ID一起,該信息返回到該新節(jié)點(diǎn)。因此,在這個例子中,方法40不影響或阻止新的網(wǎng)絡(luò)鏈路的正常創(chuàng)建。而且,當(dāng)該新確定的PPC返回到該請求節(jié)點(diǎn)(例如,BRN5)時,然后根據(jù)方法20的步驟34,認(rèn)證者橋節(jié)點(diǎn)(例如,BRN2)會將該P(yáng)PC值存儲在它自己的鄰居跟蹤表的條目中并與該請求節(jié)點(diǎn)相對應(yīng),同時也向該請求鄰接節(jié)點(diǎn)發(fā)送這個信息。因此,為了未來的目的,為了稍后對由認(rèn)證者橋節(jié)點(diǎn)從它的鄰接橋節(jié)點(diǎn)接收到的另外的BPDU進(jìn)行分析而更新該鄰居跟蹤表。
當(dāng)向網(wǎng)絡(luò)添加新鏈路時,根據(jù)以上討論的優(yōu)選實(shí)施方式,操作類似于用于新節(jié)點(diǎn)的操作,盡管該BPDU可以已經(jīng)包括根節(jié)點(diǎn)ID的標(biāo)識。在該情況下,假設(shè)正確地和合法地尋求該期望的新鏈路,那么當(dāng)由接收建立新鏈路的請求的鄰接節(jié)點(diǎn)執(zhí)行步驟44時,該BPDU識別的根節(jié)點(diǎn)ID應(yīng)該和該接收鄰接節(jié)點(diǎn)所知道的相匹配。因此,再次否定地回答步驟44,所以流程繼續(xù)到步驟48。由于在當(dāng)前BPDU中沒有提供新PPC,方法40繼續(xù)到步驟54,其中正常的收斂會將該新鏈路的BPDU向根節(jié)點(diǎn)傳遞。一旦該BPDU到達(dá)根節(jié)點(diǎn),根據(jù)方法20的步驟32,該根節(jié)點(diǎn)確定用于該新加入的鏈路的PPC,并且連同根節(jié)點(diǎn)ID,該信息返回到該節(jié)點(diǎn)。因此,同樣在這個例子中,方法40不影響或阻止新的網(wǎng)絡(luò)鏈路的正常創(chuàng)建。而且,如同前面的例子,當(dāng)該新確定的PPC和根節(jié)點(diǎn)ID返回到該新鏈路請求節(jié)點(diǎn)時,那么根據(jù)方法20的步驟34,認(rèn)證者橋節(jié)點(diǎn)會將那些PPC和根節(jié)點(diǎn)ID值存儲在它自己的鄰居跟蹤表的條目中并與該請求節(jié)點(diǎn)的鏈路相對應(yīng),同時也向該請求節(jié)點(diǎn)發(fā)送這個信息。
當(dāng)作惡者在橋節(jié)點(diǎn)層次尋求未授權(quán)的訪問時,很有可能該實(shí)體會發(fā)布一個意圖呈現(xiàn)很低的PPC或該根節(jié)點(diǎn)ID的改變的BPDU;如果該作惡者嘗試影響未來的網(wǎng)絡(luò)業(yè)務(wù)量以達(dá)到它作為通往根節(jié)點(diǎn)的路徑,或作為實(shí)際的根節(jié)點(diǎn),就有可能是該情況。當(dāng)發(fā)布了這樣的BPDU時,然而,該接收鄰接節(jié)點(diǎn)會應(yīng)用方法40,步驟44會得到肯定的回答。因此,該接收鄰接節(jié)點(diǎn)會向該惡意的發(fā)送鄰接節(jié)點(diǎn)請求授權(quán),假設(shè)后者不能提供這樣的授權(quán),那么會由該接收節(jié)點(diǎn)發(fā)布報(bào)警,且不向前轉(zhuǎn)發(fā)該BPDU,所以它不會否則影響或擾亂系統(tǒng)10(或10’)的其余部分。因此,這樣的報(bào)警可以得到監(jiān)控,例如通過將它們存儲在日志等中,并且能夠采取進(jìn)一步的努力來保證網(wǎng)絡(luò)的完整性和消除不受歡迎的網(wǎng)絡(luò)訪問。
從以上中,本領(lǐng)域熟練的人員應(yīng)該認(rèn)識到優(yōu)選實(shí)施方式向橋接計(jì)算機(jī)網(wǎng)絡(luò)提供了改善的例如在網(wǎng)絡(luò)生成樹中某些異常的探測。確定的好處是改善的探測和防止未授權(quán)的嘗試改變生成樹配置。其他好處是報(bào)告未授權(quán)的改變生成樹配置的嘗試。還有其他好處包括當(dāng)尋求合法的改變網(wǎng)絡(luò)配置時生成樹收斂和正常操作,例如新的橋節(jié)點(diǎn)或橋鏈路的加入。作為其他好處,最小化或避免了各種其他在先技術(shù)方法的缺點(diǎn)。這些好處和其他的都會被本領(lǐng)域熟練的人員所認(rèn)識到。實(shí)際上,作為最終的好處,盡管已經(jīng)詳細(xì)地描述了本優(yōu)選實(shí)施方式,但是能夠?qū)σ陨辖o出的描述進(jìn)行各種替換、修正或改變,而不會偏離下面權(quán)利要求所定義的本發(fā)明范圍。
權(quán)利要求
1.一種橋接網(wǎng)絡(luò)系統(tǒng),包括多個橋節(jié)點(diǎn);其中所述多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)都被連接為與所述多個節(jié)點(diǎn)的至少一個其他鄰接橋節(jié)點(diǎn)通信;其中所述多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)包括用于和所述多個節(jié)點(diǎn)的另一個橋節(jié)點(diǎn)或網(wǎng)絡(luò)服務(wù)器這兩者中的至少一個進(jìn)行通信的電路;以及用于存儲從所述多個節(jié)點(diǎn)的另一個橋節(jié)點(diǎn)和所述網(wǎng)絡(luò)服務(wù)器這兩者中的至少一個接收的鄰接橋節(jié)點(diǎn)的至少一個生成樹參數(shù)的電路。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述至少一個生成樹參數(shù)包含根節(jié)點(diǎn)ID。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述至少一個生成樹參數(shù)包含一個沿著從所述鄰接節(jié)點(diǎn)到所述多個節(jié)點(diǎn)的一個選定節(jié)點(diǎn)的路徑傳送的代價的效率度量標(biāo)準(zhǔn)。
4.根據(jù)權(quán)利要求3所述的系統(tǒng),其中所述選定節(jié)點(diǎn)包含根節(jié)點(diǎn)。
5.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)都被編程為執(zhí)行如下步驟從鄰接橋節(jié)點(diǎn)端口接收第一控制消息;響應(yīng)所述第一控制消息向網(wǎng)絡(luò)服務(wù)器發(fā)送消息;從所述網(wǎng)絡(luò)服務(wù)器接收響應(yīng),其中所述響應(yīng)包括所述鄰接橋節(jié)點(diǎn)的所述至少一個生成樹參數(shù);將所述鄰接橋節(jié)點(diǎn)的所述至少一個生成樹參數(shù)存儲在將所述至少一個生成樹參數(shù)與所述鄰接橋節(jié)點(diǎn)端口相對應(yīng)的表中;以及將所述至少一個生成樹參數(shù)傳送給所述鄰接橋節(jié)點(diǎn)端口。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其中所述多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)都被進(jìn)一步編程為執(zhí)行如下步驟從鄰接橋節(jié)點(diǎn)端口接收第二控制消息,其中所述第二控制消息包括至少一個規(guī)定的生成樹參數(shù);以及將所述至少一個規(guī)定的生成樹參數(shù)與先前存儲的與所述鄰接橋節(jié)點(diǎn)端口相對應(yīng)的值相比較。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其中所述多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)都被進(jìn)一步編程為執(zhí)行,在所述比較步驟并且響應(yīng)所述比較步驟做出第一判定之后,請求來自所述鄰接節(jié)點(diǎn)的授權(quán)檢查。
8.一種橋節(jié)點(diǎn),為了在包括所述橋節(jié)點(diǎn),作為多個橋節(jié)點(diǎn)的一個的橋接網(wǎng)絡(luò)系統(tǒng)中使用,其中所述多個橋節(jié)點(diǎn)的每個橋節(jié)點(diǎn)都被連接為與所述多個橋節(jié)點(diǎn)的至少一個其他鄰接橋節(jié)點(diǎn)通信,所述橋節(jié)點(diǎn)包括用于和所述多個節(jié)點(diǎn)的另一個橋節(jié)點(diǎn)或網(wǎng)絡(luò)服務(wù)器這兩者中的至少一個進(jìn)行通信的電路;以及用于存儲從所述多個節(jié)點(diǎn)的另一個橋節(jié)點(diǎn)和所述網(wǎng)絡(luò)服務(wù)器這兩者中的至少一個接收的鄰接橋節(jié)點(diǎn)的至少一個生成樹參數(shù)的電路。
9.根據(jù)權(quán)利要求8所述的橋節(jié)點(diǎn),其中所述至少一個生成樹參數(shù)包括從一個集合中選擇出來的參數(shù),該集合包括根節(jié)點(diǎn)ID和沿著從所述鄰接節(jié)點(diǎn)到所述多個節(jié)點(diǎn)的一個選定節(jié)點(diǎn)的路徑傳送的代價的效率度量標(biāo)準(zhǔn)。
10.根據(jù)權(quán)利要求8所述的橋節(jié)點(diǎn),其中所述橋節(jié)點(diǎn)被編程為執(zhí)行如下步驟從鄰接橋節(jié)點(diǎn)端口接收第一控制消息;響應(yīng)所述第一控制消息向網(wǎng)絡(luò)服務(wù)器發(fā)送消息;從所述網(wǎng)絡(luò)服務(wù)器接收響應(yīng),其中所述響應(yīng)包括所述鄰接橋節(jié)點(diǎn)的所述至少一個生成樹參數(shù);將所述鄰接橋節(jié)點(diǎn)的所述至少一個生成樹參數(shù)存儲在將所述至少一個生成樹參數(shù)與所述鄰接橋節(jié)點(diǎn)端口相對應(yīng)的表中;以及將所述至少一個生成樹參數(shù)傳送給所述鄰接橋節(jié)點(diǎn)端口。
11.根據(jù)權(quán)利要求10所述的橋節(jié)點(diǎn),其中所述橋節(jié)點(diǎn)進(jìn)一步被編程為執(zhí)行如下步驟從鄰接橋節(jié)點(diǎn)端口接收第二控制消息,其中所述第二控制消息包括至少一個規(guī)定的生成樹參數(shù);以及將所述至少一個規(guī)定的生成樹參數(shù)與先前存儲的與所述鄰接橋節(jié)點(diǎn)端口相對應(yīng)的值相比較。
全文摘要
一種橋接網(wǎng)絡(luò)系統(tǒng)(10,10’)。該系統(tǒng)包含多個橋節(jié)點(diǎn)(BRN
文檔編號H04L12/46GK1855874SQ20061007247
公開日2006年11月1日 申請日期2006年4月17日 優(yōu)先權(quán)日2005年4月29日
發(fā)明者葛安, 吉里施·奇魯沃盧, 馬厄·艾麗 申請人:阿爾卡特公司