專利名稱:以太環(huán)網(wǎng)中防攻擊的方法、系統(tǒng)和交換設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),特別涉及一種以太環(huán)網(wǎng)中防攻擊的方法、系 統(tǒng)和交換設(shè)備,屬于通信技術(shù)領(lǐng)域。
背景技術(shù):
隨著以太網(wǎng)技術(shù)的飛速發(fā)展以及應(yīng)用的不斷提升,采用性價比極高的以 太網(wǎng)技術(shù)來構(gòu)建大型的企業(yè)網(wǎng)、城域網(wǎng)已經(jīng)成為一個不可阻擋的趨勢。在這 類規(guī)才莫大、業(yè)務(wù)多的網(wǎng)絡(luò)環(huán)境里面,絕大部分都是部署環(huán)形拓樸結(jié)構(gòu)的網(wǎng)絡(luò), 圖1為現(xiàn)有環(huán)形拓樸網(wǎng)絡(luò)結(jié)構(gòu)示意圖,如圖1所示,環(huán)形拓樸的特征就是每 臺設(shè)備使用兩個端口和相鄰的設(shè)備互連,形成一條閉合鏈路。若使用以太網(wǎng) 交換設(shè)備來構(gòu)建這種環(huán)形拓樸結(jié)構(gòu)的網(wǎng)絡(luò),就將其稱為以太環(huán)網(wǎng)。在一個以 太環(huán)網(wǎng)里面,最關(guān)鍵的兩個功能就是冗余和故障恢復(fù)。
所謂冗余是指在以太環(huán)網(wǎng)的環(huán)路完整的時候,必須有個端口阻塞數(shù)據(jù)轉(zhuǎn)
發(fā),以避免數(shù)據(jù)在環(huán)路里面不斷循環(huán),形成廣播風(fēng)暴。圖2為現(xiàn)有以太環(huán)網(wǎng) 的結(jié)構(gòu)示意圖,如圖2所示,交換設(shè)備A把和交換設(shè)備B互連的端口阻塞住 (圖中的圓圈表示阻塞),這樣^J:將無法穿透交換設(shè)備A上阻塞的那個端 口,從而該以太環(huán)網(wǎng)不會形成廣播風(fēng)暴。被阻塞的交換設(shè)備A和交換設(shè)備B 之間的鏈路被稱為備份鏈路,也就是說正常工作狀態(tài)下,該鏈路是不做數(shù)據(jù) 轉(zhuǎn)發(fā)的,而除此以外的其它鏈路都是可以轉(zhuǎn)發(fā)數(shù)據(jù)的,被稱為工作鏈路,如 圖2中交換設(shè)備A和交換設(shè)備D之間的鏈路就是工作鏈路。
所謂故障恢復(fù)是指以太環(huán)網(wǎng)的某條工作鏈路發(fā)生故障之后,數(shù)據(jù)轉(zhuǎn)發(fā)可 以從其它鏈路進行。如圖2所示,當交換設(shè)備D和交換設(shè)備C之間的工作鏈 路出現(xiàn)故障后,如圖2中的虛線"十叉,,所示,交換設(shè)備D和交換設(shè)備C之間的通信將中斷,由于圖2中交換設(shè)備A到交換設(shè)備B的端口是阻塞的,于 是交換設(shè)備D和交換設(shè)備C之間的鏈路故障后,交換設(shè)備D和交換設(shè)備C 將無法通信,即出現(xiàn)了通信故障。此時可以將交換設(shè)備A和交換設(shè)備B之間 的阻塞端口設(shè)置為可轉(zhuǎn)發(fā)數(shù)據(jù)的狀態(tài),則圖2中的備份鏈路可變成工作鏈路,
行中轉(zhuǎn)。這種情況稱為故障恢復(fù)。但是,如果交換設(shè)備A和交換設(shè)備B之間 的鏈路也出現(xiàn)故障的話,交換設(shè)備D和交換設(shè)備C就將一直無法進行通信, 本發(fā)明中提到的故障都是指一個環(huán)路里面只有一條鏈路出現(xiàn)故障的情況。
RFC3619定義了一種用于實現(xiàn)以太環(huán)網(wǎng)的技術(shù),稱為以太網(wǎng)自動保護切 換(Ethernet Automatic Protection switching,簡稱EAPs ) , EAPs包4舌了上述 的冗余和故障恢復(fù)功能。圖3為現(xiàn)有EAPs的結(jié)構(gòu)示意圖,如圖3所示,包 括主機設(shè)備(Master)和傳輸交換機。其中,主機設(shè)備上包括主端口和從端 口,主端口可以進行數(shù)據(jù)的轉(zhuǎn)發(fā),從端口可以阻塞數(shù)據(jù)以避免數(shù)據(jù)轉(zhuǎn)發(fā)形成 環(huán)路。當環(huán)路中的某條鏈路出現(xiàn)故障時,例如圖3中的傳輸交換機D和傳輸 交換機C之間的鏈路出現(xiàn)斷裂,則傳輸交換機D和傳輸交換機C會分別向主 機設(shè)備發(fā)送一個down消息,告訴主機設(shè)備有鏈路出現(xiàn)斷裂。主機設(shè)備收到 down消息后,直接將從端口設(shè)置為可以轉(zhuǎn)發(fā)數(shù)據(jù)的端口,并發(fā)送flush消息 通知傳輸交換機D和傳輸交換機C,從而通過主機設(shè)備和傳輸交換才幾B完成 數(shù)據(jù)的轉(zhuǎn)發(fā)。
如圖3所示,當連接在傳輸交換機C上的一用戶X偽造了一個down消 息并發(fā)送到EAPs環(huán)網(wǎng)中時,當環(huán)網(wǎng)中的主機設(shè)備接收到該down消息之后, 將會錯誤地認為環(huán)網(wǎng)已經(jīng)出現(xiàn)故障,而將其從端口設(shè)置為可轉(zhuǎn)發(fā)數(shù)據(jù)狀態(tài), 從而導(dǎo)致鏈路形成環(huán)路,引發(fā)廣播風(fēng)暴。為了解決該問題,現(xiàn)有技術(shù)采用在 以太環(huán)網(wǎng)的消息報文中攜帶認證信息的方式來鑒別非法的以太環(huán)網(wǎng)的消息報 文。具體為預(yù)先在發(fā)送報文的節(jié)點上保存認證信息,在接收報文的節(jié)點上 保存相同的認證信息;發(fā)送方在發(fā)送報文時,在報文中攜帶認證信息;接收方接收到報文后,讀取報文中的認證信息,與本地的認證信息進行比較,如 果一致,則處理所述才艮文,否則丟棄所述才艮文。
但是,上述方法會增加以太環(huán)網(wǎng)的協(xié)議的復(fù)雜性,需要預(yù)先在發(fā)送報文 的節(jié)點和接收報文的節(jié)點保存相同的認證信息,發(fā)送方需要在報文中攜帶認
證信息,接收方需要對接收到的報文進行鑒別。而且,由于認證信息是預(yù)先 保存的,并不是動態(tài)改變的,如果用戶通過某種途徑得到了這種認證信息或
獲得合法的帶認證信息的報文一一假設(shè)用戶X在傳輸交換機c和傳輸交換機 D之間的鏈路故障時,在傳輸交換機C的端口 Cd抓到了 一個down消息報文, 而在以太環(huán)網(wǎng)又恢復(fù)的情況下,將抓到的這個down消息報文向傳輸交換機C 的端口Cx發(fā)送,從而通過端口Cb發(fā)出去——這樣,主機設(shè)備在接收到該報 文之后, 一樣會錯誤地認為環(huán)網(wǎng)已經(jīng)出現(xiàn)了故障,而將其從端口設(shè)置為可轉(zhuǎn) 發(fā)數(shù)據(jù)的狀態(tài),從而導(dǎo)致鏈路形成環(huán)路,引發(fā)廣播風(fēng)暴。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種以太環(huán)網(wǎng)中防攻擊的方法、系統(tǒng)和交換設(shè)備, 以防止以太環(huán)網(wǎng)中的攻擊所引發(fā)的廣播風(fēng)暴。
為實現(xiàn)上述目的,本發(fā)明提供了一種以太環(huán)網(wǎng)中防攻擊的方法,包括 記錄交換設(shè)備加入以太環(huán)網(wǎng)的端口信息;
當接收到所述以太環(huán)網(wǎng)的控制消息報文后,獲取所述控制消息報文中的 接收端口信息;
若所述接收端口信息與記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不
相同,則丟棄所述控制消息報文。
本發(fā)明還提供了一種以太環(huán)網(wǎng)的交換設(shè)備,包括 記錄模塊,用于記錄所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息; 第一獲取模塊,用于當接收到所述以太環(huán)網(wǎng)的控制消息報文后,獲取所
述控制消息報文中的接收端口信息;處理模塊,用于若所述第一獲取模塊獲取的所述接收端口信息與所述記 錄模塊記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相同,則丟棄所述控 制消息報文。
本發(fā)明還提供了一種以太環(huán)網(wǎng)中防攻擊的系統(tǒng),包括多個交換設(shè)備,所 述交換設(shè)備,用于記錄所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息,當接收到所 述以太環(huán)網(wǎng)的控制消息報文后,獲取所述控制消息報文中的接收端口信息, 若所述接收端口信息與記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相 同,則丟棄所述控制消息報文。
由上述技術(shù)方案可知,本發(fā)明提供的以太環(huán)網(wǎng)中防攻擊的方法、系統(tǒng)和 交換設(shè)備,通過對接收到消息報文的端口的判斷,來確定消息報文是否為偽 造的、影響以太環(huán)網(wǎng)的報文,從而使得在部署以太環(huán)網(wǎng)時就可以有效地阻止 偽造的消息報文對以太環(huán)網(wǎng)的攻擊,避免了以太環(huán)網(wǎng)的混亂以及產(chǎn)生鏈路振 蕩和環(huán);洛的可能,增強了以太環(huán)網(wǎng)的安全性和穩(wěn)定性。
圖1為現(xiàn)有環(huán)形拓樸網(wǎng)絡(luò)結(jié)構(gòu)示意圖2為現(xiàn)有以太環(huán)網(wǎng)的結(jié)構(gòu)示意圖3為現(xiàn)有EAPs的結(jié)構(gòu)示意圖4為本發(fā)明EAPs環(huán)路結(jié)構(gòu)示意圖5為本發(fā)明以太環(huán)網(wǎng)中防攻擊的方法實施例的流程示意圖6為本發(fā)明以太環(huán)網(wǎng)中的交換設(shè)備實施例的結(jié)構(gòu)示意圖7為本發(fā)明以太環(huán)網(wǎng)中防攻擊的系統(tǒng)實施例的結(jié)構(gòu)示意圖。
具體實施例方式
下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。 圖4為本發(fā)明EAPs環(huán)^各結(jié)構(gòu)示意圖。如圖4所示,該EAPs環(huán)^各定義了兩種設(shè)備,主機設(shè)備(Master)和傳輸交換機,其均為交換設(shè)備。在一個環(huán) 路完整的情況下,主機設(shè)備負責(zé)將一個端口阻塞,避免在該環(huán)路中傳輸?shù)臄?shù) 據(jù)形成循環(huán),從而引發(fā)廣播風(fēng)暴,這里被阻塞的端口稱為從端口;另外一個 可轉(zhuǎn)發(fā)數(shù)據(jù)的端口叫主端口。而對于傳輸交換機來說,對其端口并不作區(qū)分, 都可以轉(zhuǎn)發(fā)數(shù)據(jù),在本發(fā)明實施例中,對于傳輸交換機來說,例如傳輸交換 機C,其與環(huán)路連接的端口分為端口 Cd和端口 Ca。主機設(shè)備會周期性地向 它的主端口發(fā)送探測消息報文,如果環(huán)路是完整的,該探測消息報文將穿越 傳輸交換機D、傳輸交換機C和傳輸交換機B,回到主機設(shè)備的從端口。阻 塞的從端口雖然數(shù)據(jù)報文無法穿越,但可以接收控制消息報文,因此,主機 設(shè)備可以從它的從端口上接收到該探測消息報文,而仍然保持其從端口的阻 塞狀態(tài)。如果環(huán)路是不完整的,主機設(shè)備將無法在它的從端口處接收到該探 測消息報文,如果主機設(shè)備在一段連續(xù)時間內(nèi)一直沒有收到這個探測消息報 文,則確認為環(huán)路已經(jīng)斷裂,此時主機設(shè)備將它的從端口設(shè)置為可以轉(zhuǎn)發(fā)數(shù) 據(jù)的端口。其中所述的控制消息報文可以包括探測消息報文,還可以包括上 述的down消息報文、flush消息報文等,以太環(huán)網(wǎng)中的交換設(shè)備(包括主機 設(shè)備和傳輸交換機)上的用戶設(shè)備通過偽造這些控制消息報文可能會對以太 環(huán)網(wǎng)發(fā)起攻擊。
本發(fā)明的技術(shù)方案主要是,利用對以太環(huán)網(wǎng)中的各個交換設(shè)備接收控制 消息報文時的接收端口信息進行判別,從而對EAPs環(huán)路上的控制消息報文 進行過濾,可以有效地阻止偽造的控制消息報文對以太環(huán)網(wǎng)的攻擊,避免了 以太環(huán)網(wǎng)網(wǎng)絡(luò)的混亂以及產(chǎn)生鏈路振蕩和環(huán)路的可能,增強了以太環(huán)網(wǎng)的安 全性和穩(wěn)定性。
圖5為本發(fā)明以太環(huán)網(wǎng)中防攻擊的方法實施例的流程示意圖。如圖5所 示,包括如下步驟
步驟501、記錄交換設(shè)備加入以太環(huán)網(wǎng)的端口信息;
步驟502、當接收到以太環(huán)網(wǎng)的控制消息報文后,獲取控制消息報文中的接收端口信息;
步驟503、若接收端口信息與記錄的交換設(shè)備加入以太環(huán)網(wǎng)的端口信息 不相同,則丟棄控制消息報文。
其中,在步驟501之前還可以包括步驟504、在交換設(shè)備上配置以太 環(huán)網(wǎng)時,獲取交換設(shè)備加入以太環(huán)網(wǎng)的端口信息。另外,當配置的以太環(huán)網(wǎng) 的交換設(shè)備的端口變更時,還可以更新記錄的交換設(shè)備加入以太環(huán)網(wǎng)的端口 信息。
具體地,結(jié)合圖4所示的EAPs環(huán)路結(jié)構(gòu),加入EAPs環(huán)路的四個交換設(shè) 備中,有一個主機設(shè)備,三個傳輸交換機,其中主機設(shè)備和傳輸交換機均可 連接用戶設(shè)備,即均有可能接收到偽造的以太環(huán)網(wǎng)的控制消息報文(如偽造 的探測消息報文、down消息報文、flush消息報文),其中以傳輸交換機C 上連接的用戶設(shè)備X向傳輸交換機C發(fā)送偽造的控制消息報文為例,該以太 環(huán)網(wǎng)中防攻擊的方法為傳輸交換機C的端口 Cd和端口 Cb加入EAPs環(huán)路, 連接用戶設(shè)備X的端口 Cx沒有加入到EAPs環(huán)路;傳輸交換機C會記錄端 口 Cd和端口 Cb為EAPs環(huán)路中的端口 ;假設(shè)此時連接在傳輸交換機C的端 口 Cx上的用戶設(shè)備X發(fā)送偽造的控制消息報文來對以太環(huán)網(wǎng)進行操作,由 于端口 Cx并沒有加入EAPs環(huán)路,傳輸交換機C在獲取到該控制消息才艮文時, 獲取其中的端口信息,即Cx端口,然后與其記錄的端口 (包括Cd和Cb) 比較,發(fā)現(xiàn)該控制消息報文的接收端口 Cx并非EAPs環(huán)路上的端口,則判斷 該控制消息報文為偽造的,并將此偽造的控制消息報文直接丟棄。這樣,可 以有效地防止非法的控制消息報文進入到EAPs環(huán)路中。
本實施例提供的以太環(huán)網(wǎng)中防攻擊的方法,通過對接收到控制消息報文 的端口的判斷,來確定控制消息報文是否為偽造的、影響以太環(huán)網(wǎng)的報文, 從而使得在部署以太環(huán)網(wǎng)時就可以有效地阻止偽造的控制消息報文對以太環(huán) 網(wǎng)的攻擊,避免了以太環(huán)網(wǎng)的混亂以及產(chǎn)生鏈路振蕩和環(huán)路的可能,增強了 以太環(huán)網(wǎng)的安全性和穩(wěn)定性。圖6為本發(fā)明以太環(huán)網(wǎng)中的交換設(shè)備實施例的結(jié)構(gòu)示意圖。如圖6所示, 該以太環(huán)網(wǎng)中的交換設(shè)備6包括記錄模塊61用于記錄該交換設(shè)備6加入以 太環(huán)網(wǎng)的端口信息;第一獲取模塊62用于當接收到以太環(huán)網(wǎng)的控制消息報文 后,獲取控制消息報文中的接收端口信息;處理模塊63用于若第一獲取^莫塊 62獲取的接收端口信息與記錄模塊61記錄的交換設(shè)備6加入以太環(huán)網(wǎng)的端 口 4言息不相同,則丟棄該控制消息才艮文。
其中,該以太環(huán)網(wǎng)中防攻擊的交換設(shè)備6還可以包括第二獲取模塊64 用于在該交換設(shè)備6上配置以太環(huán)網(wǎng)時,獲取交換設(shè)備6加入以太環(huán)網(wǎng)的端 口信息;更新模塊65用于當配置的以太環(huán)網(wǎng)中的交換設(shè)備端口變更時,更新 記錄模塊61中記錄的該交換設(shè)備6加入以太環(huán)網(wǎng)的端口信息。
本實施例中的交換設(shè)備6可以為EAPs環(huán)路中的主機設(shè)備或傳輸交換機。
本實施例提供的以太環(huán)網(wǎng)中防攻擊的裝置,通過對接收到控制消息報文 的端口的判斷,來確定控制消息報文是否為偽造的、影響以太環(huán)網(wǎng)的報文, 從而使得在部署以太環(huán)網(wǎng)時就可以有效地阻止偽造的控制消息報文對以太環(huán) 網(wǎng)的攻擊,避免了以太環(huán)網(wǎng)的混亂以及產(chǎn)生鏈路振蕩和環(huán)路的可能,增強了 以太環(huán)網(wǎng)的安全性和穩(wěn)定性。
圖7為本發(fā)明以太環(huán)網(wǎng)中防攻擊的系統(tǒng)實施例的結(jié)構(gòu)示意圖。如圖7所 示,該以太環(huán)網(wǎng)中防攻擊的系統(tǒng)包括多個交換設(shè)備,其中包括一主機設(shè)備71 和多個傳輸交換機72,其中主機設(shè)備71具有一個傳輸數(shù)據(jù)的主端口和一個 阻塞數(shù)據(jù)的從端口 ,該主機設(shè)備71用于控制數(shù)據(jù)報文在主機設(shè)備71與傳輸 交換機72之間的傳輸。
該以太環(huán)網(wǎng)中防攻擊的系統(tǒng)中的交換設(shè)備用于記錄該交換設(shè)備加入以太 環(huán)網(wǎng)的端口信息,當接收到以太環(huán)網(wǎng)的控制消息報文后,獲取控制消息報文 中的接收端口信息,若接收端口信息與記錄的交換設(shè)備加入以太環(huán)網(wǎng)的端口 信息不相同,則丟棄該控制消息報文。其中該交換設(shè)備可以為主機設(shè)備71或 傳輸交換一幾72。以傳輸交換機72為例,該傳輸交換才幾72具體可以包括記錄才莫塊721 用于記錄該傳輸交換機72加入以太環(huán)網(wǎng)的端口信息;第一獲取模塊722用于 當接收到以太環(huán)網(wǎng)的控制消息報文后,獲取控制消息報文中的接收端口信息; 處理模塊723用于若第一獲取模塊722獲取的接收端口信息與記錄模塊721 記錄的傳輸交換機72加入以太環(huán)網(wǎng)的端口信息不相同,則丟棄該控制消息報 文。
傳輸交換機72具體還可以包括第二獲取模塊724用于在該傳輸交換機 72上配置以太環(huán)網(wǎng)時,獲取該傳輸交換機72加入以太環(huán)網(wǎng)的端口信息;更 新模塊725用于當配置的以太環(huán)網(wǎng)中的交換設(shè)備端口變更時,更新記錄模塊 721中記錄的交換設(shè)備加入以太環(huán)網(wǎng)的端口信息,此處的交換設(shè)備可以為傳 輸交換機72本身,或是該以太環(huán)網(wǎng)中的其他交換設(shè)備。
本實施例提供的以太環(huán)網(wǎng)中防攻擊的系統(tǒng),通過對接收到控制消息報文 的端口的判斷,來確定控制消息報文是否為偽造的、影響以太環(huán)網(wǎng)的報文, 從而使得在部署以太環(huán)網(wǎng)時就可以有效地阻止偽造的控制消息報文對以太環(huán) 網(wǎng)的攻擊,避免了以太環(huán)網(wǎng)的混亂以及產(chǎn)生鏈路振蕩和環(huán)路的可能,增強了 以太環(huán)網(wǎng)的安全性和穩(wěn)定性。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進 行限制,盡管參照較佳實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技 術(shù)人員應(yīng)當理解其依然可以對本發(fā)明的技術(shù)方案進行修改或者等同替換, 而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的 精神和范圍。
權(quán)利要求
1、一種以太環(huán)網(wǎng)中防攻擊的方法,其特征在于,包括記錄交換設(shè)備加入以太環(huán)網(wǎng)的端口信息;當接收到所述以太環(huán)網(wǎng)的控制消息報文后,獲取所述控制消息報文中的接收端口信息;若所述接收端口信息與記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相同,則丟棄所述控制消息報文。
2、 根據(jù)權(quán)利要求1所述的以太環(huán)網(wǎng)中防攻擊的方法,其特征在于,在 所述記錄交換設(shè)備加入以太環(huán)網(wǎng)的端口信息之前還包括在所述交換設(shè)備上配置以太環(huán)網(wǎng)時,獲取所述交換設(shè)備加入以太環(huán)網(wǎng)的 所述端口信息。
3、 根據(jù)權(quán)利要求1或2所述的以太環(huán)網(wǎng)中防攻擊的方法,其特征在于, 還包括當配置的所述以太環(huán)網(wǎng)中的交換設(shè)備端口變更時,更新記錄的所述交換 i殳備加入以太環(huán)網(wǎng)的端口信息。
4、 一種以太環(huán)網(wǎng)中的交換設(shè)備,其特征在于,包括 記錄模塊,用于記錄所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息; 第一獲f^莫塊,用于當接收到所述以太環(huán)網(wǎng)的控制消息報文后,獲取所述控制消息報文中的接收端口信息;處理模塊,用于若所述第一獲取模塊獲取的所述接收端口信息與所述記 錄模塊記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相同,則丟棄所述控 制消息報文。
5、 根據(jù)權(quán)利要求4所述的以太環(huán)網(wǎng)中的交換設(shè)備,其特征在于,還包 括第二獲取模塊,用于在所述交換設(shè)備上配置以太環(huán)網(wǎng)時,獲取所述交換 設(shè)備加入以太環(huán)網(wǎng)的所述端口信息。
6、 根據(jù)權(quán)利要求4或5所述的以太環(huán)網(wǎng)中的交換設(shè)備,其特征在于,還包括更新模塊,用于當配置的所述以太環(huán)網(wǎng)中的交換設(shè)備端口變更時, 更新所述記錄模塊中記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息。
7、 一種以太環(huán)網(wǎng)中防攻擊的系統(tǒng),包括多個交換設(shè)備,其特征在于, 所述交換設(shè)備,用于記錄所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息,當接收到 所述以太環(huán)網(wǎng)的控制消息報文后,獲取所述控制消息報文中的接收端口信息, 若所述接收端口信息與記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相 同,則丟棄所述控制消息報文。
8、 根據(jù)權(quán)利要求7所述的以太環(huán)網(wǎng)中防攻擊的系統(tǒng),其特征在于,所 述交換設(shè)備包括記錄模塊,用于記錄所述交換設(shè)備加入所述以太環(huán)網(wǎng)的端口信息; 第一獲^^莫塊,用于當接收到所述以太環(huán)網(wǎng)的控制消息報文后,獲取所述控制消息報文中的接收端口信息;處理模塊,用于若所述第一獲取模塊獲取的所述接收端口信息與所述記錄^^莫塊記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相同,則丟棄所述控制消息報文。
9、 根據(jù)權(quán)利要求8所述的以太環(huán)網(wǎng)中防攻擊的系統(tǒng),其特征在于,所 述交換設(shè)備還包括第二獲取模塊,用于在所述交換設(shè)備上配置以太環(huán)網(wǎng)時,獲取所述交換 設(shè)備加入以太環(huán)網(wǎng)的所述端口信息;更新模塊,用于當配置的所述以太環(huán)網(wǎng)中的交換設(shè)備端口變更時,更新 所述記錄模塊中記錄的所述交換設(shè)備加入以太環(huán)網(wǎng)的端口信息。
10、 根據(jù)權(quán)利要求7、 8或9所述的以太環(huán)網(wǎng)中防攻擊的系統(tǒng),其特征 在于,所述多個交換設(shè)備中包括一主機設(shè)備和一個以上的傳輸交換機。
全文摘要
本發(fā)明公開了一種以太環(huán)網(wǎng)中防攻擊的方法、系統(tǒng)和交換設(shè)備。其中方法包括記錄交換設(shè)備加入以太環(huán)網(wǎng)的端口信息;當接收到以太環(huán)網(wǎng)的控制消息報文后,獲取控制消息報文中的接收端口信息;若接收端口信息與記錄的交換設(shè)備加入以太環(huán)網(wǎng)的端口信息不相同,則丟棄控制消息報文。本發(fā)明提供的以太環(huán)網(wǎng)中防攻擊的方法、系統(tǒng)和交換設(shè)備,通過對接收到控制消息報文的端口的判斷,來確定控制消息報文是否為偽造的、影響以太環(huán)網(wǎng)的報文,從而使得在部署以太環(huán)網(wǎng)時就可以有效地阻止偽造的控制消息報文對以太環(huán)網(wǎng)的攻擊,避免了以太環(huán)網(wǎng)的混亂以及產(chǎn)生鏈路振蕩和環(huán)路的可能,增強了以太環(huán)網(wǎng)的安全性和穩(wěn)定性。
文檔編號H04L29/06GK101562614SQ20091008562
公開日2009年10月21日 申請日期2009年5月26日 優(yōu)先權(quán)日2009年5月26日
發(fā)明者繆仕福, 鄭偉忠 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司