專利名稱:以太環(huán)網(wǎng)中控制vlan的保護(hù)方法以及節(jié)點(diǎn)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及以太環(huán)網(wǎng)技術(shù),特別涉及EAPS(Ethernet Automatic Protection Switching,以太網(wǎng)自動(dòng)保護(hù)倒換)環(huán)網(wǎng)技術(shù)。
背景技術(shù):
EAPS以太環(huán)網(wǎng)保護(hù)方法中中包括了一組被保護(hù)的用于用戶數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)的業(yè)務(wù)虛擬局域網(wǎng)(VLAN,Virtual Local Area Network)和一個(gè)用于保護(hù)控制報(bào)文轉(zhuǎn)發(fā)的控制 VLAN,以及一個(gè)主節(jié)點(diǎn)和多個(gè)傳輸節(jié)點(diǎn)。其中,該以太網(wǎng)保護(hù)域的主節(jié)點(diǎn)上分別有一個(gè)主端口和一個(gè)副端口,控制報(bào)文轉(zhuǎn)發(fā)使用的VLAN為控制VLAN,被保護(hù)的用戶數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)使用的VLAN為用戶數(shù)據(jù)VLAN。正常情況下,主節(jié)點(diǎn)將阻塞副端口的用戶數(shù)據(jù)VLAN轉(zhuǎn)發(fā)功能 (將副端口上的用戶數(shù)據(jù)VLAN的生成樹狀態(tài)設(shè)置為阻塞),環(huán)網(wǎng)中無環(huán)路產(chǎn)生,從而防止由于網(wǎng)絡(luò)環(huán)路,用戶數(shù)據(jù)成環(huán),引起的網(wǎng)絡(luò)風(fēng)暴。但是,EAPS環(huán)會(huì)遭到攻擊,出現(xiàn)EAPS協(xié)議報(bào)文的錯(cuò)誤操作,嚴(yán)重的,可導(dǎo)致EAPS環(huán)中的主節(jié)點(diǎn)錯(cuò)誤地將副端口上的用戶數(shù)據(jù)VLAN的生成樹狀態(tài)設(shè)置為轉(zhuǎn)發(fā)狀態(tài),用戶數(shù)據(jù)成環(huán),引起網(wǎng)絡(luò)癱瘓。出現(xiàn)這些錯(cuò)誤的原因常是有攻擊者偽造的EAPS協(xié)議報(bào)文進(jìn)入EAPS環(huán)進(jìn)行攻擊。 EAPS環(huán)網(wǎng)技術(shù)中有關(guān)的標(biāo)準(zhǔn)RFC3619中,建議通過報(bào)文加密的方式對(duì)EAPS協(xié)議報(bào)文進(jìn)行保護(hù)。但是,如果使用私有加密方式對(duì)EAPS協(xié)議報(bào)文進(jìn)行加密,將會(huì)影響不同廠家之間設(shè)備的互聯(lián)互通。使用標(biāo)準(zhǔn)方式對(duì)EAPS協(xié)議報(bào)文進(jìn)行加密,又容易被攻擊者破解加密算法。 且,目前無論是私有加密方法還是標(biāo)準(zhǔn)加密方法,都可能被攻擊者破解加密算法。也就是說無論使用什么方法對(duì)EAPS協(xié)議報(bào)文進(jìn)行加密,攻擊者都有機(jī)可乘。特別地,如果攻擊者采用偽造的EAPS協(xié)議報(bào)文對(duì)以太環(huán)網(wǎng)進(jìn)行攻擊,將造成嚴(yán)重后果。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是,提供一種防止攻擊者偽造EAPS協(xié)議報(bào)文對(duì)EAPS 環(huán)進(jìn)行攻擊的控制VLAN保護(hù)方法以及實(shí)現(xiàn)該方法的節(jié)點(diǎn)設(shè)備。本發(fā)明為解決上述技術(shù)問題所采用的技術(shù)方案是,以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法,包括步驟當(dāng)EAPS節(jié)點(diǎn)接收到EAPS協(xié)議報(bào)文時(shí),禁止該節(jié)點(diǎn)上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文;所述節(jié)點(diǎn)包括主節(jié)點(diǎn)與傳輸節(jié)點(diǎn)。通過對(duì)被攻擊的EAPS環(huán)進(jìn)行分析發(fā)現(xiàn),造成偽造的EAPS協(xié)議報(bào)文進(jìn)入EAPS環(huán)進(jìn)行攻擊的原因是,有不少用戶習(xí)慣把用戶數(shù)據(jù)端口加入所有的VLAN,這樣就給攻擊者偽造EAPS協(xié)議報(bào)文通過用戶數(shù)據(jù)端口進(jìn)入EAPS環(huán)進(jìn)行攻擊提供了可能性EAPS協(xié)議報(bào)文在其控制VLAN內(nèi)廣播,所以,在EAPS環(huán)的任意節(jié)點(diǎn)上,只要用戶數(shù)據(jù)端口加入了 EAPS環(huán)的控制VLAN,EAPS協(xié)議報(bào)文就會(huì)進(jìn)入用戶網(wǎng)絡(luò),此時(shí)攻擊者通過抓包工具抓包分析EAPS協(xié)議報(bào)文,進(jìn)而偽造EAPS協(xié)議報(bào)文對(duì)EAPS環(huán)網(wǎng)進(jìn)行攻擊。本發(fā)明通過禁止用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文的技術(shù)手段,既可以防止EAPS環(huán)的EAPS協(xié)議報(bào)文通過用戶數(shù)據(jù)端口進(jìn)入用戶網(wǎng)絡(luò),又可以防止攻擊者偽造的EAPS協(xié)議報(bào)文通過用戶數(shù)據(jù)端口進(jìn)入EAPS環(huán),引起協(xié)議的錯(cuò)誤操作。這樣,EAPS協(xié)議報(bào)文無法到達(dá)EAPS環(huán),從物理層面阻斷了攻擊者偽造協(xié)議報(bào)文的攻擊路徑。具體的,在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN,則可以禁止EAPS協(xié)議報(bào)文通過在用戶數(shù)據(jù)端口進(jìn)行轉(zhuǎn)發(fā),即操作簡(jiǎn)單,又不消耗以太網(wǎng)交換機(jī)的資源。當(dāng)以太網(wǎng)環(huán)網(wǎng)中任意一個(gè)節(jié)點(diǎn)被兩個(gè)或兩個(gè)以上的EAPS環(huán)經(jīng)過,且每個(gè)EAPS環(huán)在該節(jié)點(diǎn)上有兩個(gè)端口時(shí),該節(jié)點(diǎn)為這兩個(gè)或兩個(gè)以上的EAPS環(huán)的切點(diǎn)節(jié)點(diǎn),所述兩個(gè)或兩個(gè)以上的EAPS環(huán)均為該切點(diǎn)節(jié)點(diǎn)的相切EAPS環(huán);此時(shí),如果一個(gè)相切EAPS環(huán)的EAPS協(xié)議報(bào)文進(jìn)入另一個(gè)相切EAPS環(huán),這些EAPS協(xié)議報(bào)文浪費(fèi)了另一個(gè)相切EAPS環(huán)的帶寬,也給另一個(gè)相切EAPS上運(yùn)行的EAPS協(xié)議報(bào)文帶來了多余的處理。因此,本發(fā)明進(jìn)一步的,禁止所述切點(diǎn)節(jié)點(diǎn)所在每一個(gè)EAPS環(huán)上的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文。EAPS環(huán)經(jīng)過的兩個(gè)端口,一個(gè)為主端口,一個(gè)為副端口。優(yōu)選的,通過在任意一個(gè)經(jīng)過切點(diǎn)節(jié)點(diǎn)的相切EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口上阻塞所有經(jīng)過該切點(diǎn)節(jié)點(diǎn)的其它相切EAPS環(huán)的控制VLAN,來禁止所述切點(diǎn)節(jié)點(diǎn)所在每一個(gè)EAPS 環(huán)上的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文向經(jīng)過該切點(diǎn)節(jié)點(diǎn)其它相切EAPS環(huán)轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文。以太網(wǎng)環(huán)網(wǎng)中的節(jié)點(diǎn)設(shè)備,包括第一保護(hù)控制模塊,報(bào)文判斷模塊;報(bào)文判斷模塊用于,接收EAPS協(xié)議報(bào)文時(shí),觸發(fā)第一保護(hù)控制模塊;第一保護(hù)控制模塊用于,禁止用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文。優(yōu)選的,第一保護(hù)控制模塊通過在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN,來禁止EAPS協(xié)議報(bào)文在用戶數(shù)據(jù)端口上轉(zhuǎn)發(fā)。進(jìn)一步的,還包括切點(diǎn)節(jié)點(diǎn)判斷模塊、第二保護(hù)控制模塊;切點(diǎn)節(jié)點(diǎn)判斷模塊用于,當(dāng)本地節(jié)點(diǎn)設(shè)備被兩個(gè)或兩個(gè)以上的EAPS環(huán)經(jīng)過,且每個(gè)EAPS環(huán)在本地節(jié)點(diǎn)設(shè)備上有兩個(gè)端口時(shí),切點(diǎn)節(jié)點(diǎn)判斷模塊判斷本地節(jié)點(diǎn)設(shè)備為這兩個(gè)或兩個(gè)以上的EAPS環(huán)的切點(diǎn)節(jié)點(diǎn),所述兩個(gè)或兩個(gè)以上的EAPS環(huán)均為該切點(diǎn)節(jié)點(diǎn)的相切EAPS環(huán);報(bào)文判斷模塊還用于,當(dāng)接收EAPS協(xié)議報(bào)文,且切點(diǎn)節(jié)點(diǎn)判斷模塊判斷出本地節(jié)點(diǎn)設(shè)備為切點(diǎn)節(jié)點(diǎn)時(shí),觸發(fā)第二保護(hù)控制模塊;第二保護(hù)控制模塊用于,禁止本地節(jié)點(diǎn)設(shè)備上任意一個(gè)相切EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文優(yōu)選的,第二保護(hù)控制模塊用于,通過在任意一個(gè)經(jīng)過本地節(jié)點(diǎn)設(shè)備的EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口上阻塞所有經(jīng)過該本地節(jié)點(diǎn)設(shè)備的其它EAPS環(huán)的控制VLAN,來禁止本地節(jié)點(diǎn)設(shè)備上所在的任意一個(gè)相切EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS 環(huán)的協(xié)議報(bào)文。本發(fā)明的有益效果是,保證了 EAPS環(huán)網(wǎng)的安全,進(jìn)一步的,避免了出現(xiàn)相切EAPS 環(huán)時(shí),EAPS環(huán)的帶寬被其它相切EAPS環(huán)的EAPS協(xié)議報(bào)文占用。
圖1為以太網(wǎng)環(huán)網(wǎng)中的節(jié)點(diǎn)設(shè)備的示意圖;圖2為實(shí)施例1中EAPS環(huán)示意圖;圖3為實(shí)施例2中相切EAPS環(huán)示意圖。
具體實(shí)施例方式如圖1所示的節(jié)點(diǎn)設(shè)備,包括第一保護(hù)控制模塊、報(bào)文判斷模塊、切點(diǎn)節(jié)點(diǎn)判斷模塊、第二保護(hù)控制模塊;報(bào)文判斷模塊用于,接收EAPS協(xié)議報(bào)文時(shí),觸發(fā)第一保護(hù)控制模塊;當(dāng)接收EAPS 協(xié)議報(bào)文,且切點(diǎn)節(jié)點(diǎn)判斷模塊判斷出本地節(jié)點(diǎn)設(shè)備為切點(diǎn)節(jié)點(diǎn)時(shí),觸發(fā)第二保護(hù)控制模塊;切點(diǎn)節(jié)點(diǎn)判斷模塊用于,當(dāng)本地節(jié)點(diǎn)設(shè)備被兩個(gè)或兩個(gè)以上的EAPS環(huán)經(jīng)過,且每個(gè)EAPS環(huán)在本地節(jié)點(diǎn)設(shè)備上有兩個(gè)端口時(shí),切點(diǎn)節(jié)點(diǎn)判斷模塊判斷本地節(jié)點(diǎn)設(shè)備為這兩個(gè)或兩個(gè)以上的EAPS環(huán)的切點(diǎn)節(jié)點(diǎn),所述兩個(gè)或兩個(gè)以上的EAPS環(huán)均為該切點(diǎn)節(jié)點(diǎn)的相切EAPS環(huán);第一保護(hù)控制模塊用于,在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN。第二保護(hù)控制模塊用于,在任意一個(gè)經(jīng)過本地節(jié)點(diǎn)設(shè)備的EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口上阻塞所有經(jīng)過該本地節(jié)點(diǎn)設(shè)備的其它EAPS環(huán)的控制VLAN。實(shí)施例1如圖1,在EAPS環(huán)R中,包括主節(jié)點(diǎn)M、傳輸節(jié)點(diǎn)Tl、T2、T3。節(jié)點(diǎn)T2中,端口 pi 是EAPS主端口,端口 p2是EAPS副端口,端口 p3是用戶數(shù)據(jù)端口,端口 p3是用戶數(shù)據(jù)出入 EAPS節(jié)點(diǎn)的端口,其上沒有運(yùn)行EAPS協(xié)議。為了防止EAPS協(xié)議報(bào)文從用戶數(shù)據(jù)端口 p3進(jìn)入用戶網(wǎng)絡(luò),占用用戶網(wǎng)絡(luò)帶寬;同時(shí)為了防止攻擊者從用戶網(wǎng)絡(luò)惡意構(gòu)造EAPS協(xié)議報(bào)文攻擊EAPS環(huán)R,讓協(xié)議錯(cuò)誤運(yùn)行。為此,節(jié)點(diǎn)T2的報(bào)文判斷模塊接收EAPS協(xié)議報(bào)文,控制第一保護(hù)控制模塊在用戶數(shù)據(jù)端口 P3上阻塞EAPS環(huán)的控制VLAN,禁止EAPS協(xié)議報(bào)文轉(zhuǎn)發(fā)。通過阻塞EAPS環(huán)的控制VLAN禁止EAPS協(xié)議報(bào)文轉(zhuǎn)發(fā)的方法有多種,如常見的 ACL(訪問控制列表,Access Control List)過濾等。但一些節(jié)點(diǎn)設(shè)備的交換機(jī)上的用戶數(shù)據(jù)端口比較多,在用戶數(shù)據(jù)端口上使用ACL對(duì)EAPS協(xié)議報(bào)文進(jìn)行過濾的方法消耗ACL資源過多,而ACL資源又是以太網(wǎng)交換機(jī)上非常寶貴的資源,不可濫用。因此,可以在數(shù)據(jù)端口 P3上將EAPS環(huán)的控制VLAN的生成樹狀態(tài)設(shè)置為阻塞,則可以禁止EAPS協(xié)議報(bào)文通過數(shù)據(jù)端口 P3轉(zhuǎn)發(fā),相對(duì)操作簡(jiǎn)單,不消耗以太網(wǎng)交換機(jī)的資源。實(shí)施例2如圖2,兩個(gè)EAPS環(huán),一個(gè)EAPS環(huán)Rl包括主節(jié)點(diǎn)M、傳輸節(jié)點(diǎn)T1、T2、T3 ;另一個(gè) EAPS環(huán)R2包括主節(jié)點(diǎn)m、傳輸節(jié)點(diǎn)tl、t2、T3,其中這兩個(gè)EAPS環(huán)都經(jīng)過節(jié)點(diǎn)T3,且每個(gè)環(huán)在節(jié)點(diǎn)T3有兩個(gè)端口,節(jié)點(diǎn)T3上的端口 pi 1、p22對(duì)應(yīng)EAPS環(huán)Rl,端口 p21、p22對(duì)應(yīng)EAPS 環(huán)R2。那么,EAPS環(huán)Rl與EAPS環(huán)R2相切于切點(diǎn)節(jié)點(diǎn)T3,EAPS環(huán)Rl與EAPS環(huán)R2為相切 EAPS 環(huán)。本實(shí)施例中除了節(jié)點(diǎn)T3的報(bào)文判斷模塊在接收EAPS協(xié)議報(bào)文后,控制第一保護(hù)控制模塊在節(jié)點(diǎn)T3的用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN,禁止EAPS協(xié)議報(bào)文轉(zhuǎn)發(fā)之夕卜,還需針對(duì)相切EAPS環(huán)的情況作特殊處理—— 當(dāng)經(jīng)過同一節(jié)點(diǎn)設(shè)備上有兩個(gè)或兩個(gè)以上相切EAPS環(huán)時(shí),一個(gè)相切EAPS環(huán)在切點(diǎn)節(jié)點(diǎn)的兩個(gè)端口上阻塞其它相切EAPS環(huán)的控制VLAN。本實(shí)施例如圖2,節(jié)點(diǎn)T3的切點(diǎn)節(jié)點(diǎn)判斷模塊判斷出EAPS環(huán)Rl和EAPS環(huán)R2相切于節(jié)點(diǎn)T3。Rl在節(jié)點(diǎn)T3上的主端口為 pll,副端口為pl2,EAPS環(huán)R2在節(jié)點(diǎn)T3上的主端口為p21,副端口為p22。當(dāng)節(jié)點(diǎn)T3的報(bào)文判斷模塊接收到來自于EAPS環(huán)Rl的EAPS協(xié)議報(bào)文時(shí),第二保護(hù)控制模塊在端口 pi 1和 P12上阻塞EAPS環(huán)R2的控制VLAN ;當(dāng)節(jié)點(diǎn)T3的報(bào)文判斷模塊接收到來自于EAPS環(huán)R2的 EAPS協(xié)議報(bào)文時(shí),第二保護(hù)控制模塊在端口 p21和p22上阻塞EAPS環(huán)Rl的控制VLAN。
權(quán)利要求
1.以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法,其特征在于,當(dāng)EAPS節(jié)點(diǎn)接收到EAPS協(xié)議報(bào)文時(shí),禁止該節(jié)點(diǎn)上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文;所述節(jié)點(diǎn)包括主節(jié)點(diǎn)與傳輸節(jié)點(diǎn)ο
2.如權(quán)利要求1所述以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法,其特征在于,所述禁止EAPS 節(jié)點(diǎn)上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文是指在用戶數(shù)據(jù)端口上阻塞EAPS控制VLAN。
3.如權(quán)利要求1或2所述以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法,其特征在于,當(dāng)EAPS 環(huán)網(wǎng)中任意一個(gè)節(jié)點(diǎn)被兩個(gè)或兩個(gè)以上的EAPS環(huán)經(jīng)過,且每個(gè)EAPS環(huán)在該節(jié)點(diǎn)上有兩個(gè)端口時(shí),該節(jié)點(diǎn)作為這兩個(gè)或兩個(gè)以上的EAPS環(huán)的切點(diǎn)節(jié)點(diǎn),禁止該切點(diǎn)節(jié)點(diǎn)所在每一個(gè) EAPS環(huán)上的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文。
4.如權(quán)利要求3所述以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法,其特征在于,禁止該切點(diǎn)節(jié)點(diǎn)所在每一個(gè)EAPS環(huán)上的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文是指,設(shè)置每一個(gè)EAPS環(huán)在所述切點(diǎn)節(jié)點(diǎn)的兩個(gè)端口上阻塞所有經(jīng)過該切點(diǎn)節(jié)點(diǎn)的其它相切EAPS環(huán)的控制VLAN。
5.以太網(wǎng)環(huán)網(wǎng)中的節(jié)點(diǎn)設(shè)備,其特征在于,包括第一保護(hù)控制模塊,報(bào)文判斷模塊;所述報(bào)文判斷模塊用于,接收EAPS協(xié)議報(bào)文時(shí),觸發(fā)第一保護(hù)控制模塊;所述第一保護(hù)控制模塊用于,禁止EAPS環(huán)網(wǎng)中的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文。
6.如權(quán)利要求5所述以太網(wǎng)環(huán)網(wǎng)中的節(jié)點(diǎn)設(shè)備,其特征在于,所述第一保護(hù)控制模塊用于,通過在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN,來禁止EAPS協(xié)議報(bào)文通過用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)。
7.如權(quán)利要求5或6所述以太網(wǎng)環(huán)網(wǎng)中的節(jié)點(diǎn)設(shè)備,其特征在于,還包括切點(diǎn)節(jié)點(diǎn)判斷模塊、第二保護(hù)控制模塊;所述切點(diǎn)節(jié)點(diǎn)判斷模塊用于,當(dāng)本地節(jié)點(diǎn)設(shè)備被兩個(gè)或兩個(gè)以上的EAPS環(huán)經(jīng)過,且每個(gè)EAPS環(huán)在本地節(jié)點(diǎn)設(shè)備上有兩個(gè)端口時(shí),切點(diǎn)節(jié)點(diǎn)判斷模塊判斷本地節(jié)點(diǎn)設(shè)備為這兩個(gè)或兩個(gè)以上的EAPS環(huán)的切點(diǎn)節(jié)點(diǎn),所述兩個(gè)或兩個(gè)以上的EAPS環(huán)均為該切點(diǎn)節(jié)點(diǎn)的相切EAPS環(huán);所述報(bào)文判斷模塊還用于,當(dāng)接收EAPS協(xié)議報(bào)文,且切點(diǎn)節(jié)點(diǎn)判斷模塊判斷出本地節(jié)點(diǎn)設(shè)備為切點(diǎn)節(jié)點(diǎn)時(shí),觸發(fā)第二保護(hù)控制模塊;所述第二保護(hù)控制模塊用于,禁止本地節(jié)點(diǎn)設(shè)備上任意一個(gè)相切EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文。
8.如權(quán)利要求7所述太網(wǎng)環(huán)網(wǎng)中的節(jié)點(diǎn)設(shè)備,其特征在于,所述第二保護(hù)控制模塊用于,通過在任意一個(gè)經(jīng)過本地節(jié)點(diǎn)設(shè)備的EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口上阻塞所有經(jīng)過該本地節(jié)點(diǎn)設(shè)備的其它EAPS環(huán)的控制VLAN,來禁止本地節(jié)點(diǎn)設(shè)備上的一個(gè)EAPS環(huán)對(duì)應(yīng)的兩個(gè)端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報(bào)文。
全文摘要
本發(fā)明提供一種防止攻擊者偽造EAPS協(xié)議報(bào)文對(duì)EAPS環(huán)進(jìn)行攻擊的控制VLAN保護(hù)方法以及實(shí)現(xiàn)該方法的節(jié)點(diǎn)設(shè)備。當(dāng)EAPS節(jié)點(diǎn)接收到EAPS協(xié)議報(bào)文時(shí),禁止該節(jié)點(diǎn)上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文;所述節(jié)點(diǎn)包括主節(jié)點(diǎn)與傳輸節(jié)點(diǎn)。通過禁止用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報(bào)文的技術(shù)手段,既可以防止EAPS環(huán)的EAPS協(xié)議報(bào)文通過用戶數(shù)據(jù)端口進(jìn)入用戶網(wǎng)絡(luò),又可以防止攻擊者偽造的EAPS協(xié)議報(bào)文通過用戶數(shù)據(jù)端口進(jìn)入EAPS環(huán),引起協(xié)議的錯(cuò)誤操作。這樣,EAPS協(xié)議報(bào)文無法到達(dá)EAPS環(huán),從物理層面阻斷了攻擊者偽造協(xié)議報(bào)文的攻擊路徑。
文檔編號(hào)H04L12/42GK102457432SQ20101052462
公開日2012年5月16日 申請(qǐng)日期2010年10月29日 優(yōu)先權(quán)日2010年10月29日
發(fā)明者何三波 申請(qǐng)人:邁普通信技術(shù)股份有限公司