專利名稱:以太環(huán)網(wǎng)中控制vlan的保護(hù)方法以及節(jié)點設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及以太環(huán)網(wǎng)技術(shù),特別涉及EAPS(Ethernet Automatic Protection Switching,以太網(wǎng)自動保護(hù)倒換)環(huán)網(wǎng)技術(shù)��。
背景技術(shù):
EAPS以太環(huán)網(wǎng)保護(hù)方法中中包括了一組被保護(hù)的用于用戶數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)的業(yè)務(wù)虛擬局域網(wǎng)(VLAN��,Virtual Local Area Network)和一個用于保護(hù)控制報文轉(zhuǎn)發(fā)的控制 VLAN,以及一個主節(jié)點和多個傳輸節(jié)點�����。其中,該以太網(wǎng)保護(hù)域的主節(jié)點上分別有一個主端口和一個副端口��,控制報文轉(zhuǎn)發(fā)使用的VLAN為控制VLAN�,被保護(hù)的用戶數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)使用的VLAN為用戶數(shù)據(jù)VLAN。正常情況下���,主節(jié)點將阻塞副端口的用戶數(shù)據(jù)VLAN轉(zhuǎn)發(fā)功能 (將副端口上的用戶數(shù)據(jù)VLAN的生成樹狀態(tài)設(shè)置為阻塞)���,環(huán)網(wǎng)中無環(huán)路產(chǎn)生�,從而防止由于網(wǎng)絡(luò)環(huán)路,用戶數(shù)據(jù)成環(huán)����,引起的網(wǎng)絡(luò)風(fēng)暴。但是�����,EAPS環(huán)會遭到攻擊�,出現(xiàn)EAPS協(xié)議報文的錯誤操作,嚴(yán)重的����,可導(dǎo)致EAPS環(huán)中的主節(jié)點錯誤地將副端口上的用戶數(shù)據(jù)VLAN的生成樹狀態(tài)設(shè)置為轉(zhuǎn)發(fā)狀態(tài),用戶數(shù)據(jù)成環(huán),引起網(wǎng)絡(luò)癱瘓����。出現(xiàn)這些錯誤的原因常是有攻擊者偽造的EAPS協(xié)議報文進(jìn)入EAPS環(huán)進(jìn)行攻擊。 EAPS環(huán)網(wǎng)技術(shù)中有關(guān)的標(biāo)準(zhǔn)RFC3619中�,建議通過報文加密的方式對EAPS協(xié)議報文進(jìn)行保護(hù)。但是�����,如果使用私有加密方式對EAPS協(xié)議報文進(jìn)行加密����,將會影響不同廠家之間設(shè)備的互聯(lián)互通。使用標(biāo)準(zhǔn)方式對EAPS協(xié)議報文進(jìn)行加密�����,又容易被攻擊者破解加密算法����。 且,目前無論是私有加密方法還是標(biāo)準(zhǔn)加密方法���,都可能被攻擊者破解加密算法��。也就是說無論使用什么方法對EAPS協(xié)議報文進(jìn)行加密�����,攻擊者都有機(jī)可乘��。特別地��,如果攻擊者采用偽造的EAPS協(xié)議報文對以太環(huán)網(wǎng)進(jìn)行攻擊�����,將造成嚴(yán)重后果�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是��,提供一種防止攻擊者偽造EAPS協(xié)議報文對EAPS 環(huán)進(jìn)行攻擊的控制VLAN保護(hù)方法以及實現(xiàn)該方法的節(jié)點設(shè)備���。本發(fā)明為解決上述技術(shù)問題所采用的技術(shù)方案是,以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法�,包括步驟當(dāng)EAPS節(jié)點接收到EAPS協(xié)議報文時,禁止該節(jié)點上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文��;所述節(jié)點包括主節(jié)點與傳輸節(jié)點。通過對被攻擊的EAPS環(huán)進(jìn)行分析發(fā)現(xiàn)�,造成偽造的EAPS協(xié)議報文進(jìn)入EAPS環(huán)進(jìn)行攻擊的原因是,有不少用戶習(xí)慣把用戶數(shù)據(jù)端口加入所有的VLAN����,這樣就給攻擊者偽造EAPS協(xié)議報文通過用戶數(shù)據(jù)端口進(jìn)入EAPS環(huán)進(jìn)行攻擊提供了可能性EAPS協(xié)議報文在其控制VLAN內(nèi)廣播,所以�����,在EAPS環(huán)的任意節(jié)點上�����,只要用戶數(shù)據(jù)端口加入了 EAPS環(huán)的控制VLAN����,EAPS協(xié)議報文就會進(jìn)入用戶網(wǎng)絡(luò),此時攻擊者通過抓包工具抓包分析EAPS協(xié)議報文�,進(jìn)而偽造EAPS協(xié)議報文對EAPS環(huán)網(wǎng)進(jìn)行攻擊。本發(fā)明通過禁止用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文的技術(shù)手段��,既可以防止EAPS環(huán)的EAPS協(xié)議報文通過用戶數(shù)據(jù)端口進(jìn)入用戶網(wǎng)絡(luò)����,又可以防止攻擊者偽造的EAPS協(xié)議報文通過用戶數(shù)據(jù)端口進(jìn)入EAPS環(huán)��,引起協(xié)議的錯誤操作�����。這樣�����,EAPS協(xié)議報文無法到達(dá)EAPS環(huán)���,從物理層面阻斷了攻擊者偽造協(xié)議報文的攻擊路徑。具體的�����,在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN�����,則可以禁止EAPS協(xié)議報文通過在用戶數(shù)據(jù)端口進(jìn)行轉(zhuǎn)發(fā)����,即操作簡單�,又不消耗以太網(wǎng)交換機(jī)的資源����。當(dāng)以太網(wǎng)環(huán)網(wǎng)中任意一個節(jié)點被兩個或兩個以上的EAPS環(huán)經(jīng)過����,且每個EAPS環(huán)在該節(jié)點上有兩個端口時,該節(jié)點為這兩個或兩個以上的EAPS環(huán)的切點節(jié)點����,所述兩個或兩個以上的EAPS環(huán)均為該切點節(jié)點的相切EAPS環(huán);此時���,如果一個相切EAPS環(huán)的EAPS協(xié)議報文進(jìn)入另一個相切EAPS環(huán)��,這些EAPS協(xié)議報文浪費了另一個相切EAPS環(huán)的帶寬�,也給另一個相切EAPS上運行的EAPS協(xié)議報文帶來了多余的處理�。因此,本發(fā)明進(jìn)一步的�����,禁止所述切點節(jié)點所在每一個EAPS環(huán)上的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文��。EAPS環(huán)經(jīng)過的兩個端口��,一個為主端口,一個為副端口���。優(yōu)選的���,通過在任意一個經(jīng)過切點節(jié)點的相切EAPS環(huán)對應(yīng)的兩個端口上阻塞所有經(jīng)過該切點節(jié)點的其它相切EAPS環(huán)的控制VLAN,來禁止所述切點節(jié)點所在每一個EAPS 環(huán)上的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文向經(jīng)過該切點節(jié)點其它相切EAPS環(huán)轉(zhuǎn)發(fā)EAPS協(xié)議報文����。以太網(wǎng)環(huán)網(wǎng)中的節(jié)點設(shè)備,包括第一保護(hù)控制模塊�����,報文判斷模塊���;報文判斷模塊用于�,接收EAPS協(xié)議報文時�,觸發(fā)第一保護(hù)控制模塊;第一保護(hù)控制模塊用于��,禁止用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文��。優(yōu)選的�,第一保護(hù)控制模塊通過在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN,來禁止EAPS協(xié)議報文在用戶數(shù)據(jù)端口上轉(zhuǎn)發(fā)����。進(jìn)一步的,還包括切點節(jié)點判斷模塊���、第二保護(hù)控制模塊�;切點節(jié)點判斷模塊用于�,當(dāng)本地節(jié)點設(shè)備被兩個或兩個以上的EAPS環(huán)經(jīng)過,且每個EAPS環(huán)在本地節(jié)點設(shè)備上有兩個端口時����,切點節(jié)點判斷模塊判斷本地節(jié)點設(shè)備為這兩個或兩個以上的EAPS環(huán)的切點節(jié)點,所述兩個或兩個以上的EAPS環(huán)均為該切點節(jié)點的相切EAPS環(huán)����;報文判斷模塊還用于,當(dāng)接收EAPS協(xié)議報文�����,且切點節(jié)點判斷模塊判斷出本地節(jié)點設(shè)備為切點節(jié)點時�,觸發(fā)第二保護(hù)控制模塊;第二保護(hù)控制模塊用于��,禁止本地節(jié)點設(shè)備上任意一個相切EAPS環(huán)對應(yīng)的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文優(yōu)選的,第二保護(hù)控制模塊用于��,通過在任意一個經(jīng)過本地節(jié)點設(shè)備的EAPS環(huán)對應(yīng)的兩個端口上阻塞所有經(jīng)過該本地節(jié)點設(shè)備的其它EAPS環(huán)的控制VLAN�����,來禁止本地節(jié)點設(shè)備上所在的任意一個相切EAPS環(huán)對應(yīng)的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS 環(huán)的協(xié)議報文���。本發(fā)明的有益效果是�,保證了 EAPS環(huán)網(wǎng)的安全����,進(jìn)一步的,避免了出現(xiàn)相切EAPS 環(huán)時�����,EAPS環(huán)的帶寬被其它相切EAPS環(huán)的EAPS協(xié)議報文占用���。
圖1為以太網(wǎng)環(huán)網(wǎng)中的節(jié)點設(shè)備的示意圖����;圖2為實施例1中EAPS環(huán)示意圖;圖3為實施例2中相切EAPS環(huán)示意圖�����。
具體實施例方式如圖1所示的節(jié)點設(shè)備��,包括第一保護(hù)控制模塊��、報文判斷模塊����、切點節(jié)點判斷模塊��、第二保護(hù)控制模塊�����;報文判斷模塊用于���,接收EAPS協(xié)議報文時��,觸發(fā)第一保護(hù)控制模塊��;當(dāng)接收EAPS 協(xié)議報文���,且切點節(jié)點判斷模塊判斷出本地節(jié)點設(shè)備為切點節(jié)點時���,觸發(fā)第二保護(hù)控制模塊;切點節(jié)點判斷模塊用于�����,當(dāng)本地節(jié)點設(shè)備被兩個或兩個以上的EAPS環(huán)經(jīng)過��,且每個EAPS環(huán)在本地節(jié)點設(shè)備上有兩個端口時�,切點節(jié)點判斷模塊判斷本地節(jié)點設(shè)備為這兩個或兩個以上的EAPS環(huán)的切點節(jié)點,所述兩個或兩個以上的EAPS環(huán)均為該切點節(jié)點的相切EAPS環(huán)�����;第一保護(hù)控制模塊用于�,在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN。第二保護(hù)控制模塊用于���,在任意一個經(jīng)過本地節(jié)點設(shè)備的EAPS環(huán)對應(yīng)的兩個端口上阻塞所有經(jīng)過該本地節(jié)點設(shè)備的其它EAPS環(huán)的控制VLAN�����。實施例1如圖1�,在EAPS環(huán)R中,包括主節(jié)點M���、傳輸節(jié)點Tl���、T2����、T3。節(jié)點T2中��,端口 pi 是EAPS主端口����,端口 p2是EAPS副端口,端口 p3是用戶數(shù)據(jù)端口�,端口 p3是用戶數(shù)據(jù)出入 EAPS節(jié)點的端口,其上沒有運行EAPS協(xié)議����。為了防止EAPS協(xié)議報文從用戶數(shù)據(jù)端口 p3進(jìn)入用戶網(wǎng)絡(luò),占用用戶網(wǎng)絡(luò)帶寬�;同時為了防止攻擊者從用戶網(wǎng)絡(luò)惡意構(gòu)造EAPS協(xié)議報文攻擊EAPS環(huán)R,讓協(xié)議錯誤運行�。為此���,節(jié)點T2的報文判斷模塊接收EAPS協(xié)議報文,控制第一保護(hù)控制模塊在用戶數(shù)據(jù)端口 P3上阻塞EAPS環(huán)的控制VLAN�����,禁止EAPS協(xié)議報文轉(zhuǎn)發(fā)�。通過阻塞EAPS環(huán)的控制VLAN禁止EAPS協(xié)議報文轉(zhuǎn)發(fā)的方法有多種,如常見的 ACL(訪問控制列表���,Access Control List)過濾等����。但一些節(jié)點設(shè)備的交換機(jī)上的用戶數(shù)據(jù)端口比較多�����,在用戶數(shù)據(jù)端口上使用ACL對EAPS協(xié)議報文進(jìn)行過濾的方法消耗ACL資源過多�����,而ACL資源又是以太網(wǎng)交換機(jī)上非常寶貴的資源����,不可濫用���。因此,可以在數(shù)據(jù)端口 P3上將EAPS環(huán)的控制VLAN的生成樹狀態(tài)設(shè)置為阻塞����,則可以禁止EAPS協(xié)議報文通過數(shù)據(jù)端口 P3轉(zhuǎn)發(fā),相對操作簡單���,不消耗以太網(wǎng)交換機(jī)的資源��。實施例2如圖2,兩個EAPS環(huán)��,一個EAPS環(huán)Rl包括主節(jié)點M�、傳輸節(jié)點T1、T2�、T3 ;另一個 EAPS環(huán)R2包括主節(jié)點m�、傳輸節(jié)點tl、t2����、T3,其中這兩個EAPS環(huán)都經(jīng)過節(jié)點T3���,且每個環(huán)在節(jié)點T3有兩個端口�,節(jié)點T3上的端口 pi 1、p22對應(yīng)EAPS環(huán)Rl�,端口 p21、p22對應(yīng)EAPS 環(huán)R2�����。那么����,EAPS環(huán)Rl與EAPS環(huán)R2相切于切點節(jié)點T3,EAPS環(huán)Rl與EAPS環(huán)R2為相切 EAPS 環(huán)�����。本實施例中除了節(jié)點T3的報文判斷模塊在接收EAPS協(xié)議報文后����,控制第一保護(hù)控制模塊在節(jié)點T3的用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN,禁止EAPS協(xié)議報文轉(zhuǎn)發(fā)之夕卜���,還需針對相切EAPS環(huán)的情況作特殊處理—— 當(dāng)經(jīng)過同一節(jié)點設(shè)備上有兩個或兩個以上相切EAPS環(huán)時����,一個相切EAPS環(huán)在切點節(jié)點的兩個端口上阻塞其它相切EAPS環(huán)的控制VLAN。本實施例如圖2��,節(jié)點T3的切點節(jié)點判斷模塊判斷出EAPS環(huán)Rl和EAPS環(huán)R2相切于節(jié)點T3�。Rl在節(jié)點T3上的主端口為 pll,副端口為pl2�����,EAPS環(huán)R2在節(jié)點T3上的主端口為p21����,副端口為p22。當(dāng)節(jié)點T3的報文判斷模塊接收到來自于EAPS環(huán)Rl的EAPS協(xié)議報文時��,第二保護(hù)控制模塊在端口 pi 1和 P12上阻塞EAPS環(huán)R2的控制VLAN ����;當(dāng)節(jié)點T3的報文判斷模塊接收到來自于EAPS環(huán)R2的 EAPS協(xié)議報文時�,第二保護(hù)控制模塊在端口 p21和p22上阻塞EAPS環(huán)Rl的控制VLAN。
權(quán)利要求
1.以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法�����,其特征在于�,當(dāng)EAPS節(jié)點接收到EAPS協(xié)議報文時���,禁止該節(jié)點上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文;所述節(jié)點包括主節(jié)點與傳輸節(jié)點ο
2.如權(quán)利要求1所述以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法��,其特征在于�,所述禁止EAPS 節(jié)點上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文是指在用戶數(shù)據(jù)端口上阻塞EAPS控制VLAN。
3.如權(quán)利要求1或2所述以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法�����,其特征在于��,當(dāng)EAPS 環(huán)網(wǎng)中任意一個節(jié)點被兩個或兩個以上的EAPS環(huán)經(jīng)過����,且每個EAPS環(huán)在該節(jié)點上有兩個端口時,該節(jié)點作為這兩個或兩個以上的EAPS環(huán)的切點節(jié)點�,禁止該切點節(jié)點所在每一個 EAPS環(huán)上的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文。
4.如權(quán)利要求3所述以太網(wǎng)環(huán)網(wǎng)中控制VLAN的保護(hù)方法��,其特征在于���,禁止該切點節(jié)點所在每一個EAPS環(huán)上的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文是指�����,設(shè)置每一個EAPS環(huán)在所述切點節(jié)點的兩個端口上阻塞所有經(jīng)過該切點節(jié)點的其它相切EAPS環(huán)的控制VLAN���。
5.以太網(wǎng)環(huán)網(wǎng)中的節(jié)點設(shè)備�����,其特征在于�,包括第一保護(hù)控制模塊����,報文判斷模塊;所述報文判斷模塊用于�����,接收EAPS協(xié)議報文時���,觸發(fā)第一保護(hù)控制模塊;所述第一保護(hù)控制模塊用于����,禁止EAPS環(huán)網(wǎng)中的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文。
6.如權(quán)利要求5所述以太網(wǎng)環(huán)網(wǎng)中的節(jié)點設(shè)備���,其特征在于��,所述第一保護(hù)控制模塊用于��,通過在用戶數(shù)據(jù)端口上阻塞EAPS環(huán)的控制VLAN����,來禁止EAPS協(xié)議報文通過用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)。
7.如權(quán)利要求5或6所述以太網(wǎng)環(huán)網(wǎng)中的節(jié)點設(shè)備�,其特征在于,還包括切點節(jié)點判斷模塊����、第二保護(hù)控制模塊;所述切點節(jié)點判斷模塊用于�,當(dāng)本地節(jié)點設(shè)備被兩個或兩個以上的EAPS環(huán)經(jīng)過,且每個EAPS環(huán)在本地節(jié)點設(shè)備上有兩個端口時�,切點節(jié)點判斷模塊判斷本地節(jié)點設(shè)備為這兩個或兩個以上的EAPS環(huán)的切點節(jié)點,所述兩個或兩個以上的EAPS環(huán)均為該切點節(jié)點的相切EAPS環(huán)��;所述報文判斷模塊還用于�����,當(dāng)接收EAPS協(xié)議報文,且切點節(jié)點判斷模塊判斷出本地節(jié)點設(shè)備為切點節(jié)點時�,觸發(fā)第二保護(hù)控制模塊;所述第二保護(hù)控制模塊用于��,禁止本地節(jié)點設(shè)備上任意一個相切EAPS環(huán)對應(yīng)的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文�。
8.如權(quán)利要求7所述太網(wǎng)環(huán)網(wǎng)中的節(jié)點設(shè)備,其特征在于���,所述第二保護(hù)控制模塊用于�,通過在任意一個經(jīng)過本地節(jié)點設(shè)備的EAPS環(huán)對應(yīng)的兩個端口上阻塞所有經(jīng)過該本地節(jié)點設(shè)備的其它EAPS環(huán)的控制VLAN�,來禁止本地節(jié)點設(shè)備上的一個EAPS環(huán)對應(yīng)的兩個端口在本EAPS環(huán)上轉(zhuǎn)發(fā)其它相切EAPS環(huán)的協(xié)議報文。
全文摘要
本發(fā)明提供一種防止攻擊者偽造EAPS協(xié)議報文對EAPS環(huán)進(jìn)行攻擊的控制VLAN保護(hù)方法以及實現(xiàn)該方法的節(jié)點設(shè)備��。當(dāng)EAPS節(jié)點接收到EAPS協(xié)議報文時����,禁止該節(jié)點上的用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文;所述節(jié)點包括主節(jié)點與傳輸節(jié)點�����。通過禁止用戶數(shù)據(jù)端口轉(zhuǎn)發(fā)EAPS協(xié)議報文的技術(shù)手段����,既可以防止EAPS環(huán)的EAPS協(xié)議報文通過用戶數(shù)據(jù)端口進(jìn)入用戶網(wǎng)絡(luò),又可以防止攻擊者偽造的EAPS協(xié)議報文通過用戶數(shù)據(jù)端口進(jìn)入EAPS環(huán)��,引起協(xié)議的錯誤操作�����。這樣����,EAPS協(xié)議報文無法到達(dá)EAPS環(huán),從物理層面阻斷了攻擊者偽造協(xié)議報文的攻擊路徑��。
文檔編號H04L12/42GK102457432SQ20101052462
公開日2012年5月16日 申請日期2010年10月29日 優(yōu)先權(quán)日2010年10月29日
發(fā)明者何三波 申請人:邁普通信技術(shù)股份有限公司