專利名稱:一種基于以太網(wǎng)交換機的安全過濾方法
技術領域:
本發(fā)明涉及通信數(shù)據(jù)交換領域,尤其涉及加強以太網(wǎng)交換機安全特性的安全過濾方法。
背景技術:
以太網(wǎng)交換技術(LAN SWITCH)是在多端口網(wǎng)橋的基礎上于九十年代初發(fā)展起來的,實現(xiàn)OSI模型的下兩層協(xié)議。以太網(wǎng)交換機與電話交換機相似,除了提供存儲轉(zhuǎn)發(fā)(STORE ANG FORWORD)方式外還提供了其它的橋接技術,如直通方式(CUT THROUGH)。標準的以太網(wǎng)交換機在同一個VLAN(虛擬局域網(wǎng))內(nèi)所有端口允許廣播報文互通。
在以太網(wǎng)交換機工作過程中,通過DHCP協(xié)議(動態(tài)主機配置協(xié)議)提供主機IP地址的動態(tài)租用配置、并將其他配置參數(shù)分發(fā)給合法網(wǎng)絡客戶端的網(wǎng)絡服務協(xié)議。DHCP提供了簡便的IP網(wǎng)絡配置,能避免地址沖突,DHCP使用客戶端/服務器模型,通過這種模式,DHCP服務器集中維持網(wǎng)絡上使用的IP地址的管理。然后,支持DHCP的客戶端就可以向DHCP服務器請求和租用IP地址,作為它們網(wǎng)絡啟動過程的一部分。DHCP客戶端典型作為WINDOWS網(wǎng)絡協(xié)議的一部分,DHCP協(xié)議通過初始化的廣播報文來尋找DHCP服務器。
通過NETBIOS和NETBEUI,WINDOWS提供了方便的文件共享功能。NetBIOS為程序提供了請求低級服務的統(tǒng)一的命令集,局域網(wǎng)上的程序可以使用的應用程序編程接口(API)。這些服務是管理名稱、執(zhí)行會話和在網(wǎng)絡節(jié)點之間發(fā)送數(shù)據(jù)報所要求的。NETBEUI是Microsoft網(wǎng)絡的本地網(wǎng)絡協(xié)議。它通常用于小的、有1到200個客戶的部門大小的局域網(wǎng)(LAN)。它是NetBIOS標準的Microsoft實現(xiàn)。NETBEUI通過周期性的廣播報文獲取網(wǎng)絡信息。
但是,共享與安全在一定程度上是相互矛盾的,隨著以太局域網(wǎng)從單純的公司內(nèi)部網(wǎng)絡向開放運營網(wǎng)絡的擴展,安全問題變得突出起來。
其典型問題是(1)用戶使用DHCP獲取IP地址,如果屬于同一VLAN內(nèi)的用戶有意或無意啟動了DHCP服務器,例如PC機上流行的Wingate軟件,由于DHCP協(xié)議在2層網(wǎng)絡中的廣播機制和缺乏鑒權機制的原因,很可能造成局域網(wǎng)用戶從錯誤的DHCP服務器獲取錯誤的IP地址,導致無法正常使用網(wǎng)絡;(2)WINDOWS的文件共享機制在帶來共享的方便性的同時,也帶來了安全性隱患,在寫字樓或開放式局域網(wǎng)絡環(huán)境中,WINDOWS網(wǎng)絡協(xié)議NETBEUI和NETBIOS的文件夾共享,可能由于用戶忘了設置共享密碼或密碼失竊帶來安全問題。例如,有種WINDOWS網(wǎng)絡病毒在發(fā)作時將WINDOWS所有文件夾設置無密碼可讀可寫共享狀態(tài)。
目前在現(xiàn)有技術中,有幾種解決方法,但都存在不足。采用交換機2層隔離的方式,需要在上層設備進行3層轉(zhuǎn)發(fā),在3層交換機需要支持ARP-Proxy功能;但是,有些L3設備不支持此功能;如果交換機采用VLAN隔離方法,在組播復制時,由于標準的以太網(wǎng)交換機只能在同一VLAN內(nèi)進行組播報文復制,組播的復制必須放在上層設備,對上層設備的性能和功能造成了額外的影響。
發(fā)明內(nèi)容
本發(fā)明的目的就是提供一種在以太網(wǎng)交換機構(gòu)成的局域網(wǎng)絡中增強安全特性的過濾方法,可以有效地防止局域網(wǎng)絡中接入用戶相互干擾。
一種基于以太網(wǎng)交換機的安全過濾方法,其中將以太網(wǎng)交換機的端口劃分為網(wǎng)絡側(cè)端口和用戶側(cè)端口,并將用戶側(cè)端口收到的特定協(xié)議報文進行定向轉(zhuǎn)發(fā),以完成安全過濾。
所述的以太網(wǎng)交換機的安全過濾方法,其中進一步包括以下步驟a、確定以太網(wǎng)交換機在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡側(cè)端口和用戶側(cè)端口;b、由交換機處理CPU(以下簡稱CPU)對用戶側(cè)端口收到的特定協(xié)議報文進行定向轉(zhuǎn)發(fā)。
所述的以太網(wǎng)交換機的安全過濾方法,還包括步驟a1CPU向交換芯片配置特定報文的過濾規(guī)則,控制交換芯片在用戶側(cè)端口上把特定協(xié)議報文捕獲到CPU上。
所述的步驟b,是指CPU配置交換芯片,使其能夠?qū)⒂脩魝?cè)端口收到的特定協(xié)議報文捕獲到CPU,然后CPU再通過交換芯片將被捕獲的報文從網(wǎng)絡側(cè)端口發(fā)出。所述的以太網(wǎng)交換機的安全過濾方法,進一步包括以下步驟a、確定以太網(wǎng)交換機在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡側(cè)端口和用戶側(cè)端口;b、由交換芯片對用戶側(cè)端口收到的特性協(xié)議報文進行定向轉(zhuǎn)發(fā)。
所述的以太網(wǎng)交換機的安全過濾方法,還包括步驟a1CPU按交換芯片的配置要求向交換芯片配置網(wǎng)絡側(cè)端口和用戶側(cè)端口并啟動交換芯片的過濾和定向轉(zhuǎn)發(fā)功能。
所述的步驟a中,可以為每一個VLAN確定一個獨立的網(wǎng)絡側(cè)端口。
所述的步驟b,是指CPU配置交換芯片的用戶側(cè)端口和網(wǎng)絡側(cè)端口之后,交換芯片自動將用戶側(cè)端口收到的特定協(xié)議報文定向轉(zhuǎn)發(fā)至網(wǎng)絡側(cè)端口。
所述的步驟b中,如果存在多個網(wǎng)絡側(cè)端口,從中選擇激活的并且端口狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)的端口。
所述的基于以太網(wǎng)交換機的安全過濾方法還包括步驟c、從網(wǎng)絡側(cè)端口到用戶側(cè)端口的特定協(xié)議報文通過交換芯片發(fā)送到相應的用戶側(cè)端口。
由于采用了本發(fā)明的基于以太網(wǎng)交換機的安全過濾方法,在以太網(wǎng)交換機上實現(xiàn)了DHCP,NETBIOS,NETBEUI報文的過濾和定向功能,有效地解決了在以太網(wǎng)交換機構(gòu)成的局域網(wǎng)中接入用戶的相互干擾問題,減少了管理員維護管理工作量。
圖1是本發(fā)明的一個流程圖;
圖2是本發(fā)明采用的一個組網(wǎng)圖。
具體實施例方式
下面結(jié)合說明書附圖來說明本發(fā)明的具體實施方式
。
如圖1所示,是本發(fā)明的一個流程圖,從圖中可以看出,本發(fā)明可以包括以下處理過程a、確定以太網(wǎng)交換機在一個VLAN內(nèi)的網(wǎng)絡側(cè)端口和用戶側(cè)端口;該步驟中,在每個確定的VLAN都可以有獨立的網(wǎng)絡側(cè)端口,不同VLAN也可以共享TRUNK端口(同一端口屬于多個VLAN)。例如在典型的樹型組網(wǎng)企業(yè)網(wǎng)應用中,一臺以太網(wǎng)交換機有24個10/100M以太網(wǎng)作為用戶側(cè)端口劃入同一個VLAN,接入用戶PC機,1個上行GE口確定為此設備的網(wǎng)絡側(cè)端口。
劃分網(wǎng)絡側(cè)端口后的VLAN內(nèi)剩余的端口即為用戶側(cè)端口。
該步驟中,如果定向轉(zhuǎn)發(fā)功能由CPU實現(xiàn),則CPU需要向交換芯片配置特定報文的過濾規(guī)則,控制交換芯片在用戶側(cè)端口上把特定協(xié)議報文捕獲到CPU上。具體來說,就是首先把DHCP,NETBIOS,NETBEUI報文頭的特征下發(fā)到交換芯片的規(guī)則表中,例如DHCP Discover報文頭的特征Destination MAC域是ff ffff ff ff ff;Ethertype域是0x0800;IP Protocol域是0x11(UDP);UDP Source port域是0x44;UDP Destination port域是0x43;DHCP Message type域為0x01等等。然后將這些規(guī)則的入端口設置為那些用戶側(cè)端口,即表示只在用戶側(cè)端口上進行報文的匹配,最后將這些規(guī)則匹配后的動作設置為“接收到CPU”。這樣配置下來,交換芯片就能夠在用戶側(cè)端口上按照規(guī)則表捕獲DHCP,NETBIOS,NETBEUI報文并轉(zhuǎn)發(fā)到CPU。
該步驟中,如果定向轉(zhuǎn)發(fā)功能由交換芯片自動實現(xiàn),則CPU需要按交換芯片的配置要求做兩個設置1)向交換芯片配置網(wǎng)絡側(cè)端口和用戶側(cè)端口,2)啟動交換芯片的過濾和定向轉(zhuǎn)發(fā)功能。
具體來說,就是首先把DHCP,NETBIOS,NETBEUI報文頭的特征下發(fā)到交換芯片的規(guī)則表中。然后將這些規(guī)則的入端口設置為那些用戶側(cè)端口,即表示只在用戶側(cè)端口上進行報文的匹配,最后將這些規(guī)則匹配后的動作設置為“轉(zhuǎn)發(fā)至網(wǎng)絡側(cè)端口”。這樣配置下來,交換芯片就能夠在用戶側(cè)端口上按照規(guī)則表過濾DHCP,NETBIOS,NETBEUI報文并自動轉(zhuǎn)發(fā)到網(wǎng)絡側(cè)端口。
b、將用戶側(cè)端口收到的特定協(xié)議報文定向轉(zhuǎn)發(fā)到網(wǎng)絡側(cè)端口;該步驟中,如果定向轉(zhuǎn)發(fā)功能由CPU實現(xiàn),則在步驟a的配置下,交換芯片會將所有用戶側(cè)端口收到的特定協(xié)議報文從交換芯片捕獲到CPU,然后CPU再將捕獲到的報文通過交換芯片從網(wǎng)絡側(cè)端口發(fā)出,從而實現(xiàn)定向轉(zhuǎn)發(fā)。
該步驟中,如果定向轉(zhuǎn)發(fā)功能由交換芯片自動實現(xiàn),則在步驟a的配置下,交換芯片自動完成特定協(xié)議報文從用戶側(cè)端口到網(wǎng)絡側(cè)端口的定向轉(zhuǎn)發(fā)功能,不需要CPU做特別的干預。在此過程中,與前面CPU處理方式的相同的地方是從用戶側(cè)端口過濾出特定協(xié)議報文都是由交換芯片完成的;不同的地方是定向轉(zhuǎn)發(fā)功能是否需要CPU參與,由交換芯片自動完成的定向轉(zhuǎn)發(fā)將具有更好的性能。
如果存在多個網(wǎng)絡側(cè)端口,從中選擇激活的并且端口狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)的端口。
端口轉(zhuǎn)發(fā)狀態(tài)由生成樹協(xié)議(spanning tree protocol)確定,生成樹協(xié)議通常在保護組網(wǎng)時啟動。
c、從網(wǎng)絡側(cè)端口到用戶側(cè)端口的協(xié)議報文通過交換芯片發(fā)送到相應的用戶側(cè)端口;對于從網(wǎng)絡側(cè)端口到用戶側(cè)端口的協(xié)議報文不進行捕獲,直接通過交換芯片轉(zhuǎn)發(fā)或廣播到相應用戶側(cè)端口。
如圖2所示,是本發(fā)明協(xié)議過濾技術的典型的組網(wǎng)應用圖,可見通過步驟b,可以完成協(xié)議的過濾操作。
本發(fā)明通過以上處理過程,可以實現(xiàn)以下功能(1)用戶側(cè)端口的終端用戶即使在WINDOWS操作系統(tǒng)上共享文件夾,所有的用戶側(cè)端口用戶都不能瀏覽到用戶的共享文件夾,也無法訪問;
(2)用戶側(cè)端口的終端用戶不受用戶側(cè)端口用戶設置的DHCP服務器影響;(3)用戶側(cè)端口的終端用戶可以從網(wǎng)絡側(cè)DHCP服務器獲得IP地址,也可以訪問網(wǎng)絡側(cè)服務器提供的共享文件夾。
本發(fā)明技術在以太網(wǎng)交換機上實現(xiàn)了DHCP,NETBIOS,NETBEUI報文的過濾和定向功能,有效地解決了在以太網(wǎng)交換機構(gòu)成的局域網(wǎng)中接入用戶的相互干擾問題,減少了管理員維護管理工作量。
以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭示的技術范圍內(nèi),可輕易想到的變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應該以權利要求書的保護范圍為準。
權利要求
1.一種基于以太網(wǎng)交換機的安全過濾方法,其特征在于將以太網(wǎng)交換機的端口劃分為網(wǎng)絡側(cè)端口和用戶側(cè)端口,并將用戶側(cè)端口收到的特定協(xié)議報文進行定向轉(zhuǎn)發(fā),以完成安全過濾。
2.如權利要求1所述的以太網(wǎng)交換機的安全過濾方法,其特征在于進一步包括以下步驟a、確定以太網(wǎng)交換機在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡側(cè)端口和用戶側(cè)端口;b、由交換機處理CPU(以下簡稱CPU)對用戶側(cè)端口收到的特定協(xié)議報文進行定向轉(zhuǎn)發(fā)。
3.如權利要求2所述的以太網(wǎng)交換機的安全過濾方法,其特征在于還包括步驟a1CPU向交換芯片配置特定報文的過濾規(guī)則,控制交換芯片在用戶側(cè)端口上把特定協(xié)議報文捕獲到CPU上。
4.如權利要求2所述的基于以太網(wǎng)交換機的安全過濾方法,其特征在于所述的步驟b,是指CPU配置交換芯片,使其能夠?qū)⒂脩魝?cè)端口收到的特定協(xié)議報文捕獲到CPU,然后CPU再通過交換芯片將被捕獲的報文從網(wǎng)絡側(cè)端口發(fā)出。
5.如權利要求1所述的以太網(wǎng)交換機的安全過濾方法,其特征在于進一步包括以下步驟a、確定以太網(wǎng)交換機在虛擬局域網(wǎng)(VLAN)的網(wǎng)絡側(cè)端口和用戶側(cè)端口;b、由交換芯片對用戶側(cè)端口收到的特性協(xié)議報文進行定向轉(zhuǎn)發(fā)。
6.如權利要求5所述的以太網(wǎng)交換機的安全過濾方法,其特征在于還包括步驟a1CPU按交換芯片的配置要求向交換芯片配置網(wǎng)絡側(cè)端口和用戶側(cè)端口并啟動交換芯片的過濾和定向轉(zhuǎn)發(fā)功能。
7.如權利要求2或5所述的基于以太網(wǎng)交換機的安全過濾方法,其特征在于所述的步驟a中,可以為每一個VLAN確定一個獨立的網(wǎng)絡側(cè)端口。
8.如權利要求5所述的基于以太網(wǎng)交換機的安全過濾方法,其特征在于所述的步驟b,是指CPU配置交換芯片的用戶側(cè)端口和網(wǎng)絡側(cè)端口之后,交換芯片自動將用戶側(cè)端口收到的特定協(xié)議報文定向轉(zhuǎn)發(fā)至網(wǎng)絡側(cè)端口。
9.如權利要求2或5所述的基于以太網(wǎng)交換機的安全過濾方法,其特征在于所述的步驟b中,如果存在多個網(wǎng)絡側(cè)端口,從中選擇激活的并且端口狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)的端口。
10.如權利要求2或5所述的基于以太網(wǎng)交換機的安全過濾方法,其特征在于還包括步驟c、從網(wǎng)絡側(cè)端口到用戶側(cè)端口的特定協(xié)議報文通過交換芯片發(fā)送到相應的用戶側(cè)端口。
全文摘要
本發(fā)明涉及一種加強以太網(wǎng)交換機安全特性的過濾方法。一種基于以太網(wǎng)交換機的安全過濾方法,其特征在于將以太網(wǎng)交換機的端口劃分為網(wǎng)絡側(cè)端口和用戶側(cè)端口,并將用戶側(cè)端口收到的DHCP,NETBIOS,NETBEUI協(xié)議報文進行定向轉(zhuǎn)發(fā),以完成安全過濾。由于采用了本發(fā)明的基于以太網(wǎng)交換機的安全過濾方法,在以太網(wǎng)交換機上實現(xiàn)了DHCP,NETBIOS,NETBEUI報文的過濾和定向功能,有效地解決了在以太網(wǎng)交換機構(gòu)成的局域網(wǎng)中接入用戶之間的相互干擾問題,減少了管理員維護管理工作量。
文檔編號H04L12/28GK1518289SQ0310065
公開日2004年8月4日 申請日期2003年1月17日 優(yōu)先權日2003年1月17日
發(fā)明者盧瑞昕, 馮磊 申請人:華為技術有限公司