專利名稱:一種實現(xiàn)交換機內(nèi)部報文安全防護的方法、系統(tǒng)以及交換機的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域,尤其涉及一種實現(xiàn)交換機內(nèi)部報文安全防護的方法、系統(tǒng)以及交換機。
背景技術(shù):
防火墻是現(xiàn)代網(wǎng)絡(luò)中必不可少的安全設(shè)備,它通過控制網(wǎng)絡(luò)訪問的方式實現(xiàn)安全策略。防火墻傳統(tǒng)上僅僅實現(xiàn)了非法報文的過濾,防止外來非法地址的接入,UTM在此基礎(chǔ)之上進行了擴展,實現(xiàn)更細力度的訪問控制、NAT、VPN服務(wù)、IPS、防病毒、URL過濾、DPI識別等多種功能,充分保護了用戶網(wǎng)絡(luò)的私密性、完整性和可用性。傳統(tǒng)上區(qū)域邊界一般會部署多臺應(yīng)用設(shè)備,比如應(yīng)用網(wǎng)關(guān)、防火墻、VPN設(shè)備等,大量設(shè)備串聯(lián),不僅增加了用戶投資,也增加了實施復(fù)雜度和管理成本。近來業(yè)界推出防火墻線卡,將交換機的轉(zhuǎn)發(fā)和安全業(yè)務(wù)一定程度的融合起來,降低了網(wǎng)絡(luò)拓撲復(fù)雜度和管理成本,但是都沒有做到充分的融合,例如NP方案,一般是由一個功能強大的通用控制CPU和多個NP構(gòu)建的解決方案,相同轉(zhuǎn)發(fā)性能的軟硬件成本明顯偏高。采用RMI多核方案,它是通過萬兆接口與交換機連接,實際這是兩個獨立的硬件系統(tǒng)通過以太網(wǎng)連接的一個集成產(chǎn)品, 多業(yè)務(wù)板接收數(shù)據(jù)時不能獲取入口交換機的入口物理信息,處理完數(shù)據(jù)包也不能指定交換機出端口的信息,這在數(shù)據(jù)包流回線卡后會增加接口線卡的處理負擔(dān)。
發(fā)明內(nèi)容
本發(fā)明的目的在于,在一個既需要交換又需要安全防護的網(wǎng)絡(luò)拓撲中,達到交換與安全充分融合,降低用戶投資和管理成本。為達此目的,本發(fā)明采用以下技術(shù)方案一種實現(xiàn)交換機內(nèi)部報文安全防護的方法,包括以下步驟A、主控模塊向安全防護模塊實時同步三層VLAN狀態(tài)信息;B、通過主控模塊指定需要報文安全防護的VLAN ;C、主控模塊根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊;D、接口模塊把進入和/或流出所述指定VLAN的IP報文重定向到安全防護模塊;E、安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊。所述步驟A中,所述三層VLAN狀態(tài)信息包括三層VLAN接口 MAC、接口 IP信息、 路由表項和鄰居表項;其中路由表項和鄰居表項,包括靜態(tài)配置的條目和動態(tài)生成的條目。所述步驟C中,所述預(yù)設(shè)的過濾規(guī)則,是指為所述指定VLAN指定相應(yīng)的安全防護模塊進行報文安全防護處理。所述步驟C中,所述報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;所述ACL規(guī)則,用于實現(xiàn)接口模塊把進入所述指定VLAN的IP報文重定向到安全防護模塊;所述鄰居表項,用于實現(xiàn)接口模塊把流出所述指定VLAN的IP報文重定向到安全防護模塊。所述步驟D中,
當所述指定VLAN有IP報文流入時,接口模塊根據(jù)主控模塊下發(fā)的ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護模塊;當所述指定VLAN有IP報文流出時,將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護模塊的識別信息,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護模塊。所述步驟E進一步包括以下步驟E1、安全防護模塊對收到的IP報文根據(jù)NAT規(guī)則進行處理;E2、判斷處理后的IP報文的目標IP地址是否屬于本機三層VLAN接口的IP地址; 若屬于,則所述IP報文為本地報文,進入步驟E3 ;若不屬于,則所述IP報文為轉(zhuǎn)發(fā)報文,進入步驟E4 ;E3、安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對所述本地報文進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口模塊;E4、安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對所述轉(zhuǎn)發(fā)報文進行處理,對于通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過 HiGig 口轉(zhuǎn)回接口模塊,接口模塊不再做路由查找而直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。一種實現(xiàn)交換機內(nèi)部報文安全防護的系統(tǒng),包括主控模塊,用于指定需要報文安全防護的VLAN,根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊;接口模塊,用于根據(jù)報文引導(dǎo)規(guī)則將進入和/或流出的IP報文重定向到安全防護模塊;安全防護模塊,用于根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊;其中主控模塊分別與接口模塊和安全防護模塊連接,接口模塊與安全防護模塊連接。所述主控模塊下發(fā)至接口模塊的報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;接口模塊根據(jù)ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護模塊;接口模塊通過將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護模塊的識別信息,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護模塊。所述安全防護模塊對收到的IP報文根據(jù)NAT規(guī)則進行處理,判斷處理后的IP報文的類型;對于本地報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口模塊;對于轉(zhuǎn)發(fā)報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理, 對通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口模塊,接口模塊不再做路由查找,而直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。一種實現(xiàn)內(nèi)部報文安全防護的交換機,包括主控卡、至少一塊接口線卡和至少一塊安全防護線卡,所述接口線卡和安全防護線卡為獨立線卡,通過HiGig 口與交換機背板數(shù)據(jù)通道連接,主控卡通過背板的控制通道對接口線卡和安全防護線卡進行控制管理;主控卡,用于指定需要報文安全防護的VLAN,根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口線卡;接口線卡,用于根據(jù)報文引導(dǎo)規(guī)則將進入和/或流出的IP報文重定向到安全防護線卡;安全防護線卡,用于根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口線卡。所述主控卡向同一機柜內(nèi)的至少一塊安全防護線卡實時同步三層VLAN狀態(tài)信息,包括三層VLAN接口 MAC、接口 IP信息、路由表項、鄰居表項,其中路由表項和鄰居表包括靜態(tài)配置的條目和動態(tài)生成的條目。
主控卡指定至少一個VLAN進行報文安全防護,并且為每個所述指定VLAN指定一塊安全防護線卡。所述主控卡下發(fā)至接口線卡的報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;接口線卡根據(jù)ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護線卡;接口線卡通過將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護線卡所在的槽位號,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護線卡。所述安全防護線卡對收到的IP報文根據(jù)NAT規(guī)則進行處理,判斷處理后的IP報文的類型;對于本地報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口線卡;對于轉(zhuǎn)發(fā)報文,安全防護線卡根據(jù)預(yù)設(shè)的安全策略進行處理, 對通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口線卡,接口線卡不再做路由查找,直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。采用本發(fā)明的技術(shù)方案,在一個既需要交換又需要安全防護的網(wǎng)絡(luò)拓撲中,達到交換與安全充分融合,降低用戶投資和管理成本,使得管理員在已有的網(wǎng)絡(luò)拓撲中添加安全防護功能時,僅用插入安全防護線卡和簡單的命令配置即可完成,不用對拓撲做出任何變動。
圖1是本發(fā)明具體實施方式
提供的實現(xiàn)交換機內(nèi)部報文安全防護的方法流程示意圖;圖2是安全防護模塊對收到的IP報文進行處理的流程示意圖;圖3是本發(fā)明具體實施方式
提供的實現(xiàn)交換機內(nèi)部報文安全防護的系統(tǒng)結(jié)構(gòu)示意圖;圖4是本發(fā)明具體實施方式
提供的實現(xiàn)內(nèi)部報文安全防護的交換機結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖并通過具體實施方式
來進一步說明本發(fā)明的技術(shù)方案。圖1是本發(fā)明具體實施方式
提供的實現(xiàn)交換機內(nèi)部報文安全防護的方法流程示意圖,如圖1所示,該實現(xiàn)交換機內(nèi)部報文安全防護的方法包括以下步驟步驟S101,主控模塊向安全防護模塊實時同步三層VLAN狀態(tài)信息。主控模塊向處于運行狀態(tài)的安全防護模塊同步當前的三層VLAN狀態(tài)信息,所述三層VLAN狀態(tài)信息包括, 三層VLAN接口 MAC、接口 IP信息、路由表項和鄰居表項;其中路由表項和鄰居表項,既包括靜態(tài)配置的條目,又包括動態(tài)生成的條目。步驟S1 02,通過主控模塊指定需要報文安全防護的VLAN。管理員在主控模塊上指定需要做安全防護的VLAN,與該VLAN相關(guān)的流量將會進行安全防護。步驟S103,主控模塊根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊。 在所述主控模塊上可以配置過濾規(guī)則,將指定VLAN內(nèi)的報文,指定到某一個安全防護線模塊進行安全防護。所述指定VLAN內(nèi)的流量包括,進入該VLAN內(nèi)的IP報文和從該VLAN轉(zhuǎn)發(fā)出去的 IP報文。進入該VLAN的IP報文識別特征為,該IP報文的目的MAC為該VLAN的三層接口的MAC。從該VLAN轉(zhuǎn)發(fā)出去的IP報文,來自交換機的其它三層VLAN,出接口為該三層VLAN 接口,識別特征為目的路由的下一跳和該三層VLAN接口處于同一網(wǎng)段。主控模塊根據(jù)過濾規(guī)則,生成報文引導(dǎo)規(guī)則下發(fā)給接口模塊。所述報文引導(dǎo)規(guī)則包括ACL規(guī)則,用于實現(xiàn)接口模塊把進入所述指定VLAN的IP報文重定向到安全防護模塊; 鄰居表項,用于實現(xiàn)接口模塊把流出所述指定VLAN的IP報文重定向到安全防護模塊。步驟S104,接口模塊把進入和/或流出所述指定VLAN的IP報文重定向到安全防護模塊。當所述指定VLAN有IP報文流入時,接口模塊根據(jù)主控模塊下發(fā)的ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護模塊;當所述指定VLAN有IP報文流出時,將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護模塊的識別信息,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護模塊。兩種方式都保持重定向報文的完整性,不修改IP報文的任何內(nèi)容,特別是不修改 TTL。步驟S105,安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊。圖2為所述步驟S105中安全防護模塊對收到的 IP報文進行處理的流程示意圖,如圖2所示,該處理流程包括以下步驟步驟S201,安全防護模塊對從HiGig 口上收到的IP報文根據(jù)NAT規(guī)則進行處理。步驟S202,判斷處理后的IP報文的目標IP地址是否屬于本機三層VLAN接口的 IP地址。目標IP地址為本機三層VLAN接口 IP的IP報文,視作本地報文,目標IP地址為非本機三層VLAN接口 IP的其它IP報文,視作轉(zhuǎn)發(fā)報文。當所述IP報文為本地報文時,進入步驟S203 ;當所述IP報文為轉(zhuǎn)發(fā)報文時,進入步驟S204。步驟S203,安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對本地報文進行安全防護。對通過安全策略處理的本地報文,重定向到接口模塊。步驟S204,安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對所述轉(zhuǎn)發(fā)報文進行安全防護,對于通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口模塊,接口模塊不再做路由查找而直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。圖3是 本發(fā)明具體實施方式
提供的實現(xiàn)交換機內(nèi)部報文安全防護的系統(tǒng)結(jié)構(gòu)示意圖;如圖3所示,該實現(xiàn)交換機內(nèi)部報文安全防護的系統(tǒng)包括主控模塊301,用于指定需要報文安全防護的VLAN,根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊302 ;接口模塊302,用于根據(jù)報文引導(dǎo)規(guī)則將進入和/或流出的IP報文重定向到安全防護模塊303 ;安全防護模塊303,用于根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊302 ;其中主控模塊分別與接口模塊和安全防護模塊連接,接口模塊與安全防護模塊連接。所述主控模塊下發(fā)至接口模塊的報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;接口模塊根據(jù)ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護模塊;接口模塊通過將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護模塊的識別信息,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護模塊。所述安全防護模塊對收到的IP報文根據(jù)NAT規(guī)則進行處理,判斷處理后的IP報文的類型;對于本地報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口模塊;對于轉(zhuǎn)發(fā)報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理, 對通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口模塊,接口模塊不再做路由查找,而直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。圖4是本發(fā)明具體實施方式
提供的實現(xiàn)內(nèi)部報文安全防護的交換機結(jié)構(gòu)示意圖; 如圖4所示,該交換機包括包括主控卡401、至少一塊接口線卡402和至少一塊安全防護線卡403,所述接口線卡402和安全防護線卡403為獨立線卡,通過HiGig 口與交換機背板數(shù)據(jù)通道連接,主控卡401通過背板的控制通道對接口線卡402和安全防護線卡403進行控制管理;主控卡401,用于指定需要報文安全防護的VLAN,根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口線卡; 接口線卡402,用于根據(jù)報文引導(dǎo)規(guī)則將進入和/或流出的IP報文重定向到安全防護線卡;安全防護線卡403,用于根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口線卡。所述主控卡向同一機柜內(nèi)的至少一塊安全防護線卡實時同步三層VLAN狀態(tài)信息,包括三層VLAN接口 MAC、接口 IP信息、路由表項、鄰居表項,其中路由表項和鄰居表包括靜態(tài)配置的條目和動態(tài)生成的條目。主控卡指定至少一個VLAN進行報文安全防護,并且為每個所述指定VLAN指定一塊安全防護線卡。所述主控卡下發(fā)至接口線卡的報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;接口線卡根據(jù)ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護線卡;接口線卡通過將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護線卡所在的槽位號,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護線卡。所述安全防護線卡對收到的IP報文根據(jù)NAT規(guī)則進行處理,判斷處理后的IP報文的類型;對于本地報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口線 卡;對于轉(zhuǎn)發(fā)報文,安全防護線卡根據(jù)預(yù)設(shè)的安全策略進行處理, 對通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口線卡,接口線卡不再做路由查找,直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。本發(fā)明具體實施方式
提供的實現(xiàn)內(nèi)部報文安全防護的交換機,轉(zhuǎn)發(fā)邏輯和安全控制邏輯集成在同一主控卡上,接口線卡工作在網(wǎng)關(guān)模式,路由協(xié)議學(xué)習(xí)、鄰居表項學(xué)習(xí)全部由主控卡完成,然后通過背板控制通道同步到安全防護線卡上,安全防護線卡完全融合到交換機系統(tǒng)中,僅把需要安全防護的流量(一般根據(jù)VLAN劃分)導(dǎo)入安全防護線卡進行處理,其它流量仍在交換機進行高速的三層轉(zhuǎn)發(fā)。與業(yè)界通過以太網(wǎng)連接而集成的產(chǎn)品相比, 本發(fā)明具體實施方式
中的安全防護線卡能夠獲取接口線卡的入口物理信息,處理完IP報文后直接指定接口線卡的出端口,減少了接口線卡的處理負擔(dān);同時在有安全防護線卡時, TTL僅花費1跳,與業(yè)界同類產(chǎn)品花費3跳相比,優(yōu)化了報文的轉(zhuǎn)發(fā)性能。以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此, 任何熟悉該技術(shù)的人在本發(fā)明所揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準。
權(quán)利要求
1.一種實現(xiàn)交換機內(nèi)部報文安全防護的方法,其特征在于,包括以下步驟A、主控模塊向安全防護模塊實時同步三層VLAN狀態(tài)信息;B、通過主控模塊指定需要報文安全防護的VLAN;C、主控模塊根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊;D、接口模塊把進入和/或流出所述指定VLAN的IP報文重定向到安全防護模塊;E、安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)交換機內(nèi)部報文安全防護的方法,其特征在于,步驟A 中,所述三層VLAN狀態(tài)信息包括三層VLAN接口 MAC、接口 IP信息、路由表項和鄰居表項; 其中路由表項和鄰居表項,包括靜態(tài)配置的條目和動態(tài)生成的條目。
3.根據(jù)權(quán)利要求1所述的實現(xiàn)交換機內(nèi)部報文安全防護的方法,其特征在于,步驟C 中,所述預(yù)設(shè)的過濾規(guī)則,是指為所述指定VLAN指定相應(yīng)的安全防護模塊進行報文安全防護處理。
4.根據(jù)權(quán)利要求1所述的實現(xiàn)交換機內(nèi)部報文安全防護的方法,其特征在于,步驟C 中,所述報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;所述ACL規(guī)則,用于實現(xiàn)接口模塊把進入所述指定VLAN的IP報文重定向到安全防護模塊;所述鄰居表項,用于實現(xiàn)接口模塊把流出所述指定VLAN的IP報文重定向到安全防護模塊。
5.根據(jù)權(quán)利要求4所述的實現(xiàn)交換機內(nèi)部報文安全防護的方法,其特征在于,步驟D中,當所述指定VLAN有IP報文流入時,接口模塊根據(jù)主控模塊下發(fā)的ACL規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護模塊;當所述指定VLAN有IP報文流出時,將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護模塊的識別信息,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護模塊。
6.根據(jù)權(quán)利要求1-5任一所述的實現(xiàn)交換機內(nèi)部報文安全防護的方法,其特征在于, 所述步驟E進一步包括以下步驟E1、安全防護模塊對收到的IP報文根據(jù)NAT規(guī)則進行處理;E2、判斷處理后的IP報文的目標IP地址是否屬于本機三層VLAN接口的IP地址;若屬于,則所述IP報文為本地報文,進入步驟E3 ;若不屬于,則所述IP報文為轉(zhuǎn)發(fā)報文,進入步驟E4 ;E3、安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對所述本地報文進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口模塊;E4、安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對所述轉(zhuǎn)發(fā)報文進行處理,對于通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過 HiGig 口轉(zhuǎn)回接口模塊,接口模塊不再做路由查找而直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。
7.一種實現(xiàn)交換機內(nèi)部報文安全防護的系統(tǒng),其特征在于,包括主控模塊,用于指定需要報文安全防護的VLAN,根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊;接口模塊,用于根據(jù)報文引導(dǎo)規(guī)則將進入和/或流出的IP報文重定向到安全防護模塊;安全防護模塊,用于根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊;其中主控模塊分別與接口模塊和安全防護模塊連接,接口模塊與安全防護模塊連接。
8.根據(jù)權(quán)利要求7所述的一種實現(xiàn)交換機內(nèi)部流量安全防護的系統(tǒng),其特征在于,所述主控模塊下發(fā)至接口模塊的報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;接口模塊根據(jù)ACL 規(guī)則,把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護模塊;接口模塊通過將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護模塊的識別信息,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護模塊。
9.根據(jù)權(quán)利要求7或8所述的一種實現(xiàn)交換機內(nèi)部流量安全防護的系統(tǒng),其特征在于, 所述安全防護模塊對收到的IP報文根據(jù)NAT規(guī)則進行處理,判斷處理后的IP報文的類型; 對于本地報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口模塊;對于轉(zhuǎn)發(fā)報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,對通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口模塊,接口模塊不再做路由查找,而直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。
10.一種實現(xiàn)內(nèi)部報文安全防護的交換機,其特征在于,包括主控卡、至少一塊接口線卡和至少一塊安全防護線卡,所述接口線卡和安全防護線卡為獨立線卡,通過HiGig 口與交換機背板數(shù)據(jù)通道連接,主控卡通過背板的控制通道對接口線卡和安全防護線卡進行控制管理;主控卡,用于指定需要報文安全防護的VLAN,根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口線卡;接口線卡,用于根據(jù)報文引導(dǎo)規(guī)則將進入和/或流出的IP報文重定向到安全防護線卡;安全防護線卡,用于根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口線卡。
11.根據(jù)權(quán)利要求10所述的一種實現(xiàn)內(nèi)部報文安全防護的交換機,其特征在于,所述主控卡向同一機柜內(nèi)的至少一塊安全防護線卡實時同步三層VLAN狀態(tài)信息,包括三層 VLAN接口 MAC、接口 IP信息、路由表項、鄰居表項,其中路由表項和鄰居表包括靜態(tài)配置的條目和動態(tài)生成的條目。
12.根據(jù)權(quán)利要求10所述的一種實現(xiàn)內(nèi)部報文安全防護的交換機,其特征在于,主控卡指定至少一個VLAN進行報文安全防護,并且為每個所述指定VLAN指定一塊安全防護線卡。
13.根據(jù)權(quán)利要求10所述的一種實現(xiàn)內(nèi)部報文安全防護的交換機,其特征在于,所述主控卡下發(fā)至接口線卡的報文引導(dǎo)規(guī)則包括ACL規(guī)則和鄰居表項;接口線卡根據(jù)ACL規(guī)則, 把進入所述指定VLAN的IP報文通過HiGig 口重定向到安全防護線卡;接口線卡通過將所述指定VLAN接口的鄰居表項對應(yīng)端口的模塊識別信息修改為安全防護線卡所在的槽位號,把所述指定VLAN流出的IP報文通過HiGig 口重定向到安全防護線卡。
14.根據(jù)權(quán)利要求10或13所述的一種實現(xiàn)內(nèi)部報文安全防護的交換機,其特征在于, 所述安全防護線卡對收到的IP報文根據(jù)NAT規(guī)則進行處理,判斷處理后的IP報文的類型; 對于本地報文,安全防護模塊根據(jù)預(yù)設(shè)的安全策略進行處理,把通過安全策略處理的本地報文轉(zhuǎn)回接口線卡;對于轉(zhuǎn)發(fā)報文,安全防護線卡根據(jù)預(yù)設(shè)的安全策略進行處理,對通過安全策略處理的轉(zhuǎn)發(fā)報文,修改其TTL、以太網(wǎng)首部和HiGig信息,構(gòu)造完整的轉(zhuǎn)發(fā)數(shù)據(jù)包,通過HiGig 口轉(zhuǎn)回接口線卡,接口線卡不再做路由查找,直接將所述轉(zhuǎn)發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)出去。
全文摘要
本發(fā)明公開了一種實現(xiàn)交換機內(nèi)部報文安全防護的方法、系統(tǒng)以及交換機,所述方法包括主控模塊向安全防護模塊實時同步三層VLAN狀態(tài)信息;通過主控模塊指定需要報文安全防護的VLAN;主控模塊根據(jù)預(yù)設(shè)的過濾規(guī)則生成報文引導(dǎo)規(guī)則并下發(fā)至接口模塊;接口模塊把進入和/或流出所述指定VLAN的IP報文重定向到安全防護模塊;安全防護模塊根據(jù)預(yù)設(shè)的安全策略,對收到的IP報文進行處理,把通過安全策略處理的IP報文轉(zhuǎn)回接口模塊。采用本發(fā)明的技術(shù)方案,在一個既需要交換又需要安全防護的網(wǎng)絡(luò)拓撲中,達到交換與安全充分融合,不用對拓撲做出任何變動,降低了用戶投資和管理成本。
文檔編號H04L12/56GK102427429SQ20121000927
公開日2012年4月25日 申請日期2012年1月12日 優(yōu)先權(quán)日2012年1月12日
發(fā)明者魏元首 申請人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司