专利名称:端口安全防御的辅助方法和装置、方法和系统及交换设备的制作方法
技术领域:
本发明涉及通信网技术领域,尤其涉及一种端口安全防御的辅助方法和 端口安全防御的辅助装置,还涉及一种端口安全防御的方法和端口安全防御 的系统,以及一种交换设备。
背景技术:
交换设备的端口安全防御机制,包括802.1x认证方式和MAC地址认证 方式,前者是基于端口对用户身份进行认证,后者是基于端口进行MAC (Media Access Control,介质访问控制)地址的认证;目前,通常的端口安 全防御机制是结合己有的802.1x认证和MAC地址认证共同对网络接入进行 控制,其工作原理为基于端口对用户身份进行认证,同时基于端口进行 MAC (Media Access Control,介质访问控制)地址的学习;当发现非法报文 时,交换设备将按照预先指定的方式加以处理,从而即方便用户的管理又提 高了交换设备的安全性。其中,非法报文包括未通过认证的用户发送的报 文,以及,当学习到的MAC地址达到端口所允许的最大MAC地址数(禁 止端口MAC地址学习时,该数目为0)后,收到的MAC地址为未知MAC 地址的报文。
上述端口安全防御机制中,MAC地址认证的实现方式如下交换设备 定义端口安全模式,使端口进行合法报文MAC地址的学习,并将学习到的 合法MAC地址保存在CAM表中(该CAM表是用于二层交换的地址表,记 录端口和MAC地址的对应关系);然后通过检测数据帧中的源MAC地址 来控制非授权设备对网络的访问,通过检测数据帧中的目的MAC地址来控 制对非授权设备的访问只有源MAC地址或者目的MAC地址为合法MAC 地址或者已配置的静态MAC地址的报文,才能通过相应的端口 。
上述MAC地址认证方式具有简单、容易控制的优点只需要在交换 设备上为每个端口指定最大MAC地址学习数量,当某一端口下的合法MAC地址数超过该端口所允许学习的最大MAC地址数量后,端口模式 自动转变为secure模式,不再继续进行新的MAC地址的学习。 但是,上述MAC地址认证的实现方式却存在以下缺陷
1、 难以保证端口 MAC地址学习的准确性。如果端口 l学习到了用 户1的MAC1,但是端口 2下的用户2伪造了 MAC1的地址,则交换设 备会删除端口 1上学习到的MAC1,转而将MAC1学习到端口 2上;更 为严重的是,如果用户1和用户2反复发送报文的话,会导致交换设备 中的MAC地址振荡;
2、 难以保证关键用户的流量。沿用上面的例子,假设用户l是关键 用户,用户2是非关键用户,则用户2可以轻松阻断用户1的流量,造 成恶劣影响;举例来说,交换设备的上行端口是关键,上行网关是最重 要的用户,如果一个下行端口所连接的用户伪造网关MAC地址,则交换 设备会把网关MAC地址学习到下行端口上,造成所有业务的中断;
3、 配置麻烦。为端口配置最大MAC地址学习数量需要细致的评估 每个端口下最大连接的节点数量,同时,逐个端口进行配置也是一个很 麻烦的过程。
发明内容
本发明的实施例旨在提供能够克服上述现有技术中端口安全防御机制 中存在的缺陷,提供一种端口安全防御的辅助方案,从而提高端口MAC地 址学习的准确性,保证关键用户的流量。
为实现上述目的,本发明的实施例提供了一种端口安全防御的辅助方 法,用于辅助交换设备进行端口MAC地址的学习,包括以下步骤
步骤S1:为交换设备设置具有不同优先级的安全域;
步骤S2:将交换设备的各端口添加到相应的安全域中,并控制高优 先级安全域下的端口优先进行MAC地址的学习。
其中,所述控制高优先级安全域下的端口优先进行MAC地址学习的 步骤可以包括当第一端口学习到的MAC地址与交换设备CAM表中第 二端口已学习的MAC地址表项冲突时,识别第一端口和第二端口所属的安全域;如果第一端口所属安全域的优先级高于第二端口所属安全域的
优先级,则从CAM表中删除第二端口的MAC地址表项,并重新添加第 一端口的MAC地址表项;否则,丢弃第一端口收到的报文。
和/或,所述控制高优先级安全域下的端口优先进行MAC地址学习 的步骤可以包括当交换设备CAM表已满且一端口学习到新的MAC地 址时,识别所述端口所属的安全域的优先级;如果所述CAM表中记录有 更低优先级端口的MAC地址表项,则删除相应数目的最低优先级端口的 MAC地址表项;否则,将所述端口模式转为secure,停止所述端口MAC 地址的学习。
较佳的,歩骤S2中将交换设备的各端口添加到相应的安全域中的步 骤可以包括将所述交换设备的各端口批量添加到相应的安全域中,以 避免逐端口的配置。
较佳的,端口安全防御的辅助方法还包括保持交换设备端口的缺省 设置,该缺省设置为无最大MAC地址学习数量限制,从而避免对于各端 口连接接点数量的评估工作。
本发明的实施例还提供了一种端口安全防御的辅助装置,设置于交 换设备中以辅助交换设备进行端口 MAC地址的学习;包括安全域划分 单元,用于进行具有不同优先级的安全域设置;端口设置单元,与所述 安全域划分单元连接,用于将交换设备的各端口添加到相应的安全域中; MAC地址学习控制单元,与所述端口设置单元和交换设备中的CAM表 连接,用于控制高优先级安全域下的端口优先进行MAC地址的学习。
其中,MAC地址学习控制单元可以包括端口冲突控制模块,用于在 第一端口学习到的MAC地址与交换设备CAM表中第二端口已学习的 MAC地址表项冲突时,识别第一端口和第二端口所属的安全域;如果第
一端口所属安全域的优先级高于第二端口所属安全域的优先级,则从 CAM表中删除第二端口的MAC地址表项,并重新添加第一端口的MAC
地址表项;否则,丢弃第一端口收到的报文;
和/或,MAC地址学习控制单元可以包括CAM表溢出控制模块,用于在交换设备CAM表已满且一端口学习到新的MAC地址时,识别所述 端口所属的安全域的优先级;如果所述CAM表中记录有更低优先级端口 的MAC地址表项,则删除相应数目的最低优先级端口的MAC地址表项; 否则,将所述端口模式转为secure,停止所述端口 MAC地址的学习。
较佳的,端口设置单元可以包括批量处理接口,用于将所述交换设 备的各端口批量添加到相应的安全域中。
较佳的,交换设备各端口保持缺省设置,该缺省设置为无最大MAC 地址学习数量限制。
本发明的实施例还提供了一种端口安全防御的方法,交换设备基于 上述端口安全防御的辅助方法进行MAC地址的学习,并根据学习到的 MAC地址进行网络接入控制。
本发明的实施例还提供了一种端口安全防御的系统,设置于交换设 备中,包括MAC地址学习单元以及保存端口 MAC地址学习结果的CAM 表;还包括上述的端口安全防御的辅助装置。
本发明的实施例还提供了一种交换设备,设有上述的端口安全防御 的辅助装置或者上述的端口安全防御的系统。
由上述技术方案可知,本发明的实施例通过划分交换设备端口的优先 级,采用高优先级安全域下的端口优先进行MAC地址学习的方式,具有以 下有益效果
1、 在一定程度上提高了端口MAC地址学习的准确性;
2、 有效保证关键用户的接入和流量;
3、 通过进一步的批量设置和缺省设置,能够有效简化配置。
通过以下参照附图对优选实施例的说明,本发明的上述以及其它目的、 特征和优点将更加明显。
图1为本发明提供的端口安全防御的辅助方法一实施例的流程图;图2A、 2B为图1所示方法中,控制高优先级安全域下的端口优先进行 MAC地址学习的实施例的流程图3为图1所示方法的具体实施例的组网示意图; 图4为本发明提供的端口安全防御的辅助装置一实施例的框图; 图5为本发明提供的端口安全防御的辅助装置另一实施例的框图; 图6为本发明提供的端口安全防御的系统一实施例的框图。
具体实施例方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只 用于举例说明,并不用于限制本发明。
本发明的主要构思在于为交换设备设置多个安全域,不同的安全域 配置相应的安全等级(也可称为优先级),通过将交换设备的端口加入 到相应的安全域中使其享受不同优先级的MAC地址学习控制,来解决现 有端口安全防御机制中所存在的MAC地址学习准确性差和关键用户流 量无法保证的问题。下面将详细介绍本发明所提供的技术方案。
首先,请结合图l,本发明提供了一种端口安全防御的辅助方法,用 于辅助交换设备进行端口 MAC地址的学习,可以用于MAC地址认证或 者MAC地址认证及802.1x认证相结合的端口安全防御机制,或者其它 需要进行MAC地址学习的场合。
该端口安全防御的辅助方法包括以下步骤
歩骤S1:为交换设备设置具有不同优先级的安全域,即为交换设备 配置多个安全域,不同的安全域配置相应的优先级;
歩骤S2:将交换设备的各端口添加到相应的安全域中,并控制高优 先级安全域下的端口优先进行MAC地址的学习;
在本步骤S2中,可以根据交换设备各端口接入用户的特点将端口添 加到相应的安全域中;举例来说,如果设置有高、中、低三个优先级的 安全域,那么接入网关的端口需要添加到高优先级安全域中,接入关键
用户(例如财务用户、管理用户)的端口需要添加到中优先级安全域中,而接入普通用户(例如 一般办公用户)的端口可以添加到低优先 级安全域中;需要指出,上述例子仅为说明举例之用,实际应用中完全 可以根据需要划分更细粒度或者更粗粒度的安全域并相应添加端口;当 然,每个安全域中都可以添加多个端口;
较佳的,将交换设备的各端口添加到相应的安全域中的步骤可以通 过将交换设备的各端口批量添加到相应的安全域中来实现,比如,将某 一网段下的端口一起添加到一个安全域中,无需逐个端口进行配置,有 效简化MAC地址认证的配置工作。
通过歩骤S2的上述处理,加入到不同安全域中的端口相应的具有不 同的优先级,后续的MAC地址学习控制就是基于端口优先级进行的,具 体可以采取的措施如下
(1)基于端口优先级控制MAC地址学习,以提高MAC地址学习 的准确性,其处理思路为低优先级端口下学习到的MAC地址如果与高 优先级端口学到的MAC地址有冲突,则删除低优先级端口下的MAC地 址;具体方案如图2A所示,包括
当第一端口学习到的MAC地址与交换设备CAM表中第二端口已学 习的MAC地址表项冲突时,识别第一端口和第二端口所属的安全域;
如果第一端口所属安全域的优先级高于第二端口所属安全域的优先 级,则从CAM表中删除第二端口的MAC地址表项,并重新添加第一端 口的MAC地址表项;
否则,丢弃第一端口收到的报文,保持原有的MAC地址表项;
可以看出,通过上述基于端口优先级的MAC地址学习控制方案,即 使低优先级端口用户恶意仿冒MAC地址,也会由于与高优先级用户的端 口 MAC地址冲突而被拒绝,保证了关键用户的流量;
同时,极大地提高了 MAC地址学习的准确性;这是由于接入低优先 级用户的端口无法学习到与接入高优先级用户的端口相同的MAC地址, 因此学习到仿冒MAC地址的概率大为降低;特别是在实际应用中,由于 高优先级用户的可靠性很高,基本上不存在高优先级用户恶意仿冒低优 先级和同优先级用户MAC地址的可能性,因此,虽然还存在低优先级用户之间MAC地址仿冒的可能性,但相对于现有技术,己经极大地提高了 MAC地址学习的准确性。
(2)基于端口优先级控制MAC地址学习,以保证高优先级用户的 顺利接入,其处理思路为如果CAM表已满,但高优先级的端口有新 MAC地址接入的时候,可以在CAM表中删除相应数量的、对应最低优 先级安全域的端口 MAC地址表项,从而保证高优先级用户的顺利接入; 具体方案如图2B所示,包括
当交换设备CAM表己满且一端口学习到新的MAC地址时,识别该 端口所属的安全域的优先级;
如果该CAM表中记录有更低优先级端口的MAC地址表项,则删除 相应数目的最低优先级端口的MAC地址表项;请注意,这里所进行的删 除,是从最低优先级端口对应的MAC地址表项开始的;
否则,将所述端口模式转为secure,停止该端口 MAC地址的学习;
可以看出,通过上述基于端口优先级的MAC地址学习控制方案,高 优先级端口可以优先使用交换设备的CAM容量,不会出现低优先级端口 占用CAM表容量,而导致高优先级端口无法进行MAC地址学习的现象。
本领域技术人员可以了解,上述描述的两种控制高优先级安全域下 的端口优先进行MAC地址学习的方案,是可以择一使用的,当然,较佳 的实施例是将上述两种方案组合使用,保证高优先级用户的接入和流量。
总的来说,通过上述步骤S1 S2,本发明所提供的端口安全防御的 辅助方法能够在一定程度上提高了端口 MAC地址学习的准确性,并有效 保证关键用户的接入和流量;
作为较佳的实施例,本发明所提供的端口安全防御的辅助方法还可 以进一步包括保持交换设备端口的缺省设置的步骤,该缺省设置为无最 大MAC地址学习数量限制;也就是说,在实际接入过程中,是基于CAM 标的容量,按照优先级调整实际接入情况,而每个端口的接入数目将不 受限制;可以看出,采取上述缺省设置时,管理员不必再对每个端口下 的节点数量进行逐一的艰难评估,有效降低了配置工作量。
下面,将结合一个具体实施例对本发明所提供的端口安全防御的辅助方法加以示例性描述,以帮助加深对于本方案的理解。
请参考图3:用户l是关键用户(例如领导办公用机、财务办公用 机等),用户2是非关键用户(普通办公用机),路由器是出口网关,
其MAC地址是MAC3;
在核心交换机(也称汇聚交换机)配置三个域Secl、 Sec2和Sec3, 同时指定不同的优先级SL1、 SL2、 SL3,其中SL3〉SL1〉SL2;则(Secl, SL1) 、 (Sec2,SL2)和(Sec3, SL3)构成了核心交换机的三个安全域;
在核心交换机上,将端口Portl、 Port2和Port3分别按照接入用户的 特点加入到不同的安全域中,形成了 (Secl, SLl,Portl) 、 (Sec2, SL2, Port2)和(Sec3, SL3,Port3)这三个不同安全等级的端口 ;
同时,设定各端口采用缺省设置,即不配置各端口最大MAC地址学 习数量,以简化MAC地址认证的配置过程;
在进行了上述配置后,就可以进入后续的基于端口优先级的MAC地 址学习流程,我们模拟几种实际可能出现的情况来说明本发明的效果
比如,网关向核心交换机发送报文,核心交换机学习到MAC3;
用户1通过二层接入交换机发送报文到核心交换机,核心交换机学 习到MAC2;
此时,如果用户2伪造网关MAC3 (如果伪造用户1的MAC1效果 相同,此处以MAC3为例)报文发送到核心交换机,核心交换机检索到 不同的端口有重复的MAC地址,则比较(Sec3, SL3, Port3)和(Sec2, SL2, Port2)的安全等级,SL3>SL2;因此交换机判断(MAC3,Port3)是合法 的,而(MAC3,Port2)是非法的,则丢弃此报文;
再比如,假设用户2先伪造了用户1的MAC1报文,在核心交换机 形成了 (MACl,Port2)表项;
如果用户l这时上网,核心交换机检索到不同的端口有重复的MAC 地址,则比较(Secl, SL1, Portl)禾n (Sec2, SL2, Port2)的安全等级, SL1〉SL2;因此交换机判断(MACl,Portl)是合法的,而(MAC 1, Port2) 是非法的,删除(MACl,Port2)表项,保证用户1的正常接入。
又比如,假设用户2伪造大量的MAC地址占用了核心交换机的全部CAM容量;
如果用户l这时上网,核心交换机可以在最低优先级安全域(Sec2, SL2)的端口 MAC地址表中删除相应数量的MAC地址,保证高优先级 用户1的顺利接入。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分 歩骤可以通过程序指令相关的硬件来完成,所述的程序可以存储于一计
算机可读取存储介质中,该程序在执行时,包括如下步骤
步骤S1:为所述交换设备设置具有不同优先级的安全域;
步骤S2:将所述交换设备的各端口添加到相应的安全域中,并控制
高优先级安全域下的端口优先进行MAC地址的学习;
所述的存储介质包括ROM/RAM ( Read Only Memory/
Random-Access Memory,只读存储器/随机访问内存)、磁碟或者光盘等。
继续,请参考图4,显示了本发明端口安全防御的辅助装置一实施例 的框图,该端口安全防御的辅助装置400设置于交换设备中以辅助交换 设备进行端口 MAC地址的学习,包括
安全域划分单元410,用于进行具有不同优先级的安全域设置; 端口设置单元420,与安全域划分单元410连接,用于将交换设备
的各端口添加到相应的安全域中;
MAC地址学习控制单元430,与端口设置单元420和交换设备中的 CAM表连接,用于控制高优先级安全域下的端口优先进行MAC地址的 学习;
可以看出,结合本发明提供的端口安全防御的辅助装置400,可以基 于优先级控制端口学习,从而保证关键用户的流量和接入,并提高MAC 地址学习的准确性。
作为一个具体实施例,请参见图5,该端口安全防御的辅助装置500 包括安全域划分单元510、端口设置单元520以及MAC地址学习控制单 元530,各单元之间的连接关系和功能与图4所示实施例相同;
其中,MAC地址学习控制单元530包括端口冲突控制模块531和/或CAM表溢出控制模块532;
该端口冲突控制模块531用于在第一端口学习到的MAC地址与交换 设备C AM表中第二端口已学习的M A C地址表项冲突时,识别第 一 端口 和第二端口所属的安全域;如果第一端口所属安全域的优先级高于第二 端口所属安全域的优先级,则从CAM表中删除第二端口的MAC地址表 项,并重新添加第一端口的MAC地址表项;否则,丢弃第一端口收到的 报文,保持CAM表中的原有MAC地址表项;
该CAM表溢出控制模块532用于在交换设备CAM表已满且一端口 学习到新的MAC地址时,识别该端口所属的安全域的优先级;如果所述 CAM表中记录有更低优先级端口的MAC地址表项,则删除相应数目的 最低优先级端口的MAC地址表项;否则,将该端口模式转为secure,停 止所述端口 MAC地址的学习;
可以看出,端口冲突控制模块531可以有效保证关键用户的流量, 提高MAC地址学习的准确性;而CAM表溢出控制模块532则可以有效 保证关键用户的接入,二者结合使用,能够达到最佳的技术效果。
此外,端口设置单元520中包括有批量处理接口 521,用于将交换设 备的各端口批量添加到相应的安全域中,以简化配置;
以及,交换设备各端口保持缺省设置,该缺省设置为无最大MAC地 址学习数量限制,从而降低各端口评估工作量,同样具有简化配置的效 果。
接下来,本发明还提供了一种端口安全防御的方法,由交换设备基 于上述端口安全防御的辅助方法进行MAC地址的学习,并根据学习到的 MAC地址进行网络接入控制。
本领域技术人员可以了解,上述端口安全防御的方法还可以结合 802.1x认证方案,由于MAC地址认证和802.1x认证的结合是本领域技 术人员的常用手段,因此不再赘述。
再接下来,本发明还提供了一种端口安全防御的系统600,如图6所示。
该端口安全防御的系统600设置于交换设备中,包括MAC地址学习 单元610以及保存端口 MAC地址学习结果的CAM表620,还包括上述 的端口安全防御的辅助装置。
最后,本发明还提供了一种交换设备,设有上述的端口安全防御的 辅助装置或者上述的端口安全防御的系统。
虽然己参照几个典型实施例描述了本发明,但应当理解,所用的术 语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体 实施而不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前 述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落 入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
权利要求
1. 一种端口安全防御的辅助方法,用于辅助交换设备进行端口MAC地址的学习,其特征在于,包括以下步骤步骤S1为所述交换设备设置具有不同优先级的安全域;步骤S2将所述交换设备的各端口添加到相应的安全域中,并控制高优先级安全域下的端口优先进行MAC地址的学习。
2. 根据权利要求1所述的端口安全防御的辅助方法,其特征在于, 所述控制高优先级安全域下的端口优先进行MAC地址学习的步骤包括当第一端口学习到的MAC地址与交换设备CAM表中第二端口已学 习的MAC地址表项冲突时,识别第一端口和第二端口所属的安全域;如果第一端口所属安全域的优先级高于第二端口所属安全域的优先 级,则从CAM表中删除第二端口的MAC地址表项,并重新添加第一端 口的MAC地址表项;否则,丢弃第一端口收到的报文。
3. 根据权利要求l所述的端口安全防御的辅助方法,其特征在于,所 述控制高优先级安全域下的端口优先进行MAC地址学习的步骤包括当交换设备CAM表已满且一端口学习到新的MAC地址时,识别所 述端口所属的安全域的优先级;如果所述CAM表中记录有更低优先级端口的MAC地址表项,则删 除相应数目的最低优先级端口的MAC地址表项;否则,将所述端口模式转为secure,停止所述端口 MAC地址的学习。
4. 根据权利要求l-3任一所述的端口安全防御的辅助方法,其特征 在于,步骤S2中将交换设备的各端口添加到相应的安全域中的步骤包括 将所述交换设备的各端口批量添加到相应的安全域中。
5. 根据权利要求l-3任一所述的端口安全防御的辅助方法,其特征在 于,还包括保持交换设备端口的缺省设置,该缺省设置为无最大MAC 地址学习数量限制。
6. —种端口安全防御的辅助装置,设置于交换设备中以辅助交换设备进行端口 MAC地址的学习;其特征在于,包括安全域划分单元,用于进行具有不同优先级的安全域设置; 端口设置单元,与所述安全域划分单元连接,用于将交换设备的各端口添加到相应的安全域中;MAC地址学习控制单元,与所述端口设置单元和交换设备中的CAM表连接,用于控制高优先级安全域下的端口优先进行MAC地址的学习。
7. 根据权利要求6所述的端口安全防御的辅助装置,其特征在于, 所述MAC地址学习控制单元包括端口冲突控制模块,用于在第一端口 学习到的MAC地址与交换设备CAM表中第二端口已学习的MAC地址 表项冲突时,识别第一端口和第二端口所属的安全域;如果第一端口所 属安全域的优先级高于第二端口所属安全域的优先级,则从CAM表中删除第二端口的MAC地址表项,并重新添加第一端口的MAC地址表项; 否则,丢弃第一端口收到的报文。
8. 根据权利要求6所述的端口安全防御的辅助装置,其特征在于, 所述MAC地址学习控制单元包括CAM表溢出控制模块,用于在交换 设备C AM表已满且 一 端口学习到新的MAC地址时,识别所述端口所属 的安全域的优先级;如果所述CAM表中记录有更低优先级端口的MAC 地址表项,则删除相应数目的最低优先级端口的MAC地址表项;否则, 将所述端口模式转为secure,停止所述端口 MAC地址的学习。
9. 根据权利要求6-8任一所述的端口安全防御的辅助装置,其特征在 于,所述端口设置单元包括批量处理接口,用于将所述交换设备的各端 口批量添加到相应的安全域中。
10. 根据权利要求6-8任一所述的端口安全防御的辅助装置,其特征 在于,交换设备各端口保持缺省设置,该缺省设置为无最大MAC地址学 习数量限制。
11.一种端口安全防御的方法,其特征在于,交换设备基于权利要求 l-5任一所述端口安全防御的辅助方法进行MAC地址的学习,并根据学 习到的MAC地址进行网络接入控制。
12.—种端口安全防御的系统,设置于交换设备中,包括MAC地址学习单元以及保存端口 MAC地址学习结果的CAM表;其特征在于,还包括权利要求6-10任一所述的端口安全防御的辅助装置。
13.—种交换设备,其特征在于,设有权利要求6-10任一所述的端口 安全防御的辅助装置或者权利要求12所述的端口安全防御的系统。
全文摘要
本发明公开了一种端口安全防御的辅助方法和装置,该方法包括为交换设备设置具有不同优先级的安全域;将交换设备的各端口添加到相应的安全域中,并控制高优先级安全域下的端口优先进行MAC地址的学习。本发明还公开了一种端口安全防御的方法和系统,以及一种交换设备。通过本发明,在一定程度上提高了端口MAC地址学习的准确性,能够有效保证关键用户的接入和流量。
文档编号H04L12/56GK101447933SQ20081019172
公开日2009年6月3日 申请日期2008年12月30日 优先权日2008年12月30日
发明者蔚 李 申请人:杭州华三通信技术有限公司