专利名称:交换机的制作方法
技术领域:
本实用新型涉及通信技术,尤其是一种交换机。
背景技术:
现有的机箱式集中转发交换机,也称为集中式转发交换机或交换机,通常包括管 理板与一个或多个线卡,另外还包括风扇、电源等关键组件。其中,管理板也称为管理引擎 或主控板,是整个交换机管理与控制的汇聚点,主要用于对线卡进行各种操作,以及运行各 种协议,它一旦失效,整个交换机将不可用。每个线卡连接有一个或多个网络接口 ,主要用 于通过网络接口与其它通信装置进行数据报文的转发。如图l所示,为机箱式集中转发交 换机的一个结构示意图。 为了避免非法报文在网络中的传输,保证网络的安全,通常情况下,在交换机 中部署安全处理引擎,并根据安全处理策略,分析需要交换机转发的报文特征,对需要 交换机转发的报文进行过滤处理,转发合法报文。目前,以太网交换机已经使用安全 处理引擎,在如下应用中实现了安全控制安全全局地址绑定、访问控制列表(Access Control List,以下简称ACL)、服务质量(Quality of Server,以下简称QoS)、全局安 全网络(Global SecurityNetwork,以下简称GSN)、动态主机配置协议(Dynamic Host ConfigureProtocol,以下简称DHCP)地址绑定、基于802. lx协议的用户授权等。由于安 全处理策略的存储容量的硬件设备比较昂贵,每个安全处理策略的存储容量都是有限的, 通常只有几千条。 现有技术中,可以将安全处理引擎部署在管理板上或者各线卡上。其中,将安全处 理引擎部署在管理板上实现安全控制的方法也称为集中式安全控制方法,将安全处理引擎 部署在各线卡上实现安全控制的方法也称为分散式式安全控制方法。如图2所示,为应用 分散式安全控制方法的交换机结构示意图。在分散式安全控制方法中,各线卡分别对其连 接的网络接口发送的报文进行过滤处理,将合法报文发送到管理板进行转发处理。由于需 要分别在不同线卡上分别配置安全处理策略,交换机所能支持的总安全处理策略数据,等 于交换机中所有线卡上安全处理策略数据的总和。在交换机不同线卡的网络接口配置的安 全处理策略相同时,该安全处理策略也称为全局安全处理策略。应用分散式安全控制方法 实现安全控制时,至少存在以下问题由于需要将这些相同的安全处理策略分别配置到交 换机所有线卡的安全处理引擎上,在全局安全处理策略比较多的情况下,这些安全处理策 略在所有线卡上都需要占用相同多的容量,因此,每个线卡上所剩余的、能够给该线卡连接 的网络接口的使用策略容量就变得极为有限;另外,在全局安全处理策略发生变化时,需要 更新交换机中所有线卡上的安全处理策略,工作量较大,安全处理策略的可管理性较差,降 低了安全控制效果。 如图3所示,为应用集中式安全控制方法的交换机结构示意图。在集中式安全控 制方法中,管理板对发送的报文进行过滤处理,丢弃非法报文,并对合法报文进行转发处 理。在交换机需要对不同线卡连接的网络接口配置特定的安全处理策略时,该安全处理策
4略与网络接口相关,因此也称为接口安全处理策略。应用集中式安全控制方法实现安全控 制时,至少存在以下问题可能需要采用特定的安全处理策略对特定线卡连接的网络接口 上接收的数据报文进行安全处理,因此,就需要为特定线卡连接的网络接口配置特定的安 全处理策略,由于交换机中所有线卡连接的网络接口共用管理板上安全处理策略的存储容 量,都需要占用全局资源,因此,能够分配给每个线卡连接的网络接口的安全处理策略的存 储容量极为有限。尤其是在不同线卡连接的网络接口的安全处理策略相差较大时,能够分 配给每个线卡连接的网络接口的安全处理策略的存储容量就更少,无法根据管理板上的安 全处理策略,对数据报文进行有效过滤,降低了安全控制效果。
实用新型内容本实用新型实施例的目的是提供一种交换机,在线卡上设置利用接口安全处理 策略对网络接口发送的数据报文进行第一次过滤的第一安全处理引擎,在管理板上设置利 用全局安全处理策略对第一次过滤后输出的数据报文进行第二次过滤的第二安全处理引 擎,从而合理利用线卡与管理板上的安全处理策略的存储容量,有效实现对数据报文的安 全控制。 本实用新型实施例提供的一种交换机,包括管理板与一个或多个线卡,所述线卡 上设置有利用接口安全处理策略对接收到的数据报文进行第一次过滤的第一安全处理引 擎; 所述管理板上设置有利用全局安全处理策略对第一次过滤后输出的数据报文进 行第二次过滤的第二安全处理引擎。 基于本实用新型上述实施例提供的交换机,可以在线卡上设置第一安全处理引 擎,来利用其中部署的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置 第二安全处理引擎,来利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合 理利用了管理板与线卡上安全处理策略的存储容量,提高了安全控制效果。与现有的分散 式安全控制方法相比,避免了相同安全处理策略在所有线卡上都占用相同多的容量,从而 尽可能多的为线卡连接的网络接口的使用策略留有容量,并且,在全局安全处理策略发生 变化时,只需要对管理板上的全局安全处理策略进行一次更新,而不需要分别更新交换机 中所有线卡上的安全处理策略,提高了安全处理策略的可管理性与更新速度,提高了安全 控制效果;与现有的集中式安全控制方法相比,将与网络接口相关的接口安全策略设置在 相应的线卡上,从而节省全局资源,有效利用全局资源设置全局安全处理策略,来对数据报 文进行有效过滤,从而提高安全控制效果。 下面通过附图和实施例,对本实用新型的技术方案做进一步的详细描述。
图1为机箱式集中转发交换机的一个结构示意图; 图2为应用分散式安全控制方法的交换机结构示意图; 图3为应用集中式安全控制方法的交换机结构示意图; 图4为本实用新型交换机一个实施例的结构示意图; 图5为本实用新型交换机另一个实施例的结构示意5[0016] 图6为本实用新型第一安全处理引擎一个实施例的结构示意图; 图7为本实用新型交换机又一个实施例的结构示意图; 图8为本实用新型第二安全处理引擎一个实施例的结构示意图; 图9为本实用新型交换机再一个实施例的结构示意图; 图10为本实用新型交换机还一个实施例的结构示意图; 图11为本实用新型交换机又一个实施例的结构示意图; 图12为利用本实用新型交换机进行安全控制的一个实施例的流程图; 图13为利用本实用新型交换机对数据报文进行第一次过滤的一个实施例的流程图。
具体实施方式本实用新型实施例中,在线卡上设置第一安全处理引擎,并在其中部署接口安全 处理策略,据此实现对数据报文的第一次过滤,在管理板上设置第二安全处理引擎,并在其 中部署全局安全处理策略,据此实现对数据报文的二次过滤,合理利用线卡与交换机上的 安全处理策略的存储容量,提高线卡与交换机上的安全处理引擎的容量利用率,并有效实 现对数据报文的安全控制。 图4为本实用新型交换机一个实施例的结构示意图。如图4所示,该实施例的交 换机包括管理板101与一个或多个线卡102。其中, 线卡102上设置有第一安全处理引擎200,可用于利用接口安全处理策略对接收 到的数据报文进行第一次过滤,并在第一次过滤后输出数据报文时,将该输出的数据报文 发送给管理板101,以及接收管理板101发送的待发送数据报文,通过该待发送数据报文携 带的发送网络接口信息相应的网络接口发送该数据报文。 将与网络接口相关的安全处理策略部署在相应的线卡上,就避免了接口安全处理 策略占用管理板上安全处理策略的存储容量,从而节省了全局资源,可以更加有效、合理的 分配与利用全局资源,并且可以利用线卡上的存储容量有效设置接口安全处理策略来对数 据报文进行有效过滤,提高安全控制效果。 管理板101上设置有第二安全处理引擎300,可用于利用全局安全处理策略对线 卡102输出的数据报文进行第二次过滤,并在第二次过滤后输出合法的数据报文时,对该 合法的数据报文进行转发处理,即对该合法的数据报文标识发送该合法的数据报文的发 送网络接口信息,生成的待发送数据报文并发送给发送网络接口信息对应的线卡102。 将全局安全处理策略部署在管理版上,从而不需要将其分别部署在各线卡上,因 此,所占用的存储空间较少;并且,可管理性较好,在全局安全处理策略变化时,只需要对全 局安全处理策略进行更新即可,减小了安全处理策略的更新工作量。 本实用新型安全控制方法实施例在线卡上设置第一安全处理引擎,利用其中部署 的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置第二安全处理引擎, 利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合理利用了管理板与线卡 上安全处理策略的存储容量,提高了安全控制效果。例如在管理板上的第二安全处理引擎 中部署与所有网络接口关联的安全ACL,以应对常见的网络攻击以及计算机病毒,并在各线 卡上的第一安全处理引擎中分别部署与该线卡中的网络接口关联的用户认证授权策略,例如在一个线卡的第一安全处理引擎中部署与其连接的网络接口关联的802. lx用户授权 策略,在另一个线卡的第一安全处理引擎中部署与其网络接口关联的DHCP的IP地址与介 质访问控制(MediaAccess Control,以下简称MAC)地址绑定策略。 图5为本实用新型交换机另一个实施例的结构示意图。与图4所示的实施例相比, 该实施例中,线卡102包括第一接收模块201、第一安全处理引擎200、第一发送模块202与 一个或多个网络接口 203。 其中,第一接收模块201 、第一安全处理引擎200与第一发送模块202依次连接,第 一接收模块201还与第一发送模块202连接,第一接收模块201还分别与该第一接收模块 201所在线卡102中的各网络接口 203、管理板101连接,第一发送模块202还分别与该第 一发送模块202所在线卡102中的各网络接口 203、管理板101连接。其中,网络接口 203 可用于接收网络中的数据报文,并将该数据报文转发给第一接收模块201,以及接收第一发 送模块202发送的待发送数据报文,剥离该待发送数据报文携带的发送网络接口信息后, 发送该数据报文。第一接收模块201用于接收网络接口 203发送的数据报文,以及接收管 理板101发送的待发送数据报文。第一安全处理引擎200中部署有接口安全处理策略,用 于利用该接口安全处理策略,对第一接收模块201接收到的数据报文进行第一次过滤。第 一发送模块202用于在第一安全处理引擎200输出数据报文时,将该输出的数据报文发送 给管理板101,以及根据待发送数据报文携带的发送网络接口信息,将待发送数据报文转发 给用于发送该数据报文的相应网络接口 203。 在图5所示的实施例中,网络接口 203还可用于对接收到的数据报文标识接收该 数据报文的接收网络接口信息。相应的,图6为本实用新型第一安全处理引擎一个实施例 的结构示意图。如图6所示,第一安全处理引擎200包括第一解析单元21、第一存储单元
22、 第一比较单元23、第一选取单元24、第一获取单元25与第一过滤单元26。第一解析单 元21和第一过滤单元26分别与第一接收模块201连接,第一解析单元21、第一比较单元
23、 第一选取单元24、第一获取单元25与第一过滤单元26依次连接,第一获取单元25和第 一比较单元23还分别与第一存储单元22连接,第一过滤单元26还与第一发送模块202连 接。 其中,第一解析单元21用于对第一接收模块201接收到的数据报文进行解析,获 取该数据报文各字段的数据内容及接收网络接口信息。第一存储单元22用于存储第一策 略表,该第一策略表中包括一个或多个接口安全处理策略。第一比较单元23用于比较第一 解析单元21获取到的各字段的数据内容及接收网络接口信息,是否与第一存储单元22存 储的第一策略表中的各接口安全处理策略匹配。第一选取单元24用于根据第一比较单元 23的比较结果,在各字段的数据内容及接收网络接口信息与第一策略表中的多条接口安全 处理策略匹配时,根据预先设定,从多条接口安全处理策略中选取一条接口安全处理策略。 第一获取单元25用于根据第一 比较单元23的比较结果,在各字段的数据内容及网络接口 信息与第一策略表中的一条接口安全处理策略匹配时,从第一存储单元22存储的第一策 略表中获取该接口安全处理策略对应的过滤行为,以及在各字段的数据内容及接收网络接 口信息与第一策略表中的多条接口安全处理策略匹配时,从第一存储单元22存储的第一 策略表中获取第一选取单元24选取的接口安全处理策略对应的过滤行为。第一过滤单元 26用于利用第一获取单元25获取的过滤行为,对第一接收模块201接收到的数据报文进行
7第一次过滤。相应的,第一发送模块202用于在第一过滤单元26输出数据报文时,将该输出的数据报文发送给管理板101。 图7为本实用新型交换机又一个实施例的结构示意图,与图7或图8所示的实施例相比,该实施例中,管理板101包括第二接收模块301、第二安全处理引擎300、确定模块302、标识模块303与第二发送模块304,第二接收模块301、第二安全处理引擎300、确定模块302、标识模块303与第二发送模块304依次连接,第二接收模块301分别与每个线卡102或线卡102中的第一发送模块202连接;第二发送模块304分别与每个线卡102或线卡102中的第一接收模块201连接。其中,第二接收模块301用于接收线卡102输出的数据报文。第二安全处理引擎300中部署有全局安全处理策略,用于利用该全局安全处理策略,对第二接收模块301接收到的数据报文进行第二次过滤。确定模块302用于在第二安全处理引擎300输出合法的数据报文时,根据该合法的数据报文中的转发目的地址,确定发送该合法的数据报文的发送网络接口 203。标识模块303用于对合法的数据报文标识发送该合法的数据报文的发送网络接口信息,生成待发送数据报文。第二发送模块304用于根据发送网络接口信息,将标识模块303生成的待发送数据报文发送给设置该发送网络接口的线卡102。 图8为本实用新型第二安全处理引擎一个实施例的结构示意图。如图8所示,该第二安全处理引擎300包括第二解析单元31、第二存储单元32、第二比较单元33、第二选取单元34、第二获取单元35与第二过滤单元36,第二解析单元31和第二过滤单元36分别与第二接收模块301连接;第二解析单元31、第二比较单元33、第二选取单元34、第二获取单元35与第二过滤单元36依次连接,第二获取单元35和第二比较单元33还分别与第二存储单元32连接,第二过滤单元36还与确定模块302连接。其中,第二解析单元31用于对第二接收模块301接收到的数据报文进行解析,获取该数据报文各字段的数据内容。第二存储单元32用于存储第二策略表,该第二策略表中包括一个或多个全局安全处理策略。第二比较单元33用于比较第二解析单元31获取到的各字段的数据内容是否与第二存储单元32存储的第二策略表中的各全局安全处理策略匹配。第二选取单元34用于根据第二比较单元33的比较结果,在各字段的数据内容与第二策略表中的多条全局安全处理策略匹配时,根据预先设定,从多条全局安全处理策略中选取一条全局安全处理策略。第二获取单元35用于根据第二比较单元33的比较结果,在各字段的数据内容与第二策略表中的一条全局安全处理策略匹配时,从第二存储单元32存储的第二策略表中获取该全局安全处理策略对应的过滤行为,以及在各字段的数据内容与第二策略表中的多条全局安全处理策略匹配时,从第二存储单元32存储的第二策略表中获取第二选取单元34选取的全局安全处理策略对应的过滤行为。第二过滤单元36用于利用第二获取单元35获取的过滤行为,对第二接收模块301接收到的数据报文进行第二次过滤。 图9为本实用新型交换机再一个实施例的结构示意图。该实施例中,第一安全处理引擎200采用了图6所示的实施例,第二安全处理引擎300采用了图8所示的实施例。图9中,仅示出了一个线卡102、每个线卡102包括一个网络接口 203,对于交换机中包括的其它线卡102、网络接口 203的连接关系与图9中的相同。 另外,根据本实用新型的一个实施例,可以在管理板101上安全处理策略的存储容量不足时,将无法存储在管理板101上的全局安全处理策略设置在线卡102中,即在本实用新型图4-图9任意实施例所示的线卡102中,还可以设置利用全局安全处理策略对接收到的数据报文进行第三次过滤或者对第一次过滤后输出的数据报文进行第三次过滤的第三安全处理引擎400。作为本实用新型的一个实施例,该第三安全处理引擎400可以设置在第一接收模块201与第一安全处理引擎200之间,先利用全局安全处理策略对第一接收模块201接收到的数据报文先进行第三次过滤,并将第三次过滤后输出的数据报文发送给第一安全处理引擎200进行第一次过滤。作为本实用新型的另一个实施例,该第三安全处理引擎400也可以设置在第一安全处理引擎200与第一发送模块202之间,利用全局安全处理策略对第一安全处理引擎200第一次过滤后输出的数据报文进行第三次过滤,并将第三次过滤后输出的数据报文发送给第一发送模块202。相应的,第二安全处理引擎300利用全局安全处理策略对第一次过滤与第三次过滤后输出的数据报文进行第二次过滤。图10为本实用新型交换机还一个实施例的结构示意图。具体地,该第三安全处理引擎400可以采用图7或图8所示第二安全处理引擎300的结构实现。 根据本实用新型的另一个实施例,可以在线卡102上安全处理策略的存储容量不足时,将无法存储在线卡102上的接口安全处理策略设置在管理板101中,即在本实用新型图4-图IO任意实施例所示的管理板IOI中,还可以设置利用接口安全处理策略对第一次过滤后输出的数据报文或第二次过滤后输出的数据报文进行第四次过滤的第四安全处理引擎500。作为本实用新型的一个实施例,该第四安全处理引擎500可以设置在第二接收模块301与第二安全处理引擎300之间,先利用接口安全处理策略对第二接收模块301接收到的数据报文先进行第四次过滤,并将第四次过滤后输出的数据报文发送给第二安全处理引擎300进行第二次过滤。作为本实用新型的另一个实施例,该第四安全处理引擎500也可以设置在第二安全处理引擎300与确定模块302之间,利用接口安全处理策略对第二安全处理引擎300过滤后输出的数据报文进行第四次过滤,并将第四次过滤后输出的数据报文发送给确定模块302。相应的,确定模块302用于在第四安全处理引擎500输出合法的数据报文时,根据该合法的数据报文中的转发目的地址,确定发送该合法的数据报文的发送网络接口 203。图ll为本实用新型交换机又一个实施例的结构示意图。具体地,该第四安全处理引擎500可以采用图5或图6所示第一安全处理引擎200的结构实现。[0040] 图12为利用本实用新型交换机进行安全控制的一个实施例的流程图。如图12所示,其包括 步骤401,网络接口 203接收网络中的数据报文,该网络接口 203也称为接收网络接口 203,并对接收到的数据报文标识接收该数据报文的接收网络接口信息后发送给第一接收模块201。其中的网络接口信息可以是网络接口号或网络接口名称,也可以是其它唯一标识交换机上该网络接口的其它信息。 步骤402,第一接收模块201将网络接口 203发送的数据报文发送给该线卡上的第一安全处理引擎200。 步骤403,第一安全处理引擎200利用其中部署的接口安全处理策略,对第一接收模块201接收到的数据报文进行第一次过滤,丢弃非法数据报文。[0044] 具体地,该步骤403可以通过以下方式实现 第一安全处理引擎200对数据报文进行解析,获取数据报文各字段的数据内容及接收网络接口信息;[0046] 比较各字段的数据内容及接收网络接口信息,是否与第一安全处理引擎200上第一策略表中的各接口安全处理策略匹配。其中的接口安全处理策略可以包括是否关心接收网络接口、接收网络接口号、数据报文类型、数据报文类型的字段与各字段的数据内容中的任意一个或多个,与该接口安全处理策略对应的过滤行为。其中的过滤行为也可以称为数据报文转发行为,包括丢弃该数据报文、转发该数据报文、将该数据报文的某个字段的数据内容修改为预设内容、或将该数据报文转发到指定目的地址; 若各字段的数据内容及接收网络接口信息与第一策略表中的一条接口安全处理策略匹配,则获取该接口安全处理策略对应的过滤行为,并利用该过滤行为对数据报文进行第一次过滤; 若各字段的数据内容及接收网络接口信息与第一策略表中的多条接口安全处理策略匹配,则根据预先设定,从多条接口安全处理策略中选取一条接口安全处理策略,例如选取第一策略表中第一条匹配的接口安全处理策略,获取该选取的接口安全处理策略对应的过滤行为,并利用该过滤行为对数据报文进行第一次过滤。如果获取或选取的过滤行为是将该数据报文转发到指定目的地址,则相应的,利用该过滤行为对数据报文进行第一次过滤具体为将数据报文的目的转发地址修改为指定目的地址。 步骤404,第一发送模块202在第一安全处理引擎200第一次过滤后输出数据报文时,将该输出的数据报文发送给管理板101上的第二接收模块301。 步骤405,第二安全处理引擎300利用其中部署的全局安全处理策略,对第二接收模块301接收到的数据报文进行第二次过滤,丢弃非法数据报文,输出合法的数据报文。[0051] 具体地,该步骤405可以通过以下流程实现 第二安全处理引擎300对输出的数据报文进行解析,获取输出的数据报文各字段的数据内容; 比较各字段的数据内容是否与第二安全处理引擎300上第二策略表中的各全局安全处理策略匹配。其中的全局安全处理策略可以包括数据报文类型、数据报文类型的字段与各字段的数据内容中的任意一个或多个,与该接口安全处理策略对应的过滤行为。其中的过滤行为也可以称为数据报文转发行为,包括丢弃该数据报文、转发该数据报文、将该数据报文的某个字段的数据内容修改为预设内容、或将该数据报文转发到指定目的地址;[0054] 若各字段的数据内容与第二策略表中的一条全局安全处理策略匹配,则获取该全局安全处理策略对应的过滤行为,并利用该过滤行为对输出的数据报文进行第二次过滤;[0055] 若各字段的数据内容与第二策略表中的多条全局安全处理策略匹配,则根据预先设定,从多条全局安全处理策略中选取一条全局安全处理策略,例如选取第一策略表中第一条匹配的接口安全处理策略,获取该选取的全局安全处理策略对应的过滤行为,并利用该过滤行为对输出的数据报文进行第二次过滤。如果获取或选取的过滤行为是将该数据报文转发到指定目的地址,则相应的,利用该过滤行为对数据报文进行第二次过滤具体为将数据报文的目的转发地址修改为指定目的地址。 步骤406,确定模块302在第二次过滤后输出合法的数据报文时,根据合法的数据报文中的转发目的地址,确定发送该合法的数据报文的网络接口 203,该网络接口也称为发送网络接口 203。 步骤407,标识模块303对合法的数据报文标识发送网络接口信息,生成待发送数据报文,并通过第二发送模块304将该待发送数据报文发送给相应的线卡102上的第一接收模块201。 步骤408,第一接收模块201根据待发送数据报文携带的发送网络接口信息,将该待发送数据报文转发给相应的发送网络接口 203。 步骤409,发送网络接口 203剥离该待发送数据报文携带的发送网络接口信息,然
后输出数据报文,根据该数据报文中的目的转发地址发送该数据报文。 假设第一安全处理引擎200中部署的接口安全处理策略包括是否关心接收网络
接口、接收网络接口号、数据报文类型、数据报文类型的字段与各字段的数据内容。对数据
报文进行解析,获取数据报文各字段的数据内容及接收网络接口信息后,针对每一条接口
安全处理策略。如图13所示,为利用本实用新型交换机对数据报文进行第一次过滤的一个
实施例的流程图,其包括 步骤501,是否不关心接收网络接口,或数据报文的接收网络接口号与接口安全处理策略中的接收网络接口号相同。若不关心接收网络接口,或数据报文的接收网络接口号与接口安全处理策略中的接收网络接口号相同,执行步骤502 ;否则,若关心接收网络接口并且数据报文的接收网络接口号与接口安全处理策略中的接收网络接口号不同,执行步骤508。 步骤502,比较接收到的数据报文的类型与接口安全处理策略中的数据报文类型是否一致。若一致,执行步骤503 ;否则,执行步骤508。[0063] 步骤503,读取接口安全处理策略中的第一个字段。 步骤504,比较接收到的数据报文中相应字段的数据内容与接口安全处理策略中的第一个字段的数据内容是否相同。若相同,执行步骤505 ;否则,执行步骤508。[0065] 步骤505,判断接口安全处理策略中是否存在下一个字段。若存在,以该下一个字段作为第一个字段,执行步骤503 ;否则,执行步骤506。 步骤506,认为接收到的数据报文与该接口安全处理策略匹配,从该接口安全处理策略中获取相应的过滤行为。 步骤507,利用获取到的过滤行为对接收到的数据报文进行第一次过滤。之后,不再执行本实施例的后续流程。 步骤508,认为接收到的数据报文与该接口安全处理策略不匹配,不对接收到的数据报文进行第一次过滤。 作为本实用新型的一个具体实施例,不对接收到的数据报文进行第一次过滤时,可以根据预先设定,直接转发该数据报文,也可以丢弃该数据报文,或者对该数据报文进行其它处理。 步骤509,查询第一策略表中是否存在下一条接口安全处理策略,若存在,针对下一条接口安全处理策略,执行步骤501 ;否则,若不存在,不对接收到的数据报文进行第一次过滤,线卡可以直接向管理板转发该数据报文。 在图13所示的实施例中,默认利用第一策略表中第一条匹配的接口安全处理策略对接收到的数据报文进行第一次过滤。如果根据预先设定,不是利用第一策略表中第一条匹配的接口安全处理策略对接收到的数据报文进行第一次过滤,例如采用第一策略表中最后一条匹配的接口安全处理策略对接收到的数据报文进行第一次过滤,则步骤505中,不存在下一个字段时,直接执行步骤509,从而选出第一策略表中所有匹配的接口安全处理策略,并根据预先设定,从中选取一条接口安全处理策略,获取该选取的接口安全处理策略对应的过滤行为,并利用该过滤行为对数据报文进行第一次过滤。 另外,在本实用新型安全控制方法的各实施例中,也可以在线卡上的存储容量不足以存储接口安全处理策略时,将一部分策略接口安全处理策略部署到管理板上的安全处理引擎中,宏观上提高线卡上的接口安全策略的容量;以及在管理板上的存储容量不足以存储全局安全处理策略时,将一部分全局安全策略部署到线卡上的安全处理引擎中。[0073] 本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。 本实用新型实施例可以在线卡上设置第一安全处理引擎,利用其中部署的接口安全处理策略对数据报文进行第一次过滤,并在管理板上设置第二安全处理引擎,利用其中部署的全局安全处理策略对数据报文进行第二次过滤,合理利用了管理板与线卡上安全处理策略的存储容量,提高了安全控制效果。 最后所应说明的是以上实施例仅用以说明本实用新型的技术方案,而非对本实用新型作限制性理解。尽管参照上述较佳实施例对本实用新型进行了详细说明,本领域的普通技术人员应当理解其依然可以对本实用新型的技术方案进行修改或者等同替换,而这种修改或者等同替换并不脱离本实用新型技术方案的精神和范围。
权利要求一种交换机,包括管理板与一个或多个线卡,其特征在于,所述线卡上设置有利用接口安全处理策略对接收到的数据报文进行第一次过滤的第一安全处理引擎;所述管理板上设置有利用全局安全处理策略对第一次过滤后输出的数据报文进行第二次过滤的第二安全处理引擎。
2. 根据权利要求l所述的交换机,其特征在于,所述线卡包括一个或多个网络接口 ; 接收所述网络接口发送的数据报文,以及接收所述管理板发送的待发送数据报文的第一接 收模块;和利用接口安全处理策略,对所述第一接收模块接收到的所述数据报文进行第一 次过滤的第一安全处理引擎;和将所述第一安全处理引擎输出的数据报文发送给所述管理 板,以及根据所述待发送数据报文携带的发送网络接口信息,将所述待发送数据报文转发 给相应的网络接口的第一发送模块;所述第一接收模块、所述第一安全处理引擎与所述第一发送模块依次连接,所述第一 接收模块还与所述第一发送模块连接;所述第一接收模块还分别与所在线卡中的网络接 口 、所述管理板连接;所述第一发送模块还分别与所在线卡中网络接口 、所述管理板连接。
3. 根据权利要求2所述的交换机,其特征在于,所述第一安全处理引擎包括对所述第一接收模块接收到的数据报文进行解析,获取所述数据报文各字段的数据内容及所述接收 网络接口信息的第一解析单元;和存储第一策略表的第一存储单元,所述第一策略表中包 括一个或多个接口安全处理策略;和比较所述第一解析单元获取到的所述各字段的数据内 容及所述接收网络接口信息是否与所述第一策略表中的各接口安全处理策略匹配的第一 比较单元;和根据第一比较单元的比较结果,在所述各字段的数据内容及所述接收网络接 口信息与所述第一策略表中的多条接口安全处理策略匹配时,根据预先设定,从所述多条 接口安全处理策略中选取一条接口安全处理策略的第一选取单元;和根据第一 比较单元的 比较结果,在所述各字段的数据内容及所述网络接口信息与所述第一策略表中的一条接口 安全处理策略匹配时,获取该接口安全处理策略对应的过滤行为,以及在所述各字段的数 据内容及所述接收网络接口信息与所述第一策略表中的多条接口安全处理策略匹配时,获 取所述第一选取单元选取的接口安全处理策略对应的过滤行为的第一获取单元;和利用所 述第一获取单元获取的过滤行为,对所述第一接收模块接收到的数据报文进行第一次过滤 的第一过滤单元;所述第一解析单元和所述第一过滤单元分别与所述第一接收模块连接;所述第一解 析单元、第一比较单元、所述第一选取单元、所述第一获取单元与所述第一过滤单元依次连 接;所述第一获取单元和所述第一比较单元还分别与所述第一存储单元连接;所述第一过 滤单元还与所述第一发送模块连接。
4. 根据权利要求1、2或3所述的交换机,其特征在于,所述管理板包括接收所述线卡 发送的输出的数据报文的第二接收模块;和利用全局安全处理策略,对所述第二接收模块 接收到的所述输出的数据报文进行第二次过滤的第二安全处理引擎;和所述第二安全处理 引擎输出合法的数据报文时,根据所述合法的数据报文中的转发目的地址,确定发送该合 法的数据报文的发送网络接口的确定模块;和对所述合法的数据报文标识发送该合法的数 据报文的所述发送网络接口信息,生成待发送数据报文的标识模块;和根据所述发送网络 接口信息,将所述待发送数据报文发送给相应的线卡的第二发送模块;所述第二接收模块、所述第二安全处理引擎、所述确定模块、所述标识模块与所述第二发送模块依次连接;所述第二接收模块分别与每个线卡或线卡中的第一发送模块连接;所 述第二发送模块分别与每个线卡或线卡中的第一接收模块连接。
5. 根据权利要求4所述的交换机,其特征在于,所述第二安全处理引擎包括对所述第 二接收模块接收到的数据报文进行解析,获取所述数据报文各字段的数据内容的第二解析 单元;和存储第二策略表的第二存储单元,所述第二策略表中包括一个或多个全局安全处 理策略;比较所述第二解析单元获取到的所述各字段的数据内容是否与所述第二策略表中 的各全局安全处理策略匹配的第二比较单元;和根据第二比较单元的比较结果,在所述各 字段的数据内容与所述第二策略表中的多条全局安全处理策略匹配时,根据预先设定,从 所述多条全局安全处理策略中选取一条全局安全处理策略的第二选取单元;和根据第二比 较单元的比较结果,在所述各字段的数据内容与所述第二策略表中的一条全局安全处理策 略匹配时,获取该全局安全处理策略对应的过滤行为,以及在所述各字段的数据内容与所 述第二策略表中的多条全局安全处理策略匹配时,获取所述第二选取单元选取的全局安全 处理策略对应的过滤行为的第二获取单元;和利用所述第二获取单元获取的过滤行为,对 所述第二接收模块接收到的数据报文进行第二次过滤的第二过滤单元;所述第二解析单元和所述第二过滤单元分别与所述第二接收模块连接;所述第二解 析单元、第二比较单元、所述第二选取单元、所述第二获取单元与所述第二过滤单元依次连 接;所述第二获取单元和所述第二比较单元还分别与所述第二存储单元连接;所述第二过 滤单元还与所述确定模块连接。
6. 根据权利要求4所述的交换机,其特征在于,所述线卡上还设置有利用全局安全处 理策略对接收到的数据报文进行第三次过滤或者对第一次过滤后输出的数据报文进行第 三次过滤的第三安全处理引擎;相应的,所述第二安全处理引擎为利用全局安全处理策略对第一次过滤与第三次过滤 后输出的数据报文进行第二次过滤的第二安全处理引擎。
7. 根据权利要求4所述的交换机,其特征在于,所述管理板上还设置有利用接口安全 处理策略对第一次过滤后输出的数据报文或第二次过滤后输出的数据报文进行第四次过 滤的第四安全处理引擎。
专利摘要本实用新型公开了一种交换机,包括管理板与一个或多个线卡,所述线卡上设置有利用接口安全处理策略对接收到的数据报文进行第一次过滤的第一安全处理引擎;所述管理板上设置有利用全局安全处理策略对第一次过滤后输出的数据报文进行第二次过滤的第二安全处理引擎。本实用新型实施例可以合理利用线卡与管理板上的安全处理策略的存储容量,并有效实现对数据报文的安全控制。
文档编号H04L29/06GK201467157SQ20092010868
公开日2010年5月12日 申请日期2009年6月1日 优先权日2009年6月1日
发明者郭伟 申请人:北京星网锐捷网络技术有限公司