一种pse的端口保护方法以及pse的制作方法

一种pse的端口保护方法以及pse的制作方法
【专利摘要】本发明公开了一种PSE的端口保护方法以及PSE，该方法包括：PSE检测端口的端口状态信息；所述PSE利用所述端口状态信息确定所述端口的安全等级；所述PSE确定所述安全等级对应的端口保护策略；所述PSE利用所述端口保护策略对所述端口进行安全保护。本发明实施例中，可以对端口数据进行有效保护，加强端口安全性，并且避免非法用户获得合法PD的数据。
【专利说明】—种PSE的端口保护方法以及PSE

【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及一种PSE的端口保护方法以及PSE。

【背景技术】
[0002]如图1所示，在PoE (Power Over Ethernet,有源以太网)系统中，包括PSE (PowerSourcing Equipment,供电端设备)和F1D (Powered Device,受电端设备)两部分。其中，H)可以为IP电话、网络安全摄像机、无线AP(ACCesS Point，接入点)等以太网设备。PoE技术允许通过以太网电缆供电，其技术优势在于:提高可靠性，集中式电源供电，H)不需要外接电源，只需要一根网线即可。
[coos] 现有技术中，由于ip电话和网络安全摄像机等ro可以采用组播方式传输数据，因此，任意非法用户接入到PSE后，即可以获得ip电话和网络安全摄像机等其它ro的数据，从而导致数据泄密，造成数据安全性问题。如图1所示，非法用户通过PC连接到PSE的端口之后，非法用户可以通过PC轻易的捕获PDl (如网络安全摄像机)和PD2 (如IP电话)的数据。


【发明内容】

[0004]本发明实施例提供一种供电端设备PSE的端口保护方法，所述方法包括:
[0005]所述PSE检测端口的端口状态信息；所述PSE利用所述端口状态信息确定所述端口的安全等级；所述PSE确定所述安全等级对应的端口保护策略；所述PSE利用所述端口保护策略对所述端口进行安全保护。
[0006]所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备ro状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态；所述PSE检测端口的端口状态信息，包括:所述PSE从端口状态表中读取所述端口的端口状态信息；其中，所述端口状态表中记录有对端ro状态字段，PHY状态字段，MAC地址数量字段，802.1X状态字段；当对端ro状态字段为第一标识时，表示对端ro状态为端口上不存在有效ro ；当对端ro状态字段为第二标识时，表示对端ro状态为端口上存在有效PD，并且存在非法ro ;当对端ro状态字段为第三标识时，表示对端ro状态为端口上存在有效PD，并且存在合法H);当PHY状态字段为第四标识时，表示PHY状态为使能；当PHY状态字段为第五标识时，表示PHY状态为未使能；当802.1X状态字段为第六标识时，表示802.1X状态为认证通过；当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
[0007]所述PSE利用所述端口状态信息确定所述端口的安全等级，具体包括:当所述端口状态信息为所述端口的对端ro状态、PHY状态、MAC地址数量、802.1X状态时，如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在非法PD，则所述PSE确定所述端口的安全等级为第一级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法PD，所述端口的PHY状态为未使能，则所述PSE确定所述端口的安全等级为第二级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量大于设定阈值，则所述PSE确定所述端口的安全等级为第三级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证不通过，则所述PSE确定所述端口的安全等级为第四级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证通过，则所述PSE确定所述端口的安全等级为第五级别。
[0008]所述PSE确定所述安全等级对应的端口保护策略的过程，具体包括:
[0009]当所述安全等级为第一级别时，所述PSE确定端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN ;当所述安全等级为第二级别时，所述PSE确定端口保护策略为停止对所述端口进行PoE供电；当所述安全等级为第三级别时，所述PSE确定端口保护策略为将所述端口的PHY状态去使能；当所述安全等级为第四级别时，所述PSE确定端口保护策略为停止通过所述端口转发数据；当所述安全等级为第五级别时，所述PSE确定端口保护策略为通过所述端口转发数据，并对所述端口进行正常PoE供电。
[0010]所述方法进一步包括:所述PSE配置端口转发表，所述端口转发表中记录端口两两之间的互通性对应关系；其中，加入到Safe VLAN的两个端口之间能够互通；加入到默认数据转发VLAN的两个端口之间能够互通；加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通；
[0011]所述PSE在收到数据报文时，利用收到所述数据报文的端口查询所述端口转发表，确认与该端口具有互通关系的端口，进而转发所述数据报文。
[0012]本发明实施例提供一种PSE，所述PSE具体包括:
[0013]状态信息确定模块，用于检测端口的端口状态信息；安全等级确定模块，用于利用所述端口状态信息确定端口的安全等级；保护策略确定模块，用于确定所述安全等级对应的端口保护策略；安全保护模块，用于利用所述端口保护策略对所述端口进行安全保护。
[0014]所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备ro状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态；所述状态信息确定模块，具体用于从端口状态表中读取所述端口的端口状态信息，该端口状态表中记录有对端H)状态字段，PHY状态字段，MAC地址数量字段，802.1X状态字段；当对端ro状态字段为第一标识时，表示对端ro状态为端口上不存在有效ro ;当对端ro状态字段为第二标识时，表示对端ro状态为端口上存在有效PD，并且存在非法ro ；当对端ro状态字段为第三标识时，表示对端ro状态为端口上存在有效PD，并且存在合法PD ^PHY状态字段为第四标识时，表示PHY状态为使能SPHY状态字段为第五标识时，表示PHY状态为未使能；当802.1X状态字段为第六标识时，表示802.1X状态为认证通过；当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
[0015]所述安全等级确定模块，具体用于当端口状态信息为所述端口的对端ro状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时，如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在非法PD，则确定所述端口的安全等级为第一级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为未使能，则确定所述端口的安全等级为第二级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量大于设定阈值，则确定所述端口的安全等级为第三级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证不通过，则确定所述端口的安全等级为第四级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证通过，则确定所述端口的安全等级为第五级别。
[0016]所述保护策略确定模块，具体用于当所述安全等级为第一级别时，确定所述端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN ;当所述安全等级为第二级别时，确定所述端口保护策略为停止对所述端口进行PoE供电；当所述安全等级为第三级别时，确定所述端口保护策略为将所述端口的PHY状态去使能；当所述安全等级为第四级别时，确定所述端口保护策略为停止通过所述端口转发数据；当所述安全等级为第五级别时，确定所述端口保护策略为通过所述端口转发数据，并对所述端口进行正常PoE供电。
[0017]所述安全保护模块，还用于配置端口转发表，所述端口转发表中记录端口两两之间的互通性对应关系；其中，加入到Safe VLAN的两个端口之间能够互通；加入到默认数据转发VLAN的两个端口之间能够互通；加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通；
[0018]在收到数据报文时，利用收到所述数据报文的端口查询所述端口转发表，确认与该端口具有互通关系的端口，进而转发所述数据报文。
[0019]基于上述技术方案，本发明实施例中，通过设置不同安全等级对应的端口保护策略，以在确定端口的安全等级之后，基于该安全等级对应的端口保护策略对端口进行安全保护，从而对端口数据进行有效保护，加强端口安全性，避免非法用户获得合法ro的数据，避免数据泄密和数据安全性等问题。

【专利附图】

【附图说明】
[0020]图1是包括PSE和ro的PoE系统的组网示意图；
[0021]图2是本发明实施例提出的应用场景示意图；
[0022]图3是本发明实施例提出的一种端口保护方法流程示意图；
[0023]图4是本发明实施例提出的一种PSE的结构示意图。

【具体实施方式】
[0024]针对现有技术中存在的问题，本发明实施例提供一种PSE的端口保护方法，该方法应用于包括PSE和ro的PoE系统中。以图2为本发明实施例的应用场景示意图，PSE的Pi端口为上行端口，Pi端口连接数据服务器，该数据服务器是与ro进行通信的对象，例如，当ro为网络安全摄像机时，该数据服务器可以为视频服务器，当ro为ip电话时，该数据服务器可以为SIP (Sess1n Initiat1n Protocol,会话发起协议)服务器)。
[0025]PSE的P2端口、P3端口、P4端口、P5端口和P6端口为下行端口。P2端口连接网络安全摄像机。P3端口连接用户A的网络安全摄像机。P4端口连接用户B的PC。P5端口连接PoE交换机，且用户C使用网络安全摄像机和PC级联在PoE交换机上。P6端口连接PoE中跨交换机，且用户D使用网络安全摄像机和PC级联在PoE中跨交换机上。
[0026]在上述应用场景下，如图3所示，该端口保护方法可以包括以下步骤:
[0027]步骤301，PSE检测端口的端口状态信息。
[0028]本发明实施例中，当有设备接入到PSE的端口时，PSE可以启用一个线程定时检测该端口的端口状态信息。其中，该端口状态信息包括但不限于以下之一或者任意组合:端口的对端ro状态、ΡΗΥ(物理层)状态、MAC (Media Access Control，介质访问控制)地址数量、802.1X状态。
[0029]其中，定时检测的时间N不能设置过短，以防止占用大量的CPU(中央处理器)资源；定时检测的时间N不能设置过长，以防止出现无法及时检测端口状态信息的情况。因此，可以将定时检测的时间N设置为2秒。
[0030]本发明实施例中，以端口状态信息包括对端H)状态、PHY状态、MAC地址数量、802.1X状态为例。基于此，PSE检测端口状态信息的过程，具体包括但不限于:PSE为每个端口维护端口状态表，该端口状态表中记录有对端ro状态字段，PHY状态字段，MAC地址数量字段，802.1X状态字段。其中，当对端ro状态字段为第一标识时，表示对端ro状态为端口上不存在有效ro ;当对端PD状态字段为第二标识时，表示对端ro状态为端口上存在有效PD，并且存在非法ro ;当对端ro状态字段为第三标识时，表示对端ro状态为端口上存在有效PD，并且存在合法H)。当PHY状态字段为第四标识时，表示PHY状态为使能；当PHY状态字段为第五标识时，表示PHY状态为未使能。当802.1X状态字段为第六标识时，表示802.1X状态为认证通过；当802.1X状态字段为第七标识时，表示802.1X状态为认证不通过。
[0031]进一步的，在需要确定端口的端口状态信息时，PSE从该端口的端口状态表中读取该端口的端口状态信息。其中，如果对端ro状态字段为第一标识，则确定端口的对端ro状态为端口上不存在有效ro ;如果对端ro状态字段为第二标识，则确定端口的对端ro状态为端口上存在有效PD，并且存在非法ro ;如果对端ro状态字段为第三标识，则确定端口的对端ro状态为端口上存在有效PD，并且存在合法ro。如果PHY状态字段为第四标识，则确定端口的PHY状态为使能；如果PHY状态字段为第五标识，则确定端口的PHY状态为未使能。如果MAC地址数量字段为1，则确定端口的MAC地址数量为I ;如果MAC地址数量字段为2，则确定端口的MAC地址数量为2 ;如果MAC地址数量字段为3，则确定端口的MAC地址数量为3 ；以此类推。如果802.1X状态字段为第六标识，则确定端口的802.1X状态为认证通过；如果802.1X状态字段为第七标识，则确定端口的802.1X状态为认证不通过。
[0032]PSE维护端口状态表的过程中，针对对端H)状态，PSE可以通过检测以太网电缆(本PSE与对端设备互联的以太网电缆)之间的阻容值来判断对端ro状态。其中，当PSE上的PoE模块与电路板耦合在一起时，由PoE模块检测以太网电缆之间的阻容值来判断对端PD状态；当PSE上的PoE模块没有与电路板耦合在一起时，由PoE扣板检测以太网电缆之间的阻容值来判断对端ro状态。例如，PoE模块或者PoE扣板发出2.8V-10V信号到以太网电缆上，如果存在有效PD，则有效ro将感测到此电压，并在电源线上加上23.75k Ω -26.25k Ω的电阻，PSE模块或者PoE扣板一旦感测到产生的电流，则认为端口上存在有效H);如果PSE模块或者PoE扣板无法感测到产生的电流，则认为端口上不存在有效PD，此时将端口状态表中的对端ro状态字段设置为第一标识。如果端口上存在有效PD，则直流阻抗在19K-26.5Kohm之间，且容值不超过150nF时，认为端口上存在合法H)，此时将端口状态表中的对端ro状态字段设置为第三标识；否则，认为端口上存在非法PD，此时将端口状态表中的对端ro状态字段设置为第二标识。上述方式是以电阻为依据确定对端ro状态的，实际应用中也可以以电容为依据确定对端ro状态，相应处理方式在此不再赘述。进一步的，针对端口状态表中的PHY状态、MAC地址数量、802.1X状态等其它字段，其相应的维护过程不再详加赘述。
[0033]步骤302，PSE利用端口状态信息确定端口的安全等级。
[0034]其中，安全等级的数量可以根据实际经验任意设置。如设置安全等级为:第一级另IJ、第二级别、第三级别；或者，第一级别、第二级别、第三级别、第四级别；或者，第一级别、第二级别、第三级别、第四级别、第五级别。
[0035]本发明实施例中，以端口状态信息具体为对端ro状态、PHY状态、MAC地址数量、802.1X状态，安全等级为第一级别、第二级别、第三级别、第四级别、第五级别为例，则PSE利用端口状态信息确定端口的安全等级的过程，具体包括但不限于:如果端口的对端ro状态为端口上存在有效PD，并且存在非法PD，则PSE确定端口的安全等级为第一级别；如果端口的对端ro状态为端口上存在有效PD，并且存在合法ro，端口的PHY状态为未使能，则PSE确定端口的安全等级为第二级别；如果端口的对端ro状态为端口上存在有效PD，并且存在合法PD，端口的PHY状态为使能，端口的MAC地址数量大于设定阈值(设定阈值由用户根据实际经验任意设置，如设定阈值为I)，则PSE确定端口的安全等级为第三级别；如果端口的对端ro状态为端口上存在有效PD，并且存在合法ro，端口的PHY状态为使能，端口的MAC地址数量不大于设定阈值，端口的802.1X状态为认证不通过，则PSE确定端口的安全等级为第四级别；如果端口的对端ro状态为端口上存在有效PD，并且存在合法PD，端口的PHY状态为使能，端口的MAC地址数量不大于设定阈值，端口的802.1X状态为认证通过，PSE确定端口的安全等级为第五级别。
[0036]在图2所示的应用场景下，针对P2端口，P2端口连接合法的网络安全摄像机，因此，经过检测，P2端口的对端ro状态为P2端口上存在有效PD，并且存在合法ro，P2端口的PHY状态为使能，P2端口的MAC地址数量不大于设定阈值1，P2端口的802.1X状态为认证通过，PSE确定P2端口的安全等级为第五级别。针对P3端口，在用户A通过网络安全摄像机接入到PSE的P3端口时，经过检测，P3端口的对端H)状态为P3端口上存在有效PD，并且存在合法PD，P3端口的PHY状态为使能，P3端口的MAC地址数量不大于设定阈值1，P3端口的802.1X状态为认证通过，PSE确定P3端口的安全等级为第五级别。针对P4端口，在用户B通过PC (PC不是合法的PD)接入到PSE的P4端口时，经过检测，P4端口的对端H)状态为P4端口上存在有效PD，并且存在非法H)，PSE确定P4端口的安全等级为第一级别。针对P5端口，在用户C通过PoE交换机(PoE交换机不是合法的PD)接入到PSE的P5端口时，经过检测，P5端口的对端H)状态为P5端口上存在有效PD，并且存在非法PD，PSE确定P5端口的安全等级为第一级别。针对P6端口，在用户D通过PoE中跨交换机(PoE中跨交换机是合法的PD)接入到PSE的P6端口时，经过检测，P6端口的对端H)状态为P6端口上存在有效PD，并且存在合法PD，P6端口的PHY状态为使能，P6端口的MAC地址数量大于设定阈值I，且PSE确定P6端口的安全等级为第三级别。
[0037]步骤303，PSE确定安全等级对应的端口保护策略。
[0038]本发明实施例中，端口保护策略可以由网络管理员按照实际情况自行定制，如端口保护策略具体可以包括但不限于以下之一或者任意组合:将端口加入到Safe VLAN (SafeVirtual Local Area Network,安全虚拟局域网)；停止对端口进行PoE供电；将端口的PHY状态去使能，即不允许端口状态被Link UP(链路启动)；停止通过端口转发数据，即禁止数据进入对应端口的缓存队列，从而无法转发数据；通过端口转发数据，并对端口进行正常PoE供电。
[0039]其中，Safe VLAN与默认转发流量的VLAN不一致。
[0040]本发明实施例中，PSE可以根据网络规划预先为安全等级配置对应的端口保护策略，不同的安全等级可以对应相同的端口保护策略，也可以对应不同的端口保护策略，但是一个安全等级只能对应一个端口保护策略。
[0041]本发明实施例中，以安全等级为第一级别、第二级别、第三级别、第四级别、第五级另|J，且一个安全等级对应一个端口保护策略为例，则PSE确定安全等级对应的端口保护策略的过程，具体包括但不限于:当安全等级为第一级别时，PSE认为有非法ro接入，确定端口保护策略为将端口加入到SafeVLAN。当安全等级为第二级别时，PSE认为有H)未正常上电，确定端口保护策略为停止对端口进行PoE供电。当安全等级为第三级别时，PSE认为可能有多台设备接入，确定端口保护策略为将端口的PHY状态去使能，即端口状态不允许被Link UP。当安全等级为第四级别时，PSE认为是非法设备接入，确定端口保护策略为停止通过端口转发数据。当安全等级为第五级别时，PSE认为是正常H)(如IP电话、网络安全摄像机、无线AP等以太网设备)接入，确定端口保护策略为通过端口转发数据，并对端口进行正常PoE供电。
[0042]步骤304，PSE利用端口保护策略对端口进行安全保护，即PSE启用安全等级对应的端口保护策略，以利用该端口保护策略对端口进行安全保护。
[0043]在图2所示的应用场景下，针对P2端口，安全等级为第五级别，端口保护策略为通过端口转发数据，并对端口进行正常PoE供电，因此，PSE对P2端口进行正常PoE供电，并通过P2端口转发数据。针对P3端口，安全等级为第五级别，端口保护策略为通过端口转发数据，并对端口进行正常PoE供电，因此，PSE对P3端口进行正常PoE供电，并通过P3端口转发数据。针对P4端口，安全等级为第一级别，端口保护策略为将端口加入到Safe VLAN,因此，PSE将P4端口加入到Safe VLAN。针对P5端口，安全等级为第一级别，端口保护策略为将端口加入到Safe VLAN，因此，PSE将P5端口加入到Safe VLAN。针对P6端口，安全等级为第三级别，端口保护策略为将端口的PHY状态去使能，因此，PSE将P6端口的PHY状态去使能。
[0044]本发明实施例中，PSE还可以配置端口转发表，该端口转发表中记录端口两两之间的互通性对应关系。其中，加入到Safe VLAN(不同于默认数据转发VLAN)的两个端口之间能够互通；加入到默认数据转发VLAN的两个端口之间能够互通；加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通；如果Safe VLAN内的设备允许访问上行网络，则数据服务器连接的端口同时加入Safe VLAN。基于此，PSE在收到数据报文之时，可以利用收到该数据的端口查询端口转发表，确认与该端口具有互通关系的端口，进而转发数据报文。
[0045]在图2所示的应用场景下，默认数据转发VLAN为VLANl，Safe VLAN为VLAN100，在未执行步骤301-步骤304之前，Pl端口 -P6端口均为加入到默认数据转发VLAN的端口。本发明实施例中，在执行步骤301-步骤304之后，P4端口和P5端口被加入到Safe VLAN,此时，P4端口和P5端口为加入到Safe VLAN的端口，Pl端口 -P3端口、P6端口为加入到默认数据转发VLAN的端口，端口转发表可以如表I所示。进一步的，如果Safe VLAN内的设备允许访问上行网络，则Pl端口还可以被加入到Safe VLAN,即Pl端口同时加入到默认数据转发VLAN和Safe VLAN，端口转发表可以如表2所示。在表I和表2中，F表示从横向端口收到的数据，可以通过纵向端口发送出去。
[0046]表I
[0047]

Ipi 端口 |P2 端口 |P3 端口 |P4 端口 |P5 端口 |P6 端口
Pl 端口FFF
P2 端口 ？FF
P3 端口 ？FF
P4 端口F
P5 端口F
[0048]
P6 端口 |f [f [f
[0049]表2
[0050]

Ipi 端口 |P2 端口 |P3 端口 |P4 端口 |P5 端口 |P6 端口
Pl 端口FFFFF
P2 端口 ？FF
P3 端口 ？FF
P4 端口 ？F
P5 端口 ？F
P6 端口 ？FF
[0051]基于上述处理之后，假设端口转发表如表I或表2所示，则PSE在通过P2端口收到数据时，该数据能够通过Pl端口、P3端口和P6端口进行转发，而由于P6端口的PHY状态去使能，因此PSE只会通过Pl端口和P3端口转发该数据，即该数据不会通过P4端口、P5端口和端口 P6进行转发，因此可以避免P2端口上收到的数据被泄密到P4端口、P5端口和端口 P6，因此可以避免数据被泄密和数据安全性等问题。同理，PSE在通过P3端口收到数据时，该数据同样能够避免被泄密到P4端口、P5端口和端口 P6。
[0052]本发明实施例中，各端口的安全等级的初始值为O。PSE在确定端口的安全等级发生变化之后，还可以向网管服务器发送Trap消息，该Trap消息中携带该端口的安全等级发生变化的信息和/或端口保护策略发生变化的信息。进一步的，网管服务器在收到Trap消息之后，记录该端口对应的H)可能发生异常的信息，并在确认该端口对应的H)发生异常时，如果该端口对应的F1D没有关闭，贝U网管服务器通过SNMP (Simple Network ManagementProtocol，简单网络管理协议)等方式关闭该端口对应的H);如果该端口对应的H)已经关闭，则网管服务器不再进行处理。
[0053]本发明实施例中，当检测到端口上连接的设备离开时，PSE还可以撤销该端口对应的端口保护策略，即PSE禁止启用安全等级对应的端口保护策略。
[0054]本发明实施例中，通过设置不同安全等级对应的端口保护策略，以在确定端口的安全等级之后，基于该安全等级对应的端口保护策略对端口进行安全保护，从而对端口数据进行有效保护，加强端口安全性，避免非法用户获得合法ro的数据，避免数据泄密和数据安全性等问题。
[0055]基于与上述方法同样的发明构思，本发明实施例中还提供了一种供电端设备PSE，如图4所示,所述PSE具体包括:
[0056]状态信息确定模块11，用于检测端口的端口状态信息；安全等级确定模块12,用于利用所述端口状态信息确定端口的安全等级；保护策略确定模块13，用于确定所述安全等级对应的端口保护策略；安全保护模块14，用于利用所述端口保护策略对所述端口进行安全保护。
[0057]所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备ro状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态；所述状态信息确定模块11，具体用于从端口状态表中读取所述端口的端口状态信息，该端口状态表中记录有对端ro状态字段，PHY状态字段，MAC地址数量字段，802.1X状态字段；当对端ro状态字段为第一标识时，表示对端ro状态为端口上不存在有效ro ;当对端ro状态字段为第二标识时，表示对端ro状态为端口上存在有效PD，并且存在非法ro ；当对端ro状态字段为第三标识时，表示对端ro状态为端口上存在有效PD，并且存在合法PD ^PHY状态字段为第四标识时，表示PHY状态为使能SPHY状态字段为第五标识时，表示PHY状态为未使能；当802.1X状态字段为第六标识时，表示802.1X状态为认证通过；当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
[0058]所述安全等级确定模块12，具体用于当端口状态信息为所述端口的对端H)状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时，如果所述端口的对端H)状态为所述端口上存在有效PD，并且存在非法PD，则确定所述端口的安全等级为第一级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为未使能，则确定所述端口的安全等级为第二级别；如果所述端口的对端ro状态为所述端口上存在有效ro，并且存在合法ro，所述端口的phy状态为使能，所述端口的MAC地址数量大于设定阈值，则确定所述端口的安全等级为第三级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的phy状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证不通过，则确定所述端口的安全等级为第四级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证通过，则确定所述端口的安全等级为第五级别。
[0059]所述保护策略确定模块13，具体用于当所述安全等级为第一级别时，确定所述端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN ;当所述安全等级为第二级别时，确定所述端口保护策略为停止对所述端口进行PoE供电；当所述安全等级为第三级别时，确定所述端口保护策略为将所述端口的PHY状态去使能；当所述安全等级为第四级别时，确定所述端口保护策略为停止通过所述端口转发数据；当所述安全等级为第五级别时，确定所述端口保护策略为通过所述端口转发数据，并对所述端口进行正常PoE供电。
[0060]所述安全保护模块14，还用于配置端口转发表，所述端口转发表中记录端口两两之间的互通性对应关系；其中，加入到Safe VLAN的两个端口之间能够互通；加入到默认数据转发VLAN的两个端口之间能够互通；加入到SafeVLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通；
[0061]在收到数据报文时，利用收到所述数据报文的端口查询所述端口转发表，确认与该端口具有互通关系的端口，进而转发所述数据报文。
[0062]其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。
[0063]通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【权利要求】
1.一种供电端设备PSE的端口保护方法，其特征在于，所述方法包括: 所述PSE检测端口的端口状态信息； 所述PSE利用所述端口状态信息确定所述端口的安全等级； 所述PSE确定所述安全等级对应的端口保护策略； 所述PSE利用所述端口保护策略对所述端口进行安全保护。
2.如权利要求1所述的方法，其特征在于，所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备H)状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态； 所述PSE检测端口的端口状态信息的过程，具体包括:所述PSE从端口状态表中读取所述端口的端口状态信息；其中，所述端口状态表中记录有对端ro状态字段，PHY状态字段，MAC地址数量字段，802.1X状态字段； 当对端ro状态字段为第一标识时，表示对端ro状态为端口上不存在有效ro ;当对端PD状态字段为第二标识时，表示对端ro状态为端口上存在有效PD，并且存在非法ro ；当对端ro状态字段为第三标识时，表示对端ro状态为端口上存在有效PD，并且存在合法ro ；当PHY状态字段为第四标识时，表示PHY状态为使能；当PHY状态字段为第五标识时，表示PHY状态为未使能；当802.1X状态字段为第六标识时，表示802.1X状态为认证通过；当802.1X状态字段为第七标识时，表示802.1X状态为认证不通过。
3.如权利要求1或2所述的方法，其特征在于，所述PSE利用所述端口状态信息确定所述端口的安全等级的过程，具体包括: 当所述端口状态信息具体为所述端口的对端ro状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时， 如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在非法PD，则所述PSE确定所述端口的安全等级为第一级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为未使能，则所述PSE确定所述端口的安全等级为第二级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量大于设定阈值，则所述PSE确定所述端口的安全等级为第三级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证不通过，则所述PSE确定所述端口的安全等级为第四级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证通过，则所述PSE确定所述端口的安全等级为第五级别。
4.如权利要求3所述的方法，其特征在于，所述PSE确定所述安全等级对应的端口保护策略的过程，具体包括: 当所述安全等级为第一级别时，所述PSE确定端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN ;当所述安全等级为第二级别时，所述PSE确定端口保护策略为停止对所述端口进行PoE供电；当所述安全等级为第三级别时，所述PSE确定端口保护策略为将所述端口的PHY状态去使能；当所述安全等级为第四级别时，所述PSE确定端口保护策略为停止通过所述端口转发数据；当所述安全等级为第五级别时，所述PSE确定端口保护策略为通过所述端口转发数据，并对所述端口进行正常PoE供电。
5.如权利要求4所述的方法，其特征在于，所述方法进一步包括: 所述PSE配置端口转发表，所述端口转发表中记录端口两两之间的互通性对应关系；其中，加入到Safe VLAN的两个端口之间能够互通；加入到默认数据转发VLAN的两个端口之间能够互通；加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通； 所述PSE在收到数据报文时，利用收到所述数据报文的端口查询所述端口转发表，确认与该端口具有互通关系的端口，进而转发所述数据报文。
6.一种供电端设备PSE，其特征在于，所述PSE具体包括: 状态信息确定模块，用于检测端口的端口状态信息； 安全等级确定模块，用于利用所述端口状态信息确定端口的安全等级； 保护策略确定模块，用于确定所述安全等级对应的端口保护策略； 安全保护模块，用于利用所述端口保护策略对所述端口进行安全保护。
7.如权利要求6所述的PSE，其特征在于，所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备ro状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态； 所述状态信息确定模块，具体用于从端口状态表中读取所述端口的端口状态信息，该端口状态表中记录有对端ro状态字段，PHY状态字段，MAC地址数量字段，802.1X状态字段；其中，当对端ro状态字段为第一标识时，表示对端ro状态为端口上不存在有效ro ；当对端PD状态字段为第二标识时，表示对端ro状态为端口上存在有效PD，并且存在非法ro ；当对端ro状态字段为第三标识时，表示对端ro状态为端口上存在有效PD，并且存在合法ro ；当PHY状态字段为第四标识时，表示PHY状态为使能；当PHY状态字段为第五标识时，表示PHY状态为未使能；当802.1X状态字段为第六标识时，表示802.1X状态为认证通过；当802.1X状态字段为第七标识时，表示802.1X状态为认证不通过。
8.如权利要求6或7所述的PSE，其特征在于， 所述安全等级确定模块，具体用于当端口状态信息为所述端口的对端ro状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时，如果所述端口的对端PD状态为所述端口上存在有效PD，并且存在非法PD，则确定所述端口的安全等级为第一级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为未使能，则确定所述端口的安全等级为第二级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量大于设定阈值，则确定所述端口的安全等级为第三级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法H)，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证不通过，则确定所述端口的安全等级为第四级别；如果所述端口的对端ro状态为所述端口上存在有效PD，并且存在合法ro，所述端口的PHY状态为使能，所述端口的MAC地址数量不大于设定阈值，所述端口的802.1X状态为认证通过，则确定所述端口的安全等级为第五级别。
9.如权利要求8所述的PSE，其特征在于， 所述保护策略确定模块，具体用于当所述安全等级为第一级别时，确定所述端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN ;当所述安全等级为第二级别时，确定所述端口保护策略为停止对所述端口进行PoE供电；当所述安全等级为第三级别时，确定所述端口保护策略为将所述端口的PHY状态去使能；当所述安全等级为第四级别时，确定所述端口保护策略为停止通过所述端口转发数据；当所述安全等级为第五级别时，确定所述端口保护策略为通过所述端口转发数据，并对所述端口进行正常PoE供电。
10.如权利要求9所述的PSE，其特征在于， 所述安全保护模块，还用于配置端口转发表，所述端口转发表中记录端口两两之间的互通性对应关系；其中，加入到Safe VLAN的两个端口之间能够互通；加入到默认数据转发VLAN的两个端口之间能够互通；加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通； 在收到数据报文时，利用收到所述数据报文的端口查询所述端口转发表，确认与该端口具有互通关系的端口，进而转发所述数据报文。
【文档编号】H04L12/10GK104168121SQ201410334326
【公开日】2014年11月26日 申请日期:2014年7月14日 优先权日:2014年7月14日
【发明者】王祝勋, 唐小虎 申请人:杭州华三通信技术有限公司