专利名称:一种基于以太网交换机的安全过滤方法
技术领域:
本发明涉及通信数据交换领域,尤其涉及加强以太网交换机安全特性的安全过滤方法。
背景技术:
以太网交换技术(LAN SWITCH)是在多端口网桥的基础上于九十年代初发展起来的,实现OSI模型的下两层协议。以太网交换机与电话交换机相似,除了提供存储转发(STORE ANG FORWORD)方式外还提供了其它的桥接技术,如直通方式(CUT THROUGH)。标准的以太网交换机在同一个VLAN(虚拟局域网)内所有端口允许广播报文互通。
在以太网交换机工作过程中,通过DHCP协议(动态主机配置协议)提供主机IP地址的动态租用配置、并将其他配置参数分发给合法网络客户端的网络服务协议。DHCP提供了简便的IP网络配置,能避免地址冲突,DHCP使用客户端/服务器模型,通过这种模式,DHCP服务器集中维持网络上使用的IP地址的管理。然后,支持DHCP的客户端就可以向DHCP服务器请求和租用IP地址,作为它们网络启动过程的一部分。DHCP客户端典型作为WINDOWS网络协议的一部分,DHCP协议通过初始化的广播报文来寻找DHCP服务器。
通过NETBIOS和NETBEUI,WINDOWS提供了方便的文件共享功能。NetBIOS为程序提供了请求低级服务的统一的命令集,局域网上的程序可以使用的应用程序编程接口(API)。这些服务是管理名称、执行会话和在网络节点之间发送数据报所要求的。NETBEUI是Microsoft网络的本地网络协议。它通常用于小的、有1到200个客户的部门大小的局域网(LAN)。它是NetBIOS标准的Microsoft实现。NETBEUI通过周期性的广播报文获取网络信息。
但是,共享与安全在一定程度上是相互矛盾的,随着以太局域网从单纯的公司内部网络向开放运营网络的扩展,安全问题变得突出起来。
其典型问题是(1)用户使用DHCP获取IP地址,如果属于同一VLAN内的用户有意或无意启动了DHCP服务器,例如PC机上流行的Wingate软件,由于DHCP协议在2层网络中的广播机制和缺乏鉴权机制的原因,很可能造成局域网用户从错误的DHCP服务器获取错误的IP地址,导致无法正常使用网络;(2)WINDOWS的文件共享机制在带来共享的方便性的同时,也带来了安全性隐患,在写字楼或开放式局域网络环境中,WINDOWS网络协议NETBEUI和NETBIOS的文件夹共享,可能由于用户忘了设置共享密码或密码失窃带来安全问题。例如,有种WINDOWS网络病毒在发作时将WINDOWS所有文件夹设置无密码可读可写共享状态。
目前在现有技术中,有几种解决方法,但都存在不足。采用交换机2层隔离的方式,需要在上层设备进行3层转发,在3层交换机需要支持ARP-Proxy功能;但是,有些L3设备不支持此功能;如果交换机采用VLAN隔离方法,在组播复制时,由于标准的以太网交换机只能在同一VLAN内进行组播报文复制,组播的复制必须放在上层设备,对上层设备的性能和功能造成了额外的影响。
发明内容
本发明的目的就是提供一种在以太网交换机构成的局域网络中增强安全特性的过滤方法,可以有效地防止局域网络中接入用户相互干扰。
一种基于以太网交换机的安全过滤方法,其中将以太网交换机的端口划分为网络侧端口和用户侧端口,并将用户侧端口收到的特定协议报文进行定向转发,以完成安全过滤。
所述的以太网交换机的安全过滤方法,其中进一步包括以下步骤a、确定以太网交换机在虚拟局域网(VLAN)的网络侧端口和用户侧端口;b、由交换机处理CPU(以下简称CPU)对用户侧端口收到的特定协议报文进行定向转发。
所述的以太网交换机的安全过滤方法,还包括步骤a1CPU向交换芯片配置特定报文的过滤规则,控制交换芯片在用户侧端口上把特定协议报文捕获到CPU上。
所述的步骤b,是指CPU配置交换芯片,使其能够将用户侧端口收到的特定协议报文捕获到CPU,然后CPU再通过交换芯片将被捕获的报文从网络侧端口发出。所述的以太网交换机的安全过滤方法,进一步包括以下步骤a、确定以太网交换机在虚拟局域网(VLAN)的网络侧端口和用户侧端口;b、由交换芯片对用户侧端口收到的特性协议报文进行定向转发。
所述的以太网交换机的安全过滤方法,还包括步骤a1CPU按交换芯片的配置要求向交换芯片配置网络侧端口和用户侧端口并启动交换芯片的过滤和定向转发功能。
所述的步骤a中,可以为每一个VLAN确定一个独立的网络侧端口。
所述的步骤b,是指CPU配置交换芯片的用户侧端口和网络侧端口之后,交换芯片自动将用户侧端口收到的特定协议报文定向转发至网络侧端口。
所述的步骤b中,如果存在多个网络侧端口,从中选择激活的并且端口状态为转发状态的端口。
所述的基于以太网交换机的安全过滤方法还包括步骤c、从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
由于采用了本发明的基于以太网交换机的安全过滤方法,在以太网交换机上实现了DHCP,NETBIOS,NETBEUI报文的过滤和定向功能,有效地解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少了管理员维护管理工作量。
图1是本发明的一个流程图;
图2是本发明采用的一个组网图。
具体实施例方式
下面结合说明书附图来说明本发明的具体实施方式
。
如图1所示,是本发明的一个流程图,从图中可以看出,本发明可以包括以下处理过程a、确定以太网交换机在一个VLAN内的网络侧端口和用户侧端口;该步骤中,在每个确定的VLAN都可以有独立的网络侧端口,不同VLAN也可以共享TRUNK端口(同一端口属于多个VLAN)。例如在典型的树型组网企业网应用中,一台以太网交换机有24个10/100M以太网作为用户侧端口划入同一个VLAN,接入用户PC机,1个上行GE口确定为此设备的网络侧端口。
划分网络侧端口后的VLAN内剩余的端口即为用户侧端口。
该步骤中,如果定向转发功能由CPU实现,则CPU需要向交换芯片配置特定报文的过滤规则,控制交换芯片在用户侧端口上把特定协议报文捕获到CPU上。具体来说,就是首先把DHCP,NETBIOS,NETBEUI报文头的特征下发到交换芯片的规则表中,例如DHCP Discover报文头的特征Destination MAC域是ff ffff ff ff ff;Ethertype域是0x0800;IP Protocol域是0x11(UDP);UDP Source port域是0x44;UDP Destination port域是0x43;DHCP Message type域为0x01等等。然后将这些规则的入端口设置为那些用户侧端口,即表示只在用户侧端口上进行报文的匹配,最后将这些规则匹配后的动作设置为“接收到CPU”。这样配置下来,交换芯片就能够在用户侧端口上按照规则表捕获DHCP,NETBIOS,NETBEUI报文并转发到CPU。
该步骤中,如果定向转发功能由交换芯片自动实现,则CPU需要按交换芯片的配置要求做两个设置1)向交换芯片配置网络侧端口和用户侧端口,2)启动交换芯片的过滤和定向转发功能。
具体来说,就是首先把DHCP,NETBIOS,NETBEUI报文头的特征下发到交换芯片的规则表中。然后将这些规则的入端口设置为那些用户侧端口,即表示只在用户侧端口上进行报文的匹配,最后将这些规则匹配后的动作设置为“转发至网络侧端口”。这样配置下来,交换芯片就能够在用户侧端口上按照规则表过滤DHCP,NETBIOS,NETBEUI报文并自动转发到网络侧端口。
b、将用户侧端口收到的特定协议报文定向转发到网络侧端口;该步骤中,如果定向转发功能由CPU实现,则在步骤a的配置下,交换芯片会将所有用户侧端口收到的特定协议报文从交换芯片捕获到CPU,然后CPU再将捕获到的报文通过交换芯片从网络侧端口发出,从而实现定向转发。
该步骤中,如果定向转发功能由交换芯片自动实现,则在步骤a的配置下,交换芯片自动完成特定协议报文从用户侧端口到网络侧端口的定向转发功能,不需要CPU做特别的干预。在此过程中,与前面CPU处理方式的相同的地方是从用户侧端口过滤出特定协议报文都是由交换芯片完成的;不同的地方是定向转发功能是否需要CPU参与,由交换芯片自动完成的定向转发将具有更好的性能。
如果存在多个网络侧端口,从中选择激活的并且端口状态为转发状态的端口。
端口转发状态由生成树协议(spanning tree protocol)确定,生成树协议通常在保护组网时启动。
c、从网络侧端口到用户侧端口的协议报文通过交换芯片发送到相应的用户侧端口;对于从网络侧端口到用户侧端口的协议报文不进行捕获,直接通过交换芯片转发或广播到相应用户侧端口。
如图2所示,是本发明协议过滤技术的典型的组网应用图,可见通过步骤b,可以完成协议的过滤操作。
本发明通过以上处理过程,可以实现以下功能(1)用户侧端口的终端用户即使在WINDOWS操作系统上共享文件夹,所有的用户侧端口用户都不能浏览到用户的共享文件夹,也无法访问;
(2)用户侧端口的终端用户不受用户侧端口用户设置的DHCP服务器影响;(3)用户侧端口的终端用户可以从网络侧DHCP服务器获得IP地址,也可以访问网络侧服务器提供的共享文件夹。
本发明技术在以太网交换机上实现了DHCP,NETBIOS,NETBEUI报文的过滤和定向功能,有效地解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少了管理员维护管理工作量。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭示的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种基于以太网交换机的安全过滤方法,其特征在于将以太网交换机的端口划分为网络侧端口和用户侧端口,并将用户侧端口收到的特定协议报文进行定向转发,以完成安全过滤。
2.如权利要求1所述的以太网交换机的安全过滤方法,其特征在于进一步包括以下步骤a、确定以太网交换机在虚拟局域网(VLAN)的网络侧端口和用户侧端口;b、由交换机处理CPU(以下简称CPU)对用户侧端口收到的特定协议报文进行定向转发。
3.如权利要求2所述的以太网交换机的安全过滤方法,其特征在于还包括步骤a1CPU向交换芯片配置特定报文的过滤规则,控制交换芯片在用户侧端口上把特定协议报文捕获到CPU上。
4.如权利要求2所述的基于以太网交换机的安全过滤方法,其特征在于所述的步骤b,是指CPU配置交换芯片,使其能够将用户侧端口收到的特定协议报文捕获到CPU,然后CPU再通过交换芯片将被捕获的报文从网络侧端口发出。
5.如权利要求1所述的以太网交换机的安全过滤方法,其特征在于进一步包括以下步骤a、确定以太网交换机在虚拟局域网(VLAN)的网络侧端口和用户侧端口;b、由交换芯片对用户侧端口收到的特性协议报文进行定向转发。
6.如权利要求5所述的以太网交换机的安全过滤方法,其特征在于还包括步骤a1CPU按交换芯片的配置要求向交换芯片配置网络侧端口和用户侧端口并启动交换芯片的过滤和定向转发功能。
7.如权利要求2或5所述的基于以太网交换机的安全过滤方法,其特征在于所述的步骤a中,可以为每一个VLAN确定一个独立的网络侧端口。
8.如权利要求5所述的基于以太网交换机的安全过滤方法,其特征在于所述的步骤b,是指CPU配置交换芯片的用户侧端口和网络侧端口之后,交换芯片自动将用户侧端口收到的特定协议报文定向转发至网络侧端口。
9.如权利要求2或5所述的基于以太网交换机的安全过滤方法,其特征在于所述的步骤b中,如果存在多个网络侧端口,从中选择激活的并且端口状态为转发状态的端口。
10.如权利要求2或5所述的基于以太网交换机的安全过滤方法,其特征在于还包括步骤c、从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
全文摘要
本发明涉及一种加强以太网交换机安全特性的过滤方法。一种基于以太网交换机的安全过滤方法,其特征在于将以太网交换机的端口划分为网络侧端口和用户侧端口,并将用户侧端口收到的DHCP,NETBIOS,NETBEUI协议报文进行定向转发,以完成安全过滤。由于采用了本发明的基于以太网交换机的安全过滤方法,在以太网交换机上实现了DHCP,NETBIOS,NETBEUI报文的过滤和定向功能,有效地解决了在以太网交换机构成的局域网中接入用户之间的相互干扰问题,减少了管理员维护管理工作量。
文档编号H04L12/28GK1518289SQ0310065
公开日2004年8月4日 申请日期2003年1月17日 优先权日2003年1月17日
发明者卢瑞昕, 冯磊 申请人:华为技术有限公司