交换机系统的制作方法

文档序号:7900059阅读:214来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:交换机系统的制作方法
技术领域
本发明涉及工业自动化网络技术,尤其涉及一种交换机系统。
背景技术
在工业自动化系统中网络通信的安全性和可靠性直接影响整个工业自动化系统的安全性和可靠性。传统的二层交换机是通过硬件来实现对数据的快速传输的,它在识别数据时只检测数据帧二层封装中MAC地址字段,通过这种对数据包快速检查放行的机制来实现对数据的线速转发,因此只能进行MAC地址的检查过滤,这样的数据报过滤机制不能充分过滤无效的数据包,要实现更高层次的、更充分的数据包的检查过滤,需要使用三层以上交换机。因此,在现有的工业自动化系统的网络结构中,如果采用通过传统的二层交换机将系统中的需要网络通信的设备连接,那么所有的设备的安全级别都是相同的,在这样的系统网络结构中只要网络中的一个节点被病毒感染,整个网络中的节点都存在被感染的可能性,从而影响整个系统的安全可靠运行。本发明就是为了解决上述采用传统二次交换机的网络结构所带来的工业自动化系统中存在的安全隐患,做到部分网络节点被病毒感染或有网络节点故障时,不会影响到整个系统的运行,从而保证整个系统的自动化控制功能的安全可靠,同时不影响利用 Windows共享服务、开放网络的便利性。

发明内容
本发明提供一种交换机系统,要解决的技术问题是如何通过传统二次交换机的网络中实现网络通信的隔离。为了解决上述技术问题,本发明提供如下技术方案一种交换机系统,包括一个或多个交换机,各交换机包括多个端口 ;所述交换机上的端口包括具有过滤功能的端口和没有过滤功能的端口,其中所述具有过滤功能的端口属于安全区,所述没有过滤功能的端口属于开放区,其中安全区的端口之间直接互通。进一步的,所述交换机系统还具有如下特点所述具有过滤功能的端口采用如下条件中的任一或至少两个对报文进行过滤,包括仅允许指定大小的ping包通过;仅允许非IP报文中的地址解析协议(ARP)帧、确定性实时以太网协议(DNet)帧、 环回检测数据帧、快速生成树协议(RSTP)帧以及网桥协议数据单元(BPDU)帧通过;仅允许指定格式的IP报文通过。进一步的,所述交换机系统还具有如下特点如果交换机系统包括多个交换机时, 位于不同交换机上的开放区之间仅通过安全区互通。进一步的,所述交换机系统还具有如下特点安全区的端口之间直接互通是通过如下方式实现的一交换机上的安全区的端口中任意一个端口与相邻的另一交换机上安全区的任
3意一端口相连互通。进一步的,所述交换机系统还具有如下特点位于不同交换机上的开放区之间仅通过安全区互通是通过如下方式实现的安全区的端口接收一个交换机上开放区端口发送给另一交换机上开放区端口的报文,并对所述报文进行过滤,在过滤完成后,发起转发该报文到所述另一交换机上开放区端口的流程。进一步的,所述交换机系统还具有如下特点当所述一台交换机或多台交换机中任一交换机上同时有开放区的端口和安全区的端口时,该交换机上的所述开放区端口和安全区端口分别属于不同的虚拟局域网,且该交换机上开放区的端口中任意一个端口和安全区的端口中任意一个端口均为指定端口,所述不同虚拟局域网之间仅通过所述指定端口进行通信。进一步的,所述交换机系统还具有如下特点所述不同虚拟局域网之间仅通过所述指定端口进行通信是通过如下方式实现的将所述不同虚拟局域网中的所述指定端口短接相连。进一步的,所述交换机系统还具有如下特点所述交换机为二层交换机。与现有技术相比,二层交换机的端口分为具有过滤功能的端口和没有过滤功能的端口,且具有过滤功能的端口属于安全区,在交换机内部进行了划分,使得安全区能够自由进入开放区,而开放区不能随意进入安全区,隔离了开放区中报文的进入,达到了网络隔离的目的。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。


附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。在附图中图1为本发明实施例一提供的交换机系统的示意图;图2为图1所示的交换机内部端口连接示意图;图3为本发明实施例二提供的交换机系统的示意图;图4为本发明实施例三提供的交换机系统的示意图;图5为图4所示交换机系统中交换机1中端口的连接关系示意图。图6为本发明实施例四提供的交换机系统的示意图;图7为图6所示交换机系统中交换机1中端口的连接关系示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。首先,如果不冲突,本发明实施例以及实施例中的各个特征在不相冲突前提下的相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。需要明确的是,下文所说的交换机均为二层交换机。本发明提供一种交换机系统,包括一个或多个交换机,各交换机包括多个端口 ;所述多个交换机上的端口包括具有过滤功能的端口和没有过滤功能的端口,其中所述具有过滤功能的端口属于安全区,所述没有过滤功能的端口属于开放区,其中安全区的端口之间直接互通。其中,直接互通是指无需对报文进行过滤操作,直接发送该报文。由于安全区的安全级别要高于开放区的安全级别,因此所述安全区的端口与安全等级高的设备相连,所述开放区的设备与安全等级低的设备相连。其中开放区中设备可以使用网络打印、Windows共享服务等功能,同时所有网络报文都可以在开放区中传输;在安全区中的节点禁止使用网络打印、Windows共享服务,同时只允许工业自动化系统中通信所必需的网络报文在安全中传输。其中端口是否具有过滤功能可以由用户进行配置,如使用交换机的交互界面完成。其中,所述具有过滤功能的端口采用如下条件中的任一或至少两个对报文进行过滤,包括仅允许指定大小的ping包通过;仅允许非IP报文中的地址解析协议(Address Resolution Protocol, ARP) 帧、确定性实时以太网协议(Deterministic Real-Time Ethernet, DNet)帧、环回检测 (looptback test)数据帧、快速生成树协议(Rapid Spanning-Tree Protocol)帧以及网桥协议数据单元(Bridge Protocol Data Unit, BPDU)帧通过;仅允许指定格式的IP报文通过。下面对具有过滤功能的端口实施上述条件的方式作以简单说明对于ping包的过滤,获取ping包的大小条件,在接收到ping包后,如果ping包的大小满足该条件满足,则进行发送操作,否则,丢弃该报文;而对于非IP报文的过滤,可以记录所有允许通过的非IP报文的特征信息,如报文的格式信息等,在接收到非IP报文后,识别该非IP报文,得到该非IP报文的特征信息,如果该报文的格式信息与已记录的非IP报文的特征信息中的一种报文的特征信息一致,则进行发送操作;否则,丢弃该报文;对于IP报文的过滤,获取允许通过的IP报文的格式,在接收到IP报文后,如果接收的报文的格式符合已获取的允许通过的IP报文的格式,则进行发送操作,否则,丢弃该报文。由上可知,与现有技术中二层交换机只进行MAC地址的检查过滤相比,此处具有过滤功能的端口还进行应用层的报文进行检查和过滤,过滤条件较现有技术更苛刻,提高了安全区的安全检测层次。下面分别介绍交换机系统中有一台交换机和多台交换机时的情况。实施例一首先对交换机系统就有一台交换机的情况进行介绍
5
图1为本发明提供的交换机系统的示意图。具体来说,一台交换机上的端口可以划分成两类,一类为具有过滤功能的端口,即安全区的端口,另一类端口为没有过滤功能的端口,即开放区的端口。例如,交换机上有M个端口,可以配置端口 1 12属于开放区,端口 13 M属于安全区。由于开放区的端口和安全区的端口是在同一台交换机上,所以任意两个端口之间均可以通信,即开放区的端口之间、安全区端口之间以及开放区和安全区端口之间,其中开放区的端口之间直接互通,安全区的端口之间也直接互通,而开放区的端口的报文要进入安全区的端口时,由于安全区的端口均有过滤功能,所以会对开放区的报文进行过滤,隔离了开放区中报文的流入,相反,如果安全区的端口报文进入开放区的端口时,可以随便进入。但是在实际应用中,发明人发现当报文在同一台交换机进行传输时,会发生开放区的端口的报文通过背板总线传输到该交换机的安全区的端口的情况,由于是通过交换机内部总线系统进行传输的,不是端口之间的传输,所以安全区的端口就没有进行过滤,一旦通过总线传输的报文存在安全风险就会影响安全区的安全,所以为此提供了如下方案,包括划分交换机上的所述开放区端口和安全区端口分别属于不同的虚拟局域网,且该交换机上开放区的端口中任意一个端口和安全区的端口中任意一个端口均为指定端口,所述不同虚拟局域网之间仅通过所述指定端口进行通信。图1中的交换机,在配置端口 1 12属于开放区,端口 13 24属于安全区的前提下,划分端口 1 12属于虚拟局域网1,端口 13 14属于虚拟局域网2,由于开放区的端口和安全区的端口分别属于不同的虚拟局域网,所以开放区的端口不能通过背板总线与安全区的端口进行通信,有效避免了通过背板总线将非安全报文传输到安全区的可能,而为了使这两个虚拟专用网能够通信,可以分别从端口 1 12和端口 13 M中均任意选择一个端口为指定端口,如端口 1和端口 24,将端口 1和端口对进行短接,如图2所示。这样两虚拟局域网就可通过该指定端口的短接线路进行互通。一方面,保证了该台交换机上开放区能通过该台交换机的安全区与外部进行通信;而另一方面,由于两个虚拟局域网之间是通过端口进行通信的,所以该交换机上安全区的指定端口在收到同一台交换机上开放区的指定端口的报文时就会进行报文过滤操作。由于进行了过滤操作,所以保证了安全区的运行安全。一个交换机内部实现安全区和开放区的意义在于,配置灵活、节约成本,可以充分利用交换机的所有端口,主要体现在以下两点1、当现场设备较少时,如一个交换机就能连接所有设备的情况,一旦这些设备有两个安全级别,如果没有交换机内部不能划分安全区和开放区的端口划分,就需要两个交换机,即一个交换机专门连低安全级别的设备,另一个安全级别的设备,造成了硬件资源的浪费。2、在现场应用过程中如果一台交换机上连接了低安全级别的设备后,如果该交换机上还剩余了其他端口,由于交换机进行了开放区和安全区的端口的划分,所以剩余的端口可以提供给高安全级别的设备使用,这样的灵活配置可以充分利用交换机的端口。下面再对交换机系统包括多台交换机的情况进行介绍
实施例二 交换机系统包括多台交换机,如3台,或更多,每台交换机上只有一个区,即安全区或开放区。图3为本发明实施例二提供的交换机系统的示意图。图3所示交换机系统中交换机系统包括3台交换机,其中交换机1,2两台上的端口均为安全区的端口,交换机3的端口均为开放区的端口。其中安全区的端口之间直接互通是通过如下方式实现的一交换机上的安全区的端口中任意一个端口与相邻的另一交换机上安全区的任意一端口相连互通。在本实施例中,任意选择交换机1上的一个端口,任意选择交换机2上的一个端口,连接上述两个所选择的端口,使该两台交换机上的安全区之间可以直接互通,并对剩余一台交换机上端口发送的报文进行过滤操作,达到隔离开放区中报文的流入。实施例三交换机系统包括多台交换机,每台交换机上同时有安全区和开放区。图4为本发明实施例三提供的交换机系统的示意图。图4所示交换机系统中,包括两台交换机,当然也可以包括三台,或更多,交换机1和交换机2,其中交换机1中端口 1 12属于开放区,端口 13 M属于安全区,交换机2中端口 1 12属于开放区,端口 13 24属于安全区,交换机1上的安全区与交换机2上的安全区直接互通,交换机1和交换机2 上的开放区仅通过安全区互通。即交换机1和交换机2上开放区仅通过交换机1和交换机 2中至少一个的安全区互通,如交换机1的开放区可以将报文发给交换机1上的安全区,再由交换机1的安全区直接发送给交换机2的开放区,或由交换机2的安全区发送给交换机 2的开放区。由此可以使得,当开放区的报文要进入安全区时,因为在报文进入时会进行检查过滤,所以开放区报文不能随意进入安全区;当安全区的报文要进入开放区时,因为报文在进入开放区时不会进行检查过滤,因此安全区报文可以随意进入开放区。图5为图4所示交换机系统中交换机1中端口的连接关系示意图。图5所示交换机1中端口 1 12属于开放区,端口 13 M属于安全区为例进行说明,划分端口 1 12属于虚拟局域网1,端口 13 M属于虚拟局域网2,由于开放区的端口和安全区的端口分别属于不同的虚拟局域网,所以开放区的端口不能通过背板总线与安全区的端口进行通信,有效避免了通过背板总线将非安全报文传输到安全区的可能,而为了使这两个虚拟专用网能够通信,可以分别从端口 1 12和端口 13 M均任意选择一个端口为指定端口, 如端口 1和端口 24,对端口 1和端口 M进行短接,两虚拟局域网仅通过该指定端口进行互通。一方面,保证了该台交换机上开放区能通过该台交换机的安全区与外部进行通信;而另一方面,由于两个虚拟局域网之间是通过端口进行通信的,所以该交换机上安全区的指定端口在收到同一台交换机上开放区的指定端口的报文时会进行报文过滤操作。由于进行了过滤操作,所以保证了安全区的运行安全。交换机2中端口的划分和连接关系与交换机1类似,在此不再赘述。其中,所述安全区之间的端口直接互通是通过如下方式实现的一交换机上的安全区的端口中任意一个端口与相邻的另一交换机上安全区的任意一端口相连互通。如上例中,交换机1和交换机2中的端口 13 M均为安全区的端口,可以从每个交换机上端口 13 M中均随机选一个端口,使不同交换机上的安全区之间通过被选出的端口进行连接互通,如均选择两交换机上的端口 13,使得交换机1和2上的安全区的端口之间通过交换机1上安全区的端口 13和交换机2上安全区的端口 13连接互通。其中,位于不同交换机上的开放区之间仅通过安全区互通是通过如下方式实现的安全区的端口接收一个交换机上开放区端口发送给另一交换机上开放区端口的报文,并对所述报文进行过滤,在过滤完成后,发起转发该报文到所述另一交换机上开放区端口的流程。当然,安全区的端口接收开放区向安全区发送的报文后,对所述报文进行过滤,在过滤完成后,发送该报文。实施例四交换机系统包括多台O到N)交换机,其中部分交换机只有一个区,部分同时有安全区和开放区,其中N为整数。图6为本发明实施例六提供的交换机系统示意图。图6所示包括多台O到N)交换机,其中交换机1上设置端口 1-13为开放区端口,14-24为安全区端口,交换机2上设置端口 1-12为开放区端口,13-24为安全区端口。交换机3的端口全部设置为安全区端口,交换机4的端口全部设置为开放区端口,交换机N的端口全部设置为开放区端口。图中省略了交换机N前面的交换机,交换机4与交换机N之间的任意一台交换机的端口可以根据实际需要进行设置,可以在一台交换机上同时设置有安全区和开放区,也可以只设置安全区或开放区。图6中所示的交换机1上的安全区与其相邻的交换机2上的安全区直接互通, 交换机1和交换机2上的开放区仅通过安全区互通。即交换机1和交换机2上开放区仅通过交换机1和交换机2中至少一个的安全区互通,如交换机1的开放区可以将报文发给交换机1上的安全区,再由交换机1的安全区直接发送给交换机2的开放区,或由交换机2的安全区发送给交换机2的开放区。交换机2上的安全区与交换机3上的安全区直接互通, 交换机2和交换机4上的开放区仅通过交换机3上的安全区互通。其中对交换机的端口的划分可以是平分,参见实施例一,也可以不做平分。例如, 图6所示的交换机1,设置端口 1-13为开放区端口,设置端口 14-M为安全区端口 ;交换机 2中设置端口 1-12为开放区端口,设置13 M为安全区的端口。可以从交换机1上端口的14- 中随机选一个端口,从交换机13- 中随机选一个端口,将所选择的端口进行连接互通,从而使交换机1的安全区和交换机2的安全区直接互通。图6所示的交换机3全部端口都设置为安全区端口,可以从交换机2上端口的 13 M中随机选一个端口,从交换机3的端口 I-M中随机选一个端口,将所选择的端口进行连接互通,从而使交换机2的安全区和交换机3的安全区直接互通。在实际应用中,当一个交换机上同时有开放区的端口和安全区的端口的情况,发明人发现当报文在同一台交换机进行传输时,会发生开放区的端口的报文通过背板总线传输到该交换机的安全区的端口的情况,由于是通过交换机内部总线系统进行传输的,不是端口之间的传输,所以安全区的端口没有进行过滤,一旦通过总线传输的报文存在安全风险就会影响安全区的安全,所以为此提供了一优选方案,具体如下当所述多台交换机中任一交换机上同时有开放区的端口和安全区的端口时,则划分交换机上的所述开放区端口和安全区端口分别属于不同的虚拟局域网,且从该交换机上开放区的端口和安全区的端口中均任意选择一端口为指定端口,所述不同虚拟局域网之间仅通过所述指定端口进行通信。图7为图6所示交换机系统中交换机1中端口的连接关系示意图。图7所示交换机1中端口 1 13属于开放区,端口 14 M属于安全区为例进行说明,则划分端口 1 12属于虚拟局域网1,端口 14 M属于虚拟局域网2,由于开放区的端口和安全区的端口分别属于不同的虚拟局域网,所以开放区的端口不能通过背板总线与安全区的端口进行通信,有效避免了通过背板总线将非安全报文传输到安全区的可能,而为了使这两个虚拟专用网能够通信,可以分别从端口 1 13和端口 14 M均任意选择一个端口为指定端口, 如端口 3和端口 24,对端口 3和端口 M进行短接,两虚拟局域网仅通过该指定端口进行互通。一方面,保证了该台交换机上开放区能通过该台交换机的安全区与外部进行通信;而另一方面,由于两个虚拟局域网之间是通过端口进行通信的,所以该交换机上安全区的指定端口在收到同一台交换机上开放区的指定端口的报文时会进行报文过滤操作。由于进行了过滤操作,所以保证了安全区的运行安全。在交换机系统中,一旦某台交换机的开放区出现安全风险,由于安全区的端口具有过滤功能,所以该台交换机以及其他交换机上的安全区均不会发生安全风险,由于其他交换机上的开放区是通过安全区与该发生安全风险交换机的开放区通信的,所以该安全风险也不能借由安全区扩散到其他交换机上的开放区是,所以其他交换机上的开放区也是安全的,所以安全问题被隔离在一台交换机上的开放区,不能扩散到网络的其他区域,有效控制了安全风险的波及范围,使得在部分网络节点被病毒感染或有网络节点故障时不会影响整个系统的运行。与现有技术相比,二层交换机的端口分为具有过滤功能的端口和没有过滤功能的端口,且具有过滤功能的端口属于安全区,在交换机内部进行了划分,使得安全区能够自由进入开放区,而开放区不能随意进入安全区,隔离了开放区中报文的进入,达到了网络隔离的目的。本领域的技术人员应该明白,上述的本发明实施例所提供的装置和/或系统的各组成部分,以及方法中的各步骤,可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化, 但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
1.一种交换机系统,包括一个或多个交换机,各交换机包括多个端口 ;其特征在于,所述交换机上的端口包括具有过滤功能的端口和没有过滤功能的端口,其中所述具有过滤功能的端口属于安全区,所述没有过滤功能的端口属于开放区,其中安全区的端口之间直接互通。
2.根据权利要求1所述的系统,其特征在于,所述具有过滤功能的端口采用如下条件中的任一或至少两个对报文进行过滤,包括仅允许指定大小的Ping包通过;仅允许非IP报文中的地址解析协议(ARP)帧、确定性实时以太网协议(DNet)帧、环回检测数据帧、快速生成树协议(RSTP)帧以及网桥协议数据单元(BPDU)帧通过;仅允许指定格式的IP报文通过。
3.根据权利要求1所述的系统,其特征在于,如果交换机系统包括多个交换机时,位于不同交换机上的开放区之间仅通过安全区互通。
4.根据权利要求3所述的系统,其特征在于,安全区的端口之间直接互通是通过如下方式实现的一交换机上的安全区的端口中任意一个端口与相邻的另一交换机上安全区的任意一端口相连互通。
5.根据权利要求3所述的系统,其特征在于,位于不同交换机上的开放区之间仅通过安全区互通是通过如下方式实现的安全区的端口接收一个交换机上开放区端口发送给另一交换机上开放区端口的报文, 并对所述报文进行过滤,在过滤完成后,发起转发该报文到所述另一交换机上开放区端口的流程。
6.根据权利要求1所述的系统,其特征在于当所述一台交换机或多台交换机中任一交换机上同时有开放区的端口和安全区的端口时,该交换机上的所述开放区端口和安全区端口分别属于不同的虚拟局域网,且该交换机上开放区的端口中任意一个端口和安全区的端口中任意一个端口均为指定端口,所述不同虚拟局域网之间仅通过所述指定端口进行通信。
7.根据权利要求6所述的系统,其特征在于,所述不同虚拟局域网之间仅通过所述指定端口进行通信是通过如下方式实现的将所述不同虚拟局域网中的所述指定端口短接相连。
8.根据权利要求1至7任一所述的系统,其特征在于,所述交换机为二层交换机。
全文摘要
本发明公开了一种一个或多个交换机,各交换机包括多个端口;所述交换机上的端口包括具有过滤功能的端口和没有过滤功能的端口,其中所述具有过滤功能的端口属于安全区,所述没有过滤功能的端口属于开放区,其中安全区的端口之间直接互通。
文档编号H04L12/04GK102316031SQ20111025991
公开日2012年1月11日 申请日期2011年9月5日 优先权日2011年9月5日
发明者方垒 申请人:西安和利时系统工程有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:方垒
  • 技术所有人:西安和利时系统工程有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2