专利名称:一种保护交换链路安全的方法及网络交换机的制作方法
技术领域:
本发明涉及网络交换技术,尤其涉及一种保护交换链路安全的方法及网络交换机。
背景技术:
随着网络的普及,网络交换技术也随之迅速发展。高端网络交换机为网络的核心设备,运营商利用网络交换机,可以为特定客户提供个性化服务,比如,银行对数据交换的安全性要求很高,运营商就需要为银行的客户提供高安全性的服务。网络交换机提供安全性的服务时,非常重要的一点是要防止网络交换机之间插入恶意获取数据的设备,一旦网络交换机之间插入获取数据的恶意中间设备,就会导致银行客户的重要信息泄露,从而威胁到交换链路的安全性。可见,现有的网络交换机,还不能检测并避开恶意中间设备,进而不能满足保证交换链路安全性的要求。
发明内容
有鉴于此,本发明的目的在于提供一种保护交换链路安全的方法及网络交换机, 能检测并避开恶意中间设备,进而保证交换链路的安全性。为达到上述目的,本发明的技术方案是这样实现的本发明提供了一种保护交换链路安全的方法,该方法包括网络交换机在进入调制模式后,向相邻处于解调模式的网络交换机周期性发出检测报文;所述网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后,确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限时,切断与所述相邻处于调制模式的网络交换机的链路。上述方案中,所述发出检测报文之前,该方法还包括网络交换机先根据预设的格式产生报文,再根据调制规则对报文进行调制后,得到最终的检测报文。上述方案中,所述预设的格式为报文的目的介质访问控制(MAC,Media Access Control)地址设定为010203040506,以太网类型设定为OxFFEE,源MAC地址为本网络交换机的MAC地址,报文数据字段的标识设定为0x12345678,报文数据字段的其他字节不限定, 循环冗余校验码(CRC,Cyclic Redundancy Check)根据报文计算得出,报文的长度为64个字节。上述方案中,所述调制规则为CRC取反,源MAC地址第一字节的最后一位设为1, 从报文数据字段的后端删减指定数量的报文数据字段的其他字节。上述方案中,所述确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限之前,该方法还包括网络交换机先根据解调规则还原报文,再利用预设的条件判断还原的报文是否为正确的检测报文。上述方案中,所述解调规则为报文的源MAC地址第一字节的最后一位设为0,对CRC取反,将报文补充为64字节。上述方案中,所述预设的条件包括报文的目的MAC地址为010203040506,以太网类型为OxFFEE,计算报文的CRC与报文中的CRC —致。本发明还提供了一种网络交换机,该网络交换机包括控制管理模块、调制解调模块和连接收发模块;其中,控制管理模块,用于在进入调制模式后,通知调制解调模块发送检测报文,还用于在进入解调模式后,确认未收到正确检测报文的时长超过断路门限时,向连接收发模块发出切断当前链路的指令;调制解调模块,用于接收控制模块发来的发送检测报文的通知,将检测报文周期性发送给连接收发模块;连接收发模块,用于接收控制管理模块发来的检测报文,向相邻的处于解调模式的网络交换机发送检测报文,还用于接收控制管理模块发来的切断当前链路的指令,切断当前与相邻的处于调制模式的网络交换机的链路。上述方案中,所述控制管理模块,具体用于进入调制模式后,根据预设的格式产生报文,再将产生的报文发送给调制解调模块;相应的,所述调制解调模块,具体用于接收到控制管理模块发来的报文,根据调制规则对报文进行调制得到最终的检测报文。上述方案中,所述控制管理模块,具体用于根据预设的格式将报文的目的MAC地址设定为010203040506,以太网类型设定为OxFFEE,源MAC地址为本网络交换机的MAC地址,报文数据字段的标识设定为0x12345678,报文数据字段的其他字节不限定,CRC根据报文计算得出,报文的长度为64个字节。上述方案中,所述调制解调模块,具体用于根据调制规则对报文CRC取反,将报文的源MAC地址第一字节的最后一位设为1,且从报文数据字段的后端删减指定数量的报文数据字段的其他字节,最终得到检测报文。上述方案中,所述调制解调模块,具体用于进入解调模式后,根据解调规则对网络信息中的报文进行还原,再将还原的报文发送给控制管理模块;相应的,所述控制管理模块,具体用于接收调制解调模块发来的还原的报文,利用预设的条件判断还原的报文是否为正确的检测报文。上述方案中,所述调制解调模块,具体用于按照解调规则将报文的源MAC地址第一字节的最后一位设为0,对CRC取反,将报文补充为64字节。上述方案中,所述控制管理模块,具体用于保存预设的条件报文的目的MAC地址为010203040506,以太网类型为OxFFEE,且计算报文的CRC与报文中的CRC —致。本发明所提供的保护交换链路安全的方法及网络交换机,具有以下的优点和特点在相邻的两台网络交换机中,分别预设调制规则及解调规则,产生只有这两台网络交换机才能够调制及解调的检测报文,根据未收到正确检测报文的时长来判断是否有恶意中间设备的接入,一旦发现有恶意中间设备接入交换链路,就切断原有链路使用保护链路,如此,即可检测并避开恶意中间设备,进而保证交换链路的安全性。
图1为本发明保护交换链路安全的方法流程示意图;图2为本发明实现保护交换链路安全的网络交换机的组成结构示意图。
具体实施例方式本发明的基本思想是网络交换机在进入调制模式后,向相邻处于解调模式的网络交换机周期性的发出检测报文;该网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后,确认未收到相邻网络交换机发来的正确检测报文的时长超过断路门限时,切断与相邻处于调制模式的网络交换机的链路。这里,所述断路门限为网络交换机根据实际应用情况预设的时长,比如可以将断路门限设为3秒。下面结合附图及具体实施例对本发明再作进一步详细的说明。本发明提出的保护交换链路安全的方法如图1所示,包括以下步骤步骤101 网络交换机判断自身进入调制模式还是解调模式,如果进入调制模式, 则执行步骤102 ;如果进入解调模式,则执行步骤104。步骤101之前,网络交换机需要开启链路保护功能。步骤101中的网络交换机,针对不同的相邻网络交换机也可以同时进入调制模式和解调模式,这种情况下,网络交换机同时执行步骤102和步骤104。步骤102 网络交换机产生检测报文。这里,所述产生检测报文为先根据预设的格式产生报文,再根据调制规则对报文进行调制后,得到最终的检测报文;其中,所述预设的格式包括报文的MAC地址设定为010203040506,以太网类型设定为OxFFEE,源MAC地址为本网络交换机的MAC地址,报文数据字段的标识设定为 0x12345678,报文数据字段的其他字节不限定,CRC根据报文计算得出,报文的长度为64个字节;所述报文数据字段的标识为报文数据字段的前四个字节;所述报文数据字段的其他字节,具体内容由操作人员来设定,处于调制模式的网络交换机、和与其相配的处于解调模式的网络交换机中的报文数据字段的其他字节内容预置为一致;所述调制规则为对CRC取反,源MAC地址第一字节的最后一位设为1,从报文数据字段的后端删减指定数量的报文数据字段的其他字节;所述删减指定数量的报文数据字段的其他字节,具体为根据实际情况进行设置, 比如可以删除报文数据字段的最后8个字节,将最终生成的报文修改为长度为56个字节的检测报文。步骤103 网络交换机周期性给相邻网络交换机发送检测报文,结束操作。这里,所述周期性指预置的一个时长,比如,可以将周期预置为1秒,该时长可根据需要任意设置。步骤104 网络交换机实时接收网络信息,判断网络信息中是否有正确的检测报文,如果有正确的检测报文,则重复执行步骤104 ;否则执行步骤105。这里,所述判断网络信息中是否有正确的检测报文为先根据解调规则还原报文, 再利用预设的条件判断还原的报文是否为正确的检测报文;所述解调规则包括报文的源MAC地址第一字节的最后一位设为0,对CRC取反,将报文补充为64字节;其中,所述将报文补充为64字节为根据预置的报文数据字段的其他字节的内容,将接收到的报文数据字段所缺少的字节在数据字段的后端进行补充,比如, 接收到的报文为56字节,就从预置的保温数据字段的其他字节的内容中提取后8个字节, 补充到实际接收到的报文数据字段的末端;所述预设的条件包括报文的目的MAC地址为010203040506,以太网类型为 OxFFEE,计算报文的CRC与报文中的CRC —致。步骤105 网络交换机判断未收到正确检测报文的时长是否超过断路门限,如果超过,则切断与相邻网络交换机的链路,将链路调整到保护链路上;否则返回执行步骤 104。这里,所述判断未收到正确检测报文的时长指网络交换机在每次接收到正确的检测报文后开启计时器,再次接收到正确的检测报文后重置计时器,通过判断计时器的计时时长来进行是否断路的判断;所述保护链路指在网络交换机接入网络时,利用已有技术获取并保存的一条备用链路的路径信息记录。可见,通过以上步骤,可以实现在任意相邻的两台网络交换机中,分别预设调制规则及解调规则,产生只有这两台网络交换机才可以解调的检测报文,利用检测报文来检测是否有恶意中间设备,如果有则立即开启保护链路。另外,在上述步骤103的操作过程中,会根据实际情况关闭网络交换机的调制模式,如果操作人员关闭调制模式,则网络交换机返回步骤101,否则重复执行步骤103 ;步骤104的操作过程中,会根据实际情况关闭网络交换机的解调模式,如果操作人员关闭解调模式,则网络交换机返回步骤101,否则重复执行步骤104。上述步骤中,如果步骤104中网络交换机切换到保护链路,则说明与相邻网络交换机的链路上存在恶意中间设备截获了报文,由网络维护人员进行排查后将恶意中间设备从网络交换机所在链路断开,则原调制模式中的网络交换机与其相邻的解调模式中的网络交换机的链路恢复连接状态,所以在步骤104完成后,网络交换机仍然实时判断接收的网络信息中是否有正确的检测报文,一旦有,则返回步骤104,否则继续使用保护链路进行信息传输。为了实现上述保护交换链路安全的方法,如图2所示,本发明还提供了一种网络交换机,包括控制管理模块21、调制解调模块22和连接收发模块23 ;其中,控制管理模块21,用于在进入调制模式后,通知调制解调模块22发送检测报文, 还用于在进入解调模式后,当确认未收到正确检测报文的时长超过断路门限时,向连接收发模块23发出切断当前链路的指令;调制解调模块22,用于接收控制模块发来的发送检测报文的通知,将检测报文发送给连接收发模块23 ;连接收发模块23,用于接收控制管理模块21发来的检测报文,向相邻的处于解调模式的网络交换机周期性的发送检测报文,还用于接收控制管理模块21发来的切断当前链路的指令,切断当前与相邻的处于调制模式的网络交换机的链路。所述控制管理模块21,还用于在开启链路保护功能后,判断进入调制模式还是解调模式,当进入调制模式后,通知调制解调模块22进入调制模式,当进入解调模式后,通知调制解调模块22进入解调模式;相应的,所述调制解调模块22,还用于接收控制管理模块21发来的进入调制模式的通知或进入解调模式的通知。所述控制管理模块21,具体用于进入调制模式后,根据预设的格式产生报文,再将产生的报文发送给调制解调模块22 ;相应的,所述调制解调模块22,具体用于接收到控制管理模块21发来的报文,根据调制规则对报文进行调制得到最终的检测报文。所述控制管理模块21,具体用于根据预设的格式将报文的目的MAC地址设定为 010203040506,以太网类型设定为OxFFEE,源MAC地址为本网络交换机的MAC地址,报文数据字段的标识设定为0x12345678,报文数据字段的其他字节不限定,CRC根据报文计算得出,报文的长度为64个字节。所述调制解调模块22,具体用于根据调制规则对报文CRC取反,将报文的源MAC地址第一字节的最后一位设为1,且从报文数据字段的后端删减指定数量的报文数据字段的其他字节,最终得到检测报文。所述调制解调模块22,具体用于进入解调模式后,接收连接收发模块23发来的网络信息,根据解调规则对网络信息中的报文进行还原,再将还原的报文发送给控制管理模块21 ;相应的,所述控制管理模块21,具体用于接收调制解调模块22发来的还原的报文,利用预设的条件判断还原的报文是否为正确的检测报文;所述连接收发模块23,具体用于将网络信息发送给调制解调模块22。所述调制解调模块22,具体用于按照解调规则将报文的源MAC地址第一字节的最后一位设为0,对CRC取反,将报文补充为64字节。所述控制管理模块21,具体用于判断还原的报文是否符合预设的条件定义的报文的目的MAC地址为010203040506,以太网类型为OxFFEE,且计算报文的CRC与报文中的CRC 一致,如果符合这三个条件则说明还原的报文为正确的检测报文,否则为不正确的检测报文。所述控制管理模块21,具体用于在每次接收到正确的检测报文后开启计时器,再次接收到正确的检测报文后重置计时器,通过判断计时器的及时时长来判断未收到正确检测报文的时长是否超过断路门限,如果超过,则向连接收发模块23发出切断当前链路的指令并通知连接收发模块23将连接链路调整到保护链路,否则继续判断网络信息中是否有正确的检测报文;相应的,所述连接收发模块23,具体用于接收控制管理模块21发来的切断当前链路的指令和将连接链路调整到保护链路通知后,切断当前与相邻的处于调制模式的网络交换机的链路,并将链路调整到保护链路。所述控制管理模块21,可以根据设置从调制模式进入解调模式,或从解调模式进入调制模块,也可以同时进入调制模式及解调模式。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种保护交换链路安全的方法,其特征在于,该方法包括网络交换机在进入调制模式后,向相邻处于解调模式的网络交换机周期性发出检测报文;所述网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后,确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限时,切断与所述相邻处于调制模式的网络交换机的链路。
2.根据权利要求1所述的方法,其特征在于,所述发出检测报文之前,该方法还包括 网络交换机先根据预设的格式产生报文,再根据调制规则对报文进行调制后,得到最终的检测报文。
3.根据权利要求2所述的方法,其特征在于,所述预设的格式为报文的目的介质访问控制MAC地址设定为010203040506,以太网类型设定为OxFFEE,源MAC地址为本网络交换机的MAC地址,报文数据字段的标识设定为0x12345678,报文数据字段的其他字节不限定, 循环冗余校验码CRC根据报文计算得出,报文的长度为64个字节。
4.根据权利要求2所述的方法,其特征在于,所述调制规则为CRC取反,源MAC地址第一字节的最后一位设为1,从报文数据字段的后端删减指定数量的报文数据字段的其他字节。
5.根据权利要求1所述的方法,其特征在于,所述确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限之前,该方法还包括网络交换机先根据解调规则还原报文,再利用预设的条件判断还原的报文是否为正确的检测报文。
6.根据权利要求5所述的方法,其特征在于,所述解调规则为报文的源MAC地址第一字节的最后一位设为0,对CRC取反,将报文补充为64字节。
7.根据权利要求5所述的方法,其特征在于,所述预设的条件包括报文的目的MAC地址为010203040506,以太网类型为OxFFEE,计算报文的CRC与报文中的CRC —致。
8.—种网络交换机,其特征在于,该网络交换机包括控制管理模块、调制解调模块和连接收发模块;其中,控制管理模块,用于在进入调制模式后,通知调制解调模块发送检测报文,还用于在进入解调模式后,确认未收到正确检测报文的时长超过断路门限时,向连接收发模块发出切断当前链路的指令;调制解调模块,用于接收控制模块发来的发送检测报文的通知,将检测报文周期性发送给连接收发模块;连接收发模块,用于接收控制管理模块发来的检测报文,向相邻的处于解调模式的网络交换机发送检测报文,还用于接收控制管理模块发来的切断当前链路的指令,切断当前与相邻的处于调制模式的网络交换机的链路。
9.根据权利要求8所述的网络交换机,其特征在于,所述控制管理模块,具体用于进入调制模式后,根据预设的格式产生报文,再将产生的报文发送给调制解调模块;相应的,所述调制解调模块,具体用于接收到控制管理模块发来的报文,根据调制规则对报文进行调制得到最终的检测报文。
10.根据权利要求9所述的网络交换机,其特征在于,所述控制管理模块,具体用于根据预设的格式将报文的目的MAC地址设定为·010203040506,以太网类型设定为OxFFEE,源MAC地址为本网络交换机的MAC地址,报文数据字段的标识设定为0x12345678,报文数据字段的其他字节不限定,CRC根据报文计算得出,报文的长度为64个字节。
11.根据权利要求9所述的网络交换机,其特征在于,所述调制解调模块,具体用于根据调制规则对报文CRC取反,将报文的源MAC地址第一字节的最后一位设为1,且从报文数据字段的后端删减指定数量的报文数据字段的其他字节,最终得到检测报文。
12.根据权利要求8所述的网络交换机,其特征在于,所述调制解调模块,具体用于进入解调模式后,根据解调规则对网络信息中的报文进行还原,再将还原的报文发送给控制管理模块;相应的,所述控制管理模块,具体用于接收调制解调模块发来的还原的报文,利用预设的条件判断还原的报文是否为正确的检测报文。
13.根据权利要求12所述的网络交换机,其特征在于,所述调制解调模块,具体用于按照解调规则将报文的源MAC地址第一字节的最后一位设为0,对CRC取反,将报文补充为64字节。
14.根据权利要求12所述的网络交换机,其特征在于,所述控制管理模块,具体用于保存预设的条件报文的目的MAC地址为010203040506, 以太网类型为OxFFEE,且计算报文的CRC与报文中的CRC —致。
全文摘要
本发明公开了一种保护交换链路安全的方法,包括网络交换机在进入调制模式后,向相邻处于解调模式的网络交换机周期性的发出检测报文;该网络交换机在进入解调模式后,当确认未收到正确检测报文的时长超过断路门限时,切断当前与相邻的处于调制模式的网络交换机的链路。本发明还同时公开了一种网络交换机,采用本发明能检测并避开恶意中间设备,进而保证交换链路的安全性。
文档编号H04L12/56GK102316032SQ20111026006
公开日2012年1月11日 申请日期2011年9月5日 优先权日2011年9月5日
发明者徐鹍 申请人:中兴通讯股份有限公司