一种局域网交换机监控装置及方法
【技术领域】
[0001]本发明涉及交换机领域,尤其涉及一种局域网交换机监控装置及方法。
【背景技术】
[0002]随着社会经济的不断发展,计算机技术也得到了突飞猛进的发展,而且迅速得到普及。从某种程度上来说,当今时代可以称得上是网络信息时代。在这时代大背景下,人们得到了强大的经济利益以及便利,但是也不少政府及企事业单位的局域网因为网络安全问题,使得各种资料、数据出现泄漏或者丢失的情况,从而酿成了比较大的损失。所以说,随着时代的发展,局域网的安全性越来越重要,对其安全问题给予重视的人也越来越多。
[0003]在专利申请《终端接入局域网的监控方法和监控装置》(申请号:201010546502.6)中,通过数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的原MAC地址的第一对应关系;若存在,则向网络层发送ARP报文。同时网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口以及与源MAC对应的IP地址三者间的第二对应关系;如果存在,则允许发送ARP报文的中断接入局域网。但是在该方案集中在交换机页面中手动设置MAC地址邦定、手动设置黑名单/白名单、发送一些无特定标记的APP报文等,因此如何解决当前局域网监控系统中人为判断和手动输入的问题并同时增强局域网安全性,成为亟待解决的问题。
【发明内容】
[0004]鉴于上述问题,本申请记载了一种局域网交换机监控装置,包括:
[0005]PC机和交换机,所述交换机包括:
[0006]交换芯片,所述交换芯片上的UART接口通过UART总线与PC机的DB9串口相连;
[0007]监控模块,设置有UART接口,所述监控模块上的UART接口通过UART总线与所述交换芯片的UART接口相连,用以对以太网的数据包的安全性进行检测。
[0008]较佳的,所述监控模块包括硬件可编程逻辑器件设计的8B/10B编解码器。
[0009]较佳的,所述编解码器与交流耦合二分支路电路的输出端相连,且所述编解码器与所述交流耦合二分支路电路的输出端之间串联一电容;所述电容和所述编码器之间还传来一电阻。
[0010]较佳的,所述编码器包括3个I/O 口。
[0011 ] 较佳的,所述交换芯片包括多个以太网物理层接口,每个所述以太网物理层接口均连接一所述监控模块。
[0012]较佳的,所述交换芯片的内核软件提供API接口,所述API接口包括广播搜索接口和制定IP搜索接口。
[0013]本发明还提供了一种局域网交换机监控方法,所述方法包括:
[0014]PC机查询到其所接入的交换机各个以太网物理层接口的监控模块ID和/或交换机MAC和/或网卡IP地址;
[0015]如果所述监控模块无法反馈私有通讯协议数据包,则所述交换机MAC被PC机做报警提示,并将所述交换机MAC设置为黑名单;
[0016]如果所述监控模块能够正常反馈私有通讯协议数据包,则所述PC机与所述交换机正常进行数据交互。
[0017]较佳的,所述PC机管理和记录了局域网同一网段内所有以太网交换机的通讯参数,所述通讯参数包括IP地址和/或MAC地址和/或子网掩码和/或默认网关和/或通讯端口号。
[0018]较佳的,当所述PC机通过广播搜索接口发送搜索命令时,所述交换芯片查找同一网段内的所有以太网交换机的通讯参数,当检查所有所述通讯参数但并未找到指定的交换机时,向所述PC机返回未搜索到交换机的标示;否则,返回搜索到的交换机的标示。
[0019]较佳的,当所述PC机通过制定IP搜索接口发送搜索命令时,如果所述IP接入的是指定的交换机,所述交换芯片返回指定的所述交换机的通讯参数;否则,返回未搜索到交换机的标示。
[0020]较佳的,所述方法还包括:
[0021]当所述局域网新接入所述交换机时,所述PC机能够捕获所述交换机中所述监控模块ID。
[0022]较佳的,所述方法还包括:
[0023]当所述交换机与所述PC机正常通信时,所述监控模块突然掉电,所述交换机向所述PC机发出掉线信息;
[0024]所述PC机接收所述掉线信息并判断所述监控模块为下线状态。
[0025]较佳的,所述交换芯片与所述PC机之间采用第一通信协议,所述交换芯片与所述监控模块之间采用第二通信协议;
[0026]当所述交换机需要向PC机发送数据包时,所述数据包首先传递至所述交换芯片,所述交换芯片判断所述数据包是否符合第一通信协议,符合时将所述数据包传递至所述监控模块,所述监控模块对所述数据包进行检测,判断所述数据包是否安全;
[0027]当所述数据包安全时,向所述交换芯片发送具有第二通信协议的安全信号;
[0028]所述交换芯片接收所述安全信号后,将所述数据包转发至所述PC机。
[0029]上述技术方案具有如下优点或有益效果:一种局域网交换机监控装置及方法,解决当前局域网监控系统中人为判断和手动输入的问题,全部来自系统自动识别数据包类型进行监控;硬件监控通过UART接口传输数据,更难破译,因此可增强局域网安全性,提供软件和硬件相结合的监控方案;解决局域网内某一交换机失效报警、监控擅自接入未经许可的交换机的问题。
【附图说明】
[0030]参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
[0031]图1为本发明一种局域网交换机监控装置的结构示意图;
[0032]图2为本发明一种局域网交换机监控装置的部分电路图。
【具体实施方式】
[0033]下面结合附图和具体实施例对本发明局域网交换机监控装置及方法进行详细说明。
[0034]实施例一
[0035]如图1所示,一种局域网交换机监控装置,包括交换机和PC机。
[0036]所述交换机包括:
[0037]交换芯片,与所述PC机通过UART接口相连,所述交换芯片可以为Switch交换芯片;
[0038]监控模块,包括UART接口,与所述Switch交换芯片通过UART接口相连,用以采集以太网数据包。
[0039]所述监控模块的内部包括硬件可编程逻辑器件(CPLD)设计的8B/10B编解码器,将以太网数据包转换成uart协议的数据包并与PC机及Switch交换芯片进行数据交互。所述数据包包括定义有特定包头、包尾字符做成的私有通信协议。
[0040]所述Switch交换芯片的内核软件提供API接口,并且定义特定包头、包尾字符做成私有通信协议,通过Switch交换芯片的UART接口与PC机应用软件进行数据通信。
[0041]所述监控模块与所述Switch交换芯片通过UART 口通讯,同时该UART总线转换成RS232电平连接到PC机的DB9串口,实现PC机与Switch交换芯片和监控模块进行数据交互。
[0042]所述Switch交换芯片可以包含多个以太网物理层接口,每个接口均可连接一监控模块,每个监控模块的UART接口都有独立的ID,且每个监控模块的UART接口通过UART总线通信方式连接到Switch交换芯片的UART接口。
[0043]如图2所示,所述监控模块的内部包括硬件可编程逻辑器件(CPLD)设计的8B/10B编解码器,所述编解码器与若干个交流耦合2分支电路相连,且所述编解码器包括ADoutput、GND、Enthernet_Portl_NEGl 和 Enthernet_Portl_NEG2 四个端口。其中,所述交流耦合2分支电路的四个输出端与所述编码器之间串联均串联有一 0.1uF的电容(C1、C2、C3和C4),即所述编解码器通过0.1uF电容做交流耦合2分支的方式提取以太网平衡信号,这种交流分支的方式不影响交换芯片端口之间的数据交换性能。此外,每个电容和所述编码器之间还串联一电阻(Rl、R2、R3和R4),所述电阻为Ik欧姆。通过串联一颗Ik欧姆的电阻限幅以免杂讯中的涌浪冲击损坏CPLD的I/O脚。
[0044]除此之外,交换机的每个端口都可以对应一个所述监控模块,这种方式使得局域网交换机监控装置的可扩展性能较高。交换机的每个端口都可以由一个监控模块进行监控,而监控模块主要有CPLD芯片构成,且每个交换机的端口仅需要一个CPLD芯片的3个I/O 口相连接,所以可以通过拓展CPLD芯片的I/O 口来实现多端口交换机的监控。
[0045]实施例二
[0046]一种局域网交换机监控方法,包括:
[0047]组网时,PC机管理和记录了局域网同一网段内所有以太网交换机的通讯参数;
[0048]如果所述PC机查询到其所接入的交换机的监控模块ID和/或交换机MAC地址和/或网卡IP地址,但是所述监控模块无法反馈私有通信协议数据包,则所述监控模块所对应的交换机的MAC地址被PC机做报警提示,停止与该交换机进行数据通信,并将该交换机的MAC地址设置为黑名单;
[0049]如果所述PC机查询到其所接入的交换机的监控模块ID和/或交换机MAC地址和/或网卡IP地址,且所述监控模块能够正常反馈私有通信协议数据包,所述PC机与交换机正常进行数据交互。
[0050]其中,所述通讯参数包括:IP地址、MAC地址、子网掩码、默认网关以及通讯端口号等,所述安全参数包括监控模块ID和/或MAC地址和/