CN101483575B - 用于保护由生成树协议建立的网络构造的方法 - Google Patents
用于保护由生成树协议建立的网络构造的方法 Download PDFInfo
- Publication number
- CN101483575B CN101483575B CN2009100016032A CN200910001603A CN101483575B CN 101483575 B CN101483575 B CN 101483575B CN 2009100016032 A CN2009100016032 A CN 2009100016032A CN 200910001603 A CN200910001603 A CN 200910001603A CN 101483575 B CN101483575 B CN 101483575B
- Authority
- CN
- China
- Prior art keywords
- bridge
- root
- port
- stp
- net structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/48—Routing tree calculation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于通过选择计算机网络(1)的多个网桥(2至11)之一作为根网桥(2)且选择所述多个网桥中每一个的多个网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)之一作为根端口(2a至11a)来保护由生成树协议STP建立的网络构造的方法,包括:在双向业务经过所述网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)的情况下,将至少一个所述网桥(2至11)的至少一个网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)的子状态(51、52)设置成积极的子状态;在处于积极子状态的网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)之一中接收STP消息,特别是网桥协议数据单元BPDU;以及,在该STP消息指示所述网络构造的根网桥(2)更改的情况下,通过丢弃该STP消息和/或通过发送告警消息给网络管理单元(27)来保护所述网络构造。
Description
技术领域
本发明涉及一种用于通过选择计算机网络的多个网桥之一作为根网桥并且选择所述多个网桥中每一个的多个网桥端口之一作为根端口来保护由生成树协议STP建立的网络构造的方法,一种在上述类型的网络构造中操作的网桥,以及一种包括多个上述网桥的计算机网络。
背景技术
图1示出了计算机网络1,其具有通过多条链路12至26互连的多个网桥2至11。为了将图1的网络构造转换成图2a中显示的树形网络构造(生成树),在计算机网络1的引导(bootstrapping)阶段的过程中执行生成树协议STP。生成树协议通过去激活链路21至26(图2a中的虚线)来生成生成树,这因而获得了将生成树头部的一个网桥2(也称作计算机网络1的根网桥)连接到其他网桥3至11中的每一个的无环路配置。当实现这种网络构造时,网络的终端(未显示)通过无环路网络1互连并且因而能够发送和接收数据报。因此,在所述引导阶段之后的操作阶段中,向/从网关传送终端的双向数据流,可选地在终端之间传送该双向数据流。
图1、2a中显示的网桥2至11中的每一个都包括多个使能(转发)网桥端口2a至11a、3b、4b、6b、7b、9b、10b用于经由相应的链路12至20来相互连接生成树的网桥2至11。用去往根网桥2的链路连接网桥2至11的网桥端口2a至11a在下文中称作根端口2a至11a。可用于经由去激活链路21至26连接网桥3至11的这些网桥端口没有被用于树形配置中,因此图2a中没有显示。应当理解,图2a中的网桥2至11中的任一个都可以经由其他网桥端口而被连接到计算机网络1的附加网桥或终端。
对于STP的设计,假设所有的网桥2至11都是等同的并且可以以相等的概率而连接/脱离。然而,在当前的网络中,管理员将通过相应地设置网桥ID而选择位于网络中心点的网桥作为生成树的根,该根网桥通常接近于也用作管理STP过程的STP实例的网络管理单元27。与其他网桥相比,根网桥具有更高的可用性,因为它是一种具有更高性能且用更高质量和/或用冗余部件而构建的设备。此外,终端的多数数据流经过网关以及因此经过根网桥。特别地,终端(IEEE 802.1X Port-Based Network AccessControl,RFC3588 Diameter)和用户(应用指定的,例如RFC 3261 SIP)的授权需要与通常位于中心位置的服务器进行通信。即使不是所有的终端也有大多数终端都将通过根网桥而到达该位置。
因此,保护已在引导阶段建立的网络构造以使其免于恶意攻击是很重要的。在这种恶意攻击者例如通过拔掉/切断电缆或堵塞无线链路来中断两个相邻网桥之间的链路的情况下,一些或甚至所有终端(在存在备用路径的情况下)能够继续通信。然而,当攻击者注入伪造的STP消息时,这通常是网桥协议数据单元(BPDU),整个桥接网络1的通信会被阻塞从而导致生成树的重新配置。
图2b示出了这种攻击者30,其连接到网桥10与11之间的链路20,发送携带根网桥ID的伪造的BPDU,该根网桥ID大于当前根网桥2的ID。根据标准STP协议程序,这种BPDU将不导致网络1的配置的任何更改,因为根网桥总是被选择成具有最小根网桥ID的网桥。
然而,当攻击者30发送携带小于当前根网桥2的ID的根ID的BPDU时(这对应于更高的网桥优先级),网桥选择机制重新启动并且常规的STP将构建新的生成树,如图2c所示。由于新的生成树从攻击者的位置30开始被构建,网络1中的多数链路12至13、16、18、24会被去激活,这因而负面地影响到整个网络的操作。
因此,能接入单个链路的攻击者不仅会干扰该特定链路上的数据报传输,例如堵塞链路,还会影响到整个网络的性能。类似的效应会在攻击者发送具有与当前根相同的根ID但具有显著降低的根路径成本的伪造的BPDU时产生,这因而也导致大部分生成树的重新配置。
在US 2006/0092862 A1中,描述了一种称作“STP根保护”的过程,其能够通过防止连接到外部网络的网桥的网桥端口被选择成根端口而保持根网桥在核心网中的位置。然而,这种过程不能防止核心网本身的链路上的攻击。
理论上,也可以用密码来标记所有的BPDU以使得接收网桥能够通过检查加密签名来检验BPDU的真实性。然而,BPDU的加密保护需要大量的配置/管理开销以及每个网桥中的可观的计算资源。
发明内容
本发明的目的是提供一种能够保护由生成树协议建立的网络构造以使其免于利用伪造STP消息的攻击的方法、网桥以及计算机网络。
通过上述方法而达到上述目的,该方法包括下列步骤:在双向业务经过所述网桥端口的情况下将至少一个网桥的至少一个网桥端口的子状态设置成积极的子状态;在处于积极的子状态的其中一个网桥端口中接收STP消息,特别是网桥协议数据单元BPDU;以及在所述STP消息指示所述网络构造的根网桥的更改的情况下,通过丢弃所述STP消息和/或通过发送告警消息给网络管理单元来保护所述网络构造。
如果所述网桥端口处于积极的子状态,则它看到双向有效符合业务,并且可以假设所述根网桥工作正常并且宣告不同根网桥的BPDU可能是伪造的,因为在这些情形下更改根网桥不会增强网络的操作。因此,忽略这种BPDU将避免不必要的根网桥更改。此外,可以向网络管理单元通知出现伪造的BPDU并且该网络管理单元可以采取必要的措施以识别并阻止攻击者。
在优选的变型中,根网桥的更改是通过BPDU的网桥端口ID来指示的,该ID小于所述网络构造的根网桥的网桥端口ID。在攻击者发送携带比当前根网桥的ID要小的根ID的BPDU的情况下(对应于较高的网桥优先级),在现有技术中,重新启动网桥选择机制并且从攻击者位置开始构建新的生成树,如参考图2c详细描述的那样。在当前方案中,当接收BPDU的根端口处于积极的子状态时,攻击者的BPDU将被忽略,这因而保护了网络构造。
在另一个优选变型中,所述方法还包括这样的步骤:如果STP消息指示根端口的更改以及根路径成本的减少,这通常是在不是根端口的网桥端口处,则检查STP消息的根路径成本的似真性。网络构造的更改不仅会由于指示根网桥更改的BPDU所造成,也会由于具有伪造的根路径成本的BPDU所造成,这因而导致一个或多个网桥的根端口的更改,其也触发了生成树的重新构造。尽管难以将任何伪造的BPDU与宣告拓扑更改的合法BPDU区分开来,然而定制的似真性检查会有助于防御这种攻击。
在这个变型的优选改进中,检查根路径成本的似真性是通过比较STP消息的根路径成本与实际根路径成本来进行的,这考虑了网络拓扑和/或网络管理单元设置的可允许的根路径成本范围。以这种方式,可以将具有伪造的根路径成本的BPDU与指示常规的拓扑更改的BPDU区分开来。
本发明的第二方面涉及一种用于在如上所述的计算机网络的网络构造中操作的网桥,该网桥包括:子状态设置单元,用于在双向业务经过至少一个网桥端口的情况下将该网桥端口的子状态设置成积极的子状态;接收单元,用于在处于积极的子状态的其中一个网球端口中接收STP消息,特别是网桥协议数据单元BPDU;以及网络构造保护单元,用于在所述STP消息指示了所述网络构造的根网桥的更改的情况下通过丢弃该STP消息和/或发送告警消息给网络管理单元来保护所述网络构造。
所述子状态设置单元是被添加给每个转发网桥端口(即通过STP而使能的网桥端口)的附加状态机。因此,子状态设置单元可以用来将网桥端口的转发状态分成积极的和消极的子状态。只要来自终端的双向有效负荷业务通过转发网桥端口被传送,它就处于积极的子状态。在例如链路故障的情况下,业务中止并且网桥更改成消极的子状态。因此,BPDU不能导致子状态的更改,但是仅会按照STP而导致端口状态的更改,例如通过在生成树重配置期间禁用转发网桥端口。这种不期望的生成树更改可以通过识别伪造的BPDU而避免,例如通过当BPDU指示了根网桥的更改并且转发网桥端口处于积极的子状态时假设该BPDU是伪造的。
在优选实施例中,根网桥的更改是在所述网络构造保护单元中由小于根网桥的网桥端口ID的BPDU的网桥端口ID来指示的。在处于积极的子状态的网桥端口接收这种BPDU的情况下,所述网络构造保护单元丢弃该BPDU和/或发送告警消息给也用作网络的STP实例的网络管理单元。
在另一个优选实施例中,所述网络配置保护单元适于在STP消息指示根端口的更改以及根路径成本的减少的情况下检查STP消息的根路径成本的似真性。典型地,这种检查是在BPDU在不是根端口的网桥端口中被接收时进行的。
在这个实施例的优选改进中,所述网络构造保护单元适于通过比较STP消息的根路径成本与实际的根路径成本来检查根路径成本的似真性,这考虑了是网络拓扑和/或由网络管理单元设置的可允许的根路径成本范围。在这种情况下,关于网络拓扑的附加信息在网络构造保护单元中是可用的,其可以由网络管理单元来提供。
本发明的第三方面设计一种包括多个上述类型的网桥的计算机网络,所述计算机网络通过选择多个网桥之一作为根网桥并且通过选择多个网桥中每一个的多个网桥端口之一作为根端口而操作于由生成树协议建立的网络构造中。STP在网络引导阶段的过程中生成生成树。在操作阶段,以上述方式防止网络构造受到攻击并且该网络构造因而仅在例如链路故障的常规拓扑更改的情况下才被修改。
在优选实施例中,所述计算机网络还包括可以与网络的其他中央服务器或网关功能协同定位的网络管理单元。所述网络管理单元也可以提供关于网络拓扑的信息,特别是关于可允许的根路径成本范围的信息。
其他特征和优点在下面参考显示大量细节的附图对示例性实施例的描述中被说明,并且被权利要求所限定。单独的特征可以通过自身而独立实现,或者几个特征可以以任何期望的组合而被实现。
附图说明
示例性实施例在附图中被显示并且在下面的描述中被说明,其中:
图1示意性地示出了包括多个互连网桥的计算机网络;
图2a示意性地示出了由生成树协议建立的图1的计算机网络的网络构造;
图2b至2c示出了在未受保护的网络构造的情况下,发送STP消息的攻击者如何将图2a的网络构造改变成该计算机网络的其中一个网桥;
图3a示出了用于保护图2a的网络构造的网桥;
图3b示出了图3a的网桥的网桥端口的状态图;以及
图4是用于保护图2a的网络构造的方法的流程图。
具体实施方式
图3a详细示出了图2a的计算机网络1的网桥10。网桥10包括经由链路18、19连接到根网桥2并且在下文中也称作根端口的第一转发网桥端口10a、经由链路20连接到图2a的另一网桥11的第二转发网桥端口10b、以及在图2a的网络构造中禁用的第三网桥端口10c。
网桥10还包括子状态设置单元41、接收单元42以及网络构造保护单元43。接收单元42适于在两个转发网桥端口10a、10b中接收STP消息,特别是BPDU。子状态设置单元41和网络构造保护单元42适于以将在下文详细描述的方式保护图2a的网络构造以使其免于攻击。本领域技术人员应当认识到,尽管子状态设置单元41、接收单元42和网络构造保护单元43在图3a中显示成分离的实体,然而它们可以被实现成网桥10中的一个物理实体,例如微处理器、ASIC等。同样,分离的单元也可以用于每个网桥端口10a至10c,而不是提供用于所有网桥端口10a至10c的三个单元41至43。
参考图3b说明子状态设置单元41的功能性,图3b示出了图3a的转发网桥端口10a、10b的状态图。在图中,转发状态被分成消极的子状态51和积极的子状态52。只要来自终端的双向有效负荷业务经过网桥端口10a、10b,它们就处于积极的子状态52。在例如链路故障的情况下,业务中止并且网桥端口10a、10b更改成消极的子状态51。如图3b所指示的,BPDU不会导致子状态51和52之间的转变。然而,它们会导致网桥端口状态按照STP从转发状态改变成禁用状态,反之亦然,即根端口的更改或网桥端口10a、10b的更改。
基于图3b显示的双状态机制,图4的流程图所显示的扩展协议状态转变图可以被执行,其将在下文中针对第二网桥端口10b来被描述。在第一步骤100中,子状态设置设备41将转发网桥端口10b设置成图3b所示的积极的子状态52,因为在至网桥11的链路20中不存在故障,因此双向业务经过第二网桥端口10b。在第二步骤101中,BPDU被第二网桥端口10b的接收单元42接收。在第三步骤102中,由网络构造保护单元针对其中包含的根网桥ID来检查到达的BPDU。如果网桥ID小于网桥10所知道的根网桥ID,则可以确实地假设BPDU是伪造的。这是因为在转发/积极的状态中,双向有效负荷业务指示了至图2a的根网桥2的功能路径,因此不需要进行重新配置。这种伪造的BPDU可以确定地在步骤103中被丢弃并且告警信号可以向网络管理单元27通知该事件。然而,当BPDU中的根网桥ID大于已知的根网桥ID时,BPDU都将不会导致重新配置并且因此可以被安全地传递给STP实例,其通常是网络管理单元27。
在所接收的BPDU中的根网桥ID等于网桥10已知的根网桥ID的情况下,包含于该BPDU中的根路径成本需要在步骤104a至104c中被细致地分析。只要根端口10a收到具有更低根路径成本的更新,或非根端口(例如网桥端口10b)收到具有增加的成本的BPDU,网桥的根端口10a(以及因此的转换表)就保持不变。在这种情况下,可以确实地假设网络可以继续进行其正常操作并且过程可以继续进行到下一步骤105。同样,在根端口10a收到具有增加的根路径成本的BPDU的情况下,这因而可能触发根端口转换,BPDU也可以被安全地传递给STP实例27(步骤104b),因为这种BPDU相比堵塞特定链路而言具有相等或更小的效应。
然而,当例如网桥端口10b的非根端口收到具有低到足以更改网桥10的根端口10a的根路径成本的BPDU时,它也可以指示新的链路已经被添加至网络1,或者网络管理单元27已经决定更改链路成本以重定向业务,或攻击者尝试干扰网络的操作。如果是后一情形,则在一个链路上发出的这种伪造的BPDU会遍及整个网络1地重新安排业务,这对网络操作造成有害的影响,如上面已经参考图2c所描述的那样。
因此,为了降低将伪造的BPDU传递给STP实例27的可能性,需要事先(在步骤104c)由网络构造保护单元43检查根路径成本的似真性。这可以通过例如关于网络拓扑的已知属性以及给予网络管理单元27的与可允许链路成本值范围有关的规则、分析之前的与新的成本之间的差异来完成,这因而进一步降低了攻击者的伪造BPDU的潜在影响。在具有伪造根路径成本的BPDU以这种方式被识别出来的情况下,以与步骤103相似的方式,该BPDU被丢弃并且告警消息被发送给STP实例27。在没有检测到伪造的BPDU的情况下,在下一步骤106中,子状态设置单元41检查双向业务是否经过网桥端口10b并且将网桥端口10b设置成积极的子状态,以使得图4描述的过程可以再次开始。应当理解,上面描述的过程同样可以很好地应用于网桥10的根端口10a,在这种情况下不需要检查根路径成本。
为了保护整个网络1,参考图4描述的过程优选地应用于图2a所示网络的每个网桥3至11的网桥端口3a至11a、3b、4b、6b、7b、9b、10b。这样,整个网络1可以不受能接入一个或多个内部链路12至20的攻击者的干扰,而无须改变成STP协议格式或附加的配置开销。因此,这里描述的方案在其中多数业务经过不同的关键点的典型的公司网络设置中特别有利,但是并不危及具有其他特征的网络中的协议稳定性。
上面已经作为实例而给出了对优选实施例的描述。根据所公开的内容,本领域技术人员不仅将理解本发明及其附带的优点,而且也将发现对所公开的结构和方法的各种不同的更改和修改是显而易见的。申请人因而试图覆盖落入如所附权利要求限定的本发明的精神和范围内的所有这种更改和修改,及其等价物。
Claims (8)
1.一种用于通过选择计算机网络(1)的多个网桥(2至11)之一作为根网桥(2)且通过选择所述多个网桥(2至11)中每一个的多个网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)之一作为根端口(2a至11a)来保护由生成树协议STP建立的网络构造的方法,所述方法包括下列步骤:
在双向业务经过所述网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)的情况下,将至少一个所述网桥(2至11)的至少一个网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)的子状态(51、52)设置成积极的子状态(52),
在处于积极的子状态的网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)之一中接收STP消息,以及
在由比所述网络构造的根网桥(2)的网桥端口ID小的所述STP消息的网桥端口ID指示了所述根网桥(2)的更改的情况下,通过丢弃所述STP消息和/或通过发送告警消息给网络管理单元(27)来保护所述网络构造。
2.根据权利要求1所述的方法,还包括这样的步骤:在所述STP消息指示了所述根端口(2a至11a)的更改以及所述根路径成本的降低的情况下,通过比较所述STP消息的根路径成本与实际的根路径成本来检查所述STP消息的根路径成本的似真性。
3.根据权利要求2所述的方法,其中,对所述根路径成本的似真性的检查考虑了所述网络(1)的拓扑和/或由所述网络管理单元(27)设置的可允许的根路径成本范围。
4.一种网桥(10),该网桥用于通过选择计算机网络(1)的多个网桥(2至11)之一作为根网桥(2)且通过选择所述网桥(10)的多个网桥端口(10a至10c)之一作为根端口(10a)而操作于由生成树协议STP建立的计算机网络(1)的网络构造中,包括:
子状态设置单元(41),用于在双向业务经过所述网桥端口(10a、10b)的情况下,将所述网桥端口(10a、10b)中至少一个的子状态设置成积极的子状态(52);
接收单元(42),用于在处于积极的子状态的所述网桥端口(10a、10b)之一中接收STP消息;和
网络构造保护单元(43),用于在由比所述网络构造的根网桥(2)的网桥端口ID小的所述STP消息的网桥端口ID指示了所述根网桥(2)的更改的情况下,通过丢弃该STP消息和/或通过发送告警消息给网络管理单元(27)来保护所述网络构造。
5.根据权利要求4所述的网桥,其中,所述网络构造保护单元(43)适于在所述STP消息指示了所述根端口(10a)的更改以及所述根路径成本的降低的情况下,通过比较所述STP消息的根路径成本与实际的根路径成本来检查所述STP消息的根路径成本的似真性。
6.根据权利要求5所述的网桥,其中,对所述根路径成本的似真性的检查考虑了所述网络的拓扑和/或由所述网络管理单元(27)设置的可允许的根路径成本范围。
7.一种计算机网络(1),包括根据权利要求4的多个网桥(2至11),所述计算机网络(1)通过选择多个网桥(2至11)之一作为根网桥(2)且通过选择所述多个网桥(2至11)中每一个的多个网桥端口(2a至11a,3b,4b,6b,7b,9b,10b)之一作为根端口(2a至11a)而操作于由生成树协议STP建立的网络构造中。
8.根据权利要求7所述的计算机网络,还包括网络管理单元(27)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08290016.8 | 2008-01-08 | ||
| EP08290016A EP2079196B1 (en) | 2008-01-08 | 2008-01-08 | Method for protecting a network configuration set up by a spanning tree protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101483575A CN101483575A (zh) | 2009-07-15 |
| CN101483575B true CN101483575B (zh) | 2011-11-16 |
Family
ID=39719191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100016032A Expired - Fee Related CN101483575B (zh) | 2008-01-08 | 2009-01-05 | 用于保护由生成树协议建立的网络构造的方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7944858B2 (zh) |
| EP (1) | EP2079196B1 (zh) |
| JP (1) | JP4938135B2 (zh) |
| KR (1) | KR101143767B1 (zh) |
| CN (1) | CN101483575B (zh) |
| AT (1) | ATE461571T1 (zh) |
| DE (1) | DE602008000837D1 (zh) |
| WO (1) | WO2009087049A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7379429B1 (en) * | 2002-12-20 | 2008-05-27 | Foundry Networks, Inc. | Optimizations and enhancements to the IEEE RSTP 802.1w implementation |
| US9094706B2 (en) | 2011-10-21 | 2015-07-28 | Sonos, Inc. | Systems and methods for wireless music playback |
| US9306764B2 (en) * | 2012-06-29 | 2016-04-05 | Sonos, Inc. | Dynamic spanning tree root selection |
| CN104125083A (zh) * | 2013-04-24 | 2014-10-29 | 中兴通讯股份有限公司 | 一种网络设备的主备倒换方法、装置、设备及系统 |
| WO2016119847A1 (en) * | 2015-01-29 | 2016-08-04 | Robert Bosch Gmbh | Method for running a computer network and computer network |
| CN105610670B (zh) * | 2015-12-29 | 2019-02-05 | 北京华为数字技术有限公司 | 以太网交换网络的通信方法和装置 |
| US11689455B2 (en) * | 2020-05-28 | 2023-06-27 | Oracle International Corporation | Loop prevention in virtual layer 2 networks |
| JP2023535150A (ja) | 2020-07-14 | 2023-08-16 | オラクル・インターナショナル・コーポレイション | レイヤ2ネットワーク内のインターフェイスベースのacl |
| US11765080B2 (en) | 2020-12-30 | 2023-09-19 | Oracle International Corporation | Layer-2 networking span port in a virtualized cloud environment |
| US11671355B2 (en) | 2021-02-05 | 2023-06-06 | Oracle International Corporation | Packet flow control in a header of a packet |
| US11777897B2 (en) | 2021-02-13 | 2023-10-03 | Oracle International Corporation | Cloud infrastructure resources for connecting a service provider private network to a customer private network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1520094A (zh) * | 2003-01-24 | 2004-08-11 | 华为技术有限公司 | 一种基于生成树协议的环网管理方法 |
| CN1521986A (zh) * | 2003-01-28 | 2004-08-18 | 华为技术有限公司 | 基于生成树协议的多节点网络管理方法 |
| EP1469639B1 (en) * | 2003-04-15 | 2006-05-24 | ECI Telecom Ltd. | Method, software product, carrier medium and Ethernet switch for improving STP protocols in Ethernet networks supporting VLANs |
| EP1717999A1 (en) * | 2005-04-29 | 2006-11-02 | Alcatel | Bridged network with spanning tree abnormality detection |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03163929A (ja) * | 1989-11-21 | 1991-07-15 | Japan Radio Co Ltd | ワイドエリアネットワーク |
| JP3542159B2 (ja) * | 1994-03-17 | 2004-07-14 | 株式会社日立製作所 | マルチプロセッサ構造のブリッジ |
| US6578086B1 (en) * | 1999-09-27 | 2003-06-10 | Nortel Networks Limited | Dynamically managing the topology of a data network |
| US6987740B1 (en) | 2000-09-11 | 2006-01-17 | Cisco Technology, Inc. | STP root guard |
| US7383574B2 (en) * | 2000-11-22 | 2008-06-03 | Hewlett Packard Development Company L.P. | Method and system for limiting the impact of undesirable behavior of computers on a shared data network |
| US7391771B2 (en) * | 2004-01-23 | 2008-06-24 | Metro Packet Systems Inc. | Method of sending information through a tree and ring topology of a network system |
| US7653011B2 (en) * | 2005-05-31 | 2010-01-26 | Cisco Technology, Inc. | Spanning tree protocol for wireless networks |
| US8181240B2 (en) * | 2005-06-14 | 2012-05-15 | Cisco Technology, Inc. | Method and apparatus for preventing DOS attacks on trunk interfaces |
-
2008
- 2008-01-08 EP EP08290016A patent/EP2079196B1/en not_active Not-in-force
- 2008-01-08 DE DE602008000837T patent/DE602008000837D1/de active Active
- 2008-01-08 AT AT08290016T patent/ATE461571T1/de not_active IP Right Cessation
- 2008-12-19 WO PCT/EP2008/068022 patent/WO2009087049A1/en active Application Filing
- 2008-12-19 JP JP2010541739A patent/JP4938135B2/ja not_active Expired - Fee Related
- 2008-12-19 KR KR1020107015139A patent/KR101143767B1/ko active IP Right Grant
-
2009
- 2009-01-05 US US12/319,496 patent/US7944858B2/en active Active
- 2009-01-05 CN CN2009100016032A patent/CN101483575B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1520094A (zh) * | 2003-01-24 | 2004-08-11 | 华为技术有限公司 | 一种基于生成树协议的环网管理方法 |
| CN1521986A (zh) * | 2003-01-28 | 2004-08-18 | 华为技术有限公司 | 基于生成树协议的多节点网络管理方法 |
| EP1469639B1 (en) * | 2003-04-15 | 2006-05-24 | ECI Telecom Ltd. | Method, software product, carrier medium and Ethernet switch for improving STP protocols in Ethernet networks supporting VLANs |
| EP1717999A1 (en) * | 2005-04-29 | 2006-11-02 | Alcatel | Bridged network with spanning tree abnormality detection |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2079196A1 (en) | 2009-07-15 |
| KR101143767B1 (ko) | 2012-05-11 |
| DE602008000837D1 (de) | 2010-04-29 |
| JP4938135B2 (ja) | 2012-05-23 |
| JP2011509056A (ja) | 2011-03-17 |
| US7944858B2 (en) | 2011-05-17 |
| KR20100110813A (ko) | 2010-10-13 |
| US20090175203A1 (en) | 2009-07-09 |
| CN101483575A (zh) | 2009-07-15 |
| WO2009087049A1 (en) | 2009-07-16 |
| ATE461571T1 (de) | 2010-04-15 |
| EP2079196B1 (en) | 2010-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101483575B (zh) | 用于保护由生成树协议建立的网络构造的方法 | |
| CN1531284B (zh) | 网络基础结构的保护及控制信息的安全通信 | |
| US7000121B2 (en) | Computer systems, in particular virtual private networks | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| RU2269873C2 (ru) | Беспроводное устройство инициализации | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| US7555774B2 (en) | Inline intrusion detection using a single physical port | |
| AU2007240284B2 (en) | Virtual inline configuration for a network device | |
| US8594086B2 (en) | Packet diversion method and deep packet inspection device | |
| US7574594B2 (en) | Network authentication based on inter-packet gap characteristics | |
| EP3059905B1 (en) | A method and apparatus for providing an uplink over an access ring | |
| CN1938982A (zh) | 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置 | |
| EP2600566B1 (en) | Unauthorized access blocking control method | |
| CN101582902A (zh) | 链路聚合方法及装置 | |
| CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
| US8131871B2 (en) | Method and system for the automatic reroute of data over a local area network | |
| US20120101987A1 (en) | Distributed database synchronization | |
| EP2832050A1 (en) | Frame passing based on ethertype | |
| US7562389B1 (en) | Method and system for network security | |
| CN110290151B (zh) | 报文发送方法、装置及可读取存储介质 | |
| CN101753438A (zh) | 实现通道分离的路由器及其通道分离的传输方法 | |
| CN102546345A (zh) | 利用生成树协议实现弹性分组环跨环保护的方法 | |
| CN101631121B (zh) | 一种端点准入防御中的报文控制方法及接入设备 | |
| US20100166011A1 (en) | Method, apparatus and system for realizing dynamic correlation of control plane traffic rate | |
| RU2509425C1 (ru) | Способ и устройство управления потоками данных распределенной информационной системы |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111116 Termination date: 20180105 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |