CN103200123B - 一种交换机端口安全控制方法 - Google Patents
一种交换机端口安全控制方法 Download PDFInfo
- Publication number
- CN103200123B CN103200123B CN201310071608.9A CN201310071608A CN103200123B CN 103200123 B CN103200123 B CN 103200123B CN 201310071608 A CN201310071608 A CN 201310071608A CN 103200123 B CN103200123 B CN 103200123B
- Authority
- CN
- China
- Prior art keywords
- acl
- setting
- monitoring
- port
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种交换机端口安全控制方法,其包括以下步骤:在交换机上配置ACL表项,设定基于端口下需要监控的指定规则报文,向硬件下发ACL表项,ACL配置为所需要监控的端口报文流类型;设置所监控ACL最大单位流速、扫描时间间隔、最大连续冲击次数、监听冲击时间、动作转换内容、警告信息内容,以及端口关闭恢复时间;通过设定监控任务,在规定时间间隔内,扫描需要监控的ACL流量统计,分析统计对应ACL流速,并判断单位流量大小,来进行相应动作规则。本发明既可防止交换机普通业务端口下挂设备大量发送某些非法报文,又不会影响一些重要协议报文的发送,大大降低了不必要的风险,提高了交换机设备的稳定性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种交换机端口安全控制方法。
背景技术
目前,交换机设备大致有如下功能:1、端口限速;2、通过设置ACL(AccessControlList,访问控制列表)对设定报文限速。3、直接丢弃某些系统设定的报文;4、对于发往CPU端口的协议报文进行限速、丢弃、控制等操作。现有的交换机针对于端口流量控制,基本上都是绝对操作,当现象发生时,就产生一个绝对的动作,无法实现科学的管理操作。如专利号200910170191.5所公开的一种交换机流量控制方法和交换机专利,本发明人通过分析,发现此专利所公开的方法是可以实现流量控制,但存在如下缺陷:1、此专利只能在低端交换设备上使用,因为只能存在于SVL(sharedvlanlearning,共享式Vlan学习)学习模式,因为此专利中一个端口对应一个固定的MAC(MediaAccessControl,介质访问控制)地址,从而无法进行网络拓扑;2、此专利为针对目的MAC,如果发送端收到PAUSE帧,停止发送目的为对应MAC的报文,这样太绝对了,会导致一些目的为对应MAC的一些重要协议报文无法发送,如果目的端长时间未收到协议报文,会导致某些通信或数据交换中断,引起无法预料的重大问题。又如专利号200610033406.5所公开的一种基于端口的动态流量控制方法专利,本发明人通过分析,发现此专利通过基于报文优先级来设定不同的流控值,虽可以实现流量控制,但仍存在缺陷:1、此专利对入口报文所带优先级来进行相应流控,如果某些攻击性报文优先级较高,则并不能启动限制的作用;2、对恶意报文只能达到限速作用,并不能做出更有效的动作处理。
发明内容
本发明的主要目的在于提供一种可以灵活配置、针对多种规则组合的报文进行流速监听的交换机端口安全控制方法,当交换机收到冲击指示时,可以根据个人需求,产生相应的动作内容,在通过限速或改变动作内容后,如果发送端状态恢复正常(即流速正常),系统仍能正常恢复原始配置,不影响交换机下挂设备正常工作,因此,既可防止交换机普通业务端口下挂设备大量发送某些非法报文、或设备向交换机全速冲包,又不会影响一些重要协议报文的发送,从而大大降低了不必要的风险,提高了交换机设备的稳定性。
为实现上述目的,一种交换机端口安全控制方法,其包括以下步骤:
步骤一,在交换机上配置ACL表项,设定基于端口下需要监控的指定规则报文,向硬件下发ACL表项,ACL配置为所需要监控的端口报文流类型,所述指定规则包括丢弃规则和允许规则;所述报文流类型包括对应IP地址或MAC地址报文、ICMP(Internet控制报文协议,可以区分type/code)报文、igmp((Internet组管理协议))报文、目的端口报文、对数据段部分内容过滤报文,以及上述多种报文规则的组合。
步骤二,系统设置,设置所监控ACL最大单位流速、扫描时间间隔、最大连续冲击次数、监听冲击时间、动作转换内容、警告信息内容,以及端口关闭恢复时间;
步骤三,启动设备ACL功能,通过设定监控任务,在规定时间间隔内,扫描需要监控的ACL流量统计,分析统计对应ACL流速,并判断单位流量大小,来进行相应动作规则。
步骤三具体包括以下步骤:
A.当系统扫描到需要监控的ACL单位流量大于设定ACL最大单位流速时,针对指定规则为丢弃规则的端口进行的监控,包括以下流程:
A1、当系统提示动作为关端口时,则关闭端口;如果有设置恢复时间,则监控任务记录时间始点,当时间大于或等于设置恢复时间时,则手动打开端口,重新对此ACL规则进行监控工作;
A2、当系统提示动作为警告时,则提示警告信息;
B.当系统扫描到需要监控的ACL单位流量大于设定ACL最大单位流速时,针对指定规则为允许规则的端口进行的监控,包括以下流程:
B1、当系统提示动作为丢弃时,则将ACL动作修改为丢弃,并按照丢弃规则进行重新监控,执行A11步骤;
B2、当系统提示动作为流速限制时,则在ACL动作中添加限速双漏桶,设置报文平均速率大于且接近于设定ACL最大单位流速,并重新监控;在设置的监听冲击时间内监听,判断在每个设定的单位扫描时间间隔内,单位流量大小是否大于ACL最大单位流速,如果成立,则累加冲击次数;
当冲击时间大于或等于设定的监听冲击时间,且累加冲击次数大于或等于设置的最大连续冲击次数时,则执行以下步骤:
B21、关闭端口,执行步骤A11;
B22、若系统提示动作为流速限制,将动作改为丢弃,并去除限速;
B23、通过警告提示,仍未消除恶意攻击,则可以通过修改ACL规则,扩大监听范围,直至对端意识到被阻截;
当时间大于或等于设定的监听冲击时间,且累加冲击次数小于设置的最大连续冲击次数时,则还原动作为允许,对此ACL流速重新进行监听;
当ACL单位流量大于设定的ACL最大单位流速时,则提示警告信息;
B3、当系统提示动作为警告时,则提示警告信息。
本发明由于采用了上述方法,对于端口下需要丢弃的报文,如果在设定时间间隔内,对应丢弃规则的报文有不断地大量冲击交换机(即大于设定值),则可以通过打印警告信息,或直接关闭端口(可以设定关闭恢复时间)来解决。
对于正常接收报文,可以设定端口下某些需要监控的规则类型的报文(如:ip、MAC、icmp、igmp、arp等组合方式),可以通过配置ACL实现。如果在设定时间间隔内,对应规则的报文有不断地大量冲击交换机(即大于设定值),则可以通过打印警告信息,或在对应ACL下添加policer动作内容(限速),或直接修改动作为丢弃。具体有以下几个过程:1.如果在限速阶段(注:一般中高端交换芯片ACL都支持流量整形,如双漏桶或令牌桶算法等),设置CIR(CommittedInformationRate,报文平均速率)值大于并接近设定的冲击交换机值,在所设定的监听时间范围内,如果在单位时间内还是会大量冲击交换机(即速率大于设定冲击阙值),则强制将此过滤规则动作改为丢弃。并去除限速动作。2.如果在丢弃阶段,此端口下对应类型的报文,在所设定的监听时间范围内,平均速度达到一定低,则重新允许接收,如果在单位时间内还是会大量冲击交换机,则可以采取关闭端口一段时间来解决。3.如果通过过程1、2之后,仍未消除恶意攻击。则可以通过修改ACL,扩大监听范围,如只监听此端口收包速率,或只监听对应攻击的源MAC地址,直至对端意识到被阻截。
因此,本发明可以灵活的设定需要监控的报文类型或端口,可以实现目的MAC、源MAC、协议类型、vlan、ip地址等多种组合判断方式,从而大大降低不必要的风险,无需发送pause帧,直接本地端口进行判断,并进行相应的动作即可,对其实时监控,如果报文发送恢复正常,则取消设定动作内容,还原初始动作。与传统方法相比,本发明不但可以做到对报文优先级进行判断整流,同时还可以结合其它规则一起,更具有针对性的操作,且本发明可以通过监控恶意报文流速,采取警告提示、限速、丢弃、关闭端口等动作,来对恶意报文进行强烈反击,大大提高了交换机设备的稳定性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
附图说明
图1为本发明方法的流程图。
具体实施方式
下面以一个实施方式对本发明作进一步详细的说明,但应当说明,本发明的保护范围不仅仅限于此。
如图1所示,一种交换机端口安全控制方法,其包括以下步骤:
步骤一,在交换机上配置ACL表项,设定基于端口下需要监控的指定规则报文,向硬件下发ACL表项,指定规则包括丢弃规则A1和允许规则A2;所述报文流类型包括对应IP地址或MAC地址报文、ICMP(Internet控制报文协议,可以区分type/code)报文、igmp((Internet组管理协议))报文、目的端口报文、对数据段部分内容过滤报文,以及上述多种报文规则的组合。
步骤二,系统配置,设置所监控ACL最大单位流速m_r、扫描时间间隔s_t、最大连续冲击次数c_n、监听冲击时间m_t、动作转换内容action、警告信息内容,以及端口关闭恢复时间r_t;
步骤三,启动设备ACL功能,通过设定监控任务,在规定时间间隔内,扫描需要监控的ACL流量统计,分析统计对应ACL流速,并判断单位流量大小t_r,来进行相应动作规则。
步骤三具体包括以下步骤:
A.当系统扫描到需要监控的ACL单位流量t_r大于设定ACL最大单位流速m_r时,针对指定规则为丢弃规则的端口进行的监控,包括以下流程:
A1、当系统提示动作为关端口时,则关闭端口;如果有设置恢复时间r_t,则监控任务记录时间始点,当时间大于或等于设置恢复时间r_t时,则手动打开端口,重新对此ACL规则进行监控工作;
A2、当系统提示动作为警告时,则提示警告信息;
B.当系统扫描到需要监控的ACL单位流量t_r大于设定ACL最大单位流速m_r时,针对指定规则为允许规则的端口进行的监控,包括以下流程:
B1、当系统提示动作为丢弃时,则将ACL动作修改为丢弃,并按照丢弃规则进行重新监控,执行A11步骤;
B2、当系统提示动作为流速限制时,则在ACL动作中添加限速双漏桶,设置报文平均速率大于且接近于设定ACL最大单位流速m_r,并重新监控;在设定的监听冲击时间m_t内监听,判断在每个设定的单位扫描时间间隔s_t内,单位流量大小t_r是否大于ACL最大单位流速m_r,如果成立,则累加冲击次数n_n;
当时间大于或等于设定的监听冲击时间,且累加冲击次数n_n大于或等于设置的最大连续冲击次数c_n时,则执行以下步骤:
B21、关闭端口,执行步骤A11;
B22、若系统提示动作为流速限制,将动作改为丢弃,并去除限速;
B23、通过警告提示,仍未消除恶意攻击,则可以通过修改ACL规则,扩大监听范围,直至对端意识到被阻截;
当冲击时间大于或等于设定的监听冲击时间,且累加冲击次数n_n小于设置的最大连续冲击次数c_n时,则还原动作为允许,对此ACL流速重新进行监听;
当ACL单位流量t_r大于设定的ACL最大单位流速m_r时,则提示警告信息;
A23、当系统提示动作为警告时,则提示警告信息。
例如:如果通过抓包或其它功能发现端口3上源MAC为00-02-02-02-02-02有大量发送ARP报文,需要对其进行监视。需求如下:当上述列举匹配规则的报文速率达到300Kbps时,串口提示警告信息,并限制其接收速率350Kbps,如果在警告开始的5分钟内,冲击次数大于50次(每3秒统计一次收到报文数,如果计算平均值仍大于300Kbps,则冲击次数加1),则将动作改为deny,丢弃此规则报文,此时再重新监听,同样统计5分钟,如果冲击次数还是大于50次则关闭此端口2分钟,然后再打开,再对其进行监视。交换机上具体配置如下:1、启动流控监视任务,配置ACL规则(过滤规则:port+src_mac+协议类型(arp);动作:permit(允许))。2.按照图1所示流程,根据您提供的需求,设置相关参数值。3.激活此条监听规则,开始对其进行监视。
本发明的关键点在于:在通过限速或改变动作内容后,如果发送端状态恢复正常(即流速正常),系统仍能正常恢复原始配置,不影响交换机下挂设备正常工作。例如:假如端口3下挂设备(电脑等),由于中毒或其它原因,不断向交换机发送某种非法报文,这时通过本发明对其进行流速监视,产生相应应对动作,甚至关闭端口,直至对端意识到故障或被阻截,如果对端重启设备或问题消除,则这时交换机也恢复对其进行正常接收。
虽然结合附图描述了本发明的实施方式,但是本领域的技术人员可以在所附权利要求的范围之内作出各种变形或修改,只要不超过本发明的权利要求所描述的保护范围,都应当在本发明的保护范围之内。
Claims (1)
1.一种交换机端口安全控制方法,其特征在于:其包括以下步骤:
步骤一,在交换机上配置ACL表项,设定基于端口下需要监控的指定规则报文,向硬件下发ACL表项,ACL配置为所需要监控的端口报文流类型,所述指定规则包括丢弃规则和允许规则;
步骤二,系统设置,设置所监控ACL最大单位流速、扫描时间间隔、最大连续冲击次数、监听冲击时间、动作转换内容、警告信息内容,以及端口关闭恢复时间;
步骤三,启动设备ACL功能,通过设定监控任务,在规定时间间隔内,扫描需要监控的ACL流量统计,分析统计对应ACL流速,并判断单位流量大小,来进行相应动作规则;
所述步骤三具体包括以下步骤:
A.当系统扫描到需要监控的ACL单位流量大于设定ACL最大单位流速时,针对指定规则为丢弃规则的端口进行的监控,包括以下流程:
A1、当系统提示动作为关端口时,则关闭端口;如果有设置恢复时间,则监控任务记录时间始点,当时间大于或等于设置恢复时间时,则手动打开端口,重新对此ACL规则进行监控工作;
A2、当系统提示动作为警告时,则提示警告信息;
B.当系统扫描到需要监控的ACL单位流量大于设定ACL最大单位流速时,针对指定规则为允许规则的端口进行的监控,包括以下流程:
B1、当系统提示动作为丢弃时,则将ACL动作修改为丢弃,并按照丢弃规则进行重新监控,执行A1步骤;
B2、当系统提示动作为流速限制时,则在ACL动作中添加限速双漏桶,设置报文平均速率大于且接近于设定ACL最大单位流速,并重新监控;在设置的监听冲击时间内监听,判断在每个设定的单位扫描时间间隔内,单位流量大小是否大于ACL最大单位流速,如果成立,则累加冲击次数;
当冲击时间大于或等于设定的监听冲击时间,且累加冲击次数大于或等于设置的最大连续冲击次数时,则执行以下步骤:
B21、关闭端口,执行A1步骤;
B22、若系统提示动作为流速限制,将动作改为丢弃,并去除限速;
B23、通过警告提示,仍未消除恶意攻击,则通过修改ACL规则,扩大监听范围,直至对端意识到被阻截;
当冲击时间大于或等于设定的监听冲击时间,且累加冲击次数小于设置的最大连续冲击次数时,则还原动作为允许,对此ACL流速重新进行监听;
当ACL单位流量大于设定的ACL最大单位流速时,则提示警告信息;
B3、当系统提示动作为警告时,则提示警告信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310071608.9A CN103200123B (zh) | 2013-03-06 | 2013-03-06 | 一种交换机端口安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310071608.9A CN103200123B (zh) | 2013-03-06 | 2013-03-06 | 一种交换机端口安全控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103200123A CN103200123A (zh) | 2013-07-10 |
| CN103200123B true CN103200123B (zh) | 2016-01-20 |
Family
ID=48722486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310071608.9A Active CN103200123B (zh) | 2013-03-06 | 2013-03-06 | 一种交换机端口安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103200123B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701639B (zh) * | 2013-12-17 | 2018-09-28 | 上海斐讯数据通信技术有限公司 | 一种acl配置方法及系统 |
| CN104320305B (zh) * | 2014-11-12 | 2018-06-05 | 迈普通信技术股份有限公司 | 一种网络设备转发业务监控方法及系统 |
| CN105207945A (zh) * | 2015-08-24 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种基于二、三层报文地址的端口镜像方法 |
| CN105610740B (zh) * | 2016-02-26 | 2019-02-12 | 华为技术有限公司 | 一种控制端口状态的方法、路由设备及网络处理器 |
| US10516728B2 (en) * | 2017-03-10 | 2019-12-24 | Microsoft Technology Licensing, Llc | Virtual filtering platform in distributed computing systems |
| CN107016284A (zh) * | 2017-03-31 | 2017-08-04 | 武汉光迅科技股份有限公司 | 一种数据通信设备cpu前端动态防护方法及系统 |
| CN109756426A (zh) * | 2017-11-01 | 2019-05-14 | 南京烽火软件科技有限公司 | 用户流量控制装置 |
| CN108540339A (zh) * | 2018-03-12 | 2018-09-14 | 国网安徽省电力有限公司池州供电公司 | 一种交换机端口配置的检测系统及其检测方法 |
| CN109067585B (zh) * | 2018-08-15 | 2021-11-23 | 杭州迪普科技股份有限公司 | 一种查询acl表项下发方法及装置 |
| CN109951466B (zh) * | 2019-03-08 | 2021-10-26 | 新华三信息安全技术有限公司 | 端口流量监控方法、装置、电子设备及机器可读存储介质 |
| CN110995586B (zh) * | 2019-11-15 | 2022-07-15 | 锐捷网络股份有限公司 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN1996939A (zh) * | 2006-12-29 | 2007-07-11 | 华为技术有限公司 | 报文访问控制的方法、转发引擎和通信设备 |
| CN101594265A (zh) * | 2009-06-30 | 2009-12-02 | 北京星网锐捷网络技术有限公司 | 一种网络故障诊断方法、装置和网络设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
-
2013
- 2013-03-06 CN CN201310071608.9A patent/CN103200123B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN1725736A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 配置访问控制列表的方法及其应用 |
| CN1996939A (zh) * | 2006-12-29 | 2007-07-11 | 华为技术有限公司 | 报文访问控制的方法、转发引擎和通信设备 |
| CN101594265A (zh) * | 2009-06-30 | 2009-12-02 | 北京星网锐捷网络技术有限公司 | 一种网络故障诊断方法、装置和网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103200123A (zh) | 2013-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103200123B (zh) | 一种交换机端口安全控制方法 | |
| CN112615818B (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| US8737398B2 (en) | Communication module with network isolation and communication filter | |
| US8289839B2 (en) | Scaling BFD sessions for neighbors using physical / sub-interface relationships | |
| US10805390B2 (en) | Automated mirroring and remote switch port analyzer (RSPAN) functions using fabric attach (FA) signaling | |
| WO2009127931A1 (en) | Connectivity fault management traffic indication extension | |
| WO2017215291A1 (zh) | 基于ipran设备的以太网环路检测及处理方法 | |
| CN102594814A (zh) | 基于端末的网络访问控制系统 | |
| CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
| CN108833305B (zh) | 主机的虚拟网络装置 | |
| CN104683165A (zh) | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 | |
| CN108881302A (zh) | 工业以太网与blvds总线互联通讯装置及工业控制系统 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| WO2017143897A1 (zh) | 一种攻击处理方法、设备及系统 | |
| CN103095717A (zh) | 防止mac地址表溢出攻击的方法及网络设备 | |
| CN101030912A (zh) | 基于rrpp的快速环网防攻击的方法、装置和系统 | |
| CN102984031A (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| EP2518948A1 (en) | Methods, system and apparatus for protecting control virtual local network in ethernet ring network | |
| CN101997749A (zh) | 一种融合了入侵检测功能的交换机 | |
| KR101629089B1 (ko) | 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법 | |
| JP2008177677A (ja) | ループ対策付きスイッチングハブ | |
| WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 | |
| CN103166868A (zh) | 用于防邻居震荡的方法和装置 | |
| CN111431768B (zh) | 一种端口自环检测和保护的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wang Bin Inventor after: Liu Wei Inventor after: Yang Hongwei Inventor after: Qu Bin Inventor after: Guan Citian Inventor after: Hu Junfeng Inventor before: Wang Bin |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191230 Address after: Shenzhen Nanshan District City, Guangdong province 518000 North Ring Road North Song Ping Road No. 2 Sumitomo fiber cable plant on the eastern side of two yuan Co-patentee after: Shenzhen Xinaoke Cable Co., Ltd. Patentee after: Shenzhen New Greennet Technologies Co., Ltd. Address before: 518000, Shenzhen, Guangdong Province, Nanshan District Road, No. 10, building second, fourth Australian house Patentee before: Shenzhen New Greennet Technologies Co., Ltd. |