CN104168121A - 一种pse的端口保护方法以及pse - Google Patents
一种pse的端口保护方法以及pse Download PDFInfo
- Publication number
- CN104168121A CN104168121A CN201410334326.8A CN201410334326A CN104168121A CN 104168121 A CN104168121 A CN 104168121A CN 201410334326 A CN201410334326 A CN 201410334326A CN 104168121 A CN104168121 A CN 104168121A
- Authority
- CN
- China
- Prior art keywords
- port
- state
- described port
- pse
- opposite end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了一种PSE的端口保护方法以及PSE,该方法包括:PSE检测端口的端口状态信息;所述PSE利用所述端口状态信息确定所述端口的安全等级;所述PSE确定所述安全等级对应的端口保护策略;所述PSE利用所述端口保护策略对所述端口进行安全保护。本发明实施例中,可以对端口数据进行有效保护,加强端口安全性,并且避免非法用户获得合法PD的数据。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种PSE的端口保护方法以及PSE。
背景技术
如图1所示,在PoE(Power Over Ethernet,有源以太网)系统中,包括PSE(Power Sourcing Equipment,供电端设备)和PD(Powered Device,受电端设备)两部分。其中,PD可以为IP电话、网络安全摄像机、无线AP(Access Point,接入点)等以太网设备。PoE技术允许通过以太网电缆供电,其技术优势在于:提高可靠性,集中式电源供电,PD不需要外接电源,只需要一根网线即可。
现有技术中,由于IP电话和网络安全摄像机等PD可以采用组播方式传输数据,因此,任意非法用户接入到PSE后,即可以获得IP电话和网络安全摄像机等其它PD的数据,从而导致数据泄密,造成数据安全性问题。如图1所示,非法用户通过PC连接到PSE的端口之后,非法用户可以通过PC轻易的捕获PD1(如网络安全摄像机)和PD2(如IP电话)的数据。
发明内容
本发明实施例提供一种供电端设备PSE的端口保护方法,所述方法包括:
所述PSE检测端口的端口状态信息;所述PSE利用所述端口状态信息确定所述端口的安全等级;所述PSE确定所述安全等级对应的端口保护策略;所述PSE利用所述端口保护策略对所述端口进行安全保护。
所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备PD状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态;所述PSE检测端口的端口状态信息,包括:所述PSE从端口状态表中读取所述端口的端口状态信息;其中,所述端口状态表中记录有对端PD状态字段,PHY状态字段,MAC地址数量字段,802.1X状态字段;当对端PD状态字段为第一标识时,表示对端PD状态为端口上不存在有效PD;当对端PD状态字段为第二标识时,表示对端PD状态为端口上存在有效PD,并且存在非法PD;当对端PD状态字段为第三标识时,表示对端PD状态为端口上存在有效PD,并且存在合法PD;当PHY状态字段为第四标识时,表示PHY状态为使能;当PHY状态字段为第五标识时,表示PHY状态为未使能;当802.1X状态字段为第六标识时,表示802.1X状态为认证通过;当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
所述PSE利用所述端口状态信息确定所述端口的安全等级,具体包括:当所述端口状态信息为所述端口的对端PD状态、PHY状态、MAC地址数量、802.1X状态时,如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在非法PD,则所述PSE确定所述端口的安全等级为第一级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为未使能,则所述PSE确定所述端口的安全等级为第二级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量大于设定阈值,则所述PSE确定所述端口的安全等级为第三级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证不通过,则所述PSE确定所述端口的安全等级为第四级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证通过,则所述PSE确定所述端口的安全等级为第五级别。
所述PSE确定所述安全等级对应的端口保护策略的过程,具体包括:
当所述安全等级为第一级别时,所述PSE确定端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN;当所述安全等级为第二级别时,所述PSE确定端口保护策略为停止对所述端口进行PoE供电;当所述安全等级为第三级别时,所述PSE确定端口保护策略为将所述端口的PHY状态去使能;当所述安全等级为第四级别时,所述PSE确定端口保护策略为停止通过所述端口转发数据;当所述安全等级为第五级别时,所述PSE确定端口保护策略为通过所述端口转发数据,并对所述端口进行正常PoE供电。
所述方法进一步包括:所述PSE配置端口转发表,所述端口转发表中记录端口两两之间的互通性对应关系;其中,加入到Safe VLAN的两个端口之间能够互通;加入到默认数据转发VLAN的两个端口之间能够互通;加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通;
所述PSE在收到数据报文时,利用收到所述数据报文的端口查询所述端口转发表,确认与该端口具有互通关系的端口,进而转发所述数据报文。
本发明实施例提供一种PSE,所述PSE具体包括:
状态信息确定模块,用于检测端口的端口状态信息;安全等级确定模块,用于利用所述端口状态信息确定端口的安全等级;保护策略确定模块,用于确定所述安全等级对应的端口保护策略;安全保护模块,用于利用所述端口保护策略对所述端口进行安全保护。
所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备PD状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态;所述状态信息确定模块,具体用于从端口状态表中读取所述端口的端口状态信息,该端口状态表中记录有对端PD状态字段,PHY状态字段,MAC地址数量字段,802.1X状态字段;当对端PD状态字段为第一标识时,表示对端PD状态为端口上不存在有效PD;当对端PD状态字段为第二标识时,表示对端PD状态为端口上存在有效PD,并且存在非法PD;当对端PD状态字段为第三标识时,表示对端PD状态为端口上存在有效PD,并且存在合法PD;当PHY状态字段为第四标识时,表示PHY状态为使能;当PHY状态字段为第五标识时,表示PHY状态为未使能;当802.1X状态字段为第六标识时,表示802.1X状态为认证通过;当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
所述安全等级确定模块,具体用于当端口状态信息为所述端口的对端PD状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时,如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在非法PD,则确定所述端口的安全等级为第一级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为未使能,则确定所述端口的安全等级为第二级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量大于设定阈值,则确定所述端口的安全等级为第三级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证不通过,则确定所述端口的安全等级为第四级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证通过,则确定所述端口的安全等级为第五级别。
所述保护策略确定模块,具体用于当所述安全等级为第一级别时,确定所述端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN;当所述安全等级为第二级别时,确定所述端口保护策略为停止对所述端口进行PoE供电;当所述安全等级为第三级别时,确定所述端口保护策略为将所述端口的PHY状态去使能;当所述安全等级为第四级别时,确定所述端口保护策略为停止通过所述端口转发数据;当所述安全等级为第五级别时,确定所述端口保护策略为通过所述端口转发数据,并对所述端口进行正常PoE供电。
所述安全保护模块,还用于配置端口转发表,所述端口转发表中记录端口两两之间的互通性对应关系;其中,加入到Safe VLAN的两个端口之间能够互通;加入到默认数据转发VLAN的两个端口之间能够互通;加入到SafeVLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通;
在收到数据报文时,利用收到所述数据报文的端口查询所述端口转发表,确认与该端口具有互通关系的端口,进而转发所述数据报文。
基于上述技术方案,本发明实施例中,通过设置不同安全等级对应的端口保护策略,以在确定端口的安全等级之后,基于该安全等级对应的端口保护策略对端口进行安全保护,从而对端口数据进行有效保护,加强端口安全性,避免非法用户获得合法PD的数据,避免数据泄密和数据安全性等问题。
附图说明
图1是包括PSE和PD的PoE系统的组网示意图;
图2是本发明实施例提出的应用场景示意图;
图3是本发明实施例提出的一种端口保护方法流程示意图;
图4是本发明实施例提出的一种PSE的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种PSE的端口保护方法,该方法应用于包括PSE和PD的PoE系统中。以图2为本发明实施例的应用场景示意图,PSE的P1端口为上行端口,P1端口连接数据服务器,该数据服务器是与PD进行通信的对象,例如,当PD为网络安全摄像机时,该数据服务器可以为视频服务器,当PD为IP电话时,该数据服务器可以为SIP(Session Initiation Protocol,会话发起协议)服务器)。
PSE的P2端口、P3端口、P4端口、P5端口和P6端口为下行端口。P2端口连接网络安全摄像机。P3端口连接用户A的网络安全摄像机。P4端口连接用户B的PC。P5端口连接PoE交换机,且用户C使用网络安全摄像机和PC级联在PoE交换机上。P6端口连接PoE中跨交换机,且用户D使用网络安全摄像机和PC级联在PoE中跨交换机上。
在上述应用场景下,如图3所示,该端口保护方法可以包括以下步骤:
步骤301,PSE检测端口的端口状态信息。
本发明实施例中,当有设备接入到PSE的端口时,PSE可以启用一个线程定时检测该端口的端口状态信息。其中,该端口状态信息包括但不限于以下之一或者任意组合:端口的对端PD状态、PHY(物理层)状态、MAC(MediaAccess Control,介质访问控制)地址数量、802.1X状态。
其中,定时检测的时间N不能设置过短,以防止占用大量的CPU(中央处理器)资源;定时检测的时间N不能设置过长,以防止出现无法及时检测端口状态信息的情况。因此,可以将定时检测的时间N设置为2秒。
本发明实施例中,以端口状态信息包括对端PD状态、PHY状态、MAC地址数量、802.1X状态为例。基于此,PSE检测端口状态信息的过程,具体包括但不限于:PSE为每个端口维护端口状态表,该端口状态表中记录有对端PD状态字段,PHY状态字段,MAC地址数量字段,802.1X状态字段。其中,当对端PD状态字段为第一标识时,表示对端PD状态为端口上不存在有效PD;当对端PD状态字段为第二标识时,表示对端PD状态为端口上存在有效PD,并且存在非法PD;当对端PD状态字段为第三标识时,表示对端PD状态为端口上存在有效PD,并且存在合法PD。当PHY状态字段为第四标识时,表示PHY状态为使能;当PHY状态字段为第五标识时,表示PHY状态为未使能。当802.1X状态字段为第六标识时,表示802.1X状态为认证通过;当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
进一步的,在需要确定端口的端口状态信息时,PSE从该端口的端口状态表中读取该端口的端口状态信息。其中,如果对端PD状态字段为第一标识,则确定端口的对端PD状态为端口上不存在有效PD;如果对端PD状态字段为第二标识,则确定端口的对端PD状态为端口上存在有效PD,并且存在非法PD;如果对端PD状态字段为第三标识,则确定端口的对端PD状态为端口上存在有效PD,并且存在合法PD。如果PHY状态字段为第四标识,则确定端口的PHY状态为使能;如果PHY状态字段为第五标识,则确定端口的PHY状态为未使能。如果MAC地址数量字段为1,则确定端口的MAC地址数量为1;如果MAC地址数量字段为2,则确定端口的MAC地址数量为2;如果MAC地址数量字段为3,则确定端口的MAC地址数量为3;以此类推。如果802.1X状态字段为第六标识,则确定端口的802.1X状态为认证通过;如果802.1X状态字段为第七标识,则确定端口的802.1X状态为认证不通过。
PSE维护端口状态表的过程中,针对对端PD状态,PSE可以通过检测以太网电缆(本PSE与对端设备互联的以太网电缆)之间的阻容值来判断对端PD状态。其中,当PSE上的PoE模块与电路板耦合在一起时,由PoE模块检测以太网电缆之间的阻容值来判断对端PD状态;当PSE上的PoE模块没有与电路板耦合在一起时,由PoE扣板检测以太网电缆之间的阻容值来判断对端PD状态。例如,PoE模块或者PoE扣板发出2.8V-10V信号到以太网电缆上,如果存在有效PD,则有效PD将感测到此电压,并在电源线上加上23.75kΩ-26.25kΩ的电阻,PSE模块或者PoE扣板一旦感测到产生的电流,则认为端口上存在有效PD;如果PSE模块或者PoE扣板无法感测到产生的电流,则认为端口上不存在有效PD,此时将端口状态表中的对端PD状态字段设置为第一标识。如果端口上存在有效PD,则直流阻抗在19K-26.5Kohm之间,且容值不超过150nF时,认为端口上存在合法PD,此时将端口状态表中的对端PD状态字段设置为第三标识;否则,认为端口上存在非法PD,此时将端口状态表中的对端PD状态字段设置为第二标识。上述方式是以电阻为依据确定对端PD状态的,实际应用中也可以以电容为依据确定对端PD状态,相应处理方式在此不再赘述。进一步的,针对端口状态表中的PHY状态、MAC地址数量、802.1X状态等其它字段,其相应的维护过程不再详加赘述。
步骤302,PSE利用端口状态信息确定端口的安全等级。
其中,安全等级的数量可以根据实际经验任意设置。如设置安全等级为:第一级别、第二级别、第三级别;或者,第一级别、第二级别、第三级别、第四级别;或者,第一级别、第二级别、第三级别、第四级别、第五级别。
本发明实施例中,以端口状态信息具体为对端PD状态、PHY状态、MAC地址数量、802.1X状态,安全等级为第一级别、第二级别、第三级别、第四级别、第五级别为例,则PSE利用端口状态信息确定端口的安全等级的过程,具体包括但不限于:如果端口的对端PD状态为端口上存在有效PD,并且存在非法PD,则PSE确定端口的安全等级为第一级别;如果端口的对端PD状态为端口上存在有效PD,并且存在合法PD,端口的PHY状态为未使能,则PSE确定端口的安全等级为第二级别;如果端口的对端PD状态为端口上存在有效PD,并且存在合法PD,端口的PHY状态为使能,端口的MAC地址数量大于设定阈值(设定阈值由用户根据实际经验任意设置,如设定阈值为1),则PSE确定端口的安全等级为第三级别;如果端口的对端PD状态为端口上存在有效PD,并且存在合法PD,端口的PHY状态为使能,端口的MAC地址数量不大于设定阈值,端口的802.1X状态为认证不通过,则PSE确定端口的安全等级为第四级别;如果端口的对端PD状态为端口上存在有效PD,并且存在合法PD,端口的PHY状态为使能,端口的MAC地址数量不大于设定阈值,端口的802.1X状态为认证通过,PSE确定端口的安全等级为第五级别。
在图2所示的应用场景下,针对P2端口,P2端口连接合法的网络安全摄像机,因此,经过检测,P2端口的对端PD状态为P2端口上存在有效PD,并且存在合法PD,P2端口的PHY状态为使能,P2端口的MAC地址数量不大于设定阈值1,P2端口的802.1X状态为认证通过,PSE确定P2端口的安全等级为第五级别。针对P3端口,在用户A通过网络安全摄像机接入到PSE的P3端口时,经过检测,P3端口的对端PD状态为P3端口上存在有效PD,并且存在合法PD,P3端口的PHY状态为使能,P3端口的MAC地址数量不大于设定阈值1,P3端口的802.1X状态为认证通过,PSE确定P3端口的安全等级为第五级别。针对P4端口,在用户B通过PC(PC不是合法的PD)接入到PSE的P4端口时,经过检测,P4端口的对端PD状态为P4端口上存在有效PD,并且存在非法PD,PSE确定P4端口的安全等级为第一级别。针对P5端口,在用户C通过PoE交换机(PoE交换机不是合法的PD)接入到PSE的P5端口时,经过检测,P5端口的对端PD状态为P5端口上存在有效PD,并且存在非法PD,PSE确定P5端口的安全等级为第一级别。针对P6端口,在用户D通过PoE中跨交换机(PoE中跨交换机是合法的PD)接入到PSE的P6端口时,经过检测,P6端口的对端PD状态为P6端口上存在有效PD,并且存在合法PD,P6端口的PHY状态为使能,P6端口的MAC地址数量大于设定阈值1,且PSE确定P6端口的安全等级为第三级别。
步骤303,PSE确定安全等级对应的端口保护策略。
本发明实施例中,端口保护策略可以由网络管理员按照实际情况自行定制,如端口保护策略具体可以包括但不限于以下之一或者任意组合:将端口加入到Safe VLAN(Safe Virtual Local Area Network,安全虚拟局域网);停止对端口进行PoE供电;将端口的PHY状态去使能,即不允许端口状态被LinkUP(链路启动);停止通过端口转发数据,即禁止数据进入对应端口的缓存队列,从而无法转发数据;通过端口转发数据,并对端口进行正常PoE供电。
其中,Safe VLAN与默认转发流量的VLAN不一致。
本发明实施例中,PSE可以根据网络规划预先为安全等级配置对应的端口保护策略,不同的安全等级可以对应相同的端口保护策略,也可以对应不同的端口保护策略,但是一个安全等级只能对应一个端口保护策略。
本发明实施例中,以安全等级为第一级别、第二级别、第三级别、第四级别、第五级别,且一个安全等级对应一个端口保护策略为例,则PSE确定安全等级对应的端口保护策略的过程,具体包括但不限于:当安全等级为第一级别时,PSE认为有非法PD接入,确定端口保护策略为将端口加入到SafeVLAN。当安全等级为第二级别时,PSE认为有PD未正常上电,确定端口保护策略为停止对端口进行PoE供电。当安全等级为第三级别时,PSE认为可能有多台设备接入,确定端口保护策略为将端口的PHY状态去使能,即端口状态不允许被Link UP。当安全等级为第四级别时,PSE认为是非法设备接入,确定端口保护策略为停止通过端口转发数据。当安全等级为第五级别时,PSE认为是正常PD(如IP电话、网络安全摄像机、无线AP等以太网设备)接入,确定端口保护策略为通过端口转发数据,并对端口进行正常PoE供电。
步骤304,PSE利用端口保护策略对端口进行安全保护,即PSE启用安全等级对应的端口保护策略,以利用该端口保护策略对端口进行安全保护。
在图2所示的应用场景下,针对P2端口,安全等级为第五级别,端口保护策略为通过端口转发数据,并对端口进行正常PoE供电,因此,PSE对P2端口进行正常PoE供电,并通过P2端口转发数据。针对P3端口,安全等级为第五级别,端口保护策略为通过端口转发数据,并对端口进行正常PoE供电,因此,PSE对P3端口进行正常PoE供电,并通过P3端口转发数据。针对P4端口,安全等级为第一级别,端口保护策略为将端口加入到Safe VLAN,因此,PSE将P4端口加入到Safe VLAN。针对P5端口,安全等级为第一级别,端口保护策略为将端口加入到Safe VLAN,因此,PSE将P5端口加入到Safe VLAN。针对P6端口,安全等级为第三级别,端口保护策略为将端口的PHY状态去使能,因此,PSE将P6端口的PHY状态去使能。
本发明实施例中,PSE还可以配置端口转发表,该端口转发表中记录端口两两之间的互通性对应关系。其中,加入到Safe VLAN(不同于默认数据转发VLAN)的两个端口之间能够互通;加入到默认数据转发VLAN的两个端口之间能够互通;加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通;如果Safe VLAN内的设备允许访问上行网络,则数据服务器连接的端口同时加入Safe VLAN。基于此,PSE在收到数据报文之时,可以利用收到该数据的端口查询端口转发表,确认与该端口具有互通关系的端口,进而转发数据报文。
在图2所示的应用场景下,默认数据转发VLAN为VLAN1,Safe VLAN为VLAN100,在未执行步骤301-步骤304之前,P1端口-P6端口均为加入到默认数据转发VLAN的端口。本发明实施例中,在执行步骤301-步骤304之后,P4端口和P5端口被加入到Safe VLAN,此时,P4端口和P5端口为加入到Safe VLAN的端口,P1端口-P3端口、P6端口为加入到默认数据转发VLAN的端口,端口转发表可以如表1所示。进一步的,如果Safe VLAN内的设备允许访问上行网络,则P1端口还可以被加入到Safe VLAN,即P1端口同时加入到默认数据转发VLAN和Safe VLAN,端口转发表可以如表2所示。在表1和表2中,F表示从横向端口收到的数据,可以通过纵向端口发送出去。
表1
| P1端口 | P2端口 | P3端口 | P4端口 | P5端口 | P6端口 | |
| P1端口 | F | F | F | |||
| P2端口 | F | F | F | |||
| P3端口 | F | F | F | |||
| P4端口 | F | |||||
| P5端口 | F |
| P6端口 | F | F | F |
表2
| P1端口 | P2端口 | P3端口 | P4端口 | P5端口 | P6端口 | |
| P1端口 | F | F | F | F | F | |
| P2端口 | F | F | F | |||
| P3端口 | F | F | F | |||
| P4端口 | F | F | ||||
| P5端口 | F | F | ||||
| P6端口 | F | F | F |
基于上述处理之后,假设端口转发表如表1或表2所示,则PSE在通过P2端口收到数据时,该数据能够通过P1端口、P3端口和P6端口进行转发,而由于P6端口的PHY状态去使能,因此PSE只会通过P1端口和P3端口转发该数据,即该数据不会通过P4端口、P5端口和端口P6进行转发,因此可以避免P2端口上收到的数据被泄密到P4端口、P5端口和端口P6,因此可以避免数据被泄密和数据安全性等问题。同理,PSE在通过P3端口收到数据时,该数据同样能够避免被泄密到P4端口、P5端口和端口P6。
本发明实施例中,各端口的安全等级的初始值为0。PSE在确定端口的安全等级发生变化之后,还可以向网管服务器发送Trap消息,该Trap消息中携带该端口的安全等级发生变化的信息和/或端口保护策略发生变化的信息。进一步的,网管服务器在收到Trap消息之后,记录该端口对应的PD可能发生异常的信息,并在确认该端口对应的PD发生异常时,如果该端口对应的PD没有关闭,则网管服务器通过SNMP(Simple Network Management Protocol,简单网络管理协议)等方式关闭该端口对应的PD;如果该端口对应的PD已经关闭,则网管服务器不再进行处理。
本发明实施例中,当检测到端口上连接的设备离开时,PSE还可以撤销该端口对应的端口保护策略,即PSE禁止启用安全等级对应的端口保护策略。
本发明实施例中,通过设置不同安全等级对应的端口保护策略,以在确定端口的安全等级之后,基于该安全等级对应的端口保护策略对端口进行安全保护,从而对端口数据进行有效保护,加强端口安全性,避免非法用户获得合法PD的数据,避免数据泄密和数据安全性等问题。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种供电端设备PSE,如图4所示,所述PSE具体包括:
状态信息确定模块11,用于检测端口的端口状态信息;安全等级确定模块12,用于利用所述端口状态信息确定端口的安全等级;保护策略确定模块13,用于确定所述安全等级对应的端口保护策略;安全保护模块14,用于利用所述端口保护策略对所述端口进行安全保护。
所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备PD状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态;所述状态信息确定模块11,具体用于从端口状态表中读取所述端口的端口状态信息,该端口状态表中记录有对端PD状态字段,PHY状态字段,MAC地址数量字段,802.1X状态字段;当对端PD状态字段为第一标识时,表示对端PD状态为端口上不存在有效PD;当对端PD状态字段为第二标识时,表示对端PD状态为端口上存在有效PD,并且存在非法PD;当对端PD状态字段为第三标识时,表示对端PD状态为端口上存在有效PD,并且存在合法PD;当PHY状态字段为第四标识时,表示PHY状态为使能;当PHY状态字段为第五标识时,表示PHY状态为未使能;当802.1X状态字段为第六标识时,表示802.1X状态为认证通过;当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
所述安全等级确定模块12,具体用于当端口状态信息为所述端口的对端PD状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时,如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在非法PD,则确定所述端口的安全等级为第一级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为未使能,则确定所述端口的安全等级为第二级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量大于设定阈值,则确定所述端口的安全等级为第三级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证不通过,则确定所述端口的安全等级为第四级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证通过,则确定所述端口的安全等级为第五级别。
所述保护策略确定模块13,具体用于当所述安全等级为第一级别时,确定所述端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN;当所述安全等级为第二级别时,确定所述端口保护策略为停止对所述端口进行PoE供电;当所述安全等级为第三级别时,确定所述端口保护策略为将所述端口的PHY状态去使能;当所述安全等级为第四级别时,确定所述端口保护策略为停止通过所述端口转发数据;当所述安全等级为第五级别时,确定所述端口保护策略为通过所述端口转发数据,并对所述端口进行正常PoE供电。
所述安全保护模块14,还用于配置端口转发表,所述端口转发表中记录端口两两之间的互通性对应关系;其中,加入到Safe VLAN的两个端口之间能够互通;加入到默认数据转发VLAN的两个端口之间能够互通;加入到SafeVLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通;
在收到数据报文时,利用收到所述数据报文的端口查询所述端口转发表,确认与该端口具有互通关系的端口,进而转发所述数据报文。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种供电端设备PSE的端口保护方法,其特征在于,所述方法包括:
所述PSE检测端口的端口状态信息;
所述PSE利用所述端口状态信息确定所述端口的安全等级;
所述PSE确定所述安全等级对应的端口保护策略;
所述PSE利用所述端口保护策略对所述端口进行安全保护。
2.如权利要求1所述的方法,其特征在于,所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备PD状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态;
所述PSE检测端口的端口状态信息的过程,具体包括:所述PSE从端口状态表中读取所述端口的端口状态信息;其中,所述端口状态表中记录有对端PD状态字段,PHY状态字段,MAC地址数量字段,802.1X状态字段;
当对端PD状态字段为第一标识时,表示对端PD状态为端口上不存在有效PD;当对端PD状态字段为第二标识时,表示对端PD状态为端口上存在有效PD,并且存在非法PD;当对端PD状态字段为第三标识时,表示对端PD状态为端口上存在有效PD,并且存在合法PD;当PHY状态字段为第四标识时,表示PHY状态为使能;当PHY状态字段为第五标识时,表示PHY状态为未使能;当802.1X状态字段为第六标识时,表示802.1X状态为认证通过;当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
3.如权利要求1或2所述的方法,其特征在于,所述PSE利用所述端口状态信息确定所述端口的安全等级的过程,具体包括:
当所述端口状态信息具体为所述端口的对端PD状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时,
如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在非法PD,则所述PSE确定所述端口的安全等级为第一级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为未使能,则所述PSE确定所述端口的安全等级为第二级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量大于设定阈值,则所述PSE确定所述端口的安全等级为第三级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证不通过,则所述PSE确定所述端口的安全等级为第四级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证通过,则所述PSE确定所述端口的安全等级为第五级别。
4.如权利要求3所述的方法,其特征在于,所述PSE确定所述安全等级对应的端口保护策略的过程,具体包括:
当所述安全等级为第一级别时,所述PSE确定端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN;当所述安全等级为第二级别时,所述PSE确定端口保护策略为停止对所述端口进行PoE供电;当所述安全等级为第三级别时,所述PSE确定端口保护策略为将所述端口的PHY状态去使能;当所述安全等级为第四级别时,所述PSE确定端口保护策略为停止通过所述端口转发数据;当所述安全等级为第五级别时,所述PSE确定端口保护策略为通过所述端口转发数据,并对所述端口进行正常PoE供电。
5.如权利要求4所述的方法,其特征在于,所述方法进一步包括:
所述PSE配置端口转发表,所述端口转发表中记录端口两两之间的互通性对应关系;其中,加入到Safe VLAN的两个端口之间能够互通;加入到默认数据转发VLAN的两个端口之间能够互通;加入到Safe VLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通;
所述PSE在收到数据报文时,利用收到所述数据报文的端口查询所述端口转发表,确认与该端口具有互通关系的端口,进而转发所述数据报文。
6.一种供电端设备PSE,其特征在于,所述PSE具体包括:
状态信息确定模块,用于检测端口的端口状态信息;
安全等级确定模块,用于利用所述端口状态信息确定端口的安全等级;
保护策略确定模块,用于确定所述安全等级对应的端口保护策略;
安全保护模块,用于利用所述端口保护策略对所述端口进行安全保护。
7.如权利要求6所述的PSE,其特征在于,所述端口状态信息包括以下之一或者任意组合:所述端口的对端受电端设备PD状态、所述端口的物理层PHY状态、所述端口的介质访问控制MAC地址数量、所述端口的802.1X状态;
所述状态信息确定模块,具体用于从端口状态表中读取所述端口的端口状态信息,该端口状态表中记录有对端PD状态字段,PHY状态字段,MAC地址数量字段,802.1X状态字段;其中,当对端PD状态字段为第一标识时,表示对端PD状态为端口上不存在有效PD;当对端PD状态字段为第二标识时,表示对端PD状态为端口上存在有效PD,并且存在非法PD;当对端PD状态字段为第三标识时,表示对端PD状态为端口上存在有效PD,并且存在合法PD;当PHY状态字段为第四标识时,表示PHY状态为使能;当PHY状态字段为第五标识时,表示PHY状态为未使能;当802.1X状态字段为第六标识时,表示802.1X状态为认证通过;当802.1X状态字段为第七标识时,表示802.1X状态为认证不通过。
8.如权利要求6或7所述的PSE,其特征在于,
所述安全等级确定模块,具体用于当端口状态信息为所述端口的对端PD状态、所述端口的PHY状态、所述端口的MAC地址数量、所述端口的802.1X状态时,如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在非法PD,则确定所述端口的安全等级为第一级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为未使能,则确定所述端口的安全等级为第二级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量大于设定阈值,则确定所述端口的安全等级为第三级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证不通过,则确定所述端口的安全等级为第四级别;如果所述端口的对端PD状态为所述端口上存在有效PD,并且存在合法PD,所述端口的PHY状态为使能,所述端口的MAC地址数量不大于设定阈值,所述端口的802.1X状态为认证通过,则确定所述端口的安全等级为第五级别。
9.如权利要求8所述的PSE,其特征在于,
所述保护策略确定模块,具体用于当所述安全等级为第一级别时,确定所述端口保护策略为将所述端口加入到安全虚拟局域网Safe VLAN;当所述安全等级为第二级别时,确定所述端口保护策略为停止对所述端口进行PoE供电;当所述安全等级为第三级别时,确定所述端口保护策略为将所述端口的PHY状态去使能;当所述安全等级为第四级别时,确定所述端口保护策略为停止通过所述端口转发数据;当所述安全等级为第五级别时,确定所述端口保护策略为通过所述端口转发数据,并对所述端口进行正常PoE供电。
10.如权利要求9所述的PSE,其特征在于,
所述安全保护模块,还用于配置端口转发表,所述端口转发表中记录端口两两之间的互通性对应关系;其中,加入到Safe VLAN的两个端口之间能够互通;加入到默认数据转发VLAN的两个端口之间能够互通;加入到SafeVLAN的端口与加入到默认数据转发VLAN的端口之间不能够互通;
在收到数据报文时,利用收到所述数据报文的端口查询所述端口转发表,确认与该端口具有互通关系的端口,进而转发所述数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410334326.8A CN104168121B (zh) | 2014-07-14 | 2014-07-14 | 一种pse的端口保护方法以及pse |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410334326.8A CN104168121B (zh) | 2014-07-14 | 2014-07-14 | 一种pse的端口保护方法以及pse |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104168121A true CN104168121A (zh) | 2014-11-26 |
| CN104168121B CN104168121B (zh) | 2018-09-04 |
Family
ID=51911771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410334326.8A Active CN104168121B (zh) | 2014-07-14 | 2014-07-14 | 一种pse的端口保护方法以及pse |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104168121B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286504A (zh) * | 2017-07-20 | 2019-01-29 | 南宁富桂精密工业有限公司 | 侦测未授权受电设备的方法及供电设备 |
| CN109698755A (zh) * | 2017-10-23 | 2019-04-30 | 华为技术有限公司 | 供电控制方法、供电设备及受电设备 |
| CN111404956A (zh) * | 2020-03-25 | 2020-07-10 | 深信服科技股份有限公司 | 一种风险信息获取方法、装置、电子设备及存储介质 |
| CN113645080A (zh) * | 2021-08-16 | 2021-11-12 | 杭州海康威视数字技术股份有限公司 | 一种设备配置方法、装置、电子设备及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100257381A1 (en) * | 2006-01-17 | 2010-10-07 | Broadcom Corporation | Apparatus and Method for Multi-Point Detection in Power-Over-Ethernet Detection Mode |
| CN102387022A (zh) * | 2011-10-20 | 2012-03-21 | 华为技术有限公司 | 一种以太网供电方法和装置 |
| CN103488268A (zh) * | 2013-09-05 | 2014-01-01 | 华为技术有限公司 | 一种存储装置及存储装置的供电方法 |
| CN103684619A (zh) * | 2013-12-19 | 2014-03-26 | 福建星网锐捷网络有限公司 | 基于光纤的供电与通信方法及系统、供电设备、受电设备 |
-
2014
- 2014-07-14 CN CN201410334326.8A patent/CN104168121B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100257381A1 (en) * | 2006-01-17 | 2010-10-07 | Broadcom Corporation | Apparatus and Method for Multi-Point Detection in Power-Over-Ethernet Detection Mode |
| CN102387022A (zh) * | 2011-10-20 | 2012-03-21 | 华为技术有限公司 | 一种以太网供电方法和装置 |
| CN103488268A (zh) * | 2013-09-05 | 2014-01-01 | 华为技术有限公司 | 一种存储装置及存储装置的供电方法 |
| CN103684619A (zh) * | 2013-12-19 | 2014-03-26 | 福建星网锐捷网络有限公司 | 基于光纤的供电与通信方法及系统、供电设备、受电设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286504A (zh) * | 2017-07-20 | 2019-01-29 | 南宁富桂精密工业有限公司 | 侦测未授权受电设备的方法及供电设备 |
| CN109286504B (zh) * | 2017-07-20 | 2021-08-31 | 南宁富桂精密工业有限公司 | 侦测未授权受电设备的方法及供电设备 |
| CN109698755A (zh) * | 2017-10-23 | 2019-04-30 | 华为技术有限公司 | 供电控制方法、供电设备及受电设备 |
| CN111404956A (zh) * | 2020-03-25 | 2020-07-10 | 深信服科技股份有限公司 | 一种风险信息获取方法、装置、电子设备及存储介质 |
| CN113645080A (zh) * | 2021-08-16 | 2021-11-12 | 杭州海康威视数字技术股份有限公司 | 一种设备配置方法、装置、电子设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104168121B (zh) | 2018-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8549331B2 (en) | Redundant power and data in a wired data telecommunications network | |
| US8259562B2 (en) | Wiring closet redundancy | |
| US7752672B2 (en) | Methods and apparatus for physical layer security of a network communications link | |
| US7599301B2 (en) | Communications network tap with heartbeat monitor | |
| EP2555476A1 (en) | Method, system and device for protecting multicast in communication network | |
| US8918660B2 (en) | Power sourcing network port reset | |
| US20120023340A1 (en) | Network switch with power over ethernet | |
| MX2011002346A (es) | Reduccion de la transmision de mensajes de cc en una red del proveedor. | |
| US9036653B2 (en) | PoE communication bus, interface, and protocol between PoE subsystem and PHY or switch subsystems | |
| CN105657748A (zh) | 基于隧道绑定的通信方法和网络设备 | |
| US9014248B2 (en) | BASE-T common mode testing in an Ethernet subsystem | |
| CN104168121A (zh) | 一种pse的端口保护方法以及pse | |
| CN104660449B (zh) | 防止堆叠分裂多主设备Master的方法和设备 | |
| JPWO2017073089A1 (ja) | 通信装置及びシステム及び方法 | |
| CN104518936B (zh) | 链路动态聚合方法和装置 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN105592047A (zh) | 一种业务报文的传输方法和装置 | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| CN103532863A (zh) | 一种实现软件堆叠的方法和装置 | |
| CN103220189B (zh) | 一种mad检测备份方法和设备 | |
| US9923759B2 (en) | Control method and device for self-loopback of network data | |
| US9929878B1 (en) | Auto detection and prevention of loop, segmentation and traffic outage in a G.8032 ring network | |
| JP2011151514A (ja) | トラフィック量監視システム | |
| EP2858302A1 (en) | Connectivity check method of service stream link, related apparatus and system | |
| CN102158422A (zh) | 一种用于二层环网中的报文转发的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |