CN113315652B - 一种优化交换机访问控制的方法、系统、设备及介质 - Google Patents
一种优化交换机访问控制的方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN113315652B CN113315652B CN202110472152.1A CN202110472152A CN113315652B CN 113315652 B CN113315652 B CN 113315652B CN 202110472152 A CN202110472152 A CN 202110472152A CN 113315652 B CN113315652 B CN 113315652B
- Authority
- CN
- China
- Prior art keywords
- port
- utilization rate
- threshold value
- cpu resource
- protection function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000012544 monitoring process Methods 0.000 claims abstract description 33
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 230000006870 function Effects 0.000 claims description 80
- 230000003068 static effect Effects 0.000 claims description 44
- 238000012545 processing Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种优化交换机访问控制的方法、系统、设备和存储介质,方法包括:监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。本发明通过交换机CPU资源和端口报文流量的实时监控结果为基准,对每个端口的DAI功能和IP Source Guard功能进行灵活切换,达到交换机CPU资源和存储资源的最优配置。
Description
技术领域
本发明涉及交换机领域,更具体地,特别是指一种优化交换机访问控制的方法、系统、计算机设备及可读介质。
背景技术
交换机的主要作用,简而言之就是一个“多端口网桥”,它为每一个主机分配一个业务端口,在多个主机之间进行相互通信时,交换机可以在数据链路层上隔离冲突域。攻击者可以利用交换机的工作原理,进行如下行动:
1.泛洪攻击。不断发送访问未知端口主机(目的主机MAC(Media Access Control,介质访问控制)地址不在交换机MAC表中)的以太帧,使得交换机不得不采用广播泛洪的方式转发至其他端口,占用大量网络资源,造成拒绝服务;
2.IP(Internet Protocol,网际协议)地址欺骗。指攻击者产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道;
3.ARP报文欺骗。ARP欺骗,又称ARP毒化或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。根据ARP欺骗者与被欺骗者之间的角色关系的不同,通常可以把ARP欺骗攻击分为主机型ARP欺骗和网关型ARP欺骗。
为应对上述攻击,当前的大多数交换机都会提供IP Source Guard(网际协议源保护)技术和DAI(Dynamic Address Resolution Protocol Inspection,动态地址解析协议检测)技术对上述报文攻击和其他交换机安全问题进行防范,以提高交换机端口的安全性。目前,市面上的主流厂商的交换机还没能做到这两种技术在特定场景下的切换,以达到交换机CPU资源和存储资源的最优配置。
发明内容
有鉴于此,本发明实施例的目的在于提出一种优化交换机访问控制的方法、系统、计算机设备及计算机可读存储介质,本发明通过交换机CPU资源和端口报文流量的实时监控结果为基准,对每个端口的DAI功能和IP Source Guard功能进行灵活切换,达到交换机CPU资源和存储资源的最优配置。
基于上述目的,本发明实施例的一方面提供了一种优化交换机访问控制的方法,包括如下步骤:监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。
在一些实施方式中,所述开启所述第一端口的网际协议源保护功能包括:生成所述第一端口的绑定数据库,将原始数据库中的客户端主机信息同步到所述绑定数据库。
在一些实施方式中,方法还包括:响应于新增未记录在所述原始数据库中的静态绑定信息,设置对所述静态绑定信息的处理方式,并将所述静态绑定信息写入所述绑定数据库。
在一些实施方式中,方法还包括:判断所述CPU资源的使用率是否小于第二阈值,所述第二阈值小于所述第一阈值;响应于所述CPU资源的使用率小于所述第二阈值,确定开启所述网际协议源保护功能中处理报文数量最少的第二端口;关闭所述第二端口的网际协议源保护功能,并开启所述第二端口的动态地址解析协议检测功能;以及重复上述步骤直到所述CPU资源的使用率不小于所述第二阈值。
在一些实施方式中,所述关闭所述第二端口的网际协议源保护功能包括:删除所述第二端口的绑定数据库以释放存储空间。
在一些实施方式中,所述关闭所述第二端口的网际协议源保护功能包括:判断所述绑定数据库中是否存在静态绑定信息;以及响应于所述绑定数据库中存在静态绑定信息,按照预设的处理方式对所述静态绑定信息进行删除或保留。
在一些实施方式中,方法还包括:响应于对所述静态绑定信息进行保留且所述第二端口再次开启所述网际协议源保护功能,直接将所述静态绑定信息写入所述绑定数据库。
本发明实施例的另一方面,提供了一种优化交换机访问控制的系统,包括:第一监测模块,配置用于监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;第二监测模块,配置用于响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;切换模块,配置用于关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及执行模块,配置用于返回所述第一监测模块直到所述CPU资源的使用率不超过所述第一阈值。
本发明实施例的又一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现如上方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:通过交换机CPU资源和端口报文流量的实时监控结果为基准,对每个端口的DAI功能和IP Source Guard功能进行灵活切换,达到交换机CPU资源和存储资源的最优配置。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的优化交换机访问控制的方法的实施例的示意图;
图2为本发明提供的优化交换机访问控制的计算机设备的实施例的硬件结构示意图;
图3为本发明提供的优化交换机访问控制的计算机存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种优化交换机访问控制的方法的实施例。图1示出的是本发明提供的优化交换机访问控制的方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S1、监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;
S2、响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;
S3、关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及
S4、重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。
首先介绍一下交换机的DHCP snooping功能:DHCP snooping意为DHCP监听,在一次PC动态获取IP地址的过程中,通过对客户端和服务器之间的DHCP交互报文进行窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)报文过滤的功能,通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址。因此,本发明在具体实施的过程中,交换机必须开启DHCP snooping功能,这其实也是当前交换机最基本的安全功能,默认情况下必须开启。而IP Source Guard技术和DAI技术都是基于DHCP snooping功能来为交换机提供安全保障。
IP Source Guard可以在对应的接口上进行基于源IP、源MAC地址和VLAN-tag的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。该技术的关键在于维护一个IP源地址绑定数据库,配置了该特性的端口接收到报文后查找IP SourceGuard绑定数据库,如果报文中的特征项与绑定数据库中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而有效防御泛洪攻击和IP地址欺骗,限制了攻击者对网络资源的非法使用。
DAI技术,即动态ARP检测技术,此方案适合于接入用户使用DHCP动态获取IP地址的各种环境(要求同时部署了DHCP snooping防DHCP欺骗功能),包括802.1X认证环境、web认证环境、GSN环境、非认证环境等。也特别适用于要防PC私设IP地址的需求场景。在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后使用DAI功能(纯CPU方式)校验进入交换机的所有ARP(Address Resolution Protocol,地址解析协议)报文,将ARP报文里面的SenderIP及Sender MAC字段与DHCP Snooping表里面的IP+MAC记录信息进行比较,如果一致则放通,否则丢弃。这样如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。
IP Source Guard技术的优点是:配置该功能的端口接收到报文后,直接将报文中的特征项与绑定数据库中记录的特征项进行匹配,可节省设备的CPU资源。但是,IP SourceGuard自身的绑定数据库需进行单独维护,会消耗额外的存储空间。
DAI技术的优点是:配置维护简单,无需手工的去做每个用户的报文特征项绑定,可以节省设备所需的存储空间。但是,DAI是将用户的ARP报文送CPU检查,检查的来源是DHCP Snooping所记录的绑定数据库,会额外消耗设备的CPU资源。
因此,对于交换机上用户量较少,CPU资源占比较低时,推荐采用DAI技术;对于交换机上用户量较多,CPU资源占比比较高时,可以切换至IP Source Guard技术。
本发明实施例涉及一种基于DAI技术和IP Source Guard技术的交换机访问控制优化方法,通过实时监测交换机的CPU资源占用情况和每个端口所处理的报文数量,对每个端口的DAI功能和IP Source Guard功能进行灵活切换,达到交换机CPU资源和存储资源的最优配置,进而保证交换机配置安全加固策略的情况下,也能最大程度的保持业务上的工作效率。
监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值。系统正常运行时,默认对每一个端口首先采用DAI功能。由于DAI功能会额外消耗CPU资源,因此需要对交换机的CPU资源占比进行实时监控,并实时判断CPU资源的使用率是否超过第一阈值,第一阈值可以根据具体的情况进行具体设置。
响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口。当CPU资源占比超过设定的第一阈值时,根据报文的监测来确定当前处理报文数量最多的端口,也即是对CPU资源的使用占比最高的端口。
关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能。
在一些实施方式中,所述开启所述第一端口的网际协议源保护功能包括:生成所述第一端口的绑定数据库,将原始数据库中的客户端主机信息同步到所述绑定数据库。把DHCP Snooping绑定数据库中的合法客户端主机信息(IP地址、MAC地址、VLAN编号等等)同步到IP Source Guard的绑定数据库,生成该端口的IP Source Guard绑定数据库,并释放该端口使用的CPU资源。
重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。
在一些实施方式中,方法还包括:响应于新增未记录在所述原始数据库中的静态绑定信息,设置对所述静态绑定信息的处理方式,并将所述静态绑定信息写入所述绑定数据库。可根据实际需要,手动新增合法客户端主机信息至该端口生成的IP Source Guard绑定数据库,即静态绑定信息。可以设置对静态绑定信息的处理方式,例如,删除或者保留。
在一些实施方式中,方法还包括:判断所述CPU资源的使用率是否小于第二阈值,所述第二阈值小于所述第一阈值;响应于所述CPU资源的使用率小于所述第二阈值,确定开启所述网际协议源保护功能中处理报文数量最少的第二端口;关闭所述第二端口的网际协议源保护功能,并开启所述第二端口的动态地址解析协议检测功能;以及重复上述步骤直到所述CPU资源的使用率不小于所述第二阈值。
由于IP Source Guard功能需要在启用此功能的端口上单独生成并维护一个独立的绑定数据库,会消耗额外的存储资源。因此应对交换机的CPU资源占比进行实时监控。当CPU资源占比低于设定的第二阈值时,根据报文的监测来确定当前处理报文数量最少的端口,即在停用IP Source Guard功能后对CPU资源的使用占比最低的端口。关闭该端口的IPSource Guard功能,并开启该端口的DAI功能。重复执行上述步骤直到CPU资源的使用率不小于所述第二阈值。
在一些实施方式中,所述关闭所述第二端口的网际协议源保护功能包括:删除所述第二端口的绑定数据库以释放存储空间。
在一些实施方式中,所述关闭所述第二端口的网际协议源保护功能包括:判断所述绑定数据库中是否存在静态绑定信息;以及响应于所述绑定数据库中存在静态绑定信息,按照预设的处理方式对所述静态绑定信息进行删除或保留。
在一些实施方式中,方法还包括:响应于对所述静态绑定信息进行保留且所述第二端口再次开启所述网际协议源保护功能,直接将所述静态绑定信息写入所述绑定数据库。
本发明实施例通过运用了自动化技术,以交换机CPU资源和端口报文流量的实时监控结果为基准,通过对交换机DHCP Snooping绑定数据库、各端口的IP Source Guard绑定数据库和用户自定义的IP Source Guard静态绑定信息进行处理,进而对每个端口的DAI功能和IP Source Guard功能进行灵活切换,达到交换机CPU资源和存储资源的最优配置。
另外,除交换机外,路由器作为常见的网络设备也需要进行基于防报文攻击的安全加固策略,可以借鉴本发明的设计思路。
需要特别指出的是,上述优化交换机访问控制的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于优化交换机访问控制的方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种优化交换机访问控制的系统,包括:第一监测模块,配置用于监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;第二监测模块,配置用于响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;切换模块,配置用于关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及执行模块,配置用于返回所述第一监测模块直到所述CPU资源的使用率不超过所述第一阈值。
在一些实施方式中,所述切换模块配置用于:生成所述第一端口的绑定数据库,将原始数据库中的客户端主机信息同步到所述绑定数据库。
在一些实施方式中,系统还包括信息模块,配置用于:响应于新增未记录在所述原始数据库中的静态绑定信息,设置对所述静态绑定信息的处理方式,并将所述静态绑定信息写入所述绑定数据库。
在一些实施方式中,系统还包括第二执行模块,配置用于:判断所述CPU资源的使用率是否小于第二阈值,所述第二阈值小于所述第一阈值;响应于所述CPU资源的使用率小于所述第二阈值,确定开启所述网际协议源保护功能中处理报文数量最少的第二端口;关闭所述第二端口的网际协议源保护功能,并开启所述第二端口的动态地址解析协议检测功能;以及重复上述步骤直到所述CPU资源的使用率不小于所述第二阈值。
在一些实施方式中,所述第二执行模块配置用于:删除所述第二端口的绑定数据库以释放存储空间。
在一些实施方式中,所述第二执行模块配置用于:判断所述绑定数据库中是否存在静态绑定信息;以及响应于所述绑定数据库中存在静态绑定信息,按照预设的处理方式对所述静态绑定信息进行删除或保留。
在一些实施方式中,系统还包括第二信息模块,配置用于:响应于对所述静态绑定信息进行保留且所述第二端口再次开启所述网际协议源保护功能,直接将所述静态绑定信息写入所述绑定数据库。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行以实现如下步骤:S1、监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;S2、响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;S3、关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及S4、重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值。
在一些实施方式中,所述开启所述第一端口的网际协议源保护功能包括:生成所述第一端口的绑定数据库,将原始数据库中的客户端主机信息同步到所述绑定数据库。
在一些实施方式中,步骤还包括:响应于新增未记录在所述原始数据库中的静态绑定信息,设置对所述静态绑定信息的处理方式,并将所述静态绑定信息写入所述绑定数据库。
在一些实施方式中,步骤还包括:判断所述CPU资源的使用率是否小于第二阈值,所述第二阈值小于所述第一阈值;响应于所述CPU资源的使用率小于所述第二阈值,确定开启所述网际协议源保护功能中处理报文数量最少的第二端口;关闭所述第二端口的网际协议源保护功能,并开启所述第二端口的动态地址解析协议检测功能;以及重复上述步骤直到所述CPU资源的使用率不小于所述第二阈值。
在一些实施方式中,所述关闭所述第二端口的网际协议源保护功能包括:删除所述第二端口的绑定数据库以释放存储空间。
在一些实施方式中,所述关闭所述第二端口的网际协议源保护功能包括:判断所述绑定数据库中是否存在静态绑定信息;以及响应于所述绑定数据库中存在静态绑定信息,按照预设的处理方式对所述静态绑定信息进行删除或保留。
在一些实施方式中,步骤还包括:响应于对所述静态绑定信息进行保留且所述第二端口再次开启所述网际协议源保护功能,直接将所述静态绑定信息写入所述绑定数据库。
如图2所示,为本发明提供的上述优化交换机访问控制的计算机设备的一个实施例的硬件结构示意图。
以如图2所示的装置为例,在该装置中包括一个处理器201以及一个存储器202,并还可以包括:输入装置203和输出装置204。
处理器201、存储器202、输入装置203和输出装置204可以通过总线或者其他方式连接,图2中以通过总线连接为例。
存储器202作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的优化交换机访问控制的方法对应的程序指令/模块。处理器201通过运行存储在存储器202中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的优化交换机访问控制的方法。
存储器202可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据优化交换机访问控制的方法的使用所创建的数据等。此外,存储器202可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器202可选包括相对于处理器201远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置203可接收输入的用户名和密码等信息。输出装置204可包括显示屏等显示设备。
一个或者多个优化交换机访问控制的方法对应的程序指令/模块存储在存储器202中,当被处理器201执行时,执行上述任意方法实施例中的优化交换机访问控制的方法。
执行上述优化交换机访问控制的方法的计算机设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
本发明还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时执行如上方法的计算机程序。
如图3所示,为本发明提供的上述优化交换机访问控制的计算机存储介质的一个实施例的示意图。以如图3所示的计算机存储介质为例,计算机可读存储介质3存储有被处理器执行时执行如上方法的计算机程序31。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,优化交换机访问控制的方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (9)
1.一种优化交换机访问控制的方法,其特征在于,包括以下步骤:
监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;
响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;
关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及
重复上述步骤直到所述CPU资源的使用率不超过所述第一阈值,
其中,方法还包括:
判断所述CPU资源的使用率是否小于第二阈值,所述第二阈值小于所述第一阈值;
响应于所述CPU资源的使用率小于所述第二阈值,确定开启所述网际协议源保护功能中处理报文数量最少的第二端口;
关闭所述第二端口的网际协议源保护功能,并开启所述第二端口的动态地址解析协议检测功能;以及
重复上述步骤直到所述CPU资源的使用率不小于所述第二阈值。
2.根据权利要求1所述的方法,其特征在于,所述开启所述第一端口的网际协议源保护功能包括:
生成所述第一端口的绑定数据库,将原始数据库中的客户端主机信息同步到所述绑定数据库。
3.根据权利要求2所述的方法,其特征在于,还包括:
响应于新增未记录在所述原始数据库中的静态绑定信息,设置对所述静态绑定信息的处理方式,并将所述静态绑定信息写入所述绑定数据库。
4.根据权利要求1所述的方法,其特征在于,所述关闭所述第二端口的网际协议源保护功能包括:
删除所述第二端口的绑定数据库以释放存储空间。
5.根据权利要求1所述的方法,其特征在于,所述关闭所述第二端口的网际协议源保护功能包括:
判断所述绑定数据库中是否存在静态绑定信息;以及
响应于所述绑定数据库中存在静态绑定信息,按照预设的处理方式对所述静态绑定信息进行删除或保留。
6.根据权利要求5所述的方法,其特征在于,还包括:
响应于对所述静态绑定信息进行保留且所述第二端口再次开启所述网际协议源保护功能,直接将所述静态绑定信息写入所述绑定数据库。
7.一种优化交换机访问控制的系统,其特征在于,包括:
第一监测模块,配置用于监测交换机的CPU资源的使用率,并判断所述CPU资源的使用率是否超过第一阈值;
第二监测模块,配置用于响应于所述CPU资源的使用率超过所述第一阈值,监测每个端口处理的报文数量,并确定当前处理报文数量最多的第一端口;
切换模,配置用于关闭所述第一端口的动态地址解析协议检测功能,并开启所述第一端口的网际协议源保护功能;以及
执行模块,配置用于返回所述第一监测模块直到所述CPU资源的使用率不超过所述第一阈值,
其中,系统还包括第二执行模块,配置用于:
判断所述CPU资源的使用率是否小于第二阈值,所述第二阈值小于所述第一阈值;
响应于所述CPU资源的使用率小于所述第二阈值,确定开启所述网际协议源保护功能中处理报文数量最少的第二端口;
关闭所述第二端口的网际协议源保护功能,并开启所述第二端口的动态地址解析协议检测功能;以及
重复上述步骤直到所述CPU资源的使用率不小于所述第二阈值。
8.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-6任意一项所述方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110472152.1A CN113315652B (zh) | 2021-04-29 | 2021-04-29 | 一种优化交换机访问控制的方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110472152.1A CN113315652B (zh) | 2021-04-29 | 2021-04-29 | 一种优化交换机访问控制的方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113315652A CN113315652A (zh) | 2021-08-27 |
| CN113315652B true CN113315652B (zh) | 2022-07-19 |
Family
ID=77371489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110472152.1A Active CN113315652B (zh) | 2021-04-29 | 2021-04-29 | 一种优化交换机访问控制的方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113315652B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674306A (zh) * | 2009-09-03 | 2010-03-17 | 中兴通讯股份有限公司 | 地址解析协议报文处理方法及交换机 |
| CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
| CN103227753A (zh) * | 2013-04-01 | 2013-07-31 | 北京东土科技股份有限公司 | 一种网络拥塞处理方法、系统及装置 |
| CN106571944A (zh) * | 2015-10-10 | 2017-04-19 | 中兴通讯股份有限公司 | 用户侧设备、服务器、端口资源管理方法及系统 |
| CN107819633A (zh) * | 2017-11-30 | 2018-03-20 | 国网河南省电力公司商丘供电公司 | 一种快速发现并处理网络故障的系统及其处理方法 |
-
2021
- 2021-04-29 CN CN202110472152.1A patent/CN113315652B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674306A (zh) * | 2009-09-03 | 2010-03-17 | 中兴通讯股份有限公司 | 地址解析协议报文处理方法及交换机 |
| CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
| CN103227753A (zh) * | 2013-04-01 | 2013-07-31 | 北京东土科技股份有限公司 | 一种网络拥塞处理方法、系统及装置 |
| CN106571944A (zh) * | 2015-10-10 | 2017-04-19 | 中兴通讯股份有限公司 | 用户侧设备、服务器、端口资源管理方法及系统 |
| CN107819633A (zh) * | 2017-11-30 | 2018-03-20 | 国网河南省电力公司商丘供电公司 | 一种快速发现并处理网络故障的系统及其处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113315652A (zh) | 2021-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8045550B2 (en) | Packet tunneling | |
| Fichera et al. | OPERETTA: An OPEnflow-based REmedy to mitigate TCP SYNFLOOD Attacks against web servers | |
| US7830898B2 (en) | Method and apparatus for inter-layer binding inspection | |
| US7873038B2 (en) | Packet processing | |
| US8054833B2 (en) | Packet mirroring | |
| US7853998B2 (en) | Firewall propagation | |
| US8904514B2 (en) | Implementing a host security service by delegating enforcement to a network device | |
| US7555774B2 (en) | Inline intrusion detection using a single physical port | |
| US7849503B2 (en) | Packet processing using distribution algorithms | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| KR20010095337A (ko) | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 | |
| Nife et al. | Application-aware firewall mechanism for software defined networks | |
| Polat et al. | The effects of DoS attacks on ODL and POX SDN controllers | |
| US20200204520A1 (en) | Virtual routing and forwarding (vrf)-aware socket | |
| US7562389B1 (en) | Method and system for network security | |
| CN113315652B (zh) | 一种优化交换机访问控制的方法、系统、设备及介质 | |
| Rania et al. | SDWAN with IDPS Efficient Network Solution | |
| KR101772292B1 (ko) | 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템 | |
| Nikolchev et al. | Development of Recommendations for the Implementation of Integrated Security in the Corporate Network at the OSI Data Link Layer | |
| CN112202756A (zh) | 一种基于sdn技术实现网络边界访问控制的方法及系统 | |
| Keerthan Kumar et al. | Performance evaluation of packet injection and DOS attack controller software (PDACS) module | |
| Veena et al. | Detection and mitigation of security attacks using real time SDN analytics | |
| Shanker et al. | Analysis of Network Attacks at Data Link Layer and its Mitigation | |
| CN116112260A (zh) | 防火墙安全策略的处理方法、装置、设备以及介质 | |
| Ravindran | An Analysis of Packet Capture and Filtering on a Network Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |