CN1518289B - 一种基于以太网交换机的安全过滤方法 - Google Patents
一种基于以太网交换机的安全过滤方法 Download PDFInfo
- Publication number
- CN1518289B CN1518289B CN 03100655 CN03100655A CN1518289B CN 1518289 B CN1518289 B CN 1518289B CN 03100655 CN03100655 CN 03100655 CN 03100655 A CN03100655 A CN 03100655A CN 1518289 B CN1518289 B CN 1518289B
- Authority
- CN
- China
- Prior art keywords
- side port
- network
- user
- specific protocol
- protocol message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及一种加强以太网交换机安全特性的过滤方法。一种基于以太网交换机的安全过滤方法,其特征在于将以太网交换机的端口划分为网络侧端口和用户侧端口,并将用户侧端口收到的DHCP,NETBIOS,NETBEUI协议报文进行定向转发,以完成安全过滤。由于采用了本发明的基于以太网交换机的安全过滤方法,在以太网交换机上实现了DHCP,NETBIOS,NETBEUI报文的过滤和定向功能,有效地解决了在以太网交换机构成的局域网中接入用户之间的相互干扰问题,减少了管理员维护管理工作量。
Description
技术领域
本发明涉及通信数据交换领域,尤其涉及加强以太网交换机安全特性的安全过滤方法。
技术背景
以太网交换技术(LAN SWITCH)是在多端口网桥的基础上于九十年代初发展起来的,实现OSI模型的下两层协议。以太网交换机与电话交换机相似,除了提供存储转发(STORE ANG FORWORD)方式外还提供了其它的桥接技术,如:直通方式(CUT THROUGH)。标准的以太网交换机在同一个VLAN(虚拟局域网)内所有端口允许广播报文互通。
在以太网交换机工作过程中,通过DHCP协议(动态主机配置协议)提供主机IP地址的动态租用配置、并将其他配置参数分发给合法网络客户端的网络服务协议。DHCP提供了简便的IP网络配置,能避免地址冲突,DHCP使用客户端/服务器模型,通过这种模式,DHCP服务器集中维持网络上使用的IP地址的管理。然后,支持DHCP的客户端就可以向DHCP服务器请求和租用IP地址,作为它们网络启动过程的一部分。DHCP客户端典型作为WINDOWS网络协议的一部分,DHCP协议通过初始化的广播报文来寻找DHCP服务器。
通过NETBIOS和NETBEUI,WINDOWS提供了方便的文件共享功能。NetBIOS为程序提供了请求低级服务的统一的命令集,局域网上的程序可以使用的应用程序编程接口(API)。这些服务是管理名称、执行会话和在网络节点之间发送数据报所要求的。NETBEUI是Microsoft网络的本地网络协议。它通常用于小的、有1到200个客户的部门大小的局域网(LAN)。它是NetBIOS标准的Microsoft实现。NETBEUI通过周期性的广播报文获取网络信息。
但是,共享与安全在一定程度上是相互矛盾的,随着以太局域网从单纯的公司内部网络向开放运营网络的扩展,安全问题变得突出起来。
其典型问题是:
(1)用户使用DHCP获取IP地址,如果属于同一VLAN内的用户有意或无意启动了DHCP服务器,例如PC机上流行的Wingate软件,由于DHCP协议在2层网络中的广播机制和缺乏鉴权机制的原因,很可能造成局域网用户从错误的DHCP服务器获取错误的IP地址,导致无法正常使用网络;
(2)WINDOWS的文件共享机制在带来共享的方便性的同时,也带来了安全性隐患,在写字楼或开放式局域网络环境中,WINDOWS网络协议NETBEUI和NETBIOS的文件夹共享,可能由于用户忘了设置共享密码或密码失窃带来安全问题。例如,有种WINDOWS网络病毒在发作时将WINDOWS所有文件夹设置无密码可读可写共享状态。
目前在现有技术中,有几种解决方法,但都存在不足。采用交换机2层隔离的方式,需要在上层设备进行3层转发,在3层交换机需要支持ARP-Proxy功能;但是,有些L3设备不支持此功能;如果交换机采用VLAN隔离方法,在组播复制时,由于标准的以太网交换机只能在同一VLAN内进行组播报文复制,组播的复制必须放在上层设备,对上层设备的性能和功能造成了额外的影响。
发明内容
本发明的目的就是提供一种在以太网交换机构成的局域网络中增强安全特性的过滤方法,可以有效地防止局域网络中接入用户相互干扰。
一种基于以太网交换机的安全过滤方法,包括:
确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少一个用户侧端口;
交换机处理CPU控制交换芯片在用户侧端口上把特定协议报文捕获到交换机处理CPU上,并对用户侧端口收到的特定协议报文按特定协议报文过滤规则进行匹配过滤,所述特定协议报文过滤规则,由交换机处理CPU向交换芯片配置;
将所述匹配过滤后的特定协议报文定向转发到网络侧端口。
由于采用了本发明的基于以太网交换机的安全过滤方法,在以太网交换机上实现了DHCP,NETBIOS,NETBEUI报文的过滤和定向功能,有效地解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少了管理员维护管理工作量。
附图说明
图1是本发明的一个流程图;
图2是本发明采用的一个组网图。
具体实施方式
下面结合说明书附图来说明本发明的具体实施方式。
如图1所示,是本发明的一个流程图,从图中可以看出,本发明可以包括以下处理过程:
a、确定以太网交换机在一个VLAN内的网络侧端口和用户侧端口;
该步骤中,在每个确定的VLAN都可以有独立的网络侧端口,不同VLAN也可以共享TRUNK端口(同一端口属于多个VLAN)。例如在典型的树型组网企业网应用中,一台以太网交换机有24个10/100M以太网作为用户侧端口划入同一个VLAN,接入用户PC机,1个上行GE口确定为此设备的网络侧端口。
划分网络侧端口后的VLAN内剩余的端口即为用户侧端口。
该步骤中,如果定向转发功能由交换机处理CPU实现,则交换机处理CPU需要向交换芯片配置特定协议报文的过滤规则,控制交换芯片在用户侧端口上把特定协议报文捕获到交换机处理CPU上。具体来说,就是首先把DHCP,NETBIOS,NETBEUI报文头的特征下发到交换芯片的规则表中,例如DHCP Discover报文头的特征:Destination MAC域是ff ff ff ff ff ff;Ethertype域是0x0800;IP Protocol域是0x11(UDP);UDP Source port域是0x44;UDPDestination port域是0x43;DHCP Message type域为0x01等等。然后将这些规则的入端口设置为那些用户侧端口,即表示只在用户侧端口上进行报文的匹配,最后将这些规则匹配后的动作设置为“接收到交换机处理CPU”。这样配置下来 , 交 换 芯 片 就 能 够 在 用 户 侧 端 口 上 按 照 规 则 表 捕 获DHCP,NETBIOS,NETBEUI报文并转发到交换机处理CPU。
该步骤中,如果定向转发功能由交换芯片自动实现,则交换机处理CPU需要按交换芯片的配置要求做两个设置:1)向交换芯片配置网络侧端口和用户侧端口,2)启动交换芯片的过滤和定向转发功能。
具体来说,就是首先把DHCP,NETBIOS,NETBEUI报文头的特征下发到交换芯片的规则表中。然后将这些规则的入端口设置为那些用户侧端口,即表示只在用户侧端口上进行报文的匹配,最后将这些规则匹配后的动作设置为“转发至网络侧端口”。这样配置下来,交换芯片就能够在用户侧端口上按照规则表过滤DHCP,NETBIOS,NETBEUI报文并自动转发到网络侧端口。
b、将用户侧端口收到的特定协议报文定向转发到网络侧端口;
该步骤中,如果定向转发功能由交换机处理CPU实现,则在步骤a的配置下,交换芯片会将所有用户侧端口收到的特定协议报文从交换芯片捕获到交换机处理CPU,然后交换机处理CPU再将捕获到的报文通过交换芯片从网络侧端口发出,从而实现定向转发。
该步骤中,如果定向转发功能由交换芯片自动实现,则在步骤a的配置下,交换芯片自动完成特定协议报文从用户侧端口到网络侧端口的定向转发功能,不需要交换机处理CPU做特别的干预。在此过程中,与前面交换机处理CPU处理方式的相同的地方是:从用户侧端口过滤出特定协议报文都是由交换芯片完成的;不同的地方是:定向转发功能是否需要交换机处理CPU参与,由交换芯片自动完成的定向转发将具有更好的性能。
如果存在多个网络侧端口,从中选择激活的并且端口状态为转发状态的端口。
端口转发状态由生成树协议(spanning tree protocol)确定,生成树协议通常在保护组网时启动。
c、从网络侧端口到用户侧端口的协议报文通过交换芯片发送到相应的用户侧端口;
对于从网络侧端口到用户侧端口的协议报文不进行捕获,直接通过交换芯片转发或广播到相应用户侧端口。
如图2所示,是本发明协议过滤技术的典型的组网应用图,可见通过步骤b,可以完成协议的过滤操作。
本发明通过以上处理过程,可以实现以下功能:
(1)用户侧端口的终端用户即使在WINDOWS操作系统上共享文件夹,所有的用户侧端口用户都不能浏览到用户的共享文件夹,也无法访问;
(2)用户侧端口的终端用户不受用户侧端口用户设置的DHCP服务器影响;
(3)用户侧端口的终端用户可以从网络侧DHCP服务器获得IP地址,也可以访问网络侧服务器提供的共享文件夹。
本发明技术在以太网交换机上实现了DHCP,NETBIOS,NETBEUI报文的过滤和定向功能,有效地解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少了管理员维护管理工作量。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭示的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (9)
1.一种基于以太网交换机的安全过滤方法,其特征在于,包括:
确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少一个用户侧端口;
交换机处理CPU控制交换芯片在用户侧端口上把特定协议报文捕获到交换机处理CPU上,并对用户侧端口收到的特定协议报文按特定协议报文过滤规则进行匹配过滤,所述特定协议报文过滤规则,由交换机处理CPU向交换芯片配置;
将所述匹配过滤后的特定协议报文定向转发到网络侧端口。
2.如权利要求1所述的以太网交换机的安全过滤方法,其特征在于,将所述匹配过滤后的特定协议报文定向转发到网络侧端口步骤中,由交换机处理CPU对用户侧端口收到的特定协议报文进行定向转发。
3.如权利要求2所述的基于以太网交换机的安全过滤方法,其特征在于,将所述匹配过滤后的特定协议报文定向转发到网络侧端口步骤中,交换机处理CPU通过交换芯片将被捕获的特定协议报文从网络侧端口发出。
4.如权利要求1所述的以太网交换机的安全过滤方法,其特征在于,将所述匹配过滤后的特定协议报文定向转发到网络侧端口步骤中,由交换芯片对用户侧端口收到的特定协议报文进行定向转发。
5.如权利要求4所述的以太网交换机的安全过滤方法,其特征在于,所述确定以太网交换机在虚拟局域网的网络侧端口和用户侧端口步骤进一步包括:
交换机处理CPU按交换芯片的配置要求向交换芯片配置网络侧端口和用户侧端口并启动交换芯片的过滤和定向转发功能。
6.如权利要求4所述的基于以太网交换机的安全过滤方法,其特征在于,所述将所述匹配过滤后的特定协议报文定向转发到网络侧端口步骤中,交换芯片自动将用户侧端口收到的特定协议报文定向转发至网络侧端口。
7.如权利要求2或4所述的基于以太网交换机的安全过滤方法,其特征在于,所述的确定以太网交换机在虚拟局域网的网络侧端口和用户侧端口步骤中,可以为每一个虚拟局域网确定一个独立的网络侧端口。
8.如权利要求2或4所述的基于以太网交换机的安全过滤方法,其特征在于,所述将所述匹配过滤后的特定协议报文定向转发到网络侧端口步骤中,如果存在多个网络侧端口,从中选择激活的并且端口状态为转发状态的端口。
9.如权利要求2或4所述的基于以太网交换机的安全过滤方法,其特征在于,所述将所述匹配过滤后的特定协议报文定向转发到网络侧端口步骤中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03100655 CN1518289B (zh) | 2003-01-17 | 2003-01-17 | 一种基于以太网交换机的安全过滤方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03100655 CN1518289B (zh) | 2003-01-17 | 2003-01-17 | 一种基于以太网交换机的安全过滤方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1518289A CN1518289A (zh) | 2004-08-04 |
| CN1518289B true CN1518289B (zh) | 2010-06-09 |
Family
ID=34281256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03100655 Expired - Fee Related CN1518289B (zh) | 2003-01-17 | 2003-01-17 | 一种基于以太网交换机的安全过滤方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1518289B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8085662B2 (en) | 2008-05-14 | 2011-12-27 | Hewlett-Packard Company | Open network connections |
| CN101098287B (zh) * | 2006-06-27 | 2010-05-12 | 上海未来宽带技术及应用工程研究中心有限公司 | 采用硬件扩展方式在epon上实现ipv6组播过滤的装置和方法 |
| CN101114981B (zh) * | 2006-07-28 | 2011-08-31 | 上海未来宽带技术及应用工程研究中心有限公司 | 在现有的epon网络上实现ipv6组播过滤的方法 |
| CN101075962B (zh) * | 2007-06-26 | 2010-09-08 | 中兴通讯股份有限公司 | 在二层网络交换设备中实现dhcp中继的装置及其方法 |
| CN101257458B (zh) * | 2008-04-01 | 2010-07-07 | 北京星网锐捷网络技术有限公司 | 分发、安装过滤表项的方法、装置及系统 |
| US8161188B2 (en) | 2008-05-04 | 2012-04-17 | Check Point Software Technologies, Ltd | Devices and methods for providing network access control utilizing traffic-regulation hardware |
| CN101997871B (zh) * | 2010-09-21 | 2013-07-24 | 电子科技大学 | 一种数据快速捕获与过滤转发装置 |
| CN105721458A (zh) * | 2016-01-30 | 2016-06-29 | 安徽欧迈特数字技术有限责任公司 | 一种基于isg安全密码技术的工业以太网交换方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6144638A (en) * | 1997-05-09 | 2000-11-07 | Bbn Corporation | Multi-tenant unit |
| WO2002015469A2 (en) * | 2000-08-14 | 2002-02-21 | Advanced Micro Devices, Inc. | Apparatus and method for packet classification |
-
2003
- 2003-01-17 CN CN 03100655 patent/CN1518289B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6144638A (en) * | 1997-05-09 | 2000-11-07 | Bbn Corporation | Multi-tenant unit |
| WO2002015469A2 (en) * | 2000-08-14 | 2002-02-21 | Advanced Micro Devices, Inc. | Apparatus and method for packet classification |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1518289A (zh) | 2004-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7380025B1 (en) | Method and apparatus providing role-based configuration of a port of a network element | |
| EP2624525B1 (en) | Method, apparatus and virtual private network system for issuing routing information | |
| RU2282945C2 (ru) | Система и способ организации управляемого широковещания | |
| US7490351B1 (en) | Controlling ARP traffic to enhance network security and scalability in TCP/IP networks | |
| WO2005119968A1 (en) | A method for transmitting the policy information between the network devices | |
| EP2218214B1 (en) | Network location service | |
| CN1518289B (zh) | 一种基于以太网交换机的安全过滤方法 | |
| JP2006033206A (ja) | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム | |
| CN101478485A (zh) | 局域网访问控制的方法以及网关设备 | |
| CN101238684B (zh) | 一种以太网交换机可分层次的集群管理系统及方法 | |
| Cisco | Managing Switches | |
| Cisco | Configuring the System | |
| Cisco | Configuring the System | |
| Cisco | Configuring the System | |
| Cisco | Managing Switches | |
| CN100356725C (zh) | 一种网络设备的管理方法 | |
| Cisco | Configuring the System | |
| CN101184044A (zh) | 一种组播监听发现协议的报文处理方法 | |
| Cisco | Cisco IOS Commands | |
| Cisco | Cisco IOS Commands | |
| Cisco | Product Overview and Quick Configuration Reference | |
| Cisco | Product Overview and Quick Configuration Reference | |
| Cisco | Product Overview and Quick Configuration Reference | |
| Cisco | Product Overview and Quick Configuration Reference | |
| Cisco | setsn_su |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100609 Termination date: 20190117 |