CN1521999A - 一种交换网络中多生成树核心域的保护方法 - Google Patents
一种交换网络中多生成树核心域的保护方法 Download PDFInfo
- Publication number
- CN1521999A CN1521999A CNA031022995A CN03102299A CN1521999A CN 1521999 A CN1521999 A CN 1521999A CN A031022995 A CNA031022995 A CN A031022995A CN 03102299 A CN03102299 A CN 03102299A CN 1521999 A CN1521999 A CN 1521999A
- Authority
- CN
- China
- Prior art keywords
- port
- core domain
- spanning tree
- multiple spanning
- switching network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种交换网络中多生成树核心域的保护方法。一种交换网络中多生成树核心域的保护方法,其特征在于包括以下步骤:a、将核心域的边界端口上收到的生成树协议报文中的优先级信息和这些端口上保留的优先级信息进行比较;b、如果该协议报文的优先级信息优于端口上保留的优先级信息,则进入步骤c,否则进入步骤d;c、对该端口状态和接收报文处理进行调整;d、按照生成树协议正常流程处理。由于采用了本发明的保护方法,可以有效防止CIST根桥迁移带来的网络动荡同时,可以有效阻止核心域之外的交换机夺取网络根桥的企图。
Description
技术领域
本发明涉及通信领域,尤其涉及交换网络中多生成树核心域的保护方法。
技术背景
IEEE802.1d和IEEE80.1w给出了在单VLAN(Virtual Local Area Network虚拟局域网)的简单交换网络中避免数据环路和实现冗余链路备份的解决方案;为了适应多VLAN的复杂交换网络,IEEE802.1s Draft14草案进一步提出了多生成树协议,即MSTP(Multiple Spanning Tree Protocol)。IEEE802.1s将交换设备划分为不同的域,在一个域内维护多个多生成树实例(MSTI),来允许不同VLAN的数据报文按照各自的路径转发,而公共生成树(CST)和各个域内的内部生成树(IST)将所有域串接起来。根桥是每一个生成树实例中处于数据通信核心地位的交换设备。所以,公共和内部生成树(CIST)的根桥如果发生转移,特别是大范围的转移(从一个域转移到相隔很远的另外一个域),将引起大量的网络拓朴计算,引起网络动荡,大大影响数据通信的稳定性。发生转移的可能原因是收到其它不合理配置交换机的信息,或者受到其它设备的攻击。
参见参考文献IEEE802.1s-Draft14,IEEE802.1s中提出了在交换设备中实现多生成树的协议机制,它将大型交换网络划分成多个域,并且实现在某些条件下的快速迁移。
IEEE802.1s提出了解决多VLAN大型交换网络的数据环路问题的新协议,即多生成树协议,这一协议把网络中的CIST根桥摆到了一个非常重要的地位,但是对于如何维护网络的稳定性,保护其免受攻击,却没有提出有效的解决方法。
如果CIST的根桥发生较大切换,则会引起网络中比较大的动荡。如果CIST根桥受到攻击,将不可避免地失去根桥的地位。
发明内容
本专利的目的就是提出一种多生成树核心域中,可以维护网络稳定性,保护网络免受攻击的方法。
一种交换网络中多生成树核心域的保护方法,其特征在于包括以下步骤:
a、将核心域的边界端口上收到的协议报文优先级和这些端口上保留的优先级信息进行比较;
b、如果该协议报文的优先级信息优于端口上保留的优先级信息,则进入步骤c,否则进入步骤d;
c、对该端口状态和接收报文处理进行调整;
d、正常转发。
所述的步骤c,进一步包括:
c1、将该端口状态设置为阻塞;
c2、将协议报文丢弃。
所述的步骤c,进一步包括:
c11、将协议报文丢弃;
c22、将该端口状态设置为阻塞。
所述的交换网络中多生成树核心域的保护方法,还包括步骤:
c3、为该端口启动一个监控定时器;
c4、当监控定时器定时满,将该端口状态回复为正常状态。
所述的监控定时器为一个设置了初值的定时器,开启后,递减计数,当监控定时器的时值递减为0时,定时满。
由于采用了本发明的保护方法,可以有效防止CIST根桥迁移带来的网络动荡。将迁移限制在一个域的范围内。同时,可以有效阻止核心域之外的交换机夺取网络根桥的企图。当收到攻击时,通过设置核心域边界的部分端口为阻塞状态,隔离攻击源,使之无法和全网的其它部分通信。另外可以自动判断核心域外的交换机何时放弃对合法根桥的夺取,并且经过合理的时间延迟,可保证在没有临时回路的情况下,将核心域边界的各个阻塞端口恢复到应有的状态。再有,本发明通过修改PTI,PST状态机,新增PRG状态机,可对上层状态机进行屏蔽,从而最大限度地减少对MSTP算法的影响。
附图说明
图1是本发明的端口接收监控状态机(PRG:Port Receive Guard statemachine)示意图;
图2是采用本发明的端口定时器状态机(PTI:Port Timer statemachine)示意图;
图3是采用本发明的端口状态迁移状态机(PST:Port State Transitionstatemachine)示意图。
具体实施方式
下面结合说明书附图来说明本发明的具体实施方式。
首先说明一下域、主根桥,备份根桥、核心域的概念。
域是IEEE802.1S-MSTP协议中的一个重要概念,即MST Region,又称MST域。域是由物理上相互连接的域配置完全相同的交换机组成。所谓域配置,即交换机上人为配置的域名称、域的修订级别、交换机上VLAN到生成树实例的映射关系等信息的统称。
主根桥,是整个交换网络中生成树实例CIST的根桥,也就是在生成树实例CIST上优先级最小的交换机。它将是整个交换网络的核心设备。
备份根桥,在生成树实例CIST上优先级比主根桥稍高的交换机。
我们把主根桥所在的域称为核心域。
在组网时,建议将主根桥和备份根桥配置在一个域内,并采用本发明来保护这个域的核心地位:即CIST根桥的变化范围不超出核心域的边界。
本发明中,将支持802.1S的核心交换设备和多个用于备份前者核心地位的支持802.1S的高端交换设备直联,并配置在同一个域内。将核心交换设备的CIST优先级设置为全网最低(主根桥),将所有其它与之在同一个域内的高端交换设备的CIST优先级设置为全网次低(多个备份根桥),形成核心域。其它交换设备以核心域为中心进行组网,采用缺省优先级配置,逐步形成核心层、汇聚层和接入层。
由此可见,本发明交换网络中多生成树核心域的保护方法,包括以下步骤:
a、将核心域的边界端口上收到的生成树协议报文优先级和这些端口上保留的优先级信息进行比较;
b、如果该协议报文的优先级信息优于端口上保留的优先级信息,(即:可能造成核心域中根桥地位的丢失)则进入步骤c,否则进入步骤d;
c、对该端口状态和接收报文处理进行调整:
该步骤的主要目的是过滤这些报文,并且将该端口和收到这类非法攻击报文的网络隔离开。
其中步骤c进一步包括:
c1、将该端口状态设置为阻塞;
这将使得用户的业务流量将无法从该端口收发,和该端口相连的网络将与核心域隔离开来,也将与核心域所下挂的其他网段隔离开来。
c2、将生成树协议报文丢弃;
丢弃的结果使得MSTP上层协议无法感知该端口收到了优先级更高的生成树协议报文,因此就不会做进一步的状态机计算。这样,核心域之外的交换机就不会被计算成为新的主根桥。
实际上c1与c2是一种并列的关系,时间上的先后顺序并不重要,因此也可以步骤c2在前,步骤c1在后。
d、对该报文按照生成树协议正常流程处理
在本发明中,步骤c后面,还可以设置一个开启监控定时器的步骤,具体为启动监控定时器与监控定时器定时满的处理步骤:
c3、为该端口启动一个监控定时器;
c4、当监控定时器定时满,将该端口状态回复为正常状态。
这里为每个边界端口设计互相独立的一个监控定时器。正常情况下定时器为0,如果发生了前面步骤b的情况,则重新启端口上的监控定时器为特定初值,并开始递减。该监控定时器实际上为一个设置了初值的定时器,开启后,递减计数,当监控定时器的时值递减为0时,定时满。
下面结合多生成树协议在网络中的实现,我们看一个具体的实施例。
原IEEE802.1S中对于端口的报文接受处理均采用端口接收状态机(PRX,PortRecevie state machine)。为保护核心域我们特提出:在核心域的所有边界端口上,运行的则是:端口接收监控状态机(PRG,Port Receive Guard state machine)取代PRX。端口上运行标准状态机PRX还是PRG取决于用户的配置开关(注意必须是所有,这有赖于用户的配置,用户应该将核心域的所有边界端口都配置为运行PRG而不是PRX)。PRG状态机流程如图1所示(其中下划线部分文字为PRX和PRG的区别),其中,非划线部分是原状态机中已有和通用的,在相关的文献中都可以找到,划线部分是本发明增加的一个处理步骤。
下面描述其中的新增变量和过程:
rcvdSuper:(Per-Port Variable)每个端口一个的变量,等于TRUE表示核心域的边界端口收到的协议报文优于已经成为指定端口的本端口优先级向量,初始化为FALSE。
rgWhile:(Per-Port Timer)每个端口一个的定时器,如果不为0,表示核心域边界端口收到更优协议报文攻击的影响还未完全消除,初始化为0。如果从非0减为0,表示定时器满,将恢复端口状态。
restored:(Per-Port Variable)如果为TRUE,则表示核心域边界端口收到更优报文攻击的影响消除以后,端口的状态已经被恢复;如果没有恢复,则保持为FALSE。初始化为TRUE。
recordMsgPVs():记录协议报文中的消息优先级向量;
updtRcvdSuper():将消息优先级向量和本端口的端口优先级向量比较,如果前者优,则置位rcvdSuper,否则复位rcvdSuper。
PRG状态机处理过程描述如下:
当rcvdSuper为真时,进入RECEIVE SUPER状态,如果最后一次restored置为TRUE以来,第一次发生这样的情况,则将端口设置为阻塞状态,并且删除端口上学习的地址,复位learning和forwarding,复位restored。然后启动rgWhile并赋值为2倍的Forward Delay。从而将攻击核心域的网络区域和网络的其它部分脱离开来。
将端口上rgWhile定时器设置为2倍的Forward Delay,是考虑到如下的情况:如果核心域不止一个边界端口恢复转发,将可能产生临时环路,导致网络中的广播风暴。
下一步,和正常情况一样,进入RECEIVE状态。如果rcvdSuper为真则不触发其它状态机。
处理完报文,并且其它相关状态机运转完毕后,进入CURRENT稳态。复位相关变量。
定时器rgWhile超时(即定时器满)以后,将进入RESTORE状态,从而根据内部状态机的learn和forward恢复端口应该具备的状态。并且置位restored。
我们还必须重新设计IEEE802.1S中的PTI状态机和PST状态机。如图2及图3中所示。
PTI状态机(见图2,其中下划线部分文字为变化点):
PTI中当系统秒时钟超时,我们将每个非0的rgWhile减1。等到rgWhile超时,将调用PRG,恢复端口状态。这意味着核心域外的攻击源已经有足够长的时间没有发起夺取根桥的协议报文了,并且被保护域的根桥信息已经在攻击来源方向上的网络中传播了足够多的时间。
PST状态机(见图3,其中下划线部分文字为变化点):
所有对底层的设置必须考虑端口是否处于监控生效的时间范围内。如果是,则对上层状态机屏蔽PRG的处理:将PST对底层的操作过滤。这样对PIM、PRT、PRS、TCM等状态机的处理没有任何影响。
以上处理是对CIST而言的。如果要保护其它生成树实例的根桥(它们没有CIST上的根桥来得重要),其方法完全一样,只需在处理时将所有端口级的变量(per-port varialbe)修正为端口实例级(per-port and per-instance variable)。PRG,PTI,PTX状态机流程仍然按照本专利的设计实施即可。
本发明通过以上这种方案,可以有效防止CIST根桥迁移带来的网络动荡。将迁移限制在一个域的范围内。同时,可以有效阻止核心域之外的交换机夺取网络根桥的企图。当收到攻击时,通过设置核心域部分边界端口为阻塞状态,隔离攻击源,使之无法和全网的其它部分通信。另外可以自动判断核心域外的交换机何时放弃对合法根桥的夺取,并且经过合理的时间延迟,可保证在没有临时回路的情况下,将核心域的各个阻塞端口恢复到转发状态。再有,本发明通过修改PTI,PST状态机,新增PRG状态机,可对上层状态机进行屏蔽,从而最大限度地减少对MSTP算法的影响。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (5)
1、一种交换网络中多生成树核心域的保护方法,其特征在于包括以下步骤:
a、将核心域的边界端口上收到的生成树协议报文中的优先级信息和这些端口上保留的优先级信息进行比较;
b、如果该协议报文的优先级信息优于端口上保留的优先级信息,则进入步骤c,否则进入步骤d;
c、对该端口状态和接收报文处理进行调整;
d、正常转发。
2、如权利要求1所述的交换网络中多生成树核心域的保护方法,其特征在于所述的步骤c,进一步包括:
c1、将该端口状态设置为阻塞;
c2、将协议报文丢弃。
3、如权利要求1所述的交换网络中多生成树核心域的保护方法,其特征在于所述的步骤c,进一步包括:
c11、将协议报文丢弃;
c22、将该端口状态设置为阻塞。
4、如权利要求2或3所述的交换网络中多生成树核心域的保护方法,其特征在于还包括步骤:
c3、为该端口启动一个监控定时器;
c4、当监控定时器定时满,将该端口状态回复为正常状态。
5、如权利要求4所述的交换网络中多生成树核心域的保护方法,其特征在于所述的监控定时器为一个设置了初值的定时器,开启后,递减计数,当监控定时器的时值递减为0时,定时满。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031022995A CN1319334C (zh) | 2003-01-28 | 2003-01-28 | 一种交换网络中多生成树核心域的保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031022995A CN1319334C (zh) | 2003-01-28 | 2003-01-28 | 一种交换网络中多生成树核心域的保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1521999A true CN1521999A (zh) | 2004-08-18 |
| CN1319334C CN1319334C (zh) | 2007-05-30 |
Family
ID=34281670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031022995A Expired - Fee Related CN1319334C (zh) | 2003-01-28 | 2003-01-28 | 一种交换网络中多生成树核心域的保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1319334C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100444571C (zh) * | 2006-07-25 | 2008-12-17 | 杭州华三通信技术有限公司 | 决定桥角色的方法和系统 |
| CN100461743C (zh) * | 2007-03-20 | 2009-02-11 | 杭州华三通信技术有限公司 | 一种快速迁移的方法和交换机 |
| CN101873306A (zh) * | 2009-04-21 | 2010-10-27 | 沃尔塔雷有限公司 | 在分级网络中的生成树的根选择 |
| CN101478464B (zh) * | 2009-01-22 | 2011-04-20 | 华为技术有限公司 | 数字用户线接入方法、装置和设备 |
| CN111478896A (zh) * | 2020-04-03 | 2020-07-31 | 中电科航空电子有限公司 | 一种解决rstp假冒根桥攻击的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5430728A (en) * | 1992-12-10 | 1995-07-04 | Northern Telecom Limited | Single-route broadcast for LAN interconnection |
| FI103544B1 (fi) * | 1996-03-25 | 1999-07-15 | Nokia Telecommunications Oy | Menetelmä osoitteiden määrittämiseksi tietoliikenneverkon solmuissa |
| JP2002330152A (ja) * | 2001-04-27 | 2002-11-15 | Fujitsu Ltd | 障害時/増設時におけるスパニングツリー制御装置及び方法 |
-
2003
- 2003-01-28 CN CNB031022995A patent/CN1319334C/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100444571C (zh) * | 2006-07-25 | 2008-12-17 | 杭州华三通信技术有限公司 | 决定桥角色的方法和系统 |
| CN100461743C (zh) * | 2007-03-20 | 2009-02-11 | 杭州华三通信技术有限公司 | 一种快速迁移的方法和交换机 |
| CN101478464B (zh) * | 2009-01-22 | 2011-04-20 | 华为技术有限公司 | 数字用户线接入方法、装置和设备 |
| CN101873306A (zh) * | 2009-04-21 | 2010-10-27 | 沃尔塔雷有限公司 | 在分级网络中的生成树的根选择 |
| CN101873306B (zh) * | 2009-04-21 | 2013-06-26 | 梅兰诺克斯科技Tlv有限公司 | 在分级网络中的生成树的根选择 |
| CN111478896A (zh) * | 2020-04-03 | 2020-07-31 | 中电科航空电子有限公司 | 一种解决rstp假冒根桥攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1319334C (zh) | 2007-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1199400C (zh) | 基于以太网接入平台的主备倒换与负荷分担系统及方法 | |
| CN101035047A (zh) | 环网保护的处理方法 | |
| CN1812300B (zh) | 环型网络连接控制方法、路由交换设备及环型网络系统 | |
| CN1540943A (zh) | 同步数字系列网全部资源容量的使用方法及装置 | |
| CN1599375A (zh) | 用于改进支持vlan的以太网中的stp协议的技术 | |
| CN1747439A (zh) | 以太网自动保护系统相切环的故障处理方法 | |
| CN1770738A (zh) | 具备自动建立机制的堆叠管理器协议 | |
| CN1943190A (zh) | 洪泛抑制方法 | |
| CN1905490A (zh) | 一种rrpp与局部stp组网故障恢复时防止环路的方法和装置 | |
| CN1805363A (zh) | 网络隔离与信息交换模块的大规模并行处理装置及方法 | |
| WO2008107883A2 (en) | Prevention of frame duplication in interconnected ring networks | |
| CN101068185A (zh) | 以太环网报文处理方法及应用该方法的以太环网保护系统 | |
| CN1825820A (zh) | 智能光网络中路径选择的方法 | |
| CN1812340A (zh) | 宽带接入网络中防止点到点协议认证攻击的实现方法 | |
| CN1801820A (zh) | 一种端口状态迁移的方法 | |
| CN1889501A (zh) | 决定桥角色的方法和系统 | |
| CN1521999A (zh) | 一种交换网络中多生成树核心域的保护方法 | |
| CN1152525C (zh) | 一种以太网接入网虚拟局域网接入方法 | |
| CN1630261A (zh) | 在虚拟局域网中得到能达到的最佳连通性的方法 | |
| CN1798098A (zh) | 区分多业务的抗ip组播数据流冲击通信系统的方法 | |
| CN1917477A (zh) | 防止流控帧干扰的方法及装置 | |
| CN1767495A (zh) | 保证城域传输设备中二层以太网交换机数据安全的方法 | |
| CN1388683A (zh) | 具有增强的安全特性的数据网络节点 | |
| CN1878061A (zh) | 网桥协议数据单元报文验证方法和装置 | |
| CN101043392A (zh) | 一种WiMAX网络中转发IP报文的装置及基站设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070530 Termination date: 20180128 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |