CN1917477A - 防止流控帧干扰的方法及装置 - Google Patents
防止流控帧干扰的方法及装置 Download PDFInfo
- Publication number
- CN1917477A CN1917477A CNA2006101273340A CN200610127334A CN1917477A CN 1917477 A CN1917477 A CN 1917477A CN A2006101273340 A CNA2006101273340 A CN A2006101273340A CN 200610127334 A CN200610127334 A CN 200610127334A CN 1917477 A CN1917477 A CN 1917477A
- Authority
- CN
- China
- Prior art keywords
- port
- flow control
- control frame
- module
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种防止流控帧对转发设备干扰的方法和装置。其中,所述方法包括:统计端口收到的流控帧的个数,当其在预先设定的关闭时间内统计端口收到的流控帧的个数大于最大允许流控帧数时,修改端口状态,使转发设备的转发芯片不再向该端口转发报文。所述装置包括:用于统计流控帧个数的流控帧计数模块,及用于修改端口状态的端口设置模块,该流控帧计数模块与该端口设置模块通信连接。由于端口设置模块能够修改端口状态,使转发芯片不再向该端口转发报文,从而消除了流控帧对端口的正常运行带来的影响,进而避免了队头阻塞现象。并且整个过程是自动完成的,因此节约了大量的人力和时间,也不需要付出大量的成本代价,结构简单易于实施。
Description
技术领域
本发明涉及一种防止流控帧干扰的方法,尤其涉及一种在全双工工作方式下,通过修改受干扰端口的状态,以消除流控帧干扰的方法;本发明还涉及一种防止流控帧干扰的装置,尤其涉及一种设置有用于统计流控帧个数的流控帧计数模块及用于修改端口状态的端口设置模块的装置。
背景技术
流量控制是分组交换网络中的一项重要技术。分组交换与电路交换的一个重要不同之处在于,电路交换是立即损失制,即如果路由选择时没有空闲的中继电路可供选择,该呼叫建立就告失败。因此,电路交换的流量控制只要根据预测话务量配备足够多的中继电路,就能保证呼叫不阻塞,控制功能比较简单。而分组交换是时延损失制,只要传输链路不全部阻断,路由选择总能选到一条链路进行信息传输,由于用户终端发送数据的时间和数量具有随机性,并且网络中各节点交换机的存储容量和各条线路的传输容量总是有限的,如果链路上待传送的报文过多,超过了它的处理能力时,就会造成传送时延的增加,数据包丢失,重传增加,严重时甚至会使网络崩溃。这就需要采取流量控制来实现数据流量的平滑均匀,提高网络的吞吐能力和可靠性。另外,如果线路速率不匹配,例如,100Mbps的端口向10Mbps的端口发送数据时,也会造成端口阻塞现象。因此,流量控制是分组交换网中保证网络资源有效利用的一项必不可少的重要功能。以前的网络设备基本上都是采用半双工的工作方式,即当一台主机发送数据包的时候,它就不能接收数据包,当接收数据包的时候,就不能发送数据包。为了进一步提高了信息吞吐量,现有网络设备大都采用全双工方式,即主机在发送数据包的同时,还可以接收数据包。
在全双工方式下,流量控制是通过应用IEEE 802.3x标准中规定的暂停帧(Pause帧)实现的。该暂停帧为64字节的媒体访问控制层(Media AccessControl,简称MAC)控制帧。当交换机端口发生阻塞时,该设备会向信源发送暂停帧,以通知信源暂停一段时间再发送信息,以达到流量控制的目的。暂停帧是硬件自动发送和处理的,不受软件控制。在识别的时候,可以通过MAC地址来识别。例如,当识别出某控制帧的目标MAC地址为组播地址01-80-C2-00-00-01时,可以认定该控制帧为暂停帧。其格式在802.1d内有严格的规定,无论接收暂停帧的端口是否处理暂停帧,该帧都会被丢弃。
现有流量控制技术的缺陷在于:现有交换机端口发生阻塞时,通过发送暂停帧以减小端口的发包速率,从而达到对数据流量的控制。在实际网络应用中,尤其是一般的局域网中,产生网络阻塞现象的情况并不多,即使出现持续时间也比较短,因此交换机端口不会持续收到大量暂停帧。但是,在某些情况下,例如,某些光电转换设备会利用暂停帧来探测链路质量,或者某些终端感染计算机病毒时,会向网络中发送大量的暂停帧。由于这种暂停帧属于MAC层控制帧,而现有的转发芯片无法利用访问控制列表(AccessControl List,简称ACL)技术对其进行过滤。这是因为芯片的ACL技术一般工作在MAC层之上,而暂停帧在MAC层终结处理,因此无法实现过滤。如果端口持续不断地收到大量流控帧,由于现有大多数交换芯片没有提供对流控帧的关闭处理,因此即使在不启动流量控制的时候,也会受到流控帧的影响,从而造成该端口的出队列阻塞。并且随之而来的还可能会产生队头阻塞(HeadOf Line Blocking,简称HOLB)现象,即当其他端口向该阻塞端口发送数据帧时,由于该端口处于阻塞状态,导致其它端口发往别的端口的数据包也有可能出现丢失或延时的现象。从而大大降低了整个交换机的转发性能,严重时甚至会降低整个局域网的性能。
现有的解决方案是:当交换机持续不断的收到大量流控帧而又无法不理会时,只能采用更换对端设备或关闭该交换机端口的方法。但是更换对端设备需要付出大量的成本和操作时间,并且当有大量设备需要更换时需要付出更大的代价,有的时候甚至是无法实现的。另外,如果采用关闭端口的方法,由于暂停帧并不是在任何时间段都存在,当暂停帧不再大量产生时,被关闭的端口无法自动打开,从而降低了端口的使用效率。并且这些方法并没有从本质上消除大量暂停帧的影响,设备被更换后,或者端口被重新启用后,仍然存在受到暂停帧干扰的可能。
发明内容
本发明的目的是提供一种在全双工通信方式下防止流控帧干扰的方法和一种防止流控帧干扰的装置,使得当转发设备持续不断的收到大量流控帧时,能够自动消除流控帧的干扰。
为实现上述目的,本发明提供了一种防止流控帧干扰的方法,包括:当转发设备接收到流控帧时,在预先设定的关闭时间内统计端口收到的流控帧的个数,当该个数大于最大允许流控帧数时,修改端口状态,使转发设备的转发芯片不再向该端口转发报文。
当探测出端口正遭受流控帧攻击时,通过设置端口状态,使芯片不再向受攻击的端口转发报文,因此可以避免出现队头阻塞现象,从而消除了流控帧对端口的正常运行带来的影响。并且这种方法是自动完成的,因此节约了大量的人力和时间,也不需要付出大量的成本代价。
为实现上述目的,本发明还提供了一种防止流控帧干扰的装置,包括用于在预先设定的关闭时间内统计端口收到的流控帧个数的流控帧计数模块,及用于修改端口状态的端口设置模块,该流控帧计数模块与该端口设置模块通信连接。
基于上述结构,流控帧计数模块自动探测受流控帧干扰的端口,当端口受到流控帧攻击时,端口设置模块根据流控帧计数模块的计数结果对端口状态属性进行修改,使转发芯片不再向该端口转发报文,从而消除了流控帧对端口的正常运行带来的影响,进而避免了队头阻塞现象。并且整个过程是自动完成的,因此节约了大量的人力和时间,也不需要付出大量的成本代价,结构简单易于实施。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明实施例1所述的一种防止流控帧干扰的方法流程图;
图2为本发明实施例2所述的一种防止流控帧干扰的方法流程图;
图3为本发明实施例3所述的一种防止流控帧干扰的方法流程图;
图4为本发明实施例4所述的一种防止流控帧干扰的方法流程图;
图5为本发明实施例5所述的一种防止流控帧干扰的方法流程图;
图6为本发明实施例6所述的一种防止流控帧干扰的装置内部示意图;
图7为本发明实施例7所述的一种防止流控帧干扰的装置内部示意图;
图8为本发明实施例8所述的一种防止流控帧干扰的装置内部示意图。
具体实施方式
实施例1
本实施例提供了一种防止流控帧干扰的方法。
如图1所示,步骤101,转发设备对端口执行监控,当端口收到流控帧时对流控帧的个数进行统计。其中,转发设备可以为交换机或网桥。源端设备为了进行流量控制或由于感染病毒等原因向转发设备端口发送流控帧。当转发设备端口接收到流控帧时,在预先设定的关闭时间内统计端口收到的流控帧的个数,例如,预先设定关闭时间为3秒,则在3秒内统计收到的流控帧的个数。
步骤102,当统计到的流控帧的个数大于最大允许流控帧数时,例如,将最大允许流控帧数设置为3个,当流控帧数大于3个时,则判断出该端口正在遭受流控帧的攻击,执行步骤110,否则返回执行步骤101,转发设备继续对端口收到的流控帧的个数进行实时监控。
步骤110,将该端口对应的端口芯片上的底层STP(Spanning TreeProtocol,生成树协议)状态修改为阻塞(Blocking)状态,使转发芯片不再向该端口转发报文。STP是定义在IEEE 802.1D中的一种链路管理协议,它为网络提供路径冗余,同时防止产生环路。端口芯片的底层STP状态被修改为阻塞时,标志着该端口已经被关闭,因此转发芯片便不会再向该端口转发包括流控帧在内的任何报文。
通过上述步骤,当判断出端口正在遭受流帧攻击时,通过修改端口芯片的底层STP状态来关闭端口,以阻止转发芯片向该端口转发任何报文,与现有的数据包过滤技术,如ACL技术等不同的是,修改底层STP状态本质上属于对端口芯片底层的驱动状态进行修改的方法,它并不是试图过滤掉流控帧,而是通过修改端口底层状态,使得转发芯片不再向该端口转发报文,因此可以实现阻止流控帧的目的,从而消除了流控帧对端口的正常运行带来的影响,进而避免了队头阻塞现象,使整个转发设备其他端口的正常转发状态不再受到影响。并且这种方法是自动完成的,因此节约了大量的人力和时间,也不需要付出大量的成本代价。
实施例2
本实施例提供了一种当被关闭的端口解除流控帧攻击时,恢复端口正常运行的方法。如图2所示,
步骤201,转发设备对端口执行监控,当端口收到流控帧时对流控帧的个数进行统计。其中,转发设备可以为交换机或网桥。
步骤202,当统计到的流控帧的个数大于最大允许流控帧数时,例如,将最大允许流控帧数设置为3个,当流控帧数大于3个时,则判断出该端口正在遭受流控帧的攻击,则执行步骤210,否则返回执行步骤201,转发设备继续对端口收到的流控帧的个数进行实时监控。
步骤210,记录受攻击端口的当前底层STP状态。具体可以在端口芯片中创建一个全局变量,并将其初始化为禁止(disable)状态,将受攻击的端口当前的底层STP状态记录在该全局变量中作为第一状态。
步骤211,将该端口对应的端口芯片上的底层STP状态修改为阻塞(Blocking)状态,即将该端口关闭,使转发芯片不再向该端口转发报文。
步骤212,转发设备对该被关闭的端口收到的流控帧的个数进行实时监控。
步骤213,判断在预先设定的恢复时间内是否收到流控帧,例如,设置恢复时间为3秒,判断在3秒钟内是否收到流控帧,如果未收到流控帧,说明端口已经不再受到流控的攻击,则执行步骤220,否则返回执行步骤212,转发设备继续监控该被关闭的端口收到的流控帧的个数。
步骤220,根据步骤210中全局变量中的记录内容,将底层STP状态恢复为第一状态,即当流控帧的攻击解除时,被关闭的端口又重新被开启,转发芯片可以继续向该端口转发报文,被关闭的端口又可以继续正常运行。如果再次判断出该端口正在遭受流控帧的攻击,则重新开始执行步骤201以实现对流控帧的阻止。
通过上述步骤,实现了对端口的自动开启和关闭,使端口既可以不受流控帧的干扰,又可以在解除干扰后及时恢复原有工作状态,因此提高了端口的运行效率,并且所有工作都是自动完成了,不需要人工介入,因此节约了大量的人力和时间。另外需要说明的是,端口芯片的底层STP状态是否被修改为阻塞状态,即端口是否被关闭,并不影响转发设备对流控帧个数的统计。即使端口被关闭,只是转发芯片不再向该端口转发报文,而转发设备仍然可以对端口执行监控。
实施例3
实施例1、2中所述的防止流控帧干扰的方法对用户都是透明的,即用户并不知道哪个端口受到了流控帧的攻击,也不知道哪个端口被关闭。优点是省去了用户的大量工作,但缺点是用户无法实时了解当前系统的性能,如果多个端口被关闭而不能正常运行,用户也无法得知关闭的原因。为此,本实施例提供了一种记录端口状态的防止流控帧干扰的方法。如图3所示,
步骤301,转发设备对端口执行监控,当端口收到流控帧时对流控帧的个数进行统计。其中,转发设备可以为交换机或网桥。步骤302,当统计到的流控帧的个数大于最大允许流控帧数时,例如,将最大允许流控帧数设置为3个,当流控帧数大于3个时,则判断出该端口正在遭受流控帧的攻击,则执行步骤310,否则返回执行步骤301,继续对端口收到的流控帧的个数进行实时监控。
步骤310,记录受攻击端口的当前底层STP状态。具体可以在端口芯片中创建一个全局变量,并将其初始化为禁止(disable)状态,将受攻击的端口当前的底层STP状态记录在该全局变量中,作为第一状态。
步骤311,将该端口对应的端口芯片上的底层STP状态修改为阻塞(Blocking)状态,即将该端口关闭,使转发芯片不再向该端口转发报文。
步骤312,将底层STP状态的变化信息记录在系统日志中,并在输出设备中显示遭受流控帧攻击提示消息,以提示用户被攻击的端口已被关闭。
步骤313,转发设备对该被关闭的端口收到的流控帧的个数进行实时监控。
步骤314,判断在预先设定的恢复时间内是否收到流控帧,例如设置恢复时间为3秒,判断在3秒钟内是否收到流控帧。如果未收到流控帧,说明端口已经不再受到流控的攻击,则执行步骤320,否则返回执行步骤313,转发设备继续监控该被关闭的端口收到的流控帧的个数。
步骤320,根据步骤310中全局变量中的内容,将底层STP状态恢复为第一状态,即当流控帧的攻击解除时,被关闭的端口又重新被开启,转发芯片可以继续向该端口转发报文,被关闭的端口又可以继续正常运行。
步骤321,将底层STP状态的变化信息记录在系统日志中,并在输出设备中显示流控帧攻击解除提示消息,以提示用户端口恢复正常工作。如果转发设备再次判断出该端口正在遭受流控帧的攻击,则重新开始执行步骤301以实现对流控帧的阻止。
在本实施例中,由于对底层STP状态的变化信息进行了记录,并显示给用户,因此能够使用户随时掌握系统运行状况,并且能够根据系统日志中记录的信息,迅速找到产生大量流控帧的源端设备,以便采取相应的措施排除故障。
实施例4
实施例1、2、3提供了直接修改受干扰端口的底层STP状态以防止流控帧干扰的方法,本实施例提供一种通过上层STP控制模块间接修改端口底层STP状态的方法。如图4所示,
步骤401,转发设备对端口执行监控,当端口收到流控帧时对流控帧的个数进行统计。其中,转发设备可以为交换机或网桥。
步骤402,当统计到的流控帧的个数大于最大允许流控帧数时,例如,将最大允许流控帧数设置为3个,当流控帧数大于3个时,则判断出该端口正在遭受流控帧的攻击,则执行步骤411,否则返回执行步骤401,继续对端口收到的流控帧的个数进行实时监控。
步骤411,向该端口的上层STP控制模块发送流控帧干扰提示消息,以通知上层STP控制模块该端口正处于流控帧的攻击。
步骤412,上层STP控制模块将能够与该受干扰端口形成环路的另一端口的底层STP状态,由阻塞状态修改为转发状态,并将受干扰端口的底层STP状态修改为阻塞状态。当转发设备上的两个端口形成环路时,会对整个网络性能造成很大影响,STP机制专门用于探测和拆除环路。当上层STP控制模块探测出转发设备上的两个端口形成环路后,会将其中一个端口的底层STP状态修改为阻塞状态,即将该端口关闭,使转发芯片不再向该端口转发报文,达到拆除环路的目的。步骤,412中所述的方法实际上是由上层STP控制模块在原本形成环路的两个端口之间进行切换,关闭环路中受到干扰的端口,而启用环路中另一个未受干扰的端口,以达到防止流控帧干扰的目的。
步骤413,将底层STP状态的变化信息记录在系统日志中,并在输出设备中显示遭受流控帧攻击提示消息,以提示用户被攻击的端口已被关闭。
在本实施例中,由于上层STP控制模块对环路上的两个端口进行了切换,将未受流控帧攻击的端口打开,将正在遭受流控帧攻击的端口关闭,使得STP机制在实现环路拆除功能的同时,还防止了流控帧的干扰。由于环路上的两个端口实现同样的功能,因此被关闭的端口不需要按照实施例3所述的方法恢复为第一状态,而应当按照现有的STP机制,当没有环路形成时再打开被关闭的端口。并且本实施例所述方法也能够将受攻击状态显示给用户,使用户随时掌握系统运行状况,并且能够根据系统日志中记录的信息,迅速找到产生大量流控帧的源端设备,以便采取相应的措施排除故障。
实施例5
上述实施例中所述的方法都是通过修改底层STP状态而实现防止流控帧干扰的。本实施例提供了一种通过修改端口VLAN(Virtual Local AreaNetwork,虚拟局域网)属性状态来实现防止流控帧干扰的方法。如图5所示,
步骤501,转发设备对端口执行监控,当端口收到流控帧时对流控帧的个数进行统计。其中,转发设备可以为交换机或网桥。
步骤502,当统计到的流控帧的个数大于最大允许流控帧数时,例如,将最大允许流控帧数设置为3个,当流控帧数大于3个时,则判断出该端口正在遭受流控帧的攻击,则执行步骤510,否则返回执行步骤501,继续对端口收到的流控帧的个数进行实时监控。
步骤510,记录受攻击端口的当前VLAN属性状态。具体可以在端口芯片中创建一个全局变量,并将其初始化为禁止(disable)状态,将受攻击的端口的当前VLAN属性状态记录在该全局变量中。
步骤511,修改受干扰端口的VLAN属性状态,使该端口被加入到一个未定义的VLAN中。VLAN是通过将物理上互连的网络在逻辑上划分为多个互不相干的网络而形成的逻辑关系上的局域网。不同的VLAN之间彼此隔离,无法进行通讯,因此当端口被加入到一个未定义的VLAN后,交换芯片不会再向该端口转发报文,也就不会有队头阻塞现象出现,从而达到防止流控帧干扰的目的。
步骤512,将端口VLAN属性状态的变化信息记录在系统日志中,并在输出设备中显示遭受流控帧攻击提示消息,以提示用户被攻击的端口已被关闭。由于被加入到一个未定义VLAN中的端口已经与产生流控帧攻击的源端设备不处于同一逻辑网络中,因此不需要实施例3中所述的方法对该端口进行恢复。只需要设定一定的恢复时间,再根据步骤510中所记录的VLAN属性状态,将该端口添加到原有VLAN中即可。
在本实施例中,由于受流控帧干扰的端口被加入到了一个未定义的VLAN中,交换芯片不会再向该端口转发报文,也就不会有队头阻塞现象出现,从而也实现了防止流控帧干扰的目的。并且本实施例所述方法也能够将受攻击状态显示给用户,使用户随时掌握系统运行状况,并且能够根据系统日志中记录的信息,迅速找到产生大量流控帧的源端设备,以便采取相应的措施排除故障。
实施例6
本实施例提供了一种防止流控帧干扰的装置,如图6所示,装置600包括:转发芯片603,端口1、端口2、端口N等若干个端口,及流控帧计数模块605和端口设置模块604。其中,若干个端口的控制信号线连接到控制总线601上,数据信号线连接到数据总线602上;转发芯片603连接到数据总线上,流控帧计数模块605和端口设置模块604分别连接到控制总线601上,并且,流控帧计数模块605和端口设置模块604还进行通信连接。下面假设端口1正在遭受流控帧攻击,以说明各模块的工作过程,而其它端口遭受流控帧攻击时的处理过程相同。流控帧计数模块605用于实时统计各端口收到的流控帧的个数,当其在预先设定的关闭时间内统计到端口1收到的流控帧的个数大于最大允许流控帧数时,例如,关闭时间为3秒,最大允许流控帧数为3个,当流控帧计数模块在3秒钟内统计到的端口1收到的流控帧的个数大于3个时,向端口设置模块604发送流控帧攻击警告信号,以通知端口设置模块604端口1正在遭受流控帧的攻击。端口设置模块604用于修改端口状态。当端口设置模块604收到流控帧统计模块605发送的流控帧攻击警告信号后,向端口1发送端口状态修改命令信号,修改端口状态,使转发芯片603不再向该端口转发芯片。例如,可以将端口1的端口芯片上的底层STP状态修改为阻塞(Blocking)状态。当转发芯片603检测到端口1的底层STP状态为阻塞时,根据现有的底层STP规范,转发芯片603不再向端口1转发报文。即端口被完全关闭,从而避免了流控帧对端口1的影响。
基于上述结构的装置能够自动探测受流控帧干扰的端口,并自动将其修改为关闭状态。与现有的数据包过滤技术,如ACL技术等不同的是,修改底层STP状态本质上属于对端口芯片底层的驱动状态进行修改的方法,它不同于ACL技术等只能在网络层发挥作用的方法,因此是可以实现阻止流控帧干扰的目的,从而消除了流控帧对端口的正常运行带来的影响,进而避免了队头阻塞现象。并且整个过程是自动完成的,因此节约了大量的人力和时间,也不需要付出大量的成本代价,结构简单易于实施。
实施例7
实施例6中所述的防止流控帧干扰的装置实现了防止流控帧干扰的目的,但受到干扰的端口被关闭,因此对该端口的正常工作有一定的影响。本实施例提供了一种实现使端口自动关闭并怎恢复原有工作状态的防止流控帧干扰的装置结构。
如图7所示,除了实施例6中所述的装置结构外,本实施例还设置有用于记录端口状态的状态记录模块701,该状态记录模块701与端口设置模块604通信连接。在实施例6中,当端口设置模块604向端口1发送端口状态修改命令信号之前,还将端口1当前的端口状态记录在状态记录模块701中。具体方法可以是预先在状态记录模块701中创建一个全局变量,并初始化为禁止(disable)状态,将端口状态信息记录在该全局变量中作为第一状态,然后向端口1发送端口状态修改命令信号,使转发芯片603不再向该端口1转发报文。此时,流控帧计数模块605一直在监控各个端口的流控帧个数。如果该流控帧计数模块605在预先设定的恢复时间内未收到流控帧,例如设置恢复时间为3秒,流控帧计数模块在3秒钟内未收到流控帧,则向端口设置模块604发送流控帧攻击警告解除信号,以通知端口设置模块604端口1已经不再受到流控帧的攻击。当端口设置模块604收到该流控帧攻击警告解除信号后,从状态记录模块701读取出端口1的第一状态,并将该第一状态信息携带于端口状态修改命令信号中发送给端口1。端口1收到该命令信号后,用该第一状态代替现有状态,以打开该端口1并恢复到被关闭以前的工作状态。
通过上述结构,实现了对端口的自动开启和关闭,使端口既可以不受流控帧的干扰,又可以在解除干扰后及时恢复原有工作状态,因此提高了端口的运行效率,并且所有工作都是自动完成了,不需要人工介入,因此节约了大量的人力和时间。
实施例8
本实施例提供了一种能够将端口状态变化及时通知用户的防止流控帧干扰的装置结构。
如图8所示,除了实施例7中所述的装置结构外,本实施例还设置有用于记录端口状态变化信息的系统日志模块801,端口设置模块604与系统日志模块801通信连接。另外,本实施例中的装置还设置有输出设备802,该输出设备802与系统日志模块801通信连接。在实施例7所述的工作过程中,当端口1受到流控帧攻击,端口1被关闭后,端口设置模块604还将端口1的状态变化信息记录在系统日志模块801中,由系统日志模块801向输出设备802发送遭受流控帧攻击提示消息,用于提示用户被攻击的端口已被关闭。当端口1不再受到流控帧攻击,并且端口1被恢复为第一状态后,端口设置模块604将此时端口1的端口状态变化信息也记录在系统日志模块801中,并由系统日志模块801向输出设备802发送流控帧攻击解除提示消息,用于提示用户被攻击的端口已重新恢复正常工作。
在本实施例所述的装置结构中,由于对端口状态的变化进行了记录,并显示给用户,因此能够使用户随时掌握系统运行状况,并且能够根据系统日志模块中记录的端口状态变化信息,迅速找到产生大量流控帧的源端设备,以便采取相应的措施排除故障。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
Claims (14)
1、一种防止流控帧干扰的方法,其特征在于包括:当转发设备接收到流控帧时,在预先设定的关闭时间内统计端口收到的流控帧的个数,当该个数大于最大允许流控帧数时,修改端口状态,使转发设备的转发芯片不再向该端口转发报文。
2、根据权利要求1所述的防止流控帧干扰的方法,其特征在于所述统计端口收到的流控帧的个数包括:转发设备对端口执行监控,当端口收到流控帧时开始统计。
3、根据权利要求1中所述的防止流控帧干扰的方法,其特征在于所述修改端口状态还包括:在端口状态被修改之前,将该端口的当前状态记录为第一状态。
4、根据权利要求1所述的防止流控帧干扰的方法,其特征在于所述修改端口状态还包括:在端口状态被修改之后,记录端口状态变化信息,并在输出设备中显示遭受流控帧攻击提示消息。
5、根据权利要求4所述的防止流控帧干扰的方法,其特征在于所述修改端口状态还包括:在端口状态被修改之后,转发设备对端口继续执行监控,如果在预先设定的恢复时间内未统计到流控帧,则将端口状态恢复为第一状态。
6、根据权利要求5所述的防止流控帧干扰的方法,其特征在于所述步骤还包括:端口状态被恢复为第一状态后,记录端口状态变化信息,并在输出设备中显示流控帧攻击解除提示消息。
7、根据权利要求1-6中任意一项所述的防止流控帧干扰的方法,其特征在于所述修改端口状态具体为:将端口底层STP状态修改为阻塞状态。
8、根据权利要求1-4所述的防止流控帧干扰的方法,其特征在于所述修改端口状态具体为:
步骤201、向端口上层STP控制模块发送流控帧干扰提示消息;
步骤202、上层STP控制模块将能够与该受干扰端口形成环路的另一端口的底层STP状态,由阻塞状态修改为转发状态;
步骤203、上层STP控制模块将受干扰端口的底层STP状态修改为阻塞状态。
9、根据权利要求1-4所述的防止流控帧干扰的方法,其特征在于所述修改端口状态具体为:修改受干扰端口的VLAN属性状态,使该端口被加入到一个未定义的VLAN中。
10、根据权利要求1-6中任意一项所述的防止流控帧干扰的方法,其特征在于:所述转发设备为交换机或网桥。
11、一种防止流控帧干扰的装置,其特征在于包括:用于在预先设定的关闭时间内统计端口收到的流控帧个数的流控帧计数模块,及用于修改端口状态的端口设置模块,该流控帧计数模块与该端口设置模块通信连接。
12、根据权利要求11所述的防止流控帧干扰的装置,其特征在于:还设置有用于记录当前端口状态的状态记录模块,该状态记录模块与端口设置模块通信连接。
13、根据权利要求12所述的一种防止流控帧干扰的装置,其特征在于:还设置有用于记录端口状态变化信息的系统日志模块,所述端口设置模块与系统日志模块通信连接。
14、根据权利要求13所述的防止流控帧干扰的装置,其特征在于:还设置有输出设备,该输出设备与所述系统日志模块通信连接,用于向用户显示提示消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101273340A CN1917477B (zh) | 2006-09-14 | 2006-09-14 | 防止流控帧干扰的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101273340A CN1917477B (zh) | 2006-09-14 | 2006-09-14 | 防止流控帧干扰的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1917477A true CN1917477A (zh) | 2007-02-21 |
| CN1917477B CN1917477B (zh) | 2010-08-11 |
Family
ID=37738373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101273340A Active CN1917477B (zh) | 2006-09-14 | 2006-09-14 | 防止流控帧干扰的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1917477B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523120A (zh) * | 2011-12-20 | 2012-06-27 | 许继集团有限公司 | 智能变电站过程层ied网络压力控制方法及装置 |
| CN104780077A (zh) * | 2015-03-24 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种流量控制的方法和设备 |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN107749825A (zh) * | 2017-10-24 | 2018-03-02 | 盛科网络(苏州)有限公司 | 一种跨芯片转发中基于源芯片id的流控方法及装置 |
| CN107783721A (zh) * | 2016-08-25 | 2018-03-09 | 华为技术有限公司 | 一种数据的处理方法和物理机 |
| CN108989271A (zh) * | 2017-06-05 | 2018-12-11 | 中兴通讯股份有限公司 | 一种家庭网关端口防攻击的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6246690B1 (en) * | 1998-03-19 | 2001-06-12 | 3Com Corporation | Method and device for controlling data flow in a computer data network |
| CN1174582C (zh) * | 2001-09-17 | 2004-11-03 | 上元科技股份有限公司 | 局域网频宽限额分配装置及方法 |
-
2006
- 2006-09-14 CN CN2006101273340A patent/CN1917477B/zh active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523120A (zh) * | 2011-12-20 | 2012-06-27 | 许继集团有限公司 | 智能变电站过程层ied网络压力控制方法及装置 |
| CN102523120B (zh) * | 2011-12-20 | 2015-08-12 | 许继电气股份有限公司 | 智能变电站过程层ied网络压力控制方法 |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN104780077A (zh) * | 2015-03-24 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种流量控制的方法和设备 |
| CN104780077B (zh) * | 2015-03-24 | 2019-12-06 | 新华三技术有限公司 | 一种流量控制的方法和设备 |
| CN107783721A (zh) * | 2016-08-25 | 2018-03-09 | 华为技术有限公司 | 一种数据的处理方法和物理机 |
| CN107783721B (zh) * | 2016-08-25 | 2020-09-08 | 华为技术有限公司 | 一种数据的处理方法和物理机 |
| CN108989271A (zh) * | 2017-06-05 | 2018-12-11 | 中兴通讯股份有限公司 | 一种家庭网关端口防攻击的方法和装置 |
| CN107749825A (zh) * | 2017-10-24 | 2018-03-02 | 盛科网络(苏州)有限公司 | 一种跨芯片转发中基于源芯片id的流控方法及装置 |
| CN107749825B (zh) * | 2017-10-24 | 2021-03-09 | 盛科网络(苏州)有限公司 | 一种跨芯片转发中基于源芯片id的流控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1917477B (zh) | 2010-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1917477A (zh) | 防止流控帧干扰的方法及装置 | |
| CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
| US7450509B2 (en) | Adaptive flow control method and apparatus | |
| CN101616097B (zh) | 一种网络处理器输出端口队列的管理方法及系统 | |
| CN101068229A (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
| CN1747439A (zh) | 以太网自动保护系统相切环的故障处理方法 | |
| CN101079759A (zh) | 分布式双向转发检测方法及设备 | |
| CN1933442A (zh) | 实现虚拟路由器冗余协议主、备用设备切换的方法及系统 | |
| CN1885789A (zh) | 自动交换光网络中通道故障的处理方法 | |
| CN1725709A (zh) | 网络设备与入侵检测系统联动的方法 | |
| CN101547187A (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN101599966A (zh) | 一种多虚拟机应用的数据过滤方法 | |
| CN1960310A (zh) | 一种实现环网保护的方法及系统 | |
| CN1394041A (zh) | 一种因特网服务提供者安全防护的实现方法 | |
| CN101193045A (zh) | 线卡上捕获和限制数据报文速度的方法 | |
| CN113271301A (zh) | 一种基于嵌入式多核处理模式的网闸系统通信方法 | |
| CN101355567B (zh) | 一种对交换路由设备中央处理器进行安全保护的方法 | |
| CN1272945C (zh) | 分组转发系统及其方法 | |
| WO2017000861A1 (zh) | 交换机虚拟局域网中mac地址的学习方法及装置 | |
| CN103607354B (zh) | 一种流量控制方法、dpi设备及系统 | |
| JP4022017B2 (ja) | Lan中継装置 | |
| CN101035048A (zh) | 一种不受mac地址删除效率影响的环路快速切换的方法 | |
| CN1889501A (zh) | 决定桥角色的方法和系统 | |
| CN101494598B (zh) | 流量控制方法、装置及系统 | |
| CN1859155A (zh) | 链路状态自协商方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |