KR20100110813A - 네트워크 구성 보호 방법, 브리지 및 컴퓨터 네트워크 - Google Patents
네트워크 구성 보호 방법, 브리지 및 컴퓨터 네트워크 Download PDFInfo
- Publication number
- KR20100110813A KR20100110813A KR1020107015139A KR20107015139A KR20100110813A KR 20100110813 A KR20100110813 A KR 20100110813A KR 1020107015139 A KR1020107015139 A KR 1020107015139A KR 20107015139 A KR20107015139 A KR 20107015139A KR 20100110813 A KR20100110813 A KR 20100110813A
- Authority
- KR
- South Korea
- Prior art keywords
- bridge
- root
- network
- network configuration
- port
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/48—Routing tree calculation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
- Communication Control (AREA)
Abstract
신장 트리 프로토콜(STP)에 의해 설정된 네트워크 구성을 보호하는 방법이 개시된다.
Description
본 발명은 컴퓨터 네트워크의 다수의 브리지 중 하나의 브리지를 루트 브리지고 선택하고 다수의 브리지 각각의 다수의 브리지 포트 중 하나의 브리지 포트를 루트 포트로 선택하여 신장 트리 프로토콜(spanning tree protocol: STP)에 의해 설정된 네트워크 구성을 보호하는 방법에 관한 것이다.
도 1에는, 다수의 링크(12-26)에 의해 상호 접속되는 다수의 브리지(2-11)를 구비한 컴퓨터 네트워크(1)가 도시되어 있다. 도 1의 네트워크 구성을 도 2a에 도시된 트리형 네트워크 구성(신장 트리)으로 변환하기 위해, 신장 트리 프로토콜 STP가 컴퓨터 네트워크(1)의 부트스트래핑 페이즈 동안 실행된다. 신장 트리 프로토콜은 링크(21-26)(도 2a에서 점선)를 비활성화시킴으로써 신장 트리를 생성하여, 컴퓨터 네트워크(1)의 루트 브리지라고도 지칭되는 신장 트리의 헤드에서 브리지(2) 중 하나를 다른 브리지(3-11) 각각에 접속시키는 루프-프리(loop-free) 구성을 획득한다. 이러한 네트워크 구성이 달성될 때, 네트워크의 터미널(도시하지 않음)이 루프-프리 네트워크(1)에 의해 상호 접속되고, 그에 따라 데이터그램을 송신 및 수신할 수 있다. 따라서, 부트스트래핑 페이즈 다음의 동작 페이즈 시, 터미널의 양방향 데이터 스트림은 게이트웨이로/로부터 또한 선택적으로는 터미널들 사이에서 전달된다.
도 1 및 도 2a에 도시한 브리지(2-11) 각각은 대응 링크(12-20)를 통해 신장 트리의 브리지(2-11)를 서로 접속시키는 다수의 인에이블링된(포워딩) 브리지 포트(2a-11a, 3b, 4b, 6b, 7b, 9b, 10b)를 포함한다. 브리지(2-11)를 루트 브리지(2)에 연결하는 링크와 접속시키는 브리지 포트(2a-11a)는 이하에서 루트 포트(2a-11a)라고 지칭될 것이다. 비활성화된 링크(21-26)를 통해 브리지(3-11)와 접속하는 데 이용될 수 있는 이들 브리지 포트는 트리형 구성에 이용되지 않으며, 따라서 도 2a에는 도시되지 않는다. 도 2a의 브리지(2-11) 중 임의의 브리지가 추가 브리지 포트를 통해 컴퓨터 네트워크(1)의 추가 브리지 또는 터미널에 접속될 수 있다.
STP의 설계에 대해, 모든 브리지(2-11)가 동일하며, 동일한 확률로 부착/탈착할 수 있다는 것이 전제되었다. 그러나, 현재 네트워크에서, 관리자는 신장 트리의 루트가 브리지 ID를 세팅함으로써 네트워크의 중심점에 위치하는 브리지를 선택할 것이며, 그에 따라 루트 브리지는 일반적으로 STP 프로세스를 관리하는 STP 인스턴스에 도움이 될 수 있는 네트워크 관리 유닛(27)에 가깝다. 다른 브리지에 비해, 루트 브리지는 보다 높은 성능을 가지며 보다 높은 품질 및/또는 잉여 콤포넌트를 이용하여 구축된 디바이스이기 때문에 보다 높은 이용가능성을 갖는다. 또한, 터미널의 데이터 흐름의 대부분은 게이트웨이를 통해 송신되고 그에 따라 루트 브리지를 통해 통신된다. 특히, 터미널의 인증(IEEE 802.1X 포트 기반 네트워크 액세스 제어, RFC3588 Diameter)은 일반적으로 중앙 로케이션에 위치한 서버와의 통신을 요구한다. 모든 터미널은 아니지만 대부분의 터미널은 루트 브리지를 통해 그 로케이션에 도달할 것이다.
따라서, 부트스트래핑 페이즈 동안 설정된 네트워크 구성을 악의적인 공격자로부터 보호하는 것이 중요하다. 이러한 악의적인 공격자가 예컨대 케이블을 언플러깅/커팅(unplugging/cutting)함으로써 2개의 이웃 브리지들 사이의 링크를 인터럽트하는 경우, 단말기 중 일부 또는 모두(잉여 경로가 있는 경우)는 계속해서 통신할 수 있다. 그러나, 공격자가 위조 STP 메시지를 일반적으로 브리지 프로토콜 데이터 유닛(bridge protocol data units: BPDU)에 주입할 때, 전체 브리지 네트워크(1) 도처에서의 통신은 신장 트리의 재구성을 야기함으로써 차단될 수 있다.
도 2b는 브리지(10)와 브리지(11) 사이의 링크(20)에 접속되어 현재 루트 브리지(2)의 ID보다 더 큰 루트 브리지 ID를 전달하는 위조 BPDU를 전송하는 공격자(30)를 도시하고 있다. 표준 STP 프로토콜 절차에 따르면, 이러한 BPDU는 루트 브리지가 항상 최저 루트 브리지 ID를 갖는 브리지로서 선택되기 때문에 네트워크(1)의 구성에 어떠한 변경도 야기하지 않을 것이다.
그러나, 공격자(30)가 현재 루트 브리지(2)의 ID보다 낮은 루트 ID를 전달하는 BPDU를 전송할 때(이것은 더 높은 우선순위의 브리지에 대응함), 도 2c에 도시한 바와 같이, 브리지 선정 메커니즘이 재시작되고, 정규 STP가 새로운 신장 트리를 구축할 것이다. 새로운 신장 트리가 공격자의 로케이션(30)으로부터 시작하여 구축될 때, 네트워크(1) 내의 주요 링크(12, 13, 16, 18, 24)는 비활성화되어, 전체 네트워크의 동작에 부정적인 영향을 미칠 수 있다.
따라서, 단일 링크로의 액세스를 갖는 공격자는 그 특정 링크 상에서의 데이터그램 전송과 간섭, 예컨대 링크를 재밍(jamming)할 뿐이지만, 전체 네트워크의 성능에 영향을 미칠 수도 있다. 공격자가 실제 루트와 동일한 루트 ID를 갖지만 현저히 낮은 루트 경로 비용을 갖는 위조 BPDU를 전송하여 신장 트리의 주요 재구성을 마찬가지로 야기할 때 유사한 효과가 생성될 수 있다.
US 2006/0092862 A1에는, 외부 네트워크에 접속된 브리지의 브리지 포트가 루트 포트로서 선택되지 못하게 함으로써 코어 네트워크 내의 루트 브리지의 로케이션을 유지시키는 "STP 루트 가드"로 알려져 있는 프로세스가 설명되어 있다. 그러나, 이러한 프로세스는 코어 네트워크 자체의 링크에 대한 공격을 방지할 수 없다.
이론적으로, 암호화 서명을 체크함으로써 수신 브리지가 BPDU의 인증을 증명할 수 있도록 모든 BPDU에 암호학적으로 서명하는 것도 가능할 것이다. 그러나, BPDU의 암호학적 보호는 상당한 구성/관리 오버헤드 및 각 브리지 내의 상당한 계산 리소스를 요구할 것이다.
본 발명의 목적은, 위조 STP 메시지를 이용한 공격으로부터 신장 트리 프로토콜에 의해 설정된 네트워크 구성을 보호하게 하는 방법, 브리지 및 컴퓨터 네트워크를 제공하는 것이다.
이 목적은, 컴퓨터 네트워크의 다수의 브리지 중 하나의 브리지를 루트 브리지로서 선택하고 상기 다수의 브리지 각각의 다수의 브리지 포트 중 하나의 브리지 포트를 루트 포트로서 선택하여 신장 트리 프로토콜(spanning tree protocol: STP)에 의해 설정된 네트워크 구성을 보호하는 방법으로서, 양방향 트래픽이 상기 브리지 포트를 통과하는 경우에 상기 브리지 중 적어도 하나의 브리지의 적어도 하나의 브리지 포트의 서브상태를 능동 서브상태로 설정하는 단계와, 상기 능동 서브상태에 있는 상기 브리지 포트 중 하나의 포트에서 STP 메시지, 구체적으로 브리지 프로토콜 데이터 유닛(BPDU)을 수신하는 단계와, 상기 STP 메시지가 상기 네트워크 구성의 상기 루트 브리지의 변화를 나타내는 경우에 상기 STP 메시지를 폐기하고 및/또는 알람 메시지를 네트워크 관리 유닛으로 전송하여 상기 네트워크 구성을 보호하는 단계를 포함하는 전술한 바와 같은 방법에 의해 달성된다.
브리지 포트가 능동 서브상태에 있다면 그것은 양방향 페이로드 트래픽을 보며, 루트 브리지를 변화시키는 것이 이러한 환경 하에서 네트워크의 동작을 개선하지는 않을 것이기 때문에 루트 브리지가 잘 하고 있고 상이한 루트 브리지를 안내하는 BPDU가 아마도 위조된다는 것이 가정될 수 있다. 따라서 이러한 BPDU를 무시하는 것은 불필요한 루트 브리지 변화를 회피시킬 것이다. 더욱이, 네트워크 관리 유닛은 위조된 BPDU의 발생에 관한 정보를 통지받을 수 있으며, 공격자를 식별하고 정지시키기 위해 불필요한 측정수단을 취할 수 있다.
바람직한 변형에서, 루트 브리지의 변경 하에 네트워크의 구성의 루트 브리지의 브리지 포트 ID보다 더 작은 BPDU의 브리지 포트 ID에 의해 표시된다. 공격자가 현재 루트 브리지(브리지의 보다 높은 우선순위에 대응함)의 ID 브리지의 보다 작은 루트 ID를 전달하는 BPDU를 송신하는 경우, 본 기술분야에서, 도 2c와 관련하여 상세히 설명된 바와 같이, 브리지 선정 메커니즘은 재시작될 것이고, 공격자의 로케이션으로부터 시작하는 새로운 신장 트리가 구축될 것이다. 본 방식에서, BPDU를 수신하는 루트 포트가 능동 서브상태에 있을 때, 공격자의 BPDU는 무시되어 네트워크 구성을 보호할 것이다.
다른 바람직한 변형에서, 이 방법은 STP 메시지가 일반적으로는 루트 포트가 아닌 브리지 포트에서 루트의 변화 및 루트 경로 비용의 감소를 나타내는 경우에 타당성에 대한 STP 메시지의 루트 경로 비용을 체크하는 단계를 더 포함한다. 네트워크 구성의 변화는 루트 브리지의 변화를 나타내는 BPDU에 의해서 뿐 아니라 위조된 루트 경로 비용을 갖는 BPDU에 의해서도 야기되어, 신장 트리 재구성을 트리거하는 브리지 중 하나 이상의 브리지의 루트 포트의 변화를 야기할 수 있다. 토폴로지 변화를 안내하는 합법적 BPDU로부터 임의의 위조된 BPDU를 식별하는 것은 어렵지만, 커스터마이즈된 타당성 체크는 그러한 공격을 방어하는 데 도움이 될 수 있다.
이 변형의 바람직한 개선에서, 타당성에 대한 루트 경로 비용을 체크하는 것은 네트워크의 토폴로지 및/또는 네트워크 관리 유닛에 의해 설정된 허용 범위의 루트 경로 비용을 고려하여 STP 메시지의 루트 경로 비용을 실제 루트 경로 비용과 비교함으로써 수행된다. 이러한 방법으로, 위조된 루트 경로 비용을 갖는 BPDU는 규칙적인 토폴로지 변경을 나타내는 BPDU로부터 식별될 수 있다.
본 발명의 제 2 양상은, 브리지의 다수의 브리지 포트 중 하나의 브리지 포트를 루트 포트로서 선택하고 컴퓨터 네트워크의 다수의 브리지 중 하나의 브리지를 루트 브리지로서 선택하여 신장 트리 프로토콜(STP)에 의해 설정되는 전술한 컴퓨터 네트워크의 네트워크 구성에서 동작하는 브리지로서, 양방향 트래픽이 상기 브리지 포트를 통과하는 경우에 상기 브리지 포트 중 적어도 하나의 브리지 포트의 서브상태를 능동 서브상태로 설정하는 서브상태 설정 유닛과, 상기 능동 서브상태에 있는 상기 브리지 포트 중 하나의 브리지 포트에서 STP 메시지, 구체적으로 브리지 프로토콜 데이터 유닛(BPDU)을 수신하는 수신 유닛과, 상기 STP 메시지가 상기 네트워크 구성의 상기 루트 브리지의 변화를 나타내는 경우에 상기 STP 메시지를 폐기하고 및/또는 알람 메시지를 네트워크 관리 유닛으로 전송하여 상기 네트워크 구성을 보호하는 네트워크 구성 보호 유닛을 포함하는 브리지에 관한 것이다.
서브상태 설정 유닛은 각각의 포워딩 브리지 포트, 즉 STP에 의해 인에이블링되는 브리지 포트에 추가된 추가 상태 머신이다. 따라서, 서브상태 설정 유닛은 브리지 포트의 포워딩 상태를 능동 및 수동 서브상태로 분리하는 데 이용될 수 있다. 터미널로부터의 양방향 페이로드 트래픽이 포워딩 브리지 포트를 통해 전달되는 한, 그것은 능동 서브상태에 있다. 예컨대, 링크 실패의 경우, 트래픽은 중지되고 브리지 포트는 수동 서브상태로 변화한다. 따라서, BPDU는 서브상태의 변경을 야기할 수 없지만, 예컨대 신장 트리의 재구성 동안 포워딩 브리지 포트를 디스에이블링함으로써 STP에 따라 단지 포트 상태의 변경을 야기할 수 있다. 신장 트리의 이러한 원치 않는 변경은 위조된 BPDU를 식별함으로써, 예컨대 BPDU가 루트 브리지의 변경을 나타내고 포워딩 브리지 포트가 능동 서브상태에 있을 때 BPDU가 위조되는 것을 가정함으로써 회피될 수 있다.
바람직한 실시예에서, 루트 브리지의 변경은 루트 브리지의 브리지 포트 ID보다 작은 BPDU의 브리지 포트 ID에 의해 네트워크 구성 보호 회로에 나타내어진다. 능동 서브상태에서의 브리지 포트가 그러한 BPDU를 수신하는 경우, 네트워크 구성 보호 유닛은 BPDU를 무시하고, 네트워크의 STP 인스턴스로서 이용될 수 있는 네트워크 관리 유닛으로 경고 메시지를 전송한다.
다른 바람직한 실시예에서, 네트워크 구성 보호 유닛은 STP 메시지가 루트 포트의 변화 및 루트 경로 비용의 감소를 나타내는 경우에 타당성에 대한 STP 메시지의 루트 경로 비용을 체크하도록 구성된다. 일반적으로, 이러한 체크는 BPDU가 루트 포트가 아닌 브리지 포트에서 수신될 때 수행된다.
이 실시예의 바람직한 개선에서, 네트워크 구성 보호 회로는 네트워크 관리 유닛에 의해 설정된 허용 범위의 루트 경로 비용 및/또는 네트워크를 고려하여 STP 메시지의 루트 경로 비용을 실제 루트 경로 비용과 비교함으로써 타당성에 대한 루트 경로 비용을 체크한다. 이 경우, 네트워크 토폴로지에 관한 추가 정보는 네트워크 관리 유닛에 의해 제공될 수 잇는 네트워크 구성 보호 유닛에서 이용 가능하다.
본 발명의 제 3 양상은 전술한 타입의 다수의 브리지를 포함하되, 다수의 브리지 중 하나의 브리지를 루트 브리지로서 선택하고 상기 다수의 브리지 각각의 다수의 브리지 포트 중 하나의 브리지 포트를 루트 포트로서 선택하여 신장 트리 프로토콜(spanning tree protocol: STP)에 의해 설정된 네트워크 구성에서 동작하는 컴퓨터 네트워크에서 구현된다. STP는 네트워크의 부트스트래핑 페이즈 동안 신장 트리를 생성한다. 동작 페이즈 동안, 네트워크 구성은 전술한 방법으로 공격으로부터 보호되고, 그 결과, 링크 실패 등과 같은 정규 토폴로지 변화의 경우에만 수정된다.
바람직한 실시예에서, 컴퓨터 네트워크는 네트워크의 게이트웨이 기능 또는 다른 중앙 서버와 공동 배치될 수 있는 네트워크 관리 유닛을 더 포함한다. 네트워크 관리 유닛은 또한 네트워크의 토폴로지에 관한 정보, 특히 허용 범의 루트 경로 비용에 관한 정보를 제공할 수 있다.
다른 특징 및 이점은 상당한 세부사항을 도시하고 특허청구범위에 의해 정의되는 예시적 실시예에 대한 다음 설명에서 도면을 참조하여 진술된다. 개별적인 특징은 자신에 의해 개별적으로 구현될 수 있고, 또는 그들 중 여럿이 임의의 원하는 조합에서 구현될 수 있다.
예시적인 실시예는 도식도에 도시되어 있고, 이하의 설명에서 설명된다.
도 1은 다수의 상호 접속된 브리지를 포함하는 컴퓨터 네트워크의 도식도를 도시한 도면,
도 2a는 신장 트리 프로토콜(spanning tree protocol)에 의해 설정된 도 1의 컴퓨터 네트워크의 네트워드 구성 개략도,
도 2b 및 도 2c는 비보호 네트워크 구성의 경우에 있어서 도 2a의 네트워크 구성이 어떻게 STP 메시지를 컴퓨터 네트워크의 브리지 중 하나에 전송하는 공격자에 의해 변경될 수 있는가를 도시하고 있는 도면,
도 3a는 도 2a의 네트워크 구성을 보호하는 브리지를 도시하고 있는 도면,
도 3b는 도 3a의 브리지의 브리지 포트의 상태도,
도 4는 도 2a의 네트워크 구성을 보호하는 방법의 흐름도이다.
도 1은 다수의 상호 접속된 브리지를 포함하는 컴퓨터 네트워크의 도식도를 도시한 도면,
도 2a는 신장 트리 프로토콜(spanning tree protocol)에 의해 설정된 도 1의 컴퓨터 네트워크의 네트워드 구성 개략도,
도 2b 및 도 2c는 비보호 네트워크 구성의 경우에 있어서 도 2a의 네트워크 구성이 어떻게 STP 메시지를 컴퓨터 네트워크의 브리지 중 하나에 전송하는 공격자에 의해 변경될 수 있는가를 도시하고 있는 도면,
도 3a는 도 2a의 네트워크 구성을 보호하는 브리지를 도시하고 있는 도면,
도 3b는 도 3a의 브리지의 브리지 포트의 상태도,
도 4는 도 2a의 네트워크 구성을 보호하는 방법의 흐름도이다.
도 3a는 도 2a의 컴퓨터 네트워크(1)의 브리지(10)를 보다 상세히 도시하고 있다. 브리지(10)는, 링크(18, 19)를 통해 루트 브리지(2)에 접속되고 이후에 루트 포트라고 지칭될 제 1 포워딩 브리지 포트(10a)와, 링크(20)에 의해 도 2a의 추가 브리지(11)에 접속되는 제 2 포워딩 브리지 포트(10b)와, 도 2a의 네트워크 구성에서 디스에이블링된 제 3 브리지 포트(10c)를 포함한다.
브리지(10)는 서브상태 설정 유닛(41), 수신 유닛(42) 및 네트워크 구성 보호 유닛(43)을 더 포함한다. 수신 유닛(42)은 2개의 포워딩 브리지 포트(10a, 10b)에서 STP 메시지, 특히 BPDU를 수신하도록 구성된다. 서브 상태 설정 유닛(41) 및 네트워크 구성 보호 유닛(42)은 이후에 더 상세히 설명될 방법으로 도 2a의 네트워크 구성을 공격으로부터 보호하도록 구성된다. 당업자라면, 서브 상태 설정 유닛(41), 수신 유닛(42) 및 네트워크 구성 보호 유닛(43)이 도 3a에는 개별적인 개체로서 도시되어 있다 하더라도, 그들은 브리지(10) 내의 하나의 물리적 개체, 예컨대 마이크로프로세서, ASIC, ...로 구현될 수 있다. 또한, 모든 브리지 포트(10a-10c)에서 이용되는 3개의 유닛(41-43)을 제공하는 대신, 별도의 유닛이 각각의 브리지 포트(10a-10c)에 이용될 수 있다.
서브상태 설정 유닛(41)의 기능은 도 3a의 포워딩 브리지 포트(10a, 10b)의 상태도를 나타내는 도 3b를 참조하면 가장 잘 설명될 수 있다. 도면에서, 포워딩 상태는 수동 서브상태(51) 및 능동 서브상태(52)로 분할된다. 터미널로부터의 양방향 페이로드 트래픽은, 브리지 포트(10a, 10b)를 통해 전달되는 한, 능동 서브상태(52)에 있다. 예컨대, 링크 실패의 경우에는 트래픽이 중지되고 브리지 포트(10a, 10b)는 수동 서브상태(51)로 변경된다. 도 3b에도 표시된 바와 같이, BPDU는 서브상태(51)와 서브상태(52) 사이의 전이를 야기하지 않는다. 그러나, 그들은 포워딩 상태로부터 디스에이블링된 상태로의 STP에 따른 브리지 포트 상태의 변화, 즉 루트 포트의 변화 또는 브리지 포트(10a, 10b)의 변화를 야기할 수 있다.
도 3b에 도시한 2-상태 메커니즘에 기초하여, 도 4의 흐름도에 도시된 확장 프로토콜 상태 천이도가 실행될 수 있는데, 이는 이후에 제 2 브리지 포트(10b)에 대해 설명될 것이다. 제 1 단계(100)에서, 브리지(11)로의 링크(20)에 실패가 없고, 그 결과 양방향 트래픽이 제 2 브리지 포트(10b)를 통과하기 때문에, 서브상태 설정 디바이스(41)는 포워딩 브리지 포트(10b)를 도 3b에 도시한 능동 서브상태(52)로 설정한다. 제 2 단계(101)에서, BPDU는 제 2 브리지 포트(10b)의 수신 유닛(42)에 의해 수신된다. 제 3 단계(102)에서, 도달 BPDU는 루트 브리지 ID에 관한 네트워크 구성 보호 유닛에 의해 체크된다. 루트 브리지 ID가 브리지(10)에 알려진 루트 브리지 ID보다 낮다면, BPDU가 위조된다는 것이 틀림없이 가정될 수 있다. 이것은, 포워딩/능동 상태에서 양방향 페이로드 트래픽이 도 2a의 루트 브리지(2)로의 기능 경로를 나타내어 재구성이 필요 없기 때문이다. 이러한 위조 BPDU는 단계(103)에서 틀림없이 폐기될 수 있고, 알람 신호는 그 사고에 관한 정보를 네트워크 관리 유닛(27)으로 통지할 수 있다. 그러나, BPDU 내의 루트 브리지 ID가 알려진 루트 브리지 ID보다 큰 경우, BPDU는 어찌됐든 재구성을 야기하지 않을 것이며, 그에 따라 STP 인스턴스, 일반적으로는 네트워크 관리 유닛(27)으로 틀림없이 전달될 수 있다.
수신된 BPDU의 루트 브리지 ID가 브리지(10)에 알려진 루트 브리지 ID와 동일한 경우, BPDU 내에 포함되는 루트 경로 비용은 단계(104a-104c)에서 주의깊게 분석될 필요가 있다. 브리지의 루트 포트(10a)(또한 그에 따른 스위칭 테이블)는 루트 포트(10a)가 보다 낮은 루트 경로 비용을 갖는 업데이트를 수신하거나 (브리지 포트(10b)와 같은) 비-루트 포트가 증가한 비용을 갖는 BPDU를 수신할 때마다 변경되지 않은 상태를 유지한다. 이 경우, 네트워크가 그것의 정상 동작으로 계속될 수 있고 프로세스가 후속 단계(105)에서 계속될 수 있음이 틀림없이 가정될 수 있다. 또한, 루트 포트(10a)가 증가한 루트 경로 비용을 갖는 BPDU를 수신하고 그에 따라 루트 포트 스위치오버를 잠재적으로 트리거시킨 경우, BPDU는 이러한 BPDU가 특정 링크를 재밍하는 것과 비교해 동일하거나 더 적은 효과를 갖기 때문에 (단계 104b에서) 마찬가지로 STP 인스턴스(27)로 틀림없이 전달될 수 있다.
그러나, 브리지 포트(10b)와 같은 비-루트 포트가 브리지(10)의 루트 포트(10a)를 변경시키도록 더 낮은 루트 경로 비용을 갖는 BPDU를 수신하는 경우, 그것은 새로운 링크가 네트워크(1)에 부가되었거나, 네트워크 관리 유닛(27)이 트래픽의 방향을 전화하도록 링크 비용을 변경하도록 결정했거나, 공격자가 네트워크의 동작을 교란시키려고 시도한다는 것을 나타낼 수 있다. 후자가 그 경우라면, 도 2c를 참조하여 전술한 바와 같이, 하나의 링크 상에 전송된 이러한 위조 BPDU는 네트워크의 동작에 대해 결정적 영향을 갖는 전체 네트워크(1) 도처에서 트래픽을 개편할 수 있다.
따라서, 위조 BPDU를 STP 인스턴스(27)에 전달할 가능성을 감소시키기 위해, 루트 경로 비용은 네트워크 구성 보호 유닛(43)에 의해 (단계(104c)에서) 미리 타당성을 체크할 필요가 있다. 이것은, 예컨대 네트워크의 토폴로지의 알려진 속성과 관련하여 이전 비용과 새로운 비용 사이의 차이점을 분석하고 링크 비용 값의 허용 범위와 관련하여 네트워크 관리 유닛(27)에 주어진 규칙을 분석함으로써 공격자의 위조 BPDU의 잠재적 영향을 감소시키는 것으로 이루어질 수 있다. 위조 루트 경로 비용을 갖는 BPDU가 그러한 방법으로 식별되는 경우, BPDU는 폐기되고, 알람 메시지는 단계(103)와 유사한 방법으로 STP 인스턴스(27)로 전송된다. 어떠한 위조 BPDU도 검출되지 않는 경우, 서브상태 설정 유닛(41)은 양방향 트래픽이 브리지 포트(10b)를 통과하고 브리지 포트(10b)를 능동 서브상태로 설정하여 도 4에서 설명된 프로세스가 다시 시작될 수 있는가를 체크한다. 전술한 프로세스가 브리지(10)의 루트 포트(10a)에 동일하게 적용될 수 있고 루트 경로 비용의 체크는 이 경우에 요구되지 않음이 이해될 것이다.
전체 네트워크(1)를 보호하기 위해, 도 4를 참조하여 설명된 프로세스는 도 2a에 도시한 네트워크의 각 브리지(3-11)의 브리지 포트(3a-11a, 3b, 4b, 6b, 7b, 9b, 10b)에 적용되는 것이 바람직하다. 이러한 방법에서, 전체 네트워크(1)는 STP 프로토콜 포맷 또는 추가 구성 오버헤드의 변경에 대한 필요 없이 하나 이상의 내부 링크(12-20)로의 액세스를 갖는 공격자에 의해 교란되는 것으로부터 보호될 수 있다. 따라서, 본 명세서에서 설명한 방식은 별개의 주축점을 통과하는 트래픽의 대부분에 따른 일반적 공동 네트워크 설정 시에 특히 유리하지만, 다른 특성을 갖는 네트워크에서 프로토콜의 안정성을 위험에 빠뜨리지는 않는다.
바람직한 실시예에 대한 전술한 설명은 실례로서 주어졌다. 주어진 개시로부터, 당업자라면 본 발명 및 그의 부수적인 이점을 이해할 뿐 아니라 개시된 구조 및 방법에 대한 다양한 변경 및 수정을 명백히 찾을 것이다. 따라서, 출원인은 첨부한 특허청구범위 및 그의 등가물에 의해 정의되는 본 발명의 사상 및 범주 내에 그러한 변경 및 수정을 모두 커버하고자 한다.
Claims (10)
- 컴퓨터 네트워크(1)의 다수의 브리지(2-11) 중 하나의 브리지를 루트 브리지(2)로서 선택하고 상기 다수의 브리지(2-11) 각각의 다수의 브리지 포트(2a-11a, 3b, 4b, 6b, 7b, 9b, 10b) 중 하나의 브리지 포트를 루트 포트(2a-11a)로서 선택하여 신장 트리 프로토콜(spanning tree protocol: STP)에 의해 설정된 네트워크 구성을 보호하는 방법으로서,
양방향 트래픽이 상기 브리지 포트(2a-11a, 3b, 4b, 6b, 7b, 9b, 10b)를 통과하는 경우에 상기 브리지(2-11) 중 적어도 하나의 브리지의 적어도 하나의 브리지 포트(2a-11a, 3b, 4b, 6b, 7b, 9b, 10b)의 서브상태(51, 52)를 능동 서브상태(52)로 설정하는 단계와,
상기 능동 서브상태에 있는 상기 브리지 포트(2a-11a, 3b, 4b, 6b, 7b, 9b, 10b) 중 하나의 포트에서 STP 메시지, 구체적으로 브리지 프로토콜 데이터 유닛(BPDU)을 수신하는 단계와,
상기 STP 메시지가 상기 네트워크 구성의 상기 루트 브리지(2)의 변화를 나타내는 경우에 상기 STP 메시지를 폐기하고 및/또는 알람 메시지를 네트워크 관리 유닛(27)으로 전송하여 상기 네트워크 구성을 보호하는 단계를 포함하는
네트워크 구성 보호 방법.
- 제 1 항에 있어서,
상기 루트 브리지(2)의 변화는 상기 네트워크 구성의 상기 루트 브리지(2)의 브리지 포트 ID보다 작은 상기 BPDU의 브리지 포트 ID에 의해 나타내어지는
네트워크 구성 보호 방법.
- 제 1 항에 있어서,
상기 STP 메시지가 상기 루트 포트(2a-11a)의 변화 및 루트 경로 비용의 감소를 나타내는 경우에 타당성(plausibility)에 대한 상기 STP 메시지의 상기 루트 경로 비용을 체크하는 단계를 더 포함하는
네트워크 구성 보호 방법.
- 제 3 항에 있어서,
타당성에 대한 상기 루트 경로 비용의 체크 단계는, 상기 네트워크(1)의 토폴로지 및/또는 상기 네트워크 관리 유닛(27)에 의해 설정된 허용 범위의 루트 경로 비용을 고려하여 상기 STP 메시지의 상기 루트 경로 비용을 실제 루트 경로 비용과 비교함으로써 수행되는
네트워크 구성 보호 방법. - 브리지(10)의 다수의 브리지 포트(10a-10c) 중 하나의 브리지 포트를 루트 포트(10a)로서 선택하고 컴퓨터 네트워크(1)의 다수의 브리지(2-11) 중 하나의 브리지를 루트 브리지(2)로서 선택하여 신장 트리 프로토콜(STP)에 의해 설정되는 상기 컴퓨터 네트워크(1)의 네트워크 구성에서 동작하는 브리지(10)로서,
양방향 트래픽이 상기 브리지 포트(10a, 10b)를 통과하는 경우에 상기 브리지 포트(10a, 10b) 중 적어도 하나의 브리지 포트의 서브상태를 능동 서브상태(52)로 설정하는 서브상태 설정 유닛(41)과,
상기 능동 서브상태에 있는 상기 브리지 포트(10a, 10b) 중 하나의 브리지 포트에서 STP 메시지, 구체적으로 브리지 프로토콜 데이터 유닛(BPDU)을 수신하는 수신 유닛(42)과,
상기 STP 메시지가 상기 네트워크 구성의 상기 루트 브리지(2)의 변화를 나타내는 경우에 상기 STP 메시지를 폐기하고 및/또는 알람 메시지를 네트워크 관리 유닛(27)으로 전송하여 상기 네트워크 구성을 보호하는 네트워크 구성 보호 유닛(43)을 포함하는
브리지.
- 제 5 항에 있어서,
상기 루트 브리지(2)의 변화는 상기 네트워크 구성 보호 유닛(43)에서 상기 루트 브리지(2)의 브리지 포트 ID보다 작은 상기 BPDU의 브리지 포트 ID에 의해 나타내어지는
브리지.
- 제 5 항에 있어서,
상기 네트워크 구성 보호 유닛(43)은 상기 STP 메시지가 상기 루트 포트(10a)의 변화 및 루트 경로 비용의 감소를 나타내는 경우에 타당성(plausibility)에 대한 상기 STP 메시지의 상기 루트 경로 비용을 체크하는
브리지.
- 제 7 항에 있어서,
상기 네트워크 구성 보호 유닛(43)은 상기 네트워크의 토폴로지 및/또는 상기 네트워크 관리 유닛(27)에 의해 설정된 허용 범위의 루트 경로 비용을 고려하여 상기 STP 메시지의 상기 루트 경로 비용을 실제 루트 경로 비용과 비교함으로써 타당성에 대한 상기 루트 경로 비용을 체크하는
브리지.
- 청구항 5에 따른 다수의 브리지(2-11)를 포함하는 컴퓨터 네트워크(1)로서,
상기 컴퓨터 네트워크(1)는 다수의 브리지(2-11) 중 하나의 브리지를 루트 브리지(2)로서 선택하고 상기 다수의 브리지(2-11) 각각의 다수의 브리지 포트(2a-11a, 3b, 4b, 6b, 7b, 9b, 10b) 중 하나의 브리지 포트를 루트 포트(2a-11a)로서 선택하여 신장 트리 프로토콜(spanning tree protocol: STP)에 의해 설정된 네트워크 구성에서 동작하는
컴퓨터 네트워크.
- 제 9 항에 있어서,
네트워크 관리 유닛(27)을 더 포함하는
컴퓨터 네트워크.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08290016A EP2079196B1 (en) | 2008-01-08 | 2008-01-08 | Method for protecting a network configuration set up by a spanning tree protocol |
| EP08290016.8 | 2008-01-08 | ||
| PCT/EP2008/068022 WO2009087049A1 (en) | 2008-01-08 | 2008-12-19 | Method for protecting a network configuration set up by a spanning tree protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20100110813A true KR20100110813A (ko) | 2010-10-13 |
| KR101143767B1 KR101143767B1 (ko) | 2012-05-11 |
Family
ID=39719191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020107015139A KR101143767B1 (ko) | 2008-01-08 | 2008-12-19 | 네트워크 구성 보호 방법, 브리지 및 컴퓨터 네트워크 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7944858B2 (ko) |
| EP (1) | EP2079196B1 (ko) |
| JP (1) | JP4938135B2 (ko) |
| KR (1) | KR101143767B1 (ko) |
| CN (1) | CN101483575B (ko) |
| AT (1) | ATE461571T1 (ko) |
| DE (1) | DE602008000837D1 (ko) |
| WO (1) | WO2009087049A1 (ko) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7379429B1 (en) * | 2002-12-20 | 2008-05-27 | Foundry Networks, Inc. | Optimizations and enhancements to the IEEE RSTP 802.1w implementation |
| US9094706B2 (en) | 2011-10-21 | 2015-07-28 | Sonos, Inc. | Systems and methods for wireless music playback |
| US9306764B2 (en) | 2012-06-29 | 2016-04-05 | Sonos, Inc. | Dynamic spanning tree root selection |
| CN104125083A (zh) * | 2013-04-24 | 2014-10-29 | 中兴通讯股份有限公司 | 一种网络设备的主备倒换方法、装置、设备及系统 |
| EP3251303B1 (en) * | 2015-01-29 | 2021-03-10 | Robert Bosch GmbH | Method for running a computer network and computer network |
| CN105610670B (zh) * | 2015-12-29 | 2019-02-05 | 北京华为数字技术有限公司 | 以太网交换网络的通信方法和装置 |
| US11689455B2 (en) * | 2020-05-28 | 2023-06-27 | Oracle International Corporation | Loop prevention in virtual layer 2 networks |
| CN116210204A (zh) | 2020-07-14 | 2023-06-02 | 甲骨文国际公司 | 用于vlan交换和路由服务的系统和方法 |
| US12015552B2 (en) | 2020-12-30 | 2024-06-18 | Oracle International Corporation | Layer-2 networking information in a virtualized cloud environment |
| US11671355B2 (en) | 2021-02-05 | 2023-06-06 | Oracle International Corporation | Packet flow control in a header of a packet |
| US11777897B2 (en) | 2021-02-13 | 2023-10-03 | Oracle International Corporation | Cloud infrastructure resources for connecting a service provider private network to a customer private network |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03163929A (ja) * | 1989-11-21 | 1991-07-15 | Japan Radio Co Ltd | ワイドエリアネットワーク |
| JP3542159B2 (ja) * | 1994-03-17 | 2004-07-14 | 株式会社日立製作所 | マルチプロセッサ構造のブリッジ |
| US6578086B1 (en) * | 1999-09-27 | 2003-06-10 | Nortel Networks Limited | Dynamically managing the topology of a data network |
| US6987740B1 (en) | 2000-09-11 | 2006-01-17 | Cisco Technology, Inc. | STP root guard |
| US7383574B2 (en) * | 2000-11-22 | 2008-06-03 | Hewlett Packard Development Company L.P. | Method and system for limiting the impact of undesirable behavior of computers on a shared data network |
| CN100337428C (zh) * | 2003-01-24 | 2007-09-12 | 华为技术有限公司 | 一种基于生成树协议的环网管理方法 |
| CN1323515C (zh) * | 2003-01-28 | 2007-06-27 | 华为技术有限公司 | 基于生成树协议的多节点网络管理方法 |
| IL155449A (en) * | 2003-04-15 | 2008-06-05 | Eci Telecom Ltd | Technology for improving stp protocols in ethernet networks supporting vlans |
| US7391771B2 (en) * | 2004-01-23 | 2008-06-24 | Metro Packet Systems Inc. | Method of sending information through a tree and ring topology of a network system |
| US7471647B2 (en) * | 2005-04-29 | 2008-12-30 | Alcatel Lucent | Bridged network spanning tree abnormality detection |
| US7653011B2 (en) * | 2005-05-31 | 2010-01-26 | Cisco Technology, Inc. | Spanning tree protocol for wireless networks |
| US8181240B2 (en) * | 2005-06-14 | 2012-05-15 | Cisco Technology, Inc. | Method and apparatus for preventing DOS attacks on trunk interfaces |
-
2008
- 2008-01-08 EP EP08290016A patent/EP2079196B1/en not_active Not-in-force
- 2008-01-08 DE DE602008000837T patent/DE602008000837D1/de active Active
- 2008-01-08 AT AT08290016T patent/ATE461571T1/de not_active IP Right Cessation
- 2008-12-19 KR KR1020107015139A patent/KR101143767B1/ko active IP Right Grant
- 2008-12-19 WO PCT/EP2008/068022 patent/WO2009087049A1/en active Application Filing
- 2008-12-19 JP JP2010541739A patent/JP4938135B2/ja not_active Expired - Fee Related
-
2009
- 2009-01-05 US US12/319,496 patent/US7944858B2/en active Active
- 2009-01-05 CN CN2009100016032A patent/CN101483575B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101483575B (zh) | 2011-11-16 |
| CN101483575A (zh) | 2009-07-15 |
| KR101143767B1 (ko) | 2012-05-11 |
| EP2079196A1 (en) | 2009-07-15 |
| US7944858B2 (en) | 2011-05-17 |
| JP4938135B2 (ja) | 2012-05-23 |
| DE602008000837D1 (de) | 2010-04-29 |
| JP2011509056A (ja) | 2011-03-17 |
| US20090175203A1 (en) | 2009-07-09 |
| EP2079196B1 (en) | 2010-03-17 |
| ATE461571T1 (de) | 2010-04-15 |
| WO2009087049A1 (en) | 2009-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101143767B1 (ko) | 네트워크 구성 보호 방법, 브리지 및 컴퓨터 네트워크 | |
| US8181240B2 (en) | Method and apparatus for preventing DOS attacks on trunk interfaces | |
| CN103609070B (zh) | 网络流量检测方法、系统、设备及控制器 | |
| CN104683333A (zh) | 基于sdn的实现异常流量拦截的方法 | |
| US20060123481A1 (en) | Method and apparatus for network immunization | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| EP2530881B1 (en) | Media access control address protection method and switch | |
| US20130107717A1 (en) | Method, apparatus, and system for sharing network traffic | |
| CN113395247A (zh) | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 | |
| US20130081131A1 (en) | Communication system, communication device, server, and communication method | |
| EP2832050A1 (en) | Frame passing based on ethertype | |
| US10116646B2 (en) | Software-defined network threat control | |
| CN111181910B (zh) | 一种分布式拒绝服务攻击的防护方法和相关装置 | |
| Wong et al. | Network infrastructure security | |
| EP3133790B1 (en) | Message sending method and apparatus | |
| US7562389B1 (en) | Method and system for network security | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| Karlin et al. | Pretty Good BGP: Protecting BGP by cautiously selecting routes | |
| CN112583932B (zh) | 业务处理方法、装置及网络架构 | |
| US20090222904A1 (en) | Network access node computer for a communication network, communication system and method for operating a communication system | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| CN116806010A (zh) | 报文传输方法及通信装置 | |
| US11075908B2 (en) | Authentication in a software defined network | |
| CN113300847A (zh) | 无需预知凭证的认证 | |
| WO2015168902A1 (zh) | 一种生成访问控制列表规则的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20150422 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20160422 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20170421 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20180921 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20190418 Year of fee payment: 8 |