RU126243U1 - Устройство изменения пути прохождения трафика для обработки - Google Patents

Устройство изменения пути прохождения трафика для обработки Download PDF

Info

Publication number
RU126243U1
RU126243U1 RU2012143252U RU2012143252U RU126243U1 RU 126243 U1 RU126243 U1 RU 126243U1 RU 2012143252 U RU2012143252 U RU 2012143252U RU 2012143252 U RU2012143252 U RU 2012143252U RU 126243 U1 RU126243 U1 RU 126243U1
Authority
RU
Russia
Prior art keywords
traffic
network
changing
path
processing
Prior art date
Application number
RU2012143252U
Other languages
English (en)
Other versions
RU126243U8 (ru
Inventor
Максим Александрович Ващенко
Original Assignee
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" filed Critical ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт"
Priority to RU2012143252/08U priority Critical patent/RU126243U8/ru
Application granted granted Critical
Publication of RU126243U1 publication Critical patent/RU126243U1/ru
Publication of RU126243U8 publication Critical patent/RU126243U8/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных. Предложено устройство для изменения пути прохождения трафика для обработки. Сущность которого, заключается в применении устройства имеющего физические интерфейсы, которые используются для подключения к сети передачи данных. С данных интерфейсов, модулем захвата трафика, берется сам трафик, путь которого был изменен путем применения методов изменения пути прохождения трафика, которые реализованы в программно-аппаратном блоке работы с сетевыми протоколам взаимодействия открытых систем (OSI). Полученный трафик перенаправляется либо ответвляется на системы обработки трафика. Техническим результатом, обеспечиваемым представленным техническим решением, является упрощенное подключение устройств обработки цифровой информации к сети передачи данных, которое осуществляется без изменения системы организации, системы работы и конфигурации сети передачи данных.

Description

Область техники
Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных, а именно к системам захвата, перенаправления или ответвления трафика методом изменения пути его прохождения с целью пропускания передаваемой информации через системы фильтрации, защиты от сетевых атак, анализа, архивирования или другие различные системы обработки цифровой информации. Заявляемое техническое решение может быть использовано, в сетях передачи данных различного масштаба.
Уровень техники
Из предшествующего уровня техники известно техническое решение по захвату трафика путем установки устройства в разрыв сети с целью контроля трафика и обеспечения безопасности проходящей цифровой информации (патент SECURE COMPUTER NETWORK WITH A NETWORK SCREEN, US 20020087889 A1, G06F 11/30, опубликовано 04.06.2002; патент ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН RU 2214623, G06F 15/163 опубликовано 20.10.2003). Также известно устройство по обеспечению сетевой безопасности (патент NETWORK SECURITY APPLIANCE US 20120151558 A1, G06F 21/00, опубликовано 14.06.2012). Самым главным недостатком, предложенных решений по части захвата трафика, является установка устройства в разрыв сети, что влечет за собой изменение системы организации и системы работы защищаемой сети, которое неминуемо приводит к большим трудозатратам обслуживающего персонала сети, а так же прекращению нормального функционирования сети на время, необходимое для установки системы.
Наиболее близким к заявленному техническому решению является система захвата, анализа и хранения передаваемой по сети информации, которая использует устройство захвата трафика методом прослушивания ключевого сегмента сети (патент SYSTEM AND METHOD FOR THE CAPTURE AND ARCHIVAL OF ELECTRONIC COMMUNICATIONS, US 20080034049 A1, G06F 15/16 опубликовано 07.02.2008). В данном техническом решении подключение устройства для захвата трафика осуществляется не в разрыв сети, а путем подключения к ключевому сегменту сети посредством физического интерфейса подключения, выполненного в виде сетевого адаптера. Устройство состоит из физического интерфейса подключения, модуля работы со стеком протоколов TCP/IP, который соединен с модулем захвата трафика, передающего захваченный трафик на узлы анализа и архивирования захваченного трафика. Недостатками данного технического решения являются: использование для захвата трафика прослушивающего режима физического интерфейса подключения к сети, что влечет за собой необходимость выбора места подключения к сети, оно должно быть в ключевом сегменте, пропускающем весь трафик, который необходимо обрабатывать; невозможность применения данной системы на коммутируемой сети, так как в устройстве используется режим подключения к сети посредством физического интерфейса, работающего в режиме прослушивания, а такое решение не применимо на коммутируемой сети, так как не будет выполнять свою главную функцию по перехвату всего трафика; невозможность фильтрации и удаления вредоносной информации, так как процедура захвата трафика заключается в простом прослушивании, без изменения направления прохождения трафика сети для его обработки.
Раскрытие полезной модели
Технической задачей, на решение которой направленно заявляемое техническое решение, является подключение устройства к сети передачи данных без внесения изменений в систему организации, систему работы и конфигурацию самой сети, с целью захвата и перенаправления либо ответвления трафика для обработки.
Данная задача решается за счет того, что заявляемое устройство изменения пути прохождения трафика для обработки, содержащее входной и выходной физические интерфейсы, используемые для подключения к сети передачи данных, соединенные с модулем захвата трафика, имеющем в своем составе интерфейс подключения систем обработки захваченной информации, отличающееся тем, что с целью упрощения подключения устройства к сети передачи данных, в модуль захвата трафика добавлен программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI), который реализует методы изменения пути прохождения трафика, добавляя либо подставляя в обычный маршрут прохождения трафика устройство обработки информации, используя для этого протоколы определения адреса, такие как ARP, его модификации и аналоги, применяемые на определенных уровнях модели взаимодействия открытых систем. В качестве модуля для подключения к сети передачи данных, может быть использован один совмещенный входной/выходной интерфейс. В качестве процедуры, выполняемой программно-аппаратным блоком, могут быть процедуры захвата или ответвления трафика сети, а также процедура возврата трафика через подготовленные сетевые туннели.
Техническим результатом, обеспечиваемым приведенной совокупностью признаков, является упрощенное подключение устройств обработки цифровой информации к сети передачи данных, которое осуществляется без изменения системы организации, системы работы и конфигурации сети передачи данных.
Краткое описание чертежей
Сущность заявляемого технического решения поясняется чертежами, на которых изображены:
На Фиг.1 - Структурная схема устройства изменения пути прохождения трафика для обработки;
На Фиг.2 - Типовая схема подключения к сети передачи данных устройства изменения пути прохождения трафика для обработки;
На Фиг.3 - Блок схема процесса работы устройства изменения пути прохождения трафика для обработки.
На Фиг.4 - Пример изменения таблиц соответствия физических и сетевых адресов.
Осуществление полезной модели
Устройство изменения пути прохождения трафика для обработки имеет структурную схему, показанную на Фиг.1 и состоит из входного физического интерфейса (101) и выходного физического интерфейса (102), выполненных в виде сетевых адаптеров, имеющих физические адреса, обладающих пропускной способностью, необходимой для решения поставленных задач и возможностью работы с пакетами информации, имеющими установленные тэги виртуальной сети (VLAN), а так же модуля захвата трафика (103), имеющего в своем составе программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем OSI (104), который управляется, настраивается и контролируется модулем управления и настройки (106). Также модуль захвата трафика имеет интерфейс соединения с системами обработки перенаправляемого или ответвляемого трафика (105), через который происходит передача трафика для обработки от модуля захвата (103) к системе обработки трафика (107). Конструктивно устройство может быть выполнено как раздельно, так и совместно с системой обработки трафика.
Работает устройство следующим образом. Типовая схема подключения заявляемого устройства к сети передачи данных показана на Фиг.2. Заявляемое устройство изменения пути прохождения трафика для обработки (201) подключается к сетевому коммутатору (203) посредством физических входного (212) и выходного (213) интерфейсов. Также посредством интерфейса соединения с системами обработки (214), заявляемое устройство подключается к системе обработки информации (205). Типовая сеть, к которой подключается заявляемое устройство, может состоять из маршрутизирующих устройств (202, 204), коммутирующих устройств (203), оконечных устройств (206-211), таких как рабочие станции, серверы, принтеры и другие устройства, имеющие возможность подключения к сети передачи данных. Следует отметить, что устройства, подключенные к сети, могут передавать информацию, пакеты которой могут иметь теги виртуальной сети (VLAN). В зависимости от использования или не использования тегированной информации, типы соединений делятся на соединения типа trunk (215), имеющие возможность работать с тегированной информацией, и соединения типа access (216, 217), не работающие с тегированной информацией, либо работающие только с единственным тегом, обозначающим номер виртуальной сети (VLAN), в которой работает устройство. Заявляемое устройство имеет физические интерфейсы, работающие с тегированной информацией, поэтому подключается к сети соединениями типа trunk. Также следует отметить, что схема организации сети, представленная на Фиг.2, является частным случаем и служит только для пояснения принципа подключения заявляемого устройства. В сфере применения данного технического решения, сеть может иметь различную схему организации, различный набор устройств и связей между ними, соответствующих стандартам построения сетей передачи данных.
Процесс работы заявляемого устройства состоит и нескольких этапов, блок схема этого процесса показана на Фиг.3. После подключения заявляемого устройства к сети передачи данных, устройство начинает работать (301). Первой процедурой, которую оно выполняет, является инициализация работы (302), включающая в себя определение и применение настроек, сделанных модулем управления и настройки (106), показанным на Фиг.1. Данные настройки указывают заявляемому устройству, в трафике каких узлов сети необходимо изменить путь прохождения для обработки, а так же номера виртуальных сетей (VLAN), если такие сети присутствуют, в которых данные устройства находятся. После выполнения настроек и определения узлов, устройство начинает составлять таблицу соответствия физических адресов узлов их сетевым адресам (303-306), для ARP протокола данной таблицей является ARP-таблица. Выполнение данной процедуры происходит за счет посылки широковещательных запросов, для определения физических адресов устройств, в физическую сеть или если используются виртуальные сети, то виртуальную сеть (VLAN), содержащую узлы, для которых необходимо определить физические (MAC) адреса, с указанием сетевых (IP) адресов данных узлов. На данные запросы устройство получает ответы с указанием физических адресов (MAC), которые заносятся в таблицу соответствия физических и сетевых адресов (ARP-таблица). Если, через определенный промежуток времени, узел не ответил на запрос, он помечается как недоступный. Данная процедура повторяется для всех физических и виртуальных сетей (VLAN), выбранных при инициализации устройства. После составления ARP-таблицы, заявляемое устройство начинает процесс (307-314) по изменению пути прохождения трафика, который происходит следующим образом. Выбирается пара узлов сети (308), передающих трафик, путь прохождения которого необходимо изменить и перенаправить для обработки в систему обработки трафика. Сразу после выбора пары узлов (308), происходит проверка на признак активности процесса по изменению пути прохождения трафика (309), который устанавливается модулем управления и настройки (106) и служит для остановки процесса работы заявляемого устройства. Если данный признак указывает на активность процесса, то работа устройства продолжается, если признак указывает на остановку процесса, то работа устройства завершается (315-317). После положительной проверки на активность процесса по изменению пути прохождения трафика, проверяется доступность выбранной пары узлов (310), то есть проверяется отметка о доступности, которая устанавливается при составлении ARP-таблицы. Если узлы недоступны, то выбирается следующая пара узлов (313) и этапы 308-310 повторяются. Если узлы доступны, то начинается процедура отправки служебных сообщений этим узлам (311), о новом пути прохождения трафика, посредством протокола ARP, его модификаций или аналогов. Данную процедуру можно объяснить на примере. Допустим, маршрутизатор (202), показанный на Фиг.2, имеет сетевой адрес A и физический адрес A, оконечное устройство (206) имеет сетевой адрес B и физический адрес B, а заявляемое устройство (201) имеет сетевой адрес C и физический адрес C входного физического интерфейса (212), а так же сетевой адрес D и физический адрес D выходного физического интерфейса (213). До начала процесса по изменению пути прохождения трафика, таблицы соответствия физических и сетевых адресов у маршрутизатора (202) и оконечного устройства (206) выглядят, как показано на Фиг.4; 401 отражает таблицу для маршрутизатора, а 402 для оконечного устройства. Как видно из таблиц, сетевые адреса, рассматриваемых узлов сети, соответствуют физическим адресам, на которых они находятся, и трафик проходит напрямую от маршрутизатора (202) к оконечному устройству (206). После запуска процесса по изменению пути прохождения трафика, заявляемое устройство начинает посылать служебные сообщения (218, 219), о новом пути прохождения трафика, посредством протокола ARP, его модификаций или аналогов. Эти сообщения посылаются каждому узлу, участвующему в передаче трафика, путь которого необходимо изменить, и сообщают о новом пути прохождения. При чем, в выше описанном примере, для маршрутизатора (202) посылается сообщение (218), информирующее о том, что оконечное устройство (206), имеющее сетевой адрес B, находится на физическом адресе C. A для оконечного устройства (206) отправляется сообщение (219), информирующее о том, что маршрутизатор (202), имеющий сетевой адрес A, находится на физическом адресе D. Таким образом, маршрутизатор (202) и оконечное устройство (206), после получения служебных сообщений от заявляемого устройства, меняют свои таблицы соответствия физических и сетевых адресов, таким образом, что после изменения, они выглядят, как показано на Фиг.4. Таблица 403 показывает измененную таблицу маршрутизатора (202), а таблица 404 показывает измененную таблицу оконечного устройства (206). После данных изменений, маршрутизатор (202) и оконечное устройство (206) осуществляют передачу трафика между собой по новому маршруту, через входной (212) и выходной (213) физические интерфейсы заявляемого устройства. После этого, заявляемое устройство начинает получать указанный выше трафик на физические входной (212) и выходной (213) интерфейсы. После получения трафика, заявляемое устройство перенаправляет или ответвляет данный трафик для обработки (312) через интерфейс систем обработки трафика (105), который показан на Фиг.1, где сами системы обработки (107) выполняют с ним необходимые операции. Этот процесс повторяется для всех пар узлов, трафик которых необходимо обработать, до тех пор, пока не будет установлен признак остановки процесса по изменению пути прохождения трафика, проверка которого происходит на этапе 309. Установка данного признака производится модулем управления и настройки (106) в случае аварийного или планового завершения работы. После того, как признак остановки процесса по изменению пути прохождения трафика установлен, система переходит в завершающую стадию работы (315-317), где выбираются все пары узлов (315), трафик которых был перенаправлен либо ответвлен для обработки. Каждому узлу отправляются служебные сообщения, которые восстанавливают старый путь прохождения трафика, этот процесс является обратным процессу 311. После выполнения этапов с 315 по 317, работа заявляемого устройства прекращается (318). Следует отметить, что весь процесс работы заявляемого устройства, не требует внесения никаких изменений в систему организации и систему работы сети передачи данных, к которой заявляемое устройство подключается.
Таким образом, заявляемое устройство изменения пути прохождения трафика для обработки, подключается к сети передачи данных, и перенаправляет, либо ответвляет трафик на системы обработки трафика, без изменения системы организации, системы работы и конфигурации сети передачи данных. Следует отметить, что в качестве систем обработки трафика могут выступать различные системы, как частный случай, эго могут быть системы защиты от сетевых атак, системы фильтрации трафика, системы архивирования и многие другие системы, работающие с цифровой информацией, проходящей по сетям передачи данных.

Claims (5)

1. Устройство изменения пути прохождения трафика для обработки, содержащее входной и выходной физические интерфейсы, используемые для подключения к сети передачи данных, соединенные с модулем захвата трафика, имеющим в своем составе интерфейс подключения систем обработки захваченной информации, отличающееся тем, что, с целью упрощения подключения устройства к сети передачи данных, в модуль захвата трафика добавлен программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI), который реализует методы изменения пути прохождения трафика, добавляя либо подставляя в обычный маршрут прохождения трафика устройство обработки информации, используя для этого протоколы определения адреса, такие как ART, его модификации и аналоги, применяемые на определенных уровнях модели взаимодействия открытых систем.
2. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что для подключения к сети передачи данных используется один совмещенный входной/выходной интерфейс.
3. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру захвата трафика для обработки.
4. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру перенаправления трафика для обработки.
5. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру возврата трафика через подготовленный сетевой туннель.
Figure 00000001
RU2012143252/08U 2012-10-09 2012-10-09 Устройство изменения пути прохождения трафика для обработки RU126243U8 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012143252/08U RU126243U8 (ru) 2012-10-09 2012-10-09 Устройство изменения пути прохождения трафика для обработки

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012143252/08U RU126243U8 (ru) 2012-10-09 2012-10-09 Устройство изменения пути прохождения трафика для обработки

Publications (2)

Publication Number Publication Date
RU126243U1 true RU126243U1 (ru) 2013-03-20
RU126243U8 RU126243U8 (ru) 2013-07-10

Family

ID=48792194

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012143252/08U RU126243U8 (ru) 2012-10-09 2012-10-09 Устройство изменения пути прохождения трафика для обработки

Country Status (1)

Country Link
RU (1) RU126243U8 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2661768C2 (ru) * 2014-01-23 2018-07-19 Хуавей Текнолоджиз Ко., Лтд. Способ воплощения arp, устройство коммутатора и модуль управления
RU2777882C2 (ru) * 2020-10-06 2022-08-11 Общество с ограниченной ответственностью "Айкриэйт" Система сбора, принятия решений и передачи данных

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2661768C2 (ru) * 2014-01-23 2018-07-19 Хуавей Текнолоджиз Ко., Лтд. Способ воплощения arp, устройство коммутатора и модуль управления
RU2777882C2 (ru) * 2020-10-06 2022-08-11 Общество с ограниченной ответственностью "Айкриэйт" Система сбора, принятия решений и передачи данных

Also Published As

Publication number Publication date
RU126243U8 (ru) 2013-07-10

Similar Documents

Publication Publication Date Title
US11902086B2 (en) Method and system of a dynamic high-availability mode based on current wide area network connectivity
EP2426827B1 (en) Method and network system for implementing user port orientation in multi-machine backup scenario of broadband remote access server
US11637805B2 (en) Systems and methods of installing and operating devices without explicit network addresses
CN105450782B (zh) 一种无丢包零停机重启网络服务的方法和系统
KR20140072343A (ko) Sdn 망의 장애 대처 방법
EP3576347A1 (en) Network device snapshots
CN104683165A (zh) 一种Xen虚拟化环境下虚拟机网络数据的监控方法
CN103684953A (zh) 避免多连接到vpls传输网的以太网环路中流量损失方法、装置
KR101710385B1 (ko) Arp 패킷을 관리하는 방법, 장치 및 컴퓨터 프로그램
JP2001127761A (ja) Mpls通信方式における通信データ確認試験方法及びその方法を利用するルータ,交換機,通信システム
US10778467B2 (en) Method for providing virtual CPE service by using single internet line and network function virtualization cloud
CN106487598B (zh) 异构冗余Snmp协议多实例实现系统及其实现方法
CN110391987B (zh) 从运营商边缘设备集合中选择指定转发器的方法、设备及计算机可读介质
WO2017062843A1 (en) System and method to reconcile cabling test results with cabling test configurations
CN105939344A (zh) 一种tcp连接的建立方法及装置
RU126243U1 (ru) Устройство изменения пути прохождения трафика для обработки
CN105323128A (zh) 前端设备接入服务器的方法、装置及系统
CN108270593A (zh) 一种双机热备份方法和系统
CN109412851B (zh) 链路层路径检测方法、装置及系统
CN108337162B (zh) 一种支持双归属保护的系统及方法
CN103684719A (zh) 一种与平台无关的网络双冗余热切换方法
RU131928U1 (ru) Устройство изменения маршрута прохождения трафика для обработки
EP3343835A1 (en) Network element management method and system
Cisco Configuring Interfaces
CN100499500C (zh) 对多级通信设备实现管理的方法

Legal Events

Date Code Title Description
TK1K Correction to the publication in the bulletin (utility model)

Free format text: AMENDMENT TO CHAPTER -FG1K- IN JOURNAL: 8-2013

TH1K Reissue of utility model (1st page)
PD9K Change of name of utility model owner
PC91 Official registration of the transfer of exclusive right (utility model)

Effective date: 20180528

TE9K Change of address for correspondence (utility model)

Effective date: 20200810