484282 A7 B7 五、發明說明(1 ) 發明背景: ----------I----- (請先閱讀背面之注意事項再填寫本頁) 本發明係一種網路交換系統(Switching System)對線上封包之監控管理方 法,尤指一種可令一網路交換系統能根據使用者設定,對所欲進行監控之節點傳 來之封包資料,依使用者於·一轉送設定表內各欄位中所設定之參數値,進行即時 學習、擷取、收集、監控及轉送處理之方法。 先前技術: 按,目前在乙太網路(Ethernet)上,參閱第1圖所示,不同區段之乙太網路 11、12、13、14均係藉與一個以上之網路交換器30(switch)相連接,參閱第1圖 所示,該交換器30可爲一具有複數個連接埠(port)之網路裝置,無論其外觀係由 複數個網路裝置堆疊而成或僅係單一之網路裝置,只要該等交換器間係藉相同之 橋接協定封包(Bridge Protocol Data Units,簡稱BPDUs ),進行彼此溝通’均爲本 發明所稱之網路交換系統。 經濟部智慧財產局員工消費合作社印製 一般言,該等傳統網路交換器30均係透過其上所安裝之控制器或軟體,對 傳送至該網路交換器30之所有封包資料之來源位址及目的位址進行學習,並藉由 建立或更新其上所設之一轉送對應表(Forwarding Table),做爲封包資料餞送 (Forwarding)之依據,將所接收之封包資料轉送至該轉送對應表中記錄之目的位 址(Destination)之連接埠。意即,當該等交換系統30之連擬阜(p〇rt)l、2、3、4 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 484282 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(£ ) 分別接收到由各區段網路(Segment) 11、12、13、14上之節點(Node) A、B、C、 D傳來之封包資料時,該等交換系統30會g針對該等封包資料之目的位址及來源位 址,至該轉送對應表(Forwarding Table)31中,參閱第2圖所示,與其已記錄之 位址進行下列比對及處理·· (1) 若發現該封包之來源位址不存在於該轉送對應表31時,該交換系統30即將 該封包之來源位址及其連接埠記錄於該轉送對應表31中,以完成對該封包 來源位址之動態登錄; (2) 若發現該封包之來源位址已存在於該轉送對應表31時,該交換系統30即更 新(update)該轉送對應表31中已記錄之來源位址之連接璋欄位,完成對該封 包連接埠之動態更新; (3) 若發現該封包之目的位址係屬同一區段網路之節點,該交換系統30即丟棄該 封包,而不作任何傳送,以完成對封包傳送之過濾(fi丨tering); (4) 若發現該封包之目的位址已存在於該轉送對應表31時,該交換系統30即將 該封包傳送至該目地位址之連接璋,完成對該封包之即時轉送; (5) 若發現該封包之目的位址不存在於該轉送對應表31時,該交換系統30即將 該位址氾送(flooding)至每一個正在使用中之連接璋,若目的位址之節點對該 封包回應,該交換系統3即將該目的位址記錄於該轉送對應表31中,以完 成對該封包來源位址之動態登錄。 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) (請先閱讀背面之注意事項再填寫本頁)
484282 A7 B7 五、發明說明(g ) 該網路交換系統即藉此種學習功能,維持該轉送對應表31之完整性及正確 性,且依該轉送對應表31內之資訊,對網路上之各節點,提供網路連繫所需之資 料,故,一旦俟所有節點都被學習後,封包一進入該網路交換系統30時,即可依 據該轉送對應表所記錄之資料,直接將封包轉送到目的位址之節點。然而,由於 現今網路交換系統之連接埠數目愈來愈多,其轉送對應表亦隨之愈來愈大,此一 現象,對於系統資訊管理(M^agement Μοπτ^〇η System ’簡稱MIS)人員而言’ 不僅建立一可安全控制之轉送對應表’已成爲一冗長又容易出錯之工作’且由於 該項學習(ieaming)之功能,亦令管理人員無法輕易將該轉送對應表,予以鎖定 (locking),致未經授權之節點之來源位址得任意佔用該轉送對應表之記憶空間,且 該種傳統網路交換系統對網路駭客(hacker)之試探性上線,亦因其具備逾時資訊 自動刪除之計時(auto aging out timer)功能,而無法有效掌握其資訊源頭,造 成網路安全機制上之嚴重問題。 另,由於傳統網路交換系統中所運用之前述封包學習及轉送技術,令網路交 換系統對封包之收集及監控處理,僅能在該等網路交換系統之外部,透過Shiffer 或mirror之方式,對單一連接埠進行封包之收集及監控,或由該等網路交換控制 器提供一計數器,對封包流量(traffic utilization)及大小進行監控,故傳統網路交 換系統並無法對不同網路區段間所傳來之封包資料,尤其是特定節點之封包資 料,進行有效之監控處理,以確實掌握特定節點之動向。 4 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公爱) *--丨 — — — —— — — — --- (請先閱讀背面之注意事項再填寫本頁) 訂-· 經濟部智慧財產局員工消費合作社印製 484282 A7 B7 五、發明說明(4 ) (請先閱讀背面之注意事項再填寫本頁) 此外,由於網路交換系統產品在硏發階段,常需藉其它設備,如:集線器 (Hub)、Shiffer或PC等設備,對線上封包進行收集及分析處理,其過程不僅煩鎖 耗時,且產品在實驗室驗證階段,當問題發生時,亦無法做立即有效之分析處理。 發明綱要: 有鑒於前述傳統網路交換系統無法直接對不同網路區段間所傳來之封包資 料,進行有效監控處理,以確實掌握特定節點動向之問題,發明人乃硏究出一種 網路交換系統之線上封包之監控管理方法,期令本發明之網路交搀系統,能根據 使用者設定,依其上原有之一轉送對應表(Forwarding Table)進行修改,並建立一 轉送設定表(Forwarding Configuration Table),俾經過該網路交換系統之封包資 料,能先被轉送(Forwarding)到該網路交換系統之一中央處理器(CPU),再利用該 中央處理器(CPU)對所欲進行監控之節點傳來之封包資料,依使用者於該轉送設 定表內各欄位中所設定之參數値,進行即時擷取、收集、監控及轉送處理。 經濟部智慧財產局員工消費合作社印製 本發明之一目的,係令該網路交換系統不僅可令保有原先之學習及轉送功 能,且可直接對不同網路區段間所傳來之封包資料,進行有效監控處理,以確實 掌握特定節點之動向。 本發明之另一目的,係令使用者可藉本發明之方法,對網路上所發生之異常 (如:擴展樹(Spanning Tree)—直做(Topology Chain)或控制封包(control frame) 5 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 484282 A7 B7 五、發明說明(0 ) (請先閱讀背面之注意事項再填寫本頁) 送收異常)或其它未經許可之不正常存取現象(如··駭客入侵或單純之侵入等), 鎖定特定之節點,對所傳來之封包資料,進行即時擷取、收集或問題之分析及監 控處理,以有效提昇網路之安全保障。 今,爲能更淸楚地表達本發明之技術手段及運作過程,茲配合附圖舉一較佳 實施例,說明如下: 附圖說明: 第1圖所示乃乙太網路與一般網路交換系統間之連線示意圖; 第2圖所示乃一般網路交換系統之轉送對應表之示意圖; 第3圖所示乃本發明之網路交換系統之示意圖; 第4圖所示乃本發明之網路交換系統之轉送設定表之示意圖; 第5圖所示乃本發明之一實施例對指定節點進行監控前之流程示意圖; 第6圖所示乃本發明之一實施例之轉送對應表之示意圖; 第7圖所示乃本發明之一實施例之轉送設定表之示意圖; 經濟部智慧財產局員工消費合作社印製 第8圖所示乃本發明之一實施例之網路交換系統對指定節點進行線上封包 監控處理之流程不意圖。 主要元件符號說明= 6 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 484282 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(β ) 網路交換系統.........40 轉送對應表.......................... 轉送設定表............43 中央處理器................ 連接埠……1、2、3、4 區段網路……11 - - 12
節點……A、B、C、D 詳細說明: 本發明係一種網路交換系統(Switch)之線上封包之監控管理方法,該方法主 要係令一網路交換系統40會g根據使用者設定,參閱第3圖所示,依其上原有之一 轉送對應表(Forwarding Table)42,建立一轉送設定表(Forwarding Configuration Table)43,俾經過該網路交換系統40之封包資料,能先被轉送(Forwarding)到該 網路交換系統之一中央處理器(CPU)41,再利用該中央處理器41對所欲進行監控 之節點A、C傳來之封包資料,依使用者於該轉送設定表內各欄位中所設定之參 數値,行即時臟 '雌 '監控及轉送處理。 在本發明之一最佳實施例中,該轉送設定表41至少包括如下欄位,參閱第4 圖所示: (1) 節點(Node)欄位··係用以存放使用者欲進行監控之各節點,即來源位址。 (2) 連接璋(Port)欄位:係用以存放各該被監控節點所對應之連接埠。 (3) 擷取連接埠(Capture Port)欄位:係用以存放進行擷取時之目的連接璋或 7 本紙張尺度適用中國國家標準(CNS)A^規格(210 x 297公髮) (請先閱讀背面之注意事項再填寫本頁) ϋ ·ϋ I— *1— H 一一口,· emmt ϋ ϋ n ϋ I · 484282 A7 ________B7 五、發明說明( 使用區 朋(7 : 域緩衝器, 俾利用該等擷取連接璋,分別擷取由對應區段網路(Segment) 11 或13上各節點(Node) A或C透過各該被監控連接璋傳來之封包資料。 (請先閱讀背面之注意事項再填寫本頁) (4)狀態(State)欄位:係針對該節點(N〇de)欄位中所設定之各節點,存放雌 封包時之狀態參數,以決定收集方式,該狀態參數依其對該被監控之節點所傳來 之封包資料,是否進行收集或過濾,可分爲至少下列幾種方式: a)不收集,且不過濾; b)不收集,但要過濾 c)收集,但不過濾; d)收集,且要過濾; e)不啓動對節點之監控 (5)觸發(Trap)欄位:係針對該節點(Node)之連接埠變更時,存放是否要觸發 該網路交換系統40,或透過其上之使用者介面,通知使用者此一變動之參數。 經濟部智慧財產局員工消費合作社印製 在本發明之該實施例中,該交換系統40對網路上傳來之所有封包具有學習 及轉送之功能,故該交換系統40之各連接埠1、2、3、4在接收到各區段網路11、、 12、13、14之節點A、B、C、D所傳來之封包資料時,該等交換系統40之中央 處理器41可針對該封包之目的及來源位址,至該轉送對應表42,與其已記錄之 位址進行比對,並完成對該封包來源位址及目地位址之動態登錄、更新及過濾處 理,以維持該轉送對應表之完整性及正確性,且依該轉送對應表42內之資訊,對 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 經濟部智慧財產局員工消費合作社印製 484282 A7 B7___ 五、發明說明(g ) 網路上之各節點,提供網路連繫所需之資料,並依該轉送對應表所記錄之資料, 直接將封包轉送到目的位址。 當使用者欲對該網路交換系統40上由某一節點A所傳來之封包資料,進行 監控處理時,該使用者可透過一網路終端主機,輸入該節點參數,再將其下載 (download)至該網路交換系統,或直接由使用者透過網路管理程式,設定該節點參 數。此時,參閱第6圖所示,該網路交換系統40立即修改該轉送對應表42內之 記錄,將其上節點欄位A所對應之連接埠欄位,修改爲與該網路交換系統40之中 央處理器(CPU)41連線璋狀態,參閱第6圖所示,俟該節點A被設定爲監控之對 象後,該中央處理器41立即依該轉送對應表42建立一轉送設定表43,參閱第7 圖所示,俾該中央處理器41在偵測到流經該網路交換系統40上之封包資料之來 源位址或目的位址係節點A時,立即依該轉送設定表43內使用者所設定之其它 參數値,進行下列監控及轉送處理,參閱第8圖所示: (1) 首先,由所接收之封包資料中,判斷節點A之謙埠是否有變更,若有變 更,即針對該轉送設定表43中原對應至該節點之連接埠參數,進行更新 (update),並判斷該轉送設定表43內之觸發(Trap)欄位,是否設定有觸發參數, 若設定有觸發參數,即透過其上之使用者介面,通知使用者此一變動情事;否則, 繼續下列步驟; (2) 判斷該轉送設定表43中擷取連接埠欄位內所設定之連接埠參數5,俾將 9 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) (請先閱讀背面之注意事項再填寫本頁) --訂i 484282 A7 B7 五、發明說明(0 ) 所接收之封包資料,轉送至該連接埠5並由所連接之裝置E擷取下來,參閱第3 圖所示,以對所擷取之封包資料進行其它分析及監控處理;否則,繼續下列步驟; (請先閱讀背面之注意事項再填寫本頁) (3)判斷該轉送設定表43中狀態欄位內所設定之參數値,俾依該參數對所接 收之封包資料,進行過濾或收集處理,並於完成該等處理後,依該轉送設定表43 中連接埠欄位內所設定之連接埠參數,將封包轉送到該網路交換系統40上之該連 接璋,並透過該連接埠將封包轉送到其目的位址。 利用本發明之方法,當未經授權之特定節點進入該網路交換系統時,該網路 交換系統可立即根據其連接埠之異動狀態,觸發網管或使用者介面,即時向網路 管理人員發出警告,且可令該網路管理人員據此分析是否有網路駭客(hacker)盜用 該節點,或將該節點移至其它網路區段,直接對不同網路區段間所傳來之封包資 料,進行有效之監控處理,以確實掌握特定節點之動向,有效提昇網路之安全機 制。此外,對於硏發階段之網路交換系統,亦可在發生問題時,藉鎖定特定之節 點,對所傳送之封包資料,進行擷取及收集,以進行即時監控及分析處理,迅速 找出問題徵結,並予妥善處理。 經濟部智慧財產局員工消費合作社印製 按,以上所述,僅爲本發明最佳之具體實施例,惟本發明之構造特徵並不侷 限於此,可熟悉該項技藝者在本發明領域內,可輕易思及之變化或修飾,皆可 涵蓋在以下本發明之專利範圍內。 _ 10 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐)