本发明专利技术公开了一种保证城域传输设备中二层以太网交换机数据安全的方法,包括:建立报文过滤表;根据报文过滤表对交换机接收的报文进行过滤;建立路由表;根据路由表对过滤后的报文进行转发。利用本发明专利技术,可以防止网络端口攻击,提高城域传输设备中数据的安全性。
【技术实现步骤摘要】
保证城域传输设备中二层以太网交换机数据安全的方法
本专利技术涉及网络通信
,具体涉及一种保证城域传输设备中二层以太网交换机数据安全的方法。
技术介绍
随着城域网技术的发展,传统的以太网透传技术已无法满足城域传输网应用的需求,因此出现了多种基于城域传输的二层以太网交换机,二层交换机属数据链路层设备,可以识别数据包中的MAC(媒体接入控制)地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在路由表中,该路由表标明了MAC地址和交换机端口的对应关系。当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;再去读取包头中的目的MAC地址,并在路由表中查找相应的端口;如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。不断循环上述过程,对于全网的MAC地址信息都可以学习到,二层交换机即可建立并维护它自己的地址表。传统的二层以太网交换机对报文的转发流程如图1所示:路由表可以静态配置,也可以动态建立,即通过交换机根据接收报文中的MAC地址不断学习而建立的。交换机收到报文后,如果没有相应的路由,则根据报文的源MAC地址+端口学习,建立源MAC地址和交换机端口的对应关系;该对应关系建立后,-->还要根据报文的目的MAC地址进行出端口的查找。可能有以下几种情况:(1)报文中的目的MAC地址为单播地址,且路由表中没有相应的路由;(2)报文中的目的MAC地址为组播地址,且路由表中没有相应的路由;(3)报文中的目的MAC地址为广播地址。在上述三种情况下,都需要对报文进行广播处理,将报文复制到所有端口上。根据回应报文学习到对应的出端口,从而在路由表中建立起相应的路由。可见,二层以太网交换机只单纯地利用MAC地址查找路由,由此会存在以下安全隐患:a、端口攻击,即网络黑客利用交换机广播到本端口的另一个用户的报文获取MAC地址,通过一个或多个端口向这个用户的某端口发送大量垃圾报文,致使被攻击用户带宽资源被大量占用甚至被耗尽,网络处于瘫痪状态。b、黑客可利用MAC地址假冒窃取被攻击方报文信息。如图2所示:端口A和端口C属于VLAN1,端口B和端口D属于VLAN2,端口A和端口C之间存在路由,在端口B发送源MAC地址与端口A所连接设备MAC地址相同的报文,则端口C的报文就会发往端口B,这样网络黑客便利用端口B窃取了端口C的信息。c、当MAC地址共享不同的VLAN(虚拟局域网)和用户/VB(虚拟网桥)/Stack VLAN(嵌套虚拟局域网)/QinQ(多层802.1Q标签封装报文格式)时,由于表项的链接过多,导致查找效率降低,从而报文的转发效率也会随着降低。而且,二层以太网交换机的广播机制也存在潜在的隐患:当交换机在路由表项中找不到相应的端口则把数据包广播到所有端口上,攻击者就可以在某一个端口上接收到其它端口广播过来的报文,这样也会出现信息安全隐患。
技术实现思路
-->本专利技术的目的是提供一种保证城域传输设备中二层以太网交换机数据安全的方法,以克服现有技术中单纯利用MAC地址查找路由及查找路由时采用广播机制存在的安全隐患,提高城域传输设备中数据的安全性。本专利技术的目的是通过以下技术方案实现的:一种保证城域传输设备中二层以太网交换机数据安全的方法,包括:A、建立报文过滤表;B、根据所述报文过滤表对所述交换机接收的报文进行过滤;C、建立路由表,所述路由表包括:MAC地址及与其对应的交换机端口、用户信息、虚拟局域网标识;D、根据所述路由表对过滤后的报文进行转发。所述步骤A具体为:根据所述交换机的配置信息建立所述报文过滤表,所述报文过滤表包括:交换机入端口、所述交换机入端口所属的虚拟局域网标识和用户信息。所述步骤B包括:B1、获取所述交换机接收的报文相关信息,所述报文相关信息包括:报文中的虚拟局域网标识、接收报文的入端口、所述报文的入端口对应的用户信息。B2、根据所述获取的报文相关信息查找所述报文过滤表;B3、当所述报文相关信息与所述过滤表中交换机入端口所属的虚拟局域网标识和用户信息不同时,丢弃所述报文。所述步骤D包括:D1、获取路由表入端口索引;D2、根据所述路由表入端口索引查找所述路由表;D3、当所述路由表中没有与所述路由表入端口索引对应的表项时,将所述交换机入端口与所述报文的源MAC地址、虚拟局域网标识、用户信息的对-->应关系学习到所述路由表中;D4、当所述路由表有与所述路由表入端口索引对应的表项时,获取路由表出端口索引;D5、根据所述路由表出端口索引查找所述路由表;D6、根据查找结果对所述过滤后的报文进行转发。可选地,所述步骤D1具体为:根据所述获取的报文中的源MAC地址获取路由表入端口索引。与此对应,所述步骤D4具体为:根据所述获取的报文中的目的MAC地址获取路由表出端口索引。可选地,所述步骤D1具体为:根据二元组“源MAC地址+虚拟局域网标识或用户信息”获取路由表入端口索引。与此对应,所述步骤D4具体为:根据二元组“目的MAC地址+虚拟局域网标识或用户信息”获取路由表出端口索引。可选地,所述步骤D1具体为:根据三元组“源MAC地址+虚拟局域网标识+用户信息”获取路由表入端口索引。与此对应,所述步骤D4具体为:根据三元组“目的MAC地址+虚拟局域网标识+用户信息”获取路由表出端口索引。所述步骤D6包括:D61、当所述路由表中有与所述路由表出端口索引对应的表项时,则将所述过滤后的报文发送到对应的交换机出端口上;D62、当所述路由表中没有与所述路由表出端口索引对应的表项时,则将所述过滤后的报文广播到所述过滤后的报文所带虚拟局域网标识所属的所有端口上。所述用户信息具体为:用户标识或虚拟网桥标识或嵌套虚拟局域网或多层802.1Q标签封装报文格式。由以上本专利技术提供的技术方案可以看出,本专利技术利用过滤机制来隔离不同-->的VLAN和用户/VB/Stack VLAN/QinQ,有效地避免了假冒MAC地址的端口攻击,保障了交换机中数据的安全;利用不同的查找方式:只通过MAC地址、通过MAC地址与VLAN和/或用户ID/VBID/Stack VLAN/QinQ构成二元组或三元组来查找路由,从而使查找路由支持区分同一VLAN内的不同用户ID/VBID/Stack VLAN/QinQ具有相同的MAC地址的应用,进一步增强了对报文的过滤功能,提高了网络的安全性。利用优选的方式:用户ID/VBID/StackVLAN/QinQ+VLAN+MAC三元组查找路由还可以缩短路由表表项查找深度,提高MAC地址共享VLAN、用户/VB/Stack VLAN/QinQ时的表项查找效率。附图说明图1是现有技术中二层以太网交换机对报文的转发流程图;图2是现有技术中利用MAC地址假冒进行网络攻击的示意图;图3是本专利技术方法的实现流程图;图4是本专利技术方法中报文过滤转发的第一实施例的实现流程图;图5是本专利技术方法中报文过滤转发的第二实施例的实现流程图;图6是本专利技术方法中报文过滤转发的本文档来自技高网...
【技术保护点】
一种保证城域传输设备中二层以太网交换机数据安全的方法,其特征在于,包括:A、建立报文过滤表;B、根据所述报文过滤表对所述交换机接收的报文进行过滤;C、建立路由表,所述路由表包括:MAC地址及与其对应的交换机端口、用户 信息、虚拟局域网标识;D、根据所述路由表对过滤后的报文进行转发。
【技术特征摘要】
1、一种保证城域传输设备中二层以太网交换机数据安全的方法,其特征在于,包括:A、建立报文过滤表;B、根据所述报文过滤表对所述交换机接收的报文进行过滤;C、建立路由表,所述路由表包括:MAC地址及与其对应的交换机端口、用户信息、虚拟局域网标识;D、根据所述路由表对过滤后的报文进行转发。2、根据权利要求1所述的方法,其特征在于,所述步骤A具体为:根据所述交换机的配置信息建立所述报文过滤表,所述报文过滤表包括:交换机入端口、所述交换机入端口所属的虚拟局域网标识和用户信息。3、根据权利要求2所述的方法,其特征在于,所述步骤B包括:B1、获取所述交换机接收的报文相关信息,所述报文相关信息包括:报文中的虚拟局域网标识、接收报文的入端口、所述报文的入端口对应的用户信息。B2、根据所述获取的报文相关信息查找所述报文过滤表;B3、当所述报文相关信息与所述过滤表中交换机入端口所属的虚拟局域网标识和用户信息不同时,丢弃所述报文。4、根据权利要求3所述的方法,其特征在于,所述步骤D包括:D1、获取路由表入端口索引;D2、根据所述路由表入端口索引查找所述路由表;D3、当所述路由表中没有与所述路由表入端口索引对应的表项时,将所述交换机入端口与所述报文的源MAC地址、虚拟局域网标识、用户信息的对应关系学习到所述路由表中;D4、当所述路由表有与所述路由表入端口索引对应的表项时,获取路由表出端口索引;D5、根据所述路由表出端口索引查找所述路由表;D6、根据查找结果对所述过滤后的报文...
【专利技术属性】
技术研发人员:金志国,李大为,刘明伟,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。