本发明专利技术提供一种防止攻击者伪造EAPS协议报文对EAPS环进行攻击的控制VLAN保护方法以及实现该方法的节点设备。当EAPS节点接收到EAPS协议报文时,禁止该节点上的用户数据端口转发EAPS协议报文;所述节点包括主节点与传输节点。通过禁止用户数据端口转发EAPS协议报文的技术手段,既可以防止EAPS环的EAPS协议报文通过用户数据端口进入用户网络,又可以防止攻击者伪造的EAPS协议报文通过用户数据端口进入EAPS环,引起协议的错误操作。这样,EAPS协议报文无法到达EAPS环,从物理层面阻断了攻击者伪造协议报文的攻击路径。
【技术实现步骤摘要】
本专利技术涉及以太环网技术,特别涉及EAPS(Ethernet Automatic Protection Switching,以太网自动保护倒换)环网技术。
技术介绍
EAPS以太环网保护方法中中包括了一组被保护的用于用户数据业务转发的业务虚拟局域网(VLAN,Virtual Local Area Network)和一个用于保护控制报文转发的控制VLAN,以及一个主节点和多个传输节点。其中,该以太网保护域的主节点上分别有一个主端口和一个副端口,控制报文转发使用的VLAN为控制VLAN,被保护的用户数据业务转发使用的VLAN为用户数据VLAN。正常情况下,主节点将阻塞副端口的用户数据VLAN转发功能(将副端口上的用户数据VLAN的生成树状态设置为阻塞),环网中无环路产生,从而防止由于网络环路,用户数据成环,引起的网络风暴。但是,EAPS环会遭到攻击,出现EAPS协议报文的错误操作,严重的,可导致EAPS环中的主节点错误地将副端口上的用户数据VLAN的生成树状态设置为转发状态,用户数据成环,引起网络瘫痪。出现这些错误的原因常是有攻击者伪造的EAPS协议报文进入EAPS环进行攻击。EAPS环网技术中有关的标准RFC3619中,建议通过报文加密的方式对EAPS协议报文进行保护。但是,如果使用私有加密方式对EAPS协议报文进行加密,将会影响不同厂家之间设备的互联互通。使用标准方式对EAPS协议报文进行加密,又容易被攻击者破解加密算法。且,目前无论是私有加密方法还是标准加密方法,都可能被攻击者破解加密算法。也就是说无论使用什么方法对EAPS协议报文进行加密,攻击者都有机可乘。特别地,如果攻击者采用伪造的EAPS协议报文对以太环网进行攻击,将造成严重后果。
技术实现思路
本专利技术所要解决的技术问题是,提供一种防止攻击者伪造EAPS协议报文对EAPS环进行攻击的控制VLAN保护方法以及实现该方法的节点设备。本专利技术为解决上述技术问题所采用的技术方案是,以太网环网中控制VLAN的保护方法,包括步骤:当EAPS节点接收到EAPS协议报文时,禁止该节点上的用户数据端口转发EAPS协议报文;所述节点包括主节点与传输节点。通过对被攻击的EAPS环进行分析发现,造成伪造的EAPS协议报文进入EAPS环进行攻击的原因是,有不少用户习惯把用户数据端口加入所有的VLAN,这样就给攻击者伪造EAPS协议报文通过用户数据端口进入EAPS环进行攻击提供了可能性:EAPS协议报文在其控制VLAN内广播,所以,在EAPS环的任意节点上,只要用户数据端口加入了EAPS环的控制VLAN,EAPS协议报文就会进入用户网络,此时攻击者通过抓包工具抓包分析EAPS协议报文,进而伪造EAPS协议报文对EAPS环网进行攻击。本专利技术通过禁止用户数据端口转发EAPS协议报文的技术手段,既可以防止EAPS环的EAPS协议报文通过用户数据端口进入用户网络,又可以防止攻击者伪造的EAPS协议报文通过用户数据端口进入EAPS环,引起协议的错误操作。这样,EAPS协议报文无法到达EAPS环,从物理层面阻断了攻击者伪造协议报文的攻击路径。具体的,在用户数据端口上阻塞EAPS环的控制VLAN,则可以禁止EAPS协议报文通过在用户数据端口进行转发,即操作简单,又不消耗以太网交换机的资源。当以太网环网中任意一个节点被两个或两个以上的EAPS环经过,且每个EAPS环在该节点上有两个端口时,该节点为这两个或两个以上的EAPS环的切点节点,所述两个或两个以上的EAPS环均为该切点节点的相切EAPS环;此时,如果一个相切EAPS环的EAPS协议报文进入另一个相切EAPS环,这些EAPS协议报文浪费了另一个相切EAPS环的带宽,也给另一个相切EAPS上运行的EAPS协议报文带来了多余的处理。因此,本专利技术进一步的,禁止所述切点节点所在每一个EAPS环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文。EAPS环经过的两个端口,一个为主端口,一个为副端口。优选的,通过在任意一个经过切点节点的相切EAPS环对应的两个端口上阻塞所有经过该切点节点的其它相切EAPS环的控制VLAN,来禁止所述切点节点所在每一个EAPS环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文向经过该切点节点其它相切EAPS环转发EAPS协议报文。以太网环网中的节点设备,包括第一保护控制模块,报文判断模块;报文判断模块用于,接收EAPS协议报文时,触发第一保护控制模块;第一保护控制模块用于,禁止用户数据端口转发EAPS协议报文。优选的,第一保护控制模块通过在用户数据端口上阻塞EAPS环的控制VLAN,来禁止EAPS协议报文在用户数据端口上转发。进一步的,还包括切点节点判断模块、第二保护控制模块;切点节点判断模块用于,当本地节点设备被两个或两个以上的EAPS环经过,且每个EAPS环在本地节点设备上有两个端口时,切点节点判断模块判断本地节点设备为这两个或两个以上的EAPS环的切点节点,所述两个或两个以上的EAPS环均为该切点节点的相切EAPS环;报文判断模块还用于,当接收EAPS协议报文,且切点节点判断模块判断出本地节点设备为切点节点时,触发第二保护控制模块;第二保护控制模块用于,禁止本地节点设备上任意一个相切EAPS环对应的两个端口在本EAPS环上转发其它相切EAPS环的协议报文优选的,第二保护控制模块用于,通过在任意一个经过本地节点设备的EAPS环对应的两个端口上阻塞所有经过该本地节点设备的其它EAPS环的控制VLAN,来禁止本地节点设备上所在的任意一个相切EAPS环对应的两个端口在本EAPS环上转发其它相切EAPS环的协议报文。本专利技术的有益效果是,保证了EAPS环网的安全,进一步的,避免了出现相切EAPS环时,EAPS环的带宽被其它相切EAPS环的EAPS协议报文占用。附图说明图1为以太网环网中的节点设备的示意图;图2为实施例1中EAPS环示意图;图3为实施例2中相切EAPS环示意图。具体实施方式如图1所示的节点设备,包括第一保护控制模块、报文判断模块、切点节点判断模块、第二保护控制模块;报文判断模块用于,接收EAPS协议报文时,触发第一保护控制模块;当接收EAPS协议报文,且切点节点判断模块判断出本地节点设备为切点节点时,触发第二保护控制模块;切点节点判断模块用于,当本地节点设备被两个或两个以上的EAPS环经过,且每个EAPS环在本地节点设备上有两个端口时,切点节点判断模块判本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.以太网环网中控制VLAN的保护方法,其特征在于,当EAPS节点接收到EAPS协议报
文时,禁止该节点上的用户数据端口转发EAPS协议报文;所述节点包括主节点与传输节点。
2.如权利要求1所述以太网环网中控制VLAN的保护方法,其特征在于,所述禁止EAPS
节点上的用户数据端口转发EAPS协议报文是指在用户数据端口上阻塞EAPS控制VLAN。
3.如权利要求1或2所述以太网环网中控制VLAN的保护方法,其特征在于,当EAPS环
网中任意一个节点被两个或两个以上的EAPS环经过,且每个EAPS环在该节点上有两个端口
时,该节点作为这两个或两个以上的EAPS环的切点节点,禁止该切点节点所在每一个EAPS
环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文。
4.如权利要求3所述以太网环网中控制VLAN的保护方法,其特征在于,禁止该切点节
点所在每一个EAPS环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文是指,设
置每一个EAPS环在所述切点节点的两个端口上阻塞所有经过该切点节点的其它相切EAPS环
的控制VLAN。
5.以太网环网中的节点设备,其特征在于,包括第一保护控制模块,报文判断模块;
所述报文判断模块用于,接收EAPS协议报文时,触发第一保护控制模块;
所述第一保护控制模块用于,禁止EAPS环网中的用户数据...
【专利技术属性】
技术研发人员:何三波,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。