CN101022340A - 实现城域以太网交换机接入安全的智能控制方法 - Google Patents
实现城域以太网交换机接入安全的智能控制方法 Download PDFInfo
- Publication number
- CN101022340A CN101022340A CN 200710086678 CN200710086678A CN101022340A CN 101022340 A CN101022340 A CN 101022340A CN 200710086678 CN200710086678 CN 200710086678 CN 200710086678 A CN200710086678 A CN 200710086678A CN 101022340 A CN101022340 A CN 101022340A
- Authority
- CN
- China
- Prior art keywords
- user
- switch
- server
- client
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于计算机技术领域,涉及以太网交换机的安全控制技术,具体涉及一种实现城域以太网交换机接入安全的智能控制方法。本发明综合实现了用户合法性认证、防止合法用户实施非法代理、控制P2P流量、DHCP SNOOP等功能,能够更加全面、完善的控制、监督用户,并且配置简便,从而进一步提高了网络的安全性、稳定性和可操作性。其中的防止合法用户实施非法代理和控制P2P流量这两项功能采用了特有的防代理机制和控制P2P流量机制,实现了完善的用户监控,合理控制了网络流量,加强了网络安全。
Description
技术领域
本发明属于计算机技术领域,涉及以太网交换机的安全控制技术,具体涉及一种实现城域以太网交换机接入安全的智能控制方法。
背景技术
目前,以太网交换机常用的几种安全控制技术如下:
●用户合法性认证
在以太网交换机上最常用的用户合法性认证功能是IEEE 802.1x(下文简称802.1x)。该协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据才可以通过交换机端口。该协议通过3个功能实体来实现其功能,如图1所示。
(1)用户PC上的客户端软件
输入用户ID(标识)和密码,实现认证的客户端主要功能。
(2)靠近用户侧的以太网交换机
在普通以太网交换机上进行扩展,实现远端授权拨号上网用户服务认证代理功能,并根据RADIUS服务器的认证结果,开放用户连接以太网业务端口的访问权限。
(3)RADIUS服务器
进行用户ID和密码的认证,并返回结果给以太网交换机。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,其中不受控端口专用于802.1x协议数据处理,受控端口用于除了802.1x协议数据以外的普通数据转发。对受控端口的访问,受限于该端口的授权状态。以太网交换机根据认证服务器对用户进行认证的结果,控制受控端口的授权/未授权状态。处在未授权状态的受控端口,拒绝转发用户数据。
初始状态下,与最终用户相连的以太网交换机的所有端口的受控端口都处于未授权状态,不转发用户数据,只有不受控端口是开放的。用户通过客户端软件登录交换机,交换机将用户提供的ID和密码传送到后台的RADIUS服务器(可以在本地,也可以通过广域网设备连到远地),如果用户通过认证,则以太网交换机打开相应的受控端口,允许用户访问互连网。
通过这种基于二层以太网交换机的用户管理方法,可以使整个网络的组网变得非常简单,通过二层以太网交换机和路由器两种设备即基本实现,可同时实现业务的集中控制(以RADIUS为核心的业务中心控制)和分散实现(靠近用户的以太网交换机实现)。
802.1x协议是基于端口的网络访问控制技术。其基本思想是网络系统可以控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:
认证者——对接入的用户/设备进行认证的端口;
请求者——被认证的用户/设备;
认证服务器——根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
图2示意了受控端口的授权状态对访问的影响。认证者1(可能是以太网交换机的某个端口)的受控端口处于未授权状态,因此受控端口不转发连接在物理端口上的用户数据,用户的数据报文无法通过受控端口访问网络资源;认证者2(以太网交换机的另一个端口)的受控端口已经授权,因此连接的端口是开放的,用户可以自由访问网络资源。
802.1X可以在二层网络上实现用户认证,并可以通过设备实现MAC地址、端口、账户等信息的绑定,具有很高的安全性。该功能能够保证用户自身的合法性,但是它也有其局限性,它无法确保合法用户不进行非法的代理操作,无法保证合法用户的流量是合法的,也无法在网络中心和网络设备上实现对PC机地址的监控。
●防止合法用户代理
网络接入技术虽然有了各种各样的认证机制,比如IEEE 802.1x,但是身份认证技术并不能防止非法用户PC通过合法用户PC上的代理软件上网,因为非法用户的数据经过代理软件后,网络接入设备就无法区分它与合法用户发出的数据。这些非法用户的存在增加了网络负载,危害了网络安全也损害了合法用户的利益。
目前网络中的交换机还没有对合法用户代理的情况进行有效的处理。
●控制P2P流量
P2P技术是一种用于不同PC用户之间、不经过中继设备直接交换数据或服务的技术。它打破了传统的Client/Server模式,在对等网络中,每个节点的地位都是相同的,具备客户端和服务器双重特性,可以同时作为服务使用者和服务提供者。由于P2P技术的飞速发展,互联网的存储模式将由目前的“内容位于中心”模式转变为“内容分散存储”模式,改变了Internet现在的以大网站为中心的流量状态。
现在互联网上最常用的P2P软件是BT(Bit Torrent)。
P2P技术主要带来了如下一些变化:
(1)Internet上流量模型的变化。现在Internet上70%的流量都是P2P的流量,而传统的HTTP流量已经不是Internet上的主要流量。
(2)个人用户的流量模型的变化。以前个人用户的下行流量(从Internet到个人用户)远远大于上行流量。而由于P2P技术在下载的同时,也需要上传。导致个人用户的下行流量和上行流量都很大。
(3)P2P流量造成网络的极度拥塞。
现有网络设备,例如防火墙,具有一定数据包过滤功能,但是这些过滤功能都是基于ACL实现的,通常只能根据数据包的IP地址、MAC地址、协议类型、端口号等信息进行过滤。它可以准确过滤传统网络流量,但是无法准确过滤P2P流量。以BT为例:BT的全称是Bit Torrent,由于它使用的端口号是可以自定义的,管理人员无法获知,所以使用端口号进行BT流量准确监控比较困难。由此可见,传统防火墙无法准确控制用户的BT流量,出现了安全漏洞。
●DHCP SNOOP
DHCP SNOOP能够加强DHCP的安全性,它通过DHCP的82选项来实现功能。其目的是让DHCP Server能够知道某个用户的详细接入信息,即该用户来自于哪个交换机的哪个端口;同时让接入交换机能够控制client对网络的访问。
其第一个功能:即获取client信息的功能由交换机的添加DHCP82选项功能完成;
其第二个功能:即client控制功能由交换机的硬件查表功能完成;
其实现的简单网络拓扑图如图3。
DHCP Client运行在用户的PC上,DHCPSNOOP运行在交换机上,DHCP Server运行在DHCP服务器上,并且该服务器能够解析DHCP 82选项。
以下两个子类型都属于DHCP的82选项的内容,它们包含了用户所连接的交换机、VLAN、端口等信息。DHCP 82选项全长20字节,其中内容为18字节,另外有1字节的选项标识符(0×52)和1字节的选项内容长度(0×12)。该选项位于END选项的前面。
| 表(1)链路ID选项帧格式:Suboption type(1) | Len(6) | Circuit IDtype(0) | Len(4) | Vlan | Module | Port |
1B 1B 1B 1B 2B 1B 1B
字段描述:
Suboption type:占用1字节,表示消息类型,填充为1;
Len:占用1字节,整个子类型的长度,填充为6;
链路ID类型:填充为0;
Len:内容长度;
Vlan:数据包所处vlan;
Module:模块号;
Port:入端口号;
| 表(2)远程ID选项帧格式:Suboptiontype(2) | Len(8) | Remote ID type(0) | Len(6) | MAC |
1B 1B 1B 1B 6B
字段描述:
Suboption type:占用1字节,表示消息类型,填充为2;
Len:占用1字节,整个子类型的长度,填充为8;
远程ID类型:填充为0;
Len:内容长度,固定为6;
MAC:交换机mac地址;
DHCP Server收到携带有DHCP 82选项的数据包后,解析该数据包,获取与该用户相连的交换机MAC地址、用户接入端口、用户接入端口所处的VLAN等信息,建立数据库,实现对用户的监控。一旦某个用户有异常情况出现,可以迅速通过该数据库查找到该用户信息,定位用户。
处于用户和DHCP Server之间的交换机,截获用户与DHCPServer之间通信的DHCP数据包,获取IP地址、用户MAC地址、用户接入端口、用户接入端口的VLAN等信息,建立监控表项,只有完全匹配了监控表项的数据包才能由交换机转发,这样用户通过私自配置IP地址的方式就无法上互联网了。这样就减小了IP地址盗用和用户私自更改IP地址给网络带来的危害。
DHCP SNOOP功能可以监控并及时定位用户,最大限度的保证网络规划不受破坏,但是它也有其局限性,这主要表现在:它无法验证用户自身的合法性,无法保证合法用户不进行非法的代理操作,也无法限制用户的非法流量。
在对本发明的技术方案进行描述之前,先介绍一些常用术语。
IP(Intemet Protocol(网际协议)):该协议是当今计算机网络互联的根本,其主要作用是将世界上的各种包交换网络进行互联,关于该协议的详细介绍请参考RFC791。
IP地址(IP Address):在IP网络中,任何一个网络中的节点都需要使用一个标识来代表本节点,在IP协议中称该标识为IP地址(即网络节点的逻辑地址)。
DNS(Domain Name System):该协议的主要功能是解决一个网络节点名字到IP地址的映射,关于该协议的详细介绍请参考RFC1034。
TCP(Transmission Control Protocol(传输控制协议)):运行于IP协议之上,功能是保证数据正确地在IP网络的两个节点之间传输,关于该协议的详细介绍请参考RFC793。
Internet:直译为互联网,目前指通过TCP/IP连接起来的世界上所有的网络的总称。
DHCP(Dynamic Host Configuration Protocol(动态主机配置协议)):该协议的目标是将配置信息传递给在TCP/IP网络中的主机,关于该协议的详细介绍请参考RFC1541。
EAP:extensible authentication protocol,可扩展认证协议。
EAPOL:EAP over LANs,局域网上的EAP。
RADIUS:remote authentication dial in user service,用户服务的远程认证拨号。
LAN:local area networks,局域网。
WAN:wide area networks,广域网。
PC:personal computer,个人主机。
HTTP:超文本传输协议,目前游览网页使用的就是该协议。
ACL:access-list,访问列表,通常根据数据包的IP地址、MAC地址、协议类型、端口号等信息来控制数据流量。
VLAN:虚拟局域网。
AP:anti-proxy,防代理。
发明内容
本发明的目的在于针对现有交换机的安全控制技术种类繁多,功能不够完善,配置相对复杂的问题,提出了一种实现城域以太网交换机接入安全的智能控制方法。该方法综合了交换机现有的多种安全控制技术,使之能够更加全面、完善的控制、监督用户,并且配置简便,从而进一步提高了网络的安全性、稳定性和可操作性。
本发明的技术方案如下:一种实现城域以太网交换机接入安全的智能控制方法,该方法在以太网交换机上采用IEEE802.1x协议,并在用户PC机和交换机上安装防代理软件,当用户需要上网时,进行如下处理过程:
(1)用户端PC机运行Client软件,启动802.1x功能,进行拨号认证;交换机在用户接入的端口上开启安全控制功能,所有端口对普通数据流量是关闭的,并启动802.1x功能;
(2)如果认证失败,server就给用户端发送认证失败消息,交换机不开启端口;如果认证通过,server给用户端发送认证成功消息,交换机开启端口,用户数据即可通过交换机;
(3)DHCP Client通过交换机与DHCP Server进行通信,交换机解析并转发DHCP数据包,实现DHCP SNOOP功能;
(4)当检测到用户启用了代理软件或关闭了防代理功能,server就关闭交换机的相应端口,使用户无法继续上网。
如上所述的实现城域以太网交换机接入安全的智能控制方法,其中,步骤(4)中检测用户启用了代理软件的方法包括:
(2)客户端程序判断当前是否有知名的代理软件程序在运行;
(2)检测客户端PC机是否已绑定在一些知名端口上,以此判断该PC机是否在运行代理软件;
(3)防代理客户端程序发出一个连接请求给本PC机,连接请求中的目的IP地址由防代理程序设定为一个特殊地址,如果本PC机接受了本连接,并且向网关发送连接请求,而且该连接请求的目的IP地址是防代理程序设定的IP地址,则判定这台PC机上运行了代理软件。
进一步,当用户启用了代理软件时,用户端PC机的Client软件向server发送消息,server收到消息后关闭交换机的用户接入接口。
如上所述的实现城域以太网交换机接入安全的智能控制方法,其中,防代理软件分为运行在PC机上的AP client部分和运行在交换机上的AP server部分,AP Server周期的发送携带了随机序列的AP-Check消息给AP Client,并等待AP Client回应的AP-Check-Response,当用户关闭防代理功能时,AP Server无法收到正确的AP-Check-Response,便关闭交换机的用户接入接口。
AP Client与AP Server之间有一个共享密码,使用该共享密码对随机序列进行加密。
如上所述的实现城域以太网交换机接入安全的智能控制方法,其中,在交换机上设置一个专用交换芯片,识别P2P数据流量,建立相应控制表项,从而根据需要设置具体表项的流量限制数值。
如上所述的实现城域以太网交换机接入安全的智能控制方法,其中,步骤(3)中交换机一方面给DHCP Server提供具体的用户定位信息,另一方面建立包括用户IP地址、用户MAC地址、用户接入端口、用户接入端口的vlan等信息在内的用户监控表项,只有完全与监控表项匹配的数据包才能通过交换机,其余数据被交换机丢弃。
本发明的有益效果在于:安全交换机综合实现了用户合法性认证、防止合法用户实施非法代理、控制P2P流量、DHCP SNOOP等功能,能够更加全面、完善的控制、监督用户,并且配置简便,从而进一步提高了网络的安全性、稳定性和可操作性。其中的防止合法用户实施非法代理和控制P2P流量这两项功能采用了特有的防代理机制和控制P2P流量机制,实现了完善的用户监控,合理控制了网络流量,加强了网络安全。
附图说明
图1为以太网端口用户管理认证模式示意图。
图2为受控端口的受控状态示意图。
图3为DHCP应用示意图。
图4为防代理应用和P2P检测的简单网络拓扑图。
图5为防代理软件流程图。
图6为专用交换芯片逻辑图。
图7为交换机侧P2P监控流程图。
图8为用户受控数据流程图。
图9为安全交换机数据流程图。
图10为多业务以太网交换机平台示意图。
图11为多业务以太网交换机软件功能模块示意图。
具体实施方式
下面结合附图和实施例对本发明进行详细的描述。
●采用IEEE802.1x协议
该协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据才可以通过交换机端口。
●基于交换机的端口认证和应用程序绑定实现的防代理
以802.1X为代表的用户身份认证技术并不能防止非法用户PC通过合法用户PC上的代理软件上网,因为非法用户的数据经过代理软件后,交换机无法区分这个数据与合法用户发出的数据,这样非法用户就可以访问互连网资源。这种情况的出现,损害了其他合法用户的利益并且给网络带来了不安全因素。
防代理协议能够提供防止这种情况的出现。现有的认证机制已经可以确保对合法用户的验证,如果能够确认合法用户的PC没有安装并使用代理软件,那么网络就可以接受合法用户的数据。所以解决的办法就是让用户的PC机上安装防代理软件,如果发现用户安装了代理软件、那么就禁止这台PC机向网络发送数据;同时为了防止用户不启用防代理软件,该功能还需要确保用户的PC运行了防代理软件。
当启动防代理软件后,接入交换机端口会针对所有用户关闭端口的数据转发功能,只有通过防代理认证的用户才能通过交换机上网。如果用户不启动防代理软件,那么交换机上的服务器不会让该用户通过认证,他就无法上网,当他启动了防代理软件后,客户端的防代理功能就会自动检查用户是否启用了代理功能,如果启用了就给服务器端发送消息,由运行在交换机上的服务器端关闭端口,强制用户下线。
防代理协议分为client部分与server部分,client部分运行在用户的PC机上,server部分运行在交换机等接入设备上。
其实现的简单网络拓扑如图4所示。
发现用户是否使用了代理软件的方法如下:
(1)是否有代理软件运行。即客户端程序判断当前是否有知名的代理软件程序在运行。
(2)检测合法PC机收到的数据包。防代理客户端运行后,它可以分析该PC机网卡收到的数据包,如果数据包的头部有“PROXY”特征字段出现,说明该数据包是来自于非法PC机的需要代理的数据包,这就表明该合法PC机运行了代理软件,实施了代理功能。
(3)发包进行检测。防代理客户端程序发出一个连接请求给本PC机(连接请求中的目的IP地址由防代理程序设定为一个特殊地址),如果本PC机接受了本连接、并且向网关发送连接请求、并且该连接请求的目的IP地址是防代理程序设定的IP地址,那么就可以确定这台PC机上运行了代理软件。
发现用户使用了代理软件后的处理如下:一旦发现用户开启代理软件,例如:ProxyCap、MagicProxy、Proxifier等,实施代理服务,防代理软件的客户端就会发送AP-Disconnect-Request消息,请求断开连接。交换机上的防代理服务器收到该消息并进行处理后,会关闭连接用户的端口,用户被强制下线。
确保用户启动防代理软件的流程如下:
建链过程:
AP Client与AP Server之间有一个共享密码。开始由AP Client向网络发送AP-Discover消息,AP Server接收到之后以AP-Check应答,AP-Check携带一个随机序列。AP Client收到AP-Check消息后,发送AP-Check-Response作为应答,在应答之前,它需要使用共享密码来对随机序列进行加密,使用MD5算法,然后将结果填入AP-Check-Response。如果AP Server发现Check-Response失败,那么说明用户使用的AP Client软件非法,直接关闭这个用户,不用发送AP-Disconnect消息,并且这个用户需要等待一段时间之后才能再次连接。如果AP-Check-Response结果正确,AP Server发送AP-Start消息给客户,AP Client收到该消息后启动防代理功能,此时AP Client进入已连接状态,AP Server通知安全交换机可以转发这个用户发出的普通数据报文。
此后,AP Server周期的发送AP-Check消息给AP Client,并等待AP Client回应的AP-Check-Response(同样需要加密),以防止用户中途关闭客户端软件。一旦用户关闭防代理客户端软件,AP-Server就无法收到AP-Check-Response,或者只能收到假冒的错误的AP-Check-Response,从而通知交换机关闭端口不再转发该用户的数据。
拆链过程:
AP Client与AP Server均可以发起拆链过程,拆链的发起方首先发送AP-Disconnect-Request消息,该消息的接收方收到之后发送AP-Disconnect-Check消息,AP-Disconnect-Check该消息中包含一个随机序列,拆链的请求者需要对随机序列进行计算后发送AP-Disconnect-Response消息给对方,如果拆链的接收方发现AP-Disconnect-Response计算结果正确,那么断开连接,否则不断开连接。拆链过程加入认证过程主要是为了防止有恶意用户伪造拆链消息来拆除其它正在上网的用户。
图5是用户没有启动代理软件情况下的防代理软件处理流程图。
●基于数据包的深度检测来控制P2P流量
交换机对P2P软件采用深度检测的方法,可以精确的识别P2P流量,以达到对P2P流量进行限制的目的。
下面以BT为例进行详细描述。BT:全名叫″BitTorrent″,是一个多点下载的P2P软件,使用非常方便,是使用最广泛的一个P2P下载软件。
在直接与用户PC相连的交换机上实现控制BT流量的功能,其实现的简单网络拓扑图如图4所示。
研究发现:BitTorrent协议属于TCP协议簇,采用的是基于会话的流方式,在其握手消息格式中有如下特征:TCP数据的起始部分是<字符(1字节)><字符串(19字节)>,其中第一个字节是固定的值“19”,后面字符串的值是“BitTorrent protocol”。因此可以使用此特征信息标识BitTorrent携带握手信息的数据包:
1.TCP有效负载数据的第一个字节是字符19;
2.字符‘19’后面的19个字节是字符串‘BitTorrent protocol’。
安全交换机使用一款专用交换芯片,逻辑结构如图6,它可以根据BT握手阶段的这些特征信息建立相应控制表项。表项的内容包括数据包的源IP地址、目的IP地址、TCP协议号、TCP源端口号、TCP目的端口号。与普通ACL表项相比,该表项中的TCP源端口号、TCP目的端口号来源于BT流的握手消息,能够真实、准确的反映BT流的情况,克服了BT协议不使用知名的固定TCP端口号所产生的管理困难。
交换芯片能够根据表项准确定位BT流,网管人员就可以据此使用用户的源IP地址、TCP协议号、BT选项等ACL信息设置表项的BT速率限制数值,从而实现对BT流量的准确控制。这种BT流量控制特性采用硬件处理方式,不会影响交换机的处理性能。
BT监控流程如图7所示。
安全交换机综合了802.1X、防代理、控制P2P流量、DHCPSNOOP等功能,实现了完善的用户认证和监控,合理控制网络流量,加强了网络安全。它采用Client与Server交互的模式,Client运行于用户的PC机上,Server运行于交换机上。
●采用标准的DHCP SNOOP
用户PC上的Client运行流程如图8所示。
当用户需要上网的时候,首先要运行Client软件,启动802.1X功能,进行拨号认证,此时用户需要输入用户名、密码。
如果用户认证失败,就会收到Server发送的认证失败消息,无法上网;如果用户认证成功,会收到Server发送的认证成功消息,可以通过DHCP获取IP地址等信息,同时启动防代理功能。
一旦用户启用了代理软件或者关闭了防代理功能,就会被安全交换机关闭接入端口,从而无法上网。
在正常上网的过程中,如果用户发出了P2P流量,则根据安全交换机的配置情况,该流量可能受到速率限制。
安全交换机上及Server运行流程如图9所示。
交换机启动后,在用户接入的端口上,开启安全控制功能,所有端口对普通数据流量是关闭的,启动802.1X。
如果用户认证失败,Server就给Client发送认证失败消息,安全交换机不开启端口,用户无法上网;如果用户认证通过,则Server给Client发送认证成功消息,安全交换机开启端口,用户数据可以通过交换机。
DHCP Client通过安全交换机与DHCP Server进行通信,获取IP地址、DNS服务器等信息。安全交换机解析并转发DHCP数据包,实现DHCP SNOOP功能,一方面给DHCP Server提供具体的用户定位信息,另一方面建立包括用户IP地址、用户MAC地址、用户接入端口、用户接入端口的vlan等信息在内的用户监控表项,只有完全与监控表项匹配的数据包才能通过安全交换机,其余数据被安全交换机丢弃。
防代理客户端与安全交换机上的防代理服务器通信。如果Client发现用户运行了代理软件,就会给Server发送消息,Sever收到后会关闭安全交换机的用户接入接口,强制用户下线;如果用户强行关闭防代理客户端,则该用户无法通过防代理服务器的认证,安全交换机也会因为认证失败而关闭接入端口,用户无法上网;如果用户正常运行了防代理客户端,并且没有启动代理功能,那么Server一直与Client保持通信,用户可以上网。在此过程中,一旦用户启动代理功能或者关闭防代理客户端,Server就会关闭安全交换机的端口,用户无法继续上网。
网管人员可以基于端口随时开启或者撤销P2P流量控制功能。对P2P流量可以限定在一个范围内,例如可以指定P2P流量范围为100K~50Mpps,这样不但可以使得用户自由的使用P2P软件,也不会造成因为P2P流量对网络造成太大的冲击;当然,也可以彻底拒绝P2P流量。实施P2P流量监控的用户可以通过ACL来指定,指定时需要的用户信息可以通过DHCPSNOOP表项获得,不在ACL指定范围内的用户则不受安全交换机的流量监控,其发出P2P的流量不受控制。
图10表示了一个具体的多业务以太网交换机平台结构,该平台的协议处理部分与数据报的转发部分是分离的,主要是为了提高系统数据转发的性能。
多业务以太网交换机是多端口的10/100M自适应网管型二层以太网交换机。该系列交换机包括8端口、16端口和24端口三种规格,均可达到全线速转发;具有Tag VLAN、端口聚合和端口地址绑定等功能;具有100M光接口插槽,可插入单模或多模100M光接口模块,支持的传输距离有2km(多模)、20km、40km和60km四种;可满足各种场合下宽带网络接入的需求。
该系列网管型交换机提供了形象直观、功能强大的图形界面网管系统,支持SNMP协议和HTTP协议以及灵活方便的带内和带外网络管理。网络管理者可通过统一的网络管理平台或Web方式或SGM对网络进行维护和管理。
该系列交换机支持IEEE 802.1d生成树协议;IEEE 802.1w快速生产树协议;基于端口VLAN和IEEE 802.1q VLAN;IEEE 802.1P优先级队列管理;IGMP Snooping,最多支持256个组播组;端口速率控制,速率限制粒度为64K比特每秒;流控、广播风暴控制功能;IEEE 802.1x认证、Radius;交换机集群管理SGM;DHCP RELAY、DHCP SNOOP;等丰富功能。
该多业务以太网交换机平台的软件功能模块示意图如图11所示,主要功能位于安全交换机的协议栈部分,能够更加全面、完善的控制、监督用户,并且配置简便。
Claims (7)
1.一种实现城域以太网交换机接入安全的智能控制方法,该方法在以太网交换机上采用IEEE802.1x协议,并在用户PC机和交换机上安装防代理软件,当用户需要上网时,进行如下处理过程:
(1)用户端PC机运行Client软件,启动802.1x功能,进行拨号认证;交换机在用户接入的端口上开启安全控制功能,所有端口对普通数据流量是关闭的,并启动802.1x功能;
(2)如果认证失败,server就给用户端发送认证失败消息,交换机不开启端口;如果认证通过,server给用户端发送认证成功消息,交换机开启端口,用户数据即可通过交换机;
(3)DHCP Client通过交换机与DHCP Server进行通信,交换机解析并转发DHCP数据包,实现DHCP SNOOP功能;
(4)当检测到用户启用了代理软件或关闭了防代理功能,server就关闭交换机的相应端口,使用户无法继续上网。
2.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法,其特征在于:步骤(4)中检测用户启用了代理软件的方法包括:
(1)客户端程序判断当前是否有知名的代理软件程序在运行;
(2)检测客户端PC机是否已绑定在一些知名端口上,以此判断该PC机是否在运行代理软件;
(3)防代理客户端程序发出一个连接请求给本PC机,连接请求中的目的IP地址由防代理程序设定为一个特殊地址,如果本PC机接受了本连接,并且向网关发送连接请求,而且该连接请求的目的IP地址是防代理程序设定的IP地址,则判定这台PC机上运行了代理软件。
3.如权利要求2所述的实现城域以太网交换机接入安全的智能控制方法,其特征在于:当用户启用了代理软件时,用户端PC机的Client软件向server发送消息,server收到消息后关闭交换机的用户接入接口。
4.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法,其特征在于:防代理软件分为运行在PC机上的AP client部分和运行在交换机上的AP server部分,AP Server周期的发送携带了随机序列的AP-Check消息给AP Client,并等待AP Client回应的AP-Check-Response,当用户关闭防代理功能时,AP Server无法收到正确的AP-Check-Response,便关闭交换机的用户接入接口。
5.如权利要求4所述的实现城域以太网交换机接入安全的智能控制方法,其特征在于:AP Client与AP Server之间有一个共享密码,使用该共享密码对随机序列进行加密。
6.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法,其特征在于:在交换机上设置一个专用交换芯片,识别P2P数据流量,建立相应控制表项,从而根据需要设置具体表项的流量限制数值。
7.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法,其特征在于:步骤(3)中交换机一方面给DHCP Server提供具体的用户定位信息,另一方面建立包括用户IP地址、用户MAC地址、用户接入端口、用户接入端口的vlan等信息在内的用户监控表项,只有完全与监控表项匹配的数据包才能通过交换机,其余数据被交换机丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100866786A CN101022340B (zh) | 2007-03-30 | 2007-03-30 | 实现城域以太网交换机接入安全的智能控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100866786A CN101022340B (zh) | 2007-03-30 | 2007-03-30 | 实现城域以太网交换机接入安全的智能控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101022340A true CN101022340A (zh) | 2007-08-22 |
| CN101022340B CN101022340B (zh) | 2010-11-24 |
Family
ID=38710002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100866786A Expired - Fee Related CN101022340B (zh) | 2007-03-30 | 2007-03-30 | 实现城域以太网交换机接入安全的智能控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101022340B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010031263A1 (zh) * | 2008-09-19 | 2010-03-25 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| WO2011072512A1 (zh) * | 2009-12-18 | 2011-06-23 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| CN102299859A (zh) * | 2011-09-20 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 一种交互信息转发方法及装置 |
| CN101902365B (zh) * | 2009-05-26 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 一种广域网p2p流量监控方法及系统 |
| CN102480460A (zh) * | 2010-11-22 | 2012-05-30 | 上海宝信软件股份有限公司 | 实现交换设备端口级接入认证的方法 |
| CN102546666A (zh) * | 2012-02-28 | 2012-07-04 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102571816A (zh) * | 2012-02-15 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种防止邻居学习攻击的方法和系统 |
| WO2012151927A1 (zh) * | 2011-09-06 | 2012-11-15 | 中兴通讯股份有限公司 | 局域网内防止手动指定ip地址的方法及装置 |
| CN102833264A (zh) * | 2012-09-07 | 2012-12-19 | 北京星网锐捷网络技术有限公司 | 防止认证用户通过代理逃费的方法、装置和认证客户端 |
| CN103139136A (zh) * | 2011-11-22 | 2013-06-05 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
| CN103281212A (zh) * | 2013-06-21 | 2013-09-04 | 武汉烽火网络有限责任公司 | 监控城域以太网性能的方法 |
| CN105592016A (zh) * | 2014-10-29 | 2016-05-18 | 国家电网公司 | 一种电力信息系统的云环境下虚拟机的保护装置 |
| CN105722182A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 一种自动防蹭网方法及路由设备 |
| CN106888222A (zh) * | 2017-04-24 | 2017-06-23 | 中国工商银行股份有限公司 | 一种防止恶意安全检测活动的监控方法及装置 |
| CN107689961A (zh) * | 2017-09-14 | 2018-02-13 | 长沙开雅电子科技有限公司 | 一种交换机端口认证接入管理装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558634A (zh) * | 2004-01-17 | 2004-12-29 | 港湾网络有限公司 | IEEE 802.1x认证中基于用户的控制方法 |
| CN100592688C (zh) * | 2004-12-08 | 2010-02-24 | 杭州华三通信技术有限公司 | 一种对接入网络的客户端进行安全认证的系统和方法 |
| CN1881938A (zh) * | 2006-04-27 | 2006-12-20 | 中兴通讯股份有限公司 | 一种预防和检测代理的方法和系统 |
-
2007
- 2007-03-30 CN CN2007100866786A patent/CN101022340B/zh not_active Expired - Fee Related
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8407462B2 (en) | 2008-09-19 | 2013-03-26 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system and server for implementing security access control by enforcing security policies |
| WO2010031263A1 (zh) * | 2008-09-19 | 2010-03-25 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN101902365B (zh) * | 2009-05-26 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 一种广域网p2p流量监控方法及系统 |
| WO2011072512A1 (zh) * | 2009-12-18 | 2011-06-23 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| CN102480460A (zh) * | 2010-11-22 | 2012-05-30 | 上海宝信软件股份有限公司 | 实现交换设备端口级接入认证的方法 |
| CN102480460B (zh) * | 2010-11-22 | 2016-08-31 | 上海宝信软件股份有限公司 | 实现交换设备端口级接入认证的方法 |
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| CN102111406B (zh) * | 2010-12-20 | 2014-02-05 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| WO2012151927A1 (zh) * | 2011-09-06 | 2012-11-15 | 中兴通讯股份有限公司 | 局域网内防止手动指定ip地址的方法及装置 |
| CN102299859A (zh) * | 2011-09-20 | 2011-12-28 | 北京星网锐捷网络技术有限公司 | 一种交互信息转发方法及装置 |
| CN103139136B (zh) * | 2011-11-22 | 2016-06-08 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
| CN103139136A (zh) * | 2011-11-22 | 2013-06-05 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
| CN102571816B (zh) * | 2012-02-15 | 2015-09-30 | 神州数码网络(北京)有限公司 | 一种防止邻居学习攻击的方法和系统 |
| CN102571816A (zh) * | 2012-02-15 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种防止邻居学习攻击的方法和系统 |
| CN102546666A (zh) * | 2012-02-28 | 2012-07-04 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102546666B (zh) * | 2012-02-28 | 2016-04-27 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102833264A (zh) * | 2012-09-07 | 2012-12-19 | 北京星网锐捷网络技术有限公司 | 防止认证用户通过代理逃费的方法、装置和认证客户端 |
| CN102833264B (zh) * | 2012-09-07 | 2016-03-30 | 北京星网锐捷网络技术有限公司 | 防止认证用户通过代理逃费的方法、装置和认证客户端 |
| CN103281212A (zh) * | 2013-06-21 | 2013-09-04 | 武汉烽火网络有限责任公司 | 监控城域以太网性能的方法 |
| CN103281212B (zh) * | 2013-06-21 | 2016-02-10 | 武汉烽火网络有限责任公司 | 监控城域以太网性能的方法 |
| CN105592016A (zh) * | 2014-10-29 | 2016-05-18 | 国家电网公司 | 一种电力信息系统的云环境下虚拟机的保护装置 |
| CN105722182A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 一种自动防蹭网方法及路由设备 |
| CN106888222A (zh) * | 2017-04-24 | 2017-06-23 | 中国工商银行股份有限公司 | 一种防止恶意安全检测活动的监控方法及装置 |
| CN107689961A (zh) * | 2017-09-14 | 2018-02-13 | 长沙开雅电子科技有限公司 | 一种交换机端口认证接入管理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101022340B (zh) | 2010-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| Kiravuo et al. | A survey of Ethernet LAN security | |
| CN201194396Y (zh) | 基于透明代理网关的安全网关平台 | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| WO2014021870A1 (en) | Feature enablement or disablement determination based on discovery message | |
| CN103621028A (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
| CN101478485B (zh) | 局域网访问控制的方法以及网关设备 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| US20040168049A1 (en) | Method for encrypting data of an access virtual private network (VPN) | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| JP2018514956A (ja) | データをルーティングするために証明書データを使用する装置と方法 | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
| CN107135190A (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 | |
| CN106790274A (zh) | 一种一次性密码登录无线局域网的方法 | |
| CN101286894A (zh) | 一种针对ip网络中非法接入的检测及控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101124 Termination date: 20170330 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |