CN101820383B - 限制交换机远程访问的方法及装置 - Google Patents
限制交换机远程访问的方法及装置 Download PDFInfo
- Publication number
- CN101820383B CN101820383B CN201010101673.8A CN201010101673A CN101820383B CN 101820383 B CN101820383 B CN 101820383B CN 201010101673 A CN201010101673 A CN 201010101673A CN 101820383 B CN101820383 B CN 101820383B
- Authority
- CN
- China
- Prior art keywords
- acl
- switch
- data packet
- address
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了限制交换机远程访问的方法和装置。本发明的方法包括:利用交换机的第一ACL对交换机预定端口收到的数据包报文进行匹配处理;把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU进行处理;或者把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL进行处理。本发明利用在交换机或其他网络设备上使用的访问控制列表阻止非法访问CPU的流量,从而降低对CPU资源的占用率,降低了对网络设备CPU处理能力的要求。
Description
技术领域
本发明涉及网络数据通讯,特别涉及基于ASIC芯片实现的全局ACL(访问控制列表)限制交换机远程访问的方法及装置。
背景技术
随着数据通讯网络的发展,以太网交换机的应用越来越广泛,但是由于以太网交换机设备非常多(尤其是接入层低端设备),如何方便,安全的对设备进行远程管理成为一个难题。常用的远程访问技术,包括telnet,snmp,web等技术,对远程访问的安全控制仅仅局限于用户名,密码机制,而传统的限制远程访问的技术,通常是基于可信IPv4地址列表过滤的,有一定的局限性。如果源地址是伪造的,同样可以获得对交换机的访问权。并且用软件方式实现的ACL,通常需要在内存里面维护一个合法的IPv4地址的链表,当数据包交给CPU处理的时候,解析出数据包源IP地址,与掩码做位运算,判断该地址是否在合法的地址范围内,不在合法范围内则对数据包做丢弃处理。对CPU的运算资源造成一定的浪费。很多以太网交换机使用了ASIC芯片实现的高速数据转发,大多数的交换芯片都具有VLAN划分、访问控制列表(ACL)等功能,但是ACL通常限制的是网络中由ASIC芯片转发的数据流,一般不会对访问CPU的协议流进行限制。
发明内容
本发明的目的是提供一种全局ACL限制交换机或其他网络设备远程访问的方法,用于利用在交换机或其他网络设备上使用的访问控制列表阻止非法访问CPU的流量,以保护交换机或其他网络设备。
本发明的另一目的是提供一种全局ACL限制交换机或其他网络设备远程访问的装置,用于利用在交换机或其他网络设备上使用的访问控制列表阻止非法访问CPU的流量,以保护交换机或其他网络设备。
根据本发明第一方面,全局ACL(访问控制列表)限制交换机远程访问的方法包括以下步骤:
利用交换机的第一ACL对交换机预定端口收到的数据包报文进行匹配处理;
把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU进行处理;或者
把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL进行处理。
其中所述全局ACL进行的处理包括:如果所述失配数据包报文的目的IP地址、目的MAC地址和目的端口号与全局ACL中配置的相应字段相同,则作丢弃处理;如果所述失配数据包报文的目的IP地址或目的端口号与全局ACL中配置的相应字段不相同,并且是协议报文,则将所述失配数据包报文交由交换机CPU进行处理。
其中对于多次输入用户密码的数据包报文,利用第二ACL进行匹配处理,丢弃数据包报文内容与第二ACL中配置的字段完全匹配的数据包报文。
其中所述第一ACL中配置的字段包括:源IP地址,目的IP地址,源MAC地址、目的MAC地址、VLAN id(虚拟局域网标识)和目的端口号,其中源IP地址和源MAC地址是远程同步过来的,目的IP地址、目的MAC地址、VLAN id和目的端口号是交换机的固有配置。
其中交换机定时向网络内预先指定的网关同步远程访问报文的源IP地址和源MAC地址,然后通过将同步过来的源IP地址、源MAC地址与交换机的Hash存储表中的VLANid、目的IP地址、目的MAC地址、端口号进行组合得到同步配置,并算出同步配置索引。
其中交换机将根据对应的第一ACL中配置的目的源IP地址、目的IP地址、源MAC地址、目的MAC地址、VLAN id和目的端口号算出的第一ACL索引与所述同步配置索引进行比较,并依据比较结果进行以下操作:
如果同步配置索引与第一ACL索引相同,则保持对应的第一ACL;
如果同步配置索引与第一ACL索引不同,则改变对应的第一ACL。
其中当同步配置索引与对应的第一ACL索引不同时,交换机执行以下操作:
如果同步过来源IP地址和源MAC地址是一个新数据包报文的源地址,则通过在交换机Hash存储表上拷贝所述同步配置,添加关于所述新数据包报文的第一ACL,并将其绑定到端口上;
如果同步过来源IP地址和源MAC地址为空,则从端口上解除对应的ACL绑定,然后从交换机的ASIC芯片上删除该对应的ACL。
根据本发明第二方面,全局ACL限制交换机远程访问的装置包括:
匹配处理模块,用于利用交换机第一ACL对交换机预定端口收到的数据包报文进行匹配处理;
匹配数据包报文处理模块,用于把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU处理;
失配数据包报文处理模块,用于把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL进行丢弃或送交CPU的处理。
其中所述的全局ACL处理包括:如果所述失配数据包报文的目的IP地址、目的MAC地址和目的端口号与全局ACL中配置的相应字段相同,则丢弃所述失配数据包报文;如果所述失配数据包报文的目的IP地址或目的端口号与全局ACL中配置的相应字段不相同,并且是协议报文,则将所述失配数据包报文交由交换机CPU进行处理。
此外,本发明还包括禁止多次输入用户密码模块,用于利用第二ACL对多次输入用户密码的数据包报文进行匹配处理,丢弃数据包报文内容与第二ACL中配置的字段完全匹配的数据包报文。
由于采用了上述技术方案,因此发明具有以下优点:
1)将ASIC芯片实现的ACL用于控制访问CPU的协议数据流,可以匹配报文的多个字段,因此实现灵活,查找速度快;
2)可以有效的减少CPU流量,从而降低对CPU资源的占用率,降低了对网络设备CPU处理能力的要求。
下面结合附图对本发明进行详细说明。
附图说明
图1是本发明的全局ACL限制交换机远程访问的装置的原理图;
图2是本发明的交换机flash上保存的Hash存储表的示意图;
图3是本发明方法的同步配置以及写ASIC芯片表项的流程图;
图4是端口上收到报文以后,芯片的ACL对报文的处理流程图。
具体实施方式
图1显示了本发明的全局ACL限制交换机远程访问的装置,包括:
匹配处理模块,用于利用交换机第一ACL对交换机预定端口收到的数据包报文进行匹配处理;
匹配数据包报文处理模块,用于把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU处理;
失配数据包报文处理模块,用于把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL进行丢弃或送交交换机CPU的处理。
第一ACL和全局ACL被保存在交换机的Hash存储表中,其中全局ACL配置了与第一ACL相同的目的IP地址、目的MAC地址和目的端口号,这些字段是第一ACL相应字段的拷贝。
上述全局ACL处理包括:如果所述失配数据包报文的目的IP地址、目的MAC地址和目的端口号与全局ACL中配置的相应字段相同,则丢弃所述失配数据包报文;如果所述失配数据包报文的目的IP地址或目的端口号与全局ACL中配置的相应字段不相同,并且是协议报文,则将所述失配数据包报文交由交换机CPU进行处理。由于协议报文具有特定的端口号,因此本发明可以通过识别协议报文的端口号,确定协议报文,然后将其送交交换机CPU处理。
本发明的装置还包括禁止多次输入用户密码模块,它利用第二ACL对多次输入用户密码的数据包报文进行匹配处理,丢弃数据包报文内容与第二ACL中配置的字段完全匹配的数据包报文。
上述第一ACL中配置的字段包括:源IP地址,目的IP地址,源MAC地址、目的MAC地址、VLAN id和目的端口号,其中源IP地址和源MAC地址通过同步配置得到的,即通过远程同步过来的,而目的IP地址、目的MAC地址、VLAN id和目的端口号是交换机的固有配置。
上述第二ACL具有固定的生存时间,其配置的字段与第一ACL中配置的字段完全相同,即从第一ACL拷贝得到的,但第二ACL不参与同步配置。
本发明的全局ACL限制交换机远程访问的方法基于上述装置,包括以下步骤:
利用交换机的第一ACL对交换机预定端口收到的数据包报文进行匹配处理;
把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU进行处理;或者
把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL进行丢弃或送交交换机CPU的处理。
全局ACL进行的处理包括:如果所述失配数据包报文的目的IP地址、目的MAC地址和目的端口号与全局ACL中配置的相应字段相同,则作丢弃处理;如果所述失配数据包报文的目的IP地址或目的端口号与全局ACL中配置的相应字段不相同并且是协议报文,则将所述失配数据包报文交由交换机CPU进行处理。
为了避免转发多次输入用户密码的数据包报文,本发明对于多次输入用户密码的数据包报文,利用第二ACL进行匹配处理,丢弃数据包报文内容与第二ACL中配置的字段完全匹配的数据包报文。
本发明动态维护交换机中的第一ACL,丢弃与禁止远程访问的源地址有关的第一ACL,添加与允许远程访问的源地址有关的第一ACL,为此,本发明的交换机定时(包括每次开机或重启)向网络内预先指定的网关同步远程访问报文的源IP地址和源MAC地址,然后通过将同步过来的源IP地址、源MAC地址和交换机的Hash存储表中的VLANid、目的IP地址、目的MAC地址、端口号进行组合得到同步配置,并算出同步配置索引。
然后,交换机将根据对应的第一ACL中配置的目的源IP地址、目的IP地址、源MAC地址、目的MAC地址、VLAN id和目的端口号算出的第一ACL索引与所述同步配置索引进行比较,并依据比较结果进行以下操作:
如果同步配置索引与第一ACL索引相同,则保持对应的第一ACL;
如果同步配置索引与第一ACL索引不同,则改变对应的第一ACL。
当同步配置索引与对应的第一ACL索引不同时,交换机执行以下具体操作:
如果同步过来源IP地址和源MAC地址是一个新数据包报文的源地址,则通过在交换机Hash存储表上拷贝所述同步配置,添加关于所述新数据包报文的第一ACL,并将其绑定到端口上;
如果同步过来的源IP地址和源MAC地址为空,则从端口上解除对应的ACL绑定,然后从交换机的ASIC芯片上删除该对应的ACL。也就是说,当同步配置中没有对应于ACL中的源IP地址和源MAC地址时,意味着不允许具有该源地址的交换机进行远程访问,因此必须删除关于该交换机的ACL。
本发明的交换机需要配置一个三层接口IP地址,并把这个IP地址绑定到VLAN上,一旦交换机三层接口生效,交换机就把交换机MAC地址作为静态MAC地址添加到交换机的二层转发表中。
图2是本发明方法的交换机flash上保存的Hash存储表,该存储表的一行代表对应于一个数据包的第一ACL。对于需要转发处理的某个数据包,查表时先计算出同步过来的同步配置hash index(索引)和当前ACL配置的各字段的Hash index,如果两者相同,则不修改表项的内容;如果不同(通常为出现一个新数据包),则用同步过来的配置更新ACL表项的内容;如果发现同步过来的存储表已经没有该hash index(即没有源IP地址和源MAC地址),说明该表项已经被删除,则清除对应hash index表项的内容。
比如说,假如配置的源MAC部分从mac1变成了mac4,计算出来的index。与原来flash中存储的index做异或操作以后,发现改变。则把对应的源目的MAC,vlan id等配置全部写到flash内,覆盖原先的这个index
假如同步过来的配置,发现原先flash中有这个index,而同步过来的配置中没有这个index,则认为该表项删除,把对应的一行配置全部删除掉。
图3显示了本发明方法的同步配置以及写ASIC芯片表项的流程:
步骤201:交换机第一次开机或者重启后,需要向网络内预先指定的网关同步一下可信远程访问的源IP地址、源MAC地址。如果是第一次同步,则需要随机延迟一个在10分钟以内的时间,以后再次同步就10分钟一次。该周期可以配置,默认为10分钟,进入步骤202;
步骤202:将同步过来的配置,加上交换机三层接口的VLAN id,IP地址,MAC地址以及端口号,根据hash算法计算出来一个同步配置hash index,进入步骤203;
步骤203:根据查表,即同步配置hash index与原hash index的比对,如果hash index发生改变,则进入步骤207的添加ACL表项的流程;如果hash index不存在,则进入步骤204的删除ACL表项的流程;如果hash index没有发生改变,则直接进入步骤210,不对芯片做任何操作,直接等待下次同步过程;
步骤204:删除ACL表项,首先要把该ACL从端口上解除绑定,进入步骤205;
步骤205:清除该ACL表项所有相关的规则,进入步骤206;
步骤206:清除该ACL号,这样不对任何交CPU处理的报文做限制,进入步骤210,等待下次同步过程;
步骤207:增加ACL表项,所有以后添加的规则都属于这个ACL表,进入步骤208;
步骤208:重复添加ACL规则。如果对应三种访问方式的三个不同传输层目的端口,每个端口需要下两条ACL规则。
以telnet为例,第1条规则是只有精确的匹配到源MAC地址,目的MAC地址,源IP地址,目的IP地址,VLAN id,以及目的端口号是23,则该数据包认为是合法的,由ASIC芯片上送CPU处理。第2条规则在所有的端口上生效的,如果报文的目的MAC地址,目的IP地址和芯片中配置的一致,且目的端口号为23,则该报文作丢弃操作。
步骤209:将该ACL绑定到端口上,则该ACL开始生效。进入步骤210;
步骤210:等设定的时间到达,则继续同步配置,如果同步配置不成功,则维持现有的配置不做改变。
图4是端口上收到报文以后,ASIC芯片的ACL对报文的处理流程图:在交换机同步配置成功以后,在接口上起用了ACL表,对所有该端口收到的数据包都要进行过滤。
首先由第一访问控制列表匹配,如前所述,第一访问控制列表的第一条规则是将合法的报文送CPU处理,如果报文中的内容和芯片中配置的字段完全相同,则上送CPU处理,若匹配不到,则进行下一条规则的匹配。
第二条规则是丢弃访问本交换机的远程访问数据包,并且只有没匹配到第一条规则的数据包,认为该数据包有非法的IP,MAC,VLANid。
第二访问控制列表不一定存在,只有当用户名密码输入的次数达到3次,才会有第二访问控制列表,同样在该端口上使能。一旦匹配,并且该规则还在24小时之内有效期内,则报文仍然被丢弃。没有匹配到这些ACL的报文,比如ICMP报文,tftp报文,则正常上送CPU处理。
综上所述,本发明的访问控制列表的实现技术具有以下特点:
(1)首先确定合法的可以远程访问网络设备的机器的源IP地址和MAC地址的列表。
(2)交换机要被远程访问,首先要配置一个三层接口的IP地址,并且把这个IP地址绑定到VLAN上。一旦三层接口生效,交换机会添加一个静态MAC地址到二层转发表中去。
(3)确定网络中一台可以和外部网络相互访问的机器,可以是拥有公网IP地址的网关,也可以是radius服务器,来管理局域网。该机器应内置拥有合法远程访问权限的IP与MAC的列表,并且该机器可连接外部网络。为了不让列表被网络侦听造成泄漏,外部网络远程访问该机器都应使用SSH的方式登录进行操作。
(4)所有该网络内的交换机,都需要定时去网关同步该配置。交换机的flash中存储了源IP地址,目的IP地址,源MAC地址,目的MAC地址,VLAN id,目的端口号(其中,目的IP地址、VLAN id、目的MAC地址是本机的配置,保存在内存里面,源MAC地址和源IP地址是同步过来的)。以Hash的存储方式计算了Hash index,方便查找。
目的IP地址是本交换机三层接口的IP地址,目的MAC地址是上述(2)中所配置的静态MAC地址,VLAN id是三层接口所绑定的VLANid。允许远程访问的机器的IP地址和MAC地址,需要交换机从网关同步过来作为源IP地址,源MAC地址并写到交换机的flash中。可以使用现在广泛应用的MD5散列算法来计算Hash Index。使用MD5散列算法的优点是计算出来的128bit的hash值,产生Hash冲突的概率可以忽略不计。
(5)对上述的源IP地址、目的IP地址、VLAN id,与源MAC地址,目的MAC地址,目的端口号进行MD5Hash运算,将所得到的Hash运算结果作为查表的Hash索引。一次计算过程如下,hash index可以从计算出来的md5值中取得:
初始化MD5Init(&md5)
更新源IP字段MD5Update(&md5,(char*)source-ip,len)
更新目的IP字段MD5Update(&md5,(char*)dest-ip,len)
更新VLAN id,源MAC,目的MAC,目的端口号
得到最终结果MD5Final(&md5)(其中的md5就是最终的Hashindex)
下次将源IP地址、源MAC地址同步配置后,用同样的Hash算法计算得到的Hash结果,与Hash索引做异或操作如果发现异或的结果为0,则不做ASIC芯片的写硬件表项的操作;若异或的结果为1,则说明配置发生了变化,需要将原先的ASIC芯片的表项删除,再重新写一遍芯片的硬件表项,只有在写硬件芯片表项成功以后,才会覆盖掉原先的配置,并把Hash索引作为查表的关键字。
(6)总共三种远程访问的传输层目的端口号:23,80,161。分别对应telnet访问,web访问,SNMP访问三种方式。每个Hash表项需要下6条规则。对每种访问方式需要两条规则。为了规则能够匹配VLAN id,组网时需要上一层的交换机转发的数据包带VLAN tag出来。
对于telnet访问来说,第1条规则是只有精确的匹配到源MAC地址,目的MAC地址,源IP地址,目的IP地址,VLAN id,以及目的端口号是23,则该数据包认为是合法的,由ASIC芯片上送CPU处理。第2条规则是全局ACL(配置了与第一ACL相同的目的MAC地址,目的IP地址,目的端口号),在所有的端口上生效,如果报文的目的MAC地址,目的IP地址和芯片中配置的一致,且目的端口号为23,则该报文作丢弃操作。由于ASIC芯片的匹配的特点是一旦匹配到,则执行对应的动作(转发,丢弃,上送CPU等等),查找结束。匹配到第2条规则,说明第1条规则没有匹配,因此是一个不合法的访问报文,需要做丢弃处理。与telnet相似,Web,SNMP访问方式分别占据了3-6的规则。
而正常的应该由CPU处理的协议报文,比如802.1X认证报文,ARP报文,ICMP报文等,由于目的端口号不是23,80,161中的任意一个,也不会被丢弃。本发明可以通过识别上述协议报文的端口号,将协议报文送交交换机CPU处理。
而交给CPU做路由转发的数据包,目的MAC确实是交换机三层接口的静态MAC,但是目的IP地址不是交换机三层接口的IP地址,所以也不会被这条ACL规则过滤掉。
(7)如果合法的报文上送CPU,意味着远程的机器获得了合法访问的权限。如果用户输入的用户名,密码没有通过交换机的本地或者远程radius认证,并且尝试的次数达到3次,则由网管发送SNMPv2的trap报文到网管服务器,把错误的用户名,密码反馈给网管服务器报警。同时在本地日志记录一下这次访问错误的源IP地址,用户名等信息,以备以后查看。为了防止非法用户重复尝试密码,需要再下一条ACL规则,可以将该规则放在第二访问控制列表中,第二访问控制列表在第一访问控制列表的后面,即使第一访问列表允许报文通过,第二访问控制列表仍然可丢弃报文。从数据包的报头取出源IP地址,源MAC地址,目的MAC是交换机的静态MAC地址,目的IP地址是交换机的三层接口的IP地址写ASIC芯片的ACL表项,匹配该表项的报文做丢弃处理。并且设置time-range,在24小时后该ACL才失效。第二访问控制列表不参与配置同步,不会因为交换机从网关中同步配置而造成第二访问控制列表有任何改变,只会随着时间的推移而失效。和软件实现的ACL相比较,需要几百万条CPU指令的操作,而专门处理网络中数据流的ASIC芯片可以轻松完成该功能,并且过滤报文不需要CPU的参与。
(8)考虑到可能出现大面积的停电等网络故障,大量交换机刚开机时候同时去网关同步配置会给网关造成很大的负担。设计采用第一次同步配置时,是一个在10分钟之内的随机的时间。而每次同步时间都是10分钟的周期,不会因为同时的同步对网关造成太大的负担。
根据以上技术方案,采用该发明的优点如下:
1.有效的减少CPU流量,从而降低对CPU资源的占用率,降低了对网络设备CPU处理能力的要求。
2.一般使用ASIC芯片实现的网络设备,只要支持入口方向的ACL,VLAN划分以及三层接口的配置,就可以实现该功能。本发明有一定的通用性。
3.在网络设备中实现了源MAC+源IP+VLAN id绑定的功能,使得用户必须使用绑定的IP地址和特定的机器,不得再随意配置,降低网络设备遭受到伪造源IP地址的攻击的风险。
4.可以定时从命令交换机上同步配置,降低了配置的复杂性。采用Hash方式存储配置表,查找迅速。
本技术领域人员应当认识到,本发明所述ACL实现限制交换机远程访问实现方法的适用范围不仅局限于使用交换机组网系统,也可推广到其他采用集中式管理的网络通信系统中,对一定数量的网络设备进行限制远程访问的应用场合。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改,等同替换和改进,均应包含在本发明的保护范围之内。
Claims (8)
1.一种限制交换机远程访问的方法,其特征在于,包括以下步骤:
利用交换机的第一ACL对交换机预定端口收到的数据包报文进行匹配处理;
把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU进行处理;
把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL进行处理;
其中,所述全局ACL进行的处理包括:
如果所述失配数据包报文的目的IP地址、目的MAC地址和目的端口号与全局ACL中配置的相应字段相同,则作丢弃处理;
如果所述失配数据包报文的目的IP地址或目的端口号与全局ACL中配置的相应字段不相同,并且是协议报文,则将所述失配数据包报文交由交换机CPU进行处理。
2.根据权利要求1所述的方法,其特征在于,其中对于多次输入用户密码的数据包报文,利用第二ACL进行匹配处理,丢弃数据包报文内容与第二ACL中配置的字段完全匹配的数据包报文。
3.根据权利要求1或2所述的方法,其特征在于,其中所述第一ACL中配置的字段包括:源IP地址,目的IP地址,源MAC地址、目的MAC地址、VLAN id和目的端口号,其中源IP地址和源MAC地址是远程同步过来的,目的IP地址、目的MAC地址、VLAN id和目的端口号是交换机的固有配置。
4.根据权利要求3所述的方法,其特征在于,其中交换机定时向网络内预先指定的网关同步远程访问报文的源IP地址和源MAC地址,然后通过将同步过来的源IP地址、源MAC地址与交换机的Hash存储表中的VLANid、目的IP地址、目的MAC地址、端口号进行组合得到同步配置,并算出同步配置索引。
5.根据权利要求4所述的方法,其特征在于,其中交换机将根据对应的第一ACL中配置的目的源IP地址、目的IP地址、源MAC地址、目的MAC地址、VLAN id和目的端口号算出的第一ACL索引与所述同步配置索引进行比较,并依据比较结果进行以下操作:
如果同步配置索引与第一ACL索引相同,则保持对应的第一ACL;
如果同步配置索引与第一ACL索引不同,则改变对应的第一ACL。
6.根据权利要求5所述的方法,其特征在于,其中,当同步配置索引与对应的第一ACL索引不同时,交换机执行以下操作:
如果同步过来源IP地址和源MAC地址是一个新数据包报文的源地址,则通过在交换机Hash存储表上拷贝所述同步配置,添加关于所述新数据包报文的第一ACL,并将其绑定到端口上;
如果同步过来源IP地址和源MAC地址为空,则从端口上解除对应的ACL绑定,然后从交换机的ASIC芯片上删除该对应的ACL。
7.一种限制交换机远程访问的装置,其特征在于包括:
匹配处理模块,用于利用交换机第一ACL对交换机预定端口收到的数据包报文进行匹配处理;
匹配数据包报文处理模块,用于把数据包报文内容与第一ACL中配置的字段完全相同的匹配数据包报文交由交换机CPU处理;
失配数据包报文处理模块,用于把数据包报文内容与第一ACL中配置的字段不相同的失配数据包报文交由在交换机所有端口生效的全局ACL处理;
其中,所述全局ACL处理包括:
如果所述失配数据包报文的目的IP地址、目的MAC地址和目的端口号与全局ACL中配置的相应字段相同,则丢弃所述失配数据包报文;
如果所述失配数据包报文的目的IP地址或目的端口号与全局ACL中配置的相应字段不相同,并且是协议报文,则将所述失配数据包报文交由交换机CPU进行处理。
8.根据权利要求7所述的装置,其特征在于,还包括禁止多次输入用户密码模块,用于利用第二ACL对多次输入用户密码的数据包报文进行匹配处理,丢弃数据包报文内容与第二ACL中配置的字段完全匹配的数据包报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010101673.8A CN101820383B (zh) | 2010-01-27 | 2010-01-27 | 限制交换机远程访问的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010101673.8A CN101820383B (zh) | 2010-01-27 | 2010-01-27 | 限制交换机远程访问的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101820383A CN101820383A (zh) | 2010-09-01 |
| CN101820383B true CN101820383B (zh) | 2014-12-10 |
Family
ID=42655335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010101673.8A Active CN101820383B (zh) | 2010-01-27 | 2010-01-27 | 限制交换机远程访问的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101820383B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8756424B2 (en) * | 2010-11-30 | 2014-06-17 | Marvell Israel (M.I.S.L) Ltd. | Load balancing hash computation for network switches |
| CN103716179A (zh) * | 2011-03-09 | 2014-04-09 | 成都勤智数码科技股份有限公司 | 一种基于Telnet/SSH的网络终端管理的方法 |
| CN103377261A (zh) * | 2012-04-28 | 2013-10-30 | 瑞昱半导体股份有限公司 | 管理存取控制清单的装置、执行装置以及方法 |
| CN105991391A (zh) * | 2015-03-03 | 2016-10-05 | 中兴通讯股份有限公司 | 一种协议报文上送cpu的方法和装置 |
| CN107566201B (zh) * | 2016-06-30 | 2020-08-25 | 华为技术有限公司 | 报文处理方法及装置 |
| CN107634932B (zh) * | 2016-07-19 | 2021-07-20 | 中兴通讯股份有限公司 | 报文处理方法、装置及系统 |
| CN106657126B (zh) * | 2017-01-05 | 2019-11-08 | 盛科网络(苏州)有限公司 | 检测及防御DDoS攻击的装置及方法 |
| CN108650237B (zh) * | 2018-04-13 | 2020-09-08 | 烽火通信科技股份有限公司 | 一种基于存活时间的报文安全检查方法及系统 |
| CN108848034B (zh) * | 2018-07-17 | 2021-04-27 | 新华三技术有限公司 | 一种网络设备及表项学习方法 |
| CN110837647B (zh) * | 2018-08-16 | 2022-11-08 | 迈普通信技术股份有限公司 | 管理访问控制列表的方法及装置 |
| CN111585791B (zh) * | 2020-04-14 | 2022-09-20 | 深圳震有科技股份有限公司 | 一种数据同步配置方法、系统及存储介质 |
| CN114286420B (zh) * | 2021-12-21 | 2023-09-05 | 深圳创维数字技术有限公司 | 基于pon技术的网关的锁定方法、装置、服务器以及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1465014A (zh) * | 2001-07-20 | 2003-12-31 | 诺基亚有限公司 | 使用tcam实现数据流的选择性路由 |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN1826591A (zh) * | 2003-08-28 | 2006-08-30 | 思科技术公司 | 反向路径转发保护 |
-
2010
- 2010-01-27 CN CN201010101673.8A patent/CN101820383B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1465014A (zh) * | 2001-07-20 | 2003-12-31 | 诺基亚有限公司 | 使用tcam实现数据流的选择性路由 |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN1826591A (zh) * | 2003-08-28 | 2006-08-30 | 思科技术公司 | 反向路径转发保护 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101820383A (zh) | 2010-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| RU2735725C1 (ru) | Способ и устройство обработки и отправки пакетов, узел pe и узел | |
| RU2732184C1 (ru) | Способ, устройство, коммутатор, аппарат для передачи пакетов и носитель информации | |
| CN101159718B (zh) | 嵌入式工业以太网安全网关 | |
| US7886145B2 (en) | Method and system for including security information with a packet | |
| US11297070B2 (en) | Communication apparatus, system, method, and non-transitory medium | |
| US20080189769A1 (en) | Secure network switching infrastructure | |
| CN101631080A (zh) | 基于epa协议的工业以太网交换机和报文转发方法 | |
| US9515992B2 (en) | Network environment separation | |
| US20090049196A1 (en) | Method and system for the assignment of security group information using a proxy | |
| US20060117058A1 (en) | Method and apparatus for ingress filtering using security group information | |
| JP2011040928A (ja) | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム | |
| CN109474507B (zh) | 一种报文转发方法及装置 | |
| US8830997B1 (en) | Preventing denial-of-service attacks employing broadcast packets | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| US8923291B2 (en) | Communication apparatus and communication method | |
| JP6015304B2 (ja) | 通信装置およびアドレス学習方法 | |
| US20180351878A1 (en) | Multicast data packet forwarding | |
| CN113542188B (zh) | 报文检测的方法以及第一网络设备 | |
| US11297037B2 (en) | Method and network device for overlay tunnel termination and mirroring spanning datacenters | |
| CN102437966B (zh) | 基于二层dhcp snooping三层交换系统及方法 | |
| US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
| Ohtani et al. | VCCN: Virtual content-centric networking for realizing group-based communication | |
| US11838178B2 (en) | System and method for managing a network device | |
| CN102546307B (zh) | 基于dhcp侦听实现代理arp功能的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200721 Address after: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Patentee after: Nanjing Zhongxing Software Co.,Ltd. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee before: ZTE Corp. |