[發明專利]限制交換機遠程訪問的方法及裝置有效
| 申請號: | 201010101673.8 | 申請日: | 2010-01-27 |
| 公開(公告)號: | CN101820383A | 公開(公告)日: | 2010-09-01 |
| 發明(設計)人: | 陳旭明 | 申請(專利權)人: | 中興通訊股份有限公司 |
| 主分類號: | H04L12/56 | 分類號: | H04L12/56;H04L29/12 |
| 代理公司: | 北京元本知識產權代理事務所 11308 | 代理人: | 秦力軍 |
| 地址: | 518057 廣東省深圳市南山*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 限制 交換機 遠程 訪問 方法 裝置 | ||
技術領域
本發明涉及網絡數據通訊,特別涉及基于ASIC芯片實現的全局 ACL(訪問控制列表)限制交換機遠程訪問的方法及裝置。
背景技術
隨著數據通訊網絡的發展,以太網交換機的應用越來越廣泛,但 是由于以太網交換機設備非常多(尤其是接入層低端設備),如何方 便,安全的對設備進行遠程管理成為一個難題。常用的遠程訪問技術, 包括telnet,snmp,web等技術,對遠程訪問的安全控制僅僅局限于 用戶名,密碼機制,而傳統的限制遠程訪問的技術,通常是基于可信 IPv4地址列表過濾的,有一定的局限性。如果源地址是偽造的,同 樣可以獲得對交換機的訪問權。并且用軟件方式實現的ACL,通常需 要在內存里面維護一個合法的IPv4地址的鏈表,當數據包交給CPU 處理的時候,解析出數據包源IP地址,與掩碼做位運算,判斷該地 址是否在合法的地址范圍內,不在合法范圍內則對數據包做丟棄處 理。對CPU的運算資源造成一定的浪費。很多以太網交換機使用了 ASIC芯片實現的高速數據轉發,大多數的交換芯片都具有VLAN劃分、 訪問控制列表(ACL)等功能,但是ACL通常限制的是網絡中由ASIC 芯片轉發的數據流,一般不會對訪問CPU的協議流進行限制。
發明內容
本發明的目的是提供一種全局ACL限制交換機或其他網絡設備 遠程訪問的方法,用于利用在交換機或其他網絡設備上使用的訪問控 制列表阻止非法訪問CPU的流量,以保護交換機或其他網絡設備。
本發明的另一目的是提供一種全局ACL限制交換機或其他網絡 設備遠程訪問的裝置,用于利用在交換機或其他網絡設備上使用的訪 問控制列表阻止非法訪問CPU的流量,以保護交換機或其他網絡設 備。
根據本發明第一方面,全局ACL(訪問控制列表)限制交換機遠 程訪問的方法包括以下步驟:
利用交換機的第一ACL對交換機預定端口收到的數據包報文進 行匹配處理;
把數據包報文內容與第一ACL中配置的字段完全相同的匹配數 據包報文交由交換機CPU進行處理;或者
把數據包報文內容與第一ACL中配置的字段不相同的失配數據 包報文交由在交換機所有端口生效的全局ACL進行處理。
其中所述全局ACL進行的處理包括:如果所述失配數據包報文的 目的IP地址、目的MAC地址和目的端口號與全局ACL中配置的相應 字段相同,則作丟棄處理;如果所述失配數據包報文的目的IP地址 或目的端口號與全局ACL中配置的相應字段不相同,并且是協議報 文,則將所述失配數據包報文交由交換機CPU進行處理。
其中對于多次輸入用戶密碼的數據包報文,利用第二ACL進行匹 配處理,丟棄數據包報文內容與第二ACL中配置的字段完全匹配的數 據包報文。
其中所述第一ACL中配置的字段包括:源IP地址,目的IP地址, 源MAC地址、目的MAC地址、VLAN?id(虛擬局域網標識)和目的端 口號,其中源IP地址和源MAC地址是遠程同步過來的,目的IP地址、 目的MAC地址、VLAN?id和目的端口號是交換機的固有配置。
其中交換機定時向網絡內預先指定的網關同步遠程訪問報文的 源IP地址和源MAC地址,然后通過將同步過來的源IP地址、源MAC 地址與交換機的Hash存儲表中的VLANid、目的IP地址、目的MAC 地址、端口號進行組合得到同步配置,并算出同步配置索引。
其中交換機將根據對應的第一ACL中配置的目的源IP地址、目 的IP地址、源MAC地址、目的MAC地址、VLAN?id和目的端口號算 出的第一ACL索引與所述同步配置索引進行比較,并依據比較結果進 行以下操作:
如果同步配置索引與第一ACL索引相同,則保持對應的第一ACL;
如果同步配置索引與第一ACL索引不同,則改變對應的第一ACL。
其中當同步配置索引與對應的第一ACL索引不同時,交換機執行 以下操作:
如果同步過來源IP地址和源MAC地址是一個新數據包報文的源 地址,則通過在交換機Hash存儲表上拷貝所述同步配置,添加關于 所述新數據包報文的第一ACL,并將其綁定到端口上;
如果同步過來源IP地址和源MAC地址為空,則從端口上解除對 應的ACL綁定,然后從交換機的ASIC芯片上刪除該對應的ACL。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中興通訊股份有限公司,未經中興通訊股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010101673.8/2.html,轉載請聲明來源鉆瓜專利網。





