技術(shù)領(lǐng)域

本發(fā)明涉及一種防止網(wǎng)絡(luò)攻擊的方法，具體涉及一種防止非法的、可以使設(shè)備進(jìn)行表項(xiàng)刪除的操作的、偽造報(bào)文攻擊的方法以及其適用的上游設(shè)備和下游設(shè)備。

背景技術(shù)

在靈活鏈路組中有四個(gè)狀態(tài)機(jī)，分別是每端口的端口信息狀態(tài)機(jī)(PIM，portinformation?machine)、每端口的定時(shí)器狀態(tài)機(jī)(TMR，TIMER?STATEMACHINE)、每個(gè)SMART-LINK組的端口狀態(tài)選擇狀態(tài)機(jī)(PSS，port?stateselection?machine)和每端口的端口狀態(tài)遷移狀態(tài)機(jī)(PST，port?state?transitionmachine)。當(dāng)PIM收到需要響應(yīng)的事件后，如果是搶占模式，則觸發(fā)TMR狀態(tài)機(jī)開始倒計(jì)時(shí)，用于進(jìn)行搶占延時(shí)，超時(shí)后，由TMR調(diào)用PSS狀態(tài)機(jī)重新計(jì)算組內(nèi)端口的狀態(tài)，否則直接調(diào)用PSS狀態(tài)機(jī)重新計(jì)算組內(nèi)端口的狀態(tài)。如果端口的SMART-LINK狀態(tài)發(fā)生了變化，則再調(diào)用PST狀態(tài)機(jī)修改狀態(tài)并下發(fā)硬件。Flush報(bào)文的填充和觸發(fā)由PSS狀態(tài)機(jī)來(lái)完成。端口狀態(tài)發(fā)生變化或鏈路狀態(tài)發(fā)生變化時(shí)，各狀態(tài)機(jī)轉(zhuǎn)換關(guān)系如圖1所示。

在現(xiàn)有技術(shù)中，清理報(bào)文(Flush報(bào)文)的作用是通知設(shè)備更新表項(xiàng)。目前Flush報(bào)文采用IEEE802.3封裝，包括Destination?MAC、Source?MAC、ControlVLAN?ID、VLAN?Bitmap、Auth-mode以及Password等信息字段。其中：Destination?MAC為未知組播地址；Source?MAC表示發(fā)送Flush報(bào)文的設(shè)備的橋MAC地址；Control?VLAN?ID表示發(fā)送控制VLAN的ID號(hào)；VLAN?Bitmap表示VLAN位圖，用于攜帶需要刷新地址表的VLAN列表；Auth-mode和Password目前未使用。

具體的說(shuō)，如圖2所示，在其中的上游設(shè)備，Switch?B?202、Switch?C?203和Switch?D?204都能夠識(shí)別Flush報(bào)文的情況下，靈活鏈路組的工作機(jī)制為：Switch?A?201的端口GigabitEthernet1/0/1(GE1/0/1)為主端口，端口GigabitEthernet1/0/2(GE1/0/2)為副端口。雙上行鏈路都正常的情況下，主端口處于轉(zhuǎn)發(fā)狀態(tài)，其所在的鏈路是主用鏈路；副端口處于待命狀態(tài)，其所在鏈路是備用鏈路。由主機(jī)205中所發(fā)出的數(shù)據(jù)沿著實(shí)線所表示的鏈路進(jìn)行傳輸，網(wǎng)絡(luò)中不存在環(huán)路，避免產(chǎn)生廣播風(fēng)暴。

當(dāng)靈活鏈路組(Smart?Link組)發(fā)生鏈路切換時(shí)，原有的轉(zhuǎn)發(fā)表項(xiàng)已經(jīng)不再適用于新的拓?fù)渚W(wǎng)絡(luò)，需要對(duì)整網(wǎng)進(jìn)行MAC地址轉(zhuǎn)發(fā)表項(xiàng)和ARP表項(xiàng)的更新。Smart?Link通過Flush報(bào)文來(lái)通知其他設(shè)備進(jìn)行表項(xiàng)的刷新操作。

當(dāng)Switch?A?201(交換機(jī)A?201)的主用鏈路發(fā)生故障時(shí)，主端口GigabitEthernet1/0/1切換到待命狀態(tài)，副端口GigabitEthernet1/0/2切換到轉(zhuǎn)發(fā)狀態(tài)。此時(shí)，網(wǎng)絡(luò)中各設(shè)備上的MAC地址轉(zhuǎn)發(fā)表項(xiàng)和ARP表項(xiàng)可能已經(jīng)錯(cuò)誤，需要提供一種MAC及ARP更新的機(jī)制，完成流量的快速切換，以免造成流量丟失。

為了實(shí)現(xiàn)快速鏈路切換，需要在Switch?A?201上開啟Flush報(bào)文發(fā)送功能，在上游設(shè)備所有處于雙上行網(wǎng)絡(luò)上的端口開啟接收處理Flush報(bào)文功能。具體的說(shuō)，在Flush報(bào)文的發(fā)送和接收過程中：Switch?A?201發(fā)生鏈路切換后，會(huì)從新的主用鏈路(虛線顯示鏈路、原備用鏈路)上發(fā)送Flush報(bào)文，即從GigabitEthernet1/0/2端口發(fā)送Flush報(bào)文。Flush報(bào)文的VLAN?Bitmap字段填充鏈路切換前組內(nèi)處于轉(zhuǎn)發(fā)狀態(tài)的GigabitEthernet1/0/1端口所在Smart?Link組的保護(hù)VLAN?ID，Control?VLAN?ID字段填充Smart?Link組配置的發(fā)送控制VLANID。當(dāng)上游設(shè)備收到Flush報(bào)文時(shí)，判斷該Flush報(bào)文的發(fā)送控制VLAN是否在收到報(bào)文的端口配置的接收控制VLAN列表中。如果不在接收控制VLAN列表中，設(shè)備對(duì)該Flush報(bào)文不做處理，直接轉(zhuǎn)發(fā)；如果在接收控制VLAN列表中，設(shè)備將提取Flush報(bào)文中的VLAN?Bitmap數(shù)據(jù)，將設(shè)備在這些VLAN內(nèi)學(xué)習(xí)到的MAC及ARP表項(xiàng)刪除。