專利名稱:使用橋接器地址允許表的橋接器協(xié)議數據單位驗證方法
技術領域:
本發(fā)明涉及一種能過濾未被允許的橋接器協(xié)議數據單位(BridgeProtocol Data Unit����,BPDU)的方法�,特別是涉及一種利用橋接器地址允許表(Bridge Address Permit List,BAPL)當成過濾條件來過濾未被允許BPDU以達保密性的機制的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法��。
背景技術:
擴充樹協(xié)議(Spanning Tree Protocol��,STP)能計算無循環(huán)與完全連接的主動橋接器網絡拓樸����。其重算該主動拓樸,以自適于網絡的改變�,比如交換器變?yōu)橹鲃踊蚍侵鲃蛹奥?lián)機變?yōu)橹鲃踊蚍侵鲃印4朔N自適能力可發(fā)揮作用���,但網絡可能受到由錯誤設定或惡意所導致的意外致能拓樸改變的影響���。比如��,在非作為根點橋接器(root bridge)的交換器上增加STP橋接器優(yōu)先權�,亦即該值降低���。造成葉交換器間的較窄流量瓶頸����。請參閱圖1所示�����,交換器A與交換器B可被選成潛在性根點橋接器�,因為其有較大頻寬,當交換器A為根點橋接器時����,在正常下�����,交換器C的連接至交換器B的該埠為封閉態(tài)���。交換器A與交換器B間的流量是直接的?�,F在如果誤將交換器C設為根點橋接器���,交換器A與交換器B間的流量將會通過有較低頻寬的交換器C����。
若必需對BPDU有一驗證法�����,未經驗證的BPDU可被忽略且不會造成拓樸改變���。然而�,在IEEE規(guī)格802.1D或802.1w中未對BPDU驗證有規(guī)定�����。
因此�,在本發(fā)明中,BAPL可做為解決此問題的簡單但相當有效的BPDU驗證法�。
由此可見,上述現有的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法仍存在有諸多的缺陷,而亟待加以進一步改進����。為了解決使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法存在的問題,相關廠商莫不費盡心思來謀求解決之道�����,但長久以來一直未見適用的設計被發(fā)展完成�,而一般產品又沒有適切的結構能夠解決上述問題,此顯然是相關業(yè)者急欲解決的問題��。
有鑒于上述現有的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法存在的缺陷��,本發(fā)明人基于從事此類產品設計制造多年豐富的實務經驗及專業(yè)知識�����,積極加以研究創(chuàng)新���,以期創(chuàng)設一種新型的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法��,能夠改進一般現有的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法�,使其更具有實用性��。經過不斷的研究����、設計,并經反復試作樣品及改進后���,終于創(chuàng)設出確具實用價值的本發(fā)明��。
發(fā)明內容
本發(fā)明的目的在于�,克服現有的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法存在的缺陷��,而提供一種新的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法����,所要解決的技術問題是使其使用能過濾未被允許的橋接器協(xié)議數據單位(BPDU)的橋接器地址允許表(BAPL)的方法,而可以避免主動橋接器網絡拓樸被錯誤設定或不法BPDU干擾�����,從而更加適于實用��,且具有產業(yè)上的利用價值�。
本發(fā)明的目的及解決其技術問題是采用以下技術方案來實現的。依據本發(fā)明提出的一種執(zhí)行擴充樹協(xié)議的網絡的驗證方法�,該網絡包括多數個橋接器,多數個層,多數個交換器與多數個埠��,該驗證方法包括多數個橋接器協(xié)議數據單位�����;一允許表����;以及多數個驗證法則。
本發(fā)明的目的及解決其技術問題還可采用以下技術措施進一步實現�����。
前述的驗證方法��,其中所述的橋接器協(xié)議數據單位包括一根點辨別字段���;以及一橋接器辨別字段�。
前述的驗證方法�,其中所述的允許表包括被所接收的該橋接器協(xié)議數據單位允許的復數橋接器地址。
前述的驗證方法��,其中所述的驗證法則包括若所接收的該橋接器協(xié)議數據單位使用該交換器的該橋接器地址����,該橋接器協(xié)議數據單位被允許�����;若該橋接器辨別器的該橋接器地址不符合該允許表內的該橋接器地址,所接收的該橋接器協(xié)議數據單位被放棄���;以及若該根點辨別器的橋接器地址不符合該允許表內的該橋接器地址���,所接收的該橋接器協(xié)議數據單位被放棄。
前述的驗證方法�����,其中所述的埠更包括一狀態(tài)機臺�。
前述的驗證方法,其中所述的其中當該埠接收到不被該允許表允許的該橋接器協(xié)議數據單位時�����,該驗證法則更包括重設該擴充樹協(xié)議的該狀態(tài)機臺����;處理通過該允許表的該橋接器協(xié)議數據單位�;若該埠是一邊緣端口���,將一operEdeg變數設為假����;以及當一段時間內未接收到不被該允許表允許的該橋接器協(xié)議數據單位時��,則繼續(xù)進行��。
前述的驗證方法��,其中所述的時期為數十秒��。
前述的驗證方法��,其中當該擴充樹協(xié)議致能于該交換器上時����,可應用該驗證法則。
前述的驗證方法��,其中潛在的一根點橋接器的該橋接器的該橋接器地址是指定于該允許表內����,以觸發(fā)一根點辨別器檢查���。
前述的驗證方法,其中受信賴的一橋接器域內的所有交換器是指定于該允許表內�����。
本發(fā)明與現有技術相比具有明顯的優(yōu)點和有益效果��。由以上技術方案可知���,為了達到前述發(fā)明目的,本發(fā)明的主要技術內容如下本發(fā)明提供一種使用能過濾未被允許的橋接器協(xié)議數據單位(BPDU)的橋接器地址允許表(BAPL)的方法���,以避免主動橋接器網絡拓樸被錯誤設定或不法BPDU干擾���。
在BPDU內有根點辨別器字段與橋接器辨別器字段。根點辨別器可以獨特地辨別出假設為根點的該橋接器����,利用送出一設定BPDU(參考IEEE規(guī)格802.1D的第8.5.1.1節(jié)(IEEE Standards Section 8.5.1.1 in 802.1D))。該橋接器辨別器獨特地辨別出另一設定BPDU(參考IEEE規(guī)格802.1D的第8.5.3.7節(jié)(IEEE Standards Section 8.5.3.7 in 802.1D))的發(fā)送器����。此兩辨別器的格式相同��,因為在橋接器式網絡中���,根點辨別器是與橋接器辨別器之一。橋接器辨別器的格式規(guī)定于IEEE規(guī)格802.1w的第9.2.5節(jié)(IEEEStandards Section 9.2.5 in 802.1w))��。其具有64位�����,由三個部份組成���。第一部份是4位的橋接器優(yōu)先權�,第二部份是12位的區(qū)域指定系統(tǒng)辨別器�,以及第三部份是48位的橋接器地址。橋接器地址(定義于IEEE規(guī)格802.1D的第7.12.5節(jié)(IEEE Standards Section 7.12.5 in 802.1D))是指定至該橋接器的整體性獨特媒體存取控制(MAC)地址�����。該橋接器地址可為端口的獨特MAC地址����。
另一方面,驗證過程描述如下�����。交換器可藉由檢查橋接器辨別器與根點辨別器的橋接器地址來驗證所接收到的設定BPDU。法則如下所述1���、如果所接收到的BPDU使用該交換器的橋接器地址�����,該BPDU則被允許��。該交換器的橋接器地址永遠在隱含于該允許表中���。
2�、如果所接收到的BPDU的橋接器辨別器字段的該橋接器地址不符合于該允許表內的任一橋接器地址,則忽略該BPDU���。
3���、如果所接收到的BPDU的根點辨別器的該橋接器地址不符合于允許表內的根點辨別器所指定的任一橋接器地址,則忽略該BPDU�����。
4、當因為上述法則而忽略BPDU時���,接收埠的STP狀態(tài)機臺會“重設”如果該埠變成可操作的話�����。統(tǒng)計資料得以更新�,且終端使用者獲警告訊息����。如此將該埠處于放棄態(tài),避免循環(huán)����,以及仍傳輸“正確”BPDU。在該埠為邊緣埠的情況下�����,其operEdge變量必需設為假(false)�����,使得埠不會立即轉態(tài)成前饋態(tài)。當不再接收到違例BPDU時����,埠可稍后才轉態(tài)成前饋態(tài)。即使該埠是邊緣埠����,該埠必需停留于放棄態(tài)下以等待前饋延遲。
這些法則只應用于當交換器具有致能STP算法時���,另外����,該些法則也可應用于STP失能埠上或當該埠不在STP控制下時��。亦即�,只要STP方法可接收BPDU且能分別出接收埠,但埠的STP狀態(tài)機臺沒有被影響�����,只放棄違例BPDU���,更新統(tǒng)計數據,并警告終端使用者。要注意這些法則與STP算法兼容�����。
允許表是在所接收BPDU中被允許的一組橋接器地址�����。其可設定于交換器上����。可規(guī)定已設定的橋接器地址以應用于根點辨別器檢查中���。
交換器的橋接器地址永遠是該表的一部份�,使其能允許由本身發(fā)出的BPDU��,但由同為接收埠的該埠所發(fā)出的BPDU會被放棄�����。
該BAPL方法與STP兼容�����。終端使用者不但從該方法獲益,藉由指定橋接器地址于允許表內亦得以指定預期的潛在性根點橋接器以觸發(fā)根點辨別器檢查�。
終端使用者可藉由指定允許表來指定受信賴的橋接器域。當不被信賴的交換器試著加入該橋接器域時���,則無法加入�����。
BAPL方法可視為簡單的驗證方法���。理由在于,惡意裝置可偽裝具有被允許的橋接器地址的BPDU并試著干擾受信賴域的拓樸����。
考量本發(fā)明的部署,該特征可部署于分布層與存取層內的交換器上�。當部署于分布交換器上時,如果不是全部則是大部份的橋接器地址可視為能信賴的���。只有潛在性根點橋接器會受限���,所有分布交換器上的特征可設定于其內��。甚至,當部署于存取交換器上時����,上傳埠視為可信賴的。該允許表可允許連接至該上傳埠的該同等交換器的橋接器地址�。只限制潛在性根點橋接器。
一特例為空白的允許表�。意即該交換器本身可預期為根點橋接器。
經由上述可知����,本發(fā)明提供一種橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法。在網絡中�����,擴充樹協(xié)議(STP)計算無循環(huán)與完全連接的主動橋接器網絡拓樸���。橋接器地址允許表(BAPL)可為簡單的橋接器協(xié)議數據單位(BPDU)驗證方法��,其中終端使用者可藉由指定橋接器地址于允許表內����,以指定預期的潛在性根點橋接器�,并觸發(fā)根點橋接器檢查機制�。終端使用者可指定允許表來指定受信賴的橋接器域��。當不受信賴的橋接器試著加入橋接器域中時�,其無法加入。以避免該主動橋接器網絡拓樸被錯誤設定或可能為惡意的不法BPDU干擾��。因此BAPL是簡單但有效的BPDU驗證法�����,是使用允許表來過濾未被允許的BPDU�。
借由上述技術方案,本發(fā)明至少具有以下優(yōu)點1��、使用者可指定潛在的根點橋接器�����,是在橋接器地址允許表中指定橋接器地址以觸發(fā)根點辨別檢驗���。
2���、使用者可指定可信賴的橋接器領域,是指定于橋接器地址允許表中�,當一不受信賴的交換器試圖加入該橋接器領域時將被駁回�����。
綜上所述,本發(fā)明特殊結構的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法����,其使用能過濾未被允許的橋接器協(xié)議數據單位(BPDU)的橋接器地址允許表(BAPL)的方法,而可以避免主動橋接器網絡拓樸被錯誤設定或不法BPDU干擾���,從而更加適于實用�,且具有產業(yè)上的利用價值���。其具有上述諸多的優(yōu)點及實用價值�����,并在同類產品中未見有類似的結構設計公開發(fā)表或使用而確屬創(chuàng)新��,其不論在結構上或功能上皆有較大的改進����,在技術上有較大的進步�����,并產生了好用及實用的效果,且較現有的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法具有增進的多項功效����,從而更加適于實用,而具有產業(yè)的廣泛利用價值����,誠為一新穎、進步�����、實用的新設計��。
本發(fā)明的上述與其它目標��,特征與優(yōu)點可由下面實施例的詳細描述中明了����,實施例可參考附圖而可更加清楚的了解。
需要指出的是����,要知道上述描述與下面詳細描述僅是舉例之用�,且提供本發(fā)明的更進一步解釋�����。
上述說明僅是本發(fā)明技術方案的概述�,為了能夠更清楚了解本發(fā)明的技術手段��,并可依照說明書的內容予以實施���,以下以本發(fā)明的較佳實施例并配合附圖詳細說明如后�。
圖1是根據現有習知方法的錯誤根點橋接器的方塊圖��。
圖2是根據本發(fā)明一較佳實施例的預防意外根點橋接器的允許表的方塊圖�。
圖3是根據本發(fā)明一較佳實施例的定義可信賴橋接器域的允許表的方塊圖。
Switch A交換器ASwitch B交換器BSwitch C交換器CSwitch D交換器DEntity F實體F具體實施方式
以下結合附圖及較佳實施例�,對依據本發(fā)明提出的使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法其具體實施方法、特征及其功效���,詳細說明如后����。
根據本發(fā)明較佳實施例�,終端使用者可藉由指定橋接器地址于允許表內�,以指定預期的潛在性根點橋接器����,并觸發(fā)根點橋接器檢查方法。請參閱圖2所示�����,藉由將交換器A與交換器B列于只允許交換器A或交換器B為根點橋接器的一允許表上�����,可偵測到違反法則的情況���,因而能穩(wěn)定地維持拓樸��。
終端使用者可指定允許表來指定受信賴的橋接器域���。當不受信賴的橋接器試著加入橋接器域中時,其無法加入�����。比如,請參閱圖3所示����,根據本發(fā)明較佳實施例,交換器A���,B����,C��,D與E形成受信賴的橋接器域�。交換器C與交換器D是預期的潛在性根點橋接器�。第3端口連接至不受信賴的實體F,實體F假設為終端或為“下游”橋接器�����。當實體F試著送出BPDU時���,交換器A會拒絕連接��。如果實體F為“下游”橋接器�,在接收由交換器A送出的上級BPDU時,實體F必需終止送出BPDU����,而暫時拒絕連接。
根據本發(fā)明較佳實施例�����,實體F的一例是流量監(jiān)控器��,而第3端口是端口復制目標端口�����。實體F的另一實例是客戶端交換器�����,該客戶端將第3埠從擁有交換器A的服務提供者釋放出��。
BAPL可視為簡單的驗證方法�。理由是,惡意裝置會偽裝具允許橋接器地址的BPDU并差著干擾受信賴域的拓樸���。請參閱圖3所示���,實體F從第3端口發(fā)覺BPDU�����,并找出被允許的根點橋接器辨別器與橋接器辨別器�。其接著送出BPDU�,具相同根點橋接器辨別器但較高的橋接器辨別器。該BPDU會通過交換器A上的BAPL��,令交換器A誤信為根點橋接器已移至第3埠���。然而�����,此把戲無法永遠成功。比如���,真實的根點橋接器已使用了所有可能橋接器優(yōu)先權當中的最高橋接器優(yōu)先權��。接著��,實體F充其量只能產生具有相同橋接器優(yōu)先權的BPDU��。此時決定因素是根點路徑成本(root path cost)�����。如果交換器A在第1埠與第2端口上的根點路徑成本低于在第3端口上的根點路徑成本�����,主動拓樸會保持不變�。因而,較好是設定最高橋接器優(yōu)先權于根點橋接器中�,或設定高根點路徑成本于不被信賴的埠上。
如圖2與圖3所繪示��,可在分布層與存取層內的交換器上部署特征�����。
當部署于分布交換器上時�����,則大部份甚至全部的橋接器地址可視為受信賴的��。只有潛在性根點橋接器會受限���,所有分布交換器都具有特征����。
當部署于存取交換器上時,上傳埠可視為受信賴的��。允許表可允許連接至上傳埠的同等交換器的橋接器地址�。只有潛在性根點橋接器會受限。
其中一特例為存在一空的允許表�����。因此該交換器本身可預期為根點橋接器����。
在此方法中可得CPU的最小額外負載。其中的內存用于儲存設定與執(zhí)行期數據�����。研發(fā)者得以限制儲存違例橋接器地址的緩沖存儲器的量����,比如限制最后的100個緩沖存儲器����。
請參閱下列的表格表一���,在此顯示出指令字段與描述字段。根據預設狀況�,BAPL方法是失能的。當其失能時�,BAPL方法呈停止狀態(tài),但設定與執(zhí)行期數據不受影響���。當其致能時�����,且當STP也致能時��,該方法會產生作用��。根據預設狀況���,該允許表是空的(除了區(qū)域交換器的固有橋接器地址),使得由其它交換器發(fā)出的全部BPDU都被拒絕���。在改變允許表前�����,較好是使該方法失能����。在完全設定該允許表后,才致能該方法�����。
表一請參閱下列的表格表二�,其中顯示指令字段與描述字段?!眘howbridgeaddress”的指令顯示出該允許表的設定。其亦顯示出永遠隱含于允許表內的該交換器本身的橋接器地址��。其又顯示出可在交換器上發(fā)現某些橋接器地址(比如相鄰指定橋接器的地址)���。這有助于終端使用者在設定允許表時能找出橋接器地址�����。”show bridgeaddress statictics”的指令顯示在各違例埠上被該允許表丟棄的BPDU數量與某些違例的橋接器地址��。
表二以上所述,僅是本發(fā)明的較佳實施例而已�����,并非對本發(fā)明作任何形式上的限制����,雖然本發(fā)明已以較佳實施例揭露如上,然而并非用以限定本發(fā)明���,任何熟悉本專業(yè)的技術人員�����,在不脫離本發(fā)明技術方案范圍內���,當可利用上述揭示的技術內容作出些許更動或修飾為等同變化的等效實施例,但凡是未脫離本發(fā)明技術方案的內容���,依據本發(fā)明的技術實質對以上實施例所作的任何簡單修改�����、等同變化與修飾��,均仍屬于本發(fā)明技術方案的范圍內����。
權利要求
1.一種執(zhí)行擴充樹協(xié)議的網絡的驗證方法,該網絡包括多數個橋接器�,多數個層,多數個交換器與多數個埠�����,其特征在于該驗證方法包括多數個橋接器協(xié)議數據單位��;一允許表�����;以及多數個驗證法則��。
2.根據權利要求1所述的驗證方法�,其特征在于其中所述的橋接器協(xié)議數據單位包括一根點辨別字段;以及一橋接器辨別字段��。
3.根據權利要求1所述的驗證方法�����,其特征在于其中所述的允許表包括被所接收的該橋接器協(xié)議數據單位允許的復數橋接器地址。
4.根據權利要求1所述的驗證方法�,其特征在于其中所述的驗證法則包括若所接收的該橋接器協(xié)議數據單位使用該交換器的該橋接器地址��,該橋接器協(xié)議數據單位被允許����;若該橋接器辨別器的該橋接器地址不符合該允許表內的該橋接器地址,所接收的該橋接器協(xié)議數據單位被放棄�;以及若該根點辨別器的橋接器地址不符合該允許表內的該橋接器地址,所接收的該橋接器協(xié)議數據單位被放棄�����。
5.根據權利要求1所述的驗證方法����,其特征在于其中所述的埠更包括一狀態(tài)機臺。
6.根據權利要求4所述的驗證方法���,其特征在于其中當該埠接收到不被該允許表允許的該橋接器協(xié)議數據單位時��,該驗證法則更包括重設該擴充樹協(xié)議的該狀態(tài)機臺���;處理通過該允許表的該橋接器協(xié)議數據單位���;若該埠是一邊緣端口,將一operEdeg變數設為假�����;以及當一段時間內未接收到不被該允許表允許的該橋接器協(xié)議數據單位時�,則繼續(xù)進行。
7.根據權利要求6所述的驗證方法����,其特征在于其中所述的時期為數十秒。
8.根據權利要求4所述的驗證方法���,其特征在于其中當該擴充樹協(xié)議致能于該交換器上時����,可應用該驗證法則�。
9.根據權利要求1所述的驗證方法,其特征在于其中潛在的一根點橋接器的該橋接器的該橋接器地址是指定于該允許表內���,以觸發(fā)一根點辨別器檢查��。
10.根據權利要求1所述的驗證方法��,其特征在于其中受信賴的一橋接器域內的所有交換器是指定于該允許表內��。
全文摘要
本發(fā)明是關于一種使用橋接器地址允許表(BAPL)的橋接器協(xié)議數據單位(BPDU)驗證方法�。在網絡中,擴充樹協(xié)議(STP)計算無循環(huán)與完全連接的主動橋接器網絡拓樸���。橋接器地址允許表(BAPL)可為簡單的橋接器協(xié)議數據單位(BPDU)驗證方法,其中終端使用者可藉由指定橋接器地址于允許表內�,以指定預期的潛在性根點橋接器,并觸發(fā)根點橋接器檢查機制����。終端使用者可指定允許表來指定受信賴的橋接器域。當不受信賴的橋接器試著加入橋接器域中時��,其無法加入�����,以避免該主動橋接器網絡拓樸被錯誤設定或可能為惡意的不法BPDU干擾���。因此BAPL是簡單但有效的BPDU驗證法�,是使用允許表來過濾未被允許的BPDU。
文檔編號H04L29/06GK1620056SQ200310115110
公開日2005年5月25日 申請日期2003年11月21日 優(yōu)先權日2003年11月21日
發(fā)明者馮熙濤 申請人:詮盛科技股份有限公司