CN110365635B - 一种非法端点的接入控制方法和装置 - Google Patents
一种非法端点的接入控制方法和装置 Download PDFInfo
- Publication number
- CN110365635B CN110365635B CN201910435854.5A CN201910435854A CN110365635B CN 110365635 B CN110365635 B CN 110365635B CN 201910435854 A CN201910435854 A CN 201910435854A CN 110365635 B CN110365635 B CN 110365635B
- Authority
- CN
- China
- Prior art keywords
- downlink
- network device
- endpoint
- interface
- connection table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种非法端点的接入控制方法及装置,包括:获取所述EPS系统中各网络设备的下行链路信息;基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。使用本申请提供的方法可以实现非法端点的接入控制。
Description
技术领域
本申请涉及计算机通信领域,尤其涉及一种非法端点的接入控制方法和装置。
背景技术
网络中遍布各种类型的端点,例如摄像头、PC(Personal Computer,个人计算机)、交换机、服务器、路由器、防火墙、AP(Wireless Access Point,无线接入点)、打印机、ATM(Automatic Teller Machine,自动取款机)等。为了对网络中的端点进行管理,EPS系统(Endpoints Profiling System,端点探测系统)应运而生。
EPS系统包括EPS服务器和EPS扫描器,ESP扫描器可对是通过对网络中的各端点进行扫描,并将扫描结果上报给EPS服务器。EPS服务器根据扫描结果对端点进行合法性校验,当校验端点为非法端点时,需要对非法端点进行接入控制。因此,如何对非法端点进行接入控制就显得尤为重要。
发明内容
有鉴于此,本申请提供一种非法端点的接入控制方法和装置,用以实现非法端点的接入控制。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种非法端点的接入控制方法,所述方法应用于端点探测系统EPS系统中的EPS服务器,所述方法包括:
获取所述EPS系统中各网络设备的下行链路信息;
基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;
依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。
可选的,所述网络设备的下行链路信息包括:网络设备的标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;
所述设备连接表包括:与各网络设备对应的设备连接表项;
设备连接表项包括:网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。
可选的,所述依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,包括:
确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;
在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;
在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;
若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;
若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。
可选的,所述方法还包括:
若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。
可选的,所述阻断所述网络设备上连接所述非法端点的接口,包括:
阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。
根据本申请的第二方面,提供一种非法端点的接入控制装置,所述装置应用于端点探测系统EPS系统中的EPS服务器,所述装置包括:
获取单元,用于获取所述EPS系统中各网络设备的下行链路信息;
构造单元,用于基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;
确定单元,用于依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。
可选的,所述网络设备的下行链路信息包括:网络设备标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;
所述设备连接表包括:与各网络设备对应的设备连接表项;
设备连接表项包括:与该设备连接表项对应的网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。
可选的,所述确定单元,具体用于确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。
可选的,所述确定单元,还具体用于若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。
可选的,所述确定单元,在阻断所述网络设备上连接所述非法端点的接口时,具体用于阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。
由上述描述可知,EPS服务器可以基于各网络设备上报的各自的下行链路信息,计算各网络设备之间的连接关系,并生成用于表征各网络设备连接关系的设备连接表。EPS服务器可以基于设备连接表,从非法端点连接的网关设备开始,通过逐级查找确定出与非法端点直连的网络设备,并将确定出网络设备上连接该非法端点的接口阻断,从而实现了EPS服务器对非法端点的接入控制。
附图说明
图1a是示出的一种非法端点接入控制的组网架构图;
图1b是示出的另一种非法端点接入控制的组网架构图;
图2a是本申请一示例性实施例示出的一种非法端点的接入控制方法的流程图;
图2b是本申请一示例性实施例示出的一种确定非法端点直连的网络设备的方法的流程图;
图3是本申请一示例性实施例示出的一种非法端点接入控制的示意图;
图4是本申请一示例性实施例示出的一种EPS服务器的硬件结构图;
图5是本申请一示例性实施例示出的一种非法端点的接入控制装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1a,图1a是示出的一种非法端点接入控制的组网架构图。
该非法端点接入控制的组网至少包括:EPS服务器、EPS扫描器、网关设备、和端点。
网关设备上记录有接入该网关设备的端点的端点信息(比如端点的IP地址、MAC地址等),EPS扫描器可以在网关设备上扫描各端点的端点信息,然后将端点信息上报给EPS服务器。
EPS服务器可以基于各端点的端点信息对各端点进行合法性校验,判定端点是否合法。
当EPS服务器确定某一端点为非法端点时,EPS服务器可以对该非法端点进行接入控制。
下面对传统的非法端点的接入控制方法进行详细介绍:
通常网关设备上记录有接入该网关设备的端点的转发表项。比如,网关设备上记录有与接入该网关设备的各端点对应的ARP(Address Resolution Protocol,地址解析协议)表项。该ARP表项包括:端点的IP(Internet Protocol,网络协议)地址、MAC(MediaAccess Control,媒体访问控制)地址、出接口。该出接口为网关设备上连接该端点的端口。
传统的非法端点接入控制的方法是:EPS服务器访问网关设备,在网关设备记录的ARP表中,查找与该非法端点地址对应的ARP表项,然后阻断该ARP表项记录的出接口。
如图1a所示,当端点与网关设备直连时,查找到的ARP表项的出接口就是非法端点接入网关设备的接口,将该接口阻断,则可控制非法端点接入网关设备。
但是,在实际应用中,端点往往是通过接入设备接入网关设备,甚至是端点通过多级接入设备接入网关设备。
例如,如图1b所示,图1b是示出的另一种非法端点接入控制的组网架构图。
在图1b所示的组网中可以看出,端点1通过接入设备A接入网关设备,端点2和端点3通过接入设备B接入网关设备。
假设,网关设备上连接接入设备A的端口为Port_A,网关设备上连接接入设备B的端口为Port_B。端点1、端点2和端点3的IP地址分别为IP1、IP2和IP3。端点1、端点2和端点3的MAC地址分别为MAC1、MAC2和MAC3。
网关设备上具有的ARP表如表1所示。
| IP地址 | MAC地址 | 出接口 |
| IP1 | MAC1 | Port_A |
| IP2 | MAC2 | port_B |
| IP3 | MAC3 | port_B |
表1
当EPS服务器确定端点2为非法端点时,采用传统的对非法端点2的接入控制方法时,EPS服务器可在网关设备记录的ARP表(即表1)中,查找与非法端点2对应的ARP表项(即表1第三行所示ARP表项),然后将ARP表项的出接口Port_B阻断。
而在如图1b所示的组网中,由于连接Port_B的接入设备B不仅连接有端点2还连接有端点3,当阻断Port_B时,端点3也无法接入网关设备,致使合法端点无法接入。
有鉴于此,本申请提出一种非法端点的接入控制方法,该方法既适用于网关设备与端点直连的组网,也适用于端点通过至少一级接入设备接入网关的组网,而且本申请提供的非法端点的接入控制方法可以有效地避免合法端点无法接入的问题。
下面对本申请提供的非法端点的接入控制方法进行详细地说明。
参见图2a,图2a是本申请一示例性实施例示出的一种非法端点的接入控制方法的流程图,该方法可应用在EPS系统中的EPS服务器上,可包括如下所示步骤。
步骤201:获取所述EPS系统中各网络设备的下行链路信息。
其中,上述网络设备可以包括:网关设备、接入设备等。其中,接入设备可包括转发设备,比如交换机、路由器等,这里不对接入设备进行具体地限定。
上述网络设备的下行链路信息可包括:网络设备标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。当然,下行链路信息还包括其他信息,这里只是示例性地说明,不进行具体地限定。
其中,网络设备标识可包括网络设备的设备标识、网络设备的IP地址、MAC地址等,这里不对网络设备标识进行具体地限定。
需要说明的是,本申请所述的下行链路是指网络设备用于连接下游网络设备的链路。
比如,如图1b所示。
网关设备向EPS服务器上报的下行链路信息如表201所示。
表201
由于接入设备A直连了端点1,所以接入设备A没有下行链路。接入设备A向EPS服务器上报的下行链路信息如表202所示。
| 网络设备标识 | 本地接口 | 邻居设备标识 | 邻居接口 |
| 接入设备A标识 | 无 | 无 | 无 |
表202
由于接入设备B直连了端点2和端点3,所以接入设备B没有下行链路。接入设备B向EPS服务器上报的下行链路信息如表203所示。
| 网络设备标识 | 本地接口 | 邻居设备标识 | 邻居接口 |
| 接入设备B标识 | 无 | 无 | 无 |
表203
在介绍完上述下行链路信息后,对“网络设备上报自身的下行链路信息”进行详细地说明。
在实现时,EPS服务器上维护了各网络设备的设备信息,比如网络设备的IP地址、SNMP(Simple Network Management Protocol,简单网络管理协议)参数等信息,EPS服务器可基于该设备信息访问网络设备。
在一种可选的实现方式中,网络设备可以基于本地维护的各网络设备的设备信息,向各网络设备发送上报请求,各网络设备在接收到该上报请求后,可定时上报自身的下行链路信息。
在另一种可选的实现方式中,网络设备还可定时向EPS服务器上报自身的下行链路信息。
当然,网络设备还可在接入该EPS服务器时向EPS服务器上报自身的下行链路信息,当自身的下行链路发生变化时,该网络设备可向EPS服务器上报自身的下行链路信息,以使EPS服务器更新该网络设备的下行链路信息。
这里只是对网络设备上报下行链路信息进行示例性地说明不进行具体地限定。
步骤202:基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表。
EPS服务器可以基于各网络设备的下行链路信息,计算出各网络设备的连接关系。然后,EPS服务器可构造表征各网络设备连接关系的设备连接表。
其中,该设备连接表包括多个设备连接表项,每个设备连接表项与一个网络设备对应。
设备连接表项包括:与该设备连接表项对应的网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。
当然,该设备连接表项中还可根据实际情况包括其他信息,这里只是示例性地说明,不进行具体地限定。
仍以图1a的例子为例,EPS服务器在接收到网关设备上报的表201、接入设备A上报的表202和接入设备B上报的表203后,可计算各网络设备的连接关系,形成设备连接表,该设备连接表如表204所示。
表204
需要说明的是,链路状态表示该网络设备是否具有下行链路,若该链路状态为“是”时,表明该网络设备具有下行链路。若该链路状态为“否”时,表明该网络设备没有下行链路。
上述网络设备标识,用以唯一标识一个网络设备,例如该网络设备标识可以为网络设备IP地址,这里只是示例性地说明,不进行具体地限定。
步骤203:依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。
参见图2b,图2b是本申请一示例性实施例示出的一种确定非法端点直连的网络设备的方法的流程图,具体可参见步骤2031至步骤2036。
步骤2031:EPS服务器确定非法端点接入的网关设备,将所述网关设备作为目标网络设备。
通常网关设备上记录有接入该网关设备的各端点的转发表项,比如各端点的ARP表项。
该ARP表项至少包括:接入该网关设备的端点的IP地址、MAC地址和出接口。
针对每一个网络设备,EPS服务器可检测该网络设备的ARP表中是否记录有非法端点对应的ARP表项。若该网络设备的ARP表中存在与该非端点对应的ARP表项,EPS服务器可确定该网关设备是非法端点接入的网关设备。
当然,EPS服务器还可通过其他方式确定出该非法端点接入的网关设备。比如网关设备上记录有接入该网关设备的端点的名单,EPS服务器可以基于该名单,确定出非法端点接入的网关设备。这里不对“EPS服务器确定该非法端点接入的网关设备”进行具体地限定。
步骤2032:EPS服务器在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口。
需要说明的是,当该目标网络设备是网关设备时,这里所述的转发表为ARP表,转发表项为ARP表项。当该目标网络设备是接入设备时,这里所述的转发表为MAC表,转发表项为MAC表项。
在实现时,EPS服务器可在目标网络设备记录的转发表中,查找目的地址是该非法端点地址的转发表项,然后获取该转发表项记录的出接口。
步骤2033:EPS服务器可在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路。
在实现时,EPS服务器可在设备连接表中,查找网络标识为目标网络设备标识的至少一个设备连接表项。
然后,EPS服务器可查看该查找到的至少一个设备连接表项的链路状态,若该至少一个设备连接表项中有链路状态为“是”的设备连接表项,则表明该目标网络设备具有下行链路,若所有设备连接表项记录的链路状态均为“否”,则表明该目标网络设备没有下行链路。
步骤2034:若所述目标网络设备不存在下行链路,则确定所述目标网络设备为与该非法端点直连的网络设备,并阻断该确定出的与所述非法端点的地址匹配的转发表项中的出接口。
步骤2035:若该目标网络设备存在下行链路,则确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口是否相同。
步骤2036:若确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同,则将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回步骤2032。
步骤2037:若所述出接口与所述至少一个设备连接表项记录的本地接口均不相同,则确定该非法端点与该目标网络设备直连,阻断该出接口。
若该目标网络设备存在下行链路,EPS服务器可检测出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口是否相同。如果所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同,则将该任一设备连接表项记录的邻居设备作为目标网络设备,然后重复上述步骤2032至步骤2037。如果出接口与所述至少一个设备连接表项记录的本地接口均不相同,则阻断该出接口。
需要说明的是,“EPS服务器确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口是否相同”的目的是:判断该出接口是直连非法端点的接口,还是该出接口是连接下游邻居设备的下行链路的接口。
当出接口与所述至少一个设备连接表项记录的本地接口均不相同时,表明该出接口与非法端点直连,此时可将该出接口阻断。
当该出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,表明该出接口是连接下游邻居设备的下行链路的接口,此时可以将该邻居设备作为目标网络设备,重复步骤2032至步骤2037。
还需要说明的是,EPS服务器通过重复执行步骤2032至步骤2037可以逐个查找到从网关设备到非法端点这一路径的各节点(即网络设备),通过查找到的节点确定出这一路径上该节点的下一个节点,最终查找到与该非法端点直连的节点,从而实现了确定该非法端点直连的网络设备。
由上述描述可知,EPS服务器可以基于各网络设备上报的各自的下行链路信息,计算各网络设备之间的连接关系,并生成用于表征各网络设备连接关系的设备连接表。EPS服务器可以基于设备连接表,从非法端点连接的网关设备开始,通过逐级查找确定出与非法端点直连的网络设备,并将确定出网络设备上连接该非法端点的接口阻断,从而实现了EPS服务器对非法端点的接入控制。
此外,由于EPS服务器可以依据设备连接表,确定出与非法端点直连的网络设备,并将与非法端点直连网络设备上连接该非法端点的接口阻断,所以EPS服务器仅会阻断非法端点接入的接口,而不会阻断合法设备接入的接口。
下面以接入设备为交换机为例,对本申请提供的非法端点的接入控制方法进行详细地说明。
参见图3,图3是本申请一示例性实施例示出的一种非法端点接入控制的示意图。
在图3中,EPS服务器与EPS扫描器相连,EPS服务器与网关301相连,EPS扫描器与网关301相连。
网关301通过Port_A1与交换机301上Port_B1直连,网关301通过Port_A2与交换机302上的Port_D1直连。
交换机301通过Port_B2与交换机303上的Port_C1直连,交换机301通过Port_B3与端点301直连。
交换机302通过Port_D2与端点302直连。
交换机303通过Port_C2与端点303直连。
假设端点301的IP地址为IP1,MAC地址为MAC1;
端点302的IP地址为IP2,MAC地址为MAC2;
端点303的IP地址为IP3,MAC地址为MAC3。
1、EPS服务器获取各网络设备的下行链路信息。
各网络设备(包括网关301、交换机301、交换机302和交换机303)可在接收到EPS服务器发送的上报请求后,向EPS服务器发送自身的下行链路信息。
当然,各网络设备也可周期性地向EPS服务器发送各自的下行链路信息。这里不进行具体地限定。
其中,网关设备301上报的下行链路信息如表301所示。
表301
交换机301上报的下行链路信息如表302所示。
| 网络设备标识 | 本地接口 | 邻居设备标识 | 邻居接口 |
| 交换机301 | Port_B2 | 交换机303 | Port_C1 |
表302
交换机302上报的下行链路信息如表303所示。
| 网络设备标识 | 本地接口 | 邻居设备标识 | 邻居接口 |
| 交换机302 | 无 | 无 | 无 |
表303
交换机303上报的下行链路信息如表304所示。
| 网络设备标识 | 本地接口 | 邻居设备标识 | 邻居接口 |
| 交换机303 | 无 | 无 | 无 |
表304
2、EPS服务器基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表。
EPS服务器可以基于网关301、交换机301、交换机302和交换机303上报的各自的下行链路信息,计算网关301、交换机301、交换机302和交换机303的连接关系,并生成表示这4个设备连接关系的设备连接表。生成的设备连接表如表305所示。
| 网络设备标识 | 链路状态 | 本地接口 | 邻居接口 | 邻居设备标识 |
| 网关301 | 是 | Port_A1 | Port_B1 | 交换机301 |
| 网关301 | 是 | Port_A2 | Port_D1 | 交换机301 |
| 交换机301 | 是 | Port_B2 | Port_C1 | 交换机303 |
| 交换机302 | 否 | 无 | 无 | 无 |
| 交换机303 | 否 | 无 | 无 | 无 |
表305
3、EPS服务器依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。
假设非法端点为端点301、端点302和端点303。
1)针对端点301
EPS服务器可以基于网关301上的表项信息(比如ARP表等)确定出端点301接入的网关为网关301。具体查找方式可参见步骤2031,这里不再赘述。
需要说明的是,在图3所示的组网下,网关301上的ARP表如表306所示。
| IP地址 | MAC地址 | 出接口 |
| IP1 | MAC1 | Port_A1 |
| IP2 | MAC2 | Port_A2 |
| IP3 | MAC3 | Port_A1 |
表306
这里只是对ARP表进行示例性地说明,在实际应用中,该ARP表项还可包括其他信息,比如VLAN标识等,这里不对ARP表项包含的内容进行具体地限定。
然后,EPS服务器可以访问网关301,在网关301记录的ARP表(即表306)中,查找与端点设备301的MAC地址(即MAC1)匹配的ARP表项(即表306中第二行),并获取该查找到的ARP表项的出接口(即Port_A1)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与网关301对应的设备连接表项(即表305中的第二行和第三行)。EPS服务器可以基于表305中的第二行和第三行中的“链路状态”确定网关301是否具有下行链路。
由于表305中的第二行和第三行的“链路状态”均为“是”,表明网关301具有下行链路。
EPS服务器可检测查找到的出接口Port_A1是否与第二行或者第三行记录的本地接口相同。
在本例中,由于出接口Port_A1与第二行记录的出接口(即Port_A1)相同,EPS服务器可获取第二行记录的“邻居设备”(即交换机301)。
需要说明的是,交换机301上的MAC表如表307所示。
| 目的MAC | 出接口 |
| MAC1 | Port_B3 |
| MAC3 | Port_B2 |
表307
EPS服务器可访问交换机301,在表307中查找目的地址为端点301的MAC地址(即MAC1)的MAC地址表项(即表307中的第二行),然后获取查找到的MAC地址表项的出接口(即Port_B3)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与交换机301对应的设备连接表项(即表305中的第四行)。EPS服务器可以基于表305中的第四行的“链路状态”确定交换机301是否具有下行链路。
由于表305中的第四行的“链路状态”为“是”,表明交换机301具有下行链路。
EPS服务器可进一步检测第四行“本地接口”是否与查找到的出接口(即Port_B3)相同。在本例中,由于EPS服务器确定第四行“本地接口”(即Port_B2)与查找到的出接口(Port_B3)不相同。所以,EPS服务器可以确定交换机301端点301直连,EPS服务器可阻断Port_B3。
2)针对端点302:
EPS服务器可以基于网关301上的表项信息(比如ARP表等)确定出端点302接入的网关为网关301。具体查找方式可参见步骤2031,这里不再赘述。
然后,EPS服务器可以访问网关301,在网关301记录的ARP表(即表306)中,查找与端点设备302的MAC(即MAC2)地址匹配的ARP表项(即表306中第三行),并获取该查找到的ARP表项的出接口(即Port_A2)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与网关301对应的设备连接表项(即表305中的第二行和第三行)。EPS服务器可以基于表305中的第二行和第三行中的“链路状态”确定网关301是否具有下行链路。
由于表305中的第二行和第三行的“链路状态”均为“是”,表明网关301具有下行链路。
EPS服务器可检测查找到的出接口Port_A2是否与第二行或者第三行记录的本地接口相同。
在本例中,由于出接口Port_A2与第三行记录的出接口(即Port_A2)相同,EPS服务器可获取第三行记录的“邻居设备”(即交换机302)。
需要说明的是,交换机302上的MAC表如表308所示。
| 目的MAC | 出接口 |
| MAC2 | Port_D2 |
表308
EPS服务器可访问交换机302,在表308中查找目的地址为端点302的MAC(即MAC2)地址的MAC地址表项(即表308中的第二行),然后获取查找到的MAC地址表项的出接口(即Port_D2)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与交换机302对应的设备连接表项(即表305中的第五行)。EPS服务器可以基于表305中的第五行的“链路状态”确定交换机301是否具有下行链路。
由于表305中的第五行的“链路状态”均为“否”,表明交换机302没有下行链路,EPS服务器可确定交换机302与非法端点302直连,此时EPS服务器口将查找到的出接口Port_D2阻断掉。
3)针对端点303
EPS服务器可以基于网关301上的表项信息(比如ARP表等)确定出端点303接入的网关为网关301。具体查找方式可参见步骤2031,这里不再赘述。
然后,EPS服务器可以访问网关301,在网关301记录的ARP表(即表306)中,查找与端点设备303的MAC(即MAC3)地址匹配的ARP表项(即表306中第四行),并获取该查找到的ARP表项的出接口(即Port_A1)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与网关301对应的设备连接表项(即表305中的第二行和第三行)。EPS服务器可以基于表305中的第二行和第三行中的“链路状态”确定网关301是否具有下行链路。
由于表305中的第二行和第三行的“链路状态”均为“是”,表明网关301具有下行链路。
EPS服务器可检测查找到的出接口Port_A1是否与第二行或者第三行记录的本地接口相同。
在本例中,由于出接口Port_A1与第二行记录的出接口(即Port_A1)相同,EPS服务器可获取第二行记录的“邻居设备”(即交换机301)。
EPS服务器可访问交换机301,在表307中查找目的地址为端点303的MAC地址(即MAC3)的MAC地址表项(即表307中的第三行),然后获取查找到的MAC地址表项的出接口(即Port_B2)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与交换机301对应的设备连接表项(即表305中的第四行)。EPS服务器可以基于表305中的第四行的“链路状态”确定交换机301是否具有下行链路。
由于表305中的第四行的“链路状态”均为“是”,表明交换机301具有下行链路。
EPS服务器可进一步检测第四行“本地接口”是否与查找到的出接口(即Port_B2)相同。在本例中,由于EPS服务器确定第四行“本地接口”(即Port_B2)与查找到的出接口(Port_B2)相同。所以,EPS服务器可以获取第四行记录的“邻居设备”(即交换机303)。
需要说明的是,交换机303上的MAC表如表309所示。
| 目的MAC | 出接口 |
| MAC3 | Port_C2 |
表309
EPS服务器可访问交换机303,在表309中查找目的地址为端点303的MAC(即MAC3)地址的MAC地址表项(即表309中的第二行),然后获取查找到的MAC地址表项的出接口(即Port_C2)。
然后,EPS服务器可以在表305所示的设备连接表中,查找与交换机303对应的设备连接表项(即表305中的第六行)。EPS服务器可以基于表305中的第六行的“链路状态”确定交换机303是否具有下行链路。
由于表305中的第六行的“链路状态”均为“否”,表明交换机303没有下行链路,EPS服务器可确定交换机303与非法端点303直连,此时EPS服务器口将查找到的出接口Port_C2阻断掉。
参见图4,图4是本申请一示例性实施例示出的一种EPS服务器的硬件结构图。
该EPS服务器包括:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402和机器可读存储介质403通过总线404完成相互间的通信。处理器402通过读取并执行机器可读存储介质403中与非法端点接入控制的控制逻辑对应的机器可执行指令,可执行上文描述的非法端点的接入控制方法。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图5,图5是本申请一示例性实施例示出的一种非法端点的接入控制装置的框图。图5所示的装置可应用在图4所示的EPS服务器上,可包括如下所示单元。
获取单元501,用于获取所述EPS系统中各网络设备的下行链路信息;
构造单元502,用于基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;
确定单元503,用于依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。
可选的,所述网络设备的下行链路信息包括:网络设备标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;
所述设备连接表包括:与各网络设备对应的设备连接表项;
设备连接表项包括:与该设备连接表项对应的网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。
可选的,所述确定单元503,具体用于确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。
可选的,所述确定单元503,还具体用于若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。
可选的,所述确定单元503,在阻断所述网络设备上连接所述非法端点的接口时,具体用于阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种非法端点的接入控制方法,其特征在于,所述方法应用于端点探测系统EPS系统中的EPS服务器,所述方法包括:
获取所述EPS系统中各网络设备的下行链路信息;
基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;
依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口;
所述设备连接表包括:与各网络设备对应的设备连接表项;
设备连接表项包括:网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口;
所述依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,包括:
确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;
在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;
在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;
若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;
若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。
2.根据权利要求1所述的方法,其特征在于,所述网络设备的下行链路信息包括:网络设备的标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;
若该网络设备存在下行链路,则该设备连接表项还包括:该下行链路在该邻居设备上的邻居接口。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。
4.根据权利要求1所述的方法,其特征在于,所述阻断所述网络设备上连接所述非法端点的接口,包括:
阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。
5.一种非法端点的接入控制装置,其特征在于,所述装置应用于端点探测系统EPS系统中的EPS服务器,所述装置包括:
获取单元,用于获取所述EPS系统中各网络设备的下行链路信息;
构造单元,用于基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;
确定单元,用于依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口;
所述设备连接表包括:与各网络设备对应的设备连接表项;
设备连接表项包括:网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口;
所述确定单元,具体用于确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。
6.根据权利要求5所述的装置,其特征在于,所述网络设备的下行链路信息包括:网络设备标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;
若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。
7.根据权利要求5所述的装置,其特征在于,所述确定单元,还具体用于若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。
8.根据权利要求5所述的装置,其特征在于,所述确定单元,在阻断所述网络设备上连接所述非法端点的接口时,具体用于阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910435854.5A CN110365635B (zh) | 2019-05-23 | 2019-05-23 | 一种非法端点的接入控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910435854.5A CN110365635B (zh) | 2019-05-23 | 2019-05-23 | 一种非法端点的接入控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110365635A CN110365635A (zh) | 2019-10-22 |
| CN110365635B true CN110365635B (zh) | 2022-04-26 |
Family
ID=68215607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910435854.5A Active CN110365635B (zh) | 2019-05-23 | 2019-05-23 | 一种非法端点的接入控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110365635B (zh) |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4558139B2 (ja) * | 2000-05-02 | 2010-10-06 | 株式会社バッファロー | ネットワーク管理装置 |
| JP4221919B2 (ja) * | 2001-07-18 | 2009-02-12 | 富士通株式会社 | Lan構成装置の設置場所の特定方法および検索装置 |
| JP4256834B2 (ja) * | 2004-11-16 | 2009-04-22 | 株式会社日立製作所 | 不正機器の接続位置特定装置および接続位置特定方法 |
| CN102118271B (zh) * | 2011-03-29 | 2013-03-27 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102497362B (zh) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
| US9197632B2 (en) * | 2013-03-15 | 2015-11-24 | Kaarya Llc | System and method for account access |
| CN104092576B (zh) * | 2014-07-30 | 2018-04-27 | 浙江宇视科技有限公司 | 一种网络拓扑计算方法和装置 |
| CN108206792B (zh) * | 2016-12-16 | 2020-10-23 | 北京神州泰岳软件股份有限公司 | 交换机的拓扑结构发现方法及装置 |
| CN108306748B (zh) * | 2017-01-12 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 网络故障定位方法、装置及交互装置 |
| CN107888563B (zh) * | 2017-10-17 | 2020-07-14 | 北京北信源软件股份有限公司 | 一种终端接入位置的确定方法与装置 |
-
2019
- 2019-05-23 CN CN201910435854.5A patent/CN110365635B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110365635A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106412142B (zh) | 一种资源设备地址获取方法及装置 | |
| US10469532B2 (en) | Preventing DNS cache poisoning | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| US7496052B2 (en) | Automatic VLAN ID discovery for ethernet ports | |
| CN110505621B (zh) | 一种终端迁移的处理方法及装置 | |
| US20080126540A1 (en) | Hierarchical cable modem clone detection | |
| CN108259347B (zh) | 一种报文传输方法和装置 | |
| US20120144483A1 (en) | Method and apparatus for preventing network attack | |
| Padmanabhan et al. | DynamIPs: Analyzing address assignment practices in IPv4 and IPv6 | |
| CN106982234A (zh) | 一种arp攻击防御方法及装置 | |
| CN110493366B (zh) | 一种接入点加入网络管理的方法及装置 | |
| US20180124074A1 (en) | Probe counter state for neighbor discovery | |
| CN109561111A (zh) | 一种攻击源的确定方法及装置 | |
| CN107147581B (zh) | 路由表项的维护方法和装置 | |
| CN101808097A (zh) | 一种防arp攻击方法和设备 | |
| CN110365635B (zh) | 一种非法端点的接入控制方法和装置 | |
| CN109617920B (zh) | 一种报文处理方法、装置、路由器及防火墙设备 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| JP2009118138A (ja) | 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム | |
| CN104994186A (zh) | 媒体访问控制地址的查询方法、处理器及装置 | |
| US10623421B2 (en) | Detecting IP address theft in data center networks | |
| CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
| US7995595B1 (en) | Method for efficiently detecting node addresses | |
| US11546235B2 (en) | Action based on advertisement indicator in network packet | |
| US20200328942A1 (en) | Advanced Device Matching System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230612 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |