一种保护交换链路安全的方法及网络交换机.pdf

摘要
申请专利号：	CN201110260063.7	申请日：	2011.09.05
公开号：	CN102316032A	公开日：	2012.01.11
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 12/56申请日:20110905\|\|\|公开
IPC分类号：	H04L12/56; H04L12/26	主分类号：	H04L12/56
申请人：	中兴通讯股份有限公司
发明人：	徐鹍
地址：	518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部
优先权：
专利代理机构：	北京派特恩知识产权代理事务所(普通合伙) 11270	代理人：	张颖玲;王黎延
PDF下载：	PDF下载

内容摘要

本发明公开了一种保护交换链路安全的方法，包括：网络交换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性的发出检测报文；该网络交换机在进入解调模式后，当确认未收到正确检测报文的时长超过断路门限时，切断当前与相邻的处于调制模式的网络交换机的链路。本发明还同时公开了一种网络交换机，采用本发明能检测并避开恶意中间设备，进而保证交换链路的安全性。

权利要求书

1：一种保护交换链路安全的方法，其特征在于，该方法包括：网络交换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性发出检测报文；所述网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后，确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限时，切断与所述相邻处于调制模式的网络交换机的链路。2：根据权利要求 1 所述的方法，其特征在于，所述发出检测报文之前，该方法还包括：网络交换机先根据预设的格式产生报文，再根据调制规则对报文进行调制后，得到最终的检测报文。3：根据权利要求 2 所述的方法，其特征在于，所述预设的格式为：报文的目的介质访问控制 MAC 地址设定为 010203040506，以太网类型设定为 0xFFEE，源 MAC 地址为本网络交换机的 MAC 地址，报文数据字段的标识设定为 0x12345678，报文数据字段的其他字节不限定，循环冗余校验码 CRC 根据报文计算得出，报文的长度为 64 个字节。4：根据权利要求 2 所述的方法，其特征在于，所述调制规则为： CRC 取反，源 MAC 地址第一字节的最后一位设为 1，从报文数据字段的后端删减指定数量的报文数据字段的其他字节。5：根据权利要求 1 所述的方法，其特征在于，所述确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限之前，该方法还包括：网络交换机先根据解调规则还原报文，再利用预设的条件判断还原的报文是否为正确的检测报文。6：根据权利要求 5 所述的方法，其特征在于，所述解调规则为：报文的源 MAC 地址第一字节的最后一位设为 0，对 CRC 取反，将报文补充为 64 字节。7：根据权利要求 5 所述的方法，其特征在于，所述预设的条件包括：报文的目的 MAC 地址为 010203040506，以太网类型为 0xFFEE，计算报文的 CRC 与报文中的 CRC 一致。8：一种网络交换机，其特征在于，该网络交换机包括：控制管理模块、调制解调模块和连接收发模块；其中，控制管理模块，用于在进入调制模式后，通知调制解调模块发送检测报文，还用于在进入解调模式后，确认未收到正确检测报文的时长超过断路门限时，向连接收发模块发出切断当前链路的指令；调制解调模块，用于接收控制模块发来的发送检测报文的通知，将检测报文周期性发送给连接收发模块；连接收发模块，用于接收控制管理模块发来的检测报文，向相邻的处于解调模式的网络交换机发送检测报文，还用于接收控制管理模块发来的切断当前链路的指令，切断当前与相邻的处于调制模式的网络交换机的链路。9：根据权利要求 8 所述的网络交换机，其特征在于，所述控制管理模块，具体用于进入调制模式后，根据预设的格式产生报文，再将产生的报文发送给调制解调模块；相应的，所述调制解调模块，具体用于接收到控制管理模块发来的报文，根据调制规则对报文进行调制得到最终的检测报文。10：根据权利要求 9 所述的网络交换机，其特征在于，所述控制管理模块，具体用于根据预设的格式将报文的目的 MAC 地址设定为 2 010203040506，以太网类型设定为 0xFFEE，源 MAC 地址为本网络交换机的 MAC 地址，报文数据字段的标识设定为 0x12345678，报文数据字段的其他字节不限定， CRC 根据报文计算得出，报文的长度为 64 个字节。11：根据权利要求 9 所述的网络交换机，其特征在于，所述调制解调模块，具体用于根据调制规则对报文 CRC 取反，将报文的源 MAC 地址第一字节的最后一位设为 1，且从报文数据字段的后端删减指定数量的报文数据字段的其他字节，最终得到检测报文。12：根据权利要求 8 所述的网络交换机，其特征在于，所述调制解调模块，具体用于进入解调模式后，根据解调规则对网络信息中的报文进行还原，再将还原的报文发送给控制管理模块；相应的，所述控制管理模块，具体用于接收调制解调模块发来的还原的报文，利用预设的条件判断还原的报文是否为正确的检测报文。13：根据权利要求 12 所述的网络交换机，其特征在于，所述调制解调模块，具体用于按照解调规则将报文的源 MAC 地址第一字节的最后一位设为 0，对 CRC 取反，将报文补充为 64 字节。14：根据权利要求 12 所述的网络交换机，其特征在于，所述控制管理模块，具体用于保存预设的条件：报文的目的 MAC 地址为 010203040506，以太网类型为 0xFFEE，且计算报文的 CRC 与报文中的 CRC 一致。

说明书

一种保护交换链路安全的方法及网络交换机
    【技术领域】
     本发明涉及网络交换技术，尤其涉及一种保护交换链路安全的方法及网络交换机。背景技术
     随着网络的普及，网络交换技术也随之迅速发展。高端网络交换机为网络的核心设备，运营商利用网络交换机，可以为特定客户提供个性化服务，比如，银行对数据交换的安全性要求很高，运营商就需要为银行的客户提供高安全性的服务。网络交换机提供安全性的服务时，非常重要的一点是要防止网络交换机之间插入恶意获取数据的设备，一旦网络交换机之间插入获取数据的恶意中间设备，就会导致银行客户的重要信息泄露，从而威胁到交换链路的安全性。
     可见，现有的网络交换机，还不能检测并避开恶意中间设备，进而不能满足保证交换链路安全性的要求。发明内容有鉴于此，本发明的目的在于提供一种保护交换链路安全的方法及网络交换机，能检测并避开恶意中间设备，进而保证交换链路的安全性。
     为达到上述目的，本发明的技术方案是这样实现的：
     本发明提供了一种保护交换链路安全的方法，该方法包括：
     网络交换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性发出检测报文；所述网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后，确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限时，切断与所述相邻处于调制模式的网络交换机的链路。
     上述方案中，所述发出检测报文之前，该方法还包括：网络交换机先根据预设的格式产生报文，再根据调制规则对报文进行调制后，得到最终的检测报文。
     上述方案中，所述预设的格式为：报文的目的介质访问控制 (MAC， Media Access Control) 地址设定为 010203040506，以太网类型设定为 0xFFEE，源 MAC 地址为本网络交换机的 MAC 地址，报文数据字段的标识设定为 0x12345678，报文数据字段的其他字节不限定，循环冗余校验码 (CRC， Cyclic Redundancy Check) 根据报文计算得出，报文的长度为 64 个字节。
     上述方案中，所述调制规则为： CRC 取反，源 MAC 地址第一字节的最后一位设为 1，从报文数据字段的后端删减指定数量的报文数据字段的其他字节。
     上述方案中，所述确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限之前，该方法还包括：网络交换机先根据解调规则还原报文，再利用预设的条件判断还原的报文是否为正确的检测报文。
     上述方案中，所述解调规则为：报文的源 MAC 地址第一字节的最后一位设为 0，对
     CRC 取反，将报文补充为 64 字节。
     上述方案中，所述预设的条件包括：报文的目的 MAC 地址为 010203040506，以太网类型为 0xFFEE，计算报文的 CRC 与报文中的 CRC 一致。
     本发明还提供了一种网络交换机，该网络交换机包括：控制管理模块、调制解调模块和连接收发模块；其中，
     控制管理模块，用于在进入调制模式后，通知调制解调模块发送检测报文，还用于在进入解调模式后，确认未收到正确检测报文的时长超过断路门限时，向连接收发模块发出切断当前链路的指令；
     调制解调模块，用于接收控制模块发来的发送检测报文的通知，将检测报文周期性发送给连接收发模块；
     连接收发模块，用于接收控制管理模块发来的检测报文，向相邻的处于解调模式的网络交换机发送检测报文，还用于接收控制管理模块发来的切断当前链路的指令，切断当前与相邻的处于调制模式的网络交换机的链路。
     上述方案中，所述控制管理模块，具体用于进入调制模式后，根据预设的格式产生报文，再将产生的报文发送给调制解调模块；
     相应的，所述调制解调模块，具体用于接收到控制管理模块发来的报文，根据调制规则对报文进行调制得到最终的检测报文。
     上述方案中，所述控制管理模块，具体用于根据预设的格式将报文的目的 MAC 地址设定为 010203040506，以太网类型设定为 0xFFEE，源 MAC 地址为本网络交换机的 MAC 地址，报文数据字段的标识设定为 0x12345678，报文数据字段的其他字节不限定， CRC 根据报文计算得出，报文的长度为 64 个字节。
     上述方案中，所述调制解调模块，具体用于根据调制规则对报文 CRC 取反，将报文的源 MAC 地址第一字节的最后一位设为 1，且从报文数据字段的后端删减指定数量的报文数据字段的其他字节，最终得到检测报文。
     上述方案中，所述调制解调模块，具体用于进入解调模式后，根据解调规则对网络信息中的报文进行还原，再将还原的报文发送给控制管理模块；
     相应的，所述控制管理模块，具体用于接收调制解调模块发来的还原的报文，利用预设的条件判断还原的报文是否为正确的检测报文。
     上述方案中，所述调制解调模块，具体用于按照解调规则将报文的源 MAC 地址第一字节的最后一位设为 0，对 CRC 取反，将报文补充为 64 字节。
     上述方案中，所述控制管理模块，具体用于保存预设的条件：报文的目的 MAC 地址为 010203040506，以太网类型为 0xFFEE，且计算报文的 CRC 与报文中的 CRC 一致。
     本发明所提供的保护交换链路安全的方法及网络交换机，具有以下的优点和特点：在相邻的两台网络交换机中，分别预设调制规则及解调规则，产生只有这两台网络交换机才能够调制及解调的检测报文，根据未收到正确检测报文的时长来判断是否有恶意中间设备的接入，一旦发现有恶意中间设备接入交换链路，就切断原有链路使用保护链路，如此，即可检测并避开恶意中间设备，进而保证交换链路的安全性。附图说明图 1 为本发明保护交换链路安全的方法流程示意图；图 2 为本发明实现保护交换链路安全的网络交换机的组成结构示意图。具体实施方式
     本发明的基本思想是：网络交换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性的发出检测报文；该网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后，确认未收到相邻网络交换机发来的正确检测报文的时长超过断路门限时，切断与相邻处于调制模式的网络交换机的链路。
     这里，所述断路门限为网络交换机根据实际应用情况预设的时长，比如可以将断路门限设为 3 秒。
     下面结合附图及具体实施例对本发明再作进一步详细的说明。
     本发明提出的保护交换链路安全的方法如图 1 所示，包括以下步骤：
     步骤 101 ：网络交换机判断自身进入调制模式还是解调模式，如果进入调制模式，则执行步骤 102 ；如果进入解调模式，则执行步骤 104。
     步骤 101 之前，网络交换机需要开启链路保护功能。步骤 101 中的网络交换机，针对不同的相邻网络交换机也可以同时进入调制模式和解调模式，这种情况下，网络交换机同时执行步骤 102 和步骤 104。
     步骤 102 ：网络交换机产生检测报文。
     这里，所述产生检测报文为：先根据预设的格式产生报文，再根据调制规则对报文进行调制后，得到最终的检测报文；
     其中，所述预设的格式包括：报文的 MAC 地址设定为 010203040506，以太网类型设定为 0xFFEE，源 MAC 地址为本网络交换机的 MAC 地址，报文数据字段的标识设定为 0x12345678，报文数据字段的其他字节不限定， CRC 根据报文计算得出，报文的长度为 64 个字节；所述报文数据字段的标识为报文数据字段的前四个字节；所述报文数据字段的其他字节，具体内容由操作人员来设定，处于调制模式的网络交换机、和与其相配的处于解调模式的网络交换机中的报文数据字段的其他字节内容预置为一致；
     所述调制规则为：对 CRC 取反，源 MAC 地址第一字节的最后一位设为 1，从报文数据字段的后端删减指定数量的报文数据字段的其他字节；
     所述删减指定数量的报文数据字段的其他字节，具体为根据实际情况进行设置，比如：可以删除报文数据字段的最后 8 个字节，将最终生成的报文修改为长度为 56 个字节的检测报文。
     步骤 103 ：网络交换机周期性给相邻网络交换机发送检测报文，结束操作。
     这里，所述周期性指预置的一个时长，比如，可以将周期预置为 1 秒，该时长可根据需要任意设置。
     步骤 104 ：网络交换机实时接收网络信息，判断网络信息中是否有正确的检测报文，如果有正确的检测报文，则重复执行步骤 104 ；否则执行步骤 105。
     这里，所述判断网络信息中是否有正确的检测报文为：先根据解调规则还原报文，再利用预设的条件判断还原的报文是否为正确的检测报文；
     所述解调规则包括：报文的源 MAC 地址第一字节的最后一位设为 0，对 CRC 取反，
     将报文补充为 64 字节；其中，所述将报文补充为 64 字节为：根据预置的报文数据字段的其他字节的内容，将接收到的报文数据字段所缺少的字节在数据字段的后端进行补充，比如，接收到的报文为 56 字节，就从预置的保温数据字段的其他字节的内容中提取后 8 个字节，补充到实际接收到的报文数据字段的末端；
     所述预设的条件包括：报文的目的 MAC 地址为 010203040506，以太网类型为 0xFFEE，计算报文的 CRC 与报文中的 CRC 一致。
     步骤 105 ：网络交换机判断未收到正确检测报文的时长是否超过断路门限，如果超过，则切断与相邻网络交换机的链路，将链路调整到保护链路上；否则返回执行步骤 104。
     这里，所述判断未收到正确检测报文的时长指：网络交换机在每次接收到正确的检测报文后开启计时器，再次接收到正确的检测报文后重置计时器，通过判断计时器的计时时长来进行是否断路的判断；所述保护链路指：在网络交换机接入网络时，利用已有技术获取并保存的一条备用链路的路径信息记录。
     可见，通过以上步骤，可以实现在任意相邻的两台网络交换机中，分别预设调制规则及解调规则，产生只有这两台网络交换机才可以解调的检测报文，利用检测报文来检测是否有恶意中间设备，如果有则立即开启保护链路。另外，在上述步骤 103 的操作过程中，会根据实际情况关闭网络交换机的调制模式，如果操作人员关闭调制模式，则网络交换机返回步骤 101，否则重复执行步骤 103 ；
     步骤 104 的操作过程中，会根据实际情况关闭网络交换机的解调模式，如果操作人员关闭解调模式，则网络交换机返回步骤 101，否则重复执行步骤 104。
     上述步骤中，如果步骤 104 中网络交换机切换到保护链路，则说明与相邻网络交换机的链路上存在恶意中间设备截获了报文，由网络维护人员进行排查后将恶意中间设备从网络交换机所在链路断开，则原调制模式中的网络交换机与其相邻的解调模式中的网络交换机的链路恢复连接状态，所以在步骤 104 完成后，网络交换机仍然实时判断接收的网络信息中是否有正确的检测报文，一旦有，则返回步骤 104，否则继续使用保护链路进行信息传输。
     为了实现上述保护交换链路安全的方法，如图 2 所示，本发明还提供了一种网络交换机，包括：控制管理模块 21、调制解调模块 22 和连接收发模块 23 ；其中，
     控制管理模块 21，用于在进入调制模式后，通知调制解调模块 22 发送检测报文，还用于在进入解调模式后，当确认未收到正确检测报文的时长超过断路门限时，向连接收发模块 23 发出切断当前链路的指令；
     调制解调模块 22，用于接收控制模块发来的发送检测报文的通知，将检测报文发送给连接收发模块 23 ；
     连接收发模块 23，用于接收控制管理模块 21 发来的检测报文，向相邻的处于解调模式的网络交换机周期性的发送检测报文，还用于接收控制管理模块 21 发来的切断当前链路的指令，切断当前与相邻的处于调制模式的网络交换机的链路。
     所述控制管理模块 21，还用于在开启链路保护功能后，判断进入调制模式还是解调模式，当进入调制模式后，通知调制解调模块 22 进入调制模式，当进入解调模式后，通知调制解调模块 22 进入解调模式；相应的，所述调制解调模块 22，还用于接收控制管理模块
     21 发来的进入调制模式的通知或进入解调模式的通知。
     所述控制管理模块 21，具体用于进入调制模式后，根据预设的格式产生报文，再将产生的报文发送给调制解调模块 22 ；相应的，所述调制解调模块 22，具体用于接收到控制管理模块 21 发来的报文，根据调制规则对报文进行调制得到最终的检测报文。
     所述控制管理模块 21，具体用于根据预设的格式将报文的目的 MAC 地址设定为 010203040506，以太网类型设定为 0xFFEE，源 MAC 地址为本网络交换机的 MAC 地址，报文数据字段的标识设定为 0x12345678，报文数据字段的其他字节不限定， CRC 根据报文计算得出，报文的长度为 64 个字节。
     所述调制解调模块 22，具体用于根据调制规则对报文 CRC 取反，将报文的源 MAC 地址第一字节的最后一位设为 1，且从报文数据字段的后端删减指定数量的报文数据字段的其他字节，最终得到检测报文。
     所述调制解调模块 22，具体用于进入解调模式后，接收连接收发模块 23 发来的网络信息，根据解调规则对网络信息中的报文进行还原，再将还原的报文发送给控制管理模块 21 ；相应的，所述控制管理模块 21，具体用于接收调制解调模块 22 发来的还原的报文，利用预设的条件判断还原的报文是否为正确的检测报文；所述连接收发模块 23，具体用于将网络信息发送给调制解调模块 22。所述调制解调模块 22，具体用于按照解调规则将报文的源 MAC 地址第一字节的最后一位设为 0，对 CRC 取反，将报文补充为 64 字节。
     所述控制管理模块 21，具体用于判断还原的报文是否符合预设的条件定义的报文的目的 MAC 地址为 010203040506，以太网类型为 0xFFEE，且计算报文的 CRC 与报文中的 CRC 一致，如果符合这三个条件则说明还原的报文为正确的检测报文，否则为不正确的检测报文。
     所述控制管理模块 21，具体用于在每次接收到正确的检测报文后开启计时器，再次接收到正确的检测报文后重置计时器，通过判断计时器的及时时长来判断未收到正确检测报文的时长是否超过断路门限，如果超过，则向连接收发模块 23 发出切断当前链路的指令并通知连接收发模块 23 将连接链路调整到保护链路，否则继续判断网络信息中是否有正确的检测报文；相应的，所述连接收发模块 23，具体用于接收控制管理模块 21 发来的切断当前链路的指令和将连接链路调整到保护链路通知后，切断当前与相邻的处于调制模式的网络交换机的链路，并将链路调整到保护链路。
     所述控制管理模块 21，可以根据设置从调制模式进入解调模式，或从解调模式进入调制模块，也可以同时进入调制模式及解调模式。
     以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

资源描述

《一种保护交换链路安全的方法及网络交换机.pdf》由会员分享，可在线阅读，更多相关《一种保护交换链路安全的方法及网络交换机.pdf（9页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102316032 A (43)申请公布日 2012.01.11 C N 1 0 2 3 1 6 0 3 2 A *CN102316032A* (21)申请号 201110260063.7 (22)申请日 2011.09.05 H04L 12/56(2006.01) H04L 12/26(2006.01) (71)申请人中兴通讯股份有限公司地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部 (72)发明人徐鹍 (74)专利代理机构北京派特恩知识产权代理事务所(普通合伙) 11270 代理人张颖玲王黎延 (54) 发明名称一种保护交。

2、换链路安全的方法及网络交换机 (57) 摘要本发明公开了一种保护交换链路安全的方法，包括：网络交换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性的发出检测报文；该网络交换机在进入解调模式后，当确认未收到正确检测报文的时长超过断路门限时，切断当前与相邻的处于调制模式的网络交换机的链路。本发明还同时公开了一种网络交换机，采用本发明能检测并避开恶意中间设备，进而保证交换链路的安全性。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 5 页附图 1 页 CN 102316037 A 1/2页 2 1.一种保护。

3、交换链路安全的方法，其特征在于，该方法包括：网络交换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性发出检测报文；所述网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后，确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限时，切断与所述相邻处于调制模式的网络交换机的链路。 2.根据权利要求1所述的方法，其特征在于，所述发出检测报文之前，该方法还包括：网络交换机先根据预设的格式产生报文，再根据调制规则对报文进行调制后，得到最终的检测报文。 3.根据权利要求2所述的方法，其特征在于，所述预设的格式为：报文的目的介质访问控制MAC地址设定为01020304。

4、0506，以太网类型设定为0xFFEE，源MAC地址为本网络交换机的MAC地址，报文数据字段的标识设定为0x12345678，报文数据字段的其他字节不限定，循环冗余校验码CRC根据报文计算得出，报文的长度为64个字节。 4.根据权利要求2所述的方法，其特征在于，所述调制规则为：CRC取反，源MAC地址第一字节的最后一位设为1，从报文数据字段的后端删减指定数量的报文数据字段的其他字节。 5.根据权利要求1所述的方法，其特征在于，所述确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限之前，该方法还包括：网络交换机先根据解调规则还原报文，再利用预设的条件判断还原的报文是否为。

5、正确的检测报文。 6.根据权利要求5所述的方法，其特征在于，所述解调规则为：报文的源MAC地址第一字节的最后一位设为0，对CRC取反，将报文补充为64字节。 7.根据权利要求5所述的方法，其特征在于，所述预设的条件包括：报文的目的MAC地址为010203040506，以太网类型为0xFFEE，计算报文的CRC与报文中的CRC一致。 8.一种网络交换机，其特征在于，该网络交换机包括：控制管理模块、调制解调模块和连接收发模块；其中，控制管理模块，用于在进入调制模式后，通知调制解调模块发送检测报文，还用于在进入解调模式后，确认未收到正确检测报文的时长超过断路门限时，向连接收发模块发出切断。

6、当前链路的指令；调制解调模块，用于接收控制模块发来的发送检测报文的通知，将检测报文周期性发送给连接收发模块；连接收发模块，用于接收控制管理模块发来的检测报文，向相邻的处于解调模式的网络交换机发送检测报文，还用于接收控制管理模块发来的切断当前链路的指令，切断当前与相邻的处于调制模式的网络交换机的链路。 9.根据权利要求8所述的网络交换机，其特征在于，所述控制管理模块，具体用于进入调制模式后，根据预设的格式产生报文，再将产生的报文发送给调制解调模块；相应的，所述调制解调模块，具体用于接收到控制管理模块发来的报文，根据调制规则对报文进行调制得到最终的检测报文。 10.根据权利要求9。

7、所述的网络交换机，其特征在于，所述控制管理模块，具体用于根据预设的格式将报文的目的MAC地址设定为权利要求书CN 102316032 A CN 102316037 A 2/2页 3 010203040506，以太网类型设定为0xFFEE，源MAC地址为本网络交换机的MAC地址，报文数据字段的标识设定为0x12345678，报文数据字段的其他字节不限定，CRC根据报文计算得出，报文的长度为64个字节。 11.根据权利要求9所述的网络交换机，其特征在于，所述调制解调模块，具体用于根据调制规则对报文CRC取反，将报文的源MAC地址第一字节的最后一位设为1，且从报文数据字段的后端删。

8、减指定数量的报文数据字段的其他字节，最终得到检测报文。 12.根据权利要求8所述的网络交换机，其特征在于，所述调制解调模块，具体用于进入解调模式后，根据解调规则对网络信息中的报文进行还原，再将还原的报文发送给控制管理模块；相应的，所述控制管理模块，具体用于接收调制解调模块发来的还原的报文，利用预设的条件判断还原的报文是否为正确的检测报文。 13.根据权利要求12所述的网络交换机，其特征在于，所述调制解调模块，具体用于按照解调规则将报文的源MAC地址第一字节的最后一位设为0，对CRC取反，将报文补充为64字节。 14.根据权利要求12所述的网络交换机，其特征在于，所述控制管理模块。

9、，具体用于保存预设的条件：报文的目的MAC地址为010203040506，以太网类型为0xFFEE，且计算报文的CRC与报文中的CRC一致。权利要求书CN 102316032 A CN 102316037 A 1/5页 4 一种保护交换链路安全的方法及网络交换机技术领域 0001 本发明涉及网络交换技术，尤其涉及一种保护交换链路安全的方法及网络交换机。背景技术 0002 随着网络的普及，网络交换技术也随之迅速发展。高端网络交换机为网络的核心设备，运营商利用网络交换机，可以为特定客户提供个性化服务，比如，银行对数据交换的安全性要求很高，运营商就需要为银行的客户提供高安全性的。

10、服务。网络交换机提供安全性的服务时，非常重要的一点是要防止网络交换机之间插入恶意获取数据的设备，一旦网络交换机之间插入获取数据的恶意中间设备，就会导致银行客户的重要信息泄露，从而威胁到交换链路的安全性。 0003 可见，现有的网络交换机，还不能检测并避开恶意中间设备，进而不能满足保证交换链路安全性的要求。发明内容 0004 有鉴于此，本发明的目的在于提供一种保护交换链路安全的方法及网络交换机，能检测并避开恶意中间设备，进而保证交换链路的安全性。 0005 为达到上述目的，本发明的技术方案是这样实现的： 0006 本发明提供了一种保护交换链路安全的方法，该方法包括： 0007 网络交。

11、换机在进入调制模式后，向相邻处于解调模式的网络交换机周期性发出检测报文；所述网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后，确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限时，切断与所述相邻处于调制模式的网络交换机的链路。 0008 上述方案中，所述发出检测报文之前，该方法还包括：网络交换机先根据预设的格式产生报文，再根据调制规则对报文进行调制后，得到最终的检测报文。 0009 上述方案中，所述预设的格式为：报文的目的介质访问控制(MAC，Media Access Control)地址设定为010203040506，以太网类型设定为0xFFEE，源MAC地。

12、址为本网络交换机的MAC地址，报文数据字段的标识设定为0x12345678，报文数据字段的其他字节不限定，循环冗余校验码(CRC，Cyclic Redundancy Check)根据报文计算得出，报文的长度为64个字节。 0010 上述方案中，所述调制规则为：CRC取反，源MAC地址第一字节的最后一位设为1，从报文数据字段的后端删减指定数量的报文数据字段的其他字节。 0011 上述方案中，所述确认未收到所述相邻网络交换机发来的正确检测报文的时长超过断路门限之前，该方法还包括：网络交换机先根据解调规则还原报文，再利用预设的条件判断还原的报文是否为正确的检测报文。 0012 上述方案中。

13、，所述解调规则为：报文的源MAC地址第一字节的最后一位设为0，对说明书CN 102316032 A CN 102316037 A 2/5页 5 CRC取反，将报文补充为64字节。 0013 上述方案中，所述预设的条件包括：报文的目的MAC地址为010203040506，以太网类型为0xFFEE，计算报文的CRC与报文中的CRC一致。 0014 本发明还提供了一种网络交换机，该网络交换机包括：控制管理模块、调制解调模块和连接收发模块；其中， 0015 控制管理模块，用于在进入调制模式后，通知调制解调模块发送检测报文，还用于在进入解调模式后，确认未收到正确检测报文的时长超过断路门限时，。

14、向连接收发模块发出切断当前链路的指令； 0016 调制解调模块，用于接收控制模块发来的发送检测报文的通知，将检测报文周期性发送给连接收发模块； 0017 连接收发模块，用于接收控制管理模块发来的检测报文，向相邻的处于解调模式的网络交换机发送检测报文，还用于接收控制管理模块发来的切断当前链路的指令，切断当前与相邻的处于调制模式的网络交换机的链路。 0018 上述方案中，所述控制管理模块，具体用于进入调制模式后，根据预设的格式产生报文，再将产生的报文发送给调制解调模块； 0019 相应的，所述调制解调模块，具体用于接收到控制管理模块发来的报文，根据调制规则对报文进行调制得到最终的检测报。

15、文。 0020 上述方案中，所述控制管理模块，具体用于根据预设的格式将报文的目的MAC地址设定为010203040506，以太网类型设定为0xFFEE，源MAC地址为本网络交换机的MAC地址，报文数据字段的标识设定为0x12345678，报文数据字段的其他字节不限定，CRC根据报文计算得出，报文的长度为64个字节。 0021 上述方案中，所述调制解调模块，具体用于根据调制规则对报文CRC取反，将报文的源MAC地址第一字节的最后一位设为1，且从报文数据字段的后端删减指定数量的报文数据字段的其他字节，最终得到检测报文。 0022 上述方案中，所述调制解调模块，具体用于进入解调模式后，根据。

16、解调规则对网络信息中的报文进行还原，再将还原的报文发送给控制管理模块； 0023 相应的，所述控制管理模块，具体用于接收调制解调模块发来的还原的报文，利用预设的条件判断还原的报文是否为正确的检测报文。 0024 上述方案中，所述调制解调模块，具体用于按照解调规则将报文的源MAC地址第一字节的最后一位设为0，对CRC取反，将报文补充为64字节。 0025 上述方案中，所述控制管理模块，具体用于保存预设的条件：报文的目的MAC地址为010203040506，以太网类型为0xFFEE，且计算报文的CRC与报文中的CRC一致。 0026 本发明所提供的保护交换链路安全的方法及网络交换机，具有以。

17、下的优点和特点：在相邻的两台网络交换机中，分别预设调制规则及解调规则，产生只有这两台网络交换机才能够调制及解调的检测报文，根据未收到正确检测报文的时长来判断是否有恶意中间设备的接入，一旦发现有恶意中间设备接入交换链路，就切断原有链路使用保护链路，如此，即可检测并避开恶意中间设备，进而保证交换链路的安全性。附图说明说明书CN 102316032 A CN 102316037 A 3/5页 6 0027 图1为本发明保护交换链路安全的方法流程示意图； 0028 图2为本发明实现保护交换链路安全的网络交换机的组成结构示意图。具体实施方式 0029 本发明的基本思想是：网络交换机在进。

18、入调制模式后，向相邻处于解调模式的网络交换机周期性的发出检测报文；该网络交换机在进入解调模式、且所述相邻网络交换机进入调制模式后，确认未收到相邻网络交换机发来的正确检测报文的时长超过断路门限时，切断与相邻处于调制模式的网络交换机的链路。 0030 这里，所述断路门限为网络交换机根据实际应用情况预设的时长，比如可以将断路门限设为3秒。 0031 下面结合附图及具体实施例对本发明再作进一步详细的说明。 0032 本发明提出的保护交换链路安全的方法如图1所示，包括以下步骤： 0033 步骤101：网络交换机判断自身进入调制模式还是解调模式，如果进入调制模式，则执行步骤102；如果进入解调模。

19、式，则执行步骤104。 0034 步骤101之前，网络交换机需要开启链路保护功能。 0035 步骤101中的网络交换机，针对不同的相邻网络交换机也可以同时进入调制模式和解调模式，这种情况下，网络交换机同时执行步骤102和步骤104。 0036 步骤102：网络交换机产生检测报文。 0037 这里，所述产生检测报文为：先根据预设的格式产生报文，再根据调制规则对报文进行调制后，得到最终的检测报文； 0038 其中，所述预设的格式包括：报文的MAC地址设定为010203040506，以太网类型设定为0xFFEE，源MAC地址为本网络交换机的MAC地址，报文数据字段的标识设定为 0x123456。

20、78，报文数据字段的其他字节不限定，CRC根据报文计算得出，报文的长度为64个字节；所述报文数据字段的标识为报文数据字段的前四个字节；所述报文数据字段的其他字节，具体内容由操作人员来设定，处于调制模式的网络交换机、和与其相配的处于解调模式的网络交换机中的报文数据字段的其他字节内容预置为一致； 0039 所述调制规则为：对CRC取反，源MAC地址第一字节的最后一位设为1，从报文数据字段的后端删减指定数量的报文数据字段的其他字节； 0040 所述删减指定数量的报文数据字段的其他字节，具体为根据实际情况进行设置，比如：可以删除报文数据字段的最后8个字节，将最终生成的报文修改为长度为56个字。

21、节的检测报文。 0041 步骤103：网络交换机周期性给相邻网络交换机发送检测报文，结束操作。 0042 这里，所述周期性指预置的一个时长，比如，可以将周期预置为1秒，该时长可根据需要任意设置。 0043 步骤104：网络交换机实时接收网络信息，判断网络信息中是否有正确的检测报文，如果有正确的检测报文，则重复执行步骤104；否则执行步骤105。 0044 这里，所述判断网络信息中是否有正确的检测报文为：先根据解调规则还原报文，再利用预设的条件判断还原的报文是否为正确的检测报文； 0045 所述解调规则包括：报文的源MAC地址第一字节的最后一位设为0，对CRC取反，说明书CN 10。

22、2316032 A CN 102316037 A 4/5页 7 将报文补充为64字节；其中，所述将报文补充为64字节为：根据预置的报文数据字段的其他字节的内容，将接收到的报文数据字段所缺少的字节在数据字段的后端进行补充，比如，接收到的报文为56字节，就从预置的保温数据字段的其他字节的内容中提取后8个字节，补充到实际接收到的报文数据字段的末端； 0046 所述预设的条件包括：报文的目的MAC地址为010203040506，以太网类型为 0xFFEE，计算报文的CRC与报文中的CRC一致。 0047 步骤105：网络交换机判断未收到正确检测报文的时长是否超过断路门限，如果超过，则切断与相邻。

23、网络交换机的链路，将链路调整到保护链路上；否则返回执行步骤 104。 0048 这里，所述判断未收到正确检测报文的时长指：网络交换机在每次接收到正确的检测报文后开启计时器，再次接收到正确的检测报文后重置计时器，通过判断计时器的计时时长来进行是否断路的判断；所述保护链路指：在网络交换机接入网络时，利用已有技术获取并保存的一条备用链路的路径信息记录。 0049 可见，通过以上步骤，可以实现在任意相邻的两台网络交换机中，分别预设调制规则及解调规则，产生只有这两台网络交换机才可以解调的检测报文，利用检测报文来检测是否有恶意中间设备，如果有则立即开启保护链路。 0050 另外，在上述步骤103。

24、的操作过程中，会根据实际情况关闭网络交换机的调制模式，如果操作人员关闭调制模式，则网络交换机返回步骤101，否则重复执行步骤103； 0051 步骤104的操作过程中，会根据实际情况关闭网络交换机的解调模式，如果操作人员关闭解调模式，则网络交换机返回步骤101，否则重复执行步骤104。 0052 上述步骤中，如果步骤104中网络交换机切换到保护链路，则说明与相邻网络交换机的链路上存在恶意中间设备截获了报文，由网络维护人员进行排查后将恶意中间设备从网络交换机所在链路断开，则原调制模式中的网络交换机与其相邻的解调模式中的网络交换机的链路恢复连接状态，所以在步骤104完成后，网络交换机仍然。

25、实时判断接收的网络信息中是否有正确的检测报文，一旦有，则返回步骤104，否则继续使用保护链路进行信息传输。 0053 为了实现上述保护交换链路安全的方法，如图2所示，本发明还提供了一种网络交换机，包括：控制管理模块21、调制解调模块22和连接收发模块23；其中， 0054 控制管理模块21，用于在进入调制模式后，通知调制解调模块22发送检测报文，还用于在进入解调模式后，当确认未收到正确检测报文的时长超过断路门限时，向连接收发模块23发出切断当前链路的指令； 0055 调制解调模块22，用于接收控制模块发来的发送检测报文的通知，将检测报文发送给连接收发模块23； 0056 连接收发模。

26、块23，用于接收控制管理模块21发来的检测报文，向相邻的处于解调模式的网络交换机周期性的发送检测报文，还用于接收控制管理模块21发来的切断当前链路的指令，切断当前与相邻的处于调制模式的网络交换机的链路。 0057 所述控制管理模块21，还用于在开启链路保护功能后，判断进入调制模式还是解调模式，当进入调制模式后，通知调制解调模块22进入调制模式，当进入解调模式后，通知调制解调模块22进入解调模式；相应的，所述调制解调模块22，还用于接收控制管理模块说明书CN 102316032 A CN 102316037 A 5/5页 8 21发来的进入调制模式的通知或进入解调模式的通知。 00。

27、58 所述控制管理模块21，具体用于进入调制模式后，根据预设的格式产生报文，再将产生的报文发送给调制解调模块22；相应的，所述调制解调模块22，具体用于接收到控制管理模块21发来的报文，根据调制规则对报文进行调制得到最终的检测报文。 0059 所述控制管理模块21，具体用于根据预设的格式将报文的目的MAC地址设定为 010203040506，以太网类型设定为0xFFEE，源MAC地址为本网络交换机的MAC地址，报文数据字段的标识设定为0x12345678，报文数据字段的其他字节不限定，CRC根据报文计算得出，报文的长度为64个字节。 0060 所述调制解调模块22，具体用于根据调制规则。

28、对报文CRC取反，将报文的源MAC地址第一字节的最后一位设为1，且从报文数据字段的后端删减指定数量的报文数据字段的其他字节，最终得到检测报文。 0061 所述调制解调模块22，具体用于进入解调模式后，接收连接收发模块23发来的网络信息，根据解调规则对网络信息中的报文进行还原，再将还原的报文发送给控制管理模块21；相应的，所述控制管理模块21，具体用于接收调制解调模块22发来的还原的报文，利用预设的条件判断还原的报文是否为正确的检测报文；所述连接收发模块23，具体用于将网络信息发送给调制解调模块22。 0062 所述调制解调模块22，具体用于按照解调规则将报文的源MAC地址第一字节的。

29、最后一位设为0，对CRC取反，将报文补充为64字节。 0063 所述控制管理模块21，具体用于判断还原的报文是否符合预设的条件定义的报文的目的MAC地址为010203040506，以太网类型为0xFFEE，且计算报文的CRC与报文中的CRC 一致，如果符合这三个条件则说明还原的报文为正确的检测报文，否则为不正确的检测报文。 0064 所述控制管理模块21，具体用于在每次接收到正确的检测报文后开启计时器，再次接收到正确的检测报文后重置计时器，通过判断计时器的及时时长来判断未收到正确检测报文的时长是否超过断路门限，如果超过，则向连接收发模块23发出切断当前链路的指令并通知连接收发模块2。

30、3将连接链路调整到保护链路，否则继续判断网络信息中是否有正确的检测报文；相应的，所述连接收发模块23，具体用于接收控制管理模块21发来的切断当前链路的指令和将连接链路调整到保护链路通知后，切断当前与相邻的处于调制模式的网络交换机的链路，并将链路调整到保护链路。 0065 所述控制管理模块21，可以根据设置从调制模式进入解调模式，或从解调模式进入调制模块，也可以同时进入调制模式及解调模式。 0066 以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。说明书CN 102316032 A CN 102316037 A 1/1页 9 图1 图2 说明书附图CN 102316032 A 。

展开阅读全文