[发明专利]可使网络装置利用封包追踪网络线上各节点的处理方法

说明书

本发明涉及一种可使网络装置利用封包追踪网络线上各节点的处理方法，尤指一种网络交换装置，该网络交换装置能将所接受的广播封包、多点广播封包及不明封包中关于第二层以上的封包数据，如：传输控制信息及互联网信息(Transmission Control Protocol and Internet Protocol，以下简称TCP/IP信息)或通讯协议等信息，储存至该交换系统上预设的一数据库的特定栏位中，以便系统信息管理(Management Information System，简称MIS)人员能根据这些信息，对网络上各节点所传来的封包数据，进行有效的监控及追踪。

目前在以太网络(Ethernet)上，参阅图1所示，不同区段的以太网络11、12、13、14均是藉与一个以上的网络交换器30(switch)相连接，参阅图1所示，该交换器30可为一具有多个连接端口(port)的网络装置，无论其外观是由多个网络装置堆叠而成或仅是单一的网络装置，只要这些交换器之间是藉相同的桥接协议封包(Bridge Protocol Data Units，简称BPDUs)，进行彼此沟通，均为本发明所称的网络交换装置。

一般而言，这些传统网络交换装置30均是通过其上所安装的控制器或软件，对传送至该网络交换装置30的所有封包数据的来源地址及目的地址进行学习，并藉由建立或更新其上所设的一转送对应表(ForwardingTable)，做为封包数据转送(Forwarding)的依据，将所接收的封包数据转送至该转送对应表中记录的目的地址(Destination)的连接端口。也就是说，当该网络交换装置30的连接端口(port)1、2、3、4分别接收到由各区段网络(Segment)11、12、13、14上的节点(Node)A、B、C、D传来的封包数据时，这些网络交换装置30能针对这些封包数据的目的地址及来源地址，至该转送对应表(Forwarding Table)31中，参阅图2所示，与其已记录的地址进行比对，若发现该封包的目的地址是属于同一区段网络的终端主机，该网络交换装置即丢弃该封包，而不作任何传送，以完成对封包传送的过滤(filtering)，该种网络封包的过滤功能，在以广播式(broadcasting)传送封包的以太网络或互联网上，不仅可避免同一区段网络内不同终端主机之间的封包被传送至其它区段网络，也可有效减少其它区段网络内无谓的封包数据量，进而提高网络的整体效率。

然而，由于现今网络交换装置的连接端口数目愈来愈多，其转送对应表也随之愈来愈大，此一现象，对于系统信息管理(Management InformationSystem，简称M1S)人员而言，不仅建立一可安全控制的转送对应表，己成为一冗长又容易出错的工作，且由于该网络交换装置本身的学习(learning)功能，将使管理人员无法轻易将该转送对应表予以锁定(locking)，致使未经授权的节点的来源地址可以任意占用该转送对应表的存储空间，且该种传统网络交换装置对网络黑客(hacker)的试探性上线，也因其具备逾时信息自动删除的计时(auto aging out timer)功能，而无法有效掌握其信息源头，造成网络安全机制上的严重问题。

另外，由于目前的网络交换装置仅能处理网络封包中关于物理层(Physical layer)及数据链结层(Data Link Layer)等二层的信息，并利用数据链结层的MAC地址进行网络封包的传送，该种传统网络交换装置对于网络封包中，OSI模式(Open System Interconnection Model)架构下第二层以上的网络层、传输层...等模组所处理的其它信息，并不了解。此外，由于TCP/IP等网络协议具备可连接许多不同型态的网络设备的优点，TCP/IP网络协议早已被广泛使用于今日的局域网及互联网中，以处理网络封包中关于OSI模式架构下网络层及传输层(即第三及四层)模组所处理的网络信息，故传统网络交换装置因不具备处理网络封包中有关第二层以上，如：IP地址信息的能力，自然无法对网络上各节点所传来的封包数据，识别出其在OSI模式下网络层中确切的网络及主机地址，并对其进行有效的监控及追踪。