[发明专利]用于保护由生成树协议建立的网络构造的方法

说明书

技术领域

本发明涉及一种用于通过选择计算机网络的多个网桥之一作为根网桥 并且选择所述多个网桥中每一个的多个网桥端口之一作为根端口来保护由 生成树协议STP建立的网络构造的方法，一种在上述类型的网络构造中操 作的网桥，以及一种包括多个上述网桥的计算机网络。

背景技术

图1示出了计算机网络1，其具有通过多条链路12至26互连的多个 网桥2至11。为了将图1的网络构造转换成图2a中显示的树形网络构造 (生成树)，在计算机网络1的引导(bootstrapping)阶段的过程中执行 生成树协议STP。生成树协议通过去激活链路21至26(图2a中的虚线) 来生成生成树，这因而获得了将生成树头部的一个网桥2(也称作计算机 网络1的根网桥)连接到其他网桥3至11中的每一个的无环路配置。当实 现这种网络构造时，网络的终端(未显示)通过无环路网络1互连并且因 而能够发送和接收数据报。因此，在所述引导阶段之后的操作阶段中，向/ 从网关传送终端的双向数据流，可选地在终端之间传送该双向数据流。

图1、2a中显示的网桥2至11中的每一个都包括多个使能(转发)网 桥端口2a至11a、3b、4b、6b、7b、9b、10b用于经由相应的链路12至 20来相互连接生成树的网桥2至11。用去往根网桥2的链路连接网桥2 至11的网桥端口2a至11a在下文中称作根端口2a至11a。可用于经由去 激活链路21至26连接网桥3至11的这些网桥端口没有被用于树形配置中， 因此图2a中没有显示。应当理解，图2a中的网桥2至11中的任一个都可 以经由其他网桥端口而被连接到计算机网络1的附加网桥或终端。

对于STP的设计，假设所有的网桥2至11都是等同的并且可以以相 等的概率而连接/脱离。然而，在当前的网络中，管理员将通过相应地设置 网桥ID而选择位于网络中心点的网桥作为生成树的根，该根网桥通常接 近于也用作管理STP过程的STP实例的网络管理单元27。与其他网桥相 比，根网桥具有更高的可用性，因为它是一种具有更高性能且用更高质量 和/或用冗余部件而构建的设备。此外，终端的多数数据流经过网关以及因 此经过根网桥。特别地，终端(IEEE 802.1X Port-Based Network Access Control，RFC3588 Diameter)和用户(应用指定的，例如RFC 3261 SIP) 的授权需要与通常位于中心位置的服务器进行通信。即使不是所有的终端 也有大多数终端都将通过根网桥而到达该位置。

因此，保护已在引导阶段建立的网络构造以使其免于恶意攻击是很重 要的。在这种恶意攻击者例如通过拔掉/切断电缆或堵塞无线链路来中断两 个相邻网桥之间的链路的情况下，一些或甚至所有终端(在存在备用路径 的情况下)能够继续通信。然而，当攻击者注入伪造的STP消息时，这通 常是网桥协议数据单元(BPDU)，整个桥接网络1的通信会被阻塞从而 导致生成树的重新配置。

图2b示出了这种攻击者30，其连接到网桥10与11之间的链路20， 发送携带根网桥ID的伪造的BPDU，该根网桥ID大于当前根网桥2的ID。 根据标准STP协议程序，这种BPDU将不导致网络1的配置的任何更改， 因为根网桥总是被选择成具有最小根网桥ID的网桥。

然而，当攻击者30发送携带小于当前根网桥2的ID的根ID的BPDU 时(这对应于更高的网桥优先级)，网桥选择机制重新启动并且常规的STP 将构建新的生成树，如图2c所示。由于新的生成树从攻击者的位置30开 始被构建，网络1中的多数链路12至13、16、18、24会被去激活，这因 而负面地影响到整个网络的操作。

因此，能接入单个链路的攻击者不仅会干扰该特定链路上的数据报传 输，例如堵塞链路，还会影响到整个网络的性能。类似的效应会在攻击者 发送具有与当前根相同的根ID但具有显著降低的根路径成本的伪造的 BPDU时产生，这因而也导致大部分生成树的重新配置。

在US 2006/0092862 A1中，描述了一种称作“STP根保护”的过程， 其能够通过防止连接到外部网络的网桥的网桥端口被选择成根端口而保持 根网桥在核心网中的位置。然而，这种过程不能防止核心网本身的链路上 的攻击。