[发明专利]防止伪造报文攻击的方法及其适用的上游设备和下游设备

说明书

技术领域

本发明涉及一种防止网络攻击的方法，具体涉及一种防止非法的、可以使设备进行表项删除的操作的、伪造报文攻击的方法以及其适用的上游设备和下游设备。

背景技术

在灵活链路组中有四个状态机，分别是每端口的端口信息状态机(PIM，portinformation machine)、每端口的定时器状态机(TMR，TIMER STATEMACHINE)、每个SMART-LINK组的端口状态选择状态机(PSS，port stateselection machine)和每端口的端口状态迁移状态机(PST，port state transitionmachine)。当PIM收到需要响应的事件后，如果是抢占模式，则触发TMR状态机开始倒计时，用于进行抢占延时，超时后，由TMR调用PSS状态机重新计算组内端口的状态，否则直接调用PSS状态机重新计算组内端口的状态。如果端口的SMART-LINK状态发生了变化，则再调用PST状态机修改状态并下发硬件。Flush报文的填充和触发由PSS状态机来完成。端口状态发生变化或链路状态发生变化时，各状态机转换关系如图1所示。

在现有技术中，清理报文(Flush报文)的作用是通知设备更新表项。目前Flush报文采用IEEE802.3封装，包括Destination MAC、Source MAC、ControlVLAN ID、VLAN Bitmap、Auth-mode以及Password等信息字段。其中：Destination MAC为未知组播地址；Source MAC表示发送Flush报文的设备的桥MAC地址；Control VLAN ID表示发送控制VLAN的ID号；VLAN Bitmap表示VLAN位图，用于携带需要刷新地址表的VLAN列表；Auth-mode和Password目前未使用。

具体的说，如图2所示，在其中的上游设备，Switch B 202、Switch C 203和Switch D 204都能够识别Flush报文的情况下，灵活链路组的工作机制为：Switch A 201的端口GigabitEthernet1/0/1(GE1/0/1)为主端口，端口GigabitEthernet1/0/2(GE1/0/2)为副端口。双上行链路都正常的情况下，主端口处于转发状态，其所在的链路是主用链路；副端口处于待命状态，其所在链路是备用链路。由主机205中所发出的数据沿着实线所表示的链路进行传输，网络中不存在环路，避免产生广播风暴。

当灵活链路组(Smart Link组)发生链路切换时，原有的转发表项已经不再适用于新的拓扑网络，需要对整网进行MAC地址转发表项和ARP表项的更新。Smart Link通过Flush报文来通知其他设备进行表项的刷新操作。

当Switch A 201(交换机A 201)的主用链路发生故障时，主端口GigabitEthernet1/0/1切换到待命状态，副端口GigabitEthernet1/0/2切换到转发状态。此时，网络中各设备上的MAC地址转发表项和ARP表项可能已经错误，需要提供一种MAC及ARP更新的机制，完成流量的快速切换，以免造成流量丢失。

为了实现快速链路切换，需要在Switch A 201上开启Flush报文发送功能，在上游设备所有处于双上行网络上的端口开启接收处理Flush报文功能。具体的说，在Flush报文的发送和接收过程中：Switch A 201发生链路切换后，会从新的主用链路(虚线显示链路、原备用链路)上发送Flush报文，即从GigabitEthernet1/0/2端口发送Flush报文。Flush报文的VLAN Bitmap字段填充链路切换前组内处于转发状态的GigabitEthernet1/0/1端口所在Smart Link组的保护VLAN ID，Control VLAN ID字段填充Smart Link组配置的发送控制VLANID。当上游设备收到Flush报文时，判断该Flush报文的发送控制VLAN是否在收到报文的端口配置的接收控制VLAN列表中。如果不在接收控制VLAN列表中，设备对该Flush报文不做处理，直接转发；如果在接收控制VLAN列表中，设备将提取Flush报文中的VLAN Bitmap数据，将设备在这些VLAN内学习到的MAC及ARP表项删除。