專利名稱：可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，尤指一種網(wǎng)絡(luò)交換裝置，該網(wǎng)絡(luò)交換裝置能將所接受的廣播封包、多點(diǎn)廣播封包及不明封包中關(guān)于第二層以上的封包數(shù)據(jù)，如傳輸控制信息及互聯(lián)網(wǎng)信息(Transmission Control Protocol and Internet Protocol，以下簡稱TCP/IP信息)或通訊協(xié)議等信息，儲(chǔ)存至該交換系統(tǒng)上預(yù)設(shè)的一數(shù)據(jù)庫的特定欄位中，以便系統(tǒng)信息管理(Management Information System，簡稱MIS)人員能根據(jù)這些信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控及追蹤。
目前在以太網(wǎng)絡(luò)(Ethernet)上，參閱

圖1所示，不同區(qū)段的以太網(wǎng)絡(luò)11、12、13、14均是藉與一個(gè)以上的網(wǎng)絡(luò)交換器30(switch)相連接，參閱圖1所示，該交換器30可為一具有多個(gè)連接端口(port)的網(wǎng)絡(luò)裝置，無論其外觀是由多個(gè)網(wǎng)絡(luò)裝置堆疊而成或僅是單一的網(wǎng)絡(luò)裝置，只要這些交換器之間是藉相同的橋接協(xié)議封包(Bridge Protocol Data Units，簡稱BPDUs)，進(jìn)行彼此溝通，均為本發(fā)明所稱的網(wǎng)絡(luò)交換裝置。
一般而言，這些傳統(tǒng)網(wǎng)絡(luò)交換裝置30均是通過其上所安裝的控制器或軟件，對傳送至該網(wǎng)絡(luò)交換裝置30的所有封包數(shù)據(jù)的來源地址及目的地址進(jìn)行學(xué)習(xí)，并藉由建立或更新其上所設(shè)的一轉(zhuǎn)送對應(yīng)表(ForwardingTable)，做為封包數(shù)據(jù)轉(zhuǎn)送(Forwarding)的依據(jù)，將所接收的封包數(shù)據(jù)轉(zhuǎn)送至該轉(zhuǎn)送對應(yīng)表中記錄的目的地址(Destination)的連接端口。也就是說，當(dāng)該網(wǎng)絡(luò)交換裝置30的連接端口(port)1、2、3、4分別接收到由各區(qū)段網(wǎng)絡(luò)(Segment)11、12、13、14上的節(jié)點(diǎn)(Node)A、B、C、D傳來的封包數(shù)據(jù)時(shí)，這些網(wǎng)絡(luò)交換裝置30能針對這些封包數(shù)據(jù)的目的地址及來源地址，至該轉(zhuǎn)送對應(yīng)表(Forwarding Table)31中，參閱圖2所示，與其已記錄的地址進(jìn)行比對，若發(fā)現(xiàn)該封包的目的地址是屬于同一區(qū)段網(wǎng)絡(luò)的終端主機(jī)，該網(wǎng)絡(luò)交換裝置即丟棄該封包，而不作任何傳送，以完成對封包傳送的過濾(filtering)，該種網(wǎng)絡(luò)封包的過濾功能，在以廣播式(broadcasting)傳送封包的以太網(wǎng)絡(luò)或互聯(lián)網(wǎng)上，不僅可避免同一區(qū)段網(wǎng)絡(luò)內(nèi)不同終端主機(jī)之間的封包被傳送至其它區(qū)段網(wǎng)絡(luò)，也可有效減少其它區(qū)段網(wǎng)絡(luò)內(nèi)無謂的封包數(shù)據(jù)量，進(jìn)而提高網(wǎng)絡(luò)的整體效率。
然而，由于現(xiàn)今網(wǎng)絡(luò)交換裝置的連接端口數(shù)目愈來愈多，其轉(zhuǎn)送對應(yīng)表也隨之愈來愈大，此一現(xiàn)象，對于系統(tǒng)信息管理(Management InformationSystem，簡稱M1S)人員而言，不僅建立一可安全控制的轉(zhuǎn)送對應(yīng)表，己成為一冗長又容易出錯(cuò)的工作，且由于該網(wǎng)絡(luò)交換裝置本身的學(xué)習(xí)(learning)功能，將使管理人員無法輕易將該轉(zhuǎn)送對應(yīng)表予以鎖定(locking)，致使未經(jīng)授權(quán)的節(jié)點(diǎn)的來源地址可以任意占用該轉(zhuǎn)送對應(yīng)表的存儲(chǔ)空間，且該種傳統(tǒng)網(wǎng)絡(luò)交換裝置對網(wǎng)絡(luò)黑客(hacker)的試探性上線，也因其具備逾時(shí)信息自動(dòng)刪除的計(jì)時(shí)(auto aging out timer)功能，而無法有效掌握其信息源頭，造成網(wǎng)絡(luò)安全機(jī)制上的嚴(yán)重問題。
另外，由于目前的網(wǎng)絡(luò)交換裝置僅能處理網(wǎng)絡(luò)封包中關(guān)于物理層(Physical layer)及數(shù)據(jù)鏈結(jié)層(Data Link Layer)等二層的信息，并利用數(shù)據(jù)鏈結(jié)層的MAC地址進(jìn)行網(wǎng)絡(luò)封包的傳送，該種傳統(tǒng)網(wǎng)絡(luò)交換裝置對于網(wǎng)絡(luò)封包中，OSI模式(Open System Interconnection Model)架構(gòu)下第二層以上的網(wǎng)絡(luò)層、傳輸層...等模組所處理的其它信息，并不了解。此外，由于TCP/IP等網(wǎng)絡(luò)協(xié)議具備可連接許多不同型態(tài)的網(wǎng)絡(luò)設(shè)備的優(yōu)點(diǎn)，TCP/IP網(wǎng)絡(luò)協(xié)議早已被廣泛使用于今日的局域網(wǎng)及互聯(lián)網(wǎng)中，以處理網(wǎng)絡(luò)封包中關(guān)于OSI模式架構(gòu)下網(wǎng)絡(luò)層及傳輸層(即第三及四層)模組所處理的網(wǎng)絡(luò)信息，故傳統(tǒng)網(wǎng)絡(luò)交換裝置因不具備處理網(wǎng)絡(luò)封包中有關(guān)第二層以上，如IP地址信息的能力，自然無法對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，識別出其在OSI模式下網(wǎng)絡(luò)層中確切的網(wǎng)絡(luò)及主機(jī)地址，并對其進(jìn)行有效的監(jiān)控及追蹤。
本發(fā)明的目的是提供一種克服前述傳統(tǒng)網(wǎng)絡(luò)交換裝置無法針對不同網(wǎng)絡(luò)區(qū)段之間所傳來的封包數(shù)據(jù)，進(jìn)行有效監(jiān)控處理，以確實(shí)掌握特定節(jié)點(diǎn)動(dòng)向的缺陷，而可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，以便使本發(fā)明的網(wǎng)絡(luò)交換裝置，能將所接受的廣播封包、多點(diǎn)廣播封包及不明封包中關(guān)于第二層以上的封包數(shù)據(jù)，如傳輸控制信息、互聯(lián)網(wǎng)信息或通訊協(xié)議等信息，儲(chǔ)存至該網(wǎng)絡(luò)交換裝置上預(yù)設(shè)的一數(shù)據(jù)庫的特定欄位中，使網(wǎng)絡(luò)管理人員能根據(jù)這些信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控及追蹤。
本發(fā)明的目的是這樣實(shí)現(xiàn)的該方法主要是在一網(wǎng)絡(luò)交換裝置上建立一數(shù)據(jù)庫，使該網(wǎng)絡(luò)交換裝置能將所接受的封包中關(guān)于第二層以上的封包數(shù)據(jù)，依序儲(chǔ)存至該數(shù)據(jù)庫的特定欄位中，使網(wǎng)絡(luò)管理人員能根據(jù)這些信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控及追蹤。
該封包可為廣播封包，或?yàn)槎帱c(diǎn)廣播封包。或?yàn)槠渌幻鞣獍?br> 該第二層以上的封包數(shù)據(jù)可為TCP/IP協(xié)議的相關(guān)信息，或可為其它通訊協(xié)議的相關(guān)信息。
該第二層以上的TCP/IP協(xié)議信息可為這些封包的IP來源地址及IP目的地址信息。
下面配合附圖和實(shí)施例詳細(xì)說明本發(fā)明的技術(shù)手段及運(yùn)作過程如下圖1是以太網(wǎng)絡(luò)與一般網(wǎng)絡(luò)交換裝置之間的連線示意圖；圖2是一般網(wǎng)絡(luò)交換裝置的轉(zhuǎn)送對應(yīng)表的示意圖；圖3是以太網(wǎng)絡(luò)封包的示意圖；圖4是本發(fā)明中網(wǎng)絡(luò)交換裝置上預(yù)設(shè)的一數(shù)據(jù)庫的示意圖。
本發(fā)明是一種可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，該方法主要是在一網(wǎng)絡(luò)交換裝置上建立一數(shù)據(jù)庫，使該網(wǎng)絡(luò)交換裝置能將所接受的廣播封包、多點(diǎn)廣播封包及不明封包中關(guān)于第二層以上的封包數(shù)據(jù)，如傳輸控制信息及互聯(lián)網(wǎng)信息(Transmission Control Protocol andInternet Protocol，以下簡稱TCP/IP信息)或通訊協(xié)議等信息，依序儲(chǔ)存至該數(shù)據(jù)庫的特定欄位中，使網(wǎng)絡(luò)管理人員能根據(jù)這些信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控及追蹤。
在一般局域網(wǎng)或互聯(lián)網(wǎng)上，所有在網(wǎng)絡(luò)上的終端主機(jī)均有一特定的地址，當(dāng)一網(wǎng)絡(luò)交換裝置在分別接收到由各區(qū)段網(wǎng)絡(luò)(Segment)上的節(jié)點(diǎn)(Node)傳來的封包數(shù)據(jù)時(shí)，如圖3所示的以太網(wǎng)絡(luò)封包，該網(wǎng)絡(luò)交換裝置能針對這些封包數(shù)據(jù)的目的地址及來源地址，至該轉(zhuǎn)送對應(yīng)表中，與已記錄的地址進(jìn)行比對，若發(fā)現(xiàn)該封包的目的地址是屬于同一區(qū)段網(wǎng)絡(luò)的終端主機(jī)，該網(wǎng)絡(luò)交換裝置即丟棄該封包，而不作任何傳送，以完成對封包傳送的過濾，這些地址即一般所稱的MAC地址(即實(shí)體地址)，在網(wǎng)絡(luò)上經(jīng)由實(shí)體地址所定義的終端主機(jī)，就像電話系統(tǒng)中所定義的電話號碼，其主要目的是使網(wǎng)絡(luò)上不同終端主機(jī)之間能建立連線，互通信息，這些地址一般是由網(wǎng)絡(luò)卡的制造廠商燒錄在網(wǎng)絡(luò)卡上的可編程只讀存儲(chǔ)器中，使該終端主機(jī)上的網(wǎng)絡(luò)驅(qū)動(dòng)程序?qū)⑵滢D(zhuǎn)換成可供網(wǎng)絡(luò)程序使用的實(shí)體地址，以識別局域網(wǎng)上各終端主機(jī)的網(wǎng)絡(luò)控制器。
以應(yīng)用TCP/IP通訊協(xié)議的傳統(tǒng)網(wǎng)絡(luò)交換裝置為例，由于，該種網(wǎng)絡(luò)交換裝置僅能處理網(wǎng)絡(luò)封包中關(guān)于物理層(Physical layer)及數(shù)據(jù)鏈結(jié)層(Data Link Layer)等二層的信息，并利用數(shù)據(jù)鏈結(jié)層的MAC地址進(jìn)行網(wǎng)絡(luò)封包的傳送，該MAC地址雖可供這些網(wǎng)絡(luò)交換裝置識別終端主機(jī)上的網(wǎng)絡(luò)卡，但在網(wǎng)絡(luò)或互聯(lián)網(wǎng)上，各終端主機(jī)之間對廣播封包、多點(diǎn)廣播封包及不明封包進(jìn)行傳輸時(shí)，必須通過OSI模式架構(gòu)下，第二層以上的網(wǎng)絡(luò)層，先對網(wǎng)絡(luò)上欲傳送的廣播封包，完成IP地址的尋址作業(yè)，始能使高階的網(wǎng)絡(luò)裝置通過這些廣播封包，識別出發(fā)送這些封包的某個(gè)特定節(jié)點(diǎn)及該節(jié)點(diǎn)所在位置的互聯(lián)網(wǎng)號碼，而傳統(tǒng)網(wǎng)絡(luò)交換裝置因并不具備了解這些廣播封包中，在OSI模式(Open System Interconnection Model)架構(gòu)下，第二層以上的網(wǎng)絡(luò)層、傳輸層...等模組所處理的其它信息的能力，致使網(wǎng)絡(luò)管理人員無法根據(jù)傳統(tǒng)網(wǎng)絡(luò)交換裝置所獲得的信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)傳來的廣播封包，進(jìn)行有效的監(jiān)控及追蹤。
此外，由于ICP/IP等網(wǎng)絡(luò)協(xié)議具備可連接許多不同型態(tài)的網(wǎng)絡(luò)設(shè)備的優(yōu)點(diǎn)，該TCP/IP網(wǎng)絡(luò)協(xié)議早已被廣泛使用于今目的局域網(wǎng)及互聯(lián)網(wǎng)中，用以處理網(wǎng)絡(luò)封包中關(guān)于OSI模式架構(gòu)下網(wǎng)絡(luò)層及傳輸層(即圖3及圖4)模組所處理的信息，而傳統(tǒng)網(wǎng)絡(luò)交換裝置因不具備處理廣播封包中有關(guān)IP地址信息的能力，自然無法對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，識別出其在OSI模式下網(wǎng)絡(luò)層中確切的網(wǎng)絡(luò)及主機(jī)地址。本發(fā)明即針對此，藉由在一網(wǎng)絡(luò)交換裝置上建構(gòu)一數(shù)據(jù)庫，參閱圖4所示，使該網(wǎng)絡(luò)交換裝置能將所接受的廣播封包、多點(diǎn)廣播封包及不明封包中關(guān)于第二層以上的TCP/IP信息，如IP來源地址及IP目的地址等，或其它通訊協(xié)議的相關(guān)信息，依序儲(chǔ)存至該數(shù)據(jù)庫的特定欄位中，使系統(tǒng)信息管理人員能根據(jù)這些信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控及追蹤。
如此，當(dāng)網(wǎng)絡(luò)上發(fā)生未經(jīng)授權(quán)的特定節(jié)點(diǎn)進(jìn)入該網(wǎng)絡(luò)交換裝置時(shí)，該網(wǎng)絡(luò)交換裝置可使該系統(tǒng)信息管理人員根據(jù)該數(shù)據(jù)庫中所儲(chǔ)存的有關(guān)IP地址信息，分析是否有網(wǎng)絡(luò)黑客(hacker)盜用該節(jié)點(diǎn)，或?qū)⒃摴?jié)點(diǎn)移至其它網(wǎng)絡(luò)區(qū)段，直接對不同網(wǎng)絡(luò)區(qū)段之間所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控處理，以確實(shí)掌握特定節(jié)點(diǎn)的動(dòng)向，有效提高網(wǎng)絡(luò)的安全機(jī)制。
權(quán)利要求
1.一種可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該方法主要是在一網(wǎng)絡(luò)交換裝置上建立一數(shù)據(jù)庫，使該網(wǎng)絡(luò)交換裝置能將所接受的封包中關(guān)于第二層以上的封包數(shù)據(jù)，依序儲(chǔ)存至該數(shù)據(jù)庫的特定欄位中，使網(wǎng)絡(luò)管理人員能根據(jù)這些信息，對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù)，進(jìn)行有效的監(jiān)控及追蹤。
2.如權(quán)利要求1所述的可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該封包可為廣播封包。
3.如權(quán)利要求1所述的可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該封包可為多點(diǎn)廣播封包。
4.如權(quán)利要求1所述的可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該封包可為其它不明封包。
5.如權(quán)利要求1所述的可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該第二層以上的封包數(shù)據(jù)可為TCP/IP協(xié)議的相關(guān)信息。
6.如權(quán)利要求1所述的可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該第二層以上的封包數(shù)據(jù)可為其它通訊協(xié)議的相關(guān)信息。
7.如權(quán)利要求5所述的可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法，其特征在于該第二層以上的TCP/IP協(xié)議信息可為這些封包的IP來源地址及IP目的地址信息。
全文摘要
一種可使網(wǎng)絡(luò)裝置利用封包追蹤網(wǎng)絡(luò)線上各節(jié)點(diǎn)的處理方法,該方法是使一網(wǎng)絡(luò)交換裝置能將所接受的廣播封包、多點(diǎn)廣播封包及不明封包中關(guān)于第二層以上的封包數(shù)據(jù)(如:傳輸控制信息及互聯(lián)網(wǎng)信息等),儲(chǔ)存至該網(wǎng)絡(luò)交換裝置上預(yù)設(shè)的一數(shù)據(jù)庫的特定欄位中,使系統(tǒng)信息管理人員能根據(jù)這些信息,對網(wǎng)絡(luò)上各節(jié)點(diǎn)所傳來的封包數(shù)據(jù),進(jìn)行有效的監(jiān)控及追蹤。
文檔編號H04L12/26GK1350384SQ0012986
公開日2002年5月22日 申請日期2000年10月20日 優(yōu)先權(quán)日2000年10月20日
發(fā)明者官炳松 申請人:友訊科技股份有限公司