本发明涉及网络交换技术， 尤其涉及一种保护交换链路安全的方法及 网络交换机。 背景技术

随着网络的普及， 网络交换技术也随之迅速发展。 高端网络交换机为网 络的核心设备， 运营商利用网络交换机， 可以为特定客户提供个性化服务， 比如， 银行对数据交换的安全性要求很高， 运营商就需要为银行的客户提 供高安全性的服务。 网络交换机提供安全性的服务时， 非常重要的一点是 要防止网络交换机之间插入恶意获取数据的设 备， 一旦网络交换机之间插 入获取数据的恶意中间设备， 就会导致银行客户的重要信息泄露， 从而威 胁到交换链路的安全性。

可见， 现有的网络交换机， 还不能检测并避开恶意中间设备， 进而不 能满足保证交换链路安全性的要求。 发明内容

有鉴于此， 本发明的目的在于提供一种保护交换链路安全 的方法及网 络交换机， 能检测并避开恶意中间设备， 进而保证交换链路的安全性。

为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种保护交换链路安全的方法， 该方法包括：

网络交换机在进入调制模式后， 向相邻处于解调模式的网络交换机周 期性发出检测报文； 所述网络交换机在进入解调模式、 且所述相邻网络交 换机进入调制模式后， 确认未收到所述相邻网络交换机发来的正确检 测报 文的时长超过断路门限时， 切断与所述相邻处于调制模式的网络交换机的 链路。

上述方案中， 所述发出检测报文之前， 该方法还包括： 网络交换机先 根据预设的格式产生报文， 再根据调制规则对报文进行调制后， 得到最终 的检测报文。

上述方案中， 所述预设的格式为： 报文的目的介质访问控制 （MAC, Media Access Control ) 地址设定为 010203040506 , 以太网类型设定为 OxFFEE,源 MAC地址为本网络交换机的 MAC地址，报文数据字段的标识 设定为 0x12345678 , 报文数据字段的其他字节不限定， 循环冗余校验码 ( CRC, Cyclic Redundancy Check )根据报文计算得出， 报文的长度为 64 个字节。

上述方案中， 所述调制规则为： CRC取反， 源 MAC地址第一字节的 最后一位设为 1 ,从报文数据字段的后端删减指定数量的报文� �据字段的其 他字节。

上述方案中， 所述确认未收到所述相邻网络交换机发来的正 确检测报 文的时长超过断路门限之前， 该方法还包括： 网络交换机先根据解调规则 上述方案中， 所述解调规则为： 报文的源 MAC地址第一字节的最后一 位设为 0, 对 CRC取反， 将报文补充为 64字节。

上述方案中， 所述预设的条件包括： 报文的目的 MAC 地址为 010203040506, 以太网类型为 OxFFEE, 计算报文的 CRC与报文中的 CRC 一致。

本发明还提供了一种网络交换机， 该网络交换机包括： 控制管理模块、 调制解调模块和连接收发模块； 其中，

控制管理模块， 用于在进入调制模式后， 通知调制解调模块发送检测 报文， 还用于在进入解调模式后， 确认未收到正确检测报文的时长超过断 路门限时， 向连接收发模块发出切断当前链路的指令；

调制解调模块， 用于接收控制模块发来的发送检测报文的通知 ， 将检 测报文周期性发送给连接收发模块；

连接收发模块， 用于接收控制管理模块发来的检测报文， 向相邻的处 于解调模式的网络交换机发送检测报文， 还用于接收控制管理模块发来的 切断当前链路的指令， 切断当前与相邻的处于调制模式的网络交换机 的链 路。

上述方案中， 所述控制管理模块， 具体用于进入调制模式后， 根据预 设的格式产生报文， 再将产生的报文发送给调制解调模块；

相应的， 所述调制解调模块， 具体用于接收到控制管理模块发来的报 文， 根据调制规则对报文进行调制得到最终的检测 报文。

上述方案中， 所述控制管理模块， 具体用于根据预设的格式将报文的 目的 MAC地址设定为 010203040506,以太网类型设定为 OxFFEE,源 MAC 地址为本网络交换机的 MAC 地址， 报文数据字段的标识设定为 0x12345678, 报文数据字段的其他字节不限定， CRC根据报文计算得出， 报文的长度为 64个字节。

上述方案中， 所述调制解调模块， 具体用于根据调制规则对报文 CRC 取反， 将报文的源 MAC地址第一字节的最后一位设为 1 , 且从报文数据字 段的后端删减指定数量的报文数据字段的其他 字节， 最终得到检测报文。

上述方案中， 所述调制解调模块， 具体用于进入解调模式后， 根据解 调规则对网络信息中的报文进行还原， 再将还原的报文发送给控制管理模 块；

相应的， 所述控制管理模块， 具体用于接收调制解调模块发来的还原 上述方案中， 所述调制解调模块， 具体用于按照解调规则将报文的源 MAC地址第一字节的最后一位设为 0, 对 CRC取反， 将报文补充为 64字

"P。

上述方案中， 所述控制管理模块， 具体用于保存预设的条件： 报文的 目的 MAC地址为 010203040506, 以太网类型为 OxFFEE, 且计算 4艮文的 CRC与报文中的 CRC—致。

本发明所提供的保护交换链路安全的方法及网 络交换机， 具有以下的 优点和特点： 在相邻的两台网络交换机中， 分别预设调制规则及解调规则， 产生只有这两台网络交换机才能够调制及解调 的检测报文， 根据未收到正 确检测报文的时长来判断是否有恶意中间设备 的接入， 一旦发现有恶意中 间设备接入交换链路， 就切断原有链路使用保护链路， 如此， 即可检测并 避开恶意中间设备， 进而保证交换链路的安全性。 附图说明

图 1为本发明保护交换链路安全的方法流程示意� �；

具体实施方式

本发明的基本思想是： 网络交换机在进入调制模式后， 向相邻处于解 调模式的网络交换机周期性的发出检测报文； 该网络交换机在进入解调模 式、 且所述相邻网络交换机进入调制模式后， 确认未收到相邻网络交换机 发来的正确检测报文的时长超过断路门限时， 切断与相邻处于调制模式的 网络交换机的链路。 如可以将断路门限设为 3秒。

下面结合附图及具体实施例对本发明再作进一 步详细的说明。

本发明提出的保护交换链路安全的方法如图 1所示， 包括以下步驟： 步驟 101 : 网络交换机判断自身进入调制模式还是解调模 式， 如果进入 调制模式， 则执行步驟 102; 如果进入解调模式， 则执行步驟 104。

步驟 101之前， 网络交换机需要开启链路保护功能。

步驟 101 中的网络交换机， 针对不同的相邻网络交换机也可以同时进 入调制模式和解调模式， 这种情况下， 网络交换机同时执行步驟 102和步 驟 104。

步驟 102: 网络交换机产生检测报文。

这里， 所述产生检测报文为： 先根据预设的格式产生报文， 再根据调 制规则对报文进行调制后， 得到最终的检测报文；

其中， 所述预设的格式包括： 报文的 MAC地址设定为 010203040506, 以太网类型设定为 OxFFEE, 源 MAC地址为本网络交换机的 MAC地址， 报文数据字段的标识设定为 0x12345678,报文数据字段的其他字节不限定， CRC根据报文计算得出，报文的长度为 64个字节； 所述报文数据字段的标 识为报文数据字段的前四个字节； 所述报文数据字段的其他字节， 具体内 容由操作人员来设定， 处于调制模式的网络交换机、 和与其相配的处于解 调模式的网络交换机中的报文数据字段的其他 字节内容预置为一致；

所述调制规则为： 对 CRC取反， 源 MAC地址第一字节的最后一位设 为 1 , 从报文数据字段的后端删减指定数量的报文数 据字段的其他字节； 所述删减指定数量的报文数据字段的其他字节 ， 具体为根据实际情况 进行设置， 比如： 可以删除报文数据字段的最后 8个字节， 将最终生成的 报文修改为长度为 56个字节的检测报文。

步驟 103: 网络交换机周期性给相邻网络交换机发送检测 报文， 结束处 理流程。

这里， 所述周期性为预置的一个时长， 比如， 可以将周期预置为 1秒， 该时长可根据需要设置。 步驟 104: 网络交换机实时接收网络信息， 判断网络信息中是否有正确 的检测报文， 如果有正确的检测报文， 则重复执行步驟 104; 否则， 执行步 驟 105。

这里， 所述判断网络信息中是否有正确的检测报文为 ： 先根据解调规 所述解调规则包括： 报文的源 MAC地址第一字节的最后一位设为 0, 对 CRC取反，将报文补充为 64字节； 其中， 所述将报文补充为 64字节为： 根据预置的报文数据字段的其他字节的内容， 将接收到的报文数据字段所 缺少的字节在数据字段的后端进行补充， 比如， 接收到的报文为 56字节， 就从预置的报文数据字段的其他字节的内容中 提取后 8个字节， 补充到实 际接收到的报文数据字段的末端；

所述预设的条件包括： 报文的目的 MAC地址为 010203040506, 以太 网类型为 OxFFEE, 计算报文的 CRC与报文中的 CRC—致； 还原的报文是否符合预设的条件， 若符合， 则还原的报文为正确的检测报 文； 否则， 还原的报文为不正确的检测报文。

步驟 105:网络交换机判断未收到正确检测报文的时� �是否超过断路门 限， 如果超过， 则切断与相邻网络交换机的链路， 将链路调整到保护链路 上， 结束处理流程； 否则， 返回执行步驟 104。

这里， 所述判断未收到正确检测报文的时长指： 网络交换机在每次接 收到正确的检测报文后开启计时器， 再次接收到正确的检测报文后重置计 时器， 通过判断计时器的计时时长来进行是否断路的 判断； 所述保护链路 指： 在网络交换机接入网络时， 利用已有技术获取并保存的一条备用链路 的路径信息记录。

可见， 通过以上步驟， 可以实现在任意相邻的两台网络交换机中， 分 别预设调制规则及解调规则， 产生只有这两台网络交换机才可以解调的检 测报文， 利用检测报文来检测是否有恶意中间设备， 如果有则立即开启保 护链路。

另外， 在上述步驟 103 的操作过程中， 会根据实际情况关闭网络交换 机的调制模式， 如果操作人员关闭调制模式， 则网络交换机返回步驟 101 , 否则继续执行步驟 103;

步驟 104的操作过程中， 会根据实际情况关闭网络交换机的解调模式， 如果操作人员关闭解调模式， 则网络交换机返回步驟 101 , 否则继续执行步 驟 104。

如果上述步驟 104 中网络交换机切换到保护链路， 则说明与相邻网络 交换机的链路上存在恶意中间设备截获了报文 ， 由网络维护人员进行排查 后将恶意中间设备从网络交换机所在链路断开 ， 则原调制模式中的网络交 换机与其相邻的解调模式中的网络交换机的链 路恢复连接状态， 所以在步 驟 104完成后， 网络交换机仍然实时判断接收的网络信息中是 否有正确的 检测报文，若有， 则返回步驟 104; 否则，继续使用保护链路进行信息传输。

如图 2所示， 本发明还提供了一种网络交换机， 包括： 控制管理模 块 21、 调制解调模块 22和连接收发模块 23; 其中，

控制管理模块 21 , 用于在进入调制模式后， 通知调制解调模块 22 发送检测报文， 还用于在进入解调模式后， 确认未收到正确检测报文的 时长超过断路门限时， 向连接收发模块 23发出切断当前链路的指令； 调制解调模块 22, 用于接收控制模块发来的发送检测报文的通知 ， 将检测报文发送给连接收发模块 23;

连接收发模块 23 , 用于接收控制管理模块 21发来的检测报文， 向 相邻的处于解调模式的网络交换机周期性的发 送检测报文， 还用于接收 控制管理模块 21发来的切断当前链路的指令，切断当前与相� ��的处于调 制模式的网络交换机的链路。

所述控制管理模块 21 , 还用于在开启链路保护功能后， 判断进入调 制模式还是解调模式， 当进入调制模式后， 通知调制解调模块 22进入调制 模式， 当进入解调模式后， 通知调制解调模块 22进入解调模式； 相应的， 所述调制解调模块 22,还用于接收控制管理模块 21发来的进入调制模式的 通知或进入解调模式的通知。

所述控制管理模块 21 , 具体用于进入调制模式后， 根据预设的格式产 生报文， 再将产生的报文发送给调制解调模块 22; 相应的， 所述调制解调 模块 22, 具体用于接收到控制管理模块 21发来的报文，根据调制规则对 报文进行调制得到最终的检测报文。

所述控制管理模块 21 , 具体用于根据预设的格式将报文的目的 MAC 地址设定为 010203040506, 以太网类型设定为 OxFFEE, 源 MAC地址为本 网络交换机的 MAC地址， 报文数据字段的标识设定为 0x12345678, 报文 数据字段的其他字节不限定， CRC根据报文计算得出，报文的长度为 64个 字节。

所述调制解调模块 22, 具体用于根据调制规则对报文 CRC取反， 将报 文的源 MAC地址第一字节的最后一位设为 1 , 且从报文数据字段的后端删 减指定数量的报文数据字段的其他字节， 最终得到检测报文。

所述调制解调模块 22, 具体用于进入解调模式后， 接收连接收发模块 23发来的网络信息， 根据解调规则对网络信息中的报文进行还原， 再将还 原的报文发送给控制管理模块 21 ; 相应的， 所述控制管理模块 21 , 具体用 于接收调制解调模块 22发来的还原的报文， 利用预设的条件判断还原的报 文是否为正确的检测报文； 所述连接收发模块 23, 具体用于将网络信息发 送给调制解调模块 22。

所述调制解调模块 22, 具体用于按照解调规则将报文的源 MAC地址 第一字节的最后一位设为 0, 对 CRC取反， 将报文补充为 64字节。

所述控制管理模块 21 , 具体用于判断还原的报文是否符合预设的条件 定义的 4艮文的目的 MAC地址为 010203040506, 以太网类型为 OxFFEE, 且 计算报文的 CRC与报文中的 CRC—致， 如果符合这三个条件则说明还原 的报文为正确的检测报文， 否则为不正确的检测报文。

所述控制管理模块 21 , 具体用于在每次接收到正确的检测报文后开启 计时器， 再次接收到正确的检测报文后重置计时器， 通过判断计时器的及 时时长来判断未收到正确检测报文的时长是否 超过断路门限， 如果超过， 则向连接收发模块 23发出切断当前链路的指令并通知连接收发模� �� 23 将连接链路调整到保护链路， 否则， 继续判断网络信息中是否有正确的检 测报文； 相应的， 所述连接收发模块 23, 具体用于接收控制管理模块 21 发来的切断当前链路的指令和将连接链路调整 到保护链路通知后， 切断 当前与相邻的处于调制模式的网络交换机的链 路， 并将链路调整到保护 链路。

所述控制管理模块 21 , 可以根据设置从调制模式进入解调模式，或从 解调模式进入调制模块， 也可以同时进入调制模式及解调模式。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。