實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法

1.一種實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，該方法在以太網(wǎng)交換機(jī)上采用IEEE802.1x協(xié)議，并在用戶PC和城域以太網(wǎng)交換機(jī)上安裝防代理軟件，當(dāng)用戶PC需要上網(wǎng)時(shí)，進(jìn)行如下處理過(guò)程：
(1)用戶PC運(yùn)行AP?Client軟件，啟動(dòng)802.1x?Client功能，進(jìn)行802.1x認(rèn)證；城域以太網(wǎng)交換機(jī)在用戶PC接入的端口上開(kāi)啟安全控制功能，所有連接用戶PC的端口都是關(guān)閉的，并啟動(dòng)802.1x?Server功能；
(2)如果802.1x認(rèn)證失敗，802.1x?Server就給用戶PC發(fā)送認(rèn)證失敗消息，城域以太網(wǎng)交換機(jī)不開(kāi)啟端口；如果認(rèn)證通過(guò)，802.1xServer給用戶PC發(fā)送認(rèn)證成功消息，開(kāi)啟城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口，用戶PC即可通過(guò)城域以太網(wǎng)交換機(jī)上網(wǎng)；
(3)用戶PC操作系統(tǒng)自帶的DHCP?Client通過(guò)城域以太網(wǎng)交換機(jī)與DHCP?Server進(jìn)行通信，城域以太網(wǎng)交換機(jī)解析并轉(zhuǎn)發(fā)DHCP數(shù)據(jù)報(bào)文，實(shí)現(xiàn)DHCP?SNOOP功能；
(4)當(dāng)檢測(cè)到用戶PC啟用了代理軟件或關(guān)閉了AP?Client，APServer就關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口，使該用戶PC無(wú)法繼續(xù)上網(wǎng)；
步驟(4)中檢測(cè)用戶PC是否啟用了代理軟件的方法包括：
(4.1)AP?Client判斷當(dāng)前是否有知名的代理軟件程序在運(yùn)行；
(4.2)AP?Client檢測(cè)用戶PC收到的報(bào)文；
(4.3)AP?Client發(fā)出一個(gè)連接請(qǐng)求給本用戶PC，連接請(qǐng)求中的目的IP地址由它設(shè)定為一個(gè)特殊地址，如果本用戶PC接受了該連接，并且向網(wǎng)關(guān)發(fā)送連接請(qǐng)求，而且該連接請(qǐng)求的目的IP地址是APClient設(shè)定的IP地址，則AP?Client判定這臺(tái)用戶PC上運(yùn)行了代理軟件；
步驟(4)中，對(duì)啟用代理軟件的用戶PC的處理方式如下：當(dāng)用戶PC啟用代理軟件時(shí)，用戶PC的AP?Client向AP?Server發(fā)送消息，AP?Server收到消息后關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口。
2.如權(quán)利要求1所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其特征在于：AP?Server周期性發(fā)送攜帶有隨機(jī)序列的AP-Check消息給AP?Client，并等待AP?Client回應(yīng)的AP-Check-Response，如果用戶PC關(guān)閉AP?Client，則AP?Server無(wú)法收到正確的AP-Check-Response，所述AP?Server會(huì)關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口。
3.如權(quán)利要求2所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其特征在于：AP?Client與AP?Server之間有一個(gè)共享密碼，使用該共享密碼對(duì)隨機(jī)序列進(jìn)行加密。
4.如權(quán)利要求1所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其特征在于：在城域以太網(wǎng)交換機(jī)上設(shè)置一個(gè)專用交換芯片，識(shí)別P2P數(shù)據(jù)流量，建立相應(yīng)控制表項(xiàng)，從而根據(jù)需要設(shè)置具體表項(xiàng)的流量限制數(shù)值。
5.如權(quán)利要求1所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其特征在于：步驟(3)中城域以太網(wǎng)交換機(jī)一方面給DHCPServer提供具體的用戶定位信息，另一方面建立包括用戶PC的IP地址、MAC地址、接入端口號(hào)、用戶接入端口的VLAN信息在內(nèi)的用戶監(jiān)控表項(xiàng)，只有完全與監(jiān)控表項(xiàng)匹配的數(shù)據(jù)才能通過(guò)城域以太網(wǎng)交換機(jī)，其余數(shù)據(jù)被城域以太網(wǎng)交換機(jī)丟棄。

技術(shù)領(lǐng)域\n本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，涉及以太網(wǎng)交換機(jī)的安全控制技術(shù)，具體涉及一種實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法。\n背景技術(shù)\n目前，以太網(wǎng)交換機(jī)常用的幾種安全控制技術(shù)如下：\n●用戶合法性認(rèn)證\n在城域以太網(wǎng)交換機(jī)上最常用的用戶合法性認(rèn)證功能是IEEE\n802.1x(下文簡(jiǎn)稱802.1x)。該協(xié)議是基于Client/Server模式的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶設(shè)備通過(guò)接入端口訪問(wèn)LAN/WAN。在獲得城域以太網(wǎng)交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到城域以太網(wǎng)交換機(jī)端口上的用戶設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)報(bào)文通過(guò)用戶設(shè)備連接的城域以太網(wǎng)交換機(jī)端口；認(rèn)證通過(guò)以后，普通數(shù)據(jù)才可以通過(guò)交換機(jī)端口。該協(xié)議通過(guò)3個(gè)功能實(shí)體來(lái)實(shí)現(xiàn)其功能，如圖1所示。\n(1)用戶端的802.1x?Client\n輸入用戶ID(標(biāo)識(shí))和密碼，實(shí)現(xiàn)802.1x?Client的主要功能。\n(2)靠近用戶側(cè)的以城域太網(wǎng)交換機(jī)\n實(shí)現(xiàn)遠(yuǎn)端授權(quán)撥號(hào)上網(wǎng)用戶服務(wù)認(rèn)證代理功能，并根據(jù)RADIUS服務(wù)器的認(rèn)證結(jié)果，決定是否開(kāi)放用戶設(shè)備連接的以太網(wǎng)業(yè)務(wù)端口的訪問(wèn)權(quán)限。\n(3)RADIUS服務(wù)器\n進(jìn)行用戶ID和密碼的認(rèn)證，并返回結(jié)果給以太網(wǎng)交換機(jī)。\n以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，其中不受控端口專用于802.1x協(xié)議報(bào)文處理，受控端口用于除了802.1x協(xié)議報(bào)文以外的普通數(shù)據(jù)轉(zhuǎn)發(fā)。對(duì)受控端口的訪問(wèn)，受限于該端口的授權(quán)狀態(tài)。城域以太網(wǎng)交換機(jī)根據(jù)認(rèn)證服務(wù)器對(duì)用戶進(jìn)行認(rèn)證的結(jié)果，控制受控端口的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的受控端口，拒絕轉(zhuǎn)發(fā)用戶設(shè)備的數(shù)據(jù)。\n初始狀態(tài)下，與用戶設(shè)備相連的城域以太網(wǎng)交換機(jī)的所有端口的受控端口都處于未授權(quán)狀態(tài)，不轉(zhuǎn)發(fā)數(shù)據(jù)，只有不受控端口是開(kāi)放的。用戶設(shè)備通過(guò)802.1x?Client登錄城域以太網(wǎng)交換機(jī)，城域以太網(wǎng)交換機(jī)將用戶提供的ID和密碼傳送到后臺(tái)的RADIUS服務(wù)器(可以在本地，也可以通過(guò)廣域網(wǎng)設(shè)備連到遠(yuǎn)地)，如果用戶通過(guò)認(rèn)證，則城域以太網(wǎng)交換機(jī)打開(kāi)與其相應(yīng)的受控端口，允許用戶設(shè)備訪問(wèn)互連網(wǎng)。\n這種基于城域以太網(wǎng)交換機(jī)實(shí)現(xiàn)的用戶管理方法，可以使整個(gè)網(wǎng)絡(luò)的組網(wǎng)變得非常簡(jiǎn)單，通過(guò)城域以太網(wǎng)交換機(jī)和路由器兩種設(shè)備即基本實(shí)現(xiàn)，可同時(shí)實(shí)現(xiàn)業(yè)務(wù)的集中控制(以RADIUS為核心的業(yè)務(wù)中心控制)和分散實(shí)現(xiàn)(靠近用戶的城域以太網(wǎng)交換機(jī)實(shí)現(xiàn))。\n802.1x協(xié)議是基于端口的網(wǎng)絡(luò)訪問(wèn)控制技術(shù)。其基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶設(shè)備可以訪問(wèn)網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)。\n網(wǎng)絡(luò)訪問(wèn)技術(shù)的核心部分是PAE(端口訪問(wèn)實(shí)體)。在訪問(wèn)控制流程中，端口訪問(wèn)實(shí)體包含3部分：\n認(rèn)證者——對(duì)接入的用戶設(shè)備進(jìn)行認(rèn)證的端口；\n請(qǐng)求者——被認(rèn)證的用戶設(shè)備；\n認(rèn)證服務(wù)器——根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源的用戶設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。\n圖2示意了受控端口的授權(quán)狀態(tài)對(duì)訪問(wèn)的影響。認(rèn)證者1(可能是城域以太網(wǎng)交換機(jī)的某個(gè)端口)的受控端口處于未授權(quán)狀態(tài)，因此受控端口不轉(zhuǎn)發(fā)用戶設(shè)備的數(shù)據(jù)，用戶設(shè)備無(wú)法通過(guò)受控端口訪問(wèn)網(wǎng)絡(luò)；認(rèn)證者2(以太網(wǎng)交換機(jī)的另一個(gè)端口)的受控端口已經(jīng)授權(quán)，該受控端口轉(zhuǎn)發(fā)用戶設(shè)備的數(shù)據(jù)，因此用戶設(shè)備可以訪問(wèn)網(wǎng)絡(luò)。\n802.1x可以在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，并可以通過(guò)設(shè)備實(shí)現(xiàn)MAC地址、端口、賬戶信息的綁定，具有很高的安全性。該功能能夠保證用戶自身的合法性，但是它也有其局限性，它無(wú)法確保合法用戶不進(jìn)行非法的代理操作，無(wú)法保證合法用戶的流量是合法的，也無(wú)法在網(wǎng)絡(luò)中心和網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)對(duì)用戶設(shè)備信息的監(jiān)控。\n●防止合法用戶代理\n網(wǎng)絡(luò)接入技術(shù)雖然有了各種各樣的認(rèn)證機(jī)制，比如IEEE?802.1x，但是身份認(rèn)證技術(shù)并不能防止非法用戶PC通過(guò)合法用戶PC上的代理軟件上網(wǎng)，因?yàn)榉欠ㄓ脩鬚C的數(shù)據(jù)經(jīng)過(guò)代理軟件后，網(wǎng)絡(luò)接入設(shè)備就無(wú)法區(qū)分它與合法用戶PC發(fā)出的數(shù)據(jù)。這些非法用戶PC的數(shù)據(jù)的存在增加了網(wǎng)絡(luò)負(fù)載，危害了網(wǎng)絡(luò)安全也損害了合法用戶的利益。\n目前網(wǎng)絡(luò)中的城域以太網(wǎng)交換機(jī)還沒(méi)有對(duì)合法用戶PC代理的情況進(jìn)行有效的處理。\n●控制P2P流量\nP2P技術(shù)是一種用于不同用戶PC之間、不經(jīng)過(guò)中繼設(shè)備直接交換數(shù)據(jù)或服務(wù)的技術(shù)。它打破了傳統(tǒng)的Client/Server模式，在對(duì)等網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)的地位都是相同的，具備客戶端和服務(wù)器雙重特性，可以同時(shí)作為服務(wù)使用者和服務(wù)提供者。由于P2P技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)的存儲(chǔ)模式將由目前的“內(nèi)容位于中心”模式轉(zhuǎn)變?yōu)椤皟?nèi)容分散存儲(chǔ)”模式，改變了Internet現(xiàn)在的以大網(wǎng)站為中心的流量狀態(tài)。\n現(xiàn)在互聯(lián)網(wǎng)上最常用的P2P軟件是BT(Bit?Torrent)。\nP2P技術(shù)主要帶來(lái)了如下一些變化：\n(1)Internet上流量模型的變化。現(xiàn)在Internet上70％的流量都是P2P的流量，而傳統(tǒng)的HTTP流量已經(jīng)不是Internet上的主要流量。\n(2)個(gè)人用戶的流量模型的變化。以前個(gè)人用戶的下行流量(從Internet到個(gè)人用戶)遠(yuǎn)遠(yuǎn)大于上行流量。而由于P2P技術(shù)在下載的同時(shí)，也需要上傳。導(dǎo)致個(gè)人用戶的下行流量和上行流量都很大。\n(3)P2P流量造成網(wǎng)絡(luò)的極度擁塞。\n現(xiàn)有網(wǎng)絡(luò)設(shè)備，例如防火墻，具有一定數(shù)據(jù)報(bào)文過(guò)濾功能，但是這些過(guò)濾功能都是基于ACL實(shí)現(xiàn)的，通常只能根據(jù)數(shù)據(jù)報(bào)文的IP地址、MAC地址、協(xié)議類型、端口號(hào)信息進(jìn)行過(guò)濾。它可以準(zhǔn)確過(guò)濾傳統(tǒng)網(wǎng)絡(luò)流量，但是無(wú)法準(zhǔn)確過(guò)濾P2P流量。以BT為例：BT的全稱是Bit?Torrent，由于它使用的端口號(hào)是可以自定義的，管理人員無(wú)法獲知，所以使用端口號(hào)進(jìn)行BT流量準(zhǔn)確監(jiān)控比較困難。由此可見(jiàn)，傳統(tǒng)防火墻無(wú)法準(zhǔn)確控制用戶的BT流量，出現(xiàn)了安全漏洞。\n●DHCP?SNOOP\nDHCP?SNOOP能夠加強(qiáng)DHCP的安全性，它通過(guò)DHCP的82選項(xiàng)來(lái)實(shí)現(xiàn)功能。其目的是讓DHCP?Server能夠知道某個(gè)用戶的詳細(xì)接入信息，即該用戶來(lái)自于哪個(gè)城域以太網(wǎng)交換機(jī)的哪個(gè)端口；同時(shí)讓接入交換機(jī)能夠控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。\n其第一個(gè)功能：即獲取用戶信息的功能由城域以太網(wǎng)交換機(jī)的添加DHCP?82選項(xiàng)功能完成；\n其第二個(gè)功能：即用戶控制功能由城域以太網(wǎng)交換機(jī)的硬件查表功能完成；\n其實(shí)現(xiàn)的簡(jiǎn)單網(wǎng)絡(luò)拓?fù)鋱D如圖3。\nDHCP?Client運(yùn)行在用戶的PC上，DHCPSNOOP運(yùn)行在城域以太網(wǎng)交換機(jī)上，DHCP?Server運(yùn)行在DHCP服務(wù)器上，并且該服務(wù)器能夠解析DHCP?82選項(xiàng)。\n以下兩個(gè)子類型都屬于DHCP的82選項(xiàng)的內(nèi)容，它們包含了用戶PC所連接的以太網(wǎng)交換機(jī)、VLAN、端口信息。DHCP?82選項(xiàng)全長(zhǎng)20字節(jié)，其中內(nèi)容為18字節(jié)，另外有1字節(jié)的選項(xiàng)標(biāo)識(shí)符(0x52)和1字節(jié)的選項(xiàng)內(nèi)容長(zhǎng)度(0x12)。該選項(xiàng)位于END選項(xiàng)的前面。\n??表(1)鏈路ID??選項(xiàng)幀格式：??Suboption?type??(1) ??Len(6) ??Circuit??ID?type??(0) ??Len??(4) ??VLAN ??Module ??Port\n1B????????????????1B????????1B??????????1B??????2B??????1B????????1B\n字段描述：\nSuboption?type：占用1字節(jié)，表示消息類型，填充為1；\nLen：占用1字節(jié)，整個(gè)子類型的長(zhǎng)度，填充為6；\n鏈路ID類型：填充為0；\nLen：內(nèi)容長(zhǎng)度；\nVLAN：數(shù)據(jù)報(bào)文所處VLAN；\nModule：模塊號(hào)；\nPort：入端口號(hào)；\n?表(2)遠(yuǎn)程ID選項(xiàng)?幀格式：Suboption?type(2) ??Len(8) ?Remote?ID?type(0) ??Len(6) ?MAC ???1B???????????????????1B???????1B???????????????????1B???????6B\n字段描述：\nSuboption?type：占用1字節(jié)，表示消息類型，填充為2；\nLen：占用1字節(jié)，整個(gè)子類型的長(zhǎng)度，填充為8；\n遠(yuǎn)程ID類型：填充為0；\nLen：內(nèi)容長(zhǎng)度，固定為6；\nMAC：城域以太網(wǎng)交換機(jī)MAC地址；\nDHCP?Server收到攜帶有DHCP?82選項(xiàng)的數(shù)據(jù)報(bào)文后，解析該數(shù)據(jù)報(bào)文，獲取與該用戶PC相連的城域以太網(wǎng)交換機(jī)MAC地址、用戶接入端口、用戶接入端口所處的VLAN信息，建立數(shù)據(jù)庫(kù)，實(shí)現(xiàn)對(duì)用戶PC的監(jiān)控。一旦某個(gè)用戶PC有異常情況出現(xiàn)，可以迅速通過(guò)該數(shù)據(jù)庫(kù)查找到該用戶信息。\n處于用戶和DHCP?Server之間的城域以太網(wǎng)交換機(jī)，截獲用戶PC與DHCP?Server之間通信的DHCP數(shù)據(jù)報(bào)文，獲取用戶PC的IP地址、MAC地址、接入端口號(hào)、接入端口的VLAN信息，建立監(jiān)控表項(xiàng)，只有完全匹配了監(jiān)控表項(xiàng)的數(shù)據(jù)才能由城域以太網(wǎng)交換機(jī)轉(zhuǎn)發(fā)，這樣用戶PC通過(guò)私自配置IP地址的方式就無(wú)法上網(wǎng)，減小了IP地址盜用和用戶私自更改IP地址給網(wǎng)絡(luò)帶來(lái)的危害。\nDHCP?SNOOP功能可以監(jiān)控并及時(shí)定位用戶PC，最大限度的保證網(wǎng)絡(luò)規(guī)劃不受破壞，但是它也有其局限性，這主要表現(xiàn)在：它無(wú)法驗(yàn)證用戶PC自身的合法性，無(wú)法保證合法用戶PC不進(jìn)行非法的代理操作，也無(wú)法限制用戶PC的非法流量。\n在對(duì)本發(fā)明的技術(shù)方案進(jìn)行描述之前，先介紹一些常用術(shù)語(yǔ)。\nIP(Internet?Protocol(網(wǎng)際協(xié)議))：該協(xié)議是當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)的根本，其主要作用是將世界上的各種包交換網(wǎng)絡(luò)進(jìn)行互聯(lián)，關(guān)于該協(xié)議的詳細(xì)介紹請(qǐng)參考RFC791。\nIP地址(IP?Address)：在IP網(wǎng)絡(luò)中，任何一個(gè)網(wǎng)絡(luò)中的節(jié)點(diǎn)都需要使用一個(gè)標(biāo)識(shí)來(lái)代表本節(jié)點(diǎn)，在IP協(xié)議中稱該標(biāo)識(shí)為IP地址(即網(wǎng)絡(luò)節(jié)點(diǎn)的邏輯地址)。\nDNS(Domain?Name?System)：該協(xié)議的主要功能是解決一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)名字到IP地址的映射，關(guān)于該協(xié)議的詳細(xì)介紹請(qǐng)參考RFC1034。\nTCP(Transmission?Control?Protocol(傳輸控制協(xié)議))：運(yùn)行于IP協(xié)議之上，功能是保證數(shù)據(jù)正確地在IP網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間傳輸，關(guān)于該協(xié)議的詳細(xì)介紹請(qǐng)參考RFC793。\nInternet：直譯為互聯(lián)網(wǎng)，目前指通過(guò)TCP/IP連接起來(lái)的世界上所有的網(wǎng)絡(luò)的總稱。\nDHCP(Dynamic?Host?Configuration?Protocol(動(dòng)態(tài)主機(jī)配置協(xié)議))：該協(xié)議的目標(biāo)是將配置信息傳遞給在TCP/IP網(wǎng)絡(luò)中的主機(jī)，關(guān)于該協(xié)議的詳細(xì)介紹請(qǐng)參考RFC1541。\nEAP：extensible?authentication?protocol，可擴(kuò)展認(rèn)證協(xié)議。\nEAPOL：EAP?over?LANs，局域網(wǎng)上的EAP。\nRADIUS：remote?authentication?dial?in?user?service，用戶服務(wù)的遠(yuǎn)程認(rèn)證撥號(hào)。\nLAN：local?area?networks，局域網(wǎng)。\nWAN：wide?area?networks，廣域網(wǎng)。\nPC：personal?computer，個(gè)人主機(jī)。\nHTTP：超文本傳輸協(xié)議，目前游覽網(wǎng)頁(yè)使用的就是該協(xié)議。\nACL：access-list，訪問(wèn)列表，通常根據(jù)數(shù)據(jù)報(bào)文的IP地址、MAC地址、協(xié)議類型、端口號(hào)信息來(lái)控制數(shù)據(jù)流量。\nVLAN：虛擬局域網(wǎng)。\nAP：anti-proxy，防代理。\nAP?Client：防代理軟件客戶端。\nAP?Server：防代理軟件服務(wù)器端。\n發(fā)明內(nèi)容\n本發(fā)明的目的在于針對(duì)現(xiàn)有城域以太網(wǎng)交換機(jī)的安全控制技術(shù)種類繁多，功能不夠完善，配置相對(duì)復(fù)雜的問(wèn)題，提出了一種實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法。該方法綜合了城域以太網(wǎng)交換機(jī)現(xiàn)有的多種安全控制技術(shù)，使之能夠更加全面、完善的控制、監(jiān)督用戶，并且配置簡(jiǎn)便，從而進(jìn)一步提高了網(wǎng)絡(luò)的安全性、穩(wěn)定性和可操作性。\n本發(fā)明的技術(shù)方案如下：一種實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，該方法在城域以太網(wǎng)交換機(jī)和用戶PC上采用IEEE802.1x協(xié)議，并且在它們上面安裝防代理軟件，在所述城域以太網(wǎng)交換機(jī)和用戶PC上分別運(yùn)行AP?Server、AP?Client，當(dāng)用戶需要上網(wǎng)時(shí)，進(jìn)行如下處理過(guò)程：\n(1)用戶PC運(yùn)行AP?Client軟件，啟動(dòng)802.1x功能，進(jìn)行802.1x認(rèn)證；城域以太網(wǎng)交換機(jī)在用戶PC接入的端口上開(kāi)啟安全控制功能，所有連接用戶PC的端口都是關(guān)閉的，并啟動(dòng)802.1x?Server功能；\n(2)如果802.1x認(rèn)證失敗，802.1x?Server就給用戶PC發(fā)送認(rèn)證失敗消息，城域以太網(wǎng)交換機(jī)不開(kāi)啟端口；如果認(rèn)證通過(guò)，802.1x\nServer給用戶PC發(fā)送認(rèn)證成功消息，開(kāi)啟城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口，用戶PC即可通過(guò)開(kāi)啟城域以太網(wǎng)交換機(jī)上網(wǎng)；\n(3)DHCP?Client(用戶PC操作系統(tǒng)自帶)通過(guò)城域以太網(wǎng)交換機(jī)與DHCP?Server進(jìn)行通信，城域以太網(wǎng)交換機(jī)解析并轉(zhuǎn)發(fā)DHCP數(shù)據(jù)報(bào)文，實(shí)現(xiàn)DHCP?SNOOP功能；\n(4)當(dāng)檢測(cè)到用戶PC啟用了代理軟件或關(guān)閉了AP?Client，APServer就關(guān)閉城域以太網(wǎng)交換機(jī)的連接所述用戶PC的端口，使該用戶PC無(wú)法繼續(xù)上網(wǎng)。\n步驟(4)中檢測(cè)用戶PC是否啟用了代理軟件的方法包括：\n(4.1)AP?Client判斷當(dāng)前是否有知名的代理軟件程序在運(yùn)行；\n(4.2)AP?Client檢測(cè)用戶PC收到的報(bào)文；\n(4.3)AP?Client發(fā)出一個(gè)連接請(qǐng)求給本用戶PC，連接請(qǐng)求中的目的IP地址由它設(shè)定為一個(gè)特殊地址，如果本用戶PC接受了該連接，并且向網(wǎng)關(guān)發(fā)送連接請(qǐng)求，而且這個(gè)連接請(qǐng)求的目的IP地址是APClient設(shè)定的IP地址，則AP?Client判定這臺(tái)用戶PC上運(yùn)行了代理軟件。\n進(jìn)一步，當(dāng)用戶PC啟用了代理軟件時(shí)，用戶PC的Client軟件向AP?Server發(fā)送消息，AP?Server收到消息后關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的接口。\n如上所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其中，防代理軟件分為運(yùn)行在用戶PC上的AP?Client和運(yùn)行在交城域以太網(wǎng)換機(jī)上的AP?Server。AP?Server周期的發(fā)送攜帶有隨機(jī)序列的AP-Check消息給AP?Client，并等待AP?Client回應(yīng)的AP-Check-Response，如果用戶PC關(guān)閉AP?Client，則AP?Server無(wú)法收到正確的AP-Check-Response，所述AP?Server會(huì)關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口。\nAP?Client與AP?Server之間有一個(gè)共享密碼，使用該共享密碼對(duì)隨機(jī)序列進(jìn)行加密。\n如上所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其中，在城域以太網(wǎng)交換機(jī)上設(shè)置一個(gè)專用交換芯片，識(shí)別P2P數(shù)據(jù)流量，建立相應(yīng)控制表項(xiàng)，從而根據(jù)需要設(shè)置具體表項(xiàng)的流量限制數(shù)值。\n如上所述的實(shí)現(xiàn)城域以太網(wǎng)交換機(jī)接入安全的智能控制方法，其中，步驟(3)中城域以太網(wǎng)交換機(jī)一方面給DHCP?Server提供具體的用戶PC定位信息，另一方面建立包括用戶PC的IP地址、MAC地址、接入端口號(hào)、接入端口的VLAN信息在內(nèi)的用戶監(jiān)控表項(xiàng)，只有完全與監(jiān)控表項(xiàng)匹配的數(shù)據(jù)才能通過(guò)城域以太網(wǎng)交換機(jī)，其余數(shù)據(jù)被城域以太網(wǎng)交換機(jī)丟棄。\n本發(fā)明的有益效果在于：安全城域以太網(wǎng)交換機(jī)綜合實(shí)現(xiàn)了用戶合法性認(rèn)證、防止合法用戶實(shí)施非法代理、控制P2P流量、DHCPSNOOP功能，能夠更加全面、完善的控制、監(jiān)督用戶，并且配置簡(jiǎn)便，從而進(jìn)一步提高了網(wǎng)絡(luò)的安全性、穩(wěn)定性和可操作性。其中的防止合法用戶實(shí)施非法代理和控制P2P流量這兩項(xiàng)功能采用了特有的防代理機(jī)制和控制P2P流量機(jī)制，實(shí)現(xiàn)了完善的用戶監(jiān)控，合理控制了網(wǎng)絡(luò)流量，加強(qiáng)了網(wǎng)絡(luò)安全。\n附圖說(shuō)明\n圖1為以太網(wǎng)端口用戶管理認(rèn)證模式示意圖。\n圖2為受控端口的受控狀態(tài)示意圖。\n圖3為DHCP應(yīng)用示意圖。\n圖4為防代理應(yīng)用和P2P檢測(cè)的簡(jiǎn)單網(wǎng)絡(luò)拓?fù)鋱D。\n圖5為防代理軟件流程圖。\n圖6為專用交換芯片邏輯圖。\n圖7為交換機(jī)側(cè)P2P監(jiān)控流程圖。\n圖8為用戶受控?cái)?shù)據(jù)流程圖。\n圖9為安全交換機(jī)數(shù)據(jù)流程圖。\n圖10為多業(yè)務(wù)以太網(wǎng)交換機(jī)平臺(tái)示意圖。\n圖11為多業(yè)務(wù)以太網(wǎng)交換機(jī)軟件功能模塊示意圖。\n具體實(shí)施方式\n下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)的描述。\n●采用IEEE802.1x協(xié)議\n該協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶設(shè)備通過(guò)接入端口訪問(wèn)LAN/WAN。在獲得城域以太網(wǎng)交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到城域以太網(wǎng)交換機(jī)端口上的用戶設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)報(bào)文通過(guò)用戶設(shè)備連接的城域以太網(wǎng)交換機(jī)端口；認(rèn)證通過(guò)以后，普通的數(shù)據(jù)才可以通過(guò)城域以太網(wǎng)交換機(jī)端口。\n●基于城域以太網(wǎng)交換機(jī)的端口認(rèn)證和應(yīng)用程序綁定實(shí)現(xiàn)的防代理\n以802.1x為代表的用戶身份認(rèn)證技術(shù)并不能防止非法用戶PC通過(guò)合法用戶PC上的代理軟件上網(wǎng)，因?yàn)榉欠ㄓ脩鬚C的數(shù)據(jù)經(jīng)過(guò)代理軟件處理后，城域以太網(wǎng)交換機(jī)就無(wú)法區(qū)分這類數(shù)據(jù)和合法用戶PC發(fā)出的數(shù)據(jù)，這樣非法用戶PC就可以訪問(wèn)網(wǎng)絡(luò)。這種情況的出現(xiàn)，損害了其他合法用戶的利益并且給網(wǎng)絡(luò)帶來(lái)了不安全因素。\n防代理協(xié)議能夠提供防止這種情況的出現(xiàn)?，F(xiàn)有的認(rèn)證機(jī)制已經(jīng)可以確保對(duì)合法用戶的驗(yàn)證，如果能夠確認(rèn)合法用戶的PC沒(méi)有安裝并使用代理軟件，那么網(wǎng)絡(luò)就可以接受合法用戶PC的數(shù)據(jù)。解決的辦法是使用防代理軟件，該軟件分為運(yùn)行在用戶PC上的AP?Client和運(yùn)行在城域以太網(wǎng)交換機(jī)上的AP?Server。AP?Client如果發(fā)現(xiàn)用戶PC使用了代理軟件，那么它就通知AP?Server，由所述AP?Server禁止所述用戶PC向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)；同時(shí)為了防止合法用戶PC不啟用防代理軟件，AP?Server還需要確保合法用戶PC運(yùn)行了AP?Client。\n當(dāng)啟動(dòng)防代理軟件后，AP?Server會(huì)關(guān)閉城域以太網(wǎng)交換機(jī)所有連接用戶PC的端口，只有AP?Client通過(guò)防代理認(rèn)證后，AP?Server才會(huì)開(kāi)放城域以太網(wǎng)交換機(jī)與之相連的端口。如果用戶PC不啟動(dòng)AP?Client，那么AP?Server不會(huì)讓該用戶PC通過(guò)認(rèn)證，所述用戶PC數(shù)據(jù)無(wú)法通過(guò)該城域以太網(wǎng)交換機(jī)，當(dāng)所述用戶PC啟動(dòng)了AP?Client后，AP?Client就會(huì)自動(dòng)檢查所述用戶PC是否啟用了代理功能，如果啟用了，它就給AP?Server發(fā)送消息，由AP?Server關(guān)閉城域以太網(wǎng)交換機(jī)連接該用戶PC的端口，強(qiáng)制用戶PC下線。\n防代理協(xié)議分為AP?Client和AP?Server，AP?Client運(yùn)行在用戶的PC上，AP?Server運(yùn)行在城域以太網(wǎng)交換機(jī)上。\n其實(shí)現(xiàn)的簡(jiǎn)單網(wǎng)絡(luò)拓?fù)淙鐖D4所示。\n發(fā)現(xiàn)用戶PC是否使用了代理軟件的方法如下：\n(1)是否有知名代理軟件運(yùn)行。即AP?Client判斷當(dāng)前是否有知名的代理軟件程序在運(yùn)行。\n(2)檢測(cè)合法PC收到的數(shù)據(jù)報(bào)文。AP?Client運(yùn)行后，它可以分析該用戶PC網(wǎng)卡收到的數(shù)據(jù)報(bào)文，如果數(shù)據(jù)報(bào)文的頭部有“PROXY”特征字段出現(xiàn)，說(shuō)明該數(shù)據(jù)報(bào)文是來(lái)自于非法用戶PC的需要代理的數(shù)據(jù)報(bào)文，這就表明該合法用戶PC運(yùn)行了代理軟件，實(shí)施了代理功能。\n(3)發(fā)數(shù)據(jù)報(bào)文進(jìn)行檢測(cè)。AP?Client發(fā)出一個(gè)連接請(qǐng)求給本用戶PC(連接請(qǐng)求中的目的IP地址由AP?Client設(shè)定為一個(gè)特殊地址)，如果本PC接受了本連接、并且向網(wǎng)關(guān)發(fā)送連接請(qǐng)求、并且該連接請(qǐng)求的目的IP地址是AP?Client設(shè)定的IP地址，那么就可以確定這臺(tái)用戶PC上運(yùn)行了代理軟件。\nAP?Client發(fā)現(xiàn)用戶PC使用了代理軟件后的處理如下：一旦發(fā)現(xiàn)用戶PC開(kāi)啟代理軟件，例如：ProxyCap、MagicProxy、Proxifier，實(shí)施代理服務(wù)，AP?Client會(huì)發(fā)送AP-Disconnect-Request消息，請(qǐng)求斷開(kāi)連接。AP?Server收到并處理AP-Disconnect-Request該消息后，關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口，，所述用戶PC被強(qiáng)制下線。\n確保用戶啟動(dòng)防代理軟件的流程如下：\n建鏈過(guò)程：\nAP?Client與AP?Server之間有一個(gè)共享密碼。開(kāi)始由用戶PC的AP?Client向網(wǎng)絡(luò)發(fā)送AP-Discover消息，AP?Server接收到之后以AP-Check應(yīng)答，AP-Check攜帶一個(gè)隨機(jī)序列。AP?Client收到AP-Check消息后，發(fā)送AP-Check-Response作為應(yīng)答，在應(yīng)答之前，它需要使用共享密碼來(lái)對(duì)隨機(jī)序列進(jìn)行加密，使用MD5算法，然后將結(jié)果填入AP-Check-Response。如果AP?Server發(fā)現(xiàn)Check-Response失敗，那么說(shuō)明用戶PC使用的AP?Client非法，直接關(guān)閉這個(gè)用戶PC，不用發(fā)送AP-Disconnect消息，并且這個(gè)用戶PC需要等待一段時(shí)間之后才能再次連接。如果AP-Check-Response結(jié)果正確，APServer發(fā)送AP-Start消息給AP?Client，AP?Client收到該消息后開(kāi)始檢查代理軟件，此時(shí)AP?Client進(jìn)入已連接狀態(tài)，AP?Server開(kāi)啟城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口，所述用戶PC數(shù)據(jù)可以通過(guò)該城域以太網(wǎng)交換機(jī)。\n此后，AP?Server周期的發(fā)送AP-Check消息給用戶PC的APClient，并等待AP?Client回應(yīng)的AP-Check-Response(同樣需要加密)，以防止用戶PC中途關(guān)閉AP?Client。一旦用戶PC關(guān)閉AP?Client，AP-Server就無(wú)法收到AP-Check-Response，或者只能收到假冒的錯(cuò)誤的AP-Check-Response，從而關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口。\n拆鏈過(guò)程：\nAP?Client與AP?Server均可以發(fā)起拆鏈過(guò)程，拆鏈的發(fā)起方首先發(fā)送AP-Disconnect-Request消息，該消息的接收方收到之后發(fā)送AP-Disconnect-Check消息，AP-Disconnect-Check該消息中包含一個(gè)隨機(jī)序列，拆鏈的請(qǐng)求者需要對(duì)隨機(jī)序列進(jìn)行計(jì)算后發(fā)送AP-Disconnect-Response消息給對(duì)方，如果拆鏈的接收方發(fā)現(xiàn)AP-Disconnect-Response計(jì)算結(jié)果正確，那么斷開(kāi)連接，否則不斷開(kāi)連接。把拆鏈過(guò)程加入認(rèn)證過(guò)程主要是為了防止有惡意用戶偽造拆鏈消息來(lái)拆除其它用戶PC的AP?Client與城域以太網(wǎng)交換機(jī)上的APServer的連接。\n圖5是用戶沒(méi)有啟動(dòng)代理軟件情況下的防代理軟件處理流程圖。\n●基于數(shù)據(jù)報(bào)文的深度檢測(cè)來(lái)控制P2P流量\n城域以太網(wǎng)交換機(jī)對(duì)P2P軟件采用深度檢測(cè)的方法，可以精確的識(shí)別P2P流量，以達(dá)到對(duì)P2P流量進(jìn)行限制的目的。\n下面以BT為例進(jìn)行詳細(xì)描述。BT：全名叫″BitTorrent″，是一個(gè)多點(diǎn)下載的P2P軟件，使用非常方便，是使用最廣泛的一個(gè)P2P下載軟件。\n在直接與用戶PC相連的城域以太網(wǎng)交換機(jī)上實(shí)現(xiàn)控制BT流量的功能，其實(shí)現(xiàn)的簡(jiǎn)單網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。\n研究發(fā)現(xiàn)：BitTorrent協(xié)議屬于TCP協(xié)議簇，采用的是基于會(huì)話的流方式，在其握手消息格式中有如下特征：TCP數(shù)據(jù)的起始部分是<字符(1字節(jié))><字符串(19字節(jié))>，其中第一個(gè)字節(jié)是固定的值“19”，后面字符串的值是“BitTorrent?protocol”。因此可以使用此特征信息標(biāo)識(shí)BitTorrent攜帶握手信息的數(shù)據(jù)報(bào)文：\n1.TCP有效負(fù)載數(shù)據(jù)的第一個(gè)字節(jié)是字符19；\n2.字符‘19’后面的19個(gè)字節(jié)是字符串‘BitTorrent?protocol’。\n城域以太網(wǎng)交換機(jī)使用一款專用交換芯片，邏輯結(jié)構(gòu)如圖6，它可以根據(jù)BT握手階段的這些特征信息建立相應(yīng)控制表項(xiàng)。表項(xiàng)的內(nèi)容包括數(shù)據(jù)報(bào)文的源IP地址、目的IP地址、TCP協(xié)議號(hào)、TCP源端口號(hào)、TCP目的端口號(hào)。與普通ACL表項(xiàng)相比，該表項(xiàng)中的TCP源端口號(hào)、TCP目的端口號(hào)來(lái)源于BT流的握手消息，能夠真實(shí)、準(zhǔn)確的反映BT流的情況，克服了BT協(xié)議不使用知名的固定TCP端口號(hào)所產(chǎn)生的管理困難。\n交換芯片能夠根據(jù)表項(xiàng)準(zhǔn)確定位BT流，網(wǎng)管人員就可以據(jù)此使用用戶的源IP地址、TCP協(xié)議號(hào)、BT選項(xiàng)等ACL信息設(shè)置表項(xiàng)的BT速率限制數(shù)值，從而實(shí)現(xiàn)對(duì)BT流量的準(zhǔn)確控制。這種BT流量控制特性采用硬件處理方式，不會(huì)影響交換機(jī)的處理性能。\nBT監(jiān)控流程如圖7所示。\n城域以太網(wǎng)交換機(jī)綜合了802.1x、防代理、控制P2P流量、DHCPSNOOP功能，實(shí)現(xiàn)了完善的用戶認(rèn)證和監(jiān)控，合理控制網(wǎng)絡(luò)流量，加強(qiáng)了網(wǎng)絡(luò)安全。它采用Client與Server交互的模式，802.1xClient、AP?Client運(yùn)行于用戶PC上，802.1x?Server、AP?Server運(yùn)行于城域以太網(wǎng)交換機(jī)上。\n●采用標(biāo)準(zhǔn)的DHCP?SNOOP\n用戶PC上的DHCP?Client運(yùn)行流程如圖8所示。\n當(dāng)用戶PC需要上網(wǎng)的時(shí)候，首先要運(yùn)行AP?Client，啟動(dòng)802.1xClient，進(jìn)行802.1x認(rèn)證，此時(shí)用戶需要輸入用戶名、密碼。\n如果用戶PC認(rèn)證失敗，就會(huì)收到802.1x?Server發(fā)送的認(rèn)證失敗消息，無(wú)法上網(wǎng)；如果用戶PC認(rèn)證成功，會(huì)收到802.1x?Server發(fā)送的認(rèn)證成功消息，可以通過(guò)DHCP獲取IP地址信息，同時(shí)啟動(dòng)防代理功能。\n一旦用戶PC啟用了代理軟件或者關(guān)閉了AP?Client，就會(huì)被APServer關(guān)閉接入端口，從而被強(qiáng)制下線。\n在正常上網(wǎng)的過(guò)程中，如果用戶PC發(fā)出了P2P流量，則根據(jù)城域以太網(wǎng)交換機(jī)的配置情況，該流量可能受到速率限制。\n城域以太網(wǎng)交換機(jī)上的AP?Server、802.1x?Server運(yùn)行流程如圖9所示。\n城域以太網(wǎng)交換機(jī)啟動(dòng)后，在用戶PC接入的端口上，開(kāi)啟安全控制功能，所有端口對(duì)普通數(shù)據(jù)流量是關(guān)閉的，啟動(dòng)AP?Server、802.1xServer。\n如果用戶認(rèn)證失敗，802.1x?Server就給802.1x?Client發(fā)送認(rèn)證失敗消息，城域以太網(wǎng)交換機(jī)不開(kāi)啟端口，用戶PC數(shù)據(jù)無(wú)法通過(guò)該城域以太網(wǎng)交換機(jī)；如果用戶認(rèn)證通過(guò)，則802.1x?Server給802.1x?Client發(fā)送認(rèn)證成功消息，城域以太網(wǎng)交換機(jī)開(kāi)啟端口，用戶PC數(shù)據(jù)可以通過(guò)城域以太網(wǎng)交換機(jī)。\nDHCP?Client通過(guò)城域以太網(wǎng)交換機(jī)與DHCP?Server進(jìn)行通信，獲取IP地址、DNS服務(wù)器信息。城域以太網(wǎng)交換機(jī)解析并轉(zhuǎn)發(fā)DHCP數(shù)據(jù)報(bào)文，實(shí)現(xiàn)DHCP?SNOOP功能，一方面給DHCP?Server提供具體的用戶定位信息，另一方面建立包括用戶PC的IP地址、MAC地址、接入端口號(hào)、接入端口的VLAN在內(nèi)的用戶監(jiān)控表項(xiàng)，只有完全與監(jiān)控表項(xiàng)匹配的數(shù)據(jù)才能通過(guò)城域以太網(wǎng)交換機(jī)，其余數(shù)據(jù)被城域以太網(wǎng)交換機(jī)丟棄。\nAP?Client與AP?Server通信。如果AP?Client發(fā)現(xiàn)用戶運(yùn)行了代理軟件，就會(huì)給AP?Server發(fā)送消息，AP?Sever收到后會(huì)關(guān)閉城域以太網(wǎng)交換機(jī)的用戶PC接入接口，強(qiáng)制用戶PC下線；如果用戶PC強(qiáng)行關(guān)閉AP?Client，則該用戶PC無(wú)法通過(guò)AP?Server的認(rèn)證，APServer關(guān)閉所述城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口；如果用戶PC正常運(yùn)行了AP?Client，并且沒(méi)有啟動(dòng)代理功能，那么AP?Server一直與AP?Client保持通信，AP?Server開(kāi)放城域以太網(wǎng)交換機(jī)上連接所述用戶PC的端口，所述用戶PC數(shù)據(jù)可以通過(guò)城域以太網(wǎng)交換機(jī)。在此過(guò)程中，一旦用戶PC啟動(dòng)代理功能或者關(guān)閉AP?Client，AP?Server就會(huì)關(guān)閉城域以太網(wǎng)交換機(jī)連接所述用戶PC的端口，使其數(shù)據(jù)無(wú)法繼續(xù)通過(guò)。\n網(wǎng)管人員可以基于端口隨時(shí)開(kāi)啟或者撤銷P2P流量控制功能。對(duì)P2P流量可以限定在一個(gè)范圍內(nèi)，例如可以指定P2P流量范圍為100K～50Mpps，這樣不但可以使得用戶自由的使用P2P軟件，也不會(huì)讓P2P流量對(duì)網(wǎng)絡(luò)造成太大的沖擊；當(dāng)然，也可以徹底拒絕P2P流量。實(shí)施P2P流量監(jiān)控的用戶PC可以通過(guò)ACL來(lái)指定，指定時(shí)需要的用戶信息可以通過(guò)DHCPSNOOP表項(xiàng)獲得，不在ACL指定范圍內(nèi)的用戶則不受安全城域以太網(wǎng)交換機(jī)的流量監(jiān)控，其發(fā)出P2P的流量不受控制。\n圖10表示了一個(gè)具體的城域以太網(wǎng)以太網(wǎng)交換機(jī)平臺(tái)結(jié)構(gòu)，該平臺(tái)的協(xié)議處理部分與數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)部分是分離的，主要是為了提高系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)的性能。\n該系列城域以太網(wǎng)以太網(wǎng)交換機(jī)是多端口的10/100M自適應(yīng)端口。該系列城域以太網(wǎng)交換機(jī)包括8端口、16端口和24端口三種規(guī)格，均可達(dá)到全線速轉(zhuǎn)發(fā)；具有Tag?VLAN、端口聚合和端口地址綁定功能；具有100M光接口插槽，可插入單?；蚨嗄?00M光接口模塊，支持的傳輸距離有2km(多模)、20km、40km和60km四種；可滿足各種場(chǎng)合下寬帶網(wǎng)絡(luò)接入的需求。\n該系列城域以太網(wǎng)交換機(jī)提供了形象直觀、功能強(qiáng)大的圖形界面網(wǎng)管系統(tǒng)，支持SNMP協(xié)議和HTTP協(xié)議以及靈活方便的帶內(nèi)和帶外網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理者可通過(guò)統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)或Web方式或SGM對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)和管理。\n該系列城域以太網(wǎng)交換機(jī)支持IEEE?802.1d生成樹(shù)協(xié)議；IEEE802.1w快速生產(chǎn)樹(shù)協(xié)議；基于端口VLAN和IEEE?802.1q?VLAN；IEEE?802.1P優(yōu)先級(jí)隊(duì)列管理；IGMP?Snooping，最多支持256個(gè)組播組；端口速率控制，速率限制粒度為64K比特每秒；流控、廣播風(fēng)暴控制功能；IEEE?802.1x認(rèn)證、Radius；城域以太網(wǎng)交換機(jī)集群管理SGM；DHCP?RELAY、DHCP?SNOOP。\n該系列城域以太網(wǎng)以太網(wǎng)交換機(jī)平臺(tái)的軟件功能模塊示意圖如圖11所示，主要功能位于城域以太網(wǎng)交換機(jī)的協(xié)議棧部分，這些功能使得城域以太網(wǎng)交換機(jī)能夠更加全面、完善的控制、監(jiān)督用戶，并且配置簡(jiǎn)便。