[发明专利]环网用户安全的实现方法及装置

说明书

本发明公开了一种环网用户安全的实现方法及装置。其中，该方法包括：在环网的正常工作状态下，对非上联节点设备的级联端口与用户端口配置二层隔离，使级联端口和用户端口只与非上联节点设备的上联端口进行数据交换；在环网执行切换过程之前，删除二层隔离，在环网执行切换过程之后，重新检测级联端口与上联端口的位置并配置级联端口与用户端口之间的二层隔离。通过本发明，达到了不影响环网业务切换性能的同时提高了网络安全性的效果。

技术领域

本发明涉及通信领域，具体而言，涉及一种环网用户安全的实现方法及装置。

背景技术

环网保护协议（以G.8032描述的ERPS协议为例）在网络正常时阻塞RPL（RingProtection Link，环保护链路），检测到链路故障后阻塞故障链路，打开RPL，以实现业务保护和快速切换的功能。

用户二层隔离是接入网业务安全的基本要求。在级联组网时，可以设置级联端口和用户端口间的隔离。但在环网中，由于保护切换时级联端口和上联端口的角色会发生动态变化（请参考图1A和图1B，图1A是根据相关技术的环网的正常工作状态示意图，图1B是根据相关技术的环网的故障状态示意图），无法静态设置二层隔离，跨OLT（Optical LinkTerminal，光线路终端）设备的用户之间是不隔离的，无法防御ARP（Address ResolutionProtocol，地址解析协议）欺骗等攻击，具有较大安全隐患。

针对相关技术中环网中无法设置用户二层隔离导致环网产生较大安全隐患的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种环网用户安全的实现方法及装置，以至少解决上述问题。

根据本发明的一个方面，提供了一种环网用户安全的实现方法，包括：在环网的正常工作状态下，对非上联节点设备的级联端口与用户端口配置二层隔离，使级联端口和用户端口只与非上联节点设备的上联端口进行数据交换；在环网执行切换过程之前，删除二层隔离，在环网执行切换过程之后，重新检测级联端口与上联端口的位置并配置级联端口与用户端口之间的二层隔离。

优选地，该方法还包括：接收上联节点设备发送的上联节点通知报文，其中，上联节点设备是与上游交换设备相连接的设备，上联节点通知报文在非上联节点设备上符合以下转发规则：在阻塞端口丢弃，在非阻塞端口转发。

优选地，环网包括一个或多个逻辑环，其中，每个逻辑环的上联节点设备为相同的设备或不同的设备，每个上联节点设备发送的上联节点通知报文中携带有对应的逻辑环的信息。

优选地，上联节点通知报文包括：以太网保护切换ERPS协议扩展报文，其中，ERPS协议扩展报文是将ERPS协议报文中的4bit Request/State标志位在标准协议外进行扩展得到的。

优选地，上联节点通知报文包括：除以太网保护切换ERPS协议扩展报文之外的其他现有协议报文，或自定义报文。

优选地，逻辑环的信息包括：逻辑环的环网ID，或者与逻辑环相对应的其它信息。

优选地，上联节点通知报文使用上联节点设备的媒体接入控制（MAC）地址作为源MAC。

优选地，根据源MAC地址将接收到上联节点通知报文的端口确定为上联端口，将另一个端口确定为级联端口。

优选地，每个逻辑环中除上联节点设备之外的其它所有非上联节点设备选择是否配置上联节点设备的媒体接入控制（MAC）地址作为对上联节点通知报文进行校验的校验MAC地址。