实现城域以太网交换机接入安全的智能控制方法

1.一种实现城域以太网交换机接入安全的智能控制方法，该方法在以太网交换机上采用IEEE802.1x协议，并在用户PC和城域以太网交换机上安装防代理软件，当用户PC需要上网时，进行如下处理过程：
(1)用户PC运行AP Client软件，启动802.1x Client功能，进行802.1x认证；城域以太网交换机在用户PC接入的端口上开启安全控制功能，所有连接用户PC的端口都是关闭的，并启动802.1x Server功能；
(2)如果802.1x认证失败，802.1x Server就给用户PC发送认证失败消息，城域以太网交换机不开启端口；如果认证通过，802.1xServer给用户PC发送认证成功消息，开启城域以太网交换机连接所述用户PC的端口，用户PC即可通过城域以太网交换机上网；
(3)用户PC操作系统自带的DHCP Client通过城域以太网交换机与DHCP Server进行通信，城域以太网交换机解析并转发DHCP数据报文，实现DHCP SNOOP功能；
(4)当检测到用户PC启用了代理软件或关闭了AP Client，APServer就关闭城域以太网交换机连接所述用户PC的端口，使该用户PC无法继续上网；
步骤(4)中检测用户PC是否启用了代理软件的方法包括：
(4.1)AP Client判断当前是否有知名的代理软件程序在运行；
(4.2)AP Client检测用户PC收到的报文；
(4.3)AP Client发出一个连接请求给本用户PC，连接请求中的目的IP地址由它设定为一个特殊地址，如果本用户PC接受了该连接，并且向网关发送连接请求，而且该连接请求的目的IP地址是APClient设定的IP地址，则AP Client判定这台用户PC上运行了代理软件；
步骤(4)中，对启用代理软件的用户PC的处理方式如下：当用户PC启用代理软件时，用户PC的AP Client向AP Server发送消息，AP Server收到消息后关闭城域以太网交换机连接所述用户PC的端口。
2.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法，其特征在于：AP Server周期性发送携带有随机序列的AP-Check消息给AP Client，并等待AP Client回应的AP-Check-Response，如果用户PC关闭AP Client，则AP Server无法收到正确的AP-Check-Response，所述AP Server会关闭城域以太网交换机连接所述用户PC的端口。
3.如权利要求2所述的实现城域以太网交换机接入安全的智能控制方法，其特征在于：AP Client与AP Server之间有一个共享密码，使用该共享密码对随机序列进行加密。
4.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法，其特征在于：在城域以太网交换机上设置一个专用交换芯片，识别P2P数据流量，建立相应控制表项，从而根据需要设置具体表项的流量限制数值。
5.如权利要求1所述的实现城域以太网交换机接入安全的智能控制方法，其特征在于：步骤(3)中城域以太网交换机一方面给DHCPServer提供具体的用户定位信息，另一方面建立包括用户PC的IP地址、MAC地址、接入端口号、用户接入端口的VLAN信息在内的用户监控表项，只有完全与监控表项匹配的数据才能通过城域以太网交换机，其余数据被城域以太网交换机丢弃。

技术领域\n本发明属于计算机技术领域，涉及以太网交换机的安全控制技术，具体涉及一种实现城域以太网交换机接入安全的智能控制方法。\n背景技术\n目前，以太网交换机常用的几种安全控制技术如下：\n●用户合法性认证\n在城域以太网交换机上最常用的用户合法性认证功能是IEEE\n802.1x(下文简称802.1x)。该协议是基于Client/Server模式的访问控制和认证协议。它可以限制未经授权的用户设备通过接入端口访问LAN/WAN。在获得城域以太网交换机或LAN提供的各种业务之前，802.1x对连接到城域以太网交换机端口上的用户设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)报文通过用户设备连接的城域以太网交换机端口；认证通过以后，普通数据才可以通过交换机端口。该协议通过3个功能实体来实现其功能，如图1所示。\n(1)用户端的802.1x Client\n输入用户ID(标识)和密码，实现802.1x Client的主要功能。\n(2)靠近用户侧的以城域太网交换机\n实现远端授权拨号上网用户服务认证代理功能，并根据RADIUS服务器的认证结果，决定是否开放用户设备连接的以太网业务端口的访问权限。\n(3)RADIUS服务器\n进行用户ID和密码的认证，并返回结果给以太网交换机。\n以太网的每个物理端口被分为受控和不受控的两个逻辑端口，其中不受控端口专用于802.1x协议报文处理，受控端口用于除了802.1x协议报文以外的普通数据转发。对受控端口的访问，受限于该端口的授权状态。城域以太网交换机根据认证服务器对用户进行认证的结果，控制受控端口的授权/未授权状态。处在未授权状态的受控端口，拒绝转发用户设备的数据。\n初始状态下，与用户设备相连的城域以太网交换机的所有端口的受控端口都处于未授权状态，不转发数据，只有不受控端口是开放的。用户设备通过802.1x Client登录城域以太网交换机，城域以太网交换机将用户提供的ID和密码传送到后台的RADIUS服务器(可以在本地，也可以通过广域网设备连到远地)，如果用户通过认证，则城域以太网交换机打开与其相应的受控端口，允许用户设备访问互连网。\n这种基于城域以太网交换机实现的用户管理方法，可以使整个网络的组网变得非常简单，通过城域以太网交换机和路由器两种设备即基本实现，可同时实现业务的集中控制(以RADIUS为核心的业务中心控制)和分散实现(靠近用户的城域以太网交换机实现)。\n802.1x协议是基于端口的网络访问控制技术。其基本思想是网络系统可以控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户设备可以访问网络系统的各种业务。\n网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中，端口访问实体包含3部分：\n认证者——对接入的用户设备进行认证的端口；\n请求者——被认证的用户设备；\n认证服务器——根据认证者的信息，对请求访问网络资源的用户设备进行实际认证功能的设备。\n图2示意了受控端口的授权状态对访问的影响。认证者1(可能是城域以太网交换机的某个端口)的受控端口处于未授权状态，因此受控端口不转发用户设备的数据，用户设备无法通过受控端口访问网络；认证者2(以太网交换机的另一个端口)的受控端口已经授权，该受控端口转发用户设备的数据，因此用户设备可以访问网络。\n802.1x可以在二层网络上实现用户认证，并可以通过设备实现MAC地址、端口、账户信息的绑定，具有很高的安全性。该功能能够保证用户自身的合法性，但是它也有其局限性，它无法确保合法用户不进行非法的代理操作，无法保证合法用户的流量是合法的，也无法在网络中心和网络设备上实现对用户设备信息的监控。\n●防止合法用户代理\n网络接入技术虽然有了各种各样的认证机制，比如IEEE 802.1x，但是身份认证技术并不能防止非法用户PC通过合法用户PC上的代理软件上网，因为非法用户PC的数据经过代理软件后，网络接入设备就无法区分它与合法用户PC发出的数据。这些非法用户PC的数据的存在增加了网络负载，危害了网络安全也损害了合法用户的利益。\n目前网络中的城域以太网交换机还没有对合法用户PC代理的情况进行有效的处理。\n●控制P2P流量\nP2P技术是一种用于不同用户PC之间、不经过中继设备直接交换数据或服务的技术。它打破了传统的Client/Server模式，在对等网络中，每个节点的地位都是相同的，具备客户端和服务器双重特性，可以同时作为服务使用者和服务提供者。由于P2P技术的飞速发展，互联网的存储模式将由目前的“内容位于中心”模式转变为“内容分散存储”模式，改变了Internet现在的以大网站为中心的流量状态。\n现在互联网上最常用的P2P软件是BT(Bit Torrent)。\nP2P技术主要带来了如下一些变化：\n(1)Internet上流量模型的变化。现在Internet上70％的流量都是P2P的流量，而传统的HTTP流量已经不是Internet上的主要流量。\n(2)个人用户的流量模型的变化。以前个人用户的下行流量(从Internet到个人用户)远远大于上行流量。而由于P2P技术在下载的同时，也需要上传。导致个人用户的下行流量和上行流量都很大。\n(3)P2P流量造成网络的极度拥塞。\n现有网络设备，例如防火墙，具有一定数据报文过滤功能，但是这些过滤功能都是基于ACL实现的，通常只能根据数据报文的IP地址、MAC地址、协议类型、端口号信息进行过滤。它可以准确过滤传统网络流量，但是无法准确过滤P2P流量。以BT为例：BT的全称是Bit Torrent，由于它使用的端口号是可以自定义的，管理人员无法获知，所以使用端口号进行BT流量准确监控比较困难。由此可见，传统防火墙无法准确控制用户的BT流量，出现了安全漏洞。\n●DHCP SNOOP\nDHCP SNOOP能够加强DHCP的安全性，它通过DHCP的82选项来实现功能。其目的是让DHCP Server能够知道某个用户的详细接入信息，即该用户来自于哪个城域以太网交换机的哪个端口；同时让接入交换机能够控制用户对网络的访问。\n其第一个功能：即获取用户信息的功能由城域以太网交换机的添加DHCP 82选项功能完成；\n其第二个功能：即用户控制功能由城域以太网交换机的硬件查表功能完成；\n其实现的简单网络拓扑图如图3。\nDHCP Client运行在用户的PC上，DHCPSNOOP运行在城域以太网交换机上，DHCP Server运行在DHCP服务器上，并且该服务器能够解析DHCP 82选项。\n以下两个子类型都属于DHCP的82选项的内容，它们包含了用户PC所连接的以太网交换机、VLAN、端口信息。DHCP 82选项全长20字节，其中内容为18字节，另外有1字节的选项标识符(0x52)和1字节的选项内容长度(0x12)。该选项位于END选项的前面。\n  表(1)链路ID  选项帧格式：  Suboption type  (1)   Len(6)   Circuit  ID type  (0)   Len  (4)   VLAN   Module   Port\n1B                1B        1B          1B      2B      1B        1B\n字段描述：\nSuboption type：占用1字节，表示消息类型，填充为1；\nLen：占用1字节，整个子类型的长度，填充为6；\n链路ID类型：填充为0；\nLen：内容长度；\nVLAN：数据报文所处VLAN；\nModule：模块号；\nPort：入端口号；\n 表(2)远程ID选项 帧格式：Suboption type(2)   Len(8)  Remote ID type(0)   Len(6)  MAC    1B                   1B       1B                   1B       6B\n字段描述：\nSuboption type：占用1字节，表示消息类型，填充为2；\nLen：占用1字节，整个子类型的长度，填充为8；\n远程ID类型：填充为0；\nLen：内容长度，固定为6；\nMAC：城域以太网交换机MAC地址；\nDHCP Server收到携带有DHCP 82选项的数据报文后，解析该数据报文，获取与该用户PC相连的城域以太网交换机MAC地址、用户接入端口、用户接入端口所处的VLAN信息，建立数据库，实现对用户PC的监控。一旦某个用户PC有异常情况出现，可以迅速通过该数据库查找到该用户信息。\n处于用户和DHCP Server之间的城域以太网交换机，截获用户PC与DHCP Server之间通信的DHCP数据报文，获取用户PC的IP地址、MAC地址、接入端口号、接入端口的VLAN信息，建立监控表项，只有完全匹配了监控表项的数据才能由城域以太网交换机转发，这样用户PC通过私自配置IP地址的方式就无法上网，减小了IP地址盗用和用户私自更改IP地址给网络带来的危害。\nDHCP SNOOP功能可以监控并及时定位用户PC，最大限度的保证网络规划不受破坏，但是它也有其局限性，这主要表现在：它无法验证用户PC自身的合法性，无法保证合法用户PC不进行非法的代理操作，也无法限制用户PC的非法流量。\n在对本发明的技术方案进行描述之前，先介绍一些常用术语。\nIP(Internet Protocol(网际协议))：该协议是当今计算机网络互联的根本，其主要作用是将世界上的各种包交换网络进行互联，关于该协议的详细介绍请参考RFC791。\nIP地址(IP Address)：在IP网络中，任何一个网络中的节点都需要使用一个标识来代表本节点，在IP协议中称该标识为IP地址(即网络节点的逻辑地址)。\nDNS(Domain Name System)：该协议的主要功能是解决一个网络节点名字到IP地址的映射，关于该协议的详细介绍请参考RFC1034。\nTCP(Transmission Control Protocol(传输控制协议))：运行于IP协议之上，功能是保证数据正确地在IP网络的两个节点之间传输，关于该协议的详细介绍请参考RFC793。\nInternet：直译为互联网，目前指通过TCP/IP连接起来的世界上所有的网络的总称。\nDHCP(Dynamic Host Configuration Protocol(动态主机配置协议))：该协议的目标是将配置信息传递给在TCP/IP网络中的主机，关于该协议的详细介绍请参考RFC1541。\nEAP：extensible authentication protocol，可扩展认证协议。\nEAPOL：EAP over LANs，局域网上的EAP。\nRADIUS：remote authentication dial in user service，用户服务的远程认证拨号。\nLAN：local area networks，局域网。\nWAN：wide area networks，广域网。\nPC：personal computer，个人主机。\nHTTP：超文本传输协议，目前游览网页使用的就是该协议。\nACL：access-list，访问列表，通常根据数据报文的IP地址、MAC地址、协议类型、端口号信息来控制数据流量。\nVLAN：虚拟局域网。\nAP：anti-proxy，防代理。\nAP Client：防代理软件客户端。\nAP Server：防代理软件服务器端。\n发明内容\n本发明的目的在于针对现有城域以太网交换机的安全控制技术种类繁多，功能不够完善，配置相对复杂的问题，提出了一种实现城域以太网交换机接入安全的智能控制方法。该方法综合了城域以太网交换机现有的多种安全控制技术，使之能够更加全面、完善的控制、监督用户，并且配置简便，从而进一步提高了网络的安全性、稳定性和可操作性。\n本发明的技术方案如下：一种实现城域以太网交换机接入安全的智能控制方法，该方法在城域以太网交换机和用户PC上采用IEEE802.1x协议，并且在它们上面安装防代理软件，在所述城域以太网交换机和用户PC上分别运行AP Server、AP Client，当用户需要上网时，进行如下处理过程：\n(1)用户PC运行AP Client软件，启动802.1x功能，进行802.1x认证；城域以太网交换机在用户PC接入的端口上开启安全控制功能，所有连接用户PC的端口都是关闭的，并启动802.1x Server功能；\n(2)如果802.1x认证失败，802.1x Server就给用户PC发送认证失败消息，城域以太网交换机不开启端口；如果认证通过，802.1x\nServer给用户PC发送认证成功消息，开启城域以太网交换机连接所述用户PC的端口，用户PC即可通过开启城域以太网交换机上网；\n(3)DHCP Client(用户PC操作系统自带)通过城域以太网交换机与DHCP Server进行通信，城域以太网交换机解析并转发DHCP数据报文，实现DHCP SNOOP功能；\n(4)当检测到用户PC启用了代理软件或关闭了AP Client，APServer就关闭城域以太网交换机的连接所述用户PC的端口，使该用户PC无法继续上网。\n步骤(4)中检测用户PC是否启用了代理软件的方法包括：\n(4.1)AP Client判断当前是否有知名的代理软件程序在运行；\n(4.2)AP Client检测用户PC收到的报文；\n(4.3)AP Client发出一个连接请求给本用户PC，连接请求中的目的IP地址由它设定为一个特殊地址，如果本用户PC接受了该连接，并且向网关发送连接请求，而且这个连接请求的目的IP地址是APClient设定的IP地址，则AP Client判定这台用户PC上运行了代理软件。\n进一步，当用户PC启用了代理软件时，用户PC的Client软件向AP Server发送消息，AP Server收到消息后关闭城域以太网交换机连接所述用户PC的接口。\n如上所述的实现城域以太网交换机接入安全的智能控制方法，其中，防代理软件分为运行在用户PC上的AP Client和运行在交城域以太网换机上的AP Server。AP Server周期的发送携带有随机序列的AP-Check消息给AP Client，并等待AP Client回应的AP-Check-Response，如果用户PC关闭AP Client，则AP Server无法收到正确的AP-Check-Response，所述AP Server会关闭城域以太网交换机连接所述用户PC的端口。\nAP Client与AP Server之间有一个共享密码，使用该共享密码对随机序列进行加密。\n如上所述的实现城域以太网交换机接入安全的智能控制方法，其中，在城域以太网交换机上设置一个专用交换芯片，识别P2P数据流量，建立相应控制表项，从而根据需要设置具体表项的流量限制数值。\n如上所述的实现城域以太网交换机接入安全的智能控制方法，其中，步骤(3)中城域以太网交换机一方面给DHCP Server提供具体的用户PC定位信息，另一方面建立包括用户PC的IP地址、MAC地址、接入端口号、接入端口的VLAN信息在内的用户监控表项，只有完全与监控表项匹配的数据才能通过城域以太网交换机，其余数据被城域以太网交换机丢弃。\n本发明的有益效果在于：安全城域以太网交换机综合实现了用户合法性认证、防止合法用户实施非法代理、控制P2P流量、DHCPSNOOP功能，能够更加全面、完善的控制、监督用户，并且配置简便，从而进一步提高了网络的安全性、稳定性和可操作性。其中的防止合法用户实施非法代理和控制P2P流量这两项功能采用了特有的防代理机制和控制P2P流量机制，实现了完善的用户监控，合理控制了网络流量，加强了网络安全。\n附图说明\n图1为以太网端口用户管理认证模式示意图。\n图2为受控端口的受控状态示意图。\n图3为DHCP应用示意图。\n图4为防代理应用和P2P检测的简单网络拓扑图。\n图5为防代理软件流程图。\n图6为专用交换芯片逻辑图。\n图7为交换机侧P2P监控流程图。\n图8为用户受控数据流程图。\n图9为安全交换机数据流程图。\n图10为多业务以太网交换机平台示意图。\n图11为多业务以太网交换机软件功能模块示意图。\n具体实施方式\n下面结合附图和实施例对本发明进行详细的描述。\n●采用IEEE802.1x协议\n该协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户设备通过接入端口访问LAN/WAN。在获得城域以太网交换机或LAN提供的各种业务之前，802.1x对连接到城域以太网交换机端口上的用户设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)报文通过用户设备连接的城域以太网交换机端口；认证通过以后，普通的数据才可以通过城域以太网交换机端口。\n●基于城域以太网交换机的端口认证和应用程序绑定实现的防代理\n以802.1x为代表的用户身份认证技术并不能防止非法用户PC通过合法用户PC上的代理软件上网，因为非法用户PC的数据经过代理软件处理后，城域以太网交换机就无法区分这类数据和合法用户PC发出的数据，这样非法用户PC就可以访问网络。这种情况的出现，损害了其他合法用户的利益并且给网络带来了不安全因素。\n防代理协议能够提供防止这种情况的出现。现有的认证机制已经可以确保对合法用户的验证，如果能够确认合法用户的PC没有安装并使用代理软件，那么网络就可以接受合法用户PC的数据。解决的办法是使用防代理软件，该软件分为运行在用户PC上的AP Client和运行在城域以太网交换机上的AP Server。AP Client如果发现用户PC使用了代理软件，那么它就通知AP Server，由所述AP Server禁止所述用户PC向网络发送数据；同时为了防止合法用户PC不启用防代理软件，AP Server还需要确保合法用户PC运行了AP Client。\n当启动防代理软件后，AP Server会关闭城域以太网交换机所有连接用户PC的端口，只有AP Client通过防代理认证后，AP Server才会开放城域以太网交换机与之相连的端口。如果用户PC不启动AP Client，那么AP Server不会让该用户PC通过认证，所述用户PC数据无法通过该城域以太网交换机，当所述用户PC启动了AP Client后，AP Client就会自动检查所述用户PC是否启用了代理功能，如果启用了，它就给AP Server发送消息，由AP Server关闭城域以太网交换机连接该用户PC的端口，强制用户PC下线。\n防代理协议分为AP Client和AP Server，AP Client运行在用户的PC上，AP Server运行在城域以太网交换机上。\n其实现的简单网络拓扑如图4所示。\n发现用户PC是否使用了代理软件的方法如下：\n(1)是否有知名代理软件运行。即AP Client判断当前是否有知名的代理软件程序在运行。\n(2)检测合法PC收到的数据报文。AP Client运行后，它可以分析该用户PC网卡收到的数据报文，如果数据报文的头部有“PROXY”特征字段出现，说明该数据报文是来自于非法用户PC的需要代理的数据报文，这就表明该合法用户PC运行了代理软件，实施了代理功能。\n(3)发数据报文进行检测。AP Client发出一个连接请求给本用户PC(连接请求中的目的IP地址由AP Client设定为一个特殊地址)，如果本PC接受了本连接、并且向网关发送连接请求、并且该连接请求的目的IP地址是AP Client设定的IP地址，那么就可以确定这台用户PC上运行了代理软件。\nAP Client发现用户PC使用了代理软件后的处理如下：一旦发现用户PC开启代理软件，例如：ProxyCap、MagicProxy、Proxifier，实施代理服务，AP Client会发送AP-Disconnect-Request消息，请求断开连接。AP Server收到并处理AP-Disconnect-Request该消息后，关闭城域以太网交换机连接所述用户PC的端口，，所述用户PC被强制下线。\n确保用户启动防代理软件的流程如下：\n建链过程：\nAP Client与AP Server之间有一个共享密码。开始由用户PC的AP Client向网络发送AP-Discover消息，AP Server接收到之后以AP-Check应答，AP-Check携带一个随机序列。AP Client收到AP-Check消息后，发送AP-Check-Response作为应答，在应答之前，它需要使用共享密码来对随机序列进行加密，使用MD5算法，然后将结果填入AP-Check-Response。如果AP Server发现Check-Response失败，那么说明用户PC使用的AP Client非法，直接关闭这个用户PC，不用发送AP-Disconnect消息，并且这个用户PC需要等待一段时间之后才能再次连接。如果AP-Check-Response结果正确，APServer发送AP-Start消息给AP Client，AP Client收到该消息后开始检查代理软件，此时AP Client进入已连接状态，AP Server开启城域以太网交换机连接所述用户PC的端口，所述用户PC数据可以通过该城域以太网交换机。\n此后，AP Server周期的发送AP-Check消息给用户PC的APClient，并等待AP Client回应的AP-Check-Response(同样需要加密)，以防止用户PC中途关闭AP Client。一旦用户PC关闭AP Client，AP-Server就无法收到AP-Check-Response，或者只能收到假冒的错误的AP-Check-Response，从而关闭城域以太网交换机连接所述用户PC的端口。\n拆链过程：\nAP Client与AP Server均可以发起拆链过程，拆链的发起方首先发送AP-Disconnect-Request消息，该消息的接收方收到之后发送AP-Disconnect-Check消息，AP-Disconnect-Check该消息中包含一个随机序列，拆链的请求者需要对随机序列进行计算后发送AP-Disconnect-Response消息给对方，如果拆链的接收方发现AP-Disconnect-Response计算结果正确，那么断开连接，否则不断开连接。把拆链过程加入认证过程主要是为了防止有恶意用户伪造拆链消息来拆除其它用户PC的AP Client与城域以太网交换机上的APServer的连接。\n图5是用户没有启动代理软件情况下的防代理软件处理流程图。\n●基于数据报文的深度检测来控制P2P流量\n城域以太网交换机对P2P软件采用深度检测的方法，可以精确的识别P2P流量，以达到对P2P流量进行限制的目的。\n下面以BT为例进行详细描述。BT：全名叫″BitTorrent″，是一个多点下载的P2P软件，使用非常方便，是使用最广泛的一个P2P下载软件。\n在直接与用户PC相连的城域以太网交换机上实现控制BT流量的功能，其实现的简单网络拓扑图如图4所示。\n研究发现：BitTorrent协议属于TCP协议簇，采用的是基于会话的流方式，在其握手消息格式中有如下特征：TCP数据的起始部分是<字符(1字节)><字符串(19字节)>，其中第一个字节是固定的值“19”，后面字符串的值是“BitTorrent protocol”。因此可以使用此特征信息标识BitTorrent携带握手信息的数据报文：\n1.TCP有效负载数据的第一个字节是字符19；\n2.字符‘19’后面的19个字节是字符串‘BitTorrent protocol’。\n城域以太网交换机使用一款专用交换芯片，逻辑结构如图6，它可以根据BT握手阶段的这些特征信息建立相应控制表项。表项的内容包括数据报文的源IP地址、目的IP地址、TCP协议号、TCP源端口号、TCP目的端口号。与普通ACL表项相比，该表项中的TCP源端口号、TCP目的端口号来源于BT流的握手消息，能够真实、准确的反映BT流的情况，克服了BT协议不使用知名的固定TCP端口号所产生的管理困难。\n交换芯片能够根据表项准确定位BT流，网管人员就可以据此使用用户的源IP地址、TCP协议号、BT选项等ACL信息设置表项的BT速率限制数值，从而实现对BT流量的准确控制。这种BT流量控制特性采用硬件处理方式，不会影响交换机的处理性能。\nBT监控流程如图7所示。\n城域以太网交换机综合了802.1x、防代理、控制P2P流量、DHCPSNOOP功能，实现了完善的用户认证和监控，合理控制网络流量，加强了网络安全。它采用Client与Server交互的模式，802.1xClient、AP Client运行于用户PC上，802.1x Server、AP Server运行于城域以太网交换机上。\n●采用标准的DHCP SNOOP\n用户PC上的DHCP Client运行流程如图8所示。\n当用户PC需要上网的时候，首先要运行AP Client，启动802.1xClient，进行802.1x认证，此时用户需要输入用户名、密码。\n如果用户PC认证失败，就会收到802.1x Server发送的认证失败消息，无法上网；如果用户PC认证成功，会收到802.1x Server发送的认证成功消息，可以通过DHCP获取IP地址信息，同时启动防代理功能。\n一旦用户PC启用了代理软件或者关闭了AP Client，就会被APServer关闭接入端口，从而被强制下线。\n在正常上网的过程中，如果用户PC发出了P2P流量，则根据城域以太网交换机的配置情况，该流量可能受到速率限制。\n城域以太网交换机上的AP Server、802.1x Server运行流程如图9所示。\n城域以太网交换机启动后，在用户PC接入的端口上，开启安全控制功能，所有端口对普通数据流量是关闭的，启动AP Server、802.1xServer。\n如果用户认证失败，802.1x Server就给802.1x Client发送认证失败消息，城域以太网交换机不开启端口，用户PC数据无法通过该城域以太网交换机；如果用户认证通过，则802.1x Server给802.1x Client发送认证成功消息，城域以太网交换机开启端口，用户PC数据可以通过城域以太网交换机。\nDHCP Client通过城域以太网交换机与DHCP Server进行通信，获取IP地址、DNS服务器信息。城域以太网交换机解析并转发DHCP数据报文，实现DHCP SNOOP功能，一方面给DHCP Server提供具体的用户定位信息，另一方面建立包括用户PC的IP地址、MAC地址、接入端口号、接入端口的VLAN在内的用户监控表项，只有完全与监控表项匹配的数据才能通过城域以太网交换机，其余数据被城域以太网交换机丢弃。\nAP Client与AP Server通信。如果AP Client发现用户运行了代理软件，就会给AP Server发送消息，AP Sever收到后会关闭城域以太网交换机的用户PC接入接口，强制用户PC下线；如果用户PC强行关闭AP Client，则该用户PC无法通过AP Server的认证，APServer关闭所述城域以太网交换机连接所述用户PC的端口；如果用户PC正常运行了AP Client，并且没有启动代理功能，那么AP Server一直与AP Client保持通信，AP Server开放城域以太网交换机上连接所述用户PC的端口，所述用户PC数据可以通过城域以太网交换机。在此过程中，一旦用户PC启动代理功能或者关闭AP Client，AP Server就会关闭城域以太网交换机连接所述用户PC的端口，使其数据无法继续通过。\n网管人员可以基于端口随时开启或者撤销P2P流量控制功能。对P2P流量可以限定在一个范围内，例如可以指定P2P流量范围为100K～50Mpps，这样不但可以使得用户自由的使用P2P软件，也不会让P2P流量对网络造成太大的冲击；当然，也可以彻底拒绝P2P流量。实施P2P流量监控的用户PC可以通过ACL来指定，指定时需要的用户信息可以通过DHCPSNOOP表项获得，不在ACL指定范围内的用户则不受安全城域以太网交换机的流量监控，其发出P2P的流量不受控制。\n图10表示了一个具体的城域以太网以太网交换机平台结构，该平台的协议处理部分与数据报文的转发部分是分离的，主要是为了提高系统数据转发的性能。\n该系列城域以太网以太网交换机是多端口的10/100M自适应端口。该系列城域以太网交换机包括8端口、16端口和24端口三种规格，均可达到全线速转发；具有Tag VLAN、端口聚合和端口地址绑定功能；具有100M光接口插槽，可插入单模或多模100M光接口模块，支持的传输距离有2km(多模)、20km、40km和60km四种；可满足各种场合下宽带网络接入的需求。\n该系列城域以太网交换机提供了形象直观、功能强大的图形界面网管系统，支持SNMP协议和HTTP协议以及灵活方便的带内和带外网络管理。网络管理者可通过统一的网络管理平台或Web方式或SGM对网络进行维护和管理。\n该系列城域以太网交换机支持IEEE 802.1d生成树协议；IEEE802.1w快速生产树协议；基于端口VLAN和IEEE 802.1q VLAN；IEEE 802.1P优先级队列管理；IGMP Snooping，最多支持256个组播组；端口速率控制，速率限制粒度为64K比特每秒；流控、广播风暴控制功能；IEEE 802.1x认证、Radius；城域以太网交换机集群管理SGM；DHCP RELAY、DHCP SNOOP。\n该系列城域以太网以太网交换机平台的软件功能模块示意图如图11所示，主要功能位于城域以太网交换机的协议栈部分，这些功能使得城域以太网交换机能够更加全面、完善的控制、监督用户，并且配置简便。