以太环网中控制VLAN的保护方法以及节点设备.pdf

上传人：a1

文档编号：4315856

上传时间：2018-09-13

格式：PDF

页数：7

大小：348.15KB

《以太环网中控制VLAN的保护方法以及节点设备.pdf》由会员分享，可在线阅读，更多相关《以太环网中控制VLAN的保护方法以及节点设备.pdf（7页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102457432 A (43)申请公布日 2012.05.16 C N 1 0 2 4 5 7 4 3 2 A *CN102457432A* (21)申请号 201010524626.4 (22)申请日 2010.10.29 H04L 12/56(2006.01) H04L 12/42(2006.01) (71)申请人迈普通信技术股份有限公司地址 610041 四川省成都市高新区九兴大道 16号迈普大厦 (72)发明人何三波 (74)专利代理机构成都虹桥专利事务所 51124 代理人邹裕蓉 (54) 发明名称以太环网中控制VLAN的保护方法以及节点设备 (57。

2、) 摘要本发明提供一种防止攻击者伪造EAPS协议报文对EAPS环进行攻击的控制VLAN保护方法以及实现该方法的节点设备。当EAPS节点接收到 EAPS协议报文时，禁止该节点上的用户数据端口转发EAPS协议报文；所述节点包括主节点与传输节点。通过禁止用户数据端口转发EAPS协议报文的技术手段，既可以防止EAPS环的EAPS协议报文通过用户数据端口进入用户网络，又可以防止攻击者伪造的EAPS协议报文通过用户数据端口进入EAPS环，引起协议的错误操作。这样，EAPS协议报文无法到达EAPS环，从物理层面阻断了攻击者伪造协议报文的攻击路径。 (51)Int.Cl. 权利要求书1页。

3、说明书4页附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 4 页附图 1 页 1/1页 2 1.以太网环网中控制VLAN的保护方法，其特征在于，当EAPS节点接收到EAPS协议报文时，禁止该节点上的用户数据端口转发EAPS协议报文；所述节点包括主节点与传输节点。 2.如权利要求1所述以太网环网中控制VLAN的保护方法，其特征在于，所述禁止EAPS 节点上的用户数据端口转发EAPS协议报文是指在用户数据端口上阻塞EAPS控制VLAN。 3.如权利要求1或2所述以太网环网中控制VLAN的保护方法，其特征在于，当EAPS 环网中任意一个节点。

4、被两个或两个以上的EAPS环经过，且每个EAPS环在该节点上有两个端口时，该节点作为这两个或两个以上的EAPS环的切点节点，禁止该切点节点所在每一个 EAPS环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文。 4.如权利要求3所述以太网环网中控制VLAN的保护方法，其特征在于，禁止该切点节点所在每一个EAPS环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文是指，设置每一个EAPS环在所述切点节点的两个端口上阻塞所有经过该切点节点的其它相切EAPS环的控制VLAN。 5.以太网环网中的节点设备，其特征在于，包括第一保护控制模块，报文判断模块；所述报文判断模块。

5、用于，接收EAPS协议报文时，触发第一保护控制模块；所述第一保护控制模块用于，禁止EAPS环网中的用户数据端口转发EAPS协议报文。 6.如权利要求5所述以太网环网中的节点设备，其特征在于，所述第一保护控制模块用于，通过在用户数据端口上阻塞EAPS环的控制VLAN，来禁止EAPS协议报文通过用户数据端口转发。 7.如权利要求5或6所述以太网环网中的节点设备，其特征在于，还包括切点节点判断模块、第二保护控制模块；所述切点节点判断模块用于，当本地节点设备被两个或两个以上的EAPS环经过，且每个EAPS环在本地节点设备上有两个端口时，切点节点判断模块判断本地节点设备为这两个或两个以上的。

6、EAPS环的切点节点，所述两个或两个以上的EAPS环均为该切点节点的相切EAPS环；所述报文判断模块还用于，当接收EAPS协议报文，且切点节点判断模块判断出本地节点设备为切点节点时，触发第二保护控制模块；所述第二保护控制模块用于，禁止本地节点设备上任意一个相切EAPS环对应的两个端口在本EAPS环上转发其它相切EAPS环的协议报文。 8.如权利要求7所述太网环网中的节点设备，其特征在于，所述第二保护控制模块用于，通过在任意一个经过本地节点设备的EAPS环对应的两个端口上阻塞所有经过该本地节点设备的其它EAPS环的控制VLAN，来禁止本地节点设备上的一个EAPS环对应的两个端口在。

7、本EAPS环上转发其它相切EAPS环的协议报文。权利要求书CN 102457432 A 1/4页 3 以太环网中控制 VLAN 的保护方法以及节点设备技术领域 0001 本发明涉及以太环网技术，特别涉及EAPS(Ethernet Automatic Protection Switching，以太网自动保护倒换)环网技术。背景技术 0002 EAPS以太环网保护方法中中包括了一组被保护的用于用户数据业务转发的业务虚拟局域网(VLAN，Virtual Local Area Network)和一个用于保护控制报文转发的控制 VLAN，以及一个主节点和多个传输节点。其中，该以太网保护域。

8、的主节点上分别有一个主端口和一个副端口，控制报文转发使用的VLAN为控制VLAN，被保护的用户数据业务转发使用的VLAN为用户数据VLAN。正常情况下，主节点将阻塞副端口的用户数据VLAN转发功能 (将副端口上的用户数据VLAN的生成树状态设置为阻塞)，环网中无环路产生，从而防止由于网络环路，用户数据成环，引起的网络风暴。 0003 但是，EAPS环会遭到攻击，出现EAPS协议报文的错误操作，严重的，可导致EAPS环中的主节点错误地将副端口上的用户数据VLAN的生成树状态设置为转发状态，用户数据成环，引起网络瘫痪。 0004 出现这些错误的原因常是有攻击者伪造的EAPS协议报文进入E。

9、APS环进行攻击。 EAPS环网技术中有关的标准RFC3619中，建议通过报文加密的方式对EAPS协议报文进行保护。但是，如果使用私有加密方式对EAPS协议报文进行加密，将会影响不同厂家之间设备的互联互通。使用标准方式对EAPS协议报文进行加密，又容易被攻击者破解加密算法。且，目前无论是私有加密方法还是标准加密方法，都可能被攻击者破解加密算法。也就是说无论使用什么方法对EAPS协议报文进行加密，攻击者都有机可乘。特别地，如果攻击者采用伪造的EAPS协议报文对以太环网进行攻击，将造成严重后果。发明内容 0005 本发明所要解决的技术问题是，提供一种防止攻击者伪造EAPS协议报文对EA。

10、PS 环进行攻击的控制VLAN保护方法以及实现该方法的节点设备。 0006 本发明为解决上述技术问题所采用的技术方案是，以太网环网中控制VLAN的保护方法，包括步骤： 0007 当EAPS节点接收到EAPS协议报文时，禁止该节点上的用户数据端口转发EAPS协议报文；所述节点包括主节点与传输节点。 0008 通过对被攻击的EAPS环进行分析发现，造成伪造的EAPS协议报文进入EAPS环进行攻击的原因是，有不少用户习惯把用户数据端口加入所有的VLAN，这样就给攻击者伪造EAPS协议报文通过用户数据端口进入EAPS环进行攻击提供了可能性：EAPS协议报文在其控制VLAN内广播，所以，在EA。

11、PS环的任意节点上，只要用户数据端口加入了EAPS环的控制VLAN，EAPS协议报文就会进入用户网络，此时攻击者通过抓包工具抓包分析EAPS协议报文，进而伪造EAPS协议报文对EAPS环网进行攻击。本发明通过禁止用户数据端口转发说明书CN 102457432 A 2/4页 4 EAPS协议报文的技术手段，既可以防止EAPS环的EAPS协议报文通过用户数据端口进入用户网络，又可以防止攻击者伪造的EAPS协议报文通过用户数据端口进入EAPS环，引起协议的错误操作。这样，EAPS协议报文无法到达EAPS环，从物理层面阻断了攻击者伪造协议报文的攻击路径。 0009 具体的，在用户数据端。

12、口上阻塞EAPS环的控制VLAN，则可以禁止EAPS协议报文通过在用户数据端口进行转发，即操作简单，又不消耗以太网交换机的资源。 0010 当以太网环网中任意一个节点被两个或两个以上的EAPS环经过，且每个EAPS环在该节点上有两个端口时，该节点为这两个或两个以上的EAPS环的切点节点，所述两个或两个以上的EAPS环均为该切点节点的相切EAPS环；此时，如果一个相切EAPS环的EAPS协议报文进入另一个相切EAPS环，这些EAPS协议报文浪费了另一个相切EAPS环的带宽，也给另一个相切EAPS上运行的EAPS协议报文带来了多余的处理。因此，本发明进一步的，禁止所述切点节点所在每一个。

13、EAPS环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文。 0011 EAPS环经过的两个端口，一个为主端口，一个为副端口。 0012 优选的，通过在任意一个经过切点节点的相切EAPS环对应的两个端口上阻塞所有经过该切点节点的其它相切EAPS环的控制VLAN，来禁止所述切点节点所在每一个EAPS 环上的两个端口在本EAPS环上转发其它相切EAPS环的协议报文 0013 向经过该切点节点其它相切EAPS环转发EAPS协议报文。 0014 以太网环网中的节点设备，包括第一保护控制模块，报文判断模块； 0015 报文判断模块用于，接收EAPS协议报文时，触发第一保护控制模块； 00。

14、16 第一保护控制模块用于，禁止用户数据端口转发EAPS协议报文。 0017 优选的，第一保护控制模块通过在用户数据端口上阻塞EAPS环的控制VLAN，来禁止EAPS协议报文在用户数据端口上转发。 0018 进一步的，还包括切点节点判断模块、第二保护控制模块； 0019 切点节点判断模块用于，当本地节点设备被两个或两个以上的EAPS环经过，且每个EAPS环在本地节点设备上有两个端口时，切点节点判断模块判断本地节点设备为这两个或两个以上的EAPS环的切点节点，所述两个或两个以上的EAPS环均为该切点节点的相切EAPS环； 0020 报文判断模块还用于，当接收EAPS协议报文，且切点节点判。

15、断模块判断出本地节点设备为切点节点时，触发第二保护控制模块； 0021 第二保护控制模块用于，禁止本地节点设备上任意一个相切EAPS环对应的两个端口在本EAPS环上转发其它相切EAPS环的协议报文 0022 优选的，第二保护控制模块用于，通过在任意一个经过本地节点设备的EAPS环对应的两个端口上阻塞所有经过该本地节点设备的其它EAPS环的控制VLAN，来禁止本地节点设备上所在的任意一个相切EAPS环对应的两个端口在本EAPS环上转发其它相切EAPS 环的协议报文。 0023 本发明的有益效果是，保证了EAPS环网的安全，进一步的，避免了出现相切EAPS 环时，EAPS环的带宽被其它相切。

16、EAPS环的EAPS协议报文占用。说明书CN 102457432 A 3/4页 5 附图说明 0024 图1为以太网环网中的节点设备的示意图； 0025 图2为实施例1中EAPS环示意图； 0026 图3为实施例2中相切EAPS环示意图。具体实施方式 0027 如图1所示的节点设备，包括第一保护控制模块、报文判断模块、切点节点判断模块、第二保护控制模块； 0028 报文判断模块用于，接收EAPS协议报文时，触发第一保护控制模块；当接收EAPS 协议报文，且切点节点判断模块判断出本地节点设备为切点节点时，触发第二保护控制模块； 0029 切点节点判断模块用于，当本地节点设备被两个或两。

17、个以上的EAPS环经过，且每个EAPS环在本地节点设备上有两个端口时，切点节点判断模块判断本地节点设备为这两个或两个以上的EAPS环的切点节点，所述两个或两个以上的EAPS环均为该切点节点的相切EAPS环； 0030 第一保护控制模块用于，在用户数据端口上阻塞EAPS环的控制VLAN。 0031 第二保护控制模块用于，在任意一个经过本地节点设备的EAPS环对应的两个端口上阻塞所有经过该本地节点设备的其它EAPS环的控制VLAN。 0032 实施例1 0033 如图1，在EAPS环R中，包括主节点M、传输节点T1、T2、T3。节点T2中，端口p1 是EAPS主端口，端口p2是EAPS副端。

18、口，端口p3是用户数据端口，端口p3是用户数据出入 EAPS节点的端口，其上没有运行EAPS协议。为了防止EAPS协议报文从用户数据端口p3进入用户网络，占用用户网络带宽；同时为了防止攻击者从用户网络恶意构造EAPS协议报文攻击EAPS环R，让协议错误运行。为此，节点T2的报文判断模块接收EAPS协议报文，控制第一保护控制模块在用户数据端口p3上阻塞EAPS环的控制VLAN，禁止EAPS协议报文转发。 0034 通过阻塞EAPS环的控制VLAN禁止EAPS协议报文转发的方法有多种，如常见的 ACL(访问控制列表，Access Control List)过滤等。但一些节点设备的交换机上的。

19、用户数据端口比较多，在用户数据端口上使用ACL对EAPS协议报文进行过滤的方法消耗ACL资源过多，而ACL资源又是以太网交换机上非常宝贵的资源，不可滥用。因此，可以在数据端口 P3上将EAPS环的控制VLAN的生成树状态设置为阻塞，则可以禁止EAPS协议报文通过数据端口P3转发，相对操作简单，不消耗以太网交换机的资源。 0035 实施例2 0036 如图2，两个EAPS环，一个EAPS环R1包括主节点M、传输节点T1、T2、T3；另一个 EAPS环R2包括主节点m、传输节点t1、t2、T3，其中这两个EAPS环都经过节点T3，且每个环在节点T3有两个端口，节点T3上的端口p11、p22。

20、对应EAPS环R1，端口p21、p22对应EAPS 环R2。那么，EAPS环R1与EAPS环R2相切于切点节点T3，EAPS环R1与EAPS环R2为相切 EAPS环。 0037 本实施例中除了节点T3的报文判断模块在接收EAPS协议报文后，控制第一保护说明书CN 102457432 A 4/4页 6 控制模块在节点T3的用户数据端口上阻塞EAPS环的控制VLAN，禁止EAPS协议报文转发之外，还需针对相切EAPS环的情况作特殊处理 0038 当经过同一节点设备上有两个或两个以上相切EAPS环时，一个相切EAPS环在切点节点的两个端口上阻塞其它相切EAPS环的控制VLAN。本实施例如图。

21、2，节点T3的切点节点判断模块判断出EAPS环R1和EAPS环R2相切于节点T3。R1在节点T3上的主端口为 p11，副端口为p12，EAPS环R2在节点T3上的主端口为p21，副端口为p22。当节点T3的报文判断模块接收到来自于EAPS环R1的EAPS协议报文时，第二保护控制模块在端口p11和 p12上阻塞EAPS环R2的控制VLAN；当节点T3的报文判断模块接收到来自于EAPS环R2的 EAPS协议报文时，第二保护控制模块在端口p21和p22上阻塞EAPS环R1的控制VLAN。说明书CN 102457432 A 1/1页 7 图1 图2 图3 说明书附图CN 102457432 A 。

摘要
申请专利号：	CN201010524626.4	申请日：	2010.10.29
公开号：	CN102457432A	公开日：	2012.05.16
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 12/56申请日:20101029\|\|\|公开
IPC分类号：	H04L12/56; H04L12/42	主分类号：	H04L12/56
申请人：	迈普通信技术股份有限公司
发明人：	何三波
地址：	610041 四川省成都市高新区九兴大道16号迈普大厦
优先权：
专利代理机构：	成都虹桥专利事务所 51124	代理人：	邹裕蓉
PDF完整版下载：	PDF下载

内容摘要

本发明提供一种防止攻击者伪造EAPS协议报文对EAPS环进行攻击的控制VLAN保护方法以及实现该方法的节点设备。当EAPS节点接收到EAPS协议报文时，禁止该节点上的用户数据端口转发EAPS协议报文；所述节点包括主节点与传输节点。通过禁止用户数据端口转发EAPS协议报文的技术手段，既可以防止EAPS环的EAPS协议报文通过用户数据端口进入用户网络，又可以防止攻击者伪造的EAPS协议报文通过用户数据端口进入EAPS环，引起协议的错误操作。这样，EAPS协议报文无法到达EAPS环，从物理层面阻断了攻击者伪造协议报文的攻击路径。

权利要求书

1：以太网环网中控制 VLAN 的保护方法，其特征在于，当 EAPS 节点接收到 EAPS 协议报文时，禁止该节点上的用户数据端口转发 EAPS 协议报文；所述节点包括主节点与传输节点。2：如权利要求 1 所述以太网环网中控制 VLAN 的保护方法，其特征在于，所述禁止 EAPS 节点上的用户数据端口转发 EAPS 协议报文是指在用户数据端口上阻塞 EAPS 控制 VLAN。3：如权利要求 1 或 2 所述以太网环网中控制 VLAN 的保护方法，其特征在于，当 EAPS 环网中任意一个节点被两个或两个以上的 EAPS 环经过，且每个 EAPS 环在该节点上有两个端口时，该节点作为这两个或两个以上的 EAPS 环的切点节点，禁止该切点节点所在每一个 EAPS 环上的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文。4：如权利要求 3 所述以太网环网中控制 VLAN 的保护方法，其特征在于，禁止该切点节点所在每一个 EAPS 环上的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文是指，设置每一个 EAPS 环在所述切点节点的两个端口上阻塞所有经过该切点节点的其它相切 EAPS 环的控制 VLAN。5：以太网环网中的节点设备，其特征在于，包括第一保护控制模块，报文判断模块；所述报文判断模块用于，接收 EAPS 协议报文时，触发第一保护控制模块；所述第一保护控制模块用于，禁止 EAPS 环网中的用户数据端口转发 EAPS 协议报文。6：如权利要求 5 所述以太网环网中的节点设备，其特征在于，所述第一保护控制模块用于，通过在用户数据端口上阻塞 EAPS 环的控制 VLAN，来禁止 EAPS 协议报文通过用户数据端口转发。7：如权利要求 5 或 6 所述以太网环网中的节点设备，其特征在于，还包括切点节点判断模块、第二保护控制模块；所述切点节点判断模块用于，当本地节点设备被两个或两个以上的 EAPS 环经过，且每个 EAPS 环在本地节点设备上有两个端口时，切点节点判断模块判断本地节点设备为这两个或两个以上的 EAPS 环的切点节点，所述两个或两个以上的 EAPS 环均为该切点节点的相切 EAPS 环；所述报文判断模块还用于，当接收 EAPS 协议报文，且切点节点判断模块判断出本地节点设备为切点节点时，触发第二保护控制模块；所述第二保护控制模块用于，禁止本地节点设备上任意一个相切 EAPS 环对应的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文。8：如权利要求 7 所述太网环网中的节点设备，其特征在于，所述第二保护控制模块用于，通过在任意一个经过本地节点设备的 EAPS 环对应的两个端口上阻塞所有经过该本地节点设备的其它 EAPS 环的控制 VLAN，来禁止本地节点设备上的一个 EAPS 环对应的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文。

说明书

以太环网中控制 VLAN 的保护方法以及节点设备
    技术领域本发明涉及以太环网技术，特别涉及 EAPS(Ethernet Automatic Protection Switching，以太网自动保护倒换 ) 环网技术。
     背景技术 EAPS 以太环网保护方法中中包括了一组被保护的用于用户数据业务转发的业务虚拟局域网 (VLAN， Virtual Local Area Network) 和一个用于保护控制报文转发的控制 VLAN，以及一个主节点和多个传输节点。其中，该以太网保护域的主节点上分别有一个主端口和一个副端口，控制报文转发使用的 VLAN 为控制 VLAN，被保护的用户数据业务转发使用的 VLAN 为用户数据 VLAN。正常情况下，主节点将阻塞副端口的用户数据 VLAN 转发功能 ( 将副端口上的用户数据 VLAN 的生成树状态设置为阻塞 )，环网中无环路产生，从而防止由于网络环路，用户数据成环，引起的网络风暴。
     但是， EAPS 环会遭到攻击，出现 EAPS 协议报文的错误操作，严重的，可导致 EAPS 环中的主节点错误地将副端口上的用户数据 VLAN 的生成树状态设置为转发状态，用户数据成环，引起网络瘫痪。
     出现这些错误的原因常是有攻击者伪造的 EAPS 协议报文进入 EAPS 环进行攻击。 EAPS 环网技术中有关的标准 RFC3619 中，建议通过报文加密的方式对 EAPS 协议报文进行保护。但是，如果使用私有加密方式对 EAPS 协议报文进行加密，将会影响不同厂家之间设备的互联互通。使用标准方式对 EAPS 协议报文进行加密，又容易被攻击者破解加密算法。且，目前无论是私有加密方法还是标准加密方法，都可能被攻击者破解加密算法。也就是说无论使用什么方法对 EAPS 协议报文进行加密，攻击者都有机可乘。特别地，如果攻击者采用伪造的 EAPS 协议报文对以太环网进行攻击，将造成严重后果。
     发明内容本发明所要解决的技术问题是，提供一种防止攻击者伪造 EAPS 协议报文对 EAPS 环进行攻击的控制 VLAN 保护方法以及实现该方法的节点设备。
     本发明为解决上述技术问题所采用的技术方案是，以太网环网中控制 VLAN 的保护方法，包括步骤：
     当 EAPS 节点接收到 EAPS 协议报文时，禁止该节点上的用户数据端口转发 EAPS 协议报文；所述节点包括主节点与传输节点。
     通过对被攻击的 EAPS 环进行分析发现，造成伪造的 EAPS 协议报文进入 EAPS 环进行攻击的原因是，有不少用户习惯把用户数据端口加入所有的 VLAN，这样就给攻击者伪造 EAPS 协议报文通过用户数据端口进入 EAPS 环进行攻击提供了可能性： EAPS 协议报文在其控制 VLAN 内广播，所以，在 EAPS 环的任意节点上，只要用户数据端口加入了 EAPS 环的控制 VLAN， EAPS 协议报文就会进入用户网络，此时攻击者通过抓包工具抓包分析 EAPS 协议报文，进而伪造 EAPS 协议报文对 EAPS 环网进行攻击。本发明通过禁止用户数据端口转发
     EAPS 协议报文的技术手段，既可以防止 EAPS 环的 EAPS 协议报文通过用户数据端口进入用户网络，又可以防止攻击者伪造的 EAPS 协议报文通过用户数据端口进入 EAPS 环，引起协议的错误操作。这样， EAPS 协议报文无法到达 EAPS 环，从物理层面阻断了攻击者伪造协议报文的攻击路径。
     具体的，在用户数据端口上阻塞 EAPS 环的控制 VLAN，则可以禁止 EAPS 协议报文通过在用户数据端口进行转发，即操作简单，又不消耗以太网交换机的资源。
     当以太网环网中任意一个节点被两个或两个以上的 EAPS 环经过，且每个 EAPS 环在该节点上有两个端口时，该节点为这两个或两个以上的 EAPS 环的切点节点，所述两个或两个以上的 EAPS 环均为该切点节点的相切 EAPS 环；此时，如果一个相切 EAPS 环的 EAPS 协议报文进入另一个相切 EAPS 环，这些 EAPS 协议报文浪费了另一个相切 EAPS 环的带宽，也给另一个相切 EAPS 上运行的 EAPS 协议报文带来了多余的处理。因此，本发明进一步的，禁止所述切点节点所在每一个 EAPS 环上的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文。
     EAPS 环经过的两个端口，一个为主端口，一个为副端口。
     优选的，通过在任意一个经过切点节点的相切 EAPS 环对应的两个端口上阻塞所有经过该切点节点的其它相切 EAPS 环的控制 VLAN，来禁止所述切点节点所在每一个 EAPS 环上的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文
     向经过该切点节点其它相切 EAPS 环转发 EAPS 协议报文。
     以太网环网中的节点设备，包括第一保护控制模块，报文判断模块；
     报文判断模块用于，接收 EAPS 协议报文时，触发第一保护控制模块；第一保护控制模块用于，禁止用户数据端口转发 EAPS 协议报文。
     优选的，第一保护控制模块通过在用户数据端口上阻塞 EAPS 环的控制 VLAN，来禁止 EAPS 协议报文在用户数据端口上转发。
     进一步的，还包括切点节点判断模块、第二保护控制模块；
     切点节点判断模块用于，当本地节点设备被两个或两个以上的 EAPS 环经过，且每个 EAPS 环在本地节点设备上有两个端口时，切点节点判断模块判断本地节点设备为这两个或两个以上的 EAPS 环的切点节点，所述两个或两个以上的 EAPS 环均为该切点节点的相切 EAPS 环；
     报文判断模块还用于，当接收 EAPS 协议报文，且切点节点判断模块判断出本地节点设备为切点节点时，触发第二保护控制模块；
     第二保护控制模块用于，禁止本地节点设备上任意一个相切 EAPS 环对应的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文
     优选的，第二保护控制模块用于，通过在任意一个经过本地节点设备的 EAPS 环对应的两个端口上阻塞所有经过该本地节点设备的其它 EAPS 环的控制 VLAN，来禁止本地节点设备上所在的任意一个相切 EAPS 环对应的两个端口在本 EAPS 环上转发其它相切 EAPS 环的协议报文。
     本发明的有益效果是，保证了 EAPS 环网的安全，进一步的，避免了出现相切 EAPS 环时， EAPS 环的带宽被其它相切 EAPS 环的 EAPS 协议报文占用。
     附图说明
     图 1 为以太网环网中的节点设备的示意图；图 2 为实施例 1 中 EAPS 环示意图；图 3 为实施例 2 中相切 EAPS 环示意图。具体实施方式
     如图 1 所示的节点设备，包括第一保护控制模块、报文判断模块、切点节点判断模块、第二保护控制模块；
     报文判断模块用于，接收 EAPS 协议报文时，触发第一保护控制模块；当接收 EAPS 协议报文，且切点节点判断模块判断出本地节点设备为切点节点时，触发第二保护控制模块；
     切点节点判断模块用于，当本地节点设备被两个或两个以上的 EAPS 环经过，且每个 EAPS 环在本地节点设备上有两个端口时，切点节点判断模块判断本地节点设备为这两个或两个以上的 EAPS 环的切点节点，所述两个或两个以上的 EAPS 环均为该切点节点的相切 EAPS 环；第一保护控制模块用于，在用户数据端口上阻塞 EAPS 环的控制 VLAN。
     第二保护控制模块用于，在任意一个经过本地节点设备的 EAPS 环对应的两个端口上阻塞所有经过该本地节点设备的其它 EAPS 环的控制 VLAN。
     实施例 1
     如图 1，在 EAPS 环 R 中，包括主节点 M、传输节点 T1、 T2、 T3。节点 T2 中，端口 p1 是 EAPS 主端口，端口 p2 是 EAPS 副端口，端口 p3 是用户数据端口，端口 p3 是用户数据出入 EAPS 节点的端口，其上没有运行 EAPS 协议。为了防止 EAPS 协议报文从用户数据端口 p3 进入用户网络，占用用户网络带宽；同时为了防止攻击者从用户网络恶意构造 EAPS 协议报文攻击 EAPS 环 R，让协议错误运行。为此，节点 T2 的报文判断模块接收 EAPS 协议报文，控制第一保护控制模块在用户数据端口 p3 上阻塞 EAPS 环的控制 VLAN，禁止 EAPS 协议报文转发。
     通过阻塞 EAPS 环的控制 VLAN 禁止 EAPS 协议报文转发的方法有多种，如常见的 ACL( 访问控制列表， Access Control List) 过滤等。但一些节点设备的交换机上的用户数据端口比较多，在用户数据端口上使用 ACL 对 EAPS 协议报文进行过滤的方法消耗 ACL 资源过多，而 ACL 资源又是以太网交换机上非常宝贵的资源，不可滥用。因此，可以在数据端口 P3 上将 EAPS 环的控制 VLAN 的生成树状态设置为阻塞，则可以禁止 EAPS 协议报文通过数据端口 P3 转发，相对操作简单，不消耗以太网交换机的资源。
     实施例 2
     如图 2，两个 EAPS 环，一个 EAPS 环 R1 包括主节点 M、传输节点 T1、 T2、 T3 ；另一个 EAPS 环 R2 包括主节点 m、传输节点 t1、 t2、 T3，其中这两个 EAPS 环都经过节点 T3，且每个环在节点 T3 有两个端口，节点 T3 上的端口 p11、 p22 对应 EAPS 环 R1，端口 p21、 p22 对应 EAPS 环 R2。那么， EAPS 环 R1 与 EAPS 环 R2 相切于切点节点 T3， EAPS 环 R1 与 EAPS 环 R2 为相切 EAPS 环。
     本实施例中除了节点 T3 的报文判断模块在接收 EAPS 协议报文后，控制第一保护
     控制模块在节点 T3 的用户数据端口上阻塞 EAPS 环的控制 VLAN，禁止 EAPS 协议报文转发之外，还需针对相切 EAPS 环的情况作特殊处理——
     当经过同一节点设备上有两个或两个以上相切 EAPS 环时，一个相切 EAPS 环在切点节点的两个端口上阻塞其它相切 EAPS 环的控制 VLAN。本实施例如图 2，节点 T3 的切点节点判断模块判断出 EAPS 环 R1 和 EAPS 环 R2 相切于节点 T3。R1 在节点 T3 上的主端口为 p11，副端口为 p12， EAPS 环 R2 在节点 T3 上的主端口为 p21，副端口为 p22。当节点 T3 的报文判断模块接收到来自于 EAPS 环 R1 的 EAPS 协议报文时，第二保护控制模块在端口 p11 和 p12 上阻塞 EAPS 环 R2 的控制 VLAN ；当节点 T3 的报文判断模块接收到来自于 EAPS 环 R2 的 EAPS 协议报文时，第二保护控制模块在端口 p21 和 p22 上阻塞 EAPS 环 R1 的控制 VLAN。