Устройство изменения маршрута прохождения трафика для обработки

Авторы патента:

H04L12/701 - Сети переключения сигналов (передачи данных) (соединение запоминающих устройств, устройств ввода-вывода или центральных процессоров или передача информации или других сигналов между указанными устройствами G06F 13/00)

Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных. Предложено устройство для изменения маршрута прохождения графика для обработки. Сущность которого, заключается в применении устройства имеющего физические интерфейсы, которые используются для подключения к сети передачи данных и управления протоколами динамической маршрутизации. С данных интерфейсов, модулем захвата трафика, берется сам график, путь которого был изменен путем применения методов изменения маршрута прохождения графика, которые реализованы в программно-аппаратном блоке работы с сетевыми протоколам взаимодействия открытых систем (OSI). Полученный график перенаправляется либо ответвляется на системы обработки графика. Техническим результатом, обеспечиваемым представленным техническим решением, является упрощенное подключение устройств обработки цифровой информации к сети передачи данных, которое осуществляется без изменения системы организации и системы работы сети передачи данных.

ОБЛАСТЬ ТЕХНИКИ

Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных, а именно к системам захвата, перенаправления или ответвления графика методом изменения маршрута его прохождения с целью пропускания передаваемой информации через системы фильтрации, защиты от сетевых атак, анализа, архивирования или другие различные системы обработки цифровой информации. Заявляемое техническое решение может быть использовано, в сетях передачи данных различного масштаба.

УРОВЕНЬ ТЕХНИКИ

Из предшествующего уровня техники известно техническое решение по захвату графика путем установки устройства в разрыв сети с целью контроля графика и обеспечения безопасности проходящей цифровой информации (патент SECURE COMPUTER NETWORK WITH A NETWORK SCREEN, US 20020087889 A1, G06F 11/30, опубликовано 04.06.2002; патент ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН RU 2214623, G06F 15/163 опубликовано 20.10.2003). Также известно устройство по обеспечению сетевой безопасности (патент NETWORK SECURITY APPLIANCE US 20120151558 A1, G06F 21/00, опубликовано 14.06.2012). Самым главным недостатком, предложенных решений по части захвата графика, является установка устройства в разрыв сети, что влечет за собой изменение системы организации и системы работы защищаемой сети, которое неминуемо приводит к большим трудозатратам обслуживающего персонала сети, а так же прекращению нормального функционирования сети на время, необходимое для установки системы. Также известны устройства, системы и способы работы с протоколами маршрутизации, с целью контроля проходящего трафика и управления маршрутизацией. Одной из таких систем является распределенная система защиты от сетевых атак методом выборочного удаления графика в IP-сетях (Distributed denial-of-service attack mitigation by selective black-holing in IP networks, G06F 15/16 опубликовано 29.01.2009). В данном решении реализован метод управления протоколом динамической маршрутизации BGP. Недостатком данного решения, являются реализация только на сети оператора, предоставляющего услуги сетей передачи данных и отсутствие захвата и обработки трафика.

Наиболее близким к заявленному техническому решению является система захвата, анализа и хранения передаваемой по сети информации, которая использует устройство захвата трафика методом прослушивания ключевого сегмента сети (патент SYSTEM AND METHOD FOR THE CAPTURE AND ARCHIVAL OF ELECTRONIC COMMUNICATIONS, US 20080034049 A1, G06F 15/16 опубликовано 07.02.2008). В данном техническом решении подключение устройства для захвата трафика осуществляется не в разрыв сети, а путем подключения к ключевому сегменту сети посредством физического интерфейса подключения, выполненного в виде сетевого адаптера. Устройство состоит из физического интерфейса подключения, модуля работы со стеком протоколов TCP/IP, который соединен с модулем захвата трафика, передающего захваченный трафик на узлы анализа и архивирования захваченного трафика. Недостатками данного технического решения являются: использование для захвата трафика прослушивающего режима физического интерфейса подключения к сети, что влечет за собой необходимость выбора места подключения к сети, оно должно быть в ключевом сегменте, пропускающем весь трафик, который необходимо обрабатывать; невозможность применения данной системы на коммутируемой сети, так как в устройстве используется режим подключения к сети посредством физического интерфейса, работающего в режиме прослушивания, а такое решение не применимо на коммутируемой сети, так как не будет выполнять свою главную функцию по перехвату всего графика; невозможность фильтрации и удаления вредоносной информации, так как процедура захвата графика заключается в простом прослушивании, без изменения направления прохождения трафика сети для его обработки.

РАСКРЫТИЕ ПОЛЕЗНОЙ МОДЕЛИ

Технической задачей, на решение которой направленно заявляемое техническое решение, является подключение устройства к сети передачи данных с внесением минимальных изменений в конфигурацию сети передачи данных, без изменения системы организации и системы работы самой сети, с целью захвата и перенаправления либо ответвления графика для обработки.

Данная задача решается за счет того, что заявляемое устройство изменения маршрута прохождения трафика для обработки, содержащее входной и выходной физические интерфейсы, используемые для подключения к сети передачи данных, соединенные с модулем захвата трафика, имеющем в своем составе интерфейс подключения систем обработки захваченной информации, отличающееся тем, что с целью упрощения подключения устройства к сети передачи данных, в модуль захвата трафика добавлен программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI), который реализует методы изменения маршрута прохождения трафика, добавляя либо подставляя в обычный маршрут прохождения графика устройство обработки информации, используя для этого протоколы динамической маршрутизации, такие как BGP, его модификации и аналоги, применяемые на определенных уровнях модели взаимодействия открытых систем, управление которыми осуществляется посредством физического интерфейса управления динамической маршрутизацией. В качестве процедуры, выполняемой программно-аппаратным блоком, может быть процедура захвата или ответвления графика локальной автономной системы, процедура захвата или ответвления графика удаленной автономной системы, а также процедура возврата графика через подготовленные сетевые туннели.

Техническим результатом, обеспечиваемым приведенной совокупностью признаков, является упрощенное подключение устройств обработки цифровой информации к сети передачи данных, которое осуществляется с внесением минимальных изменений в конфигурацию сети передачи данных, без изменения системы организации и системы работы самой сети.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Сущность заявляемого технического решения поясняется чертежами, на которых изображены:

На Фиг.1 - Структурная схема устройства изменения маршрута прохождения графика для обработки;

На Фиг.2 - Типовая схема подключения к сети передачи данных устройства изменения маршрута прохождения графика для обработки;

На Фиг.3 - Блок схема процесса работы устройства изменения маршрута прохождения графика для обработки.

ОСУЩЕСТВЛЕНИЕ ПОЛЕЗНОЙ МОДЕЛИ

Устройство изменения маршрута прохождения графика для обработки имеет структурную схему, показанную на Фиг.1 и состоит из входного физического интерфейса (101), выходного физического интерфейса (102) и физического интерфейса управления динамической маршрутизацией (107), выполненных в виде сетевых адаптеров, имеющих физические адреса, обладающих пропускной способностью, необходимой для решения поставленных задач, а так же модуля захвата графика (103), имеющего в своем составе программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем OSI (104), который управляется, настраивается и контролируется модулем управления и настройки (106). Также модуль захвата графика имеет интерфейс соединения с системами обработки перенаправляемого или ответвляемого графика (105), через который происходит передача графика для обработки от модуля захвата (103) к системе обработки графика (108). Конструктивно устройство может быть выполнено как раздельно, гак и совместно с системой обработки графика.

Работает устройство следующим образом. Типовая схема подключения заявляемого устройства к сети передачи данных показана на Фиг.2. Заявляемое устройство изменения маршрута прохождения графика для обработки (201) подключается к пограничному маршрутизатору (202) и внутреннему маршрутизатору (203) посредством физических входного (208) и выходного (209) интерфейсов соответственно. Физический интерфейс управления динамической маршрутизацией (210), гоже подключается к пограничному маршрутизатору и служит для управления работой протокола маршрутизации BGP, его модификаций и аналогов. Данная схема включения используется при изменении маршрута входящего графика, если необходимо изменять маршрут исходящего графика, то входной физический интерфейс (208) и физический интерфейс управления динамической маршрутизацией (210) подключаются к внутреннему маршрутизатору (203), а выходной физический интерфейс (209) подключается в пограничному маршрутизатору (202). Также посредством интерфейса соединения с системами обработки (211), заявляемое устройство подключается к системе обработки информации (207). Типовая сеть, к которой подключается заявляемое устройство, может состоять из маршрутизирующих устройств (202, 203, 212), коммутирующих устройств (204, 213), оконечных устройств (205, 206, 214, 215), таких как рабочие станции, серверы, принтеры и другие устройства, имеющие возможность подключения к сети передачи данных. Следует отметить, что схема организации сети, представленная на Фиг.2, является частным случаем и служит только для пояснения принципа подключения заявляемого устройства. В сфере применения данного технического решения, сеть может иметь различную схему организации, различный набор устройств и связей между ними, соответствующих стандартам построения сетей передачи данных.

Процесс работы заявляемого устройства состоит из нескольких этапов, блок схема этого процесса показана на Фиг.3. После подключения заявляемого устройства к сети передачи данных, устройство начинает работать (301). Первой процедурой, которую оно выполняет, является инициализация работы (302), включающая в себя определение и применение настроек, сделанных модулем управления и настройки (106), показанным на Фиг.1. Данные настройки указывают заявляемому устройству, с какими пограничными маршрутизаторами необходимо установить соединение по протоколу BGP, его модификациям либо аналогам. После выполнения настроек и определения маршрутизаторов, с которыми необходимо установить соединение, устройство устанавливает соединение с пограничными маршрутизаторами (303) и начинает запрашивать таблицу маршрутизации, в которой содержится информация о сетях, которые могут быть достижимы, через пограничные маршрутизаторы, с которыми установлено соединение (304). Следует заметить, что соединение может быть установлено как с пограничным маршрутизатором локальной автономной системы, так и с пограничным маршрутизатором удаленной автономной системы, так же в качестве пограничного маршрутизатора может выступать внутренний маршрутизатор сети, если необходимо захватывать исходящий трафик. Выполнение данной процедуры происходит за счет обмена служебной информацией посредством протокола динамической маршрутизации BGP, его модификаций или аналогов. После получения таблицы маршрутизации с пограничных маршрутизаторов, с которыми установлено соединение по протоколу BGP, его модификациям или аналогам, заявляемое устройство начинает процесс по изменению маршрута прохождения графика (305-310). Процесс по изменению маршрута прохождения графика начинается с проверки активности самого процесса изменения маршрута (306), данная проверка необходима для прекращения работы устройства, если выставлен признак о завершении изменения маршрута прохождения графика. Данный признак выставляется модулем управления и настройки (106). При выставлении данного признака, устройство переходит в завершающую фазу работы (311, 312), в которой восстанавливаются измененные маршруты прохождения графика, если они были изменены, и прекращается работа устройства. В том случае если процесс по изменению маршрута прохождения графика активен и признак об окончании данного процесса модулем управления и настройки не выставлен, то заявляемое устройство проверяет наличие сетевых адресов (307), график которых необходимо перенаправить или ответвить по новому маршруту. Эти адреса устанавливаются модулем управления и настройки (106). Если такие адреса есть, то система переходит к смене маршрута прохождения графика, если нег, то система остается в ожидании дальнейших действий. При изменении маршрута прохождения графика, система отправляет служебные сообщения на пограничный маршрутизатор (308), данные сообщения представляют из себя BGP сообщения, в которых пограничный маршрутизатор информируется о следующем узле в маршруте прохождения графика до узлов, адреса которых определены модулем настройки и управления (106). Следующим узлом в маршруте для прохождения данного графика указывается входной интерфейс заявляемого устройства (208). После получения сообщений об изменении маршрута, пограничные маршрутизаторы, на которые данные сообщения были отправлены, перенаправляют маршрут прохождения графика до узлов, адреса которых были указаны в сообщениях, через входной физический интерфейс заявляемого устройства, путем изменения таблиц маршрутизации. Для случая, когда изменение маршрута прохождения графика происходит для локальной автономной системы, меняются только таблицы маршрутизации пограничного маршрутизатора локальной автономной системы, без передачи измененного маршрута во внешнюю сеть. В случае, когда изменение маршрута прохождения графика происходит для удаленной автономной системы, меняются таблицы маршрутизации пограничных маршрутизаторов и измененный маршрут передается во внешнюю сеть. Когда таблицы маршрутизации пограничных маршрутизаторов изменились, график начинает поступать на входной интерфейс заявленного устройства. После получения графика на входной интерфейс, заявляемое устройство перенаправляет или ответвляет данный график (309) на систему обработки графика, через соответствующий интерфейс систем обработки графика. Передача обработанного графика происходит через выходной физический интерфейс заявляемого устройства. Следует заметигь, что система перехватывает только входящий или только исходящий график, в зависимости от схемы подключения, маршрут прохождения графика, идущего противоположным направлением, не изменяется.

Таким образом, заявляемое устройство изменения маршрута прохождения графика для обработки, подключается к сети передачи данных, и перенаправляет, либо ответвляет трафик на системы обработки графика, с минимальными изменениями конфигурации сети передачи данных, без изменения системы организации и системы работы самой сети. Следует отметить, что в качестве систем обработки графика могут выступать различные системы, как частный случай, это могут быть системы защиты от сетевых атак, системы фильтрации графика, системы архивирования и многие другие системы, работающие с цифровой информацией, проходящей по сетям передачи данных.

1. Устройство изменения маршрута прохождения трафика для обработки, содержащее как минимум один входной и один выходной физические интерфейсы, используемые для подключения к сети передачи данных, соединенные с модулем захвата трафика, имеющим в своем составе интерфейс подключения систем обработки захваченной информации и программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI), отличающееся тем, что блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI) реализует методы изменения маршрута прохождения трафика, добавляя либо подставляя в обычный маршрут прохождения трафика устройство обработки информации, на которое захваченный трафик перенаправляется либо ответвляется для фильтрации, защиты и записи, за счет использования для изменения маршрута протокола динамической маршрутизации, такого как BGP, его модификаций и аналогов, применяемых на определенных уровнях модели взаимодействия открытых систем, управление которыми осуществляется посредством физического интерфейса управления динамической маршрутизацией.

2. Устройство изменения маршрута прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру захвата трафика локальной автономной системы для обработки.

3. Устройство изменения маршрута прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру перенаправления трафика локальной автономной системы для обработки.

4. Устройство изменения маршрута прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру захвата трафика удаленной автономной системы для обработки.

Промышленный оптический 5, 8 или 10-портовый Коммутатор связи sw-1 относится к области оборудования, которое применяется для передачи данных, реализующего технологии коммутации кадров в единой сети электросвязи РФ и корпоративных сетях в случае их присоединения к единой сети электросвязи РФ.

Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) // 53522

Устройство временного разделения канала // 63146

Схема подключения специализированных светодиодных индикаторов (сси-кс) в стрелочном коммутаторе пульта-манипулятора // 91960