[发明专利]一种由网络交换设备执行的方法、网络交换设备及介质

说明书

本发明涉及确定设备属性。一种示例方法，包括：检测到未识别的客户端设备加入网络，从去往和/或来自未识别的客户端设备的网络流量中检索与未识别的客户端设备的设备属性相关的信息，将基于该信息的查询发送到指纹服务器，以及接收响应于该查询的未识别的客户端设备的设备属性。

背景技术

在一些网络中，可能期望基于关于设备的信息来为每个设备实施网络访问策略。设备指纹是一种有助于提供关于连接到网络的设备的更多信息的技术，例如设备中的操作系统、设备类型和设备制造商。

关于设备的信息可用于将策略应用到设备。例如，诸如摄像机之类的设备可能在某些网络中被允许访问特定服务器以上传实况摄像机馈送，并且被拒绝其他访问。诸如具有弱安全协议或没有安全协议的温度传感器之类的设备可以例如被分组在访客虚拟LAN(VLAN)内，其具有对网络、其他网络或网络上的资源的受限访问。

附图说明

现在将参考附图通过非限制性示例的方式描述示例，其中：

图1是网络交换设备中的方法的示例的流程图；

图2是网络的示例的示意图；

图3是网络交换设备中的方法的示例的流程图；

图4是用于确定设备的特性的装置的示例的示意图；并且

图5是机器可读介质的示例的示意图。

具体实施方式

在一些网络中，网络交换机可以接收由与网络交换机相关联的(例如，连接到其的)设备发送的通信，或接收发送到该设备的通信，并且适当地将这些通信交换(例如将通信转发)到该设备或另一网络节点。网络交换机还可以将这些通信转发到指纹服务器，指纹服务器可以分析通信并且导出设备属性，设备属性例如设备类型、设备制造商、设备操作系统、设备上安装的软件、操作系统或软件的版本和/或描述设备或其能力的任何其他信息。网络交换机可以例如使用端口镜像来转发通信。然而，将这些通信转发到指纹服务器可能使用相当大的网络资源 (诸如带宽)，特别是在有大量设备访问网络并且需要指纹的情况下。

图1示出网络交换设备中的方法100的示例的流程图。在框102中，方法100 包括检测到未识别的客户端设备加入网络。未识别的客户端设备可以例如是先前未访问过网络的客户端设备(例如，通过任何节点或通过交换机)，或者在一段时间内没有访问过网络的客户端设备。网络交换设备可以通过例如确定先前未由交换机或网络看到的设备的媒体访问控制(MAC)地址或者在一段时间内没有看到的设备的MAC地址，来识别客户端设备是未识别的设备。

方法100的框104包括从去往和/或来自未识别的客户端设备的网络流量中检索与未识别的客户端设备的设备属性相关的信息。该信息可以是由指纹服务器用来识别设备属性的信息。例如，该信息包含可用于识别设备属性的设备指纹，诸如设备类型(例如笔记本电脑、接入点、交换机、打印机)、设备操作系统(例如Windows、Linux、Mac OS)、操作系统的版本和/或任何其他属性。在一些示例中，信息可以是通信的副本(诸如由未识别的客户端设备发送或向未识别的客户端设备发送的分组)，并且在一些示例中，可以是从这种通信中提取的信息。从通信中提取的信息的示例包括动态主机配置协议(DHCP)选项类型-长度-值(TLV)、DHCP请求、HTTP头用户代理字符串、HTTP分组、TCP SYN-ACK 消息头和/或链路层发现协议(LLDP)帧。更具体地，在一些示例中，该信息可以包括DHCP请求中的DHCP选项TLV 55和60，以及LLDP分组中的LLDP组织唯一标识符(OUI)和MAC OUI。