專利名稱:在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種通訊方法�,具體說�����,涉及一種在接入設(shè)備上防止介質(zhì) 訪問控制地址表擾亂的方法�����。
背景技術(shù):
寬帶接入網(wǎng)絡(luò)正在迅速從異步傳輸模式(ATM)技術(shù)向以太網(wǎng)技術(shù)進(jìn) 行遷移,整個接入?yún)R聚網(wǎng)絡(luò)的主要接入設(shè)備��,從DSLAM到匯聚交換機(jī)��,都 是二層網(wǎng)絡(luò)����,這樣就帶來的一些安全問題。
MAC (Media Access Control,介質(zhì)訪問控制)地址是識別LAN (局域 網(wǎng))節(jié)點的標(biāo)識���。網(wǎng)卡的物理地址通常是由網(wǎng)卡生產(chǎn)廠家燒入網(wǎng)卡的EPROM
(一種閃存芯片���,通常可以通過程序擦寫)����,它存儲的是傳輸數(shù)據(jù)時真正賴 以標(biāo)識發(fā)出數(shù)據(jù)的電腦和接收數(shù)據(jù)的主機(jī)的地址。也就是說��,在網(wǎng)絡(luò)底層的 物理傳輸過程中�,是通過物理地址來識別主機(jī)的,它一般也是全球唯一的��。 比如,著名的以太網(wǎng)卡���,其物理地址是48bit (比特位)的整數(shù)��,如 44_45_53_54_00-00,以機(jī)器可讀的方式存入主機(jī)接口中��。以太網(wǎng)地址管理機(jī)構(gòu)
(IEEE)將以太網(wǎng)地址,也就是48比特的不同組合�,分為若干獨立的連續(xù) 地址組�,生產(chǎn)以太網(wǎng)網(wǎng)卡的廠家就購買其中一組,具體生產(chǎn)時���,逐個將唯一 地址賦予以太網(wǎng)卡���。形象的說,MAC地址就如同我們身份證上的身份證號 碼���,具有全球唯一性。
虛擬局域網(wǎng)(VLAN)不僅有利于網(wǎng)絡(luò)安全和防止網(wǎng)絡(luò)風(fēng)暴���,而且可以 提高網(wǎng)絡(luò)運行的效率�,第三層交換機(jī)的普及為VLAN的應(yīng)用創(chuàng)造了條件��。 VLAN是由位于不同物理局域網(wǎng)段的設(shè)備組成,雖然VLAN所連接的設(shè)備 來自不同的網(wǎng)段�����,但是相互之間可以進(jìn)行直接通信��。
接入設(shè)備的以太網(wǎng)交換芯片的二層介質(zhì)訪問控制(Media Access Control, MAC)地址轉(zhuǎn)發(fā)表�����,是交換芯片進(jìn)行數(shù)據(jù)包交換的核心數(shù)據(jù)表�����,
由于其MAC地址學(xué)習(xí) 一般沒有安全策略控制�����,當(dāng)具有同 一源MAC的數(shù)據(jù) 包從交換芯片不同端口進(jìn)入交換芯片的話�,會造成MAC地址表頻繁遷移, 從而造成以這個MAC地址為目的MAC的數(shù)據(jù)包轉(zhuǎn)發(fā)混亂��。在實際應(yīng)用中�, 如果接入設(shè)備的用戶側(cè)端口來數(shù)據(jù)包是BRAS的MAC的地址,則會造成其 它用戶去寬帶遠(yuǎn)程接入服務(wù)器(BRAS)的數(shù)據(jù)包被錯誤轉(zhuǎn)發(fā)到這個用戶端 口上����,造成業(yè)務(wù)中斷����。
所以�,在接入設(shè)備中給MAC地址表學(xué)習(xí)加入安全策略,防止MAC地 址表由于頻繁遷移而造成擾亂十分重要�,但是現(xiàn)有技術(shù)沒有很好地解決這個問題。
發(fā)明內(nèi)容
本發(fā)明所解決的技術(shù)問題是提供一種在接入設(shè)備上防止介質(zhì)訪問控制 地址表擾亂的方法�����,保證接入設(shè)備的正確轉(zhuǎn)發(fā)���,提供業(yè)務(wù)的安全性和穩(wěn)定性���。
技術(shù)方案如下
在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法包括如下步驟 (1 ) 數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口 MAC地址學(xué)習(xí); (2 ) MAC地址學(xué)習(xí)^t塊替換交換芯片的MAC地址學(xué)習(xí)功能��;
(3) MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的 MAC地址學(xué)習(xí)���,建立一個合法的MAC地址表;
(4) 控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中��,同時, 啟動老化過程�����,當(dāng)老化之后�,刪除交換芯片的該MAC地址。
進(jìn)一步����,步驟(3)中,所述MAC地址合法性檢查模塊內(nèi)部建立一個 綁定數(shù)據(jù)庫�,實現(xiàn)MAC地址和合法端口的綁定。
進(jìn)一步����,步驟(3)進(jìn)一步包括,不符合綁定關(guān)系的MAC地址表項認(rèn) 為是非法的���。
進(jìn)一步�,步驟(3)中���,所述綁定數(shù)據(jù)庫中每個條目包括MAC地址��、 VLAN���、合法端口�����。
進(jìn)一步���,步驟(3)中,綁定關(guān)系通過網(wǎng)管配置實現(xiàn)�����。
進(jìn)一步���,綁定關(guān)系通過對協(xié)議的監(jiān)聽實現(xiàn)����。
進(jìn)一步�,步驟(3)中,所述協(xié)議為DHCP����、 PPPOE或者ARP。
進(jìn)一步,步驟(3)具體為控制平面監(jiān)聽用戶的DHCP���、 PPPOE或者 ARP, MAC地址合法性檢查模塊建立用戶MAC、用戶VLAN��、用戶端口的 綁定數(shù)據(jù)庫�;當(dāng)新用戶MAC地址學(xué)習(xí)時,通過用戶MAC和用戶VLAN檢 查綁定數(shù)據(jù)庫��,然后判斷綁定數(shù)據(jù)庫中的用戶端口和當(dāng)前端口是否一致����,當(dāng) 一致時該MAC地址合法,當(dāng)不一致時該MAC地址非法����。
本發(fā)明解決了接入設(shè)備的以太網(wǎng)交換核心的MAC地址表容易受到攻擊 而擾亂的問題,保證了接入設(shè)備的正確轉(zhuǎn)發(fā)����,提供業(yè)務(wù)的安全性和穩(wěn)定性。 由于交換芯片都是靜態(tài)MAC地址��,把交換芯片不安全的MAC地址學(xué)習(xí)功 能轉(zhuǎn)變成控制平面的安全的MAC地址學(xué)習(xí)���,從而杜絕了由于源MAC攻擊 造成的MAC地址表擾亂��。由于現(xiàn)在業(yè)界交換芯片的MAC地址學(xué)習(xí)都是沒 有安全控制的�����,本發(fā)明有一定普遍性��。
圖1是接入設(shè)備防止MAC地址表擾亂的系統(tǒng)結(jié)構(gòu)框圖�����。
具體實施例方式
接入設(shè)備分成控制平面和數(shù)據(jù)平面兩個組成部分�。控制平面以CPU為 核心�,用于協(xié)議和網(wǎng)管處理;數(shù)據(jù)平面以以太網(wǎng)交換芯片為核心��,用戶正常 數(shù)據(jù)轉(zhuǎn)發(fā)��。
下面參照圖l對本發(fā)明的優(yōu)選實施例作詳細(xì)描述����。
以交換芯片為核心的數(shù)據(jù)平面,需要關(guān)閉MAC地址學(xué)習(xí)功能�,所有 MAC地址學(xué)習(xí)由控制平面的MAC地址學(xué)習(xí)模塊使用靜態(tài)MAC地址的方式 手工設(shè)定,MAC地址的老化也是由MAC地址學(xué)習(xí)模塊進(jìn)行控制。
控制平面包括MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊兩個組 成部分�。MAC地址學(xué)習(xí)模塊的主要工作就是替換交換芯片的無策略的MAC 地址學(xué)習(xí)功能,通過和MAC地址合法性檢查模塊一起���,過濾不合法的MAC 地址學(xué)習(xí)����,建立一個合法的MAC地址表����,同時完成把這些表項作為靜態(tài) MAC地址設(shè)置到數(shù)據(jù)平面的交換芯片中�����;同時完成MAC地址的老化����,當(dāng) MAC地址表老化之后,直接從交換芯片中刪除這個表項����。MAC地址合法性 檢查模塊內(nèi)部建立了一個綁定數(shù)據(jù)庫,實現(xiàn)了 MAC地址和合法端口的綁定�����, 不符合綁定關(guān)系的MAC地址表項都認(rèn)為是非法的。綁定數(shù)據(jù)庫中每個條目 包括MAC地址�����、VLAN�����、合法端口�����。這個綁定關(guān)系可以通過不同手段實現(xiàn)�, 例如可以通過網(wǎng)管配置實現(xiàn),或者通過對協(xié)議���,如DHCP��、 PPPOE�����、 ARP等 的監(jiān)聽實現(xiàn)�����。
具體的工作過程如下
在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法包括如下步驟
(1) 數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口 MAC地址學(xué)習(xí)���。
(2) MAC地址學(xué)習(xí)模塊替換交換芯片的MAC地址學(xué)習(xí)功能���。
數(shù)據(jù)平面中的交換芯片對于網(wǎng)絡(luò)側(cè)端口 MAC地址學(xué)習(xí)關(guān)閉,因為根據(jù) 網(wǎng)絡(luò)規(guī)劃�����,其BRAS的MAC地址是已知的��;對于用戶側(cè)端口 �����, MAC地址 學(xué)習(xí)采用CPU學(xué)習(xí)方式���,交給控制平面的MAC地址學(xué)習(xí)模塊處理。
(3) MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的MAC 地址學(xué)習(xí)�����,建立一個合法的MAC地址表;
MAC地址合法性檢查模塊內(nèi)部建立綁定數(shù)據(jù)庫�����,實現(xiàn)MAC地址和合 法端口的綁定�����,綁定關(guān)系通過網(wǎng)管配置實現(xiàn)�,或者綁定關(guān)系通過對協(xié)議的監(jiān) 聽實現(xiàn)。綁定數(shù)據(jù)庫存儲有用戶IP����、用戶MAC、 VLAN�����、用戶端口綁定信 息等內(nèi)容���,綁定數(shù)據(jù)庫中每個條目包括MAC地址��、VLAN���、合法端口��。協(xié) 議為DHCP�、 PPPOE或者ARP�����。
控制平面監(jiān)聽用戶的DHCP���、 PPPOE或者ARP�����, MAC地址合法性檢查 模塊建立用戶MAC���、用戶VLAN����、用戶端口的綁定數(shù)據(jù)庫。當(dāng)新用戶MAC 地址學(xué)習(xí)時�����,通過用戶MAC和用戶VLAN檢查綁定數(shù)據(jù)庫��,然后判斷綁 定數(shù)據(jù)庫中的用戶端口和當(dāng)前端口是否一致,當(dāng)一致時該MAC地址合法����, 當(dāng)不一致時該MAC地址非法,即不符合綁定關(guān)系的MAC地址表項認(rèn)為是
非法的����。
(4)控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中,同時����,啟
動老化過程,當(dāng)老化之后��,就刪除交換芯片的該MAC地址�����。
權(quán)利要求
1�、一種在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法,包括如下步驟(1)數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口MAC地址學(xué)習(xí)�����;(2)MAC地址學(xué)習(xí)模塊替換交換芯片的MAC地址學(xué)習(xí)功能�����;(3)MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的MAC地址學(xué)習(xí),建立合法的MAC地址表�����;(4)控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中�,同時,啟動老化過程��,當(dāng)老化之后���,刪除交換芯片的該MAC地址��。
2�、 根據(jù)權(quán)利要求1所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法�����,其特征在于����,步驟(3)中���,所述MAC地址合法性檢查模塊內(nèi)部 建立綁定數(shù)據(jù)庫�,實現(xiàn)MAC地址和合法端口的綁定。
3��、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法�,其特征在于,步驟(3)進(jìn)一步包括�����,不符合綁定關(guān)系的MAC地 址表項認(rèn)為是非法的�����。
4��、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法����,其特征在于,步驟(3)中����,所述綁定數(shù)據(jù)庫中每個條目包括MAC 地址、VLAN、合法端口��。
5�����、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法�,其特征在于,步驟(3)中����,綁定關(guān)系通過網(wǎng)管配置實現(xiàn)。
6�、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于�����,綁定關(guān)系通過對協(xié)議的監(jiān)聽實現(xiàn)�����。
7����、 根據(jù)權(quán)利要求6所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法�����,其特征在于,步驟(3)中���,所述協(xié)議為DHCP�����、 PPPOE或者ARP��。
8����、沖艮據(jù)權(quán)利要求7所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法���,其特征在于����,步驟(3)具體為控制平面監(jiān)聽用戶的DHCP���、 PPPOE 或者ARP, MAC地址合法性4企查才莫塊建立用戶MAC���、用戶VLAN����、用戶 端口的綁定數(shù)據(jù)庫���;當(dāng)新用戶MAC地址學(xué)習(xí)時��,通過用戶MAC和用戶 VLAN檢查綁定數(shù)據(jù)庫�,然后判斷綁定數(shù)據(jù)庫中的用戶端口和當(dāng)前端口是否 一致�,當(dāng)一致時該MAC地址合法,當(dāng)不一致時該MAC i也址非法��。
全文摘要
本發(fā)明公開了一種在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法�,包括如下步驟數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口MAC地址學(xué)習(xí);MAC地址學(xué)習(xí)模塊替換交換芯片的MAC地址學(xué)習(xí)功能��;MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的MAC地址學(xué)習(xí)����,建立一個合法的MAC地址表;控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中�����,同時,啟動老化過程���,當(dāng)老化之后,刪除交換芯片的該MAC地址�����。由于交換芯片都是靜態(tài)MAC地址�,把交換芯片不安全的MAC地址學(xué)習(xí)功能轉(zhuǎn)變成控制平面的安全的MAC地址學(xué)習(xí),從而杜絕了由于源MAC攻擊造成的MAC地址表擾亂�。
文檔編號H04L29/06GK101098291SQ20061006138
公開日2008年1月2日 申請日期2006年6月29日 優(yōu)先權(quán)日2006年6月29日
發(fā)明者陳愛民 申請人:中興通訊股份有限公司