在接入設備上防止介質訪問控制地址表擾亂的方法
2023-06-22 05:01:31 1
專利名稱:在接入設備上防止介質訪問控制地址表擾亂的方法
技術領域:
本發明涉及一種通訊方法,具體說,涉及一種在接入設備上防止介質 訪問控制地址表擾亂的方法。
背景技術:
寬帶接入網絡正在迅速從異步傳輸模式(ATM)技術向乙太網技術進 行遷移,整個接入匯聚網絡的主要接入設備,從DSLAM到匯聚交換機,都 是二層網絡,這樣就帶來的一些安全問題。
MAC (Media Access Control,介質訪問控制)地址是識別LAN (局域 網)節點的標識。網卡的物理地址通常是由網卡生產廠家燒入網卡的EPROM
(一種快閃記憶體晶片,通常可以通過程序擦寫),它存儲的是傳輸數據時真正賴 以標識發出數據的電腦和接收數據的主機的地址。也就是說,在網絡底層的 物理傳輸過程中,是通過物理地址來識別主機的,它一般也是全球唯一的。 比如,著名的乙太網卡,其物理地址是48bit (比特位)的整數,如 44_45_53_54_00-00,以機器可讀的方式存入主機接口中。乙太網地址管理機構
(IEEE)將乙太網地址,也就是48比特的不同組合,分為若干獨立的連續 地址組,生產乙太網網卡的廠家就購買其中一組,具體生產時,逐個將唯一 地址賦予乙太網卡。形象的說,MAC地址就如同我們身份證上的身份證號 碼,具有全球唯一性。
虛擬區域網(VLAN)不僅有利於網絡安全和防止網絡風暴,而且可以 提高網絡運行的效率,第三層交換機的普及為VLAN的應用創造了條件。 VLAN是由位於不同物理區域網段的設備組成,雖然VLAN所連接的設備 來自不同的網段,但是相互之間可以進行直接通信。
接入設備的乙太網交換晶片的二層介質訪問控制(Media Access Control, MAC)地址轉發表,是交換晶片進行數據包交換的核心數據表,
由於其MAC地址學習 一般沒有安全策略控制,當具有同 一源MAC的數據 包從交換晶片不同埠進入交換晶片的話,會造成MAC地址表頻繁遷移, 從而造成以這個MAC地址為目的MAC的數據包轉發混亂。在實際應用中, 如果接入設備的用戶側埠來數據包是BRAS的MAC的地址,則會造成其 它用戶去寬帶遠程接入伺服器(BRAS)的數據包被錯誤轉發到這個用戶端 口上,造成業務中斷。
所以,在接入設備中給MAC地址表學習加入安全策略,防止MAC地 址表由於頻繁遷移而造成擾亂十分重要,但是現有技術沒有很好地解決這個問題。
發明內容
本發明所解決的技術問題是提供一種在接入設備上防止介質訪問控制 地址表擾亂的方法,保證接入設備的正確轉發,提供業務的安全性和穩定性。
技術方案如下
在接入設備上防止介質訪問控制地址表擾亂的方法包括如下步驟 (1 ) 數據平面中的交換晶片關閉網絡側埠 MAC地址學習; (2 ) MAC地址學習^t塊替換交換晶片的MAC地址學習功能;
(3) MAC地址學習模塊和MAC地址合法性檢查模塊過濾不合法的 MAC地址學習,建立一個合法的MAC地址表;
(4) 控制平面將新學習的合法MAC地址表設置到交換晶片中,同時, 啟動老化過程,當老化之後,刪除交換晶片的該MAC地址。
進一步,步驟(3)中,所述MAC地址合法性檢查模塊內部建立一個 綁定資料庫,實現MAC地址和合法埠的綁定。
進一步,步驟(3)進一步包括,不符合綁定關係的MAC地址表項認 為是非法的。
進一步,步驟(3)中,所述綁定資料庫中每個條目包括MAC地址、 VLAN、合法埠。
進一步,步驟(3)中,綁定關係通過網管配置實現。
進一步,綁定關係通過對協議的監聽實現。
進一步,步驟(3)中,所述協議為DHCP、 PPPOE或者ARP。
進一步,步驟(3)具體為控制平面監聽用戶的DHCP、 PPPOE或者 ARP, MAC地址合法性檢查模塊建立用戶MAC、用戶VLAN、用戶埠的 綁定資料庫;當新用戶MAC地址學習時,通過用戶MAC和用戶VLAN檢 查綁定資料庫,然後判斷綁定資料庫中的用戶埠和當前埠是否一致,當 一致時該MAC地址合法,當不一致時該MAC地址非法。
本發明解決了接入設備的乙太網交換核心的MAC地址表容易受到攻擊 而擾亂的問題,保證了接入設備的正確轉發,提供業務的安全性和穩定性。 由於交換晶片都是靜態MAC地址,把交換晶片不安全的MAC地址學習功 能轉變成控制平面的安全的MAC地址學習,從而杜絕了由於源MAC攻擊 造成的MAC地址表擾亂。由於現在業界交換晶片的MAC地址學習都是沒 有安全控制的,本發明有一定普遍性。
圖1是接入設備防止MAC地址表擾亂的系統結構框圖。
具體實施例方式
接入設備分成控制平面和數據平面兩個組成部分。控制平面以CPU為 核心,用於協議和網管處理;數據平面以乙太網交換晶片為核心,用戶正常 數據轉發。
下面參照圖l對本發明的優選實施例作詳細描述。
以交換晶片為核心的數據平面,需要關閉MAC地址學習功能,所有 MAC地址學習由控制平面的MAC地址學習模塊使用靜態MAC地址的方式 手工設定,MAC地址的老化也是由MAC地址學習模塊進行控制。
控制平面包括MAC地址學習模塊和MAC地址合法性檢查模塊兩個組 成部分。MAC地址學習模塊的主要工作就是替換交換晶片的無策略的MAC 地址學習功能,通過和MAC地址合法性檢查模塊一起,過濾不合法的MAC 地址學習,建立一個合法的MAC地址表,同時完成把這些表項作為靜態 MAC地址設置到數據平面的交換晶片中;同時完成MAC地址的老化,當 MAC地址表老化之後,直接從交換晶片中刪除這個表項。MAC地址合法性 檢查模塊內部建立了一個綁定資料庫,實現了 MAC地址和合法埠的綁定, 不符合綁定關係的MAC地址表項都認為是非法的。綁定資料庫中每個條目 包括MAC地址、VLAN、合法埠。這個綁定關係可以通過不同手段實現, 例如可以通過網管配置實現,或者通過對協議,如DHCP、 PPPOE、 ARP等 的監聽實現。
具體的工作過程如下
在接入設備上防止介質訪問控制地址表擾亂的方法包括如下步驟
(1) 數據平面中的交換晶片關閉網絡側埠 MAC地址學習。
(2) MAC地址學習模塊替換交換晶片的MAC地址學習功能。
數據平面中的交換晶片對於網絡側埠 MAC地址學習關閉,因為根據 網絡規劃,其BRAS的MAC地址是已知的;對於用戶側埠 , MAC地址 學習採用CPU學習方式,交給控制平面的MAC地址學習模塊處理。
(3) MAC地址學習模塊和MAC地址合法性檢查模塊過濾不合法的MAC 地址學習,建立一個合法的MAC地址表;
MAC地址合法性檢查模塊內部建立綁定資料庫,實現MAC地址和合 法埠的綁定,綁定關係通過網管配置實現,或者綁定關係通過對協議的監 聽實現。綁定資料庫存儲有用戶IP、用戶MAC、 VLAN、用戶埠綁定信 息等內容,綁定資料庫中每個條目包括MAC地址、VLAN、合法埠。協 議為DHCP、 PPPOE或者ARP。
控制平面監聽用戶的DHCP、 PPPOE或者ARP, MAC地址合法性檢查 模塊建立用戶MAC、用戶VLAN、用戶埠的綁定資料庫。當新用戶MAC 地址學習時,通過用戶MAC和用戶VLAN檢查綁定資料庫,然後判斷綁 定資料庫中的用戶埠和當前埠是否一致,當一致時該MAC地址合法, 當不一致時該MAC地址非法,即不符合綁定關係的MAC地址表項認為是
非法的。
(4)控制平面將新學習的合法MAC地址表設置到交換晶片中,同時,啟
動老化過程,當老化之後,就刪除交換晶片的該MAC地址。
權利要求
1、一種在接入設備上防止介質訪問控制地址表擾亂的方法,包括如下步驟(1)數據平面中的交換晶片關閉網絡側埠MAC地址學習;(2)MAC地址學習模塊替換交換晶片的MAC地址學習功能;(3)MAC地址學習模塊和MAC地址合法性檢查模塊過濾不合法的MAC地址學習,建立合法的MAC地址表;(4)控制平面將新學習的合法MAC地址表設置到交換晶片中,同時,啟動老化過程,當老化之後,刪除交換晶片的該MAC地址。
2、 根據權利要求1所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,步驟(3)中,所述MAC地址合法性檢查模塊內部 建立綁定資料庫,實現MAC地址和合法埠的綁定。
3、 根據權利要求2所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,步驟(3)進一步包括,不符合綁定關係的MAC地 址表項認為是非法的。
4、 根據權利要求2所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,步驟(3)中,所述綁定資料庫中每個條目包括MAC 地址、VLAN、合法埠。
5、 根據權利要求2所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,步驟(3)中,綁定關係通過網管配置實現。
6、 根據權利要求2所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,綁定關係通過對協議的監聽實現。
7、 根據權利要求6所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,步驟(3)中,所述協議為DHCP、 PPPOE或者ARP。
8、衝艮據權利要求7所述的在接入設備上防止介質訪問控制地址表擾亂 的方法,其特徵在於,步驟(3)具體為控制平面監聽用戶的DHCP、 PPPOE 或者ARP, MAC地址合法性4企查才莫塊建立用戶MAC、用戶VLAN、用戶 埠的綁定資料庫;當新用戶MAC地址學習時,通過用戶MAC和用戶 VLAN檢查綁定資料庫,然後判斷綁定資料庫中的用戶埠和當前埠是否 一致,當一致時該MAC地址合法,當不一致時該MAC i也址非法。
全文摘要
本發明公開了一種在接入設備上防止介質訪問控制地址表擾亂的方法,包括如下步驟數據平面中的交換晶片關閉網絡側埠MAC地址學習;MAC地址學習模塊替換交換晶片的MAC地址學習功能;MAC地址學習模塊和MAC地址合法性檢查模塊過濾不合法的MAC地址學習,建立一個合法的MAC地址表;控制平面將新學習的合法MAC地址表設置到交換晶片中,同時,啟動老化過程,當老化之後,刪除交換晶片的該MAC地址。由於交換晶片都是靜態MAC地址,把交換晶片不安全的MAC地址學習功能轉變成控制平面的安全的MAC地址學習,從而杜絕了由於源MAC攻擊造成的MAC地址表擾亂。
文檔編號H04L29/06GK101098291SQ20061006138
公開日2008年1月2日 申請日期2006年6月29日 優先權日2006年6月29日
發明者陳愛民 申請人:中興通訊股份有限公司