地址集中控制的方法、設備及系統的製作方法

2023-12-04 23:21:16 1

專利名稱：：地址集中控制的方法、設備及系統的製作方法
技術領域：
：本發明涉及數據通信技術，尤其涉及到一種集中控制MAC地址的方法、設備及其系統。
背景技術：
：基於IP協議的通信是建立在MAC地址的基礎之上的，當主機A需要與主機建立通信時，那就需要知道主機A的IP位址和MAC地址。下表為一種常見的數據幀DMAC表示目的MAC地址，SMAC表示源MAC地址，Length/Type〉1500時代表該數據幀的類型，Length/Type<1500代表該數據幀的長度。tableseeoriginaldocumentpage5一般有兩個重要機制用於保證主機間的正常通信即所謂的泛洪(Flooding)與自動學習(Auto-learning)機制。自動學習基於ARP協議實現，i也址解一斤十辦i義ARP(AddressResolutionProtocol)十力4義用於將IPJ也址解鬥斤為MAC地址。自動學習的流程如下主機A向其所連接的網絡發送ARP請求報文ARPRequest,該報文是以廣播形式發送的，即網絡內的所有主機都會收到該l艮文；網絡內主^L收到了上述ARPRequest才艮文後，4全查^t艮文的IP位址，如果發現該IP位址為本才幾IP位址，則響應一個ARP響應才艮文即所謂的ARPResponse,該響應報文包含了該主機的MAC地址；主機A收到響應報文後就學習到了主機B的MAC地址。通過分析來自所有相連網絡輸入的數據幀的源地址，可學習網絡的拓樸結構。例如，交換機從埠1接收到來自主機A的數據幀時，通過埠l就可以達到主機A。通過上述不斷的學習過程，交換機就建立起一張轉發表。這種轉發表的一個例子如下表所示tableseeoriginaldocumentpage5當交換機從其中的一個埠接收到一個數據幀時，它根據數據幀的目的地址查找轉發表，如果在轉發表中存在目的地址和網橋或交換機等其它網絡設備某個埠的對應關係，數據幀將通過相應的埠被轉發出去；否則，數據幀將通過除接收埠外的所有其他埠被轉發出去，這就是泛洪(Flooding)。在IEEE802.1Q中定義了同一個物理鏈路上承載多個子網的數據流的方法，還定義了VLAN幀格式，從而為識別VLAN提供了一個標準的方法。如下表所示為802.1Q的數據幀格式DMACSMACVLANID...IEEE802.1Q在VLAN內部進行Flooding和Auto-learning,其理及流程與以上文所述的基本一致。如下表所示為一種基於VLAN的轉發表VLAN主機MAC地址埠21111.1111.1111132222.2222.2222133333.3333.3333224444.4444.44442Flooding和Auto-learning機制具有實現簡單和容易部署的優點，但是同時也帶來不少的負面作用。比如網絡設備的容量問題，由於每一個網絡設備需要學習所有用戶的MAC地址，導致網絡設備的可擴充性很差。還有安全問題，用戶設備MAC地址直接參與網絡設備的路徑配置，完全背離了網絡和用戶的信息隔離的原則，現有網絡系統存在大量的MAC地址安全性問題已是眾所周知。另外一個缺點就是造成網絡性能下降一方面廣播信息不僅佔用了大量網絡帶寬，嚴重影響了網絡性能；另一方面，收到廣播信息的計算機也要消耗一定資源來處理該廣播信息。ProviderBackboneTransport(PBT)技術由乙太網技術發展而來的並對乙太網轉發基礎機製做了一些改進。PBT技術通過目標主機的MAC地址和VLANID(VID)組成標籤(VID+DA)在一系列支持IVL的乙太網交換機上轉發，形成了乙太網交換通路ESP(EthernetSwitchedPath),這個通路可以i^為是一個連接或者隧道。PBT中在VLAN中關閉未知報文的廣播以及多播和廣播功能(即關閉了Flooding才幾制)，同時也關閉了Auto-learning以避免廣4番包的泛濫，並且重用轉發表而丟棄在PBT轉發表中查不到的數據包。PBT定義了獨立VLAN學習IVL(Ind印endentVLANLearning)的方式，以實現基於DA+VLAN進行的數據包轉發。PBT建立連接必須知道兩個通信終端所在的交換機的信息以及兩個終端的MAC地址。如主機A與主機B之間需要建立連接時，主機A需要知道的主機B的MAC地址，主機A所連接的交換機也需要知道主機B所連接的交換機的信息(MAC地址)；另外主機B需要知道的主機A的MAC地址，主機B所連接的交換機也需要知道主機A所連接的交換機的信息(MAC地址)。PBT技術禁止了乙太網的Flooding和Auto-learning才幾制，雖然一定程度上解決了廣^番風暴等問題，但是同時也引入新的問題，就是一個通信終端如何自動發現通信對端MAC地址問題。
發明內容有鑑於此，本發明提供了一種集中控制MAC地址的方法與系統，通過對位置信息的集中控制與管理，避免諸如MAC地址等安全性要求較高的用戶位置信息不參與路徑確定、網絡拓樸確定等網絡控制，保障傳送網絡安全，使網絡系統具有良好的擴充性能和穩定性，同時採用Flooding和Auto-learning機制保證網絡正常通信。本發明提供了一種位置信息集中管理的網絡系統，包括交換設備和地址集中控制單元，交換設備向地址集中控制單元通告用戶位置信息；地址集中控制單元用於保存和管理上述用戶位置信息。其中交換設備包括域內交換設備與邊沿交換i殳備；邊沿交換i殳備與一個或多個用戶相連，用於轉發用戶通信數據以及學習確定用戶MAC地址信息；域內交換設備與一個或多個邊沿交換設備相連，負責轉發用戶數據。邊沿交換設備是以下網元中的至少一個接入節點AN，負責將其所連接的用戶接入通信網絡系統；寬帶網關BNG,負責提供網絡傳輸的承載通道。優選的，BNG通過人工配置方式或通過地址集中控制單元提供的接口向地址集中控制單元通告本BNG網絡埠的MAC地址或IP位址信息。其中，邊沿交換設備包括確定單元和/或通告單元確定單元用於學習與其相連用戶的MAC地址；通告單元用於將包含用戶位置信息的報文直接轉發至地址集中控制單元；或者將接收到的報文經過轉化後，通過地址集中控制單元的接口上報至地址集中控制單元。優選的，該系統進一步包括DHCP伺服器、網管伺服器或認證伺服器，所述伺服器用於向地址集中控制單元通告自身位置信息或與其連接用戶的位置信息。還可進一步包括策略伺服器，用於控制網絡連接通道的建立。本發明另外提供了一種地址集中控制裝置，所述地址集中控制裝置集成於網絡系統的現有網元中或獨立存在，包括數據管理單元，用於保存和維護用戶的位置信息；或者包括數據管理單元和數據解析單元，數據管理單元用於保存和維護用戶的位置信息；數據解析單元用於接收用戶上報的數據包，並從數據包中解析出用戶的位置信息。所述裝置還可進一步包括狀態指示器，用於標識保存在數據集中控制單元的用戶位置信息的存活狀態或老化狀態。優選的，裝置進一步包括操作接口和/或查詢接口操作接口負責實現用戶對數據管理單元的數據進行增加、刪除或修改的操作；查詢接口用於實現用戶在數據管理單元查詢用戶位置信息。優選的，該地址集中控制裝置還包括ARP代理單元，用於在接收到請求方發出的ARPRequest報文後，查詢被請求用戶的MAC地址並將該MAC地址通過ARPResponse淨艮文返回給請求方。本發明還公開了一種MAC地址集中管理的方法，包括步驟用戶向地址集中控制單元通告包括其MAC地址的用戶位置信息；地址集中控制單元保存並維護上述位置信息。其中用戶向地址集中控制單元通告包括步驟交換設備將用戶發出的數據包直接轉發給地址集中控制單元；或者交換設備解析用戶協議報文後，將包括MAC地址的用戶位置信息上報給地址集中控制單元。優選的，交換設備接收到用戶發出的DHCP協議報文後，將所述報文直接轉發至地址集中控制單元，或解析所述報文後將解析所得的用戶位置信息上報至地址集中控制單元；地址集中控制單元保存和維護包括用戶位置信息。優選的，用戶通過交換設備向DHCP伺服器發送DHCPRequest消息，發起DHCP地址請求；DHCP伺服器收到上述消息後給用戶分配IP位址，並通過交換設備向用戶發送IP位址分配確認消息DHCPACK;交換設備在向用戶轉發上述DHCPACK消息的同時解析該DHCP消息，將上述解析所得的用戶MAC地址發送至地址集中控制單元或將該DHCP消息直接轉發至地址集中控制單元處理。優選的，交換設備接收到用戶的ARP協議報文後，轉發所述報文至地址集中控制單元或解析所述報文後將用戶位置信息上報至地址集中控制單元；地址集中控制單元保存包括所述用戶位置信息。優選的，地址集中控制單元建立用戶MAC地址、交換^L埠號或用戶IP位址之間的對應關係表。還可設立用戶位置信息的狀態值，包括老化狀態、存活狀態；當用戶位置信息在規定的時間內未被使用時，將狀態從存活狀態改為老化狀態；或者將老化狀態的用戶位置信息刪除。本發明還公開了一種自動學習MAC地址的方法，包括步驟用戶相連的交換設備將用戶發出的ARP請求報文ARPRequest轉發至地址集中控制單元；地址集中控制單元收到上述ARP請求報文後，查詢其所保存的用戶位置信息，獲得淨皮請求用戶的MAC地址；地址集中控制單元將查詢到的上述MAC地址通過交換設備發送給發起請求的用戶。優選的，當地址集中控制單元查詢失敗時，採用以下方式的至少一種進行處理不響應、標識用戶離線或發起查詢以獲得所需的MAC地址。優選的，當地址集中控制單元查詢至的用戶MAC地址信息狀態為老化狀態時，將該狀態改變為存活狀態。優選的，發起請求的用戶通過^^查地址集中控制單元的IP位址和MAC地址，驗證從地址集中控制單元獲得信息的合法性。本發明還公開了一種建立網絡連接的方法，包括步驟請求方向地址集中控制單元發送查詢請求，請求獲得被請求用戶的MAC地址以及其所相連的交換設備的位置信息；地址集中控制單元通過查詢獲得上述信息後，將結果返回給請求方；請求方利用上述位置信息建立至被請求用戶的承載通道。本發明通過對MAC地址、IP位址等用戶位置信息實行集中控制和管理，實現對MAC地址等敏感信息的封裝與隔離，實現了承載信息與用戶信息的隔離，從而提高了網絡安全性與可靠性，為解決ARP欺騙和DOS攻擊等網絡安全問題打下良好的基礎；另外本發明在集中控制用戶MAC地址的同時提供了MAC地址學習機制，保證了良好的網絡擴充性能。圖1為本發明的一個實施例中包括地址集中控制單元的系統圖；圖2為本發明的一個實施例中地址集中控制單元裝置的方塊圖；圖3為本發明的一個實施例中接入匯聚網絡中包括地址集中控制單元的系統圖4為本發明的一個實施例中在DHCP伺服器為用戶分配IP位址時，地址集中控制單元保存用戶相關信息的方法流程圖5為本發明的一個實施例中應用地址集中控制單元進行MAC地址學習的方法流程圖6為本發明的一個實施例中應用地址集中控制單元建立網絡連接的網絡系統圖7為本發明的一個實施例中應用地址集中控制單元建立網絡連接的方法流程圖。具體實施例方式本發明的發明思想是通過在現有網絡系統中引入地址集中控制單元，用於負責控制和管理乙太網內終端用戶的位置信息，如保存與管理用戶MAC地址與所屬交換機或交換機的埠或邏輯埠信息的對應關係、用戶MAC地址與用戶IP位址的對應關係等其它位置信息，實現集中管理和控制用戶MAC地址。本文所指的位置信息包括但不僅限於MAC地址信息、IP位址和交換設備埠號、VLANID、永久虛連接PVC(PermanentVirtualCircuit)信息和用戶接入點等位置信息；本文中所稱的用戶為網絡終端設備，包括但不局限於DHCP伺服器、策略伺服器以及其它與網絡連接的終端設備；本文所指交換設備包括但不僅限於數字用戶線路接入復用器(DSLAM)、交換機、路由器和集線器等與具有數據轉發功能的網絡設備。如圖1所示為本發明一個實施例，詳細介紹如下將網域內的交換設備LSW(LANSwitch)劃分為一個或多個域內交換設備(如圖中的LSW0)和一個或多個邊沿交換設備(如圖中的LSWA、LAWB、LSWC、LSWD)。邊沿交換設備是指與用戶直接相連的交換機，不與用戶直接相連的交換機則劃分為域內交換設備，兩者在一定情況下可以轉換。域內交換設備僅和邊沿交換設備連接，不學習用戶的MAC地址，其功能主要為負責數據轉發；每個邊沿交換設備與一個或多個用戶相連，包括確認單元，用於學習且僅僅學習與其連接用戶的MAC地址，如LSWA僅學習用戶A的MAC地址MAC—A,LSWB僅僅學習用戶B的MAC地址MAC_B......,依此類推。邊沿交換設備或者其他類似的功能實體還可包括通告單元，'負責向地址集中控制單元通告或者註冊用戶MAC地址。具體步驟如下邊沿交換設備或者其他交換設備解析其所收到的協議數據包即協議報文，提取其中包含的用戶MAC信息、IP位址等其它位置信息，向地址集中控制單元通告或者註冊用戶的MAC地址。還可以確定用戶的接入點位置，通告或註冊用戶的接入點等位置信息，如用戶接入的交換設備標識、用戶接入的交換設備標識和埠標識、用戶接入的交換設備標識和埠標識和邏輯鏈路標識、用戶接入的交換設備標識和邏輯鏈路標識等；另外邊沿交換設備也可以不解析所收到的協議數據包而是直接將數據包轉發至地址集中控制單元，由後者進行解析。上文所述的協議數據包括但不僅限於GARP系列協議、PPP0E、DHCP、ARP、ICMP、802.IX等等。上文所述的其它功能實體包括但不僅限於DHCP伺服器、AAA(Authentication、Authorization、Accounting)月良務器艮卩i/^正月良務器、網管伺服器等等。向地址集中控制單元通告或者註冊用戶的MAC地址的方式包括但不僅限於以下三種一是邊沿交換設備或者其他功能實體將相關的協議報文直接轉發至地址集中控制單元；二是邊沿交換設備增加用戶接入點等位置信息到相關協議才艮文，如DHCP,PPP0E等協議，將相關的協議"R文轉發至地址集中控制單元或者其他功能實體，其他功能實體再將用戶位置信息通告至地址集中控制單元；三是邊沿交換設備或者其他功能實體將相關協議報文轉化後，可以增加用戶接入點等位置信息，然後再通過地址集中控制單元提供的接口通告或者註冊用戶的MAC地址等其它位置信息。如圖2所示為本發明一個實施例中地址集中控制單元裝置的方塊圖，圖2所示的地址集中控制單元包括一個或一個以上數據管理單元、查詢接口、操作接口、狀態指示器以及ARP代理單元和數據解析單元。下面進行詳細介紹。數據管理單元負責用戶MAC地址的管理和維護，保存用戶MAC地址以及用戶接入點等位置信息；也可保存其它用於網絡連接的相關位置信息如用戶的IP位址等信息；還可包括數據解析單元，用於確定用戶的接入點等位置信息、從用戶發出的消息中解析出MAC地址、IP位址、埠號等位置信息；並且可用於建立各種位置信息之間的對應關係。例如將用戶的MAC地址與交換機轉發其數據包的埠號以及用戶IP位址等其它相關位置信息之間建立關係表，通過查詢其中一項信息即可獲得其它位置信息。在本發明的一個實施例中，地址集中控制單元保存用戶位置信息的形式為包括MAC地址、埠信息、IP位址等信息及其對應關係。在本發明的另一個實施例中，則包括用戶MAC地址和交換設備MAC地址等關鍵字。地址集中控制單元還具有維護用戶MAC地址等用戶位置信息的狀態的機制，所述維護位置信息狀態的機制包括如存活(keepalive)機制或老化機制等。上述狀態信息可通過狀態指示器來表示其狀態，所述狀態信息可基於預先設定的老化機制而改變和/或處理，如規定一定時間內未使用時將存活狀態改變為老化狀態即定時老化機制或者由外部事件觸發改變狀態即當一定事件發生時，將信息的老化狀態改變為存活狀態或者反之。上述老化狀態可以基於預先設定的時間進行刪除處理，如規定一定時間內處於老化狀態的MAC的未改變狀態時，將處於老化狀態的MAC地址進行刪除，所述的刪除包括刪除MAC地址的對應關係數據。地址集中控制單元可對外提供操作接口，通過該操作接口可以對地址集中控制單元所保存的數據進行操作，操作內容包括但不僅限於以下的一種方式或其組合增加、刪除或修改。操作方式可以是以下方式的一種或其組合手工方式或自動方式；可以是基於通信協議遠程操作，也可以是直接在主機上進行操作。地址集中控制單元還可以對外提供查詢接口，該查詢接口可以是基於簡單網絡管理協議SNMP，也可以是其它協議。通過上述查詢接口可查詢用戶路徑建立的信令地址或查詢所保存的用戶或網元的MAC地址、IP位址以及其它位置信息；還可以查詢通過PBT建立連接或通過資源預留協議RSVP建立路徑連接的相關信息或其它類型的信息。地址集中控制單元還可以具備ARP代理單元，具備ARPPROXY功能。現通過一個具體的應用場景來"i兌明ARPPROXY的功能如果用戶A知道用戶B的IP位址，但是不知道B的MAC地址，此時A以廣播的形式向網絡內所有用戶發送ARPRequest報文，請求獲得B的MAC地址，B收到該ARPRequest報文後，回應包括B的MAC地址的ARPResponse衝艮文，這樣A就獲得了B的MAC地址信息。本發明引入地址集中控制單元後，A通過交換設備發出ARPRequest報文，交換設備將上述ARPRequest報文轉發至地址集中控制單元；接收到上述ARPRequest報文後，地址集中控制單元通過查詢其所保存的用戶MAC地址對應關係信息從而獲得B的MAC地址，並通過交換設備向A返回B的MAC地址。對比上述兩個流程可知，地址集中控制單元代理B響應了ARPResponse報文，所以說地址集中控制單元具備ARPPROXY的功能。當地址集中控制單元無法在現有資料庫中查詢到相關MAC地址或其它信息時，可以採取以下方式的至少一種進行處理不響應、發起查詢以獲得所需要的MAC地址或標識用戶離線；並可以某種方式通知用戶。地址集中控制單元對網絡連接的用戶的ARP進行了統一和集中的處理，地址集中控制單元能夠根據用戶的MAC對應關係對ARP進行檢查和檢驗，即通過MAC與IP的對應關係檢查ARP報文的對應關係是否與其一致，可以防止ARP欺騙等網絡安全問題。本發明所指的地址集中控制單元可以為新增的實體，也可以是在現有網元中進行功能擴充實現。另外地址集中控制單元的功能可以為通過純粹的軟體功能模塊實現，也可以是單純通過物理硬體實體或兩者的結合來實現。附圖3為本發明一個實施例中在接入匯聚網絡應用場景實現位置信息集中控制的系統，圖3所述系統包括域內交換設備、用戶、DHCP伺服器、地址集中控制單元、寬帶網關BNG(BroadbandNetworkGateway)、接入節點AN(AccessNode)等網元。AN主要功能為提供公用傳輸承載通路，其物理實現方式可以是光纖接入網中的光網絡單元或固定無線接入網中的用戶終端設備。附圖中採用ANa、ANb、ANc...ANz的方式來表達系統有一個以上的AN;類似的用戶用USERl、USER2…USERn的形式來表達一個以上用戶與AN相連，BNG1至BNGn表達系統中至少有至少一個寬帶網關。本實施例中的BNG與AN均屬於邊沿交換設備，BNG的位置信息可以通過人工配置進行註冊並保存，也可以是BNG通過地址集中控制單元提供的接口自動進行註冊並保存。與上述流程類似，用戶可以通過BNG在地址集中控制單元中註冊並保存相關位置信息。下面結合附圖4詳細介紹本實施例中實現集中控制MAC地址的步驟401、用戶發起DHCP地址請求DHCPRequest;402、AN接收用戶發起的DHCP地址請求消息，並將上迷DHCPRequest消息轉發到DHCPServer;403、DHCPServer給用戶分配IP位址，並向AN發送IP位址分配地址確認消息DHCPACK;404、AN將DHCPServer發出的DHCPAC消息轉發給用戶；405、AN同時捕獲DHCPServer發送的DHCPACK消息,並通過解析該消息獲取用戶的MAC地址；406、AN將用戶的MAC地址和用戶接入點等位置信息發送至地址集中控制單元進行註冊並保存；還可以保存用戶的IP位址以及其它位置信息如埠號等位置信息。通常DHCP的流程在上述步驟之前還可包括DHCPDiscovery以及OFFER兩個步驟，其它步驟與上述內容相同。DHCP的流程還可以存在另外一種通告方式401，、用戶發出DHCP地址請求消息DHCPRequest;402，、AN接收用戶發起的DHCP地址請求消息，確定用戶接入點位置，增加位置信息到DHCP報文,並將上述DHCPRequest消息轉發到DHCPServer;403，、DHCPServer給用戶分配IP位址，並向AN發送IP位址分配地址確認消息DHCPACK;404，DHCPServer將用戶的MAC地址和用戶接入點位置並發送至地址集中控制單元進行註冊；通常DHCP的流程在上述步驟之前還可包括DHCPDiscovery以及OFFER兩個步驟，其它步驟與上述內容相同。現仍以圖3所述的系統來為例來描述應用地址集中控制單元來進行MAC地址學習的過程。附圖5為該學習過程的流程圖，步驟如下501、用戶發起ARPRequest,請求獲得IP位址為10.1.1.1的寬帶網關的MAC地址；502、AN接收到用戶發起ARPRequest才艮文後，將該消息轉發到地址集中控制單元；503、地址集中控制單元收到AN發送的ARPRequest報文後，對報文進行處理(即通過查詢獲得與IP位址為10.1.1.1的BNG1的MAC地址)，然後向AN發送包括上述MAC地址信息的ARPresponse報文；504、AN接收到包括BNG1的MAC地址信息的ARPresponse報文後，將該ARPresponse才艮文轉發到用戶。在上述流程中，AN、BNG或其它交換設備在收到ARP報文後，還可以解析該報文獲得用戶MAC地址、IP位址或其它位置信息如埠號、交換設備的MAC地址等；還可以將該報文轉發至地址集中控制單元處理，在地址集中控制單元中保存用戶MAC地址、IP位址或其它位置信息，地址集中控制單元可以根據報文的來源確定用戶的接入點，如用戶接入的交換設備。在本發明的一個實施例中，地址集中控制單元在查詢用戶MAC地址等位置信息時，如果發現該位置信息的狀態是老化狀態時，將該位置信息的狀態改為存活狀態。下面結合附圖介紹應用MAC集中控制單元建立網絡連接。附圖6為本發明一個實施例的系統圖，本系統中包括策略伺服器PolicyServer,策略伺服器與上層管理控制層交互，用於控制網絡連接通道的建立。策略伺服器可以是網管伺服器或者網管伺服器的子模塊或其它系統。該系統也可以包括DHCP伺服器。如圖7所示為本方法一個實施例中在建立網絡連接中應用MAC地址的方法流程圖，詳細步驟描述如下701、策略伺服器通知寬帶網關BNG1(IP位址為10.1.1.1)與AN1建立網絡連接通道，其中AN1連接了用戶1(IP位址為10.1.1.200);702、BNG1向地址集中控制單元發送查詢請求，查詢用戶A(IO.1.1.200)的MAC地址以及其所連接的AN1的相關位置信息；703、地址集中控制單元對BNG1發出的查詢進行處理，返回用戶A(10.1.1.200)的MAC地址以及其所連"t妄的AN1的相關位置信息；704、BNG1向AN1發起建立網絡承載通道。該網絡承載通道為BNG1與AN1之間連接通道，用於承載用戶1(IP位址為10.1.1.200)的業務數據等。同樣，策略伺服器也可以通知AN建立到其它網元之間的連接；AN向地址集中控制單元發送查詢請求以查詢對端的MAC地址或其它位置信息；地址集中控制單元進行處理後返回相應結果；最後AN根據上述位置信息建立到對端的網絡承載通道即建立網絡連接。通信終端用戶自動發現通信對端MAC地址。為了保證網絡安全，保證用戶位置信息的一致性與完整性，本發明的一個實施例中引入安全證書與身份驗證的方式；並對用戶MAC地址等安全要求較高的信息進行加密處理。地址集中控制單元向用戶下發安全證書，在用戶與上報或查詢用戶位置信息時對用戶的合法性進行驗證；用戶也需要驗證地址集中控制單元的合法身份，在本發明的一個實施例中引入IP位址加MAC地址的驗證方法，更大程度保證驗證的有效性。為了不使用戶MAC地址等重要信息洩露從而造成網絡安全隱患，本發明的一個實施例中對上述用戶MAC地址等位置信息進行加密，由地址集中控制單元進行解密密以上應用了優選實施例對本發明進行了描述，但以上優選實施例僅用於幫助理解本發明的核心思想及其實施方式，因此本領域的一般技術人員在不偏離本發明的思想和範圍的情形下，可以在具體實施方式及細節上有所改變。這些改變應當理解為實施了本發明。權利要求1、一種位置信息集中管理的網絡系統，其特徵在於，包括交換設備和地址集中控制單元，交換設備向地址集中控制單元通告用戶位置信息；地址集中控制單元用於保存和管理上述包括用戶MAC地址的位置信息。2、根據權利要求l所述的系統，其特徵在於，交換設備包括域內交換設備與邊沿交換設備；邊沿交換設備與至少一個用戶相連，用於轉發用戶通信數據以及學習用戶MAC地址信息；域內交換設備與至少一個邊沿交換設備相連，負責轉發用戶數據。3、根據權利要求2所述的系統，其特徵在於，邊沿交換設備為接入節點AN和/或寬帶網關，其中接入節點AN，負責將其所連接的用戶接入通信網絡系統；寬帶網關BNG，負責提供網絡傳輸的承載通道。4、根據權利要求3所述的系統，其特徵在於，BNG通過人工配置方式或通過地址集中控制單元提供的接口向地址集中控制單元通告本BNG網絡埠的MAC地址或IP位址信息。5、根據權利要求2或3所述的系統，其特徵在於，邊沿交換設備包括確定單元和/或通告單元確定單元用於學習與其相連用戶的MAC地址，並上^^至地址集中控制單元；通告單元用於將包含用戶位置信息的報文直接轉發至地址集中控制單元，或者將接收到的報文經過轉化後，上報至地址集中控制單元。6、根據權利要求1所述的系統，其特徵在於，進一步包括DHCP伺服器、網管伺服器或認證伺服器，所述伺服器向地址集中控制單元通告自身位置信息或與其連接用戶的位置信息。7、一種地址集中控制裝置，其特徵在於，所述地址集中控制裝置集成於網絡系統的現有網元中或獨立存在，包括數據管理單元，用於保存和維護包括用戶MAC地址的位置信息。8、根據權利要求7所述的裝置，其特徵在於，進一步包括數據解析單元，用於接收用戶上報的數據包，從數據包中解析出用戶的位置信息並保存在數據管理單元中。9、根據權利要求7所述的裝置，其特徵在於，進一步包括狀態指示器，用於標識保存在數據集中控制單元的用戶位置信息的存活狀態或老化狀態。10、根據權利要求7至9任一項所述的裝置，其特徵在於，進一步包括操作接口和/或查詢4妄口操作接口負責實現用戶增加、刪除或修改數據管理單元中保存的數據；查詢接口用於實現用戶在數據管理單元中查詢用戶位置信息。11、根據權利要求7至9任一項所述的裝置，其特徵在於，還包括ARP代理單元，用於在接收到請求方發出的ARPRequest才艮文後，查詢^皮請求用戶的MAC地址並將該MAC地址通過ARPResponse報文返回給請求方。12、一種MAC地址集中管理的方法，其特徵在於，包括步驟地址集中控制單元接收網絡設備發送的包括MAC地址的位置信息；地址集中控制單元保存上述包括MAC地址的位置信息，進行集中管理。13、根據權利要求12所述的方法，其特徵在於，交換設備將用戶發出的數據包直接轉發給地址集中控制單元；或者交換設備解析用戶協議報文後，將包括MAC地址的用戶位置信息上報給地址集中控制單元。14、根據權利要求12所述的方法，其特徵在於，包括步驟交換設備接收到用戶發出的DHCP協議報文後，將所述報文直接轉發至地址集中控制單元，或解析所述報文後將解析所得的用戶位置信息上報至地址集中控制單元；地址集中控制單元保存和維護用戶位置信息。15、根據權利要求12所述的方法，其特徵在於，包括步驟交換設備接收到用戶的ARP協議報文後，轉發所述報文至地址集中控制單元或解析所述報文後將用戶位置信息上報至地址集中控制單元；地址集中控制單元保存包括所述用戶位置信息。16、根據權利要求l2所述的方法，其特徵在於，包括步驟地址集中控制單元建立用戶MAC地址、交換機埠號或用戶IP位址之間的對應關係表。17、根據權利要求16所述的方法，其特徵在於，設立用戶位置信息的狀態值，包括老化狀態、存活狀態；當用戶位置信息在規定的時間內未被使用時，將狀態/人存活狀態改為老化狀態；或者將老化狀態的用戶位置信息刪除。18、一種自動學習MAC地址的方法，其特徵在於，包括步驟地址集中控制單元收到ARP請求報文後，查詢其所保存的位置信息，獲得被請求方的MAC地址；地址集中控制單元將查詢到的上述MAC地址通過交換設備發送給ARP請求方。19、根據權利要求18所述的方法，其特徵在於，當地址集中控制單元查詢失敗時，採用以下方式的至少一種進行處理不響應、標識用戶離線或發起查詢以獲得所需的MAC地址。20、根據權利要求18所述的方法，其特徵在於，包括步驟當地址集中控制單元查詢至的用戶MAC地址信息狀態為老化狀態時，將該狀態改變為存活狀態。21、根據權利要求18所述的方法，其特徵在於，包括步驟發起請求的用戶通過檢查地址集中控制單元的IP位址和MAC地址，驗證從地址集中控制單元獲得信息的合法性。22、一種建立網絡連接的方法，其特徵在於，包括步驟請求方向地址集中控制單元發送查詢請求，請求獲得被請求用戶的MAC地址以及其所相連的交換設備的位置信息；地址集中控制單元通過查詢獲得上述信息後，將結果返回給請求方；請求方利用上述位置信息建立至被請求用戶的承載通道。全文摘要本發明公開了一種位置信息集中管理的網絡系統，包括交換設備和地址集中控制單元；還公開了一種地址集中控制裝置，可集成於網絡系統的現有網元中或獨立存在，包括數據管理單元和數據解析單元，可實現網絡設備地址信息的集中管理；本發明還公開了一種MAC地址集中管理的方法，包括步驟用戶向地址集中控制單元通告包括其MAC地址的用戶位置信息；地址集中控制單元保存和維護上述位置信息。另外，本發明也公開了一種自動學習MAC地址的方法和一種建立網絡連接的方法。本發明通過對用戶位置信息進行集中控制與管理，提高了網絡的安全性和可靠性。文檔編號H04L12/24GK101188510SQ20061015694公開日2008年5月28日申請日期2006年11月16日優先權日2006年11月16日發明者陽振庭申請人:華為技術有限公司