媒體訪問控制mac地址保護方法和交換機的製作方法

2023-07-04 00:05:46 2

專利名稱：媒體訪問控制mac地址保護方法和交換機的製作方法
技術領域：
本發明實施例涉及通信技術領域，尤其涉及一種媒體訪問控制MAC地址保護方法和交換機。
背景技術：
在城域和企業網的組網方案中，越來越多使用二層環網技術。在二層環網中，交換機轉發報文的流程為首先根據報文的目的媒體訪問控制(Media Access Control ；簡稱 MAC)地址查找MAC表項，通過MAC表項獲取報文的出接口，然後將報文從該出接口發送出去。其中，交換機的MAC表項是根據接收的數據流進行學習的，例如交換機從某個接口收到某一數據報文時，可以根據該報文的源MAC地址進行MAC表項的學習，其中，MAC表項中包括該報文的源MAC地址和出接口，出接口為該交換機收到該報文的接口。如果交換機的 MAC地址被攻擊，MAC表項中的出接口學習到錯誤的接口上，可能導致目的地址為該MAC地址的報文轉發到錯誤的接口上。如圖Ia所示，為現有二層環網中仿冒MAC地址攻擊的示意圖，如果用戶設備A仿冒路由器的MAC地址進行攻擊，則用戶設備A構造源MAC地址為路由器R的MAC地址的報文，並將該報文發送到二層環網中，通過MAC地址學習，該二層環網中每個交換機的MAC表項中的與路由器R的MAC地址對應的出接口被修改為到用戶設備A的接口，其他用戶發送的目的地址為路由器R的報文將被轉發到用戶設備A上，導致到路由器 R的網絡中斷，其他用戶的信息被非法獲取。同理，如果用戶設備A仿冒用戶設備B的MAC 地址構造報文進行攻擊，則從路由器R發送到用戶設備B的報文，將被轉發到用戶設備A，導致用戶設備B到路由器R的網絡中斷，用戶設備B的信息被用戶設備A竊取。其中，D為環網阻斷點。為防止用戶攻擊MAC地址，可以在二層環網上的所有的交換機上將路由器和環網下所有用戶的MAC地址配置為靜態MAC地址。由於交換機不需要學習靜態MAC地址，因此可以保證該MAC地址不被攻擊。但是採用靜態配置的方法，二層環網上的每個交換機均需要將路由器和其他交換機下掛的用戶的MAC地址配置為靜態MAC地址，配置過程複雜。為了降低靜態配置的複雜程度，可以在交換機的環網接口上啟動接口安全特性，由交換機將學習到的MAC地址自動轉換為靜態MAC地址，防止MAC地址被攻擊，這種方法可以避免複雜的靜態MAC地址配置過程。但是，無論是進行靜態配置，還是採用環網接口安全學習到MAC 地址轉換為靜態MAC地址，在二層環網的環網拓撲變化時，都存在流量中斷的問題。如圖Ib 所示，為採用靜態配置保護路由器的MAC地址的網絡示意圖，在初始情況下，二層環網的所有鏈路正常，所有的交換機均將路由器R的MAC地址配置為靜態MAC地址，其中，D為環網阻斷點，各交換機上配置的路由器R的MAC地址對應的出接口如下交換機_2 與交換機_1相連的接口 ；交換機_3 與交換機_1相連的接口 ；交換機_4 與交換機_2相連的接口 ；交換機_5 與交換機_3相連的接口。
4
如果二層環網的環網拓撲發生變化，如圖Ic所示，為採用靜態配置保護路由器的 MAC地址的故障的網絡示意圖交換機_1和交換機_2之間的鏈路出現故障，環網放開交換機_4和交換機_5之間的鏈路，即取消交換機_4和交換機_5之間的環網阻斷點，可以在交換機_1和交換機_2之間設置環網阻斷點D。但是交換機_4上路由器R的MAC地址對應的出接口仍是與交換機_2相連的接口，導致用戶設備A發往路由器R的報文仍然由交換機 _4轉發到交換機_2，但由於交換機—2與交換機_1之間的鏈路故障，交換機—2無法通過交換機_1將報文轉發到路由器R，導致用戶設備A到路由器R的流量中斷。綜上所述，在二層環網的網絡拓撲變化時，現有的防止攻擊MAC地址的方案，容易引起網絡流量的中斷。

發明內容
本發明實施例提供一種媒體訪問控制MAC地址保護方法和交換機，用以解決在二層環網的網拓撲變化時，現有的防止攻擊MAC地址的方案，容易引起網絡流量中斷的缺陷， 實現在MAC地址的同時，即使二層環網的網絡拓撲變化，也能保證用戶報文的正確轉發。本發明實施例提供一種媒體訪問控制MAC地址保護方法，包括二層環網上的交換機獲取所述二層環網的網絡拓撲信息，所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址；所述二層環網上的交換機根據所述網絡拓撲信息確定所述被保護設備的保護MAC 地址在本地的出接口，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護MAC 地址對應的MAC表項的出接口。本發明實施例還提供一種交換機，包括出接口確定模塊，用於獲取二層環網的網絡拓撲信息所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址；MAC表項建立模塊，用於根據所述網絡拓撲信息確定所述被保護設備的保護MAC 地址在本地的出接口，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護MAC 地址對應的MAC表項的出接口。本發明實施例的媒體訪問控制MAC地址保護方法和交換機，將被保護設備的MAC 地址作為保護MAC地址，根據包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識的網絡拓撲信息，確定該保護MAC地址在二層環網的交換機上對應的出接口，在二層環網拓撲變化時，可以同步更新該保護MAC 地址對應的MAC表項的出接口，保證被保護設備可以正確收發報文，以適應二層環網的拓撲變化。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖Ia為現有二層環網中仿冒MAC地址攻擊的示意圖；圖Ib為採用靜態配置保護路由器的MAC地址的網絡示意圖；圖Ic為採用靜態配置保護路由器的MAC地址的故障的網絡示意圖；圖2為本發明實施例提供的一種MAC地址保護方法的流程圖；圖3為本發明實施例提供的另一種MAC地址保護方法的流程圖；圖4為本發明實施例提供的MAC地址保護方法應用於多環的示意圖；圖5為本發明實施例提供的一種交換機的結構示意圖；圖6為本發明實施例提供的另一種交換機的結構示意圖。
具體實施例方式為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。圖2為本發明實施例提供的一種MAC地址保護方法的流程圖，如圖2所示，該MAC 地址保護方法包括步驟201、二層環網上的交換機獲取所述二層環網的網絡拓撲信息，所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址。其中，所述被保護設備的保護MAC地址以及所述保護MAC地址對應的交換機的標識是由所述被保護設備的接入交換機首次發布的。所述接入交換機是指與該被保護設備直接相連的交換機，所述接入交換機與所述被保護設備直接相連的接口為所述保護MAC地址在所述接入交換機上對應的出接口。所述接入交換機可以將所述被保護設備與接入交換機直接相連的接口使能MAC 保護或在所述接入交換機上將所述被保護設備的MAC地址配置為保護MAC地址。然後，所述接入交換機與所述二層環網上的其他交換機交互包括所述被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識等的網絡拓撲信息，所述其他交換機為二層環網上與所述被保護設備未直接相連的交換機，即環網上除了被保護設備的接入交換機之外的交換機。步驟202、二層環網上的交換機根據所述網絡拓撲信息確定被保護設備的保護 MAC地址在本地的出接口，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護 MAC地址對應的MAC表項的出接口。其中，步驟202具體可以包括以下情況一、如果該二層環網上的某一交換機為該被保護設備的保護MAC地址對應的交換機，則該交換機將與被保護設備直接相連的接口作為該保護MAC地址在該接入交換機上的出接口寫入MAC表項中。二、如果該二層環網上的某一交換機為除了保護MAC地址對應的交換機之外的其他交換機，則該其他交換機需要計算保護MAC地址在本地的出接口，具體計算過程可以包括二層環網上的交換機計算自身在二層環網上的兩個接口到所述保護MAC地址對應的接入交換機的距離；選擇與所述保護MAC地址對應的接入交換機的距離較小的接口，作為所述保護 MAC地址在本地的出接口 ；其中，若接口到所述保護MAC地址對應的接入交換機的路徑上存在環網阻斷點， 則接口與所述保護MAC地址對應的接入交換機的距離為無限大。進一步地，由於二層環網可能為單環或者多環，其中，保護MAC地址對應的交換機可以包括一、若所述二層環網為單環，所述保護MAC地址對應的交換機為所述接入交換機；二、若所述二層環網包括一個主環和至少一級子環，則在任一子環中，所述保護 MAC地址對應的交換機為連接所述子環和上一級環網的交換機或連接所述子環和上一級環網的兩個交換機中的一個。具體地，如果連接主環與子環的交換機接收到的保護MAC地址對應的交換機的標識是被保護設備的接入交換機的標識，則可以將自身的標識確定為所述保護MAC地址對應的交換機的標識。進一步地，為了保證網絡拓撲信息的準確性，若所述二層環網的拓撲結構發生變化，則二層環網上的各個交換機根據所述二層環網的拓撲變化事件和新的環網阻斷點，獲取更新後的網絡拓撲信息，然後，根據變化後的網絡拓撲信息和新的環網阻斷點，更新本地存儲的所述保護MAC地址對應的MAC表項的出接口，即重複執行步驟201和步驟202。如圖3所示，為本發明實施例提供的另一種MAC地址保護方法的流程圖，如果二層環網為單環，該MAC地址保護方法可以具體包括以下步驟步驟301、將二層環網上與被保護設備，例如路由器、用戶設備等直接相連的交換機確定為該被保護設備的接入交換機。例如，參見圖lb，路由器R的接入交換機為交換機 _1，用戶設備B的接入交換機為交換機_5。步驟302、在接入交換機連接被保護設備的接口上使能MAC保護，或者將被保護設備的MAC地址配置為保護MAC地址。步驟303、接入交換機在與二層環網上除被保護設備自身之外的其他交換機交互網絡拓撲信息時，將自身標識作為該保護MAC地址對應的交換機的標識，將保護MAC地址及其對應的交換機的標識作為網絡拓撲信息的一部分發布給其他交換機。步驟304、環網上的交換機在計算環網拓撲信息的同時，可以計算保護MAC地址在本地的出接口，從而使得保護MAC地址的出接口可以由實際的二層環網的網絡拓撲信息確定。其中，可以將被保護設備的接入交換機的連接該被保護設備的接口作為該被保護設備的保護MAC地址在接入交換機上對應的出接口，由於被保護設備直接連接的接入交換機不會改變，因此保護MAC地址在接入交換機上對應的出接口通常保持不變。保護MAC地址在其他交換機上對應的出接口的計算方法為首先，在二層環網中， 由於每臺交換機在環網上只有兩個接口，因此該保護MAC地址的出接口為這兩個接口之一；此外，為了防止流量成環，環網計算得到一個環網阻斷點，用於阻斷環路，發送到該環網
7阻斷點的流量全部會被丟棄；因此，在選擇交換機上與保護MAC地址對應的MAC表項的出接口時，不能選擇到接入交換機的路徑上存在環網阻斷點的接口，否則流量會全部被丟棄。因此，可以選擇從該交換機到保護MAC地址的接入交換機的路徑上無環網阻斷點的接口作為保護MAC地址的出接口。具體地，如果交換機的某個接口到保護MAC地址對應的接入交換機的路徑上存在環網阻斷點，可以將該接口與該保護MAC地址對應的接入交換機的距離確定為無限大，這樣，其他交換機計算出其在環網上的兩個接口到接入交換機的距離後，可以選擇與接入交換機的距離小的接口，作為保護MAC地址在該交換機上對應的出接口。參見圖lb，在初始狀態下，二層環網上所有鏈路均正常，其中，路由器R的接入交換機為交換機_1，用戶設備B的接入交換機為交換機_5，環網阻斷點D為交換機_4連接交換機_5的接口。交換機_1上與路由器R的保護MAC地址對應的MAC表項的出接口是交換機_1與路由器R連接的接口，交換機_5上與用戶設備B的保護MAC地址對應的MAC表項的出接口是交換機_5與用戶設備B連接的接口。根據上述原則，圖Ib中環網上的各個交換機上與路由器R的保護MAC地址對應的 MAC表項的出接口如下交換機_1 與路由器R相連的接口 ；交換機_2 與交換機_1相連的接口 ；交換機_3 與交換機_1相連的接口 ；交換機_4 與交換機_2相連的接口 ；交換機_5 與交換機_3相連的接口。另外，環網上的各個交換機上與用戶設備B的保護MAC地址對應的MAC表項的出接口如下交換機_1 與交換機_3相連的接口 ；交換機_2 與交換機_1相連的接口 ；交換機_3 與交換機_5相連的接口 ；交換機_4 與交換機_2相連的接口 ；交換機_5 與用戶設備B相連的接口。步驟305、如果網絡拓撲發生變化或者某條鏈路故障，引起環網的拓撲結構發生變化時，交換機需要重新進行網絡拓撲計算，同時計算並更新保護MAC地址對應的MAC表項的出接口。如果環網阻斷點發生變化，可能導致交換機上的保護MAC地址對應的MAC表項的出接口錯誤，環網的除接入交換機外的各個交換機在計算二層環網的網絡拓撲信息的同時，同步計算並更新該保護MAC地址對應的MAC表項的出接口。其中，由於接入交換機與被保護設備的連接的接口為該保護MAC地址的出接口，通常保持不變，因此，該接入交換機不需要刷新保護MAC地址的出接口。如果二層環網的拓撲結構發生變化，參見圖lc，假設交換機_1和交換機_2之間的鏈路故障，環網阻斷點D為交換機_1上連接交換機_2的接口 ；環網的各個交換機獲知該拓撲變化後，可以重新根據網絡拓撲信息計算保護MAC地址的出接口並刷新MAC表項。其中，各個交換機上與路由器R的保護MAC地址對應的MAC表項的出接口如下交換機_1 與路由器R相連的接口 ；交換機_2 與交換機_4相連的接口 ；
交換機_3 與交換機_1相連的接口 ；交換機_4 與交換機_5相連的接口 ；交換機_5 與交換機_3相連的接口。其中，由於交換機_1是路由器R的接入交換機，因此交換機_1可以不用重新計算路由器R的保護MAC地址在交換機_1的出接口，交換機_3和交換機_5上保護MAC地址對應的MAC表項的出接口沒有發生變化，保持原有的出接口。另外，各個交換機上與用戶設備B的保護MAC地址對應的MAC表項的出接口如下交換機_1 與交換機_3相連的接口 ；交換機_2 與交換機_4相連的接口 ；交換機_3 與交換機_5相連的接口 ；交換機_4 與交換機_5相連的接口 ；交換機_5 與用戶設備B相連的接口。其中，由於交換機_5是用戶設備B的接入交換機，因此交換機_5可以不用重新計算用戶設備B的保護MAC地址在交換機_5的出接口，而交換機_1和交換機_3上保護MAC 地址對應的MAC表項的出接口沒有發生變化，保持原有的出接口。在網絡拓撲結構發生變化時，二層環網上的交換機只需要感知網絡拓撲變化及新的環網阻斷點，並根據新的環網阻斷點及保護MAC地址的接入交換機的標識計算保護MAC 地址的出接口，可以減少保護MAC地址對應的MAC表項的出接口的計算時間。本實施例將被保護設備的MAC地址作為保護MAC地址，根據包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識的網絡拓撲信息，確定該保護MAC地址在二層環網的交換機上對應的出接口，在二層環網拓撲變化時，可以同步更新該保護MAC地址對應的MAC表項的出接口，保證被保護設備可以正確收發報文，以適應二層環網的拓撲變化。圖4為本發明實施例提供的MAC地址保護方法應用於多環的示意圖，如圖4所示， 該二層環網包括一個主環和至少一個子環，其中，子環和主環可以是相切環或者相交環。其中，對於主環，其保護MAC地址的發布及其出接口的計算可以參見上述實施例中的相關描述。對於子環，由於子環上交換機的流量均是通過該子環和主環連接的交換機進行轉發的，因此連接主環和子環的交換機相當於該子環的接入交換機，在該子環中的交換機計算保護MAC地址對應的MAC表項的出接口時，只需要將連接主環和子環的交換機當作接入交換機即可。具體地，如果是相切環，連接主環和子環的交換機收到主環上的保護MAC地址及其對應的交換機的標識後，將主環上的保護MAC地址發布到子環的各個交換機上，並將保護MAC地址對應的交換機的標識修改為該連接主環和子環的交換機的標識，然後將修改後的交換機的標識在子環內發布。例如參見圖4，連接主環_1和子環_2交換機_4可以在收到路由器R的保護MAC地址及其對應的交換機的標識即交換機_1的標識後，將該保護MAC 地址對應的交換機_1的標識修改為交換機_4自身的標識，然後將該保護MAC地址及交換機_4的標識發布給子環_2上的其他交換機_6、交換機_7、交換機_8。另一方面，交換機_4 收到用戶設備A的保護MAC地址及其對應的交換機的標識即交換機_8的標識後，可以將該保護MAC地址對應的交換機_8的標識修改為交換機_4的標識，然後將該保護MAC地址及其對應的交換機_4的標識擴散給子環_3內的交換機_1、交換機_2、交換機_3、交換機_5。 這樣，可以確定相切環結構的二層環網中各個被保護設備的保護MAC地址對應的MAC表項的出接口，並通知二層環網上的各個交換機。如果是相交環，子環有至少兩個交換機和主環相連，因此該子環上的交換機在收到保護MAC地址時，同時收到兩個對應的交換機的標識，這兩個標識均需要存儲，在計算保護MAC地址對應的MAC表項的出接口時，根據二層環網的網絡拓撲信息識別環上兩個接口分別對應的交換機後，進行環網阻斷點的判斷即可。例如交換機_9會收到交換機_3和交換機_5發布的保護MAC地址，且收到兩個對應的交換機的標識即交換機_3的標識和交換機_5的標識，交換機_9可以保存保護MAC地址及其對應的交換機_3的標識和交換機_5 的標識。交換機_9在計算保護MAC地址的出接口時，根據二層環網的網絡拓撲信息，可以知道到交換機_3的接口為連接交換機_10的接口，在此路徑上存在環網阻斷點，不能選擇該接口作為保護MAC地址的出接口，因此選擇交換機_5作為保護MAC地址對應的交換機， 選擇與交換機_5相連的接口作為保護MAC地址對應的MAC表項的出接口。此外，如果是多級子環，即子環下再連接子環的場景，處理機制相同，只需要連接子環的交換機向下級子環發布保護MAC地址且將該保護MAC地址對應的交換機的標識修改為本交換機的標識即可。如果子環的網絡拓撲結構發生變化，只需要該子環上的交換機進行保護MAC地址對應的MAC表項的出接口的計算即可，其他子環及主環不需要重新計算。本實施例將被保護設備的MAC地址作為保護MAC地址，根據包括該保護MAC地址及其對應的交換機的標識的網絡拓撲信息，確定該保護MAC地址在二層環網的交換機上對應的出接口，在二層環網拓撲變化時，可以同步更新該保護MAC地址對應的MAC表項的出接口，保證環網連接的被保護設備的轉發路徑正確，從而保證到被保護設備的報文可以正確轉發，可以適應二層環網拓撲變化；由於在網絡拓撲結構發生變化時，二層環網上的各個交換機可以同步進行保護MAC地址對應的MAC表項的出接口的計算，不需要接入交換機重新發布保護MAC地址，提高了網絡的收斂性能，可以適應單環、多環、多級子環等複雜組網下的MAC保護；此外，被保護設備既可以是環網上行接入的路由器或者網關，也可以是保護環網上下掛的用戶設備或者網絡，因此不但可以保護環網上行接入的路由器或者網關的MAC 地址，還可以保護環網上下掛的用戶或者網絡的MAC地址。為了實現上述方法，本發明實施例提供了一種交換機，如圖5所示，為本發明實施例提供的一種交換機的結構示意圖，該交換機包括出接口確定模塊11，用於獲取所述二層環網的網絡拓撲信息所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址；MAC表項建立模塊13，用於根據所述網絡拓撲信息確定所述被保護設備的保護 MAC地址在本地的出接口，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護 MAC地址對應的MAC表項的出接口。具體地，交換機接收到二層環網的網絡拓撲信息後，可以從網絡拓撲信息中識別出保護MAC地址及發布該保護MAC地址的接入交換機的標識，然後，出接口確定模塊11可以存儲環網上所有的保護MAC地址及其對應的交換機的標識，然後在環網計算或者拓撲變化計算時，響應環網計算或拓撲變化的事件，同步進行保護MAC地址的出接口的計算。保護 MAC地址出接口計算完成後，MAC表項建立模塊13可以，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護MAC地址對應的MAC表項的出接口。在本發明圖5所示實施例的基礎上，如圖6所示，為本發明實施例提供的另一種交換機的結構示意圖，其中，該交換機的出接口確定模塊11可以包括距離計算模塊21，用於計算自身在二層環網上的兩個接口到所述保護MAC地址對應的接入交換機的距離；選擇模塊23，用於選擇與所述保護MAC地址對應的接入交換機的距離較小的接口，作為所述保護MAC地址在本地的出接口 ；其中，若接口到所述保護MAC地址對應的接入交換機的路徑上存在環網阻斷點，則接口與所述保護MAC地址對應的接入交換機的距離為無限大。進一步地，該交換機還可以包括MAC保護配置模塊15，用於將所述被保護設備與接入交換機直接相連的接口使能 MAC保護或在所述接入交換機上將所述被保護設備的MAC地址配置為所述保護MAC地址， 所述接入交換機與所述被保護設備直接相連的接口作為所述保護MAC地址在所述接入交換機上對應的出接口 ；具體地，用戶可以手動配置被保護設備上的保護MAC地址，MAC保護配置模塊15在接入交換機與被保護設備直接相連的接口上使能MAC保護後，可以自動將使能MAC保護的接口下學習到的MAC地址作為保護MAC地址，並且可以收集該接口下的各種被保護設備(路由器、用戶設備、網絡等)的MAC地址作為保護MAC地址。再進一步地，為了提高保護MAC地址對應的MAC表項的出接口的計算時間，只需要感知網絡拓撲變化事件及新的環網阻斷點，不需要接入交換機重新發布保護MAC地址，該交換機還可以包括拓撲信息發布模塊17，用於向所述二層環網上的其他交換機發布包括所述被保護設備的保護MAC地址以及所述保護MAC地址對應的交換機的標識的網絡拓撲信息，所述其他交換機為環網上與所述被保護設備未直接相連的交換機。具體地，拓撲信息發布模塊17 發布二層環網的網絡拓撲信息時，在其中攜帶了保護MAC地址，並將本交換機的標識作為該保護MAC地址對應的交換機的標識向其他交換機發布，以使其他交換機可以識別該保護 MAC地址及其對應的交換機。再進一步地，二層環網的拓撲結構可能發生變化，該交換機還可以包括MAC表項更新模塊19，用於若所述二層環網的拓撲結構發生變化，則根據變化後的網絡拓撲信息和新的環網阻斷點，更新本地存儲的所述保護MAC地址對應的MAC表項的出接口。此外，二層環網可以為單環或者多環，不同網絡結構中保護MAC地址對應的交換機不同，具體地若所述二層環網為單環，所述保護MAC地址對應的交換機為所述接入交換機；若所述二層環網包括一個主環和至少一級子環，則在任一子環中，所述保護MAC 地址對應的交換機為連接所述子環和上一級環網的交換機或連接所述子環和上一級環網的兩個交換機中的一個。本發明實施例提供的交換機中各個模塊的工作流程和工作原理參見上述各方法實施例中的描述，在此不再贅述。本實施例將被保護設備的MAC地址作為保護MAC地址可以防止環網MAC地址被攻擊，根據包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識的網絡拓撲信息，確定保護MAC地址在二層環網的交換機上對應的出接口，在二層環網拓撲變化時，可以同步更新保護MAC地址的出接口，保證環網連接的被保護設備的轉發路徑正確，從而保證到被保護設備的報文可以正確轉發，可以適應二層環網拓撲變化；並且，在網絡拓撲結構發生變化時，環網上的各個交換機可以同步進行保護MAC地址對應的MAC表項的出接口的計算，不需要保護MAC地址對應的交換機重新發布保護MAC地址，提高了網絡的收斂性能；本發明實施例可以適應單環、多環、多級子環等複雜組網下的MAC保護；此外，被保護設備既可以是環網上行接入的路由器或者網關，也可以是保護環網上下掛的用戶設備或者網絡，因此不但可以保護環網上行接入的路由器或者網關的MAC地址，還可以保護環網上下掛的用戶或者網絡的MAC地址。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序在執行時，執行包括上述方法實施例的步驟；前述的存儲介質包括R0M、RAM、磁碟或者光碟等各種可以存儲程序代碼的介質。最後應說明的是以上實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。
權利要求
1.一種媒體訪問控制MAC地址保護方法，其特徵在於，包括二層環網上的交換機獲取所述二層環網的網絡拓撲信息，所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址；所述二層環網上的交換機根據所述網絡拓撲信息確定所述被保護設備的保護MAC地址在本地的出接口，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護MAC地址對應的MAC表項的出接口。
2.根據權利要求1所述的MAC地址保護方法，其特徵在於，所述二層環網上的交換機根據所述網絡拓撲信息確定所述被保護設備的保護MAC地址在本地的出接口，包括二層環網上的交換機計算自身在二層環網上的兩個接口到所述保護MAC地址對應的接入交換機的距離；選擇與所述保護MAC地址對應的接入交換機的距離較小的接口，作為所述保護MAC地址在本地的出接口；其中，若接口到所述保護MAC地址對應的接入交換機的路徑上存在環網阻斷點，則接口與所述保護MAC地址對應的接入交換機的距離為無限大。
3.根據權利要求1或2所述的MAC地址保護方法，其特徵在於，還包括將所述被保護設備與接入交換機直接相連的接口使能MAC保護或在所述接入交換機上將所述被保護設備的MAC地址配置為所述保護MAC地址，將所述接入交換機與所述被保護設備直接相連的接口作為所述保護MAC地址在所述接入交換機上對應的出接口 ；所述接入交換機向所述二層環網上的其他交換機發布包括所述被保護設備的保護MAC 地址以及所述保護MAC地址對應的交換機的標識網絡拓撲信息，所述其他交換機為環網上與所述被保護設備未直接相連的交換機。
4.根據權利要求3所述的MAC地址保護方法，其特徵在於若所述二層環網為單環，所述保護MAC地址對應的交換機為所述接入交換機；若所述二層環網包括一個主環和至少一級子環，則在任一子環中，所述保護MAC地址對應的交換機為連接所述子環和上一級環網的交換機或連接所述子環和上一級環網的兩個交換機中的一個。
5.根據權利要求1或2所述的MAC地址保護方法，其特徵在於，還包括若所述二層環網的拓撲結構發生變化，則根據變化後的網絡拓撲信息和新的環網阻斷點，更新本地存儲的所述保護MAC地址對應的MAC表項的出接口。
6.一種交換機，其特徵在於，包括出接口確定模塊，用於獲取二層環網的網絡拓撲信息所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址、所述保護MAC地址對應的交換機的標識以及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址；MAC表項建立模塊，用於根據所述網絡拓撲信息確定所述被保護設備的保護MAC地址在本地的出接口，根據所述保護MAC地址在本地的出接口，建立並存儲的所述保護MAC地址對應的MAC表項的出接口。
7.根據權利要求6所述的交換機，其特徵在於，所述出接口確定模塊包括距離計算模塊，用於計算自身在二層環網上的兩個接口到所述保護MAC地址對應的接入交換機的距離；選擇模塊，用於選擇與所述保護MAC地址對應的接入交換機的距離較小的接口，作為所述保護MAC地址在本地的出接口 ；其中，若接口到所述保護MAC地址對應的接入交換機的路徑上存在環網阻斷點，則接口與所述保護MAC地址對應的接入交換機的距離為無限大。
8.根據權利要求6或7所述的交換機，其特徵在於，還包括以下模塊的任意一個或者多個MAC保護配置模塊，用於將所述被保護設備與接入交換機直接相連的接口使能MAC保護或在所述接入交換機上將所述被保護設備的MAC地址配置為所述保護MAC地址，所述接入交換機與所述被保護設備直接相連的接口作為所述保護MAC地址在所述接入交換機上對應的出接口；拓撲信息發布模塊，用於向所述二層環網上的其他交換機發布包括所述被保護設備的保護MAC地址以及所述保護MAC地址對應的交換機的標識的網絡拓撲信息，所述其他交換機為環網上與所述被保護設備未直接相連的交換機；MAC表項更新模塊，用於若所述二層環網的拓撲結構發生變化，則根據變化後的網絡拓撲信息和新的環網阻斷點，更新本地存儲的所述保護MAC地址對應的MAC表項的出接口。
9.根據權利要求8所述的交換機，其特徵在於若所述二層環網為單環，所述保護MAC地址對應的交換機為所述接入交換機； 若所述二層環網包括一個主環和至少一級子環，則在任一子環中，所述保護MAC地址對應的交換機為連接所述子環和上一級環網的交換機或連接所述子環和上一級環網的兩個交換機中的一個。
全文摘要
本發明公開了一種媒體訪問控制MAC地址保護方法和交換機，其中該方法包括二層環網上的交換機獲取所述二層環網的網絡拓撲信息，所述二層環網的網絡拓撲信息包括被保護設備的保護MAC地址及所述二層環網上的各個交換機的標識，所述保護MAC地址為所述被保護設備的MAC地址；所述二層環網上的交換機確定被保護設備的保護MAC地址在自身的出接口，根據所述保護MAC地址對應的MAC表項的出接口，更新本地存儲的MAC表項的出接口。本發明實施例將被保護設備的MAC地址作為保護MAC地址，在二層環網拓撲變化時，可以同步更新該保護MAC地址對應的MAC表項的出接口，保證被保護設備可以正確收發報文，以適應二層環網的拓撲變化。
文檔編號H04L29/12GK102301662SQ201180000937
公開日2011年12月28日 申請日期2011年6月27日 優先權日2011年6月27日
發明者譚兆遠 申請人:華為技術有限公司