午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法

文檔序號:7957328閱讀:247來源:國知局
專利名稱:在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種通訊方法,具體說,涉及一種在接入設(shè)備上防止介質(zhì) 訪問控制地址表擾亂的方法。
背景技術(shù)
寬帶接入網(wǎng)絡(luò)正在迅速從異步傳輸模式(ATM)技術(shù)向以太網(wǎng)技術(shù)進(jìn) 行遷移,整個接入?yún)R聚網(wǎng)絡(luò)的主要接入設(shè)備,從DSLAM到匯聚交換機(jī),都 是二層網(wǎng)絡(luò),這樣就帶來的一些安全問題。
MAC (Media Access Control,介質(zhì)訪問控制)地址是識別LAN (局域 網(wǎng))節(jié)點的標(biāo)識。網(wǎng)卡的物理地址通常是由網(wǎng)卡生產(chǎn)廠家燒入網(wǎng)卡的EPROM
(一種閃存芯片,通常可以通過程序擦寫),它存儲的是傳輸數(shù)據(jù)時真正賴 以標(biāo)識發(fā)出數(shù)據(jù)的電腦和接收數(shù)據(jù)的主機(jī)的地址。也就是說,在網(wǎng)絡(luò)底層的 物理傳輸過程中,是通過物理地址來識別主機(jī)的,它一般也是全球唯一的。 比如,著名的以太網(wǎng)卡,其物理地址是48bit (比特位)的整數(shù),如 44_45_53_54_00-00,以機(jī)器可讀的方式存入主機(jī)接口中。以太網(wǎng)地址管理機(jī)構(gòu)
(IEEE)將以太網(wǎng)地址,也就是48比特的不同組合,分為若干獨立的連續(xù) 地址組,生產(chǎn)以太網(wǎng)網(wǎng)卡的廠家就購買其中一組,具體生產(chǎn)時,逐個將唯一 地址賦予以太網(wǎng)卡。形象的說,MAC地址就如同我們身份證上的身份證號 碼,具有全球唯一性。
虛擬局域網(wǎng)(VLAN)不僅有利于網(wǎng)絡(luò)安全和防止網(wǎng)絡(luò)風(fēng)暴,而且可以 提高網(wǎng)絡(luò)運行的效率,第三層交換機(jī)的普及為VLAN的應(yīng)用創(chuàng)造了條件。 VLAN是由位于不同物理局域網(wǎng)段的設(shè)備組成,雖然VLAN所連接的設(shè)備 來自不同的網(wǎng)段,但是相互之間可以進(jìn)行直接通信。
接入設(shè)備的以太網(wǎng)交換芯片的二層介質(zhì)訪問控制(Media Access Control, MAC)地址轉(zhuǎn)發(fā)表,是交換芯片進(jìn)行數(shù)據(jù)包交換的核心數(shù)據(jù)表,
由于其MAC地址學(xué)習(xí) 一般沒有安全策略控制,當(dāng)具有同 一源MAC的數(shù)據(jù) 包從交換芯片不同端口進(jìn)入交換芯片的話,會造成MAC地址表頻繁遷移, 從而造成以這個MAC地址為目的MAC的數(shù)據(jù)包轉(zhuǎn)發(fā)混亂。在實際應(yīng)用中, 如果接入設(shè)備的用戶側(cè)端口來數(shù)據(jù)包是BRAS的MAC的地址,則會造成其 它用戶去寬帶遠(yuǎn)程接入服務(wù)器(BRAS)的數(shù)據(jù)包被錯誤轉(zhuǎn)發(fā)到這個用戶端 口上,造成業(yè)務(wù)中斷。
所以,在接入設(shè)備中給MAC地址表學(xué)習(xí)加入安全策略,防止MAC地 址表由于頻繁遷移而造成擾亂十分重要,但是現(xiàn)有技術(shù)沒有很好地解決這個問題。

發(fā)明內(nèi)容
本發(fā)明所解決的技術(shù)問題是提供一種在接入設(shè)備上防止介質(zhì)訪問控制 地址表擾亂的方法,保證接入設(shè)備的正確轉(zhuǎn)發(fā),提供業(yè)務(wù)的安全性和穩(wěn)定性。
技術(shù)方案如下
在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法包括如下步驟 (1 ) 數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口 MAC地址學(xué)習(xí); (2 ) MAC地址學(xué)習(xí)^t塊替換交換芯片的MAC地址學(xué)習(xí)功能;
(3) MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的 MAC地址學(xué)習(xí),建立一個合法的MAC地址表;
(4) 控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中,同時, 啟動老化過程,當(dāng)老化之后,刪除交換芯片的該MAC地址。
進(jìn)一步,步驟(3)中,所述MAC地址合法性檢查模塊內(nèi)部建立一個 綁定數(shù)據(jù)庫,實現(xiàn)MAC地址和合法端口的綁定。
進(jìn)一步,步驟(3)進(jìn)一步包括,不符合綁定關(guān)系的MAC地址表項認(rèn) 為是非法的。
進(jìn)一步,步驟(3)中,所述綁定數(shù)據(jù)庫中每個條目包括MAC地址、 VLAN、合法端口。
進(jìn)一步,步驟(3)中,綁定關(guān)系通過網(wǎng)管配置實現(xiàn)。
進(jìn)一步,綁定關(guān)系通過對協(xié)議的監(jiān)聽實現(xiàn)。
進(jìn)一步,步驟(3)中,所述協(xié)議為DHCP、 PPPOE或者ARP。
進(jìn)一步,步驟(3)具體為控制平面監(jiān)聽用戶的DHCP、 PPPOE或者 ARP, MAC地址合法性檢查模塊建立用戶MAC、用戶VLAN、用戶端口的 綁定數(shù)據(jù)庫;當(dāng)新用戶MAC地址學(xué)習(xí)時,通過用戶MAC和用戶VLAN檢 查綁定數(shù)據(jù)庫,然后判斷綁定數(shù)據(jù)庫中的用戶端口和當(dāng)前端口是否一致,當(dāng) 一致時該MAC地址合法,當(dāng)不一致時該MAC地址非法。
本發(fā)明解決了接入設(shè)備的以太網(wǎng)交換核心的MAC地址表容易受到攻擊 而擾亂的問題,保證了接入設(shè)備的正確轉(zhuǎn)發(fā),提供業(yè)務(wù)的安全性和穩(wěn)定性。 由于交換芯片都是靜態(tài)MAC地址,把交換芯片不安全的MAC地址學(xué)習(xí)功 能轉(zhuǎn)變成控制平面的安全的MAC地址學(xué)習(xí),從而杜絕了由于源MAC攻擊 造成的MAC地址表擾亂。由于現(xiàn)在業(yè)界交換芯片的MAC地址學(xué)習(xí)都是沒 有安全控制的,本發(fā)明有一定普遍性。


圖1是接入設(shè)備防止MAC地址表擾亂的系統(tǒng)結(jié)構(gòu)框圖。
具體實施例方式
接入設(shè)備分成控制平面和數(shù)據(jù)平面兩個組成部分。控制平面以CPU為 核心,用于協(xié)議和網(wǎng)管處理;數(shù)據(jù)平面以以太網(wǎng)交換芯片為核心,用戶正常 數(shù)據(jù)轉(zhuǎn)發(fā)。
下面參照圖l對本發(fā)明的優(yōu)選實施例作詳細(xì)描述。
以交換芯片為核心的數(shù)據(jù)平面,需要關(guān)閉MAC地址學(xué)習(xí)功能,所有 MAC地址學(xué)習(xí)由控制平面的MAC地址學(xué)習(xí)模塊使用靜態(tài)MAC地址的方式 手工設(shè)定,MAC地址的老化也是由MAC地址學(xué)習(xí)模塊進(jìn)行控制。
控制平面包括MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊兩個組 成部分。MAC地址學(xué)習(xí)模塊的主要工作就是替換交換芯片的無策略的MAC 地址學(xué)習(xí)功能,通過和MAC地址合法性檢查模塊一起,過濾不合法的MAC 地址學(xué)習(xí),建立一個合法的MAC地址表,同時完成把這些表項作為靜態(tài) MAC地址設(shè)置到數(shù)據(jù)平面的交換芯片中;同時完成MAC地址的老化,當(dāng) MAC地址表老化之后,直接從交換芯片中刪除這個表項。MAC地址合法性 檢查模塊內(nèi)部建立了一個綁定數(shù)據(jù)庫,實現(xiàn)了 MAC地址和合法端口的綁定, 不符合綁定關(guān)系的MAC地址表項都認(rèn)為是非法的。綁定數(shù)據(jù)庫中每個條目 包括MAC地址、VLAN、合法端口。這個綁定關(guān)系可以通過不同手段實現(xiàn), 例如可以通過網(wǎng)管配置實現(xiàn),或者通過對協(xié)議,如DHCP、 PPPOE、 ARP等 的監(jiān)聽實現(xiàn)。
具體的工作過程如下
在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法包括如下步驟
(1) 數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口 MAC地址學(xué)習(xí)。
(2) MAC地址學(xué)習(xí)模塊替換交換芯片的MAC地址學(xué)習(xí)功能。
數(shù)據(jù)平面中的交換芯片對于網(wǎng)絡(luò)側(cè)端口 MAC地址學(xué)習(xí)關(guān)閉,因為根據(jù) 網(wǎng)絡(luò)規(guī)劃,其BRAS的MAC地址是已知的;對于用戶側(cè)端口 , MAC地址 學(xué)習(xí)采用CPU學(xué)習(xí)方式,交給控制平面的MAC地址學(xué)習(xí)模塊處理。
(3) MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的MAC 地址學(xué)習(xí),建立一個合法的MAC地址表;
MAC地址合法性檢查模塊內(nèi)部建立綁定數(shù)據(jù)庫,實現(xiàn)MAC地址和合 法端口的綁定,綁定關(guān)系通過網(wǎng)管配置實現(xiàn),或者綁定關(guān)系通過對協(xié)議的監(jiān) 聽實現(xiàn)。綁定數(shù)據(jù)庫存儲有用戶IP、用戶MAC、 VLAN、用戶端口綁定信 息等內(nèi)容,綁定數(shù)據(jù)庫中每個條目包括MAC地址、VLAN、合法端口。協(xié) 議為DHCP、 PPPOE或者ARP。
控制平面監(jiān)聽用戶的DHCP、 PPPOE或者ARP, MAC地址合法性檢查 模塊建立用戶MAC、用戶VLAN、用戶端口的綁定數(shù)據(jù)庫。當(dāng)新用戶MAC 地址學(xué)習(xí)時,通過用戶MAC和用戶VLAN檢查綁定數(shù)據(jù)庫,然后判斷綁 定數(shù)據(jù)庫中的用戶端口和當(dāng)前端口是否一致,當(dāng)一致時該MAC地址合法, 當(dāng)不一致時該MAC地址非法,即不符合綁定關(guān)系的MAC地址表項認(rèn)為是
非法的。
(4)控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中,同時,啟
動老化過程,當(dāng)老化之后,就刪除交換芯片的該MAC地址。
權(quán)利要求
1、一種在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法,包括如下步驟(1)數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口MAC地址學(xué)習(xí);(2)MAC地址學(xué)習(xí)模塊替換交換芯片的MAC地址學(xué)習(xí)功能;(3)MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的MAC地址學(xué)習(xí),建立合法的MAC地址表;(4)控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中,同時,啟動老化過程,當(dāng)老化之后,刪除交換芯片的該MAC地址。
2、 根據(jù)權(quán)利要求1所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,步驟(3)中,所述MAC地址合法性檢查模塊內(nèi)部 建立綁定數(shù)據(jù)庫,實現(xiàn)MAC地址和合法端口的綁定。
3、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,步驟(3)進(jìn)一步包括,不符合綁定關(guān)系的MAC地 址表項認(rèn)為是非法的。
4、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,步驟(3)中,所述綁定數(shù)據(jù)庫中每個條目包括MAC 地址、VLAN、合法端口。
5、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,步驟(3)中,綁定關(guān)系通過網(wǎng)管配置實現(xiàn)。
6、 根據(jù)權(quán)利要求2所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,綁定關(guān)系通過對協(xié)議的監(jiān)聽實現(xiàn)。
7、 根據(jù)權(quán)利要求6所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,步驟(3)中,所述協(xié)議為DHCP、 PPPOE或者ARP。
8、沖艮據(jù)權(quán)利要求7所述的在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂 的方法,其特征在于,步驟(3)具體為控制平面監(jiān)聽用戶的DHCP、 PPPOE 或者ARP, MAC地址合法性4企查才莫塊建立用戶MAC、用戶VLAN、用戶 端口的綁定數(shù)據(jù)庫;當(dāng)新用戶MAC地址學(xué)習(xí)時,通過用戶MAC和用戶 VLAN檢查綁定數(shù)據(jù)庫,然后判斷綁定數(shù)據(jù)庫中的用戶端口和當(dāng)前端口是否 一致,當(dāng)一致時該MAC地址合法,當(dāng)不一致時該MAC i也址非法。
全文摘要
本發(fā)明公開了一種在接入設(shè)備上防止介質(zhì)訪問控制地址表擾亂的方法,包括如下步驟數(shù)據(jù)平面中的交換芯片關(guān)閉網(wǎng)絡(luò)側(cè)端口MAC地址學(xué)習(xí);MAC地址學(xué)習(xí)模塊替換交換芯片的MAC地址學(xué)習(xí)功能;MAC地址學(xué)習(xí)模塊和MAC地址合法性檢查模塊過濾不合法的MAC地址學(xué)習(xí),建立一個合法的MAC地址表;控制平面將新學(xué)習(xí)的合法MAC地址表設(shè)置到交換芯片中,同時,啟動老化過程,當(dāng)老化之后,刪除交換芯片的該MAC地址。由于交換芯片都是靜態(tài)MAC地址,把交換芯片不安全的MAC地址學(xué)習(xí)功能轉(zhuǎn)變成控制平面的安全的MAC地址學(xué)習(xí),從而杜絕了由于源MAC攻擊造成的MAC地址表擾亂。
文檔編號H04L29/06GK101098291SQ20061006138
公開日2008年1月2日 申請日期2006年6月29日 優(yōu)先權(quán)日2006年6月29日
發(fā)明者陳愛民 申請人:中興通訊股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1