CN101043330B - 一种防mac地址仿冒的装置及方法 - Google Patents
一种防mac地址仿冒的装置及方法 Download PDFInfo
- Publication number
- CN101043330B CN101043330B CN2006100612925A CN200610061292A CN101043330B CN 101043330 B CN101043330 B CN 101043330B CN 2006100612925 A CN2006100612925 A CN 2006100612925A CN 200610061292 A CN200610061292 A CN 200610061292A CN 101043330 B CN101043330 B CN 101043330B
- Authority
- CN
- China
- Prior art keywords
- smac
- mac
- message
- mac address
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种防MAC地址仿冒处理方法及装置,包括MAC地址管理模块,内置MAC地址表用于存储用户侧及网络侧报文的SMAC,以及MAC+VLAN表。所述用户侧报文的SMAC与MAC地址表进行匹配比较,若没有重复的MAC则转发该报文,并将SMAC+VLAN配置到MAC+VLAN表中,若有重复则丢弃该报文。所述网络侧报文的SMAC与MAC地址表进行匹配比较,若没有重复MAC则将该SMAC配置到所述MAC地址表,若有重复MAC,则将网络侧报文的DMAC+VLAN与MAC+VLAN表中已有的用户侧报文的SMAC+VLAN进行匹配比较,若有匹配表现则转发该报文,若没有则丢弃该报文或VLAN内广播。
Description
技术领域
本发明涉及通信领域,特别涉及一种接入设备上防MAC地址仿冒的装置及方法。
背景技术
接入设备的发展从ATM到IP的演进是当今业界的一种趋势,在ATM向IP迁移过程中,设备组网形态也发生变化,如今比较流行的接入Internet的方式是把主机通过局域网组织在一起,然后再通过交换机和Internet相连接。这样一来就出现了如何区分具体用户,防止盗用的问题。标识网络中的一台计算机,一般至少有三种方法,最常用的是域名地址、IP地址和MAC(介质访问控制)地址,分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理,但由于一台计算机的IP地址可以由用户自行设定,管理起来相对困难,而MAC地址则不然,它是固化在网卡里面的。从理论上讲,除非盗来硬件(网卡),否则是没有办法冒名顶替的。
基于MAC地址的这种特点,局域网采用了用MAC地址来标识具体用户的方法,即基于MAC地址划分VLAN(虚拟局域网)的机制。基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则端口2属于VLAN10。这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。在报文转发时采用VLAN+MAC一起查表,这样即使MAC是一样的,由于VLAN不同,两个用户也是无法互相影响,但是当网络侧MAC被用户仿冒并发到IP接入设备和上层的二层网络上时,会导致MAC+VLAN的学习和转发陷入混乱,导致大量用户业务中断;而用户MAC地址仿冒会导致该用户业务全部转发到仿冒的用户上,导致用户业务中断甚至信息泄漏。
MAC仿冒情况分为用户主动仿冒和组网错误导致的两种情况,用户主动仿冒就是用户模拟网络侧设备或者用户的MAC地址作为自己的SMAC地址(源MAC地址),发送以太网报文到IP接入设备和以太网络上,导致网络瘫痪;组网错误一种最典型情况就是用户侧CPE(用户驻地设备)端组成一个环网,将网络侧发给用户的报文直接环回发送到网络上,此时一样会导致网络问题;从网络上来看,两种仿冒结果基本一样,所以处理的方法也是基本一样。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于对用户侧及网络侧MAC地址管理和认证来实现防MAC地址仿冒的实现方法及装置。
为实现上述目的,本发明提供了一种IP接入设备上防MAC仿冒处理装置,该装置包括:
MAC地址管理模块,所述MAC地址管理模块设置MAC地址表用于存储用户侧及网络侧报文的SMAC,以及MAC+VLAN表用于写入用户侧报文的SMAC+VLAN,并为网络侧报文的DMAC+VLAN提供查表依据;
所述装置还包括报文转发控制模块用于控制用户侧报文的处理,接收用户侧报文后通过该报文的连接判断该报文是否已送MAC地址管理模块进行SMAC认证,将用户侧报文的SMAC与MAC地址管理模块中的MAC地址表进行比较,若有重复MAC则丢弃该报文,若没有则认为该报文合法并转发该报文;且将合法报文的SMAC配置到MAC地址管理模块的MAC表中,并将该报文的SMAC+VLAN写入MAC地址管理模块的MAC+VLAN表中作为网络侧报文DMAC+VLAN的查表依据;
所述装置还包括SMAC检查模块用于将已认证报文的SMAC与其配置的合法SMAC进行比较,如果一致则转发该报文,若不一致则直接丢弃;
所述装置还包括MAC协议处理模块,用于将网络侧报文的SMAC上报给MAC地址管理模块,以及将网络侧报文的DMAC+VLAN上报MAC地址管理模块进行查表转发;所述网络侧报文的SMAC送MAC地址管理模块与已有的MAC表进行比较,若没有重复MAC则将所述SMAC添加到该MAC表中;若有重复MAC则将报文中的DMAC+VLAN查找MAC地址管理模块的MAC+VLAN表中已有的用户侧SMAC+VLAN,若有匹配表现,则转发该报文,若没有则丢弃该报文或VLAN内广播。
本发明提出了一种在接入设备上解决MAC地址仿冒的技术,通过对所有用户侧及网络侧MAC地址的管理及检查来保证用户侧及网络侧MAC地址的合法性;通过此技术可以解决用户制作假MAC地址攻击和用户侧组环网导致的MAC地址仿冒,并进一步防止MAC地址仿冒导致的业务中断、网络瘫痪、转发混乱和信息泄漏等网络安全问题;而且在整个组网是二层或者三层设备时不受影响,对VLAN的分配也没有限制。
附图说明
图1是本发明接入设备防MAC仿冒处理框图。
图2是本发明从用户侧到网络侧防MAC仿冒处理流程图。
图3是本发明从网络侧到用户侧防MAC仿冒处理流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明的核心思想为:在IP接入设备防MAC(介质访问控制)地址仿冒的处理装置上设置一MAC地址管理模块用于对从用户侧或网络侧接收报文中的MAC地址进行认证及管理,对不符合要求的报文直接丢弃,对符合要求的报文进行转发,实现MAC地址的合法性。
图1为本发明IP接入设备防MAC地址仿冒处理框图,本发明将IP接入设备防MAC仿冒处理分为两个方向,从用户侧到网络侧为上行,从网络侧到用户侧为下行。本发明防MAC地址仿冒处理装置主要涉及四个模块:报文转发控制模块1、SMAC检查模块2、MAC地址管理模块3及MAC协议处理模块4。上述四个模块功能如下:
报文转发控制模块1:用于控制用户上行报文的处理;
SMAC检查模块2:用于将从用户侧接收到的报文的SMAC与其内置合法SMAC表进行比较;
MAC地址管理模块3:是将上下行业务联系在一起的模块,用于将用户侧或网络侧接收报文的MAC进行认证,内置两个表,一个是已有MAC表,存储所有用户侧和网络侧已接收报文的SMAC;另一个是VLAN+MAC的转发表,这是二层转发必须的表项。
MAC协议处理模块4:接收网络侧以太网报文,将报文中的SMAC上报给MAC地址管理模块,同时将DMAC(目标MAC)+VLAN送MAC地址管理模块3做二层转发查表。
其中需要特别指出的是:所述从用户侧接收到报文的SMAC与从网络侧接收到报文的DMAC一致,均指的是用户侧设备MAC地址。
请参照图2所示,图2为上行防MAC地址仿冒处理流程,其步骤如下:
Step1:报文转发控制模块1接收用户报文后根据此报文的连接(端口或者ATM的PVC(永久虚拟通道)信息等)判断此用户是否已经有报文送MAC地址管理模块3进行过SMAC认证,如果没有认证过,则进入步骤2;若认证过,则进入步骤3;
Step2:MAC地址管理模块3接收需要认证的报文,将该报文中的SMAC与其内置的MAC表进行匹配比较,如果有重复的MAC则认为从该端口上来的报文中的SMAC非法,丢弃该报文不作其他处理;如果没有重复的MAC,则认为该报文中的SMAC合法,并进入步骤4;
Step3:将已认证的报文送至SMAC检查模块2,SMAC检查模块2接收报文后,将该报文中的SMAC与其内置的该连接的合法SMAC进行比较,如果一致则认为是合法报文转发出去,不一致则直接丢弃。
Step4:修改报文转发控制模块1连接的配置为已认证,将SMAC配置到SMAC检查模块2添加作为该连接合法SMAC,将SMAC添加到MAC地址管理模块3中已有MAC表中,并将VLAN+SMAC配置到VLAN+MAC转发表作为下行转发查表依据。
请参照图3所示,图3为下行防MAC仿冒处理流程,其步骤如下:
Step1:MAC协议处理模块4接收网络侧以太网报文,将该报文中的SMAC上报(上报可以理解为主动上报,也可以理解为MAC地址管理模块3的查询处理信息)给MAC地址管理模块3,同时将DMAC+VLAN送MAC地址管理模块3做二层转发查表;
Step2:MAC地址管理模块3将网络侧接收到的报文中的SMAC与其内置MAC地址表比较,若没有重复MAC,则将该SMAC添加到已有MAC表中,作为MAC认证依据;若有重复MAC,则进入步骤3;
Step3:MAC地址管理模块3将DMAC+VLAN与其内置的已有的SMAC+VLAN进行匹配比较,查找对应下行转发连接,若有匹配表现,返回MAC协议处理模块4匹配连接结果,并根据连接结果转发报文;若没有,则返回MAC协议处理模块4无匹配连接结果,并丢弃报文或VLAN内广播处理。
本发明基于对用户MAC的管理认证来实现对用户MAC合法性的判断,整个模块划分是基于逻辑模块功能划分的,不一定是实际实现的模块划分形式。
本发明通过对MAC地址的管理和认证这样一种方法,解决了用户侧组环网导致MAC环回的问题,同时解决了用户仿冒网络或者其他用户MAC的问题,解决了二层组网时的MAC类攻击导致的安全问题,而且不需要使用其他资源如VLAN来帮助实现,实现代价小。另外,本发明实现机制简单,可以应用在各种二层组网设备上,并且不需要耗费其他资源就可以实现。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (8)
1.一种防介质访问控制MAC地址仿冒处理装置,其特征在于包括:
MAC地址管理模块,所述MAC地址管理模块设置MAC地址表用于存储用户侧及网络侧报文的源MAC地址SMAC,并对用户侧及网络侧报文的SMAC进行匹配比较;以及MAC+虚拟局域网VLAN表用于写入用户侧报文的SMAC+VLAN,并为网络侧报文的目标MAC地址DMAC+VLAN提供查表依据;
报文转发控制模块,用于控制用户侧报文的处理,接收用户侧报文后通过该报文的连接判断该报文是否已送MAC地址管理模块进行SMAC认证;
SMAC检查模块,用于将已认证报文的SMAC与其配置的合法SMAC进行比较,如果一致则转发该报文,若不一致则直接丢弃;
MAC协议处理模块,用于将网络侧报文的SMAC上报给MAC地址管理模块,以及将网络侧报文的DMAC+VLAN上报MAC地址管理模块进行查表转发。
2.如权利要求1所述的一种防MAC仿冒处理装置,其特征在于:所述用户侧报文送MAC地址管理模块进行SMAC认证,将用户侧报文的SMAC与MAC地址管理模块中的MAC地址表进行比较,若有重复MAC则丢弃该报文,若没有则认为该报文合法并转发该报文。
3.如权利要求2所述的一种防MAC仿冒处理装置,其特征在于:将合法报文的SMAC配置到MAC地址管理模块的MAC表中,并将该报文的SMAC+VLAN写入MAC地址管理模块的MAC+VLAN表中作为网络侧报文DMAC+VLAN的查表依据。
4.如权利要求1所述的一种防MAC仿冒处理装置,其特征在于所述网络侧报文的SMAC送MAC地址管理模块与已有的MAC表进行比较,若没有重复MAC则将所述SMAC添加到该MAC表中;若有重复MAC则将报文中的DMAC+VLAN查找MAC地址管理模块的MAC+VLAN表中已有的用户侧报文的SMAC+VLAN,若有匹配表现,则转发该报文,若没有则丢弃该报文或VLAN内广播。
5.如权利要求1或3或4所述的一种防MAC仿冒处理装置,其特征在于所述用户侧的SMAC与网络侧的DMAC均为用户侧设备MAC地址。
6.一种防介质访问控制MAC地址仿冒处理方法,其特征在于,包括以下步骤:
a:报文转发控制模块判断接收到的用户侧报文是否经过源MAC地址SMAC认证,若认证过,进入步骤c,若没有,进入步骤b;
b:将该报文中的SMAC与MAC地址管理模块中已有MAC地址表进行匹配比较,如果有重复的MAC则认为该SMAC非法,丢弃报文;如果没有重复的MAC,则认为该SMAC合法,转发该报文并将该SMAC配置到已有MAC地址表;
c:将已认证报文中的SMAC与SMAC检查模块中配置的合法SMAC进行比较,如果一致则认为是合法报文转发出去,不一致则直接丢弃。
7.如权利要求6所述的一种防MAC仿冒处理方法,其特征在于,所述步骤b中的将所述SMAC配置到已有MAC地址表具体包括:修改报文转发控制模块连接的配置为已认证,将SMAC配置到SMAC检查模块中作为连接合法的SMAC,将SMAC添加到MAC地址管理模块已有MAC表中,并将VLAN+SMAC配置到VLAN+MAC转发表作为下行转发查表依据。
8.一种防介质访问控制MAC地址仿冒处理方法,其特征在于,包括以下步骤:
a:将从网络侧接收到的报文的源MAC地址SMAC与已有的MAC地址表进行比较,若有重复的MAC,则进入步骤b,若没有,则将该SMAC配置到已有的MAC地址表中;
b:将网络侧报文的目标MAC地址DMAC+虚拟局域网VLAN与已有的MAC+VLAN表进行比较,若有匹配表现,则转发该报文,若没有则丢弃该报文或在虚拟局域网VLAN内广播。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100612925A CN101043330B (zh) | 2006-06-22 | 2006-06-22 | 一种防mac地址仿冒的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100612925A CN101043330B (zh) | 2006-06-22 | 2006-06-22 | 一种防mac地址仿冒的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101043330A CN101043330A (zh) | 2007-09-26 |
| CN101043330B true CN101043330B (zh) | 2010-08-25 |
Family
ID=38808565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100612925A Expired - Fee Related CN101043330B (zh) | 2006-06-22 | 2006-06-22 | 一种防mac地址仿冒的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101043330B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340445B (zh) * | 2008-08-22 | 2011-05-11 | 中兴通讯股份有限公司 | 一种为mac地址重复用户提供服务的方法及装置 |
| CN101867578B (zh) * | 2010-05-27 | 2013-05-29 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| CN102055641A (zh) * | 2010-12-28 | 2011-05-11 | 华为技术有限公司 | 一种虚拟局域网的分配方法以及相关装置 |
| CN102983968B (zh) * | 2011-09-02 | 2017-03-22 | 深圳市快播科技有限公司 | 一种软件后台认证方法、认证服务器和终端 |
| CN106211163B (zh) * | 2016-07-29 | 2019-08-16 | Oppo广东移动通信有限公司 | 安全联网的方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0469812A1 (en) * | 1990-07-30 | 1992-02-05 | Digital Equipment Corporation | Detection of duplicate alias addresses |
| WO1998049620A1 (en) * | 1997-04-25 | 1998-11-05 | Symbios, Inc. | Redundant server failover in networked environment |
| CN1599369A (zh) * | 2003-09-16 | 2005-03-23 | 华为技术有限公司 | 物理地址转换装置及转换方法 |
-
2006
- 2006-06-22 CN CN2006100612925A patent/CN101043330B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0469812A1 (en) * | 1990-07-30 | 1992-02-05 | Digital Equipment Corporation | Detection of duplicate alias addresses |
| WO1998049620A1 (en) * | 1997-04-25 | 1998-11-05 | Symbios, Inc. | Redundant server failover in networked environment |
| CN1599369A (zh) * | 2003-09-16 | 2005-03-23 | 华为技术有限公司 | 物理地址转换装置及转换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043330A (zh) | 2007-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101047618B (zh) | 获取网络路径信息的方法和系统 | |
| CN1855873B (zh) | 用于实现高可用性虚拟局域网的方法和系统 | |
| CN101179603B (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
| US20160269421A1 (en) | Method for network security using statistical object identification | |
| CN101141304B (zh) | Acl规则的管理方法和设备 | |
| CN109644186A (zh) | 用于在两个终端之间经由多路径进行udp通信的方法 | |
| US20090245132A1 (en) | Dynamic vlan ip network entry | |
| CN1722707B (zh) | 用于在局域网交换机中保证通信的方法 | |
| CN104243472A (zh) | 具有mac表溢出保护的网络 | |
| CN101043330B (zh) | 一种防mac地址仿冒的装置及方法 | |
| CN102318291A (zh) | 一种业务流处理的方法、装置及系统 | |
| CN109474507B (zh) | 一种报文转发方法及装置 | |
| CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
| CN100452773C (zh) | 基于虚拟局域网的数据发送方法与装置 | |
| Chirillo | Hack attacks revealed: A complete reference with custom security hacking toolkit | |
| CN1553674A (zh) | 宽带接入服务器获取宽带用户接入端口号的方法 | |
| CN101159750B (zh) | 一种身份认证方法和装置 | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| CN101207475B (zh) | 一种网络系统的防止非授权连结方法 | |
| CN101399709B (zh) | 一种网络监控方法、装置和系统 | |
| CN110324330A (zh) | 一种实现互联网和公安内网数据传输的系统及方法 | |
| JP4202286B2 (ja) | Vpn接続制御方法及びシステム | |
| CN112367263A (zh) | 一种组播数据报文转发方法及设备 | |
| CN201571068U (zh) | 一种网络系统、保护管理装置 | |
| CN101753438A (zh) | 实现通道分离的路由器及其通道分离的传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100825 Termination date: 20190622 |