CN101098291B - 在接入设备上防止介质访问控制地址表扰乱的方法 - Google Patents
在接入设备上防止介质访问控制地址表扰乱的方法 Download PDFInfo
- Publication number
- CN101098291B CN101098291B CN2006100613843A CN200610061384A CN101098291B CN 101098291 B CN101098291 B CN 101098291B CN 2006100613843 A CN2006100613843 A CN 2006100613843A CN 200610061384 A CN200610061384 A CN 200610061384A CN 101098291 B CN101098291 B CN 101098291B
- Authority
- CN
- China
- Prior art keywords
- mac address
- exchange chip
- access device
- mac
- address table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在接入设备上防止介质访问控制地址表扰乱的方法,包括如下步骤:数据平面中的交换芯片关闭网络侧端口MAC地址学习;MAC地址学习模块替换交换芯片的MAC地址学习功能;MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习,建立一个合法的MAC地址表;控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启动老化过程,当老化之后,删除交换芯片的该MAC地址。由于交换芯片都是静态MAC地址,把交换芯片不安全的MAC地址学习功能转变成控制平面的安全的MAC地址学习,从而杜绝了由于源MAC攻击造成的MAC地址表扰乱。
Description
技术领域
本发明涉及一种通讯方法,具体说,涉及一种在接入设备上防止介质访问控制地址表扰乱的方法。
背景技术
宽带接入网络正在迅速从异步传输模式(ATM)技术向以太网技术进行迁移,整个接入汇聚网络的主要接入设备,从DSLAM到汇聚交换机,都是二层网络,这样就带来的一些安全问题。
MAC(Media Access Control,介质访问控制)地址是识别LAN(局域网)节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。比如,著名的以太网卡,其物理地址是48bit(比特位)的整数,如:44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构(IEEE)将以太网地址,也就是48比特的不同组合,分为若干独立的连续地址组,生产以太网网卡的厂家就购买其中一组,具体生产时,逐个将唯一地址赋予以太网卡。形象的说,MAC地址就如同我们身份证上的身份证号码,具有全球唯一性。
虚拟局域网(VLAN)不仅有利于网络安全和防止网络风暴,而且可以提高网络运行的效率,第三层交换机的普及为VLAN的应用创造了条件。VLAN是由位于不同物理局域网段的设备组成,虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信。
接入设备的以太网交换芯片的二层介质访问控制(Media AccessControl,MAC)地址转发表,是交换芯片进行数据包交换的核心数据表,由于其MAC地址学习一般没有安全策略控制,当具有同一源MAC的数据包从交换芯片不同端口进入交换芯片的话,会造成MAC地址表频繁迁移,从而造成以这个MAC地址为目的MAC的数据包转发混乱。在实际应用中,如果接入设备的用户侧端口来数据包是BRAS的MAC的地址,则会造成其它用户去宽带远程接入服务器(BRAS)的数据包被错误转发到这个用户端口上,造成业务中断。
所以,在接入设备中给MAC地址表学习加入安全策略,防止MAC地址表由于频繁迁移而造成扰乱十分重要,但是现有技术没有很好地解决这个问题。
发明内容
本发明所解决的技术问题是提供一种在接入设备上防止介质访问控制地址表扰乱的方法,保证接入设备的正确转发,提供业务的安全性和稳定性。
技术方案如下:
在接入设备上防止介质访问控制地址表扰乱的方法包括如下步骤:
(1)数据平面中的交换芯片关闭网络侧端口MAC地址学习;
(2)控制平面包括MAC地址学习模块和MAC地址合法性检查模块两个组成部分,MAC地址学习模块替换交换芯片的MAC地址学习功能;
(3)MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习,建立一个合法的MAC地址表;
(4)控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启动老化过程,当老化之后,删除交换芯片的该MAC地址。
进一步,步骤(3)中,所述MAC地址合法性检查模块内部建立一个绑定数据库,实现MAC地址和合法端口的绑定。
进一步,步骤(3)进一步包括,不符合绑定关系的MAC地址表项认为是非法的。
进一步,步骤(3)中,所述绑定数据库中每个条目包括:MAC地址、VLAN、合法端口。
进一步,步骤(3)中,绑定关系通过网管配置实现。
进一步,绑定关系通过对协议的监听实现。
进一步,步骤(3)中,所述协议为DHCP、PPPOE或者ARP。
进一步,步骤(3)具体为:控制平面监听用户的DHCP、PPPOE或者ARP,MAC地址合法性检查模块建立用户MAC、用户VLAN、用户端口的绑定数据库;当新用户MAC地址学习时,通过用户MAC和用户VLAN检查绑定数据库,然后判断绑定数据库中的用户端口和当前端口是否一致,当一致时该MAC地址合法,当不一致时该MAC地址非法。
本发明解决了接入设备的以太网交换核心的MAC地址表容易受到攻击而扰乱的问题,保证了接入设备的正确转发,提供业务的安全性和稳定性。由于交换芯片都是静态MAC地址,把交换芯片不安全的MAC地址学习功能转变成控制平面的安全的MAC地址学习,从而杜绝了由于源MAC攻击造成的MAC地址表扰乱。由于现在业界交换芯片的MAC地址学习都是没有安全控制的,本发明有一定普遍性。
附图说明
图1是接入设备防止MAC地址表扰乱的系统结构框图。
具体实施方式
接入设备分成控制平面和数据平面两个组成部分。控制平面以CPU为核心,用于协议和网管处理;数据平面以以太网交换芯片为核心,用户正常数据转发。
下面参照图1对本发明的优选实施例作详细描述。
以交换芯片为核心的数据平面,需要关闭MAC地址学习功能,所有MAC地址学习由控制平面的MAC地址学习模块使用静态MAC地址的方式手工设定,MAC地址的老化也是由MAC地址学习模块进行控制。
控制平面包括MAC地址学习模块和MAC地址合法性检查模块两个组成部分。MAC地址学习模块的主要工作就是替换交换芯片的无策略的MAC地址学习功能,通过和MAC地址合法性检查模块一起,过滤不合法的MAC地址学习,建立一个合法的MAC地址表,同时完成把这些表项作为静态MAC地址设置到数据平面的交换芯片中;同时完成MAC地址的老化,当MAC地址表老化之后,直接从交换芯片中删除这个表项。MAC地址合法性检查模块内部建立了一个绑定数据库,实现了MAC地址和合法端口的绑定,不符合绑定关系的MAC地址表项都认为是非法的。绑定数据库中每个条目包括MAC地址、VLAN、合法端口。这个绑定关系可以通过不同手段实现,例如可以通过网管配置实现,或者通过对协议,如DHCP、PPPOE、ARP等的监听实现。
具体的工作过程如下:
在接入设备上防止介质访问控制地址表扰乱的方法包括如下步骤:
(1)数据平面中的交换芯片关闭网络侧端口MAC地址学习。
(2)MAC地址学习模块替换交换芯片的MAC地址学习功能。
数据平面中的交换芯片对于网络侧端口MAC地址学习关闭,因为根据网络规划,其BRAS的MAC地址是已知的;对于用户侧端口,MAC地址学习采用CPU学习方式,交给控制平面的MAC地址学习模块处理。
(3)MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习,建立一个合法的MAC地址表;
MAC地址合法性检查模块内部建立绑定数据库,实现MAC地址和合法端口的绑定,绑定关系通过网管配置实现,或者绑定关系通过对协议的监听实现。绑定数据库存储有用户IP、用户MAC、VLAN、用户端口绑定信息等内容,绑定数据库中每个条目包括MAC地址、VLAN、合法端口。协议为DHCP、PPPOE或者ARP。
控制平面监听用户的DHCP、PPPOE或者ARP,MAC地址合法性检查模块建立用户MAC、用户VLAN、用户端口的绑定数据库。当新用户MAC地址学习时,通过用户MAC和用户VLAN检查绑定数据库,然后判断绑定数据库中的用户端口和当前端口是否一致,当一致时该MAC地址合法,当不一致时该MAC地址非法,即不符合绑定关系的MAC地址表项认为是非法的。
(4)控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启动老化过程,当老化之后,就删除交换芯片的该MAC地址。
Claims (8)
1.一种在接入设备上防止介质访问控制地址表扰乱的方法,包括如下步骤:
(1)数据平面中的交换芯片关闭网络侧端口MAC地址学习;
(2)控制平面包括MAC地址学习模块和MAC地址合法性检查模块两个组成部分,MAC地址学习模块替换交换芯片的MAC地址学习功能;
(3)MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习,建立合法的MAC地址表;
(4)控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启动老化过程,当老化之后,删除交换芯片的该MAC地址。
2.根据权利要求1所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,步骤(3)中,所述MAC地址合法性检查模块内部建立绑定数据库,实现MAC地址和合法端口的绑定。
3.根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,步骤(3)进一步包括,不符合绑定关系的MAC地址表项认为是非法的。
4.根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,步骤(3)中,所述绑定数据库中每个条目包括:MAC地址、VLAN、合法端口。
5.根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,步骤(3)中,绑定关系通过网管配置实现。
6.根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,绑定关系通过对协议的监听实现。
7.根据权利要求6所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,步骤(3)中,所述协议为DHCP、PPPOE或者ARP。
8.根据权利要求7所述的在接入设备上防止介质访问控制地址表扰乱的方法,其特征在于,步骤(3)具体为:控制平面监听用户的DHCP、PPPOE或者ARP,MAC地址合法性检查模块建立用户MAC、用户VLAN、用户端口的绑定数据库;当新用户MAC地址学习时,通过用户MAC和用户VLAN检查绑定数据库,然后判断绑定数据库中的用户端口和当前端口是否一致,当一致时该MAC地址合法,当不一致时该MAC地址非法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100613843A CN101098291B (zh) | 2006-06-29 | 2006-06-29 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100613843A CN101098291B (zh) | 2006-06-29 | 2006-06-29 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101098291A CN101098291A (zh) | 2008-01-02 |
| CN101098291B true CN101098291B (zh) | 2010-04-14 |
Family
ID=39011819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100613843A Active CN101098291B (zh) | 2006-06-29 | 2006-06-29 | 在接入设备上防止介质访问控制地址表扰乱的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101098291B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764753A (zh) * | 2009-12-28 | 2010-06-30 | 中兴通讯股份有限公司 | 一种实现交换机端口mac地址防迁移的方法及装置 |
| CN102572000B (zh) * | 2010-12-31 | 2014-10-01 | 中国移动通信集团陕西有限公司 | 地址监控方法及装置 |
| CN102291320B (zh) | 2011-09-29 | 2015-03-18 | 杭州华三通信技术有限公司 | Mac地址学习方法和边缘设备 |
| CN104348758B (zh) * | 2013-07-30 | 2018-05-25 | 上海斐讯数据通信技术有限公司 | 交换机各芯片mac地址表保持一致的方法 |
| CN103457882A (zh) * | 2013-08-29 | 2013-12-18 | 国家电网公司 | 一种智能变电站中安全接入方法 |
| CN104038424B (zh) * | 2014-06-03 | 2018-02-09 | 新华三技术有限公司 | 一种下线报文的处理方法和设备 |
| CN104038566B (zh) * | 2014-06-12 | 2017-11-03 | 福建星网锐捷网络有限公司 | 一种虚拟交换设备地址学习的方法、装置及系统 |
| US9900247B2 (en) * | 2015-12-30 | 2018-02-20 | Juniper Networks, Inc. | Media access control address and internet protocol address binding proxy advertisement for network devices of a network |
| CN107547535B (zh) * | 2017-08-24 | 2021-01-01 | 新华三技术有限公司 | 防攻击的mac地址学习方法、装置和网络设备 |
| CN108429823B (zh) * | 2018-02-28 | 2021-06-29 | 迈普通信技术股份有限公司 | Dhcp网络中防止mac地址漂移的方法及交换设备 |
| CN108429687B (zh) * | 2018-05-31 | 2021-04-27 | 新华三技术有限公司 | 报文转发方法和装置 |
| CN110365811B (zh) * | 2019-07-22 | 2022-03-01 | 杭州迪普科技股份有限公司 | 一种mac地址学习限制方法、装置及设备 |
| CN112087534A (zh) * | 2020-09-12 | 2020-12-15 | 洪世协 | 一种简便可溯源无线路由器实现方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1521662A (zh) * | 2003-01-30 | 2004-08-18 | 烽火通信科技股份有限公司 | 以太网无源光网络系统动态过滤数据库的实现方法及装置 |
| CN1602015A (zh) * | 2003-09-25 | 2005-03-30 | 华为技术有限公司 | 数字用户线接入复用器的媒体访问控制地址学习方法 |
| CN1741499A (zh) * | 2005-09-13 | 2006-03-01 | 中兴通讯股份有限公司 | 一种基于mac学习的虚拟电路交换方法 |
| CN1866910A (zh) * | 2005-07-29 | 2006-11-22 | 华为技术有限公司 | 一种基于vlan的数据报文传输方法和以太网桥设备 |
-
2006
- 2006-06-29 CN CN2006100613843A patent/CN101098291B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1521662A (zh) * | 2003-01-30 | 2004-08-18 | 烽火通信科技股份有限公司 | 以太网无源光网络系统动态过滤数据库的实现方法及装置 |
| CN1602015A (zh) * | 2003-09-25 | 2005-03-30 | 华为技术有限公司 | 数字用户线接入复用器的媒体访问控制地址学习方法 |
| CN1866910A (zh) * | 2005-07-29 | 2006-11-22 | 华为技术有限公司 | 一种基于vlan的数据报文传输方法和以太网桥设备 |
| CN1741499A (zh) * | 2005-09-13 | 2006-03-01 | 中兴通讯股份有限公司 | 一种基于mac学习的虚拟电路交换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101098291A (zh) | 2008-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101098291B (zh) | 在接入设备上防止介质访问控制地址表扰乱的方法 | |
| CN103929376B (zh) | 一种基于交换机端口管理的终端准入控制方法 | |
| US9917845B2 (en) | Link discovery method and apparatus | |
| CN101990004B (zh) | 一种基于物联网家庭网关的虚拟id和虚拟ip分配方法 | |
| CN102238091B (zh) | 一种报文发送方法及接入控制器 | |
| CN103262486B (zh) | 用于在转发引擎中应用客户端关联的策略的方法和装置 | |
| EP3490197B1 (en) | Message forwarding | |
| CN107493297B (zh) | 一种VxLAN隧道接入认证的方法 | |
| CN102821023B (zh) | 一种vlan配置动态迁移的方法及装置 | |
| CN101848186B (zh) | 一种塑料光纤三层以太网交换机 | |
| CN103931144B (zh) | 一种在虚拟域中通信的方法、设备和系统 | |
| CN104767637B (zh) | 一种eoc终端配置的方法 | |
| CN105515992A (zh) | Vxlan网络中的流表项处理方法及装置 | |
| CN104144095A (zh) | 终端认证方法及交换机 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| CN101325554A (zh) | 一种路由创建方法、转发芯片及三层交换机 | |
| CN103716181A (zh) | 一种在网关设备路由模式下lan_wan虚拟通道的实现方法 | |
| US9825759B2 (en) | Secure service management in a communication network | |
| CN101267340B (zh) | 一种防序列号盗用认证方法 | |
| CN103227733B (zh) | 一种拓扑发现方法及系统 | |
| CN101159604B (zh) | 一种设置开放最短路径优先接口区域号的方法 | |
| CN107888467A (zh) | 基于pppoe的报文转发方法、装置、bras和交换机 | |
| CN112838993B (zh) | 一种实现mac vlan动态下发的方法 | |
| CN107017998B (zh) | 用于实现cgn柔性备份的方法和系统 | |
| CN102271061A (zh) | 一种确定ip安全虚拟专用网隧道数量的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |