CN101110845A - 通过媒体接入控制地址学习控制设备接入以太网的方法 - Google Patents
通过媒体接入控制地址学习控制设备接入以太网的方法 Download PDFInfo
- Publication number
- CN101110845A CN101110845A CNA2006100994262A CN200610099426A CN101110845A CN 101110845 A CN101110845 A CN 101110845A CN A2006100994262 A CNA2006100994262 A CN A2006100994262A CN 200610099426 A CN200610099426 A CN 200610099426A CN 101110845 A CN101110845 A CN 101110845A
- Authority
- CN
- China
- Prior art keywords
- port
- mac address
- user
- access
- learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种控制设备接入以太网的方法,包括以下步骤:(a)获取允许接入的设备,即合法用户的MAC地址,在交换机上将这些MAC地址对应的端口配置成受限端口,建立受限端口与合法用户MAC地址之间的关联关系并保存;(b)设备接入交换机时,交换机通过这个设备发出的数据帧学习到该设备的MAC地址以及数据帧进入交换机的端口PORT;(c)在该端口PORT为受限端口且学习到的MAC地址是该端口对应的合法用户MAC地址之一时,阻止该用户接入。本发明不需增加新的设备,即可阻止非法设备的私自接入,以及私自改动网络和非法用户的网络攻击。
Description
技术领域
本发明涉及以太网通信技术,更具体的说,是一种用来实现在接入以太网交换机控制用户接入的方法。
背景技术
随着因特网的高速发展,以太网网络逐渐成为人们日常工作和生活中必不可少的工具,同时随着对以太网网络的使用越多,网络越来越大,管理网络也越来越难,在管理人员给用户建设好、调试好网络以后,防止用户私自接入和改动线路成为一个备受关注的问题。接入交换机一般来说比较简单,没有复杂的控制策略,功能简单,仅仅是通过学习数据帧的MAC(媒体接入控制)地址(MAC地址即在媒体接入层上使用的地址,也叫物理地址),通过学习形成的MAC地址表实现二层数据帧的转发。
以太网交换机形成MAC地址转发表的过程是:交换机在收到一个数据帧以后,先学习数据帧的源MAC地址以及数据帧所应属于的VLAN,以及数据帧进入交换机的物理端口PORT。按照这种方法就会形成一个表项:MAC+VLAN->PORT,经过学习各个端口下的各个设备的源MAC地址以后形成很多的这样的表项,这就是MAC地址表,那么在数据帧交换的时候就可以拿数据帧的目的MAC来查这些表项,将数据帧快速的转发到相应的端口。
现有技术中控制非法接入方法中,一种是需要交换机以外的设备来支持,如宽带认证服务器等,成本相当高,配置比较复杂,对于企业或者小型网络来说不太现实,另外一种方法是交换机支持如802.1X等认证协议,而简单的小的二层交换机一般不支持这些协议。同时,如果启用认证协议的话,还配置专门认证服务器,用户端需要安装指定的软件,这种方法物质成本和人力成本也比较高。而用户的需求可能是在已经拥有一个非常小的网络,并且在网络中合法用户比较固定,比较少的情况下,需要对某几个端口防止非法用户的加入,或者不希望有人在网络建设稳定成型后私自改动网络,造成其他问题。同时,在满足这种需求的情况下不希望增加新的设备和管理的复杂度。
发明内容
本发明要解决的技术问题是提供一种控制设备接入以太网的方法,不需增加新的设备,即可阻止非法设备的私自接入,以及私自改动网络和非法用户的网络攻击。
为解决以上技术问题,本发明提供了一种控制设备接入以太网的方法,该方法包括以下步骤:
(a)获取允许接入的设备,即合法用户的MAC地址,在交换机上将这些MAC地址对应的端口配置成受限端口,建立受限端口与合法用户MAC地址之间的关联关系并保存;
(b)设备接入交换机时,交换机通过这个设备发出的数据帧学习到该设备的MAC地址以及数据帧进入交换机的端口PORT;
(c)在该端口PORT为受限端口且学习到的MAC地址是该端口对应的合法用户MAC地址之一时,阻止该用户接入。
进一步地,上述方法还可具有以下特点:所述步骤(c)中,如所述端口PORT不是受限端口,将所述学习到的MAC地址正常写入MAC地址表,允许转发。
进一步地,上述方法还可具有以下特点:所述步骤(c)中,如所述端口PORT是受限端口,且所述学习到的MAC地址是该端口对应的合法用户MAC地址之一时,将所述学习到的MAC地址正常写入MAC地址表,允许转发。
进一步地,上述方法还可具有以下特点:所述步骤(c)阻止该用户接入时,是将所述学习到的MAC地址写到地址表中,并置上丢弃标志。
进一步地,上述方法还可具有以下特点:所述步骤(c)阻止该用户接入时,是将所述学习到的MAC地址所对应的端口写成其它端口,并且不允许该地址发生迁移。
进一步地,上述方法还可具有以下特点:所述学习到的MAC地址老化以后,再次重新学习时,重复以上步骤(a)~(c)。
与现有技术相比较,本发明通过接入交换机已经现有的技术简单的实现了控制端口下的用户的接入,不需要交换芯片支持其它的特殊控制策略,利用现有的交换芯片基本功能来实现,没有增加任何成本,没有影响交换机正常转发。本发明可以阻止非法设备的私自接入,以及私自改动网络和非法用户的网络攻击。
附图说明
图1是一个简单的网络模型示意图;
图2是本发明实施例通过MAC地址学习控制接入的流程图;
具体实施方式
本发明通过控制硬件MAC地址表的形成来控制接入交换机某个端口下固定合法用户的通信。
在以太网网络建立以后,在距离用户最近的用户接入交换机的某个端口下可能是一个或者几个网络设备,这几个网络设备是经过这台交换机的管理员认可的。
下面结合附图对本发明通过MAC地址学习控制接入的处理方法进行说明。
如图1所示,是一个简单的网络的示意图,在图中示出了一个小的有自治管理权限的网络,管理员需要控制这个区域内的用户的合法接入,但是没有虚线外其他网络的管理权限。在交换机A的端口1的集线器HUB下有两个合法用户PC1和PC2,端口2下有合法用户PC3。
为了控制在这两个端口下其他非法用户的加入,同时限制合法用户PC1、PC2、PC3不能更换到交换机的其他端口,如图2所示,需要进行以下步骤:
步骤201:获取允许接入的设备,即合法用户的MAC地址;
步骤202:在交换机上将这些MAC地址对应的交换机端口配置成受限端口,并建立受限端口与合法用户MAC地址列表(或简称为用户列表)之间的关联关系,交换机保存这些地址和交换机端口的信息;
步骤203:设备接入交换机时,交换机通过这个设备发出的数据帧学习到该设备的MAC地址以及数据帧进入交换机的端口PORT;
步骤204:交换机判断该端口PORT是否属于受限端口,如果属于受限端口,则执行步骤205,否则执行步骤206;
步骤205:继续查找该端口PORT对应的合法用户MAC地址列表中是否存在学习到的MAC地址,如果存在,执行步骤206,如果不存在,执行步骤207;
步骤206:将学习到的MAC地址正常写入MAC地址表,允许转发,结束;
步骤207:将学习到的MAC地址写到地址表中,置上丢弃标志,将该设备发出的数据帧或者到该设备的数据帧丢弃;或者将该MAC地址所对应的端口在硬件表中写成其它端口,使其不能正常转发,并且不允许该地址发生迁移,结束。这样本来要到达这个设备的数据帧,这个设备就收不到了,从而阻止了非法设备的接入。
如果地址老化以后再次重新学习时,重复以上步骤。
在以上的流程中,也可以先判断学习到的MAC地址是否存在于合法用户的MAC地址中,如果存在,再判断其对应的端口是否该MAC地址对应的受限端口。无论先后,在数据帧的接收端口为受限端口且学习到的MAC地址不在该端口对应的合法用户MAC地址中时,阻止该用户接入即可。
针对图1所示的网络,首先管理员需要在交换机A上配置端口1和端口2为受限端口,同时将用户PC1和PC2的MAC地址添加到端口1的合法用户列表中,将用户PC3的MAC地址添加到端口2的合法用户列表中。
以下分情形进行说明:
情形一:用户PC1发送数据帧
用户PCI发送数据帧,交换机A的端口1学习到用户PC1的MAC地址,交换机首先判断出端口1是受限端口,需要进行认证,并在端口1的合法用户列表中查到这个地址,则将该MAC地址正常写入MAC地址表,允许转发该地址的数据帧,即允许PC1接入以太网。
情形二:非法用户PC4加入HUB
某一时刻交换机A的端口1学习到非法用户PC4的MAC地址,交换机首先判断出端口1是受限端口,需要进行认证,因为无法在端口1的合法用户MAC地址列表中查到这个地址,则将这个地址重新写入地址表,并且设置成丢弃,不允许该用户的数据流通过。
情形三:合法用户PC3私自改动网络
合法用户PC3私自改动网络,将自己连接到HUB下面,当交换机A学习到了用户PC3的MAC地址以后,因端口1为受限端口,需要拿PC3的MAC地址到端口1的合法用户列表中查找,根据配置查不到,则认为PC3不是端口1的合法用户,则将这个地址重新写入地址表,并且设置成丢弃,不允许该用户的数据流通过。
综上所述,本发明通过接入交换机已经现有的技术简单的实现了控制端口下的用户的接入,不需要交换芯片支持其它的特殊控制策略,利用现有的交换芯片基本功能来实现,没有增加任何成本,没有影响交换机正常转发。本发明可以阻止非法设备的私自接入,以及私自改动网络和非法用户的网络攻击。
Claims (6)
1.一种控制设备接入以太网的方法,该方法包括以下步骤:
(a)获取允许接入的设备,即合法用户的MAC地址,在交换机上将这些MAC地址对应的端口配置成受限端口,建立受限端口与合法用户MAC地址之间的关联关系并保存;
(b)设备接入交换机时,交换机通过这个设备发出的数据帧学习到该设备的MAC地址以及数据帧进入交换机的端口PORT;
(c)在该端口PORT为受限端口且学习到的MAC地址是该端口对应的合法用户MAC地址之一时,阻止该用户接入。
2.如权利要求1所述的方法,其特征在于:所述步骤(c)中,如所述端口PORT不是受限端口,将所述学习到的MAC地址正常写入MAC地址表,允许转发。
3.如权利要求1或2所述的方法,其特征在于:所述步骤(c)中,如所述端口PORT是受限端口,且所述学习到的MAC地址是该端口对应的合法用户MAC地址之一时,将所述学习到的MAC地址正常写入MAC地址表,允许转发。
4.如权利要求1所述的方法,其特征在于:所述步骤(c)阻止该用户接入时,是将所述学习到的MAC地址写到地址表中,并置上丢弃标志。
5.如权利要求1所述的方法,其特征在于:所述步骤(c)阻止该用户接入时,是将所述学习到的MAC地址所对应的端口写成其它端口,并且不允许该地址发生迁移。
6.如权利要求1所述的方法,其特征在于:所述学习到的MAC地址老化以后,再次重新学习时,重复以上步骤(a)~(c)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006100994262A CN101110845A (zh) | 2006-07-18 | 2006-07-18 | 通过媒体接入控制地址学习控制设备接入以太网的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006100994262A CN101110845A (zh) | 2006-07-18 | 2006-07-18 | 通过媒体接入控制地址学习控制设备接入以太网的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101110845A true CN101110845A (zh) | 2008-01-23 |
Family
ID=39042732
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006100994262A Pending CN101110845A (zh) | 2006-07-18 | 2006-07-18 | 通过媒体接入控制地址学习控制设备接入以太网的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101110845A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101646182A (zh) * | 2008-03-28 | 2010-02-10 | 特克特朗尼克公司 | 用于自动检测utran拓扑的系统和方法 |
CN102333094A (zh) * | 2011-10-12 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN101635731B (zh) * | 2009-08-31 | 2012-09-05 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
CN102684897A (zh) * | 2011-03-14 | 2012-09-19 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
CN101599889B (zh) * | 2008-06-06 | 2013-01-16 | 中兴通讯股份有限公司 | 一种以太网交换设备中防止mac地址欺骗的方法 |
CN102684897B (zh) * | 2011-03-14 | 2016-12-14 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
CN114124900A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种定位私接小路由设备的方法及装置 |
-
2006
- 2006-07-18 CN CNA2006100994262A patent/CN101110845A/zh active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101646182A (zh) * | 2008-03-28 | 2010-02-10 | 特克特朗尼克公司 | 用于自动检测utran拓扑的系统和方法 |
CN101646182B (zh) * | 2008-03-28 | 2013-08-28 | 特克特朗尼克公司 | 用于自动检测utran拓扑的系统和方法 |
CN101599889B (zh) * | 2008-06-06 | 2013-01-16 | 中兴通讯股份有限公司 | 一种以太网交换设备中防止mac地址欺骗的方法 |
CN101635731B (zh) * | 2009-08-31 | 2012-09-05 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
CN102684897A (zh) * | 2011-03-14 | 2012-09-19 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
CN102684897B (zh) * | 2011-03-14 | 2016-12-14 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
CN102333094A (zh) * | 2011-10-12 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN102333094B (zh) * | 2011-10-12 | 2014-10-29 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN114124900A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种定位私接小路由设备的方法及装置 |
CN114124900B (zh) * | 2021-11-03 | 2023-08-01 | 中盈优创资讯科技有限公司 | 一种定位私接小路由设备的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
CN101911648B (zh) | 促进对mac表溢出攻击的防御方法和以太网交换机 | |
CN100364291C (zh) | 用于桥接以太网住宅接入网络的体系结构 | |
CN106131167A (zh) | 用于管理物联网用户和设备的方法和系统 | |
CN100496038C (zh) | 远程大规模多用户并发控制的防火墙实验系统的实现方法 | |
Wendzel et al. | Cyber security of smart buildings | |
US20070064624A1 (en) | System and method for floating port configuration | |
CN104994065A (zh) | 基于软件定义网络的访问控制列表运行系统和方法 | |
CN101820344A (zh) | Aaa服务器、家庭网络接入方法和系统 | |
CN101110845A (zh) | 通过媒体接入控制地址学习控制设备接入以太网的方法 | |
CN101631080A (zh) | 基于epa协议的工业以太网交换机和报文转发方法 | |
CN109474507B (zh) | 一种报文转发方法及装置 | |
CN103039037A (zh) | 用于有效地管理电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 | |
CN101478485B (zh) | 局域网访问控制的方法以及网关设备 | |
CN104869125A (zh) | 基于sdn的动态防mac地址欺骗方法 | |
CN102916874B (zh) | 一种报文发送方法及设备 | |
CN101554016A (zh) | 在菊链连接设备中支持802.1x的装置和方法 | |
CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
CN105827628A (zh) | 一种基于软件定义网络的防源地址欺骗的方法 | |
JP2003244185A (ja) | Vlan及びvlanフレームスイッチング装置 | |
CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
CN201976140U (zh) | 思科环境下的网络准入控制系统 | |
CN100356725C (zh) | 一种网络设备的管理方法 | |
CN108449333A (zh) | 基于家庭信道安全通讯协议的智能家居系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20080123 |