CN101179509A - 基于点对点协议的mac地址与接入电路绑定方法和装置 - Google Patents
基于点对点协议的mac地址与接入电路绑定方法和装置 Download PDFInfo
- Publication number
- CN101179509A CN101179509A CNA2007101950393A CN200710195039A CN101179509A CN 101179509 A CN101179509 A CN 101179509A CN A2007101950393 A CNA2007101950393 A CN A2007101950393A CN 200710195039 A CN200710195039 A CN 200710195039A CN 101179509 A CN101179509 A CN 101179509A
- Authority
- CN
- China
- Prior art keywords
- binding
- circuit
- point
- mac address
- place
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种基于点对点协议的MAC地址与接入电路绑定方法,该方法包括:根据监听的PPP IPCP包建立MAC地址与接入电路的绑定关系,并设置绑定检查策略;根据绑定检查策略和绑定关系对上行数据包进行检查,并根据绑定检查结果确定数据包是否转发。本发明还公开了相应装置,该装置包括协议分析单元、分析处理单元和绑定检查单元。本发明通过将MAC地址与用户接入电路动态绑定,对接入电路接收的上行数据包进行绑定检查,如果没有对应的绑定关系,则丢弃,有效的阻拦非法地址对网络的攻击行为,同时,该装置结构简单,应用方便。
Description
技术领域
本发明涉及网络中的二层综合接入设备的通讯安全领域,特别是一种基于点对点协议(PPP,Point to Point Protocol)的介质访问控制(MAC,Media AccessControl)地址与接入电路绑定方法和装置。
背景技术
随着宽带接入业务的开展和普及,基于以太网的点对点协议(PPPoE,Pointto Point Protocol over Ethernet)成为一种主要的宽带接入方式。对于靠近用户的二层接入网络,网络情况复杂,存在多种多样的攻击行为。因此,对于靠近用户的二层综合接入设备,如接入网关(AG,Access Gateway)或数字用户线接入复用器(DSLAM,DigitalSubscriber Line Access Multiplexer),需要提供多种安全防护策略来应对各种网络攻击和非法访问。而对于地址欺骗,目前在综合接入设备上一般主要是通过MAC地址与端口静态绑定、网际协议地址(IP,Internet Protocol)与MAC地址静态绑定来实现。静态绑定的缺点是配置麻烦,不够灵活。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于PPP的MAC地址与接入电路绑定方法和装置,应用简单灵活,可以有效的应对网络中非法地址的欺骗。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于点对点协议的MAC地址与接入电路绑定方法,该方法包括:
A、根据监听的下行PPP IPCP包的信息,建立MAC地址与接入电路的绑定关系,并设置绑定检查策略;
B、根据绑定检查策略和绑定关系对上行数据包进行检查,并根据绑定检查结果对上行数据包进行处理。
所述绑定关系是用户的接入电路的槽位、端口、VLAN或PVC中的一个或多个与用户MAC地址关联。
所述绑定检查策略是对上行协议数据包进行绑定检查。
所述绑定检查策略是对上行协议数据包和上行协议控制包均进行绑定检查。
步骤B包括:
B11、判断上行数据包是协议控制包还是协议数据包,如果是协议控制包,则根据协议控制包类型进行处理,如果是协议数据包,则进入步骤B12;
B12、提取该协议数据包中的源MAC地址和接入电路信息,并判断是否符合绑定关联,如果是,则将协议数据包转发至相应设备;否则丢弃。
步骤B包括:
提取所有上行数据包的源MAC地址与接入电路信息,并判断是否符合绑定关联,如果是,则将上行数据包转发至相应设备;否则丢弃。
步骤B11包括,判断协议控制包是否为PADT包,如果不是,将该协议控制包直接上传至相应设备,否则,提取PADT包中MAC地址与接入电路信息,查找绑定检查单元,发现匹配的绑定关系条目,清除绑定关系并转发该PADT包。
该方法还包括,设置所绑定电路的流量周期,绑定检查时,符合绑定关系转发数据包时,更新流量信息,并周期性的读取绑定电路的流量信息,当所述接入电路的流量无变化,认为该用户已下线,解除绑定关系。
该方法还包括,设置绑定检查的命中次数周期,绑定检查时,符合绑定关系为命中一次,每次命中均将命中次数加1,并周期性的检查命中次数,当所述接入电路的命中次数无变化,认为该用户已下线,解除绑定关系。
一种基于点对点协议的MAC地址与接入电路绑定装置,该装置包括协议分析单元、分析处理单元和绑定检查单元,其中:
协议分析单元位于转发层面,用于对接收的数据包进行分析,识别协议控制包并转发至分析处理单元,并将上行的协议数据包转发至绑定检查单元进行绑定关联检查;
分析处理单元位于CPU控制层面,用于根据绑定检查策略转发或丢弃协议控制包;以及用于建立或解除绑定关系条目,并将该绑定条目信息同步至绑定检查单元;
绑定检查单元位于转发层面,用于根据存储的绑定关系对上行协议数据包进行绑定检查,根据检查结果确定转发还是丢弃。
本发明通过将MAC地址与用户接入电路动态绑定,对接入电路接收的上行数据包进行绑定检查,如果发现未设置对应的绑定关系,则丢弃,这样可以有效的阻止非法地址对网络的攻击行为,同时,该装置结构简单,应用方便。
附图说明
图1为本发明方法的流程图;
图2为本发明装置的示意图。
具体实施方式
本发明的主要思想是:在用户发起呼叫,建立PPP连接过程中,如果检测到呼叫成功,即有分配地址过程,则提取发送电路的信息和用户MAC地址,生成绑定关系表,数据转发过程中对上行数据包依据绑定关系进行转发,对没有对应绑定关系的用户数据包,则丢弃处理,绑定关系在用户下线或者被系统认为下线后解除,配置灵活。
下面具体的说明本发明的方法流程,如图1所示:
步骤1:监听PPP呼叫过程。
用户发起呼叫,与接入服务器交换PPP/PPPOE协议控制包,建立PPP连接。在此过程中,二层接入设备中的协议分析单元接收数据包后,将协议控制包,即以太网协议类型为0x8863,或以太网协议类型为0x8864且PPP协议类型不是0x0021的包,上送到CPU控制层面的分析处理单元处理。
步骤2:根据监听的下行协议控制包中的PPP IP控制(IPCP,IP ControlProtocol)包,建立MAC地址与电路的绑定关系,然后分别执行步骤3和步骤6。
分析处理单元将接收的协议控制包进行分析,将各类协议控制包转发到接入服务器。接入服务器对用户请求进行处理,返回信息。接入设备向用户发送的下行协议数据包中含有用于向用户分配地址的PPP IPCP包。分析处理单元发现PPP IPCP包后,提取PPP IPCP数据包的目的MAC地址(即用户MAC地址)和发送电路信息,即用户接入电路信息,包括槽位、端口、虚拟局域网(VLAN,Virtual Local Area Network)或永久虚拟电路(PVC,Permanent Virtual Circuit)等信息,生成MAC地址与接入电路绑定关系条目,并存储到转发层面的绑定检查单元;同时,设置绑定检查策略,即直接转发下行协议数据包,只检查上行协议数据包的绑定情况。
步骤3:判断上行数据包是否为协议控制包,如果是,则进入步骤5,否则进入步骤4。
根据用户发送的上行数据包中的信息,对协议控制包和协议数据包分别处理,根据步骤2设置的绑定策略,此处只对协议数据包进行绑定检查,而对协议控制包则不进行绑定检查,将其直接按需转发。
步骤4:判断协议数据包的源MAC地址是否符合绑定关联,如果是,转发该协议数据包,结束当前流程;否则丢弃该协议数据包,结束当前流程。
协议分析单元将上行数据包转发到绑定检查单元,绑定检查单元提取协议数据包的源MAC地址(即用户MAC地址)和接收电路(即用户接入电路),按MAC地址查找相应的绑定条目,如果有相应的条目,且MAC地址、电路信息都匹配,则该协议数据包为合法用户的数据包,将其转发至相应设备,同时更新该绑定条目的流量统计;否则该协议数据包为进行地址盗用的非法数据包,丢弃不予转发。
步骤5:判断是否为PPPOE主动发现停止包(PADT,PPPOE ActiveDiscovery Initiation),如果是,进入步骤7;否则,转发至相应设备。
PADT包表明PPPoE会话已经终止,可以在会话建立以后的任意时刻发送。因此,协议分析单元提取PPP/PPPOE协议控制包到CPU的分析处理单元,当发现是PADT包时,进入步骤7的处理后将PADT包转发至相应设备;否则,直接转发该协议控制包至相应设备。
步骤6:用户与接入设备PPPOE会话成功建立,对所绑定电路开始计算流量周期,流量周期到达时,分析处理单元定期读取绑定条目的流量信息,判断绑定电路的流量是否为0,如果是,说明在流量周期内该流量信息无变化,则认为用户已经离开,进入步骤7,否则,重新计算流量周期。
步骤7:解除MAC地址与接入电路的绑定关系。
CPU提取用户MAC地址(下行包为目的MAC地址,上行包为源MAC地址)和电路信息(下行包为发送电路,上行包为接收电路),查找绑定检查单元,发现有匹配的条目,则解除相应的绑定关系,并通知底层绑定检查单元清除相应的绑定条目。
以上方法中,还可以设置更严格的绑定检查,即对上行协议控制包、协议数据包转发时均进行绑定检查,其中,对上行协议控制包的检查过程由CPU的分析处理单元完成,当发现MAC地址绑定的接入电路已经发送过PPP请求,而新的PPP连接请求仍使用同一个MAC地址时,则将其上行协议控制包丢弃。步骤6中定期检查所绑定条目的流量信息也可以改为定期检查所绑定条目的命中次数,即绑定检查时,符合绑定关系为命中一次,每次命中均将次数加1,通过设定检查命中次数的周期,每个周期检查一次命中次数,当命中次数没有变化时,需要取消绑定关系。
采用以上方法,本发明还提供了相应的装置,位于宽带接入系统靠近用户的二层接入网络中,如图2所示,该装置包括协议分析单元、分析处理单元和绑定检查单元,其中:
协议分析单元位于转发层面,用于对接收的数据包进行分析,识别协议控制包并转发至分析处理单元,并将上行的协议数据包转发至绑定检查单元进行绑定关联检查;
分析处理单元位于CPU控制层面,用于根据绑定检查策略转发或丢弃协议控制包;以及用于建立或解除绑定关系条目,并将该绑定条目信息同步至绑定检查单元;
绑定检查单元位于转发层面,用于根据存储的绑定关系对上行协议数据包进行绑定检查,根据检查结果确定转发还是丢弃。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,该方法包括:
A、根据监听的下行PPP IPCP包的信息,建立MAC地址与接入电路的绑定关系,并设置绑定检查策略;
B、根据绑定检查策略和绑定关系对上行数据包进行检查,并根据绑定检查结果对上行数据包进行处理。
2.根据权利要求1所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,所述绑定关系是用户的接入电路的槽位、端口、VLAN或PVC中的一个或多个与用户MAC地址关联。
3.根据权利要求1所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,所述绑定检查策略是对上行协议数据包进行绑定检查。
4.根据权利要求1所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,所述绑定检查策略是对上行协议数据包和上行协议控制包均进行绑定检查。
5.根据权利要求2或3所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,步骤B包括:
B11、判断上行数据包是协议控制包还是协议数据包,如果是协议控制包,则根据协议控制包类型进行处理,如果是协议数据包,则进入步骤B12;
B12、提取该协议数据包中的源MAC地址和接入电路信息,并判断是否符合绑定关联,如果是,则将协议数据包转发至相应设备;否则丢弃。
6.根据权利要求2或4所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,步骤B包括:
提取所有上行数据包的源MAC地址与接入电路信息,并判断是否符合绑定关联,如果是,则将上行数据包转发至相应设备;否则丢弃。
7.根据权利要求5所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,步骤B11包括,判断协议控制包是否为PADT包,如果不是,将该协议控制包直接上传至相应设备,否则,提取PADT包中MAC地址与接入电路信息,查找绑定检查单元,发现匹配的绑定关系条目,清除绑定关系并转发该PADT包。
8.根据权利要求1或2所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,该方法还包括,设置所绑定电路的流量周期,绑定检查时,符合绑定关系转发数据包时,更新流量信息,并周期性的读取绑定电路的流量信息,当所述接入电路的流量无变化,认为该用户已下线,解除绑定关系。
9.根据权利要求1或2所述的基于点对点协议的MAC地址与接入电路绑定方法,其特征在于,该方法还包括,设置绑定检查的命中次数周期,绑定检查时,符合绑定关系为命中一次,每次命中均将命中次数加1,并周期性的检查命中次数,当所述接入电路的命中次数无变化,认为该用户已下线,解除绑定关系。
10.一种基于点对点协议的MAC地址与接入电路绑定装置,其特征在于,该装置包括协议分析单元、分析处理单元和绑定检查单元,其中:
协议分析单元位于转发层面,用于对接收的数据包进行分析,识别协议控制包并转发至分析处理单元,并将上行的协议数据包转发至绑定检查单元进行绑定关联检查;
分析处理单元位于CPU控制层面,用于根据绑定检查策略转发或丢弃协议控制包;以及用于建立或解除绑定关系条目,并将该绑定条目信息同步至绑定检查单元;
绑定检查单元位于转发层面,用于根据存储的绑定关系对上行协议数据包进行绑定检查,根据检查结果确定转发还是丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101950393A CN101179509A (zh) | 2007-12-10 | 2007-12-10 | 基于点对点协议的mac地址与接入电路绑定方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101950393A CN101179509A (zh) | 2007-12-10 | 2007-12-10 | 基于点对点协议的mac地址与接入电路绑定方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101179509A true CN101179509A (zh) | 2008-05-14 |
Family
ID=39405599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101950393A Pending CN101179509A (zh) | 2007-12-10 | 2007-12-10 | 基于点对点协议的mac地址与接入电路绑定方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101179509A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101534248B (zh) * | 2009-04-14 | 2011-12-28 | 华为技术有限公司 | 深度报文识别方法和系统及业务板 |
CN107450966A (zh) * | 2011-03-30 | 2017-12-08 | 亚马逊技术公司 | 基于减负装置的数据包处理的框架和接口 |
US11099885B2 (en) | 2011-03-30 | 2021-08-24 | Amazon Technologies, Inc. | Frameworks and interfaces for offload device-based packet processing |
-
2007
- 2007-12-10 CN CNA2007101950393A patent/CN101179509A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101534248B (zh) * | 2009-04-14 | 2011-12-28 | 华为技术有限公司 | 深度报文识别方法和系统及业务板 |
CN107450966A (zh) * | 2011-03-30 | 2017-12-08 | 亚马逊技术公司 | 基于减负装置的数据包处理的框架和接口 |
US11099885B2 (en) | 2011-03-30 | 2021-08-24 | Amazon Technologies, Inc. | Frameworks and interfaces for offload device-based packet processing |
US11656900B2 (en) | 2011-03-30 | 2023-05-23 | Amazon Technologies, Inc. | Frameworks and interfaces for offload device-based packet processing |
US11941427B2 (en) | 2011-03-30 | 2024-03-26 | Amazon Technologies, Inc. | Frameworks and interfaces for offload device-based packet processing |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104022953B (zh) | 基于开放流Openflow的报文转发方法和装置 | |
US8081620B2 (en) | System and method for supporting link aggregation and other layer-2 protocols primarily over unidirectional links | |
JP2011193477A5 (zh) | ||
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
WO2006029217A3 (en) | Method for automatic traffic interception | |
RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
CN104601566B (zh) | 认证方法以及装置 | |
CN102263788A (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
WO2006114053A1 (fr) | Procede, systeme et appareil visant a empecher la contrefacon d’une adresse mac | |
CN100492970C (zh) | 网络中继装置和数据包的传送方法 | |
CN101616056B (zh) | 突破PPPoE技术限制的分流方法、分流网关及其网络结构 | |
WO2016107379A1 (zh) | 一种发送报文的方法和装置 | |
CN102014109A (zh) | 一种泛洪攻击的防范方法及装置 | |
WO2008131658A1 (fr) | Procédé et dispositif pour fureter le dhcp | |
CN100433714C (zh) | 一种ip分片报文传输处理方法 | |
CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
CN103179044B (zh) | 流量管理的实现方法、设备和系统 | |
CN104038424B (zh) | 一种下线报文的处理方法和设备 | |
CN101179509A (zh) | 基于点对点协议的mac地址与接入电路绑定方法和装置 | |
WO2016061436A2 (en) | Methods and apparatuses for flexible mobile steering in cellular networks | |
CN107743095A (zh) | 报文转发方法和装置 | |
CN103945394B (zh) | 无线存取点装置、网络系统及其网络自动布建方法 | |
CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
CN103414640B (zh) | 一种扩展无线控制器设备mac地址转发表的容量的方法 | |
EP2136506A1 (en) | Keepalive monitoring method, system and apparatus of a subscriber session |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20080514 |