CN101188510A

CN101188510A - 地址集中控制的方法、设备及系统

Info

Publication number: CN101188510A
Application number: CNA2006101569477A
Authority: CN
Inventors: 阳振庭
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2006-11-16
Filing date: 2006-11-16
Publication date: 2008-05-28
Also published as: WO2008058477A1

Abstract

本发明公开了一种位置信息集中管理的网络系统，包括交换设备和地址集中控制单元；还公开了一种地址集中控制装置，可集成于网络系统的现有网元中或独立存在，包括数据管理单元和数据解析单元，可实现网络设备地址信息的集中管理；本发明还公开了一种MAC地址集中管理的方法，包括步骤：用户向地址集中控制单元通告包括其MAC地址的用户位置信息；地址集中控制单元保存和维护上述位置信息。另外，本发明也公开了一种自动学习MAC地址的方法和一种建立网络连接的方法。本发明通过对用户位置信息进行集中控制与管理，提高了网络的安全性和可靠性。

Description

地址集中控制的方法、设备及系统

技术领域

本发明涉及数据通信技术，尤其涉及到一种集中控制MAC地址的方法、设备及其系统。

背景技术

基于IP协议的通信是建立在MAC地址的基础之上的，当主机A需要与主机建立通信时，那就需要知道主机A的IP地址和MAC地址。下表为一种常见的数据帧：DMAC表示目的MAC地址，SMAC表示源MAC地址，Length/Type＞1500时代表该数据帧的类型，Length/Type＜1500代表该数据帧的长度。

DMAC

SMAC

Length/Type

DATA/PAD

FCS

一般有两个重要机制用于保证主机间的正常通信：即所谓的泛洪(Flooding)与自动学习(Auto-learning)机制。自动学习基于ARP协议实现，地址解析协议ARP(Address Resolution Protocol)协议用于将IP地址解析为MAC地址。自动学习的流程如下：主机A向其所连接的网络发送ARP请求报文ARP Request，该报文是以广播形式发送的，即网络内的所有主机都会收到该报文；网络内主机收到了上述ARP Request报文后，检查报文的IP地址，如果发现该IP地址为本机IP地址，则响应一个ARP响应报文即所谓的ARPResponse，该响应报文包含了该主机的MAC地址；主机A收到响应报文后就学习到了主机B的MAC地址。

通过分析来自所有相连网络输入的数据帧的源地址，可学习网络的拓扑结构。例如，交换机从端口1接收到来自主机A的数据帧时，通过端口1就可以达到主机A。通过上述不断的学习过程，交换机就建立起一张转发表。这种转发表的一个例子如下表所示：

主机MAC地址	端口
主机MAC地址	端口	1111.1111.1111	1
2222.2222.2222	1	1111.1111.1111	1
2222.2222.2222	1	3333.3333.3333	2
4444.4444.4444	3	3333.3333.3333	2

当交换机从其中的一个端口接收到一个数据帧时，它根据数据帧的目的地址查找转发表，如果在转发表中存在目的地址和网桥或交换机等其它网络设备某个端口的对应关系，数据帧将通过相应的端口被转发出去；否则，数据帧将通过除接收端口外的所有其他端口被转发出去，这就是泛洪(Flooding)。

在IEEE802.1Q中定义了同一个物理链路上承载多个子网的数据流的方法，还定义了VLAN帧格式，从而为识别VLAN提供了一个标准的方法。如下表所示为802.1Q的数据帧格式：

DMAC

SMAC

VLAN ID

…

IEEE 802.1Q在VLAN内部进行Flooding和Auto-learning，其理及流程与以上文所述的基本一致。如下表所示为一种基于VLAN的转发表：

VLAN	主机MAC地址	端口
VLAN	主机MAC地址	端口	2	1111.1111.1111	1
3	2222.2222.2222	1	2	1111.1111.1111	1
3	2222.2222.2222	1	3	3333.3333.3333	2
2	4444.4444.4444	2	3	3333.3333.3333	2

Flooding和Auto-learning机制具有实现简单和容易部署的优点，但是同时也带来不少的负面作用。比如网络设备的容量问题，由于每一个网络设备需要学习所有用户的MAC地址，导致网络设备的可扩充性很差。还有安全问题，用户设备MAC地址直接参与网络设备的路径配置，完全背离了网络和用户的信息隔离的原则，现有网络系统存在大量的MAC地址安全性问题已是众所周知。另外一个缺点就是造成网络性能下降：一方面广播信息不仅占用了大量网络带宽，严重影响了网络性能；另一方面，收到广播信息的计算机也要消耗一定资源来处理该广播信息。

Provider Backbone Transport(PBT)技术由以太网技术发展而来的并对以太网转发基础机制做了一些改进。PBT技术通过目标主机的MAC地址和VLANID(VID)组成标签(VID+DA)在一系列支持IVL的以太网交换机上转发，形成了以太网交换通路ESP(Ethernet Switched Path)，这个通路可以认为是一个连接或者隧道。PBT中在VLAN中关闭未知报文的广播以及多播和广播功能(即关闭了Flooding机制)，同时也关闭了Auto-learning以避免广播包的泛滥，并且重用转发表而丢弃在PBT转发表中查不到的数据包。PBT定义了独立VLAN学习IVL(Independent VLAN Learning)的方式，以实现基于DA+VLAN进行的数据包转发。

PBT建立连接必须知道两个通信终端所在的交换机的信息以及两个终端的MAC地址。如主机A与主机B之间需要建立连接时，主机A需要知道的主机B的MAC地址，主机A所连接的交换机也需要知道主机B所连接的交换机的信息(MAC地址)；另外主机B需要知道的主机A的MAC地址，主机B所连接的交换机也需要知道主机A所连接的交换机的信息(MAC地址)。PBT技术禁止了以太网的Flooding和Auto-learning机制，虽然一定程度上解决了广播风暴等问题，但是同时也引入新的问题，就是一个通信终端如何自动发现通信对端MAC地址问题。

发明内容

有鉴于此，本发明提供了一种集中控制MAC地址的方法与系统，通过对位置信息的集中控制与管理，避免诸如MAC地址等安全性要求较高的用户位置信息不参与路径确定、网络拓扑确定等网络控制，保障传送网络安全，使网络系统具有良好的扩充性能和稳定性，同时采用Flooding和Auto-learning机制保证网络正常通信。

本发明提供了一种位置信息集中管理的网络系统，包括交换设备和地址集中控制单元，交换设备向地址集中控制单元通告用户位置信息；地址集中控制单元用于保存和管理上述用户位置信息。其中交换设备包括域内交换设备与边沿交换设备；边沿交换设备与一个或多个用户相连，用于转发用户通信数据以及学习确定用户MAC地址信息；域内交换设备与一个或多个边沿交换设备相连，负责转发用户数据。边沿交换设备是以下网元中的至少一个：接入节点AN，负责将其所连接的用户接入通信网络系统；宽带网关BNG，负责提供网络传输的承载通道。

优选的，BNG通过人工配置方式或通过地址集中控制单元提供的接口向地址集中控制单元通告本BNG网络端口的MAC地址或IP地址信息。

其中，边沿交换设备包括确定单元和/或通告单元：确定单元用于学习与其相连用户的MAC地址；通告单元用于将包含用户位置信息的报文直接转发至地址集中控制单元；或者将接收到的报文经过转化后，通过地址集中控制单元的接口上报至地址集中控制单元。

优选的，该系统进一步包括DHCP服务器、网管服务器或认证服务器，所述服务器用于向地址集中控制单元通告自身位置信息或与其连接用户的位置信息。还可进一步包括策略服务器，用于控制网络连接通道的建立。

本发明另外提供了一种地址集中控制装置，所述地址集中控制装置集成于网络系统的现有网元中或独立存在，包括数据管理单元，用于保存和维护用户的位置信息；或者包括数据管理单元和数据解析单元，数据管理单元用于保存和维护用户的位置信息；数据解析单元用于接收用户上报的数据包，并从数据包中解析出用户的位置信息。所述装置还可进一步包括状态指示器，用于标识保存在数据集中控制单元的用户位置信息的存活状态或老化状态。

优选的，装置进一步包括操作接口和/或查询接口：操作接口负责实现用户对数据管理单元的数据进行增加、删除或修改的操作；查询接口用于实现用户在数据管理单元查询用户位置信息。优选的，该地址集中控制装置还包括ARP代理单元，用于在接收到请求方发出的ARP Request报文后，查询被请求用户的MAC地址并将该MAC地址通过ARP Response报文返回给请求方。

本发明还公开了一种MAC地址集中管理的方法，包括步骤：用户向地址集中控制单元通告包括其MAC地址的用户位置信息；地址集中控制单元保存并维护上述位置信息。其中用户向地址集中控制单元通告包括步骤：交换设备将用户发出的数据包直接转发给地址集中控制单元；或者交换设备解析用户协议报文后，将包括MAC地址的用户位置信息上报给地址集中控制单元。

优选的，交换设备接收到用户发出的DHCP协议报文后，将所述报文直接转发至地址集中控制单元，或解析所述报文后将解析所得的用户位置信息上报至地址集中控制单元；地址集中控制单元保存和维护包括用户位置信息。

优选的，用户通过交换设备向DHCP服务器发送DHCP Request消息，发起DHCP地址请求；DHCP服务器收到上述消息后给用户分配IP地址，并通过交换设备向用户发送IP地址分配确认消息DHCP ACK；交换设备在向用户转发上述DHCP ACK消息的同时解析该DHCP消息，将上述解析所得的用户MAC地址发送至地址集中控制单元或将该DHCP消息直接转发至地址集中控制单元处理。

优选的，交换设备接收到用户的ARP协议报文后，转发所述报文至地址集中控制单元或解析所述报文后将用户位置信息上报至地址集中控制单元；地址集中控制单元保存包括所述用户位置信息。

优选的，地址集中控制单元建立用户MAC地址、交换机端口号或用户IP地址之间的对应关系表。还可设立用户位置信息的状态值，包括老化状态、存活状态；当用户位置信息在规定的时间内未被使用时，将状态从存活状态改为老化状态；或者将老化状态的用户位置信息删除。

本发明还公开了一种自动学习MAC地址的方法，包括步骤：用户相连的交换设备将用户发出的ARP请求报文ARP Request转发至地址集中控制单元；地址集中控制单元收到上述ARP请求报文后，查询其所保存的用户位置信息，获得被请求用户的MAC地址；地址集中控制单元将查询到的上述MAC地址通过交换设备发送给发起请求的用户。

优选的，当地址集中控制单元查询失败时，采用以下方式的至少一种进行处理：不响应、标识用户离线或发起查询以获得所需的MAC地址。

优选的，当地址集中控制单元查询至的用户MAC地址信息状态为老化状态时，将该状态改变为存活状态。

优选的，发起请求的用户通过检查地址集中控制单元的IP地址和MAC地址，验证从地址集中控制单元获得信息的合法性。

本发明还公开了一种建立网络连接的方法，包括步骤：请求方向地址集中控制单元发送查询请求，请求获得被请求用户的MAC地址以及其所相连的交换设备的位置信息；地址集中控制单元通过查询获得上述信息后，将结果返回给请求方；请求方利用上述位置信息建立至被请求用户的承载通道。

本发明通过对MAC地址、IP地址等用户位置信息实行集中控制和管理，实现对MAC地址等敏感信息的封装与隔离，实现了承载信息与用户信息的隔离，从而提高了网络安全性与可靠性，为解决ARP欺骗和DOS攻击等网络安全问题打下良好的基础；另外本发明在集中控制用户MAC地址的同时提供了MAC地址学习机制，保证了良好的网络扩充性能。

附图说明

图1为本发明的一个实施例中包括地址集中控制单元的系统图；

图2为本发明的一个实施例中地址集中控制单元装置的方块图；

图3为本发明的一个实施例中接入汇聚网络中包括地址集中控制单元的系统图；

图4为本发明的一个实施例中在DHCP服务器为用户分配IP地址时，地址集中控制单元保存用户相关信息的方法流程图；

图5为本发明的一个实施例中应用地址集中控制单元进行MAC地址学习的方法流程图；

图6为本发明的一个实施例中应用地址集中控制单元建立网络连接的网络系统图；

图7为本发明的一个实施例中应用地址集中控制单元建立网络连接的方法流程图。

具体实施方式

本发明的发明思想是通过在现有网络系统中引入地址集中控制单元，用于负责控制和管理以太网内终端用户的位置信息，如保存与管理用户MAC地址与所属交换机或交换机的端口或逻辑端口信息的对应关系、用户MAC地址与用户IP地址的对应关系等其它位置信息，实现集中管理和控制用户MAC地址。本文所指的位置信息包括但不仅限于MAC地址信息、IP地址和交换设备端口号、VLANID、永久虚连接PVC(Permanent Virtual Circuit)信息和用户接入点等位置信息；本文中所称的用户为网络终端设备，包括但不局限于DHCP服务器、策略服务器以及其它与网络连接的终端设备；本文所指交换设备包括但不仅限于数字用户线路接入复用器(DSLAM)、交换机、路由器和集线器等与具有数据转发功能的网络设备。

如图1所示为本发明一个实施例，详细介绍如下：将网域内的交换设备LSW(LAN Switch)划分为一个或多个域内交换设备(如图中的LSWO)和一个或多个边沿交换设备(如图中的LSWA、LAWB、LSWC、LSWD)。边沿交换设备是指与用户直接相连的交换机，不与用户直接相连的交换机则划分为域内交换设备，两者在一定情况下可以转换。域内交换设备仅和边沿交换设备连接，不学习用户的MAC地址，其功能主要为负责数据转发；每个边沿交换设备与一个或多个用户相连，包括确认单元，用于学习且仅仅学习与其连接用户的MAC地址，如LSWA仅学习用户A的MAC地址MAC_A，LSWB仅仅学习用户B的MAC地址MAC_B......，依此类推。边沿交换设备或者其他类似的功能实体还可包括通告单元，负责向地址集中控制单元通告或者注册用户MAC地址。具体步骤如下：边沿交换设备或者其他交换设备解析其所收到的协议数据包即协议报文，提取其中包含的用户MAC信息、IP地址等其它位置信息，向地址集中控制单元通告或者注册用户的MAC地址。还可以确定用户的接入点位置，通告或注册用户的接入点等位置信息，如用户接入的交换设备标识、用户接入的交换设备标识和端口标识、用户接入的交换设备标识和端口标识和逻辑链路标识、用户接入的交换设备标识和逻辑链路标识等；另外边沿交换设备也可以不解析所收到的协议数据包而是直接将数据包转发至地址集中控制单元，由后者进行解析。上文所述的协议数据包括但不仅限于：GARP系列协议、PPPOE、DHCP、ARP、ICMP、802.1X等等。上文所述的其它功能实体包括但不仅限于：DHCP服务器、AAA(Authentication、Authorization、Accounting)服务器即认证服务器、网管服务器等等。向地址集中控制单元通告或者注册用户的MAC地址的方式包括但不仅限于以下三种：一是边沿交换设备或者其他功能实体将相关的协议报文直接转发至地址集中控制单元；二是边沿交换设备增加用户接入点等位置信息到相关协议报文，如DHCP，PPPOE等协议，将相关的协议报文转发至地址集中控制单元或者其他功能实体，其他功能实体再将用户位置信息通告至地址集中控制单元；三是边沿交换设备或者其他功能实体将相关协议报文转化后，可以增加用户接入点等位置信息，然后再通过地址集中控制单元提供的接口通告或者注册用户的MAC地址等其它位置信息。

如图2所示为本发明一个实施例中地址集中控制单元装置的方块图，图2所示的地址集中控制单元包括一个或一个以上数据管理单元、查询接口、操作接口、状态指示器以及ARP代理单元和数据解析单元。下面进行详细介绍。

数据管理单元负责用户MAC地址的管理和维护，保存用户MAC地址以及用户接入点等位置信息；也可保存其它用于网络连接的相关位置信息如用户的IP地址等信息；还可包括数据解析单元，用于确定用户的接入点等位置信息、从用户发出的消息中解析出MAC地址、IP地址、端口号等位置信息；并且可用于建立各种位置信息之间的对应关系。例如将用户的MAC地址与交换机转发其数据包的端口号以及用户IP地址等其它相关位置信息之间建立关系表，通过查询其中一项信息即可获得其它位置信息。在本发明的一个实施例中，地址集中控制单元保存用户位置信息的形式为包括MAC地址、端口信息、IP地址等信息及其对应关系。在本发明的另一个实施例中，则包括用户MAC地址和交换设备MAC地址等关键字。地址集中控制单元还具有维护用户MAC地址等用户位置信息的状态的机制，所述维护位置信息状态的机制包括如存活(keep alive)机制或老化机制等。上述状态信息可通过状态指示器来表示其状态，所述状态信息可基于预先设定的老化机制而改变和/或处理，如规定一定时间内未使用时将存活状态改变为老化状态即定时老化机制或者由外部事件触发改变状态即当一定事件发生时，将信息的老化状态改变为存活状态或者反之。上述老化状态可以基于预先设定的时间进行删除处理，如规定一定时间内处于老化状态的MAC的未改变状态时，将处于老化状态的MAC地址进行删除，所述的删除包括删除MAC地址的对应关系数据。

地址集中控制单元可对外提供操作接口，通过该操作接口可以对地址集中控制单元所保存的数据进行操作，操作内容包括但不仅限于以下的一种方式或其组合：增加、删除或修改。操作方式可以是以下方式的一种或其组合：手工方式或自动方式；可以是基于通信协议远程操作，也可以是直接在主机上进行操作。地址集中控制单元还可以对外提供查询接口，该查询接口可以是基于简单网络管理协议SNMP，也可以是其它协议。通过上述查询接口可查询用户路径建立的信令地址或查询所保存的用户或网元的MAC地址、IP地址以及其它位置信息；还可以查询通过PBT建立连接或通过资源预留协议RSVP建立路径连接的相关信息或其它类型的信息。

地址集中控制单元还可以具备ARP代理单元，具备ARP PROXY功能。现通过一个具体的应用场景来说明ARP PROXY的功能：如果用户A知道用户B的IP地址，但是不知道B的MAC地址，此时A以广播的形式向网络内所有用户发送ARP Request报文，请求获得B的MAC地址，B收到该ARP Request报文后，回应包括B的MAC地址的ARP Response报文，这样A就获得了B的MAC地址信息。本发明引入地址集中控制单元后，A通过交换设备发出ARP Request报文，交换设备将上述ARP Request报文转发至地址集中控制单元；接收到上述ARPRequest报文后，地址集中控制单元通过查询其所保存的用户MAC地址对应关系信息从而获得B的MAC地址，并通过交换设备向A返回B的MAC地址。对比上述两个流程可知，地址集中控制单元代理B响应了ARP Response报文，所以说地址集中控制单元具备ARP PROXY的功能。当地址集中控制单元无法在现有数据库中查询到相关MAC地址或其它信息时，可以采取以下方式的至少一种进行处理：不响应、发起查询以获得所需要的MAC地址或标识用户离线；并可以某种方式通知用户。地址集中控制单元对网络连接的用户的ARP进行了统一和集中的处理，地址集中控制单元能够根据用户的MAC对应关系对ARP进行检查和检验，即通过MAC与IP的对应关系检查ARP报文的对应关系是否与其一致，可以防止ARP欺骗等网络安全问题。

本发明所指的地址集中控制单元可以为新增的实体，也可以是在现有网元中进行功能扩充实现。另外地址集中控制单元的功能可以为通过纯粹的软件功能模块实现，也可以是单纯通过物理硬件实体或两者的结合来实现。

附图3为本发明一个实施例中在接入汇聚网络应用场景实现位置信息集中控制的系统，图3所述系统包括域内交换设备、用户、DHCP服务器、地址集中控制单元、宽带网关BNG(Broadband Network Gateway)、接入节点AN(AccessNode)等网元。AN主要功能为提供公用传输承载通路，其物理实现方式可以是光纤接入网中的光网络单元或固定无线接入网中的用户终端设备。附图中采用ANa、ANb、ANc...ANz的方式来表达系统有一个以上的AN；类似的用户用USER1、USER2...USERn的形式来表达一个以上用户与AN相连，BNG1至BNGn表达系统中至少有至少一个宽带网关。本实施例中的BNG与AN均属于边沿交换设备，BNG的位置信息可以通过人工配置进行注册并保存，也可以是BNG通过地址集中控制单元提供的接口自动进行注册并保存。与上述流程类似，用户可以通过BNG在地址集中控制单元中注册并保存相关位置信息。

下面结合附图4详细介绍本实施例中实现集中控制MAC地址的步骤：

401、用户发起DHCP地址请求DHCP Request；

402、AN接收用户发起的DHCP地址请求消息，并将上述DHCP Request消息转发到DHCP Server；

403、DHCP Server给用户分配IP地址，并向AN发送IP地址分配地址确认消息DHCP ACK；

404、AN将DHCP Server发出的DHCP AC消息转发给用户；

405、AN同时捕获DHCP Server发送的DHCP ACK消息，并通过解析该消息获取用户的MAC地址；

406、AN将用户的MAC地址和用户接入点等位置信息发送至地址集中控制单元进行注册并保存；还可以保存用户的IP地址以及其它位置信息如端口号等位置信息。

通常DHCP的流程在上述步骤之前还可包括DHCP Discovery以及OFFER两个步骤，其它步骤与上述内容相同。

DHCP的流程还可以存在另外一种通告方式：

401’、用户发出DHCP地址请求消息DHCP Request；

402’、AN接收用户发起的DHCP地址请求消息，确定用户接入点位置，增加位置信息到DHCP报文，并将上述DHCP Request消息转发到DHCP Server；

403’、DHCP Server给用户分配IP地址，并向AN发送IP地址分配地址确认消息DHCP ACK；

404’DHCP Server将用户的MAC地址和用户接入点位置并发送至地址集中控制单元进行注册；

现仍以图3所述的系统来为例来描述应用地址集中控制单元来进行MAC地址学习的过程。附图5为该学习过程的流程图，步骤如下：

501、用户发起ARP Request，请求获得IP地址为10.1.1.1的宽带网关的MAC地址；

502、AN接收到用户发起ARP Request报文后，将该消息转发到地址集中控制单元；

503、地址集中控制单元收到AN发送的ARP Request报文后，对报文进行处理(即通过查询获得与IP地址为10.1.1.1的BNG1的MAC地址)，然后向AN发送包括上述MAC地址信息的ARP response报文；

504、AN接收到包括BNG1的MAC地址信息的ARP response报文后，将该ARP response报文转发到用户。

在上述流程中，AN、BNG或其它交换设备在收到ARP报文后，还可以解析该报文获得用户MAC地址、IP地址或其它位置信息如端口号、交换设备的MAC地址等；还可以将该报文转发至地址集中控制单元处理，在地址集中控制单元中保存用户MAC地址、IP地址或其它位置信息，地址集中控制单元可以根据报文的来源确定用户的接入点，如用户接入的交换设备。在本发明的一个实施例中，地址集中控制单元在查询用户MAC地址等位置信息时，如果发现该位置信息的状态是老化状态时，将该位置信息的状态改为存活状态。

下面结合附图介绍应用MAC集中控制单元建立网络连接。附图6为本发明一个实施例的系统图，本系统中包括策略服务器Policy Server，策略服务器与上层管理控制层交互，用于控制网络连接通道的建立。策略服务器可以是网管服务器或者网管服务器的子模块或其它系统。该系统也可以包括DHCP服务器。如图7所示为本方法一个实施例中在建立网络连接中应用MAC地址的方法流程图，详细步骤描述如下：

701、策略服务器通知宽带网关BNG1(IP地址为10.1.1.1)与AN1建立网络连接通道，其中AN1连接了用户1(IP地址为10.1.1.200)；

702、BNG1向地址集中控制单元发送查询请求，查询用户A(10.1.1.200)的MAC地址以及其所连接的AN1的相关位置信息；

703、地址集中控制单元对BNG1发出的查询进行处理，返回用户A(10.1.1.200)的MAC地址以及其所连接的AN1的相关位置信息；

704、BNG1向AN1发起建立网络承载通道。该网络承载通道为BNG1与AN1之间连接通道，用于承载用户1(IP地址为10.1.1.200)的业务数据等。

同样，策略服务器也可以通知AN建立到其它网元之间的连接；AN向地址集中控制单元发送查询请求以查询对端的MAC地址或其它位置信息；地址集中控制单元进行处理后返回相应结果；最后AN根据上述位置信息建立到对端的网络承载通道即建立网络连接。通信终端用户自动发现通信对端MAC地址。

为了保证网络安全，保证用户位置信息的一致性与完整性，本发明的一个实施例中引入安全证书与身份验证的方式；并对用户MAC地址等安全要求较高的信息进行加密处理。地址集中控制单元向用户下发安全证书，在用户与上报或查询用户位置信息时对用户的合法性进行验证；用户也需要验证地址集中控制单元的合法身份，在本发明的一个实施例中引入IP地址加MAC地址的验证方法，更大程度保证验证的有效性。为了不使用户MAC地址等重要信息泄露从而造成网络安全隐患，本发明的一个实施例中对上述用户MAC地址等位置信息进行加密，由地址集中控制单元进行解密密

以上应用了优选实施例对本发明进行了描述，但以上优选实施例仅用于帮助理解本发明的核心思想及其实施方式，因此本领域的一般技术人员在不偏离本发明的思想和范围的情形下，可以在具体实施方式及细节上有所改变。这些改变应当理解为实施了本发明。

Claims

1.一种位置信息集中管理的网络系统，其特征在于，包括交换设备和地址集中控制单元，交换设备向地址集中控制单元通告用户位置信息；地址集中控制单元用于保存和管理上述包括用户MAC地址的位置信息。

2.根据权利要求1所述的系统，其特征在于，交换设备包括域内交换设备与边沿交换设备；边沿交换设备与至少一个用户相连，用于转发用户通信数据以及学习用户MAC地址信息；域内交换设备与至少一个边沿交换设备相连，负责转发用户数据。

3.根据权利要求2所述的系统，其特征在于，边沿交换设备为接入节点AN和/或宽带网关，其中：

接入节点AN，负责将其所连接的用户接入通信网络系统；

宽带网关BNG，负责提供网络传输的承载通道。

4.根据权利要求3所述的系统，其特征在于，BNG通过人工配置方式或通过地址集中控制单元提供的接口向地址集中控制单元通告本BNG网络端口的MAC地址或IP地址信息。

5.根据权利要求2或3所述的系统，其特征在于，边沿交换设备包括确定单元和/或通告单元：

确定单元用于学习与其相连用户的MAC地址，并上报至地址集中控制单元；

通告单元用于将包含用户位置信息的报文直接转发至地址集中控制单元，或者将接收到的报文经过转化后，上报至地址集中控制单元。

6.根据权利要求1所述的系统，其特征在于，进一步包括DHCP服务器、网管服务器或认证服务器，所述服务器向地址集中控制单元通告自身位置信息或与其连接用户的位置信息。

7.一种地址集中控制装置，其特征在于，所述地址集中控制装置集成于网络系统的现有网元中或独立存在，包括数据管理单元，用于保存和维护包括用户MAC地址的位置信息。

8.根据权利要求7所述的装置，其特征在于，进一步包括数据解析单元，用于接收用户上报的数据包，从数据包中解析出用户的位置信息并保存在数据管理单元中。

9.根据权利要求7所述的装置，其特征在于，进一步包括状态指示器，用于标识保存在数据集中控制单元的用户位置信息的存活状态或老化状态。

10.根据权利要求7至9任一项所述的装置，其特征在于，进一步包括操作接口和/或查询接口：

操作接口负责实现用户增加、删除或修改数据管理单元中保存的数据；

查询接口用于实现用户在数据管理单元中查询用户位置信息。

11.根据权利要求7至9任一项所述的装置，其特征在于，还包括ARP代理单元，用于在接收到请求方发出的ARP Request报文后，查询被请求用户的MAC地址并将该MAC地址通过ARP Response报文返回给请求方。

12.一种MAC地址集中管理的方法，其特征在于，包括步骤：

地址集中控制单元接收网络设备发送的包括MAC地址的位置信息；

地址集中控制单元保存上述包括MAC地址的位置信息，进行集中管理。

13.根据权利要求12所述的方法，其特征在于，交换设备将用户发出的数据包直接转发给地址集中控制单元；或者

交换设备解析用户协议报文后，将包括MAC地址的用户位置信息上报给地址集中控制单元。

14.根据权利要求12所述的方法，其特征在于，包括步骤：

交换设备接收到用户发出的DHCP协议报文后，将所述报文直接转发至地址集中控制单元，或解析所述报文后将解析所得的用户位置信息上报至地址集中控制单元；地址集中控制单元保存和维护用户位置信息。

15.根据权利要求12所述的方法，其特征在于，包括步骤：

交换设备接收到用户的ARP协议报文后，转发所述报文至地址集中控制单元或解析所述报文后将用户位置信息上报至地址集中控制单元；

地址集中控制单元保存包括所述用户位置信息。

16.根据权利要求12所述的方法，其特征在于，包括步骤：

地址集中控制单元建立用户MAC地址、交换机端口号或用户IP地址之间的对应关系表。

17.根据权利要求16所述的方法，其特征在于，设立用户位置信息的状态值，包括老化状态、存活状态；当用户位置信息在规定的时间内未被使用时，将状态从存活状态改为老化状态；或者将老化状态的用户位置信息删除。

18.一种自动学习MAC地址的方法，其特征在于，包括步骤：

地址集中控制单元收到ARP请求报文后，查询其所保存的位置信息，获得被请求方的MAC地址；地址集中控制单元将查询到的上述MAC地址通过交换设备发送给ARP请求方。

19.根据权利要求18所述的方法，其特征在于，当地址集中控制单元查询失败时，采用以下方式的至少一种进行处理：不响应、标识用户离线或发起查询以获得所需的MAC地址。

20.根据权利要求18所述的方法，其特征在于，包括步骤：

当地址集中控制单元查询至的用户MAC地址信息状态为老化状态时，将该状态改变为存活状态。

21.根据权利要求18所述的方法，其特征在于，包括步骤：

发起请求的用户通过检查地址集中控制单元的IP地址和MAC地址，验证从地址集中控制单元获得信息的合法性。

22.一种建立网络连接的方法，其特征在于，包括步骤：

请求方向地址集中控制单元发送查询请求，请求获得被请求用户的MAC地址以及其所相连的交换设备的位置信息；

地址集中控制单元通过查询获得上述信息后，将结果返回给请求方；

请求方利用上述位置信息建立至被请求用户的承载通道。