背景技术
按照ITU-T(International Telecommunication Union-Telecommunication standardization sector,国际电信联盟远程通信标准化组)的规定,接入网(Access Network,AN)是指由业务节点接口(Service Node Interface,SNI)和相关用户网络接口(UserNetwork Interface,UNI)之间的一系列传送实体(诸如线路设施和传输设施)所组成的,为传送电信业务提供所需传送承载能力的实施系统,它可以经由Q3接口进行配置和管理。因此,接入网可由三个接口界定,即网络侧经由SNI与业务节点相连,用户侧由UNI与用户相连,管理方面则经Q3接口与电信管理网(TMN,Telecommunication Managing Network)相连(如附图1所示)。
业务节点是提供业务的实体,可提供规定业务的业务节点有本地交换机、租用线业务节点或特定配置的点播电视和广播电视业务节点等。SNI是接入网和业务节点之间的接口,可分为支持单一接入的SNI和综合接入的SNI。
接入网与用户间的UNI接口能够支持目前网络所能够提供的各种接入类型和业务,接入网的发展不应限制现有的业务和接入类型。
接入网的管理应该纳入TMN的范畴,以便统一协调管理不同的网元。接入网的管理不但要完成接入网各功能块的管理,而且要附加完成用户线的测试和故障定位。
接入网的蓬勃发展带来了成倍的用户,并且产生了宽带接入的需求。宽带接入技术呈现多样化趋势,包括xDSL(Digital SubscriberLine,数字用户线路),xPON(Passive Optical Network,无源光学网路)和WiMAX(Worldwide Interoperability for Microwave Access,微波存取全球互通)无线接入等,它们大致都具有如附图2所示的网络架构,包括以下部分组成:(1)用户自组网络;(2)接入点AN(Access Node);(3)以太网汇聚网络;(4)宽带网络网关。用户自组网络中的CPE:customer-provided equipment用户驻地设备用于将PC、机顶盒等用户设备接入到接入点。接入点、以太网汇聚网络和宽带网络网关构成了运营商网络,可以连接公共网络。这里定义UNI到SNI方向为上行方向,SNI到UNI方向为下行方向。
但是,宽带接入网的发展也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术,IP(Internet Protocol,互联网协议)技术后,接入网安全性问题日益凸现。监听他人信息,盗取业务(Theft of Service),拒绝服务(Denial of Service)攻击等安全性问题时有发生。提供“电信运营级”的接入网络,为用户提供安全的接入服务,就成为设备商和运营商共同关注的问题。为了提供安全的接入服务,现有技术中提供了一种方法,通过限制接入点的MAC地址数目来解决上述的安全问题。例如,上行方向根据接入点已经学习到的MAC地址个数,完成是否进行源MAC地址学习的功能;下行方向根据VLAN决定转发的方式,完成目的接入点的查找。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
为了满足接入网对于所接入的业务提供承载能力,实现业务的透明传送,接入网中的很多业务通常需要指定某个VLAN(VirtualLAN,虚拟局域网)为1:1 VLAN,即基于VLAN进行业务转发。由于从SNI到UNI的转发是基于VLAN进行实现的,因此现有技术中对1:1 VLAN的处理是不学习MAC地址的,这种实现方式就无法对接入点的MAC地址数目进行限制,所以可以造成整个接入系统的MAC地址冲突,对接入网存在安全隐患。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。
图3示出了根据本发明实施例的MAC地址学习限制方法的流程图,包括以下步骤:
步骤S10,接收来自接入点的上行方向的数据包;
步骤S20,根据数据包中的VLAN ID确定是否需要进行MAC地址学习;
步骤S30,如果是,则根据已经学习的MAC地址数量确定是否学习数据包中的源MAC地址;以及
步骤S40,如果是,则对源MAC地址进行MAC地址学习。
上述实施例的MAC地址学习限制方法因为在1:1 VLAN接入网中引入了MAC地址学习机制,并根据已经学习的MAC地址数量对是否学习新MAC地址予以限制,所以能够解决1:1 VLAN接入网不能利用限制学习MAC地址来提供安全保证的问题,进而提高了1:1 VLAN接入网的安全性。
优选的,步骤S20具体包括:根据VLAN ID查找VLAN分类表中的学习标志和1:1转发标志;根据1:1转发标志确定是1:1 VLAN转发;以及根据学习标志的指示确定是否需要进行MAC地址学习。通过学习标志的设置,为是否实施MAC地址学习限制设立了激活开关。
优选的,步骤S30具体包括:根据接入点编号查找MAC地址学习限制表中的满标志;以及根据满标志的指示确定是否需要进行MAC地址学习,当指示为满时,对源MAC地址进行学习;否则放弃学习。
优选的,可以采取以下步骤来设置满标志:获取MAC地址学习限制表中的已学习MAC地址个数字段和最大允许学习MAC地址个数字段;判断已学习MAC地址个数字段中指示的数量是否达到最大允许学习MAC地址个数字段中指示的数量;以及如果为是,则将满标志设置为指示满;否则设置为指示未满。
通过满标志的设置,实现了根据已经学习的MAC地址数量对是否学习新MAC地址予以限制。
优选的,步骤S40具体包括:判断源MAC地址是否为新MAC地址;以及如果是,则将源MAC地址写入MAC地址表。优选的,如果是,则还将VLAN ID和接入点编号写入MAC地址表。
优选的,将源MAC地址写入MAC地址表后,还更新已学习MAC地址个数字段,即,将该字段的个数加1。
图4示出了根据本发明优选实施例的MAC地址学习限制方法的流程图,具体包括:
步骤S402,接收到接入点发来的上行方向数据包;
步骤S404,提取数据包中的源MAC地址、VLAN ID和接入点编号;
步骤S406,根据得到的VLAN ID查找VLAN分类表,VLAN分类表的主要内容包括:是否学习标志,是否1:1转发标志;
步骤S408,判断是否需要学习;如表1所示。如果得到的学习标志为1,表示该数据包需要进行MAC地址学习,跳到步骤S410,否则不需要MAC地址学习,跳到步骤S420。
表1 VLAN分类表
步骤S410,根据数据包中的接入点编号读取MAC地址学习限制表,MAC地址学习限制表的主要内容包括:允许学习的最大地址数(接入点MAC地址数目设置表)、已经学习到的地址个数和是否允许学习新的MAC地址标志;
步骤S412,判断是否允许学习;如表2所示,得到该接入点已经学习到的MAC地址数和是否允许学习MAC地址标志。如果得到的是否允许学习MAC地址标志为1,表示该接入点还可以学习新的MAC地址,跳到步骤S414,否则跳到步骤S416,表示该接入点学习到的MAC地址数已经达到了上限,丢弃数据包,流程结束。表2中的字段“允许学习的最大地址数”对应于上述的最大允许学习MAC地址个数字段;字段“已经学习到的地址个数”对应于上述的已学习MAC地址个数字段;字段“允许学习新的地址标志”对应于上述的满标志。
表2 MAC地址学习限制表
接入点编号 | 允许学习的最大地址数 | 已经学习到的地址个数 | 允许学习新的地址标志 |
UNI-1 | Num-1 | Num-2 | 0/1 |
UNI-x | Num-y | Num-z | 0/1 |
步骤S414,判断源MAC地址是否为新的MAC地址,如果是的,则将新的MAC地址写入到MAC地址表中,MAC地址表的主要内容包括:MAC地址、VLAN-ID和接入点编号,如表3所示。
表3 MAC地址表
MAC地址 | VLANID | 接入点编号 |
MAC-a | VID-x | UNI-x |
步骤S418,更新MAC地址学习限制表中的已经学习到的地址个数和允许学习新的地址标志位。
步骤S420,将接收到的数据包发送出去,流程结束。
图5示出了根据本发明实施例的MAC地址学习限制装置的方框图,包括:
接收模块10,用于接收来自接入点的上行方向的数据包;
判断模块20,用于根据数据包中的VLAN ID确定是否需要进行MAC地址学习;
限制模块30,用于则根据已经学习的MAC地址数量确定是否学习数据包中的源MAC地址;以及
学习模块40,用于如果是,则对源MAC地址进行MAC地址学习。
本发明上述实施例的MAC地址学习限制装置因为在1:1 VLAN接入网中引入了MAC地址学习机制,并根据已经学习的MAC地址数量对是否学习新MAC地址予以限制,所以能够解决1:1 VLAN接入网不能利用限制学习MAC地址来提供安全保证的问题,进而提高了1:1 VLAN接入网的安全性。
优选的,判断模块20具体包括:第一查表单元,用于根据VLANID查找VLAN分类表中的学习标志和1:1转发标志;确定单元,用于根据1:1转发标志确定是1:1 VLAN转发;以及第一判断单元,用于根据学习标志的指示确定是否需要进行MAC地址学习。
优选的,限制模块30具体包括:第二查表单元,用于根据接入点编号查找MAC地址学习限制表中的满标志;第二判断单元,用于根据满标志的指示确定是否需要进行MAC地址学习,当指示为满时,对源MAC地址进行学习;否则放弃学习。
图6示出了根据本发明优选实施例的MAC地址学习限制装置的方框图。该装置处在图2中以太网汇聚网络上面,以太网汇聚网络主要完成用户数据的汇聚功能,该装置由以下几部分组成:上行用户数据提取电路602,用于执行接收模块10的功能;VLAN识别电路604,用于执行判断模块20的功能;接入点MAC地址数目统计电路606,用于执行限制模块30的功能;MAC地址学习电路608,用于执行学习模块40的功能。
下面具体说明这些电路的功能和工作方式:
上行用户数据提取电路602完成提取用户数据中的源MAC地址,VLAN ID,以及接入点编号;VLAN识别电路604根据VLANID判断该VLAN是否为1:1 VLAN,是否需要学习MAC地址,将要学习的源MAC地址、VLAN ID和接入点编号送到MAC地址学习电路608;MAC地址学习电路608根据接入点MAC地址数目统计电路606送来的该接入点是否允许学习的标志将MAC地址写入到MAC表中或者不学习该源MAC地址丢弃数据包,如果成功学习到一个新的MAC地址,需要通知MAC地址数目统计电路606进行统计,同时MAC地址表中如果老化掉一个条目也需要通知MAC地址数目统计电路606进行统计;MAC地址数目统计电路606根据MAC地址学习电路608送来的学习到新MAC地址的标志将相应接入点已经学习到的MAC地址数目加1或者根据MAC地址学习电路608送来的老化标志将相应接入点已经学习到的MAC地址数目减1,并读取接入点MAC地址数目设置表中配置的该接入点可以学习的MAC地址个数,将已经学习到的个数和配置的个数进行比较,给出该接入点是否允许学习新的MAC地址标志;接入点MAC地址数目设置表存放该接入点允许学习到最大的MAC地址个数;MAC地址表存储已经学习到的MAC地址条目。
采用本发明上述实施例的MAC地址学习限制方法和装置,可以提供基于接入点的MAC地址学习个数限制功能,并可以实现限制1:1 VLAN接入点的MAC地址数目的功能,提高了接入网的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。