CN101902478A - 一种arp代理功能模块及其应用方法 - Google Patents
一种arp代理功能模块及其应用方法 Download PDFInfo
- Publication number
- CN101902478A CN101902478A CN 201010240332 CN201010240332A CN101902478A CN 101902478 A CN101902478 A CN 101902478A CN 201010240332 CN201010240332 CN 201010240332 CN 201010240332 A CN201010240332 A CN 201010240332A CN 101902478 A CN101902478 A CN 101902478A
- Authority
- CN
- China
- Prior art keywords
- arp
- mac address
- message
- functional module
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种ARP代理功能模块及其应用方法,属于网络服务技术领域,尤其涉及其在电信网络中的楼道交换机和家庭多业务交换机上的应用,其主要包括ARP处理部分以及MAC地址限制部分,通过控制ARP报文的转发来达到限制过多的非法终端以及ARP攻击的目的,技术实现简单、成本很低、适合家庭和楼道交换机使用,具有广阔的应用前景。
Description
技术领域
本发明涉及一种ARP(Address Resolution Protocol,地址解析协议)代理功能模块及其应用方法,尤其涉及其在电信网络中的楼道交换机和家庭多业务交换机上的应用,通过控制ARP报文的转发来达到限制过多的非法终端以及ARP攻击的目的,属于网络服务技术领域。
背景技术
目前,在电信和广电网络环境下,越来越多的家庭用户使用电信网络的宽带服务或广电网络的多业务服务。较之传统的电话线拨号网络服务,其具有带宽大、成本低、安装方便等多种优势;但由于这种方式的业务数据传输使用的通用以太网传输协议和使用交换机作为终端接入设备,所以造成了两点缺陷:容易被非法用户介入和容易产生内网的网络攻击。
非法用户一般为两种:家庭中超过申请数量的用户和直接从楼道介入的非法用户;内网的网络攻击一般为ARP欺诈。现有的解决方案一般为使用用户登录软件以及安装分布式防火墙,但此方案的缺点是购买和维护软件的成本较高,且家庭增加用户时须新增账号,用户使用十分不便;另外安装分布式防火墙需购买专用的防火墙设备,成本较高,为用户带来了额外的经济负担。
因此,能否开发出一种技术实现简单、成本很低、且非常适合家庭和楼道交换机使用的装置,并通过简单可行的应用方法使得终端用户的网络安全得到有效的保护,成为目前本领域函待解决的技术难题。
发明内容
为了解决终端用户的网络安全问题,本发明旨在提供一种ARP代理功能模块及其应用方法,采用的技术方案如下:
该ARP代理功能模块主要包括:把上下行的ARP报文分别作不同规则的处理和转发的ARP解析处理部分,以及用于限制连接业务的MAC地址数量的MAC地址限制部分,两部分之间通信连接;所述MAC地址限制部分包括MAC地址表和MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器以及MAC地址老化控制器。
优选地,所述ARP解析处理部分包括ARP报文解析器,其将上下行以太网接口接收到的ARP报文进行解析,分为如下四种类型进行分别处理:
A)上行口进入的ARP请求报文:直接丢弃;
B)上行口进入的ARP应答报文:对报文做ARP欺诈检查后转发报文;
C)下行口进入的ARP请求报文:导入MAC地址查询控制器;
D)下行口进入的ARP应答报文:直接丢弃。
优选地,所述MAC地址查询控制器比对报文的源MAC是否存在于MAC地址表,然后分类进行如下处理:
A)源MAC已在MAC地址表中记录:直接转发报文;
B)源MAC未在MAC地址表中记录:导入MAC地址数量控制器。
优选地,所述MAC地址数量控制器检查MAC地址表中的地址数量是否达到设置的上限值,并对导入的报文进行分类处理:
A)MAC地址表已满:直接丢弃报文;
B)MAC地址表未满:转发报文并且将报文的源MAC导入MAC地址记录控制器。
优选地,所述MAC地址记录控制器将导入的源MAC在MAC地址表中做记录。
优选地,所述MAC地址老化控制器将长时间未进行网络连接的MAC地址从MAC地址表中老化掉。
本发明还公开了一种具有该ARP代理功能模块的交换设备,其包括CPU、上行以太网接口、交换引擎以及ARP代理功能模块,其中,
CPU置于上行以太网接口与交换引擎之间,上行以太网接口所有收发的报文都须通过CPU;ARP代理功能模块内嵌于CPU,CPU的以太网报文处理模块对通过报文的以太网类型进行判断,将上下行的ARP报文分别导入ARP代理功能模块进行处理转发,其他报文直接转发。
优选地,所述CPU包含两个MII接口,一个接上行以太网接口,另一个接交换引擎的MII接口;所述ARP代理功能模块与所述CPU的内部接口有两种,一种是以太网接口,连接ARP报文的缓存,分为上下行两路接口,将ARP报文的上下行区分出来;另一种串行配置接口,作为CPU对ARP代理功能模块MAC地址上限值的配置接口。
优选地,所述以太网接口为RAM接口。
本发明还公开了一种应用包含该ARP代理功能模块的交换机进行ARP代理的方法,其特征在于,包括如下步骤:
当下行接口接收到ARP请求报文后,ARP代理功能模块检查报文的源MAC地址是否在模块的MAC地址表中,如果在就转发报文,不在的话再检查MAC地址表的数量有没有达到设置的上限;如果未达到,记录此MAC地址并转发报文,达到上限的话就丢弃报文;
当上行接口接收到ARP请求报文后,ARP代理功能模块直接丢弃报文;如果是ARP应答报文,则进行IP地址有效性检查和填充数据段检查。
与现有技术相比,本发明具有如下优点:
■技术实现简单易行;
■成本低廉;
■适合家庭和楼道交换机使用,应用前景广阔。
附图说明
图1:本发明的ARP代理功能模块的内部结构图;
图2:本发明的ARP代理功能模块内嵌到交换设备中的示意图;
图3:带有ARP代理功能的交换机应用示意图。
具体实施方式
发明原理:
在现有交换机的CPU中加入ARP代理功能模块,此模块包含两部分:ARP处理部分,主要功能是将上下行的ARP报文分别进行处理;以及MAC(MediaAccess Control,地址访问控制协议)地址限制部分,主要功能是限制连接业务的MAC地址数量。两部分共同工作,对上行ARP报文做MAC地址数量限制处理,对下行的ARP报文做攻击检查处理,从而同时解决上述两个问题。
下面结合附图和实例对本发明作进一步说明:
如图1所示(其中虚线为从上行接口送入的ARP报文,实线为从下行接口送入的ARP报文),本发明的ARP代理功能模块主要分为两部分:一部分是ARP解析处理部分,它把上下行的ARP报文分别做不同规则的处理和转发;另一部分是MAC地址限制部分,用于限制连接业务的MAC地址数量,两部分之间通信连接。
该ARP解析处理部分主要包括ARP报文解析器,用于将上下行以太网接口接收到的ARP报文进行解析,分为四种类型进行处理:
该MAC地址限制部分由一个MAC地址表和四个控制器组成,四个控制器分别是MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器和MAC地址老化控制器;其中,
MAC地址查询控制器:比对报文的源MAC是否存在于MAC地址表,然后分类进行如下处理:
MAC地址数量控制器:检查MAC地址表中的地址数量是否达到设置的上限值(例如通过CPU进行设置),然后对导入的报文进行分类处理:
MAC地址表已满:直接丢弃报文;
MAC地址记录控制器:将导入的源MAC在MAC地址表中做记录。
MAC地址老化控制器:将长时间未进行网络连接的MAC地址从MAC地址表中老化掉。
图2示出了将该ARP代理功能模块内嵌到交换设备(例如交换机)中的情形(其中虚线为普通报文传输路径,点划线为ARP报文传输路径,双向箭头为数据报文通路),该交换设备包括CPU、上行以太网接口、交换引擎以及ARP代理功能模块,其中,将CPU置于上行以太网接口与交换引擎之间,上行以太网接口所有收发的报文都须通过CPU,ARP代理功能模块内嵌于CPU,CPU的以太网报文处理模块对通过报文的以太网类型进行判断,将上下行的ARP报文分别导入ARP代理功能模块进行处理转发,其他报文直接转发。
内部CPU需包含两个接口(例如MII接口),一个接上行以太网接口,另一个接交换引擎的MII接口,保证所有通过上行接口的报文都必须通过CPU;ARP代理功能模块与CPU的内部接口有两种,一种是以太网接口(一般为RAM接口),连接ARP报文的缓存,分为上下行两路接口,将ARP报文的上下行区分出来;另一种串行配置接口,作为CPU对ARP代理功能模块MAC地址上限值的配置接口。
图3为带有ARP代理功能的交换机应用示意图,其将家庭和楼道的交换机分别设置对应的MAC地址上限值,当家庭用户登录时,用户的ARP将通过交换机进行转发,交换机的ARP代理功能模块将对MAC地址表进行检查:当用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时就对ARP报文转发,让此用户能顺利连接网络业务;如果MAC地址表已达到上限值,交换机将不再对新增用户的ARP报文进行转发,从而限制超数量的非法用户使用网络业务。
楼道交换机也具有同样的功能,可以对楼道的总用户数进行控制。
另外,交换机的ARP代理功能模块对从交换机上行以太网接口接收到的ARP报文进行检查和处理,如果是ARP请求报文直接丢弃,如果是ARP应答报文就进行ARP欺诈检查和处理,从而有效的防止网络中的ARP攻击,保护用户的安全。家庭交换机使用ARP代理功能后,家庭用户的数量将受交换机设置的MAC地址上限值限制,超过上限值的用户为非法用户,将不能通过交换机连接上行业务,并且由于ARP报文为交换机转发过滤,可以有效的防止ARP攻击。
楼道交换机使用ARP代理功能后,整个楼道的家庭交换机数量将受楼道交换机设置的MAC地址上限值限制,超过上限值的用户为非法用户,将不能通过楼道交换机连接上行业务。
下面简要说明应用包含本发明的ARP代理功能模块的交换机进行ARP代理的方法:
当下行接口(连接终端用户)接收到ARP请求报文后,ARP代理功能模块检查报文的源MAC地址是否在模块的MAC地址表中,如果在就转发报文,不在的话再检查MAC地址表的数量有没有达到设置的上限;如果未达到,记录此MAC地址并转发报文,达到上限的话就丢弃报文。这样用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时就能顺利连接网络业务,如果MAC地址表已达到上限值,交换机将不再对新增用户的ARP报文进行转发,从而限制超数量的非法用户使用网络业务。
当上行接口(连接业务通路)接收到ARP请求报文后,ARP代理功能模块直接丢弃报文;如果是ARP应答报文,则进行IP地址有效性检查和填充数据段检查,防止ARP欺诈。从而有效的保护终端用户的网络安全,并且此技术实现简单,成本很低,非常适合家庭和楼道交换机使用。
上面以举例方式对本发明进行了说明,但本发明不限于上述具体实施例,凡基于本发明所做的任何改动或变型均属于本发明要求保护的范围。
Claims (10)
1.一种ARP代理功能模块,其特征在于,包括:把上下行的ARP报文分别作不同规则的处理和转发的ARP解析处理部分,以及用于限制连接业务的MAC地址数量的MAC地址限制部分,两部分之间通信连接;所述MAC地址限制部分包括MAC地址表和MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器以及MAC地址老化控制器。
2.根据权利要求1所述的ARP代理功能模块,其特征在于,所述ARP解析处理部分包括ARP报文解析器,其将上下行以太网接口接收到的ARP报文进行解析,分为如下四种类型进行分别处理:
A)上行口进入的ARP请求报文:直接丢弃;
B)上行口进入的ARP应答报文:对报文做ARP欺诈检查后转发报文;
C)下行口进入的ARP请求报文:导入MAC地址查询控制器;
D)下行口进入的ARP应答报文:直接丢弃。
3.根据权利要求1所述的ARP代理功能模块,其特征在于,所述MAC地址查询控制器比对报文的源MAC是否存在于MAC地址表,然后分类进行如下处理:
A)源MAC已在MAC地址表中记录:直接转发报文;
B)源MAC未在MAC地址表中记录:导入MAC地址数量控制器。
4.根据权利要求1所述的ARP代理功能模块,其特征在于,所述MAC地址数量控制器检查MAC地址表中的地址数量是否达到设置的上限值,并对导入的报文进行分类处理:
A)MAC地址表已满:直接丢弃报文;
B)MAC地址表未满:转发报文并且将报文的源MAC导入MAC地址记录控制器。
5.根据权利要求1所述的ARP代理功能模块,其特征在于,所述MAC地址记录控制器将导入的源MAC在MAC地址表中做记录。
6.根据权利要求1所述的ARP代理功能模块,其特征在于,所述MAC地址老化控制器将长时间未进行网络连接的MAC地址从MAC地址表中老化掉。
7.一种具有权利要求1-6所述的ARP代理功能模块的交换设备,其特征在于,包括CPU、上行以太网接口、交换引擎以及ARP代理功能模块,其中,
CPU置于上行以太网接口与交换引擎之间,上行以太网接口所有收发的报文都须通过CPU;
ARP代理功能模块内嵌于CPU,CPU的以太网报文处理模块对通过报文的以太网类型进行判断,将上下行的ARP报文分别导入ARP代理功能模块进行处理转发,其他报文直接转发。
8.根据权利要求7所述的交换设备,其特征在于,所述CPU包含两个MII接口,一个接上行以太网接口,另一个接交换引擎的MII接口;所述ARP代理功能模块与所述CPU的内部接口有两种,一种是以太网接口,连接ARP报文的缓存,分为上下行两路接口,将ARP报文的上下行区分出来;另一种串行配置接口,作为CPU对ARP代理功能模块MAC地址上限值的配置接口。
9.根据权利要求8所述的交换设备,其特征在于,所述以太网接口为RAM接口。
10.应用包含权利要求1-6所述的ARP代理功能模块的交换机进行ARP代理的方法,其特征在于,包括如下步骤:
当下行接口接收到ARP请求报文后,ARP代理功能模块检查报文的源MAC地址是否在模块的MAC地址表中,如果在就转发报文,不在的话再检查MAC地址表的数量有没有达到设置的上限;如果未达到,记录此MAC地址并转发报文,达到上限的话就丢弃报文;
当上行接口接收到ARP请求报文后,ARP代理功能模块直接丢弃报文;如果是ARP应答报文,则进行IP地址有效性检查和填充数据段检查。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010240332 CN101902478A (zh) | 2010-07-29 | 2010-07-29 | 一种arp代理功能模块及其应用方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010240332 CN101902478A (zh) | 2010-07-29 | 2010-07-29 | 一种arp代理功能模块及其应用方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101902478A true CN101902478A (zh) | 2010-12-01 |
Family
ID=43227679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010240332 Pending CN101902478A (zh) | 2010-07-29 | 2010-07-29 | 一种arp代理功能模块及其应用方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101902478A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102195973A (zh) * | 2011-03-25 | 2011-09-21 | 杭州再灵电子科技有限公司 | 一种基于arp技术的网络装置 |
CN112398739A (zh) * | 2020-11-13 | 2021-02-23 | 深圳市风云实业有限公司 | 一种支持hsr协议的代理节点表实现方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101098292A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入设备上减少用户地址解析协议广播的方法 |
CN101127770A (zh) * | 2004-07-31 | 2008-02-20 | 华为技术有限公司 | 在地址解析协议代理上实现备份的方法 |
CN101150457A (zh) * | 2007-10-25 | 2008-03-26 | 中兴通讯股份有限公司 | 以太网的媒体访问控制地址表容量的测试方法 |
CN101616075A (zh) * | 2009-06-19 | 2009-12-30 | 成都华程信息技术有限公司 | Arp代理技术 |
-
2010
- 2010-07-29 CN CN 201010240332 patent/CN101902478A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101127770A (zh) * | 2004-07-31 | 2008-02-20 | 华为技术有限公司 | 在地址解析协议代理上实现备份的方法 |
CN101098292A (zh) * | 2006-06-29 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入设备上减少用户地址解析协议广播的方法 |
CN101150457A (zh) * | 2007-10-25 | 2008-03-26 | 中兴通讯股份有限公司 | 以太网的媒体访问控制地址表容量的测试方法 |
CN101616075A (zh) * | 2009-06-19 | 2009-12-30 | 成都华程信息技术有限公司 | Arp代理技术 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102195973A (zh) * | 2011-03-25 | 2011-09-21 | 杭州再灵电子科技有限公司 | 一种基于arp技术的网络装置 |
CN112398739A (zh) * | 2020-11-13 | 2021-02-23 | 深圳市风云实业有限公司 | 一种支持hsr协议的代理节点表实现方法 |
CN112398739B (zh) * | 2020-11-13 | 2022-03-08 | 深圳市风云实业有限公司 | 一种支持hsr协议的代理节点表实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8320242B2 (en) | Active response communications network tap | |
CN101022394B (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
CN101115006B (zh) | 三层报文转发方法及路由设备和二层交换模块 | |
US20080060067A1 (en) | Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network | |
CN102014109A (zh) | 一种泛洪攻击的防范方法及装置 | |
WO2007133788A2 (en) | Dynamic vlans in wireless networks | |
CN101764734A (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
CN101662423A (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
EP1843624B1 (en) | Method for protecting digital subscriber line access multiplexer, DSLAM and XDSL single service board | |
da Silveira et al. | IEC 61850 network cybersecurity: Mitigating GOOSE message vulnerabilities | |
KR20080107599A (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
EP3499808B1 (en) | Network device and controlling method thereof applicable for mesh networks | |
CN101616075A (zh) | Arp代理技术 | |
CN101902478A (zh) | 一种arp代理功能模块及其应用方法 | |
CN101141396A (zh) | 报文处理方法和网络设备 | |
CN101184044A (zh) | 一种组播监听发现协议的报文处理方法 | |
KR20060035680A (ko) | 가상의 인라인 네트워크 보안방법 | |
Cisco | show multicast protocols status through show rif | |
Cisco | show multicast protocols status through show radius | |
Cisco | show port cdp through show radius | |
Cisco | show multicast protocols status thorugh show radius | |
Cisco | sh_m_r | |
Cisco | show multicast protocols status through show radius | |
US20130022048A1 (en) | Method and network node for use in link level communication in a data communications network | |
Cisco | show multicast protocols status through show rif |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101201 |