CN102195973A - 一种基于arp技术的网络装置 - Google Patents
一种基于arp技术的网络装置 Download PDFInfo
- Publication number
- CN102195973A CN102195973A CN2011100736702A CN201110073670A CN102195973A CN 102195973 A CN102195973 A CN 102195973A CN 2011100736702 A CN2011100736702 A CN 2011100736702A CN 201110073670 A CN201110073670 A CN 201110073670A CN 102195973 A CN102195973 A CN 102195973A
- Authority
- CN
- China
- Prior art keywords
- arp
- mac address
- message
- ethernet
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明包括一种基于ARP技术的网络装置,包括上行以太网接口、以太网报文处理模块、ARP代理功能模块、交换引擎接口。采用硬件结构及内置的软件功能自动防护外部的非法侵入,安全性高、操作简便、且成本低廉。
Description
技术领域
本发明涉及数字信息的传输领域,尤其涉及一种基于ARP技术的网络装置。
背景技术
目前,在电信和广电网络环境下, 越来越多的家庭用户使用电信网络的宽带服务或广电网络的多业务服务。比起传统的电话线拨号网络服务,具有带宽大、安装方便、成本低等优势。但由于这种方式的业务数据传输使用的通用以太网传输协议和使用交换机作为终端接入设备,所以造成了两点缺陷:容易被非法用户介入和容易产生内网的网络攻击。
非法用户一般为两种:家庭中超过申请数量的用户和直接从楼道介入的非法用户。内网的网络攻击一般为ARP欺诈。现有的解决方案一般为使用用户登录软件以及安装分布式防火墙,但此方案的缺点是购买和维护软件的成本较高,且家庭增加用户时须新增账号,用户使用不便;另外安装分布式防火墙需购买防火墙设备,成本较高。
发明内容
为解决上述问题,本发明提供一种使用方便,成本低廉的一种基于ARP技术的网络装置。
为达到上述目的,本发明采用的技术方案是:一种基于ARP技术的网络装置,其特征在于,包括:
上行以太网接口,用于上行的以太网报文的接收与发送;
以太网报文处理模块,与上行以太网接口连接,用于对以太网报文的转发及判断,提取ARP报文;
ARP代理功能模块与以太网报文处理模块连接,用于接收ARP报文,并对ARP报文分类、检查后转发或丢弃;
交换引擎接口与以太网报文处理模块连接,用于下行的以太网报文的接收与发送。
本发明的第一优选方案为,所述的以太网报文处理模块包括ARP解析器、MAC地址限制单元。
本发明的第二优选方案为,所述的ARP解析器把ARP报文解析为四种,分别是:上行以太网接口进入的ARP请求报文,直接丢弃;上行以太网接口进入的ARP应答报文,对报文做ARP欺诈检查后转发报文;交换引擎接口进入的ARP请求报文,传递给所述的MAC地址限制单元;交换引擎接口进入的ARP应答报文,直接丢弃。
本发明的第三优选方案为,所述的MAC地址限制单元包括MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器、MAC地址老化控制器、MAC地址表;
MAC地址查询控制器,用于比对ARP报文的源MAC地址是否存在于MAC地址表,是则转发,否则转入MAC地址数量控制器;
MAC地址数量控制器检查MAC地址表中的地址数量是否达上限值,是则丢弃;否则转发ARP报文并且将ARP报文的源MAC导入MAC地址记录控制器;
MAC地址记录控制器,用于将导入的源MAC在MAC地址表记录;
MAC地址老化控制器,用于将无需进行网络连接的MAC地址从MAC地址表中清除。
本发明的技术优势在于:采用硬件结构及内置的软件功能自动防护外部的非法侵入,安全性高、操作简便、且成本低廉。
下面结合附图和具体实施方式对本发明做进一步说明。
附图说明
图1为本实施例结构图。
图2为本实施例中ARP代理功能模块结构示意图。
具体实施方式
参考图1,一种基于ARP技术的网络装置,包括上行以太网接口、以太网报文处理模块、ARP代理功能模块、交换引擎接口。在交换机的以太网报文处理模块上设ARP代理功能模块,此模块包括ARP处理器,这部分的主要功能是将上下行的ARP报文分别进行处理;一部分是MAC地址限制单元,主要功能是限制连接业务的MAC地址数量,还有MAC地址表。图1中双箭头直线为普通报文,直线为ARP报文。
三部分共同工作,对上行的ARP报文做MAC地址数量限制处理,对下行的ARP报文做攻击检查处理,从而同时解决上述两个问题。具体处理是:当下行接口(连接终端用户)接收到ARP请求报文后,传递给交换引擎,交换引擎与交换引擎接口连接,交换引擎接口接收该ARP请求报文并转发给以太网处理模块,以太网处理模块转发给ARP代理功能模块,ARP代理功能模块检查ARP请求报文的源MAC地址是否在ARP代理功能模块的MAC地址表中,如果在转发ARP请求报文,不在再检查MAC地址表的数量是否达到设置的上限;如果未达到,记录此MAC地址并转发ARP请求报文,达到上限的话就丢弃报文。此时用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时能顺利连接网络业务,如果MAC地址表已达到上限值,交换机将不再对新增用户的ARP请求报文进行转发,从而限制超数量的非法用户使用网络业务。
当上行以太网接口接口(连接业务通路)接收到ARP请求报文后,ARP代理功能模块直接丢弃报文;如果是ARP应答报文,则进行IP地址有效性检查和填充数据段检查,防止ARP欺诈。从而有效的保护终端用户的网络安全。
参考图2,ARP代理功能模块内部结构主要分为两部分:一部分是ARP解析器,它把上下行的ARP报文分别做不同规则的处理和转发;另一部分是MAC地址限制单元,由一个MAC地址表和四个控制器组成,四个控制器分别是MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器和MAC地址老化控制器。
各模块的具体处理逻辑如下:
ARP报文解析器:将上下行以太网接口接收到的ARP报文进行解析,分为四种类型:
上行口进入的ARP请求报文:直接丢弃;
上行口进入的ARP应答报文:对报文做ARP欺诈检查后转发报文;
下行口进入的ARP请求报文:导入MAC地址查询控制器;
下行口进入的ARP应答报文:直接丢弃。
MAC地址查询控制器:比对报文的源MAC是否存在于MAC地址表,然后分类处理:
源MAC已在MAC地址表中记录:直接转发报文;
源MAC未在MAC地址表中记录:导入MAC地址数量控制器。
MAC地址数量控制器:检查MAC地址表中的地址数量是否达到CPU设置的上限值,然后对导入的报文进行分类处理:
MAC地址表已满:直接丢弃报文;
MAC地址表未满:转发报文并且将报文的源MAC导入MAC地址记录控制器。
MAC地址记录控制器:将导入的源MAC在MAC地址表中做记录。
MAC地址老化控制器:将长时间未进行网络连接的MAC地址从MAC地址表中清楚。
虽然本发明已经按照上述实施例做出基本描述,但是基于本发明的发明思想的等同变化,依然在本发明的保护范围内。
Claims (4)
1.一种基于ARP技术的网络装置,其特征在于,包括:
上行以太网接口,用于上行的以太网报文的接收与发送;
以太网报文处理模块,与上行以太网接口连接,用于对以太网报文的转发及判断,提取ARP报文;
ARP代理功能模块与以太网报文处理模块连接,用于接收ARP报文,并对ARP报文分类、检查后转发或丢弃;
交换引擎接口与以太网报文处理模块连接,用于下行的以太网报文的接收与发送。
2.根据权利要求1所述的一种基于ARP技术的网络装置,其特征在于:所述的以太网报文处理模块包括ARP解析器、MAC地址限制单元。
3.根据权利要求2所述的一种基于ARP技术的网络装置,其特征在于,所述的ARP解析器把ARP报文解析为四种,分别是:上行以太网接口进入的ARP请求报文,直接丢弃;上行以太网接口进入的ARP应答报文,对报文做ARP欺诈检查后转发报文;交换引擎接口进入的ARP请求报文,传递给所述的MAC地址限制单元;交换引擎接口进入的ARP应答报文,直接丢弃。
4.根据权利要求2或3所述的一种基于ARP技术的网络装置,其特征在于,所述的MAC地址限制单元包括MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器、MAC地址老化控制器、MAC地址表;
MAC地址查询控制器,用于比对ARP报文的源MAC地址是否存在于MAC地址表,是则转发,否则转入MAC地址数量控制器;
MAC地址数量控制器检查MAC地址表中的地址数量是否达上限值,是则丢弃;否则转发ARP报文并且将ARP报文的源MAC导入MAC地址记录控制器;
MAC地址记录控制器,用于将导入的源MAC在MAC地址表记录;
MAC地址老化控制器,用于将无需进行网络连接的MAC地址从MAC地址表中清除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100736702A CN102195973A (zh) | 2011-03-25 | 2011-03-25 | 一种基于arp技术的网络装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100736702A CN102195973A (zh) | 2011-03-25 | 2011-03-25 | 一种基于arp技术的网络装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102195973A true CN102195973A (zh) | 2011-09-21 |
Family
ID=44603360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100736702A Pending CN102195973A (zh) | 2011-03-25 | 2011-03-25 | 一种基于arp技术的网络装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102195973A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023793A (zh) * | 2012-12-11 | 2013-04-03 | 烽火通信科技股份有限公司 | 一种地址解析协议表的管理装置及管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1359727A2 (en) * | 2002-04-08 | 2003-11-05 | Wiznet Corp. | Internet protocol system using hardware protocol and relating parallel data processing method |
| CN101150457A (zh) * | 2007-10-25 | 2008-03-26 | 中兴通讯股份有限公司 | 以太网的媒体访问控制地址表容量的测试方法 |
| CN101616075A (zh) * | 2009-06-19 | 2009-12-30 | 成都华程信息技术有限公司 | Arp代理技术 |
| CN101902478A (zh) * | 2010-07-29 | 2010-12-01 | 杭州再灵电子科技有限公司 | 一种arp代理功能模块及其应用方法 |
-
2011
- 2011-03-25 CN CN2011100736702A patent/CN102195973A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1359727A2 (en) * | 2002-04-08 | 2003-11-05 | Wiznet Corp. | Internet protocol system using hardware protocol and relating parallel data processing method |
| CN101150457A (zh) * | 2007-10-25 | 2008-03-26 | 中兴通讯股份有限公司 | 以太网的媒体访问控制地址表容量的测试方法 |
| CN101616075A (zh) * | 2009-06-19 | 2009-12-30 | 成都华程信息技术有限公司 | Arp代理技术 |
| CN101902478A (zh) * | 2010-07-29 | 2010-12-01 | 杭州再灵电子科技有限公司 | 一种arp代理功能模块及其应用方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023793A (zh) * | 2012-12-11 | 2013-04-03 | 烽火通信科技股份有限公司 | 一种地址解析协议表的管理装置及管理方法 |
| CN103023793B (zh) * | 2012-12-11 | 2015-07-15 | 烽火通信科技股份有限公司 | 一种地址解析协议表的管理装置及管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8875233B2 (en) | Isolation VLAN for layer two access networks | |
| CN101022394B (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
| CN101047618B (zh) | 获取网络路径信息的方法和系统 | |
| CN101060493B (zh) | 一种私网内用户通过域名访问私网内服务器的方法 | |
| KR101028138B1 (ko) | 가정 네트워크 중의 지능화 정보 가전 및 그 서브 설비에 어드레스를 분배하는 방법 | |
| CN1985473A (zh) | 利用单个物理端口的在线入侵检测 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| KR102541286B1 (ko) | 단일 서버 기반의 이종 네트워크 통합 배선 장애 관리 시스템 | |
| CN103220276B (zh) | 一种网络接入的方法、网关及系统 | |
| CN102752141A (zh) | 一种ip地址可达性的检查方法及装置 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| CN101610266A (zh) | 一种检测地址解析协议arp报文合法性的方法及装置 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN101616075A (zh) | Arp代理技术 | |
| CN104065689A (zh) | 宽带无线接入共享及广告方法 | |
| CN102244620A (zh) | 一种确定网关与设备关联关系的方法和系统 | |
| JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
| US20060159108A1 (en) | Management session initiation with a customer premises device | |
| CN102131072A (zh) | 实现互联网平台下的网络视频监控的系统和方法 | |
| CN102195973A (zh) | 一种基于arp技术的网络装置 | |
| CN201657204U (zh) | 实现互联网平台下的网络视频监控的系统 | |
| RiLi | Research and application of TCP/IP protocol in embedded system | |
| US7924984B2 (en) | Method and system for determining physical location of emergency service callers on a packet switched network | |
| KR100398012B1 (ko) | 홈 서버 및 인터넷 서비스 시스템 | |
| Harrington | Ethernet networking for the small office and professional home office |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110921 |