-
Die
vorliegende Erfindung betrifft ein Verfahren und einen Netzwerkknoten
nach dem Oberbegriff des Patentanspruchs 1 bzw. 8.
-
In
Ethernet basierten Netzwerken, insbesondere in Zugangsnetzen für Breitband-Internetanschlüsse, sind
zentrale Netzwerkkomponenten der Netz- bzw. Serviceprovider in verstärktem Mass
von „Denial
of Service" Attacken
bedroht. Die Angriffsversuche erfolgen schwerpunktmässig auf
Applikationsschichten (Schicht 4 und höher im OSI-Modell), jedoch
sind auch Störungen
durch gezielte Manipulationen des Ethernet Datenstroms auf darunter
liegenden Schichten möglich.
In zunehmendem Mass werden auch Angriffe festgestellt, bei welchen,
ausgehend vom Netzequipment des Angreifers, ein Datenstrom mit manipulierter
MAC-Quelladresse in das Zugangsnetz eingeleitet wird.
-
Da
die universelle MAC Adresse einer nicht manipulierten Netzwerkkomponente
weltweit eindeutig ist, ist über
die MAC-Adresse
eine eindeutige Adressierung eines physikalischen Netzwerkinterfaces
möglich.
Wird nun ein Datenstrom mit gefälschten
MAC-Quelladressen in ein Netzwerk eingeleitet, geht die Eindeutigkeit
der physikalischen Adressen verloren, was dazu führen kann, dass in Netzwerkkomponenten
(Switch, Router) fehlerhafte Entscheidungen bei der Weiterleitung
von Datenströmen
getroffen werden.
-
Aus
Sicherheitsgründen
und um ein Zugangsnetz effizienter verwalten zu können, werden
in Zugangsnetzen vermehrt lokale Adressen vergeben, welche eine
Identifikation der Teilnehmeranschlussleitung zulassen:
Aus
WO 98/36608 ist ein Verfahren und eine Vorrichtung bekannt, um einen
Access-Node, an welchen mehrere Endteilnehmer angeschlossen sind,
mit einem Destination-Node über
ein Breitband-Netzwerk zu verbinden. Ein virtueller Kanal wird auf
einem Breitband-Netzwerk zur Verfügung gestellt um den Access-Node
mit dem Destination-Node zu verbinden. Die Dateneinheiten von mehreren
Endteilnehmern werden bei dem Access-Node in den virtuellen Kanal
multiplexiert, wobei jede Dateinheit mehrere Zellen hat. Eine Ausführungsform
beschreibt eine MAC-Adresse mit folgenden Feldern zur Adressierung
eines Access-Nodes:
- – ein 8-Bit-Code zur Markierung
einer lokale MAC-Adresse,
- – eine
22-Bit-Node-ID zur Angabe des Access-Nodes,
- – eine
2-Bit-Shelf-No zur Adressierung von bis zu 4 Shelves,
- – eine
4-Bit Slot-No, zur Adressierung von bis zu 16 Slots
- – eine
4-Bit User-No, zur Adressierung von bis zu 16 Teilnehmern oder User
Nodes
- – eine
8-Bit CPE No, welche bis zu 256 CPE-devices adressieren kann.
-
EP 1 492 268 A1 bezieht
sich auf ein Verfahren und eine Vorrichtung zur Übersetzung einer ersten Ethernet
MAC Adresse in eine zweite Ethernet MAC-Adresse in Zugangsnetzen
mit dem Ziel einer vereinfachten Administration von Zugangsnetzen. Eine
der MAC-Adressen umfasst dabei eine Identifikation des Teilnehmers
oder der Anschlussleitung, insbesondere
- – eine Identifikation
des User-Devices mittels der Ethernet-Device-Number
- – eine
Identifikation der Anschlussleitung mittels einer Liniennummer des
Busses an einer Remote-Unit
- – eine
Identifikation der Remote-Unit mittels der Remote Uni t-Nummer
- – Eine
Identifikation der Metro-Edge mittels der Hub-Nummer eines Aggregation-Nodes
-
Bestehende
Anwendungen generieren lokale MAC-Adressen, welche Informationen über die Teilnehmeranschlussleitung
eines Endteilnehmers zulassen. Dadurch kann ein Zugangsnetz mit
dedizierten Teilnehmeranschlussleitungen besser kontrolliert werden.
Für ein
Zugangsnetz mit beispielsweise einer Baumstruktur kommt dieser Vorteil
jedoch nicht zu tragen. Ebenso bleiben Schwierigkeiten, die sich
bei der Adressierung von unterschiedlichen Diensten ergeben, ausser
Betracht.
-
Der
vorliegenden Erfindung liegt daher die Aufgabe zugrunde, die Administration
eines Zugangsnetzes zu vereinfachen.
-
Diese
Aufgabe wird durch die im Patentanspruch 1 bzw. 8 angegebenen Massnahmen
gelöst. Vorteilhafte
Ausgestaltungen der Erfindung sind in weiteren Ansprüchen angegeben.
-
Dadurch
dass
- – derjenige
Ethernet-Frame, welcher die universelle MAC-Adresse umfasst, über eine virtuelle Verbindung übertragen
wird und dass
- – die
lokale MAC-Adresse eine Identifikation der virtuellen Verbindung
umfasst wird ein Verfahren ermöglicht,
welches die Administration eines Zugangsnetzes vereinfacht.
-
Dadurch
dass
- – durch
das Mittel zum Empfangen des ersten Ethernet-Frames eine virtuelle
Verbindung empfangbar und/oder durch das Mittel zum Versenden des
zweiten Ethernet-Frames eine virtuelle Verbindung erzeugbar ist;
- – der
Netzwerkknoten eine Datenbank umfasst,
- – eine
Zuordnung der ersten universellen MAC-Adresse zu der ersten lokalen
MAC-Adresse in die Datenbank durch das erste Mittel zum Übersetzen
schreibbar ist
- – die
Zuordnung durch das zweite Mittel zum Übersetzen lesbar ist;
- – die
lokale MAC-Adresse eine Identifikation der virtuelle Verbindung
umfasst.
-
Wird
ein Netzwerkknoten ermöglicht,
welcher die Administration eines Zugangsnetzes vereinfacht.
-
Ein
Ethernet-Frame, welcher von einem Endteilnehmer upstream verschickt
wird, enthält
im MAC-Quelladressfeld die universelle MAC-Adresse des Netzwerkzugangsgerätes (z.B.
Netzwerkkarte). Der Ethernet-Frame wird in einem Knoten des Zugangsnetzes
in eine lokale MAC-Adresse übersetzt, welche
die Information über
die virtuelle Verbindung enthält,
bevor der Ethernet-Frame beispielsweise in das Internet verschickt
wird.
-
Ein
Ethernet-Frame, welcher beispielsweise vom Internet downstream an
den Endteilnehmer verschickt wird, enthält im MAC-Destinationsadressfeld die
lokale MAC-Adresse des Netzwerkzugangsgerätes (z.B. Netzwerkkarte). In
einem Knoten des Zugangsnetzes wird die lokale MAC-Adresse in die
universelle MAC-Adresse des Netzwerkzugangsgerätes eines Endteilnehmers übersetzt.
Das Netzwerkzugangsgerät
eines Endteilnehmers erkennt dadurch diejenigen Frames, welche es
verarbeiten muss.
-
Befinden
sich die Informationen über
die virtuelle Verbindung in der Nutzlast eines Ethernet-Frames,
so muss der Ethernet-Frame
im Rahmen einer „deep
packet analysis" aufwändig analysiert
werden. Befinden sich die Informationen hingegen in dem MAC-Quelladressfeld
oder in dem MAC-Destinationsadressfeld, so sind die Informationen
erheblich schneller auffindbar, da sich die beiden Adressfelder an
einer definierten Stelle des Ethernet-Frames befinden. Die Ethernet-Frames können dadurch
schneller weitergeleitet werden.
-
Die
Weiterleitung von Ethernet-Frames kann zusätzlich beschleunigt werden,
indem eine virtuelle Verbindung ausschliesslich einem Endteilnehmer
zugeordnet ist. Die Zuordnung kann statisch oder dynamisch vorgenommen
werden. Einem Endteilnehmer können
eine oder mehrere virtuelle Verbindungen zugeordnet werden. Dieser
Vorteil kommt insbesondere in Zugangsnetzen mit nicht-dedizierten Leitungen, beispielsweise
baumförmigen
Zugangsnetzen, Kabelnetzen und Funknetzen zum tragen.
-
Bei
ADSL wird eine ATM-Verbindung normalerweise im DSLAM terminiert.
Daher ist eine Übersetzung
der MAC-Adresse durch den DSLAM besonders vorteilhaft, da im DSLAM
ohnehin Operationen auf der Verarbeitungsschicht (Schicht 2 des
OSI-Modells) vorgenommen
werden.
-
Mit
Hilfe von virtuellen Verbindungen ist es möglich, Dienste, wie z.B. VoIP,
Data over IP oder Videostreaming logisch getrennt zu übermitteln.
Dadurch der virtuellen Verbindung ein Dienst und/oder eine Dienstgüte zugeordnet
ist, können
auf der virtuellen Verbindung ausschliesslich Ethernet-Frames eines
Dienstes oder verschiedener Dienste mit derselben Dienstgüte übertragen
werden. Da die virtuelle Verbindung sich anhand der MAC-Adresse
identifizieren lässt,
kann ein Multiplexer oder ein sonstiger Knoten eines Zugangsnetzes
die Entscheidung schneller treffen, mit welcher Priorität der Ethernet-Frame
weitergeleitet werden muss.
-
Dienste
und Endteilnehmer können
von einem Netzwerkknoten eines Zugangsnetzes automatisiert Kanälen zugeordnet
und die Zuordnung in einer Datenbank abgebildet werden. Die Zuordnung kann
statisch oder dynamisch vorgenommen werden.
-
Dadurch,
dass die lokale MAC-Adresse (MSL, MDL) zusätzliche Informationen über eine physikalische
Verbindung umfasst, insbesondere
- – eine Identifikation
einer die Verbindung herstellenden DSLAM (N) und/oder
- – eine
Identifikation einer an die DSLAM angeschlossenen und von der virtuellen
Verbindung verwendeten Service Baugruppe (SU) und/oder
- – eine
Identifikation eines von der virtuellen Verbindung verwendeten Ports
(P) auf der Service Baugruppe (SU) und/oder
- – eine
Identifikation eines die virtuelle Verbindung verwendenden Endgerätes (UD)
und/oder
- – eine
Angabe darüber,
ob die MAC-Adresse eine lokale MAC-Adresse oder universelle MAC-Adresse
ist,
können
Ethernet-Pakete in komplexen Netzen, welche aus verbundenen stern-
und baumförmigen
Teilnetzen bestehen schneller weitergeleitet werden. Solche Netzwerke
stellen zum Beispiel die Kabelnetze dar, bei welchen eine Gruppe
von Endkunden an einem baumförmigen
Netz angeschlossen ist, während
eine Vielzahl von baumförmigen
Netzen über
je eine Glasfaser eines sternförmigen
Glasfasernetzes erschlossen sind.
-
1 einen
schematischen Aufbau eines Zugangsnetzes in einem ersten Ausführungsbeispiel und
-
2 ein
weiteres Ausführungsbeispiel
mit einer bevorzugten Struktur einer lokalen MAC-Adresse.
-
1 zeigt
einen schematischen Aufbau eines Zugangsnetzes, welches den leitungsgebundenen
Zugang einer Vielzahl von Endteilnehmern in ein Ethernet basiertes
Zugangsnetz eines Internet Service Providers ermöglicht. Das dargestellte Zugangsnetz
basiert auf ADSL-Technologie.
-
Einem
DSLAM N, welcher in seiner Grundfunktionalität ATM nach Ethernet Bridging
bereitstellt, kommt dabei die Aufgabe der Übersetzung der MAC-Adressen
zu. Im DSLAM N sind mehrere Service-Baugruppen SU eingebaut. Eine
Service-Baugruppe SU ist im Wesentlichen eine bestückte Leiterplatte,
welche über
mehrere physikalische Ports P verfügt. An einen Port P ist eine
Teilnehmeranschlussleitung anschliessbar. Auf höheren Schichten als der Bitübertragungsschicht
des OSI-Modells sind virtuelle Verbindungen herstellbar. In dem
in 1 dargestellten Ausführungsbeispiel werden die Ethernet
Pakete über
ATM übertragen.
Einer Teilnehmeranschlussleitung kann ein oder mehrere ATM-basierte
Virtual Channels VC zugeordnet werden. Bei der Zuordnung mehrerer
Virtual Channels VC können diesen
verschiedene Dienste und/oder Dienstgüten zugeordnet werden. An der
Teilnehmeranschlussleitung können
auf Teilnehmerseite mehrere Endgeräte UD angeschlossen werden.
-
Ein
Ethernet-Paket, welches von einem Endgerät UD verschickt wird, enthält im MAC-Quelladressfeld
FSA die universelle MAC-Adresse
MSU des Endgerätes
UD. In dem DSLAM N wird die universelle MAC-Adresse MSU im Rahmen
einer Upstream Translation UT in eine lokale MAC-Adresse MSL übersetzt,
welche den Virtual Channel Identifier VCI der ATM-Verbindung umfasst.
Der DSLAM N überschreibt
das MAC-Quelladressfeld FSA mit der übersetzten lokalen MAC-Adresse
MSL und versendet das Ethernet-Paket anschliessend weiter.
-
Die
Zuordnung der lokalen MAC-Adresse MSL zu der universellen MAC-Adresse
MSU wird durch den DSLAM mittels eines Schreibvorgangs W in einer
Bridge Table BT gespeichert. Ist das von dem Endgerät UD verschickte
Ethernet-Paket beispielsweise Teil einer Anfrage an einen Server
ausserhalb des Zugangsnetzes, so versendet der Server eine Antwort
an das Endgerät
mit Ethernet-Frames, welche als MAC-Destinationsadresse eine lokale MAC-Adresse
aufweisen. In der Bridge Table BT werden die lokalen MAC-Adressen
der Ethernet-Pakete der
Antwort mittels eines Lesevorgangs R nachgeschlagen und anschliessend
im Rahmen einer Downstream-Translation DT in Ethernet-Pakete mit einer
universellen MAC-Adresse übersetzt,
damit das Endgerät
die für
das Endgerät
bestimmten Ethernet-Pakete erkennen kann.
-
Alternativ
zum Überschreiben
des MAC-Quelladressfeldes FSA, respektive des MAC-Destinationsadressfeldes
FDA kann das gesamte Ethernet-Paket neu geschrieben werden.
-
Alternativ
zum Überschreiben
des MAC-Quelladressfeldes FSA, respektive des MAC-Destinationsadressfeldes
FDA kann das ursprüngliche
Ethernet-Paket unverändert
in ein grösseres Ethernet-Paket
mit der übersetzten
lokalen MAC-Adresse MSL verpackt werden.
-
Alternativ
zum Virtual Channel Identifier VCI kann die lokale MAC Adresse eine
Nummer, bevorzugt eine kürzere
Nummer als der Virtual Channel Identifier VCI, umfassen, welche
jedoch den Virtual Channel VC identifiziert. Dies ist zum Beispiel
dann möglich
und sinnvoll, wenn nur ein kleiner Teil aller möglichen Virtual Channels VC
belegt sind.
-
Zusätzlich zum
Virtual Channel Identifier VCI kann die lokale MAC-Adresse auch
Informationen umfassen, welche Informationen über eine physikalische Verbindung
umfasst, welche durch die virtuelle Verbindung benutzt wird.
-
Wurde
eine universelle MAC-Adresse einmal übersetzt und in die Bridge-Table
BT eingetragen, so muss für
einen nachfolgend upstream versendete Ethernet-Frame die universelle
MAC-Quelladresse MSU nicht anhand der virtuellen Verbindung und/oder
anhand einer Analyse der physikalischen Verbindung übersetzt
werden, sondern kann für
die Übersetzung
in der Bridge Table BT nachgeschlagen werden.
-
2 zeigt
ein weiteres Ausführungsbeispiel mit
einer bevorzugten Struktur einer lokalen MAC-Adresse eines Ethernet-Paketes,
welche für ein
in 1 dargestelltes auf ATM basierendes Zugangsnetz
verwendet werden. Das Ethernetpaket beinhaltet eine Identifikation
einer virtuellen Verbindung zu einem Endteilnehmer. Zusätzlich umfasst die
dargestellte lokale MAC-Adresse auch Informationen über die
physikalische Verbindung.
-
Die
MAC-Adresse besteht aus 48 Bit, aufgeteilt in 6 Byte B0, B1, B2,
B3, B4, B5. Für
die Identifikation des von dem Ethernet-Paket durchlaufenen DSLAM
N stehen in diesem Beispiel 12 Bit für die DSLAM-Nummer DID zur
Verfügung.
Die Baugruppennummer SUN umfasst 4 Bit und identifiziert eine Service-Baugruppe
SU. Die Port-Nummer PN umfasst acht Bit und identifiziert einen
Port P. Der Virtual Channel Identifier VCI umfasst 16 Bit und identifiziert einen
Virtual Channel VC. Der Endgerät-Index
UDI umfasst 8 Bit und identifiziert ein Endgerät UD, welches den Ethernet-Frame
versendet hat.
-
Die
in 2 dargestellte Struktur der lokalen MAC-Adresse
ist lediglich beispielhaft. Der DSLAM-Nummer DID können auch
weniger Bits zur Verfügung
gestellt werden, beispielsweise 11 Bit. Das freigewordene Bit kann
dann als U/L-Bit verwendet werden, welches anzeigt, ob es sich bei
der verwendeten MAC-Adresse
um eine universelle oder um eine lokale MAC-Adresse handelt. Das
siebte Bit von Byte B0 gibt typischerweise an, ob es sich um eine
lokale oder um eine universelle MAC-Adresse handelt.
-
In
einem anderen Ausführungsbeispiel
ist die virtuelle Verbindung eine VLAN-Verbindung nach dem Standard
IEEE 802.1q (7 May 2003, The Institute of Electrical and Electronics
Engineers, New York). Um zwischen den VLANs zu unterscheiden, wird nach
IEEE 802.1q ein Ethernet-Frame um 4 Byte erweitert. Davon sind normalerweise
12 bit zur Aufnahme des VLAN-Identifiers
VID vorgesehen. VLAN-Verbindungen nach IEEE 802.1q werden insbesondere
für VDSL
und in Kabelnetzen verwendet. Die virtuelle Verbindung kann in der
lokalen MAC-Adresse
für eine
VLAN-Verbindung mittels des VLAN Identifiers VID oder mittels eines
dem VLAN Identifier VID zugeordneten Codes identifiziert werden.
-
- B0,
B1, B2, B3, B5, B5
- Byte
- DID
- DSLAM-Nummer
- DT
- Downstream
Translation
- FDA
- MAC-Destinationsadressfeld
- FSA
- MAC-Quelladressfeld
- MSU
- universelle
MAC-Quelladresse, universelle MAC-Adresse, MAC-Quelladresse, MAC-Adresse
- MSL
- lokale
MAC-Quelladresse, lokale MAC-Adresse, MAC-Quelladresse, MAC-Adresse
- MDU
- universelle
MAC-Destinationsadresse, universelle MAC-Adresse, MAC-Destinationsadresse,
MAC-Adresse
- MDL
- lokale
MAC-Destinationsadresse, lokale MAC-Adresse, MAC-Destinationsadresse, MAC-Adresse
- N
- Netzwerkknoten,
Knoten, DSLAM, Multiplexer
- P
- Port
- PN
- Port
Nummer
- R
- Lesevorgang
- SU
- Service-Baugruppe
- SUN
- Baugruppennummer
- UD
- Endgerät
- UDI
- Endgerät-Index
- UT
- Upstream
Translation
- VC
- Virtual
Channel
- VCI
- Virtual
Channel Index
- VID
- Virtual
LAN Identifier
- W
- Schreibvorgang