WO2011079607A1 - 一种实现交换机端口mac地址防迁移的方法及装置 - Google Patents

Description

一种实现交换机端口 MAC地址防迁移的方法及装置 技术领域

本发明涉及以太网交换机的接入网络安全技术， 特别是涉及一种实现 交换机端口介质访问控制 （ Media Address Control, MAC )地址防迁移的方 法及装置。 背景技术

宽带接入网络的技术发展迅速， 其应用也越来越广泛， 但是安全问题 也伴随着它的发展成为大家越来越关心的问题。 在接入网环境下， 用户、 接入设备和网络都面临着各种威胁， 特别是来自用户侧的威胁。

宽带接入网络的快速发展使得宽带用户数成倍增加， 但是也使得网络 遭受安全攻击的可能性大大增加。 特别是引入以太网技术、 IP技术后， 接 入网安全性问题日益凸现。 因为以太网络是共享式的网络， 它的优点和缺 点均很明显。 当前网络上很多黑客工具可以用来在以太网上兴风作浪： 监 听他人信息、 盗取业务、 发起拒绝服务（DOS )攻击， 造成网络设备瘫痪。 而处于运营商控制范围内的中间设备主要的功能就是交换， 运营商对业务 很难控制， 这就为恶意用户提供了开展破坏活动的空间。 为提供 "电信运营 级"的接入网络， 为用户提供安全的接入服务， 检测非法业务， 保证网络设 备正常运行， 目前是设备提供商和电信运营商共同关注的问题

MAC地址欺骗是非常严重的安全威胁。 MAC地址欺骗的本质是会出 现 MAC地址重复，造成交换芯片 MAC地址学习迁移，部分用户无法上网： 因为以太网自身的特点， MAC地址信息都是公开的， 通过扫描工具， 用户 可以较容易地获取其他用户的 MAC地址信息。 如果相同的 MAC地址出现 在设备的不同用户端口上， 就会造成 MAC地址学习发生紊乱， 导致用户无 法上网。

为了增强安全性， 在接入网络， 一般要求在接入节点处实现用户端口 隔离： 在同一个 VLAN下的用户之间相互不能通信， 而只能和上行汇聚端 口互通。 用户端口隔离可以通过私有虚拟局域网 （PVLAN )技术来实现。

不是所有的交换芯片都支持 PVLAN的功能，即使支持 PVLAN的功能， 也有可能因为设备 MAC地址设置不当造成 MAC地址重复问题， 或者用户 通过其他渠道获得其他用户的 MAC (比如"暴力" MAC尝试）。 PVLAN技 术本身不足以完全解决用户侧 MAC地址欺骗问题。

因此， 为了解决以上问题， 急需一种能够在当前以太网交换芯片上实 现 MAC地址防迁移的方法。而当前决大多数的交换芯片本身没有提供该功 能， 这给整个交换系统的安全管理策略造成了很大的困难。 发明内容

本发明提供了一种实现交换机端口 MAC地址防迁移的方法及装置，用 以解决现有技术不能在交换机的以太网交换芯片上有效实现 MAC地址防 迁移的问题。

本发明的一种实现交换机端口 MAC地址防迁移的方法， 包括如下步 驟： 设置交换机中交换芯片的端口的 MAC地址防迁移优先级。 关闭所有端 口的 MAC地址自学习功能。修改端口的未知源 MAC地址包的转发策略为 不进行转发。打开端口的 MAC地址学习和老化中断， 这样端口在收到新的 MAC地址或者老化后会发送相应的消息到 CPU中。对于新的 MAC地址消 息， 需要根据 CPU数据库中的记录确认是否可以学习，如果可以，将 MAC 地址学习到相应的交换芯片端口上， 并且更新数据库。对于 MAC地址老化 的信息， 需要从数据库中删除相应的内容。

其中， 关闭所有端口的 MAC地址自学习功能是由交换芯片完成。

其中， 修改端口的新 MAC地址转发策略由交换芯片完成。 其中，从数据库信息中确定 MAC地址是否可以学习的原则是： 如果该 MAC地址没有学习到其它端口上， 则学习该 MAC地址， 并且将该信息记 入数据库中； 如果该 MAC地址学习到其它端口上， 而且这个端口的 MAC 学习优先级低于本端口的优先级， 则可以学习该 MAC地址， 并且将数据库 中 MAC地址的端口信息修改为本端口； 如果该 MAC地址学习到其它端口 上， 而且这个端口的 MAC学习优先级不低于本端口的优先级， 则本 MAC 地址不进行学习。

本发明的一种交换机， 包括： 交换芯片， 其连接中有多个端口， 该芯 片用于关闭所有端口的 MAC地址自学习功能； 修改端口的未知源 MAC地 址包的转发策略为不转发，并打开端口的 MAC地址学习和老化中断；之后， 端口收到 MAC地址消息， 则通知管理 CPU。 优先级设置模块， 用于设置 交换芯片各端口的 MAC地址防迁移优先级。数据库模块， 用于记录各端口 当前的 MAC地址信息。 管理 CPU, 用于在获知端口收到新的源 MAC地址 消息时， 根据端口配置和数据库记录信息确定学习策略； 在获知端口收到 MAC地址老化消息时， 更新数据库记录。

其中， 管理 CPU根据端口配置和数据库记录信息确定学习策略的逻辑 规则包括： 如果所述新的源 MAC地址未学习到其它端口上， 则管理 CPU 指示将该 MAC地址学习到本端口， 并且将该信息记入数据库模块中； 如果 所述新的源 MAC地址已学习到其它端口上， 并且该端口的 MAC地址防迁 移优先级低于本端口的优先级， 则管理 CPU指示将该 MAC地址学习到本 端口， 以及将数据库模块中 MAC地址的端口信息修改为本端口； 如果所述 新的源 MAC地址已学习到其它端口上， 并且该端口的 MAC地址防迁移优 先级不低于本端口的优先级， 则管理 CPU指示不将该 MAC地址学习到本 端口。

上述端口的 MAC地址防迁移优先级是本发明提出的一个概念，作用是 用于控制 MAC地址迁移的方向： MAC地址可以从低优先级的端口迁移到 高优先级的端口， 而反方向则不允许迁移。

因而， 利用上面所提出的方法及装置， 能够在普通的交换芯片上实现 MAC地址防迁移的功能， 在多个服务商的业务流通过同一个交换芯片时， 能够通过配置不同的端口 MAC防迁移优先级的方式， 达到 MAC地址防迁 移的功能， 保证信任的端口的业务不会受到其它端口的 MAC地址欺骗攻 击， 不仅仅可用来防止正常业务通讯过程中用户 MAC地址的欺骗，还可以 通过端口 MAC地址防迁移优先级的灵活设置， 保证信任端口在受到 MAC 地址欺骗攻击后可以迅速的恢复。

本发明的其他特征和优点将在随后的说明书中阐述， 并且， 部分地从 说明书中变地显而易见， 或者通过实施本发明而了解。 本发明地目的和其 他优点可通过在所写地说明书、 权利要求书以及附图中所特别指出地结构 来实现和获得。 附图说明

图 1是本发明提供的实现 MAC地址防迁移的方法流程图；

图 2是现有交换机的结构示意图；

图 3是本发明提供的实现 MAC地址防迁移的交换机的结构示意图； 图 4是本发明实施例中实现交换机端口 MAC地址防迁移的方法流程 图。 具体实施方式

以下结合附图对本发明的优选实施例进行说明， 应当理解， 此处所描 述的优选实施例仅用于说明和解释本发明， 并不用于限定本发明。

本发明所要解决的技术问题是： 在交换芯片上基于网络安全的考虑， 提出了一种综合利用软硬件资源来实现 MAC地址防迁移功能的方法及装 置。

如图 1所示， 本发明实施例中的方法主要包括下列步驟：

步驟 S1、 设置交换机中交换芯片各端口的 MAC地址防迁移优先级； 步驟 S2、 关闭所有端口的 MAC地址自学习功能。

步驟 S3、 修改端口的未知源 MAC地址包的转发策略为不转发， 并打 开端口的 MAC地址学习和老化中断。

步驟 S4、 收到新的源 MAC地址消息， 则根据端口配置和数据库记录 信息确定学习策略； 以及收到 MAC地址老化消息， 则更新数据库记录。

需要说明的是步驟 S1至 S3为准备步驟，步驟 S4为防迁移的执行步驟。 准备步驟之间无前后逻辑； 准备步驟与执行步驟之间有前后逻辑。

如图 2所示， 现有以太网交换机至少包括一交换芯片， 具有关闭端口 MAC地址学习的功能，并且有上报管理 CPU新 MAC地址消息和上报 MAC 地址老化消息的功能。在交换芯片的连接中有若干端口， 以端口 1、端口 2、 端口 3三个端口表示。

与上述现有以太网交换机对比， 本发明实施例中的以太网交换机是用 于二层交换的以太网交换机， 如图 3 所示， 包括： 交换芯片、 优先级设置 模块、 数据库模块和管理 CPU。

其中， 交换芯片具有通常的二层交换功能， 虽然不具备 MAC地址防迁 移的功能， 但如同普通的交换芯片， 具有关闭端口 MAC地址学习的功能， 修改端口的未知源 MAC 地址包的转发策略为不转发功能， 打开端口的 MAC地址学习和老化中断功能，并且有上报管理 CPU新 MAC地址消息和 上报 MAC地址老化消息的功能。在交换芯片的连接中有若干端口，以 101、 102、 103三个端口表示。 其中交换网络组网情况为： 端口 101所接入为受 控网络， 其接入的业务可靠性比较高， 业务安全性要求也比较高， 而端口 102和 103接入的是非受控网络，不能排除这些端口存在恶意用户构造非法 的源 MAC地址 4艮文进行攻击， 如果这些非法的源 MAC恰好与 101端口下 的某些用户的源 MAC相同， 就会导致相同的 MAC地址学习到交换机不同 的用户端口上，从而造成 MAC地址学习发生紊乱， 导致某些正常的用户无 法上网。

优先级设置模块， 用于设置交换芯片各端口的 MAC地址防迁移优先 级。

数据库模块， 用于记录各端口当前的 MAC地址信息。

管理 CPU, 用于在获知端口收到新的源 MAC地址消息时， 根据端口 的 MAC地址防迁移优先级配置信息和数据库记录信息确定学习策略；在获 知端口收到 MAC地址老化消息时， 更新数据库记录。

结合上述实施例所述的方法及装置， 参加图 4所示， 根据用户的需求， 端口 101上学习到的 MAC地址不能迁移到 102或者 103上， 但 102或者 103上 MAC地址可以迁移到端口 101上， 此外， 端口 102和 103上学习到 的 MAC地址也不能互相迁移，在本实施例中，通过优先级设置模块设置端 口 101为 MAC防迁移的高优先级， 而端口 102和 103设置为 MAC防迁移 的低优先级。

关闭这三个端口的 MAC地址自学习功能并打开端口的新 MAC地址中 断， 这样， 在端口收到一个源 MAC地址（SA )的包后， 不会自己将 SA学 习到交换芯片上， 而会通过触发一个中断的方式通知管理 CPU, 而同时如 果出现 MAC地址老化的现象，交换芯片也可以通过触发中断的方式通知管 理 CPU, 这样会出现如下几种情况：

1、 管理 CPU收到端口 101新的源 MAC地址 SA消息， 且从数据库中 确定该 SA没有学习到其余任意一个端口上， 则直接在交换芯片上学习该 MAC地址， 并且在数据库中保存一条该 SA与端口 101的关联记录。

2、 管理 CPU收到端口 101新的源 MAC地址 SA消息， 且从数据库中 确定该 SA学习到 102端口或者 103端口上，由于发现配置中端口 101的防 迁移优先级要高于 102端口或者 103端口，则在交换芯片上将该 MAC地址 迁移到 101上， 并且将数据库中 SA修改关联到端口 101上。

3、管理 CPU收到端口 102或者端口 103的新的源 MAC地址 SA消息， 且从数据库中确定该 SA没有学习到其余任意一个端口上，则直接在交换芯 片上学习该 MAC地址， 并且在数据库中保存一条该 SA与接收端口的关联 记录。

4、管理 CPU收到端口 102或者端口 103的新的源 MAC地址 SA消息， 且从数据库中确定该 SA已经学习到端口 101上， 由于在配置中，接收端口 的 MAC地址防迁移的优先级低于端口 101 ,所以对该消息不进行任何处理， MAC地址不进行迁移。

5、管理 CPU收到端口 102或者端口 103的新的源 MAC地址 SA消息， 且从数据库中确定该 SA已经学习到 103或者 102端口上，由于在我们的配 置中， 接收端口的 MAC防迁移的优先级不高于当前 SA学习到的源端口， 所以对该消息不进行处理， MAC地址不进行迁移。

综上所述， 应用本发明的方法及装置， 可以在普通的交换芯片上实现 复杂的 MAC地址防迁移的功能， 可以让业务运营商根据实际组网情况， 配 置端口的 MAC防迁移的优先级， 能够在保证高优先级端口实时 MAC迁移 保护的情况下， 保证不会受到其它端口的 MAC地址攻击。

以上仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领 域的技术人员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和 原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保 护范围之内。

Claims

权利要求书

1、 一种实现交换机端口介质访问控制（MAC )地址防迁移的方法， 其 特征在于， 该方法包括：

设置交换机中交换芯片各端口的 MAC地址防迁移优先级；

关闭所有端口的 MAC地址自学习功能；

修改端口的未知源 MAC 地址包的转发策略为不转发， 并打开端口的 MAC地址学习和老化中断； 之后，

收到新的源 MAC地址消息，则根据端口配置和数据库记录信息确定学 习策略； 以及收到 MAC地址老化消息， 则更新数据库记录。

2、 如权利要求 1所述实现交换机端口 MAC地址防迁移的方法， 其特 征在于， 所述关闭所有端口的 MAC地址自学习功能由交换芯片完成。

3、 如权利要求 1所述实现交换机端口 MAC地址防迁移的方法， 其特 征在于， 修改所述端口的未知源 MAC地址包的转发策略由交换芯片完成。

4、 如权利要求 1所述实现交换机端口 MAC地址防迁移的方法， 其特 征在于， 所述根据端口配置和数据库记录信息确定学习策略具体为：

如果所述新的源 MAC地址未学习到其它端口上， 则将该 MAC地址学 习到本端口， 并且将该信息记入数据库中；

如果所述新的源 MAC 地址已学习到其它端口上， 并且其它端口的 MAC地址防迁移优先级低于本端口的优先级， 则将该 MAC地址学习到本 端口， 以及将数据库中 MAC地址的端口信息修改为本端口；

如果所述新的源 MAC 地址已学习到其它端口上， 并且其它端口的 MAC地址防迁移优先级不低于本端口的优先级， 则不将该 MAC地址学习 到本端口。

5、 如权利要求 1所述实现交换机端口 MAC地址防迁移的方法， 其特 征在于， 所述收到 MAC地址老化消息， 更新数据库记录的步驟， 具体为： 从数据库中删除所述 MAC地址老化消息的相应内容。

6、 一种交换机， 其特征在于， 所述交换机包括：

交换芯片， 其连接中有多个端口， 该芯片用于关闭所有端口的 MAC地 址自学习功能； 修改端口的未知源 MAC地址包的转发策略为不转发， 并打 开端口的 MAC地址学习和老化中断； 之后， 端口收到 MAC地址消息， 则 通知管理 CPU;

优先级设置模块， 用于设置交换芯片各端口的 MAC地址防迁移优先 级；

数据库模块， 用于记录各端口当前的 MAC地址信息；

管理 CPU, 用于在获知端口收到新的源 MAC地址消息时， 根据端口 配置和数据库记录信息确定学习策略；在获知端口收到 MAC地址老化消息 时， 更新数据库记录。

7、 如权利要求 6所述的交换机， 其特征在于， 管理 CPU根据端口配 置和数据库记录信息确定学习策略具体为：

如果所述新的源 MAC地址未学习到其它端口上， 则管理 CPU指示将 该 MAC地址学习到本端口， 并且将该信息记入数据库模块中；

如果所述新的源 MAC 地址已学习到其它端口上， 并且其它端口的 MAC地址防迁移优先级低于本端口的优先级， 则管理 CPU指示将该 MAC 地址学习到本端口，以及将数据库模块中所述 MAC地址的端口信息修改为 本端口；

如果所述新的源 MAC 地址已学习到其它端口上， 并且其它端口的 MAC地址防迁移优先级不低于本端口的优先级， 则管理 CPU指示不将该 MAC地址学习到本端口。

8、 如权利要求 6所述的交换机， 其特征在于， 管理 CPU在获知端口 收到 MAC地址老化消息时， 更新数据库记录的操作具体为： 从数据库模块 中删除所述 MAC地址老化消息的相应内容。

9、 如权利要求 6 所述的交换机， 其特征在于， 交换芯片在端口收到 MAC地址消息时， 通过触发中断的方式通知管理 CPU。

10、 如权利要求 6所述的交换机， 其特征在于， 所述交换机为用于二 层交换的以太网交换机。