专利名称:在接入设备上防止介质访问控制地址表扰乱的方法
技术领域:
本发明涉及一种通讯方法,具体说,涉及一种在接入设备上防止介质 访问控制地址表扰乱的方法。
背景技术:
宽带接入网络正在迅速从异步传输模式(ATM)技术向以太网技术进 行迁移,整个接入汇聚网络的主要接入设备,从DSLAM到汇聚交换机,都 是二层网络,这样就带来的一些安全问题。
MAC (Media Access Control,介质访问控制)地址是识别LAN (局域 网)节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM
(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖 以标识发出数据的电脑和接收数据的主机的地址。也就是说,在网络底层的 物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。 比如,著名的以太网卡,其物理地址是48bit (比特位)的整数,如 44_45_53_54_00-00,以机器可读的方式存入主机接口中。以太网地址管理机构
(IEEE)将以太网地址,也就是48比特的不同组合,分为若干独立的连续 地址组,生产以太网网卡的厂家就购买其中一组,具体生产时,逐个将唯一 地址赋予以太网卡。形象的说,MAC地址就如同我们身份证上的身份证号 码,具有全球唯一性。
虚拟局域网(VLAN)不仅有利于网络安全和防止网络风暴,而且可以 提高网络运行的效率,第三层交换机的普及为VLAN的应用创造了条件。 VLAN是由位于不同物理局域网段的设备组成,虽然VLAN所连接的设备 来自不同的网段,但是相互之间可以进行直接通信。
接入设备的以太网交换芯片的二层介质访问控制(Media Access Control, MAC)地址转发表,是交换芯片进行数据包交换的核心数据表,
由于其MAC地址学习 一般没有安全策略控制,当具有同 一源MAC的数据 包从交换芯片不同端口进入交换芯片的话,会造成MAC地址表频繁迁移, 从而造成以这个MAC地址为目的MAC的数据包转发混乱。在实际应用中, 如果接入设备的用户侧端口来数据包是BRAS的MAC的地址,则会造成其 它用户去宽带远程接入服务器(BRAS)的数据包被错误转发到这个用户端 口上,造成业务中断。
所以,在接入设备中给MAC地址表学习加入安全策略,防止MAC地 址表由于频繁迁移而造成扰乱十分重要,但是现有技术没有很好地解决这个问题。
发明内容
本发明所解决的技术问题是提供一种在接入设备上防止介质访问控制 地址表扰乱的方法,保证接入设备的正确转发,提供业务的安全性和稳定性。
技术方案如下
在接入设备上防止介质访问控制地址表扰乱的方法包括如下步骤 (1 ) 数据平面中的交换芯片关闭网络側端口 MAC地址学习; (2 ) MAC地址学习^t块替换交换芯片的MAC地址学习功能;
(3) MAC地址学习模块和MAC地址合法性检查模块过滤不合法的 MAC地址学习,建立一个合法的MAC地址表;
(4) 控制平面将新学习的合法MAC地址表设置到交换芯片中,同时, 启动老化过程,当老化之后,删除交换芯片的该MAC地址。
进一步,步骤(3)中,所述MAC地址合法性检查模块内部建立一个 绑定数据库,实现MAC地址和合法端口的绑定。
进一步,步骤(3)进一步包括,不符合绑定关系的MAC地址表项认 为是非法的。
进一步,步骤(3)中,所述绑定数据库中每个条目包括MAC地址、 VLAN、合法端口。
进一步,步骤(3)中,绑定关系通过网管配置实现。
进一步,绑定关系通过对协议的监听实现。
进一步,步骤(3)中,所述协议为DHCP、 PPPOE或者ARP。
进一步,步骤(3)具体为控制平面监听用户的DHCP、 PPPOE或者 ARP, MAC地址合法性检查模块建立用户MAC、用户VLAN、用户端口的 绑定数据库;当新用户MAC地址学习时,通过用户MAC和用户VLAN检 查绑定数据库,然后判断绑定数据库中的用户端口和当前端口是否一致,当 一致时该MAC地址合法,当不一致时该MAC地址非法。
本发明解决了接入设备的以太网交换核心的MAC地址表容易受到攻击 而扰乱的问题,保证了接入设备的正确转发,提供业务的安全性和稳定性。 由于交换芯片都是静态MAC地址,把交换芯片不安全的MAC地址学习功 能转变成控制平面的安全的MAC地址学习,从而杜绝了由于源MAC攻击 造成的MAC地址表扰乱。由于现在业界交换芯片的MAC地址学习都是没 有安全控制的,本发明有一定普遍性。
图1是接入设备防止MAC地址表扰乱的系统结构框图。
具体实施例方式
接入设备分成控制平面和数据平面两个组成部分。控制平面以CPU为 核心,用于协议和网管处理;数据平面以以太网交换芯片为核心,用户正常 数据转发。
下面参照图l对本发明的优选实施例作详细描述。
以交换芯片为核心的数据平面,需要关闭MAC地址学习功能,所有 MAC地址学习由控制平面的MAC地址学习模块使用静态MAC地址的方式 手工设定,MAC地址的老化也是由MAC地址学习模块进行控制。
控制平面包括MAC地址学习模块和MAC地址合法性检查模块两个组 成部分。MAC地址学习模块的主要工作就是替换交换芯片的无策略的MAC 地址学习功能,通过和MAC地址合法性检查模块一起,过滤不合法的MAC 地址学习,建立一个合法的MAC地址表,同时完成把这些表项作为静态 MAC地址设置到数据平面的交换芯片中;同时完成MAC地址的老化,当 MAC地址表老化之后,直接从交换芯片中删除这个表项。MAC地址合法性 检查模块内部建立了一个绑定数据库,实现了 MAC地址和合法端口的绑定, 不符合绑定关系的MAC地址表项都认为是非法的。绑定数据库中每个条目 包括MAC地址、VLAN、合法端口。这个绑定关系可以通过不同手段实现, 例如可以通过网管配置实现,或者通过对协议,如DHCP、 PPPOE、 ARP等 的监听实现。
具体的工作过程如下
在接入设备上防止介质访问控制地址表扰乱的方法包括如下步骤
(1) 数据平面中的交换芯片关闭网络側端口 MAC地址学习。
(2) MAC地址学习模块替换交换芯片的MAC地址学习功能。
数据平面中的交换芯片对于网络侧端口 MAC地址学习关闭,因为根据 网络规划,其BRAS的MAC地址是已知的;对于用户侧端口 , MAC地址 学习采用CPU学习方式,交给控制平面的MAC地址学习模块处理。
(3) MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC 地址学习,建立一个合法的MAC地址表;
MAC地址合法性检查模块内部建立绑定数据库,实现MAC地址和合 法端口的绑定,绑定关系通过网管配置实现,或者绑定关系通过对协议的监 听实现。绑定数据库存储有用户IP、用户MAC、 VLAN、用户端口绑定信 息等内容,绑定数据库中每个条目包括MAC地址、VLAN、合法端口。协 议为DHCP、 PPPOE或者ARP。
控制平面监听用户的DHCP、 PPPOE或者ARP, MAC地址合法性检查 模块建立用户MAC、用户VLAN、用户端口的绑定数据库。当新用户MAC 地址学习时,通过用户MAC和用户VLAN检查绑定数据库,然后判断绑 定数据库中的用户端口和当前端口是否一致,当一致时该MAC地址合法, 当不一致时该MAC地址非法,即不符合绑定关系的MAC地址表项认为是
非法的。
(4)控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启
动老化过程,当老化之后,就删除交换芯片的该MAC地址。
权利要求
1、一种在接入设备上防止介质访问控制地址表扰乱的方法,包括如下步骤(1)数据平面中的交换芯片关闭网络侧端口MAC地址学习;(2)MAC地址学习模块替换交换芯片的MAC地址学习功能;(3)MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习,建立合法的MAC地址表;(4)控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启动老化过程,当老化之后,删除交换芯片的该MAC地址。
2、 根据权利要求1所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,步骤(3)中,所述MAC地址合法性检查模块内部 建立绑定数据库,实现MAC地址和合法端口的绑定。
3、 根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,步骤(3)进一步包括,不符合绑定关系的MAC地 址表项认为是非法的。
4、 根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,步骤(3)中,所述绑定数据库中每个条目包括MAC 地址、VLAN、合法端口。
5、 根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,步骤(3)中,绑定关系通过网管配置实现。
6、 根据权利要求2所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,绑定关系通过对协议的监听实现。
7、 根据权利要求6所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,步骤(3)中,所述协议为DHCP、 PPPOE或者ARP。
8、冲艮据权利要求7所述的在接入设备上防止介质访问控制地址表扰乱 的方法,其特征在于,步骤(3)具体为控制平面监听用户的DHCP、 PPPOE 或者ARP, MAC地址合法性4企查才莫块建立用户MAC、用户VLAN、用户 端口的绑定数据库;当新用户MAC地址学习时,通过用户MAC和用户 VLAN检查绑定数据库,然后判断绑定数据库中的用户端口和当前端口是否 一致,当一致时该MAC地址合法,当不一致时该MAC i也址非法。
全文摘要
本发明公开了一种在接入设备上防止介质访问控制地址表扰乱的方法,包括如下步骤数据平面中的交换芯片关闭网络侧端口MAC地址学习;MAC地址学习模块替换交换芯片的MAC地址学习功能;MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习,建立一个合法的MAC地址表;控制平面将新学习的合法MAC地址表设置到交换芯片中,同时,启动老化过程,当老化之后,删除交换芯片的该MAC地址。由于交换芯片都是静态MAC地址,把交换芯片不安全的MAC地址学习功能转变成控制平面的安全的MAC地址学习,从而杜绝了由于源MAC攻击造成的MAC地址表扰乱。
文档编号H04L29/06GK101098291SQ20061006138
公开日2008年1月2日 申请日期2006年6月29日 优先权日2006年6月29日
发明者陈爱民 申请人:中兴通讯股份有限公司