专利名称:Arp代理技术的制作方法
技术领域:
本发明主要应用于电信网络中的楼道交换机和家庭多业务交换机,通过控制ARP报文的 转发来达到限制过多的非法终端以及AKP攻击的目的。
背景技术:
冃前,在电信和广电网络环境下,越来越多的家庭用户使用电信网络的宽带服务或广电 网络的多业务服务。比起传统的电话线拨号网络服务,有带宽大、安装方便、成本低等优势。 但由于这种方式的业务数据传输使用的通用以太网传输协议和使用交换机作为终端接入设
备,所以造成两点缺陷容易被非法用户介入和容易产生内网的网络攻击。
非法用户一般为两种家庭中超过申请数量的用户和直接从楼道介入的非法用户。内网 的网络攻击一般为ARP欺诈。现有的解决方案一般为使用用户登录软件以及安装分布式防火 墙,但此方案的缺点是购买和维护软件的成本较高,且家庭增加用户时须新增账号,用户使 用不便;另外安装分布式防火墙需购买防火墙设备,成本较高。
发明内容
本发明解决其技术问题所采用的方案是在交换机的CPU中加入ARP代理功能模块,此 模块包含两部分。 一部分是ARP处理部分,这部分的主要功能是将上下行的ARP报文分别进 行处理;另一部分是MAC地址限制部分,主要功能是限制连接业务的MAC地址数量。
两部分共同工作,对上行ARP报文做MAC地址数量限制处理,对下行的ARP报文做攻击 检査处理,从而同时解决上述两个问题。
具体处理是当下行接口 (连接终端用户)接受到ARP请求报文后,模块检查报文的源MAC 地址是否在模块的MAC地址表中,如果在就转发报文,不在的话再检査MAC地址表的数量有 没有达到设置的上限;如果未达到,记录此MAC地址并转发报文,若达到上限的话就丢弃报 文。这样用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时就能顺利 连接网络业务;如果MAC地址表已达到上限值,交换机将不再对新增加用户的ARP报文进行 转发,从而限制超数量的非法用户使用网络业务。
当上行接口(连接业务通路)接收到ARP请求报文后,模块直接丢弃报文;如果是ARP应 答报文,则进行IP地址有效性检查和填充数据段检査,防lhARP欺诈。从而有效地保护终端用户的网络安全,并且此技术实现简单,成本很低,非常适合家庭和楼道交换机使用。
下面结合附图和实现例对本发明进一步说明 图1是带ARP代理功能的产品应用示意图。 图2是内嵌ARP代理功能模块示意图。 图3是ARP代理功能模块的内部逻辑结构。
图1中,家庭交换机使用ARP代理功能后,家庭用户的数量将受交换机设置的MAC地址 上限值限制,超过上限值的用户为非法用户,将不通过交换机连接上行业务,并且由于ARP 报文为交换机转发过滤,可以有效的防止ARP攻击。
楼道交换机使用ARP代理功能后,整个楼道的家庭交换机数量将受到楼道交换机设置的 MAC地址上限值限制,超过上限值的用户为非法用户,将不能通过楼道交换机连接上行业务。
图2中,交换机的内嵌ARP代理功能模块的方式是先将CPU置于上行以太网接口与交换 引擎之间,上行以太网接口所有收发的报文都须通过CPU, ARP代理功能模块内嵌于CPU, CPU 对通过的报文进行判断,普通报文不做处理,将上下行的ARP报文分别导入ARP代理功能模 块进行处理转发。
图3中,ARP代理功能模块内部结构主要分为两部分 一部分是ARP解析处理部分,它 把上下行的ARP报文分别做不同规划的处理和转发;另一部分是MAC地址限制部分,由一个 MAC地址表和四个控制器组成,四个控制器分别是查询控制器、数量控制器、记录控制器和 老化控制器。
具体实施例方式
图3中,各模块的具体处理逻辑如下
ARP报文解析器将上下行以太网接口接收到的ARP报文进行解析,分为四种类型 >上行口进入的ARP请求报文直接丢弃;
>上行口进入的ARP应答报文对报文做ARP欺诈检查后转发报文; >下行口进入的ARP请求报文导入MAC地址查询控制器; >下行口进入的ARP应答报文直接丢弃。MAC地址查询控制器比对报文的源MAC地址是否存在于MAC地址表中,然后分类处理
>源MAC已在MAC地址表中记录直接转发报文;
>源MAC未在MAC地址表中记录导入MAC地址数量控制器。
MAC地址数量控制器检查MAC地址表中的地址数量是否达到CPU设置的上限值,然后对 导入的报文进行分类处理
> MAC地址已满直接丢弃报文;
> MAC地址未满转发报文并且将报文的源MAC导入MAC地址记录控制器。 MAC地址记录控制器将导入的源MAC在MAC地址表中做记录。
MAC地址记录控制器将长时间未进行网络连接的MAC地址从MAC地址表中老化掉。
图2中,内部CPU需包含两个MII接口, 一个接上行以太网接口,另一个接交换机引擎 的MII接口,保证所有通过上行接口的报文都必须通过CPU。在CPU的以太网报文处理模块 中对每个报文的以太网类型进行检查,如果是ARP报文就导入ARP代理功能模块,其他报文
直接转发。
ARP代理功能模块与CPU的内部接口有两种, 一种是以太网接口 (一般为RAM接口),连接 ARP报文的缓存,分为上下行两路接口,将ARP报文的上下行区分出来;另一种串行配置接 口 ,作为CPU对ARP代理功能模块MAC地址上限值的配置接口 。
图1中,将家庭和楼道的交换机分别设置对应的MAC地址上限值,当家庭用户登录时, 用户的ARP将通过交换机进行转发,交换机的ARP代理功能模块将对MAC地址表进行检查, 当用户的MAC地址己在MAC地址表里或MAC地址表还未达到设置的上限值时就对ARP报文转 发,让此用户能顺利连接网络业务。如果MAC地址表已达到上限值,交换机将不再对新增加 的ARP报文进行转发,从而限制超数量的非法用户使用网络业务。
楼道交换机也具有同样的功能,可以对楼道的总用户数进行控制。
另外,交换机的ARP代理功能模块对从交换机上行以太网接口接收到的ARP报文进行检 查和处理,如果是ARP请求报文直接丢弃,如果是ARP应答报文就进行ARP欺诈检査和处理, 从而有效的防止网络中的ARP攻击,保护用户的安全。
权利要求
1.家庭或楼道交换机,通过ARP代理技术来实现限制非法用户登录和防范ARP攻击,其特征是用户的ARP将通过交换机进行转发,交换机的ARP代理功能模块将对MAC地址表进行检查,当用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时就对ARP报文转发,让此用户能顺利连接网络业务。如果MAC地址表已达到上限值,交换机将不再对新增用户的ARP报文进行转发,从而限制超数量的非法用户使用网络业务。
2. 根据权利要求1所述的家庭或楼道交换机,其特征是交换机的ARP代理功能模块对从 交换机上行以太网接口接收到的ARP报文进行检査和处理,如果是ARP请求报文直接丢 弃,ARP应答报文就进行ARP欺诈检查和处理,从而有效的防止网络中的ARP攻击,保护 用户的安全。
全文摘要
家庭或楼道交换机,通过ARP代理技术来实现限制非法用户登录和防范ARP攻击的目的,用户的ARP将通过交换机进行转发,交换机的ARP代理功能模块将对MAC地址表进行检查,当用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时就对ARP报文转发,让此用户能顺利连接网络业务。如果MAC地址表已达到上限值,交换机将不再对新增用户的ARP报文进行转发,从而限制超数量的非法用户使用网络业务。交换机的ARP代理功能模块对从交换机上行以太网接口接收到的ARP报文进行检查和处理,如果是ARP请求报文直接丢弃,ARP应答报文就进行ARP欺诈检查和处理,从而有效的防止网络中的ARP攻击,保护用户的安全。
文档编号H04L12/56GK101616075SQ200910059669
公开日2009年12月30日 申请日期2009年6月19日 优先权日2009年6月19日
发明者朱仁昌 申请人:成都华程信息技术有限公司