专利名称:一种实现交换机端口mac地址防迁移的方法及装置的制作方法
技术领域:
本发明涉及以太网交换机的接入网络安全技术,特别是涉及一种实现交换机端口MAC地址防迁移的方法及装置。
背景技术:
宽带接入网络的技术发展迅速,其应用也越来越广泛,但是安全问题也伴随着它的发展成为大家越来越关心的问题。在接入网环境下,用户、接入设备和网络都面临着各种威胁,特别是来自用户侧的威胁。 宽带接入网络的快速发展使得宽带用户数成倍增加,但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后,接入网安全性问题日益凸现。因为以太网络是共享式的网络,它的优点和缺点均很明显。当前网络上很多黑客工具可以用来在以太网上兴风作浪监听他人信息、盗取业务、发起拒绝服务(DOS)攻击,造成网络设备瘫痪。而处于运营商控制范围内的中间设备主要的功能就是交换,运营商对业务很难控制,这就为恶意用户提供了开展破坏活动的空间。为提供"电信运营级"的接入网络,为用户提供安全的接入服务,检测非法业务,保证网络设备正常运行,目前是设备提供商和电信运营商共同关注的问题 MAC地址欺骗是非常严重的安全威胁。MAC地址欺骗的本质是会出现MAC地址重复,造成交换芯片MAC地址学习迁移,部分用户无法上网因为以太网自身的特点,MAC地址信息都是公开的,通过扫描工具,用户可以较容易地获取其他用户的MAC地址信息。如果相同的MAC地址出现在设备的不同用户端口上,就会造成MAC地址学习发生紊乱,导致用户无法上网。 为了增强安全性,在接入网络,一般要求在接入节点处实现用户端口隔离在同一个VLAN下的用户之间相互不能通信,而只能和上行汇聚端口互通。用户端口隔离可以通过私有虚拟局域网(PVLAN)技术来实现。 不是所有的交换芯片都支持PVLAN的功能,即使支持PVLAN的功能,也有可能因为设备MAC地址设置不当造成MAC地址重复问题,或者用户通过其他渠道获得其他用户的MAC(比如"暴力"MAC尝试)。PVLAN技术本身不足以完全解决用户侧MAC地址欺骗问题。
因此,为了解决以上问题,急需一种能够在当前以太网交换芯片上实现MAC地址防迁移的方法。而当前决大多数的交换芯片本身没有提供该功能,这给整个交换系统的安全管理策略造成了很大的困难。
发明内容
本发明提供了一种实现交换机端口 MAC地址防迁移的方法及装置,用以解决现有
技术不能在交换机的以太网交换芯片上有效实现MAC地址防迁移的问题。 本发明的一种实现交换机端口 MAC地址防迁移的方法,包括如下步骤设置交换
机中交换芯片的端口的MAC地址防迁移优先级。关闭所有端口的MAC地址自学习功能。修改端口的未知源MAC地址包的转发策略为不进行转发。打开端口的MAC地址学习和老化中断,这样端口在收到新的MAC地址或者老化后会发送相应的消息到CPU中。对于新的MAC地址消息,需要根据CPU数据库中的记录确认是否可以学习,如果可以,将MAC地址学习到相应的交换芯片端口上,并且更新数据库。对于MAC地址老化的信息,需要从数据库中删除相应的内容。 其中,关闭所有端口的MAC地址自学习功能是由交换芯片完成。
其中,修改端口的新MAC地址转发策略由交换芯片完成。 其中,从数据库信息中确定MAC地址是否可以学习的原则是如果该MAC地址没有学习到其它端口上,则学习该MAC地址,并且将该信息记入数据库中;如果该MAC地址学习到其它端口上,而且这个端口的MAC学习优先级低于本端口的优先级,则可以学习该MAC地址,并且将数据库中MAC地址的端口信息修改为本端口 ;如果该MAC地址学习到其它端口上,而且这个端口的MAC学习优先级不低于本端口的优先级,则本MAC地址不进行学习。
本发明的一种交换机,包括交换芯片,其连接中有多个端口,该芯片用于关闭所有端口的MAC地址自学习功能;修改端口的未知源MAC地址包的转发策略为不转发,并打开端口的MAC地址学习和老化中断;之后,端口收到MAC地址消息,则通知管理CPU。优先级设置模块,用于设置交换芯片各端口的MAC地址防迁移优先级。数据库模块,用于记录各端口当前的MAC地址信息。管理CPU,用于在获知端口收到新的源MAC地址消息时,根据端口配置和数据库记录信息确定学习策略;在获知端口收到MAC地址老化消息时,更新数据库记录。 其中,管理CPU根据端口配置和数据库记录信息确定学习策略的逻辑规则包括如果所述新的源MAC地址未学习到其它端口上,则管理CPU指示将该MAC地址学习到本端口 ,并且将该信息记入数据库模块中;如果所述新的源MAC地址已学习到其它端口上,并且该端口的MAC地址防迁移优先级低于本端口的优先级,则管理CPU指示将该MAC地址学习到本端口,以及将数据库模块中MAC地址的端口信息修改为本端口 ;如果所述新的源MAC地址已学习到其它端口上,并且该端口的MAC地址防迁移优先级不低于本端口的优先级,则管理CPU指示不将该MAC地址学习到本端口 。 上述端口的MAC地址防迁移优先级是本发明提出的一个概念,作用是用于控制MAC地址迁移的方向MAC地址可以从低优先级的端口迁移到高优先级的端口 ,而反方向则不允许迁移。 因而,利用上面所提出的方法及装置,能够在普通的交换芯片上实现MAC地址防迁移的功能,在多个服务商的业务流通过同一个交换芯片时,能够通过配置不同的端口MAC防迁移优先级的方式,达到MAC地址防迁移的功能,保证信任的端口的业务不会受到其它端口的MAC地址欺骗攻击,不仅仅可用来防止正常业务通讯过程中用户MAC地址的欺骗,还可以通过端口 MAC地址防迁移优先级的灵活设置,保证信任端口在受到MAC地址欺骗攻击后可以迅速的恢复。 本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变地显而易见,或者通过实施本发明而了解。本发明地目的和其他优点可通过在所写地说明书、权利要求书以及附图中所特别指出地结构来实现和获得。
附图用来提供对本发明地进一步理解,并且构成说明书地一部分,与本发明地实施例一起用于解释本发明,并不构成本发明地限制。在附图中
图1是本发明提供的实现MAC地址防迁移的方法流程 图2是现有交换机的结构示意图; 图3是本发明提供的实现MAC地址防迁移的交换机的结构示意 图4是本发明实施例中实现的交换机端口 MAC地址防迁移的方法流程图。
具体实施例方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。 本发明所要解决的技术问题是在交换芯片上基于网络安全的考虑,提出了一种综合利用软硬件资源来实现MAC地址防迁移功能的方法及装置。
如图1所示,本发明实施例中的方法主要包括下列步骤
S1、设置交换机中交换芯片各端口的MAC地址防迁移优先级;
S2、关闭所有端口的MAC地址自学习功能。 S3、修改端口的未知源MAC地址包的转发策略为不转发,并打开端口的MAC地址学习和老化中断。 S4、收到新的源MAC地址消息,则根据端口配置和数据库记录信息确定学习策略;以及收到MAC地址老化消息,则更新数据库记录。 需要说明的是步骤SI至S3为准备步骤,步骤S4为防迁移的执行步骤。准备步骤之间无前后逻辑;准备步骤与执行步骤之间有前后逻辑。 如图2所示,现有太网交换机至少包括一交换芯片,具有关闭端口 MAC地址学习的功能,并且有上报管理CPU新MAC地址消息和上报MAC地址老化消息的功能。在交换芯片的连接中有若干端口,以端口 1、端口 2、端口 3三个端口表示。 与上述现有太网交换机对比,本发明实施例中的以太网交换机是用于二层交换的以太网交换机,如图3所示,包括交换芯片、优先级设置模块、数据库模块和管理CPU。
其中,交换芯片具有通常的二层交换功能,虽然不具备MAC地址防迁移的功能,但如同普通的交换芯片,具有关闭端口 MAC地址学习的功能,修改端口的未知源MAC地址包的转发策略为不转发功能,打开端口的MAC地址学习和老化中断功能,并且有上报管理CPU新MAC地址消息和上报MAC地址老化消息的功能。在交换芯片的连接中有若干端口,以101、102、103三个端口表示。其中交换网络组网情况为端口 IOI所接入为受控网络,其接入的业务可靠性比较高,业务安全性要求也比较高,而端口 102和103接入的是非受控网络,不能排除这些端口存在恶意用户构造非法的源MAC地址报文进行攻击,如果这些非法的源MAC恰好与101端口下的某些用户的源MAC相同,就会导致相同的MAC地址学习到交换机不同的用户端口上,从而造成MAC地址学习发生紊乱,导致某些正常的用户无法上网。
优先级设置模块,用于设置交换芯片各端口的MAC地址防迁移优先级。
数据库模块,用于记录各端口当前的MAC地址信息。 管理CPU,用于在获知端口收到新的源MAC地址消息时,根据端口的MAC地址防
6迁移优先级配置信息和数据库记录信息确定学习策略;在获知端口收到MAC地址老化消息 时,更新数据库记录。 结合上述实施例所述的方法及装置,参加图4所示,根据用户的需求,端口 101上 学习到的MAC地址不能迁移到102或者103上,但102或者103上MAC地址可以迁移到端 口 IOI上,此外,端口 102和103上学习到的MAC地址也不能互相迁移,在本实施例中,通过 优先级设置模块设置端口 101为MAC防迁移的高优先级,而端口 102和103设置为MAC防 迁移的低优先级。 关闭这三个端口的MAC地址自学习功能并打开端口的新MAC地址中断,这样,在端 口收到一个源MAC地址SA的包后,不会自己将SA学习到交换芯片上,而会通过触发一个中 断的方式通知管理CPU,而同时如果出现MAC地址老化的现象,交换芯片也可以通过触发中 断的方式通知管理CPU,这样会出现如下几种情况 1、 CPU收到端口 101新的源MAC地址SA消息,且从数据库中确定该SA没有学习 到其余任意一个端口上,则直接在交换芯片上学习该MAC地址,并且在数据库中保存一条 该SA与端口 101的关联记录。 2、CPU收到端口 101新的源MAC地址SA消息,且从数据库中确定该SA学习到102 端口或者103端口上,由于发现我们的配置中端口 101的防迁移优先级要高于102端口或 者103端口,则在交换芯片上将该MAC地址迁移到101上,并且将数据库中SA修改关联到 端口 101上。 3、CPU收到端口 102或者端口 103的新的源MAC地址SA消息,且从数据库中确定 该SA没有学习到其余任意一个端口上,则直接在交换芯片上学习该MAC地址,并且在数据 库中保存一条该SA与接受端口的关联记录。 4、CPU收到端口 102或者端口 103的新的源MAC地址SA消息,且从数据库中确定 该SA已经学习到端口 IOI上,由于在我们的配置中,接收端口的MAC地址防迁移的优先级 低于端口 IOI,所以对该消息不进行任意处理,MAC地址不进行迁移。 5、CPU收到端口 102或者端口 103的新的源MAC地址SA消息,且从数据库中确定 该SA已经学习到103或者102端口上,由于在我们的配置中,接收端口的MAC防迁移的优 先级不高于当前SA学习到的源端口,所以对该消息不进行处理,MAC地址不进行迁移。
综上所述,应用本发明的方法及装置,可以在普通的交换芯片上实现复杂的MAC 地址防迁移的功能,可以让业务运营商根据实际组网情况,配置端口的MAC防迁移的优先 级,能够在保证高优先级端口实时MAC迁移保护的情况下,保证不会受到其它端口的MAC地 址攻击。 以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人 员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、 等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种实现交换机端口MAC地址防迁移的方法,其特征在于,包括下列步骤设置交换机中交换芯片各端口的MAC地址防迁移优先级;关闭所有端口的MAC地址自学习功能;修改端口的未知源MAC地址包的转发策略为不转发,并打开端口的MAC地址学习和老化中断;之后,收到新的源MAC地址消息,则根据端口配置和数据库记录信息确定学习策略;以及收到MAC地址老化消息,则更新数据库记录。
2. 如权利要求l所述实现交换机端口MAC地址防迁移的方法,其特征在于,所述关闭所有端口的MAC地址自学习功能是由交换芯片完成。
3. 如权利要求1所述实现交换机端口 MAC地址防迁移的方法,其特征在于,修改所述端口的未知源MAC地址包的转发策略由交换芯片完成。
4. 如权利要求1所述实现交换机端口 MAC地址防迁移的方法,其特征在于,所述根据端口配置和数据库记录信息确定学习策略的逻辑规则包括如果所述新的源MAC地址未学习到其它端口上,则将该MAC地址学习到本端口 ,并且将该信息记入数据库中;如果所述新的源MAC地址已学习到其它端口上,并且该端口的MAC地址防迁移优先级低于本端口的优先级,则将该MAC地址学习到本端口 ,以及将数据库中MAC地址的端口信息修改为本端口;如果所述新的源MAC地址已学习到其它端口上,并且该端口的MAC地址防迁移优先级不低于本端口的优先级,则不将该MAC地址学习到本端口 。
5. 如权利要求1所述实现交换机端口 MAC地址防迁移的方法,其特征在于,所述收到MAC地址老化消息,更新数据库记录的步骤,具体为从数据库中删除所述MAC地址老化消息的相应内容。
6. —种交换机,其特征在于,包括交换芯片,其连接中有多个端口 ,该芯片用于关闭所有端口的MAC地址自学习功能;修改端口的未知源MAC地址包的转发策略为不转发,并打开端口的MAC地址学习和老化中断;之后,端口收到MAC地址消息,则通知管理CPU ;优先级设置模块,用于设置交换芯片各端口的MAC地址防迁移优先级;数据库模块,用于记录各端口当前的MAC地址信息;管理CPU,用于在获知端口收到新的源MAC地址消息时,根据端口配置和数据库记录信息确定学习策略;在获知端口收到MAC地址老化消息时,更新数据库记录。
7. 如权利要求6所述的交换机,其特征在于,管理CPU根据端口配置和数据库记录信息确定学习策略的逻辑规则包括如果所述新的源MAC地址未学习到其它端口上,则管理CPU指示将该MAC地址学习到本端口,并且将该信息记入数据库模块中;如果所述新的源MAC地址已学习到其它端口上,并且该端口的MAC地址防迁移优先级低于本端口的优先级,则管理CPU指示将该MAC地址学习到本端口 ,以及将数据库模块中MAC地址的端口信息修改为本端口 ;如果所述新的源MAC地址已学习到其它端口上,并且该端口的MAC地址防迁移优先级不低于本端口的优先级,则管理CPU指示不将该MAC地址学习到本端口 。
8. 如权利要求6所述的交换机,其特征在于,管理CPU在获知端口收到MAC地址老化消息时,更新数据库记录的操作具体为从数据库模块中删除所述MAC地址老化消息的相应内容。
9. 如权利要求6所述的交换机,其特征在于,交换芯片在端口收到MAC地址消息时,通过触发中断的方式通知管理CPU。
10. 如权利要求6所述的交换机,其特征在于,所述交换机为用于二层交换的以太网交换机。
全文摘要
本发明公开了一种实现交换机端口MAC地址防迁移的方法及装置,涉及以太网交换机的接入网络安全技术,用以解决现有技术不能在交换机的以太网交换芯片上有效实现MAC地址防迁移的问题。方法包括设置交换机中交换芯片各端口的MAC地址防迁移优先级;关闭所有端口的MAC地址自学习功能;修改端口的未知源MAC地址包的转发策略为不转发,并打开端口的MAC地址学习和老化中断;之后,收到新的源MAC地址消息,则根据端口配置和数据库记录信息确定学习策略;以及收到MAC地址老化信息,则更新数据库记录。交换机包括交换芯片、优先级设置模块、数据库模块和管理CPU。
文档编号H04L29/06GK101764753SQ20091026029
公开日2010年6月30日 申请日期2009年12月28日 优先权日2009年12月28日
发明者孙朋, 郭敬立 申请人:中兴通讯股份有限公司