专利名称:报文处理方法和系统、交换机和接入服务器设备的制作方法
技术领域:
本发明实施例涉及通信技术,尤其涉及一种报文处理方法和系统、交换机和接入 服务器设备。
背景技术:
交换机是一种在通信网络中完成信息交换功能的设备。现有的交换机中维护有一 个介质访问控制(Media Access Control,以下简称MAC)地址与交换机每个发送端口之间 的对应关系表,也即MAC转发表。当有MAC报文经过交换机转发时,如果该对应关系表中不 存在与该MAC报文的MAC地址对应的发送端口信息,则交换机就会往所有发送端口广播该 MAC报文,当目标设备从某个发送端口返回信息时,交换机才知道该MAC地址对应哪个发送 端口,于是交换机即可将该发送端口和该MAC地址的对应关系加入MAC转发表中,该过程即 为MAC转发表的学习过程。在现有的二层网络或者虚拟专用局域网业务(Virtual Private Lan Service,以 下简称VPLS)网络等通信网络中,只要交换机从源端设备接收到MAC转发表中没有对应的 发送端口信息的MAC报文,就会对进行MAC学习,该学习过程会一直占用MAC转发表。因 此,当源端设备恶意地发送MAC地址不断变化的MAC报文时,就会出现MAC攻击,从而耗尽 对应关系表的资源,使得交换机无法进行正常的转发处理。为了解决这一问题,现有技术采 用限制交换机上整个虚拟交换接口(Virtual Switch Interface,以下简称VSI)或者某一 个VSI上的MAC学习个数来防范MAC攻击。但是现有技术是一种被动防御的方式,当出现 MAC攻击时,一旦MAC学习个数超过预设阈值,则交换机也无法对整个VSI或者同一个VSI 内接入的其它合法源端设备发送的MAC报文进行转发处理。
发明内容
本发明实施例提供一种报文处理方法和系统、交换机和接入服务器设备。本发明实施例提供一种报文处理方法,包括接收源端设备发送的上线认证报文,所述上线认证报文中包含所述源端设备的 MAC地址;将所述上线认证报文发送给接入服务器设备;接收所述接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的 认证结果消息;若认证通过,则根据所述认证结果消息进行MAC转发表的学习处理。本发明实施例提供另一种报文处理方法,包括接收交换机发送的上线认证报文,所述上线认证报文中包含发送所述上线认证报 文的源端设备的MAC地址;根据所述MAC地址对所述源端设备进行认证处理;向所述交换机发送认证结果消息。
本发明实施例提供一种交换机,包括第一接收模块,用于接收源端设备发送的上线认证报文,所述上线认证报文中包 含所述源端设备的MAC地址;接收接入服务器设备根据所述MAC地址对所述源端设备进行 认证后发送的认证结果消息;第一发送模块,用于将所述第一接收模块接收的所述上线认证报文发送给接入服 务器设备;第一处理模块,用于在所述第一接收模块接收的认证结果消息标识认证通过时, 根据所述认证结果消息进行MAC转发表的学习处理。本发明实施例提供一种接入服务器设备,包括第二接收模块,用于接收交换机发送的上线认证报文,所述上线认证报文中包含 发送所述上线认证报文的源端设备的MAC地址;第二处理模块,用于根据所述第二接收模块接收的上线认证报文中包含的MAC地 址对所述源端设备进行认证处理;第二发送模块,用于向所述交换机发送所述第二处理模块认证处理获取的认证结
果消息。本发明实施例提供一种报文处理系统,包括依次连接的用户边缘设备、交换机和 接入服务器设备;所述用户边缘设备,用于接收源端设备发送的上线认证报文,并将所述上线认证 报文转发给所述交换机;所述交换机,用于接收所述用户边缘设备发送的上线认证报文,所述上线认证报 文中包含所述源端设备的MAC地址,将所述上线认证报文发送给所述接入服务器设备,接 收所述接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的认证结果消 息,若认证通过,则根据所述认证结果消息进行MAC转发表的学习处理;所述接入服务器设备,用于接收交换机发送的上线认证报文,根据所述MAC地址 对所述源端设备进行认证处理,并向所述交换机发送认证结果消息。本发明实施例中,交换机并非对接收到的每一个需要进行MAC学习的MAC地址进 行学习,而是只对接入服务器设备认证通过的MAC地址进行学习,从而可以有效控制MAC学 习数量,避免在发送MAC攻击时出现交换机无法对其它正常的源端设备发送的上线认证报 文进行转发处理的问题。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。图1为本发明报文处理方法实施例一的流程图;图2为本发明报文处理方法实施例二的流程图;图3为本发明报文处理方法实施例三的流程图;图4为本发明报文处理方法实施例四的流程5
图5为本发明交换机实施例的结构示意图;图6为本发明接入服务器设备实施例的结构示意图;图7为本发明报文处理系统实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明报文处理方法实施例一的流程图,如图1所示,本实施例的方法可以 包括步骤101、接收源端设备发送的上线认证报文,所述上线认证报文中包含所述源端 设备的MAC地址。交换机作为上线认证报文的转发设备,可以接收源端设备,例如PC设备发送的上 线认证报文。该上线认证报文中可以包含源端设备的MAC地址。举例来说,该交换机可以为运营商边缘(Provider Edge,以下简称PE)设备。源 端设备可以通过用户边缘(Customer Edge,以下简称CE)设备与PE设备连接。因此,PE 设备可以接收源端设备通过CE设备透传的上线认证报文。步骤102、将所述上线认证报文发送给接入服务器设备。在现有技术中,PE设备在接收到该上线认证报文后,若MAC转发表中不存在与上 线认证报文中包含的MAC地址对应的发送端口信息,则PE设备将无法获知该上线认证报文 应从哪个发送端口发送出去,则PE设备会将该上线认证报文从各个发送端口广播出去,从 而进行MAC学习。相比之下,本实施例中,PE设备在接收到需要进行MAC学习的上线认证报文之后, 并不是直接进行MAC学习,而是将该上线认证报文发送给接入服务器设备。该接入服务器 设备即可对发送该上线认证报文的源端设备进行认证。举例来说,本实施例中的接入服务器设备可以为宽带远程接入服务器设备(Broad Remote Access Server,以下简称BRAS)设备。该BRAS设备是一种面向宽带网络应用的 接入网关。它是宽带接入网的骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管 理功能。BRAS设备主要完成两方面功能,一个是网络承载功能,另一个是控制实现功能。其 中,该控制实现功能即为该BRAS设备与认证系统、计费系统和客户管理系统及服务策略控 制系统相配合实现用户接入的认证、计费和管理功能。具体来说,在BRAS的后面,可以连接 有运营商的认证服务器和计费服务器等功能服务器。当用户登录时,BRAS即可将用户输入 的用户名和口令传送到认证服务器,验证通过后,BRAS将允许用户接入网络。在本实施例 中,该BRAS设备可以根据上线认证报文中包含的MAC地址,对源端设备的合法性进行认证 处理。在认证完成后,该BRAS设备即可将认证结果消息反馈给PE设备。本实施例并不限定接入服务器设备根据MAC地址对源端设备进行认证的具体实 现方式,本领域技术人员可以根据需要采用适当的认证处理方式。步骤103、接收所述接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的认证结果消息。PE设备可以接收接入服务器设备,例如BRAS设备发送的认证结果消息。步骤104、若认证通过,则根据所述认证结果消息进行MAC转发表的学习处理。若接收的认证结果消息表明与该MAC地址对应的源端设备通过认证,则PE设备此 时才开始进行MAC转发表的学习处理。此处的MAC转发表的学习处理可以采用现有技术中 的学习处理方式,此处不再赘述。若认证未通过,则PE设备将拒绝本次网络设备的转发处理。由上述内容可知,若PE设备从初始状态开始即采用上述方式进行MAC转发表的学 习处理,则该MAC转发表中存储的MAC地址转发表项一定是经过接入服务器设备认证通过 的,而认证未通过的源端设备的MAC地址一定不会被加入到MAC转发表中。当存在MAC攻击时,由于发起MAC攻击的源端设备一般为非认证用户,因此,接入 服务器设备根据这类用户发送而来的上线认证报文中包含的MAC地址进行认证时,将会得 到认证不通过的结果。因此,PE设备在接收接入服务器设备发送的认证不通过的认证结果 消息后,就不会对MAC转发表进行学习。本实施例中,交换机并非对接收到的每一个需要进行MAC学习的MAC地址进行学 习,而是只对接入服务器设备认证通过的MAC地址进行学习,从而可以有效控制MAC学习数 量,避免在发送MAC攻击时出现交换机无法对其它正常的源端设备发送的上线认证报文进 行转发处理的问题。图2为本发明报文处理方法实施例二的流程图,如图2所示,本实施例是图1所示 方法实施例的一种具体实现方式,本实施例的方法可以包括步骤201、接收源端设备发送的上线认证报文,所述上线认证报文中包含所述源端 设备的MAC地址。步骤201的实现过程与图1所示步骤101的实现过程类似,此处不再赘述。步骤202、将所述源端设备的接入端口信息添加到所述上线认证报文中。交换机,例如PE设备在接收该上线认证报文后,可以获知该上线认证报文具体是 从哪个接入端口接收的,因此,PE设备在将该上线认证报文发送给接入服务器设备之前,可 以将该接入端口信息添加到该上线认证报文中。以桥接网络是VPLS网络为例来说,VPLS网络可以支持的协议包括动态主机配置 协议(Dynamic Host Configuration Protocol,以下简称DHCP)和以太网上点对点协议 (point-to-point protocol over Ethernet,以下简禾尔PPPOE)。对于DHCP来说,源端设备向PE设备发送的上线认证报文为DHCP请求消息(DHCP Request)。PE设备可以在该DHCP Request中插入Option信息,例如该Option信息可以为 60 =PE GE1/0/0. ITag 100,该Option信息即为接入端口信息。对于PPPOE来说,源端设备向PE设备发送的上线认证报文为PPPOE有效发现 请求(PADR)消息。PE设备可以在该PADR消息中插入Vendor-Specific信息,例如该 Vendor-Specific 信息可以为 0x0105:PElGEl/0/0. ITag 100,该 Vendor-Specific 信息即 为接入端口信息。步骤203、将所述上线认证报文发送给接入服务器设备。步骤204、接收所述接入服务器设备根据所述MAC地址对所述源端设备进行认证
7后发送的认证结果消息,该认证结果消息中包含所述接入端口信息。接入服务器设备在接收该上线认证报文后,即可根据该上线认证报文中的MAC地 址对源端设备进行合法性认证,该过程与图1所示步骤102中BRAS设备对源端设备进行认 证的过程类似,此处不再赘述。所不同的是,接入服务器设备在对源端设备认证完成后,可 以将交换机发送而来的上线认证报文中的接入端口信息,再携带在发送给交换机的认证结 果消息中。因此,交换机通过该接入端口信息即可获知接入服务器设备是对哪个接收端口 上的源端设备进行认证处理,而无需交换机在接收到上线认证报文时对该接入端口信息进 行记录。在本实施例中,该认证结果消息可以为DHCP协议中的DHCP提供(DHCP Offer)消 息,也可以为PPPOE协议中的PPPoE有效发现会话确认(PADS)消息。步骤205、从所述认证结果消息中获取所述接入端口信息,根据所述接入端口信息 生成MAC学习信息,并根据所述MAC学习信息进行MAC转发表的学习处理。交换机在接收该认证结果消息后,即可从该认证结果消息中获取接入端口信息。 然后,交换机可以根据该接入端口信息生成MAC学习信息,例如该MAC学习信息可以为该接 入端口信息和MAC地址的综合信息等。交换机可以根据生成的MAC学习信息进行MAC转发 表的学习处理,该学习处理过程可以采用现有技术实现,此处不再赘述。步骤206、将包含所述MAC地址的租期信息的认证结果消息发送给所述源端设备。接入服务器设备向PE设备发送的认证结果消息中还可以包含MAC地址的租期信 息,也即该MAC地址的有效期。因此,PE设备可以将该MAC地址的租期信息发送给源端设 备,以使所示源端设备获知在该租期信息内,该MAC地址是可用的。本实施例中,交换机并非对接收到的每一个需要进行MAC学习的MAC地址进行学 习,而是只对接入服务器设备认证通过的MAC地址进行学习,从而可以有效控制MAC学习数 量,避免在发送MAC攻击时出现交换机无法对其它正常的源端设备发送的上线认证报文进 行转发处理的问题。而且,交换机在接收到网络消息时,不需要对接入端口信息进行记录, 而只需要将该接入端口信息添加在网络消息中进行转发即可,因此降低了交换机的操作复 杂度。图3为本发明报文处理方法实施例三的流程图,如图3所示,本实施例的方法在上 述图1或者图2所示的方法的基础上,进一步对MAC地址的租期进行控制处理,具体来说, 本实施例在图1所述的步骤104或图2所示的步骤206之后,还可以进一步包括步骤301、接收所述接入服务器设备发送的租期到达通知报文,所述租期到达通知 报文中包含所述MAC地址。接入服务器设备在根据交换机,例如PE设备发送而来的上线认证报文对源端设 备进行认证并且认证通过后,即可对源端设备所使用的MAC地址的租期进行计时,在计时 即将到达或者已经到达时,接入服务器设备即可向PE设备发送租期到达通知报文,该租期 到达通知报文中包含租期已到期或者即将到期的MAC地址。PE设备在接收该租期到达通知报文后,即可获知该租期到达通知报文中包含的 MAC地址的租期已到或者即将到达。步骤302、将所述MAC地址添加入老化列表,并将所述租期到达通知报文发送给所 述源端设备。
PE设备可以将该MAC地址添加到老化列表中。该过程并非使得源端设备不能再使 用该MAC地址,而是准备让源端设备不能再使用该MAC地址。然后,PE设备将该租期到达 通知报文发送给源端设备,从而告知源端设备其当前所使用的MAC地址的租期即将到期或 者已经到期。步骤303、接收所述源端设备发送的续租报文,所述续租报文中包含所述MAC地址。如源端设备还需要继续使用该MAC地址,则源端设备可以对该MAC地址进行续租 处理。具体来说,源端设备可以向交换机发送续租报文,该续租报文中可以包括需要续租的 MAC地址,也即该源端设备当前正在使用的MAC地址。步骤304、删除所述老化列表中的所述MAC地址,并将所述续租报文发送给所述接 入服务器设备。PE设备在接收到该续租报文后,即可获知源端设备还需要继续使用该MAC地址。 因此,交换机即可将步骤302中加入到老化列表中的MAC地址删除,从而使得该MAC地址不 被老化,源端设备可以继续使用该MAC地址。然后,PE设备可以将该续租报文发送给接入服 务器设备,例如BRAS设备,因此,接入服务器设备在接收到该续租报文后,即可对该MAC地 址的租期重新进行计时。上述实现过程描述的是接入服务器设备通知源端设备其MAC地址的租期即将或 者已经到期的方式,可选的,源端设备也可以自己对MAC地址的租期进行计时,在即将到达 时,若该源端设备不需要再使用该MAC地址,则源端设备可以主动向PE设备发送老化请求 消息。PE设备在接收该老化请求消息后,即可将对应的MAC地址添加入老化列表,并将该老 化通知消息发送给接入服务器设备。本实施例在上述方法实施例一或者实施例二的基础上,进一步地,交换机可以根 据源端设备发送的续租消息,对其当前使用的MAC地址进行续租处理或者老化处理,或者 根据源端设备主动发送的老化请求消息,对源端设备当前使用的MAC地址进行老化处理。 因此,交换机可以根据源端设备的需求对MAC转发表进行维护。图4为本发明报文处理方法实施例四的流程图,如图4所示,本实施例的方法是在 交换机执行图1所示方法时,接入服务器设备对应执行的步骤,具体来说,本实施例的方法 可以包括步骤401、接收交换机发送的上线认证报文,所述上线认证报文中包含发送所述上 线认证报文的源端设备的MAC地址。接入服务器设备,例如上述的BRAS设备可以接收交换机,例如PE设备发送的上线 认证报文。交换机作为上线认证报文的转发设备,可以接收源端设备,例如PC设备发送的上 线认证报文。该上线认证报文中可以包含源端设备的MAC地址。PE设备在接收到需要进行 MAC学习的上线认证报文之后,并不是直接进行MAC学习,而是将该上线认证报文发送给接 入服务器设备。该接入服务器设备即可对发送该上线认证报文的源端设备进行认证。步骤402、根据所述MAC地址对所述源端设备进行认证处理。接入服务器设备可以根据上线认证报文中包含的MAC地址对源端设备的合法性 进行认证处理。该认证处理的过程可以采用现有技术中任一种方式进行,此处不再赘述。
9
步骤403、向所述交换机发送认证结果消息。接入服务器设备在对源端设备进行认证处理后,即可将认证结果消息发送给交换 机,从而使得交换机只有在接收到表示认证通过的认证消息时,才开始进行MAC转发表的 学习处理。具体来说,若交换机发送给接入服务器设备的上线认证报文中还包含源端设备接 入所述源端设备的接入端口信息,则接入服务器设备在发送给交换机的认证结果消息中也 可以包含接入端口信息,因此,交换机不必对接入端口信息进行记录。当存在MAC攻击时,由于发起MAC攻击的源端设备一般为非认证用户,因此,接入 服务器设备根据这类用户发送而来的上线认证报文中包含的MAC地址进行认证时,将会得 到认证不通过的结果。因此,PE设备在接收接入服务器设备发送的认证不通过的认证结果 消息后,就不会对MAC转发表进行学习。步骤404、对所述MAC地址的租期进行计时处理,并在租期到达时,向交换机发送 租期到达通知报文,所述租期到达通知报文中包含所述MAC地址。步骤405、接收所述交换机转发的由所述源端设备发送的续租报文,并根据所述续 租报文对所述MAC地址的租期重新进行计时处理。上述步骤404和步骤405中,接入服务器设备可以对源端设备使用的MAC地址的 租期进行监控处理,在该MAC地址已经到期或者即将到期时,可以通知源端设备,以便源端 设备对该MAC地址进行续租或者老化处理;在源端设备对该MAC地址进行续租时,该接入服 务器设备还可以对该MAC地址的租期重新进行计时处理。本实施例中,交换机并非对接收到的每一个需要进行MAC学习的MAC地址进行学 习,而是只有在接入服务器设备认证通过时,才进行MAC学习。因此,本实施例中接入服务 器设备可以协助交换机有效控制MAC学习数量,避免在发送MAC攻击时出现交换机无法对 其它正常的源端设备发送的上线认证报文进行转发处理的问题。图5为本发明交换机实施例的结构示意图,如图5所示,本实施例的交换机可以包 括第一接收模块11、第一发送模块12和第一处理模块13,其中,第一接收模块11用于接 收源端设备发送的上线认证报文,所述上线认证报文中包含所述源端设备的MAC地址;接 收接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的认证结果消息;第 一发送模块12用于将第一接收模块11接收的所述上线认证报文发送给接入服务器设备; 第一处理模块13用于在第一接收模块11接收的认证结果消息标识认证通过时,根据所述 认证结果消息进行MAC转发表的学习处理。本实施例的交换机可以为PE设备,本实施例的交换机可以用于执行图1所示方法 实施例的方法,其实现原理和技术效果类似,此处不再赘述。在本发明交换机另一个实施例中,第一发送模块12还用于将包含所述MAC地址的 租期信息的认证结果消息发送给所述源端设备。第一接收模块11还用于接收所述接入服 务器设备发送的租期到达通知报文,所述租期到达通知报文中包含所述MAC地址;第一处 理模块13还用于将所述MAC地址添加入老化列表;所述第一发送模块12还用于将所述租 期到达通知报文发送给所述源端设备。第一接收模块11还用于接收所述源端设备根据所 述租期到达通知报文发送的续租报文,所述续租报文中包含所述MAC地址;第一处理模块 13还用于删除所述老化列表中的所述MAC地址;第一发送模块12还用于将所述续租报文发送给所述接入服务器设备。或者,第一接收模块11还用于接收所述源端设备发送的老化请求消息,所述老化 请求消息中包含所述MAC地址;第一发送模块12还用于将所述MAC地址添加入老化列表; 所述第一发送模块用于将老化通知消息发送给所述接入服务器设备。本实施例的交换机可以为PE设备,本实施例的交换机可以用于执行图3所示方法 实施例的方法,其实现原理和技术效果类似,此处不再赘述。图6为本发明接入服务器设备实施例的结构示意图,如图6所示,本实施例的接入 服务器设备可以包括第二接收模块21、第二处理模块22和第二发送模块23,其中,第二接 收模块21用于接收交换机发送的上线认证报文,所述上线认证报文中包含发送所述上线 认证报文的源端设备的MAC地址;第二处理模块22用于根据所述第二接收模块接收的上线 认证报文中包含的MAC地址对所述源端设备进行认证处理;第二发送模块23用于向所述交 换机发送所述第二处理模块认证处理获取的认证结果消息。在本发明接入服务器设备另一个实施例中,第二处理模块22还用于对所述MAC地 址的租期进行计时处理;第二发送模块23还用于在租期到达时,向交换机发送租期到达通 知报文,所述租期到达通知报文中包含所述MAC地址。第二接收模块21还用于接收所述交 换机转发的由所述源端设备发送的续租报文,第二处理模块22还用于根据所述续租报文 对所述MAC地址的租期重新进行计时处理。上述实施例所述的接入服务器设备可以为BRAS设备,该接入服务器设备可以用 于执行图4所示方法实施例的方法,其实现原理和技术效果类似,此处不再赘述。图7为本发明报文处理系统实施例的结构示意图,如图7所示,本实施例的报文处 理系统可以包括依次连接的CE设备1、交换机2和接入服务器设备3,在本实施例中,该交 换机2可以包括PE设备2a和PE设备2b,该PE设备2a和PE设备2b之间通过VPLS网络 连接。VPLS网络可以支持DHCP协议和PPPOE协议,因此,源端设备可以通过VPLS网络接入 到Bras设备,并通过DHCP上线认证报文或者PPPOE上线认证报文,即DHCP Snooping报文 或者PPOE Snooping报文实现交换机2的MAC学习。具体来说,在本实施例中,CE设备1可以用于接收源端设备发送的上线认证报文, 并将所述上线认证报文转发给所述交换机2,交换机2用于接收CE设备1发送的上线认证 报文,所述上线认证报文中包含所述源端设备的MAC地址,将所述上线认证报文发送给接 入服务器设备3,接收接入服务器设备3根据所述MAC地址对所述源端设备进行认证后发送 的认证结果消息,若认证通过,则根据所述认证结果消息进行MAC转发表的学习处理;接入 服务器设备3用于接收交换机2发送的上线认证报文,根据所述MAC地址对所述源端设备 进行认证处理,并向交换机2发送认证结果消息。本实施例的交换机可以用于执行图1 3中任一实施例所述的方法,其结构可以 采用图5所示的结构,本实施例的接入服务器设备可以用于执行图4所示实施例的方法,其 结构可以采用图6所示的结构。具体的实现原理和技术效果类似,此处不再赘述。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。
11
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种报文处理方法,其特征在于,包括接收源端设备发送的上线认证报文,所述上线认证报文中包含所述源端设备的MAC地址;将所述上线认证报文发送给接入服务器设备;接收所述接入服务器设备对所述MAC地址进行认证后发送的认证结果消息;若认证通过,则根据所述认证结果消息进行MAC转发表的学习处理。
2.根据权利要求1所述的报文处理方法,其特征在于,所述将所述上线认证报文发送 给接入服务器设备之前,包括将所述接入端口信息添加到动态主机配置协议报文中或者以太网上点对点协议报文中;所述接收所述接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的 认证结果消息,包括接收所述认证结果消息,所述认证结果消息中包含所述接入端口信息; 所述根据所述认证结果消息进行MAC转发表的学习处理,包括 从所述认证结果消息中获取所述接入端口信息,根据所述接入端口信息生成MAC学习 信息,并根据所述MAC学习信息进行MAC转发表的学习处理。
3.根据权利要求2所述的报文处理方法,其特征在于,所述认证结果消息中包含所述 MAC地址的租期信息,所述接收所述接入服务器设备根据所述MAC地址对所述源端设备进 行认证后发送的认证结果消息之后,还包括将包含所述MAC地址的租期信息的认证结果消息发送给所述源端设备; 所述方法,还包括接收所述接入服务器设备发送的租期到达通知报文,所述租期到达通知报文中包含所 述MAC地址,将所述MAC地址添加入老化列表,并将所述租期到达通知报文发送给所述源端 设备,接收所述源端设备根据所述租期到达通知报文发送的续租报文,所述续租报文中包 含所述MAC地址,删除所述老化列表中的所述MAC地址,并将所述续租报文发送给所述接入 服务器设备;或者,接收所述源端设备发送的老化请求消息,所述老化请求消息中包含所述MAC地址,将 所述MAC地址添加入老化列表,并将老化通知消息发送给所述接入服务器设备。
4.一种报文处理方法,其特征在于,包括接收交换机发送的上线认证报文,所述上线认证报文中包含发送所述上线认证报文的 源端设备的MAC地址;根据所述MAC地址对所述源端设备进行认证处理; 向所述交换机发送认证结果消息。
5.根据权利要求4所述的报文处理方法,其特征在于,还包括对所述MAC地址的租期进行计时处理,并在租期到达时,向交换机发送租期到达通知 报文,所述租期到达通知报文中包含所述MAC地址;接收所述交换机转发的由所述源端设备发送的续租报文,并根据所述续租报文对所述 MAC地址的租期重新进行计时处理。
6.一种交换机,其特征在于,包括第一接收模块,用于接收源端设备发送的上线认证报文,所述上线认证报文中包含所 述源端设备的MAC地址;接收接入服务器设备根据所述MAC地址对所述源端设备进行认证 后发送的认证结果消息;第一发送模块,用于将所述第一接收模块接收的所述上线认证报文发送给接入服务器 设备;第一处理模块,用于在所述第一接收模块接收的认证结果消息标识认证通过时,根据 所述认证结果消息进行MAC转发表的学习处理。
7.根据权利要求6所述的交换机,其特征在于,所述第一接收模块还用于接收所述接 入服务器设备发送的租期到达通知报文,所述租期到达通知报文中包含所述MAC地址;所 述第一处理模块还用于将所述MAC地址添加入老化列表;所述第一发送模块还用于将所述 租期到达通知报文发送给所述源端设备;或者,所述第一接收模块还用于接收所述源端设备发送的老化请求消息,所述老化请求消息 中包含所述MAC地址;所述第一发送模块用于将所述MAC地址添加入老化列表;所述第一 发送模块还用于将老化通知消息发送给所述接入服务器设备;或者,所述第一接收模块还用于接收所述源端设备根据所述租期到达通知报文发送的续租 报文,所述续租报文中包含所述MAC地址;所述第一处理模块还用于删除所述老化列表中 的所述MAC地址;所述第一发送模块还用于将所述续租报文发送给所述接入服务器设备。
8.一种接入服务器设备,其特征在于,包括第二接收模块,用于接收交换机发送的上线认证报文,所述上线认证报文中包含发送 所述上线认证报文的源端设备的MAC地址;第二处理模块,用于根据所述第二接收模块接收的上线认证报文中包含的MAC地址对 所述源端设备进行认证处理;第二发送模块,用于向所述交换机发送所述第二处理模块认证处理获取的认证结果消肩、ο
9.根据权利要求8所述的接入服务器设备,其特征在于,所述第二接收模块还用于接 收所述交换机转发的由所述源端设备发送的续租报文,所述第二处理模块还用于根据所述 续租报文对所述MAC地址的租期重新进行计时处理;所述第二处理模块还用于对所述MAC 地址的租期进行计时处理;所述第二发送模块还用于在租期到达时,向交换机发送租期到 达通知报文,所述租期到达通知报文中包含所述MAC地址。
10.一种报文处理系统,其特征在于,包括依次连接的用户边缘设备、交换机和接入 服务器设备;所述用户边缘设备,用于接收源端设备发送的上线认证报文,并将所述上线认证报文 转发给所述交换机;所述交换机,用于接收所述用户边缘设备发送的上线认证报文,所述上线认证报文中 包含所述源端设备的MAC地址,将所述上线认证报文发送给所述接入服务器设备,接收所 述接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的认证结果消息,若 认证通过,则根据所述认证结果消息进行MAC转发表的学习处理;所述接入服务器设备,用于接收交换机发送的上线认证报文,根据所述MAC地址对所 述源端设备进行认证处理,并向所述交换机发送认证结果消息。全文摘要
本发明实施例提供一种报文处理方法和系统、交换机和接入服务器设备。其中,一个报文处理方法,包括接收源端设备发送的上线认证报文,所述上线认证报文中包含所述源端设备的MAC地址;将所述上线认证报文发送给接入服务器设备;接收所述接入服务器设备根据所述MAC地址对所述源端设备进行认证后发送的认证结果消息;若认证通过,则根据所述认证结果消息进行MAC转发表的学习处理。本发明实施例中,交换机并非对接收到的每一个需要进行MAC学习的MAC地址进行学习,而是只对接入服务器设备认证通过的MAC地址进行学习,从而可以有效控制MAC学习数量,避免在发送MAC攻击时出现交换机无法对其它正常的源端设备发送的上线认证报文进行转发处理的问题。
文档编号H04L29/06GK101980496SQ20101051211
公开日2011年2月23日 申请日期2010年10月13日 优先权日2010年10月13日
发明者陈艺彪 申请人:华为数字技术有限公司