专利名称:媒体接入控制强制转发arp报文的方法及装置的制作方法
技术领域:
本发明涉及以太网转发技术领域,特别是涉及一种媒体接入控制强制转发ARP报文的方法及装置。
背景技术:
MFF (媒体接入控制强制转发,Media Access Control Forced Forwarding)是一种既可以充分利用以太网的广播域优势,又没有IP地址浪费和规模限制的方案。
使能MFF功能的设备(以下简称MFF设备)截获客户端的ARP (地址解析协议,Address Resolution Protocol)请求报文,通过ARP代答机制,回复发送端MAC为网关MAC地址的ARP应答报文。通过这种方式,可以强制客户端将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止客户端之间的恶意攻击,能更好的保障网络部署的安全性。MFF设备上通常存在两种端口角色用户端口及网络端口,其中,前者用于连接客户端,后者用于连接网关或服务器,如图1所示。现有的MFF设备在使能MFF功能后,首先要解析网关的ARP,预先获取网关IP地址和网关MAC地址的映射关系,其中网关IP地址可由管理员配置指定。此后MFF设备不再转发用户侧的ARP请求报文,而是通过ARP代答的方式将用户的流量引向网关。例如客户端A请求解析客户端B的MAC地址时,ARP交互过程如表I所示表I
发送端目标发送端IP 目标IP___MAC地址___MAC地址
客户端A全零
A-1PA-MACB-1P
请求客户端B_____MAC地址
MFF设备应网关
R IP A-1P A-MAC答客户端A _ MAC地址 __表I中,A-1P、B-1P分别表示客户端A和客户端B的IP地址,A-MAC、网关MAC地址分别表示客户端A和网关MAC地址。可以看出,MFF设备用网关MAC地址代答了客户端A
的ARP请求报文,客户端A就会建立如下的ARP表项B-1P----->网关MAC地址;此后,客
户端A发往客户端B的流量都会先发往网关,然后由网关转发给客户端B。可以看出,无论客户端尝试解析其它哪个客户端的MAC地址,则MFF设备都会用网关MAC地址做ARP代答,因此客户端之间不能直接通信,因此能够有效避免客户端间的恶意攻击。为了避免客户端对IP地址冲突的误判,现有的MFF设备是不应答免费ARP请求报文的,但是这容易导致无法检测到真正出现的IP地址冲突。例如,客户端B通过发送一个免费ARP请求报文判断IP地址冲突,该免费ARP请求报文的发送端IP和目标IP均为A-1P ;对于该免费ARP请求报文,如果无人应答则说明相应的IP地址没有冲突,反之,则说明相应的IP地址有冲突。如果MFF设备拦截该免费ARP请求报文,并以网关的身份代答,则客户端B就会认为其IP地址存在冲突。而事实上,这个冲突是不一定不存在的,现有的MFF设备能够解决对IP地址冲突的误判问题,但却牺牲了 IP地址冲突的检测功能。
发明内容
本发明所要解决的技术问题是提供一种媒体接入控制强制转发ARP报文的方法及装置,能够在媒体接入控制强制转发ARP报文时,准确、有效地检测网络中的IP地址冲关。为了解决上述问题,本发明实施例公开了一种媒体接入控制强制转发ARP报文的 方法,包括接收地址解析协议ARP请求报文;在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;接收ARP应答报文;将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;单播发送改造后的ARP应答报文。优选的,所述方法还包括在匹配结果为匹配失败时,丢弃所述ARP应答报文。优选的,所述单播发送改造后的ARP应答报文的步骤具体包括,将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。优选的,所述方法还包括在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。优选的,所述方法还包括在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。优选的,所述方法还包括在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。另一方面,本发明实施例还公开了一种媒体接入控制强制转发ARP报文的装置,包括
第一接收模块,用于接收地址解析协议ARP请求报文;请求改造模块,用于在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址;广播发送模块,用于广播发送改造后的ARP请求报文;创建模块,用于创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;第二接收模块,用于接收ARP应答报文;匹配模块,用于将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配;应答改造模块,用于在匹配结果为匹配成功且所述ARP应答报文不是应答网关或 服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;及单播发送模块,用于单播发送改造后的ARP应答报文。优选的,所述装置还包括丢弃模块,用于在匹配结果为匹配失败时,丢弃所述ARP应答报文。优选的,所述单播发送模块,具体用于将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。优选的,所述装置还包括 请求代答模块,用于在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。优选的,所述装置还包括应答转发模块,用于在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。优选的,所述装置还包括删除模块,用于在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。与现有技术相比,本发明在媒体接入控制强制转发ARP报文时,能够准确、有效地检测IP地址冲突。另外,本发明还可以通过丢弃没有请求的应答报文,以避免遭受ARP欺骗攻击,从而能够提高MFF的安全性,
图1是现有技术一种MFF设备上端口示意图;图2是本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例1的流程图;图3是本发明实施例一种媒体接入控制强制转发免费ARP请求报文的方法示例的流程图;图4是本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例2的流程图;图5是本发明实施例一种媒体接入控制强制转发ARP请求报文的方法实施例的流程图;图6是本发明实施例一种媒体接入控制强制转发ARP应答报文的方法实施例的流程图;图7是本发明实施例一种媒体接入控制强制转发ARP报文的装置实施例的结构图。
具体实施方式
为使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。参照图2,示出了本发明实施例一种媒体接入控制强制转发ARP报文的方法实施例I的流程图,具体可以包括步骤201、接收ARP请求报文;步骤202、在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;步骤203、创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址和目标IP ;本发明实施例可用于使能MFF功能的设备中,用于在避免对IP地址冲突的误判的同时,有效检测网络中的IP地址冲突。本发明实施例中ARP报文的处理流程如下。其中,步骤201-步骤203主要为ARP请求报文的处理流程。为了避免客户端对IP地址冲突的误判,现有的ARP代答机制适用于除免费ARP请求报文外的ARP请求报文;为了能够让用于检测IP地址冲突的免费ARP请求报文得到处理,本发明实施例对现有的ARP代答机制进行改进,所述改进具体表现在步骤203中,现通过具体的示例对步骤203进行详细说明。参照表2,示出了本发明实施例一种ARP请求报文的改造示例,其中,改造前的ARP请求报文(在无特殊说明的情况下,本发明实施例中ARP请求报文均用于表示改造前或未经过改造的ARP请求报文)为客户端A请求客户端B的报文,其信息主要包括表2中的发送端IP、发送端MAC地址、目标IP和目标MAC地址等字段;本发明实施例中将其中的发送端MAC地址字段改造为网关MAC地址,得到改造后的ARP请求报文;由于改造后的ARP请求报文中发送端MAC地址为网关MAC地址,故可以将该改造后的ARP请求报文对应的ARP应答报文引向网关,也即,本发明实施例的改进仍然能够将客户端B发往客户端A的流量引向网关,能够满足MFF的“二层隔离,三层互通”的基本要求。表权利要求
1.一种媒体接入控制强制转发ARP报文的方法,其特征在于,包括接收地址解析协议ARP请求报文;在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC地址改造为网关MAC地址,并广播发送改造后的ARP请求报文;创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端 MAC地址、目标IP和入端口信息;接收ARP应答报文;将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP 进行匹配,在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;单播发送改造后的ARP应答报文。
2.如权利要求1所述的方法,其特征在于,还包括在匹配结果为匹配失败时,丢弃所述ARP应答报文。
3.如权利要求1或2所述的方法,其特征在于,所述单播发送改造后的ARP应答报文的步骤具体包括,将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
4.如权利要求1或2所述的方法,其特征在于,还包括在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC 地址的ARP应答报文。
5.如权利要求1或2所述的方法,其特征在于,还包括在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
6.如权利要求5所述的方法,其特征在于,还包括在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
7.一种媒体接入控制强制转发ARP报文的装置,其特征在于,包括第一接收模块,用于接收地址解析协议ARP请求报文;请求改造模块,用于在所述ARP请求报文不是请求网关或服务器的ARP报文时,将所述 ARP请求报文的发送端MAC地址改造为网关MAC地址;广播发送模块,用于广播发送改造后的ARP请求报文;创建模块,用于创建会话表表项,并在所述会话表表项中记录所述ARP请求报文的发送端IP、发送端MAC地址、目标IP和入端口信息;第二接收模块,用于接收ARP应答报文;匹配模块,用于将所述ARP应答报文的发送端IP和目标IP与会话表的表项中的目标 IP和发送端IP进行匹配;应答改造模块,用于在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将所述ARP应答报文的发送端MAC地址改造为网关MAC地址,及,将所述 ARP应答报文的目标MAC地址改造为匹配成功的会话表表项中的发送端MAC地址;及单播发送模块,用于单播发送改造后的ARP应答报文。
8.如权利要求7所述的装置,其特征在于,还包括丢弃模块,用于在匹配结果为匹配失败时,丢弃所述ARP应答报文。
9.如权利要求7或8所述的装置,其特征在于,所述单播发送模块,具体用于将所述改造后的ARP应答报文通过匹配成功的会话表表项中的入端口进行单播发送。
10.如权利要求7或8所述的装置,其特征在于,还包括请求代答模块,用于在所述ARP请求报文为请求网关或服务器的ARP报文时,回复发送端MAC为网关MAC地址的ARP应答报文。
11.如权利要求7或8所述的装置,其特征在于,还包括应答转发模块,用于在匹配结果为匹配成功且所述ARP应答报文为应答网关或服务器的ARP报文时,转发所述ARP应答报文。
12.如权利要求11所述的装置,其特征在于,还包括删除模块,用于在单播发送改造后的ARP应答报文后,或者,在转发所述ARP应答报文后,或者,在所述会话表表项的存在时间超过预置的老化时间时,删除所述会话表表项。
全文摘要
本发明提供了一种媒体接入控制强制转发ARP报文的方法和装置,其中的方法具体包括在ARP请求报文不是请求网关或服务器的ARP报文时,将所述ARP请求报文的发送端MAC改造为网关MAC,并广播发送;创建会话表表项,并在会话表表项中记录ARP请求报文的信息;将ARP应答报文的发送端IP和目标IP与会话表的表项中的目标IP和发送端IP进行匹配,在匹配结果为匹配成功且所述ARP应答报文不是应答网关或服务器的ARP报文时,将ARP应答报文的发送端MAC改造为网关MAC,及,将ARP应答报文的目标MAC改造为匹配成功的会话表表项中的发送端MAC,并单播发送。本发明能够准确、有效地检测网络中的IP地址冲突。
文档编号H04L12/911GK103023818SQ201210535590
公开日2013年4月3日 申请日期2012年12月10日 优先权日2012年12月10日
发明者韩冰, 任晓军 申请人:杭州华三通信技术有限公司