一种基于以太网上点对点协议的接入方法及一种交换机的制作方法

专利名称：一种基于以太网上点对点协议的接入方法及一种交换机的制作方法
技术领域：
本发明涉及数据通讯技术领域，特别是涉及一种基于以太网上点对点协议
(Point to Point Protocol over Ethernet, PPPOE )的4妄入方法及一种交换才几。
背景技术：
由于Internet用户爆炸性增长和多媒体业务应用的不断深入，人们对运营 商的接入业务要求是越来越高。同时以太网技术的发展和普及，使得以太网成 为一种被广泛采用的接入网技术。如果将传统的PPP协议承载在以太网上， 这样就直接通过PPP本身的优点解决接入管理的问题。PPPOE的出现正好结 合了这两者的优点，形成当前城域接入网中不二的选择。
PPPOE协议发现阶段的机制跟动态主机配置协议(Dynamic Host Configuration Protocol ， DHCP)协议类似，是通过客户端如通过客户端的拨号 主机发送广播报文来发现接入控制器，在跟接入控制器完成发现阶段的交互 后，进入到PPP阶段进行链路协商、认证协商、接入协商。图1为现有技术 的PPPOE协议发现阶段的信令交互示意图。如图1,在PPPOE协议的发现阶 段包括如下步骤客户端广播PPPOE发现(PPPOE DISCOVERY, PADI)报 文来发现接入控制器，该PADI报文为广播报文；接入控制器接收该发现报文 后向客户端发送PPPOE提供(PPPOE Offer, PADO )报文来响应所述客户端； 客户端发送PPPOE请求(PPPOE REQUEST, PADR)报文至接入控制器，以 请求服务；接入控制器接收PADR报文后，发送PPPOE会话确认报文(PPPOE SERVICE, PADS )来确认能为客户端提供接入服务；上述PADO, PADR， PADS 为单播报文。
但是随着PPPOE接入业务的开展，也产生了一些问题。PPPOE接入用户 权限管理是通过运营商分配的一组ID和密码来实现的，那么非法用户就可以 通过一个子网内搭建一个非法接入控制器来获取上迷ID和密码以进行非法操作。图2示出了 PPPOE非法接入的链路示意图。如图2,由于客户端201是 通过交换机202广播发送PPPOE发现报文的，所以网络实际的接入控制器203 通过合法接入链路及非法用户设置的非法接入控制器204通过非法接入链路 均可接收到客户端发送的PPPOE发现报文。非法接入控制器在收到子网中客 户端发送的PPPOE Discovery报文后，向客户端发送PPPOE Offer报文，这样 造成了对拨号客户端的欺骗，在完成了 PPPOE发现阶段的协商进入PPP协议 交互阶段，通过抓取用户的请求认证报文，就可以盗取用户的ID和密码了。 同时，如果用户通过这个非法4荅建的接入控制器访问Internet,那么用户的流 量完全在非法用户的监控下，对用户的信息安全造成了很大的危害。 因此，需要提供一种能在接入网中防止PPPOE欺骗的接入方法。

发明内容
本发明的目的是提供一种基于PPPOE的接入方法及一种交换机，以解决 现有技术的基于PPPOE的接入方法在PPPOE的发现阶段中无法在接入网中防 止PPPOE欺骗的技术问题。
为了实现上述目的，本发明提供了一种基于以太网上点对点协议的接入方 法，其中，在以太网上点对点协议PPPOE的发现阶段中包括如下步骤
步骤a，交换机监听客户端发送的PPPOE报文；
步骤b,所述交换机在监听到所述客户端发送的所述PPPOE报文时，将 所述PPPOE报文通过预先配置的PPPOE报文信任端口转发出去。
优选地，所述的接入方法，其中，所述步骤b中，在将所述PPPOE报文 从预先配置的PPPOE报文信任端口转发出去的步骤之前，还包括
所述交换机判断预设的端口管理表中是否存在预先配置的PPPOE报文信 任端口；如是，则将所述PPPOE报文通过所述信任端口转发出去；否则，丢 弃所述PPPOE报文。
优选地，所述的接入方法，其中，所述PPPOE报文包括
PPPOE发现报文。
优选地，所述的接入方法，其中，在所述步骤b之前，还包括 预先将所述交换机的端口中、与预定接入控制器相连接的端口配置为所述
5PPPOE报文信任端口；及，
在所述端口管理表中用信任端口标识标记所述信任端口 。
优选地，所述的接入方法，其中，所述交换机通过判断报文的二层头里包
含的报文类型是否为PPPOE报文的协议类型来监听所述PPPOE报文。 另一方面，提供一种交换机，其中，包括
报文监听模块，用于在以太网上点对点协议PPPOE的发现阶段中监听客 户端发送的PPPOE报文；
报文转发模块，用于在监听到所述客户端发送的PPPOE报文时，将所述 PPPOE报文通过预先配置的PPPOE报文信任端口转发出去。
优选地，所述的交换机，其中，所述报文转发模块包括
信任端口判断模块，用于在监听到所述客户端发送的PPPOE报文时，判 断预设的端口管理表中是否存在预先配置的PPPOE报文信任端口 ；如是，则 将所述PPPOE报文通过所述预先配置的PPPOE报文信任端口转发出去；否则， 丢弃所述PPPOE报文。
优选地，所述的交换机，其中，所述PPPOE报文包括
PPPOE发现报文。
优选地，所述的交换机，其中，还包括
信任端口配置模块，用于将所述交换机的端口中、与预定的接入控制器相 连接的端口预先设置为所述信任端口 ；
信任端口标记模块，用于在所述端口管理表中用信任端口标识标记所述信 任端口 。
优选地，所述的交换机，其中，所述报文监听模块通过判断报文的二层头 里包含的报文类型是否为PPPOE报文的协议类型来监听所述PPPOE报文。 本发明的技术效果在于
本发明通过交换机对客户端发送的PPPOE报文进行监听，及在监听到 PPPOE报文时，将PPPOE报文通过预先配置的PPPOE信任端口转发出去， 可实现将PPPOE报文定向发送到预先配置的出端口 ，并通过上述预先配置的 出端口转发出去，这样可限制PPPOE报文的出端口 ，使PPPOE报文只转发到 与指定出端口相连接的预定装置如预定的接入控制器，避免了客户端用户的PPPOE报文转发到非法搭建的接入控制器上，从而可防止非法用户在同一个 接入网中利用非法搭4建的接入控制器进行的PPPOE欺骗。


图1为现有技术的PPPOE协议发现阶段的信令交互示意图； 图2为PPPOE非法接入的链路示意图3为本发明实施例的基于PPPOE的接入方法的流程示意图； 图4为本发明另一实施例的基于PPPOE的接入方法的流程示意图； 图5为本发明实施例的基于PPPOE的接入方法防止PPPOE欺骗功能的接 入链路示意图6为本发明实施例的交换机的结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实 施例对本发明进行详细描述。
图3为本发明实施例的基于PPPOE的接入方法的流程示意图。如图3, 该实施例的接入方法在以太网上点对点协议PPPOE的发现阶段中包括如下步 骤
步骤301,交换机监听客户端发送的PPPOE报文；
步骤302,上述交换机在监听到上述客户端发送的PPPOE报文时，将上 述PPPOE寺艮文通过预先配置的PPPOE报文信任端口转发出去。
由于PPPOE协议发现阶段的机制，是通过客户端发送广播报文来发现接 入控制器，在跟接入控制器完成发现阶段的交互后，再进入到PPP阶段进行 链路协商、认证协商、接入协商的。为避免客户端在发现阶段发送的广播报文 被非法接入控制器接收，本发明实施例的接入方法，通过交换机监听PPPOE 报文，在监听到PPPOE报文时将PPPOE报文发送到预先配置的信任端口 ，实 现了将广播的PPPOE报文定向转发到预先指定的出端口 ，并通过上述指定的 出端口转发出去，这样避免了客户端用户的PPPOE报文被转发到非法搭建的 接入控制器上，防止了非法用户在同 一个接入网中利用非法搭键的接入控制器
7进行的PPPOE欺骗。
图4为本发明实施例的基于PPPOE的接入方法的流程示意图。如图4, 该实施例的接入方法在以太网上点对点协议PPPOE的发现阶段中包括如下步 骤
步骤401 ，交换机监听客户端发送的PPPOE报文；
该步骤401中，示例性地，预先在交换机的控制层面增加PPPOE报文监 听的配置，并由交换机的控制层面启动PPPOE报文监听以通知交换机的转发 层面进行PPPOE报文的监听；示例性地，由交换机的控制层面向转发层面下 发监听标记位，PPPOE报文的协议类型是0x8863,所以交换机的转发层面可 通过判断报文的二层头里包含的报文类型是否为PPPOE报文的协议类型即是 否为0x8863来监听PPPOE才艮文；
步骤402,交换机在监听到所述客户端发送的所述PPPOE报文时，判断 预设的端口管理表中是否存在预先配置的PPPOE报文信任端口；如是，则执 行步骤403;否则，执行步骤404;
示例性地，在执行上述判断步骤前在交换机的控制层面预先配置上述 PPPOE报文信任端口 ，并由交换机的控制层面将PPPOE信任端口的标记同步 到转发层面的端口管理表即接口表项中，例如可通过在端口管理表中为预定的 信任端口设置信任端口标识来标记上述信任端口 ，具体地，该信任端口标识可 以为转发标记位；当交换机的转发层面在监听到二层头里包含的报文类型为 0x8863的报文时，可遍历端口管理表，判断端口中是否存在标记有信任标识 如是否存在转发标记位的端口 ，示例性地可通过查询的方式查询端口中是否存 在标记有信任标识；如存在，执行步骤403;否则，执行步骤404;
步骤403,将所述PPPOE报文通过所述信任端口转发出去，并结束流程；
步骤404，丢弃所述PPPOE报文。
优选地，上述PPPOE报文包括PPPOE发现才艮文。该例中，通过在PPPOE 的发现阶段将广播的PPPOE发现报文发送到预先配置的信任端口 ，避免了非 法接入控制器接收到PPPOE发现报文，避免了非法接入控制器通过PPPOE报 文骗耳又客户端用户的ID和密码。
优选地，在该实施例的具体实现中，用户可选择是否开启PPPOE防欺骗功能，如用户选择开启，则在PPPOE的发现阶段执行上述的监听、判断的步
骤，以将PPPOE报文从指定的端口转发出去；如用户选择不开启该防欺骗功 能，则无需执行上述监听、判断的步骤，交换机直接将接收到的报文转发出去。
优选地，PPPOE报文信任端口的数目可以为1个或超过1个。
优选地，在交换机的控制层面预先配置上述PPPOE报文信任端口时，包 括预先将交换机的端口中、与预定接入控制器相连接的端口配置为所述 PPPOE纟艮文信任端口 。
图5为本发明实施例的基于PPPOE的接入方法防止PPPOE欺骗功能的接 入链路示意图。如图5,该实施例中，客户端501与交换机502相连接，以通 过交换机502接入预定的接入控制器503;非法用户在该接入子网中非法招4建 了非法接入控制器504,想通过交换机接收客户端发送的报文进行PPPOE欺 骗。该例中，通过将交换机的端口中、与预定的接入控制器503即与合法的接 入控制器相连接的端口 505预先配置为信任端口 ，这样利用本发明实施例的方 法，客户端发送的PPPOE报文只通过信任端口转发到合法的接入控制器，即 只通过合法的链路转发到合法的接入控制器；而客户端的PPPOE报文不会通 过其它的端口如与非法接入控制器相连接的非信任端口 506转发到非法接入 控制器中，从而阻断了非法接入链路，避免了客户端的报文通过非法链路转发 到非法接入控制器，防止了非法接入控制器对客户端的PPPOE欺骗。
本发明还提供了一种交换机。图6为本发明实施例的交换机的结构示意 图。如图6,该实施例的交换机包括报文监听模块601,用于在以太网上点 对点协议PPPOE的发现阶段中监听客户端发送的PPPOE报文；报文转发模块 602，用于在监听到所述客户端发送的PPPOE报文时，将所述PPPOE报文通 过预先配置的PPPOE报文信任端口转发出去。
优选的，本发明实施例的交换机，所述报文转发模块包括信任端口判断 模块，用于在监听到所述客户端发送的PPPOE报文时，判断预设的端口管理 表中是否存在预先配置的PPPOE报文信任端口；如是，则将所述PPPOE报文 通过预先配置的PPPOE报文信任端口转发出去；否则，丟弃所述PPPOE报文。
优选的，本发明实施例的交换机，PPPOE报文包括PPPOE发现报文。
优选的，本发明实施例的交换机，还包括信任端口配置模块，用于预先
9配置所述PPPOE报文的信任端口；信任端口标记才莫块，用于在所述端口管理
表中用信任端口标识标记所述信任端口 。
优选的，本发明实施例的交换机，其中，所述信任端口配置模块进一步用
于将所述交换机的端口中、与预定的接入控制器相连接的端口预先设置为所述 信任端口 。
优选的，本发明实施例的交换机，其中，所述信任端口判断模块包括遍 历模块，用于遍历所述端口管理表中的预定端口；标识判断模块，用于判断所 述预定端口中是否存在标记有所述信任端口标识的端口 。
优选的，本发明实施例的交换机，其中，所述报文监听模块通过判断报文 的二层头里包含的报文类型是否为PPPOE报文的协议类型来监听所述PPPOE 报文。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通 技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰， 这些改进和润饰也应^L为本发明的保护范围。
权利要求
1.一种基于以太网上点对点协议的接入方法，其特征在于，在以太网上点对点协议PPPOE的发现阶段中包括如下步骤步骤a，交换机监听客户端发送的PPPOE报文；步骤b，所述交换机在监听到所述客户端发送的所述PPPOE报文时，将所述PPPOE报文通过预先配置的PPPOE报文信任端口转发出去。
2. 根据权利要求1所述的接入方法，其特征在于，所述步骤b中，在将 所述PPPOE报文从预先配置的PPPOE报文信任端口转发出去的步骤之前，还 包括所述交换机判断预设的端口管理表中是否存在预先配置的PPPOE报文信 任端口；如是，则将所述PPPOE报文通过所述信任端口转发出去；否则，丟 弃所述PPPOE报文。
3. 根据权利要求1所述的接入方法，其特征在于，所述PPPOE报文包括 PPPOE发现报文。
4. 根据权利要求2所述的接入方法，其特征在于，在所述步骤b之前， 还包括预先将所述交换机的端口中、与预定接入控制器相连接的端口配置为所述 PPPOE报文信任端口；及，在所述端口管理表中用信任端口标识标记所述信任端口 。
5. 根据权利要求中1-4中任一项所述的接入方法，其特征在于，所述交 换机通过判断报文的二层头里包含的报文类型是否为PPPOE报文的协议类型 来监听所述PPPOE报文。
6. —种交换机，其特征在于，包括报文监听模块，用于在以太网上点对点协议PPPOE的发现阶段中监听客 户端发送的PPPOE才艮文；报文转发模块，用于在监听到所述客户端发送的PPPOE报文时，将所述 PPPOE报文通过预先配置的PPPOE报文信任端口转发出去。
7. 根据权利要求6所述的交换机，其特征在于，所述报文转发模块包括信任端口判断模块，用于在监听到所述客户端发送的PPPOE报文时，判断预设的端口管理表中是否存在预先配置的PPPOE报文信任端口；如是，则 将所述PPPOE报文通过所述预先配置的PPPOE报文信任端口转发出去；否则， 丢弃所述PPPOE报文。
8. 根据权利要求6所述的交换机，其特征在于，所述PPPOE报文包括 PPPOE发现，艮文。
9. 根据权利要求7所述的交换机，其特征在于，还包括信任端口配置模块，用于将所述交换机的端口中、与预定的接入控制器相 连接的端口预先设置为所述信任端口 ；信任端口标记模块，用于在所述端口管理表中用信任端口标识标记所述信 任端口。
10. 根据权利要求6-9中任一项所述的交换机，其特征在于，所述报文监 听模块通过判断报文的二层头里包含的报文类型是否为PPPOE报文的协议类 型来监听所述PPPOE报文。
全文摘要
本发明提供一种基于以太网上点对点协议的接入方法及一种交换机，该方法在以太网上点对点协议PPPOE的发现阶段中包括如下步骤步骤a，交换机监听客户端发送的PPPOE报文；步骤b，交换机在监听到客户端发送的PPPOE报文时，将PPPOE报文通过预先配置的PPPOE报文信任端口转发出去。利用本发明通过配置信任端口来指定PPPOE报文的出端口，可在PPPOE的发现阶段中防止接入网中非法接入控制器的PPPOE欺骗。
文档编号H04L29/06GK101621515SQ20091009038
公开日2010年1月6日 申请日期2009年8月7日 优先权日2009年8月7日
发明者新 王 申请人:中兴通讯股份有限公司