一种组播组的管理方法及装置的制造方法

一种组播组的管理方法及装置的制造方法
【专利摘要】本发明提供一种组播组的管理方法及装置，所述方法包括：接收第一网络设备发送的报文，并获取第一网络设备的第一MAC地址；根据所述第一MAC地址、以及MAC地址和标识信息的对应关系，控制第一网络设备的访问。因此本发明可以优化组播组管理机制，使路由设备具备鉴别其他网络设备身份的能力，从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题，提高了组播组的安全性。
【专利说明】
-种组播组的管理方法及装置
技术领域
[0001 ]本发明设及通信技术领域，尤其设及一种组播组的管理方法及装置。
【背景技术】
[0002] 目前在主机和与其直接相连的Ξ层组播设备之间通常采用组播组的管理协议 IGMPdnternet Gro叩 Management Protocol,互联网组管理协议）或MLD(Multicast Listener Discove巧Protocol,组播侦听者发现协议），协议规定了主机与Ξ层组播设备 之间建立和维护组播组成员关系的机制。当共享网段上存在多个IGMP/MLD路由器时，根据 组播组管理协议通常会选举出一个路由器来充当查询器，用于周期性发送查询报文，维护 本地网段内组播组成员，W及向主机转发组播数据等。
[0003] 然而由于IGMP/MLD协议基本上是一个单向驱动协议，IGMP/MLD路由器的动作、行 为完全根据所收到的IGMP/MLD协议报文而进行，IGMP/MLD路由器不具备鉴别其他IGMP/MLD 路由器及主机身份的能力。

【发明内容】

[0004] 有鉴于此，本发明提供一种组播组的管理方法及装置来解决路由器不具备鉴别其 他路由器及主机身份的能力而导致的组播组安全性较差的问题。
[0005] 具体地，本发明是通过如下技术方案实现的：
[0006] 本发明提供一种组播组的管理方法，所述方法包括：
[0007] 接收第一网络设备发送的报文，并获取第一网络设备的第一 MAC地址；
[000引根据所述第一MAC地址、W及MAC地址和标识信息的对应关系，控制第一网络设备 的访问。
[0009] 进一步的，获取所述MAC地址和标识信息的对应关系的方法包括：
[0010] 获取第二网络设备的第二MAC地址，对第二MAC地址设置标识信息；
[0011] 其中，所述对第二MAC地址设置标识信息，包括：
[0012] 对第二MAC地址设置第一标识信息，W获取第二MAC地址和第一标识信息的第一对 应关系，所述第一标识信息用于表示拒绝访问；或者，
[0013] 对第二MAC地址设置第二标识信息，W获取第二MAC地址和第二标识信息的第二对 应关系，所述第二标识信息用于表示允许访问。
[0014] 进一步的，所述获取第二网络设备的第二MAC地址，具体包括：
[0015] 设置预设时间内接收报文的预设次数，当在预设时间内接收第二网络设备发送的 报文次数不小于所述预设次数时，获取所述第二网络设备的第二MAC地址；
[0016] 所述对第二MAC地址设置标识信息，具体为：
[0017] 对获取的所述第二MAC地址设置第一标识信息。
[0018] 进一步的，所述根据所述第一MAC地址，W及MAC地址和标识信息的对应关系，控制 第一网络设备的访问，包括：
[0019] 判断第一对应关系中是否存在与所述第一 MAC地址匹配的MAC地址；
[0020] 若存在，拒绝第一网络设备的访问。
[0021] 进一步的，所述获取第二网络设备的第二MAC地址，具体包括：
[0022] 将从DHCP服务器获取的网络设备的MAC地址作为第二网络设备的第二MAC地址；
[0023] 所述对第二MAC地址设置标识信息，具体为：
[0024] 对获取的所述第二MAC地址设置第二标识信息。
[0025] 进一步的，所述根据所述第一MAC地址，W及MAC地址与标识信息的对应关系，控制 第一网络设备的访问，包括：
[00%] 判断所述第二对应关系中是否存在与所述第一 MAC地址匹配的MAC地址；
[0027] 若存在，允许第一网络设备的访问。
[0028] 基于相同的构思，本发明还提供一种组播组的管理装置，所述装置包括：
[0029] 接收模块，用于接收第一网络设备发送的报文；
[0030] 获取模块，用于从所述报文中获取第一网络设备的第一 MAC地址；
[0031] 控制模块，用于根据所述第一MAC地址、W及MAC地址和标识信息的对应关系，控制 第一网络设备的访问。
[0032] 进一步的，所述装置还包括:标识模块和关系模块，其中，
[0033] 所述获取模块，还用于获取第二网络设备的第二MAC地址；
[0034] 所述标识模块，用于对所述获取模块获取的第二MAC地址设置标识信息；
[0035] 所述关系模块，用于当标识模块对所述第二MAC地址设置第一标识信息时，获取所 述第二MAC地址和第一标识信息的第一对应关系，其中，所述第一标识信息用于表示拒绝访 问；或者，
[0036] 还用于当标识模块对所述第二MAC地址设置第二标识信息时，获取所述第二MAC地 址和第二标识信息的第二对应关系，其中，所述第二标识信息用于表示允许访问。
[0037] 进一步的，所述装置还包括:设置模块和检测模块，所述获取模块还包括第一获取 子模块，其中，
[0038] 所述设置模块，用于设置预设时间内接收报文的预设次数；
[0039] 所述检测模块，用于检测预设时间内接收第二网络设备发送的报文次数；
[0040] 所述第一获取子模块，还用于当所述检测模块检测出在预设时间内接收第二网络 设备发送的报文次数不小于所述预设次数时，获取所述第二网络设备的第二MC地址；
[0041] 所述标识模块，还用于对所述第一获取子模块获取的所述第二MAC地址设置第一 标识信息。
[0042] 进一步的，所述装置还包括：
[0043] 判断模块，用于判断第二MAC地址和第一标识信息的第一对应关系中是否存在与 所述第一 MAC地址匹配的MAC地址；
[0044] 若存在，则所述控制模块拒绝第一网络设备的访问。
[0045] 进一步的，所述获取模块还包括第二获取子模块，
[0046] 所述第二获取子模块，还用于从D肥P服务器获取网络设备的MAC地址，并将获取的 所述MAC地址作为第二网络设备的第二MAC地址；
[0047] 所述标识模块，还用于对第二获取子模块获取的所述第二MAC地址设置第二标识 信息。
[004引进一步的，所述装置还包括：
[0049] 判断模块，用于判断所述第二MAC地址和第二标识信息的第二对应关系中是否存 在与所述第一 MAC地址匹配的MAC地址；
[0050] 若存在，则所述控制模块允许第一网络设备的访问。
[0051] 由此可见，本发明实施例第一路由设备可根据获取的第一网络设备的MAC地址，W 及MAC地址和标识信息的对应关系，控制第一网络设备的访问，具体的，控制第一网络设备 允许访问第一路由设备，或者控制第一网络设备不允许访问第一路由设备。因此本发明可 W优化组播组管理机制，使路由设备具备鉴别网络设备身份的能力，从而防止恶意攻击造 成的组播业务中断、信息泄露、查询器及网络负担增大的问题，提高了组播组的安全性。
【附图说明】
[0052] 图1是本发明一种示例性实施方式中的一种组播组的管理方法的处理流程图；
[0053] 图2是本发明一种示例性实施方式中的另一种组播组的管理方法的处理流程图；
[0054] 图3是本发明一种示例性实施方式中的组网示意图；
[0055] 图4a本发明一种示例性实施方式中的组播组的管理装置所在第一路由设备的硬 件结构图；
[0056] 图4b本发明一种示例性实施方式中的一种组播组的管理装置的逻辑结构图；
[0057] 图5a本发明一种示例性实施方式中的组播组的管理装置所在第二路由设备的硬 件结构图；
[0058] 图化本发明一种示例性实施方式中的另一种组播组的管理装置的逻辑结构图。
【具体实施方式】
[0059] 当共享网段上存在多个路由器时，基于IGMP/MLD协议的查询器选举过程如下：多 个路由器在初始时都认为自己是查询器，因此会向该共享网段内的所有主机和路由器发送 查询报文;其它路由器在收到该报文后，会将报文的源IP地址与自己的接口地址作比较;通 过比较选出IP地址最小的路由器作为查询器，其它路由器则为非查询器。
[0060] 当主机首次加入某个组播组时，主动向其要加入的组播组发送成员关系报告报 文，查询器收到成员关系报告报文后，会维护或更新对应的组播组信息；另外，查询器还会 周期性发送查询报文，主机收到查询报文后，回应成员关系报告报文，W此维持查询器上所 维护的组播组信息。
[0061] 然而由于IGMP/MLD协议基本上是一个单向驱动协议，因此可能会导致组播组的安 全隐患，例如：
[0062] 若有恶意攻击者假冒路由器发送IP地址较小的查询报文，则本地网络中原有的查 询器会变为非查询器，不再周期性发送查询报文和转发组播数据，导致网络中原有组播流 量转发中断；
[0063] 若有恶意攻击者向查询器发送某些组播组的成员关系报告报文，查询器就会向攻 击者转发对应组播组的组播数据，可能造成信息泄露；
[0064] 若有恶意攻击者向查询器发送某些已有组播组的离开组报文，并不停的攻击，会 使得查询器反复对运些组播组进行特定查询，合法主机反复进行响应，从而增加网络上报 文的传送量，加重了网络的负担及查询器的负担，也有可能导致查询器无法及时处理新的 组播组加入或离开请求，甚至引发故障。
[0065] 为了解决现有技术存在的问题，本发明提供一种组播组的管理方法及装置，可W 根据获取第一网络设备的第一MAC地址，W及MAC地址和标识信息的对应关系，控制第一网 络设备的访问。因此本发明可W优化组播组管理机制，使路由设备具备鉴别其他网络设备 身份的能力，从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的 问题，提高了组播组的安全性。
[0066] 请参考图1，是本发明一种示例性实施方式中的一种组播组的管理方法的处理流 程图，其中该方法可应用于第一路由设备，所述第一路由设备可W是现有组播网络中的任 意一台路由设备，也可W是额外增加的一台路由设备。所述方法包括：
[0067] 步骤101、接收第一网络设备发送的报文，并从所述报文中获取第一网络设备的第 一 MAC地址；
[0068] 在本实施中，所述第一网络设备包括但不限于路由设备或终端设备，其中所述终 端设备可W为服务器或主机。
[0069] 步骤102、根据所述第一MAC地址、W及MAC地址和标识信息的对应关系，控制第一 网络设备的访问。
[0070] 在本实施例中MAC地址和标识信息的对应关系可W是第一路由设备自身生成的， 也可W是从其它路由设备(为方便描述W下将其它路由设备称为第二路由设备)获取\接收 的。
[0071] 进一步的，若所述的对应关系是第一路由设备自身生成的，第一路由设备可W将 该自身生成的对应关系发送给第二路由设备，W使第二路由设备根据接收的所述对应关系 控制网络设备的访问（具体的，第二路由设备根据接收的所述对应关系控制网络设备的访 问的过程与第一路由设备根据所述对应关系控制第一网络设备的访问过程类似）。
[0072] 另外，需要说明的是，在本申请采用术语第一、第二、第Ξ等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。
[0073] 进一步的，在本申请中，第一网络设备可W为一个网络设备，或者为多个网络设备 的集合，同理，第二网络设备类同。
[0074] 在本发明可选的实施例中，第一路由设备可W根据MAC地址和标识信息的对应关 系，生成控制规则，所述控制规则包括针对所述对应关系的处理动作，其中，处理动作包括 拒绝访问、允许访问等。
[0075] 在一种实现方式中，若MAC地址和标识信息的对应关系为，第二MAC地址和第一标 识信息的第一对应关系时，其中，第一标识信息用于表示拒绝访问，则该控制规则为拒绝与 第一对应关系中第二MC地址匹配一致的MC地址所对应的网络设备访问第一路由设备。
[0076] 在另一种实现方式中，若MAC地址和标识信息的对应关系为，第二MAC地址和第二 标识信息的第二对应关系时，其中，第二标识信息用于表示允许访问，则该控制规则为允许 与第一对应关系中第二MC地址匹配一致的MC地址所对应的网络设备访问第一路由设备。
[0077] 具体的，在第一路由设备收到第一网络设备发送的报文时，从该报文中获取第一 网络设备的第一MAC地址，根据第一MAC地址，W及MAC地址和标识信息的对应关系，确定相 应的控制规则，根据该控制规则拒绝或允许第一网络设备访问第一路由设备。
[0078] 由此可见，本发明实施例第一路由设备可根据获取的第一网络设备的MAC地址，W 及MAC地址和标识信息的对应关系，控制第一网络设备的访问，具体的，控制第一网络设备 允许访问第一路由设备，或者控制第一网络设备不允许访问第一路由设备。因此本发明可 W优化组播组管理机制，使路由设备具备鉴别网络设备身份的能力，从而防止恶意攻击造 成的组播业务中断、信息泄露、查询器及网络负担增大的问题，提高了组播组的安全性。
[0079] 在本发明可选的实施例中，提供了一种获取MAC地址和标识信息的对应关系的方 法，包括：
[0080] 获取第二网络设备的第二MAC地址，对第二MAC地址设置标识信息，W获取第二MAC 地址和标识?目息的对应关系。
[0081 ]其中，获取第二网络的第二MAC地址，对第二MAC地址设置标识信息的方法，包括， 通过在路由设备中设置的方式获取，或者路由设备通过相应规则自动获取。
[0082] 当为获取的第二MAC地址设置第一标识信息时，获取第二MAC地址和第一标识信息 的第一对应关系，其中，第一标识信息用于表示拒绝访问。
[0083] 当为获取的第二MAC地址设置第二标识信息时，获取第二MAC地址和第二标识信息 的第二对应关系，其中，第二标识信息用于表示允许访问。
[0084] 进一步的，第一路由设备可W根据上述方法自身生成MAC地址和标识信息的对应 关系，或者由第二路由设备根据上述的方法生成MAC地址和标识信息的对应关系，并由第二 路由设备将该对应关系发送给第一路由设备，W使第一路由设备根据接收到的该对应关系 控制第一网络设备的访问。
[0085] 在本实施例中，提供了一种路由设备通过相应规则自动获取MAC地址和标识信息 的对应关系的方法，其中，所述的相应规则包括预置的条件规则或获取规则，为方便说明， W该方法在第一路由设备中实现为例，具体的：
[0086] -种根据预置的条件规则获取MAC地址和标识信息的对应关系的实施例为：
[0087] 第一路由设备可W设置预设时间W及接收报文的预设次数，其中，所述设置接收 报文的预设次数，具体可W为设置接收指定报文的预设次数(例如设置接收相同或不同协 议报文的预设次数），当检测到在预设时间内接收到所述第二网络设备发送的报文的次数 超过该预设次数时，可W怀疑该第二网络设备为非法用户，从而获取所述第二网络设备的 第二MAC地址，并对所述第二MAC地址设置第一标识信息，并生成第二MAC地址和第一标识信 息的第一对应关系，其中，该第一标识信息用于表示拒绝访问。
[0088] 进一步的，第一路由设备可W将生成的该第一对应关系发送给第二路由设备，W 使第二路由设备根据该第一对应关系拒绝访问自身的第二网络设备。
[0089] -种根据预置的获取规则获取MAC地址和标识信息的对应关系的方法为：
[0090] 第一路由设备从D肥P(Dynamic Host Configuration Protocol，动态主机配置协 议)服务器中获取网络设备的MAC地址，并将获取MAC地址作为第二网络设备的第二MAC地 址，由于畑CP服务器中记录的MAC地址通常为合法用户的MAC地址，因此对获取的第二MAC地 址设置第二标识信息，并生成第二MAC地址和第二标识信息的第二对应关系，其中第二标识 信息用于表示允许访问。
[0091] 具体的，第一路由设备可向畑CP服务器发送获取网络设备的MAC地址的请求报文； 然后接收DHCP服务器针对所述请求报文发送的反馈报文，获取所述反馈报文中的MAC地址， 并将获取的MAC地址作为第二网络设备的第二MAC地址。当所述第一路由设备与DHCP服务器 位于一台物理设备中，该第一路由设备可W通过发送控制指令获取DHCP服务器中的第一网 络设备的MAC地址。
[0092] 进一步的，第一路由设备可W将生成的该第二对应关系发送给第二路由设备，W 使第二路由设备根据该第二对应关系允许访问自身的第二网络设备。
[0093] 在本发明提供的一种组播组的管理方法的实施例中，如图2所示，所述方法包括：
[0094] 步骤201，第一路由设备接收第一网络设备发送的报文，并从所述报文中获取第一 网络设备的第一 MAC地址；
[009引步骤202，根据第一网络设备的第一MAC地址，W及MAC地址和标识信息的对应关 系，控制第一网络设备的访问。
[0096] 在本实施例中，第一路由设备获取第一MAC地址后，判断MAC地址和标识信息的对 应关系中是否存在与该第一MAC地址匹配一致的MAC地址，并根据判断结果控制与该第一 MAC地址对应的第一网络设备的访问。
[0097] 进一步的，第一路由设备根据所述判断结果，生成相应的控制规则，W使第一路由 设备根据该控制规则，允许或拒绝第一网络设备的访问。
[0098] -种实施例为，当第一路由设备判断出第二MAC地址和第一标识信息的第一对应 关系中存在与所述第一 MAC地址匹配的MAC地址时，第一路由设备根据该判断结果，生成拒 绝访问的控制规则，根据该控制规则拒绝第一网络设备的访问。
[0099] 进一步的，在本实施例中，当第一路由设备判断出第二MC和第一标识信息的第一 对应关系中不存在与所述第一MAC地址匹配的MAC地址时，第一路由设备根据该判断结果， 生成允许访问的控制规则，根据该控制规则允许第一网络设备的访问。
[0100] 另一种实施例为，当第一路由设备判断出第二MAC地址和第二标识信息的第二对 应关系中存在与所述第一 MAC地址匹配的MAC地址时，第一路由设备根据该判断结果，生成 允许访问的控制规则，根据该控制规则允许第一网络设备的访问。
[0101] 进一步的，在本实施例中，当第一路由设备判断出第二MC地址和第二标识信息的 第二对应关系中不存在与所述第一MAC地址匹配的MAC地址时，生成拒绝访问的控制规则， 根据该控制规则拒绝第一网络设备的访问。
[0102] 由此可见，本实施例中，第一路由设备通过获取第一网络设备的第一MAC地址，并 判断MAC地址和标识信息的对应关系中是否存在与所述第一 MAC地址一致的MAC地址，进而 针对第一网络设备生成相应的控制规则，并根据该控制规则允许或拒绝第一网络设备的访 问。因此本发明可W优化组播组管理机制，使路由设备具备鉴别其他路由设备及主机身份 的能力，从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问 题，提高了组播组的安全性。
[0103] 为使本发明的目的、技术方案及优点更加清楚明白，下面对本发明该方案作进一 步地详细说明。
[0104] 请参考图3,是本发明一种示例性实施方式中的一种组网示意图，该组播网络中包 括路由器R1、R2、R3，W及主机A和主机B。该组播网络中还包括D肥P服务器，所述D肥P服务器 中包括主机A的MC地址MAC-A在本实施例中将具有本发明所述的组播组管理功能的模块称 为控制器，该控制器可部署在DHCP服务器中。
[0105] 管理员可W预先在该控制器中设置用于记载对应关系的列表（需说明的是，W列 表方式记录对应关系仅为一种实现方式，并不限制只能通过列表记录），进一步的，设置的 列表可W包括多种，其中，第一列表包括合法的网络设备的MAC地址，第二列表包括非法的 网络设备的MAC地址。
[0106] 具体的，结合应用场景，在第二列表中配置路由器R3的MAC地址MAC-3(需要说明的 是，在本实施例中公开了通过配置的方式在第二列表中增加 MAC地址，若通过自动获取的方 式获取网络设备的MAC地址，可W通过判断网络设备的MAC地址是否被记录在DHCP服务器 中，当判断出该网络设备的MAC地址未被记录在DHCP服务器中，则在第二列表中增加该网络 设备的MAC地址）。
[0107] 控制器获取DHCP服务器中的客户端对应的MAC地址MAC-A，然后将该MAC-A加入第 一列表。此外，当控制器检测到主机B在一定时间内频繁发送IGMP/MLD离开组报文时，可W 将主机B的MAC地址MAC-B添加在第二列表中。控制器获取第二列表和第一列表中的MAC地 址，并为每个MAC地址设置Type标记，其中控制器可W对第二列表中的MAC地址设置Type = N1的标记，对第一列表中的MAC地址设置Type = N2的标记。管理员还可W为第二列表和第一 列表设置对应的控制规则，例如对属于第一列表的MAC地址对应的报文允许访问，对属于第 二列表的MAC地址对应的报文拒绝访问。第一列表和第二列表的维护形式如表1所示，其中 permit表示为第一列表对应的处理动作，deny表示为第二列表对应的处理动作。 「01081
[0109] 表1
[0110] 控制器可W根据表1，拒绝路由器R3W及主机B的访问。
[0111] 进一步的，控制器可W通过IGMP消息将表1通告至组播组中的路由器R1和R2。当 R1、R2收到表1后，可W按照约定的规则通过不同的Type标记来区分第一列表和第二列表。 然后R1、R2可W根据表1向驱动下发对应的控制规则，对源MAC属于第一列表中的报文进行 放行处理（即允许访问），对源MAC属于第二列表中的报文进行丢弃处理（即拒绝访问）。
[0112] 后续，当路由器收到组播报文后，可W通过底层驱动根据控制规则进行判断和处 理。举例来讲，当选举查询器时，若R1、R2收到R3发送的查询报文时，由于R3的MAC地址MC-3 属于第二列表，因此R1、R2中的底层驱动则可W根据控制规则将所述R3发送的查询报文丢 弃，从而可W避免R3通过假冒路由器发送IP地址较小的查询报文影响查询器选举结果。当 R2收到主机A、主机B发送的报文A、报文B时，可W根据控制规则对报文A进行放行;对报文B 进行丢弃。因此本发明可W保证有合法的路由器所发送的查询报文，才会上送IGMP/MLD模 块，触发新的IGMP/MLD查询器选举；只有合法的主机所发送的IGMP/MLD成员关系报告报文 和离开组报文，才会上送IGMP/MLD查询器，触发组播组添加或删除操作。
[0113] 基于相同的构思，本发明还提供一种组播组的管理装置，该装置可W通过软件实 现，也可W通过硬件或者软硬件结合的方式实现。W软件实现为例，本发明的组播组的管理 装置作为一个逻辑意义上的装置，是通过其所在设备的CP闲尋存储器中对应的计算机程序 指令读取后运行而成。
[0114] 请参考图4a及图4b，是本发明一种示例性实施方式中的一种组播组的管理装置 400，所述装置应用于第一路由设备中该装置基本运行环境包括CPU，存储器W及其他硬件， 从逻辑层面上来看，该装置400包括：
[0115] 接收模块401，用于接收第一网络设备发送的报文；
[0116] 获取模块402,用于从所述报文中获取第一网络设备的第一 MAC地址；
[0117] 控制模块403，用于根据所述第一MAC地址、W及MAC地址和标识信息的对应关系， 控制第一网络设备的访问。
[0118] 可选的，所述获取单元402,还用于获取第二网络设备的第二MAC地址；
[0119] 标识模块404，用于对所述获取模块获取的第二MAC地址设置标识信息；
[0120] 关系模块405，用于当标识模块对所述第二MAC地址设置第一标识信息时，获取所 述第二MAC地址和第一标识信息的第一对应关系，所述第一标识信息用于表示拒绝访问。
[0121] 或者，所述关系模块405,用于当标识模块对所述第二MAC地址设置第二标识信息 时，获取所述第二MAC地址和第二标识信息的第二对应关系，所述第二标识信息用于表示允 许访问。
[0122] 其中，所述获取模块402可W包括第一获取子模块、第二获取子模块（图4b中均未 示出），所述标识模块404根据不同的获取子模块获取的第二MC地址设置相应的标识信息， 例如，对第一获取子模块获取的第二MAC地址设置第一标识信息，对第二获取子模块获取的 第二MAC地址设置第二标识信息。
[0123] 其中，获取第二网络的第二MAC地址，包括，通过在第一路由设备中设置的第二MAC 地址，并通过获取模块402获取第二MAC地址，或者第一路由设备的获取模块402通过相应规 则自动获取第二MAC地址。
[0124] 具体的，一种通过相应规则自动获取第二MAC地址的实施例，包括，
[0125] 设置模块406，用于设置预设时间内接收报文的预设次数；
[0126] 检测模块407，用于检测预设时间内接收第二网络设备发送的报文次数；
[0127] 第一获取子模块，用于当所述检测模块407检测出在预设时间内接收第二网络设 备发送的报文次数不小于所述预设次数时，获取所述第二网络设备的第二MC地址；
[0128] 所述标识模块404,还用于对第一获取子模块获取的所述第二MAC地址设置第一标 识信息。
[0129] 在另一种通过相应规则自动获取第二MAC地址的实施例，包括，
[0130] 第二获取子模块，用于从DHCP服务器获取的网络设备的MAC地址，并将获取的所述 MAC地址作为第二网络设备的第二MAC地址；
[0131] 标识模块404,还用于对第二获取子模块获取的所述第二MAC地址设置第二标识信 息。
[0132] 进一步的，当第一路由设备的获取模块402获取第一网络设备的第一MAC地址后， 通过第一路由设备的判断模块408,将第一 MAC地址与自身记录的MAC地址和标识信息的对 应关系进行匹配，并判断匹配结果，控制模块403,具体用于根据判断模块408的判断结果控 制第一网络设备的访问。
[0133] 具体包括，判断模块408,用于判断第二MAC地址和第一标识信息的第一对应关系 中是否存在与所述第一 MAC地址匹配的MAC地址；
[0134] 若存在，则所述控制模块403拒绝第一网络设备的访问。
[0135] 或者，判断模块408,用于判断所述第二MAC地址和第二标识信息的第二对应关系 中是否存在与所述第一 MAC地址匹配的MAC地址；
[0136] 若存在，则所述控制模块403允许第一网络设备的访问。
[0137] 进一步的，所述装置还可包括发送模块409,用于向其他路由设备发送关系模块 405生成的MAC地址和标识信息的对应关系，W使其他路由设备根据接收到的所述对应关系 控制网络设备的访问。
[0138] 请参考图5a及图化，是本发明一种示例性实施方式中的另一种组播组的管理装置 500，所述装置应用于第二路由设备中该装置基本运行环境包括CPU，存储器W及其他硬件， 从逻辑层面上来看，该装置500包括：
[0139] 接收单元501，用于接收第一路由设备发送的第一网络设备的MAC地址和标识信息 的对应关系；
[0140] 控制单元502,用于根据所述对应关系控制第二网络设备的访问。
[0141] 由此可见，本发明实施例第一路由设备可根据获取的第一网络设备的MAC地址，W 及MAC地址和标识信息的对应关系，控制第一网络设备的访问，具体的，控制第一网络设备 允许访问第一路由设备，或者控制第一网络设备不允许访问第一路由设备。因此本发明可 W优化组播组管理机制，使路由设备具备鉴别网络设备身份的能力，从而防止恶意攻击造 成的组播业务中断、信息泄露、查询器及网络负担增大的问题，提高了组播组的安全性。
[0142] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0143] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0144] W上所述仅为本发明的较佳实施例而已，并不用W限制本发明，凡在本发明的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【主权项】
1. 一种组播组的管理方法，其特征在于，所述方法包括： 接收第一网络设备发送的报文，并获取第一网络设备的第一 MAC地址； 根据所述第一MAC地址、以及MAC地址和标识信息的对应关系，控制第一网络设备的访 问。2. 如权利要求1所述的方法，其特征在于，获取所述MAC地址和标识信息的对应关系的 方法包括： 获取第二网络设备的第二MAC地址，对第二MAC地址设置标识信息； 其中，所述对第二MAC地址设置标识信息，包括： 对第二MAC地址设置第一标识信息，以获取第二MAC地址和第一标识信息的第一对应关 系，所述第一标识信息用于表示拒绝访问；或者， 对第二MAC地址设置第二标识信息，以获取第二MAC地址和第二标识信息的第二对应关 系，所述第二标识信息用于表示允许访问。3. 如权利要求2所述的方法，其特征在于，所述获取第二网络设备的第二MAC地址，具体 包括： 设置预设时间内接收报文的预设次数，当在预设时间内接收第二网络设备发送的报文 次数不小于所述预设次数时，获取所述第二网络设备的第二MAC地址； 所述对第二MAC地址设置标识信息，具体为： 对获取的所述第二MAC地址设置第一标识信息。4. 如权利要求3所述的方法，其特征在于，所述根据所述第一 MAC地址，以及MAC地址和 标识信息的对应关系，控制第一网络设备的访问，包括： 判断第一对应关系中是否存在与所述第一 MAC地址匹配的MAC地址； 若存在，拒绝第一网络设备的访问。5. 根据权利要求2所述的方法，其特征在于，所述获取第二网络设备的第二MAC地址，具 体包括： 将从DHCP服务器获取的网络设备的MAC地址作为第二网络设备的第二MAC地址； 所述对第二MAC地址设置标识信息，具体为： 对获取的所述第二MAC地址设置第二标识信息。6. 如权利要求5所述的方法，其特征在于，所述根据所述第一 MAC地址，以及MAC地址与 标识信息的对应关系，控制第一网络设备的访问，包括： 判断所述第二对应关系中是否存在与所述第一 MAC地址匹配的MAC地址； 若存在，允许第一网络设备的访问。7. -种组播组的管理装置，其特征在于，所述装置包括： 接收模块，用于接收第一网络设备发送的报文； 获取模块，用于从所述报文中获取第一网络设备的第一 MAC地址； 控制模块，用于根据所述第一MAC地址、以及MAC地址和标识信息的对应关系，控制第一 网络设备的访问。8. 如权利要求7所述的装置，其特征在于，所述装置还包括:标识模块和关系模块，其 中， 所述获取模块，还用于获取第二网络设备的第二MAC地址； 所述标识模块，用于对所述获取模块获取的第二MAC地址设置标识信息； 所述关系模块，用于当标识模块对所述第二MAC地址设置第一标识信息时，获取所述第 二MAC地址和第一标识信息的第一对应关系，其中，所述第一标识信息用于表示拒绝访问； 或者， 还用于当标识模块对所述第二MAC地址设置第二标识信息时，获取所述第二MAC地址和 第二标识信息的第二对应关系，其中，所述第二标识信息用于表示允许访问。9. 如权利要求8所述的装置，其特征在于，所述装置还包括:设置模块和检测模块，所述 获取模块还包括第一获取子模块，其中， 所述设置模块，用于设置预设时间内接收报文的预设次数； 所述检测模块，用于检测预设时间内接收第二网络设备发送的报文次数； 所述第一获取子模块，还用于当所述检测模块检测出在预设时间内接收第二网络设备 发送的报文次数不小于所述预设次数时，获取所述第二网络设备的第二MAC地址； 所述标识模块，还用于对所述第一获取子模块获取的所述第二MAC地址设置第一标识 信息。10. 如权利要求9所述的装置，其特征在于，所述装置还包括： 判断模块，用于判断第二MAC地址和第一标识信息的第一对应关系中是否存在与所述 第一 MAC地址匹配的MAC地址； 若存在，则所述控制模块拒绝第一网络设备的访问。11. 如权利要求8所述的装置，其特征在于，所述获取模块还包括第二获取子模块， 所述第二获取子模块，还用于从DHCP服务器获取网络设备的MAC地址，并将获取的所述 MAC地址作为第二网络设备的第二MAC地址； 所述标识模块，还用于对第二获取子模块获取的所述第二MAC地址设置第二标识信息。12. 如权利要求11所述的装置，其特征在于，所述装置还包括： 判断模块，用于判断所述第二MAC地址和第二标识信息的第二对应关系中是否存在与 所述第一 MAC地址匹配的MAC地址； 若存在，则所述控制模块允许第一网络设备的访问。
【文档编号】H04L29/12GK105871846SQ201610200341
【公开日】2016年8月17日
【申请日】2016年3月31日
【发明人】王伟, 梁玉洁
【申请人】杭州华三通信技术有限公司