專利名稱:具有mac表溢出保護(hù)的網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò),并且更特別地針對(duì)具有MAC表溢出保護(hù)的網(wǎng)絡(luò)。
背景技術(shù):
由于各種原因,網(wǎng)絡(luò)領(lǐng)域中的很多應(yīng)用都支持以太網(wǎng)。例如,以太網(wǎng)是廣泛使用并且成本有效的媒介,具有大量接口并且速度容量高達(dá)10+Gbps的范圍。以太網(wǎng)可以用于由諸如公司等之類的一個(gè)單獨(dú)的實(shí)體在一個(gè)單獨(dú)的位置組建的應(yīng)用中,或者作為替代的實(shí)體可以將不同的局域網(wǎng)(LAN)連接到一起以形成一個(gè)更大的網(wǎng)絡(luò),有時(shí)稱為廣域網(wǎng)(WAN)。再進(jìn)一步,以太網(wǎng)技術(shù)還經(jīng)常用于形成有時(shí)稱為城域以太網(wǎng)(MEN)的網(wǎng)絡(luò),MEN通常是可以公開訪問的網(wǎng)絡(luò),通常與城市區(qū)域有關(guān),因此使用了術(shù)語“城域”以太網(wǎng)。MEN提供所謂的城域(metrodomain),典型地由諸如因特網(wǎng)服務(wù)提供商(ISP)之類的一個(gè)單獨(dú)的管理者控制。MEN典型地用于在接入網(wǎng)和核心網(wǎng)之間進(jìn)行連接。接入網(wǎng)通常包括操作為到私人用戶或端用戶的網(wǎng)橋的邊緣節(jié)點(diǎn)即用戶節(jié)點(diǎn),使得網(wǎng)絡(luò)具有連通性。核心網(wǎng)用于連接到其他城域以太網(wǎng),并且核心網(wǎng)主要提供幀交換功能。
以太網(wǎng)典型地包括多個(gè)網(wǎng)橋,有時(shí)也指代為其他名稱,諸如交換機(jī)。網(wǎng)橋典型地操作為接收幀,有時(shí)將幀指代為其他名稱,諸如包或消息,在任何情況下幀都包括具有源地址和目的地地址的一個(gè)部分,諸如頭。幀可以包括其他信息,諸如從源地址處的裝置傳送到目的地地址處的裝置的有效載荷或數(shù)據(jù)。網(wǎng)橋在一個(gè)端口上從該源接收該幀并經(jīng)由到該目的地的一個(gè)端口對(duì)其進(jìn)行轉(zhuǎn)發(fā),其中源和目的地可以是以太網(wǎng)中的另一網(wǎng)橋或用戶或其他節(jié)點(diǎn)。通過建立(或“得知”)連接到并對(duì)應(yīng)于其每個(gè)端口的每個(gè)地址的表,并接著在之后查詢其表,從而通過從在表中指示為連接到具有該地址的目的地的端口將幀轉(zhuǎn)發(fā)出去而將該幀轉(zhuǎn)發(fā)到期望的地址,由此網(wǎng)橋執(zhí)行其路由功能。此處這樣引入的表在本文獻(xiàn)中稱為MAC地址轉(zhuǎn)發(fā)表,其中MAC是“Media Access Control”(媒體接入控制)的縮寫,并且每個(gè)MAC地址都是唯一地標(biāo)識(shí)網(wǎng)絡(luò)中其相應(yīng)硬件的硬件地址。確切地說,在IEEE 802網(wǎng)絡(luò)中,OSI參考模型的數(shù)據(jù)鏈路控制(DLC)層分為兩個(gè)子層,即(i)邏輯鏈路控制(LLC)層和(ii)MAC層。MAC層通過接口直接與網(wǎng)絡(luò)媒介(即OSI中的物理層或第1層)相連。因此,到網(wǎng)絡(luò)媒介的每個(gè)不同的連接需要不同的MAC地址。最后,當(dāng)網(wǎng)橋接收到幀時(shí),網(wǎng)橋從幀中的頭信息中讀取目的地MAC地址,建立源端口和目的地端口之間的臨時(shí)連接,從其目的地端口將該幀轉(zhuǎn)發(fā)出去,并接著終止連接。
在當(dāng)代的計(jì)算中對(duì)網(wǎng)絡(luò)的頻繁使用上的負(fù)面發(fā)展就是壞人進(jìn)行了很多努力以給網(wǎng)絡(luò)的運(yùn)行帶來麻煩或獲得對(duì)網(wǎng)絡(luò)資源的未授權(quán)的訪問。在以太網(wǎng)的環(huán)境中,一種惡意的行為就是用戶連接到網(wǎng)絡(luò)并接著以異常大量的幀來對(duì)網(wǎng)橋進(jìn)行泛洪(flood),從而添加不同的且未知的MAC地址。當(dāng)網(wǎng)橋接收到每一幀時(shí),該網(wǎng)橋檢查其MAC地址轉(zhuǎn)發(fā)表以確定該表是否已將該幀中的源MAC地址記錄在該轉(zhuǎn)發(fā)表中。如果未這樣存儲(chǔ)該地址,則該表存儲(chǔ)該地址并將其與接收到攜帶該源地址的幀的端口相關(guān)聯(lián),因此,之后源地址就與網(wǎng)橋上的一個(gè)端口相關(guān)聯(lián)了。因此,當(dāng)接收到隨后的幀,該幀具有與轉(zhuǎn)發(fā)表中已經(jīng)存儲(chǔ)的MAC地址相匹配的目的地地址時(shí),網(wǎng)橋沿與該地址相關(guān)聯(lián)的端口轉(zhuǎn)發(fā)該幀。因此,根據(jù)前述內(nèi)容,應(yīng)當(dāng)注意到,網(wǎng)橋起初在其轉(zhuǎn)發(fā)表中為尚未存儲(chǔ)于該表中的每個(gè)源地址存儲(chǔ)一個(gè)條目。隨著這類未知的源地址的數(shù)目的增加,最后用于這些地址的存儲(chǔ)器會(huì)變滿。然而,此時(shí),根據(jù)現(xiàn)有技術(shù),如果網(wǎng)橋接收到其目的地地址不在已經(jīng)充滿的轉(zhuǎn)發(fā)表中的幀,則該網(wǎng)橋通常“廣播”每個(gè)這種幀,這意味著該網(wǎng)橋從其所有端口(除了接收到該幀的端口)將該幀傳送出去,希望目的地能夠接收到該幀并以一個(gè)確認(rèn)來對(duì)發(fā)出廣播的網(wǎng)橋進(jìn)行響應(yīng),從而使得該網(wǎng)橋可以更新其MAC地址轉(zhuǎn)發(fā)表,以便之后該表具有與接收到具有該目的地MAC地址的確認(rèn)的端口相關(guān)聯(lián)的條目。然而,應(yīng)當(dāng)注意到,該方法是有局限性的,根據(jù)現(xiàn)有技術(shù),該局限性特別是被對(duì)網(wǎng)橋進(jìn)行泛洪的壞人所利用。例如,MAC表具有有限的空間。在另一個(gè)示例中,MAC地址轉(zhuǎn)發(fā)表將超時(shí)窗(timeoutwindow)與所存儲(chǔ)的每個(gè)MAC地址相關(guān)聯(lián),因此如果在超時(shí)周期期間沒有對(duì)相應(yīng)地址的活動(dòng),就從該MAC表中去掉該地址。假設(shè)有這些局限性,則壞人有可能在相對(duì)較短的時(shí)間周期內(nèi)發(fā)送數(shù)千個(gè)不同的MAC地址到同一個(gè)網(wǎng)橋。由于其大小限制,網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表將達(dá)到其地址極限并且如果廣播的話會(huì)給網(wǎng)絡(luò)增加大量業(yè)務(wù)。此外,一旦MAC地址轉(zhuǎn)發(fā)表充滿,具有該表的網(wǎng)橋就不再接受新的MAC地址,也就是說,該網(wǎng)橋?qū)⒕哂形粗腗AC地址的所有到來業(yè)務(wù)都廣播到由該幀所定義的VLAN中的端口。作為結(jié)果,該網(wǎng)橋被迅速淹沒(overwhelmed),并且不能執(zhí)行其橋接功能,同時(shí)還開始丟棄來自其他源的幀。因此,該網(wǎng)橋被此次攻擊所淹沒,并且整個(gè)網(wǎng)絡(luò)有可能被此次攻擊所淹沒。
在現(xiàn)有技術(shù)中,已經(jīng)嘗試了兩種方法來處理上述原理和網(wǎng)橋局限性。在第一種方法中,在網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表中統(tǒng)計(jì)地改變MAC地址。在該方法中,手工地建立MAC地址轉(zhuǎn)發(fā)表,并且當(dāng)網(wǎng)橋接收到具有尚未包括的MAC目的地地址的新幀時(shí),將這些幀丟棄,并且因此不會(huì)在稍后以將作為對(duì)廣播該幀的響應(yīng)的內(nèi)容來更新該表。然而,由于網(wǎng)橋沒有廣播所丟棄的幀,因此減小了以這些幀來加重網(wǎng)絡(luò)負(fù)擔(dān)的可能性。在第二種方法中,每當(dāng)一個(gè)節(jié)點(diǎn)加入該網(wǎng)絡(luò)或啟動(dòng)一個(gè)節(jié)點(diǎn)時(shí),都采用基于MAC的認(rèn)證。在該方法中,當(dāng)一個(gè)MAC地址實(shí)體加入該網(wǎng)絡(luò)或啟動(dòng)一個(gè)MAC地址實(shí)體時(shí),該MAC地址實(shí)體發(fā)布有時(shí)稱為注冊(cè)幀的幀,以便網(wǎng)橋可以接收到該幀并且該網(wǎng)橋可以相應(yīng)地更新其MAC地址。
上述現(xiàn)有技術(shù)的方法可以減小由于以MAC幀對(duì)網(wǎng)橋進(jìn)行泛洪而使該網(wǎng)橋負(fù)擔(dān)過重的可能性,但這些方法也存在可以由本領(lǐng)域的普通技術(shù)人員發(fā)現(xiàn)的缺陷。作為第一種方法的缺陷示例,網(wǎng)橋可以接收到合法的幀,但如果這些幀包括尚未在該網(wǎng)橋的表中的目的地MAC地址,則這些幀將被丟棄,并且因此網(wǎng)絡(luò)拒絕為這些幀提供服務(wù)。作為第二種方法的缺陷示例,由于設(shè)備有可能定期關(guān)閉或啟動(dòng),所以需要一次注冊(cè)的多個(gè)實(shí)例,并且這還使得壞人可以用大量的注冊(cè)幀來對(duì)網(wǎng)絡(luò)及其網(wǎng)橋進(jìn)行泛洪。在以上情況下,需要通過優(yōu)選實(shí)施例來解決現(xiàn)有技術(shù)的缺陷,下面將進(jìn)行更詳細(xì)的描述。
發(fā)明內(nèi)容
在優(yōu)選實(shí)施例中,有一種操作網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)橋節(jié)點(diǎn)的方法。網(wǎng)橋節(jié)點(diǎn)包括多個(gè)端口。該方法包括在多個(gè)端口中的一個(gè)端口處從在網(wǎng)絡(luò)系統(tǒng)中且不同于該網(wǎng)橋節(jié)點(diǎn)的設(shè)備接收幀的步驟。該幀包括源網(wǎng)絡(luò)地址。該方法還對(duì)與該端口相關(guān)聯(lián)的至少一個(gè)條件進(jìn)行響應(yīng),即如果滿足至少一個(gè)條件,該方法就將該源地址存儲(chǔ)于與該網(wǎng)橋相關(guān)聯(lián)的轉(zhuǎn)發(fā)表中。該至少一個(gè)條件包括該幀是否是在時(shí)間窗TW內(nèi)接收到的以及這些幀的相應(yīng)源網(wǎng)絡(luò)地址是否已存儲(chǔ)于該表中,時(shí)間窗TW是關(guān)于在該端口處接收到門限數(shù)目的先前幀的時(shí)間的時(shí)間窗。
在此還描述和要求了其他方面。
圖1示出根據(jù)優(yōu)選實(shí)施例的示例的網(wǎng)絡(luò)系統(tǒng)。
圖2示出根據(jù)優(yōu)選實(shí)施例具有用于執(zhí)行MAC地址認(rèn)證(即確定可靠性)的各種數(shù)據(jù)塊的幀。
圖3示出根據(jù)優(yōu)選實(shí)施例由網(wǎng)橋節(jié)點(diǎn)進(jìn)行認(rèn)證的方法。
圖4示出根據(jù)優(yōu)選實(shí)施例操作網(wǎng)橋節(jié)點(diǎn)來更新MAC地址轉(zhuǎn)發(fā)表的方法。
圖5示出根據(jù)優(yōu)選實(shí)施被網(wǎng)橋用作轉(zhuǎn)發(fā)表的存儲(chǔ)器空間的邏輯描述。
圖6示出圖4的方法的替代性優(yōu)選實(shí)施例。
具體實(shí)施例方式
圖1示出可以實(shí)現(xiàn)優(yōu)選實(shí)施例的網(wǎng)絡(luò)系統(tǒng)10的框圖。一般來說,在圖1所示的級(jí)別上,系統(tǒng)10中的每一項(xiàng)在本領(lǐng)域中都是已知的,其中可以采用各種形式的硬件和軟件編程來構(gòu)造在此所示出的節(jié)點(diǎn),以執(zhí)行根據(jù)本文獻(xiàn)中的討論的步驟。然而,如下所述,該操作方法以及添加到網(wǎng)橋節(jié)點(diǎn)的某些功能用于本優(yōu)選實(shí)施例并從整體上改善了系統(tǒng)10,并且可以較為容易地將這些方法和功能添加到諸如系統(tǒng)10之類的系統(tǒng)的現(xiàn)有的硬件和軟件編程中。實(shí)際上,作為結(jié)果,本優(yōu)選實(shí)施例是比較靈活的并且可擴(kuò)展到不同大小的網(wǎng)絡(luò)。
系統(tǒng)10通常代表包括多個(gè)節(jié)點(diǎn)的橋接網(wǎng)絡(luò),諸如以太網(wǎng)。在以太網(wǎng)的環(huán)境中,可以將一些節(jié)點(diǎn)稱為以太網(wǎng)網(wǎng)橋或交換機(jī),并且為一致起見,本文獻(xiàn)中將使用術(shù)語“網(wǎng)橋”。應(yīng)當(dāng)注意,可以用各種方式來指代系統(tǒng)10中的網(wǎng)橋和其他設(shè)備之間的物理連接,并且可以用各種方式來實(shí)現(xiàn)這些物理連接,但在任何情況下,這些物理連接都允許在每一組兩個(gè)相連接的網(wǎng)橋之間進(jìn)行雙向通信。通過數(shù)據(jù)塊來進(jìn)行通信,這些數(shù)據(jù)塊通常稱為幀、包或消息,并且為一致起見,本文獻(xiàn)中將使用術(shù)語“幀”。在網(wǎng)絡(luò)的一部分中,并且同樣在本領(lǐng)域中已知,可以采用附加的路由層,從而定義在網(wǎng)絡(luò)中傳送幀的路徑。然后,參見系統(tǒng)10,一般來說,系統(tǒng)10包括三個(gè)網(wǎng)橋B0至B2。在系統(tǒng)10中,每個(gè)網(wǎng)橋Bx還經(jīng)由相應(yīng)的端口連接到一個(gè)或多個(gè)其他的網(wǎng)橋。例如,網(wǎng)橋B0經(jīng)由端口BP0.0連接到網(wǎng)橋B1,網(wǎng)橋B1經(jīng)由端口BP1.1連接到網(wǎng)橋B2。應(yīng)當(dāng)注意到,所示出的網(wǎng)橋的連接可以通過直接連接來實(shí)現(xiàn)或者可以存在不具有網(wǎng)橋功能的中間節(jié)點(diǎn)。在任何情況下,根據(jù)圖1所示,本領(lǐng)域的普通技術(shù)人員將意識(shí)到,可以將圖1中的相應(yīng)網(wǎng)橋之間的其余連接以及上述連接總結(jié)于下面的表1中
表1除上述網(wǎng)橋連接之外,網(wǎng)橋B1連接到網(wǎng)絡(luò)服務(wù)器NS,由于下面將更清楚地說明的原因,網(wǎng)絡(luò)服務(wù)器NS有時(shí)稱為認(rèn)證服務(wù)器并且連接到數(shù)據(jù)庫DB。
繼續(xù)參考系統(tǒng)10,為了進(jìn)行示例,圖中還將多個(gè)網(wǎng)橋示出為連接到用戶站節(jié)點(diǎn)USx,可以將用戶站節(jié)點(diǎn)指代為其他名稱,諸如用戶節(jié)點(diǎn)或用戶站。用戶站是節(jié)點(diǎn)的示例,在同一網(wǎng)絡(luò)或處在位于遠(yuǎn)端的網(wǎng)絡(luò)處,諸如在商業(yè)實(shí)體、大學(xué)、政府機(jī)構(gòu)等不同物理位置處,用戶站可以實(shí)現(xiàn)于LAN、WAN或全球因特網(wǎng)中。典型地,某些用戶站希望與其他用戶站進(jìn)行通信,并且因此網(wǎng)橋的一個(gè)關(guān)鍵功能就在于以不打擾這些用戶站的方式或甚至以這些用戶站可識(shí)別的方式來促進(jìn)這種通信。作為結(jié)果,系統(tǒng)10中的一個(gè)用戶站可以在較大的距離上相對(duì)于網(wǎng)絡(luò)層和用戶站之間的節(jié)點(diǎn)透明地與系統(tǒng)10中的另一用戶站進(jìn)行通信。此外,在圖1中,將一些用戶站示出為分別連接到一個(gè)網(wǎng)橋節(jié)點(diǎn)的相應(yīng)端口,而將其他用戶站連接到局域網(wǎng)(LAN),其中該LAN支持一組本地用戶站。作為前者的一個(gè)示例,用戶站US1連接到網(wǎng)橋B0的端口BP0.1,而LAN LN0連接到網(wǎng)橋B0的端口BP0.2。同時(shí),至于LAN LN0,其包括用戶站US3、US4和US5以及共享的傳輸媒介,其中有時(shí)將該共享的傳輸媒介實(shí)現(xiàn)為匯總集線器。將圖1中的用戶站的這些示例和其余示例的連接關(guān)系總結(jié)于下面的表2中
表2現(xiàn)在已經(jīng)介紹了系統(tǒng)10,應(yīng)當(dāng)注意到,在不同的操作下,可以根據(jù)現(xiàn)有技術(shù)來對(duì)系統(tǒng)10進(jìn)行操作,而此外本優(yōu)選實(shí)施例提高了對(duì)網(wǎng)橋節(jié)點(diǎn)Bx處的MAC溢出攻擊的抵抗能力。通過“背景技術(shù)”到這些不同方面,每個(gè)網(wǎng)橋維護(hù)通常實(shí)現(xiàn)于內(nèi)容可尋址存儲(chǔ)器(CAM)中的一個(gè)存儲(chǔ)器存儲(chǔ)區(qū)域,在此將CAM稱為MAC地址轉(zhuǎn)發(fā)表(或簡稱為“轉(zhuǎn)發(fā)表”)。在本優(yōu)選實(shí)施例中,現(xiàn)在介紹每個(gè)網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表的數(shù)據(jù)結(jié)構(gòu)。當(dāng)根據(jù)本優(yōu)選實(shí)施例的網(wǎng)橋接收到具有源MAC地址的幀時(shí),如果達(dá)到某些條件(稍后將詳細(xì)描述),則將來自該幀的各種地址信息存儲(chǔ)于該網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表中。為簡化對(duì)該信息的理解,考慮一個(gè)實(shí)例,其中首先激活諸如以網(wǎng)橋B0為例的網(wǎng)橋,該網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表是空的,之后將第一個(gè)條目加入該表中。在此情況下,轉(zhuǎn)發(fā)表的數(shù)據(jù)采取下面的表3的形式
表3(MAC轉(zhuǎn)發(fā)表)表3的第一行不是必須包括在實(shí)際的數(shù)據(jù)表中,但此處包括該行以便提供對(duì)包括在表中的數(shù)據(jù)值的可理解的描述。觀察表3的列,在第一列中,網(wǎng)橋優(yōu)選地存儲(chǔ)了來自所接收的幀的源MAC地址。為簡單起見,在本文獻(xiàn)中,當(dāng)實(shí)現(xiàn)實(shí)際的MAC地址時(shí)將大寫字母用作示例性的MAC地址,或者可以存儲(chǔ)其他形式。在第二列中,網(wǎng)橋優(yōu)選地存儲(chǔ)了接收到接收幀的端口的標(biāo)識(shí)符。在本例中,其中表3是網(wǎng)橋B0的表,于是將該表示出為已經(jīng)在其端口PB0.1處接收到幀。當(dāng)然,本例中的特定標(biāo)識(shí)“0.1”是為了與圖1的標(biāo)識(shí)符相匹配,而在實(shí)際應(yīng)用中,可以用各種方式來標(biāo)識(shí)端口。在任何情況下,該端口信息為區(qū)分相對(duì)于同一網(wǎng)橋的其他端口在網(wǎng)橋的一個(gè)端口處對(duì)多個(gè)幀的接收提供了基礎(chǔ),稍后將詳細(xì)描述該基礎(chǔ)。在第三列中,網(wǎng)橋可以存儲(chǔ)接收到接收幀的端口類型的標(biāo)識(shí)符。該信息為稍后確定是否需要關(guān)于相應(yīng)的MAC地址進(jìn)行認(rèn)證提供了基礎(chǔ),并為調(diào)整確定給定接收幀中的信息是否存儲(chǔ)于MAC地址轉(zhuǎn)發(fā)表中的參數(shù)提供了基礎(chǔ)。在第四列中,網(wǎng)橋優(yōu)選地存儲(chǔ)了接收到當(dāng)前接收幀的時(shí)戳。最后,在第五列中,如同下面結(jié)合圖2和圖3所述的那樣,網(wǎng)橋還優(yōu)選地采取了關(guān)于其轉(zhuǎn)發(fā)表中的一些條目或全部條目的認(rèn)證方法,因此第五列指示了任意給定時(shí)刻的認(rèn)證狀態(tài),“是”意味著已經(jīng)確定相應(yīng)的MAC地址是可靠的,“否”意味著尚未檢查相應(yīng)MAC地址的可靠性,“N/A”意味著將不會(huì)確定相應(yīng)MAC地址的可靠性。
圖2和圖3針對(duì)源MAC地址認(rèn)證的本優(yōu)選實(shí)施例的方法,在表3的第五列已引入了該方法。特別地,優(yōu)選地關(guān)于轉(zhuǎn)發(fā)表中從用戶站接收到的任意幀執(zhí)行認(rèn)證,但由于稍后將討論的原因,不會(huì)對(duì)一個(gè)網(wǎng)橋從另一網(wǎng)橋接收到的幀進(jìn)行認(rèn)證。關(guān)于對(duì)從用戶站接收到的幀的認(rèn)證,圖2示出了其中具有各種數(shù)據(jù)塊的優(yōu)選的幀F(xiàn)R,圖3示出了認(rèn)證的優(yōu)選方法100。下面將更詳細(xì)地描述這些圖示中的每一個(gè)。
首先從左到右觀察圖2的幀F(xiàn)R,該幀包括在某種程度上可以與其他網(wǎng)絡(luò)幀相對(duì)照的頭。然而,該幀頭優(yōu)選地包括表明將對(duì)幀F(xiàn)R進(jìn)行幀認(rèn)證的標(biāo)識(shí)符以及其他部分,其中該標(biāo)識(shí)符有可能指示發(fā)出請(qǐng)求的網(wǎng)橋節(jié)點(diǎn)的認(rèn)證請(qǐng)求或?qū)υ撜?qǐng)求的響應(yīng),下面將結(jié)合圖3對(duì)此進(jìn)行進(jìn)一步討論。幀F(xiàn)R中的下一部分是網(wǎng)橋標(biāo)識(shí)符(ID),其中所標(biāo)識(shí)的是發(fā)送幀F(xiàn)R請(qǐng)求的網(wǎng)橋或?qū)⒔邮諏?duì)這種請(qǐng)求的響應(yīng)的網(wǎng)橋。幀F(xiàn)R中的最后一部分是MAC地址標(biāo)識(shí)符的數(shù)目N,示出為MAC1到MACN,其中N優(yōu)選地大于1,以便使網(wǎng)橋節(jié)點(diǎn)可以在一個(gè)單獨(dú)的幀中請(qǐng)求一次對(duì)多個(gè)MAC地址進(jìn)行認(rèn)證。最后,應(yīng)當(dāng)注意到,當(dāng)將幀F(xiàn)R返回發(fā)出請(qǐng)求的網(wǎng)橋時(shí),可以將一個(gè)標(biāo)記添加到N個(gè)MAC地址標(biāo)識(shí)符中的每一個(gè)上,其中以示例的方式將幀F(xiàn)R中的每個(gè)MAC地址標(biāo)識(shí)符都示出為具有附加到其上的標(biāo)記Fx(例如,MAC1具有標(biāo)記F1,MAC2具有標(biāo)記F2,等等)。該標(biāo)記表明在認(rèn)證期間發(fā)現(xiàn)相應(yīng)的MAC地址是可靠的(即標(biāo)記設(shè)置為第一狀態(tài))還是不可靠的(即標(biāo)記設(shè)置為第二不同狀態(tài))??梢杂媚撤N其他形式來提供這些標(biāo)記,諸如通過在幀F(xiàn)R的其他地方(例如在幀頭中)包括這些標(biāo)記。
如上所述,圖3示出認(rèn)證的方法100,其中現(xiàn)在應(yīng)當(dāng)注意到,方法100優(yōu)選地由系統(tǒng)10中的多個(gè)網(wǎng)橋執(zhí)行,而在一些實(shí)例中,有可能有一些不執(zhí)行該方法的網(wǎng)橋。以示例的方式,可以在網(wǎng)橋中將方法100實(shí)現(xiàn)為包括足夠的硬件、軟件和數(shù)據(jù)信息以便執(zhí)行下述步驟的計(jì)算機(jī)程序。因此,以示例的方式,考慮連接到一個(gè)或多個(gè)用戶站但不直接連接到網(wǎng)絡(luò)服務(wù)器的網(wǎng)橋,諸如圖1中的不連接到網(wǎng)絡(luò)服務(wù)器NS但連接到用戶站US1、US2和US8的網(wǎng)橋B0。方法100開始于步驟110,其中網(wǎng)橋(例如B0)確定該網(wǎng)橋自己的MAC轉(zhuǎn)發(fā)表中的一組N個(gè)MAC地址的可靠性。在本優(yōu)選實(shí)施例中,由從其轉(zhuǎn)發(fā)表中收集N個(gè)MAC地址的網(wǎng)橋基于稍后將詳細(xì)描述的定時(shí)考慮來執(zhí)行步驟110,并且以圖2中示出的方式在幀F(xiàn)R中將這N個(gè)MAC地址傳送到該網(wǎng)絡(luò)。幀F(xiàn)R的頭指示了該幀的性質(zhì)并且其直接連接或通過中間網(wǎng)橋連接到提供地址認(rèn)證的網(wǎng)絡(luò)服務(wù)器。因此,在本例中,網(wǎng)橋B0發(fā)布將由網(wǎng)橋B1接收的幀F(xiàn)R,該幀F(xiàn)R直接連接到網(wǎng)絡(luò)服務(wù)器NS。作為響應(yīng),網(wǎng)橋B1為該認(rèn)證請(qǐng)求提供服務(wù)。因此,使用來自本領(lǐng)域中已知的其他認(rèn)證過程的術(shù)語,則發(fā)出請(qǐng)求的網(wǎng)橋節(jié)點(diǎn)(例如B0)是請(qǐng)求方,接收其請(qǐng)求并能夠經(jīng)由網(wǎng)絡(luò)服務(wù)器來為其提供服務(wù)的網(wǎng)橋(例如B1)稱為認(rèn)證方。實(shí)際上,請(qǐng)求方請(qǐng)求認(rèn)證方進(jìn)行認(rèn)證,如果通過認(rèn)證,則由于相信所認(rèn)證的信息而允許請(qǐng)求方采取進(jìn)一步的動(dòng)作。響應(yīng)于請(qǐng)求方的請(qǐng)求,認(rèn)證方與網(wǎng)絡(luò)服務(wù)器NS進(jìn)行通信。因此,在圖1的示例中,網(wǎng)橋B1成為請(qǐng)求方網(wǎng)橋B0的認(rèn)證方并與幀F(xiàn)R相聯(lián)系,并且因此網(wǎng)橋B1與網(wǎng)絡(luò)服務(wù)器NS和數(shù)據(jù)庫DS進(jìn)行通信。在本優(yōu)選實(shí)施例中,諸如由網(wǎng)絡(luò)管理者等預(yù)先設(shè)置數(shù)據(jù)庫DS,以便為系統(tǒng)10存儲(chǔ)可靠的或有效的MAC地址的列表。作為結(jié)果,直接連接到網(wǎng)絡(luò)服務(wù)器NS的網(wǎng)橋能夠經(jīng)由該網(wǎng)絡(luò)服務(wù)器NS訪問該列表或能夠使得該網(wǎng)絡(luò)服務(wù)器NS訪問該列表。因此,在當(dāng)前的環(huán)境下,諸如通過確定每個(gè)MAC地址MAC1至MACN是否已經(jīng)預(yù)先存儲(chǔ)到數(shù)據(jù)庫DS,來評(píng)估這些地址中的每一個(gè)以確定其是否可靠。作為響應(yīng),網(wǎng)絡(luò)服務(wù)器NS向直接連接的認(rèn)證方網(wǎng)橋(例如B1)返回對(duì)N個(gè)MAC地址中每一個(gè)的指示,其中如上所述,該指示可以采取附加標(biāo)記的形式或?qū)?yīng)于幀F(xiàn)R中的每個(gè)MAC地址的其他形式。然后,認(rèn)證方將該信息轉(zhuǎn)發(fā)回請(qǐng)求方(即發(fā)起請(qǐng)求的一方)網(wǎng)橋。然后,返回圖3的方法100,當(dāng)請(qǐng)求方網(wǎng)橋接收到對(duì)其認(rèn)證請(qǐng)求的響應(yīng)時(shí),就完成了步驟110并且方法100繼續(xù)到步驟120。
在步驟120中,請(qǐng)求方網(wǎng)橋(例如B0)對(duì)其從步驟110的可靠性確定中接收到的響應(yīng)中的每個(gè)可靠性指示作出響應(yīng)。因此,對(duì)于由認(rèn)證方指示為可靠的每個(gè)MAC地址,方法100從步驟120繼續(xù)到步驟130。相反,對(duì)于由認(rèn)證方指示為不可靠的每個(gè)MAC地址,方法100從步驟120繼續(xù)到步驟140。
由于發(fā)現(xiàn)了可靠的MAC地址而到達(dá)步驟130,在該步驟中,請(qǐng)求方網(wǎng)橋(例如B0)更新其轉(zhuǎn)發(fā)表以指示其中的相應(yīng)MAC地址是可靠的。那么暫時(shí)返回表3,應(yīng)當(dāng)注意到,根據(jù)表3的第五列,到表3所示的時(shí)刻為止還沒有檢查MAC地址A的可靠性,也就是說,到該時(shí)刻為止還沒有完成步驟110或?qū)ζ涞捻憫?yīng)。然而,如果根據(jù)步驟120,已經(jīng)發(fā)現(xiàn)MAC地址A是可靠的(即根據(jù)數(shù)據(jù)庫DS是有效的)并且將流程導(dǎo)向步驟130,那么在步驟130中相應(yīng)地更新第五列,該列可以如表3的形式所示,但要將指示“否”改為指示“是”。當(dāng)然,可以采用其他方式來指示可靠的地址,諸如為一個(gè)狀態(tài)設(shè)置一個(gè)單獨(dú)的二進(jìn)制值,其中應(yīng)當(dāng)理解,這種狀態(tài)指示一個(gè)可靠的地址而其補(bǔ)碼指示一個(gè)不可靠的地址。在步驟130進(jìn)行表更新之后,方法100返回步驟110以檢查另一組N個(gè)MAC地址的可靠性。
由于發(fā)現(xiàn)了不可靠的MAC地址(可以從直接連接的站點(diǎn)或從連接到匯總集線器或隱藏在匯總集線器之后的一些站點(diǎn)得知)而到達(dá)步驟140,在該步驟中,關(guān)于轉(zhuǎn)發(fā)表中的MAC地址的條目采取相應(yīng)的動(dòng)作。那么暫時(shí)返回表3,可以再次回想到,到表3所示的時(shí)刻為止還沒有檢查MAC地址A的可靠性。然而,當(dāng)?shù)竭_(dá)步驟140時(shí),其中所討論的地址是不可靠的(例如不是可靠的或未存儲(chǔ)于數(shù)據(jù)庫DS中),則采取步驟以使表3中的該條目無效,以便釋放用于該條目的存儲(chǔ)空間以在將來用于其他地址。以示例的方式,對(duì)于發(fā)現(xiàn)為不可靠的這種地址,可以將請(qǐng)求方的MAC轉(zhuǎn)發(fā)表中用于該地址的條目標(biāo)記為無效并在稍后將其覆蓋,或者可以在確定不可靠性質(zhì)時(shí)將轉(zhuǎn)發(fā)表中的該條目從該表中去掉。因此在任何情況下都應(yīng)當(dāng)注意到,會(huì)隨時(shí)間對(duì)不可靠的條目進(jìn)行識(shí)別并將其從轉(zhuǎn)發(fā)表中清除,從而使得當(dāng)請(qǐng)求方網(wǎng)橋接收到具有對(duì)應(yīng)MAC地址的另外的幀時(shí),該表的有效存儲(chǔ)空間可用于稍后的條目。在步驟140進(jìn)行表更新之后,方法100返回步驟110以檢查另一組N個(gè)MAC地址的可靠性。
根據(jù)前述內(nèi)容,關(guān)于方法100可以進(jìn)行多種研究。一般來說,該方法使得網(wǎng)橋可以請(qǐng)求一次認(rèn)證多達(dá)N個(gè)MAC地址,并且當(dāng)確定了這些地址的可靠性時(shí),該網(wǎng)橋相應(yīng)地更新其MAC地址轉(zhuǎn)發(fā)表,并且通過以一個(gè)單獨(dú)的幀F(xiàn)R來確定多個(gè)地址的可靠性,可以減小開銷。在本領(lǐng)域中公知,對(duì)于更新為可靠的地址,之后網(wǎng)橋可以關(guān)于這些地址進(jìn)行操作,諸如將以后的幀路由到認(rèn)證后的地址。對(duì)于發(fā)現(xiàn)為不可靠的地址,網(wǎng)橋可以用之前由該地址信息所使用的存儲(chǔ)空間來容納新接收到的地址。以這種方式,并且下面將進(jìn)一步描述,可以定期釋放存儲(chǔ)空間以容納另外的地址。此外,如果壞人試圖以不可靠的地址來對(duì)MAC轉(zhuǎn)發(fā)表進(jìn)行泛洪,則方法100隨時(shí)間清除這些地址,從而減小由于接收到不可靠地址而淹沒該網(wǎng)橋的可能性。最后,應(yīng)當(dāng)注意到,進(jìn)一步考慮到下述事項(xiàng),本領(lǐng)域的普通技術(shù)人員可以調(diào)整認(rèn)證發(fā)生及對(duì)其響應(yīng)的發(fā)生頻率的定時(shí)。
圖4示出根據(jù)本優(yōu)選實(shí)施例操作網(wǎng)橋節(jié)點(diǎn)的方法200,其中方法200優(yōu)選地由系統(tǒng)10中的多個(gè)網(wǎng)橋節(jié)點(diǎn)執(zhí)行,而在一些實(shí)例中,有可能有一些不執(zhí)行該方法的網(wǎng)橋節(jié)點(diǎn)。以示例的方式,可以在網(wǎng)橋中將方法200實(shí)現(xiàn)為包括足夠的硬件、軟件和數(shù)據(jù)信息以便執(zhí)行下述步驟的計(jì)算機(jī)程序。方法200開始于開始步驟210,該步驟表明該網(wǎng)橋開始了并行的方法,一般地以步驟220和步驟230示出。確切地說,圖4左邊的步驟220所示的這些方法之一就是圖3的方法100。因此,圖4的方法220擬用于說明方法100優(yōu)選地由所討論的網(wǎng)橋連續(xù)執(zhí)行,而同時(shí)還執(zhí)行了一般地示出于方法220右邊的單獨(dú)的方法230。換句話說,當(dāng)執(zhí)行方法230時(shí),也執(zhí)行了方法220,方法220執(zhí)行圖3的方法100。因此,隨時(shí)間監(jiān)控該網(wǎng)橋的轉(zhuǎn)發(fā)表,其中一次檢查多達(dá)N個(gè)MAC地址的可靠性,對(duì)識(shí)別為可靠的地址進(jìn)行標(biāo)記并將識(shí)別為不可靠的地址標(biāo)為無效、去掉這些地址和/或用新接收到的地址覆蓋這些地址。下面將詳細(xì)描述在同一時(shí)間期間一般地進(jìn)行操作的方法230。
方法230(方法200中的并行方法)開始于步驟240中示出的等待狀態(tài)。確切地說,繼續(xù)步驟240直到所討論的網(wǎng)橋接收到幀為止。對(duì)于方法230的討論,除非另有說明,否則擬討論的幀就是以太網(wǎng)中的普通類型的幀,其中包括的源地址和目的地地址為某種類型的另外的數(shù)據(jù),在現(xiàn)有技術(shù)中,當(dāng)接收到這樣的幀時(shí),通常將該幀的源地址和接收到該幀的端口添加到接收網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表中,并且之后將這些值用于將業(yè)務(wù)路由回該地址,那時(shí)該地址作為目的地地址。然而,相反,操作于該環(huán)境中的本優(yōu)選實(shí)施例實(shí)現(xiàn)了某些條件,從而減小了網(wǎng)橋用未知的(或不合法的)MAC地址來充滿其MAC地址轉(zhuǎn)發(fā)表的可能性。為繼續(xù)上述同一示例,于是假定由網(wǎng)橋B0來執(zhí)行方法200及其并行方法。因此,網(wǎng)橋B0等待來自任意LAN LN0或用戶站US1、US2或US8以及稍后將連接到網(wǎng)橋B1的一個(gè)端口的任意其他節(jié)點(diǎn)的幀。一旦接收到幀,方法230就從步驟240繼續(xù)到步驟250。
在步驟250中,施加了一個(gè)條件,其首先確定是否有可能將當(dāng)前所接收的幀的MAC地址存儲(chǔ)在了該網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表中,但應(yīng)當(dāng)注意到,該條件是基于接收到該幀的端口的。確切地說,在步驟250中,接收到當(dāng)前幀的網(wǎng)橋確定是否已經(jīng)在同一端口處在另一個(gè)幀中接收到并在表中(在轉(zhuǎn)發(fā)表中)存儲(chǔ)了當(dāng)前幀中的源MAC地址。換句話說,步驟250確定相對(duì)于已經(jīng)在接收到當(dāng)前的接收幀的同一端口的轉(zhuǎn)發(fā)表中的其他源MAC地址,當(dāng)前的接收幀中的源MAC地址是否唯一。如果在同一端口處接收到具有這樣一個(gè)重復(fù)源地址的幀并將其存儲(chǔ)于表中,則方法230將流程從步驟250返回到步驟240以等待接收下一個(gè)幀。同樣,雖然在此未討論以便集中于本優(yōu)選實(shí)施例的方面,但根據(jù)現(xiàn)有技術(shù),如果所接收的幀具有有效的經(jīng)認(rèn)證的源地址和目的地地址,則可以將該幀轉(zhuǎn)發(fā)到其目的地。然而,根據(jù)步驟250,如果未在同一端口上接收到具有已知源地址的幀并將其存儲(chǔ)于表中,則方法230從步驟250繼續(xù)到步驟260。
在步驟260中,引入了一個(gè)概念,即時(shí)間窗,在本文獻(xiàn)中表示為TW,其成為可以施加的另一個(gè)條件,以確定是否有可能將當(dāng)前所接收的幀的MAC地址存儲(chǔ)于該網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表中,并且應(yīng)當(dāng)注意到,該條件也是基于接收到該幀的端口的。本領(lǐng)域的普通技術(shù)人員可以建立時(shí)間窗TW的持續(xù)時(shí)間,并且如同稍后將描述的,對(duì)于不同的網(wǎng)橋節(jié)點(diǎn)、一個(gè)單獨(dú)的網(wǎng)橋節(jié)點(diǎn)的不同端口,并且甚至對(duì)于給定網(wǎng)橋或給定端口的不同時(shí)間(times of day),可以改變時(shí)間窗TW的持續(xù)時(shí)間。在任何情況下,在步驟260中,利用已經(jīng)從同一端口接收到具有先前未存儲(chǔ)于其MAC地址轉(zhuǎn)發(fā)表中的源地址的當(dāng)前幀的網(wǎng)橋,對(duì)于接收到當(dāng)前的接收幀的端口,該網(wǎng)橋確定在TW內(nèi)存儲(chǔ)于該MAC地址轉(zhuǎn)發(fā)表中并從該同一端口接收到的幀的數(shù)目,其中在本文獻(xiàn)中將該數(shù)目縮寫為NFPTW(“N”代表數(shù)目,“F”代表幀,“P”代表同一端口,“TW”代表所經(jīng)歷的時(shí)間窗期間TW)。另外,處于這種考慮,再次返回表3,可以回想到,此處的另一個(gè)條目就是接收每個(gè)對(duì)應(yīng)幀的端口,如在該單獨(dú)的示例中示出為等于0.1的端口ID。因此,假定表3具有大量條目,則步驟260查找時(shí)戳,確定在該同一端口處接收并在表中存儲(chǔ)了多少其他的具有唯一源地址的幀,結(jié)果是值NFPTW,該時(shí)戳相對(duì)于當(dāng)前所接收的幀的到達(dá)時(shí)間示出所經(jīng)歷的TW中的持續(xù)時(shí)間內(nèi)的時(shí)間。接著,方法230從步驟260繼續(xù)到步驟270。
在步驟270中,網(wǎng)橋?qū)FPTW與指定為THRFPTW的門限進(jìn)行比較。這種比較有效地提供了對(duì)在TW期間在同一端口處是否已經(jīng)接收到不可接受并有可能是可疑的大量幀的度量,并且由于步驟250之前的發(fā)現(xiàn),具有了(相對(duì)于彼此)唯一的地址。換句話說,將門限THRFPTW設(shè)置為有可能出現(xiàn)這種可疑情況的某個(gè)數(shù)值。作為結(jié)果,在步驟270中,如果來自同一端口并且在時(shí)間TW內(nèi)并且相對(duì)于彼此具有唯一地址(如同在步驟250中所檢測(cè)到的)的由NFPTW所反映的幀的數(shù)目超過了門限THRFPTW,則所討論的網(wǎng)橋端口非常有可能正在受到以具有不可靠的地址的幀而進(jìn)行的惡意的泛洪。因此,如果NFPTW超過了門限THRFPTW,則方法230從步驟270返回到步驟240,以等待下一個(gè)幀。因此,應(yīng)當(dāng)注意到,如果該可疑事件發(fā)生了,則在緊接著要進(jìn)行的步驟240中接收到并接著由步驟250、260和270處理的幀不會(huì)引起向該網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表進(jìn)行新的寫入,并且同樣不會(huì)將該幀的地址廣播到網(wǎng)絡(luò)。因此,該幀并沒有顯著地影響網(wǎng)橋。此外,如果在TW內(nèi)接收到具有相同的可疑屬性的另外的幀,則以相同的方式來處理這些幀并且使每個(gè)幀對(duì)接收網(wǎng)橋的影響最小化,對(duì)應(yīng)地減小了這些幀淹沒該網(wǎng)橋的可能性。
僅當(dāng)NFPTW未超過THRFPTW時(shí)到達(dá)步驟280,在該步驟中,網(wǎng)橋節(jié)點(diǎn)向其MAC地址轉(zhuǎn)發(fā)表寫入關(guān)于當(dāng)前所接收的幀的各種數(shù)據(jù),其中該數(shù)據(jù)與表3中示出的描述符一致。因此,根據(jù)該幀寫入MAC地址,如端口ID、端口類型以及接收到該當(dāng)前接收幀的時(shí)戳。最后,將經(jīng)認(rèn)證的MAC地址指示符設(shè)置為指示尚未進(jìn)行認(rèn)證的值,而并行的方法100可以在之后的某個(gè)時(shí)候嘗試對(duì)該條目進(jìn)行認(rèn)證從而改變?cè)撝?或者如果確定該MAC地址是不可靠的,則去掉整個(gè)條目)。之后,方法230將流程返回步驟240,以等待下一個(gè)接收幀,此時(shí)關(guān)于該幀并根據(jù)之前的描述繼續(xù)進(jìn)行方法230。
根據(jù)前述內(nèi)容,通過考慮一個(gè)示例,可以進(jìn)一步描述本優(yōu)選實(shí)施例的各方面,在該示例中系統(tǒng)10已經(jīng)運(yùn)行了一段時(shí)間并且網(wǎng)橋B0已經(jīng)進(jìn)一步擴(kuò)展了其MAC地址轉(zhuǎn)發(fā)表。因此,在這樣一個(gè)示例中,假定將表3進(jìn)一步擴(kuò)展為包括如下面在表4中所示的另外的條目,并且假定在耗費(fèi)在接收幀并將其添加到表3上的附加時(shí)間期間,已經(jīng)確定T1處的MAC地址的第一條目A是可靠的,如同表4中的第五列所示,與表3中的該相同條目不同,該列指示為“是”
表4利用表4,通過沿循方法200的步驟,多個(gè)示例是有啟發(fā)性的,并且下面將研究這些示例,而本領(lǐng)域的普通技術(shù)人員可以想到大量的其他示例。
考慮關(guān)于表4的第一示例,其中網(wǎng)橋B0在其端口BP0.1處接收到具有源MAC地址A并在時(shí)刻T7之后的時(shí)刻T8到達(dá)的幀。因此,根據(jù)步驟250,應(yīng)當(dāng)注意到,已經(jīng)在同一端口(即BP0.1)處接收到并成功地得知并且在表中存儲(chǔ)了源MAC地址A,表4的第一行示出了這樣一個(gè)幀。作為結(jié)果,相對(duì)于表中所存儲(chǔ)的用于同一端口的條目,當(dāng)前所接收的幀的MAC地址并不是唯一的,因此,網(wǎng)橋B0不會(huì)在其MAC地址轉(zhuǎn)發(fā)表中形成另外的條目,并且相反地,方法的流程返回到步驟240。
考慮關(guān)于表4的第二示例,其中網(wǎng)橋B0在其端口BP0.3處接收到具有源MAC地址A并在時(shí)刻T7之后的時(shí)刻T9到達(dá)的用戶站的幀,同樣假定TW大于T1和T9之間的時(shí)間。根據(jù)步驟250,盡管在時(shí)刻T1接收到了相同的MAC地址,但應(yīng)當(dāng)注意到,先前是在相對(duì)于當(dāng)前所接收的幀不同的端口處進(jìn)行接收的。因此,流程繼續(xù)到步驟260和步驟270。因此,假定在經(jīng)歷的TW期間在端口BP0.3處接收到的幀的數(shù)目小于或等于用于該端口的門限(即THRFPTW),則將該最新的幀添加到表4,體現(xiàn)在下面的表5中。應(yīng)當(dāng)注意到,該未認(rèn)證的MAC地址將不會(huì)用于轉(zhuǎn)發(fā)幀,直到對(duì)其進(jìn)行了認(rèn)證為止。如果這種認(rèn)證成功了,則會(huì)更新表5中的第8行的該新條目,以便將其認(rèn)證指示從“否”改為“是”。
表5考慮關(guān)于表4的第三示例,其中網(wǎng)橋B0在其端口BP0.4處接收到具有源MAC地址H并在時(shí)刻T7之后的時(shí)刻T10到達(dá)的幀,并且同樣假定TW大于T1和T10之間的時(shí)間。根據(jù)步驟250,該MAC地址相對(duì)于已經(jīng)在轉(zhuǎn)發(fā)表中的MAC地址是唯一的,因此,流程繼續(xù)到步驟260和步驟270。然而,假定在此情況下,THRFPTW等于2,盡管在實(shí)際應(yīng)用中這樣一個(gè)數(shù)值低得不切實(shí)際。在步驟260中,確定NFPTW,即存儲(chǔ)于網(wǎng)橋B0的MAC地址轉(zhuǎn)發(fā)表中并從與當(dāng)前所接收的幀相同的端口BP0.4接收到的幀的數(shù)目。從表4的角度來看,所確定的數(shù)目等于3(即從三個(gè)MAC地址C、D和E,在時(shí)刻T3、T4和T5,全部在端口BP0.4處接收)。作為結(jié)果,由于NFPTW的值大于THRFPTW的值,因此在步驟270中,其所確定的數(shù)目得到肯定的答案。因此,由于是在所經(jīng)歷的TW期間在接收到具有唯一MAC地址的其他幀的同一端口處接收到該幀的,因此實(shí)際上將該新接收的幀視為會(huì)加重網(wǎng)橋節(jié)點(diǎn)負(fù)擔(dān)的一種風(fēng)險(xiǎn)。因此,不將來自該幀的MAC地址信息存儲(chǔ)于該網(wǎng)橋的MAC地址轉(zhuǎn)發(fā)表中,并且流程返回到步驟240以等待下一個(gè)幀。
上面已經(jīng)描述了圖4的方法200中的并行方法并給出了前述示例,現(xiàn)在可以關(guān)于本優(yōu)選實(shí)施例進(jìn)行各種研究并且可以與現(xiàn)有技術(shù)進(jìn)行比較。因此,下面將分別討論這些研究的示例。
作為第一研究,考慮一種情況,其中執(zhí)行方法200的網(wǎng)橋節(jié)點(diǎn)接收非常大量的幀,每個(gè)幀都具有一個(gè)未認(rèn)證的源MAC地址,發(fā)送這些幀很有可能是為了淹沒或甚至擊潰該網(wǎng)橋。如上所述,現(xiàn)有技術(shù)的網(wǎng)橋?qū)⒔邮苓@些幀,直到其存儲(chǔ)器完全充滿為止,并且還在此后開始進(jìn)行廣播,從而大大加重了該網(wǎng)橋的負(fù)擔(dān)并擾亂了該網(wǎng)絡(luò)上的業(yè)務(wù)。相反,在本優(yōu)選實(shí)施例中,在每端口的基礎(chǔ)上并且對(duì)于時(shí)間窗限制這些幀對(duì)網(wǎng)橋節(jié)點(diǎn)的影響。因此,實(shí)際上,如果在時(shí)間窗TW內(nèi)接收到非常大量的具有唯一地址的幀,則步驟270將禁止將這些幀存儲(chǔ)于表中以及在每端口上對(duì)其進(jìn)行廣播。因此,就不會(huì)淹沒網(wǎng)橋節(jié)點(diǎn)的整個(gè)存儲(chǔ)器,并且實(shí)際上可以保留其表的存儲(chǔ)器的某個(gè)部分用于在其他端口處接收到的MAC地址,這全都通過調(diào)整TW和THRFPTW的值來實(shí)現(xiàn)。
作為關(guān)于本優(yōu)選實(shí)施例的另一研究,方法230示出一個(gè)單獨(dú)的門限THRFPTW,超出該門限的幀不會(huì)被記錄。然而,應(yīng)當(dāng)注意到,可以采用多個(gè)門限,從而對(duì)每個(gè)門限都作出不那么強(qiáng)烈的響應(yīng)。例如,可以設(shè)置較低的第一門限THRFPT1W,以便一旦NFPTW超過該門限,網(wǎng)橋節(jié)點(diǎn)就可以減小在對(duì)應(yīng)端口處接收幀的速率以同樣減小淹沒該網(wǎng)橋的可能性,并且如果NFPTW超過較大的第二門限THRFPT2W,則可以將這些幀全部丟棄。同樣,對(duì)于一個(gè)或兩個(gè)門限,當(dāng)NFPTW到達(dá)了這些門限,則在另一優(yōu)選實(shí)施例中,向網(wǎng)絡(luò)管理者發(fā)送一個(gè)警告或指示,從而可以另外地調(diào)查在一個(gè)單獨(dú)的網(wǎng)橋端口處接收到的唯一MAC地址大量增加的原因。因此,在任何情況下,在本優(yōu)選實(shí)施例中,對(duì)于在設(shè)定的時(shí)間內(nèi)到達(dá)同一端口的第一組唯一地址,進(jìn)行轉(zhuǎn)發(fā)表存儲(chǔ)器的第一處理,但隨著具有這些唯一地址的幀數(shù)目的增加,為稍后接收的多個(gè)這種幀提供第二不同處理。如示例所示,這種變化的處理可以是丟棄稍后的幀,以降低接收這些幀的速率,和/或向網(wǎng)絡(luò)管理者發(fā)布該狀態(tài)的警報(bào)或指示等。還有其他的處理可以由本領(lǐng)域的普通技術(shù)人員確定。
作為關(guān)于本優(yōu)選實(shí)施例的又一研究,應(yīng)當(dāng)注意到TW和方法100的并行操作的優(yōu)點(diǎn)。特別地,隨時(shí)間經(jīng)歷TW,方法100可以很好地識(shí)別MAC地址轉(zhuǎn)發(fā)表中的各種可靠的MAC地址,但同時(shí)其還可以識(shí)別該表中的不可靠的地址,從而從存儲(chǔ)器中去掉這些不可靠的地址(或至少使這些地址可以被覆蓋)。因此,在經(jīng)歷TW的同時(shí),可以釋放存儲(chǔ)器以容納新接收到的具有唯一地址的幀,其中出現(xiàn)該結(jié)果是因?yàn)橐恍┑刂繁粯?biāo)記為不可靠,接收到這些地址的端口的稍后的NFPTW值減小了。因此,利用減小的NFPTW,步驟270將更經(jīng)常得到否定的答案,從而將同樣在同一端口處接收到的其他MAC地址存儲(chǔ)于表中。另外,基于在經(jīng)歷TW期間應(yīng)當(dāng)用未認(rèn)證的地址來填充一些存儲(chǔ)空間而從該同一存儲(chǔ)空間中去掉其他未認(rèn)證地址的概念,可以將TW設(shè)置為所期望的值。再者,應(yīng)當(dāng)注意到,如果在沒有對(duì)網(wǎng)橋端口進(jìn)行幀的泛洪的時(shí)間期間經(jīng)歷TW,則有充足的時(shí)間來進(jìn)行關(guān)于這些已經(jīng)存儲(chǔ)的MAC地址的認(rèn)證,因此很有可能只有合法的MAC地址會(huì)留在MAC地址轉(zhuǎn)發(fā)表中,從而使其余存儲(chǔ)空間對(duì)稍后接收的MAC地址開放。
作為最后的研究,在本優(yōu)選實(shí)施例中,應(yīng)當(dāng)注意到,MAC地址轉(zhuǎn)發(fā)表包括端口類型指示,其中以示例的方式在表4中表示出,由于MAC地址G到達(dá)了連接到另一網(wǎng)橋節(jié)點(diǎn)即網(wǎng)橋B1的端口BP0.0,因此將MAC地址G示出為網(wǎng)絡(luò)類型。在本實(shí)例中,經(jīng)由網(wǎng)絡(luò)的另外的連接來接收幀而不是直接地從用戶站接收幀,并且可以假定接收該幀的其他網(wǎng)橋節(jié)點(diǎn)也已經(jīng)執(zhí)行了本優(yōu)選實(shí)施例的方法,從而減小了該幀具有不可靠的MAC地址的可能性。因此,對(duì)于這種MAC地址,即由一個(gè)網(wǎng)橋從另一網(wǎng)橋接收到的那些MAC地址,可以將其視為可靠的并將其從方法200的分析中排除。
圖5示出擬作為存儲(chǔ)器的邏輯描述的存儲(chǔ)空間MS的框圖,其中根據(jù)本優(yōu)選實(shí)施例的網(wǎng)橋存儲(chǔ)其MAC地址轉(zhuǎn)發(fā)表,并且圖5還示出了根據(jù)上述優(yōu)選實(shí)施例的方法產(chǎn)生的有效邏輯劃分。以示例的方式,畫出存儲(chǔ)空間MS并將其指定為對(duì)應(yīng)于圖1的網(wǎng)橋B0。在本優(yōu)選實(shí)施例中,實(shí)際上將存儲(chǔ)空間MS劃分為具有多個(gè)部分,以存儲(chǔ)在維護(hù)該存儲(chǔ)器的網(wǎng)橋的每個(gè)端口處接收到的幀的MAC源地址。因此,在具有五個(gè)端口BP0.0至BP0.4的網(wǎng)橋B0的示例中,實(shí)際上將存儲(chǔ)空間MS劃分成了指定為GBP0.0至GBP0.4的五個(gè)存儲(chǔ)組,分別對(duì)應(yīng)于在網(wǎng)橋端口BP0.0至BP0.4處接收到的MAC地址。為進(jìn)行示例,將每個(gè)組GBPx.y示出為具有相同或近似相同的大小,即具有相同或近似相同的存儲(chǔ)空間量。在實(shí)際的實(shí)現(xiàn)中,基于不同的考慮,諸如端口類型,一個(gè)或多個(gè)組可以大小不同,這里可以回想到端口類型是根據(jù)本優(yōu)選實(shí)施例由網(wǎng)橋來存儲(chǔ)的并且在上面的表3中以示例的方式示出。此外,如同所示出的,用于一個(gè)給定組GBPx.y的每個(gè)單獨(dú)的存儲(chǔ)空間不必是連續(xù)的,因此圖5僅擬作為一種方法的邏輯描述。
圖5對(duì)存儲(chǔ)空間MS的示意有助于對(duì)本優(yōu)選實(shí)施例的另外方面的理解,即結(jié)合了前述內(nèi)容又有關(guān)于下面結(jié)合圖6而討論的另外的方面??梢曰叵氲?,根據(jù)優(yōu)選實(shí)施例的網(wǎng)橋接收到幀并且僅當(dāng)滿足一個(gè)或多個(gè)條件并且這些條件與接收該幀(及其源MAC地址)的端口有關(guān)時(shí)才存儲(chǔ)其相應(yīng)的源MAC地址。那么參見圖5,其邏輯地描述了實(shí)際上希望每個(gè)網(wǎng)橋端口都在存儲(chǔ)空間MS中具有對(duì)于其可用的大致有限的存儲(chǔ)空間,其中每端口的THRFPTW值設(shè)置將防止該網(wǎng)橋存儲(chǔ)某些地址,這些地址來自一個(gè)端口,相對(duì)于網(wǎng)橋基于其其他端口而接收和存儲(chǔ)的地址數(shù)目,這些地址消耗了異常大量的存儲(chǔ)空間MS。換句話說,由于每個(gè)端口具有其自己的條件,這些條件與該端口相關(guān)聯(lián)并與恰當(dāng)設(shè)置的THRFPTW相關(guān)聯(lián),因此當(dāng)執(zhí)行本優(yōu)選方法時(shí),將存儲(chǔ)基于在一個(gè)端口處接收到的幀而存儲(chǔ)于存儲(chǔ)空間MS中的MAC地址,而不管在同一網(wǎng)橋的其他端口處接收到的幀。相反,在現(xiàn)有技術(shù)中,在一個(gè)端口處接收到的幀中的MAC地址有可能阻止對(duì)在同一網(wǎng)橋的另一端口處接收到的幀中的MAC地址進(jìn)行存儲(chǔ)。確切地說,在現(xiàn)有技術(shù)中,如果用幀對(duì)一個(gè)端口進(jìn)行泛洪,則整個(gè)轉(zhuǎn)發(fā)表存儲(chǔ)器都會(huì)充滿,從而阻止了對(duì)在同一網(wǎng)橋的其他端口處接收到的地址進(jìn)行存儲(chǔ),因此實(shí)際上在一個(gè)端口處接收到的MAC地址的存儲(chǔ)受到了在其他端口處接收到的幀的影響。然而,在本優(yōu)選實(shí)施例中,通過將條件與每個(gè)端口相關(guān)聯(lián),實(shí)際上網(wǎng)橋就不會(huì)讓對(duì)來自一個(gè)端口的MAC地址的存儲(chǔ)淹沒整個(gè)存儲(chǔ)空間MS。另外,對(duì)于每個(gè)GBP,對(duì)存儲(chǔ)器進(jìn)行進(jìn)一步的邏輯劃分以容納在認(rèn)證過程期間得知的MAC地址,即未成功認(rèn)證的MAC地址和經(jīng)認(rèn)證的那些MAC地址。未認(rèn)證的MAC地址有可能與經(jīng)認(rèn)證的MAC地址來自同一物理端口。然而,經(jīng)認(rèn)證的幀會(huì)通過邏輯上未受控的端口。因此,未認(rèn)證的MAC地址是從端口的未受控部分得知的并且不用于轉(zhuǎn)發(fā)過程中。此外,GBP的未認(rèn)證部分不應(yīng)影響網(wǎng)橋的轉(zhuǎn)發(fā)決定。
圖6示出替代性實(shí)施例的方法200’,其擬用于描述對(duì)與圖4的方法200相同的步驟的使用,但僅示出了一些步驟以簡化該圖,從前述的方法200可以理解還包括另外的步驟。此外,圖6在步驟250和步驟260之間包括步驟255。因此,當(dāng)步驟250確定為否定的答案并且在到達(dá)步驟260之前,到達(dá)步驟255。在步驟255中,網(wǎng)橋(例如B0)將另一值與另一門限進(jìn)行比較,其中該值是存儲(chǔ)于存儲(chǔ)空間MS中的用于相應(yīng)端口的未認(rèn)證地址的數(shù)目,并且在此將該數(shù)目指定為NUNAP(“N”代表數(shù)目,“UN”代表未認(rèn)證,“A”代表地址,“P”代表端口)。此外,將用于比較的門限指定為THRUNAP。如果NUNAP超過了門限THRUNAP,則方法200’不會(huì)繼續(xù)到步驟260,而是返回到步驟240以等待另一個(gè)幀。因此,在本實(shí)例中,不可能最終前進(jìn)到步驟280,在該步驟280中應(yīng)當(dāng)已經(jīng)將所接收的幀的源MAC地址存儲(chǔ)于轉(zhuǎn)發(fā)表中。相反,如果NUNAP未超過門限THRUNAP,則方法200’繼續(xù)到步驟260,在此如上所述按照方法200繼續(xù)流程,并且讀者可以參考先前的討論以得到更多的細(xì)節(jié)。
然后,著眼于在圖6的方法200’中添加步驟255的效果,還可以結(jié)合圖5的存儲(chǔ)空間MS并且還可以參考圖1的示例網(wǎng)絡(luò)系統(tǒng)10來理解該效果。再次考慮網(wǎng)橋B0,可以再次回想到本優(yōu)選實(shí)施例實(shí)際上在每端口的基礎(chǔ)上施加了條件,其中這些條件影響了在給定端口處在幀中所接收的源MAC地址是否存在于轉(zhuǎn)發(fā)表中。以這種方式,本優(yōu)選實(shí)施例有效地限制了在網(wǎng)橋上對(duì)該網(wǎng)橋的一個(gè)單獨(dú)的端口所嘗試的攻擊,而將網(wǎng)橋的另外的資源(例如存儲(chǔ)空間MS的另外的資源)留給其他端口使用。然而,還應(yīng)當(dāng)認(rèn)識(shí)到,當(dāng)多個(gè)用戶可以連接到一個(gè)單獨(dú)的端口時(shí),例如以示例的方式在網(wǎng)橋端口BP0.2處,該端口BP0.2經(jīng)由LAN LN0連接到多個(gè)用戶(即用戶站US3、US4和US5),就有可能出現(xiàn)這種情形。根據(jù)有可能出現(xiàn)于LAN或其他多用連接(例如集線器)中的這種可能性,應(yīng)當(dāng)注意到,連接到一個(gè)端口的多個(gè)用戶中僅有一個(gè)有可能是試圖以具有相應(yīng)的不同源MAC地址的大量幀來對(duì)該端口進(jìn)行泛洪的壞人。因此,實(shí)際上,搞破壞的那一個(gè)用戶站有可能使用圖5的用于該端口的全部存儲(chǔ)組GBP。例如,用戶站US3有可能對(duì)端口BP0.2進(jìn)行泛洪,從而消耗組GBP0.2的較大一部分。由于采取了該動(dòng)作,因此為來自用戶站US4和US5的將很有可能是可靠的源MAC地址留下很少的空間或沒有為之留下空間。因此,再次關(guān)注方法200’的步驟255,應(yīng)當(dāng)注意到,現(xiàn)在這實(shí)際上在存儲(chǔ)空間MS中為已認(rèn)證的MAC地址保留了一些空間。換句話說,如果已經(jīng)有異常大量的當(dāng)前未認(rèn)證的MAC地址存儲(chǔ)于轉(zhuǎn)發(fā)表的存儲(chǔ)空間MS中,那么這就阻止了將源地址寫入該存儲(chǔ)空間MS。因此,一旦達(dá)到門限THRUNAP,就不再寫入另外的源地址,因此本領(lǐng)域的普通技術(shù)人員可以建立門限以在用于存儲(chǔ)的物理存儲(chǔ)器中留下可以存儲(chǔ)已認(rèn)證地址的足夠空間。此外,應(yīng)當(dāng)進(jìn)一步注意到,如果存在基于到該端口的多站連接而攻擊一個(gè)端口的破壞性站點(diǎn)(例如經(jīng)由共享的傳輸媒介),則此次攻擊的任何負(fù)面影響都僅限于分配給所連接的端口的資源,而不是整個(gè)網(wǎng)橋。因此,與現(xiàn)有技術(shù)相比,用于阻止由于在一個(gè)單獨(dú)的端口處進(jìn)行攻擊而擾亂整個(gè)網(wǎng)橋的可能性更高。
通過考慮進(jìn)一步擴(kuò)展前述示例的兩個(gè)實(shí)例,其中用戶站US3試圖對(duì)端口BP0.2進(jìn)行泛洪,而用戶站US4和US5試圖對(duì)其提供可靠的地址,可以進(jìn)一步理解以上對(duì)步驟255的添加。在第一實(shí)例中,假定在用戶站US4和US5向該同一端口發(fā)送其可靠地址的時(shí)刻之前的時(shí)刻,該用戶站以不可靠的地址對(duì)端口BP0.2進(jìn)行泛洪。在此情況下,如果在接收到具有可靠地址的來自用戶站US4或US5的幀時(shí)NUNAP超過了THRUNAP,則網(wǎng)橋B0有可能會(huì)丟棄該幀。然而,可以回想到方法200(或方法200’)的并行方法,當(dāng)對(duì)于具有可靠地址的幀到達(dá)步驟255時(shí),此時(shí)該并行的認(rèn)證方法100有可能具有減小的NUNAP。如果情況是這樣,則方法200’將關(guān)于具有可靠地址的幀前進(jìn)到步驟255之外,并且之后會(huì)將該幀的源MAC地址存儲(chǔ)于轉(zhuǎn)發(fā)表的存儲(chǔ)空間MS中。之后,當(dāng)認(rèn)證了該地址本身時(shí),用戶站US3就不能用另外的泛洪嘗試來覆蓋該地址。在第二實(shí)例中,如果在來自用戶站US3的泛洪嘗試之前將具有可靠地址的來自用戶站US4或US5的幀傳送到網(wǎng)橋B0,則步驟255將流程向前傳遞到步驟260,原因是到接收到這樣一個(gè)幀之時(shí)為止,用于該端口的未認(rèn)證地址的數(shù)目(NUNAP)將為零,低于門限THRUNAP。因此,在第一實(shí)例或第二實(shí)例中,為可靠的源MAC地址提供了另外的保護(hù),從而提高了可以將這些地址寫入轉(zhuǎn)發(fā)表(并且之后可以基于這些可靠地址來轉(zhuǎn)發(fā)稍后接收到的幀)的可能性。
根據(jù)以上說明和描述,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)意識(shí)到,本優(yōu)選實(shí)施例提供了具有MAC表溢出保護(hù)的網(wǎng)絡(luò)。相對(duì)于現(xiàn)有技術(shù),這些優(yōu)選實(shí)施例包括大量優(yōu)點(diǎn),上面已經(jīng)詳細(xì)描述了其中一些優(yōu)點(diǎn)并且本領(lǐng)域的普通技術(shù)人員可以確定其他優(yōu)點(diǎn)。作為又一個(gè)優(yōu)點(diǎn),盡管已經(jīng)詳細(xì)地描述了本優(yōu)選實(shí)施例,但可以對(duì)上述描述進(jìn)行各種替代、修改或變更而不脫離發(fā)明范圍。例如,可以改變關(guān)于圖3的方法100的步驟110來確定所討論的幀的可靠性的方式,使得在本地分布到每個(gè)網(wǎng)橋節(jié)點(diǎn),而不是具有中心網(wǎng)絡(luò)服務(wù)器NS和數(shù)據(jù)庫DB。在這種變型中,網(wǎng)橋?qū)⑺邮盏挠脩粽镜腗AC地址與保留在該網(wǎng)橋處的所緩存的經(jīng)認(rèn)證的/可靠的MAC表進(jìn)行比較。作為另一個(gè)示例,可以根據(jù)特定的端口配置文件來靈活地設(shè)置TW和THRFPTW,這種設(shè)置的一個(gè)示例體現(xiàn)為在工作日開始時(shí),例如由于在工作日開始時(shí)有可能有很多計(jì)算機(jī)起動(dòng),因此可以期望在職員辦公室中用于端口的唯一的MAC地址的數(shù)目較高,并且之后該數(shù)目變小,從而為網(wǎng)橋節(jié)點(diǎn)提供新的(用于當(dāng)天的)MAC地址。因此,為適應(yīng)這種期望,在早晨可以將THRFPTW設(shè)置為較高的值。根據(jù)端口特性,可以動(dòng)態(tài)地安排TW和THRFPTW,以便能夠?qū)⑹箍蛻舻腗AC地址重新有效的可能性限制在可接受的范圍內(nèi)。實(shí)際上,應(yīng)當(dāng)注意到,在替代性的實(shí)施例中,用于同一網(wǎng)橋或不同網(wǎng)橋的不同端口的TW或THRFPTW或者TW和THRFPTW可以不同,從而為有可能隨時(shí)間存儲(chǔ)于表中用于該端口的具有唯一地址的幀增加了靈活性。作為另一個(gè)示例,本優(yōu)選實(shí)施例可以應(yīng)用于除以太網(wǎng)之外的網(wǎng)絡(luò)。作為又一個(gè)示例,盡管前面的討論已經(jīng)詳細(xì)描述了由網(wǎng)橋節(jié)點(diǎn)提供的各種方法,但應(yīng)當(dāng)理解,可以將這些方法與由這種網(wǎng)橋節(jié)點(diǎn)現(xiàn)在提供的或?qū)硖峁┑钠渌椒ㄏ嘟Y(jié)合。因此,這些示例還闡明了發(fā)明范圍及其優(yōu)點(diǎn),這些發(fā)明范圍及其優(yōu)點(diǎn)減小了MAC地址表溢出的可能性。作為結(jié)果,如下面的權(quán)利要求所定義的那樣,這些優(yōu)點(diǎn)以及前面的描述還用于對(duì)發(fā)明范圍進(jìn)行示例。
權(quán)利要求
1.一種操作網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)橋節(jié)點(diǎn)的方法,所述網(wǎng)橋節(jié)點(diǎn)包括多個(gè)端口,所述方法包括在所述多個(gè)端口中的一個(gè)端口處,從在所述網(wǎng)絡(luò)系統(tǒng)中且不同于所述網(wǎng)橋節(jié)點(diǎn)的設(shè)備接收一幀,所述幀包括源網(wǎng)絡(luò)地址;對(duì)與所述端口相關(guān)聯(lián)的至少一個(gè)條件進(jìn)行響應(yīng),如果滿足所述至少一個(gè)條件,就將所述源地址存儲(chǔ)于與所述網(wǎng)橋相關(guān)聯(lián)的轉(zhuǎn)發(fā)表中;以及其中所述至少一個(gè)條件包括所述幀是否是在時(shí)間窗TW內(nèi)接收到的以及這些幀的相應(yīng)源網(wǎng)絡(luò)地址是否已存儲(chǔ)于所述表中,所述時(shí)間窗TW是關(guān)于在所述端口處接收到門限數(shù)目的先前幀的時(shí)間的時(shí)間窗。
2.根據(jù)權(quán)利要求1所述的方法其中所述多個(gè)端口中的每個(gè)端口都具有相關(guān)聯(lián)的門限數(shù)目;以及其中與所述多個(gè)端口中的一個(gè)端口相關(guān)聯(lián)的門限數(shù)目不同于與所述多個(gè)端口中的另一端口相關(guān)聯(lián)的門限數(shù)目。
3.根據(jù)權(quán)利要求1所述的方法,還包括在不同時(shí)刻調(diào)整所述時(shí)間窗TW。
4.根據(jù)權(quán)利要求1所述的方法其中所述多個(gè)端口中的每個(gè)端口都具有相關(guān)聯(lián)的時(shí)間窗TW;以及其中與所述多個(gè)端口中的一個(gè)端口相關(guān)聯(lián)的時(shí)間窗TW在持續(xù)時(shí)間上不同于與所述多個(gè)端口中的另一端口相關(guān)聯(lián)的時(shí)間窗TW。
5.根據(jù)權(quán)利要求1所述的方法,還包括所述網(wǎng)橋確定所述轉(zhuǎn)發(fā)表中的多個(gè)源地址是否可靠。
6.根據(jù)權(quán)利要求5所述的方法,響應(yīng)于所述確定步驟還包括如下步驟在所述表中為所述表中確定為可靠的每個(gè)源地址提供一個(gè)可靠指示;以及允許覆蓋所述表中確定為不可靠的每個(gè)源地址。
7.根據(jù)權(quán)利要求6所述的方法,其中所述至少一個(gè)條件還包括所述表中具有不可靠指示的源地址的數(shù)目是否超過門限。
8.根據(jù)權(quán)利要求5所述的方法,還包括響應(yīng)于與所述端口相關(guān)聯(lián)的所述至少一個(gè)條件,存儲(chǔ)與所述幀相關(guān)聯(lián)的一組參數(shù),所述的這組參數(shù)包括所述端口的標(biāo)識(shí)符和接收到所述幀的時(shí)間的標(biāo)識(shí)符。
9.根據(jù)權(quán)利要求8所述的方法,其中所述參數(shù)還包括所述端口的類型的指示和表明是否已經(jīng)確定所述源地址的可靠性的指示符。
10.一種網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)橋節(jié)點(diǎn),所述網(wǎng)橋節(jié)點(diǎn)包括多個(gè)端口,其中將每個(gè)端口操作為從在所述網(wǎng)絡(luò)系統(tǒng)中且不同于所述網(wǎng)橋節(jié)點(diǎn)的設(shè)備接收一幀,所述幀包括源網(wǎng)絡(luò)地址;以及電路,根據(jù)所述源地址是否不同于已經(jīng)存儲(chǔ)于所述轉(zhuǎn)發(fā)表中的先前在所述端口處在相應(yīng)的幀中接收到的每個(gè)和任何源地址,用于在滿足至少一個(gè)條件時(shí),將所述源地址存儲(chǔ)在與所述網(wǎng)橋相關(guān)聯(lián)的轉(zhuǎn)發(fā)表中。
全文摘要
一種操作網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)橋節(jié)點(diǎn)(B
文檔編號(hào)H04L12/56GK1822565SQ200510108369
公開日2006年8月23日 申請(qǐng)日期2005年10月13日 優(yōu)先權(quán)日2004年10月15日
發(fā)明者葛安, 吉里什·奇魯沃洛, 馬赫·阿利 申請(qǐng)人:阿爾卡特公司