專利名稱:一種在寬帶接入系統(tǒng)中綁定mac地址的實現(xiàn)方法
技術領域:
本發(fā)明涉及電信領域中對接入點的MAC地址進行綁定的方法,尤其涉 及一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法。
背景技術:
按照現(xiàn)有4支術中ITU-T (International Telecommunication Union Telecommunication Standardization Sector: 國際電信聯(lián)盟電信才示準局)的,見 定,接入網(wǎng)的AN ( Access Node:接入節(jié)點)是指由SNI (Service Node Interface:業(yè)務節(jié)點接口 )與相關UNI (User Network Interface:用戶網(wǎng)絡接 口)之間的一系列傳送實體組成的,比如線路設施與傳輸設施等。為傳送 電信業(yè)務提供具有傳送承載能力的實施系統(tǒng),它可以經(jīng)由Q3接口進行配置 和管理。因此,如圖1所示的,接入網(wǎng)可由三個接口界定,即網(wǎng)絡側經(jīng)由 SNI與業(yè)務節(jié)點相連,用戶側由UNI與用戶相連,管理方面則經(jīng)Q3接口與 電信管理網(wǎng)(TMN)相連。
業(yè)務節(jié)點是提供業(yè)務的實體,可提供規(guī)定業(yè)務的業(yè)務節(jié)點包括本地交 換機、租用線業(yè)務節(jié)點或特定配置的點播電視與廣播電視業(yè)務節(jié)點等。SNI 是接入網(wǎng)與業(yè)務節(jié)點之間的接口 ,包括支持單一接入的SNI與綜合接入的 SNI。
接入網(wǎng)與用戶間的UNI接口能夠支持目前網(wǎng)絡所提供的各種接入類型 與業(yè)務,接入網(wǎng)的發(fā)展不限制現(xiàn)有的業(yè)務和接入類型。接入網(wǎng)的管理應該 納入TMN ( Telecom Management Nnetwork:電信管理網(wǎng))的范疇,以便統(tǒng) 一協(xié)調管理不同的網(wǎng)元。接入網(wǎng)的管理不僅完成接入網(wǎng)各功能塊的管理,而且還附加完成用戶線的測試和故障定位的管理??梢姡尤刖W(wǎng)的重要特
征可以概括為接入網(wǎng)對于所接入的業(yè)務提供承載能力,實現(xiàn)業(yè)務的透明 傳送;接入網(wǎng)對用戶信令是透明的,除了一些用戶信令格式轉換外,信令 和業(yè)務處理的功能依然在業(yè)務節(jié)點中;接入網(wǎng)的引入不應限制現(xiàn)有的各種 接入類型和業(yè)務,接入網(wǎng)應通過有限的標準化的接口與業(yè)務節(jié)點相連;接 入網(wǎng)有獨立于業(yè)務節(jié)點的網(wǎng)絡管理系統(tǒng),該系統(tǒng)通過標準化的接口連接 TMN, TMN實施對接入網(wǎng)的操作、維護與管理。
接入網(wǎng)的蓬勃發(fā)展極大的方便了用戶,但是網(wǎng)絡遭受安全攻擊的可能 性也逐漸增加,特別是引入以太網(wǎng)技術、IP技術后,接入網(wǎng)安全性問題日 益凸現(xiàn),例如監(jiān)聽他人信息、盜取業(yè)務,甚至造成他人遭受拒絕服務攻擊 等安全性問題時常發(fā)生。因此,提供"電信運營級"的接入網(wǎng)絡,并為用 戶提供安全的接入服務,就成為設備商與運營商共同關注的問題。
寬帶接入技術呈現(xiàn)多樣化趨勢,包括xDSL、 xPON與WiMAX無線接 入等,它們大致都具有如圖2所示的網(wǎng)絡架構,包括用戶自組網(wǎng)絡、接入 節(jié)點AN、以太網(wǎng)匯聚網(wǎng)絡與寬帶網(wǎng)絡網(wǎng)關。因此,為了向用戶提供安全的 接入服務,設備商提供很多方法,例如對接入點的源MAC地址(Media Access Control:介質訪問控制地址)進行綁定,其包括對每個接入點配置 一個或者幾個MAC地址;檢查接入點輸入數(shù)據(jù)包的源MAC地址與配置的 MAC地址是否一致;如果源MAC地址與配置的MAC地址一致就允許數(shù) 據(jù)包通過,否則就丟棄。通過上述實現(xiàn)步驟可以很好的控制接入點的MAC 地址,可以提供安全的接入服務。現(xiàn)有方案中存在以下兩種實現(xiàn)方式第 一種,為每個接入點分配一個MAC地址配置表,用于配置需要綁定的MAC 地址;第二種,通過交換芯片提供的ACL (Access Control List:存取控制 列表)功能來實現(xiàn)。
第一種的實現(xiàn)方法是為每個接入點分配固定個數(shù)的MAC地址配置表, 例如4個或者8個,根據(jù)數(shù)據(jù)包中的源MAC地址與MAC地址配置表的MAC地址一一比較,如果在表中有匹配項的話就允許轉發(fā)該數(shù)據(jù)包,否則 就丟棄該數(shù)據(jù)包,該方法在接入點個數(shù)多的情況下,需要占用RAM( Random Access Memory:隨機存取記憶體)的很多資源來配置需要綁定的MAC地 址,缺點非常明顯,并且每個接入點綁定的MAC地址個數(shù)有很大的局限性; 第二種的實現(xiàn)方法是利用ACL功能來實現(xiàn)MAC地址綁定,但是該方法需 要占用芯片的ACL資源。由此可見,現(xiàn)有技術有待于更進一步的發(fā)展。
發(fā)明內容
本發(fā)明為解決上述現(xiàn)有技術中的缺陷提供一種在寬帶接入系統(tǒng)中綁定 MAC地址的實現(xiàn)方法,利用交換芯片中固有的MAC地址表來實現(xiàn)MAC 地址的綁定,以增強寬帶接入的安全性與穩(wěn)定性,提高交換芯片的利用率, 減少對交換芯片資源的占用率。
為解決上述技術缺陷,本發(fā)明包括
一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法,包括以下步驟
A、 配置接入點的MAC地址綁定使能位;
B、 在交換芯片的MAC地址表中設置所述MAC地址的信息;
C、 對數(shù)據(jù)包進行轉發(fā)。
所述的實現(xiàn)方法,其中,所述步驟A之前還包括以下步驟 A01、所述寬帶接入系統(tǒng)初始化;
A02、判斷是否將所述接入點與對應MAC地址綁定,若為是,則執(zhí)行 步驟A。
所述的實現(xiàn)方法,其中,所述MAC地址的信息包括MAC地址、所述 接入點的編號與靜態(tài)標記。
所述的實現(xiàn)方法,其中,所述步驟B還包括將所述MAC地址的條 目設置為靜態(tài)條目。
所述的實現(xiàn)方法,其中,所述步驟C在綁定MAC地址時還包括以下步驟
A2、提取所述數(shù)據(jù)包的所述MAC地址與所述接入點編號; B2、判斷所述MAC地址、所述接入點編號與所述MAC地址表中的信 息是否一致;
C2、當所述MAC地址、所述接入點編號與所述MAC地址表中的信息 一致時,所述系統(tǒng)轉發(fā)所述數(shù)據(jù)包。
所述的實現(xiàn)方法,其中,所述步驟C2還包括當所述MAC地址、所 述接入點編號與所述MAC地址表中的信息不一致時,所述系統(tǒng)丟棄所述數(shù) 據(jù)包并通過中斷告知處理器。
所述的實現(xiàn)方法,其中,所述步驟C在未綁定所述MAC地址時包括以 下步驟
A3、提取所述數(shù)據(jù)包的源MAC地址與所述接入點編號; B3、判斷所述源MAC地址、所述接入點編號是否存在于所述MAC地 址表中;
C3、當所述源MAC地址、所述接入點編號不存在于所述MAC地址表 中時,所述系統(tǒng)將所述源MAC地址與所述接入點編號寫入到所述MAC地 址表中并轉發(fā)所述數(shù)據(jù)包。
所述的實現(xiàn)方法,其中,所述步驟C3還包括當所述源MAC地址、 所述接入點編號存在于所述MAC地址表中時,所述系統(tǒng)更新所述MAC地 址表中所述源MAC地址的信息后再轉發(fā)所述數(shù)據(jù)包。
所述的實現(xiàn)方法,其中,所述MAC地址表的格式為哈希格式表。
所述的實現(xiàn)方法,其中,所述步驟A02還包括在判斷是否將所述接入 點與對應MAC地址綁定,若為否,則結束流程
本發(fā)明提供了 一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法,利用
加所述交換芯片資源的情況下實現(xiàn)所述MAC地址的綁定功能,增強了寬帶接入的安全性與穩(wěn)定性,提高了交換芯片的利用率,減少了對交換芯片資源的占用率,是現(xiàn)有技術的極大進步。
圖l是現(xiàn)有技術中接入網(wǎng)的組成構架示意圖2是現(xiàn)有技術中寬帶網(wǎng)絡接入的構架示意圖3是本發(fā)明在寬帶接入系統(tǒng)中綁定MAC地址的流程示意圖4是本發(fā)明中未綁定所述MAC地址的數(shù)據(jù)包的轉發(fā)流程示意圖5是本發(fā)明中綁定所述MAC地址的數(shù)據(jù)包的轉發(fā)流程示意圖6是本發(fā)明中MAC地址表的信息結構示意圖7是本發(fā)明中接入點屬性表的結構示意圖。
具體實施例方式
以下將結合附圖,對本發(fā)明中各個較佳實施例進行較為詳盡的說明。本發(fā)明提供的一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法,利用交換芯片中固有的所述MAC地址表來實現(xiàn)所述MAC地址的綁定,包括配置接入點的MAC地址綁定使能;在交換芯片的MAC地址表中設置所述MAC地址的信息。如圖6所示的,所述MAC地址的信息包括所述MAC地址、所述接入點的編號與靜態(tài)標記;將所述MAC地址的條目設置為靜態(tài)條目以防止所述MAC地址被老化。其中,綁定所述MAC地址的數(shù)據(jù)包的轉發(fā)流程包括提取所述數(shù)據(jù)包的所述MAC地址與所述接入點編號;判斷所述MAC地址、所述接入點編號與所述MAC地址表中的信息是否一致,若為是,則所述系統(tǒng)轉發(fā)所述數(shù)據(jù)包;若為否,則所述系統(tǒng)丟棄所述數(shù)據(jù)包并通過中斷告知處理器。
其中,未綁定所述MAC地址的數(shù)據(jù)包的轉發(fā)流程包括提取所述數(shù)據(jù)包的源MAC地址與所述接入點編號;判斷所述源MAC地址、所述接入點編號是否存在于所述MAC地址表中,若為是,則所述系統(tǒng)將所述源MAC地址與所述接入點編號寫入到所述MAC地址表中后再轉發(fā)所述數(shù)據(jù)包;若為否,則所述系統(tǒng)更新所述MAC地址表中所述源MAC地址的信息后再轉發(fā)所述數(shù)據(jù)包。本發(fā)明中所述MAC地址表的格式一般采用哈希格式表;所述接入點屬性包括接入點編號與靜態(tài)標記。
為了更進一步的闡述本發(fā)明,現(xiàn)以如圖6與圖7所示的MAC地址表信息與接入點屬性表為例進行說明。如圖3所示的,在寬帶接入系統(tǒng)中綁定MAC地址的流程包括以下步驟
步驟301:所述寬帶接入系統(tǒng)初始化;
步驟302:判斷是否將所述接入點與所述MAC地址綁定,若為否,則結束流程;若為是,則轉入步驟303;
步驟303:配置所述接入點的所述MAC地址使能位;步驟304:在所述交換芯片的所述MAC地址表中設置所述MAC地址的信息,即所述MAC地址、所述接入點的編號與所述靜態(tài)標記,并將所述靜態(tài)標記設置為靜態(tài)。通過上述流程完成了利用交換芯片中固有的所述MAC地址表來實現(xiàn)所述MAC地址綁定的功能,進一步提高了交換芯片的利用率。
按照如圖3所示的流程配置完成后,本發(fā)明對未綁定所述MAC地址的
數(shù)據(jù)包的轉發(fā)流程,如圖4所示的,包括以下步驟步驟401:所述寬帶接入系統(tǒng)接收到用戶數(shù)據(jù)包;步驟402:提取所述數(shù)據(jù)包中的源MAC地址與接入點編號;步驟403:查找所述數(shù)據(jù)包中的源MAC地址與接入點編號是否存在于
所述MAC地址表中,若為是,則進入步驟404;若為否,則進入步驟405;步驟404:更新所述MAC地址表中的相應配置信息,然后進入步驟406;步驟405:將所述數(shù)據(jù)包中的源MAC地址與接入點編號寫入所述MAC
地址表中,然后進入步驟406;步驟406:所述系統(tǒng)轉發(fā)所述凄t據(jù)包。經(jīng)過上述流程的處理后,增強了寬帶接入的安全性與穩(wěn)定性。
同樣的,按照如圖3所示的流程配置完成后,本發(fā)明對綁定所述MAC地址的數(shù)據(jù)包的轉發(fā)流程,如圖5所示的,包括以下步驟
步驟501:所述寬帶接入系統(tǒng)接收到用戶數(shù)據(jù)包;
步驟502:提取所述數(shù)據(jù)包中的源MAC地址與接入點編號;
步驟503:根據(jù)接入點的編號查找接入點的屬性表;
步驟504:判斷接入點的所述MAC地址綁定是否使能,若為否,則觸發(fā)未綁定轉發(fā)流程;若為是,則進入步驟505;
步驟505:判斷所述MAC地址的信息與所述MAC地址表中的相應信
臺
步驟506:判斷上述信息是否一致,若為否,則丟棄所述數(shù)據(jù)包,通過中斷方式告知CPU并結束流程;若為是,則進入步驟507;
步驟507:所述寬帶接入系統(tǒng)轉發(fā)接收到的所述數(shù)據(jù)包。經(jīng)過上述流程的處理后,大大減少了對交換芯片資源的占用率。
根據(jù)本發(fā)明的實現(xiàn)方法,如圖6與圖7所示的,假設接入點Port-x需要進行MAC地址綁定,需要綁定的MAC地址分別為MAC-a和MAC-b,那么如圖6所示的所述MAC地址表的配置,在圖7中將所述接入點屬性配置為MAC地址綁定使能。則當接入點Port-x進入的源MAC地址為所述MAC-a時,可以在MAC地址表找到該條目,則該數(shù)據(jù)包可以進行轉發(fā);若接入點Port-x進入的源MAC地址為MAC-c時,在MAC地址表找不到該條目,因為該接入點設置了 MAC綁定使能,不能學習新的MAC地址,就將帶有所述MAC-c地址的數(shù)據(jù)包丟棄,同時將所述MAC-c地址與接入點編號通過中斷的方式告知CPU。
綜上所述,本發(fā)明提供了一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)定,在不增加所述交換芯片資源的情況下實現(xiàn)所述MAC地址的綁定功能,并且接入點綁定的MAC地址個數(shù)只受限于MAC地址表的大小,增強了寬帶接入的安全性與穩(wěn)定性,提高了交換芯片的利用率,減少了對交換芯片資源的占用率。
應當理解的是,上述針對較佳實施例的描述較為詳細,并不能因此而認為是對本發(fā)明專利保護范圍的限制,本領域的普通技術人員在本發(fā)明的啟示下,在不脫離本發(fā)明權利要求所保護的范圍情況下,還可以做出替換、簡單組合等多種變形,這些均落入本發(fā)明的保護范圍之內,本發(fā)明的請求保護范圍應以所附權利要求為準。
權利要求
1、一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法,包括以下步驟A、配置接入點的MAC地址綁定使能位;B、在交換芯片的MAC地址表中設置所述MAC地址的信息;C、對數(shù)據(jù)包進行轉發(fā)。
2、 根據(jù)權利要求1所述的實現(xiàn)方法,其特征在于,所述步驟A之前還 包括以下步驟AOl、所述寬帶接入系統(tǒng)初始化;A02、判斷是否將所述接入點與對應MAC地址綁定,若為是,則執(zhí)行 步驟A。
3、 根據(jù)權利要求2所述的實現(xiàn)方法,其特征在于,所述MAC地址的 信息包括MAC地址、所述接入點的編號與靜態(tài)標記。
4、 根據(jù)權利要求3所述的實現(xiàn)方法,其特征在于,所述步驟B還包括 將所述MAC地址的條目設置為靜態(tài)條目。
5、 根據(jù)權利要求1或4所述的實現(xiàn)方法,其特征在于,所述步驟C在 綁定MAC地址時還包括以下步驟A2、提取所述數(shù)據(jù)包的所述MAC地址與所述接入點編號; B2、判斷所述MAC地址、所述接入點編號與所述MAC地址表中的信 息是否一致;C2、當所述MAC地址、所述接入點編號與所述MAC地址表中的信息 一致時,所述系統(tǒng)轉發(fā)所述數(shù)據(jù)包。
6、 根據(jù)權利要求5所述的實現(xiàn)方法,其特征在于,所述步驟C2還包括當所述MAC地址、所述接入點編號與所述MAC地址表中的信息不一 致時,所述系統(tǒng)丟棄所述數(shù)據(jù)包并通過中斷告知處理器。
7、 根據(jù)權利要求1或6所述的實現(xiàn)方法,其特征在于,所述步驟C在 未綁定所述MAC地址時包括以下步驟A3、提取所述數(shù)據(jù)包的源MAC地址與所述接入點編號;B3、判斷所述源MAC地址、所述接入點編號是否存在于所述MAC地址表中;C3、當所述源MAC地址、所述接入點編號不存在于所述MAC地址表 中時,所述系統(tǒng)將所述源MAC地址與所述接入點編號寫入到所述MAC地 址表中并轉發(fā)所述數(shù)據(jù)包。
8、 根據(jù)權利要求7所述的實現(xiàn)方法,其特征在于,所述步驟C3還包 括當所述源MAC地址、所述接入點編號存在于所述MAC地址表中時, 所述系統(tǒng)更新所述MAC地址表中所述源MAC地址的信息后再轉發(fā)所述數(shù) 據(jù)包。
9、 根據(jù)權利要求1所述的實現(xiàn)方法,其特征在于,所述MAC地址表 的格式為哈希格式表。
10、 根據(jù)權利要求2中所述的實現(xiàn)方法,其特征在于,所述步驟A02 還包括在判斷是否將所述接入點與對應MAC地址綁定,若為否,則結束流 程。
全文摘要
本發(fā)明公開了一種在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法,其中,配置接入點的MAC地址綁定使能位;在交換芯片的MAC地址表中設置所述MAC地址的信息。采用本發(fā)明所提供的在寬帶接入系統(tǒng)中綁定MAC地址的實現(xiàn)方法,利用交換芯片中固有的所述MAC地址表來實現(xiàn)所述MAC地址的綁定,在不增加所述交換芯片資源的情況下實現(xiàn)所述MAC地址的綁定功能,并且接入點綁定的MAC地址個數(shù)只受限于MAC地址表的大小,增強了寬帶接入的安全性與穩(wěn)定性,提高了交換芯片的利用率,減少了對交換芯片資源的占用率,是現(xiàn)有技術的極大進步。
文檔編號H04L29/06GK101667997SQ200810141858
公開日2010年3月10日 申請日期2008年9月2日 優(yōu)先權日2008年9月2日
發(fā)明者婁本剛 申請人:中興通訊股份有限公司