專利名稱:一種寬帶接入系統(tǒng)中mac地址過(guò)濾的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及寬帶接入系統(tǒng)����,具體涉及一種寬帶接入系統(tǒng)中對(duì)接入點(diǎn)的MAC地址進(jìn) 行過(guò)濾的實(shí)現(xiàn)方法。
背景技術(shù):
按照ITU-T的規(guī)定���,接入網(wǎng)(AN)是指由業(yè)務(wù)節(jié)點(diǎn)接口(SNI)和相關(guān)用戶網(wǎng)絡(luò)接口 (UNI)之間的一系列傳送實(shí)體(諸如線路設(shè)施和傳輸設(shè)施)所組成的���,為傳送電信業(yè)務(wù)提供 所需傳送承載能力的實(shí)施系統(tǒng)���,它可以經(jīng)由Q3接口進(jìn)行配置和管理。如附圖1所示接入網(wǎng) 可由三個(gè)接口界定���,即網(wǎng)絡(luò)側(cè)經(jīng)由SNI與業(yè)務(wù)節(jié)點(diǎn)相連��,用戶側(cè)由UNI與用戶相連����,管理方 面則經(jīng)Q3接口與電信管理網(wǎng)(TMN)相連��。業(yè)務(wù)節(jié)點(diǎn)是提供業(yè)務(wù)的實(shí)體�����,可提供規(guī)定業(yè)務(wù)的業(yè)務(wù)節(jié)點(diǎn)有本地交換機(jī)�����、租用線 業(yè)務(wù)節(jié)點(diǎn)或特定配置的點(diǎn)播電視和廣播電視業(yè)務(wù)節(jié)點(diǎn)等�����。Sm是接入網(wǎng)和業(yè)務(wù)節(jié)點(diǎn)之間的 接口,可分為支持單一接入的SNI和綜合接入的SNI�。接入網(wǎng)與用戶間的UNI接口能夠支持目前網(wǎng)絡(luò)所能夠提供的各種接入類型和業(yè) 務(wù),接入網(wǎng)的發(fā)展不應(yīng)限制現(xiàn)有的業(yè)務(wù)和接入類型����。接入網(wǎng)的管理應(yīng)該納入TMN的范疇,以便統(tǒng)一協(xié)調(diào)管理不同的網(wǎng)元�����。接入網(wǎng)的管 理不但要完成接入網(wǎng)各功能塊的管理����,而且要附加完成用戶線的測(cè)試和故障定位。根據(jù)接入網(wǎng)框架和體制要求����,接入網(wǎng)的重要特征可以歸納為如下幾點(diǎn)1.接入網(wǎng)對(duì)于所接入的業(yè)務(wù)提供承載能力����,實(shí)現(xiàn)業(yè)務(wù)的透明傳送。2.接入網(wǎng)對(duì)用戶信令是透明的�����,除了一些用戶信令格式轉(zhuǎn)換外,信令和業(yè)務(wù)處理 的功能依然在業(yè)務(wù)節(jié)點(diǎn)中���。3.接入網(wǎng)的引入不應(yīng)限制現(xiàn)有的各種接入類型和業(yè)務(wù)�,接入網(wǎng)應(yīng)通過(guò)有限的標(biāo)準(zhǔn) 化的接口與業(yè)務(wù)節(jié)點(diǎn)相連�。4.接入網(wǎng)有獨(dú)立于業(yè)務(wù)節(jié)點(diǎn)的網(wǎng)絡(luò)管理系統(tǒng),該系統(tǒng)通過(guò)標(biāo)準(zhǔn)化的接口連接 TMN, TMN實(shí)施對(duì)接入網(wǎng)的操作����、維護(hù)和管理。接入網(wǎng)的蓬勃發(fā)展帶來(lái)了成倍的用戶�,但是也使得網(wǎng)絡(luò)遭受安全攻擊的可能性大 大增加。特別是引入以太網(wǎng)技術(shù)���,IP技術(shù)后���,接入網(wǎng)安全性問(wèn)題日益凸現(xiàn),監(jiān)聽(tīng)他人信息�, 盜取業(yè)務(wù)(Theft of Service),甚至造成他人遭受拒絕服務(wù)(Denial of Service)攻擊等 安全性問(wèn)題時(shí)有發(fā)生���。提供“電信運(yùn)營(yíng)級(jí)”的接入網(wǎng)絡(luò)���,為用戶提供安全的接入服務(wù)�����,就成 為設(shè)備商和運(yùn)營(yíng)商共同關(guān)注的問(wèn)題����。寬帶接入技術(shù)呈現(xiàn)多樣化趨勢(shì)��,包括xDSL����,χΡΟΝ和WiMAX無(wú)線接入等,它們大致 都具有如附圖2所示的網(wǎng)絡(luò)架構(gòu)����,包括以下部分組成(1)用戶自組網(wǎng)絡(luò);(2)接入節(jié)點(diǎn) AN (Access Node) ��; (3)以太網(wǎng)匯聚網(wǎng)絡(luò)��;(4)寬帶網(wǎng)絡(luò)網(wǎng)關(guān)�����。MAC地址欺騙是非常嚴(yán)重的安全威脅���,MAC地址欺騙的本質(zhì)是會(huì)出現(xiàn)重復(fù)的MAC 地址����,造成交換芯片MAC學(xué)習(xí)遷移���,部分用戶無(wú)法上網(wǎng)��。MAC地址欺騙可以分為用戶的MAC 地址欺騙和上游網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器(如BRAS����,DHCP Server/Relay,默認(rèn)網(wǎng)關(guān)等)的MAC地址欺騙���。為了增強(qiáng)安全性����,在接入網(wǎng)絡(luò)�����。一般要求在AN處實(shí)現(xiàn)用戶端口隔離���,也就是在同一 個(gè)VLAN下的用戶之間相互不能通信�����,而只能和上行匯聚口互通�����。用戶端口隔離可以通過(guò) PVLAN (Private VLAN)技術(shù)來(lái)實(shí)現(xiàn)�。非法用戶攻擊系統(tǒng)的CPU也是一種嚴(yán)重的安全威脅,攻擊系統(tǒng)的CPU可以導(dǎo)致系 統(tǒng)正常業(yè)務(wù)無(wú)法開(kāi)展���,影響接入系統(tǒng)的正常工作��,因此在接入系統(tǒng)中實(shí)現(xiàn)過(guò)濾非法MAC的 功能越來(lái)越重要���。隨著運(yùn)營(yíng)商之間的競(jìng)爭(zhēng)越來(lái)越激烈,電信運(yùn)營(yíng)商給用戶提供的特色服務(wù)越來(lái)越 多�,這其中就包括用戶之間的互通,而同時(shí)如何保證網(wǎng)絡(luò)的安全性變成了亟待解決的問(wèn)題���。
發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)中用戶互通與網(wǎng)絡(luò)安全無(wú)法得到保障的問(wèn)題而做出本發(fā)明����,為此�����, 本發(fā)明的主要目的在于提供一種寬帶接入系統(tǒng)中MAC地址過(guò)濾的方法���,以解決現(xiàn)有技術(shù)中 的上述問(wèn)題��。本發(fā)明實(shí)施例提供的具體技術(shù)方案如下一種寬帶接入系統(tǒng)中MAC地址過(guò)濾的方法���,包括對(duì)于需要進(jìn)行MAC過(guò)濾的接入 點(diǎn),配置所述接入點(diǎn)的屬性表和MAC地址表�,其中接入點(diǎn)屬性表包括MAC地址過(guò)濾使能位和 MAC地址表屬性位,MAC地址表包括MAC地址��、接入點(diǎn)編號(hào)和MAC地址表項(xiàng)控制位��。進(jìn)一步的��,對(duì)于需要MAC地址過(guò)濾的接入點(diǎn)上行流程中��,提取輸入數(shù)據(jù)包的源MAC 地址和接入點(diǎn)編號(hào)�����,查找MAC地址表,并與其配置的MAC地址和接入點(diǎn)編號(hào)進(jìn)行比較�,根據(jù) 比較結(jié)果,MAC地址表項(xiàng)控制位的配置和MAC地址屬性位的配置���,允許數(shù)據(jù)包通過(guò)或者丟棄 該數(shù)據(jù)包��。進(jìn)一步的���,對(duì)于需要MAC地址過(guò)濾的接入點(diǎn)下行流程中,提取輸入數(shù)據(jù)包的目的 MAC地址�,查找MAC地址表,根據(jù)比較結(jié)果和MAC地址表項(xiàng)控制位的配置�,允許數(shù)據(jù)包通過(guò)或 者丟棄該數(shù)據(jù)包。采用本發(fā)明所述的方法�,可以在增加極少芯片資源的情況下實(shí)現(xiàn)MAC地址的黑表 單和白表過(guò)濾功能,并且可以過(guò)濾的MAC地址個(gè)數(shù)只受限于MAC地址表的大小�����,并實(shí)現(xiàn)從接 入點(diǎn)將輸入的數(shù)據(jù)包直接丟棄��,避免了非法用戶對(duì)系統(tǒng)的攻擊�。
圖1是現(xiàn)有技術(shù)中接入網(wǎng)的組成;圖2是現(xiàn)有技術(shù)中寬帶接入網(wǎng)絡(luò)的架構(gòu)���;圖3是根據(jù)本發(fā)明實(shí)施例的初始化流程����;圖4是根據(jù)本發(fā)明實(shí)施例的MAC地址過(guò)濾上行學(xué)習(xí)轉(zhuǎn)發(fā)流程���;圖5是根據(jù)本發(fā)明實(shí)施例的MAC地址過(guò)濾下行轉(zhuǎn)發(fā)流程��;圖6是根據(jù)本發(fā)明實(shí)施例的正常的學(xué)習(xí)轉(zhuǎn)發(fā)流程�����。
實(shí)施例為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,以下結(jié)合附圖及具體實(shí)施例�����,對(duì)本 發(fā)明作進(jìn)一步地詳細(xì)說(shuō)明��。
本發(fā)明的主要思想主要在于�,通過(guò)設(shè)置接入點(diǎn)屬性表以及在MAC地址表項(xiàng)中增加 表項(xiàng)控制位���,從而改變交換芯片的學(xué)習(xí)轉(zhuǎn)發(fā)模式,進(jìn)而實(shí)現(xiàn)MAC地址過(guò)濾功能��。在本發(fā)明中��,基于接入點(diǎn)設(shè)置的MAC地址表屬性被定義為兩種類型一種為黑表�����, 查找MAC地址表���,在MAC地址表有匹配的選項(xiàng)���,如果配置為丟棄的話,就定義為黑表���;如果配 置為通過(guò)的話�,就定義為白表��。
權(quán)利要求
1.一種寬帶接入系統(tǒng)中MAC地址過(guò)濾的方法�,其特征在于對(duì)于需要進(jìn)行MAC過(guò)濾的 接入點(diǎn),配置所述接入點(diǎn)的屬性表和MAC地址表,其中接入點(diǎn)屬性表包括MAC地址過(guò)濾使能 位和MAC地址表屬性位��,MAC地址表包括MAC地址��、接入點(diǎn)編號(hào)和MAC地址表項(xiàng)控制位����。
2.根據(jù)權(quán)利要求1所述的方法,其特性在于所述MAC地址表還包括靜態(tài)標(biāo)記�。
3.根據(jù)權(quán)利要求1或2所述的方法�,其特性在于所述MAC地址過(guò)濾使能位表示MAC地 址是否需要進(jìn)行過(guò)濾,所述MAC地址表屬性位表示黑表或白表�,所述MAC地址表項(xiàng)控制位表 示匹配通過(guò)或丟棄。
4.根據(jù)權(quán)利要求3所述的方法�,其特性在于所述黑表為查找MAC地址表,在MAC地址 表有匹配的選項(xiàng)且配置為丟棄�����;所述白表為查找MAC地址表�����,在MAC地址表有匹配的選項(xiàng)且 配置為通過(guò)�。
5.根據(jù)權(quán)利要求3所述的方法,其特性在于對(duì)于需要MAC地址過(guò)濾的接入點(diǎn)上行流 程中,提取輸入數(shù)據(jù)包的源MAC地址和接入點(diǎn)編號(hào)���,查找MAC地址表�����,并與其配置的MAC地 址和接入點(diǎn)編號(hào)進(jìn)行比較�,根據(jù)比較結(jié)果�,MAC地址表項(xiàng)控制位的配置和MAC地址屬性位的 配置,允許數(shù)據(jù)包通過(guò)或者丟棄該數(shù)據(jù)包��。
6.根據(jù)權(quán)利要求5所述的方法��,其特性在于如果MAC地址和接入點(diǎn)編號(hào)都匹配�����,并且 該MAC地址表項(xiàng)控制位配置為匹配通過(guò)時(shí)�����,該數(shù)據(jù)包允許通過(guò)���;當(dāng)該MAC地址表項(xiàng)配置為匹 配丟棄時(shí)���,丟棄該數(shù)據(jù)包�;如果MAC地址和接入點(diǎn)編號(hào)不匹配���,并且該接入點(diǎn)屬性表中配置的MAC地址屬性位為 黑表時(shí)�,需要轉(zhuǎn)發(fā)該數(shù)據(jù)包�����,并且學(xué)習(xí)該MAC地址���,并將MAC地址表項(xiàng)控制位學(xué)習(xí)成匹配通 過(guò)�;如果該接入點(diǎn)屬性表中配置的MAC地址屬性位配置為白表時(shí)��,直接丟棄該數(shù)據(jù)包�����,由此 完成了 MAC地址表的白表過(guò)濾功能����。
7.根據(jù)權(quán)利要求3所述的方法���,其特性在于對(duì)于需要MAC地址過(guò)濾的接入點(diǎn)下行流 程中���,提取輸入數(shù)據(jù)包的目的MAC地址��,查找MAC地址表��,根據(jù)比較結(jié)果和MAC地址表項(xiàng)控 制位的配置�,允許數(shù)據(jù)包通過(guò)或者丟棄該數(shù)據(jù)包�����。
8.根據(jù)權(quán)利要求7所述的方法�����,其特性在于如果可以在MAC地址表中找到相同的條 目即MAC地址和接入點(diǎn)編號(hào)都匹配���,并且該MAC地址表項(xiàng)控制位配置為匹配通過(guò)時(shí)�����,就轉(zhuǎn)發(fā) 該數(shù)據(jù)包��,如果該MAC地址表項(xiàng)控制位配置為丟棄時(shí)就丟棄該數(shù)據(jù)包�����;如果在MAC地址表中 未找到相同的條目即MAC地址和接入點(diǎn)編號(hào)不匹配�����,則對(duì)該數(shù)據(jù)丟棄或者洪泛����。
全文摘要
本發(fā)明公開(kāi)了一種寬帶接入系統(tǒng)中MAC地址過(guò)濾的方法,包括對(duì)于需要進(jìn)行MAC過(guò)濾的接入點(diǎn)���,配置所述接入點(diǎn)的屬性表和MAC地址表����,其中接入點(diǎn)屬性表包括MAC地址過(guò)濾使能位和MAC地址表屬性位����,MAC地址表包括MAC地址�、接入點(diǎn)編號(hào)和MAC地址表項(xiàng)控制位。采用本發(fā)明所述的方法����,可以實(shí)現(xiàn)MAC地址的黑表單和白表過(guò)濾功能���,避免了非法用戶對(duì)系統(tǒng)的攻擊。
文檔編號(hào)H04L29/12GK102098269SQ20091018895
公開(kāi)日2011年6月15日 申請(qǐng)日期2009年12月15日 優(yōu)先權(quán)日2009年12月15日
發(fā)明者婁本剛 申請(qǐng)人:中興通訊股份有限公司