專利名稱:一種arp代理功能模塊及其應(yīng)用方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種ARP(Address Resolution Protocol����,地址解析協(xié)議)代理功能模 塊及其應(yīng)用方法,尤其涉及其在電信網(wǎng)絡(luò)中的樓道交換機(jī)和家庭多業(yè)務(wù)交換機(jī)上的應(yīng)用�����, 通過控制ARP報(bào)文的轉(zhuǎn)發(fā)來達(dá)到限制過多的非法終端以及ARP攻擊的目的����,屬于網(wǎng)絡(luò)服務(wù) 技術(shù)領(lǐng)域。
背景技術(shù):
目前��,在電信和廣電網(wǎng)絡(luò)環(huán)境下���,越來越多的家庭用戶使用電信網(wǎng)絡(luò)的寬帶服務(wù) 或廣電網(wǎng)絡(luò)的多業(yè)務(wù)服務(wù)�。較之傳統(tǒng)的電話線撥號網(wǎng)絡(luò)服務(wù)�����,其具有帶寬大����、成本低��、安裝 方便等多種優(yōu)勢�;但由于這種方式的業(yè)務(wù)數(shù)據(jù)傳輸使用的通用以太網(wǎng)傳輸協(xié)議和使用交換 機(jī)作為終端接入設(shè)備����,所以造成了兩點(diǎn)缺陷容易被非法用戶介入和容易產(chǎn)生內(nèi)網(wǎng)的網(wǎng)絡(luò) 攻擊。非法用戶一般為兩種家庭中超過申請數(shù)量的用戶和直接從樓道介入的非法用 戶�����;內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊一般為ARP欺詐?��,F(xiàn)有的解決方案一般為使用用戶登錄軟件以及安裝 分布式防火墻���,但此方案的缺點(diǎn)是購買和維護(hù)軟件的成本較高,且家庭增加用戶時(shí)須新增 賬號�����,用戶使用十分不便��;另外安裝分布式防火墻需購買專用的防火墻設(shè)備���,成本較高��,為 用戶帶來了額外的經(jīng)濟(jì)負(fù)擔(dān)�����。因此��,能否開發(fā)出一種技術(shù)實(shí)現(xiàn)簡單����、成本很低�����、且非常適合家庭和樓道交換機(jī)使 用的裝置��,并通過簡單可行的應(yīng)用方法使得終端用戶的網(wǎng)絡(luò)安全得到有效的保護(hù)��,成為目 前本領(lǐng)域函待解決的技術(shù)難題���。
發(fā)明內(nèi)容
為了解決終端用戶的網(wǎng)絡(luò)安全問題���,本發(fā)明旨在提供一種ARP代理功能模塊及其 應(yīng)用方法����,采用的技術(shù)方案如下該ARP代理功能模塊主要包括把上下行的ARP報(bào)文分別作不同規(guī)則的處理和轉(zhuǎn) 發(fā)的ARP解析處理部分���,以及用于限制連接業(yè)務(wù)的MAC地址數(shù)量的MAC地址限制部分�,兩部 分之間通信連接����;所述MAC地址限制部分包括MAC地址表和MAC地址查詢控制器、MAC地址 數(shù)量控制器���、MAC地址記錄控制器以及MAC地址老化控制器����。優(yōu)選地�����,所述ARP解析處理部分包括ARP 文解析器��,其將上下行以太網(wǎng)接口接收 到的ARP報(bào)文進(jìn)行解析�����,分為如下四種類型進(jìn)行分別處理A)上行口進(jìn)入的ARP請求報(bào)文直接丟棄;B)上行口進(jìn)入的ARP應(yīng)答報(bào)文對報(bào)文做ARP欺詐檢查后轉(zhuǎn)發(fā)報(bào)文��;C)下行口進(jìn)入的ARP請求報(bào)文導(dǎo)入MAC地址查詢控制器����;D)下行口進(jìn)入的ARP應(yīng)答報(bào)文直接丟棄。優(yōu)選地��,所述MAC地址查詢控制器比對報(bào)文的源MAC是否存在于MAC地址表���,然后 分類進(jìn)行如下處理
A)源MAC已在MAC地址表中記錄直接轉(zhuǎn)發(fā)報(bào)文;B)源MAC未在MAC地址表中記錄導(dǎo)入MAC地址數(shù)量控制器�����。優(yōu)選地�����,所述MAC地址數(shù)量控制器檢查MAC地址表中的地址數(shù)量是否達(dá)到設(shè)置的 上限值����,并對導(dǎo)入的報(bào)文進(jìn)行分類處理Kmc地址表已滿直接丟棄報(bào)文;B)MAC地址表未滿轉(zhuǎn)發(fā)報(bào)文并且將報(bào)文的源MAC導(dǎo)入MAC地址記錄控制器�。優(yōu)選地�,所述MAC地址記錄控制器將導(dǎo)入的源MAC在MAC地址表中做記錄�����。優(yōu)選地���,所述MAC地址老化控制器將長時(shí)間未進(jìn)行網(wǎng)絡(luò)連接的MAC地址從MAC地
址表中老化掉����。本發(fā)明還公開了一種具有該ARP代理功能模塊的交換設(shè)備��,其包括CPU��、上行以太 網(wǎng)接口�����、交換引擎以及ARP代理功能模塊�,其中,CPU置于上行以太網(wǎng)接口與交換引擎之間���,上行以太網(wǎng)接口所有收發(fā)的報(bào)文都須 通過CPU ���;ARP代理功能模塊內(nèi)嵌于CPU����,CPU的以太網(wǎng)報(bào)文處理模塊對通過報(bào)文的以太網(wǎng)類 型進(jìn)行判斷��,將上下行的ARP報(bào)文分別導(dǎo)入ARP代理功能模塊進(jìn)行處理轉(zhuǎn)發(fā)��,其他報(bào)文直接 轉(zhuǎn)發(fā)�����。優(yōu)選地�,所述CPU包含兩個(gè)MII接口,一個(gè)接上行以太網(wǎng)接口��,另一個(gè)接交換引擎 的MII接口 ����;所述ARP代理功能模塊與所述CPU的內(nèi)部接口有兩種�����,一種是以太網(wǎng)接口���,連 接ARP報(bào)文的緩存�,分為上下行兩路接口,將ARP報(bào)文的上下行區(qū)分出來��;另一種串行配置 接口��,作為CPU對ARP代理功能模塊MAC地址上限值的配置接口���。優(yōu)選地��,所述以太網(wǎng)接口為RAM接口��。本發(fā)明還公開了一種應(yīng)用包含該ARP代理功能模塊的交換機(jī)進(jìn)行ARP代理的方 法��,其特征在于�,包括如下步驟當(dāng)下行接口接收到ARP請求報(bào)文后�,ARP代理功能模塊檢查報(bào)文的源MAC地址是 否在模塊的MAC地址表中,如果在就轉(zhuǎn)發(fā)報(bào)文�����,不在的話再檢查MAC地址表的數(shù)量有沒有達(dá) 到設(shè)置的上限���;如果未達(dá)到����,記錄此MAC地址并轉(zhuǎn)發(fā)報(bào)文,達(dá)到上限的話就丟棄報(bào)文�����;當(dāng)上行接口接收到ARP請求報(bào)文后��,ARP代理功能模塊直接丟棄報(bào)文�;如果是ARP 應(yīng)答報(bào)文,則進(jìn)行IP地址有效性檢查和填充數(shù)據(jù)段檢查����。與現(xiàn)有技術(shù)相比,本發(fā)明具有如下優(yōu)點(diǎn)■技術(shù)實(shí)現(xiàn)簡單易行����;■成本低廉;■適合家庭和樓道交換機(jī)使用�,應(yīng)用前景廣闊���。
圖1 本發(fā)明的ARP代理功能模塊的內(nèi)部結(jié)構(gòu)圖��;圖2 本發(fā)明的ARP代理功能模塊內(nèi)嵌到交換設(shè)備中的示意圖��;圖3 帶有ARP代理功能的交換機(jī)應(yīng)用示意圖����。
具體實(shí)施例方式發(fā)明原理
在現(xiàn)有交換機(jī)的CPU中加入ARP代理功能模塊,此模塊包含兩部分ARP處理部 分��,主要功能是將上下行的ARP報(bào)文分別進(jìn)行處理����;以及MAC(MediaAccess Control,地址 訪問控制協(xié)議)地址限制部分���,主要功能是限制連接業(yè)務(wù)的MAC地址數(shù)量��。兩部分共同工 作�,對上行ARP報(bào)文做MAC地址數(shù)量限制處理�����,對下行的ARP報(bào)文做攻擊檢查處理����,從而同 時(shí)解決上述兩個(gè)問題。下面結(jié)合附圖和實(shí)例對本發(fā)明作進(jìn)一步說明如圖1所示(其中虛線為從上行接口送入的ARP報(bào)文��,實(shí)線為從下行接口送入的 ARP報(bào)文),本發(fā)明的ARP代理功能模塊主要分為兩部分一部分是ARP解析處理部分�,它把 上下行的ARP報(bào)文分別做不同規(guī)則的處理和轉(zhuǎn)發(fā);另一部分是MAC地址限制部分����,用于限制 連接業(yè)務(wù)的MAC地址數(shù)量,兩部分之間通信連接�。該ARP解析處理部分主要包括ARP報(bào)文解析器,用于將上下行以太網(wǎng)接口接收到 的ARP報(bào)文進(jìn)行解析�,分為四種類型進(jìn)行處理>上行口進(jìn)入的ARP請求報(bào)文直接丟棄;>上行口進(jìn)入的ARP應(yīng)答報(bào)文對報(bào)文做ARP欺詐檢查后轉(zhuǎn)發(fā)報(bào)文���;>下行口進(jìn)入的ARP請求報(bào)文導(dǎo)入MAC地址查詢控制器�;>下行口進(jìn)入的ARP應(yīng)答報(bào)文直接丟棄��。該MAC地址限制部分由一個(gè)MAC地址表和四個(gè)控制器組成��,四個(gè)控制器分別是MAC 地址查詢控制器���、MAC地址數(shù)量控制器��、MAC地址記錄控制器和MAC地址老化控制器��;其中,MAC地址查詢控制器比對報(bào)文的源MAC是否存在于MAC地址表,然后分類進(jìn)行如 下處理>源MAC已在MAC地址表中記錄直接轉(zhuǎn)發(fā)報(bào)文��;>源MAC未在MAC地址表中記錄導(dǎo)入MAC地址數(shù)量控制器��。MAC地址數(shù)量控制器檢查MAC地址表中的地址數(shù)量是否達(dá)到設(shè)置的上限值(例 如通過CPU進(jìn)行設(shè)置)�,然后對導(dǎo)入的報(bào)文進(jìn)行分類處理> MAC地址表已滿直接丟棄報(bào)文;> MAC地址表未滿轉(zhuǎn)發(fā)報(bào)文并且將報(bào)文的源MAC導(dǎo)入MAC地址記錄控制器�����。MAC地址記錄控制器將導(dǎo)入的源MAC在MAC地址表中做記錄�。MAC地址老化控制器將長時(shí)間未進(jìn)行網(wǎng)絡(luò)連接的MAC地址從MAC地址表中老化掉。圖2示出了將該ARP代理功能模塊內(nèi)嵌到交換設(shè)備(例如交換機(jī))中的情形(其 中虛線為普通報(bào)文傳輸路徑���,點(diǎn)劃線為ARP報(bào)文傳輸路徑����,雙向箭頭為數(shù)據(jù)報(bào)文通路)����,該 交換設(shè)備包括CPU、上行以太網(wǎng)接口�����、交換引擎以及ARP代理功能模塊,其中����,將CPU置于上 行以太網(wǎng)接口與交換引擎之間,上行以太網(wǎng)接口所有收發(fā)的報(bào)文都須通過CPU���,ARP代理功 能模塊內(nèi)嵌于CPU�����,CPU的以太網(wǎng)報(bào)文處理模塊對通過報(bào)文的以太網(wǎng)類型進(jìn)行判斷��,將上下 行的ARP報(bào)文分別導(dǎo)入ARP代理功能模塊進(jìn)行處理轉(zhuǎn)發(fā)�,其他報(bào)文直接轉(zhuǎn)發(fā)����。內(nèi)部CPU需包含兩個(gè)接口(例如MII接口),一個(gè)接上行以太網(wǎng)接口��,另一個(gè)接 交換引擎的MII接口�,保證所有通過上行接口的報(bào)文都必須通過CPU ;ARP代理功能模塊與 CPU的內(nèi)部接口有兩種�����,一種是以太網(wǎng)接口( 一般為RAM接口),連接ARP報(bào)文的緩存�����,分為 上下行兩路接口���,將ARP報(bào)文的上下行區(qū)分出來;另一種串行配置接口����,作為CPU對ARP代理功能模塊MAC地址上限值的配置接口。圖3為帶有ARP代理功能的交換機(jī)應(yīng)用示意圖��,其將家庭和樓道的交換機(jī)分別設(shè) 置對應(yīng)的MAC地址上限值��,當(dāng)家庭用戶登錄時(shí)���,用戶的ARP將通過交換機(jī)進(jìn)行轉(zhuǎn)發(fā)����,交換機(jī) 的ARP代理功能模塊將對MAC地址表進(jìn)行檢查當(dāng)用戶的MAC地址已在MAC地址表中或MAC 地址表還未達(dá)到設(shè)置的上限值時(shí)就對ARP報(bào)文轉(zhuǎn)發(fā)�,讓此用戶能順利連接網(wǎng)絡(luò)業(yè)務(wù);如果 MAC地址表已達(dá)到上限值����,交換機(jī)將不再對新增用戶的ARP報(bào)文進(jìn)行轉(zhuǎn)發(fā)����,從而限制超數(shù)量 的非法用戶使用網(wǎng)絡(luò)業(yè)務(wù)��。樓道交換機(jī)也具有同樣的功能�����,可以對樓道的總用戶數(shù)進(jìn)行控制���。另外����,交換機(jī)的ARP代理功能模塊對從交換機(jī)上行以太網(wǎng)接口接收到的ARP報(bào)文 進(jìn)行檢查和處理�,如果是ARP請求報(bào)文直接丟棄,如果是ARP應(yīng)答報(bào)文就進(jìn)行ARP欺詐檢查 和處理���,從而有效的防止網(wǎng)絡(luò)中的ARP攻擊����,保護(hù)用戶的安全�。家庭交換機(jī)使用ARP代理功 能后����,家庭用戶的數(shù)量將受交換機(jī)設(shè)置的MAC地址上限值限制�,超過上限值的用戶為非法 用戶,將不能通過交換機(jī)連接上行業(yè)務(wù)�����,并且由于ARP報(bào)文為交換機(jī)轉(zhuǎn)發(fā)過濾��,可以有效的 防止ARP攻擊��。樓道交換機(jī)使用ARP代理功能后���,整個(gè)樓道的家庭交換機(jī)數(shù)量將受樓道交換機(jī)設(shè) 置的MAC地址上限值限制,超過上限值的用戶為非法用戶��,將不能通過樓道交換機(jī)連接上 行業(yè)務(wù)�。下面簡要說明應(yīng)用包含本發(fā)明的ARP代理功能模塊的交換機(jī)進(jìn)行ARP代理的方 法當(dāng)下行接口(連接終端用戶)接收到ARP請求報(bào)文后,ARP代理功能模塊檢查報(bào) 文的源MAC地址是否在模塊的MAC地址表中���,如果在就轉(zhuǎn)發(fā)報(bào)文���,不在的話再檢查MAC地址 表的數(shù)量有沒有達(dá)到設(shè)置的上限�;如果未達(dá)到���,記錄此MAC地址并轉(zhuǎn)發(fā)報(bào)文�,達(dá)到上限的話 就丟棄報(bào)文�����。這樣用戶的MAC地址已在MAC地址表中或MAC地址表還未達(dá)到設(shè)置的上限值 時(shí)就能順利連接網(wǎng)絡(luò)業(yè)務(wù)���,如果MAC地址表已達(dá)到上限值��,交換機(jī)將不再對新增用戶的ARP 報(bào)文進(jìn)行轉(zhuǎn)發(fā)��,從而限制超數(shù)量的非法用戶使用網(wǎng)絡(luò)業(yè)務(wù)���。當(dāng)上行接口(連接業(yè)務(wù)通路)接收到ARP請求報(bào)文后,ARP代理功能模塊直接丟棄 報(bào)文���;如果是ARP應(yīng)答報(bào)文�����,則進(jìn)行IP地址有效性檢查和填充數(shù)據(jù)段檢查�,防止ARP欺詐。 從而有效的保護(hù)終端用戶的網(wǎng)絡(luò)安全���,并且此技術(shù)實(shí)現(xiàn)簡單��,成本很低��,非常適合家庭和樓 道交換機(jī)使用���。上面以舉例方式對本發(fā)明進(jìn)行了說明�,但本發(fā)明不限于上述具體實(shí)施例,凡基于 本發(fā)明所做的任何改動(dòng)或變型均屬于本發(fā)明要求保護(hù)的范圍�。
權(quán)利要求
一種ARP代理功能模塊,其特征在于��,包括把上下行的ARP報(bào)文分別作不同規(guī)則的處理和轉(zhuǎn)發(fā)的ARP解析處理部分��,以及用于限制連接業(yè)務(wù)的MAC地址數(shù)量的MAC地址限制部分���,兩部分之間通信連接�;所述MAC地址限制部分包括MAC地址表和MAC地址查詢控制器�����、MAC地址數(shù)量控制器、MAC地址記錄控制器以及MAC地址老化控制器��。
2.根據(jù)權(quán)利要求1所述的ARP代理功能模塊�,其特征在于,所述ARP解析處理部分包括 ARP報(bào)文解析器�����,其將上下行以太網(wǎng)接口接收到的ARP報(bào)文進(jìn)行解析���,分為如下四種類型進(jìn) 行分別處理A)上行口進(jìn)入的ARP請求報(bào)文直接丟棄����;B)上行口進(jìn)入的ARP應(yīng)答報(bào)文對報(bào)文做ARP欺詐檢查后轉(zhuǎn)發(fā)報(bào)文�;C)下行口進(jìn)入的ARP請求報(bào)文導(dǎo)入MAC地址查詢控制器;D)下行口進(jìn)入的ARP應(yīng)答報(bào)文直接丟棄�。
3.根據(jù)權(quán)利要求1所述的ARP代理功能模塊,其特征在于�,所述MAC地址查詢控制器比 對報(bào)文的源MAC是否存在于MAC地址表,然后分類進(jìn)行如下處理A)源MAC已在MAC地址表中記錄直接轉(zhuǎn)發(fā)報(bào)文�����;B)源MAC未在MAC地址表中記錄導(dǎo)入MAC地址數(shù)量控制器。
4.根據(jù)權(quán)利要求1所述的ARP代理功能模塊���,其特征在于���,所述MAC地址數(shù)量控制器檢 查MAC地址表中的地址數(shù)量是否達(dá)到設(shè)置的上限值,并對導(dǎo)入的報(bào)文進(jìn)行分類處理A)MAC地址表已滿直接丟棄報(bào)文�����;B)MAC地址表未滿轉(zhuǎn)發(fā)報(bào)文并且將報(bào)文的源MAC導(dǎo)入MAC地址記錄控制器���。
5.根據(jù)權(quán)利要求1所述的ARP代理功能模塊�,其特征在于�����,所述MAC地址記錄控制器將 導(dǎo)入的源MAC在MAC地址表中做記錄�。
6.根據(jù)權(quán)利要求1所述的ARP代理功能模塊���,其特征在于����,所述MAC地址老化控制器將 長時(shí)間未進(jìn)行網(wǎng)絡(luò)連接的MAC地址從MAC地址表中老化掉。
7.一種具有權(quán)利要求1-6所述的ARP代理功能模塊的交換設(shè)備�,其特征在于,包括 CPU�����、上行以太網(wǎng)接口��、交換引擎以及ARP代理功能模塊�����,其中��,CPU置于上行以太網(wǎng)接口與交換引擎之間�����,上行以太網(wǎng)接口所有收發(fā)的報(bào)文都須通過CPU ��;ARP代理功能模塊內(nèi)嵌于CPU����,CPU的以太網(wǎng)報(bào)文處理模塊對通過報(bào)文的以太網(wǎng)類型進(jìn) 行判斷,將上下行的ARP報(bào)文分別導(dǎo)入ARP代理功能模塊進(jìn)行處理轉(zhuǎn)發(fā)���,其他報(bào)文直接轉(zhuǎn)發(fā)����。
8.根據(jù)權(quán)利要求7所述的交換設(shè)備,其特征在于�,所述CPU包含兩個(gè)MII接口,一個(gè)接 上行以太網(wǎng)接口�����,另一個(gè)接交換引擎的MII接口 �����;所述ARP代理功能模塊與所述CPU的內(nèi)部 接口有兩種�,一種是以太網(wǎng)接口,連接ARP報(bào)文的緩存�����,分為上下行兩路接口�,將ARP報(bào)文的 上下行區(qū)分出來��;另一種串行配置接口�,作為CPU對ARP代理功能模塊MAC地址上限值的配置接口����。
9.根據(jù)權(quán)利要求8所述的交換設(shè)備�,其特征在于,所述以太網(wǎng)接口為RAM接口���。
10.應(yīng)用包含權(quán)利要求1-6所述的ARP代理功能模塊的交換機(jī)進(jìn)行ARP代理的方法���,其 特征在于,包括如下步驟當(dāng)下行接口接收到ARP請求報(bào)文后���,ARP代理功能模塊檢查報(bào)文的源MAC地址是否在模塊的MAC地址表中����,如果在就轉(zhuǎn)發(fā)報(bào)文�,不在的話再檢查MAC地址表的數(shù)量有沒有達(dá)到設(shè) 置的上限;如果未達(dá)到����,記錄此MAC地址并轉(zhuǎn)發(fā)報(bào)文,達(dá)到上限的話就丟棄報(bào)文�����;當(dāng)上行接口接收到ARP請求報(bào)文后,ARP代理功能模塊直接丟棄報(bào)文�����;如果是ARP應(yīng)答 報(bào)文����,則進(jìn)行IP地址有效性檢查和填充數(shù)據(jù)段檢查。
全文摘要
本發(fā)明涉及一種ARP代理功能模塊及其應(yīng)用方法�����,屬于網(wǎng)絡(luò)服務(wù)技術(shù)領(lǐng)域����,尤其涉及其在電信網(wǎng)絡(luò)中的樓道交換機(jī)和家庭多業(yè)務(wù)交換機(jī)上的應(yīng)用,其主要包括ARP處理部分以及MAC地址限制部分�����,通過控制ARP報(bào)文的轉(zhuǎn)發(fā)來達(dá)到限制過多的非法終端以及ARP攻擊的目的���,技術(shù)實(shí)現(xiàn)簡單�����、成本很低��、適合家庭和樓道交換機(jī)使用�,具有廣闊的應(yīng)用前景�。
文檔編號H04L12/56GK101902478SQ20101024033
公開日2010年12月1日 申請日期2010年7月29日 優(yōu)先權(quán)日2010年7月29日
發(fā)明者唐旭 申請人:杭州再靈電子科技有限公司