[发明专利]在接入设备上防止介质访问控制地址表扰乱的方法

说明书

技术领域

本发明涉及一种通讯方法，具体说，涉及一种在接入设备上防止介质访问控制地址表扰乱的方法。

背景技术

宽带接入网络正在迅速从异步传输模式(ATM)技术向以太网技术进行迁移，整个接入汇聚网络的主要接入设备，从DSLAM到汇聚交换机，都是二层网络，这样就带来的一些安全问题。

MAC(Media Access Control，介质访问控制)地址是识别LAN(局域网)节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片，通常可以通过程序擦写)，它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。也就是说，在网络底层的物理传输过程中，是通过物理地址来识别主机的，它一般也是全球唯一的。比如，著名的以太网卡，其物理地址是48bit(比特位)的整数，如：44-45-53-54-00-00，以机器可读的方式存入主机接口中。以太网地址管理机构(IEEE)将以太网地址，也就是48比特的不同组合，分为若干独立的连续地址组，生产以太网网卡的厂家就购买其中一组，具体生产时，逐个将唯一地址赋予以太网卡。形象的说，MAC地址就如同我们身份证上的身份证号码，具有全球唯一性。

虚拟局域网(VLAN)不仅有利于网络安全和防止网络风暴，而且可以提高网络运行的效率，第三层交换机的普及为VLAN的应用创造了条件。VLAN是由位于不同物理局域网段的设备组成，虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信。

接入设备的以太网交换芯片的二层介质访问控制(Media AccessControl，MAC)地址转发表，是交换芯片进行数据包交换的核心数据表，由于其MAC地址学习一般没有安全策略控制，当具有同一源MAC的数据包从交换芯片不同端口进入交换芯片的话，会造成MAC地址表频繁迁移，从而造成以这个MAC地址为目的MAC的数据包转发混乱。在实际应用中，如果接入设备的用户侧端口来数据包是BRAS的MAC的地址，则会造成其它用户去宽带远程接入服务器(BRAS)的数据包被错误转发到这个用户端口上，造成业务中断。

所以，在接入设备中给MAC地址表学习加入安全策略，防止MAC地址表由于频繁迁移而造成扰乱十分重要，但是现有技术没有很好地解决这个问题。

发明内容

本发明所解决的技术问题是提供一种在接入设备上防止介质访问控制地址表扰乱的方法，保证接入设备的正确转发，提供业务的安全性和稳定性。

技术方案如下：

在接入设备上防止介质访问控制地址表扰乱的方法包括如下步骤：

(1)数据平面中的交换芯片关闭网络侧端口MAC地址学习；

(2)控制平面包括MAC地址学习模块和MAC地址合法性检查模块两个组成部分，MAC地址学习模块替换交换芯片的MAC地址学习功能；

(3)MAC地址学习模块和MAC地址合法性检查模块过滤不合法的MAC地址学习，建立一个合法的MAC地址表；

(4)控制平面将新学习的合法MAC地址表设置到交换芯片中，同时，启动老化过程，当老化之后，删除交换芯片的该MAC地址。

进一步，步骤(3)中，所述MAC地址合法性检查模块内部建立一个绑定数据库，实现MAC地址和合法端口的绑定。

进一步，步骤(3)进一步包括，不符合绑定关系的MAC地址表项认为是非法的。

进一步，步骤(3)中，所述绑定数据库中每个条目包括：MAC地址、VLAN、合法端口。

进一步，步骤(3)中，绑定关系通过网管配置实现。

进一步，绑定关系通过对协议的监听实现。

进一步，步骤(3)中，所述协议为DHCP、PPPOE或者ARP。

进一步，步骤(3)具体为：控制平面监听用户的DHCP、PPPOE或者ARP，MAC地址合法性检查模块建立用户MAC、用户VLAN、用户端口的绑定数据库；当新用户MAC地址学习时，通过用户MAC和用户VLAN检查绑定数据库，然后判断绑定数据库中的用户端口和当前端口是否一致，当一致时该MAC地址合法，当不一致时该MAC地址非法。

本发明解决了接入设备的以太网交换核心的MAC地址表容易受到攻击而扰乱的问题，保证了接入设备的正确转发，提供业务的安全性和稳定性。由于交换芯片都是静态MAC地址，把交换芯片不安全的MAC地址学习功能转变成控制平面的安全的MAC地址学习，从而杜绝了由于源MAC攻击造成的MAC地址表扰乱。由于现在业界交换芯片的MAC地址学习都是没有安全控制的，本发明有一定普遍性。

附图说明