[发明专利]一种防止网络中的媒介接入控制地址欺骗的方法及装置

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种防止网络中的MAC(MediaAccess Control，媒介接入控制)地址欺骗的方法及装置。

背景技术

目前宽带接入网络正朝着基于以太网汇聚的宽带接入网络方向发展，其构架包括以下几部分：用户网络、接入节点(Access Node(AN))、以太网汇聚网络和宽带网络网关(Broadband Network Gateway(BNG))。其中接入节点完成用户多形式的接入，如DSLAM(数字用户线接入复用器)等；宽带网络网关是指可应用带宽和QoS(quality ofservice，服务质量)策略的IP(InternetProtocol因特网协议)边缘路由器，如BRAS(Broadband Remote AccessServer，宽带远程接入服务器)和业务路由器等；以太网汇聚网络完成数据汇聚和交换的功能。

随着宽带接入网络的迅速发展，其应用也越来越广泛，但是它的安全问题也成为大家越来越关心的问题。用户、接入节点、宽带网络网关和网络都面临着各种威胁，特别是来自用户侧的威胁。一个恶意用户可以假冒使用宽带网络网关的MAC地址，也就是宽带网络网关MAC地址欺骗，来使得相同的MAC地址出现在设备的不同端口上，造成MAC地址学习发生紊乱，导致用户无法上网。对于这种威胁的解决方法，目前主要方法是宽带网络网关MAC地址静态配置，即手动将宽带网络网关的MAC配置到接入节点的静态MAC地址表上，这样宽带网络网关MAC地址学习就不会紊乱。这个方法虽然简单，但灵活性和扩充性都很差。

发明内容

本发明的目的是提供一种防止网络中的媒介接入控制地址欺骗的方法及装置，解决现有技术在解决MAC地址欺骗的安全问题的同时不能实现MAC地址的自动配置，不具有良好的灵活性和扩充性的技术问题。

为了实现上述目的，本发明提供了一种防止网络中的媒介接入控制地址欺骗的方法，其中，包括如下步骤：

步骤一，网络的接入节点自动获得宽带网络网关的媒介接入控制地址；

步骤二，所述接入节点将从所述宽带网络网关得到的所述媒介接入控制地址配置到所述接入节点的静态媒介接入控制地址表或访问控制列表中。

上述的方法，其中，在所述步骤一中，所述接入节点通过侦听网络侧链路/接口的下行方向的协议报文，来动态地得到所述宽带网络网关的媒介接入控制地址。

上述的方法，其中，所述下行方向的协议报文属于以下协议中的一个或多个：IPv4(IP协议的版本号为4)和IPv6(IP协议的版本号为6)中的动态主机配置协议、以太网上的点到点协议、互联网组管理协议、IPv6的组播收听者发现协议。

上述的方法，其中，在所述步骤一中，所述接入节点动态地得到所述宽带网络网关的媒介接入控制地址是通过在网络侧链路/接口上启动以下功能的一个或多个：动态主机配置协议或者以太网上的点到点协议的客户端功能、互联网组管理协议/组播收听者发现协议的主机功能。

上述的方法，其中，在所述步骤一中，所述接入节点通过IPv6的邻居发现协议来获得所述宽带网络网关的媒介接入控制地址。

上述的方法，其中，在所述步骤一中，所述接入节点通过组播路由器发现协议来获得所述宽带网络网关的媒介接入控制地址。

上述的方法，其中，在所述步骤一中，所述宽带网络网关通过管理协议配置接入节点的方式，来使所述接入节点获得宽带网络网关的媒介接入控制地址。

上述的方法，其中，所述管理协议为简单网络管理协议。

上述的方法，其中，在所述步骤一中，所述宽带网络网关通过动态管理协议通知接入节点的方式，来使所述接入节点获得宽带网络网关的媒介接入控制地址。

上述的方法，其中，所述动态管理协议为数字用户环路论坛的二层控制机制，或者是接入节点控制协议，或者是公共开放策略服务协议。

上述的方法，其中，在所述步骤二中，所述访问控制列表是应用在接入节点的用户侧链路/接口上的基于源媒介接入控制地址的访问控制列表。

上述的方法，其中，所述接入节点将得到的所述宽带网络网关的媒介接入控制地址配置到所述基于源媒介接入控制地址的访问控制列表后，禁止媒介接入控制地址与所述宽带网络网关相同的报文访问网络。

上述的方法，其中，所述接入节点包括交换机、数字用户线接入复用器和光线路终端。