[发明专利]一种基于ARP技术的网络装置

说明书

技术领域

本发明涉及数字信息的传输领域，尤其涉及一种基于ARP技术的网络装置。

背景技术

目前，在电信和广电网络环境下， 越来越多的家庭用户使用电信网络的宽带服务或广电网络的多业务服务。比起传统的电话线拨号网络服务，具有带宽大、安装方便、成本低等优势。但由于这种方式的业务数据传输使用的通用以太网传输协议和使用交换机作为终端接入设备，所以造成了两点缺陷：容易被非法用户介入和容易产生内网的网络攻击。

非法用户一般为两种：家庭中超过申请数量的用户和直接从楼道介入的非法用户。内网的网络攻击一般为ARP欺诈。现有的解决方案一般为使用用户登录软件以及安装分布式防火墙，但此方案的缺点是购买和维护软件的成本较高，且家庭增加用户时须新增账号，用户使用不便；另外安装分布式防火墙需购买防火墙设备，成本较高。

发明内容

为解决上述问题，本发明提供一种使用方便，成本低廉的一种基于ARP技术的网络装置。

为达到上述目的，本发明采用的技术方案是：一种基于ARP技术的网络装置，其特征在于，包括：

上行以太网接口，用于上行的以太网报文的接收与发送；

以太网报文处理模块，与上行以太网接口连接，用于对以太网报文的转发及判断，提取ARP报文；

ARP代理功能模块与以太网报文处理模块连接，用于接收ARP报文，并对ARP报文分类、检查后转发或丢弃；

交换引擎接口与以太网报文处理模块连接，用于下行的以太网报文的接收与发送。

本发明的第一优选方案为，所述的以太网报文处理模块包括ARP解析器、MAC地址限制单元。

本发明的第二优选方案为，所述的ARP解析器把ARP报文解析为四种，分别是：上行以太网接口进入的ARP请求报文，直接丢弃；上行以太网接口进入的ARP应答报文，对报文做ARP欺诈检查后转发报文；交换引擎接口进入的ARP请求报文，传递给所述的MAC地址限制单元；交换引擎接口进入的ARP应答报文，直接丢弃。

本发明的第三优选方案为，所述的MAC地址限制单元包括MAC地址查询控制器、MAC地址数量控制器、MAC地址记录控制器、MAC地址老化控制器、MAC地址表；

MAC地址查询控制器，用于比对ARP报文的源MAC地址是否存在于MAC地址表，是则转发，否则转入MAC地址数量控制器；

MAC地址数量控制器检查MAC地址表中的地址数量是否达上限值，是则丢弃；否则转发ARP报文并且将ARP报文的源MAC导入MAC地址记录控制器；

MAC地址记录控制器，用于将导入的源MAC在MAC地址表记录；

MAC地址老化控制器，用于将无需进行网络连接的MAC地址从MAC地址表中清除。

本发明的技术优势在于：采用硬件结构及内置的软件功能自动防护外部的非法侵入，安全性高、操作简便、且成本低廉。

下面结合附图和具体实施方式对本发明做进一步说明。

附图说明

图1为本实施例结构图。

图2为本实施例中ARP代理功能模块结构示意图。

具体实施方式

参考图1，一种基于ARP技术的网络装置，包括上行以太网接口、以太网报文处理模块、ARP代理功能模块、交换引擎接口。在交换机的以太网报文处理模块上设ARP代理功能模块，此模块包括ARP处理器，这部分的主要功能是将上下行的ARP报文分别进行处理；一部分是MAC地址限制单元，主要功能是限制连接业务的MAC地址数量，还有MAC地址表。图1中双箭头直线为普通报文，直线为ARP报文。

三部分共同工作，对上行的ARP报文做MAC地址数量限制处理，对下行的ARP报文做攻击检查处理，从而同时解决上述两个问题。具体处理是：当下行接口（连接终端用户）接收到ARP请求报文后，传递给交换引擎，交换引擎与交换引擎接口连接，交换引擎接口接收该ARP请求报文并转发给以太网处理模块，以太网处理模块转发给ARP代理功能模块，ARP代理功能模块检查ARP请求报文的源MAC地址是否在ARP代理功能模块的MAC地址表中，如果在转发ARP请求报文，不在再检查MAC地址表的数量是否达到设置的上限；如果未达到，记录此MAC地址并转发ARP请求报文，达到上限的话就丢弃报文。此时用户的MAC地址已在MAC地址表中或MAC地址表还未达到设置的上限值时能顺利连接网络业务，如果MAC地址表已达到上限值，交换机将不再对新增用户的ARP请求报文进行转发，从而限制超数量的非法用户使用网络业务。