[发明专利]确定学习的MAC地址有效性的方法、装置及网关设备

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种确定学习的MAC地址有效性的方法、装置及网关设备。

背景技术

介质访问控制（MAC，Media Access Control）地址也称为硬件地址，是识别局域网中网络设备节点的标识，由48比特长、16进制的数字组成；在网络底层的物理传输过程中，通过MAC地址可以实现不同网络设备之间的通信。

以太网是当今现有局域网采用的最通用的通信协议标准，以太网中进行数据传输的过程如下：以太网交换机根据接收到的报文中携带的目标物理地址（MAC地址）将报文转发到特定端口；为此，交换机必须记住对应端口的物理地址信息，这个信息被存储在MAC表中，交换机通过MAC地址学习的方法来填充所述的MAC表。具体的，交换机在接收到报文之后，通过检查所接收到的报文的MAC地址是否存在于MAC地址表中，如果MAC地址表中不存在报文中携带的MAC地址，则学习该MAC地址，创建一条MAC地址与端口互联的记录，并向CPU发送MAC地址学习通告消息，同时学习到的每个MAC地址都具有生存时间（即MAC地址老化时间）；在此种方式，如果在可配置的时间间隔内交换机没有接收到相应的MAC地址，MAC表中的这条记录将过期，从MAC表中删除；当MAC表已满，则在MAC地址表老化之前将无法学习到MAC地址。

现有技术中，交换机对报文的转发过程中，对报文的合法性有一个初步的检查，例如报文的源MAC是否为非法MAC地址的检查，非法MAC地址包括MAC地址全为0的地址、组播MAC地址或者广播MAC地址的情况，报文的目的MAC地址是否为非法MAC地址的检查等；若发现报文的源MAC地址或者目的MAC地址为非法地址时，丢弃该报文；如果报文的源MAC地址或者目的MAC地址为合法MAC地址合法，交换机将学习该报文中携带的源MAC地址，并转发接收到的报文。由于交换机对MAC地址合法的报文没有进行进一步的检查，例如该报文是否为攻击报文，这样，使得非法用户可以通过具有合法MAC地址的报文，占用正常的MAC地址表资源，导致MAC地址表溢出，使得合法用户的报文转发收到影响。

在MAC地址溢出攻击中，攻击者利用以太网交换机MAC地址的源学习功能，使以太网交换机遭受大量的无效MAC地址的攻击；例如，以无效的MAC地址进行泛洪，导致MAC地址表被大量的无效MAC地址填满，导致到达目的端口和来自未知地址的业务将被泛洪到以太网交换机的所有端口，从而引起网络性能的明显下降；另一方面如果攻击者保持无效的MAC地址的泛洪，最后交换机学习到的所有较早的合法MAC地址由于老化将过期，导致所有合法的业务将被淹没；从性能和安全这两个角度来看，MAC地址溢出攻击将会对网络造成重大影响。

针对上述情况，现有技术中存在以下几种解决方案：1）、当MAC地址表容量达到一定的阈值时，关闭交换机的MAC地址学习能力；2）、限制单个端口的地址表容量，由于非法报文的攻击一般是从某个固定的端口进行攻击，因此通过限制单个端口的地址表容量，防止一个端口进来的攻击源把MAC地址表占满，保证合法报文的正常转发；3）、绑定MAC地址和端口的信任关系，通过判断当前学到的MAC地址是否为信任端口的地址，保证MAC地址学习的正确性，防止非法报文对MAC表的攻击；4）、根据预先配置的MAC静态地址表，检查接收到的MAC地址的合法性。

上述解决方案可以分为两类：第一类通过设置MAC表容量的阈值，动态调整MAC地址表的学习能力和地址老化时间；第二类通过预先配置MAC地址表的关联关系，防止非法报文对MAC表的攻击；这两种实现方式虽然可以一定程度上解决MAC地址表溢出的问题，但是在实际的应用中仍然存在一些问题：例如，如何合理设置MAC地址表容量阈值，使得既能防止MAC地址表溢出攻击，又能保证合法报文的正常转发，以及如何合理配置静态MAC地址表等问题。

因此，如何保证学习到的MAC地址的有效性，避免攻击者通过非法报文携带合法MAC地址对网关设备进行MAC地址溢出攻击，成为现有技术亟待解决的技术问题之一。

发明内容

本发明实施例提供一种确定学习的MAC地址有效性的方法、装置及网关设备，用以保证学习到的MAC地址的有效性，避免攻击者通过非法报文通过合法MAC地址对网络设备进行MAC地址溢出攻击。

本发明实施例提供一种MAC地址学习方法，包括：

介质访问控制MAC地址学习单元获得接收到的报文中携带的MAC地址信息；并

将所述MAC地址信息添加至MAC地址表中；