[发明专利]PPPoE网络报文转发的方法及装置

说明书

本申请公开了PPPoE网络报文转发的方法及装置，通过所配置的用户侧端口侦听来自用户端设备的报文；如果侦听到的所述报文是PPPoE单播报文，则判断所述PPPoE单播报文的目的MAC地址与记录的PPPoE服务器的MAC地址是否匹配，若不匹配，将所述PPPoE单播报文丢弃；如果侦听到的所述报文是组播报文或非PPPoE报文，则将所述组播报文或非PPPoE报文丢弃；如果侦听到的所述报文是PPPoE广播报文，则按照预定的负载分担策略通过所配置的服务器侧端口将所述PPPoE广播报文转发至相应的PPPoE服务器。通过本申请可以隔离用户之间二层流量。

技术领域

本申请涉及PPPoE网络安全技术，尤其涉及一种PPPoE网络报文转发的方法及装置。

背景技术

PPPoE(Point to Point Protocolover Ethernet，基于局域网的点对点通讯)协议利用以太网将大量主机组成网络，然后通过BRAS(Broadband Remote Access Serve，宽带远程接入服务器)为以太网上的主机提供互联网接入服务，并对接入的每台主机实现控制、认证、计费功能。由于按照PPPoE协议组成的网络很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能，因此被广泛应用于小区接入组网等环境中。

由于大量用户都是通过大二层网络接入，所以如果不做限制的话，整个接入网络对用户是开放的，会造成用户间二层流量攻击、PPPoE Server私接以及用户之间搭建私网等问题。

现有的解决该问题的方法是在接入交换机上为每个用户的接入端口划分VLAN，然后在交换机的BRAS侧端口上配置Trunk模式(中继模式)，达到PUPV(每用户每VLAN)的效果，从而隔离用户之间的二层流量。该方法虽然有效，但是也会产生配置复杂、占用大量VLAN资源的问题。

发明内容

本申请提供一种PPPoE网络报文转发的方法及装置能够隔离用户之间二层流量，且配置简单，无需占用大量VLAN资源。

根据本申请实施例的第一方面，提供一种基于局域网的点对点通讯PPPoE网络报文转发的方法，运行于交换机上，所述交换机的端口分为用户侧端口和服务器侧端口；该方法包括：

通过所配置的服务器侧端口侦听来自PPPoE服务器的报文，并进行转发；

通过所配置的用户侧端口侦听来自用户端设备的报文；并对所述用户端设备的报文进行以下处理：

如果侦听到的所述报文是PPPoE单播报文，则判断所述PPPoE单播报文的目的MAC地址与记录的PPPoE服务器的MAC地址是否匹配，若不匹配，将所述PPPoE单播报文丢弃；

如果侦听到的所述报文是组播报文或非PPPoE报文，则将所述组播报文或非PPPoE报文丢弃；

如果侦听到的所述报文是PPPoE广播报文，则按照预定的负载分担策略通过所配置的服务器侧端口将所述PPPoE广播报文转发至相应的PPPoE服务器。

根据本申请实施例的第二方面，提供一种基于局域网的点对点通讯PPPoE网络报文转发的装置，运行于交换机上，所述交换机的端口分为用户侧端口和服务器侧端口；所述装置包括：

侦听模块，用于通过所配置的服务器侧端口侦听来自PPPoE服务器的报文；以及通过所配置的用户侧端口侦听来自用户端设备的报文，并发给处理模块；