本发明专利技术公开了一种确定学习的MAC地址有效性的方法、装置及网关设备,用以保证学习到的MAC地址的有效性。其中,确定学习的MAC地址有效性的方法,包括:MAC地址学习单元获得接收到的报文中携带的源介质访问控制MAC地址信息;并将所述MAC地址信息添加至MAC地址表中;MAC地址学习单元向中央处理单元CPU发送MAC地址学习通告消息,所述MAC地址学习通告消息中携带有所述MAC地址信息;所述CPU查找地址解析协议ARP表是否存在所述MAC地址信息;所述CPU根据查找结果,确定所述MAC地址信息的有效性。
【技术实现步骤摘要】
本专利技术涉及数据通信
,尤其涉及一种确定学习的MAC地址有效性的方法、装置及网关设备。
技术介绍
介质访问控制(MAC,Media Access Control)地址也称为硬件地址,是识别局域网中网络设备节点的标识,由48比特长、16进制的数字组成;在网络底层的物理传输过程中,通过MAC地址可以实现不同网络设备之间的通信。以太网是当今现有局域网采用的最通用的通信协议标准,以太网中进行数据传输的过程如下以太网交换机根据接收到的报文中携带的目标物理地址(MAC地址)将报文转发到特定端ロ ;为此,交換机必须记住对应端ロ的物理地址信息,这个信息被存储在MAC表 中,交换机通过MAC地址学习的方法来填充所述的MAC表。具体的,交换机在接收到报文之后,通过检查所接收到的报文的MAC地址是否存在于MAC地址表中,如果MAC地址表中不存在报文中携带的MAC地址,则学习该MAC地址,创建一条MAC地址与端ロ互联的记录,并向CPU发送MAC地址学习通告消息,同时学习到的每个MAC地址都具有生存时间(即MAC地址老化时间);在此种方式,如果在可配置的时间间隔内交換机没有接收到相应的MAC地址,MAC表中的这条记录将过期,从MAC表中删除;当MAC表已满,则在MAC地址表老化之前将无法学习到MAC地址。现有技术中,交换机对报文的转发过程中,对报文的合法性有一个初步的检查,例如报文的源MAC是否为非法MAC地址的检查,非法MAC地址包括MAC地址全为O的地址、组播MAC地址或者广播MAC地址的情況,报文的目的MAC地址是否为非法MAC地址的检查等;若发现报文的源MAC地址或者目的MAC地址为非法地址时,丢弃该报文;如果报文的源MAC地址或者目的MAC地址为合法MAC地址合法,交换机将学习该报文中携帯的源MAC地址,并转发接收到的报文。由于交换机对MAC地址合法的报文没有进行进一歩的检查,例如该报文是否为攻击报文,这样,使得非法用户可以通过具有合法MAC地址的报文,占用正常的MAC地址表资源,导致MAC地址表溢出,使得合法用户的报文转发收到影响。在MAC地址溢出攻击中,攻击者利用以太网交换机MAC地址的源学习功能,使以太网交换机遭受大量的无效MAC地址的攻击;例如,以无效的MAC地址进行泛洪,导致MAC地址表被大量的无效MAC地址填满,导致到达目的端口和来自未知地址的业务将被泛洪到以太网交换机的所有端ロ,从而引起网络性能的明显下降;另ー方面如果攻击者保持无效的MAC地址的泛洪,最后交換机学习到的所有较早的合法MAC地址由于老化将过期,导致所有合法的业务将被淹没;从性能和安全这两个角度来看,MAC地址溢出攻击将会对网络造成重大影响。针对上述情况,现有技术中存在以下几种解决方案I)、当MAC地址表容量达到ー定的阈值时,关闭交換机的MAC地址学习能力;2)、限制单个端ロ的地址表容量,由于非法报文的攻击一般是从某个固定的端ロ进行攻击,因此通过限制单个端ロ的地址表容量,防止一个端ロ进来的攻击源把MAC地址表占满,保证合法报文的正常转发;3)、绑定MAC地址和端ロ的信任关系,通过判断当前学到的MAC地址是否为信任端ロ的地址,保证MAC地址学习的正确性,防止非法报文对MAC表的攻击;4)、根据预先配置的MAC静态地址表,检查接收到的MAC地址的合法性。上述解决方案可以分为两类第一类通过设置MAC表容量的阈值,动态调整MAC地址表的学习能力和地址老化时间;第二类通过预先配置MAC地址表的关联关系,防止非法报文对MAC表的攻击;这两种实现方式虽然可以一定程度上解决MAC地址表溢出的问题,但是在实际的应用中仍然存在一些问题例如,如何合理设置MAC地址表容量阈值,使得既能防止MAC地址表溢出攻击,又能保证合法报文的正常转发,以及如何合理配置静态MAC地址表等问题。因此,如何保证学习到的MAC地址的有效性,避免攻击者通过非法报文携帯合法MAC地址对网关设备进行MAC地址溢出攻击,成为现有技术亟待解决的技术问题之一。
技术实现思路
本专利技术实施例提供一种确定学习的MAC地址有效性的方法、装置及网关设备,用以保证学习到的MAC地址的有效性,避免攻击者通过非法报文通过合法MAC地址对网络设备进行MAC地址溢出攻击。本专利技术实施例提供ー种MAC地址学习方法,包括介质访问控制MAC地址学习单元获得接收到的报文中携带的MAC地址信息;并将所述MAC地址信息添加至MAC地址表中;所述MAC地址学习単元向中央处理単元CPU发送MAC地址学习通告消息,所述MAC地址学习通告消息中携帯有所述MAC地址信息;所述CPU查找地址解析协议ARP表是否存在所述MAC地址信息;所述CPU根据查找结果,确定所述MAC地址信息的有效性。本专利技术实施例提供ー种MAC地址学习装置,包括MAC地址学习単元和中央处理单元CPU,其中MAC地址学习単元,包括获得子単元,用于获得接收到的报文中携帯的源介质访问控制MAC地址信息;学习子单元,用于将所述MAC地址信息添加至MAC地址表中;发送子単元,用于向CPU发送MAC地址学习通告消息,所述MAC地址学习通告消息中携帯有所述MAC地址信息;所述CPU,用于查找地址解析协议ARP表是否存在所述MAC地址信息;并根据查找结果,确定所述MAC地址信息的有效性。本专利技术实施例提供ー种网关设备,包括上述MAC地址学习装置。本专利技术实施例提供的MAC地址学习方法、装置和网关设备,当网关设备的某一端ロ在接收到报文之后,MAC地址学习单元首先学习该报文中携帯的MAC地址信息,井向CPU发送MAC地址学习通告消息,其中携带有学习到的MAC地址信息,使得CPU通过查找MAC地址学习通告消息中携带的MAC地址信息是否存在于ARP表中确定学习到的MAC地址的有效性,避免MAC地址学习単元对不合法报文携帯的无效MAC地址进行学习,防止攻击者通过非法报文携帯合法的MAC地址对网关设备进行MAC地址溢出攻击。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明图I为本专利技术实施例中,MAC地址学习方法的实施流程示意图;图2为本专利技术实施例中,报文转发过程中,MAC地址学习流程示意图;图3为本专利技术实施例中,MAC地址学习装置的结构示意图。具体实施例方式为了避免攻击者通过非法报文携帯合法MAC地址对网关设备进行MAC地址溢出攻击,而使得网关设备学习到无效的MAC地址信息,保证学习到MAC地址的有效性,本专利技术实 施例提供了ー种确定学习的MAC地址有效性的方法、装置及设备。专利技术人发现,在以太网协议中规定,同一局域网中的一台网络设备要和另一台网络设备进行通信,必须要知道目标网络设备的MAC地址。而在传输控制协议/因特网互联协议(TCP/IP,Transmission Control Protocol/Internet Protocol)协议栈中,网络层和传输层只关心目标设备的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目标网络设备的IP地址。因此,需要ー种方法,根据目标本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种确定学习的MAC地址有效性的方法,其特征在于,包括 介质访问控制MAC地址学习单元获得接收到的报文中携帯的MAC地址信息;并 将所述MAC地址信息添加至MAC地址表中; 所述MAC地址学习単元向中央处理单元CPU发送MAC地址学习通告消息,所述MAC地址学习通告消息中携帯有所述MAC地址信息; 所述CPU查找地址解析协议ARP表是否存在所述MAC地址信息; 所述CPU根据查找结果,确定所述MAC地址信息的有效性。2.如权利要求I所述的方法,其特征在于,所述CPU根据查找结果,确定所述MAC地址信息的有效性,具体包括 若所述ARP表中存在所述MAC地址信息时,所述CPU确定所述MAC地址信息有效。3.如权利要求I所述的方法,其特征在于,所述CPU根据查找结果,确定所述MAC地址信息的有效性,具体包括 若所述ARP表中不存在所述MAC地址信息,所述CPU确定所述MAC地址信息无效;或者 若所述ARP表中不存在所述MAC地址信息,所述CPU等待第一预设时长后,再次查找所述ARP表中是否存在所述MAC地址信息;以及若等待第一预设时长后,所述ARP表中存在所述MAC地址信息时,所述CPU确定所述MAC地址信息有效。4.如权利要求3所述的方法,其特征在于,还包括 若等待第一预设时长后,所述ARP表中仍然不存在所述MAC地址信息时,所述CPU确定所述MAC地址信息无效。5.如权利要求4所述的方法,其特征在于,还包括 所述CPU确定所述MAC地址信息无效后,从MAC地址表中删除所述MAC地址信...
【专利技术属性】
技术研发人员:张文升,白小鹏,王志,
申请(专利权)人:北京星网锐捷网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。