CN104184708B - Evi网络中抑制mac地址攻击的方法及边缘设备ed - Google Patents
Evi网络中抑制mac地址攻击的方法及边缘设备ed Download PDFInfo
- Publication number
- CN104184708B CN104184708B CN201310196585.4A CN201310196585A CN104184708B CN 104184708 B CN104184708 B CN 104184708B CN 201310196585 A CN201310196585 A CN 201310196585A CN 104184708 B CN104184708 B CN 104184708B
- Authority
- CN
- China
- Prior art keywords
- mac address
- mac
- priority
- list item
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开EVI网络中抑制MAC地址攻击的方法,包括:在MAC表项中增加优先级字段,在EVI‑ISIS协议的LSP报文中添加优先级信息;当边缘设备从本地学到MAC地址或从LSP报文学到普通优先级的MAC地址时,若本地MAC表存在授权VLAN ID及MAC地址都相同的MAC地址表项,且该本地MAC地址为表示有正常业务流量的高优先级,则更新该高优先级的MAC地址表项为不可用状态,记录所述学到的MAC地址表项并设为普通优先级;检测到MAC攻击时,更新高优先级的MAC地址表项为动态学习状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项为不可用状态。本申请还公开边缘设备ED。本申请可抑制MAC地址攻击,降低设备CPU资源的使用率,减少数据包的丢失,引导数据流的正常转发。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及EVI网络中抑制MAC地址攻击的方法及边缘设备ED。
背景技术
随着云计算概念的火热,数据中心网络技术迎来了一次剧烈的变革,大量新技术标准在近几年内如泉涌般出现,EVI(Ethernet Virtualization Interconnection,以太网虚拟化互联)技术也随之而产生。
EVI是一种先进的“MAC in IP”技术,是基于IP核心网的二层虚拟专用网络VPN技术,主要基于现有的服务提供商网络和企业网络,给分散的物理站点提供灵活的二层互联功能。EVI只是在站点的边缘设备上维护路由和转发信息,无需改变站点内部和IP核心网络的路由和转发信息。
部署EVI后的网络模型如图1所示,EVI网络(EVI Network)主要由EVI-Link接口和EVI虚拟连接组成,用于承载站点间扩展虚拟局域网VLAN的二层流量。EVI方案中通过ENDP(EVI Neighbor Discovery Protocol,EVI邻居发现协议)来自动发现站点,建立EVI虚连接;通过EVI-ISIS(Intermediate System-to-Intermediate System,中间系统到中间系统)协议在EVI虚连接上通告站点内主机和设备的MAC可达信息。完成如图1部署后,EVI虚拟出一个大二层网络,异地主机A、B、C将在同一个广播网内。其中,EVI-ISIS是运行于EVI组网中的上层协议,是ISIS路由协议的一种二层应用扩展,其在站点内和站点间两种平台上分别运行,负责站点边缘设备授权VLAN(LAV)的分配和站点间通告MAC地址信息,其中,授权VLAN是指通过EVI-ISIS Hello协商之后,DED(指定ED,用于为站点内的各ED分配需要分担的VLAN)分配的需要本ED分担的VLAN,是LEV(即扩展VLAN,用户配置的需要扩充的VLAN列表)的子集,全局保存一份。授权VLAN主要用于站点内流量的分担,MAC地址通告主要用于指导站点间数据的转发,EVI-ISIS协议的链路状态协议数据报文LSP主要负责传递可达前缀信息(即MAC地址表项)。
EVI网络中为了实现不同站点间的数据转发,站点间需要通过EVI-ISIS协议学习异地站点MAC地址。如图2所示,站点1和站点2为EVI Link链路的两个站点,Switch A和Switch B分别为站点1和站点2之间的EVI Link链路的两个边缘设备ED。要实现站点1和站点2之间的大二层网络互通,Switch A需要学习Switch B的MAC地址,同样Switch A需要学习Switch B的MAC地址。Switch A和Switch B之间的异地MAC地址学习是通过EVI-ISIS协议的LSP更新报文来实现的。Switch A通过LSP更新报文携带Switch A上授权VLAN的MAC地址,发送给Switch B。而Switch B收到Switch A发送的LSP更新报文后,解析报文,如果解析的LSP更新报文中的MAC地址对应的VLAN在Switch B上也是授权VLAN,则保存MAC。同样,Switch B也把自己设备上授权VLAN的MAC地址发送给Switch A,并且在Switch A上保存。通过LSP更新报文交互后,Switch A上保存了MAC3的地址,而Switch B上保存了MAC1、MAC2的地址。
在站点之间以及站点内均会存在主机的迁移,分别介绍如下:
1)当发生站点之间主机的迁移时,如图2所示,例如,主机A从站点1迁移到站点2,发生迁移后,对于Switch B来讲MAC1地址为本地地址,因此,当Switch B在站点2学习到MAC1地址后,就会删除远端的MAC1地址,并且立刻发送一个LSP更新报文,把更新的MAC1地址信息发送给Switch A,而Switch A收到远端的MAC1地址更新的LSP更新报文后,会删除本地的MAC1,更新为EVI-LINK的MAC1。
因为站点之间主机的迁移需要进行本地MAC地址的学习,并且更新远端站点MAC。因此,例如,如果EVI网络的站点1和站点2之间都不停地进行主机迁移,那么Switch A和Switch B设备就会不停地执行更新本地MAC、发送LSP、删除本地MAC、更新远端MAC的操作,这些操作会不停地占用设备的CPU资源。当存在站点间的MAC地址攻击,即在EVI网络的多个站点间不停地打入大量与已存在的主机MAC相同的MAC地址时,相当于多个站点间不停地进行主机迁移,所述多个站点对应的边缘设备ED均会占用大量的CPU资源不断地进行MAC地址的更新操作。
例如,参照图2进行说明,如果EVI Link链路的站点1与站点2之间存在着MAC地址攻击,即站点1存在着主机主机A,其MAC地址为MAC1,站点2模拟主机主机A不停地向站点2的ED设备Switch B发送源MAC为MAC1的报文,使站点2的ED设备Switch B也在本地学到MAC1地址。此时,站点2的ED设备就会向站点1的ED设备发送MAC1更新的LSP更新报文,站点1根据接收到的LSP更新报文更新MAC1的MAC地址表项后,又学到了本地正常的MAC1地址,此时,再更新MAC地址表项并向站点2发送MAC1更新的LSP更新报文,如此往复,就形成了站点间的MAC地址攻击。并且,当有到MAC1的外部数据流量时,这个数据流也就会不停地在站点1和站点2之间切换,数据有时会被转发至站点2的虚假主机A,造成数据包的丢失,影响业务流量的正常转发。
因此,当发生站点间的MAC地址攻击时,所述各站点的ED设备会不停地执行更新本地MAC、发送LSP、删除本地MAC、更新远端MAC的操作,使得所述ED设备的CPU使用率居高不下,且会造成数据包的丢失,影响业务流量的正常转发。
2)当发生站点内主机的迁移时,如图2所示,例如,主机C从Switch B的Eth1/1端口迁移到Switch B的Eth2/1端口,发生迁移后,当Switch B在Eth2/1端口学习到MAC3地址后,就会删除Eth1/1端口的MAC3地址,并立刻发送一个LSP更新报文,把更新的MAC3地址信息发送给Switch A,但对Switch A而言MAC3的表项信息并没有变化,因此无需更新MAC3的表项信息。当存在站点内的MAC地址攻击,即在同一站点内的不同端口之间不停地打入与已存在的主机MAC相同的MAC地址时,本站点的ED设备就会不停地执行更新本地MAC、发送LSP、删除本地MAC的操作,当有到该MAC的外部数据流量时,这个数据流也就会在该站点的不同端口之间切换,数据有时会被转发至所述MAC攻击时打入的虚假MAC地址对应的虚假主机,造成数据包的丢失,影响业务流量的正常转发。
综上所述,目前在EVI网络中,进行主机迁移时,如果发生MAC地址攻击,将会占用设备大量的CPU资源,且会造成数据包的丢失,影响数据业务流量的正常转发。
发明内容
有鉴于此,本申请提出一种EVI网络中抑制MAC地址攻击的方法,可以抑制MAC地址攻击,降低设备CPU资源的使用率,减少数据包的丢失,引导数据流的正常转发。
本申请还提出一种边缘设备ED,可以抑制MAC地址攻击,降低设备CPU资源的使用率,减少数据包的丢失,引导数据流的正常转发。
为达到上述目的,本申请实施例的技术方案是这样实现的:
一种EVI网络中抑制MAC地址攻击的方法,包括以下步骤:
在介质访问控制MAC地址表项中增加优先级字段,在以太网虚拟化互联组网的中间系统到中间系统EVI-ISIS路由协议的链路状态协议数据报文LSP中添加MAC地址的优先级信息;
当ED从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当任一ED的本地MAC表中任一MAC地址的优先级信息更改时,所述ED发送LSP更新报文给相连的各个ED;当任一ED接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
当边缘设备ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当ED的本地MAC表中任一MAC地址的当前状态为不可用状态时,所述ED不发送针对该MAC地址的LSP更新报文;
检测是否存在MAC地址攻击,如果存在,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
一种边缘设备ED,包括:优先级信息添加模块、优先级信息更新模块、MAC攻击前表项处理模块、MAC攻击检测模块和MAC攻击后表项处理模块,其中:
优先级信息添加模块,用于在介质访问控制MAC地址表项中增加优先级字段,在以太网虚拟化互联组网的中间系统到中间系统EVI-ISIS路由协议的链路状态协议数据报文LSP中添加MAC地址的优先级信息;
优先级信息更新模块,用于当本设备从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当本地MAC表中任一MAC地址的优先级信息更改时,发送LSP更新报文给相连的各个ED;当接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
MAC攻击前表项处理模块,用于当本设备从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当本地MAC表中任一MAC地址的当前状态为不可用状态时,不发送针对该MAC地址的LSP更新报文;
MAC攻击检测模块,用于检测是否存在MAC地址攻击;
MAC攻击后表项处理模块,用于如果存在MAC地址攻击,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
本申请的有益效果为,预先在MAC地址表项中增加优先级字段,并在用于传递可达前缀信息(即MAC地址表项)的LSP更新报文中添加优先级和状态信息。当ED学习到与本地相同VLAN ID及MAC地址的MAC地址表项,所述VLAN为授权VLAN,且该本地MAC地址表项为表示有正常数据流量的高优先级时,并非如现有处理一样立刻删除该本地MAC地址表项,而是将该本地MAC地址表项的状态设为不可用状态,记录学习到的MAC地址表项并设为普通优先级,然后在设定时间内检测是否存在MAC地址攻击,如果存在MAC地址攻击,则更改所述本地高优先级的MAC地址表项为动态学习且可用的状态,使得所述本地原来有正常数据流量的高优先级的MAC地址表项恢复正常使用,将所述学习到的来自攻击方的普通优先级的MAC地址表项设为不可用状态。从而可以抑制MAC地址攻击,降低设备CPU资源的使用率,减少数据包的丢失,引导数据流的正常转发。
附图说明
图1为现有技术的EVI网络模型结构示意图;
图2为现有技术的EVI网络的站点间二层流量转发模型示意图;
图3为本申请实施例的方法流程图;
图4为本申请实施例的EVI网络中的站点间抑制MAC地址攻击模型示意图;
图5为本申请实施例的EVI网络中的站点内抑制MAC地址攻击模型示意图;
图6为本申请实施例的EVI网络中的静态MAC地址配置模型示意图;
图7为本申请实施例的EVI网络中的主机迁移模型示意图;
图8为本申请实施例的装置功能模块结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本申请进行详细说明。
本申请提出一种EVI网络中抑制MAC地址攻击的方法,在介质访问控制MAC地址表项中增加优先级字段,在以太网虚拟化互联组网的中间系统到中间系统EVI-ISIS路由协议的链路状态协议数据报文LSP中添加MAC地址的优先级信息;
当ED从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当任一ED的本地MAC表中任一MAC地址的优先级信息更改时,所述ED发送LSP更新报文给相连的各个ED;当任一ED接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
当边缘设备ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当ED的本地MAC表中任一MAC地址的当前状态为不可用状态时,所述ED不发送针对该MAC地址的LSP更新报文;
检测是否存在MAC地址攻击,如果存在,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
本申请中,预先在MAC地址表项中增加优先级字段,并在用于传递MAC地址表项信息的LSP更新报文中添加优先级信息,本申请中的LSP更新报文均指EVI-ISIS协议的LSP更新报文。当ED学到与本地相同VLAN ID及MAC地址的MAC地址表项,所述VLAN为授权VLAN,且该本地MAC地址表项为表示有正常数据流量的高优先级时,不立即删除该本地MAC地址表项,而是将该本地MAC地址表项的状态设为不可用状态,记录学习到的MAC地址表项并设为普通优先级,当在设定时间内检测到存在MAC地址攻击时,更改所述本地高优先级的MAC地址表项为动态学习且可用的状态,将所述学习到的普通优先级的MAC地址表项设为不可用状态。
也就是说,学习到具有相同授权VLAN及MAC地址的MAC地址表项时进行MAC地址攻击检测,当检测到存在MAC地址攻击时,信任优先级高的MAC地址表项并使用其进行业务流量的转发,抑制优先级低的MAC地址表项,直到MAC攻击结束。从而可抑制MAC地址攻击,降低设备CPU资源的使用率,减少数据包的丢失,引导数据流的正常转发。
本申请实施例的方法流程如图3所示,一种EVI网络中抑制MAC地址攻击的方法,包括以下步骤:
步骤301:在介质访问控制MAC地址表项中增加优先级字段,在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息。
现有MAC地址表项一般包括如下字段:虚拟局域网VLAN的ID、MAC地址、接口Interface和状态State。
现有状态字段State一般包括如下两种状态:Learned和Static,其中,
Learned表示动态学习且可用的状态
Static表示静态配置且可用的状态
本申请实施例在现有状态State字段中增加不可用Disable状态,通过Disable状态的设置来抑制MAC地址的使用,后续步骤中会用到。
本申请实施例在现有MAC地址表项中增加优先级Priority字段,主要用于标记对应MAC地址受信任的程度,当存在MAC地址攻击时,可以根据MAC地址的优先级信息信任优先级高的MAC地址,抑制优先级低的MAC地址。
可以设置不同的Priority字段值表示不同的优先级,例如,可以设置Priority字段值为0、1、2三个值,其中:
任一MAC地址的Priority为0时,表示该MAC地址为普通优先级,没有正常的业务流量。
任一MAC地址的Priority为1时,表示该MAC地址为高优先级,有正常的业务流量。
任一MAC地址的Priority为2时,表示该MAC地址为最高优先级,该MAC地址的状态State一定是静态配置且可用的状态。
当MAC地址的Priority为0或1,即其优先级为普通优先级或高优先级时,所述MAC地址的状态State一定不是静态配置且可用的状态。
Priority值为0或者为1并不影响MAC地址的数据转发,MAC地址是否可用于数据转发由状态字段是否为Disable来控制。
由于本申请实施例主要针对EVI网络进行MAC地址攻击的抑制,而EVI网络用于承载站点间授权VLAN的二层流量,因此,Priority字段只针对授权VLAN(LAV)有效,而对于其他不是授权VLAN的VLAN,Priority字段值无效。即当任一MAC地址的对应VLAN不是授权VLAN时,设置该MAC地址的优先级Priority字段为无效值NULL。
因此,当边缘设备ED从本地或LSP更新报文学习到MAC地址,且本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项时,如果所述MAC地址对应VLAN不是授权VLAN,则记录所述学习到的MAC地址并将其优先级设为无效值NULL。
EVI-ISIS协议的LSP更新报文用于站点间传递可达前缀信息(即MAC地址表项),现有EVI-ISIS协议的LSP更新报文中一般携带VLAN ID和MAC地址信息,而本申请实施例中,在EVI-ISIS协议的LSP更新报文中添加了优先级Priority信息,所述添加的优先级信息设置在MAC地址表项中。
通过在LSP更新报文中添加优先级信息,当MAC地址的优先级变化时,可以在站点间及时传递这些变化信息,当存在MAC攻击时,可实现对MAC地址的信任或抑制。
当任一ED的本地MAC表中任一MAC地址的优先级信息更改时,所述ED发送LSP更新报文给相连的各个ED;
当任一ED接收到所述LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
但同时需要注意的是:当ED的本地MAC表中任一MAC地址的当前状态为不可用Disable状态时,ED不发送针对该MAC地址的LSP更新报文。
MAC地址表项更新的字段范围包括:VLAN ID、MAC地址、接口、优先级和状态信息。也就是说,除了MAC地址表项中现有需要更新的常用字段之外,还需要更新MAC地址的优先级和状态信息。
步骤302:当边缘设备ED从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当任一ED的本地MAC表中任一MAC地址的优先级信息更改时,所述ED发送LSP更新报文给相连的各个ED;当任一ED接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息。
当以太网虚拟化互联EVI刚刚建立完成时,各ED的MAC地址表中优先级Priority字段的初始值均为0(对应VLAN为授权VLAN),在EVI刚建立完成后,ED通过MAC流量统计设置本地MAC地址表项优先级,或从LSP更新报文学习到MAC地址的优先级信息进行优先级信息的更新。
具体过程如下:
当ED从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级(Priority=0),周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。MAC流量统计时,只统计流量的目的MAC,也就是统计发往该MAC地址的数据包数量,统计单位为Packet(数据包数量)。当任一ED上MAC地址表项优先级信息有变化时,发送携带了优先级信息的LSP更新报文给相连的各个ED,使所述相连的各个ED也进行优先级信息的更新。
所述周期性对MAC地址进行MAC流量统计,根据统计结果设置MAC地址表项优先级,可以通过如下方法实现:
预先在MAC地址表项中增加数据包统计数量Packet statistics字段;
对任一MAC地址进行MAC流量统计时,按照预设的时间周期,周期性地统计目的MAC为该MAC地址的数据包数量,每当所述数据包数量达到第二阈值时,设置该MAC地址的优先级为高优先级,即表示该MAC地址有正常业务流量,否则,设置该MAC地址的优先级为普通优先级。其中,所述第二阈值可以根据站点之间的正常数据交互情况进行设置。
所述按照预设的时间周期统计时,可以设置一个定时器,用于所述时间周期的设定。在定时器设定时间内,统计目的MAC为该MAC地址的数据包数量。
定时器超时后,MAC流量统计从一个新的时间周期开始统计。
为了节约资源,如果在时间周期内统计的MAC流量已经达到了第二阈值,则在所述时间周期内不需要再继续统计,等到下一个时间周期开始后再继续统计。
例如,可以设置时间周期为200ms,第二阈值为5个数据包。在任意一个时间周期200ms内,如果目的MAC为该MAC地址的数据包数量达到5个,则设置该MAC为高优先级(Priority=1),否则,设置该MAC为普通优先级(Priority=0)。如果在某一时间周期的100ms时,统计的数据包数量已达到5个,剩下的100ms就不用再统计了,等到下一个200ms时再进行新的一个时间周期的MAC流量统计。如果在某一时间周期统计完后,发现统计的数据包数量没有达到5个,则设置该MAC为普通优先级(Priority=0),下一个时间周期继续进行统计。
以ED1和ED3为例,ED1的MAC地址表项,在MAC地址表项中增加数据包统计数量Packet statistics字段,当EVI刚刚建立完成时,对应于授权VLAN的各个MAC地址表项的优先级字段Priority初始值均为0,如下表1所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 0 | 0 | Learned |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 0 | 0 | Learned |
| 100 | MAC4 | EVI-Link1 | 0 | 0 | Learned |
表1
类似地,当EVI刚刚建立完成时,ED3的MAC地址表项如下表2所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC4 | Eth1/1 | 0 | 0 | Learned |
| 100 | MAC1 | EVI-Link1 | 0 | 0 | Learned |
| 100 | MAC3 | EVI-Link2 | 0 | 0 | Learned |
表2
参照图4,假设ED1所在站点的主机A与ED3所在站点的主机D之间有流量交互,统计的时间周期为200ms,第二阈值为5个数据包,如果主机A与主机D之间的流量在某一时间周期达到了200ms内至少有5个数据包,采用上述MAC流量统计方法进行MAC流量统计后,得到ED1和ED3的MAC地址表项。其中,ED1的MAC地址表项如下表3所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 1 | 50 | Learned |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 0 | 0 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | 200 | Learned |
表3
ED3的MAC地址表项如下表4所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC4 | Eth1/1 | 1 | 200 | Learned |
| 100 | MAC1 | EVI-Link1 | 1 | 50 | Learned |
| 100 | MAC3 | EVI-Link2 | 0 | 0 | Learned |
表4
然后,ED1、ED3均发送LSP更新报文给ED2,ED2收到LSP更新报文后,对其本地MAC表中MAC1、MAC4的优先级进行更新,当然,ED1、ED3也会接收到ED2的MAC3表项变化的LSP更新报文后,更新各自MAC表中MAC3的优先级信息。
根据MAC流量统计的结果,Priority可以为0也可以为1。上述统计是按时间周期周期性进行的,有可能不同时间周期的统计结果是不同的,因而,Priority值在不同时间周期也可能是不同的。
本申请实施例中,周期性对MAC地址进行MAC流量统计,并根据统计结果设置所述MAC地址的优先级时,均采用上述MAC流量统计方法。
当任一ED的本地MAC表中任一MAC地址的优先级信息更改时,所述ED发送LSP更新报文给相连的各个ED;当任一ED接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息。通过LSP更新报文的更新,同一MAC地址的优先级信息在全网可以保持一致。
当ED从本地或LSP更新报文学习到MAC地址,且本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项时,如果所述学习到的MAC地址对应VLAN不是授权VLAN,则记录所述学习到的MAC地址表项并将其优先级设为无效值NULL。
也就是说,MAC地址表项中新增的优先级字段只对授权VLAN是有效的。
步骤303:当ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当ED的本地MAC表中任一MAC地址的当前状态为不可用状态时,所述ED不发送针对该MAC地址的LSP更新报文。
当ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,发现本地存在相同VLAN ID及MAC地址的MAC地址表项,且所述VLAN为授权VLAN,则这时可能存在两种情况:
第一种情况是发生了正常的主机迁移。可参考图2,比如主机A(MAC1)原来位于站点1,当主机A从站点1迁到站点2时,Switch B除了先前通过LSP报文学习到的来自于SwitchA的主机A的MAC1之外,发生迁移后,从本地也学习到了主机A的MAC地址MAC1。但Switch B却不再通过LSP更新报文从Switch A学习到MAC1地址,因此,Switch B上通过LSP更新报文学习到的MAC1地址表项会在老化后删除,只存在一条站点内学习到的MAC1地址表项,同样,Switch A上也会只存在一条通过LSP更新报文学习到的MAC1地址表项。
第二种情况是发生了MAC地址攻击。同样参考图2,比如主机A(MAC1)位于站点1,并没有进行主机迁移,但是在与站点1相连的站点2上有主机模拟主机A大量发送源MAC为MAC1的报文,这时,Switch B也会从站点内学习到MAC1地址,然后会发送LSP更新报文给SwitchA,Switch A收到LSP更新报文后,对MAC1的MAC地址表项进行更新,但Switch A上还有主机A的正常流量,又会再次从本地学习到MAC1地址,再更新MAC1的MAC地址表项,并发送LSP更新报文给Switch B,如此往复,就形成了MAC地址攻击。
本申请实施例方案致力于解决上述第二种情况所产生的问题,为了更清晰描述本申请实施例方案,下面将参照图4对步骤303结合示例进行说明。
如图4所示,ED1、ED2、ED3分别为3个站点的EVI网络的3个边缘设备,ED1和ED2之间建立EVI Link0链路,ED1和ED3之间建立EVI Link1链路,ED2和ED3之间建立EVI Link2链路。ED1、ED2、ED3都配置了VLAN100的授权VLAN。ED3设备所在站点的主机D与ED1设备所在站点的主机A有正常业务流量。
EVI网络中为了实现不同站点间的数据转发,站点间需要通过EVI-ISIS协议学习异地站点MAC地址,因此,在还没有MAC地址攻击发生时,ED1、ED2、ED3均各自学习彼此的MAC地址,优先级Priority=1,表示有正常的业务流量,为高优先级,Priority=NULL,表示对应VLAN不是授权VLAN。
其中,ED1的MAC地址表项如下表5所示:
| VLAN | MAC | Interface | Priority | State |
| 100 | MAC1 | Eth1/1 | 1 | Learned |
| 200 | MAC2 | Eth1/1 | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | Learned |
表5
ED2的MAC地址表项如下表6所示:
| VLAN | MAC | Interface | Priority | State |
| 100 | MAC3 | Eth1/1 | 1 | Learned |
| 100 | MAC1 | EVI-Link0 | 1 | Learned |
| 100 | MAC4 | EVI-Link2 | 1 | Learned |
表6
ED3的MAC地址表项如下表7所示:
| VLAN | MAC | Interface | Priority | State |
| 100 | MAC4 | Eth1/1 | 1 | Learned |
| 100 | MAC1 | EVI-Link1 | 1 | Learned |
| 100 | MAC3 | EVI-Link2 | 1 | Learned |
表7
如图4所示,如果站点ED2中的主机模拟主机A(MAC1)主机,向ED2大量发送源MAC为MAC1的报文进行MAC地址攻击。
此时,按照步骤303,ED2在从本地学习到了模拟的攻击MAC,即MAC1地址,且ED2本地MAC表中已存在VLAN ID及MAC地址都相同的MAC1地址表项,如表6所示,且VLAN100为授权VLAN,MAC1地址表项的优先级为表示有正常业务流量的高优先级(Priority=1),则更新所述高优先级的MAC1表项状态为不可用Disable状态,表示所述高优先级的MAC1地址目前不可使用,记录ED2从本地学习到的MAC1表项并将其设为普通优先级(Priority=0),其状态字段与设置与现有处理相同,即会被设置成动态学习且可用的状态Learned,新增记录所述MAC1表项后,ED2的本地MAC地址表项如下表8所示:
| VLAN | MAC | Interface | Priority | State |
| 100 | MAC3 | Eth1/1 | 1 | Learned |
| 100 | MAC1 | EVI-Link0 | 1 | Disable |
| 100 | MAC4 | EVI-Link2 | 1 | Learned |
| 100 | MAC1 | Eth2/1 | 0 | Learned |
表8
此时,接口为EVI-Link0的MAC1地址不可用,如果有目的MAC为MAC1的数据流,将会被发送至接口为Eth2/1的MAC1。
从表8可知,ED2的本地MAC地址表项有更新,显然会向ED1以及ED3各发送一条包含有优先级信息的LSP更新报文,通告更新的MAC地址表项信息。
这里需要注意的是,接口为Eth2/1的MAC1是新增的记录,接口为EVI-Link0的MAC1地址表项的状态State发生了变化,虽然接口为Eth2/1的MAC1表项和接口为EVI-Link0的MAC1表项均发生了变化,相当于两条VLAN及MAC地址都相同的MAC地址表项均发生变化,但由于接口为EVI-Link0的MAC1的状态为不可用Disable状态,因此,不针对接口为EVI-Link0的MAC1表项发送LSP更新报文,只针对接口为Eth2/1的MAC1表项发送LSP更新报文。
ED1接收到LSP更新报文后,按照步骤303,从所述LSP更新报文学习到普通优先级的MAC地址时,发现本地MAC表中已存在VLAN ID及MAC地址都相同的MAC1地址表项,接口为Eth1/1,如表5所示,且VLAN100为授权VLAN,MAC1地址表项的优先级为高优先级,因此,更新所述高优先级的MAC1地址表项为不可用Disable状态,记录所述学习到的MAC1地址表项并将其设为普通优先级,状态自然会被设置成动态学习且可用的状态,如表9所示:
| VLAN | MAC | Interface | Priority | State |
| 100 | MAC1 | Eth1/1 | 1 | Disable |
| 200 | MAC2 | Eth1/1 | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | Learned |
表9
ED3接收到LSP更新报文后,也进行类似的MAC地址表项更新,更新后的MAC地址表项如下表10所示:
| VLAN | MAC | Interface | Priority | State |
| 100 | MAC4 | Eth1/1 | 1 | Learned |
| 100 | MAC1 | EVI-Link1 | 1 | Disable |
| 100 | MAC3 | EVI-Link2 | 1 | Learned |
| 100 | MAC1 | EVI-Link2 | 0 | Learned |
表10
当ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述MAC地址的优先级为普通优先级,则删除所述本地为普通优先级的MAC地址表项,记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
即如果学习到相同VLAN ID及MAC地址的MAC地址表项,所述VLAN为授权VLAN,只要本地存在的具有所述相同VLAN ID及MAC地址的MAC地址表项为普通优先级,就将其更新为所述学习到的MAC地址表项,优先级保持不变,状态为动态学习且可用的状态,相当于替换了本地存在的所述MAC地址表项,然后,周期性对其进行MAC流量统计并设置优先级。
因为所述本地存在的MAC地址表项先前经过MAC流量统计后仍设置为普通优先级,说明该MAC地址没有正常的业务流量,因此,当学习到相同VLAN ID及MAC地址的MAC地址表项时,可以直接进行替换。
步骤304:检测是否存在MAC地址攻击,如果存在,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
通过步骤303可知,当ED学习到MAC地址时,发现本地存在相同VLAN ID及MAC地址的MAC地址表项,且所述VLAN为授权VLAN,则这时可能存在两种情况:正常的主机迁移和发生了MAC地址攻击。因此,需要检测是否存在MAC地址攻击,并根据检测结果采取相应的措施。
本申请实施例中,通过统计所述相同的VLAN ID及MAC地址在设定时间内的更新次数来检测是否存在MAC地址攻击。
需要注意的是,在所述检测期间,也就是在所述设定时间内,不会对具有所述相同VLAN ID及MAC地址的MAC地址表项进行MAC流量统计,以保持对步骤303中所述高优先级的MAC地址表项进行锁定,即不更改所述高优先级的MAC地址表项信息,如果发生MAC地址攻击,具有所述相同VLAN ID及MAC地址的普通优先级的MAC地址表项的接口会变化,但优先级不变。在下面的示例中会对此进行说明。
所述检测是否存在MAC地址攻击的方法为:
在设定时间内,统计所述相同的VLAN ID及MAC地址在MAC地址表中的更新次数,当所述更新次数达到第一阈值时,确认存在MAC地址攻击;否则,确认不存在MAC地址攻击。
其中,所述设定时间内,每当ED从本地或LSP更新报文中学习到一次所述相同的VLAN ID及MAC地址时,记为所述相同的VLAN ID及MAC地址在MAC地址表中更新一次。
所述设定时间及第一阈值根据实际发生MAC地址攻击时的MAC地址更新次数情况进行设置。所述设定时间的设置主要目的是对本地存在相同VLAN ID及MAC地址的MAC地址表项的删除操作设置一个延时删除时间,用于监听在所述设定时间内是否还有所述MAC地址的更新,以及该MAC地址的更新次数,以检测是否存在MAC地址攻击。
所述每当ED从本地或LSP更新报文中学习到一次所述相同的VLAN ID及MAC地址之后,删除本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,记录所述学习到的MAC地址表项并将其设为普通优先级。
仍然接续步骤303中的示例,参照图4对MAC地址攻击的检测过程进行举例说明。
如图4所示,当站点ED2中的主机模拟主机A(MAC1),向ED2大量发送源MAC为MAC1的报文进行MAC地址攻击时,ED2从本地学习到了模拟的攻击MAC,即MAC1地址后,其本地MAC表的MAC地址表项如表8所示,本地MAC表中接口为EVI-Link0的MAC1状态为不可用Disable状态,从本地学习到的接口为Eth2/1的MAC1设为普通优先级,状态为动态学习且可用;发送LSP更新报文给相连的ED1和ED3,ED1和ED3收到LSP更新报文后类似更新各自MAC地址表项,更新后的MAC地址表项分别如表9、表10所示;
然后,当ED1在收到真实的主机A发送的源MAC地址为MAC1的报文时,又从本地学习到了MAC1,ED1便会更新本地MAC地址表项,即删除表9中当前为普通优先级的MAC1(对应VLAN为VLAN100)表项,记录所述学习到的接口为Eth1/1的MAC1(对应VLAN为VLAN100)表项,如下表11所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 1 | 100 | Disable |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | 100 | Learned |
| 100 | MAC1 | Eth1/1 | 0 | 0 | Learned |
表11
ED1记录MAC1(对应VLAN为VLAN100)在本地MAC表中更新一次,MAC更新次数MACupdate times记为1,如下表12所示:
| VLAN | MAC | MAC update times |
| 100 | MAC1 | 1 |
表12
然后,ED1又会发送LSP更新报文给ED2和ED3,ED2更新后的MAC地址表项如下表13所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC3 | Eth1/1 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 1 | 100 | Disable |
| 100 | MAC4 | EVI-Link2 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | 0 | Learned |
表13
ED2同样记录MAC1(对应VLAN为VLAN100)在本地MAC表中更新一次,MAC更新次数MAC update times如表12所示。
这里需要说明的是,在所述设定时间内检测是否存在MAC地址攻击时,所述高优先级的MAC地址表项是保持不变的。以ED2的表项更新为例,如表13所示,高优先级(Priority=1)的MAC1(对应VLAN为VLAN100)表项被锁定,在所述设定时间内一直保持不变。
而普通优先级(Priority=0)的MAC1(对应VLAN为VLAN100)表项则会随着MAC1(对应VLAN为VLAN100)在本地MAC表中每更新一次,都会相应进行更新,即VLAN ID、MAC地址、优先级及状态信息均保持不变,只有接口信息会变化。由于所述设定时间内,不会对MAC1(对应VLAN为VLAN100)的MAC地址表项进行MAC流量统计,因此,如表13中对应EVI-Link0接口的这条MAC地址的Priority值在设定时间内一直为0。
ED3的表项更新也与ED1、ED2类似。
接着,ED2又学到了本地模拟MAC1地址的报文,ED2又会更新MAC地址表项,增加更新次数计数。然后发送LSP更新报文给ED1和ED3。而ED1和ED3也会如此往复的一遍遍更新MAC地址表项,并增加更新次数计数,如此往复循环。
上述过程即为发生MAC地址攻击的过程,因此,需要在预先设定时间内,检测是否存在MAC地址攻击。
所述设定时间内,ED1、ED2、ED3各自统计MAC1(对应VLAN为VLAN100)在本地MAC表中的更新次数,当所述更新次数达到第一阈值时,确认在EVI网络中存在MAC地址攻击。
假设所述设定时间为50秒,第一阈值设为30次,以ED2的处理为例,50s内,每当ED2学习到一次MAC1(对应VLAN为VLAN100),记为MAC1(对应VLAN为VLAN100)在本地MAC表中更新一次,当MAC1(对应VLAN为VLAN100)在ED2的本地MAC表中更新次数达到30次时,确认存在MAC地址攻击。ED1和ED3的处理也是类似。
一旦存在MAC地址攻击,由于ED1、ED2和ED3之间彼此通过LSP更新报文进行交互,因此,ED1、ED2和ED3均会检测到存在MAC地址攻击。
当存在MAC地址攻击时,说明原来有正常业务流量的高优先级的MAC地址表项是可以正常使用的,因此,需要恢复所述高优先级的MAC地址表项的正常使用,即更新所述高优先级的MAC地址表项的Disable状态为动态学习且可用Learned的状态,抑制普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项的使用,即更新本地MAC表中当前为普通优先级的具有所述相同VLANID及MAC地址的MAC地址表项状态为不可用Disable状态。
例如,ED2检测到存在MAC地址攻击,假设50s内,MAC1(对应VLAN为VLAN100)在本地MAC表中更新次数达到30次,当所述更新次数达到30次时,普通优先级(Priority=0)的MAC1(对应VLAN为VLAN100)表项的接口可能为EVI-Link0,也可能为Eth2/1,但这里不关心接口是怎样的,只看优先级信息,即更新高优先级的MAC1(对应VLAN为VLAN100)表项状态为Learned,更新普通优先级的MAC1(对应VLAN为VLAN100)表项状态为Disable。假设检测到存在MAC地址攻击时,ED2上存在的MAC地址表项如表13所示,则更新后ED2的MAC地址表项如下表14所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC3 | Eth1/1 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link2 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | 0 | Disable |
表14
ED1和ED3的处理也是类似的。
当所述更新次数未达到第一阈值时,表示不存在MAC地址攻击,发生了正常的主机迁移,这时,需要删除所述Disable状态的MAC地址表项或待所述Disable状态的MAC地址表项老化后进行删除,周期性对所述普通优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
例如,以ED2的处理为例,如表8所示,假设50s内,MAC1(对应VLAN为VLAN100)在本地MAC表中更新次数未达到30次,则删除Disable状态的MAC1(对应VLAN为VLAN100)表项,或待其老化后删除。因为迁移后,ED2将不会再通过LSP更新报文学习到接口为EVI-Link0的MAC1(对应VLAN为VLAN100)表项。然后,周期性对普通优先级的MAC1(对应VLAN为VLAN100)表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。ED1和ED3的处理也是类似。
步骤304中,所述如果存在MAC地址攻击,则更新所述高优先级的MAC地址表项的状态为Learned之后,周期性对所述高优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
所述更新完成后,也就是恢复所述高优先级的MAC地址表项的正常使用后,就需要周期性对所述高优先级的MAC地址表项进行MAC流量统计,以检测MAC地址表项是否还有正常的业务流量,根据检测结果及时更新MAC地址的优先级。
例如,以ED2为例,假设检测到存在MAC地址攻击,ED2进行MAC地址表项更新后,其MAC地址表项如表14所示,则周期性对高优先级(Priority=1)的接口为EVI-Link0的MAC1地址表项进行MAC流量统计,根据统计结果设置MAC1地址表项的优先级。
所述周期性对MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级的方法在之前已有描述,此处不再赘述。
步骤304中,所述如果存在MAC地址攻击,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为Disable状态之后,在预先设定的保护时间内不再学习所述相同的VLAN ID及MAC地址,所述保护时间小于ED的MAC地址老化时间。
这里设置了一个保护时间,用于保护受信任的MAC地址(即高优先级的MAC地址),认为在该保护时间内所述高优先级的MAC地址是真实的、可以信任的,并抑制不被信任的MAC地址(即普通优先级的MAC地址),因此,在所述保护时间内不再学习所述相同的VLAN ID及MAC地址。为避免保护期间MAC地址老化掉,所述保护时间要小于ED的MAC地址老化时间。
例如,仍以ED2为例,假设检测到存在MAC地址攻击,ED2进行MAC地址表项更新后,其MAC地址表项如表14所示,在保护时间比如60秒内,不再学习MAC1(对应VLAN为VLAN100),但为了不影响正常的业务流量,可以转发源MAC为MAC1(对应VLAN为VLAN100)的数据包,所述保护时间小于ED的MAC地址老化时间比如300秒。
ED1和ED3也是同样处理,此时,如图4所示,主机D—>主机A的数据流量又恢复正常。
由上述描述可知,在所述保护时间内,不再学习所述相同的VLAN ID及MAC地址的同时,周期性对所述高优先级的MAC地址(即受信任的MAC地址)表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,可能设置为普通优先级(即没有正常的业务流量),也可能设置为高优先级(即有正常业务流量)。而且,所述保护时间后,可能仍存在MAC地址攻击,又开始学习到攻击的MAC地址。此时,ED对MAC地址表项的处理分为如下两种情形。
第一种情形:所述保护时间之后,
如果根据所述统计结果设置所述高优先级的MAC地址表项为普通优先级,且所述不可用状态的普通优先级的MAC地址表项还未老化,本地MAC表中存在两条普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,则
当ED的其它端口上有所述MAC地址为源MAC地址的数据流时,删除所述本地MAC表中两条普通优先级的MAC地址表项,记录从所述数据流学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
例如,仍以图4中的ED2为例,当存在MAC地址攻击时,ED2更新后的MAC地址表项如表14所示,保护时间内,不再学习MAC1(对应VLAN为VLAN100),同时,周期性对高优先级(Priority=1)的接口为EVI-Link0的MAC1(对应VLAN为VLAN100)进行MAC流量统计,如果某一时间周期内统计后发现所述MAC1没有正常的业务流量,则设置所述MAC1为普通优先级(Priority=0),此时,ED2的本地MAC地址表项如下表15所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC3 | Eth1/1 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | 0 | Learned |
| 100 | MAC4 | EVI-Link2 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | 0 | Disable |
表15
表15中存在两条普通优先级的MAC1(对应VLAN为VLAN100)的MAC地址表项,所述保护时间后,当ED2上有以MAC1(对应VLAN为VLAN100)为源MAC地址的数据流时,则删除表15中的两条普通优先级的MAC1(对应VLAN为VLAN100)的MAC地址表项,记录从所述数据流学习到的MAC地址表项(接口Interface为Eth2/1)并将其初始优先级设为普通优先级,状态自然设为Learned,ED2更新后的MAC地址表项如下表16所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC3 | Eth1/1 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link2 | 1 | 100 | Learned |
| 100 | MAC1 | Eth2/1 | 0 | 0 | Learned |
表16
周期性对所述记录的MAC1地址表项进行MAC流量统计,根据统计结果设置MAC1地址表项的优先级。
第二种情形:所述保护时间之后,
如果根据所述统计结果设置所述高优先级的MAC地址表项为高优先级,且所述普通优先级的Disable状态的MAC地址表项还未老化,本地MAC表中同时存在一条普通优先级的和一条高优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,则当ED学习到所述相同的VLAN ID及MAC地址时,
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口不同,则删除所述普通优先级的Disable状态的MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为普通优先级,状态设为Disable状态,检测是否存在MAC地址攻击,如果存在,则在所述保护时间内不再学习所述相同的VLANID及MAC地址;如果不存在,则删除所述Disable状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后删除;
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口相同,则更新所述高优先级的MAC地址表项的老化时间。
例如,仍以图4中的ED2为例,当存在MAC地址攻击时,ED2更新后的MAC地址表项如表14所示,某一时间内对高优先级(Priority=1)的接口为EVI-Link0的MAC1(对应VLAN为VLAN100)进行MAC流量统计后,发现所述MAC1有正常的业务流量,则设置所述MAC1为高优先级(Priority=1),此时,ED2的本地MAC地址表项如下表17所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC3 | Eth1/1 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 1 | 200 | Learned |
| 100 | MAC4 | EVI-Link2 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | 0 | Disable |
表17
表17中存在一条普通优先级的MAC1地址表项和一条高优先级的MAC1地址表项,所述保护时间后,如果还可以学习到MAC1,比如还存在站点ED2的主机模拟主机A(MAC1),向ED2发送源MAC为MAC1(接口为Eth2/1)的报文进行MAC地址攻击,则学习到的MAC1(对应VLAN为VLAN100)的接口(即Eth2/1)与高优先级的MAC1的接口EVI-Link0不同,此时,删除表17中普通优先级的MAC1表项,记录学习到的MAC1表项,优先级设为普通优先级,状态设为Disable状态。即只要学习到的MAC1接口与所述高优先级的MAC1接口不同,就更新普通优先级的MAC1表项为所述学习到的MAC1表项,优先级和状态信息保持不变。更新后的MAC地址表项如下表18所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC3 | Eth1/1 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 1 | 0 | Learned |
| 100 | MAC4 | EVI-Link2 | 1 | 100 | Learned |
| 100 | MAC1 | Eth2/1 | 0 | 0 | Disable |
表18
当MAC表中同时存在普通优先级和高优先级的具有相同VLAN及MAC地址的MAC地址表项时,就会检测是否存在MAC地址攻击。
由表18可知,表中同时存在一条普通优先级的MAC1地址表项和一条高优先级的MAC1地址表项,检测是否存在MAC地址攻击,即统计MAC1(对应VLAN为VLAN100)在表18中的更新次数,当所述更新次数达到第一阈值时,确认存在MAC地址攻击,在所述保护时间内不再学习MAC1(对应VLAN为VLAN100),即信任Priority为1(高优先级)的MAC记录项,抑制普通优先级的MAC地址攻击,如此循环往复;如果不存在MAC地址攻击,则删除表18中状态为Disable的MAC1表项或待所述MAC1表项老化后删除。
如果所述学习到的MAC地址接口为EVI-Link0,与上述高优先级的MAC地址表项的接口相同,表明是正常的数据流量,则只需更新所述高优先级的MAC地址表项的老化时间即可。
MAC地址的老化对于状态State为Disable和Learned的MAC地址表项记录都适用。
此外,还有一种情形就是:所述保护时间之后,当ED上没有所述MAC地址为源MAC地址的数据流时,等待所述MAC老化后直接删除。
为了节省MAC地址表项,相同VLAN及MAC地址的MAC地址表项在同一台ED设备的本地MAC地址表项中,最多只能存在两条。
本申请实施例方案不仅适用于解决EVI Link的站点间的MAC地址攻击问题,也适合于解决站点内的MAC地址攻击问题,上述示例主要以如何解决站点间的MAC地址攻击为例,下面对采用本申请实施例方案如何解决站点内的MAC地址攻击进行举例说明。
如图5所示,假设ED1所在站点的主机A(MAC1)存在MAC攻击,即在ED1的接口Eth2/1有模拟主机A(MAC1)主机的大量源MAC为MAC1的报文打入。此时,由于ED1原先的MAC地址表项中的MAC1的优先级Priority为1,即为高优先级,如下表19所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 1 | 100 | Learned |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | 100 | Learned |
表19
当ED1从本地学习到MAC1(对应VLAN为VLAN100)时,发现本地MAC表中存在MAC1(对应VLAN为VLAN100)的MAC地址表项,VLAN100为授权VLAN,且本地MAC表中存在的MAC1的优先级为高优先级,则由于原先记录的对应VLAN100的MAC1表项的Priority为1,不对其进行立刻删除,而是更新高优先级(Priority为1)的MAC1表项状态为不可用Disable状态,记录学习到的MAC1地址表项并将其设为普通优先级,更新后的MAC地址表项如下表20所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 1 | 100 | Disable |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | 100 | Learned |
| 100 | MAC1 | Eth2/1 | 0 | 0 | Learned |
表20
然后,由于ED1设备的ETH1/1接口也一直有数据流,因此ED1设备又从ETH1/1接口学到MAC1地址,ED1更新本地MAC表,删除本地MAC表中当前为普通优先级的MAC1(对应VLAN为VLAN100)的MAC地址表项,记录所述学习到的MAC1表项并将其设为普通优先级。更新后的MAC地址表项如下表21所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 1 | 100 | Disable |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | 100 | Learned |
| 100 | MAC1 | Eth1/1 | 0 | 0 | Learned |
表21
记录MAC1(对应VLAN为VLAN100)在本地MAC地址表中更新一次,MAC更新次数MACupdate times如下表22所示:
| VLAN | MAC | MAC update times |
| 100 | MAC1 | 1 |
表22
然后发送MAC1地址更新的LSP更新报文给EVI Link连接的ED2和ED3。但对ED2和ED3而言MAC1的表项信息并没有变化,因此无需更新ED2和ED3本地的MAC1地址表项信息。
每当ED1从本地学习到一次MAC1(对应VLAN为VLAN100),都会删除本地MAC表中当前为普通优先级的MAC1(对应VLAN为VLAN100)的MAC地址表项,记录所述学习到的MAC1表项并将其设为普通优先级,记为MAC1(对应VLAN为VLAN100)在本地MAC地址表中更新一次。
如此循环往复多次,统计MAC1(对应VLAN为VLAN100)于设定时间内(比如为50s)在本地MAC表中的更新次数,当所述更新次数达到第一阈值(比如为30次),即在50s内更新次数达到了30次,确认存在MAC地址攻击。
此时,ED1更新本地MAC表中所述高优先级的MAC1表项状态为动态学习且可用的状态Learned,更新本地MAC表中当前为普通优先级的MAC1(对应VLAN为VLAN100)的MAC地址表项状态为不可用状态Disable。
在预先设定的保护时间内不再继续学习MAC1地址。即,继续使用原先Eth1/1接口学到的高优先级的MAC1地址,抑制了接口Eth2/1的MAC攻击。
然后,ED1周期性对所述高优先级的MAC1地址表项进行MAC流量统计,根据统计结果设置所述MAC1地址表项的优先级。
后续处理与上述站点间的处理相同,这里不再赘述。
下面介绍一下通过配置静态MAC地址以抑制MAC地址攻击的方法。
根据现有实现原理可知,当ED配置了任一静态MAC地址后,ED不会再动态学习该MAC地址。因此,基于这一特性,当需要保护特定的部分MAC地址时,将这些MAC地址配置成静态且可用的状态Static,即ED的本地MAC表中存在一部分为动态学习且可用状态Learned的MAC地址,也存在一部分静态配置且可用状态Static的MAC地址,这样可保护这些特定的静态MAC地址免受MAC地址攻击;或者,当需要使用的MAC地址较少时,可以将MAC地址全部配置成Static的状态,就可以抑制MAC地址攻击。具体实现方式如下:
当ED需要配置静态MAC地址时,在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,ED在本地配置静态MAC地址表项并将其优先级设为最高优先级,当ED配置静态MAC时,判断ED的本地MAC地址表项中是否存在最高优先级(Priority值为2)的所述静态MAC地址表项记录,
如果不存在,则配置成功,并且设置该MAC地址表项的Priority值为2;
如果已存在,则手动配置不成功,并提示已存在该MAC地址表项的记录。
配置成功后,ED会发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED。
当任一ED从LSP更新报文学习到最高优先级的MAC地址时,
如果本地不存在VLAN ID及MAC地址都相同的MAC地址表项,则记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态Static。
如果本地存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址表项不为最高优先级,则删除所述本地MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态;
如果本地存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址表项为最高优先级,则提示已存在所述静态MAC地址表项。
配置了静态MAC地址后,当任一ED的本地MAC表中任一MAC地址的优先级或者状态信息更改时,所述ED发送LSP更新报文给相连的各个ED;当任一ED接收到所述LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级和/或状态信息。
即若接收到的LSP更新报文中的优先级为普通优先级或高优先级时,更新本地对应MAC地址的优先级,并更新所述MAC地址的状态为动态学习且可用的状态;若接收到的LSP更新报文中的优先级为最高优先级时,更新本地对应MAC地址的优先级,并更新所述MAC地址的状态为静态配置且可用的状态。
LSP报文中只需要添加MAC地址的优先级信息,就可以同时对状态信息进行更新了,因为优先级信息就已经指明了MAC地址是什么状态,即优先级=2(最高优先级),一定是静态配置且可用的状态,否则,均为动态学习且可用的状态(不可用Disable状态时不用发送LSP报文)。
以下举例说明:
如图6所示,ED1、ED2、ED3分别为3个站点的边缘设备,它们之间分别建立了EVILink0、EVI Link1、EVI Link2这3条EVI Link链路。在ED1设备上配置MAC5的静态MAC,该MAC的接口为Eth1/1,所属VLAN为VLAN100。配置了MAC5的静态MAC地址后ED1的本地MAC表中MAC5表项如下表23所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC5 | Eth1/1 | 2 | 0 | Static |
表23
然后,ED1发送包含有MAC5地址及其优先级Priority信息的LSP更新报文给ED1连接的EVI Link链路,ED2和ED3会收到所述LSP更新报文。
以ED2为例,当ED2收到所述LSP更新报文后,读取优先级信息,发现优先级为最高优先级,则在本地MAC表中进行查找是否存在相同VLAN ID及MAC地址的MAC地址表项,即是否存在MAC5(对应VLAN为VLAN100)的MAC地址表项,
如果不存在,则直接记录所述学习到的MAC5(对应VLAN为VLAN100)的表项,根据LSP更新报文将MAC5的优先级设为最高优先级,状态设为静态配置且可用的状态Static;
如果存在,但所述本地MAC地址的优先级Priority为0或1,不是最高优先级(Priority=2),则删除所述本地的MAC地址表项,新增所述学习到的MAC5,根据LSP更新报文将MAC5的优先级设为最高优先级,状态设为静态配置且可用的状态,如此,ED2不会再动态学习MAC5(对应VLAN为VLAN100)。
如果存在,且所述本地MAC地址的优先级Priority为2,则提示已存在MAC5地址表项。
这里,当ED设备有Priority值为2(最高优先级)的MAC地址表项时,如果ED设备收到其它ED发送的Priority值不为2的该MAC地址的LSP更新报文,或者如果ED设备的其他接口有该MAC的更新,都不动态学习该MAC地址,从而可以对该MAC地址起到保护的作用,从源头就可以抑制MAC地址攻击。
采用本申请实施例方案抑制MAC地址攻击时,主机迁移仍可以正常进行。当主机迁移的时间较长,超过ED设备的MAC地址老化时间,则迁移过程与现有实现相同;当主机迁移的时间很短,没有超过ED设备的MAC地址老化时间,则迁移的操作流程会有少许变化。
为了描述本申请实施例方案背景下的主机迁移与现有的主机迁移流程之间的关系,下面将通过举例简单说明,采用本申请实施例方案后,如何实现主机迁移。
如图7所示,MAC1地址的主机A从ED1设备所在站点,迁移到ED2设备所在站点。
如果MAC1地址的主机A迁移时间很长,从ED1设备所在站点迁移到ED2设备所在站点的时间超过了ED1设备上的MAC地址老化时间,则此时,ED1设备上MAC1地址已经老化,并且已经发送了MAC1更新的LSP更新报文给ED2和ED3。因此,主机A主机迁移到ED2的处理和新增主机相同,不存在任何地址冲突问题。当ED2从所述LSP更新报文学习到MAC1地址后,向ED1和ED3发送LSP更新报文。
如果MAC1地址的主机迁移时间很短,从ED1设备所在站点迁移到ED2设备所在站点的时间未达到ED1设备上的MAC地址老化时间。则首先ED2设备在本地学习到了MAC1地址,而MAC1在ED2的MAC地址表项中有一条接口Interface为EVI-Link0的记录。此时,在ED2设备上设置MAC地址表项中的原先的MAC1地址状态为Disable状态,增加一条MAC1地址Interface为本地Eth1/1的MAC地址表项记录,在设定时间内检测是否存在MAC地址攻击。然后,发送LSP更新报文给相连的ED1和ED3设备,LSP更新报文只发送本地站点状态State为Learned的MAC地址表项。
ED1收到ED2发送的MAC1表项更新信息的LSP更新报文后,设置MAC地址表项中原先记录的本地MAC1状态为Disable状态,新建一条MAC1的记录,该MAC1信息为所述LSP更新报文中MAC1的信息,在设定时间内检测是否存在MAC地址攻击。
ED3收到ED2发送的MAC1地址更新信息的LSP更新报文后,设置MAC地址表项中原先记录的MAC1地址状态为Disable状态,新建一条MAC1的记录,MAC1的记录信息为所述LSP更新报文中MAC1的信息,在设定时间内检测是否存在MAC地址攻击。
ED1设备在主机迁移后的MAC地址表项如下表24所示:
| VLAN | MAC | Interface | Priority | Packet statistics | State |
| 100 | MAC1 | Eth1/1 | 1 | 100 | Disable |
| 200 | MAC2 | Eth1/1 | NULL | NULL | Learned |
| 100 | MAC3 | EVI-Link0 | 1 | 100 | Learned |
| 100 | MAC4 | EVI-Link1 | 1 | 100 | Learned |
| 100 | MAC1 | EVI-Link0 | 0 | 0 | Learned |
表24
ED1检测是否存在MAC地址攻击时,统计MAC1于设定时间内在表24中的更新次数如下表25所示:
| VLAN | MAC | MAC update times |
| 100 | MAC1 | 0 |
表25
然后,因为没有MAC攻击,在ED1设备上没有再次学习到本地的MAC1地址,ED1、ED2、ED3设备在所述设定时间内都没有发出或者收到MAC1地址更新的LSP更新报文,因此,ED1设备的MAC地址表项中State为Disable状态的MAC1表项记录,因为没有再次收到本地的MAC1地址更新,等到MAC地址老化时间到后,自动老化,并发送LSP更新报文给ED2和ED3。
ED2和ED3设备的State为Disable状态的MAC1表项记录也会等到MAC地址老化时间到后自动老化。如果在收到ED1发送的LSP更新报文之前未老化,则在收到所述LSP更新报文后删除MAC1的表项记录。如果在收到ED1发送的LSP更新报文时,MAC1已经老化,则不需要对MAC1进行操作。
以上为站点间的主机迁移流程,站点内的主机迁移流程也是类似的,这里不再赘述。
本申请实施例的装置功能模块结构示意图如图8所示,一种边缘设备ED,包括:优先级信息添加模块、优先级信息更新模块、MAC攻击前表项处理模块、MAC攻击检测模块和MAC攻击后表项处理模块,其中:
优先级信息添加模块,用于在介质访问控制MAC地址表项中增加优先级字段,在以太网虚拟化互联组网的中间系统到中间系统EVI-ISIS路由协议的链路状态协议数据报文LSP中添加MAC地址的优先级信息;
优先级信息更新模块,用于当本设备从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当本地MAC表中任一MAC地址的优先级信息更改时,发送LSP更新报文给相连的各个ED;当接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
MAC攻击前表项处理模块,用于当本设备从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当本地MAC表中任一MAC地址的当前状态为不可用状态时,不发送针对该MAC地址的LSP更新报文;
MAC攻击检测模块,用于检测是否存在MAC地址攻击;
MAC攻击后表项处理模块,用于如果存在MAC地址攻击,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
所述MAC攻击检测模块检测是否存在MAC地址攻击时,在设定时间内,统计所述相同的VLAN ID及MAC地址在MAC地址表中的更新次数,当所述更新次数达到第一阈值时,确认存在MAC地址攻击;
其中,所述设定时间内,每当ED从本地或LSP更新报文中学习到一次所述相同的VLAN ID及MAC地址时,记为所述相同的VLAN ID及MAC地址在MAC地址表中更新一次;
所述MAC攻击检测模块还用于,在所述每当ED从本地或LSP更新报文中学习到一次所述相同的VLAN ID及MAC地址之后,
删除本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,记录所述学习到的MAC地址表项并将其设为普通优先级。
较佳地,所述MAC攻击检测模块还用于,在检测是否存在MAC地址攻击之后,
如果不存在MAC地址攻击,则删除所述不可用状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后进行删除,周期性对所述普通优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级;
在所述更新所述高优先级的MAC地址表项的状态为动态学习且可用的状态之后,
周期性对所述高优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
较佳地,所述MAC攻击后表项处理模块还用于,在更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态之后,
在预先设定的保护时间内不再学习所述相同的VLAN ID及MAC地址,所述保护时间小于本ED的MAC地址老化时间;
在所述保护时间之后,如果根据所述统计结果设置所述高优先级的MAC地址表项为普通优先级,且所述不可用状态的普通优先级的MAC地址表项还未老化,本地MAC表中存在两条普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,则
当本ED上有所述MAC地址为源MAC地址的数据流时,删除所述本地MAC表中两条普通优先级的MAC地址表项,记录从所述数据流学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级;
如果根据所述统计结果设置所述高优先级的MAC地址表项为高优先级,且所述普通优先级的不可用状态的MAC地址表项还未老化,则当本ED学习到所述相同的VLAN ID及MAC地址时,
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口不同,则删除所述普通优先级的不可用状态的MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为普通优先级,状态设为不可用状态,检测是否存在MAC地址攻击,如果存在,则在所述保护时间内不再学习所述相同的VLAN ID及MAC地址;如果不存在,则删除所述不可用状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后删除;
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口相同,则更新所述高优先级的MAC地址表项的老化时间。
较佳地,所述MAC攻击前表项处理模块还用于,当本ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址之后,
如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述MAC地址的优先级为普通优先级,则删除所述本地为普通优先级的MAC地址表项,记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
所述优先级信息更新模块在周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级时,预先在MAC地址表项中增加数据包统计数量字段;对任一MAC地址表项进行MAC流量统计时,按照预设的时间周期,周期性地统计目的MAC为该MAC地址的数据包数量,每当所述数据包数量达到表示正常流量的第二阈值时,设置该MAC地址表项的优先级为高优先级,否则,设置该MAC地址表项的优先级为普通优先级。
较佳地,所述MAC攻击前表项处理模块还用于,在所述EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,
当本ED从本地或LSP更新报文学习到MAC地址,且本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项时,如果所述学习到的MAC地址对应VLAN不是授权VLAN,则记录所述学习到的MAC地址表项并将其优先级设为无效值NULL。
当ED需要配置静态MAC地址时,所述边缘设备ED进一步包括:
静态MAC处理模块,用于在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,在本地配置静态MAC地址表项并将其优先级设为最高优先级,发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED。
较佳地,所述静态MAC处理模块还用于,在所述发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED之后,当本ED从LSP更新报文学习到最高优先级的MAC地址时,
如果本地存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址表项不为最高优先级,则删除所述本地MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态;
如果本地不存在VLAN ID及MAC地址都相同的MAC地址表项,则记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态。
较佳地,所述优先级信息更新模块还用于,
当本地MAC表中任一MAC地址的优先级或者状态信息更改时,发送LSP更新报文给相连的各个ED;
当本ED接收到LSP更新报文时,若接收到的LSP更新报文中的优先级为普通优先级或高优先级时,更新本地对应MAC地址的状态为动态学习且可用的状态;若接收到的LSP更新报文中的优先级为最高优先级时,更新本地对应MAC地址的状态为静态配置且可用的状态。
本申请通过在MAC地址表项中增加优先级Priority字段,当发生MAC地址攻击时,对于Priority优先级高的MAC地址表项进行MAC信任,优先级低的MAC地址为攻击端,进行抑制,直到MAC地址攻击结束,以解决EVI网络中的站点间和站点内的MAC地址攻击问题,即MAC地址攻击引起的数据流中断,以及因为MAC地址不断更新导致设备CPU处理繁忙。采用本申请方案后,既可以抑制EVI网络中的MAC地址攻击,释放大量的设备资源占用,又可以保证业务流量的正常转发。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (20)
1.一种EVI网络中抑制MAC地址攻击的方法,其特征在于,包括以下步骤:
在介质访问控制MAC地址表项中增加优先级字段,在以太网虚拟化互联组网的中间系统到中间系统EVI-ISIS路由协议的链路状态协议数据报文LSP中添加MAC地址的优先级信息;
当边缘设备ED从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLANID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当任一ED的本地MAC表中任一MAC地址的优先级信息更改时,所述ED发送LSP更新报文给相连的各个ED;当任一ED接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
当ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当ED的本地MAC表中任一MAC地址的当前状态为不可用状态时,所述ED不发送针对该MAC地址的LSP更新报文;
检测是否存在MAC地址攻击,如果存在,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
2.根据权利要求1所述的方法,其特征在于,所述检测是否存在MAC地址攻击的方法为:
在设定时间内,统计所述相同的VLAN ID及MAC地址在MAC地址表中的更新次数,当所述更新次数达到第一阈值时,确认存在MAC地址攻击;
其中,所述设定时间内,每当ED从本地或LSP更新报文中学习到一次所述相同的VLANID及MAC地址时,记为所述相同的VLAN ID及MAC地址在MAC地址表中更新一次;
所述每当ED从本地或LSP更新报文中学习到一次所述相同的VLAN ID及MAC地址之后,还包括:删除本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,记录所述学习到的MAC地址表项并将其设为普通优先级。
3.根据权利要求1所述的方法,其特征在于,所述检测是否存在MAC地址攻击之后,进一步包括:
如果不存在MAC地址攻击,则删除所述不可用状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后进行删除,周期性对所述普通优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级;
所述更新所述高优先级的MAC地址表项的状态为动态学习且可用的状态之后,进一步包括:
周期性对所述高优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
4.根据权利要求3所述的方法,其特征在于,所述更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态之后,进一步包括:
在预先设定的保护时间内不再学习所述相同的VLAN ID及MAC地址,所述保护时间小于ED的MAC地址老化时间;
在所述保护时间之后,进一步包括:
如果根据所述统计结果设置所述高优先级的MAC地址表项为普通优先级,且所述不可用状态的普通优先级的MAC地址表项还未老化,本地MAC表中存在两条普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,则
当ED上有所述MAC地址为源MAC地址的数据流时,删除所述本地MAC表中两条普通优先级的MAC地址表项,记录从所述数据流学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级;
如果根据所述统计结果设置所述高优先级的MAC地址表项为高优先级,且所述普通优先级的不可用状态的MAC地址表项还未老化,则当ED学习到所述相同的VLAN ID及MAC地址时,
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口不同,则删除所述普通优先级的不可用状态的MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为普通优先级,状态设为不可用状态,检测是否存在MAC地址攻击,如果存在,则在所述保护时间内不再学习所述相同的VLAN ID及MAC地址;如果不存在,则删除所述不可用状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后删除;
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口相同,则更新所述高优先级的MAC地址表项的老化时间。
5.根据权利要求1所述的方法,其特征在于,所述当ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址之后,进一步包括:
如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述MAC地址的优先级为普通优先级,则删除所述本地为普通优先级的MAC地址表项,记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
6.根据权利要求1、3、5中任一项所述的方法,其特征在于,所述周期性对MAC地址进行MAC流量统计,根据统计结果设置MAC地址表项优先级的方法为:
预先在MAC地址表项中增加数据包统计数量字段;对任一MAC地址表项进行MAC流量统计时,按照预设的时间周期,周期性地统计目的MAC为该MAC地址的数据包数量,每当所述数据包数量达到表示正常流量的第二阈值时,设置该MAC地址表项的优先级为高优先级,否则,设置该MAC地址表项的优先级为普通优先级。
7.根据权利要求1所述的方法,其特征在于,所述在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,进一步包括:
当ED从本地或LSP更新报文学习到MAC地址,且本地MAC表中不存在VLANID及MAC地址都相同的MAC地址表项时,如果所述学习到的MAC地址对应VLAN不是授权VLAN,则记录所述学习到的MAC地址表项并将其优先级设为无效值NULL。
8.根据权利要求1所述的方法,其特征在于,当ED需要配置静态MAC地址时,所述方法进一步包括:
在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,
ED在本地配置静态MAC地址表项并将其优先级设为最高优先级,发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED。
9.根据权利要求8所述的方法,其特征在于,所述发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED之后,进一步包括:
当任一ED从LSP更新报文学习到最高优先级的MAC地址时,
如果本地存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址表项不为最高优先级,则删除所述本地MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态;
如果本地不存在VLAN ID及MAC地址都相同的MAC地址表项,则记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态。
10.根据权利要求8所述的方法,其特征在于,所述在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,进一步包括:
当任一ED的本地MAC表中任一MAC地址的状态信息更改时,所述ED发送LSP更新报文给相连的各个ED;
当任一ED接收到LSP更新报文时,若接收到的LSP更新报文中的优先级为普通优先级或高优先级,则更新本地对应MAC地址的状态为动态学习且可用的状态;若接收到的LSP更新报文中的优先级为最高优先级,则更新本地对应MAC地址的状态为静态配置且可用的状态。
11.一种边缘设备ED,其特征在于,包括:优先级信息添加模块、优先级信息更新模块、MAC攻击前表项处理模块、MAC攻击检测模块和MAC攻击后表项处理模块,其中:
优先级信息添加模块,用于在介质访问控制MAC地址表项中增加优先级字段,在以太网虚拟化互联组网的中间系统到中间系统EVI-ISIS路由协议的链路状态协议数据报文LSP中添加MAC地址的优先级信息;
优先级信息更新模块,用于当本设备从本地或LSP更新报文学习到MAC地址时,如果本地MAC表中不存在VLAN ID及MAC地址都相同的MAC地址表项,且所述学习到的MAC地址对应VLAN是授权VLAN,则记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级,所述普通优先级表示没有正常业务流量;当本地MAC表中任一MAC地址的优先级信息更改时,发送LSP更新报文给相连的各个ED;当接收到LSP更新报文时,根据所述LSP更新报文中的优先级信息,更新本地MAC地址的优先级信息;
MAC攻击前表项处理模块,用于当本设备从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址时,如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址的优先级为表示有正常业务流量的高优先级,则更新所述高优先级的MAC地址表项状态为抑制MAC地址使用的不可用状态,记录所述学习到的MAC地址表项并将其设为普通优先级;当本地MAC表中任一MAC地址的当前状态为不可用状态时,不发送针对该MAC地址的LSP更新报文;
MAC攻击检测模块,用于检测是否存在MAC地址攻击;
MAC攻击后表项处理模块,用于如果存在MAC地址攻击,则更新所述高优先级的MAC地址表项状态为动态学习且可用的状态,更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态。
12.根据权利要求11所述的边缘设备ED,其特征在于,所述MAC攻击检测模块检测是否存在MAC地址攻击时,在设定时间内,统计所述相同的VLAN ID及MAC地址在MAC地址表中的更新次数,当所述更新次数达到第一阈值时,确认存在MAC地址攻击;
其中,所述设定时间内,每当ED从本地或LSP更新报文中学习到一次所述相同的VLANID及MAC地址时,记为所述相同的VLAN ID及MAC地址在MAC地址表中更新一次;
所述MAC攻击检测模块还用于,在所述每当ED从本地或LSP更新报文中学习到一次所述相同的VLAN ID及MAC地址之后,
删除本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,记录所述学习到的MAC地址表项并将其设为普通优先级。
13.根据权利要求11所述的边缘设备ED,其特征在于,所述MAC攻击检测模块还用于,在检测是否存在MAC地址攻击之后,
如果不存在MAC地址攻击,则删除所述不可用状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后进行删除,周期性对所述普通优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级;
在所述更新所述高优先级的MAC地址表项的状态为动态学习且可用的状态之后,
周期性对所述高优先级的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
14.根据权利要求13所述的边缘设备ED,其特征在于,所述MAC攻击后表项处理模块还用于,在更新本地MAC表中当前为普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项状态为不可用状态之后,
在预先设定的保护时间内不再学习所述相同的VLAN ID及MAC地址,所述保护时间小于本ED的MAC地址老化时间;
在所述保护时间之后,如果根据所述统计结果设置所述高优先级的MAC地址表项为普通优先级,且所述不可用状态的普通优先级的MAC地址表项还未老化,本地MAC表中存在两条普通优先级的具有所述相同VLAN ID及MAC地址的MAC地址表项,则
当本ED上有所述MAC地址为源MAC地址的数据流时,删除所述本地MAC表中两条普通优先级的MAC地址表项,记录从所述数据流学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级;
如果根据所述统计结果设置所述高优先级的MAC地址表项为高优先级,且所述普通优先级的不可用状态的MAC地址表项还未老化,则当本ED学习到所述相同的VLAN ID及MAC地址时,
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口不同,则删除所述普通优先级的不可用状态的MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为普通优先级,状态设为不可用状态,检测是否存在MAC地址攻击,如果存在,则在所述保护时间内不再学习所述相同的VLAN ID及MAC地址;如果不存在,则删除所述不可用状态的MAC地址表项或待所述不可用状态的MAC地址表项老化后删除;
如果所述学习到的MAC地址接口与上述高优先级的MAC地址表项的接口相同,则更新所述高优先级的MAC地址表项的老化时间。
15.根据权利要求11所述的边缘设备ED,其特征在于,所述MAC攻击前表项处理模块还用于,当本ED从本地学习到MAC地址、或从LSP更新报文学习到普通优先级的MAC地址之后,
如果本地MAC表中存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述MAC地址的优先级为普通优先级,则删除所述本地为普通优先级的MAC地址表项,记录所述学习到的MAC地址表项并将其初始优先级设为普通优先级,周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级。
16.根据权利要求11所述的边缘设备ED,其特征在于,所述优先级信息更新模块在周期性对所述记录的MAC地址表项进行MAC流量统计,根据统计结果设置所述MAC地址表项的优先级时,预先在MAC地址表项中增加数据包统计数量字段;对任一MAC地址表项进行MAC流量统计时,按照预设的时间周期,周期性地统计目的MAC为该MAC地址的数据包数量,每当所述数据包数量达到表示正常流量的第二阈值时,设置该MAC地址表项的优先级为高优先级,否则,设置该MAC地址表项的优先级为普通优先级。
17.根据权利要求11所述的边缘设备ED,其特征在于,所述MAC攻击前表项处理模块还用于,在所述EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,
当本ED从本地或LSP更新报文学习到MAC地址,且本地MAC表中不存在VLANID及MAC地址都相同的MAC地址表项时,如果所述学习到的MAC地址对应VLAN不是授权VLAN,则记录所述学习到的MAC地址表项并将其优先级设为无效值NULL。
18.根据权利要求11所述的边缘设备ED,其特征在于,当ED需要配置静态MAC地址时,所述边缘设备ED进一步包括:
静态MAC处理模块,用于在EVI-ISIS协议的LSP报文中添加MAC地址的优先级信息之后,在本地配置静态MAC地址表项并将其优先级设为最高优先级,发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED。
19.根据权利要求18所述的边缘设备ED,其特征在于,所述静态MAC处理模块还用于,在所述发送包含有所述静态MAC地址及其优先级信息的LSP更新报文给相连的各个ED之后,当本ED从LSP更新报文学习到最高优先级的MAC地址时,
如果本地存在VLAN ID及MAC地址都相同的MAC地址表项,所述VLAN为授权VLAN,且所述本地MAC地址表项不为最高优先级,则删除所述本地MAC地址表项,记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态;
如果本地不存在VLAN ID及MAC地址都相同的MAC地址表项,则记录所述学习到的MAC地址表项并将其优先级设为最高优先级,状态设为静态配置且可用的状态。
20.根据权利要求18所述的边缘设备ED,其特征在于,所述优先级信息更新模块还用于,
当本地MAC表中任一MAC地址的优先级或者状态信息更改时,发送LSP更新报文给相连的各个ED;
当本ED接收到LSP更新报文时,若接收到的LSP更新报文中的优先级为普通优先级或高优先级,则更新本地对应MAC地址的状态为动态学习且可用的状态;若接收到的LSP更新报文中的优先级为最高优先级,则更新本地对应MAC地址的状态为静态配置且可用的状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310196585.4A CN104184708B (zh) | 2013-05-22 | 2013-05-22 | Evi网络中抑制mac地址攻击的方法及边缘设备ed |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310196585.4A CN104184708B (zh) | 2013-05-22 | 2013-05-22 | Evi网络中抑制mac地址攻击的方法及边缘设备ed |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104184708A CN104184708A (zh) | 2014-12-03 |
| CN104184708B true CN104184708B (zh) | 2017-07-14 |
Family
ID=51965458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310196585.4A Active CN104184708B (zh) | 2013-05-22 | 2013-05-22 | Evi网络中抑制mac地址攻击的方法及边缘设备ed |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184708B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713145A (zh) * | 2015-07-28 | 2017-05-24 | 中兴通讯股份有限公司 | 一种实现链路状态报文刷新的方法及装置 |
| CN106101162A (zh) * | 2016-08-31 | 2016-11-09 | 成都科来软件有限公司 | 一种跨会话流网络攻击筛选方法 |
| CN109218458B (zh) * | 2017-07-07 | 2022-05-27 | 中兴通讯股份有限公司 | Mac地址的写入方法、设备及计算机可读存储介质 |
| CN107547535B (zh) * | 2017-08-24 | 2021-01-01 | 新华三技术有限公司 | 防攻击的mac地址学习方法、装置和网络设备 |
| CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
| CN111817969B (zh) * | 2020-07-17 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种交换机交换模式调整的方法和设备 |
| CN112637175B (zh) * | 2020-12-17 | 2021-08-20 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
| CN114374637B (zh) * | 2021-12-23 | 2023-12-26 | 新华三技术有限公司合肥分公司 | 一种路由处理方法及装置 |
| CN115297069B (zh) * | 2022-07-29 | 2024-06-07 | 中国电信股份有限公司 | Evpn网络设备及mac地址学习方法、通信系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101510882A (zh) * | 2009-04-01 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种媒体访问控制地址学习方法和装置 |
| CN102123106A (zh) * | 2011-04-21 | 2011-07-13 | 杭州华三通信技术有限公司 | 一种虚拟专用局域网服务网络中mac地址学习方法和装置 |
| CN102801820A (zh) * | 2012-08-10 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种evi网络中mac地址发布方法和装置 |
| WO2012162964A1 (zh) * | 2011-08-25 | 2012-12-06 | 华为技术有限公司 | 学习媒体接入控制地址的方法和装置 |
-
2013
- 2013-05-22 CN CN201310196585.4A patent/CN104184708B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101510882A (zh) * | 2009-04-01 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种媒体访问控制地址学习方法和装置 |
| CN102123106A (zh) * | 2011-04-21 | 2011-07-13 | 杭州华三通信技术有限公司 | 一种虚拟专用局域网服务网络中mac地址学习方法和装置 |
| WO2012162964A1 (zh) * | 2011-08-25 | 2012-12-06 | 华为技术有限公司 | 学习媒体接入控制地址的方法和装置 |
| CN102801820A (zh) * | 2012-08-10 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种evi网络中mac地址发布方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104184708A (zh) | 2014-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104184708B (zh) | Evi网络中抑制mac地址攻击的方法及边缘设备ed | |
| CN109845200B (zh) | 用于检测并防止网络环路的方法、系统、存储介质和装置 | |
| US10924352B2 (en) | Data center network topology discovery | |
| EP3222005B1 (en) | Passive performance measurement for inline service chaining | |
| EP3222012B1 (en) | Method and system for virtualizing flow tables in a software-defined networking (sdn) system | |
| US9401928B2 (en) | Data stream security processing method and apparatus | |
| US9473404B2 (en) | Symmetric flow processing in a software-defined networking (SDN) system | |
| US9485172B2 (en) | Data transmitting device, data transmitting method and non-transitory computer-readable storage medium | |
| US20160050140A1 (en) | Forwarding packet fragments using l4-l7 headers without reassembly in a software-defined networking (sdn) system | |
| CN112470434B (zh) | 管理物理网络以减少多结构虚拟网络中网络依赖的方法和装置 | |
| US20090010171A1 (en) | Scaling BFD sessions for neighbors using physical / sub-interface relationships | |
| CN104104570A (zh) | Irf系统中的聚合处理方法及装置 | |
| US9871761B2 (en) | Methods and apparatus for implementing a fibre channel zone policy | |
| EP3494670B1 (en) | Method and apparatus for updating multiple multiprotocol label switching (mpls) bidirectional forwarding detection (bfd) sessions | |
| WO2012075204A1 (en) | Systems and methods for recovery from network changes | |
| Mamolar et al. | Autonomic protection of multi-tenant 5G mobile networks against UDP flooding DDoS attacks | |
| CN103581025B (zh) | 路由信息处理方法、设备及系统 | |
| EP2422493B1 (en) | Media access control bridging in a mesh network | |
| WO2016095322A1 (zh) | 一种基于vrrp的数据传输方法及装置 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN106341249A (zh) | 冗余端口的切换方法及装置 | |
| EP3183587A1 (en) | Diagnostic routing system and method for a link access group | |
| US20140092725A1 (en) | Method and first network node for managing an ethernet network | |
| US20140112203A1 (en) | Enhanced Fine-Grained Overlay Transport Virtualization Multi-Homing Using per-network Authoritative Edge Device Synchronization | |
| EP3291486B1 (en) | Selective transmission of bidirectional forwarding detection (bfd) messages for verifying multicast connectivity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |