CN101510882A - 一种媒体访问控制地址学习方法和装置 - Google Patents
一种媒体访问控制地址学习方法和装置 Download PDFInfo
- Publication number
- CN101510882A CN101510882A CNA2009100810775A CN200910081077A CN101510882A CN 101510882 A CN101510882 A CN 101510882A CN A2009100810775 A CNA2009100810775 A CN A2009100810775A CN 200910081077 A CN200910081077 A CN 200910081077A CN 101510882 A CN101510882 A CN 101510882A
- Authority
- CN
- China
- Prior art keywords
- port
- message
- fdb
- priority
- low
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种媒体访问控制MAC地址学习方法,包括:为指定网络设备上的端口分配优先级,其中,每个端口的优先级为高或低;在MAC地址学习过程中,如果FDB转发表中的出端口需要切换,则根据端口的优先级,只能从低到高、低到低、高到高进行切换,而不能从高切换到低。本发明还公开了另一种MAC地址学习方法和两种MAC地址学习装置。本发明的技术方案大大提高了网络的安全性。
Description
技术领域
本发明涉及网络通信技术领域,尤指一种媒体访问控制MAC地址学习方法和装置。
背景技术
在现有的二层网络中,在正常的网络应用下,交换机学习各个接入端口上的媒体访问控制(MAC,Media Access Control)地址,形成转发数据库(FDB,Forwarding Date Base)转发表,在之后的报文转发过程中,根据所接收报文的目的MAC地址和报文的虚拟局域网(VLAN,Virtual Local AreaNetwork)标识(ID)查找FDB转发表,找到出端口,并将报文最终转发到该出端口。
图1是现有技术中包含交换机的一个网络组网示意图。在如图1所示的组网中,交换机在上行方向通过自身的端口3与网关连接,在下行方向通过自身的端口1和端口2分别与主机1和主机2连接。其中,主机1的MAC地址为0000 0000 001、主机2的MAC地址为0000 0000 002、网关的MAC地址为0000 0000 003,则交换机经过MAC地址学习后得到的FDB转发表如表1所示:
| 端口 | MAC地址 | VLAN ID |
| 1 | 0000 0000 001 | 10 |
| 2 | 0000 0000 002 | 10 |
| 3 | 0000 0000 003 | 10 |
表1
在表1所示的FDB转发表中还要对应记录报文的VLAN ID,由于本申请的内容不涉及关于VLAN ID的内容,因此为方便起见在之后的描述中均以VLAN 10为例进行说明。
在图1中,交换机根据表1所示的FDB转发表转发所接收的报文。例如,主机1发出源MAC地址为0000 0000 001、目的MAC地址为0000 0000003的报文,该报文到达交换机后,交换机根据报文的VLAN ID和目的MAC地址查找到端口3,将报文从端口3转发出去。
在图1中,对于交换机来说,如果其某个端口的下一跳设备的MAC地址发生变化,则也会根据从该端口收到的报文的源MAC地址更新FDB转发表中的内容。例如当主机1和主机2链接的端口互换后,FDB转发表的内容也会跟着改变。
图2是图1中的主机1和主机2互换链接端口后的组网示意图。则对应于图2的FDB转发表如表2所示:
| 端口 | MAC地址 | VLAN ID |
| 1 | 0000 0000 002 | 10 |
| 2 | 0000 0000 001 | 10 |
| 3 | 0000 0000 003 | 10 |
表2
可见,FDB转发表的内容与MAC地址实际出现的端口位置有关,MAC地址转移到不同端口时,会重新学习MAC地址,FDB转发表的内容也会相应变化。
在正常的无攻击的网络中,上述学习MAC地址的机制完全能够满足实际应用,但是当出现网络攻击或环路时,交换机的FDB转发表会被打乱。
例如,在图1所示的组网下,正常运行状态下,交换机的FDB转发表如表1所示。如果此时主机1向交换机发出攻击报文,该攻击报文的源MAC地址为0000 0000 003,那么FDB转发表的内容会变更为如下的表3所示:
| 端口 | MAC地址 | VLAN ID |
| 1 | 0000 0000 001 | 10 |
| 2 | 0000 0000 002 | 10 |
| 1 | 0000 0000 003 | 10 |
表3
这时如果主机2发出目的MAC地址为0000 0000 003的报文,则该报文会被转发到端口1上去,从而使得主机2不能与网关通信,攻击成功。
图3是图1中的交换机上的端口出现环路后的示意图。如图3所示,当交换机上的端口4和端口5上出现环路时,如果来自网关的报文从端口4发送出去,则又会从端口5返回,或者从端口5发送出去,则又会从端口4返回,根据环路返回的报文进行MAC地址学习,则网关的MAC地址0000 0000003会被学习到端口4或端口5上,此时主机1和主机2就无法正常访问网关了。
综上所述,现有的MAC地址学习机制,在下行端口上出现网络攻击或环路时,上行端口上的网关MAC地址会异常漂移,从而使得访问网关的业务中断,网络安全性不高。
发明内容
本发明提供了一种MAC地址学习方法,该方法能够提高网络的安全性。
本发明还提供了一种MAC地址学习装置,该装置能够提高网络的安全性。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明还公开了一种媒体访问控制MAC地址学习方法,该方法包括:
为指定网络设备上的端口分配优先级,其中,每个端口的优先级为高或低;
当从优先级为低的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则进一步判断FDB转发表中的对应于该源MAC地址的端口的优先级是高还是低,如果是高则不作处理,如果是低则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
本发明还公开了一种媒体访问控制MAC地址学习装置,该装置包括:配置模块和学习模块,其中,
配置模块,用于为指定网络设备上的端口分配优先级,并将每个端口的优先级信息发送给学习模块,其中,每个端口的优先级为高或低;
学习模块,用于在所述指定网络设备从优先级为低的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于转发数据库FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则进一步判断FDB转发表中的对应于该源MAC地址的端口的优先级是高还是低,如果是高则不作处理,如果是低则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
由上述技术方案可见,本发明这种为指定网络设备上的端口分配优先级,其中,每个端口的优先级为高或低;在MAC地址学习过程中,如果FDB转发表中的出端口需要切换,则根据端口的优先级,只能从低到高、低到低、高到高进行切换,而不能从高切换到低的技术方案,解决了低优先级端口上的MAC地址欺骗攻击和环路所导致的MAC地址异常漂移的问题,大大提高了网络的安全性。
附图说明
图1是现有技术中包含交换机的一个网络组网示意图;
图2是图1中的主机1和主机2互换链接端口后的组网示意图;
图3是图1中的交换机上的端口出现环路后的示意图;
图4是本发明实施例一种MAC地址学习方法的流程图;
图5是本发明实施例一种MAC地址学习装置的组成结构框图。
具体实施方式
本发明的核心思想是:为每个端口分配MAC地址学习的优先级,其中,优先级共分为两级,高和低,即每个端口的优先级为高或低;在MAC地址学习过程中,如果FDB转发表中的出端口需要切换,则根据端口的优先级,只能从低到高、低到低、高到高进行切换,而不能从高切换到低。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
图4是本发明实施例一种MAC地址学习方法的流程图。首先为指定网络设备,如交换机上的端口分配优先级,其中,每个端口的优先级为高或低,则该指定网络设备上的MAC地址学习流程如图4所示,包括以下步骤:
步骤401,指定网络设备上的某个端口接收到报文。
步骤402,判断接收报文的端口的优先级,如果接收报文的端口的优先级为高则执行步骤403,如果接收报文的端口的优先级为低则执行步骤406。
步骤403,判断所接收报文的源MAC地址是否已存在于FDB转发表中,是则执行步骤404,否则执行步骤405。
步骤404,用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。结束流程。
步骤405,将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中。结束流程。
步骤406,判断所接收报文的源MAC地址是否已存在于FDB转发表中,是则执行步骤408,否则执行步骤407。
步骤407,将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中。结束流程。
步骤408,判断FDB转发表中的对应于该源MAC地址的端口的优先级是高还是低,如果是高则执行步骤409,如果是低则执行步骤410。
步骤409,不作处理。结束流程。
步骤410,用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。结束流程。
在实际应用当中,在为网络设备的端口分配MAC地址学习优先级时,默认情况下,所有端口的MAC地址学习优先级都为低,然后将连接MAC地址需要被保护的设备的端口的优先级设置为高即可。
例如,在图1所示组网中,默认情况下,端口1、2和3的优先级都为低,由于端口3连接网关,而网关的MAC地址是需要保护的对象,因此将端口3的优先级配置为高。这样在实际配置端口的优先级时,只需要将少数连接被保护对象的端口的优先级配置为高即可,而不需要一一配置所有端口的优先级,大大减少了网管的工作量。
下面仍以图1为例对图4所示的方案进行说明。
在图1中的,预先将交换机上的上行端口3的优先级配置为高,而将下行端口1和2的优先级配置为低。这里,与端口3连接的网关的MAC地址0000 0000 003是被保护的MAC地址。以下分两种情况进行讨论:
1)如果交换机先接收到了来自网关的源MAC地址为0000 0000 003的报文,则该MAC地址0000 0000 003与高优先级的端口3被对应保存到FDB转发表中,此时需要发送至网关的报文,即目的MAC地址为0000 0000 003的报文都会被正常转发。如果此时主机1通过低优先级的端口1向交换机发送攻击报文,该攻击报文的源MAC地址为0000 0000 003,则根据图4所示的方案,由于源0000 0000 003已存在于FDB转发表中,且FDB表中的与0000 0000 003对应的端口3的优先级为高,因此不会学习该攻击报文的MAC地址,攻击失败。
2)如果交换机先从低优先级的端口1接收到主机1发送的攻击报文,该攻击报文的源MAC地址为0000 0000 003,则该MAC地址0000 0000 003与低优先级的端口1被对应保存到FDB转发表中,此时需要发送至网关的报文会被错误地转发至主机1。但是,交换机再从端口3接收到来自网关的源MAC地址为0000 0000 003的报文时,则根据图4所示的方案,由于源0000 0000 003已存在于FDB转发表中,且FDB表中的与0000 0000 003对应的端口1的优先级为低,因此会用高优先级的端口3替换FDB转发表中的对应于0000 0000 003的端口1。这样MAC地址0000 0000 003就从端口1迁移到了端口3,从此到网关的报文会被正确转发。
对于图3中所示的端口4和5会产生环路的情况,只要将端口3的优先级配置为高,而将端口4和5的优先级配置为低,根据图4所示的方案就能够防止网关的MAC地址0000 0000 003异常漂移至端口4或5。
可见,本发明的如图4所示的方案,可以防止MAC地址的异常漂移,从而大大提高了网络的安全性。
图5是本发明实施例一种MAC地址学习装置的组成结构框图。如图5所示,该装置包括:配置模块501和学习模块502。
在图5中,配置模块501,用于为指定网络设备上的端口分配优先级,并将每个端口的优先级信息发送给学习模块502,其中,每个端口的优先级为高或低;学习模块502,用于在所述指定网络设备从优先级为低的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于转发数据库FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则进一步判断FDB转发表中的对应于该源MAC地址的端口的优先级是高还是低,如果是高则不作处理,如果是低则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
在图5中,学习模块502,进一步用于在所述指定网络设备从优先级为高的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
综上所述,本发明这种为指定网络设备上的端口分配优先级,其中,每个端口的优先级为高或低;在MAC地址学习过程中,如果FDB转发表中的出端口需要切换,则根据端口的优先级,只能从低到高、低到低、高到高进行切换,而不能从高切换到低的技术方案,解决了低优先级端口上的MAC地址欺骗攻击和环路所导致的MAC地址异常漂移的问题,大大提高了网络的安全性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1、一种媒体访问控制MAC地址学习方法,其特征在于,该方法包括:
为指定网络设备上的端口分配优先级,其中,每个端口的优先级为高或低;
当从优先级为低的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则进一步判断FDB转发表中的对应于该源MAC地址的端口的优先级是高还是低,如果是高则不作处理,如果是低则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
2、如权利要求1所述的方法,其特征在于,该方法进一步包括:
当从优先级为高的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
3、一种媒体访问控制MAC地址学习装置,其特征在于,该装置包括:配置模块和学习模块,其中,
配置模块,用于为指定网络设备上的端口分配优先级,并将每个端口的优先级信息发送给学习模块,其中,每个端口的优先级为高或低;
学习模块,用于在所述指定网络设备从优先级为低的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于转发数据库FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则进一步判断FDB转发表中的对应于该源MAC地址的端口的优先级是高还是低,如果是高则不作处理,如果是低则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
4、如权利要求3所述的装置,其特征在于,
所述学习模块,进一步用于在所述指定网络设备从优先级为高的端口接收到报文时,判断所接收报文的源MAC地址是否已存在于FDB转发表中,如果不存在,则将该报文的源MAC地址和接收该报文的端口对应保存到FDB转发表中,如果已存在则用接收该报文的端口替换FDB转发表中的对应于该源MAC地址的端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100810775A CN101510882A (zh) | 2009-04-01 | 2009-04-01 | 一种媒体访问控制地址学习方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100810775A CN101510882A (zh) | 2009-04-01 | 2009-04-01 | 一种媒体访问控制地址学习方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101510882A true CN101510882A (zh) | 2009-08-19 |
Family
ID=41003146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009100810775A Pending CN101510882A (zh) | 2009-04-01 | 2009-04-01 | 一种媒体访问控制地址学习方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101510882A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014062A (zh) * | 2010-12-01 | 2011-04-13 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法和装置 |
| CN102195858A (zh) * | 2010-03-18 | 2011-09-21 | 武汉迈威光电技术有限公司 | 一种电信级以太环网的过负载保护技术 |
| CN102209043A (zh) * | 2011-07-22 | 2011-10-05 | 杭州华三通信技术有限公司 | 一种媒质访问控制地址表项更新方法和网络设备 |
| CN101651627B (zh) * | 2009-09-23 | 2013-01-09 | 杭州华三通信技术有限公司 | 一种媒体访问控制mac地址表项学习方法和装置 |
| CN103795633A (zh) * | 2012-10-31 | 2014-05-14 | 中兴通讯股份有限公司 | 一种二层转发方法及转发设备 |
| WO2014094229A1 (en) * | 2012-12-18 | 2014-06-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for managing media access control addresses |
| CN104184708A (zh) * | 2013-05-22 | 2014-12-03 | 杭州华三通信技术有限公司 | Evi网络中抑制mac地址攻击的方法及边缘设备ed |
| WO2015154548A1 (zh) * | 2014-09-11 | 2015-10-15 | 中兴通讯股份有限公司 | 端口处理方法及装置 |
| CN105830400A (zh) * | 2014-11-04 | 2016-08-03 | 华为技术有限公司 | 控制mac地址漂移的方法、装置和系统 |
| CN112003783A (zh) * | 2020-08-21 | 2020-11-27 | 烽火通信科技股份有限公司 | 一种以太网二层防环的方法及装置 |
-
2009
- 2009-04-01 CN CNA2009100810775A patent/CN101510882A/zh active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651627B (zh) * | 2009-09-23 | 2013-01-09 | 杭州华三通信技术有限公司 | 一种媒体访问控制mac地址表项学习方法和装置 |
| CN102195858A (zh) * | 2010-03-18 | 2011-09-21 | 武汉迈威光电技术有限公司 | 一种电信级以太环网的过负载保护技术 |
| CN102014062B (zh) * | 2010-12-01 | 2015-08-12 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法和装置 |
| CN102014062A (zh) * | 2010-12-01 | 2011-04-13 | 中兴通讯股份有限公司 | Mac地址漂移的控制方法和装置 |
| CN102209043A (zh) * | 2011-07-22 | 2011-10-05 | 杭州华三通信技术有限公司 | 一种媒质访问控制地址表项更新方法和网络设备 |
| CN102209043B (zh) * | 2011-07-22 | 2015-09-30 | 杭州华三通信技术有限公司 | 一种媒质访问控制地址表项更新方法和网络设备 |
| CN103795633A (zh) * | 2012-10-31 | 2014-05-14 | 中兴通讯股份有限公司 | 一种二层转发方法及转发设备 |
| CN103795633B (zh) * | 2012-10-31 | 2017-05-31 | 中兴通讯股份有限公司 | 一种二层转发方法及转发设备 |
| WO2014094229A1 (en) * | 2012-12-18 | 2014-06-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for managing media access control addresses |
| US9942163B2 (en) | 2012-12-18 | 2018-04-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for managing media access control addresses |
| CN104184708A (zh) * | 2013-05-22 | 2014-12-03 | 杭州华三通信技术有限公司 | Evi网络中抑制mac地址攻击的方法及边缘设备ed |
| CN104184708B (zh) * | 2013-05-22 | 2017-07-14 | 新华三技术有限公司 | Evi网络中抑制mac地址攻击的方法及边缘设备ed |
| WO2015154548A1 (zh) * | 2014-09-11 | 2015-10-15 | 中兴通讯股份有限公司 | 端口处理方法及装置 |
| CN105472055A (zh) * | 2014-09-11 | 2016-04-06 | 中兴通讯股份有限公司 | 端口处理方法及装置 |
| CN105472055B (zh) * | 2014-09-11 | 2018-12-28 | 中兴通讯股份有限公司 | 端口处理方法及装置 |
| CN105830400A (zh) * | 2014-11-04 | 2016-08-03 | 华为技术有限公司 | 控制mac地址漂移的方法、装置和系统 |
| CN112003783A (zh) * | 2020-08-21 | 2020-11-27 | 烽火通信科技股份有限公司 | 一种以太网二层防环的方法及装置 |
| CN112003783B (zh) * | 2020-08-21 | 2022-07-22 | 烽火通信科技股份有限公司 | 一种以太网二层防环的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101510882A (zh) | 一种媒体访问控制地址学习方法和装置 | |
| CN102724118B (zh) | 标签分发方法及设备 | |
| CN101257490B (zh) | 一种防火墙旁路模式下的报文处理方法和系统 | |
| CN101146045B (zh) | 无线局域网及其接入方法、接入装置 | |
| CN104735001B (zh) | 软件定义网络中的链路发现方法、装置及系统 | |
| CN101588303B (zh) | 一种链路状态通告信息交互方法和ospf设备 | |
| CN100568853C (zh) | 二层转发方法及转发设备 | |
| CN103944828A (zh) | 一种协议报文的传输方法和设备 | |
| US20130301404A1 (en) | Communication system, communication method, and communication apparatus | |
| CN102420762B (zh) | 报文转发方法、系统、网络设备和防火墙线卡 | |
| US20060209871A1 (en) | Method of switching packets in a transmission medium comprising multiple stations which are connected using different links | |
| CN104202313A (zh) | 数据转发方法及网关 | |
| CN1937782A (zh) | 一种机框设备及其报文发送方法 | |
| CN100544322C (zh) | 转发报文和建立媒质接入控制地址表项的方法及交换机 | |
| CN101005644A (zh) | 在3g移动通信网络基站与网络管理站点之间发送控制数据业务的方法与系统 | |
| CN100496023C (zh) | 一种传输链路状态信息的方法 | |
| CN102104533B (zh) | Rrpp单环网络数据发送路径优化方法及环网节点 | |
| CN102404143B (zh) | 基于lacp的端口故障处理方法和lacp终端 | |
| CN101631087B (zh) | 通信网络中实现站点间数据互通的方法 | |
| CN102238040B (zh) | 一种对ce进行监控的方法和路由设备 | |
| EP2472796A1 (en) | Method and system for blocking protocol messages at a sub-ring control channel without virtual channel | |
| CN103354567A (zh) | 一种同步媒体访问控制地址的方法和设备 | |
| CN102857401A (zh) | 一种进行激活vlan协商的方法和边缘设备 | |
| CN108337162B (zh) | 一种支持双归属保护的系统及方法 | |
| US9992767B2 (en) | Data transmission method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20090819 |