專利名稱:一種基于arp技術的網絡裝置的制作方法
技術領域:
本發(fā)明涉及數字信息的傳輸領域���,尤其涉及一種基于ARP技術的網絡裝置�。
背景技術:
目前�,在電信和廣電網絡環(huán)境下,越來越多的家庭用戶使用電信網絡的寬帶服務或廣電網絡的多業(yè)務服務�����。比起傳統(tǒng)的電話線撥號網絡服務��,具有帶寬大、安裝方便����、成本低等優(yōu)勢。但由于這種方式的業(yè)務數據傳輸使用的通用以太網傳輸協(xié)議和使用交換機作為終端接入設備��,所以造成了兩點缺陷容易被非法用戶介入和容易產生內網的網絡攻擊�����。非法用戶一般為兩種家庭中超過申請數量的用戶和直接從樓道介入的非法用戶��。內網的網絡攻擊一般為ARP欺詐?�,F有的解決方案一般為使用用戶登錄軟件以及安裝分布式防火墻����,但此方案的缺點是購買和維護軟件的成本較高,且家庭增加用戶時須新增賬號�����,用戶使用不便�����;另外安裝分布式防火墻需購買防火墻設備,成本較高�����。
發(fā)明內容
為解決上述問題��,本發(fā)明提供一種使用方便����,成本低廉的一種基于ARP技術的網
絡裝置����。為達到上述目的,本發(fā)明采用的技術方案是一種基于ARP技術的網絡裝置���,其特征在于�,包括
上行以太網接口��,用于上行的以太網報文的接收與發(fā)送��;
以太網報文處理模塊�,與上行以太網接口連接,用于對以太網報文的轉發(fā)及判斷�,提取 ARP報文��;
ARP代理功能模塊與以太網報文處理模塊連接�����,用于接收ARP報文����,并對ARP報文分類�����、 檢查后轉發(fā)或丟棄����;
交換引擎接口與以太網報文處理模塊連接,用于下行的以太網報文的接收與發(fā)送���。本發(fā)明的第一優(yōu)選方案為����,所述的以太網報文處理模塊包括ARP解析器����、MAC地址限制單元����。本發(fā)明的第二優(yōu)選方案為����,所述的ARP解析器把ARP報文解析為四種���,分別是上行以太網接口進入的ARP請求報文�,直接丟棄��;上行以太網接口進入的ARP應答報文��,對報文做ARP欺詐檢查后轉發(fā)報文�����;交換引擎接口進入的ARP請求報文�����,傳遞給所述的MAC地址限制單元�����;交換引擎接口進入的ARP應答報文,直接丟棄��。本發(fā)明的第三優(yōu)選方案為�,所述的MAC地址限制單元包括MAC地址查詢控制器、 MAC地址數量控制器�����、MAC地址記錄控制器��、MAC地址老化控制器���、MAC地址表�;
MAC地址查詢控制器��,用于比對ARP報文的源MAC地址是否存在于MAC地址表���,是則轉發(fā)�,否則轉入MAC地址數量控制器���;
MAC地址數量控制器檢查MAC地址表中的地址數量是否達上限值���,是則丟棄�����;否則轉發(fā) ARP報文并且將ARP報文的源MAC導入MAC地址記錄控制器�;MAC地址記錄控制器����,用于將導入的源MAC在MAC地址表記錄;
MAC地址老化控制器����,用于將無需進行網絡連接的MAC地址從MAC地址表中清除��。本發(fā)明的技術優(yōu)勢在于采用硬件結構及內置的軟件功能自動防護外部的非法侵入�,安全性高、操作簡便�����、且成本低廉���。下面結合附圖和具體實施方式
對本發(fā)明做進一步說明��。
圖1為本實施例結構圖�����。圖2為本實施例中ARP代理功能模塊結構示意圖����。
具體實施例方式參考圖1,一種基于ARP技術的網絡裝置�,包括上行以太網接口、以太網報文處理模塊�����、ARP代理功能模塊���、交換引擎接口��。在交換機的以太網報文處理模塊上設ARP代理功能模塊�����,此模塊包括ARP處理器�����,這部分的主要功能是將上下行的ARP報文分別進行處理�����; 一部分是MAC地址限制單元��,主要功能是限制連接業(yè)務的MAC地址數量�,還有MAC地址表。 圖1中雙箭頭直線為普通報文���,直線為ARP報文����。三部分共同工作����,對上行的ARP報文做MAC地址數量限制處理����,對下行的ARP報文做攻擊檢查處理,從而同時解決上述兩個問題�����。具體處理是當下行接口(連接終端用戶)接收到ARP請求報文后,傳遞給交換引擎���,交換引擎與交換引擎接口連接���,交換引擎接口接收該ARP請求報文并轉發(fā)給以太網處理模塊,以太網處理模塊轉發(fā)給ARP代理功能模塊�,ARP 代理功能模塊檢查ARP請求報文的源MAC地址是否在ARP代理功能模塊的MAC地址表中,如果在轉發(fā)ARP請求報文���,不在再檢查MAC地址表的數量是否達到設置的上限���;如果未達到, 記錄此MAC地址并轉發(fā)ARP請求報文����,達到上限的話就丟棄報文。此時用戶的MAC地址已在MAC地址表中或MAC地址表還未達到設置的上限值時能順利連接網絡業(yè)務�,如果MAC地址表已達到上限值,交換機將不再對新增用戶的ARP請求報文進行轉發(fā)�����,從而限制超數量的非法用戶使用網絡業(yè)務����。當上行以太網接口接口(連接業(yè)務通路)接收到ARP請求報文后�����,ARP代理功能模塊直接丟棄報文�;如果是ARP應答報文����,則進行IP地址有效性檢查和填充數據段檢查,防止 ARP欺詐����。從而有效的保護終端用戶的網絡安全。參考圖2��,ARP代理功能模塊內部結構主要分為兩部分一部分是ARP解析器����,它把上下行的ARP報文分別做不同規(guī)則的處理和轉發(fā);另一部分是MAC地址限制單元�����,由一個 MAC地址表和四個控制器組成�����,四個控制器分別是MAC地址查詢控制器��、MAC地址數量控制器����、MAC地址記錄控制器和MAC地址老化控制器。各模塊的具體處理邏輯如下
ARP報文解析器將上下行以太網接口接收到的ARP報文進行解析�����,分為四種類型 上行口進入的ARP請求報文直接丟棄���;
上行口進入的ARP應答報文對報文做ARP欺詐檢查后轉發(fā)報文�; 下行口進入的ARP請求報文導入MAC地址查詢控制器����; 下行口進入的ARP應答報文直接丟棄。
MAC地址查詢控制器比對報文的源MAC是否存在于MAC地址表���,然后分類處理 源MAC已在MAC地址表中記錄直接轉發(fā)報文��;
源MAC未在MAC地址表中記錄導入MAC地址數量控制器�。MAC地址數量控制器檢查MAC地址表中的地址數量是否達到CPU設置的上限值, 然后對導入的報文進行分類處理
MAC地址表已滿直接丟棄報文�;
MAC地址表未滿轉發(fā)報文并且將報文的源MAC導入MAC地址記錄控制器。MAC地址記錄控制器將導入的源MAC在MAC地址表中做記錄���。MAC地址老化控制器將長時間未進行網絡連接的MAC地址從MAC地址表中清楚�����。雖然本發(fā)明已經按照上述實施例做出基本描述���,但是基于本發(fā)明的發(fā)明思想的等同變化,依然在本發(fā)明的保護范圍內����。
權利要求
1.一種基于ARP技術的網絡裝置,其特征在于�����,包括上行以太網接口�,用于上行的以太網報文的接收與發(fā)送;以太網報文處理模塊��,與上行以太網接口連接,用于對以太網報文的轉發(fā)及判斷��,提取 ARP報文�;ARP代理功能模塊與以太網報文處理模塊連接�����,用于接收ARP報文����,并對ARP報文分類、 檢查后轉發(fā)或丟棄�����;交換引擎接口與以太網報文處理模塊連接��,用于下行的以太網報文的接收與發(fā)送����。
2.根據權利要求1所述的一種基于ARP技術的網絡裝置,其特征在于所述的以太網報文處理模塊包括ARP解析器��、MAC地址限制單元����。
3.根據權利要求2所述的一種基于ARP技術的網絡裝置����,其特征在于��,所述的ARP解析器把ARP報文解析為四種�����,分別是上行以太網接口進入的ARP請求報文����,直接丟棄;上行以太網接口進入的ARP應答報文�,對報文做ARP欺詐檢查后轉發(fā)報文;交換引擎接口進入的ARP請求報文��,傳遞給所述的MAC地址限制單元���;交換引擎接口進入的ARP應答報文�,直接丟棄�����。
4.根據權利要求2或3所述的一種基于ARP技術的網絡裝置,其特征在于��,所述的MAC 地址限制單元包括MAC地址查詢控制器�����、MAC地址數量控制器��、MAC地址記錄控制器��、MAC地址老化控制器����、MAC地址表����;MAC地址查詢控制器,用于比對ARP報文的源MAC地址是否存在于MAC地址表�����,是則轉發(fā)�,否則轉入MAC地址數量控制器;MAC地址數量控制器檢查MAC地址表中的地址數量是否達上限值��,是則丟棄;否則轉發(fā) ARP報文并且將ARP報文的源MAC導入MAC地址記錄控制器�;MAC地址記錄控制器,用于將導入的源MAC在MAC地址表記錄��;MAC地址老化控制器���,用于將無需進行網絡連接的MAC地址從MAC地址表中清除����。
全文摘要
本發(fā)明包括一種基于ARP技術的網絡裝置��,包括上行以太網接口����、以太網報文處理模塊、ARP代理功能模塊�、交換引擎接口。采用硬件結構及內置的軟件功能自動防護外部的非法侵入�����,安全性高����、操作簡便�����、且成本低廉����。
文檔編號H04L12/56GK102195973SQ201110073670
公開日2011年9月21日 申請日期2011年3月25日 優(yōu)先權日2011年3月25日
發(fā)明者唐旭 申請人:杭州再靈電子科技有限公司