[发明专利]实现网关Mac绑定的方法、组件、网关和二层交换机

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种实现网关Mac绑定的方法、组件、网关和二层交换机。

背景技术

随着网络通信的普及和发展，通过网络进行信息的交互、共享已经成为个人、企业乃至大型组织团体日常通信的基本手段。因此，作为基础的网络设备，交换机是否能够实现网络报文的正确转发，直接关系到网络的正常运行，与使用者的工作、生活和娱乐息息相关。

就虚拟局域网(Virtual Local Area Network，简称VLAN)的网络报文转发过程而言，无论是二层交换机还是三层交换机，报文数据包的转发都要根据交换机中的Mac地址表来进行。如图1所示，为一典型的二三层交换组网示意图，其中，交换机(Switch)A是一个三层交换设备，其内部提供进入VLAN 1的逻辑接口“interface vlan 1”(也称为三层虚接口)，是VLAN 1中主机(Host)A、B、C的网关，其IP地址为1.1.1.1，Mac地址为0-0-1；同时，Host A、B和C通过二层交换机Switch B连接。在进行网络报文发送时，Switch A就是Host A、B和C的网关；Host A、B和C首先将发送到网关1.1.1.1的IP报文封装为二层的以太网报文，目的Mac地址为网关Mac地址0-0-1；该报文发送到二层交换机Switch B后，Switch B查询自己的Mac地址表，找到0-0-1这个目的Mac地址对应的出端口是Port 1，继而将报文从Port 1发送出去，完成正确转发。在此过程中，之所以Switch B的Mac地址表中0-0-1对应出端口Port 1，是因为Switch B作为交换机，具有“学习”Mac地址的能力，并能够把“学习”到的Mac地址存放在内部地址表中，具体过程为：当Switch B从端口Port 1接收到了源Mac为0-0-1的二层以太网报文，就能够动态“学习”并建立端口Port 1与该Mac地址的对应关系。但同样的，如果SwitchB再从端口Port4接收到了源Mac是0-0-1的二层以太网报文，由于SwitchB无从识别该报文是否由网关或者与网关相连接的交换机发出，因此会刷新端口与Mac地址的对应关系，将Mac地址0-0-1“学习”到Port4上面。由于从端口Port 4接收到的报文是由Host C而非Switch A发出的，这种端口的刷新将导致Switch B将其它主机想要发送到网关的报文全部从端口Port4转发出去，不能够真正的到达网关Switch A，从而导致网络中断。

在两个网关，包括三层交换机/路由器，直连的时候，也存在这种伪装网关Mac进行网络攻击的情况。

可以看出，网络设备之间的连接，无论是二层交换机和网关的连接，还是网关之间的连接，要保证报文正确的转发，都需要满足以下两个条件：

学习到的网关Mac地址正确；以及

网络设备对应该Mac地址的出端口正确，即网关Mac地址与出端口的绑定关系正确。

针对前一条件的攻击，一般是发送错误的ARP信息，由于目前已经有完善的ARP解决方案，在此不进行讨论；

针对后一条件的攻击，只需要从该网络设备所在VLAN内的另外一个端口发送源Mac地址为0-0-1的报文，那么网络设备就会把网关Mac地址学习到错误的端口上，从而后续的数据包也将被转发到该错误端口，达到攻击的目的。

显然，上述伪装网关Mac进行网络攻击的行为非常容易实施，在实际网络中也经常发生，目前业界一般通过手工静态绑定Mac来解决这个问题，包括：在网络设备(如交换机)的地址表中设置对应关系的属性选项，当一对应关系的属性选项为“Learned”的时候，该对应关系可随时被“学习”的结果刷新；而对于网络管理员手工配置的Mac和端口，其对应关系的属性选项为“Static”，不会被“学习”的结果刷新；相应的，在确定网关的Mac地址和出口端之后，需要手动在每一台网络设备(如交换机)中配置该Mac地址和出口端的对应关系，其属性是Static属性；这样，即使从其他端口接收到源Mac为0-0-1的报文，网络设备(如交换机)在匹配到该对应关系已被静态绑定之后，也不会将网关Mac地址学习到端口Port 4，从而可达到防攻击的目的。

但是这种设置静态Mac的方案存在以下缺陷：

1、为了设置静态Mac，必须先手动获取网关Mac地址，再逐一对网络设备如交换机进行配置比较麻烦；