[发明专利]一种宽带接入设备中防止用户地址欺骗的方法和装置

权利要求书

1.一种宽带接入设备中防止用户地址欺骗的方法，包括：

所述宽带接入设备为配置的每一个业务配置一个业务端口作为承载业务的逻辑通道，并配置各业务端口与用户端口的关联关系，不同业务采用各自的业务标识信息区分；

所述宽带接入设备对配置的以动态主机配置协议(DHCP)方式接入的业务，开启IP地址防欺骗功能对收到的报文进行过滤处理；对已配置的非DHCP方式接入的业务的所有报文，都允许通过。

2.如权利要求1所述的方法，其特征在于：

所述宽带接入设备基于业务端口设置初始报文过滤条目，包括配置的业务的业务标识信息和该业务的初始报文类型，所述初始报文类型包括DHCP报文和非DHCP报文；

形成的初始报文过滤条件是：对配置的使用DHCP方式接入的业务，只有DHCP报文才能通过；对配置的使用其他方式接入的业务，所有报文都允许通过。

3.如权利要求2所述的方法，其特征在于：

所述宽带接入设备监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地址和业务标识信息作为过滤条目；

对于用户端口接收到的IP报文，宽带接入设备如判断所述IP报文中的IP地址、MAC地址和业务标识信息匹配到某个过滤条目，进行正常处理，否则按照所述初始报文过滤条件进行过滤。

4.如权利要求1所述的方法，其特征在于：

所述业务标识信息为虚拟局域网(VLAN)、流量优先权控制标准IEEE802.1P的优先级、永久虚电路(PVC)或以太网业务的标识信息。

5.如权利要求1或2或3所述的方法，其特征在于，所述宽带接入设备监听到DHCP结束报文后，删除保存的该DHCP结束报文的IP地址、MAC地址和业务标识信息。

6.一种宽带接入设备中防止用户地址欺骗的装置，其特征在于，所述装置包括：配置管理模块、安全控制模块和底层转发模块；

所述配置管理模块，用于为每一个业务配置一个业务端口，作为承载业务的逻辑通道，并配置各业务端口与用户端口的关联关系，不同业务采用各自的业务标识信息区分；并将所述关联关系发送给安全控制模块；

所述安全控制模块，用于设置基于业务端口的初始报文过滤条目，包括配置的业务的业务标识信息和该业务的初始报文类型，所述初始报文类型包括动态主机配置协议(DHCP)报文和非DHCP报文；并将所述初始报文过滤条目下发到所述底层转发模块；

所述底层转发模块，用于根据所述安全控制模块下发的初始报文过滤条目形成初始报文过滤条件，对配置的以DHCP方式接入的业务，开启IP地址防欺骗功能对收到的报文进行过滤处理；对已配置的非DHCP方式接入的业务的所有报文，都允许通过。

7.如权利要求6所述的装置，其特征在于：

所述底层转发模块形成的所述初始报文过滤条件是：对配置的使用DHCP方式接入的业务，只有DHCP报文才能通过；对配置的使用其他方式接入的业务，所有报文都允许通过。

8.如权利要求7所述的装置，其特征在于，所述装置还包括DHCP监听模块；

所述DHCP监听模块监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地址和业务标识信息作为过滤条目，并通过所述安全控制模块下发到所述底层转发模块；

所述底层转发模块对于用户端口接收到的IP报文，如判断所述IP报文中的IP地址、MAC地址和业务标识信息匹配到某个过滤条目，进行正常处理，否则按照所述初始报文过滤条件进行过滤。

9.如权利要求6所述的装置，其特征在于：

所述配置管理模块配置的业务标识信息为虚拟局域网(VLAN)、流量优先权控制标准IEEE 802.1P的优先级、永久虚电路(PVC)或以太网业务的标识信息。

10.如权利要求6或7或8所述的装置，其特征在于，所述DHCP监听模块监听到DHCP结束报文后，删除保存的该DHCP结束报文的IP地址、MAC地址和业务标识信息。