[发明专利]媒体访问控制MAC地址保护方法和交换机

说明书

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种媒体访问控制MAC地址保护方法和交换机。

背景技术

在城域和企业网的组网方案中，越来越多使用二层环网技术。在二层环网中，交换机转发报文的流程为：首先根据报文的目的媒体访问控制(Media Access Control；简称：MAC)地址查找MAC表项，通过MAC表项获取报文的出接口，然后将报文从该出接口发送出去。其中，交换机的MAC表项是根据接收的数据流进行学习的，例如：交换机从某个接口收到某一数据报文时，可以根据该报文的源MAC地址进行MAC表项的学习，其中，MAC表项中包括该报文的源MAC地址和出接口，出接口为该交换机收到该报文的接口。如果交换机的MAC地址被攻击，MAC表项中的出接口学习到错误的接口上，可能导致目的地址为该MAC地址的报文转发到错误的接口上。如图1a所示，为现有二层环网中仿冒MAC地址攻击的示意图，如果用户设备A仿冒路由器的MAC地址进行攻击，则用户设备A构造源MAC地址为路由器R的MAC地址的报文，并将该报文发送到二层环网中，通过MAC地址学习，该二层环网中每个交换机的MAC表项中的与路由器R的MAC地址对应的出接口被修改为到用户设备A的接口，其他用户发送的目的地址为路由器R的报文将被转发到用户设备A上，导致到路由器R的网络中断，其他用户的信息被非法获取。同理，如果用户设备A仿冒用户设备B的MAC地址构造报文进行攻击，则从路由器R发送到用户设备B的报文，将被转发到用户设备A，导致用户设备B到路由器R的网络中断，用户设备B的信息被用户设备A窃取。其中，D为环网阻断点。

为防止用户攻击MAC地址，可以在二层环网上的所有的交换机上将路由器和环网下所有用户的MAC地址配置为静态MAC地址。由于交换机不需要学习静态MAC地址，因此可以保证该MAC地址不被攻击。但是采用静态配置的方法，二层环网上的每个交换机均需要将路由器和其他交换机下挂的用户的MAC地址配置为静态MAC地址，配置过程复杂。为了降低静态配置的复杂程度，可以在交换机的环网接口上启动接口安全特性，由交换机将学习到的MAC地址自动转换为静态MAC地址，防止MAC地址被攻击，这种方法可以避免复杂的静态MAC地址配置过程。但是，无论是进行静态配置，还是采用环网接口安全学习到MAC地址转换为静态MAC地址，在二层环网的环网拓扑变化时，都存在流量中断的问题。如图1b所示，为采用静态配置保护路由器的MAC地址的网络示意图，在初始情况下，二层环网的所有链路正常，所有的交换机均将路由器R的MAC地址配置为静态MAC地址，其中，D为环网阻断点，各交换机上配置的路由器R的MAC地址对应的出接口如下：

交换机_2：与交换机_1相连的接口；

交换机_3：与交换机_1相连的接口；

交换机_4：与交换机_2相连的接口；

交换机_5：与交换机_3相连的接口。

如果二层环网的环网拓扑发生变化，如图1c所示，为采用静态配置保护路由器的MAC地址的故障的网络示意图：交换机_1和交换机_2之间的链路出现故障，环网放开交换机_4和交换机_5之间的链路，即取消交换机_4和交换机_5之间的环网阻断点，可以在交换机_1和交换机_2之间设置环网阻断点D。但是交换机_4上路由器R的MAC地址对应的出接口仍是与交换机_2相连的接口，导致用户设备A发往路由器R的报文仍然由交换机_4转发到交换机_2，但由于交换机_2与交换机_1之间的链路故障，交换机_2无法通过交换机_1将报文转发到路由器R，导致用户设备A到路由器R的流量中断。

综上所述，在二层环网的网络拓扑变化时，现有的防止攻击MAC地址的方案，容易引起网络流量的中断。

发明内容

本发明实施例提供一种媒体访问控制MAC地址保护方法和交换机，用以解决在二层环网的网拓扑变化时，现有的防止攻击MAC地址的方案，容易引起网络流量中断的缺陷，实现在MAC地址的同时，即使二层环网的网络拓扑变化，也能保证用户报文的正确转发。

本发明实施例提供一种媒体访问控制MAC地址保护方法，包括：

二层环网上的交换机获取所述二层环网的网络拓扑信息，所述二层环网的网络拓扑信息包括被保护设备的保护MAC地址、所述保护MAC地址对应的交换机的标识以及所述二层环网上的各个交换机的标识，所述保护MAC地址为所述被保护设备的MAC地址；