技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種三層虛擬專用網(wǎng)中的攻擊防范方法及裝置。

背景技術(shù)

虛擬專用網(wǎng)(Virtual?Private?Network，VPN)是一種運營商通過其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò)，即在用戶的角度來看，VPN是用戶的一個專有網(wǎng)絡(luò)。地理上彼此分離的VPN成員站點通過客戶端設(shè)備(Customer?Edge，CE設(shè)備)設(shè)備連接到對應(yīng)的服務(wù)端設(shè)備(Provider?Edge，PE設(shè)備)，通過運營商的的公網(wǎng)組成客戶的VPN網(wǎng)絡(luò)。

實現(xiàn)VPN的方法有很多，從網(wǎng)絡(luò)層次的角度，可以劃分為L2VPN(Layer?2VPN，二層虛擬專用網(wǎng))和L3VPN(Layer3VPN，三層虛擬專用網(wǎng))。在L3VPN中，CE設(shè)備需要與PE設(shè)備進行路由學(xué)習(xí)之后，PE設(shè)備才能通過信令為客戶在分組傳送網(wǎng)絡(luò)(Package?Transport?Network，PTN)中創(chuàng)建承載客戶業(yè)務(wù)的通道LSP(Label?Switching?Path，標(biāo)記交換路徑)，LSP創(chuàng)建之后PE設(shè)備通過PTN承載用戶業(yè)務(wù)并將之傳送到目的設(shè)備。

然而在L3VPN中，為了保證PE設(shè)備的安全性，使其不受或者盡可能少受第三方攻擊的可能，可以通過網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)攻擊行為，但是這種檢測攻擊行為的方法只能通過流量粗略地進行判斷，且無法深入到報文內(nèi)部來識別客戶報文的合法性，精確度不高；也可以通過解析源地址域名的方法來檢查客戶報文的合法性，但是這個檢測方法效率較低，尤其在承載網(wǎng)絡(luò)設(shè)備中，客戶的業(yè)務(wù)流量巨大，此時更需要精確高效的攻擊防范辦法來保證PE設(shè)備的安全性。

發(fā)明內(nèi)容

本發(fā)明的目的在于，提供一種三層虛擬專用網(wǎng)中攻擊防范的方法及裝置，克服當(dāng)前的三層虛擬專用網(wǎng)中攻擊防范方法的效率低以及準(zhǔn)確性不高的問題。

本發(fā)明采用以下技術(shù)方案，一種三層虛擬專用網(wǎng)中攻擊防范的方法，所述方法包括以下步驟：

服務(wù)端設(shè)備將允許接入的客戶端設(shè)備的MAC地址范圍配置到地址表中，并配置協(xié)議類型表；

服務(wù)端設(shè)備接收到客戶端設(shè)備發(fā)送的用于請求IP地址的信息時，檢查到客戶端設(shè)備的MAC地址在所述地址表中時，服務(wù)端設(shè)備分配IP地址給所述客戶端設(shè)備，并記錄所述客戶端設(shè)備的IP地址和MAC地址對應(yīng)關(guān)系到地址表中；

服務(wù)端設(shè)備接收到客戶端設(shè)備發(fā)送的報文時，通過檢查以太網(wǎng)頭MAC地址判斷所述報文的合法性，當(dāng)所述報文為合法報文時，則繼續(xù)檢查數(shù)據(jù)鏈路層協(xié)議號，當(dāng)所述報文為非法報文時，則將所述報文丟棄。

與現(xiàn)有技術(shù)相比較，本發(fā)明的有益效果：服務(wù)端設(shè)備通過配置地址表和協(xié)議類型表以實現(xiàn)客戶端設(shè)備的授權(quán)訪問，并可以通過檢查客戶端設(shè)備發(fā)送報文的內(nèi)容，如客戶端設(shè)備的MAC地址等信息進一步確定報文的合法性，處理效率以及攻擊防范的準(zhǔn)確性大大提高，更好地保證了PE設(shè)備的安全性。

附圖說明

圖1是本發(fā)明實施例提供的三層虛擬專用網(wǎng)中攻擊防范方法的流程圖；

圖2是本發(fā)明實施例應(yīng)用上述三層虛擬專用網(wǎng)中攻擊防范方法的系統(tǒng)架構(gòu)圖；

圖3是本發(fā)明實施例提供的三層虛擬專用網(wǎng)中攻擊防范裝置的結(jié)構(gòu)示意圖；

圖4是本發(fā)明實施例提供的三層虛擬專用網(wǎng)中攻擊防范方法中地址表結(jié)構(gòu)示意圖。

具體實施方式

下面結(jié)合附圖對本發(fā)明提供的三層虛擬專用網(wǎng)中攻擊防范的方法及裝置進行詳細說明。

圖1示出了本發(fā)明實施例提供的三層虛擬專用網(wǎng)中攻擊防范方法的流程。如圖1所示，所述方法包括下述步驟：

步驟S101，PE設(shè)備上電，將允許接入的客戶端設(shè)備的MAC地址范圍配置到地址表中，同時配置協(xié)議類型表。

例如，允許接入的客戶端設(shè)備的MAC地址范圍可以為1:2:3:4:5:6～1:2:3:4:5:7等，其中所述地址表的結(jié)構(gòu)示意參見圖4，包括IP地址、子網(wǎng)前綴、合法MAC地址指針、合法協(xié)議類型指針、及密鑰等。

步驟S102，CE設(shè)備上電，向PE設(shè)備發(fā)送用于申請IP地址的信息。

本發(fā)明實施例中，CE設(shè)備通過DHCP協(xié)議向PE設(shè)備發(fā)送用于申請IP地址的信息。

步驟S103，當(dāng)PE設(shè)備接收到CE設(shè)備的發(fā)送的報文后，通過檢查所述CE設(shè)備的MAC地址確定是否為CE設(shè)備分配IP地址。

本步驟中，PE設(shè)備通過檢查所述CE設(shè)備的MAC地址是否在所述地址表中來確定是否為所述CE設(shè)備分配IP地址，當(dāng)所述MAC地址在所述地址表中時，則執(zhí)行步驟S104，當(dāng)所述MAC地址不在所述地址表中時，則結(jié)束。