本发明专利技术公开一种端口地址绑定配置方法和系统,方法包括管理单元设置包含用户主机IP地址和MAC地址、以太网用户端口标识的绑定消息,并把绑定消息发送到光线路终端OLT;OLT根据绑定消息生成包含所述IP地址和所述MAC地址、管理实体标识的配置消息,并把配置消息发送至光网络单元ONU或光网络终端ONT,其中,所述管理实体标识与所述以太网用户端口标识对应;ONU或ONT根据收到的配置消息,把所述IP地址和MAC地址写入MAC桥端口绑定表管理实体的管理实体标识符指定的绑定表中。本发明专利技术配置灵活,能够实现对用户权限的完全控制,提高用户网络的安全性。
【技术实现步骤摘要】
本专利技术涉及通信领域的GPON技术,尤其涉及一种GPON系统中端口地址绑定的技术。
技术介绍
吉比特无源光网络(Gigabit-Capable Passive Optical Network,GPON)是一种点到多点的光接入技术,图1显示了GPON接入网络架构图,如图1所示,GPON系统包括光线路终端(Optical Line Terminal,OLT)、由无源分光器件组成的光分布网络(Optical Distribution Network,ODN),以及光网络单元(Optical Network Unit,ONU)或光网络终端(Optical Network Terminal,ONT)。其中,OLT是GPON系统中的局端设备,通常放在运营商的中心局;ONU或ONT是GPON系统的终端设备,ONU一般用于光纤到路边(Fiber To The Curb,FTTC),ONT一般用于光纤到户(Fiber To The Home,FTTH);OLT与ONU或ONT之间通过ODN连接;OLT通过管理控制通道(ONT Management and Control Channel,OMCC)对ONU/ONT进行配置管理。GPON的标准为G.984系列,其中G.984.4具体定义了ONT管理控制接口(ONT Management and Control Interface,OMCI),提供了标准的管理控制协议和相关的管理实体(Managed Entity,ME),OLT通过OMCI对相关ME进行配置,从而实现ONU或ONT的远程配置和管理。ONU或ONT作为GPON接入网的终端设备,需要为用户解决好安全问题。G.984.4定义的MAC桥端口过滤表管理实体可用于以太网用户端口的目的MAC地址过滤,该MAC桥端口过滤表管理实体中定义了数据关系、管理实体标识符、以及MAC过滤表,所述MAC过滤表中的每个过滤条目均包括条目编号、过滤字节(包含过滤/转发、添加/删除等位信息)、以及目的MAC地址,该管理实体通过对MAC桥端口目的MAC地址的过滤对用户接收业务的权限进行了控制。譬如对于组播业务,通过对用户桥端口组播MAC的过滤配置,可以防止非法用户获取组播业务。由于G.984.4中的MAC桥端口过滤表管理实体只针对MAC桥端口的出向业务,而不针对入向业务,因此为了进一步加强对用户权限的控制和增加安全性,现有技术中对G.984.4中的MAC桥端口过滤表管理实体的过滤字节进行了扩展,利用过滤字节中的保留比特位进一步定义了过滤方向,即实现了既可以对MAC桥端口出向数据的目的MAC地址进行过滤,也可以对入向数据的目的MAC地址进行过滤,从而进一步增强了对用户权限的控制,提高了安全性。现有技术中MAC桥端口过滤表管理实体定义从MAC桥端口出入的以太网业务的目的MAC地址过滤,对用户权限进行控制,但由于是对目的MAC地址的过滤,因此无法对用户网络内的主机进行控制,譬如对于用户网络内主机发起的MAC地址洪水攻击,无法防范,极易造成ONU/ONT中MAC地址表溢出导致网络安全问题,对IP地址盗用等安全问题也无法防范,极易造成用户网络内的合法用户的权限被盗用,合法用户的权益蒙受损失。因此,MAC桥端口过滤表管理实体实际上并没有完全控制用户权限,安全性较低。-->
技术实现思路
本专利技术的目的在于提供一种实现端口地址绑定的配置方法和系统,能够更好的解决现有技术中MAC桥端口过滤表管理实体没有完全控制用户网络中的用户权限,安全性较低的问题。根据本专利技术的一个方面,提供的一种实现端口地址绑定的配置方法包括:管理单元设置包含用户主机IP地址和MAC地址、以太网用户端口标识的绑定消息,并把绑定消息发送到光线路终端OLT;OLT根据绑定消息生成包含所述IP地址和所述MAC地址、管理实体标识的配置消息,并把配置消息发送至光网络单元ONU或光网络终端ONT,其中,所述管理实体标识与所述以太网用户端口标识对应;ONU或ONT根据收到的配置消息,把所述IP地址和MAC地址写入MAC桥端口绑定表管理实体的管理实体标识符指定的绑定表中。根据本专利技术的另一个方面,提供的一种实现端口地址绑定的系统包括:管理单元,用于设置包含用户主机IP地址和MAC地址、以太网用户端口标识的绑定消息,并把绑定消息发送到光线路终端OLT;OLT,用于根据绑定消息生成包含所述IP地址和所述MAC地址、管理实体标识的配置消息,并把配置消息发送至光网络单元ONU或光网络终端ONT,其中,所述管理实体标识与所述以太网用户端口标识对应;ONU或ONT,用于根据收到的配置消息,把IP地址和MAC地址写入MAC桥端口绑定表管理实体的管理实体标识符指定的绑定表中。与现有技术相比,本专利技术定义并使用MAC桥端口绑定表管理实体,实现了用户网络中主机的IP地址和MAC地址与以太网用户端口三者的绑定,实现了对用户权限的完全控制,进一步提高用户网络的安全性。附图说明图1是GPON接入网络架构示意图;图2是本专利技术定义的MAC桥端口绑定表管理实体与MAC桥端口配置管理实体、物理通道端点以太网用户网络接口管理实体的关系图;图3是本专利技术实施例提供设置绑定表大小和绑定模式的流程图;图4是本专利技术实施例提供的添加绑定表条目的流程图;图5是本专利技术实施例提供的删除绑定表条目的流程图;图6是本专利技术实施例提供的业务流的处理流程图;图7是本专利技术实施例提供的系统框图。具体实施方式以下结合附图对本专利技术的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本专利技术,并不用于限制本专利技术。图2显示了本专利技术定义的MAC桥端口绑定表管理实体与MAC桥端口配置管理实-->体、物理通道端点以太网用户网络接口管理实体的关系图,如图2所示,ONU或ONT在创建MAC桥端口配置管理实体实例时会自动创建在本专利技术中定义的MAC桥端口绑定表管理实体的实例,MAC桥端口绑定表管理实体通过与MAC桥端口配置管理实体相同的管理实体标识符与MAC桥端口配置管理实体相关联,MAC桥端口配置管理实体通过一个指向物理通道端点以太网用户网络接口管理实体的指针与以太网用户端口相关联,从而实现MAC桥端口绑定表管理实体与以太网用户端口的对应。本专利技术所述MAC桥端口绑定表管理实体及其相关属性是使IP地址、MAC地址与以太网用户端口三者进行绑定的新增加的管理实体,所述MAC桥端口绑定表管理实体各实例均包括管理实体标识符、绑定模式、绑定表大小、绑定表。所述管理实体标识符是MAC桥端口绑定表管理实体各实例的唯一标识,是只读的标识符,该标识符与MAC桥端口配置管理实体中的管理实体标识符相同,表示与MAC桥端口配置管理实体相关联。所述绑定模式是可读可写的端口地址绑定模式,包括设置为“1”的正向绑定和设置为“0”的反向绑定,其中,所述正向绑定表示端口只允许数据帧中的源IP地址和源MAC地址存在于绑定表中的数据帧通过,所述反向绑定表示端口只允许数据帧中的源IP地址和源MAC地址不存在于绑定表中的数据帧通过,此外,还可以设置保留位。所述绑定表大小用于定义绑定表可以存放IP地址和MAC地址的最大条目数,绑定表大小可读可写。所述绑定表用于保存与MAC桥端口相关的用户主机的IP地址和M本文档来自技高网...
【技术保护点】
一种实现端口地址绑定的配置方法,其特征在于,包括:管理单元设置包含用户主机IP地址和MAC地址、以太网用户端口标识的绑定消息,并把绑定消息发送到光线路终端OLT;OLT根据绑定消息生成包含所述IP地址和所述MAC地址、管理实体标识的配置消息,并把配置消息发送至光网络单元ONU或光网络终端ONT,其中,所述管理实体标识与所述以太网用户端口标识对应;ONU或ONT根据收到的配置消息,把所述IP地址和MAC地址写入MAC桥端口绑定表管理实体的管理实体标识符指定的绑定表中。
【技术特征摘要】
1.一种实现端口地址绑定的配置方法,其特征在于,包括:管理单元设置包含用户主机IP地址和MAC地址、以太网用户端口标识的绑定消息,并把绑定消息发送到光线路终端OLT;OLT根据绑定消息生成包含所述IP地址和所述MAC地址、管理实体标识的配置消息,并把配置消息发送至光网络单元ONU或光网络终端ONT,其中,所述管理实体标识与所述以太网用户端口标识对应;ONU或ONT根据收到的配置消息,把所述IP地址和MAC地址写入MAC桥端口绑定表管理实体的管理实体标识符指定的绑定表中。2.根据权利要求1所述的配置方法,其特征在于,所述MAC桥端口绑定表管理实体中通过相同的管理实体标识符与指向以太网用户端口的MAC桥端口配置管理实体对应。3.根据权利要求1或2所述的配置方法,其特征在于,所述配置消息包括通过所述绑定消息得到的用于添加绑定条目的配置消息、用于删除绑定条目的配置消息和用于配置绑定模式和绑定表大小的配置消息。4.根据权利要求3所述的配置方法,其特征在于,配置完成后,若ONU或ONT通过以太网用户端口接收的数据帧的IP地址和MAC地址存在于MAC桥端口绑定表管理实体的绑定表中,则接收所述数据帧的以太网用户端口的绑定模式为正向绑定时转发数据帧,所述绑定模式为反向绑定时丢弃数据帧。5.根据权利要求4所述的配置方法,其特征在于,配置完成后,若ONU或ONT通过以太网用户端口接收的数据帧的IP地址和MAC地址不存在于MAC桥端口绑定表管理实体的绑定表中,则接收所述数据帧的以太网用户端口的...
【专利技术属性】
技术研发人员:支新军,陈琦,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。