网桥防火墙及其在有线网络EOC接入系统中的一种实现.pdfVIP

中国科学院声学研究所第三届青年学术交流会论文集 网桥防火墙及在有线网络EOC接入 系统中的一种实现 朱允斌顾亚平 中国科学院声学所东海研究站信息处理与优化控制研究中心 摘要在有线网络双向改造工程中EOC设备将成为家庭网络接入的主要设备，如何既能保 证用户接入端的网络速度同时又能保证用户接人端的网络安全是一个比较突出的问题。将网 桥防火墙应用于EOC设备是一种比较行之有效的解决方案，本文在论文网桥及网桥防火墙的 基本原理和实现方式的同时，给出了在EOC设备上的实现方案。 关键词EOC(同轴承载以太网)网桥防火墙 o-●■--·- 1．鄹 吾 有线数字电视网络的快速发展迫切要求提高用户接入端的网络速度和网络安 全。以往的用户接入技术如CMTS+Cablemodem和传统防火墙技术带来的一些局 限性如：①工作于路由模式下的防火墙设置比较困难。②如果用户端的网络应用 和结构复杂，则防火墙很难快速恢复。③路由模式的防火墙处于网络层，不利于防 火墙自身的隐蔽等已不能满足有线网络未来的技术要求。 EOC(同轴承载以太网)技术是通过将以太网信号调制在HFC网络上来实现 以太网数据信号的接人，同时在用户终端通过EOC终端将以太网数据信号与电视 RF信号分离还原，实现用户收看电视和高速双向数据业务。并且EOC设备从网络 架构上处于网络的链路层，功能上实现一个网络协议的“桥接器”。同时采用网桥 防火墙技术能更好提高EOC接入端网络的安全性和可靠性，也方便有线运营商投 资成本和运维成本，因此有着极大的实用价值和广泛的市场前景。 本文的研究平台采用基于2．6．x内核的嵌入式Linux系统。文中通过对网桥工作 原理和Ebtables防火墙模块的分析给出一种在有线网络EOC接入系统上的实现。 2．网桥防火墙的工作原理及分析 802．1 网桥的实现标准是ANSI／IEEEd，主要完成基于以太网地址的转发功能。 在网桥中各种网络传输协议的是“透明的”，所以也称透明网桥。网桥主要根据 MAC地址通过查找转发表(CAM表)的方式来转发数据包。网桥采用逆向学习法 (backward 时，它就可以认为目的MAC地址为Y的数据包应该转发到端口X，因此它就可以 将Y一X这个映射添加到CAM表中。CAM表每隔一段时间就更新一次，如果发 468 信号与信息处理 现某转发项对应的MAC很久没有从对应的端口发来数据包时(即超过指定时间)， 则删除该转发项。当一个网络中有多个网桥工作时，为避免转发循环等问题，则采 Tree 用STP(Spanning IEEE 802．1d中，是一种桥到桥的链路管理协议，它在防止产生自循环的基础上提 供路径冗余。该协议规定了网桥创建无环回(100p—free)逻辑拓扑结构的算法，可 以用来生成遍历整个链路层网络结点(同一个广播域)的无环回树。 透明网桥的基本工作流程：①在某个端口收到数据包，都要学习该MAC地址。 ②如果数据包是多播包或广播包，则向除接收端口外的其它所有端口转发该数据 包，同时如果上层协议栈(本机协议栈)对数据包感兴趣，则需要把数据包提交给上 层协议栈；否则转③。③如果在CAM表中可以找到转发项，则根据转发项从转发 端口转发数据包，但是如果转发端口与接收端口是同一端口，则不转发；否则转④。 ④向同一个网段中除接收端口外的所有端口转发数据包。 学习豫MAC 戆渗二 列接受端口 yi的所有端口 3拶 秒一。 否1【 转到接受磺uI 外的所有墙口l南、 网桥处理包遵循着以下几条原则：①在一个接口上接收到的包不会再在那个 接口上发送这个数据包。②每个接收到的数据包都要学习其源MAC地址。③如 果数据包是多播包或广播包