CN101795223A - 组播安全控制方法、***及传输节点 - Google Patents
组播安全控制方法、***及传输节点 Download PDFInfo
- Publication number
- CN101795223A CN101795223A CN200910249695A CN200910249695A CN101795223A CN 101795223 A CN101795223 A CN 101795223A CN 200910249695 A CN200910249695 A CN 200910249695A CN 200910249695 A CN200910249695 A CN 200910249695A CN 101795223 A CN101795223 A CN 101795223A
- Authority
- CN
- China
- Prior art keywords
- upstream port
- multicast
- data message
- list item
- transmission node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种组播安全控制方法、***及传输节点,该方法包括:传输节点从上游端口接收组播流数据报文;根据所述数据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的包含所述组播地址信息和上游端口信息的相匹配的上游端口表项;若存在,则根据所述数据报文所属组播组的数据转发表转发所述数据报文;若不存在,则判断所述上游端口是否是预先配置的合法上游端口,若是,则根据所述组播地址信息和上游端口信息创建新的上游端口表项,并根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文;若否,则丢弃所述数据报文。有效的保证了组播流的上游节点安全,避免了非法组播源对传输节点的攻击。
Description
技术领域
本发明涉及通信技术领域,尤指一种用于局域网中组播数据流转发的组播安全控制方法、***及传输节点。
背景技术
在因特网上,诸如视频会议和网络电视等单点发送多点接收的多媒体业务正在成为信息传送的重要组成部分。组播就是为了有效地解决单点发送多点接收的问题。当发送者向一组接收者发送数据时,只需将数据用一个预约的组地址发送,只有加入该组播组的接收者才可以收到组播数据,网络上的其它用户则不会收到该组播数据。这样发送者只需一次数据发送,就可以发送到所有接收者,大大减轻了网络的负载和发送者的负担。
基于RFC 1112的IP组播模型,组播流的发送者(组播源)发送以组播组地址为目的地址的组播流,组播流接收者必须加入组播组后才能接收该组播流。组播的发送和接收相互独立,没有必然的逻辑联系,各自独立进行,这种松散的结构存在以下安全性问题:
任意组播源可随意发送组播流,可能造成非法组播流的扩散,浪费传输节点(交换机或者路由器)CPU的处理能力,同时占用了大量的网络带宽。且由于传输节点的数据转发表项数量有限,而处理每一条组播流通常需要创建与之对应的数据转发表项,如果非法的组播流占用了大量转发表项资源,还将形成拒绝服务式攻击,使合法的组播服务陷于瘫痪。
IGMP Snooping是一种在局域网内控制组播数据转发的技术。在启用了IGMP Snooping的传输节点上,当传输节点的某个端口接收到某个组播组G的加入消息时,就将该端口视为该组播组G的成员端口,并生成数据转发表。当收到组播流数据报文时,传输节点只会将数据报文发送给组播组G的成员端口。
例如:传输节点上生成了一个如下表1所示数据转发表,则当传输节点接收到组播组地址为G1的组播流数据报文时,会根据数据转发表将数据报文转发到下游端口P1、P2和P5;当传输节点接收到组播组地址为G2的组播流数据报文时,会根据数据转发表将数据报文转发到下游端口P2和P3。
表1
| 组播组地址 | 下游端口列表 |
| G1 | P1、P2、P5 |
| G2 | P2、P3 |
通过创建数据转发表,IGMP Snooping可以实现对局域网内组播数据报文的接收者进行一定程度的管理,但仍然无法对组播源和上游端口进行有效的管理和安全控制。
现有技术中,也有一些解决上游端口安全的方案,例如:申请号为200410070693,名称为《一种安全组播管理***及方法》的专利申请,公开了一种安全组播管理方法,通过对组播数据进行签名和加密的方式来保证组播数据的安全性,只有通过安全认证的组播数据才能被顺利接收,从而实现了对组播通信过程的实时监测和安全管理。但该方式组播源和所有组播组成员都需要参与,管理较复杂。且组播的传输数据量一般都比较大,传输速率较高。如果大量的数据需要发送前需加密,接收时解密,对整个***而言,数据的加密和解密都将消耗不少资源,同时影响了发送的速度和效率。
另外,现有技术中还通过在局域网内的传输节点上为每条组播流手工配置静态规则,以实现对上游端口的管理和安全控制。但是,随着局域网规模的扩大,传输节点数量的增加,以及组播流的数量越来越多,这些规则的数量将越来越多,配置工作越来越繁琐,后期维护也将相当困难。
可见现有技术中的方案均不能很好的解决组播数据流上游端口的安全问题,不能有效地避免非法组播源对网络中传输节点的攻击。
发明内容
本发明实施例提供一种组播安全控制方法、***及传输节点,用以解决现有技术中存在的组播数据流的上游节点安全问题、防止非法组播源对网络中传输节点的攻击。
一种组播安全控制方法,包括:
传输节点从上游端口接收组播流数据报文;
根据所述数据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的相匹配的上游端口表项;
若存在,则根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文;
若不存在,则判断所述上游端口是否是预先配置的合法上游端口,若是,则根据所述数据报文所属组播组的数据转发表转发所述数据报文;若否,则丢弃所述数据报文。
一种实现组播安全控制的传输节点,包括:接收模块、查找模块、判断模块和转发模块;
所述接收模块,用于从上游端口接收组播流数据报文;
所述查找模块,用于根据所述数据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的相匹配的上游端口表项;若不存在,通知所述判断模块;若存在,通知所述转发模块;
所述判断模块,用于判断所述上游端口是否是预先配置的合法上游端口,若是,通知转发模块;若否,丢弃所述数据报文;
所述转发模块,用于根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文。
一种组播安全控制***,包括:组播源、若干上述传输节点和接收端;
所述组播源,用于提供组播流数据报文给所述传输节点;
所述接收端,用于接收所述传输节点转发的所述组播流数据报文。
本发明实施例提供的组播安全控制方法、***及传输节点,通过在传输节点中建立上游端口表项,可以根据预先设置的合法上游端口和/或动态学习到的合法上游端口生成上游端口表项,采用上游端口表项实现只对与上游端口表项中包含的组播地址信息和上游端口信息相匹配的数据报文进行转发,从而对组播流数据报文上游端口的安全进行控制,有效的保证了组播流的上游节点安全,避免了非法组播源对传输节点的攻击,提高了网络的安全性。
附图说明
图1为本发明实施例中组播安全控制***的结构示意图;
图2为本发明实施例中组播安全控制方法的流程图;
图3为本发明实施例中图1中组播安全控制***的建立转发路径示例图;
图4为本发明实施例中组播安全控制装置的结构示意图。
具体实施方式
本发明实施例提供的组播安全控制***,可以包括:组播源、传输节点和接收端。其中,组播源用于提供组播流数据报文,发送给与自身连接的传输节点。传输节点用于传输接收到的组播流数据报文到下游节点或接收端。接收端则用于接收传输节点发送的组播流数据报文。
如图1所示,即为组播安全控制***的一个结构示例。图1中所示的组播源包括:合法组播源S1、非法组播源S2和S3等;传输节点包括:传输节点A、B、C、D、E等;以及接收端包括:接收端R1和R2等。
组播源,用于提供组播流数据报文给传输节点。
传输节点,用于从上游端口接收组播源或上游传输节点发送的组播流数据报文;根据数组播流据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的包含组播地址信息和上游端口信息的相匹配的上游端口表项;若存在,则根据组播流数据报文所属组播组的数据转发表转发数据报文至下游节点或接收端;若不存在,则判断上游端口是否是预先配置的合法上游端口,若是,则根据接收到的组播流数据报文所属组播组的数据转发表转发组播流数据报文至下游传输节点或接收端;若否,则丢弃接收到的组播流数据报文。
接收端,用于接收传输节点转发的组播流数据报文。
较佳的,上述传输节点,还用于:当判断出接收组播流数据报文的上游端口是预先配置的合法上游端口时,根据组播地址信息和上游端口信息创建新的上游端口表项;并构建上游端口安装消息并根据接收到的组播流数据报文所属组播组的转发路径的数据转发表发送给转发路径上的其他传输节点,指示其他传输节点创建上游端口表项;以及根据接收到的其他传输节点发送的上游端口安装消息,创建包含组播地址信息和上游端口信息的上游端口表项。
较佳的,上述传输节点,还用于:当查找到相匹配的上游端口表项时,更新查找到的上游端口表项的剩余有效时间;以及当剩余有效时间为零时,删除对应的上游端口表项。
根据合法组播源的连接端口,为与合法组播源连接的传输节点预先配置合法上游端口。其中与合法组播源连接的端口可以直接连接和通过其他网络实体与合法组播源连接。
基于上述组播安全控制***,在每个传输节点中实现组播安全控制方法,其流程图如图2所示,执行步骤如下:
步骤S11:从上游端口接收组播流数据报文。
传输节点可以从上游端口接收组播源和上游传输节点发送的组播流数据报文。
步骤S12:提取接收到的数据报文中包含的组播地址信息和上游端口信息。
其中,组播地址信息包括:组播源地址和组播组地址;上游端口信息为上游端口号。
从接收到的数据报文中提取出组播源地址S和组播组地址G,以及接收端口号P。组播源地址S和组播组地址G一般是指IP首部中的组播源IP地址和组播组IP地址。
步骤S13:查找是否存在预先建立的相匹配的上游端口表项。
每个传输节点上维护各自的上游端口表项,该上游端口表项一般包括:组播地址信息和对应的上游端口信息。其中,组播地址信息包括组播源地址、组播组地址。对应的上游端口信息一般为该组播流的上游端口号,即该组播流合法的上游接收端口。
传输节点接收到组播流数据报文后,会查找自身存储的预先建立的上游端口表项,当查找到的上游端口表项中包含的组播地址信息和上游端口信息与接收到的数据报文的组播地址信息和上游端口信息相匹配时,确定存在与接收到的组播流数据报文相匹配的上游端口表项,即匹配成功;否则,确定不存在与接收到的组播流数据报文相匹配的上游端口表项,即匹配失败。
其中,组播地址信息和上游端口信息相匹配,具体为:上游端口表项中包含组播源地址、组播组地址和对应的上游端口信息,与接收到的组播流数据报文的组播源地址、组播组地址和上游端口信息分别相同。
若未查找到相匹配的上游端口表项,则执行步骤S14;若查找到相匹配的上游端口表项,则执行步骤S18。
较佳的,上游端口表项中还可以设置该上游端口表项的剩余有效时间。每次查找到相匹配的上游端口表项时,更新查找到的上游端口表项的剩余有效时间;当一个上游端口表项的剩余有效时间为零时,删除该上游端口表项。
步骤S14:判断接收组播流数据报文的上游端口是否是预先配置的合法上游端口。
传输节点可以预先配置若干合法上游端口,例如:根据自身是否直接与合法的组播源连接,将与合法组播源的直接连接端口配置为合法上游端口。当然也可以根据其他的原则配置确定某端口为合法上游端口时,即预先进行配置。该配置完成后,在后续接收到该上游端口的组播流数据报文时,若没查到预先建立的上游端口表项,则将触发上游端口表项的创建流程。
当接收到组播流数据报文时,根据接收数据报文的上游端口,查找预先配置的合法上游端口中是否包含该接收数据报文的上游端口(根据提取的端口号P查找),若是,则认为接收组播流数据报文的上游端口是预先配置的合法上游端口;否则,认为接收组播流数据报文的上游端口不是预先配置的合法上游端口。
若是,执行步骤S15;若否,执行步骤S19。
步骤S15:根据接收到的组播流数据报文的组播地址信息和上游端口信息创建新的上游端口表项。
当确定接收数据报文的上游端口为预先配置的合法上游端口,而该组播流数据报文又没有匹配的上游端口表项时,则传输节点可以自动学习合法上游端口信息并创建上游端口表项。
较佳的,在步骤S15之后,先执行步骤S16和S17之后,再执行步骤S18。
步骤S16:构建上游端口安装消息。
传输节点创建自身的上游端口表项后,还会构建一个包含接收到的数据报文的组播地址信息的上游端口安装消息,用于指令所接收到的组播流数据报文所属的组播组的转发路径上的其他传输节点(一般是下游传输节点)创建上游端口表项。
构建的上游端口安装消息可以包括:消息类型(上游安装)、组播源地址、组播组地址等,可以通过各种类型的消息帧或其他能够在传输节点之间传输信息的方式来承载。
例如:一个上游端口安装消息的具体帧格式可以如下表2所示。
表2
| 目的MAC(6字节) |
| 源MAC(6字节) |
| 保留(2字节) |
| 消息类型(1字节) |
| 保留(1字节) |
| 组播源地址(4字节) |
| 组播组地址(4字节) |
其中,目的MAC是为接收上游端口安装消息传输节点唯一指定的MAC地址;消息类型定义了该消息属于上游节点安装消息;两个保留字段可以留待以后消息扩展时使用;源MAC是发送上游端口安装消息传输节点唯一指定的MAC地址;组播源地址和组播组地址分别可以是组播源IPv4地址和组播组IPv4地址。
步骤S17:发送上游端口安装消息给所属转发路径的其他传输节点。
构建上游端口安装消息后,根据接收到的组播流数据报文所属组播组,查找对应的数据转发表,顺次将上游端口安装消息发送给该组播组的转发路径上的其他传输节点。其他传输节点可以根据接收到的上游端口安装消息,创建包含上游端口安装消息中包含组播地址信息和自身接收上游端口安装消息的上游端口信息的上游端口表项。
发送上游端口安装消息后,执行步骤S18。
步骤S18:根据接收到的组播流数据报文所属组播组的数据转发表转发接收到的数据报文。
数据转发表由传输节点上运行的IGMP Snooping生成,针对各组播组,在转发路径中的各个传输节点上生成包含组播组地址和对应的下游端口列表的数据转发表。
传输节点需要转发接收到组播流数据报文时,根据数据报文所属组播组的数据转发表转发接收到的数据报文,具体包括:将接收到的数据报文通过数据转发表中包含的下游端口转发数据报文给下游传输节点或接收端。
步骤S19:丢弃所接收到的数据报文。
当没有查找到与接收到的数据报文匹配的上游端口表项,且接收数据报文的上游端口也不是预先配置的合法上游端口时,则丢弃接收到的数据报文。
下面以图1所示的***为例,对本发明实施例提供的组播安全控制方法进行具体说明。如图3所示,即为图1所示的***建立了从一个合法组播源到两个接收端的转发路径(如图中的虚线所示)的具体示例。
图中每个传输节点上均运行IGMP Snooping,传输节点A连接合法组播源S1,而传输节点B连接的组播源S2和传输节点C连接的组播源S3为非法组播源。合法组播源S1向接收端R1和R2发送组播流数据报文,则需要如图中虚线所示的两条合法转发路径:一是由合法组播源经传输节点A的A1端口、A3端口,传输节点B的B1、B2端口,传输节点D的D1、D2端口至接收端R1;二是由合法组播源经传输节点A的A1端口、A3端口,传输节点B的B1、B3端口,传输节点E的E1、E2端口至接收端R2。
上述传输节点A的端口A1与合法组播源相连接,因此,在传输节点A中预先配置了合法上游端口A1。且合法组播源S1的组播组地址为G1。两条转发路径上的传输节点均加入了该组播组地址为G1的组播组。通过运行IGMPSnooping在各个传输节点中分别生成了如下表3所示的数据转发表,每个传输节点的数据转发表包含组播组地址和下游端口列表。
表3
传输节点A:
| 组播组地址 | 下游端口列表 |
| G1 | A3 |
传输节点B:
| 组播组地址 | 下游端口列表 |
| G1 | B2,B3 |
传输节点D:
| 组播组地址 | 下游端口列表 |
| G1 | D2 |
传输节点E:
当传输节点A从上游端口A1接收到来自合法组播源S1的第一个组播流数据报文时,从数据报文中提取组播源地址和组播组地址,即(S1,G1)。传输节点A查询预先建立的上游端口表项,由于是该转发路径的第一个数据报文,所以没有发现相匹配的上游端口表项,由于判断出接收数据报文的上游端口A1是预先设置的合法上有端口,此时就需要学习并创建上游端口表项。创建的上游端口表项如下表4所示。
表4
| 组播源地址 | 组播组地址 | 上游端口号 |
| S1 | G1 | A1 |
传输节点A创建上游端口表项后,构建上游端口安装消息,指示该组播组的转发路径上的下游传输节点B、D、E创建相应的上游端口表项。传输节点B、D、E接收到上游端口安装消息后,创建的上游端口表项。
其中,上游端口安装消息也是经转发路径上的各传输节点依次向下游节点转发的,即传输节点A根据数据转发表由下游端口A3发送构建的上游端口安装消息给传输节点B,传输节点B接收到该消息后,记录接收该上游端口安装消息的上游端口B1、该上游端口安装消息中的组播源地址S1和组播组地址G1,在本地创建上游端口表项如下表5所示。
表5
| 组播源地址 | 组播组地址 | 上游端口号 |
| S1 | G1 | B1 |
然后,传输节点B根据该转发路径的数据转发表,将上游端口安装消息经下游端口B2和B3发送给下游传输节点D和E,传输节点D、E接收到上游端口安装消息后,分别记录接收该上游端口安装消息的上游端口D1和E1、该上游端口安装消息中的组播源地址S1和组播组地址G1,在本地创建上游端口表项如下表6(传输节点D创建的上游端口表项)和表7(传输节点E创建的上游端口表项)所示。
表6
| 组播源地址 | 组播组地址 | 上游端口号 |
| S1 | G1 | D1 |
表7
| 组播源地址 | 组播组地址 | 上游端口号 |
| S1 | G1 | E1 |
至此,该组播源相关的合法转发路径上的上游端口表项创建完毕。
当合法组播源S1再发送组播流数据报文时,传输节点A、B、D、E就能够查找到相匹配的上游端口表项了,在查找到相匹配的上游端口表项后根据本地存储的该组播组的数据转发表正常转发数据报文。接收端D1和D2就能够顺利接收合法组播源S1发送的组播流数据报文了。一般合法组播源停止发送组播流数据报文后,传输节点上的该组播流对应的上游端口表项将因剩余有效时间递减为零而被删除,
而当非法组播源S2或S3以自身的组播源地址或伪造组播源S1的组播地址信息(S1,G1)向该***中发送组播流时,由于其所连接的传输节点B或C的上游端口表项会查找失败,而且B4或C2也不是其所属传输节点中预先配置的合法上游端口,因此,这两个组播源所发送的组播流数据报文将被丢弃,从而不会对该网络***中的各个传输节点造成攻击。
用于实现上述组播安全控制的传输节点的结构,具体可以如图4所示,包括:接收模块10、查找模块20、判断模块30和转发模块50。
接收模块10,用于从上游端口接收组播流数据报文。
查找模块20,用于根据接收到的组播流数据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的相匹配的上游端口表项;若不存在,通知判断模块30;若存在,通知转发模块50。
判断模块30,用于判断接收组播流数据报文的上游端口是否是预先配置的合法上游端口,若是,通知转发模块50;若否,丢弃接收到数据报文。
转发模块50,用于根据接收到的组播流数据报文所属组播组所对应的转发路径的数据转发表转发接收到的数据报文。
较佳的,上述传输节点,还包括:创建模块40,用于当判断模块30判断所述上游端口是预先配置的合法上游端口时,根据接收到的组播流数据报文中包含的组播地址信息和上游端口信息创建新的上游端口表项。
较佳的,上述传输节点,还包括:消息构建模块60,用于当判断模块30判断出接收数据报文的上游端口是预先配置的合法上游端口时,构建包含接收到的数据报文的组播地址信息的上游端口安装消息并根据接收到的数据报文所属组播组的转发路径的数据转发表发送给转发路径上的其他传输节点,指示其他传输节点创建上游端口表项。
上述创建模块40,还用于根据接收到的其他传输节点发送的上游端口安装消息,创建包含上游端口安装消息中的组播地址信息和上游端口信息的上游端口表项。
较佳的,上述传输节点包含的创建模块创建的自身接收上游端口安装消息的上游端口表项中,还包括:上游端口表项的剩余有效时间。
上数查找模块20,还用于当查找到相匹配的上游端口表项时,更新查找到的上游端口表项的剩余有效时间;以及当剩余有效时间为零时,通知创建模块40;
上述创建模块40,还用于当剩余有效时间为零时,删除对应的上游端口表项。
本发明实施例提供上述组播安全控制方法、***及传输节点,主要应用于运行IGMP Snooping的传输节点(包括二层交换机和路由交换机)组成的网络。其既可以应用于支持IPv4的网络***中,也可以应用于支持IPv6的网络***中,且在IPv6组播网络中启用MLD Snooping。还可以根据IEEE 802.1q进行扩展,应用于虚拟局域网(VLAN)***中。
本发明实施例提供上述组播安全控制方法、***及传输节点,通过在传输节点中建立上游端口表项,可以根据预先设置的合法上游端口和/或动态学习到的合法上游端口生成上游端口表项,以及构建上游端口安装消息使所属转发路径的传输节点均能自动动态学习生成上游端口表项,从而实现对合法上游端口的管理和控制。
传输节点根据上游端口表项和数据转发表来实现对组播数据流的接收和转发,通过上游端口表项实现了只对与上游端口表项中包含的组播地址信息和上游端口信息相匹配的数据报文进行转发。当传输节点在未授权端口上收到伪造合法组播源地址的非法组播流数据报文时,将丢弃这些数据报文,禁止了非法组播源地址发送的组播流在网络中的扩散。从而对组播流数据报文上游端口的安全进行了有效的控制,保证了组播流的上游节点安全,避免了非法组播源对传输节点的攻击和非法组播流对网络造成的其他不良影响,提高了网络的安全性。
上述实现方式,只需在与合法组播源相连的传输节点上配置端口授权信息(即配置合法端口),其余传输节点则可以动态学习获得授权信息,减少了网络管理的工作量和降低了网络维护的复杂程度。且组播流对应的上游端口表项是随着组播流动态生成的,当组播源的组播流发送完成后,还可以根据剩余有效时间变化而自动被删除,减少了存储空间的占用;与静态表项相比,扩大了传输节点实际能处理的组播流的数量。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化、替换或应用到其他类似的装置,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (12)
1.一种组播安全控制方法,其特征在于,包括:
传输节点从上游端口接收组播流数据报文;
根据所述数据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的相匹配的上游端口表项;
若存在,则根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文;
若不存在,则判断所述上游端口是否是预先配置的合法上游端口,若是,则根据所述数据报文所属组播组的数据转发表转发所述数据报文;若否,则丢弃所述数据报文。
2.如权利要求1所述的方法,其特征在于,判断所述上游端口是预先配置的合法上游端口时,还包括:
根据所述组播地址信息和上游端口信息创建新的上游端口表项。
3.如权利要求1所述的方法,其特征在于,判断所述上游端口是预先配置的合法上游端口时,还包括:
构建包含所述数据报文的组播地址信息的上游端口安装消息,并根据所述转发路径的数据转发表发送给转发路径上的其他传输节点,指示所述其他传输节点创建上游端口表项;
所述转发路径上的其他传输节点根据接收到的上游端口安装消息,创建包含所述组播地址信息和自身接收所述上游端口安装消息的上游端口信息的上游端口表项。
4.如权利要求1所述的方法,其特征在于,所述组播地址信息,包括组播源地址和组播组地址;所述上游端口信息为上游端口号。
5.如权利要求1所述的方法,其特征在于,所述预先配置的合法上游端口根据合法组播源与所述传输节点的连接端口配置。
6.如权利要求1所述的方法,其特征在于,所述数据转发表中包含组播组地址和对应的下游端口列表;
所述根据所述数据报文所属组播组的数据转发表转发所述数据报文,具体包括:将所述数据报文通过所述数据转发表中包含的下游端口转发所述数据报文给下游传输节点或接收端。
7.如权利要求1-6任一所述的方法,其特征在于,所述上游端口表项中还包括:所述上游端口表项的剩余有效时间;
当查找到相匹配的上游端口表项时,更新所述查找到的上游端口表项的剩余有效时间;
当所述剩余有效时间为零时,删除所述上游端口表项。
8.一种实现组播安全控制的传输节点,其特征在于,包括:接收模块、查找模块、判断模块和转发模块;
所述接收模块,用于从上游端口接收组播流数据报文;
所述查找模块,用于根据所述数据报文中包含的组播地址信息和上游端口信息,查找是否存在预先建立的相匹配的上游端口表项;若不存在,通知所述判断模块;若存在,通知所述转发模块;
所述判断模块,用于判断所述上游端口是否是预先配置的合法上游端口,若是,通知转发模块;若否,丢弃所述数据报文;
所述转发模块,用于根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文。
9.如权利要求8所述的传输节点,其特征在于,还包括:创建模块,用于当所述判断模块判断所述上游端口是预先配置的合法上游端口时,根据所述组播地址信息和上游端口信息创建新的上游端口表项。
10.如权利要求8所述的传输节点,其特征在于,还包括:
消息构建模块,用于当所述判断模块判断出所述上游端口是预先配置的合法上游端口时,构建包含所述数据报文的组播地址信息的上游端口安装消息,并根据所述转发路径的数据转发表发送给转发路径上的其他传输节点,指示所述其他传输节点创建上游端口表项;
所述创建模块,还用于根据接收到的其他传输节点发送的上游端口安装消息,创建包含所述组播地址信息和自身接收上游端口安装消息的上游端口信息的上游端口表项。
11.如权利要求8-10所述的传输节点,其特征在于,所述创建模块创建的上游端口表项中,还包括:所述上游端口表项的剩余有效时间;
所述查找模块,还用于当查找到相匹配的上游端口表项时,更新所述查找到的上游端口表项的剩余有效时间;以及当所述剩余有效时间为零时,通知所述创建模块;
所述创建模块,还用于当所述剩余有效时间为零时,删除对应的所述上游端口表项。
12.一种组播安全控制***,其特征在于,包括:组播源、若干如权利要求8-11任一所述的传输节点和接收端;
所述组播源,用于提供组播流数据报文给所述传输节点;
所述接收端,用于接收所述传输节点转发的所述组播流数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102496956A CN101795223B (zh) | 2009-12-14 | 2009-12-14 | 组播安全控制方法、***及传输节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102496956A CN101795223B (zh) | 2009-12-14 | 2009-12-14 | 组播安全控制方法、***及传输节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101795223A true CN101795223A (zh) | 2010-08-04 |
| CN101795223B CN101795223B (zh) | 2011-12-28 |
Family
ID=42587654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102496956A Active CN101795223B (zh) | 2009-12-14 | 2009-12-14 | 组播安全控制方法、***及传输节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101795223B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102946356A (zh) * | 2012-10-16 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于cb-pe网络的组播报文传输方法和设备 |
| CN103684805A (zh) * | 2012-09-26 | 2014-03-26 | 深圳市腾讯计算机***有限公司 | 数据链路层组播方法、***及设备 |
| CN104954245A (zh) * | 2014-03-27 | 2015-09-30 | 中兴通讯股份有限公司 | 业务功能链处理方法及装置 |
| WO2018121705A1 (zh) * | 2016-12-30 | 2018-07-05 | 北京奇虎科技有限公司 | 一种流数据的双向传输方法和装置 |
| CN108600110A (zh) * | 2018-04-24 | 2018-09-28 | 新华三技术有限公司 | 一种pim报文处理方法和装置 |
| WO2023092498A1 (zh) * | 2021-11-26 | 2023-06-01 | Oppo广东移动通信有限公司 | 组播消息的处理方法及相关装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002354033A (ja) * | 2001-05-24 | 2002-12-06 | Fujitsu Ltd | マルチキャストデータ配信プログラム、マルチキャストデータ配信方法およびマルチキャストデータ配信装置 |
| CN101521927B (zh) * | 2009-04-03 | 2012-09-05 | 中兴通讯股份有限公司 | 一种组播转发路径收敛的方法和*** |
-
2009
- 2009-12-14 CN CN2009102496956A patent/CN101795223B/zh active Active
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684805A (zh) * | 2012-09-26 | 2014-03-26 | 深圳市腾讯计算机***有限公司 | 数据链路层组播方法、***及设备 |
| CN103684805B (zh) * | 2012-09-26 | 2018-05-08 | 深圳市腾讯计算机***有限公司 | 数据链路层组播方法、***及设备 |
| CN102946356A (zh) * | 2012-10-16 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于cb-pe网络的组播报文传输方法和设备 |
| CN102946356B (zh) * | 2012-10-16 | 2015-05-20 | 杭州华三通信技术有限公司 | 一种基于cb-pe网络的组播报文传输方法和设备 |
| CN104954245A (zh) * | 2014-03-27 | 2015-09-30 | 中兴通讯股份有限公司 | 业务功能链处理方法及装置 |
| WO2015143802A1 (zh) * | 2014-03-27 | 2015-10-01 | 中兴通讯股份有限公司 | 业务功能链处理方法及装置 |
| US10084706B2 (en) | 2014-03-27 | 2018-09-25 | Zte Corporation | Method and device for processing service function chaining |
| CN104954245B (zh) * | 2014-03-27 | 2019-07-16 | 中兴通讯股份有限公司 | 业务功能链处理方法及装置 |
| WO2018121705A1 (zh) * | 2016-12-30 | 2018-07-05 | 北京奇虎科技有限公司 | 一种流数据的双向传输方法和装置 |
| CN108600110A (zh) * | 2018-04-24 | 2018-09-28 | 新华三技术有限公司 | 一种pim报文处理方法和装置 |
| WO2023092498A1 (zh) * | 2021-11-26 | 2023-06-01 | Oppo广东移动通信有限公司 | 组播消息的处理方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101795223B (zh) | 2011-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8085770B2 (en) | Method of transporting a multipoint stream in a local area network and device for connection implementing the method | |
| AU2004310308B2 (en) | System and method for grouping multiple VLANS into a single 802.11 IP multicast domain | |
| US7894428B2 (en) | Packet relay device | |
| CN101795223B (zh) | 组播安全控制方法、***及传输节点 | |
| CN101616014B (zh) | 一种实现跨虚拟专用局域网组播的方法 | |
| US8045461B2 (en) | Method and device for implementing virtual-switch | |
| CN101510891B (zh) | Epon接入***实现组播的装置和方法 | |
| CN102377578A (zh) | 用于多播虚拟局域网(vlan)注册的基于vlan的成员资格 | |
| CN101534226A (zh) | 一种基于vlan的全网环路检测方法和环路检测设备 | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| CN102598586A (zh) | 处理组播的方法和装置 | |
| US8559353B2 (en) | Multicast quality of service module and method | |
| CN100550857C (zh) | 实现本地特定业务二层互通的方法、***和接入设备 | |
| CN102045250B (zh) | Vpls中组播报文的转发方法和服务提供商边缘设备 | |
| CN100479371C (zh) | 一种广播发送报文的方法及一种交换设备 | |
| CN101997724A (zh) | 一种更新组播转发条目的方法及装置 | |
| CN101827037A (zh) | 组播数据流的发送方法、装置和二层交换设备 | |
| JP5572848B2 (ja) | 通信装置および通信方法 | |
| JP2005236698A (ja) | ブリッジ装置とループ検出方法およびプログラム | |
| CN101888325A (zh) | 一种组播数据的控制方法及*** | |
| Mehdizadeh et al. | Distinctive key management method to secure multicast IPv6 networks | |
| Seo et al. | Extensible Multiple Spanning Tree Protocol for Virtual eXtensible LAN | |
| Huh et al. | An efficient bridging support mechanism using the cache table in the RPR-based metro Ethernet | |
| Sun et al. | The Research on Access Control for Bi-directional Multicast Routing | |
| CN1996932A (zh) | 在计算机和通信网络中执行多播注册和资源预留的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden Industrial Park Building No. 19 Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden Industrial Park Building No. 19 Patentee before: Fujian Xingwangruijie Network Co., Ltd. |