Die vorliegende Erfindung betrifft ein Verfahren zur Sicherung der
Kommunikation in einer Lokalnetz-Vermittlungsstelle, wie in der Präambel von
Anspruch 1 beschrieben.
Die Entnahme der Quelladresse aus eintreffenden Paketen und die Speicherung
zusammen mit zugehöriger Information in einer Adressen-Weiterleitungs-Tabelle
ist ein weit verbreitetes Verfahren, das als Selbstlernen in lokalen Netzen bekannt
ist. Der am weitesten verbreitete Standard für lokale Netze ist der Ethernet-Standard,
in dem die Quelladressen als MAC-Adressen bezeichnet werden. Das Selbstlern-Verfahren
erlaubt ein einfaches Weiterleiten von Datenpaketen durch und von Lokalnetz-Vermittlungsstellen,
ohne dass es erforderlich ist, umfangreiche Leitweglenkungs-Tabellen zu speichern.
Bei Eintreffen eines neuen Paketes werden die Quelladresse, sowie zugehörige
Informationen, wie z.B. die Verbindung, über die das Paket empfangen wurde
und der interne Vermittlungsstellen-Anschluss, über den das Paket empfangen
wurde, in einer so genannten Adressen-Weiterleitungs-Tabelle gespeichert. Es gibt
heute Ethernet-Vermittlungsstellen, die mindestens zwei Schnittstellen haben, die
mindestens eine Teilnehmerschnittstelle und eine Netzwerkschnittstelle umfassen,
und man findet sie in Zugangsnetzen, wie z.B. in DSL-Zugangsnetzen, passiven optischen
Zugangsnetzen, Kabel-Zugangsnetzen, usw. In diesen speziellen Lokalnetz-Vermittlungsstellen
dient eine Teilnehmerschnittstelle zum Empfang und zum Senden von Paketen von und
zu Endanwendern über ein lokales Heim-Netzwerk, und auf der anderen Seite dient
eine Netzwerkschnittstelle zum Empfang und zum Senden von Paketen von und zu Servern
und Routern über zum Beispiel ein lokales Ethernet-Stadtnetz. Auch ist in diesen
Lokalnetz-Vermittlungsstellen, die eine Teilnehmer- und eine Netzwerkschnittstelle
haben, das Selbstlernen ein übliches Verfahren. Somit wird auch in diesen Lokalnetz-Vermittlungsstellen
jedes Mal, wenn von jeder Schnittstelle ein neues Paket eintrifft, die Quelladressen-Information
entnommen und zur Weiterleitungs-Tabelle hinzugefügt. Wenn die Quelladresse
bereits in der Tabelle vorhanden war, wird die zugehörige Information durch
die neue zugehörige Information überschrieben.
Solche klassische selbstlernende Ethernet-Vermittlungsstellen sind
jedoch anfällig gegen Adressen-Manipulation, wobei mit diesem Begriff gemeint
ist, dass ein Teilnehmer die Adresse eines anderen Teilnehmers oder Servers "stiehlt"
und sie als seine eigene Adresse benutzt, indem er sie als Quelladresse in die Pakete
einfügt, die von ihm gesendet werden. Die Ethernet-Vermittlungsstelle fügt
dann diese Information hinzu oder überschreibt die bereits vorhandene korrekte
Information mit der des unberechtigten Teilnehmers, was anderen Teilnehmern und
der Ethernet-Vermittlungsstelle selbst eine Menge Unannehmlichkeiten bereitet.
Ein Verfahren zur Sicherung der Kommunikation, mit dem versucht wird,
diese Probleme der unberechtigten Benutzung in Ethernet-Vermittlungsstellen zu beseitigen,
wird in der veröffentlichten US-Patentanmeldung
2002/0010869 offen gelegt. Dieses den Stand der Technik beschreibende Dokument
beschreibt ein auf MAC-Adressen beruhendes Verfahren zur Kommunikations-Einschränkung,
bei dem festgestellt wird, ob Zugriffs-Vektoren einer empfangenen MAC-Adresse in
einer Adressen-Eintrags-Tabelle vorhanden sind. Falls ja, findet ein Vergleich zwischen
in Form von Zugangs-Vektoren gespeicherten Sicherheits-Schlüsseln statt, und
zwar zwischen denen des MAC-Ziels und der Quelladresse. Wenn keine Übereinstimmung
vorliegt, wird der Zugang verweigert.
Bei diesem Verfahren nach dem Stand der Technik ist es erforderlich,
dass diese Sicherheitsschlüssel zuerst konfiguriert und in einer so genannten
"Hacker-Tabelle" gespeichert werden. Diese Tabelle muss zur Speicherung der Sicherheitsschlüssel
vorkonfiguriert werden. Dieses Verfahren ist jedoch ziemlich kompliziert und erfordert
das Eingreifen eines Bedieners, der die Hacker-Tabelle aufbauen muss.
Es ist eine Aufgabe der Erfindung, ein einfacheres Verfahren zur Sicherung
der Kommunikation in einer Lokalnetz-Vermittlungsstelle bereitzustellen, das einfacher
ist und das nicht auf den Aufbau einer solchen Anti-Hacker-Tabelle angewiesen ist.
In der Patentanmeldung US 2003/0208571
wird ein Verfahren zur sicheren Weiterleitung in einer Netzwerk-Vermittlungsstelle
offen gelegt. Die Vermittlungsstelle enthält eine Datenbank von Vermittlungs-Einträgen,
wobei jeder Eintrag eine Verbindung zwischen einer Quelladresse und einem Anschluss
und ein Flag zur Anzeige, ob der Eintrag geschützt ist, spezifiziert. Geschützte
Einträge können nicht geändert werden. Eine Warnung über das
unberechtigte Eindringen wird erzeugt, wenn ein Paket mit einer Quelladresse, die
einem geschützten Eintrag zugeordnet ist, über einen Anschluss empfangen
wird, der nicht diesem geschützten Eintrag entspricht.
Gemäß der Erfindung wird dieses Ziel durch die Tatsache
erreicht, dass das Verfahren die Schritte umfasst, die im charakterisierenden
Teil von Anspruch 1 beschrieben werden.
Auf diese Weise wird eine einfache Art und Weise zur Verhinderung
von Manipulationen der Quelladressen eines Routers oder Servers durch einen Teilnehmer
bereitgestellt, ohne dass eine Anti-Hacker-Tabelle erforderlich ist. Stattdessen
wird eine Unterscheidung zwischen Quelladressen, die an der Teilnehmerschnittstelle
empfangen werden und denen, die an der Netzwerkschnittstelle empfangen werden, vorgenommen.
Diese Unterscheidung kann die Form eines speziellen Kennzeichens haben, das zusätzlich
in der (einzigen) Adressen-Weiterleitungs-Tabelle gespeichert wird, oder die Adressen-Weiterleitungs-Tabelle
selbst kann in 2 getrennte Tabellen aufgeteilt werden: Eine für die Teilnehmerschnittstelle
und eine für die Netzwerkschnittstelle. Zusätzlich dazu findet ein direkter
Vergleich der Quelladressen der Server oder Router, die von der Netzwerkseite entnommen
wurden, und den an der Teilnehmerschnittstelle empfangenen statt. Wenn die Lokalnetz-Vermittlungsstelle
dann eine Quelladresse auf der Teilnehmerseite entnimmt, und dieselbe Quelladresse
bereits auf der Netzwerkseite entnommen wurde, hat die auf der Netzwerkseite entnommene
Quelladresse immer Vorrang. Spezieller bedeutet dies, dass wenn die Quelladresse
zuerst auf der Netzwerkseite entnommen wird und später dieselbe Quelladresse
auch auf der Teilnehmerseite entnommen wird, die Adressen-Weiterleitungs-Tabelle
nicht geändert und das neue vom Teilnehmer empfangene Paket verworfen wird.
Ein missbräuchlicher Teilnehmer, der eine Quelladresse von dem Server manipulieren
will, so dass der für diesen Server gedachte Verkehr nicht beim Server, sondern
bei diesem Client ankommt, wenn nur Standard-Lern-Verfahren in der Vermittlungsstelle
vorhanden sind, wird nun sein Ziel nicht erreichen. Aufgrund des Selbstlern-Verfahrens
werden, wenn ein neu eingetroffenes Paket von der Netzwerkseite eine Quelladresse
enthält, die bereits in der Weiterleitungs-Tabelle enthalten ist, die neue
Quelladresse und ihre zugeordnete Information vom Standard-Selbstlern-Prozess in
der Weiterleitungs-Tabelle gespeichert, wodurch so auch zuvor gespeicherte (falsche)
MAC-Quelladressen, die von einem missbräuchlichen Teilnehmer stammen, überschrieben
werden.
Das bedeutet, dass nur eine kleine Anpassung, die aus einer Bestimmung
der Schnittstelle, auf der das Paket empfangen wurde, und einer kleinen Überprüfung,
wenn das Paket von der Teilnehmerschnittstelle empfangen wurde, besteht, zum weit
verbreiteten Selbstlern-Mechanismus in den vorhandenen Lokalnetz-Vermittlungsstellen
hinzugefügt werden muss. Somit ist das Verfahren der Erfindung sehr einfach
und kann in vorhandenen Standard-Ethernet-Vermittlungsstellen einfach eingesetzt
werden.
Eine weitere kennzeichnende Eigenschaft der vorliegenden Erfindung
wird in Anspruch 2 beschrieben.
Auf diese Weise kann eine Liste missbräuchlicher Teilnehmer automatisch
aufgebaut werden, indem Informationen über diese missbräuchlichen Teilnehmer
automatisch in der zusätzlichen Tabelle gespeichert werden.
In Anspruch 3 wird ausgeführt, dass diese Liste missbräuchlicher
Teilnehmer auch aktualisiert werden kann, wenn eine Quelladresse von der Netzwerkseite
entnommen wird, die bereits in der Adressen-Weiterleitungs-Tabelle vorhanden war.
Das heißt, dass auch in diesem Fall ein missbräuchlicher Teilnehmer aktiv
war, der der Vermittlungsstelle bisher unbekannt war, bis dieselbe (Router-)Quelladresse
auf der Netzwerkseite erscheint. In diesem Fall wird die alte Teilnehmer-Information
normalerweise durch die Information von der Netzwerkseite überschrieben, wobei
diese Aktion nun die Kommunikation in der Vermittlungsstelle sichert, es kann aber
nützlich sein, solche missbräuchlichen Teilnehmer nachzuverfolgen und
bevor ihre in der Adressen-Weiterleitungs-Tabelle vorhandene Information überschrieben
wird, kann sie zuerst in die zusätzliche Tabelle eingegeben werden.
Die vorliegende Erfindung betrifft auch eine Lokalnetz-Vermittlungsstelle,
die angepasst ist, das Verfahren der Erfindung auszuführen, wie in den Ansprüchen
4 bis 6 beschrieben.
Es wird darauf hingewiesen, dass der in den Ansprüchen benutzte
Begriff "gekoppelt", nicht so interpretiert werden darf, als ob er auf direkte Verbindungen
begrenzt wäre. Der Umfang des Ausdrucks "eine Vorrichtung A, die mit einer
Vorrichtung B gekoppelt ist" darf nicht auf Vorrichtungen oder Systeme begrenzt
werden, bei denen ein Ausgang von Vorrichtung A direkt an einen Eingang von Vorrichtung
B angeschlossen ist. Er bedeutet, dass ein Pfad zwischen einem Ausgang von A und
einem Eingang von B vorhanden ist, der ein Pfad sein kann, welcher andere Vorrichtungen
oder Mittel enthält.
Es wird darauf hingewiesen, dass der in den Ansprüchen benutzte
Begriff "enthält" nicht so interpretiert werden darf, als ob er auf die danach
aufgelisteten Mittel oder Schritte begrenzt wäre. Der Umfang des Ausdrucks
"eine Vorrichtung, die Mittel A und Mittel B enthält" darf nicht auf Vorrichtungen
begrenzt werden, die nur aus den Komponenten A und B bestehen.
Er bedeutet bezüglich der vorliegenden Erfindung, dass nur die Komponenten
A und B der Vorrichtung relevant sind.
Die oben angegebenen und weitere Ziele und Eigenschaften der Erfindung
werden deutlicher, und die Erfindung selbst wird am besten verstanden, wenn man
auf die folgende Beschreibung einer Ausführung in Verbindung mit den begleitenden
Zeichnungen Bezug nimmt, in denen:
1 einen schematischen Überblick über ein
lokales Netz zeigt, das eine Lokalnetz-Vermittlungsstelle AN enthält, die eine
Teilnehmer- und eine Netzwerkschnittstelle hat und die mit den Teilnehmerendgeräten
T1 bis Tn und den Routern R1 bis Rr gekoppelt ist,
2 schematisch die verschiedenen Schritte zeigt, die
beim Eintreffen eines neuen Paketes an jeder Schnittstelle der Lokalnetz-Vermittlungsstelle
AN stattfinden.
Die vorliegende Erfindung ist in Ethernet-Zubringernetzen von Interesse,
wo alle Teilnehmer dasselbe lokale Netz, im Folgenden mit LAN (Local Area Network)
abgekürzt, gemeinsam nutzen, sie ist aber nicht auf diese lokalen Netze beschränkt,
die diesen Ethernet-Standard benutzen. In solchen LAN-Netzen wird jedem Teilnehmer
eine eindeutige Adresse zugeordnet, die allgemein als MAC-Adresse für Ethernet-LAN-Netze
bekannt ist. Lokalnetz-Vermittlungsstellen führen die Weiterleitung empfangener
Pakete auf der Basis der darin enthaltenen Quell- und Zieladressen durch. Zu diesem
Zweck muss jede Lokalnetz-Vermittlungsstelle die Quelladressen "lernen", womit gemeint
ist, dass eine Adressen-Weiterleitungs-Tabelle mit Informationen bezüglich
der Adresse gefüllt wird, wie z.B. dem internen Anschluss-Namen des Anschlusses
der Ethernet-Vermittlungsstelle, der mit dem Client oder Teilnehmer mit dieser speziellen
Adresse verbunden ist, Informationen, welche die Verbindung selbst betreffen, wie
einem Fachmann wohlbekannt ist.
Die vorliegende Erfindung kann auf diese Arten von Lokalnetz-Vermittlungsstellen
angewendet werden, die mindestens zwei Schnittstellen haben: Auf der einen Seite
eine Teilnehmerschnittstelle, auf der anderen Seite eine Netzwerkschnittstelle.
Lokalnetz-Vermittlungsstellen, welche die beiden letztgenannten Schnittstellen haben,
können zum Beispiel aus DSL-Zugangsknoten, einem Modem in einem DSL-Netzwerk,
das mit mehreren Computern auf der Teilnehmerseite gekoppelt ist, Konzentratoren
oder sogar drahtlosen Zugangsknoten bestehen. Eine solche Lokalnetz-Vermittlungsstelle,
wie die in 1 durch AN gezeigte, ist an der Teilnehmerseite
über die Teilnehmerschnittstelle UI mit mehreren Teilnehmerleitungen gekoppelt,
z.B. mit DSL-Leitungen in einem DSL-Zugangsnetz. Diese Teilnehmerleitungen können
auch aus mehreren Koaxialkabeln bestehen, wenn ein Konzentrator die Lokalnetz-Vermittlungsstelle
bildet, oder aus drahtlosen Verbindungen im Fall eines drahtlosen Zugangsknotens
als Lokalnetz-Vermittlungsstelle. Diese Teilnehmerleitungen sind in 1
mit 1 bis n bezeichnet. Jede dieser Teilnehmerleitungen ist auf der Teilnehmerseite
mit einem Teilnehmerendgerät oder einer Teilnehmereinrichtung gekoppelt, die
mit T1 bis Tn bezeichnet sind. Eine solche Endeinrichtung kann aus einem einfachen
Personal-Computer, einem Voice-over-IP-Telefon, einer Set-Top-Box, usw. bestehen.
Einige Teilnehmerendgeräte, wie z.B. ein DSL-Modem, können ihrerseits
wieder mit mehreren Geräten beim Teilnehmer verbunden sein, wie z.B. mit einem
oder mehreren Personal-Computern, möglicherweise intern mit internen Routern
gekoppelt. Jede dieser Endeinrichtungen oder Teilnehmereinrichtungen hat ihre eigene
Adresse im lokalen Netz. Die Erfindung kann auch auf Lokalnetz-Vermittlungsstellen
angewendet werden, die mit mehreren Modems gekoppelt sind, wenn sie eine getrennte
Quelladresse im lokalen Netz haben, sowie auch auf die Modems selbst, wenn sie wiederum
mit mehreren Geräten gekoppelt sind, wie z.B. mit Computern.
Auf der anderen Seite, welche die rechte Seite von AN ist, wie in
1 schematisch gezeigt, ist der Zugangsknoten AN des
lokalen Netzes über seine Netzwerkschnittstelle NI mit einem oder mehreren
darin enthaltenen Routern oder Servern gekoppelt, die mit R1 bis Rr bezeichnet werden.
Jeder dieser Router hat auch seine eigene Adresse im lokalen Netz (MAC).
Wie oben erläutert, basiert die Weiterleitung eines Paketes von
einer mit dem AN gekoppelten Endeinrichtung oder einem Router, wie z.B. T1 oder
R1, zu einem anderen auf der anderen Seite des AN auf dem Lernen der Adressen der
verschiedenen Teilnehmer-Endeinrichtungen und Router, womit gemeint ist, dass eine
Adressen-Weiterleitungs-Tabelle, in 1 mit FT bezeichnet,
mit Einträgen gefüllt wird, welche die Quell-(MAC)-Adressen enthalten,
die in neu eintreffenden Paketen empfangen wurden, sowie damit verbundene weitere
Informationen, wie z.B. ihre entsprechende Anschlusskennung. Wenn ein DSL-Zugangsknoten
am lokalen Netz ein Paket empfängt, das von einer bestimmten DSL-Leitung kommt,
zum Beispiel von Leitung 1, und MAC1 als Quelladresse enthält, speichert der
Zugangsknoten diese Information, wie z.B. MAC1 und den Namen des internen Anschlusses,
der mit der DSL-Leitung 1 verbunden ist, in dieser Weiterleitungs-Tabelle.
Wenn dann als nächstes von Router R1 ein Paket mit MAC1 als Zieladresse empfangen
wird, kann der AN nach Abruf der erforderlichen Information in der Weiterleitungs-Tabelle
dieses Paket sofort auf DSL-Leitung 1 weiterleiten.
Alternativ lernt der AN auch die Quelladresse MACR1 vom Router R1
und speichert diese Information zusammen mit dem internen Anschluss, der mit R1
verbunden ist, in der Adressen-Weiterleitungs-Tabelle FT.
Unberechtigte Clients auf der Teilnehmerseite des Zugangsknotens möchten
manchmal die Adresse des Routers oder Servers auf der Netzwerkseite als ihre eigene
Quelladresse benutzen. Dies wird MAC-Adressen-Manipulation genannt und ist somit
die Benutzung einer MAC-Adresse durch einen bestimmten Teilnehmer, die nicht zu
dem Teilnehmer gehört. Die Folge ist, dass bei Manipulation einer MAC-Adresse
durch einen Teilnehmer, dieser Teilnehmer somit Datenpakete in Aufwärtsrichtung
erzeugt, die eine MAC-Quelladresse haben, die jemand anderem gehört. Entsprechend
lernt die Adressen-Weiterleitungs-Tabelle im Zugangsknoten die falschen Zuordnungen.
Wenn dann andere Teilnehmer Pakete zum Router senden wollen, dessen MAC-Adresse
manipuliert ist, zum Beispiel durch Teilnehmer 1, könnten alle Pakete zu Teilnehmer
1 gesendet werden. In einigen vorhandenen Ethernet-Vermittlungsstellen wird dies
bereits dadurch verhindert, dass eine direkte Teilnehmer-Teilnehmer-Übertragung
blockiert wird, aber in anderen Ethernet-Vermittlungsstellen können ernsthafte
Probleme die Folge sein. Und sogar wenn eine direkte Teilnehmer-zu-Teilnehmer-Übertragung
nicht möglich ist, können Teilnehmer, welche die Quelladresse eines Routers
manipulieren, bewirken, dass dieser Router keine weiteren Pakete empfängt.
Die vorliegende Erfindung bietet eine einfache Lösung zur Verhinderung
von Manipulationen von Adressen von Routern auf der Netzwerk-Seite durch einen Teilnehmer
auf der Teilnehmerseite. Diese Lösung besteht darin, dass jedes Mal, wenn eine
neue Quelladresse empfangen wird, entweder auf der Teilnehmerseite oder auf der
Netzwerkseite, festgestellt wird, von welcher Schnittstelle sie empfangen wird.
Als nächstes wird ein Vergleich zwischen der neu empfangenen Quelladresse auf
der Teilnehmerseite und allen gespeicherten Quelladressen, die auf der Netzwerkseite
empfangen werden, durchgeführt. Wenn sich herausstellt, dass die Quelladresse
bereits als Quelladresse von der Netzwerkseite gespeichert wurde, wird das Paket,
das die neue Quelladresse enthält, verworfen. Wenn eine neue Quelladresse der
Netzwerkseite mit einer bereits auf der Teilnehmerseite gespeicherten übereinstimmt,
wird der vorhandene Eintrag beim Standard-Lernen mit einer zusätzlichen Anzeige,
dass sie aus einer von der Teilnehmerseite empfangenen Quelladresse besteht, überschrieben.
Wenn eine neue Quelladresse auf der Teilnehmerseite noch nicht in der Adressen-Weiterleitungs-Tabelle
enthalten ist, wird sie zusammen mit der herkömmlichen zugehörigen Information
und mit einer Anzeige, dass sie von der Teilnehmerseite kommt, in der Weiterleitungs-Tabelle
gespeichert. Zu diesem Zweck kann ein spezielles Flag in der FT gespeichert werden,
die FT kann aber auch in zwei Teile aufgeteilt werden: Ein vom Teilnehmer kommender
Teil und ein vom Netzwerk kommender Teil, und weitere Verfahren zum Aufbau und zur
Speicherung dieser Unterschiede kann sich ein Fachmann vorstellen.
Wenn eine neue Router-Quelladresse noch nicht in der FT gespeichert
ist, wird sie ebenfalls mit ihrer zusätzlichen zugehörigen Information
und zusammen mit eine Anzeige ihres Ursprungs, Teilnehmer- oder Netzwerkseite, in
der FT oder im Netzwerk-Teil der FT gespeichert, abhängig von der Implementation
der Tabelle.
Dies wird schematisch in 2 gezeigt. Zusätzlich
zum Verwerfen eines Paketes von einem Teilnehmer, das eine bereits gespeicherte
"Netzwerk"-Quelladresse hat, können weiterhin zusätzliche Informationen
bezüglich dieses Teilnehmers in einer zusätzlichen Tabelle gespeichert
werden. Es wird daher auch darauf hingewiesen, dass zusätzlich zum Standard-Selbstlernen,
wie in den beiden Kasten rechts in Bild 1 gezeigt, zuerst eine interne Überprüfung
dieser zusätzlichen Tabelle durchgeführt werden kann, und dass nach dem
Standard-Lernen auch eine Aktualisierung dieser zusätzlichen Tabelle durchgeführt
wird, zum Beispiel wenn erkannt wird, dass eine neue empfangene Netzwerkadresse
bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle gespeichert
war. In diesem Fall wird der Eintrag in der Adressen-Weiterleitungs-Tabelle, der
sich auf die Adresse des (böswilligen) Teilnehmers bezieht, kopiert und in
der zusätzlichen Tabelle gespeichert, wobei nach diesem Schritt der Eintrag
in der Adressen-Weiterleitungs-Tabelle durch die neu empfangene Adresse und ihre
zugehörige Information überschrieben wird.
Nach dem Standard-Lernen finden natürlich weitere Schritte bezüglich
der weiteren Behandlung der empfangenen Pakete statt, wie einem Fachmann wohlbekannt
ist.
Die Ausführung dieser Schritte kann durch Verarbeitungs-Mittel
erfolgen, die in der Lokalnetz-Vermittlungsstelle enthalten sind, oder durch mehrere
Software-Module. Zu diesem Zweck wird ein Unterscheidungs-Mittel,
das entweder in Form eines Software-Programms oder einer Hardware in der Vermittlungsstelle
vorhanden ist, angepasst, eine Unterscheidung zwischen Quelladressen, die von der
Teilnehmerschnittstelle und von der Netzwerkschnittstelle empfangen wurden, durchzuführen.
Auf ähnliche Weise kann auch ein Vergleichs-Mittel zum Vergleich einer Quelladresse,
die in einem neu an der Teilnehmerschnittstelle (UI) eintreffenden Paket enthalten
ist, mit allen in der Weiterleitungs-Tabelle (FT) gespeicherten Quelladressen, die
von der Netzwerkschnittstelle (NI) empfangen werden, durch Software-Module oder
in Hardware realisiert werden, um ein Steuerungssignal an ein Verwerfungs-Mittel
zu liefern, um die neu eintreffenden Pakete zu verwerfen, wenn die darin enthaltene
Quelladresse bereits als eine von der Netzwerkschnittstelle empfangene Quelladresse
gespeichert war.
Auch kann ein Mittel zur Erkennung, dass eine neu empfangene Netzwerkadresse
bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle (FT) gespeichert
wurde und zum Senden des Eintrags in der Adressen-Weiterleitungs-Tabelle bezüglich
der Teilnehmeradresse an die zusätzliche Tabelle und zur Anweisung der Weiterleitungs-Tabelle,
diesen Eintrag durch eine neu empfangene Adresse und ihre zugehörige Information
zu überschreiben, durch Software-Programme oder Verarbeitungsmodule in Hardware
realisiert werden.
Natürlich sind andere Implementationen möglich. Obwohl die
Prinzipien der Erfindung oben in Zusammenhang mit einer speziellen Vorrichtung beschrieben
wurden, muss deutlich verstanden werden, dass diese Beschreibung nur als Beispiel
erfolgt und keine Einschränkung des Umfanges der Erfindung darstellt, wie in
den beigefügten Ansprüchen definiert.
Fig. 1
Fig. 2
New packet...
Neues Paket trifft in der AN ein
Determine interface...
Ankunfts-Schnittstelle feststellen (UI oder UN)
Extract MAC...
MAC-Quelladresse MACi entnehmen
MACi is source...
MACi ist eine Quelladresse, die von UI kommt?
N
Nein
Y
Ja
MACi received at NI
MACi an NI empfangen
MACi received at UI
MACi an UI empfangen
MACi already present...
MACi bereits in FT als von NI stammende Quelladresse vorhanden?
Y (MACi is router...)
Ja (MACi ist an UI empfangene Router-MAC-Quelladresse)
Discard packet
Paket verwerfen
Standard learning/storage of MACi + storage/indication of MACi
as a MAC source adress from NI
Standard-Lernen/Speicherung von MACi + Speicherung/Anzeige von
MACi als MAC-Quelladresse von NI
Standard learning/storage of MACi + storage/indication of MACi
as a MAC source adress from UI
Standard-Lernen/Speicherung von MACi + Speicherung/Anzeige von
MACi als MAC-Quelladresse von UI
