-
Die
vorliegende Erfindung betrifft ein Verfahren zur Sicherung der Kommunikation
in einer Lokalnetz-Vermittlungsstelle,
wie in der Präambel
von Anspruch 1 beschrieben.
-
Die
Entnahme der Quelladresse aus eintreffenden Paketen und die Speicherung
zusammen mit zugehöriger
Information in einer Adressen-Weiterleitungs-Tabelle ist ein weit
verbreitetes Verfahren, das als Selbstlernen in lokalen Netzen bekannt
ist. Der am weitesten verbreitete Standard für lokale Netze ist der Ethernet-Standard,
in dem die Quelladressen als MAC-Adressen bezeichnet werden. Das
Selbstlern-Verfahren erlaubt ein einfaches Weiterleiten von Datenpaketen
durch und von Lokalnetz-Vermittlungsstellen, ohne dass es erforderlich
ist, umfangreiche Leitweglenkungs-Tabellen zu speichern. Bei Eintreffen
eines neuen Paketes werden die Quelladresse, sowie zugehörige Informationen,
wie z.B. die Verbindung, über
die das Paket empfangen wurde und der interne Vermittlungsstellen-Anschluss, über den
das Paket empfangen wurde, in einer so genannten Adressen-Weiterleitungs-Tabelle
gespeichert. Es gibt heute Ethernet-Vermittlungsstellen, die mindestens
zwei Schnittstellen haben, die mindestens eine Teilnehmerschnittstelle
und eine Netzwerkschnittstelle umfassen, und man findet sie in Zugangsnetzen,
wie z.B. in DSL-Zugangsnetzen, passiven optischen Zugangsnetzen,
Kabel-Zugangsnetzen,
usw. In diesen speziellen Lokalnetz-Vermittlungsstellen dient eine Teilnehmerschnittstelle
zum Empfang und zum Senden von Paketen von und zu Endanwendern über ein lokales
Heim-Netzwerk, und auf der anderen Seite dient eine Netzwerkschnittstelle
zum Empfang und zum Senden von Paketen von und zu Servern und Routern über zum
Beispiel ein lokales Ethernet-Stadtnetz. Auch ist in diesen Lokalnetz-Vermittlungsstellen,
die eine Teilnehmer- und eine Netzwerkschnittstelle haben, das Selbstlernen
ein übliches Verfahren.
Somit wird auch in diesen Lokalnetz-Vermittlungsstellen jedes Mal, wenn von
jeder Schnittstelle ein neues Paket eintrifft, die Quelladressen-Information
entnommen und zur Weiterleitungs-Tabelle hinzugefügt. Wenn
die Quelladresse bereits in der Tabelle vorhanden war, wird die
zugehörige Information
durch die neue zugehörige
Information überschrieben.
-
Solche
klassische selbstlernende Ethernet-Vermittlungsstellen sind jedoch anfällig gegen
Adressen-Manipulation,
wobei mit diesem Begriff gemeint ist, dass ein Teilnehmer die Adresse
eines anderen Teilnehmers oder Servers "stiehlt" und sie als seine eigene Adresse benutzt,
indem er sie als Quelladresse in die Pakete einfügt, die von ihm gesendet werden.
Die Ethernet-Vermittlungsstelle fügt dann diese Information hinzu
oder überschreibt
die bereits vorhandene korrekte Information mit der des unberechtigten
Teilnehmers, was anderen Teilnehmern und der Ethernet-Vermittlungsstelle
selbst eine Menge Unannehmlichkeiten bereitet.
-
Ein
Verfahren zur Sicherung der Kommunikation, mit dem versucht wird,
diese Probleme der unberechtigten Benutzung in Ethernet-Vermittlungsstellen
zu beseitigen, wird in der veröffentlichten
US-Patentanmeldung 2002/0010869 offen
gelegt. Dieses den Stand der Technik beschreibende Dokument beschreibt
ein auf MAC-Adressen beruhendes Verfahren zur Kommunikations-Einschränkung, bei
dem festgestellt wird, ob Zugriffs-Vektoren einer empfangenen MAC-Adresse
in einer Adressen-Eintrags-Tabelle
vorhanden sind. Falls ja, findet ein Vergleich zwischen in Form
von Zugangs-Vektoren gespeicherten Sicherheits-Schlüsseln statt, und
zwar zwischen denen des MAC-Ziels
und der Quelladresse. Wenn keine Übereinstimmung vorliegt, wird der
Zugang verweigert.
-
Bei
diesem Verfahren nach dem Stand der Technik ist es erforderlich,
dass diese Sicherheitsschlüssel zuerst
konfiguriert und in einer so genannten "Hacker-Tabelle" gespeichert werden. Diese Tabelle muss
zur Speicherung der Sicherheitsschlüssel vorkonfiguriert werden.
Dieses Verfahren ist jedoch ziemlich kompliziert und erfordert das
Eingreifen eines Bedieners, der die Hacker-Tabelle aufbauen muss.
-
Es
ist eine Aufgabe der Erfindung, ein einfacheres Verfahren zur Sicherung
der Kommunikation in einer Lokalnetz-Vermittlungsstelle bereitzustellen,
das einfacher ist und das nicht auf den Aufbau einer solchen Anti-Hacker-Tabelle
angewiesen ist.
-
In
der Patentanmeldung
US 2003/0208571 wird
ein Verfahren zur sicheren Weiterleitung in einer Netzwerk-Vermittlungsstelle
offen gelegt. Die Vermittlungsstelle enthält eine Datenbank von Vermittlungs-Einträgen, wobei
jeder Eintrag eine Verbindung zwischen einer Quelladresse und einem
Anschluss und ein Flag zur Anzeige, ob der Eintrag geschützt ist,
spezifiziert. Geschützte
Einträge
können
nicht geändert
werden. Eine Warnung über
das unberechtigte Eindringen wird erzeugt, wenn ein Paket mit einer
Quelladresse, die einem geschützten
Eintrag zugeordnet ist, über
einen Anschluss empfangen wird, der nicht diesem geschützten Eintrag
entspricht.
-
Gemäß der Erfindung
wird dieses Ziel durch die Tatsache erreicht, dass das Verfahren
die Schritte umfasst, die im charakterisierenden Teil von Anspruch
1 beschrieben werden.
-
Auf
diese Weise wird eine einfache Art und Weise zur Verhinderung von
Manipulationen der Quelladressen eines Routers oder Servers durch
einen Teilnehmer bereitgestellt, ohne dass eine Anti-Hacker-Tabelle
erforderlich ist. Stattdessen wird eine Unterscheidung zwischen
Quelladressen, die an der Teilnehmerschnittstelle empfangen werden
und denen, die an der Netzwerkschnittstelle empfangen werden, vorgenommen.
Diese Unterscheidung kann die Form eines speziellen Kennzeichens
haben, das zusätzlich
in der (einzigen) Adressen-Weiterleitungs-Tabelle gespeichert wird,
oder die Adressen-Weiterleitungs-Tabelle selbst kann in 2 getrennte
Tabellen aufgeteilt werden: Eine für die Teilnehmerschnittstelle
und eine für
die Netzwerkschnittstelle. Zusätzlich
dazu findet ein direkter Vergleich der Quelladressen der Server
oder Router, die von der Netzwerkseite entnommen wurden, und den
an der Teilnehmerschnittstelle empfangenen statt. Wenn die Lokalnetz-Vermittlungsstelle
dann eine Quelladresse auf der Teilnehmerseite entnimmt, und dieselbe
Quelladresse bereits auf der Netzwerkseite entnommen wurde, hat
die auf der Netzwerkseite entnommene Quelladresse immer Vorrang.
Spezieller bedeutet dies, dass wenn die Quelladresse zuerst auf
der Netzwerkseite entnommen wird und später dieselbe Quelladresse auch
auf der Teilnehmerseite entnommen wird, die Adressen-Weiterleitungs-Tabelle
nicht geändert
und das neue vom Teilnehmer empfangene Paket verworfen wird. Ein
missbräuchlicher
Teilnehmer, der eine Quelladresse von dem Server manipulieren will,
so dass der für
diesen Server gedachte Verkehr nicht beim Server, sondern bei diesem
Client ankommt, wenn nur Standard-Lern-Verfahren in der Vermittlungsstelle
vorhanden sind, wird nun sein Ziel nicht erreichen. Aufgrund des Selbstlern-Verfahrens
werden, wenn ein neu eingetroffenes Paket von der Netzwerkseite
eine Quelladresse enthält,
die bereits in der Weiterleitungs-Tabelle enthalten ist, die neue Quelladresse
und ihre zugeordnete Information vom Standard-Selbstlern-Prozess
in der Weiterleitungs-Tabelle gespeichert, wodurch so auch zuvor gespeicherte
(falsche) MAC-Quelladressen, die von einem missbräuchlichen
Teilnehmer stammen, überschrieben
werden.
-
Das
bedeutet, dass nur eine kleine Anpassung, die aus einer Bestimmung
der Schnittstelle, auf der das Paket empfangen wurde, und einer
kleinen Überprüfung, wenn
das Paket von der Teilnehmerschnittstelle empfangen wurde, besteht,
zum weit verbreiteten Selbstlern-Mechanismus in den vorhandenen
Lokalnetz-Vermittlungsstellen hinzugefügt werden muss. Somit ist das
Verfahren der Erfindung sehr einfach und kann in vorhandenen Standard-Ethernet-Vermittlungsstellen
einfach eingesetzt werden.
-
Eine
weitere kennzeichnende Eigenschaft der vorliegenden Erfindung wird
in Anspruch 2 beschrieben.
-
Auf
diese Weise kann eine Liste missbräuchlicher Teilnehmer automatisch
aufgebaut werden, indem Informationen über diese missbräuchlichen
Teilnehmer automatisch in der zusätzlichen Tabelle gespeichert werden.
-
In
Anspruch 3 wird ausgeführt,
dass diese Liste missbräuchlicher
Teilnehmer auch aktualisiert werden kann, wenn eine Quelladresse
von der Netzwerkseite entnommen wird, die bereits in der Adressen-Weiterleitungs-Tabelle
vorhanden war. Das heißt,
dass auch in diesem Fall ein missbräuchlicher Teilnehmer aktiv
war, der der Vermittlungsstelle bisher unbekannt war, bis dieselbe
(Router-)Quelladresse auf der Netzwerkseite erscheint. In diesem
Fall wird die alte Teilnehmer-Information normalerweise durch die
Information von der Netzwerkseite überschrieben, wobei diese Aktion
nun die Kommunikation in der Vermittlungsstelle sichert, es kann aber
nützlich
sein, solche missbräuchlichen
Teilnehmer nachzuverfolgen und bevor ihre in der Adressen-Weiterleitungs-Tabelle vorhandene
Information überschrieben
wird, kann sie zuerst in die zusätzliche
Tabelle eingegeben werden.
-
Die
vorliegende Erfindung betrifft auch eine Lokalnetz-Vermittlungsstelle,
die angepasst ist, das Verfahren der Erfindung auszuführen, wie
in den Ansprüchen
4 bis 6 beschrieben.
-
Es
wird darauf hingewiesen, dass der in den Ansprüchen benutzte Begriff "gekoppelt", nicht so interpretiert
werden darf, als ob er auf direkte Verbindungen begrenzt wäre. Der
Umfang des Ausdrucks "eine
Vorrichtung A, die mit einer Vorrichtung B gekoppelt ist" darf nicht auf Vorrichtungen
oder Systeme begrenzt werden, bei denen ein Ausgang von Vorrichtung
A direkt an einen Eingang von Vorrichtung B angeschlossen ist. Er
bedeutet, dass ein Pfad zwischen einem Ausgang von A und einem Eingang
von B vorhanden ist, der ein Pfad sein kann, welcher andere Vorrichtungen
oder Mittel enthält.
-
Es
wird darauf hingewiesen, dass der in den Ansprüchen benutzte Begriff "enthält" nicht so interpretiert werden
darf, als ob er auf die danach aufgelisteten Mittel oder Schritte
begrenzt wäre.
Der Umfang des Ausdrucks "eine
Vorrichtung, die Mittel A und Mittel B enthält" darf nicht auf Vorrichtungen begrenzt
werden, die nur aus den Komponenten A und B bestehen. Er bedeutet
bezüglich
der vorliegenden Erfindung, dass nur die Komponenten A und B der
Vorrichtung relevant sind.
-
Die
oben angegebenen und weitere Ziele und Eigenschaften der Erfindung
werden deutlicher, und die Erfindung selbst wird am besten verstanden,
wenn man auf die folgende Beschreibung einer Ausführung in Verbindung
mit den begleitenden Zeichnungen Bezug nimmt, in denen:
-
1 einen
schematischen Überblick über ein
lokales Netz zeigt, das eine Lokalnetz-Vermittlungsstelle AN enthält, die
eine Teilnehmer- und eine Netzwerkschnittstelle hat und die mit
den Teilnehmerendgeräten T1
bis Tn und den Routern R1 bis Rr gekoppelt ist,
-
2 schematisch
die verschiedenen Schritte zeigt, die beim Eintreffen eines neuen
Paketes an jeder Schnittstelle der Lokalnetz-Vermittlungsstelle
AN stattfinden.
-
Die
vorliegende Erfindung ist in Ethernet-Zubringernetzen von Interesse,
wo alle Teilnehmer dasselbe lokale Netz, im Folgenden mit LAN (Local
Area Network) abgekürzt,
gemeinsam nutzen, sie ist aber nicht auf diese lokalen Netze beschränkt, die
diesen Ethernet-Standard benutzen. In solchen LAN-Netzen wird jedem Teilnehmer
eine eindeutige Adresse zugeordnet, die allgemein als MAC-Adresse
für Ethernet-LAN-Netze
bekannt ist. Lokalnetz-Vermittlungsstellen führen die Weiterleitung empfangener
Pakete auf der Basis der darin enthaltenen Quell- und Zieladressen durch. Zu diesem Zweck
muss jede Lokalnetz-Vermittlungsstelle
die Quelladressen "lernen", womit gemeint ist,
dass eine Adressen-Weiterleitungs-Tabelle mit Informationen bezüglich der
Adresse gefüllt
wird, wie z.B. dem internen Anschluss-Namen des Anschlusses der
Ethernet-Vermittlungsstelle,
der mit dem Client oder Teilnehmer mit dieser speziellen Adresse
verbunden ist, Informationen, welche die Verbindung selbst betreffen,
wie einem Fachmann wohlbekannt ist.
-
Die
vorliegende Erfindung kann auf diese Arten von Lokalnetz-Vermittlungsstellen
angewendet werden, die mindestens zwei Schnittstellen haben: Auf
der einen Seite eine Teilnehmerschnittstelle, auf der anderen Seite
eine Netzwerkschnittstelle. Lokalnetz-Vermittlungsstellen, welche
die beiden letztgenannten Schnittstellen haben, können zum
Beispiel aus DSL-Zugangsknoten, einem Modem in einem DSL-Netzwerk, das mit mehreren
Computern auf der Teilnehmerseite gekoppelt ist, Konzentratoren
oder sogar drahtlosen Zugangsknoten bestehen. Eine solche Lokalnetz-Vermittlungsstelle,
wie die in 1 durch AN gezeigte, ist an
der Teilnehmerseite über
die Teilnehmerschnittstelle UI mit mehreren Teilnehmerleitungen
gekoppelt, z.B. mit DSL-Leitungen in einem DSL-Zugangsnetz. Diese
Teilnehmerleitungen können
auch aus mehreren Koaxialkabeln bestehen, wenn ein Konzentrator
die Lokalnetz-Vermittlungsstelle bildet, oder aus drahtlosen Verbindungen
im Fall eines drahtlosen Zugangsknotens als Lokalnetz-Vermittlungsstelle.
Diese Teilnehmerleitungen sind in 1 mit 1
bis n bezeichnet. Jede dieser Teilnehmerleitungen ist auf der Teilnehmerseite
mit einem Teilnehmerendgerät
oder einer Teilnehmereinrichtung gekoppelt, die mit T1 bis Tn bezeichnet
sind. Eine solche Endeinrichtung kann aus einem einfachen Personal-Computer,
einem Voice-over-IP-Telefon, einer Set-Top-Box, usw. bestehen. Einige
Teilnehmerendgeräte,
wie z.B. ein DSL-Modem, können
ihrerseits wieder mit mehreren Geräten beim Teilnehmer verbunden
sein, wie z.B. mit einem oder mehreren Personal-Computern, möglicherweise intern mit internen
Routern gekoppelt. Jede dieser Endeinrichtungen oder Teilnehmereinrichtungen
hat ihre eigene Adresse im lokalen Netz. Die Erfindung kann auch
auf Lokalnetz-Vermittlungsstellen angewendet
werden, die mit mehreren Modems gekoppelt sind, wenn sie eine getrennte
Quelladresse im lokalen Netz haben, sowie auch auf die Modems selbst,
wenn sie wiederum mit mehreren Geräten gekoppelt sind, wie z.B.
mit Computern.
-
Auf
der anderen Seite, welche die rechte Seite von AN ist, wie in 1 schematisch
gezeigt, ist der Zugangsknoten AN des lokalen Netzes über seine
Netzwerkschnittstelle NI mit einem oder mehreren darin enthaltenen
Routern oder Servern gekoppelt, die mit R1 bis Rr bezeichnet werden.
Jeder dieser Router hat auch seine eigene Adresse im lokalen Netz
(MAC).
-
Wie
oben erläutert,
basiert die Weiterleitung eines Paketes von einer mit dem AN gekoppelten
Endeinrichtung oder einem Router, wie z.B. T1 oder R1, zu einem
anderen auf der anderen Seite des AN auf dem Lernen der Adressen
der verschiedenen Teilnehmer-Endeinrichtungen und Router, womit
gemeint ist, dass eine Adressen-Weiterleitungs-Tabelle, in 1 mit
FT bezeichnet, mit Einträgen
gefüllt
wird, welche die Quell-(MAC)-Adressen enthalten, die in neu eintreffenden
Paketen empfangen wurden, sowie damit verbundene weitere Informationen,
wie z.B. ihre entsprechende Anschlusskennung. Wenn ein DSL-Zugangsknoten am
lokalen Netz ein Paket empfängt,
das von einer bestimmten DSL-Leitung kommt, zum Beispiel von Leitung 1,
und MAC1 als Quelladresse enthält,
speichert der Zugangsknoten diese Information, wie z.B. MAC1 und den
Namen des internen Anschlusses, der mit der DSL-Leitung 1 verbunden
ist, in dieser Weiterleitungs-Tabelle. Wenn dann als nächstes von
Router R1 ein Paket mit MAC1 als Zieladresse empfangen wird, kann
der AN nach Abruf der erforderlichen Information in der Weiterleitungs-Tabelle
dieses Paket sofort auf DSL-Leitung 1 weiterleiten.
-
Alternativ
lernt der AN auch die Quelladresse MACR1 vom Router R1 und speichert
diese Information zusammen mit dem internen Anschluss, der mit R1
verbunden ist, in der Adressen-Weiterleitungs-Tabelle
FT.
-
Unberechtigte
Clients auf der Teilnehmerseite des Zugangsknotens möchten manchmal
die Adresse des Routers oder Servers auf der Netzwerkseite als ihre
eigene Quelladresse benutzen. Dies wird MAC-Adressen-Manipulation
genannt und ist somit die Benutzung einer MAC-Adresse durch einen
bestimmten Teilnehmer, die nicht zu dem Teilnehmer gehört. Die
Folge ist, dass bei Manipulation einer MAC-Adresse durch einen Teilnehmer,
dieser Teilnehmer somit Datenpakete in Aufwärtsrichtung erzeugt, die eine
MAC-Quelladresse haben, die jemand anderem gehört. Entsprechend lernt die
Adressen-Weiterleitungs-Tabelle
im Zugangsknoten die falschen Zuordnungen. Wenn dann andere Teilnehmer
Pakete zum Router senden wollen, dessen MAC-Adresse manipuliert
ist, zum Beispiel durch Teilnehmer 1, könnten alle Pakete zu Teilnehmer
1 gesendet werden. In einigen vorhandenen Ethernet-Vermittlungsstellen
wird dies bereits dadurch verhindert, dass eine direkte Teilnehmer-Teilnehmer-Übertragung
blockiert wird, aber in anderen Ethernet-Vermittlungsstellen können ernsthafte
Probleme die Folge sein. Und sogar wenn eine direkte Teilnehmer-zu-Teilnehmer-Übertragung nicht
möglich
ist, können
Teilnehmer, welche die Quelladresse eines Routers manipulieren,
bewirken, dass dieser Router keine weiteren Pakete empfängt.
-
Die
vorliegende Erfindung bietet eine einfache Lösung zur Verhinderung von Manipulationen
von Adressen von Routern auf der Netzwerk-Seite durch einen Teilnehmer
auf der Teilnehmerseite. Diese Lösung besteht
darin, dass jedes Mal, wenn eine neue Quelladresse empfangen wird,
entweder auf der Teilnehmerseite oder auf der Netzwerkseite, festgestellt
wird, von welcher Schnittstelle sie empfangen wird. Als nächstes wird
ein Vergleich zwischen der neu empfangenen Quelladresse auf der
Teilnehmerseite und allen gespeicherten Quelladressen, die auf der
Netzwerkseite empfangen werden, durchgeführt. Wenn sich herausstellt,
dass die Quelladresse bereits als Quelladresse von der Netzwerkseite
gespeichert wurde, wird das Paket, das die neue Quelladresse enthält, verworfen.
Wenn eine neue Quelladresse der Netzwerkseite mit einer bereits
auf der Teilnehmerseite gespeicherten übereinstimmt, wird der vorhandene
Eintrag beim Standard-Lernen mit einer zusätzlichen Anzeige, dass sie
aus einer von der Teilnehmerseite empfangenen Quelladresse besteht, überschrieben.
Wenn eine neue Quelladresse auf der Teilnehmerseite noch nicht in
der Adressen-Weiterleitungs-Tabelle enthalten ist, wird sie zusammen
mit der herkömmlichen
zugehörigen
Information und mit einer Anzeige, dass sie von der Teilnehmerseite
kommt, in der Weiterleitungs-Tabelle gespeichert. Zu diesem Zweck kann
ein spezielles Flag in der FT gespeichert werden, die FT kann aber
auch in zwei Teile aufgeteilt werden: Ein vom Teilnehmer kommender
Teil und ein vom Netzwerk kommender Teil, und weitere Verfahren
zum Aufbau und zur Speicherung dieser Unterschiede kann sich ein
Fachmann vorstellen.
-
Wenn
eine neue Router-Quelladresse noch nicht in der FT gespeichert ist,
wird sie ebenfalls mit ihrer zusätzlichen
zugehörigen
Information und zusammen mit eine Anzeige ihres Ursprungs, Teilnehmer-
oder Netzwerkseite, in der FT oder im Netzwerk-Teil der FT gespeichert,
abhängig
von der Implementation der Tabelle.
-
Dies
wird schematisch in 2 gezeigt. Zusätzlich zum
Verwerfen eines Paketes von einem Teilnehmer, das eine bereits gespeicherte "Netzwerk"-Quelladresse hat,
können
weiterhin zusätzliche
Informationen bezüglich
dieses Teilnehmers in einer zusätzlichen
Tabelle gespeichert werden. Es wird daher auch darauf hingewiesen,
dass zusätzlich
zum Standard-Selbstlernen,
wie in den beiden Kasten rechts in Bild 1 gezeigt, zuerst eine interne Überprüfung dieser
zusätzlichen
Tabelle durchgeführt
werden kann, und dass nach dem Standard-Lernen auch eine Aktualisierung dieser
zusätzlichen
Tabelle durchgeführt
wird, zum Beispiel wenn erkannt wird, dass eine neue empfangene
Netzwerkadresse bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle
gespeichert war. In diesem Fall wird der Eintrag in der Adressen-Weiterleitungs-Tabelle, der sich
auf die Adresse des (böswilligen)
Teilnehmers bezieht, kopiert und in der zusätzlichen Tabelle gespeichert, wobei
nach diesem Schritt der Eintrag in der Adressen-Weiterleitungs-Tabelle
durch die neu empfangene Adresse und ihre zugehörige Information überschrieben
wird.
-
Nach
dem Standard-Lernen finden natürlich
weitere Schritte bezüglich
der weiteren Behandlung der empfangenen Pakete statt, wie einem
Fachmann wohlbekannt ist.
-
Die
Ausführung
dieser Schritte kann durch Verarbeitungs-Mittel erfolgen, die in der Lokalnetz-Vermittlungsstelle
enthalten sind, oder durch mehrere Software-Module. Zu diesem Zweck
wird ein Unterscheidungs-Mittel, das entweder in Form eines Software-Programms
oder einer Hardware in der Vermittlungsstelle vorhanden ist, angepasst,
eine Unterscheidung zwischen Quelladressen, die von der Teilnehmerschnittstelle und
von der Netzwerkschnittstelle empfangen wurden, durchzuführen. Auf ähnliche
Weise kann auch ein Vergleichs-Mittel zum Vergleich einer Quelladresse,
die in einem neu an der Teilnehmerschnittstelle (UI) eintreffenden
Paket enthalten ist, mit allen in der Weiterleitungs-Tabelle (FT)
gespeicherten Quelladressen, die von der Netzwerkschnittstelle (NI)
empfangen werden, durch Software-Module
oder in Hardware realisiert werden, um ein Steuerungssignal an ein
Verwerfungs-Mittel zu liefern, um die neu eintreffenden Pakete zu
verwerfen, wenn die darin enthaltene Quelladresse bereits als eine
von der Netzwerkschnittstelle empfangene Quelladresse gespeichert
war.
-
Auch
kann ein Mittel zur Erkennung, dass eine neu empfangene Netzwerkadresse
bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle
(FT) gespeichert wurde und zum Senden des Eintrags in der Adressen-Weiterleitungs-Tabelle
bezüglich
der Teilnehmeradresse an die zusätzliche
Tabelle und zur Anweisung der Weiterleitungs-Tabelle, diesen Eintrag
durch eine neu empfangene Adresse und ihre zugehörige Information zu überschreiben,
durch Software-Programme oder Verarbeitungsmodule in Hardware realisiert werden.
-
Natürlich sind
andere Implementationen möglich.
Obwohl die Prinzipien der Erfindung oben in Zusammenhang mit einer
speziellen Vorrichtung beschrieben wurden, muss deutlich verstanden
werden, dass diese Beschreibung nur als Beispiel erfolgt und keine
Einschränkung
des Umfanges der Erfindung darstellt, wie in den beigefügten Ansprüchen definiert. Fig. 1 Fig. 2
| New
packet... | Neues
Paket trifft in der AN ein |
| Determine
interface... | Ankunfts-Schnittstelle
feststellen (UI oder UN) |
| Extract
MAC... | MAC-Quelladresse
MACi entnehmen |
| MACi
is source... | MACi
ist eine Quelladresse, die von UI kommt? |
| N | Nein |
| Y | Ja |
| MACi
received at NI | MACi
an NI empfangen |
| MACi
received at UI | MACi
an UI empfangen |
| MACi
already present... | MACi
bereits in FT als von NI stammende Quelladresse vorhanden? |
| Y
(MACi is router...) | Ja
(MACi ist an UI empfangene Router-MAC-Quelladresse) |
| Discard
packet | Paket
verwerfen |
| Standard
learning/storage of MACi + storage/indication of MACi as a MAC source
adress from NI | Standard-Lernen/Speicherung
von MACi + Speicherung/Anzeige von MACi als MAC-Quelladresse von NI |
| Standard
learning/storage of MACi + storage/indication of MACi as a MAC source
adress from UI | Standard-Lernen/Speicherung
von MACi + Speicherung/Anzeige von MACi als MAC-Quelladresse von UI |