网关保护方法、装置及设备与流程

1.本技术涉及通信技术领域，尤其涉及网关保护方法、装置及设备。


背景技术：

2.目前传统的网关保护方案，首先需要在s-leaf(service leaf，业务节点)上查找目前所有bras(broadband remote access server，宽带接入服务器)设备的mac地址(media access control address，媒体存取控制位址或物理地址)，然后在所有和s-leaf建立evpn(ethernet virtual private network，以太网虚拟专用网络)vpls(virtual private lan service，虚拟专用局域网服务)的a-leaf(access leaf，接入节点)上手动配置所有bras设备的mac地址为静态mac地址，使得bras设备的mac地址不会出现迁移，同时在a-leaf上的每个ac(attachment circuit，接入电路)口上手动配置流量过滤策略过滤源mac地址为bras mac地址的流量。相关技术中所有的配置都是手动的，使得相关技术中的网关保护方案操作非常繁琐，不利用网络运维。
3.由此可见，相关技术中网关保护方法操作繁琐，需要提供一种网关保护方法以便于用户能够简单操作。


技术实现要素：

4.本技术的目的是提供一种网关保护方法、装置和设备，用以解决相关技术中网关保护方法配置bras mac地址时操作繁琐的问题。
5.第一方面，本技术提供一种网关保护方法，应用于接入节点，所述方法包括：
6.接收业务节点发送的第一物理地址，并将所述第一物理地址写入到所述接入节点的虚拟交换实例中；
7.在所述业务节点为指定业务节点的情况下，将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址；
8.基于所述静态物理地址对接收到的报文进行过滤，其中，所述报文的源mac地址为所述静态物理地址。
9.在一种可能的实施方式中，在将所述第一物理地址配置为静态物理地址之后，所述方法还包括：
10.在接收到所述指定业务节点发送的第二物理地址的情况下，更新所述虚拟交换实例中对应的静态物理地址。
11.在一种可能的实施方式中，所述更新所述虚拟交换实例中对应的静态物理地址，包括：
12.将所述虚拟交换实例中所述第一物理地址撤销，并将所述第二物理地址配置为静态物理地址。
13.在一种可能的实施方式中，所述基于所述静态物理地址对接收到的报文进行过滤，包括：
14.接收来自用户终端的报文，并通过所述接入节点的虚拟交换实例对所述报文进行解析；
15.在确定所述报文的源地址为所述静态物理地址的情况下，将所述报文进行丢弃。
16.在一种可能的实施方式中，在通过所述接入节点的虚拟交换实例对所述报文进行解析之后，所述方法还包括：
17.在确定所述报文的源地址不为所述静态物理地址的情况下，将所述报文发送给所述业务节点，以指示所述业务节点将所述报文发送给与所述目的物理地址对应的网关设备；
18.其中，所述业务节点的虚拟交换实例中存储有物理地址转发表，所述物理地址转发表中携带有所述报文的目的物理地址。
19.第二方面，本技术提供一种网关保护方法，应用于业务节点，所述方法包括：
20.向接入节点发送第一物理地址，以使所述接入节点将所述业务节点发送的所述第一物理地址写入到接入节点的虚拟交换实例中；
21.在确定发送所述第一物理地址的业务节点为指定业务节点时，将所述第一物理地址设置为需要保护的物理地址，并指示所述接入节点将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址。
22.在一种可能的实施方式中，在指示所述接入节点将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址之后，所述方法还包括：
23.在确定所述指定业务节点发送的物理地址变更为第二物理地址的情况下，指示所述接入节点根据所述指定业务节点发送的第二物理地址更新所述虚拟交换实例中对应的静态物理地址。
24.在一种可能的实施方式中，所述指示所述接入节点根据所述指定业务节点发送的第二物理地址更新所述虚拟交换实例中对应的静态物理地址，包括：
25.通过边界网关协议指示接入节点将所述虚拟交换实例中所述第一物理地址撤销，并将所述第二物理地址配置为静态物理地址。
26.在一种可能的实施方式中，在指示所述接入节点根据所述指定业务节点发送的第二物理地址更新所述虚拟交换实例中对应的静态物理地址之后，所述方法还包括：
27.接收所述接入节点发送的报文；
28.在所述报文的源地址不为所述静态物理地址的情况下，将所述报文发送给与所述报文的目的物理地址对应的网关设备。
29.第三方面，本技术提供一种网关保护装置，应用于接入节点，所述装置包括：
30.物理地址学习模块，被配置为接收业务节点发送的第一物理地址，并将所述第一物理地址写入到所述接入节点的虚拟交换实例中；
31.静态物理地址配置模块，被配置为在所述业务节点为指定业务节点的情况下，将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址；
32.报文过滤模块，被配置为基于所述静态物理地址对接收到的报文进行过滤，其中，所述报文的源mac地址为所述静态物理地址。
33.第四方面，本技术提供一种网关保护装置，应用于业务节点，所述装置包括：
34.物理地址发送模块，被配置为向接入节点发送第一物理地址，以使所述接入节点
将所述业务节点发送的所述第一物理地址写入到接入节点的虚拟交换实例中；
35.静态物理地址发送模块，被配置为在确定发送所述第一物理地址的业务节点为指定业务节点时，将所述第一物理地址设置为需要保护的物理地址，并指示所述接入节点将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址。
36.第五方面，本技术提供一种电子设备，包括：
37.处理器和存储器；
38.所述存储器，用于存储处理器的可执行指令；
39.所述处理器，用于执行所述可执行指令，以实现如上述第一方面和第二方面中任一项所述的网关保护方法。
40.第六方面，本技术提供一种计算机可读存储介质，当所述计算机可读存储介质中的指令由电子设备的处理器执行时，使得所述电子设备能够执行如上述第一方面和第二方面中任一项所述的网关保护方法。
41.第七方面，本技术提供一种计算机程序产品，包括计算机程序：
42.所述计算机程序被处理器执行时实现如上述第一方面和第二方面中任一项所述的网关保护方法。
43.本技术的实施例提供的技术方案至少带来以下有益效果：
44.本技术实施例中，通过边界网关协议向接入节点发送物理地址，并将指定业务节点发送的第一物理地址配置为静态物理地址，使得对来自当前静态物理地址的报文进行过滤。本技术实施例实现了智能地对网关进行保护，避免繁琐的手工配置，在接入节点上获取bras设备的物理地址并配置为静态物理地址和通过为静态物理地址配置流量过滤策略过滤源mac地址为静态物理地址的流量，从而避免仿冒为静态物理地址的非法用户的攻击，不影响用户的上网业务流量，有利于提高用户上网体验。
45.本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
46.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1为本技术实施例提供的相关技术中网络的设备框架示意图；
48.图2为本技术实施例提供的本技术中网关保护方法的设备框架示意图；
49.图3为本技术实施例提供的应用于接入节点的网关保护方法的整体流程示意图；
50.图4为本技术实施例提供的步骤304的流程示意图；
51.图5为本技术实施例提供的应用于业务节点的网关保护方法的整体流程示意图；
52.图6为本技术实施例提供的网关保护装置600的结构示意图；
53.图7为本技术实施例提供的网关保护装置700的结构示意图；
54.图8为本技术实施例提供的电子设备的结构示意图。
具体实施方式
55.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。其中，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
56.并且，在本技术实施例的描述中，除非另有说明，“/”表示或的意思，例如，a/b可以表示a或b；文本中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况，另外，在本技术实施例的描述中，“多个”是指两个或多于两个。
57.以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”、的特征可以明示或者隐含地包括一个或者更多个该特征，在本技术实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。
58.目前，相关技术中网络的设备框架示意图如图1所示，一般用户上网的主要流程首先是用户终端发起pppoe(point to point protocol over ethernet，基于以太网的点对点通讯协议)拨号，将用户请求报文广播给网络中的bras设备(即图1中的业务节点s-leaf的设备bras1和bras2)，s-leaf的设备bras1和bras2收到广播请求包后，以单播报文的形式响应用户，用户将学习到响应设备的mac地址，即业务节点s-leaf的设备bras1和bras2的mac地址，此后用户的上网业务报文的目的mac地址将为远端的bras设备，接入节点a-leaf基于目的mac地址查找转发表，将接收到来自用户终端的上网业务报文发给图1中的设备bras1或bras2进行处理，完成互联网上网。
59.当网络正常运行时，bras设备向a-leaf发起用户请求时，若请求报文从a-leaf的接口1(即图1中的ac1，ac即为接口)发送到a-leaf，则a-leaf将从该接口1向bras设备发送回复报文，并将目的地址为bras mac地址的报文对应的转发接口(即接口1)写入物理地址转发表。当网络中非法用户以bras mac地址作为源mac地址发起用户请求时，该非法用户的请求从a-leaf的接口2(即图1中的ac2)发送到a-leaf，a-leaf将会更新物理地址转发表，使得目的地址为bras mac地址的报文的转发接口由接口1更新为接口2，导致本来去往合法的bras设备的报文是通过接口1转发给bras。非法用户攻击使得物理地址转发表更新后，去往合法的bras设备的报文就改变为通过接口2转发给非法用户了，此时用户的上网业务报文将不会转发到正确的bras设备上，用户的bras设备无法获取上网业务报文，从而影响用户的上网。
60.如图1，相关技术通过在接入节点a-leaf以及业务节点s-leaf上手动配置静态mac地址的方式解决上述非法用户仿冒物理地址进行网络攻击的问题。通过配置静态mac地址，在接入节点的所有接口将源地址为静态mac地址的报文过滤，bras向用户发送报文会经过业务节点的转发，不会被过滤，主要过滤外来用户伪造成bras的mac地址的报文，可以防止设备不受伪造为静态mac地址的非法用户攻击，并将接入节点的报文转发接口固定为指定接口，使得携带特定目的mac地址的报文由指定接口转发，例如，携带特定目的mac地址的报文由指定接口1转发，在非法用户以特定目的mac地址作为源地址从接口2发起用户请求时，报文的转发接口不会发生改变，防止用户的报文发送到错误的mac地址(即非法用户的设
备)。包括：首先需要在s-leaf上查找目前所有bras设备的mac地址，然后在所有和s-leaf建立evpn vpls的a-leaf上手动配置所有bras设备的mac地址为静态mac，同时在a-leaf上的每个接口上手动配置流量过滤策略，即过滤源mac地址为bras mac地址的流量。上述所有的配置步骤都是手动实现的，且当bras mac地址变更或接口新增或删除时，之前的配置都需要再次手动更新，使得相关技术中的网关保护方法的操作非常繁琐，不利用网络运维。
61.有鉴于此，本技术提供了一种网关保护方法、装置和设备，用以解决相关技术中网关保护方法配置bras mac地址时操作繁琐的问题。
62.本技术的发明构思可概括为：通过边界网关协议向接入节点发送物理地址，并将指定业务节点发送的第一物理地址配置为静态物理地址，使得对源mac地址为当前静态物理地址的报文进行过滤。本技术实施例实现了智能地对网关进行保护，避免繁琐的手工配置，在接入节点上获取bras设备的物理地址并配置为静态物理地址和通过为静态物理地址配置流量过滤策略过滤源mac地址为静态物理地址的流量，从而避免仿冒为静态物理地址的非法用户的攻击，不影响用户的上网业务流量。
63.在介绍完本技术实施例的主要发明思想之后，下面对本技术实施例的技术方案能够适用的应用场景做一些简单介绍，需要说明的是，以下介绍的应用场景仅用于说明本技术实施例而非限定。在具体实施时，可以根据实际需要灵活地应用本技术实施例提供的技术方案。
64.为了便于理解本技术实施例提供的网关保护方法，下面结合附图对此进行进一步说明。如图2为本技术提供的网关保护方法的设备框架示意图，在新型城域网中，a-leaf作为接入节点，主要负责用户的接入，s-leaf作为业务节点，主要负责业务的落地，在a-leaf和s-leaf之间部署evpn vpls方案承载业务，用户的业务流量从olt(optical line terminal，光线路终端)上来，从接口进入a-leaf节点的vsi(virtual switch interface，虚拟交换实例)里，转发给s-leaf节点，s-leaf节点的vsi实例查找目的mac地址后将流量转发给相应的bras设备进行处理。
65.在上述evpn vpls组网场景下，本技术实施例在bras设备、业务节点s-leaf和接入节点a-leaf之间建立evpn bgp(border gateway protocol，边界网关协议)邻居关系，s-leaf通过bgp通告bras mac地址给a-leaf，a-leaf通过对指定s-leaf通告过来的bras mac地址进行静态mac配置，静态mac配置随着指定s-leaf通告过来的bras mac地址的变更会自动的更新配置。a-leaf基于指定s-leaf学习到的bras mac地址，在关联的vsi实例里实现对来自bras mac地址的报文的过滤，同时过滤策略会基于s-leaf通告过来的bras mac地址变化而变化。
66.在一种可能的实施方式中，本技术提供一种网关保护方法，应用于接入节点，如图2中的a-leaf1～a-leaf4，其整体流程示意图如图3所示，包括以下内容：
67.在步骤301中，接收业务节点发送的第一物理地址，并将第一物理地址写入到接入节点的虚拟交换实例中。
68.例如，如图2所示，业务节点为s-leaf1和s-leaf2，假定bras1的mac地址为mac1，bras2的mac地址为mac2，s-leaf可获取到mac1和mac2地址。a-leaf和s-leaf之间建立evpn vpls，并通过边界网关协议通告互相传递获取到的mac地址，a-leaf上可接收到s-leaf通告过来的mac1和mac2，即第一物理地址。需要说明的是，a-leaf上也可学习到其他a-leaf通告
过来的mac地址。
69.在步骤302中，在业务节点为指定业务节点的情况下，将虚拟交换实例中的第一物理地址配置为静态物理地址。
70.例如，业务节点包括两种类型，分别为指定业务节点与非指定业务节点，指定业务节点通告的物理地址需要配置为静态物理地址，非指定业务节点通告的物理地址无需配置为静态物理地址。比如指定业务节点为s-leaf1和s-leaf2，则从s-leaf1和s-leaf2上学习到的mac地址为需要保护的网关mac地址，若此时学到的mac地址为mac1和mac2地址，则本技术实施例将mac1和mac2配置为静态mac地址，并设置目的地址为静态mac地址的报文由指定接口进行转发，比如目的地址为mac1的指定接口为接口1，目的地址mac2的指定接口为接口2，使得目的地址为静态mac地址的报文将由指定接口转发能够防止静态mac地址出现迁移，从而设备不受伪造为mac地址的非法用户的攻击。
71.在步骤303中，基于静态物理地址对接收到的报文进行过滤，其中，报文的源mac地址为静态物理地址。
72.在另一种可能的实施方式中，本技术实施例还将在接收到所述指定业务节点发送的第二物理地址的情况下，更新虚拟交换实例中对应的静态物理地址。具体可实施为：
73.将所述虚拟交换实例中所述第一物理地址撤销，并将所述第二物理地址配置为静态物理地址。
74.例如，当s-leaf1和s-leaf2通过bgp通告过来的mac地址发生变化时，a-leaf则会自动对相关mac地址以及过滤策略进行更新，如bras1的mac地址变更为mac3，s-leaf节点则会撤销mac1地址，a-leaf则也会撤销对mac1地址的配置，s-leaf会再通告mac3地址，a-leaf上则会将mac3地址配置为静态mac，同时在虚拟交换实例里，将mac1的源地址过滤策略撤销，同时新增基于mac3地址的源地址过滤策略，避免仿冒为mac1地址的非法用户的攻击，实现智能地更新静态物理地址。
75.在一种可能的实施方式中，步骤303中，基于静态物理地址对接收到的报文进行过滤，其流程如图4所示，包括以下两个步骤：
76.在步骤401中，接收来自用户终端的报文，并通过接入节点的虚拟交换实例对报文进行解析。
77.在步骤402中，在确定报文的源地址为所述静态物理地址的情况下，将报文进行丢弃。
78.例如，在a-leaf的虚拟交换实例中，针对从接口上来的业务报文配置流量过滤策略，基于从s-leaf1和s-leaf2学习到的mac1和mac2地址配置源地址过滤策略，如静态物理地址mac1和mac2，只要报文的源mac地址为静态物理地址mac1或mac2，则将该报文进行丢弃。
79.在另一种可能的实施方式中，若确定报文的源地址不为静态物理地址，将报文发送给业务节点，以指示业务节点将该报文发送给与目的物理地址对应的网关设备。其中，业务节点的虚拟交换实例中存储有物理地址转发表，物理地址转发表中携带有报文的目的物理地址。
80.例如，在a-leaf的虚拟交换实例中，确定报文的源mac地址不为静态物理地址mac1，报文的目的地址为mac2，则将该报文发送给业务节点，业务节点接收到报文后，将根
据虚拟交换实例中存储的物理地址转发表，再将报文发送给与目的物理地址对应的网关设备。
81.需要补充的是，接收接入节点报文的业务节点与向接入节点发送第一物理地址的业务节点，可以是同一个业务节点，也可以是不同的业务节点。
82.在一种可能的实施方式中，本技术还提供一种网关保护方法，应用于业务节点，其整体流程示意图如图5所示，包括以下内容：
83.在步骤501中，向接入节点发送第一物理地址，以使接入节点将业务节点发送的第一物理地址写入到接入节点的虚拟交换实例中。
84.在步骤502中，在确定发送第一物理地址的业务节点为指定业务节点时，将第一物理地址设置为需要保护的物理地址，并指示接入节点将虚拟交换实例中的第一物理地址配置为静态物理地址。
85.需要说明的是，业务节点包括两种类型，分别为指定业务节点与非指定业务节点，指定业务节点通告的物理地址需要配置为静态物理地址，非指定业务节点通告的物理地址无需配置为静态物理地址。例如，指定业务节点为s-leaf1和s-leaf2，从s-leaf1和s-leaf2上学习到的mac地址(bras1的mac地址为mac1，bras2的mac地址为mac2)为需要保护的网关mac地址，本技术实施例将mac1和mac2配置为静态mac地址。
86.在一种可能的实施方式中，本技术实施例在指示接入节点将虚拟交换实例中的第一物理地址配置为静态物理地址之后，在确定指定业务节点发送的物理地址变更为第二物理地址的情况下，指示接入节点根据指定业务节点发送的第二物理地址更新虚拟交换实例中对应的静态物理地址。具体更新过程可以包括：
87.通过边界网关协议指示接入节点将虚拟交换实例中第一物理地址撤销，并将第二物理地址配置为静态物理地址。
88.在另一种可能的实施方式中，业务节点还将接收接入节点发送的报文，在报文的源地址不为静态物理地址的情况下，将该报文发送给与报文的目的物理地址对应的网关设备。
89.综上所述，本技术实施例通过边界网关协议向接入节点发送物理地址，并将指定业务节点通告的物理地址配置为静态物理地址，使得对来自当前静态物理地址的报文进行过滤，以及在静态物理地址发生变更时，更新虚拟交换实例中对应的静态物理地址。本技术实施例实现了智能地对网关进行保护，避免繁琐的手工配置，在接入节点上获取bras设备的物理地址并配置为静态物理地址和通过为静态物理地址配置流量过滤策略过滤源mac地址为静态物理地址的流量，从而避免仿冒为静态物理地址的非法用户的攻击，不影响用户的上网业务流量，提高了用户的上网体验。
90.基于相同的发明构思，本技术实施例还提供一种网关保护装置，如图6所示，应用于接入节点，所述装置600包括：
91.物理地址学习模块601，被配置为接收业务节点发送的第一物理地址，并将所述第一物理地址写入到所述接入节点的虚拟交换实例中；
92.静态物理地址配置模块602，被配置为在所述业务节点为指定业务节点的情况下，将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址；
93.报文过滤模块603，被配置为基于所述静态物理地址对接收到的报文进行过滤，其
中，所述报文的源mac地址为所述静态物理地址。
94.基于相同的发明构思，本技术实施例还提供一种网关保护装置，如图7所示，应用于业务节点，所述装置700包括：
95.物理地址发送模块701，被配置为向接入节点发送第一物理地址，以使所述接入节点将所述业务节点发送的所述第一物理地址写入到接入节点的虚拟交换实例中；
96.静态物理地址发送模块702，被配置为在确定发送所述第一物理地址的业务节点为指定业务节点时，将所述第一物理地址设置为需要保护的物理地址，并指示所述接入节点将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址。
97.下面参照图8来描述根据本技术的这种实施方式的电子设备130。图8显示的电子设备130仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
98.如图8所示，电子设备130以通用电子设备的形式表现。电子设备130的组件可以包括但不限于：上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
99.总线133表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
100.存储器132可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)1321和/或高速缓存存储器1322，还可以进一步包括只读存储器(rom)1323。
101.存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325，这样的程序模块1324包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
102.电子设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与电子设备130交互的设备通信，和/或与使得该电子设备130能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口135进行。并且，电子设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器136通过总线133与用于电子设备130的其它模块通信。应当理解，尽管图中未示出，可以结合电子设备130使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
103.在示例性实施例中，本技术还提供了一种包括指令的计算机可读存储介质，例如包括指令的存储器132，上述指令可由电子设备130的处理器131执行以完成上述网关保护方法。可选地，计算机可读存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
104.在示例性实施例中，还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器131执行时实现如本技术提供的网关保护方法。
105.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机
可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
106.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
107.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
108.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
109.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种网关保护方法，其特征在于，应用于接入节点，所述方法包括：接收业务节点发送的第一物理地址，并将所述第一物理地址写入到所述接入节点的虚拟交换实例中；在所述业务节点为指定业务节点的情况下，将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址；基于所述静态物理地址对接收到的报文进行过滤，其中，所述报文的源mac地址为所述静态物理地址。2.根据权利要求1所述的方法，其特征在于，在将所述第一物理地址配置为静态物理地址之后，所述方法还包括：在接收到所述指定业务节点发送的第二物理地址的情况下，更新所述虚拟交换实例中对应的静态物理地址。3.根据权利要求2所述的方法，其特征在于，所述更新所述虚拟交换实例中对应的静态物理地址，包括：将所述虚拟交换实例中所述第一物理地址撤销，并将所述第二物理地址配置为静态物理地址。4.根据权利要求1所述的方法，其特征在于，所述基于所述静态物理地址对接收到的报文进行过滤，包括：接收来自用户终端的报文，并通过所述接入节点的虚拟交换实例对所述报文进行解析；在确定所述报文的源地址为所述静态物理地址的情况下，将所述报文进行丢弃。5.根据权利要求4所述的方法，其特征在于，在通过所述接入节点的虚拟交换实例对所述报文进行解析之后，所述方法还包括：在确定所述报文的源地址不为所述静态物理地址的情况下，将所述报文发送给所述业务节点，以指示所述业务节点将所述报文发送给与所述目的物理地址对应的网关设备；其中，所述业务节点的虚拟交换实例中存储有物理地址转发表，所述物理地址转发表中携带有所述报文的目的物理地址。6.一种网关保护方法，其特征在于，应用于业务节点，所述方法包括：向接入节点发送第一物理地址，以使所述接入节点将所述业务节点发送的所述第一物理地址写入到接入节点的虚拟交换实例中；在确定发送所述第一物理地址的业务节点为指定业务节点时，将所述第一物理地址设置为需要保护的物理地址，并指示所述接入节点将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址。7.根据权利要求6所述的方法，其特征在于，在指示所述接入节点将所述虚拟交换实例中的所述第一物理地址配置为静态物理地址之后，所述方法还包括：在确定所述指定业务节点发送的物理地址变更为第二物理地址的情况下，指示所述接入节点根据所述指定业务节点发送的第二物理地址更新所述虚拟交换实例中对应的静态物理地址。8.根据权利要求7所述的方法，其特征在于，所述指示所述接入节点根据所述指定业务节点发送的第二物理地址更新所述虚拟交换实例中对应的静态物理地址，包括：
通过边界网关协议指示接入节点将所述虚拟交换实例中所述第一物理地址撤销，并将所述第二物理地址配置为静态物理地址。9.根据权利要求7所述的方法，其特征在于，在指示所述接入节点根据所述指定业务节点发送的第二物理地址更新所述虚拟交换实例中对应的静态物理地址之后，所述方法还包括：接收所述接入节点发送的报文；在所述报文的源地址不为所述静态物理地址的情况下，将所述报文发送给与所述报文的目的物理地址对应的网关设备。10.一种网关保护设备，其特征在于，包括：处理器和存储器；所述存储器，用于存储所述处理器可执行指令；所述处理器被配置为执行所述指令以实现如权利要求1-5中任一项所述的网关保护方法，或者执行所述指令以实现如权利要求6-9中任一所述的网关保护方法。11.一种计算机可读存储介质，其特征在于，当所述计算机可读存储介质中的指令由网关保护设备的处理器执行时，使得所述网关保护设备执行所述指令以实现如权利要求1-5中任一项所述的网关保护方法，或者执行所述指令以实现如权利要求6-9中任一所述的网关保护方法。

技术总结
本申请涉及网络通信技术领域，公开了一种网关保护方法、装置及设备，用以解决相关技术中网关保护方法配置BRAS MAC地址时操作繁琐的问题。通过边界网关协议向接入节点发送物理地址，并将指定业务节点发送的第一物理地址配置为静态物理地址，使得对源MAC地址为当前静态物理地址的报文进行过滤。本申请实施例实现了智能地对网关进行保护，避免繁琐的手工配置，在接入节点上获取BRAS设备的物理地址并配置为静态物理地址和通过为静态物理地址配置流量过滤策略过滤源MAC地址为静态物理地址的流量，从而避免仿冒为静态物理地址的非法用户的攻击，不影响用户的上网业务流量。不影响用户的上网业务流量。不影响用户的上网业务流量。


技术研发人员：陈学平 曲延锋 李加新 刘明
受保护的技术使用者：北京星网锐捷网络技术有限公司
技术研发日：2023.03.10
技术公布日：2023/7/7